企業IT安全管理 常見網絡入侵方法剖析
黑客在對我們的網絡進行攻擊時通常會采用多種辦法來規避網絡安全設備的防護,從而獲取對信息的訪問權限。因此,為了抵御黑客的攻擊,我們應該了解黑客的攻擊方法,清楚這些攻擊方法的工作原理以及對網絡造成的威脅。在本文中我們將分析七種常見的網絡入侵方法,這些方法可以單獨使用,也可以互相配合來破壞網絡。
1、監聽
大多數通過網絡發送的數據都是“文本”形式,也就是在加密成密碼文本之前的普通的可讀文本。這意味著,任何人使用網絡“嗅探器(例如NetworkMonitor3.x或者第三方程序Wireshark等)”都可以輕松地讀取這些文本信息。
一些保存自己用戶名和密碼列表的服務器應用程序允許這些登錄信息以文本格式在網絡傳輸。網絡攻擊者只要簡單地使用嗅探程序,接入到集線器或者交換器的可用端口就可以獲取這些信息。事實上,大部分通過網絡發送的數據都是文本格式的,這使得攻擊者很容易可以獲得這些信息。而這些信息可能包含敏感數據,例如信用卡號碼、社保號碼、個人電子郵件內容和企業機密信息等。很明顯,解決這個問題的解決方案就是使用Ipsec或者SSL等技術,對在網絡傳送的數據進行加密。
2、欺詐
源IP地址和目的IP地址是為TCP/IP網絡的計算機之間建立會話的前提條件。IP“欺詐”行為是指假冒網絡中合法主機計算機的身份,來獲取對內部網絡中計算機的訪問權限。欺詐的另一種說法是“模擬”,實際上,入侵者是使用合法IP地址來“模擬”合法主機計算機。
為了防止IP欺詐攻擊,你可以使用Ipsec用于計算機間的通信,使用訪問控制列表(ACLs)來阻止下游端口的私有IP地址,過濾入站和出站流量,并將路由器和交換機配置為阻止源自外部局域網而聲稱自己源自內部網絡的流量。你還可以啟用路由器上的加密功能,這樣可以允許你信任的外部計算機與內部計算機進行通信。
3、TCP/IP序列號攻擊
另一種常見欺詐攻擊是“TCP/IP序列號攻擊”。傳輸控制協議(TCP)主要負責TCP/IP網絡的通信的可靠性,這包括確認信息發送到目的主機。為了追蹤通過網絡發送的字節,每個段都被分配了一個“序列號”。高級攻擊者可以建立兩臺計算機之間的序列模式,因為序列模式并不是隨機的。
首先,攻擊者必須獲得對網絡的訪問權限。在獲得對網絡的訪問權限后,他會連接到服務器,并分析他與他正在連接的合法主機之間的序列模式。TCP/IP序列號攻擊者然后會通過假冒合法主機的IP地址來連接服務器。為了防止合法主機做出響應,攻擊者必須在合法主機發動“拒絕服務攻擊”。
由于合法主機不能響應,攻擊者將等待服務器發來的正確序列號,現在服務器就開始相信欺詐計算機是合法主機,攻擊者就可以開始進行數據傳輸了。
4、密碼盜用
攻擊者只要成功盜用網絡密碼就能訪問不能訪問的資源,他們可以通過很多方法來獲取密碼。
社會工程學攻擊:攻擊者使用一個假的身份聯系對目標信息擁有訪問權限的用戶,然后他要求用戶提供密碼。
嗅探:很多網絡應用程序允許用戶名和密碼以未加密文本形式在網絡傳輸,這樣的話,攻擊者就可以使用網絡嗅探應用程序來攔截這個信息。
破解:“破解者”使用很多不同的技術來“猜測”密碼,嘗試所有可能的數字字母組合,直到猜出正確的密碼。破解技術包括字典攻擊和暴力攻擊等。
如果管理員密碼被盜用,攻擊者將能夠訪問所有受訪問控制保護的網絡資源,入侵者現在可以訪問整個用戶賬戶數據庫了。有了這些信息,現在他可以訪問所有文件和文件夾,更改路由信息,在用戶不知情的情況下,修改用戶需要的信息。
抵御密碼盜用攻擊需要一個多方面的戰略,教導用戶關于社會工程學的知識,制定密碼保護制度,規定密碼復雜度和長度要求,要求用戶定期修改密碼。部署多因素身份驗證,這樣攻擊者不能僅憑一個密碼就獲得訪問權限。
5、拒絕服務攻擊
有許多不同類型的拒絕服務攻擊,這些技術的共同點就是擾亂正常計算機或者目標機器運行的操作系統的能力。這些攻擊可以將大量無用的數據包塞滿網絡,損壞或者耗盡內存資源,或者利用網絡應用程序的漏洞。分布式拒絕服務攻擊源自多臺機器(例如,由幾十、幾百甚至成千上萬臺分布在不同地理位置的“僵尸”電腦組成的僵尸網絡)。
傳統拒絕服務攻擊的例子包括:
TCPSYN攻擊
SMURF攻擊
Teardrop攻擊
PingofDeath攻擊
6、TCPSYN攻擊
當TCP/IP網絡的計算機建立會話時,他們會通過“三次握手”過程,這三步握手包括:
源主機客戶端發送一個SYN(同步/開始)數據包,這臺主機在數據包中包括一個序列號,服務器將在下一步驟中使用該序列號。
服務器會向源主機返回一個SYN數據包,數據包的序列號為請求計算機發來的序列號+1
客戶端接收到服務端的數據包后,將通過序列號加1來確認服務器的序列號
