问-病毒专家!
常见网络攻击与防范手册(一)
(一)前言在瞬息万变的网络世界里,网络的安全漏洞无处不在。即使旧的安全漏洞被填补,新的安全漏洞也会不断出现。网络攻击利用这些漏洞和安全缺陷攻击系统和资源。也许有些人会对网络安全持无所谓的态度,认为最多只是被攻击者盗取了一个账号,不会造成太大的伤害。他们往往认为“安全”只针对那些大中型企事业单位和网站。其实从技术上来说,黑客的动机是成为目标主机的主人。只要他们获得网络主机的超级用户权限,就可以修改资源配置、安装特洛伊程序、隐藏行踪、执行任意进程等等。我们当中有谁希望别人肆无忌惮地在我们的机器上拥有这些特权?更何况这些袭击者的动机并不都是那么简单。因此,我们每个人都可能面临安全威胁,我们有必要了解一些网络安全知识,并能够处理一些安全问题。我们来看看那些攻击者是如何发现你电脑的安全漏洞,了解他们的攻击手段。二、网络攻击的步骤第一步:隐藏自己的位置普通攻击者会用别人的电脑来隐藏自己的真实IP地址。老练的攻击者还会利用800电话无人转接服务连接到ISP,然后盗取他人账号上网。第二步:找到并分析目标主机。攻击者必须首先找到并分析目标主机。在互联网上真正能识别主机的是IP地址,域名是为了记住主机IP地址的新名称。只要使用域名和IP地址,就能顺利找到目标主机。当然,仅仅知道被攻击目标的位置是不够的。还需要全面了解主机的操作系统类型及其提供的服务。此时,攻击者会利用一些扫描工具轻松获取目标主机运行的是哪个版本的哪个操作系统,系统有哪些账号,WWW、FTP、Telnet、SMTP等服务器程序是什么版本等信息,为入侵做好充分准备。第三步:获取账号和密码。攻击者要想入侵一台主机,首先要有该主机的账号和密码,否则连登录都不行。这往往迫使他们试图窃取帐户文件,破解它,从中获取用户的帐户和密码,然后找到合适的时间进入主机。当然,利用一些工具或者系统漏洞登录主机也是攻击者常用的手法。第四步:获得控制权攻击者通过使用FTP、Telnet等工具获得控制权,从而获得对目标主机系统的访问权限后,他们会做两件事:清除记录,留下后门。他会改变一些系统设置,在系统中放入特洛伊马或其他遥控程序,这样他就可以在未来重新进入系统而不被察觉。大部分后门程序都是预编译的,你只需要想办法修改时间和权限就可以使用了。即使是新文件,其大小也与原始文件完全相同。攻击者通常使用rep来传递这些文件,以便不留下FTB记录。在清除日志、删除复制的文件等手段隐藏其踪迹后,攻击者就会开始下一步。第五步:窃取网络资源和权限的攻击者找到目标后继续下一次攻击。如:下载敏感信息;实施盗取账户密码、信用卡号等经济盗窃;瘫痪网络。三、网络攻击的原理和方法1、密码入侵所谓密码入侵,是指利用一些合法用户的账号和密码登录目的主机,然后进行攻击活动。这种方法的前提是必须先获取主机上某个合法用户的账号,然后才能破译该合法用户的密码。普通用户账号的获取方式有很多,比如使用目标主机的Finger功能:使用Finger命令查询时,主机系统会显示保存的用户信息(如用户名、登录时间等。)在终端或电脑上;利用目标主机的X.500服务:部分主机没有关闭X.500的目录查询服务,这也为攻击者获取信息提供了一个容易的途径;从电子邮件地址收集:一些用户的电子邮件地址经常会暴露他们在目标主机上的帐号;检查主机是否有习惯账号:有经验的用户都知道,很多系统都会使用一些习惯账号,导致账号泄露。还有三种方法:(1)通过网络监听非法获取用户密码,有一定的局限性,但危害极大。监听经常被监听者使用,这也是获取用户账号和密码的有效方法。目前,许多协议根本不使用任何加密或认证技术。例如,在Telnet、FTP、HTTP和SMTP等传输协议中,用户帐户和密码信息以明文格式传输。