黑客攻击和防范技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
7.3常见攻击方式与防御方法
7.3常见攻击方式与防御方法
拒绝服务(DoS)攻击是目前最主要的一种黑客攻击类型, 它的最终目的不是破坏系统,也不窃取目标用户的信息, 而是让目标用户的系统资源消耗殆尽,从而使目标用户系 统崩溃。
在这一攻击原理下,它又派生出了许多种不同的攻击方式 1.死亡之Ping(Ping of Death)攻击 2.泪滴(Teardrop)攻击 3.TCP SYN洪水(TCP SYN Flood)攻击 4.分片IP报文攻击 5.Land攻击 6.Smurf攻击
7.3常见攻击方式与防御方法
2.泪滴(Teardrop)攻击
黑客们在截取IP数据包后,把偏移字段设置成不正确的值,这 样接收端在收到这些分拆的数据包后,就不能按数据包中 的偏移字段值正确组合这些拆分的数据包,但接收端会不 断尝试,这样就可能致使目标计算机操作系统因资源耗尽 而崩溃。泪滴攻击利用修改在TCP/IP堆栈中IP碎片的包的 标题头,所包含的信息来实现自己的攻击。
h)键盘记录
其他攻击方式,如中间人攻击、重放攻击、生日攻击、时间
攻击。避免以上几类攻击的对策还要加强用户安全意识,
采用安全的密码系统,注意系统安全,避免感染间谍软件、 木马等恶意程序。
防御方法:检测这类攻击的方法是对接收到的分片数据包进行 分析,计算数据包的片偏移量(Offset)是否有误。反攻击 的方法是添加系统补丁程序,丢弃收到的病态分片数据包 并对这种攻击进行审计。尽可能采用最新的操作系统,或 者在防火墙上设置分段重组功能,由防火墙先接收到同一 原包中的所有拆分数据包,然后完成重组工作,而不是直 接转发。因为防火墙上可以设置当出现重叠字段时所采用 的规则。
7.3常见攻击方式与防御方法
4.分片IP报文攻击 攻击者给目标计算机只发送一片分片报文,而不发送所有的分
片报文,这样攻击者计算机便会一直等待(直到一个内部计 时器到时),如果攻击者发送了大量的分片报文,就会消耗 掉目标计算机的资源,而导致不能相应正常的IP报文,这也 是一种DoS攻击 防御方法:对于这种攻击方式,目前还没有一种十分有效的防 御方法。对一些包过滤设备或者入侵检测系统来说,首先是 通过判断目的端口号来采取允许/禁止措施。但是由于通过 恶意分片使目的端口号位于第二个分片中,因此包过滤设备 通过判断第一个分片,决定后续的分片是否允许通过。但是 这些分片在目标主机上进行重组之后将形成各种攻击。通过 这种方法可以迂回一些入侵检测系统及一些安全过滤系统。 当然,目前一些智能的包过滤设备可直接丢掉报头中未包含 端口信息的分片,但这样的设备目前价格仍比较高,不是每 个企业都能承受得起的。
7.3常见攻击方式与防御方法
5.Land攻击 这类攻击中的数据包源地址和目标地址是相同的,
当操作系统接收到这类数据包时,不知道该如何 处理,或者循环发送和接收该数据包,这样会消 耗大量的系统资源,从而有可能造成系统崩溃或 死机。 防御方法:这类攻击的检测方法相对来说比较容易, 因为可以直接通过判断网络数据包的源地址和目 标地址是否相同确认是否属于攻击行为。反攻击 的方法当然是适当地配置防火墙设备或制定包过 滤路由器的包过滤规则,并对这种攻击进行审计, 记录事件发生的时间、源主机和目标主机的MAC 地址和IP地址,从而可以有效地分析并跟踪攻击 者的来源。
7.3常见攻击方式与防御方法
3.TCP SYN洪水(TCP SYN Flood)攻击 TCP/IP栈只能等待有限数量的ACK(应答)消息,因为每
台计算机用于创建TCP/IP连接的内存缓冲区都是非常有 限的。如果这一缓冲区充满了等待响应的初始信息,则 该计算机就会对接下来的连接停止响应,直到缓冲区里 的连接超时。 防御方法:这类攻击的检测方法可以检查单位时间内收到 的SYN连接是否收到超过系统设定的值。反攻击的方法 是当接收到大量的SYN数据包时,通知防火墙阻断连接 请求或丢弃这些数据包,并进行系统审计;在防火墙上 过滤来自同一主机的后续连接。不过“SYN洪水攻击” 还是非常令人担忧的,由于此类攻击并不寻求响应,所 以无法从一个简单的高容量的传输中鉴别出来。
