网络黑客常用攻击手段的分析
和防范
谈到网络安全问题,就没法不谈黑客(Hacker)。黑客是指对计算机某一领域有着深入的理解,并且十分热衷于潜入他人计算机、窃取非公开信息的人。每一个对互联网络的知识十分了解的人,都有可能成为黑客。翻开1998年日本出版的《新黑客字典》,可以看到上面对黑客的定义是:“喜欢探索软件程序奥秘,并从中增长其个人才干的人。”显然,“黑客”一语原来并没有丝毫的贬义成分,直到后来,少数怀有不良的企图,利用非法手段获得的系统讯问权去闯入运程机器系统、破坏重要数据,或为了自己的私利而制造麻烦的具有恶意行为的人慢慢玷污了“黑客”的名声,“黑客”才逐渐演变成入侵者、破坏者的代名词。目前,“黑客”已成为一个特殊的社会群体,在欧美等国有不少合法的黑客组织,黑客们经常召开黑客技术交流会,另一方面,黑客组织在因特网上利用自己的网站上介绍黑客攻击手段,免费提供各种黑客工具软件、出版网上黑客杂志,这使得普通人也探测容易下载并学会使用一些简单的黑客手段或工具对网络进行某种程序的攻击,进一步恶化了网络安全环境。
许多上网的用户对网络安全可能抱着无所谓的态度,认为最多不过是被“黑客”盗用账号,他们往往会认为“安全”只是针对那些大中型企事业单位的,而且黑客与自己无怨无仇,干嘛要攻击自己呢?其实,在一无法纪二无制度的虚拟网络世界中,现实生活中所有的阴险和卑鄙都表现得一览无余,在这样的信息时代里,几乎每个人都面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题,那些平时不注意安全的人,往往在受到安全方面的攻击时,付出惨重的代价时才会后悔不已。为了把损失降低到最低限度,我们一定要有安全观念,并掌握一定的安全防范措施,禁绝让黑客无任何机会可乘。只有了解了他们的攻击手段,我们才能采取准确的对策对付这些黑客。
1. 黑客常见攻击步骤:
黑客常用的攻击步骤可以说变幻莫测,但纵观其整个攻击过程,还是有一定规律可循的,一般可以分:攻击前奏、实施攻击、巩固控制、继续深入几个过程。见下图1示:
1.1 攻击前奏
黑客锁定目标、了解目标的网络结构,收集各种目标系统的信息等。
锁定目标:网络上有许多主机,黑客首先要寻找他找的站点的。当然能真正标识主机的是IP地址,黑客会利用域名和IP地址就可以顺利地找到目标主机。
了解目标的网络结构:确定要攻击的目标后,黑客就会设法了解其所在的网络结构,哪里是网关、路由,哪里有防火墙,哪些主机与要攻击的目标主机关系密切等,最简单地就是用tracert命令追踪路由,也可以发一些数据包看其是否能通过来猜测其防火墙过滤则的设定等。当然老练的黑客在干这些的时候都会利用别的计算机来间接的探测,从而隐藏他们真实的IP地址。
收集系统信息:在收集到目标的第一批网络信息之后,黑客会对网络上的每台主机进行全面的系统分析,以寻求该主机的安全漏洞或安全弱点。首先黑客要知道目标主机采用的是什么操作系统什么版本,如果目标开放telnet服务,那只要telnet xx.xx.xx.xx.(目标主机),就会显示“digitalunlx(xx.xx.xx.)(ttypl)login:”这样的系统信息。接着黑客还会检查其开放端口进行服务分析,看是否有能被利用的服务。因特网上的主机大部分都提供www、mail、ftp、teinet等日常网络服务,通常情况下telnet服务的端口是23等,www服务的端口是80,ftp服务的口是23。利用信息服务,像snmp服务、traceroute程序、whois服务可用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节,traceroute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数,whois协议服务能提供所有有关的dns域和相关的管理参数,finger协议可以用finger服务来获取一个指一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。所有如果没有特殊的需要,管理员应该关闭这些服务.利用安扫描器,收集系统信息当然少不了安全扫描器黑客会利用一些安全扫描器来帮他们发现系统的各种漏洞,包括各种系统服务漏洞,应用软件漏洞,弱口令用户等等。
1.2 实施攻击
当黑客探测到了足够的系统信息,对系统的安全弱点有了了解后就会发动攻击,当然他们会根据不同的网络结构、不同的系统情况而采用的不同的攻击手段。
一般,黑客攻击的终极目的是能够控制目标系统,窃取其中的机密文件等,但并不是每次黑客攻击都能够得逞控制目标主机的目的的,所以有时黑客也会发动拒绝服务攻击之类的干扰攻击,使系统不能正常工作。关于黑客具体采用的一些攻击方法我们在下面黑客攻击方法中有详细的介绍,这里就不细说了。
1.3 巩固控制
黑客利用种种手段进入目标主机系统并获得控制权之后,不是像大家想象的那样会马上进行破坏活动,删除数据、涂改网页等,那是毛头小伙子们干的事情。一般入侵成功后,黑客为了能长时间表的保留和巩固他对系统的控制权,不被管理员发现,他会做两件事:清除记录和留下后门。日志往往会记录上一些黑攻击的蛛丝马迹,黑客当然不会留下这些“犯罪证据”,他会把它删了或用假日志覆盖它,为了日后面以不被觉察地再次进入系统,黑客会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序。
1.4 继续深入
清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动;窃取主机上的各种敏感信息:软件资料、客户名单、财务报表、信用卡号等等,也可能是什么都不动,只是把你的系统作为他存放黑客程序或资料的仓库,也可能黑客会利用这台已经攻陷的主机去继续他下一步的攻击,如:继续入侵内部网络,或者利用这台主机发动d.o.s攻击使网络瘫痪。
网络世界瞬息万变,黑客们各有不同,他们的攻击流程也不会全相同,上面我们提的攻击步骤是对一般情况而言的,是绝大部分黑客正常情况下采用的攻击步骤。
2.常见的几种攻击分类:
2.1入侵系统类攻击
这种攻击手法千变万化,可是攻击者的最终目的都是为了获得主机系统的控制权,从而破坏主机和网络系统。这类攻击又分为:信息收集攻击、口令攻击、漏洞攻击 信息收集型攻击并不对目标本身造成危害,这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术攻击;体系结构探测攻击;利用信息服务攻击;假消息攻击;网络监听攻击等。黑客还会运用社会工程收集信息。 口令攻击是网上攻击最常用的方法,入侵者通过系统常用服务或对网络通信进行监听来搜集帐号,当找到主机上的有效帐号后,就采用字典穷举法进行攻击,或者他们通过各种方法获取password文件,然后用口令猜测程序破译用户帐号和密码。 利用系统管理策略或配置文件的漏洞,获得比合法权限更高的操作权,如:电子邮件DEBUG、Decode、Pipe、Wiz;FTP的CWD~root、Site Exec;IP碎片攻击、NFS猜测、NFS Mknod、NFS UID检查、Rlogin-froot检查等。 利用系统配置疏忽的入侵攻击,如:利用CGI脚本权限配置错误的入侵攻击;利用环境变量配置疏忽的入侵攻击;Setuid 漏洞入侵攻击。 协议漏洞攻击,如:FTP协议攻击;服务程序漏洞攻击,如wu-ftpd漏洞攻击、IIS漏洞攻击;CGI漏洞攻击等。 利用WEB服务器的不合理配置,或CGI程序的漏洞进行攻击,达到获取脚本源码,非法执行程序,使WWW服务器崩溃等目的。如:对NT的IIS服务器的多种攻击,对许多免费CGI程序;对asp,java script程序
