在线工博会

网络黑客常用攻击手段的分析和防范
为节省流量,手机版未显示文章中的图片,请点击此处浏览网页版
谈到网络安全问题,就没法不谈黑客(Hacker)。黑客是指对计算机某一领域有着深入的理解,并且十分热衷于潜入他人计算机、窃取非公开信息的人。每一个对互联网络的知识十分了解的人,都有可能成为黑客。翻开1998年日本出版的《新黑客字典》,可以看到上面对黑客的定义是:“喜欢探索软件程序奥秘,并从中增长其个人才干的人。”显然,“黑客”一语原来并没有丝毫的贬义成分,直到后来,少数怀有不良的企图,利用非法手段获得的系统讯问权去闯入运程机器系统、破坏重要数据,或为了自己的私利而制造麻烦的具有恶意行为的人慢慢玷污了“黑客”的名声,“黑客”才逐渐演变成入侵者、破坏者的代名词。目前,“黑客”已成为一个特殊的社会群体,在欧美等国有不少合法的黑客组织,黑客们经常召开黑客技术交流会,另一方面,黑客组织在因特网上利用自己的网站上介绍黑客攻击手段,免费提供各种黑客工具软件、出版网上黑客杂志,这使得普通人也探测容易下载并学会使用一些简单的黑客手段或工具对网络进行某种程序的攻击,进一步恶化了网络安全环境。
许多上网的用户对网络安全可能抱着无所谓的态度,认为最多不过是被“黑客”盗用账号,他们往往会认为“安全”只是针对那些大中型企事业单位的,而且黑客与自己无怨无仇,干嘛要攻击自己呢?其实,在一无法纪二无制度的虚拟网络世界中,现实生活中所有的阴险和卑鄙都表现得一览无余,在这样的信息时代里,几乎每个人都面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题,那些平时不注意安全的人,往往在受到安全方面的攻击时,付出惨重的代价时才会后悔不已。为了把损失降低到最低限度,我们一定要有安全观念,并掌握一定的安全防范措施,禁绝让黑客无任何机会可乘。只有了解了他们的攻击手段,我们才能采取准确的对策对付这些黑客。
1. 黑客常见攻击步骤
黑客常用的攻击步骤可以说变幻莫测,但纵观其整个攻击过程,还是有一定规律可循的,一般可以分:攻击前奏、实施攻击、巩固控制、继续深入几个过程。见下图1示:

(图片)

1.1 攻击前奏
黑客锁定目标、了解目标的网络结构,收集各种目标系统的信息等。
锁定目标:网络上有许多主机,黑客首先要寻找他找的站点的。当然能真正标识主机的是IP地址,黑客会利用域名和IP地址就可以顺利地找到目标主机。
了解目标的网络结构:确定要攻击的目标后,黑客就会设法了解其所在的网络结构,哪里是网关、路由,哪里有防火墙,哪些主机与要攻击的目标主机关系密切等,最简单地就是用tracert命令追踪路由,也可以发一些数据包看其是否能通过来猜测其防火墙过滤则的设定等。当然老练的黑客在干这些的时候都会利用别的计算机来间接的探测,从而隐藏他们真实的IP地址。
收集系统信息:在收集到目标的第一批网络信息之后,黑客会对网络上的每台主机进行全面的系统分析,以寻求该主机的安全漏洞或安全弱点。首先黑客要知道目标主机采用的是什么操作系统什么版本,如果目标开放telnet服务,那只要telnet xx.xx.xx.xx.(目标主机),就会显示“digitalunlx(xx.xx.xx.)(ttypl)login:”这样的系统信息。接着黑客还会检查其开放端口进行服务分析,看是否有能被利用的服务。因特网上的主机大部分都提供www、mail、ftp、teinet等日常网络服务,通常情况下telnet服务的端口是23等,www服务的端口是80,ftp服务的口是23。利用信息服务,像snmp服务、traceroute程序、whois服务可用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节,traceroute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数,whois协议服务能提供所有有关的dns域和相关的管理参数,finger协议可以用finger服务来获取一个指一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。所有如果没有特殊的需要,管理员应该关闭这些服务.利用安扫描器,收集系统信息当然少不了安全扫描器黑客会利用一些安全扫描器来帮他们发现系统的各种漏洞,包括各种系统服务漏洞,应用软件漏洞,弱口令用户等等。
