安全基础-减轻网络攻击

网络攻击的类型攻击类型对于目标网络实施:侦察(Reconnaissance)访问攻击(Accessattacks)拒绝服务(DoSanddistributedDoS)攻击类型(Cont.)蠕虫(Worms),病毒(Viruses),特洛伊木马(Trojanhorses)应用层攻击(ApplicationLayerAttacks)管理协议威胁(ThreatstoManagementProtocols)侦察和防范侦察侦察和防范侦察侦察通过使用软件和有限的信息尝试获得目标网络的全部信息.侦察包括以下几种方式:包嗅探端口扫描Ping扫描因特网信息查询包嗅探包嗅探软件将网卡置为混合模式去捕捉网络中的所有数据包.包嗅探危害:对于Telnet,FTP,SNMP,POP,HTTP等使用明文方式传输数据可以直接获得数据具体内容.局限在相同的冲突域.其可以被网络管理人员合法的使用,但也可以被用作于攻击.防范包嗅探攻击缓解和防范包嗅探攻击的技术和工具包含:认证加密

低层使用交换架构包嗅探软件使用免费的Ethereal软件,轻松获取网络中传输的数据包信息.端口扫描和Ping扫描通过端口扫描和Ping扫描识别网络中:所有主机和网络设备所有提供的服务操作系统信息一些现存的弱点漏洞基于端口扫描应用在*nix系统下可以使用nmap软件,针对某台活动主机进行详细端口扫描.Nmap软件同样可以移植于Windows系统中运行基于端口扫描应用(Cont.)在Windows系统下使用nmap程序进行端口扫描.端口扫描和Ping扫描防范端口扫描和Ping扫描不可能被完全阻止,其也不会危及网络性能.可以使用基于网络或主机级别的入侵检测系统来减轻端口和Ping扫描攻击.Internet信息查询通过WHOIS工具的使用,可以很方便的收集目标主机相关的注册信息,地址,主要电话号码,甚至管理人信息.访问攻击和防范访问攻击入侵者在网络或主机系统上使用访问攻击,其目的:检索数据获得数据提升他们访问权限访问攻击包括:密码破解信任攻击端口重定向中间人攻击缓冲区溢出密码破解攻击攻击者使用如下几种方式进行密码破解攻击:暴力破解特洛伊木马程序IP哄骗(IPspoofing)包嗅探密码破解示例通过L0phtCrack软件可以从hash值计算出明文密码.密码破解的两种方法:字典式破解暴力破解缓解密码破解攻击缓解密码破解攻击的技术:不允许用户在多个系统中使用相同的密码.当发生多次不成功的登录尝试后,应禁用此帐号.使用“强壮的”密码.例如“mY8!Rthd8y”比“mybirthday”这样的密码更难以被破解.信任攻击攻击者善于使用现有信任关系实施攻击.几种现存的信任关系:Windows:域Domains活动目录ActivedirectoryLinuxandUNIX:NIS(类似于Windows的域服务)NIS+信任攻击防范通过合理的配置DMZ区域,其不能主动的发起对内部安全网的访问,从而进行防范信任攻击.端口重定向中间人攻击及防范中间人攻击需要攻击者能够获取通过网络的数据包.其可以通过包嗅探方式获取数据包内容.中间人攻击通常使用:网络数据包嗅探(sniffers)重路由和传输协议最有效的防范中间人攻击的方法是使用加密和认证等技术,比如IPsecVPN技术来保护通讯双方的安全.DoS攻击及防范DoS攻击及防范拒绝服务攻击损害或破坏您的计算机系统或拒绝您和他人访问目标网络,系统或服务.分布式拒绝服务攻击技术其同时可能会从很多源对目标主机或网络进行攻击.DoS和分布式DoS攻击可以同时使用IP欺骗来隐藏攻击者.DDoS攻击示例减轻和防范DoS攻击三种减轻和防范DoS技术:使用带有Anti-spoof特性路由器或防火墙使用带有Anti-DoS特性路由器或防火墙在ISP级别启用流量速率限制IP哄骗攻击者处在Inside或Outside网络模仿受信任的会话主机.IP哄骗可以使用受信任的Inside网络IP或受信任的Outside网络IP进行哄骗攻击.通常IP哄骗攻击包括:在正常数据流中加入恶意数据或命令黑客通过改变路由表做为一个信任用户应答所有收到的数据包减轻和防范IP哄骗攻击IP哄骗攻击可以被减轻,但是不可能被完全消除,通常会采用如下方法来进行防范:实施访问控制加密RFC3704filtering附加的认证,例如:加密图Cryptographic(recommended)一次性密码等防范蠕虫,病毒,特洛伊木马蠕虫,病毒,特洛伊木马对于终端用户而言其最大的弱点:WormsVirusesTrojanhorseattacks防范病毒,特洛伊木马防范蠕虫,病毒,特洛伊木马:使用有效的反病毒软件使用有效的防火墙软件使用基于主机的IPS软件,例如CSA-Cisco安全代理等软件防范蠕虫四个步骤减轻蠕虫攻击危害:Contain限制繁殖Inoculate打补丁,完善Quarantine隔离Treat治疗缓解应用层攻击应用层攻击应用层攻击有以下几个特点:使用已知弱点,例如协议本身的缺陷.还会使用一些常规的端口,比如TCP的80号端口.没有办法完全消除应用层攻击,因为总会有新的漏洞被发现.缓解应用层攻击可以使用这些方法来缓解应用层攻击:经常查看操作系统和网络日志,并且详细的分析日志订阅并获取最新发布的弱点确保您的操作系统和应用程序保持最新的更新协议的弱点及漏洞协议用于网络管理协议有syslog,SNMP,NTP和Telnet等.用于服务器访问协议有HTTP,FTP等.比如Telnet的问题:Telnet的会话数据在网络以明文方式进行传输.数据可能会包含敏感性的信息.协议弱点及漏洞这些方法是可行的:使用IPSec,SSH,SSL,或者其它的加密传输协议保护会话流.配置合适有效的ACLs用于允许指定服务器网