网络安全讲义.docx
《网络安全讲义.docx》由会员分享,可在线阅读,更多相关《网络安全讲义.docx(39页珍藏版)》请在冰豆网上搜索。
网络安全讲义
拒绝服务攻击
DoS(DenialOfService),拒绝服务的缩写,是指故意攻击网络协议实现的缺陷或直接通过野蛮手段耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务,使目标系统停止响应甚至崩溃。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。
这种攻击会导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。
大多数的DoS攻击是需要相当大的带宽的,而以个人为单位的黑客没有可用的高带宽资源。
为了克服这个缺点,DoS攻击者开发了分布式的攻击。
攻击者利用工具集合许多的网络带宽来同时对同一个目标发动大量的攻击请求,这就是DDOS(DistributedDenialOfService)攻击。
可以说DDoS攻击是由黑客集中控制发动的一组DoS攻击的集合,这种方式被认为是最有效的攻击形式,并且非常难以抵挡。
如何防止DoS/DDoS攻击
各种DoS攻击软件都可以很轻松地从Internet上获得,DoS攻击给飞速发展的Internet网络安全带来重大的威胁。
然而从某种程度上可以说,DoS攻击永远不会消失并且从技术上目前没有根本的解决办法。
面对凶多吉少的DoS险滩,我们该如何应付呢?
让我们首先对造成DoS攻击威胁的技术问题作一下总结。
DoS攻击可以说是如下原因造成的。
1.软件弱点造成的漏洞。
这包含在操作系统或应用程序中与安全相关的系统缺陷,这些缺陷大多是由于错误的程序编制,粗心的源代码审核,无心的副效应或一些不适当的绑定所造成的。
由于使用的软件几乎完全依赖于开发商,所以对于由软件引起的漏洞只能依靠打补丁来弥补。
2.错误配置也会成为系统的安全隐患。
这些错误配置通常发生在硬件装置、服务器系统或者应用程序中,大多是由于一些没经验、不负责任员工或者错误的理论所造成。
因此我们必须保证对网络中的路由器、交换机等网络连接设备和服务器系统都进行正确的配置,这样才会减小这些错误发生的可能性。
3.重复请求导致过载的拒绝服务攻击。
当对资源的重复请求大大超过资源的支持能力时就会造成拒绝服务攻击。
要避免系统遭受DoS攻击,从前两点来看,网络管理员要积极谨慎地维护整个系统,确保无安全隐患和漏洞;而针对第三点的恶意攻击方式则需要安装防火墙等安全设备过滤DoS攻击,同时强烈建议网络管理员定期查看安全设备的日志,及时发现对系统存在安全威胁的行为。
DDOS网络攻击是我们最常见的问题了,要防止DDOS网络攻击,首先就要了解其攻击的方式。
1.Synflood:
该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYNACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
2.Smurf:
该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。
子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
3.Land-based:
攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
4.PingofDeath:
根据TCP/IP的规范,一个包的长度最大为65536字节。
尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。
当一个主机收到了长度大于65536字节的包时,就是受到了PingofDeath攻击,该攻击会造成主机的宕机。
5.Teardrop:
IP数据包在网络传递时,数据包可以分成更小的片段。
攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。
第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。
为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。
6.PingSweep:
使用ICMPEcho轮询多个主机。
7.Pingflood:
该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。
网络攻击方面的术语解释2008-02-1417:
55DDOS:
DDOS的中文名叫分布式拒绝服务攻击,俗称洪水攻击。
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
被攻击主机上有大量等待的TCP连接,网络中充斥着大量的无用的数据包,源地址为假,制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯,利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求,严重时会造成系统死机。
