收藏 分销(赏)

网络攻击及防范措施.pptx

上传人:w****g 文档编号:12559361 上传时间:2025-10-30 格式:PPTX 页数:122 大小:909.09KB 下载积分:22 金币
下载 相关 举报
网络攻击及防范措施.pptx_第1页
第1页 / 共122页
网络攻击及防范措施.pptx_第2页
第2页 / 共122页


点击查看更多>>
资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,11/7/2009,#,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第6章 网络攻击及防范措施,入侵者是那些利用网络漏洞破坏网络的人。通常入侵者怀着不良的企图,利用非法手段获得的系统访问权去闯入远程机器系统、窃取、破坏重要数据,或为了达到自己的目的而制造麻烦的具有恶意行为的人。他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。,虽然黑客和网络入侵者的目的不同,但是结果却是一样的。会使用户的数据可能丢失、安全受到威胁、商业关系被损害、声誉受到破坏等。从网络安全的角度很难区分黑客和入侵者,有些人既是黑客也是入侵者,通常黑客和入侵者都被称为黑客。随着网络攻击在互联网上愈演愈烈,每位网络用户都应该对网络攻击加以防范。,6.1.2 网络攻击的目的,网络攻击总是有一定目的的。了解网络攻击的目的,可以使用户在实际应用中有针对性的加强防御措施。,使用互联网的用户越来越多,对网络进行攻击的人也逐渐增多,攻击者的生活、经历和工作环境不同,存在着各种各样的攻击目的。攻击目的主要有:,(1)只是为了显示一下自己的能力。,(2)仅仅是恶作剧或戏弄别人。,(3)获取所需资料,包括科技情报、个人资料、金融账户、技术成果和系统信息等。,(4)破坏网络正常的服务,使网络或服务瘫痪。,(5)出于不良目的窃取军事和商业情报。,(6)篡改有关数据以达到非法目的。,(7)蓄意制造混乱。,(8)打击报复。,不论出于何种目的,对网络的攻击都会使网络的正常工作受到破坏,甚至使网络或服务瘫痪,在经济、信誉等方面造成不同程度的损失。,6.2,网络攻击的一般步骤,6.2.1 攻击的准备阶段,1.确定攻击的目的,攻击者在进行攻击之前首先要确定攻击要达到什么样的目的,造成什么样的后果。常见的攻击有破坏型和入侵型两种。破坏型攻击指的只是破坏攻击目标,使其不能正常工作,而不控制目标系统的运行,破坏型攻击的主要的手段是拒绝服务攻击(Denial of Service)。而入侵型攻击一般要获得一定的权限以控制攻击目标。这种攻击比破坏型攻击更为普遍,威胁性更大。一旦获取攻击目标的管理员权限就可以对攻击目标做任意动作,包括破坏性的攻击。入侵攻击目标一般是利用系统的漏洞、密码泄露等进行的网络攻击。,2.信息收集,攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。主要包括目标的操作系统类型及版本,提供的服务,各服务器程序的类型与版本以及相关的社会信息。进行信息收集可以用手工进行,也可以利用工具来完成,完成信息收集的工具叫做扫描器。用扫描器收集信息的优点是速度快,可以一次对多个目标进行扫描。,1)收集操作系统信息,要攻击一台机器,首先要确定它上面运行的操作系统和版本,不同的操作系统和版本,其上的系统漏洞有很大区别,攻击的方法可能完全不同。确定一台服务器的操作系统一般是靠经验,有些服务器的某些服务显示信息会泄露其操作系统。如通过telnet命令连上一台机器时,显示下面信息:,Red Hat Linux release 7.1(Seawolf),Kernel 2.4.2-2 on an i686,login:,根据显示的信息和经验判断运行的操作系统为Red Hat Linux 7.1。,还有一种方法是查询DNS的主机信息,看登记域名时的申请机器类型和操作系统类型,以及利用某些主机开放的SNMP的公共组来查询。这种方法不是很可靠。,另外一种相对比较准确的方法是利用不同操作系统在网络底层协议的实现细节上的不同来确定操作系统。由于每种操作系统在传输的数据包中总是使用一些具有特性的标志,因此可以通过远程向目标发送特殊的数据包,然后通过返回的数据包来确定操作系统类型。,2)收集提供的服务信息,收集攻击目标提供哪些服务及服务的类型、使用的软件和版本也非常重要。