Translation on Luca's Blog

了解你的敌人：统计

Wed, 25 Jul 2001 00:00:00 +0800

本文是 Honeynet Project 的"了解你的敌人：统计"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

在过去的几年里，Honeynet Project已经收集和归档了backhat的活动信息，我们尽我们最大的能力来记录和捕获对Honeynet每一个探测，攻击，和使用。这些原始的数据有很高价值。我们重点会放在两个部分，第一，我们打算演示Blackhat团体是怎样活动的。不管你是谁，你是不安全的，我们的目标是让你认识到这些威胁的存在。其二，为了对一些早期警告和预报内容的进行测试，通过鉴别方法和倾向，可能预测在攻击发生之前的攻击和进行一定程度的对抗。我们使用Honeynet Project采集到的数据测试这种理论。

The Collected Data Honeynet Project维护着8个高度控制和完全监视的网络，我们收集和归档了2000年4月到2001年2月这段时期中网络的每一个攻击，Honeynet有8个IP地址组成，使用本地ISP提供的单一ISDN连接，这种连接类型类似与大多数家庭用户或者小型商业用户。实际上，Honeynet位于其中一Project成员空余的卧室中。在那段时期，Honeynet中存在3个系统，其中包括如下：Solaris Sparc, WinNT, Win98, 和 Linux Red Hat操作系统。

Honeynet网络是用来捕获数据的网络，是一些使用普通的网络操作系统，如：Red Hat Linux 或者 Windows NT并在默认下配置的情况下实现的。Honeynet既没有对企图来标榜Honeynet也没有企图来"引诱"攻击者。理论上来说这个站点只会有很少的活动迹象，就想我们没有广告任何服务和系统。

Honeynet数据有价值的地方是Honeynet减少了主动错误信息(false positives)和被动错误信息(false negatives)所产生的问题。主动错误信息(false positives)指的是当组织由于恶意活动而被通知警报时候，经检查其实没有任何事情发生，而当这个组织持续的被主动错误信息(false positives)所触发警报，他们开始忽略他们的警报系统和数据采集，导致警告系统人为的无效。举个例子，MAIL入侵探测系统警告管理员系统被攻击，可能是一般已知的攻击被探测到，但是，这个警告可能是由一封包含对这个已知漏洞的警告并包含了攻击者所需的源代码来通知管理员的邮件错误触发的，或者可能是网络监视通信程序SNMP或者ICMP错误触发的。主动错误信息(false positives)对于大多数组织机构来说是是一项持续的挑战。Honeynet通过不包含任何实际的产品通信所触发的信息来减少这个问题，即不安装任何相关应用产品。因为Honeynet网络没有实际用途，它只是为了捕获未授权的活动，这表示任何信息包的进入和离开Honeynet都很本能的认为是有嫌疑的(因为没有任何应用平台)，就简化了数据捕获和进程分析，减少主动错误信息(false positives)的产生.

被动错误信息(false negatives)是多数组织机构需要面对的另一项挑战，被动错误信息(false negatives)就是对于真实的恶意攻击者或者未授权活动检测失败。多数组织机构有适当的机制来检测攻击，如入侵检测系统，防火墙日志，系统日志和进程计帐。这些工具的目的是为了检测有可疑或者未授权活动，但是，其中有两个重要的问题会导致产生被动错误信息(false negatives)检测失败：数据负载过重和新的漏洞，数据负载过重是当组织机构捕获过多的数据，而没有全部被查看，因此攻击者被忽略过，如，多数组织机构记录G级别的防火墙或者系统活动信息，这样对与重新复查这些成吨的信息来鉴别可疑行为变的极其困难。第二个问题就是新型漏洞的攻击，而造成安全软件没有能力来检测这种个攻击。Honeynet通过绝对的捕获所有进出honeynet的信息来减少这种新型攻击产生的漏捕。记住：Honeynet里只有很少或者没有的相关应用平台和程序所产生的活动，这表示所有捕获的相关信息是有一定嫌疑的。即使我们漏捕最初始的攻击，我们仍然截获这个活动，如Honeynet中有2个系统在没有任何警告给Honeynet 管理员的情况下被入侵，我们没有探测到这次攻击知道被入侵的主机发起对外的连接，一旦这些尝试被我们探测到，我们就检查了所有捕获的活动信息来鉴定这个攻击：它是怎样成功的，为何我们漏捕了，通过这些研究，honeynet减少了被动错误信息(false negatives)所产生的问题.

对于有价值的数据的复查可以很明显的减少主动错误信息(false positives)和被动错误信息(false negatives)的产生。记住：下面我们所讨论的发现是特定我们的网络，这不意味着你的组织机构中会看到同样的模式或者行为，我们使用这个采集到的数据来演示部分blackhat的性质和早期警告和预测的可能性。

Analyzing the Past 当我们研究黑帽子团体的时候，Honeynet项目惊奇地看到黑帽子团体是如此的活跃。我们的发现是令人惊慌的。下面是我们对十一个月来所收集数据的一些统计。公布这些数据的目地是展示黑帽子团体的频繁活动。需要注意的是，这些统计信息只代表了一个没什么价值的小家庭网络，它没有对外广而告之并且没有试图引诱黑客。那些有很高名气和很大价值的大型组织机构极有可能被探测和攻击的次数多得多。

