本文目录一览:
网络入侵的简答题
问题1
1.黑盾网络入侵检测系统(HDIDS)概述
黑盾入侵检测系统(HDIDS)是福建省海峡信息技术有限公司自行研制开发的网络入侵检测系统。黑盾入侵检测系统(HDIDS)可以24小时不间断地对受保护网段上的数据包进行侦听和分析,判断是否发生入侵行为;在入侵行为发生时,实时做出响应,记录所发生的攻击事件,还可以进一步根据攻击事件响应的预先设置,对攻击行为进行阻断。
2.黑盾网络入侵检测系统(HDIDS)技术特点
拥有丰富、准确的入侵侦测特征库,能够识别黑客攻击手法1400种以上(各种buffer overflow,port scan,Cgi attach,SMB probe等);
实时识别黑客攻击的网络数据包,实时侦测对网络的非法侵袭,追踪入侵者的攻击位置,可准确显示其数据目标和来源,及时向管理员报警;
对于已经识别的黑客攻击可以实时响应(阻断、告警、系统日志、自定义告警文件、通知系统监控台),可以实现自动阻断;
自动记录攻击事件,详细地记录日志,超大容量的日志数据库,准确、安全的记载非法行为。
系统的接入非常简单方便,不需改变现有网络拓扑结构,只需根据网络的物理结构将它连接到交换机的广播口或共享式Hub上即可,网络通信毫无影响。
采用透明工作方式,监视内部网段数据流,不增加网络通讯、不影响网络传输效率。
系统可安装支持多CPU,对于大型高速网络,可以选择使用多处理器、高性能的服务器。
支持多平台操作,目前版本的控制台和网络引擎不仅可以运行于Window 2000操作系统上,而且可以运行于Linux系统。
Linux系统版本支持分布式结构,可安装于大型网络的各个物理子网中,监控大型网络。
中文图形化管理,提供了一系列的中文图形化管理,操作简单,易于掌握。
3.黑盾网络入侵检测系统(HDIDS)可识别的黑客攻击手法
可能存在的后门漏洞
企图进行后门连接的攻击
分布式拒绝攻击
Finger系列信息收集
其它漏洞数据包
NETBIOS漏洞攻击
堆栈溢出攻击
PING数据包攻击
FTP漏洞攻击
TELNET漏洞攻击
RPC漏洞攻击
攻击扫描
SMTP网管蠕虫
病毒侵袭
ICMP攻击
Web CGI漏洞攻击
Web ColdFusion漏洞攻击
Web Frontpage漏洞攻击
Web IIS漏洞攻击
Web其它漏洞攻击
问题2
二、黑客攻击的目的和步骤
1. 黑窖攻击的目的和3个阶段
一般情况下,黑客的攻击总有明确的目的性。由于黑客们成长的经历和生活环境不同,其攻击目标也会多种多样,但大致上可以归纳总结如下。
(1)窃取信息
(2)控制中间站点
(3)获得超级用户权限
2.黑客攻击可以分为3个阶段
(1)确定目标
黑客进行政击,首先要确定攻击目标。比如,某个具有特殊意义的站点、某个恶意的ISP、具有敌对观点的宣传站点或解雇了黑客的单位的主页等。
(2)搜集与攻击目标相关的信息,并找出系统的安全漏洞
(3)实施攻击
黑客在搜集到相关信息之后,就可能对目标系统实施攻击。
网络攻击一般分为哪几个步骤?
