常见的网络攻击类型有哪些
一:学网络安全需要的知识:
网络攻击的类型
攻击主要分为四种类型。
侦察
侦察是指未经授权的搜索和映射系统、服务或漏洞。此类攻击也称为信息收集,大多数情况下它充当其它类型攻击的先导。侦察类似于冒充邻居的小偷伺机寻找容易下手的住宅,例如无人居住的住宅、容易打开的门或窗户等。
访问
系统访问是指入侵者获取本来不具备访问权限(帐户或密码)的设备的访问权。入侵者进入或访问系统后往往会运行某种黑客程序、脚本或工具,以利用目标系统或应用程序的已知漏洞展开攻击。
拒绝服务
拒绝服务 (DoS) 是指攻击者通过禁用或破坏网络、系统或服务来拒绝为特定用户提供服务的一种攻击方式。DoS 攻击包括使系统崩溃或将系统性能降低至无法使用的状态。但是,DoS 也可以只是简单地删除或破坏信息。大多数情况下,执行此类攻击只需简单地运行黑客程序或脚本。因此,DoS 攻击成为最令人惧怕的攻击方式。
蠕虫、病毒和特洛伊木马
有时主机上会被装上恶意软件,这些软件会破坏系统、自我复制或拒绝对网络、系统或服务的访问。此类软件通常称为蠕虫、病毒或特洛伊木马。
网络攻击类型
1、服务拒绝攻击
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括:
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping of death攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括service pack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
防御:在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括 10域、127域、192.168域、172.16到172.31域)
Smurf攻击
概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比ping of death洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
Fraggle攻击
概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP
防御:在防火墙上过滤掉UDP应答消息
电子邮件炸弹
概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
畸形消息攻击
概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。
防御:打最新的服务补丁。
2、利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种:
口令猜测
概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器的控制。
防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
特洛伊木马
概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。
3、信息收集型攻击
信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务
扫描技术
地址扫描
概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
防御:在防火墙上过滤掉ICMP应答消息。
端口扫描
概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。
反响映射
概览:黑客向主机发送虚假消息,然后根据返回“host unreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。
防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“host unreachable”ICMP应答。
慢速扫描
概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御:通过引诱服务来对慢速扫描进行侦测。
体系结构探测
概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。
防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
DNS域转换
概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
防御:在防火墙处过滤掉域转换请求。
Finger服务
概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
LDAP服务
概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。
4、假消息攻击
用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染
概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
伪造电子邮件
概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
防御:使用PGP等安全工具并安装电子邮件证书。
哪些软件属于非法软件