攻击后的分析：

从2000年4月到11月，7台默认安装的Red Hat 6.2服务器在它们被放上Internet的三天之内被攻击。基于此，我们估计一个默认安装的Red Hat 6.2服务器的预期生命少于72小时。当我们最后一次试图证实这个估计的时候，系统在八小时内就被攻破。一个系统最快在15分钟内就被入侵。这意味着系统在连上Internet的15分钟内就被扫描，探测和入侵。碰巧的是，这是我们在1999年3月建立的第一个蜜罐系统。
在2000年10月31日，我们放置了一个默认安装的Windows98系统，就象许多家庭和组织那样设置了共享。这个蜜罐系统在24小时之内就被入侵。在接下来的三天中又被入侵了四次。就是说在少于四天内它被成功地入侵了五次。在2000年5月，我们有了第一个全月的Snort入侵警告信息，Honeynet项目记录了157个Snort警告。在2001年2月，Honeynet项目记录了1398个Snort警告，表示了超过890%的增长。这些增长可能受到对Snort入侵检测系统配置文件修改的影响。然而，我们也从防火墙日志中看到了活动的增加。在2000年5月我们有了第一个全月的防火墙的警告信息，Honeynet项目防火墙记录了103个不同的扫描（不算上NetBios）。在2001年2月，Honeynet项目记录了206个不同的扫描（不算上NetBios）。这表示增加了100% 。这些数字表示了黑帽子活动的持续的增加，极有可能是因为更具攻击性的自动扫描工具的出现和它们能更容易地被得到。
在三十天内（2000年的9月20日-10月20日），Honeynet收到524个不同的NetBios的扫描，平均每天17个不同的扫描。
在2001年2月，一共对Honeynet有27次X86漏洞利用。X86意思是这些攻击被设计是对付Intel架构系统的。在这些攻击中，有8次是对Solaris Sparc系统的进行的。因为系统架构不兼容，这些漏洞利用对Sparc系统是无效的。这暗示了一些攻击者并不确认是什么操作系统或在其上运行了什么版本的服务。当他们发现了服务，他们甚至首先不确认系统是不是脆弱的，或者甚至是不是正确的系统类型。这种活动方式能使黑帽子在更短的时间内扫描和攻击更多的系统。
从2000年4月至今，除了通常的扫描外，最流行的探测方法是DNS版本查询，接下来的就是RPC服务的查询。
最流行的攻击是对Intel架构系统的rpc.statd溢出攻击。
最流行的扫描方法是对整个IP段对特定端口的SYN-FIN扫描（通常按先后顺序）。这反映了聚焦于单个脆弱性的策略，针对这个脆弱性扫描到尽可能多的系统。许多黑帽子只使用单个的工具，或只利用他们知道如何利用或最有效的漏洞。

**Predicting the Future

**Honeynet项目想要研究的一个方向是对系统攻击的前期预警，这样也可以给Honeynet搜集更多有价值的数据带来理论上的帮助。这些理论并不是非常新的，而且也有有些大公司在使用着，我们也希望我们的研究对这些公司及其它组织有所帮助。在详细地解释我们的方法之前，我想先声明：我们的研究还处于初始阶段，还有大量的数据分析工作需要进行。

OK，让我们开始吧……

我现在讨论的仅仅是一个独立的Honeynet，仅是提供单节点的、数据量不大的观察结果。下面所要提及的方法将会在世界各国更广阔的环境、有众多Honeynet的环境中测试。
我们并没有试图对由同一个攻击者发起的攻击作出识别，原因很简单，因为现在欺骗技术使用太广泛了。
我们的许多推测建立在一个攻击者总是首先扫描然后攻击服务器这个流程上。当然，有些情况下或许扫描与攻击这两个事件根本是偶然。但我们仍坚持上述的观点。

我们努力对攻击情况做出合理的预测，期间Honeynet的两位成员提出了两个不同的方法，但是最终发现他们的结果是大同小异的，几乎所有的入侵者都在他们实施真正攻击前的两到三天被发现。

**使用统计学原理对事件做预警[Statistical Process Controls(SPC)]: **

了解你的敌人：Honeynets

Mon, 23 Apr 2001 00:00:00 +0800

本文是 Honeynet Project 的"了解你的敌人：Honeynets"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

http://www.xfocus.net

在过去的几年中 Honeynet Project专注于对网络入侵者这一群体使用的各种工具、攻击策略及目的进行研究，并且分享我们的经验，这里我们使用的主要工具就是Honeynet。本文阐述了Honeynet究竟是什么、它对安全组织的价值、它的工作方式、会带来的风险、技术难题等等。我们将使用技术手段尝试自己去了解入侵者群体。同时我们希望这里讨论的这些技术可以帮助大家更好地构建Honeynet，更好了了解我们的敌人，我们也希望各种组织能够了解Honeynet的基本状况。

什么是Honeynet

Honeynet可以说是一个学习工具！它是一个专门设计来让人“攻陷”的网络，一旦被入侵者所攻破，入侵者的一切信息、工具等都将被用来分析学习。其想法与honeypot相似，但两者之间还是有些不同点的：honeypot也是一个用来让人攻击的网络，通常是用来诱骗入侵者的，通常情况下，honeypot会模拟某些常见的漏洞、摸拟其它操作系统或者是在某个系统上做了设置使其成为一台“牢笼”主机。比如The Deception Toolkit(下载), CyberCop Sting, 以及 Mantrap. 是一些脚本的集合，它模拟出了一些常的系统漏洞；CyberCop Sting运行于NT平台，它模拟出多个不同系统的IP堆栈及inetd服务。Mantrap则是将Solaris系统进行了一些设置，建立起了一些“牢笼主机”。毫无疑义，这些都是相当不错的想法，但在现在的环境下，它们有些不适合了，需要更多的改进。

Honeynet与传统意义上的honeypot有两个最大的不同点在于：

一个Honeynet是一个网络系统，而并非某台单一主机，这一网络系统是隐藏在防火墙后面的，所有进出的数据都受到关注、捕获及控制。这些被捕获的数据可以对我们研究分析入侵者们使用的工具、方法及动机。在这个Honeynet中，我们可以使用各种不同的操作系统及设备，如Solaris, Linux, Windows NT, Cisco Switch, 等等。这样建立的网络环境看上去会更加真实可信，同时我们还有不同的系统平台上面运行着不同的服务，比如Linux的DNS server，Windows NT的webserver或者一个Solaris的FTP server，我们可以学习不同的工具以及不同的策略――或许某些入侵者仅仅把目标定于几个特定的系统漏洞上，而我们这种多样化的系统，就可能更多了揭示出他们的一些特性。
在Honeynet中的所有系统都是标准的机器，上面运行的都是真实完整的操作系统及应用程序――就象你在互联网上找到的系统一样。我们没有刻意地模拟某种环境或者故意地使系统不安全。在Honeynet里面找到的存在风险的系统，与在互联网上一些公司组织的毫无二致。你可以简单地把你的操作系统放到Honeynet中，并不会对整个网络造成影响。

我们的Honeynet ProjectIt使用的是在互联网上最常见到的操作系统，比如默认安装的Linux, Solaris, Windows98以及Windows NT，正因为我们使用的是最常见、普通的系统，我们的研究成果才会对大多数的互联网组织有实用意义。

