網(wǎng)絡(luò)時(shí)代黑客攻擊的主要方式及防范手段

攻擊探索
     下面介紹下網(wǎng)絡(luò)攻擊的主要方式及如何防范：ip地址欺騙、源路由攻擊、端口掃描、DoS拒絕服務(wù)、竊聽報(bào)文、應(yīng)用層攻擊等。
     一、IP地址偽裝
     攻擊者通過改變自己的 IP地址來偽裝成內(nèi)部網(wǎng)用戶或可信的外部網(wǎng)用戶，以合法用戶身份登錄那些只以IP地址作為驗(yàn)證的主機(jī)；或者發(fā)送特定的報(bào)文以干擾正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸；或者偽造可接收的路由報(bào)文（如發(fā)送ICMP報(bào)文）來更改路由信息，來非法竊取信息。
     防范方法：
     1、當(dāng)每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許外部的IP數(shù)據(jù)包進(jìn)入局域網(wǎng)之前，先對來自外部的IP數(shù)據(jù)包進(jìn)行檢驗(yàn)，如果該IP包的IP源地址是其要進(jìn)入的局域網(wǎng)內(nèi)的IP地址，該IP包就被網(wǎng)關(guān)或路由器拒絕，不允許進(jìn)入該局域網(wǎng)。雖然這種方法能夠很好的解決問題，但是考慮到一些以太網(wǎng)卡接收它們自己發(fā)出的數(shù)據(jù)包，并且在實(shí)際應(yīng)用中局域網(wǎng)與局域網(wǎng)之間也常常需要有相互的信任關(guān)系以共享資源，因此這種方案不具備較好的實(shí)際價(jià)值。
     2、另外一種防御這種攻擊的較為理想的方法是當(dāng)IP數(shù)據(jù)包出局域網(wǎng)時(shí)檢驗(yàn)其IP源地址。即每一個(gè)連接局域網(wǎng)的網(wǎng)關(guān)或路由器在決定是否允許本局域網(wǎng)內(nèi)部的IP數(shù)據(jù)包發(fā)出局域網(wǎng)之前，先對來自該IP數(shù)據(jù)包的IP源地址進(jìn)行檢驗(yàn)。如果該IP包的IP源地址不是其所在局域網(wǎng)內(nèi)部的IP地址，該IP包就被網(wǎng)關(guān)或路由器拒絕，不允許該包離開局域網(wǎng),因此建議每一個(gè)ISP或局域網(wǎng)的網(wǎng)關(guān)路由器都對出去的IP數(shù)據(jù)包進(jìn)行IP源地址的檢驗(yàn)和過濾。如果每一個(gè)網(wǎng)關(guān)路由器都做到了這一點(diǎn)，IP源地址欺騙將基本上無法奏效。
     二、源路由攻擊
     路由器作為一個(gè)內(nèi)部網(wǎng)絡(luò)對外的接口設(shè)備，是攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的第一個(gè)目標(biāo)。如果路由器不提供攻擊檢測和防范，則也是攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)橋梁。
     防范方法：
     1、可靠性與線路安全。
     2、對端路由器的身份認(rèn)證和路由信息的身份認(rèn)證。
     3.、訪問控制對于路由器的訪問控制，需要進(jìn)行口令的分級保護(hù)；基于IP地址的訪問控制； 基于用戶的訪問控制。
     4、信息隱藏 ：與對端通信時(shí)，不一定需要用真實(shí)身份進(jìn)行通信。通過地址轉(zhuǎn)換，可以做到隱藏網(wǎng)內(nèi)地址、只以公共地址的方式訪問外部網(wǎng)絡(luò)。除了由內(nèi)部網(wǎng)絡(luò)首先發(fā)起的連接，網(wǎng)外用戶不能通過地址轉(zhuǎn)換直接訪問網(wǎng)內(nèi)資源。
     5、數(shù)據(jù)加密。
