黑客在對我們的網(wǎng)絡進行攻擊時通常會采用多種辦法來規(guī)避網(wǎng)絡安全設備的防護�����,從而獲取對信息的訪問權限����。因此��,為了抵御黑客的攻擊�,我們應該了解黑客的攻擊方法����,清楚這些攻擊方法的工作原理以及對網(wǎng)絡造成的威脅。在本文中我們將分析七種常見的網(wǎng)絡入侵方法�,這些方法可以單獨使用��,也可以互相配合來破壞網(wǎng)絡。
1��、監(jiān)聽
大多數(shù)通過網(wǎng)絡發(fā)送的數(shù)據(jù)都是“文本”形式���,也就是在加密成密碼文本之前的普通的可讀文本���。這意味著�,任何人使用網(wǎng)絡“嗅探器(例如Network Monitor 3.x或者第三方程序Wireshark等)”都可以輕松地讀取這些文本信息。
一些保存自己用戶名和密碼列表的服務器應用程序允許這些登錄信息以文本格式在網(wǎng)絡傳輸�����。網(wǎng)絡攻擊者只要簡單地使用嗅探程序�����,接入到集線器或者交換器的可用端口就可以獲取這些信息�����。事實上,大部分通過網(wǎng)絡發(fā)送的數(shù)據(jù)都是文本格式的���,這使得攻擊者很容易可以獲得這些信息。而這些信息可能包含敏感數(shù)據(jù)�����,例如信用卡號碼�、社保號碼、個人電子郵件內(nèi)容和企業(yè)機密信息等��。很明顯����,解決這個問題的解決方案就是使用Ipsec或者SSL等技術,對在網(wǎng)絡傳送的數(shù)據(jù)進行加密��。
2��、欺詐
源IP地址和目的IP地址是為TCP/IP網(wǎng)絡的計算機之間建立會話的前提條件����。IP“欺詐”行為是指假冒網(wǎng)絡中合法主機計算機的身份����,來獲取對內(nèi)部網(wǎng)絡中計算機的訪問權限。欺詐的另一種說法是“模擬”��,實際上�����,入侵者是使用合法IP地址來“模擬”合法主機計算機�����。
為了防止IP欺詐攻擊��,你可以使用Ipsec用于計算機間的通信��,使用訪問控制列表(ACLs)來阻止下游端口的私有IP地址,過濾入站和出站流量�����,并將路由器和交換機配置為阻止源自外部局域網(wǎng)而聲稱自己源自內(nèi)部網(wǎng)絡的流量����。你還可以啟用路由器上的加密功能,這樣可以允許你信任的外部計算機與內(nèi)部計算機進行通信。
3、TCP/IP序列號攻擊
另一種常見欺詐攻擊是“TCP/IP序列號攻擊”����。傳輸控制協(xié)議(TCP)主要負責TCP/IP網(wǎng)絡的通信的可靠性����,這包括確認信息發(fā)送到目的主機����。為了追蹤通過網(wǎng)絡發(fā)送的字節(jié),每個段都被分配了一個“序列號”��。高級攻擊者可以建立兩臺計算機之間的序列模式��,因為序列模式并不是隨機的�����。
首先,攻擊者必須獲得對網(wǎng)絡的訪問權限���。在獲得對網(wǎng)絡的訪問權限后�,他會連接到服務器,并分析他與他正在連接的合法主機之間的序列模式���。TCP/IP序列號攻擊者然后會通過假冒合法主機的IP地址來連接服務器��。為了防止合法主機做出響應,攻擊者必須在合法主機發(fā)動“拒絕服務攻擊”。
由于合法主機不能響應�����,攻擊者將等待服務器發(fā)來的正確序列號���,現(xiàn)在服務器就開始相信欺詐計算機是合法主機�����,攻擊者就可以開始進行數(shù)據(jù)傳輸了����。
4���、密碼盜用
攻擊者只要成功盜用網(wǎng)絡密碼就能訪問不能訪問的資源�����,他們可以通過很多方法來獲取密碼���。
社會工程學攻擊:攻擊者使用一個假的身份聯(lián)系對目標信息擁有訪問權限的用戶�����,然后他要求用戶提供密碼�����。
嗅探:很多網(wǎng)絡應用程序允許用戶名和密碼以未加密文本形式在網(wǎng)絡傳輸��,這樣的話,攻擊者就可以使用網(wǎng)絡嗅探應用程序來攔截這個信息����。
破解:“破解者”使用很多不同的技術來“猜測”密碼����,嘗試所有可能的數(shù)字字母組合����,直到猜出正確的密碼。破解技術包括字典攻擊和暴力攻擊等�。
