linux中典型的攻击方式.ppt

典型的攻击方式 王世宏 引言 为了进一步讨论安全，你必须理解你有可能遭遇到的攻击的类型，为了进一步防御黑客，你还要了解黑客所采用的技术、工具及程序，所有类型的攻击经常被合在一起使用，一般情况下，攻击被结合起来产生一个具体的后果，例如：一个用户有可能将特洛伊木马程序放置在WEB服务器，因为服务器一执行这个程序，黑客将能在服务器上实施拒绝服务攻击，导致机器重启，一旦机器重启，它将载入木马程序。 攻击的分类 攻击可以分为两大类：意外威胁和故意威胁。 意外威胁： 由系统管理员和无知的用户因为没有预先思考或计划而引起的。 故意威胁： 是有企图的行为的结果，它是执行计划好的活动。 哄骗 哄骗和伪装都是偷窃身份的形式。通常CIW专家考试安全讨论的哄骗是指IP哄骗(ip spoofing)，它是一合机器模仿另—台机器的能力正如你所猜想的那样，IP哄骗是利用INTERNET的开放式网络设计和传统的UNIX系统之间建立的信任关系。记住，除非采取防范措施， 否则所有使用IP的服务器，都认定包是由合法的数据源产生的、但是．存在各种的应用程序，可以让windows和Linux系统伪造数据源和目标IP地址 哄骗使得明确地确定是谁发送了IP包给网络主机变得非常困难。 黑客使用IP哄骗的好处是可以生成用于发行被伪装的IP包的程序。黑客使用这些程序，并组合建立TCP连接的程序或进程，让 一个系统看上去像另一个系统。然后黑客就可以随意地攻击系统了，因为很难跟踪攻击来源。 中间人攻击 man-in-the-middle attack:是黑客企图对一个网络的主机发送到另一台主机的包进灯操作的攻击。这类攻击相当普遍，因为它包括了当网络数据通过网络传输的所有可能发生的攻击所有这一类攻击的共同八是黑客必须在物理位置上位于两个被攻击的合法主机之河 以下是中间人攻击类型中最常见的几种。 包捕获 这类攻击涉及到为获得用户名称和口令信息探测包的攻击方法。任何用明文发送的信息(如电子邮件内容)都可能被捕获。在LAN与INTERNET上此攻击很普遍。但交换机的出现降低了这种攻击的可能性。但像ettercap这类使用ARP抑制策略的应用程序能够在交换网络进行探测。 包修改 是使用各仲应用程序编辑被捕获的包。如NetDude这类应用程序就能对包做“烹饪”然后再传输 包植入 即包修改之后，把改后的包发给受害服务器以获得黑客的目的，如反复发送一个改后的包。获得被害服务器的访问权。 连接劫持 这种类型的攻击包括中途截取和接管正在处理中的连接。恶意的用户可以实际监控一个Telnet或IRc聊大会话，然后植入任何他想要的文本；为捕获网络传输的内容。 也可以让一台主机扮核另—台主机的角色。 连接劫持与其他攻击策略的组台 在劫持一个连接时，必然涉及三种独立的攻击方法。首先以劫持攻击开始，然后执行拒绝服务攻击和哄骗IP地址。第一阶段的攻击即劫持发生在以下三次握手的第一次之后。（通常强加密是防止数据劫持的最好手段） 例 子 假设合三台主机：主机A、主机B和主机C。当主机A和主机B开始通信时，攻击者主机c找到了一个方法假用主机B的身份。一旦这种情况发生，主机c就扮演主机B并开始接收和传输从主机A发来的数据。在成功的攻击中，合法的主机认为它们彼此间在相互直接通信，实际情况是黑客截获了所有的传输并路由到每个主机。这样，黑客就可以对数据做任何他想做的操作。想劫持连接的攻击者必须对他正扮演的主机执行拒绝服务攻击。例如，如果攻击者假们主机B的身份，则攻击者必须让这台主机从网络上消失。 黑客进行IP哄骗攻击需要几种程序，其中有： ·包探测器 ·中断TCP连接或崩溃整个服务器的应用程序 ·产生TcP连接和哄骗IP包的应用程序 有些应用程序如：hunt可以做到所有这三项功能 拒绝服务攻击 在一个拒绝服务攻击中，一个黑客阻止合法用户获得服务。这些服务可以是网络连接，或者任何一个系统提供的服务。 DOS攻击在WINDOWS 服务器上非常流行，击败一个UNIX系统的安全防范是容易的，所有的用户都是善意和有能力的，在拒绝攻击服务有两种目的： ● 摧毁服务器，使它对于任何人都不能服务。 ● 获取黑客止在摧毁的任何一个服务器的身份，黑客的策略，例如欺骗和 “man-in-the-middle攻击，必须使得他们正在欺骗的主机失效，拒绝服务攻击并不能使黑客拒绝个人的身份，但是可以使得这个合法的个人不能被响应。 DOS攻击常见类型 SYN溢出(SYN flood)是渗透攻击INTERNET服务器中最常用的—种。它用一种不同于正常行为的方式建立一个TcP握手。黑客能够建立多个TcP半边接。 以上图示中说明的在DOS攻击中的IP哄骗使攻击更有力量，因为攻击者不用再去回应服务器发回的二次握