破网三十六计与反破网三十六计 作者:计算防毒知识

   反破网三十六计

 

 攻击者尽管方法众多,但是系统管理员处于主动的位置,以逸待劳。开放互连系统虽然存在许多漏洞,但仍可“水来

土掩,兵来将挡”。
 
魔高一尺,道高一丈
 
    明确安全对象,设置强有力的安全保障体系,便可破解攻网的三十六计。常用的安全技术有:信息加密:主要利用密
码技术对信息进行加密处理,防止信息泄露。典型的加密算法有数据加密标准DES和公开密钥密码体制PKC。
 
    信息确认和数字签名:信息确认技术用于防止非法伪造、假冒和篡改信息。接收者能够核实发送者,以防假冒;发信
者无法抵赖自己所发的信息;除合法发信者外,其他人无法伪造信息;发生争执时可由第三方做出仲裁。
 
“全民皆兵,重重设防”
 
    有的放矢,在网络中每层都设防。发挥网络的每层作用,每一层为一道关卡。从而攻击者无计可使,只好撤退。防火
墙技术不失为一中好防范方法。
 
未雨稠缪,预防为主
 
    将重要的数据备份和时刻注意系统运行状况。具体方法有:
 
(1)制定安全规划和策略文件
    明确网络用户、系统管理员的安全责任,正确利用网络资源,准备检测到安全问题时的对策。
 
(2)安全教育
    安全的问题归根结底的是人的问题。安全的最终解决在于提高人的道德素质。如防火墙是一种好的防范措施,但只是
一种整体安全防范政策的一部分。这种安全政策必须包括公开的以便用户知道自身责任的安全准则、职员培训计划以及与
网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。网络易受攻击的各个点必须
以相同程度的安全防护措施加以保护。在无全面的安全政策的情况下设置Internet防火墙,就形同在一顶帐篷上装置一个
防盗门。
 
(3)安全监控
    高效的网络安全性关键因素之一,就是安全监控。监控网络安全性的方法就是检查网络种的各个系统的文件和登录,
要想检查系统中的不正常活动,就必须知道什么是正常的活动?哪些进程是正常的运行?谁是正常登录?为了对系统各种正
常活动行为有种感觉,就知道这一切。“知己知彼,百战不殆。”某些常用的UNIX命令,如ps、who、netstat、df、diff、
find、last等帮系统员了解的系统的正常状况。
 
(4)技术交流
    “三个臭皮匠,胜过诸葛亮”,主动地获取网络安全知识,掌握着Internet的普遍应用,网络的安全问题会更加突出,
黑客们的手段也会越来越多,越来越高强,这将促使对计算机网络安全的深入研究。网络安全任重道远,不能因噎废食,
唯有主动探索,努力寻求解决安全的办。
 
 
   “六六三十六,数中有术,术中有数。阴阳之理,机在其中,机不可设,设则不中。”
    黑客攻击之所以能够得逞,在于其对系统的了解。
 
    备周则意怠;常见则不疑。阴在阳之内,不在阳之对。太阳,太阴。
 
满天过海—驱动攻击
 
   当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行发起攻击时,就会发生数据驱动攻击。例如,一
种数据驱动的攻击可以造成一台主机修改与安全有关的文件,从而使入侵者下一次更容易入侵该系统。
 
    敌之害大,就势取利。刚决柔也。
 
趁火打劫
 
    UNIX系统可执行文件的目录如/bin/who可由所有的用户进行读访问,这违背了“最少特权”的原则。 有些用户可以
从可执行文件中得到其版本号,从而知道了它会具有什么样的漏洞。如通过Telnet就可以知道SENDMAIL版本号。 禁止对
可执行文件的访问虽不能防止黑客对它们的攻击,但至少可以使这种攻击变的更困难。还有一些弱点是由配置文件、 访
问控制文件和缺省初始化文件产生的。最出名的一个例子是:用来安装SunOS Version 4的软件,它创建了一个 /rhosts
文件,这个件允许Internet上的任何人,从任何地方取得对该主机的超级用户特权。当然,最初这个文件的设置是为了
“从网上方便的进行安装,而不需超级用户的允许和检查”。
    “智者千虑,必有一失”,操作系统设计的漏洞为黑客开启了后门,最近的针对 WINDOWS95/WINDOWS-NT的泪滴攻击
方法就是很好的实例。
 