这时,如果攻击者使用包拦截工具,就很容易收集到你的账号和密码。还有一种更厉害的拦截攻击方式,可以在你与服务器建立连接后,在通信过程中扮演“第三方”的角色,冒充服务器的身份欺骗你,然后冒充你向服务器发送恶意请求,后果不堪设想。此外,攻击者有时会利用软硬件工具时刻监控系统主机的工作,等待记录用户登录信息,从而获取用户密码;或者编译带有缓冲区溢出错误的SUID程序,以获得超级用户权限。(2)知道用户的账号后(比如e-mail @的前一部分),用一些特殊的软件强行破解用户的密码。这种方法不受网段限制,但攻击者要有足够的耐心和时间。比如用字典穷举法(或蛮力法)破解用户密码。攻击者可以通过一些工具和程序自动从计算机字典中取一个单词作为用户的密码,然后输入到远程主机申请进入系统;如果密码错误,则按顺序取出下一个单词,进行下一次尝试,如此循环,直到找到正确的密码或尝试字典中的单词。因为这个解码过程是由计算机程序自动完成的,所以你可以在几个小时内尝试拥有几十万条记录的字典中的所有单词。(3)它利用了系统管理员的错误。在现代的Unix操作系统中,用户的基本信息都存储在passwd文件中,所有密码都采用DES加密方法加密,存储在一个名为shadow的文件中。黑客拿到密码文件后,会用一个特殊的程序破解DES加密来解密码。同时,由于很多操作系统存在很多安全漏洞、bug或者其他一些设计缺陷,一旦发现这些缺陷,黑客就可以长驱直入。比如打开Windows 95/98系统后门的BO,就是利用了Windows的基础设计缺陷。2.特洛伊木马程序可以直接入侵用户的电脑并摧毁它们。它们通常伪装成工具程序或游戏,诱使用户打开带有特洛伊木马程序的电子邮件附件,或者直接从互联网上下载。用户一旦打开这些邮件附件或者执行这些程序,就会像特洛伊木马藏兵于敌城之外一样呆在自己的电脑里,在自己的电脑系统里隐藏一个可以在windows启动时悄悄执行的程序。当您连接到互联网时,此程序会通知攻击者报告您的IP地址和预设端口。攻击者收到这些信息后,就可以利用这个潜伏程序随意修改你电脑的参数设置,复制文件,窥视你整个硬盘的内容等。,从而达到控制你的电脑的目的。3.万维网欺骗技术。在互联网上,用户可以使用IE和其他浏览器访问各种网站,如阅读新闻组、咨询产品价格、订阅报纸和电子商务。但一般用户可能不会想到这些问题:正在访问的网页被黑客篡改过,网页上的信息是假的!比如黑客把用户想浏览的网页的URL改写成指向黑客自己的服务器。当用户浏览目标网页时,实际上是向黑客服务器发出请求,黑客就可以达到作弊的目的。一般的网页欺骗使用两种技术手段,即URL地址重写技术和相关的网关信息屏蔽技术。利用URL地址,将这些地址发送到攻击者的Web服务器,也就是说,攻击者可以在所有URL地址前面加上自己的Web地址。这样,当用户与站点进行安全链接时,就会毫无防备地进入攻击者的服务器,因此用户记录的所有信息都在攻击者的监控之下。但由于浏览设备一般都配有地址栏和状态栏,当浏览器连接到一个站点时,地址栏和状态样本中可以获得所连接网站的地址及其相关传输信息,以便用户发现问题。因此,攻击者在重写URLf地址的同时,往往会使用相关的信息覆盖技术,即一般使用javascript程序来重写地址样本和表单样本,以达到覆盖欺诈的目的。4.电子邮件攻击电子邮件是互联网上广泛使用的一种通信方式。攻击者可以利用一些邮件炸弹软件或CGI程序,向目的邮箱发送大量重复无用的垃圾邮件,从而使目的邮箱爆仓,无法使用。当垃圾邮件的发送流量特别大时,还可能导致邮件系统响应缓慢无法正常工作,甚至瘫痪。与其他攻击方式相比,这种攻击方式具有简单、见效快的优点。邮件攻击主要表现为两种方式:(1)邮件炸弹和邮件“滚雪球”,也就是通常所说的邮件炸弹。