因为已知的漏洞一般都是针对某一服务,确定这些信息有助于利用系统漏洞攻破网站,如通过telnet命令连上一台服务器的Web服务的端口时,显示如下信息:,c:telnet 192.168.1.1 80,HTTP/1.1 400 Bad Request,Date:Sun,23 Nov 2003 19:28:15 GMT,Content-Type:text/html,Content-Length:87,ErrorThe parameter is incorrect.,Connection closed by foreign host.,根据显示的信息和经验判断运行的Web服务为Microsoft-IIS 5.0。,3)收集社会信息,收集与网络系统本身没有关系的社会信息,如网站所属公司的名称、规模、电话号码等。这些信息看起来与网站没有关系,实际上很多黑客都是利用了这类信息攻破网站的。如有些用户用自己的电话号码做系统密码,如果掌握了该电话号码,那么就等于掌握了管理员权限。,从网络安全角度出发,网站管理员应该更改一些显示信息,造成一些假象迷惑攻击者,以保护网络的安全。,6.2.2 攻击的实施阶段,1.获得权限,收集到足够的信息之后,攻击者就要开始实施攻击行动了。对于破坏性攻击,只需利用工具发动攻击即可。而作为入侵性攻击,要利用收集到的信息,找到其系统漏洞,然后利用该漏洞获取一定的权限。能够被攻击者利用的漏洞包括系统软件的安全漏洞,也包括由于管理配置不当而造成的漏洞。大多数攻击还是利用了系统软件本身的漏洞。,2.权限的扩大,系统漏洞分为远程漏洞和本地漏洞两种,远程漏洞是指可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。这种漏洞的威胁性很大,攻击一般都是从远程漏洞开始的。但是利用远程漏洞往往只是获取一个普通用户的权限,要想获取更大的权限就需要配合本地漏洞来把获得的权限扩大,最终常常是获得系统管理员权限。,往往只有获得管理员权限,才能完成对网络攻击的目的,如网络监听、打扫痕迹等。要完成权限的扩大,还可以放一些木马之类的欺骗程序在本地来套取管理员密码。,无论攻击者还是网络管理员,都需要掌握尽量多的系统漏洞。管理员根据不同的漏洞来进行不同的防御措施,黑客则用它来完成攻击。,6.2.3 攻击的善后工作,1.日志系统简介,所有的网络操作系统都提供日志记录功能,会把系统上发生的动作记录下来。为了自身的隐蔽性,攻击者一般都会抹掉自己在日志中留下的痕迹。如果攻击者完成攻击后不做任何善后工作,那么他的行踪将会很快被发现。不同的操作系统日志文件及其存放会有所不同。,2.隐藏踪迹,攻击者在获得系统最高管理员权限之后一般可以修改系统上的文件,包括日志文件,攻击者想要隐藏自己的踪迹的话,必须对日志进行修改。最简单的方法是删除日志文件,这样做虽然避免了系统管理员追踪到自己,但同时也告诉了管理员系统已经被入侵。所以通常只对日志文件中有关攻击的那一部分做修改。,即使自认为修改了所有的日志,但仍然会留下一些痕迹的。如安装了某些后门程序,运行后也可能被管理员发现。有的攻击者会通过替换一些系统程序的方法来进一步隐藏踪迹。,管理员应该采取一定的措施来避免日志系统被修改,如用打印机实时记录网络日志信息或把所有日志文件发送到一台比较安全的主机上。但这样做也不能完全保证日志不被修改。如攻击者不停地向日志里写入无用的信息,使得打印机不停地打印日志,直到纸用光为止,或者攻击存放日志的计算机。,3.后门,一般攻击者都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方便,黑客会留下一个后门,如特洛伊木马程序,它能与系统同时运行,而且能在系统重新启动时自动运行这个程序。,6.3,网络攻击常用方法及防御措施,6.3.1 获取口令,人们一想到网络安全,首先就会想到口令,事实上口令是保护网络安全的一个重要措施,口令被窃取特别是管理员的口令被窃取,会使网络安全受到非常大的威胁。网络攻击者往往会通过获取网络系统上的用户名和密码的方法达到攻击的目的。,1.获取口令的方法,获取口令的方法一般有以下四种:,(1)在被攻击主机上启动一个可执行程序,该程序可能是显示一个伪造的登录界面。当需要用户输入用户名和口令时,伪装的登录界面先启动,用户在这个登录界面上键入登录信息后,程序将用户输入的信息传送到攻击者主机,然后关闭界面给出出错提示信息(如“密码错误”、“系统故障”等),要求用户重新登录。重新出现的登录界面才是真正的登录界面。,该程序也可能是一个记录输入的用户名和口令的软件,当用户在登录界面输入用户名和口令时,将被记录在一个文件中或者通过邮件发送给攻击者。