物理侵入: 如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的: 事实上所有的BIOS都有后门口令。

    系统侵入: 这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。

    远程侵入: 这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在侵入者就复杂得多。

    应该注意网络侵入检测系统主要关心远程侵入。

    1.4 入侵者为什么能侵入系统?
    软件总是存在bug。系统管理员和开发人员永远无法发现和解决所有的可能漏洞。侵入者只要发现一个漏洞就可以入侵系统。

    1.4.1 软件bug

    软件bug存在于服务器后台程序(Daemons), 客户程序, 操作系统, 网络协议栈。软件bug可以分为如下几种:

    缓冲区溢出: 我们读来的几乎所有的安全漏洞归于这一类。一个典型的例子是一个开发人员设定了一个256字符长的缓冲区来存储用户名。开发人员想当然的认为没有人的名字比这个长。但是黑客想，如果我输入一个错误的很长的用户名会发生什么呢? 附加的字符会去哪里?如果黑客恰巧做对了, 他们发送300个字符, 包括了被服务器执行的代码，并且，他们进入了系统。黑客们通过几个方法发现这些bug。
    首先，很多服务的源代码在网络上是公开的。黑客们经常读这些代码寻找有缓冲区溢出问题的程序。
    第二，黑客们可以读程序本身来看是否有问题存在，虽然读汇编代码输出真的很难。
    第三，黑客们会检查程序所有的输入并且试图利用随机数据来溢出。如果程序崩溃了，就会存在让黑客认真构造输入并且允许进入的机会。应该注意这个问题在C/C++编写的程序中普遍存在，却很少出现在Java的程序当中。
    意外结合: 程序通常被组合成很多层代码，包括了潜在的作为最下面的操作系统层。侵入者常可以发送一些对于一层无意义的输入, 却对其他层有意义。Web上最常见的控制用户输入的语言就是Perl。Perl写的程序往往发送这些输入到其他的程序来进一步的处理。
一个常见的黑客技术就是输入字符串"|mail < /etc/passwd"。这个命令得以执行是因为操作系统为这个输入启动一个附加的程序。然而操作系统解释管道符"|"并且按语义启动"mail"程序，结果是将password文件寄给侵入者。

    未处理的输入: 很多程序写成处理有效的输入，很多程序员不知道当一些人的输入不符合规格的后果。

    竞争(Race)条件: 现在的许多系统是多任务/多线程的。这就意味着他们可以同时运行多个程序。如果两个程序同时访问同一个数据就会发生危险。想象A和B的两个程序，需要修改同一个文件。为了修改，每个程序将文件读入内存，在内存中改变内容，然后将内存复制到文件。当程序A将文件读入内存并且进行修改的时候，产生了一个竞争条件。在A写文件前，程序B执行并且获得读写权限。现在程序A将内存复制到文件中。因为程序A 在B修改前开始，所有B的修改丢失了。因为你必须获得正确的执行顺序，所以竞争条件是非常稀有的。侵入者通常不得不试上千次，然后获得权限，进入系统。

    1.4.2 系统配置
    系统配置bug可以分为如下类别:

    缺省配置: 许多系统交付给客户的时候采用的缺省的易用的配置。不幸的是，"易用"就意味着"易侵入"。几乎所有的交付给你的Unix和WinNT系统可以很容易的被攻击。

   懒惰的系统管理员: 惊人的数字的主机被配置成没有系统管理员口令。这个是因为系统管理员太懒惰了以至于懒得马上配置一个，他们只是希望系统最好能少麻烦的尽快启动运行。不幸，他们再也不回来设置一个，让侵入者轻易的进来。侵入者最容易的事情就是先扫描所有的机器找没有口令的主机。

   生成的漏洞: 事实上所有的程序可能被配置成一个非安全的模式。有的时候系统管理员将不注意的在主机上打开一个漏洞。许多系统管理员手册都建议系统管理员关掉所有不是绝对必要的程序和服务来避免意外漏洞。应该注意安全审计包通常可以发现这些漏洞并且提醒系统管理员