如果管理員密碼被盜用�,攻擊者將能夠訪問所有受訪問控制保護的網(wǎng)絡資源�,入侵者現(xiàn)在可以訪問整個用戶賬戶數(shù)據(jù)庫了。有了這些信息�����,現(xiàn)在他可以訪問所有文件和文件夾��,更改路由信息�,在用戶不知情的情況下���,修改用戶需要的信息����。
抵御密碼盜用攻擊需要一個多方面的戰(zhàn)略,教導用戶關于社會工程學的知識��,制定密碼保護制度�,規(guī)定密碼復雜度和長度要求��,要求用戶定期修改密碼����。部署多因素身份驗證�,這樣攻擊者不能僅憑一個密碼就獲得訪問權限。
5、拒絕服務攻擊
有許多不同類型的拒絕服務攻擊,這些技術的共同點就是擾亂正常計算機或者目標機器運行的操作系統(tǒng)的能力��。這些攻擊可以將大量無用的數(shù)據(jù)包塞滿網(wǎng)絡,損壞或者耗盡內(nèi)存資源����,或者利用網(wǎng)絡應用程序的漏洞�����。分布式拒絕服務攻擊源自多臺機器(例如,由幾十�、幾百甚至成千上萬臺分布在不同地理位置的“僵尸”電腦組成的僵尸網(wǎng)絡)����。
傳統(tǒng)拒絕服務攻擊的例子包括:
TCP SYN攻擊
SMURF攻擊
Teardrop攻擊
Ping of Death攻擊
6���、TCP SYN攻擊
當TCP/IP網(wǎng)絡的計算機建立會話時���,他們會通過“三次握手”過程��,這三步握手包括:
源主機客戶端發(fā)送一個SYN(同步/開始)數(shù)據(jù)包����,這臺主機在數(shù)據(jù)包中包括一個序列號��,服務器將在下一步驟中使用該序列號。
服務器會向源主機返回一個SYN數(shù)據(jù)包,數(shù)據(jù)包的序列號為請求計算機發(fā)來的序列號+1
客戶端接收到服務端的數(shù)據(jù)包后���,將通過序列號加1來確認服務器的序列號
每次主機請求與服務器建立會話時,將通過這個三次握手過程。攻擊者可以通過從偽造源IP地址發(fā)起多個會話請求來利用這個過程�。服務器會將每個打開請求保留在隊列中等待第三步的進行���,進入隊列的條目每隔60秒會被清空�。
如果攻擊者能夠保持隊列填滿狀態(tài)��,那么合法連接請求將會被拒絕��。因此,服務器會拒絕合法用戶的電子郵件、網(wǎng)頁�����、ftp和其他IP相關服務�����。
7�����、Ping of Death攻擊
Ping of death是一種拒絕服務攻擊,方法是由攻擊者故意發(fā)送大于65536比特的ip數(shù)據(jù)包給對方。Ping of death攻擊利用了Internet控制消息協(xié)議(ICMP)和最大傳輸單元(MTU)的特點�����,Ping命令發(fā)送ICMP回應請求(ICMP Echo-Request)并記錄收到ICMP回應回復(ICMP Echo-Reply)�����。MTU定義了具有不同媒體類型的網(wǎng)絡架構的單元最大傳輸量��。
如果數(shù)據(jù)包大小大于MTU,數(shù)據(jù)包將被拆分,并在目的主機重新組合���。當數(shù)據(jù)包被分解時�,數(shù)據(jù)包會涵蓋一個“偏移”值,這個偏移值用于在目的主機重組數(shù)據(jù)�。攻擊者可以將最后的數(shù)據(jù)片段替換為合理的偏移值和較大的數(shù)據(jù)包�,這樣將會超過ICMP回應請求數(shù)據(jù)部分的數(shù)量�����,如果進行重組�,目的計算機將會重新啟動或者崩潰���。
8��、SMURF攻擊
SMURF攻擊試圖通過將ICMP回顯請求和回復塞滿網(wǎng)絡來禁用網(wǎng)絡����。攻擊者將會欺詐一個源IP地址,然后向廣播地址發(fā)出一個ICMP回顯請求,這將會導致網(wǎng)絡段的所有計算機向假冒請求進行回復。如果攻擊者可以將這種攻擊保持一段時間�,有效的信息將無法通過網(wǎng)絡����,因為ICMP請求信息已經(jīng)塞滿網(wǎng)絡��。
9�����、Teardrop攻擊
Teardrop攻擊是使用一種程序(例如teardrop.c)來執(zhí)行的,它將會造成與Ping of Death攻擊中類似的數(shù)據(jù)碎片,它利用了重組過程的一個漏洞����,可能導致系統(tǒng)崩潰�。
10�����、抵御DoS和DDoS攻擊
抵御DoS和DdoS攻擊應該采取多層次的方法。防火墻可以保護網(wǎng)絡抵御簡單的“洪水”攻擊���,而用于流量調(diào)整、延遲綁定(TCP拼接)和深度數(shù)據(jù)包檢測的交換機和路由器可以抵御SYN flood(利用TCP三次握手協(xié)議的缺陷���,向目標主機發(fā)送大量的偽造源地址的SYN連接請求,消耗目標主機資源)����。入侵防御系統(tǒng)可以阻止某些形式的DoS/DdoS攻擊�,市面上還有專門抵御DoS的產(chǎn)品���,被稱為DoS抵御系統(tǒng)或者DDS���。
11����、中間人攻擊
中間人攻擊是這樣的情況,兩方認為他們只是在與對方進行通信�,而實際上���,還有一個中間方在監(jiān)聽會話�����。中間人攻擊可以通過模擬發(fā)送者或者接受者的身份來偷偷切入會話。在攻擊者的介入期間���,他可以修改或者刪除傳輸中的消息。
攻擊者通過使用網(wǎng)絡嗅探器�����,可以記錄和保存信息供以后使用�,這可以讓入侵者發(fā)起后續(xù)的重放攻擊�,在記錄了會話信息后,中間人可以重放此信息以便在未來了解網(wǎng)絡身份驗證機制���,這就是所謂的重放攻擊。
中間人攻擊通常是基于web的��,中間人對客戶端(瀏覽器)和web服務器之間的通信進行攔截����。基于web的中間人攻擊可以通過使用最新版本的瀏覽器來抵御�����,最新版本瀏覽器擁有內(nèi)置保護機制�����,并通過使用擴展驗證SSL證書的網(wǎng)站來通信����。雙因素身份驗證可以用于秘密通信,但是�,這并不能完全杜絕中間人攻擊���,因為中間人通常是等待用戶使用智能卡或者令牌來進行身份驗證�����。帶外身份驗證是最好的保護方法,但是價格昂貴��,開銷很大����。
12����、應用程序級攻擊
面向應用程序的攻擊試圖利用某些網(wǎng)絡應用程序固有的缺陷。通過利用這些網(wǎng)絡應用程序的缺陷���,攻擊者可以:
破壞或修改重要操作系統(tǒng)文件;
更改數(shù)據(jù)文件內(nèi)容;
造成網(wǎng)絡應用程序或者整個操作系統(tǒng)不正常運行�����,甚至崩潰����;
擾亂應用程序或操作系統(tǒng)的正常安全性和訪問控制;
植入程序?qū)⑿畔⒎祷亟o攻擊者,臭名昭著的Back Orifice就是一個例子�。
這些應用程序級攻擊為入侵者提供了一片“沃土”����。很多網(wǎng)絡應用程序還沒有完成安全評估和測試以提高對攻擊的免疫力���。
抵御應用程序級攻擊很困難����,因為每個應用程序的漏洞都不相同。最基本的抵御應該是采取“縱深防御”的安全措施,并加強對已知漏洞的認識����。
13���、盜用密鑰攻擊
密鑰是數(shù)字�����,或者“密碼”�,可以用來驗證通信的完整性或者加密通信內(nèi)容。有很多不同類型的密鑰���。其中一種類型被稱為“共享的密碼”,發(fā)送計算機使用密鑰加密信息����,接收計算機使用相同的密鑰解密信息���。利用這個“共享的密碼”���,兩臺計算機可以進行私人通信�����。
另一種密鑰是“私鑰”,私鑰可以用于確認發(fā)送者的身份����,也就是所謂的“簽名”信息�����,當接收者收到使用某人的私鑰簽名的信息時�,他可以確認發(fā)送者的身份��。
如果攻擊者獲取了這些密鑰��,他就可以使用“假身份”用別人的私鑰進行通信。如果他得到了“共享密鑰”,他就可以解密由該密鑰加密的信息����。
一旦密鑰被暴露,就無法保護信息的安全性���。然而,發(fā)現(xiàn)密鑰被暴露往往很難�,只有當發(fā)現(xiàn)重要信息丟失時���,才會意識到密鑰丟失�。緩解這種損害的方法包括進行多密鑰加密�。
該文章在 2012/3/20 23:57:03 編輯過
400 186 1886
