第四章 网络入侵工具分类Word格式.docx
《第四章 网络入侵工具分类Word格式.docx》由会员分享,可在线阅读,更多相关《第四章 网络入侵工具分类Word格式.docx(50页珍藏版)》请在冰豆网上搜索。
诸如这些支持SMTP、POP等服务的应用程序,都有其内在的安全隐患。
给入侵者开了一道后门。
如WEB服务器是企业常用的服务。
可惜的是,WEB服务器所采用的HTTP服务其安全性并不高。
现在通过攻击WEB服务器而进行远程访问入侵的案例多如牛毛。
入侵者通过利用WEB服务器和操作系统存在的缺陷和安全漏洞,可以轻易的控制WEB服务器并得到WEB内容的访问权限。
如此,入侵者得手之后,就可以任意操作数据了。
即可以在用户不知情的情况下秘密窃取数据,也可以对数据进行恶意更改。
针对这些特定服务的攻击,比较难于防范。
但是,并不是一点对策都没有。
采取一些有效的防治措施,仍然可以在很大程度上避免远程访问的入侵。
如采取如下措施,可以起到一些不错的效果。
1.采用一些更加安全的服务。
就拿WEB服务器来说吧。
现在支持WEB服务器的协议主要有两种,分别为HTTP与HTTPS。
其中HTTP协议的漏洞很多,很容易被入侵者利用,成为远程入侵企业内部网络的跳板。
而HTTPS则相对来说安全的多。
因为在这个协议中,加入了一些安全措施,如数据加密技术等等。
在一定程度上可以提高WEB服务器的安全性。
所以,网络安全人员在必要的时候,可以采用一些比较安全的协议。
当然,天下没有免费的午餐。
服务器要为此付出比较多的系统资源开销。
2.对应用服务器进行升级。
其实,很多远程服务攻击,往往都是因为应用服务器的漏洞所造成的。
如常见的WEB服务攻击,就是HTTP协议与操作系统漏洞一起所产生的后果。
如果能够及时对应用服务器操作系统进行升级,把操作系统的漏洞及时补上去,那么就可以提高这些服务的安全性,防治他们被不法之人所入侵。
3.选择一些有身份鉴别功能的服务。
如TFTP、FTP都是用来进行文件传输的协议。
可以让企业内部用户与外部访问者之间建立一个文件共享的桥梁。
可是这两个服务虽然功能类似,但是安全性上却差很远。
TFTP是一个不安全的协议,他不提供身份鉴别功能。
也就是说,任何人只要能够连接到TFTP服务器上,就可以进行访问。
而FTP则提供了一定的身份验证功能。
虽然其也允许用户匿名访问,但是只要网络安全人员限制用户匿名访问,那么就可以提高文件共享的安全性。
4.1.2针对远程节点的攻击
远程节点的访问模式是指一台远程计算机连接到一个远程访问服务器上,并访问其上面的应用程序。
如我们可以通过Telent或者SSH技术远程登陆到路由器中,并执行相关的维护命令,还可以远程启动某些程序。
在远程节点的访问模式下,远程服务器可以为远程用户提供应用软件和本地存储空间。
现在远程节点访问余越来越流行。
不过,其安全隐患也不小。
一是增强了网络设备等管理风险。
因为路由器、邮箱服务器等等都允许远程管理。
若这些网络设备的密码泄露,则即使在千里之外的入侵者,仍然可以通过远程节点访问这些设备。
更可怕的是,可以对这些设备进行远程维护。
如入侵者可以登陆到路由器等关键网络设备,并让路由器上的安全策略失效。
如此的话,就可以为他们进一步攻击企业内部网络扫清道路。
而有一些人即使不攻击企业网络,也会搞一些恶作剧。
二是采取一些比较安全的远程节点访问方法。
如对于路由器或者其他应用服务器进行远程访问的话,往往即可以通过HTTP协议,也可以通过SSH协议进行远程节点访问。
他们的功能大同小异。
都可以远程执行服务器或者路由器上的命令、应用程序等等。
但是,他们的安全性上就有很大的差异。
Telent服务其安全性比较差,因为其无论是密码还是执行代码在网络中都是通过明文传输的。
如此的话,其用户名与密码泄露的风险就比较大。
如别有用心的入侵者可以通过网络侦听等手段窃取网络中明文传输的用户名与密码。
这会给这些网络设备带来致命的打击。
而SSH协议则相对来说比较安全,因为这个服务在网络上传输的数据都是加密处理过的。
它可以提高远程节点访问的安全性。
像Cisco公司提供的网络设备,如路由器等等,还有Linux基础上的服务器系统,默认情况下,都支持SSH服务。
而往往会拒绝启用Telent服务等等。
这也主要是出于安全性的考虑。
不过基于微软的服务器系统,其默认情况下,支持Telent服务。
不过,笔者建议,大家还是采用SSH服务为好。
其安全性更高。
4.1.3针对远程控制的攻击
远程控制是指一个远程用户控制一台位于其他地方的计算机。
这台计算机可能是有专门用途的服务器系统,也可能是用户自己的计算机。
他跟远程节点访问类似,但又有所不同。
当用户通过远程节点访问服务器,则用户自己并不知道有人在访问自己。
而通过远程控制访问的话,则在窗口中可以直接显现出来。
因为远程用户使用的计算机只是作为键盘操作和现实之用,远程控制限制远程用户只能够使用驻留在企控制的计算机上的软件程序。
如像QQ远程协助,就是远程控制的一种。
相对来说,远程控制要比节点访问安全性高一点。
如一些远程控制软件往往会提供加强的审计和日志功能。
有些远程控制软件,如QQ远程协助等,他们还需要用户提出请求,对方才能够进行远程控制。
但是,其仍然存在一些脆弱性。
一是只需要知道用户名与口令,就可以开始一个远程控制会话。
也就是说,远程控制软件只会根据用户名与密码来进行身份验证。
所以,如果在一些关键服务器上装有远程控制软件,最好能够采取一些额外的安全措施。
如Windows服务器平台上有一个安全策略,可以设置只允许一些特定的MAC地址的主机可以远程连接到服务器上。
通过这种策略,可以让只有网络管理人员的主机才能够进行远程控制。
无疑这个策略可以大大提高远程控制的安全性。
二是采用一些安全性比较高的远程控制软件。
一些比较成熟的远程控制软件,如PCAnyWhere,其除了远程控制的基本功能之外,还提供了一些身份验证方式以供管理员选择。
管理员可以根据安全性需求的不同,选择合适的身份验证方式。
另外,其还具有加强的审计与日志功能,可以详实的纪录远程控制所做的一些更改与访问的一些数据。
当我们安全管理人员怀疑远程控制被入侵者利用时,则可以通过这些日志来查询是否有入侵者侵入。
三是除非有特殊的必要,否则不要装或者开启远程控制软件。
即使采取了一些安全措施,其安全隐患仍然存在。
为此,除非特别需要,才开启远程控制软件。
用户在平时的时候,可以把一些应用服务器的远程控制软件关掉。
而出差或者休假的时候,再将其打开,以备不时之需。
这么处理虽然有点麻烦,但是可以提高关键应用服务器的安全。
4.2网络监听
在网络中,当信息进行传播的时候,可以利用工具,将网络接口设置在监听的模式,便可将网络中正在传播的信息截获或者捕获到,从而进行攻击。
4.2.1什么是网络监听
网络监听是黑客们常用的一种方法。
当成功地登录进一台网络上的主机,并取得了这台主机的超级用户的权限之后,往往要扩大战果,尝试登录或者夺取网络中其他主机的控制。
而网络监听则是一种最简单而且最有效的方法,它常常能轻易地获得用其他方法很难获得的信息。
在网络上,监听效果最好的地方是在网关、路由器、防火墙一类的设备处,通常由网络管理员来操作。
使用最方便的是在一个以太网中的任何一台上网的主机上,这是大多数黑客的做法。
4.2.2网络监听的原理
Ethernet协议的工作方式是将要发送的数据包发往连接在一起的所有主机。
在包头中包括有应该接收数据包的主机的正确地址,因为只有与数据包中目标地址一致的那台主机才能接收到信息包,但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么,主机都将可以接收到。
许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的,在协议的高层或者用户来看,当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机,或者当网络中的一台主机同外界的主机通信时,源主机将写有目的的主机IP地址的数据包发向网关。
但这种数据包并不能在协议栈的高层直接发送出去,要发送的数据包必须从TCP/IP协议的IP层交给网络接口,也就是所说的数据链路层。
网络接口不会识别IP地址的。
在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。
在祯头中,有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址,这个48位的地址是与IP地址相对应的,换句话说就是一个IP地址也会对应一个物理地址。
对于作为网关的主机,由于它连接了多个网络,它也就同时具备有很多个IP地址,在每个网络中它都有一个。
而发向网络外的祯中继携带的就是网关的物理地址。
Ethernet中填写了物理地址的祯从网络接口中,也就是从网卡中发送出去传送到物理的线路上。
如果局域网是由一条粗网或细网连接成的,那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。
再当使用集线器的时候,发送出去的信号到达集线器,由集线器再发向连接在集线器上的每一条线路。
这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。
当数字信号到达一台主机的网络接口时,正常状态下网络接口对读入数据祯进行检查,如果数据祯中携带的物理地址是自己的或者物理地址是广播地址,那么就会将数据祯交给IP层软件。
对于每个到达网络接口的数据祯都要进行这个过程的。
但是当主机工作在监听模式下的话,所有的数据祯都将被交给上层协议软件处理。
当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候,那么要是有一台主机处于监听模式,它还将可以接收到发向与自己不在同一个子网(使用了不同的掩码、IP地址和网关)的主机的数据包,在同一个物理信道上传输的所有信息都可以被接收到。
在UNIX系统上,当拥有超级权限的用户要想使自己所控制的主机进入监听模式,只需要向Interface(网络接口)发送I/O控制命令,就可以使主机设置成监听模式了。
而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。
在网络监听时,常常要保存大量的信息(也包含很多的垃圾信息),并将对收集的信息进行大量的整理,这样就会使正在监听的机器对其它用户的请求响应变的很慢。
同时监听程序在运行的时候需要消耗大量的处理器时间,如果在这个时候就详细的分析包中的内容,许多包就会来不及接收而被漏走。
所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。
分析监听到的数据包是很繁琐的事情。
因为网络中的数据包都非常之复杂。
两台主机之间连续发送和接收数据包,在监听到的结果中必然会加一些别的主机交互的数据包。
监听程序将同一TCP会话的包整理到一起就相当不容易了,如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。
Internet上那么多的协议,运行的话这个监听程序将会十分的庞大。
现在网络中所使用的协议都是较早前设计的,许多协议的实现都是基于一种非常友好的,通信的双方充分信任的基础。
在通常的网络环境之下,用户的信息包括口令都是以明文的方式在网上传输的,因此进行网络监听从而获得用户信息并不是一件难点事情,只要掌握有初步的TCP/IP协议知识就可以轻松的监听到你想要的信息的。
前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广域网中,但这个想法很快就被否定了。
如果真是这样的话想必网络将天下大乱了。
而事实上现在在广域网里也可以监听和截获到一些用户信息。
只是还不够明显而已。
在整个Internet中就更显得微不足道了。
4.3拒绝服务器攻击
拒绝服务器攻击,也叫分布式D.O.S攻击(DistributedDenialOfService)。
拒绝服务就是用超出被攻击目标处理能力的数据包消耗可用系统、宽带资源,致使网络服务瘫痪的一种攻击手段。
4.3.1什么是拒绝服务器攻击
拒绝服务(DoS)攻击从诞生起就成为黑客以及网络安全专家关注的焦点。
DoS的英文全称是DenialofServerice,也就是“拒绝服务”的意思。
从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单但又很有效的进攻方式。
它的目的就是拒绝服务访问,破坏组织的正常运行,最终它会使用户的部分Internet连接和网络系统失效。
DoS的攻击方式有很多种。
最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。
拒绝服务攻击一般都是恶意的,因为对任何人来说,没有任何正当理由来允许用户中断其他主机的服务。
世界上第一个著名的拒绝服务攻击是在1988年11月发生的Morris蠕虫事件,蠕虫导致了5000多台主机在好几小时内无法使用,在当时,对许多的学术和研究中心来说这是一场巨大的灾难。
但是对世界其他地方的影响非常小。
现在,一个严重的拒绝服务攻击很容易就能造成数百万美元的损失。
美国研究人员确定了网上拒绝服务攻击的发生频率,加利福尼亚大学圣迭哥分校的研究人员曾经表明,网上黑客每周发起的拒绝服务攻击超过了4000次,经常被攻击的目标包括A、美国在线和微软的Hotmail等知名商业网站。
但是许多个人用户和小型企业网站也在攻击的目标之列。
圣地亚哥超级电脑中心的互联网数据分析合作协会的高级研究员戴维·
摩尔说:
“这项研究为公众提供了有关网上拒绝服务攻击的定量分析数据。
”
随着技术的发展,拒绝服务攻击还引入了分布式的概念,由多台主机同时向一台主机进行拒绝服务攻击,这种攻击称为分布式拒绝服务攻击(DDoS)。
分布式拒绝服务器攻击这个概念是在2000年产生的。
在2000年2月7日,AT&
T研究员SteveBellovin发表了一个关于分布式拒绝服务器攻击的演讲,演讲中提到,。
现有的技术还没有很好的办法来解决分布式拒绝服务攻击。
随后Yahoo、eBay、Amazon、B、ZDnet、CNN.com和MSN.com等著名站点遭到的分布式拒绝服务器攻击充分说明了这一点。
即使到现在,拥有众多网络安全防范措施的网站和网络主机仍然无法彻底杜绝分布式拒绝服务攻击。
4.3.2拒绝服务攻击的原理
拒绝服务的攻击原理是:
攻击者首先通过比较常规的黑客手段侵入并控制某个网站之后,在该网站的服务器上安装并启动一个可由攻击者发出的特殊指令来进行控制的进程。
当攻击者吧攻击对象的IP地址作为指令下达给这些进程时,这些进程就开始对目标主机发起攻击。
这种方式可集中成百上千台服务器的宽带能力对某个特定目标实施攻击,所以在悬殊的宽带对比下,被攻击目标的剩余宽带会被迅速耗尽,从而导致该服务器的瘫痪。
拒绝服务器攻击是由人为或非人为发起的行动,这种攻击往往是针对TCP/IP协议中的某个弱点或系统存在的某些漏洞,对目标系统发起大规模进攻,致使攻击目标无法向用户提供正常的服务。
拒绝服务攻击简单有效,能够产生迅速的效果。
攻击者并不单纯为了进行服务攻击而攻击,往往是为了完成其他的攻击而必须做的。
4.3.3拒绝服务攻击的形式
典型的拒绝服务攻击有如下两种形式:
资源耗尽和资源过载。
当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击(例如,对已经满载的Web服务器进行过多的请求。
)拒绝服务攻击还有可能是由于软件的弱点或者对程序的错误配置造成的。
区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份,从而使得其他的用户无法享用该服务资源。
错误配置也会成为系统的安全隐患。
这些错误配置通常发生在硬件装置,系统或者应用程序中。
如果对网络中的路由器,防火墙,交换机以及其他网络连接设备都进行正确的配置会减小这些错误发生的可能性。
如果发现了这种漏洞应当请教专业的技术人员来修理这些问题。
4.3.4分布式拒绝服务攻击
分布式拒绝服务攻击(DDoS)是目前黑客经常采用而难以防范的攻击手段。
本节从概念开始详细介绍了这种攻击方式,着重描述了黑客是如何组织并发起的DDoS攻击,结合其中的SynFlood实例,大家可以对DDoS攻击有一个更形象的了解。
最后结合国内网络安全的现况探讨一些防御DDoS的实际手段。
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。
随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了-目标对恶意攻击包的"
消化能力"
加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
这时侯分布式的拒绝服务攻击手段(DDoS)就应运而生了。
在理解了DoS攻击以后,它的原理就很简单。
如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?
