登陆注册
2859500000008

第8章 网络攻击及其防御(2)

A会首先查询自己的ARP缓存表,如果没有,则向局域网中所有的主机发送一个查询请求,正常情况下,只有B才会回复,并将自己的物理地址通报给A。这个过程中,如果有C恶意冒充B,将B的IP和一个错误的物理地址回复给A,则A与B所有的通信都将无法进行,这就是ARP欺骗攻击。

ARP欺骗攻击是常用的针对局域网的攻击方式。客户端主机是ARP欺骗攻击的主要发源地,同时也是ARP欺骗攻击的受害者。防范ARP攻击主要有两种途径:一是在客户端主机安装AntiARPSniffer、ARPKill等针对ARP欺骗工具的防护软件,360安全卫士等系统维护软件也有类似功能;二是采用静态的ARP缓存,在各主机上绑定网关的IP和MAC地址,同时在网关上绑定各主机的IP和MAC地址。

50.如何防范会话劫持攻击?

会话劫持(SessionHijack)是一种结合了嗅探(一种在网络上进行数据窃听的技术)以及欺骗技术在内的攻击手段。广义地说,会话劫持攻击就是在两台主机正常会话过程中,第三方攻击者在正常数据包中插入恶意数据对双方会话进行监听,甚至将双方的通信模式暗中改变,从而干涉两台机器之间的数据传输。由于攻击者介入其中,因而能轻易知道双方传输的数据内容,还能根据自己的意愿去左右它。会话劫持攻击有被动劫持、主动劫持两种形式,被动劫持在后台监视双方会话的数据流,从中获得敏感数据;主动劫持则是将会话中的某一台主机“踢”下线,然后由攻击者取代并接管会话。主动劫持让攻击者避开了被攻击主机对访问者的身份验证和安全认证,从而使攻击者直接进入对被攻击主机的访问状态,危害严重。

会话劫持必须在适用MAC寻址的网络环境中才能发挥作用,必要时还要配合ARP协议欺骗,能同时满足这两个条件的只有局域网。

对个人用户而言,最有效的解决办法就是对数据进行加密,这样攻击者就根本没有机会进行会话劫持。另外,如果能阻止攻击者进行ARP欺骗,会话劫持攻击也无法进行。

51.什么是SQL注入攻击?如何防范?

SQL注入攻击是利用网站应用程序未对用户输入的合法性进行判断的缺陷,恶意构造SQL语句,执行权限之外的数据库操作,达到获取网站数据甚至控制主机的目的。

SQL注入攻击是目前网络攻击的主要手段之一,在一定程度上其安全风险高于缓冲区溢出漏洞,目前防火墙不能对SQL注入漏洞进行有效的防范。

防范SQL注入攻击,应注意对服务器端软件(如ServU等)及时升级,同时对数据库加强限制。一是要根据最小权限原则限制数据库连接权限;二是要加强对用户输入数据的验证,对分号、逗号、引号等特殊字符进行转换或过滤;三是要使用强数据类型,不要使用小数,限制用户输入的强度。

52.什么是跨站脚本攻击?如何防范?

跨站脚本攻击又称XSS攻击,攻击者通过在Web页面中插入HTML恶意代码,使用户在浏览该页面时,恶意代码被执行,达到窃取、修改用户信息,传播木马等目的。

图5.8跨站脚本攻击发展趋势防范XSS攻击,从网站管理员角度来说,应注重过滤特殊字符,限制输入长度,在代码层面上杜绝XSS漏洞出现的可能性;从个人角度来说,对于重要的网站特别是付费网站,应注意尽量手工输入URL地址,不要随意点击别人留在论坛留言板里的链接,不要打开来历不明的邮件、邮件附件、帖子等。

53.如何防范文件上传漏洞攻击?

很多网站都提供了文件上传功能,增强了网站的互动性,丰富了站点功能。然而如果不对上传文件进行严格的限制,就有可能造成文件上传漏洞。攻击者可以利用这个漏洞上传一些特定的文件,比如木马程序等,从而控制服务器。

造成文件上传漏洞的主要原因有两个:①网站程序没有对上传的文件进行类型检测,用户可以上传任意类型的文件;②对文件路径字符串过滤不严密,导致攻击者可以构造特定字符串绕过文件类型检查(如在路径中插入“\0”终止符)。

网站管理员应注意做好上传文件的检查,严格限定许可文件类型,过滤文件路径中的特殊字符,防止文件上传漏洞的出现。

54.如何防止页面篡改?

