什么是远程攻击？

远 程 攻 击

⒈什么是远程攻击？
    一个远程攻击是这样一种攻击，其攻击对象是攻击者还无法控制的计算机；也可以说，远程攻击是一种专门攻击除攻击者自己计算机以外

的计算机（无论被攻击的计算机和攻击者位于同一子网还是有千里之遥）。“远程 计算机”此名词最确切的定义是：“一台远程计算机是这样

一台机器，它不是你正在其上工作的平台，而是能利用某协议通过Internet网或任何其他网络介质被使用的计算机”。

⒉第一步
    进行远程攻击的第一步并不需要和攻击目标进行密切地接触（换句话说，如果入侵者聪明的话，那第一步可以不要）。入侵者的第一个任

务（在识别出目标机及其所在的网络的类型后）是决定他要对付谁。此类信息的获得毋需干扰目标的正常工作（假设目标没有安装防火墙。因

为大部分的网络都没有安装防火墙，长期以来一直如此）。此类的某些信息可通过下面的技术获得：
    运行一个查询命令host。通过此命令，入侵者可获得保存在目标域服务器中的所有信息。其查询结果所含信息量的多少主要依靠于网络的

大小和结构。
    WHOIS查询。此查询的方法可识别出技术管理人员。这类信息也被认为是无用的。实际上不然。因为通常技术管理人员需要参与目标网的日

常管理工作，所以这些人的电子邮件地址会有些价值（而且同时使用host和WHOIS查询有助于你判断目标是一个实实在在的系统还是一个页结点

，或是由另一个服务形成的虚拟的域等等）。
    运行一些Usenet和WEB查询。在入侵者和目标进行实际接触之前，他还有许多查询工作要做。其中之一就是查询某位技术管理人员的名字信

息（使用强制的、区分大小写的、完全匹配用的条件查询）。通过些查询入侵者可了解这些系统管理员和技术管理员是否经常上Usenet。同样

，也可在所有可用的安全邮件列表的可查询集合中查询他们的地址。
    “你应该如何做呢？首先试着收集目标的信息。有许多网络服务可于此目的，finger、showmount和rpcinfo都是好的起点。但不要停滞于

此，你还能利用DNS、Whois、Sendmail(smtp)、ftp、uucp和其他的可用的各种服务。”
    收集系统管理员的相关信息是最为重要的。系统管理员的职责是维护站点的安全，当他们遇到各种问题时，许多管理员会迫不及待地将这

些问题发到Usenet或邮件列表上以寻求答案。
    只要肯花一定时间来寻找此系统管理员的地址（和其他的一些信息），你便能彻底地了解他的网络、他的安全概念以及他的个性。因为发

出这种邮件的系统管理员总会指明他们的组织结构、网络的拓朴结构和他们面临的问题。
    注意：对Windows NT网络进行攻击却截然不同。你必须一直跟踪每台机器上的根帐号（或者说系统管理员帐号）。因为NT并未设计出su等

命令，用以完面只有根帐号才能完成的任务。而且NT上系统管理员帐号和UNIX上的根帐号有着极大的差异。
    因为不直接被使用根帐号，所以系统管理员的ID可为任何字符串。让我们假设你知道那个 ID:walrus。进一步假设通过host查询命令，你

得到了150台计算机的有关信息，其中包括每台计算机的名字。例如，他们可以是mail.victim.net、news.victim.net、shell.victim.net、
cgi.victim.net等等（尽管在实践中，它们可能会有“主题”名，从而使外人不知道某台机器负担何种工作，如sabertooth.victim.net、

bengal.victim.net等）。
    入侵者应该在每台机器上试一试管理员的地址。例如，他会试一试walrus@shell.victim.net，walrus@sabertooth.victim.net
等。换句话说，除了在网络的每台计算机上尝试管理员的地址，还要在每台计算机上尝试所有的具有普遍性的东西。也许可以发现walrus喜欢

用的计算机，所在信件都是从这台计算机邮出的。
    请注意，如果目标是一个服务提供者（或者允许用户对它进行合法访问的系统），那么通过观察系统管理员从哪进入系统能获得此管理员

的更多信息。一般从外部联合使用finger和rusers命令即可获得这些信息。换句话说，你要一直留意外部网（除目标网以外的网，在这些网络

上那个系统管理有一些帐号），如果他最近的一次登录是在Netcom，跟踪他在Netcom帐号一天左右，看看会发生什么。

⒊关于finger查询
    finger很可能暴露你的行为，为了避免finger查询产生标记，绝大多数入侵者使用finger gateways（finger网关）。finger网关是一些