1.2 实施攻击
当黑客探测到了足够的系统信息,对系统的安全弱点有了了解后就会发动攻击,当然他们会根据不同的网络结构、不同的系统情况而采用的不同的攻击手段。一般,黑客攻击的终极目的是能够控制目标系统,窃取其中的机密文件等,但并不是每次黑客攻击都能够得逞控制目标主机的目的的,所以有时黑客也会发动拒绝服务攻击之类的干扰攻击,使系统不能正常工作。关于黑客具体采用的一些攻击方法我们在下面黑客攻击方法中有详细的介绍,这里就不细说了。
1.3 巩固控制
黑客利用种种手段进入目标主机系统并获得控制权之后,不是像大家想象的那样会马上进行破坏活动,删除数据、涂改网页等,那是毛头小伙子们干的事情。一般入侵成功后,黑客为了能长时间表的保留和巩固他对系统的控制权,不被管理员发现,他会做两件事:清除记录和留下后门。日志往往会记录上一些黑攻击的蛛丝马迹,黑客当然不会留下这些“犯罪证据”,他会把它删了或用假日志覆盖它,为了日后面以不被觉察地再次进入系统,黑客会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序。
1.4 继续深入
清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动;窃取主机上的各种敏感信息:软件资料、客户名单、财务报表、信用卡号等等,也可能是什么都不动,只是把你的系统作为他存放黑客程序或资料的仓库,也可能黑客会利用这台已经攻陷的主机去继续他下一步的攻击,如:继续入侵内部网络,或者利用这台主机发动d.o.s攻击使网络瘫痪。
网络世界瞬息万变,黑客们各有不同,他们的攻击流程也不会全相同,上面我们提的攻击步骤是对一般情况而言的,是绝大部分黑客正常情况下采用的攻击步骤。
2. DoS 与DDoS攻击原理及其防范
拒绝服务(Denial of Service,简称DoS)攻击是一种利用 TCP/IP协议的弱点和系统存在的漏洞,对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的,对网络服务器发送大量“请求”信息,造成网络或服务器系统不堪重负,致使系统瘫痪而无法提供正常的网络服务。分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击是在拒绝服务攻击的基础上产生的一种分布式、协作式的大规模拒绝服务攻击方式。
目前,拒绝服务攻击和分布式拒绝服务攻击已成为一种遍布全球的系统漏洞攻击方法,无数网络用户都受到这种攻击的侵害,造成了巨大的经济损失。因此,了解DoS 与DDoS攻击原理及基本的防范方法,对所有网络用户特别是网络管理人员有着重要的意义。
2.1 DoS攻击
DoS攻击的方式主要是利用合理的服务请求,来占用过多的网络带宽和服务器资源,致使正常的连接请求无法得到响应。常见的 DoS攻击方法有:SYN Flood攻击、Land 攻击、Smurf攻击、UDP攻击等。下图2为DoS攻击的基本过程。

(图片)

2.1.1 SYN Flood攻击
SYN Flood攻击是一种最常见的 DoS攻击手段,它利用TCP/IP连接的“三次握手”过程,通过虚假IP, 源地址发送大量 SYN 数据包,请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后,等待对方连接,虚假的IP 源地址将不给予响应。这样,连接请求将一直保存在系统缓存中直到超时。
如果系统资源被大量此类未完成的连接占用,系统性能自然会下降。后续正常的TCP 连接请求也会因等待队列填满而被丢弃,造成服务器拒绝服务的现象。
2.1.2 Land 攻击
Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包,造成目标主机解析 Land包时占用大量系统资源,从而使网络功能完全瘫痪的攻击手段。其方法是将一个特别设计的SYN包中的源地址和目标地址都设置成某个被攻击服务器的地址,这样服务器接收到该数据包后会向自己发送一个SYN—ACK 回应包,SYN—ACK又引起一个发送给自己的ACK包,并创建一个空连接。每个这样的空连接到将暂存在服务器中,当队列足够长时,正常的连接请求将被丢弃,造成服务器拒绝服务的现象。
2.1.3 Smurf攻击
Smurf攻击是一种放大效果的ICMP攻击方式,其方法是攻击者伪装成被攻击者向某个网络上的广播设备发送请求,该广播设备会将这个请求转发到该网络的其他广播设备,导致这些设备都向被攻击者发出回应,从而达到以较小代价引发大量攻击的目的。例如,攻击者冒充被攻击者的IP使用PING来对一个C类网络的广播地址发送ICMP包,该网络上的254台主机就会对被攻击者的IP发送ICMP回应包,这样攻击者的攻击行为就被放大了 254 倍。
2.1.4 UDP攻击
UDP攻击是指通过发送UDP数据包来发动攻击的方式。在UDP Flood攻击中,攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包,从而使被攻击者不能提供正常的服务,甚至造成系统资源耗尽、系统死机。由于UDP协议是一种无连接的服务,只要被攻击者开放有一个UDP服务端口,即可针对该服务发动攻击。UDP攻击通常可分为UDP Flood 攻击、UDP Fraggle攻击和DNS Query Flood攻击。
①UDP Fraggle攻击的原理与Smurf攻击相似,也是一种“放大”式的攻击,不同的是它使用UDP回应代替了ICMP回应。
②DNS Query Flood攻击是一种针对DNS服务器的攻击行为。攻击者向DNS的UDP 53端口发送大量域名查询请求,占用大量系统资源,使服务器无法提供正常的查询请求。从以上 4种DoS攻击手段可以看出,DoS攻击的基本过程包括以下几个阶段:①攻击者向被攻击者发送众多的带有虚假地址的请求;②被攻击者发送响应信息后等待回传信息;③由于得不到回传信息,使系统待处理队列不断加长,直到资源耗尽,最终达到被攻击者出现拒绝服务的现象。
2.2 DDoS攻击
DoS攻击主要是采用一对一的攻击方式。当目标计算机的配置较低或网络带宽较小时,其攻击的效果较为明显。随着计算机及网络技术的发展,计算机的处理能力迅速增长,网络带宽也从百兆发展到了千兆、万兆,DoS攻击很难奏效。DDoS攻击是DoS攻击的一种演变,它改变了传统的一对一的攻击方式,利用网络调动大量傀儡机,同时向目标主机发起攻击,攻击效果极为明显。
2.2.1 DDoS攻击原理
DDoS主要采用了比较特殊的3层客户机/服务器结构,即攻击端、主控端和代理端,这3者在攻击中各自扮演着不同的角色。攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。攻击者发起DDoS攻击的第一步,就是寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起攻击。这种3层客户机/服务器结构,使DDoS具有更强的攻击能力,并且能较好地隐藏攻击者的真实地址。下图3为DDoS的攻击原理。

(图片)

DDoS攻击一旦实施,攻击数据包就会像洪水般地从四面八方涌向被攻击主机,从而把合法用户的连接请求淹没掉,导致合法用户长时间无法使用网络资源。
2.2.2 DDoS攻击的主要形式
DDoS攻击的主要形式有以下几种:
①通过大量伪造的IP 向某一固定目标发出高流量垃圾数据,造成网络拥塞,使被攻击主机无法与外界通信。
②利用被攻击主机提供的服务或传输协议上的缺陷,反复高速地发送对某特定服务的连接请求,使被攻击主机无法及时处理正常业务。
③利用被攻击主机所提供服务中数据处理上的缺陷,反复高速地发送畸形数据引发服务程序错误,大量占用系统资源,使被攻击主机处于假死状态,甚至导致系统崩溃。
3. DoS 与DDoS攻击的检测与防范
从 DoS 与DDoS攻击过程可以看出,其攻击的目的主要有:(1)对网络带宽的流量攻击;(2)对服务器某特定服务的攻击。攻击的手段主要是发送大量垃圾数据交由网络设备或服务器处理,导致资源占用超出允许上限,使网络中断或无法提供正常服务。