7.3常见攻击方式与防御方法
6.Smurf攻击
这是一种由有趣的卡通人物而得名的拒绝服务攻击。Smurf 攻击利用了多数路由器中具有的同时向许多计算机广播请 求的功能。攻击者伪造一个合法的IP地址,然后由网络上 所有的路由器广播要求向受攻击计算机地址作出回答的请 求。由于这些数据包从表面上看是来自已知地址的合法请 求,因此网络中的所有系统向这个地址作出回答,最终结 果可导致该网络中的所有主机都对此ICMP应答请求作出 答复,导致网络阻塞,这也就达到了黑客们追求的目的了。 这种Smurf 攻击比起前面介绍的“Ping of Death”和 “SYN洪水”的流量高出一至两个数量级,更容易攻击成 功。还有些新型的Smurf攻击,将源地址改为第三方的受 害者(不再采用伪装的IP地址),最终导致第3方雪崩。
7.3常见攻击方式与防御方法
1.死亡之Ping(Ping of Death)攻击 不断地通过Ping命令向攻击目标发送超过64 KB的
数据包,使目标计算机的TCP/IP堆栈崩溃,致使 接收方死机。 防御方法:判断是否存在这种攻击的方法只需判断 数据包的大小是否大于65 535字节。反攻击的方 法是使用新的补丁程序,当收到大于65 535字节 的数据包时,丢弃该数据包,并进行系统审计。 现在所有的标准TCP/IP协议都已具有对付超过64 KB大小的数据包的处理能力,并且大多数防火墙 能够通过对数据包中的信息和时间间隔的分析, 自动过滤这些攻击。
防御方法:关闭外部路由器或防火墙的广播地址特性,并在 防火墙上设置规则,丢弃掉ICMP协议类型的数据包。
7.3常见攻击方式与防御方法
7.3.2其他攻击方式的行为特征与防御方法
Fra Baidu bibliotek
1.利用型攻击
(1)口令猜测攻击
a)社会工程学
b)猜测攻击
c)字典攻击
d)穷举法攻击
e)混合攻击
f)直接破解系统口令文件
g)网络嗅探
7.3常见攻击方式与防御方法
拒绝服务(DoS)攻击是目前最主要的一种黑客攻击类型, 它的最终目的不是破坏系统,也不窃取目标用户的信息, 而是让目标用户的系统资源消耗殆尽,从而使目标用户系 统崩溃。
在这一攻击原理下,它又派生出了许多种不同的攻击方式 1.死亡之Ping(Ping of Death)攻击 2.泪滴(Teardrop)攻击 3.TCP SYN洪水(TCP SYN Flood)攻击 4.分片IP报文攻击 5.Land攻击 6.Smurf攻击
7.3常见攻击方式与防御方法
2.泪滴(Teardrop)攻击
黑客们在截取IP数据包后,把偏移字段设置成不正确的值,这 样接收端在收到这些分拆的数据包后,就不能按数据包中 的偏移字段值正确组合这些拆分的数据包,但接收端会不 断尝试,这样就可能致使目标计算机操作系统因资源耗尽 而崩溃。泪滴攻击利用修改在TCP/IP堆栈中IP碎片的包的 标题头,所包含的信息来实现自己的攻击。
h)键盘记录
其他攻击方式,如中间人攻击、重放攻击、生日攻击、时间
攻击。避免以上几类攻击的对策还要加强用户安全意识,
采用安全的密码系统,注意系统安全,避免感染间谍软件、 木马等恶意程序。
防御方法:检测这类攻击的方法是对接收到的分片数据包进行 分析,计算数据包的片偏移量(Offset)是否有误。反攻击 的方法是添加系统补丁程序,丢弃收到的病态分片数据包 并对这种攻击进行审计。尽可能采用最新的操作系统,或 者在防火墙上设置分段重组功能,由防火墙先接收到同一 原包中的所有拆分数据包,然后完成重组工作,而不是直 接转发。因为防火墙上可以设置当出现重叠字段时所采用 的规则。
7.3常见攻击方式与防御方法
4.分片IP报文攻击 攻击者给目标计算机只发送一片分片报文,而不发送所有的分
