网络攻击机制和技术发展综述

核心提示： 要想了解网卡是否被置于混杂模式，可以采用ifstatus(For solaris)或者PromiscDetect(For windows)，网络攻击机制和技术发展综述(5)，如果想远程检测混杂模式的sniffer，可以选用packetfactory的Sentinel工具，建立一个不支持LK

要想了解网卡是否被置于混杂模式，可以采用ifstatus(For solaris)或者PromiscDetect(For windows)。如果想远程检测混杂模式的sniffer，可以选用packetfactory的Sentinel工具。

最后，要确保用户单位的安全应急小组必须掌握最新的计算机后门技术动向。当发现与后门有关的通信出现的时候，用户应该对端口占用情况、活动进程和网卡工作模式进行检测，以确定究竟是谁中了后门。

核心级别的rootkits

Rootkits是被广泛使用的工具，允许攻击者获得后门级访问。过去，rootkits通常是替换操作系统中的正常二进制执行程序，如login程序、ifconfig程序等。但这两年来rootkits发展很快，发展到直接对底层内核进行操作，而不再需要去修改单个的程序。

通过修改操作系统核心，内核级的rootkits使一个被修改内核的操作系统看上去和正常的系统没有区别，它们通常都包含重定向系统调用的能力。因此，当用户执行类似ps,netstat或者ifconfig –a之类的指令的时候，实际执行的是一个特洛伊的版本。这些工具还可以隐藏进程、文件和端口使用情况等，用户将得不到真实的系统情况报告。

目前攻击者使用的rootkits有Linux、solaris和windows等系统的版本。Kernel Intrusion System是其中的一款(For Linux)，是功能最强大的内核级rootkits之一。

对于非内核级的rootkits，可以使用前面说过的完整性检查工具检查二进制执行程序文件被修改的情况。这个方法对内核级rootkits不管用。

要对付内核级的rootkits，必须加固临界系统的内核。St. Jude Project是一款监测Linux内核完整性的工具，它通过监测系统调用表的修改情况来实现对内核完整性的监控。还可以将系统配置成为固化内核的形式，建立一个不支持LKMs(loadable kernel modules)的系统内核。这样的系统效率更高，因为内存管理更简单。