精华内容
下载资源
问答
  • 网络攻击

    2016-10-14 13:52:40
    、分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力。

    1. DDOS

    分布式拒绝服务攻击;

    使目标服务器无法再为客户端请求提供服务。、

    分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动 DDoS 攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将 DDoS 主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术(B/S),主控程序能在几秒钟内激活成百上千次代理程序的运行。

    主控程序(1个) ⇒ 代理程序(大量) ⇒ 网络上的其他计算机(许多)⇒ 发出攻击

    2. 网络劫持与DNS劫持

    DNS 劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求(DNS 毕竟是域名解析服务器),分析请求的域名,把审查范围以外的请求放行,否则返回假的 IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址。

    展开全文
  • 网络安全第五讲 网络攻击技术分析

    万次阅读 多人点赞 2020-10-24 17:06:30
    网络信息安全第五讲 网络攻击技术分析 按照攻击目的,可将攻击分为破坏型和入侵型两种类型。 破坏型攻击以破坏目标为目的,但攻击者不能随意控制目标的系统资源。 入侵型攻击以控制目标为目的,比破坏型攻击威胁更...

    网络信息安全第五讲 网络攻击技术分析

    • 按照攻击目的,可将攻击分为破坏型入侵型两种类型。
    • 破坏型攻击以破坏目标为目的,但攻击者不能随意控制目标的系统资源。
    • 入侵型攻击以控制目标为目的,比破坏型攻击威胁更大,常见的攻击类型多为入侵型攻击。
    • 攻击主要内容

    在这里插入图片描述

    一 网络信息采集

    • 入侵者一般首先通过网络扫描技术进行网络信息采集,获取网络拓扑结构、发现网络漏洞、探查主机基本情况端口开放程度,为实施攻击提供必要的信息。
    • 网络信息采集有多种途径,既可以使用诸如ping、whois等网络测试命令实现,也可以通过漏洞扫描、端口扫描网络窃听工具实现。

    1.常用信息采集命令

    • Ping命令:用于确定本地主机是否能与远程主机交换数据包,通过向目标主机发送ICMP(internet control message protocol,Internet控制报文协议)回应请求来测试目标的可达性。使用ping命令能够察看网络中有哪些主机接入Internet;测试目标主机的计算机名和IP地址;计算到达目标网络所经过的路由数;获得该网段的网络拓扑信息。
    • 推算数据包通过的路由器数:例如,返回TTL值为119,可以推算出TTL初值为128,源地址到目标地址要通过128-119=9个路由器。
    • host命令:host命令是Linux、Unix系统提供的有关Internet域名查询的命令。可以从域中的DNS(domain name server,域名服务器)服务器获得所在域内主机的相关资料,实现主机名到IP地址的映射,得知域中邮件服务器的信息。
    • Traceroute命令:Traceroute命令用于路由跟踪,判断从本地主机到目标主机经过哪些路由器、跳计数、响应时间等。Traceroute程序跟踪的路径是源主机到目的主机的一条路径,但是,不能保证或认为数据包总是遵循这个路径。
    • Nbtstat命令:nbtstat(NBT statistics,NBT统计信息,其中NBT为NetBIOS over TCP/IP)命令是Windows命令,用于查看当前基于网络基本输入输出系统NetBIOS(network basic input output system)的TCP/IP连接状态。通过该工具可以获得远程或本地机器的组名和机器名
    • Net命令:用于检验和核查计算机之间NetBIOS连接的net viewnet use两个命令可能被攻击者利用,来查看局域网内部情况和局域网内部的漏洞。
    • Finger命令:用来查询用户的信息,通常会显示系统中某个用户的用户名、主目录、闲滞时间、登录时间、登录shell等信息。
    • Whois命令:Whois命令是一种Internet的目录服务命令,它提供了在Internet上的一台主机或某个域所有者的信息,包括:管理员姓名、通信地址、电话号码、Email信息、Primary和Secondary域名服务器信息等。
    • Nslookup命令:在Internet中存在许多免费的nslookup服务器,它们提供域名到IP地址的映射服务和IP地址到域名的映射等有关网络信息的服务。通过nslookup攻击者可以在whois命令的基础上获得更多目标网络信息。