,(2)通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的用户账号和口令,对局域网安全威胁很大。该方法需要使用网络监听软件分析网络上传输的数据包,从中可以得到用户名和口令。,(3)在知道用户的账号后(如电子邮件地址前面的部分),利用一些专门软件强行在线破解用户口令,这种方法不受网段限制,但要有足够的耐心和时间。,(4)获得服务器上的用户口令文件(如Windows 2000下的sam文件、UNIX下的shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令文件。此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与口令文件中的口令相比较就能非常容易地破获用户密码,尤其对那些口令安全系数低的用户(如某用户账号为abc,其口令就是abc123、12345等),更是在短短的一两分钟内,甚至几十秒内就可以破解密码。,2.防御获取口令的措施,用户口令是保护网络安全的一个主要措施,保证用户口令不被获取在网络安全方面非常重要。防御获取口令的措施主要有以下三种。,(1)防止特洛伊木马程序的入侵。,(2)防止网络被监听。,(3)制定口令管理策略。大多数机构都有自己的口令管理策略。下面是部分常用的口令管理策略。,所有活动账号都必须有口令保护,必要时限制用户登录的时间段。,在生成账号时,系统管理员应该分配给合法用户一个惟一的口令,用户在第一次登录时应更改口令。,关掉系统提供的缺省账户,收回调离本单位人员的账户,禁止长期不用的账户。,口令输入时不应将口令的明文显示出来,应该采取掩盖措施。,口令必须至少要含有八个字符,必须同时含有字母和非字母字符,并且不能和用户名或登录名相同。,口令在网络中传输时进行加密处理。,口令必须是保密的,不能共享或含在程序中、或写在纸上或以明文形式保存在任何电子介质中。,定期用监控工具检查口令的强度和长度是否合格。,口令必须至少60天更改一次。,口令的使用期限和过期失效必须由系统强制执行。过期的口令在没有更改的情况下最多只能使用三次,之后应该禁用,只有管理员或维护人员才能恢复。,禁止重用口令。为了防止重用口令必须保存至少12个历史口令。,口令不能通过明文电子邮件传输,不能通过语音或移动电话告知,用户获取口令时必须用适当的方式证明自己的身份。,用户应该在不同的系统中使用不同的口令。,如果管理员账户的口令被攻破或泄漏,所有的口令都必须修改。,当怀疑口令被攻破或泄漏就必须予以更改。,控制登录尝试的频率,口令输错超过限定的次数后账号被锁定,只有系统管理员或维护人员可以解锁。,对口令的使用、成功登录日志、失败登录日志(包括日期、时间、用户名或登录名)要经常进行审计。,如果用户在空闲状态持续达一定时间后应该自动退出。,用户成功登录时,应显示上次成功或失败登录的日期和时间。,6.3.2 特洛伊木马程序,特洛伊木马程序是威胁网络安全的一种危险程序。特洛伊木马程序在今天的网络上可谓无所不在,一旦特洛伊木马程序侵入计算机系统,网络的安全和个人隐私将受到严重的威胁。,1.特洛伊木马程序简介,特洛伊木马程序是一个包含在一个合法程序中的非法的程序。该非法程序被用户在不知情的情况下执行。特洛伊木马程序隐藏在计算机系统中,在操作系统启动时自动运行,它采用客户机/服务器的运行方式,如图6-3-1所示。,服务器运行在被攻击的计算机上,客户机运行在攻击者的计算机上。当被攻击者上网时,特洛伊木马程序的服务端就会通过预先设定的端口或电子邮件通知攻击者,报告被攻击者的IP地址、预先设定的端口、获取的口令等信息。攻击者收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改被攻击者计算机的参数设定、复制文件、修改注册表、窥视硬盘中的内容,攻击者甚至可以格式化硬盘、获取信用卡号及密码等,从而达到控制计算机的目的。现在流行的很多病毒也都带有特洛伊木马程序性质。,图6-3-1 特洛伊木马程序工作原理,2.特洛伊木马服务端程序的植入方法,攻击者要通过木马进行网络攻击,第一步是要把木马的服务器端程序植入到被攻击者的计算机系统里,然后通过一定的提示故意误导被攻击者打开执行文件。常见的植入方法有以下四种:,1)通过软件下载植入,木马执行文件非常小,大都是几KB到几十KB,如果把木马捆绑到其他正常文件上,用户很难发现,有的网站提供下载的软件可能捆绑了木马文件,在用户执行这些下载的文件时,也同时运行了木马程序。,4)通过系统的一些漏洞植入,如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序就可以使IIS服务器崩溃,并且同时在被攻击服务器执行远程木马文件。