登陆注册
2859500000008

第8章 网络攻击及其防御(2)

A会首先查询自己的ARP缓存表,如果没有,则向局域网中所有的主机发送一个查询请求,正常情况下,只有B才会回复,并将自己的物理地址通报给A。这个过程中,如果有C恶意冒充B,将B的IP和一个错误的物理地址回复给A,则A与B所有的通信都将无法进行,这就是ARP欺骗攻击。

ARP欺骗攻击是常用的针对局域网的攻击方式。客户端主机是ARP欺骗攻击的主要发源地,同时也是ARP欺骗攻击的受害者。防范ARP攻击主要有两种途径:一是在客户端主机安装AntiARPSniffer、ARPKill等针对ARP欺骗工具的防护软件,360安全卫士等系统维护软件也有类似功能;二是采用静态的ARP缓存,在各主机上绑定网关的IP和MAC地址,同时在网关上绑定各主机的IP和MAC地址。

50.如何防范会话劫持攻击?

会话劫持(SessionHijack)是一种结合了嗅探(一种在网络上进行数据窃听的技术)以及欺骗技术在内的攻击手段。广义地说,会话劫持攻击就是在两台主机正常会话过程中,第三方攻击者在正常数据包中插入恶意数据对双方会话进行监听,甚至将双方的通信模式暗中改变,从而干涉两台机器之间的数据传输。由于攻击者介入其中,因而能轻易知道双方传输的数据内容,还能根据自己的意愿去左右它。会话劫持攻击有被动劫持、主动劫持两种形式,被动劫持在后台监视双方会话的数据流,从中获得敏感数据;主动劫持则是将会话中的某一台主机“踢”下线,然后由攻击者取代并接管会话。主动劫持让攻击者避开了被攻击主机对访问者的身份验证和安全认证,从而使攻击者直接进入对被攻击主机的访问状态,危害严重。

会话劫持必须在适用MAC寻址的网络环境中才能发挥作用,必要时还要配合ARP协议欺骗,能同时满足这两个条件的只有局域网。

对个人用户而言,最有效的解决办法就是对数据进行加密,这样攻击者就根本没有机会进行会话劫持。另外,如果能阻止攻击者进行ARP欺骗,会话劫持攻击也无法进行。

51.什么是SQL注入攻击?如何防范?

SQL注入攻击是利用网站应用程序未对用户输入的合法性进行判断的缺陷,恶意构造SQL语句,执行权限之外的数据库操作,达到获取网站数据甚至控制主机的目的。

SQL注入攻击是目前网络攻击的主要手段之一,在一定程度上其安全风险高于缓冲区溢出漏洞,目前防火墙不能对SQL注入漏洞进行有效的防范。

防范SQL注入攻击,应注意对服务器端软件(如ServU等)及时升级,同时对数据库加强限制。一是要根据最小权限原则限制数据库连接权限;二是要加强对用户输入数据的验证,对分号、逗号、引号等特殊字符进行转换或过滤;三是要使用强数据类型,不要使用小数,限制用户输入的强度。

52.什么是跨站脚本攻击?如何防范?

跨站脚本攻击又称XSS攻击,攻击者通过在Web页面中插入HTML恶意代码,使用户在浏览该页面时,恶意代码被执行,达到窃取、修改用户信息,传播木马等目的。

图5.8跨站脚本攻击发展趋势防范XSS攻击,从网站管理员角度来说,应注重过滤特殊字符,限制输入长度,在代码层面上杜绝XSS漏洞出现的可能性;从个人角度来说,对于重要的网站特别是付费网站,应注意尽量手工输入URL地址,不要随意点击别人留在论坛留言板里的链接,不要打开来历不明的邮件、邮件附件、帖子等。

53.如何防范文件上传漏洞攻击?

很多网站都提供了文件上传功能,增强了网站的互动性,丰富了站点功能。然而如果不对上传文件进行严格的限制,就有可能造成文件上传漏洞。攻击者可以利用这个漏洞上传一些特定的文件,比如木马程序等,从而控制服务器。

造成文件上传漏洞的主要原因有两个:①网站程序没有对上传的文件进行类型检测,用户可以上传任意类型的文件;②对文件路径字符串过滤不严密,导致攻击者可以构造特定字符串绕过文件类型检查(如在路径中插入“\0”终止符)。

网站管理员应注意做好上传文件的检查,严格限定许可文件类型,过滤文件路径中的特殊字符,防止文件上传漏洞的出现。

54.如何防止页面篡改?

网站页面被篡改存在两种可能:一是网站被入侵,页面确实被篡改了;另一种是网站被劫持,攻击者通过劫持网络访问并发送欺骗页面给来访者,造成页面被篡改的表象,实际上页面并没有被篡改。

预防页面篡改,应做好技术防范,主要可采取以下手段:

①及时给操作系统、应用程序、数据库等打上最新的安全补丁。

②按照服务最小化的策略,关闭系统未使用的服务和端口。

③合理设计网站程序。代码编写中要严格对用户的输入进行过滤和审核,尽量不要采用第三方不明开发插件。

④加强用户管理,细分用户权限。普通的维护工作应使用独立的受限账户完成,不能使用拥有最高权限的系统管理员账户。

网站权限设置应包括网站目录文件的权限和网站虚拟目录的权限。

⑤设置复杂的管理员密码并定期更换。无论是系统管理员Administrator和Root,还是FTP及网站管理员的密码,都要设置为复杂密码。

⑥采用页面防篡改设备。现在防篡改技术已经比较成熟,大多数依靠数字水印的模式鉴别网页来源,一旦发现非法页面就会报警并将非法页面还原。

55.什么是入侵检测系统?有什么功能?

入侵检测(IntrusionDetection)是识别未经授权的系统访问或操纵的监督过程。网络管理员日常的系统检测、日志审核等工作,事实上就是在进行入侵检测。入侵检测系统(IDS,IntrusionDetectionSystem)是根据已有规则,对计算机网络进行入侵检测的软件或硬件系统。它可以智能化地完成入侵检测任务,减轻网络管理员的工作负担,防范具体的安全事件,给网络安全管理提供了一个集中、方便、有效的工具。

入侵检测系统能够识别口令破解、协议攻击、缓冲区溢出、恶意命令、漏洞扫描、未授权的文件操作、恶意代码、拒绝服务攻击等入侵行为,并进行记录形成日志。入侵检测日志可以帮助管理员明确网络攻击来源、评估入侵损失、判断攻击部位、完善网络安全管理。

入侵检测系统主要有基于主机(图5.9)和基于网络(图5.10)两类。基于主机的入侵检测系统在重要的系统服务器、工作站或用户机器上运行,它根据审计数据监视、寻找系统中的可疑活动。这类系统需要定义哪些属于不合法的活动,然后将这种安全策略转换为入侵检测规则。基于网络的入侵检测系统则是被动地在网络上监听整个网段上的信息流,通过捕获网络数据包来进行分析,从而检测出网络中发生的入侵现象。

56.什么是入侵防御系统?它与入侵检测系统有哪些区别?

入侵防御系统(IPS,IntrusionPreventionSystem)是指能对计算机网络系统中检测到的入侵行为进行自动处理(包括通报网络管理员、丢弃入侵数据报文、切断通信等)的软件或硬件设备。这种设备智能程度很高,大大减少了网络管理员的工作量,但是它也有一些缺陷:一是网络性能损耗。IPS要对流经的数据进行深度扫描和处理,因此它很容易造成网络性能的额外损耗,造成延时。

二是可能会因误判导致不良后果。IPS会自动对攻击动作进行防御,比如断开通信、关闭设备等。如果误判,将对系统运行造成不同程度的影响。

入侵检测与入侵防御系统是完全不同的两种产品。首先是功能不同。入侵检测系统是一种监管设备,用于监视网络环境,注重搜集攻击行为,健全网络安全策略;而入侵防御系统是一种防御设备,用于弥补防火墙防御的疏漏,注重主动拦截攻击行为,进一步过滤网络攻击。其次是部署位置不同,入侵检测系统作为旁路监听设备,不需要跨接在任何链路上;入侵防御系统作为防御设备,必须串接在网络上。

