了解你的敵人

　　Know Your Enemy Script Kiddie使用的工具和方法論 Honeynet Project http://project.honeynet.org http://www.xfocus.org Last Modified: 21 July, 2000 我的長官經常對我說：在敵人面前好很好的保護自己，你必須先了解敵人先。(孫子兵法：知己知彼，百戰百勝)。這句軍事用語現在也很好的應用於網絡安全領域中了，就象作戰一樣，你要保護自己的資源，你需要知道誰是你最大的威脅和他們會怎樣攻擊。在這個系列中的第一篇文章，就是討論一種很流行很廣泛的來自Scritp Kiddie所使用的工具和方法，如果你或者你的組織有任何資源連接到Internet上，你就有此類的威脅。 Know Your Enemy文章主要是涉及到blackhatck團體使用的工具，策略和動機。而Know Your Enemy:II主要集中於你怎樣能探測這些威脅，判斷他們所使用的工具和他們在你系統上尋找什麼樣的漏洞。Know Your Enemy:III集中討論攻擊者獲得ROOT後在系統上怎樣操作，特別是他們是如何掩蓋他們的蹤跡和他們下一步主要干什麼。Know Your Enemy: Forensics 涉及了你怎樣分析一種攻擊。Know Your Enemy: Motives 通過捕獲black-hat團體之間的通信和聯系來分析他們的動機和心理狀態。Know Your Enemy: Worms at War 描述了WORM蠕蟲是怎樣自動攻擊WINDOW系統的。 什麼叫Script Kiddie Script kiddie是一些專門找尋一些容易下手資源的人，他們不專門針對某種特定信息或者目標特定公司，他們的目標是盡可能的用最簡單的方法獲得ROOT，他們通過搜集一些公開的eXPloit信息並搜索整個Internet來找尋有這種exploit漏洞的資源，這樣，不管怎樣，總有某些人會被他們操作。 其中一些高級點的家伙會開發他們自己的工具，並留下一些復雜的後門，另外一些根本就不知道他們做什麼，就知道怎樣在命令行打"go"的人。忽略他們的技術水平不說，Script kiddie就是共享一些公共策略，隨機搜索某個特殊漏洞並利用這個特殊漏洞的人。 他們形成的威脅在哪裡？ 由於Script kiddie是隨機選擇目標，所以存在的威脅是你的系統遲早會被掃描到，我知道管理員很驚訝他們的系統在設置以後沒幾天也沒有告訴任何人的時候就被掃描到了，其實這一點也不值得驚訝，因為Scritp kiddie一般是掃描一段網絡來操作的。 如果掃描只能限制在幾個獨立的資源，你可能會很安心，因為Internet上千千萬萬的機器，掃描到你的機器的幾率少之又少。但是，事實不是你想象的這樣，目前多數工具能很方面的使用大范圍掃描並廣泛傳播，任何人可以使用他們，使用這些工具的人數增長率呈現驚人的速率。Internet是一個無國界的區域，這種威脅就很快轉播到世界各個地方，有這麼多人使用這些工具，你被探測就不是問題了。 試圖以含糊其詞來搪塞你的安全問題會害了你:你或許會認為沒有人知道你的系統，你就會安全，或者你認為你的系統沒有價值，他們為何要探測你，其實這些系統正是scritp kiddies搜尋的目標--沒有任何保護的系統，非常容易得手的系統。 具體方法討論 Scritp kiddie的方法很簡單，掃描Internet有特定缺陷的系統，一但查找到，便對它下手，他們用的許多工具會自動操作，不需要很多的交互。你只要打開工具，然後過幾天回來看看你的結果就可以了。沒有兩個工具是相同的就象沒有兩個漏洞是一樣的，但是雖然如此，許多工具的策略是一樣的，第一，開發要掃描的IP段，然後掃描這些IP段中特定的漏洞。 例如:我們假定一個用戶有一個工具可以利用Linux系統上的imap漏洞，如imapd_exploit.c，開始，他們開發一IP數據庫來掃描，一旦IP數據庫構建好，用戶會想判斷系統是否運行LINUX系統。目前許多掃描器可以通過發送不正常的信息包到目標系統並查看他們如果響應便可很方便的判斷操作系統，如Fyodor的nmap,然後，工具會判斷LINUX系統是否運行著imap服務，最後就是利用imapd_exploit.c程序來進入系統了。 你會想所以這些掃描會有很大的動靜，很容易引起注意，但是，很多人沒有很好的監視他們的系統，並不認識到他們正被掃描，而且，許多script kiddies在查看他們所要利用的系統時也會保持相當的安靜，一旦他們利用這個漏洞進入系統，他們就會使用這個系統作為跳板，並不帶任何包袱的掃描整個系統，因為如果這種掃描被抓獲，責任是系統管理員而不是那些script-kiddie. 所有這些掃描的結果經常被用來歸檔或者在其他用戶中共享，以便在以後的日子裡使用，如用戶在最初為了某個漏洞掃描出來的LINUX系統開了那些端口的數據庫後，過一點時間，一個新的漏洞被發現以後，用戶可以不用重新構建或者掃描新的IP段，他可以很方便的來查看以前歸檔的數據庫並來利用這個新發現的漏洞。其他變相的，用戶可以交流或者買賣有漏洞系統的數據庫。你可以看Know Your Enemy: Motives文章中的例子，這樣造成scritp kiddie可以不掃描系統而破壞你的資源。


