2023年02月04日
網(wǎng)絡流行的掃描軟件,在管理員手中是用來檢測系統(tǒng)漏洞的工具,以防患于未然;而對于黑客來講,它則是用來尋找攻擊入口、為入侵工作做準備的必備工具。
一、常見的黑客攻擊流程
黑客入侵主要是為了成為目標主機的主人,能夠獲得一臺網(wǎng)絡主機的超級用戶權限,這就達到了入侵的目的,比如說修改服務配置、安裝木馬程序、執(zhí)行任意程序等。雖說現(xiàn)在網(wǎng)絡安全日新月異,舊的安全漏洞被補上,但是新的漏洞也會相繼出現(xiàn),網(wǎng)絡攻擊正是利用這些安全漏洞和缺陷對系統(tǒng)和資源進行攻擊的。下面介紹黑客攻擊的基本流程。
1、隱藏自己的行蹤
黑客入侵就是要神不知鬼不覺地侵入目標主機,因此,在入侵之前要對自己做個偽裝,不能讓被攻擊者輕易發(fā)現(xiàn)。在進行網(wǎng)絡攻擊之前,先對自己真實的IP地址隱藏,一般攻擊者都是利用他人計算機來隱藏自己真實的IP,也有一些高手會通過800電話的無人轉接服務連接ISP,再套用他人的賬號進行偽裝。
2、查詢分析目標主機
攻擊要有目標,在Internet中IP地址就能夠真正標識一個主機,而域名是為了更好地對IP地址進行記憶管理的另一種顯現(xiàn)方式,這樣利用域名和IP地址就能夠確定目標主機了。確定了目標主機之后,就可以對其操作系統(tǒng)類型及所提供的服務等信息,做一個全方位的分析和了解。
一般攻擊者只用一些掃描器工具,了解目標主機所使用的操作系統(tǒng)類型及其版本、系統(tǒng)開放了哪些用戶、Web等服務器程序版本信息等,為入侵做好充分準備。
3、獲取權限用戶進行入侵
獲得目標主機權限用戶是入侵的最基本手段,攻擊者要先設法盜取目標主機的賬戶文件進行破解,來得到權限用戶的賬號和密碼,再尋找合適時機以此身份登錄主機。一般攻擊者都是通過一些黑惡攻擊或系統(tǒng)漏洞登錄目標主機的。
4、留下后門和清除記錄
在獲取權限用戶之后,就可以順利登錄目標主機系統(tǒng),從而獲得控制權,然后留下后門和清除記錄,以便攻擊者以后不被察覺地再次入侵該目標主機。
其實所謂后門只是一些木馬程序或預先編譯好的遠程操縱程序,將這些程序修改時間和權限傳輸?shù)侥繕酥鳈C隱秘的地方藏起來就可以了。一般攻擊者喜歡使用rep傳輸文件,以免讓受攻擊者發(fā)現(xiàn)。攻擊者還要使用清除日志、刪除拷貝文件等方法清除自己的記錄,隱藏好自己的蹤跡。
5、竊取網(wǎng)絡資源
成功入侵了目標主機,該主機的所有資料都將呈現(xiàn)在黑客面前,此時即可下載有用資料(如一些重要的賬號密碼),甚至造成該主機及其所在的網(wǎng)絡癱瘓。
二、常用的網(wǎng)絡防御技術
在浩瀚的網(wǎng)絡世界里,當在用黑客技術攻擊別人時,說不定自己也正在被某個黑客當作攻擊目標。只有將黑客有可能攻擊的弱點保護起來,才有可能保證自己“大本營”的安全。
下面針對黑客常用攻擊手段介紹幾個常用的防范方法。
1、協(xié)議欺騙攻擊的防范措施
黑客攻擊手段中有一種是利用協(xié)議欺騙來竊取報文的。要防止源IP地址欺騙的攻擊方式,可采用如下幾種方法:
(1)加密法。對發(fā)送到網(wǎng)絡之前的數(shù)據(jù)包進行加密,在加密過程中要求適當改變網(wǎng)絡配置,但能夠保證發(fā)送數(shù)據(jù)的完整性、真實性和保密性。
(2)過濾法。配置路由器使其拒絕網(wǎng)絡外部與本網(wǎng)段內(nèi)具有相同IP地址的連接請求。而且當數(shù)據(jù)包的IP地址不在本網(wǎng)段內(nèi),路由器就不會將本網(wǎng)段主機的數(shù)據(jù)包發(fā)送出去。但路由器過濾也只是對來自于內(nèi)部網(wǎng)絡的外來數(shù)據(jù)包起作用,對于網(wǎng)絡內(nèi)存在的外部可信任主機就沒有辦法過濾了。
