㈠ 什麼是網路攻擊怎樣防止
網路攻擊又可分為主動攻擊和被動攻擊。
◆ 被動攻擊
被動攻擊就是網路竊聽,截取數據包並進行分析,從中竊取重要的敏感信息。被動攻擊很難被發現,因此預防很重要,防止被動攻擊的主要手段是數據加密傳輸。為了保護網路資源免受威脅和攻擊,在密碼學及安全協議的基礎上發展了網路安全體系中的五類安全服務,它們是:身份認證、訪問控制、數據保密、數據完整性和不可否認。對這五類安全服務,國際標准化組織ISO已經有了明確的定義。
◆ 主動攻擊包括竊取、篡改、假冒和破壞。
主動攻擊包括竊取、篡改、假冒和破壞。字典式口令猜測,IP地址欺騙和服務拒絕攻擊等等都屬於主動攻擊。一個好的身份認證系統(包括數據加密、數據完整性校驗、數字簽名和訪問控制等安全機制)可以用於防範主動攻擊,但要想杜絕主動攻擊很困難,因此對付主動攻擊的另一措施是及時發現並及時恢復所造成的破壞,現在有很多實用的攻擊檢測工具。
最好的防禦方法是高性能的防火牆,如果黑客們不能向每一台機器發送數據包,該機器就不容易被入侵。
㈡ 如何攔截網路攻擊
黑客攻擊行為特徵分析 反攻擊技術綜合性分析報告 www.rising.com.cn 信息源:計算機與安全 要想更好的保護網路不受黑客的攻擊,就必須對黑客的攻擊方法、攻擊原理、攻擊過程有深入的、詳細的了解,只有這樣才能更有效、更具有針對性的進行主動防護。下面通過對黑客攻擊方法的特徵分析,來研究如何對黑客攻擊行為進行檢測與防禦。一、反攻擊技術的核心問題反攻擊技術(入侵檢測技術)的核心問題是如何截獲所有的網路信息。目前主要是通過兩種途徑來獲取信息,一種是通過網路偵聽的途徑(如Sniffer,Vpacket等程序)來獲取所有的網路信息(數據包信息,網路流量信息、網路狀態信息、網路管理信息等),這既是黑客進行攻擊的必然途徑,也是進行反攻擊的必要途徑;另一種是通過對操作系統和應用程序的系統日誌進行分析,來發現入侵行為和系統潛在的安全漏洞。二、黑客攻擊的主要方式黑客對網路的攻擊方式是多種多樣的,一般來講,攻擊總是利用「系統配置的缺陷」,「操作系統的安全漏洞」或「通信協議的安全漏洞」來進行的。到目前為止,已經發現的攻擊方式超過2000種,其中對絕大部分黑客攻擊手段已經有相應的解決方法,這些攻擊大概可以劃分為以下六類:1.拒絕服務攻擊:一般情況下,拒絕服務攻擊是通過使被攻擊對象(通常是工作站或重要伺服器)的系統關鍵資源過載,從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。2.非授權訪問嘗試:是攻擊者對被保護文件進行讀、寫或執行的嘗試,也包括為獲得被保護訪問許可權所做的嘗試。3.預探測攻擊:在連續的非授權訪問嘗試過程中,攻擊者為了獲得網路內部的信息及網路周圍的信息,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、埠掃描和IP半途掃描等。4.可疑活動:是通常定義的「標准」網路通信范疇之外的活動,也可以指網路上不希望有的活動,如IP Unknown Protocol和Duplicate IP Address事件等。5.協議解碼:協議解碼可用於以上任何一種非期望的方法中,網路或安全管理員需要進行解碼工作,並獲得相應的結果,解碼後的協議信息可能表明期望的活動,如FTU User和Portmapper Proxy等解碼方式。6.系統代理攻擊:這種攻擊通常是針對單個主機發起的,而並非整個網路,通過RealSecure系統代理可以對它們進行監視。三、黑客攻擊行為的特徵分析與反攻擊技術入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為,要有效的進反攻擊首先必須了解入侵的原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發生。下面我們針對幾種典型的入侵攻擊進行分析,並提出相應的對策。1.Land攻擊攻擊類型:Land攻擊是一種拒絕服務攻擊。攻擊特徵:用於Land攻擊的數據包中的源地址和目標地址是相同的,因為當操作系統接收到這類數據包時,不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,或者循環發送和接收該數據包,消耗大量的系統資源,從而有可能造成系統崩潰或死機等現象。檢測方法:判斷網路數據包的源地址和目標地址是否相同。