*** 安全-重放攻击及其防御
重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用 *** 监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何 *** 通信过程中都可能发生,是计算机世界黑客常用的攻击方式之一。
根据重放消息的接收方与消息的原定接收方的关系。
该 *** 优点是认证双方不需要时间同步,双方记住使用过的随机数,如发现报文中有以前使用过的随机数,就认为是重放攻击。缺点是需要额外保存使用过的随机数,若记录的时间段较长,则保存和查询的开销较大。
该 *** 优点是不用额外保存其他信息。缺点是认证双方需要准确的时间同步,同步越好,受攻击的可能性就越小。但当系统很庞大,跨越的区域较广时,要做到精确的时间同步并不是很容易。(受限于 *** 情况和客户机)
就是双方在报文中添加一个逐步递增的整数,只要接收到一个不连续的流水号报文(太大或太小),就认定有重放威胁。该 *** 优点是不需要时间同步,保存的信息量比随机数方式小。缺点是一旦攻击者对报文解密成功,就可以获得流水号,从而每次将流水号递增欺骗认证端。
nonce是仅一次有效的随机字符串,要求每次请求时,该参数要保证不同,所以该参数一般与时间戳有关,我们这里为了方便起见,直接使用时间戳作为种子,随机生成16位的字符串,作为nonce参数。
每次HTTP请求,都需要加上timestamp参数,然后把timestamp和其他参数一起进行数字签名。因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间相比较,是否超过了60s,如果超过了则认为是非法的请求。
我们常用的防止重放的机制是使用timestamp和nonce来做的重放机制。
每个请求带的时间戳不能和当前时间超过一定规定的时间(60s)。这样请求即使被截取了,你也只能在60s内进行重放攻击,过期失效。
但是攻击者还有60s的时间攻击。所以我们就需要加上一个nonce随机数,防止60s内出现重复请求。
Chrome现已支持DNS OVER HTTPS加密服务
在谷歌浏览器最新推出的Google Chrome V83稳定版中,正式推出基于HTTPS的DNS(DNS-over-HTTPS)。
HTTPS上的DNS是一种有争议的互联网隐私技术,可对DNS连接进行加密并将其隐藏在常见的HTTPS流量中,从而使第三方(例如 ISP)无法知晓您正在浏览的网站。
*** 安全攻击 *** 分为
1、跨站脚本-XSS
相关研究表明,跨站脚本攻击大约占据了所有攻击的40%,是最为常见的一类 *** 攻击。但尽管最为常见,大部分跨站脚本攻击却不是特别高端,多为业余 *** 罪犯使用别人编写的脚本发起的。
跨站脚本针对的是网站的用户,而不是Web应用本身。恶意黑客在有漏洞的网站里注入一段代码,然后网站访客执行这段代码。此类代码可以入侵用户账户,激活木马程序,或者修改网站内容,诱骗用户给出私人信息。
防御 *** :设置Web应用防火墙可以保护网站不受跨站脚本攻击危害。WAF就像个过滤器,能够识别并阻止对网站的恶意请求。购买网站托管服务的时候,Web托管公司通常已经为你的网站部署了WAF,但你自己仍然可以再设一个。
2、注入攻击
开放Web应用安全项目新出炉的十大应用安全风险研究中,注入漏洞被列为网站更高风险因素。SQL注入 *** 是 *** 罪犯最常见的注入 *** 。
注入攻击 *** 直接针对网站和服务器的数据库。执行时,攻击者注入一段能够揭示隐藏数据和用户输入的代码,获得数据修改权限,全面俘获应用。
防御 *** :保护网站不受注入攻击危害,主要落实到代码库构建上。比如说:缓解SQL注入风险的首选 *** 就是始终尽量采用参数化语句。更进一步,可以考虑使用第三方身份验证工作流来外包你的数据库防护。
3、模糊测试
