作者主題: 請問各式攻擊手法 (閱讀 23199 次)

flwuqo · « 於: 2007-12-17 17:50 »

各位學長資深工程師大大們您好：
我想請教一下，一般來說，一般講網路資安中，常見的攻擊手法有哪些丫？

我只知道木馬、蠕蟲、dos、ddos還有其他的嗎？

那一般防制作法該如何做呢？

ps.(以linux系統為主)

能請各位學長們幫我指點指點嗎？

darkranger · « **回覆 #1 於:** 2007-12-17 18:00 »

為何而問?

flwuqo · « **回覆 #2 於:** 2007-12-18 09:07 »

引述: darkranger 於 2007-12-17 18:00

為何而問?

因為，我想提升伺服器的安全性，但我目前只知道一些手段而已，
不是說，要知道怎防人家，就要先了解人家怎麼攻擊嗎？
我把ports開至幾個特定的服務，在針對防火強去加強，
但是，一般的蠕蟲和木馬，我該怎麼清丫，在linux上有防毒軟體嗎？
@"@

有Linux真好 · « **回覆 #3 於:** 2007-12-18 09:15 »

引述: flwuqo 於 2007-12-18 09:07

引述: darkranger 於 2007-12-17 18:00
為何而問?
因為，我想提升伺服器的安全性，但我目前只知道一些手段而已，
不是說，要知道怎防人家，就要先了解人家怎麼攻擊嗎？
我把ports開至幾個特定的服務，在針對防火強去加強，
但是，一般的蠕蟲和木馬，我該怎麼清丫，在linux上有防毒軟體嗎？
@"@

1.PORT開愈少愈好，有的做法是web一台主機只開80、FTP一台主機只開21、Mail一台主機只開110。
2.勤補洞。
3.請在google大神中搜尋”Linux 防毒”。

jou · « **回覆 #4 於:** 2007-12-18 09:19 »

rkhunter

去下載來測試一下。

日京三子 · « **回覆 #5 於:** 2007-12-18 09:25 »

引述: 有Linux真好於 2007-12-18 09:15

1.PORT開愈少愈好，有的做法是web一台主機只開80、FTP一台主機只開21、Mail一台主機只開110。

一般來說，這樣的觀念不是很正確。

開PORT跑服務，本來就是很正常的事情；問題在於，你所搭配的安全機制是否完善？

一如，你把整台機器關閉到只有PORT 80在跑，然後網頁撰寫的一塌糊塗時，難保不會因為忽略各種安全機制，而被藉由網頁佔領整台電腦？

我有碰過天才，因為想要收root的信（據苦主說，是因為主管要用 root 這個帳號，覺得這樣子才是「主管」），結果整台機器聽說沒半個月就淪陷，成為參與攻擊 FBI 的一個跳板。

---
有時候，我們會修改對外服務的 PORT，或者用其他機制將其隱藏起來，主要是預防人家隨意的攻擊造成閱讀 LOG 訊息的困擾，與降低可能被對方硬敲開大門的機會。

要對付被硬敲開大門的可能，通常就是要依靠填補漏洞，依靠各種更新與修補的機制，讓可能性降低。

newness · « **回覆 #6 於:** 2007-12-18 12:11 »

如果妳要以攻擊Linux系統為主而不是針對網頁程式漏洞，
小弟再補充幾個方向作為參考:
利用程式的Bug 作緩衝區溢位攻擊，最常見的是 stack smashing , 最早的 worm 也是利用此一弱點散佈，
另外，像是以suid 方式來偷取某主機的 root privilege，
在網路方面還可以利用 sniffer 方式來偷取封包訊息，
或 TCP Hijacking 來擷取通訊。

有Linux真好 · « **回覆 #7 於:** 2007-12-18 12:17 »

引述: 有Linux真好於 2007-12-18 09:15

1.PORT開愈少愈好，有的做法是web一台主機只開80、FTP一台主機只開21、Mail一台主機只開110。
2.勤補洞。
3.請在google大神中搜尋”Linux 防毒”。

第一項其實還是有他的優點的，但是前題還是要做到第２項的勤補洞，為什麼要勤補洞呢?因為作業系統不可能沒有漏洞，沒有漏洞就不叫作業系統了！只是發現了新的漏洞而且有了修正檔，就要快點去修正，當然修正完不代表就沒漏洞了，所以還是要靠少開Port，沒必要就不要開，以免未知的漏洞而被滲透。總之，Port愈多漏洞愈多。

