網路攻擊

網路攻擊

網路攻擊所屬現代詞,指的是利用網路存在的漏洞和安全缺陷對網路系統的硬體、軟體及其系統中的資料進行的攻擊。

  • 中文名稱
    網路攻擊
  • 外文名稱
    Network attacks
  • 途徑
    網路
  • 方式
    利用漏洞和安全缺陷

六大趨勢

網路攻擊網路攻擊

在最近幾年裏,網路攻擊技術和攻擊工具有了新的發展趨勢,使借助Internet運行業務的機構面臨著前所未有的風險,本文將對網路攻擊的新動向進行分析,使讀者能夠認識、評估,並減小這些風險。

趨勢一:自動化程度和攻擊速度提高

攻擊工具的自動化水準不斷提高。自動攻擊一般涉及四個階段,在每個階段都出現了新變化。掃描可能的受害者。自1997年起,廣泛的掃描變見慣。目前,掃描工具利用更先進的掃描模式來改善掃描效果和提高掃描速度。損害脆弱的系統。以前,安全漏洞隻在廣泛的掃描完成後才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃描活動的一部分,從而加快了攻擊的傳播速度。傳播攻擊。在2000年之前,攻擊工具需要人來發動新一輪攻擊。目前,攻擊工具可

網路攻擊網路攻擊

以自己發動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播,在不到18個小時內就達到全球飽和點。攻擊工具的協調管理。隨著分散式攻擊工具的出現,攻擊者可以管理和協調分布在許多Internet系統上的大量已部署的攻擊工具。目前,分散式攻擊工具能夠更有效地發動拒絕服務攻擊,掃描潛在的受害者,危害存在安全隱患的系統。

趨勢二:攻擊工具越來越復雜

攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比,攻擊工具的特征更難發現,更難利用特征進行檢測。攻擊工具具有三個特點:反偵破,攻擊者採用隱蔽攻擊工具特徵的技術,這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多;動態行為,早期的攻擊工具是以單一確定的順序執行攻擊步驟,今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理,來變化它們的模式和行為;攻擊工具的成熟性,與早期的攻擊工具不同,目前攻擊工具可以通過升級或更換工具的一部分迅速變化,發動迅速變化的攻擊,且在每一次攻擊中會出現多種不同形態的攻擊工具。此外,攻擊工具越來越普遍地被開發為可在多種作業系統平台上執行。許多常見攻擊工具使用IRC或HTTP(超文本傳輸協定)等協定,從入侵者那裏向受攻擊的電腦傳送資料或命令,使得人們將攻擊特徵與正常、合法的網路傳輸流區別開變得越來越困難。

趨勢三:發現安全漏洞越來越快

網路攻擊網路攻擊

新發現的安全漏洞每年都要增加一倍,管理人員不斷用最新的補丁修補這些漏洞,而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。

趨勢四:越來越高的防火牆滲透率

防火牆是人們用來防範入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火牆,例如,IPP(Internet列印協定)和WebDAV(基于Web的分散式創作與翻譯)都可以被攻擊者利用來繞過防火牆。

趨勢五:越來越不對稱的威脅

Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決于連線到全球Internet上其他系統的安全狀態。由于攻擊技術的進步,一個攻擊者可以比較容易地利用分散式系統,對一個受害者發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高,威脅的將繼續增加。

趨勢六:對基礎設施將形成越來越大的威脅

基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由于使用者越來越多地依賴Internet完成日常業務,基礎設施攻擊引起人們越來越大的擔心。基礎設施面臨分散式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊。

