Posts for: #Translation

IDEO 和斯坦福 d.school 创始人 David Kelley 2024 年 9 月写给年轻创造者的一封信。摘自 Letters to a young creator。

大卫·凯利 加州·帕洛阿尔托　2024 年 9 月 13 日

致年轻的创造者们：

有三件事，只要做到了，就能走向一份有意义的事业——进而，走向一份有意义的人生。

一、找到自己的位置

你认识的人里，真正找到自己位置的有几个？我算是这世上最走运的人之一，因为我找到了。这件事不容易。多数人的经历都不够宽，没走到过能看清归属的那个地方。我找到自己位置的那天，还是个工程师——一个相当糟糕的工程师。但那天我第一次走进一间设计工作室，和那里的人聊过之后，我就知道：这才是我该干的事。

社会会逼你选——你得找份工作，而且还得是"对"的那一份：能让父母满意，能对得上社会期待。这些压力逼着你很快做出选择、再替它辩护。但"找到位置"的关键，是先搞清楚到底都有哪些选项。好消息是，一旦你真的体验过那种契合感，自己立刻就能分辨——你的直觉在这件事上非常准：“这是我吗？还是，这不是我？”

二、建立自信

对自己想法的自信，是一连串小小的成功堆出来的。我常说"计划被高估了"。什么时候动手做原型都不嫌早——一个想法冒出来十五秒，我就敢拿去给人看，一点不怵。想法脆弱的时候，你可以挑一个和你想法相近的人做第一或第二个听众。但紧接着，你要尽快拿给和你完全不同的人看。

假如我设计了一双新鞋，我可能先给一个做鞋设计的朋友看；下一个，也许是一个完全不穿鞋的人；再下一个，是一个穿鞋爬电线杆的人。去找极端——谁的视角跟你完全相反？然后，和他相反的那个人又是谁？几乎每一次，你都会把想法从极端拉回来，落在一个更到位、更合适的方案上。但你是从一个真正创新的位置拉回来的。这就是做"前所未有之物"的做法，不是造一个更好的小玩意。

很多人把自己的想法当宝贝。但想法本身不值钱——值钱的是好想法，而好想法难找。所以我测试一个想法很快，不行就立刻扔掉，换下一个。了解内情的人都知道，连乔布斯也有一堆烂点子——他只是下手很快，及时把它们毙了而已。我的自信来自把一件东西做十五遍、给人看十五遍。哪怕写一封邮件，对我来说也是正经事：我会来回改很多遍，拉一堆人帮我看。发出去的时候心里踏实，因为我知道这已经是我们能拿出的最好版本。

三、朝心的方向走

我承认——在心和钱之间，我偏心偏得很厉害。我也不敢说这就是对的。但请允许我说一句：等你到了我这个岁数，围坐着抽雪茄喝白兰地的时候（这是比喻，我两样都不碰），我有资格讲——我是这星球上最走运的那个人。我找到了一件每天都乐在其中的事。

而那些走了另一条路的人会说：“我赚了不少钱。我做了一份社会认可的工作，我养活了家。"——这些都合情合理。但我能从他们眼里看出来：他们多少希望，当年做的事能再多几分"心”，再乱一点、再糙一点。意义和乐趣，就在那里。

哪怕在现在这份工作里，你也能找到对你自己有意义的事。这事不容易，因为多数公司都有个毛病：它们在把问题交给你的时候，连解法也一并打包好了。你只做分内那份，就没什么让自己发光的空间。换种做法——告诉他们：“这是公司要的那个解。另外，这是我用自己的时间做的几个别的尝试。” 用"多交一份"的方式，把你真正想做的事做出来。意义不必去别处找，就在你当下所在的地方。

找到你的位置。找到你最好的想法。找到对你来说真正要紧的事。

大卫·凯利 IDEO 与斯坦福 d.school 创始人

本文是 Honeynet Project 的"了解你的敌人：统计"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

