网络远程攻击(共7篇)
网络远程攻击 篇1
随着现代信息的飞跃发展, 网络在各种交战中占据着越来越重要的位置。而络远程攻击系统能够通过远程控制入侵特定计算机, 这种技术使获取敌方机密资料成为可能, 因此应当努力开发网络远程攻击系统, 以便在信息领域占取优势。
1. 原理
目前的网络远程攻击系统基本均采用客户端服务端的模式来实现。该模式是由一台主机作为服务端来提供服务, 另一台主机作为客户端来接受信息。服务端的主机通常会采取监听, 并使用默认端口。如果客户端端口向服务端默认端口提出连接请求, 服务端就会启动守护进程来对其进行应答。当两机成功连接后, 即成为进行控制与被控制关系。被控制的主机就是一台服务器, 而控制的主机则相对应地是一台客户机。
由上可知, 网络远程攻击系统主要由两部分组成, 即服务端程序和客户端程序。具体操作时, 需要在被控主机上安装服务端程序, 在主控主机上安装客户端程序。这样一来, 如果在主控主机上执行客户端程序, 客户端程序就会向服务端程序请求连接, 当这种远程连接建立成功之后, 网络远程攻击系统就基本成形, 客户端程序就能在服务端程序的帮助下对被控主机进行相应控制了, 包括获取被控主机的进程列表、修改被控主机的系统设置、激活或者终止被控主机相关进程、重启或者关闭被控主机的操作系统、记录远端键盘事件等。
2. 模块介绍
网络远程攻击系统一共包含3个模块, 即服务端模块、客户端模块和通信模块。
服务端模块:主要功能是对该系统中服务端程序进行设计, 包括接受及处理由客户端发送过来的各类攻击指令、将执行结果传送回客户端、远程控制的实现等。
客户端模块:主要功能是对该系统中客户端程序进行设计, 尤其是用户界面的设计, 使该系统能够发送各类操作命令, 并能够显示和处理从服务端发送过来的信息。
通信模块:主要功能是对该系统中服务端与客户端之间的数据传输过程进行设计, 包括传输协议的制定、传输过程的设计、文件和命令的传输、数据的解密和加密等。
现在服务端传播方式主要有2种。其一是在操作系统有漏洞的情况下, 在含有恶意代码的网站上上传服务端, 如果有用户浏览此网站, 则操作系统将会自动将服务端下载并且安装到本地;其二是通过电子邮件, 将服务端以附件形式加于其中, 当用户打开此链接时则会自动运行服务端。
服务端一旦被运行, 就会自动修改操作系统或者注册表的相关设置, 并自主地建立和客户端的联系, 而一旦连接成功建立, 客户端与服务端之间就会有一条隐藏的通信通道。通过这条通道, 客户端就能够实现对被控主机的远程控制。
3. 主要功能
查看服务端主机的文件列表:这是该系统最基本功能, 是其他功能的先决条件。通过该功能, 能够掌握服务端的文件大小、文件类型等。
文件下载:能够将服务端的文件完整复制到客户端的主机上。
文件上传:能够将客户端的文件完整复制到服务端的主机上。
文件删除:能够删除不需要的文件。
查看服务端主机的进程列表:目前计算机均装有windows操作系统, 通过攻击装有该操作系统的主机, 能够获取当前正在运行中的前后台程序, 了解该机当下的工作情况。
服务端程序文件的远程执行:客户端查看服务端程序文件后, 对服务端发送指令, 远程执行所选程序的进程, 并使其出现在进程列表中。
服务端指定进程的关闭:此功能的实现需建立在上一功能的基础上。通过此功能, 能够关闭大部分在进程列表中的进程, 使系统的高效性得以提升。
系统的远程重启或关机:服务端接受客户端的指令后, 重启或者关闭其主机。
4. 应用技术
4.1 端口反弹
现在大部分网络远程攻击系统的服务端均采用被动端口, 而客户端则采用主动端口。需要建立连接时, 一个默认的端口会在服务端打开且进行监听, 通过客户端的连接请求进行二者之间的连接。
与之不同的是, “端口反弹”的网络远程攻击系统的客户端采用被动端口, 而服务端采用主动端口。需在两者间建立连接的时候, 客户端发送出请求同时进入监听状态, 而服务端则使用HTTP协议定期地进行请求读取, 随后主动进行连接。一般客户端监听端口都选取HTTP协议专用的80端口, 但是如果想要逃过防火墙, 也可以选取端口号大于1024的端口进行监听。
由于系统的限制和测试环境的限制, 在互联网上进行大范围的测试是不现实得, 因此我们只能通过集线器构建局域网来做测试。在这个局域网中, 至少要有3台计算机, 其中2台分别作为服务端和客户端的计算机, 另外1台计算机则需内建1个FTP服务器, 作为跳板。
实现连接的具体过程如下:
在跳板计算机的FTP服务器中设立一个可读写和删除文件的完全共享的文件夹。
客户端计算机打开时, 客户端开放端口号和IP地址自动被程序读取, 并在上述共享文件夹内创建文件名为:ip的txt文件, 格式如下所示:
IP:10.64.1.1
Port:5656
服务端计算机开启后, 先和跳板计算机进行连接, 随后读取FTP服务器上的共享文件夹, 并搜索在该文件夹内是否有ip.txt文件。若存在, 则读取该文件内容, 获取客户端的开放端口号和IP地址;若不存在, 则每隔同样时间搜索一次, 直至找到该文件或者服务端计算机被关闭。
4.2 HTTP隧道技术
为了逃过防火墙, 可以在服务端和客户端进行文件传输或者其他通信时, 利用“隧道技术”将所传输内容打包载入HTTP协议, 利用HTTP协议使数据成功传输。
4.3 链路加密
如果想要使某次发生在2个网络节点之间的通信链路中的传输数据得到安全保障, 就可以利用链路加密技术, 同时也能够帮助所传输的数据顺利逃过防火墙。加密过程一般在消息传输之前进行, 并由目的节点进行消息的解密。Des加密算法是比较常见的一种链路加密法。
4.4 多线程
程序指令按顺序执行称为线程。为了使几个线程同时运行, 一般的操作系统会依靠不断地快速切换线程来实现。而该系统中则采用了多线程技术, 使同时监听多端口成为可能, 也使几个服务端能够同时由1个客户端控制。
5. 接口的设计
网络远程攻击系统中, 一个优良的接口能够为多端连接的顺畅提供保障, 也能够简化通信。具体设计如下:
服务端和客户端的传输内容主要可以分为两种, 即文件和指令。
文件是指服务端和客户端之间文件传输时上传和下载的文件。
指令包括发送指令与返回指令。客户端将执行某功能的一串字符发送到服务端即为发送指令, 返回指令则是报错信息与确认信息的统称, 是由服务端发送回客户端的一串字符。
为使两者得以区分, 笔者制定了一个简单的内部协议。具体如下:
一串字符中, 前面三位是标示位, 以表示该命令的功能, 根据前三位的不同, 第四位开始代表具体结构, 例如磁盘路径、文件结构、进程名称等。
由于服务端和客户端一旦连接, 服务端的盘符列表就会自动传输到客户端, 所以我不定义查看盘符列表的命令格式。
至于文件传输, 我并没有定义相关格式, 只是在指令后按照顺序进行传输。
6. 结语
计算机网络远程攻击能够有效远程监控目标计算机, 获取机密资料, 必将成为今后信息战中的主力军, 因此我们应当积极开发这项技术, 赢得先机, 为未来做好准备。
摘要:由于信息发展的迅速, 信息技术正逐渐成为敌对双方交战中至关重要的一环。本文笔者设计了一个网络远程攻击系统, 并对其原理、模块功能、应用技术进行了详细的阐述。
关键词:网络远程攻击,客户端,服务端,技术
参考文献
[1]Comer.D.E.Stevens.D.L.用TCP/IP进行网际互联.电子工业出版社
[2]李德全.拒绝服务攻击.电子工业出版社.2007年1月, 北京
[3]Shane D.Deichmen.信息战
迎战网络恶意攻击 篇2
被攻击后的计算机现象:被攻击主机上有大量等待的TCP连接, 网络中充斥着大量的无用的数据包, 源地址为假, 制造高流量无用数据, 造成网络拥塞, 使受害主机无法正常和外界通讯, 利用受害主机提供的服务或传输协议上的缺陷, 反复高速地发出特定的服务请求, 使受害主机无法及时处理所有正常请求, 严重时会造成系统死机。
