http://www.hackeroo.com...?tid=4345搜尋黑客攻擊的主要方式及防範手段
據統計,目前網絡攻擊手段有數千種之多,使網絡安全問題變得極其嚴峻,據美國商業雜志《信息周刊》公布的一項調查報告稱,黑客攻擊和病毒等安全問題在2000年造成了上萬億美元的經濟損失,在全球範圍內每數秒鍾就發生一起網絡攻擊事件。
攻擊探索
下面介紹下網絡攻擊的主要方式及如何防範:ip地址欺騙、源路由攻擊、端口掃描、DoS拒絕服務、竊聽報文、應用層攻擊等。
一、IP地址僞裝
攻擊者通過改變自己的 IP地址來僞裝成內部網用戶或可信的外部網用戶,以合法用戶身份登錄那些只以IP地址作爲驗證的主機;或者發送特定的報文以幹擾正常的網絡數據傳輸;或者僞造可接收的路由報文(如發送ICMP報文)來更改路由信息,來非法竊取信息。
防範方法:
1、當每一個連接局域網的網關或路由器在決定是否允許外部的IP數據包進入局域網之前,先對來自外部的IP數據包進行檢驗,如果該IP包的IP源地址是其要進入的局域網內的IP地址,該IP包就被網關或路由器拒絕,不允許進入該局域網。雖然這種方法能夠很好的解決問題,但是考慮到一些以太網卡接收它們自己發出的數據包,並且在實際應用中局域網與局域網之間也常常需要有相互的信任關係以共享資源,因此這種方案不具備較好的實際價值。
2、另外一種防禦這種攻擊的較爲理想的方法是當IP數據包出局域網時檢驗其IP源地址。即每一個連接局域網的網關或路由器在決定是否允許本局域網內部的 IP數據包發出局域網之前,先對來自該IP數據包的IP源地址進行檢驗。如果該IP包的IP源地址不是其所在局域網內部的IP地址,該IP包就被網關或路由器拒絕,不允許該包離開局域網,因此建議每一個ISP或局域網的網關路由器都對出去的IP數據包進行IP源地址的檢驗和過濾。如果每一個網關路由器都做到了這一點,IP源地址欺騙將基本上無法奏效。
二、源路由攻擊
路由器作爲一個內部網絡對外的接口設備,是攻擊者進入內部網絡的第一個目標。如果路由器不提供攻擊檢測和防範,則也是攻擊者進入內部網絡的一個橋梁。
防範方法:
1、可靠性與線路安全。
2、對端路由器的身份認證和路由信息的身份認證。
3.、訪問控制對於路由器的訪問控制,需要進行口令的分級保護;基於IP地址的訪問控制; 基於用戶的訪問控制。
4、信息隱藏 :與對端通信時,不一定需要用真實身份進行通信。通過地址轉換,可以做到隱藏網內地址、只以公共地址的方式訪問外部網絡。除了由內部網絡首先發起的連接,網外用戶不能通過地址轉換直接訪問網內資源。
5、數據加密。
6、在路由器上提供攻擊檢測,可以防止一部分的攻擊。
三、端口掃描
利用一些端口掃描工具來探測係統正在偵聽的端口,來發現該係統的漏洞;或者是事先知道某個係統存在漏洞,而後通過查詢特定的端口,來確定是否存在漏洞,最後利用這些漏洞來對係統進行攻擊,導致係統的癱瘓。
防範方法:
1、關閉閑置和有潛在危險的端口,它的本質是——將所有用戶需要用到的正常計算機端口外的其他端口都關閉掉。因爲就黑客而言,所有的端口都可能成爲攻擊的目標。換句話說“計算機的所有對外通訊的端口都存在潛在的危險”,而一些係統必要的通訊端口,如訪問網頁需要的HTTP(80端口);QQ(4000端口)等不能被關閉。 在Windows NT核心係統(Windows 2000/XP/ 2003)中要關閉掉一些閑置端口是比較方便的,可以采用“定向關閉指定服務的端口”和“只開放允許端口的方式”。計算機的一些網絡服務會有係統分配默認的端口,將一些閑置的服務關閉掉,其對應的端口也會被關閉了進入“控制面板”、“管理工具”、“服務”項內,關閉掉計算機的一些沒有使用的服務(如FTP 服務、DNS服務、IIS Admin服務等等),它們對應的端口也被停用了。至於“只開放允許端口的方式”,可以利用係統的“TCP/IP篩選”功能實現,設置的時候,“只允許” 係統的一些基本網絡通訊需要的端口即可。