    诳也,非诳也,实其所诳也,少阴,太阴、太阳。
 
 
无中生有—信息攻击法
 
     攻击者通过发送伪造的路由信息,构造源主机和目标主机的虚假路径,从而使流向目标主机的包均经过攻击者的主
机。这样给攻击者提供敏感的信息和有用的密码。
 
    示之以幼,利其静而有主,益动而巽。
 
暗渡陈仓—信息协议的弱点攻击法
 
    IP源路径选项允许IP数据报自己选择一条通往目的主机的路径。设想攻击者试图与防火墙后面的一个不可到达主机A
连接。他只需要在送出的请求报文中设置IP源路径选项,使报文有一个目的地址指向防火墙,而最终地址是主机A。当报
文到达防火墙时被允许通过,因为它指向防火墙而不是主机A。防火墙的IP层处理该报文的源路径域,并发送到内部网上,
报文就这样到达了不可到达的主机A。
 
    信而安之,阴以图之;备而后动,勿使有变。刚中柔外也。
 
笑里藏刀
 
    缺省的登录界面(shell scripts)、配置和客户文件是另一个问题区域,它们提供了一个简单的方法来配置一个程序
的执行环境。这有时会引起“特洛伊木马”的攻击:在被攻击主机上启动一个可执行程序, 该程序显示一个伪造的登录
界面。当用户在这个伪装的界面上输入登录信息(用户名、密码等)后,该程序将用户输入的信息传送到攻击者主机, 然
后关闭界面给出提示信息说“系统故障”,要求用户重新登录。此后,才会出现真正的登录界面。 在我们能够得到新一
代更加完善的操作系统版本之前,类似的攻击仍会发生。 防火墙的一个重要作用就是防止非法用户登录到受保护网的主
机上。例如可以在进行报文过滤时,禁止外部主机Telnet到内部主机上。
 
   微隙在所必乘:微利在所必得。少阴,少阳。
 
顺手牵羊—系统管理员失误攻击法
 
   网络安全的重要因素之一就人!无数历史事实表明“保垒最容易从内部攻破”。因而人为的失误,如WWW服务器系统的
配置差错,扩大普通用户使用权限扩大,这样就给黑客造成了可趁之机。黑客常利用系统员的失误,收集攻击信息。 如
用finger、netstat、arp、w、who、ps、ls、mail、grep命令和SATAN软件。
 
    有用者,不可借;不能用者,求借。借不能用者而用之。匪我求童蒙,童蒙求我。
 
借尸还魂—重放(REPLAY)功击法
 
   收集特定的IP包,篡改其数据,然后再一一重新发送,欺骗接收的主机。
 
   诗天以困之,用人以诱之,往蹇来返。乱志乱萃,不虞。坤下兑上之象,利其不自主而取之。
 
调虎离山,声东击西—ICMP报文的攻击法
 
   尽管比较困难,黑客们有时也使用ICMP报文进行攻击。重定向消息可以改变路由表,路由器可以根据这些消息建议主
机走另一条更好的路径。 攻击者可以有效的利用重定向消息把连接转向一个不可靠的主机或路径,或使所有报文通过一
个不可靠主机来转发。对付这种威胁的方法是对所有ICMP重定向报文进行过滤。有的路由软件可对此进行配置。 单纯地
抛弃所有重定向报文是不可取的。主机和路由器常常会用到它们,如一个路由器发生故障时。
   地址模报文攻击主机。若主机接收了一个伪造的地址模消息,它会采用一个不正确的地址掩码,从而使它中断了与网
中其余部分的联系。
 
