網(wǎng)絡(luò)時(shí)代黑客攻擊的主要方式及防范手段

字號(hào):

攻擊探索
     下面介紹下網(wǎng)絡(luò)攻擊的主要方式及如何防范:ip地址欺騙、源路由攻擊、端口掃描、DoS拒絕服務(wù)、竊聽(tīng)報(bào)文、應(yīng)用層攻擊等。
     一、IP地址偽裝
     攻擊者通過(guò)改變自己的 IP地址來(lái)偽裝成內(nèi)部網(wǎng)用戶(hù)或可信的外部網(wǎng)用戶(hù),以合法用戶(hù)身份登錄那些只以IP地址作為驗(yàn)證的主機(jī);或者發(fā)送特定的報(bào)文以干擾正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸;或者偽造可接收的路由報(bào)文(如發(fā)送ICMP報(bào)文)來(lái)更改路由信息,來(lái)非法竊取信息。
     防范方法:
     1、當(dāng)每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許外部的IP數(shù)據(jù)包進(jìn)入局域網(wǎng)之前,先對(duì)來(lái)自外部的IP數(shù)據(jù)包進(jìn)行檢驗(yàn),如果該IP包的IP源地址是其要進(jìn)入的局域網(wǎng)內(nèi)的IP地址,該IP包就被網(wǎng)關(guān)或路由器拒絕,不允許進(jìn)入該局域網(wǎng)。雖然這種方法能夠很好的解決問(wèn)題,但是考慮到一些以太網(wǎng)卡接收它們自己發(fā)出的數(shù)據(jù)包,并且在實(shí)際應(yīng)用中局域網(wǎng)與局域網(wǎng)之間也常常需要有相互的信任關(guān)系以共享資源,因此這種方案不具備較好的實(shí)際價(jià)值。
     2、另外一種防御這種攻擊的較為理想的方法是當(dāng)IP數(shù)據(jù)包出局域網(wǎng)時(shí)檢驗(yàn)其IP源地址。即每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許本局域網(wǎng)內(nèi)部的IP數(shù)據(jù)包發(fā)出局域網(wǎng)之前,先對(duì)來(lái)自該IP數(shù)據(jù)包的IP源地址進(jìn)行檢驗(yàn)。如果該IP包的IP源地址不是其所在局域網(wǎng)內(nèi)部的IP地址,該IP包就被網(wǎng)關(guān)或路由器拒絕,不允許該包離開(kāi)局域網(wǎng),因此建議每一個(gè)ISP或局域網(wǎng)的網(wǎng)關(guān)路由器都對(duì)出去的IP數(shù)據(jù)包進(jìn)行IP源地址的檢驗(yàn)和過(guò)濾。如果每一個(gè)網(wǎng)關(guān)路由器都做到了這一點(diǎn),IP源地址欺騙將基本上無(wú)法奏效。
     二、源路由攻擊
     路由器作為一個(gè)內(nèi)部網(wǎng)絡(luò)對(duì)外的接口設(shè)備,是攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的第一個(gè)目標(biāo)。如果路由器不提供攻擊檢測(cè)和防范,則也是攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)橋梁。
     防范方法:
     1、可靠性與線(xiàn)路安全。
     2、對(duì)端路由器的身份認(rèn)證和路由信息的身份認(rèn)證。
     3.、訪(fǎng)問(wèn)控制對(duì)于路由器的訪(fǎng)問(wèn)控制,需要進(jìn)行口令的分級(jí)保護(hù);基于IP地址的訪(fǎng)問(wèn)控制; 基于用戶(hù)的訪(fǎng)問(wèn)控制。
     4、信息隱藏 :與對(duì)端通信時(shí),不一定需要用真實(shí)身份進(jìn)行通信。通過(guò)地址轉(zhuǎn)換,可以做到隱藏網(wǎng)內(nèi)地址、只以公共地址的方式訪(fǎng)問(wèn)外部網(wǎng)絡(luò)。除了由內(nèi)部網(wǎng)絡(luò)首先發(fā)起的連接,網(wǎng)外用戶(hù)不能通過(guò)地址轉(zhuǎn)換直接訪(fǎng)問(wèn)網(wǎng)內(nèi)資源。
     5、數(shù)據(jù)加密。
     6、在路由器上提供攻擊檢測(cè),可以防止一部分的攻擊。
     三、端口掃描
     利用一些端口掃描工具來(lái)探測(cè)系統(tǒng)正在偵聽(tīng)的端口,來(lái)發(fā)現(xiàn)該系統(tǒng)的漏洞;或者是事先知道某個(gè)系統(tǒng)存在漏洞,而后通過(guò)查詢(xún)特定的端口,來(lái)確定是否存在漏洞,最后利用這些漏洞來(lái)對(duì)系統(tǒng)進(jìn)行攻擊,導(dǎo)致系統(tǒng)的癱瘓。
     防范方法:
     1、關(guān)閉閑置和有潛在危險(xiǎn)的端口,它的本質(zhì)是——將所有用戶(hù)需要用到的正常計(jì)算機(jī)端口外的其他端口都關(guān)閉掉。因?yàn)榫秃诳投裕械亩丝诙伎赡艹蔀楣舻哪繕?biāo)。換句話(huà)說(shuō)“計(jì)算機(jī)的所有對(duì)外通訊的端口都存在潛在的危險(xiǎn)”,而一些系統(tǒng)必要的通訊端口,如訪(fǎng)問(wèn)網(wǎng)頁(yè)需要的HTTP(80端口);QQ(4000端口)等不能被關(guān)閉。 在Windows NT核心系統(tǒng)(Windows 2000/XP/ 2003)中要關(guān)閉掉一些閑置端口是比較方便的,可以采用“定向關(guān)閉指定服務(wù)的端口”和“只開(kāi)放允許端口的方式”。計(jì)算機(jī)的一些網(wǎng)絡(luò)服務(wù)會(huì)有系統(tǒng)分配默認(rèn)的端口,將一些閑置的服務(wù)關(guān)閉掉,其對(duì)應(yīng)的端口也會(huì)被關(guān)閉了進(jìn)入“控制面板”、“管理工具”、“服務(wù)”項(xiàng)內(nèi),關(guān)閉掉計(jì)算機(jī)的一些沒(méi)有使用的服務(wù)(如FTP服務(wù)、DNS服務(wù)、IIS Admin服務(wù)等等),它們對(duì)應(yīng)的端口也被停用了。至于“只開(kāi)放允許端口的方式”,可以利用系統(tǒng)的“TCP/IP篩選”功能實(shí)現(xiàn),設(shè)置的時(shí)候,“只允許”系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口即可。
     2.檢查各端口,有端口掃描的癥狀時(shí),立即屏蔽該端口。這種預(yù)防端口掃描的方式顯然用戶(hù)自己手工是不可能完成的,或者說(shuō)完成起來(lái)相當(dāng)困難,需要借助軟件。這些軟件就是我們常用的網(wǎng)絡(luò)防火墻。
     四、Dos類(lèi)型攻擊
     Dos(Denial of service,拒絕服務(wù)攻擊)攻擊是通過(guò)發(fā)送大量報(bào)文導(dǎo)致網(wǎng)絡(luò)資源和帶寬被消耗,從而達(dá)到阻止合法用戶(hù)對(duì)資源的訪(fǎng)問(wèn)。另外一種DDos是它的擴(kuò)展類(lèi)型,即分布式拒絕服務(wù)攻擊許多大型網(wǎng)站都曾被黑客用該種方法攻擊過(guò)且造成了較大的損失。
     如何防范:
     1、BAN IP地址法: 使用簡(jiǎn)單的屏蔽IP的方法將DOS攻擊化解。對(duì)于DOS攻擊來(lái)說(shuō)這種方法非常有效,因?yàn)镈OS往往來(lái)自少量IP地址,而且這些IP地址都是虛構(gòu)的偽裝的。在服務(wù)器或路由器上屏蔽攻擊者IP后就可以有效的防范DOS的攻擊。不過(guò)對(duì)于DDOS來(lái)說(shuō)則比較麻煩,需要我們對(duì)IP地址分析,將真正攻擊的IP地址屏蔽。 不論是對(duì)付DOS還是DDOS都需要我們?cè)诜?wù)器上安裝相應(yīng)的防火墻,然后根據(jù)防火墻的日志分析來(lái)訪(fǎng)者的IP,發(fā)現(xiàn)訪(fǎng)問(wèn)量大的異常IP段就可以添加相應(yīng)的規(guī)則到防火墻中實(shí)施過(guò)濾了,當(dāng)然直接在服務(wù)器上過(guò)濾會(huì)耗費(fèi)服務(wù)器的一定系統(tǒng)資源,所以目前比較有效的方法是在服務(wù)器上通過(guò)防火墻日志定位非法IP段,然后將過(guò)濾條目添加到路由器上。
     2、增加SYN緩存法,上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊,但由于使用了屏蔽IP功能,自然會(huì)誤將某些正常訪(fǎng)問(wèn)的IP也過(guò)濾掉。所以在遇到小型攻擊時(shí)不建議大家使用上面介紹的BAN IP法。我們可以通過(guò)修改SYN緩存的方法防御小型DOS與DDOS的攻擊。
     五、竊聽(tīng)報(bào)文
     攻擊者使用網(wǎng)絡(luò)報(bào)文獲取工具,從網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流中復(fù)制數(shù)據(jù),并從這些數(shù)據(jù)中獲取一些諸如用戶(hù)名 /口令等敏感信息。通過(guò)網(wǎng)絡(luò)尤其是Internet來(lái)傳輸數(shù)據(jù),不僅需要跨越不同的地理位置,而且存在時(shí)間上的延遲,在這種情況下,要避免數(shù)據(jù)不被竊聽(tīng)?zhēng)缀跏遣豢赡艿摹?BR>     防范手段: 最基本的是及對(duì)報(bào)文要進(jìn)行加密,基本加密算法有兩種:對(duì)稱(chēng)密鑰加密、非對(duì)稱(chēng)密鑰加密,用于保證數(shù)據(jù)的保密性、完整性、真實(shí)性和非抵賴(lài)服務(wù)。
     六、應(yīng)用層攻擊
     有多種形式,包括大部分的計(jì)算機(jī)病毒,利用已知應(yīng)用軟件的漏洞,“特洛依木馬”等。另外,網(wǎng)絡(luò)本身的可靠性和線(xiàn)路的安全性也對(duì)網(wǎng)絡(luò)安全起著重要的影響。隨著網(wǎng)絡(luò)應(yīng)用的逐漸普及,尤其是在一些敏感場(chǎng)合(如電子商務(wù)),網(wǎng)絡(luò)安全成為日益迫切的需求。按物理位置來(lái)分,網(wǎng)絡(luò)安全可分為兩個(gè)部分,一是內(nèi)部局域網(wǎng)的安全,二是和外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換時(shí)的安全。路由器作為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的關(guān)鍵通信設(shè)備,應(yīng)該提供充分的安全功
     防范方法:
     1、避免下載可疑程序并拒絕執(zhí)行,運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)并監(jiān)聽(tīng)TCP服務(wù)。
     2、多方防御保障安全,對(duì)電腦硬盤(pán)進(jìn)行加密保護(hù),對(duì)硬盤(pán)進(jìn)行高強(qiáng)度保護(hù),目前的這種保護(hù)強(qiáng)度,不會(huì)被攻破,大大降低了機(jī)密數(shù)據(jù)泄露的風(fēng)險(xiǎn);雙因素認(rèn)證功能是為了防止非授權(quán)者入侵操作系統(tǒng)存取機(jī)密數(shù)據(jù)。采用雙因素身份認(rèn)證的方式,身份認(rèn)證可以通過(guò)智能卡、一次性口令,或者是USB令牌的方式進(jìn)行,具有更高可靠性。通過(guò)數(shù)據(jù)加密和雙因素認(rèn)證來(lái)保護(hù)數(shù)字資產(chǎn),是防止未經(jīng)授權(quán)泄漏重要電子信息的終極手段。
     七、利用信息服務(wù)
     1、DNS域轉(zhuǎn)換——DNS協(xié)議不對(duì)轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證,這使得該協(xié)議被人以一些不同的方式加以利用。
     2、Finger服務(wù)——?jiǎng)e有用心的人使用finger命令來(lái)刺探一臺(tái)finger服務(wù)器以獲取關(guān)于該系統(tǒng)的用戶(hù)的信息。
     3、LDAP服務(wù)——主要是通過(guò)LDAP協(xié)議的使用,窺探網(wǎng)絡(luò)內(nèi)部的系統(tǒng)和它們的用戶(hù)的信息。
     防范手段:對(duì)于DNS只要在防火墻處過(guò)濾掉域轉(zhuǎn)換請(qǐng)求;對(duì)于Finger只要關(guān)閉finger服務(wù)并記錄嘗試連接該服務(wù)的對(duì)方IP地址,或者在防火墻上進(jìn)行過(guò)濾。對(duì)于刺探內(nèi)部網(wǎng)絡(luò)的LDAP進(jìn)行阻斷并記錄,如果在公共機(jī)器上提供LDAP服務(wù),那么應(yīng)把LDAP服務(wù)器放入DMZ。