是指用伪造的IP地址和电子邮件地址向同一个邮箱发送数千、数万甚至无限次内容相同的垃圾邮件,导致受害者邮箱被“轰炸”,严重时可能给电子邮件服务器操作系统带来危险甚至瘫痪;(2)电子邮件诈骗,攻击者伪装成系统管理员(邮箱地址与系统管理员的邮箱地址完全相同),向用户发送邮件要求用户修改密码(密码可能是指定的字符串)或在看似正常的附件中加载病毒或其他木马程序。5.通过一个节点攻击其他节点在突破一台主机后,攻击者往往以这台主机为基地攻击其他主机(隐藏自己的入侵路径,避免留下蛛丝马迹)。他们可以使用网络监控方法来尝试破坏同一网络中的其他主机;还可以通过IP欺骗和主机信任关系攻击其他主机。这种攻击很狡猾,但是有些技术很难掌握,比如TCP/IP欺骗攻击。攻击者通过外部计算机将自己伪装成另一台合法机器。它可以破坏两台机器之间通信链路上的数据,其伪装目的是欺骗网络中的其他机器错误地接受其攻击者为合法机器,并诱导其他机器向其发送数据或允许其修改数据。TCP/IP欺骗可以发生在TCP/IP系统的各个层次,包括数据链路层、网络层、传输层和应用层,这些都很容易受到影响。如果底层被破坏,应用层的所有协议都将面临危险。此外,由于用户本身并不直接与底层沟通,对底层的攻击更具欺骗性。
愿这里成为我们的网上家园。
2005-01-08 11:52
举报帖子
复制帖子
添加为精华
单棒屏蔽
后评估
使用道具
风影
级别:管理员
声望:1500
第453条
积分:3056
注册:2004年6月7日QQ二楼。
常见网络攻击与防范手册(二)
6.网络监控网络监控是主机的一种工作模式。在这种模式下,无论发送方和接收方是谁,主机都能接收到该网段同一物理通道上传输的所有信息。由于用户输入的密码在系统校验密码时需要从客户端传输到服务器端,所以攻击者可以监听到两端之间的数据。此时,如果两台主机之间的通信信息没有加密,使用一些网络监控工具(如Windows 95/98/NT的NetXRay、Linux的Sniffit、Solaries等)就可以很容易地截获包括密码、账号在内的信息资料。).虽然网络监听获得的用户账号和密码有一定的局限性,但是监听者往往可以获得其所在网段的所有用户账号和密码。7.利用黑客软件攻击利用黑客软件攻击是互联网上常见的攻击方式。Back Orifice2000和Glacier是众所周知的木马。他们可以非法获取用户电脑的超级用户权限,并对其进行完全控制。除了文件操作,他们还可以在对方的桌面上拍照,获取密码。这些黑客软件分为服务器端和客户端。黑客攻击时,会使用客户端程序登录已经安装了服务器端程序的电脑。这些服务器端的程序相对来说比较小,通常会附加一些软件。有可能用户下载一个小游戏运行后,会在服务器端安装黑客软件,而黑客软件大多具有很强的再生能力,会给用户清理造成一定的麻烦。特别是最近出现了一种TXT文件的骗术,表面看起来是TXT文本文件,实际上是带有黑客程序的可执行程序,有些程序还会伪装成其他格式的图片和文件。8.安全漏洞攻击许多系统都有这样或那样的缺陷。有些是操作系统或应用软件本身所拥有的。例如缓冲区溢出攻击。因为很多系统接受任意长度的数据输入,不检查程序和缓冲区之间的变化,就把溢出的数据放到堆栈上,系统还是照常执行命令。这样,只要攻击者发送的指令超出了缓冲区能够处理的长度,系统就会进入不稳定状态。如果攻击者专门配置一串字符作为攻击,他甚至可以访问根目录,从而对整个网络拥有绝对的控制权。还有的利用协议漏洞进行攻击。比如攻击者利用POP3必须在根目录运行的漏洞发起攻击,破坏的根目录,从而获得超级用户的权限。再比如,ICMP协议经常被用来发起拒绝服务攻击。其具体方法是向目的服务器发送大量数据包,几乎占用了服务器的所有网络带宽,从而无法处理正常的服务请求,导致无法进入网站,网站响应速度大幅降低或服务器瘫痪。