开发人员使用模糊测试来查找软件、操作系统或 *** 中的编程错误和安全漏洞。然而,攻击者可以使用同样的技术来寻找你网站或服务器上的漏洞。
采用模糊测试 *** ,攻击者首先向应用输入大量随机数据让应用崩溃。下一步就是用模糊测试工具发现应用的弱点,如果目标应用中存在漏洞,攻击者即可展开进一步漏洞利用。
防御 *** :对抗模糊攻击的更佳 *** 就是保持更新安全设置和其他应用,尤其是在安全补丁发布后不更新就会遭遇恶意黑客利用漏洞的情况下。
4、零日攻击
零日攻击是模糊攻击的扩展,但不要求识别漏洞本身。此类攻击最近的案例是谷歌发现的,在Windows和chrome软件中发现了潜在的零日攻击。
在两种情况下,恶意黑客能够从零日攻击中获利。之一种情况是:如果能够获得关于即将到来的安全更新的信息,攻击者就可以在更新上线前分析出漏洞的位置。第二种情况是: *** 罪犯获取补丁信息,然后攻击尚未更新系统的用户。这两种情况,系统安全都会遭到破坏,至于后续影响程度,就取决于黑客的技术了。
防御 *** :保护自己和自身网站不受零日攻击影响最简便的 *** ,就是在新版本发布后及时更新你的软件。
5、路径(目录)遍历
路径遍历攻击针对Web
root文件夹,访问目标文件夹外部的未授权文件或目录。攻击者试图将移动模式注入服务器目录,以便向上爬升。成功的路径遍历攻击能够获得网站访问权,染指配置文件、数据库和同一实体服务器上的其他网站和文件。
防御 *** :网站能否抵御路径遍历攻击取决于你的输入净化程度。这意味着保证用户输入安全,并且不能从你的服务器恢复出用户输入内容。最直观的建议就是打造你的代码库,这样用户的任何信息都不会传输到文件系统API。即使这条路走不通,也有其他技术解决方案可用。
6、分布式拒绝服务-DDOS
DDoS攻击本身不能使恶意黑客突破安全措施,但会令网站暂时或永久掉线。相关数据显示:单次DDOS攻击可令小企业平均损失12.3万美元,大型企业的损失水平在230万美元左右。
DDoS旨在用请求洪水压垮目标Web服务器,让其他访客无法访问网站。僵尸 *** 通常能够利用之前感染的计算机从全球各地协同发送大量请求。而且,DDoS攻击常与其他攻击 *** 搭配使用;攻击者利用DDOS攻击吸引安全系统火力,从而暗中利用漏洞入侵系统。
防御 *** :保护网站免遭DDOS攻击侵害一般要从几个方面着手:首先,需通过内容分发 *** 、负载均衡器和可扩展资源缓解高峰流量。其次,需部署Web应用防火墙,防止DDOS攻击隐蔽注入攻击或跨站脚本等其他 *** 攻击 *** 。
7、中间人攻击
中间人攻击常见于用户与服务器间传输数据不加密的网站。作为用户,只要看看网站的URL是不是以https开头就能发现这一潜在风险了,因为HTTPS中的s指的就是数据是加密的,缺了S就是未加密。
攻击者利用中间人类型的攻击收集信息,通常是敏感信息。数据在双方之间传输时可能遭到恶意黑客拦截,如果数据未加密,攻击者就能轻易读取个人信息、登录信息或其他敏感信息。
防御 *** :在网站上安装安 *** 接字层就能缓解中间人攻击风险。SSL证书加密各方间传输的信息,攻击者即使拦截到了也无法轻易破解。现代托管提供商通常已经在托管服务包中配置了SSL证书。
8、暴力破解攻击
暴力破解攻击是获取Web应用登录信息相当直接的一种方式。但同时也是非常容易缓解的攻击方式之一,尤其是从用户侧加以缓解最为方便。
暴力破解攻击中,攻击者试图猜解用户名和密码对,以便登录用户账户。当然,即使采用多台计算机,除非密码相当简单且明显,否则破解过程可能需耗费几年时间。
防御 *** :保护登录信息的更佳办法,是创建强密码,或者使用双因子身份验证。作为网站拥有者,你可以要求用户同时设置强密码和2FA,以便缓解 *** 罪犯猜出密码的风险。
9、使用未知代码或第三方代码
尽管不是对网站的直接攻击,使用由第三方创建的未经验证代码,也可能导致严重的安全漏洞。
