国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

面試中遇到過這樣的問題：說說網(wǎng)絡(luò)中常見的攻擊方式和防御措施。
今天我上網(wǎng)搜了一下資料，給大家看看。

常見攻擊類型和特征

攻擊特征是攻擊的特定指紋。入侵監(jiān)測系統(tǒng)和網(wǎng)絡(luò)掃描器就是根據(jù)這些特征來識別和防范攻擊的。下面簡要回顧一些特定地攻擊滲透網(wǎng)絡(luò)和主機的方法。

常見的攻擊方法

你也許知道許多常見的攻擊方法，下面列出了一些：

? 字典攻擊：黑客利用一些自動執(zhí)行的程序猜測用戶命和密碼，審計這類攻擊通常需要做全面的日志記錄和入侵監(jiān)測系統(tǒng)（IDS）。

? Man-in-the-middle攻擊：黑客從合法的傳輸過程中嗅探到密碼和信息。防范這類攻擊的有效方法是應(yīng)用強壯的加密。

? 劫持攻擊：在雙方進行會話時被第三方（黑客）入侵，黑客黑掉其中一方，并冒充他繼續(xù)與另一方進行會話。雖然不是個完全的解決方案，但強的驗證方法將有助于防范這種攻擊。

? 病毒攻擊：病毒是能夠自我復(fù)制和傳播的小程序，消耗系統(tǒng)資源。在審計過程中，你應(yīng)當安裝最新的反病毒程序，并對用戶進行防病毒教育。

? 非法服務(wù)：非法服務(wù)是任何未經(jīng)同意便運行在你的操作系統(tǒng)上的進程或服務(wù)。你會在接下來的課程中學(xué)到這種攻擊。

? 拒絕服務(wù)攻擊：利用各種程序（包括病毒和包發(fā)生器）使系統(tǒng)崩潰或消耗帶寬。

容易遭受攻擊的目標

最常遭受攻擊的目標包括路由器、數(shù)據(jù)庫、Web和FTP服務(wù)器，和與協(xié)議相關(guān)的服務(wù)，如DNS、WINS和SMB。本課將討論這些通常遭受攻擊的目標。

路由器

連接公網(wǎng)的路由器由于被暴露在外，通常成為被攻擊的對象。許多路由器為便于管理使用SNMP協(xié)議，尤其是SNMPv1，成為潛在的問題。許多網(wǎng)絡(luò)管理員未關(guān)閉或加密Telnet會話，若明文傳輸?shù)目诹畋唤厝?，黑客就可以重?span id="moiyehiw" class="t_tag" oncg="tagshow(event)" href="tag.php?name=%c5%e4%d6%c3">配置路由器，這種配置包括關(guān)閉接口，重新配置路由跳計數(shù)等等。物理安全同樣值得考慮。必須保證路由器不能被外人物理接觸到進行終端會話。

過濾Telnet

為了避免未授權(quán)的路由器訪問，你應(yīng)利用防火墻過濾掉路由器外網(wǎng)的telnet端口和SNMP[161,162]端口

技術(shù)提示：許多網(wǎng)絡(luò)管理員習(xí)慣于在配置完路由器后將Telnet服務(wù)禁止掉，因為路由器并不需要過多的維護工作。如果需要額外的配置，你可以建立物理連接。

路由器和消耗帶寬攻擊

最近對Yahoo、e-Bay等電子商務(wù)網(wǎng)站的攻擊表明迅速重新配置路由器的重要性。這些攻擊是由下列分布式拒絕服務(wù)攻擊工具發(fā)起的：

? Tribal Flood Network(TFN)

? Tribal Flood Network(TFN2k)

? Stacheldraht（TFN的一個變種）

? Trinoo（這類攻擊工具中最早為人所知的）

因為許多公司都由ISP提供服務(wù)，所以他們并不能直接訪問路由器。在你對系統(tǒng)進行審計時，要確保網(wǎng)絡(luò)對這類消耗帶寬式攻擊的反映速度。你將在后面的課程中學(xué)習(xí)如何利用路由器防范拒絕服務(wù)攻擊。

