史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-05-29, 03:37 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - 黑客攻擊電子郵件系統方法及防護措施

在不斷公佈的漏洞通報中,郵件系統的漏洞該算最普遍的一項。黑客常常利用電子郵件系統的漏洞,結合簡單的工具就能達到攻擊目的。電子郵件究竟有哪些潛在的風險?黑客在郵件上到底都做了哪些手腳?一同走進黑客的全程攻擊,瞭解電子郵件正在面臨的威脅和挑戰……
毫無疑問,電子郵件是當今世界上使用最頻繁的商務通信工具,據可靠統計顯示,目前全球每天的電子郵件發送量已超過500億條,預計到2008年該數位將增長一倍。
電子郵件的持續升溫使之成為那些企圖進行破壞的人所日益關注的目標。如今,黑客和病毒撰寫者不斷開發新的和有創造性的方法,以期戰勝安全系統中的改進措施。
出自郵件系統的漏洞
典型的互連網通信協議—TCP和UDP,其開放性常常引來黑客的攻擊。而IP地址的脆弱性,也給黑客的偽造提供了可能,從而洩露遠端服務器的資源訊息。
很多電子郵件網關,如果電子郵件地址不存在,系統則回復發件人,並通知他們這些電子郵件地址無效。黑客利用電子郵件系統的這種內在「禮貌性」來訪問有效地址,並新增到其合法地址資料庫中。
防火牆只控制基於網絡的連接,通常不對通過標準電子郵件連接阜(25連接阜)的通信進行詳細審查。
黑客如何發動攻擊
一旦企業選擇了某一郵件服務器,它基本上就會一直使用該品牌,因為主要的服務器平台之間不具互操作性。以下分別概述了黑客圈中一些廣為人知的漏洞,並闡釋了黑客利用這些安全漏洞的方式。
一、IMAP 和 POP 漏洞
密碼脆弱是這些協議的常見弱點。各種IMAP和POP服務還容易受到如緩衝區溢出等類型的攻擊。
二、拒絕服務(DoS)攻擊
1.死亡之Ping——發送一個無效資料片段,該片段始於包結尾之前,但止於包結尾之後。
2.同步攻擊——極快地發送TCP SYN包(它會啟動連接),使受攻擊的機器耗盡系統資源,進而中斷合法連接。
3.循環——發送一個帶有完全相同的源/目的地址/連接阜的偽造SYN包,使系統陷入一個試圖完成TCP連接的無限循環中。
三、系統配置漏洞
企業系統配置中的漏洞可以分為以下幾類:
1.預定配置——大多數系統在交付給客戶時都設置了易於使用的預定配置,被黑客盜用變得輕鬆。
2.空的/預定根密碼——許多機器都配置了空的或預定的根/管理員密碼,並且其數量多得驚人。
3.漏洞創建——幾乎所有程式都可以配置為在不安全模式下執行,這會在系統上留下不必要的漏洞。
四、利用軟件問題
在服務器守護程式、客戶端應用程式、操作系統和網絡堆疊中,存在很多的軟件錯誤,分為以下幾類:
1.緩衝區溢出——程式員會留出一定數目的字元空間來容納登入用戶名,黑客則會通過發送比指定字元串長的字元串,其中包括服務器要執行的代碼,使之發生資料溢出,造成系統入侵。
2.意外組合——程式通常是用很多層代碼構造而成的,入侵者可能會經常發送一些對於某一層毫無意義,但經過適當構造後對其他層有意義的輸入。
3.未處理的輸入——大多數程式員都不考慮輸入不符合規範的訊息時會發生什麼。
五、利用人為因素
黑客使用高階手段使用戶打開電子郵件附件的例子包括雙延伸名、密碼保護的Zip文件、文本欺騙等。
六、特洛伊木馬及自我傳播
結合特洛伊木馬和傳統病毒的混合攻擊正日益猖獗。黑客所使用的特洛伊木馬的常見類型有:
1.遠端訪問——過去,特洛伊木馬只會偵聽對黑客可用的連接阜上的連接。而現在特洛伊木馬則會通知黑客,使黑客能夠訪問防火牆後的機器。有些特洛伊木馬可以通過IRC命令進行通信,這表示從不建立真實的TCP/IP連接。
2.資料發送——將訊息發送給黑客。方法包括記錄按鍵、搜索密碼文件和其他秘密訊息。
3.破壞——破壞和刪除文件。
4.拒絕服務——使遠端黑客能夠使用多個殭屍電腦啟動分佈式拒絕服務(DDoS)攻擊。
5.代理——旨在將受害者的電腦變為對黑客可用的代理服務器。使匿名的TelNet、ICQ、IRC等系統用戶可以使用竊得的信用卡購物,並在黑客追蹤返回到受感染的電腦時使黑客能夠完全隱匿其名。
典型的黑客攻擊情況
儘管並非所有的黑客攻擊都是相似的,但以下步驟簡要說明了一種「典型」的攻擊情況。
步驟1:外部偵察
入侵者會進行『whois』查找,以便找到隨域名一起註冊的網絡訊息。入侵者可能會瀏覽DNS表(使用『nslookup』、『dig』或其他實用程式來執行域傳遞)來查找機器名。
步驟 2:內部偵察
通過「ping」掃瞄,以檢視哪些機器處於活動狀態。黑客可能對目標機器執行UDP/TCP 掃瞄,以檢視什麼服務可用。他們會執行「rcpinfo」、「showmount」或「snmpwalk」之類的實用程式,以檢視哪些訊息可用。黑客還會向無效用戶發送電子郵件,接收錯誤響應,以使他們能夠確定一些有效的訊息。此時,入侵者尚未作出任何可以歸為入侵之列的行動。
步驟 3:漏洞攻擊
入侵者可能通過發送大量資料來試圖攻擊廣為人知的緩衝區溢出漏洞,也可能開始檢查密碼易猜(或為空)的登入帳戶。黑客可能已通過若干個漏洞攻擊階段。
步驟 4:立足點
在這一階段,黑客已通過竊入一台機器成功獲得進入對方網絡的立足點。他們可能安裝為其提供訪問權的「工具包」,用自己具有後門密碼的特洛伊木馬替換現有服務,或者創建自己的帳戶。通過記錄被更改的系統文件,系統完整性檢測(SIV)通常可以在此時檢測到入侵者。
步驟 5:牟利
這是能夠真正給企業造成威脅的一步。入侵者現在能夠利用其身份竊取機密資料,濫用系統資源(比如從當前站點向其他站點發起攻擊),或者破壞網頁。
另一種情況是在開始時有些不同。入侵者不是攻擊某一特定站點,而可能只是隨機掃瞄Internet地址,並查找特定的漏洞。
郵件網關對付黑客
由於企業日益依賴於電子郵件系統,它們必須解決電子郵件傳播的攻擊和易受攻擊的電子郵件系統所受的攻擊這兩種攻擊的問題。解決方法有:
1.在電子郵件系統周圍鎖定電子郵件系統——電子郵件系統周邊控制開始於電子郵件網關的部署。電子郵件網關應根據特定目的與加固的操作系統和防止網關受到威脅的入侵檢測功能一起構建。
2.確保外部系統訪問的安全性——電子郵件安全網關必須負責處理來自所有外部系統的通信,並確保通過的訊息流量是合法的。通過確保外部訪問的安全,可以防止入侵者利用Web郵件等應用程式訪問內部系統。
3.實時監視電子郵件流量——實時監視電子郵件流量對於防止黑客利用電子郵件訪問內部系統是至關重要的。檢測電子郵件中的攻擊和漏洞攻擊(如畸形MIME)需要持續監視所有電子郵件。
在上述安全保障的基礎上,電子郵件安全網關應簡化管理員的工作、能夠輕鬆整合,並被使用者輕鬆配置。
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
向 psac 送花的會員:
學習一切 (2008-02-02)
感謝您發表一篇好文章
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 10:21 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1