代码或应用的原始创建者可能会在代码中隐藏恶意字符串,或者无意中留下后门。一旦将受感染的代码引入网站,那就会面临恶意字符串执行或后门遭利用的风险。其后果可以从单纯的数据传输直到网站管理权限陷落。
防御 *** :想要避免围绕潜在数据泄露的风险,让你的开发人员分析并审计代码的有效性。
10、 *** 钓鱼
*** 钓鱼是另一种没有直接针对网站的攻击 *** ,但我们不能将它除在名单之外,因为 *** 钓鱼也会破坏你系统的完整性。
*** 钓鱼攻击用到的标准工具就是电子邮件。攻击者通常会伪装成其他人,诱骗受害者给出敏感信息或者执行银行转账。此类攻击可以是古怪的419骗局,或者涉及假冒电子邮件地址、貌似真实的网站和极具说服力用语的高端攻击。
防御 *** :缓解 *** 钓鱼骗局风险最有效的 *** ,是培训员工和自身,增强对此类欺诈的辨识能力。保持警惕,总是检查发送者电子邮件地址是否合法,邮件内容是否古怪,请求是否不合常理。
*** 安全攻击的主要表现方式有哪些
*** 安全攻击的主要表现方式有篡改,中断,截获,伪造消息。
篡改消息是指一个合法消息的某些部分被改变、删除,消息被延迟或改变顺序,通常用以产生一个未授权的效果。如修改传输消息中的数据,将“允许甲执行操作”改为“允许乙执行操作”。
*** 攻击是指针对计算机信息系统、基础设施、计算机 *** 或个人计算机设备的,任何类型的进攻动作。于计算机和计算机 *** 中,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据,都会被视为于计算机和计算机 *** 中的攻击。 *** 信息系统所面临的威胁来自很多方面,而且会随着时间的变化而变化。
*** 安全威胁:
1、窃听:攻击者通过监视 *** 数据获得敏感信息,从而导致信息泄密。主要表现为 *** 上的信息被窃听,这种仅窃听而不破坏 *** 中传输信息的 *** 侵犯者被称为消极侵犯者。恶意攻击者往往以此为基础,再利用其它工具进行更具破坏性的攻击。
2、重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
3、篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再将伪造的信息发送给接收者,这就是纯粹的信息破坏,这样的 *** 侵犯者被称为积极侵犯者。积极侵犯者截取网上的信息包,并对之进行更改使之失效,或者故意添加一些有利于自己的信息,起到信息误导的作用。
什么是入侵检测,以及入侵检测的系统结构组成?
入侵检测是防火墙的合理补充。
入侵检测的系统结构组成:
1、事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
2、事件分析器:它经过分析得到数据,并产生分析结果。
3、响应单元:它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
4、事件数据库:事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
扩展资料:
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵。
后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
这两种模式的安全策略是完全不同的,而且,它们各有长处和短处:异常检测的漏报率很低,但是不符合正常行为模式的行为并不见得就是恶意攻击,因此这种策略误报率较高。
误用检测由于直接匹配比对异常的不可接受的行为模式,因此误报率较低。但恶意行为千变万化,可能没有被收集在行为模式库中,因此漏报率就很高。
这就要求用户必须根据本系统的特点和安全要求来制定策略,选择行为检测模式。现在用户都采取两种模式相结合的策略。
参考资料来源:百度百科—入侵检测
参考资料来源:百度百科—入侵检测系统
有谁知道 *** 攻击的种类和预防?