网站页面被篡改存在两种可能:一是网站被入侵,页面确实被篡改了;另一种是网站被劫持,攻击者通过劫持网络访问并发送欺骗页面给来访者,造成页面被篡改的表象,实际上页面并没有被篡改。

预防页面篡改,应做好技术防范,主要可采取以下手段:

①及时给操作系统、应用程序、数据库等打上最新的安全补丁。

②按照服务最小化的策略,关闭系统未使用的服务和端口。

③合理设计网站程序。代码编写中要严格对用户的输入进行过滤和审核,尽量不要采用第三方不明开发插件。

④加强用户管理,细分用户权限。普通的维护工作应使用独立的受限账户完成,不能使用拥有最高权限的系统管理员账户。

网站权限设置应包括网站目录文件的权限和网站虚拟目录的权限。

⑤设置复杂的管理员密码并定期更换。无论是系统管理员Administrator和Root,还是FTP及网站管理员的密码,都要设置为复杂密码。

⑥采用页面防篡改设备。现在防篡改技术已经比较成熟,大多数依靠数字水印的模式鉴别网页来源,一旦发现非法页面就会报警并将非法页面还原。

55.什么是入侵检测系统?有什么功能?

入侵检测(IntrusionDetection)是识别未经授权的系统访问或操纵的监督过程。网络管理员日常的系统检测、日志审核等工作,事实上就是在进行入侵检测。入侵检测系统(IDS,IntrusionDetectionSystem)是根据已有规则,对计算机网络进行入侵检测的软件或硬件系统。它可以智能化地完成入侵检测任务,减轻网络管理员的工作负担,防范具体的安全事件,给网络安全管理提供了一个集中、方便、有效的工具。

入侵检测系统能够识别口令破解、协议攻击、缓冲区溢出、恶意命令、漏洞扫描、未授权的文件操作、恶意代码、拒绝服务攻击等入侵行为,并进行记录形成日志。入侵检测日志可以帮助管理员明确网络攻击来源、评估入侵损失、判断攻击部位、完善网络安全管理。

入侵检测系统主要有基于主机(图5.9)和基于网络(图5.10)两类。基于主机的入侵检测系统在重要的系统服务器、工作站或用户机器上运行,它根据审计数据监视、寻找系统中的可疑活动。这类系统需要定义哪些属于不合法的活动,然后将这种安全策略转换为入侵检测规则。基于网络的入侵检测系统则是被动地在网络上监听整个网段上的信息流,通过捕获网络数据包来进行分析,从而检测出网络中发生的入侵现象。

56.什么是入侵防御系统?它与入侵检测系统有哪些区别?

入侵防御系统(IPS,IntrusionPreventionSystem)是指能对计算机网络系统中检测到的入侵行为进行自动处理(包括通报网络管理员、丢弃入侵数据报文、切断通信等)的软件或硬件设备。这种设备智能程度很高,大大减少了网络管理员的工作量,但是它也有一些缺陷:一是网络性能损耗。IPS要对流经的数据进行深度扫描和处理,因此它很容易造成网络性能的额外损耗,造成延时。

二是可能会因误判导致不良后果。IPS会自动对攻击动作进行防御,比如断开通信、关闭设备等。如果误判,将对系统运行造成不同程度的影响。

入侵检测与入侵防御系统是完全不同的两种产品。首先是功能不同。入侵检测系统是一种监管设备,用于监视网络环境,注重搜集攻击行为,健全网络安全策略;而入侵防御系统是一种防御设备,用于弥补防火墙防御的疏漏,注重主动拦截攻击行为,进一步过滤网络攻击。其次是部署位置不同,入侵检测系统作为旁路监听设备,不需要跨接在任何链路上;入侵防御系统作为防御设备,必须串接在网络上。

因此,用户在考虑系统安全方案时可根据需要灵活选择。如用户仅仅需要对网络安全状况进行了解监控(如行业监管部门),只需要部署IDS设备;如果用户希望得到一个充分安全的网络环境可以同时部署防火墙、入侵检测和入侵防御系统。