數(shù)據(jù)庫

黑客最想得到的是公司或部門的數(shù)據(jù)庫?，F(xiàn)在公司普遍將重要數(shù)據(jù)存儲在關(guān)系型或面向?qū)ο蟮臄?shù)據(jù)庫中，這些信息包括：

? 雇員數(shù)據(jù)，如個人信息和薪金情況。

? 市場和銷售情況。

? 重要的研發(fā)信息。

? 貨運情況。

黑客可以識別并攻擊數(shù)據(jù)庫。每種數(shù)據(jù)庫都有它的特征。如SQL Server使用1433/1434端口，你應(yīng)該確保防火墻能夠?qū)υ摲N數(shù)據(jù)庫進行保護。你會發(fā)現(xiàn)，很少有站點應(yīng)用這種保護，尤其在網(wǎng)絡(luò)內(nèi)部。

服務(wù)器安全

WEB和FTP這兩種服務(wù)器通常置于DMZ，無法得到防火墻的完全保護，所以也特別容易遭到攻擊。Web和FTP服務(wù)通常存在的問題包括：

? 用戶通過公網(wǎng)發(fā)送未加密的信息；

? 操作系統(tǒng)和服務(wù)存在眾所周知的漏洞導(dǎo)致拒絕服務(wù)攻擊或破壞系統(tǒng)；

? 舊有操作系統(tǒng)中以root權(quán)限初始運行的服務(wù)，一旦被黑客破壞，入侵者便可以在產(chǎn)生的命令解釋器中運行任意的代碼。

Web頁面涂改

近來，未經(jīng)授權(quán)對Web服務(wù)器進行攻擊并涂改缺省主頁的攻擊活動越來越多。許多企業(yè)、政府和公司都遭受過類似的攻擊。有時這種攻擊是出于政治目的。大多數(shù)情況下Web頁面的涂改意味著存在這入侵的漏洞。這些攻擊通常包括Man-in-the-middle攻擊（使用包嗅探器）和利用緩沖區(qū)溢出。有時，還包括劫持攻擊和拒絕服務(wù)攻擊。

郵件服務(wù)

廣泛使用的SMTP、POP3和IMAP一般用明文方式進行通信。這種服務(wù)可以通過加密進行驗證但是在實際應(yīng)用中通信的效率不高。又由于大多數(shù)人對多種服務(wù)使用相同的密碼，攻擊者可以利用嗅探器得到用戶名和密碼，再利用它攻擊其它的資源，例如Windows NT服務(wù)器。這種攻擊不僅僅是針對NT系統(tǒng)。許多不同的服務(wù)共享用戶名和密碼。你已經(jīng)知道一個薄弱環(huán)節(jié)可以破壞整個的網(wǎng)絡(luò)。FTP和SMTP服務(wù)通常成為這些薄弱的環(huán)節(jié)。

與郵件服務(wù)相關(guān)的問題包括：

? 利用字典和暴力攻擊POP3的login shell；

? 在一些版本中sendmail存在緩沖區(qū)溢出和其它漏洞；

? 利用E-mail的轉(zhuǎn)發(fā)功能轉(zhuǎn)發(fā)大量的垃圾信件

名稱服務(wù)

攻擊者通常把攻擊焦點集中在DNS服務(wù)上。由于DNS使用UDP，而UDP連接又經(jīng)常被各種防火墻規(guī)則所過濾，所以許多系統(tǒng)管理員發(fā)現(xiàn)將DNS服務(wù)器至于防火墻之后很困難。因此，DNS服務(wù)器經(jīng)常暴露在外，使它成為攻擊的目標。DNS攻擊包括：

? 未授權(quán)的區(qū)域傳輸；

? DNS 毒藥，這種攻擊是指黑客在主DNS服務(wù)器向輔DNS服務(wù)器進行區(qū)域傳輸時插入錯誤的DNS信息，一旦成功，攻擊者便可以使輔DNS服務(wù)器提供錯誤的名稱到IP地址的解析信息；

? 拒絕服務(wù)攻擊；

其它的一些名稱服務(wù)也會成為攻擊的目標，如下所示：

? WINS，“Coke”通過拒絕服務(wù)攻擊來攻擊沒有打補丁的NT系統(tǒng)。

? SMB服務(wù)（包括Windows的SMB和UNIX的Samba）這些服務(wù)易遭受Man-in-the-middle攻擊，被捕獲的數(shù)據(jù)包會被類似L0phtCrack這樣的程序破解。

? NFS和NIS服務(wù)。這些服務(wù)通常會遭受Man-in-the-middle方式的攻擊。

在審計各種各樣的服務(wù)時，請考慮升級提供這些服務(wù)的進程。

審計系統(tǒng)BUG

作為安全管理者和審計人員，你需要對由操作系統(tǒng)產(chǎn)生的漏洞和可以利用的軟件做到心中有數(shù)。早先版本的Microsoft IIS允許用戶在地址欄中運行命令，這造成了IIS主要的安全問題。其實，最好的修補安全漏洞的方法是升級相關(guān)的軟件。為了做到這些，你必須廣泛地閱讀和與其他從事安全工作的人進行交流，這樣，你才能跟上最新的發(fā)展。這些工作會幫助你了解更多的操作系統(tǒng)上的特定問題。

雖然大多數(shù)的廠商都為其產(chǎn)品的問題發(fā)布了修補方法，但你必須充分理解補上了哪些漏洞。如果操作系統(tǒng)或程序很復(fù)雜，這些修補可能在補上舊問題的同時又開啟了新的漏洞。因此，你需要在實施升級前進行測試。這些測試工作包括在隔離的網(wǎng)段中驗證它是否符合你的需求。當然也需要參照值得信賴的網(wǎng)絡(luò)刊物和專家的觀點。

審計Trap Door和Root Kit

Root kit是用木馬替代合法程序。Trap Door是系統(tǒng)上的bug，當執(zhí)行合法程序時卻產(chǎn)生了非預(yù)期的結(jié)果。如老版本的UNIX sendmail，在執(zhí)行debug命令時允許用戶以root權(quán)限執(zhí)行腳本代碼，一個收到嚴格權(quán)限控制的用戶可以很輕易的添加用戶賬戶。

雖然root kit通常出現(xiàn)在UNIX系統(tǒng)中，但攻擊者也可以通過看起來合法的程序在Windows NT中置入后門。象NetBus,BackOrifice和Masters of Paradise等后門程序可以使攻擊者滲透并控制系統(tǒng)。木馬可以由這些程序產(chǎn)生。如果攻擊者夠狡猾，他可以使這些木馬程序避開一些病毒檢測程序，當然用最新升級的病毒檢測程序還是可以發(fā)現(xiàn)它們的蹤跡。在對系統(tǒng)進行審計時，你可以通過校驗分析和掃描開放端口的方式來檢測是否存在root kit等問題。

審計和后門程序

通常，在服務(wù)器上運行的操作系統(tǒng)和程序都存在代碼上的漏洞。例如，最近的商業(yè)Web瀏覽器就發(fā)現(xiàn)了許多安全問題。攻擊者通常知道這些漏洞并加以利用。就象你已經(jīng)知道的RedButton，它利用了Windows NT的漏洞使攻擊者可以得知缺省的管理員賬號，即使賬號的名稱已經(jīng)更改。后門（back door）也指在操作系統(tǒng)或程序中未記錄的入口。程序設(shè)計人員為了便于快速進行產(chǎn)品支持有意在系統(tǒng)或程序中留下入口。不同于bug，這種后門是由設(shè)計者有意留下的。例如，像Quake和Doom這樣的程序含有后門入口允許未授權(quán)的用戶進入游戲安裝的系統(tǒng)。雖然看來任何系統(tǒng)管理員都不會允許類似的程序安裝在網(wǎng)絡(luò)服務(wù)器上，但這種情況還是時有發(fā)生。

從后門程序的危害性，我們可以得出結(jié)論，在沒有首先閱讀資料和向值得信賴的同事咨詢之前不要相信任何新的服務(wù)或程序。在你進行審計時，請花費一些時間仔細記錄任何你不了解它的由來和歷史的程序。

審計拒絕服務(wù)攻擊

Windows NT 易遭受拒絕服務(wù)攻擊，主要是由于這種操作系統(tǒng)比較流行并且沒有受到嚴格的檢驗。針對NT服務(wù)的攻擊如此頻繁的原因可以歸結(jié)為：發(fā)展勢頭迅猛但存在許多漏洞。在審計Windows NT網(wǎng)絡(luò)時，一定要花時間來驗證系統(tǒng)能否經(jīng)受這種攻擊的考驗。打補丁是一種解決方法。當然，如果能將服務(wù)器置于防火墻的保護之下或應(yīng)用入侵監(jiān)測系統(tǒng)的話就更好了。通常很容易入侵UNIX操作系統(tǒng)，主要因為它被設(shè)計來供那些技術(shù)精湛而且心理健康的人使用。在審計UNIX系統(tǒng)時，要注意Finger服務(wù)，它特別容易造成緩沖區(qū)溢出。

緩沖區(qū)溢出

緩沖區(qū)溢出是指在程序重寫內(nèi)存塊時出現(xiàn)的問題。所有程序都需要內(nèi)存空間和緩沖區(qū)來運行。如果有正確的權(quán)限，操作系統(tǒng)可以為程序分配空間。C和C++等編程語言容易造成緩沖區(qū)溢出，主要因為它們不先檢查是否有存在的內(nèi)存塊就直接調(diào)用系統(tǒng)內(nèi)存。一個低質(zhì)量的程序會不經(jīng)檢查就重寫被其它程序占用的內(nèi)存，而造成程序或整個系統(tǒng)死掉，而留下的shell有較高的權(quán)限，易被黑客利用運行任意代碼。

據(jù)統(tǒng)計，緩沖區(qū)溢出是當前最緊迫的安全問題。

Telnet的拒絕服務(wù)攻擊

Windows中的Telnet一直以來都是網(wǎng)絡(luò)管理員們最喜愛的網(wǎng)絡(luò)實用工具之一，但是一個新的漏洞表明，在Windows2000中Telnet在守護其進程時，在已經(jīng)被初始化的會話還未被復(fù)位的情況下很容易受到一種普通的拒絕服務(wù)攻擊。Telnet連接后，在初始化的對話還未被復(fù)位的情況下，在一定的時間間隔之后，此時如果連接用戶還沒有提供登錄的用戶名及密碼，Telnet的對話將會超時。直到用戶輸入一個字符之后連接才會被復(fù)位。如果惡意用戶連接到Windows2000的Telnet守護進程中，并且對該連接不進行復(fù)位的話，他就可以有效地拒絕其他的任何用戶連接該Telnet服務(wù)器，主要是因為此時Telnet的客戶連接數(shù)的最大值是1。在此期間任何其他試圖連接該Telnet服務(wù)器的用戶都將會收到如下錯誤信息：

Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection

察看“列出當前用戶”選項時并不會顯示超時的會話，因為該會話還沒有成功地通過認證。

Windows NT的TCP port 3389存在漏洞

Windows NT Server 4.0 終端服務(wù)器版本所作的 DoS 攻擊。這個安全性弱點讓遠端使用者可以迅速的耗盡 Windows NT Terminal Server 上所有可用的內(nèi)存，造成主機上所有登陸者斷線，并且無法再度登入。

說明：

1. Windows NT Server 4.0 終端服務(wù)器版本在 TCP port 3389 監(jiān)聽終端連接 (terminal connection)，一旦某個 TCP 連接連上這個端口, 終端服務(wù)器會開始分配系統(tǒng)資源，以處理新的客戶端連接，并作連接的認證工作。

2. 此處的漏洞在于：在認證工作完成前，系統(tǒng)需要撥出相當多的資源去處理新的連 接，而系統(tǒng)并未針對分配出去的資源作節(jié)制。因此遠端的攻擊者可以利用建立大 量 TCP 連接到 port 3389 的方法，造成系統(tǒng)存儲體配置達到飽和。

3. 此時服務(wù)器上所有使用者連接都會處于超時狀態(tài)，而無法繼續(xù)連接到服務(wù)器上，遠端攻擊者仍能利用一個僅耗用低頻寬的程式，做出持續(xù)性的攻擊，讓此 服務(wù)器處於最多記憶體被耗用的狀態(tài)，來避免新的連接繼續(xù)產(chǎn)生。

4. 在國外的測試報告中指出，長期持續(xù)不斷針對此項弱點的攻擊，甚至可以導(dǎo)致服務(wù)器持續(xù)性當機，除非重新開機，服務(wù)器將無法再允許新連接的完成。

解決方案：

更詳細資料請參考 Microsoft 網(wǎng)站的網(wǎng)址：

http://www.microsoft.com/security/bulletins/ms99-028.asp.

