黑客在對(duì)我們的網(wǎng)絡(luò)進(jìn)行攻擊時(shí)通常會(huì)采用多種辦法來規(guī)避網(wǎng)絡(luò)安全設(shè)備的防護(hù)�����,從而獲取對(duì)信息的訪問權(quán)限。因此��,為了抵御黑客的攻擊�����,我們應(yīng)該了解黑客的攻擊方法�,清楚這些攻擊方法的工作原理以及對(duì)網(wǎng)絡(luò)造成的威脅���。在本文中我們將分析七種常見的網(wǎng)絡(luò)入侵方法�,這些方法可以單獨(dú)使用,也可以互相配合來破壞網(wǎng)絡(luò)�����。
1�����、監(jiān)聽
大多數(shù)通過網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)都是“文本”形式����,也就是在加密成密碼文本之前的普通的可讀文本����。這意味著,任何人使用網(wǎng)絡(luò)“嗅探器(例如Network Monitor 3.x或者第三方程序Wireshark等)”都可以輕松地讀取這些文本信息����。
一些保存自己用戶名和密碼列表的服務(wù)器應(yīng)用程序允許這些登錄信息以文本格式在網(wǎng)絡(luò)傳輸。網(wǎng)絡(luò)攻擊者只要簡(jiǎn)單地使用嗅探程序,接入到集線器或者交換器的可用端口就可以獲取這些信息����。事實(shí)上�����,大部分通過網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)都是文本格式的,這使得攻擊者很容易可以獲得這些信息。而這些信息可能包含敏感數(shù)據(jù),例如信用卡號(hào)碼����、社保號(hào)碼���、個(gè)人電子郵件內(nèi)容和企業(yè)機(jī)密信息等�����。很明顯��,解決這個(gè)問題的解決方案就是使用Ipsec或者SSL等技術(shù),對(duì)在網(wǎng)絡(luò)傳送的數(shù)據(jù)進(jìn)行加密�。
2��、欺詐
源IP地址和目的IP地址是為TCP/IP網(wǎng)絡(luò)的計(jì)算機(jī)之間建立會(huì)話的前提條件。IP“欺詐”行為是指假冒網(wǎng)絡(luò)中合法主機(jī)計(jì)算機(jī)的身份���,來獲取對(duì)內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)的訪問權(quán)限。欺詐的另一種說法是“模擬”���,實(shí)際上,入侵者是使用合法IP地址來“模擬”合法主機(jī)計(jì)算機(jī)����。
為了防止IP欺詐攻擊����,你可以使用Ipsec用于計(jì)算機(jī)間的通信��,使用訪問控制列表(ACLs)來阻止下游端口的私有IP地址,過濾入站和出站流量,并將路由器和交換機(jī)配置為阻止源自外部局域網(wǎng)而聲稱自己源自內(nèi)部網(wǎng)絡(luò)的流量�。你還可以啟用路由器上的加密功能�,這樣可以允許你信任的外部計(jì)算機(jī)與內(nèi)部計(jì)算機(jī)進(jìn)行通信�。
3、TCP/IP序列號(hào)攻擊
另一種常見欺詐攻擊是“TCP/IP序列號(hào)攻擊”。傳輸控制協(xié)議(TCP)主要負(fù)責(zé)TCP/IP網(wǎng)絡(luò)的通信的可靠性�����,這包括確認(rèn)信息發(fā)送到目的主機(jī)����。為了追蹤通過網(wǎng)絡(luò)發(fā)送的字節(jié),每個(gè)段都被分配了一個(gè)“序列號(hào)”。高級(jí)攻擊者可以建立兩臺(tái)計(jì)算機(jī)之間的序列模式,因?yàn)樾蛄心J讲⒉皇请S機(jī)的。
