1樓:理科控
目前造成網路不安全的主要因素是系統、協議及資料庫等的設計上存在缺陷。由於當今的計算機網路作業系統在本身結構設計和**設計時偏重考慮系統使用時的方便性,導致了系統在遠端訪問、許可權控制和口令管理等許多方面存在安全漏洞。網路互連一般採用tcp/ip協議,它是一個工業標準的協議簇,但該協議簇在制訂之初,對安全問題考慮不多,協議中有很多的安全漏洞。
同樣,資料庫管理系統(dbms)也存在資料的安全性、許可權管理及遠端訪問等方面問題,在dbms或應用程式中可以預先安置從事情報收集、受控激發、定時發作等破壞程式。
由此可見,針對系統、網路協議及資料庫等,無論是其自身的設計缺陷,還是由於人為的因素產生的各種安全漏洞,都可能被一些另有圖謀的黑客所利用併發起攻擊。因此若要保證網路安全、可靠,則必須熟知黑客網路攻擊的一般過程。只有這樣方可在黒客攻擊前做好必要的防備,從而確保網路執行的安全和可靠。
一、黑客攻擊網路的一般過程
1、資訊的收集
資訊的收集並不對目標產生危害,只是為進一步的入侵提供有用資訊。黑客可能會利用下列的公開協議或工具,收集駐留在網路系統中的各個主機系統的相關資訊:
(1)traceroute程式 能夠用該程式獲得到達目標主機所要經過的網路數和路由器數。
(2)snmp協議 用來查閱網路系統路由器的路由表,從而瞭解目標主機所在網路的拓撲結構及其內部細節。
(3)dns伺服器 該伺服器提供了系統中可以訪問的主機ip地址表和它們所對應的主機名。
(4)whois協議 該協議的服務資訊能提供所有有關的dns域和相關的管理引數。
(5)ping實用程式 可以用來確定一個指定的主機的位置或網線是否連通。
2、系統安全弱點的探測
在收集到一些準備要攻擊目標的資訊後,黑客們會探測目標網路上的每臺主機,來尋求系統內部的安全漏洞,主要探測的方式如下:
(1)自程式設計序 對某些系統,網際網路上已釋出了其安全漏洞所在,但使用者由於不懂或一時疏忽未打上網上釋出的該系統的「補丁」程式,那麼黒客就可以自己編寫一段程式進入到該系統進行破壞。
(2)慢速掃描 由於一般掃描偵測器的實現是通過監視某個時間段裡一臺特定主機發起的連線的數目來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟體進行掃描。
(3)體系結構探測 黑客利用一些特殊的資料包傳送給目標主機,使其作出相對應的響應。由於每種作業系統的響應時間和方式都是不一樣的,黒客利用這種特徵把得到的結果與準備好的資料庫中的資料相對照,從中便可輕而易舉地判斷出目標主機作業系統所用的版本及其他相關資訊。
(4)利用公開的工具軟體 像審計網路用的安全分析工具satan、internet的電子安全掃描程式iis等一些工具對整個網路或子網進行掃描,尋找安全方面的漏洞。
3、建立模擬環境,進行模擬攻擊
根據前面兩小點所得的資訊,建立一個類似攻擊物件的模擬環境,然後對此模擬目標進行一系列的攻擊。在此期間,通過檢查被攻擊方的日誌,觀察檢測工具對攻擊的反應,可以進一步瞭解在攻擊過程中留下的「痕跡」及被攻擊方的狀態,以此來制定一個較為周密的攻擊策略。
4、具體實施網路攻擊
入侵者根據前幾步所獲得的資訊,同時結合自身的水平及經驗總結出相應的攻擊方法,在進行模擬攻擊的實踐後,將等待時機,以備實施真正的網路攻擊。
二、協議欺騙攻擊及其防範措施
1、源ip地址欺騙攻擊
許多應用程式認為若資料包可以使其自身沿著路由到達目的地,並且應答包也可回到源地,那麼源ip地址一定是有效的,而這正是使源ip地址欺騙攻擊成為可能的一個重要前提。
假設同一網段內有兩臺主機a和b,另一網段內有主機x。b 授予a某些特權。x 為獲得與a相同的特權,所做欺騙攻擊如下:
首先,x冒充a,向主機 b傳送一個帶有隨機序列號的syn包。主機b響應,回送一個應答包給a,該應答號等於原序列號加1。然而,此時主機a已被主機x利用拒絕服務攻擊 「淹沒」了,導致主機a服務失效。
結果,主機a將b發來的包丟棄。為了完成三次握手,x還需要向b回送一個應答包,其應答號等於b向a傳送資料包的序列號加1。此時主機x 並不能檢測到主機b的資料包(因為不在同一網段),只有利用tcp順序號估演算法來**應答包的順序號並將其傳送給目標機b。
如果猜測正確,b則認為收到的ack是來自內部主機a。此時,x即獲得了主機a在主機b上所享有的特權,並開始對這些服務實施攻擊。
要防止源ip地址欺騙行為,可以採取以下措施來儘可能地保護系統免受這類攻擊:
(1)拋棄基於地址的信任策略 阻止這類攻擊的一種十分容易的辦法就是放棄以地址為基礎的驗證。不允許r類遠端呼叫命令的使用;刪除.rhosts 檔案;清空/etc/hosts.