    信任的关系: 侵入者常用"岛跳"的方法利用信任关系攻击网络。一个互相信任主机的网络和他们最脆弱的连结一样安全。

   1.4.3 口令解密
    这个是一个特殊的部分。

    真正脆弱的口令: 很多人使用他们自己的名字，孩子的名字，配偶的名字，宠物的名字，或者小车的型号做口令。也有的用户使用"password"或者简单到什么也没有。这给出了侵入者可以自己键入的不多与30个可能性的列表。

    字典攻击: 上述攻击失败后，侵入者开始试图"字典攻击"。这种方法,侵入者利用程序尝试字典中的单词的每种可能。字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配。侵入者通常利用一个英语字典或其他语言的字典。他们也使用附加的类字典数据库，比如名字和常用的口令。

    强力攻击(Brute force attacks): 同字典攻击类似，侵入者可能尝试所有的字符组合方式。一个4个由小写字母组成的口令可以在几分钟内被破解。(大约的共有50万个可能的组合)一个较长的由大小写字母组成的口令，包括数字和标点(10万亿种可能的组合)可以在一个月内破解，如果你可以每秒试100万种组合。(实际上，一个单机每秒可以算上几千次。)

    1.4.4 监听不安全的通信
    共享媒体: 传统的以太网中, 你只要在线上启动Sniffer就可以看到在一个网段的所有通信。现在这个方法由于更多公司采用交换以太网而困难。

    服务器监听: 然而在一个交换的网络里，如果你可以在一个服务器(特别是做路由器的)安装sniffer程序，你就可以可以使用得到的信息来攻击客户主机和信任主机。比如，你可能不知道某个用户的口令，通过在他登陆的时候监听Telnet会话，就可以得到他的口令。

    远程监听: 大量的主机可以RMON，带有公共团体字符串。当带宽非常低的时候(你不能监听所有的通信)，则呈现有趣的可能性。

    1.4.5 设计的缺点
    甚至当一个软件完全按照设计来实现的时候，仍然可能因为设计时的bug带来被侵入。

    TCP/IP 协议缺点: TCP/IP协议在我们有很多被黑经验前被设计。结果有很多可能引起安全问题的设计缺点。一些例子比如smurf攻击,ICMP不可达的连结, IP哄骗, 和SYN floods。最大的问题是IP协议本身非常信任: 黑客自由的伪造和更改IP数据。IPSec被设计成解决了很多的缺点，但是没有被广泛的应用。

    Unix 设计缺点: 有很多Unix固有的缺点使得Unix系统频繁的被入侵。主要问题是权限控制系统, 只有"root"才是系统管理员权限。结果:

    1.5 入侵者如何获得口令?

    入侵者利用如下方法获得口令:

    明文监听: 一些协议(Telnet, FTP, 基本HTTP)使用明文的口令，意味着他们在比如客户/服务器传输过程中不进行加密。入侵者可以使用一个协议分析仪观察线缆上的这样的口令。不需要更多的努力；入侵者马上可以使用这些口令来登陆。

    密文监听: 许多协议，使用加密的口令。这种情况下，入侵者就需要执行字典或者强力攻击口令来试图解密。应该注意到你不能发现入侵者的存在，因为他/她是完全被动并且不用向线缆传送任何东西。口令破解在入侵者利用自己的机器来鉴权的时候，不许要发送人和东西到线缆。

    重放(Replay)攻击: 很多情况下，入侵者不必解密口令。他们可以使用加密的格式来代替登陆系统。这通常需要重新编码客户端软件来使用加密的口令

    口令文件窃取: 所有的用户数据库通常存储在磁盘上的一个单个文件。UNIX下这个文件是/etc/passwd(或者这个文件的其他镜像),WinNT下，是SAM文件每个方法，一旦入侵者取得了这个文件，他/她就能运行解密程序(如上面所述)来发现文件中一些脆弱的密码。

    观察: 一个传统的口令安全问题是口令必须长而且难猜(使得字典和强力攻击不合理的困难)。然而，这样的口令往往很难记忆，所以用户就在某地写下来。入侵者常可以搜寻一个个人办公桌来发现写到小字条上的口令(一般在键盘下面)。入侵者也可以自己训练在用户后面观察口令的键入。

    交际工程: 一个普通(且成功)的技巧是简单的打个电话给用户并且说 "hi,我是MIS组的Bob, 我们正跟踪网络上的一些问题，并且出现在你的机器里。你用的是什么口令呢?"许多用户会在这种情况下放弃他们的口令。(许多公司有政策让用户永远不要给出他们的口令，甚至他们自己的MIS部门，但是这个伎俩仍然成功。一个简单的解决方法就是MIS组打电话给6个月的雇员问他们口令，然后批评他们的错误，这样他们就不会忘记了:-)

    1.6典型的入侵过程?

    一个典型的入侵过程也许如下:

    步骤1.外部侦查--
    入侵者会尽可能地找出实际上并不直接给予他们的资讯.他们常通过公开资讯或伪装成正常的使用者.用这种方式的入侵者, 将使你实在难以察觉. 如你的网络跟你的Domain Name 一起 注册的(例如 foobar.com),入侵者可以使用'whois'这种查表(lookup)来尽量找出你的网路(network)资讯.

    入侵者也许经由你的DNS表(使用'nslookup','dig',或其他的工具程序 来作 domain 的转换)来找出你机器的名字.入侵者会浏览其他的公开资讯, 例如 你的公开站点和匿名(anonymous)FTP 站点. 入侵者也许会寻找关于你公司的新闻文件和报刊的发行品.

     步骤2.内部侦查--
    入侵者使用更具侵略性的技术来对资讯扫描,但不会破坏任何东西.他们将由你全部的网页来找出CGI scripts(CGIscripts 经常是容易被入侵的).他们也许会为了试探主机的存在而使用'ping'.他们也许会用 UDP/TCP scan/strob(扫描)来找出目标主机的可获得服务(services).他们也许会执行一个如同 'rpcinfo','showmount', 'snmpwalk'等等 的工具程序, 来寻找可获得的资讯.关于这点,入侵者只是做出"正常的"网路行为,并且没有作出任何被归类为闯入(intrusion)的举动.针对这点,NIDS会告诉你"有人在检查你的大门握把",但没有人真的去试着把门打开.

    步骤3.入侵--
    入侵者违越了规矩,并开始对目标主机作了可能的漏洞入侵.入侵者尝试 在一个输入资料里,传递一个shell 指令,因而危及CGI script.入侵者试图以传递大量的资料的方式,来侵害一个已知的缓冲区溢位(buffer-overrun)漏洞.入侵者开始检查有无简单可猜(甚至 没有)密码的户帐号.一个黑客,会由几个阶段性的入侵.例如,如果黑客可以得到一个用户的帐号,他将试图作更进一步的入侵举动来获得 root/admin.

    步骤4.立足--
    在这阶段中,入侵者已经由机器的入侵,成功地在你的网路中立足.

    入侵者主要的目的就是藏匿入侵证据(修改稽核(audit trail)与log档)并确认他可以再次侵入.他们也许会安装可让他们执行的'toolkits'.用他们有着后门(backdoor)密码的木马(Trojanhorses)置换原先的服务或创造一个属于自己的使用者帐户.System IntegrityVerifiers(SIVs)可以 注意到 档案的改变 而对使用这些手段的入侵者

    做出检测.由于大部分的网路难以防御来自内部的侵害,入侵者将利用这个机器作为其他机器的跳岛.

   步骤5.利益--
入侵者利用他们的优势偷取机密资料,滥用系统资源(阶段性的由其他机器侵扰你的机器)或破坏你的网页.

    其他的情节也许开始情况不同.不管是入侵特定的站点或者是随机地在网路世界中扫描特定的漏洞.例如 入侵者可能会企图扫描有着SendMail DEBUG漏洞机器的整个网路.他们可以轻易入侵有漏洞的机器.他们不会直接针对你,甚至不知道你是谁.(就好像'birthdayattack'般,列出已知的系统漏洞与IP位置,凭运气的找到有着其中一项漏洞的机器)

    1.7一般的入侵类型有哪些?

    有三种攻击方式:

    侦察--包括ping扫描,DNS zone 转换,e-mail侦察,TCP 或 UDP 端口(port)扫描(scan),与经由公开网页伺服器可能的索引(indexing),来发现CGI漏洞.

    漏洞--入侵者将会利用隐密的特性或缺陷(bugs)来存取系统.

    拒绝服务(denial-of-service)(DOS)攻击--入侵者试图破坏服务(或机器),使网路连结(link)超载,CPU超载,填满硬盘.入侵者不是想获得资讯,而是仅仅以如破坏者般的行为而不让你使用机器.