拒絕服務攻擊利用多個系統攻擊一個或多個受害系統,使受攻擊系統拒絕向其合法使用者提供服務。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具並控製幾萬個受損害的系統發動攻擊。入侵者經常搜尋已知包含大量具有高速連線的易受攻擊系統的地址塊,電纜數據機、DSL和大學地址塊越來越成為計畫安裝攻擊工具的入侵者的目標。由于Internet是由有限而可消耗的資源組成,並且Internet的安全性是高度相互依賴的,因此拒絕服務攻擊十分有效。蠕蟲病毒是一種自我繁殖的惡意代碼。與需要使用者做某種事才能繼續繁殖的病毒不同,蠕蟲病毒可以自我繁殖。再加上它們可以利用大量安全漏洞,會使大量的系統在幾個小時內受到攻擊。一些蠕蟲病毒包括內置的拒絕服務攻擊載荷或Web站點損毀載荷,另一些蠕蟲病毒則具有動態配置功能。但是,這些蠕蟲病毒的最大影響力是,由于它們傳播時生成海量的掃描傳輸流,它們的傳播實際上在Internet上生成了拒絕攻擊,造成大量間接的破壞(這樣的例子包括:DSL路由器癱瘓;並非掃描本身造成的而是掃描引發的基礎網路管理(ARP)傳輸流激增造成的電纜調製解製器ISP網路全面超載)。

DNS是一種將名字翻譯為數位IP地址的分散式分級全球目錄。這種目錄結構最上面的兩層對于Internet運行至關重要。在頂層中有13個“根”名伺服器。下一層為頂級域名(TLD)伺服器,這些伺服器負責管理“.com”、“.net”等域名以及國家代碼頂級域名。DNS面臨的威脅包括:快取區中毒,如果使DNS快取偽造信息的話,攻擊者可以改變發向合法站點的傳輸流方向,使它傳送到攻擊者控製的站點上;破壞資料,攻擊者攻擊脆弱的DNS伺服器,獲得修改提供給使用者的資料的能力;拒絕服務,對某些TLD域名伺服器的大規模拒絕服務攻擊會造成Internet速度普遍下降或停止運行;域劫持,通過利用客戶升級自己的域註冊信息所使用的不安全機製,攻擊者可以接管域註冊過程來控製合法的域。路由器是一種指揮Internet上載輸流方向的專用電腦。路由器面臨的威脅有:將路由器作為攻擊平台,入侵者利用不安全的路由器作為生成對其他站點的掃描或偵察的平台;拒絕服務,盡管路由器在設計上可以傳送大量的傳輸流,但是它常常不能處理傳送給它的同樣數量的傳輸流,入侵者利用這種特徵攻擊連線到網路上的路由器,而不是直接攻擊網路上的系統;利用路由器之間的信賴關系,路由器若要完成任務,就必須知道向哪裏傳送接收到的傳輸流,路由器通過共享它們之間的路由信息來做到這點,而這要求路由器信賴其收到的來自其他路由器的信息,因此攻擊者可以比較容易地修改、移除全球Internet路由表或將路由輸入到全球Internet路由表中,將傳送到一個網路的傳輸流改向傳送到另一個網路,從而造成對兩個網路的拒絕服務攻擊。盡管路由器保護技術早已可供廣泛使用,但是許多使用者沒有利用路由器提供的加密和識別特徵來保護自己的安全。

幾種攻擊與防御手法

信息收集型攻擊

網路攻擊網路攻擊

信息收集型攻擊並不對目標本身造成危害,如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括:掃描技術、體系結構刺探、利用信息服務。

1.掃描技術 (1)地址掃描

概覽:運用ping這樣的程式探測目標地址,對此作出回響的表示其存在。

防御:在防火牆上過濾掉ICMP應答訊息。

(2)連線埠掃描

概覽:通常使用一些軟體,向大範圍的主機連線一系列的TCP連線埠,掃描軟體報告它成功的建立了連線的主機所開的連線埠。

防御:許多防火牆能檢測到是否被掃描,並自動阻斷掃描企圖。

(3)反響對應

概覽:黑客向主機傳送虛假訊息,然後根據返回“hostunreachable”這一訊息特征判斷出哪些主機是存在的。目前由于正常的掃描活動容易被防火牆偵測到,黑客轉而使用不會觸發防火牆規則的常見訊息類型,這些類型包括:RESET訊息、SYN-ACK訊息、DNS回響包。

防御:NAT和非路由代理伺服器能夠自動抵御此類攻擊,也可以在防火牆上過濾“hostunreachable”ICMP應答。

(4)慢速掃描

概覽:由于一般掃描偵測器的實現是通過監視某個時間楨裏一台特定主機發起的連線的數目(例如每秒10次)來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟體進行掃描。

防御:通過引誘服務來對慢速掃描進行偵測。

2.體系結構探測

網路攻擊網路攻擊

概覽:黑客使用具有已知回響類型的資料庫的自動工具,對來自目標主機的、對壞封包傳送所作出的回響進行檢查。由于每種作業系統都有其獨特的回響方法(例NT和Solaris的TCP/IP堆疊具體實現有所不同),通過將此獨特的回響與資料庫中的已知回響進行對比,黑客經常能夠確定出目標主機所運行的作業系統。

防御:去掉或修改各種Banner,包括作業系統和各種套用服務的,阻斷用于識別的連線埠擾亂對方的攻擊計畫。

利用信息服務

3.DNS域轉換 概覽:DNS協定不對轉換或信息性的更新進行身份識別,這使得該協定被人以一些不同的方式加以利用。如果你維護著一台公共的DNS伺服器,黑客隻需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。

防御:在防火牆處過濾掉域轉換請求。

4.Finger服務 概覽:黑客使用finger命令來刺探一台finger伺服器以獲取關于該系統的使用者的信息。

防御:關閉finger服務並記錄嘗試連線該服務的對方IP地址,或者在防火牆上進行過濾。

5.LDAP服務 概覽:黑客使用LDAP協定窺探網路內部的系統和它們的使用者的信息。

防御:對于刺探內部網路的LDAP進行阻斷並記錄,如果在公共機器上提供LDAP服務,那麽應把LDAP伺服器放入DMZ。

假訊息攻擊

用于攻擊目標配置不正確的訊息,主要包括:DNS高速快取污染、偽造電子郵件。

1.DNS高速快取污染 概覽:由于DNS伺服器與其他名稱伺服器交換信息的時候並不進行身份驗證,這就使得黑客可以將不正確的信息摻進來並把使用者引向黑客自己的主機。

防御:在防火牆上過濾入站的DNS更新,外部DNS伺服器不應能變更你的內部伺服器對內部機器的認識。

2.偽造電子郵件 概覽:由于SMTP並不對郵件的傳送者的身份進行鑒定,因此黑客可以對你的內部客戶偽造電子郵件,聲稱是來自某個客戶認識並相信的人,並附帶上可安裝的特洛伊木馬程式,或者是一個引向惡意網站的連線。

防御:使用PGP等安全工具並安裝電子郵件證書。

其它攻擊手法

口令入侵

所謂口令入侵是指使用某些合法使用者的帳號和口令登錄到目的主機,然後再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法使用者的帳號,然後再進行合法使用者口令的破譯。獲得普通使用者帳號的方法非常多,如

利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將儲存的使用者資料(如使用者名稱、登錄時間等)顯示在終端或電腦上;

利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑;

從電子郵件地址中收集:有些使用者電子郵件地址常會透露其在目標主機上的帳號;

查看主機是否有習慣性的帳號:有經驗的使用者都知道,非常多系統會使用一些習慣性的帳號,造成帳號的泄露。

放置特洛伊木馬程式

特洛伊木馬程式能直接侵入使用者的電腦並進行破壞,他常被偽裝成工具程式或遊戲等誘使使用者開啟帶有特洛伊木馬程式的郵件附屬檔案或從網上直接下載,一旦使用者開啟了這些郵件的附屬檔案或執行了這些程式之後,他們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬相同留在自己的電腦中,並在自己的電腦系統中隱藏一個能在windows啓動時悄悄執行的程式。當你連線到因特網上時,這個程式就會通知攻擊者,來報告你的IP地址及預先設定的連線埠。攻擊者在收到這些信息後,再利用這個潛伏在其中的程式,就能任意地修改你的電腦的參數設定、復製檔案、窺視你整個硬碟中的內容等,從而達到控製你的電腦的目的。

WWW的欺騙技術

在網上使用者能利用IE等流覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的使用者恐怕不會想到有這些問題存在:正在訪問的網頁已被黑客篡改過,網頁上的信息是虛假的!例如黑客將使用者要流覽的網頁的URL改寫為指向黑客自己的伺服器,當使用者流覽目標網頁的時候,實際上是向黑客伺服器發出請求,那麽黑客就能達到欺騙的目的了。