,木马在被植入被攻击的主机后,它一般会通过发送电子邮件、发送UDP或者ICMP数据包的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,这样攻击者有这些信息才能够与木马里应外合控制被攻击的主机。,3.特洛伊木马程序的检测,在使用计算机的过程中可能遇到莫名其妙地死机或重启、计算机反应速度变慢、硬盘在不停地读写、鼠标不听使唤、键盘无效、窗口被莫名其妙地关闭和打开、网络传输指示灯一直在闪烁等不正常现象,有可能受到特洛伊木马程序的攻击。检测特洛伊木马程序常用以下方法:,1)通过网络连接检测,扫描端口是检测木马的常用方法。在不打开任何网络软件的前提下,接入互联网的计算机打开的只有139端口。因此,可以关闭所有网络软件,然后用端口扫描软件对电脑端口进行扫描,如果发现除139端口之外的端口被打开,就有可能存在特洛伊木马程序。,也可以利用Windows自带的Netstat命令来查看。一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat-a”命令格式。如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么监听该端口的很可能是木马。,2)通过进程检测,在Win2000/XP中按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程,清查时即可发现是否有木马程序。,在Windows 98/2000/XP中,单击任务栏【开始】/【运行】,在对话框中输入msinfo32后,单即【确定】按钮,出现系统信息窗口。展开【软件环境】项,单击【正在运行任务】项,出现如图6-3-2所示的窗口。窗口中显示的是Windows现在全部运行的任务。如果有的项目有程序名和路径,而没有版本、厂商和说明时就应小心清查了。,图6-3-2 Windows系统中正在运行的任务窗口,3)通过软件检测,用户运行杀毒软件、放火墙软件和专用木马查杀软件等都可以检测系统中是否存在已知的木马程序。,4.特洛伊木马程序的清除,以通过手工和软件的方式清除特洛伊木马程序,但一般情况下木马程序不容易被发现,手工清除比较困难,软件清除比较简单,但是软件清除对于一些新出现的木马程序无能为力。,1)手工清除,(1)如果发现有“木马”存在,马上将计算机与网络断开,防止黑客通过网络进行攻击。,(2)编辑win.ini文件,将该文件中的WINDOWS下面的“run=木马程序名”或“load=木马程序名”更改为“run=”和“load=”。,(3)编辑system.ini文件,将BOOT下面的“shell=木马文件名”更改为“shell=explorer.exe”。,(4)在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCALMACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了,因为有的“木马”(如BladeRunner“木马”),如果删除它,“木马”会立即自动加上,需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。,重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。如手工清除Back Orifice 2000(BO2000)方法,首先检查注册表HEKY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中有无Umgr32.exe的键值,如有键值,则将其删除。重新启动电脑,并将WindowsSystem中的Umgr32.exe删除。,2)软件清除,(1)杀毒软件:目前常用的病毒防护软件也可以实现对木马的查杀,如瑞星、金山毒霸等,这类软件对木马的检查也比较成功,但彻底地清除不是很理想,因为一般情况下木马在电脑每次启动时都会自动加载,杀病毒软件不能完全清除木马文件,杀病毒软件作为防止木马的入侵来说更有效。,(2)个人版网络防火墙软件:常用的个人版网络防火墙软件,如天网、金山网镖等,在防火墙启动之后,一旦有可疑的网络连接或者木马对电脑进行控制,防火墙就会报警,同时显示出对方的IP地址、接入端口等提示信息,通过设置之后即可使对方无法进行攻击。利用防火墙只能检测发现木马并加以预防攻击,但不能彻底清除它。