想要更好的保護網路不受駭客的攻擊,就必須對駭客的攻擊方法、攻擊原理、攻擊過程有深入的、詳細的瞭解,只有這樣才能更有效、更具有針對性的進行主動防護。本文對駭客攻擊的主要方式、行為特徵進行了詳細分析,在此基礎上,深入研究如何對駭客攻擊行為進行檢測與防禦。
駭客攻擊的主要方式
駭客網路的攻擊方式是多種多樣的,一般來講,共計總是利用「系統組態的缺陷」,「作業系統的安全性漏洞」或「通訊協定的安全性漏洞」來進行的。到目前為止,已經發現的攻擊方式超過2000種,其中對絕對大部分駭客攻擊手段已經有相應的解決方法,這些攻擊大概可以劃分為以下六類:
拒絕服務攻擊
一般情況下,拒絕服務攻擊是通過使被攻擊物件(通常是工作站或重要伺服器)的系統關鍵資源超載,從而使被攻擊物件停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種,它是最基本的入侵手段,也是最難對付的入侵攻擊之一,典型示例有SYN Flood攻擊、Ping Flood攻擊、Win Nuke攻擊等。
非授權訪問嘗試
非授權訪問嘗試是攻擊者對被保護檔進行讀、寫或執行的嘗試,也包括為獲得被保護存取權限所做的嘗試。
預探測攻擊
在連續的非授權訪問嘗試過程中,攻擊者為了獲得網路內部的資訊及網路周圍的資訊,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、埠掃描和IP半途掃描等。
可疑活動
可以活動是通常定義的「標準」網路通信範疇之外的活動,也可以指網路上不希望有的活動,如IP Unknown Protocol和Duplicate IP Address事件等。
協定解碼
協定解碼可用於以上任何一種非期望的方法中,網路或安全管理員需要進行解碼工作,並獲得相應的結果,解碼後的協定資訊可能表明期望的活動,如FIU User和Portmapper Proxy等解碼方式。
系統代理攻擊
這種攻擊通常是針對單個主機發起的,而並非整個網路,通過Real Secure系統代理可以對它們進行監視。
反攻擊技術的核心問題
反攻擊技術(入侵偵測技術)的核心問題是如何載獲所有的網路資訊。目前主要是通過兩種途徑來獲取資訊,一種是通過網路偵聽的途徑(如Sniffer Vpacket等程式)來獲取所有的網路資訊(資料包資訊,網路流量資訊、網路狀態資訊、網路管理資訊等),這即是駭客進行攻擊的必然途徑,也是進行攻擊的必要途徑;另一種是通過對作業系統和應用程式的系統日誌進行分析,來發現入侵行為和系統潛在的安全性漏洞。
駭客攻擊行為的特徵分析與反攻擊技術
入侵偵測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為,要有效的進行反攻擊首先必須瞭解入侵的原理和工作機理,只有中央才能做到知己知彼,從而有效的防止入侵攻擊行為的發生。下面我們針對幾種典型的入侵攻擊進行分析,並提出相應的對策。
Land 攻擊
攻擊類型:Land攻擊是一種拒絕服務攻擊。
攻擊特徵:用於Land攻擊的資料包中的源位址和目標位址是相同的,因為當作業系統接收到這種資料包時,不知道該如何處理堆疊中通信源位址和目標位址相同的這種情況,或者迴圈發送和接收該資料包,消耗大量的系統資源,從而有可能造成系統崩潰或死機等現象。
檢測方法:判斷網路資料包的源位址和目標位址是否相同。
反攻擊方法:適當配置防火牆設備或過濾路由器的過濾規則就可以防止這種攻擊行為(一般是丟棄該資料包),並對這種攻擊進行審計(記錄事件發生的時間,源主機和目標主機的MAC位址和IP位址)。
TCP SYN攻擊
攻擊類型:TCP SYN攻擊是一種拒絕服務攻擊。
攻擊特徵:它是利用TCP客戶機與伺服器之間三向交握過程的缺陷來進行的。攻擊者通過偽造源IP位址向被攻擊者發送大量的SYN資料包,當被攻擊主機接收到大量的SYN資料包時,需要使用大量的援存來處理這些連接,並將SYN ACK資料包發送回錯誤的IP位址,並一直等待ACK資料包的回應,最終導致緩存用完,不能再處理其它合法的SYN連接,即不能對外提供正常服務。
檢測方法:檢查單位時間內收到的SYN連接否收超過系統設定的值。
反攻擊方法:當接受到大量的SYN資料包時,通知防火牆阻斷連接請求或丟棄這些資料包,並進行系統審計。
Ping Of Death攻擊
攻擊類型:Ping Of Death攻擊是一種拒絕服務攻擊。
