⑴ 網路攻擊一般分為哪幾個步驟
攻擊的基本步驟:搜集信息 實施入侵 上傳程序、下載數據 利用一些方法來保持訪問,如後門、特洛伊木馬 隱藏蹤跡 【 信息搜集 】在攻擊者對特定的網路資源進行攻擊以前,他們需要了解將要攻擊的環境,這需要搜集匯總各種與目標系統相關的信息,包括機器數目、類型、操作系統等等。踩點和掃描的目的都是進行信息的搜集。
攻擊者搜集目標信息一般採用7個基本步驟,每一步均有可利用的工具,攻擊者使用它們得到攻擊目標所需要的信息。找到初始信息 找到網路的地址范圍 找到活動的機器 找到開放埠和入口點 弄清操作系統 弄清每個埠運行的是哪種服務 畫出網路圖
1>找到初始信息
攻擊者危害一台機器需要有初始信息,比如一個IP地址或一個域名。實際上獲取域名是很容易的一件事,然後攻擊者會根據已知的域名搜集關於這個站點的信息。比如伺服器的IP地址(不幸的是伺服器通常使用靜態的IP地址)或者這個站點的工作人員,這些都能夠幫助發起一次成功的攻擊。
搜集初始信息的一些方法包括:
開放來源信息 (open source information)
在一些情況下,公司會在不知不覺中泄露了大量信息。公司認為是一般公開的以及能爭取客戶的信息,都能為攻擊者利用。這種信息一般被稱為開放來源信息。
開放的來源是關於公司或者它的合作夥伴的一般、公開的信息,任何人能夠得到。這意味著存取或者分析這種信息比較容易,並且沒有犯罪的因素,是很合法的。這里列出幾種獲取信息的例子: 公司新聞信息:如某公司為展示其技術的先進性和能為客戶提供最好的監控能力、容錯能力、服務速度,往往會不經意間泄露了系統的操作平台、交換機型號、及基本的線路連接。 公司員工信息:大多數公司網站上附有姓名地址簿,在上面不僅能發現CEO和財務總監,也可能知道公司的VP和主管是誰。 新聞組:現在越來越多的技術人員使用新聞組、論壇來幫助解決公司的問題,攻擊者看這些要求並把他們與電子信箱中的公司名匹配,這樣就能提供一些有用的信息。使攻擊者知道公司有什麼設備,也幫助他們揣測出技術支持人員的水平 Whois
對於攻擊者而言,任何有域名的公司必定泄露某些信息!
攻擊者會對一個域名執行whois程序以找到附加的信息。Unix的大多數版本裝有whois,所以攻擊者只需在終端窗口或者命令提示行前敲入" whois 要攻擊的域名"就可以了。對於windows操作系統,要執行whois查找,需要一個第三方的工具,如sam spade。
通過查看whois的輸出,攻擊者會得到一些非常有用的信息:得到一個物理地址、一些人名和電話號碼(可利用來發起一次社交工程攻擊)。非常重要的是通過whois可獲得攻擊域的主要的(及次要的)伺服器IP地址。
Nslookup
找到附加IP地址的一個方法是對一個特定域詢問DNS。這些域名伺服器包括了特定域的所有信息和鏈接到網路上所需的全部數據。任何網路都需要的一條信息,如果是打算發送或者接受信件,是mx記錄。這條記錄包含郵件伺服器的IP地址。大多數公司也把網路伺服器和其他IP放到域名伺服器記錄中。大多數UNIX和NT系統中,nslookup代理或者攻擊者能夠使用一個第三方工具,比如spade。
另一個得到地址的簡單方法是ping域名。Ping一個域名時,程序做的第一件事情是設法把主機名解析為IP地址並輸出到屏幕。攻擊者得到網路的地址,能夠把此網路當作初始點。2>找到網路的地址范圍
當攻擊者有一些機器的IP地址,他下一步需要找出網路的地址范圍或者子網掩碼。
需要知道地址范圍的主要原因是:保證攻擊者能集中精力對付一個網路而沒有闖入其它網路。這樣做有兩個原因:第一,假設有地址10.10.10.5,要掃描整個A類地址需要一段時間。如果正在跟蹤的目標只是地址的一個小子集,那麼就無需浪費時間;第二,一些公司有比其他公司更好的安全性。因此跟蹤較大的地址空間增加了危險。如攻擊者可能能夠闖入有良好安全性的公司,而它會報告這次攻擊並發出報警。
攻擊者能用兩種方法找到這一信息,容易的方法是使用America Registry for Internet Numbers(ARIN)whois 搜索找到信息;困難的方法是使用tranceroute解析結果。