在过去的几年里，Honeynet Project已经收集和归档了backhat的活动信息，我们尽我们最大的能力来记录和捕获对Honeynet每一个探测，攻击，和使用。这些原始的数据有很高价值。我们重点会放在两个部分，第一，我们打算演示Blackhat团体是怎样活动的。不管你是谁，你是不安全的，我们的目标是让你认识到这些威胁的存在。其二，为了对一些早期警告和预报内容的进行测试，通过鉴别方法和倾向，可能预测在攻击发生之前的攻击和进行一定程度的对抗。我们使用Honeynet Project采集到的数据测试这种理论。

The Collected Data Honeynet Project维护着8个高度控制和完全监视的网络，我们收集和归档了2000年4月到2001年2月这段时期中网络的每一个攻击，Honeynet有8个IP地址组成，使用本地ISP提供的单一ISDN连接，这种连接类型类似与大多数家庭用户或者小型商业用户。实际上，Honeynet位于其中一Project成员空余的卧室中。在那段时期，Honeynet中存在3个系统，其中包括如下：Solaris Sparc, WinNT, Win98, 和 Linux Red Hat操作系统。

Honeynet网络是用来捕获数据的网络，是一些使用普通的网络操作系统，如：Red Hat Linux 或者 Windows NT并在默认下配置的情况下实现的。Honeynet既没有对企图来标榜Honeynet也没有企图来"引诱"攻击者。理论上来说这个站点只会有很少的活动迹象，就想我们没有广告任何服务和系统。

Honeynet数据有价值的地方是Honeynet减少了主动错误信息(false positives)和被动错误信息(false negatives)所产生的问题。主动错误信息(false positives)指的是当组织由于恶意活动而被通知警报时候，经检查其实没有任何事情发生，而当这个组织持续的被主动错误信息(false positives)所触发警报，他们开始忽略他们的警报系统和数据采集，导致警告系统人为的无效。举个例子，MAIL入侵探测系统警告管理员系统被攻击，可能是一般已知的攻击被探测到，但是，这个警告可能是由一封包含对这个已知漏洞的警告并包含了攻击者所需的源代码来通知管理员的邮件错误触发的，或者可能是网络监视通信程序SNMP或者ICMP错误触发的。主动错误信息(false positives)对于大多数组织机构来说是是一项持续的挑战。Honeynet通过不包含任何实际的产品通信所触发的信息来减少这个问题，即不安装任何相关应用产品。因为Honeynet网络没有实际用途，它只是为了捕获未授权的活动，这表示任何信息包的进入和离开Honeynet都很本能的认为是有嫌疑的(因为没有任何应用平台)，就简化了数据捕获和进程分析，减少主动错误信息(false positives)的产生.

被动错误信息(false negatives)是多数组织机构需要面对的另一项挑战，被动错误信息(false negatives)就是对于真实的恶意攻击者或者未授权活动检测失败。多数组织机构有适当的机制来检测攻击，如入侵检测系统，防火墙日志，系统日志和进程计帐。这些工具的目的是为了检测有可疑或者未授权活动，但是，其中有两个重要的问题会导致产生被动错误信息(false negatives)检测失败：数据负载过重和新的漏洞，数据负载过重是当组织机构捕获过多的数据，而没有全部被查看，因此攻击者被忽略过，如，多数组织机构记录G级别的防火墙或者系统活动信息，这样对与重新复查这些成吨的信息来鉴别可疑行为变的极其困难。第二个问题就是新型漏洞的攻击，而造成安全软件没有能力来检测这种个攻击。Honeynet通过绝对的捕获所有进出honeynet的信息来减少这种新型攻击产生的漏捕。记住：Honeynet里只有很少或者没有的相关应用平台和程序所产生的活动，这表示所有捕获的相关信息是有一定嫌疑的。即使我们漏捕最初始的攻击，我们仍然截获这个活动，如Honeynet中有2个系统在没有任何警告给Honeynet 管理员的情况下被入侵，我们没有探测到这次攻击知道被入侵的主机发起对外的连接，一旦这些尝试被我们探测到，我们就检查了所有捕获的活动信息来鉴定这个攻击：它是怎样成功的，为何我们漏捕了，通过这些研究，honeynet减少了被动错误信息(false negatives)所产生的问题.

