Информационная безопасность Oracle 9i
Страница 5. Заметание своих следов


Заметание своих следов

Предположим, что нарушитель получил доступ к незащищенному листенеру (или преодолел механизмы защиты), тогда ему может захотеться скрыть свою деятельность, чтобы избежать обнаружения во время атаки или после проведенного анализа.

Команды SET LOG_STATUS OFF и SET TRC_LEVEL OFF выключают соответственно протоколирование и трассировку. Используя более творческий подход, можно направить протокольные и трассировочные файлы в /dev/null (UNIX) или в поток NTFS (например, в listener.log:HIDDEN в NT). Для этого в командах SET LOG_FILE/TRACE_FILE нужно задать полный доступа, в противном случае листенер будет добавлять расширение имени файла .log, например:

    SET LOG_FILE listener.txt – откроет новый протокольный файл listener.txt.log”;

    SET LOG_FILE /data/oracle/9.0.1/network/log/listener.txt – откроет протокольный файл listener.txt”.

Дальнейшее творческое использование этого стереотипа поведения обсуждается в следующих разделах.

Нарушитель может также отправить собственноручно созданный пакет, содержащий признак конца файла, который может заставить программное обеспечение просмотра протоколов прекратить вывод следующих сообщений.

Атаки типа "отказ в обслуживании"

Обнаружено, что листенер может подвергаться ряду атак типа отказ в обслуживании”:

    использование команд листенера;

    использование опубликованных оповещений о проблемах безопасности;

    атака типа исчерпание ресурсов”.

Как только процесс листенера будет уничтожен, он не сможет отвечать на любые сетевые запросы. Для перезапуска листенера системный администратор должен будет установить локальное соединение с машиной.

 
Следующая статья »