在茫茫的互联网上,随时都在发生着攻击,也许在你看这篇文章时,你的电脑正在被别人扫描,口令正在被别人破译,这一切看似无声的战争让人防不胜防。作为企业终端用户,有必要了解网络攻击者常用的手段,对于本地网络和终端防护来说很有必要。下面就讲解一下网络中黑客常用的攻击方法。
一、DoS 攻击
这可不是用 DoS 操作系统攻击,其全称为 Denial ofService——拒绝服务。它通过协议方式,或抓住系统漏洞,集中对目标进行网络攻击,直到对方网络瘫痪,大家常听说的洪水攻击,疯狂 Ping 攻击都属于此类。由于这种攻击技术门槛较低,并且效果明显,防范起来比较棘手,所以其一度成为准黑客们的必杀武器,进而出现的 DDoS(DistubutedDenial of Service 分布式拒绝服务)攻击,更是让网络安全管理员感到头痛。000blog.com
可别小看这种攻击,虽然 DoS 攻击原理极为简单,早已为人们所熟知。但目前全球每周所遭遇的 DoS 攻击依然达到 4000 多次,正是因为简单、顽固的原因,让 DoS 攻击如野草般烧之不尽,DoS 攻击最早可追述到 1996 年,在 2000 年发展到极致,这期间不知有多少知名网站遭受到它的骚扰。
对于国内网络来说,DoS 攻击更是能体现“黑客”们的价值,他们组成了一列列僵尸网络,多线程攻击目标主机,一切看起来似乎很简单,但对于服务器来说确实难以应对。
那企业管理员该如何呢?在应对常见的 DoS 攻击时,路由器本身的配置信息非常重要,管理员可以通过以下方法,来防止不同类型的 DoS 攻击。
扩展访问列表是防止 DoS 攻击的有效工具,其中 Show IPaccess-list 命令可以显示匹配数据包,数据包的类型反映了 DoS 攻击的种类,由于 DoS 攻击大多是利用了 TCP 协议的弱点,所以网络中如果出现大量建立 TCP 连接的请求,说明洪水攻击来了。此时管理员可以适时的改变访问列表的配置内容,从而达到阻止攻击源的目的。
如果用户的路由器具备 TCP 拦截功能,也能抵制 DoS 攻击。在对方发送数据流时可以很好的监控和拦截,如果数据包合法,允许实现正常通信,否则,路由器将显示超时限制,以防止自身的资源被耗尽,说到底,利用设备规则来合理的屏蔽持续的、高频度的数据冲击是防止 DoS 攻击的根本。
二、ARP 攻击
网络提示连接出现故障,IP 冲突,无法打开网页,频繁弹出错误对话框。如果你的 PC 有以上的表现,那就要考虑是否遭到 ARP 攻击了。
ARP 欺骗是通过 MAC 翻译错误造成计算机内的身份识别冲突,它和 DOS 一样,目前没有特别系统的解决方案,但有一些值得探讨的技术技巧。
一般我们采取安装防火墙来查找攻击元凶,利用 ARP detect 可以直接找到攻击者以及可能参与攻击的对象。ARPdetect 默认启动后会自动识别网络参数,当然用户还是有必要进行深入设置。首先要选择好参与内网连接的网卡,这点非常重要,因为以后所有的嗅探工作都是基于选择的网卡进行的。然后检查 IP 地址、网关等参数。
需要提醒用户的是,检测范围根据网络内 IP 分布情况来设置,如果 IP 段不清楚,可以通过 CMD 下的 ipconfig 来查看网关和本机地址。不要加入过多无效 IP,否则影响后期扫描工作。不过遗憾的是,这种方法在很多 ARP 病毒攻击的情况下并不乐观。首先我们需要管理员多做一些工作,尤其是路由器上的 IP 地址绑定,并且随时查看网络当前状态是否存在 IP 伪装终端,先确实找到攻击源并采取隔离措施。
ARP 攻击一旦在局域网开始蔓延,就会出现一系列的不良反应。sniffer 是网络管理的好工具,网络中传输的所有数据包都可以通过 sniffer 来检测。同样 arp 欺骗数据包也逃不出 sniffer 的监测范围。通过嗅探→定位→隔离→封堵几个步骤,可以很好的排除大部分 ARP 攻击。
三、脚本攻击
大家都听过 SQL 注入攻击吧,所谓 SQL 注入就是利用现有应用程序,将(恶意)的 SQL 命令注入到后台数据库引擎执行的能力,这种攻击脚本最直接,也最简单,当然,脚本攻击更多的是建立在对方漏洞的基础上,它比 DOS 和 ARP 攻击的门槛更高。
随着交互式网页的应用,越来越多的开发者在研究编写交互代码时,漏掉了一些关键字,同时也会造成一部分程序冲突。这里包括 Cookie 欺骗、特殊关键字未过滤等等。导致了攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得一些他想得到的数据。SQL 注入利用的是正常的 HTTP 服务端口,表面上看来和正常的 web 访问没有区别,隐蔽性极强,不易被发现。
虽然这项技术稍显落后,国内也是在几年前才开始兴起,但涉及到其覆盖面广,出现问题的几率大,造成很多网站都不行中招,甚至导致服务器被攻陷。
SQL 注入攻击的特点就是变种极多,有经验的攻击者会手动调整攻击参数,致使攻击数据的变种是不可枚举的,这导致传统的特征匹配检测方法仅能识别相当少的攻击,难以防范。因为采取了参数返回错误的思路,造成很多方式都可以给攻击者提示信息,所以系统防范起来还是很困难,现在比较好的办法是通过静态页面生成方式,将终端页面呈现在用户面前,防止对方随意添加访问参数。
四、嗅探扫描
常在网上漂,肯定被扫描。网络扫描无处不在,也许你觉得自己长期安然无事,那是因为你的终端不够长期稳定的联在网上。对于服务器来说,被扫描可谓是危险的开始。这里面又以 Sniffer 为主。如何发现和防止 Sniffer 嗅探器呢?
通过一些网络软件,可以看到信息包传送情况,向 ping 这样的命令会告诉你掉了百分几的包。如果网络中有人在监听扫描,那么信息包传送将无法每次都顺畅的流到目的地,这是由于 sniffer 拦截每个包导致的。
通过某些带宽控制器,比如防火墙,可以实时看到目前网络带宽的分布情况,如果某台机器长时间的占用了较大的带宽,这台终端就有可能在监听。
另一个比较容易接受的是使用安全拓扑结构。这听上去很简单,但实现起来花销是很大的。这样的拓扑结构需要有这样的规则:一个网络段必须有足够的理由才能信任另一网络段。网络段应该考虑你的数据之间的信任关系上来设计,而不是硬件需要。
在网络上,各种攻击层出不穷,但对于终端来说,防范管理都要注意以下几个方面:
1.要做好路由器的保护,它是攻击成败的转折点
2.不要以为自己的口令很复杂,获取口令不仅仅是靠猜解
3.终端的端口和服务是控制危险的平衡闸
4.注意系统的升级
5.带宽要足够,并且稳定,如果资金允许,配备强大的硬件防火墙
暂无评论内容