A. 網路攻擊的主要類型有哪些
外網攻擊和內網攻擊。
B. 網路遭受攻擊分為哪幾類
網路攻擊的類型
攻擊主要分為四種類型。
偵察
偵察是指未經授權的搜索和映射系統、服務或漏洞。此類攻擊也稱為信息收集,大多數情況下它充當其它類型攻擊的先導。偵察類似於冒充鄰居的小偷伺機尋找容易下手的住宅,例如無人居住的住宅、容易打開的門或窗戶等。
訪問
系統訪問是指入侵者獲取本來不具備訪問許可權(帳戶或密碼)的設備的訪問權。入侵者進入或訪問系統後往往會運行某種黑客程序、腳本或工具,以利用目標系統或應用程序的已知漏洞展開攻擊。
拒絕服務
拒絕服務 (DoS) 是指攻擊者通過禁用或破壞網路、系統或服務來拒絕為特定用戶提供服務的一種攻擊方式。DoS 攻擊包括使系統崩潰或將系統性能降低至無法使用的狀態。但是,DoS 也可以只是簡單地刪除或破壞信息。大多數情況下,執行此類攻擊只需簡單地運行黑客程序或腳本。因此,DoS 攻擊成為最令人懼怕的攻擊方式。
蠕蟲、病毒和特洛伊木馬
有時主機上會被裝上惡意軟體,這些軟體會破壞系統、自我復制或拒絕對網路、系統或服務的訪問。此類軟體通常稱為蠕蟲、病毒或特洛伊木馬。
C. 網路攻擊的分類
目前的網路攻擊模式呈現多方位多手段化,讓人防不勝防。概括來說分四大類:服務拒絕攻擊、利用型攻擊、信息收集型攻擊、假消息攻擊。
1、服務拒絕攻擊
服務拒絕攻擊企圖通過使你的服務計算機崩潰或把它壓跨來阻止你提供服務,服務拒絕攻擊是最容易實施的攻擊行為,主要包括:
死亡之ping (ping of death)
概覽:由於在早期的階段,路由器對包的最大尺寸都有限制,許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB,並且在對包的標題頭進行讀取之後,要根據該標題頭里包含的信息來為有效載荷生成緩沖區,當產生畸形的,聲稱自己的尺寸超過ICMP上限的包也就是載入的尺寸超過64K上限時,就會出現內存分配錯誤,導致TCP/IP堆棧崩潰,致使接受方當機。
防禦:現在所有的標准TCP/IP實現都已實現對付超大尺寸的包,並且大多數防火牆能夠自動過濾這些攻擊,包括:從windows98之後的windows,NT(service pack 3之後),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻擊的能力。此外,對防火牆進行配置,阻斷ICMP以及任何未知協議,都講防止此類攻擊。
淚滴(teardrop)
概覽:淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。
防禦:伺服器應用最新的服務包,或者在設置防火牆時對分段進行重組,而不是轉發它們。
UDP洪水(UDP flood)
概覽:各種各樣的假冒攻擊利用簡單的TCP/IP服務,如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接,回復地址指向開著Echo服務的一台主機,這樣就生成在兩台主機之間的足夠多的無用數據流,如果足夠多的數據流就會導致帶寬的服務攻擊。
防禦:關掉不必要的TCP/IP服務,或者對防火牆進行配置阻斷來自Internet的請求這些服務的UDP請求。
SYN洪水(SYN flood)
概覽:一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息,因為他們只有有限的內存緩沖區用於創建連接,如果這一緩沖區充滿了虛假連接的初始信息,該伺服器就會對接下來的連接停止響應,直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里,SYN洪水具有類似的影響。
防禦:在防火牆上過濾來自同一主機的後續連接。
未來的SYN洪水令人擔憂,由於釋放洪水的並不尋求響應,所以無法從一個簡單高容量的傳輸中鑒別出來。
Land攻擊
概覽:在Land攻擊中,一個特別打造的SYN包它的原地址和目標地址都被設置成某一個伺服器地址,此舉將導致接受伺服器向它自己的地址發送SYN-ACK消息,結果這個地址又發回ACK消息並創建一個空連接,每一個這樣的連接都將保留直到超時掉,對Land攻擊反應不同,許多UNIX實現將崩潰,NT變的極其緩慢(大約持續五分鍾)。
防禦:打最新的補丁,或者在防火牆進行配置,將那些在外部介面上入站的含有內部源地址濾掉。(包括10域、127域、192.168域、172.16到172.31域)
Smurf攻擊