,(3)专用的木马查杀软件:专用的木马查杀软件一般可以彻底清除系统中的木马程序,如The Cleaner、木马克星、木马终结者等。,5.特洛伊木马程序的预防,随着网络的普及,木马的传播越来越快,而且新的变种层出不穷,在检测清除它的同时,更要注意采取措施来预防。预防方法如下:,1)不执行任何来历不明的软件,下载软件的时候需要特别注意,一般推荐去一些信誉比较高的站点。下载完成后一定要用反病毒软件检查一下,建议用专门查杀木马的软件来进行检查,确定无毒后再使用。,2)不随意打开邮件附件,很多木马程序是通过邮件来传递的,对邮件附件的运行尤其需要注意。,3)将资源管理器配置成始终显示扩展名,一些文件扩展名为vbs、shs、pif的文件多为木马病毒的特征文件,如果碰到这些可疑的文件扩展名时就应该引起注意。,4)尽量少用共享文件夹,单独开一个共享文件夹,把所有需共享的文件都放在这个共享文件夹中,注意千万不要将系统目录设置成共享。,5)运行反木马实时监控程序,上网时最好运行反木马实时监控程序,木马克星、The Cleaner等软件一般都能实时显示当前所有运行程序并有详细的描述信息。此外还应加上一些专业的最新杀毒软件、个人防火墙等。,6)经常升级系统,很多木马都是通过系统漏洞来进行攻击的,及时打上系统漏洞补丁,很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。,6.3.3 网络监听,网络监听本来是为了管理网络,网络管理员使用网络监听工具可以监视网络的状态和数据流动情况以及网络上传输的信息。但是由于网络监听能有效地截获网上的数据,因此也成了攻击者常用的攻击手段。,目前网络上的数据绝大多数是以明文的形式在网络上传输的,将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获,尤其是口令通常很短且很容易辨认,网络监听用得最多的是截获用户的口令。但有一个前提条件,监听只能是同一网段的主机,这里同一网段是指物理上的连接。,网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、路由器、网关、防火墙等。监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作,使用最方便的是在一个以太网中的任何一台上网的主机上,这是大多数黑客的做法。,1.网络监听原理,以太网(Ethernet)协议的传输方式是广播式的传送,即把数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址(在局域网中为网卡的物理地址),只有与数据包中目标地址一致的那台主机才能接收到信息包,当使用集线器的时候,发送出去的信号到达集线器,由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时,正常状态下网络接口对读入数据包进行检查,如果数据包中携带的物理地址是自己的或者物理地址是广播地址,那么就接收。,对于每个到达网络接口的数据帧都要进行这个过程的。但是当主机工作在监听模式下的话,所有的数据帧都将被交给上层协议软件处理。但是当主机工作在混杂模式下的话不管数据包中的目标物理地址是什么,主机都将全部接收,然后再对数据包进行分析,实现信息的截获。,2.网络监听的防范方法,一旦网络被监听,可能导致敏感信息被截获,将会给网络带来很大的安全问题,常用的网络监听的防范方法如下:,(1)要确保以太网的整体安全性,因为网络监听行为要想发生,一个最重要的前提条件就是以太网内部的一台有漏洞的主机被攻破,只有利用被攻破的主机,才能进行网络监听,去收集以太网内敏感的数据信息。,(2)对网络中传输的数据进行加密,以密文传输也是一个很好的办法,入侵者即使抓取到了传输的数据信息,意义也不大。比如作为telnet、ftp等安全替代产品目前采用ssh2还是安全的。这是目前相对而言使用较多的手段之一。,(3)使用交换机目前也是一个应用比较多的方式。交换机在工作时维护着一张ARP的数据库,在这个库中记录着交换机每个端口绑定的MAC地址,当有数据报发送到交换机上时,交换机会将数据报的目的MAC地址与自己维护的数据库内的端口对照,然后将数据报发送到“相应的”端口上,这在一定程度上解决了网络监听的问题。但是随着dsniff,ettercap等软件的出现,即使使用交换机也能进行网络监听。,(4)对安全性要求比较高的公司可以考虑kerberos,kerberos是一种为网络通信提供可信第三方服务的面向开放系统的认证机制,它提供了一种强加密机制,使客户端和服务器即使在非安全的网络连接环境中也能确认彼此的身份,而且在双方通过身份认证后,后续的所有通信也是被加密的。