对于 Web 上托管的应用程序、Web 站点以及服务,其中相当一部分都会遭遇到意图实施某类攻击的黑客带来的破坏。简单地说,虽然 “攻击原因并不明显”,但是人们总是试图破坏、攻击、利用、修改、窃取或以其他方式干扰您的站点和应用程序。
遗憾的是,目前的 Internet 环境日趋复杂并且极不友好。如果有人试图破坏您的应用程序,需要考虑几个问题。基本上,攻击者拥有多个防御者不具备的有利条件。例如,攻击者拥有用于共享信息的完整基础设施,并具有组织和制造各种破坏的强烈愿望。主要的威胁是那些希望通过您的应用程序 “获得一些乐趣” 的恶意人员拥有无限的时间、金钱和资源。这些优势再加上缺乏基本的道德良知,进一步加剧了威胁。永远不要低估或忽视这些不良企图:这样将非常危险。
您成为攻击目标的可能性有多大?一项统计数字可以为您提供依据。根据应用程序的流行度,攻击幅度可以为一小时攻击几次至同一时间段内攻击数百甚至数千次。事实上,只要应用程序联网并公开给外部,那么就会立刻成为攻击目标或攻击未遂的目标。一般来说,公开给 Internet 的托管应用程序每周会遭受 400,000 次以上的各种(不同程度的)攻击。
无论您是否为攻击目标,为保证安全,都应该认识到自己可能成为目标。谨记如果服务或应用程序放置在 Internet 上,那么就存在一定危险。您所托管的应用程序或站点的类型也在很大程度上影响所遭受的攻击的类型和频率。例如,如果托管联机数据库应用程序或电子商务站点,则一定会成为攻击者的目标。如果您托管的是 blog,则不太可能成为攻击的主要目标(除非您的 blog 十分受欢迎)。
本篇文章关注较流行的攻击和攻击者的类型,帮助您了解攻击的实现原理,以便了解它们如何影响您的组织。
攻击者:脚本 kiddy 和有组织的犯罪组织面临的大多数攻击包括随机、无组织的攻击和有组织的、有针对性的攻击 —— 两者往往都是自动进行的。自动完成的攻击具有不同的复杂性,有的攻击直接针对目标或根据时机乘虚而入,更多的一种情况是通过一些系统实施攻击,但是这些系统甚至不知道自己被用作攻击的工具。至于在这类攻击中牵涉到多少系统,无法做出肯定的估测,但是已经发现被利用的系统涉及所有领域 —— 包括小公司或大型企业。
这些攻击由谁来实现呢?大多数情况下,这些自动进行的攻击由黑客社区中技能水平最低的人来实施 —— 即所谓的 脚本 kiddy。脚本 kiddy 通常在黑客社区中并不具备较高的知识水平,但这并不意味他们不危险。当脚本 kiddy 启动一个攻击,他们通常不了解这种行为的后果,如潜在地破坏系统或无意识地执行拒绝服务攻击(DoS)。这类人通常为一些网络新手,他们发现扫描程序或密码破解器(password cracker)等新的应用程序,并针对比较大的目标运行这些应用程序以寻求一些 “有趣” 的结果,这些攻击常常来自学院或大学的校内网并指向 “外界” 目标。
脚本 kiddy 启动的攻击表面看起来像是有组织的团体或犯罪组织。在某些情况下,脚本 kiddy 本身就是有组织的犯罪组织的成员,或其他企图获得金钱收益或进行恐怖活动的组织的成员。他们甚至出现在一些边缘群体中,如黑客主义。
定义黑客主义 使用 Web 破坏和拒绝服务攻击等黑客技术对具有政治色彩的目标进行攻击。
脚本 kiddy 揭秘在考虑脚本 kiddy 的威胁时,应该谨慎考虑可能的攻击目标,这一信息可以为保护您或您的组织提供重要帮助。总的来说,根据他们的技术经验,他们的目标通常很简单:使用最快最简单的技术获得对单个或一组系统的控制。此外,脚本 kiddy 通常根据访问的难易程度来选择目标,而不考虑系统的相对重要性,甚至不考虑系统是否易于遭到破坏或攻击导致的其他不稳定性。
以下是脚本 kiddy 经常使用的攻击过程:
- 构建一个当前在线并且可访问的系统数据库。 攻击者可能使用多种免费软件工具(如 Angry IP scanner 或 Nmap)执行一个简单的 ping 扫描,以获得一个列表。
- 扫描发现的每个系统,发现漏洞并利用该漏洞。攻击者可以使用 Nessus 和其他多种工具执行扫描。
- 获得系统控制。根据实际漏洞的不同,该步骤可以通过多种方式来实现。
- 隐藏证据。在该步骤中,脚本 kiddy 将使用一项技术掩饰其踪迹或渗透行为的证据。但是在大多数情况下,脚本 kiddy 不执行该步骤。
- 修改系统。该步骤通常包括替换核心系统文件或更改系统配置。脚本 kiddy 通常使用一些自动化工具来完成该步骤。
- 享受成果。系统被破坏后,攻击者将实施以下任一步骤 —— 收集数据或破坏另一个系统。
定义rootkit 是一个或一组程序,隐藏在用户系统上,为系统外的人员提供管理控制。Rootkit 将隐藏它们的组件并通过更改日志文件和清除其他有意义的标记来破坏踪迹,这样管理员就无法使用这些信息发现某个系统受到了攻击。
在阅读该过程时要注意,尽管这些步骤看上去很复杂,但脚本 kiddy 很可能使用自动化工具执行这些任务。Internet 上存在大量执行这些任务的工具,可以轻松下载并运行。可用的工具包括任何用于替换文件、启用系统远程控制、跟踪系统行为的工具,甚至极其危险的 rootkit。
考虑到某些情况下,脚本 kiddy 可能将结果或行为发布到新闻组或 blog,让其他人了解如何进行攻击以及攻击的目标,进而使您成为更多人的攻击目标。系统被破坏后,攻击者可以挑选 “菜单” 中的任何行为,其中包括攻击其他系统或将工具放置在系统上,伺机获取重要数据。
这些人可能实现哪种类型的攻击呢?在大多数情况下,该级别的攻击者将尝试实现最简单的攻击:更改 Web 站点 —— 通常称为 破坏(defacement)。这样做的动机可能多种多样。破坏 Web 站点的原因可能纯粹是为了赢得其他人的 “倾慕”,或者出于对以前雇主的怨恨。很少有攻击是为了敲诈或骗取公司财产。 |