一般Web欺騙使用兩種技術手段,即URL地址重寫技術和相關信關信息掩蓋技術。利用URL地址,使這些地址都向攻擊者的Web伺服器,即攻擊者能將自已的Web地址加在所有URL地址的前面。這樣,當使用者和站點進行安全連結時,就會毫不防備地進入攻擊者的服器,于是用記的所有信息便處于攻擊者的監視之中。但由于流覽器材一般均設有地址欄和狀態欄,當流覽器和某個站點邊接時,能在地址欄和狀態樣中獲得連線中的Web站點地址及其相關的傳輸信息,使用者由此能發現問題,所以攻擊者往往在URLf址重寫的同時,利用相關信息排蓋技術,即一般用JavaScript程式來重寫地址樣和狀枋樣,以達到其排蓋欺騙的目的。

電子郵件攻擊

電子郵件是互連網上運用得十分廣泛的一種通訊方式。攻擊者能使用一些郵件炸彈軟體或CGI程式向目的信箱傳送大量內容重復、無用的垃圾郵件,從而使目的信箱被撐爆而無法使用。當垃圾郵件的傳送流量特別大時,更有可能造成郵件系統對于正常的工作反映緩慢,甚至癱瘓。相對于其他的攻擊手段來說,這種攻擊方法具有簡單、見效快等好處。

通過一個節點來攻擊其他節點

攻擊者在突破一台主機後,往往以此主機作為根據地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們能使用網路監聽方法,嘗試攻破同一網路內的其他主機;也能通過IP欺騙和主機信任關系,攻擊其他主機。

這類攻擊非常狡猾,但由于某些技術非常難掌控,如TCP/IP欺騙攻擊。攻擊者通過外部電腦偽裝成另一台合法機器來實現。他能磙壞兩台機器間通信鏈路上的資料,其偽裝的目的在于哄騙網路中的其他機器誤將其攻擊者作為合法機器加以接受,誘使其他機器向他傳送據或允許他修改資料。TCP/IP欺騙能發生TCP/IP系統的所有層次上,包括資料鏈路層、網路層、運輸層及套用層均容易受到影響。如果底層受到損害,則套用層的所有協定都將處于危險之中。另外由于使用者本身不直接和底層相互相交流,因而對底層的攻擊更具有欺騙性。

網路監聽

網路監聽是主機的一種工作模式,在這種模式下,主機能接收到本網段在同一條物理通道上載輸的所有信息,而不管這些信息的傳送方和接收方是誰。因為系統在進行密碼校驗時,使用者輸入的密碼需要從使用者端傳送到伺服器端,而攻擊者就能在兩端之間進行資料監聽。此時若兩台主機進行通信的信息沒有加密,隻要使用某些網路監聽工具(如NetXRayfor視窗系統95/98/NT、SniffitforLinux、Solaries等)就可輕而易舉地截取包括口令和帳號在內的信息資料。雖然網路監聽獲得的使用者帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有使用者帳號及口令。

利用黑客軟體攻擊

利用黑客軟體攻擊是互連網上比較多的一種攻擊手法。BackOrifice2000、冰河等都是比較著名的特洛伊木馬,他們能非法地取得使用者電腦的終極使用者級權利,能對其進行完全的控製,除了能進行檔案操作外,同時也能進行對方桌面抓圖、取得密碼等操作。這些黑客軟體分為伺服器端和使用者端,當黑客進行攻擊時,會使用使用者端程式登入上已安裝好伺服器端程式的電腦,這些伺服器端程式都比較小,一般會隨附帶于某些軟體上。有可能當使用者下載了一個小遊戲並運行時,黑客軟體的伺服器端就安裝完成了,而且大部分黑客軟體的重生能力比較強,給使用者進行清除造成一定的麻煩。特別是最近出現了一種TXT檔案欺騙手法,表面看上去是個TXT文本檔案,但實際上卻是個附帶黑客程式的可執行程式,另外有些程式也會偽裝成圖片和其他格式的檔案。

