分析******方法建立具體防範措施
[url]www.hacker.com.cn[/url] ***防線
隨著計算機網路的發展,網路的開放性、共享性、互連程度隨之擴大。特別是internet的普及,使得商業數字貨幣、網際網路絡銀行等一些網路新業務的迅速興起,網路安全問題顯得越來越重要。目前造成網路不安全的主要因素是在協議、系統及資料庫等的設計上存在缺陷。網路互連一般採用tcp/ip協議,它是乙個工業標準的協議簇,但該協議簇在制訂之初,對安全問題並沒有考慮太多,協議中存在很多的安全漏洞。 對於作業系統,由於目前使用的計算機網路作業系統在本身結構設計和**設計時偏重於考慮系統的使用方便性,導致了系統在遠端訪問、許可權控制和口令管理及等許多方面存在安全漏洞。同樣,資料庫管理系統(dbms)也存在許可權管理、資料的安全性及遠端訪問等許多方面問題,在dbms或應用程式中能夠預先安置從事情報收集、受控激發破壞程式。
由上述可見,針對協議、系統及資料庫等,無論是其本身的設計缺陷,還是由於人為因素造成的各種漏洞,都可能被一些另有圖謀的***利用進行網路***,因此要保證網路資訊的安全,必須熟知***網路***的一般過程,在此基礎上才能制定防範策略,確保網路安全。
1、***進行網路***的一般過程
1.1 資訊收集
·snmp協議:用來查閱網路系統路由器的路由表,從而了解目標主機所在網路的拓撲結構及其內部細節。
·traceroute程式:能夠用該程式獲得到達目標主機所要經過的網路數和路由器數。
·ping實用程式:可以用來確定乙個指定的主機的位置。
1.2 系統安全弱點的探測
在收集到***目標的一批網路資訊之後,***會探測目標網路上的每台主機,以尋求該系統的安全漏洞或安全弱點,其主要使用下列方式進行探測:
·自編程式:對某些產品或者系統,已經發現了一些安全漏洞,但是使用者並不一定及時使用對這些漏洞的「補丁」程式。因此***者可以自己編寫程式,通過這些漏洞進入目標系統。
·利用公開的工具:象internet的電子安全掃瞄程式iis、審計網路用的安全分析工具satan等這樣的工具,可以對整個網路或子網進行掃瞄,尋找安全漏洞。
·慢速掃瞄:由於一般掃瞄偵測器的實現是通過監視某個時間段裡一台特定主機發起的連線的數目來決定是否在被掃瞄,這樣***可以通過使用掃瞄速度慢一些的掃瞄軟體進行掃瞄。
·體系結構探測:***利用一些特定的資料報傳送給目標主機,使其作出相應的響應。由於每種作業系統都有其獨特的響應方式,將此獨特的響應報與資料庫中的已知響應進行匹配,經常能夠確定出目標主機所執行的作業系統及其版本等資訊。
1.3 建立模擬環境,進行模擬***
根據前兩步所獲得的資訊,建立乙個類似***物件的模擬環境,然後對模擬目標機進行一系列的***。在此期間,通過檢查被***方的日誌,觀察檢測工具對***的反應等,可以了解***過程中留下的「痕跡」及被***方的狀態,以此來制定乙個系統的、周密的***策略。
1.4 具體實施網路***
***者根據前幾步所獲得的資訊,同時結合自身的水平及經驗總結出相應的***方法,在進行模擬***的實踐後,將等待時機,以備實施真正的網路***。
2、協議欺騙***及其防範措施
2.1 源ip位址欺騙***
許多應用程式認為如果資料報能夠使其自身沿著路由到達目的地,而且應答包也可以回到源地,那麼源ip位址一定是有效的,而這正是使源ip位址欺騙***成為可能的前提。
假設同一網段內有兩台主機a、b,另一網段內有主機x。b 授予a某些特權。x 為獲得與a相同的特權,所做欺騙***如下:首先,x冒充a,向主機 b傳送乙個帶有隨機序列號的syn包。主機b響應,回送乙個應答包給a,該應答號等於原序 列號加1。然而,此時主機a已被主機x利用拒絕服務*** 「淹沒」了,導致主機a服務失效。結果,主機a將b發來的包丟棄。為了完成三次握手,x還需要向b回送乙個應答包,其應答號等於b向a傳送資料 包的序列號加1。此時主機x 並不能檢測到主機b的資料報(因為不在同一網段),只有利用tcp順序號估算法來**應答包的順序號並將其傳送給目標機b。如果猜測正確,b則認為收到的ack是來自內部主機a。此時,x即獲得了主機a在主機b上所享有的特權,並開始對這些服務實施***。
·拋棄基於位址的信任策略: 阻止這類***的一種非常容易的辦法就是放棄以位址為基礎的驗證。不允許r類遠端呼叫命令的使用;刪除.rhosts 檔案;清空/etc/hosts.equiv 檔案。這將迫使所有使用者使用其它遠端通訊手段,如telnet、ssh、skey等等。
·使用加密方法: 在包傳送到 網路上之前,我們可以對它進行加密。雖然加密過程要求適當改變目前的網路環境,但它將保證資料的完整性和真實性。
有一點要注意,路由器雖然可以封鎖試圖到達內部網路的特定型別的包。但它們也是通過分析測試源位址來實現操作的。因此,它們僅能對聲稱是來自於內部網路的外來包進行過濾,若你的網路存在外部可信任主機,那麼路由器將無法防止別人冒充這些主機進行ip欺騙。
2.2 源路由欺騙***
在通常情況下,資訊包從起點到終點走過的路徑是由位於此兩點間的路由器決定的,資料報本身只知道去往何處,但不知道該如何去。源路由可使資訊包的傳送者將此資料報要經過的路徑寫在資料報裡,使資料報循著乙個對方不可預料的路徑到達目的主機。下面仍以上述源ip欺騙中的例子給出這種***的形式:
主機a享有主機b的某些特權,主機x想冒充主機a從主機b(假設ip為aaa.bbb.ccc.ddd)獲得某些服務。首先,***者修改距離x最近的路由器,使得到達此路由器且包含目的位址aaa.bbb.ccc.ddd的資料報以主機x所在的網路為目的地;然後,***者x利用ip欺騙向主機b傳送源路由(指定最近的路由器)資料報。當b回送資料報時,就傳送到被更改過的路由器。這就使乙個***者可以假冒乙個主機的名義通過乙個特殊的路徑來獲得某些被保護資料。
為了防範源路由欺騙***,一般採用下面兩種措施:
·對付這種***最好的辦法是配置好路由器,使它拋棄那些由外部網進來的卻聲稱是內部主機的報文。
·在路由器上關閉源路由。用命令no ip source-route。
3、拒絕服務***及預防措施
在拒絕服務***中,***者載入過多的服務將對方資源全部使用,使得沒有多餘資源供其他使用者無法使用。syn flood***是典型的拒絕服務***。
而syn flood在它的實現過程中只有前兩個步驟,當服務方收到請求方的syn並回送syn-ack確認報文後,請求方由於採用源位址欺騙等手段,致使服務方得不到ack回應,這樣,服務方會在一定時間內處於等待接收請求方ack報文的狀態,一台伺服器可用的tcp連線是有限的,如果惡意***方快速連續的傳送此類連線請求,則伺服器的系統可用資源、網路可用頻寬急劇下降,將無法向使用者提供正常的網路服務。
為了防止拒絕服務***,我們可以採取以下預防措施:
·對於資訊淹沒***,我們應關掉可能產生無限序列的服務來防止這種***。比如我們可以在伺服器端拒絕所有的icmp包,或者在該網段路由器上對icmp包進行頻寬限制,控制其在一定的範圍內。
·要防止syn資料段***,我們應對系統設定相應的核心引數,使得系統強制對超時的syn請求連線資料報復位,同時通過縮短超時常數和加長等候佇列使得系統能迅速處理無效的syn請求資料報。
·建議在該網段的路由器上做些配置的調整,這些調整包括限制syn半開資料報的流量和個數。
·建議在路由器的前端做必要的tcp攔截,使得只有完成tcp三次握手過程的資料報才可進入該網段,這樣可以有效地保護本網段內的伺服器不受此類***。
總之,要徹底杜絕拒絕服務***,只有追根溯源去找到正在進行***的機器和***者。要追蹤***者不是一件容易的事情,一旦其停止了***行為,很難將其發現。唯一可行的方法就是在其進行***的時候,根據路由器的資訊和***資料報的特徵,採用逐級回溯的方法來查詢其***源頭。這時需要各級部門的協同配合才能很好的完成。
Redis CSRF漏洞分析及防範措施
redis csrf漏洞分析 近日有暴漏了redis的csrf漏洞,同時redis作者在最新發布的3.2.7也進行了修復,本文將對csrf攻擊及如何安全使用redis進行介紹。阿里云云資料庫redis版強制需要密碼訪問,不受該漏洞影響,而對於自建redis使用者可以根據後續的乙個建議措施進行修復。c...
SQL注入式攻擊防範措施
sql注入式攻擊 惡意 插入到字串中,然後將該字串傳遞到sql server 的例項以進行分析和執行。任何構成 sql 語句的過程都應進行注入漏洞檢查。詳細請看 http msdn.microsoft.com zh cn library ms161953 sql.90 aspx 防範措施 1 驗證所...
前端安全問題防範措施
xss攻擊 一 反射型攻擊 將xss 作為url的引數提交給伺服器,伺服器返回的響應中包含該xss 瀏覽器解析執行該 二 儲存型攻擊 將xss 傳送給伺服器,存在伺服器的資料庫或記憶體中,下次請求頁面會載入xss 三 dom xss 惡意xss 在客戶端本地執行 xss的危害 1.盜取使用者資訊 2...