对于有价值的数据的复查可以很明显的减少主动错误信息(false positives)和被动错误信息(false negatives)的产生。记住：下面我们所讨论的发现是特定我们的网络，这不意味着你的组织机构中会看到同样的模式或者行为，我们使用这个采集到的数据来演示部分blackhat的性质和早期警告和预测的可能性。

Analyzing the Past 当我们研究黑帽子团体的时候，Honeynet项目惊奇地看到黑帽子团体是如此的活跃。我们的发现是令人惊慌的。下面是我们对十一个月来所收集数据的一些统计。公布这些数据的目地是展示黑帽子团体的频繁活动。需要注意的是，这些统计信息只代表了一个没什么价值的小家庭网络，它没有对外广而告之并且没有试图引诱黑客。那些有很高名气和很大价值的大型组织机构极有可能被探测和攻击的次数多得多。

攻击后的分析：

• 从2000年4月到11月，7台默认安装的Red Hat 6.2服务器在它们被放上Internet的三天之内被攻击。基于此，我们估计一个默认安装的Red Hat 6.2服务器的预期生命少于72小时。当我们最后一次试图证实这个估计的时候，系统在八小时内就被攻破。一个系统最快在15分钟内就被入侵。这意味着系统在连上Internet的15分钟内就被扫描，探测和入侵。碰巧的是，这是我们在1999年3月建立的第一个蜜罐系统。

• 在2000年10月31日，我们放置了一个默认安装的Windows98系统，就象许多家庭和组织那样设置了共享。这个蜜罐系统在24小时之内就被入侵。在接下来的三天中又被入侵了四次。就是说在少于四天内它被成功地入侵了五次。在2000年5月，我们有了第一个全月的Snort入侵警告信息，Honeynet项目记录了157个Snort警告。在2001年2月，Honeynet项目记录了1398个Snort警告，表示了超过890%的增长。这些增长可能受到对Snort入侵检测系统配置文件修改的影响。然而，我们也从防火墙日志中看到了活动的增加。在2000年5月我们有了第一个全月的防火墙的警告信息，Honeynet项目防火墙记录了103个不同的扫描（不算上NetBios）。在2001年2月，Honeynet项目记录了206个不同的扫描（不算上NetBios）。这表示增加了100% 。这些数字表示了黑帽子活动的持续的增加，极有可能是因为更具攻击性的自动扫描工具的出现和它们能更容易地被得到。

• 在三十天内（2000年的9月20日-10月20日），Honeynet收到524个不同的NetBios的扫描，平均每天17个不同的扫描。

• 在2001年2月，一共对Honeynet有27次X86漏洞利用。X86意思是这些攻击被设计是对付Intel架构系统的。在这些攻击中，有8次是对Solaris Sparc系统的进行的。因为系统架构不兼容，这些漏洞利用对Sparc系统是无效的。这暗示了一些攻击者并不确认是什么操作系统或在其上运行了什么版本的服务。当他们发现了服务，他们甚至首先不确认系统是不是脆弱的，或者甚至是不是正确的系统类型。这种活动方式能使黑帽子在更短的时间内扫描和攻击更多的系统。

• 从2000年4月至今，除了通常的扫描外，最流行的探测方法是DNS版本查询，接下来的就是RPC服务的查询。

• 最流行的攻击是对Intel架构系统的rpc.statd溢出攻击。

• 最流行的扫描方法是对整个IP段对特定端口的SYN-FIN扫描（通常按先后顺序）。这反映了聚焦于单个脆弱性的策略，针对这个脆弱性扫描到尽可能多的系统。许多黑帽子只使用单个的工具，或只利用他们知道如何利用或最有效的漏洞。

**Predicting the Future

**Honeynet项目想要研究的一个方向是对系统攻击的前期预警，这样也可以给Honeynet搜集更多有价值的数据带来理论上的帮助。这些理论并不是非常新的，而且也有有些大公司在使用着，我们也希望我们的研究对这些公司及其它组织有所帮助。在详细地解释我们的方法之前，我想先声明：我们的研究还处于初始阶段，还有大量的数据分析工作需要进行。

OK，让我们开始吧……

• 我现在讨论的仅仅是一个独立的Honeynet，仅是提供单节点的、数据量不大的观察结果。下面所要提及的方法将会在世界各国更广阔的环境、有众多Honeynet的环境中测试。

