黑客在對我們的網(wǎng)絡(luò)進行攻擊時通常會采用多種辦法來規(guī)避網(wǎng)絡(luò)安全設(shè)備的防護,從而獲取對信息的訪問權(quán)限。因此,為了抵御黑客的攻擊,我們應(yīng)該了解黑客的攻擊方法,清楚這些攻擊方法的工作原理以及對網(wǎng)絡(luò)造成的威脅。在本文中我們將分析七種常見的網(wǎng)絡(luò)入侵方法,這些方法可以單獨使用,也可以互相配合來破壞網(wǎng)絡(luò)。
1、監(jiān)聽
大多數(shù)通過網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)都是“文本”形式,也就是在加密成密碼文本之前的普通的可讀文本。這意味著,任何人使用網(wǎng)絡(luò)“嗅探器(例如Network Monitor 3.x或者第三方程序Wireshark等)”都可以輕松地讀取這些文本信息。
一些保存自己用戶名和密碼列表的服務(wù)器應(yīng)用程序允許這些登錄信息以文本格式在網(wǎng)絡(luò)傳輸。網(wǎng)絡(luò)攻擊者只要簡單地使用嗅探程序,接入到集線器或者交換器的可用端口就可以獲取這些信息。事實上,大部分通過網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)都是文本格式的,這使得攻擊者很容易可以獲得這些信息。而這些信息可能包含敏感數(shù)據(jù),例如信用卡號碼、社保號碼、個人電子郵件內(nèi)容和企業(yè)機密信息等。很明顯,解決這個問題的解決方案就是使用Ipsec或者SSL等技術(shù),對在網(wǎng)絡(luò)傳送的數(shù)據(jù)進行加密。
2、欺詐
源IP地址和目的IP地址是為TCP/IP網(wǎng)絡(luò)的計算機之間建立會話的前提條件。IP“欺詐”行為是指假冒網(wǎng)絡(luò)中合法主機計算機的身份,來獲取對內(nèi)部網(wǎng)絡(luò)中計算機的訪問權(quán)限。欺詐的另一種說法是“模擬”,實際上,入侵者是使用合法IP地址來“模擬”合法主機計算機。
為了防止IP欺詐攻擊,你可以使用Ipsec用于計算機間的通信,使用訪問控制列表(ACLs)來阻止下游端口的私有IP地址,過濾入站和出站流量,并將路由器和交換機配置為阻止源自外部局域網(wǎng)而聲稱自己源自內(nèi)部網(wǎng)絡(luò)的流量。你還可以啟用路由器上的加密功能,這樣可以允許你信任的外部計算機與內(nèi)部計算機進行通信。
3、TCP/IP序列號攻擊
另一種常見欺詐攻擊是“TCP/IP序列號攻擊”。傳輸控制協(xié)議(TCP)主要負責(zé)TCP/IP網(wǎng)絡(luò)的通信的可靠性,這包括確認信息發(fā)送到目的主機。為了追蹤通過網(wǎng)絡(luò)發(fā)送的字節(jié),每個段都被分配了一個“序列號”。高級攻擊者可以建立兩臺計算機之間的序列模式,因為序列模式并不是隨機的。
首先,攻擊者必須獲得對網(wǎng)絡(luò)的訪問權(quán)限。在獲得對網(wǎng)絡(luò)的訪問權(quán)限后,他會連接到服務(wù)器,并分析他與他正在連接的合法主機之間的序列模式。TCP/IP序列號攻擊者然后會通過假冒合法主機的IP地址來連接服務(wù)器。為了防止合法主機做出響應(yīng),攻擊者必須在合法主機發(fā)動“拒絕服務(wù)攻擊”。
由于合法主機不能響應(yīng),攻擊者將等待服務(wù)器發(fā)來的正確序列號,現(xiàn)在服務(wù)器就開始相信欺詐計算機是合法主機,攻擊者就可以開始進行數(shù)據(jù)傳輸了。
4、密碼盜用
攻擊者只要成功盜用網(wǎng)絡(luò)密碼就能訪問不能訪問的資源,他們可以通過很多方法來獲取密碼。
社會工程學(xué)攻擊:攻擊者使用一個假的身份聯(lián)系對目標信息擁有訪問權(quán)限的用戶,然后他要求用戶提供密碼。
嗅探:很多網(wǎng)絡(luò)應(yīng)用程序允許用戶名和密碼以未加密文本形式在網(wǎng)絡(luò)傳輸,這樣的話,攻擊者就可以使用網(wǎng)絡(luò)嗅探應(yīng)用程序來攔截這個信息。