Honeynet 的价值、法律相关事务

传统意义上的信息安全，一般都是防御性质的，比如防火墙、入侵检测系统、加密等等，它们都是用来保护我们的信息资产的，他们的策略是，先考虑系统可能出现哪些问题，然后对问题一一进行分析解决。而Honeynet希望做到的是改变这一思路，使其更具交互性――它的主要功能是用来学习了解敌人(入侵者)的思路、工具、目的。通过获取这些技能，互联网上的组织将会更好地理解他们所遇到的威胁，并且理解如何防止这些威胁。通过honeynet，组织可以在与入侵者的“游击战争”中获得最大的主动权。

例如，Honeynet能够收集的信息的主要来源之一是入侵者团体之间的通信，诸如IRC（Internet在线聊天系统）。入侵者经常在彼此之间自由交谈，揭示了他们的动机，目的，和行动。我们通过使用Honeynets，已经捕获了这些谈话内容，监控了他们之间说过的每一句话，我们甚至已经捕获了与攻击我们的系统有牵连的入侵者的实时录像。这使我们能够清楚地洞察入侵者们是如何针对特定系统以及他们攻击系统的能力。你可以参见Know Your Enemy: Motives中的例子。在这份文件中，我们追踪了把一个特殊的国家作为攻击目标的一组入侵者。经过三个周的时间，我们不仅了解了他们是如何把系统作为目标和如何攻击系统的，而且更重要的是，了解了他们这样做的原因。根据这种详细的信息，我们现在能够更好的理解和防护这种常见的威胁。

Honeynets也为组织提供了关于他们自己的安全风险和脆弱性的一些经验。Honeynets的内容涵盖了组织在其特定环境下系统和应用软件。公司或者组织可以通过对Honeynet的学习及使用，提高增强自己的能力。例如，某家公司可能想提供一个新的网络服务器，以便其网上支付系统。其操作系统和应用程序如果能够先在一Honeynet的中得到检验以识别任何未知的风险和脆弱性，将会在很大程度上提高其可靠程度。我们自己在Honeynet的工作平台上检验IDS、防火墙等过程中就得到了相当多的经验。

最后，一个Honeynet能够帮助一个组织发展它的事件响应能力。在过去的两年中，我们已经极大地提高了我们检测、响应、恢复、和分析受侵害系统的能力。根据这些经验，我们已经发表了两篇文章，就是 Know Your Enemy: Forensic Analysis 和 The Forensic Challenge 其中提到的一些技巧是：如果你发现了一个受到入侵的系统，你或许可以把它当成一个挑战，使用各种技术来捕获或者分析入侵者的行为并且不被他察觉。同时，你捕获的数据也可以存储在一个攻击特征库中，今后你如果在其它事件中发现类似的特征代码，你就可以轻易地判断出其攻击方式了。

但是这些方法在法律上遇上了一些麻烦

诱捕的问题：

诱捕是一个法律术语，用于执法人员诱使一个罪犯从事一项非法行为，否则他们可能不会从事该非法行为。我们不是执法部门，我们不是在执法部门的控制下行动，而且我们甚至没有起诉的意图，所以，我们不认为安装一个Honeynet是诱捕行为。其他人将争论说我们正在提供一个“吸引人的目标”，意味着我们把不可靠的系统置于网上，以诱使人们攻击他们，从而把他们作为攻击别人的手段来使用。这也是错误的，因为我们并没有通过任何方式来宣传这些系统。如果有人发现了我们的一个系统，损害了它，并且使用它作他们不应当做的事情，那是因为他们在主动地和有意地从事这种非授权的行为。

保密的问题：

而关于这些活动有一些道德上的和伦理上的问题（我们在内部一直在努力解决这些问题），最近由美国司法局，刑事庭，计算机犯罪和知识产权部门出版的Searching and Seizing Computers and Obtaining Electronic Evidence in Criminal Investigations这本书中，提供了几个案例参考，受理上诉的法官裁定，反对对于在计算机入侵和欺骗的犯罪案件中，对侵犯隐私权进行辩护。包括下面一些问题：

入侵这些系统的人是未经授权的，如果他们把任何文件置于系统上（当他们没有合法的帐号或使用特权时），我们认为他们已经不能保有在我们系统上的隐私权。
通过使用我们的系统进行通信，他们就已经在通信中放弃了他们的隐私权。
我们不提供公用的帐号，所以我们不是一个服务供应商，不受为服务供应商所设计的保密要求的限制。
不管怎样，我们不是执法部门，我们也不是在执法部门的控制下行动，或甚至起诉入侵我们系统的入侵者，所以，我们不受证据收集规定的限制，而执法部门和他们的执法人员却要受到其限制。
即使我们真的目击了一起严重的计算机犯罪，并且决定告发它，我们收集日志和记录网络流量，将其作为一个“商业运营”的常规过程，如果我们决定告发的时候，我们可以自由地将其交给执法部门。

在美国司法系统的最高层作出更加清楚的判断之前，我们认为我们遵守了当前的法律，并且保持在适当的界限之内。（那些美国之外的国家，在使用Honeynet之前，应当咨询你们自己的法律机构以寻求指导。）

了解你的敌人：蠕虫战

Tue, 07 Nov 2000 00:00:00 +0800

本文是 Honeynet Project 的"了解你的敌人：蠕虫战"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

这文章纯粹是在好奇的情况下产生的，我们的Honeynet的UDP端口137和TCP端口139被多次扫描，我们的网络中这种端口一天内居然被扫描5-10次，怀疑有一定原因。为了了解这些扫描的动机，我们设置了WIN98的honeypot，因为基于这些端口的系统一般上WIN系统，并做在那里等攻击者的操作，我们没有等很长时间，就有了这篇Know you Enemy系列的后续。

Windows上的honeypot

在一个月的时间内（2000/9/20-2000/10/20）我们确认在我们的网络"honeypot"遭受过524个基于NetBIOS扫描。这些扫描是基于UDP137端口（NetBIOS命名服务）的探测，有时伴随着基于TCP139端口（NetBIOS会话服务）。所有这些表明存在大量的针对特殊服务的扫描活动，某些事情正在发生，我们决定发现出了什么事。