反攻擊方法:適當配置防火牆設備或過濾路由器的過濾規則就可以防止這種攻擊行為(一般是丟棄該數據包),並對這種攻擊進行審計(記錄事件發生的時間,源主機和目標主機的MAC地址和IP地址)。2.TCP SYN攻擊攻擊類型:TCP SYN攻擊是一種拒絕服務攻擊。攻擊特徵:它是利用TCP客戶機與伺服器之間三次握手過程的缺陷來進行的。攻擊者通過偽造源IP地址向被攻擊者發送大量的SYN數據包,當被攻擊主機接收到大量的SYN數據包時,需要使用大量的緩存來處理這些連接,並將SYN ACK數據包發送回錯誤的IP地址,並一直等待ACK數據包的回應,最終導致緩存用完,不能再處理其它合法的SYN連接,即不能對外提供正常服務。檢測方法:檢查單位時間內收到的SYN連接否收超過系統設定的值。反攻擊方法:當接收到大量的SYN數據包時,通知防火牆阻斷連接請求或丟棄這些數據包,並進行系統審計。3.Ping Of Death攻擊攻擊類型:Ping Of Death攻擊是一種拒絕服務攻擊。攻擊特徵:該攻擊數據包大於65535個位元組。由於部分操作系統接收到長度大於65535位元組的數據包時,就會造成內存溢出、系統崩潰、重啟、內核失敗等後果,從而達到攻擊的目的。檢測方法:判斷數據包的大小是否大於65535個位元組。反攻擊方法:使用新的補丁程序,當收到大於65535個位元組的數據包時,丟棄該數據包,並進行系統審計。4.WinNuke攻擊攻擊類型:WinNuke攻擊是一種拒絕服務攻擊。攻擊特徵:WinNuke攻擊又稱帶外傳輸攻擊,它的特徵是攻擊目標埠,被攻擊的目標埠通常是139、138、137、113、53,而且URG位設為「1」,即緊急模式。檢測方法:判斷數據包目標埠是否為139、138、137等,並判斷URG位是否為「1」。反攻擊方法:適當配置防火牆設備或過濾路由器就可以防止這種攻擊手段(丟棄該數據包),並對這種攻擊進行審計(記錄事件發生的時間,源主機和目標主機的MAC地址和IP地址MAC)。5.Teardrop攻擊攻擊類型:Teardrop攻擊是一種拒絕服務攻擊。攻擊特徵:Teardrop是基於UDP的病態分片數據包的攻擊方法,其工作原理是向被攻擊者發送多個分片的IP包(IP分片數據包中包括該分片數據包屬於哪個數據包以及在數據包中的位置等信息),某些操作系統收到含有重疊偏移的偽造分片數據包時將會出現系統崩潰、重啟等現象。檢測方法:對接收到的分片數據包進行分析,計算數據包的片偏移量(Offset)是否有誤。反攻擊方法:添加系統補丁程序,丟棄收到的病態分片數據包並對這種攻擊進行審計。6.TCP/UDP埠掃描攻擊類型:TCP/UDP埠掃描是一種預探測攻擊。攻擊特徵:對被攻擊主機的不同埠發送TCP或UDP連接請求,探測被攻擊對象運行的服務類型。檢測方法:統計外界對系統埠的連接請求,特別是對21、23、25、53、80、8000、8080等以外的非常用埠的連接請求。反攻擊方法:當收到多個TCP/UDP數據包對異常埠的連接請求時,通知防火牆阻斷連接請求,並對攻擊者的IP地址和MAC地址進行審計。對於某些較復雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要採用模式匹配的方法,還需要利用狀態轉移、網路拓撲結構等方法來進行入侵檢測。四、入侵檢測系統的幾點思考從性能上講,入侵檢測系統面臨的一個矛盾就是系統性能與功能的折衷,即對數據進行全面復雜的檢驗構成了對系統實時性要求很大的挑戰。從技術上講,入侵檢測系統存在一些亟待解決的問題,主要表現在以下幾個方面:1.如何識別「大規模的組合式、分布式的入侵攻擊」目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中,我們了解到安全問題日漸突出,攻擊者的水平在不斷地提高,加上日趨成熟多樣的攻擊工具,以及越來越復雜的攻擊手法,使入侵檢測系統必須不斷跟蹤最新的安全技術。2.網路入侵檢測系統通過匹配網路數據包發現攻擊行為,入侵檢測系統往往假設攻擊信息是明文傳輸的,因此對信息的改變或重新編碼就可能騙過入侵檢測系統的檢測,因此字元串匹配的方法對於加密過的數據包就顯得無能為力。3.網路設備越來越復雜、越來越多樣化就要求入侵檢測系統能有所定製,以適應更多的環境的要求。4.對入侵檢測系統的評價還沒有客觀的標准,標準的不統一使得入侵檢測系統之間不易互聯。入侵檢測系統是一項新興技術,隨著技術的發展和對新攻擊識別的增加,入侵檢測系統需要不斷的升級才能保證網路的安全性。