(1) ARIN允許任何人搜索whois資料庫找到"網路上的定位信息、自治系統號碼(ASN)、有關的網路句柄和其他有關的接觸點(POC)。"基本上,常規的whois會提供關於域名的信息。ARINwhois允許詢問IP地址,幫助找到關於子網地址和網路如何被分割的策略信息。
(2) Traceroute可以知道一個數據包通過網路的路徑。因此利用這一信息,能決定主機是否在相同的網路上。
連接到internet上的公司有一個外部伺服器把網路連到ISP或者Internet上,所有去公司的流量必須通過外部路由器,否則沒有辦法進入網路,並且大多數公司有防火牆,所以traceroute輸出的最後一跳會是目的機器,倒數第二跳會是防火牆,倒數第三跳會是外部路由器。通過相同外部路由器的所有機器屬於同一網路,通常也屬於同一公司。因此攻擊者查看通過tranceroute到達的各種ip地址,看這些機器是否通過相同的外部路由器,就知道它們是否屬於同一網路。
這里討論了攻擊者進入和決定公司地址范圍的兩種方法。既然有了地址范圍,攻擊者能繼續搜集信息,下一步是找到網路上活動的機器。
3>找到活動的機器
在知道了IP地址范圍後,攻擊者想知道哪些機器是活動的,哪些不是。公司里一天中不同的時間有不同的機器在活動。一般攻擊者在白天尋找活動的機器,然後在深夜再次查找,他就能區分工作站和伺服器。伺服器會一直被使用,而工作站只在正常工作日是活動的。
Ping :使用ping可以找到網路上哪些機器是活動的。
Pingwar:ping有一個缺點,一次只能ping一台機器。攻擊者希望同時ping多台機器,看哪些有反應,這種技術一般被稱為ping sweeping。Ping war 就是一個這樣的有用程序。
Nmap:Nmap也能用來確定哪些機器是活動的。Nmap是一個有多用途的工具,它主要是一個埠掃描儀,但也能ping sweep一個地址范圍。4>找到開放埠和入口點
(1)Port Scanners:
為了確定系統中哪一個埠是開放的,攻擊者會使用被稱為port scanner(埠掃描儀)的程序。埠掃描儀在一系列埠上運行以找出哪些是開放的。
選擇埠掃描儀的兩個關鍵特徵:第一,它能一次掃描一個地址范圍;第二,能設定程序掃描的埠范圍。(能掃描1到65535的整個范圍。)
目前流行的掃描類型是:TCP conntect掃描 TCP SYN掃描 FIN掃描 ACK掃描常用埠掃描程序有:ScanPort:使用在Windows環境下,是非常基礎的埠掃描儀,能詳細列出地址范圍和掃描的埠地址范圍。 Nmap:在UNIX環境下推薦的埠掃描儀是Nmap。Nmap不止是埠掃描儀,也是安全工具箱中必不可少的工具。Namp能夠運行前面談到的不同類型的 。 運行了埠掃描儀後,攻擊者對進入計算機系統的入口點有了真正的方法。
(2) War Dialing
進入網路的另一個普通入口點是modem(數據機)。用來找到網路上的modem的程序被稱為war dialers。基本上當提交了要掃描的開始電話號碼或者號碼范圍,它就會撥叫每一個號碼尋找modem回答,如果有modem回答了,它就會記錄下這一信息。
THC-SCAN是常用的war dialer程序。
5>弄清操作系統
攻擊者知道哪些機器是活動的和哪些埠是開放的,下一步是要識別每台主機運行哪種操作系統。
有一些探測遠程主機並確定在運行哪種操作系統的程序。這些程序通過向遠程主機發送不平常的或者沒有意義的數據包來完成。因為這些數據包RFC(internet標准)沒有列出,一個操作系統對它們的處理方法不同,攻擊者通過解析輸出,能夠弄清自己正在訪問的是什麼類型的設備和在運行哪種操作系統。Queso:是最早實現這個功能的程序。Queso目前能夠鑒別出范圍從microsoft到unix 和cisco路由器的大約100種不同的設備。 Nmap:具有和Queso相同的功能,可以說它是一個全能的工具。目前它能檢測出接近400種不同的設備。 6>弄清每個埠運行的是哪種服務
(1) default port and OS
基於公有的配置和軟體,攻擊者能夠比較准確地判斷出每個埠在運行什麼服務。例如如果知道操作系統是unix和埠25是開放的,他能判斷出機器正在運行sendmail,如果操作系統是Microsoft NT和埠是25是開放的,他能判斷出正在運行Exchange。
