当前位置:   article > 正文

黑客常见攻击方法与防护方法_黑客攻击方式以及解决方法

黑客攻击方式以及解决方法

典型的攻击方法

口令攻击

口令是网络信息系统的第一道防线。当前的网络信息系统大多都是通过口令来验证用户身份、实施访问控制的。当然,也有类似于现在手机上的短信认证、图形认证等功能,但是毕竟这些都是少数,大部分还是用口令认证的。

QQ软件输入口令

image-20220521210356684

口令攻击是指黑客以口令为攻击目标,破解合法用户的口令,或避开口令验证过程,然后冒充合法用户潜入目标网络系统,夺取目标系统控制权的过程。如果口令攻击成功,黑客进入了目标网络系统,便能随心所欲地窃取、破坏和篡改被侵入方的信息,直至完全控制被侵入方。

口令攻击的主要方法:

1.社会工程学(Social Engineering)攻击

社会工程学攻击即通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。

2.猜测攻击

首先,使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。

3.字典攻击

如果人工猜测攻击不成功,攻击者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。据报道,对于一个有10万个英文单词的集合来说,入侵者不到两分钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。

4.穷举攻击

如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。针对这种攻击的防护措施主要是设置的口令要足够长,并且复杂。例如,至少8位以上,数字+符号+大小写组合就行了。

5.混合攻击

混合攻击结合了字典攻击和穷举攻击,先进行字典攻击,再进行暴力攻击。

避免被攻击的对策:

  • 不用汉语拼音、英文单词。
  • 不用生日、纪念日、有意义的字符串。
  • 使用大小写字母、符号、数字的组合。
  • 不要将口令写下来。
  • 不要将口令存于计算机文件中。
  • 不要在不同系统上使用同一口令。
  • 为防止眼明手快的人窃取口令,在输入口令时应确认无人在身边。
  • 定期改变口令,至少两个月左右要改变一次。

网络监听

在网络空间环境中,网络监听是一种用来监视网络状态、数据流程以及网络上信息传输的管理工具。它可以将网络功能设定成监听模式,这样就可以截获网络上所传输的信息。也就是说,当攻击者登录网络主机并取得超级用户权限后,若要登录其他主机,使用网络监听的方法可以有效地截获网络上的数据。这是攻击者优先使用的方法。但是网络监听仅能应用于连接同一网段的主机,且通常用来获取用户口令或密码。

网上有许多网络监听工具,例如Wireshark,Sniffer Pro, NetXray,tcpdump等。它们可以轻而易举地截取包括口令、账号等敏感信息。

针对网络嗅探攻击的防范措施包括:

  • 安装VPN网关,防止入侵者对网络信道进行嗅探。
  • 对内部网络通信采取加密处理。
  • 采用交换设备进行网络分段。
  • 采取技术手段发现处于混杂模式的主机,即发掘“鼹鼠”。

缓冲区溢出攻击

缓冲区溢出是指用户向计算机缓冲区内填充的数据位数超过了缓冲区本身的容量时,溢出的数据覆盖了合法的数据。理想的情况是:检测程序会自行检查数据长度,并且不允许输入超过缓冲区长度的字符。然而,绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下巨大的隐患。操作系统中使用的缓冲区,又称为“堆栈”。在各个操作系统进程之间,指令会被临时储存在“堆栈”当中,“堆栈”也会出现缓冲区溢出的情况。

缓冲区溢出攻击则是利用软件的缓冲区溢出漏洞进行的攻击。缓冲区溢出漏洞是一种非常普遍而且非常危险的漏洞,它在操作系统和应用软件中广泛存在。利用缓冲区溢出攻击,能导致程序运行失败、系统关机、重新启动、内存异常、CPU运行异常等严重后果。

保护缓冲区免受缓冲区溢出的攻击和影响的方法:

  • 通过操作系统的检测使得缓冲区溢出不可执行,从而阻止攻击者植入攻击用的代码。
  • 强制编写正确的代码。
  • 利用编译器的边界检查实现缓冲区保护。这种方法使得缓冲区溢出的情况不大可能出现,从而完全消除了缓冲区溢出威胁,但是相对而言代价也比较大。
  • 在程序指针失效前进行完整性的检查。虽然这种方法不能使所有的缓冲区溢出失效,但可以阻止绝大多数的缓冲区溢出攻击。

