五千年(敝帚自珍)

主题:【原创】网络安全的故事(一) -- 代码ABC

共:💬219 🌺1998 🌵1
全看树展主题 · 分页首页 上页
/ 15
下页 末页
家园 科普贴好,八卦贴更好

纯技术讨论你给链接就行了。

网络安全这么大的一个摊子,你摆开来阵势,没个一年半载是讲不完的,上吧,兄弟们的花都给你准备好了。

BTW,你是打算偏学术呢还是偏工业呢?

家园 讨论一句话。。。

明天开始偶要连续4天讲课,此课难度挺大,要教会一群Cobol程序员开发ASP.NET的网站,进而完成一个MOSS 2007的项目开发。以上黑话难懂,其实相当于教一个自行车选手开汽车,进而去参加一级方程式比赛差不多。

应该说教会一群木匠,让他们去做一个电视的难度。。。

cobol和asp.net没有高下,只是领域不同而已,一个是做红木中国古典家具的,一个是做电子设备的。。。

家园 教COBOL程序员学ASP.NET作MOSS

跨度太大,有什么经验能传授一下么?

家园 cobol

和C#的差别比fortran和c#的差别还大

说他们没有高下也有道理,理论上说猪和类人猿都是哺乳动物,没什么高下

家园 不如招新人,难度还小点儿。
家园 做记号等填坑,再蒸包子

做记号等填坑,再蒸包子

安全。我还是主要从事的

家园 被忽悠的愤怒

等代码填坑,等了好久,盼星星盼月亮,终于盼来了。

等来等去,原来是节目预告,而且还加了诸多定语,“也许、可能、大概、差不多”。

家园 和楼下的一起愤怒

再这样忽悠,板儿砖伺候!老实点,把货交出来!

家园 我不明真相一起跟着楼下瞎起哄。。。瞎愤怒!!!

花昨天都献过呢

提示:

一人对一个帖只能 [送鲜花] 一次!!

家园 cobol到moss 2007

您这是教藤牌兵用ak-47啊。。。

webpart那块不知道你打算怎么说,发出来让小弟学习下吧。

家园 100朵花了,填坑填坑!
家园 【原创】网络安全的故事(二)

这个帖子讲什么确实让我感到有点为难,倒不是有什么敏感技术的问题。网络上的黑客教程比我这个丰富多了。为难的原因是题目起得不好。在发生安全事件的时候,管理员的第一责任是保护自己的系统,切断攻击来源。而不是追踪黑客并把他/她干掉,因此像电影中双方比赛敲键盘,最后把对方机器烧掉的事情,在现实中是不会发生的。因此想把一个专业的技术问题讲成“故事”,基本上是给自己找不痛快。

管理员对付黑客的手段不是键盘,而是日志和备份。有人反对,不是还有防火墙;还有入侵检测系统;还有入侵保护系统;还有……是的,这些的确是有力的手段,但是这些东西都有一个大家很熟悉的免责条款——本产品的能阻止黑客的攻击,但是不保证所有黑客的攻击都能阻止,并且也不保证被阻止的都是黑客的攻击。所以倒霉的事情总有可能发生,为减少这些倒霉事可能带来的损失,备份是必要的。备份还可以对付其他意外事件,如火灾、水灾、地震、恐怖袭击(某安全教材摘录),总之备份是系统的第二条命,管理员的穿越工具,谁说这不是有力手段呢?

那么日志呢?日志是一切呈堂证据,管理员通过审核日志可以发现攻击事件,进一步发掘则可以了解黑客的操作手法,进而发现系统的漏洞,亡羊补牢。不过,在日志中发现攻击事实的时候,管理员总感觉被人当面扇了一巴掌。本人在2002年底就被人扇过一次,日志显示当时系统的来宾帐号(Guest)被升级为管理员帐号,同时在眼皮底下看着某人用这个账号登录服务器留下木马。为找出人家是怎么办到的,恢复系统后打开所有日志记录和网络监控,等了差不多48小时,当黑客第二次攻击时从记录下的攻击过程发现是微软SQL Server的漏洞,检查微软的安全公告牌,显示差不多半年前已经有一个对应的补丁。于是满怀羞愧地打上补丁。一个月后这世界上其他SQL Server管理员有大半都给扇了个满天星斗,那天一个利用SQL Server这个漏洞的蠕虫几乎将大半互联网给整趴下了。

回想起来,这算一件比较幸运的事情,第一有人提前了一个多月在我这里动了手脚,第二此人嚣张地在我面前演示了第二次,第三,也是最重要的,此人的攻击再日志中留下了明显的痕迹,所以同样是半吊子的我可以比较轻易地在日志中发现问题。不幸的是,当蠕虫大爆发的时候由于网络瘫痪,在外边看来我们的服务器还是和断了没什么区别。

对于黑客来说,渗透不是最难的事情,最难的是不留下痕迹。使用肉鸡就是其中一个重要手段(后面还要提到)。在手工审核日志的系统中,由于人工处理能力有个极限,更重要的人是有惰性的,所以这个问题不难解决。其次打开太多的日志记录会影响系统的性能,管理员的日志记录也不会太细。事实上,上述事件中我日常的日志只记录比较明显的安全事件,所以在第一次攻击后,我只知道被攻击了,并不清楚攻击的方式以及漏洞在哪。必须增加日志记录的细节,以及网络实时监控才了解攻击模式。因此一个简单的方法就可以骗过大多数管理员,就是使用大量虚假的攻击记录麻痹管理员,或饱和掉系统的日志记录,然后再实施真正的攻击。此乃三十六计中混水摸鱼和趁火打劫两计的网络版。

那么有没有自动分析日志,自动发现其中异常,自动报警并且能自动处理的设备呢?

答案是——有的。这就是入侵检测系统(IDS)和入侵保护系统(IPS),这些设备就像24小时在线的管理员,它们分析所有的网络通信,所有的系统操作,所有的用户操作,从中发现异常模式,并实时地进行处理,比如报警或切断攻击连接。事实上它们是专用的日志处理机器,其日志记录的细节要比一般的管理员打开的日志要更精细。当然这些设备价格非常昂贵,以至于大多数老板觉得还是找个半吊子的管理员更为合算。

所以,大家现在应该明白日志和备份才是保证网络安全的两大武器,像IDS和IPS不过是日志的升级版罢了。

嗯,这次租个吉祥物?

关键词(Tags): #网络安全
家园 二把刀问个简单问题

如果敌人生成管理员权限,有没可能改写log?如果这样的话,是否就很难发现了?

家园 这个一般是高手所为

因为一般的管理员也只能删除整个日志,但这样也同时暴露了攻击事件。系统日志的设计通常是不能修改或删除里面的某项记录的。当然,这个设计并不十分可靠。要改还是可以的。

另外,据说某些系统的日志会在打印机上留一份

家园 常见的方法是整个日志服务器

大部分入侵者擦脚印只针对于被入侵的服务器本身

全看树展主题 · 分页首页 上页
/ 15
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河