现在常见的同类蠕虫或病毒都可以攻击服务器进行拒绝服务。它们非常多产。一般他们通过微软Outlook软件向很多邮箱发送病毒,使得邮件服务器无法承受如此巨大的数据处理量而瘫痪。对于个人上网用户来说,也有可能被大量数据包攻击,导致无法进行正常的网络操作。9.端口扫描攻击所谓端口扫描,就是利用Socket编程与目标主机的一些端口建立TCP连接,并验证传输协议,从而发现目标主机的扫描端口是否处于活动状态,主机提供哪些服务,提供的服务是否包含一些缺陷等等。常见的扫描方式有:Connect()扫描。碎片扫描IV。攻击者常用的攻击工具:1、DOS攻击工具:比如WinNuke通过发送OOB漏洞导致系统蓝屏;Bonk通过发送大量伪造的UDP数据包导致系统重新启动;TearDrop通过发送重叠的IP片段使系统的TCP/IP堆栈崩溃;WinArp通过发送特殊数据包在对方机器上生成大量窗口;Land通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启。FluShot通过发送特定的IP数据包使系统固化;Bloo通过发送大量互联网控制消息协议导致系统变慢甚至固化;皮条客通过IGMP漏洞导致系统蓝屏甚至重启;Jolt通过大量伪造的ICMP和UDP导致系统变得非常慢甚至重启。2.木马程序(1)和BO2000(BackOrifice):是TCP/IP框架最通用的攻击工具,可以收集信息,执行系统命令,重置机器,重定向网络的客户端/服务器应用程序。BO2000支持多种网络协议,可以采用TCP或UDP传输,也可以采用异或加密算法或高级3DES加密算法加密。感染BO2000后,机器完全被别人控制,黑客成为超级用户。你所有的操作都可以被BO2000自带的“秘密摄像机”录成“录像带”。(2)“Glacier”:Glacier是国产木马程序,中文用户界面简单,只有少数流行的杀毒和防火墙能检测到Glacier的存在。冰川的作用不逊于国外的特洛伊马项目。它可以自动跟踪目标机的屏幕变化,完全模拟键盘鼠标输入,即在被控终端与监控终端同步屏幕变化的同时,被控终端的所有键盘鼠标操作都会反映在被控终端的屏幕上。可以记录各种密码信息,包括开机密码、屏保密码、共享资源的各种密码以及已经出现在对话框中的大部分密码信息;它可以获得系统信息;它还可以执行注册表操作,包括浏览主键、添加、删除、复制、重命名和读写键值。(3) NetSpy:可以在Windows 95/98/NT/2000等各种平台上运行。它是一个简单的基于TCP/IP的文件传输软件,但实际上你可以把它看成一个没有权限控制的增强型FTP服务器。通过它,攻击者可以神不知鬼不觉地下载和上传目标机器上的任何文件,并可以执行一些特殊操作。(4) Glacier:该程序可以自动跟踪目标计算机的屏幕变化,获取目标计算机的登录密码和各种密码信息,获取目标计算机系统的信息,限制目标计算机系统的功能,任意操作目标计算机文件和目录,远程关机,发送信息等监控功能。类似于BO2000。(5) KeyboardGhost:Windows系统是基于MessageLoop的操作系统。系统的核心区预留一定数量的字节作为键盘输入的缓冲区,其数据结构采用队列的形式。就是通过直接访问这个队列,键盘Ghost可以记录你的邮箱地址,代理的账号和密码(屏幕上显示星号),所有以星号形式显示的密码窗口相关的符号都会被记录,还有一个名为KG的隐式文件。DAT将在系统的根目录下生成。(6) ExeBind:该程序可以将指定的攻击程序绑定到任何流行软件上,这样在执行宿主程序的同时,寄生程序也在后台执行,并且支持多次捆绑。实际上是通过多次分割文件,多次从父进程调用子进程来实现的。