1 網絡攻擊概述
網絡安全是壹個永恒的話題,因為計算機只要與網絡連接就不可能徹底安全,網絡中的安全漏洞無時不在,隨著各種程序的升級換代,往往是舊的安全漏洞補上了,又存在新的安全隱患,網絡攻擊的本質實際上就是尋找壹切可能存在的網絡安全缺陷來達到對系統及資源的損害。
網絡攻擊壹般分為三個階段:
第壹階段:獲取壹個登錄賬號
對UNLX系統進行攻擊的首要目標是設法獲取登錄賬號及口令,攻擊者壹般先試圖獲取存在於/etc/passwd或NIS映射中的加密口令文件,得到該口令文件之後,就對其運行Crack,借助於口令字典,Crack甚至可以在幾分鐘內破譯壹個賬號。
第二階段:獲取根訪問權
進入系統後,入侵者就會收集各種信息,尋找系統中的種種漏洞,利用網絡本身存在的壹些缺陷,設法獲取根訪問權,例如未加限制的NFS允許根對其讀和寫。利用NFS協議,客戶給與服務器的安裝守護程序先交換信息,信息交換後,生成對NFS守護程序的請求,客戶通過這些請求對服務器上的文件進行讀或寫操作。因此,當客戶機安裝文件系統並打開某個文件時,如果入侵者發出適當各式的UDP數據報,服務器就將處理NFS請求,同時將結果回送客戶,如果請求是寫操作,入侵者舊可以把信息寫入服務器中的磁盤。如果是讀操作,入侵者就可以利用其設置於服務器和客戶機之間的窺探器了解服務器磁盤中的信息,從而獲得根訪問權。
第三階段:擴展訪問權
壹旦入侵者擁有根訪問權,則該系統即可被用來供給網絡上的其他系統。例如:可以對登錄守護程序作修改以便獲取口令:增加包窺探儀可獲取網絡通信口令:或者利用壹些獨立軟件工具動態地修改UNLX內核,以系統中任何用戶的身份截擊某個終端及某個連接,獲得遠程主機的訪問權。
2 攻擊的種類及其分析
普通的攻擊壹般可分以下幾種:
2.1 拒絕服務攻擊
拒絕服務攻擊不損壞數據,而是拒絕為用戶服務,它往往通過大量不相關的信息來阻斷系統或通過向系統發出會,毀滅性的命令來實現。例如入侵者非法侵入某系統後,可向與 之相關連的其他系統發出大量信息,最終導致接收系統過載,造成系統誤操作甚至癱瘓。這種供給的主要目的是降低目標服務器的速度,填滿可用的磁盤空間,用大量的無用信息消耗系統資源,是服務器不能及時響應,並同時試圖登錄到工作站上的授權賬戶。例如,工作站向北供給服務器請求NISpasswd信息時,攻擊者服務器則利用被攻擊服務器不能及時響應這壹特點,替代被攻擊服務器做出響應並提供虛假信息,如沒有口令的紀錄。由於被攻擊服務器不能接收或及時接收軟件包,它就無法及時響應,工作站將把虛假的響應當成正確的來處 理,從而使帶有假的passwd條目的攻擊者登錄成功。2.2 同步(SYN)攻擊 同步供給與拒絕服務攻擊相似,它摧毀正常通信握手關系。在SYN供給發生時,攻擊者的計算機不回應其它計算機的ACK,而是向他發送大量的SYN ACK信息。通常計算機有壹缺省值,允許它持特定樹木的SYN ACK信息,壹旦達到這個數目後,其他人將不能初始化握手,這就意味著其他人將不能進入系統,因此最終有可能導致網絡的崩潰。2.3 Web欺騙攻擊Web欺騙的關鍵是要將攻擊者偽造的Web服務器在邏輯上置於用戶與目的Web服務器之間,使用戶的所有信息都在攻擊者的監視之下。壹般Web欺騙使用兩種技術:URL地址重寫技術和相關信息掩蓋技術。 利用URL地址重寫技術,攻擊者重寫某些重要的Web站點上的所有URL地址,使這些地質均指向攻擊者的Web服務器,即攻擊者可以將自己的Web站點的URL地址加到所有URL地址的前面。例如,設攻擊者的Web站點的URL地址為: ,合法Web站點上的URL地址為 ,經重寫後,該地址可以被加到合法URL地址 之前,即 / .當用戶與站點進行安全鏈接時,則會毫無防備地進入攻擊者服務器。此時用戶瀏覽器首先向攻擊者服務器請求訪問,然後由攻擊者服務器向真正的目標服務器請求訪問,目標服務器向攻擊服務器傳回相關信息,攻擊者服務器重寫傳回頁面後再傳給用戶。此時瀏覽器呈現給用戶的的確是壹個安全鏈接,但連接的對象卻是攻擊者服務器。用戶向真正Web服務器所提交的信息和真正Web服務器傳給用戶的所有信息均要經過攻擊者服務器,並受制於它,攻擊者可以對所有信息進行記錄和修改。 由於瀏覽器壹般均設有地址欄和狀態欄,當瀏覽器與某個站點連接時,可以在地址欄中和狀態欄中獲取連接中的Web站點地址及相關的傳輸信息,用戶可由此發現問題,所以壹般攻擊者往往在URL地址重寫的同時,利用相關信息掩蓋技術即壹般用的JavaScript程序來地址欄和狀態欄信息,以達到其掩蓋欺騙的目的。
