攻击和攻击检测方法

首页-安全技术黑客技术-软件下载在线攻击闲聊论坛休闲天地关于本站|黑客类文章I I安全类文章II黑客类文章 黑客技术攻击和攻击检测方法 攻击和攻击检测方法网络安全和黑客技术攻击美国IDG Infoworid测试中心小组开发了一种可以称之为Benchmarking类型的测试基准,IWSS16。该小组收集了若干种典型且可以公开得到的攻击方法，对其进行组合，形成IWSS16。IWSS16组合了四种主要类型的攻击手段：收集信息网络攻击者经常在正式攻击之前，进行试探性的攻击，目标是获取系统有用的信息，主要手 段有PING扫描，端口扫描，帐户扫描，DNS转换等操作。获取访问权限以各种手段获取对网络和系统的特权访问，其中，包括许多故障制造攻击，例如，发送邮件 故障，远程IMAP缓冲区溢出，FTP故障，等。通过这些攻击造成的故障，暴露系统的安全 漏洞，获取访问权限。拒绝服务(Denial of Service)DoS是最不容易捕获的攻击，因为它不易留下痕迹，安全管理人员不易确定攻击来源。由于 其攻击目标是使系统瘫痪，因此，是很危险的攻击。当然，就防守一方的难度而言，拒绝服 务攻击是比较容易防御的攻击类型。这类攻击的特点是以潮水般的申请使系统在迎接不暇的 状态中崩溃；除此之外，拒绝服务攻击还可以利用操作系统的弱点，有目标地进行针对性的 攻击。逃避检测入侵者往往在攻击之后，使用各种逃避检测的手段，使其攻击的行为不留痕迹。典型的特点 是修改系统的安全审计记录。然而，魔高一尺，道高一丈，克服逃避检测已成为攻击检测技 术的发展研究方向之一。攻击检测方法检测隐藏的非法行为基于审计信息的脱机攻击检测工作，以及自动分析工具，可以向系统安全管理员报告此前一天计算机系统活动的评估报告。对攻击的实时检测系统的工作原理是基于对用户历史行为的建模以及在早期的证据或者模型 的基础。审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率 统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测，记录该用户的行为。IDES(Intrusion-Detection Expert System)，攻击检测专家系统，就是采用基于审计统 计数据的技术，它具有一些天生的弱点，因为用户的行为可以是非常复杂的，所以想要准确 匹配一个用户的历史行为和当前的行为相当困难。错发的警报往往来自对审计数据的统计算 法所基于的不准确或不贴切的假设。基于神经网络的攻击检测技术 为改进基于统计数据的技术，SRI(Stanford Research Institute，斯坦福研究所)的研究小 组利用和发展了神经网络技术来进行攻击检测。基于专家系统的攻击检测技术进行安全检测工作自动化的另一个值得重视的研究方向就是，基于专家系统的攻击检测技术, 即根据安全专家对可疑行为的分析经验来形成一套推理规则，然后在此基础上构成相应的专 家系统。专家系统可以自动进行对所涉及的攻击操作的分析工作。基于模型推理的攻击检测技术攻击者在攻击一个系统时，往往采用一定的行为程序，如猜测口令的程序，这种行为程序构 成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时 地检测出恶意的攻击企图。虽然攻击者并不一定都是恶意的。用基于模型的推理方法，人们 能够为某些行为建立特定的模型，从而，能够监视具有特定行为特征的某些活动。根据假设 的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的攻击者 和不同的系统建立特定的攻击脚本。当有证据表明某种特定的攻击模型发生时，系统应当收集其它证据来证实或者否定其攻击的 真实，既不能漏报攻击，对信息系统造成实际的损害，又要尽可能的避免错报。参考资料1刘启原，攻击检测技术漫谈，国际电子报，第35期B版，网络世界，1998年9月14日，第B16页RPC受到Snork拒绝服务攻击受影响的系统Windows NT的各个版本概要IIS的X-Force研究发现，Windows NT RPC服务在遭遇DoS攻击时，攻击者利用最小的 资源使得一台远端的NT系统达到100%的CPU使用率，并可持续任意长的时间。同时，远 端的攻击者通过迫使系统进行连续的分组反弹，从而占据较大的带宽。这种攻击与早期发现 的Smurf 和 F raggle很相似，故称之为Sno rk攻击。NT 4.0工作站和服务器均存在这种弱点。事实上，所有的NT系统，包括已经安装过服务包 SP1, SP2, SP3,甚至SP4 RC 1.99，以及安装过所有9/10/98以前的补包，均存在这种 弱点。解决的办法的信息在下面提供。建议的解决方案微软已经做了一个补包程序，专门对付Sno rk攻击。补包的信息可见于微软的安全公告牌: ur ity/bulletins/ms98-014.htm网络管理员可以在包过滤的路由器或者防火墙上，增加一条规则，以保护内部的系统，防止 来自外部的攻击：拒绝所有的这类进入的UDP包，目的端口是135,源端口是7，19,或者135。大多数防 火墙或者包过滤器已经设置了很多严格的规则，已覆盖了这条过滤规则，已具备预防来自外 部的Snork攻击的能力。这些防火墙过滤所有的通向UDP端口 135的进入包。然而，有一 些NT的应用程序，它们依靠UDP135端口进行合法的通讯。在这种情况下，建议你安装微 软的补包。网络攻击检测系统的管理员，包括ISS的RealSecure，可以立即检测到所管辖网络域的 Sno rk攻击，只要加入一条过滤规则，来检测具有如下特征的网络活动：Name: SnorkPr otocol: UDPSource Addr ess: AnySource Port: 135 (additional ru les for ports 7 & 19 if desi red)Destination Addr ess: AnyDestination Port: 135在你的网络上，也许有第三方软件需要使用UDP135 口与NT的RPC服务进行通讯。如果真 是这样，你一定要在那些原始地址的系统上（需要135 口通讯），实施上述的规则，指定来自 这些系统的通讯可以通过防火墙，或者，可以被攻击检测系统所忽略，以便维持那些应用程序的正常连接。描述 在X-Force实验室的测试中，一个单一的UDP包有能力占据NT系统CPU利用率的100%, 时间长达5-120秒。进行低带宽连续性的这种攻击，将导致无限期的CPU100%被占有率。 这种攻击创建UDP广播包，使它们在一个网络上的所有NT系统之间进行连续不断的包反弹, 从而耗尽网络的带宽。在一个小网络上，这种攻击可迅速耗尽所有的可用带宽。在一个空闲 的网络上，任意两台空闲的NT系统之间的带宽消耗比率，大约是，224/RTT(round-trip time)，在一个10Mbps的以太网上，这个比率可翻译大约3.4Mbps的流量。增加系统的个 数，会增加网络流量，冲突会发生，丢包也会发生，被这种攻击所占用的网络带宽回迅速地 达到100%。IE读出本地文件受影响的版本Mic rosoft Inte rnet Expl orer 4.0, 4.01, 4.01 SP1 for Windows NT 4.0, Windows 95 Mic rosoft Windows 98, with Inte rnet Expl orer 4.01 SP1Microsoft Internet Explorer 4.0, 4.01 for Windows 3.1, Windows NT 3.51, MacintoshMier osoft Inte rnet Expl orer 3.x描述在Internet Explorer 3, 4.0, 4.01中存在一个Bug，允许特别设计的Web网页读出浏览者计算机上的文本文件或者HTML文件，并且把这些文件发送到指定主机，甚至可以穿越用 户端的防火墙。这个Bug使用JavaScript进行编程，并且事先知道文件名和存储位置。另 外，这个Bug还允许把特别设计的消息发送给某个Outlook Express或IE4用户。根据微软的安全公告板，它允许一名恶意的黑客绕过IE的安全保卫，使恶意的Web站点操 作员能够读出你的电脑上的文件内容。微软称这个Bug为交叉帧导航问题(Cross FrameNavigate Vulnerability)。NTS也详细报告了这个问题，并且给出了检查 mshtm.dll文件是否被感染的详细操作步骤。下面的代码是一个简单的例子，Georgi Guninski发布于NTBugTraq。Read text/HTML file with Inte rnet Expl orer 4.01This demonst rates a bug in IE 4.01 unde r Windows 95 (dont know for othe r ver sions), which allows r eading text or HTML file on the use rs machine.Create the file c:test.txt and its contents are shown in a message box. The file may be sent to an ar bit rary server even if behind a fir ewall.To test it, you need Javasc ript enabled.This file is cr eated by Geo rgi Guninski.alert(This page demonst rates r eading the file C:test.txt (you may need to create a short file to view it);var x=window.open(file:/C:/test.txt);x.navigate(javasc ript:eval(va ra=window.open(file:/C:/test.txt); r=a.document.body.inne rText;ale rt( r););解决方法微软于1998年9月4日发布了补包以解决这个问题。这些补包可以从微软站点下载。微软强烈建议受影响的用户(列在受影响的版本中)，应该尽早地下载并且安装这些补包。对于IE4.XX,这些用户应该从IE的安全站点下载补包， ur ity/xframe.htmWindows 98的用户可以通过使用Windows Update的功能来获得补包。对于IE3的用户，首先应该升级到IE最近的版本，然后再安装IE4的补包。升级信息详见于 Internet Explorer 的下载站点 详细信息可见于：微软的安全布告 Internet Explorer 的安全站点 微软知识库文章Q168485 or t/kb/a rticles/q168/4/85.aspIIS 4.0中的可执行目录受影响的版本Inte rnet Infor mation Server 4.0摘要如果一个非管理员的用户把可执行的代码放到一个Web站点上的允许文件执行的目录，则那 个用户可以运行某种应用程序，损害那台Web服务器。解决建议管理员应该验证所有的虚拟HTTP服务器上的已被标成可执行的目录的访问权限。详见下面 建议的安全权限。由于服务器允许在本地执行代码，所有的安全补包应该安装到HTTP服务器上，至少可以防 止来自本地的攻击。详细信息见于描述下列目录在安装IIS 4.0时，已被缺省地标志成可执行：/W3SVC/1/R00T/msadc/W3SVC/1/R00T/News/W3SVC/1/ROOT/Mail/W3SVC/1/R00T/cgi-bin/W3SVC/1/ROOT/SCRIPTS/W3SVC/1/R00T/IISADMPWD/W3SVC/1/R00T/_vti_bin/W3SVC/1/R00T/_vti_bin/_vti_adm/W3SVC/1/R00T/_vti_bin/_vti_aut按缺省安装IIS后，下列的物理驱动器被映像为：msadc c:p rogram filescommonsystemmsadcNews c:InetPubNewsMail c:InetPubMailcgi-bin c:InetPubwww ro otcgi-binSCRIPTS c:InetPubsc riptsIISADMPWD C:WINNTSystem32inets rviisadmpwd_vti_bin Not pr esent by default - installed with Fro ntPage extensions要访问这些物理目录，可以通过这些方法进行：目录共享，远程命令(如rcmd, telnet,remote.exe等)，HTTP PUT命令，或者FrontPage。所有这些方法在缺省安装时是没有的, 它们通常都是由管理员后来加上的。缺省的NTFS权限是非常开放的，缺省地，允许Everyone 组具有change控制(RWXD)的权限，除了 msadc对Everyone有完全控制的权限例外。 由于这些目录的敏感特性，这里建议的是，它们的NTFS访问权限应该是：Administrator, LocalSystem: Full Control （完全控制）Everyone: Special Access（X）（特别访问）管理员应该严格检查所有能够访问文件系统的路径，对所有那些允许文件执行的Web目录保 持警觉。另外，如果一个用户被授权允许管理他自己的站点，他们可能有权利设置一个目录 为可执行。这时，管理员应该只允许那些允许的文件类型可以复制到真正的Web站点。原作者：不明来源：不明共有12位读者阅读过此文【告诉好友】上篇文章：网络安全检测思路下篇文章：袭击网站16岁少年黑客面临指控1破解OICQ的密码算法326Fir eWall因协议设计而存在的缺陷（下）2黑客攻击步骤-如何获得IP 248Fir eWall因协议设计而存在的缺陷（上）3黑客初步技术230DOS下常用网络相关命令解释4黑客实用技巧两则171NET命令的基本用法5网络入侵简介143常用的网络相关命令6通过两个漏洞的结合只需要不到10秒钟130保持在主机上的权限7很酷的一篇入侵分析126用perl编写CGI过程中的安全问题