网络攻击的主要4个类型
浏览器攻击
基于浏览器的网络攻击与第二种常见类型相关联。他们试图通过网络浏览器破坏机器,这是人们使用互联网的最常见方式之一。浏览器攻击通常始于合法但易受攻击的网站。攻击者攻击该站点并使用恶意软件感染该站点。当新访问者(通过Web浏览器)到达时,受感染的站点会尝试通过利用其浏览器中的漏洞将恶意软件强制进入其系统。
暴力破解
暴力破解攻击类似于打倒网络的前门。攻击者试图通过反复试验来发现系统或服务的密码,而不是试图欺骗用户下载恶意软件。这些网络攻击可能非常耗时,因此攻击者通常使用软件自动执行键入数百个密码的任务。
暴力破解攻击是遵循密码最佳实践的重要原因之一,尤其是在关键资源(如网络路由器和服务器)上。
长而复杂的密码比愚蠢的密码(例如“123456”,“qwerty”和“password”)更难以通过蛮力破解。请放心:这些是攻击者尝试的第一把钥匙。
拒绝服务(DDoS)攻击
拒绝服务攻击(也称为分布式拒绝服务攻击(DDoS))在网络安全攻击列表中排名第三,并且每年都在不断增强。
DDoS攻击试图淹没资源 例如网站,游戏服务器或DNS服务器 - 充斥着大量流量。通常,目标是减慢或崩溃系统。
但DDoS攻击的频率和复杂性正在增加。
蠕虫病毒
恶意软件通常需要用户交互才能开始感染。例如,此人可能必须下载恶意电子邮件附件,访问受感染的网站或将受感染的USB插入计算机。蠕虫攻击自行传播。它们是自我传播的恶意软件,不需要用户交互。通常,它们利用系统漏洞传播到本地网络之外。
WannaCry勒索软件在几天内感染了超过300,000台计算机,使用蠕虫技术攻击网络和计算机。
WannaCry针对一个广泛的Windows漏洞迅速破坏了一台机器。一旦机器被感染,恶意软件就会扫描连接的LAN和WAN,以查找并感染其他易受攻击的主机。
恶意软件攻击
当然,恶意软件是恶意软件创建用于伤害、劫持或监视感染系统的应用程序。目前尚不清楚为什么“蠕虫病毒攻击”不包含在此类别中 - 因为它们通常与恶意软件相关联。
无论如何,恶意软件很普遍并且众所周知。它传播的三种常见方式包括:
网络钓鱼电子邮件 攻击者创建邮件以诱使受害者陷入虚假的安全感,欺骗他们下载最终成为恶意软件的附件。
恶意网站 攻击者可以设置包含漏洞利用工具包的网站,这些漏洞利用工具包旨在查找网站访问者系统中的漏洞并使用它们将恶意软件强制到其系统中。这些网站还可用于将恶意软件伪装成合法下载。
恶意广告 聪明的攻击者已经发现了使用广告网络分发商品的方法。点击后,恶意广告可以将用户重定向到恶意软件托管网站。某些恶意广告攻击甚至不需要用户交互来感染系统。
网络攻击
面向公众的服务,例如Web应用程序和数据库 也是网络安全攻击的目标。
最常见的网络应用攻击:
跨站点脚本(XSS) 攻击者破坏易受攻击的网站或Web应用程序并注入恶意代码。当页面加载时,代码在用户的浏览器上执行恶意脚本。SQL注入(SQLi)攻击者不是将标准数据提交到文本框或其他数据输入字段,而是输入SQL语句来诱骗应用程序显示或操纵其数据。
Path Traversal 攻击者制定HTTP请求以绕过访问控制并导航到系统中的其他目录和文件。例如,路径遍历攻击可以授予攻击者访问站点Web服务器的核心文件的权限,而不是限于单个网站的内容。
扫描攻击扫描不是彻底的网络攻击,而是攻击前的侦察。攻击者使用广泛使用的扫描工具来探测面向公众的系统,以便更好地了解现有的服务,系统和安全性。
端口扫描器 用于确定系统开放端口的简单工具。存在几种类型,其中一些旨在防止被扫描目标的检测。
漏洞扫描程序 收集有关目标的信息,并将其与已知的安全漏洞进行比较。结果是系统上已知漏洞及其严重性的列表。
其他攻击
我们只能推测绑定到“其他”的网络攻击类型。也就是说,这里有一些常见的嫌疑人:
物理攻击 尝试以老式的方式摧毁或窃取网络架构或系统。被盗的笔记本电脑是一个常见的例子。
内部人员攻击 并非所有网络攻击都是由局外人执行的。愤怒的员工,犯罪的第三方承包商和笨拙的工作人员只是少数潜在的参与者。他们可以窃取和滥用访问凭据,滥用客户数据或意外泄露敏感信息。
高级持续性威胁 最先进的网络攻击由黑客精英团队执行,他们根据目标环境调整和定制技术。他们的目标通常是通过隐藏和“持久”来长时间窃取数据。
展开剩余内容
网络攻击的几种类型
网络攻击(Cyber
Attacks,也称赛博攻击)是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的,任何类型的进攻动作。对于 计算机 和计算机网络来说,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据,都会被视为于计算机和计算机网络中的攻击。
网络攻击的种类
1、主动攻击
主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和终端(拒绝服务)。
(1)篡改消息
篡改消息是指一个合法消息的某些部分被改变、删除,消息被延迟或改变顺序,通常用以产生一个未授权的效果。如修改传输消息中的数据,将“允许甲执行操作”改为“允许乙执行操作”。
(2)伪造
伪造指的是某个实体(人或系统)发出含有其他实体身份信息的数据信息,假扮成其他实体,从而以欺骗方式获取一些合法用户的权利和特权。
(3)拒绝服务
拒绝服务即常说的DoS(Deny of Service),会导致对通讯设备正常使用或管理被无条件地中断。通常是对整个网络实施破坏,以达到降低性能、终端服务的目的。这种攻击也可能有一个特定的目标,如到某一特定目的地(如安全审计服务)的所有数据包都被阻止。
2、被动攻击
被动攻击中攻击者不对数据信息做任何修改,截取/窃听是指在未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听、流量分析、破解弱加密的数据流等攻击方式。
(1)流量分析
流量分析攻击方式适用于一些特殊场合,例如敏感信息都是保密的,攻击者虽然从截获的消息中无法的到消息的真实内容,但攻击者还能通过观察这些数据报的模式,分析确定出通信双方的位置、通信的次数及消息的长度,获知相关的敏感信息,这种攻击方式称为流量分析。
(2)窃听
窃听是最常用的手段。应用最广泛的局域网上的数据传送是基于广播方式进行的,这就使一台主机有可能受到本子网上传送的所有信息。而计算机的网卡工作在杂收模式时,它就可以将网络上传送的所有信息传送到上层,以供进一步分析。如果没有采取加密措施,通过协议分析,可以完全掌握通信的全部内容,窃听还可以用无限截获方式得到信息,通过高灵敏接受装置接收网络站点辐射的电磁波或网络连接设备辐射的电磁波,通过对电磁信号的分析恢复原数据信号从而获得网络信息。尽管有时数据信息不能通过电磁信号全部恢复,但可能得到极有价值的情报。
由于被动攻击不会对被攻击的信息做任何修改,留下痕迹很好,或者根本不留下痕迹,因而非常难以检测,所以抗击这类攻击的重点在于预防,具体措施包括虚拟专用网VPN,采用加密技术保护信息以及使用交换式网络设备等。被动攻击不易被发现,因而常常是主动攻击的前奏。
被动攻击虽然难以检测,但可采取措施有效地预防,而要有效地防止攻击是十分困难的,开销太大,抗击主动攻击的主要技术手段是检测,以及从攻击造成的破坏中及时地恢复。检测同时还具有某种威慑效应,在一定程度上也能起到防止攻击的作用。具体措施包括自动审计、入侵检测和完整性恢复等。
攻击的方法主要有:
[if !supportLists]· [endif]口令入侵
[if !supportLists]· [endif]特洛伊木马
[if !supportLists]· [endif]WWW欺骗
[if !supportLists]· [endif]电子邮件
[if !supportLists]· [endif]节点攻击
[if !supportLists]· [endif]网络监听
[if !supportLists]· [endif]黑客软件
[if !supportLists]· [endif]安全漏洞
[if !supportLists]· [endif]端口扫描
如何避免网络攻击呢,第一种是同源检测的方法
服务器根据 http 请求头中 origin 或者referer 信息来判断请 求是否为允许访问的站点,从而对请求进行过滤。当 origin 或者 referer 信息都不存在的 时候,直接阻止。这种方式的缺点是有些情况下referer 可以被伪造。还有就是我们这种方法 同时把搜索引擎的链接也给屏蔽了,所以一般网站会允许搜索引擎的页面请求,但是相应的页面 请求这种请求方式也可能被攻击者给利用。
第二种方法是使用 CSRF Token 来进行验证
服务器向用户返回一个随机数 Token ,当网站 再次发起请求时,在请求参数中加入服务器端返回的 token ,然后服务器对这个 token 进行 验证。这种方法解决了使用 cookie 单一验证方式时,可能会被冒用的问题,但是这种方法存在一个缺点就是,我们需要给网站中的所有请求都添加上这个 token,操作比较繁琐。还有一 个问题是一般不会只有一台网站服务器,如果我们的请求经过负载平衡转移到了其他的服务器,但是这个服务器的 session 中没有保留这个 token 的话,就没有办法验证了。这种情况我们可以通过改变 token 的构建方式来解决。
第三种方式使用双重 Cookie 验证的办法
