2023年02月04日
网络流行的扫描软件,在管理员手中是用来检测系统漏洞的工具,以防患于未然;而对于黑客来讲,它则是用来寻找攻击入口、为入侵工作做准备的必备工具。
一、常见的黑客攻击流程
黑客入侵主要是为了成为目标主机的主人,能够获得一台网络主机的超级用户权限,这就达到了入侵的目的,比如说修改服务配置、安装木马程序、执行任意程序等。虽说现在网络安全日新月异,旧的安全漏洞被补上,但是新的漏洞也会相继出现,网络攻击正是利用这些安全漏洞和缺陷对系统和资源进行攻击的。下面介绍黑客攻击的基本流程。
1、隐藏自己的行踪
黑客入侵就是要神不知鬼不觉地侵入目标主机,因此,在入侵之前要对自己做个伪装,不能让被攻击者轻易发现。在进行网络攻击之前,先对自己真实的IP地址隐藏,一般攻击者都是利用他人计算机来隐藏自己真实的IP,也有一些高手会通过800电话的无人转接服务连接ISP,再套用他人的账号进行伪装。
2、查询分析目标主机
攻击要有目标,在Internet中IP地址就能够真正标识一个主机,而域名是为了更好地对IP地址进行记忆管理的另一种显现方式,这样利用域名和IP地址就能够确定目标主机了。确定了目标主机之后,就可以对其操作系统类型及所提供的服务等信息,做一个全方位的分析和了解。
一般攻击者只用一些扫描器工具,了解目标主机所使用的操作系统类型及其版本、系统开放了哪些用户、Web等服务器程序版本信息等,为入侵做好充分准备。
3、获取权限用户进行入侵
获得目标主机权限用户是入侵的最基本手段,攻击者要先设法盗取目标主机的账户文件进行破解,来得到权限用户的账号和密码,再寻找合适时机以此身份登录主机。一般攻击者都是通过一些黑恶攻击或系统漏洞登录目标主机的。
4、留下后门和清除记录
在获取权限用户之后,就可以顺利登录目标主机系统,从而获得控制权,然后留下后门和清除记录,以便攻击者以后不被察觉地再次入侵该目标主机。
其实所谓后门只是一些木马程序或预先编译好的远程操纵程序,将这些程序修改时间和权限传输到目标主机隐秘的地方藏起来就可以了。一般攻击者喜欢使用rep传输文件,以免让受攻击者发现。攻击者还要使用清除日志、删除拷贝文件等方法清除自己的记录,隐藏好自己的踪迹。
5、窃取网络资源
成功入侵了目标主机,该主机的所有资料都将呈现在黑客面前,此时即可下载有用资料(如一些重要的账号密码),甚至造成该主机及其所在的网络瘫痪。
二、常用的网络防御技术
在浩瀚的网络世界里,当在用黑客技术攻击别人时,说不定自己也正在被某个黑客当作攻击目标。只有将黑客有可能攻击的弱点保护起来,才有可能保证自己“大本营”的安全。
下面针对黑客常用攻击手段介绍几个常用的防范方法。
1、协议欺骗攻击的防范措施
黑客攻击手段中有一种是利用协议欺骗来窃取报文的。要防止源IP地址欺骗的攻击方式,可采用如下几种方法:
(1)加密法。对发送到网络之前的数据包进行加密,在加密过程中要求适当改变网络配置,但能够保证发送数据的完整性、真实性和保密性。
(2)过滤法。配置路由器使其拒绝网络外部与本网段内具有相同IP地址的连接请求。而且当数据包的IP地址不在本网段内,路由器就不会将本网段主机的数据包发送出去。但路由器过滤也只是对来自于内部网络的外来数据包起作用,对于网络内存在的外部可信任主机就没有办法过滤了。
2、拒绝服务攻击的防范措施
在拒绝服务攻击中,SYN Flood攻击是典型的攻击方式,为了防止拒绝服务攻击,可以采取如下防御措施:
(1)在路由器上配置和调整限制SYN半开数据包的数量和个数。
(2)防止SYN数据段攻击,可对系统设置相应的内核参数,对超时的SYN请求连接数据包使系统强制复位,缩短超时常数并加长等候队列,使得系统能够及时处理无效的SYN请求数据包。
(3)在路由器的前端做必要的TCP拦截,只有经过完成3次握手过程的数据包才能通过该网段,有效保护本网段的服务器不被其攻击。
(4)管段可能产生无限序列的服务来防止信息淹没攻击。
其实最好的方法就是找出正在进行攻击的机器和攻击者,但这不太容易。因为对方一旦停止了攻击行为,就很难再发现其踪迹了。唯一可行的方法就是在其进行攻击时,采用回溯法根据路由器的信息和攻击数据包特征来查找攻击源头。
3、网络嗅探的防范措施
对于使用网络嗅探的方法检测自己系统的攻击者,可以采用如下措施进行防范:
(1)网络分段。一组共享底层和线路机器(如交换机、动态集线器和网桥等设备)可以组成一个网络段。在一个网络段中可以对数据流进行限制,从而达到防止嗅探工具的目的。
(2)加密。可以对数据流中的部分数据信息进行加密,也可以对应用层加密,不过应用层的加密将使大部分网络和操作系统相关的信息失去保护。因此,需要根据信息的安全级别及网络安全程序选择使用何种加密方式。
(3)一次性密码技术。这里所使用的密码将不会在网络中传输,而是直接在传输两端进行字符串的匹配,因此,客户端可利用从服务器上得到的Challenge和自身密码,计算出一个字符串并将其返回给服务器,服务器利用比较算法对其进行匹配,如果匹配将允许建立连接,所有的Challenge和字符串都只能使用一次。
(4)禁止杂错节点。防止IBM兼容机进行嗅探可以安装不支持杂错的网卡。
4、缓冲区溢出攻击的防范措施
缓冲区溢出是属于系统攻击的手段,主要是通过向程序的缓冲区写入冗长的内容达到使缓冲区溢出限制的目的,从而破坏程序的堆栈,使程序转而执行其他指令,进而达到攻击的目的。
对缓冲区溢出攻击的防御可以采用如下几种方法:
(1)程序指针检查。在使用指针被引用之前先检测该程序指针是否被发生了改变。只要系统事先检测到指针的改变,此指针将不会被使用。
(2)堆栈保护。这是提供程序指针完成性检测的一种编译器技术,在程序指针堆栈中函数返回的地址后面追加一些特殊的字节,在函数返回时先检测这些附加的字节是否被改动,因此,这种攻击很容易在函数返回前被检测到。但如果攻击者预见到这些附加字节,并能在溢出过程中制造出,攻击者就可以跳过堆栈的保护测试了。
(3)数组边界检查。通过检测数组的操作是否在正确范围内进行,来检测是否被缓冲区溢出攻击。目前主要使用的集中检查方法有:Compaq编译器检查、Jones&Kelly C数组边界检查、Purify存储器存取检查等。
来源: