網絡流行的掃描軟件,在管理員手中是用來檢測系統漏洞的工具,以防患於未然;而對於黑客來講,它則是用來尋找攻擊入口、為入侵工作做準備的必備工具。
一、常見的黑客攻擊流程
黑客入侵主要是為了成為目標主機的主人,能夠獲得一臺網絡主機的超級用戶權限,這就達到了入侵的目的,比如說修改服務配置、安裝木馬程序、執行任意程序等。雖說現在網絡安全日新月異,舊的安全漏洞被補上,但是新的漏洞也會相繼出現,網絡攻擊正是利用這些安全漏洞和缺陷對系統和資源進行攻擊的。下面介紹黑客攻擊的基本流程。
1、隱藏自己的行蹤
黑客入侵就是要神不知鬼不覺地侵入目標主機,因此,在入侵之前要對自己做個偽裝,不能讓被攻擊者輕易發現。在進行網絡攻擊之前,先對自己真實的IP地址隱藏,一般攻擊者都是利用他人計算機來隱藏自己真實的IP,也有一些高手會通過800電話的無人轉接服務連接ISP,再套用他人的賬號進行偽裝。
2、查詢分析目標主機
攻擊要有目標,在Internet中IP地址就能夠真正標識一個主機,而域名是為了更好地對IP地址進行記憶管理的另一種顯現方式,這樣利用域名和IP地址就能夠確定目標主機了。確定了目標主機之後,就可以對其操作系統類型及所提供的服務等信息,做一個全方位的分析和了解。
一般攻擊者只用一些掃描器工具,瞭解目標主機所使用的操作系統類型及其版本、系統開放了哪些用戶、Web等服務器程序版本信息等,為入侵做好充分準備。
3、獲取權限用戶進行入侵
獲得目標主機權限用戶是入侵的最基本手段,攻擊者要先設法盜取目標主機的賬戶文件進行破解,來得到權限用戶的賬號和密碼,再尋找合適時機以此身份登錄主機。一般攻擊者都是通過一些黑惡攻擊或系統漏洞登錄目標主機的。
4、留下後門和清除記錄
在獲取權限用戶之後,就可以順利登錄目標主機系統,從而獲得控制權,然後留下後門和清除記錄,以便攻擊者以後不被察覺地再次入侵該目標主機。
其實所謂後門只是一些木馬程序或預先編譯好的遠程操縱程序,將這些程序修改時間和權限傳輸到目標主機隱秘的地方藏起來就可以了。一般攻擊者喜歡使用rep傳輸文件,以免讓受攻擊者發現。攻擊者還要使用清除日誌、刪除拷貝文件等方法清除自己的記錄,隱藏好自己的蹤跡。
5、竊取網絡資源
成功入侵了目標主機,該主機的所有資料都將呈現在黑客面前,此時即可下載有用資料(如一些重要的賬號密碼),甚至造成該主機及其所在的網絡癱瘓。
二、常用的網絡防禦技術
在浩瀚的網絡世界裡,當在用黑客技術攻擊別人時,說不定自己也正在被某個黑客當作攻擊目標。只有將黑客有可能攻擊的弱點保護起來,才有可能保證自己“大本營”的安全。
下面針對黑客常用攻擊手段介紹幾個常用的防範方法。
1、協議欺騙攻擊的防範措施
黑客攻擊手段中有一種是利用協議欺騙來竊取報文的。要防止源IP地址欺騙的攻擊方式,可採用如下幾種方法:
(1)加密法。對發送到網絡之前的數據包進行加密,在加密過程中要求適當改變網絡配置,但能夠保證發送數據的完整性、真實性和保密性。
(2)過濾法。配置路由器使其拒絕網絡外部與本網段內具有相同IP地址的連接請求。而且當數據包的IP地址不在本網段內,路由器就不會將本網段主機的數據包發送出去。但路由器過濾也只是對來自於內部網絡的外來數據包起作用,對於網絡內存在的外部可信任主機就沒有辦法過濾了。
2、拒絕服務攻擊的防範措施
在拒絕服務攻擊中,SYN Flood攻擊是典型的攻擊方式,為了防止拒絕服務攻擊,可以採取如下防禦措施:
(1)在路由器上配置和調整限制SYN半開數據包的數量和個數。
(2)防止SYN數據段攻擊,可對系統設置相應的內核參數,對超時的SYN請求連接數據包使系統強制復位,縮短超時常數並加長等候隊列,使得系統能夠及時處理無效的SYN請求數據包。
(3)在路由器的前端做必要的TCP攔截,只有經過完成3次握手過程的數據包才能通過該網段,有效保護本網段的服務器不被其攻擊。
(4)管段可能產生無限序列的服務來防止信息淹沒攻擊。
其實最好的方法就是找出正在進行攻擊的機器和攻擊者,但這不太容易。因為對方一旦停止了攻擊行為,就很難再發現其蹤跡了。唯一可行的方法就是在其進行攻擊時,採用回溯法根據路由器的信息和攻擊數據包特徵來查找攻擊源頭。
3、網絡嗅探的防範措施
對於使用網絡嗅探的方法檢測自己系統的攻擊者,可以採用如下措施進行防範:
(1)網絡分段。一組共享底層和線路機器(如交換機、動態集線器和網橋等設備)可以組成一個網絡段。在一個網絡段中可以對數據流進行限制,從而達到防止嗅探工具的目的。
(2)加密。可以對數據流中的部分數據信息進行加密,也可以對應用層加密,不過應用層的加密將使大部分網絡和操作系統相關的信息失去保護。因此,需要根據信息的安全級別及網絡安全程序選擇使用何種加密方式。
(3)一次性密碼技術。這裡所使用的密碼將不會在網絡中傳輸,而是直接在傳輸兩端進行字符串的匹配,因此,客戶端可利用從服務器上得到的Challenge和自身密碼,計算出一個字符串並將其返回給服務器,服務器利用比較算法對其進行匹配,如果匹配將允許建立連接,所有的Challenge和字符串都只能使用一次。
(4)禁止雜錯節點。防止IBM兼容機進行嗅探可以安裝不支持雜錯的網卡。
4、緩衝區溢出攻擊的防範措施
緩衝區溢出是屬於系統攻擊的手段,主要是通過向程序的緩衝區寫入冗長的內容達到使緩衝區溢出限制的目的,從而破壞程序的堆棧,使程序轉而執行其他指令,進而達到攻擊的目的。
對緩衝區溢出攻擊的防禦可以採用如下幾種方法:
(1)程序指針檢查。在使用指針被引用之前先檢測該程序指針是否被髮生了改變。只要系統事先檢測到指針的改變,此指針將不會被使用。
(2)堆棧保護。這是提供程序指針完成性檢測的一種編譯器技術,在程序指針堆棧中函數返回的地址後面追加一些特殊的字節,在函數返回時先檢測這些附加的字節是否被改動,因此,這種攻擊很容易在函數返回前被檢測到。但如果攻擊者預見到這些附加字節,並能在溢出過程中製造出,攻擊者就可以跳過堆棧的保護測試了。
(3)數組邊界檢查。通過檢測數組的操作是否在正確範圍內進行,來檢測是否被緩衝區溢出攻擊。目前主要使用的集中檢查方法有:Compaq編譯器檢查、Jones&Kelly C數組邊界檢查、Purify存儲器存取檢查等。
閱讀更多 計算機網絡啟蒙 的文章