漏洞的攻击等。
2.2缓冲区溢出攻击
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它的指令,如果这些指令是放在有root权限的内存中,那么一旦这些指令得到了运行,黑客就以root权限控制了系统,达到入侵的目的。缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。 缓冲区溢出的一般攻击步骤为:在程序的地址空间里安排适当的代码(植入法或利用已存在的代码),然后,通过适当的地址初始化寄存器和存储器,让程序跳到黑客安排的地址空间中执行(如激活纪录、函数指针或长跳转缓冲区等)。
2.3欺骗类攻击
TCP/IP协议本身的一些缺陷可以被利用,使黑客可以对TCP/IP网络进行攻击,网络欺骗的技术主要有:HoneyPot和分布式HoneyPot、欺骗空间技术等。主要方式有:IP欺骗;ARP欺骗;DNS欺骗;Web欺骗;电子邮件欺骗;源路由欺骗(通过指定路由,以假冒身份与其它主机进行合法通信、或发送假报文,使受攻击主机出现错误动作;地址欺骗(包括伪造源地址和伪造中间站点)等。 以IP欺骗攻击为例说明如下,其的实施步骤为:选定目标主机——发现主机间的信任模式——使被信任主机葬失工作能力——TCP序列号的取样和预测——冒充被信任主机进入系统,并留下后门供以后使用。
2.4拒绝服务攻击
通过网络,也可使正在使用的计算机出现无响应、死机的现象,这就是拒绝服务攻击,简称DoS(Denial of Service)。这种攻击行为通过发送一定数量一定序列的报文,使网络服务器中充斥了大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。 常见的DoS工具有:同步洪流、WinNuke、死亡之PING、Echl攻击、ICMP/SMURF、Finger炸弹、Land攻击、Ping洪流、Rwhod、tearDrop、TARGA3、UDP攻击、OOB等。 分布式拒绝服务攻击:这种攻击采用了一种比较特别的体系结构,从许多分布的主机同时攻击一个目标,从而导致目标瘫痪,简称DDoS (Distributed Denial of Service)。攻击步骤如下:探测扫描大量主机以找到可以入侵的脆弱主机——入侵有安全漏洞的主机并获取控制权——在每台被入侵的主机上安装攻击程序(整个过程都是自动化的,在短时间内即可入侵数千台主机)——在控制了足够多的主机之后,从中选择一台作为管理机,安装攻击主程序——到指定逻辑状态后,该管理机指挥所有被控制机对目标发起攻击,造成目标机瘫痪。如:Trinoo、TFN、Stacheldraht、TFN2K、Blitznet、Fapi、Shaft、Trank 攻击等。
2.5对防火墙的攻击
一般来说,防火墙的抗攻击性很强,可是它也不是不可攻破的。其实,防火墙也是由软件和硬件组成的,在设计和实现上都不可避免地存在着缺陷。对防火墙的探测攻击技术有:Firewalking技术、Hping。 绕过防火墙认证的攻击手法有:地址欺骗和TCP序号协同攻击、IP分片攻击、Tcp/Ip会话劫持、协议隧道
攻击、干扰攻击、利用FTP-pasv绕过防火墙认证的攻击。 直接攻击防火墙系统的常见手法有:CiscoPix防火墙的安全漏洞:CiscoPIX防火墙的拒绝服务漏洞、CISCOPIX防火墙FTP漏洞允许非法通过防火墙。
2.6利用病毒攻击
病毒是黑客实施网络攻击的有效手段之一,它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性,而且在网络中其危害更加可怕,目前可通过网络进行传播的病毒已有数万种,可通过注入技术进行破坏和攻击。 计算机病毒攻击的传播途径有电子邮件、传统的软盘、光盘、BBS、WWW浏览、FTP文件下载、新闻组、点对点通信系统和无线通信系统等。
2.7木马程序攻击
特洛依木马是一种骗子程序,提供某些功能作为诱饵,背地里干一些鬼事,当目标计算机启动时,木马程序随之启动,然后在某一特定的端口监听,在通过监听端口收到命令后,木马程序根据命令在目标计算机上执行一些操作,如传送或删除文件,窃取口令,重新启动计算机等。常见的特洛伊木马程序有:BO、Netspy、Netbus等。
2.8后门攻击
后门是指入侵者躲过日志,使自己重返被入侵系统的技术,后门种类很多,常见的有:调试后门、管理后门、恶意后门、Login后门、Telnet后门、rhosts +后门、服务后门、文件系统后门、内核后门、Boot后门、TCP Shell后门等。
2.9信息战
信息战指利用现代信息手段,通过夺取信息优势来达到自己的军事目的,它既包括了攻击对方的认识和信念,也包括了利用信息优势在实际战斗中打败对方。包括:进攻性信息战(如:电子战进攻、计算机网络进攻、截获和利用敌方的信息、军事欺骗、进攻性心理战、物理摧毁、微处理芯片攻击、利用电磁辐射窃取信息、高功率微波武器等)和防御性信息战(如:电子战防卫、计算机通信和网络安全防护、反情报、防御性的军事欺骗及反欺骗、防御性心理战、防物理摧毁、防御性信息武器等)。
3.常见的几种攻击与防范:
3.1DoS 与DDoS攻击原理及其防范
拒绝服务(Denial of Service,简称DoS)攻击是一种利用TCP/IP协议的弱点和系统存在的漏洞,对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的,对网络服务器发送大量“请求”信息,造成网络或服务器系统不堪重负,致使系统瘫痪而无法提供正常的网络服务。分布式拒绝服务(Distributed Denial of Service,简称DDoS)攻击是在拒绝服务攻击的基础上产生的一种分布式、协作式的大规模拒绝服务攻击方式。
目前,拒绝服务攻击和分布式拒绝服务攻击已成为一种遍布全球的系统漏洞攻击方法,无数网络用户都受到这种攻击的侵害,造成了巨大的经济损失。因此,了解DoS 与DDoS攻击原理及基本的防范方法,对所有网络用户特别是网络管
理人员有着重要的意义。
3.2DoS攻击
DoS攻击的方式主要是利用合理的服务请求,来占用过多的网络带宽和服务器资源,致使正常的连接请求无法得到响应。常见的DoS攻击方法有:SYN Flood 攻击、Land 攻击、Smurf攻击、UDP攻击等。下图2为DoS攻击的基本过程。
3.3SYN Flood攻击
SYN Flood攻击是一种最常见的DoS攻击手段,它利用TCP/IP连接的“三次握手”过程,通过虚假IP, 源地址发送大量SYN 数据包,请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后,等待对方连接,虚假的IP 源地址将不给予响应。这样,连接请求将一直保存在系统缓存中直到超时。
