關於網路技術攻擊的介紹
最近有網友想了解下網路技術攻擊的知識,所以小編就整理了相關資料分享給大家,具體內容如下.希望大家參考參考!!!
小編要給大家介紹下網路攻擊是什麼
網路攻擊就是利用網路存在的漏洞和安全缺陷對網路系統的硬體、軟體及其系統中的資料進行的攻擊。
攻擊分類
主動攻擊
主動攻擊會導致某些資料流的篡改和虛假資料流的產生。這類攻擊可分為篡改、偽造訊息資料和終端***拒絕服務***。[1]
***1*** 篡改訊息
篡改訊息是指一個合法訊息的某些部分被改變、刪除,訊息被延遲或改變順序,通常用以產生一個未授權的效果。如修改傳輸訊息中的資料,將“允許甲執行操作”改為“允許乙執行操作”。
***2***偽造
偽造指的是某個實體***人或系統***發出含有其他實體身份資訊的資料資訊,假扮成其他實體,從而以欺騙方式獲取一些合法使用者的權利和特權。
***3***拒絕服務
拒絕服務即常說的DoS***Deny of Service***,會導致對通訊裝置正常使用或管理被無條件地終端。通常是對整個網路實施破壞,以達到降低效能、終端服務的目的。這種攻擊也可能有一個特定的目標,如到某一特定目的地***如安全審計服務***的所有資料包都被組織。
被動攻擊
被動攻擊中攻擊者不對資料資訊做任何修改,擷取/竊聽是指在未經使用者同一和認可的情況下攻擊者獲得了資訊或相關資料。通常包括竊聽、流量分析、破解弱加密的資料流等攻擊方式。[1]
***1***流量分析
流量分析攻擊方式適用於一些特殊場合,例如敏感資訊都是保密的,攻擊者雖然從截獲的訊息中無法的到訊息的真實內容,但攻擊者還能通過觀察這些資料報的模式,分析確定出同喜雙方的位置、通訊的次數及訊息的長度,獲知相關的敏感資訊,這種攻擊方式稱為流量分析。
***2***竊聽
竊聽是最常用的首段。目前應用最廣泛的區域網上的資料傳送是基於廣播方式進行的,這就使一臺主機有可能受到本子網上傳送的所有資訊。而計算機的網絡卡工作在雜收模式時,它就可以將網路上傳送的所有資訊傳送到上層,以供進一步分析。如果沒有采取加密措施,通過協議分析,可以完全掌握通訊的全部內容,竊聽還可以用無限截獲方式得到資訊,通過高靈敏接受裝置接收網路站點輻射的電磁波或網路連線裝置輻射的電磁波,通過對電磁訊號的分析恢復原資料訊號從而獲得網路資訊。儘管有時資料資訊不能通過電磁訊號全部恢復,但肯得到極有價值的情報。
由於被動攻擊不會對被攻擊的資訊做任何修改,留下痕跡很好,或者根本不留下痕跡,因而非常難以檢測,所以抗擊這類攻擊的重點在於預防,具體措施包括虛擬專用網,採用加密技術保護資訊以及使用交換式網路裝置等。被動攻擊不易被發現,因而常常是主動攻擊的前奏。
被動攻擊雖然難以檢測,但可採取措施有效地預防,而要有效地防止攻擊是十分困難的,開銷太大,抗擊主動攻擊的主要技術手段是檢測,以及從攻擊造成的破壞中及時地恢復。檢測同時還具有某種威懾效應,在一定程度上也能起到防止攻擊的作用。具體措施包括自動審計、入侵檢測和完整性恢復等。
攻擊層次
從淺入深的分為以下幾個層次:
***1***簡單拒絕服務。[2]
***2***本地使用者獲得非授權讀許可權。
***3***本地使用者獲得非授權寫許可權。
***4***遠端使用者獲得非授權賬號資訊。
***5***遠端使用者獲得特權檔案的讀許可權。
***6***遠端使用者獲得特權檔案的寫許可權。
***7***遠端使用者擁有了系統管理員許可權。
攻擊方法
口令入侵
所謂口令入侵是指使用某些合法使用者的帳號和口令登入到目的主機,然後再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法使用者的帳號,然後再進行合法使用者口令的破譯。獲得普通使用者帳號的方法非常多,如[2]
利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將儲存的使用者資料***如使用者名稱、登入時間等***顯示在終端或計算機上;
利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得資訊的一條簡易途徑;
從***地址中收集:有些使用者***地址常會透露其在目標主機上的帳號;
檢視主機是否有習慣性的帳號:有經驗的使用者都知道,非常多系統會使用一些習慣性的帳號,造成帳號的洩露。
特洛伊木馬
放置特洛伊木馬程式能直接侵入使用者的計算機並進行破壞,他常被偽裝成工具程式或遊戲等誘使使用者開啟帶有特洛伊木馬程式的郵件附件或從網上直接下載,一旦使用者打開了這些郵件的附件或執行了這些程式之後,他們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬相同留在自己的計算機中,並在自己的計算機系統中隱藏一個能在windows啟動時悄悄執行的程式。當你連線到因特網上時,這個程式就會通知攻擊者,來報告你的IP地址及預先設定的埠。攻擊者在收到這些資訊後,再利用這個潛伏在其中的程式,就能任意地修改你的計算機的引數設定、複製檔案、窺視你整個硬碟中的內容等,從而達到控制你的計算機的目的。
WWW欺騙
在網上使用者能利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、諮詢產品價格、訂閱報紙、電子商務等。然而一般的使用者恐怕不會想到有這些問題存在:正在訪問的網頁已被黑客篡改過,網頁上的資訊是虛假的!例如黑客將使用者要瀏覽的網頁的URL改寫為指向黑客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向黑客伺服器發出請求,那麼黑客就能達到欺騙的目的了。
一般Web欺騙使用兩種技術手段,即URL地址重寫技術和相關信關資訊掩蓋技術。利用URL地址,使這些地址都向攻擊者的Web伺服器,即攻擊者能將自已的Web地址加在所有URL地址的前面。這樣,當用戶和站點進行安全連結時,就會毫不防備地進入攻擊者的服器,於是用記的所有資訊便處於攻擊者的監視之中。但由於瀏覽器材一般均設有位址列和狀態列,當瀏覽器和某個站點邊接時,能在位址列和狀態樣中獲得連線中的Web站點地址及其相關的傳輸資訊,使用者由此能發現問題,所以攻擊者往往在URLf址重寫的同時,利用相關資訊排蓋技術,即一般用JavaScript程式來重寫地址樣和狀枋樣,以達到其排蓋欺騙的目的。
***
***是互連網上運用得十分廣泛的一種通訊方式。攻擊者能使用一些郵件炸彈軟體或CGI程式向目的郵箱傳送大量內容重複、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的傳送流量特別大時,更有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓。相對於其他的攻擊手段來說,這種攻擊方法具有簡單、見效快等好處。
節點攻擊
攻擊者在突破一臺主機後,往往以此主機作為根據地,攻擊其他主機***以隱蔽其入侵路徑,避免留下蛛絲馬跡***。他們能使用網路監聽方法,嘗試攻破同一網路內的其他主機;也能通過IP欺騙和主機信任關係,攻擊其他主機。
這類攻擊非常狡猾,但由於某些技術非常難掌控,如TCP/IP欺騙攻擊。攻擊者通過外部計算機偽裝成另一臺合法機器來實現。他能磙壞兩臺機器間通訊鏈路上的資料,其偽裝的目的在於哄騙網路中的其他機器誤將其攻擊者作為合法機器加以接受,誘使其他機器向他傳送據或允許他修改資料。TCP/IP欺騙能發生TCP/IP系統的所有層次上,包括資料鏈路層、網路層、運輸層及應用層均容易受到影響。如果底層受到損害,則應用層的所有協議都將處於危險之中。另外由於使用者本身不直接和底層相互相交流,因而對底層的攻擊更具有欺騙性。
