一般完整的攻擊過程都是先隱藏自身惦辛,在隱藏好自己后再進行預攻擊探測劳秋,檢測目標機器的各種屬性和具備的被攻擊條件,然后采取相應的攻擊方法進行破壞,達到自己的目的玻淑,之后攻擊者會刪除自己的行為日志嗽冒。
1 隱藏自己
常見的攻擊者隱藏自身的方式有以下幾種:
從已經(jīng)取得控制權(quán)的主機上通過telnet或rsh跳躍。
從windows主機上通過wingates等服務進行跳躍补履。
利用配置不當?shù)拇矸掌鬟M行跳躍添坊。
利用電話交換技術(shù)先通過撥號找尋并連入某臺主機,然后通過這臺主機再連入internet來跳躍箫锤。
2 預攻擊探測
? ? 這步的主要任務是收集有關(guān)要攻擊目標的有用的的信息贬蛙。這些信息包括目標計算機的硬件信息摩钙、目標計算機的用戶信息择示、存在的漏洞等。
? ? 通常是從已經(jīng)攻入的系統(tǒng)中的.rhosts和.netrc文件中將所列的機器挑選出來立肘,從系統(tǒng)的/etc/hosts文件中可以得到一個很全的主機列表馏臭。但大多數(shù)情況下野蝇,選定一個攻擊目標是一個比較盲目的過程,除非攻擊者有很明確的目的和動機括儒。攻擊者也可能找到dns表绕沈,通過dns可以知道機器名、ip地址帮寻、機器類型七冲、甚至還可以知道機器的主人和單位。
3 采取攻擊行為
? ? 在攻擊探測中如果攻擊者發(fā)現(xiàn)目標機器系統(tǒng)有可以被利用的漏洞或弱點规婆,則立即采取攻擊行為澜躺。在此過程中具體采用的攻擊行為要視目標機器系統(tǒng)而定,目前較流行的手段有暴力破解抒蚜、緩沖區(qū)益出掘鄙、跨站腳本、拒絕服務嗡髓、欺騙等操漠。
4 清除痕跡
? ? 攻擊者清除攻擊痕跡的方法主要是清除系統(tǒng)和服務日志。有些工具可以清除日志饿这,如THC提供的cleara.c浊伙。cleara.c可以清除utmp/utmpx,wtmp/wtmpx长捧,修復lastlog讓其仍然顯示該用戶的上次登陸信息嚣鄙。有時攻擊者會自己對日志文件進行修改,不同的unix版本的日志存儲位置不同串结。
