Q：安全知道 - 是如何攻擊電子郵件的？

    A： 常常利用電子郵件系統(tǒng)的漏洞，結合簡單的工具就能達到攻擊目的，

如何發(fā)動攻擊

。電子郵件的持續(xù)升溫使之成為那些企圖進行破壞的人所日益關注的目標。如今， 和病毒撰寫者不斷開發(fā)新的和有創(chuàng)造性的方法，以期戰(zhàn)勝安全系統(tǒng)中的改進措施。

    毫無疑問，電子郵件是當今世界上使用最頻繁的商務通信工具，據(jù)可靠統(tǒng)計顯示，目前全球每天的電子郵件發(fā)送量已超過500億條，預計到2008年該數(shù)字將增長一倍。

    在不斷公布的漏洞通報中，郵件系統(tǒng)的漏洞該算最普遍的一項。

    常常利用電子郵件系統(tǒng)的漏洞，結合簡單的工具就能達到攻擊目的。

    電子郵件究竟有哪些潛在的風險? 在郵件上到底都做了哪些手腳?

    一同走進 的全程攻擊，了解電子郵件正在面臨的威脅和挑戰(zhàn)……

    毫無疑問，電子郵件是當今世界上使用最頻繁的商務通信工具，據(jù)可靠統(tǒng)計顯示，目前全球每天的電子郵件發(fā)送量已超過500億條，預計到2008年該數(shù)字將增長一倍。

    電子郵件的持續(xù)升溫使之成為那些企圖進行破壞的人所日益關注的目標。如今， 和病毒撰寫者不斷開發(fā)新的和有創(chuàng)造性的方法，以期戰(zhàn)勝安全系統(tǒng)中的改進措施。

    出自郵件系統(tǒng)的漏洞

    典型的互聯(lián)網(wǎng)通信協(xié)議——TCP和UDP，其開放性常常引來 的攻擊。而IP地址的脆弱性，也給 的偽造提供了可能，從而泄露遠程服務器的資源信息。

    很多電子郵件網(wǎng)關，如果電子郵件地址不存在，系統(tǒng)則回復發(fā)件人，并通知他們這些電子郵件地址無效。 利用電子郵件系統(tǒng)的這種內(nèi)在“禮貌性”來訪問有效地址，并添加到其合法地址數(shù)據(jù)庫中。

    防火墻只控制基于網(wǎng)絡的連接，通常不對通過標準電子郵件端口(25端口)的通信進行詳細審查。

    如何發(fā)動攻擊

    一旦企業(yè)選擇了某一郵件服務器，它基本上就會一直使用該品牌，因為主要的服務器平臺之間不具互操作性。以下分別概述了 圈中一些廣為人知的漏洞，并闡釋了 利用這些安全漏洞的方式。

    一、IMAP 和 POP 漏洞

    密碼脆弱是這些協(xié)議的常見弱點。各種IMAP和POP服務還容易受到如緩沖區(qū)溢出等類型的攻擊。

    ·看看 是如何攻擊電子郵件系統(tǒng)的(2)

    二、拒絕服務(DoS)攻擊

    1.死亡之Ping——發(fā)送一個無效數(shù)據(jù)片段，該片段始于包結尾之前，但止于包結尾之后。

    2.同步攻擊——極快地發(fā)送TCP SYN包(它會啟動連接)，使受攻擊的機器耗盡系統(tǒng)資源，進而中斷合法連接。

    3.循環(huán)——發(fā)送一個帶有完全相同的源/目的地址/端口的偽造SYN包，使系統(tǒng)陷入一個試圖完成TCP連接的無限循環(huán)中。

    三、系統(tǒng)配置漏洞

    企業(yè)系統(tǒng)配置中的漏洞可以分為以下幾類:

    1.默認配置——大多數(shù)系統(tǒng)在交付給客戶時都設置了易于使用的默認配置，被 盜用變得輕松。

    2.空的/默認根密碼——許多機器都配置了空的或默認的根/管理員密碼，并且其數(shù)量多得驚人。

    3.漏洞創(chuàng)建——幾乎所有

    四、利用軟件問題

    在服務器守護程序、客戶端應用程序、操作系統(tǒng)和網(wǎng)絡堆棧中，存在很多的軟件錯誤，分為以下幾類:

    1.緩沖區(qū)溢出——程序員會留出一定數(shù)目的字符空間來容納登錄用戶名， 則會通過發(fā)送比指定字符串長的字符串，其中包括服務器要執(zhí)行的代碼，使之發(fā)生數(shù)據(jù)溢出，造成系統(tǒng)入侵。

    2.意外組合——程序通常是用很多層代碼構造而成的，入侵者可能會經(jīng)常發(fā)送一些對于某一層毫無意義，但經(jīng)過適當構造后對其他層有意義的輸入。

    3.未處理的輸入——大多數(shù)程序員都不考慮輸入不符合規(guī)范的信息時會發(fā)生什么，

電腦資料

《如何發(fā)動攻擊》(http://www.msguai.com)。

    ·看看 是如何攻擊電子郵件系統(tǒng)的(3)