因此,用户在考虑系统安全方案时可根据需要灵活选择。如用户仅仅需要对网络安全状况进行了解监控(如行业监管部门),只需要部署IDS设备;如果用户希望得到一个充分安全的网络环境可以同时部署防火墙、入侵检测和入侵防御系统。

同类推荐
  • 大博弈:中国的“太极”与美国的“拳击”

    大博弈:中国的“太极”与美国的“拳击”

    中美两国之间尽管有些纠葛,在这样那样的问题和分歧,但归根到底中美关系是要好起来才行。这是世界和平和稳定的需要。中国威胁不了美国,美国不应该把中国当作威胁自己的对手。
  • 中国特色社会主义政治文明研究

    中国特色社会主义政治文明研究

    在迎接党的十七大胜利召开的日子里,这本《中国特色社会主义政治文明研究》终于最后完稿了。跨越了三度寒暑、数易其稿的历程,当画上本书最后一个句号时,我们的心情是难以言说的,既有一些欣慰,更有许多遗憾。之所以如此,是因为实在还有太多不满意的地方,比如有些应当深入探究的问题没有来得及深入研究,有些章节风格上难以完全统一。但是,这本书的问世,毕竟是我们探索中国特色社会主义政治文明建设理论的一次努力,同时也为以后的探索和研究提供了一种参考。 这本书是集体创作的成果,是在专题研究的基础上,综合设计、分工写作、统一定稿的产物。
  • 转变”官“念

    转变”官“念

    本书从七十三个流传甚广的领导观点入手,对许多领导者长期以来深信不疑的一系列管理理念提出质疑,从理论和实践两方面分析了这些观点和理论的局限性,甚至错误性。多角度、多层次地解释和论证,突破书本定势,突破经验定势,并且提出新的观点,对各级领导者来说,这是一本开卷有益、掩卷深思的书。
  • 2020,期盼中国

    2020,期盼中国

    本书将晦涩的理论以通俗简洁的语言表达出来,为读者勾勒出了未来十年的发展图景。其间既有对中国经济、政治、文化、思想等总体方面的概括,又有各行业、各领域具体且精道的分析与预测。
热门推荐
  • 每天读点养生学

    每天读点养生学

    心理的健康、良好的居家环境、健康的职场生活、科学的防病治病、有效的排毒、开心的旅游等都是身体健康的重要因素。每天学点健康知识。既能打开视野,又能帮助你获得健康生活的经验。对于珍视健康的您来说,每天读一个健康箴言能受益一生。
  • 我们三个都是穿越来的