服务器在用户访问网站页面时,向请求域名注入一个 Cookie,内容为随机字符串,然后当用户再次向服务器发送请求的时候,从cookie 中取出 这个字符串,添加到 URL 参数中,然后服务器通过对 cookie 中的数据和参数中的数据进行比 较,来进行验证。使用这种方式是利用了攻击者只能利用 cookie,但是不能访问获取 cookie 的特点。并且这种方法比 CSRF Token 的方法更加方便,并且不涉及到分布式访问的问题。这 种方法的缺点是如果网站存在 XSS 漏洞的,那么这种方式会失效。同时这种方式不能做到子域 名的隔离。
第四种方式Samesite Cookie
是使用在设置 cookie 属性的时候设置 Samesite限制 cookie 不能作为被第三 方使用,从而可以避免被攻击者利用。Samesite 一共有两种模式,一种是严格模式,在严格模式下 cookie 在任何情况下都不可能作为第三方 Cookie 使用,在宽松模式下,cookie 可以 被请求是 GET 请求,且会发生页面跳转的请求所使用。
Samesite Cookie 表示同站 cookie,避免 cookie 被第三方所利用。将 Samesite 设为 strict ,这种称为严格模式,表示这个 cookie 在任何情况下都不可能作 为第三方 cookie。将 Samesite 设为 Lax ,这种模式称为宽松模式,如果这个请求是个 GET 请求,并且这个请求改变了当前页面或者打开了新的页面,那么这个 cookie 可以作为第三方 cookie,其余情 况下都不能作为第三方 cookie。
使用这种方法的缺点是,因为它不支持子域,所以子域没有办法与主域共享登录信息,每次转入子域的网站,都回重新登录。还有一个问题就是它的兼容性不够好。
计算机网络信息安全中传输威胁常见的攻击手法主要有
计算机网络信息安全中传输威胁常见的攻击手法主要有:
(一)利用网络系统漏洞进行攻击
许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于 网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。
对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。
(二)通过电子邮件进行攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪, 这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。
对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也 能达到此目的。
(三)解密攻击
在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。
为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。
(四)后门软件攻击
后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力比较强,给用户进行清除造成一定的麻烦。
当在网上下载数据时,一定要在其运行之前进行病毒扫描,并使用一定的反编译软件,查看来源数据是否有其他可疑的应用程序,从而杜绝这些后门软件。
(五)拒绝服务攻击
互联网上许多大网站都遭受过此类攻击。实施拒绝服务攻击(DDoS)的难度比较小,但它的破坏性却很大。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强,一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。
常见网络安全攻击有哪些
由于计算机网络信息被大众广泛接受、认可,在一定程度上给社会、生活带来了极大的便利,使得人们也就越来越依赖网络的虚拟生活,那么,常见网络攻击方式有哪些?应该怎么防范?我在这里给大家详细介绍。
在了解安全问题之前,我们先来研究一下目前网络上存在的一些安全威胁和攻击手段。然后我们再来了解一些出现安全问题的根源,这样我们就可以对安全问题有一个很好的认识。迄今为止,网络上存在上无数的安全威胁和攻击,对于他们也存在着不同的分类 方法 。我们可以按照攻击的性质、手段、结果等暂且将其分为机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战几类。
窃取机密攻击:
所谓窃取机密攻击是指未经授权的攻击者(黑客)非法访问网络、窃取信息的情况,一般可以通过在不安全的传输通道上截取正在传输的信息或利用协议或网络的弱点来实现的。常见的形式可以有以下几种:
1) 网络踩点(Footprinting)
攻击者事先汇集目标的信息,通常采用whois、Finger等工具和DNS、LDAP等协议获取目标的一些信息,如域名、IP地址、网络拓扑结构、相关的用户信息等,这往往是黑客入侵之前所做的第一步工作。
2) 扫描攻击
扫描攻击包括地址扫描和端口扫描等,通常采用ping命令和各种端口扫描工具,可以获得目标计算机的一些有用信息,例如机器上打开了哪些端口,这样就知道开设了哪些服务,从而为进一步的入侵打下基础。
3) 协议指纹
黑客对目标主机发出探测包,由于不同 操作系统 厂商的IP协议栈实现之间存在许多细微的差别(也就是说各个厂家在编写自己的TCP/IP协议栈时,通常对特定的RFC指南做出不同的解释),因此各个操作系统都有其独特的响应方法,黑客经常能确定出目标主机所运行的操作系统。常常被利用的一些协议栈指纹包括:TTL值、TCP窗口大小、DF标志、TOS、IP碎片处理、ICMP处理、TCP选项处理等。
4) 信息流监视
这是一个在共享型局域网环境中最常采用的方法。由于在共享介质的网络上数据包会经过每个网络节点,网卡在一般情况下只会接受发往本机地址或本机所在广播(或多播)地址的数据包,但如果将网卡设置为混杂模式(Promiscuous),网卡就会接受所有经过的数据包。基于这样的原理,黑客使用一个叫sniffer的嗅探器装置,可以是软件,也可以是硬件)就可以对网络的信息流进行监视,从而获得他们感兴趣的内容,例如口令以及其他秘密的信息。
5) 会话劫持(session hijacking)
利用TCP协议本身的不足,在合法的通信连接建立后攻击者可以通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接,从而假冒被接管方与对方通信。
非法访问
1) 口令解除
可以采用字典解除和暴力解除来获得口令。
2) IP欺骗
攻击者可以通过伪装成被信任的IP地址等方式来获取目标的信任。这主要是针对防火墙的IP包过滤以及LINUX/UNIX下建立的IP地址信任关系的主机实施欺骗。
3) DNS欺骗
由于DNS服务器相互交换信息的时候并不建立身份验证,这就使得黑客可以使用错误的信息将用户引向错误主机。
4) 重放攻击
攻击者利用身份认证机制中的漏洞先把别人有用的信息记录下来,过一段时间后再发送出去。
5) 非法使用
系统资源被某个非法用户以未授权的方式使用
6) 特洛伊木马
把一个能帮助黑客完成某个特定动作的程序依附在某一合法用户的正常程序中,这时合法用户的程序代码已经被改变,而一旦用户触发该程序,那么依附在内的黑客指令代码同时被激活,这些代码往往能完成黑客早已指定的任务。
恶意攻击
恶意攻击,在当今最为特出的就是拒绝服务攻击DoS(Denial of Server)了。拒绝服务攻击通过使计算机功能或性能崩溃来组织提供服务,典型的拒绝服务攻击有如下2种形式:资源耗尽和资源过载。当一个对资源的合理请求大大超过资源的支付能力时,就会造成拒绝服务攻击。常见的攻击行为主要包括Ping of death、泪滴(Teardrop)、UDP flood、SYN flood、Land 攻击、Smurf攻击、Fraggle 攻击、电子邮件炸弹、畸形信息攻击等
1) Ping of death
在早期版本中,许多操作系统对网络数据包的最大尺寸有限制,对TCP/IP栈的实现在ICMP包上规定为64KB。在读取包的报头后,要根据该报头中包含的信息来为有效载荷生成缓冲区。当PING请求的数据包声称自己的尺寸超过ICMP上限,也就是加载的尺寸超过64KB时,就会使PING请求接受方出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方 死机 。
2) 泪滴
泪滴攻击利用了某些TCP/IP协议栈实现中对IP分段重组时的错误
3) UDP flood
利用简单的TCP/IP服务建立大流量数据流,如chargen 和Echo来传送无用的满带宽的数据。通过伪造与某一主机的chargen服务之间的一次UDP连接,回复地址指向提供ECHO服务的一台主机,这样就生成了在2台主机之间的足够多的无用数据流,过多的数据流会导致带宽耗尽。
4) SYN flood
一些TCP/IP协议栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存空间用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区的连接企图超时。在一些创建连接不收限制的系统实现里,SYN洪流具有类似的影响!
