按照攻击目的,可将攻击分为破坏型和入侵型两种类型。
破坏型攻击以破坏目标为目的,但攻击者不能随意控制目标的系统资源。
入侵型攻击以控制目标为目的,比破坏型攻击威胁更大,常见的攻击类型多为入侵型攻击。
主要内容:网络信息采集—各种基于漏洞的攻击技术—端口扫描—漏洞扫描
一、网络信息采集
入侵者一般首先通过网络扫描技术进行网络信息采集,获取网络拓扑结构、发现网络漏洞、检查主机基本情况和端口开放程度,为实施攻击提供必要的信息。
网络信息采集有多种途径即可以使用如ping.whois等网络测试命令实现,也可以通过漏洞扫描、端口扫描和网络窃听工具实现。
1.常用的信息采集命令
ping命令:用于确定本地主机是否能与远程主机交换数据包,通过向目标主机发送ICMP(internet control message protocal)回应请求来测试目标的可达性。使用ping命令能够查看网络中有哪些主机接入internet;测试目标主机的计算机名和ip地址;计算到达目标网络所经过的路由数;获得该网段的网络拓扑信息。
host命令:host命令是linux,Unix系统提供的有关internet域名查询的命令。可以从域中的DNS(domain name server 域名服务器),服务器获得所在域内主机的相关资料,实现主机名到IP地址的映射,得知域中邮件服务器的信息。
traceroute命令:该命令用于路由跟踪,判断从本地主机到目标主机经过哪些路由器、跳计数、响应时间等。traceroute程序跟踪的路径是源主机到目的主机的一条路径,但是,不能保证或认为数据包总是遵循这个路径。
Nbtstat命令:是windows命令,用于查看当前基于网络基本输入输出系统NetBIos(network basic input output system)的TCP/IP连接状态。通过该工具可以获得远程或本地机器的组名和机器名。
Net命令:用于检验和核查计算机之间NETBIOS连接的net view和net use两个命令可能被攻击者利用,来查看局域网内部情况和局域网内部的漏洞。
finger命令:用来查询用户信息,通常会显示系统中某个用户的用户名、主目录、限制时间、登陆时间、登录shell等信息。
Whois命令:是一种internet的服务目录命令,它提供了在internet上的一台主机或某个域所有者的信息,包括:管理员姓名、通信地址、电话号码、Email信息、Primary和Secondary域名服务器信息等。
Nslookup命令:在internet中存在许多免费的Nslookup服务器,它们提供域名到Ip地址的映射服务和IP地址到域名的映射等有关网络信息的服务。通过Nslookup攻击者可以在whois命令的基础上获得更多目标网络信息。
2.漏洞扫描
漏洞是指系统硬件、操作系统、软件、网络协议、数据库等在设计上和实现上出现的可以被攻击者利用的错误、缺陷和疏漏。
漏洞扫描程序是用来检测远程或本地主机安全漏洞的工具。针对扫描对象的不同,漏洞扫描又可分为网络扫描、操作系统扫描、WWW服务扫描、数据库扫描以及无线网络扫描等。
计算机系统漏洞:构造一个超长的URL,导致溢出缓冲区,获得管理员权限。
堆栈指纹扫描:不同操作系统在网络协议上存在差异,可以通过总结操作系统之间的这种差异,编写测试脚本,向目标系统的端口发送各种特殊的数据包,并根据系统对数据包回应的差别来判定目标系统及相关服务。这种利用TCP/IP协议识别不同操作系统和服务种类的技术称为堆栈指纹扫描技术。
3.端口扫描
计算机的端口是输入/输出设备和CPU之间进行数据传输的通道。
通过端口扫描,可以发现打开或正在监听的端口,一个打开的端口就是一个潜在的入侵通道。
每一台计算机都有65536个端口可供使用。前1024个端口被作为系统处理的端口而保留,并向外界的请求提供众所周知的服务,所以这些端口被攻击者视为重点检查对象,以减少扫描范围,缩短扫描时间。
4.网络窃听
攻击者可以从数据包中提取信息,如登录名、口令等。
5.典型的信息采集工具
nmap扫描器:当前最流行的扫描器之一,能够在全网络范围内实现ping扫描、端口扫描和操作系统检测。nmap使用操作系统堆栈指纹技术。nmap可以准确地扫描主流操作系统,还可以扫描路由器和拨号设备,还可以绕过防火墙。
Axcet NetRecon扫描器:能够发现、分析、报告网络的各种设备,检测它们存在的漏洞。能够扫描多种操作系统,包括Unix,linux,windows以及NetWare等。提供对服务器、防火墙、路由器、集线器、交换机、DNS服务器、网络打印机、Web服务器以及其他网络服务设备的测试。通过模拟入侵或攻击行为,找出并报告网络弱点,提出建议和修正措施。
ping Pro扫描器:以图形方式实现了大多数命令行程序功能,为网络扫描提供了方便。ping Pro可以侦查出网络上开启的端口,通过监测远程过程调用服务所使用的TCP、UDP135端口和网络会话所使用的UDP137、138和139端口来实现扫描。ping Pro只能工作在其所在的网段上。
ISS internet Scanner扫描器:可以跨网段扫描远程主机,可以检查出内部网、防火墙、Web服务器或某台主机所存在的漏洞和潜在的攻击威胁。工作于Unix和NT平台,分为三个模块:内部网、防火墙和Web服务器,可以针对不同的扫描对象制定不同的扫描方案,从而更直接的发现重要设备中潜在的隐患,在不同的模块中,用户还可以进一步定义自己的扫描参数。
二、拒绝服务攻击
1.基本的拒绝服务攻击
使用不应存在的非法数据包来达到拒绝服务攻击的目的,有大量的数据包来自相同的源。
2.分布式拒绝服务攻击
是分布式的,协作的大规模攻击方式,较DOS具有更大的破坏性。分布式拒绝服务攻击的步骤:要构建DDos攻击体系,集合众多的傀儡机进行协同操作,与入侵单台主机相比DDos攻击要复杂得多。搜集目标情况—占领傀儡机—实施攻击。
三、漏洞攻击
由于应用软件和操作系统的复杂性和多样性,使得在网络信息系统的软件中存在着不易被发现的安全漏洞;现有网络技术本身存在着许多不安全性,如TCP/IP协议在设计初期并没有考虑安全性问题,其本身就有许多不完善之处。对于网络设计和管理人员而言,不合理的网络拓补结构和不严谨的网络配置,都将不可避免的造成网络中的漏洞。对于一个复杂系统而言,漏洞的存在不可避免。
1.配置漏洞攻击
配置漏洞可分为系统配置漏洞和网络结构配置漏洞。
系统配置漏洞多源于管理员疏漏,共享文件配置疏漏、服务器参数配置漏洞等。
网络结构配置漏洞多与网络拓扑结构有关,例如:将重要的服务设备和一般用户设备设置在同一网段。匿名FTP,默认配置漏洞,共享文件配置漏洞,作为FTP服务程序的wu-ftpd存在的漏洞,可以使攻击者由系统的任何账号获得root权限。
2.协议漏洞攻击
如DDOS
LAND攻击:攻击的特征是IP协议中IP源地址和目标地址相同。操作系统如window NT不知道该如何处理这种情况,就可能造成死机。
3.程序漏洞攻击
由于编写程序的复杂性和程序运行环境的不可预见性,使得程序难免存在漏洞。程序漏洞攻击成为攻击者非法获得目标主机控制权的主要手段。
1)缓冲区溢出攻击的原理:恶意填写内存区域,使内存区域溢出,导致应用程序、服务甚至系统崩溃。
不检测边界是造成缓冲区溢出的主要原因,而c语言缺乏边界检测,若不检查数组的越界访问,就会留下基于堆栈攻击的隐患。
2)BIND漏洞攻击
3)Finger漏洞攻击:以数字做用户名的询问请求时,finger服务器会把日志文件返回攻击者,finger查询时,如果询问一个不存在的用户时,服务器会返回一个带“.”的回答,这可能造成攻击者用暴力法判断系统上存在的用户。
4)Senmail漏洞攻击:如果目标程序是全局可写的,那么编码程序允许远程用户修改这些文件,使攻击者可以放置木马,留下后门,达到攻击目的。
网友评论