WEB主页，通常包含了一个简单的输入框（field），此框指向在远地服务器硬盘上的一个CGI程序。此远程服务器执行finger查询。
    下面提供了此类finger网关的一个例子
http://www.hgp.med.umich.edu/cgi-bin/finger
通过finger网关的使用，入侵者能隐藏其源地址。

⒋操作系统
    也许你已经使用了各种方法（包括在上文中所提及的方法和另外一些方法）来识别在目标网络上使用的操作系统的类型的版本。无论如何

，一旦判断出目标网络上的操作系统和结构是多样的，下一步的研究工作就可以进行了。首先作一张表，列出每个操作系统和机器的类型（这

张表对于你进一步进行研究有极大地帮助），然后对每个平台进行研究并找出它们中的漏洞。
    知道操作系统后可到如下地址查找相关的安全报告：
http://info.arc.com/sec_bull/sec_bullsearch.html

⒌进行测试
    实际上只有那些对入侵极热衷的入侵者才会做攻击过程中测试部分。大部分的入侵者并不想尝试这种行为，因为这需要一定的费用。然而

我却推荐入侵者不要跳过此步骤。
    在此步骤中，首先要建立一个和目标一样的环境。一旦将此环境建立起来后，你就可对它进行一系列的攻击。在此过程中，有两件事需要

注意：
    从攻击方来看这些攻击行为看上去像什么
    从受攻击方来看这些攻击行为看上去像什么
    通过检查攻击方的日志文件，入侵者能大致了解对一个几乎没有保护措施的目标进行攻击时攻击行为看上去像什么（目标没有保护措施是

指目标机上没有运行传统的守护程序）。这能给入侵者提供一些提示；如果真正的攻击行为和实验结果不一致，那么一定存在着某些原因。一

台相同配置的机器（或者，我应说成一台配置明显一致的机器）在相同的攻击下应产生相同的反应。如果结果并非如此，那说明管理目标机的

人暗中已有了应急计划。在这种情况下，入侵者应谨慎行动。
    通过检查被攻击方的日志，入侵者可了解攻击过程中留下的“痕迹”看上去像什么。这对入侵者来说很重要。在一个异构系统中，存在着

不同的日志过程。入侵至少应该知道这些日志过程是什么，换句话说，他需要了解保存入侵“痕迹”的每个文件（在相同配置的计算机上）。

这些信息是至关重要的，并具有指导作用：它能告诉入侵者删除哪些文件来毁灭其入侵的证据。找到这些文件的唯一方法就是在自己控制的环

境中进行测试并检查日志。

⒍和漏洞及其他重要特征有关的各种工具
    紧接着，你收集各种实际使用的工具，这些工具最有可能是一些扫描工具。你应该至少判断出目标网上的所有设备。基于你对操作系统的

分析（和其他我曾在本章里提到过的各种软件），你需要对你的工具进行评估以判断有哪些漏洞和区域它们没有覆盖到。
    只用一个工具而不用另一个工具就可覆盖某特定设备的情况下，最好还是同时使用这两个工具。这些工具的联合使用是否方便主要依赖于

这些工具是否能简易地作为外部模块附加到一个扫描工具上，如SATAN或SAFESuite。在此测试变行极为有价值，因为在多数情况下。附加一个

外部模块并让它正常地工作并不那么简单。为了得到这些工具工作的确切结果，最好先在某台机器上进行实验（这台机器甚至可和目标机不同

）。这是因为。我们想知道是否会由于加上两个或多个单独设计的模块而使扫描工具的工作突然被中断或失败。记住实际的扫描攻击过程只能

一气呵成，如果中间被打断，那你不会有第二次机会。于是，根据你想在目标机上得到的东西，你可挑选一些合适的工具。在某些情况下，这

是一件轻松的事。例如，也许你已经知道在目标系统上的某人正通过网络运行着一些X窗口系统的应用软件。在此种情况下，如果你搜索Xhost

的漏洞，一定能有所收获。
    记住使用扫描工具是一种激烈的解决方案。它等于是在大白天拿着棍冲到某户人家，去试着撬所有的门和窗。只要此系统的管理员适度地

涉猎过一些安全话题，那你的行为在他面前会暴露无疑。

⒎形成一个攻击策略
    在Internet漫游过程中攻击这台或那台服务器的日子基本上已经过去。多年前，只要系统没有遭到破坏，突破系统安全的行为办被看用一

种轻微的越界行为。如今，形势则大不相同。今天，数据的价值成为了谈论的焦点。因此作为现代入侵者，没有任何理由就实施入侵是很不明

智的。反过来，只有制定了一个特定计划再开始进入入侵才是明智之举。
    你的攻击策略主要依赖于你所想要完成的。我们假设你手边的任务基本上就是攻破某系统的安全措施。如果这是你的计划，那么你需要计

划如何完成此次攻击。扫描时间花得越长（越多的机器被涉及在内），越有可能被发现；同时越多的扫描数据需要你筛选，而基于这些扫描数

据进行的攻击需花费的时间越长。我曾经提过，扫描的攻击的时间越短越好。
    因此一些事变行很明显（或理所应当）了，一旦通过收集到的数据你判断出网络的某部分和整个网络是通过路由器、交换机、桥或其他设

备分隔的，那么你可能应该把它排除在被扫描的对象之外。毕竟攻破这些系统而获得的收益可能微乎其微。假定你获得此网段上的某系统的根

权限，你想你能得到什么呢？你能轻松地穿过路由器、桥或交换机吗？恐怕不能！因此，Sniffing只能提供此网段上其他计算机的相关信息，

欺骗方法也只能对此网段内的机器有效。因为你所想要的一个主系统上（或者是一个可用的最大网段）的根权限，所以对一个更小、更安全的

网络进行扫描不可能获得很大的好处。
    注意：当然，如果这些机器（无论是何种原因）碰巧是那些唯一不受保护的机器，那就应该采取一切可能的方法攻击它们（除非它们真的

毫无价值）。例如，通常会把一个web服务器放在网络防火墙之外或使其成为唯一一台可从外面访问的机器。除非行为的目的是为了入侵此web

服务器（并带给此web服务器的管理者一些有限的、公共的麻烦），否则不要去骚扰它。这些机器都是作为典型的牺牲物－－那系统管理员已经

估计到此机器会被远程攻击成功地攻陷，因此此计算机的硬盘上除了主页外几乎没有其他数据可用。
    无论如何，一旦你确定了扫描的参数，就可以开始行动了。

⒏关于扫描的时间
    关于这个问题，没有确切的答案。如果你真地想进行扫描，我想在目标机所处地区的深夜时间较好。
扫描结束后
    当你完成扫描后，你便可以开始分析这些数据了。首先你应考虑通过此方法得到的信息是否可靠（可靠度，在某种程度上可通过在类似的

环境中进行的扫描实验得。）然后再进行分析，由扫描获得的数据不同则分析过程也不同。在SATAN中的文档对此能给你极大地帮助。这些文档

（一些关于漏洞的说明）是简短的，但直接而富有指导性。
    如果得到了某个漏洞，你就应该重新参考那些通过搜索BUGTRAQ和其他可用资源而建立起来的数据库信息。
    主要的一点是，没有任何方法能使一个新手在一夜之间变成一位有经验的系统管理员或入侵者。这是残酷的事实。在你真正理解了攻击的

本质和什么应从攻击中剔除之前，你可能要花上数个星期来研究源码、漏洞、某特定操作系统和其他信息。这些是不可逾越的。在攻击中经验

是无法替代的，耐心也是无法替代的。如果你缺乏上述任何一个特点，那就忘记进攻吧。
    这是此处的重要一点。无论是像Kevin Mitnik（入侵者）这种人还是像Weitse Venema（黑客）这种人，他们几乎没有区别。他们的工作和

成果一直是新闻杂志和网上论坛上谈论的焦点。他们是计算机安全领域内的著名人士（在某些情况下，甚至远远超过）。然而他们的成果（无

论是好是坏）都来自于艰苦的工作、学习、天赋、思想、想象和自我专研。此因，防火墙无法挽救一个不能熟练使用它的系统管理员；同样，

SATAN也无法帮助一个刚出道的入侵者攻破远程目标的保护。

⒐小结
    远程攻击变得越来越普遍。玻正如在前几章中所讨论的，扫描工具的运用已被更多的普遍用户所掌握。类似的，可查询的安全漏洞索引的

大量增加也极大地促进了人们识别可能的安全问题的能力。
    一些人认为这些信息的自由共享是使Intenet处于差的安全状态的原因。其实这种想法是不对的。相反，系统管理员应该利用这些可用的公

共信息。他们应该从技术的角度在他们自己的网络上执行信息中描述的过程。这既不费时又不费钱。
攻击特定操作系统的特定方法也超出了本书的范围，主要是因为要写的实在太多。进一步说，一个经过很好计划和可怕的远程攻击，并不是那

些仓促行事的黑客做到的，只有那些对系统有着深刻了解的人才能办到。这些人很镇定并且对TCP/IP有着极深地了解（尽管了解的途径可能不

怎么正式）。正是因为这个原因，入侵者们应对自己走上这条可怕的路而感到羞愧。