5) Land攻击
在Land攻击中,将一个SYN包的源地址和目标地址均设成同一个服务器地址,导致接受服务器向自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保持直到超时。对LAND攻击反应不同,许多UNIX实现将崩溃,NT则变得极其缓慢。
6) Smurf攻击
简单的Smurf攻击发送ICMP应答请求包,目的地址设为受害网络的广播地址,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。如果将源地址改为第三方的受害者,最终将导致第三方崩溃。
7) fraggle攻击
该攻击对Smurf攻击做了简单修改,使用的是UDP应答消息而非ICMP。
8) 电子邮件炸弹
这是最古老的匿名攻击之一,通过设置一台机器不断的向同一地址发送电子邮件,攻击者能耗尽接受者的邮箱
9) 畸形信息攻击
各类操作系统的许多服务均存在这类问题,由于这些服务在处理消息之前没有进行适当正确的错误校验,受到畸形信息可能会崩溃。
10) DdoS攻击
DdoS攻击(Distributed Denial of Server,分布式拒绝服务)是一种基于DOS的特殊形式的拒绝服务攻击,是一种分布协作的大规模攻击方式,主要瞄准比较大的站点,像商业公司、搜索引擎和政府部门的站点。他利用一批受控制的机器向一台目标机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有很大的破坏性。
除了以上的这些拒绝服务攻击外,一些常见的恶意攻击还包括缓冲区溢出攻击、硬件设备破坏性攻击以及网页篡改等。
11) 缓冲区溢出攻击(buffer overflow)
通过往程序的缓冲区写超过其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他指令,以达到攻击的目的。缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在,根据统计:通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。利用缓冲区溢出攻击可以导致程序运行失败、系统死机、重新启动等后果,更严重的是,可以利用他执行非授权的指令,甚至可以取得系统特权,进而进行各种非法操作。由于他历史悠久、危害巨大,被称为数十年来攻击和防卫的弱点。
社交工程(Social Engineering)
采用说服或欺骗的手段,让网络内部的人来提供必要的信息,从而获得对信息系统的访问权限。
计算机病毒
病毒是对软件、计算机和网络系统的最大威胁之一。所谓病毒,是指一段可执行的程序代码,通过对其他程序进行修改,可以感染这些程序,使他们成为含有该病毒程序的一个拷贝。
不良信息资源
在互联网如此发达的今天,真可谓“林子大了,什么鸟都有”,网络上面充斥了各种各样的信息,其中不乏一些暴力、色情、反动等不良信息。
信息战
计算机技术和 网络技术 的发展,使我们处与信息时代。信息化是目前国际社会发展的趋势,他对于经济、社会的发展都有着重大意义。美国著名未来学家托尔勒说过:“谁掌握了信息、控制了网络,谁将拥有整个世界”。美国前总统克林顿也说:“今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家。”美国前陆军参谋长沙尔文上将更是一语道破:“信息时代的出现,将从根本上改变战争的进行方式”
网络攻击常用手段有哪些 常规的网络攻击手段有哪些
1、漏洞扫描器
一个漏洞扫描器是用来快速检查已知弱点,网络上的计算机的工具。黑客通常也使用端口扫描仪。它们检查指定计算机上的哪些端口“打开”或可用于访问计算机,并且有时会检测该端口上侦听的程序或服务以及其版本号。(防火墙通过限制对端口和机器的访问来防止入侵者侵入计算机,但它们仍然可以绕开。)
2、逆向工程
逆向工程也是最可怕的,黑客也可能尝试手动查找漏洞。一种常用的方法是搜索计算机系统代码中可能存在的漏洞,然后对其进行测试,有时会在未提供代码的情况下对软件进行逆向工程。
3、蛮力攻击
密码猜测。这种方法用于检查所有短密码时速度非常快,但对于更长的密码,由于蛮力搜索需要时间,所以使用其他方法(如字典攻击)。
4、密码破解
密码破解是从存储在计算机系统中或由计算机系统传输的数据中恢复密码的过程。常见的方法包括反复尝试密码猜测,手工尝试最常见的密码,并反复尝试使用“字典”或带有许多密码的文本文件中的密码。
5、数据包嗅探器
数据包嗅探器是捕获的数据分组,其可以被用于捕捉密码和其他的应用程序的数据在传输过程中在网络上。
6、欺骗攻击(网络钓鱼)
一个欺骗攻击涉及到一个程序,系统或网站,成功地伪装成另一个通过伪造数据,并因此被视为一个值得信赖的系统由用户或其他程序-通常以欺骗程序,系统或用户透露机密信息,如用户名和密码。
7、社会工程学
在定位过程的第二阶段,黑客经常使用社交工程手段获取足够的信息来访问网络。他们可能会联系系统管理员,并构成无法访问其系统的用户。使用这种技术的黑客必须具有很酷的个性,并熟悉其目标的安全实践,以诱骗系统管理员提供信息。在某些情况下,安全经验有限的服务台员工将接听电话并且相对容易欺骗。