由于DoS 、DDoS是利用网络协议的缺陷进行的攻击,所以要完全消除攻击的危害是非常困难的。从理论上说,只要是带宽或服务器资源有限的系统都会受到 DoS 或 DDoS攻击的威胁。对于暴力型DDoS攻击,即使是最先进的防火墙也无能为力。攻击者可能无法越过防火墙攻击内部网络中的服务器系统,但防火墙阻挡这些攻击数据包,必须付出高额的资源开支,这同样会造成网络性能下降,甚至网络中断。在实际应用中,我们可以通过一些方法检测到攻击现象的出现,并减缓攻击造成的危害。
3.1 网络级安全检测与防范
目前比较流行的网络级安全防范措施是使用专业防火墙+入侵检测系统(IDS)为企业内部网络构筑一道安全屏障。防火墙可以有效地阻止有害数据的通过,而IDS 则主要用于有害数据的分析和发现,它是防火墙功能的延续。2者联动,可及时发现并减缓DoS、DDoS 攻击,减轻攻击所造成的损失。
通常人们认为,只要安装防火墙就可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用过程中暴露出以下的不足:
(1)防火墙在工作时,入侵者可以伪造数据绕过防火墙,或者找到防火墙中可能敞开的后门。
(2)由于防火墙通常被安装在网络出口处,所以对来自网络内部的攻击无能为力。
(3)由于防火墙性能上的限制,通常它不具备实时监控入侵的能力。
(4)防止病毒入侵是防火墙的一个弱项。
IDS恰好弥补了防火墙的不足,为网络提供实时的数据流监控,并且在发现入侵的初期协同防火墙采取相应的防护手段。目前IDS系统作为必要附加手段,已经被大多数企业的安全构架所接受。
最近市场上出现了一种将防火墙和IDS两者合二为一的新产品“入侵防御系统”(Iutrusion Prevention System简称IPS)。它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,二者的整合大幅度地提高了检测和阻止网络攻击的效率,是今后网络安全架构的一种发展趋势。
通过编写防火墙规则,可以让系统知道什么样的信息包可以进入、什么样的应该放弃,如此一来,当黑客发送有攻击性信息包的时候,在经过防火墙时,信息就会被丢弃掉,从而防止了黑客的进攻。如天网防火墙,安装后进入自定义IP规则,进行设置:
(1)禁止互联网上的机器使用我的共享资源。
(2)禁止所有人的连接。
(3)禁止所有人连接低端口。
(4)允许已经授权的程序打开端口,这样一切需要开放的端口程序都需要审批。但是不要勾选“系统设置”里的“允许所有应用程序访问网络,并在规则记录这些程序”,这个设置是防范反弹木马和键盘记录的秘密武器。
3.2 常规安全检测与防范
常规检测与防范是面向网络中所有服务器和客户机的,是整个网络的安全基础。可以设想,如果全世界所有计算机都有较好的防范机制,大规模计算机病毒爆发和DDoS攻击发生的概率将锐减。所以,在任何安全防范体系中加强安全教育、树立安全意识及采取基本的防护手段都是最重要的。
在实际应用中,可以使用Ping命令和Netstat —an命令检测是否受到了DoS、DDoS 攻击。若发现网络速度突然变慢,使用Ping命令检测时出现超时或严重丢包,则有可能是受到了流量攻击。若使用Ping命令测试某服务器时基本正常,但无法访问服务(如无法打开网页,DNS失效等),而Ping同一交换机上的其他主机正常,则有可能是受到了资源耗尽攻击。在服务器上执行Netstat —an命令,若显示有大量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态,而ESTABLISHED状态较少,则可以认定是受到了资源耗尽攻击。
要增强网络中的服务器的抵抗力可采用的方法有:
3.2.1 关闭不必要的服务
因为现在的硬盘越来越大,许多人在安装操作系统时,希望安装越多越好。岂不知装得越多,所提供的服务就越多,而系统的漏洞也就越多。如果只是要作为一个代理服务器,则只安装最小化操作系统和代理软件、杀毒软件、防火墙即可,不要安装任何应用软件,更不可安装任何上网软件用来上网下载,甚至输入法也不要安装,更不能让别人使用这台服务。