随着INTERNET的进一步发展,各种网上活动日益频繁,尤其网上办公、交易越来越普及,使得 *** 安全问题日益突出,各种各样的 *** 攻击层出不穷,如何防止 *** 攻击,为广大用户提供一个安全的 *** 环境变得尤为重要。
1 *** 攻击概述
*** 安全是一个永恒的话题,因为计算机只要与 *** 连接就不可能彻底安全, *** 中的安全漏洞无时不在,随着各种程序的升级换代,往往是旧的安全漏洞补上了,又存在新的安全隐患, *** 攻击的本质实际上就是寻找一切可能存在的 *** 安全缺陷来达到对系统及资源的损害。
*** 攻击一般分为三个阶段:
之一阶段:获取一个登录账号
对UNLX系统进行攻击的首要目标是设法获取登录账号及口令,攻击者一般先试图获取存在于/etc/passwd或NIS映射中的加密口令文件,得到该口令文件之后,就对其运行Crack,借助于口令字典,Crack甚至可以在几分钟内破译一个账号。
第二阶段:获取根访问权
进入系统后,入侵者就会收集各种信息,寻找系统中的种种漏洞,利用 *** 本身存在的一些缺陷,设法获取根访问权,例如未加限制的NFS允许根对其读和写。利用NFS协议,客户给与服务器的安装守护程序先交换信息,信息交换后,生成对NFS守护程序的请求,客户通过这些请求对服务器上的文件进行读或写操作。因此,当客户机安装文件系统并打开某个文件时,如果入侵者发出适当各式的UDP数据报,服务器就将处理NFS请求,同时将结果回送客户,如果请求是写操作,入侵者旧可以把信息写入服务器中的磁盘。如果是读操作,入侵者就可以利用其设置于服务器和客户机之间的窥探器了解服务器磁盘中的信息,从而获得根访问权。
第三阶段:扩展访问权
一旦入侵者拥有根访问权,则该系统即可被用来供给 *** 上的其他系统。例如:可以对登录守护程序作修改以便获取口令:增加包窥探仪可获取 *** 通信口令:或者利用一些独立软件工具动态地修改UNLX内核,以系统中任何用户的身份截击某个终端及某个连接,获得远程主机的访问权。
2 攻击的种类及其分析
普通的攻击一般可分以下几种:
2.1 拒绝服务攻击
拒绝服务攻击不损坏数据,而是拒绝为用户服务,它往往通过大量不相关的信息来阻断系统或通过向系统发出会,毁灭性的命令来实现。例如入侵者非法侵入某系统后,可向与 之相关连的其他系统发出大量信息,最终导致接收系统过载,造成系统误操作甚至瘫痪。这种供给的主要目的是降低目标服务器的速度,填满可用的磁盘空间,用大量的无用信息消耗系统资源,是服务器不能及时响应,并同时试图登录到工作站上的授权账户。例如,工作站向北供给服务器请求NISpasswd信息时,攻击者服务器则利用被攻击服务器不能及时响应这一特点,替代被攻击服务器做出响应并提供虚假信息,如没有口令的纪录。由于被攻击服务器不能接收或及时接收软件包,它就无法及时响应,工作站将把虚假的响应当成正确的来处 理,从而使带有假的passwd条目的攻击者登录成功。2.2 同步(SYN)攻击 同步供给与拒绝服务攻击相似,它摧毁正常通信握手关系。在SYN供给发生时,攻击者的计算机不回应其它计算机的ACK,而是向他发送大量的SYN ACK信息。通常计算机有一缺省值,允许它持特定树木的SYN ACK信息,一旦达到这个数目后,其他人将不能初始化握手,这就意味着其他人将不能进入系统,因此最终有可能导致 *** 的崩溃。2.3 Web欺骗攻击Web欺骗的关键是要将攻击者伪造的Web服务器在逻辑上置于用户与目的Web服务器之间,使用户的所有信息都在攻击者的监视之下。一般Web欺骗使用两种技术:URL地址重写技术和相关信息掩盖技术。 利用URL地址重写技术,攻击者重写某些重要的Web站点上的所有URL地址,使这些地质均指向攻击者的Web服务器,即攻击者可以将自己的Web站点的URL地址加到所有URL地址的前面。例如,设攻击者的Web站点的URL地址为: ,合法Web站点上的URL地址为 ,经重写后,该地址可以被加到合法URL地址 之前,即 .