每個服務分開的優點是每台主機只開一個Port，漏洞相對少很多，而且就算被入侵，只要第一時間發現，受害的只是其中一項服務而已，傷害也可減至最低。

而IP數量的問題，其實也不需要很多個IP，可以用同一個IP再做Port重新導向即可。

當然也不是沒有缺點啦，缺點就是需要比較多台的電腦，花費比較多吧！

關於『因為主管要用 root 這個帳號，覺得這樣子才是「主管」』。我會這樣跟我主管說：root 是伺服器『管理員』不是『主管』。

flwuqo · « **回覆 #8 於:** 2007-12-18 12:50 »

各位學長的建言我大概了解啦！

像有學長提到的rkhunter ，我早前就測試過了，目前還算安全，我也會每天比對，我實體防火強上的記錄與我log檔的記錄是否相符，
若在log記錄遺失的，我一般會將認定為有害ip，直接從防火強擋掉，接著port的問題，我只開了80、443port，
為了防止所謂的ddos攻擊，所以我在iptables下面也設定一個規則，就是每秒只能允許五個ip，最多服務一百個ip，然後也做ip過濾，不能有重複的，
超過的ip就拒絕，當然這是iptables的規則，我在實體防火強上，也有開啟此類攻擊的防範措施，
另外我也把ping的功能關掉，至於說網頁程式的部分，這就要思考一下了，因為程式撰寫是另一位工程師所撰寫的，不過具他表示，有將安全機制考慮進去了，
然後安全性更性方面，我每天都會去查看是否有新的更新，一有更新，我會進行更新動作，

然後有學長談到，那個緩衝區溢位攻擊，那個是指什麼？該怎麼防範呢？
接著，網路蠕蟲和木馬真的超多的，我該如何有效的增強伺服器安全？rkhunter夠用嗎？

newness · « **回覆 #9 於:** 2007-12-18 13:05 »

所謂的緩衝區溢位(Buffer Overflows)是程式的Bug，
也可以說是 C 語言的致命傷 (因為Linux系統下大多採用C code)，
Why?
簡單的說，你的 process 在 user mode中會預先配置好妳在程式中所定義的變數，
像是int c, char buffer[120]; etc.............
這些會配置在固定的位置 (會這樣說是因為程式中利用 malloc 來配置記憶體是從 heap 中取得的)，
而該 process 中的 stack 是用來存放比如函數呼叫時，必須先將現在所使用到的變數或一些資料push 到該 stack 中，
等到函數返回時，要拿回來用。
最重要的是 user mode 的 process 結構中又包含了程式的 return address，
因為這些位置是相鄰的，
所以妳可以透過輸入一個過長的 input ，
又因為標準 C 語言的錯誤，許多功能像是 gets()之類的，
是不會檢查使用者輸入的長度，
因此造成邊界檢查的 Loss ，
如果覆寫到 return address (有些書上提到是用 EIP 暫存器存的)，
就會使程式 Crash (Segmentation fault)，
有心一點，妳可以猜中返回位置，並 fork 一個 shell ，
這時候就隨便妳做妳想做的事了啊!!

ZMAN · « **回覆 #10 於:** 2007-12-18 14:12 »

很簡單的常見類型
作業系統與程式軟體本身的缺陷與弱點
木馬與後門程式 : Netbus , BO2K, IcqTrojan…
病毒 : IloveU,BugBear,Klez………
病蟲 : Nimda,CodeRed,MSBlaster…
惡意程式碼 : Java Applet ,ActiveX..
阻斷服務 : Dos,Ddos,Smurf attack,Syn flood attack….
..................................

現在的攻擊大多光明正大利用HTTP和EMAIL的途徑
傳統防火牆的防護其實已經不足夠

一般的防護分為主機型和網路型
主機型廠商不太敢賣
因為怕影響主機原有的服務責任釐清很麻煩
市面常見的都是網路型的防護

根據統計大多數的攻擊來自企業內部而不是外部
這是防護最容易疏忽的地方

其實可以先去TIPPINGPOINT FORTINET JUNIPER CISCO...的網站看一些技術資料
了解一下這些賣錢的玩意都在做什麼
再回頭做自己的研究會比較有頭緒

newness · « **回覆 #11 於:** 2007-12-18 14:51 »

引述: ZMAN 於 2007-12-18 14:12

現在的攻擊大多光明正大利用HTTP和EMAIL的途徑
傳統防火牆的防護其實已經不足夠

根據統計大多數的攻擊來自企業內部而不是外部
這是防護最容易疏忽的地方

有同感，裝防火牆只是心安的(不過還是要裝，但不是一勞永逸)，
透過SQL injection, or else.....一樣可以攻擊server，
寫程式的作者原意很善良，只是沒想到有人可以這麼搞而已，
不過我認為寫程式的人還是有責任擋掉，
小心的coding，遠比妳裝了個 firewall ，
裡頭還有個存在漏洞的 daemon來的好！

flwuqo · « **回覆 #12 於:** 2007-12-18 15:20 »

