網絡常見攻擊與防范完全手冊
2020-10-30 18:16:00
供稿:網友
一、前言熱點網絡
在網絡這個不斷更新換代的世界里,網絡中的安全漏洞無處不在�。即便舊的安全漏洞補上了����,新的安全漏洞又將不斷涌現�����。網絡攻擊正是利用這些存在的漏洞和安全缺陷對系統和資源進行攻擊��。
也許有人會對網絡安全抱著無所謂的態度,認為最多不過是被攻擊者盜用賬號��,造不成多大的危害��。他們往往會認為“安全”只是針對那些大中型企事業單位和網站而言����。其實�,單從技術上說,黑客入侵的動機是成為目標主機的主人����。只要他們獲得了一臺網絡主機的超級用戶權限后他們就有可能在該主機上修改資源配置�、安置“特洛伊”程序����、隱藏行蹤、執行任意進程等等�。我們誰又愿意別人在我們的機器上肆無忌憚地擁有這些特權呢����?更何況這些攻擊者的動機也不都是那么單純�����。因此���,我們每一個人都有可能面臨著安全威脅�,都有必要對網絡安全有所了解���,并能夠處理一些安全方面的問題�。
下面我們就來看一下那些攻擊者是如何找到你計算機中的安全漏洞的���,并了解一下他們的攻擊手法����。
二、網絡攻擊的步驟
第一步:隱藏自已的位置
普通攻擊者都會利用別人的電腦隱藏他們真實的IP地址。老練的攻擊者還會利用800電話的無人轉接服務聯接ISP,然后再盜用他人的帳號上網。
第二步:尋找目標主機并分析目標主機
攻擊者首先要尋找目標主機并分析目標主機�����。在Internet上能真正標識主機的是IP地址��,域名是為了便于記憶主機的IP地址而另起的名字�,只要利用域名和IP地址就可以順利地找到目標主機�。當然,知道了要攻擊目標的位置還是遠遠不夠的,還必須將主機的操作系統類型及其所提供服務等資料作個全面的了解����。此時���,攻擊者們會使用一些掃描器工具�,輕松獲取目標主機運行的是哪種操作系統的哪個版本,系統有哪些帳戶,WWW、FTP���、Telnet 、SMTP等服務器程序是何種版本等資料,為入侵作好充分的準備�。
第三步:獲取帳號和密碼�,登錄主機
攻擊者要想入侵一臺主機����,首先要有該主機的一個帳號和密碼,否則連登錄都無法進行。這樣常迫使他們先設法盜竊帳戶文件����,進行破解,從中獲取某用戶的帳戶和口令,再尋覓合適時機以此身份進入主機���。當然,利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法。
第四步:獲得控制權
攻擊者們用FTP、Telnet等工具利用系統漏洞進入進入目標主機系統獲得控制權之后��,就會做兩件事:清除記錄和留下后門��。他會更改某些系統設置��、在系統中置入特洛伊木馬或其他一些遠程操縱程序,以便日后可以不被覺察地再次進入系統。大多數后門程序是預先編譯好的,只需要想辦法修改時間和權限就可以使用了��,甚至新文件的大小都和原文件一模一樣�����。攻擊者一般會使用rep傳遞這些文件�,以便不留下FTB記錄����。清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后����,攻擊者就開始下一步的行動�。
第五步:竊取網絡資源和特權
攻擊者找到攻擊目標后�����,會繼續下一步的攻擊�。如:下載敏感信息���;實施竊取帳號密碼��、信用卡號等經濟偷竊;使網絡癱瘓�����。
三����、網絡攻擊的原理和手法
1、口令入侵
所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機�����,然后再實施攻擊活動�。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然后再進行合法用戶口令的破譯�����。獲得普通用戶帳號的方法很多�����,如
利用目標主機的Finger功能:當用Finger命令查詢時���,主機系統會將保存的用戶資料(如用戶名�����、登錄時間等)顯示在終端或計算機上��;
利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑��;熱點網絡
