云计算与网络安全之黑客攻击与防范指导

内容指导

黑客与网络攻击

网络攻击主要类型与防范

密码保护技巧

一、黑客与网络攻击

1、黑客攻击的手段和工具

黑客常用的攻击手段有获取用户口令、放置木马程序、电子邮件攻击、网络监听、利用账号进行攻击、获取超级用户权限等。

黑客攻击系统通常使用的工具有扫描器、嗅探器、木马和炸弹等。

2、黑客攻击的过程

(1) 确定攻击目的。

(2) 收集信息。

(3) 系统安全弱点的探测。

(4) 建立模拟环境，进行模拟攻击。

(5) 实施网络攻击

二、网络攻击主要类型与防范

1、网络攻击的类型

（1）拒绝服务型攻击

拒绝服务（DoS）攻击是攻击者利用系统漏洞通过各种手段来消耗网络带宽或服务器的系统资源，最终导致被攻击服务器资源耗尽或系统崩溃而无法提供正常的网络服务。

具体的DoS攻击方式有SYN Flood(洪泛)攻击、IP碎片攻击、Smurf攻击、死亡之ping攻击、泪滴(teardrop)攻击、UDP Flood(UDP洪泛)攻击和Fraggle攻击等。

（2）利用型攻击

猜测口令。

安放木马。

缓冲区溢出。

（3）信息收集型攻击

信息收集型攻击被用来为进一步入侵系统提供有用的信息。这类攻击主要利用扫描技术和信息服务技术进行，其具体实现方式有地址扫描、端口扫描、反向映射、DNS域转换和Finger服务等。

（4）虚假信息型攻击

虚假信息型攻击用于攻击目标配置不正确的消息。

2、拒绝服务攻击与防范

（1）DoS攻击主要是攻击者利用TCP/IP协议本身的漏洞或网络中操作系统漏洞实现的。

攻击者通过加载过多的服务将系统资源全部或部分占用，大量耗尽系统资源，使得服务器无法对正常请求进行响应，造成服务器瘫痪。

（2）可采用防火墙、入侵检测系统（IDS）和入侵防护系统（IPS）等技术措施防范DoS攻击。

具体措施包括：

关掉可能产生无限序列的服务，防止洪泛攻击。

对系统设定相应的内核参数，使系统强制对超时的SYN请求连接数据包复位，同时通过缩短超时常数和加长等候队列使系统能迅速处理无效的SYN请求数据包。

在路由器上做些诸如限制SYN半开数据包流量和个数配置的调整。

在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段。

3、分布式拒绝服务攻击与防范

分布式拒绝服务，即DDoS（Distributed Denial of Service）攻击是一种基于DoS的特殊形式的拒绝服务攻击。是分布式的、协作的大规模攻击方式，较DoS具有更大的破坏性。

（1）分布式拒绝服务攻击体系结构

（2）DDoS攻击的过程

DDoS攻击是在传统的DoS攻击基础之上产生的一种攻击方式。它利用更多的被控制机发起进攻，以更大的规模进攻受害者。

过程为：搜集目标情况->占领傀儡机->实施攻击

（3）DDoS攻击的防范措施

在主机上可使用扫描工具检测系统的脆弱性、采用网络入侵检测系统和嗅探器、及时更新系统补丁等措施防范DDoS攻击。

在防火墙上采取禁止对主机的非开放服务的访问、限制同时打开的SYN最大连接数、限制特定IP地址的访问、限制开放服务器的对外访问等设置。

在路由器上采取检查每一个经过路由器的数据包、设置SYN数据包流量速率、在边界路由器上部署策略、使用CAR(Control Access Rate)限制ICMP数据包流量速率等设置防范DDoS攻击。

完善站点设计、及时安装补丁、运行尽可能少的服务、优化网络和路由结构。

4、缓冲区溢出攻击与防范

（1）缓冲区溢出攻击

缓冲区是用户为程序运行而在计算机中申请的一段连续的内存，它保存给定类型的数据。缓冲区溢出是指通过向缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令的攻击。

（2）缓冲区溢出攻击的防范

编写正确的代码。

非执行缓冲区保护。

数组边界检查。

程序指针完整性检查。

三、密码保护技巧

1、密码的设置

一般情况下，密码长度应不少于6位，密码中最好包含大小写字符、数字、标点符号、控制字符和空格等，且最好这些符号交叉混合排序。

2、密码的管理

要有严格的密码管理观念，要定期更换密码，不要保存密码在本地等。

3、使用动态密码

动态密码（Dynamic Password）也称一次性密码，它是指用户的密码按照时间或使用次数不断地动态变化，每个密码只使用一次。

更多精彩内容请关注本站！