Anna艷娜
2
CISO
高級信息系統項目管理師
PMP
Anna艷娜2
CISO
高級信息系統項目管理師
PMP
協議漏洞攻擊有以下攻擊手段:
WinNuke攻擊:操作系統在設計處理TCP數據包時,都嚴栺遵循了TCP狀態機,但遇到不符合狀態機的數據包時,若不知所措,就可能造成死機。WinNuke攻擊首先發送一個設置了URG標志的TCP數據包,當操作系統接收到這樣的數據包時,說明有緊急情況發生,并且,操作系統要求得到進一步的數據,以說明具體情況。此時,攻擊者發送一個RST數據包,構造了TCP狀態機中不會出現的數據包,若操作系統(如未打補丁的Windows NT)不能正確處理,就會死機,使連接異常終止,服務中斷。
Smurf攻擊:IP規定主機號為全1的地址為該網段的廣播地址,路由器會把這樣的數據包廣播給該網絡上的所有主機。Smurf攻擊利用了廣播數據包,可以將一個數據包“放大”為多個。攻擊者偽裝某源地址向一個網絡廣播地址發送一組ICMP回應請求數據包,這些數據包被轉發到目標子網的所有主機上。由于Smurf攻擊發出的是ICMP回應請求,因此所有接收到該廣播包的主機將向被偽裝的源地址發回ICMP回應應答。攻擊者通過幾百個數據包就可以產生成千上萬的數據包,這樣不僅可以造成目標主機的拒絕服務,而且還會使目標子網的網絡本身也遭到DoS攻擊。
Land攻擊:Land攻擊的特征是IP協議中IP源地址和目標地址相同。操作系統如Window NT不知道該如何處理這種情況,就可能造成死機。Land攻擊向UDP目標端口135發送偽裝的遠程過程調用(remote procedure call, RPC)的UDP數據包,使之看上去好像是一個RPC服務器在向另一個RPC服務器發送數據,目標服務器將返回一個REJECT數據包,而源服務器用另一個REJECT數據包應答,結果就會造成死循環,只有當數據包作為異常處理被丟掉時循環才會中止。如果將偽裝的UDP數據包發送至多臺主機,就會產生多個循環,將消耗大量處理器資源和網絡帶寬。
TCP序列號預計:首先,攻擊者以真實的身份做幾次嘗試性的連接,在每次連接過程中把其中的ISN號記錄下來,通過統計,對往返時間(round trip time, RTT)進行平均求值,以猜測下一次可能的ISN。如果ISN的實現是每秒鐘ISN增加128000,每次連接增加64000,那么緊接著下一次與服務器建立連接時服務器采用的ISN是128000乘以RTT的一半,再加上64000。
SYN Flood攻擊:SYN Flood攻擊利用的是TCP的設計漏洞。正常的TCP連接要完成三次握手過程,建立可靠的連接。假設一個用戶向服務器發送了SYN報文后突然死機或掉線,那么服務器在發出SYN+ACK應答報文后是無法收到客戶端的ACK報文的,即第三次握手無法完成。在這種情況下服務器端會重試,再次發送SYN+ACK給客戶端,并等待一段時間,判定無法建立連接后,丟棄這個未完成的連接。這段等待時間稱為SYN中止時間(timeout),一般為30s~2min。
循環攻擊:循環攻擊利用的是UDP漏洞。UDP端口7為回應端口(echo),當該端口接收到一個數據包時,會檢查有效負載,再將有效負載數原封不動的回應給源地址。UDP端口19為字符生成端口Chargen(character generator),此端口接收到數據包時,以隨機字符串作為應答。如果這些端口是打開的,假設運行了回應服務的主機為E(echo主機),運行了字符生成服務的主機為C(chargen主機),攻擊者偽裝成E主機UDP端口7向C主機UDP端口19發送數據包,于是主機C向E發送一個隨機字符串,然后E將回應C, C再次生成隨機字符串發送給E。這個過程以很快的速度持續下去,會耗費相關主機的CPU時間,還會消耗大量的網絡帶寬,造成資源匱乏。
Fraggle攻擊:Fraggle攻擊發送畸形UDP碎片,使得被攻擊者在重組過程中發生未加預料的錯誤,導致系統崩潰。典型的Fraggle攻擊使用的技術有碎片偏移位的錯亂、強制發送超大數據包等。例如,一個長為40字節的數據在發送時被分為兩段,包含第一段數據的數據包發送了數據0~36字節,包含第二段數據的數據包在正常情況下應該是37~40的4個字節,但攻擊者構造并指定第二個數據包中包含第二段數據且為數據的24~27字節來迷惑操作系統,導致系統崩潰。
通過以下方法可以減輕該漏洞類型的危害:
更換默認密碼:如此之多的設備和應用程序使用的還是默認的用戶名和密碼,這種情況多少有些令人驚訝。網絡攻擊者也清楚地認識到這一點。如果不相信的話,可以在網上搜索默認密碼,就會明白更換它們的重要性了。采用有效的密碼策略是最好的辦法;對于網絡安全來說,任何字符串密碼與默認密碼相比,都是向正確方向邁出的一大步。
不要重復使用密碼:相同的用戶名/密碼組合被頻繁地重復使用,這樣做可以帶來很大的方便。但不法之徒也會了解到這一點。如果他們獲得了一個用戶名/密碼組合,就會在其它地方進行嘗試。不要為他們提供方便。很多有用的密碼助手只需要記住可以進入的主密碼就可以了。此后,只要選擇對應的項目就可以完成整個操作。
在員工離職時,立即禁用其帳戶:當攻擊者獲得內部信息的時間,更容易造成安全漏洞。因此,必須在員工離開的時間,禁用其使用的所有帳戶。這與員工的整個離職過程是否友好并沒有關系。
審查安全日志:優秀的系統管理員了解基線的位置并且會天天對系統日志進行審查。由于本文講述的是安全漏洞的相關內容,因此,在這里,特別強調安全日志,因為它們是安全的第一道防線。舉例來說,當審查Windows服務器安全日志時,系統管理員發現了529起事件(未知用戶名或錯誤密碼導致的登陸失敗)。這就是一個警告。系統管理員應該確認是有用戶忘記了密碼,還是攻擊者正試圖進行連接。
推薦文章