網路監聽
網路監聽是主機的一種工作模式,在這種模式下,主機能接收到本網段在同一條物理通道上傳輸的所有資訊,而不管這些資訊的傳送方和接收方是誰。因為系統在進行密碼校驗時,使用者輸入的密碼需要從使用者端傳送到伺服器端,而攻擊者就能在兩端之間進行資料監聽。此時若兩臺主機進行通訊的資訊沒有加密,只要使用某些網路監聽工具***如NetXRay for 視窗系統95/98/NT、Sniffit for Linux、Solaries等***就可輕而易舉地擷取包括口令和帳號在內的資訊資料。雖然網路監聽獲得的使用者帳號和口令具有一定的侷限性,但監聽者往往能夠獲得其所在網段的所有使用者帳號及口令。
黑客軟體
利用黑客軟體攻擊是互連網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,他們能非法地取得使用者計算機的終極使用者級權利,能對其進行完全的控制,除了能進行檔案操作外,同時也能進行對方桌面抓圖、取得密碼等操作。這些黑客軟體分為伺服器端和使用者端,當黑客進行攻擊時,會使用使用者端程式登陸上已安裝好伺服器端程式的計算機,這些伺服器端程式都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小遊戲並執行時,黑客軟體的伺服器端就安裝完成了,而且大部分黑客軟體的重生能力比較強,給使用者進行清除造成一定的麻煩。特別是一種TXT檔案欺騙手法,表面看上去是個TXT文字檔案,但實際上卻是個附帶黑客程式的可執行程式,另外有些程式也會偽裝成圖片和其他格式的檔案。
安全漏洞
許多系統都有這樣那樣的安全漏洞***Bugs***。其中一些是作業系統或應用軟體本身具有的。如緩衝區溢位攻擊。由於非常多系統在不檢查程式和緩衝之間變化的情況,就任意接受任意長度的資料輸入,把溢位的資料放在堆疊裡,系統還照常執行命令。這樣攻擊者只要傳送超出緩衝區所能處理的長度的指令,系統便進入不穩定狀態。若攻擊者特別設定一串準備用作攻擊的字元,他甚至能訪問根目錄,從而擁有對整個網路的絕對控制權。另一些是利用協議漏洞進行攻擊。如攻擊者利用POP3一定要在根目錄下執行的這一漏洞發動攻擊,破壞的根目錄,從而獲得終極使用者的許可權。又如,ICMP協議也經常被用於發動拒絕服務攻擊。他的具體手法就是向目的伺服器傳送大量的資料包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站響應速度大大降低或伺服器癱瘓。常見的蠕蟲病毒或和其同類的病毒都能對伺服器進行拒絕服務攻擊的進攻。他們的繁殖能力極強,一般通過Microsoft的 Outlook軟體向眾多郵箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的資料處理量而癱瘓。對於個人上網使用者而言,也有可能遭到大量資料包的攻擊使其無法進行正常的網路操作。
埠掃描
所謂埠掃描,就是利用Socket程式設計和目標主機的某些埠建立TCP連線、進行傳輸協議的驗證等,從而偵知目標主機的掃描埠是否是處於啟用狀態、主機提供了哪些服務、提供的服務中是否含有某些缺陷等等。常用的掃描方式有:Connect******掃描。Fragmentation掃描
攻擊位置
遠端攻擊
指外部攻擊者通過各種手段,從該子網以外的地方向該子網或者該子網內的系統發動攻擊。
本地攻擊
指本單位的內?a href='//' target='_blank'>咳嗽保?ü??詰木鐘蟯??蟣鏡ノ壞鈉淥?低撤⒍?セ鰨?詒炯渡轄?蟹欠ㄔ餃ǚ夢省?/p>
偽遠端攻擊
指內部人員為了掩蓋攻擊者的身份,從本地獲取目標的一些必要資訊後,攻擊過程從外部遠端發起,造成外部入侵的現象。
