四大網(wǎng)絡(luò)攻擊常見(jiàn)手段及防護(hù)

1、安全四大網(wǎng)絡(luò)攻擊常見(jiàn)手段及防護(hù)進(jìn)入論壇討論 >> 2008-06-17 來(lái)源: 數(shù)動(dòng)連線整理在茫茫的互聯(lián)網(wǎng)上 ,隨時(shí)都在發(fā)生著攻擊 ,也許在你看這篇文章時(shí) ,你的電腦正在 被別人掃描 ,口令正在被別人破譯 ,這一切看似無(wú)聲的戰(zhàn)爭(zhēng)讓人防不勝防。作為企業(yè) 終端用戶 ,有必要了解網(wǎng)絡(luò)攻擊者常用的手段 ,對(duì)于本地網(wǎng)絡(luò)和終端防護(hù)來(lái)說(shuō)很有必 要。下面就講解一下網(wǎng)絡(luò)中黑客常用的攻擊方法。一、DoS 攻擊這可不是用 DoS操作系統(tǒng)攻擊 ,其全稱為 Denial ofService拒絕服務(wù)。它通 過(guò)協(xié)議方式 ,或抓住系統(tǒng)漏洞 ,集中對(duì)目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊 ,直到對(duì)方網(wǎng)絡(luò)癱瘓 ,大家常聽(tīng) 說(shuō)的洪水攻擊 ,

2、瘋狂 Ping 攻擊都屬于此類。由于這種攻擊技術(shù)門檻較低 ,并且效果明 顯 ,防范起來(lái)比較棘手 ,所以其一度成為準(zhǔn)黑客們的必殺武器 ,進(jìn)而出現(xiàn)的 DDoS (DistubutedDenial of Service 分布式拒絕服務(wù)攻擊 ,更是讓網(wǎng)絡(luò)安全管理員感到頭 痛?？蓜e小看這種攻擊 ,雖然 DoS 攻擊原理極為簡(jiǎn)單 ,早已為人們所熟知。但目前全 球每周所遭遇的 DoS攻擊依然達(dá)到 4000多次,正是因?yàn)楹?jiǎn)單、頑固的原因 ,讓 DoS 攻擊如野草般燒之不盡 ,DoS攻擊最早可追述到 1996年,在2000年發(fā)展到極致 ,這期 間不知有多少知名網(wǎng)站遭受到它的騷擾。對(duì)于國(guó)內(nèi)網(wǎng)絡(luò)來(lái)說(shuō) ,DoS攻擊更

3、是能體現(xiàn) “黑客”們的價(jià)值 ,他們組成了一列列僵 尸網(wǎng)絡(luò) ,多線程攻擊目標(biāo)主機(jī) ,一切看起來(lái)似乎很簡(jiǎn)單 ,但對(duì)于服務(wù)器來(lái)說(shuō)確實(shí)難以應(yīng) 對(duì)。那企業(yè)管理員該如何呢 ?在應(yīng)對(duì)常見(jiàn)的 DoS攻擊時(shí) ,路由器本身的配置信息非常 重要 ,管理員可以通過(guò)以下方法 ,來(lái)防止不同類型的 DoS攻擊。擴(kuò)展訪問(wèn)列表是防止 DoS 攻擊的有效工具 ,其中 Show IPaccess-list命令可以顯 示匹配數(shù)據(jù)包 ,數(shù)據(jù)包的類型反映了 DoS攻擊的種類 ,由于 DoS 攻擊大多是利用了TCP協(xié)議的弱點(diǎn) ,所以網(wǎng)絡(luò)中如果出現(xiàn)大量建立 TCP連接的請(qǐng)求 ,說(shuō)明洪水攻擊來(lái) 了。此時(shí)管理員可以適時(shí)的改變?cè)L問(wèn)列表的配置內(nèi)容