如果系统资源被大量此类未完成的连接占用,系统性能自然会下降。后续正常的TCP 连接请求也会因等待队列填满而被丢弃,造成服务器拒绝服务的现象。
3.4Land 攻击
Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包,造成目标主机解析Land包时占用大量系统资源,从而使网络功能完全瘫痪的攻击手段。其方法是将一个特别设计的SYN包中的源地址和目标地址都设置成某个被攻击服务器的地址,这样服务器接收到该数据包后会向自己发送一个SYN—ACK 回应包,SYN—ACK又引起一个发送给自己的ACK包,并创建一个空连接。每个这样的空连接到将暂存在服务器中,当队列足够长时,正常的连接请求将被丢弃,造成服务器拒绝服务的现象。
3.5Smurf攻击
Smurf攻击是一种放大效果的ICMP攻击方式,其方法是攻击者伪装成被攻击者向某个网络上的广播设备发送请求,该广播设备会将这个请求转发到该网络的其他广播设备,导致这些设备都向被攻击者发出回应,从而达到以较小代价引发大量攻击的目的。例如,攻击者冒充被攻击者的IP使用PING来对一个C类网络的广播地址发送ICMP包,该网络上的254台主机就会对被攻击者的IP发送ICMP回应包,这样攻击者的攻击行为就被放大了254 倍。
3.6UDP攻击
UDP攻击是指通过发送UDP数据包来发动攻击的方式。在UDP Flood攻击
中,攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包,从而使被攻击者不能提供正常的服务,甚至造成系统资源耗尽、系统死机。由于UDP协议是一种无连接的服务,只要被攻击者开放有一个UDP服务端口,即可针对该服务发动攻击。UDP攻击通常可分为UDP Flood 攻击、UDP Fraggle攻击和DNS Query Flood攻击。
①UDP Fraggle攻击的原理与Smurf攻击相似,也是一种“放大”式的攻击,不同的是它使用UDP回应代替了ICMP回应。
②DNS Query Flood攻击是一种针对DNS服务器的攻击行为。攻击者向DNS 的UDP 53端口发送大量域名查询请求,占用大量系统资源,使服务器无法提供正常的查询请求。从以上4种DoS攻击手段可以看出,DoS攻击的基本过程包括以下几个阶段:①攻击者向被攻击者发送众多的带有虚假地址的请求;②被攻击者发送响应信息后等待回传信息;③由于得不到回传信息,使系统待处理队列不断加长,直到资源耗尽,最终达到被攻击者出现拒绝服务的现象。
3.7DDoS攻击
DoS攻击主要是采用一对一的攻击方式。当目标计算机的配置较低或网络带宽较小时,其攻击的效果较为明显。随着计算机及网络技术的发展,计算机的处理能力迅速增长,网络带宽也从百兆发展到了千兆、万兆,DoS攻击很难奏效。DDoS攻击是DoS攻击的一种演变,它改变了传统的一对一的攻击方式,利用网络调动大量傀儡机,同时向目标主机发起攻击,攻击效果极为明显。
3.8DDoS攻击原理
DDoS主要采用了比较特殊的3层客户机/服务器结构,即攻击端、主控端和代理端,这3者在攻击中各自扮演着不同的角色。攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。攻击者发起DDoS攻击的第一步,就是寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起攻击。这种3层客户机/服务器结构,使DDoS具有更强的攻击能力,并且能较好地隐藏攻击者的真实地址。下图3为DDoS的攻击原理。
DDoS攻击一旦实施,攻击数据包就会像洪水般地从四面八方涌向被攻击主机,从而把合法用户的连接请求淹没掉,导致合法用户长时间无法使用网络资源。
3.8.1DDoS攻击的主要形式
DDoS攻击的主要形式有以下几种:
①通过大量伪造的IP 向某一固定目标发出高流量垃圾数据,造成网络拥塞,使被攻击主机无法与外界通信。
②利用被攻击主机提供的服务或传输协议上的缺陷,反复高速地发送对某特定服务的连接请求,使被攻击主机无法及时处理正常业务。
③利用被攻击主机所提供服务中数据处理上的缺陷,反复高速地发送畸形数据引发服务程序错误,大量占用系统资源,使被攻击主机处于假死状态,甚至导致系统崩溃。
3.8.2Trinoo攻击软件攻击实例
DDoS攻击不断在Internet出现,并在应用的过程中不断的得到完善,已有一系列比较成熟的软件产品,如Trinoo、独裁者DDoS攻击器、DdoSer、TFN、TFN2K等,他们基本核心及攻击思路是很相象的,下面就通过Trinoo对这类软件做一介绍。
Trinoo是基于UDP flood的攻击软件,它向被攻击目标主机随机端口发送全零的4字节UDP包,被攻击主机的网络性能在处理这些超出其处理能力垃圾数据包的过程中不断下降,直至不能提供正常服务甚至崩溃。它对IP地址不做假,采用的通讯端口是:
攻击者主机到主控端主机:27665/TCP
主控端主机到代理端主机:27444/UDP
代理端主机到主服务器主机:31335/UDP
Trinoo攻击功能的实现,是通过三个模块付诸实施的:1、攻击守护进程(NS);
2、攻击控制进程(MASTER);
3、客户端(NETCAT,标准TELNET程序等)。攻击守护进程NS是真正实施攻击的程序,它一般和攻击控制进程(MASTER)所在主机分离,在原始C文件NS.C编译的时候,需要加入可控制其执行的攻击
(只有在NS.C中的IP方可发起NS的攻击行为)控制进程MASTER所在主机IP,
编译成功后,黑客通过目前比较成熟的主机系统漏洞破解(如RPC.CMSD,RPC.TTDBSERVER,RPC.STATD)可以方便的将大量NS植入因特网中有上述漏洞主机内。NS运行时,会首先向攻击控制进程(MASTER)所在主机的31335端口发送内容为HELLO的UDP包,标示它自身的存在,随后攻击守护进程即处于对端口27444的侦听状态,等待MASTER攻击指令的到来。
攻击控制进程(MASTER)在收到攻击守护进程的HELLO包后,会在自己所在目录生成一个加密的名为...的可利用主机表文件,MASTER的启动是需要密码的,在正确输入默认密码gOrave后,MASTER即成功启动,它一方面侦听端口31335,等待攻击守护进程的HELLO包,另一方面侦听端口27665,等待客户端对其的连接。当客户端连接成功并发出指令时,MASTER所在主机将向攻击守护进程ns所在主机的27444端口传递指令。
客户端不是Trinoo自带的一部分,可用标准的能提供TCP连接的程序,如TELNET,NETCAT等,连接MASTER所在主机的27665端口,输入默认密码betaalmostdone后,即完成了连接工作,进入攻击控制可操作的提示状态。
目前版本的Trinoo有六个可用命令,mtimer:设定攻击时长,如mtimer 60,攻击60秒,如果不设置的话,默认是无限。dos:对某一目标主机实施攻击,如dos 12.34.45.56 mdie:停止正在实施的攻击,使用这一功能需要输入口令killme,mping:请求攻击守护进程NS回应,监测ns是否工作。mdos,对多个目标主机实施攻击,msize:设置攻击UDP包的大小。Trinoo运行的总体轮廓可用图4说明:
我们来看一次攻击的实例:
被攻击的目标主机victim IP为:192.168.1.45
ns被植入三台sun的主机里,他们的IP对应关系分别为
client1:192.168.1.11
client2:192.168.1.12
client3:192.168.1.13
master所在主机为masterhost:192.168.1.14
首先我们要启动各个进程,在client1,2,3上分别执行ns,启动攻击守护进程,
其次,在master所在主机启动master
masterhost# ./master
?? gOrave (系统示输入密码,输入gOrave后master成功启动)
Trinoo v1.07d2+f3+c [Mar 20 2000:14:38:49] (连接成功)
在任意一台与网络连通的可使用telnet的设备上,执行:
telnet 192.168.1.14 27665
Escape character is '^]'.
betaalmostdone (输入密码)
Trinoo v1.07d2+f3+c..[rpm8d/cb4Sx/]
Trinoo> (进入提示符)
Trinoo> mping (我们首先来监测一下各个攻击守护进程是否成功启动)
mping:Sending a PING to every Bcasts.
Trinoo> PONG 1 Received from 192.168.1.11
PONG 2 Received from 192.168.1.12
PONG 3 Received from 192.168.1.13 (成功响应)
Trinoo> mtimer 60 (设定攻击时间为60秒)
mtimer:Setting timer on bcast to 60.
Trinoo> dos 192.168.1.45
DoS:Packeting 192.168.1.45......
至此一次攻击结束,此时ping 192.168.1.45,会得到icmp不可到达反馈,
目标主机此时与网络的正常连接已被破坏。由于Trinoo尚未采用IP地址欺
骗,因此在被攻击的主机系统日志里我们可以看到如下纪录:
Mar 20 14:40:34 victim snmpXdmid:Will attempt to re-establish connection.
Mar 20 14:40:35 victim snmpdx:
error while receiving a pdu from 192.168.1.11.59841:The message has a wrong header type (0x0) Mar 20 14:40:35 victim snmpdx:
error while receiving a pdu from 192.168.1.12.43661:The message has a wrong header type (0x0) Mar 20 14:40:36 victim snmpdx:
error while receiving a pdu from 192316831.13.40183:The message has a wrong header type (0x0)
Mar 20 14:40:36 victim snmpXdmid:
Error receiving PDU The message has a wrong header type (0x0).
Mar 20 14:40:36 victim snmpXdmid:
Error receiving packet from agent; rc = -1.
Mar 20 14:40:36 victim snmpXdmid:
Will attempt to re-establish connection.
Mar 20 14:40:36 victim snmpXdmid:
Error receiving PDU The message has a wrong header type (0x0).
Mar 20 14:40:36 victim snmpXdmid:
Error receiving packet from agent; rc = -1.
由上述日志,我们不难看出发起攻击的IP地址,这一问题,通过IP spoof
在后期的软件TFN,TFN2K等软件中得到了解决,给被攻击者找出肇事者进一步增加了难度。
3.8.3DoS 与DDoS攻击的检测与防范
从DoS 与DDoS攻击过程可以看出,其攻击的目的主要有:(1)对网络带宽的流量攻击;(2)对服务器某特定服务的攻击。攻击的手段主要是发送大量垃圾数据交由网络设备或服务器处理,导致资源占用超出允许上限,使网络中断或无法提供正常服务。
由于DoS 、DDoS是利用网络协议的缺陷进行的攻击,所以要完全消除攻击的危害是非常困难的。从理论上说,只要是带宽或服务器资源有限的系统都会受到DoS 或DDoS攻击的威胁。对于暴力型DDoS攻击,即使是最先进的防火墙也无能为力。攻击者可能无法越过防火墙攻击内部网络中的服务器系统,但防火墙阻挡这些攻击数据包,必须付出高额的资源开支,这同样会造成网络性能下降,甚至网络中断。在实际应用中,我们可以通过一些方法检测到攻击现象的出现,并减缓攻击造成的危害。
3.9ARP攻击
网络提示连接出现故障,IP冲突,无法打开网页,频繁弹出错误对话框。如果你的PC有以上的表现,那就要考虑是否遭到ARP攻击了。
ARP欺骗是通过MAC翻译错误造成计算机内的身份识别冲突,它和DOS一样,目前没有特别系统的解决方案,但有一些值得探讨的技术技巧。
一般我们采取安装防火墙来查找攻击元凶,利用ARP detect可以直接找到攻击者以及可能参与攻击的对象。ARP detect默认启动后会自动识别网络参数,当然用户还是有必要进行深入设置。首先要选择好参与内网连接的网卡,这点非常重要,因为以后所有的嗅探工作都是基于选择的网卡进行的。然后检查IP地址、网关等参数。
需要提醒用户的是,检测范围根据网络内IP分布情况来设置,如果IP段不清楚,可以通过CMD下的ipconfig来查看网关和本机地址。不要加入过多无效IP,否则影响后期扫描工作。不过遗憾的是,这种方法在很多ARP病毒攻击的情况下并不乐观。首先我们需要管理员多做一些工作,尤其是路由器上的IP地址绑定,并且随时查看网络当前状态是否存在IP伪装终端,先确实找到攻击源并采取隔离措施。
ARP攻击一旦在局域网开始蔓延,就会出现一系列的不良反应。sniffer是网络管理的好工具,网络中传输的所有数据包都可以通过sniffer来检测。同样arp欺骗数据包也逃不出sniffer的监测范围。通过嗅探定位隔离封堵几个步骤,可以很好的排除大部分ARP攻击。
3.10嗅探扫描
常在网上漂,肯定被扫描。网络扫描无处不在,也许你觉得自己长期安然无事,那是因为你的终端不够长期稳定的联在网上。对于服务器来说,被扫描可谓是危险的开始。这里面又以Sniffer为主。如何发现和防止Sniffer嗅探器呢?