防范拒絕服務(wù)攻擊

你可以通過以下方法來減小拒絕服務(wù)攻擊的危害：

? 加強操作系統(tǒng)的補丁等級。

? 如果有雇員建立特定的程序，請?zhí)貏e留意代碼的產(chǎn)生過程。

? 只使用穩(wěn)定版本的服務(wù)和程序。

審計非法服務(wù)，特洛伊木馬和蠕蟲

非法服務(wù)開啟一個秘密的端口，提供未經(jīng)許可的服務(wù)，常見的非法服務(wù)包括：

? NetBus

? BackOrifice 和 BackOrifice 2000

? Girlfriend

? 冰河2.X

? 秘密的建立共享的程序

許多程序?qū)⒉煌姆欠ǚ?wù)聯(lián)合起來。例如，BackOrifice2000允許你將HTTP服務(wù)配置在任意端口。你可以通過掃描開放端口來審計這類服務(wù)，確保你了解為什么這些端口是開放的。如果你不知道這些端口的用途，用包嗅探器和其它程序來了解它的用途。

技術(shù)提示：不要混淆非法服務(wù)和木馬。木馬程序通常包含非法服務(wù)，而且，木馬程序還可以包含擊鍵記錄程序，蠕蟲或病毒。

特洛伊木馬

特洛伊木馬是在執(zhí)行看似正常的程序時還同時運行了未被察覺的有破壞性的程序。木馬通常能夠?qū)⒅匾男畔魉徒o攻擊者。攻擊者可以把任意數(shù)量的程序植入木馬。例如，他們在一個合法的程序中安放root kit或控制程序。還有一些通常的策略是使用程序來捕獲密碼和口令的hash值。類似的程序可以通過E-mail把信息發(fā)送到任何地方。

審計木馬

掃描開放端口是審計木馬攻擊的途徑之一。如果你無法說明一個開放端口用途，你也許就檢測到一個問題。所以，盡量在你的系統(tǒng)上只安裝有限的軟件包，同時跟蹤這些程序和服務(wù)的漏洞。許多TCP/IP程序動態(tài)地使用端口，因此，你不應(yīng)將所有未知的端口都視為安全漏洞。在建立好網(wǎng)絡(luò)基線后，你便可以確定哪些端口可能存在問題了。

蠕蟲

Melissa病毒向我們展示了TCP/IP網(wǎng)絡(luò)是如何容易遭受蠕蟲攻擊的。在你審計系統(tǒng)時，通常需要配置防火墻來排除特殊的活動。防火墻規(guī)則的設(shè)置超出了本術(shù)的范圍。但是，作為審計人員，你應(yīng)當對建議在防火墻上過濾那些從不信任的網(wǎng)絡(luò)來的數(shù)據(jù)包和端口有所準備。

蠕蟲靠特定的軟件傳播。例如，在2000年三月發(fā)現(xiàn)的Win32/Melting.worm蠕蟲只能攻擊運行Microsoft Outlook程序的Windows操作系統(tǒng)。這種蠕蟲可以自行傳播，癱瘓任何種類的Windows系統(tǒng)而且使它持續(xù)地運行不穩(wěn)定。

結(jié)合所有攻擊定制審計策略

攻擊者有兩個共同的特點。首先，他們將好幾種不同的方法和策略集中到一次攻擊中。其次，他們在一次攻擊中利用好幾種系統(tǒng)。綜合應(yīng)用攻擊策略可以增強攻擊的成功率。同時利用好幾種系統(tǒng)使他們更不容易被捕獲。

例如，在實施IP欺騙時，攻擊者通常會先實施拒絕服務(wù)攻擊以確保被攻擊主機不會建立任何連接。大多數(shù)使用Man-in-the-middle的攻擊者會先捕獲SMB的密碼，再使用L0phtCrack這樣的程序進行暴力破解攻擊。