安全漏洞攻擊

許多系統都有這樣那樣的安全漏洞(Bugs)。其中一些是作業系統或套用軟體本身具有的。如緩沖區溢出攻擊。由于非常多系統在不檢查程式和緩沖之間變化的情況,就任意接受任意長度的資料輸入,把溢出的資料放在堆疊裏,系統還照常執行命令。這樣攻擊者隻要傳送超出緩沖區所能處理的長度的指令,系統便進入不穩定狀態。若攻擊者特別設定一串準備用作攻擊的字元,他甚至能訪問根目錄,從而擁有對整個網路的絕對控製權。另一些是利用協定漏洞進行攻擊。如攻擊者利用POP3一定要在根目錄下運行的這一漏洞發動攻擊,破壞的根目錄,從而獲得終極使用者的許可權。又如,ICMP協定也經常被用于發動拒絕服務攻擊。他的具體手法就是向目的伺服器傳送大量的封包,幾乎佔取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站回響速度大大降低或伺服器癱瘓。目前常見的蠕蟲病毒或和其同類的病毒都能對伺服器進行拒絕服務攻擊的進攻。他們的繁殖能力極強,一般通過Microsoft的Outlook軟體向眾多信箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的資料處理量而癱瘓。對于個人上網使用者而言,也有可能遭到大量封包的攻擊使其無法進行正常的網路操作。

連線埠掃描攻擊

所謂連線埠掃描,就是利用Socket編程和目標主機的某些連線埠建立TCP連線、進行傳輸協定的驗證等,從而偵知目標主機的掃描連線埠是否是處于激活狀態、主機提供了哪些服務、提供的服務中是否含有某些缺陷等等。常用的掃描方式有:Connect()掃描。Fragmentation掃描

攻擊的位置

(1)遠程攻擊:指外部攻擊者通過各種手段,從該子網以外的地方向該子網或者該子網內的系統發動攻擊。

(2)在地攻擊:指本單位的內部人員,通過所在的區域網路,向本單位的其他系統發動攻擊,在本級上進行非法越權訪問。

(3)偽遠程攻擊:指內部人員為了掩蓋攻擊者的身份,從在地獲取目標的一些必要信息後,攻擊過程從外部遠程發起,造成外部入侵的現象。

攻擊者常用的攻擊工具

1、DOS攻擊工具:

網路攻擊網路攻擊

如WinNuke通過傳送OOB漏洞導致系統藍屏;Bonk通過傳送大量偽造的UDP封包導致系統重啓;TearDrop通過傳送重疊的IP碎片導致系統的TCP/IP堆崩潰;WinArp通過發特別封包在對方機器上產生大量的視窗;Land通過傳送大量偽造源IP的基于SYN的TCP請求導致系統重啓動;FluShot通過傳送特定IP包導致系統凝固;Bloo通過傳送大量的ICMP封包導致系統變慢甚至凝固;PIMP通過IGMP漏洞導致系統藍屏甚至重新啓動;Jolt通過大量偽造的ICMP和UDP導致系統變的非常慢甚至重新啓動。

2、木馬程式

(1)、BO2000(BackOrifice):他是功能最全的TCP/IP構架的攻擊工具,能蒐集信息,執行系統命令,重新設定機器,重新定向網路的客戶端/伺服器套用程式。BO2000支持多個網路協定,他能利用TCP或UDP來傳送,還能用XOR加密演算法或更高級的3DES加密演算法加密。感染BO2000後機器就完全在別人的控製之下,黑客成了終極使用者,你的所有操作都可由BO2000自帶的“秘密攝像機”錄製成“錄像帶”。

(2)、“冰河”:冰河是個國產木馬程式,具有簡單的中文使用介面,且隻有少數流行的反病毒、防火牆才能查出冰河的存在。冰河的功能比起國外的木馬程式來一點也不遜色。他能自動跟蹤目標機器的螢幕變化,能完全模擬鍵盤及滑鼠輸入,即在使被控端螢幕變化和監視端產生同步的同時,被監視端的一切鍵盤及滑鼠操作將反映在控端的螢幕。他能記錄各種口令信息,包括開機口令、屏保口令、各種共享資源口令及絕大多數在對話框中出現過的口令信息;他能獲取系統信息;他還能進行註冊表操作,包括對主鍵的流覽、增刪、復製、重命名和對鍵值的讀寫等所有註冊表操作。

