一般完整的攻擊過程都是先隱藏自身,在隱藏好自己後再進行預攻擊探測,檢測目標機器的各種屬性和具備的被攻擊條件,然後採取相應的攻擊方法進行破壞,達到自己的目的,之後攻擊者會刪除自己的行為日誌。 1 隱藏自己常見的攻擊者隱藏自身的方式有以下幾種:
從已經取得控制權的主機上透過telnet或rsh跳躍。
從windows主機上透過wingates等服務進行跳躍。
利用配置不當的代理伺服器進行跳躍。
利用電話交換技術先透過撥號找尋並連入某臺主機,然後透過這臺主機再連入internet來跳躍。
2 預攻擊探測
這步的主要任務是收集有關要攻擊目標的有用的的資訊。這些資訊包括目標計算機的硬體資訊、目標計算機的使用者資訊、存在的漏洞等。
通常是從已經攻入的系統中的.rhosts和.netrc檔案中將所列的機器挑選出來,從系統的/etc/hosts檔案中可以得到一個很全的主機列表。但大多數情況下,選定一個攻擊目標是一個比較盲目的過程,除非攻擊者有很明確的目的和動機。攻擊者也可能找到dns表,透過dns可以知道機器名、ip地址、機器型別、甚至還可以知道機器的主人和單位。
3 採取攻擊行為
在攻擊探測中如果攻擊者發現目標機器系統有可以被利用的漏洞或弱點,則立即採取攻擊行為。在此過程中具體採用的攻擊行為要視目標機器系統而定,目前較流行的手段有暴力破解、緩衝區益出、跨站指令碼、拒絕服務、欺騙等。
4 清除痕跡
攻擊者清除攻擊痕跡的方法主要是清除系統和服務日誌。有些工具可以清除日誌,如THC提供的cleara.c。cleara.c可以清除utmp/utmpx,wtmp/wtmpx,修復lastlog讓其仍然顯示該使用者的上次登陸資訊。有時攻擊者會自己對日誌檔案進行修改,不同的unix版本的日誌儲存位置不同
一般完整的攻擊過程都是先隱藏自身,在隱藏好自己後再進行預攻擊探測,檢測目標機器的各種屬性和具備的被攻擊條件,然後採取相應的攻擊方法進行破壞,達到自己的目的,之後攻擊者會刪除自己的行為日誌。 1 隱藏自己常見的攻擊者隱藏自身的方式有以下幾種:
從已經取得控制權的主機上透過telnet或rsh跳躍。
從windows主機上透過wingates等服務進行跳躍。
利用配置不當的代理伺服器進行跳躍。
利用電話交換技術先透過撥號找尋並連入某臺主機,然後透過這臺主機再連入internet來跳躍。
2 預攻擊探測
這步的主要任務是收集有關要攻擊目標的有用的的資訊。這些資訊包括目標計算機的硬體資訊、目標計算機的使用者資訊、存在的漏洞等。
通常是從已經攻入的系統中的.rhosts和.netrc檔案中將所列的機器挑選出來,從系統的/etc/hosts檔案中可以得到一個很全的主機列表。但大多數情況下,選定一個攻擊目標是一個比較盲目的過程,除非攻擊者有很明確的目的和動機。攻擊者也可能找到dns表,透過dns可以知道機器名、ip地址、機器型別、甚至還可以知道機器的主人和單位。
3 採取攻擊行為
在攻擊探測中如果攻擊者發現目標機器系統有可以被利用的漏洞或弱點,則立即採取攻擊行為。在此過程中具體採用的攻擊行為要視目標機器系統而定,目前較流行的手段有暴力破解、緩衝區益出、跨站指令碼、拒絕服務、欺騙等。
4 清除痕跡
攻擊者清除攻擊痕跡的方法主要是清除系統和服務日誌。有些工具可以清除日誌,如THC提供的cleara.c。cleara.c可以清除utmp/utmpx,wtmp/wtmpx,修復lastlog讓其仍然顯示該使用者的上次登陸資訊。有時攻擊者會自己對日誌檔案進行修改,不同的unix版本的日誌儲存位置不同