概覽:一個簡單的smurf攻擊通過使用將回復地址設置成受害網路的廣播地址的ICMP應答請求 (ping)數據包來淹沒受害主機的方式進行,最終導致該網路的所有主機都對此ICMP應答請求作出答復,導致網路阻塞,比pingof death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者,最終導致第三方雪崩。
防禦:為了防止黑客利用你的網路攻擊他人,關閉外部路由器或防火牆的廣播地址特性。為防止被攻擊,在防火牆上設置規則,丟棄掉ICMP包。
Fraggle攻擊
概覽:Fraggle攻擊對Smurf攻擊作了簡單的修改,使用的是UDP應答消息而非ICMP
防禦:在防火牆上過濾掉UDP應答消息
電子郵件炸彈
概覽:電子郵件炸彈是最古老的匿名攻擊之一,通過設置一台機器不斷的大量的向同一地址發送電子郵件,攻擊者能夠耗盡接受者網路的帶寬。
防禦:對郵件地址進行配置,自動刪除來自同一主機的過量或重復的消息。
畸形消息攻擊
概覽:各類操作系統上的許多服務都存在此類問題,由於這些服務在處理信息之前沒有進行適當正確的錯誤校驗,在收到畸形的信息可能會崩潰。
防禦:打最新的服務補丁。
2、利用型攻擊
利用型攻擊是一類試圖直接對你的機器進行控制的攻擊,最常見的有三種:
口令猜測
概覽:一旦黑客識別了一台主機而且發現了基於NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號,成功的口令猜測能提供對機器控制。
防禦:要選用難以猜測的口令,比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略,就進行鎖定。
特洛伊木馬
概覽:特洛伊木馬是一種或是直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功並取得管理員許可權,安裝此程序的人就可以直接遠程式控制制目標系統。
最有效的一種叫做後門程序,惡意程序包括:NetBus、BackOrifice和BO2k,用於控制系統的良性程序如:netcat、VNC、pcAnywhere。理想的後門程序透明運行。
防禦:避免下載可疑程序並拒絕執行,運用網路掃描軟體定期監視內部主機上的監聽TCP服務。
緩沖區溢出
概覽:由於在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數,最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然後將該代碼綴在緩沖區有效載荷末尾,這樣當發生緩沖區溢出時,返回指針指向惡意代碼,這樣系統的控制權就會被奪取。
防禦:利用SafeLib、tripwire這樣的程序保護系統,或者瀏覽最新的安全公告不斷更新操作系統。
3、信息收集型攻擊
信息收集型攻擊並不對目標本身造成危害,如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括:掃描技術、體系結構刺探、利用信息服務
掃描技術
地址掃描
概覽:運用ping這樣的程序探測目標地址,對此作出響應的表示其存在。
防禦:在防火牆上過濾掉ICMP應答消息。
埠掃描
概覽:通常使用一些軟體,向大范圍的主機連接一系列的TCP埠,掃描軟體報告它成功的建立了連接的主機所開的埠。
防禦:許多防火牆能檢測到是否被掃描,並自動阻斷掃描企圖。
反響映射
概覽:黑客向主機發送虛假消息,然後根據返回「hostunreachable」這一消息特徵判斷出哪些主機是存在的。目前由於正常的掃描活動容易被防火牆偵測到,黑客轉而使用不會觸發防火牆規則的常見消息類型,這些類型包括:RESET消息、SYN-ACK消息、DNS響應包。
防禦:NAT和非路由代理伺服器能夠自動抵禦此類攻擊,也可以在防火牆上過濾「hostunreachable」ICMP應答。
慢速掃描
概覽:由於一般掃描偵測器的實現是通過監視某個時間楨里一台特定主機發起的連接的數目(例如每秒10次)來決定是否在被掃描,這樣黑客可以通過使用掃描速度慢一些的掃描軟體進行掃描。
防禦:通過引誘服務來對慢速掃描進行偵測。
體系結構探測
概覽:黑客使用具有已知響應類型的資料庫的自動工具,對來自目標主機的、對壞數據包傳送所作出的響應進行檢查。由於每種操作系統都有其獨特的響應方法(例NT和Solaris的TCP/IP堆棧具體實現有所不同),通過將此獨特的響應與資料庫中的已知響應進行對比,黑客經常能夠確定出目標主機所運行的操作系統。
防禦:去掉或修改各種Banner,包括操作系統和各種應用服務的,阻斷用於識別的埠擾亂對方的攻擊計劃。
利用信息服務
DNS域轉換
概覽:DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。如果你維護著一台公共的DNS伺服器,黑客只需實施一次域轉換操作就能得到你所有主機的名稱以及內部IP地址。
防禦:在防火牆處過濾掉域轉換請求。
Finger服務
概覽:黑客使用finger命令來刺探一台finger伺服器以獲取關於該系統的用戶的信息。
防禦:關閉finger服務並記錄嘗試連接該服務的對方IP地址,或者在防火牆上進行過濾。
LDAP服務
概覽:黑客使用LDAP協議窺探網路內部的系統和它們的用戶的信息。
防禦:對於刺探內部網路的LDAP進行阻斷並記錄,如果在公共機器上提供LDAP服務,那麼應把LDAP伺服器放入DMZ。
4、假消息攻擊
用於攻擊目標配置不正確的消息,主要包括:DNS高速緩存污染、偽造電子郵件。
DNS高速緩存污染
概覽:由於DNS伺服器與其他名稱伺服器交換信息的時候並不進行身份驗證,這就使得黑客可以將不正確的信息摻進來並把用戶引向黑客自己的主機。
防禦:在防火牆上過濾入站的DNS更新,外部DNS伺服器不應能更改你的內部伺服器對內部機器的認識。
偽造電子郵件
概覽:由於SMTP並不對郵件的發送者的身份進行鑒定,因此黑客可以對你的內部客戶偽造電子郵件,聲稱是來自某個客戶認識並相信的人,並附帶上可安裝的特洛伊木馬程序,或者是一個引向惡意網站的連接。
防禦:使用PGP等安全工具並安裝電子郵件證書
D. 對網路安全的攻擊分為哪幾種
①截斷信息;②偽造;③篡改;④介入。
E. 網路攻擊的幾種類型
網路攻擊(Cyber
Attacks,也稱賽博攻擊)是指針對計算機信息系統、基礎設施、計算機網路或個人計算機設備的,任何類型的進攻動作。對於 計算機 和計算機網路來說,破壞、揭露、修改、使軟體或服務失去功能、在沒有得到授權的情況下偷取或訪問任何一計算機的數據,都會被視為於計算機和計算機網路中的攻擊。
網路攻擊的種類
1、主動攻擊
主動攻擊會導致某些數據流的篡改和虛假數據流的產生。這類攻擊可分為篡改、偽造消息數據和終端(拒絕服務)。
(1)篡改消息
篡改消息是指一個合法消息的某些部分被改變、刪除,消息被延遲或改變順序,通常用以產生一個未授權的效果。如修改傳輸消息中的數據,將「允許甲執行操作」改為「允許乙執行操作」。
(2)偽造
偽造指的是某個實體(人或系統)發出含有其他實體身份信息的數據信息,假扮成其他實體,從而以欺騙方式獲取一些合法用戶的權利和特權。
(3)拒絕服務
拒絕服務即常說的DoS(Deny of Service),會導致對通訊設備正常使用或管理被無條件地中斷。通常是對整個網路實施破壞,以達到降低性能、終端服務的目的。這種攻擊也可能有一個特定的目標,如到某一特定目的地(如安全審計服務)的所有數據包都被阻止。
2、被動攻擊
被動攻擊中攻擊者不對數據信息做任何修改,截取/竊聽是指在未經用戶同意和認可的情況下攻擊者獲得了信息或相關數據。通常包括竊聽、流量分析、破解弱加密的數據流等攻擊方式。
(1)流量分析
流量分析攻擊方式適用於一些特殊場合,例如敏感信息都是保密的,攻擊者雖然從截獲的消息中無法的到消息的真實內容,但攻擊者還能通過觀察這些數據報的模式,分析確定出通信雙方的位置、通信的次數及消息的長度,獲知相關的敏感信息,這種攻擊方式稱為流量分析。
(2)竊聽
竊聽是最常用的手段。應用最廣泛的區域網上的數據傳送是基於廣播方式進行的,這就使一台主機有可能受到本子網上傳送的所有信息。而計算機的網卡工作在雜收模式時,它就可以將網路上傳送的所有信息傳送到上層,以供進一步分析。如果沒有採取加密措施,通過協議分析,可以完全掌握通信的全部內容,竊聽還可以用無限截獲方式得到信息,通過高靈敏接受裝置接收網路站點輻射的電磁波或網路連接設備輻射的電磁波,通過對電磁信號的分析恢復原數據信號從而獲得網路信息。盡管有時數據信息不能通過電磁信號全部恢復,但可能得到極有價值的情報。
由於被動攻擊不會對被攻擊的信息做任何修改,留下痕跡很好,或者根本不留下痕跡,因而非常難以檢測,所以抗擊這類攻擊的重點在於預防,具體措施包括虛擬專用網VPN,採用加密技術保護信息以及使用交換式網路設備等。被動攻擊不易被發現,因而常常是主動攻擊的前奏。
被動攻擊雖然難以檢測,但可採取措施有效地預防,而要有效地防止攻擊是十分困難的,開銷太大,抗擊主動攻擊的主要技術手段是檢測,以及從攻擊造成的破壞中及時地恢復。檢測同時還具有某種威懾效應,在一定程度上也能起到防止攻擊的作用。具體措施包括自動審計、入侵檢測和完整性恢復等。
攻擊的方法主要有:
[if !supportLists]· [endif]口令入侵
