金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

91手機維修論壇

標題: 防御手需要了解的幾種攻擊 [打印本頁(yè)]
作者: 小七夜    時(shí)間: 2011-3-29 21:10
標題: 防御手需要了解的幾種攻擊
1.拒絕服務(wù)攻擊:一般情況下,拒絕服務(wù)攻擊是通過(guò)使被攻擊對象(通常是工作站或重要服務(wù)器)的系統關(guān)鍵資源過(guò)載,從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。

  2.非授權訪(fǎng)問(wèn)嘗試:是攻擊者對被保護文件進(jìn)行讀、寫(xiě)或執行的嘗試,也包括為獲得被保護訪(fǎng)問(wèn)權限所做的嘗試。

  3.預探測攻擊:在連續的非授權訪(fǎng)問(wèn)嘗試過(guò)程中,攻擊者為了獲得網(wǎng)絡(luò )內部的信息及網(wǎng)絡(luò )周?chē)男畔,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、端口掃描和IP半途掃描等。

  4.可疑活動(dòng):是通常定義的“標準”網(wǎng)絡(luò )通信范疇之外的活動(dòng),也可以指網(wǎng)絡(luò )上不希望有的活動(dòng),如IP Unknown Protocol和Duplicate IP Address事件等。

  5.協(xié)議解碼:協(xié)議解碼可用于以上任何一種非期望的方法中,網(wǎng)絡(luò )或安全管理員需要進(jìn)行解碼工作,并獲得相應的結果,解碼后的協(xié)議信息可能表明期望的活動(dòng),如FTU User和Portmapper Proxy等解碼方式。

  6.系統代理攻擊:這種攻擊通常是針對單個(gè)主機發(fā)起的,而并非整個(gè)網(wǎng)絡(luò ),通過(guò)RealSecure系統代理可以對它們進(jìn)行監視。
三、黑客攻擊行為的特征分析與反攻擊技術(shù)

  入侵檢測的最基本手段是采用模式匹配的方法來(lái)發(fā)現入侵攻擊行為,要有效的進(jìn)反攻擊首先必須了解入侵的原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對幾種典型的入侵攻擊進(jìn)行分析,并提出相應的對策。

  1.Land攻擊

  攻擊類(lèi)型:Land攻擊是一種拒絕服務(wù)攻擊。

  攻擊特征:用于Land攻擊的數據包中的源地址和目標地址是相同的,因為當操作系統接收到這類(lèi)數據包時(shí),不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,或者循環(huán)發(fā)送和接收該數據包,消耗大量的系統資源,從而有可能造成系統崩潰或死機等現象。

  檢測方法:判斷網(wǎng)絡(luò )數據包的源地址和目標地址是否相同。

  反攻擊方法:適當配置防火墻設備或過(guò)濾路由器的過(guò)濾規則就可以防止這種攻擊行為(一般是丟棄該數據包),并對這種攻擊進(jìn)行審計(記錄事件發(fā)生的時(shí)間,源主機和目標主機的MAC地址和IP地址)。

  2.TCP SYN攻擊

  攻擊類(lèi)型:TCP SYN攻擊是一種拒絕服務(wù)攻擊。

  攻擊特征:它是利用TCP客戶(hù)機與服務(wù)器之間三次握手過(guò)程的缺陷來(lái)進(jìn)行的。攻擊者通過(guò)偽造源IP地址向被攻擊者發(fā)送大量的SYN數據包,當被攻擊主機接收到大量的SYN數據包時(shí),需要使用大量的緩存來(lái)處理這些連接,并將SYN ACK數據包發(fā)送回錯誤的IP地址,并一直等待ACK數據包的回應,最終導致緩存用完,不能再處理其它合法的SYN連接,即不能對外提供正常服務(wù)。

  檢測方法:檢查單位時(shí)間內收到的SYN連接否收超過(guò)系統設定的值。

  反攻擊方法:當接收到大量的SYN數據包時(shí),通知防火墻阻斷連接請求或丟棄這些數據包,并進(jìn)行系統審計。

  3.Ping Of Death攻擊

  攻擊類(lèi)型:Ping Of Death攻擊是一種拒絕服務(wù)攻擊。

  攻擊特征:該攻擊數據包大于65535個(gè)字節。由于部分操作系統接收到長(cháng)度大于65535字節的數據包時(shí),就會(huì )造成內存溢出、系統崩潰、重啟、內核失敗等后果,從而達到攻擊的目的。

  檢測方法:判斷數據包的大小是否大于65535個(gè)字節。

  反攻擊方法:使用新的補丁程序,當收到大于65535個(gè)字節的數據包時(shí),丟棄該數據包,并進(jìn)行系統審計。

4.WinNuke攻擊

  攻擊類(lèi)型:WinNuke攻擊是一種拒絕服務(wù)攻擊。

  攻擊特征:WinNuke攻擊又稱(chēng)帶外傳輸攻擊,它的特征是攻擊目標端口,被攻擊的目標端口通常是139、138、137、113、53,而且URG位設為“1”,即緊急模式。

  檢測方法:判斷數據包目標端口是否為139、138、137等,并判斷URG位是否為“1”。

  反攻擊方法:適當配置防火墻設備或過(guò)濾路由器就可以防止這種攻擊手段(丟棄該數據包),并對這種攻擊進(jìn)行審計(記錄事件發(fā)生的時(shí)間,源主機和目標主機的MAC地址和IP地址MAC)。