2.檢查各端口,有端口掃描的症狀時,立即屏蔽該端口。這種預防端口掃描的方式顯然用戶自己手工是不可能完成的,或者說完成起來相當困難,需要借助軟件。這些軟件就是我們常用的網絡防火牆。
四、Dos類型攻擊
Dos(Denial of service,拒絕服務攻擊)攻擊是通過發送大量報文導致網絡資源和帶寬被消耗,從而達到阻止合法用戶對資源的訪問。另外一種DDos是它的擴展類型,即分布式拒絕服務攻擊許多大型網站都曾被黑客用該種方法攻擊過且造成了較大的損失。
如何防範:
1、BAN IP地址法:使用簡單的屏蔽IP的方法將DOS攻擊化解。對於DOS攻擊來說這種方法非常有效,因爲DOS往往來自少量IP地址,而且這些IP地址都是虛構的僞裝的。在服務器或路由器上屏蔽攻擊者IP後就可以有效的防範DOS的攻擊。不過對於DDOS來說則比較麻煩,需要我們對IP地址分析,將真正攻擊的 IP地址屏蔽。不論是對付DOS還是DDOS都需要我們在服務器上安裝相應的防火牆,然後根據防火牆的日志分析來訪者的IP,發現訪問量大的異常IP段就可以添加相應的規則到防火牆中實施過濾了,當然直接在服務器上過濾會耗費服務器的一定係統資源,所以目前比較有效的方法是在服務器上通過防火牆日志定位非法IP段,然後將過濾條目添加到路由器上。
2、增加SYN緩存法,上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊,但由於使用了屏蔽IP功能,自然會誤將某些正常訪問的IP也過濾掉。所以在遇到小型攻擊時不建議大家使用上面介紹的BAN IP法。我們可以通過修改SYN緩存的方法防禦小型DOS與DDOS的攻擊。
五、竊聽報文
攻擊者使用網絡報文獲取工具,從網絡傳輸的數據流中複制數據,並從這些數據中獲取一些諸如用戶名 /口令等敏感信息。通過網絡尤其是Internet來傳輸數據,不僅需要跨越不同的地理位置,而且存在時間上的延遲,在這種情況下,要避免數據不被竊聽幾乎是不可能的。
防範手段: 最基本的是及對報文要進行加密,基本加密算法有兩種:對稱密鑰加密、非對稱密鑰加密,用於保證數據的保密性、完整性、真實性和非抵賴服務。
六、應用層攻擊
有多種形式,包括大部分的計算機病毒,利用已知應用軟件的漏洞,“特洛依木馬”等。另外,網絡本身的可靠性和線路的安全性也對網絡安全起著重要的影響。隨著網絡應用的逐漸普及,尤其是在一些敏感場合(如電子商務),網絡安全成爲日益迫切的需求。按物理位置來分,網絡安全可分爲兩個部分,一是內部局域網的安全,二是和外部網絡進行數據交換時的安全。路由器作爲內部網絡和外部網絡之間的關鍵通信設備,應該提供充分的安全功
防範方法:
1、避免下載可疑程序並拒絕執行,運用網絡掃描軟件定期監視內部主機並監聽TCP服務。
2、多方防禦保障安全,對電腦硬盤進行加密保護,對硬盤進行高強度保護,目前的這種保護強度,不會被攻破,大大降低了機密數據泄露的風險;雙因素認證功能是爲了防止非授權者入侵操作係統存取機密數據。采用雙因素身份認證的方式,身份認證可以通過智能卡、一次性口令,或者是USB令牌的方式進行,具有更高可靠性。通過數據加密和雙因素認證來保護數字資産,是防止未經授權泄漏重要電子信息的終極手段。
七、利用信息服務
1、DNS域轉換——DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。
2、Finger服務——別有用心的人使用finger命令來刺探一台finger服務器以獲取關於該係統的用戶的信息。
3、LDAP服務——主要是通過LDAP協議的使用,窺探網絡內部的係統和它們的用戶的信息。
防範手段:對於DNS只要在防火牆處過濾掉域轉換請求;對於Finger只要關閉finger服務並記錄嘗試連接該服務的對方IP地址,或者在防火牆上進行過濾。對於刺探內部網絡的LDAP進行阻斷並記錄,如果在公共機器上提供LDAP服務,那麽應把LDAP服務器放入DMZ。