【文章內(nèi)容簡(jiǎn)介】 。利用專(zhuān)門(mén)的攻擊進(jìn)行接入性的猜測(cè)攻擊。 ? 影響攻擊腳本的因素主要包括： ? 連接是否超時(shí)或嘗試次數(shù)的閾值； ? 超過(guò)閾值后的處理措施，如使當(dāng)前連接無(wú)效等； ? 連接是否只在一定時(shí)間內(nèi)允許； ? 認(rèn)證的方式； ? 用戶(hù)代號(hào)和密碼的最大字節(jié)數(shù)以及組成字符的允許范圍； ? 是否對(duì) CTRL+C等特殊鍵有反應(yīng)，從而搜集到額外的信息； ? 系統(tǒng)標(biāo)示信息，信息是否會(huì)出現(xiàn)變化以及信息類(lèi)型。 47 針對(duì)網(wǎng)絡(luò)的攻擊 ? VPN的攻擊 ? 3） VPN攻擊 ? VPN技術(shù)最近幾年蓬勃發(fā)展，并穩(wěn)步進(jìn)入了公用和私用網(wǎng)絡(luò)體系，雖然 VPN相當(dāng)注重連接的安全性，但實(shí)際中仍不乏 VPN被攻破的實(shí)例 ? 4）防范措施 ? 對(duì)于撥號(hào)攻擊的防范主要是對(duì)企業(yè)中使用的撥號(hào)接入設(shè)備進(jìn)行管理，包括對(duì)撥號(hào)線(xiàn)路進(jìn)行清點(diǎn)，消除未經(jīng)授權(quán)的撥號(hào)連接；同時(shí)將撥號(hào)服務(wù)集中，并隱蔽線(xiàn)路的號(hào)碼，包括不公開(kāi)相關(guān)的信息，撥號(hào)服務(wù)號(hào)碼不在企業(yè)公布的電話(huà)號(hào)碼范圍以及相關(guān)端局范圍內(nèi)；確保撥號(hào)設(shè)備的物理安全性，提升撥入的認(rèn)證要求，同時(shí)不顯示標(biāo)示信息并對(duì)連接操作日志進(jìn)行定期的分析 48 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 市場(chǎng)上每個(gè)防火墻產(chǎn)品幾乎每年都有安全脆弱點(diǎn)被發(fā)現(xiàn)。更糟糕的是，大多數(shù)防火墻往往配置不當(dāng)，且沒(méi)有人進(jìn)行及時(shí)的維護(hù)和監(jiān)管，失去了對(duì)現(xiàn)代攻擊進(jìn)行防護(hù)的能力。 ? 要想繞過(guò)配置得當(dāng)?shù)姆阑饓O為困難。然而使用traceroute、 nmap之類(lèi)的信息搜集工具，攻擊者可以發(fā)現(xiàn)或推斷出經(jīng)由目標(biāo)站點(diǎn)的路由器和防火墻的訪(fǎng)問(wèn)通路，并確定防火墻的類(lèi)型。當(dāng)前發(fā)現(xiàn)的許多脆弱點(diǎn)，原因在于防火墻的錯(cuò)誤配置和缺乏有效的管理維護(hù)，這兩點(diǎn)一旦被加以利用，所導(dǎo)致的后果將會(huì)是毀滅性的 49 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 1）防火墻的確定 ? 幾乎每種防火墻都會(huì)發(fā)出獨(dú)特的電子“氣味”。即憑借端口掃描、標(biāo)示獲取等方式，攻擊者能夠有效地確定目標(biāo)網(wǎng)絡(luò)上幾乎每個(gè)防火墻的類(lèi)型、版本甚至所配置的規(guī)則。一旦確認(rèn)了目標(biāo)網(wǎng)絡(luò)的防火墻，攻擊者就能夠確認(rèn)防火墻的脆弱點(diǎn)，并利用這些漏洞對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行滲透。 ? 查找防火墻最簡(jiǎn)便的方法就是對(duì)特定的默認(rèn)端口執(zhí)行掃描。例如， CheckPoint的著名防火墻 Firewall1監(jiān)聽(tīng) 25 257和 258端口上的 TCP連接， Microsoft的 Proxy Server則通常在 1080和 1745端口上監(jiān)聽(tīng) TCP連接。