同类推荐
  • 新民说

    新民说

    《梁启超:新民说》以1936年上海中华书局出的《新民说》为原本,结合编者搜集甄选研究《新民说》问世百年来的影响的学术论文集、社会舆论关于梁启超于中国启蒙思想史上的贡献,依据全书20节文字,在体例上精心设计了发表背景、社会反响、原文赏析、今日看点四个栏目,以求在保留梁任公“笔端常带感情”、催人奋进、令人热血沸腾的文字韵味的同时,帮助大家更好的理解和消化这些跨过百年,仍然具有强劲生命力、具有现实指导意义的宝贵文化遗产。《新民说》揭示了这样一个道理:中国社会要实现近代化,首先应当实现中国人的近代化。
  • 晚清非典型政治研究

    晚清非典型政治研究

    本书直击晚清官场的腐败和堕落,揭露整个晚清社会的溃败。晚清官场是中国封建社会腐败政治最具代表性的典型,充斥着太多的肮脏、卑鄙、龌龊与争斗。晚清官场也是一个政治智慧与政治糟粕泥沙俱下的地方。在晚清,凡是想做大事,或者做成大事,或者说官做得特别成功的人……他们是如何在这样非典型的政治生态中生存下来并攫取话语权的呢?《晚清非典型政治研究》从“谋官路径”、“做官秘诀”、“保官之道”三个方面详细地讲述了晚清政治运作、政治智慧和官场潜规则,也揭示了晚清帝国灭亡的根本原因和教训,实为当下政治的殷鉴。"
  • 多党合作在四川(工商联卷)

    多党合作在四川(工商联卷)

    《多党合作在四川》丛书,分设民革、民盟、民建、民进、农工党、致公党、九三学社、工商联卷,共8卷,近400万字,内容丰富,图文并茂。
  • 杨尚昆谈新中国若干历史问题

    杨尚昆谈新中国若干历史问题

    2007年是杨尚昆同志百年诞辰,中共中央党史研究室和中央电视台为此几次来向我了解杨尚昆的一些情况。之后,应中央党史研究室资料征集办公室之邀,陆续将杨尚昆同志在撰写回忆录期间有关回忆录第二册的谈话内容整理成文,在《百年潮》和《中共党史资料》杂志上陆续发表,受到广大读者的关注。2008年秋,在杨尚昆同志逝世十周年之际,又以一篇拙文《怀念杨尚昆》回顾了他光辉的一生,缅怀伟人,激励自己。现由四川人民出版社将这些文稿汇编成《杨尚昆谈新中国若干历史问题》出版。为了保持内容的完整性,根据出版社的要求,特将经杨尚昆生前审定、以杨尚昆名义公开发表的《高饶事件》一并放入《杨尚昆谈新中国若干历史问题》。
  • 做合格的共产党员:从怎样看到怎样做

    做合格的共产党员:从怎样看到怎样做

    本书的重点不是探讨理论上的问题,而是明确实践上的问题。本书从七个方面讨论并明确了“怎样做”的问题:一是加强党性修养,提高自身素质。这是做一名合格党员的必要条件;二是牢记自我角色,强化党员意识。这是做一名合格党员的基本要求;三是认清重大问题,坚定理想信念。这是做一名合格党员的动力源泉。等等。这七个方面的内容,涵盖了做一名合格共产党员的基本要求。本书有助于广大党员和入党积极分子进一步明确做一名合格共产党员的基本要求,在工作、学习和生活中切实用实际行动来证明自己是一名合格的共产党员。
热门推荐
  • 天价暖婚套路深

