Transcript 駭客攻擊方式
第十一章 網路駭客攻擊 及防制策略 課前指引 資訊網路科技的快速普及雖然帶給人類莫大的助益,卻也帶來 不少的犯罪問題,而資訊犯罪已隱然成為未來社會棘手的問題。 資訊犯罪並不單純只是電腦的問題,亦包括公約、倫理、道德 及法律層面等問題。其中,又以網路駭客入侵問題最具神秘性 且防制困難度較高。 章節大綱 11-1 網路駭客的行為特質 11-4 駭客入侵的常見階段過程 11-2 駭客的時代意義 11-5 健全的安全防護策略 11-3 駭客入侵的攻擊方式 11-6 結語 備註:可依進度點選小節 11-1 網路駭客的行為特質 被查獲的資訊駭客未必武藝高強,只要 於各知名網路搜尋引擎輸入破解、入侵 或駭客等關鍵字,便可找出許多網站連 結,從中獲取相關攻擊工具程式、操作 方式及說明。 即使不會運用,只要懂得投入心思尋找, 還是可以尋求解答。 3 11-1 網路駭客的行為特質 透過網友的協助成功入侵他人網路主機 的事件也不在少數,但在別人指導下的 攻擊作法,也只是抄襲別人先前用過的 攻擊技巧而已,沒有創造性,也沒有研 究價值,只是陷自己在法律邊緣徘徊而 已。 網路駭客就資訊技術能力等級區分,可 以分為以下3級。 4 11-1 網路駭客的行為特質 第1級特色: 有發現軟體弱點能力,經常發表自己所發現的安 全問題,並瞭解網路通訊的深層技術,如OSI模組、 TCP/IP等。 可獨自運作,難以追蹤,避免出風頭,引人注目, 具正面形象。 強調團隊合作,一再反覆測試程式,喜好持續性 主動奉獻時間與精力,累積知識與技巧。 5 11-1 網路駭客的行為特質 第2級特色: 能廣泛的收集工具程式,並使用來源可靠的技術 方法。 具有描繪或撰寫需求的能力,但需依賴他人開發 或確認程式碼。 熟悉網路協定及相關軟體弱點,擁有多種作業系 統與應用程式的實務經驗,並具系統管理員層級 經驗。 6 11-1 網路駭客的行為特質 第3級特色: 具有基本的知識可以取得相關攻擊工具,並花費 大部分的時間在蒐尋本身中意喜歡的攻擊工具上。 依賴他人完成的程式碼包裝成新的套裝攻擊工具 程式,喜歡觀察最近發現弱點漏洞的實際運作情 形,自視為公開資訊的散布者,只希望引起他人 注意。 大多執行未經測試的程式碼,甚至不懂該程式的 執行目的與可能影響。 7 11-2 駭客的時代意義 一般而言,「駭客」行為屬於「利用不 正常管道的侵入使用」行為,從資訊犯 罪角度作分類,因應時代的變遷,有予 以不同分類與解讀的必要。 早期,有的人會把「駭客」行為分成駭 客(Hacker)與鬼客(Cracker)兩類, 同為未授權之侵入行為,但以「是否從 事破壞」作區隔。其中,駭客著重研發, 鬼客喜好破壞。 8 11-2 駭客的時代意義 現今則區分成道德駭客與罪犯駭客兩類, 同為「不正常管道使用」之侵入行為, 但以是否「經過授權」作區隔。其中, 道德駭客傾向安全防護的補強,而罪犯 駭客隱含不法舉止行為。 以下,我們以資訊犯罪角度從「網路駭 客的原始形象」、「駭客形象的特質變 化」及「新時代的駭客意義」等3方面, 對駭客的時代意義作一詮釋。 9 11-2 駭客的時代意義 網路駭客的原始形象 崇尚並奉行「資訊免費分享」、「協助解決困難」 及「絕不從事破壞」的最高行為指導準則。藉由 資訊分享討論的方式,逐漸創造出網際網路 (Internet)、UNIX 作業系統及全球資訊網 (World Wide Web)的概念。在該族群中,被其 他成員稱作駭客(Hacker),表示他具有熱衷解 決問題及克服困難能力,是高級資訊技術專家, 也是資訊科技通信產業的先驅者,具有一種高尚 的榮譽與榮耀。 10 11-2 駭客的時代意義 網路駭客的原始形象 當時,只要有人把駭客(Hacker)的精神特質 (主張資源分享及解決困難)發揮在其它領域, 便可以被稱作「駭客」。當時的駭客,被視為具 備「資訊免費分享」、「協助解決困難」及「絕 不從事破壞」等3項特色。 