为网络非法入侵者的攻击方法有一定的了解。以下介绍一些入侵者常用的攻击手段:1、捕捉口令――在被攻击主机上启动一个可执行程序,该程序显示一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息(用户名、密码等)后,该程序将用户输入的信息传送到攻击者主机,然后关闭界面给出提示信息 “系统故障”,要求用户重新登录。此后,才会出现真正的登录界面。――“黑客”编写一种看起来像合法的程序,放到商家的主页,诱导用户下载。当一个用户下载软件时,“黑客”的这个软件与用户的软件一起下载到用户的机器上。该软件会跟踪用户的电脑操作。它静静地记录着用户输入的每个口令,然后把它们发送给“黑客”的Internet信箱。例如,有人发送给用户电子邮件,声称为“确定我们的用户需要”而进行调查。作为对填写表格的回报,允许用户免费使用5小时。但是,该程序实际上却是搜集用户的口令,并把它们发送给某个远方的“黑客”。信息协议的弱点攻击法――IP 源路径选项允许IP数据包自己选择一条通往目的主机的路径。设想一个攻击者试图与防火墙后面的一个不可到达的主机 A 连接。他只需要在送出的请求报文中设置IP源路径选项,使报文有一个目的地址指向防火墙,而最终地址是主机 A。当报文到达防火墙时被允许通过,因为它指向防火墙而不是主机 A。防火墙的 IP 层处理该报文的源路径域后将其发送到内部网上,报文就这样到达了原本不可到达的主机 A。源路径选项的弱点攻击法――源主机可以使用 IP 源路径选项,强制报文通过一个特定的路径到达某一目的主机。这样的报文可以用来攻陷防火墙和欺骗主机。一个外部攻击者可以传送一个具有内部主机地址的源路径报文。服务器会相信这个报文并对攻击者发回答报文,因为这是 IP 的源路径选项要求的。对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。“特洛伊木马”技术是黑客常用的攻击方法。它通过在你的电脑系统中隐藏一个会在 Windows启动时悄悄执行的程序,用服务器/客户的手段,而达到在你上网时控制你电脑的目的。黑客可以利用它窃取你的密码,浏览你的硬盘,修改你的文件、注册表 等等。对于它我们可以采用LockDown等在线黑客监视程序加以防范. 缓存区溢出(Buffer Overflow):缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在,黑客针对这些漏洞,可以通过发送一段特定的指令或者输入很长的字串,将通讯栏等区域填到爆满,造成程序Buffer Overflow错误,来改变在堆栈中存放的过程返回地址,从而改变整个程序的流程,使它转向任何入侵者想要它去的地方.这就为黑客们提供了可乘之机, 最常见的方法是: 在长字符串中嵌入一段代码,并将过程的返回地址覆盖为这段代码的地址, 这样当过程返回时,程序就转而开始执行这段入侵者自编的代码了. 一般来说,这段代码都是执行一个Shell程序(如\bin\sh),因为这样的话,当黑客入侵一个带有Buffer Overflow缺陷且具有suid-root属性的程序时,黑客会获得一个具有root权限的shell,在这个shell中黑客可以干任何事。恶意的利用缓存区溢出漏洞进行攻击,可以导致程序运行失败、系统当机、重新启动等后果。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作,取得机器的控制权。 Internet上DOS、DDOS攻击暴虐一时,由于可以通过使用一些公开的软件进行攻击,它的发动较为简单,同时要防止这种攻击又非常困难。DoS全称是Denial of Service,中文意思是拒绝服务攻击;DDOS指分布式拒绝服务攻击。这两种攻击行动使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。"拒绝服务"的攻击方式为:用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息。所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找到用户。服务器于是暂时等候,有时超过一分钟,然后再切断连接。服务器切断连接时,黑客再度传送新一批需要确认的信息,这个过程周而复始,最终导致服务器无法动弹,瘫痪在地。SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。