典型的入侵过程

一个典型的入侵过程也许如下:

步骤1.外部侦查--
入侵者会尽可能地找出实际上并不直接给予他们的资讯. 他们常通过公开资讯或伪装成正常的使用者. 用这种方式的入侵者, 将使你实在难以察觉. 如你的 网络跟你的Domain Name 一起 注册的(例如 foobar.com),入侵者可以 使用`whois`这种查表(lookup)来尽量找出你的网路(network)资讯.。

入侵者也许经由你的DNS表(使用`nslookup`,`dig`,或其他的工具程序 来作 domain 的转换)来找出你机器的名字. 入侵者会浏览其他的公开资讯, 例如 你的公开站点和 匿名(anonymous)FTP 站点. 入侵者也许会寻找关于你公司的 新闻文件和报刊的发行品。

步骤2.内部侦查--
入侵者使用更具侵略性的技术来对资讯扫描,但不会破坏 任何东西.他们将由你全部的网页来找出CGI scripts(CGI scripts 经常是容易被入侵的).他们也许会为了试探主机的存 在而使用`ping`.他们也许会用 UDP/TCP scan/strob(扫描)来 找出目标主机的可获得服务(services).他们也许会执行一个如同`rpcinfo`,`showmount`, `snmpwalk`等等 的工具程序 , 来寻找可获得的资讯.关于这点,入侵者只是做出"正常的" 网路行为,并且没有作出任何被归类为闯入(intrusion)的举动. 针对这点,NIDS会告诉你"有人在检查你的大门握把",但没有人真的去试着把门打开。

步骤3.入侵--
入侵者违越了规矩,并开始对目标主机作了可能的漏洞入侵. 入侵者尝试 在一个输入资料里,传递一个shell 指令,因而 危及CGI script.入侵者试图以传递大量的资料的方式,来侵害 一个已知的缓冲区溢位(buffer-overrun)漏洞.入侵者开始检查 有无 简单可猜(甚至 没有)密码的户帐号.一个黑客,会由 几个阶段性的入侵.例如,如果黑客可以得到一个用户的帐号, 他将试图作更进一步的入侵举动来获得 root/admin。

步骤4.立足--
在这阶段中,入侵者已经由机器的入侵,成功地在你的网路中立足.

入侵者主要的目的就是藏匿入侵证据(修改稽核(audit trail)与log档) 并确认他可以再次侵入.他们也许会安装可让他们执行的`toolkits` .用他们有着后门(backdoor)密码的木马(Trojanhorses)置换原先的服务 ,或 创造一个属于自己的使用者帐户.System IntegrityVerifiers (SIVs)可以 注意到 档案的改变 而对使用这些手段的入侵者做出检测.由于大部分的网路难以防御来自内部的侵害,入侵者将利用 这个机器作为其他机器的跳岛。

步骤5.利益--
入侵者利用他们的优势偷取机密资料,滥用系统资源(阶段性的由其他机器 侵扰你的机器)或破坏你的网页。

其他的情节也许开始情况不同.不管是入侵特定的站点或者是随机地在 网路世界中扫描特定的漏洞.例如 入侵者可能会企图扫描有着 SendMail DEBUG漏洞机器的整个网路.他们可以轻易入侵有漏洞的机器. 他们不会直接针对你,甚至不知道你是谁.(就好像`birthdayattack`般, 列出已知的系统漏洞与IP位置,凭运气的找到有着其中一项漏洞的机器)。