    2.漏洞扫描

    • 漏洞是指系统硬件操作系统软件网络协议数据库等在设计上和实现上出现的可以被攻击者利用的错误、缺陷和疏漏。
    • 漏洞扫描程序是用来检测远程或本地主机安全漏洞的工具。
    • 针对扫描对象的不同,漏洞扫描又可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及无线网络扫描等。
    • 计算机系统漏洞:Windows NT IIS 4.0的ISAPI DLL对输入的URL未做适当的边界检查,如果构造一个超长的URL,可以溢出IIS (inetinfo.exe)的缓冲区,执行我们指定的代码。由于inetinfo.exe是以local system身份启动,溢出后可以直接得到管理员权限。
    • 堆栈指纹扫描:不同操作系统在网络协议上存在差异,可以通过总结操作系统之间的这种差异,编写测试脚本,向目标系统的端口发送各种特殊的数据包,并根据系统对数据包回应的差别来判定目标系统及相关服务。这种利用TCP/IP协议识别不同操作系统和服务种类的技术称为堆栈指纹扫描技术。
    • 常用堆栈指纹扫描技术
      在这里插入图片描述
    1. ICMP错误消息抑制机制:在RFC1812关于IPv4路由的规定中,对ICMP的错误类型信息的发送频率作了限制,不同操作系统对这种限制的策略不同。攻击者可以向某个随机的高端UDP端口发送成批的数据包,并计算接收到的目标不可达数据包的数量,来判断操作系统类别。这种探测操作系统的方法需要的时间较长,并且对网络性能会造成一定的影响。
    2. ICMP错误消息引用机制:对于端口不可达信息,几乎所有操作系统都使用了规范的ICMP错误信息格式,即回送一个IP请求头加8字节长度的包,Solaris和Linux返回的数据包大于这个长度。据此可猜测目标主机是否使用Linux或Solaris操作系统。
    3. ICMP错误消息回文完整性:当返回端口不可达数据包时,某些操作系统在初始化处理过程中会弄乱返回数据包的包头,这样接收到的数据包中会出现不正常的数据。由于TTL值的改变导致校验和需要修改时,AIX、FreeBSD等操作系统将返回不正确的校验和或设置校验和为0。
    4. FIN探查:FIN探查不遵循完整的三次握手连接,而是直接向目标端口发送一个带有FIN标记的TCP数据包。根据RFC793中的TCP连接状态图(事件处理) :当处于关闭、监听、请求同步状态时,如果接收到FIN数据包,则丢弃该包并返回原状态。但MS Windows、BSDi、HP-UX、MVS、IRIX等操作系统并不遵守这个规定,而会使用RESET响应这个FIN数据包。据此,可粗略推断目标主机使用的操作系统类别。
    5. TCP ISN采样:TCP初始序列号ISN(initial sequence numbe)采样是利用TCP协议中初始序列号长度与特定的操作系统相匹配的方法。较早的Unix版本在处理TCP协议时,初始序列号长度为64K;Solaris、IRIX、FreeBSD、DigitalUnix、Cray等操作系统,则使用随机增长的长度;Windows操作系统的序列号长度使用依赖时间的模型,使ISN在每个时间周期递增一个小的固定数值;有一些设备则使用固定的常数,如3Com的集线器使用常数0x803H,Apple LaserWriter打印机使用常数0xc7001。有经验的攻击者甚至可以通过计算有关序列号的函数,来进一步识别操作系统类别。
    6. TCP初始窗口:TCP使用滑动窗口为两台主机间传送缓冲数据。每台主机支持两个滑动窗口,一个接收数据,另一个发送数据。窗口尺寸表示计算机可以缓冲的数据量大小。通过在初始化三次握手后检查返回的TCP包窗口大小和改变大小的规律,可识别某些操作系统的类型。
    7. TCP选项: 并不是所有的操作系统都支持TCP包中的所有选项,可以设计TCP包内容和类型,探测目标操作系统类别。可以向目标主机发送带有可选项标记的数据包,如果操作系统支持这些选项,会在返回包中也设置这些标记。使用TCP选项方法,可以一次在数据包中设置多个可选项,增加探测的准确度,节约探测时间。
    8. MSS选项:根据RFC793有关TCP头格式的资料,MSS(maximum segment size最大数据段大小)规定了发送方可以接收的最大的TCP分片。但不同的操作系统的MSS值略有不同,绝大多数系统使用1460大小的MSS,NOVELL使用的是1368,而部分FreeBSD的版本使用512大小的MSS。
    9. IP协议包头不可分片位:IP协议包头内有一段3位的标志位,其中第一个控制位指定数据包是否被分片。根据RFC1191,当使用路径MTU(maximum transmission unit,最大传输单元)发现技术查询PMTU(path MTU),以确定传输路径上的最小MTU时,所有TCP数据包必须设置DF位(don’t fragment不可分片),但FreeBSD 5.0-CURRENT版本存在缺陷,在SYN-ACK包中没有设置DF位,攻击者可以通过连接服务器并截获网络通信数据判别是否是FreeBSD 5.0-CURRENT系统。
    10. 服务类型TOS:IP包头有8位服务类型字段,用来规定数据包的处理方式,其中包括3位的优先域(precedence field),用来指定IP数据包的8个优先级别;4位的服务类型域(type of service),用来描述网络在路由IP数据包时如何平衡吞吐率、延时、可靠性和代价;和MBZ(must be zero)域。当一个MBZ为1的ICMP请求数据包到达目标主机时,FreeBSD 4.1.1送回的应答数据包中MBZ为1,而Windows 2000 Pro送回的应答数据包中MBZ为0。

    3.端口扫描

    • 计算机的端口是输入/输出设备和CPU之间进行数据传输的通道。
    • 通过端口扫描,可以发现打开或正在监听的端口,一个打开的端口就是一个潜在的入侵通道。
    • 每一台计算机都有65536个端口可供使用。
    • 前1024个端口被作为系统处理的端口而保留 ,并向外界的请求提供众所周知的服务,所以这些端口被攻击者视为重点检查对象,以减少扫描范围,缩短扫描时间。
    1. TCP端口扫描:向目标主机的指定端口建立一个TCP全连接过程,即完成三次握手过程,从而确定目标端口是否已激活或正在监听。这是一种最基本的,也是最简单的扫描方式。但通常也会留下日志,易被发现
    2. TCP SYN扫描:向目标端口发送一个SYN数据包,如果应答是RST,说明端口是关闭的;如果应答中包含SYN和ACK,说明目标端口处于监听状态。使用SYN扫描并不完成三次握手过程,所以这种技术通常被称为半连接扫描。由于很少有站点会记录这种连接,所以SYN扫描也被称为半公开或秘密扫描
    3. TCP FIN扫描:对于一些操作系统,当FIN数据包到达一个关闭的端口时,会返回一个RST数据包;当端口开放时,这种数据包被忽略,不作任何应答,从而可以判断端口状态。防火墙和包过滤器会监视SYN数据包,而使用FIN数据包有时能够穿过防火墙和包过滤器,所以,这种方法较SYN扫描更为隐蔽
    4. NULL扫描:发送一个没有任何标志的TCP包到目标端口,称为NULL扫描。根据RFC 793中的连接状态图和规定,如果目标端口是关闭状态,应该返回一个RST数据包。
    5. Xmas tree扫描(圣诞树扫描):向目标端口发送一个标记为FIN、URG和PUSH数据包。根据RFC793,如果目端口是关闭状态,那么应该返回一个RST数据包。
    6. UDP扫描:按照UDP协议,当UDP数据包到达目标端口时,无论该端口是否开放,目标主机都不作任何应答,即打开的端口不会回送确认数据包、关闭的端口不会回送错误数据包。这给UDP扫描带来一定困难,但是,当数据包到达一个关闭的端口时,大部分主机会返回一个ICMP_PORT_UNREACH的错误信息数据包,据此可以判定该端口是关闭的,除此之外的其他端口是打开的。