如何对付恶意攻击?除了日常要正确安装和使用杀毒软件和及时升级防火墙外, 我们还可以应用更多的方法来防御。
第一个方面:从共享和端口着手
1、查看本地共享资源。运行CMD输入net share, 如果看到有异常的共享, 那么应该关闭。但是有时你关闭共享下次开机的时候又出现了, 那么你应该考虑一下, 你的机器是否已经被黑客所控制了, 或者中了病毒。
删除共享 (每次输入一个)
net share admin$/delete
net share c$/delete
net share d$/delete (如果有e, f, ……可以继续删除)
删除ipc$空连接, 在运行内输入regedit, 在注册表中找到HKEY-LO-CAL_MACHINESYSTEMCurrentControSetControlLSA项里数值名称RestrictAnonymous的数值数据由0改为1。
2、关闭自己的139端口, i pc和RPC漏洞存在于此。关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议 (TCP/IP) ”属性, 进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”, 打勾就关闭了139端口。
防止rpc漏洞, 打开管理工具———服务———找到RPC (Remote Procedure Call (RPC) Locator) 服务———将故障恢复中的第一次失败、第二次失败、后续失败, 都设置为不操作。
3、445端口的关闭。修改注册表, 添加一个键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled为REG_DWORD类型键值为0, 这样就可以了。
4、4899的防范。网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口, 由于这些控制软件功能强大, 所以经常被黑客用来控制自己的肉鸡, 而且这类软件一般不会被杀毒软件查杀, 比后门还要安全。4899不像3389那样, 是系统自带的服务。需要自己安装, 而且需要将服务端上传到入侵的电脑并运行服务, 才能达到控制的目的。所以, 只要你的电脑做了基本的安全配置, 黑客是很难通过4899来控制的。
第二个方面:从系统服务入手。禁用网络攻击可能利用的服务。打开控制面板, 进入管理工具———服务, 关闭以下服务:Alerter[通知选定的用户和计算机管理警报];ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享];Distributed File System[将分散的文件共享合并成一个逻辑名称, 共享出去, 关闭后远程计算机无法访问共享];Distributed Link Tracking Server[适用局域网分布式链接];Human Interface Device Access[启用对人体学接口设备 (HID) 的通用输入访问];IMAPI CD-Burning COM Service[管理CD录制];Indexing Service[提供本地或远程计算机上文件的索引内容和属性, 泄露信息];Kerberos Key Distribution Center[授权协议登录网络];License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止];Messenger[警报];NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集];Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换];Network DDE DSDM[管理动态数据交换 (DDE) 网络共享];Print Spooler[打印机服务, 没有打印机就禁止吧];Remote Desktop Help Session Manager[管理并控制远程协助];Remote Registry[使远程计算机用户修改本地注册表];Routing and Remote Access[在局域网和广域往提供路由服务, 黑客理由路由服务刺探注册信息];Server[支持此计算机通过网络的文件、打印和命名管道共享];Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符];TCP/IPNetBIOS Helper[提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络];Telnet[允许远程用户登录到此计算机并运行程序];Terminal Services[允许用户以交互方式连接到远程计算机];Window s Image Acquisition (WIA) [照相服务, 应用与数码摄像机]。
如果发现机器开启了一些很奇怪的服务, 如r_server这样的服务, 必须马上停止该服务, 因为这完全有可能是黑客使用控制程序的服务端。
第三个方面:从本地安全策略入手
本地策略:这个很重要, 可以帮助我们发现那些居心叵测人的一举一动, 还可以帮助我们将来追查黑客。虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹, 不过也有例外的。
打开管理工具, 然后再到管理工具找到事件查看器:三个方面应用程序、安全性、系统的日志可同样设置:右键→属性→设置日志大小上限, 一般设置了50MB, 选择不覆盖事件。
本地安全策略:打开管理工具, 找到本地安全设置→本地策略→安全选项:
1、交互式登陆:不需要按Ctrl+Alt+Del启用[根据个人需要]
2、网络访问:不允许SAM账户的匿名枚举启用
3、网络访问:可匿名的共享将后面的值删除
4、网络访问:可匿名的命名管道将后面的值删除
5、网络访问:可远程访问的注册表路径将后面的值删除
6、网络访问:可远程访问的注册表的子路径将后面的值删除
7、网络访问:限制匿名访问命名管道和共享
还可以自己动手设置本地策略中的安全选项:当登陆时间用完时自动注销用户 (本地) 防止黑客密码渗透;登陆屏幕上不显示上次登录名 (远程) , 如果开放3389服务, 别人登陆时, 就不会残留有你登陆的用户名, 让他去猜你的用户名去吧;对匿名连接的额外限制;禁止按Alt+Crtl+Del;允许在未登陆前关机[防止远程关机/启动、强制关机/启动];只有本地登录用户才能访问cd-rom;只有本地登录用户才能访问软驱;取消关机原因的提示;禁止关机事件跟踪。开始“Start→”运行“Run→”输入“gpedit.msc”, 在出现的窗口的左边部分, 选择“计算机配置” (Computer Configuration) →“管理模板” (Administrative Templates) →“系统” (System) , 在右边窗口双击“Shutdown Event Tracker”, 在出现的对话框中选择“禁止” (Disabled) 点击, 然后“确定” (OK) 保存后退出。
没有绝对安全的网络系统, 安全问题是多种多样, 且随着时间技术的变化而变化, 所以安全防护也是非常重要的, 保持清醒正确的认识, 同时掌握最新的安全问题情况, 再加上完善有效的安全策略, 是可以阻止大部分安全事件的发生, 保持最小程度的损失。
参考文献
[1]仇多利.ARP攻击及防御策略[J].电脑知识与技术 (学术交流) , 2007.17.
