黑客攻击新趋势及防范策略
来源:计算机安全 更新时间:2012-04-13
       
  
摘    要  本文详细探讨黑客入侵网络的方法,以及如何对黑客的攻击进行特征分析以最终达到安全防范的目的。
关键词   黑客  木马  信用卡   漏洞
 

一、美国信用卡失密案始末

       近日,美国万事达信用卡国际公司宣布了一条震惊全球的消息:黑客侵入了"信用卡第三方付款处理器"的网络系统,造成了包括Master Card、Visa、American Express和Discover等各种信用卡高达4000多万用户的数据资料被窃。这是迄今美国最大的泄密事件,这一案件带来的教训值得重视,显示出网络罪犯日渐猖狂,日益朝金融欺诈方向发展的趋势。
 
       Master Card公司近期接到成千上万用户报告信用卡账户有不正常的高档产品盗用消费,于是聘请信息安全公司调查。安全专家发现,漏洞出在为Master Card、Visa和American Express等主要信用卡进行数据处理服务的Card Systems公司,主要原因是Card  System公司的信息安全措施不到位。这家公司为超过10万家企业处理信用卡信息,每年业务金额超过150亿美元,理应经常进行数据安全检查,但这一措施被明显疏忽了,公司因违反数据安全规定为黑客的攻击埋下祸根。Master Card公司等信用卡发行机构,要求Card System公司处理的数据不得过夜保存,但这家公司为进行市场研究,自己保存了所有经手的账户信息,而且这些数据不加密、不保护就存储在公司电脑中。公司的网络建立在经常暴露出安全漏洞的“Windows 2000”操作系统之上,没有及时更新升级,让恶意黑客有机可乘。黑客利用了该公司网络系统的漏洞,在Card Systems的网络中植入了一种特洛伊木马程序,通过通常为Web浏览留下的通信端口进入计算机,攻击没有被入侵检测软件发现或被防火墙阻止。木马程序发现了含信用卡账户信息的文件,获取了客户的信用卡信息。显然,在技术性漏洞背后,是一些企业对信息安全的忽视和侥幸心理。
 

二、黑客常用入侵手法及防范策略

       要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动地安装防火墙是显然不够的,我们更应该了解一些常见的黑客入侵手法,针对不同的方法采取不同的措施,做到有的放矢。
1、木马入侵
       木马除了具有远程控制工具的功能外,通常还具有隐蔽性、秘密性、破坏性等特点。木马就如同你肩膀后的一双眼睛,它盯着你输入帐号密码。在用户访问真实的银行网站之前它一直处于休眠状态,而用户访问相关网站时便会激活它,并对登录过程进行秘密监控。
 
       应对措施:提高防范意识,不要随意运行别人发来的软件。安装木马查杀软件,及时更新木马特征库。推荐使用the cleaner,木马克星。
2、ipc$共享入侵
       微软在Win2000,xp中设置的这个功能对个人用户来说几乎毫无用处。反而成了黑客入侵nt架构操作系统的一条便利通道。如果你的操作系统存在不安全的口令,那就更可怕了。
 
       应对措施:禁用server服务, Task Scheduler服务,去掉网络文件和打印机共享前的对勾,当然,给自己的账户加上强壮的口令才是最关键的。
3、漏洞入侵
       由于宽带越来越普及,给自己的Win2000或是xp装上简单易学的IIS,搭建一个不定时开放的ftp或是Web站点,相信是不少电脑爱好者所向往的,而且应该也已经有很多人这样做了。但是IIS层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对IIS的远程攻击。
 
       利用IIS的webdav漏洞攻击成功后的界面 这里的systen32就指的是对方机器的系统文件夹了,也就是说黑客此刻执行的任何命令,都是在被入侵的机器上运行的。这个时候如果执行format命令,危害就可想而知了,用net user命令添加账户也是轻而易举的。
应对措施:关注微软官方站点,及时安装IIS的漏洞补丁。
4、页恶意代码入侵
       在我们浏览网页的时候不可避免地会遇到一些不正规的网站,它们经常会擅自修改浏览者的注册表,其直接体现便是修改IE的默认主页,锁定注册表,修改鼠标右键菜单等等。实际上绝大部分的网页恶意代码都是通过修改我们的注册表达到目的。只要保护好自己的注册表,就一切ok了。
 
       应对措施:安装具有注册表实时监控功能的防护软件,做好注册表的备份工作。禁用Remote Registry Service服务,不要上一些不该上的网站。
 

三、黑客攻击的行为特征分析方法与反击技术

       黑客对网络的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止,已经发现的攻击方式超过2000种,这些攻击大概可以划分为以下6类:
 
(1)拒绝服务攻击  一般情况下,拒绝服务攻击是通过使被攻击对象的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。
 
(2)非授权访问尝试  是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。
 
(3)预探测攻击  在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。
 
(4)可疑活动  是通常定义的“标准”网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IP Unknown Protocol和Duplicate IP Address事件等。
 
(5)协议解码  协议解码可用于以上任何一种非期望的方法中,网络或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。
 
(6)系统代理攻击  这种攻击通常是针对单个主机发起的,而并非整个网络,通过RealSecure系统代理可以对它们进行监视。 
 
       黑客攻击行为的特征分析依赖于入侵检测技术(IDS),入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为,要有效的反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。
1.Land攻击
攻击类型:Land攻击是一种拒绝服务攻击。
攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
检测方法:判断网络数据包的源地址和目标地址是否相同。
反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为,并对这种攻击进行记录(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。
2.TCP SYN攻击
攻击类型:TCP SYN攻击是一种拒绝服务攻击。
攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。
检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。
反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。
3.Ping Of Death攻击
攻击类型:Ping Of Death攻击是一种拒绝服务攻击。
攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。
检测方法:判断数据包的大小是否大于65535个字节。
反攻击方法:使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。
4.WinNuke攻击
攻击类型:WinNuke攻击是一种拒绝服务攻击。
攻击特征:WinNuke攻击又称带外传输攻击,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。
检测方法:判断数据包目标端口是否为139、138、137等,并判断URG位是否为“1”。
反攻击方法:适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址MAC)。
5.Teardrop攻击
攻击类型:Teardrop攻击是一种拒绝服务攻击。
攻击特征:Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
检测方法:对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。
反攻击方法:添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。
6.TCP/UDP端口扫描
攻击类型:TCP/UDP端口扫描是一种预探测攻击。
攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。
检测方法:统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。 
反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。
 
       对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。
 

四、黑客攻击新趋势及应对策略

       今后,网络罪犯们会逐渐将重点放在攻击那些有可能获利丰厚的目标上,他们不大可能掀起大规模网络病毒攻击的浪潮,而是每次只攻击一到两个公司,但是相应的回报却可能是巨大的。利用“特洛伊木马”的计算机程序来复制窃取许多国家的顶级商业公司的机密信息,已经变得越来越频繁。定向木马攻击的程序编写者只针对少数几个公司编写和使用某种特殊的木马。他们发起的攻击规模通常都很小,很容易就躲开了网络安全公司的监视,因为网络安全公司都在寻找较大规模的攻击。
 
       目前出现了越来越多的释放特洛伊木马的自动工具以及其他入侵复杂系统的工具,他们非常快地沿“食物链”升级。窃取信息正在成为木马的主要目的。现在的趋势是,病毒开始集中进攻特定的组织,并试图种木马。因此,提高安全防范意识,建立起综合的网络安全监控防御体系,及时下载操作系统和应用程序的补丁,堵住存在的漏洞将是十分必要的。