從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號��;
查看主機是否有習慣性的帳號:有經驗的用戶都知道,很多系統會使用一些習慣性的帳號�����,造成帳號的泄露��。
這又有三種方法:
(1)是通過網絡監聽非法得到用戶口令�,這類方法有一定的局限性�,但危害性極大。監聽者往往采用中途截擊的方法也是獲取用戶帳戶和密碼的一條有效途徑�����。當下��,很多協議根本就沒有采用任何加密或身份認證技術�����,如在Telnet、FTP、HTTP、SMTP等傳輸協議中���,用戶帳戶和密碼信息都是以明文格式傳輸的,此時若攻擊者利用數據包截取工具便可很容易收集到你的帳戶和密碼。還有一種中途截擊攻擊方法更為厲害���,它可以在你同服務器端完成“三次握手”建立連接之后,在通信過程中扮演“第三者”的角色,假冒服務器身份欺騙你,再假冒你向服務器發出惡意請求,其造成的后果不堪設想。另外,攻擊者有時還會利用軟件和硬件工具時刻監視系統主機的工作,等待記錄用戶登錄信息,從而取得用戶密碼��;或者編制有緩沖區溢出錯誤的SUID程序來獲得超級用戶權限�。
(2)是在知道用戶的賬號后(如電子郵件@前面的部分)利用一些專門軟件強行破解用戶口令,這種方法不受網段限制��,但攻擊者要有足夠的耐心和時間��。如:采用字典窮舉法(或稱暴力法)來破解用戶的密碼�����。攻擊者可以通過一些工具程序,自動地從電腦字典中取出一個單詞��,作為用戶的口令����,再輸入給遠端的主機��,申請進入系統���;若口令錯誤����,就按序取出下一個單詞���,進行下一個嘗試�,并一直循環下去,直到找到正確的口令或字典的單詞試完為止���。由于這個破譯過程由計算機程序來自動完成,因而幾個小時就可以把上十萬條記錄的字典里所有單詞都嘗試一遍��。
(3)是利用系統管理員的失誤�。在現代的Unix操作系統中,用戶的基本信息存放在passwd文件中,而所有的口令則經過DES加密方法加密后專門存放在一個叫shadow的文件中����。黑客們獲取口令文件后��,就會使用專門的破解DES加密法的程序來解口令。同時,由于為數不少的操作系統都存在許多安全漏洞�、Bug或一些其他設計缺陷���,這些缺陷一旦被找出�����,黑客就可以長驅直入���。例如,讓Windows95/98系統后門洞開的BO就是利用了Windows的基本設計缺陷�����。
���、放置特洛伊木馬程序
特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞�����,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載�����,一旦用戶打開了這些郵件的附件或者執行了這些程序之后,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,并在自己的計算機系統中隱藏一個可以在windows啟動時悄悄執行的程序。當您連接到因特網上時,這個程序就會通知攻擊者���,來報告您的IP地址以及預先設定的端口。攻擊者在收到這些信息后,再利用這個潛伏在其中的程序�����,就可以任意地修改你的計算機的參數設定�、復制文件、窺視你整個硬盤中的內容等�����,從而達到控制你的計算機的目的���。
3����、WWW的欺騙技術
在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問�����,如閱讀新聞組�、咨詢產品價格�����、訂閱報紙���、電子商務等�����。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已經被黑客篡改過,網頁上的信息是虛假的���!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的服務器,當用戶瀏覽目標網頁的時候����,實際上是向黑客服務器發出請求�,那么黑客就可以達到欺騙的目的了�。