拒绝服务攻击

拒绝服务攻击,英文名称是Denial of Service,简称DoS,即拒绝服务。DoS攻击即攻击者想办法让目标主机或系统拒绝提供服务或资源访问,这些资源包括CPU、磁盘空间、内存、进程、网络带宽等,从而阻止正常用户的访问。

image-20220521211103199

针对这种攻击的防护,主要是通过防火墙来实现的。

image-20220521211121173

分布式拒绝服务攻击简介

分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,是使用网络上两个或两个以上被攻陷的计算机作为“僵尸”向特定的目标发动“拒绝服务”式攻击。这种攻击是以DoS攻击为基础,但是效果要比DoS攻击强很多。

DDoS攻击的基本步骤如下

第1步:攻击者使用扫描工具扫描大量主机以寻找潜在入侵目标

第2步:攻击者设法入侵有安全漏洞的主机并获取控制权,这些主机将被用于放置后门、守护程序、攻击者程序等

第3步:攻击者在得到入侵计算机清单后,从中选出建立网络所需要的主机,放置已编译好的守护程序,并向被控制的计算机发送命令

第4步:攻击者发送控制命令给主机,准备启动对目标系统的攻击

第5步:主机发送攻击信号给被控制计算机开始对目标系统发起攻击

第6步:目标系统被无数个伪造的请求所淹没,从而无法对合法用户进行响应,DDoS攻击成功。

拒绝服务攻击的防护

  • 定期扫描现有的网络主节点,清查可能存在的安全漏洞。对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客入侵的重灾区,因此对这些主机本身加强安全是非常重要的。
  • 骨干节点上的防火墙的配置至关重要。防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候,将攻击导向一些牺牲主机,这样可以保护真正的主机不瘫痪。
  • 用足够的机器承受黑客攻击。这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源让黑客攻击,黑客在不断访问用户、夺取用户资源的同时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支持下去。
  • 充分利用网络设备保护网络资源。所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。
  • 使用Express Forwarding可以过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以对封包Source IP和Routing Table做比较,并加以过滤。
  • 使用单播反向通路转发(Unicast Reverse Path Forwarding)检查访问者的来源。它通过反向路由表查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址的方式来迷惑用户,很难查出它来自何处,因此,利用单播反向通路转发可减少假IP地址的出现,有助于提高网络安全性。
  • 过滤所有RFC1918 IP地址。RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定IP地址,而是Internet内部保留的区域性IP地址,所以应该把它们过滤掉。
  • 限制SYN/ICMP流量。用户应在路由器上设置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,就说明不是正常的网络访问,而是有黑客正在入侵。

SQL注入攻击

SQL注入攻击是攻击者对数据库进行攻击的常用方法之一。随着B/S模式应用开发的广泛使用,采用这种模式编写的应用程序也越来越多。然而由于程序员之间的水平及经验也存在差距,很多程序员在编写代码的时候,没有对用户输入数据的合法性进行验证,使应用程序存在许多安全隐患。攻击者可以提交一段用SQL语言编写的数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL注入攻击(SQL Injection)。SQL注入攻击会导致的数据库安全风险包括刷库、拖库、撞库。

SQL注入攻击的原理

某网站的登录验证的SQL查询代码如下:

StringSQL = "SELECT * FROM Users WHERE (Name='"+ UserName +"') and (Pw = '"+ PassWord +"');"
  • 1

当攻击者填入

UserName = "1'or'1'='1"PassWord = "1'or'1'='1"
  • 1
  • 2
  • 3

导致原本的SQL字符串被填为

StringSQL = "SELECT * FROM Users WHERE (Name='1'or'1'='1') and (Pw = '1'or'1'='1');"
  • 1

实际上运行的SQL命令会变成下面这样的

StringSQL = "SELECT * FROM Users;"
  • 1

因此,攻击者就可以达到没有账号密码,也可以登录网站的目的。

SQL注入攻击的实现

目前的SQL注入攻击不用自己编写软件,网上有很多这样的工具,例如BSQLHacker、Pangolin、Aqlmap、Havij、Enema等。

SQL注入攻击的防护

SQL注入攻击属于数据库安全攻击方法之一,可以通过数据库安全防护技术实现有效防护,数据库安全防护方法与技术包括数据库漏扫、数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。

木马攻击

木马程序可以直接侵入用户的计算机并进行破坏,它常被伪装成工具程序或者游戏等,诱使用户打开带有木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序,它们就会在计算机系统中隐藏一个可以在启动时悄悄执行的程序。这种远程控制工具可以完全控制受害主机,危害极大。

完整的木马程序一般由两部分组成:一个是服务器端,另一个是客户端(也叫控制器端)。“中了木马”就是指安装了木马的服务器端程序。若你的计算机被安装了服务器端程序,则拥有相应客户端的人就可以通过网络控制你的计算机,为所欲为。这时你计算机上的各种文件、程序,以及正在使用的账号、密码就无安全可言了。这里注意受害者安装的是服务器端,攻击者用的是客户端,不能反了。如果反了就被别人控制了。

木马的种类

  • 破坏型。这类木马唯一的功能就是破坏并且删除文件,可以自动删除计算机中的Word、DLL、INI、EXE等重要文件。
  • 密码发送型。可以获取用户的许多密码并把它们发送到指定的邮箱。很多人喜欢把自己的各种密码以文件的形式存放在计算机中,认为这样方便。但许多木马软件可以寻找到这些文件,把它们发送到黑客手中。也有些木马软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。
  • 远程访问型。如果有人运行了服务端程序,一旦攻击者知道了服务端的IP地址,就可以实现远程控制。这样可以观察受害者正在干什么,从而达到监视某个计算机操作的目的。
  • 键盘记录木马。这种木马程序只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。它会随着Windows的启动而启动,并提供在线和离线记录这样的选项,可以分别记录受害者在线和离线状态下敲击键盘时的按键。也就是说受害者按过什么按键,木马程序都能知道,从这些按键中很容易就会得到受害者的密码甚至是银行卡账号等有用信息。
  • DoS攻击木马。随着DoS攻击越来越广泛,被用作DoS攻击的木马程序也越来越多。攻击者入侵一台计算机后,会向其植入DoS攻击木马程序,这台计算机日后就成为攻击者进行DoS攻击的得力助手了。所以,这种木马程序的危害不是体现在被感染的计算机上,而是体现在攻击者可以利用它来攻击一台又一台计算机。

木马的防范

  • 检测和寻找木马隐藏的位置
  • 防范端口
  • 删除可疑程序
  • 删除可疑程序

社会工程学攻击

社会工程学攻击是一种利用人的弱点,以顺从人的意愿、满足人的欲望的方式,让受害者上当受骗的方法。

社会工程学的基本攻击目标和其他攻击方法基本相同,目的都是为了获得目标系统的未授权访问路径或重要信息,从事网络入侵、信息盗取、身份盗取,或者仅仅是扰乱系统或网络,或是为了骗取受害人的钱财等。

防范社会工程学攻击

  • 当心来路不明的电子邮件、短信以及电话。在提供任何个人信息之前,验证其可靠性和权威性。
  • 仔细并认真地浏览电子邮件、短信、微信等的细节。不要让攻击者消息中的急迫性阻碍了你的判断。
  • 自学。信息是预防社会工程攻击的最有力的工具。要经常学习并研究如何鉴别和防御网络攻击者。
  • 永远不要打开来自未知发送者的电子邮件中的嵌入链接。如果有必要就使用搜索引擎寻找目标网站或手动输入网站地址。
  • 永远不要在未知发送者的电子邮件中下载附件。
  • 拒绝来自陌生人的在线技术帮助,无论他们声称自己是多么正当的。
  • 使用防火墙来保护计算机空间,及时更新杀毒软件同时提高垃圾邮件过滤器的门槛。
  • 下载软件及操作系统补丁,预防零日漏洞。及时安装软件供应商发布的补丁程序。
  • 经常关注网站的URL。有时网上的骗子对URL做了细微的改动,将流量诱导进了自己的诈骗网站。
  • 不要幻想不劳而获。如果你从来没有买过彩票,那你永远都不会成为那个中大奖的幸运儿。如果你从来就没有丢过钱,那为什么还要接受来自国外某个机构的退款呢?

网站被黑客攻击的防护方法

1.确认被攻击的范围

2.备份日志(如IIS、Apache、FTP、Windows/Linux/UNIX等日志)

3.清除后门程序

4.修复漏洞

5.更改以前的配置文件

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/知新_RL/article/detail/721959
推荐阅读
相关标签
  

闽ICP备14008679号