返回列表 回復 發帖

網路攻擊與防禦

1、服務拒絕攻擊
服務拒絕攻擊企圖通過使你的服務電腦崩潰或把它壓跨來阻止你提供服務,服務拒絕攻擊是最容易實施的攻擊行為,主要包括:
死亡之ping (ping of death)
概覽:由於在早期的階段,路由器對包的最大尺寸都有限制,許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB,並且在對包的標題頭進行讀取之後,要根據該標題頭裏包含的資訊來為有效載荷生成緩衝區,當產生畸形的,聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時,就會出現記憶體分配錯誤,導致TCP/IP堆疊崩潰,致使接受方當機。
防禦:現在所有的標準TCP/IP實現都已實現對付超大尺寸的包,並且大多數防火牆能夠自動過濾這些攻擊,包括:從windows98之後的windows,NT(service pack 3之後),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外,對防火牆進行配置,阻斷ICMP以及任何未知協議,都講防止此類攻擊。
淚滴(teardrop)
概覽:淚滴攻擊利用那些在TCP/IP堆疊實現中信任IP碎片中的包的標題頭所包含的資訊來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的資訊,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。
防禦:伺服器應用最新的服務包,或者在設置防火牆時對分段進行重組,而不是轉發它們。
UDP洪水(UDP flood)
概覽:各種各樣的假冒攻擊利用簡單的TCP/IP服務,如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一臺主機,這樣就生成在兩臺主機之間的足夠多的無用數據流,如果足夠多的數據流就會導致帶寬的服務攻擊。
防禦:關掉不必要的TCP/IP服務,或者對防火牆進行配置阻斷來自Internet的請求這些服務的UDP請求。
SYN洪水(SYN flood)
概覽:一些TCP/IP棧的實現只能等待從有限數量的電腦發來的ACK消息,因為他們只有有限的記憶體緩衝區用於創建連接,如果這一緩衝區充滿了虛假連接的初始資訊,該伺服器就會對接下來的連接停止回應,直到緩衝區裏的連接企圖超時。在一些創建連接不受限制的實現裏,SYN洪水具有類似的影響。
防禦:在防火牆上過濾來自同一主機的後續連接。
未來的SYN洪水令人擔憂,由於釋放洪水的並不尋求回應,所以無法從一個簡單高容量的傳輸中鑒別出來。
Land攻擊
概覽:在Land攻擊中,一個特別打造的SYN包它的原地址和目標地址都被設置成某一個伺服器地址,此舉將導致接受伺服器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息並創建一個空連接,每一個這樣的連接都將保留直到超時掉,對Land攻擊反應不同,許多UNIX實現將崩潰,NT變的極其緩慢(大約持續五分鐘)。
防禦:打最新的補丁,或者在防火牆進行配置,將那些在外部介面上入站的含有內部源地址濾掉。(包括10域、127域、192.168域、172.16到172.31域)。
Smurf攻擊
概覽:一個簡單的smurf攻擊通過使用將回復地址設置成受害網路的廣播地址的ICMP應答請求(ping)數據包來淹沒受害主機的方式進行,最終導致該網路的所有主機都對此ICMP應答請求作出答復,導致網路阻塞,比pingof death洪水的流量高出一或兩個數量級。更加複雜的Smurf將源地址改為第三方的受害者,最終導致第三方雪崩。
防禦:為了防止駭客利用你的網路攻擊他人,關閉外部路由器或防火牆的廣播地址特性。為防止被攻擊,在防火牆上設置規則,丟棄掉ICMP包。
Fraggle攻擊
概覽:Fraggle攻擊對Smurf攻擊作了簡單的修改,使用的是UDP應答消息而非ICMP。
防禦:在防火牆上過濾掉UDP應答消息。
電子郵件炸彈
概覽:電子郵件炸彈是最古老的匿名攻擊之一,通過設置一臺機器不斷的大量的向同一地址發送電子郵件,攻擊者能夠耗盡接受者網路的帶寬。
防禦:對郵件地址進行配置,自動刪除來自同一主機的過量或重複的消息。
畸形消息攻擊
概覽:各類操作系統上的許多服務都存在此類問題,由於這些服務在處理資訊之前沒有進行適當正確的錯誤校驗,在收到畸形的資訊可能會崩潰。
防禦:打最新的服務補丁。
2、利用型攻擊
利用型攻擊是一類試圖直接對你的機器進行控制的攻擊,最常見的有三種:
口令猜測
