1. 入侵者如何进入系统?
入侵者进入系统的主要途径:
物理侵入: 如果一个侵入者对主机有物理进入权限。(比如他们能使用键盘或者参与系统),应该可以进入。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。甚至BIOS保护也很容易穿过的: 事实上所有的BIOS都有后门口令。
系统侵入: 这类侵入表现为侵入者已经拥有在系统用户的较低权限。如果系
统没有打最新的漏洞补丁，就会给侵入者提供一个利用知名漏洞获得系统管理员权限的机会。
远程侵入: 这类入侵指入侵者通过网络远程进入系统。侵入者从无特权开始这种侵入方式包括多种形式。比如如果在他/她和受害主机之间有防火墙存在侵入者就复杂得多。应该注意网络侵入检测系统主要关心远程侵入。

2.入侵者为什么能侵入系统?
软件总是存在bug。系统管理员和开发人员永远无法发现和解决所有的可能漏洞。侵入者只要发现一个漏洞就可以入侵系统。

• 软件bug
  软件bug存在于服务器后台程序(Daemons), 客户程序, 操作系统, 网络协议栈。软件bug可以分为如下几种:

  缓冲区溢出
  未处理的输入
  系统配置bug,可以分为如下类别:
  缺省配置: 许多系统交付给客户的时候采用的缺省的易用的配置。不幸的是，"易用"就意味着"易侵入"。几乎所有的交付给你的Unix和WinNT系统可以很容易的被攻击。
  懒惰的系统管理员: 惊人的数字的主机被配置成没有系统管理员口令。这个是因为系统管理员太懒惰了以至于懒得马上配置一个，他们只是希望系统最好能少麻烦的尽快启动运行。不幸，他们再也不回来设置一个，让侵入者轻易的进来。侵入者最容易的事情就是先扫描所有的机器找没有口令的主机。
  生成的漏洞: 事实上所有的程序可能被配置成一个非安全的模式。有的时候系统管理员将不注意的在主机上打开一个漏洞。许多系统管理员手册都建议系统管理员关掉所有不是绝对必要的程序和服务来避免意外漏洞。应该注意安全审计包通常可以发现这些漏洞并且提醒系统管理员
  信任的关系: 侵入者常用"岛跳"的方法利用信任关系攻击网络。一个互相信任主机的网络和他们最脆弱的连结一样安全。

• 口令解密
  真正脆弱的口令
  字典攻击
  强力攻击(Brute force attacks)
• 监听不安全的通信
  共享媒体: 传统的以太网中, 你只要在线上启动Sniffer就可以看到在一个网段的所有通信。现在这个方法由于更多公司采用交换以太网而困难。
  服务器监听: 然而在一个交换的网络里，如果你可以在一个服务器(特别是做路由器的)安装sniffer程序，你就可以可以使用得到的信息来攻击客户主机和信任主机。比如，你可能不知道某个用户的口令，通过在他登陆的时候监听Telnet会话，就可以得到他的口令。
  远程监听: 大量的主机可以RMON，带有公共团体字符串。当带宽非常低的时候(你不能监听所有的通信)，则呈现有趣的可能性。
• 设计的缺点
  甚至当一个软件完全按照设计来实现的时候，仍然可能因为设计时的bug带来被侵入。
  TCP/IP 协议缺点
  Unix 设计缺点