(2) Telnet
telnet是安裝在大多數操作系統中的一個程序,它能連接到目的機器的特定埠上。攻擊者使用這類程序連接到開放的埠上,敲擊幾次回車鍵,大多數操作系統的默認安裝顯示了關於給定的埠在運行何種服務的標題信息。
(3) Vulnerability Scanners
Vulnerability Scanners(弱點掃描器)是能被運行來對付一個站點的程序,它向黑客提供一張目標主機弱點的清單。7>畫出網路圖
進展到這個階段,攻擊者得到了各種信息,現在可以畫出網路圖使他能找出最好的入侵方法。攻擊者可以使用traceroute或者ping來找到這個信息,也可以使用諸如cheops那樣的程序,它可以自動地畫出網路圖。
Traceroute
Traceroute是用來確定從源到目的地路徑的程序,結合這個信息,攻擊者可確定網路的布局圖和每一個部件的位置。
Visual Ping
Visual Ping是一個真實展示包經過網路的路線的程序。它不僅向攻擊者展示了經過的系統,也展示了系統的地理位置。
Cheops
Cheops利用了用於繪制網路圖並展示網路的圖形表示的技術,是使整個過程自動化的程序。如果從網路上運行,能夠繪出它訪問的網路部分。經過一系列的前期准備,攻擊者搜集了很多信息,有了一張網路的詳盡圖,確切地知道每一台機器正在使用的軟體和版本,並掌握了系統中的一些弱點和漏洞。我們可以想像一下,他成功地攻擊網路會很困難嗎?回答是否定的!當擁有了那些信息後,網路實際上相當於受到了攻擊。因此,保證安全讓攻擊者只得到有限的網路信息是關鍵!</B>
⑵ 常見的信息安全威脅與攻擊有哪些
竊取機密攻擊:
所謂竊取機密攻擊是指未經授權的攻擊者(黑客)非法訪問網路、竊取信息的情況,一般可以通過在不安全的傳輸通道上截取正在傳輸的信息或利用協議或網路的弱點來實現的。常見的形式可以有以下幾種:
1)
網路踩點(Footprinting)
攻擊者事先匯集目標的信息,通常採用whois、Finger等工具和DNS、LDAP等協議獲取目標的一些信息,如域名、IP地址、網路拓撲結構、相關的用戶信息等,這往往是黑客入侵之前所做的第一步工作。
2)
掃描攻擊
掃描攻擊包括地址掃描和埠掃描等,通常採用ping命令和各種埠掃描工具,可以獲得目標計算機的一些有用信息,例如機器上打開了哪些埠,這樣就知道開設了哪些服務,從而為進一步的入侵打下基礎。
3)
協議指紋
黑客對目標主機發出探測包,由於不同操作系統廠商的IP協議棧實現之間存在許多細微的差別(也就是說各個廠家在編寫自己的TCP/IP協議棧時,通常對特定的RFC指南做出不同的解釋),因此各個操作系統都有其獨特的響應方法,黑客經常能確定出目標主機所運行的操作系統。常常被利用的一些協議棧指紋包括:TTL值、TCP窗口大小、DF標志、TOS、IP碎片處理、ICMP處理、TCP選項處理等。
4)
信息流監視
這是一個在共享型區域網環境中最常採用的方法。由於在共享介質的網路上數據包會經過每個網路節點,網卡在一般情況下只會接受發往本機地址或本機所在廣播(或多播)地址的數據包,但如果將網卡設置為混雜模式(Promiscuous),網卡就會接受所有經過的數據包。基於這樣的原理,黑客使用一個叫sniffer的嗅探器裝置,可以是軟體,也可以是硬體)就可以對網路的信息流進行監視,從而獲得他們感興趣的內容,例如口令以及其他秘密的信息。
5)
會話劫持(session hijacking)
利用TCP協議本身的不足,在合法的通信連接建立後攻擊者可以通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接,從而假冒被接管方與對方通信。
非法訪問
1)
口令破解
可以採用字典破解和暴力破解來獲得口令。
2)
IP欺騙
攻擊者可以通過偽裝成被信任的IP地址等方式來獲取目標的信任。這主要是針對防火牆的IP包過濾以及LINUX/UNIX下建立的IP地址信任關系的主機實施欺騙。
3)
DNS欺騙
由於DNS伺服器相互交換信息的時候並不建立身份驗證,這就使得黑客可以使用錯誤的信息將用戶引向錯誤主機。
4)
重放攻擊
攻擊者利用身份認證機制中的漏洞先把別人有用的信息記錄下來,過一段時間後再發送出去。
5)
非法使用