11 11-2 駭客的時代意義 駭客形象的特質變化 早期駭客的創造精神與分享資訊觀念,多藉由舉 辦「駭客年會」方式進行延續擴散,但隨著資訊 破壞事件的不斷相繼出現,「駭(Hack)」字便 衍生出「不正常管道使用」的觀念 未經授權的破壞行動人員便成為相繼宣傳出版之 大眾傳播媒體、科技小說電影與資訊安全書籍等 所稱呼的「電腦犯罪者」或「資訊恐怖份子」 (也許會有不同見解、稱謂,但實質意義大同小 異)。 12 11-2 駭客的時代意義 駭客形象的特質變化 當未經授權事件逐漸演變成資源干擾(就算沒有 從事破壞,依然對電腦系統資源的分配使用產生 影響)及資訊破壞(影響系統正常運作)事件後 舉凡人力投資、時間花費、系統回復及商譽損失 等事項上,均導致受害機構的偌大困擾。 13 11-2 駭客的時代意義 新時代的駭客意義 道德駭客(Ethic Hacker)必須事先「經過授權」 才能進行不正常的登入系統工作,這是一個很重 要的觀念,其差別在於後來的行為是否構成犯罪 任何研究系統或探討安全的理由,僅適合使用於 早期電腦系統不普遍的時候。 罪犯駭客(Criminal Intruder),主要限縮於 「未經過授權登入」,有廣義與狹義的描述。廣 義罪犯駭客(Criminal Intruder)為「行為人未 經授權逕行進出電腦系統」, 狹義罪犯駭客,又稱為入侵者(Intruder),定 義為「機構外的行為人(指外賊)蓄意以非法之方 14 11-2 駭客的時代意義 新時代的駭客意義 狹義罪犯駭客,又稱為入侵者(Intruder),定 義為「機構外的行為人(指外賊)蓄意以非法之方 法,未經電腦主機所有人或系統管理者的同意而 逕行進出電腦系統」。 對於罪犯駭客的種類而言 ,可區分「飛客」、 「鬼客」、「入侵者」及「惡客」等4類。 15 11-3 駭客入侵的攻擊方式 駭客攻擊方式 網路駭客嘗試要進入電腦系統通常都會先利用一 些刺探性指令去觀察系統,再藉由回傳的訊息去 判斷系統的軟體名稱與版本,這像是小偷行竊前 會先逐一觀察週遭環境,研判被害人生活習性、 籌劃行竊時機與逃離路線一樣。 網路上的許多地下駭客網站,都會介紹一些不同 的攻擊方式,每種方式都會有一些不同得攻擊效 果。本文將介紹阻絕服務、網址假造、網路監看、 社交工程、木馬程式、系統漏洞、網路掃瞄及緩 衝區溢位攻擊等數種常見的駭客入侵攻擊方式。 16 11-3 駭客入侵的攻擊方式 駭客攻擊方式 攻擊方式1:阻絕服務(Denial of Service) 阻絕服務指利用網路通訊協定弱點,傳送大量封包使電 腦系統負荷過重,並讓主機的某一服務無法運作、發生 錯誤、重新開機或整個系統當機,而攻擊行為本身並不 會破壞資料的內容,卻又十分惹人厭。 攻擊方式2:網址假造(IP Spoofing) 網址假造又稱為網址詐騙或鳩佔鵲巢(接替)法,主要係 指入侵者可假造錯誤、不存在或被授權的網址(使用者), 以進行攻擊作為或規避系統管理者及執法機關的查緝。 17 11-3 駭客入侵的攻擊方式 駭客攻擊方式 18 11-3 駭客入侵的攻擊方式 駭客攻擊方式 攻擊方式3:網路監看(Sniffing) 網路監看指查看及複製網路上流通的電磁紀錄而言。網 路監看的工具有人稱它為「嗅探者」(Sniffer),如 Gobbler、Ethload、Netman及Esniff等。 Sniffer主要是指可抓取特定網路上流通封包資訊的軟 體或硬體,目的是將網路卡置於雜亂模式 (Promiscuous Mode),並藉此抓取網路上的封包資料 (目前在高速、高流量網路上監看,實際運行可能會有 丟掉封包、影響頻寬及組裝不易等困難)。 19 11-3 駭客入侵的攻擊方式 駭客攻擊方式 攻擊方式4:社交工程(Social Engineering) 社交工程指的是利用人際關係上的溝通疏誤,以取得某 特殊的系統帳號密碼或重要文件。 攻擊方式五:木馬程式(Trojan Horse) 木馬程式,或稱為特落伊木馬,主要係指隱藏未授權程 式碼並執行使用者不想或不知道功能的程式。通常藏在 二位元執行檔中、不易看懂、很難偵測且容易導致電腦 系統的危害,亦是網路駭客為讓特定對象代替自己完成 部分侵入所需執行的程序,而蓄意修改常用指令及路徑 設定,以取得某些執行權力。 