| 根據運行的環境�,操作系統可以分為桌面操作系統,手機操作系統,服務器操作系統����,嵌入式操作系統等。 
網絡安全基礎(2)
什么是攻擊?攻擊的法律定義是指僅在入侵完成且入侵者已在目標網絡中時郵件攻擊���,才發生攻擊. 但更積極的看法是(尤其是對于網絡安全管理員): 可能導致網絡被破壞的所有操作都應稱為攻擊. 也就是說,從入侵者開始在目標計算機上工作開始,攻擊就開始了.
通常,在正式攻擊之前����,攻擊者首先進行一次試探性攻擊���,目的是獲得有關系統的有用信息. 這包括ping掃描���,端口掃描�����,帳戶掃描����,dns轉換和惡意ip嗅探器(通過技術手段非法訪問ip數據包���,獲取系統的重要信息�����,實現對系統的攻擊�����,將在后面詳細介紹) )�,木馬程序等. 此時,處于受攻擊狀態的網絡通常會顯示一些信號和特征��,例如:
·有人嘗試在日志中使用舊的sendmail是更明顯的攻擊消息��,即有人在端口25上發出了兩個或三個命令. 這些命令無疑是試圖誘騙服務器復制/ etc / passwd通過電子郵件發送給入侵者的文件形式��,除了show mount命令可能是某人正在收集計算機信息.
·大量掃描應立即使root知道安全攻擊的出現.
·主機的服務端口上發生擁塞現象. 這時,您應該檢查綁定到端口的服務類型. 淹沒式和拒絕服務攻擊通常是欺騙攻擊的先兆(或一部分).
·等待.
良好而徹底的日志記錄和詳細分析通常是預測攻擊����,定位攻擊并在受到攻擊后跟蹤攻擊者的強大武器. 網絡安全管理員意識到網絡受到攻擊后���,應立即按照操作步驟進行記錄�,并向管理員報告�,并采取相應的安全措施.
攻擊計算機網絡的方法可以分為幾大類,其危害程度以及檢測和防御方法也不同:
1信息收集攻擊:
常用工具包括: NSS��,Strobe�,Netscan,SATAN(用于審核網絡的安全管理員工具)���,Jakal,IdentTCPscan�����,FTPScan等��,以及各種嗅探器. 廣義上講�,木馬程序也被用作信息收集攻擊的重要手段. 信息收集攻擊有時是其他攻擊的序幕. 對于簡單的端口掃描���,敏銳的安全管理員通����?梢詮漠惓H罩居涗浿姓业焦粽叩膰L試. 但是對于秘密的嗅探器和木馬程序而言��,檢測是一項更高級��,更困難的任務.
1.1嗅探器
它們可以截獲非常秘密或特殊的信息,例如密碼��,甚至可以用來攻擊相鄰的網絡. 因此�����,網絡中嗅探器的存在將帶來巨大的威脅. 這不包括安全管理員安裝的用于監視入侵者的嗅探器. 它們最初旨在診斷網絡連接. 它可以是具有強大調試功能的普通網絡��,也可以是軟件和硬件. 聯合形式. 現在,嗅探器可以在各種平臺上工作���,例如:
·Gobbler(MS-DOS)
·ETHLOAD(MS-DOS)
·Netman(Unix)
·Esniff.c(SunOS)
·Sunsniff(SunOS)
·Linux-sniffer.c(Linux)
·NitWit.c(SunOS)
·等.
檢測嗅探器的存在是一項非常困難的任務,因為嗅探器本身只是被動地接收數據而沒有發送任何東西. 上面列出的嗅探器程序可以在Internet上下載��,其中一些以源代碼的形式(擴展名為.c)發布.
通常來說��,真正需要保留的只是一些關鍵數據����,例如用戶名和密碼. 使用ip數據包級別的加密技術,即使嗅探器獲取了數據包�,也可能使嗅探器難以獲取真實數據本身. 此類工具包括安全外殼(ssh)和F-SSH�����,尤其是后者為公共傳輸提供了非常強大的多層加密算法,該算法通常使用tcp / ip進行通信. ssh具有免費版本和商業版本����,可以在Unix上運行�,也可以在Windows 3.1���,Windows 95和Windows nt上運行.
此內�����,并且為發現嗅探器的所有者提供了便利.