我们的网络并没有在Internet做什么广告或者宣传，仅仅是放在那里。所有迹象表明这些我们接受到的扫描仅仅是随机扫描。但同样会威胁到你的系统的安全，由于这些扫描主要针对Windows系统，有可能主要瞄准通过DSL或Cable连接的普通家庭用户。我们不讨论间谍或主页被黑，我们在这里仅讨论一般家庭用户作为被攻击的对象。我们对这一切感到好奇：谁正在作这样的扫描？他们的意图是什么？为什么存在大量的这种扫描？协同探测的结果？是蠕虫吗？带着很多问题，我们决定去发现结果并放置了我们的Windows"honeypot"，我们缺省安装了一台Windows98并且使c:盘共享，尽管一台Windows98 “honeypot"听起来并没有多大的诱惑力，但是仍然可以通过建立这样的系统来获得我们所想知道的。

在Internet上有大量的Windows98系统，而且这个数量还在快速增长。作为具有代表性的系统，该系统存在大量的安全漏洞。但是作为家庭用户并没有认识到连接到Internet的风险性，他们中的大多数还是专注地连接Internet。
这是我们的第一个基于Microsoft的"honeypot”，该计划也非常简单并且希望学到一些东西。

在2000/10/31日，系统安装好，共享打开，并且连接到Internet，我们开始等待，等待时间是如此漫长。

第一条蠕虫

至少24小时后我们接待了我们的第一位访客。IP为216.191.92.10的系统(host-010.hsf.on.ca)扫描了我们的网络搜寻Windows系统，他发现了我们的"honeypot"并且开始查询它。一开始他尝试获得系统名并确定共享是否打开。一旦他发现共享打开，开始在我们的系统上探测某种二进制文件。他的目标是确定在我们的"honeypot"上是否安装了某种蠕虫，如果没有，就会安装它。在这里，这种蠕虫并没有被安装，这个蠕虫被确定为"Win32.Bymer Worm"。此蠕虫的目的在于利用占领的主机的CPU资源来帮助某人赢得distributed.net竞赛，distributed.net是一个提供利用分布式计算机空闲资源进行各种挑战（如 crack RC5-64）奖项的组织。如果赢得挑战将获得一些奖金，在这里，我们的访客通过安装蠕虫把我们当成"志愿军"来参加这个项目。

某个人（bymer@inec.kiev.ua），制作了这个可复制的蠕虫，它可以在不被怀疑的有漏洞的Windows系统上安装distributed.net客户端。一旦被安装且被执行，蠕虫就可以利用你的系统CPU资源帮助安装的人赢得奖金。期间蠕虫也会探测别的可能被入侵的系统，它的目标是获取更多的CPU资源，处理速度会随着入侵系统的增多而呈指数增长。让我们来看一下通过网络捕获的数据包（在这里我们使用snort）。为了更方便的分析NetBIOS协议，你需要一些协议分析器如Ethereal。这个过程通过sniffer追踪如下，IP为172.16.1.105的是我们"honeypot"的地址。

在一开始的时候，蠕虫在我们的系统上检查dnetc.ini，这是distributed.net客户端的标准配置文件，该配置文件告诉主服务器谁的CPU资源引该被信任。在这里我们通过跟踪远程系统（NetBIOS名称GHUNT，帐号GHUNT,域名HSFOPROV）的记录发现他拷贝这个文件到我们"honeypot"中。

11/01-15:29:18.580895 216.191.92.10:2900 -> 172.16.1.105:139

TCP TTL:112 TOS:0x0 ID:50235 DF

PA Seq: 0x12930C6 Ack: 0x66B7068 Win: 0x2185

00 00 00 5B FF 53 4D 42 2D 00 00 00 00 00 01 00 …[.SMB-…….

00 00 00 00 00 00 00 00 00 00 00 00 00 C8 57 1C …………..W.

了解你的敌人

Fri, 21 Jul 2000 00:00:00 +0800

本文是 Honeynet Project 的"了解你的敌人"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

我的长官经常对我说：在敌人面前好很好的保护自己，你必须先了解敌人先。(孙子兵法：知己知彼，百战百胜)。这句军事用语现在也很好的应用于网络安全领域中了，就象作战一样，你要保护自己的资源，你需要知道谁是你最大的威胁和他们会怎样攻击。在这个系列中的第一篇文章，就是讨论一种很流行很广泛的来自Scritp Kiddie所使用的工具和方法，如果你或者你的组织有任何资源连接到Internet上，你就有此类的威胁。

Know Your Enemy文章主要是涉及到blackhatck团体使用的工具，策略和动机。而Know Your Enemy:II主要集中于你怎样能探测这些威胁，判断他们所使用的工具和他们在你系统上寻找什么样的漏洞。Know Your Enemy:III集中讨论攻击者获得ROOT后在系统上怎样操作，特别是他们是如何掩盖他们的踪迹和他们下一步主要干什么。Know Your Enemy: Forensics 涉及了你怎样分析一种攻击。Know Your Enemy: Motives 通过捕获black-hat团体之间的通信和联系来分析他们的动机和心理状态。Know Your Enemy: Worms at War 描述了WORM蠕虫是怎样自动攻击WINDOW系统的。

**什么叫Script Kiddie **

Script kiddie是一些专门找寻一些容易下手资源的人，他们不专门针对某种特定信息或者目标特定公司，他们的目标是尽可能的用最简单的方法获得ROOT，他们通过搜集一些公开的exploit信息并搜索整个Internet来找寻有这种exploit漏洞的资源，这样，不管怎样，总有某些人会被他们操作。

其中一些高级点的家伙会开发他们自己的工具，并留下一些复杂的后门，另外一些根本就不知道他们做什么，就知道怎样在命令行打"go"的人。忽略他们的技术水平不说，Script kiddie就是共享一些公共策略，随机搜索某个特殊漏洞并利用这个特殊漏洞的人。

** 他们形成的威胁在哪里？**

由于Script kiddie是随机选择目标，所以存在的威胁是你的系统迟早会被扫描到，我知道管理员很惊讶他们的系统在设置以后没几天也没有告诉任何人的时候就被扫描到了，其实这一点也不值得惊讶，因为Scritp kiddie一般是扫描一段网络来操作的。