,3.检测网络监听的手段,具有网络监听行为的主机在工作时总是不做声的收集数据包,几乎不会主动发出任何信息,因此对发生在局域网主机上的监听缺乏很好的检测方法。目前可以使用的检测手段有如下五种:,1)反应时间,向怀疑有网络监听行为的网络发送大量垃圾数据包,根据各个主机回应的情况进行判断,正常的系统回应的时间应该没有太明显的变化,而处于混杂模式的系统由于对大量的垃圾信息照单全收,所以很有可能回应时间会发生较大的变化。,2)观测DNS,许多的网络监听软件都会尝试进行地址反向解析,在怀疑有网络监听发生时可以在DNS系统上观测有没有明显增多的解析请求。,3)利用Ping模式进行监测,当一台主机进入混杂模式时,以太网的网卡会将所有不属于它的数据照单全收。现在伪造出这样的一种ICMP数据包:网卡硬件地址(MAC地址)被设置为不与局域网内任何一台主机相同的地址,目的IP地址为怀疑正在进行网络监听的主机IP地址,可以设想一下这种数据包在局域网内传输会发生什么现象?这个数据包在传输时,任何正常的主机会检查这个数据包,比较数据包的硬件地址,和自己的不同,于是不会理会这个数据包,而处于网络监听模式的主机呢?,由于它的网卡现在是在混杂模式的,因此它不会去对比这个数据包的硬件地址,而是将这个数据包直接传到上层协议,上层协议检查数据包的IP地址,符合自己的IP,于是会对这个Ping的包做出回应。这样,一台处于网络监听模式的主机就被发现了。,4)利用arp数据包进行监测,这种方法是Ping方式的一种变体,使用arp数据包替代了上述的ICMP数据包。向局域网内的主机发送非广播方式的arp包,如果局域网内的某个主机响应了这个arp请求,就可以判断它很可能就是处于网络监听模式了,这是目前相对而言比较好的监测模式。,5)使用Antisniff软件检测,1999年,Lopht公司发布了一个名为Antisniff的软件,该软件可以扫描网络并测试一台计算机是否运行在混杂模式。,6.3.4 缓冲区溢出攻击,在使用缓冲区时,理想情况是在使用程序前检查数据长度,并且不允许输入超过缓冲区长度的字符串。但多数程序都假设数据长度与所分配的存储空间相匹配,这就为缓冲区溢出埋下隐患。,1.缓冲区溢出攻击简介,缓冲区溢出是指当一个超长的数据进入到缓冲区时,超出部分就会被写入其他缓冲区,其他缓冲区存放的可能是数据、下一条指令的指针或者是其他程序的输出内容,这些内容都被覆盖或被破坏掉。这就带来了两种后果,一是过长的字符串覆盖了相临的存储单元而造成程序瘫痪,甚至造成停机、系统或进程重启等;二是利用漏洞可以让攻击者运行恶意代码,执行任意指令,甚至获得超级权限等。,通常缓冲区溢出攻击都是一次完成攻击代码植入和程序转向攻击代码两种功能。如通常攻击者将目标定为具有溢出漏洞的自动变量,然后向程序传递超长的字符串,进而引发缓冲区溢出。然后这段精巧设计的攻击代码以一定的权限运行漏洞程序,从而获得目标主机的控制权。这种攻击手段屡次得逞主要利用了C程序中数组边境条件、函数指针等设计不当的漏洞,大多数Windows、Linux、UNIX、数据库系列的开发都依赖于C语言,而C语言的缺点是缺乏类型安全,所以缓冲区溢出攻击成为操作系统、数据库等大型应用程序最普遍的攻击,大约80%的安全事件与缓冲区溢出有关。,如2001年8月,“红色代码”利用微软IIS漏洞产生缓冲区溢出进行攻击,2003年1月,Slammer蠕虫利用微软SQL漏洞产生缓冲区溢出进行攻击,2003年8月,冲击波蠕虫病毒利用微软RPC远程调用存在的缓冲区漏洞对Windows 2000/XP、Windows Server 2003进行攻击,这些蠕虫病毒发作原理,就是利用未及时更新补丁的缓冲溢出漏洞,并通过互联网迅速波及到全球网络系统的。,2.缓冲区溢出攻击防范,传统安全工具如防火墙对缓冲区溢出攻击无能为力,因为攻击者传输的数据分组并无异常特征,没有任何欺骗。另外可以用来实施缓冲区溢出攻击的字符串非常多样化,无法与正常数据有效地进行区分。缓冲区溢出攻击不是一种窃密和欺骗的手段,而是从计算机系统的最底层发起攻击,因此身份验证和访问权限等安全策略对于缓冲区溢出攻击形同虚设。通常可以采取以下防范措施。,1)编写正确的代码,缓冲区溢出根源在于编程,是由编程错误引起的。防止利用缓冲区溢出发起的攻击,关键在于程序开发者在开发程序时仔细检查溢出情况,不允许数据溢出缓冲区。,2)非执行的缓冲区,使被攻击程序的数据段地址空间不可执行,从而使得攻击者不可能执行被植入的攻击程序输入缓冲区的代码,这种技术被称为非执行的缓冲区技术。