片报文,这样攻击者计算机便会一直等待(直到一个内部计 时器到时),如果攻击者发送了大量的分片报文,就会消耗 掉目标计算机的资源,而导致不能相应正常的IP报文,这也 是一种DoS攻击 防御方法:对于这种攻击方式,目前还没有一种十分有效的防 御方法。对一些包过滤设备或者入侵检测系统来说,首先是 通过判断目的端口号来采取允许/禁止措施。但是由于通过 恶意分片使目的端口号位于第二个分片中,因此包过滤设备 通过判断第一个分片,决定后续的分片是否允许通过。但是 这些分片在目标主机上进行重组之后将形成各种攻击。通过 这种方法可以迂回一些入侵检测系统及一些安全过滤系统。 当然,目前一些智能的包过滤设备可直接丢掉报头中未包含 端口信息的分片,但这样的设备目前价格仍比较高,不是每 个企业都能承受得起的。
7.3常见攻击方式与防御方法
5.Land攻击 这类攻击中的数据包源地址和目标地址是相同的,
当操作系统接收到这类数据包时,不知道该如何 处理,或者循环发送和接收该数据包,这样会消 耗大量的系统资源,从而有可能造成系统崩溃或 死机。 防御方法:这类攻击的检测方法相对来说比较容易, 因为可以直接通过判断网络数据包的源地址和目 标地址是否相同确认是否属于攻击行为。反攻击 的方法当然是适当地配置防火墙设备或制定包过 滤路由器的包过滤规则,并对这种攻击进行审计, 记录事件发生的时间、源主机和目标主机的MAC 地址和IP地址,从而可以有效地分析并跟踪攻击 者的来源。
7.3常见攻击方式与防御方法
3.TCP SYN洪水(TCP SYN Flood)攻击 TCP/IP栈只能等待有限数量的ACK(应答)消息,因为每
台计算机用于创建TCP/IP连接的内存缓冲区都是非常有 限的。如果这一缓冲区充满了等待响应的初始信息,则 该计算机就会对接下来的连接停止响应,直到缓冲区里 的连接超时。 防御方法:这类攻击的检测方法可以检查单位时间内收到 的SYN连接是否收到超过系统设定的值。反攻击的方法 是当接收到大量的SYN数据包时,通知防火墙阻断连接 请求或丢弃这些数据包,并进行系统审计;在防火墙上 过滤来自同一主机的后续连接。不过“SYN洪水攻击” 还是非常令人担忧的,由于此类攻击并不寻求响应,所 以无法从一个简单的高容量的传输中鉴别出来。
7.3常见攻击方式与防御方法
6.Smurf攻击
这是一种由有趣的卡通人物而得名的拒绝服务攻击。Smurf 攻击利用了多数路由器中具有的同时向许多计算机广播请 求的功能。攻击者伪造一个合法的IP地址,然后由网络上 所有的路由器广播要求向受攻击计算机地址作出回答的请 求。由于这些数据包从表面上看是来自已知地址的合法请 求,因此网络中的所有系统向这个地址作出回答,最终结 果可导致该网络中的所有主机都对此ICMP应答请求作出 答复,导致网络阻塞,这也就达到了黑客们追求的目的了。 这种Smurf 攻击比起前面介绍的“Ping of Death”和 “SYN洪水”的流量高出一至两个数量级,更容易攻击成 功。还有些新型的Smurf攻击,将源地址改为第三方的受 害者(不再采用伪装的IP地址),最终导致第3方雪崩。
7.3常见攻击方式与防御方法
1.死亡之Ping(Ping of Death)攻击 不断地通过Ping命令向攻击目标发送超过64 KB的
数据包,使目标计算机的TCP/IP堆栈崩溃,致使 接收方死机。 防御方法:判断是否存在这种攻击的方法只需判断 数据包的大小是否大于65 535字节。反攻击的方 法是使用新的补丁程序,当收到大于65 535字节 的数据包时,丢弃该数据包,并进行系统审计。 现在所有的标准TCP/IP协议都已具有对付超过64 KB大小的数据包的处理能力,并且大多数防火墙 能够通过对数据包中的信息和时间间隔的分析, 自动过滤这些攻击。
防御方法:关闭外部路由器或防火墙的广播地址特性,并在 防火墙上设置规则,丢弃掉ICMP协议类型的数据包。
7.3常见攻击方式与防御方法
7.3.2其他攻击方式的行为特征与防御方法
Fra Baidu bibliotek
1.利用型攻击
(1)口令猜测攻击
a)社会工程学
b)猜测攻击
c)字典攻击
d)穷举法攻击
e)混合攻击
f)直接破解系统口令文件
g)网络嗅探