史萊姆論壇 - 查看單個文章

psac · 2006-03-22, 09:08 AM

系統防禦戰:黑客網路攻擊的預防措施

·系統防禦戰:黑客網路攻擊的預防措施(1)
　　目前造成網路不安全的主要因素是系統、傳輸協定及資料庫等的設計上存在缺陷。由於當今的電腦網路作業系統在本身結構設計和程式碼設計時偏重考慮系統使用時的方便性，導致了系統在遠端訪問、權限控制和密碼管理等許多方面存在安全漏洞。網路互連一般採用TCP/IP傳輸協定，它是一個工業標準的傳輸協定簇，但該傳輸協定簇在制訂之初，對安全問題考慮不多，傳輸協定中有很多的安全漏洞。同樣，資料庫管理系統（DBMS）也存在資料的安全性、權限管理及遠端訪問等方面問題，在DBMS或應用程式中可以預先安置從事情報收集、受控激發、定時發作等破壞程序。

　　由此可見，針對系統、網路傳輸協定及資料庫等，無論是其自身的設計缺陷，還是由於人為的因素產生的各種安全漏洞，都可能被一些另有圖謀的黑客所利用並發起攻擊。因此若要保證網路安全、可靠，則必須熟知黑客網路攻擊的一般程序。只有這樣方可在黑客攻擊前做好必要的防備，從而確保網路執行的安全和可靠。

　　一、黑客攻擊網路的一般程序

　　1、訊息的收集

　　訊息的收集並不對目標產生危害，只是為進一步的入侵提供有用訊息。黑客可能會利用下列的公開傳輸協定或工具，收集駐停留在網路系統中的各個主機系統的相關資訊：

　　（1）TraceRoute程序能夠用該程序獲得到達目標主機所要經過的網路數和路由器數。
　　（2）SNMP傳輸協定用來查閱網路系統路由器的路由表，從而瞭解目標主機所在網路的拓撲結構及其內部細節。
　　（3）DNS伺服器該伺服器提供了系統中可以訪問的主機IP位址表和它們所對應的主機名。
　　（4）Whois傳輸協定該傳輸協定的服務訊息能提供所有有關的DNS域和相關的管理參數。
　　（5）Ping實用程序可以用來確定一個指定的主機的位置或網線是否連通。

　　2、系統安全弱點的探測

　　在收集到一些準備要攻擊目標的訊息後，黑客們會探測目標網路上的每台主機，來尋求系統內部的安全漏洞，主要探測的方式如下：

　　（1）自編程序對某些系統，網際網路上已發怖了其安全漏洞所在，但用戶由於不懂或一時疏忽未打上網上發怖的該系統的「修正檔」程序，那麼黑客就可以自己編寫一段程序進入到該系統進行破壞。

　　（2）慢速掃瞄由於一般掃瞄偵測器的實現是通過監視某個時間段裡一台特定主機發起的連接的數目來決定是否在被掃瞄，這樣黑客可以通過使用掃瞄速度慢一些的掃瞄軟體進行掃瞄。

　　（3）體系結構探測黑客利用一些特殊的資料包傳送給目標主機，使其作出相對應的回應。由於每種作業系統的回應時間和方式都是不一樣的，黑客利用這種特徵把得到的結果與準備好的資料庫中的資料相對照，從中便可輕而易舉地判斷出目標主機作業系統所用的版本及其他相關資訊。

　　（4）利用公開的工具軟體像審計網路用的安全分析工具SATAN、Internet的電子安全掃瞄程序IIS等一些工具對整個網路或子網進行掃瞄，尋找安全方面的漏洞。

　　3、建立模擬環境，進行模擬攻擊

　　根據前面兩小點所得的訊息，建立一個類似攻擊對象的模擬環境，然後對此模擬目標進行一系列的攻擊。在此期間，通過檢查被攻擊方的日誌，觀察檢測工具對攻擊的反應，可以進一步瞭解在攻擊程序中留下的「痕跡」及被攻擊方的狀態，以此來制定一個較為周密的攻擊原則。

