网络攻击种类
lSSN1009-3044E—mail:info@cccc.net.caComputerKnowledgeAndTechnology电誓知识与技术http:l/www.dnzs.net.cnTeh+8
lSSN1009-3044E—mail:info@cccc.net.caComputerKnowledgeAndTechnology电誓知识与技术http:l/www.dnzs.net.cn
Teh+86-55l一56909635690964V01.4,No.2,October2008,PP.363—365
网络攻击种类
曹今锋
(广州市统计局计算中心,广东广州510030)
摘要:该文详细分析了计算机网络攻击的种类,希望对维护计算机网络的安全人员有所帮助。
关键词:DDoS;攻击;网络;安全
中图分类号:TP393
NetworkAttackType
Z.ENGLing—zheng文献标识码:A文章编号:1009—3044(2∞8)29.0363-03
(DataProcessingCenter,GuangzhouStatisticsBureau,Guangzhou510030,China)
Abstract:Tbisarticlemultianalysis
networkhaSthehelp.
Keywords:hackem;DoS;DDoS;guardcomputernetworkhasattackedthetype,hopedtOthesecuritypemonnelwhomaintainsthecomputer
l引言
随着Internet在全球的发展.黑客的活动也日趋活跃,大有方兴未艾之势。其动向有以下几个特点:
组织越来越扩大化:早期的黑客虽然也有些是有组织的,全规模不大。,现在跨地Ⅸ,跨国.界的大型黑客组织己经出现。在Intemet网匕还有许多黑客的专题讨论组,并有不断扩大之势。
行动越来越公开化:包括召开会议,举办竞赛,编写教材等。例如2002年7月12口至14日,来自世界各国的2000名国际黑客云集纽约。举行r迄今为止规模最大的全球黑客大会。并且抛出一款全新的软件作为宣战的工具,在此次黑客大会上,黑客们公布的一项计划引起了全球瞩目,那就是众黑客以不满网络安全检查为幽宣布将对全球20多个进行网络检查的围家开战。
案件越来越频繁化:权威机构调查显示计算机攻击事件IE在以年64%的速度增加。另据统计数字显示,至2002年年末,黑客事件平均每天发生614次。比2()02年年初提高20.2%。
情况越来越复杂化:无论人们对于黑客的功过如何评说,黑客的成分背景H益复杂。彳亍为动机各有不同,这是客观事实,对此己经不是用“好人、好事”还是“坏人、坏事”所能简单概括。正义、非正义,侵入、反馒人的斗急错综复杂,种矛扣迹象表明,有朝一目在网上爆发一场带界黑客大战片非天方夜谭。
2入侵系统攻击、
入侵系统的攻击首先需要收集目标系统的有关信息(如运行的操用系统版本、开放的端口等),通过信息的收集,获取系统的控制权。获取信息通过常规的网络探测命令可以获取一些对攻击有用的信息,女|lPING命令判断计算机是否开着,或者计算数据包从发送剑返回需要多少时间:通过Tracert/Tracerout命令跟踪从一台计算机到另外一台计算机所走的路径.。用Finger和Rusem命令收集用户信息;使用Host或Nslookup命令,再结合Whois和Finger命令获到主机、操作系统和用户的信息;甚趸町以直接使用命令攻击。2.1口令攻击
攻击者通过第一阶段的信息收集。获取了目标系统上的用户名、开放服务,操用系统的类型等关键信息,下面就开始实施入侵的核心环节——获取口令。
11口令暴力攻击
由于有些操用系统不能在数次登录失败后自动关闭账号,因此有些黑客把人们常用来做口令的单词制作成词典,通过计算机程序一个个试探,或把英文字母、数字组合后进行试探。
21窃取L1令文件后解密
老版本的Unix没有Shadow文件,全部口令都存在Passwd文件中,新版本的Unix中,用户基本信息存放在Passwd文件中,而所有口令以过DES加密后存放存Shadow文件中,并处于严密保护之下。-一旦黑客获取这两个文件。黑客就可以使用些穷举测试程序破译用户口令。
2.2漏洞攻击
当采用直接口令攻击失败后,攻击者会开始寻找系统的安全漏洞,有些漏洞是系统设计编程的疏忽,有些足管理员配置不当引起的。这些漏洞在系统被大量使用后会逐渐暴露出来,如果管理员不及时F载补r,更改配置,就会给攻击者可乘之机。
11利用CGI漏洞进行攻击