嗯~十分認同~~所謂的安全防護，也只能盡力做到最好，
但還是會有不足的地方，所以只能想，還有哪邊還不足，
對於緩衝溢位的攻擊法，我之前有爬過一個文，不知對不對，
內容是寫，一般懶的管理者，會將磁區分成/、/ext3、swap
就因為如此，整個目錄都在一起了，當然攻擊也就這麼來了，
只要有心的人，努力去try，造成你的根目錄記憶體滿載，
造成你伺服器掛點，是這樣子嗎？文章中建議還是乖乖的
把/home/var/etc等重要的目錄，各別切割開來，是嗎？

有錯的話，還請各位學長指正我一下！

newness · « **回覆 #13 於:** 2007-12-18 16:36 »

引述: flwuqo 於 2007-12-18 15:20

對於緩衝溢位的攻擊法，我之前有爬過一個文，不知對不對，
內容是寫，一般懶的管理者，會將磁區分成/、/ext3、swap
就因為如此，整個目錄都在一起了，當然攻擊也就這麼來了，
只要有心的人，努力去try，造成你的根目錄記憶體滿載，
造成你伺服器掛點，是這樣子嗎？文章中建議還是乖乖的
把/home/var/etc等重要的目錄，各別切割開來，是嗎？

有錯的話，還請各位學長指正我一下！

第一次聽到對 BOA (Buffer Overflow Attack)有這樣的見解，
BOA的問題指出，程式的確很有可能存在弱點而遭到BOA，
若妳有興趣可以參照 Wiki

另外，妳提到的是伺服器的磁碟管理，
我想妳對於什麼目錄有什麼功用應該有所了解，
自然知道Server 上要如何決定你的目錄是要獨立成一個partition or not

flwuqo · « **回覆 #14 於:** 2007-12-19 15:40 »

報告學長~我又重新了解了緩衝區溢位的手法了~
不過爬了半天，還是不太了解，該如何去防範，
能教我嗎？目前看來這一點的攻擊方式，我完全沒折，
只能等人家來殺= ="

可以的話，能指導我這個丫呆嗎？

另外，我去找了一下linux的防毒軟體，雖然日前還是以
windows的病毒最多，所以linux的防毒還是以防windows為主要，
還是有防linux的功能啦，當然相對蠕蟲、木馬都能清，不過，好像，
沒有比較好的軟體場商有提供厚，能請各位有用過linux防毒軟體的學長，
能推薦我一套優良的防毒軟體嗎？

darkranger · « **回覆 #15 於:** 2007-12-19 19:42 »

引述: flwuqo

報告學長~我又重新了解了緩衝區溢位的手法了~
不過爬了半天，還是不太了解，該如何去防範，
能教我嗎？目前看來這一點的攻擊方式，我完全沒折，
只能等人家來殺= ="
可以的話，能指導我這個丫呆嗎？

作為使用者而不是開發者，你永遠沒辦法保證所使用的軟體不會有漏洞
多注意資安報告與更新發佈，能做到的就是這樣。

引述: flwuqo

另外，我去找了一下linux的防毒軟體，雖然日前還是以
windows的病毒最多，所以linux的防毒還是以防windows為主要，
還是有防linux的功能啦，當然相對蠕蟲、木馬都能清，不過，好像，
沒有比較好的軟體場商有提供厚，能請各位有用過linux防毒軟體的學長，
能推薦我一套優良的防毒軟體嗎？

這應該先視服務而定
不是所有的服務類型都有安裝防毒軟體的必要。

newness · « **回覆 #16 於:** 2007-12-20 15:56 »

老話一句：做資安的永遠要不斷地 Update 自己的想法！

關於緩衝區溢位
請相信Linux 系統也不是省油的燈，
請確認您的系統是否有開啟 ASLR ，
正確的說是 Address Space Layout Randomization，
這樣可以保證想搗蛋的人成功率會降低很多，
據我所知，Windows Vista 是 MS 第一個具有 ASLR 功能的自家版本，
但是隨機樣本似乎只有 256種，
而Linux 有上千種。

如何開啟或查看是否有開啟，請爬我之前的文。

flwuqo · « **回覆 #17 於:** 2007-12-20 16:53 »