    4.网络窃听

    在这里插入图片描述

    • 无线网络通信安全:无线网络通信相对于有线网络通信有更多的漏洞,由于无线网络固有的特点和无线网络技术本身的不成熟,如加密机制不完善缺乏数据保护安全认证机制,使得对于无线网络的探测更为简单。现有的工具,如:Network Associates公司的SnifferAirsnortWEPCrack等都可以用来实现对无线网络的网络监控和窃听。

    5.典型信息采集工具

    • nmap扫描器:nmap是当前最流行的扫描器之一,能够在全网络范围内实现ping扫描、端口扫描和操作系统检测。nmap使用操作系统堆栈指纹技术。nmap可以准确地扫描主流操作系统,还可以扫描路由器和拨号设备,还可以绕过防火墙。
    • Axcet NetRecon扫描器:能够发现、分析、报告网络的各种设备,检测它们存在的漏洞。能够扫描多种操作系统,包括Unix、Linux、Windows以及NetWare等。提供对服务器、防火墙、路由器、集线器、交换机、DNS服务器、网络打印机、Web服务器以及其他网络服务设备的测试。通过模拟入侵或攻击行为,找出并报告网络弱点,提出建议和修正措施。
    • ping Pro扫描器:以图形方式实现了大多数命令行程序功能,为网络扫描提供了方便。ping Pro可以侦查出网络上开启的端口,通过监测远程过程调用服务所使用的TCP、UDP135端口和网络会话所使用的UDP137、138和139端口来实现扫描。ping Pro只能工作在其所在网段上。
    • ISS Internet Scanner扫描器:ISS Internet Scanner可以跨网段扫描远程主机,可以检查出内部网、防火墙、Web服务器或某台主机所存在的漏洞和潜在的攻击威胁。ISS Ineternet Scanner工作于Unix和NT平台,分为三个模块:内部网、防火墙和Web服务器,可以针对不同的扫描对象制定不同的扫描方案,从而更直接的发现重要设备中潜在的隐患,在不同的模块中,用户还可以进一步定义自己的扫描参数。

    二 拒绝服务攻击

    • 拒绝服务DoS(denial of service)攻击是常用的一种攻击方式。DoS通过抢占目标主机系统资源使系统过载或崩溃,破坏和拒绝合法用户对网络、服务器等资源的访问,达到阻止合法用户使用系统的目的。
    • DoS属于破坏型攻击。*DoS对目标系统本身的破坏性并不是很大,但影响了正常的工作和生活秩序,间接损失严重,社会效应恶劣。

    1.基本的拒绝服务攻击

    • 当一个授权实体不能获得对网络资源的访问或当访问操作被严重推迟时,就称为DoS。DoS可能由网络部件的物理损坏引起,也可能由网络负荷超载所引起,还可能由不正确的使用网络协议而引起。DoS攻击有两种基本形式:目标资源匮乏型网络带宽消耗型
    • 目标资源匮乏型攻击又可分为服务过载消息流两种。
    • 服务过载指的是向目标主机的服务守护进程发送大量的服务,造成目标主机服务进程发生服务过载,拒绝向合法用户的正常使用要求提供应有的服务。
    • 消息流指攻击者向目标主机发送大量的畸形数据包,使得目标主机在重组数据包过程中发生错误,从而延缓目标主机的处理速度,阻止处理正常的事务,严重时可以造成目标主机死机。
    • 网络带宽消耗型攻击的目标是整个网络,攻击使目标网络中充斥着大量无用的、假的数据包,而使正常的数据包得不到正常的处理。
    • 拒绝服务攻击发生时的特点
    1. 消耗系统或网络资源,使系统过载或崩溃。
    2. 难以辨别真假。
    3. 使用不应存在的非法数据包来达到拒绝服务攻击的目的。
    4. 有大量的数据包来自相同的源。

    2.分布式拒绝服务攻击

    • 分布式拒绝服务DDoS(Distributed Denial of Service)攻击是一种基于DoS的特殊形式的拒绝服务攻击。是分布式的、协作的大规模攻击方式,较DoS具有更大的破坏性。
    • 分布式拒绝服务攻击的步骤:要构建DDoS攻击体系,集合众多的傀儡机进行协同工作,与入侵单台主机相比DDoS攻击要复杂得多。进行DDoS攻击的基本步骤如下:
      1. 搜集目标情况
      2. 占领傀儡机
      3. 实施攻击

    三 漏洞攻击

    • 由于应用软件和操作系统的复杂性和多样性,使得在网络信息系统的软件中存在着不易被发现的安全漏洞;现有网络技术本身存在着许多不安全性,如TCP/IP协议在设计初期并没有考虑安全性问题,其本身就有许多不完善之处。对于网络设计和管理人员而言,不合理的网络拓扑结构和不严谨的网络配置,都将不可避免的造成网络中的漏洞。对于一个复杂系统而言,漏洞的存在是不可避免的。