系統資源被某個非法用戶以未授權的方式使用
6)
特洛伊木馬
把一個能幫助黑客完成某個特定動作的程序依附在某一合法用戶的正常程序中,這時合法用戶的程序代碼已經被改變,而一旦用戶觸發該程序,那麼依附在內的黑客指令代碼同時被激活,這些代碼往往能完成黑客早已指定的任務。
惡意攻擊惡意攻擊,在當今最為特出的就是拒絕服務攻擊DoS(Denial of Server)了。拒絕服務攻擊通過使計算機功能或性能崩潰來組織提供服務,典型的拒絕服務攻擊有如下2種形式:資源耗盡和資源過載。當一個對資源的合理請求大大超過資源的支付能力時,就會造成拒絕服務攻擊。常見的攻擊行為主要包括Ping of death、淚滴(Teardrop)、UDP flood、SYN flood、Land 攻擊、Smurf攻擊、Fraggle 攻擊、電子郵件炸彈、畸形信息攻擊等
1) Ping of death
在早期版本中,許多操作系統對網路數據包的最大尺寸有限制,對TCP/IP棧的實現在ICMP包上規定為64KB。在讀取包的報頭後,要根據該報頭中包含的信息來為有效載荷生成緩沖區。當PING請求的數據包聲稱自己的尺寸超過ICMP上限,也就是載入的尺寸超過64KB時,就會使PING請求接受方出現內存分配錯誤,導致TCP/IP堆棧崩潰,致使接受方死機。
2) 淚滴
淚滴攻擊利用了某些TCP/IP協議棧實現中對IP分段重組時的錯誤
3) UDP flood
利用簡單的TCP/IP服務建立大流量數據流,如chargen 和Echo來傳送無用的滿帶寬的數據。通過偽造與某一主機的chargen服務之間的一次UDP連接,回復地址指向提供ECHO服務的一台主機,這樣就生成了在2台主機之間的足夠多的無用數據流,過多的數據流會導致帶寬耗盡。
4) SYN flood
一些TCP/IP協議棧的實現只能等待從有限數量的計算機發來的ACK消息,因為他們只有有限的內存空間用於創建連接,如果這一緩沖區充滿了虛假連接的初始信息,該伺服器就會對接下來的連接停止響應,直到緩沖區的連接企圖超時。在一些創建連接不收限制的系統實現里,SYN洪流具有類似的影響!
5) Land攻擊
在Land攻擊中,將一個SYN包的源地址和目標地址均設成同一個伺服器地址,導致接受伺服器向自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息並創建一個空連接,每一個這樣的連接都將保持直到超時。對LAND攻擊反應不同,許多UNIX實現將崩潰,NT則變得極其緩慢。
6)
Smurf攻擊
簡單的Smurf攻擊發送ICMP應答請求包,目的地址設為受害網路的廣播地址,最終導致該網路的所有主機都對此ICMP應答請求做出答復,導致網路阻塞。如果將源地址改為第三方的受害者,最終將導致第三方崩潰。
7)
fraggle攻擊
該攻擊對Smurf攻擊做了簡單修改,使用的是UDP應答消息而非ICMP。
8)
電子郵件炸彈
這是最古老的匿名攻擊之一,通過設置一台機器不斷的向同一地址發送電子郵件,攻擊者能耗盡接受者的郵箱
9)
畸形信息攻擊
各類操作系統的許多服務均存在這類問題,由於這些服務在處理消息之前沒有進行適當正確的錯誤校驗,受到畸形信息可能會崩潰。
10)
DdoS攻擊
DdoS攻擊(Distributed Denial of Server,分布式拒絕服務)是一種基於DOS的特殊形式的拒絕服務攻擊,是一種分布協作的大規模攻擊方式,主要瞄準比較大的站點,像商業公司、搜索引擎和政府部門的站點。他利用一批受控制的機器向一台目標機器發起攻擊,這樣來勢迅猛的攻擊令人難以防備,因此具有很大的破壞性。
除了以上的這些拒絕服務攻擊外,一些常見的惡意攻擊還包括緩沖區溢出攻擊、硬體設備破壞性攻擊以及網頁篡改等。
11)
緩沖區溢出攻擊(buffer overflow)
通過往程序的緩沖區寫超過其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其他指令,以達到攻擊的目的。緩沖區溢出是一種非常普遍、非常危險的漏洞,在各種操作系統、應用軟體中廣泛存在,根據統計:通過緩沖區溢出進行的攻擊占所有系統攻擊總數的80%以上。利用緩沖區溢出攻擊可以導致程序運行失敗、系統死機、重新啟動等後果,更嚴重的是,可以利用他執行非授權的指令,甚至可以取得系統特權,進而進行各種非法操作。由於他歷史悠久、危害巨大,被稱為數十年來攻擊和防衛的弱點。
