书城政治公务人员信息安全知识读本
2859500000007

第7章 网络攻击及其防御(1)

41.网络攻击是如何实施的?

最初的网络攻击,很多是计算机爱好者为了试验或证明自己的技术实力发起的,这样的攻击后果不会太严重。但近年来,有目的、有组织的网络攻击日益增多,这种攻击大多带有逐利或政治目的。

一次有组织的攻击往往分成攻击准备、攻击实施、扫尾三个阶段。在准备阶段,攻击者会通过社会工程、扫描、查点,了解系统情况,分析用户使用习惯,为以后的攻击做好准备(图5.1)。

在这一阶段中,一些扫描、查点动作已经能够被入侵检测系统发觉,系统日志里也会留下痕迹。在攻击阶段,攻击者会循着发现的漏洞,利用入侵隐藏技术隐匿自己的身份,根据已获取的信息进行攻击。攻击的手段是多种多样的,包括监听、会话劫持、口令猜解、木马种植等。在扫尾阶段,有经验的攻击者会小心地清理攻击痕迹,清除系统日志、数据库日志等,同时留下后门,以便对该计算机长期控制。

42.什么是社会工程学攻击?

社会工程学攻击是指针对好奇、轻信、贪利等大众心理特点,通过诱骗、欺诈、威慑等手段,套取网络内部员工掌握的系统信息,从而完成对拟攻击系统的信息收集,甚至直接取得网络访问权限。

举个例子:某人建立了网站,并向域名服务商申请了域名,攻击者为得到这个域名,便向域名所有人提出一系列问题,如“网络同乡会筹备中,请填写您的地址”等。当套取到足够多的信息后,经过综合分析,猜解、确认域名所有者的身份证号等私人敏感信息,继而利用掌握的信息向域名服务商发出申请,要求重置密码。如果域名服务商的警惕性不高,攻击者就有可能顺利取得该域名的所有权。除上述的诱骗手段外,“胁迫攻击”也很常用。如攻击者冒充高层管理人员询问技术细节信息,或冒充高级技术人员诱骗运行维护人员进行安全策略调整等。

社会工程学攻击的特殊性决定对它的预防只能从管理角度入手,提高用户信息安全意识。

43.什么是端口扫描?

端口是计算机对外联系的通道。端口扫描即对系统中的端口扫描示例

进行全面探测,以了解系统情况。普通用户借助端口扫描工具可以检测自己的端口开放状况,了解计算机的安全程度。入侵者借助端口扫描,主要判定两方面情况:一是目标主机开放了哪些端口服务?

二是目标主机使用了什么操作系统?取得这些信息后,入侵者才能有针对性地制定入侵策略。扫描工具有很多,着名的有Superscan、流光等,一些网站还提供在线进行扫描时,扫描工具软件会向大范围的主机发起连接请求。配置防火墙设备、安装个人防火墙软件可以阻止大多数端口扫描。

44.什么是漏洞扫描?怎样减少系统漏洞?

系统漏洞是指操作系统的缺陷或编写错误,这个缺陷或错误可能会被黑客攻击,从而窃取电脑中的重要信息,甚至破坏系统。

漏洞扫描就是探测系统中是否存在潜在的漏洞。漏洞信息是黑客寻找合适攻击方法的重要依据。

对于一般用户来说,减少系统漏洞的最有效方法是及时下载安装漏洞补丁。以Windows系统为例,漏洞一旦被发现,微软公司会将相关信息和防范措施及时公布在网上,用户应及时下载安装,可以通过“360安全卫士”的“修复系统漏洞”功能自动进行系统漏洞的检测和修复,如图5.3所示。对网络管理员而言,可以在网络中搭建微软WSUS服务器或SMS服务器对全网提供终端补丁下载,也可以布置终端准入系统强制终端升级补丁。

45.什么是网络监听?怎样防止被监听?

