登陆注册
2859500000007

第7章 网络攻击及其防御(1)

41.网络攻击是如何实施的?

最初的网络攻击,很多是计算机爱好者为了试验或证明自己的技术实力发起的,这样的攻击后果不会太严重。但近年来,有目的、有组织的网络攻击日益增多,这种攻击大多带有逐利或政治目的。

一次有组织的攻击往往分成攻击准备、攻击实施、扫尾三个阶段。在准备阶段,攻击者会通过社会工程、扫描、查点,了解系统情况,分析用户使用习惯,为以后的攻击做好准备(图5.1)。

在这一阶段中,一些扫描、查点动作已经能够被入侵检测系统发觉,系统日志里也会留下痕迹。在攻击阶段,攻击者会循着发现的漏洞,利用入侵隐藏技术隐匿自己的身份,根据已获取的信息进行攻击。攻击的手段是多种多样的,包括监听、会话劫持、口令猜解、木马种植等。在扫尾阶段,有经验的攻击者会小心地清理攻击痕迹,清除系统日志、数据库日志等,同时留下后门,以便对该计算机长期控制。

42.什么是社会工程学攻击?

社会工程学攻击是指针对好奇、轻信、贪利等大众心理特点,通过诱骗、欺诈、威慑等手段,套取网络内部员工掌握的系统信息,从而完成对拟攻击系统的信息收集,甚至直接取得网络访问权限。

举个例子:某人建立了网站,并向域名服务商申请了域名,攻击者为得到这个域名,便向域名所有人提出一系列问题,如“网络同乡会筹备中,请填写您的地址”等。当套取到足够多的信息后,经过综合分析,猜解、确认域名所有者的身份证号等私人敏感信息,继而利用掌握的信息向域名服务商发出申请,要求重置密码。如果域名服务商的警惕性不高,攻击者就有可能顺利取得该域名的所有权。除上述的诱骗手段外,“胁迫攻击”也很常用。如攻击者冒充高层管理人员询问技术细节信息,或冒充高级技术人员诱骗运行维护人员进行安全策略调整等。

社会工程学攻击的特殊性决定对它的预防只能从管理角度入手,提高用户信息安全意识。

43.什么是端口扫描?

端口是计算机对外联系的通道。端口扫描即对系统中的端口扫描示例

进行全面探测,以了解系统情况。普通用户借助端口扫描工具可以检测自己的端口开放状况,了解计算机的安全程度。入侵者借助端口扫描,主要判定两方面情况:一是目标主机开放了哪些端口服务?

二是目标主机使用了什么操作系统?取得这些信息后,入侵者才能有针对性地制定入侵策略。扫描工具有很多,着名的有Superscan、流光等,一些网站还提供在线进行扫描时,扫描工具软件会向大范围的主机发起连接请求。配置防火墙设备、安装个人防火墙软件可以阻止大多数端口扫描。

44.什么是漏洞扫描?怎样减少系统漏洞?

系统漏洞是指操作系统的缺陷或编写错误,这个缺陷或错误可能会被黑客攻击,从而窃取电脑中的重要信息,甚至破坏系统。

漏洞扫描就是探测系统中是否存在潜在的漏洞。漏洞信息是黑客寻找合适攻击方法的重要依据。

对于一般用户来说,减少系统漏洞的最有效方法是及时下载安装漏洞补丁。以Windows系统为例,漏洞一旦被发现,微软公司会将相关信息和防范措施及时公布在网上,用户应及时下载安装,可以通过“360安全卫士”的“修复系统漏洞”功能自动进行系统漏洞的检测和修复,如图5.3所示。对网络管理员而言,可以在网络中搭建微软WSUS服务器或SMS服务器对全网提供终端补丁下载,也可以布置终端准入系统强制终端升级补丁。

45.什么是网络监听?怎样防止被监听?

共享是局域网的一大特性。网络上传输的数据都经过同一根总线,这样网络上的数据实际上大家都能接收到,如图5.4所示。

在正常情况下,只有真正的接收方才会接收并解析数据。但是,通过一些技术手段,第三者可以偷听到网络上别人的“对话”。如果不进行加密的话,甚至用户的邮件名和密码也会被截获。网络中最着名的监听工具有Sniffer,如图5.5所示。其操作简单,但功能却很强大。

为了防止被监听,可以从硬件方面对网络进行改进,比如把网络中的“集线器”更换为“交换机”。也可以对通话数据进行加密,防止被监听。

46.如何防范缓冲区溢出攻击?

“缓冲区溢出”又称“堆栈溢出”,是常用的黑客技术之一,这种漏洞是由编程错误引起的。程序运行时,如果用户输入的数据长度超过应用程序给定的缓冲区,而程序没有对缓冲区边界进行检查,继续接收数据,就会导致缓冲区的数据“溢出”并覆盖其他数据区,影响程序的进程。一般情况下,这种现象最多造成应用程序错误,但是如果覆盖其他数据区的数据是经过黑客精心设计的恶意代码,“溢出”就会导致恶意代码被执行。如果被“溢出”的程序权限足够高,这种攻击方式足以令攻击者控制整个主机。

缓冲区“溢出”攻击的防范是和整个系统的安全性分不开的。

缓冲区“溢出”的危害程度与被“溢出”程序的权限密切相关,因此,平时应尽可能使用受限账户而不是管理员账户进行操作(详见第8章“如何在Windows下进行用户管理?”)。此外,应注意关闭不必要的网络服务和端口,及时升级操作系统和应用软件。

47.如何防范拒绝服务攻击?