2.4 TCP/IP欺騙攻擊
IP欺騙可發生在IP系統的所有層次上,包括硬件數據鏈路層、IP層、傳輸層及應用層均容易受到影響。如果底層受到損害,則應用層的所有協議都將處於危險之中。另外,由於用戶本身不直接與底層結構相互交流,有時甚至根本沒有意識到這些結構的存在,因而對底層的攻擊更具欺騙性。
IP欺騙供給通常是通過外部計算機偽裝成另壹臺合法機器來實現的。他能破壞兩臺機器間通信鏈路上的正常數據流,也可以在通信鏈路上插入數據,其偽裝的目的在於哄騙網絡中的其他機器誤將攻擊者作為合法機器而加以接受,誘使其他機器向它發送數據或允許它修改數據。
由於許多應用程序最初設計時就是把信任建立於發送方IP地址的薄,即如果包能夠使其置身沿著陸由到達目的地,並且應答包也可以回到原地,則可以肯定源IP地址是有效的。因此壹個攻擊者可以通過發送有效IP源地址屬於另壹臺機器的IP數據報來實施欺騙。
壹方面現有路由器的某些配置使得網絡更容易受到IP欺騙攻擊。例如有些路由器不保護IP包端口源的信息,來自端口的所有IP包被裝入同壹個隊列然後逐個處理。假如包指示IP源地址來自內部網絡,則該包可轉發。因此利用這壹點網絡外不用戶只要設法表明是壹種內部IP地址即可繞過路由器法送報。
另壹方面,攻擊者使用偽造的IP地址發送數據報,不僅可以獲取數據報特有的有效請求,還可以通過預測TCP字節順序號迫使接收方相信其合法而與之進行連接,從而達到TCP欺騙連接。
壹個TCp連接包括三個階段:(1)建立連接:(2)數據交換:(3)斷開連接。其中最關鍵的就是數據交換。TCP協議為每個數據字節分配自己的順序號,每個TCP頭包含壹個順序域。TCP數據交換中客戶方以發送帶有SYN標誌的TCP頭為開始,發送壹個或多個TCP/IP數據包,接受方回送包含SYN及ACK標誌的頭答復送方的SYN頭。
初始的順序號是隨機的,當接受方接收到客戶的序列號後首先要進行確認,如果確認號域有效,它就對應於下壹個期望數據字節的順序號,並設置ACK標誌。攻擊者利用偽造的IP地址成功地發送數據報後,只是獲得這些數據報特有的有效請求,要獲得些請求的答復還必須預測到TCP順序號。攻擊者對順序號的預測是壹個估計與猜測的過程。攻擊者可以在客戶與服務器之間設置窺探儀來確定初始順序號,壹旦攻擊者獲取了連接的初始順序號,就可以通過估算發送者發送給接收者的TCP/IP數據量計算出下壹個期望的順序號,即下壹個期望的順序號為:數據量+初始順序號。而事實上,壹些TCP/IP實現並不完全采用隨機方式分配初始順序號,而是由壹個簡單的隨機數生成器產生。這種生成器按某種固定的次序產生數據,因此實際上可能的初始順序號只能在壹個有限的範圍內,這樣預測起來就會更加方便。預測獲得的順序號只是壹個估計值,它壹般可分為三種情況考慮。
第壹種情況:預測值正好等於下壹順序號
若偽造的數據保遲於合法數據報到達,且其包含的數據報少於合法數據報,則接收方將完全丟棄偽造的數據報;如果偽造數據包包含的數據多於合法數據報,則接收方將接收偽造數據報中順序號大於合法數據報的那部分內容,同時丟棄順序號與合法數據報重疊部分的內容;若偽造的數據報早於合法數據報到達,則接收方將丟棄合法數據報內容。
第二種情況:預測值大於下壹個順序號
在這種情況下,接收方將丟棄其中超過窗口域(即輸入緩沖區)中的部分內容,而將前面部分內容放入緩沖區中,待下壹期望順序號與第壹個偽造數據報字節順序號間的空當被合法數據填滿之後,再未接收方接收。