五、网络攻击的应对策略在以上对网络攻击的分析和识别的基础上,要精心制定有针对性的策略。明确保障对象,建立强有力的保障体系。有的放矢,在网络中层层设防,发挥网络每一层的作用,让每一层都成为检查点,让攻击者无缝隙可钻,无所事事。下雨前也要未雨绸缪,备份重要数据,时刻关注系统运行。以下是对很多令人担忧的网络安全问题的一些建议:1,提高安全意识(1)。不要随意打开来历不明的邮件和文件,不要随意运行不太了解的人给你的程序,比如“特洛伊”黑客程序,这些程序需要被诱骗运行。(2)尽量避免从网上下载不明软件和游戏程序。即使是从知名网站下载的软件,也要及时用最新的病毒和特洛伊杀马软件进行扫描。(3)密码设置尽量采用字母数字,简单的英文或数字容易穷尽。设置不同的常用密码,以防止人们找到一个并将其与重要密码联系起来。重要密码最好经常更换。(4)及时下载安装系统补丁。(5)不要随便运行黑客程序。许多这些程序在运行时会发送出您的个人信息。(6)在支持HTML的BBS上,如果发现提交警告,先看源代码,很可能是骗密码的陷阱。2.使用防病毒、防黑客等防火墙软件。防火墙是阻止网络中的黑客访问组织网络的屏障,也可以称为双向控制通信的门槛。在网络边界上,建立相应的网络通信监控系统,隔离内外网,防止外网入侵。3.设置一个代理服务器来隐藏你自己的IP地址。保护你的IP地址是非常重要的。其实就算你的机器上安装了木马程序,没有你的IP地址,攻击者也没办法,而保护IP地址最好的办法就是设置代理服务器。代理服务器可以作为外网申请接入内网的中介,其功能类似于数据转发器,主要控制哪些用户可以接入哪些服务类型。当外网向内网申请某项网络服务时,代理服务器接受申请,然后根据其服务类型、服务内容、服务对象、服务提供商的申请时间、申请人的域名范围等决定是否接受服务。如果是,它会将请求转发到内部网络。4.把杀毒反黑作为常规工作,定期更新杀毒组件,让杀毒软件保持常驻状态,彻底防病毒。5.由于黑客经常在特定日期发动攻击,计算机用户在此期间应特别警惕。6、对重要的个人数据做好严格的保护工作,并养成数据备份的习惯。DOS攻击的原理和方法介绍关于DOS(拒绝服务)攻击的文章已经很多了,但是大部分人还是不知道DOS是什么,是如何实现的。本文主要介绍DOS的机制和常用的实现方法。因为前段时间仔细了解过TCP/IP协议和RFC文档,所以有一些体会。同时,本文中的部分内容是从Shaft的文章中翻译过来的。为了了解DOS攻击的实现机制,我们必须对TCP有一定的了解。因此,本文分为两部分。第一部分介绍了与拒绝服务攻击相关的一些协议,第二部分介绍了拒绝服务攻击的常用方式。1.什么是dos攻击DOS:拒绝服务,拒绝服务的缩写,不能认为是微软的DOS操作系统。好像5.1的时候有过这样的笑话。拒绝服务就相当于必胜客客满了就不让人进了。呵呵,想吃馅饼,必须在门口等。DOS攻击是指攻击者试图阻止目标机器提供服务或访问资源,包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户访问。例如:*试图淹没服务器并阻止合法的网络访问?br & gt*破坏两台机器之间的连接,阻止访问服务*阻止特殊用户访问服务*破坏服务器的服务或导致服务器崩溃。然而,只有那些更阴险的攻击者单独使用DOS攻击来破坏服务器。通常,DOS攻击会被视为入侵的一部分。例如,在绕过入侵检测系统时,通常会使用大量的攻击,导致入侵检测系统的日志过多或响应缓慢,这样入侵者就可以在大量的攻击中骗过入侵检测系统。2.TCP(传输控制协议),用于在不可靠的互联网上提供可靠的端到端的字节流通信协议,在RFC793中有形式化的定义,RFC 1122中记录了一些解决错误的东西,RFC 1323有TCP的功能扩展。