    我们三个都是穿越来的

    我是因为看了很多的穿越小说,也很想穿越。谁想我想想就能穿越,穿越就穿越吧,居然穿成怀孕九月的待产产妇,开玩笑嘛!人家在二十一世纪还是黄花一枚呢。这也可以接受,可是明明是丞相之女,堂堂四皇子的正牌王妃怎么会居住在这么一个几十平米得破落小院子里,她怎么混的,亏她还一身绝世武功,再是医毒双绝。哎。没关系,既然让我继承了这么多优越条件,一个王爷算得了什么?生下一对龙凤胎,居然都是穿过来的,神啊,你对我太好了吧?且看我们母子三人在古代风生水起笑料百出的古代生活吧。片段一在我走出大门时,突然转身对着轩辕心安说道:“王爷,若是哪天不幸你爱上了我,我定会让你生不如死的。”然后魅惑地一笑,潇洒地走了出去。片段二当我对着铜镜里的美人自恋地哼出不着调地歌时。“别哼了,难听死了。”一个清脆的声音响起。~~~接着一声尖叫紧跟着另一声尖叫。我用上轻功躲进了被子里.~~~"我和你一样是二十一世纪来的。”“你好,娘亲,哥哥,以后要多多指教。”来自两个婴儿的嘴里,我摸摸额头,没高烧啊。片段三“小鱼儿,我可是你孩子的爹,况且我没有写休书,你还是我的王妃。我会对你好的。”安王爷霸道地说道。“你们认识他吗?他说是你们的爹?”我问着脚边的两个孩子。“不认识,”女孩说道。“我们的爹不是埋在土里了吗?怎么他一点也不脏?”男孩问道。那个男人满头黑线。“对不起,我们不认识你。”说完拉着孩子转身就走。片段四“爹爹,这是我娘,你看漂亮吧?”南宫心乐拉着一个白衣帅哥进来问道。我无语中。“爹爹,你看我娘亲厉害吧?“南宫心馨拉着另外一个妖精似地男人走了进来。我想晕。“这才是我们的爹。”“才不是呢,这个才是”两人开始吵起来了。“我才是你们的爹。”安王爷气急地吼道。“滚一边去。”两个小孩同时说道。屋里顿时混乱之中。转头,回屋睡觉去了。推荐完结文《别哭黛玉》完结文《穿越之无泪潇湘》新文,《极品花痴》
  • 空窗

    空窗

    这是一个青春飞扬的故事:一群优越而忧郁的宠儿,透过都市扑朔迷离的浊流,流露出心灵深处的真情。复杂多角的人物关系为故事营造悬念,奇特的人物设置给人留下很深的印象。章元的小说既具备新生代作家的多元视角和现代性,又不乏女性的敏感和细腻。
  • 分开恋爱

    分开恋爱

    你说,你在洛杉矶,我却在北京。我说,隔着整个太平洋,我还是会想你。你说,你的白天便是我的黑夜。我说,爱会弭平时差,点燃黑夜你说,我们牵手时未及温暖。我说,我们分开后开始热恋。曹心怡是个25岁的北京女孩,一次咖啡馆的偶遇,“老头”走进了她的心。他们相爱了,一切都很美好。只是,这段恋情始于一个错误的时间——曹心怡远赴洛杉矶的前夕。留美期间,她遇到了与男友异地恋九年的李易童,和刚刚加入异地恋队伍的程宣。从此,三个女孩开始了与感情,生活,事业,友情的战争。分开恋爱,不管距离有多远,她们也会全力走下去……
  • 孔子执着人生(传世名家经典文丛)

    孔子执着人生(传世名家经典文丛)

    人生是一门博大精深的学问,有着太多太多的智慧等待着我们去汲取、领悟;思想是一片宽广无垠的大海,有着太浓太浓的魅力吸引我们去畅游其中。名家的人生,闪烁智慧的光芒,为我们折射出人生的光彩,波荡出生活的弦音;名家的人生,尽显思想的魅力,引领我们享受心灵的美丽旅途,体味生命的丰富元素。驰骋于睿智的思想海洋,让我们的精神变得充盈,心灵变得纯净而通透。
  • 甩你没商量:豪门总裁欠修理

    甩你没商量:豪门总裁欠修理

    【正文已完结】“女人,你站住。”楚煜祁对着前面的某人暴吼了一句,五年前,敢一声不吭的甩了他,如今又想离开,心里爆发了!“凭什么?你又是谁?”池一看着眼前的人,手渐渐的握紧,又慢慢松开,脸上浮现一丝嘲讽,时至今日,他又有什么资格对她大呼小叫?一场被谋划的局,到底是谁骗了谁?又是谁伤了谁?
  • 明治天皇:孝明帝驾崩卷(下册)

    明治天皇:孝明帝驾崩卷(下册)

    《明治天皇》再现了日本从幕末走向明治维新的历史变革,以优美的文笔,宏大的场景,详细描绘了日本近代决定国运的倒幕运动的整个过程。本书塑造了一个个鲜活的日本近代史人物形象,以及他们的坚定信念,对“安政大狱”、“樱田门之变”等重大历史事件的描述详实生动,是一部了解近代日本不可多得的佳作。
  • 寡妇三嫁

