第7章-黑客攻击和防范技术

1、7.3常见(chn jin)攻击方式与防御方法共二十五页7.3常见(chn jin)攻击方式与防御方法拒绝服务（DoS）攻击是目前最主要(zhyo)的一种黑客攻击类型，它的最终目的不是破坏系统，也不窃取目标用户的信息，而是让目标用户的系统资源消耗殆尽，从而使目标用户系统崩溃。在这一攻击原理下，它又派生出了许多种不同的攻击方式1死亡之Ping（Ping of Death）攻击2泪滴（Teardrop）攻击3TCP SYN洪水（TCP SYN Flood）攻击4分片IP报文攻击5Land攻击6Smurf攻击共二十五页7.3常见攻击方式与防御(fngy)方法 1死亡之Ping（Ping of Dea

2、th）攻击不断地通过Ping命令向攻击目标发送超过64 KB的数据包，使目标计算机的TCP/IP堆栈崩溃，致使(zhsh)接收方死机。防御方法：判断是否存在这种攻击的方法只需判断数据包的大小是否大于65 535字节。反攻击的方法是使用新的补丁程序，当收到大于65 535字节的数据包时，丢弃该数据包，并进行系统审计。现在所有的标准TCP/IP协议都已具有对付超过64 KB大小的数据包的处理能力，并且大多数防火墙能够通过对数据包中的信息和时间间隔的分析，自动过滤这些攻击。共二十五页7.3常见攻击方式与防御(fngy)方法2泪滴（Teardrop）攻击黑客们在截取IP数据包后，把偏移字段设置成不正确

3、的值，这样接收端在收到这些分拆的数据包后，就不能按数据包中的偏移字段值正确组合这些拆分的数据包，但接收端会不断尝试，这样就可能致使目标计算机操作系统因资源耗尽而崩溃。泪滴攻击利用修改(xigi)在TCP/IP堆栈中IP碎片的包的标题头，所包含的信息来实现自己的攻击。防御方法：检测这类攻击的方法是对接收到的分片数据包进行分析，计算数据包的片偏移量（Offset）是否有误。反攻击的方法是添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。尽可能采用最新的操作系统，或者在防火墙上设置分段重组功能，由防火墙先接收到同一原包中的所有拆分数据包，然后完成重组工作，而不是直接转发。因为防火墙上可

4、以设置当出现重叠字段时所采用的规则。共二十五页7.3常见攻击方式与防御(fngy)方法3TCP SYN洪水（TCP SYN Flood）攻击TCP/IP栈只能等待有限数量的ACK（应答）消息，因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始(ch sh)信息，则该计算机就会对接下来的连接停止响应，直到缓冲区里的连接超时。防御方法：这类攻击的检测方法可以检查单位时间内收到的SYN连接是否收到超过系统设定的值。反攻击的方法是当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计；在防火墙上过滤来自同一主机的后续连接。

5、不过“SYN洪水攻击”还是非常令人担忧的，由于此类攻击并不寻求响应，所以无法从一个简单的高容量的传输中鉴别出来。共二十五页7.3常见攻击方式与防御(fngy)方法4分片IP报文攻击攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待（直到一个内部计时器到时），如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能相应正常的IP报文，这也是一种DoS攻击防御方法：对于这种攻击方式，目前还没有一种十分有效的防御方法。对一些包过滤设备或者入侵检测系统来说，首先是通过判断目的端口号来采取允许/禁止措施。但是由于通过恶意分片使目的端口号位于第二个分片

6、中，因此包过滤设备通过判断第一个分片，决定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各种攻击。通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。当然，目前一些智能(zh nn)的包过滤设备可直接丢掉报头中未包含端口信息的分片，但这样的设备目前价格仍比较高，不是每个企业都能承受得起的。共二十五页7.3常见攻击方式与防御(fngy)方法5Land攻击这类攻击中的数据包源地址和目标地址是相同的，当操作系统接收到这类数据包时，不知道该如何处理，或者循环发送和接收该数据包，这样会消耗大量的系统资源，从而有可能造成(zo chn)系统崩溃或死机。防御方法：这类攻击的检测方法相