    1.配置漏洞攻击

    • 配置漏洞可分为系统配置漏洞网络结构配置漏洞
    • 系统配置漏洞多源于管理员的疏漏,如:共享文件配置漏洞、服务器参数配置漏洞等。
    • 网络结构配置漏洞多与网络拓扑结构有关,例如:将重要的服务设备与一般用户设备设置与同一网段,为攻击者提供了更多的可乘之机,埋下了安全隐患。
    1. 默认配置漏洞:操作系统和服务应用程序在安装时使用默认的设置,虽然方便了系统的安装过程,但默认参数实际上为攻击者留下了后门。如默认用户名和口令、默认端口和默认服务,通常都是首选的突破口和入侵点。默认的目录路径则为攻击者查找机要文件,放置后门程序提供了方便。
    2. 共享文件配置漏洞:大部分操作系统都提供了文件共享机制,方便网络资源的共享。但是共享配置不当就会暴露重要文件,攻击者能够轻易的获得机密资料。
    3. 匿名FTP:匿名FTP网络服务允许任何网络用户通过FTP访问服务器系统上指定的资源,但不适当的FTP配置,将会造成服务器系统非授权资源的泄漏。一般的匿名FTP的权限都是只读权限,即不允许匿名用户在服务器上创建文件和目录。否则,攻击者可很容易的放置木马程序,设置系统后门,为进一步的攻击提供便捷。
    4. wu-ftpd:作为FTP服务程序的wu-ftpd(Washington university FTP server daemon,华盛顿大学FTP服务器守护程序)中存在的漏洞,可以使攻击者由系统的任何账号获得root权限。

    2.协议漏洞攻击

    • Internet上现有的大部分协议在设计之初并没有考虑安全因素,使得攻击者可以利用协议固有的漏洞对目标进行攻击。操作系统在设计处理TCP/IP协议时,并没有预计到要处理非法数据包,当这种不应存在的特殊数据包出现时,许多系统会发生处理速度缓慢、停止响应和系统崩溃等不正常现象。
    1. SYN Flood攻击:SYN Flood攻击利用的是TCP协议的设计漏洞。假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的。在这种情况下服务器端会重试,再次发送SYN+ACK给客户端,并等待一段时间,判定无法建立连接后,丢弃这个未完成的连接。这段等待时间称为SYN中止时间(Timeout),一般为30秒–2分钟。如果攻击者大量模拟这种情况,服务器端为了维护非常大的半连接列表就会消耗非常多的资源。此时从正常客户的角度来看,服务器已经丧失了对正常访问的响应,这便是SYN Flood攻击的机理。
    2. 循环攻击(UDP flood攻击):循环攻击利用的是UDP协议漏洞。

    在这里插入图片描述

    1. Land攻击:Land攻击的特征是IP协议中IP源地址和目标地址相同。操作系统如Window NT不知道该如何处理这种情况,就可能造成死机。
      在这里插入图片描述

    2. Smurf攻击:IP协议规定主机号为全1的地址为该网段的广播地址,路由器会把这样的数据包广播给该网络上的所有主机。Smurf攻击利用了广播数据包,可以将一个数据包“放大”为多个。攻击者伪装某源地址向一个网络广播地址发送一组ICMP回应请求数据包,这些数据包被转发到目标子网的所有主机上。由于Smurf攻击发出的是ICMP回应请求,因此所有接收到该广播包的主机将向被伪装的源地址发回ICMP回应应答。攻击者通过几百个数据包就可以产生成千上万的数据包,这样不仅可以造成目标主机的拒绝服务,而且还会使目标子网的网络本身也遭到DoS攻击。

    3. WinNuke攻击:操作系统在设计处理TCP数据包时,都严格遵循了TCP状态机,但遇到不符合状态机的数据包时,若不知所措,就可能造成死机。WinNuke攻击首先发送一个设置了URG标志的TCP数据包,当操作系统接收到这样的数据包时,说明有紧急情况发生,并且,操作系统要求得到进一步的数据,以说明具体情况。此时,攻击者发送一个RST数据包,构造了TCP状态机中不会出现的数据包,若操作系统(如未打补丁的Windows NT)不能正确处理,就会死机,使连接异常终止,服务中断。

    4. Fraggle攻击:Fraggle攻击发送畸形UDP碎片,使得被攻击者在重组过程中发生未加预料的错误,导致系统崩溃。典型的Fraggle攻击使用的技术有:碎片偏移位的错乱强制发送超大数据包等。例如:一个长为40字节的数据在发送时被分为两段,包含第一段数据的数据包发送了数据036字节,包含第二段数据的数据包在正常情况下应该是3740的4个字节,但攻击者构造并指定第二个数据包中包含第二段数据且为数据的24–27字节来迷惑操作系统,导致系统崩溃。

    5. Ping to death攻击:根据有关IP协议规定的RFC791,占有16位的总长度控制字确定了IP包的总长度为65535字节,其中包括IP数据包的包头长度。Ping to death攻击发送超大尺寸的ICMP数据包,使得封装该ICMP数据包的IP数据包大于65535字节,目标主机无法重新组装这种数据包分片,可能造成缓冲区溢出、系统崩溃。

