常见攻击方法与攻击过程的简单描述

常见攻击方法与攻击过程的简单描述

ID:19572280

大小:32.50 KB

页数:14页

时间:2018-10-03

常见攻击方法与攻击过程的简单描述_第1页
常见攻击方法与攻击过程的简单描述_第2页
常见攻击方法与攻击过程的简单描述_第3页
常见攻击方法与攻击过程的简单描述_第4页
常见攻击方法与攻击过程的简单描述_第5页
资源描述:

《常见攻击方法与攻击过程的简单描述》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、常见攻击方法与攻击过程的简单描述    系统攻击是指某人非法使用或破坏某一信息系统中的资源,以及非授权使系统丧失部分或全部服务功能的行为。通常可以把攻击活动大致分为远程攻击和内部攻击两种。现在随着互联网络的进步,其中的远程攻击技术得到很大发展,威胁也越来越大,而其中涉及的系统漏洞以及相关的知识也较多,因此有重要的研究价值。一、TCPSYN拒绝服务攻击一般情况下,一个TCP连接的建立需要经过三次握手的过程,即:1、建立发起者向目标计算机发送一个TCPSYN报文;2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB)

2、,然后向发起者回送一个TCPACK报文,等待发起者的回应;3、发起者收到TCPACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。利用这个过程,一些恶意的攻击者可以进行所谓的TCPSYN拒绝服务攻击:1、攻击者向目标计算机发送一个TCPSYN报文;2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应;3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。可以看出,目标计算机如果接收到大量的TCPSYN报文,而没有收到发起者的第三次ACK回应,会一直等

3、待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。防御:在防火墙上过滤来自同一主机的后续连接。未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。 反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。ICMP洪水正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应

4、请求报文(ICMPECHO),接收计算机接收到ICMPECHO后,会回应一个ICMPECHOReply报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMPECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。UDP洪水原理与ICMP洪水类似,攻击者通过发送大量的UDP报文给目标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。防御:关掉不必要的T

5、CP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。畸形消息攻击概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。防御:打最新的服务补丁。口令猜测概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器控制。防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务

6、支持锁定策略,就进行锁定。特洛伊木马概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。缓冲区溢出概览:由于在很多的服务程序中大意的程序员使用象strcp

7、y(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口,然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。地址扫描概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。防御:在防火墙上过滤掉ICMP应答消息。反响映射概览:黑客向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征

8、判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。