　　4、具體實施網路攻擊

　　入侵者根據前幾步所獲得的訊息，同時結合自身的水準及經驗總結出相應的攻擊方法，在進行模擬攻擊的實踐後，將等待時機，以備實施真正的網路攻擊。

　　二、傳輸協定欺騙攻擊及其防範措施

　　1、源IP位址欺騙攻擊

　　許多應用程式認為若資料包可以使其自身沿著路由到達目的地，並且回應包也可回到源地，那麼源IP位址一定是有效的，而這正是使源IP位址欺騙攻擊成為可能的一個重要前提。

　　假設同一網段內有兩台主機A和B，另一網段內有主機X。B 授予A某些特權。X 為獲得與A相同的特權，所做欺騙攻擊如下：首先，X冒充A，向主機 B傳送一個帶有隨機序列號的SYN包。主機B回應，回送一個回應包給A，該回應號等於原序列號加1。然而，此時主機A已被主機X利用拒絕服務攻擊「淹沒」了，導致主機A服務失效。結果，主機A將B發來的包丟棄。為了完成三次握手，X還需要向B回送一個回應包，其回應號等於B向A傳送資料包的序列號加1。此時主機X 並不能檢測到主機B的資料包（因為不在同一網段），只有利用TCP順序號估算法來預測回應包的順序號並將其傳送給目標機B。如果猜測正確，B則認為收到的ACK是來自內部主機A。此時，X即獲得了主機A在主機B上所享有的特權，並開始對這些服務實施攻擊。

　　要防止源IP位址欺騙行為，可以採取以下措施來盡可能地保護系統免受這類攻擊：

　　（1）拋棄關於位址的信任原則阻止這類攻擊的一種十分容易的辦法就是放棄以位址為基礎的驗證。不允許r類遠端使用指令的使用；移除.rhosts 文件；清空/etc/hosts.equiv 文件。這將迫使所有用戶使用其它遠端通信手段，如telnet、ssh、skey等等。

　　（2）使用加密方法在包傳送到網路上之前，我們可以對它進行加密。雖然加密程序要求適當改變目前的網路環境，但它將保證資料的完整性、真實性和保密性。

　　（3）進行包過濾可以組態路由器使其能夠拒絕網路外部與本網內具有相同IP位址的連接請求。而且，當包的IP位址不在本網內時，路由器不應該把本網主機的包傳送出去。有一點要注意，路由器雖然可以封鎖試圖到達內部網路的特定檔案類型的包。但它們也是通過份析測試源位址來實現操作的。因此，它們僅能對聲稱是來自於內部網路的外來包進行過濾，若你的網路存在外部可信任主機，那麼路由器將無法防止別人冒充這些主機進行IP欺騙。

　　2、源路由欺騙攻擊

　　在通常情況下，訊息包從起點到終點所走的路是由位於此兩點間的路由器決定的，資料包本身只知道去往何處，而不知道該如何去。源路由可使訊息包的傳送者將此資料包要經過的路徑寫在資料包裡，使資料包循著一個對方不可預料的路徑到達目的主機。下面仍以上述源IP欺騙中的例子指出這種攻擊的形式：

　　主機A享有主機B的某些特權，主機X想冒充主機A從主機B（假設IP為aaa.bbb.ccc.ddd）獲得某些服務。首先，攻擊者修改距離X最近的路由器，使得到達此路由器且包含目的位址aaa.bbb.ccc.ddd的資料包以主機X所在的網路為目的地；然後，攻擊者X利用IP欺騙向主機B傳送源路由(指定最近的路由器)資料包。當B回送資料包時，就傳送到被更改過的路由器。這就使一個入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護資料。

　　為了防範源路由欺騙攻擊，一般採用下面兩種措施：

　　· 對付這種攻擊最好的辦法是組態好路由器，使它拋棄那些由外部網進來的卻聲稱是內部主機的報文。
　　· 在路由器上關閉源路由。用指令no ip source-route。