社交工程(Social Engineering) 採用說服或欺騙的手段,讓網路內部的人來提供必要的信息,從而獲得對信息系統的訪問許可權。
計算機病毒 病毒是對軟體、計算機和網路系統的最大威脅之一。所謂病毒,是指一段可執行的程序代碼,通過對其他程序進行修改,可以感染這些程序,使他們成為含有該病毒程序的一個拷貝。
不良信息資源 在互聯網如此發達的今天,真可謂「林子大了,什麼鳥都有」,網路上面充斥了各種各樣的信息,其中不乏一些暴力、色情、反動等不良信息。
信息戰 計算機技術和網路技術的發展,使我們處與信息時代。信息化是目前國際社會發展的趨勢,他對於經濟、社會的發展都有著重大意義。美國著名未來學家托爾勒說過:「誰掌握了信息、控制了網路,誰將擁有整個世界」。美國前總統柯林頓也說:「今後的時代,控制世界的國家將不是靠軍事,而是信息能力走在前面的國家。」美國前陸軍參謀長沙爾文上將更是一語道破:「信息時代的出現,將從根本上改變戰爭的進行方式」
⑶ 網路信息點是什麼
網路節點數(Node number)即網路中工作站﹑伺服器、終端設備、網路設備等網路節點的個數。
網路節點是指一台電腦或其他設備與一個有獨立地址和具有傳送或接收數據功能的網路相連。節點可以是工作站、客戶、網路用戶或個人計算機,還可以是伺服器、列印機和其他網路連接的設備。每一個工作站﹑伺服器、終端設備、網路設備,即擁有自己唯一網路地址的設備都是網路節點。整個網路就是由這許許多多的網路節點組成的,把許多的網路節點用通信線路連接起來,形成一定的幾何關系,這就是計算機網路拓撲。
各個網路節點通過網卡那裡獲得唯一的地址。每一張網卡在出廠的時候都會被廠家固化一個全球唯一的媒體介質訪問層(Media Access Control)地址﹐使用者是不可能變更此地址的。這樣的地址安排就如我們日常的家庭地址一樣﹐是用來區分各自的身份的。您的網路必須有能力去區別這一個地址有別於其它的地址。在網路裡面﹐有很多資料封包會由一個網路節點傳送到另一個網路節點﹐同時要確定封包會被正確的傳達目的地﹐而這個目的地就必須依靠這個網卡地址來認定了。
⑷ 常見的網路攻擊方法和防禦技術
網路攻擊類型
偵查攻擊:
搜集網路存在的弱點,以進一步攻擊網路。分為掃描攻擊和網路監聽。
掃描攻擊:埠掃描,主機掃描,漏洞掃描。
網路監聽:主要指只通過軟體將使用者計算機網卡的模式置為混雜模式,從而查看通過此網路的重要明文信息。
埠掃描:
根據 TCP 協議規范,當一台計算機收到一個TCP 連接建立請求報文(TCP SYN) 的時候,做這樣的處理:
1、如果請求的TCP埠是開放的,則回應一個TCP ACK 報文, 並建立TCP連接控制結構(TCB);
2、如果請求的TCP埠沒有開放,則回應一個TCP RST(TCP頭部中的RST標志設為1)報文,告訴發起計算機,該埠沒有開放。
相應地,如果IP協議棧收到一個UDP報文,做如下處理:
1、如果該報文的目標埠開放,則把該UDP 報文送上層協議(UDP ) 處理, 不回應任何報文(上層協議根據處理結果而回應的報文例外);
2、如果該報文的目標埠沒有開放,則向發起者回應一個ICMP 不可達報文,告訴發起者計算機該UDP報文的埠不可達。
利用這個原理,攻擊者計算機便可以通過發送合適的報文,判斷目標計算機哪些TC 或UDP埠是開放的。
過程如下:
1、發出埠號從0開始依次遞增的TCP SYN或UDP報文(埠號是一個16比特的數字,這樣最大為65535,數量很有限);
2、如果收到了針對這個TCP 報文的RST 報文,或針對這個UDP 報文 的 ICMP 不可達報文,則說明這個埠沒有開放;
3、相反,如果收到了針對這個TCP SYN報文的ACK報文,或者沒有接收到任何針對該UDP報文的ICMP報文,則說明該TCP埠是開放的,UDP埠可能開放(因為有的實現中可能不回應ICMP不可達報文,即使該UDP 埠沒有開放) 。
這樣繼續下去,便可以很容易的判斷出目標計算機開放了哪些TCP或UDP埠,然後針對埠的具體數字,進行下一步攻擊,這就是所謂的埠掃描攻擊。
主機掃描即利用ICMP原理搜索網路上存活的主機。
