网络安全基础（2）

网络安全基础（2）

什么是攻击？攻击的法律定义是指仅在入侵完成且入侵者已在目标网络中时邮件攻击，才发生攻击. 但更积极的看法是（尤其是对于网络安全管理员）: 可能导致网络被破坏的所有操作都应称为攻击. 也就是说，从入侵者开始在目标计算机上工作开始，攻击就开始了.

通常，在正式攻击之前，攻击者首先进行一次试探性攻击，目的是获得有关系统的有用信息. 这包括ping扫描，端口扫描，帐户扫描，dns转换和恶意ip嗅探器（通过技术手段非法访问ip数据包，获取系统的重要信息，实现对系统的攻击，将在后面详细介绍） ），木马程序等. 此时，处于受攻击状态的网络通常会显示一些信号和特征，例如:

·有人尝试在日志中使用旧的sendmail是更明显的攻击消息，即有人在端口25上发出了两个或三个命令. 这些命令无疑是试图诱骗服务器复制/ etc / passwd通过电子邮件发送给入侵者的文件形式，除了show mount命令可能是某人正在收集计算机信息.

·大量扫描应立即使root知道安全攻击的出现.

·主机的服务端口上发生拥塞现象. 这时，您应该检查绑定到端口的服务类型. 淹没式和拒绝服务攻击通常是欺骗攻击的先兆（或一部分）.

·等待.

良好而彻底的日志记录和详细分析通常是预测攻击，定位攻击并在受到攻击后跟踪攻击者的强大武器. 网络安全管理员意识到网络受到攻击后，应立即按照操作步骤进行记录，并向管理员报告，并采取相应的安全措施.

攻击计算机网络的方法可以分为几大类，其危害程度以及检测和防御方法也不同:

1信息收集攻击:

常用工具包括: NSS，Strobe，Netscan，SATAN（用于审核网络的安全管理员工具），Jakal，IdentTCPscan，FTPScan等，以及各种嗅探器. 广义上讲，木马程序也被用作信息收集攻击的重要手段. 信息收集攻击有时是其他攻击的序幕. 对于简单的端口扫描，敏锐的安全管理员通常可以从异常日志记录中找到攻击者的尝试. 但是对于秘密的嗅探器和木马程序而言，检测是一项更高级，更困难的任务.

1.1嗅探器

它们可以截获非常秘密或特殊的信息，例如密码，甚至可以用来攻击相邻的网络. 因此，网络中嗅探器的存在将带来巨大的威胁. 这不包括安全管理员安装的用于监视入侵者的嗅探器. 它们最初旨在诊断网络连接. 它可以是具有强大调试功能的普通网络，也可以是软件和硬件. 联合形式. 现在，嗅探器可以在各种平台上工作，例如:

·Gobbler（MS-DOS）

·ETHLOAD（MS-DOS）

·Netman（Unix）

·Esniff.c（SunOS）

·Sunsniff（SunOS）

·Linux-sniffer.c（Linux）

·NitWit.c（SunOS）

·等.

检测嗅探器的存在是一项非常困难的任务，因为嗅探器本身只是被动地接收数据而没有发送任何东西. 上面列出的嗅探器程序可以在Internet上下载，其中一些以源代码的形式（扩展名为.c）发布.

通常来说，真正需要保留的只是一些关键数据，例如用户名和密码. 使用ip数据包级别的加密技术，即使嗅探器获取了数据包，也可能使嗅探器难以获取真实数据本身. 此类工具包括安全外壳（ssh）和F-SSH，尤其是后者为公共传输提供了非常强大的多层加密算法，该算法通常使用tcp / ip进行通信. ssh具有免费版本和商业版本，可以在Unix上运行，也可以在Windows 3.1，Windows 95和Windows nt上运行.

此内，并且为发现嗅探器的所有者提供了便利.