有些CGI程序只是简单地进行传递,不对内容进行过滤,攻击者就可能通过页面提交带危险指令的脚本代码给机器去执行,有些CGI能够过滤一些特征数据,但是有蝗攻击者故意制用一些混乱的字符串犏过检测,甚至有些管理员将CGI所在的目录设置为可写的.攻击者不仅可以修改替换页面。而且也可以通过新脚本为所欲为。
对策:严格设置CGI脚本权限,采有安全的CGI。
2)F1甲铷议漏洞攻击
收稿日期:2008—06-12
作者简介:曾令铮,男。广东广州人,计算机助理工程师,研究方向:局域网的安全。
本栏目责任编辑:冯蕾・・-・-・-・阿络叠讯及安全--363
万方数据
,ComputerKnowledgeAndTechnology电■知识与技术2008年第4卷第2期(总第29期l
胛P协议漏洞之一在于对使用的端口号没有任何限制,用户可以使用代P提供给其他服务的任意端口。这就使攻击者得以利用FrP攻击其他服务。
FW胁议的第二个漏洞是,PTP标准允许无限次输入密码,如些以来攻击者就可以使用口令暴力攻击。防范措施是建议服务器限制尝试输入正确指令的次数。另外,一次登录失败后应暂停几秒来削减暴力攻击的有效性。
F"的第j个漏漏是分配端口号时通常按增序分配,攻击者可以预先占领端口,让合法用户无法分配到端口或趁机窃取信息等。
对策:tL系统改为使用随机分配端rJ号的方法。
31服务程序漏洞攻击
一螳常见的WWW或FrIP服务端程序在设汁一|:也被发现存在安全漏洞,也必须经常注意升版本或下载补丁。
姬IIS4.0和5.0中柱Unieode字符孵码的实现中存在安全漏洞:当IIS打开文件时。如果文件名包含Unieode字符,它会对其解码。导致攻击暂在文件名中加入的指令可以执行。
4)缓冲区溢出攻击
缓冲区溢出的形成非常简单.如在C语言中.下面的程序将造成缓冲区溢出:
bufferflOl;
strew(buffer,str);
只要str的长度大于10,就会溢出,普通的缓冲区溢出并不会产全安全问题,只有将溢出送到能够以root权限运行命令的区域才会产生危害,最常见的方法是在溢出区域运行一个sheⅡ,再通过Shell执行其他的命令。
2.3包劫持和会话劫持攻击char
由于很多协议没有采用任何加密或身份认证技术,比如Telnet、丌P、SMTP等协议,用户账户、密码等鄙是以明文方式传输的.如果攻击者利用包截取_[具,就可能获得用户账户密码等信息;更有甚者,在共享的网段中.A、B站点闸正常通信,被攻击者(:截获后,C有可能冒充接替B同A继续会话,或冒充B发出FIN数据包,释放rA、B间的链接。
2.4域名劫持攻击
攻击者首先获得域名拥有者注册域名时用的邮件账户,再冒充拥有者发送域名变更信息到域名注册管理公司.让原域名指向另一个自已已经拧制的服务器,然后阿冒允域名拥有者进行确认,这样在互联刚上.原来的服务器就被虚假的服务器所取代r,在获取邮件账户时,小排除使用密码暴力猜测或对该账户所在的邮件服务器进行入侵攻击。这种行为就像有人拿着你的身份证.变更了你的银行账户一样。
2.5迂回攻击
如果服务器难以直接攻破,攻击者可能采用迂回的策略,通过Finger等工具,跟踪管理员的活动,找出管理员经常使用的管理工作站。然后侄这台机器L放置木马。窃取管理员密码,再攻击服务器。
2.6IP欺骗攻击
这种攻击方式主要应用于【P协议传送的报文中。它仪适用于少数几种平台。所渭IP欺骗.就是伪造他人的源IP地址。其实质就是让一台机器来扮演另一台机器,以达到蒙混过关的目的。
2.7拒绝服务攻击
拒绝服务攻击大多是由于错误配置或者软件弱点导致的。某些DoS攻击足由丁:开发协议固有的缺陷导致的,某些DoS攻击可以通过简单的补.r来解决,还有一些导致攻击的系统缺陷很雉被弥补=
根据其攻击的手法和目的不同,有两种不同的存在形式:一种是以消耗目标主机的可用资源为目的,使目标服务器忙于应付大星的非法的,无用的连接请求,占用了服务器所有的资源,造成服务器对正常的请求无法再做出及时响应。从而形成事实上的服务E|,断.这也是最常见的拒绝服务攻击彤式;另一种拒绝服务攻击是以消耗服务器连路的有效带宽为目的。攻击者通过发送大量的有用或无用数据包,将整条链路带宽全部占用。从而使合法用户请求无法通过链路到达服务器.服务器对部分合法请求的回应也无法返回用户,造成服务中断。
以下的丽种情况最容易导致拒绝服务攻击:
1)由于程序员对程序错误的编制,导致系统不停的建立进程,最终耗尽资源,只能重新肩动机器。不同的系统平台都会采取某些方法可以防止一些特殊的用户来占用过多的系统资源,我们也建议尽量采用资源管理的方式来减轻这种安全威胁。
2)还有一种情况是南磁盘存储空间引起的。假如一个用户有权利存储夫鼍的文件的话.他就有可能只为系统留下很小的空间用来存储日志文件等系统信息。这是一种不良的操作习惯,会给系统带束隐患。这种情况F应该对系统配额作f【j考虑。
3DoS攻击原理上来分大体分为以下几类:
3.1利用系统缺陷
因为有些系统在设计时未把恶意攻击的因素考虑在内,攻击者通常给端口发送一些故意弄错的数据包.把这个数据包的偏移字段和长度字段写人一个过大或过小的值,使主机无法处理,从而导致系统重启或停机。
对策:这螳攻击都是利用系统的漏洞,冈些补救的办法是及时升级或下载补丁。
3.2利用放大原理
Smurf攻击是以最初发动这种攻击的程序名Smurf来命名的。指通过将回复地址设置成受害者的地址.用广播的方式发送ICMP请求数据包,每个收到这个数据包的主机都进行而I应,大量的回复数据包发给受害者,导致受害主机崩溃。
某屿类型的操作系统,在一定情况下,对一个请求所返回的信息比请求信息量大几十倍,攻击者伪装成目标主机进行请求。导致大黾数据流发向目标主机,加重了攻击效果。
3.3分布式拒绝服务攻击DDoS
拒绝服务攻击中引人的一个新概念,它利用攻击者已经入侵并控制的主机,对某一单机发起攻击。在悬殊的带宽力量对比下,被攻击的主机会很快失去反应。这种攻击方式被证实是非常有效的,而且非常难以抵挡。一般的人难以顺利实现这螳攻击.因为攻本栏目责任编辑:冯蕾
万方数据
,曾令铮:网络攻击种类
击学必顺已经入侵并控制一批网上主机,然后在这些机器上装上并运行分布端的攻击守护进程。
常见的基于网络的拒绝服务攻击:
I)Smutf(directedbroadcast)
广播信息町以通过一定的手段(通过广播地址或其他机制)发送到整个网络巾的机器:当某台机器使用广播地址发送一个ICMPecho请求包时(例如PING),一些系统会回应一个ICMPecho网应包,也就是说,发送一一个包会收到许多的响应包。Smurf攻击就是使用这个原理来进行的,当然,它还需・个假冒的源地址。也就是说在网络巾发送源地址为要攻击毛机的地址,目的地址为广播地址的包,会使许多的系统响应发送大量的信息给被攻击主机。
2)7FCP—SYNflood
当用户进行一次标准的TCP连接时,会有一个3次握手过程。首先是请求服务方发送一个SYN消息.服务方收到SYN后。会向请求方庐I送一个SYN—ACK表示确认,当请求方收到SYN~ACK后,再次向服务方发送一个ACK消息,这样,一次TCP连接建立成功。但是’FCP—SYNflood存实现过程中只迸行前2个步骤:当服务方收到清求方的SYN—ACK确认消息后,请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应,于是,服务方会狂一定时问处于等待接收请求方ACK消息的状态。对于某台服务器来说.可用的TCP连接是有限的,如果恶意攻击方快速连续地发送此类连接请求,该服务器可用的TCP连接队列将很快被阻塞,系统町用资源急剧减少,网络町用带宽迅速缩小,长此下去,网络将无法向用户提供正常的服务。
3)UDPflood
由t二UDP(用户数据包协议)在网络中的应用比较广泛,基于UDP攻击种类也较多。如今在Internet卜提供WWW和Mail等服务没备通常是使用Unix的服务器,它们默认一些被恶意利用的UDP服务.如echo和chargen服务,它会显示接收到的每一个数据包,而原本作为测试功能的ehargen服务会在收到每一个数据包时随机反馈一些字符,如果恶意攻击者将这2个UDP服务互指,则网络可用带宽将很快耗尽。
4结束语
网络攻击是一种多环节,多视角的,它像物质分子的渗透,无孔不入。网络攻击经常是网络黑客的恶作剧。现在已经演变为商业信息和军事机密的窃取;战争r11对敌方军事活动的干扰也发展演变成为现在的信息战。
因为采取以上对策外,还要安装防火墙。但对内部网络来说。防火墙确实起到厂相当大的作用,想要突破它足非常不易的。但是如果对于一台仅提供WEB服务的主机而言,那么防火墙所起的作用就非常有限。因为既然要对外提供服务,那么就要允许外部的数据包进入主机,但这与防火墙本身的保护机制是互相矛盾的。由于无法把潜在的危险集中于一点,所以黑客就有可能攻击对外提供报务的主机。即使对外部提供的服务本身,就防火墙本身而青也可能存在漏洞,例如著名的FireWaⅡ一l防火墙软件就已经被发现存在多种漏洞。即使防火墙软件是完全安全的,如果大意配置不当,那么也会给黑客留下攻击的缝隙。
参考文献:
f1】华勇,高健媛,韩臻.嘲络安全存在问题解决方法的研究fJ].铁路计算机应用,2002(13.
12】胡小新,E颖,罗旭斌.一种DoS攻击的防御方案fjI.f}算机工程与应用,2004(i2):160-163
【31陈浩.internet上的网络攻击与防范Ⅲ.电信技术,1998(4).。
f41黑客防线[EB/OL|.http://www.hacker.corn.cn.
『51火狐技术联盟[EB/OLI.http://www.wrsky.com.
(上接第339页)
动态带宽分配一LcAS功能
在开发虚级联的同时也在开发动态带宽分配功能。该功能通常称为链路容量调
整方案(LCAS)。在SI)H歼销内交换发送的信息,以便更改由虚级联组(VCG)
使川的从属终端数日。从属终端的数目可减可增.也可应用由此引发的带宽更改,在
出现网络错误时不会丢失数据。
LCAS可对提供C分配的带宽进行进一步il考l整。如果初始带宽分配只是用于
平均流量而非全峰值带宽,面平均带宽使用率在一段时问后会有所更改,此时
可修改分配以反映该更改。
LCAS对于容错和故障保护也很有用,因为该协议具有从VCG清除故障链路
的能力由于数据流在虚级联组中的从属终端上是八位字节的带状流,冈此,在某~
从属终端出现错误而没有这样一种机制的情况F,整个数据流会在从属终端出现错
误期间也出现错误。LCAS协议提供了一种检测错误从属终端并自动从组中清除错
误终端的机制,VCG在带宽变小时会终止运行但它仍继续传输没有错误的数据。
以t对DSLAM的传输网技术进行了较洋细介绍,DSLAM的传输利用MSTP的
L2交换功能.实现DsLAM节点的IP上行汇聚,利用MS,IP环网,实现传送业务的’.
保护。这样。不但日f以节约大量的光纤资源和fP交换端口,而且具有SDH保护功
能,从而MSTP网络设备特性为DSIAM的安全可靠的传输提供了保障。图3参考文献:
【11吴风修.SDH技术与设备【M】.北京:人民邮电出版社,2(}06.
f21刘光,罗卫兵.IP—DSLAM技术在数字化哨位网络互联中的应用【J】.武警上程学院学报,2007,23(2):23—25.
f3】邹辰.DSI。AM现状及其发展趋势[J1.光通信研究,2003(2):33—35.
【4】何小玉.DSLAM技术发展与应h3EJl.电信科学,2004,20(3):25—29.
本栏目责仔编辑:冯蕾7万方数据・・-・・・・・胃终囊讯及安全,-365
网络攻击种类
作者:
作者单位:
刊名:
英文刊名:
年,卷(期):曾令铮, ZENG Ling-zheng广州市统计局计算中心,广东,广州,510030电脑知识与技术COMPUTER KNOWLEDGE AND TECHNOLOGY2008,4(29)
参考文献(5条)
1. 火狐技术联盟
2. 黑客防线
3. 陈浩 Intemet上的网络攻击与防范[期刊论文]-电信技术 1998(04)
4. 胡小新;王颖;罗旭斌 一种DoS攻击的防御方案[期刊论文]-计算机工程与应用 2004(12)
5. 华勇;高健媛;韩臻 嘲络安全存在问题解决方法的研究[期刊论文]-铁路计算机应用 2002(01)
本文链接:http://d.g.wanfangdata.com.cn/Periodical_dnzsyjs-itrzyksb200829044.aspx