当用户与站点进行安全链接时,则会毫无防备地进入攻击者服务器。此时用户浏览器首先向攻击者服务器请求访问,然后由攻击者服务器向真正的目标服务器请求访问,目标服务器向攻击服务器传回相关信息,攻击者服务器重写传回页面后再传给用户。此时浏览器呈现给用户的的确是一个安全链接,但连接的对象却是攻击者服务器。用户向真正Web服务器所提交的信息和真正Web服务器传给用户的所有信息均要经过攻击者服务器,并受制于它,攻击者可以对所有信息进行记录和修改。由于浏览器一般均设有地址栏和状态栏,当浏览器与某个站点连接时,可以在地址栏中和状态栏中获取连接中的Web站点地址及相关的传输信息,用户可由此发现问题,所以一般攻击者往往在URL地址重写的同时,利用相关信息掩盖技术即一般用的JavaScript程序来地址栏和状态栏信息,以达到其掩盖欺骗的目的。
2.4 TCP/IP欺骗攻击
IP欺骗可发生在IP系统的所有层次上,包括硬件数据链路层、IP层、传输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外,由于用户本身不直接与底层结构相互交流,有时甚至根本没有意识到这些结构的存在,因而对底层的攻击更具欺骗性。
IP欺骗供给通常是通过外部计算机伪装成另一台合法机器来实现的。他能破坏两台机器间通信链路上的正常数据流,也可以在通信链路上插入数据,其伪装的目的在于哄骗 *** 中的其他机器误将攻击者作为合法机器而加以接受,诱使其他机器向它发送数据或允许它修改数据。
由于许多应用程序最初设计时就是把信任建立于发送方IP地址的薄,即如果包能够使其置身沿着陆由到达目的地,并且应答包也可以回到原地,则可以肯定源IP地址是有效的。因此一个攻击者可以通过发送有效IP源地址属于另一台机器的IP数据报来实施欺骗。
一方面现有路由器的某些配置使得 *** 更容易受到IP欺骗攻击。例如有些路由器不保护IP包端口源的信息,来自端口的所有IP包被装入同一个队列然后逐个处理。假如包指示IP源地址来自内部 *** ,则该包可转发。因此利用这一点 *** 外不用户只要设法表明是一种内部IP地址即可绕过路由器法送报。
另一方面,攻击者使用伪造的IP地址发送数据报,不仅可以获取数据报特有的有效请求,还可以通过预测TCP字节顺序号迫使接收方相信其合法而与之进行连接,从而达到TCP欺骗连接。
一个TCp连接包括三个阶段:(1)建立连接:(2)数据交换:(3)断开连接。其中最关键的就是数据交换。TCP协议为每个数据字节分配自己的顺序号,每个TCP头包含一个顺序域。TCP数据交换中客户方以发送带有SYN标志的TCP头为开始,发送一个或多个TCP/IP数据包,接受方回送包含SYN及ACK标志的头答复送方的SYN头。
初始的顺序号是随机的,当接受方接收到客户的序列号后首先要进行确认,如果确认号域有效,它就对应于下一个期望数据字节的顺序号,并设置ACK标志。攻击者利用伪造的IP地址成功地发送数据报后,只是获得这些数据报特有的有效请求,要获得些请求的答复还必须预测到TCP顺序号。攻击者对顺序号的预测是一个估计与猜测的过程。攻击者可以在客户与服务器之间设置窥探仪来确定初始顺序号,一旦攻击者获取了连接的初始顺序号,就可以通过估算发送者发送给接收者的TCP/IP数据量计算出下一个期望的顺序号,即下一个期望的顺序号为:数据量+初始顺序号。而事实上,一些TCP/IP实现并不完全采用随机方式分配初始顺序号,而是由一个简单的随机数生成器产生。这种生成器按某种固定的次序产生数据,因此实际上可能的初始顺序号只能在一个有限的范围内,这样预测起来就会更加方便。预测获得的顺序号只是一个估计值,它一般可分为三种情况考虑。
之一种情况:预测值正好等于下一顺序号
若伪造的数据保迟于合法数据报到达,且其包含的数据报少于合法数据报,则接收方将完全丢弃伪造的数据报;如果伪造数据包包含的数据多于合法数据报,则接收方将接收伪造数据报中顺序号大于合法数据报的那部分内容,同时丢弃顺序号与合法数据报重叠部分的内容;若伪造的数据报早于合法数据报到达,则接收方将丢弃合法数据报内容。