拒绝服务攻击简称DoS攻击,是一种简单而又有效的破坏性攻击方式,其原理如图5.6所示。针对硬件设备处理能力有限的缺陷,攻击者或发送大量看似正常的TCP、UDP、ICMP包耗尽带宽资源,或利用TCP/IP协议中的某些漏洞耗尽计算机资源,导致服务器崩溃或无法访问。DoS攻击的发展是分布式拒绝服务攻击(DDoS),这种攻击方式操纵分散在互联网各处的计算机同时攻击防范DoS、DDoS攻击应注意以下几个方面:

①及早发现系统存在的攻击漏洞,及时安装系统补丁程序,对一些重要的信息(例如系统配置信息)建立和完善备份机制。

对一些特权账号(如管理员账号)的密码设置要谨慎,从而把攻击者的可乘之机降到最小。

②经常检查系统的物理环境,禁止不必要的网络服务。建立边界安全界限,确保输出的数据包受到正确限制。经常检测系统配置信息,查看安全日志。

③利用网络安全设备(比如防火墙)加固网络的安全性,配置好安全规则,尽可能过滤伪造数据包。

④与网络服务商、提供商保持经常联系,帮助实现路由的访问控制和对带宽总量的限制。

⑤当发现遭受DDoS攻击时,应该尽可能快地追踪攻击包,及时联系互联网服务提供商或信息安全服务机构。

⑥当您发现计算机被攻击者用做主控端和代理端时,不能因为自己的系统暂时没有受到损害而掉以轻心,应该及时清理掉DDoS攻击工具,弥补系统漏洞。

48.如何防范IP欺骗?

IP地址用来标识互联网中的主机,每台主机都应该有不同的IP地址。IP欺骗就是使互联网中某台受信任主机丧失工作能力,从而将自己伪装成该受信任主机,假冒IP地址与所选定目标主机建立应用连接并进行非授权操作的攻击手段。可以通过配置路由器中的访问控制列表(ACL)进行阻止,还可以在通信时要求加密传输和验证。也可以布置一些专门的设备(如终端准入控制系统)对终端的IP、MAC、主机名、交换机端口号等进行绑定。

49.什么是ARP欺骗?怎样防范ARP欺骗?

ARP(AddressResolutionProtocol)是地址解析协议的简称,它的主要功能是将IP地址解析为计算机可以理解的物理地址。我们可以在命令行模式中输入arpa指令来查看当前计算机缓存的ARP信息。

当计算机A要访问计算机B时,A必须确定B的物理地址。

同类推荐
  • 媒体领导力:领导干部如何与媒体打交道

    媒体领导力:领导干部如何与媒体打交道

    《媒体领导力:领导干部如何与媒体打交道》对领导干部与媒体打交道的各个方面作了全面的阐述,既包括宏观层面的基本知识,又包括微观层面的具体方法,可以帮助领导干部从思想意识和具体技巧上提高与媒体打交道的水平。涉及的主要内容有:媒体新时代的到来;领导干部与“无冕之王”;让自己的媒体形象亮起来;领导口才与演讲艺术;关注基于民意的舆情;运用媒体作宣传;直面虚假负面报道;接受采访的技巧;做成功的新闻发言人;突发事件中的媒体管理:学会运用和引导网络;自觉接受媒体监督等。书中精心穿插了许多资料链接,这些资料或知识,或案例,或图表,方便阅读时从不同角度加深对正文的理解。在每章的最后还附上了……
  • 清代官德丛谈

    清代官德丛谈

    本书是一本从历史中汲取治国理政的政治智慧的书。作者通过对清代官场众生相的真实描绘,深刻揭示了封建政治的黑暗与腐败,从传统政治文明中发掘出至今仍有借鉴意义的珍贵历史遗产,充分反映了普通老百姓对清明政治的冀求与向往。既有很好的学术性,又有很强的现实性。全书语言生动形象,叙述深入浅出,言简意赅,文省事丰,是史学大众化的一个有益尝试。
  • 论自由代议制政府

    论自由代议制政府

    《论自由》主要从三方面论述了公民的自由权利。《代议制政府》是密尔政治学说的另一部代表作,是其多年致力于议会改革而形成的政治观点和实际建议系统化的结晶。
  • 大秩序:2015年后的中国格局与世界新趋势

