主题:【原创】网络安全的故事(一) -- 代码ABC
这个帖子讲什么确实让我感到有点为难,倒不是有什么敏感技术的问题。网络上的黑客教程比我这个丰富多了。为难的原因是题目起得不好。在发生安全事件的时候,管理员的第一责任是保护自己的系统,切断攻击来源。而不是追踪黑客并把他/她干掉,因此像电影中双方比赛敲键盘,最后把对方机器烧掉的事情,在现实中是不会发生的。因此想把一个专业的技术问题讲成“故事”,基本上是给自己找不痛快。
管理员对付黑客的手段不是键盘,而是日志和备份。有人反对,不是还有防火墙;还有入侵检测系统;还有入侵保护系统;还有……是的,这些的确是有力的手段,但是这些东西都有一个大家很熟悉的免责条款——本产品的能阻止黑客的攻击,但是不保证所有黑客的攻击都能阻止,并且也不保证被阻止的都是黑客的攻击。所以倒霉的事情总有可能发生,为减少这些倒霉事可能带来的损失,备份是必要的。备份还可以对付其他意外事件,如火灾、水灾、地震、恐怖袭击(某安全教材摘录),总之备份是系统的第二条命,管理员的穿越工具,谁说这不是有力手段呢?
那么日志呢?日志是一切呈堂证据,管理员通过审核日志可以发现攻击事件,进一步发掘则可以了解黑客的操作手法,进而发现系统的漏洞,亡羊补牢。不过,在日志中发现攻击事实的时候,管理员总感觉被人当面扇了一巴掌。本人在2002年底就被人扇过一次,日志显示当时系统的来宾帐号(Guest)被升级为管理员帐号,同时在眼皮底下看着某人用这个账号登录服务器留下木马。为找出人家是怎么办到的,恢复系统后打开所有日志记录和网络监控,等了差不多48小时,当黑客第二次攻击时从记录下的攻击过程发现是微软SQL Server的漏洞,检查微软的安全公告牌,显示差不多半年前已经有一个对应的补丁。于是满怀羞愧地打上补丁。一个月后这世界上其他SQL Server管理员有大半都给扇了个满天星斗,那天一个利用SQL Server这个漏洞的蠕虫几乎将大半互联网给整趴下了。
回想起来,这算一件比较幸运的事情,第一有人提前了一个多月在我这里动了手脚,第二此人嚣张地在我面前演示了第二次,第三,也是最重要的,此人的攻击再日志中留下了明显的痕迹,所以同样是半吊子的我可以比较轻易地在日志中发现问题。不幸的是,当蠕虫大爆发的时候由于网络瘫痪,在外边看来我们的服务器还是和断了没什么区别。
对于黑客来说,渗透不是最难的事情,最难的是不留下痕迹。使用肉鸡就是其中一个重要手段(后面还要提到)。在手工审核日志的系统中,由于人工处理能力有个极限,更重要的人是有惰性的,所以这个问题不难解决。其次打开太多的日志记录会影响系统的性能,管理员的日志记录也不会太细。事实上,上述事件中我日常的日志只记录比较明显的安全事件,所以在第一次攻击后,我只知道被攻击了,并不清楚攻击的方式以及漏洞在哪。必须增加日志记录的细节,以及网络实时监控才了解攻击模式。因此一个简单的方法就可以骗过大多数管理员,就是使用大量虚假的攻击记录麻痹管理员,或饱和掉系统的日志记录,然后再实施真正的攻击。此乃三十六计中混水摸鱼和趁火打劫两计的网络版。
那么有没有自动分析日志,自动发现其中异常,自动报警并且能自动处理的设备呢?
答案是——有的。这就是入侵检测系统(IDS)和入侵保护系统(IPS),这些设备就像24小时在线的管理员,它们分析所有的网络通信,所有的系统操作,所有的用户操作,从中发现异常模式,并实时地进行处理,比如报警或切断攻击连接。事实上它们是专用的日志处理机器,其日志记录的细节要比一般的管理员打开的日志要更精细。当然这些设备价格非常昂贵,以至于大多数老板觉得还是找个半吊子的管理员更为合算。
所以,大家现在应该明白日志和备份才是保证网络安全的两大武器,像IDS和IPS不过是日志的升级版罢了。
嗯,这次租个吉祥物?
- 相关回复 上下关系8
🙂嗯,不错。下次试试航天飞机。 建筑师 字0 2011-07-07 06:32:05
😄人会问你要哪个版本的,价钱不一样耶。。。 赫然 字12 2011-07-06 06:50:48
🙂有段时间我的口头禅是 3 leafwind 字291 2011-07-02 21:47:05
🙂【原创】网络安全的故事(二)
🙂说的好啊,说的好 5 桃子甜 字343 2011-06-30 11:03:12
🙂关于国内黑客个人多说几句 69 freebsd 字848 2011-06-30 07:24:48
🙂对了,哪位大牛知道哪里能找到修改MBR的资料 土泡泡 字4 2011-07-07 21:21:23
🙂多少年前就重装系统也不行了吧! 失望透了 字35 2011-07-07 11:03:49