,3)数组边界检查,数组边界检查完全没有缓冲区溢出的产生和攻击。这样,只要数组不能被溢出,溢出攻击也就无从谈起。为了实现数组边界检查,则所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所有的数组操作,但是通常可以用一些优化的技术来减少检查的次数。,4)程序指针完整性检查,程序指针完整性检查指的是在程序指针被引用之前检测到它的改变。因此,即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。这种方法不能解决所有的缓冲区溢出问题,但是这种方法在性能上有很大的优势,而且兼容性也很好。,此外,用户需要经常登录操作系统和应用程序提供商的网站,跟踪公布的系统漏洞,及时下载补丁程序,弥补系统漏洞。,6.3.5 拒绝服务攻击,2000年2月雅虎网站遭到攻击,导致其站点瘫痪而无法提供给用户持续的服务,致使雅虎的网络服务停顿了近三个小时。此次攻击使用的是拒绝服务(Denial of ServiceDoS)的攻击方式。在不同的计算机上同时发出连续不断的服务器请求来“轰炸”雅虎网站。这类似于某人通过不停拨打某个公司的电话来阻止其他电话打进,从而导致公司通信瘫痪。从网络攻击的方法和产生的破坏情况来看,DoS是一种很简单但很有效的进攻方式,它的目的就是拒绝服务访问。,1.DoS攻击的基本过程,首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,因此服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会不断的传送新的请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽,无法提供服务给其他用户,甚至会使被攻击网络的服务器系统负荷过载而停机、部分网络连接及网络系统失效。,2.分布式拒绝服务,分布式拒绝服务(Distributed Denial of ServiceDDoS)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要针对比较大的站点,如商业公司、搜索引擎和政府部门的站点。DoS攻击只要一台连接网络的单机就可实现,而DDoS攻击是利用一批受控制的机器向同一台机器发起攻击,因此这样的攻击难以防备,具有较大的破坏性。,3.拒绝服务攻击的防御,对于DoS攻击目前还没有十分有效的防范办法。对于DoS攻击的防范,重要的是用户要加强安全防范意识,提高网络系统的安全性。可以采取的防御措施有以下几种:,(1)在网络上设立过滤器或侦测器,在信息到达网站服务器之前阻挡信息。防火墙和路由器是目前阻挡拒绝服务攻击的常用设备,通过设计访问策略,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包,能够对拒绝服务攻击起到一定的防范作用。,(2)及早发现系统存在的攻击漏洞,及时安装系统补丁程序。建立和完善备份机制,对一些特权账号(如管理员账号)的密码设置要谨慎。把攻击者的可乘之机降低到最小。,(3)禁止不必要的网络服务,经常检测系统配置信息,并注意查看每天的安全日志。,(4)与网络服务提供商协调工作,让网络服务提供商帮助实现路由的访问控制并对带宽总量进行限制。,(5)当正在遭受DoS攻击时,应当启动应对策略,及时尽可能快地追踪攻击包,分析受影响的系统,确定涉及的其他节点,阻挡已知攻击节点的流量。,6.4,入侵检测,6.4.1 入侵检测系统,入侵检测系统已成为抵御网络攻击的一种有效方式。入侵检测主要用来监视和分析用户及系统的活动,实时收集网络中的有关信息和数据,与预先定义的攻击特征进行比较,对其进行分析以发现隐藏在其中的攻击行为,从而实现实时地检测攻击行为,并获取攻击证据、报警和制止攻击者的行为等。入侵检测系统可以在不影响网络性能的情况下对网络进行检测,可以提供对内部攻击、外部攻击的实时保护,是一种主动的网络访问监控手段。,1.入侵检测系统的主要功能,入侵检测系统不但可使系统管理员时刻了解网络系统的变更,还能为网络安全策略的制定提供指南。入侵检测系统的功能应达到能根据网络威胁、系统构造和安全需求的改变而改变,在发现入侵时,及时作出响应,包括切断网络连接、记录事件和报警等,同时系统应易于管理、配置和升级。通常入侵检测系统的主要功能有:,(1)监测并分析用户和系统的活动。,(2)核查系统配置和漏洞。,(3)评估系统关键资源和数据文件的完整性。,(4)识别已知的攻击行为。,(5)统计分析异常行为。