• 我们并没有试图对由同一个攻击者发起的攻击作出识别，原因很简单，因为现在欺骗技术使用太广泛了。

• 我们的许多推测建立在一个攻击者总是首先扫描然后攻击服务器这个流程上。当然，有些情况下或许扫描与攻击这两个事件根本是偶然。但我们仍坚持上述的观点。

我们努力对攻击情况做出合理的预测，期间Honeynet的两位成员提出了两个不同的方法，但是最终发现他们的结果是大同小异的，几乎所有的入侵者都在他们实施真正攻击前的两到三天被发现。

**使用统计学原理对事件做预警[Statistical Process Controls(SPC)]: **

本文是 Honeynet Project 的"了解你的敌人：Honeynets"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

http://www.xfocus.net

在过去的几年中 Honeynet Project专注于对网络入侵者这一群体使用的各种工具、攻击策略及目的进行研究，并且分享我们的经验，这里我们使用的主要工具就是Honeynet。本文阐述了Honeynet究竟是什么、它对安全组织的价值、它的工作方式、会带来的风险、技术难题等等。我们将使用技术手段尝试自己去了解入侵者群体。同时我们希望这里讨论的这些技术可以帮助大家更好地构建Honeynet，更好了了解我们的敌人，我们也希望各种组织能够了解Honeynet的基本状况。

什么是Honeynet

Honeynet可以说是一个学习工具！它是一个专门设计来让人“攻陷”的网络，一旦被入侵者所攻破，入侵者的一切信息、工具等都将被用来分析学习。其想法与honeypot相似，但两者之间还是有些不同点的：honeypot也是一个用来让人攻击的网络，通常是用来诱骗入侵者的，通常情况下，honeypot会模拟某些常见的漏洞、摸拟其它操作系统或者是在某个系统上做了设置使其成为一台“牢笼”主机。比如The Deception Toolkit(下载), CyberCop Sting, 以及 Mantrap. 是一些脚本的集合，它模拟出了一些常的系统漏洞；CyberCop Sting运行于NT平台，它模拟出多个不同系统的IP堆栈及inetd服务。Mantrap则是将Solaris系统进行了一些设置，建立起了一些“牢笼主机”。毫无疑义，这些都是相当不错的想法，但在现在的环境下，它们有些不适合了，需要更多的改进。

Honeynet与传统意义上的honeypot有两个最大的不同点在于：

• 一个Honeynet是一个网络系统，而并非某台单一主机，这一网络系统是隐藏在防火墙后面的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可以对我们研究分析入侵者们使用的工具、方法及动机。在这个Honeynet中，我们可以使用各种不同的操作系统及设备，如Solaris, Linux, Windows NT, Cisco Switch, 等等。这样建立的网络环境看上去会更加真实可信，同时我们还有不同的系统平台上面运行着不同的服务，比如Linux的DNS server，Windows NT的webserver或者一个Solaris的FTP server，我们可以学习不同的工具以及不同的策略――或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而我们这种多样化的系统，就可能更多了揭示出他们的一些特性。

• 在Honeynet中的所有系统都是标准的机器，上面运行的都是真实完整的操作系统及应用程序――就象你在互联网上找到的系统一样。我们没有刻意地模拟某种环境或者故意地使系统不安全。在Honeynet里面找到的存在风险的系统，与在互联网上一些公司组织的毫无二致。你可以简单地把你的操作系统放到Honeynet中，并不会对整个网络造成影响。

我们的Honeynet ProjectIt使用的是在互联网上最常见到的操作系统，比如默认安装的Linux, Solaris, Windows98以及Windows NT，正因为我们使用的是最常见、普通的系统，我们的研究成果才会对大多数的互联网组织有实用意义。

Honeynet 的价值、法律相关事务

传统意义上的信息安全，一般都是防御性质的，比如防火墙、入侵检测系统、加密等等，它们都是用来保护我们的信息资产的，他们的策略是，先考虑系统可能出现哪些问题，然后对问题一一进行分析解决。而Honeynet希望做到的是改变这一思路，使其更具交互性――它的主要功能是用来学习了解敌人(入侵者)的思路、工具、目的。通过获取这些技能，互联网上的组织将会更好地理解他们所遇到的威胁，并且理解如何防止这些威胁。通过honeynet，组织可以在与入侵者的“游击战争”中获得最大的主动权。