這樣，只要利用端口掃描工具對(duì)網(wǎng)段中的相關(guān)端口進(jìn)行掃描，就可以輕易確認(rèn)防火墻的類(lèi)型。 50 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 1）防火墻的確定 ? 另一種尋找防火墻的方式是使用 traceroute這樣的路由跟蹤工具。檢查到達(dá)目標(biāo)主機(jī)的路徑上每一跳的具體地址和基本名稱(chēng)屬性。通常到達(dá)目標(biāo)之前的最后一跳是防火墻的幾率很大。當(dāng)然，如果目標(biāo)存在不對(duì)過(guò)期分組進(jìn)行響應(yīng)的路由器或防火墻，那么這種尋找很難達(dá)到效果，一般需要在獲取路徑信息后，進(jìn)行進(jìn)一步的分析檢測(cè)，確認(rèn)最后一跳是否是防火墻 51 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 1）防火墻的確定 ? 大多數(shù)的防火墻并沒(méi)有打開(kāi)默認(rèn)端口進(jìn)行監(jiān)聽(tīng)，但許多防火墻在連接的時(shí)候都會(huì)聲明自己的防火墻功能以及類(lèi)型和版本，通過(guò)這些標(biāo)示信息，攻擊者就能夠發(fā)掘出大量已知的漏洞或常見(jiàn)的錯(cuò)誤配置 ? 使用很高級(jí)的技術(shù)查找防火墻的信息。通過(guò)探測(cè)目標(biāo)并留意到達(dá)目標(biāo)所經(jīng)歷的路徑，攻擊者可以推斷出防火墻和配置規(guī)則。例如，可以用 nmap工具對(duì)目標(biāo)主機(jī)進(jìn)行掃描，獲知哪些端口是打開(kāi)的，哪些端口是關(guān)閉的，以及哪些端口被阻塞。通過(guò)對(duì)這些信息的分析，可以得到關(guān)于防火墻配置的大量素材 52 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 2）源端口掃描 ? 傳統(tǒng)的分組過(guò)濾防火墻存在一個(gè)很大的缺陷，即不能維持狀態(tài)信息。由于無(wú)法維持狀態(tài)，防火墻也就不能分辨出連接是源于防火墻外還是內(nèi)。這樣對(duì)部分類(lèi)型的連接就無(wú)法有效地控制。例如，對(duì)于提供 FTP服務(wù)的網(wǎng)絡(luò)，為了允許FTP數(shù)據(jù)通道通過(guò)防火墻，需要防火墻允許 20號(hào)端口與內(nèi)部網(wǎng)絡(luò)高數(shù)值端口的連接。這樣，如果防火墻不能維護(hù)狀態(tài)信息，就無(wú)法追蹤一個(gè) TCP連接與另一個(gè)連接的關(guān)系，這樣，所有從 20號(hào)端口到內(nèi)部網(wǎng)絡(luò)高數(shù)據(jù)端口的連接都允許有效地不加阻擋地通過(guò) 53 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 3）分組過(guò)濾防火墻的攻擊 ? 分組過(guò)濾防火墻主要依賴(lài)于 ACL規(guī)則確定各個(gè)分組是否有權(quán)出入內(nèi)部網(wǎng)絡(luò)。對(duì)于防火墻來(lái)說(shuō)，難免存在不嚴(yán)格的ACL規(guī)則，允許某些類(lèi)型的分組不受約束地通過(guò)。例如，企業(yè)希望自己的 ISP提供 DNS服務(wù)。相關(guān)的規(guī)則就可能設(shè)為“允許來(lái)自 53號(hào) TCP源端口的所有活動(dòng)”，這就是一個(gè)很不嚴(yán)格的規(guī)則，它將可能允許攻擊者從外部掃描整個(gè)目標(biāo)網(wǎng)絡(luò)。只要攻擊者偽裝成 53號(hào)端口通信，就可以順利地透過(guò)防火墻進(jìn)入到企業(yè)網(wǎng)絡(luò)內(nèi)部，進(jìn)行掃描和肆意的破壞通常，這種規(guī)則應(yīng)設(shè)定為“允許來(lái)自 ISP的 DNS服務(wù)器的源和目的 TCP端口號(hào)均為 53的活動(dòng)”。