1.2木马

这是技术攻击. 木马程序的经典定义在RFC1244中给出: 木马程序是提供某些有用或仅有趣功能的程序. 但是通常会执行用户不希望执行的操作，例如复制文件或在您不知道的情况下窃取您的密码，或者直接将重要信息转移出去或破坏系统等. Trojan程序带来了非常高级别的危险，因为它们很难找到. 在许多情况下，木马程序都以二进制代码形式出现，其中大多数无法直接读取，并且木马程序可以在许多系统上运行. 它的传播与病毒非常相似. 从Internet下载的软件（尤其是免费软件和共享软件），从匿名服务器或usernet新闻组获得的程序等非常可疑. 因此，作为关键网络上的用户，有义务了解他们的责任并自觉采取行动. 您无法轻松安装路径不清晰的软件.

检测木马程序需要对操作系统有一些深入的了解. 您可以通过检查文件更改时间，文件长度，校验和等检查文件是否被意外操作. 此外，文件加密也是检查Trojan程序的有效方法. 可用的工具包括:

跳线是一种广泛使用的系统完整性工具. 系统通过读取配置文件来获取环境变量. 该文件包含所有文件标记（文件标记），用户可以指定应详细说明哪些文件. 对报告进行了哪些更改等. 其数字签名存储在中. 可用于数字签名的哈希函数包括: MD5，MD4，CRC32，MD2，Snc frn，SHA等.

TAMU软件包可以检查许多项目，包括CERT通知中定义的项目以及最近入侵事件中发现的项目，所有修改的系统二进制流以及需要机密性的关键路径.

·妖精

·ATP（反篡改程序）

后两种工具的使用不如前两种工具常见，但它们各有特点.

2拒绝服务:

这是一群人或使用Internet协议套件的某些方面进行的攻击，目的是阻止甚至关闭其他用户对系统和信息的合法访问. 它的特点是大量的连接应用程序，使系统处于压倒性崩溃的状态. 对于大型网络，此类攻击的影响有限，但可能会导致较小的网络退出服务并遭受重创.

这是最不容易捕获的攻击，因为在不留下任何痕迹的情况下，安全管理人员很难确定攻击的来源. 由于这种攻击会使整个系统瘫痪并且易于实施，因此非常危险. 但是从防御的角度来看，这种攻击的防御也相对容易. 攻击者不会破坏系统数据，也不会通过此类攻击获得未经授权的许可，而只会造成混乱和烦人. 例如，使网络上的用户的邮箱超出容忍范围，无法正常使用.

典型的攻击包括电子邮件，邮件列表连接，

2.1电子邮件

这是一种简单有效的入侵工具. 它反复将相同的信息发送给目标收件人，并用这些垃圾堵塞目标的个人邮箱. 有很多可以使用的工具，例如bomb02.zip（mail bomber），在Windows平台上运行，非常易于使用. 在unix平台上发起电子邮件攻击甚至更简单. 只需几行shell程序即可用垃圾填充目标邮箱.

它的防御也相对简单. 通常，邮件发送和接收程序提供过滤功能. 发现此类攻击后，您可以将源地址和目标地址放入拒绝列表中.

2.2邮件列表连接

效果与邮件基本相同. 将目标地址同时注册到数十个（甚至数百个）邮件列表中. 由于每个邮件列表通常每天都会产生许多邮件，因此您可以想象其总体效果. 攻击可以手动完成，也可以通过构建邮件列表自动生成. 邮件列表连接没有快速解决方案. 受害者需要向每个列表发送包含“退订”信息的电子邮件.

许多程序能够同时执行两种类型的攻击，包括Up（Windows），KaBoom（Windows），Avalanche（Windows），Unabomber（Windows），eXtreme Mail（Windows），Homicide（Windows），Bombtrack（ Macintosh），FlameThrower（Macintosh）等.

2.3其他

还有一些针对其他服务的攻击，例如Syn-Flooder，Ping of Death（发送异常大的ping数据包以攻击Windows nt），DNSkiller（在Linux平台上运行，攻击Windows nt平台Dns服务器）等.

在路由级别，通过适当的配置过滤数据流将减少此类攻击的可能性. 思科系统提供了路由级解决方案.

3次欺骗攻击（欺骗）:

http，ftp和dns等协议的附件可能会窃取普通用户甚至超级用户的权限，并随意修改信息内容，从而造成极大的危害. 所谓的IP欺骗就是伪造他人的源IP地址. 本质是让一台机器玩另一台机器，以达到穿越的目的. 以下服务相对容易受到此类攻击:

·使用sunrpc调用的任何配置； rpc是指sun的远程过程调用标准，它是用于处理在网络上工作的系统调用的一组方法.