    3.程序漏洞攻击

    • 由于编写程序的复杂性和程序运行环境的不可预见性,使得程序难免存在漏洞。程序漏洞攻击成为攻击者非法获得目标主机控制权的主要手段
    1. 缓冲区溢出攻击的原理:缓冲区溢出攻击是利用系统、服务、应用程序中存在的漏洞,通过恶意填写内存区域,使内存区域溢出,导致应用程序、服务甚至系统崩溃,无法提供应有的服务来实现攻击目的。不检测边界是造成缓冲区溢出的主要原因。UNIX主要设计语言是C语言,而C语言缺乏边界检测,若不检查数组的越界访问,就会留下基于堆栈攻击的隐患。UNIX进程在内存中分为正文段、数据段和堆栈段。堆栈段用于为动态变量分配空间和临时保存函数调用的参数和返回地址。动态分配是UNIX程序采用的主要方法,但是,若动态变量从栈中分配空间时没有作边界检查,则可能发生缓冲区溢出,造成段越界。
    2. BIND漏洞攻击:运行在DNS服务器上的BIND(Berkeley internet name domain,Berkeley internet名字域)DNS服务器软件是最易遭受攻击的软件之一。BIND存在的脆弱性可以对系统造成根级的安全威胁。如BIND 8.2版本存在漏洞,攻击者伪装成DNS服务器,发送一个大的NXT记录(next,域中不存在的名字被标定为NXT类型),并在记录中包含攻击代码,使存在漏洞的DNS服务器缓冲区溢出,从而获得root权限。
    3. Finger漏洞攻击:Solaris自带的Finger服务器存在如下一些漏洞:当攻击者在向Finger服务器提交以数字做用户名的询问请求时,Finger服务器会把日志文件wtmp(wtmp一个用户每次登录和退出时间的记录)中所有的用户名返回给攻击者。当攻击者对服务器进行finger查询时,如果询问一个不存在的用户,服务器会返回一个带“.”的回答,这可能造成攻击者用暴力法判断系统上存在的用户。
    4. Sendmail漏洞攻击:在旧版本的sendmail中,为解决反向编码的问题,数据库中包含一个decode入口,这个UNIX程序可以将一个以纯文本编码的二进制文件,转化为原有的二进制的形式和名字。反向编码完全尊重被编码的文件,例如当一个名为bar.uu的文件声称其原始文件是/home/foo/.rhosts时,则反编码程序将试图转化bar.uu文件为foo下的.rhosts文件。一般情况下sendmail将undecode作为半特权用户后台程序运行,所以email发出的编码文件不会覆盖任何系统文件。但是,如果目标程序是全局可写的,那么编码程序允许远程用户修改这些文件,使攻击者可以放置木马,留下后门,达到攻击目的。
    展开全文
  • 网络攻击介绍

    千次阅读 2019-05-16 16:53:43
    网络攻击介绍 网络攻击简介: 网络攻击(Cyberattack,也译为赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。 于计算机和计算机网络中,破坏、揭露、修改、使软件...

    网络攻击介绍

    网络攻击简介:

    网络攻击(Cyberattack,也译为赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。

    计算机计算机网络中,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据,都会被视为于计算机和计算机网络中的攻击。

    网络攻击行为是企业网中重大安全隐患。应对不同的网络攻击行为有不同的防御方法和手段。真多这样写不同的网络攻击行为,设计出相应的安全产品对其进行防御。

    网络攻击总体分类:

    网络攻击主要分为两大类:主动攻击和被动攻击。中间人攻击,属于主动攻击的一类。

    主动攻击:

    主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据(假冒攻击)和终端(拒绝服务)。

    • 拒绝服务攻击(DOS)(Deny of Service)

      耗尽链路带宽,耗尽服务器资源。

    • 篡改攻击

      篡改消息是指一个合法消息的某些部分被改变、删除,消息被延迟或改变顺序,通常用以产生一个未授权的效果。

      典型的篡改攻击------中间人攻击,典型代表,DHCP中间人攻击,ARP中间人攻击。

    • 假冒攻击(伪造)

      利用伪造的身份进行攻击。

      伪造指的是某个实体(人或系统)发出含有其他实体身份信息的数据信息,假扮成其他实体,从而以欺骗方式获取一些合法用户的权利和特权。

    被动攻击:

    被动攻击中攻击者不对数据信息做任何修改,截取/窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听、流量分析、破解弱加密的数据流等攻击方式。

    防御方式:加密。

    网络攻击分类:

    在这里插入图片描述

    图:网络攻击分类

    网络攻击主题分为两类:流量型攻击和单包攻击。

    **流量型攻击:DoS ** Flood方式攻击。耗尽网络资源,耗尽带宽。

    DoS升级版:DDoS(Distributed Denial of Service)分布式拒绝服务攻击。

    DDoS攻击防范技术

    单包攻击:

    • 畸形报文攻击:Ping of death

    • 特殊报文攻击:IP选项、ICMP特殊类型

    • 扫描窥探攻击:IP地址扫描和端口扫描

      识别潜在的攻击目标、识别目标弱点

    单包攻击可参考:单包攻击原理与防御

    二层攻击防范技术可参考: 二层攻击防范

    华为防御产品:NGFW、Anti-ddos(专业)


    展开全文
  • 网络攻击是导致网络安全威胁的主要原因,嗅探攻击、截获攻击、拒绝服务攻击等是常见的网络攻击网络攻击和网络安全是矛盾的两个方面,但是了解网络攻击手段可以帮助我们更好地保护网络安全。嗅探攻击是被动攻击,...

    摘要:

    网络攻击是导致网络安全威胁的主要原因,嗅探攻击、截获攻击、拒绝服务攻击等是常见的网络攻击。网络攻击和网络安全是矛盾的两个方面,但是了解网络攻击手段可以帮助我们更好地保护网络安全。嗅探攻击是被动攻击,主要是黑客终端通过接入嗅探目标终端的信息传输路径,然后复制经过网络传输的信息;截获攻击是一种主动攻击,攻击手段是改变传输路径,但是黑客终端可以对截获的消息进行篡改等操作;拒绝服务攻击也是主动攻击,主要是通过耗尽网络设备或服务器等资源,使其不能给正常客户端提供服务的一种攻击。这篇文章主要叙述三种攻击的攻击方法和防御思路。