攻击的基本步骤:搜集信息 实施入侵 上传程序、下载数据 利用一些方法来保持访问,如后门、特洛伊木马 隐藏踪迹 【 信息搜集 】在攻击者对特定的网络资源进行攻击以前,他们需要了解将要攻击的环境,这需要搜集汇总各种与目标系统相关的信息,包括机器数目、类型、操作系统等等。踩点和扫描的目的都是进行信息的搜集。
攻击者搜集目标信息一般采用7个基本步骤,每一步均有可利用的工具,攻击者使用它们得到攻击目标所需要的信息。找到初始信息 找到网络的地址范围 找到活动的机器 找到开放端口和入口点 弄清操作系统 弄清每个端口运行的是哪种服务 画出网络图
1 找到初始信息
攻击者危害一台机器需要有初始信息,比如一个IP地址或一个域名。实际上获取域名是很容易的一件事,然后攻击者会根据已知的域名搜集关于这个站点的信息。比如服务器的IP地址(不幸的是服务器通常使用静态的IP地址)或者这个站点的工作人员,这些都能够帮助发起一次成功的攻击。
搜集初始信息的一些方法包括:
开放来源信息 (open source information)
在一些情况下,公司会在不知不觉中泄露了大量信息。公司认为是一般公开的以及能争取客户的信息,都能为攻击者利用。这种信息一般被称为开放来源信息。
开放的来源是关于公司或者它的合作伙伴的一般、公开的信息,任何人能够得到。这意味着存取或者分析这种信息比较容易,并且没有犯罪的因素,是很合法的。这里列出几种获取信息的例子: 公司新闻信息:如某公司为展示其技术的先进性和能为客户提供最好的监控能力、容错能力、服务速度,往往会不经意间泄露了系统的操作平台、交换机型号、及基本的线路连接。 公司员工信息:大多数公司网站上附有姓名地址簿,在上面不仅能发现CEO和财务总监,也可能知道公司的VP和主管是谁。 新闻组:现在越来越多的技术人员使用新闻组、论坛来帮助解决公司的问题,攻击者看这些要求并把他们与电子信箱中的公司名匹配,这样就能提供一些有用的信息。使攻击者知道公司有什么设备,也帮助他们揣测出技术支持人员的水平 Whois
对于攻击者而言,任何有域名的公司必定泄露某些信息!
攻击者会对一个域名执行whois程序以找到附加的信息。Unix的大多数版本装有whois,所以攻击者只需在终端窗口或者命令提示行前敲入" whois 要攻击的域名"就可以了。对于windows操作系统,要执行whois查找,需要一个第三方的工具,如sam spade。
通过查看whois的输出,攻击者会得到一些非常有用的信息:得到一个物理地址、一些人名和电话号码(可利用来发起一次社交工程攻击)。非常重要的是通过whois可获得攻击域的主要的(及次要的)服务器IP地址。
Nslookup
找到附加IP地址的一个方法是对一个特定域询问DNS。这些域名服务器包括了特定域的所有信息和链接到网络上所需的全部数据。任何网络都需要的一条信息,如果是打算发送或者接受信件,是mx记录。这条记录包含邮件服务器的IP地址。大多数公司也把网络服务器和其他IP放到域名服务器记录中。大多数UNIX和NT系统中,nslookup代理或者攻击者能够使用一个第三方工具,比如spade。
另一个得到地址的简单方法是ping域名。Ping一个域名时,程序做的第一件事情是设法把主机名解析为IP地址并输出到屏幕。攻击者得到网络的地址,能够把此网络当作初始点。2 找到网络的地址范围
当攻击者有一些机器的IP地址,他下一步需要找出网络的地址范围或者子网掩码。
需要知道地址范围的主要原因是:保证攻击者能集中精力对付一个网络而没有闯入其它网络。这样做有两个原因:第一,假设有地址10.10.10.5,要扫描整个A类地址需要一段时间。如果正在跟踪的目标只是地址的一个小子集,那么就无需浪费时间;第二,一些公司有比其他公司更好的安全性。因此跟踪较大的地址空间增加了危险。如攻击者可能能够闯入有良好安全性的公司,而它会报告这次攻击并发出报警。
攻击者能用两种方法找到这一信息,容易的方法是使用America Registry for Internet Numbers(ARIN)whois 搜索找到信息;困难的方法是使用tranceroute解析结果。
(1) ARIN允许任何人搜索whois数据库找到"网络上的定位信息、自治系统号码(ASN)、有关的网络句柄和其他有关的接触点(POC)。"基本上,常规的whois会提供关于域名的信息。ARINwhois允许询问IP地址,帮助找到关于子网地址和网络如何被分割的策略信息。
(2) Traceroute可以知道一个数据包通过网络的路径。因此利用这一信息,能决定主机是否在相同的网络上。
连接到internet上的公司有一个外部服务器把网络连到ISP或者Internet上,所有去公司的流量必须通过外部路由器,否则没有办法进入网络,并且大多数公司有防火墙,所以traceroute输出的最后一跳会是目的机器,倒数第二跳会是防火墙,倒数第三跳会是外部路由器。通过相同外部路由器的所有机器属于同一网络,通常也属于同一公司。因此攻击者查看通过tranceroute到达的各种ip地址,看这些机器是否通过相同的外部路由器,就知道它们是否属于同一网络。
这里讨论了攻击者进入和决定公司地址范围的两种方法。既然有了地址范围,攻击者能继续搜集信息,下一步是找到网络上活动的机器。
3 找到活动的机器
在知道了IP地址范围后,攻击者想知道哪些机器是活动的,哪些不是。公司里一天中不同的时间有不同的机器在活动。一般攻击者在白天寻找活动的机器,然后在深夜再次查找,他就能区分工作站和服务器。服务器会一直被使用,而工作站只在正常工作日是活动的。
Ping :使用ping可以找到网络上哪些机器是活动的。
Pingwar:ping有一个缺点,一次只能ping一台机器。攻击者希望同时ping多台机器,看哪些有反应,这种技术一般被称为ping sweeping。Ping war 就是一个这样的有用程序。
Nmap:Nmap也能用来确定哪些机器是活动的。Nmap是一个有多用途的工具,它主要是一个端口扫描仪,但也能ping sweep一个地址范围。4 找到开放端口和入口点
(1)Port Scanners:
为了确定系统中哪一个端口是开放的,攻击者会使用被称为port scanner(端口扫描仪)的程序。端口扫描仪在一系列端口上运行以找出哪些是开放的。
选择端口扫描仪的两个关键特征:第一,它能一次扫描一个地址范围;第二,能设定程序扫描的端口范围。(能扫描1到65535的整个范围。)
目前流行的扫描类型是:TCP conntect扫描 TCP SYN扫描 FIN扫描 ACK扫描常用端口扫描程序有:ScanPort:使用在Windows环境下,是非常基础的端口扫描仪,能详细列出地址范围和扫描的端口地址范围。 Nmap:在UNIX环境下推荐的端口扫描仪是Nmap。Nmap不止是端口扫描仪,也是安全工具箱中必不可少的工具。Namp能够运行前面谈到的不同类型的 。 运行了端口扫描仪后,攻击者对进入计算机系统的入口点有了真正的方法。
(2) War Dialing
进入网络的另一个普通入口点是modem(调制解调器)。用来找到网络上的modem的程序被称为war dialers。基本上当提交了要扫描的开始电话号码或者号码范围,它就会拨叫每一个号码寻找modem回答,如果有modem回答了,它就会记录下这一信息。
THC-SCAN是常用的war dialer程序。
5 弄清操作系统
攻击者知道哪些机器是活动的和哪些端口是开放的,下一步是要识别每台主机运行哪种操作系统。
有一些探测远程主机并确定在运行哪种操作系统的程序。这些程序通过向远程主机发送不平常的或者没有意义的数据包来完成。因为这些数据包RFC(internet标准)没有列出,一个操作系统对它们的处理方法不同,攻击者通过解析输出,能够弄清自己正在访问的是什么类型的设备和在运行哪种操作系统。Queso:是最早实现这个功能的程序。Queso目前能够鉴别出范围从microsoft到unix 和cisco路由器的大约100种不同的设备。 Nmap:具有和Queso相同的功能,可以说它是一个全能的工具。目前它能检测出接近400种不同的设备。 6 弄清每个端口运行的是哪种服务
(1) default port and OS
基于公有的配置和软件,攻击者能够比较准确地判断出每个端口在运行什么服务。例如如果知道操作系统是unix和端口25是开放的,他能判断出机器正在运行sendmail,如果操作系统是Microsoft NT和端口是25是开放的,他能判断出正在运行Exchange。
(2) Telnet
telnet是安装在大多数操作系统中的一个程序,它能连接到目的机器的特定端口上。攻击者使用这类程序连接到开放的端口上,敲击几次回车键,大多数操作系统的默认安装显示了关于给定的端口在运行何种服务的标题信息。
(3) Vulnerability Scanners
Vulnerability Scanners(弱点扫描器)是能被运行来对付一个站点的程序,它向黑客提供一张目标主机弱点的清单。7 画出网络图
进展到这个阶段,攻击者得到了各种信息,现在可以画出网络图使他能找出最好的入侵方法。攻击者可以使用traceroute或者ping来找到这个信息,也可以使用诸如cheops那样的程序,它可以自动地画出网络图。
Traceroute
Traceroute是用来确定从源到目的地路径的程序,结合这个信息,攻击者可确定网络的布局图和每一个部件的位置。
Visual Ping
Visual Ping是一个真实展示包经过网络的路线的程序。它不仅向攻击者展示了经过的系统,也展示了系统的地理位置。
Cheops
Cheops利用了用于绘制网络图并展示网络的图形表示的技术,是使整个过程自动化的程序。如果从网络上运行,能够绘出它访问的网络部分。经过一系列的前期准备,攻击者搜集了很多信息,有了一张网络的详尽图,确切地知道每一台机器正在使用的软件和版本,并掌握了系统中的一些弱点和漏洞。我们可以想象一下,他成功地攻击网络会很困难吗?回答是否定的!当拥有了那些信息后,网络实际上相当于受到了攻击。因此,保证安全让攻击者只得到有限的网络信息是关键!/B
作业活动 2022-688324 1.简答一下黑客攻击分类有那些。
分两个阶段:非破坏性攻击和破坏性攻击。
非破坏性攻击和破坏性攻击。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹,破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。
为什么黑客单机DDOS一个网友的电脑,那个网友说很卡是怎么回事?
