学文网摘要:该文详细分析了计算机网络攻击的种类,希望对维护计算机网络的安全人员有所帮助。
关键词:DDoS;攻击;网络;安全
中***分类号:TP393文献标识码:A文章编号:1009-3044(2008)29-0363-03
Network Attack Type
ZENG Ling-zheng
(Data Processing Center,Guangzhou Statistics Bureau,Guangzhou 510030,China)
Abstract: This article multianalysis computer network has attacked the type, hoped to the security personnel who maintains the computer network has the help.
Key words: hackers; DoS; DDoS; guard
1 引言
随着Internet在全球的发展,黑客的活动也日趋活跃,大有方兴未艾之势。其动向有以下几个特点:
组织越来越扩大化:早期的黑客虽然也有些是有组织的,全规模不大。现在跨地区,跨国界的大型黑客组织己经出现。在Internet网上还有许多黑客的专题讨论组,并有不断扩大之势。
行动越来越公开化:包括召开会议,举办竞赛,编写教材等。例如2002年7月12日至14日,来自世界各国的2000名国际黑客云集纽约,举行了迄今为止规模最大的全球黑客大会,并且抛出一款全新的软件作为宣战的工具。在此次黑客大会上,黑客们公布的一项计划引起了全球瞩目,那就是众黑客以不满网络安全检查为由宣布将对全球20多个进行网络检查的国家开战。
案件越来越频繁化:权威机构调查显示计算机攻击事件正在以年64%的速度增加。另据统计数字显示,至2002年年末,黑客事件平均每天发生614次,比2002年年初提高20.2%。
情况越来越复杂化:无论人们对于黑客的功过如何评说,黑客的成分背景日益复杂,行为动机各有不同,这是客观事实,对此己经不是用“好人、好事”还是“坏人、坏事”所能简单概括。正义、非正义,侵入、反侵入的斗急错综复杂,种种迹象表明,有朝一日在网上爆发一场世界黑客大战并非天方夜谭。
2 入侵系统攻击
入侵系统的攻击首先需要收集目标系统的有关信息(如运行的操用系统版本、开放的端口等),通过信息的收集,获取系统的控制权。获取信息通过常规的网络探测命令可以获取一些对攻击有用的信息,如PING命令判断计算机是否开着,或者计算数据包从发送到返回需要多少时间;通过Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径。用Finger和 Rusers命令收集用户信息;使用Host或Nslookup命令,再结合Whois和Finger命令获到主机、操作系统和用户的信息;甚至可以直接使用命令攻击。
2.1 口令攻击
攻击者通过第一阶段的信息收集,获取了目标系统上的用户名、开放服务、操用系统的类型等关键信息,下面就开始实施入侵的核心环节――获取口令。
1) 口令暴力攻击
由于有些操用系统不能在数次登录失败后自动关闭账号,因此有些黑客把人们常用来做口令的单词制作成词典,通过计算机程序一个个试探,或把英文字母、数字组合后进行试探。
2) 窃取口令文件后解密
老版本的Unix没有Shadow文件,全部口令都存在Passwd文件中,新版本的Unix中,用户基本信息存放在Passwd文件中,而所有口令以过DES加密后存放在Shadow文件中,并处于严密保护之下。一旦黑客获取这两个文件,黑客就可以使用些穷举测试程序破译用户口令。
2.2 漏洞攻击
当采用直接口令攻击失败后,攻击者会开始寻找系统的安全漏洞,有些漏洞是系统设计编程的疏忽,有些是管理员配置不当引起的。这些漏洞在系统被大量使用后会逐渐暴露出来,如果管理员不及时***补丁,更改配置,就会给攻击者可乘之机。
1) 利用CGI漏洞进行攻击
有些CGI程序只是简单地进行传递,不对内容进行过滤,攻击者就可能通过页面提交带危险指令的脚本代码给机器去执行,有些CGI能够过滤一些特征数据,但是有些攻击者故意制用一些混乱的字符串骗过检测,甚至有些管理员将CGI所在的目录设置为可写的,攻击者不仅可以修改替换页面,而且也可以通过新脚本为所欲为。
对策:严格设置CGI脚本权限,采有安全的CGI。
2) FTP协议漏洞攻击
FTP协议漏洞之一在于对使用的端口号没有任何限制,用户可以使用TCP提供给其他服务的任意端口,这就使攻击者得以利用FTP攻击其他服务。
FTP协议的第二个漏洞是,FTP标准允许无限次输入密码,如些以来攻击者就可以使用口令暴力攻击。防范措施是建议服务器限制尝试输入正确指令的次数。另外,一次登录失败后应暂停几秒来削减暴力攻击的有效性。
FTP的第三个漏洞是分配端口号时通常按增序分配,攻击者可以预先占领端口,让合法用户无法分配到端口或趁机窃取信息等。
对策:让系统改为使用随机分配端口号的方法。
3) 服务程序漏洞攻击
一些常见的WWW或FTP服务端程序在设计上也被发现存在安全漏洞,也必须经常注意升版本或***补丁。
如IIS4.0 和5.0中在Unicode字符解码的实现中存在安全漏洞:当IIS打开文件时,如果文件名包含Unicode字符,它会对其解码,导致攻击者在文件名中加入的指令可以执行 。
4) 缓冲区溢出攻击
缓冲区溢出的形成非常简单,如在C语言中,下面的程序将造成缓冲区溢出:
char buffer[10];
strcpy(buffer,str);
只要str的长度大于10,就会溢出,普通的缓冲区溢出并不会产全安全问题,只有将溢出送到能够以root权限运行命令的区域才会产生危害,最常见的方法是在溢出区域运行一个Shell,再通过Shell执行其他的命令。
2.3 包劫持和会话劫持攻击
由于很多协议没有采用任何加密或身份认证技术,比如Telnet、FTP、***TP等协议,用户账户、密码等都是以明文方式传输的,如果攻击者利用包截取工具,就可能获得用户账户密码等信息;更有甚者,在共享的网段中,A、B站点间正常通信,被攻击者C截获后,C有可能冒充接替B同A继续会话,或冒充B发出FIN数据包,释放了A、B间的链接。
2.4 域名劫持攻击
攻击者首先获得域名拥有者注册域名时用的邮件账户,再冒充拥有者发送域名变更信息到域名注册管理公司,让原域名指向另一个自已已经控制的服务器,然后再冒充域名拥有者进行确认,这样在互联网上,原来的服务器就被虚假的服务器所取代了。在获取邮件账户时,不排除使用密码暴力猜测或对该账户所在的邮件服务器进行入侵攻击。这种行为就像有人拿着你的身份证,变更了你的银行账户一样。
2.5 迂回攻击
如果服务器难以直接攻破,攻击者可能采用迂回的策略,通过Finger等工具,跟踪管理员的活动,找出管理员经常使用的管理工作站,然后在这台机器上放置木马,窃取管理员密码,再攻击服务器。
2.6 IP欺骗攻击