    一、网络攻击简述

    1.1网络攻击定义:
    网络攻击是指利用网络中存在的漏洞和安全缺陷对网络中的硬件、软件及信息进行的攻击、其目的是破坏网咯中信息的保密性、完整性、可用性、可控性和不可抵赖性,削弱甚至瘫痪网络的服务功能。
    1.2网络攻击分类:
    主动攻击:是指会改变网络中的信息、状态和信息流模式的攻击行为,并且可以破坏信息的保密性、完整性和可用性。
    被动攻击:是指不会对经过网络传输的信息、网络状态和网络信息流模式产生影响的攻击行为,一般只破坏信息的保密性。
    在这里插入图片描述

    二、攻击方法与防御机制

    2.1嗅探攻击

    嗅探攻击的原理:首先黑客终端加入嗅探目标终端的信息传输路径,以太网是一个广播型的网络,黑客终端再利用嗅探器,将自己的以太网卡设置成杂收模式,然后黑客终端就可以捕获以太网上所有的报文和帧。这种攻击不会影响网络中信息的正常传输过程,并且对网络和主机都是透明的。
    在这里插入图片描述
    嗅探攻击的三个后果
    1.破坏信息的保密性。黑客终端嗅探到信息后,可以阅读、分析信息。
    2.嗅探攻击是实现数据流分析攻击的前提,只有实现嗅探攻击才能对嗅探到的数据流进行统计分析。
    3.实施重放攻击。
    防御机制:
    对于通过集线器实施的嗅探攻击,需要有防止黑客终端接入集线器的措施,对于通过交换机实施的攻击,一是需要有防止黑客终端接入交换机的措施,而是交换机需要具有防御MAC表溢出攻击的机制。1.划分VLAN技术,将连接到交换上的所有主机逻辑分开,将他们之间的通信变为点到点的通信方式,2.在网络中布置入侵检测系统(IDS),以及防火墙等安全设备,针对对路由器和交换机的攻击进行识别。
    对于无线通信过程,只能通过传输信息进行加密来防御。

    2.2截获攻击

    攻击原理:黑客首先要改变正常通信终端之间的传输路径,使传输路径经过黑客终端,称为传输路径上的一个中间站,若另外两个终端要进行信息传输就必须经过黑客终端,然后黑客终端就可以截获信息,并且进行一些列操作。截获攻击又可以细分为MAC地址欺骗攻击、DHCP地址欺骗攻击、ARP欺骗攻击、生成树攻击、路由项欺骗攻击。
    在这里插入图片描述
    截获攻击后果
    1.获得用户的私密信息,比如用户名和口令之类的。
    2.黑客终端截获信息之后,可以篡改信息。
    3.实施重放攻击。

    2.2.1 MAC地址欺骗攻击:

    1.黑客终端首先接入到其中一个通信终端接入的交换机,2.黑客终端将自己的MAC地址修改为攻击目标(终端A)的MAC地址(MAC A),3.发送以攻击目标(终端A)为源MAC地址、以广播地址为目的MAC地址的MAC帧。
    Alt在这里插入图片描述
    防御机制:
    1.阻止黑客接入以太网,
    2.阻止黑客终端发送的以伪造的MAC地址为源MAC地址的MAC帧进入以太网。

    2.2.2 DHCP欺骗攻击:

    攻击原理:终端在访问网络前必须配置网络信息,通过动态主机配置协议(DHCP)自动从DHCP服务器获取,所以为黑客攻击提供了可能。
    黑客伪造一个DHCP服务器,并将其接入想要截获IP分组的局域网,然后将伪造的DHCP服务器的默认网关地址设置成黑客终端的IP地址,该局域网内的终端通过伪造的DHCP服务器获得网络信息,其中默认网关地址是黑客终端的地址,终端发送给其他网络的IP分组首先会发给黑客终端。
    在这里插入图片描述
    防御机制:
    以太网交换机端口对DHCP服务器进行验证,通过验证才能入以太网。

    2.2.3 ARP欺骗攻击:

    攻击原理:由于以太网中终端无法鉴别ARP请求报文、应答报文中给出的IP地址与MAC地址绑定项的真伪,此时如果黑客终端想实施ARP欺骗攻击,黑客终端先广播一个ARP请求报文或者ARP应答报文,然后将攻击目标的IP地址和自己的MAC地址绑定在一起,路由器接收到报文后,在缓冲区中记录攻击目标的IP地址和黑客终端MAC地址的绑定项,当路由器需要转发目的地址为攻击目标的IP时,将该IP分组封装成以路由MAC为源MAC地址、黑客终端MAC为目的MAC地址的MAC帧,这样黑客终端就可以截获其他终端发给攻击目标的IP分组。
    在这里插入图片描述
    防御机制:
    1.以太网交换机提供鉴别ARP报文中IP地址与MAC地址绑定项真伪的功能。
    2.用静态ARP表
    3.监控及早发现伪造主机
    4.架设B/S结构服务器,使用SNMP协议远程管理整网的交换机,实现自动化检测。
    5.服务器定期轮询汇聚层交换机的ARP缓存,如果出现ARP欺骗,由服务器通过SNMP协议远程自动关闭响应的端口。
    6.开启定时器,过一段时间后自动关闭打开的端口。

    2.2.4 生成树协议欺骗攻击:

    攻击原理:黑客终端具有两个以太网接口,两个接口分别连接两台交换机,在黑客终端中运行生成树协议,并配置很小的交换机优先级,其他交换机运行生成树协议过程中将黑客终端当成根交换机,其他终端之间传输信息就会经过黑客终端。
    防御机制:
    不允许黑客终端参与网络生成树建立的过程。

    2.2.5 路由项欺骗攻击:

    攻击原理:如果黑客终端想要截获路由器和通信目的网络之间的IP分组,则向路由器发送一项伪造的路由项,将该伪造路由项通往通信目的网络的距离设置为0,路由器接收到该路由项之后,选择黑客终端作为通往通信目的网络的下一调,路由器会将所有发送给通信目的网络的IP分组转发给黑客终端,黑客终端便能截获消息。
    防御机制:
    1.验证消息源,对路由消息进行完整性检测。
    2.利用公钥和哈希函数

