系統(tǒng)攻擊有許多種類，本節(jié)從攻擊級別的角度進(jìn)行說明。圖1-6顯示了攻擊的6個(gè)等級，每一層代表一個(gè)進(jìn)入目標(biāo)網(wǎng)絡(luò)的深度，我們稱之為敏感級(Levels of sensitivity)，箭頭與層次相連的點(diǎn)標(biāo)志了對應(yīng)于每一破譯技術(shù)的危險(xiǎn)程度，我們將它稱為攻擊狀態(tài)(States of attack)。

圖  攻擊的6個(gè)等級

　　1.級別1

　　A箭頭：表示郵件炸彈的攻擊。

　　B箭頭：表示簡單拒絕服務(wù)攻擊。

　　在級別1范圍內(nèi)的攻擊基本上互不相關(guān)。包括拒絕服務(wù)攻擊和郵件炸彈，這些攻擊一般比較好制止，這是因?yàn)檫@些攻擊是以垃圾信息方式進(jìn)行的。在大多數(shù)情況下，只須應(yīng)用排除模式設(shè)置就可以解決這個(gè)問題。拒絕服務(wù)攻擊包括：簡單拒絕服務(wù)攻擊、分布拒絕服務(wù)攻擊、DNS分布拒絕服務(wù)攻擊和FTP攻擊。

　　對于這四種攻擊可以采用以下措施：

　　關(guān)閉不必要的服務(wù)。

　　限制同時(shí)打開的SYN半連接數(shù)目。

　　縮短SYN半連接的time out時(shí)間。

　　及時(shí)更新系統(tǒng)補(bǔ)丁。

　　拒絕服務(wù)攻擊經(jīng)常發(fā)生，解決此問題的最佳方法就是在inetd.sec文件DENY清單中加入入侵者源主機(jī)/網(wǎng)絡(luò)名阻止入侵行為，除屏蔽網(wǎng)絡(luò)連接外，還沒有一種主動性的方法可以避免這種攻擊。不過需要注意的是，如果證實(shí)了一次拒絕服務(wù)攻擊，應(yīng)該檢查系統(tǒng)是否可能遭受其他攻擊，拒絕服務(wù)攻擊常常是電子欺騙的先行者(甚至是組成部分)。如果觀察到某臺機(jī)器特定端口上的一次全面的Flooding攻擊，請觀測這個(gè)端口，弄清這個(gè)端口是干什么用的，檢查它限制什么服務(wù)。如果那種服務(wù)是內(nèi)部系統(tǒng)的組成部分，那么要特別小心。那些貌似拒絕服務(wù)的攻擊，事實(shí)上就是突破網(wǎng)絡(luò)安全的開始。通常情況下，拒絕服務(wù)攻擊會持續(xù)很長一段時(shí)間。

　　如果是同步Flooding攻擊，這里有一些識別攻擊者的方法。攻擊者在每一次實(shí)施ping時(shí)，向目標(biāo)報(bào)出了他的IP地址。雖然沒有給出攻擊者的E-mail地址，但我們可以追蹤其最終源(注意，追蹤程序?qū)⒔沂竟�擊者出發(fā)的真實(shí)網(wǎng)絡(luò)地址，這通常是反向追蹤程序查找的最后一項(xiàng)內(nèi)容)。

　　大多數(shù)拒絕服務(wù)攻擊導(dǎo)致相對較低的危險(xiǎn)，即便是那些可能導(dǎo)致重啟的攻擊也僅僅是暫時(shí)性的問題。這類攻擊在很大程度上不同于那些想獲取網(wǎng)絡(luò)控制的攻擊。

　　郵件炸彈的攻擊也叫郵件水災(zāi)攻擊，發(fā)生在當(dāng)許多郵件被發(fā)送至一個(gè)目標(biāo)，發(fā)送代理人被覆蓋時(shí)，郵件水災(zāi)會破壞其他交流程序的穩(wěn)定。用郵件來使一個(gè)系統(tǒng)蒙受災(zāi)難是殘酷的，但卻是有效的，攻擊者的目的就是要破壞郵件服務(wù)器。誘發(fā)郵件水災(zāi)攻擊的有趣方法之一是利用一些郵件申請的自動反應(yīng)功能。一旦黑客發(fā)現(xiàn)對兩個(gè)不同的系統(tǒng)能做出活躍的、自動的應(yīng)答時(shí)，他就能指使一個(gè)郵件發(fā)送到另一個(gè)。因?yàn)閮烧叨际菍γ總�(gè)信息做出自動應(yīng)答，他們制造了一個(gè)信息回饋孔，這會比其他系統(tǒng)收集到更多的郵件。至于郵件水災(zāi)，通常很容易追查到攻擊者。此外，bozo files(kill文件)和排除模式配置基本上能阻止這些攻擊。

　　2.級別2和級別3

　　C箭頭：表示本地用戶獲得非授權(quán)訪問。

　　D箭頭：表示本地用戶獲得他們不該擁有的文件寫入權(quán)限。

　　E箭頭：表示遠(yuǎn)程用戶獲得了非授權(quán)賬號。

　　級別2和級別3包括諸如本地用戶獲取到了他們本不可以訪問的文件的讀寫權(quán)限這類事件。當(dāng)然，任何本地用戶訪問/tmp目錄都具有危險(xiǎn)性，它能夠潛在地鋪設(shè)一條通向級別3的路。在級別3，用戶可以獲取寫訪問權(quán)限(并由此過渡到級別4環(huán)境)。

　　級別2攻擊是危險(xiǎn)的，并很容易發(fā)展為級別3、級別4、級別5和級別6。如果運(yùn)行這種網(wǎng)絡(luò)，請立即取得上述訪問控制設(shè)備，如果不照此進(jìn)行，某些人想破壞網(wǎng)絡(luò)僅僅是時(shí)間問題。如果有可能，請監(jiān)控所有流經(jīng)端口137~139的消息，其間將產(chǎn)生共享進(jìn)程。

　　本地攻擊的難度不太大。所謂本地用戶(Local user)，我們認(rèn)為是相對而言的。在網(wǎng)絡(luò)世界中，本地用戶是在本地網(wǎng)絡(luò)的任一臺機(jī)器上有口令，因而在某一驅(qū)動器上有一個(gè)目錄的用戶(無論那個(gè)目錄的服務(wù)目的是什么)。

　　由本地用戶啟動的攻擊幾乎都是從遠(yuǎn)程登錄開始的。對于ISP，最好的辦法是將所有shell賬號放置于一個(gè)單獨(dú)的機(jī)器上，也就是說，只在一臺或多臺分配有 shell訪問的機(jī)器上接受注冊。這可以使日志管理、訪問控制管理、釋放協(xié)議和其他潛在的安全問題管理更容易些。還應(yīng)該將存放用戶CGI的系統(tǒng)區(qū)分離出來。這些機(jī)器應(yīng)該隔離在特定的網(wǎng)絡(luò)區(qū)段，也就是說，根據(jù)網(wǎng)絡(luò)的配置情況，它們應(yīng)該被路由器或網(wǎng)絡(luò)交換機(jī)包圍。其拓?fù)浣Y(jié)構(gòu)應(yīng)該確保硬件地址不能超出這一特定區(qū)段。

　　針對這些利用訪問控制營造所需環(huán)境的攻擊，有兩種涉及許可權(quán)的關(guān)鍵因素，每一種都能影響到級別2是否會升級到級別3、4或5。這些因素是：