7、对来说比较容易，因为可以直接通过判断网络数据包的源地址和目标地址是否相同确认是否属于攻击行为。反攻击的方法当然是适当地配置防火墙设备或制定包过滤路由器的包过滤规则，并对这种攻击进行审计，记录事件发生的时间、源主机和目标主机的MAC地址和IP地址，从而可以有效地分析并跟踪攻击者的来源。共二十五页7.3常见(chn jin)攻击方式与防御方法6Smurf攻击这是一种由有趣的卡通人物而得名的拒绝服务攻击。Smurf攻击利用了多数路由器中具有的同时向许多计算机广播请求的功能。攻击者伪造一个合法的IP地址，然后由网络上所有的路由器广播要求向受攻击计算机地址作出回答的请求。由于这些数据包从表面上看是来自已

8、知地址的合法请求，因此网络中的所有系统向这个地址作出回答，最终结果可导致该网络中的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，这也就达到了黑客们追求的目的了。这种Smurf 攻击比起前面介绍的“Ping of Death”和“SYN洪水”的流量高出一至两个数量级，更容易攻击成功。还有些新型的Smurf攻击，将源地址改为(i wi)第三方的受害者（不再采用伪装的IP地址），最终导致第3方雪崩。防御方法：关闭外部路由器或防火墙的广播地址特性，并在防火墙上设置规则，丢弃掉ICMP协议类型的数据包。共二十五页7.3常见攻击方式与防御(fngy)方法7.3.2其他攻击方式的行为特征与防御方法1

9、利用型攻击（1）口令猜测攻击a）社会工程学 b）猜测攻击c）字典攻击 d）穷举法攻击e）混合(hnh)攻击 f）直接破解系统口令文件g）网络嗅探 h）键盘记录其他攻击方式，如中间人攻击、重放攻击、生日攻击、时间攻击。避免以上几类攻击的对策还要加强用户安全意识，采用安全的密码系统，注意系统安全，避免感染间谍软件、木马等恶意程序。共二十五页7.3常见攻击方式与防御(fngy)方法（2）特洛伊木马攻击特洛伊木马也就是常说的木马程序，它可以通过一个不令人起疑的用户账户，秘密安装到目标系统中，属于“后门程序”类型。这类木马程序非常之多，如NetBus、BackOrifice、BO2k、netcat和VN

10、C等。防御方法：避免下载可疑程序并拒绝执行，运用网络扫描(somio)软件定期监视内部主机上的监听TCP服务，当然专业的木马查杀软件也是必不可少的。共二十五页7.3常见(chn jin)攻击方式与防御方法（3）缓冲区溢出攻击通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令。如果这些指令是放在有Root权限的内存中，那么一旦这些指令得到了运行，黑客就以Root权限控制了系统，达到入侵的目的,防御方法：一，必须及时发现缓冲区溢出这类漏洞。二，程序指针完整性检查。在程序指针被引用之前检测(jin c)它是否改变。三，数组边界检查。共二十五页7.3常

11、见(chn jin)攻击方式与防御方法2信息收集型攻击信息收集型攻击并不对目标本身造成危害，只是收集用户信息。这类攻击技术主要包括：地址（或端口、信息）扫描(somio)技术、体系结构刺探和反响映射技术等。（1）地址扫描（2）端口扫描（3）源IP地址欺骗（4）反响映射（5）体系结构刺探（6）利用信息服务对DNS域进行转换（7）Finger服务共二十五页7.3常见(chn jin)攻击方式与防御方法2信息收集型攻击（1）地址扫描运用像IP地址扫描器、IPScaner、MAC地址扫描系统(xtng)等常见的简单工具探测目标地址，依据目标计算机对此作出的响应来判断其是否存在，然后就可以进一步明确攻击

12、对象。防御方法：在防火墙上过滤掉ICMP应答消息。共二十五页7.3常见(chn jin)攻击方式与防御方法2信息收集型攻击（2）端口扫描通常使用一些像Port Scanner、ScanPort、端口扫描器等工具软件，在大范围内对当前网络连接的主机TCP端口进行扫描，然后报告成功建立了连接的主机所开的端口。黑客们再利用这些开放(kifng)的端口实施有针对性的攻击。防御方法：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。共二十五页7.3常见(chn jin)攻击方式与防御方法2信息收集型攻击(gngj)（3）源IP地址欺骗许多应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也

