本文出自 “王達博客” 博客,轉載請與作者聯繫!
作者已授權本博客轉載
1.5.2 常見******類型
雖然******的手法多種多樣,但就目前來說,絕大多數中初級***們所採用的手法和工具仍具有許多共性。從大的方面來劃分的話,歸納起來一般不外乎以下幾種:
1. 網絡報文嗅探
網絡嗅探其實最開始是應用於網絡管理的,就像遠程控制軟件一樣,但隨着***們的發現,這些強大的功能就開始被客們利用。最普遍的安全威脅來自內部,同時這些威脅通常都是致命的,其破壞性也遠大於外部威脅。其中網絡嗅探對於安全防護一般的網絡來說,使用這種方法操作簡單,而且同時威脅巨大。很多***也使用嗅探器進行網絡***的***。網絡嗅探器對信息安全的威脅來自其被動性和非干擾性,使得網絡嗅探具有很強的隱蔽性,往往讓網絡信息泄密變得不容易被發現。
嗅探器是利用計算機的網絡接口,截獲目的計算機數據報文的一種技術。不同傳輸介質的網絡的可監聽性是不同的。一般來說,以太網被監聽的可能性比較高,因爲以太網是一個廣播型的網絡;FDDI Token被監聽的可能性也比較高,儘管它不是一個廣播型網絡,但帶有令牌的那些數據包在傳輸過程中,平均要經過網絡上一半的計算機;微波和無線網被監聽的可能性同樣比較高,因爲無線電本身是一個廣播型的傳輸媒介,彌散在空中的無線電信號可以被很輕易的截獲。
嗅探器工作在網絡的底層,把受影視的計算機的網絡傳輸全部數據記錄下來。雖然嗅探器經常初網管員用來進行網絡管理,可以幫助網絡管理員查找網絡漏洞和檢測網絡性能、分析網絡的流量,以便找出所關心的網絡中潛在的問題。但目前卻在***中的應用似乎更加廣泛,使人們開始對這類工具敬而遠之。
2. IP地址欺騙
IP地址欺騙***是***們假冒受信主機(要麼是通過使用你網絡IP地址範圍內的IP,要麼是通過使用你信任,並可提供特殊資源位置訪問的外部IP地址)對目標進行***。在這種***中,受信主機指的是你擁有管理控制權的主機或你可明確做出“信任”決定允許其訪問你網絡的主機。通常,這種IP地址欺騙***侷限於把數據或命令注入到客戶/服務應用之間,或對等網絡連接傳送中已存在的數據流。爲了達到雙向通訊,***者必須改變指向被欺騙IP地址的所有路由表。
以上介紹的報文嗅探,IP欺騙的***者不限於外部網絡,在內部網絡中同樣可能發生,所以在企業網絡內部同樣要做好相關防禦措施。
3. 密碼***
密碼***通過多種不同方法實現,包括蠻力***(brute force attack),特洛伊***程序,IP欺騙和報文嗅探。儘管報文嗅探和IP欺騙可以捕獲用戶賬號和密碼,但密碼***通常指的反覆的試探、驗證用戶賬號或密碼。這種反覆試探稱之爲蠻力***。
通常蠻力***使用運行於網絡上的程序來執行,並企圖註冊到共享資源中,例如服務器。當***者成功的獲得了資源的訪問權,他就擁有了和那些賬戶被危及以獲得其資源訪問權的用戶有相同的權利。如果這些賬戶有足夠奪得特權,***者可以爲將來的訪問創建一個後門,這樣就不用擔心被危及用戶賬號的任何身份和密碼的改變。
4. 拒絕服務***
拒絕服務(Denial of Service,DoS)***是目前最常見的一種***類型。從網絡***的各種方法和所產生的破壞情況來看,DoS算是一種很簡單,但又很有效的進攻方式。它的目的就是拒絕你的服務訪問,破壞組織的正常運行,最終使你的網絡連接堵塞,或者服務器因疲於處理***者發送的數據包而使服務器系統的相關服務崩潰、系統資源耗盡。
DoS的***方式有很多種,最基本的DoS***就是利用合理的服務請求來佔用過多的服務資源,從而使合法用戶無法得到服務。DoS***的基本過程:首先***者向服務器發送衆多的帶有虛假地址的請求,服務器發送回覆信息後等待回傳信息。由於地址是僞造的,所以服務器一直等不到回傳的消息,然而服務器中分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間後,連接會因超時而被切斷,***者會再度傳送新的一批請求,在這種反覆發送僞地址請求的情況下,服務器資源最終會被耗盡。
這類***和其他大部分***不同的是,因爲他們不是以獲得網絡或網絡上信息的訪問權爲目的,而是要使受***方耗盡網絡、操作系統或應用程序有限的資源而崩潰,不能爲其他正常其他用戶提供服務爲目標。這就是這類***被稱之爲“拒絕服務***”的真正原因。
當涉及到特殊的網絡服務應用,象HTTP或FTP服務,***者能夠獲得並保持所有服務器支持的有用連接,有效地把服務器或服務的真正使用者拒絕在外面。大部分拒絕服務***是使用被***系統整體結構上的弱點,而不是使用軟件的小缺陷或安全漏洞。然而,有些***通過採用不希望的、無用的網絡報文掀起網絡風暴和提供錯誤的網絡資源狀態信息危及網絡的性能。
DDoS(Distributed Denial of Service,分佈式拒絕服務)是一種基於DoS的特殊形式的分佈、協作式的大規模拒絕服務***。也就是說不再是單一的服務***,而是同時實施幾個,甚至十幾個不同服務的拒絕***。由此可見,它的***力度更大,危害性當然也更大了。它主要瞄準比較大的網站,象商業公司,搜索引擎和政府部門的Web站點。
要避免系統遭受DoS***,從前兩點來看,網絡管理員要積極謹慎地維護整個系統,確保無安全隱患和漏洞;而針對第三點的惡意***方式則需要安裝防火牆等安全設備過濾DoS***,同時強烈建議網絡管理員定期查看安全設備的日誌,及時發現對系統存在安全威脅的行爲。
具體的防火牆如何防禦拒絕服務***的方法將在本書第三章詳細介紹。
5. 應用層***
應用層***能夠使用多種不同的方法來實現,最平常的方法是使用服務器上通常可找到的應用軟件(如SQL Server、Sendmail、PostScript和FTP)缺陷。通過使用這些缺陷,***者能夠獲得計算機的訪問權,以及該計算機上運行相應應用程序所需賬戶的許可權。
應用層***的一種最新形式是使用許多公開化的新技術,如HTML規範、Web瀏覽器的操作性和HTTP協議等。這些***通過網絡傳送有害的程序,包括JAVA applet和Active X控件等,並通過用戶的瀏覽器調用它們,很容易達到***、***的目的。雖然微軟公司前段時間提供的代碼驗證技術可以使用戶的Active X控件因安全檢查錯誤而暫停這類***,但***者已經發現怎樣利用適當標記和有大量漏洞的Active X控件使之作爲特洛伊***實施新的***方式。這一技術可使用VBScript腳本程序直接控制執行隱蔽任務,如覆蓋文件,執行其他文件等,預防、查殺的難度更大。
在應用層***中,容易遭受***的目標包括路由器、數據庫、Web和FTP服務器和與協議相關的服務,如DNS、WINS和SMB。
