1.拒绝服务攻击

拒绝服务攻击试图通过崩溃或粉碎您的服务计算机来阻止您提供服务。拒绝服务攻击是最容易实施的攻击行为,主要包括:

萍(萍之死。

概述:早期路由器限制数据包最大大小,很多操作系统规定在ICMP数据包中实现TCP/IP栈为64KB。读取数据包的报头后,应该根据报头中包含的信息为有效负载生成缓冲区。当声称其大小超过ICMP上限的格式错误数据包时,即当加载的大小超过64K上限时,就会出现内存分配错误,导致TCP/IP栈崩溃。

防御:现在已经实现了所有标准的TCP/IP实现来处理超大数据包,大部分防火墙都可以自动过滤这些攻击,包括:windows98之后的Windows、Service Pack 3之后)、linux、Solaris、Mac OS都有能力抵抗一般ping的死亡攻击。此外,配置防火墙、阻止ICMP和任何未知协议都是为了防止此类攻击。

泪珠

概述:泪滴攻击利用TCP/IP栈中数据包头部包含的信息来实现自己的攻击。IP段包含指示该段包含原始数据包的哪个段的信息。一些TCP/IP(包括服务包4之前的NT)在接收到偏移重叠的伪造段时会崩溃。

防御:服务器应用最新的服务包,或者在设置防火墙时重组网段,而不是转发。

UDP泛洪

概述:各种模拟攻击使用简单的TCP/IP服务,如Chargen和Echo,来传输无用的充满带宽的数据。通过与主机的Chargen服务伪造一个UDP连接,回复地址指向一个打开了Echo服务的主机,从而在两台主机之间生成足够多的无用数据流,如果足够多的数据流会导致带宽服务攻击的话。

防御:关闭不必要的TCP/IP服务,或者配置防火墙来阻止互联网对这些服务的UDP请求。

同步洪水

概述:一些TCP/IP堆栈实现只能等待来自有限数量计算机的确认消息,因为它们只有有限的内存缓冲区来创建连接。如果此缓冲区充满了错误连接的初始信息,服务器将停止响应下一个连接,直到缓冲区中的连接尝试超时。SYN泛洪在一些创建无限连接的实现中也有类似的效果。

防御:过滤防火墙上来自同一主机的后续连接。

未来的SYN洪水令人担忧。因为泄洪人不寻求响应,所以无法与简单的大容量输电区分开来。

陆地攻击

概述:在陆地攻击中,一个特制SYN包的原始地址和目标地址被设置为某个服务器地址,这将导致接收服务器向自己的地址发送SYN-ack消息,结果,这个地址将发回ACK消息并创建一个空连接,并且每个这样的连接将一直保持到超时到期,对陆地攻击的响应是不同的。许多UNIX实现将崩溃,NT将变得极其缓慢(持续大约五分钟)。

防御:制作最新的补丁,或者在防火墙中进行配置,过滤掉外部接口上那些带有内部源地址的入站。(包括10个域、127个域、192.168个域和172.16到172.31个域)

蓝精灵攻击

概述:简单的smurf攻击是通过向受害主机泛洪ICMP响应请求(ping)数据包来执行的,该数据包的回复地址设置为受害网络的广播地址,这最终会导致网络的所有主机都响应此ICMP响应请求,从而导致网络拥塞,这比ping of death flood的流量高一两个数量级。比较复杂的蓝精灵把源地址改成了第三方的受害者,最终导致了第三方的雪崩。

防御:为了防止黑客利用您的网络攻击他人,请关闭外部路由器或防火墙的广播地址功能。为了防止被攻击,在防火墙上设置规则并丢弃ICMP数据包。

碎片攻击

概述:Fraggle攻击对Smurf攻击做了简单的修改,用UDP回复消息代替ICMP。

防御:过滤防火墙上的UDP响应消息。

电子邮件炸弹

概述:电子邮件炸弹是最古老的匿名攻击之一。通过设置一台机器向同一地址连续发送大量电子邮件,攻击者可以耗尽接收者网络的带宽。

防御:将电子邮件地址配置为自动删除来自同一主机的过多或重复邮件。

格式错误的消息攻击

概述:各种操作系统上的许多服务都有这种问题。因为这些服务在处理信息之前没有正确无误的错误检查,所以在收到异常信息后可能会崩溃。

防御:获取最新的服务补丁。

2.剥削攻击

利用攻击是一种试图直接控制你的机器的攻击。有三种最常见的类型:

口令猜测

概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器的控制。

防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。

kkdbb/p>

概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。

防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。

缓冲区溢出

概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。

防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。

3、信息收集型攻击

信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务

扫描技术

地址扫描

概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。

防御:在防火墙上过滤掉ICMP应答消息。

端口扫描

概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。

防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。

反响映射

概览:黑客向主机发送虚假消息,然后根据返回“host unreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。

防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“host unreachable”ICMP应答。

慢速扫描

概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

防御:通过引诱服务来对慢速扫描进行侦测。

体系结构探测

概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。

防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。

利用信息服务

DNS域转换

概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

防御:在防火墙处过滤掉域转换请求。

Finger服务

概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。

LDAP服务

概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。

防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。

4、假消息攻击

用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。

DNS高速缓存污染

概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

伪造电子邮件

概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。

防御:使用PGP等安全工具并安装电子邮件证书。