    类以诱之,击蒙也。
 
抛砖引玉—源路径选项的弱点功击法
 
   “兵以诈立,多谋者胜”。源主机可以使用IP源路径选项,强制报文通过一个特定的路径到达目的主机。这样的报文
可以用来攻陷防火墙和欺骗主机。一个外部攻击者可以传送一个具有内部主机地址的源路径报文。 服务器会相术这个报
文并对攻击者发回答报文,因为这是IP的源路径选项要求的。对付这种攻击最好的办法是配置好路由器, 使它抛弃那些
由外部网进来的却声称是内部主机的报文。
 
    乘其阴乱,利其弱而无主。随,以向晦之宴息。
 
混水摸鱼—以太网的广播攻击法
 
    将以太网接口置为乱模式(promiscuous),截获局部范围的所有包,为我所用。
 
   形禁势格,利从近取,害以远隔。上火下泽。
 
远交近攻
 
    现在许多Internet上的站点使用UNIX操作系统。黑客们会设法先登录到一台 UNIX的主机上,通过钻操作系统的漏洞
来取得系统特权,然后再以此为据点访问其余主机,这被称为“跳跃”(Island-hopping)。 黑客们在达到目的主机之前
往往会这样跳几次。例如一个在美国黑客在进入美联邦调查局的网络之前,可能会先登录到亚洲的一台主机上, 再从那
里登录到加拿大的一台主机,然后再跳到欧洲,最后从法国的一台主机向联邦调查局发起攻击。 这样被攻击网络即使发
现了黑客是从何处向自己发起了攻击,管理人员也很难顺藤摸瓜的找回去, 更何况黑客在取得某台主机的系统特权后,
可以在退出时删掉系统日志,把“藤”割断。 你只要能够登录到UNIX系统上,就能相对容易的成为超级用户,这使得它
同时成为黑客和安全专家们的关注点。
 
    频更其阵,抽其劲旅。待其身败,而后乘之。曳其轮也。
 
偷梁换术—窃取TCP连接
 
    网络互连协议也存在许多易受攻击的地方。而且互连协议的最初产生本来就是为了更方便信息的交流, 因此设计者
对安全方面很少甚至不去考虑。安全的协议分析成为攻击的最历害一招。
    在几乎所有的UNIX实现的协议族中,存在着一个久为人知的漏洞,这个漏沿使得窃取TCP连接成为可能。当 TCP连接
正在建立时,服务器用一个含有初始序列号的回答报文来确认用户请求。 这个序列号无特殊要求,只要是唯一的就可以
了。客户端收到回答后,再对其确认一次,连接便建立了。
    TCP协议规范要求每秒更换序列号25万次。但大多数的UNIX的实现更换频率远小于此,而且下一个更换的数字往往是
预知的。正是这种可预知服务器初始序列号的能力使得攻击可以完成。
    唯一可以防治这种攻击的方法是使初始序列号的产生更具有随机性。 最安全的解决方法是用加密算法产生初始序列
号。额外的CPU负载对现在的硬件速度来说是可以忽略的。
 
    乘隙插足,扼其主机,渐之进也。
 
反客为主
 
    在 UNIX系统下,太多的文件是只能由超级用户拥有,而很少是可以由某一类用户所有,这使得管理员必须在root下
进行各种操作,这种做法并不是很安全的。黑客攻击首要对象就是root,最常受到攻击的目标是超级用户Password。 严
格的说,UNIX下的用户密码是没有加密的,它只是作为DES算法加密一个常用字符串的密钥。现在出现了许多用来解密的
软件工具,它们利用CPU的高速度来究尽式搜索密码。攻击一旦成功,黑客就会成为UNIX系统中的“皇帝”。因此,将系
统中的权利进行“三权分立”, 如果设定邮件系统邮件管理员管理,那么邮件管理员可以在不具有超级用户特权的情况
下很好的管理邮件系统,这会使系统安全的多。
 
    此外,攻击者攻破系统后,常使用金蝉脱壳之计,删除系统运行日志,使得不被系统管理员发现,便以后东山再起。
故有“用兵之道,以计为首”之说,作为网络攻击者会竭尽一切可能的方法,使用各种计谋来攻击目标系统。 这就是所
谓的三十六计中的连环计。
2016-10-02 23:37
来源:www.antivirus-china.org.cn
1
热门推荐 更多
热点新闻 更多