如果扫描只能限制在几个独立的资源，你可能会很安心，因为Internet上千千万万的机器，扫描到你的机器的几率少之又少。但是，事实不是你想象的这样，目前多数工具能很方面的使用大范围扫描并广泛传播，任何人可以使用他们，使用这些工具的人数增长率呈现惊人的速率。Internet是一个无国界的区域，这种威胁就很快转播到世界各个地方，有这么多人使用这些工具，你被探测就不是问题了。

试图以含糊其词来搪塞你的安全问题会害了你:你或许会认为没有人知道你的系统，你就会安全，或者你认为你的系统没有价值，他们为何要探测你，其实这些系统正是scritp kiddies搜寻的目标–没有任何保护的系统，非常容易得手的系统。

** 具体方法讨论**

Scritp kiddie的方法很简单，扫描Internet有特定缺陷的系统，一但查找到，便对它下手，他们用的许多工具会自动操作，不需要很多的交互。你只要打开工具，然后过几天回来看看你的结果就可以了。没有两个工具是相同的就象没有两个漏洞是一样的，但是虽然如此，许多工具的策略是一样的，第一，开发要扫描的IP段，然后扫描这些IP段中特定的漏洞。

例如:我们假定一个用户有一个工具可以利用Linux系统上的imap漏洞，如imapd_exploit.c，开始，他们开发一IP数据库来扫描，一旦IP数据库构建好，用户会想判断系统是否运行LINUX系统。目前许多扫描器可以通过发送不正常的信息包到目标系统并查看他们如果响应便可很方便的判断操作系统，如Fyodor的nmap,然后，工具会判断LINUX系统是否运行着imap服务，最后就是利用imapd_exploit.c程序来进入系统了。

你会想所以这些扫描会有很大的动静，很容易引起注意，但是，很多人没有很好的监视他们的系统，并不认识到他们正被扫描，而且，许多script kiddies在查看他们所要利用的系统时也会保持相当的安静，一旦他们利用这个漏洞进入系统，他们就会使用这个系统作为跳板，并不带任何包袱的扫描整个系统，因为如果这种扫描被抓获，责任是系统管理员而不是那些script-kiddie.

所有这些扫描的结果经常被用来归档或者在其他用户中共享，以便在以后的日子里使用，如用户在最初为了某个漏洞扫描出来的LINUX系统开了那些端口的数据库后，过一点时间，一个新的漏洞被发现以后，用户可以不用重新构建或者扫描新的IP段，他可以很方便的来查看以前归档的数据库并来利用这个新发现的漏洞。其他变相的，用户可以交流或者买卖有漏洞系统的数据库。你可以看Know Your Enemy: Motives文章中的例子，这样造成scritp kiddie可以不扫描系统而破坏你的资源。

有些Black-hats会采用木马或者后门来种植在破坏的系统中，后门允许方便的随时的让攻击者来访问你的系统，而木马使入侵者难于被发现，这些技术可以让他们的操作不显示在任何LOG记录，系统进程或者文件结构上，他可以构建一个舒适安全的环境来扫描Internet，跟详细的信息请看:Know Your Enemy: III。

这些攻击没有限制在一天中的任何时间，许多管理员搜索他们的LOG记录来查询当晚发生了什么，并相信这是攻击者的攻击时间，其实script kiddies在任意时间进行攻击，他们一天24小时的进行扫描，你根本不能考虑到你什么时候会被探测到。而且由于Internet的无边界性，时间也就不确定了，攻击者当地在午夜在攻击，而你这里可能是在当地时间下午一点种。以上对系统漏洞的扫描可以用于多种用途，近来，一种新的拒绝服务攻击–分布式拒绝服务攻击DDoS，就是攻击者一个人控制了很多台有漏洞的系统，他可以遥控这些控制的系统来共同对目标系统执行拒绝服务攻击。由于多个系统被使用，所以防卫和判断源攻击地也变的非常困难。要控制多个系统，Script kiddie的策略就变的很有用，有漏洞的系统随机被判断并用来作为DDOS的垫板，越多的系统被控制，DDOS攻击的强度就越大。如stacheldraht，要了解关于更多的分布式拒绝服务攻击和怎样保护自己，请查看Paul Ferguson站上的Denialinfo。

工具

这些工具一般使用起来很见大，许多工具一般只是几个选项来完成单个目标，开始工具用来构建IP数据库，这些工具很随机的扫描Internet，如一个工具有一个单一的选项，A，B和C，你可以选择一个字母来决定要扫描的网络大小，这工具然后就选择A，B，C相应的IP网络进行扫描。另一个工具使用域名如z0ne，这个工具通过对域名和子域名的区域传输操作来构造IP数据库，用户通过扫描整个.com或者.edu域来获得2百万或者更多的IP数据库，一旦发现这些IP，它们就被会被工具用户判断版本名字，操作系统，所运行的服务，如果发现系统有漏洞，black-hat就会马上进行攻击。要更好的理解这些工具，请看Know Your Enemy: Forensics。

**怎样防止这类威胁 **

了解你的敌人：II

Fri, 07 Jul 2000 00:00:00 +0800

本文是 Honeynet Project 的"了解你的敌人：II"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

此文章是系列中的第二篇文章，在第一篇Know Your Enemy, 我们讲述了Script kiddie相关的工具和方法，特别是他们是怎样探测漏洞然后攻击的。在第三篇Know YourEnemy III中我们将会描述Script kiddie在获得ROOT的时候将会做的事情，特别是他们是怎样覆盖踪迹和他们下一步做的是什么。当前这文章，将涉及到有关则怎样跟踪他们的行为。我们会讲述到通过你的系统记录来判断你所需的操作，和你被扫描了以后，你需要了解被探测了以后主要被干什么用，他们使用了那些工具；这里的有些例子主要是基于LINUX操作系统，但是很容易移植到其他UNIX系统中，记住，没有绝对的方法能跟踪敌人的每一步，但是，这文章会是一个好的开始。