如果我们无法防止这种攻击,那么怎么做才能最大限度地保护企业网络呢?
首先你应该清楚的了解DDoS攻击的三个阶段,然后再学习如何将这种攻击的危害降到最低。
理解DDoS攻击
一个DDoS攻击一般分为三个阶段。第一阶段是目标确认:黑客会在互联网上锁定一个企业网络的IP地址。这个被锁定的IP地址可能代表了企业的 Web服务器,DNS服务器,互联网网关等。而选择这些目标进行攻击的目的同样多种多样,比如为了赚钱(有人会付费给黑客攻击某些站点),或者只是以破坏 为乐。
第二个阶段是准备阶段:在这个阶段,黑客会入侵互联网上大量的没有良好防护系统的计算机(基本上就是网络上的家庭计算机,DSL宽带或有线电缆上网方式为主)。黑客会在这些计算机中植入日后攻击目标所需的工具。
第三个阶段是实际攻击阶段:黑客会将攻击命令发送到所有被入侵的计算机(也就是僵尸计算机)上,并命令这些计算机利用预先植入的攻击工具不断向攻击目标发送数据包,使得目标无法处理大量的数据或者频宽被占满。
聪明的黑客还会让这些僵尸计算机伪造发送攻击数据包的IP地址,并且将攻击目标的IP地址插在数据包的原始地址处,这就是所谓的反射攻击。服务器或路由器看到这些资料包后会转发(即反射)给原始IP地址一个接收响应,更加重了目标主机所承受的数据流。
因此,我们无法阻止这种DDoS攻击,但是知道了这种攻击的原理,我们就可以尽量减小这种攻击所带来的影响。
减少攻击影响
入侵过滤(Ingress filtering)是一种简单而且所有网络(ISP)都应该实施的安全策略。在你的网络边缘(比如每一个与外网直接相连的路由器),应该建立一个路由声 明,将所有数据来来源IP标记为本网地址的数据包丢弃。虽然这种方式并不能防止DDoS攻击,但是却可以预防DDoS反射攻击。
减轻DDoS攻击危害
但是很多大型ISP好像都因为各种原因拒绝实现入侵过滤,因此我们需要其它方式来降低DDoS带来的影响。目前最有效的一个方法就是反追踪(backscatter traceback method)。
要采用这种方式,首先应该确定目前所遭受的是外部DDoS攻击,而不是来自内网或者路由问题。接下来就要尽快在全部边缘路由器的外部接口上进行配置,拒绝所有流向DDoS攻击目标的数据流。
另外,还要在这些边缘路由器端口上进行配置,将全部无效或无法定位的数据来源IP的数据包丢弃。比如以下地址:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
将路由器设置为拒绝这些资料包后,路由器会在每次拒绝数据包时发送一个因特网控制讯息协议(ICMP)包,并将"destination unreachable"信息和被拒绝的数据包打包发送给来源IP地址。
接下来,打开路由器日志,查看那个路由器收到的攻击资料包最多。然后根据所记录的数据包来源IP确定哪个网段的资料量最大。在这个路由器上调整路由器针对这个网段为“黑洞”状态,并藉由修改子网掩码的方法将这个网段隔离开。
然后再寻找这个网段的所有者的信息,联系你的ISP以及数据发送网段的ISP,将攻击情况汇报给他们,并请求协助。不论他们是否愿意帮忙,无非是一个电话的问题。
接下来为了让服务和合法流量通过,你可以将其它一些攻击情况较轻的路由器恢复正常,只保留承受攻击最重的那个路由器,并拒绝攻击来源最大的网段。如果你的ISP和对方ISP很负责的协助阻挡攻击数据包,你的网络将很快恢复正常。
结语
DDoS攻击很狡猾,也很难预防,但是你可以借由以上方式及时减轻这种攻击对网络的影响。面对攻击,你只需要快速地响应和正确的方法,就可以及时发现攻击数据流并将其挡掉。
DDOS暂时没办法防止,但是你可以把你的损失减少到最少,我们做的不只是单纯的防御,DDOS有有很多中,曾经baidu的遭到大面积的分射式拒绝服务攻击造成了很大的损失?
我们的路还有很长,路途会比你想象的还要艰巨。