共享是局域网的一大特性。网络上传输的数据都经过同一根总线,这样网络上的数据实际上大家都能接收到,如图5.4所示。

在正常情况下,只有真正的接收方才会接收并解析数据。但是,通过一些技术手段,第三者可以偷听到网络上别人的“对话”。如果不进行加密的话,甚至用户的邮件名和密码也会被截获。网络中最着名的监听工具有Sniffer,如图5.5所示。其操作简单,但功能却很强大。

为了防止被监听,可以从硬件方面对网络进行改进,比如把网络中的“集线器”更换为“交换机”。也可以对通话数据进行加密,防止被监听。

46.如何防范缓冲区溢出攻击?

“缓冲区溢出”又称“堆栈溢出”,是常用的黑客技术之一,这种漏洞是由编程错误引起的。程序运行时,如果用户输入的数据长度超过应用程序给定的缓冲区,而程序没有对缓冲区边界进行检查,继续接收数据,就会导致缓冲区的数据“溢出”并覆盖其他数据区,影响程序的进程。一般情况下,这种现象最多造成应用程序错误,但是如果覆盖其他数据区的数据是经过黑客精心设计的恶意代码,“溢出”就会导致恶意代码被执行。如果被“溢出”的程序权限足够高,这种攻击方式足以令攻击者控制整个主机。

缓冲区“溢出”攻击的防范是和整个系统的安全性分不开的。

缓冲区“溢出”的危害程度与被“溢出”程序的权限密切相关,因此,平时应尽可能使用受限账户而不是管理员账户进行操作(详见第8章“如何在Windows下进行用户管理?”)。此外,应注意关闭不必要的网络服务和端口,及时升级操作系统和应用软件。

47.如何防范拒绝服务攻击?

拒绝服务攻击简称DoS攻击,是一种简单而又有效的破坏性攻击方式,其原理如图5.6所示。针对硬件设备处理能力有限的缺陷,攻击者或发送大量看似正常的TCP、UDP、ICMP包耗尽带宽资源,或利用TCP/IP协议中的某些漏洞耗尽计算机资源,导致服务器崩溃或无法访问。DoS攻击的发展是分布式拒绝服务攻击(DDoS),这种攻击方式操纵分散在互联网各处的计算机同时攻击防范DoS、DDoS攻击应注意以下几个方面:

①及早发现系统存在的攻击漏洞,及时安装系统补丁程序,对一些重要的信息(例如系统配置信息)建立和完善备份机制。

对一些特权账号(如管理员账号)的密码设置要谨慎,从而把攻击者的可乘之机降到最小。

②经常检查系统的物理环境,禁止不必要的网络服务。建立边界安全界限,确保输出的数据包受到正确限制。经常检测系统配置信息,查看安全日志。

③利用网络安全设备(比如防火墙)加固网络的安全性,配置好安全规则,尽可能过滤伪造数据包。

④与网络服务商、提供商保持经常联系,帮助实现路由的访问控制和对带宽总量的限制。

⑤当发现遭受DDoS攻击时,应该尽可能快地追踪攻击包,及时联系互联网服务提供商或信息安全服务机构。

⑥当您发现计算机被攻击者用做主控端和代理端时,不能因为自己的系统暂时没有受到损害而掉以轻心,应该及时清理掉DDoS攻击工具,弥补系统漏洞。

48.如何防范IP欺骗?

IP地址用来标识互联网中的主机,每台主机都应该有不同的IP地址。IP欺骗就是使互联网中某台受信任主机丧失工作能力,从而将自己伪装成该受信任主机,假冒IP地址与所选定目标主机建立应用连接并进行非授权操作的攻击手段。可以通过配置路由器中的访问控制列表(ACL)进行阻止,还可以在通信时要求加密传输和验证。也可以布置一些专门的设备(如终端准入控制系统)对终端的IP、MAC、主机名、交换机端口号等进行绑定。

49.什么是ARP欺骗?怎样防范ARP欺骗?

ARP(AddressResolutionProtocol)是地址解析协议的简称,它的主要功能是将IP地址解析为计算机可以理解的物理地址。我们可以在命令行模式中输入arpa指令来查看当前计算机缓存的ARP信息。

当计算机A要访问计算机B时,A必须确定B的物理地址。