破解:“破解者”使用很多不同的技術(shù)來“猜測”密碼,嘗試所有可能的數(shù)字字母組合,直到猜出正確的密碼。破解技術(shù)包括字典攻擊和暴力攻擊等。
如果管理員密碼被盜用,攻擊者將能夠訪問所有受訪問控制保護的網(wǎng)絡(luò)資源,入侵者現(xiàn)在可以訪問整個用戶賬戶數(shù)據(jù)庫了。有了這些信息,現(xiàn)在他可以訪問所有文件和文件夾,更改路由信息,在用戶不知情的情況下,修改用戶需要的信息。
抵御密碼盜用攻擊需要一個多方面的戰(zhàn)略,教導(dǎo)用戶關(guān)于社會工程學(xué)的知識,制定密碼保護制度,規(guī)定密碼復(fù)雜度和長度要求,要求用戶定期修改密碼。部署多因素身份驗證,這樣攻擊者不能僅憑一個密碼就獲得訪問權(quán)限。
5、拒絕服務(wù)攻擊
有許多不同類型的拒絕服務(wù)攻擊,這些技術(shù)的共同點就是擾亂正常計算機或者目標機器運行的操作系統(tǒng)的能力。這些攻擊可以將大量無用的數(shù)據(jù)包塞滿網(wǎng)絡(luò),損壞或者耗盡內(nèi)存資源,或者利用網(wǎng)絡(luò)應(yīng)用程序的漏洞。分布式拒絕服務(wù)攻擊源自多臺機器(例如,由幾十、幾百甚至成千上萬臺分布在不同地理位置的“僵尸”電腦組成的僵尸網(wǎng)絡(luò))。
傳統(tǒng)拒絕服務(wù)攻擊的例子包括:
TCP SYN攻擊
SMURF攻擊
Teardrop攻擊
Ping of Death攻擊
6、TCP SYN攻擊
當TCP/IP網(wǎng)絡(luò)的計算機建立會話時,他們會通過“三次握手”過程,這三步握手包括:
源主機客戶端發(fā)送一個SYN(同步/開始)數(shù)據(jù)包,這臺主機在數(shù)據(jù)包中包括一個序列號,服務(wù)器將在下一步驟中使用該序列號。
服務(wù)器會向源主機返回一個SYN數(shù)據(jù)包,數(shù)據(jù)包的序列號為請求計算機發(fā)來的序列號+1
客戶端接收到服務(wù)端的數(shù)據(jù)包后,將通過序列號加1來確認服務(wù)器的序列號
每次主機請求與服務(wù)器建立會話時,將通過這個三次握手過程。攻擊者可以通過從偽造源IP地址發(fā)起多個會話請求來利用這個過程。服務(wù)器會將每個打開請求保留在隊列中等待第三步的進行,進入隊列的條目每隔60秒會被清空。
如果攻擊者能夠保持隊列填滿狀態(tài),那么合法連接請求將會被拒絕。因此,服務(wù)器會拒絕合法用戶的電子郵件、網(wǎng)頁、ftp和其他IP相關(guān)服務(wù)。
7、Ping of Death攻擊
Ping of death是一種拒絕服務(wù)攻擊,方法是由攻擊者故意發(fā)送大于65536比特的ip數(shù)據(jù)包給對方。Ping of death攻擊利用了Internet控制消息協(xié)議(ICMP)和最大傳輸單元(MTU)的特點,Ping命令發(fā)送ICMP回應(yīng)請求(ICMP Echo-Request)并記錄收到ICMP回應(yīng)回復(fù)(ICMP Echo-Reply)。MTU定義了具有不同媒體類型的網(wǎng)絡(luò)架構(gòu)的單元最大傳輸量。
如果數(shù)據(jù)包大小大于MTU,數(shù)據(jù)包將被拆分,并在目的主機重新組合。當數(shù)據(jù)包被分解時,數(shù)據(jù)包會涵蓋一個“偏移”值,這個偏移值用于在目的主機重組數(shù)據(jù)。攻擊者可以將最后的數(shù)據(jù)片段替換為合理的偏移值和較大的數(shù)據(jù)包,這樣將會超過ICMP回應(yīng)請求數(shù)據(jù)部分的數(shù)量,如果進行重組,目的計算機將會重新啟動或者崩潰。
8、SMURF攻擊
SMURF攻擊試圖通過將ICMP回顯請求和回復(fù)塞滿網(wǎng)絡(luò)來禁用網(wǎng)絡(luò)。攻擊者將會欺詐一個源IP地址,然后向廣播地址發(fā)出一個ICMP回顯請求,這將會導(dǎo)致網(wǎng)絡(luò)段的所有計算機向假冒請求進行回復(fù)。如果攻擊者可以將這種攻擊保持一段時間,有效的信息將無法通過網(wǎng)絡(luò),因為ICMP請求信息已經(jīng)塞滿網(wǎng)絡(luò)。
