66、网络攻击后的规避与隐藏技术

网络攻击后的规避与隐藏技术

1. 系统日志文件的篡改与删除

Syslog日志文件条目可能在目标Syslog服务器上遭到破坏，也可能通过操纵源服务器上的日志记录工具被篡改。在理论上，未加密的Syslog数据在通过中间网络传输时，有可能被删除或篡改，攻击者还可能向Syslog数据流中注入多余或伪造的日志文件消息。

攻击者可以使用“logger”等实用工具，或者“openlog”“syslog”和“closelog”等库例程，将伪造的Syslog消息“注入”到日志文件中。例如，“logger”实用工具提供了一个shell接口，用于向syslogd提交Syslog消息，并支持捕获进程ID和Syslog优先级的选项，还能指定目标日志文件。管理员和攻击者都可以从命令行或通过脚本调用“logger”来向Syslog提交数据。由于Syslog数据默认不进行身份验证和加密，这就为攻击者向系统日志文件提交伪造的Syslog消息提供了可乘之机。

日志文件的删除与UNIX日志记录章节中的情况类似。此外，攻击者还可以通过终止或禁用Syslog守护进程（syslogd）来禁用日志文件。这可以通过向Syslog进程直接发送信号（如果攻击者具有本地系统访问权限），或者利用拒绝服务攻击远程禁用Syslog服务来实现。历史上，Syslog服务容易受到缓冲区溢出、数据包洪泛和磁盘空间耗尽等问题的影响。

攻击者还可以通过操纵源日志记录工具来控制Syslog记录的数据类型。这可以通过影响操作系统或应用程序组件，或者直接编辑源主机上的 /etc/syslog.conf 文件来实现，但这种操作可能会被系统管理员察觉。

2. 入侵检测系统（IDS）规避技术