1.2木馬
這是技術攻擊. 木馬程序的經典定義在RFC1244中給出: 木馬程序是提供某些有用或僅有趣功能的程序. 但是通常會執行用戶不希望執行的操作,例如復制文件或在您不知道的情況下竊取您的密碼����,或者直接將重要信息轉移出去或破壞系統等. Trojan程序帶來了非常高級別的危險���,因為它們很難找到. 在許多情況下�,木馬程序都以二進制代碼形式出現���,其中大多數無法直接讀取��,并且木馬程序可以在許多系統上運行. 它的傳播與病毒非常相似. 從Internet下載的軟件(尤其是免費軟件和共享軟件)��,從匿名服務器或usernet新聞組獲得的程序等非常可疑. 因此,作為關鍵網絡上的用戶,有義務了解他們的責任并自覺采取行動. 您無法輕松安裝路徑不清晰的軟件.
檢測木馬程序需要對操作系統有一些深入的了解. 您可以通過檢查文件更改時間���,文件長度,校驗和等檢查文件是否被意外操作. 此外���,文件加密也是檢查Trojan程序的有效方法. 可用的工具包括:
跳線是一種廣泛使用的系統完整性工具. 系統通過讀取配置文件來獲取環境變量. 該文件包含所有文件標記(文件標記),用戶可以指定應詳細說明哪些文件. 對報告進行了哪些更改等. 其數字簽名存儲在中. 可用于數字簽名的哈希函數包括: MD5�,MD4�,CRC32�����,MD2��,Snc frn,SHA等.
TAMU軟件包可以檢查許多項目��,包括CERT通知中定義的項目以及最近入侵事件中發現的項目����,所有修改的系統二進制流以及需要機密性的關鍵路徑.
·妖精
·ATP(反篡改程序)
后兩種工具的使用不如前兩種工具常見���,但它們各有特點.
2拒絕服務:
這是一群人或使用Internet協議套件的某些方面進行的攻擊����,目的是阻止甚至關閉其他用戶對系統和信息的合法訪問. 它的特點是大量的連接應用程序,使系統處于壓倒性崩潰的狀態. 對于大型網絡����,此類攻擊的影響有限��,但可能會導致較小的網絡退出服務并遭受重創.
這是最不容易捕獲的攻擊,因為在不留下任何痕跡的情況下����,安全管理人員很難確定攻擊的來源. 由于這種攻擊會使整個系統癱瘓并且易于實施�����,因此非常危險. 但是從防御的角度來看,這種攻擊的防御也相對容易. 攻擊者不會破壞系統數據,也不會通過此類攻擊獲得未經授權的許可���,而只會造成混亂和煩人. 例如,使網絡上的用戶的郵箱超出容忍范圍,無法正常使用.
典型的攻擊包括電子郵件���,郵件列表連接,
2.1電子郵件
這是一種簡單有效的入侵工具. 它反復將相同的信息發送給目標收件人��,并用這些垃圾堵塞目標的個人郵箱. 有很多可以使用的工具,例如bomb02.zip(mail bomber),在Windows平臺上運行,非常易于使用. 在unix平臺上發起電子郵件攻擊甚至更簡單. 只需幾行shell程序即可用垃圾填充目標郵箱.
它的防御也相對簡單. 通常�����,郵件發送和接收程序提供過濾功能. 發現此類攻擊后�,您可以將源地址和目標地址放入拒絕列表中.
2.2郵件列表連接
效果與郵件基本相同. 將目標地址同時注冊到數十個(甚至數百個)郵件列表中. 由于每個郵件列表通常每天都會產生許多郵件,因此您可以想象其總體效果. 攻擊可以手動完成,也可以通過構建郵件列表自動生成. 郵件列表連接沒有快速解決方案. 受害者需要向每個列表發送包含“退訂”信息的電子郵件.
許多程序能夠同時執行兩種類型的攻擊���,包括Up(Windows)�����,KaBoom(Windows)�����,Avalanche(Windows),Unabomber(Windows)�,eXtreme Mail(Windows)�����,Homicide(Windows),Bombtrack( Macintosh)�,FlameThrower(Macintosh)等.
2.3其他
還有一些針對其他服務的攻擊�,例如Syn-Flooder��,Ping of Death(發送異常大的ping數據包以攻擊Windows nt)�����,DNSkiller(在Linux平臺上運行,攻擊Windows nt平臺Dns服務器)等.
在路由級別����,通過適當的配置過濾數據流將減少此類攻擊的可能性. 思科系統提供了路由級解決方案.
3次欺騙攻擊(欺騙):
http�,ftp和dns等協議的附件可能會竊取普通用戶甚至超級用戶的權限���,并隨意修改信息內容�,從而造成極大的危害. 所謂的IP欺騙就是偽造他人的源IP地址. 本質是讓一臺機器玩另一臺機器,以達到穿越的目的. 以下服務相對容易受到此類攻擊:
·使用sunrpc調用的任何配置����; rpc是指sun的遠程過程調用標準�����,它是用于處理在網絡上工作的系統調用的一組方法.