通过一些网络软件,可以看到信息包传送情况,向ping这样的命令会告诉你掉了百分几的包。如果网络中有人在监听扫描,那么信息包传送将无法每次都顺畅的流到目的地,这是由于sniffer拦截每个包导致的。
通过某些带宽控制器,比如防火墙,可以实时看到目前网络带宽的分布情况,如果某台机器长时间的占用了较大的带宽,这台终端就有可能在监听。
另一个比较容易接受的是使用安全拓扑结构。这听上去很简单,但实现起来花销是很大的。这样的拓扑结构需要有这样的规则:一个网络段必须有足够的理由才能信任另一网络段。网络段应该考虑你的数据之间的信任关系上来设计,而不是硬件需要。
在网络上,各种攻击层出不穷,但对于终端来说,防范管理都要注意以下几个方面:
1.要做好路由器的保护,它是攻击成败的转折点
2.不要以为自己的口令很复杂,获取口令不仅仅是靠猜解
3.终端的端口和服务是控制危险的平衡闸
4.注意系统的升级
5.带宽要足够,并且稳定,如果资金允许,配备强大的硬件防火墙
3.11脚本攻击
大家都听过SQL注入攻击吧,所谓SQL注入就是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,这种攻击脚本最直接,也最简单,当然,脚本攻击更多的是建立在对方漏洞的基础上,它比DOS和ARP攻击的门槛更高。
随着交互式网页的应用,越来越多的开发者在研究编写交互代码时,漏掉了一些关键字,同时也会造成一部分程序冲突。这里包括Cookie欺骗、特殊关键字未过滤等等。导致了攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得一些他想得到的数据。SQL注入利用的是正常的HTTP服务端口,表面上看来和正常的web访问没有区别,隐蔽性极强,不易被发现。
虽然这项技术稍显落后,国内也是在几年前才开始兴起,但涉及到其覆盖面广,出现问题的几率大,造成很多网站都不行中招,甚至导致服务器被攻陷。
SQL注入攻击的特点就是变种极多,有经验的攻击者会手动调整攻击参数,致使攻击数据的变种是不可枚举的,这导致传统的特征匹配检测方法仅能识别相当少的攻击,难以防范。因为采取了参数返回错误的思路胶带机白癜风笑话电子straw bag制砂机反击式破碎机,造成很多方式都可以给攻击者提示信息,所以系统防范起来还是很困难,现在比较好的办法是通过静态页面生成方式,将终端页面呈现在用户面前,防止对方随意添加访问参数。
4.常见的网络安全防范措施:
网络级安全检测与防范
目前比较流行的网络级安全防范措施是使用专业防火墙+入侵检测系统
(IDS)为企业内部网络构筑一道安全屏障。防火墙可以有效地阻止有害数据的通过,而IDS 则主要用于有害数据的分析和发现,它是防火墙功能的延续。2者联动,可及时发现并减缓DoS、DDoS 攻击,减轻攻击所造成的损失。
通常人们认为,只要安装防火墙就可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用过程中暴露出以下的不足:
(1)防火墙在工作时,入侵者可以伪造数据绕过防火墙,或者找到防火墙中可能敞开的后门。
(2)由于防火墙通常被安装在网络出口处,所以对来自网络内部的攻击无能为力。
(3)由于防火墙性能上的限制,通常它不具备实时监控入侵的能力。
(4)防止病毒入侵是防火墙的一个弱项。
IDS恰好弥补了防火墙的不足,为网络提供实时的数据流监控,并且在发现入侵的初期协同防火墙采取相应的防护手段。目前IDS系统作为必要附加手段,已经被大多数企业的安全构架所接受。
最近市场上出现了一种将防火墙和IDS两者合二为一的新产品“入侵防御系统”(Iutrusion Prevention System简称IPS)。它不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,二者的整合大幅度地提高了检测和阻止网络攻击的效率,是今后网络安全架构的一种发展趋势。
通过编写防火墙规则,可以让系统知道什么样的信息包可以进入、什么样的应该放弃,如此一来,当黑客发送有攻击性信息包的时候,在经过防火墙时,信息就会被丢弃掉,从而防止了黑客的进攻。如天网防火墙,安装后进入自定义IP 规则,进行设置:
(1)禁止互联网上的机器使用我的共享资源。
(2)禁止所有人的连接。
(3)禁止所有人连接低端口。
(4)允许已经授权的程序打开端口,这样一切需要开放的端口程序都需要审批。但是不要勾选“系统设置”里的“允许所有应用程序访问网络,并在规则记录这些程序”,这个设置是防范反弹木马和键盘记录的秘密武器。
4.1常规安全检测与防范
常规检测与防范是面向网络中所有服务器和客户机的,是整个网络的安全基础。可以设想,如果全世界所有计算机都有较好的防范机制,大规模计算机病毒爆发和DDoS攻击发生的概率将锐减。所以,在任何安全防范体系中加强安全教育、树立安全意识及采取基本的防护手段都是最重要的。
在实际应用中,可以使用Ping命令和Netstat —an命令检测是否受到了DoS、DDoS 攻击。若发现网络速度突然变慢,使用Ping命令检测时出现超时或严重丢包,则有可能是受到了流量攻击。若使用Ping命令测试某服务器时基本正常,但无法访问服务(如无法打开网页,DNS失效等),而Ping同一交换机上的其他主机正常,则有可能是受到了资源耗尽攻击。在服务器上执行Netstat —an命令,若显示有大量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态,而ESTABLISHED状态较少,则可以认定是受到了资源耗尽攻击。
要增强网络中的服务器的抵抗力可采用的方法有:
4.2关闭不必要的服务
因为现在的硬盘越来越大,许多人在安装操作系统时,希望安装越多越好。岂不知装得越多,所提供的服务就越多,而系统的漏洞也就越多。如果只是要作为一个代理服务器,则只安装最小化操作系统和代理软件、杀毒软件、防火墙即可,不要安装任何应用软件,更不可安装任何上网软件用来上网下载,甚至输入法也不要安装,更不能让别人使用这台服务。
4.3安装补丁程序
上面所讲的利用输入法的攻击,其实就是黑客利用系统自身的漏洞进行的攻击,对于这种攻击我们可以下载微软提供的补丁程序来安装,就可较好地完善我们的系统和防御黑客利用漏洞的攻击。我们可下载windows最新的service pack 补丁程序,也可直接运行开始菜单中的windows update 进行系统的自动更新。
4.4关闭无用的甚至有害的端口