首先�����,攻擊者必須獲得對(duì)網(wǎng)絡(luò)的訪問權(quán)限�����。在獲得對(duì)網(wǎng)絡(luò)的訪問權(quán)限后��,他會(huì)連接到服務(wù)器,并分析他與他正在連接的合法主機(jī)之間的序列模式�。TCP/IP序列號(hào)攻擊者然后會(huì)通過假冒合法主機(jī)的IP地址來連接服務(wù)器�����。為了防止合法主機(jī)做出響應(yīng),攻擊者必須在合法主機(jī)發(fā)動(dòng)“拒絕服務(wù)攻擊”���。
由于合法主機(jī)不能響應(yīng),攻擊者將等待服務(wù)器發(fā)來的正確序列號(hào)����,現(xiàn)在服務(wù)器就開始相信欺詐計(jì)算機(jī)是合法主機(jī),攻擊者就可以開始進(jìn)行數(shù)據(jù)傳輸了�����。
4�����、密碼盜用
攻擊者只要成功盜用網(wǎng)絡(luò)密碼就能訪問不能訪問的資源�����,他們可以通過很多方法來獲取密碼。
社會(huì)工程學(xué)攻擊:攻擊者使用一個(gè)假的身份聯(lián)系對(duì)目標(biāo)信息擁有訪問權(quán)限的用戶�,然后他要求用戶提供密碼����。
嗅探:很多網(wǎng)絡(luò)應(yīng)用程序允許用戶名和密碼以未加密文本形式在網(wǎng)絡(luò)傳輸,這樣的話���,攻擊者就可以使用網(wǎng)絡(luò)嗅探應(yīng)用程序來攔截這個(gè)信息。
破解:“破解者”使用很多不同的技術(shù)來“猜測(cè)”密碼�,嘗試所有可能的數(shù)字字母組合����,直到猜出正確的密碼�。破解技術(shù)包括字典攻擊和暴力攻擊等。
如果管理員密碼被盜用�����,攻擊者將能夠訪問所有受訪問控制保護(hù)的網(wǎng)絡(luò)資源���,入侵者現(xiàn)在可以訪問整個(gè)用戶賬戶數(shù)據(jù)庫了����。有了這些信息�����,現(xiàn)在他可以訪問所有文件和文件夾��,更改路由信息,在用戶不知情的情況下�����,修改用戶需要的信息��。
抵御密碼盜用攻擊需要一個(gè)多方面的戰(zhàn)略��,教導(dǎo)用戶關(guān)于社會(huì)工程學(xué)的知識(shí),制定密碼保護(hù)制度��,規(guī)定密碼復(fù)雜度和長度要求���,要求用戶定期修改密碼����。部署多因素身份驗(yàn)證,這樣攻擊者不能僅憑一個(gè)密碼就獲得訪問權(quán)限����。
5���、拒絕服務(wù)攻擊
有許多不同類型的拒絕服務(wù)攻擊��,這些技術(shù)的共同點(diǎn)就是擾亂正常計(jì)算機(jī)或者目標(biāo)機(jī)器運(yùn)行的操作系統(tǒng)的能力。這些攻擊可以將大量無用的數(shù)據(jù)包塞滿網(wǎng)絡(luò)����,損壞或者耗盡內(nèi)存資源,或者利用網(wǎng)絡(luò)應(yīng)用程序的漏洞。分布式拒絕服務(wù)攻擊源自多臺(tái)機(jī)器(例如���,由幾十、幾百甚至成千上萬臺(tái)分布在不同地理位置的“僵尸”電腦組成的僵尸網(wǎng)絡(luò))。
傳統(tǒng)拒絕服務(wù)攻擊的例子包括:
TCP SYN攻擊
SMURF攻擊
Teardrop攻擊
Ping of Death攻擊
6��、TCP SYN攻擊
當(dāng)TCP/IP網(wǎng)絡(luò)的計(jì)算機(jī)建立會(huì)話時(shí)����,他們會(huì)通過“三次握手”過程,這三步握手包括:
源主機(jī)客戶端發(fā)送一個(gè)SYN(同步/開始)數(shù)據(jù)包,這臺(tái)主機(jī)在數(shù)據(jù)包中包括一個(gè)序列號(hào)��,服務(wù)器將在下一步驟中使用該序列號(hào)����。
服務(wù)器會(huì)向源主機(jī)返回一個(gè)SYN數(shù)據(jù)包,數(shù)據(jù)包的序列號(hào)為請(qǐng)求計(jì)算機(jī)發(fā)來的序列號(hào)+1
客戶端接收到服務(wù)端的數(shù)據(jù)包后,將通過序列號(hào)加1來確認(rèn)服務(wù)器的序列號(hào)
