網絡安全基本知識

網絡安全基本知識網絡安全基本知識網絡安全基本知識xxx公司網絡安全基本知識文件編號：文件日期：修訂次數(shù)：第1.0次更改批準審核制定方案設計，管理制度一旦黑客定位了你的網絡，他通常會選定一個目標進行滲透。通常這個目標會是安全漏洞最多或是他擁有最多攻擊工具的主機。非法入侵系統(tǒng)的方法有很多，你應當對這些方法引起注意。

常見攻擊類型和特征

攻擊特征是攻擊的特定指紋。入侵監(jiān)測系統(tǒng)和網絡掃描器就是根據這些特征來識別和防范攻擊的。下面簡要回顧一些特定地攻擊滲透網絡和主機的方法。

常見的攻擊方法

你也許知道許多常見的攻擊方法，下面列出了一些：

·字典攻擊：黑客利用一些自動執(zhí)行的程序猜測用戶命和密碼，審計這類攻擊通常需要做全面的日志記錄和入侵監(jiān)測系統(tǒng)（IDS）。

·Man-in-the-middle攻擊：黑客從合法的傳輸過程中嗅探到密碼和信息。防范這類攻擊的有效方法是應用強壯的加密。

·劫持攻擊：在雙方進行會話時被第三方（黑客）入侵，黑客黑掉其中一方，并冒充他繼續(xù)與另一方進行會話。雖然不是個完全的解決方案，但強的驗證方法將有助于防范這種攻擊。

·病毒攻擊：病毒是能夠自我復制和傳播的小程序，消耗系統(tǒng)資源。在審計過程中，你應當安裝最新的反病毒程序，并對用戶進行防病毒教育。

·非法服務：非法服務是任何未經同意便運行在你的操作系統(tǒng)上的進程或服務。你會在接下來的課程中學到這種攻擊。

·拒絕服務攻擊：利用各種程序（包括病毒和包發(fā)生器）使系統(tǒng)崩潰或消耗帶寬。

容易遭受攻擊的目標

最常遭受攻擊的目標包括路由器、數(shù)據庫、Web和FTP服務器，和與協(xié)議相關的服務，如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標。

路由器

連接公網的路由器由于被暴露在外，通常成為被攻擊的對象。許多路由器為便于管理使用SNMP協(xié)議，尤其是SNMPv1，成為潛在的問題。許多網絡管理員未關閉或加密Telnet會話，若明文傳輸?shù)目诹畋唤厝?，黑客就可以重新配置路由器，這種配置包括關閉接口，重新配置路由跳計數(shù)等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進行終端會話。

過濾Telnet

為了避免未授權的路由器訪問，你應利用防火墻過濾掉路由器外網的telnet端口和SNMP[161,162]端口

技術提示：許多網絡管理員習慣于在配置完路由器后將Telnet服務禁止掉，因為路由器并不需要過多的維護工作。如果需要額外的配置，你可以建立物理連接。

路由器和消耗帶寬攻擊

最近對Yahoo、e-Bay等電子商務網站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務攻擊工具發(fā)起的：

·TribalFloodNetwork(TFN)

·TribalFloodNetwork(TFN2k)

·Stacheldraht（TFN的一個變種）

·Trinoo（這類攻擊工具中最早為人所知的）

因為許多公司都由ISP提供服務，所以他們并不能直接訪問路由器。在你對系統(tǒng)進行審計時，要確保網絡對這類消耗帶寬式攻擊的反映速度。你將在后面的課程中學習如何利用路由器防范拒絕服務攻擊。

數(shù)據庫

黑客最想得到的是公司或部門的數(shù)據庫?，F(xiàn)在公司普遍將重要數(shù)據存儲在關系型或面向對象的數(shù)據庫中，這些信息包括：

·雇員數(shù)據，如個人信息和薪金情況。

·市場和銷售情況。

·重要的研發(fā)信息。

·貨運情況。

黑客可以識別并攻擊數(shù)據庫。每種數(shù)據庫都有它的特征。如SQLServer使用1433/1434端口，你應該確保防火墻能夠對該種數(shù)據庫進行保護。你會發(fā)現(xiàn)，很少有站點應用這種保護，尤其在網絡內部。

服務器安全WEB和FTP這兩種服務器通常置于DMZ，無法得到防火墻的完全保護，所以也特別容易遭到攻擊。Web和FTP服務通常存在的問題包括：

·用戶通過公網發(fā)送未加密的信息；

·操作系統(tǒng)和服務存在眾所周知的漏洞導致拒絕服務攻擊或破壞系統(tǒng)；

·舊有操作系統(tǒng)中以root權限初始運行的服務，一旦被黑客破壞，入侵者便可以在產生的命令解釋器中運行任意的代碼。

Web頁面涂改

近來，未經授權對Web服務器進行攻擊并涂改缺省主頁的攻擊活動越來越多。許多企業(yè)、政府和公司都遭受過類似的攻擊。有時這種攻擊是出于政治目的。大多數(shù)情況下Web頁面的涂改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊（使用包嗅探器）和利用緩沖區(qū)溢出。有時，還包括劫持攻擊和拒絕服務攻擊。

郵件服務

廣泛使用的SMTP、POP3和IMAP一般用明文方式進行通信。這種服務可以通過加密進行驗證但是在實際應用中通信的效率不高。又由于大多數(shù)人對多種服務使用相同的密碼，攻擊者可以利用嗅探器得到用戶名和密碼，再利用它攻擊其它的資源，例如WindowsNT服務器。這種攻擊不僅僅是針對NT系統(tǒng)。許多不同的服務共享用戶名和密碼。你已經知道一個薄弱環(huán)節(jié)可以破壞整個的網絡。FTP和SMTP服務通常成為這些薄弱的環(huán)節(jié)。

與郵件服務相關的問題包括：

·利用字典和暴力攻擊POP3的loginshell；

·在一些版本中sendmail存在緩沖區(qū)溢出和其它漏洞；

·利用E-mail的轉發(fā)功能轉發(fā)大量的垃圾信件

名稱服務

攻擊者通常把攻擊焦點集中在DNS服務上。由于DNS使用UDP，而UDP連接又經常被各種防火墻規(guī)則所過濾，所以許多系統(tǒng)管理員發(fā)現(xiàn)將DNS服務器至于防火墻之后很困難。因此，DNS服務器經常暴露在外，使它成為攻擊的目標。DNS攻擊包括：