9、Teardrop攻擊
Teardrop攻擊是使用一種程序(例如teardrop.c)來執(zhí)行的,它將會造成與Ping of Death攻擊中類似的數(shù)據(jù)碎片,它利用了重組過程的一個漏洞,可能導(dǎo)致系統(tǒng)崩潰。
10、抵御DoS和DDoS攻擊
抵御DoS和DdoS攻擊應(yīng)該采取多層次的方法。防火墻可以保護網(wǎng)絡(luò)抵御簡單的“洪水”攻擊,而用于流量調(diào)整、延遲綁定(TCP拼接)和深度數(shù)據(jù)包檢測的交換機和路由器可以抵御SYN flood(利用TCP三次握手協(xié)議的缺陷,向目標主機發(fā)送大量的偽造源地址的SYN連接請求,消耗目標主機資源)。入侵防御系統(tǒng)可以阻止某些形式的DoS/DdoS攻擊,市面上還有專門抵御DoS的產(chǎn)品,被稱為DoS抵御系統(tǒng)或者DDS。
11、中間人攻擊
中間人攻擊是這樣的情況,兩方認為他們只是在與對方進行通信,而實際上,還有一個中間方在監(jiān)聽會話。中間人攻擊可以通過模擬發(fā)送者或者接受者的身份來偷偷切入會話。在攻擊者的介入期間,他可以修改或者刪除傳輸中的消息。
攻擊者通過使用網(wǎng)絡(luò)嗅探器,可以記錄和保存信息供以后使用,這可以讓入侵者發(fā)起后續(xù)的重放攻擊,在記錄了會話信息后,中間人可以重放此信息以便在未來了解網(wǎng)絡(luò)身份驗證機制,這就是所謂的重放攻擊。
中間人攻擊通常是基于web的,中間人對客戶端(瀏覽器)和web服務(wù)器之間的通信進行攔截;趙eb的中間人攻擊可以通過使用最新版本的瀏覽器來抵御,最新版本瀏覽器擁有內(nèi)置保護機制,并通過使用擴展驗證SSL證書的網(wǎng)站來通信。雙因素身份驗證可以用于秘密通信,但是,這并不能完全杜絕中間人攻擊,因為中間人通常是等待用戶使用智能卡或者令牌來進行身份驗證。帶外身份驗證是最好的保護方法,但是價格昂貴,開銷很大。
12、應(yīng)用程序級攻擊
面向應(yīng)用程序的攻擊試圖利用某些網(wǎng)絡(luò)應(yīng)用程序固有的缺陷。通過利用這些網(wǎng)絡(luò)應(yīng)用程序的缺陷,攻擊者可以:
破壞或修改重要操作系統(tǒng)文件;
更改數(shù)據(jù)文件內(nèi)容;
造成網(wǎng)絡(luò)應(yīng)用程序或者整個操作系統(tǒng)不正常運行,甚至崩潰;
擾亂應(yīng)用程序或操作系統(tǒng)的正常安全性和訪問控制;
植入程序?qū)⑿畔⒎祷亟o攻擊者,臭名昭著的Back Orifice就是一個例子。
這些應(yīng)用程序級攻擊為入侵者提供了一片“沃土”。很多網(wǎng)絡(luò)應(yīng)用程序還沒有完成安全評估和測試以提高對攻擊的免疫力。
抵御應(yīng)用程序級攻擊很困難,因為每個應(yīng)用程序的漏洞都不相同。最基本的抵御應(yīng)該是采取“縱深防御”的安全措施,并加強對已知漏洞的認識。
13、盜用密鑰攻擊
密鑰是數(shù)字,或者“密碼”,可以用來驗證通信的完整性或者加密通信內(nèi)容。有很多不同類型的密鑰。其中一種類型被稱為“共享的密碼”,發(fā)送計算機使用密鑰加密信息,接收計算機使用相同的密鑰解密信息。利用這個“共享的密碼”,兩臺計算機可以進行私人通信。
另一種密鑰是“私鑰”,私鑰可以用于確認發(fā)送者的身份,也就是所謂的“簽名”信息,當接收者收到使用某人的私鑰簽名的信息時,他可以確認發(fā)送者的身份。
如果攻擊者獲取了這些密鑰,他就可以使用“假身份”用別人的私鑰進行通信。如果他得到了“共享密鑰”,他就可以解密由該密鑰加密的信息。
一旦密鑰被暴露,就無法保護信息的安全性。然而,發(fā)現(xiàn)密鑰被暴露往往很難,只有當發(fā)現(xiàn)重要信息丟失時,才會意識到密鑰丟失。緩解這種損害的方法包括進行多密鑰加密。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:企業(yè)IT安全管理 常見網(wǎng)絡(luò)入侵方法剖析
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953424.html