Ⅰ 網路攻擊和防禦分別包括哪些內容
一、網路攻擊主要包括以下幾個方面:
1、網路監聽:自己不主動去攻擊別人,而是在計算機上設置一個程序去監聽目標計算機與其他計算機通信的數據。
2、網路掃描:利用程序去掃描目標計算機開放的埠等,目的是發現漏洞,為入侵該計算機做准備。
3、網路入侵:當探測發現對方存在漏洞後,入侵到目標計算機獲取信息。
4、網路後門:成功入侵目標計算機後,為了實現對「戰利品」的長期控制,在目標計算機中種植木馬等後門。
5、網路隱身:入侵完畢退出目標計算機後,將自己入侵的痕跡清除,從而防止被對方管理員發現。
二、網路防禦技術主要包括以下幾個方面:
1、安全操作系統和操作系統的安全配置:操作系統是網路安全的關鍵。
2、加密技術:為了防止被監聽和數據被盜取,將所有的數據進行加密。
3、防火牆技術:利用防火牆,對傳輸的數據進行限制,從而防止被入侵。
4、入侵檢測:如果網路防線最終被攻破,需要及時發出被入侵的警報。
5、網路安全協議:保證傳輸的數據不被截獲和監聽。
(1)計算機網路入侵概念擴展閱讀:
防範DDos攻擊
1、及時地給系統打補丁,設置正確的安全策略;
2、定期檢查系統安全:檢查是否被安裝了DDoS攻擊程序,是否存在後門等;
3、建立資源分配模型,設置閾值,統計敏感資源的使用情況;
4、優化路由器配置;
5、由於攻擊者掩蓋行蹤的手段不斷加強,很難在系統級的日誌文件中尋找到蛛絲馬跡。因此,第三方的日誌分析系統能夠幫助管理員更容易地保留線索,順藤摸瓜,將肇事者繩之以法;
6、使用DNS來跟蹤匿名攻擊;
7、對於重要的WEB伺服器,為一個域名建立多個鏡像主機。
Ⅱ 黑客是怎樣通過網路入侵電腦的
黑客是入侵別人電腦的方法有9種。
1、獲取口令
這又有三種方法:
一是通過網路監聽非法得到用戶口令,這類方法有一定的局限性,但危害性極大,監聽者往往能夠獲得其所在網段的所有用戶賬號和口令,對區域網安全威脅巨大;二是在知道用戶的賬號後(如電子郵件@前面的部分)利用一些專門軟體強行破解用戶口令,這種方法不受網段限制,但黑客要有足夠的耐心和時間;三是在獲得一個伺服器上的用戶口令文件(此文件成為Shadow文件)後,用暴力破解程序破解用戶口令,該方法的使用前提是黑客獲得口令的Shadow文件。
此方法在所有方法中危害最大,因為它不需要像第二種方法那樣一遍又一遍地嘗試登錄伺服器,而是在本地將加密後的口令與Shadow文件中的口令相比較就能非常容易地破獲用戶密碼,尤其對那些弱智用戶(指口令安全系數極低的用戶,如某用戶賬號為zys,其口令就是zys666、666666、或乾脆就是zys等)更是在短短的一兩分鍾內,甚至幾十秒內就可以將其幹掉。
2、放置特洛伊木馬程序
特洛伊木馬程序可以直接侵入用戶的電腦並進行破壞,它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網上直接下載,一旦用戶打開了這些郵件的附件或者執行了這些程序之後,它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中,並在自己的計算機系統中隱藏一個可以在Windows啟動時悄悄執行的程序。
當您連接到網際網路上時,這個程序就會通知黑客,來報告您的IP地址以及預先設定的埠。黑客在收到這些信息後,再利用這個潛伏在其中的程序,就可以任意地修改您的計算機的參數設定、復制文件、窺視你整個硬碟中的內容等,從而達到控制你的計算機的目的。
3、WWW的欺騙技術
在網上用戶可以利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、咨詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已經被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向黑客伺服器發出請求,那麼黑客就可以達到欺騙的目的了。
4、電子郵件攻擊
電子郵件攻擊主要表現為兩種方式:
一是電子郵件轟炸和電子郵件「滾雪球」,也就是通常所說的郵件炸彈,指的是用偽造的IP地址和電子郵件地址向同一信箱發送數以千計、萬計甚至無窮多次的內容相同的垃圾郵件,致使受害人郵箱被「炸」,嚴重者可能會給電子郵件伺服器操作系統帶來危險,甚至癱瘓;
二是電子郵件欺騙,攻擊者佯稱自己為系統管理員(郵件地址和系統管理員完全相同),給用戶發送郵件要求用戶修改口令(口令可能為指定字元串)或在貌似正常的附件中載入病毒或其他木馬程序(據筆者所知,某些單位的網路管理員有定期給用戶免費發送防火牆升級程序的義務,這為黑客成功地利用該方法提供了可乘之機),這類欺騙只要用戶提高警惕,一般危害性不是太大。
5、通過一個節點來攻擊其他節點
黑客在突破一台主機後,往往以此主機作為根據地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們可以使用網路監聽方法,嘗試攻破同一網路內的其他主機;也可以通過IP欺騙和主機信任關系,攻擊其他主機。這類攻擊很狡猾,但由於某些技術很難掌握,如IP欺騙,因此較少被黑客使用。
6、網路監聽
網路監聽是主機的一種工作模式,在這種模式下,主機可以接受到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接受方是誰。此時,如果兩台主機進行通信的信息沒有加密,只要使用某些網路監聽工具,例如NetXray for windows 95/98/nt,sniffit for linux 、solaries等就可以輕而易舉地截取包括口令和帳號在內的信息資料。雖然網路監聽獲得的用戶帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。
7、尋找系統漏洞
許多系統都有這樣那樣的安全漏洞(Bugs),其中某些是操作系統或應用軟體本身具有的,如Sendmail漏洞,win98中的共享目錄密碼驗證漏洞和IE5漏洞等,這些漏洞在補丁未被開發出來之前一般很難防禦黑客的破壞,除非你將網線拔掉;還有一些漏洞是由於系統管理員配置錯誤引起的,如在網路文件系統中,將目錄和文件以可寫的方式調出,將未加Shadow的用戶密碼文件以明碼方式存放在某一目錄下,這都會給黑客帶來可乘之機,應及時加以修正。
8、利用帳號進行攻擊
有的黑客會利用操作系統提供的預設賬戶和密碼進行攻擊,例如許多UNIX主機都有FTP和Guest等預設賬戶(其密碼和賬戶名同名),有的甚至沒有口令。黑客用Unix操作系統提供的命令如Finger和Ruser等收集信息,不斷提高自己的攻擊能力。這類攻擊只要系統管理員提高警惕,將系統提供的預設賬戶關掉或提醒無口令用戶增加口令一般都能克服。
9、偷取特權
利用各種特洛伊木馬程序、後門程序和黑客自己編寫的導致緩沖區溢出的程序進行攻擊,前者可使黑客非法獲得對用戶機器的完全控制權,後者可使黑客獲得超級用戶的許可權,從而擁有對整個網路的絕對控制權。這種攻擊手段,一旦奏效,危害性極大。
Ⅲ 常見的網路攻擊都有哪幾種
1、口令入侵,是指使用某些合法用戶的帳號和口令登錄到目的主機,然後再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然後再進行合法用戶口令的破譯。
2、特洛伊木馬,常被偽裝成工具程式或游戲等誘使用戶打開,一旦用戶打開了這些郵件的附件或執行了這些程式之後,他們就會留在計算機中,並在自己的計算機系統中隱藏一個能在windows啟動時悄悄執行的程式。
3、WWW欺騙,正在訪問的網頁已被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向黑客伺服器發出請求。
4、節點攻擊,攻擊者在突破一台主機後,往往以此主機作為根據地,攻擊其他主機。他們能使用網路監聽方法,嘗試攻破同一網路內的其他主機;也能通過IP欺騙和主機信任關系,攻擊其他主機。
5、網路監聽,是主機的一種工作模式,在這種模式下,主機能接收到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的發送方和接收方是誰。