·未授權的區(qū)域傳輸；

下弦月2005-5-1310:09

網絡安全知識（2）

·DNS毒藥，這種攻擊是指黑客在主DNS服務器向輔DNS服務器進行區(qū)域傳輸時插入錯誤的DNS信息，一旦成功，攻擊者便可以使輔DNS服務器提供錯誤的名稱到IP地址的解析信息；

·拒絕服務攻擊；

其它的一些名稱服務也會成為攻擊的目標，如下所示：

·WINS，“Coke”通過拒絕服務攻擊來攻擊沒有打補丁的NT系統(tǒng)。

·SMB服務（包括Windows的SMB和UNIX的Samba）這些服務易遭受Man-in-the-middle攻擊，被捕獲的數(shù)據包會被類似L0phtCrack這樣的程序破解。

·NFS和NIS服務。這些服務通常會遭受Man-in-the-middle方式的攻擊。

在審計各種各樣的服務時，請考慮升級提供這些服務的進程。

審計系統(tǒng)BUG

作為安全管理者和審計人員，你需要對由操作系統(tǒng)產生的漏洞和可以利用的軟件做到心中有數(shù)。早先版本的MicrosoftIIS允許用戶在地址欄中運行命令，這造成了IIS主要的安全問題。其實，最好的修補安全漏洞的方法是升級相關的軟件。為了做到這些，你必須廣泛地閱讀和與其他從事安全工作的人進行交流，這樣，你才能跟上最新的發(fā)展。這些工作會幫助你了解更多的操作系統(tǒng)上的特定問題。

雖然大多數(shù)的廠商都為其產品的問題發(fā)布了修補方法，但你必須充分理解補上了哪些漏洞。如果操作系統(tǒng)或程序很復雜，這些修補可能在補上舊問題的同時又開啟了新的漏洞。因此，你需要在實施升級前進行測試。這些測試工作包括在隔離的網段中驗證它是否符合你的需求。當然也需要參照值得信賴的網絡刊物和專家的觀點。

審計TrapDoor和RootKit

Rootkit是用木馬替代合法程序。TrapDoor是系統(tǒng)上的bug，當執(zhí)行合法程序時卻產生了非預期的結果。如老版本的UNIXsendmail，在執(zhí)行debug命令時允許用戶以root權限執(zhí)行腳本代碼，一個收到嚴格權限控制的用戶可以很輕易的添加用戶賬戶。

雖然rootkit通常出現(xiàn)在UNIX系統(tǒng)中，但攻擊者也可以通過看起來合法的程序在WindowsNT中置入后門。象NetBus,BackOrifice和MastersofParadise等后門程序可以使攻擊者滲透并控制系統(tǒng)。木馬可以由這些程序產生。如果攻擊者夠狡猾，他可以使這些木馬程序避開一些病毒檢測程序，當然用最新升級的病毒檢測程序還是可以發(fā)現(xiàn)它們的蹤跡。在對系統(tǒng)進行審計時，你可以通過校驗分析和掃描開放端口的方式來檢測是否存在rootkit等問題。

審計和后門程序

通常，在服務器上運行的操作系統(tǒng)和程序都存在代碼上的漏洞。例如，最近的商業(yè)Web瀏覽器就發(fā)現(xiàn)了許多安全問題。攻擊者通常知道這些漏洞并加以利用。就象你已經知道的RedButton，它利用了WindowsNT的漏洞使攻擊者可以得知缺省的管理員賬號，即使賬號的名稱已經更改。后門（backdoor）也指在操作系統(tǒng)或程序中未記錄的入口。程序設計人員為了便于快速進行產品支持有意在系統(tǒng)或程序中留下入口。不同于bug，這種后門是由設計者有意留下的。例如，像Quake和Doom這樣的程序含有后門入口允許未授權的用戶進入游戲安裝的系統(tǒng)。雖然看來任何系統(tǒng)管理員都不會允許類似的程序安裝在網絡服務器上，但這種情況還是時有發(fā)生。

從后門程序的危害性，我們可以得出結論，在沒有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務或程序。在你進行審計時，請花費一些時間仔細記錄任何你不了解它的由來和歷史的程序。

審計拒絕服務攻擊

WindowsNT易遭受拒絕服務攻擊，主要是由于這種操作系統(tǒng)比較流行并且沒有受到嚴格的檢驗。針對NT服務的攻擊如此頻繁的原因可以歸結為：發(fā)展勢頭迅猛但存在許多漏洞。在審計WindowsNT網絡時，一定要花時間來驗證系統(tǒng)能否經受這種攻擊的考驗。打補丁是一種解決方法。當然，如果能將服務器置于防火墻的保護之下或應用入侵監(jiān)測系統(tǒng)的話就更好了。通常很容易入侵UNIX操作系統(tǒng)，主要因為它被設計來供那些技術精湛而且心理健康的人使用。在審計UNIX系統(tǒng)時，要注意Finger服務，它特別容易造成緩沖區(qū)溢出。

緩沖區(qū)溢出

緩沖區(qū)溢出是指在程序重寫內存塊時出現(xiàn)的問題。所有程序都需要內存空間和緩沖區(qū)來運行。如果有正確的權限，操作系統(tǒng)可以為程序分配空間。C和C++等編程語言容易造成緩沖區(qū)溢出，主要因為它們不先檢查是否有存在的內存塊就直接調用系統(tǒng)內存。一個低質量的程序會不經檢查就重寫被其它程序占用的內存，而造成程序或整個系統(tǒng)死掉，而留下的shell有較高的權限，易被黑客利用運行任意代碼。

據統(tǒng)計，緩沖區(qū)溢出是當前最緊迫的安全問題。要獲得關于緩沖區(qū)溢出的更多信息，請訪問H...verflows/

Telnet的拒絕服務攻擊

Windows中的Telnet一直以來都是網絡管理員們最喜愛的網絡實用工具之一，但是一個新的漏洞表明，在Windows2000中Telnet在守護其進程時，在已經被初始化的會話還未被復位的情況下很容易受到一種普通的拒絕服務攻擊。Telnet連接后，在初始化的對話還未被復位的情況下，在一定的時間間隔之后，此時如果連接用戶還沒有提供登錄的用戶名及密碼，Telnet的對話將會超時。直到用戶輸入一個字符之后連接才會被復位。如果惡意用戶連接到Windows2000的Telnet守護進程中，并且對該連接不進行復位的話，他就可以有效地拒絕其他的任何用戶連接該Telnet服務器，主要是因為此時Telnet的客戶連接數(shù)的最大值是1。在此期間任何其他試圖連接該Telnet服務器的用戶都將會收到如下錯誤信息：

MicrosoftWindowsWorkstationallowsonly1TelnetClientLicenseServerhasclosedconnection

察看“列出當前用戶”選項時并不會顯示超時的會話，因為該會話還沒有成功地通過認證。

WindowsNT的TCPport3389存在漏洞

WindowsNTServer終端服務器版本所作的DoS攻擊。這個安全性弱點讓遠端使用者可以迅速的耗盡WindowsNTTerminalServer上所有可用的內存，造成主機上所有登陸者斷線，并且無法再度登入。

說明：

1.WindowsNTServer終端服務器版本在TCPport3389監(jiān)聽終端連接(terminalconnection)，一旦某個TCP連接連上這個端口,終端服務器會開始分配系統(tǒng)資源，以處理新的客戶端連接，并作連接的認證工作。

2.此處的漏洞在于：在認證工作完成前，系統(tǒng)需要撥出相當多的資源去處理新的連接，而系統(tǒng)并未針對分配出去的資源作節(jié)制。因此遠端的攻擊者可以利用建立大量TCP連接到port3389的方法，造成系統(tǒng)存儲體配置達到飽和。

3.此時服務器上所有使用者連接都會處于超時狀態(tài)，而無法繼續(xù)連接到服務器上，遠端攻擊者仍能利用一個僅耗用低頻寬的程式，做出持續(xù)性的攻擊，讓此服務器處於最多記憶體被耗用的狀態(tài)，來避免新的連接繼續(xù)產生。

4.在國外的測試報告中指出，長期持續(xù)不斷針對此項弱點的攻擊，甚至可以導致服務器持續(xù)性當機，除非重新開機，服務器將無法再允許新連接的完成。

解決方案：

1.以下是修正程序的網址：

/w...sa/NT40tse/hotfixespostSP4/Flood-fix/

[注意]：因為行數(shù)限制，上面網址請合并為一行。

2.更詳細資料請參考Microsoft網站的網址：

/bulletins/.

防范拒絕服務攻擊

你可以通過以下方法來減小拒絕服務攻擊的危害：

·加強操作系統(tǒng)的補丁等級。

·如果有雇員建立特定的程序，請?zhí)貏e留意代碼的產生過程。

·只使用穩(wěn)定版本的服務和程序。

審計非法服務，特洛伊木馬和蠕蟲

非法服務開啟一個秘密的端口，提供未經許可的服務，常見的非法服務包括：

·NetBus

·BackOrifice和BackOrifice2000

·Girlfriend

·冰河

·秘密的建立共享的程序

許多程序將不同的非法服務聯(lián)合起來。例如，BackOrifice2000允許你將HTTP服務配置在任意端口。你可以通過掃描開放端口來審計這類服務，確保你了解為什么這些端口是開放的。如果你不知道這些端口的用途，用包嗅探器和其它程序來了解它的用途。

技術提示：不要混淆非法服務和木馬。木馬程序通常包含非法服務，而且，木馬程序還可以包含擊鍵記錄程序，蠕蟲或病毒。

特洛伊木馬

特洛伊木馬是在執(zhí)行看似正常的程序時還同時運行了未被察覺的有破壞性的程序。木馬通常能夠將重要的信息傳送給攻擊者。攻擊者可以把任意數(shù)量的程序植入木馬。例如，他們在一個合法的程序中安放rootkit或控制程序。還有一些通常的策略是使用程序來捕獲密碼和口令的hash值。類似的程序可以通過E-mail把信息發(fā)送到任何地方。

審計木馬

掃描開放端口是審計木馬攻擊的途徑之一。如果你無法說明一個開放端口用途，你也許就檢測到一個問題。所以，盡量在你的系統(tǒng)上只安裝有限的軟件包，同時跟蹤這些程序和服務的漏洞。許多TCP/IP程序動態(tài)地使用端口，因此，你不應將所有未知的端口都視為安全漏洞。在建立好網絡基線后，你便可以確定哪些端口可能存在問題了。

蠕蟲

Melissa病毒向我們展示了TCP/IP網絡是如何容易遭受蠕蟲攻擊的。在你審計系統(tǒng)時，通常需要配置防火墻來排除特殊的活動。防火墻規(guī)則的設置超出了本術的范圍。但是，作為審計人員，你應當對建議在防火墻上過濾那些從不信任的網絡來的數(shù)據包和端口有所準備。

蠕蟲靠特定的軟件傳播。例如，在2000年三月發(fā)現(xiàn)的Win32/蠕蟲只能攻擊運行MicrosoftOutlook程序的Windows操作系統(tǒng)。這種蠕蟲可以自行傳播，癱瘓任何種類的Windows系統(tǒng)而且使它持續(xù)地運行不穩(wěn)定。

下弦月2005-5-1310:09

網絡安全知識（3）

結合所有攻擊定制審計策略

攻擊者有兩個共同的特點。首先，他們將好幾種不同的方法和策略集中到一次攻擊中。其次，他們在一次攻擊中利用好幾種系統(tǒng)。綜合應用攻擊策略可以增強攻擊的成功率。同時利用好幾種系統(tǒng)使他們更不容易被捕獲。

例如，在實施IP欺騙時，攻擊者通常會先實施拒絕服務攻擊以確保被攻擊主機不會建立任何連接。大多數(shù)使用Man-in-the-middle的攻擊者會先捕獲SMB的密碼，再使用L0phtCrack這樣的程序進行暴力破解攻擊。

滲透策略

你已經了解到那些網絡設備和服務是通常遭受攻擊的目標和黑客活動的攻擊特征?，F(xiàn)在，請參考下列的一些場景。它們將有助于你在審計過程中關注那些設備和服務。請記住，將這些攻擊策略結合起來的攻擊是最容易成功的。

物理接觸

如果攻擊者能夠物理接觸操作系統(tǒng)，他們便可以通過安裝和執(zhí)行程序來使驗證機制無效。例如，攻擊者可以重啟系統(tǒng)，利用其它啟動盤控制系統(tǒng)。由于一種文件系統(tǒng)可以被另一種所破壞，所以你可以使用啟動盤獲得有價值的信息，例如有管理權限的賬號。