(3)、NetSpy:能運行于視窗系統95/98/NT/2000等多種平台上,他是個基于TCP/IP的簡單的檔案傳送軟體,但實際上你能將他看作一個沒有許可權控製的增強型FTP伺服器。通過他,攻擊者能神不知鬼不覺地下載和上載目標機器上的任意檔案,並能執行一些特別的操作。

(4)、Glacier:該程式能自動跟蹤目標電腦的螢幕變化、獲取目標電腦登錄口令及各種密碼類信息、獲取目標電腦系統信息、限製目標電腦系統功能、任意操作目標電腦檔案及目錄、遠程關機、傳送信息等多種監視功能。類似于BO2000。

(5)、KeyboardGhost:視窗系統系統是個以訊息迴圈(MessageLoop)為基礎的作業系統。系統的核心區保留了一定的位元組作為鍵盤輸入的緩沖區,其資料結構形式是佇列。鍵盤幽靈正是通過直接訪問這一佇列,使鍵盤上輸入你的電子信箱、代理的賬號、密碼Password(顯示在螢幕上的是星號)得以記錄,一切涉及以星號形式顯示出來的密碼視窗的所有符號都會被記錄下來,並在系統根目錄下生成一檔案名稱為KG.DAT的隱含檔案。

(6)、ExeBind:這個程式能將指定的攻擊程式捆綁到所有一個廣為傳播的熱門軟體上,使宿主程式執行時,寄生程式也在後台被執行,且支持多重捆綁。實際上是通過多次分割檔案,多次從父進程中調用子進程來實現的。

攻擊的層次

網路攻擊網路攻擊

從淺入深的分為以下幾個層次:

(1)簡單拒絕服務。

(2)在地使用者獲得非授權讀許可權。

(3)在地使用者獲得非授權寫許可權。

(4)遠程使用者獲得非授權賬號信息。

(5)遠程使用者獲得特權檔案的讀許可權。

(6)遠程使用者獲得特權檔案的寫許可權。

(7)遠程使用者擁有了系統管理員許可權。

攻擊分類

(1)主動攻擊:包含攻擊者訪問所需要信息的故意行為。

(2)被動攻擊。主要是收集信息而不是進行訪問,資料的合法使用者對這種活動一點也不會覺察到。被動攻擊包括:

1、竊聽。包括鍵擊記錄、網路監聽、非法訪問資料、獲取密碼檔案。

2、欺騙。包括獲取口令、惡意代碼、網路欺騙。

3、拒絕服務。包括導致異常型、資源耗盡型、欺騙型。

4、資料驅動攻擊:包括緩沖區溢出、格式化字元串攻擊、輸入驗證攻擊、同步漏洞攻擊、信任漏洞攻擊。

攻擊步驟

第一步:隱藏自已的位置

普通攻擊者都會利用別人的電腦隱藏他們真實的IP地址。老練的攻擊者還會利用800電話的無人轉接服務聯接ISP,然後再盜用他人的帳號上網。

第二步:尋找目標主機並分析目標主機

攻擊者首先要尋找目標主機並分析目標主機。在Internet上能真正標識主機的是IP地址,域名是為了便于記憶主機的IP地址而另起的名字,隻要利用域名和IP地址就能順利地找到目標主機。當然,知道了要攻擊目標的位置還是遠遠不夠的,還必須將主機的作業系統類型及其所提供服務等資料作個全方面的了解。此時,攻擊者們會使用一些掃描器工具,輕松獲取目標主機運行的是哪種作業系統的哪個版本,系統有哪些帳戶,WWW、FTP、Telnet、SMTP等伺服器程式是何種版本等資料,為入侵作好充分的準備。

