黑客攻防:基礎(chǔ)知識(shí)
2023年02月04日
網(wǎng)絡(luò)流行的掃描軟件�����,在管理員手中是用來檢測(cè)系統(tǒng)漏洞的工具��,以防患于未然����;而對(duì)于黑客來講,它則是用來尋找攻擊入口����、為入侵工作做準(zhǔn)備的必備工具。
一��、常見的黑客攻擊流程
黑客入侵主要是為了成為目標(biāo)主機(jī)的主人,能夠獲得一臺(tái)網(wǎng)絡(luò)主機(jī)的超級(jí)用戶權(quán)限�����,這就達(dá)到了入侵的目的��,比如說修改服務(wù)配置���、安裝木馬程序、執(zhí)行任意程序等��。雖說現(xiàn)在網(wǎng)絡(luò)安全日新月異���,舊的安全漏洞被補(bǔ)上�����,但是新的漏洞也會(huì)相繼出現(xiàn)�����,網(wǎng)絡(luò)攻擊正是利用這些安全漏洞和缺陷對(duì)系統(tǒng)和資源進(jìn)行攻擊的��。下面介紹黑客攻擊的基本流程����。
1、隱藏自己的行蹤
黑客入侵就是要神不知鬼不覺地侵入目標(biāo)主機(jī)��,因此��,在入侵之前要對(duì)自己做個(gè)偽裝���,不能讓被攻擊者輕易發(fā)現(xiàn)�����。在進(jìn)行網(wǎng)絡(luò)攻擊之前����,先對(duì)自己真實(shí)的IP地址隱藏���,一般攻擊者都是利用他人計(jì)算機(jī)來隱藏自己真實(shí)的IP����,也有一些高手會(huì)通過800電話的無人轉(zhuǎn)接服務(wù)連接ISP���,再套用他人的賬號(hào)進(jìn)行偽裝����。
2、查詢分析目標(biāo)主機(jī)
攻擊要有目標(biāo)�����,在Internet中IP地址就能夠真正標(biāo)識(shí)一個(gè)主機(jī)��,而域名是為了更好地對(duì)IP地址進(jìn)行記憶管理的另一種顯現(xiàn)方式��,這樣利用域名和IP地址就能夠確定目標(biāo)主機(jī)了��。確定了目標(biāo)主機(jī)之后��,就可以對(duì)其操作系統(tǒng)類型及所提供的服務(wù)等信息�����,做一個(gè)全方位的分析和了解�����。
一般攻擊者只用一些掃描器工具���,了解目標(biāo)主機(jī)所使用的操作系統(tǒng)類型及其版本�、系統(tǒng)開放了哪些用戶�����、Web等服務(wù)器程序版本信息等��,為入侵做好充分準(zhǔn)備�����。
3����、獲取權(quán)限用戶進(jìn)行入侵
獲得目標(biāo)主機(jī)權(quán)限用戶是入侵的最基本手段,攻擊者要先設(shè)法盜取目標(biāo)主機(jī)的賬戶文件進(jìn)行破解�����,來得到權(quán)限用戶的賬號(hào)和密碼��,再尋找合適時(shí)機(jī)以此身份登錄主機(jī)���。一般攻擊者都是通過一些黑惡攻擊或系統(tǒng)漏洞登錄目標(biāo)主機(jī)的��。
4�、留下后門和清除記錄
在獲取權(quán)限用戶之后,就可以順利登錄目標(biāo)主機(jī)系統(tǒng)��,從而獲得控制權(quán)�,然后留下后門和清除記錄,以便攻擊者以后不被察覺地再次入侵該目標(biāo)主機(jī)��。
其實(shí)所謂后門只是一些木馬程序或預(yù)先編譯好的遠(yuǎn)程操縱程序�,將這些程序修改時(shí)間和權(quán)限傳輸?shù)侥繕?biāo)主機(jī)隱秘的地方藏起來就可以了。一般攻擊者喜歡使用rep傳輸文件���,以免讓受攻擊者發(fā)現(xiàn)��。攻擊者還要使用清除日志��、刪除拷貝文件等方法清除自己的記錄,隱藏好自己的蹤跡���。
