攻擊行為特征及反攻擊技術(shù)!
要想更好的保護(hù)網(wǎng)絡(luò)不受 的攻擊,就必須對 的攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解,只有這樣才能更有效、更具有針對性的進(jìn)行主動(dòng)防護(hù),
攻擊行為特征及反攻擊技術(shù)
。下面通過對 攻擊方法的特征分析,來研究如何對 攻擊行為進(jìn)行檢測與防御。一、反攻擊技術(shù)的核心問題
反攻擊技術(shù)(入侵檢測技術(shù))的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息,一種是通過網(wǎng)絡(luò)偵聽的途徑 (如Sniffer,Vpacket等程序)來獲取所有的網(wǎng)絡(luò)信息(數(shù)據(jù)包信息,網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)管理信息等),這既是 進(jìn)行攻擊的必然途徑,也是進(jìn)行反攻擊的必要途徑;另一種是通過對操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析,來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。
二、 攻擊的主要方式
對網(wǎng)絡(luò)的攻擊方式是多種多樣的,一般來講,攻擊總是利用系統(tǒng)配置的缺陷,操作系統(tǒng)的安全漏洞或通信協(xié)議的安全漏洞來進(jìn)行的。到目前為止,已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種,其中對絕大部分 攻擊手段已經(jīng)有相應(yīng)的解決方法,這些攻擊大概可以劃分為以下六類:
1.拒絕服務(wù)攻擊:一般情況下,拒絕服務(wù)攻擊是通過使被攻擊對象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載,從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。
2.非授權(quán)訪問嘗試:是攻擊者對被保護(hù)文件進(jìn)行讀、寫或執(zhí)行的嘗試,也包括為獲得被保護(hù)訪問權(quán)限所做的嘗試。
3.預(yù)探測攻擊:在連續(xù)的非授權(quán)訪問嘗試過程中,攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周圍的信息,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、端口掃描和IP半途掃描等。
4.可疑活動(dòng):是通常定義的標(biāo)準(zhǔn)網(wǎng)絡(luò)通信范疇之外的活動(dòng),也可以指網(wǎng)絡(luò)上不希望有的活動(dòng),如IP Unknown Protocol和Duplicate IP Address事件等,
電腦資料
《攻擊行為特征及反攻擊技術(shù)》(http://m.msguai.com)。5.協(xié)議解碼:協(xié)議解碼可用于以上任何一種非期望的方法中,網(wǎng)絡(luò)或安全管理員需要進(jìn)行解碼工作,并獲得相應(yīng)的結(jié)果,解碼后的協(xié)議信息可能表明期望的活動(dòng),如FTU User和Portmapper Proxy等解碼方式。
6.系統(tǒng)代理攻擊:這種攻擊通常是針對單個(gè)主機(jī)發(fā)起的,而并非整個(gè)網(wǎng)絡(luò),通過RealSecure系統(tǒng)代理可以對它們進(jìn)行監(jiān)視。
三、 攻擊行為的特征分析與反攻擊技術(shù)
入侵檢測的最基本手段是采用模式匹配的方法來發(fā)現(xiàn)入侵攻擊行為,要有效的進(jìn)反攻擊首先必須了解入侵的原理和工作機(jī)理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對幾種典型的入侵攻擊進(jìn)行分析,并提出相應(yīng)的對策。
1.Land攻擊
攻擊類型:Land攻擊是一種拒絕服務(wù)攻擊。
攻擊特征:用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的,因?yàn)楫?dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí),不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,或者循環(huán)發(fā)送和接收該數(shù)據(jù)包,消耗大量的系統(tǒng)資源,從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。
檢測方法:判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。
反攻擊方法:適當(dāng)配置防火墻設(shè)備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為(一般是丟棄該數(shù)據(jù)包),并對這種攻擊進(jìn)行審計(jì)(記錄事件發(fā)生的時(shí)間,源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址)。
2.TCP SYN攻擊
攻擊類型:TCP SYN攻擊是一種拒絕服務(wù)攻擊。
攻擊特征:它是利用TCP客戶機(jī)與服務(wù)器之間三次握手過程的缺陷來進(jìn)行的。攻擊者通過偽造源IP地址向被攻擊者發(fā)送大量的SYN數(shù)據(jù)包,當(dāng)被攻擊主機(jī)接收到大量的SYN數(shù)據(jù)包時(shí),需要使用大量的緩存來處理這些連接,并將SYN ACK數(shù)據(jù)包發(fā)送回錯(cuò)誤的IP地址,并一直等待ACK數(shù)據(jù)包的回應(yīng),最終導(dǎo)致緩存用完,不能再處理其它合法的SYN連接,即不能對外提供正常服務(wù)。
檢測方法:檢查單位時(shí)間內(nèi)收到的SYN連接否收超過系統(tǒng)設(shè)定的值。
反攻擊方法:當(dāng)接收到大量的SYN數(shù)據(jù)包時(shí),通知防火墻阻斷連接請求或丟棄這些數(shù)據(jù)包,并進(jìn)行系統(tǒng)審計(jì)。
3.Ping Of Death攻擊
攻擊類型:Ping Of Death攻擊是一種拒絕服務(wù)攻擊。