·任何使用IP地址认证的网络服务

·麻省理工学院的xwindow系统

·各种r服务: 在unix环境中，r服务包括rlogin和rsh，其中r表示远程. 人们最初设计这两个应用程序是为了向用户提供对Internet主机的远程访问. r服务非常容易受到ip欺骗攻击的影响.

几乎所有欺骗都取决于目标网络的信任关系（在UNIX系统中，计算机之间的相互信任可以通过设置rhosts和host.equiv来设置）. 入侵者可以使用扫描仪来确定远程计算机之间的信任关系. 这种技术欺骗的成功案例很少，这需要入侵者拥有特殊的工具和技术（现在似乎在非unix系统上不起作用）. 另外，欺骗形式包括dns欺骗等.

解决方案是仔细设置和处理网络中主机之间的信任关系，尤其是不同网络中主机之间的信任关系. 如果局域网中仅存在信任关系，则可以将路由器设置为过滤掉声称源地址为内部网络地址的外部网络中的ip数据包，以防止ip欺骗. 以下某些公司的产品提供此功能

·思科系统

·Iss.net的安全软件包可以测试网络中的ip欺骗漏洞.

·等.

国际黑客已经进入有组织和有计划的网络攻击阶段. 美国政府打算容忍黑客组织的活动，以便将黑客攻击置于一定的控制之下，并通过该渠道获得针对攻击的实际打击. 经验. 国际黑客组织已经开发出许多技术来逃避检测. 这使得攻击和安全检测与防御的任务更加困难.

1敏感层划分

使用敏感层的概念来划分由符号攻击技术引起的危险程度.

1次电子邮件攻击（第1层）

2拒绝服务攻击（第1层以上）

3个本地用户获得未授权的读取访问权限（第2层）

4个本地用户获得了未经授权的文件写入权限（第3层）

5远程用户获得了未经授权的帐户（layer3 +）

6远程用户已获得特权文件（第4层）的读取权限

7远程用户已获得特权文件（第5层）的写许可权

8远程用户具有root权限（黑客已占领了系统）（第6层）

以上划分级别在所有网络中几乎相同，并且基本上可以用作网络安全工作的评估指标.

“本地用户”是一个相对的概念. 它是指可以自由登录到网络上任何主机并在网络上的主机上具有帐户并在硬盘上具有目录的任何用户. 从某种意义上讲，阻止内部人员的工作更加困难. 据统计，对信息系统的攻击主要来自内部，占85％. 因为他们对网络有更清晰的了解，所以他们有更多的时间和机会来测试网络安全漏洞，并且很容易避免对系统日志的监视.

2种对策

根据不同的攻击级别，应采取不同的对策.

一楼:

对第一层的攻击基本上应该无关紧要. 第一层攻击包括拒绝服务攻击和邮件攻击. 邮件攻击还包括注册列表攻击（在将目标登录到数千个或更多邮件列表时，因此目标可能会被大量邮件列表淹没）. 应对此类攻击的最佳方法是分析源地址，并将攻击者使用的主机（网络）信息添加到inetd.sec的拒绝列表中. 除了使攻击者网络中的所有主机不可接受之外，除了访问您自己的网络之外，没有其他有效的方法来防止此类攻击.

这种类型的攻击只会造成相对较小的伤害. 令人头疼的是，尽管这种攻击没有害处，但发生的频率可能很高，因为这种攻击只能在有限的经验和知识下进行.

二楼和三楼:

这两层攻击的严重性取决于对这些文件的读写权限的非法访问. 对于isp，最安全的方法是将所有shell帐户集中在某个主机（或多个主机）上，只有它们才能接受登录名，这可以使管理日志，控制访问，协议配置和相关安全性措施的实施变得更加简单. 另外，存储用户编写的CGI程序的计算机应与系统中的其他计算机隔离.