4、,從而達(dá)到阻止攻擊源的目 的。如果用戶的路由器具備 TCP攔截功能 ,也能抵制 DoS攻擊。在對(duì)方發(fā)送數(shù)據(jù)流 時(shí)可以很好的監(jiān)控和攔截 ,如果數(shù)據(jù)包合法 ,允許實(shí)現(xiàn)正常通信 ,否則 ,路由器將顯示超 時(shí)限制 ,以防止自身的資源被耗盡 ,說(shuō)到底,利用設(shè)備規(guī)則來(lái)合理的屏蔽持續(xù)的、高頻 度的數(shù)據(jù)沖擊是防止 DoS 攻擊的根本。二、ARP 攻擊網(wǎng)絡(luò)提示連接出現(xiàn)故障 ,IP 沖突 ,無(wú)法打開網(wǎng)頁(yè) ,頻繁彈出錯(cuò)誤對(duì)話框。如果你的 PC有以上的表現(xiàn) ,那就要考慮是否遭到 ARP 攻擊了。ARP欺騙是通過(guò) MAC 翻譯錯(cuò)誤造成計(jì)算機(jī)內(nèi)的身份識(shí)別沖突 ,它和 DOS一樣, 目前沒(méi)有特別系統(tǒng)的解決方案 ,但有一些值

5、得探討的技術(shù)技巧。一般我們采取安裝防火墻來(lái)查找攻擊元兇 ,利用 ARP detect可以直接找到攻擊 者以及可能參與攻擊的對(duì)象。 ARPdetect默認(rèn)啟動(dòng)后會(huì)自動(dòng)識(shí)別網(wǎng)絡(luò)參數(shù) ,當(dāng)然用戶 還是有必要進(jìn)行深入設(shè)置。首先要選擇好參與內(nèi)網(wǎng)連接的網(wǎng)卡,這點(diǎn)非常重要 ,因?yàn)橐院笏械男崽焦ぷ鞫际腔谶x擇的網(wǎng)卡進(jìn)行的。然后檢查 IP 地址、網(wǎng)關(guān)等參 數(shù)。需要提醒用戶的是 ,檢測(cè)范圍根據(jù)網(wǎng)絡(luò)內(nèi) IP分布情況來(lái)設(shè)置 ,如果 IP段不清楚 , 可以通過(guò) CMD 下的 ipconfig 來(lái)查看網(wǎng)關(guān)和本機(jī)地址。不要加入過(guò)多無(wú)效 IP,否則影 響后期掃描工作。不過(guò)遺憾的是 ,這種方法在很多 ARP 病毒攻擊的情況下

6、并不樂(lè) 觀。首先我們需要管理員多做一些工作 ,尤其是路由器上的 IP地址綁定 ,并且隨時(shí)查 看網(wǎng)絡(luò)當(dāng)前狀態(tài)是否存在 IP偽裝終端 ,先確實(shí)找到攻擊源并采取隔離措施。ARP 攻擊一旦在局域網(wǎng)開始蔓延 ,就會(huì)出現(xiàn)一系列的不良反應(yīng)。 sniffer 是網(wǎng)絡(luò) 管理的好工具 ,網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包都可以通過(guò) sniffer 來(lái)檢測(cè)。同樣 arp 欺騙 數(shù)據(jù)包也逃不出 sniffer 的監(jiān)測(cè)范圍。通過(guò)嗅探 定位 隔離封堵幾個(gè)步驟 ,可以 很好的排除大部分 ARP 攻擊。三、腳本攻擊大家都聽(tīng)過(guò) SQL注入攻擊吧,所謂 SQL注入就是利用現(xiàn)有應(yīng)用程序 ,將（惡意的 SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力