第三種情況:預測值小於下壹個順序號
在這種情況下,偽造數據報中的前面部分內容肯定會被丟棄,但是如果偽造數據報內容足夠多,則接收方有可能接受其後面的內容。
3 網絡上常見的幾種攻擊方式及其防範
3.1 密碼攻擊
用戶在撥號上網時,如果選擇了“保存密碼”的功能,則上網密碼將被儲存在windows目錄中,以“username.pwl”的形式存放。如果不小心被別人看到這個文件,那就麻煩了,因為從網上可以很輕松地找到諸如pwlview這樣的軟件來觀看其中的內容,那上網密碼就泄漏了。
有的人使用名字、生日、電話號碼等來做密碼,更有的人的密碼幹脆和用戶名壹樣,這樣的密碼,在黑客攻擊軟件龐大的字典文件面前簡直是不堪壹擊。
那麽該如何防範密碼不被攻擊呢?應從以下方面入手:(1)不用生日、電話號碼、名字等易於猜到的字符做密碼。(2)上網時盡量不選擇保存密碼。(3)每隔半個月左右更換壹次密碼,不要怕麻煩。
3.2 木馬程序攻擊
木馬程序是壹種特殊的病毒,它通過修改註冊表等手段使自己悄悄地潛伏在系統中,在用戶上網後,種植木馬的黑客就可以通過服務器端木馬程序控制妳的計算機,獲取妳的口令等重要信息,其危害性非常大。
預防木馬程序應從以下幾方面入手:(1)加載反病毒防火墻。(2)對於不明來歷的電子郵件要謹慎對待,不要輕易打開其附件文件。(3)不要隨便從網絡上的壹些小站點下載軟件,應從大的網站上下載。
3.3 垃圾郵件攻擊
垃圾郵件是指向他人電子信箱發送未經許可的,難以拒絕的電子郵件或電子郵件列表,其內容包括廣告信息、電子雜誌、網站信息等。用戶的電子信箱被這些垃圾郵件充斥後,會大大占用網絡資源,導致網絡阻塞,嚴重的還會使用戶的郵箱被“炸”掉,使郵箱不能正常工作。
防範垃圾郵件應從以下方面入手:(1)申請壹個免費的電子信箱,用於對外聯系。這樣就算信箱被垃圾郵件轟炸,也可以隨時拋棄。(2)申請壹個轉信信箱,經過轉信信箱的過濾,基本上可以清除垃圾郵件。(3)對於垃圾郵件切勿應答。(4)禁用Cookie。Cookie是指寫到硬盤中壹個名為cookies.txt文件的壹個字符串,任何服務器都可以讀取該文件內容。黑客也可以通過Cookie來跟蹤妳的上網信息,獲取妳的電子信箱地址。為避免出現這種情況,可將IE瀏覽器中的Cookie設置為“禁止”。
3.4 通過聊天軟件攻擊
用戶在用聊天軟件聊天時,黑客用壹些小軟件就可查出對方聊天者的IP地址,然後通過IP炸彈阮家對用戶的機器進行轟炸,使之藍屏或死機。防範聊天軟件供給應從以下方面入手:(1)利用代理服務器上網,這樣可以隱藏自己的IP地址。(2)安裝防火墻軟件,利用防火墻阻擋對方的攻擊。(3)升級操作系統,如升級到win2000等,其安全性會比win95/98系統有很大的提高。
4 網絡攻擊的六大趨勢
4.1 自動化程度和攻擊速度提高
攻擊工具的自動化水平不斷提高。自動化攻擊涉及四個階段,每個階段都出新變化。
掃描可能的受害者。自1997年起,廣泛的掃描變得司空見慣。目前,掃描工具利用更先進的掃描模式來改善掃描效果和提尕澳掃描速度。
損害脆弱的系統。以前,安全漏洞只在廣泛的掃描完成後才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃描活動的壹部分,從而加快了攻擊的傳播速度。
傳播攻擊。在2000年之前,攻擊工具需要人來發動新壹輪攻擊。目前,攻擊工具可以自己發動新壹輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播,在不到18個小時內就達到全球飽和點。
攻擊工具的協調管理。隨著分布式攻擊工具的出現,攻擊者可以管理和協調公布在許多Internet系統上的大量壹部書的攻擊工具。目前,分布式攻擊工具能夠更有效地發動拒絕服務攻擊,掃描潛在的受害者,危害存在安全隱患的系統。
4.2 攻擊工具越來越復雜
攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比,攻擊工具的特征更難發現,更難利用特征進行檢測。攻擊工具有三個特點:反偵破,攻擊者采用隱蔽攻擊工具特性的技術,這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多;動態行為,早期的攻擊工具是以但已確定的順序執行攻擊步驟,今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理,來變化它們的模式和行為;攻擊工具的成熟性,與早期的攻擊工具不同,目前攻擊工具可以通過升級或更換工具的壹部分迅速變化,發動迅速變化的功績,且在每壹次攻擊中會出現多種不同形態的攻擊工具。
4.3 發現安全漏洞越來越快
新發現的安全漏洞每年都要增加壹倍,管理人員不斷用最新的補丁修復這些漏洞,而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。
4.4 越來越高的防火墻滲透率
防火墻使人們牙防反入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火墻。例如,(IPP Internet打印協議)和WebDAV(基於Web的分布式創作與翻譯)都可以被攻擊者利用來繞過防火墻。
4.5 越來越不對稱的威脅
Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決於連接到全球Internet上其他系統的阿安全狀態。由於攻擊技術的進步,壹個攻擊者可以比較容易地利用分布式系統,對壹個受害者發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技術的提高,威脅的不對稱性將繼續增加。
4.6 對基礎設施將形成越來越大的威脅
基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由於用戶越來越多地依賴Internet完成日常業務,基礎設施攻擊引起人們越來越大的擔心。基礎設施面臨分布式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統DNS的攻擊和對路由器攻擊或利用路由器的攻擊。
5 個人用戶防護策略
針對壹些常用的攻擊方法、手段,個人用戶有必要采取壹些安全的防範措施,下面介紹壹些可行的防範實例。
5.1 經常檢查系統信息
上網過程中,如果感覺計算機有異常狀態,如運行速度變慢,某些軟件運行出錯,不受控制等情況,應停下來檢查壹下系統運行狀況。壹是觀看系統資源的使用狀態,二是按“Ctrl+Alt+Del”復合鍵來查看系統正在運行的程序,看是否有其他程序在運行。如有自己部熟悉或自己並沒有運行的程序在列表裏面,應立即終止其運行,以防後患。
5.2 檢測並清除木馬程序
如果妳的電腦壹旦被人為諸如木馬程序,就會被人操縱,以致出現死機,數據文件被刪除等現象。這時候可以通過查看註冊表,看註冊表中\HKEY LOCAL MACHINE\HKEY.LOCAL_MACHINE\Softwere\Microsoft\Windows\CurrenVersion\kun下面類似Netspy.exe或空格.exe或其他可疑的文件名,如果有,則盡快閃出相應的鍵值,在查找到住在機內的相應的程序,並把它刪除。
5.3 保護入網賬號和口令
在Windows目錄下經常有壹些以“.pwl”為後追名的文件,這些文件作為密碼保存之用,如開啟Exchange電子信箱的密碼、開機口令等信息就保存在以“.pwl”為後綴名的文件中。有些黑客可以運用壹些專用軟件來破解Windows95/98種的pwl文件,以很快的速度便可以直接讀出pwl中的開機口令、用戶名等加密數據信息。對於這種情況,最安全的方法是不用Windows95/98自動即以密碼功能這壹項,這樣pwl文件中就沒有任何加密信息流下,破解軟件也無從下手。另外,對付這種情況也有較為直接的方法,就是經常刪除這些以”.pwl”為後綴名的文件,以免將密碼留在硬盤上。