5.採用不恰當的自動反應同樣會給入侵檢測系統造成風險。入侵檢測系統通常可以與防火牆結合在一起工作,當入侵檢測系統發現攻擊行為時,過濾掉所有來自攻擊者的IP數據包,當一個攻擊者假冒大量不同的IP進行模擬攻擊時,入侵檢測系統自動配置防火牆將這些實際上並沒有進行任何攻擊的地址都過濾掉,於是造成新的拒絕服務訪問。6.對IDS自身的攻擊。與其他系統一樣,IDS本身也存在安全漏洞,若對IDS攻擊成功,則導致報警失靈,入侵者在其後的行為將無法被記錄,因此要求系統應該採取多種安全防護手段。7.隨著網路的帶寬的不斷增加,如何開發基於高速網路的檢測器(事件分析器)仍然存在很多技術上的困難。入侵檢測系統作為網路安全關鍵性測防系統,具有很多值得進一步深入研究的方面,有待於我們進一步完善,為今後的網路發展提供有效的安全手段。
㈢ 有誰知道網路攻擊的種類和預防
隨著INTERNET的進一步發展,各種網上活動日益頻繁,尤其網上辦公、交易越來越普及,使得網路安全問題日益突出,各種各樣的網路攻擊層出不窮,如何防止網路攻擊,為廣大用戶提供一個安全的網路環境變得尤為重要。
1 網路攻擊概述
網路安全是一個永恆的話題,因為計算機只要與網路連接就不可能徹底安全,網路中的安全漏洞無時不在,隨著各種程序的升級換代,往往是舊的安全漏洞補上了,又存在新的安全隱患,網路攻擊的本質實際上就是尋找一切可能存在的網路安全缺陷來達到對系統及資源的損害。
網路攻擊一般分為三個階段:
第一階段:獲取一個登錄賬號
對UNLX系統進行攻擊的首要目標是設法獲取登錄賬號及口令,攻擊者一般先試圖獲取存在於/etc/passwd或NIS映射中的加密口令文件,得到該口令文件之後,就對其運行Crack,藉助於口令字典,Crack甚至可以在幾分鍾內破譯一個賬號。
第二階段:獲取根訪問權
進入系統後,入侵者就會收集各種信息,尋找系統中的種種漏洞,利用網路本身存在的一些缺陷,設法獲取根訪問權,例如未加限制的NFS允許根對其讀和寫。利用NFS協議,客戶給與伺服器的安裝守護程序先交換信息,信息交換後,生成對NFS守護程序的請求,客戶通過這些請求對伺服器上的文件進行讀或寫操作。因此,當客戶機安裝文件系統並打開某個文件時,如果入侵者發出適當各式的UDP數據報,伺服器就將處理NFS請求,同時將結果回送客戶,如果請求是寫操作,入侵者舊可以把信息寫入伺服器中的磁碟。如果是讀操作,入侵者就可以利用其設置於伺服器和客戶機之間的窺探器了解伺服器磁碟中的信息,從而獲得根訪問權。
第三階段:擴展訪問權
一旦入侵者擁有根訪問權,則該系統即可被用來供給網路上的其他系統。例如:可以對登錄守護程序作修改以便獲取口令:增加包窺探儀可獲取網路通信口令:或者利用一些獨立軟體工具動態地修改UNLX內核,以系統中任何用戶的身份截擊某個終端及某個連接,獲得遠程主機的訪問權。
2 攻擊的種類及其分析
普通的攻擊一般可分以下幾種:
2.1 拒絕服務攻擊
拒絕服務攻擊不損壞數據,而是拒絕為用戶服務,它往往通過大量不相關的信息來阻斷系統或通過向系統發出會,毀滅性的命令來實現。例如入侵者非法侵入某系統後,可向與 之相關連的其他系統發出大量信息,最終導致接收系統過載,造成系統誤操作甚至癱瘓。這種供給的主要目的是降低目標伺服器的速度,填滿可用的磁碟空間,用大量的無用信息消耗系統資源,是伺服器不能及時響應,並同時試圖登錄到工作站上的授權賬戶。例如,工作站向北供給伺服器請求NISpasswd信息時,攻擊者伺服器則利用被攻擊伺服器不能及時響應這一特點,替代被攻擊伺服器做出響應並提供虛假信息,如沒有口令的紀錄。由於被攻擊伺服器不能接收或及時接收軟體包,它就無法及時響應,工作站將把虛假的響應當成正確的來處 理,從而使帶有假的passwd條目的攻擊者登錄成功。2.2 同步(SYN)攻擊 同步供給與拒絕服務攻擊相似,它摧毀正常通信握手關系。在SYN供給發生時,攻擊者的計算機不回應其它計算機的ACK,而是向他發送大量的SYN ACK信息。通常計算機有一預設值,允許它持特定樹木的SYN ACK信息,一旦達到這個數目後,其他人將不能初始化握手,這就意味著其他人將不能進入系統,因此最終有可能導致網路的崩潰。2.3 Web欺騙攻擊Web欺騙的關鍵是要將攻擊者偽造的Web伺服器在邏輯上置於用戶與目的Web伺服器之間,使用戶的所有信息都在攻擊者的監視之下。一般Web欺騙使用兩種技術:URL地址重寫技術和相關信息掩蓋技術。