网络攻击技术研究 篇3
黑客对世界信息安全的威胁已经是显而易见的了,最为人知的便是中国Google 2009年12月时遭黑客入侵,导致后来Google移出中国的事件,近日更有新闻指出Google的密码系统也遭黑客窃走,虽然似乎没有影响到Gmail等服务的运作,也宣称没有任何账号遭入侵,但对于Google的商誉已经有些影响,强如Google都会被黑客入侵,国内各企业和国安单位必须更为注意这方面消息,才能够防御来自未知的网络攻击。
1 网络攻击趋势
网络攻击有许多面向,我们以较具有公信力的OWASP、X-Force和McAfee所公布的报告分别分析Web攻击与其它方面的各式攻击手法与趋势。
1.1 Web攻击
OWASP组织是一研究Web应用程序安全的组织,目标是增进Web的安全性,因此每三年OWASP组织都会发布OWASP Top10,列入前十名的威胁不代表是最常见的,而是衡量其发生的可能性与对于系统的影响程度而做出的报告书。
1.1.1 Injection攻击
今年的第一名为相当著名的Injection攻击,像是SQL Injection、LDAP Injection、OS Commands等等诸如此类型的攻击都被于此类,最常见的当然还是被大量使用的SQL Injection攻击。一般来说,此类型攻击都发生于程序未检验使用者的输入,攻击者利用程序的缺失执行指令,如此的手法可能造成后端数据库的数据损失和泄漏,甚至可能夺取数据库的控制权,利用一些原始码扫描仪或是Fuzzer应该可以找出程序内的漏洞,但是单纯利用测试技巧则很难发现这些威胁,而Injection攻击流行的主因便是容易发起,在短暂时间内便可已达到大量的网站攻击事件。
安全人员可将使用者输入经过处理而减少这类型漏洞,像是将使用者输入中类似SQL指令与SQL Query指令会用到的一些符号滤掉,这样便可减少被入侵的可能性。例如,我们常常利用admin’这类型的字符串来跳过账号登入时的检查,安全人员应该在使用者输入的窗体中将“’”与这个符号之后的内容都过滤掉,以免被攻击者恶意入侵。
1.1.2 Cross-Site Scripting攻击
通常简称为XSS,XSS攻击已经流行相当一阵子了,大抵上就是在一个可信任的网站上插入一段恶意的程序代码,有阵子黑客非常喜欢利用XSS攻击偷取使用者的cookie,利用cookie做账号窃取,进而以被害者的帐号登入,尤其针对银行网站的账号攻击。和Injection攻击类似,这两种攻击都是没有对使用者的输入作验证和检查所导致的问题,实际上已经有一些解决方法,但是有许多网站仍然有此问题,Web 2.0常使用的AJAX,也会造成XSS侦测的困难。最简单的漏洞像是使用者输入的资料会成为网页的一部分,这就必须要小心谨慎处理。
1.1.3 Broken Authentication and Session Management
Web网站常常有自己的身份验证方式,这部份的身份认证模块和Session管理如果有问题,则可能导致攻击者冒用其它使用者的身份,这部份的错误和缺失很难发觉,像是将Session ID显露在URL上,看似没什么特别,却可能造成此类漏洞,一旦这样的漏洞被发现,对于网站的安全性、信誉都是相当严重的。
1.1.4 Insecure Direct Object References
此种威胁也属于未验证使用者输入的一种攻击,利用网站未验证使用者输入的漏洞,更改网页参数的值,存取原本不允许使用者存取的档案或对象,像是/etc/passwd文件等等秘密数据。
1.1.5 Cross-Site Request Forgery攻击
通常简称为CSRF攻击,可以算是XSS的一种,也常常搭配XSS的手法发起攻击,目前是非常常见的一种攻击。在网页中插入一段恶意的CSRF攻击,然后利用登入的使用者执行这段攻击,对网站发出伪造的请求,而造成伤害。
1.1.6 Security Misconfiguration
此类威胁来自于管理的问题,不算是应用程序的漏洞,大都是网站设定上的问题:没有定期更新系统、default账号没有移除、Access Control没有做好等等,网管人员必须对这样的漏洞特别小心,针对使用的系统和其必须的设定要有相当程度的了解,也要随时注意是否发布了安全性更新。
1.1.7 Insecure Cryptographic Storage
应用程序没有对机密数据做加密,或是用很容易破解的加密算法,其实有许多加密算法较为安全,例如:RSA、AES、SHA-256等等,当然一般攻击者比较不喜欢直接针对加密算法做攻击,因为需要花掉大量时间,通常都是直接攻击数据库,以取得想要的数据,如此一来只要将后端数据做加密处理,攻击者就很难取得有用的数据。但目前仍然有许多网站以明码做存取,个人资料外泄的问题日益严重的情况下,资料势必以加密形式储存。
1.1.8 Failure to Restrict URL Access
一般来说网站后台管理系统不应该让一般使用者存取,不过有许多网站仍然让管理系统暴露在外,或只是保护连向管理系统的按钮或连结,这可能为潜在的威胁,黑客可能猜到或是使用Google搜寻直接伪造管理后台的request,因此针对管理系统网页做存取的限制是必须的手段。
1.1.9 Insufficient Transport Layer Protection
网络应用程序常常不会对网络流量做保护,像是常用的Windows Live Messenger就没有对传送出去的信息做加密,因此很多信息很可能在传送的过程中被窃听,尤其是在输入一些机密数据,如信用卡号码、电话号码之类的,这些东西就需要用SSL/TLS做认证,只要监听自己的网络流量就可以知道是否有这样的弱点。
1.1.10 Unvalidated Redirects and Forwards
有些网站会提供网页导向的功能,或是利用参数来指定跳转之后的页面,而攻击者可以利用更改参数的方式让网页跳转到恶意网站,藉此让使用者安装其它恶意软件,或是跳到钓鱼网站,让使用者输入账号密码,这样的技巧很容易突破使用者心理的防御,而造成许多伤害。
1.2 其它攻击