20 11-3 駭客入侵的攻擊方式 駭客攻擊方式 攻擊方式六:系統漏洞(System Bug and Hole) 系統漏洞的攻擊方式是指利用電腦系統程式設計或維護 時所留下的錯誤或私人密道進行侵入工作。 網路駭客有時也會自行設計後門程式,以避開一般的系 統防護措施。 漏洞也就是弱點,只要是會被未授權使用者獲得存取權 限或更高權限,便是系統漏洞。 攻擊方式七:緩衝區溢位(Buffer Overflow) 緩衝區溢位是利用寫入資料超過原先分配緩衝區的大小, 以造成執行錯誤指令的效果,並在所有攻擊實例中佔有 極高的比例。 21 11-3 駭客入侵的攻擊方式 攻擊方式之細節-以阻絕服務為例 一、阻絕服務的種類 阻絕服務又稱為阻斷服務或拒絕服務,為一種令人煩惱 的干擾方式,攻擊行為的本身並不需要入侵密碼檔或取 得敏感資料,可能僅針對任何暴露於網際網路上伺服端 或客戶端的軟體、硬體或服務進行干擾,迫使遭受攻擊 的網路主機服務暫時性的失效。 1.死亡之聘(Ping of Death) 此方式為較早發現且較為簡易的攻擊方法,主要係利用 TCP/IP實作程序上的缺失,送一種大量不正常封包的簡 單技巧(超過IP規格所允許的65,535位元組資料大小), 影響電腦主機的運作環境。 22 11-3 駭客入侵的攻擊方式 攻擊方式之細節-以阻絕服務為例 2.分散式代理攻擊(DDOS;Distributed of Service) Denial 分散式代理攻擊主要是指植入後門程式後遠端遙控攻擊, 攻擊者可各從多個已入侵的跳板主機控制數個代理攻擊 主機,所以攻擊者可同時對控制下的代理攻擊主機啟動 干擾命令,以對受害主機大量攻擊。 23 11-3 駭客入侵的攻擊方式 攻擊者 跳板主機 代理攻 擊主機 代理攻 代理攻 擊主機 擊主機 跳板主機 代理攻 擊主機 跳板主機 代理攻 擊主機 代理攻 擊主機 代理攻 擊主機 遠端控制指令 攻擊干擾封包 受害者 圖9.6 分散式代理攻擊(DDOS)示意圖 24 11-3 駭客入侵的攻擊方式 攻擊方式之細節-以阻絕服務為例 3.廣播攻擊(Smurf Attack) 廣播攻擊係針對IP規格中的廣播網址(如 210.255.255.255或210.50.255.255)進行暴力攻擊 (Brute-Force Attack)的行為,透過網路控制訊息協定 (Internet Control Message Protocol,ICMP)的回應 要求封包方式(如Ping為最常見的實作程序)產生大量的 訊息 其中網路控制訊息協定(ICMP)主要是負責通訊錯誤的處 理與控制訊息的交換,並負責傳達網路傳輸程序中相關 的狀態、錯誤、壅塞等資訊。 25 11-3 駭客入侵的攻擊方式 攻擊方式之細節-以阻絕服務為例 4.淚痕攻擊(Teardrop Attack) 淚痕攻擊暴露出IP封包分解與組裝上的弱點,在IP封包 傳輸於網路的過程中會被分解成許多不同的區段傳送, 並藉由偏移量欄位(Offset Field)作為組裝的依據,淚 痕攻擊便是透過加入過多或不必要的偏移量欄位,使電 腦系統組裝錯亂,產生不可預期的後果。 26 11-3 駭客入侵的攻擊方式 攻擊方式之細節-以阻絕服務為例 二、阻絕服務的防制措施 1.網路安全知識的充實 2.資訊安全策略的擬定 3.網路異常封包的過濾 4.網路管理合作模式的建立 27 11-4 駭客入侵的常見階段過程 依據曾經接觸過的駭客入侵案例,整理 出一般駭客在入侵時可能採取的「決定 目標」、「蒐集資訊」、「發動攻擊」 及「處理善後」等4大階段階段過程。 階段一:決定目標階段 目標的決定通常與攻擊者的動機相關,為娛樂、公佈戰 果、挑戰系統保護機制、純休閒、尋找刺激、報復或獲 利,每個攻擊者背後的原因都不盡相同。而決定目標的 過程中,可能係基於「隨機看到」、「競爭對手聘請」、 「新聞媒體報導」、「曾經服務過或親友服務單位」或 「存在明顯的系統漏洞」等幾種理由。 28 11-4 駭客入侵的常見階段過程 階段二:蒐集資訊階段 蒐集資訊的目的在於更加瞭解所欲攻擊的對象,當瞭解 地越清楚,便較能躲避追緝者的追查,所能產生的攻擊 效果亦較大,主要的工作內容有「瞭解攻擊目標」、 「偵測欲侵入主機的軟體名稱及版本」、「取得入侵所 需資源、技術及工具」及「網路掃瞄攻擊目標」等四部 分。 就掃瞄的種類可區分成以下幾種: (1).Ping掃瞄。 (2).主機掃瞄。 (3).通訊埠掃瞄。 (4).漏洞掃瞄。 (5).木馬掃瞄。 29 11-4 駭客入侵的常見階段過程 圖9.7 SuperScan掃瞄工具程式 30 11-4 駭客入侵的常見階段過程 圖9.8 通訊埠掃瞄警告訊息 31 11-4 駭客入侵的常見階段過程 階段三:發動攻擊階段 網路駭客常見的攻擊行動,可以區分成「利用系統安全 漏洞實行侵入工作」、「取得電腦主機的帳號與密碼」 及「讀取侵入主機的電腦檔案」等三大步驟。 階段四:處理善後階段 駭客在成功入侵後,通常會執行一些習慣性的善後工作, 諸如:清除相關連線紀錄企圖隱形、放數個後門、充當 下次攻擊跳板或伺機尋找下一侵入目標等等均是 32 11-5 健全的安全防護策略 本文從現今較流行的「網路防火牆」、 「電腦防毒軟體」、「入侵偵測系統」、 「弱點檢查評估」、「滲透測試」及 「健全的安全防護策略」等6道防制策略 作一討論。 第一道防制策略:網路防火牆 防火牆原來的意思是一道阻止火勢蔓延的牆,它可以防 止災難的繼續擴大,在網際網路的作用上,除了可預防 資訊災難發生及防止外界非法入侵外,還可調節網路的 流量,隨著網路安全的日益受到重視,防火牆在網路安 全的重要性也日益增加,並被視為極為重要的一部分。 33 11-5 健全的安全防護策略 第二道防制策略:電腦防毒軟體 防駭與防毒軟體在電腦資訊的防衛方法及技術觀念上有 所不同的 單純的掃毒程式常用病毒偵測程式監督電腦系統中更改 特定檔案或主記憶體的特定部分等類似病毒的行動,並 週期性的檢核已知的可疑異動處,但這樣的作法卻無法 完全防範遠端入侵者的破壞行為或是冒用名義,因為很 多攻擊手法不是採用病毒方式侵入,所以防毒軟體無法 防衛。 防駭與防毒兩者常常相輔相成,卻又無法互相替代。 34 11-5 健全的安全防護策略 第三道防制策略:入侵偵測系統 入侵偵測系統是一種網路安全評估防制工具,也是一套 電腦預警系統,可以監控網路系統的通訊內容是否違反 安全政策的過程,也可以協助管理人員揪出可能破壞系 統的攻擊者。 入侵偵測系統可監督分析使用者與系統的活動、審查系 統組態設定與弱點、評估重要系統與檔案的完整性、識 別不正常或入侵的活動及針對使用者的登入(出)與影響 追蹤,並提供作業系統的稽核管理與違反安全策略即時 識別反應的功能,以達有效防制入侵的目的 入侵偵測系統不像一般防火牆需要更改原有網路架構與 設定,它可在無需更動系統架構下,監看特定網路通訊 活動,並於網路危機狀況發生時,透過警告通知及自動 防護方式阻止攻擊動作,提供紀錄報告,作為分析及追 蹤的參考。 35 11-5 健全的安全防護策略 第四道防制策略:弱點檢查評估 弱點檢查為藉由人工手動或程式自動化有系統地檢查電 腦主機上已知的安全漏洞、程式瑕疵及組態錯誤等問題, 以預防電腦系統的不當濫用。 在檢查弱點漏洞的過程中,檢核表(Checklist)及弱 點資料庫(Vulnerability Datatbase)的更新、完善、 足夠與否十分重要,因為新的安全漏洞與系統弱點等相 關問題會不斷出現,檢核表及漏洞資料庫也會過時落伍, 管理者必須像攻擊者一樣思考,設法發現類似的破解路 徑或可能得變種攻擊方法,不拘泥於已知的發現問題上。 弱點檢查的程式自動化檢查方式,主要係藉由弱點掃瞄 工具(Vulnerability Scanner)對企業內部網路利用各式 各樣的安全漏洞進行偵測、評估與監看,企圖找出潛在 的安全漏洞,並自動產生掃瞄報告供管理者參考,確保 讓企業網路系統環境能維持在較安全的狀態下運作。 36 11-5 健全的安全防護策略 Fluxay工具入侵實例 某機構電腦遭駭客入侵,追查後發現入侵來源為國內某 大知名企業者的電腦主機。經前往該電腦主機現場勘察, 發現該電腦主機存有大量漏洞攻擊程式、網路遠端掃瞄 結果與破密所用字典檔,攻擊者應已成功進入該業者及 其他具信賴關係的多台網路電腦主機,並自行建立成功 破解密碼檔。 