網路踩點(Footprinting)
攻擊者事先匯集目標的信息,通常採用whois、Finger等工具和DNS、LDAP等協議獲取目標的一些信息,如域名、IP地址、網路拓撲結構、相關的用戶信息等,這往往是黑客入侵之前所做的第一步工作。
掃描攻擊
掃描攻擊包括地址掃描和埠掃描等,通常採用ping命令和各種埠掃描工具,可以獲得目標計算機的一些有用信息,例如機器上打開了哪些埠,這樣就知道開設了哪些服務,從而為進一步的入侵打下基礎。
協議指紋
黑客對目標主機發出探測包,由於不同操作系統廠商的IP協議棧實現之間存在許多細微的差別(也就是說各個廠家在編寫自己的TCP/IP 協議棧時,通常對特定的RFC指南做出不同的解釋),因此各個操作系統都有其獨特的響應方法,黑客經常能確定出目標主機所運行的操作系統。
常常被利用的一些協議棧指紋包括:TTL值、TCP窗口大小、DF 標志、TOS、IP碎片處理、 ICMP處理、TCP選項處理等。
信息流監視
這是一個在共享型區域網環境中最常採用的方法。
由於在共享介質的網路上數據包會經過每個網路節點, 網卡在一般情況下只會接受發往本機地址或本機所在廣播(或多播)地址的數據包,但如果將網卡設置為混雜模式(Promiscuous),網卡就會接受所有經過的數據包。
基於這樣的原理,黑客使用一個叫sniffer的嗅探器裝置,可以是軟體,也可以是硬體)就可以對網路的信息流進行監視,從而獲得他們感興趣的內容,例如口令以及其他秘密的信息。
訪問攻擊
密碼攻擊:密碼暴力猜測,特洛伊木馬程序,數據包嗅探等方式。中間人攻擊:截獲數據,竊聽數據內容,引入新的信息到會話,會話劫持(session hijacking)利用TCP協議本身的不足,在合法的通信連接建立後攻擊者可以通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接,從而假冒被接管方與對方通信。
拒絕服務攻擊
偽裝大量合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務響應。
要避免系統遭受DoS 攻擊,從前兩點來看,網路管理員要積極謹慎地維護整個系統,確保無安全隱患和漏洞;
而針對第四點第五點的惡意攻擊方式則需要安裝防火牆等安 全設備過濾DoS攻擊,同時強烈建議網路管理員定期查看安全設備的日誌,及時發現對系統存在安全威脅的行為。
常見拒絕服務攻擊行為特徵與防禦方法
拒絕服務攻擊是最常見的一類網路攻擊類型。
在這一攻擊原理下,它又派生了許多種不同的攻擊方式。
正確了解這些不同的拒絕攻擊方式,就可以為正確、系統地為自己所在企業部署完善的安全防護系統。
入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為。
要有效的進行反攻擊,首先必須了解入侵的原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發生。
下面我們針對幾種典型的拒絕服務攻擊原理進行簡要分析,並提出相應的對策。
死亡之Ping( Ping of death)攻擊
由於在早期的階段,路由器對包的最大大小是有限制的,許多操作系統TCP/IP棧規定ICMP包的大小限制在64KB 以內。
在對ICMP數據包的標題頭進行讀取之後,是根據該標題頭里包含的信息來為有效載荷生成緩沖區。
當大小超過64KB的ICMP包,就會出現內存分配錯誤,導致TCP/IP堆棧崩潰,從而使接受方計算機宕機。
這就是這種「死亡之Ping」攻擊的原理所在。
根據這一攻擊原理,黑客們只需不斷地通過Ping命令向攻擊目標發送超過64KB的數據包,就可使目標計算機的TCP/IP堆棧崩潰,致使接受方宕機。
防禦方法:
現在所有的標准TCP/IP協議都已具有對付超過64KB大小數據包的處理能力,並且大多數防火牆能夠通過對數據包中的信息和時間間隔分析,自動過濾這些攻擊。
Windows 98 、Windows NT 4.0(SP3之後)、Windows 2000/XP/Server 2003 、Linux 、Solaris和Mac OS等系統都已具有抵抗一般「Ping of death 」拒絕服務攻擊的能力。
