黑客攻防：主动攻击被动攻击


		关于冰盾 \| 使用条款 \| 网站地图

黑客攻防：主动攻击被动攻击

黑客攻防：主动攻击被动攻击

作者：冰盾防火墙　网站：www.bingdun.com　日期：2014-12-14

主动攻击被动攻击
主动攻击包含攻击者访问他所需信息的故意行为。攻击者是在主动地做一些不利于你或你的公司系统的事情。主动攻击包括拒绝服务攻击、信息篡改、资源使用、欺骗等攻击方法。
被动攻击主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括嗅探、信息收集等攻击方法。

主动攻击和被动攻击具有相反的特性。被动攻击难以检测出来，然而有阻止其成功的方法。而主动攻击难以绝对地阻止，因为要做到这些，就要对所有通信设施、通路在任何时间进行完全的保护。因此，对主动攻击采取的方法，并从破坏中恢复。因此制止的效应也可能对防止破坏做出贡献。
ipsec
“internet 协议安全性 (ipsec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 internet 协议 (ip) 网络上进行保密而安全的通讯。
ipsec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 ipsec 保护的计算机。

来源：病毒安全-考试资料网网络攻击行为
利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。
攻击分类：
　　（1）主动攻击：包含攻击者访问所需要信息的故意行为。
　　（2）被动攻击。主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。被动攻击包括：
　　1、窃听。包括键击记录、网络监听、非法访问数据、获取密码文件。
　　2、欺骗。包括获取口令、恶意代码、网络欺骗。
　　3、拒绝服务。包括导致异常型、资源耗尽型、欺骗型。
　　4、数据驱动攻击：包括缓冲区溢出、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击。
熊猫烧香
其实是一种蠕虫病毒的变种，而且是经过多次变种而来的，由于中毒电脑的可执行文件会出现“熊猫烧香”图案，所以也被称为 “熊猫烧香”病毒。但原病毒只会对exe图标进行替换，并不会对系统本身进行破坏。中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。它主要通过下载的档案传染。对计算机程序、系统破坏严重。
ddos攻击器
ddos是（distributed denial of service）的缩写，即分布式阻断服务，黑客利用ddos攻击器控制多台机器同时攻击来达到“妨碍正常使用者使用服务”的目的，这样就形成了ddos攻击。
dos的攻击方式有很多种，最基本的dos攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。
3.偷梁换柱vs关门捉贼

以前讲过，黑客们可以通过嗅探器得到你的敏感信息，这类方法有一定的局限性，比如说要在你的网段里种一个嗅探器，但其危害性极大。黑客们可以轻松获取你的帐户和密码。目前有很多协议根本就没有采用任何加密或身份认证技术，如在telnet、ftp、http、smtp等传输协议中，用户帐户和密码信息都是以明文格式传输的，这就给攻击者带来了很多便利，此时若攻击者利用数据包截取工具例如iris便可很容易收集到你的机密数据。还有一种中途截击攻击方法更为狡诈，它可以在你同服务器端完成“三次握手”建立连接之后，在通信过程中扮演"第三者"的角色，假冒服务器身份欺骗你，再假冒你向服务器发出恶意请求，其造成的后果不堪设想。另外，攻击者有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登录信息，从而取得用户密码;或者编制有缓冲区溢出错误的suid程序来获得超级用户权限。

对这种方法首先要篱笆扎的严，同一个网段里的机器应该是可以互相信任的，同时借助一些反嗅探器工具例如antisniffer之类的对网络进行实时监控。

4.美人计vs诱敌深入

前面说过，木马程序因为生得短小精悍，所以深得黑客们的青睐，尽管骨灰级的高手常不屑于使用，但是统计表明，百分之六十的黑客攻击是采用木马。木马程序可以直接潜入你的电脑并进行破坏，它常常把自己装成一副游戏或者mp3的嘴脸来诱使你打开它们，一旦你双击了带有特洛伊木马程序的邮件附件或从网上直接下载的貌似合法的程序，它们就会留在电脑中，并且可以让自己随windows而启动。当你连接到互联网上时，这个程序就会通知黑客(通过邮件或者即时消息)，告知你的ip地址和可以攻击端口。黑客收到这些信息后，使用木马的客户端程序，和潜伏在你机器里的服务器程序里应外合，可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

要破除木马使的美人计，首先不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序，比如“特洛伊木马”之类的黑客程序就需要骗你运行。尽量避免从internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。查到木马程序以后，也不要急着将它推出午门斩首，先逼出口供再说，你可以用netstat命令看看谁在与你连接，然后可以分析这个木马，看看它里面的通知选项里写的是谁的电子邮件地址，就可以对他进行反惩罚了。

5.借刀杀人—ddos攻击

ddos攻击，是指分布式拒绝服务攻击，从许多分布的主机同时攻击一个目标主机，从而导致它彻底瘫痪，好多著名的网站，象yahoo、buy.com、amazon等都受到过这种“百鸟朝凤”的待遇。分布式拒绝服务攻击采用的是四层客户机/服务器架构，处于最顶层的是目标主机，而首脑攻击者处于最低层，与第二层的攻击服务器(数量比较少，约几台到几十台)相连，然后由攻击服务器把首脑攻击者的攻击命令分布到第三层的攻击执行器(数目很大)上，攻击执行器实施对目标主机的攻击。攻击服务器的作用主要是隔离攻击者与网络直接联系，减少被发现的可能性，同时可以协调进攻。攻击执行器主要运行一些简单的程序，可以向目标主机发出雪崩数据，而且不要求ack(回应)。

首脑攻击者多半是由一台普通主机充当，甚至可能是一台笔记本电脑，这样它的位置可能是不固定的，它用来向攻击服务器发出攻击特定目标的指令。攻击执行器接到攻击命令以后，发出大量数据包骚扰目标主机，而且这种数据包还经过伪装，无法辨认它们的源地址。很快目标主机就会资源耗尽而崩溃。

目前这一招还没有直接有效的应对方法:只能先防患于未燃。

首先确保服务器安装了最新服务包，打上了所有最新的安全补丁，建议使用英文版的操作系统，因为英文版的操作系统比中文版的bug要少得多，而且各种服务包、补丁、漏洞资料也发布得要快得多，被攻击的案例大多起因于漏洞没有补好。

其次系统管理员要对关键系统的所有外围主机进行检查，而不仅针对关键系统。也就是说要保证一般的外围主机不会被黑客控制。一旦黑客直接控制了外围主机，那将十分可怕。要确保系统管理员知道每个外围主机系统在运行什么操作系统?都有哪些人在使用它们?哪些人可以访问它们?要做到心中有数，不要等到黑客攻击了，才想到要去查，已经晚了。

一些未使用的服务，例如telnet、ftp、smtp等，会用明文显示密码、帐号。就应该果断让它们下岗，并且确保封住它们的端口，以防它们死灰复燃。以前讲过黑客通过ipc$攻击就可能获得超级用户的权限，并能访问其他系统，不管是不是受防火墙保护。

如果是unix主机，则要确保所有的守护服务都有tcp封装程序，并限制对主机的访问权限。

最好不要让内部网通过“小猫”访问互联网。否则，黑客们很容易通过电话线发现未受保护的主机，马上就可以实行攻击。

限制在防火墙外进行网络文件共享。这会使黑客有机会截获系统文件，并以特洛伊木马替换它，文件传输功能无异将陷入瘫痪。