每次主機(jī)請(qǐng)求與服務(wù)器建立會(huì)話時(shí)�����,將通過這個(gè)三次握手過程��。攻擊者可以通過從偽造源IP地址發(fā)起多個(gè)會(huì)話請(qǐng)求來利用這個(gè)過程����。服務(wù)器會(huì)將每個(gè)打開請(qǐng)求保留在隊(duì)列中等待第三步的進(jìn)行,進(jìn)入隊(duì)列的條目每隔60秒會(huì)被清空��。
如果攻擊者能夠保持隊(duì)列填滿狀態(tài)��,那么合法連接請(qǐng)求將會(huì)被拒絕��。因此,服務(wù)器會(huì)拒絕合法用戶的電子郵件���、網(wǎng)頁、ftp和其他IP相關(guān)服務(wù)���。
7�、Ping of Death攻擊
Ping of death是一種拒絕服務(wù)攻擊,方法是由攻擊者故意發(fā)送大于65536比特的ip數(shù)據(jù)包給對(duì)方。Ping of death攻擊利用了Internet控制消息協(xié)議(ICMP)和最大傳輸單元(MTU)的特點(diǎn),Ping命令發(fā)送ICMP回應(yīng)請(qǐng)求(ICMP Echo-Request)并記錄收到ICMP回應(yīng)回復(fù)(ICMP Echo-Reply)�。MTU定義了具有不同媒體類型的網(wǎng)絡(luò)架構(gòu)的單元最大傳輸量���。
如果數(shù)據(jù)包大小大于MTU�����,數(shù)據(jù)包將被拆分,并在目的主機(jī)重新組合。當(dāng)數(shù)據(jù)包被分解時(shí)��,數(shù)據(jù)包會(huì)涵蓋一個(gè)“偏移”值���,這個(gè)偏移值用于在目的主機(jī)重組數(shù)據(jù)���。攻擊者可以將最后的數(shù)據(jù)片段替換為合理的偏移值和較大的數(shù)據(jù)包�,這樣將會(huì)超過ICMP回應(yīng)請(qǐng)求數(shù)據(jù)部分的數(shù)量,如果進(jìn)行重組����,目的計(jì)算機(jī)將會(huì)重新啟動(dòng)或者崩潰�。
8��、SMURF攻擊
SMURF攻擊試圖通過將ICMP回顯請(qǐng)求和回復(fù)塞滿網(wǎng)絡(luò)來禁用網(wǎng)絡(luò)��。攻擊者將會(huì)欺詐一個(gè)源IP地址,然后向廣播地址發(fā)出一個(gè)ICMP回顯請(qǐng)求,這將會(huì)導(dǎo)致網(wǎng)絡(luò)段的所有計(jì)算機(jī)向假冒請(qǐng)求進(jìn)行回復(fù)��。如果攻擊者可以將這種攻擊保持一段時(shí)間����,有效的信息將無法通過網(wǎng)絡(luò),因?yàn)镮CMP請(qǐng)求信息已經(jīng)塞滿網(wǎng)絡(luò)。
9��、Teardrop攻擊
Teardrop攻擊是使用一種程序(例如teardrop.c)來執(zhí)行的���,它將會(huì)造成與Ping of Death攻擊中類似的數(shù)據(jù)碎片�,它利用了重組過程的一個(gè)漏洞�,可能導(dǎo)致系統(tǒng)崩潰。
10�����、抵御DoS和DDoS攻擊
抵御DoS和DdoS攻擊應(yīng)該采取多層次的方法�。防火墻可以保護(hù)網(wǎng)絡(luò)抵御簡(jiǎn)單的“洪水”攻擊,而用于流量調(diào)整�����、延遲綁定(TCP拼接)和深度數(shù)據(jù)包檢測(cè)的交換機(jī)和路由器可以抵御SYN flood(利用TCP三次握手協(xié)議的缺陷���,向目標(biāo)主機(jī)發(fā)送大量的偽造源地址的SYN連接請(qǐng)求�����,消耗目標(biāo)主機(jī)資源)����。入侵防御系統(tǒng)可以阻止某些形式的DoS/DdoS攻擊�����,市面上還有專門抵御DoS的產(chǎn)品���,被稱為DoS抵御系統(tǒng)或者DDS��。