一般Web欺騙使用兩種技術手段,即URL地址重寫技術和相關信關信息掩蓋技術����。利用URL地址���,使這些地址都向攻擊者的Web服務器�����,即攻擊者可以將自已的Web地址加在所有URL地址的前面�。這樣,當用戶與站點進行安全鏈接時����,就會毫不防備地進入攻擊者的服器�����,于是用記的所有信息便處于攻擊者的監視之中����。但由于瀏覽器材一般均設有地址欄和狀態欄��,當瀏覽器與某個站點邊接時��,可以在地址欄和狀態樣中獲得連接中的Web站點地址及其相關的傳輸信息,用戶由此可以發現問題��,所以攻擊者往往在URLf址重寫的同時����,利用相關信息排蓋技術,即一般 用javascript程序來重寫地址樣和狀枋樣��,以達到其排蓋欺騙的目的���。
4����、電子郵件攻擊
電子郵件是互聯網上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件,從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發送流量特別大時�����,還有可能造成郵件系統對于正常的工作反映緩慢���,甚至癱瘓���。相對于其它的攻擊手段來說��,這種攻擊方法具有簡單、見效快等優點
電子郵件攻擊主要表現為兩種方式:
(1)是電子郵件轟炸和電子郵件“滾雪球”,也就是通常所說的郵件炸彈�,指的是用偽造的IP地址和電子郵件地址向同一信箱發送數以千計�����、萬計甚至無窮多次的內容相同的垃圾郵件,致使受害人郵箱被“炸”,嚴重者可能會給電子郵件服務器操作系統帶來危險����,甚至癱瘓����;
(2)是電子郵件欺騙���,攻擊者佯稱自己為系統管理員(郵件地址和系統管理員完全相同)�����,給用戶發送郵件要求用戶修改口令(口令可能為指定字符串)或在貌似正常的附件中加載病毒或其他木馬程序�。
5���、通過一個節點來攻擊其他節點
攻擊者在突破一臺主機后����,往往以此主機作為根據地��,攻擊其他主機(以隱蔽其入侵路徑����,避免留下蛛絲馬跡)��。他們可以使用網絡監聽方法��,嘗試攻破同一網絡內的其他主機;也可以通過IP欺騙和主機信任關系�,攻擊其他主機���。
這類攻擊很狡猾�����,但由于某些技術很難掌握���,如TCP/IP欺騙攻擊����。攻擊者通過外部計算機偽裝成另一臺合法機器來實現�����。它能磙壞兩臺機器間通信鏈路上的數據�,其偽裝的目的在于哄騙網絡中的其它機器誤將其攻擊者作為合法機器加以接受��,誘使其它機器向他發送據或允許它修改數據���。TCP/IP欺騙可以發生TCP/IP系統的所有層次上����,包括數據鏈路層�����、網絡層、運輸層及應用層均容易受到影響�����。如果底層受到損害����,則應用層的所有協議都將處于危險之中。另外由于用戶本身不直接與底層相互相交流�����,因而對底層的攻擊更具有欺騙性�。
6、網絡監聽
網絡監聽是主機的一種工作模式����,在這種模式下���,主機可以接收到本網段在同一條物理通道上傳輸的所有信息��,而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到服務器端����,而攻擊者就能在兩端之間進行數據監聽���。此時若兩臺主機進行通信的信息沒有加密,只要使用某些網絡監聽工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和帳號在內的信息資料�����。雖然網絡監聽獲得的用戶帳號和口令具有一定的局限性����,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。
7、利用黑客軟件攻擊
利用黑客軟件攻擊是互聯網上比較多的一種攻擊手法�。Back Orifice2000����、冰河等都是比較著名的特洛伊木馬����,它們可以非法地取得用戶電腦的超級用戶級權利,可以對其進行完全的控制,除了可以進行文件操作外�����,同時也可以進行對方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務器端和用戶端,當黑客進行攻擊時����,會使用用戶端程序登陸上已安裝好服務器端程序的電腦��,這些服務器端程序都比較小,一般會隨附帶于某些軟件上。有可能當用戶下載了一個小游戲并運行時,黑客軟件的服務器端就安裝完成了�����,而且大部分黑客軟件的重生能力比較強��,給用戶進行清除造成一定的麻煩�����。 特別是最近出現了一種TXT文件欺騙手法��,表面看上去是一個TXT文本文件���,但實際上卻是一個附帶黑客程序的可執行程序���,另外有些程序也會偽裝成圖片和其他格式的文件���。
