資源描述:
《常見攻擊方法與攻擊過程的簡單描述》由會(huì)員上傳分享�,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1、常見攻擊方法與攻擊過程的簡單描述 系統(tǒng)攻擊是指某人非法使用或破壞某一信息系統(tǒng)中的資源�����,以及非授權(quán)使系統(tǒng)喪失部分或全部服務(wù)功能的行為。通?��?梢园压艋顒?dòng)大致分為遠(yuǎn)程攻擊和內(nèi)部攻擊兩種?�,F(xiàn)在隨著互聯(lián)網(wǎng)絡(luò)的進(jìn)步���,其中的遠(yuǎn)程攻擊技術(shù)得到很大發(fā)展,威脅也越來越大�����,而其中涉及的系統(tǒng)漏洞以及相關(guān)的知識(shí)也較多���,因此有重要的研究價(jià)值�����。一��、TCPSYN拒絕服務(wù)攻擊一般情況下���,一個(gè)TCP連接的建立需要經(jīng)過三次握手的過程,即:1���、建立發(fā)起者向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCPSYN報(bào)文���;2、目標(biāo)計(jì)算機(jī)收到這個(gè)SYN報(bào)文后����,在內(nèi)存中創(chuàng)建TCP連接控制塊(TCB)
2、�,然后向發(fā)起者回送一個(gè)TCPACK報(bào)文,等待發(fā)起者的回應(yīng)����;3、發(fā)起者收到TCPACK報(bào)文后��,再回應(yīng)一個(gè)ACK報(bào)文�����,這樣TCP連接就建立起來了�。利用這個(gè)過程,一些惡意的攻擊者可以進(jìn)行所謂的TCPSYN拒絕服務(wù)攻擊:1�����、攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)TCPSYN報(bào)文;2�����、目標(biāo)計(jì)算機(jī)收到這個(gè)報(bào)文后�����,建立TCP連接控制結(jié)構(gòu)(TCB)����,并回應(yīng)一個(gè)ACK,等待發(fā)起者的回應(yīng)�����;3��、而發(fā)起者則不向目標(biāo)計(jì)算機(jī)回應(yīng)ACK報(bào)文�,這樣導(dǎo)致目標(biāo)計(jì)算機(jī)一致處于等待狀態(tài)?����?梢钥闯觯繕?biāo)計(jì)算機(jī)如果接收到大量的TCPSYN報(bào)文����,而沒有收到發(fā)起者的第三次ACK回應(yīng),會(huì)一直等
3�����、待����,處于這樣尷尬狀態(tài)的半連接如果很多����,則會(huì)把目標(biāo)計(jì)算機(jī)的資源(TCB控制結(jié)構(gòu),TCB��,一般情況下是有限的)耗盡����,而不能響應(yīng)正常的TCP連接請求。防御:在防火墻上過濾來自同一主機(jī)的后續(xù)連接�����。未來的SYN洪水令人擔(dān)憂��,由于釋放洪水的并不尋求響應(yīng),所以無法從一個(gè)簡單高容量的傳輸中鑒別出來����。檢測方法:檢查單位時(shí)間內(nèi)收到的SYN連接否收超過系統(tǒng)設(shè)定的值。?反攻擊方法:當(dāng)接收到大量的SYN數(shù)據(jù)包時(shí)�����,通知防火墻阻斷連接請求或丟棄這些數(shù)據(jù)包�����,并進(jìn)行系統(tǒng)審計(jì)����。ICMP洪水正常情況下,為了對網(wǎng)絡(luò)進(jìn)行診斷�,一些診斷程序,比如PING等�,會(huì)發(fā)出ICMP響應(yīng)