    2.3拒绝服务攻击

    拒绝服务攻击就是利用某种方法耗尽网络设备、链路或服务器资源,使其不能正常提供服务的一种攻击手段。
    拒绝服务攻击又分为SYN泛洪攻击、Smurf攻击、DDoS攻击等。

    2.3.1 SYN泛洪攻击

    攻击原理:终端在访问web服务器之前需先建立与web服务器之间的TCP连接,web服务器在会话列表中为每一个TCP连接创建一项连接项,SYN泛洪攻击就是通过快速消耗掉Web服务器TCP会话表中的连接项,黑客终端伪造多个不存在的IP地址,请求建立与Web服务器之间的TCP连接,服务器能收到请求报文,但是不能收到响应报文,使得正常的TCP连接建立过程会因为会话列表中连接项耗尽而无法正常进行。
    防御机制:
    1.缩短SYN的Timeout时间
    2.设置SYN Cookie
    3.负反馈策略,设置半连接阈值
    4.退让策略,迅速更换自己的IP地址,防止一台“牺牲”服务器
    5.分布式DNS负载均衡
    6.利用防火墙

    2.3.2 Smurf攻击

    攻击原理:该攻击是通过ICMP ECHO报文进行的,黑客终端随机选择一个IP地址作为目的IP地址,向该IP地址终端发送ICMP ECHO请求报文,但是该请求报文的的源IP地址是攻击目标的IP地址,目的地址为之前随机选择的IP地址,该目的地址终端收到请求报文之后就会向攻击目标发送报文。为了放大攻击效果,黑客终端要在所连接的网络中广播一个ICMP ECHO请求报文,该请求报文被封装成源IP为攻击目标的IP地址,以全1的广播地址为目的地址的IP分组。然后该分组到达网络内的所有终端,网络内所有接到该ICMP ECHO请求报文的终端都会向该攻击目标终端发送响应报文,黑客终端的攻击报文就被放大了。
    防御机制:
    1.阻止伪造源IP地址的IP分组在网络中继续传输
    2.路由器阻止以直接广播地址为目的地址的IP分组在网络中继续转发
    3.防止从网络内部发起攻击,路由器上使用输出过滤
    4.防止网络成为中间代理

    2.3.3 DDoS攻击

    攻击原理:分布式拒绝服务攻击,攻击者先通过其他攻击手段攻陷大量主机系统,并植入攻击程序,接下来分为直接DDoS攻击和间接DDoS攻击。直接DDoS攻击通过植入“肉鸡”的程序产生大量无用的用户数据报协议(UDP)报文或ICMP ECHO请求报文,并将这些报文直接发送给攻击目标,使目标丧失服务功能;间接DDoS攻击用随机产生的大量IP地址为目的IP地址、以攻击目标的IP地址作为源IP地址构建ICMP ECHO请求报文,这些报文到达目的端后会产生大量的应答报文到达攻击目标,使攻击目标连接网络的链路发生过载、处理器等资源耗尽,最终不能和其他端正常通信。
    防御机制:
    1.网络中的主机能够防御病毒和黑客入侵
    2.主机系统拒绝响应ICMP ECHO请求报文
    3.通过网络对ICMP ECHO响应报文的统计,如果单位时间内出现相同IP地址的ICMP ECHO响应报文或者ICMP差错报告报文的数量超过设定的阈值,网络就丢弃部分响应报文或者ICMP差错报告报文

    展开全文
  • 网络攻击——DoS攻击、DDoS攻击

    千次阅读 2019-03-24 23:21:30
    全称为Denial of Service——拒绝服务,通过协议方式或捉住系统漏洞,集中对目标进行网络攻击,直到对方网络瘫痪。 攻击技术门槛较低,并且效果明显,防范起来比较棘手,一度成为黑客的必杀武器,进而出现的DDoS...
  • 2019-2020年网络攻击事件 由于数据泄露、高危漏洞、网络攻击以及相关的网络犯罪呈现新的变化,个人安全意识缺乏、企业安全投入不足,也加重了网络安全事件所带来的损失和影响。 案例一:勒索病毒攻击部分政府部门和...
  • 常见的网络攻击类型

    万次阅读 2019-02-20 12:23:46
    常见的网络攻击类型 一、拒绝服务攻击 1.拒绝服务攻击 Dos(Denial of Service)是一种利用合理的服务请求占用过多的服务资源,从而使合法用户无法得到服务响应的网络攻击行为。 被DOS攻击时的现象大致有: 被...
  • 一、网络安全内容 、 二、四种网络攻击 、 三、被动攻击 与 主动攻击 、 四、分布式拒绝服务 DDos 、 五、恶意程序 、 六、计算机网络安全目标 、 七、Cain 网络攻击原理 、
  • 网络攻击技术

    2017-04-11 15:15:29
     网络攻击者如果能够通过网络嗅探工具获得目标计算机网络传输的数据包,就可以通过对数据包按照协议进行还原和分析,从而获取目标计算机传输的大量信息。因此,网络嗅探技术是一种威胁性极大的非主动类信息获取攻击...
  • 网络攻击行为分析

    千次阅读 2019-06-22 22:15:12
    1、网络攻击行为过程分析-步骤 攻击准备 破坏型攻击指的破坏目标,使其不能正常工作,而不是控制目标系统的运行 入侵型攻击,这种攻击是要获得一定的权限达到控制攻击目标或者窃取信息的目的 攻击实施 破坏性...
  • 常见网络攻击方式

    千次阅读 2017-08-25 17:38:31
    摘要网络攻击有多种形式,合拢而来, 可简单分为四类攻击。1、人性式攻击:如钓鱼式攻击、社会工程学攻击,这些攻击方式,技术含量往往很低,针对就是人性。有点骗子攻击的味道。著名黑客菲特尼客,以这种攻击为特长...
  • 2019网络攻击趋势