(3)計算機網路入侵概念擴展閱讀:
由於攻擊和入侵的對象是網路上的計算機,所以一旦他們取得成功,就會使網路中成千上萬台計算機處於癱瘓狀態。從而給計算機用戶造成巨大的經濟損失,如美國每年因計算機犯罪而造成的經濟損失就達幾百億美元。平均一起計算機犯罪案件所造成的經濟損失是一般案件的幾十到幾百倍。
威脅社會和國家安全。一些計算機網路攻擊者於各種目的經常把政府要害部門和軍事部門的計算機作為攻擊對象,從而對社會和國家造成威脅。
參考資料來源:
網路——計算機網路攻擊
網路——網路攻擊
Ⅳ 網路是怎樣被入侵的
因而很有必要了解網路入侵的一般過程,在此基礎上才能制定防禦策略,確保網路安全。 廣告:d_text網路安全問題 一般來說,計算機網路安全問題是計算機系統本身的脆弱性和其他人為因素構成了計算機網路的潛在威脅。一方面,計算機系統硬體和通信設施極易遭受自然環境的影響(如溫度、濕度、電磁場等)以及自然災害和人為(包括故意破壞和非故意破壞)的物理破壞;另一方面計算機內的軟體資源和數據易受到非法的竊取、復制、篡改和毀壞等攻擊;同時計算機系統的硬體、軟體的自然損耗等同樣會影響系統的正常工作,造成計算機網路系統內信息的損壞、丟失和安全事故。網路入侵過程 網路入侵過程為:信息收集→系統安全的探測→實施攻擊。如首先利用Ping工具獲得IP地址,再利用埠掃描尋找漏洞並入侵伺服器。網路入侵示意圖如附圖:在節點B的用戶正試圖與節點A的某個主機建立一個Telnet連接。網路攻擊技術 目前非法入侵常用的網路攻擊技術是: 1、利用對網路與協議的信任和依賴及傳輸漏洞。如IP欺騙:利用網路傳輸時對IP和DNS的信任;嗅包器:利用網路信息明文傳送;竊取口令:作字典攻擊(攻擊者用字典中的單詞來嘗試用戶的密碼)、Sniff(網路竊聽)。 2、利用服務進程的缺陷和配置錯誤。 3、利用操作系統本身的漏洞。人是最薄弱的一環 要想保證網路的安全,應做好伺服器漏洞、操作系統、網路傳輸入侵的防禦。在網路安全環節中,人是最薄弱的一環,最為成功的入侵往往不需要高深知識和復雜技術,實踐證明諸多不安全因素恰恰反映在組織管理方面。
Ⅳ 網路入侵的名詞解釋
1, 入侵檢測技術(IDS)可以被定義為對計算機和網路資源的惡意使用行為進行識別和相應處理的系統。包括系統外部的入侵和內部用戶的非授權行為,是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術。
入侵檢測方法很多,如基於專家系統入侵檢測方法、基於神經網路的入侵檢測方法等。目前一些入侵檢測系統在應用層入侵檢測中已有實現。
入侵檢測通過執行以下任務來實現:
1.監視、分析用戶及系統活動;
2.系統構造和弱點的審計;
3.識別反映已知進攻的活動模式並向相關人士報警;
4.異常行為模式的統計分析;
5.評估重要系統和數據文件的完整性;
6.操作系統的審計跟蹤管理,並識別用戶違反安全策略的行為。
入侵檢測系統典型代表
入侵檢測系統的典型代表是ISS公司(國際互聯網安全系統公司)的RealSecure。它是計算機網路上自動實時的入侵檢測和響應系統。它無妨礙地監控網路傳輸並自動檢測和響應可疑的行為,在系統受到危害之前截取和響應安全漏洞和內部誤用,從而最大程度地為企業網路提供安全。
入侵檢測系統目前存在的問題:
1. 現有的入侵檢測系統檢測速度遠小於網路傳輸速度, 導致誤報率和漏報率
2. 入侵檢測產品和其它網路安全產品結合問題, 即期間的信息交換,共同協作發現攻擊並阻擊攻擊
3. 基於網路的入侵檢測系統對加密的數據流及交換網路下的數據流不能進行檢測, 並且其本身構建易受攻擊
4. 入侵檢測系統體系結構問題
發展趨勢:
1. 基於agent(注:代理服務)的分布協作式入侵檢測與通用入侵檢測結合
2. 入侵檢測標準的研究, 目前缺乏統一標准
3. 寬頻高速網路實時入侵檢測技術
4. 智能入侵檢測
5. 入侵檢測的測度