引述: newness 於 2007-12-20 15:56

老話一句：做資安的永遠要不斷地 Update 自己的想法！

關於緩衝區溢位
請相信Linux 系統也不是省油的燈，
請確認您的系統是否有開啟 ASLR ，
正確的說是 Address Space Layout Randomization，
這樣可以保證想搗蛋的人成功率會降低很多，
據我所知，Windows Vista 是 MS 第一個具有 ASLR 功能的自家版本，
但是隨機樣本似乎只有 256種，
而Linux 有上千種。

如何開啟或查看是否有開啟，請爬我之前的文。

呵~學長~~~
我去爬了你的文…是教如何關閉的= =
沒有教開啟…所以我自己去試你的指令…
sysctl -w kernel.randomize_va_space=1
sysctl -w kernel.randomize_va_space=2
sysctl -w kernel.randomize_va_space=3
.
.
.
.
.sysctl -w kernel.randomize_va_space=?
都能用耶= =
後面的數字是什麼意思丫~~~
剛去google大神查~
都是寫vista的aslr~
一直在說vista不輸linux的安全性了~~
所以才不恥下問~前來請教學長~~開啟及查看該怎麼使用？

darkranger · « **回覆 #18 於:** 2007-12-20 18:30 »

引述: flwuqo

所以才不恥下問~前來請教學長~~開啟及查看該怎麼使用？

我的媽啊，又一個不恥下問的....

tonyvan123 · « **回覆 #19 於:** 2013-02-27 09:03 »

引述: flwuqo 於 2007-12-20 16:53

引述: newness 於 2007-12-20 15:56
老話一句：做資安的永遠要不斷地 Update 自己的想法！

關於緩衝區溢位
請相信Linux 系統也不是省油的燈，
請確認您的系統是否有開啟 ASLR ，
正確的說是 Address Space Layout Randomization，
這樣可以保證想搗蛋的人成功率會降低很多，
據我所知，Windows Vista 是 MS 第一個具有 ASLR 功能的自家版本，
但是隨機樣本似乎只有 256種，
而Linux 有上千種。

如何開啟或查看是否有開啟，請爬我之前的文。

呵~學長~~~
我去爬了你的文…是教如何關閉的= =
沒有教開啟…所以我自己去試你的指令…
sysctl -w kernel.randomize_va_space=1
sysctl -w kernel.randomize_va_space=2
sysctl -w kernel.randomize_va_space=3
.
.
.
.
.sysctl -w kernel.randomize_va_space=?
都能用耶= =
後面的數字是什麼意思丫~~~
剛去google大神查~
都是寫vista的aslr~
一直在說vista不輸linux的安全性了~~
所以才不恥下問~前來請教學長~~開啟及查看該怎麼使用？

個人在3C維修公司擔任MIS,從另一個實務角度提供一些資訊o
第一. 公司從客人送修的3C產品中推斷,台灣家用電腦(XP.Vista.Windows 7,而且非商用,因為商用3C維修公司無法統計)中KAVO病毒的比例高達80%以上,是全世界中KAVO比率最高的國家
第二. 病毒攻擊型態改變:以往KAVO是由外接儲存裝置作媒介,現在已出現在社交網站.E-MAIL
第三. KAVO病毒雖未發現在iPhoe.Android裝置上可以運作,未來就難說了
第四. 公司已發現了一個案例,網路攻擊的發起是由個人電腦(Vista)發起的,推斷是長達3個月甚至1年的收集資料才發動功擊,共發現DNS.DDos.SQL injection.Web Attack.Stack Overlflow為主,其餘的試探性也滿多的,如phpbb等,而且主要攻擊都很精準的攻擊成功,如何精準的攻擊成功就不便說清楚了,只能說連只有特定IP可以連入的主機一樣被攻擊

大概列了一些,但有個共通點,發起和入侵點在終端設備,不是主機
另外安不安全,很難說o以KAVO為例,台灣自稱自己很先進,但.....為何KAVO都已經流行了5年以上了,台灣家用電腦的感染率比大陸的60%高出許多,那台灣的家用電腦的KAVO感染率會不會降低,絶對不會降低,客人的一句話"微軟告訴我他們的作業系統是安全的,我又沒裝非法軟體"o

另外提一下,對此類的綜合攻擊,如果單純用擋IP是不行的,因為試過擋下上萬個IP,卻是一點用處也沒有o而如果不幸用的是FreeBSD會非常非常的忙碌,因為ipfw.pf只有一種防護那就是擋IP,但成千上萬的IP一起攻擊再加上正常的IP連線根本難以分清o此時Linux的limit.log.syn.state和自製的ratelimit就可讓正常的可以運作,非正常的可以即時作成log向isp反應或加入drop中

最新消息:

作者 主題: 請問各式攻擊手法 (閱讀 23199 次)

作者主題: 請問各式攻擊手法 (閱讀 23199 次)