雄鹰在飞翔 2007-3-27 22:02
常用的攻击方法
一、口令攻击
口令攻击是黑客的最老牌的攻击方法,从黑客诞生的那天起它就开始被使用,这种攻击方式
具体的有三种方法:
1、暴力破解法。在知道用户的账号后用一些专门的软件强行破解用户口令(包括远程登录
破解和对密码存储文件Passwd、Sam的破解),这种方法要有足够的耐心和时间,但总有那
么一些使用简单口令的用户账号,使得黑客可以迅速将其破解。
2、伪造的登录界面法。在被攻击主机上启动一个可执行程序,该程序显示一个伪造的登录
界面,当用户在这个伪装的界面上键入用户名、密码后,程序将用户输入的信息传送到攻击
者主机。
3、是通过网络监听来得到用户口令。这类方法危害性很大,监听者往往能够获得其一个网
段的所有用户账号和口令,但其也有局限性,关于网络监听我们下面还会具体谈到,这里就
不多说了。
防御方针
要有效地防止口令攻击,应该保护系统的合法账号以防泄露,禁止Finger 服务,因为有了
账号,黑客就会用它来猜测口令;
应该使用更安全的口令加密机制,像MD5、BLOWFISH等;应该尽量选用复杂的口令,最好能
是英文、符号、数字包括大小写的组合,不要用户名、账号、纪念日、常用的英文单词等作
为密码,这些口令在黑客面前安全几乎为0,破解它们只要几秒钟的时间;
应该对口令的长度进行限定,不要使用5位或5位以下的字符作为密码。5位的密码是很不可
靠的,安全的密码最少是8位,还要定期改变密码;
应该对某些远程登录服务的一定时间内用户登录次数进行限定,防止黑客远程猜解。
二、特洛伊木马攻击
"特洛伊木马程序"攻击也是黑客常用的攻击手段,黑客会编写一些看似"合法"的程序,但实
际上此程序隐藏有其他非法功能,比如一个外表看似是一个有趣的小游戏的程序,但其实你
运行的同时它在后台为黑客创建了一条访问你的系统的通道,这就是"特洛伊木马程序"。当
然只有当用户运行了木马后才会达到攻击的效果,所以黑客会把它上传到一些站点引诱用户
下载,或者用EMAIL寄给用户并编造各种理由骗用户运行它,当用户运行此软件后,该软件
会悄悄执行它的非法功能:跟踪用户的电脑操作,记录用户输入的口令上网账号等敏感信息
,并把它们发送到黑客指定的电子信箱。如果是像"冰河"、"灰鸽子"这样的功能强大的远程
控制木马的话,黑客还可以像你在本地操作一样地远程操控你的电脑。
防御方针
防御木马攻击的防御方法可以分为预防和检测两部分。
预防上,由于木马程序的最大特点是要触发后才能发挥功效,如果不触发它,就算它到了你
硬盘上也无用武之地,所以要注意不要运行来历不明的软件,陌生人发给你的软件,不管他
吹得如何天花乱坠也别运行;下载软件也尽量去可信任的大网站下载。
在检测上,由于木马运行后要等待黑客连接,所以它往往会在一个端口上监听,所以要注意
经常监视内部主机上的监听TCP服务,还要查看是否有可疑进程,还可以安装些杀毒软件、
专门查杀木马的反黑客软件及防火墙软件。
三、病毒攻击
关于计算机病毒想必大家都有所了解,对其概念就不多说了,其实这些由黑客编写的计算机
病毒就像人类的病毒一样,目的是感染尽可能多的计算机,计算机一旦感染病毒那它就会"
发病",轻则影响运行速度、恶作剧、宕机,重则破坏硬盘数据、摧毁系统甚至计算机硬件
,而且当一台计算机感染了病毒,它就会变成了携带者又会去感染其它新的计算机。
特别要注意的是现在频繁出现的"蠕虫"病毒,我们知道一般的病毒只有当我们的计算机运行
了病毒或携带病毒的载体程序才会感染,而这些蠕虫病毒不一样,像"红色代码"、最近的"S
QL蠕虫"等蠕虫病毒则是利用系统漏洞自动去攻击传染网络上的其他计算机,它们是主动攻
击的,甚至不需要任何载体,也就是说你的计算机只要上网就可能被感染,所以安装一个好
的杀毒软件在病毒横行的网络时代里是很必要的。
防御方针
安装一个好的杀毒软件,定期对整个系统进行病毒检测、清除工作,并注意不断更新其病毒
库,准备一片启动盘,因为解毒时最好在没有病毒干扰的环境下进行, 才能彻底解决病毒的
侵入;
尊重软件的知识产权,不用盗版软件;
新购置的计算机和新安装的系统,一定要进行系统升级,保证修补所有已知的安全漏洞。平
时还应该经常从软件供应商下载、安装安全补丁程序和升级杀毒软件,以及时堵上系统漏洞