    五、利用人為因素

    使用高級手段使用戶打開電子郵件附件的例子包括雙擴展名、密碼保護的Zip文件、文本欺騙等。

    六、特洛伊木馬及自我傳播

    結合特洛伊木馬和傳統(tǒng)病毒的混合攻擊正日益猖獗。 所使用的特洛伊木馬的常見類型有:

    1.遠程訪問——過去，特洛伊木馬只會偵聽對 可用的端口上的連接。而現(xiàn)在特洛伊木馬則會通知 ，使 能夠訪問防火墻后的機器。有些特洛伊木馬可以通過IRC命令進行通信，這表示從不建立真實的TCP/IP連接。

    2.數(shù)據(jù)發(fā)送——將信息發(fā)送給 。方法包括記錄按鍵、搜索密碼文件和其他秘密信息。

    3.破壞——破壞和刪除文件。

    4.拒絕服務——使遠程 能夠使用多個僵尸計算機啟動分布式拒絕服務(DDoS)攻擊。

    5.代理——旨在將受害者的計算機變?yōu)閷?可用的代理服務器。使匿名的TelNet、ICQ、IRC等系統(tǒng)用戶可以使用竊得的信用卡購物，并在 追蹤返回到受感染的計算機時使 能夠完全隱匿其名。

    典型的 攻擊情況

    盡管并非所有的 攻擊都是相似的，但以下步驟簡要說明了一種“典型”的攻擊情況。

    步驟1:外部偵察

    入侵者會進行‘whois’查找，以便找到隨域名一起注冊的網(wǎng)絡信息。入侵者可能會瀏覽DNS表(使用‘nslookup’、‘dig’或其他實用程序來執(zhí)行域傳遞)來查找機器名。

    步驟 2:內(nèi)部偵察

    通過“ping”掃描，以查看哪些機器處于活動狀態(tài)。 可能對目標機器執(zhí)行UDP/TCP 掃描，以查看什么服務可用。他們會運行“rcpinfo”、“showmount”或“snmpwalk”之類的實用程序，以查看哪些信息可用。 還會向無效用戶發(fā)送電子郵件，接收錯誤響應，以使他們能夠確定一些有效的信息。此時，入侵者尚未作出任何可以歸為入侵之列的行動。

    ·看看 是如何攻擊電子郵件系統(tǒng)的(4)

    步驟 3:漏洞攻擊

    入侵者可能通過發(fā)送大量數(shù)據(jù)來試圖攻擊廣為人知的緩沖區(qū)溢出漏洞，也可能開始檢查密碼易猜(或為空)的登錄帳戶。 可能已通過若干個漏洞攻擊階段。

    步驟 4:立足點

    在這一階段， 已通過竊入一臺機器成功獲得進入對方網(wǎng)絡的立足點。他們可能安裝為其提供訪問權的“工具包”，用自己具有后門密碼的特洛伊木馬替換現(xiàn)有服務，或者創(chuàng)建自己的帳戶。通過記錄被更改的系統(tǒng)文件，系統(tǒng)完整性檢測(SIV)通�？梢栽诖藭r檢測到入侵者。

    步驟 5:牟利

    這是能夠真正給企業(yè)造成威脅的一步。入侵者現(xiàn)在能夠利用其身份竊取機密數(shù)據(jù)，濫用系統(tǒng)資源(比如從當前站點向其他站點發(fā)起攻擊)，或者破壞網(wǎng)頁。

    另一種情況是在開始時有些不同。入侵者不是攻擊某一特定站點，而可能只是隨機掃描Internet地址，并查找特定的漏洞。

    郵件網(wǎng)關對付

    由于企業(yè)日益依賴于電子郵件系統(tǒng)，它們必須解決電子郵件傳播的攻擊和易受攻擊的電子郵件系統(tǒng)所受的攻擊這兩種攻擊的問題。解決方法有:

    1.在電子郵件系統(tǒng)周圍鎖定電子郵件系統(tǒng)——電子郵件系統(tǒng)周邊控制開始于電子郵件網(wǎng)關的部署。電子郵件網(wǎng)關應根據(jù)特定目的與加固的操作系統(tǒng)和防止網(wǎng)關受到威脅的入侵檢測功能一起構建。

    2.確保外部系統(tǒng)訪問的安全性——電子郵件安全網(wǎng)關必須負責處理來自所有外部系統(tǒng)的通信，并確保通過的信息流量是合法的。通過確保外部訪問的安全，可以防止入侵者利用Web郵件等應用程序訪問內(nèi)部系統(tǒng)。

    3.實時監(jiān)視電子郵件流量——實時監(jiān)視電子郵件流量對于防止 利用電子郵件訪問內(nèi)部系統(tǒng)是至關重要的。檢測電子郵件中的攻擊和漏洞攻擊(如畸形MIME)需要持續(xù)監(jiān)視所有電子郵件。

    在上述安全保障的基礎上，電子郵件安全網(wǎng)關應簡化管理員的工作、能夠輕松集成，并被使用者輕松配置。