    千次阅读 2019-02-19 13:18:36
    网络犯罪日益高频次,明年的网络攻击会有怎样的发展态势?专业人士给出了预测。CSO网站对未来12个月里可能出现的重大事件或趋势作出多个预测,以下四项趋势尤其值得企业关注 1. 勒索攻击次数减少,强度增加 ...
  • 网络攻击方法及工具

    千次阅读 2019-05-14 09:39:14
    网络攻击方法及工具 文章目录网络攻击方法及工具攻击方法网络监听sniffer口令破解字典文件拒绝服务攻击服务器端口攻击同步包风暴smurf攻击利用处理程序错误pingofdeathTeardropwinnukeLand电子邮件轰炸低速率拒绝...
  • 网络攻击

    千次阅读 2013-12-31 08:52:33
    2013年的最后一天,前几天写了个关于2013年安全攻击态势的分析报告,贴上来,欢迎...在2013年,网络攻击依旧频发,尽管网络防御的能力在不断增强,但是网络攻击的方向和重点也在随着互联网的热点发展逐渐转变,网络攻
  • 常见的网络攻击

    2019-01-09 11:18:17
    常见的网络攻击 1.MAC欺骗 原理:针对交换机的Mac地址学习机制,攻击者通过伪造的源Mac地址数据包发送给交换机,造成交换机学习到了错误的Mac地址与端口的映射关系,导致交换机要发送到正确目的地的数据包被发送到...
  • 无线网络攻击之mdk3泛洪攻击

    万次阅读 2018-03-07 17:25:09
    原文地址:无线网络攻击之mdk3泛洪攻击作者:secer 原文地址:http://blog.sina.com.cn/s/blog_c19382720101do8n.html 攻击说明:  利用mdk3攻击工具对无线网络中的路由器就行泛洪攻击,踢掉...
  • 第一章 常见网络攻击 1.1、XSS攻击 1.1.1 XSS简介 XSS攻击的全称是跨站脚本攻击(Cross Site Scripting),为不跟层叠样式表 (Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS ...
  • 2020-11-7网络攻击

    2020-11-07 13:23:55
    网络攻击常见的网络攻击方式网络攻击简介 常见的网络攻击方式 网络攻击简介 Dos即Denial of service的简称,即拒绝服务,造成Dos的行为被称为Dos攻击,其目的就是为了使服务器或者网络无法提供正常的服务。DDos...
  • 常见的网络攻击方法

    千次阅读 2018-05-03 10:40:16
    常见的网络攻击
  • 网络攻击的多种手段

    2019-01-16 14:27:24
    想要对越来越猖獗的网络攻击进行防范,首先要了解网络上现有的攻击手段,知己知彼才能进行更加全面的防范。网络攻击,也称之拒绝服务攻击。 拒绝服务攻击 : 广义而言,凡是利用网络安全防护措施不足导致用户不能或...
  • 2015 网络攻击

    2015-03-06 09:20:46
    网络攻击从类型上来说,基本有DDOS攻击,固件类攻击,工控设备攻击,还有就是主机入侵攻击等等,去年的网络攻击从类型上进行描写,今年以网络攻击链路为依据,以最近爆发的攻击事件为案例,追寻网络攻击的手法。...
  • 网络数据传输安全性问题和常见的网络攻击 一. 常见的网络攻击与解决办法 1. XSS攻击 2. CSRF攻击 1. SQL注入攻击 2. 文件上传漏洞 1. DDoS攻击 2. 其他攻击手段 二. 数据传输安全性问题与解决办法 1. 窃听 2. 假冒 3...
  • 文章目录网络安全防护技术网络攻击技术基础4.1 网络攻击的一般步骤网络防御技术基础5.1 面对攻击者的扫描,可采取的主要防御措施有:5.3欺骗攻击防御技术5.4 拒绝服务攻击防御5.5 木马攻击防御技术5.6 缓冲区溢出...
  • 听课笔记--网络攻击与防御——常见的网络攻击技术及其原理 1.网络攻击的一般步骤 2.攻击前奏 3.实施攻击 一、网络攻击的一般步骤 1.确定攻击目标Targeting 2.信息收集 Information Gathering 3.获取用户的...
  • 常见网络攻击原理

    千次阅读 2018-02-09 21:58:17
    通常我们常见的网络攻击类型有以下几种:IP欺骗,ARP欺骗,TCP欺骗,DNS欺骗。1.IP欺骗原理 2.ARP欺骗原理3.TCP欺骗原理4.DNS欺骗原理
  • 常见网络攻击类型

    千次阅读 2017-09-14 11:40:23
    常见网络攻击类型  SQL注入:    所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如先前的很多影视网站泄露VIP会员密码...
  • 常见的网络攻击有哪些?

    千次阅读 2019-04-13 16:17:50
    近期的网络攻击有些频繁,晚上凌晨左右一般会接好几个电话,反映的都是不同的网络攻击。有些病毒攻击不在我们的解决范围内,今天墨者安全主要针对DDOS攻击,CC攻击防御的等给大家分享一些常见的网络攻击类型。 CC...
  • 网络攻击类型

    2018-11-23 15:29:14
    DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入...
  • 常见网络攻击原理及其防御

    千次阅读 2019-02-22 18:44:16
    常见的网络攻击,按照osi七层协议,可以分为: 1,物理层 线路侦听 2,数据链路层 mac_flood 3,网络层 arp_poison,icmp_redirection 4,传输层 tcp_flood(包含ack_flood和syn_flood),udp_flood(ntp,dns) 7,应用...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 28,884
精华内容 11,553
关键字:

网络攻击