攻擊工具
DOS攻擊
DOS攻擊例如:WinNuke通過傳送OOB漏洞導致系統藍屏;Bonk通過傳送大量偽造的UDP資料包導致系統重啟;TearDrop通過傳送重疊的IP碎片導致系統的TCP/IP棧崩潰;WinArp通過發特別資料包在對方機器上產生大量的視窗;Land通過傳送大量偽造源IP的基於SYN的TCP請求導致系統重啟動;FluShot通過傳送特定IP包導致系統凝固;Bloo通過傳送大量的ICMP資料包導致系統變慢甚至凝固;PIMP通過IGMP 漏洞導致系統藍屏甚至重新啟動;Jolt通過大量偽造的ICMP和UDP導致系統變的非常慢甚至重新啟動。
木馬程式
***1***BO2000***BackOrifice***:他是功能最全的TCP/IP構架的攻擊工具,能蒐集資訊,執行系統命令,重新設定機器,重新定向網路的客戶端/伺服器應用程式。BO2000支援多個網路協議,他能利用TCP或UDP來傳送,還能用XOR加密演算法或更高階的3DES加密演算法加密。感染BO2000後機器就完全在別人的控制之下,黑客成了終極使用者,你的所有操作都可由BO2000自帶的“祕密攝像機”錄製成“錄影帶”。
***2***“冰河”:冰河是個國產木馬程式,具有簡單的中文使用介面,且只有少數流行的反病毒、防火牆才能查出冰河的存在。冰河的功能比起國外的木馬程式來一點也不遜色。 他能自動跟蹤目標機器的螢幕變化,能完全模擬鍵盤及滑鼠輸入,即在使被控端螢幕變化和監視端產生同步的同時,被監視端的一切鍵盤及滑鼠操作將反映在控端的螢幕。他能記錄各種口令資訊,包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話方塊中出現過的口令資訊;他能獲取系統資訊;他還能進行登錄檔操作,包括對主鍵的瀏覽、增刪、複製、重新命名和對鍵值的讀寫等所有登錄檔操作。
***3***NetSpy:能運行於視窗系統95/98/NT/2000等多種平臺上,他是個基於TCP/IP的簡單的檔案傳送軟體,但實際上你能將他看作一個沒有許可權控制的增強型FTP伺服器。通過他,攻擊者能神不知鬼不覺地下載和上傳目標機器上的任意檔案,並能執行一些特別的操作。
***4***Glacier:該程式能自動跟蹤目標計算機的螢幕變化、獲取目標計算機登入口令及各種密碼類資訊、獲取目標計算機系統資訊、限制目標計算機系統功能、任意操作目標計算機檔案及目錄、遠端關機、傳送資訊等多種監視功能。類似於BO2000。
***5***KeyboardGhost:視窗系統系統是個以訊息迴圈***MessageLoop***為基礎的作業系統。系統的核心區保留了一定的位元組作為鍵盤輸入的緩衝區,其資料結構形式是佇列。鍵盤幽靈正是通過直接訪問這一佇列,使鍵盤上輸入你的***、代理的賬號、密碼Password***顯示在螢幕上的是星號***得以記錄,一切涉及以星號形式顯示出來的密碼視窗的所有符號都會被記錄下來,並在系統根目錄下生成一檔名為KG.DAT的隱含檔案。
***6***ExeBind:這個程式能將指定的攻擊程式捆綁到所有一個廣為傳播的熱門軟體上,使宿主程式執行時,寄生程式也在後臺被執行,且支援多重捆綁。實際上是通過多次分割檔案,多次從父程序中呼叫子程序來實現的。
攻擊步驟
第一步:隱藏己方位置
普通攻擊者都會利用別人的計算機隱藏他們真實的IP地址。老練的攻擊者還會利用800電話的無人轉接服務聯接ISP,然後再盜用他人的帳號上網。
第二步:尋找並分析