37 11-5 健全的安全防護策略 第五道防制策略:滲透測試 一、滲透測試的意義 滲透測試可根據客戶要求的方法或範圍進行,測試分析者可以 使用先進、複雜的慣用技術觀念、滲透方法與工具程式模擬攻 擊行動,識別各種新發現不同且迫切修正的弱點漏洞,並安全 地探測網路。 測試過程中通常用可靠信賴的方法於受控制的環境下進行,而 最後的分析報告,應包含所有的測試經過、相關攻擊畫面、時 間點的說明資料、發現的細節解釋、分類的警告訊息及推薦的 更正建議。 二、滲透測試的特性 特性一:無全自動的滲透測試工具 特性二:依照既定流程程序進行 特性三:攻擊者的立場思考 特性四:高道德要求標準的偵測人員 特性五:確保當時的較佳防護狀態 38 11-5 健全的安全防護策略 第五道防制策略:滲透測試 三、滲透測試的套裝工具 1.Crack / Libcrack(http://www.users.dircon.co.uk/~crypto/) 2.CyberCop(http://www.pgp.com/asp_set/products/tns/ccs canner_intro.asp) 3.Firewalk(http://www.packetfactory.net/Projects/Firew alk/) 4.Hping2 (http://www.kyuzz.org/antirez/hping/) 5.ISS (http://www.iss.net) 6.John The Ripper (http://www.openwall.com/john/) 7.L0pht Crack (http://www.l0pht.com/l0phtcrack/): 8.NAT http://www.tux.org/pub/security/secnet/tools/nat10/) 39 11-5 健全的安全防護策略 第五道防制策略:滲透測試 三、滲透測試的套裝工具 9.Nessus (http://www.nessus.org) 10.Phonesweep (http://www.sandstorm.net/): 11.SARA (http://www-arc.com/sara/) 12.Toneloc 13.Whisker(http://www.wiretrip.net/rfp/p/doc.asp?id=21 &iface=2) 40 11-5 健全的安全防護策略 第六道防制策略:健全的安全防護策略 可依序採用「阻絕性」、「隱藏性」、「保密性」及 「存活性」等4項漸進式原則來加強防制措施。 漸進式原則一:「阻絕性」原則 運用多種安全保護措施,能減少網路被入侵的機會,這些措施 包括防火牆的設置、使用者認證(如來源網址的反查)、變更系 統既定密碼(以防駭客沿用)、關閉不必要的服務及存取控制 (如設定只有特定的時間或終端機才能和重要主機來往)等。 漸進式原則二:「隱藏性」原則 最好將重要檔案(如歷史稽核檔,高階語言程式的原始碼、人 員名冊或帳務資料)以連結或隱藏檔等方式偽裝於該(或其它) 系統主機的某處,並設定為只有建立檔案者才有存取的權限, 以防輕易被竊取或修改。 漸進式原則三:「保密性」原則 將重要機密的資料以編碼或加密碼的方式保護儲存,可確實有 效保護資料不外洩,即使駭客取得重要資料檔案,也會因不易 解開或解不開而黯然神傷。 41 11-5 健全的安全防護策略 第六道防制策略:健全的安全防護策略 漸進式原則四:「存活性」原則 將重要檔案定時或不定時備份於其它儲存媒體上(備份資料也 有可能被刪改或放置後門程式),以降低機密資料被竊取修改 的損失。 42 11-6 結語 許多的網路駭客本身並非邪惡不善的人, 他們只是好奇聰明的電腦玩家而已,且 大部分侵入的目的只是想追求刺激與成 就感,尚不會以惡意破壞他人電腦系統 為目的。 只要透過例行性的內部稽核、控制或查 核,還是可以提早發現網路駭客入侵的 攻擊行為並儘早作出合適的防護措施, 以嚇阻駭客行為擴張。 43 本章結束 Q&A討論時間 44