许多报告和研究的统计数字告诉我们,除了Web攻击外,还有许多活跃于地下的网络攻击活动,这些攻击混和了各种面向,参杂了许多攻击技巧来达成完整攻击,在后面的章节我们将会讨论这些攻击。
1.2.1 PDF漏洞攻击
PDF全名为Portable Document Format,是由Adobe公司(
1.2.2 USB病毒/蠕虫
在网军对抗中,各国为了对付军网实体隔离政策而发展出USB病毒/蠕虫,USB蠕虫的原理来自于过去Windows设计的Autorun机制,Autorun机制是为了让设计多媒体CD/DVD的公司可以在使用者将光盘放入光驱中即可自动执行,免去使用者学习如何使用光盘的麻烦,但是这个机制也沿用到了可擦写的USB随身碟,因此攻击者便利用这个技巧,也在USB随身碟中放入一个autorun.inf,在里面加入执行档的路径,当USB插入计算机的时候,就会自动执行该执行档了,其中最有名的病毒便是Kavo,据信Conficker的变种病毒也利用了类似技巧来增加散播的管道。由于此攻击手法不容易被一般使用者察觉,而且使用USB来交换数据的情形相当多,所以利用USB来传染的效果非常好,最后Microsoft公司在2009年8月提供了KB971029的修补方案,将USB的Autorun机制关掉,以减缓此攻击的散布,但是有许多计算机还没有安装这个修补方案,而且使用Windows XP的计算机还是占多数,因此目前USB病毒仍然活跃于各种入侵活动中。
1.2.3 僵尸网络攻击
僵尸网络(Botnet)最近几年活动相当频繁,甚至取代了蠕虫(Worm)的威胁性,近年来,过去为非作歹的蠕虫渐渐消失,例如:Code Red、Slapper与Blast,而僵尸网路不像过去蠕虫总是利用缓冲区溢位攻击(Buffer Overflow Attack)来做快速传染,攻击者更谨慎的拓展僵尸网络的大小,并小心不让整个僵尸网络被发现,因为僵尸网络对攻击者来说具有相当大的经济价值,攻击者利用僵尸网络来进行网络犯罪,例如:发垃圾、广告邮件(Spam Mail)或钓鱼信件(Phishing Mail)、发起分布式阻断服务攻击(Distributed Denial of Service Attack)与假造点击广告(Click-Fraud)。
僵尸网络的散布管道实在太多样化,像是透过Web弱点造成的Drive-bydownload、Heap Spray,甚至有透过PDF漏洞、Flash漏洞、USB蠕虫和传统缓冲区溢位,或是Peer-to-Peer软件分享的假造档案,一般来说,针对僵尸网络的研究大都专注于Command&Control Channel的讨论上,过去大部分都是以IRC当作沟通管道,但是后来慢慢发展成各种不同的僵尸网络形式,以结构式、MSN、Peer-to-Peer方式、Skype来当作C&C Channel的僵尸网络越来越多,而隐蔽性也越来越高,因此要将僵尸网络一网打尽的可能性变得越来越低,大多时候仍利用Honeypot诱饵来想办法加入僵尸网络中,并想办法从中破坏或找到攻击者本人,但想要达到这样的功效并不容易,需要得到国家单位或是ISP帮助,2009年时,美国举办的ACMCCS研讨会就有研究人员发表了他们利用更改Domain Name对应的IP地址夺下一个僵尸网络的方式
1.2.4 其它各式攻击
攻击使用者计算机中的软件成为一种潮流,因为有很多软件是每个人的计算机几乎都会使用的,像是过去针对Microsoft Office的恶意文件、上述提到的PDF漏洞,还有Flash漏洞和针对浏览器来攻击的Heap Spray攻击,大都是跟Memory Corruption有关的攻击,但是每个漏洞所使用的方法迥异,Heap Spray攻击所着重的在于将注入的程序码在Heap段重复放入多个,以增加攻击成功率,目前在Internet Explorer和FireFox都有听过这样的漏洞。
其它各式攻击相当多样化,像近来攻击趋势除了针对一般个人计算机或是服务器外,现在攻击者的目标已经慢慢转移到智能型手机上,智能型手机上保有的个人隐私信息比个人计算机上还要多,而且更有价值,许多人利用手机买股票、上银行、收发E-mail与简讯,因此像是FlexiSpy这类的间谍软件便趁机兴起,而且成为商业软件,活跃于各式各样的手机平台,例如:Windows Mobile、Symbian、BlackBerry和Android等作业系统。未来的攻防战场会更贴近人们生活,甚至就在你/妳的口袋里。
2 结论与讨论
在黑客对强烈的网络攻击之下,政府单位更应该加强信息管理和信息战的能力,虽然政府已有各级安全部门、网监部门,但是各单位的程度不一,又没有统一建设,而是各自为政,对于人员的管理和信息安全教育是相当重要的,若能经由训练达成一定的信息安全观念,那么许多网络攻击威胁并不能真正影响我们。在本文中我们介绍了Web应用程序的漏洞与攻击,和几个近年常见的攻击手法,这些技巧和攻击手法都是每天的确发生在网路上的,像最严重的SQL Injection、XSS攻击,或者是配合钓鱼信件的PDF恶意文件,我们必须了解这些攻击可能造成的伤害与严重性,并了解攻击形成的方式和原因,尽量避免浏览不知名的网页、开启不知名的来信,更要针对所有电子邮件或MSN夹带文件案进行病毒扫描,养成良好的使用习惯才更能阻止黑客入侵。
摘要:该文将介绍目前最常见的网络攻击型态与黑客的攻击活动。随着计算机的普及、网络的发达、与黑客技术的提升,信息安全已经成一越来越不可轻忽的问题。随着攻击技术的提升,黑客对于网站的攻击亦更加频繁,信息安全成为不容忽视的问题。
关键词:黑客,信息安全,网络攻击
参考文献
[1]Kim H,Kang I,Ballk S.Realtime visualization of network attacks on high—speed links[J].IEEE Network,2004,18(5):30-39.
[2]鲍姆.计算机网络[M].4版.潘爱民,译.北京:清华大学出版社,2004.
[3]谢冬青,冷健,熊伟.计算机网络安全技术教程[M].北京:机械工业出版社,2007.