计算机要进行网络连接就必须通过端口,要控制我们的电脑也必须要通过端口。所以我们可通过关闭一些对于我们暂时无用的端口(但对于“黑客”却可能有用),即关闭无用的服务,来减少“黑客”的攻击路径。我们可通过“控制面板”的“管理工具”来进入“服务”,也可用通过打开“TCP/IP协议” →选择“属性”,打开“常规” →选择“高级”,打开“选项” →选择“TCP/IP筛选” →选择“属性” →双击“TCP/IP 筛选” →选择“只允许” →选择“添加”添加需要打开的端口;如上网必须要利用的80端口。
4.5删除Guest账号
win2000的Guest账号一般是不能更改和删除的,只能“禁用”,但是可以通过net命令(net user guest /active)将其激活,所以它很容易成为“黑客”攻击的目标,所以最好的方法就是将其删除,下载Ptsec.exe 即win2000权限提升程序。进入cmd,打入Ptsec /di回车,退出。进入注册表,搜索guest,删除它,Guest 账号就被删除了。
4.6限制不必要的用户数量
去掉所有的duplicate user账号,测试账号,共享账号,不再使用的账号。这些账号常会成为黑客入侵系统的突破口,账号越多,黑客得到合法用户的权限的机会就越大。如果你的计算机账号自动增加,则可判断你被入侵了。
4.7及时备份重要数据
亡羊补牢,如果数据备份及时,即便系统遭到黑客进攻,也可以在短时间内修复,挽回不必要的经济损失。想国外很多商务网站,都会在每天晚上对系统数据进行备份,在第二天清晨,无论系统是否收到攻击,都会重新恢复数据,保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上,这样黑客进入服务器之后,破坏的数据只是一部分,因为无法找到数据的备份,对于服务器的损失也不会太严重。然而一旦受到黑客攻击,管理员不要只设法恢复损坏的数据,还要及时分析黑客的来源和攻击方法,尽快修补被黑客利用的漏洞,然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号,尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净,防止黑客的下一次攻击。
4.8使用加密机制传输数据
对于个人信用卡、密码等重要数据,在客户端与服务器之间的传送,应该先经过加密处理在进行发送,这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制,都已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如DES加密方法,这是一套没有逆向破解的加密算法,因此黑客的到了这种加密处理后的文件时,只能采取暴力破解法。个人用户只要选择了一个优秀的密码,那么黑客的破解工作将会在无休止的尝试后终止。
5.网络攻击手段中几种常见的攻击软件:
5.1工具一:Password Crackers
Password Crackers因其用途广泛而成为黑客使用的主流工具。实施口令破译攻击分为两步,第一步:攻击者首先从被攻击对象的计算机里读出一个加密口令档案(大部分系统,包括Windows NT及UNIX,他们把口令加密后储存在档案系统内,以便当用户登录时认证);第二步:攻击者以字典为辅助工具,用Password Crackers 开始尝试去破译口令。其办法是把字典的每一项进行加密,然后两者进行比较。假若两个加密口令相符,黑客就会知道该口令;假若两者不符,此工具继续重复工作,直到字典最后一项。有时,黑客们甚至会试遍每一种字母的组合。使用该种方法,口令破译的速度与加密及比较的速度有关。
5.2工具二:L0phtCrack
L0phtCrack由黑客组L0pht Heavy Industries撰写,于1997年推出。它以共享软件(Shareware)的形式传播。它专门用于破译Windows NT口令。此工具性能强大,又很容易使用,初学者只需少量指点便能破译口令。1999年1月推出的L0phtCrack 2.5版优化了DES密码程序,软件性能也随之提高(比旧版本快450%)。据称,一台450 MHz Pentium II 计算机一天内就可破译所有字母数字混合的口令。
L0phtCrack 可通过多种渠道得到加密的口令档案。只要黑客运行一个包含L0phtCrack的程序,或从window NT系统管理员的备份软盘里拷贝一个程序,就可以得到Windows NT系统里的SAM数据库。L0phtCrack最新版的GUI可以从网络中得到加密的Windows口令。当你登录到NT域,你的口令会被用哈希算法送到网络上。L0phtCrack的内置嗅探器很容易找到这个加密值并破译它。
因为这个工具对IT从业人员也有极大用处,所以从L0phtCrack 2.0版以后开始收取注册费。最新版可以有15天免费试用期,超过15日则收取100美金,并且有多个破译程序以供选择,有些收取费用,有些可从自由软件库中得到。
L0phtCrack的防范
抵御口令破译攻击的最好方法是执行强制的口令防范政策。例如要求用户设想的口令很难被猜到。如口令应该至少有8位,包括数字、字母及特殊字符(如!@#$%);口令应不包括字典字。为了进一步保障安全,一些口令自动设置工具可以帮助用户设计复杂的口令。
此外,你应该时常用口令破译工具检查公司的口令是否安全。当然,只有安全管理人员或是经他们授权的人员才能允许使用该种工具,而且必须得到书面的批准。同时你也应当事先对口令不幸被破译的用户做出解决方案,选择向他发Email,还是亲自拜访用户,向他解释你的口令政策。这些问题在进行口令评估
前应考虑完全。
5.3工具三:War Dialers
很多公司非常重视防火墙的安全。然而,这个坚固的防线只封住了网络的前门,但内部网中不注册的调制解调器却向入侵者敞开了“后门”。War Dialers能迅速地找出这些调制解调器,随即攻入网络。因此,它成为一个非常受入侵者欢迎的工具。
War Dialer因电影“War Games”而一举成名。它的攻击原理非常简单:不断以顺序或乱序拨打电话号码,寻找调制解调器接通后熟悉的回应音。一旦War Dialers找到一大堆能接通的调制解调器后,黑客们便拨号入网继续寻找系统内未加保护的登录或容易猜测的口令。War Dialers首选攻击对象是“没有口令”的PC远程管理软件。这些软件通常是由最终用户安装用来远程访问公司内部系统的。这些PC远程控制程序当用到不安全的调制解调器时是异常脆弱的。