2、拒絕服務攻擊的防范措施
在拒絕服務攻擊中,SYN Flood攻擊是典型的攻擊方式,為了防止拒絕服務攻擊,可以采取如下防御措施:
(1)在路由器上配置和調(diào)整限制SYN半開數(shù)據(jù)包的數(shù)量和個數(shù)。
(2)防止SYN數(shù)據(jù)段攻擊,可對系統(tǒng)設置相應的內(nèi)核參數(shù),對超時的SYN請求連接數(shù)據(jù)包使系統(tǒng)強制復位,縮短超時常數(shù)并加長等候隊列,使得系統(tǒng)能夠及時處理無效的SYN請求數(shù)據(jù)包。
(3)在路由器的前端做必要的TCP攔截,只有經(jīng)過完成3次握手過程的數(shù)據(jù)包才能通過該網(wǎng)段,有效保護本網(wǎng)段的服務器不被其攻擊。
(4)管段可能產(chǎn)生無限序列的服務來防止信息淹沒攻擊。
其實最好的方法就是找出正在進行攻擊的機器和攻擊者,但這不太容易。因為對方一旦停止了攻擊行為,就很難再發(fā)現(xiàn)其蹤跡了。唯一可行的方法就是在其進行攻擊時,采用回溯法根據(jù)路由器的信息和攻擊數(shù)據(jù)包特征來查找攻擊源頭。
3、網(wǎng)絡嗅探的防范措施
對于使用網(wǎng)絡嗅探的方法檢測自己系統(tǒng)的攻擊者,可以采用如下措施進行防范:
(1)網(wǎng)絡分段。一組共享底層和線路機器(如交換機、動態(tài)集線器和網(wǎng)橋等設備)可以組成一個網(wǎng)絡段。在一個網(wǎng)絡段中可以對數(shù)據(jù)流進行限制,從而達到防止嗅探工具的目的。
(2)加密。可以對數(shù)據(jù)流中的部分數(shù)據(jù)信息進行加密,也可以對應用層加密,不過應用層的加密將使大部分網(wǎng)絡和操作系統(tǒng)相關的信息失去保護。因此,需要根據(jù)信息的安全級別及網(wǎng)絡安全程序選擇使用何種加密方式。
(3)一次性密碼技術。這里所使用的密碼將不會在網(wǎng)絡中傳輸,而是直接在傳輸兩端進行字符串的匹配,因此,客戶端可利用從服務器上得到的Challenge和自身密碼,計算出一個字符串并將其返回給服務器,服務器利用比較算法對其進行匹配,如果匹配將允許建立連接,所有的Challenge和字符串都只能使用一次。
(4)禁止雜錯節(jié)點。防止IBM兼容機進行嗅探可以安裝不支持雜錯的網(wǎng)卡。
4、緩沖區(qū)溢出攻擊的防范措施
緩沖區(qū)溢出是屬于系統(tǒng)攻擊的手段,主要是通過向程序的緩沖區(qū)寫入冗長的內(nèi)容達到使緩沖區(qū)溢出限制的目的,從而破壞程序的堆棧,使程序轉而執(zhí)行其他指令,進而達到攻擊的目的。
對緩沖區(qū)溢出攻擊的防御可以采用如下幾種方法:
(1)程序指針檢查。在使用指針被引用之前先檢測該程序指針是否被發(fā)生了改變。只要系統(tǒng)事先檢測到指針的改變,此指針將不會被使用。
(2)堆棧保護。這是提供程序指針完成性檢測的一種編譯器技術,在程序指針堆棧中函數(shù)返回的地址后面追加一些特殊的字節(jié),在函數(shù)返回時先檢測這些附加的字節(jié)是否被改動,因此,這種攻擊很容易在函數(shù)返回前被檢測到。但如果攻擊者預見到這些附加字節(jié),并能在溢出過程中制造出,攻擊者就可以跳過堆棧的保護測試了。
(3)數(shù)組邊界檢查。通過檢測數(shù)組的操作是否在正確范圍內(nèi)進行,來檢測是否被緩沖區(qū)溢出攻擊。目前主要使用的集中檢查方法有:Compaq編譯器檢查、Jones&Kelly C數(shù)組邊界檢查、Purify存儲器存取檢查等。
來源: