端口扫描的目的是找出目标系统上提供的服务列表。端口扫描程序挨个尝试与 TCP/UDP端口连接,然后根据端口与服务的对应关系,结合服务器端的反应推断目标系统上是否运行了某项服务,攻击者通过这些服务可能获得关于目标系统的进一步的知识或通往目标系统的途径。根据端口扫描利用的技术,扫描可以分成多种类型,下面分别叙述。
完全连接扫描利用 TCP/IP 协议的三次握手连接机制,使源主机和目的主机的某个端口建立一次完整的连接。如果建立成功,则表明该端口开放。否则,表明该端口关闭。
半连接扫描是指在源主机和目的主机的三次握手连接过程中,只完成前两次握手,不建立一次完整的连接。
首先向目标主机发送连接请求,当目标主机返回响应后,立即切断连接过程,并查看响应情况。如果目标主机返回 ACK 信息,表示目标主机的该端口开放。如果目标主机返回 RESET信息,表示该端口没有开放。
这种扫描方法需要用一台第三方机器配合扫描,并且这台机器的网络通信量要非常少,即dumb主机(哑主机)。
首先由源主机A向dumb主机B发出连续的 PING 数据包,并且查看主机B返回的数据包ID头信息。一般而言,每个顺序数据包的ID头的值会增加 1。然后由源主机A假冒主机B的地址向目的主机C的任意端口 (1 ~65535) 发送 SYN 数据包。这时,主机C向主机B发送的数据包有两种可能的结果:
那么,由后续 PING 数据包的响应信息的 ID 头信息可以看出,如果主机C的某个端口是开放的,则主机B返回A的数据包中,ID 头的值不是递增 1, 而是大于1。如果主机C的某个端口是非开放的,则主机B返回A的数据包中, ID 头的值递增 1, 非常规律。
隐蔽扫描是指能够成功地绕过 IDS 、防火墙和监视系统等安全机制,取得目标主机端口信息的一种扫描方式。
由源主机向目标主机的某个端口直接发送 SYN|ACK 数据包,而不是先发送 SYN 数据包。由于这种方法不发送 SYN 数据包,目标主机会认为这是一次错误的连接,从而会报错。
如果目标主机的该端口没有开放,则会返回 RST 信息。如果目标主机的该端口处于开放状态 (LISTENING) ,则不会返回任何信息,而是直接将这个数据包抛弃掉。
源主机A向目标主机B发送 FIN 数据包,然后查看反馈信息。如果端口返回 RESET 信息,则说明该端口关闭。如果端口没有返回任何信息,则说明该端口开放。
首先由主机A向目标主机B发送 FIN 数据包,然后查看反馈数据包的 TTL 值和 WIN 值。开放端口所返回的数据包的 TTL 值一般小于 64, 而关闭端口的返回值一般大于64 。开放端口所返回的数据包的 WIN 般大于 0, 而关闭端口的返回值一般等于0。
将源主机发送的数据包中的 ACK FIN RST SYN URG PSH 等标志位全部置空。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回 RST 信息,则表明该端口是关闭的。
XMAS 扫描的原理和 NULL 扫描相同,只是将要发送的数据包中的 ACK、FIN、RST、SYN、URG、PSH 等头标志位全部置成 。如果目标主机没有返回任何信息,则表明该端口是开放的。如果返回 RST 信息,则表明该端口是关闭的。
对于大部分人和系统来说,口令机制是资源访问控制的第一道屏障,也是最后一道屏障。所以网络攻击者常常以破解用户的弱口令为突破口,获取系统的访问权限。口令破解的主要工作流程如下:
3、在用户列表文件及字典文件中,选取一组用户和口令,按网络服务协议规定,将用户名及口令发送给目标网络服务端口;
5、如未成功,再取另一组用户和口令,重复循环试验,直至口令用户列表文件及字典文件选取完毕。
缓冲区溢出攻击是攻击者通过程序向缓冲区写入超长的、预设的内容,导致缓冲区溢出,覆盖其它正常的程序或数据,然后让计算机去运行预设的程序,达到执行非法操作、实现攻击目的。
四、恶意代码
恶意代码是指为达到恶意目的而专门设计的程序或代码,旨在破坏计算机或网络系统的可靠性、可用性、安全性和数据完整性或者损耗系统资源的恶意程序。常见的恶意代码类型有计算机病毒、网络蠕虫、特洛伊木马、后门、逻辑炸弹、僵尸网络等。
五、拒绝服务
拒绝服务攻击是指攻击者利用系统的缺陷,执行一些恶意的操作消耗系统资源,使得目标系统用户不能及时得到应得的服务或系统资源。
攻击者假造源网址 (Source IP) 发送多个同步数据包 (Syn Packet) 给服务器 (Server),服务器因无法收到确认数据包 (Ack Packet) ,使 TCP/IP 协议的三次握手 (Three-Way Hand-Shacking) 无法顺利完成,因而无法建立连接。其原理是发送大量半连接状态的服务请求,使Unix 等服务主机无法处理正常的连接请求,因而影响正常运作。
