資源描述:
《常見攻擊方法與攻擊過程的簡單描述》由會員上傳分享�,免費在線閱讀��,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�、常見攻擊方法與攻擊過程的簡單描述 系統(tǒng)攻擊是指某人非法使用或破壞某一信息系統(tǒng)中的資源,以及非授權(quán)使系統(tǒng)喪失部分或全部服務(wù)功能的行為��。通?���?梢园压艋顒哟笾路譃檫h程攻擊和內(nèi)部攻擊兩種。現(xiàn)在隨著互聯(lián)網(wǎng)絡(luò)的進步���,其中的遠程攻擊技術(shù)得到很大發(fā)展����,威脅也越來越大�,而其中涉及的系統(tǒng)漏洞以及相關(guān)的知識也較多,因此有重要的研究價值�。一、TCPSYN拒絕服務(wù)攻擊一般情況下���,一個TCP連接的建立需要經(jīng)過三次握手的過程����,即:1�、建立發(fā)起者向目標計算機發(fā)送一個TCPSYN報文�;2���、目標計算機收到這個SYN報文后����,在內(nèi)存中創(chuàng)建TCP連接控制
2�����、塊(TCB)���,然后向發(fā)起者回送一個TCPACK報文����,等待發(fā)起者的回應��;3���、發(fā)起者收到TCPACK報文后����,再回應一個ACK報文,這樣TCP連接就建立起來了��。利用這個過程���,一些惡意的攻擊者可以進行所謂的TCPSYN拒絕服務(wù)攻擊:1、攻擊者向目標計算機發(fā)送一個TCPSYN報文�;2、目標計算機收到這個報文后��,建立TCP連接控制結(jié)構(gòu)(TCB)��,并回應一個ACK��,等待發(fā)起者的回應�;3、而發(fā)起者則不向目標計算機回應ACK報文�����,這樣導致目標計算機一致處于等待狀態(tài)�����?��?梢钥闯?��,目標計算機如果接收到大量的TCPSYN報文���,而沒有收到發(fā)起者的第
3、三次ACK回應����,會一直等待,處于這樣尷尬狀態(tài)的半連接如果很多�����,則會把目標計算機的資源(TCB控制結(jié)構(gòu)����,TCB,一般情況下是有限的)耗盡���,而不能響應正常的TCP連接請求�����。防御:在防火墻上過濾來自同一主機的后續(xù)連接�����。未來的SYN洪水令人擔憂����,由于釋放洪水的并不尋求響應,所以無法從一個簡單高容量的傳輸中鑒別出來����。檢測方法:檢查單位時間內(nèi)收到的SYN連接否收超過系統(tǒng)設(shè)定的值���。?反攻擊方法:當接收到大量的SYN數(shù)據(jù)包時���,通知防火墻阻斷連接請求或丟棄這些數(shù)據(jù)包,并進行系統(tǒng)審計�����。ICMP洪水正常情況下�����,為了對網(wǎng)絡(luò)進行診斷�,一些診斷程序
4、,比如PING等�����,會發(fā)出ICMP響應請求報文(ICMPECHO)�����,接收計算機接收到ICMPECHO后��,會回應一個ICMPECHOReply報文����。而這個過程是需要CPU處理的,有的情況下還可能消耗掉大量的資源��,比如處理分片的時候����。這樣如果攻擊者向目標計算機發(fā)送大量的ICMPECHO報文(產(chǎn)生ICMP洪水),則目標計算機會忙于處理這些ECHO報文�����,而無法繼續(xù)處理其它的網(wǎng)絡(luò)數(shù)據(jù)報文��,這也是一種拒絕服務(wù)攻擊(DOS)。UDP洪水原理與ICMP洪水類似�,攻擊者通過發(fā)送大量的UDP報文給目標計算機,導致目標計算機忙于處理這些UDP報
5�、文而無法繼續(xù)處理正常的報文。防御:關(guān)掉不必要的TCP/IP服務(wù)����,或者對防火墻進行配置阻斷來自Internet的請求這些服務(wù)的UDP請求?����;蜗⒐舾庞[:各類操作系統(tǒng)上的許多服務(wù)都存在此類問題�,由于這些服務(wù)在處理信息之前沒有進行適當正確的錯誤校驗�����,在收到畸形的信息可能會崩潰��。防御:打最新的服務(wù)補丁���?�?诹畈聹y概覽:一旦黑客識別了一臺主機而且發(fā)現(xiàn)了基于NetBIOS�、Telnet或NFS這樣的服務(wù)的可利用的用戶帳號,成功的口令猜測能提供對機器控制�����。防御:要選用難以猜測的口令�,比如詞和標點符號的組合。確保像NFS����、NetBIO
6、S和Telnet這樣可利用的服務(wù)不暴露在公共范圍�����。如果該服務(wù)支持鎖定策略����,就進行鎖定。特洛伊木馬概覽:特洛伊木馬是一種或是直接由一個黑客���,或是通過一個不令人起疑的用戶秘密安裝到目標系統(tǒng)的程序�����。一旦安裝成功并取得管理員權(quán)限�,安裝此程序的人就可以直接遠程控制目標系統(tǒng)。最有效的一種叫做后門程序��,惡意程序包括:NetBus���、BackOrifice和BO2k,用于控制系統(tǒng)的良性程序如:netcat��、VNC���、pcAnywhere。理想的后門程序透明運行����。防御:避免下載可疑程序并拒絕執(zhí)行,運用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機上的監(jiān)聽TCP
7���、服務(wù)。緩沖區(qū)溢出概覽:由于在很多的服務(wù)程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數(shù)�����,最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口�����,然后將該代碼綴在緩沖區(qū)有效載荷末尾,這樣當發(fā)生緩沖區(qū)溢出時����,返回指針指向惡意代碼,這樣系統(tǒng)的控制權(quán)就會被奪取�����。防御:利用SafeLib��、tripwire這樣的程序保護系統(tǒng)��,或者瀏覽最新的安全公告不斷更新操作系統(tǒng)��。地址掃描概覽:運用ping這樣的程序探測目標地址�����,對此作出響應的表示其存在����。防御:在防火墻上過濾掉ICMP應答消息。反響映射概覽
8�����、:黑客向主機發(fā)送虛假消息,然后根據(jù)返回“hostunreachable”這一消息特征判斷出哪些主機是存在的����。目前由于正常的掃描活動容易被防火墻偵測到,黑客轉(zhuǎn)而使用不會觸發(fā)防火墻規(guī)則的常見消息類型����,這些類型包括:RESET消息、SYN-ACK消息�、DNS響應包。防御:NAT和非路由代理服務(wù)器能夠自動抵御此類攻擊����,也可以