,因为现在的"蠕虫"病毒会主动地攻击你的计算机;
经常备份数据,要备份的数据除了重要数据外,像硬盘分区表、系统注册表、WIN.INI和SYS
TEM.INI等之类的系统文件也应该备份,其实经常备份数据不光是对付病毒有用,对付所有
其他的黑客攻击时也都是非常有用的,"有备才能无患"。
四、邮件攻击
邮件攻击一般指的就是电子邮件炸弹攻击,这是黑客常用的一种攻击手段,它是用伪造的I
P地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的恶意邮件
,也可称之为大容量的垃圾邮件。由于每个人的邮件信箱是有限的,当庞大的邮件垃圾到达
信箱的时候,就会挤满信箱,使之无法接受正常的邮件。同时,因为它占用了大量的网络资
源,常常会导致网络阻塞,使用户不能正常地连接邮件服务器,严重者可能会给电子邮件服
务器操作系统带来危险,几年前就曾有黑客使用这种攻击手段使得新浪、雅虎等几个世界级
的门户网站的Email服务器瘫痪了几十个小时,所以邮件攻击也可以看作拒绝服务攻击的一
种。
防御方针
目前对于解决邮件炸弹的困扰还没有万全之策,应以预防为主。
对一般用户来说,可以使用邮件客户端软件的邮件过滤功能设立过滤原则,把不想要的垃圾
邮件过滤掉,还可以使用一些对抗邮件炸弹的"砍信"软件如E-mail Chomper等,帮助你快速
删除炸弹邮件。
对邮件服务器来说,要防御邮件攻击可以对发信者的身份进行有效验证,对邮件的自动转发
等转发功能要进行限制,防止成为黑客进行邮件攻击的"帮凶",再则也可以在服务器上对接
收的信件设定基于用户、域名、IP或邮件内容的过滤原则。
五、漏洞攻击
利用漏洞攻击是黑客攻击中最容易得逞的方法。许多系统及网络应用软件都存在着各种各样
的安全漏洞,如Windows98的共享目录密码验证漏洞,Windows2000的Unicode、printer、id
a、idq、webdav漏洞,Unix的Telnet、RPC漏洞、Sendmail的邮件服务软件漏洞,还有基于W
eb服务的各种CGI漏洞等等,这些都是最容易被黑客利用的系统漏洞。特别是其中的一些缓
冲区溢出漏洞,利用这些缓冲区溢出漏洞,黑客不但可以通过发送特殊的数据包来使服务或
系统瘫痪,甚至可以精确地控制溢出后在堆栈中写入的代码,以使其能执黑客的任意命令,
从而进入并控制系统。
防御方针
从产生漏洞的原因看,这些漏洞的产生原因大都是因为设计缺陷以及编程人员未按安全规范
编程,所以要减少和消除漏洞应该弥补系统设计上的不足,要求程序员严格按照安全编程的
规范来编写程序。然而,由于现在的操作系统和应用软件越来越庞大复杂,想让这些有几百
万条代码组成的软件保证绝对没有安全漏洞是不可能的,所以用户平时应该多关注系统及软
件商公布的安全公告,及时打上补丁。从管理员的系统管理上看,虽然操作系统提供了许许
多多的服务,但对具体某个用户来说是不可能是全部需要的,有许多服务是根本也用不上的
,而系统开放的服务越多它存在漏洞的几率也就越大,管理员应该根据自己实际情况禁止某
些服务,不但减少安全隐患还可以增加运行速度。
六、拒绝服务攻击
拒绝服务攻击(DoS)是一种最悠久也是最常见的攻击形式,它利用TCP/IP协议的缺陷,将
提供服务的网络的资源耗尽,导致不能提供正常服务,是一种对网络危害巨大的恶意攻击。
其实严格来说拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的结果,最
终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪
或崩溃。DoS的攻击方法可以是单一的手段,也可以是多种方式的组合利用,不过其结果都
是一样的,即合法的用户无法访问所需信息。
通常拒绝服务攻击可分为两种类型:一种攻击是黑客利用网络协议缺陷或系统漏洞发送一些
非法的数据或数据包,使得系统死机或重新启动,从而使一个系统或网络瘫痪,如 Land攻
击、WinNuke、Ping of Death、TearDrop等。另一种攻击原理是在短时间内发送大量伪造的
连接请求报文到网络服务所在的端口,例如80端口,从而消耗系统的带宽或设备的CPU和内