物理攻擊的簡單例子包括通過重新啟動系統(tǒng)來破壞Windows95或98的屏幕鎖定功能。更簡單的物理攻擊是該系統(tǒng)根本就沒有進行屏幕鎖定。

操作系統(tǒng)策略

近來，美國白宮的Web站點（）被一個缺乏經驗的攻擊者黑掉。攻擊者偵查出該Web服務器（7。雖然Solaris7被成為藝術級的操作系統(tǒng)，但管理員并沒有改變系統(tǒng)的缺省設置。雖然該站點的管理員設置了tripwire，但攻擊者還是使用phf/ufsrestore命令訪問了Web服務器。

較弱的密碼策略

上面白宮網站被黑的例子可能是由于該系統(tǒng)管理員使用FTP來升級服務器。雖然使用FTP來更新網站并沒有錯，但大多數(shù)FTP會話使用明文傳輸密碼。很明顯，該系統(tǒng)管理員并沒有意識到這種安全隱患。又由于大多數(shù)系統(tǒng)管理員在不同的服務上使用相同的密碼，這使攻擊者能夠獲得系統(tǒng)的訪問權。更基本的，你可以保證/etc/passwd文件的安全。

NetBIOSAuthenticationTool（NAT）

當攻擊者以WindowsNT為目標時，他們通常會使用NetBIOSAuthenticationTool（NAT）來測試弱的口令。這個程序可以實施字典攻擊。當然它也有命令行界面，這種界面的攻擊痕跡很小。而且命令行界面的程序也很好安裝和使用。在使用NAT時，你必須指定三個文本文件和IP地址的范圍。當然，你也可以指定一個地址。NAT使用兩個文本文件來實施攻擊而第三個來存儲攻擊結果。第一個文本文件包含一個用戶列表，第二個文件中是你輸入的猜測密碼。

當使用命令行版本時，語法格式為：

nat–u–p–o

即使服務器設置了密碼的過期策略和鎖定，攻擊者還是可以利用NAT反復嘗試登錄來騷擾管理員。通過簡單地鎖定所有已知的賬號，攻擊者會極大地影響服務器的訪問，這也是一些系統(tǒng)管理員不強行鎖定賬號的原因。

較弱的系統(tǒng)策略

到此為止，你已經學習了一些外部攻擊。然而，對于管理員來說最緊迫的是大多數(shù)公司都存在不好的安全策略。如果安全策略很弱或干脆沒有安全策略，通常會導致弱的密碼和系統(tǒng)策略。通常，公司并不采取簡單的預防措施，比如需要非空的或有最小長度要求的密碼。忽略這些限制會給攻擊者留下很大的活動空間。

審計文件系統(tǒng)漏洞

不論你的操作系統(tǒng)采取何種文件系統(tǒng)（FAT，NTFS或NFS），每種系統(tǒng)都有它的缺陷。例如，缺省情況下NTFS在文件夾和共享創(chuàng)建之初everyone組可完全控制。由于它是操作系統(tǒng)的組成部分（WindowsNT），因此也成為許多攻擊的目標。NFS文件系統(tǒng)可以共享被遠程系統(tǒng)掛接，因此這也是攻擊者入侵系統(tǒng)的途徑之一。

IP欺騙和劫持：實例

IP欺騙是使驗證無效的攻擊手段之一，也是如何組合攻擊策略攻擊網絡的典型實例。IP欺騙利用了Internet開放式的網絡設計和傳統(tǒng)的建立在UNIX操作系統(tǒng)之間信任關系。主要的問題是使用TCP/IP協(xié)議的主機假設所有從合法IP地址發(fā)來的數(shù)據包都是有效的。攻擊者可以利用這一缺陷，通過程序來發(fā)送虛假的IP包，從而建立TCP連接，攻擊者可以使一個系統(tǒng)看起來象另一個系統(tǒng)。

許多UNIX操作系統(tǒng)通過rhosts和rlogin在非信任的網絡上（如Internet）建立信任的連接。這種傳統(tǒng)的技術是流行的管理工具并減輕了管理負擔。通常，這種系統(tǒng)由于把UNIX的驗證機制和IP地址使用相結合從而提供了適當?shù)陌踩?。然而，這種驗證機制是如此的獨立于IP地址不會被偽造的假設，以至于很容易被擊破。

Non-blindspoofing和Blindspoofing

Non-blindspoofing是指攻擊者在同一物理網段上操縱連接。Blindspoofing是指攻擊者在不同的物理網段操縱連接。后者在實施上更困難，但也時常發(fā)生。

進行IP欺騙的攻擊者需要一些程序，包括：

·一個包嗅探器

·一個能夠同時終止TCP連接、產生另一個TCP連接、進行IP偽裝的程序

IP欺騙涉及了三臺主機。像先前分析的那樣，使用驗證的服務器必須信任和它建立連接的主機。如果缺乏天生的安全特性，欺騙是非常容易的。

思考下列的場景，有三臺主機分別是A,B和C。A使用TCPSYN連接與合法用戶B初始一個連接。但是B并沒有真正參與到這次連接中，因為C已經對B實施了拒絕服務攻擊。所以，雖然A認為是在與B對話，但實際上是與C對話。IP欺騙實際上組合了幾種攻擊手法包括對系統(tǒng)實施了拒絕服務攻擊，還包括利用驗證技術。

作為審計人員，你不應該說服管理員終止這種信任關系，相反，你應當建議使用防火墻規(guī)則來檢測有問題的包。

TCP/IP序列號生成方法

TCP的InitialSequenceNumber(ISN)的預測

正常的TCP連接基于一個三次握手(3-wayhandshake)，一個客戶端(Client)向服務器(Server)發(fā)送一個初始化序列號ISNc，隨后，服務器相應這個客戶端ACK(ISNc),并且發(fā)送自己的初始化序列號ISNs，接著，客戶端響應這個ISNs（如下圖），三次握手完成。

C---〉S:(ISNc)

S---〉C:ACK(ISNc)+ISNs

C---〉S:ACK(ISNs)

