请列举你所知道的一些网络攻击和窃密的手段,以及针对性的安全措施
Internet
的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点
:
(1)
每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(2)
安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,
NT
在进行合理的设置后可以达到
C2
级的安全性,但很少有人能够对
NT
本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(3)
系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉
;
比如说,众所周知的
ASP
源码问题,这个问题在
IIS
服务器
4.0
以前一直存在,它是
IIS
服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出
ASP
程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的
WEB
访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(4)
只要有程序,就存在
BUG
。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的
BUG
被发现和公布出来,程序设计者在修改已知的
BUG
的同时又可能使它产生了新的
BUG
。系统的
BUG
经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的
BUG
,现有的安全工具对于利用这些
BUG
的攻击几乎无法防范。
(5)
黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
对网络入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时
,
攻击者首先需要自己构造用来扫描的
IP
数据包
,
通过发送正常的和不正常的数据包达到计算机端口
,
再等待端口对其响应
,
通过响应的结果作为鉴别。我们要做的是让
IDS
系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
特征匹配。找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如
UDP
端口扫描尝试:
content:“sUDP”
等等。
统计分析。预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
行为监测法。由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。
文件完备性检查。对系统文件和常用库文件做定期的完备性检查。可以采用
checksum
的方式
,
对重要文件做先验快照
,
检测对这些文件的访问
,
对这些文件的完备性作检查
,
结合行为检测的方法
,
防止文件覆盖攻击和欺骗攻击。
系统快照对比检查。对系统中的公共信息,如系统的配置参数,环境变量做先验快照,
检测对这些系统变量的访问,防止篡改导向攻击。
虚拟机技术。通过构造虚拟
x86
计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。
三、后门留置检测的常用技术
对比检测法。检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时
,
为了不被用户轻易发现
,
往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马
“
现形
”
。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
文件防篡改法。文件防篡改法是指用户在打开新文件前
,
首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息
,
可以采用数字签名或者
md5
检验和的方式进行生成。
系统资源监测法。系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源
(
例如网络、
CPU
、内存、磁盘、
USB
存储设备和注册表等资源
)
进行监控将能够发现和拦截可疑的木马行为。
协议分析法。协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
来源:CSDN
作者:baimoyv
链接:https://blog.csdn.net/baimoyv/article/details/104215917