在常见的TCP/IP协议中,IP层并不保证数据报会正确地送达目的地,而TCP从本地机器接受用户的数据流,将其分成不超过64K字节的数据段,将每个数据段作为一个单独的IP包发送,最后在目的地机器组合成一个完整的字节流。TCP协议必须确保可靠性。发送方和接收方之间的TCP传输以数据段的形式交换数据。一个数据段包括一个固定的20字节头,加上可选部分,后面是数据。当TCP协议从发送方传输数据段时,它还会启动一个计时器。当数据段到达目的地时,接收器也发回一个数据段,该数据段具有确认序列号,该序列号等于它希望接收的下一个数据段的序列号。如果计时器在确认消息到达之前超时,接收方将发回确认消息。以上,我们一般对TCP协议略知一二,熟悉TCP头很重要。因为数据流的传输最重要的是头里面有什么,至于发送的数据,只是附在头里面。客户端和服务器的服务响应与头中的数据有关,两端的信息交换是根据头中的内容实现的。所以,要实现DOS,必须非常熟悉头文件中的内容。以下是TCP数据段报头的格式。源端口和目的端口:是本地端口和目的端口序列号和确认号:是序列号和确认号,确认号是您想要接收的字节号。这都是32位。在TCP流中,每个数据字节都有编号。数据偏移量:表示TCP报头包含多少个32位字,用于确定报头的长度,因为报头中的可选字段长度是不确定的。保留:保留的6位现在没用了,都是0。接下来是1位的6个符号,是两台计算机之间进行数据交换的信息符号。接收和发送根据这些标志确定信息流的类型。下面介绍一下:urg:(紧急指针字段显著)紧急指针。使用时,取值为1,用于处理避免TCP数据流中断ACK:(确认字段意义)设置为1时,表示确认号合法;当它为0时,表示数据段不包含确认信息,确认号被忽略。Psh: (PUSH函数),带有PUSH标志的数据,当设置为1时,请求的数据段可以在接收方得到后直接发送给应用程序,而不是等到缓冲区满了再发送。RST:(重置连接)用于重置由于某种原因导致的错误连接,也用于拒绝非法数据和请求。如果收到RST位,通常会出现一些错误。Syn:(同步序列号)用于建立连接。在连接请求中,SYN=1,CK=0,在连接响应中,SYN=1,ACK=1。也就是说,SYN和ACK区分连接请求和连接接受。Fin:(没有来自发送方的更多数据)用于释放连接,表示发送方没有数据要发送。了解了这六个重要指标之后,我们继续。16位窗口字段:表示字节确认后可以发送多少字节。可以是0,表示包括确认号减1(即所有数据都已发送)在内的所有数据段都已收到。接下来是16位校验和字段,以确保可靠性。这里不解释16位紧急指针和以下字段。不然太多了。呵呵,懒。我们进入更重要的部分:TCP连接握手过程。这个过程简单地分为三个步骤。在没有连接的情况下,接收方(我们瞄准的是服务器),服务器处于监听状态,等待其他机器发送连接请求。步骤1:客户端发送一个带有SYN位的请求,表示需要连接到服务器。比如发送一个包的时候请求序列号是10,那么就会是SYN=10,ACK=0,然后等待服务器的响应。第二步:服务器收到这样的请求后,会检查指定端口是否在监听,否则会发送RST=1回复,拒绝建立连接。如果接收到连接,服务器会发送一条确认消息。SYN是服务器的内部代码,假设是100,ACK位是客户端的请求序列号加上1。在这个例子中,发送的数据是SYN=100,ACK=11,发送给客户端。向客户端指示服务器连接就绪,等待客户端的确认。此时,客户端收到消息后,对获取的信息进行分析,准备向服务器发送连接确认信号。步骤3:客户端向服务器发送连接确认消息。确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加上1。即:SYN=11,ACK=101。至此,连接已经建立。然后发送数据,