攻击主机利用简单的 TCP/IP 服务,对目标主机发送海量的UDP报文,消耗完目标主机的网络带宽。
攻击者伪装目标主机向局域网的广播地址发送大量欺骗性的ICMP请求,这些包被放大并发送至被欺骗的地址,大量的计算机向一台计算机回应ECHO包,导致目标系统网络阻塞。
攻击者利用邮件系统制造垃圾信息,通过专门的邮件炸弹 (mail bomb) 程序给受害用户的信箱发送垃圾信息,耗尽用户信箱的磁盘空间。
利用目标系统的计算算法漏洞,构造恶意输入数据集,导致目标系统的 CPU 或内存资源耗尽,从而使目标系统瘫痪。
6、死亡之 ping (ping of death)
早期,路由器对包的最大尺寸都有限制,许多操作系统在实现 TCP/IP 堆栈时,规定 ICMP包小于等于64KB, 并且在对包的标题头进行读取之后,要根据该标题头中包含的信息为有效载荷生成缓冲区。当产生畸形的、尺寸超过 ICMP 上限的包,即加载的尺寸超过 64KB 上限时,就会出现内存分配错误,导致 TCP/IP 堆栈崩溃,使接收方死机。
7、 泪滴攻击 (Teardrop Attack)
泪滴攻击暴露出 IP 数据包分解与重组的弱点 IP 数据包在网络中传输时,会被分解成许多不同的片传送,并借由偏移量字段 (Offset Field) 作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段,使计算机系统重组错乱,产生不可预期的后果。
8、分布式拒绝服务攻击 (Distributed Denial of Service Attack)
分布式拒绝服务攻击是指植入后门程序从远程遥控攻击,攻击者从多个已入侵的跳板主机控制数个代理攻击主机,所以攻击者可同时对已控制的代理攻击主机激活干扰命令,对受害主机大量攻击。
六、网络钓鱼
网络钓鱼 (Phishing)是一种通过假冒可信方(知名银行、在线零售商和信用卡公司等可信的品牌)提供网上服务,以欺骗手段获取敏感个人信息(如口令、信用卡详细信息等)的攻击方式。目前,网络钓鱼综合利用社会工程攻击技巧和现代多种网络攻击手段,以达到欺骗意图。网络钓鱼者利用欺骗性的电子邮件和伪造的网站来进行诈骗活动,诱骗访问者提供一些个人信息,如信用卡号、账户和口令、社保编号等内容,以谋求不正当利益。
七、网络窃听
网络窃听是指利用网络通信技术缺陷,使得攻击者能够获取到其他人的网络通信信息。常见的网络窃听技术手段主要有网络嗅探、中间人攻击。网络攻击者将主机网络接口的方式设成“杂乱”模式,就可以接收整个网络上的信息包,从而可以获取敏感的口令,甚至将其重组,还原为用户传递的文件。
八、SQL 注入
在Web 服务中,一般采用三层架构模式:浏览器+Web 服务器+数据库。其中, Web 脚本程序负责处理来自浏览器端提交的信息,如用户登录名和密码、查询请求等。但是,由于 Web脚本程序的编程漏洞,对来自浏览器端的信息缺少输入安全合法性检查,网络攻击者利用这种类型的漏洞 SQL 命令插入 Web 表单的输入域或页面的请求查找字符串,欺骗服务器执行恶意的 SQL 命令。
九、社交工程
网络攻击者通过一系列的社交活动,获取需要的信息。例如伪造系统管理员的身份,给特定的用户发电子邮件骗取他的密码口令。有的攻击者会给用户送免费程序,不过该程序除了完成用户所需的功能外,还隐藏了一个将用户的计算机信息发送给攻击者的功能。
十、电子监听
网络攻击者采用电子设备远距离地监视电磁波的传送过程。灵敏的无线电接收装置能够在远处看到计算机操作者输入的字符或屏幕显示的内容。
十一、会话劫持
会话劫持是指攻击者在初始授权之后建立一个连接,在会话劫持以后,攻击者具有合法用户的特权权限
十二、漏洞扫描
漏洞扫描是一种自动检测远程或本地主机安全漏洞的软件,通过漏洞扫描器可以自动发现系统的安全漏洞。常见的漏洞扫描技术有CGI 漏洞扫描、弱口令扫描、操作系统漏洞扫描、数据库漏洞扫描等。
十三、代理技术
网络攻击者通过免费代理服务器进行攻击,其目的是以代理服务器为“攻击跳板”,即使攻击目标的网络管理员发现了,也难以追踪到网络攻击者的真实身份或 IP 地址。为了增加追踪的难度,网络攻击者还会用多级代理服务器或者“跳板主机”来攻击目标。代理服务器被叫作“肉鸡”,黑客常利用所控制的机器进行攻击活动,例如 DDoS 攻击。
十四、数据加密
网络攻击者常常采用数据加密技术来逃避网络安全管理人员的追踪。加密使网络攻击者的数据得到有效保护,即使网络安全管理人员得到这些加密的数据,没有密钥也无法读懂,这样就实现了攻击者的自身保护。攻击者的安全原则是,任何与攻击有关的内容都必须加密或者立刻销毁。