    天价暖婚套路深

    “闵臻,别和我谈感情,我和你只是交易,我的心给了他,再也找不回来了。”潘佳乐面无表情对闵臻说道。??“那我就做你的心,至少我不跳你就得死!”,闵臻满脸阴鸷看着潘佳乐,冷冷开口。??“闵臻,兔子不吃窝边草!”,潘佳乐咬唇,垂死挣扎。闵臻挑眉,邪气一笑,“就算是又能怎样?”??并不是每个女人都能像《失恋33天》中的黄小仙一样,身边有个叫‘王小贱’的真命天使。??所以,潘佳乐在失恋后,就遇到了一个名叫闵臻的鸟人。??闵臻顶着一张祸国殃民的脸,到处招摇撞骗,不仅拈花惹草,还扮猪吃老虎,将她吃的连骨头都不剩。??老娘不发威,你当我是病猫呢!??她潘佳乐这辈子誓不与骗子为伍,做兼职,搞设计,活的风生水起。??别以为埋在大山里的都是石头,也可能是块璞玉,只要天时地利人和,野百合照样也有春天!??总裁夫人?她不稀罕!??门前明明已挂上了男人勿扰的牌子,为何,还有那么多不怕死的苍蝇前赴后继?甚至还有一个吃奶的小娃娃拉着她不放,她可没有恋童癖!??且看一个傻女人如何在失恋中蜕变,重拾幸福的故事。??--精彩片段之宝宝篇--??★片段一★??“潘念念,过来!说,你是要妈咪还是要爹地?”,某女掐腰瞪眼,虎视眈眈的看着对面男子。??“妈咪……”,四岁宝宝咂咂嘴,眼睛一转,颇为委屈的唱道,“你们生下我,现在又要我选择,爹地妈咪我都爱,不行我就自己过!”。??某男朝宝宝挤挤眼,偷偷竖起大拇指。????--精彩片段之战斗篇--??★片段一★??“佳乐,我怀了邵阳的孩子,我知道对不起你,可我是真的爱他,当年我本是要去法国的,可为了他却硬改去美国。”大学同窗苗楚楚泪眼婆娑的向她哀求。??啪!??一巴掌下去,潘佳乐打的畅快淋漓,她吹吹发疼的手指,极尽嘲笑和不屑,“韩邵阳是我玩剩下的,你要就拿去!”。??原来每个女人都是有悍妇的潜质,只不过得需要诱导因子。??“潘佳乐!有种你再说一遍!”,这时,身后传来年轻男子的咆哮。??★片段二★??“韩邵阳,你以为姑奶奶没人要?姑奶奶告诉你,随便一招手就能引来一大片!”,潘佳乐怒斥,拨开韩邵阳朝前走,却发现身前挡着一个人,“韩邵阳,好狗不拦路!”。?????????????????????????见不凑效,再次怒吼,“好狗--”??“不拦路吗?”声音清扬悦耳,带丝邪气,使得潘佳乐抬眸,小嘴张成O状,“你--”
  • 东宫有本难念的经

    东宫有本难念的经

    宝庆十九年春,大佑国皇太子大婚,大将军之女入主东宫。一个不是淑女的将门千金遭遇一个不是文韬武略的中庸太子,到底是佳偶天成,还是冤家路窄?成婚一年不足,太子忽然休妻。迷影重重,生死茫茫,这样一来,还是不是大团圆结局?
  • 魅力口才是怎样练成的:让你受益一生的当众讲话技巧

    魅力口才是怎样练成的:让你受益一生的当众讲话技巧

    《魅力口才是怎样练成的——让你受益一生的当众讲话技巧》以提高人们的当众说话能力为出发点,采用理论和事例相结合的形式,培养读者在公众场合的讲话能力。它将帮助你克服在公众场合发言的恐惧,提高你讲话的质量,并最终提升你演讲的效果。如果你能坚持按照书中的方法去做,你将会逐步成为各个公共场合令人瞩目的明星。
  • 18岁前应该体验的18种经历

    18岁前应该体验的18种经历

    人生的历程就像攀登一座高山,所有的人生经历仿佛在铺就一条通向山巅的道路,其中的每一种经历都好比是人生的一道台阶,如果我们没有经历过什么,就只能永远在山脚下徘徊。体验我们应该体验的经历,会让我们的人生变得厚重、深刻,也会启发我们更理性地思考人生。只有经历过,我们才能睿智,才能练达,才能有所发现。只有睿智、练达的人才会拥有卓越的人生,生命才会因此而不同凡响。
  • 如果可以

    如果可以

    花样年华,她转学来到大城市,陌生的环境,陌生的人,直到他的出现,如一道阳光,照进她的生活,但不幸也随之降临,背叛,误解……融化的心,再次冰封……
  • 尸心不改