5�、竊取網(wǎng)絡(luò)資源
成功入侵了目標(biāo)主機(jī)����,該主機(jī)的所有資料都將呈現(xiàn)在黑客面前,此時(shí)即可下載有用資料(如一些重要的賬號(hào)密碼),甚至造成該主機(jī)及其所在的網(wǎng)絡(luò)癱瘓���。
二�、常用的網(wǎng)絡(luò)防御技術(shù)
在浩瀚的網(wǎng)絡(luò)世界里�,當(dāng)在用黑客技術(shù)攻擊別人時(shí),說不定自己也正在被某個(gè)黑客當(dāng)作攻擊目標(biāo)���。只有將黑客有可能攻擊的弱點(diǎn)保護(hù)起來��,才有可能保證自己“大本營”的安全���。
下面針對(duì)黑客常用攻擊手段介紹幾個(gè)常用的防范方法。
1���、協(xié)議欺騙攻擊的防范措施
黑客攻擊手段中有一種是利用協(xié)議欺騙來竊取報(bào)文的����。要防止源IP地址欺騙的攻擊方式����,可采用如下幾種方法:
(1)加密法。對(duì)發(fā)送到網(wǎng)絡(luò)之前的數(shù)據(jù)包進(jìn)行加密���,在加密過程中要求適當(dāng)改變網(wǎng)絡(luò)配置���,但能夠保證發(fā)送數(shù)據(jù)的完整性�����、真實(shí)性和保密性���。
(2)過濾法。配置路由器使其拒絕網(wǎng)絡(luò)外部與本網(wǎng)段內(nèi)具有相同IP地址的連接請(qǐng)求��。而且當(dāng)數(shù)據(jù)包的IP地址不在本網(wǎng)段內(nèi)�����,路由器就不會(huì)將本網(wǎng)段主機(jī)的數(shù)據(jù)包發(fā)送出去���。但路由器過濾也只是對(duì)來自于內(nèi)部網(wǎng)絡(luò)的外來數(shù)據(jù)包起作用����,對(duì)于網(wǎng)絡(luò)內(nèi)存在的外部可信任主機(jī)就沒有辦法過濾了����。
2、拒絕服務(wù)攻擊的防范措施
在拒絕服務(wù)攻擊中�,SYN Flood攻擊是典型的攻擊方式,為了防止拒絕服務(wù)攻擊�,可以采取如下防御措施:
(1)在路由器上配置和調(diào)整限制SYN半開數(shù)據(jù)包的數(shù)量和個(gè)數(shù)。
(2)防止SYN數(shù)據(jù)段攻擊�����,可對(duì)系統(tǒng)設(shè)置相應(yīng)的內(nèi)核參數(shù)���,對(duì)超時(shí)的SYN請(qǐng)求連接數(shù)據(jù)包使系統(tǒng)強(qiáng)制復(fù)位�,縮短超時(shí)常數(shù)并加長等候隊(duì)列���,使得系統(tǒng)能夠及時(shí)處理無效的SYN請(qǐng)求數(shù)據(jù)包���。
(3)在路由器的前端做必要的TCP攔截,只有經(jīng)過完成3次握手過程的數(shù)據(jù)包才能通過該網(wǎng)段�,有效保護(hù)本網(wǎng)段的服務(wù)器不被其攻擊。
(4)管段可能產(chǎn)生無限序列的服務(wù)來防止信息淹沒攻擊����。
其實(shí)最好的方法就是找出正在進(jìn)行攻擊的機(jī)器和攻擊者,但這不太容易����。因?yàn)閷?duì)方一旦停止了攻擊行為��,就很難再發(fā)現(xiàn)其蹤跡了�����。唯一可行的方法就是在其進(jìn)行攻擊時(shí)����,采用回溯法根據(jù)路由器的信息和攻擊數(shù)據(jù)包特征來查找攻擊源頭����。