攻击的原因可能是部分配置错误或软件固有的漏洞. 对于前者，管理员应注意使用安全工具来查找一般的配置错误，例如satan. 后一种解决方案要求安全管理员花费大量时间来跟踪和了解最新的软件安全漏洞报告，下载补丁或与供应商联系. 实际上，学习安全性是一个永无止境的学习过程. 安全管理员可以订阅一些安全邮件列表，并学习使用某些脚本程序（例如perl等）来自动搜索和处理邮件并找到所需的最新信息.

在发现发起攻击的用户之后，他应立即停止访问并冻结其帐户.

四楼:

此攻击层涉及远程用户如何获得对内部文件的访问权限. 大多数原因是服务器配置不正确，cgi程序漏洞和溢出问题.

五楼和六楼:

只有利用不应该出现的漏洞，这种致命的攻击才有可能.

第三，第四和第五层攻击表明网络已经处于不安全状态. 安全管理员应立即采取有效措施保护重要数据，日志记录和报告，并努力找到攻击的位置:

·将受攻击的网段分开，并将此攻击的范围限制在很小的范围内

·记录当前时间，备份系统日志，检查记录的损失范围和程度

·分析是否需要中断网络连接

·让攻击继续

·如果可能，请对系统进行0级备份

·向主管领导和有关当局报告入侵的细节；如果系统严重受损并影响网络业务功能，请立即致电备件恢复系统

·针对此攻击的大量日志工作

·（在另一个网段上）竭尽全力确定攻击源

简而言之，如果没有万不得已，就无法使系统退出服务. 查找入侵者最重要的工作是记录并定位入侵者，找到入侵者并通过合法手段强制其阻止攻击最为重要. 有效防御.

通过密码进行身份验证是实现计算机安全性的主要手段之一. 如果非法用户获悉了用户的密码，则该非法用户已经获得了该用户的所有权限，尤其是高权限用户的密码. 泄漏后，主机和网络立即失去安全性. 黑客攻击目标时，通常会开始破解普通用户的密码. 然后使用字典穷举法进行攻击. 它的原理是这样的: Internet上的用户经常使用英文单词或自己的名字，生日作为密码. 通过某些程序，单词会自动从计算机词典中提取，并作为用户密码输入到远程主机，以申请访问系统. 如果密码错误，则按顺序取出下一个单词，然后进行下一次尝试. 并继续循环直到找到正确的密码，或字典单词完成为止. 由于解密过程是由计算机程序自动完成的，因此您可以在几个小时内尝试字典中的所有单词. 这样的测试很容易在主机日志上留下明显的攻击特征. 因此，攻击者通常会使用其他方式来获取主机系统上的/ etc / passwd文件或什至/ etc / shadow文件，然后在本地对其进行Dictionary Dictionary攻击或蛮力破解. 攻击者不需要每个人的密码，他们可以通过获取一些用户密码来控制系统，因此即使是普通用户也太简单地使用密码，都可能对系统安全性构成巨大威胁. 系统管理员和所有其他用户应对密码选择采取负责任的态度，以消除运气和懒惰.

但是，许多用户对其密码没有很好的安全感，并且使用容易猜到的密码，例如: 帐户本身，首字母大写或全部大写，或者仅跟数字，甚至是简单的数字，例如0、1、123、888、6666、168等，其中一些是系统或主机的名称，或者是常见的名词，例如system，manager，admin等. 事实上，根据相对于当前计算机加密和解密处理的算法和功能，防止字典攻击猜测您的密码也很简单，以使您的密码不在相应解密程序的字典中. 好的密码应至少包含7个字符邮件攻击，不要使用个人信息（例如生日，姓名等），并且密码中必须包含一些非字母（例如数字，标点符号，控制字符等）. 密码. 在纸上或计算机上的文档中，选择密码的一种好方法是用数字或控制字符连接两个不相关的单词（最好用大写和小写字母组合），然后截断为8个字符. 例如，从安全角度来看，me2.Hk97是一个非常好的密码.

确保密码安全的几点如下:

·密码长度不能少于6位，并且必须包含字母和数字，以及标点符号和控制字符

·请勿在密码中使用通用词（以避免字典攻击），英文缩写，个人信息（例如生日，姓名，反向拼写的登录名，房间中可见的东西），年份和机器中的命令等.

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-263871-1.html