    尸心不改

    控尸门的欢乐二缺弟子江篱炼了一具美得人神共愤引得天雷阵阵的男尸,以为好日子开始了,结果没想到门派惨遭灭门。--情节虚构,请勿模仿
  • 我们三个都是穿越来的

    我们三个都是穿越来的

    我是因为看了很多的穿越小说,也很想穿越。谁想我想想就能穿越,穿越就穿越吧,居然穿成怀孕九月的待产产妇,开玩笑嘛!人家在二十一世纪还是黄花一枚呢。这也可以接受,可是明明是丞相之女,堂堂四皇子的正牌王妃怎么会居住在这么一个几十平米得破落小院子里,她怎么混的,亏她还一身绝世武功,再是医毒双绝。哎。没关系,既然让我继承了这么多优越条件,一个王爷算得了什么?生下一对龙凤胎,居然都是穿过来的,神啊,你对我太好了吧?且看我们母子三人在古代风生水起笑料百出的古代生活吧。片段一在我走出大门时,突然转身对着轩辕心安说道:“王爷,若是哪天不幸你爱上了我,我定会让你生不如死的。”然后魅惑地一笑,潇洒地走了出去。片段二当我对着铜镜里的美人自恋地哼出不着调地歌时。“别哼了,难听死了。”一个清脆的声音响起。~~~接着一声尖叫紧跟着另一声尖叫。我用上轻功躲进了被子里.~~~"我和你一样是二十一世纪来的。”“你好,娘亲,哥哥,以后要多多指教。”来自两个婴儿的嘴里,我摸摸额头,没高烧啊。片段三“小鱼儿,我可是你孩子的爹,况且我没有写休书,你还是我的王妃。我会对你好的。”安王爷霸道地说道。“你们认识他吗?他说是你们的爹?”我问着脚边的两个孩子。“不认识,”女孩说道。“我们的爹不是埋在土里了吗?怎么他一点也不脏?”男孩问道。那个男人满头黑线。“对不起,我们不认识你。”说完拉着孩子转身就走。片段四“爹爹,这是我娘,你看漂亮吧?”南宫心乐拉着一个白衣帅哥进来问道。我无语中。“爹爹,你看我娘亲厉害吧?“南宫心馨拉着另外一个妖精似地男人走了进来。我想晕。“这才是我们的爹。”“才不是呢,这个才是”两人开始吵起来了。“我才是你们的爹。”安王爷气急地吼道。“滚一边去。”两个小孩同时说道。屋里顿时混乱之中。转头,回屋睡觉去了。推荐完结文《别哭黛玉》完结文《穿越之无泪潇湘》新文,《极品花痴》
  • 抛弃性格缺陷

    抛弃性格缺陷

    青少年不得不看的励志书。每个人都是性格的美容师,抛弃性格缺陷,展现完美自我。2011最潮性格说明书,洞察你想知道的一切。让自卑、怯懦、孤僻、狂傲……见鬼去吧。
  • 做林徽因一样完美的女人

    做林徽因一样完美的女人

    林徽因,这个被奉为传奇的女人,也只是活得更勇敢、更用心的普通人!没有哪一种命运是更好的命运,每个人都有自己要面对的各种问题。本书以林徽因为模本,在详细展开她的生活的同时,告诉被现实包围,却依然有梦的女人,要像林徽因一样,学会主宰自己的生活。不自卑、不哀怨,一日一日来,一步一步走。当你成为自己的英雄,那些遥不可及的幸福和喜悦,得到都是必然!女性读者比男性更关注林徽因,更容易崇拜她。因为,她活出了一个女人所能希求的全部梦想!我们这本书展现了一个绝代完美的女性典范,告诉所有积极追求自我魅力和价值的女性,做女人就要做林徽因这样完美的女人,学做林徽因这样的女人,就能收获爱情与事业双丰收。
  • 大漠魂

    大漠魂

    这是优秀的作品。蒙古文化和汉文化的熏陶,当我阅读郭雪波小说时,而又醉心于蒙古族原始宗教——萨满教文化所崇尚的的崇拜大自然的宗旨;后毕业于内蒙古蒙文专科学校和中央戏剧学院文学系,成熟的风格,曾在内蒙古社科院文学所任助理研究员;现任职于北京华文出版社副编审、编辑部主任;现为中国作家协会会员,被作者的写作技巧,中国环境文学研究会理事。出生在野性蛮荒的科尔沁沙地的库伦旗;从小受喇嘛教文化。,简洁洗练的文字和这部小说的艺术再现能力迷住了