**加强系统LOG记录的安全性

这文章没有主要不是针对入侵检测进行讨论，关于IDS，internet上有很多优秀的源程序供你选择，如果你对入侵检测感兴趣，我建议你使用如Network Flight Recorder 和snort程序来尝试。此文主要集中在智力收集信息上，特别是，怎样通过查看你的系统记录来获取攻击者操作信息，可能你对你能在自己的LOG记录上能发现多少信息感到很惊讶，但是，在我们讲述查看你记录前，我们首先必须讨论下加强你的系统LOG安全性，如果你不能信任你系统记录的完整性那这些记录将会一文不值，多数black-aht在进入系统之后第一件事情就是怎样更改记录文件，网上非常多类型的Rootkit工具可以清楚记录文件中他们的留下的踪迹(如cloak)，或者阻止所有系统的记录(如伪造过的syslogd)，因此，要想查看系统记录，你必须保护好你的记录文件。

这意味着你需要使用远程的LOG服务器，先不管你有多少能力保护自己的系统，在一台被入侵的系统中你不能相信你的任何记录，即使你最好的保护被入侵系统的LOG记录,black-hat也可以简单的使用rm -fr /*来完全清理你的硬盘。要保护这些文件，你必须使你所有系统的LOG记录既有本地记录也发向远程LOG服务器中，这里建立你一个只记录LOG的服务器来收集其他服务器上的信息，如果牵涉到钱的问题，你可以简单使用Linux服务器来充当你的LOG服务器，不过这台服务器必须保证非常安全，需要所有服务关闭，只允许控制台访问(如Armoring Linux所描述)，还有必须保证UDP 514口没有对外连接，这样可以保护你的LOG服务器不接受从外界来的不好的或者未认证的LOG信息。

由于上述原因，这里建议你重编译syslogd程序，并让syslogd读取不同的配置文件，如/var/tmp/.conf，此方法能让black-hat没有注意到真实的配置文件位置，这项操作你可以简单的在源代码中修改"/etc/syslog.conf"条目，接着我们可以设置我们新的配置文件把信息记录到本地和远程服务器,如syslog.txt。这里请你维持一标准的配置文件/etc/syslog.conf指向所有本地LOG，虽然这份配置文件没有用，但可以让攻击者相信记录没有发忘远程记录。另一个选择方法就是让你的系统使用更安全的日志记录工具，如使用某些有完整性检查和其他方面安全加强的系统日志记录工具，如syslog-ng。

把记录都记录到远程服务器中，将想上面提到的，我们可以基本上相信这些LOG的完整性，而且由于所有系统都记录在单一资源中，就比较容易的判断这些LOG的样式。我们可以在一台机器上记录所有系统记录，你所做的是对比下本地系统和远程系统的不一致性。

类型匹配

通过检查你的记录条目，你可以用来判断那些端口被扫描，许多Script kidde扫描整个网络只为一个漏洞，如你的记录显示你多数系统有来自同一远程系统的连接和同一端口，这就很可能以为着是一次漏洞的扫描，多数LINUX系统中，TCP Wrapper默认安装的，所以你可以在/var/log/secure里找到多数连接，在其他UNIX系统中，我们可以通过启动inetd后增加-t标志就可以记录所有Inetd连接。下面是一个典型的漏洞扫描，是为了扫描wu-ftpd漏洞：

/var/log/secure

Apr 10 13:43:48 mozart in.ftpd[6613]: connect from 192.168.11.200

Apr 10 13:43:51 bach in.ftpd[6613]: connect from 192.168.11.200

Apr 10 13:43:54 hadyen in.ftpd[6613]: connect from 192.168.11.200

Apr 10 13:43:57 vivaldi in.ftpd[6613]: connect from 192.168.11.200

Apr 10 13:43:58 brahms in.ftpd[6613]: connect from 192.168.11.200

了解你的敌人：动机

Tue, 27 Jun 2000 00:00:00 +0800

本文是 Honeynet Project 的"了解你的敌人：动机"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

该篇文章是系列之一，该系列主要介绍黑客社团使用的工具和策略。该文章不像该系列其他的文章主要介绍黑客社团怎样怎样、特别是他们使用的技术和工具的实现，而是分析他们的动机和心理。第一部分介绍一台Solaris 2.6系统被入侵，第二部分所提到的很少有相关信息发布，介绍在黑客入侵系统后14天内在“蜜罐”中的通话和行动记录，通过这些信息我们可以了解他们为什么和怎样攻击计算机系统。在入侵后，他们紧接着在系统中放置了一个IRC bot，这个东西是由黑客们所配置和实现的，用来抓取在IRC频道中的所有聊天记录。我们在这两个星期当中一直监视这些记录，所有的信息都罗列在下面。这篇文章并不是要对整个黑客社团的行为作一个概括，相反，我们通过在事件当中一些个体行为的介绍，来给大家一些提示”他们当中某些人怎样想和怎样做“，这也是我们在安全领域所面对的一些普通现象，我们真诚的希望其他安全人员能够从中受益。

下面的所有信息是通过"honeynet"得到的。“honeynet”，顾名思义，就是由网络上大量的"蜜罐"所组成，“蜜罐"最简单的定义就是通过精心设计的将被黑客社团所攻击的目标主机。一些"蜜罐"是用来分散攻击者攻击真正主机的注意力，另外一些是用来学习攻击者所使用的工具和策略的，我们这里所提到是属于后者。在本文中提到的很多信息被做了一些修改，特别是用户名和口令、信用卡号、以及很多主机名，其他如确切技术细节、工具以及聊天记录我们并没有作修改。所有信息在被发布之前都已经递交给CERT和FBI，同时对于哪些我们确信遭受入侵的系统，大约发了370份通告给它们的管理员。

Foreword, by Brad Powell

**第一部分：入侵 **

我们这里使用的"蜜罐"是缺省安装的Solaris 2.6系统，没有任何修改和安装补丁程序。在此讨论的漏洞在任何缺省安装没有使用补丁程序的Solaris 2.6系统上都存在。这也是整个"蜜罐"的设计意图，在系统上布置漏洞并学习它是如何被攻破的。在被攻击过程中，我们可以学习黑客社团所使用的工具和策略。同时"蜜罐"本身也被设计跟踪黑客的每一步行为。

在2000年6月4日，我们的缺省安装Solaris 2.6的"蜜罐"遭受到针对rpc.ttdbserv漏洞的攻击，该漏洞允许在ToolTalk 对象数据库服务上通过溢出远程执行代码(见CVE-1999-0003)。该漏洞在SANS组织的TOP 10上名列第三。我们使用基于sniffer的免费IDS系统Snort检测到该攻击的。

Jun 4 11:37:58 lisa snort[5894]: IDS241/rpc.ttdbserv-solaris-kill: 192.168.78.12:877 -> 172.16.1.107:32775

rpc.ttdbserv漏洞允许远程用户通过缓冲溢出攻击在目标系统上以root权限执行任意命令。下面是攻击者在攻击成功后，在系统上安装后门，具体如下所示：攻击者在’/tmp/bob’文件中加上ingreslock服务(在/etc/service预定义的，端口1524)，然后以改文件作为配置文件重新启动inetd，这样/bin/sh被以root权限帮定在1524端口，给予了远程用户root存取权限。

/bin/ksh -c echo ‘ingreslock stream tcp nowait root /bin/sh sh -i’ »/tmp/bob ; /usr/sbin/inetd -s /tmp/bob.

