网络安全-黑客攻击

基本知识

黑客(Hacker)、骇客(Cracker)攻击,需要进行信息收集和根据需求选择攻击方式

 

信息收集

攻击的效果和对目标的了解程度有着直接的相关性。因此信息收集在攻击过程中占据着头等重要的位置,包括财务数据、硬件配置、人员结构、网络架构和整体利益等诸多方面。主要方式如下:

  1. 网络监测。一些监测网络中计算机漏洞的工具,包括嗅探应用软件,能在计算机内部或通过网络来捕捉传输过程中的密码等数据信息。
  2. 社会工程
  3. 公共资源和垃圾。从公开的广告资料甚至垃圾中收集信息。
  4. 后门工具

攻击方式

  1. 拒绝服务攻击
  2. 缓冲区溢出攻击
  3. 漏洞攻击
  4. 欺骗攻击

一、拒绝服务攻击与防御

拒绝服务(DoS)Denial of Service。其目的是使计算机或网络无法提供正常服务。

对服务器DoS攻击思路

  1. 服务器的缓冲区满,不接受新的请求。
  2. 使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。

对网络连接DoS攻击模式

消耗资源

网络设备,也是一种计算机。计算机网络需要一定的条件才能正常运行,如网络带宽、内存、磁盘空间和CPU。DoS攻击利用系统资源有限这一特征,大量地申请系统资源,并长时间地占用,使系统忙于处理请求,无暇为其他用户提供服务。常见DoS攻击几种系统资源:

  1. 针对网络连接的拒绝服务攻击
  2. 消耗磁盘空间
  3. 消耗CPU资源
  4. 消耗内存资源

分布式拒绝服务攻击

分布式拒绝服务(DDoS)攻击是对DoS攻击的发展。

DoS攻击受限于网络资源少和隐蔽性差两个缺点。DDoS突破了DoS的局限性,被DDoS攻击时可能出现的现象:

  1. 被攻击主机上有大量的等待的TCP连接。
  2. 大量到达的数据分组(TCP分组和UDP分组)并不是网站服务连接的一部分,往往指向机器的任意端口。
  3. 网络中充斥着大量的无用数据包,源地址为假
  4. 制造高流量的无用数据,造成网络拥塞,使受害主机无法正常和外界通信。
  5. 严重时造成死机。

DDoS攻击一般采用三级架构:Client——Handler(主控端)——Agent(代理端)

 

常见的拒绝服务攻击

1、SYN Flood

SYN Flood是当前最流行的DoS与DDoS攻击方式之一。

攻击通过三次握手实现。

  1. 攻击者向被攻击设备发送一个包含SYN(同步报文)标志的TCP报文,同步报文会指明客户端使用的端口及TCP连接的初始序号,这时与被攻击设备建立第一次握手。
  2. 被攻击设备收到攻击者的SYN报文后,将返回一个SYN+ACK报文,表示攻击者的请求被接受,完成了第二次握手。
  3. 攻击者也返回一个ACK报文给受害设备,建立第三次握手。

在TCP连接的三次握手中,当用户向服务器发送SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)。这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间被称为SYN Timeout,一般为30s~2min,一个用户异常导致服务器的一个线程等待SYN Timeout并是不大问题,但是如果一个恶意的攻击者大量模拟这种情况,那么故武器端将为了维护一个非常大的半连接列表而资源耗尽。

2、IP欺骗性攻击

这种攻击利用RST位来实现,攻击机将自己伪装成合法用户与服务器进行TCP连接,并向服务器发送一个带有RST位的TCP数据段。服务器接收到RST数据后,就会清空缓冲区中建立好的连接。攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。

3、Ping洪流攻击

Ping of Death

根据TCP/IP协议规范,包长度最大为65536字节,攻击者故意创建一个长度大于65536字节的icmp包,并将该包发送到目标受害主机,由于目标主机的服务程序无法处理过大的包,而引起系统崩溃、挂起、重启。目前所有系统都对此进行了修复。

4、teardrop攻击

滴泪攻击是利用在TCP/IP协议漏洞的攻击。

一个IP分组在网络中传播时,由于沿途各个链接的最大传输单元不同,路由器常常对IP包进行分组,即将一个包分成一些偏度,使每段都足够小,以便通过这个狭窄的链路。随后各片段将转发到目的地,在目的地最终将各片段进行重组。这就是IP包的分段/重组技术。

Teardrop攻击就是利用IP包的分段/重组技术在系统实现中的一个错误,即在重组IP包时只是检查了每段数据是否过长,而没有检查包中的有效数据的长度是否过小。当包中数据长度为负数时,由于memcpy()中的计数器是个反码,负数表示一个非常大的数值。因为IP包重组和缓冲区通常处理系统核心,缓冲区溢出将导致系统资源区分、甚至系统崩溃。

5、Land攻击

攻击者将一个包的源、目地址都设置成为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,直到超时。

6、Smurf攻击

通过使用将回复地址设置成受害网络广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答作出答复,导致网络阻塞。它比Ping of Death的流量高出1-2个数量级。

二、欺骗攻击与防御

1、ARP欺骗

原理省略

防范措施

1)、固化arp表,即IP/Mac绑定。

2)、arp服务器

3)、ARP防护软件——ARP Guard。

2、DNS欺骗

DNS欺骗是一种比较常见的攻击手段。

案例:

全球著名网络安全销售商RSA Security的网站域名被黑客劫持,而主机并没有被入侵,当用户连上RSA Security时,发现主页被篡改成了其他内容。

DNS欺骗原理

DNS欺骗首先是冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了。DNS欺骗并不是真的“黑掉”了目标网站,而是冒名顶替。

DNS欺骗的防范

(1)被动监听检测

如果在一定时间间隔内,一个请求对应两个或两个以上不同的应答包,则怀疑收到了DNS欺骗攻击。因为DNS服务器不会给出多个结果不同的应答包,即使目标域名对应多个IP地址,DNS服务器也会在一个DNS应答包中返回,只有多个应答域而已。

(2)虚假报文探测

主动发送探测包的手段来监测网络内是否存在DNS欺骗攻击者,如果收到应答包,则说明受到了攻击。

(3)交叉检查查询

IP欺骗

 …

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注