利用URL地址重寫技術,攻擊者重寫某些重要的Web站點上的所有URL地址,使這些地質均指向攻擊者的Web伺服器,即攻擊者可以將自己的Web站點的URL地址加到所有URL地址的前面。例如,設攻擊者的Web站點的URL地址為: http://www.aaa.com,合法Web站點上的URL地址為 http://www.bbb.com,經重寫後,該地址可以被加到合法URL地址 http://www.bbb.com之前,即 http://www.aaa.com/ http://www.bbb.com.當用戶與站點進行安全鏈接時,則會毫無防備地進入攻擊者伺服器。此時用戶瀏覽器首先向攻擊者伺服器請求訪問,然後由攻擊者伺服器向真正的目標伺服器請求訪問,目標伺服器向攻擊伺服器傳回相關信息,攻擊者伺服器重寫傳回頁面後再傳給用戶。此時瀏覽器呈現給用戶的的確是一個安全鏈接,但連接的對象卻是攻擊者伺服器。用戶向真正Web伺服器所提交的信息和真正Web伺服器傳給用戶的所有信息均要經過攻擊者伺服器,並受制於它,攻擊者可以對所有信息進行記錄和修改。由於瀏覽器一般均設有地址欄和狀態欄,當瀏覽器與某個站點連接時,可以在地址欄中和狀態欄中獲取連接中的Web站點地址及相關的傳輸信息,用戶可由此發現問題,所以一般攻擊者往往在URL地址重寫的同時,利用相關信息掩蓋技術即一般用的JavaScript程序來地址欄和狀態欄信息,以達到其掩蓋欺騙的目的。
2.4 TCP/IP欺騙攻擊
IP欺騙可發生在IP系統的所有層次上,包括硬體數據鏈路層、IP層、傳輸層及應用層均容易受到影響。如果底層受到損害,則應用層的所有協議都將處於危險之中。另外,由於用戶本身不直接與底層結構相互交流,有時甚至根本沒有意識到這些結構的存在,因而對底層的攻擊更具欺騙性。
IP欺騙供給通常是通過外部計算機偽裝成另一台合法機器來實現的。他能破壞兩台機器間通信鏈路上的正常數據流,也可以在通信鏈路上插入數據,其偽裝的目的在於哄騙網路中的其他機器誤將攻擊者作為合法機器而加以接受,誘使其他機器向它發送數據或允許它修改數據。
由於許多應用程序最初設計時就是把信任建立於發送方IP地址的薄,即如果包能夠使其置身沿著陸由到達目的地,並且應答包也可以回到原地,則可以肯定源IP地址是有效的。因此一個攻擊者可以通過發送有效IP源地址屬於另一台機器的IP數據報來實施欺騙。
一方面現有路由器的某些配置使得網路更容易受到IP欺騙攻擊。例如有些路由器不保護IP包埠源的信息,來自埠的所有IP包被裝入同一個隊列然後逐個處理。假如包指示IP源地址來自內部網路,則該包可轉發。因此利用這一點網路外不用戶只要設法表明是一種內部IP地址即可繞過路由器法送報。
另一方面,攻擊者使用偽造的IP地址發送數據報,不僅可以獲取數據報特有的有效請求,還可以通過預測TCP位元組順序號迫使接收方相信其合法而與之進行連接,從而達到TCP欺騙連接。
一個TCp連接包括三個階段:(1)建立連接:(2)數據交換:(3)斷開連接。其中最關鍵的就是數據交換。TCP協議為每個數據位元組分配自己的順序號,每個TCP頭包含一個順序域。TCP數據交換中客戶方以發送帶有SYN標志的TCP頭為開始,發送一個或多個TCP/IP數據包,接受方回送包含SYN及ACK標志的頭答復送方的SYN頭。
初始的順序號是隨機的,當接受方接收到客戶的序列號後首先要進行確認,如果確認號域有效,它就對應於下一個期望數據位元組的順序號,並設置ACK標志。攻擊者利用偽造的IP地址成功地發送數據報後,只是獲得這些數據報特有的有效請求,要獲得些請求的答復還必須預測到TCP順序號。攻擊者對順序號的預測是一個估計與猜測的過程。攻擊者可以在客戶與伺服器之間設置窺探儀來確定初始順序號,一旦攻擊者獲取了連接的初始順序號,就可以通過估算發送者發送給接收者的TCP/IP數據量計算出下一個期望的順序號,即下一個期望的順序號為:數據量+初始順序號。而事實上,一些TCP/IP實現並不完全採用隨機方式分配初始順序號,而是由一個簡單的隨機數生成器產生。這種生成器按某種固定的次序產生數據,因此實際上可能的初始順序號只能在一個有限的范圍內,這樣預測起來就會更加方便。預測獲得的順序號只是一個估計值,它一般可分為三種情況考慮。
第一種情況:預測值正好等於下一順序號