    1.8 常见漏洞有哪些?

    1.8.1 CGI脚本(scripts)

    CGI程式是恶名昭彰地不安全.典型的安全漏洞包括 经由shell特殊字元(metacharacters)的利用,直接传递变质的输入于命令shell里.使用隐藏的变数,指定系统里的档案名(filename),或揭示更多系统的种种.最为人知的CGI缺陷就是装载于NCSA httptd的'phf'数据库(library).'phf'library 假定为允许 伺服解析(sever-parsed)HTML,而造成 传回任何档案 的漏洞. 其他入侵者试图使用的
知名CGI脚本漏洞有:TextCounter, GuestBook, EWS,info2www, Count.cgi, handler, webdist.cgi,php.cgi, files.pl, nph-test-cgi, nph-publish,
    AnyForm, FormMail.如果你发现有人试图存取上述的CGI脚本(但你没有使用他们),这便清楚显示了一个入侵的意图(假设你没有把你想使用的CGI脚本用那个缺陷版本安装).

    1.8.2 Web 服务器(server) 攻击

    在CGI程序执行后,Web服务器可能有了其他的漏洞.非常多的self-written Web服务器(包括IIS 1.0 与 NetWare2.x)会因为在一档案名之中,能把一连的"../"写在路径(path)名里,因而跳到系统档案的其他地方,得到任何档案.其他的一般漏洞,就是在 请求(request)域(field)或其他HTTP数据缓冲区溢出.

    Web服务器常因为与其底层的operating system有着互动的关系 ,而产生漏洞.在Microsoft IIS里有个古老的漏洞被使用,因档案有两个档案名--一个长档名与一个短的相应8.3形式名 ,有时能绕过允许机制 而获得存取.NTFS (the new file system)有一个特色,名为--"alternate data streams" 相似于Macintosh系统的数据与资源 forks.你可以在通过streamname时,添加上"::$DATA"(这是为了看他的脚本而不是执行什么),来存取他的档案.服务器长久以来因URLs而存在着问题.例如"death by a thousand slashes"问题,导致Apache产生大量的CPU负载,因它试着在数以千计的"/" URL中处理每一个目录.

    1.8.3 Web浏览器 攻击
    Microsoft与Netscape的Web浏览器,都有安全漏洞(当然啦,虽然最新版本的,我们还没发现),这包括了URL, HTTP, HTML,javascript, Frames, Java, 与 ActiveX 攻击.

    URL数据段,会有缓冲区溢位的情况,当它由HTTP标头(header)被解悉时,在屏幕上显示时,或于某种形式被处理(如由cache history储存).而且,有着古老Internet
    Explorer漏洞的在浏览器,在执行 LNK或URL命令时会伴随着能在内部造成影响的漏洞.

    HTTP 头可能因为传递给只收特定值的函数而产生漏洞

    HTML常会存在漏洞,如 MIME-type 缓冲区溢位于Netscape Communicator的<EMBED> 命令.

    javascript长久以来都很受喜爱,并常常试着经由产生一个档名 与 自动地隐藏"SUBMIT" button来侵害 "file upload" 函式 . 已有许多不同的这种漏洞被修正了,然而会有新发现的方法来绕过修正.

    Frames 常如 javascript的一部份般, 或 Java hack来使用 经由一个象素大小的屏幕,把网页隐藏)但它们呈现了特别的问题.如 我能 包含一个连结到一个可信赖的 使用者frames 的站点,然后以我自己站点的网页置换那些frames的一部份,于是它们将会以那个远程站点的一部份般 出现在你面前.

    Java
    有一个健全的安全模型(model),但经证实那个模型有着特殊的漏洞(虽然与其他的任何事物相比,它被证实是整个系统最为安全的元件之一).再者,它的健全安全性,也许是它的undoing:正常的Java applets 无法存取当地(local)系统,但有时,如果他们真能存取当地系统的话,它们将会更为有用.因此,"信任(trust)"模型的完成,更容易被入侵.

    ActiveX 甚至比 Java更危险, 当它是由一个信任模型纯粹运作并执行 原有的(native)程序码. 你甚至会偶然地感染到病毒(virus)( 在贩售商的程序码中意外地被植入(imbeded)).