攻擊特徵:該攻擊資料包大於65535個位元組。由於部分作業系統接收刀長度大於65535位元組的資料包時,就會造成記憶體溢出、系統崩潰、重啟、內核失敗等後果,從而達到攻擊的目的。
檢測方法:判斷資料包的大小是否大於65535個位元組。
反攻擊方法:使用新的補丁程式,當收到大於65535個位元組的資料包時,丟棄該資料包,並進行系統審計。
WinNuke攻擊
攻擊類型:WinNuke攻擊是一種拒絕服務攻擊。
攻擊特徵:WinNuke攻擊又稱帶外傳輸攻擊,它的特徵是攻擊目標埠,被攻擊的目標埠通常是139、138、137、113、53,而且URG位設為「1」,即緊急模式。
檢測方法:判斷資料包目標埠是否為139、138、137等,並判斷URG位是否位「1」。
反攻擊方法:適當配置符合法權設備或過濾路由器就可以防止這種攻擊手段(丟棄該資料包),並對這種攻擊進行審計(記錄事件發生的時間,源主機和目標主機的MAC位址和IP位址MAC)。
Teardrop攻擊
攻擊類型:Teardrop攻擊是一種拒絕服務攻擊。
攻擊特徵:Teardrop是基於UDP的病態分片資料包的攻擊方法,其工作原理是向被攻擊者發送多個分片的IP包(IP分片資料包中包括該分片資料包屬於哪個資料包以及在資料包中的位置等資訊),某些作業系統收到含有重疊偏移的偽造分片資料包時將會出現系統崩潰、重啟等現象。
檢測方法:對接收到的分片資料包進行分析,計算資料包的片偏移量(Offset)是否有誤。
反攻擊方法:添加系統補丁程式,丟棄收到的病態分片資料包並對這種攻擊進行審計。
TCP/UDP埠掃描
攻擊類型:TCP/UDP埠掃描是一種預探測攻擊。
攻擊特徵:對被攻擊主機的不同埠發送TCP或UDP連接請求,探測被攻擊物件運行的服務類型。
檢測方法:統計外界對系統埠的連接請求,特別是對21、23、25、53、80、8000、8080等以外的非常用埠的連接請求。
反攻擊方法:當收到多個TCP/UDP資料包對異常埠的連接請求時,通知防火牆阻斷連接請求,並對攻擊者的IP位址和MAC位址進行審計。
對於某些較複雜的入侵攻擊行為(如分散式攻擊、組合式攻擊)不但需要採用模式匹配的方法,還需要利用狀態轉移、網路拓撲結構等方法來進行入侵偵測。
入侵偵測系統亟待解決的問題
從性能上講,入侵偵測系統面臨的一個茅盾就是系統性能與功能的折衷,即對資料進行全面複雜的檢驗構成了對系統即時性要求很大的挑戰。
從技術上講,入侵偵測系統存在一些亟待解決的問題,主要表現在以下幾個方面:
①如何識別「大規模的組合式、分散式的入侵攻擊」目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中,我們瞭解到安全問題日漸突出,攻擊者的水準在不斷地提高,加上日趨成熟多樣的攻擊工具,以及越來越複雜的攻擊手法,使入侵偵測系統必須不斷跟蹤最新的安全技術。
②網路入侵偵測系統通過匹配網路資料包發現攻擊行為,入侵偵測系統往往假設攻擊資訊是明文傳輸的,因此對資訊的改變或重新編碼就可能騙過入侵偵測系統的檢測,因此字串匹配的方法對於加密過的資料包就顯得無能為力。
③網路設備越來越複雜、越來越多樣化就要求入侵偵測系統能有所定制,以適應更多的環境的要求。
④對於入侵偵測系統的評價還沒有客觀的標準,標準的不統一使得入侵偵測系統之間不易互聯。入侵偵測系統是一項新興技術,隨著技術的發展和對新攻擊識別的增加,入侵偵測系統需要不斷的升級才能保證網路的安全性。
⑤採用不恰當的自動反應同樣會給入侵偵測系統造成風險。入侵偵測系統通常可以與防火牆結合在一起工作,當入侵偵測系統發現攻擊行為時,過濾掉所有來自攻擊者的IP資料包,當一個攻擊者假冒大量不同的IP進行類比攻擊時,入侵偵測系統自動設定防火牆將這些實際上並沒有進行任何攻擊的位址都過濾掉,於是造成新的拒絕服務訪問。
⑥對IDS自身的攻擊。與其他系統一樣,IDS本身也存在安全性漏洞,若對IDS攻擊成功,則導致報警失靈,入侵者在其後的行為將無法被記錄,因此要求系統應該採取多種安全防護手段。
⑦隨著網路的頻寬的不斷增加,如何開發基於高速網路的檢測器(事件分析器)仍然存在很多技術上的困難。
入侵偵測系統作為網路安全關鍵性測防系統,具有很多值得進一步深入研究的方面,有待于我們進一步完善,為今後的網路發展提供有效的安全手段。
全站熱搜
留言列表