若偽造的數據保遲於合法數據報到達,且其包含的數據報少於合法數據報,則接收方將完全丟棄偽造的數據報;如果偽造數據包包含的數據多於合法數據報,則接收方將接收偽造數據報中順序號大於合法數據報的那部分內容,同時丟棄順序號與合法數據報重疊部分的內容;若偽造的數據報早於合法數據報到達,則接收方將丟棄合法數據報內容。
第二種情況:預測值大於下一個順序號
在這種情況下,接收方將丟棄其中超過窗口域(即輸入緩沖區)中的部分內容,而將前面部分內容放入緩沖區中,待下一期望順序號與第一個偽造數據報位元組順序號間的空當被合法數據填滿之後,再未接收方接收。
第三種情況:預測值小於下一個順序號
在這種情況下,偽造數據報中的前面部分內容肯定會被丟棄,但是如果偽造數據報內容足夠多,則接收方有可能接受其後面的內容。
3 網路上常見的幾種攻擊方式及其防範
3.1 密碼攻擊
用戶在撥號上網時,如果選擇了「保存密碼」的功能,則上網密碼將被儲存在windows目錄中,以「username.pwl」的形式存放。如果不小心被別人看到這個文件,那就麻煩了,因為從網上可以很輕松地找到諸如pwlview這樣的軟體來觀看其中的內容,那上網密碼就泄漏了。
有的人使用名字、生日、電話號碼等來做密碼,更有的人的密碼乾脆和用戶名一樣,這樣的密碼,在黑客攻擊軟體龐大的字典文件面前簡直是不堪一擊。
那麼該如何防範密碼不被攻擊呢?應從以下方面入手:(1)不用生日、電話號碼、名字等易於猜到的字元做密碼。(2)上網時盡量不選擇保存密碼。(3)每隔半個月左右更換一次密碼,不要怕麻煩。
3.2 木馬程序攻擊
木馬程序是一種特殊的病毒,它通過修改注冊表等手段使自己悄悄地潛伏在系統中,在用戶上網後,種植木馬的黑客就可以通過伺服器端木馬程序控制你的計算機,獲取你的口令等重要信息,其危害性非常大。
預防木馬程序應從以下幾方面入手:(1)載入反病毒防火牆。(2)對於不明來歷的電子郵件要謹慎對待,不要輕易打開其附件文件。(3)不要隨便從網路上的一些小站點下載軟體,應從大的網站上下載。
3.3 垃圾郵件攻擊
垃圾郵件是指向他人電子信箱發送未經許可的,難以拒絕的電子郵件或電子郵件列表,其內容包括廣告信息、電子雜志、網站信息等。用戶的電子信箱被這些垃圾郵件充斥後,會大大佔用網路資源,導致網路阻塞,嚴重的還會使用戶的郵箱被「炸」掉,使郵箱不能正常工作。
防範垃圾郵件應從以下方面入手:(1)申請一個免費的電子信箱,用於對外聯系。這樣就算信箱被垃圾郵件轟炸,也可以隨時拋棄。(2)申請一個轉信信箱,經過轉信信箱的過濾,基本上可以清除垃圾郵件。(3)對於垃圾郵件切勿應答。(4)禁用Cookie。Cookie是指寫到硬碟中一個名為cookies.txt文件的一個字元串,任何伺服器都可以讀取該文件內容。黑客也可以通過Cookie來跟蹤你的上網信息,獲取你的電子信箱地址。為避免出現這種情況,可將IE瀏覽器中的Cookie設置為「禁止」。
3.4 通過聊天軟體攻擊
用戶在用聊天軟體聊天時,黑客用一些小軟體就可查出對方聊天者的IP地址,然後通過IP炸彈阮家對用戶的機器進行轟炸,使之藍屏或死機。防範聊天軟體供給應從以下方面入手:(1)利用代理伺服器上網,這樣可以隱藏自己的IP地址。(2)安裝防火牆軟體,利用防火牆阻擋對方的攻擊。(3)升級操作系統,如升級到win2000等,其安全性會比win95/98系統有很大的提高。
4 網路攻擊的六大趨勢
4.1 自動化程度和攻擊速度提高
攻擊工具的自動化水平不斷提高。自動化攻擊涉及四個階段,每個階段都出新變化。
掃描可能的受害者。自1997年起,廣泛的掃描變得司空見慣。目前,掃描工具利用更先進的掃描模式來改善掃描效果和提尕澳掃描速度。
損害脆弱的系統。以前,安全漏洞只在廣泛的掃描完成後才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃描活動的一部分,從而加快了攻擊的傳播速度。
傳播攻擊。在2000年之前,攻擊工具需要人來發動新一輪攻擊。目前,攻擊工具可以自己發動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播,在不到18個小時內就達到全球飽和點。
攻擊工具的協調管理。隨著分布式攻擊工具的出現,攻擊者可以管理和協調公布在許多Internet系統上的大量一部書的攻擊工具。目前,分布式攻擊工具能夠更有效地發動拒絕服務攻擊,掃描潛在的受害者,危害存在安全隱患的系統。
4.2 攻擊工具越來越復雜
攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比,攻擊工具的特徵更難發現,更難利用特徵進行檢測。攻擊工具有三個特點:反偵破,攻擊者採用隱蔽攻擊工具特性的技術,這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多;動態行為,早期的攻擊工具是以但已確定的順序執行攻擊步驟,今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理,來變化它們的模式和行為;攻擊工具的成熟性,與早期的攻擊工具不同,目前攻擊工具可以通過升級或更換工具的一部分迅速變化,發動迅速變化的功績,且在每一次攻擊中會出現多種不同形態的攻擊工具。
4.3 發現安全漏洞越來越快
新發現的安全漏洞每年都要增加一倍,管理人員不斷用最新的補丁修復這些漏洞,而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。
4.4 越來越高的防火牆滲透率
防火牆使人們牙防反入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火牆。例如,(IPP Internet列印協議)和WebDAV(基於Web的分布式創作與翻譯)都可以被攻擊者利用來繞過防火牆。
4.5 越來越不對稱的威脅
Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決於連接到全球Internet上其他系統的阿安全狀態。由於攻擊技術的進步,一個攻擊者可以比較容易地利用分布式系統,對一個受害者發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技術的提高,威脅的不對稱性將繼續增加。
4.6 對基礎設施將形成越來越大的威脅
基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由於用戶越來越多地依賴Internet完成日常業務,基礎設施攻擊引起人們越來越大的擔心。基礎設施面臨分布式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統DNS的攻擊和對路由器攻擊或利用路由器的攻擊。
5 個人用戶防護策略
針對一些常用的攻擊方法、手段,個人用戶有必要採取一些安全的防範措施,下面介紹一些可行的防範實例。
5.1 經常檢查系統信息
上網過程中,如果感覺計算機有異常狀態,如運行速度變慢,某些軟體運行出錯,不受控制等情況,應停下來檢查一下系統運行狀況。一是觀看系統資源的使用狀態,二是按「Ctrl+Alt+Del」復合鍵來查看系統正在運行的程序,看是否有其他程序在運行。如有自己部熟悉或自己並沒有運行的程序在列表裡面,應立即終止其運行,以防後患。
5.2 檢測並清除木馬程序
如果你的電腦一旦被人為諸如木馬程序,就會被人操縱,以致出現死機,數據文件被刪除等現象。這時候可以通過查看注冊表,看注冊表中\HKEY LOCAL MACHINE\HKEY.LOCAL_MACHINE\Softwere\Microsoft\Windows\CurrenVersion\kun下面類似Netspy.exe或空格.exe或其他可疑的文件名,如果有,則盡快閃出相應的鍵值,在查找到住在機內的相應的程序,並把它刪除。
5.3 保護入網賬號和口令
在Windows目錄下經常有一些以「.pwl」為後追名的文件,這些文件作為密碼保存之用,如開啟Exchange電子信箱的密碼、開機口令等信息就保存在以「.pwl」為後綴名的文件中。有些黑客可以運用一些專用軟體來破解Windows95/98種的pwl文件,以很快的速度便可以直接讀出pwl中的開機口令、用戶名等加密數據信息。對於這種情況,最安全的方法是不用Windows95/98自動即以密碼功能這一項,這樣pwl文件中就沒有任何加密信息流下,破解軟體也無從下手。另外,對付這種情況也有較為直接的方法,就是經常刪除這些以」.pwl」為後綴名的文件,以免將密碼留在硬碟上。
5.4 保護好自己的IP地址
國內用戶很多是通過163電話撥號的方式上網的,某些惡意破壞者往往通過跟蹤上網賬號並從用戶信息中找IP,或者等待BBS、聊天室紀錄的IP或者通過ICQ獲取IP。為防止用戶非法獲取個人用戶的IP地址信息,最好採用如下兩種安全措施:一是使用代理伺服器進行中轉,這樣用戶上網是不需要真實的IP地址,別人也就無法獲取自己的IP地址信息。二是注意避免在某些會顯示IP的BBS和聊天室上暴露自己的IP地址。