存,造成服务器的资源耗尽,系统停止响应甚至崩溃,其中,具有代表性的攻击手段包括 S
YN flood、ICMP flood、UDP flood等。
分布式拒绝服务(DDoS)攻击是目前网络的头号威胁。它是在传统的DoS攻击基础之上产生
的一类攻击方式。单一的DoS攻击一般是采用一对一攻击的,而分布式的拒绝服务攻击手段
就是黑客控制多台计算机(可以是几台也可以是成千上万台)同时攻击,这样的攻击即使是
一些大网站也很难抵御。
防御方针
我们知道拒绝服务攻击具体的形式是多种多样的,对具体的攻击形式有具体的防御方法。但
从总体上讲,最基本的攻击对策还是解决好操作系统、协议栈,以及网络服务和应用软件的
漏洞问题,及时安装好补丁程序,进行合理的安全配置。安装IDS对网络流量、通信过程及
系统资源占用情况进行监视,对路由器和防火墙设置严格的过滤规则。
对于分布式拒绝服务还需要与各方面广泛的合作,用户、本地ISP及其他的网络管理机构之
间需要相互协调才行,用户要做到以上对付DoS的几点,发现DDoS攻击后可以请求本地上游
的ISP对这些信息包进行过滤并丢弃,还可以积极联系DDoS源攻击地的网络管理机构要求其
配合。
七、欺骗攻击
常见的黑客欺骗攻击方法有:IP欺骗攻击、DNS欺骗邮件欺骗攻击、网页欺骗攻击等。
IP欺骗攻击,即黑客改变自己的IP地址,伪装成别人计算机的IP地址来获得信息或者得到特
权。如Unix机器之间能建立信任关系,使得这些主机的访问变得容易,而这个信任关系基本
上是使用IP地址进行验证的,这样你就知道IP欺骗能干什么了吧。
电子信件欺骗攻击。黑客向某位用户发了一封电子邮件,并且修改了邮件头信息(使得邮件
地址看上去和这个系统管理员的邮件地址完全相同),信中他冒称自己是系统管理员,说由
于系统服务器故障导致部分用户数据丢失,要求该用户把他的个人信息马上用E-mail回复给
他,这就是一个典型的电子邮件欺骗攻击的例子。
网页欺骗攻击就是黑客将某个站点的网页都拷贝下来,然后修改其链接,使得用户访问这些
链接时会先经过黑客控制的主机,然后黑客会想方设法让用户访问这个修改后的网页,他则
监控用户整个HTTP请求过程,窃取用户的账号和口令等信息,甚至假冒用户给服务器发接数
据。如果这个网页是电子商务站点,那用户的损失可想而知。
防御方针
我们这里介绍了三种欺骗攻击方法,不同的欺骗攻击方法有不同的防御方法。
防御IP欺骗攻击可以在边界路由器上进行源地址过滤,禁止外来的却使用本地IP的数据包进
入。禁止R类服务,不要使用简单的基于IP的认证机制。
防御电子信件欺骗攻击主要依靠用户提高安全意识,不要轻信邮件的内容以及发件人的源地
址等信息,这一切都可能是伪造的。
防御网页欺骗攻击也要靠用户平时提高警惕,不要随便信任一些小网站里和陌生人邮件中的
链接,浏览网页时最好能关闭浏览器的javascript和ActiveX等,特别是在要访问一些重要
的站点时。如果怀疑遭到了网页欺骗攻击,你可以查看其网页源代码,看其链接是否有问题
。
八、嗅探攻击
要了解嗅探攻击方法,我们先要知道它的原理:网络的一个特点就是数据总是在流动中,当
你的数据从网络的一台电脑到另一台电脑的时候,通常会经过大量不同的网络设备,在传输
过程中,有人可能会通过特殊的设备(嗅探器,有硬件和软件两种)捕获这些传输网络数据
的报文。
嗅探攻击主要有两种途径,一种是针对简单地采用集线器(Hub)连接的局域网,黑客只要
能把嗅探器安装到这个网络中的任何一台计算机上就可以实现对整个局域网的侦听,这是因
为共享Hub获得一个子网内需要接收的数据时,并不是直接发送到指定主机,而是通过广播
方式发送到每个电脑。正常情况下,数据接受的目标电脑会处理该数据,而其他非接受者的
电脑就会过滤这些数据,但安装了嗅探器的计算机则会接受所有数据。另一种是针对交换网
络的,由于交换网络的数据是从一台计算机发出到预定的计算机,而不是广播的,所以黑客
必须将嗅探器放到像网关服务器、路由器这样的设备上才能监听到网络上的数据,当然这比
较困难,但由于一旦成功就能够获得整个网段的所有用户账号和口令,所以黑客还是会通过
其他种种攻击手段来实现它,如通过木马方式将嗅探器发给某个网络管理员,使其不自觉地
为攻击者进行了安装。
防御方针