equiv 檔案。這將迫使所有使用者使用其它遠端通訊手段,如telnet、ssh、skey等等。
(2)使用加密方法 在包傳送到 網路上之前,我們可以對它進行加密。雖然加密過程要求適當改變目前的網路環境,但它將保證資料的完整性、真實性和保密性。
(3)進行包過濾 可以配置路由器使其能夠拒絕網路外部與本網內具有相同ip地址的連線請求。而且,當包的ip地址不在本網內時,路由器不應該把本網主機的包傳送出去。有一點要注意,路由器雖然可以封鎖試圖到達內部網路的特定型別的包。
但它們也是通過分析測試源地址來實現操作的。因此,它們僅能對聲稱是來自於內部網路的外來包進行過濾,若你的網路存在外部可信任主機,那麼路由器將無法防止別人冒充這些主機進行ip欺騙。
2、源路由欺騙攻擊
在通常情況下,資訊包從起點到終點所走的路是由位於此兩點間的路由器決定的,資料包本身只知道去往何處,而不知道該如何去。源路由可使資訊包的傳送者將此資料包要經過的路徑寫在資料包裡,使資料包循著一個對方不可預料的路徑到達目的主機。下面仍以上述源ip欺騙中的例子給出這種攻擊的形式:
主機a享有主機b的某些特權,主機x想冒充主機a從主機b(假設ip為aaa.bbb.ccc.
ddd)獲得某些服務。首先,攻擊者修改距離x最近的路由器,使得到達此路由器且包含目的地址aaa.bbb.
ccc.ddd的資料包以主機x所在的網路為目的地;然後,攻擊者x利用ip欺騙向主機b傳送源路由(指定最近的路由器)資料包。當b回送資料包時,就傳送到被更改過的路由器。
這就使一個入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護資料。
為了防範源路由欺騙攻擊,一般採用下面兩種措施:
· 對付這種攻擊最好的辦法是配置好路由器,使它拋棄那些由外部網進來的卻聲稱是內部主機的報文。
· 在路由器上關閉源路由。用命令no ip source-route。
三、拒絕服務攻擊及預防措施
在拒絕服務攻擊中,攻擊者載入過多的服務將對方資源全部使用,使得沒有多餘資源供其他使用者無法使用。syn flood攻擊是典型的拒絕服務攻擊。
syn flood常常是源ip地址欺騙攻擊的前奏,又稱半開式連線攻擊,每當我們進行一次標準的tcp連線就會有一個三次握手的過程,而syn flood在它的實現過程中只有三次握手的前兩個步驟,當服務方收到請求方的syn並回送syn-ack確認報文後,請求方由於採用源地址欺騙等手段,致使服務方得不到ack迴應,這樣,服務方會在一定時間內處於等待接收請求方ack報文的狀態,一臺伺服器可用的tcp連線是有限的,如果惡意攻擊方快速連續的傳送此類連線請求,則伺服器的系統可用資源、網路可用頻寬急劇下降,將無法向其它使用者提供正常的網路服務。
為了防止拒絕服務攻擊,我們可以採取以下的預防措施:
(1) 建議在該網段的路由器上做些配置的調整,這些調整包括限制syn半開資料包的流量和個數。
(2)要防止syn資料段攻擊,我們應對系統設定相應的核心引數,使得系統強制對超時的syn請求連線資料包復位,同時通過縮短超時常數和加長等候佇列使得系統能迅速處理無效的syn請求資料包。
(3)建議在路由器的前端做必要的tcp攔截,使得只有完成tcp三次握手過程的資料包才可進入該網段,這樣可以有效地保護本網段內的伺服器不受此類攻擊。
(4)對於資訊淹沒攻擊,我們應關掉可能產生無限序列的服務來防止這種攻擊。比如我們可以在伺服器端拒絕所有的icmp包,或者在該網段路由器上對icmp包進行頻寬方面的限制,控制其在一定的範圍內。
總之,要徹底杜絕拒絕服務攻擊,最好的辦法是惟有追根溯源去找到正在進行攻擊的機器和攻擊者。 要追蹤攻擊者可不是一件容易的事情,一旦其停止了攻擊行為,很難將其發現。惟一可行的方法是在其進行攻擊的時候,根據路由器的資訊和攻擊資料包的特徵,採用逐級回溯的方法來查詢其攻擊源頭。
這時需要各級部門的協同配合方可有效果。
四、其他網路攻擊行為的防範措施
協議攻擊和拒絕服務攻擊是黑客慣於使用的攻擊方法,但隨著網路技術的飛速發展,攻擊行為千變萬化,新技術層出不窮。下面將闡述一下網路嗅探及緩衝區溢位的攻擊原理及防範措施。
1、針對網路嗅探的防範措施