非法程序是指在没有经过用户许可下在其区域内放置或执行的任何程序或文件。和病毒的区别为:病毒指没有经过用户允许泄露或破坏用户信息,而非法程序可以不满足破坏这项要求。
非法软件是什么
非公权力机构的个人或商业组织,为实现其合法权利或非法目的,而使用非法目的软件不断骚扰对方、监听对方谈话、窃取对方秘密、攻击对方经营网站等
什么叫非法软件
解释一t:第一y方0就是你自已e,第二z方3就是你要解决的问题即你的对象,用另外的软件去处理你的对象就是用第三a方6面的软件。 这个z解释不a知所云j,与d我临时拼凑的那句话有异曲同工y之z妙,到头来还是弄不x清楚谁是第三d方5。 解释二m:既非系统本身自带的软件(含操作系统本身和自带的应用程序),亦非你自己t制作的软件就称为6“第三l方7软件”。 “第三i方0软件”是一j个w相对概念,你做的软件对别人e而言也a成了c“第三w方8软件”。 这个x解释我认5为2是误导。因为8它将第三l方3扩大z化6了g,凡x不d是操作系统自带的软件,统统划归入q第三c方8,照此解释,Microsoft Office就应该划入o第三u方8的范畴。 解释三f:不h是系统自带的,不n是自己m编的,是别的厂r商或个z人g的,就是第三q方4软件。 这个x解释是解释二w的简化6版。 解释四:所谓第三v方3软件指的是该非线性编辑系统生产商以0外的软件公8司提供的软件。 这个c解释好象说到了y点子k上a,但由于u只是针对视频编辑方6面做出的解释,所以0还是有局限性,不r具普遍性。 解释五i:某些软件安装时所带来的额外安装软件,有时也e称为3第三r方0软件。 这个d解释更没有道理。这明显是捆绑软件,而捆绑软件常常与t流氓软件挂上v了z钩,是为1广u大r用户3所反8感的。所以2我认6为6还是与q第三t方4软件脱离关系为6好。 我认8为2第三m方3软件应该是这样的软件:一f是指由第三v方4编制的某个k软件的插件。现在许多软件都提供插件功能,软件的编制方5被称为4官方0,如果是由非官方7编制的插件,可称为8第三p方1软件。二a是指某项应用,如PDF电子i书6格式,是由Adobe开c发的,Adobe公7司就称为5官方3,而由非Adobe公5司开o发的针对PDF电子m书3格式的所有应用软件,都可称为5第三x方5软件。三f是针对某种设备开n发的软件,如手8机,摄像机等设备,生产商一o般也t都开j发有软件,但也v有众多的编程爱好者或者组织专q门o针对某类设备开z发出来的应用软件,就称为3第三u方6软件。还有嘛?好象还有,但一n时也e想不g起来了y,暂且列举这些,以7此类推吧。 有第三q方1,似乎应该有第一g、第二z方8。而实际上i并没有这样的称呼,第一u方1有个d替代名词,就是官方5。第二q方5指软件使用者本人f好象也o解释的过去,但实际上l确确实实没有这样的称呼,好象是因为3有了v个r第三l方3,才x有人k硬是套个x第二y方1罢了f。 好了s,既然还没有对“第三b方1软件”下b过一d个g明确的定义b,那我就不q自量力f冒昧地对这个r词试着定义l一x下n。 第三d方0软件是针对某种软件或应用在功能上u的不r足,而由非软件编制方6的其他组织或个p人h开s发的相关软件。 呵呵,好象还行。如果看官对这个t定义l不q满意,可补充完善;如果根本就是看法不j同,也t欢迎尽情拍砖。反8正我非权威人z士q,说了t也u不v算数 e〖健稹y
什么叫做非法软件
软件,非法软件就是第三方软件或者说是恶意程序: 解释一:第一方就是你自已,第二方就是你要解决的问题即你的对象,用另外的软件去处理你的对象就是用第三方面的软件。 这个解释不知所云,与我临时拼凑的那句话有异曲同工之妙,到头来还是弄不清楚谁是第三方。 解释二:既非系统本身自带的软件(含操作系统本身和自带的应用程序),亦非你自己制作的软件就称为“第三方软件”。 “第三方软件”是一个相对概念,你做的软件对别人而言也成了“第三方软件”。 这个解释我认为是误导。因为它将第三方扩大化了,凡不是操作系统自带的软件,统统划归入第三方,照此解释,Microsoft Office就应该划入第三方的范畴。 解释三:不是系统自带的,不是自己编的,是别的厂商或个人的,就是第三方软件。 这个解释是解释二的简化版。 解释四:所谓第三方软件指的是该非线性编辑系统生产商以外的软件公司提供的软件。 这个解释好象说到了点子上,但由于只是针对视频编辑方面做出的解释,所以还是有局限性,不具普遍性。 解释五:某些软件安装时所带来的额外安装软件,有时也称为第三方软件。 这个解释更没有道理。这明显是捆绑软件,而捆绑软件常常与流氓软件挂上了钩,是为广大用户所反感的。所以我认为还是与第三方软件脱离关系为好。 我认为第三方软件应该是这样的软件:一是指由第三方编制的某个软件的插件。现在许多软件都提供插件功能,软件的编制方被称为官方,如果是由非官方编制的插件,可称为第三方软件。二是指某项应用,如PDF电子书格式,是由Adobe开发的,Adobe公司就称为官方,而由非Adobe公司开发的针对PDF电子书格式的所有应用软件,都可称为第三方软件。三是针对某种设备开发的软件,如手机,摄像机等设备,生产商一般也都开发有软件,但也有众多的编程爱好者或者组织专门针对某类设备开发出来的应用软件,就称为第三方软件。还有嘛?好象还有,但一时也想不起来了,暂且列举这些,以此类推吧。 有第三方,似乎应该有第一、第二方。而实际上并没有这样的称呼,第一方有个替代名词,就是官方。第二方指软件使用者本人好象也解释的过去,但实际上确确实实没有这样的称呼,好象是因为有了个第三方,才有人硬是套个第二方罢了。 好了,既然还没有对“第三方软件”下过一个明确的定义,那我就不自量力冒昧地对这个词试着定义一下。 第三方软件是针对某种软件或应用在功能上的不足,而由非软件编制方的其他组织或个人开发的相关软件。