Информационная безопасность Oracle 9i - Заметание своих следов
ОГЛАВЛЕНИЕ
Заметание своих следов
Предположим, что нарушитель получил доступ к незащищенному листенеру (или преодолел механизмы защиты), тогда ему может захотеться скрыть свою деятельность, чтобы избежать обнаружения во время атаки или после проведенного анализа.
Команды SET LOG_STATUS OFF и SET TRC_LEVEL OFF выключают соответственно протоколирование и трассировку. Используя более творческий подход, можно направить протокольные и трассировочные файлы в /dev/null (UNIX) или в поток NTFS (например, в listener.log:HIDDEN в NT). Для этого в командах SET LOG_FILE/TRACE_FILE нужно задать полный доступа, в противном случае листенер будет добавлять расширение имени файла .log, например:
SET LOG_FILE listener.txt – откроет новый протокольный файл listener.txt.log”;
SET LOG_FILE /data/oracle/9.0.1/network/log/listener.txt – откроет протокольный файл listener.txt”.
Дальнейшее творческое использование этого стереотипа поведения обсуждается в следующих разделах.
Нарушитель может также отправить собственноручно созданный пакет, содержащий признак конца файла, который может заставить программное обеспечение просмотра протоколов прекратить вывод следующих сообщений.
Атаки типа "отказ в обслуживании"
Обнаружено, что листенер может подвергаться ряду атак типа отказ в обслуживании”:
использование команд листенера;
использование опубликованных оповещений о проблемах безопасности;
атака типа исчерпание ресурсов”.Как только процесс листенера будет уничтожен, он не сможет отвечать на любые сетевые запросы. Для перезапуска листенера системный администратор должен будет установить локальное соединение с машиной.