攻擊者首先要尋找目標主機並分析目標主機。在Internet上能真正標識主機的是IP地址,域名是為了便於記憶主機的IP地址而另起的名字,只要利用域名和 IP地址就能順利地找到目標主機。當然,知道了要攻擊目標的位置還是遠遠不夠的,還必須將主機的作業系統型別及其所提供服務等資料作個全方面的瞭解。此時,攻擊者們會使用一些掃描器工具,輕鬆獲取目標主機執行的是哪種作業系統的哪個版本,系統有哪些帳戶,WWW、FTP、Telnet 、SMTP等伺服器程式是何種版本等資料,為入侵作好充分的準備。
第三步:帳號和密碼
攻擊者要想入侵一臺主機,首先要該獲取主機的一個帳號和密碼,否則連登入都無法進行。這樣常迫使他們先設法盜竊帳戶檔案,進行破解,從中獲取某使用者的帳戶和口令,再尋覓合適時機以此身份進入主機。當然,利用某些工具或系統漏洞登入主機也是攻擊者常用的一種技法。
第四步:獲得控制權
攻擊者們用FTP、Telnet等工具利用系統漏洞進入進入目標主機系統獲得控制權之後,就會做兩件事:清除記錄和留下後門。他會更改某些系統設定、在系統中置入特洛伊木馬或其他一些遠端操縱程式,以便日後能不被覺察地再次進入系統。大多數後門程式是預先編譯好的,只需要想辦法修改時間和許可權就能使用了,甚至新檔案的大小都和原檔案一模相同。攻擊者一般會使用rep傳遞這些檔案,以便不留下FTB記錄。清除日誌、刪除拷貝的檔案等手段來隱藏自己的蹤跡之後,攻擊者就開始下一步的行動。
第五步:資源和特權
攻擊者找到攻擊目標後,會繼續下一步的攻擊,竊取網路資源和特權。如:下載敏感資訊;實施竊取帳號密碼、信用卡號等經濟偷竊;使網路癱瘓。
應對策略
在對網路攻擊進行上述分析和識別的基礎上,我們應當認真制定有針對性的策略。明確安全物件,設定強有力的安全保障體系。有的放矢,在網路中層層設防,發揮網路的每層作用,使每一層都成為一道關卡,從而讓攻擊者無隙可鑽、無計可使。還必須做到未雨稠繆,預防為主 ,將重要的資料備份並時刻注意系統執行狀況。以下是針對眾多令人擔心的網路安全問題,提出的幾點建議
提高安全意識
***1***不要隨意開啟來歷不明的***及檔案,不要隨便執行不太瞭解的人給你的程式,比如“特洛伊”類黑客程式就需要騙你執行。 中國.網管聯盟
***2***儘量避免從Internet下載不知名的軟體、遊戲程式。即使從知名的網站下載的軟體也要及時用最新的病毒和木馬查殺軟體對軟體和系統進行掃描。
***3***密碼設定儘可能使用字母數字混排,單純的英文或數字非常容易窮舉。將常用的密碼設定不同,防止被人查出一個,連帶到重要密碼。重要密碼最佳經常更換。
***4***及時下載安裝系統補丁程式。
***5***不隨便執行黑客程式,不少這類程式執行時會發出你的個人資訊。
***6***在支援HTML的BBS上,如發現提交警告,先看原始碼,非常可能是騙取密碼的陷阱。
防火牆軟體
使用防毒、防黑等防火牆軟體。防火牆是個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通訊的門檻。在網路邊界上通過建立起來的相應網路通訊監視系統來隔離內部和外部網路,以阻檔外部網路的侵入。
代理伺服器
設定代理伺服器,隱藏自已IP地址。保護自己的IP地址是非常重要的。事實上,即便你的機器上被安裝了木馬程式,若沒有你的IP地址,攻擊者也是沒有辦法的,而保護IP地址的最佳方法就是設定代理伺服器。代理伺服器能起到外部網路申請訪問內部網路的中間轉接作用,其功能類似於一個數據轉發器,他主要控制哪些使用者能訪問哪些服務型別。當外部網路向內部網路申請某種網路服務時,代理伺服器接受申請,然後他根據其服務型別、服務內容、被服務的物件、服務者申請的時間、申請者的域名範圍等來決定是否接受此項服務,如果接受,他就向內部網路轉發這項請求。
其他策略
將防毒、防黑當成日常例性工作,定時更新防毒元件,將防毒軟體保持在常駐狀態,以完全防毒;
由於黑客經常會針對特定的日期發動攻擊,計算機使用者在此期間應特別提高警戒;
對於重要的個人資料做好嚴密的保護,並養成資料備份的習慣。