第7章-黑客攻击和防范技术

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,单击此处编辑母版标题样式,7.3,常见攻击方式与防御方法,7.3,常见攻击方式与防御方法,拒绝服务（DoS）攻击是目前最主要的一种黑客攻击类型，它的最终目的不是破坏系统，也不窃取目标用户的信息，而是让目标用户的系统资源消耗殆尽，从而使目标用户系统崩溃。,在这一攻击原理下，它又派生出了许多种不同的攻击方式,1死亡之Ping（Ping of Death）攻击,2泪滴（Teardrop）攻击,3TCP SYN洪水（TCP SYN Flood）攻击,4分片IP报文攻击,5Land攻击,6Smurf攻击,7.3,常见攻击方式与防御方法,1死亡之Ping（Ping of Death）攻击,不断地通过Ping命令向攻击目标发送超过64 KB的数据包，使目标计算机的TCP/IP堆栈崩溃，致使接收方死机。,防御方法：判断是否存在这种攻击的方法只需判断数据包的大小是否大于65 535字节。反攻击的方法是使用新的补丁程序，当收到大于65 535字节的数据包时，丢弃该数据包，并进行系统审计。现在所有的标准TCP/IP协议都已具有对付超过64 KB大小的数据包的处理能力，并且大多数防火墙能够通过对数据包中的信息和时间间隔的分析，自动过滤这些攻击。,7.3,常见攻击方式与防御方法,2,泪滴（,Teardrop,）攻击,黑客们在截取,IP,数据包后，把偏移字段设置成不正确的值，这样接收端在收到这些分拆的数据包后，就不能按数据包中的偏移字段值正确组合这些拆分的数据包，但接收端会不断尝试，这样就可能致使目标计算机操作系统因资源耗尽而崩溃。泪滴攻击利用修改在,TCP/IP,堆栈中,IP,碎片的包的标题头，所包含的信息来实现自己的攻击。,防御方法：检测这类攻击的方法是对接收到的分片数据包进行分析，计算数据包的片偏移量（,Offset,）是否有误。反攻击的方法是添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。尽可能采用最新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采用的规则。,7.3,常见攻击方式与防御方法,3,TCP SYN,洪水（,TCP SYN Flood,）攻击,TCP/IP,栈只能等待有限数量的,ACK,（应答）消息，因为每台计算机用于创建,TCP/IP,连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。,防御方法：这类攻击的检测方法可以检查单位时间内收到的,SYN,连接是否收到超过系统设定的值。反攻击的方法是当接收到大量的,SYN,数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计；在防火墙上过滤来自同一主机的后续连接。不过“,SYN,洪水攻击”还是非常令人担忧的，由于此类攻击并不寻求响应，所以无法从一个简单的高容量的传输中鉴别,出来。,7.3,常见攻击方式与防御方法,4,分片,IP,报文攻击,攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能相应正常的,IP,报文，这也是一种,DoS,攻击,防御方法：对于这种攻击方式，目前还没有一种十分有效的防御方法。对一些包过滤设备或者入侵检测系统来说，首先是通过判断目的端口号来采取允许,/,禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片中，因此包过滤设备通过判断第一个分片，决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。当然，目前一些智能的包过滤设备可直接丢掉报头中未包含端口信息的分片，但这样的设备目前价格仍比较高，不是每个企业都能承受得,起的。,7.3,常见攻击方式与防御方法,5,Land,攻击,这类攻击中的数据包源地址和目标地址是相同的，当操作系统接收到这类数据包时，不知道该如何处理，或者循环发送和接收该数据包，这样会消耗大量的系统资源，从而有可能造成系统崩溃或死机。,防御方法：这类攻击的检测方法相对来说比较容易，因为可以直接通过判断网络数据包的源地址和目标地址是否相同确认是否属于攻击行为。反攻击的方法当然是适当地配置防火墙设备或制定包过滤路由器的包过滤规则，并对这种攻击进行审计，记录事件发生的时间、源主机和目标主机的,MAC,地址和,IP,地址，从而可以有效地分析并跟踪攻击者的来源。,7.3,常见攻击方式与防御方法,6,Smurf,攻击,这是一种由有趣的卡通人物而得名的拒绝服务攻击。,Smurf,攻击利用了多数路由器中具有的同时向许多计算机广播请求的功能。攻击者伪造一个合法的,IP,地址，然后由网络上所有的路由器广播要求向受攻击计算机地址作出回答的请求。由于这些数据包从表面上看是来自已知地址的合法请求，因此网络中的所有系统向这个地址作出回答，最终结果可导致该网络中的所有主机都对此,ICMP,应答请求作出答复，导致网络阻塞，这也就达到了黑客们追求的目的了。这种,Smurf,攻击比起前面介绍的“,Ping of Death”,和“,SYN,洪水”的流量高出一至两个数量级，更容易攻击成功。还有些新型的,Smurf,攻击，将源地址改为第三方的受害者（不再采用伪装的,IP,地址），最终导致第,3,方雪崩。,防御方法：关闭外部路由器或防火墙的广播地址特性，并在防火墙上设置规则，丢弃掉,ICMP,协议类型的数据包。,7.3,常见攻击方式与防御方法,7.3.2其他攻击方式的行为特征与防御方法,1利用型攻击,（1）口令猜测攻击,a）社会工程学,b）猜测攻击,c）字典攻击,d）穷举法攻击,e）混合攻击,f）直接破解系统口令文件,g）网络嗅探,h）键盘记录,其他攻击方式，如中间人攻击、重放攻击、生日攻击、时间攻击。