关于冰盾 | 使用条款 | 网站地图
 
主要黑客攻击类型
主要黑客攻击类型
作者:冰盾防火墙 网站:www.bingdun.com 日期:2015-02-10
 
黑客攻击其实质就是指利用被攻击方信息系统自身存在安全漏洞,通过使用网络命令和专用软件进入对方网络系统的攻击。目前黑客网络攻击的类型主要有以下几种。
利用监听嗅探技术获取对方网络上传输的有用信息。
利用拒绝服务攻击使目的网络暂时或永久性瘫痪。
利用网络协议上存在的漏洞进行网络攻击。
利用系统漏洞,例如缓冲区溢出或格式化字符串等,以获得目的主机的控制权。
利用网络数据库存在的安全漏洞,获取或破坏对方重要数据。
利用计算机病毒传播快、破坏范围广的特性,开发合适的病毒破坏对方网络。
以上类型所采用的攻击手法主要有如下几种。
1.网络监听
网络嗅探其实最开始是应用于网络管理的,就像远程控制软件一样,但后来这些强大的功能逐渐被黑客们利用。最普遍的安全威胁来自内部,同时这些威胁通常都是致命的,其破坏性也远大于外部威胁。对于安全防护一般的网络,使用网络嗅探这种方法操作简单,而且同时威胁巨大。很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。
嗅探器是利用计算机的网络接口,截获目的计算机数据报文的一种技术。不同传输介质的网络的可监听性是不同的。一般来说,以太网被监听的可能性比较高,因为以太网是一个广播型的网络;FDDI Token被监听的可能性也比较高,尽管它不是一个广播型网络,但带有令牌的那些数据包在传输过程中,平均要经过网络上一半的计算机;微波和无线网被监听的可能性同样比较高,因为无线电本身是一个广播型的传输媒介,弥散在空中的无线电信号可以被很轻易地截获。
嗅探器工作在网络的底层,把受影响的计算机的网络传输数据全部记录下来。虽然嗅探器的最初设计目的是供网管员用来进行网络管理,可以帮助网络管理员查找网络漏洞和检测网络性能、分析网络的流量,以便找出所关心的网络中潜在的问题,但目前在黑客攻击中的应用似乎更加广泛,使人们开始对这类工具敬而远之。
普通情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。一旦网卡设置为混杂(promiscuous)模式,它就能接收传输在网络上的每一个信息包。将网卡设置为混杂模式(需要用编程方式来解决,或者使用Sniffer之类工具来监听),对以太网上流通的所有数据包进行监听,并将符合一定条件的数据包(如包含了字“username”或“password”的数据包)记录到日志文件中去,以获取敏感信息。常见的网络监听工具有:NetRay、Sniffit、Sniffer、Etherfind、Snoop、Tcpdump、Packetman、Interman、Etherman、Loadman和Gobbler等。
对于网络嗅探攻击,可以采取以下一些措施来应对。
网络分段:一个网络段包括一组共享低层设备和线路的机器,如交换机、动态集线器和网桥等设备,可以对数据流进行限制,从而达到防止嗅探的目的。
加密:一方面可以对数据流中的部分重要信息进行加密;另一方面也可只对应用层加密,然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式就取决于信息的安全级别及网络的安全程度。
一次性口令技术:口令并不在网络上传输,而是在两端进行字符串匹配,客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串,并将之返回给服务器。在服务器上利用比较算法进行匹配,如果匹配连接就允许建立,所有的Challenge和字符串都只使用一次。
禁用混杂节点:安装不支持混杂模式的网卡,通常可以防止IBM兼容机进行嗅探。
2.拒绝服务攻击
拒绝服务(Denial of Service,DoS)攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单,但又很有效的进攻方式。它的目的就是拒绝服务访问,破坏组织的正常运行,最终使网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。
DoS的攻击方式有很多种,常见的DoS攻击方式有:同步洪流(SYNFlood)、死亡之Ping(Ping of Death)、Finger炸弹、Land攻击、Ping洪流、Rwhod和Smurf等。DoS攻击的基本过程如下:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。由于地址是伪造的,所以服务器一直等不到回传的消息,然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。
这类攻击和其他大部分攻击不同的是,它们不是以获得网络或网络上信息的访问权为目的,而是要使受攻击方耗尽网络、操作系统或应用程序有限的资源而崩溃,从而不能为其他正常用户提供服务。这就是这类攻击被称为“拒绝服务攻击”的真正原因。
若涉及特殊的网络服务应用,像HTTP或FTP服务,攻击者能够获得并保持所有服务器支持的有用连接,有效地把服务器或服务的真正使用者拒绝在外面。大部分拒绝服务攻击是利用被攻击系统整体结构上的弱点,而不是利用软件的小缺陷或安全漏洞进行的。然而,有些攻击通过采用无用的网络报文掀起网络风暴,提供错误的网络资源状态信息危及网络的性能。