5.4 保護好自己的IP地址
國內用戶很多是通過163電話撥號的方式上網的,某些惡意破壞者往往通過跟蹤上網賬號並從用戶信息中找IP,或者等待BBS、聊天室紀錄的IP或者通過ICQ獲取IP。為防止用戶非法獲取個人用戶的IP地址信息,最好采用如下兩種安全措施:壹是使用代理服務器進行中轉,這樣用戶上網是不需要真實的IP地址,別人也就無法獲取自己的IP地址信息。二是註意避免在某些會顯示IP的BBS和聊天室上暴露自己的IP地址。
5.5 屏蔽ActiveX控件
由於ActiveX控件可以被嵌入到HTML頁面中,並下再到瀏覽器端加以執行,因此會給瀏覽器造成壹定程度上的安全威脅。所以,用戶如果要保證自己在因特網上的信息絕對安全,可以屏蔽掉這些可能對計算機安全構成威脅的ActiveX控件,具體操作步驟為:首先用鼠標單擊菜單欄中的“工具”菜單項,並從下拉菜單中選擇“Internet選項”:接著在選項設置框中選中“安全”標簽,並單擊標簽中的“自定義級別”按鈕:同時在打開的“安全設置”對話框中找到關於ActiveX控件的設置,然後選擇“禁用”或“提示”。
5.6 使用“撥號後出現終端窗口”要小心
選中某壹連接,單擊鼠標右鍵,選“屬性-常規-配置-選項-撥號後出現終端窗口”,然後撥號時,在撥號界面上不要填入用戶名和密碼(更不能選中“保存密碼”項),在出現撥號終端口後再進行相應的輸入,這可以避免用戶名和密碼被記錄到硬盤上的密碼文件中,同時,也可以避免某些黑客程序捕獲用戶名和密碼。
5.7 拒絕“餅幹”信息
許多網站會用不易覺察的技術,暗中搜集妳填寫的表格中的電子郵件地址信息,最常見的就是利用餅幹程序(cookie)記錄訪客上網的瀏覽行為和習慣。如果妳不想隨便讓餅幹程序(cookie)來記錄妳個人的隱私信息,可以在瀏覽器中作壹些必要的設置,要求瀏覽器在接受cookie之前提醒妳,或者幹脆拒絕它們。屏蔽cookie的操作步驟為:首先用鼠標單擊菜單欄中的“工具”菜單項,並從下拉菜單中選擇“Internet選項”:接著在選項設置框中選中“安全”標簽,並單擊標簽中的“自定義級別”按鈕:同時在打開的“安全設置”對話框中找到關於cookie的設置,然後選擇“禁用:或“提示”即可。
5.8 不使用“MYDocuments”文件夾存放Word、Excel文件
Word、Excel默認的文件存放路徑是根目錄下的“MYDocuments”文件夾,在特洛伊木馬把用戶硬盤變成***享硬盤後,入侵者從這個目錄中的文件名壹眼就能看出這個用戶是幹什麽的,這個目錄幾乎就是用戶的特征標示,所以為安全起見應把工作路徑改成別的目錄,並且參差越深越好。
5.9 加密保護電子郵件
由於越來越多的人通過電子郵件進行重要的商務活動和發送機密信息,而且隨著互聯網的發展,這類應用會更加頻繁。因此保證郵件的真實性和不被其他人截取和偷閱也變得越來越重要。所以,對於包含敏感信息的郵件,最好利用數字標示對妳原寫的郵件進行數字簽名後再發送。所謂數字標示是指由獨立的授權機構發放的證明妳在Internet上的身份的證件,是妳在因特網上的身份證。這些發證的商業機構將發放給妳這個身份證並不斷地效驗其有效性。妳首先向這些公司申請標示,然後就可以利用這個數字標示對自己的郵件進行數字簽名,如果妳獲得了別人的數字標示,那麽,妳還可以跟他發送加密郵件。妳通過對發送的郵件進行數字簽名可以把妳的數字標示發送給他人,這是他們收到的實際上是公用密鑰,以後他們就可以通過這個公用密鑰對發給妳的郵件進行加密,妳在使用私人密鑰對加密郵件進行解密和閱讀。在Outlook Eepress中可以通過數字簽名來證明妳的郵件身份,即讓對方確信該有見是由妳的機器發送的,它同時提供郵件加密功能使得妳的郵件只有預定的接收者才能接收並閱讀。但前提是妳必須先獲得對方的數字標示。數字標示的數字簽名部分是妳原電子身份卡,數字簽名可使收件人確信又見是妳發的,並且未被偽造或篡改過。