·任何使用IP地址認證的網絡服務
·麻省理工學院的xwindow系統
·各種r服務: 在unix環境中�,r服務包括rlogin和rsh,其中r表示遠程. 人們最初設計這兩個應用程序是為了向用戶提供對Internet主機的遠程訪問. r服務非常容易受到ip欺騙攻擊的影響.
幾乎所有欺騙都取決于目標網絡的信任關系(在UNIX系統中,計算機之間的相互信任可以通過設置rhosts和host.equiv來設置). 入侵者可以使用掃描儀來確定遠程計算機之間的信任關系. 這種技術欺騙的成功案例很少���,這需要入侵者擁有特殊的工具和技術(現在似乎在非unix系統上不起作用). 另外,欺騙形式包括dns欺騙等.
解決方案是仔細設置和處理網絡中主機之間的信任關系,尤其是不同網絡中主機之間的信任關系. 如果局域網中僅存在信任關系��,則可以將路由器設置為過濾掉聲稱源地址為內部網絡地址的外部網絡中的ip數據包��,以防止ip欺騙. 以下某些公司的產品提供此功能
·思科系統
·Iss.net的安全軟件包可以測試網絡中的ip欺騙漏洞.
·等.
國際黑客已經進入有組織和有計劃的網絡攻擊階段. 美國政府打算容忍黑客組織的活動��,以便將黑客攻擊置于一定的控制之下,并通過該渠道獲得針對攻擊的實際打擊. 經驗. 國際黑客組織已經開發出許多技術來逃避檢測. 這使得攻擊和安全檢測與防御的任務更加困難.
1敏感層劃分
使用敏感層的概念來劃分由符號攻擊技術引起的危險程度.
1次電子郵件攻擊(第1層)
2拒絕服務攻擊(第1層以上)
3個本地用戶獲得未授權的讀取訪問權限(第2層)
4個本地用戶獲得了未經授權的文件寫入權限(第3層)
5遠程用戶獲得了未經授權的帳戶(layer3 +)
6遠程用戶已獲得特權文件(第4層)的讀取權限
7遠程用戶已獲得特權文件(第5層)的寫許可權
8遠程用戶具有root權限(黑客已占領了系統)(第6層)
以上劃分級別在所有網絡中幾乎相同�����,并且基本上可以用作網絡安全工作的評估指標.
“本地用戶”是一個相對的概念. 它是指可以自由登錄到網絡上任何主機并在網絡上的主機上具有帳戶并在硬盤上具有目錄的任何用戶. 從某種意義上講����,阻止內部人員的工作更加困難. 據統計,對信息系統的攻擊主要來自內部���,占85%. 因為他們對網絡有更清晰的了解,所以他們有更多的時間和機會來測試網絡安全漏洞�,并且很容易避免對系統日志的監視.
2種對策
根據不同的攻擊級別����,應采取不同的對策.
一樓:
對第一層的攻擊基本上應該無關緊要. 第一層攻擊包括拒絕服務攻擊和郵件攻擊. 郵件攻擊還包括注冊列表攻擊(在將目標登錄到數千個或更多郵件列表時����,因此目標可能會被大量郵件列表淹沒). 應對此類攻擊的最佳方法是分析源地址,并將攻擊者使用的主機(網絡)信息添加到inetd.sec的拒絕列表中. 除了使攻擊者網絡中的所有主機不可接受之外,除了訪問您自己的網絡之外,沒有其他有效的方法來防止此類攻擊.
這種類型的攻擊只會造成相對較小的傷害. 令人頭疼的是,盡管這種攻擊沒有害處��,但發生的頻率可能很高,因為這種攻擊只能在有限的經驗和知識下進行.
二樓和三樓:
這兩層攻擊的嚴重性取決于對這些文件的讀寫權限的非法訪問. 對于isp����,最安全的方法是將所有shell帳戶集中在某個主機(或多個主機)上,只有它們才能接受登錄名,這可以使管理日志,控制訪問���,協議配置和相關安全性措施的實施變得更加簡單. 另外,存儲用戶編寫的CGI程序的計算機應與系統中的其他計算機隔離.
攻擊的原因可能是部分配置錯誤或軟件固有的漏洞. 對于前者,管理員應注意使用安全工具來查找一般的配置錯誤�,例如satan. 后一種解決方案要求安全管理員花費大量時間來跟蹤和了解最新的軟件安全漏洞報告��,下載補丁或與供應商聯系. 實際上,學習安全性是一個永無止境的學習過程. 安全管理員可以訂閱一些安全郵件列表�,并學習使用某些腳本程序(例如perl等)來自動搜索和處理郵件并找到所需的最新信息.
在發現發起攻擊的用戶之后���,他應立即停止訪問并凍結其帳戶.
四樓:
此攻擊層涉及遠程用戶如何獲得對內部文件的訪問權限. 大多數原因是服務器配置不正確����,cgi程序漏洞和溢出問題.
五樓和六樓:
只有利用不應該出現的漏洞�,這種致命的攻擊才有可能.
第三,第四和第五層攻擊表明網絡已經處于不安全狀態. 安全管理員應立即采取有效措施保護重要數據��,日志記錄和報告�,并努力找到攻擊的位置:
·將受攻擊的網段分開,并將此攻擊的范圍限制在很小的范圍內
·記錄當前時間���,備份系統日志,檢查記錄的損失范圍和程度
·分析是否需要中斷網絡連接
·讓攻擊繼續
·如果可能,請對系統進行0級備份
·向主管領導和有關當局報告入侵的細節;如果系統嚴重受損并影響網絡業務功能����,請立即致電備件恢復系統
·針對此攻擊的大量日志工作
·(在另一個網段上)竭盡全力確定攻擊源
簡而言之��,如果沒有萬不得已,就無法使系統退出服務. 查找入侵者最重要的工作是記錄并定位入侵者,找到入侵者并通過合法手段強制其阻止攻擊最為重要. 有效防御.
通過密碼進行身份驗證是實現計算機安全性的主要手段之一. 如果非法用戶獲悉了用戶的密碼,則該非法用戶已經獲得了該用戶的所有權限���,尤其是高權限用戶的密碼. 泄漏后,主機和網絡立即失去安全性. 黑客攻擊目標時,通常會開始破解普通用戶的密碼. 然后使用字典窮舉法進行攻擊. 它的原理是這樣的: Internet上的用戶經常使用英文單詞或自己的名字��,生日作為密碼. 通過某些程序����,單詞會自動從計算機詞典中提取,并作為用戶密碼輸入到遠程主機,以申請訪問系統. 如果密碼錯誤�,則按順序取出下一個單詞,然后進行下一次嘗試. 并繼續循環直到找到正確的密碼���,或字典單詞完成為止. 由于解密過程是由計算機程序自動完成的,因此您可以在幾個小時內嘗試字典中的所有單詞. 這樣的測試很容易在主機日志上留下明顯的攻擊特征. 因此,攻擊者通常會使用其他方式來獲取主機系統上的/ etc / passwd文件或什至/ etc / shadow文件�,然后在本地對其進行Dictionary Dictionary攻擊或蠻力破解. 攻擊者不需要每個人的密碼��,他們可以通過獲取一些用戶密碼來控制系統,因此即使是普通用戶也太簡單地使用密碼,都可能對系統安全性構成巨大威脅. 系統管理員和所有其他用戶應對密碼選擇采取負責任的態度,以消除運氣和懶惰.
但是�����,許多用戶對其密碼沒有很好的安全感����,并且使用容易猜到的密碼,例如: 帳戶本身��,首字母大寫或全部大寫���,或者僅跟數字���,甚至是簡單的數字����,例如0、1�����、123�、888、6666����、168等��,其中一些是系統或主機的名稱,或者是常見的名詞,例如system�����,manager����,admin等. 事實上,根據相對于當前計算機加密和解密處理的算法和功能�,防止字典攻擊猜測您的密碼也很簡單�����,以使您的密碼不在相應解密程序的字典中. 好的密碼應至少包含7個字符郵件攻擊,不要使用個人信息(例如生日��,姓名等)���,并且密碼中必須包含一些非字母(例如數字����,標點符號,控制字符等). 密碼. 在紙上或計算機上的文檔中��,選擇密碼的一種好方法是用數字或控制字符連接兩個不相關的單詞(最好用大寫和小寫字母組合)���,然后截斷為8個字符. 例如����,從安全角度來看,me2.Hk97是一個非常好的密碼.
確保密碼安全的幾點如下:
·密碼長度不能少于6位���,并且必須包含字母和數字,以及標點符號和控制字符
·請勿在密碼中使用通用詞(以避免字典攻擊)����,英文縮寫,個人信息(例如生日����,姓名�����,反向拼寫的登錄名,房間中可見的東西)��,年份和機器中的命令等.
本文來自本站�����,轉載請注明本文網址:
http://www.pc-fly.com/a/jisuanjixue/article-263871-1.html
| 