此外,對防火牆進行配置,阻斷ICMP 以及任何未知協議數據包,都可以防止此類攻擊發生。
淚滴( teardrop)攻擊
對於一些大的IP數據包,往往需要對其進行拆分傳送,這是為了迎合鏈路層的MTU(最大傳輸單元)的要求。
比如,一個6000 位元組的IP包,在MTU為2000的鏈路上傳輸的時候,就需要分成三個IP包。
在IP 報頭中有一個偏移欄位和一個拆分標志(MF)。
如果MF標志設置為1,則表面這個IP包是一個大IP包的片斷,其中偏移欄位指出了這個片斷在整個 IP包中的位置。
例如,對一個6000位元組的IP包進行拆分(MTU為2000),則三個片斷中偏移欄位的值依次為:0,2000,4000。
這樣接收端在全部接收完IP數據包後,就可以根據這些信息重新組裝沒正確的值,這樣接收端在收後這些分拆的數據包後就不能按數據包中的偏移欄位值正確重合這些拆分的數據包,但接收端會不斷償試,這樣就可能致使目標計算朵操作系統因資源耗盡而崩潰。
淚滴攻擊利用修改在TCP/IP 堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。
IP分段含有指示該分段所包含的是原包的哪一段的信息,某些操作系統(如SP4 以前的 Windows NT 4.0 )的TCP/IP 在收到含有重疊偏移的偽造分段時將崩潰,不過新的操作系統已基本上能自己抵禦這種攻擊了。
防禦方法:
盡可能採用最新的操作系統,或者在防火牆上設置分段重組功能,由防火牆先接收到同一原包中的所有拆分數據包,然後完成重組工作,而不是直接轉發。
因為防火牆上可以設置當出現重疊欄位時所採取的規則。
TCP SYN 洪水(TCP SYN Flood)攻擊
TCP/IP棧只能等待有限數量ACK(應答)消息,因為每台計算機用於創建TCP/IP連接的內存緩沖區都是非常有限的。
如果這一緩沖區充滿了等待響應的初始信息,則該計算機就會對接下來的連接停止響應,直到緩沖區里的連接超時。
TCP SYN 洪水攻擊正是利用了這一系統漏洞來實施攻擊的。
攻擊者利用偽造的IP地址向目標發出多個連接(SYN)請求。
目標系統在接收到請求後發送確認信息,並等待回答。
由於黑客們發送請示的IP地址是偽造的,所以確認信息也不會到達任何計算機,當然也就不會有任何計算機為此確認信息作出應答了。
而在沒有接收到應答之前,目標計算機系統是不會主動放棄的,繼續會在緩沖區中保持相應連接信息,一直等待。
當達到一定數量的等待連接後,緩區部內存資源耗盡,從而開始拒絕接收任何其他連接請求,當然也包括本來屬於正常應用的請求,這就是黑客們的最終目的。
防禦方法:
在防火牆上過濾來自同一主機的後續連接。
不過「SYN洪水攻擊」還是非常令人擔憂的,由於此類攻擊並不尋求響應,所以無法從一個簡單高容量的傳輸中鑒別出來。
防火牆的具體抵禦TCP SYN 洪水攻擊的方法在防火牆的使用手冊中有詳細介紹。
Land 攻擊
這類攻擊中的數據包源地址和目標地址是相同的,當操作系統接收到這類數據包時,不知道該如何處理,或者循環發送和接收該數據包,以此來消耗大量的系統資源,從而有可能造成系統崩潰或死機等現象。
防禦方法:
這類攻擊的檢測方法相對來說比較容易,因為它可以直接從判斷網路數據包的源地址和目標地址是否相同得出是否屬於攻擊行為。
反攻擊的方法當然是適當地配置防火牆設備或包過濾路由器的包過濾規則。
並對這種攻擊進行審計,記錄事件發生的時間,源主機和目標主機的MAC地址和IP地址,從而可以有效地分析並跟蹤攻擊者的來源。
Smurf 攻擊
這是一種由有趣的卡通人物而得名的拒絕服務攻擊。
Smurf攻擊利用多數路由器中具有同時向許多計算機廣播請求的功能。
攻擊者偽造一個合法的IP地址,然後由網路上所有的路由器廣播要求向受攻擊計算機地址做出回答的請求。
由於這些數據包表面上看是來自已知地址的合法請求,因此網路中的所有系統向這個地址做出回答,最終結果可導致該網路的所有主機都對此ICMP應答請求作出答復,導致網路阻塞,這也就達到了黑客們追求的目的了。
這種Smurf攻擊比起前面介紹的「Ping of Death 」洪水的流量高出一至兩個數量級,更容易攻擊成功。
還有些新型的Smurf攻擊,將源地址改為第三方的受害者(不再採用偽裝的IP地址),最終導致第三方雪崩。