C---〉S:data

and/or

S---〉C:data

下面，我以Windows2000AdvancedServer為例，來說一下兩臺主機是如何進行三次握手。

我們可以看到：

1)Smartboy首先發(fā)送一個seq:的包給服務器

2)然后,,它送給Smartboy自己的

seq:25而且響應Smartboy的ack:40。

3)Smartboy再響應服務器,seq:40,ack:26。

三次握手完畢，兩臺幾建立起連接。

可以看出，在三次握手協(xié)議中，Clinet一定要監(jiān)聽服務器發(fā)送過來的ISNs,TCP使用的sequencenumber是一個32位的計數(shù)器，從0-95。TCP為每一個連接選擇一個初始序號ISN，為了防止因為延遲、重傳等擾亂三次握手，ISN不能隨便選取，不同系統(tǒng)有不同算法。理解TCP如何分配ISN以及ISN隨時間變化的規(guī)律，對于成功地進行IP欺騙攻擊很重要。

在Unix系統(tǒng)里，基于遠程過程調用RPC的命令，比如rlogin、rcp、rsh等等，根據/etc/以及$HOME/.rhosts文件進行安全校驗，其實質是僅僅根據源IP地址進行用戶身份確認，以便允許或拒絕用戶RPC。這就給與了那些攻擊者進行IP地址欺騙的機會。

讓我們看X是如何冒充T來欺騙S，從而建立一個非法連接：

X---->S:SYN(ISNx),SRC=T

S---->T:SYN(ISNs),ACK(ISNT)（*）

X---->S:ACK(ISNs+1),SRC=T（**）

X---->S:ACK(ISNs+1),SRC=T,攻擊命令（可能是一些特權命令）

但是，T必須要在第（**）中給出ISNs,問題是ISNs在第（*）步中發(fā)給了T(X當然很難截取到)，幸運的是，TCP協(xié)議有一個約定:ISN變量每秒增加250,000次，這個增加值在許多版本比較舊的操作系統(tǒng)中都是一個常量，在中是125000次每秒，這就給X一個可乘之機。

[Lasteditedby下弦月on2005-5-13at18:19]

下弦月2005-5-1310:11

網絡安全知識（4）

看一下X是如何猜出ISNs:

a、首先，X發(fā)送一個SYN包來獲取服務器現(xiàn)在的ISNs

X---〉S:(ISNx)

S---〉X:ACK(ISNx)+ISNs#(1)

b、緊接著，X冒充T向服務器發(fā)送SYN包

X---〉S:SYN(ISNx),SRC=T(2)

c、于是，服務器發(fā)出一個響應包給T(這個包X是收不到的)

S---〉T:SYN(ISNs$),ACK(ISNT)(3)

d、X計算ISNs$:

ISNs$=ISNs#+RTT×IncrementofISN(4)

其中，RTT(RoundTripTime),是一個包往返X和S所用的時間,可以通過Ping來得到。

上圖顯示了roundtriptimes(RTT)大概是０。

IncrementofISN是協(xié)議棧的初始序列號每秒鐘增加的值，以Unix為例，當沒有外部連接發(fā)生時，服務器的ISN每秒增加128,000,有連接的時候，服務器的ISN每秒增加64,000。

e、于是，

X--->S:ACK(ISNs$)（冒充可信主機成功了）

X--->S:惡意的命令或竊取機密消息的命令

在評價以下的解決方案時有幾點要注意：

1.該解決方案是否很好地滿足TCP的穩(wěn)定性和可操作性的要求

2.該解決方案是否容易實現(xiàn)

3.該解決方案對性能的影響如何

4.該解決方案是否經得起時間的考驗

以下的幾種方案各有各的優(yōu)點和缺點，它們都是基于增強ISN生成器的目標提出的。

配置和使用密碼安全協(xié)議

TCP的初始序列號并沒有提供防范連接攻擊的相應措施。TCP的頭部缺少加密選項用于強加密認證，于是，一種叫做IPSec的密碼安全協(xié)議的技術提出了。IPSec提供了一種加密技術（Endtoendcryptographic），使系統(tǒng)能驗證一個包是否屬于一個特定的流。這種加密技術是在網絡層實現(xiàn)的。其它的在傳輸層實現(xiàn)的解決方案（如SSL/TLS和SSH1/SSH2）,只能防止一個無關的包插入一個會話中，但對連接重置（拒絕服務）卻無能為力，原因是因為連接處理是發(fā)生在更低的層。IPSec能夠同時應付著兩種攻擊（包攻擊和連接攻擊）。它直接集成在網絡層的安全模型里面。

上面的解決方案并不需要對TCP協(xié)議做任何得修改，RFC2385(“基于TCPMD5簽名選項的BGP會話保護)和其他的技術提供了增加TCP頭部的密碼保護，但是，卻帶來了收到拒絕服務攻擊和互操作性和性能方面的潛在威脅。使用加密安全協(xié)議有幾個優(yōu)于其它方案的地方。TCP頭部加密防止了Hijacking和包擾亂等攻擊行為，而TCP層仍然能夠提供返回一個簡單增加ISN的機制，使方案提供了最大程度的可靠性。但實現(xiàn)IPSec非常復雜，而且它需要客戶機支持，考慮到可用性，許多系統(tǒng)都選擇使用RFC1948。

使用RFC1948

在RFC1948中，Bellovin提出了通過使用4-tuples的HASH單向加密函數(shù)，能夠使遠程攻擊者無從下手（但不能阻止同一網段的攻擊者通過監(jiān)聽網絡上的數(shù)據來判斷ISN）。

Newsham在他的論文[ref_newsham]中提到:

RFC1948[ref1]提出了一種不容易攻擊（通過猜測）的TCPISN的生成方法。此方法通過連接標識符來區(qū)分序列號空間。每一個連接標識符由本地地址，本地端口，遠程地址，遠程端口來組成，并由一個函數(shù)計算標識符分的序列號地址空間偏移值（唯一）。此函數(shù)不能被攻擊者獲得，否則，攻擊者可以通過計算獲得ISN。于是，ISN就在這個偏移值上增加。ISN的值以這種方式產生能夠抵受上面提到的對ISN的猜測攻擊。

一旦全局ISN空間由上述方法來生成，所有的對TCPISN的遠程攻擊都變得不合實際。但是，需要指出的，即使我們依照RFC1948來實現(xiàn)ISN的生成器，攻擊者仍然可以通過特定的條件來獲得ISN(這一點在后面敘述).

另外，用加密的強哈希算法(MD5)來實現(xiàn)ISN的生成器會導致TCP的建立時間延長。所以，有些生成器（如Linuxkernel）選擇用減少了輪數(shù)的MD4函數(shù)來提供足夠好的安全性同時又把性能下降變得最低。削弱哈希函數(shù)的一個地方是每幾分鐘就需要對生成器做一次re-key的處理，經過了一次re-key的處理后，安全性提高了，但是，RFC793提到的可靠性卻變成另一個問題。

我們已經知道，嚴格符合RFC1948的ISN生成方法有一個潛在的危機：

一個攻擊者如果以前合法擁有過一個IP地址，他通過對ISN進行大量的采樣，可以估計到隨后的ISN的變化規(guī)律。在以后，盡管這個IP地址已經不屬于此攻擊者，但他仍然可以通過猜測ISN來進行IP欺騙。

以下，我們可以看到RFC1948的弱點:

ISN=M+F(sip,sport,dip,dport,)

其中

ISN32位的初始序列號

M單調增加的計數(shù)器

F單向散列哈希函數(shù)(例如MD4orMD5)

sip源IP地址

sport源端口

dip目的IP地址

dport目的端口

哈希函數(shù)可選部分，使遠程攻擊者更難猜到ISN.

ISN自身的值是按照一個常數(shù)值穩(wěn)定增加的,所以F()需要保持相對的穩(wěn)定性。而根據Bellovin所提出的，是一個系統(tǒng)特定的值（例如機器的啟動時間，密碼，初始隨機數(shù)等），這些值并不會經常變。

但是，如果Hash函數(shù)在實現(xiàn)上存在漏洞（我們無法保證一個絕對安全的Hash函數(shù)，況且，它的實現(xiàn)又與操作系統(tǒng)密切相關），攻擊者就可以通過大量的采樣，來分析，其中，源IP地址，源端口，目的IP地址，目的端口都是不變的，這減少了攻擊者分析的難度。

LinuxTCP的ISN生成器避免了這一點。它每５分鐘計算一次值,把泄漏的風險降到了最低。

有一個辦法可以做的更好：

取M=M+R(t)

ISN=M+F(sip,sport,dip,dport,)

其中

R(t)是一個關于時間的隨機函數(shù)

很有必要這樣做，因為它使攻擊者猜測ISN的難度更大了（弱點在理論上還是存在的）。

其它一些方法

構造TCPISN生成器的一些更直接的方法是：簡單地選取一些隨機數(shù)作為ISN。這就是給定一個32位的空間，指定ISN=R(t)。(假設R()是完全的非偽隨機數(shù)生成函數(shù))

固然，對于完全隨機的ISN值，攻擊者猜測到的可能性是１／２32是，隨之帶來的一個問題是ISN空間里面的值的互相重復。這違反了許多RFC(RFC793,RFC1185,RFC1323,RFC1948等)的假設----ISN單調增加。這將對TCP協(xié)議的穩(wěn)定性和可靠性帶來不可預計的問題。

其它一些由NielsProvos（來自OpenBSD組織）結合完全隨機方法和RFC1948解決方案：

ISN=((PRNG(t))<<16)+R(t)３２位

其中

PRNG(t)：一組隨機指定的連續(xù)的１６位數(shù)字0x00000000--0xffff0000

R(t)：16位隨機數(shù)生成器（它的高位msb設成０）0x00000000--0x0000ffff

上面的公式被用于設計OpenBsd的ISN生成器，相關的源代碼可以從下面的網址獲得

-bin/cvsweb/src/...inet/

Provos的實現(xiàn)方法有效地生成了一組在給定時間內的不會重復的ISN的值，每兩個ISN值都至少相差32K,這不但避免了隨機方法造成的ISN的值的沖突，而且避免了因為哈希函數(shù)計算帶來的性能上的下降，但是，它太依賴于系統(tǒng)時鐘，一旦系統(tǒng)時鐘狀態(tài)給攻擊者知道了，就存在著系統(tǒng)的全局ISN狀態(tài)泄密的危機。

TCPISN生成器的構造方法的安全性評估

ISN與PRNGs(偽隨機數(shù)生成器)

我們很難用一臺計算機去生成一些不可預測的數(shù)字，因為，計算機被設計成一種以重復和準確的方式去執(zhí)行一套指令的機器。所以，每個固定的算法都可以在其他機器上生成同樣的結果。如果能夠推斷遠程主機的內部狀態(tài)，攻擊者就可以預測它的輸出；即使不知道遠程主機的PNRG函數(shù)，但因為算法最終會使ISN回繞，按一定的規(guī)律重復生成以前的ISN,所以，攻擊者仍然可以推斷ISN。幸運的是，目前條件下，ISN的重復可以延長到幾個月甚至幾年。但是，仍然有部分PRNG生成器在產生500個元素后就開始回繞。解決偽隨機數(shù)的方法是引入外部隨機源，擊鍵延時，I/O中斷，或者其它對攻擊者來說不可預知的參數(shù)。把這種方法和一個合理的HASH函數(shù)結合起來，就可以產生出32位的不可預知的TCPISN的值，同時又隱蔽了主機的PNRG的內部狀態(tài)。不幸的是，很少的TCPISN產生器是按這種思路去設計的，但即使是這樣設計的產生器，也會有很多的實現(xiàn)上的漏洞使這個產生器產生的ISN具有可猜測性。

RFC1948的建議提供了一種比較完善的方法，但是，對攻擊者來說，ISN仍然存在著可分析性和猜測性。其中，PRNG的實現(xiàn)是個很關鍵的地方。

[Lasteditedby下弦月on2005-5-13at18:21]

下弦月2005-5-1310:12

網絡安全知識（5）

Spoofing集合

需要知道一點是，如果我們有足夠的能力能夠同時可以發(fā)出２32個包，每個包由不同的ISN值，那么，猜中ISN的可能性是100%。但是，無論從帶寬或計算機的速度來說都是不實際的。但是，我們仍然可以發(fā)大量的包去增加命中的幾率，我們把這個發(fā)出的攻擊包的集合稱為Spoofing集合。通常，從計算機速度和網絡數(shù)據上傳速率兩方面來考慮，含5000個包的Spoofing的集合對眾多的網絡用戶是沒有問題的，5000-60000個包的Spoofing集合對寬帶網的用戶也是不成問題的，大于60000個包的Spoofing集合則超出一般攻擊者的能力。網絡的速度和計算機性能的不斷增加會提高那種使用窮盡攻擊方法猜測ISN的成功率。從攻擊者的立場，當然希望能夠通過定制一個盡可能小的Spoofing集合，而命中的幾率又盡可能高。我們假定我們攻擊前先收集50000個包作為ISN值的采樣，然后，我們把這些ISN用作對將來的ISN的值猜測的依據。

一種稱為“delaycoordinates”的分析方法

在動態(tài)系統(tǒng)和非線性系統(tǒng)中，經常使用一種叫做“delaycoordinates”的分析法，這種方法使我們可以通過對以前的數(shù)據的采樣分析來推想以后的數(shù)據。

我們試圖以建立一個三維空間（x,y,z）來觀察ISN值（seq[t]）的變化，其中t取0,1,2,……

方程組（E1）

現(xiàn)在，對采樣了的50000個ISN序列seq[t]按照上面的三個方程式來構建空間模型A。這樣，就可以通過A的圖像特征來分析這個PNRG生成的ISN值的規(guī)律。Ａ呈現(xiàn)的空間模型的３D特性越強，它的可分析性就越好。

接著，我們根據這個模型，去分析下一個ISN值seq[t],為此，我們用一個集合K(5000個)去猜測seq[t]。

如果我們知道seq[t-1],要求seq[t],那么，可以通過在這個三維空間中找出一個有良好特性的節(jié)點P(x,y,z)，將+seq[t-1],我們就可以得到seq[t]?，F(xiàn)在，我們將注意力放到怎樣在這個三維空間中選擇一些點來構成Spoofing集合，也就是怎樣通過seq[t-1],seq[t-2],sea[t-3]來推知seq[t]。

由于seq[t-1],seq[t-2],seq[t-3]都可以很容易地在遠程主機上探測到，于是，和可以通過以下的公式求出

而對于=seq[t]-seq[t-1],由于seq[t-1]已知，所以，我們可以把它當作是空間的一條直線。如果，在對以前的ISN的采樣，通過上面提到的構成的空間模型A呈現(xiàn)某種很強的特征，我們就可以大膽地假設，seq[t]在直線與A的交點上,或者在交點的附近。這樣，seq[t]就這樣確定了，于是，seq[t+1],seq[t+2]……,我們都可以推斷出來。

于是，我們大致將構造Spoofing集合分成3個步驟：

先選取L與A交點之間的所有點。如果，L與A沒有交點，我們則選取離L最近的A的部分點。

假設現(xiàn)在seq[t-1]=25

seq[t-2]=50

seq[t-3]=88

于是，我們可以計算出

y=seq[t-1]-seq[t-2]=25

z=seq[t-2]-seq[t-3]=33

而我們在集合A中找不到滿足y=25,z=33這個點，但是，我們找到y(tǒng)=24,z=34和y=27,z=35這兩個點，所以，我們要把它們加入Spoofing集合。

我們按照上面的方法，把在A附近（半徑<=R1的空間范圍內）點集M找出來，然后，我們根據這些點的相應的x值去推導相應的seq[t]（按照一定的算法，后面會提到）,于是，我們就得到很多的seq[t]。

根據點集M(j),我們在一定的變化浮動范圍U里（-R2<=U<=+R2）處理其x值，得出以下的集合K：

M(j).x+1M(j).x-1M(j).x+2M(j).x-2M(j).x+3M(j).x-3……M(j).x+R2M(j)-R2

接著我們確定R1和R2的值

R1值的選取的原則：使M不為空集，一般為1-500個。

R2值的選取的原則：使K的個數(shù)為5000。

對TCPISN的PRNG分析的總體流程：

相關系數(shù)的意義：

R1radius:影響搜索速度。

R2radius:影響猜測ISN的成功率，R2越大，成功率越高，但代價越大。

Averageerror:反映了在error

[Lasteditedby下弦月on2005-5-13at18:22]

下弦月2005-5-1310:13

網絡安全知識（6）

delaycoordinates分析法的意義

站在攻擊者的立場，他是千方百計地想縮小搜索空間，他希望先搜索一些最可能的值，然后再去搜索其它可能性沒那么大的值。通過delaycoordinates，他可以看去觀察ISN數(shù)列的特征，如果，按照上面的方法構造的空間模型Ａ呈現(xiàn)很明顯的空間輪廓，如一個正方體，一個圓柱體，或者一個很小的區(qū)域，那么ISN很可能就是這個空間模型Ａ中的一點，搜索空間就會可以從一個巨大的三維空間縮小到一個模型Ａ?？匆幌乱粋€設計得很好的PRNG（輸出為32位）：...68,26,47,81,73,82,33,40,5,9...

RFC1948要求我們用31位的輸出，但是，32位的搜索空間比31位的要大一倍，所以，在后面的PRNG的設計中，我采用了32位的輸出。

下面，我們來看一下各種典型的空間模型以及對它們的評價。

從空間特性可以看出，某些區(qū)域的值互相重疊，某些地方的空間形狀很明顯，呈針狀型，這種PRNG設計得不好，重疊特性很強，攻擊者可以從左圖分析推斷可能性比較大的重疊區(qū)域去搜索，這樣可以大大減少搜索的難度。

這種PRNG參雜了一些可以預測的隨機種子，導致空間模型呈現(xiàn)很明顯的片狀。攻擊者可以根據前面的一些ISN來推測后面的ISN。

這種PRNG產生的隨機數(shù)序列之間的差值非常小，但是，它的分布特性非常好。所以，雖然，它并沒有擴展到整個空間，但是，它比上面幾種模型要好的多。攻擊者攻擊的成功率要少得多。

這個PRNG是以計算機時鐘為隨機源的。它的ISN值都分布在三個很明顯的面上。三個面都在模型的中間有一個匯聚點。這樣的PRNG設計的非常差，所以，我們在設計PRNG的時候，不能只是以時鐘作為隨機源。

各種操作系統(tǒng)的TCPISN生成器的安全性比較

Windwos98SE

但很難明白為什么Windows98的算法更弱。我們看到R1為0，也就是說，A的空間特性太明顯，以致M集只需要一個點就可以算出seq[t]。我們看到，Windows98的R2小于Windows95的R2，換言之，Windows98的seq[t]的搜索代價更少。

WindowsNT4SP3，WindowsSP6a和Windows2000

WindowsNT4SP3在ISN的PNRG算法也是非常弱的，成功率接近100%。Windows2000和WindowsNT4SP6a的TCP序列號有著相同的可猜測性。危險程度屬于中到高的范圍。雖然，我們在圖上看不到很明顯的3D結構化特征，但是，12%和15%對攻擊者來說，已經是一個很滿意的結果。