每次主機請求與服務器建立會話時,將通過這個三次握手過程。攻擊者可以通過從偽造源IP地址發起多個會話請求來利用這個過程。服務器會將每個打開請求保留在隊列中等待第三步的進行,進入隊列的條目每隔60秒會被清空。
如果攻擊者能夠保持隊列填滿狀態,那么合法連接請求將會被拒絕。因此,服務器會拒絕合法用戶的電子郵件、網頁、ftp和其他IP相關服務。
7、PingofDeath攻擊
Pingofdeath是一種拒絕服務攻擊,方法是由攻擊者故意發送大于65536比特的ip數據包給對方。Pingofdeath攻擊利用了Internet控制消息協議(ICMP)和最大傳輸單元(MTU)的特點,Ping命令發送ICMP回應請求(ICMPEcho-Request)并記錄收到ICMP回應回復(ICMPEcho-Reply)。MTU定義了具有不同媒體類型的網絡架構的單元最大傳輸量。
如果數據包大小大于MTU,數據包將被拆分,并在目的主機重新組合。當數據包被分解時,數據包會涵蓋一個“偏移”值,這個偏移值用于在目的主機重組數據。攻擊者可以將最后的數據片段替換為合理的偏移值和較大的數據包,這樣將會超過ICMP回應請求數據部分的數量,如果進行重組,目的計算機將會重新啟動或者崩潰。
8、SMURF攻擊
SMURF攻擊試圖通過將ICMP回顯請求和回復塞滿網絡來禁用網絡。攻擊者將會欺詐一個源IP地址,然后向廣播地址發出一個ICMP回顯請求,這將會導致網絡段的所有計算機向假冒請求進行回復。如果攻擊者可以將這種攻擊保持一段時間,有效的信息將無法通過網絡,因為ICMP請求信息已經塞滿網絡。
9、Teardrop攻擊
Teardrop攻擊是使用一種程序(例如teardrop.c)來執行的,它將會造成與PingofDeath攻擊中類似的數據碎片,它利用了重組過程的一個漏洞,可能導致系統崩潰。
10、抵御DoS和DDoS攻擊
抵御DoS和DdoS攻擊應該采取多層次的方法。防火墻可以保護網絡抵御簡單的“洪水”攻擊,而用于流量調整、延遲綁定(TCP拼接)和深度數據包檢測的交換機和路由器可以抵御SYNflood(利用TCP三次握手協議的缺陷,向目標主機發送大量的偽造源地址的SYN連接請求,消耗目標主機資源)。入侵防御系統可以阻止某些形式的DoS/DdoS攻擊,市面上還有專門抵御DoS的產品,被稱為DoS抵御系統或者DDS。
11、中間人攻擊
中間人攻擊是這樣的情況,兩方認為他們只是在與對方進行通信,而實際上,還有一個中間方在監聽會話。中間人攻擊可以通過模擬發送者或者接受者的身份來偷偷切入會話。在攻擊者的介入期間,他可以修改或者刪除傳輸中的消息。
攻擊者通過使用網絡嗅探器,可以記錄和保存信息供以后使用,這可以讓入侵者發起后續的重放攻擊,在記錄了會話信息后,中間人可以重放此信息以便在未來了解網絡身份驗證機制,這就是所謂的重放攻擊。
中間人攻擊通常是基于web的,中間人對客戶端(瀏覽器)和web服務器之間的通信進行攔截。基于web的中間人攻擊可以通過使用最新版本的瀏覽器來抵御,最新版本瀏覽器擁有內置保護機制,并通過使用擴展驗證SSL證書的網站來通信。雙因素身份驗證可以用于秘密通信,但是,這并不能完全杜絕中間人攻擊,因為中間人通常是等待用戶使用智能卡或者令牌來進行身份驗證。帶外身份驗證是最好的保護方法,但是價格昂貴,開銷很大。
12、應用程序級攻擊
面向應用程序的攻擊試圖利用某些網絡應用程序固有的缺陷。通過利用這些網絡應用程序的缺陷,攻擊者可以:
◆破壞或修改重要操作系統文件
◆更改數據文件內容
◆造成網絡應用程序或者整個操作系統不正常運行,甚至崩潰
◆擾亂應用程序或操作系統的正常安全性和訪問控制
◆植入程序將信息返回給攻擊者,臭名昭著的BackOrifice就是一個例子
這些應用程序級攻擊為入侵者提供了一片“沃土”。很多網絡應用程序還沒有完成安全評估和測試以提高對攻擊的免疫力。
抵御應用程序級攻擊很困難,因為每個應用程序的漏洞都不相同。最基本的抵御應該是采取“縱深防御”的安全措施,并加強對已知漏洞的認識。
13、盜用密鑰攻擊
密鑰是數字,或者“密碼”,可以用來驗證通信的完整性或者加密通信內容。有很多不同類型的密鑰。其中一種類型被稱為“共享的密碼”,發送計算機使用密鑰加密信息,接收計算機使用相同的密鑰解密信息。利用這個“共享的密碼”,兩臺計算機可以進行私人通信。
另一種密鑰是“私鑰”,私鑰可以用于確認發送者的身份,也就是所謂的“簽名”信息,當接收者收到使用某人的私鑰簽名的信息時,他可以確認發送者的身份。
如果攻擊者獲取了這些密鑰,他就可以使用“假身份”用別人的私鑰進行通信。如果他得到了“共享密鑰”,他就可以解密由該密鑰加密的信息。
一旦密鑰被暴露,就無法保護信息的安全性。然而,發現密鑰被暴露往往很難,只有當發現重要信息丟失時,才會意識到密鑰丟失。緩解這種損害的方法包括進行多密鑰加密。
【編輯推薦】
