《攻击和攻击检测方法》由会员分享,可在线阅读,更多相关《攻击和攻击检测方法(7页珍藏版)》请在金锄头文库上搜索。
1、首页安全技术黑客技术软件下载在线攻击闲聊论坛休闲天地关于本站| 黑客类文章 | | 安全类文章 | | 黑客类文章 黑客技术 攻击和攻击检测方法攻击和攻击检测方法http:/ 网络安全和黑客技术攻击美国 IDG Infoworld测试中心小组开发了一种可以称之为Benchmarking类型的测试基准,IWSS16。该小组收集了若干种典型且可以公开得到的攻击方法,对其进行组合,形成IWSS16。IWSS16组合了四种主要类型的攻击手段:收集信息网络攻击者经常在正式攻击之前,进行试探性的攻击,目标是获取系统有用的信息,主要手段有 PING 扫描,端口扫描,帐户扫描,DNS 转换等操作。获取访问权限
2、以各种手段获取对网络和系统的特权访问,其中,包括许多故障制造攻击,例如,发送邮件故障,远程IMAP 缓冲区溢出, FTP 故障,等。通过这些攻击造成的故障,暴露系统的安全漏洞,获取访问权限。拒绝服务 (Denial of Service) DoS 是最不容易捕获的攻击,因为它不易留下痕迹,安全管理人员不易确定攻击来源。由于其攻击目标是使系统瘫痪,因此,是很危险的攻击。当然,就防守一方的难度而言,拒绝服务攻击是比较容易防御的攻击类型。这类攻击的特点是以潮水般的申请使系统在迎接不暇的状态中崩溃;除此之外,拒绝服务攻击还可以利用操作系统的弱点,有目标地进行针对性的攻击。逃避检测入侵者往往在攻击之后,
3、使用各种逃避检测的手段,使其攻击的行为不留痕迹。典型的特点是修改系统的安全审计记录。然而,魔高一尺,道高一丈,克服逃避检测已成为攻击检测技术的发展研究方向之一。攻击检测方法检测隐藏的非法行为基于审计信息的脱机攻击检测工作,以及自动分析工具,可以向系统安全管理员报告此前一天计算机系统活动的评估报告。对攻击的实时检测系统的工作原理是基于对用户历史行为的建模以及在早期的证据或者模型的基础。审计系统实时地检测用户对系统的使用情况,根据系统内部保持的用户行为的概率统计模型进行监测,当发现有可疑的用户行为发生时,保持跟踪并监测,记录该用户的行为。IDES(Intrusion-Detection Exper
4、t System),攻击检测专家系统,就是采用基于审计统计数据的技术,它具有一些天生的弱点,因为用户的行为可以是非常复杂的,所以想要准确匹配一个用户的历史行为和当前的行为相当困难。错发的警报往往来自对审计数据的统计算法所基于的不准确或不贴切的假设。基于神经网络的攻击检测技术为改进基于统计数据的技术,SRI(Stanford Research Institute,斯坦福研究所 ) 的研究小组利用和发展了神经网络技术来进行攻击检测。基于专家系统的攻击检测技术进行安全检测工作自动化的另一个值得重视的研究方向就是,基于专家系统的攻击检测技术,即根据安全专家对可疑行为的分析经验来形成一套推理规则,然后在
5、此基础上构成相应的专家系统。专家系统可以自动进行对所涉及的攻击操作的分析工作。基于模型推理的攻击检测技术攻击者在攻击一个系统时,往往采用一定的行为程序,如猜测口令的程序,这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。虽然攻击者并不一定都是恶意的。用基于模型的推理方法,人们能够为某些行为建立特定的模型,从而,能够监视具有特定行为特征的某些活动。根据假设的攻击脚本,这种系统就能检测出非法的用户行为。一般为了准确判断,要为不同的攻击者和不同的系统建立特定的攻击脚本。当有证据表明某种特定的攻击模型发生时,系统应当收集其它证据来证实
6、或者否定其攻击的真实,既不能漏报攻击,对信息系统造成实际的损害,又要尽可能的避免错报。参考资料1 刘启原,攻击检测技术漫谈,国际电子报,第35 期 B 版,网络世界,1998 年 9 月 14日,第 B16 页RPC 受到 Snork拒绝服务攻击受影响的系统Windows NT的各个版本概要IIS 的 X-Force研究发现, Windows NT RPC服务在遭遇DoS 攻击时,攻击者利用最小的资源使得一台远端的NT 系统达到 100%的 CPU 使用率,并可持续任意长的时间。同时,远端的攻击者通过迫使系统进行连续的分组反弹,从而占据较大的带宽。这种攻击与早期发现的“Smurf“和“Frag
7、gle“很相似,故称之为“Snork“攻击。NT 4.0工作站和服务器均存在这种弱点。事实上,所有的NT 系统,包括已经安装过服务包SP1, SP2, SP3, 甚至 SP4 RC 1.99,以及安装过所有9/10/98以前的补包,均存在这种弱点。解决的办法的信息在下面提供。建议的解决方案微软已经做了一个补包程序,专门对付“Snork“攻击。补包的信息可见于微软的安全公告牌:http:/ 网络管理员可以在包过滤的路由器或者防火墙上,增加一条规则,以保护内部的系统,防止来自外部的攻击:拒绝所有的这类进入的UDP 包,目的端口是135 ,源端口是7,19 ,或者 135 。大多数防火墙或者包过滤器
