|
Страница 5 из 11
Заметание своих следов Предположим, что нарушитель получил доступ к незащищенному листенеру (или преодолел механизмы защиты), тогда ему может захотеться скрыть свою деятельность, чтобы избежать обнаружения во время атаки или после проведенного анализа. Команды SET LOG_STATUS OFF и SET TRC_LEVEL OFF выключают соответственно протоколирование и трассировку. Используя более творческий подход, можно направить протокольные и трассировочные файлы в /dev/null (UNIX) или в поток NTFS (например, в listener.log:HIDDEN в NT). Для этого в командах SET LOG_FILE/TRACE_FILE нужно задать полный доступа, в противном случае листенер будет добавлять расширение имени файла .log, например: SET LOG_FILE listener.txt – откроет новый протокольный файл listener.txt.log”; SET LOG_FILE /data/oracle/9.0.1/network/log/listener.txt – откроет протокольный файл listener.txt”. Дальнейшее творческое использование этого стереотипа поведения обсуждается в следующих разделах. Нарушитель может также отправить собственноручно созданный пакет, содержащий признак конца файла, который может заставить программное обеспечение просмотра протоколов прекратить вывод следующих сообщений. Атаки типа "отказ в обслуживании" Обнаружено, что листенер может подвергаться ряду атак типа отказ в обслуживании”: использование команд листенера; использование опубликованных оповещений о проблемах безопасности; атака типа исчерпание ресурсов”. Как только процесс листенера будет уничтожен, он не сможет отвечать на любые сетевые запросы. Для перезапуска листенера системный администратор должен будет установить локальное соединение с машиной. |