任何取得成功的主要手段依赖于在 OSI 模型的某层对数据进行操作的攻击都称为操纵攻击,其中主要有网络操纵和应用程序操纵。 1、网络操纵攻击 最常见的是 IP 分片,攻击者对流量进行蓄意分片,以试图绕过基于网络(IDS 或防火墙)或基于应用程序的安全控制。Fragroute 就是一种用于发起IP 分片攻击的工具。除了 IP 分片,攻击者还可以执行源路由攻击,攻击者利用源路由选择可以在网络中选择攻击路径。源路由选择几乎没有合法应用,默认情况下,在大多数路由器上是关闭的。有很多攻击者可以利用 IP、TCP 和UDP 协议进行攻击。除了第 3 层和第4 层操纵,攻击者还可以修改第2 层信息,以达到进行虚拟LAN 跳转或其它本地网络攻击的目的。 2、应用程序操纵攻击 是指在应用层执行的攻击。其主要利用应用程序设计或实施方案中的缺陷,最著名的应用程序操纵攻击就是缓冲区溢出攻击。比如web 应用程序攻击、不安全的通用网关接口(Common Gateway Interface, CGI)。 缓冲区溢出:是应用程序弱点的表现,应用程序开发人员未对应用程序所占用的内存地址作足够的绑定检查时所发生的就是缓冲溢出。比如,对于某个内存地址,典型的程序可能预计会从用户接收50 字节的输入,如果用户发送了400 字节,那么应用程序将丢弃350 字节,可是,如果应用程序含有编码错误,那么这350 字节会殃及内存的其他部分,而且可以会以原始应用程序的权限执行代码。如,如果弱点的应用程序是以root 身份运行的,成功的缓冲区溢出攻击通常会导致攻击者获得root 权限。想要利用安全技术全部阻止这些攻击几乎是不可能的。因为大多数状态防火墙是在第4层对流量进行监控的,攻击者可以远程发起WEB 缓冲区溢出攻击,而因为该防火墙允许端口80 的流量通过,攻击者将会成功。 Web 应用程序攻击:此类攻击是多变的,比如跨站脚本执行和不安全CGI,对于跨站脚本执行,恶意信息是嵌在受害者所点击的URL 中的,如果用户点击internet 上的恶意链接,这就可以导致用户的信息在无意中泄密。阻止用户成为跨脚本执行攻击的受害者依赖于教给他们如何识别恶意URL。注意:跨站脚本执行是采用迷惑手段,某些WEB 浏览器状态栏(浏览器底部,从中可以看到URL 的细节)是禁用的,在状态栏关闭的情况下,点击链接之前用户绝不会看到将要前往的实际站占的地址,同样,攻击者可以利用DNS 进行迷惑,如果攻击者可以让客户端看到攻击者IP 地址一致的特定DNS 名称,那么该客户端将认为自己所连接的是合法站点,但实际上他们连接的是攻击者的机器。因为实际的IP 地址绝不会在浏览器上显示出来,所以客户端就很可能对攻击一无所知,普通的WEB 用户绝不会注意到这些差异,即使浏览器将这些差异显示的非常清楚。在早期的攻击者会使用不安全的 CGI 进行攻击,每当在网站填写表单或输入IP 地址时,所用到的就是某种形式的CGI 脚本。
|