第二种情况:预测值大于下一个顺序号
在这种情况下,接收方将丢弃其中超过窗口域(即输入缓冲区)中的部分内容,而将前面部分内容放入缓冲区中,待下一期望顺序号与之一个伪造数据报字节顺序号间的空当被合法数据填满之后,再未接收方接收。
第三种情况:预测值小于下一个顺序号
在这种情况下,伪造数据报中的前面部分内容肯定会被丢弃,但是如果伪造数据报内容足够多,则接收方有可能接受其后面的内容。
3 *** 上常见的几种攻击方式及其防范
3.1 密码攻击
用户在拨号上网时,如果选择了“保存密码”的功能,则上网密码将被储存在windows目录中,以“username.pwl”的形式存放。如果不小心被别人看到这个文件,那就麻烦了,因为从网上可以很轻松地找到诸如pwlview这样的软件来观看其中的内容,那上网密码就泄漏了。
有的人使用名字、生日、 *** 号码等来做密码,更有的人的密码干脆和用户名一样,这样的密码,在黑客攻击软件庞大的字典文件面前简直是不堪一击。
那么该如何防范密码不被攻击呢?应从以下方面入手:(1)不用生日、 *** 号码、名字等易于猜到的字符做密码。(2)上网时尽量不选择保存密码。(3)每隔半个月左右更换一次密码,不要怕麻烦。
3.2 木马程序攻击
木马程序是一种特殊的病毒,它通过修改注册表等手段使自己悄悄地潜伏在系统中,在用户上网后,种植木马的黑客就可以通过服务器端木马程序控制你的计算机,获取你的口令等重要信息,其危害性非常大。
预防木马程序应从以下几方面入手:(1)加载反病毒防火墙。(2)对于不明来历的电子邮件要谨慎对待,不要轻易打开其附件文件。(3)不要随便从 *** 上的一些小站点下载软件,应从大的网站上下载。
3.3 垃圾邮件攻击
垃圾邮件是指向他人电子信箱发送未经许可的,难以拒绝的电子邮件或电子邮件列表,其内容包括广告信息、电子杂志、网站信息等。用户的电子信箱被这些垃圾邮件充斥后,会大大占用 *** 资源,导致 *** 阻塞,严重的还会使用户的邮箱被“炸”掉,使邮箱不能正常工作。
防范垃圾邮件应从以下方面入手:(1)申请一个免费的电子信箱,用于对外联系。这样就算信箱被垃圾邮件轰炸,也可以随时抛弃。(2)申请一个转信信箱,经过转信信箱的过滤,基本上可以清除垃圾邮件。(3)对于垃圾邮件切勿应答。(4)禁用Cookie。Cookie是指写到硬盘中一个名为cookies.txt文件的一个字符串,任何服务器都可以读取该文件内容。黑客也可以通过Cookie来跟踪你的上网信息,获取你的电子信箱地址。为避免出现这种情况,可将IE浏览器中的Cookie设置为“禁止”。
3.4 通过聊天软件攻击
用户在用聊天软件聊天时,黑客用一些小软件就可查出对方聊天者的IP地址,然后通过IP炸弹阮家对用户的机器进行轰炸,使之蓝屏或死机。防范聊天软件供给应从以下方面入手:(1)利用 *** 服务器上网,这样可以隐藏自己的IP地址。(2)安装防火墙软件,利用防火墙阻挡对方的攻击。(3)升级操作系统,如升级到win2000等,其安全性会比win95/98系统有很大的提高。
4 *** 攻击的六大趋势
4.1 自动化程度和攻击速度提高
攻击工具的自动化水平不断提高。自动化攻击涉及四个阶段,每个阶段都出新变化。
扫描可能的受害者。自1997年起,广泛的扫描变得司空见惯。目前,扫描工具利用更先进的扫描模式来改善扫描效果和提尕澳扫描速度。
损害脆弱的系统。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。
传播攻击。在2000年之前,攻击工具需要人来发动新一轮攻击。目前,攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。
攻击工具的协调管理。随着分布式攻击工具的出现,攻击者可以管理和协调公布在许多Internet系统上的大量一部书的攻击工具。目前,分布式攻击工具能够更有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。
4.2 攻击工具越来越复杂
攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。攻击工具有三个特点:反侦破,攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;动态行为,早期的攻击工具是以但已确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为;攻击工具的成熟性,与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的功绩,且在每一次攻击中会出现多种不同形态的攻击工具。
4.3 发现安全漏洞越来越快
新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修复这些漏洞,而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。
4.4 越来越高的防火墙渗透率
防火墙使人们牙防反入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙。例如,(IPP Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。
4.5 越来越不对称的威胁
Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的阿安全状态。由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技术的提高,威胁的不对称性将继续增加。
4.6 对基础设施将形成越来越大的威胁
基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务,基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统DNS的攻击和对路由器攻击或利用路由器的攻击。
5 个人用户防护策略
针对一些常用的攻击 *** 、手段,个人用户有必要采取一些安全的防范措施,下面介绍一些可行的防范实例。
5.1 经常检查系统信息
上网过程中,如果感觉计算机有异常状态,如运行速度变慢,某些软件运行出错,不受控制等情况,应停下来检查一下系统运行状况。一是观看系统资源的使用状态,二是按“Ctrl+Alt+Del”复合键来查看系统正在运行的程序,看是否有其他程序在运行。如有自己部熟悉或自己并没有运行的程序在列表里面,应立即终止其运行,以防后患。
5.2 检测并清除木马程序
如果你的电脑一旦被人为诸如木马程序,就会被人操纵,以致出现死机,数据文件被删除等现象。这时候可以通过查看注册表,看注册表中\HKEY LOCAL MACHINE\HKEY.LOCAL_MACHINE\Softwere\Microsoft\Windows\CurrenVersion\kun下面类似Netspy.exe或空格.exe或其他可疑的文件名,如果有,则尽快闪出相应的键值,在查找到住在机内的相应的程序,并把它删除。
5.3 保护入网账号和口令
在Windows目录下经常有一些以“.pwl”为后追名的文件,这些文件作为密码保存之用,如开启Exchange电子信箱的密码、开机口令等信息就保存在以“.pwl”为后缀名的文件中。有些黑客可以运用一些专用软件来破解Windows95/98种的pwl文件,以很快的速度便可以直接读出pwl中的开机口令、用户名等加密数据信息。对于这种情况,最安全的 *** 是不用Windows95/98自动即以密码功能这一项,这样pwl文件中就没有任何加密信息流下,破解软件也无从下手。另外,对付这种情况也有较为直接的 *** ,就是经常删除这些以”.pwl”为后缀名的文件,以免将密码留在硬盘上。