防禦方法:
關閉外部路由器或防火牆的廣播地址特性,並在防火牆上設置規則,丟棄掉ICMP協議類型數據包。
Fraggle 攻擊
Fraggle 攻擊只是對Smurf 攻擊作了簡單的修改,使用的是UDP協議應答消息,而不再是ICMP協議了(因為黑客們清楚 UDP 協議更加不易被用戶全部禁止)。
同時Fraggle攻擊使用了特定的埠(通常為7號埠,但也有許多使用其他埠實施 Fraggle 攻擊的),攻擊與Smurf 攻擊基本類似,不再贅述。
防禦方法:
關閉外部路由器或防火牆的廣播地址特性。在防火牆上過濾掉UDP報文,或者屏蔽掉一些常被黑客們用來進Fraggle攻擊的埠。
電子郵件炸彈
電子郵件炸彈是最古老的匿名攻擊之一,通過設置一台計算機不斷地向同一地址發送大量電子郵件來達到攻擊目的,此類攻擊能夠耗盡郵件接受者網路的帶寬資源。
防禦方法:
對郵件地址進行過濾規則配置,自動刪除來自同一主機的過量或重復的消息。
虛擬終端(VTY)耗盡攻擊
這是一種針對網路設備的攻擊,比如路由器,交換機等。
這些網路設備為了便於遠程管理,一般設置了一些TELNET用戶界面,即用戶可以通過TELNET到該設備上,對這些設備進行管理。
一般情況下,這些設備的TELNET用戶界面個數是有限制的。比如,5個或10個等。
這樣,如果一個攻擊者同時同一台網路設備建立了5個或10個TELNET連接。
這些設備的遠程管理界面便被占盡,這樣合法用戶如果再對這些設備進行遠程管理,則會因為TELNET連接資源被佔用而失敗。
ICMP洪水
正常情況下,為了對網路進行診斷,一些診斷程序,比如PING等,會發出ICMP響應請求報文(ICMP ECHO),接收計算機接收到ICMP ECHO 後,會回應一個ICMP ECHO Reply 報文。
而這個過程是需要CPU 處理的,有的情況下還可能消耗掉大量的資源。
比如處理分片的時候。這樣如果攻擊者向目標計算機發送大量的ICMP ECHO報文(產生ICMP洪水),則目標計算機會忙於處理這些ECHO 報文,而無法繼續處理其它的網路數據報文,這也是一種拒絕服務攻擊(DOS)。
WinNuke 攻擊
NetBIOS 作為一種基本的網路資源訪問介面,廣泛的應用於文件共享,列印共享, 進程間通信( IPC),以及不同操作系統之間的數據交換。
一般情況下,NetBIOS 是運行在 LLC2 鏈路協議之上的,是一種基於組播的網路訪問介面。
為了在TCP/IP協議棧上實現NetBIOS ,RFC規定了一系列交互標准,以及幾個常用的 TCP/UDP 埠:
139:NetBIOS 會話服務的TCP 埠;
137:NetBIOS 名字服務的UDP 埠;
136:NetBIOS 數據報服務的UDP 埠。
WINDOWS操作系統的早期版本(WIN95/98/NT )的網路服務(文件共享等)都是建立在NetBIOS之上的。
因此,這些操作系統都開放了139埠(最新版本的WINDOWS 2000/XP/2003 等,為了兼容,也實現了NetBIOS over TCP/IP功能,開放了139埠)。
WinNuke 攻擊就是利用了WINDOWS操作系統的一個漏洞,向這個139埠發送一些攜帶TCP帶外(OOB)數據報文。
但這些攻擊報文與正常攜帶OOB數據報文不同的是,其指針欄位與數據的實際位置不符,即存在重合,這樣WINDOWS操作系統在處理這些數據的時候,就會崩潰。
分片 IP 報文攻擊
為了傳送一個大的IP報文,IP協議棧需要根據鏈路介面的MTU對該IP報文進行分片,通過填充適當的IP頭中的分片指示欄位,接收計算機可以很容易的把這些IP 分片報文組裝起來。
目標計算機在處理這些分片報文的時候,會把先到的分片報文緩存起來,然後一直等待後續的分片報文。
這個過程會消耗掉一部分內存,以及一些IP協議棧的數據結構。
如果攻擊者給目標計算機只發送一片分片報文,而不發送所有的分片報文,這樣攻擊者計算機便會一直等待(直到一個內部計時器到時)。
如果攻擊者發送了大量的分片報文,就會消耗掉目標計 算機的資源,而導致不能相應正常的IP報文,這也是一種DOS攻擊。
T
分段攻擊。利用了重裝配錯誤,通過將各個分段重疊來使目標系統崩潰或掛起。
歡迎關注的我的頭條號,私信交流,學習更多的網路技術!