有些Black-hats會采用木馬或者後門來種植在破壞的系統中，後門允許方便的隨時的讓攻擊者來訪問你的系統，而木馬使入侵者難於被發現，這些技術可以讓他們的操作不顯示在任何LOG記錄，系統進程或者文件結構上，他可以構建一個舒適安全的環境來掃描Internet，跟詳細的信息請看:Know Your Enemy: III。 這些攻擊沒有限制在一天中的任何時間，許多管理員搜索他們的LOG記錄來查詢當晚發生了什麼，並相信這是攻擊者的攻擊時間，其實script kiddies在任意時間進行攻擊，他們一天24小時的進行掃描，你根本不能考慮到你什麼時候會被探測到。而且由於Internet的無邊界性，時間也就不確定了，攻擊者當地在午夜在攻擊，而你這裡可能是在當地時間下午一點種。 以上對系統漏洞的掃描可以用於多種用途，近來，一種新的拒絕服務攻擊--分布式拒絕服務攻擊DDoS，就是攻擊者一個人控制了很多台有漏洞的系統，他可以遙控這些控制的系統來共同對目標系統執行拒絕服務攻擊。由於多個系統被使用，所以防衛和判斷源攻擊地也變的非常困難。要控制多個系統，Script kiddie的策略就變的很有用，有漏洞的系統隨機被判斷並用來作為DDOS的墊板，越多的系統被控制，DDOS攻擊的強度就越大。如stacheldraht，要了解關於更多的分布式拒絕服務攻擊和怎樣保護自己，請查看Paul Ferguson站上的Denialinfo。 工具 這些工具一般使用起來很見大，許多工具一般只是幾個選項來完成單個目標，開始工具用來構建IP數據庫，這些工具很隨機的掃描Internet，如一個工具有一個單一的選項，A，B和C，你可以選擇一個字母來決定要掃描的網絡大小，這工具然後就選擇A，B，C相應的IP網絡進行掃描。另一個工具使用域名如z0ne，這個工具通過對域名和子域名的區域傳輸操作來構造IP數據庫，用戶通過掃描整個.com或者.edu域來獲得2百萬或者更多的IP數據庫，一旦發現這些IP，它們就被會被工具用戶判斷版本名字，操作系統，所運行的服務，如果發現系統有漏洞，black-hat就會馬上進行攻擊。要更好的理解這些工具，請看Know Your Enemy: Forensics。 怎樣防止這類威脅 下面的一些步驟你可以比較好的保護你的系統，第一，script kiddie一般找尋容易下手的對象，如一些很公開很容易得手的漏洞系統，保證你的系統和網絡不受這些漏洞的影響，www.cert.org 和www.ciac.org是了解這些漏洞很好的資料庫。同樣地，bugtraq (securityfocus.com的一個郵件列表 ) 也是獲得這些漏洞信息很好的地方。另一個保護你自己的方法是只運行你需要的服務，如果你不需要某個服務，關掉它，如果你確實要使用某個服務，確保你的服務版本是最新的。要怎樣操作，請看這些文章：Armoring Solaris , Armoring Linux 或者Armoring NT. 上面知道，DNS服務器是經常被用來找尋IP數據庫的對象之一，你必須在你的名字服務器上限制區域傳送的操作，記錄任何未認證的區域傳輸並跟蹤他們。我強烈建議升級BIND到最新的版本，你可以在下面的地址找到：www.isc.org/bind.Html. 最後監視你被探測的系統，你可以跟蹤這些探測操作獲得更多對你網絡有威脅的舉動。 總結 Scritp kiddie會對所有系統有威脅，他們沒有任何偏愛，任何系統他們都挑，不計較地點和價值。不管怎樣，你遲早會被掃描到。通過了解他們的動機和方法，你可以很好的對付這些威脅而更好的保護你的系統。

總結 Scritp kiddie會對所有系統有威脅，他們沒有任何偏愛，任何系統他們都挑，不計較地點和價值。不管怎樣，你遲早會被掃描到。通過了解他們的動機和方法，你可以很好的對付這些威脅而更好的保護你的系統。