網路嗅探就是使網路介面接收不屬於本主機的資料。計算機網路通常建立在共享通道上,乙太網就是這樣一個共享通道的網路,其資料包頭包含目的主機的硬體地址,只有硬體地址匹配的機器才會接收該資料包。一個能接收所有資料包的機器被稱為雜錯節點。
通常賬戶和口令等資訊都以明文的形式在乙太網上傳輸,一旦被黑客在雜錯節點上嗅探到,使用者就可能會遭到損害。
對於網路嗅探攻擊,我們可以採取以下措施進行防範:
(1)網路分段 一個網路段包括一組共享低層裝置和線路的機器,如交換機,動態集線器和網橋等裝置,可以對資料流進行限制,從而達到防止嗅探的目的。
(2)加密 一方面可以對資料流中的部分重要資訊進行加密,另一方面也可只對應用層加密,然而後者將使大部分與網路和作業系統有關的敏感資訊失去保護。選擇何種加密方式這就取決於資訊的安全級別及網路的安全程度。
(3)一次性口令技術 口令並不在網路上傳輸而是在兩端進行字串匹配,客戶端利用從伺服器上得到的challenge和自身的口令計算出一個新字串並將之返回給伺服器。在伺服器上利用比較演算法進行匹配,如果匹配,連線就允許建立,所有的challenge和字串都只使用一次。
(4)禁用雜錯節點 安裝不支援雜錯的網絡卡,通常可以防止ibm相容機進行嗅探。
2、緩衝區溢位攻擊及其防範措施
緩衝區溢位攻擊是屬於系統攻擊的手段,通過往程式的緩衝區寫超出其長度的內容,造成緩衝區的溢位,從而破壞程式的堆疊,使程式轉而執行其它指令,以達到攻擊的目的。當然,隨便往緩衝區中填東西並不能達到攻擊的目的。最常見的手段是通過製造緩衝區溢位使程式執行一個使用者shell,再通過shell執行其它命令。
如果該程式具有root許可權的話,攻擊者就可以對系統進行任意操作了。
緩衝區溢位對網路系統帶來了巨大的危害,要有效地防止這種攻擊,應該做到以下幾點:
(1)程式指標完整性檢查 在程式指標被引用之前檢測它是否改變。即便一個攻擊者成功地改變了程式的指標,由於系統事先檢測到了指標的改變,因此這個指標將不會被使用。
(2)堆疊的保護 這是一種提供程式指標完整性檢查的編譯器技術,通過檢查函式活動記錄中的返回地址來實現。在堆疊中函式返回地址後面加了一些附加的位元組,而在函式返回時,首先檢查這個附加的位元組是否被改動過。如果發生過緩衝區溢位的攻擊,那麼這種攻擊很容易在函式返回前被檢測到。
但是,如果攻擊者預見到這些附加位元組的存在,並且能在溢位過程中同樣地製造他們,那麼他就能成功地跳過堆疊保護的檢測。
(3)陣列邊界檢查 所有的對陣列的讀寫操作都應當被檢查以確保對陣列的操作在正確的範圍內進行。最直接的方法是檢查所有的陣列操作,通常可以採用一些優化技術來減少檢查次數。目前主要有這幾種檢查方法:
compaq c編譯器、jones & kelly c陣列邊界檢查、purify儲存器存取檢查等。
未來的競爭是資訊競爭,而網路資訊是競爭的重要組成部分。其實質是人與人的對抗,它具體體現在安全策略與攻擊策略的交鋒上。為了不斷增強資訊系統的安全防禦能力,必須充分理解系統核心及網路協議的實現,真正做到洞察對方網路系統的「細枝末節」,同時應該熟知針對各種攻擊手段的預防措施,只有這樣才能盡最大可能保證網路的安全。
怎樣堡自己電腦的資訊保安,怎樣保護自己電腦的資訊保安?
保護電腦的資訊保安應採取以下措施 1 安裝正版防毒軟體和網路防火牆軟體,及時升級,定時查毒。許多資料丟失是由病毒引起的,將病毒的威脅降到最低,以免因小失大 2 注意硬碟的執行溫度,過高的溫度是硬碟故障發生的重大原因之一 3 注意硬碟的防震,當硬碟在讀盤時,如果發生較大的震動,輕則會使硬碟產生壞道,重...
資訊革命的階段是怎樣進行劃分的資訊革命的五個階段是怎樣進行劃分的
1 第一次是語言的使用,語言成為人類進行思想交流和資訊傳播不可缺少的工具。2 第二次是文字的出現和使用,使人類對資訊的儲存和傳播取得重大突破,較大地超越了時間和地域的侷限。3 第三次是印刷術的發明和使用,使書籍 報刊成為重要的資訊儲存和傳播的 4 第四次是 廣播 電視的使用,使人類進入利用電磁波傳播...
黑客是通過木馬病毒入侵電腦還是怎麼入侵的
只要還bai是利用一些系統漏洞或du者你zhi 毒的程式,然屬 後,你就中招了。就是這樣。一般情況下,個人電腦對真正的黑客來說,沒有什麼意思,真正黑客一般都是黑伺服器之類的。病毒入侵主bai要有網路du 傳播和移動介質傳zhi播。只要上網或插行動硬碟就dao有可能感染病毒版。安裝帶有權監控功能的防毒...