8�、安全漏洞攻擊
許多系統都有這樣那樣的安全漏洞(Bugs)�。其中一些是操作系統或應用軟件本身具有的。如緩沖區溢出攻擊�。由于很多系統在不檢查程序與緩沖之間變化的情況�����,就任意接受任意長度的數據輸入,把溢出的數據放在堆棧里�����,系統還照常執行命令��。這樣攻擊者只要發送超出緩沖區所能處理的長度的指令����,系統便進入不穩定狀態��。若攻擊者特別配置一串準備用作攻擊的字符����,他甚至可以訪問根目錄�����,從而擁有對整個網絡的絕對控制權。另一些是利用協議漏洞進行攻擊�。如攻擊者利用POP3一定要在根目錄下運行的這一漏洞發動攻擊�,破壞的根目錄����,從而獲得超級用戶的權限。又如�,ICMP協議也經常被用于發動拒絕服務攻擊����。它的具體手法就是向目的服務器發送大量的數據包�����,幾乎占取該服務器所有的網絡寬帶��,從而使其無法對正常的服務請求進行處理,而導致網站無法進入���、網站響應速度大大降低或服務器癱瘓。現在常見的蠕蟲病毒或與其同類的病毒都可以對服務器進行拒絕服務攻擊的進攻���。它們的繁殖能力極強,一般通過Microsoft的Outlook軟件向眾多郵箱發出帶有病毒的郵件���,而使郵件服務器無法承擔如此龐大的數據處理量而癱瘓���。對于個人上網用戶而言���,也有可能遭到大量數據包的攻擊使其無法進行正常的網絡操作����。
9�、端口掃描攻擊
所謂端口掃描����,就是利用Socket編程與目標主機的某些端口建立TCP連接、進行傳輸協議的驗證等���,從而偵知目標主機的掃描端口是否是處于激活狀態、主機提供了哪些服務�����、提供的服務中是否含有某些缺陷等等���。常用的掃描方式有:Connect()掃描���。Fragmentation掃描����。
四、攻擊者常用的攻擊工具
1�����、D.O.S攻擊工具:
如WinNuke通過發送OOB漏洞導致系統藍屏����;Bonk通過發送大量偽造的UDP數據包導致系統重啟;TearDrop通過發送重疊的IP碎片導致系統的TCP/IP棧崩潰�����;WinArp通過發特殊數據包在對方機器上產生大量的窗口��;Land通過發送大量偽造源IP的基于SYN的TCP請求導致系統重啟動;FluShot通過發送特定IP包導致系統凝固;Bloo通過發送大量的ICMP數據包導致系統變慢甚至凝固���;PIMP通過IGMP漏洞導致系統藍屏甚至重新啟動;Jolt通過大量偽造的ICMP和UDP導致系統變的非常慢甚至重新啟動�。
2��、木馬程序
(1)、BO2000(BackOrifice):它是功能最全的TCP/IP構架的攻擊工具��,可以搜集信息�����,執行系統命令����,重新設置機器��,重新定向網絡的客戶端/服務器應用程序��。BO2000支持多個網絡協議,它可以利用TCP或UDP來傳送,還可以用XOR加密算法或更高級的3DES加密算法加密。感染BO2000后機器就完全在別人的控制之下,黑客成了超級用戶��,你的所有操作都可由BO2000自帶的“秘密攝像機”錄制成“錄像帶”�。
(2)、“冰河”:冰河是一個國產木馬程序,具有簡單的中文使用界面��,且只有少數流行的反病毒�、防火墻才能查出冰河的存在。冰河的功能比起國外的木馬程序來一點也不遜色。 它可以自動跟蹤目標機器的屏幕變化,可以完全模擬鍵盤及鼠標輸入�����,即在使被控端屏幕變化和監控端產生同步的同時���,被監控端的一切鍵盤及鼠標操作將反映在控端的屏幕。它可以記錄各種口令信息,包括開機口令����、屏保口令��、各種共享資源口令以及絕大多數在對話框中出現過的口令信息�;它可以獲取系統信息;它還可以進行注冊表操作�,包括對主鍵的瀏覽����、增刪�����、復制�、重命名和對鍵值的讀寫等所有注冊表操作���。
