2.2 denial of service:
这是一类个人或多个人利用internet协议组的某些方面妨碍甚至关闭其他用户对系统和信息的合法访问的攻击. 其特点是以潮水般的连接申请使系统在应接不暇的状态中崩溃。对于大型网络而言,此类攻击只是有限的影响, 不过却可能导致较小网络退出服务, 遭到重创.
这是最不容易捕捉的一种攻击,因为不留所有痕迹,安全管理人员不易确定攻击来源。由于这种攻击能使整个系统瘫痪,并且容易实施,所以非常危险。不过从防守的角度来讲,这种攻击的防守也比较容易. 攻击者通过此类攻击不会破坏系统数据或获得未授权的权限, 只是捣乱和令人心烦而已. 例如使网络中某个用户的邮箱超出容限而不能正常使用等.
典型的攻击包括如E-mail炸弹, 邮件列表连接,
2.2.1 Email炸弹
他是一种简单有效的侵扰工具. 他反复传给目标接收者相同的信息, 用这些垃圾拥塞目标的个人邮箱. 能使用的工具非常多, 例如bomb02.zip(mail bomber), 运行在windows平台上,使用非常简单. unix平台上发起email bomb攻击更为简单, 只需简单几行shell程式即可让目标邮箱内充满垃圾.
他的防御也比较简单. 一般邮件收发程式都提供过滤功能, 发现此类攻击后, 将源目标地址放入拒绝接收列表中即可.
2.2.2 邮件列表连接
他产生的效果同邮件炸弹基本相同. 将目标地址同时注册到几十个(甚至成百上千)个邮件列表中, 由于一般每个邮件列表每天会产生许多邮件, 能想象总体效果是什么样子. 能手工完成攻击, 也能通过建立邮件列表数据库而自动生成. 对于邮件列表连接,尚没有快速的解决办法. 受害者需要把包含注销"unsubscribe"信息的邮件发往每个列表.
许多程式能够同时完成两种攻击, 包括Up yours(视窗系统), KaBoom(视窗系统), Avalanche(视窗系统), Unabomber(视窗系统), eXtreme Mail(视窗系统), Homicide(视窗系统), Bombtrack(Macintosh), FlameThrower(Macintosh), etc.
2.2.3 其他
更有一些针对其他服务的攻击, 例如Syn-Flooder, Ping of Death(发送异常的非常大的进行ping操作的packet来攻击windows nt), DNSkiller(运行在linux平台上, 攻击windows nt平台上的dns服务器)等。
在路由的层次上,对数据流进行过滤, 通过合适的设置会减少遭受此类攻击的可能性.Cisco Systems就提供了路由级的解决方案.
2.3 spoofing attack(电子欺骗):
针对http,ftp,dns等协议的攻击,能窃取普通用户甚至终极用户的权限,任意修改信息内容,造成巨大危害。所谓ip欺骗,就是伪造他人的源ip地址。其实质上就是让一台机器来扮演另一台机器,借以达到蒙混过关的目的。下面一些服务相对来说容易招致此类攻击:
所有使用sunrpc调用的设置;rpc指sun公司的远程过程调用标准,是一组工作于网络之上的处理系统调用的方法。
所有利用ip地址认证的网络服务
mit的xwindow系统
各种r服务: 在unix环境中,r服务包括rlogin和rsh,其中r表示远程。人们设计这两个应用程式的初衷是向用户提供远程访问internet网络上主机的服务。r服务极易受到ip欺骗的攻击
几乎所有的电子欺骗都倚赖于目标网络的信任关系(计算机之间的互相信任,在unix系统中,能通过设置rhosts和host.equiv 来设置)。入侵者能使用扫描程式来判断远程机器之间的信任关系。这种技术欺骗成功的案例较少,需求入侵者具有特别的工具和技术(,并且目前看来对非unix系统不起作用)。另外spoofing的形式更有dns spoofing等。
解决的途径是慎重设置处理网络中的主机信任关系,尤其是不同网络之间主机的信任关系。如只存在局域网内的信任关系,能设置路由器使之过滤掉外部网络中自称源地址为内部网络地址的ip包,来抵御ip欺骗。下面一些公司的产品提供了这种功能
Cisco System
iss.net公司的安全软件包能测试网络在ip欺骗上的漏洞。
etc.
国际黑客已进入有组织有计划地进行网络攻击阶段,美国政府有意容忍黑客组织的活动,目的是使黑客的攻击置于一定的控制之下,并且通过这一渠道获得防范攻击的实战经验。国际黑客组织已发展出不少逃避检测的技巧. 使得攻击和安全检测防御的任务更加艰巨.
3 入侵层次分析:
3.1 敏感层的划分
使用敏感层的概念来划分标志攻击技术所引起的危险程度.
1 邮件炸弹攻击(emailbomb)(layer1)
2 简单服务拒绝攻击(denial of service)(layer1+)
3 本地用户获得非授权读访问(layer2)
4 本地用户获得他们非授权的文件写权限(layer3)
5 远程用户获得非授权的帐号(layer3+)
6 远程用户获得了特权文件的读权限(layer4)
7 远程用户获得了特权文件的写权限(layer5)
8 远程用户拥有了根(root)权限(黑客已攻克系统)(layer6)
以上层次划分在所有的网络中几乎都相同,基本上能作为网络安全工作的考核指标。
"本地用户"(local user)是一种相对概念。他是指所有能自由登录到网络上的所有一台主机上,并且在网络上的某台主机上拥有一个帐户,在硬盘上拥有一个目录的所有一个用户。在一定意义上,对内部人员的防范技术难度更大。据统计,对信息系统的攻击主要来自内部,占85%。因为他们对网络有更清晰的了解,有更多的时间和机会来测试网络安全漏洞,并且容易逃避系统日志的监视。
.
分页: [1] [2] [3]
TAG: 网络安全