例如，Honeynet能够收集的信息的主要来源之一是入侵者团体之间的通信，诸如IRC（Internet在线聊天系统）。入侵者经常在彼此之间自由交谈，揭示了他们的动机，目的，和行动。我们通过使用Honeynets，已经捕获了这些谈话内容，监控了他们之间说过的每一句话，我们甚至已经捕获了与攻击我们的系统有牵连的入侵者的实时录像。这使我们能够清楚地洞察入侵者们是如何针对特定系统以及他们攻击系统的能力。你可以参见Know Your Enemy: Motives中的例子。在这份文件中，我们追踪了把一个特殊的国家作为攻击目标的一组入侵者。经过三个周的时间，我们不仅了解了他们是如何把系统作为目标和如何攻击系统的，而且更重要的是，了解了他们这样做的原因。根据这种详细的信息，我们现在能够更好的理解和防护这种常见的威胁。

Honeynets也为组织提供了关于他们自己的安全风险和脆弱性的一些经验。Honeynets的内容涵盖了组织在其特定环境下系统和应用软件。公司或者组织可以通过对Honeynet的学习及使用，提高增强自己的能力。例如，某家公司可能想提供一个新的网络服务器，以便其网上支付系统。其操作系统和应用程序如果能够先在一Honeynet的中得到检验以识别任何未知的风险和脆弱性，将会在很大程度上提高其可靠程度。我们自己在Honeynet的工作平台上检验IDS、防火墙等过程中就得到了相当多的经验。

最后，一个Honeynet能够帮助一个组织发展它的事件响应能力。在过去的两年中，我们已经极大地提高了我们检测、响应、恢复、和分析受侵害系统的能力。根据这些经验，我们已经发表了两篇文章，就是 Know Your Enemy: Forensic Analysis 和 The Forensic Challenge 其中提到的一些技巧是：如果你发现了一个受到入侵的系统，你或许可以把它当成一个挑战，使用各种技术来捕获或者分析入侵者的行为并且不被他察觉。同时，你捕获的数据也可以存储在一个攻击特征库中，今后你如果在其它事件中发现类似的特征代码，你就可以轻易地判断出其攻击方式了。

但是这些方法在法律上遇上了一些麻烦

诱捕的问题：

诱捕是一个法律术语，用于执法人员诱使一个罪犯从事一项非法行为，否则他们可能不会从事该非法行为。我们不是执法部门，我们不是在执法部门的控制下行动，而且我们甚至没有起诉的意图，所以，我们不认为安装一个Honeynet是诱捕行为。其他人将争论说我们正在提供一个“吸引人的目标”，意味着我们把不可靠的系统置于网上，以诱使人们攻击他们，从而把他们作为攻击别人的手段来使用。这也是错误的，因为我们并没有通过任何方式来宣传这些系统。如果有人发现了我们的一个系统，损害了它，并且使用它作他们不应当做的事情，那是因为他们在主动地和有意地从事这种非授权的行为。

保密的问题：

而关于这些活动有一些道德上的和伦理上的问题（我们在内部一直在努力解决这些问题），最近由美国司法局，刑事庭，计算机犯罪和知识产权部门出版的Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations这本书中，提供了几个案例参考，受理上诉的法官裁定，反对对于在计算机入侵和欺骗的犯罪案件中，对侵犯隐私权进行辩护。包括下面一些问题：

• 入侵这些系统的人是未经授权的，如果他们把任何文件置于系统上（当他们没有合法的帐号或使用特权时），我们认为他们已经不能保有在我们系统上的隐私权。

• 通过使用我们的系统进行通信，他们就已经在通信中放弃了他们的隐私权。

• 我们不提供公用的帐号，所以我们不是一个服务供应商，不受为服务供应商所设计的保密要求的限制。

• 不管怎样，我们不是执法部门，我们也不是在执法部门的控制下行动，或甚至起诉入侵我们系统的入侵者，所以，我们不受证据收集规定的限制，而执法部门和他们的执法人员却要受到其限制。