(3)����、NetSpy:可以運行于Windows95/98/NT/2000等多種平臺上,它是一個基于TCP/IP的簡單的文件傳送軟件��,但實際上你可以將它看作一個沒有權限控制的增強型FTP服務器����。通過它,攻擊者可以神不知鬼不覺地下載和上傳目標機器上的任意文件���,并可以執行一些特殊的操作。
(4)�、Glacier:該程序可以自動跟蹤目標計算機的屏幕變化�、獲取目標計算機登錄口令及各種密碼類信息�����、獲取目標計算機系統信息���、限制目標計算機系統功能、任意操作目標計算機文件及目錄���、遠程關機、發送信息等多種監控功能��。類似于BO2000�。
(5)、KeyboardGhost:Windows系統是一個以消息循環(MessageLoop)為基礎的操作系統���。系統的核心區保留了一定的字節作為鍵盤輸入的緩沖區,其數據結構形式是隊列。鍵盤幽靈正是通過直接訪問這一隊列����,使鍵盤上輸入你的電子郵箱�����、代理的賬號、密碼Password(顯示在屏幕上的是星號)得以記錄�����,一切涉及以星號形式顯示出來的密碼窗口的所有符號都會被記錄下來�����,并在系統根目錄下生成一文件名為KG.DAT的隱含文件�����。
(6)、ExeBind:這個程序可以將指定的攻擊程序捆綁到任何一個廣為傳播的熱門軟件上��,使宿主程序執行時�����,寄生程序也在后臺被執行,且支持多重捆綁�。實際上是通過多次分割文件�����,多次從父進程中調用子進程來實現的����。
五�、網絡攻擊應對策略
在對網絡攻擊進行上述分析與識別的基礎上,我們應當認真制定有針對性的策略�。明確安全對象��,設置強有力的安全保障體系。有的放矢��,在網絡中層層設防����,發揮網絡的每層作用,使每一層都成為一道關卡����,從而讓攻擊者無隙可鉆���、無計可使���。還必須做到未雨稠繆�,預防為主 �,將重要的數據備份并時刻注意系統運行狀況。以下是針對眾多令人擔心的網絡安全問題,提出的幾點建議
1���、提高安全意識
(1)不要隨意打開來歷不明的電子郵件及文件,不要隨便運行不太了解的人給你的程序,比如“特洛伊”類黑客程序就需要騙你運行���。
(2)盡量避免從Internet下載不知名的軟件�����、游戲程序��。即使從知名的網站下載的軟件也要及時用最新的病毒和木馬查殺軟件對軟件和系統進行掃描。
(3)密碼設置盡可能使用字母數字混排,單純的英文或者數字很容易窮舉。將常用的密碼設置不同�����,防止被人查出一個�,連帶到重要密碼。重要密碼最好經常更換。
(4)及時下載安裝系統補丁程序。
(5)不隨便運行黑客程序,不少這類程序運行時會發出你的個人信息�。
(6)在支持HTML的BBS上���,如發現提交警告���,先看源代碼����,很可能是騙取密碼的陷阱�����。
2���、使用防毒����、防黑等防火墻軟件��。
防火墻是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻���。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻檔外部網絡的侵入��。
3��、設置代理服務器�����,隱藏自已的IP地址���。
保護自己的IP地址是很重要的����。事實上�,即便你的機器上被安裝了木馬程序,若沒有你的IP地址��,攻擊者也是沒有辦法的��,而保護IP地址的最好方法就是設置代理服務器����。代理服務器能起到外部網絡申請訪問內部網絡的中間轉接作用��,其功能類似于一個數據轉發器���,它主要控制哪些用戶能訪問哪些服務類型����。當外部網絡向內部網絡申請某種網絡服務時�,代理服務器接受申請,然后它根據其服務類型�、服務內容、被服務的對象�、服務者申請的時間����、申請者的域名范圍等來決定是否接受此項服務����,如果接受,它就向內部網絡轉發這項請求��。 熱點網絡
4����、將防毒、防黑當成日常例性工作��,定時更新防毒組件���,將防毒軟件保持在常駐狀態����,以徹底防毒。
5���、由于黑客經常會針對特定的日期發動攻擊,計算機用戶在此期間應特別提高警戒。
6�����、對于重要的個人資料做好嚴密的保護���,并養成資料備份的習慣
