[安全]四大網(wǎng)絡(luò)攻擊常見手段及防護(hù)(精)

1、安全四大網(wǎng)絡(luò)攻擊常見手段及防護(hù)進(jìn)入論壇討論>>2008-06-17來源:數(shù)動(dòng)連線整理在茫茫的互聯(lián)網(wǎng)上,隨時(shí)都在發(fā)生著攻擊,也許在你看這篇文章時(shí),你的電腦正在被別人掃描,口令正在被別人破譯,這一切看似無聲的戰(zhàn)爭(zhēng)讓人防不勝防。作為企業(yè)終端用戶,有必要了解網(wǎng)絡(luò)攻擊者常用的手段,對(duì)于本地網(wǎng)絡(luò)和終端防護(hù)來說很有必要。下面就講解一下網(wǎng)絡(luò)中黑客常用的攻擊方法。一、DoS攻擊這可不是用DoS操作系統(tǒng)攻擊，其全稱為DenialofService拒絕服務(wù)。它通過協(xié)議方式,或抓住系統(tǒng)漏洞,集中對(duì)目標(biāo)進(jìn)行網(wǎng)絡(luò)攻擊,直到對(duì)方網(wǎng)絡(luò)癱瘓,大家常聽說的洪水攻擊，瘋狂Ping攻擊都屬于此類。由于這種攻擊技術(shù)門檻較低

2、，并且效果明顯，防范起來比較棘手，所以其一度成為準(zhǔn)黑客們的必殺武器，進(jìn)而出現(xiàn)的DDoS(DistubutedDenialofService分布式拒絕服務(wù)攻擊，更是讓網(wǎng)絡(luò)安全管理員感到頭痛。可別小看這種攻擊，雖然DoS攻擊原理極為簡(jiǎn)單，早已為人們所熟知。但目前全球每周所遭遇的DoS攻擊依然達(dá)到4000多次,正是因?yàn)楹?jiǎn)單、頑固的原因，讓DoS攻擊如野草般燒之不盡，DoS攻擊最早可追述到1996年，在2000年發(fā)展到極致，這期間不知有多少知名網(wǎng)站遭受到它的騷擾。對(duì)于國(guó)內(nèi)網(wǎng)絡(luò)來說,DoS攻擊更是能體現(xiàn)“黑客”們的價(jià)值，他們組成了一列列僵尸網(wǎng)絡(luò)，多線程攻擊目標(biāo)主機(jī)，一切看起來似乎很簡(jiǎn)單，但對(duì)于服務(wù)器來說

3、確實(shí)難以應(yīng)對(duì)。那企業(yè)管理員該如何呢?在應(yīng)對(duì)常見的DoS攻擊時(shí)，路由器本身的配置信息非常重要，管理員可以通過以下方法，來防止不同類型的DoS攻擊。擴(kuò)展訪問列表是防止DoS攻擊的有效工具，其中ShowIPaccess-list命令可以顯示匹配數(shù)據(jù)包，數(shù)據(jù)包的類型反映了DoS攻擊的種類，由于DoS攻擊大多是利用了TCP協(xié)議的弱點(diǎn)，所以網(wǎng)絡(luò)中如果出現(xiàn)大量建立TCP連接的請(qǐng)求，說明洪水攻擊來了。此時(shí)管理員可以適時(shí)的改變?cè)L問列表的配置內(nèi)容,從而達(dá)到阻止攻擊源的目的。如果用戶的路由器具備TCP攔截功能，也能抵制DoS攻擊。在對(duì)方發(fā)送數(shù)據(jù)流時(shí)可以很好的監(jiān)控和攔截，如果數(shù)據(jù)包合法，允許實(shí)現(xiàn)正常通信，否則，路由器

4、將顯示超時(shí)限制，以防止自身的資源被耗盡，說到底，利用設(shè)備規(guī)則來合理的屏蔽持續(xù)的、高頻度的數(shù)據(jù)沖擊是防止DoS攻擊的根本。二、ARP攻擊網(wǎng)絡(luò)提示連接出現(xiàn)故障,IP沖突，無法打開網(wǎng)頁,頻繁彈出錯(cuò)誤對(duì)話框。如果你的PC有以上的表現(xiàn)，那就要考慮是否遭到ARP攻擊了。ARP欺騙是通過MAC翻譯錯(cuò)誤造成計(jì)算機(jī)內(nèi)的身份識(shí)別沖突，它和DOS一樣,目前沒有特別系統(tǒng)的解決方案，但有一些值得探討的技術(shù)技巧。一般我們采取安裝防火墻來查找攻擊元兇，利用ARPdetect可以直接找到攻擊者以及可能參與攻擊的對(duì)象。ARPdetect默認(rèn)啟動(dòng)后會(huì)自動(dòng)識(shí)別網(wǎng)絡(luò)參數(shù)，當(dāng)然用戶還是有必要進(jìn)行深入設(shè)置。首先要選擇好參與內(nèi)網(wǎng)連接的網(wǎng)卡

5、，這點(diǎn)非常重要，因?yàn)橐院笏械男崽焦ぷ鞫际腔谶x擇的網(wǎng)卡進(jìn)行的。然后檢查IP地址、網(wǎng)關(guān)等參數(shù)。需要提醒用戶的是,檢測(cè)范圍根據(jù)網(wǎng)絡(luò)內(nèi)IP分布情況來設(shè)置，如果IP段不清楚，可以通過CMD下的ipconfig來查看網(wǎng)關(guān)和本機(jī)地址。不要加入過多無效IP,否則影響后期掃描工作。不過遺憾的是，這種方法在很多ARP病毒攻擊的情況下并不樂觀。首先我們需要管理員多做一些工作，尤其是路由器上的IP地址綁定，并且隨時(shí)查看網(wǎng)絡(luò)當(dāng)前狀態(tài)是否存在IP偽裝終端，先確實(shí)找到攻擊源并采取隔離措施。ARP攻擊一旦在局域網(wǎng)開始蔓延，就會(huì)出現(xiàn)一系列的不良反應(yīng)。sniffer是網(wǎng)絡(luò)管理的好工具，網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包都可以通過snif

6、fer來檢測(cè)。同樣arp欺騙數(shù)據(jù)包也逃不出sniffer的監(jiān)測(cè)范圍。通過嗅探-定位-隔離-封堵幾個(gè)步驟，可以很好的排除大部分ARP攻擊。三、腳本攻擊大家都聽過SQL注入攻擊吧，所謂SQL注入就是利用現(xiàn)有應(yīng)用程序，將（惡意的SQL命令注入到后臺(tái)數(shù)據(jù)庫(kù)引擎執(zhí)行的能力,這種攻擊腳本最直接，也最簡(jiǎn)單,當(dāng)然，腳本攻擊更多的是建立在對(duì)方漏洞的基礎(chǔ)上，它比DOS和ARP攻擊的門檻更高。隨著交互式網(wǎng)頁的應(yīng)用，越來越多的開發(fā)者在研究編寫交互代碼時(shí)，漏掉了一些關(guān)鍵字，同時(shí)也會(huì)造成一部分程序沖突。這里包括Cookie欺騙、特殊關(guān)鍵字未過濾等等。導(dǎo)致了攻擊者可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得一些他想

7、得到的數(shù)據(jù)。SQL注入利用的是正常的HTTP服務(wù)端口,表面上看來和正常的web訪問沒有區(qū)別，隱蔽性極強(qiáng)，不易被發(fā)現(xiàn)。雖然這項(xiàng)技術(shù)稍顯落后，國(guó)內(nèi)也是在幾年前才開始興起，但涉及到其覆蓋面廣，出現(xiàn)問題的幾率大，造成很多網(wǎng)站都不行中招，甚至導(dǎo)致服務(wù)器被攻陷。SQL注入攻擊的特點(diǎn)就是變種極多，有經(jīng)驗(yàn)的攻擊者會(huì)手動(dòng)調(diào)整攻擊參數(shù)，致使攻擊數(shù)據(jù)的變種是不可枚舉的，這導(dǎo)致傳統(tǒng)的特征匹配檢測(cè)方法僅能識(shí)別相當(dāng)少的攻擊，難以防范。因?yàn)椴扇×藚?shù)返回錯(cuò)誤的思路，造成很多方式都可以給攻擊者提示信息，所以系統(tǒng)防范起來還是很困難，現(xiàn)在比較好的辦法是通過靜態(tài)頁面生成方式，將終端頁面呈現(xiàn)在用戶面前，防止對(duì)方隨意添加訪問參數(shù)。四、

8、嗅探掃描常在網(wǎng)上漂，肯定被掃描。網(wǎng)絡(luò)掃描無處不在，也許你覺得自己長(zhǎng)期安然無事，那是因?yàn)槟愕慕K端不夠長(zhǎng)期穩(wěn)定的聯(lián)在網(wǎng)上。對(duì)于服務(wù)器來說，被掃描可謂是危險(xiǎn)的開始。這里面又以Sniffer為主。如何發(fā)現(xiàn)和防止Sniffer嗅探器呢？通過一些網(wǎng)絡(luò)軟件，可以看到信息包傳送情況，向ping這樣的命令會(huì)告訴你掉了百分幾的包。如果網(wǎng)絡(luò)中有人在監(jiān)聽掃描,那么信息包傳送將無法每次都順暢的流到目的地，這是由于sniffer攔截每個(gè)包導(dǎo)致的。通過某些帶寬控制器，比如防火墻，可以實(shí)時(shí)看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺(tái)機(jī)器長(zhǎng)時(shí)間的占用了較大的帶寬，這臺(tái)終端就有可能在監(jiān)聽。另一個(gè)比較容易接受的是使用安全拓?fù)浣Y(jié)構(gòu)。這聽上去很簡(jiǎn)單，但實(shí)現(xiàn)起來花銷是很大的。這樣的拓?fù)浣Y(jié)構(gòu)需要有這樣的規(guī)則:一個(gè)網(wǎng)絡(luò)段必須有足夠的理由才能信任另一網(wǎng)絡(luò)段。網(wǎng)絡(luò)段應(yīng)該考慮你的數(shù)據(jù)之間的信任關(guān)系上來設(shè)計(jì)，而不是硬件需要。在網(wǎng)絡(luò)上，各種攻擊層出不窮，但對(duì)于