• 即使我们真的目击了一起严重的计算机犯罪，并且决定告发它，我们收集日志和记录网络流量，将其作为一个“商业运营”的常规过程，如果我们决定告发的时候，我们可以自由地将其交给执法部门。

本文是 Honeynet Project 的"了解你的敌人：蠕虫战"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

这文章纯粹是在好奇的情况下产生的，我们的Honeynet的UDP端口137和TCP端口139被多次扫描，我们的网络中这种端口一天内居然被扫描5-10次，怀疑有一定原因。为了了解这些扫描的动机，我们设置了WIN98的honeypot，因为基于这些端口的系统一般上WIN系统，并做在那里等攻击者的操作，我们没有等很长时间，就有了这篇Know you Enemy系列的后续。

Windows上的honeypot

在一个月的时间内（2000/9/20-2000/10/20）我们确认在我们的网络"honeypot"遭受过524个基于NetBIOS扫描。这些扫描是基于UDP137端口（NetBIOS命名服务）的探测，有时伴随着基于TCP139端口（NetBIOS会话服务）。所有这些表明存在大量的针对特殊服务的扫描活动，某些事情正在发生，我们决定发现出了什么事。

我们的网络并没有在Internet做什么广告或者宣传，仅仅是放在那里。所有迹象表明这些我们接受到的扫描仅仅是随机扫描。但同样会威胁到你的系统的安全，由于这些扫描主要针对Windows系统，有可能主要瞄准通过DSL或Cable连接的普通家庭用户。我们不讨论间谍或主页被黑，我们在这里仅讨论一般家庭用户作为被攻击的对象。我们对这一切感到好奇：谁正在作这样的扫描？他们的意图是什么？为什么存在大量的这种扫描？协同探测的结果？是蠕虫吗？带着很多问题，我们决定去发现结果并放置了我们的Windows"honeypot"，我们缺省安装了一台Windows98并且使c:盘共享，尽管一台Windows98 “honeypot"听起来并没有多大的诱惑力，但是仍然可以通过建立这样的系统来获得我们所想知道的。

• 在Internet上有大量的Windows98系统，而且这个数量还在快速增长。作为具有代表性的系统，该系统存在大量的安全漏洞。但是作为家庭用户并没有认识到连接到Internet的风险性，他们中的大多数还是专注地连接Internet。

• 这是我们的第一个基于Microsoft的"honeypot”，该计划也非常简单并且希望学到一些东西。

在2000/10/31日，系统安装好，共享打开，并且连接到Internet，我们开始等待，等待时间是如此漫长。

第一条蠕虫

至少24小时后我们接待了我们的第一位访客。IP为216.191.92.10的系统(host-010.hsf.on.ca)扫描了我们的网络搜寻Windows系统，他发现了我们的"honeypot"并且开始查询它。一开始他尝试获得系统名并确定共享是否打开。一旦他发现共享打开，开始在我们的系统上探测某种二进制文件。他的目标是确定在我们的"honeypot"上是否安装了某种蠕虫，如果没有，就会安装它。在这里，这种蠕虫并没有被安装，这个蠕虫被确定为"Win32.Bymer Worm"。此蠕虫的目的在于利用占领的主机的CPU资源来帮助某人赢得distributed.net竞赛，distributed.net是一个提供利用分布式计算机空闲资源进行各种挑战（如 crack RC5-64）奖项的组织。如果赢得挑战将获得一些奖金，在这里，我们的访客通过安装蠕虫把我们当成"志愿军"来参加这个项目。

某个人（[email protected]），制作了这个可复制的蠕虫，它可以在不被怀疑的有漏洞的Windows系统上安装distributed.net客户端。一旦被安装且被执行，蠕虫就可以利用你的系统CPU资源帮助安装的人赢得奖金。期间蠕虫也会探测别的可能被入侵的系统，它的目标是获取更多的CPU资源，处理速度会随着入侵系统的增多而呈指数增长。让我们来看一下通过网络捕获的数据包（在这里我们使用snort）。为了更方便的分析NetBIOS协议，你需要一些协议分析器如Ethereal。这个过程通过sniffer追踪如下，IP为172.16.1.105的是我们"honeypot"的地址。

