搜寻黑客攻击的方式及防范手段
来源:csdn 更新时间:2007-10-18

  据统计,目前网络攻击手段有数千种之多,使网络安全问题变得极其严峻,据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。

  攻击探索

  下面介绍下网络攻击的主要方式及如何防范:ip地址欺骗、源路由攻击、端口扫描、DoS拒绝服务、窃听报文、应用层攻击等。

  一、IP地址伪装

  攻击者通过改变自己的 IP地址来伪装成内部网用户或可信的外部网用户,以合法用户身份登录那些只以IP地址作为验证的主机;或者发送特定的报文以干扰正常的网络数据传输;或者伪造可接收的路由报文(如发送ICMP报文)来更改路由信息,来非法窃取信息。

  防范方法:

  1、当每一个连接局域网的网关或路由器在决定是否允许外部的IP数据包进入局域网之前,先对来自外部的IP数据包进行检验,如果该IP包的IP源地址是其要进入的局域网内的IP地址,该IP包就被网关或路由器拒绝,不允许进入该局域网。虽然这种方法能够很好的解决问题,但是考虑到一些以太网卡接收它们自己发出的数据包,并且在实际应用中局域网与局域网之间也常常需要有相互的信任关系以共享资源,因此这种方案不具备较好的实际价值。

  2、另外一种防御这种攻击的较为理想的方法是当IP数据包出局域网时检验其IP源地址。即每一个连接局域网的网关或路由器在决定是否允许本局域网内部的IP数据包发出局域网之前,先对来自该IP数据包的IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址,该IP包就被网关或路由器拒绝,不允许该包离开局域网,因此建议每一个ISP或局域网的网关路由器都对出去的IP数据包进行IP源地址的检验和过滤。如果每一个网关路由器都做到了这一点,IP源地址欺骗将基本上无法奏效。

  二、源路由攻击

  路由器作为一个内部网络对外的接口设备,是攻击者进入内部网络的第一个目标。如果路由器不提供攻击检测和防范,则也是攻击者进入内部网络的一个桥梁。

  防范方法:

  1、可靠性与线路安全。

  2、对端路由器的身份认证和路由信息的身份认证。

  3.、访问控制对于路由器的访问控制,需要进行口令的分级保护;基于IP地址的访问控制; 基于用户的访问控制。

  4、信息隐藏 :与对端通信时,不一定需要用真实身份进行通信。通过地址转换,可以做到隐藏网内地址、只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接,网外用户不能通过地址转换直接访问网内资源。

  5、数据加密。

  6、在路由器上提供攻击检测,可以防止一部分的攻击。

  三、端口扫描

  利用一些端口扫描工具来探测系统正在侦听的端口,来发现该系统的漏洞;或者是事先知道某个系统存在漏洞,而后通过查询特定的端口,来确定是否存在漏洞,最后利用这些漏洞来对系统进行攻击,导致系统的瘫痪。

  防范方法:

  1、关闭闲置和有潜在危险的端口,它的本质是——将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就黑客而言,所有的端口都可能成为攻击的目标。换句话说“计算机的所有对外通讯的端口都存在潜在的危险”,而一些系统必要的通讯端口,如访问网页需要的HTTP(80端口);QQ(4000端口)等不能被关闭。 在Windows NT核心系统(Windows 2000/XP/ 2003)中要关闭掉一些闲置端口是比较方便的,可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服务会有系统分配默认的端口,将一些闲置的服务关闭掉,其对应的端口也会被关闭了进入“控制面板”、“管理工具”、“服务”项内,关闭掉计算机的一些没有使用的服务(如FTP服务、DNS服务、IIS Admin服务等等),它们对应的端口也被停用了。至于“只开放允许端口的方式”,可以利用系统的“TCP/IP筛选”功能实现,设置的时候,“只允许”系统的一些基本网络通讯需要的端口即可。

  2.检查各端口,有端口扫描的症状时,立即屏蔽该端口。这种预防端口扫描的方式显然用户自己手工是不可能完成的,或者说完成起来相当困难,需要借助软件。这些软件就是我们常用的网络防火墙。

  四、Dos类型攻击

  Dos(Denial of service,拒绝服务攻击)攻击是通过发送大量报文导致网络资源和带宽被消耗,从而达到阻止合法用户对资源的访问。另外一种DDos是它的扩展类型,即分布式拒绝服务攻击许多大型网站都曾被黑客用该种方法攻击过且造成了较大的损失。

  如何防范:

  1、BAN IP地址法: 使用简单的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效,因为DOS往往来自少量IP地址,而且这些IP地址都是虚构的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦,需要我们对IP地址分析,将真正攻击的IP地址屏蔽。 不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙,然后根据防火墙的日志分析来访者的IP,发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了,当然直接在服务器上过滤会耗费服务器的一定系统资源,所以目前比较有效的方法是在服务器上通过防火墙日志定位非法IP段,然后将过滤条目添加到路由器上。

  2、增加SYN缓存法,上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击,但由于使用了屏蔽IP功能,自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。

  五、窃听报文

  攻击者使用网络报文获取工具,从网络传输的数据流中复制数据,并从这些数据中获取一些诸如用户名 /口令等敏感信息。通过网络尤其是Internet来传输数据,不仅需要跨越不同的地理位置,而且存在时间上的延迟,在这种情况下,要避免数据不被窃听几乎是不可能的。

  防范手段: 最基本的是及对报文要进行加密,基本加密算法有两种:对称密钥加密、非对称密钥加密,用于保证数据的保密性、完整性、真实性和非抵赖服务。

  六、应用层攻击

  有多种形式,包括大部分的计算机病毒,利用已知应用软件的漏洞,“特洛依木马”等。另外,网络本身的可靠性和线路的安全性也对网络安全起着重要的影响。随着网络应用的逐渐普及,尤其是在一些敏感场合(如电子商务),网络安全成为日益迫切的需求。按物理位置来分,网络安全可分为两个部分,一是内部局域网的安全,二是和外部网络进行数据交换时的安全。路由器作为内部网络和外部网络之间的关键通信设备,应该提供充分的安全功

  防范方法:

  1、避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机并监听TCP服务。

  2、多方防御保障安全,对电脑硬盘进行加密保护,对硬盘进行高强度保护,目前的这种保护强度,不会被攻破,大大降低了机密数据泄露的风险;双因素认证功能是为了防止非授权者入侵操作系统存取机密数据。采用双因素身份认证的方式,身份认证可以通过智能卡、一次性口令,或者是USB令牌的方式进行,具有更高可靠性。通过数据加密和双因素认证来保护数字资产,是防止未经授权泄漏重要电子信息的终极手段。

  七、利用信息服务

  1、DNS域转换——DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。

  2、Finger服务——别有用心的人使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
  3、LDAP服务——主要是通过LDAP协议的使用,窥探网络内部的系统和它们的用户的信息。

  防范手段:对于DNS只要在防火墙处过滤掉域转换请求;对于Finger只要关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。