    寡妇三嫁

    推荐小悠自己的文:七岁小魔后邪医残宠我的调皮王妃【本文女强+美男无数+结局一对一】弑父果然是要遭天谴的啊,不过这雷也太给力了,一劈就把她劈成了……寡妇???本来想替她那心有所属的妹妹嫁人,没有想到对方竟然不要她。妈的,老娘不发威你当我是病猫啊!想她那二十一世纪堂堂总裁的一百八智商,还怕对付不了这些落后了上千年的老古董?她,一个寡妇!就是要把妓院开遍花街柳巷满城风流!就是要把赌场开得轰轰烈烈,人人尽皆知!就是要把酒楼开得累死那些酿酒的,乐死那些喝酒的!嘿嘿,在古代,就是要混得如鱼得水风生水起才对得起自己嘛!他,一国之君,后宫三千佳丽,却独独喜欢她,老喜欢深情地痴情地钟情地望着她:“为了你,朕愿舍弃后宫,独宠你一人。”他,京城首富,性格冷漠跟冰块也似,女人从来都无法入得他的法眼,却偏偏看上了她,总是喜欢用那种刻骨的眼神盯着她:“你是我的,谁也不能把你从我身边抢走,不管他是神还是鬼!”他,江湖侠客,孑然一身半世漂浮,谁晓得一遇到她还就赖着不走了!“只要能留在你身边,就算只做一个下人,我也甘之如殆。”花片一“小姐,王家人的来向你提亲了。”小青在心里替王家公子悲哀。王语寒抬头面无表情的说:“把他赶出去。”“是。”看来王家公子没有希望了。“小姐,赵家公子来抢亲了。”秀香惊吓的跑来。王语寒再次面表情的说:“找人把他扔出去,抢什么抢都说了本小姐我不嫁。”“小姐,皇上来了。”小青心里叫着,你不会连皇上的面子也不给吧!“什么。”想她堂堂一个没有人要的寡妇,怎么会有这么多人来要啊!不行,要跑,一定要跑。花片二“女人,你没有人要吗?为什么要纠缠着我。”天涯不屑的说着。“因为你是我宝宝的爹,我的相公,不纠缠你,我缠谁去。”语寒得意的把宝宝抱了起来给他看看。宝宝露出可爱的小脸笑眯眯的叫着:“爹爹。”【本文简介无能随时会修改,更多精彩尽在文中。喜欢的亲们请多多收藏。
  • 原野上的草原

    原野上的草原

    这是一部用心来诉说蒙古草原上的感动的作品,在作者深情地勾勒下,我们仿佛能听见牧民们的放歌与交谈,孩子们的追逐与嬉闹,看见门外树桩上拴着的马,以及狗在来来回回跑。在这篇纯净的土地上,牧民们外出时家里不需锁门,对待外来的客人异常热情谦恭。这是作者的故乡,也是作者的天堂。他写草原上的每一个眼所能见、心所能感的东西,每一种东西、每一缕思绪无不洋溢着他对草原、对蒙古最热烈的、最深厚的爱。那种对自然的敬畏,对生命的热爱,读后能让人的心灵得以净化并归于平静。他的笔很淡,却写活了他所身属的草原,给人以强烈的触动。
  • 许先生的闪婚甜妻

    许先生的闪婚甜妻

    洗手间里,唐小染看着镜中的自己,试着努力了几次,扯动下有些僵硬的唇,才让脸上的笑容看起来有些自然。今天本是她大喜的日子,只是三日前,同父异母的妹妹唐小晓和她说道。“唐小染,我有他的孩子了。”“谁的?”“他的,你未来的丈夫,我未来的姐夫。”事情就是这样简单,因为这事,她让出了新娘的地位。所以今日的大婚,新郎还是原来的新郎,新娘却不是她。孙泽……