3.2.2 安装补丁程序
上面所讲的利用输入法的攻击,其实就是黑客利用系统自身的漏洞进行的攻击,对于这种攻击我们可以下载微软提供的补丁程序来安装,就可较好地完善我们的系统和防御黑客利用漏洞的攻击。我们可下载windows最新的service pack补丁程序,也可直接运行开始菜单中的windows _update进行系统的自动更新。
3.2.3 关闭无用的甚至有害的端口
计算机要进行网络连接就必须通过端口,要控制我们的电脑也必须要通过端口。所以我们可通过关闭一些对于我们暂时无用的端口(但对于“黑客”却可能有用),即关闭无用的服务,来减少“黑客”的攻击路径。我们可通过“控制面板”的“管理工具”来进入“服务”,也可用通过打开“TCP/IP协议” →选择“属性”,打开“常规” →选择“高级”,打开“选项” →选择“TCP/IP筛选” →选择“属性” →双击“TCP/IP筛选” →选择“只允许” →选择“添加”添加需要打开的端口;如上网必须要利用的80端口。
3.2.4 删除Guest账号
win2000的Guest账号一般是不能更改和删除的,只能“禁用”,但是可以通过net命令(net user guest /active)将其激活,所以它很容易成为“黑客”攻击的目标,所以最好的方法就是将其删除,下载Ptsec.exe 即win2000权限提升程序。进入cmd,打入Ptsec /di回车,退出。进入注册表,搜索guest,删除它,Guest账号就被删除了。
3.2.5 限制不必要的用户数量
去掉所有的duplicate user账号,测试账号,共享账号,不再使用的账号。这些账号常会成为黑客入侵系统的突破口,账号越多,黑客得到合法用户的权限的机会就越大。如果你的计算机账号自动增加,则可判断你被入侵了。
3.2.6 及时备份重要数据
亡羊补牢,如果数据备份及时,即便系统遭到黑客进攻,也可以在短时间内修复,挽回不必要的经济损失。想国外很多商务网站,都会在每天晚上对系统数据进行备份,在第二天清晨,无论系统是否收到攻击,都会重新恢复数据,保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上,这样黑客进入服务器之后,破坏的数据只是一部分,因为无法找到数据的备份,对于服务器的损失也不会太严重。然而一旦受到黑客攻击,管理员不要只设法恢复损坏的数据,还要及时分析黑客的来源和攻击方法,尽快修补被黑客利用的漏洞,然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号,尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净,防止黑客的下一次攻击。
3.2.7 使用加密机制传输数据
对于个人信用卡、密码等重要数据,在客户端与服务器之间的传送,应该先经过加密处理在进行发送,这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制,都已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如DES加密方法,这是一套没有逆向破解的加密算法,因此黑客的到了这种加密处理后的文件时,只能采取暴力破解法。个人用户只要选择了一个优秀的密码,那么黑客的破解工作将会在无休止的尝试后终止。
4. 结束语
网络攻击越来越猖獗,对网络安全造成了很大的威胁。对于任何黑客的恶意攻击,都有办法来防御,只要了解了他们的攻击手段,具有丰富的网络知识,就可以抵御黑客们的疯狂攻击。一些初学网络的朋友也不必担心,因为目前市场上也已推出许多网络安全方案,以及各式防火墙,相信在不久的将来,网络一定会是一个安全的信息传输媒体。特别需要强调的是,在任何时候都应将网络安全教育放在整个安全体系的首位,努力提高所有网络用户的安全意识和基本防范技术。这对提高整个网络的安全性有着十分重要的意义。 8/31/2011


电脑版 客户端 关于我们
佳工机电网 - 机电行业首选网站