DDoS(Distributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的分布、协作式的大规模拒绝服务攻击。也就是说不再是单一的服务攻击,而是同时实施几个,甚至十几个不同服务的拒绝攻击。由此可见,它的攻击力度更大,危害性当然也更大了。它主要瞄准比较大的网站,像商业公司、搜索引擎和政府部门的Web站点。
被DDoS攻击时出现的现象主要有如下几种。
被攻击主机上有大量等待的TCP连接。 
网络中充斥着大量的无用的数据包,源地址为假。 
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通信。 
利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。 
严重时会造成系统死机。
要避免系统遭受DoS攻击,网络管理员要积极谨慎地维护整个系统,确保无安全隐患和漏洞,而针对更加恶意的攻击方式则需要安装防火墙等安全设备过滤DoS攻击,同时建议网络管理员定期查看安全设备的日志,及时发现对系统构成安全威胁的行为。
为了防止拒绝服务攻击,可以采取以下预防措施。
对于信息淹没攻击,应关掉可能产生无限序列的服务来防止这种攻击。比如可以在服务器端拒绝所有的ICMP包,或者在该网段路由器上对ICMP包进行带宽限制,控制其在一定的范围内。
要防止SYN数据段攻击,应对系统设定相应的内核参数,使得系统强制对超时的SYN请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。
建议在该网段的路由器上作些调整,这些调整包括限制SYN半开数据包的流量和个数。
建议在路由器的前端作必要的TCP拦截,使得只有完成TCP 3次握手过程的数据包才可进入该网段,这样可以有效地保护本网段内的服务器不受此类攻击。
另外,对于一些具体的系统,其本身现已可以防止SYNFlood攻击,如solaris在其2.6版本以后,系统中存在两条队列,一条是已连接的队列,另一条是未连接完成的队列。SYN攻击时只能填充后一条队列,而且,一旦队列满,将随机丢弃老的SYN包。系统还会监控这个队列被短时间填充的情况,一旦怀疑是SYNFlood,将采取一定的措施。
总之,要彻底杜绝拒绝服务攻击,只有追根溯源去找到正在进行攻击的机器和攻击者。要追踪攻击者不是一件很容易的事情,一旦其停止了攻击行为,很难将其发现。唯一可行的方法就是在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用一级一级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合才能很好地完成。
3.源IP地址欺骗
许多应用程序认为如果数据包能够使其自身沿着路由到达目的地,而且应答包也可以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的前提。
假设同一网段内有两台主机A和B,另一网段内有主机C,B授予A某些特权。C为获得与A相同的特权,所做欺骗攻击如下:首先,C冒充A,向主机B发送一个带有随机序列号的SYN包。主机B响应,回送一个应答包给A,该应答号等于原序列号加1。然而,此时主机A已被主机C利用拒绝服务攻击“淹没”了,导致主机A服务失效。结果,主机A将B发来的包丢弃。为了完成3次握手,C还需要向B回送一个应答包,其应答包等于B向A发送数据包的序列号加1。此时主机C并不能检测到主机B的数据包(因为不在同一网段),只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确,B则认为收到的ACK是来自内部主机A。此时,X即获得了主机A在主机B上所享有的特权,并开始对这些服务实施攻击。
要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击。
抛弃基于地址的信任策略:阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令删除.rhosts文件,清空/etc/hosts下的.equiv文件。这将迫使所有用户使用其他远程通信手段,如telnet、ssh和skey等。
使用加密方法:在包发送到网络上之前,可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。
进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把09网主机的包发送出去。有一点要注意,路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若你的网络存在外部可信任主机,那么路由器将无法防止别人冒充这些主机进行IP欺骗。
4.源路由欺骗攻击
在通常情况下,信息包从起点到终点走过的路径是由位于此两点间的路由器决定的,数据包本身只知道去往何处,但不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机,下面仍以上述源IP欺骗中的例子给出这种攻击的形式。