2006-03-22, 09:08 AM	#1
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	系統防禦戰:黑客網路攻擊的預防措施系統防禦戰:黑客網路攻擊的預防措施 ·系統防禦戰:黑客網路攻擊的預防措施(1) 　　目前造成網路不安全的主要因素是系統、傳輸協定及資料庫等的設計上存在缺陷。由於當今的電腦網路作業系統在本身結構設計和程式碼設計時偏重考慮系統使用時的方便性，導致了系統在遠端訪問、權限控制和密碼管理等許多方面存在安全漏洞。網路互連一般採用TCP/IP傳輸協定，它是一個工業標準的傳輸協定簇，但該傳輸協定簇在制訂之初，對安全問題考慮不多，傳輸協定中有很多的安全漏洞。同樣，資料庫管理系統（DBMS）也存在資料的安全性、權限管理及遠端訪問等方面問題，在DBMS或應用程式中可以預先安置從事情報收集、受控激發、定時發作等破壞程序。　　由此可見，針對系統、網路傳輸協定及資料庫等，無論是其自身的設計缺陷，還是由於人為的因素產生的各種安全漏洞，都可能被一些另有圖謀的黑客所利用並發起攻擊。因此若要保證網路安全、可靠，則必須熟知黑客網路攻擊的一般程序。只有這樣方可在黑客攻擊前做好必要的防備，從而確保網路執行的安全和可靠。　　一、黑客攻擊網路的一般程序　　1、訊息的收集　　訊息的收集並不對目標產生危害，只是為進一步的入侵提供有用訊息。黑客可能會利用下列的公開傳輸協定或工具，收集駐停留在網路系統中的各個主機系統的相關資訊：　　（1）TraceRoute程序能夠用該程序獲得到達目標主機所要經過的網路數和路由器數。　　（2）SNMP傳輸協定用來查閱網路系統路由器的路由表，從而瞭解目標主機所在網路的拓撲結構及其內部細節。　　（3）DNS伺服器該伺服器提供了系統中可以訪問的主機IP位址表和它們所對應的主機名。　　（4）Whois傳輸協定該傳輸協定的服務訊息能提供所有有關的DNS域和相關的管理參數。　　（5）Ping實用程序可以用來確定一個指定的主機的位置或網線是否連通。　　2、系統安全弱點的探測　　在收集到一些準備要攻擊目標的訊息後，黑客們會探測目標網路上的每台主機，來尋求系統內部的安全漏洞，主要探測的方式如下：　　（1）自編程序對某些系統，網際網路上已發怖了其安全漏洞所在，但用戶由於不懂或一時疏忽未打上網上發怖的該系統的「修正檔」程序，那麼黑客就可以自己編寫一段程序進入到該系統進行破壞。　　（2）慢速掃瞄由於一般掃瞄偵測器的實現是通過監視某個時間段裡一台特定主機發起的連接的數目來決定是否在被掃瞄，這樣黑客可以通過使用掃瞄速度慢一些的掃瞄軟體進行掃瞄。　　（3）體系結構探測黑客利用一些特殊的資料包傳送給目標主機，使其作出相對應的回應。由於每種作業系統的回應時間和方式都是不一樣的，黑客利用這種特徵把得到的結果與準備好的資料庫中的資料相對照，從中便可輕而易舉地判斷出目標主機作業系統所用的版本及其他相關資訊。　　（4）利用公開的工具軟體像審計網路用的安全分析工具SATAN、Internet的電子安全掃瞄程序IIS等一些工具對整個網路或子網進行掃瞄，尋找安全方面的漏洞。　　3、建立模擬環境，進行模擬攻擊　　根據前面兩小點所得的訊息，建立一個類似攻擊對象的模擬環境，然後對此模擬目標進行一系列的攻擊。在此期間，通過檢查被攻擊方的日誌，觀察檢測工具對攻擊的反應，可以進一步瞭解在攻擊程序中留下的「痕跡」及被攻擊方的狀態，以此來制定一個較為周密的攻擊原則。　　