4、請求報(bào)文(ICMPECHO)��,接收計(jì)算機(jī)接收到ICMPECHO后���,會(huì)回應(yīng)一個(gè)ICMPECHOReply報(bào)文���。而這個(gè)過程是需要CPU處理的���,有的情況下還可能消耗掉大量的資源,比如處理分片的時(shí)候����。這樣如果攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送大量的ICMPECHO報(bào)文(產(chǎn)生ICMP洪水),則目標(biāo)計(jì)算機(jī)會(huì)忙于處理這些ECHO報(bào)文�����,而無法繼續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報(bào)文���,這也是一種拒絕服務(wù)攻擊(DOS)。UDP洪水原理與ICMP洪水類似��,攻擊者通過發(fā)送大量的UDP報(bào)文給目標(biāo)計(jì)算機(jī)���,導(dǎo)致目標(biāo)計(jì)算機(jī)忙于處理這些UDP報(bào)文而無法繼續(xù)處理正常的報(bào)文����。防御:關(guān)掉不必要的T
5、CP/IP服務(wù)���,或者對防火墻進(jìn)行配置阻斷來自Internet的請求這些服務(wù)的UDP請求��?���;蜗⒐舾庞[:各類操作系統(tǒng)上的許多服務(wù)都存在此類問題�����,由于這些服務(wù)在處理信息之前沒有進(jìn)行適當(dāng)正確的錯(cuò)誤校驗(yàn)��,在收到畸形的信息可能會(huì)崩潰�����。防御:打最新的服務(wù)補(bǔ)丁���?���?诹畈聹y概覽:一旦黑客識(shí)別了一臺(tái)主機(jī)而且發(fā)現(xiàn)了基于NetBIOS����、Telnet或NFS這樣的服務(wù)的可利用的用戶帳號(hào)�����,成功的口令猜測能提供對機(jī)器控制�����。防御:要選用難以猜測的口令���,比如詞和標(biāo)點(diǎn)符號(hào)的組合。確保像NFS�����、NetBIOS和Telnet這樣可利用的服務(wù)不暴露在公共范圍��。如果該服務(wù)
6�、支持鎖定策略�����,就進(jìn)行鎖定��。特洛伊木馬概覽:特洛伊木馬是一種或是直接由一個(gè)黑客,或是通過一個(gè)不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序���。一旦安裝成功并取得管理員權(quán)限����,安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)����。最有效的一種叫做后門程序,惡意程序包括:NetBus���、BackOrifice和BO2k,用于控制系統(tǒng)的良性程序如:netcat�、VNC�����、pcAnywhere�。理想的后門程序透明運(yùn)行。防御:避免下載可疑程序并拒絕執(zhí)行�,運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽TCP服務(wù)。緩沖區(qū)溢出概覽:由于在很多的服務(wù)程序中大意的程序員使用象strcp
7�����、y(),strcat()類似的不進(jìn)行有效位檢查的函數(shù),最終可能導(dǎo)致惡意用戶編寫一小段利用程序來進(jìn)一步打開安全豁口����,然后將該代碼綴在緩沖區(qū)有效載荷末尾,這樣當(dāng)發(fā)生緩沖區(qū)溢出時(shí)����,返回指針指向惡意代碼,這樣系統(tǒng)的控制權(quán)就會(huì)被奪取�����。防御:利用SafeLib����、tripwire這樣的程序保護(hù)系統(tǒng),或者瀏覽最新的安全公告不斷更新操作系統(tǒng)�����。地址掃描概覽:運(yùn)用ping這樣的程序探測目標(biāo)地址���,對此作出響應(yīng)的表示其存在。防御:在防火墻上過濾掉ICMP應(yīng)答消息�。反響映射概覽:黑客向主機(jī)發(fā)送虛假消息���,然后根據(jù)返回“hostunreachable”這一消息特征
8、判斷出哪些主機(jī)是存在的��。目前由于正常的掃描活動(dòng)容易被防火墻偵測到��,黑客轉(zhuǎn)而使用不會(huì)觸發(fā)防火墻規(guī)則的常見消息類型���,這些類型包括:RESET消息���、SYN-ACK消息、DNS響應(yīng)包���。防御:NAT和非路由代理服務(wù)器能夠自動(dòng)抵御此類攻擊�����,也可以