2,在1998年,Martin Roesch先生用C語言開發了開放源代碼(Open Source)的入侵檢測系統Snort.直至今天,Snort已發展成為一個多平台(Multi-Platform),實時(Real-Time)流量分析,網路IP數據包(Pocket)記錄等特性的強大的網路入侵檢測/防禦系統(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共許可(GPL——GUN General Pubic License),在網上可以通過免費下載獲得Snort,並且只需要幾分鍾就可以安裝並開始使用它.snort基於libpcap。
snort系統組成:snort由三個重要的子系統構成:數據包解碼器,檢測引擎,日誌與報警系統。
Snort有三種工作模式:嗅探器、數據包記錄器、網路入侵檢測系統。嗅探器模式僅僅是從網路上讀取數據包並作為連續不斷的流顯示在終端上。數據包記錄器模式把數據包記錄到硬碟上。網路入侵檢測模式是最復雜的,而且是可配置的。我們可以讓snort分析網路數據流以匹配用戶定義的一些規則,並根據檢測結果採取一定的動作。
3,SPAN技術主要是用來監控交換機上的數據流,大體分為兩種類型,本地SPAN和遠程SPAN.
----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN),實現方法上稍有不同。
利用SPAN技術我們可以把交換機上某些想要被監控埠(以下簡稱受控埠)的數據流COPY或MIRROR一
份,發送給連接在監控埠上的流量分析儀,比如CISCO的IDS或是裝了SNIFFER工具的PC. 受控埠和
監控埠可以在同一台交換機上(本地SPAN),也可以在不同的交換機上(遠程SPAN)。
二、名詞解釋
SPAN Session--SPAN會話
SPAN會話是指一組受控埠與一個監控埠之間的數據流。可以同時對多個埠的進入流量或是一個端
口的外出流量進行監控,也可以對VLAN內所有埠的進入流量進行監控,但不能同時對多個埠的外出
流量及VLAN的外出流量進行監控,可以對處於關閉狀態的埠設置SPAN,但此時的SPAN會話是非活動,
但只要相關的介面被打開,SPAN就會變為活動的。
監控埠最好是>=受控埠的帶寬,否則可能會出現丟包的情況。
SPAN Traffic--SPAN的流量
使用本地SPAN可以監控所有的網路流量,包括multicast、bridge protocol data unit (BPDU),和CDP、
VTP、DTP、STP、PagP、LACP packets. RSPAN不能監控二層協議。
Traffic Types--流量類型
被監控的流量類型分為三種,Receive (Rx) SPAN 受控埠的接收流量,Transmit (Tx) SPAN 受控埠
的發送流量,Both 一個受控埠的接收和發送流量。
Source Port--SPAN會話的源埠(也就是monitored port-即受控埠)
受控埠可以是實際的物理埠、VLAN、以太通道埠組EtherChannel,物理埠可以在不同的VLAN中,
受控埠如果是VLAN則包括此VLAN中的所以物理埠,受控埠如果是以太通道則包括組成此以太通道組
的所有物理埠,如果受控埠是一個TRUNK幹道埠,則此TRUNK埠上承載的所有VLAN流量都會受到監
控,也可以使用filter vlan 參數進行調整,只對filter vlan 中指定的VLAN數據流量做監控。
Destination Port--SPAN會話的目的埠(也就是monitoring port-即監控埠)
監控埠只能是單獨的一個實際物理埠,一個監控埠同時只能在一個SPAN會話中使用,監控
埠不參與其它的二層協議如:Layer 2 protocols
Cisco Discovery Protocol (CDP),
VLAN Trunk Protocol (VTP),
Dynamic Trunking Protocol (DTP),
Spanning Tree Protocol (STP),
Port Aggregation Protocol (PagP),
Link Aggregation Control Protocol (LACP).