    1.8.4 SMTP (SendMail) 攻击
    SendMail 是一个极端复杂并被广泛使用的程序, 是以,它频为安全漏洞的来源. 在过去( '88 Morris Worm的时期),黑客会利用DEBUG命令的漏洞或隐藏 WIZ 的特徵来闯入SMTP. 近来,他们经常试着用 缓冲区溢位手段.SMTP 也被用做侦察(reconnaissance) 攻击, 如利用VRFY命令找出使用者名子.

    1.8.5 Access
    失败的 login 企图,失败的档案存取企图, passwordcracking,管理者权力的滥用.

    1.8.6 IMAP
    使用者经由 IMAP 协定从服务器收email (在对比之下, SMTP介于服务器之间传送e-mail ). 黑客已在一些受欢迎的IMAP服务器里发现漏洞.

    1.8.7 IP spoofing
    有些类型的攻击是利用技术来伪造(或 'spoof')你的IP地址.一个原始地址 伴随着 每个IP包(packet)被传送时,实际上它可以不是被用于routing. 这表示当与服务器交谈(talkin)时,一个入侵者可以佯装成你 . 入侵者不会收到应答(response)包 (虽然你的机器有见到,但把他们丢弃了, 因为 它们不符合你之前传递的任何请求(request) ). 入侵者不会经由这种方式取得数据,而是仍假装成你,传送命令给服务器.

    IP spoofing 经常有如其他的攻击的部分般使用着:SMURF以伪造的源地址广播方式ping,导致大量的机器应答,经由地址,回覆到受害者, 使它(或它的连结)负载.

    TCP序号预选
    在TCP连接 的起始, 你这端必须选择一个序号, 而服务器端也必须选择一个序号. 较老的 TCP栈选择一个可预测的有续数字, 而让入侵者由一个 伪造的
    IP地址(他们本来不应该看到应答包)想必能绕过安全机制.

    DNS 通过可预知序号中毒

    DNS服务器 会 "递归" 解析DNS名.因此,在它满足一个用户端 要求(request) 时,它本身也成为递归链下个服务器的客户它使用的有序号是可预测的.因此, 一个入侵者可以传送 一个要求到DNS服务器 并传送一个回应到服务器以伪装成为 链结中的下一个服务器.它会相信伪装回应, 并使用它来满足其他的用户端.

    1.8.8 缓冲区溢位
    一些其他的 缓冲区溢位 攻击有:
   DNS 溢位.
    过长的 DNS名,传送到服务器中.DNS名限制了每一个次要成分(subcomponent)是64-bytes而总体是于256-bytes.

    statd 溢位
    当提交了过长的档案名.

   1.8.9 DNS 攻击
    DNS 是一个首要的目标.因为如果你能侵害(corrupt)DNS服务器, 你便能利用信任关系 .DNS 缓存中毒每个DNS包, 包括了一个 "询问(Question)" 节与"回答(Answer)"节. 有缺陷的服务器 将会相信 (并 缓存)在传送问题时伴随的 回答大部分,但不是全部的 DNS 服务器 已于 1998 11月,被补丁(patched) .
    DNS poisoning through sequence prediction如上
    DNS溢位如上

    1.10 什么是拒绝服务? (DoS)?
    1.10.1 Ping-of-Death
    传送一个 开始于包(packet)的尾末之前 ,但扩展到包的尾末之后的无效片段(fragment).

    1.10.2 SYN 泛滥(Flood)
    很快速地传送 TCP SYN包(做为连接(connection)的开启),让受害者处于 等待完成大量连接 的状态, 造成他 资源的耗尽与丢弃合法的连接.一个新的防范措施 --"SYN cookies". 每一个连结端 有他自己的序数(sequence-number).对于一个SYN的反应,被攻击的机器 产生一个 特别的序数(一个连结的"cookie")然后忘却关于连接的一切.然后当一个合法的连接的包来到时,它便能再创造 关于连接的遗漏资讯.

    1.10.3 Land/Latierra
    传送与 来源/目的 地址/阜号 相同的伪造SYN包 ,受害系统便 试着完成TCP连接的无穷回路(infinite loop).

    1.10.4 WinNuke
    在TCP连接时 传送 OOB/URG资料 到端口号139(NetBIOS Session/SMB)上,造成Windows系统(死机)hang.