第三步:獲取帳號和密碼,登錄主機

攻擊者要想入侵一台主機,首先要有該主機的一個帳號和密碼,否則連登錄都無法進行。這樣常迫使他們先設法盜竊帳戶檔案,進行破解,從中獲取某使用者的帳戶和口令,再尋覓合適時機以此身份進入主機。當然,利用某些工具或系統漏洞登錄主機也是攻擊者常用的一種技法。

第四步:獲得控製權

攻擊者們用FTP、Telnet等工具利用系統漏洞進入進入目標主機系統獲得控製權之後,就會做兩件事:清除記錄和留下後門。他會變更某些系統設定、在系統中置入特洛伊木馬或其他一些遠程操縱程式,以便日後能不被覺察地再次進入系統。大多數後門程式是預先編譯好的,隻需要想辦法修改時間和許可權就能使用了,甚至新檔案的大小都和原檔案一模相同。攻擊者一般會使用rep傳遞這些檔案,以便不留下FTB記錄。清除日志、移除拷貝的檔案等手段來隱藏自己的蹤跡之後,攻擊者就開始下一步的行動。

第五步:竊取網路資源和特權

攻擊者找到攻擊目標後,會繼續下一步的攻擊。如:下載敏感信息;實施竊取帳號密碼、額度卡號等經濟偷竊;使網路癱瘓。

網路攻擊應對策略

在對網路攻擊進行上述分析和識別的基礎上,我們應當認真製定有針對性的策略。明確安全對象,設定強有力的安全保障體系。有的放矢,在網路中層層設防,發揮網路的每層作用,使每一層都成為一道關卡,從而讓攻擊者無隙可鑽、無計可使。還必須做到未雨稠繆,預防為主,將重要的資料備份並時刻註意系統運行狀況。以下是針對眾多令人擔心的網路安全問題,提出的幾點建議

1、提高安全意識

(1)不要隨意開啟來歷不明的電子郵件及檔案,不要隨便運行不太了解的人給你的程式,比如“特洛伊”類黑客程式就需要騙你運行。中國.網管聯盟

(2)盡量避免從Internet下載不知名的軟體、遊戲程式。即使從知名的網站下載的軟體也要及時用最新的病毒和木馬查殺軟體對軟體和系統進行掃描。

(3)密碼設定盡可能使用字母數位混排,單純的英文或數位非常容易窮舉。將常用的密碼設定不同,防止被人查出一個,連帶到重要密碼。重要密碼最佳經常更換。

(4)及時下載安裝系統補丁程式。

(5)不隨便運行黑客程式,不少這類程式運行時會發出你的個人信息。

(6)在支持HTML的BBS上,如發現提交警告,先看原始碼,非常可能是騙取密碼的陷阱。

2、使用防毒、防黑等防火牆軟體。

防火牆是個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控製進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監視系統來隔離內部和外部網路,以阻檔外部網路的侵入。

3、設定代理伺服器,隱藏自已的IP地址。

保護自己的IP地址是非常重要的。事實上,即便你的機器上被安裝了木馬程式,若沒有你的IP地址,攻擊者也是沒有辦法的,而保護IP地址的最佳方法就是設定代理伺服器。代理伺服器能起到外部網路申請訪問內部網路的中間轉接作用,其功能類似于一個資料轉發器,他主要控製哪些使用者能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時,代理伺服器接受申請,然後他根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名範圍等來決定是否接受此項服務,如果接受,他就向內部網路轉發這項請求。

4、將防毒、防黑當成日常例性工作,定時更新防毒組件,將防毒軟體保持在常駐狀態,以完全防毒。

5、由于黑客經常會針對特定的日期發動攻擊,電腦使用者在此期間應特別提高警戒。

6、對于重要的個人資料做好嚴密的保護,並養成資料備份的習慣。

視網路攻擊為戰爭行為

2011年6月4日據日本共同社報道,美國國防部長蓋茨4日在于新加坡召開的亞洲安全會議上發表演講,蓋茨首次表明在確認遭到來自他國的網路攻擊時將“視之為戰爭行為並予以(武力)還擊”

相關詞條

相關搜尋

其它詞條