网络攻击技术与网络安全探析 篇4
如今,互联网信息技术在社会的各领域起到不可替代的重要作用。在社会经济领域,各部门之间通过应用互联网技术对信息进行及时、有效的交换,从而合理配置社会资源,促进社会经济发展。在人们日常生活中,互联网技术的应用使得人们相互之间联系便捷,克服区域的局限性。但网络攻击时时存在,影响着社会生活的方方面面,我们必须加以重视。
1 网络攻击的含义及分类
所谓网络攻击,就是黑客利用计算机系统漏洞、木马病毒等手段对特定目标进行攻击,从而获取所需信息的行为。网络攻击主要分为两类,主动攻击与被动攻击。黑客通过技术手段对所需信息就行非法访问的行为叫做主动攻击。而被动攻击侧重于对信息的收集,其隐蔽性较高,用户一般难以察觉。
2 常用的网络攻击技术
网络攻击技术手段多样且更新换代速度较快,技术的不断发展对攻击者水平的要求不断降低,危害进一步扩大。现在,互联网上经常遇到的网络攻击技术主要有以下几类。
2.1 解码类攻击
在网络上,一般通过木马病毒获得用户的密码文件。然后使用口令猜测程序对用户的账号和密码进行破解。此类攻击对技术的要求较低,是较为常见的网络攻击手段。
2.2 未授权访问攻击
随着技术的不断升级,我们使用的计算机操作系统复杂性不断增强,在方便我们操作使用的同时,也为网络攻击埋下隐患。攻击者通过系统本身隐藏的漏洞、系统管理策略的疏忽等对系统进行攻击,从而获取计算机的最高权限。这类攻击隐蔽性较高,通常在人们没有察觉的时候,手中的计算机就成为了黑客的傀儡机。
2.3 电子邮件类攻击
随着网络的不断普及,电子邮件逐步取代传统的信件,成为我们日常通讯中越来越重要的通讯方式。电子邮件类的攻击主要是电子邮件炸弹,其通过垃圾邮件的大量发送使得目标邮箱的空间撑爆。当攻击目标众多,垃圾邮件的发送量巨大时,会导致电子邮件系统的工作运行迟缓、瘫痪,从而导致用户不能进行邮件的收发。
2.4 无线互联功能的计算机及其外围设备窃密
通信技术的发展使得无线网络的覆盖范围不断扩大,无线网络带给人们方便、便捷的同时,其本身具有的开放性特征使得信息传输的安全性大为降低。即便是使用了加密技术,信息也能够被破解,这容易造成用户信息的泄露。
当前社会,主流高端的笔记本电脑的标准配置的是迅驰移动计算机技术,通过此技术的应用,笔记本能够实现无线网络的自动寻址与连接,而且具有相同工具的计算机之间也能进行网络互连,其有效具有为100米。此类技术的应用使得处理信息的速度与便捷性进一步提高,但是搭配此类技术的笔记本电脑在处理涉密信息时,容易因无线网络的自动互联而造成泄密,且隐蔽性高,不易察觉。而安装有Windows操作系统并具有无线联网功能的笔记本电脑只要上互联网或被无线互联,其系统本身具有的漏洞就很容易导致计算机权限被黑客窃取,黑客通过权限将笔记本的麦克风开启,从而造成泄密。
2.5 网络攻击者通过网络监听进行攻击
在互联网时代,用户使用计算机上网时,其主机通过网络监听对本机的网络状态、信息传输和数据流情况进行监听。作为主机服务用户的模式,网络监听有效为用户网络冲浪进行服务,但攻击者通过相应的工具把目标主机的接口设为监听模式能对传输的信息就行捕获,从而获得目标的用户权限,进而实施攻击。
3 网络安全防护措施
3.1 完善计算机与网络管理制度
对保密性较强的部门或企业,应对计算机使用实施完善的管理制度,做到预防为主。对涉密计算机要严格按照相关规定进行使用,不能把涉密计算机与互联网进行关联,并做好相应的物理隔绝措施。对系统更新的补丁,我们应做到及时安装,从而完善系统漏洞,提高防御水平。实施完善的管理制度对相关部门和企业的意义重大,能够较为有效的防止涉密信息的流失。
3.2 合理使用防护软件保护计算机
计算机的使用者应及时下载、使用合法的防护软件,做好完善的预防措施。在互联网时代,计算机防火墙能有效防止网络黑客的攻击,对木马等病毒及时识别与隔离。防火墙可以看做是网络防护的城墙,能对来自互联网的入侵做到及时识别,并将之拒之门外,从而有效保护计算机的安全。
3.3 整体防护措施
由于互联网攻击手段多样,单一的使用防护软件并不能对计算机网络进行全面的防护。只有对计算机实行整体防护措施,才能有效保护计算机信息安全。整体防护措施通过将反应性与主动性两种防护措施进行有机结合,有层次、分级别的对网络及终端进行保护,具有互操作、集成和管理方便的特点。对计算机进行整体防护,应做到创建、部署、管理和报告与终端防护和终端遵从相关的各类终端安全活动。通过各类防护措施的整体使用与相互结合,形成有效的综合防护措施。
3.4 借助 GTI 系统
所谓GTI,即全球威胁智能感知系统。系统主要由四类信誉库组成,即全球网址信誉库、全球网址分类库、全球邮件消息信誉库和全球网络链接信誉库。此系统对世界各地收集的威胁信息进行综合整理,并实时进行更新。应用此系统,能有效防止大部分网络攻击,预警及时有力。
3.5 应用加密技术
进行网络连接时,我们可以运用加密技术对IP进行加密。这样可使数据传输的保密性与真实性得到有效提高,从而保证数据安全。相对于防火墙,此类技术具有灵活性的有力优势,能够积极、有效地保护用户的静态信息安全。
3.6 运用入侵检测技术
IDS又称为入侵检测系统,此系统通过对网络数据信息的搜集、整理、分析,进而判定是否属于网络攻击,对网络攻击实时进行驱逐。运用此类技术,即可对主机与网络兼得行为进行及时有效地监测,又可对外来攻击及入侵实时进行预警与防护。此系统能有效提高计算机的网络防护能力,相对于防火墙, 此系统能做到智能分析,对网络攻击进行实时驱逐。而且,IDS技术能将受到攻击后的计算机进行受损检测,并将攻击者数据及相关特征、信息添加到相应数据库中,从而对同类型的攻击进行规避,有效提高计算机防护能力。
3.7 对人员进行有效的技术培训
针对于计算机网络攻击的多样性与危害性,我们应对相关人员进行有效的培训,提高人员应对攻击的能力。针对不同类型的网络攻击,我们应及时进行整理分析,得到最有效的防御措施,形成相应的防范规则手册。做到遇到攻击不盲目应对,从而提高防范水平。
4 结语
网络攻击技术与网络安全探析 篇5
1 几种常用的网络攻击技术
随着计算机网络的更新换代, 网络的攻击方法也是越来越多, 而且网络攻击也有了自动化趋势, 网络攻击技术目前广泛被黑客和间谍所使用。