4、具體實施網路攻擊　　入侵者根據前幾步所獲得的訊息，同時結合自身的水準及經驗總結出相應的攻擊方法，在進行模擬攻擊的實踐後，將等待時機，以備實施真正的網路攻擊。　　二、傳輸協定欺騙攻擊及其防範措施　　1、源IP位址欺騙攻擊　　許多應用程式認為若資料包可以使其自身沿著路由到達目的地，並且回應包也可回到源地，那麼源IP位址一定是有效的，而這正是使源IP位址欺騙攻擊成為可能的一個重要前提。　　假設同一網段內有兩台主機A和B，另一網段內有主機X。B 授予A某些特權。X 為獲得與A相同的特權，所做欺騙攻擊如下：首先，X冒充A，向主機 B傳送一個帶有隨機序列號的SYN包。主機B回應，回送一個回應包給A，該回應號等於原序列號加1。然而，此時主機A已被主機X利用拒絕服務攻擊「淹沒」了，導致主機A服務失效。結果，主機A將B發來的包丟棄。為了完成三次握手，X還需要向B回送一個回應包，其回應號等於B向A傳送資料包的序列號加1。此時主機X 並不能檢測到主機B的資料包（因為不在同一網段），只有利用TCP順序號估算法來預測回應包的順序號並將其傳送給目標機B。如果猜測正確，B則認為收到的ACK是來自內部主機A。此時，X即獲得了主機A在主機B上所享有的特權，並開始對這些服務實施攻擊。　　要防止源IP位址欺騙行為，可以採取以下措施來盡可能地保護系統免受這類攻擊：　　（1）拋棄關於位址的信任原則阻止這類攻擊的一種十分容易的辦法就是放棄以位址為基礎的驗證。不允許r類遠端使用指令的使用；移除.rhosts 文件；清空/etc/hosts.equiv 文件。這將迫使所有用戶使用其它遠端通信手段，如telnet、ssh、skey等等。　　（2）使用加密方法在包傳送到網路上之前，我們可以對它進行加密。雖然加密程序要求適當改變目前的網路環境，但它將保證資料的完整性、真實性和保密性。　　（3）進行包過濾可以組態路由器使其能夠拒絕網路外部與本網內具有相同IP位址的連接請求。而且，當包的IP位址不在本網內時，路由器不應該把本網主機的包傳送出去。有一點要注意，路由器雖然可以封鎖試圖到達內部網路的特定檔案類型的包。但它們也是通過份析測試源位址來實現操作的。因此，它們僅能對聲稱是來自於內部網路的外來包進行過濾，若你的網路存在外部可信任主機，那麼路由器將無法防止別人冒充這些主機進行IP欺騙。　　2、源路由欺騙攻擊　　在通常情況下，訊息包從起點到終點所走的路是由位於此兩點間的路由器決定的，資料包本身只知道去往何處，而不知道該如何去。源路由可使訊息包的傳送者將此資料包要經過的路徑寫在資料包裡，使資料包循著一個對方不可預料的路徑到達目的主機。下面仍以上述源IP欺騙中的例子指出這種攻擊的形式：　　主機A享有主機B的某些特權，主機X想冒充主機A從主機B（假設IP為aaa.bbb.ccc.ddd）獲得某些服務。首先，攻擊者修改距離X最近的路由器，使得到達此路由器且包含目的位址aaa.bbb.ccc.ddd的資料包以主機X所在的網路為目的地；然後，攻擊者X利用IP欺騙向主機B傳送源路由(指定最近的路由器)資料包。當B回送資料包時，就傳送到被更改過的路由器。這就使一個入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護資料。　　為了防範源路由欺騙攻擊，一般採用下面兩種措施：　　· 對付這種攻擊最好的辦法是組態好路由器，使它拋棄那些由外部網進來的卻聲稱是內部主機的報文。　　· 在路由器上關閉源路由。用指令no ip source-route。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次