Worm:
网络蠕虫病毒,为了尽量减少蠕虫病毒在网络上的传播,现在常常配置ACL,把已知的蠕虫病毒常用的一些端口给封掉。
蠕虫也在计算机与计算机之间自我复制,但蠕虫病毒可自动完成复制过程,因为它接管了计算机中传输文件或信息的功能。
一旦计算机感染蠕虫病毒,蠕虫即可独自传播。
但最危险的是,蠕虫可大量复制。
例如,蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本,联系人的计算机也将执行同样的操作,结果造成多米诺效应(网络通信负担沉重),业务网络和整个Internet的速度都将减慢。
IPSpoof:
即IP电子欺骗,我们可以说是一台主机设备冒充另外一台主机的IP地址,与其它设备通信,从而达到某种目的技术。
在TCP三次握手过程中实现,黑客主机可以假装TRUST的ip向TARget发送请求连接报文,target响应(在这个过程中,黑客主机必须使用DDOS等拒绝服务攻击使trust主机无法接受target的包,而同时黑客主机又必须猜测target发送的响应包的内容以便向target发送确认报文,与target建立连接)。
SYNFlood:
是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
发生在Tcp连接握手过程。
SocialEngineering:
社会工程攻击是一种利用"社会工程学"来实施的网络攻击行为。
最近流行的免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等,都是近来社会工程学的代表应用。
Honeybot:
僵尸网络跟踪工具。
HoneyBOT是一款能够在网络上模仿超过1000个易受攻击的服务的Windows蜜罐程序,可以捕获和记录入侵和袭击企图。
它运行于Windows2000及以上版本,是AtomicSfotwareSolutions公司的产品。
ShellCode:
Shellcode实际是一段代码(也可以是填充数据),是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。
另外,Shellcode一般是作为数据发送给受攻击服务的。
BruteAttack:
蛮力攻击就是我们常说的穷举法。
SQL注入攻击
什么是SQL注入呢?
简单的说也就是攻击者通过黑盒测试的方法查询到目标网站脚本存在过滤不严,那么攻击者就可以利用某些特殊构造的SQL语句插入SQL的特殊字符和指令,提交一段数据库查询代码,通过在IE浏览器访问直接查询管理员的用户口令等等。
或者利用数据库的一些特性进行权限提升等等,这就是我们常说的sqlinjection也就是SQL注入。
我们来看一下的代码:
<%
dimID
dimrs,sql
ID=request("id")//从客户端获取ID的值
sql="select*fromInfowhereID="&ID//把查询语句赋值给SQL变量
Setrs=Server.CreateObject("ADODB.Recordset")//创建记录对象
rs.opensql,conn,1,1//执行查询语句
ifnot(rs.eofandrs.bof)then//判断记录是否存在
%>
如果程序员在网站的某一程序,比如vite.asp里有如上语句。
那么我们可以清楚的看到ID没有经过任何过滤便放入到SQL查询语句当中,注入漏洞产生。
那么我们可以构造地址为http:
//127.0.0.1/vite.asp?
id=1的地址来进行SQL注射攻击。
SQL注射为目前WEB应用的最重要的威胁。
据了解,90%的企业网站被攻险都是因为SQL注入引起的。
顾名思义就是从旁注入,也就是利用主机上面的一个虚拟站点进行渗透此类手法多出现与虚拟主机站点。
如一个网站本身程序非常安全,攻击者没有任何下手的地方,那么攻击者可以通过入侵同服务器的另外一个站点,然后提升权限从而达到入侵目标站的目的。
防御方法:
尽量选择单独服务器或者服务器权限设置比较好的虚拟机。
跨站攻击XSS又叫CSS(CrossSiteScript)
跨站脚本攻击。
它指的是恶意攻击者向Web面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码被执行,从而达到攻击者的特殊目的。
XSS属于被动式的攻击,因为其被动且好利用,所以许多人经常忽略其危害性。
一般来说跨站最容易出现的地方在网站的留言版块.攻击者可以构造如
的语句。
稍懂JS的人知道如果程序员在编写代码时没有过滤掉如
传统的跨站利用方式一般都是攻击者首先构造一个网页,然后在攻击者的另一个空间里面放一个收集cookie的页面接着结合其他技术让用户打开跨站页面以便盗取用户的cookie从而进行攻击。
如当攻击者要渗透一个站点,攻击者可能首先使简单的HTML标签如
(粗体),(斜体)或(下划线)
或者他可能尝试简单的script标签如
来检测,这样也是很容易检测出跨站漏洞。
然而,高明点的攻击者可能用它的hex值替换整个字符串。
这样