13、可以回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的前提。防御方法：一，抛弃基于地址的信任策略。二，使用加密方法。三，进行包过滤。共二十五页7.3常见攻击方式与防御(fngy)方法2信息收集型攻击（4）反响映射黑客向主机发送虚假消息，然后根据返回的“host unreachable”这一消息特征判断出哪些主机是存在的。这其实与前面介绍的地址扫描技术差不多。目前由于正常的扫描活动容易被防火墙侦测到，黑客转而使用不会触发防火墙规则的常见消息类型，这些类型包括：RESET消息、SYN-ACK消息和DNS响应(xingyng)包。防御方法：使用NAT和非路由代理服务器技术能

14、够自动抵御此类攻击，也可以在防火墙上过滤“host unreachable”ICMP应答。共二十五页7.3常见(chn jin)攻击方式与防御方法2信息收集型攻击（5）体系结构刺探黑客使用具有(jyu)已知响应类型的数据库的自动工具，对目标主机和坏的数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法，通过将此独特的响应与数据库中的已知响应进行对比，黑客经常能够确定出目标主机所运行的操作系统。防御方法：去掉或修改各种Banner（标题信息），包括操作系统和各种应用服务的阻断用于识别的端口，扰乱对方的攻击计划。共二十五页7.3常见(chn jin)攻击方式与防御方法2信息收集型攻

15、击（6）利用信息服务对DNS域进行转换DNS协议不对转换或信息更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称及内部(nib)IP地址。防御方法：在防火墙处过滤掉域转换请求。共二十五页7.3常见(chn jin)攻击方式与防御方法2信息收集型攻击（7）Finger服务黑客使用Finger命令来刺探一台Finger服务器以获取该系统的用户的信息。防御(fngy)方法：关闭Finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。共二十五页7.3常见攻击方式与防御(fngy)方法3假

16、消息攻击用于攻击目标配置，发送不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。（1）DNS高速缓存污染由于在DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来(jn li)，并把用户引向黑客自己的主机。防御方法：在防火墙上过滤入站的DNS更新，拒绝外部DNS服务器更改内部服务器对内部机器的识别方法。（2）伪造电子邮件由于SMTP协议并不对邮件发送者的身份进行鉴定，因此黑客可以对内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的特洛伊木马程序，或者是一个引向恶意网站的连接。防御方法：使用PGP等安全加密工具对邮件进行加

17、密和数字签名，或者安装公共个人用户证书，可以防止黑客浏览或篡改邮件内容和签名。共二十五页7.3常见攻击方式与防御(fngy)方法1企业(qy)网管理员常用的策略 在主机的设置关闭不必要的服务。限制同时打开的SYN半连接数目。缩短SYN半连接的time out时间。及时更新系统补丁。在防火墙上可以进行如下策略设置。禁止对主机的非开放服务的访问。限制同时打开的SYN最大连接数。限制特定IP地址的访问。启用防火墙的防DoS的属性。严格限制对外开放的服务器向外访问。在路由器方面，Cisco Express Forwarding（CEF）工具。使用Unicast reverse-path工具。设置访问控

18、制列表（ACL）过滤。设置SYN数据包流量速率。升级版本过低的ISO。为路由器建立log server。共二十五页7.3常见(chn jin)攻击方式与防御方法2ISP/ICP管理员常用的策略ISP/ICP为很多中小型企业提供了各种规模的主机托管业务，所以在防DoS时，除了用与企业网管理员一样的手段外，还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说，这些(zhxi)托管主机的安全性普遍是很差的，有的连基本的补丁都没有安装，成为黑客最喜欢的“肉鸡”。因为不管这台机器黑客怎么用都不会有被发现的危险，它的安全管理太差了，漏洞太多，随便找一个就可以。作为ISP/ICP的管理员，对托管主机是没有直接管理权力的，只能通知让客户来处理。在实际情况中，有很多客户与自己的托管主机服务商配合得不是很好，造成ISP/ICP管理员明知自己负责的一台托管主机成为傀儡机，却没有什么办法的局面。共二十五页7.3常见(chn jin)攻击方式与防御方法3骨干网络运营