3、網(wǎng)絡(luò)嗅探的防范措施
對(duì)于使用網(wǎng)絡(luò)嗅探的方法檢測(cè)自己系統(tǒng)的攻擊者�����,可以采用如下措施進(jìn)行防范:
(1)網(wǎng)絡(luò)分段���。一組共享底層和線路機(jī)器(如交換機(jī)��、動(dòng)態(tài)集線器和網(wǎng)橋等設(shè)備)可以組成一個(gè)網(wǎng)絡(luò)段���。在一個(gè)網(wǎng)絡(luò)段中可以對(duì)數(shù)據(jù)流進(jìn)行限制,從而達(dá)到防止嗅探工具的目的�����。
(2)加密����。可以對(duì)數(shù)據(jù)流中的部分?jǐn)?shù)據(jù)信息進(jìn)行加密��,也可以對(duì)應(yīng)用層加密�����,不過應(yīng)用層的加密將使大部分網(wǎng)絡(luò)和操作系統(tǒng)相關(guān)的信息失去保護(hù)��。因此��,需要根據(jù)信息的安全級(jí)別及網(wǎng)絡(luò)安全程序選擇使用何種加密方式����。
(3)一次性密碼技術(shù)。這里所使用的密碼將不會(huì)在網(wǎng)絡(luò)中傳輸�,而是直接在傳輸兩端進(jìn)行字符串的匹配,因此���,客戶端可利用從服務(wù)器上得到的Challenge和自身密碼����,計(jì)算出一個(gè)字符串并將其返回給服務(wù)器,服務(wù)器利用比較算法對(duì)其進(jìn)行匹配���,如果匹配將允許建立連接�,所有的Challenge和字符串都只能使用一次��。
(4)禁止雜錯(cuò)節(jié)點(diǎn)���。防止IBM兼容機(jī)進(jìn)行嗅探可以安裝不支持雜錯(cuò)的網(wǎng)卡����。
4�����、緩沖區(qū)溢出攻擊的防范措施
緩沖區(qū)溢出是屬于系統(tǒng)攻擊的手段���,主要是通過向程序的緩沖區(qū)寫入冗長的內(nèi)容達(dá)到使緩沖區(qū)溢出限制的目的�,從而破壞程序的堆棧,使程序轉(zhuǎn)而執(zhí)行其他指令���,進(jìn)而達(dá)到攻擊的目的�����。
對(duì)緩沖區(qū)溢出攻擊的防御可以采用如下幾種方法:
(1)程序指針檢查。在使用指針被引用之前先檢測(cè)該程序指針是否被發(fā)生了改變��。只要系統(tǒng)事先檢測(cè)到指針的改變�,此指針將不會(huì)被使用。
(2)堆棧保護(hù)��。這是提供程序指針完成性檢測(cè)的一種編譯器技術(shù)�,在程序指針堆棧中函數(shù)返回的地址后面追加一些特殊的字節(jié),在函數(shù)返回時(shí)先檢測(cè)這些附加的字節(jié)是否被改動(dòng)����,因此,這種攻擊很容易在函數(shù)返回前被檢測(cè)到����。但如果攻擊者預(yù)見到這些附加字節(jié),并能在溢出過程中制造出�����,攻擊者就可以跳過堆棧的保護(hù)測(cè)試了。
(3)數(shù)組邊界檢查�。通過檢測(cè)數(shù)組的操作是否在正確范圍內(nèi)進(jìn)行,來檢測(cè)是否被緩沖區(qū)溢出攻擊�。目前主要使用的集中檢查方法有:Compaq編譯器檢查、Jones&Kelly C數(shù)組邊界檢查�����、Purify存儲(chǔ)器存取檢查等�。
來源: 計(jì)算機(jī)與網(wǎng)絡(luò)安全