主机A享有主机B的某些特权,主机C想冒充主机A从主机B(假设IP为aaa.bbb.ccc.ddd)获得某些服务。首先,攻击者修改距离X最近的路由器,使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地;然后,攻击者C利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时,就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义,通过一个特殊的路径来获得某些被保护数据。
为了防范源路由欺骗攻击,一般采用下面两种措施。
对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。
在路由器上关闭源路由。用命令no ip source-roue。
5.缓冲区溢出
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令。如果这些指令是放在有Root权限的内存中,那么一旦这些指令得到了运行,黑客就以Root权限控制了系统,达到入侵的目的;缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。缓冲区溢出的一般攻击步骤为:在程序的地址空间里安排适当的代码——通过适当的地址初始化寄存器和存储器,让程序跳到黑客安排的地址空间中执行。
缓冲区溢出对系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点。
必须及时发现缓冲区溢出这类漏洞:在一个系统中,比如UNIX操作系统,这类漏洞是非常多的,系统管理员应经常和系统供应商联系,及时对系统升级以堵塞缓冲区溢出漏洞。
程序指针完整性检查:在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。
堆栈保护:这是一种提供程序指针完整性检查的编译器技术,通过检查函数活动纪录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节,而在函数返回时,首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这种攻击很容易在函数返回前被检测到。但是,如果攻击者预见到这些附加字节的存在,并且能在溢出过程中同样地制造它们,那么它就能成功地跳过堆栈保护的检测。
数组边界检查:所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所有的数组操作,通常可以采用一些优化的技术来减少检查的次数。目前主要有以下的几种检查方法:Compaq C编译器、Purify存储器存取检查等。
6.密码攻击
密码攻击通过多种不同方法实现,包括蛮力攻击(brute force attack)、特洛伊木马程序、IP欺骗和报文嗅探。尽管报文嗅探和IP欺骗可以捕获用户账号和密码,但密码攻击通常指的是反复地试探、验证用户账号或密码。这种反复试探被称为蛮力攻击。
通常蛮力攻击使用运行于网络上的程序来执行并企图注册到共享资源中,例如服务器。一旦攻击者成功地获得了资源的访问权,他就拥有了与那些账户的用户相同的权利。如果这些账户有足够的特权,攻击者可以为将来的访问创建一个后门,这样就不用担心被危及用户账号的任何身份和密码的改变。
7.应用层攻击
应用层攻击能够使用多种不同的方法来实现,最常见的方法是使用服务器上通常可找到的应用软件(如SQL Server、Sendmail、PostScript和FTP)缺陷,通过使用这些缺陷,攻击者能够获得计算机的访问权,以及在该计算机上运行相应应用程序所需账户的许可权。 
应用层攻击的一种最新形式是使用许多公开化的新技术,如HTML规范、Web浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序,包括Java applet和Active X控件等,并通过用户的浏览器调用它们,很容易达到入侵、攻击的目的。虽然微软公司前段时间提供的代码验证技术可以使用户的Active X控件因安全检查错误而暂停这类攻击,但攻击者已经发现怎样利用适当标记和有大量漏洞的Active X控件使之作为特洛伊木马实施新的攻击。这一技术可使用VBScript脚本程序直接控制、执行隐蔽任务,如覆盖文件,执行其他文件等,预防、查杀的难度更大。
在应用层攻击中,容易遭受攻击的目标包括路由器、数据库、Web和FTP服务器及与协议相关的服务,如DNS、WINS和SMB。
 

 
最新内容:
黑客技术之黑客攻击技术概述[2015-02-10]
对黑客与黑客攻击的简单概述[2015-02-10]
黑客攻击的一般步骤[2015-02-10]
认识黑客和黑客攻击[2015-02-10]
合理应对异常流量 解决网络“拥塞”[2015-02-10]
TCP Chargen DoS攻击及其对策[2015-02-10]
相关内容:

合作伙伴: 黑基网 补天科技 威盾科技 站长下载 新飞金信 北京电信 ZOL应用下载
中华人民共和国增值电信业务经营许可证京ICP备14024464 公安备案号 京1081234 
版权所有©2003-2014 冰盾防火墙  www.BingDun.com 法律声明
总机:(010)51661195