当黑客安装了后门，他紧接着连接到1524端口，作为root获得一个shell，并开始执行如下命令。他增加了两个系统用户帐号，以便以后可以telnet上来，注意这里的错误和”;“控制字符(因为1524端口的shell没有正确的环境)。

cp /etc/passwd /etc/.tp;

^Mcp /etc/shadow /etc/.ts;

echo “r:x:0:0:User:/:/sbin/sh”

/etc/passwd;

echo “re:x:500:1000:daemon:/:/sbin/sh”

/etc/passwd;

echo “r::10891::::::”

/etc/shadow;

echo “re::6445::::::”

/etc/shadow;

: not found

了解你的敌人：被动式指纹探测

Wed, 24 May 2000 00:00:00 +0800

本文是 Honeynet Project 的"了解你的敌人：被动式指纹探测"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

网络安全的挑战之一就是你需要了解攻击者，要了解你存在的威胁并保护你自己的资源，你需要了解你的敌人，被动特征探测是了解攻击者而不被攻击者觉察的方法之一，虽然这种方法可能不是100%正确，但你会获得一些令你诧异的结果。Craig Smith开发基本本文概念的工具passfing.另外subterrain crew也开发了siphon,一个可以被动探测端口和OS的工具。Fingerprinting

传统上，操作系统特征可以通过"积极性"的工具，如queso或者nmap,这些工具是在每一个操作系统上的IP堆栈有自己不同特性的原理上来操作的，每个操作系统响应通过的多种信息包。所以这些工具只要建立一个基于不同的操作系统对应不同的信息包的数据库，然后，要判断远程主机的操作系统，发送多种不寻常的信息包，检测其是怎样响应这些信息包的，再与数据库进行对比做出判断。Fyodor的 nmap工具就是利用这种方法的，他也写了一份具体的文档。

而被动特征探测（Passive Fingerprinting ）遵循相同的概念，但实现的方法不同。被动特征探测（Passive Fingerprinting ）基于嗅探远程主机上的通信来代替主动的去查询远程主机，所有你需要做的是抓取从远程主机上发送的信息包。在嗅探这些信息包的基础上，你可以判断远程主机的操作系统，就象主动特征探测一样，被动特征探测（Passive Fingerprinting ）也是由每个操作系统的有自己的IP堆栈特征，通过分析sniffer traces 和鉴别他们之间的不同之处，就可以判断远程主机的操作系统了。

信号

判断主机的操作系统一般可以由4个方面来着手（当然也有其他信号存在）：

TTL - 这个数据是操作系统对出站的信息包设置的存活时间。
Window Size - 是操作系统设置的窗口大小，这个窗口大小是在发送FIN信息包时包含的选项。
DF - 可以查看是否操作系统设置了不准分片位
TOS - 是否操作系统设置了服务类型

通过分析信息包这些因数，你可以判断一个远程的操作系统，当然探测到的系统不可能100%正确，也不能依靠上面单个的信号特征来判断系统，但是，通过查看多个信号特征和组合这些信息，你可以增加对远程主机的精确程度。下面是一个简单的例子，下面是被探测的系统发送一个信息包，这个系统发起了一个mountd的漏洞攻击，因此我想了解这个主机, 我现在不使用finger或者NMAP等工具，而想要了解被动接受到的信息，使用snort得到了下面的一些信号特征：

04/20-21:41:48.129662 129.142.224.3:659 -> 172.16.1.107:604

TCP TTL:45 TOS:0x0 ID:56257

FA Seq: 0x9DD90553 Ack: 0xE3C65D7 Win: 0x7D78

根据上面的四条准则，我们可以达到下面的情况：

TTL: 45
Window Size: 0x7D78 (or 32120 in decimal)
DF: The Don’t Fragment bit is set
TOS: 0x0

我们在比较信号特征数据库，首先，我们查看使用在远程系统上的TTL，从我们的获得信息可以看到TTL是45，这多数表示它通过19跳才到达我们主机，因此原始的TTL应该是设置为64，基于这个TTL，这个信息包应该看来是由LINUX和FREEBSD系统发来的（当然更多的系统信号特征需要放到数据库中），这个TTL通过了traceroute远程主机得到证实，如果你考虑到远程主机在检测你的traceroute,你可以设置你traceroute的time-to-live(默认是30跳），使用-m选项来设定到主机的跳数少1到2跳的数值，如，刚才的例子里，我们可以使用traceroute -m 18来设置跳数为18跳，这样做可以让你看到到达主机的路径而不碰到远程主机。要更多关于TTL的信息，请查看这篇文章

了解你的敌人：一次公开的分析

Tue, 23 May 2000 00:00:00 +0800

本文是 Honeynet Project 的"了解你的敌人：一次公开的分析"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

此文章是Know Your Enemy系列，前三篇文章涵盖了关于black-hat团体所使用的工具和策略，这文章的目的是怎样一步步成功攻击系统的，这里的重点是在我们怎样知道发生的攻击者和获得信息。也提供你一些分析和熟悉你自身系统上存在的威胁。这里也有一在线，交互的版本发布在MSNBC上。