預設情況下監控埠不會轉發除SPAN Session以外的任何其它的數據流,也可以通過設置ingress
參數,打開監控埠的二層轉發功能,比如當連接CISCO IDS的時會有這種需求,此時IDS不僅要接
收SPAN Session的數據流,IDS本身在網路中還會與其它設備有通訊流量,所以要打開監控埠的
二層轉發功能。
Reflector Port--反射埠
反射埠只在RSPAN中使用,與RSPAN中的受控埠在同一台交換機上,是用來將本地的受控埠流量
轉發到RSPAN中在另一台交換機上的遠程監控埠的方法,反射埠也只能是一個實際的物理埠,
它不屬於任何VLAN(It is invisible to all VLANs.)。
RSPAN中還要使用一個專用的VLAN來轉發流量,反射埠會使用這個專用VLAN將數據流通過TRUNK埠
發送給其它的交換機,遠程交換機再通過此專用VLAN將數據流發送到監控埠上的分析儀。
關於RSPAN VLAN的創建,所有參與RSPAN的交換機應在同一個VTP域中,不能用VLAN 1,也不能用
1002-1005,這是保留的(reserved for Token Ring and FDDI VLANs),如果是2-1001的標准VLAN,
則只要在VTP Server上創建即可,其它的交換機會自動學到,如果是1006-4094的擴展VLAN,則需要
在所有交換機上創建此專用VLAN.
反射埠最好是>=受控埠的帶寬,否則可能會出現丟包的情況。
VLAN-Based SPAN--基於VLAN的SPAN
基於VLAN的SPAN只能監控VLAN中所有活動埠接收的流量(only received (Rx) traffic),如果
監控埠屬於此VLAN,則此埠不在監控范圍內,VSPAN只監控進入交換機的流量,不對VLAN介面上
的路由數據做監控。
(VSPAN only monitors traffic that enters the switch, not traffic that is routed between VLANs.
For example, if a VLAN is being Rx-monitored and the multilayer switch routes traffic
from another VLAN to the monitored VLAN, that traffic is not monitored and is not received
on the SPAN destination port. )
三、SPAN和RSPAN與其它特性的互操作性
Routing--SPAN不監控VLAN間的路由數據;(不好理解)
Routing—Ingress SPAN does not monitor routed traffic. VSPAN only monitors traffic that
enters the switch, not traffic that is routed between VLANs. For example, if a VLAN is
being Rx-monitored and the multilayer switch routes traffic from another VLAN to the
monitored VLAN, that traffic is not monitored and not received on the SPAN destination port.
STP--監控埠和反射埠不會參與STP,但SPAN對受控埠的STP沒有影響;
CDP--監控埠不參與CDP;
VTP--RSPAN VLAN可以被修剪pruning;
VLAN and trunking--可以修改受控埠、監控埠和反射埠的VLAN和TRUNK設置,受控埠的改變
會立即生效,而監控埠和反射埠則要在從SPAN中去除後才會生效;
EtherChannel--整個以太通道組可以做為受控埠使用,如果一個屬於某個以太通道組的物理埠被
配成了受控埠、監控埠或反射埠,則此埠會自動從以太通道組去除,當SPAN
刪除後,它又會自動加入原以太通道組;
QoS--由於受QoS的策略影響,監控埠上收到的數據流會與受控埠實際的數據流不同,比如DSCP值
被修改等;
Multicast--SPAN可以監控組播的數據流;
Port security--安全埠不能做為監控埠使用;
802.1x--受控埠、監控埠和反射埠上可以設置802.1x,但有些限制。
四、SPAN和RSPAN的配置舉例
SPAN的限制和預設設置
Catalyst 3550交換機上最多隻能設置兩個SPAN Session,預設SPAN沒有使用,如果做了設置,預設
情況下,第一個被設為受控埠的介面進出流量都會受到監控,以後再追加的受控埠只會對接收的
流量進行監控,監控埠的默認封裝類型為Native,也就是沒有打VLAN的標記。