*** 攻防实验室标准规范_ *** 攻防实验室标准

hacker|
258

*** 攻击类型

1、服务拒绝攻击

服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括:

死亡之ping (ping of death)

概览:由于在早期的阶段,路由器对包的更大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。

防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。

泪滴(teardrop)

概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。

防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。

UDP洪水(UDP flood)

概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。

防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。

SYN洪水(SYN flood)

概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。

防御:在防火墙上过滤来自同一主机的后续连接。

未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。

Land攻击

概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。

防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括 10域、127域、192.168域、172.16到172.31域)

Smurf攻击

概览:一个简单的 *** urf攻击通过使用将回复地址设置成受害 *** 的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该 *** 的所有主机都对此ICMP应答请求作出答复,导致 *** 阻塞,比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。

防御:为了防止黑客利用你的 *** 攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。

Fraggle攻击

概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP

防御:在防火墙上过滤掉UDP应答消息

电子邮件炸弹

概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者 *** 的带宽。

防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。

畸形消息攻击

概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。

防御:打最新的服务补丁。

2、利用型攻击

利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种:

口令猜测

概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器的控制。

防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。

特洛伊木马

概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。

防御:避免下载可疑程序并拒绝执行,运用 *** 扫描软件定期监视内部主机上的监听TCP服务。

缓冲区溢出

概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。

防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。

3、信息收集型攻击

信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务

扫描技术

地址扫描

概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。

防御:在防火墙上过滤掉ICMP应答消息。

端口扫描

概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。

防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。

反响映射

概览:黑客向主机发送虚假消息,然后根据返回“host unreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。

防御:NAT和非路由 *** 服务器能够自动抵御此类攻击,也可以在防火墙上过滤“host unreachable”ICMP应答。

慢速扫描

概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

防御:通过引诱服务来对慢速扫描进行侦测。

体系结构探测

概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应 *** (例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。

防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。

利用信息服务

DNS域转换

概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

防御:在防火墙处过滤掉域转换请求。

Finger服务

概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。

LDAP服务

概览:黑客使用LDAP协议窥探 *** 内部的系统和它们的用户的信息。

防御:对于刺探内部 *** 的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。

4、假消息攻击

用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。

DNS高速缓存污染

概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

伪造电子邮件

概览:由于 *** TP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。

防御:使用PGP等安全工具并安装电子邮件证书。

*** 安全主要学习内容?从事 *** 安全工作要注意什么?

主要内容有:

1.安全技术手段

物理措施:例如,保护 *** 关键设备(如交换机、大型计算机等),制定严格的 *** 安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。 访问控制:对用户访问 *** 资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制 *** 设备配置的权限,等等。

数据加密:加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机 *** 病毒,安装 *** 防病毒系统。

*** 隔离: *** 隔离有两种方式,一种是采用隔离卡来实现的,一种是采用 *** 安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个 *** 的隔离。这两者的区别可参见参考资料。

其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。近年来,围绕 *** 安全问题提出了许多解决办法,例如数据加密技术和防火墙技术等。数据加密是对 *** 中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息。防火墙技术是通过对 *** 的隔离和限制访问等 *** 来控制 *** 的访问权限。

2.安全防范意识

拥有 *** 安全意识是保证 *** 安全的重要前提。许多 *** 安全事件的发生都和缺乏安全防范意识有关。

3.主机安全检查

要保证 *** 安全,进行 *** 安全建设,之一步首先要全面了解系统,评估系统安全性,认识到自己的风险所在,从而迅速、准确得解决内网安全问题。由安天实验室自主研发的国内首款创新型自动主机安全检查工具,彻底颠覆传统系统保密检查和系统风险评测工具操作的繁冗性,一键操作即可对内网计算机进行全面的安全保密检查及精准的安全等级判定,并对评测系统进行强有力的分析处置和修复。 

*** 安全注意点:

(一)保护 *** 安全。

*** 安全是为保护商务各方 *** 端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是 *** 安全的重要因素。保护 *** 安全的主要措施如下:

(1)全面规划 *** 平台的安全策略。

(2)制定 *** 安全的管理措施。

(3)使用防火墙。

(4)尽可能记录 *** 上的一切活动。

(5)注意对 *** 设备的物理保护。

(6)检验 *** 平台系统的脆弱性。

(7)建立可靠的识别和鉴别机制。

(二)保护应用安全。

保护应用安全,主要是针对特定应用(如Web服务器、 *** 支付专用软件系统)所建立的安全防护措施,它独立于 *** 的任何其他安全防护措施。虽然有些防护措施可能是 *** 安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对 *** 支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。

由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在 *** 层采取各种安全措施。

虽然 *** 层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和 *** 支付等应用的安全性。

(三)保护系统安全。

保护系统安全,是指从整体电子商务系统或 *** 支付系统的角度进行安全防护,它与 *** 系统硬件平台、操作系统、各种应用软件等互相关联。涉及 *** 支付结算的系统安全包含下述一些措施:

(1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。

(2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。

(3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。

无线wifi网页认证有什么风险

尊敬的用户您好,风险主要有以下三个方面:

1、wifi并非公共 *** ,可能是“黑网”。

只要一台Win7系统电脑、一个无线热点AP及几个简单的应用程序,黑客就能伪造公共 *** ,监听并记录用户所有的操作信息。

2、“蹭网”应用自身不安全。

“蹭网”应用大多数都是集中收录海量公共wifi账号来实现免费蹭网,同时,由于不向用户收取费用,“蹭网”应用多数都依靠推送广告和APP实现盈利,然而这些推送往往没有经过严格的审查,因此钓鱼信息、恶意APP都有可能借该类应用之便大肆传播。

3、路由器可能有风险。

作为WiFi *** 的发射端,路由器的安全状况也不容乐观。根据互联网攻防实验室的测试,国内某知名品牌的89款路由器均存在漏洞。攻击者可利用向网页植入恶意代码的形式,篡改路由器的DNS设置,并将用户的浏览器指向黑客指定的恶意网址。

中国电信提供更优质的 *** 通讯服务,如需相关业务,可以直接通过电信网上营业厅或者实体营业厅查询。

连接wifi有哪些风险?

连接wifi有风险,可能是wifi使用了不安全的加密方式,建议您参考路由器说明书,以wpa/wpa2

psk的方式重新设置并加密路由器;若您连接的是公共wifi,建议您更换其他安全的wifi使用。wifi有风险,连接需谨慎!

0条大神的评论

发表评论