滲透策略

你已經(jīng)了解到那些網(wǎng)絡(luò)設(shè)備和服務(wù)是通常遭受攻擊的目標和黑客活動的攻擊特征?，F(xiàn)在，請參考下列的一些場景。它們將有助于你在審計過程中關(guān)注那些設(shè)備和服務(wù)。請記住，將這些攻擊策略結(jié)合起來的攻擊是最容易成功的。

物理接觸

如果攻擊者能夠物理接觸操作系統(tǒng)，他們便可以通過安裝和執(zhí)行程序來使驗證機制無效。例如，攻擊者可以重啟系統(tǒng)，利用其它啟動盤控制系統(tǒng)。由于一種文件系統(tǒng)可以被另一種所破壞，所以你可以使用啟動盤獲得有價值的信息，例如有管理權(quán)限的賬號。

物理攻擊的簡單例子包括通過重新啟動系統(tǒng)來破壞Windows95或98的屏幕鎖定功能。更簡單的物理攻擊是該系統(tǒng)根本就沒有進行屏幕鎖定。

操作系統(tǒng)策略

近來，美國白宮的Web站點被一個缺乏經(jīng)驗的攻擊者黑掉。攻擊者偵查出該Web服務(wù)器運行的操作系統(tǒng)是Solaris 7。雖然Solaris 7被成為藝術(shù)級的操作系統(tǒng)，但管理員并沒有改變系統(tǒng)的缺省設(shè)置。雖然該站點的管理員設(shè)置了tripwire，但攻擊者還是使用phf/ufsrestore命令訪問了Web服務(wù)器。

較弱的密碼策略

上面白宮網(wǎng)站被黑的例子可能是由于該系統(tǒng)管理員使用FTP來升級服務(wù)器。雖然使用FTP來更新網(wǎng)站并沒有錯，但大多數(shù)FTP會話使用明文傳輸密碼。很明顯，該系統(tǒng)管理員并沒有意識到這種安全隱患。又由于大多數(shù)系統(tǒng)管理員在不同的服務(wù)上使用相同的密碼，這使攻擊者能夠獲得系統(tǒng)的訪問權(quán)。更基本的，你可以保證/etc/passwd文件的安全。

NetBIOS Authentication Tool（NAT）

當攻擊者以WindowsNT為目標時，他們通常會使用NetBIOS Authentication Tool（NAT）來測試弱的口令。這個程序可以實施字典攻擊。當然它也有命令行界面，這種界面的攻擊痕跡很小。而且命令行界面的程序也很好安裝和使用。在使用NAT時，你必須指定三個文本文件和IP地址的范圍。當然，你也可以指定一個地址。NAT使用兩個文本文件來實施攻擊而第三個來存儲攻擊結(jié)果。第一個文本文件包含一個用戶列表，第二個文件中是你輸入的猜測密碼。

當使用命令行版本時，語法格式為：


nat ?Cu username.txt ?Cp passwordlist.txt ?Co outputfile.txt

即使服務(wù)器設(shè)置了密碼的過期策略和鎖定，攻擊者還是可以利用NAT反復(fù)嘗試登錄來騷擾管理員。通過簡單地鎖定所有已知的賬號，攻擊者會極大地影響服務(wù)器的訪問，這也是一些系統(tǒng)管理員不強行鎖定賬號的原因。

到此為止，你已經(jīng)學(xué)習(xí)了一些外部攻擊。然而，對于管理員來說最緊迫的是大多數(shù)公司都存在不好的安全策略。如果安全策略很弱或干脆沒有安全策略，通常會導(dǎo)致弱的密碼和系統(tǒng)策略。通常，公司并不采取簡單的預(yù)防措施，比如需要非空的或有最小長度要求的密碼。忽略這些限制會給攻擊者留下很大的活動空間。

不論你的操作系統(tǒng)采取何種文件系統(tǒng)（FAT，NTFS或NFS），每種系統(tǒng)都有它的缺陷。例如，缺省情況下NTFS在文件夾和共享創(chuàng)建之初everyone組可完全控制。由于它是操作系統(tǒng)的組成部分（Windows NT），因此也成為許多攻擊的目標。NFS文件系統(tǒng)可以共享被遠程系統(tǒng)掛接，因此這也是攻擊者入侵系統(tǒng)的途徑之一。