网络攻防.docx
《网络攻防.docx》由会员分享,可在线阅读,更多相关《网络攻防.docx(8页珍藏版)》请在冰豆网上搜索。
网络攻防
一、攻击手段及原理
1、拒绝服务(DenialofService,简称DoS)攻击是一种利用TCP/IP协议的弱点和系统存在的漏洞,对网络设备进行攻击的行为。
它以消耗网络带宽和系统资源为目的,对网络服务器发送大量“请求”信息,造成网络或服务器系统不堪重负,致使系统瘫痪而无法提供正常的网络服务。
常见的DoS攻击方法有:
SYNFlood攻击、Land攻击、Smurf攻击、UDP攻击等。
2、分布式拒绝服务(DistributedDenialofService,简称DDoS)攻击是在拒绝服务攻击的基础上产生的一种分布式、协作式的大规模拒绝服务攻击方式。
DDOS攻击的主要形式
①通过大量伪造的IP向某一固定目标发出高流量垃圾数据,造成网络拥塞,使被攻击主机无法与外界通信。
②利用被攻击主机提供的服务或传输协议上的缺陷,反复高速地发送对某特定服务的连接请求,使被攻击主机无法及时处理正常业务。
③利用被攻击主机所提供服务中数据处理上的缺陷,反复高速地发送畸形数据引发服务程序错误,大量占用系统资源,使被攻击主机处于假死状态,甚至导致系统崩溃。
3、ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
(1)简单的欺骗攻击:
这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由.
(2)交换环境的嗅探:
在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据.现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机.在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信.
(3)MACFlooding:
这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信
(4)基于ARP的DOS:
这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻击的同时,也不会影响到本机.
4、SQL注入攻击是黑客对数据库进行攻击的常用手段之一。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以市面的防火墙都不会对SQL注入发出警报,如果管理员没查看ⅡS日志的习惯,可能被入侵很长时间都不会发觉。
但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的SQL语句,从而成功获取想要的数据。
常用工具:
啊d注入工具、明小子、Pangolin、Sqlmap、NBSI2、Nc瑞士军刀。
5、电子邮件炸弹是一种让人厌烦的攻击。
传统的邮件炸弹大多只是简单的向邮箱内扔去大量的垃圾邮件,从而充满邮箱,大量的占用了系统的可用空间和资源。
使机器暂时无法正常工作。
过多的邮件垃圾往往会加剧网络的负载力和消耗大量的空间资源来储存它们,过多的垃圾信件还将导致系统的log文件变得很大,甚至有可能溢出文件系统,这样会给Unix、Windows等系统带来危险。
除了系统有崩溃的可能之外,大量的垃圾信件还会占用大量的CPU时间和网络带宽,造成正常用户的访问速度成了问题。
6、ftp漏洞攻击就是对用户的猜解和对的ftp服务器的溢出。
7、DHCP攻击攻击类型:
用户自己设置ip地址造成ip冲突、用户伪装成DHCP服务器、Dos用户不停地换mac造成dhcp地址耗尽。
8、DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。
原理:
如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。
DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。
主要欺骗形式:
hosts文件篡改、本机DNS劫持。
二、防御措施
1、拒绝服务以及分布式拒绝服务DoS攻击仅仅是破坏对方网络访问状态,不会进行实质性的入侵,对服务器和网络设备不构成致命伤害,但对于提供Web服务来说,该攻击方式仍然会造成比较大的损失。
因此在应对常见的DoS攻击时,路由器本身的配置信息非常重要,管理员可以通过以下几个方面,来防止不同类型的DoS攻击。
扩展访问列表是防止DoS攻击的有效工具,其中ShowIPaccess-list命令可以显示匹配数据包,数据包的类型反映了DoS攻击的种类,由于DoS攻击大多是利用了TCP协议的弱点,所以网络中如果出现大量建立TCP连接的请求,说明洪水攻击来了。
此时管理员可以适时的改变访问列表的配置内容,从而达到阻止攻击源的目的。
使用QoS也可以阻止DoS攻击,但不同的变量设置要针对不同的DoS攻击类型。
比如网络遭受远程僵尸疯狂的Ping攻击,此时就需要利用QoS的WFQ特征,让整个外部网络的访问队列更规整,削弱疯狂Ping攻击的权数。
如果遭受了洪水攻击却也启动WFQ特性,则效果不佳,这主要是由于数据包的独立性造成WFQ无法正确选择过滤,而总体的洪水流量不会因此而改变访问通道。
同样,比疯狂Ping攻击更可怕的DoS攻击类型——Smurf攻击来说,我们可以利用QoS的CAR特征来防御,通过限制ICMP数据包流量的速度,让其堵塞网络的目的无法达成。
如果用户的路由器具备TCP拦截功能,也能抵制DoS攻击。
在对方发送数据流时可以很好的监控和拦截,如果数据包合法,允许实现正常通信,否则,路由器将显示超时限制,以防止自身的资源被耗尽,说到底,利用设备规则来合理的屏蔽持续的、高频度的数据冲击是防止DoS攻击的根本。
更多是靠日常维护扫描以及应对攻击时的导流减轻一部分网络设备的压力。
确保所有服务器采用最新系统,并打上安全补丁。
计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
确保管理员对所有主机进行检查,而不仅针对关键主机。
这是为了确保管理员知道每个主机系统在运行什么?
谁在使用主机?
哪些人可以访问主机?
不然,即使黑客侵犯了系统,也很难查明。
确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。
Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统甚至是受防火墙保护的系统。
确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限。
禁止内部网通过Modem连接至PSTN系统。
否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为机密的数据
禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代。
SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。
此外,在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问!
限制在防火墙外与网络文件共享。
这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。
确保手头有一张最新的网络拓扑图。
这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
在防火墙上运行端口映射程序或端口扫描程序。
大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。
检查所有网络设备和主机/服务器系统的日志。
只要日志出现漏洞或时间出现变更,几乎可以肯定:
相关的主机安全受到了危胁。
2、ARP攻击
在客户机上进行网关IP及其MAC静态绑定,并修改导入如下注册
1禁止ICMP重定向报文
ICMP的重定向报文控制着Windows是否会改变路由表从而响应网络设备发送给它的ICMP重定向消息,这样虽然方便了用户,但是有时也会被他人利用来进行网络攻击,这对于一个计算机网络管理员来说是一件非常麻烦的事情。
通过修改注册表可禁止响应ICMP的重定向报文,从而使网络更为安全。
2禁止响应ICMP路由通告报文
“ICMP路由公告”功能可以使他人的计算机的网络连接异常、数据被窃听、计算机被用于流量攻击等,因此建议关闭响应ICMP路由通告报文。
在交换机上实现端口安全功能:
绑定端口MAC-IP
ARP个人防火墙
3、SQL注入攻击
从安全技术手段上来说,可以通过数据库防火墙实现对SQL注入攻击的防范,因为SQL注入攻击往往是通过应用程序来进攻,可以使用虚拟补丁技术实现对注入攻击的SQL特征识别,实现实时攻击阻断。
后台管理程序
禁止显示后台管理程序的人El链接,以避免黑客在信息搜集阶段通过人口链接攻入网站后台管理程序,进而获取管理员权限。
同时,设置的管理员的用户名和密码也要不可猜测,不能猜测得出或从某些信息中得出,并且要进行有限次登录失败锁定和定期更换。
避免建立文件上传程序或论坛程序
在网站中最好不要建立任何文件上传程序和论坛程序。
如果需要可以采用其它方式来进行实现。
即便保留文件上传程序,也应该对上传文件的用户进行身份认证机制,这样可以有效防止数据库注入攻击的发生。
而在论坛程序中,则应设置好上传文件的格式,只有图像文件才可以上传。
修改网页页面
通过检查网站程序,在需要防范注入的页面中,加入防止数据库注入的程序代码,例如对敏感字符或字符串的检查屏蔽错误信息等,于是这些页面就能达到防止注入的效果了,最后把它们都上传至服务器。
禁用危险命令
禁用Web服务器上默认的危险命令,例如wscript、cmd、ftp等。
因为这些命令具体较高危险等级,会导致黑客操作的不可知性。
如果需要执行这些命令时可复制到相应目录中。
修改网站程序中的数据库连接文件
在网站程序中找到数据库连接文件,对数据库连接文件作安全处理,且对数据的合法性做出检查,保证数据库在连接的过程中不存在安全隐患。
敏感信息加密
应对敏感信息进行加密,即在程序中采用AES、ECC或lISA等加密手段对密码等敏感信息加密。
也可以在常规的加密手段基础上增加其它的加密或隐藏方式,保证敏感信息不易被破解或被发现。
目录最小化权限设置
设置目录权限最小化,避免黑客通过不必要的权限更改目录。
并对静态网页目录和动态网页目录分别设置不同的权限,并分别通过不同的管理员进行管理,保证权限最小化。
尽量不分配写目录权限,即使分配也要把写目录的权限分配给安全级别较高的管理员。
隐藏好数据库各类名称
数据库的各类名称至关重要,如果数据库的名字泄漏会导致严重的威胁。
所以应为数据库命一个不可猜测的名字,并把放在目录下的数据库名隐藏起来,防止暴露使网站数据库的名字和位置一览无余。
4、电子邮件炸弹攻击
安装主流杀毒软件,不接受莫名其妙的邮件,慎重打开邮件附件。
5、ftp漏洞攻击
使用防火墙:
端口是计算机和外部网络相连的逻辑接口,也是计算机的第一道屏障,端口配置正确与否直接影响到主机的安全,一般来说,仅打开你需要使用的端口,将其他不需要使用的端口屏蔽掉会比较安全。
限制端口的方法比较多,可以使用第三方的个人防火墙,如天网个人防火墙等,这里只介绍Windows自带的防火墙设置方法。
(1)利用TCP/IP筛选功能
在Windows2000和WindowsXP中,系统都带有TCP/IP筛选功能,利用它可以简单地进行端口设置。
以WindowsXP为例,打开“本地连接”的属性,在“常规”选项中找到“Internet协议(TCP/IP)”,双击它打开该协议的属性设置窗口。
点击右下方的“高级”按钮,进入“高级TCP/IP设置”。
在“选项”中选中“TCP/IP筛选”并双击进入其属性设置。
这里我们可以设置系统只允许开放的端口,假如架设的FTP服务器端口为21,先选中“启用TCP/IP筛选(所有适配器)”,再在TCP端口选项中选择“只允许”,点“添加”,输入端口号21,确定即可。
这样,系统就只允许打开21端口。
要开放其他端口,继续添加即可。
这可以有效防止最常见的139端口入侵。
缺点是功能过于简单,只能设置允许开放的端口,不能自定义要关闭的端口。
如果你有大量端口要开放,就得一个个地去手工添加,比较麻烦。
(2)打开Internet连接防火墙
对于WindowsXP系统,自带了“Internet连接防火墙”功能,与TCP/IP筛选功能相比,设置更方便,功能更强大。
除了自带防火墙端口开放规则外,还可以自行增删。
在控制面板中打开“网络连接”,右击拨号连接,进入“高级”选项卡,选中“通过限制或止来自Internet的对此计算机的访问来保护我的计算机和网络”,启用它。
系统默认状态下是关闭了FTP端口的,因而还要设置防火墙,打开所使用的FTP端口。
点击右下角的“设置”按钮进入“高级设置”,选中“FTP服务器”,编辑它。
由于FTP服务默认端口是21,因而除了IP地址一栏外,其余均不可更改。
在IP地址一栏中填入服务器公网IP,确定后退出即可即时生效。
如果架设的FTP服务器端口为其他端口,比如22,则可以在“服务”选项卡下方点“添加”,输入服务器名称和公网IP后,将外部端口号和内部端口号均填入22即可。
IIS的安全性比较差,平均每两三个月就要出一两个漏洞。
所幸的是,微软会根据新发现的漏洞提供相应的补丁,这就需要你不断更新,安装最新补丁。
(3)将安装目录设置到非系统盘,关闭不需要的服务
一些恶意用户可以通过IIS的溢出漏洞获得对系统的访问权。
把IIS安放在系统分区上,会使系统文件与IIS同样面临非法访问,容易使非法用户侵入系统分区。
另外,由于IIS是一个综合性服务组件,每开设一个服务都将会降低整个服务的安全性,因而,对不需要的服务尽量不要安装或启动。
(4)允许匿名连接
FTP最大的安全漏洞在于其默认传输密码的过程是明文传送,很容易被人嗅探到。
而IIS又是基于Windows用户账户进行管理的,因而很容易泄漏系统账户名及密码,如果该账户拥有一定管理权限,则更会影响到整个系统的安全。
设置为“只允许匿名连接”,可以免却传输过程中泄密的危险。
进入“默认FTP站点”,在属性的“安全账户”选项卡中,将此选项选中。
(5)置主目录及其权限
IIS可以将FTP站点主目录设为局域网中另一台计算机的共享目录,但在局域网中,共享目录很容易招致其他计算机感染的病毒攻击,严重时甚至会造成整个局域网瘫痪,不到万不得已,最好使用本地目录并将主目录设为NTFS格式的非系统分区中。
这样,在对目录的权限设置时,可以对每个目录按不同组或用户来设置相应的权限。
右击要设置的目录,进入“共享和安全→安全”中设置,如非必要,不要授予“写入”权限。
(6)尽量不要使用默认端口号21。
(7)启用日志记录,以备出现异常情况时查询原因。
如果你要建立一个FTP服务器,建议就是选择一个比较稳定和安全的FTP程序,然后在真正投入使用前对于上面所提及到的安全问题都检测一下,上述的安全功能扩展和对协议中安全问题的防范在一定程度上缓解了FTP的安全问题。
建立口令、用户名保护机制:
为防止口令被强迫破解,首先应限制送入正确口令前的输入次数,在3一5次后关闭和客户的连接,其次,可采取在错误口令输入回复时加入几秒延迟,以降低破解攻击效率.采取这两种方法提高了FTP服务器的安全性,但是却很可能造成对合法用户的拒绝服务攻击.这就需要对用户名也加以保护,我们可以采用在使用错误用户名登录三次后,拒绝使用此用户名硬件地址再次登录服务器以防止攻击者造成合法用户的拒绝服务.对干口令、用户名保护更好的方法还是建立在身份认证基础上的动态口令机制,动态口令是单向散列函数理论的扩展—报文摘要理论及技术的应用.当一个用户在FTP服务器上首次注册时,系统分配给用户一个种子值一个迭代值,这两个值就构成一个原始口令,同时在服务器上还保留用户自己知道的通行短语.当客户和服务器连接时,客户端和服务器端分别利用MD4或MD5散列算法和通行短语计算本次口令.这样,就形成了交叉信任关系,更好的提高了口令的安全性。
限制FTP的TCP端口数据连接:
FTP规范假定数据连接依靠TCP协议,TCP端口0一1023保留给已知的服务。
例如,邮件服务、网络新闻、WWW服务、FTP服务等.为避免THEBONUCE攻击这些已知服务,应该使服务器不能打开低于1024号TCP数据端口的数据连接,当接到低干1024fCP端口一号的端口命令,应返回504信息(命令不能实现)
建立数字授权、数字验证、数字签名机制:
使用限制低于1024号TCP端口数据连接虽然能防止利用THEBOUNCE攻击,攻击已知服务,但是却不能防范高于023号TCP端口的服务。
使用禁止端口命令,却又失去了FTP“代理”功能,而这种功能在慢速连接的环境中又很有用。
对于这种情况,如果我们知道是谁在使用这种“代理机制”,就可以解决这个问题。
故限制访问的方法可解决这个问题,可是目前的限制访问是建立在网络地址的基础上,这样就可能遭受基于IP地址欺骗的攻击,所以需要建立数字授权、数字验证、数字签名机制作为限制访问的基础。
首先由数字授权服务器向用户发放数字证书。
当用户向FTP服务器发连接请求时,FTP服务器先对连接进行数字验证,根据结果判断用户的访问权限及记录,对服务器和客户通信内容加数字签名以防IP欺骗或端口偷窃。
对需保密内容适用数据加密机制:
由于FTP规范使用明文传输,当攻击者使用端口偷窃时,将可能造成文件失密,故可对需加密文件使用公钥加密体制,这样就充分保障了传输的文件的可靠性。
对于匿名FTP服务的安全考虑:
匿名FTP服务指的是对用户使用最少的验证就可使其访问公共数据区。
对于这种用户一定要严格限制其访问权限,并必须禁止使用FTP“代理”机制。
其次还包含:
(l)确保拥有最新的FTPdaemon/服务器版本。
(2)设定FTP目录时,匿名FTP根目录“一ftp”和其下级目录不属FTP帐户所有或根本不在同一组内。
(3)只有:
root拥有FTP根目录及其下级目录。
(4)文件包含FTPdaemon使用的和在一ftp/bin和一ftp/etc下的文件和库也应象FTP根目录一样保护。
(5)etc/Passwd文件中不应包含系统的/etc,/pas、wd文件中已有的帐户名和加密口令。
(6)不允许匿名用户编写目录或文件。
(7)不要把系统文件放在ftp/etc目录一下。
一种安全可靠的FTP服务体系结构图2所示FTP服务体系结构是以数字授权、数字验证、数字签名为基础,使用选择性受控的访问。
6、DHCP攻击
在底层交换机端口上实现MAC数量限制或者绑定,然后再有就是实现Dhcp-snooping将交换机上的端口分为信任端口和不信任端口,对于不信任端口的DHCP报文进行截获和嗅探,DROP掉来自这些端口的非正常DHCP报文
7、DNS欺骗
DNS欺骗攻击是很难防御的,因为这种攻击大多数本质都是被动的。
通常情况下,除非发生欺骗攻击,否则你不可能知道你的DNS已经被欺骗,只是你打开的网页与你想要看到的网页有所不同。
在很多针对性的攻击中,用户都无法知道自己已经将网上银行帐号信息输入到错误的网址,直到接到银行的电话告知其帐号已购买某某高价商品时用户才会知道。
这就是说,在抵御这种类型攻击方面还是有迹可循。
保护内部设备:
像这样的攻击大多数都是从网络内部执行攻击的,如果你的网络设备很安全,那么那些感染的主机就很难向你的设备发动欺骗攻击。
不要依赖DNS:
在高度敏感和安全的系统,你通常不会在这些系统上浏览网页,最后不要使用DNS。
如果你有软件依赖于主机名来运行,那么可以在设备主机文件里手动指定。
使用入侵检测系统:
只要正确部署和配置,使用入侵检测系统就可以检测出大部分形式的ARP缓存中毒攻击和DNS欺骗攻击。
使用DNSSEC:
DNSSEC是替代DNS的更好选择,它使用的是数字前面DNS记录来确保查询响应的有效性,DNSSEC还没有广泛运用,但是已被公认为是DNS的未来方向,也正是如此,美国国防部已经要求所有MIL和GOV域名都必须开始使用DNSSEC。
升级会员 