避免以上几类攻击的对策还要加强用户安全意识，采用安全的密码系统，注意系统安全，避免感染间谍软件、木马等恶意程序。,7.3,常见攻击方式与防御方法,（,2,）特洛伊木马攻击,特洛伊木马也就是常说的木马程序，它可以通过一个不令人起疑的用户账户，秘密安装到目标系统中，属于“后门程序”类型。,这类木马程序非常之多，如,NetBus,、,BackOrifice,、,BO2k,、,netcat,和,VNC,等。,防御方法：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听,TCP,服务，当然专业的木马查杀软件也是必不可少的。,7.3,常见攻击方式与防御方法,（3）缓冲区溢出攻击,通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令。如果这些指令是放在有Root权限的内存中，那么一旦这些指令得到了运行，黑客就以Root权限控制了系统，达到入侵的目的,防御方法：一，必须及时发现缓冲区溢出这类漏洞。,二，程序指针完整性检查。在程序指针被引用之前检测它是否改变。,三，数组边界检查。,7.3,常见攻击方式与防御方法,2,信息收集型攻击,信息收集型攻击并不对目标本身造成危害，只是收集用户信息。这类攻击技术主要包括：地址（或端口、信息）扫描技术、体系结构刺探和反响映射技术等。,（,1,）地址扫描,（,2,）端口扫描,（,3,）源,IP,地址欺骗,（,4,）反响映射,（,5,）体系结构刺探,（,6,）利用信息服务对,DNS,域进行转换,（,7,）,Finger,服务,7.3,常见攻击方式与防御方法,2,信息收集型攻击,（,1,）地址扫描,运用像,IP,地址扫描器、,IPScaner,、,MAC,地址扫描系统等常见的简单工具探测目标地址，依据目标计算机对此作出的响应来判断其是否存在，然后就可以进一步明确攻击对象。,防御方法：在防火墙上过滤掉,ICMP,应答消息。,7.3,常见攻击方式与防御方法,2,信息收集型攻击,（,2,）端口扫描,通常使用一些像,Port Scanner,、,ScanPort,、端口扫描器等工具软件，在大范围内对当前网络连接的主机,TCP,端口进行扫描，然后报告成功建立了连接的主机所开的端口。黑客们再利用这些开放的端口实施有针对性的攻击。,防御方法：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。,7.3,常见攻击方式与防御方法,2,信息收集型攻击,（,3,）源,IP,地址欺骗,许多应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源,IP,地址一定是有效的，而这正是使源,IP,地址欺骗攻击成为可能的前提。,防御方法：,一，抛弃基于地址的信任策略。,二，使用加密方法。,三，进行包过滤。,7.3,常见攻击方式与防御方法,2,信息收集型攻击,（,4,）反响映射,黑客向主机发送虚假消息，然后根据返回的“,host unreachable”,这一消息特征判断出哪些主机是存在的。这其实与前面介绍的地址扫描技术差不多。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：,RESET,消息、,SYN-ACK,消息和,DNS,响应包。,防御方法：使用,NAT,和非路由代理服务器技术能够自动抵御此类攻击，也可以在防火墙上过滤“,host unreachable”ICMP,应答。,7.3,常见攻击方式与防御方法,2,信息收集型攻击,（,5,）体系结构刺探,黑客使用具有已知响应类型的数据库的自动工具，对目标主机和坏的数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法，通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。,防御方法：去掉或修改各种,Banner,（标题信息），包括操作系统和各种应用服务的阻断用于识别的端口，扰乱对方的攻击计划。,7.3,常见攻击方式与防御方法,2,信息收集型攻击,（,6,）利用信息服务对,DNS,域进行转换,DNS,协议不对转换或信息更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的,DNS,服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称及内部,IP,地址。,防御方法：在防火墙处过滤掉域转换请求。,7.3,常见攻击方式与防御方法,2,信息收集型攻击,（,7,）,Finger,服务,黑客使用,Finger,命令来刺探一台,Finger,服务器以获取该系统的用户的信息。,防御方法：关闭,Finger,服务并记录尝试连接该服务的对方,IP,地址，或者在防火墙上进行过滤。,7.3,常见攻击方式与防御方法,3,假消息攻击,用于攻击目标配置，发送不正确的消息，主要包括：,DNS,高速缓存污染、伪造电子邮件。,（,1,）,DNS,高速缓存污染,由于在,DNS,服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来，并把用户引向黑客自己的主机。,防御方法：在防火墙上过滤入站的,DNS,更新，拒绝外部,DNS,服务器更改内部服务器对内部机器的识别方法。,（,2,）伪造电子邮件,由于,SMTP,协议并不对邮件发送者的身份进行鉴定，因此黑客可以对内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。,防御方法：使用,PGP,等安全加密工具对邮件进行加密和数字签名，或者安装公共个人用户证书，可以防止黑客浏览或篡改邮件内容和签名。,7.3,常见攻击方式与防御方法,1,企业网管理员常用的策略,在主机的设置,关闭不必要的服务。,限制同时打开的,SYN,半连接数目。,缩短,SYN,半连接的,time out,时间。,及时更新系统补丁。,在防火墙上可以进行如下策略设置