[if !supportLists]· [endif]特洛伊木馬
[if !supportLists]· [endif]WWW欺騙
[if !supportLists]· [endif]電子郵件
[if !supportLists]· [endif]節點攻擊
[if !supportLists]· [endif]網路監聽
[if !supportLists]· [endif]黑客軟體
[if !supportLists]· [endif]安全漏洞
[if !supportLists]· [endif]埠掃描
如何避免網路攻擊呢,第一種是同源檢測的方法
伺服器根據 http 請求頭中 origin 或者referer 信息來判斷請 求是否為允許訪問的站點,從而對請求進行過濾。當 origin 或者 referer 信息都不存在的 時候,直接阻止。這種方式的缺點是有些情況下referer 可以被偽造。還有就是我們這種方法 同時把搜索引擎的鏈接也給屏蔽了,所以一般網站會允許搜索引擎的頁面請求,但是相應的頁面 請求這種請求方式也可能被攻擊者給利用。
第二種方法是使用 CSRF Token 來進行驗證
伺服器向用戶返回一個隨機數 Token ,當網站 再次發起請求時,在請求參數中加入伺服器端返回的 token ,然後伺服器對這個 token 進行 驗證。這種方法解決了使用 cookie 單一驗證方式時,可能會被冒用的問題,但是這種方法存在一個缺點就是,我們需要給網站中的所有請求都添加上這個 token,操作比較繁瑣。還有一 個問題是一般不會只有一台網站伺服器,如果我們的請求經過負載平衡轉移到了其他的伺服器,但是這個伺服器的 session 中沒有保留這個 token 的話,就沒有辦法驗證了。這種情況我們可以通過改變 token 的構建方式來解決。
第三種方式使用雙重 Cookie 驗證的辦法
伺服器在用戶訪問網站頁面時,向請求域名注入一個 Cookie,內容為隨機字元串,然後當用戶再次向伺服器發送請求的時候,從cookie 中取出 這個字元串,添加到 URL 參數中,然後伺服器通過對 cookie 中的數據和參數中的數據進行比 較,來進行驗證。使用這種方式是利用了攻擊者只能利用 cookie,但是不能訪問獲取 cookie 的特點。並且這種方法比 CSRF Token 的方法更加方便,並且不涉及到分布式訪問的問題。這 種方法的缺點是如果網站存在 XSS 漏洞的,那麼這種方式會失效。同時這種方式不能做到子域 名的隔離。
第四種方式Samesite Cookie
是使用在設置 cookie 屬性的時候設置 Samesite限制 cookie 不能作為被第三 方使用,從而可以避免被攻擊者利用。Samesite 一共有兩種模式,一種是嚴格模式,在嚴格模式下 cookie 在任何情況下都不可能作為第三方 Cookie 使用,在寬松模式下,cookie 可以 被請求是 GET 請求,且會發生頁面跳轉的請求所使用。
Samesite Cookie 表示同站 cookie,避免 cookie 被第三方所利用。將 Samesite 設為 strict ,這種稱為嚴格模式,表示這個 cookie 在任何情況下都不可能作 為第三方 cookie。將 Samesite 設為 Lax ,這種模式稱為寬松模式,如果這個請求是個 GET 請求,並且這個請求改變了當前頁面或者打開了新的頁面,那麼這個 cookie 可以作為第三方 cookie,其餘情 況下都不能作為第三方 cookie。
使用這種方法的缺點是,因為它不支持子域,所以子域沒有辦法與主域共享登錄信息,每次轉入子域的網站,都回重新登錄。還有一個問題就是它的兼容性不夠好。http://usersafe.cn/
F. 網路攻擊的三種類型是什麼
通常,我們的常見攻擊可以分為以下四類:
1.竊聽:指攻擊野型念者使用非法手段監控系統,以獲取一些關於系統安全的關鍵信息。我們常用的竊聽技術攻擊方法如下:點擊記錄網路監控非法訪問數據以獲取密碼文件。
2.欺騙:指攻擊者冒充正常用戶獲取攻擊目標訪問許可權或獲取關鍵信息的攻擊方法。其中,該攻擊主要包括:獲取密碼惡意代碼網路欺騙。
3.拒絕服務:指終端完全租卜拒絕服務於合法用戶、網路、系統和其他資源的攻擊方法。其主要目的是徹底破壞網路的正常運行。通常,其主要攻擊形式可分為:導致異常資源耗盡的欺詐。
4.數據驅動攻擊:該攻擊方法是通過向程序發送數據,從而產生意想不到的結果攻擊,一般給攻擊頌困者訪問目標系統的許可權,一般可分為:緩沖區溢出格式字元串攻擊輸入驗證攻擊同步漏洞攻擊信任漏洞攻擊作者:angyinyan0208