常见的网络攻击方法和防御技术
网络攻击类型
侦查攻击:
搜集网络存在的弱点,以进一步攻击网络。分为扫描攻击和网络监听。
扫描攻击:端口扫描,主机扫描,漏洞扫描。
网络监听:主要指只通过软件将使用者计算机网卡的模式置为混杂模式,从而查看通过此网络的重要明文信息。
端口扫描:
根据 TCP 协议规范,当一台计算机收到一个TCP 连接建立请求报文(TCP SYN) 的时候,做这样的处理:
1、如果请求的TCP端口是开放的,则回应一个TCP ACK 报文, 并建立TCP连接控制结构(TCB);
2、如果请求的TCP端口没有开放,则回应一个TCP RST(TCP头部中的RST标志设为1)报文,告诉发起计算机,该端口没有开放。
相应地,如果IP协议栈收到一个UDP报文,做如下处理:
1、如果该报文的目标端口开放,则把该UDP 报文送上层协议(UDP ) 处理, 不回应任何报文(上层协议根据处理结果而回应的报文例外);
2、如果该报文的目标端口没有开放,则向发起者回应一个ICMP 不可达报文,告诉发起者计算机该UDP报文的端口不可达。
利用这个原理,攻击者计算机便可以通过发送合适的报文,判断目标计算机哪些TC 或UDP端口是开放的。
过程如下:
1、发出端口号从0开始依次递增的TCP SYN或UDP报文(端口号是一个16比特的数字,这样最大为65535,数量很有限);
2、如果收到了针对这个TCP 报文的RST 报文,或针对这个UDP 报文 的 ICMP 不可达报文,则说明这个端口没有开放;
3、相反,如果收到了针对这个TCP SYN报文的ACK报文,或者没有接收到任何针对该UDP报文的ICMP报文,则说明该TCP端口是开放的,UDP端口可能开放(因为有的实现中可能不回应ICMP不可达报文,即使该UDP 端口没有开放) 。
这样继续下去,便可以很容易的判断出目标计算机开放了哪些TCP或UDP端口,然后针对端口的具体数字,进行下一步攻击,这就是所谓的端口扫描攻击。
主机扫描即利用ICMP原理搜索网络上存活的主机。
网络踩点(Footprinting)
攻击者事先汇集目标的信息,通常采用whois、Finger等工具和DNS、LDAP等协议获取目标的一些信息,如域名、IP地址、网络拓扑结构、相关的用户信息等,这往往是黑客入侵之前所做的第一步工作。
扫描攻击
扫描攻击包括地址扫描和端口扫描等,通常采用ping命令和各种端口扫描工具,可以获得目标计算机的一些有用信息,例如机器上打开了哪些端口,这样就知道开设了哪些服务,从而为进一步的入侵打下基础。
协议指纹
黑客对目标主机发出探测包,由于不同操作系统厂商的IP协议栈实现之间存在许多细微的差别(也就是说各个厂家在编写自己的TCP/IP 协议栈时,通常对特定的RFC指南做出不同的解释),因此各个操作系统都有其独特的响应方法,黑客经常能确定出目标主机所运行的操作系统。
常常被利用的一些协议栈指纹包括:TTL值、TCP窗口大小、DF 标志、TOS、IP碎片处理、 ICMP处理、TCP选项处理等。
信息流监视
这是一个在共享型局域网环境中最常采用的方法。
由于在共享介质的网络上数据包会经过每个网络节点, 网卡在一般情况下只会接受发往本机地址或本机所在广播(或多播)地址的数据包,但如果将网卡设置为混杂模式(Promiscuous),网卡就会接受所有经过的数据包。
基于这样的原理,黑客使用一个叫sniffer的嗅探器装置,可以是软件,也可以是硬件)就可以对网络的信息流进行监视,从而获得他们感兴趣的内容,例如口令以及其他秘密的信息。
访问攻击
密码攻击:密码暴力猜测,特洛伊木马程序,数据包嗅探等方式。中间人攻击:截获数据,窃听数据内容,引入新的信息到会话,会话劫持(session hijacking)利用TCP协议本身的不足,在合法的通信连接建立后攻击者可以通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接,从而假冒被接管方与对方通信。
拒绝服务攻击
伪装大量合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务响应。
要避免系统遭受DoS 攻击,从前两点来看,网络管理员要积极谨慎地维护整个系统,确保无安全隐患和漏洞;
而针对第四点第五点的恶意攻击方式则需要安装防火墙等安 全设备过滤DoS攻击,同时强烈建议网络管理员定期查看安全设备的日志,及时发现对系统存在安全威胁的行为。
常见拒绝服务攻击行为特征与防御方法
拒绝服务攻击是最常见的一类网络攻击类型。
在这一攻击原理下,它又派生了许多种不同的攻击方式。
正确了解这些不同的拒绝攻击方式,就可以为正确、系统地为自己所在企业部署完善的安全防护系统。
入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为。
要有效的进行反攻击,首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。