5.4 保护好自己的IP地址
国内用户很多是通过163 *** 拨号的方式上网的,某些恶意破坏者往往通过跟踪上网账号并从用户信息中找IP,或者等待BBS、聊天室纪录的IP或者通过ICQ获取IP。为防止用户非法获取个人用户的IP地址信息,更好采用如下两种安全措施:一是使用 *** 服务器进行中转,这样用户上网是不需要真实的IP地址,别人也就无法获取自己的IP地址信息。二是注意避免在某些会显示IP的BBS和聊天室上暴露自己的IP地址。
5.5 屏蔽ActiveX控件
由于ActiveX控件可以被嵌入到HTML页面中,并下再到浏览器端加以执行,因此会给浏览器造成一定程度上的安全威胁。所以,用户如果要保证自己在因特网上的信息绝对安全,可以屏蔽掉这些可能对计算机安全构成威胁的ActiveX控件,具体操作步骤为:首先用鼠标单击菜单栏中的“工具”菜单项,并从下拉菜单中选择“Internet选项”:接着在选项设置框中选中“安全”标签,并单击标签中的“自定义级别”按钮:同时在打开的“安全设置”对话框中找到关于ActiveX控件的设置,然后选择“禁用”或“提示”。
5.6 使用“拨号后出现终端窗口”要小心
选中某一连接,单击鼠标右键,选“属性-常规-配置-选项-拨号后出现终端窗口”,然后拨号时,在拨号界面上不要填入用户名和密码(更不能选中“保存密码”项),在出现拨号终端口后再进行相应的输入,这可以避免用户名和密码被记录到硬盘上的密码文件中,同时,也可以避免某些黑客程序捕获用户名和密码。
5.7 拒绝“饼干”信息
许多网站会用不易觉察的技术,暗中搜集你填写的表格中的电子邮件地址信息,最常见的就是利用饼干程序(cookie)记录访客上网的浏览行为和习惯。如果你不想随便让饼干程序(cookie)来记录你个人的隐私信息,可以在浏览器中作一些必要的设置,要求浏览器在接受cookie之前提醒你,或者干脆拒绝它们。屏蔽cookie的操作步骤为:首先用鼠标单击菜单栏中的“工具”菜单项,并从下拉菜单中选择“Internet选项”:接着在选项设置框中选中“安全”标签,并单击标签中的“自定义级别”按钮:同时在打开的“安全设置”对话框中找到关于cookie的设置,然后选择“禁用:或“提示”即可。
5.8 不使用“MYDocuments”文件夹存放Word、Excel文件
Word、Excel默认的文件存放路径是根目录下的“MYDocuments”文件夹,在特洛伊木马把用户硬盘变成共享硬盘后,入侵者从这个目录中的文件名一眼就能看出这个用户是干什么的,这个目录几乎就是用户的特征标示,所以为安全起见应把工作路径改成别的目录,并且参差越深越好。
5.9 加密保护电子邮件
由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息,而且随着互联网的发展,这类应用会更加频繁。因此保证邮件的真实性和不被其他人截取和偷阅也变得越来越重要。所以,对于包含敏感信息的邮件,更好利用数字标示对你原写的邮件进行数字签名后再发送。所谓数字标示是指由独立的授权机构发放的证明你在Internet上的身份的证件,是你在因特网上的身份证。这些发证的商业机构将发放给你这个身份证并不断地效验其有效性。你首先向这些公司申请标示,然后就可以利用这个数字标示对自己的邮件进行数字签名,如果你获得了别人的数字标示,那么,你还可以跟他发送加密邮件。你通过对发送的邮件进行数字签名可以把你的数字标示发送给他人,这是他们收到的实际上是公用密钥,以后他们就可以通过这个公用密钥对发给你的邮件进行加密,你在使用私人密钥对加密邮件进行解密和阅读。在Outlook Eepress中可以通过数字签名来证明你的邮件身份,即让对方确信该有见是由你的机器发送的,它同时提供邮件加密功能使得你的邮件只有预定的接收者才能接收并阅读。但前提是你必须先获得对方的数字标示。数字标示的数字签名部分是你原电子身份卡,数字签名可使收件人确信又见是你发的,并且未被伪造或篡改过。
0条大神的评论