11����、中間人攻擊
中間人攻擊是這樣的情況�,兩方認(rèn)為他們只是在與對(duì)方進(jìn)行通信����,而實(shí)際上,還有一個(gè)中間方在監(jiān)聽會(huì)話���。中間人攻擊可以通過模擬發(fā)送者或者接受者的身份來偷偷切入會(huì)話。在攻擊者的介入期間��,他可以修改或者刪除傳輸中的消息�����。
攻擊者通過使用網(wǎng)絡(luò)嗅探器��,可以記錄和保存信息供以后使用,這可以讓入侵者發(fā)起后續(xù)的重放攻擊����,在記錄了會(huì)話信息后����,中間人可以重放此信息以便在未來了解網(wǎng)絡(luò)身份驗(yàn)證機(jī)制�,這就是所謂的重放攻擊。
中間人攻擊通常是基于web的��,中間人對(duì)客戶端(瀏覽器)和web服務(wù)器之間的通信進(jìn)行攔截��?���;趙eb的中間人攻擊可以通過使用最新版本的瀏覽器來抵御����,最新版本瀏覽器擁有內(nèi)置保護(hù)機(jī)制,并通過使用擴(kuò)展驗(yàn)證SSL證書的網(wǎng)站來通信����。雙因素身份驗(yàn)證可以用于秘密通信,但是,這并不能完全杜絕中間人攻擊�,因?yàn)橹虚g人通常是等待用戶使用智能卡或者令牌來進(jìn)行身份驗(yàn)證���。帶外身份驗(yàn)證是最好的保護(hù)方法�����,但是價(jià)格昂貴,開銷很大。
12、應(yīng)用程序級(jí)攻擊
面向應(yīng)用程序的攻擊試圖利用某些網(wǎng)絡(luò)應(yīng)用程序固有的缺陷�����。通過利用這些網(wǎng)絡(luò)應(yīng)用程序的缺陷�,攻擊者可以:
破壞或修改重要操作系統(tǒng)文件;
更改數(shù)據(jù)文件內(nèi)容;
造成網(wǎng)絡(luò)應(yīng)用程序或者整個(gè)操作系統(tǒng)不正常運(yùn)行,甚至崩潰;
擾亂應(yīng)用程序或操作系統(tǒng)的正常安全性和訪問控制;
植入程序?qū)⑿畔⒎祷亟o攻擊者����,臭名昭著的Back Orifice就是一個(gè)例子�����。
這些應(yīng)用程序級(jí)攻擊為入侵者提供了一片“沃土”。很多網(wǎng)絡(luò)應(yīng)用程序還沒有完成安全評(píng)估和測(cè)試以提高對(duì)攻擊的免疫力。
抵御應(yīng)用程序級(jí)攻擊很困難���,因?yàn)槊總€(gè)應(yīng)用程序的漏洞都不相同。最基本的抵御應(yīng)該是采取“縱深防御”的安全措施,并加強(qiáng)對(duì)已知漏洞的認(rèn)識(shí)�����。
13�����、盜用密鑰攻擊
密鑰是數(shù)字�,或者“密碼”�����,可以用來驗(yàn)證通信的完整性或者加密通信內(nèi)容��。有很多不同類型的密鑰。其中一種類型被稱為“共享的密碼”,發(fā)送計(jì)算機(jī)使用密鑰加密信息����,接收計(jì)算機(jī)使用相同的密鑰解密信息����。利用這個(gè)“共享的密碼”�,兩臺(tái)計(jì)算機(jī)可以進(jìn)行私人通信。
另一種密鑰是“私鑰”,私鑰可以用于確認(rèn)發(fā)送者的身份,也就是所謂的“簽名”信息,當(dāng)接收者收到使用某人的私鑰簽名的信息時(shí)��,他可以確認(rèn)發(fā)送者的身份�����。
如果攻擊者獲取了這些密鑰����,他就可以使用“假身份”用別人的私鑰進(jìn)行通信����。如果他得到了“共享密鑰”,他就可以解密由該密鑰加密的信息��。
一旦密鑰被暴露����,就無法保護(hù)信息的安全性�。然而,發(fā)現(xiàn)密鑰被暴露往往很難��,只有當(dāng)發(fā)現(xiàn)重要信息丟失時(shí)����,才會(huì)意識(shí)到密鑰丟失。緩解這種損害的方法包括進(jìn)行多密鑰加密���。
該文章在 2012/3/20 23:57:03 編輯過
400 186 1886