5.5 屏蔽ActiveX控制項
由於ActiveX控制項可以被嵌入到HTML頁面中,並下再到瀏覽器端加以執行,因此會給瀏覽器造成一定程度上的安全威脅。所以,用戶如果要保證自己在網際網路上的信息絕對安全,可以屏蔽掉這些可能對計算機安全構成威脅的ActiveX控制項,具體操作步驟為:首先用滑鼠單擊菜單欄中的「工具」菜單項,並從下拉菜單中選擇「Internet選項」:接著在選項設置框中選中「安全」標簽,並單擊標簽中的「自定義級別」按鈕:同時在打開的「安全設置」對話框中找到關於ActiveX控制項的設置,然後選擇「禁用」或「提示」。
5.6 使用「撥號後出現終端窗口」要小心
選中某一連接,單擊滑鼠右鍵,選「屬性-常規-配置-選項-撥號後出現終端窗口」,然後撥號時,在撥號界面上不要填入用戶名和密碼(更不能選中「保存密碼」項),在出現撥號終埠後再進行相應的輸入,這可以避免用戶名和密碼被記錄到硬碟上的密碼文件中,同時,也可以避免某些黑客程序捕獲用戶名和密碼。
5.7 拒絕「餅干」信息
許多網站會用不易覺察的技術,暗中搜集你填寫的表格中的電子郵件地址信息,最常見的就是利用餅干程序(cookie)記錄訪客上網的瀏覽行為和習慣。如果你不想隨便讓餅干程序(cookie)來記錄你個人的隱私信息,可以在瀏覽器中作一些必要的設置,要求瀏覽器在接受cookie之前提醒你,或者乾脆拒絕它們。屏蔽cookie的操作步驟為:首先用滑鼠單擊菜單欄中的「工具」菜單項,並從下拉菜單中選擇「Internet選項」:接著在選項設置框中選中「安全」標簽,並單擊標簽中的「自定義級別」按鈕:同時在打開的「安全設置」對話框中找到關於cookie的設置,然後選擇「禁用:或「提示」即可。
5.8 不使用「MYDocuments」文件夾存放Word、Excel文件
Word、Excel默認的文件存放路徑是根目錄下的「MYDocuments」文件夾,在特洛伊木馬把用戶硬碟變成共享硬碟後,入侵者從這個目錄中的文件名一眼就能看出這個用戶是干什麼的,這個目錄幾乎就是用戶的特徵標示,所以為安全起見應把工作路徑改成別的目錄,並且參差越深越好。
5.9 加密保護電子郵件
由於越來越多的人通過電子郵件進行重要的商務活動和發送機密信息,而且隨著互聯網的發展,這類應用會更加頻繁。因此保證郵件的真實性和不被其他人截取和偷閱也變得越來越重要。所以,對於包含敏感信息的郵件,最好利用數字標示對你原寫的郵件進行數字簽名後再發送。所謂數字標示是指由獨立的授權機構發放的證明你在Internet上的身份的證件,是你在網際網路上的身份證。這些發證的商業機構將發放給你這個身份證並不斷地效驗其有效性。你首先向這些公司申請標示,然後就可以利用這個數字標示對自己的郵件進行數字簽名,如果你獲得了別人的數字標示,那麼,你還可以跟他發送加密郵件。你通過對發送的郵件進行數字簽名可以把你的數字標示發送給他人,這是他們收到的實際上是公用密鑰,以後他們就可以通過這個公用密鑰對發給你的郵件進行加密,你在使用私人密鑰對加密郵件進行解密和閱讀。在Outlook Eepress中可以通過數字簽名來證明你的郵件身份,即讓對方確信該有見是由你的機器發送的,它同時提供郵件加密功能使得你的郵件只有預定的接收者才能接收並閱讀。但前提是你必須先獲得對方的數字標示。數字標示的數字簽名部分是你原電子身份卡,數字簽名可使收件人確信又見是你發的,並且未被偽造或篡改過。
㈣ 網路攻擊的種類分析及防範策略
摘要 本文分析了網路攻擊的幾種手段及其產生的原理,並且就其中的Web欺騙攻擊和TCP/IP欺騙攻擊提出了相應的防範措施。並且詳細闡述了個人用戶的安全防護策略
關鍵詞 網路安全 攻擊 欺騙 防範
隨著INTERNET的進一步發展,各種網上活動日益頻繁,尤其網上辦公、交易越來越普及,使得網路安全問題日益突出,各種各樣的網路攻擊層出不窮,如何防止網路攻擊,為廣大用戶提供一個安全的網路環境變得尤為重要。
1 網路攻擊概述
網路安全是一個永恆的話題,因為計算機只要與網路連接就不可能徹底安全,網路中的安全漏洞無時不在,隨著各種程序的升級換代,往往是舊的安全漏洞補上了,又存在新的安全隱患,網路攻擊的本質實際上就是尋找一切可能存在的網路安全缺陷來達到對系統及資源的損害。
網路攻擊一般分為三個階段:
第一階段:獲取一個登錄賬號
對UNLX系統進行攻擊的首要目標是設法獲取登錄賬號及口令,攻擊者一般先試圖獲取存在於/etc/passwd或NIS映射中的加密口令文件,得到該口令文件之後,就對其運行Crack,藉助於口令字典,Crack甚至可以在幾分鍾內破譯一個賬號。
第二階段:獲取根訪問權
進入系統後,入侵者就會收集各種信息,尋找系統中的種種漏洞,利用網路本身存在的一些缺陷,設法獲取根訪問權,例如未加限制的NFS允許根對其讀和寫。利用NFS協議,客戶給與伺服器的安裝守護程序先交換信息,信息交換後,生成對NFS守護程序的請求,客戶通過這些請求對伺服器上的文件進行讀或寫操作。因此,當客戶機安裝文件系統並打開某個文件時,如果入侵者發出適當各式的UDP數據報,伺服器就將處理NFS請求,同時將結果回送客戶,如果請求是寫操作,入侵者舊可以把信息寫入伺服器中的磁碟。如果是讀操作,入侵者就可以利用其設置於伺服器和客戶機之間的窺探器了解伺服器磁碟中的信息,從而獲得根訪問權。
第三階段:擴展訪問權
一旦入侵者擁有根訪問權,則該系統即可被用來供給網路上的其他系統。例如:可以對登錄守護程序作修改以便獲取口令:增加包窺探儀可獲取網路通信口令:或者利用一些獨立軟體工具動態地修改UNLX內核,以系統中任何用戶的身份截擊某個終端及某個連接,獲得遠程主機的訪問權。
2 攻擊的種類及其分析
普通的攻擊一般可分以下幾種:
2.1 拒絕服務攻擊
拒絕服務攻擊不損壞數據,而是拒絕為用戶服務,它往往通過大量不相關的信息來阻斷系統或通過向系統發出會,毀滅性的命令來實現。例如入侵者非法侵入某系統後,可向與之相關連的其他系統發出大量信息,最終導致接收系統過載,造成系統誤操作甚至癱瘓。這種供給的主要目的是降低目標伺服器的速度,填滿可用的磁碟空間,用大量的無用信息消耗系統資源,是伺服器不能及時響應,並同時試圖登錄到工作站上的授權賬戶。例如,工作站向北供給伺服器請求NISpasswd信息時,攻擊者伺服器則利用被攻擊伺服器不能及時響應這一特點,替代被攻擊伺服器做出響應並提供虛假信息,如沒有口令的紀錄。由於被攻擊伺服器不能接收或及時接收軟體包,它就無法及時響應,工作站將把虛假的響應當成正確的來處 理,從而使帶有假的passwd條目的攻擊者登錄成功。
2.2 同步(SYN)攻擊
同步供給與拒絕服務攻擊相似,它摧毀正常通信握手關系。在SYN供給發生時,攻擊者的計算機不回應其它計算機的ACK,而是向他發送大量的SYN ACK信息。通常計算機有一預設值,允許它持特定樹木的SYN ACK信息,一旦達到這個數目後,其他人將不能初始化握手,這就意味著其他人將不能進入系統,因此最終有可能導致網路的崩潰。
2.3 Web欺騙攻擊
更多參考請點擊論文328網,希望能幫到你。
㈤ 如何預防網路暴力
該如何預防網路暴力呢?
一、文明上網,不做「施暴者」
網路是一個虛擬世界,很多人在網上肆意發泄自己的憤怒和不滿,不辨是非的站在自以為的道德制高點隨意辱罵他人獲得心理宣洩。這些不負責任的謾罵和羞辱可能會毀了受害者的一生,所謂人言可畏。不要讓自己成為一個「施暴者」。
二、抵制不良網站
在上網的過程中如果在某一網站經常受到謾罵,就要停止對該網站的瀏覽,減少網路暴力對自己的影響。
三、不要在網上泄露個人信息用
上網時要注面意保護自己的個人隱私,不要輕易透品露自己的個人信息。部分網友可能會無端根據一個人的個人信息對其進行辱罵等。
四、收到恐嚇信息時要及時求助
收到恐嚇信息時要及時告訴家長或老師,辨明真偽,緩解其帶來的焦慮和不安。
在這個信息流通便利的時代,作為青少年的我們更要明辨是非,端正態度,不做網路上的「施暴者」。讓網路世界更加和諧沒話題。
㈥ 如何防止伺服器被惡意網路攻擊
1.在各個地區部署代理ip的節點,使訪問者能夠迅速連接到附近的節點,使訪問者能夠更快地訪問網站,CDN緩存能夠進一步提高網站的訪問速度,減輕對網站伺服器的壓力,提高網站伺服器的穩定性。
2.代理ip的防禦機制並非一種固定的防禦策略。針對各種攻擊類型,可以更好的阻斷清理攻擊,針對網站的攻擊類型,採取針對性的防禦策略。
3.網站伺服器隱藏在後端,代理ip節點部署在前端,訪問者訪問或攻擊與代理ip節點連接,代理ip的防禦機制自動識別是否為攻擊,如果有,則自動清洗過濾。
4.將網站域名分析為代理ip自動生成的CNAME記錄值,並修改網站域名分析,網站域名未分析為網站伺服器IP,從而使網站伺服器IP地址隱藏在公共網路中。