您当前的位置:首页 > 知乎文章

网络攻击和防御手段及其可能造成的后果

时间:2022-02-28 10:47:09  知乎原文链接  作者:网盾网络安全培训

常见的攻击方法

端口扫描:网络攻击的前奏

网络监听∶局域网、HUB、ARP欺骗、网关设备

邮件攻击︰邮件炸弹、邮件欺骗

网页欺骗∶伪造网址、DNS重定向

密码破解∶字典破解、暴力破解、md5解密

漏洞攻击:溢出攻击、系统漏洞利用

种植木马︰隐蔽、免杀、网站挂马、邮件挂马

DoS、DDoS:拒绝服务攻击、分布式拒绝服务攻击

cc攻击︰借助大量代理或肉鸡访问最耗资源的网页

XSS跨站攻击、SQL注入:利用变量检查不严格构造javascript语句挂马或获取用户信息,或构造sql语句猜测表、字段以及管理员账号密码

社会工程学:QQ数据库被盗

常见的系统入侵步骤

class="ztext-empty-paragraph">

攻击方式与实例列举

一.DDoS(分布式拒绝服务)攻击

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

北京时间2020年10月22日凌晨,美国域名服务器管理服务供应商Dyn宣布,该公司在当地时间周五早上遭遇了DDoS(分布式拒绝服务)攻击,从而导致许多网站在美国东海岸地区宕机,Twitter、Tumblr、Netflix、亚马逊、 Shopify.Reddit、Airbnb、 PayPal和Yelp等诸多人气网站无一幸免。Dyn称,攻击由感染恶意代码的设备发起,来自全球上千万IP地址,几百万恶意攻击的源头是物联网联系的所谓“智能”家居产品。

分布式拒绝服务攻击:借助于C/S(客户/服务器)技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力

攻击现象

>被攻击主机上有大量等待的TCP连接﹔

>网络中充斥着大量的无用的数据包;

>源地址为假制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;

>利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求;

>严重时会造成系统死机。

攻击流程

1、搜集资料,被攻击目标主机数目、地址情况,目标主机的配置、性能,目标的宽带。

2、是占领和控制网络状态好、性能好、安全管理水平差的主机做傀儡机。

3、攻击者在客户端通过telnet之类的常用连接软件,向主控端发送发送对自标主机的攻击请求命令。主控端侦听接收攻击命令,并把攻击命令传到分布端,分布端是执行攻击的角色,收到命令立即发起flood攻击。

防范措施

主机设置

所有的主机平台都有抵御DoS的设置,基本的有:

1、关闭不必要的服务

2、限制同时打开的Syn半连接数目

3、缩短Syn半连接的time out 时间

4、及时更新系统补丁

网络设置

1、防火墙

禁止对主机的非开放服务的访问,限制同时打开的SYN最大连接数,限制特定IP地址的访问,启用防火墙的防DDoS的属性,严格限制对外开放的服务器的向外访问,第五项主要是防止自己的服务器被当做工具去害人。

2、路由器

设置SYN数据包流量速率 升级版本过低的ISO 为路由器建立log server

class="ztext-empty-paragraph">

二.SQL注入攻击

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

雅虎作为美国著名的互联网门户网站,也是20世纪末互联网奇迹的创造者之一。然而在2013年8月20日,中国雅虎邮箱宣布停止提供服务。就在大家已快将其淡忘的时候,雅虎公司突然对外发布消息,承认在2014年的一次黑客袭击中,至少5亿用户的数据信息遭窃。此次事件成为了有史以来规模最大的单一网站信息泄露事件。

SQL注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

攻击方法

SQL注入主要是由于网页制作者对输入数据检查不严格,攻击者通过对输入数据的改编来

实现对数据库的访问,从而猜测出管理员账号和密码﹔

a.com/view.asp? ;
改为a.com/view.asp? and user= 'admin’ ;

如果页面显示正常,说明数据库表中有一个user字段,且其中有admin这个值;

通过SQL注入攻击可以探测网站后台管理员账号和密码。

利用探测出的管理员账号和密码登陆网站后台,在拥有附件上传的功能模块中尝试上传网页木马或一句话木马(—般利用数据库备份和恢复功能);

通过网页木马探测IIS服务器配置漏洞,找到突破点提升权限,上传文件木马并在远程服

务器上运行﹔

通过连接木马彻底拿到系统控制权﹔

因此,SQL注入只是网站入侵的前奏,就算注入成功也不一定可以拿到web shell或root。

防范措施

1、输入验证

检查用户输入的合法性,确信输入的内容只包含合法的数据。

2、错误消息处理

防范SQL注入,还要避免出现一些详细的错误消息,因为黑客们可以利用这些消息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。

3、加密处理

将用户登录名称、密码等数据加密保存。

4、存储过程来执行所有的查询

SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。

5、使用专业的漏洞扫描工具

6、确保数据库安全

7、安全审评

class="ztext-empty-paragraph">

三.ARP攻击

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

ARP ( Address Resolution Protocol,地址解析协议)是根据IP地址获取物理地址的一个TCP/IP协议。

ARP攻击就是通过伪造IP地址和MAC地址实现ARP歌骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条自,造成网络中断或中间人攻击。

ARP攻击仅能在局域网内进行。

ARP请求包是以广播的形式发出,正常情况下只有正确P地址的主机才会发出ARP响应包,告知查询主机自己的MAC地址。

局域网中每台主机都维护着一张ARP表,其中存放着<IP—MAC>地址对。

class="ztext-empty-paragraph">

class="ztext-empty-paragraph">

原理:

X分别向A和B发送ARP包,促使其修改ARP表主机A的ARP表中B为<IPb——MACx>

主机B的ARP表中A为<IPa—MACx>

X成为主机A和主机B之间的“中间人”,可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑A和电脑B之间的通信内容。

防范措施:

网关和终端双向绑定IP和MAC地址。

局域网中的每台电脑中进行静态ARP绑定。打开安全防护软件的ARP防火墙功能。彻底追踪查杀ARP病毒。

上一篇      下一篇    删除文章    编辑文章
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
推荐资讯
相关文章
    无相关信息
栏目更新
栏目热门