這樣就可以避免由于允許范圍的擴(kuò)大而造成攻擊的可能性 54 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 3）分組過(guò)濾防火墻的攻擊 ? 部分防火墻有著默認(rèn)打開(kāi)的端口。通過(guò)這些默認(rèn)端口的分組數(shù)據(jù)一般不會(huì)進(jìn)行日志記錄。如果攻擊者確認(rèn)了防火墻的類(lèi)型，就可以用偽裝默認(rèn)端口的方法有效地繞過(guò)所設(shè)置的防火墻規(guī)則。攻擊者首先設(shè)法在網(wǎng)絡(luò)內(nèi)部安裝后門(mén)程序，這一般可以利用社會(huì)工程學(xué)中的種種欺騙手段實(shí)現(xiàn)。之后，攻擊者就可以利用這些默認(rèn)的端口與后門(mén)程序進(jìn)行通信，進(jìn)而在完全沒(méi)有安全記錄的情況下實(shí)施對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)的攻擊 55 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 4）應(yīng)用代理的攻擊 ? 與分組過(guò)濾防火墻相比，應(yīng)用代理的弱點(diǎn)較少。一旦加強(qiáng)了防火墻的安全并實(shí)施穩(wěn)固的代理規(guī)則，代理防火墻是難以繞過(guò)的。但是，在實(shí)際的運(yùn)行中，對(duì)應(yīng)用代理的錯(cuò)誤配置并不少見(jiàn)。 ? 舉例來(lái)說(shuō)，對(duì)于目前很流行的 WinGate代理防火墻軟件，默認(rèn)的參數(shù)甚至允許用戶(hù)通過(guò)管理端口遠(yuǎn)程查看系統(tǒng)的文件。如果管理員只是簡(jiǎn)單地安裝并且不進(jìn)行安全性的配置，這樣就給 WinGate系統(tǒng)本身帶來(lái)了極大的漏洞，入侵者只需要連接 WinGate的管理端口，就可以順利瀏覽系統(tǒng)中的所有文件，獲取系統(tǒng)中存放的用于認(rèn)證的用戶(hù)名和密碼 56 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 破壞一個(gè)網(wǎng)絡(luò)或系統(tǒng)的運(yùn)作往往比真正取得它們的訪(fǎng)問(wèn)權(quán)限容易得多。像 TCP/IP之類(lèi)的網(wǎng)絡(luò)互聯(lián)協(xié)議是按照在開(kāi)放和彼此信任的群體中使用來(lái)設(shè)計(jì)的，在當(dāng)前的現(xiàn)實(shí)環(huán)境中卻表現(xiàn)出內(nèi)在的缺陷。此外，許多操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧也存在缺陷，從而削弱了它們抵抗 DoS攻擊的能力 ? DoS攻擊威脅了大范圍的網(wǎng)絡(luò)服務(wù)，它不僅造成了服務(wù)的中斷，部分攻擊還會(huì)造成系統(tǒng)的完全崩潰甚至設(shè)備的損毀，是目前最具有危險(xiǎn)性的攻擊 57 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? DoS按攻擊的目標(biāo)又可分為 ? 節(jié)點(diǎn)型：消耗主機(jī)資源 ? 主機(jī)型： CPU、磁盤(pán)、內(nèi)存 ? 應(yīng)用型：攻擊郵件服務(wù)、 DNS服務(wù)、 Web服務(wù) ? 網(wǎng)絡(luò)連接型：消耗網(wǎng)絡(luò)連接和帶寬 58 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 按照攻擊方式來(lái)分可以分為： ? 資源消耗：網(wǎng)絡(luò)帶寬、內(nèi)存和磁盤(pán)空間、 CPU使用率 ? 