概覽:一旦駭客識別了一臺主機而且發現了基於NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號,成功的口令猜測能提供對機器控制。
防禦:要選用難以猜測的口令,比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共範圍。如果該服務支持鎖定策略,就進行鎖定。
特洛伊木馬
概覽:特洛伊木馬是一種或是直接由一個駭客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程式。一旦安裝成功並取得管理員許可權,安裝此程式的人就可以直接遠程控制目標系統。
最有效的一種叫做後門程式,惡意程式包括:NetBus、BackOrifice和BO2k,用於控制系統的良性程式如:netcat、VNC、pcAnywhere。理想的後門程式透明運行。
防禦:避免下載可疑程式並拒絕執行,運用網路掃描軟體定期監視內部主機上的監聽TCP服務。
緩衝區溢出
概覽:由於在很多的服務程式中大意的程式員使用象strcpy(),strcat()類似的不進行有效位檢查的函數,最終可能導致惡意用戶編寫一小段利用程式來進一步打開安全豁口然後將該代碼綴在緩衝區有效載荷末尾,這樣當發生緩衝區溢出時,返回指針指向惡意代碼,這樣系統的控制權就會被奪取。
防禦:利用SafeLib、tripwire這樣的程式保護系統,或者流覽最新的安全公告不斷更新操作系統。
3、資訊收集型攻擊
資訊收集型攻擊並不對目標本身造成危害,如名所示這類攻擊被用來為進一步入侵提供有用的資訊。主要包括:掃描技術、體系結構刺探、利用資訊服務。
掃描技術
地址掃描
概覽:運用ping這樣的程式探測目標地址,對此作出回應的表示其存在。
防禦:在防火牆上過濾掉ICMP應答消息。
端口掃描
概覽:通常使用一些軟體,向大範圍的主機連接一系列的TCP端口,掃描軟體報告它成功的建立了連接的主機所開的端口。
防禦:許多防火牆能檢測到是否被掃描,並自動阻斷掃描企圖。
反響映射
概覽:駭客向主機發送虛假消息,然後根據返回“hostunreachable”這一消息特徵判斷出哪些主機是存在的。目前由於正常的掃描活動容易被防火牆偵測到,駭客轉而使用不會觸發防火牆規則的常見消息類型,這些類型包括:RESET消息、SYN-ACK消息、DNS回應包。
防禦:NAT和非路由代理伺服器能夠自動抵禦此類攻擊,也可以在防火牆上過濾“hostunreachable”ICMP應答。
慢速掃描
概覽:由於一般掃描偵測器的實現是通過監視某個時間楨裏一臺特定主機發起的連接的數目(例如每秒10次)來決定是否在被掃描,這樣駭客可以通過使用掃描速度慢一些的掃描軟體進行掃描。
防禦:通過引誘服務來對慢速掃描進行偵測。
體系結構探測
概覽:駭客使用具有已知回應類型的資料庫的自動工具,對來自目標主機的、對壞數據包傳送所作出的回應進行檢查。由於每種操作系統都有其獨特的回應方法(例NT和Solaris的TCP/IP堆疊具體實現有所不同),通過將此獨特的回應與資料庫中的已知回應進行對比,駭客經常能夠確定出目標主機所運行的操作系統。
防禦:去掉或修改各種Banner,包括操作系統和各種應用服務的,阻斷用於識別的端口擾亂對方的攻擊計畫。
利用資訊服務
DNS域轉換
概覽:DNS協議不對轉換或資訊性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。如果你維護著一臺公共的DNS伺服器,駭客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。
防禦:在防火牆處過濾掉域轉換請求。
Finger服務
概覽:駭客使用finger命令來刺探一臺finger伺服器以獲取關於該系統的用戶的資訊。
防禦:關閉finger服務並記錄嘗試連接該服務的對方IP地址,或者在防火牆上進行過濾。
LDAP服務
概覽:駭客使用LDAP協議窺探網路內部的系統和它們的用戶的資訊。
防禦:對於刺探內部網路的LDAP進行阻斷並記錄,如果在公共機器上提供LDAP服務,那麼應把LDAP伺服器放入DMZ。
4、假消息攻擊
用於攻擊目標配置不正確的消息,主要包括:DNS高速緩存污染、偽造電子郵件。
DNS高速緩存污染
概覽:由於DNS伺服器與其他名稱伺服器交換資訊的時候並不進行身份驗證,這就使得駭客可以將不正確的資訊摻進來並把用戶引向駭客自己的主機。
防禦:在防火牆上過濾入站的DNS更新,外部DNS伺服器不應能更改你的內部伺服器對內部機器的認識。
偽造電子郵件
概覽:由於SMTP並不對郵件的發送者的身份進行鑒定,因此駭客可以對你的內部客戶偽造電子郵件,聲稱是來自某個客戶認識並相信的人,並附帶上可安裝的特洛伊木馬程式,或者是一個引向惡意網站的連接。
防禦:使用PGP等安全工具並安裝電子郵件證書。
返回列表