FreeBSD,OpenBSD和OpenBSD-current

OpenBSD-current的PRNG輸出為31-bit,也就是說，△seq[t]的值域范圍可以是231–1，意味著,y,z值域也很大，這對使我們很難確定M集，經過我們的處理后，可以看到一個云狀物(見上圖)，它的R1半徑很大，而且分布均勻，不呈現(xiàn)任何的空間結構化特性，很難對它進行分析。

Linux

Linux的TCP/IP序列號的可分析性也是很少，比起OpenBSD-current,它的PRNG的輸出寬度只有24bit，但是，對抵御攻擊已經足夠了。Linux是按照RFC1948規(guī)范的。它的HASH函數(shù)從實現(xiàn)來說，應該是沒有什么的漏洞，而且，它應該是引入了外部隨機源。

Solaris

Solaris的內核參數(shù)tcp_strong_iss有三個值，當tcp_strong_iss=0時，猜中序列號的成功率是100%；當tcp_strong_iss=1時，Solaris7和Solaris8一樣，都能產生一些特性相對較好的序列號。

tcp_strong_iss=2時，依據SunMicrosystem的說法，系統(tǒng)的產生的ISN值非常可靠，不可預測。通過觀察采樣值的低位值的變化，可以相信它的PRNG的設計采用了RFC1948規(guī)范，正如Solaris的白皮書所提到的。

但是，我們觀察到，Solaris7(tcp_strong_iss=2)雖然使用了RFC1948,但是，仍然相當?shù)娜?，究其原因，是因為Solaris沒有使用外部隨機源，而且也沒有在一段時間之后重算

。由一些Solaris系統(tǒng)動態(tài)分配IP地址的主機群要特別小心，因為Solaris在啟動之后，一直都不會變(這一點與Linux不同)，于是，攻擊者在合法擁有某個IP地址的時候，他可以在TCP會話期間對序列號進行大量的采樣，然后，當這個IP地址又動態(tài)地分配給其他人的時候，他就可以進行攻擊（在Clinet-Server結構的網絡系統(tǒng)中要尤為注意，因為，許多應用都是分配固定的端口進行通訊）。

獲得信息

一旦攻擊者獲得root的權限，他將立即掃描服務器的存儲信息。例如，在人力資源數(shù)據庫中的文件，支付賬目數(shù)據庫和屬于上層管理的終端用戶系統(tǒng)。在進行這一階段的控制活動時，攻擊者在腦海中已經有明確的目標。這一階段的信息獲取比偵查階段的更具有針對性，該信息只會導致重要的文件和信息的泄漏。這將允許攻擊者控制系統(tǒng)。

攻擊者獲得信息的一種方法是操縱遠程用戶的Web瀏覽器。大多數(shù)的公司并沒有考慮到從HTTP流量帶來的威脅，然而，Web瀏覽器會帶來很嚴重的安全問題。這種問題包括Cross-framebrowsingbug和Windowsspoofing以及Unicode等。瀏覽器容易發(fā)生緩沖區(qū)溢出的問題，允許攻擊者對運行瀏覽器的主機實施拒絕服務攻擊。一旦攻擊者能夠在局部使系統(tǒng)崩潰，他們便可以運行腳本程序來滲透和控制系統(tǒng)。

Cross-framebrowsingbug允許懷有惡意的Web站點的制作者創(chuàng)建可以從用戶計算機上獲得信息的Web頁面。這種情況出現(xiàn)在和版本的Netscape和Microsoft瀏覽器上，這種基于瀏覽器的問題只會發(fā)生在攻擊者已經知道文件和目錄的存儲位置時。這種限制看起來不嚴重，但實際上并非如此。其實，任何攻擊者都清楚地知道缺省情況下UNIX操作系統(tǒng)的重要文件存放在（etc）目錄下，WindowsNT的文件在（winnt）目錄下，IIS在（inetpubwwwroot）目錄下等

[Lasteditedby下弦月on2005-5-13at18:23]

下弦月2005-5-1310:13

網絡安全知識（7）

大多數(shù)的攻擊者都知道操作系統(tǒng)存放文件的缺省位置。如果部門的管理者使用Windows98操作系統(tǒng)和MicrosoftWord,Excel或Access，他很可能使用desktoMyDocuments目錄。攻擊者同樣知道windowsstartmenuprogramsstartup目錄的重要性。攻擊者可能不知道誰在使用操作系統(tǒng)或文件和目錄的布局情況。通過猜測電子表格，數(shù)據庫和字處理程序缺省存儲文件的情況，攻擊者可以輕易地獲得信息。

雖然攻擊者無法通過瀏覽器控制系統(tǒng)，但這是建立控制的第一步。利用Cross-framebrowsingbug獲得的信息要比從網絡偵查和滲透階段獲得的信息更詳細。通過閱讀文件的內容，攻擊者會從服務器上獲得足夠的信息，要想阻止這種攻擊手段，系統(tǒng)管理員必須從根本上重新配置服務器。

審計UNIX文件系統(tǒng)

Rootkit充斥在互聯(lián)網上，很難察覺并清除它們。從本質上來說，rootkit是一種木馬。大多數(shù)的rootkit用各種各樣的偵查和記錄密碼的程序替代了合法的ls，su和ps程序。審計這類程序的最好方法是檢查象ls,su和ps等命令在執(zhí)行時是否正常。大多數(shù)替代rootkit的程序運行異常，或者有不同的的文件大小。在審計UNIX系統(tǒng)時，要特別注意這些奇怪的現(xiàn)象。下表1列出了常見的UNIX文件的存放位置。

文件名

存放位置

/

根目錄

/sbin

管理命令

/bin

用戶命令；通常符號連接至/usr/bin

/usr

大部分操作系統(tǒng)

/usr/bin

大部分系統(tǒng)命令

/usr/local

本地安裝的軟件包

/usr/include

包含文件（用于軟件開發(fā)）

/usr/src

源代碼

/usr/local/src

本地安裝的軟件包的源代碼

/usr/sbin

管理命令的另一個存放位置

/var

數(shù)據（日志文件，假脫機文件）

/vr/log

日志文件

/export

被共享的文件系統(tǒng)

/home

用戶主目錄

/opt

可選的軟件