服務(wù)中止：利用服務(wù)中的某些缺陷導(dǎo)致服務(wù)崩潰或中止 ? 按受害者類(lèi)型可以分為： ? 服務(wù)器端拒絕服務(wù)攻擊：特定的服務(wù)器，使之不能提供服務(wù)，例如攻擊一個(gè) Web服務(wù)器使之不能訪(fǎng)問(wèn) ? 客戶(hù)端拒絕服務(wù)攻擊：針對(duì)特定的客戶(hù)端即用戶(hù)，使之不能使用某種服務(wù)，例如游戲、聊天室中的“踢人” 59 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 1） Dos攻擊類(lèi)型 ? DoS攻擊 ? 最陰險(xiǎn)的 DoS攻擊是帶寬耗用攻擊。它的本質(zhì)就是攻擊者消耗掉通達(dá)某個(gè)網(wǎng)絡(luò)的所有可用的帶寬 ? 一種方法是攻擊者通過(guò)使用更多的帶寬造成受害者網(wǎng)絡(luò)的擁塞 ? 另一種方法是攻擊者通過(guò)征用多個(gè)站點(diǎn)集中擁塞受害者的網(wǎng)絡(luò)連接來(lái)放大 DoS攻擊效果。這樣帶寬受限的攻擊者就能夠輕易地匯集相當(dāng)高的帶寬，成功地實(shí)現(xiàn)對(duì)目標(biāo)站點(diǎn)的完全堵塞 60 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 1） Dos攻擊類(lèi)型 ? DoS攻擊 ? 資源衰竭攻擊與帶寬耗用攻擊的差異在于前者集中于系統(tǒng)資源而不是網(wǎng)絡(luò)資源的消耗。一般來(lái)說(shuō)，它涉及諸如 CPU利用率、內(nèi)存、文件系統(tǒng)和系統(tǒng)進(jìn)程總數(shù)之類(lèi)系統(tǒng)資源的消耗 61 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 1） Dos攻擊類(lèi)型 ? DoS攻擊 ? 部分 DoS攻擊并不需要發(fā)送大量的數(shù)據(jù)包來(lái)進(jìn)行攻擊。編程缺陷攻擊就是利用應(yīng)用程序、操作系統(tǒng)等在處理異常條件時(shí)的邏輯錯(cuò)誤實(shí)施的 DoS攻擊。攻擊者通常向目標(biāo)系統(tǒng)發(fā)送精心設(shè)計(jì)的畸形分組來(lái)試圖導(dǎo)致服務(wù)的失效和系統(tǒng)的崩潰 62 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 1） Dos攻擊類(lèi)型 ? DoS攻擊 ? 在基于路由的 DoS攻擊中，攻擊者操縱路由表項(xiàng)以拒絕向合法系統(tǒng)或網(wǎng)絡(luò)提供服務(wù)。諸如路由信息協(xié)議和邊界網(wǎng)關(guān)協(xié)議之類(lèi)較早版本的路由協(xié)議沒(méi)有或只有很弱的認(rèn)證機(jī)制。這就給攻擊者變換合法路徑提供了良好的前提，往往通過(guò)假冒源 IP地址就能創(chuàng)建 DoS攻擊。這種攻擊的后果是受害者網(wǎng)絡(luò)的分組或者經(jīng)由攻擊者的網(wǎng)絡(luò)路由，或者被路由到不存在的黑洞網(wǎng)絡(luò)上 63 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 1） Dos攻擊類(lèi)型 ? DNS的 DoS攻擊 ? 基于 DNS的攻擊與基于路由的 DoS攻擊類(lèi)似。大多數(shù)的DNS攻擊涉及欺騙受害者的域名服務(wù)器高速緩存虛假的地址信息。這樣，當(dāng)用戶(hù)請(qǐng)求某 DNS服務(wù)器執(zhí)行查找請(qǐng)求的時(shí)候，攻擊者就達(dá)到了把它們重定向到自己喜歡的站點(diǎn)上的效果 64 針對(duì)網(wǎng)絡(luò)的攻擊 ? ? 2） Dos攻擊手段 ? a. Smurf攻擊 ? Smurf攻擊是一種最令人害怕的 DoS攻擊