8、已经设置了很多严格的规则,已覆盖了这条过滤规则,已具备预防来自外部的 “Snork“攻击的能力。 这些防火墙过滤所有的通向UDP 端口 135 的进入包。 然而,有一些 NT 的应用程序,它们依靠UDP135端口进行合法的通讯。在这种情况下,建议你安装微软的补包。网络攻击检测系统的管理员,包括ISS 的 RealSecure,可以立即检测到所管辖网络域的“Snork“攻击,只要加入一条过滤规则,来检测具有如下特征的网络活动:Name: Snork Protocol: UDP Source Address: Any Source Port: 135 (additional rules for p
9、orts 7 var x=window.open(file:/C:/test.txt); x.navigate(“javascript:eval(“var a=window.open(file:/C:/test.txt);r=a.document.body.innerText;alert(r);“)“); 解决方法微软于 1998年 9 月 4 日发布了补包以解决这个问题。这些补包可以从微软站点下载。微软强烈建议受影响的用户(列在受影响的版本中) ,应该尽早地下载并且安装这些补包。对于 IE4.xx ,这些用户应该从IE 的安全站点下载补包,http:/ Windows 98的用户可以通过使用
10、Windows Update的功能来获得补包。对于 IE3 的用户,首先应该升级到IE 最近的版本,然后再安装IE4 的补包。升级信息详见于 Internet Explorer的下载站点http:/ 详细信息可见于:微软的安全布告http:/ Internet Explorer的安全站点http:/ 微软知识库文章Q168485 http:/ IIS 4.0中的可执行目录受影响的版本Internet Information Server 4.0 摘要如果一个非管理员的用户把可执行的代码放到一个Web 站点上的允许文件执行的目录,则那个用户可以运行某种应用程序,损害那台Web 服务器。解决建议管
11、理员应该验证所有的虚拟HTTP 服务器上的已被标成可执行的目录的访问权限。详见下面建议的安全权限。由于服务器允许在本地执行代码,所有的安全补包应该安装到HTTP 服务器上,至少可以防止来自本地的攻击。详细信息见于http:/ 描述下列目录在安装IIS 4.0时,已被缺省地标志成可执行:/W3SVC/1/ROOT/msadc /W3SVC/1/ROOT/News /W3SVC/1/ROOT/Mail /W3SVC/1/ROOT/cgi-bin /W3SVC/1/ROOT/SCRIPTS /W3SVC/1/ROOT/IISADMPWD /W3SVC/1/ROOT/_vti_bin /W3SVC/1
12、/ROOT/_vti_bin/_vti_adm /W3SVC/1/ROOT/_vti_bin/_vti_aut 按缺省安装IIS 后,下列的物理驱动器被映像为:msadc c:program filescommonsystemmsadc News c:InetPubNews Mail c:InetPubMail cgi-bin c:InetPubwwwrootcgi-bin SCRIPTS c:InetPubscripts IISADMPWD C:WINNTSystem32inetsrviisadmpwd _vti_bin Not present by default - installed
13、with FrontPage extensions 要访问这些物理目录,可以通过这些方法进行:目录共享,远程命令(如 rcmd, telnet, remote.exe等), HTTP PUT 命令,或者 FrontPage。 所有这些方法在缺省安装时是没有的,它们通常都是由管理员后来加上的。缺省的 NTFS 权限是非常开放的, 缺省地,允许 Everyone组具有 change控制 (RWXD)的权限,除了msadc对 Everyone有完全控制的权限例外。由于这些目录的敏感特性,这里建议的是,它们的NTFS 访问权限应该是:Administrator, LocalSystem: Full C
14、ontrol (完全控制 ) Everyone: Special Access(X) (特别访问 ) 管理员应该严格检查所有能够访问文件系统的路径,对所有那些允许文件执行的Web 目录保持警觉。另外,如果一个用户被授权允许管理他自己的站点,他们可能有权利设置一个目录为可执行。这时,管理员应该只允许那些允许的文件类型可以复制到真正的Web 站点。原作者:不明来 源:不明共有 12 位读者阅读过此文【告诉好友】上篇文章 :网络安全检测思路下篇文章 :袭击网站16 岁少年黑客面临指控- 本周热门文章- 相关文章1. 破解 OICQ 的密码算法 326 2. 黑客攻击步骤 - 如何获得 IP 248 3. 黑客初步技术 230 4. 黑客实用技巧两则171 5. 网络入侵简介 143 6. 通过两个漏洞的结合只需要不到10 秒钟 .130 7. 很酷的一篇入侵分析126 FireWall因协议设计而存在的缺陷( 下) FireWall因协议设计而存在的缺陷( 上) DOS 下常用网络相关命令解释NET 命令的基本用法常用的网络相关命令保持在主机上的权限用 perl 编写 CGI 过程中的安全问题