    大秩序:2015年后的中国格局与世界新趋势

    人人都能读懂的新常态!《2015年后的中国格局与世界新趋势》由郑永年、林毅夫、俞可平、王辉耀等国内外最著名、影响力巨大的经济学家、学者围绕忧患政府、收入再分配、反腐败运动、新移民、政治经济新秩序、改革途径等时政热点撰文,把脉中国经济发展轨迹、预测中国经济未来发展趋势的财经类图书,是对中国经济、政治、社会发展的反思和发展走向的思考和预测。
  • 邓小平政治制度文明思想探析

    邓小平政治制度文明思想探析

    关于邓小平政治制度文明思想的特征、价值取向、指导思想、基本原则,以及政治制度文明是邓小平政治体制改革的内在要求、政治体制改革是邓小平政治制度文明的根本手段、完善基本政治制度中政治制度文明思想等等。
热门推荐
  • 证人

    证人

    尹守国,2006年开始小说创作,发表中短篇小说70多万字,作品多次被《新华文摘》、《小说选刊》、《北京文学中篇小说月报》等选载,中国作家协会会员,辽宁省作协签约作家。
  • 东宫有本难念的经

    东宫有本难念的经

    宝庆十九年春,大佑国皇太子大婚,大将军之女入主东宫。一个不是淑女的将门千金遭遇一个不是文韬武略的中庸太子,到底是佳偶天成,还是冤家路窄?成婚一年不足,太子忽然休妻。迷影重重,生死茫茫,这样一来,还是不是大团圆结局?
  • 夏琳琳升职记

    夏琳琳升职记

    一场突来车祸使自己失去了双亲,社会的偏见、为争夺财产的而设的陷阱、孤立无援的小女孩能否躲过?孤军奋斗中成长,艰难与困苦需要怎么样才能克服?
  • 极品霉妃:冲喜穿越之红杏要出墙

    极品霉妃:冲喜穿越之红杏要出墙

    男友结婚了,新娘不是她,不但如此,还倒霉的被新娘的花球砸中意外穿越到了一个待嫁新娘的身上。什么?冲喜?还是男人给女人冲喜……OMG,那啥?她没听错吧?好吧,冲就冲,去去身上的霉气也好,只是为嘛要给她一个风流成性,夜不归宿的相公?靠,是可忍,孰不可忍?本姑娘不干了!啥?问她要干嘛,哼,当然是学做红杏出墙去……
  • 三国之蜀汉儒将

    三国之蜀汉儒将

    主角设定:穿越前为矿大篮球队皇牌球员,自幼练习太极拳,剑,枪。后经过锻炼,基本与与魏延,张辽同级,略逊于巅峰关羽,张飞,赵云;高于马岱,文聘。大局观比较擅长,但不至于算无遗策,更多是有神来之笔,奇思妙想。文采:身为穿越者,语文不太差。本文适度YY,不太过火。自己争霸雄心万丈太累,当诸葛亮劳心劳力也太累。与其如此,还不如当个儒将,没事就喝喝酒,写写诗。打仗?打得过就打,打不过就阴,迟早叫你喝我的洗脚水。曹操:“原来如此!此天亡我也,非战之罪。”关羽:“有你在,我岂敢称武圣!”张飞:“好酒量!”刘备:“我一生识人无数,却看不透你,幸好我们不是敌人。”孙权:“没想到我江东是败在你的手里。”
  • 尸心不改

    尸心不改

    控尸门的欢乐二缺弟子江篱炼了一具美得人神共愤引得天雷阵阵的男尸,以为好日子开始了,结果没想到门派惨遭灭门。--情节虚构,请勿模仿
  • 尸心不改

    尸心不改

    控尸门的欢乐二缺弟子江篱炼了一具美得人神共愤引得天雷阵阵的男尸,以为好日子开始了,结果没想到门派惨遭灭门。--情节虚构,请勿模仿
  • 凤舞霓裳:绝色太子妃

    凤舞霓裳:绝色太子妃

    【推荐新书】独家挚爱:神秘帝少高冷妻平天下,笑群雄,凤舞九州落苍穹;醉红尘,定四海,霓裳飘动翔八荒。她是亡国帝女,身负一身血海深仇,却偏偏遇见了他,从此收敛锋芒,只为伴他一世相守。他是强国之王,肩担统一天下重任,怎奈何邂逅了她,甘愿画地为牢,只为护她一生安好。江湖乱,儿女情长,又何惧血雨腥风?烽烟起,硝烟弥漫,又何妨四方征战?片段一:“国仇家恨,我定要报,谁都阻挡不了我。”“若是你的心愿,那就是我的责任,我不介意替你手刃仇人。”“却是为何?”“我愿为你挡去所有风雨,只为还你纯净无暇。”片段二:“为何你能认出我?”“因为是你,因为是我,便是于千万人中我也同样能够认出你。”“有你,真好。”
  • 何曾为他许

    何曾为他许

    她做的都是为了别人,在爱面前亦是。她的降临是不幸的,可有父如此她又是万幸的。感叹自己的幸福却又想知道悲从何来……
  • 尸心不改

    尸心不改

    控尸门的欢乐二缺弟子江篱炼了一具美得人神共愤引得天雷阵阵的男尸,以为好日子开始了,结果没想到门派惨遭灭门。--情节虚构,请勿模仿