| SUPPORT |
| |
SUPPORT
-> 技术文章->
TCP/IP 安全问题
|
 系统安全实务
-
 TCP/IP
安全问题
-
-
 Terminal
Hijacking
- 入侵者利用 kernel module TAP (原用於 capture streams) 而被用来看使用者所输入的每一个键。也可以被用来写入某一
user 的 stream。也就变成 cracker 可以输入指令,"hijack" 这个 session.
TAP 的载入与要 root 来安装,如果你已做过所有的 patch 而且做了必要的措施防止入侵者得到
root 等级,则可以放心一下。你也可以将 SunOS 中 loadable module 功能关掉。 ex:
在 /sys/`arch -k`/conf 中
将 其 中 的 options VDDRV # loadable modules
然後重做 kernel...
或跑 modstat 来看系统 module 运作情形 ...
但 modstat 有可能被 cracker 换掉,记得做原始 binary 的 checksum ...
-
IP Spoofing
- 这种攻击可以使入侵者所送出的 packet 看起来像是从 trusted host 发出的,而有些以 ip
authenication 为基础的 service 可以使入侵者下命令。
(ex: rsh rlogin NFS NIS X Window ...) 而因为这些封包来自 trusted
host,所以可能会骗过防火墙。
解决方案: 有些硬体有 Input Filter 的功能,而软体部份 TCP WRAPPER 配合 IDENTD
可以挡掉 ip spoofing 攻击。只要在 TCP WRAPPER 中的 access list 加上 ALL:
UNKNOWN@ALL : DENY 即可。
-
Sniffer
- 电脑网路不像电话线,而电话网路是用 switch 的方式。电脑网路用的是共享式 (shared) 通讯频道,share
指的是电脑网路中用的是网路频宽共享的方法,而可以收到原本是要送到其他电脑的资讯。抓取这些资讯的过程就叫 sniffing.
在 local 网路中最流行的一种 ethernet。Enternet 这种 protocol 运作的方法是 broadcast。
而在 boardcast 的 packet 的 header 中,含有 destination 的 address,只有刚好
match 这个位置的电脑才会接收这个 packet。Ethernet 有一个模式叫 promiscuous mode,可将无条件的接收所有在
LAN 上广播的资料。
而在一般网路环境中,id、passwd 都是以未编码的型态传送,因此 cracker 也可以很容易的以 root
等级或一般 PC 轻易的截取网路上的封包。
截取封包的程式在网路上随手可得,如 etherfind、snoop、tcpdump、packetman ...及
DOS 版 的 etherdump。etherload ... 甚至某学校的网路作业就是写一套 sniffer
.
在 UNIX 系统中侦测工作站是否在 promicious mode 是用 ifconfig ,
ex: ifconfig -a, ifconfig le0...
Sniffer 的防止法: 改用 10BASE-T 网路架构。 软体治本方案: TCP/IP Encryption。
如 Kerberos、SNP (Secure Network Protocol) ...
|
|
|