  5.Teardrop攻擊

  攻擊類(lèi)型:Teardrop攻擊是一種拒絕服務(wù)攻擊。

  攻擊特征:Teardrop是基于UDP的病態(tài)分片數據包的攻擊方法,其工作原理是向被攻擊者發(fā)送多個(gè)分片的IP包(IP分片數據包中包括該分片數據包屬于哪個(gè)數據包以及在數據包中的位置等信息),某些操作系統收到含有重疊偏移的偽造分片數據包時(shí)將會(huì )出現系統崩潰、重啟等現象。

  檢測方法:對接收到的分片數據包進(jìn)行分析,計算數據包的片偏移量(Offset)是否有誤。

  反攻擊方法:添加系統補丁程序,丟棄收到的病態(tài)分片數據包并對這種攻擊進(jìn)行審計。

  6.TCP/UDP端口掃描

  攻擊類(lèi)型:TCP/UDP端口掃描是一種預探測攻擊。

  攻擊特征:對被攻擊主機的不同端口發(fā)送TCP或UDP連接請求,探測被攻擊對象運行的服務(wù)類(lèi)型。

  檢測方法:統計外界對系統端口的連接請求,特別是對21、23、25、53、80、8000、8080等以外的非常用端口的連接請求!

  反攻擊方法:當收到多個(gè)TCP/UDP數據包對異常端口的連接請求時(shí),通知防火墻阻斷連接請求,并對攻擊者的IP地址和MAC地址進(jìn)行審計。

  對于某些較復雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要采用模式匹配的方法,還需要利用狀態(tài)轉移、網(wǎng)絡(luò )拓撲結構等方法來(lái)進(jìn)行入侵檢測。
四、入侵檢測系統的幾點(diǎn)思考

  從性能上講,入侵檢測系統面臨的一個(gè)矛盾就是系統性能與功能的折衷,即對數據進(jìn)行全面復雜的檢驗構成了對系統實(shí)時(shí)性要求很大的挑戰。

  從技術(shù)上講,入侵檢測系統存在一些亟待解決的問(wèn)題,主要表現在以下幾個(gè)方面:

  1.如何識別“大規模的組合式、分布式的入侵攻擊”目前還沒(méi)有較好的方法和成熟的解決方案。從 Yahoo等著(zhù)名ICP的攻擊事件中,我們了解到安全問(wèn)題日漸突出,攻擊者的水平在不斷地提高,加上日趨成熟多樣的攻擊工具,以及越來(lái)越復雜的攻擊手法,使入侵檢測系統必須不斷跟蹤最新的安全技術(shù)。

  2.網(wǎng)絡(luò )入侵檢測系統通過(guò)匹配網(wǎng)絡(luò )數據包發(fā)現攻擊行為,入侵檢測系統往往假設攻擊信息是明文傳輸的,因此對信息的改變或重新編碼就可能騙過(guò)入侵檢測系統的檢測,因此字符串匹配的方法對于加密過(guò)的數據包就顯得無(wú)能為力。

  3.網(wǎng)絡(luò )設備越來(lái)越復雜、越來(lái)越多樣化就要求入侵檢測系統能有所定制,以適應更多的環(huán)境的要求。

  4.對入侵檢測系統的評價(jià)還沒(méi)有客觀(guān)的標準,標準的不統一使得入侵檢測系統之間不易互聯(lián)。入侵檢測系統是一項新興技術(shù),隨著(zhù)技術(shù)的發(fā)展和對新攻擊識別的增加,入侵檢測系統需要不斷的升級才能保證網(wǎng)絡(luò )的安全性。

  5.采用不恰當的自動(dòng)反應同樣會(huì )給入侵檢測系統造成風(fēng)險。入侵檢測系統通?梢耘c防火墻結合在一起工作,當入侵檢測系統發(fā)現攻擊行為時(shí),過(guò)濾掉所有來(lái)自攻擊者的IP數據包,當一個(gè)攻擊者假冒大量不同的IP進(jìn)行模擬攻擊時(shí),入侵檢測系統自動(dòng)配置防火墻將這些實(shí)際上并沒(méi)有進(jìn)行任何攻擊的地址都過(guò)濾掉,于是造成新的拒絕服務(wù)訪(fǎng)問(wèn)。

  6.對IDS自身的攻擊。與其他系統一樣,IDS本身也存在安全漏洞,若對IDS攻擊成功,則導致報警失靈,入侵者在其后的行為將無(wú)法被記錄,因此要求系統應該采取多種安全防護手段。

  7.隨著(zhù)網(wǎng)絡(luò )的帶寬的不斷增加,如何開(kāi)發(fā)基于高速網(wǎng)絡(luò )的檢測器(事件分析器)仍然存在很多技術(shù)上的困難。

  入侵檢測系統作為網(wǎng)絡(luò )安全關(guān)鍵性測防系統,具有很多值得進(jìn)一步深入研究的方面,有待于我們進(jìn)一步完善,為今后的網(wǎng)絡(luò )發(fā)展提供有效的安全手段。





歡迎光臨 91手機維修論壇 (http://www.jstransmit.com/) Powered by Discuz! X3.4
云阳县| 五莲县| 景东| 安岳县| 博乐市| 鹤峰县| 马尔康县| 泸水县| 宁南县| 玉山县| 北票市| 贵州省| 达拉特旗| 琼海市| 泽州县| 吴川市| 延安市| 中超| 福贡县| 新巴尔虎右旗| 信阳市| 惠州市| 高要市| 德清县| 迁安市| 万盛区| 巴林右旗| 屯昌县| 饶河县| 天气| 太谷县| 卢湾区| 沛县| 肥乡县| 泾源县| 武宣县| 如皋市| 屯留县| 资阳市| 潼关县| 漠河县|