     6、在路由器上提供攻擊檢測，可以防止一部分的攻擊。
     三、端口掃描
     利用一些端口掃描工具來探測系統(tǒng)正在偵聽的端口，來發(fā)現(xiàn)該系統(tǒng)的漏洞；或者是事先知道某個(gè)系統(tǒng)存在漏洞，而后通過查詢特定的端口，來確定是否存在漏洞，最后利用這些漏洞來對系統(tǒng)進(jìn)行攻擊，導(dǎo)致系統(tǒng)的癱瘓。
     防范方法：
     1、關(guān)閉閑置和有潛在危險(xiǎn)的端口，它的本質(zhì)是——將所有用戶需要用到的正常計(jì)算機(jī)端口外的其他端口都關(guān)閉掉。因?yàn)榫秃诳投裕械亩丝诙伎赡艹蔀楣舻哪繕?biāo)。換句話說“計(jì)算機(jī)的所有對外通訊的端口都存在潛在的危險(xiǎn)”，而一些系統(tǒng)必要的通訊端口，如訪問網(wǎng)頁需要的HTTP（80端口）；QQ（4000端口）等不能被關(guān)閉。 在Windows NT核心系統(tǒng)（Windows 2000/XP/ 2003）中要關(guān)閉掉一些閑置端口是比較方便的，可以采用“定向關(guān)閉指定服務(wù)的端口”和“只開放允許端口的方式”。計(jì)算機(jī)的一些網(wǎng)絡(luò)服務(wù)會有系統(tǒng)分配默認(rèn)的端口，將一些閑置的服務(wù)關(guān)閉掉，其對應(yīng)的端口也會被關(guān)閉了進(jìn)入“控制面板”、“管理工具”、“服務(wù)”項(xiàng)內(nèi)，關(guān)閉掉計(jì)算機(jī)的一些沒有使用的服務(wù)（如FTP服務(wù)、DNS服務(wù)、IIS Admin服務(wù)等等），它們對應(yīng)的端口也被停用了。至于“只開放允許端口的方式”，可以利用系統(tǒng)的“TCP/IP篩選”功能實(shí)現(xiàn)，設(shè)置的時(shí)候，“只允許”系統(tǒng)的一些基本網(wǎng)絡(luò)通訊需要的端口即可。
     2.檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口。這種預(yù)防端口掃描的方式顯然用戶自己手工是不可能完成的，或者說完成起來相當(dāng)困難，需要借助軟件。這些軟件就是我們常用的網(wǎng)絡(luò)防火墻。
     四、Dos類型攻擊
     Dos（Denial of service，拒絕服務(wù)攻擊）攻擊是通過發(fā)送大量報(bào)文導(dǎo)致網(wǎng)絡(luò)資源和帶寬被消耗，從而達(dá)到阻止合法用戶對資源的訪問。另外一種DDos是它的擴(kuò)展類型，即分布式拒絕服務(wù)攻擊許多大型網(wǎng)站都曾被黑客用該種方法攻擊過且造成了較大的損失。
     如何防范：
     1、BAN IP地址法： 使用簡單的屏蔽IP的方法將DOS攻擊化解。對于DOS攻擊來說這種方法非常有效，因?yàn)镈OS往往來自少量IP地址，而且這些IP地址都是虛構(gòu)的偽裝的。在服務(wù)器或路由器上屏蔽攻擊者IP后就可以有效的防范DOS的攻擊。不過對于DDOS來說則比較麻煩，需要我們對IP地址分析，將真正攻擊的IP地址屏蔽。 不論是對付DOS還是DDOS都需要我們在服務(wù)器上安裝相應(yīng)的防火墻，然后根據(jù)防火墻的日志分析來訪者的IP，發(fā)現(xiàn)訪問量大的異常IP段就可以添加相應(yīng)的規(guī)則到防火墻中實(shí)施過濾了，當(dāng)然直接在服務(wù)器上過濾會耗費(fèi)服務(wù)器的一定系統(tǒng)資源，所以目前比較有效的方法是在服務(wù)器上通過防火墻日志定位非法IP段，然后將過濾條目添加到路由器上。
     2、增加SYN緩存法，上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊，但由于使用了屏蔽IP功能，自然會誤將某些正常訪問的IP也過濾掉。所以在遇到小型攻擊時(shí)不建議大家使用上面介紹的BAN IP法。我們可以通過修改SYN緩存的方法防御小型DOS與DDOS的攻擊。