7、,這種攻擊腳本最直接 ,也最簡(jiǎn)單 ,當(dāng)然, 腳本攻擊更多的是建立在對(duì)方漏洞的基礎(chǔ)上 ,它比 DOS和 ARP 攻擊的門檻更高。隨著交互式網(wǎng)頁(yè)的應(yīng)用 ,越來(lái)越多的開發(fā)者在研究編寫交互代碼時(shí) ,漏掉了一些 關(guān)鍵字 ,同時(shí)也會(huì)造成一部分程序沖突。這里包括 Cookie欺騙、特殊關(guān)鍵字未過(guò)濾 等等。導(dǎo)致了攻擊者可以提交一段數(shù)據(jù)庫(kù)查詢代碼 ,根據(jù)程序返回的結(jié)果 ,獲得一些 他想得到的數(shù)據(jù)。 SQL注入利用的是正常的 HTTP服務(wù)端口 ,表面上看來(lái)和正常的 web 訪問(wèn)沒(méi)有區(qū)別 ,隱蔽性極強(qiáng) ,不易被發(fā)現(xiàn)。雖然這項(xiàng)技術(shù)稍顯落后 ,國(guó)內(nèi)也是在幾年前才開始興起 ,但涉及到其覆蓋面廣 ,出 現(xiàn)問(wèn)題的幾率大 ,造

8、成很多網(wǎng)站都不行中招 ,甚至導(dǎo)致服務(wù)器被攻陷。SQL 注入攻擊的特點(diǎn)就是變種極多 ,有經(jīng)驗(yàn)的攻擊者會(huì)手動(dòng)調(diào)整攻擊參數(shù) ,致使 攻擊數(shù)據(jù)的變種是不可枚舉的 ,這導(dǎo)致傳統(tǒng)的特征匹配檢測(cè)方法僅能識(shí)別相當(dāng)少的 攻擊 ,難以防范。因?yàn)椴扇×藚?shù)返回錯(cuò)誤的思路 ,造成很多方式都可以給攻擊者提示信息 ,所以系統(tǒng)防范起來(lái)還是很困難 ,現(xiàn)在比較好的辦法是通過(guò) 靜態(tài)頁(yè)面生成方式 ,將終端頁(yè)面呈現(xiàn)在用戶面前 ,防止對(duì)方隨意添加訪問(wèn)參數(shù)。四、嗅探掃描常在網(wǎng)上漂 ,肯定被掃描。網(wǎng)絡(luò)掃描無(wú)處不在 ,也許你覺(jué)得自己長(zhǎng)期安然無(wú)事 ,那 是因?yàn)槟愕慕K端不夠長(zhǎng)期穩(wěn)定的聯(lián)在網(wǎng)上。對(duì)于服務(wù)器來(lái)說(shuō),被掃描可謂是危險(xiǎn)的開始。這里面又以

9、Sniffer 為主。如何發(fā)現(xiàn)和防止 Sniffer 嗅探器呢 ?通過(guò)一些網(wǎng)絡(luò)軟件 ,可以看到信息包傳送情況 ,向 ping 這樣的命令會(huì)告訴你掉了 百分幾的包。如果網(wǎng)絡(luò)中有人在監(jiān)聽(tīng)掃描 ,那么信息包傳送將無(wú)法每次都順暢的流 到目的地 ,這是由于 sniffer 攔截每個(gè)包導(dǎo)致的。通過(guò)某些帶寬控制器 ,比如防火墻 ,可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況 ,如果 某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬 ,這臺(tái)終端就有可能在監(jiān)聽(tīng)。另一個(gè)比較容易接受的是使用安全拓?fù)浣Y(jié)構(gòu)。這聽(tīng)上去很簡(jiǎn)單,但實(shí)現(xiàn)起來(lái)花銷是很大的。這樣的拓?fù)浣Y(jié)構(gòu)需要有這樣的規(guī)則 :一個(gè)網(wǎng)絡(luò)段必須有足夠的理由才 能信任另一網(wǎng)絡(luò)段。網(wǎng)絡(luò)段應(yīng)該考慮你的數(shù)據(jù)之間的信任關(guān)系上來(lái)設(shè)計(jì),而不是硬件需要。在網(wǎng)絡(luò)上 ,各種攻擊