下面我们针对几种典型的拒绝服务攻击原理进行简要分析,并提出相应的对策。
死亡之Ping( Ping of death)攻击
由于在早期的阶段,路由器对包的最大大小是有限制的,许多操作系统TCP/IP栈规定ICMP包的大小限制在64KB 以内。
在对ICMP数据包的标题头进行读取之后,是根据该标题头里包含的信息来为有效载荷生成缓冲区。
当大小超过64KB的ICMP包,就会出现内存分配错误,导致TCP/IP堆栈崩溃,从而使接受方计算机宕机。
这就是这种“死亡之Ping”攻击的原理所在。
根据这一攻击原理,黑客们只需不断地通过Ping命令向攻击目标发送超过64KB的数据包,就可使目标计算机的TCP/IP堆栈崩溃,致使接受方宕机。
防御方法:
现在所有的标准TCP/IP协议都已具有对付超过64KB大小数据包的处理能力,并且大多数防火墙能够通过对数据包中的信息和时间间隔分析,自动过滤这些攻击。
Windows 98 、Windows NT 4.0(SP3之后)、Windows 2000/XP/Server 2003 、Linux 、Solaris和Mac OS等系统都已具有抵抗一般“Ping of death ”拒绝服务攻击的能力。
此外,对防火墙进行配置,阻断ICMP 以及任何未知协议数据包,都可以防止此类攻击发生。
泪滴( teardrop)攻击
对于一些大的IP数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最大传输单元)的要求。
比如,一个6000 字节的IP包,在MTU为2000的链路上传输的时候,就需要分成三个IP包。
在IP 报头中有一个偏移字段和一个拆分标志(MF)。
如果MF标志设置为1,则表面这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个 IP包中的位置。
例如,对一个6000字节的IP包进行拆分(MTU为2000),则三个片断中偏移字段的值依次为:0,2000,4000。
这样接收端在全部接收完IP数据包后,就可以根据这些信息重新组装没正确的值,这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包,但接收端会不断偿试,这样就可能致使目标计算朵操作系统因资源耗尽而崩溃。
泪滴攻击利用修改在TCP/IP 堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。
IP分段含有指示该分段所包含的是原包的哪一段的信息,某些操作系统(如SP4 以前的 Windows NT 4.0 )的TCP/IP 在收到含有重叠偏移的伪造分段时将崩溃,不过新的操作系统已基本上能自己抵御这种攻击了。
防御方法:
尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发。
因为防火墙上可以设置当出现重叠字段时所采取的规则。
TCP SYN 洪水(TCP SYN Flood)攻击
TCP/IP栈只能等待有限数量ACK(应答)消息,因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。
如果这一缓冲区充满了等待响应的初始信息,则该计算机就会对接下来的连接停止响应,直到缓冲区里的连接超时。
TCP SYN 洪水攻击正是利用了这一系统漏洞来实施攻击的。
攻击者利用伪造的IP地址向目标发出多个连接(SYN)请求。
目标系统在接收到请求后发送确认信息,并等待回答。
由于黑客们发送请示的IP地址是伪造的,所以确认信息也不会到达任何计算机,当然也就不会有任何计算机为此确认信息作出应答了。
而在没有接收到应答之前,目标计算机系统是不会主动放弃的,继续会在缓冲区中保持相应连接信息,一直等待。
当达到一定数量的等待连接后,缓区部内存资源耗尽,从而开始拒绝接收任何其他连接请求,当然也包括本来属于正常应用的请求,这就是黑客们的最终目的。
防御方法:
在防火墙上过滤来自同一主机的后续连接。
不过“SYN洪水攻击”还是非常令人担忧的,由于此类攻击并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
防火墙的具体抵御TCP SYN 洪水攻击的方法在防火墙的使用手册中有详细介绍。
Land 攻击
这类攻击中的数据包源地址和目标地址是相同的,当操作系统接收到这类数据包时,不知道该如何处理,或者循环发送和接收该数据包,以此来消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。
防御方法:
这类攻击的检测方法相对来说比较容易,因为它可以直接从判断网络数据包的源地址和目标地址是否相同得出是否属于攻击行为。
反攻击的方法当然是适当地配置防火墙设备或包过滤路由器的包过滤规则。
并对这种攻击进行审计,记录事件发生的时间,源主机和目标主机的MAC地址和IP地址,从而可以有效地分析并跟踪攻击者的来源。
Smurf 攻击
这是一种由有趣的卡通人物而得名的拒绝服务攻击。