在一开始的时候，蠕虫在我们的系统上检查dnetc.ini，这是distributed.net客户端的标准配置文件，该配置文件告诉主服务器谁的CPU资源引该被信任。在这里我们通过跟踪远程系统（NetBIOS名称GHUNT，帐号GHUNT,域名HSFOPROV）的记录发现他拷贝这个文件到我们"honeypot"中。

11/01-15:29:18.580895 216.191.92.10:2900 -> 172.16.1.105:139

TCP TTL:112 TOS:0x0 ID:50235  DF

PA Seq: 0x12930C6   Ack: 0x66B7068   Win: 0x2185

00 00 00 5B FF 53 4D 42 2D 00 00 00 00 00 01 00  …[.SMB-…….

00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C  …………..W.

本文是 Honeynet Project 的"了解你的敌人"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

我的长官经常对我说：在敌人面前好很好的保护自己，你必须先了解敌人先。(孙子兵法：知己知彼，百战百胜)。这句军事用语现在也很好的应用于网络安全领域中了，就象作战一样，你要保护自己的资源，你需要知道谁是你最大的威胁和他们会怎样攻击。在这个系列中的第一篇文章，就是讨论一种很流行很广泛的来自Scritp Kiddie所使用的工具和方法，如果你或者你的组织有任何资源连接到Internet上，你就有此类的威胁。

Know Your Enemy文章主要是涉及到blackhatck团体使用的工具，策略和动机。而Know Your Enemy:II主要集中于你怎样能探测这些威胁，判断他们所使用的工具和他们在你系统上寻找什么样的漏洞。Know Your Enemy:III集中讨论攻击者获得ROOT后在系统上怎样操作，特别是他们是如何掩盖他们的踪迹和他们下一步主要干什么。Know Your Enemy: Forensics 涉及了你怎样分析一种攻击。Know Your Enemy: Motives 通过捕获black-hat团体之间的通信和联系来分析他们的动机和心理状态。Know Your Enemy: Worms at War 描述了WORM蠕虫是怎样自动攻击WINDOW系统的。

**什么叫Script Kiddie **

Script kiddie是一些专门找寻一些容易下手资源的人，他们不专门针对某种特定信息或者目标特定公司，他们的目标是尽可能的用最简单的方法获得ROOT，他们通过搜集一些公开的exploit信息并搜索整个Internet来找寻有这种exploit漏洞的资源，这样，不管怎样，总有某些人会被他们操作。

其中一些高级点的家伙会开发他们自己的工具，并留下一些复杂的后门，另外一些根本就不知道他们做什么，就知道怎样在命令行打"go"的人。忽略他们的技术水平不说，Script kiddie就是共享一些公共策略，随机搜索某个特殊漏洞并利用这个特殊漏洞的人。

** 他们形成的威胁在哪里？**

由于Script kiddie是随机选择目标，所以存在的威胁是你的系统迟早会被扫描到，我知道管理员很惊讶他们的系统在设置以后没几天也没有告诉任何人的时候就被扫描到了，其实这一点也不值得惊讶，因为Scritp kiddie一般是扫描一段网络来操作的。

如果扫描只能限制在几个独立的资源，你可能会很安心，因为Internet上千千万万的机器，扫描到你的机器的几率少之又少。但是，事实不是你想象的这样，目前多数工具能很方面的使用大范围扫描并广泛传播，任何人可以使用他们，使用这些工具的人数增长率呈现惊人的速率。Internet是一个无国界的区域，这种威胁就很快转播到世界各个地方，有这么多人使用这些工具，你被探测就不是问题了。

试图以含糊其词来搪塞你的安全问题会害了你:你或许会认为没有人知道你的系统，你就会安全，或者你认为你的系统没有价值，他们为何要探测你，其实这些系统正是scritp kiddies搜寻的目标–没有任何保护的系统，非常容易得手的系统。