这种攻击的基本原理要从TCP连接建立的过程开始说起:TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的: 首先,请求端(客户端)发送一个包含SYN标志的TCP报文,SYN即同步(Synchronize),同步报文会指明客户端使用的端口以及TCP连接的初始序号; 然后,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认(Acknowledgement)。 最后,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。 以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。问题就出在TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃。即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟相对于伪造的TCP请求,客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称作:服务器端受到了SYN Flood攻击(SYN洪水攻击)。当网站被黑客利用DDoS技术攻击后,往往很难根据每个攻击的数据包都有IP地址跟踪到攻击的来源。这是因为入侵者使用了一种叫"伪IP(IP spoofing)"的技术,这也是当前Internet的一个缺陷。 机理如下:当计算机之间相互通信时,会将信息分解打成一个一个"数据包",每一个数据包中都包含源IP地址和目的IP地址。当这样的数据包在Internet 中传递的时候,首先会遇到最近的一个路由器。通常此路由器是此局域网与Internet的连接处,这种路由器叫边界路由器。(当然,在大公司中的情况可能复杂得多,会由多个局域网构成)。当数据包到达边界路由器后,再由此路由器传递到上一级核心路由器上,这个路由器可能位于主干网上,连接着所有其它的核心路由器。数据包在路由器之间传递,直到目的地址为止。在每次传递时,源IP目的地址通常被路由器忽略,仅仅是保留在数据包中不作处理,路由器只关心数据的目的地址,就好象邮递员只关心收件人地址一样。但因为这样,才产生了现在面临的问题。 所有的DDoS攻击,都使用伪IP。收到此数据包的第一个边界路由器能够很容易发现这个问题,因为它知道和它连接的网络地址,以便将进来的数据包分发给局域网内的机器,因此它也能发现从它这出去的数据包是不是用了非局域网内的地址。可是,大多数的边界路由器并不进行此项检查。 而一旦装有伪IP的数据包通过了第一个路由器,那么以后,这个谎话永远也不会有人发现了。让我们从被攻击对象的角度来看看吧,当你发现自己的服务器出现问题的时候,正有成千上万的数据包同时从世界各地的网点向你涌来,不久你会发现你的路由器崩溃了,接着会发现你的服务器已经不堪重负。你想看看到底出了什么事,捕获到其中的一个数据包,打开一看:上面除了把你的IP地址当作目的地址外,还有任意的一个IP地址作为源地址(这个地址也许根本就不存在)你都不知道这个数据包是从哪儿发给你的。用最底层的工具查看一下数据包硬件地址(MAC)吧,在数据包中只有上一级的路由器的硬件地址。这样,系统管理员就很难查找到攻击的开始的地点。网络常识:什么叫DNS DNS 全称Domain Name System即域名解析系统,能够把IP地址和字符型的名字对应起来,域名和IP的关系就像一个人的名字和他的身份证号码之间的关系,显然记忆人的名字比记忆身份证号码容易得多。例如,美国微软公司主页是一个Web服务器,它的IP地址是:207.46.197.113它可以通过访问www.microsoft.com,即:207.46.197.113=www.microsoft.com。从这个例子可以看出,上面的域名和IP地址指向同一个Web服务器,但域名更容易记忆。 DNS是一个重要的Internet协议,了解了DNS的功能,有助于我们更好地使用其它Internet协议。什么是TCP/IP TCP/IP:传输控制协议/因特网协议。美国国防部在70年代开发的一套协议的通用名称,支持全球互联网的结构。TCP和IP是这套协议中最著名的两个协议。IP协议负责主机之间的通讯,TCP提供可靠的传输方式。 TCP:Transfer Control Protocol,传输控制协议。面向连接的传输层协议,提供可靠的全双工数据传输。TCP是TCP/IP协议栈的一部分。功能:检测包丢失,自动重传,过滤重复包。IP:Internet Protocol,因特网协议。是TCP/IP协议栈中的网络层协议,它提供一个无连接的互联网服务。功能:IP提供寻址功能、服务类型的规范、分段存储和重新组合以及安全的特性。
|
论坛用户
版主
论坛用户
论坛: 菜鸟乐园 标题: 黑客攻击手段