1.1 网络系统漏洞
计算机网络系统漏洞主要是指实际操作系统在逻辑设计上存在缺陷, 在编写程序的过程当中出现了编写失误。这些错误就会被黑客或者间谍用远程等手段来控制计算机, 在黑客控制计算机的这一时间内, 计算机中的一切资料信息都会被窃取, 窃取的方式一般都是以口令作为主要的攻击目标。有的时候也会冒充合法用户直接潜入到攻击的计算机中, 从而获取计算机的控制权。我们的计算机开发商也是发现了这一问题, 研究出了很多的打补丁方法, 这样的一种方法在一定程度上是缓解了计算机的系统漏洞, 但是从目前的使用情况来看, 很多人对打补丁的态度都是比较冷淡的, 并没有这方面的意识, 这样一来必定会造成计算机系统长期在系统漏洞中运行, 这样的话就会给黑客可乘之机, 一旦被侵入, 后果不堪设想。
1.2 口令过于简单
人们为了保护自己的隐私, 所以大部分的用户都会使用密码来限制授权访问, 像电脑的开机密码, 系统用户密码, 等等, 但是大部分的使用者为了方便, 所有的密码都选择了一个, 而且是非常简单好记的, 这样的一种密码设置就非常容易给攻击者建立空连接, 攻击者这时会极其容易的控制远程用户的计算机, 即便用户设置了密码, 但是由于密码相对比较简单, 所以破解也就是时间问题。
1.3 木马软件
木马软件属于一种隐蔽性极强的远程控制软件, 当前计算机木马程序主要是由木马和控守中心组成, 为了防止安全人员对木马软件进行追踪, 木马软件还会增加跳板, 它属于木马和控守中心的桥梁。木马会利用跳板与控守中心联系, 后面拥有控守中心的人就会通过网络技术直接控制用户的计算机, 从而轻松获取密码。甚至个人通信方面的信息都会被全面掌握。也就是说只要你计算机上有的信息资源, 攻击者都会知晓, 如果再有摄像头和麦克风的话, 那么攻击者也能够实时的窃听用户的所有谈话内容。
计算机系统本身就存在很多的漏洞, 再加上我们的用户在使用计算机的时候也不去注重网络安全问题, 这样的一种习惯也让木马有了可乘之机, 木马会通过不同的方式方法进入到计算机当中。打个比方, 用户在浏览网页的时候, 木马就可能藏在链接中, 在下载某些程序的时候, 木马可能会和程序捆绑而来, 还有一部分木马会采用隐藏技术, 像将自己的名字改为window.exe, 不了解电脑系统的人一看就以为是系统软件, 不敢删除, 而从计算机防火墙的监控日志中也是很难判断系统进程是正常连接还是恶意连接。据有关部门统计, 木马攻击会占到全部软件病毒破坏事件的90%以上。
2 利用网络攻击技术维护网络安全
在网络信息时代, 要想消除网络攻击造成的影响是不现实的, 我们现在唯一能做的就是采取相关措施来减少网络泄密事件的发生几率。
2.1 网络攻击技术的双面性特征
由于互联网的开放性特征, 使得网络技术会出现跨国攻击, 而这样的一种网络间谍技术不仅可以用于攻击网络, 也可以用于网络安全防御。攻防兼备才是信息化发展的基础, 而网络攻击技术的出现对于一部分软件的开发商来说是不利的, 但是从长远的发展角度来看, 网络攻击技术对网络安全的保障也是很大的, 网络攻击技术的发展有利于国家安全的稳定, 网络攻击技术之所以会存在双面性。究其原因, 如果我们不去研究网络攻击技术, 那么网络攻击技术就会反客为主, 我们就会受制于它, 而随着信息技术的不断更新发展, 我们需要开发出具有自主知识产权的网络安全产品来保护我国的网络安全信息。
2.2 网络攻击技术融入到互联网信息战
随着社会的信息化程度不断提高, 计算机网络与人们生产生活之间的关系也是越来越紧密。如果说一个国家的信息网络遭受到了打击, 那么必定会对这一国家的社会经济造成极大的影响。总地来说, 网络在运行的过程当中必定会存在系统漏洞, 很多的机密文件都会被泄露出去, 信息战将会成为未来社会主要的战争, 在信息战还没有打起来之前, 谁也不知道一旦出现会造成多大的破坏, 要想在打信息战之前做好防御工作, 就要对网络攻击技术进行细化研究, 找出我国网络安全的薄弱环节, 进而推动我国信息安全的有序发展。不断强化我国在信息战中的防卫、反击能力。
2.3 网络攻击技术可以推动网络技术的发展
网络攻击技术的出现会让网络产品的供应商不断的改进自身的产品。力求最大限度上增强网络的安全性。而在黑客以及网络攻击技术的出现让计算机网络安全的相关产业随之出现。这种新型产业也极大的推动了互联网的发展。而计算机的系统管理员也可以利用这些网络技术来查找系统存在的漏洞, 将网络攻击技术换一种使用方式, 不断的增强网络的安全性。这样也能够通过利用网络攻击技术来为网络安全服务。
摘要:针对当前互联网发展的特征, 在阐述目前互联网安全现状和网络所存在的问题的基础上, 重点分析了网络信息安全影响比较严重的几种网络攻击技术, 提出了利用网络攻击技术来创建网络的安全体系, 及时发现和遏制网络信息的泄露。
关键词:网络攻击,网络安全,技术
参考文献
[1]周予倩.基于防御视角的常见网络攻击技术发展趋势研究[J].计算机光盘软件与应用, 2012, (22) :55-56.
[2]陈金阳, 蒋建中, 郭军利, 等.网络攻击技术研究与发展趋势探讨[J].信息安全与通信保密, 2004, (12) :37-39.
[3]陈峰, 罗养霞, 陈晓江, 等.网络攻击技术研究进展[J].西北大学学报 (自然科学版) , 2007, (02) :26-27.
[4]敖腾河, 庞滨, 谢辉.数据库触发器机制在IDS系统中的应用[C]//第二十四届中国数据库学术会议论文集 (技术报告篇) .2007.
网络攻击及防范措施 篇6
网络攻击主要来自于黑客和病毒攻击, 尽管我们正在广泛地使用各种复杂的软件技术, 如防火墙、代理服务器、侵袭探测器等机制, 但是, 无论在发达国家, 还是在发展中国家, 黑客活动越来越猖狂, 他们无孔不入, 对社会造成了严重的危害。如银行卡资料被盗事件。一名黑客2003年2月20日“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统, 窃取了万事达、维萨、美国运通、发现等4家大型信用卡组织的约800万张信用卡资料。网络攻击有哪些?应该怎样防护才能保证网络的正常安全运行呢?