用100台呢?
DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。
在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。
而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
被DDoS攻击时的现象包括:
被攻击主机上有大量等待的TCP连接;
网络中充斥着大量的无用的数据包,源地址为假;
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求;
严重时会造成系统死机。
那么黑客是如何组织一次DDoS攻击的?
这里用"
组织"
这个词,是因为DDoS并不象入侵一台主机那样简单。
一般来说,黑客进行DDoS攻击时会经过这样的步骤:
1.搜集了解目标的情况
下列情况是黑客非常关心的情报:
被攻击目标主机数目、地址情况;
目标主机的配置、性能;
目标的带宽。
对于DDoS攻击者来说,攻击互联网上的某个站点,如,有一个重点就是确定到底有多少台主机在支持这个站点,一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。
以yahoo为例,一般会有下列地址都是提供服务的:
66.218.71.87
66.218.71.88
66.218.71.89
66.218.71.80
66.218.71.81
66.218.71.83
66.218.71.84
66.218.71.86
如果要进行DDoS攻击的话,应该攻击哪一个地址呢?
使66.218.71.87这台机器瘫掉,但其他的主机还是能向外提供www服务,所以想让别人访问不到的话,要所有这些IP地址的机器都瘫掉才行。
在实际的应用中,一个IP地址往往还代表着数台机器:
网站维护者使用了四层或七层交换机来做负载均衡,把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。
这时对于DDoS攻击者来说情况就更复杂了,他面对的任务可能是让几十台主机的服务都不正常。
所以说事先搜集情报对DDoS攻击者来说是非常重要的,这关系到使用多少台傀儡机才能达到效果的问题。
简单地考虑一下,在相同的条件下,攻击同一站点的2台主机需要2台傀儡机的话,攻击5台主机可能就需要5台以上的傀儡机。
但在实际过程中,有很多黑客并不进行情报的搜集而直接进行DDoS的攻击,这时候攻击的盲目性就很大了,效果如何也要靠运气。
其实做黑客也象网管员一样,是不能偷懒的。
2.占领傀儡机
黑客最感兴趣的是有下列情况的主机:
链路状态好的主机;
性能好的主机;
安全管理水平差的主机。
这一部分实际上是使用了另一大类的攻击手段:
利用形攻击。
这是和DDoS并列的攻击方式。
简单地说,就是占领和控制被攻击的主机。
取得最高的管理权限,或者至少得到一个有权限完成DDoS攻击任务的帐号。
对于一个DDoS攻击者来说,准备好一定数量的傀儡机是一个必要的条件,下面说一下他是如何攻击并占领它们的。
首先,黑客做的工作一般是扫描,随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器,象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞等等,这些都是黑客希望看到的扫描结果。
随后就是尝试入侵了。
黑客在占领了一台傀儡机后,除了上面说过留后门擦脚印这些基本工作之外,他会把DDoS攻击用的程序上载过去,一般是利用ftp。
在攻击机上,会有一个DDoS的发包程序,黑客就是利用它来向受害目标发送恶意攻击包的。
3.实际攻击
经过前2个阶段的精心准备之后,下一步黑客就要开始瞄准目标准备行动了。
前面的准备做得好的话,实际攻击过程反而是比较简单的。
黑客登录到做为控制台的傀儡机,向所有的攻击机发出命令:
"
预备~,瞄准~,开火!
。
这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令,一起向受害主机以高速度发送大量的数据包,导致它死机或是无法响应正常的请求。
黑客一般会以远远超出受害方处理能力的速度进行攻击,他们不会"
怜香惜玉"
老到的攻击者一边攻击,还会用各种手段来监视攻击的效果,在需要的时候进行一些调整。
简单些就是开个窗口不断地ping目标主机,在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。
4.3.5当前主要三种流行的DDOS攻击
1.SYN/ACKFlood攻击:
这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。
少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat-na命令会观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Pin
升级会员 