,(6)操作系统日志管理,并识别违反安全策略的用户活动。,(7)在线升级功能。,2.入侵检测系统的分类,入侵检测系统一般可分为主机型和网络型。,主机型入侵检测系统的数据源往往是主机系统日志、应用程序日志等,有的也通过其他手段从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是主机所在的系统。,网络型入侵检测系统的数据源则是网络上的数据包。往往用一台计算机监听所有本网段内的数据包并进行判断。网络型入侵检测系统保护的一般是一个网段。,主机型入侵检测系统必须为不同操作系统平台开发不同的程序,因而增加主机系统负荷,安装数量多,但可以利用操作系统本身提供的功能,并结合异常分析,可以更准确地报告攻击行为。网络型入侵检测系统由于作用在一个网段上,因此一个网段只需安装一个或几个这样的系统,便可以监测整个网段的情况,网络型入侵检测系统往往由单独的计算机做检测,不会增加运行关键业务的主机的负载。,3.入侵检测产品的选购原则,目前,入侵检测产品很多,在选购过程中要注意以下基本原则。,(1)能检测的攻击数量为多少,是否支持升级,升级是否方便及时。,(2)最大可处理流量是多少,是否能满足网络的需要,注意不要产生网络的瓶颈。,(3)产品应该不易被攻击者躲避。,(4)提供灵活的自定义策略,用户能自定义异常事件。,(5)根据需要选择基于百兆网络、基于千兆网络或基于主机的系统。,(6)多数产品存在误报和漏报,要注意产品的误报和漏报率。,(7)入侵检测系统本身的安全非常重要,必须有自我保护机制,防止成为攻击目标。,(8)对网络的负载不能影响正常的网络业务,必须能对数据进行实时分析。,(9)系统易于管理和维护。,(10)特征库升级与维护的费用。,(11)产品要通过国家权威机构的评测。,由于用户的实际情况不同,因此用户需根据自己的安全需要综合考虑。,6.4.2 网络安全扫描技术,网络安全扫描就是对计算机系统或者其他网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞,使网络管理员能及时了解系统中存在的安全漏洞,并采取相应防范措施,从而降低系统的安全风险,有效地防范黑客入侵的一种网络安全技术。利用安全扫描技术,可以对局域网络、Web站点、主机操作系统、系统服务以及防火墙系统的安全漏洞进行扫描,系统管理员从中可以了解在运行的网络系统中存在的不安全的网络服务、在操作系统上存在的可能导致遭受缓冲区溢出攻击或者拒绝服务攻击的安全漏洞,还可以检测主机系统中是否被安装了窃听程序、防火墙系统是否存在安全漏洞和配置错误。,1.安全扫描策略,安全扫描通常采用两种策略。第一种是被动式策略,第二种是主动式策略。所谓被动式策略就是基于主机之上的,对系统中不合适的设置、脆弱的口令以及其他同安全规则抵触的对象进行检查;而主动式策略是基于网络的,通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,主要扫描设定网络内的服务器、路由器、网桥、交换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力,从而发现其中的漏洞。利用被动式策略扫描称为系统安全扫描,利用主动式策略扫描称为网络安全扫描。,2.安全扫描的检测技术,目前使用的安全扫描的检测技术主要有以下四种。,1)基于应用的检测技术,基于应用的检测技术采用被动的,非破坏性的办法检查应用软件包的设置,发现安全漏洞。,2)基于主机的检测技术,基于主机的检测技术采用被动的、非破坏性的办法对系统进行检测。通常,它涉及到系统的内核、文件的属性、操作系统的补丁等问题。这种技术还包括口令解密和把一些简单的口令剔除。因此,这种技术可以非常准确地定位系统的问题,发现系统的漏洞。它的缺点是与系统平台相关,升级复杂。,3)基于目标的漏洞检测技术,基于目标的漏洞检测技术采用被动的、非破坏性的办法检查系统属性和文件属性,如数据库、注册号等。通过消息文摘算法,对文件的加密数进行检验。这种技术的实现是运行在一个闭环上的,并不断地处理文件、系统目标、系统目标属性,然后产生检验数,把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。,4)基于网络的检测技术,基于网络的检测技术采用积极的、非破坏性的办法来检验系统是否有被攻击而崩溃的可能。它利用了一系列的脚本模拟对系统进行攻击的行为,然后对结果进行分析,还针对已知的网络
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服