     五、竊聽報(bào)文
     攻擊者使用網(wǎng)絡(luò)報(bào)文獲取工具，從網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流中復(fù)制數(shù)據(jù)，并從這些數(shù)據(jù)中獲取一些諸如用戶名 /口令等敏感信息。通過網(wǎng)絡(luò)尤其是Internet來傳輸數(shù)據(jù)，不僅需要跨越不同的地理位置，而且存在時(shí)間上的延遲，在這種情況下，要避免數(shù)據(jù)不被竊聽幾乎是不可能的。
     防范手段： 最基本的是及對報(bào)文要進(jìn)行加密，基本加密算法有兩種：對稱密鑰加密、非對稱密鑰加密，用于保證數(shù)據(jù)的保密性、完整性、真實(shí)性和非抵賴服務(wù)。
     六、應(yīng)用層攻擊
     有多種形式，包括大部分的計(jì)算機(jī)病毒，利用已知應(yīng)用軟件的漏洞，“特洛依木馬”等。另外，網(wǎng)絡(luò)本身的可靠性和線路的安全性也對網(wǎng)絡(luò)安全起著重要的影響。隨著網(wǎng)絡(luò)應(yīng)用的逐漸普及，尤其是在一些敏感場合（如電子商務(wù)），網(wǎng)絡(luò)安全成為日益迫切的需求。按物理位置來分，網(wǎng)絡(luò)安全可分為兩個(gè)部分，一是內(nèi)部局域網(wǎng)的安全，二是和外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換時(shí)的安全。路由器作為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的關(guān)鍵通信設(shè)備，應(yīng)該提供充分的安全功
     防范方法：
     1、避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)并監(jiān)聽TCP服務(wù)。
     2、多方防御保障安全，對電腦硬盤進(jìn)行加密保護(hù)，對硬盤進(jìn)行高強(qiáng)度保護(hù)，目前的這種保護(hù)強(qiáng)度，不會被攻破，大大降低了機(jī)密數(shù)據(jù)泄露的風(fēng)險(xiǎn)；雙因素認(rèn)證功能是為了防止非授權(quán)者入侵操作系統(tǒng)存取機(jī)密數(shù)據(jù)。采用雙因素身份認(rèn)證的方式，身份認(rèn)證可以通過智能卡、一次性口令，或者是USB令牌的方式進(jìn)行，具有更高可靠性。通過數(shù)據(jù)加密和雙因素認(rèn)證來保護(hù)數(shù)字資產(chǎn)，是防止未經(jīng)授權(quán)泄漏重要電子信息的終極手段。
     七、利用信息服務(wù)
     1、DNS域轉(zhuǎn)換——DNS協(xié)議不對轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議被人以一些不同的方式加以利用。
     2、Finger服務(wù)——?jiǎng)e有用心的人使用finger命令來刺探一臺finger服務(wù)器以獲取關(guān)于該系統(tǒng)的用戶的信息。
     3、LDAP服務(wù)——主要是通過LDAP協(xié)議的使用，窺探網(wǎng)絡(luò)內(nèi)部的系統(tǒng)和它們的用戶的信息。
     防范手段：對于DNS只要在防火墻處過濾掉域轉(zhuǎn)換請求；對于Finger只要關(guān)閉finger服務(wù)并記錄嘗試連接該服務(wù)的對方IP地址，或者在防火墻上進(jìn)行過濾。對于刺探內(nèi)部網(wǎng)絡(luò)的LDAP進(jìn)行阻斷并記錄，如果在公共機(jī)器上提供LDAP服務(wù)，那么應(yīng)把LDAP服務(wù)器放入DMZ。