** 具体方法讨论**

Scritp kiddie的方法很简单，扫描Internet有特定缺陷的系统，一但查找到，便对它下手，他们用的许多工具会自动操作，不需要很多的交互。你只要打开工具，然后过几天回来看看你的结果就可以了。没有两个工具是相同的就象没有两个漏洞是一样的，但是虽然如此，许多工具的策略是一样的，第一，开发要扫描的IP段，然后扫描这些IP段中特定的漏洞。

例如:我们假定一个用户有一个工具可以利用Linux系统上的imap漏洞，如imapd_exploit.c，开始，他们开发一IP数据库来扫描，一旦IP数据库构建好，用户会想判断系统是否运行LINUX系统。目前许多扫描器可以通过发送不正常的信息包到目标系统并查看他们如果响应便可很方便的判断操作系统，如Fyodor的nmap,然后，工具会判断LINUX系统是否运行着imap服务，最后就是利用imapd_exploit.c程序来进入系统了。

你会想所以这些扫描会有很大的动静，很容易引起注意，但是，很多人没有很好的监视他们的系统，并不认识到他们正被扫描，而且，许多script kiddies在查看他们所要利用的系统时也会保持相当的安静，一旦他们利用这个漏洞进入系统，他们就会使用这个系统作为跳板，并不带任何包袱的扫描整个系统，因为如果这种扫描被抓获，责任是系统管理员而不是那些script-kiddie.

所有这些扫描的结果经常被用来归档或者在其他用户中共享，以便在以后的日子里使用，如用户在最初为了某个漏洞扫描出来的LINUX系统开了那些端口的数据库后，过一点时间，一个新的漏洞被发现以后，用户可以不用重新构建或者扫描新的IP段，他可以很方便的来查看以前归档的数据库并来利用这个新发现的漏洞。其他变相的，用户可以交流或者买卖有漏洞系统的数据库。你可以看Know Your Enemy: Motives文章中的例子，这样造成scritp kiddie可以不扫描系统而破坏你的资源。

有些Black-hats会采用木马或者后门来种植在破坏的系统中，后门允许方便的随时的让攻击者来访问你的系统，而木马使入侵者难于被发现，这些技术可以让他们的操作不显示在任何LOG记录，系统进程或者文件结构上，他可以构建一个舒适安全的环境来扫描Internet，跟详细的信息请看:Know Your Enemy: III。

这些攻击没有限制在一天中的任何时间，许多管理员搜索他们的LOG记录来查询当晚发生了什么，并相信这是攻击者的攻击时间，其实script kiddies在任意时间进行攻击，他们一天24小时的进行扫描，你根本不能考虑到你什么时候会被探测到。而且由于Internet的无边界性，时间也就不确定了，攻击者当地在午夜在攻击，而你这里可能是在当地时间下午一点种。 以上对系统漏洞的扫描可以用于多种用途，近来，一种新的拒绝服务攻击–分布式拒绝服务攻击DDoS，就是攻击者一个人控制了很多台有漏洞的系统，他可以遥控这些控制的系统来共同对目标系统执行拒绝服务攻击。由于多个系统被使用，所以防卫和判断源攻击地也变的非常困难。要控制多个系统，Script kiddie的策略就变的很有用，有漏洞的系统随机被判断并用来作为DDOS的垫板，越多的系统被控制，DDOS攻击的强度就越大。如stacheldraht，要了解关于更多的分布式拒绝服务攻击和怎样保护自己，请查看Paul Ferguson站上的Denialinfo。

工具

这些工具一般使用起来很见大，许多工具一般只是几个选项来完成单个目标，开始工具用来构建IP数据库，这些工具很随机的扫描Internet，如一个工具有一个单一的选项，A，B和C，你可以选择一个字母来决定要扫描的网络大小，这工具然后就选择A，B，C相应的IP网络进行扫描。另一个工具使用域名如z0ne，这个工具通过对域名和子域名的区域传输操作来构造IP数据库，用户通过扫描整个.com或者.edu域来获得2百万或者更多的IP数据库，一旦发现这些IP，它们就被会被工具用户判断版本名字，操作系统，所运行的服务，如果发现系统有漏洞，black-hat就会马上进行攻击。要更好的理解这些工具，请看Know Your Enemy: Forensics。

**怎样防止这类威胁 **