Smurf攻击利用多数路由器中具有同时向许多计算机广播请求的功能。
攻击者伪造一个合法的IP地址,然后由网络上所有的路由器广播要求向受攻击计算机地址做出回答的请求。
由于这些数据包表面上看是来自已知地址的合法请求,因此网络中的所有系统向这个地址做出回答,最终结果可导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,这也就达到了黑客们追求的目的了。
这种Smurf攻击比起前面介绍的“Ping of Death ”洪水的流量高出一至两个数量级,更容易攻击成功。
还有些新型的Smurf攻击,将源地址改为第三方的受害者(不再采用伪装的IP地址),最终导致第三方雪崩。
防御方法:
关闭外部路由器或防火墙的广播地址特性,并在防火墙上设置规则,丢弃掉ICMP协议类型数据包。
Fraggle 攻击
Fraggle 攻击只是对Smurf 攻击作了简单的修改,使用的是UDP协议应答消息,而不再是ICMP协议了(因为黑客们清楚 UDP 协议更加不易被用户全部禁止)。
同时Fraggle攻击使用了特定的端口(通常为7号端口,但也有许多使用其他端口实施 Fraggle 攻击的),攻击与Smurf 攻击基本类似,不再赘述。
防御方法:
关闭外部路由器或防火墙的广播地址特性。在防火墙上过滤掉UDP报文,或者屏蔽掉一些常被黑客们用来进Fraggle攻击的端口。
电子邮件炸弹
电子邮件炸弹是最古老的匿名攻击之一,通过设置一台计算机不断地向同一地址发送大量电子邮件来达到攻击目的,此类攻击能够耗尽邮件接受者网络的带宽资源。
防御方法:
对邮件地址进行过滤规则配置,自动删除来自同一主机的过量或重复的消息。
虚拟终端(VTY)耗尽攻击
这是一种针对网络设备的攻击,比如路由器,交换机等。
这些网络设备为了便于远程管理,一般设置了一些TELNET用户界面,即用户可以通过TELNET到该设备上,对这些设备进行管理。
一般情况下,这些设备的TELNET用户界面个数是有限制的。比如,5个或10个等。
这样,如果一个攻击者同时同一台网络设备建立了5个或10个TELNET连接。
这些设备的远程管理界面便被占尽,这样合法用户如果再对这些设备进行远程管理,则会因为TELNET连接资源被占用而失败。
ICMP洪水
正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO 后,会回应一个ICMP ECHO Reply 报文。
而这个过程是需要CPU 处理的,有的情况下还可能消耗掉大量的资源。
比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO 报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。
WinNuke 攻击
NetBIOS 作为一种基本的网络资源访问接口,广泛的应用于文件共享,打印共享, 进程间通信( IPC),以及不同操作系统之间的数据交换。
一般情况下,NetBIOS 是运行在 LLC2 链路协议之上的,是一种基于组播的网络访问接口。
为了在TCP/IP协议栈上实现NetBIOS ,RFC规定了一系列交互标准,以及几个常用的 TCP/UDP 端口:
139:NetBIOS 会话服务的TCP 端口;
137:NetBIOS 名字服务的UDP 端口;
136:NetBIOS 数据报服务的UDP 端口。
WINDOWS操作系统的早期版本(WIN95/98/NT )的网络服务(文件共享等)都是建立在NetBIOS之上的。
因此,这些操作系统都开放了139端口(最新版本的WINDOWS 2000/XP/2003 等,为了兼容,也实现了NetBIOS over TCP/IP功能,开放了139端口)。
WinNuke 攻击就是利用了WINDOWS操作系统的一个漏洞,向这个139端口发送一些携带TCP带外(OOB)数据报文。
但这些攻击报文与正常携带OOB数据报文不同的是,其指针字段与数据的实际位置不符,即存在重合,这样WINDOWS操作系统在处理这些数据的时候,就会崩溃。
分片 IP 报文攻击
为了传送一个大的IP报文,IP协议栈需要根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易的把这些IP 分片报文组装起来。
目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文。
这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构。
如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻击者计算机便会一直等待(直到一个内部计时器到时)。
如果攻击者发送了大量的分片报文,就会消耗掉目标计 算机的资源,而导致不能相应正常的IP报文,这也是一种DOS攻击。
T
分段攻击。利用了重装配错误,通过将各个分段重叠来使目标系统崩溃或挂起。
欢迎关注的我的头条号,私信交流,学习更多的网络技术!
0条大神的评论