THC-Scan是The Hacker’s Choice (THC) Scanner的缩写。这个War Dialers 工具是由“van Hauser”撰写的。它的功能非常齐全。THC-Scan 2.0版于1998年圣诞节推出,THC-Scan与Toneloc (由“Minor Threat”及“Mucho Maas”撰写) 用途近似。THC-Scan与其他普通War Dialers工具不同,它能自动检测调制解调器的速度、数据位、校验位及停止位。此工具也尝试去判断被发现的计算机所使用的操作系统。而且,THC-Scan有能力确认什么时候能再有拨号音,这样,黑客们便可以不经过你的PBX就可以拨打免费电话。
War Dialers的防范
当然,最有效防范措施就是使用安全的调制解调器。取消那些没有用途的调制解调器。且用户必须向IT部门注册后才能使用调制解调器。对那些已注册并且只用作外发的调制解调器,就将公司的PBX的权限调至只允许外拨。每个公司应有严格的政策描述注册的调制解调器并控制PBX。由于市场零售店内有使用方便、价格便宜的数字调制解调器出售, 用户也能把调制解调器安装在只有数字线的PBX上使用。
除此之外,你还要定期作渗透测试,找出电话交换器内不合法的调制解调器。选用一个好的工具去寻找与网络连接的调制解调器。对于被发现、但未登记的调制解调器,要么拿掉它们,要么重新登记。
5.4工具四:Net Cat
Net Cat是一个用途广泛的TCP及UDP连接工具。它是由“Hobbit”于1995年为UNIX编写的,于1997年推出。对系统管理人员及网络调试人员而言,它是一个非常有用的工具。当然,它也是一个攻击网络的强大工具。
Net Cat有许多功能,号称黑客们的“瑞士军刀”。与功能强大的UNIX脚本语言结合时,Net Cat是制造网络工具的基本组件。Net Cat的基本程序可以以聆听式和客户式两种方式运行。当以聆听式运行时,Net Cat是一个服务器进程,等待与指定的TCP或UDP端口连接。而以客户式运行时,Net Cat能连接到用户指定的任何端口。
Net Cat在一个系统内以聆听式运行,同时在另一系统内以客户式运行时,Net Cat可以发动很多攻击。它可以在任何端口提供后门登录,如UDP端口53。从网络包角度来分析,这种登录被看成是一系列DNS问答,其实这是真正的后门登录。当在两系统内以两种方式同时运行时,Net Cat可以在任何端口架构快
捷、简单的档案传输机制。
Net Cat也可以是源路包。当Net Cat以客户方式运行时,它是个UDP及TCP 端口扫描器。当它发现系统内有打开的端口时,Net Cat会轻而易举地与这些端口连接。
Net Cat NT版有一个独特之处:它可以将自己绑定在当前进程的端口前端。利用这一功能可以非常有效地向服务器或Web服务器发动攻击。这种连接也可以因拒绝服务攻击(Denial-of-service DoS)而被断掉。有时黑客把自己的请求送到正当的服务器进程前,编写特别的程序用来寻找敏感数据(口令、银行帐号等)。
Net Cat防范
最佳防范Net Cat的方法是“最小特权原理”(昵称为“polyp”)(Principle of Least Priviledges)。也就是说,不让不需要的端口经过防火墙,只有那些你允许通过的端口可以与指定的主机连接。例如:经过防火墙的DNS查询,只打开需要此服务的UDP 53端口(通常是一个内部DNS服务器把这些查询转出到Internet)。这样就可以防止攻击者有机会把Net Cat包送到你内部网的任何主机上。
至于那些可以被外部访问的系统,在防范Net Cat攻击时,你要清楚这些机器上已运行的进程,并且仔细调查那些不寻常进程,因为它们可能是后门聆听者。你必须定期检查端口,以便发现有没有聆听者侵入你的机器。
为了防止回放攻击,所有应用系统应该为每条消息(包括web cookies、表单或者是原始数据)盖上时间印及顺序号码。所有消息的时间印及顺序号应经过密码完整性测试,确保没有被修改或回放。
5.5工具五:Session Hijacking
很多应用系统采用命令行登录是不安全的,尤其是telnet、rsh、rlogin及FTP程式,它们全是黑客攻击对象。任何一个黑客在连接了客户与服务器之间的网段后,可以用Session Hijacking工具接管会话。
当一个合法用户登录到命令行进行会话时,黑客可以找到此会话并马上代表用户接管此会话,重新连接客户,这样黑客便完全控制这个登录,进而黑客成为合法用户。而真正的用户会简单地认为网络出故障了,从而会断掉会话。
黑客圈里有大量此种黑客工具,最新的有“Kra”于1998年11月编写的Hunt,还有“daemon9”编写的juggernaut,它们均提供基本的Session Hijacking功能。
Session Hijacking防范
对于敏感的会话通信(如防火墙的远程管理、PKI或是其他重要部件的管理),选用一个有密码认证功能的工具把整个会话加密是一个好选择。Secure Shell (SSH)就提供这些功能。VPN产品也提供认证及会话加密。黑客没有在SSH 或VPN工具里所用的钥匙便无法进行会话攻击。
快乐的结局
让我们回顾一下三个月前篇首所描述的攻击情节。
当你调查这次攻击时,你发现入侵者使用war dialing找出一个供用户使用的不受保护的调制解调器。随后他接管了这个系统,并扫描……
介绍一下硬件防护技术:IDS
摘自百度词条,因为写的短小精悍,所以全部摘来了。
定义:IDS最早出现在1980年4月。该年,James P. Anderson为美国空军做了一份题为《Computer Security Threat Monitoring and Surveillance》的技术报告,在其中他提出了IDS的概念。1980年代中期,IDS逐渐发展成为入侵检测专家系统(IDES)。1990年,IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。目前,IDS发展迅速,已有人宣称IDS可以完全取代防火墙。
我们做一个形象的比喻:假如防火墙是一幢大楼的门卫,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:
(1)尽可能靠近攻击源
(2)尽可能靠近受保护资源
这些位置通常是:
·服务器区域的交换机上
·Internet接入路由器之后的第一台交换机上
·重点保护网段的局域网交换机上
由于入侵检测系统的市场在近几年中飞速发展,许多公司投入到这一领域上来。Venustech(启明星辰)、Internet Security System(ISS)、思科、赛门铁克等公司都推出了自己的产品。
[编辑本段]系统组成
IETF将一个入侵检测系统分为四个组件:事件产生器(Event generators);事件分析器(Event analyzers);响应单元(Response units );事件数据库(Event databases )。