背景

此文信息通过honeypot获得，这里的Honeypot安装在REDHAT6.0上，REDHAT是默认的服务安装，所以讨论的漏洞存在在任意默认安装的REDHAT系统上。而且所有数据没有被处理过。下面分析的所有IP地址，用户帐号，和击键的信息是真实的，除了密码信息，这样是为了更直接的了解整个过程。所有SNIFF信息是通过SNORT格式体现的；SNORT是一个常用的嗅探器，对于检测系统入侵分析来说是一个不错的工具，我使用了在http://www.whitehats.com/上的MAX VISION 的IDS特征。你可以在arachNIDS数据库中查更多有关在此文章中的所有警告信息。你可以在这里找到我的SNORT配置信息和特征文件，包括我使用的命令行选项。

攻击行为

在四月26号，snort提醒我其中的一个系统正受到一个’noop’攻击，信息包装载包含noops的信息，在此情况下，SNORT探测到攻击和记录了警告信息到/var/log/messages文件中（使用swatch来监控），注意这文中172.16.1.107的IP地址是含有honeypot的机器，其他的地址是black-hat(黑帽子）使用的IP地址。

Apr 26 06:43:05 lisa snort[6283]: IDS181/nops-x86: 63.226.81.13:1351 -> 172.16.1.107:53

我的honeypots每天接受无数探测，扫描和查询，而且下面的一个警告信息使我注意到其中一个系统可能被破坏，下面的系统LOG信息指示攻击者正开始了一个连接和LOGIN了系统：

Apr 26 06:44:25 victim7 PAM_pwdb[12509]: (login) session opened for user twin by (uid=0)

Apr 26 06:44:36 victim7 PAM_pwdb[12521]: (su) session opened for user hantu by twin(uid=506)

从上面的情况可以看到，入侵者已经获得超级用户权利和控制了整个系统，但这是怎样完成的呢，我们下面开始分析：

分析

当分析一攻击的时候，最好的位置是在开始端，即攻击者是从哪里开始的，攻击者一般开始是收集系统信息，可以让他获得系统所存在的漏洞，如果你的系统被破坏，这就表明攻击者不是第一次与你的系统通信了，大多数攻击者必须通过对你系统的连接获得初始化的信息。

所以我们从最开始的信息收集开始，从第一条信息可以知道攻击初于53端口，这表示在我们系统上发动了一个DNS攻击，所以我通过我的snort alerts来发现一些DNS可能的信息探测，我们发现一DNS版本查询探测的信息：

Apr 25 02:08:07 lisa snort[5875]: IDS277/DNS-version-query: 63.226.81.13:4499 -> 172.16.1.107:53

Apr 25 02:08:07 lisa snort[5875]: IDS277/DNS-version-query: 63.226.81.13:4630 -> 172.16.1.101:53

注意，这个探测日期是4月25日，我们系统被攻击是在4月26号，系统是在被探测后的一天被入侵的，所以我猜测攻击者是使用一些扫描器扫描出一些关于DNS漏洞的信息，扫描以后，攻击者查看扫描结果，获得系统漏洞信息，然后启用他们的EXPLOIT。这样我们可以得到如下结论：在4月25号被检测后，后一天被侵入，通过我们的IDS警告，我们获知我们是被DNS漏洞攻击。

了解你的敌人：III

Mon, 27 Mar 2000 00:00:00 +0800

本文是 Honeynet Project 的"了解你的敌人：III"系列文章的中文翻译，原文发布于 project.honeynet.org，中文翻译来自 xfocus.net。

本文是对入侵者进行研究系列文章中的第三篇。第一篇讲述了入侵者们的探测行为、分类及利用漏洞的过程，第二篇聚焦于如何探测这些入侵企图、鉴别他们使用了哪些工具、他们所寻找的漏洞有哪些……这篇文章，则讲述了当他们获得root权限后，所做的事情，重点放在他们是如何隐藏踪迹以及之后如何做。可以从这里下载原始数据进行分析。

入侵者是谁

就象我们在第一篇文章里所说的，多数的入侵者并没有考虑太多的策略方面的问题，他们更重视的是轻易地入侵，而非针对某些特定的信息或者某个特定的公司。他们把注意力集中于最有效的几个漏洞利用程序上，然后在互联网上寻找相应的主机――迟早他们会找到适合入侵的机器的……

当他们获得root权限这后，第一件事往往是抹去他们的踪迹，他们需要确保系统管理员没有发现系统被侵袭，并且不希望留下任何日志或者他们活动的记录。然后，他们会使用你的机器来扫描网络中的其它系统，或者静静地潜伏，以求获得更多的资料。为了更好地了解他们是如何侵害系统的，我们将沿着一个入侵者的入侵步骤来观察。我们的系统――mozart，上面运行的操作系统是RedHat 5.1。系统在1999年4月27日受到攻击，下面的一些入侵过程的记录，是从系统日志及击键记录中提取的，我们对系统日志及击键都做了验证，所有的系统日志都是在一个受保护的syslog服务器上的，所有的击键都是由一个被嗅探器――称为sniffit捕获的。如果你想了解更多关于这些记录获得的技巧的话，请参见另一篇文章――建立网络陷阱。在本文中，我们称这个入侵者为“他”――因为我们无法得知其真正的性别。

漏洞利用

在4月27日的00:13，有一个家伙在域名为1Cust174.tnt2.long-branch.nj.da.uu.net的地方对我们进行扫描，针对了包括imap漏洞在内的几个特定的漏洞，这些入侵者是比较讨厌的，因为他们一下扫描了整个网段，（想了解更多关于这次探测的信息，可以参见系列文章中的第二篇）。

Apr 27 00:12:25 mozart imapd[939]: connect from 208.252.226.174

Apr 27 00:12:27 bach imapd[1190]: connect from 208.252.226.174

Apr 27 00:12:30 vivaldi imapd[1225]: connect from 208.252.226.174

很显然地，他找到了一些他所乐见的东西，并且在06:52和16:47又回来了。他开始了一次针对mozart机器的彻底扫描，并且确定了这台机器存在着mountd的安全漏洞，这个漏洞是Red Hat 5.1中存在的一个会危及root安全的漏洞，我们可以从/var/log/messages中看到，这个入侵者应该已经获得了超级用户权限，他所使用的工具看上去象是ADMmountd.c或者一些极其类似的程序。

Apr 27 16:47:28 mozart mountd[306]: Unauthorized access by NFS client 208.252.226.174.

Apr 27 16:47:28 mozart syslogd: Cannot glue message parts together

Apr 27 16:47:28 mozart mountd[306]: Blocked attempt of 208.252.226.174 to mount