一、常见的网络攻击方式
1、缓冲区溢出
这是攻击中最容易被利用的系统漏洞。通过在程序的缓冲区写超出长度的内容, 造成缓冲区的溢出, 从而破坏程序的堆栈, 使程序转而执行其他指令。
2、拒绝服务攻击
(Denialof Service, Do S) 攻击是使受攻击方耗尽网络、操作系统或应用程序有限的资源而崩溃, 从而不能为其他正常用户提供服务。
Do S攻击方式
(1) Syn flood攻击。发动Synflood攻击的破坏者发送大量的不合法请求要求连接, 目的是使系统不胜负荷。其结果是系统拒绝所有合法的请求, 直至等待回答的请求超时。
(2) TCP SYN洪水攻击。利用TCP连接中三次握手过程漏洞来实施攻击。TCP/IP栈只能等待有限数量ACK (应答) 消息, 因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果缓冲区中充满了等待响应的初始信息, 计算机就会对接下来的连接停止响应, 直到缓冲区里的连接超时。
(3) Ping洪流。攻击者向您的计算机发送“洪水般的”ICMP数据包。如果它们在比您具有更大带宽的主机上发动这一攻击, 您的计算机就不能够向网络发送任何东西。该攻击的变体:“smurfing”会向某个主机发送返回地址为您的计算机的ICMP数据包, 以致它们毫无征兆地淹没您
3、工具漏洞攻击
有的系统为了改进系统管理及服务质量安装了一些工具软件, 如Packet Sniffer, Super Scan, Zenmap等。攻击者常利用它去收集非法信息。例如:netstat命令是显示当前正在活动的网络连接的详细信息.但是破坏者也用这一命令收集对系统有威胁性的信息, Net BIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。Nmap是Linux, Free BSD, UNIX, Windows下的网络扫描和嗅探工具包。主要是探测一组主机是否在线;扫描主机端口, 嗅探所提供的网络服务;推断主机所用的操作系统。
二、网络攻击的防范技术
1、账号安全管理
(1) 禁用Guest用户名。即来宾账户, 它为黑客入侵打开了方便之门, 禁用Guest账户的方法:【控件面板】【管理工具】【计算机管理】【本地用户和组】【用户】找到Guest用户, 点击右键属性, 账户已停用前打对号, 【确定】
(2) 藏起管理员账户。为了避免有人恶意破解系统管理员Administrator账户的密码, 使用更名来防止非法用户找不到, 【控件面板】【管理工具】【计算机管理】【本地用户和组】【用户】找到Administrator用户, 将用户更改名字。右键重命名和设置密码 (密码一定要设置为强密码形式) 。再创建一个陷阱账号, 没有管理员权限的Administrator账户欺骗入侵者。这样一来, 入侵者就很难搞清哪个账户真正拥有管理员权限, 也就在一定程度上减少了危险性。
2、封杀黑客的”后门”
俗话说“无风不起浪”, 既然黑客能进入, 那我们的系统一定存在为他们打开的”后门”, 我们只要将此堵死, 让黑客无处下手。
关闭默认共享。必须修改注册表, 否则每次重启之后默认共享还会出现。在注册表中修改如下选项:
(2) 在右栏空白位置点击鼠标右键, 选择【新建】, 再选【字符串值】, 名称中输入delipc$, 这里的名字可以随便取, 然后双击它就会弹出一个窗口来, 输入。修改后需重启PC。同样方法还可以删掉AMDIN$。
关闭不必要的端口。黑客在入侵时常常会扫描计算机端口, 关闭一些不常用的端口, 如“文件和打印共享”139、445端口。
(3) 禁止空连接。在默认的情况下, 任何用户都可以通过空连接连上服务器, 枚举帐号并猜测密码。因此我们必须禁止。修改注册表防范IPC$攻击。单击【开始】【运行】, 输入“regedit”, 打开注册表
单击右键, 选择【修改】在弹出的“编辑DWORD值”对话框中数值数据框中添入“1”, 将项设置为“1”, 这样就可以禁止IPC$的连接, 单击【确定】按钮。
3、及时给系统打补丁
网络攻击与防范研究 篇7
随着信息时代的到来,越来越多的企业或个人逐步意识到信息安全防护的重要性。但又非常自然的以为安全技术能帮助他们免受网络入侵者的恶意攻击。但是,假如这样,追求的只是一种安全意识,却忘记了安全的最薄弱环节:人为因素。因此,分析黑客发动攻击的心理及动机,以及所采用的工具、技术和攻击方法是非常必要的,用以给每个关心网络安全性的人提供帮助。
1 攻击目标
1.1 寻找目标
浩瀚的因特网上有几十亿可能的公有IP地址,因此发现一个适当的目标难度该有多大?这或许是人们首先关注的安全问题。连接入网是黑客发现你的方法之一;因此,必须考虑如何避免黑客的攻击。购买最好的安全技术工具来保护你的PC,并且经常打补丁以保证这些技术是最新。并且希望公司有专门负责网络安全的小组,希望安全专家都具有高水平的技术能力等。事实上普通信息窃取,垃圾搜寻(dumpser diving)才是信息安全最薄弱的环节。问题就在于,对一个社会工程师来说,即便是公司丢弃的垃圾也是不安全的。使用“社会工程学”的黑客能够很轻松地获得这样的信息,连同另外一些更容易弄到的信息就可以进行下一步的入侵了。
1.2 机会性目标
很多时候,黑客使用多种工具在网络上游荡,并且随时准备发现某个可能的目标。除了黑客以外,还有许多“菜鸟级”的网络捣乱者。判定你是否会成为一个“机会性目标”的关键在于你的安全构架。根据经验,如果你没有适当的防火墙或者防火墙很长时间没有升级过了,你就有可能成为黑客的一个“机会性目标”。
1.3 选择性目标
黑客在选择目标的时候通常在心里已有了一个目标。或许你的公司有一种引发业界革命的新产品,或许你的信用很好以致身份令人垂涎,或许某雇员对公司不满,或许你的公司掌握着某人很看重的其他公司的信息,或许公司业务已陷入混乱而早已被人觊觎,或许公司业务被卷入社会政治风波,在这些情况下,或者其他许多情况下,你正式成为黑客的一个选择性目标。
2 攻击过程
攻击者可以采用多种方式访问一个系统,无论攻击者的目标是何种系统,他们采取的步骤都基本相同。
2.1 侦察和踩点
侦察和踩点就是指黑客对公司和网络进行的情报准备。黑客指望着能在该阶段获得有用信息。
2.1.1 被动侦探(passive reconnaissance)
使用DNS进行被动侦探,如nslookup命令即可泄露你的网络域名信息;可见只使用DNS工具,黑客就可以得到目标网站的公开IP地址以及其DNS和E-mail服务器的地址等。另外Whois是许多应用和因特网免费提供的一个工具,利用它,目标公司的网址已经成为一种非常有用的信息,攻击者从中可以得到很多信息。黑客可将这些信息用于社会工程学,获得网络系统识别和系统管理员身份等。通过这些信息的跟踪,黑客可能会对目标网络有了一个更深层次的洞察。
2.1.2 主动侦探(active reconnaissance)
通过目标网络的公开IP地址来确定在这些服务器上运行了什么服务。如使用Google搜索关键词“Welcome to IIS4.0”,你就会发现究竟有多少IIS服务器在运行。同时黑客常使用WhatRoute对一类子网进行ping扫描,从扫描结果了解自己是否可能被发现,从而采用主动侦探的方式,一直到他获得足够的信息来找到一个可以攻击该系统的漏洞。
2.2 扫描
侦察和踩点之后,黑客弄清楚了网络内的主机分布、使用的操作系统、系统管理员信息、提交到新闻组的讨论、办公地点,以及上游的入侵防御系统。黑客掌握了网络和设备布局后,就准备对服务和开放端口进行监听,以确定将承担的风险、留下的痕迹等。黑客经常使用NMAP、TigerSuite进行详细扫描,以获得有用信息。另外一类扫描是弱点(漏洞)扫描,通常使用X-Scanner、Superscan、扫描器流光等发现系统漏洞。
2.3 枚举分析
网络环境的勾画包括踩点、扫描和枚举分析。黑客通过踩点可以将其活动范围限定到那些最有希望发现漏洞的系统上。通过扫描则可以找到开放的端口和正在运行的服务。枚举分析用于提取有效的账户信息以及输出资源。枚举分析包括对特定系统的动态连接以及对这些特定系统的直接连接请求。针对不同操作系统都有相应的枚举分析技术来对付。其中Windows操作系统中常使用net view、nbtstat进行枚举分析。
2.4 获得访问通道
很多人都错误的认为黑客想要“控制”入侵的目标设备,其实黑客更有可能是想获得进入目标主机的访问通道。使用枚举分析找到更容易的入口后,就可以用合法的用户账号以及缺乏保护的资源共享来开始更强力的侦测,从而获得访问通道。黑客必须通过系统某个方面的漏洞来获得对该系统的访问通道。通常采用操作系统攻击、应用程序攻击、错误配置攻击、脚本攻击四类攻击。
2.4.1 操作系统攻击
操作系统首先必须满足用户的各种需求,在一定程度上支持网络环境,要求的网络能力越强,提供的服务也就越多,随之开放端口也会多,提供更多可用的动态服务,黑客就有越多机会选择攻击,从而获得访问通道。
2.4.2 应用程序攻击
应用程序的不完善,不规范也是获得访问通道的途径。
2.4.3 错误配置攻击
系统管理员的工作就是保证系统安全或系统能提供用户需要的功能。这通常意味着需要进行系统配置。错误配置没有让系统管理员引起重视,他们一般不会回头研究如何解决碰到的难题,也不会禁用那些不需要的服务;另外忘记改变写入设备程序的缺省管理用户名和口令,也是黑客攻击获取通道的途径。
2.4.4 脚本攻击
UNIX和Linux使用脚本攻击最简单。许多这样的操作系统都自带可用的例子脚本和程序。它们一旦被启动或未经测试,就有可能导致你的系统被黑客攻击。缓冲区溢出、暴力破解口令、尝试且嗅探口令、捕获口令标记等。
2.5 权限提升
尽管获得对系统的访问通道,可普通用户或许并不具备有黑客为达到目的所需要的权限,黑客必须提升权限级别。黑客可能采取的行动:进入系统内部,运行适当的系统漏洞检测代码获得更多的权限;使用多种免费的口令破解工具来破译口令;搜寻未经加密(即明文)的口令;考察一下被入侵的系统和网络中其他系统之间的信任关系,以期发现另外一个攻击机会;查看文件或共享权限是否设置不当。黑客还可能采用拒绝服务(DoS)攻击、同步(SYN flood)攻击、ICMP技术、碎片重叠/碎片偏移错误、缓冲区溢出等。
2.6 生成后门并隐藏踪迹
黑客实现了对目标系统的控制之后,必须隐藏踪迹,防止被管理员察觉。对基于Windows的系统,黑客必须清除或整理时间日志和注册表表项。对基于UNIX的系统,他则必须清空历史文件,并且运行日志清除工具(log wiper)来清理UTMP、WTMP以及LastLog日志文件。
初次入侵后,黑客想要保持进入该系统的访问通道,他就会创建后门以便以后再次访问。可能使用Netcat、VNC、键盘记录器、定制程序等工具,建立系统账户、定期执行批处理任务、开机运行程序或者远程控制服务或软件,以及用木马伪造合法的服务或程序等。
3 网络攻击的防范对策
3.1 强化网络安全意识
网络安全意识是安全的前提,必须坚持强化意识、自觉防范、主动作为的原则。杜绝黑客窃取普通信息,培养公司所有资料都应该视为敏感信息的意识,主动填补社会工程学陷阱。看似无关紧要的普通信息都应该保护起来,每个员工都应该意识到,除非在数据分级标准里明确规定,否则绝不能泄露。降低该网络系统成为攻击目标的可能性。
3.2 定期查看日志,及时给系统、软件打补丁
定期查看系统日志,关注网络安全基础工具,发现异端及时处理,觉察入侵者的侦察和踩点行为并予以制止。
及时观察系统补丁是网络安全的基础,微软不断推出新的补丁,为了网络信息的安全,还是应该到微软的站点下载用户电脑操作系统对应的补丁程序,很多的病毒木马程序都是由于系统的漏洞才使得它们有机可乘。许多应用软件也存在漏洞,也有非法者入侵者的“窗口”,也要注意并及时打好补丁。削弱入侵者的扫描效果,减少访问通道获得的机率,同时可以防止权限提升。
3.3 禁用空闲服务,封闭空闲端口
服务开得多可以给管理带来方便。但也会给黑客留下可乘之机,因此应该关闭用不到的服务。比如在不需要远程管理计算机时,最好把有关远程网络登录的服务关掉。去掉不必要的服务之后,不仅能提高系统运行速度,而且还可以保证系统的安全。
文件和打印共享应该是一个非常有用的功能,但它也是引发黑客入侵的安全漏洞。所以在不需要“文件和打印共享”的情况下,我们可以将其关闭。即便确实需要共享,也应该为共享资源设置访问密码。
杜绝枚举分析,最好方法是设置路由器和防火墙以阻挡Net BIOS包的出入。为了防止对安全的分层攻击,禁用135至139间的TCP及UDP端口,Windows的TCP和UDP445端口。
在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此我们必须禁止建立空连接。拒绝枚举分析,以及起到关闭“后门”的作用。
4 结论
计算机网络的飞速发展,势必同时也伴随着网络攻击的猖獗,本文从发现正确的目标到执行攻击,对黑客的攻击方法做了一些相应的剖析,旨在帮助关心网络安全的人群能更加关注安全问题,并且有针对性的结合防范措施避免入侵者的恶意攻击。
摘要:随着信息时代的到来,越来越多的企业或个人逐步意识到信息安全防护的重要性。计算机网络、数据通信、电子商务、办公自动化等领域需要解决信息安全问题。如何保护企业或个人的信息系统免遭非法入侵?对目前计算机网络存在的网络攻击方法进行了分析,从发现正确的目标到执行攻击,并提出相应的防范措施。
关键词:网络攻击,黑客,入侵,防范
参考文献
[1]Tom Thomas.Network Security first-step.posts&telecom press.2005.
[2]Kevin Mitnick,William Simon.The Art of Deception:Controlling the Human Element of Security.2005.
[3]宋庆大,颜定军.计算机安全漏洞与应对措施[J].计算机安全.2009.
[4]张小磊,计算机病毒诊断与防治[M].北京希望电子出版社.2005.