事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,
也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
[编辑本段]系统分类
根据检测对象的不同,入侵检测系统可分为主机型和网络型。
系统通信协议
IDS系统内部各组件之间需要通信,不同厂商的IDS系统之间也需要通信。因此,有必要定义统一的协议。目前,IETF目前有一个专门的小组Intrusion Detection Working Group (IDWG)负责定义这种通信格式,称作Intrusion Detection Exchange Format(IDEF),但还没有统一的标准。
以下是设计通信协议时应考虑的问题:
1.系统与控制系统之间传输的信息是非常重要的信息,因此必须要保持数据的真实性和完整性。必须有一定的机制进行通信双方的身份验证和保密传输(同时防止主动和被动攻击)。
2.通信的双方均有可能因异常情况而导致通信中断,IDS系统必须有额外措施保证系统正常工作。
入侵检测技术
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上,入侵检测分为两类:一种基于标志(signature-based),另一种基于异常情况(anomaly-based)。
对于基于标识的检测技术来说,首先要定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。此方法非常类似杀毒软件。
而基于异常的检测技术则是先定义一组系统“正常”情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情况。
两种检测技术的方法、所得出的结论有非常大的差异。基于异常的检测技术的核心是维护一个知识库。对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。基于异常的检测技术则无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。
入侵检测系统(Intrusion-detection system,下称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
备注:IDS入侵检测系统在安全标准中是B+ 而现在的网络应用比如WINDOWS UNIX等操作系统包括防火墙在安全标准中等级皆为C-
看下百度zhidaoccc举的这个例子吧,防火墙是规则性的安全防护措施就好像小区里的保卫按照定的规则办事有小区出入证便可入内而这里边的最大问题是所定的规则合理么?其实大部分的黑客行为都是合法的就是钻了防火墙的规则漏洞进入网络后进行破坏的,而IDS则根据B+等级的安全标准判断你现在的规则是否有不合理的地方-通过网络检测-而制定更为合理的建议
入侵检测系统,英文简写为IDS,顾名思义,它是用来实时检测攻击行为以及报告攻击的。如果把防火墙比作守卫网络大门的门卫的话,那么入侵检测系统(IDS)就是可以主动寻找罪犯的巡警。因而寻求突破IDS的技术对漏洞扫描、脚本注入、URL攻击等有着非凡的意义,同时也是为了使IDS进一步趋向完善。
Snort是很多人都在用的一个IDS了,其实它也并不是万能的,笔者下面就来谈谈突破诸如Snort这类基于网络的IDS的方法:多态URL技术。
提起多态二字,大家可能会联想到编写病毒技术中的“多态”、“变形”等加密技术,其实我这里所要讲的URL多态编码技术和病毒的多态变形技术也有神似之处,就是用不同的表现形式来实现相同的目的。
对于同一个URL,我们可以用不同形式的编码来表示。IDS在实时检测时,将它检测到的数据与其本身规则集文件中规定为具有攻击意图的字符串进行对比,如果相匹配的话,则说明系统正在受攻击,从而阻止攻击以及发出警报。因为实现同一目的的URL可以用不同的形式来表示,所以经过变形编码后的URL 可能就不在IDS的规则集文件中,也就扰乱了IDS的识别标志分析引擎,从而就实现了突破、绕过IDS的效果!
多态URL编码技术有许多种,笔者在此介绍9种常用且有一定代表性的方法。为了便于讲解,这里以提交地址为/msadc/ msadcs.dll的URL来作为例。“/msadc/msadcs.dll”已经被收集到snort等各大IDS的规则集文件中,因而当我们向目标机器直接提交/msadc/ msadcs.dll时都会被IDS截获并报警。
第一招:“/./”字符串插入法
鉴于“./”的特殊作用,我们可以把它插入进URL中来实现URL的变形。比如对于/msadc/msadcs.dll,我们可以将它改写为/././msadc/././msadcs.dll、/./msadc/.//./msadcs.dll等形式来扰乱了IDS的识别标志分析引擎,实现了欺骗IDS的目的。而且改写后编码后的URL与未修改时在访问效果上是等效的。笔者曾经通过实验表明这种方法可以绕过Snort等IDS。
第二招:“00 ” ASCII码
前段时间动网上传漏洞就是利用的这一特性,大家肯定对此很熟悉了。它的原理就是计算机处理字符串时在ASCII码为00处自动截断。我们就可以把/msadc/msadcs.dll改写为/msadc/msadcs.dll Iloveheikefangxian,用Winhex 将.dll与Ilove之间的空格换为00的ASCII码,保存后再用NC配合管道符提交。这样在有些IDS看来/msadc/msadcs.dll Iloveheikefangxian并不与它的规则集文件中规定为具有攻击意图的字符串相同,从而它就会对攻击者的行为无动于衷。瞧!“计算机处理字符串时在ASCII码为00处自动截断”这一原理的应用多么广泛啊!从哲学上讲,事物之间相互存在着联系,我们应该多思考,挖掘出内在规律,这样就会有新的发现。
第三招:使用路径分隔符“\”
对于像微软的IIS这类Web服务器,“\“也可以当“/”一样作为路径分隔符。有些IDS在设置规则集文件时并没有考虑到非标准路径分隔符“\”。如果我们把/msadc/msadcs.dll改写为\msadc\ msadcs.dll就可以逃过snort的法眼了,因为snort的规则集文件里没有\msadc\ msadcs.dll这一识别标志。值得一提的是路径分隔符“\”还有个妙用,就是前段时间《黑客防线》上提到的“%5c”暴库大法,“%5c”就是“\”的16进制表现形式。