1、检测嗅探器。对本地主机的检测,由于嗅探器需要将网络中入侵的网卡设置为混杂模式
才能工作,所以可以通过查看你的网卡是否处于混杂模式来简单地确定你的计算机是否有嗅
探器。对网络上的主机的检测,首先可以通过一些网管软件查看网络通讯情况,如果你的网
络结构正常,但丢包率又非常高,那就有可能有人在监听,这是由于嗅探器拦截数据包导致
的;其次还可以查看网络带宽情况来判断,通过某些带宽控制器可以实时看到目前网络带宽
的分布情况,如果某台机器长时间的占用了较大的带宽,这台机器就有可能在监听。可以用
一些进行验证的工具如时域反射计量器(TDR)进行嗅探器检测。TDR是对电磁波的传播和变
化进行测量工具。将一个TDR连接到网络上,能够检测到未授权的获取网络数据的设备。
2、加密数据。嗅探器非常难以被发现, 因为它们是被动的程序,只会监听不会向外发送任
何数据包。所以完全主动的解决方案很难找到,我们可以采用一些被动的防御措施,就是建
立各种数据传输加密通道来传输数据,这样即使被黑客窃听,由于传输的数据被加了密,他
们得到的只是一堆"乱码"。常见的数据加密通道有SSH、SSL、VPN等,对邮件可以进行PGP加
密。
九、会话劫持攻击
让我们设想一下:某黑客在暗地里等待着某位合法用户通过Telnet远程登录到一台服务器上
,当这位用户成功地提交密码后,这个黑客就开始接管该用户当前的会话并摇身变成了这个
用户,这就是会话劫持攻击(Session)。在一次正常的通信过程中,黑客作为第三方参与
到其中,或者是在数据流(例如基于TCP的会话)里注射额外的信息,或者是将双方的通信
模式暗中改变,即从直接联系变成有黑客联系。会话劫持是一种结合了嗅探以及欺骗技术在
内的攻击手段,最常见的是TCP会话劫持,像HTTP、FTP、Telnet都可能被进行会话劫持。
要实现会话劫持,黑客首先必须窥探到正在进行TCP通信的两台主机之间传送的报文源IP、
源TCP端口号、目的IP、目的TCP端号,从而可以推算出其中一台主机对将要收到的下一个TC
P报文段中seq和ackseq值,这样在该合法主机收到另一台合法主机发送的TCP报文前,攻击
者根据所截获的信息向该主机发出一个带有净荷的TCP报文,如果该主机先收到攻击报文,
就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。带有净荷的攻击报文能够使被
攻击主机对下一个要收到的TCP报文中的确认序号(ackseq)的值的要求发生变化,从而使
另一台合法的主机向被攻击主机发出的报文被拒绝。
会话劫持攻击避开了被攻击主机对访问者的身份验证和安全认证,从而使黑客能直接进入对
被攻击主机的的访问状态,对系统安全构成的威胁比较严重。不过要实现它不但需要复杂的
技术,而且还需要对攻击时间的精确把握,所以会话劫持攻击并不是太常见,不过最近网上
流行着对Windows NT的SMB会话劫持攻击的讨论。
防御方针
会话劫持是一种结合了嗅探以及欺骗技术在内的攻击手段,针对这点,我们可以从两方面考
虑来防止会话劫持攻击。首先,应该尽量使用交换网络代替共享式网络,这可以降低被窃听
的机率,但黑客还是有办法在交换网络里会话劫持,所以我们还可以使用SSH、SSL、VPN之
类的数据加密通道保护我们的通信。其次要注意网络中是否出现了大量的ACK包,因为这可
能就是一次ACK风暴攻击,是黑客进行会话劫持攻击的预兆。
十、社会工程攻击
关于社会工程还没有明确的定义,我们这里可以理解为黑客用非计算机技术手段来刺探消息
、骗取信息以最终达到攻击或入侵目的的各种社会活动。比如黑客想要侵入某公司的网络窃
取信息,那他会故意接近此公司网管员的亲属和朋友,从他们那里可以轻易套取这个网管员
的网名、生日、幸运数字等信息,他也可以直接去接近这个网管,骗取更有用的信息,或者
他也可以冒充此管理员的上司打电话给管理员索要账号,也可以伪装成空调修理工人、电信
维修人员直接进入这给公司的内部从物理上接近攻击目标。上面介绍的只是几个简单的社会
工程攻击的例子。
防御方针
对员工实施安全教育,将公司安全策略规范化,并在企业内部广泛的宣传,对机房和数据库
重地要制定严格的人员进出制度,作为网络管理人员不要把自己网络的操作系统版本、应用
程序、补丁、账号等信息随便透露给别人。
