OpenStack网络攻击与防御(2)

防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。

传统的网络安全防御思想是在现有网络体系架构的基础上建立包括防火墙和安全网关、入侵检测等多层次的防御体系来提升网络及应用的安全性，但这种网络安全防御技术存在明显缺陷，尤其是难以有效抵御系统未知的软硬件漏洞攻击，难以预防潜在的各类后门攻击，难以有效应对各类越来越复杂和智能化的渗透式网络入侵。为解决这些问题，入侵检测技术（ids）在静态防御技术基础上逐渐发展起来，而入侵防御技术（ips）扩充了入侵检测技术，它改进了大多数ids 的被动模式，预先检测并对入侵活动和恶意网络流量进行拦截并将攻击数据包丢弃，阻止其进入系统，起到了主动保护系统的作用，而不象...。卜.载::具组,开启连接等,我们信息不能放在的主机上,否则也可能被必须给予进行这些行为的权限,而且这些信息也是入侵者发现,从而得知该系统是一个.冈此必须将信息数据包存放在一个安全的主机上.通我们所想要分析的一部分.如果不允许过这层保护让信息尽可能地完整利安全,在此期间任务对外的连接数据包,这时当有入侵者进入系统时,只需要呆在系统内很短的时问,就会发现有异 可采川多种方法, 卜.面就这些技术进行讨论.常,进而清除他们所有的踪迹.所以,必须允许入 信息捕捉的第一重机制就是防火墙.防火墒可侵者进行大部分的操作,但是对丁.攻击其他系统的 以川米进行信息的控制,还能够州米截取我们所要需求,如发动拒绝服务攻击、对外部网络进行扫描的信息.它可以记录所有进入以及离开的以及利川漏洞使州攻击程序攻击他人的行为,则一 连接信息.设定防火墙不仅仅可以记录所有的连接企图,还可及时发出警告信息.多数的珏。

概览：运用ping这样的程序探测目标地址，对此作出响应的表示其存在。

防御：在防火墙上过滤掉ICMP应答消息。

概览：通常使用一些软件，向大范围的主机连接一系列的TCP端口，扫描软件报告它成功的建立了连接的主机所开的端口。

防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。

为实现能量检测扫描，设备网络层通过发送扫描类型（scantype）参数设置为能量检测扫描的mlme-scan.request原语到mac层进行信道能量检测扫描扫描结果通过mlme-scan.confirm原语返回。这里只讲解与tracert有关的icmp消息类型，网关发送超时报文(type = 11)，主机发送目标不可达报文(type = 3)，基本格。点滴7：设置触发端口：在配置完包含ila的bit文件后，analyzer能自动扫描到其中包含的ila和vio,已经配置过的fpga在点击扫描后也能显示出其中的ila和vio，左上角有窗口，选trigger-setup，可以设置match类型，（可选择的match类型在cdc设置时有说哦），radix是选择数据显示格式的（英语要好好学），trig选项卡中添加触发条件，add添加新的条件，触发条件可选多个触发单元and或or（谁点谁知道）。

防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“hostunreachable”ICMP应答。

概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

防御：通过引诱服务来对慢速扫描进行侦测。

概览：黑客使用具有已知响应类型的的自动工具，对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法 （例NT和Solaris的TCP/IP堆栈具体实现有所不同），通过将此独特的响应与中的已知响应进行对比，黑客经常能够确定出目标主机所运行的 操作系统。

防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。

利用信息服务

概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

防御：在防火墙处过滤掉域转换请求。

概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。

概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。

端口映射功能可以让内部网络中某台机器对外部提供www服务，这不是将真ip地址直接转到内部提供www服务的主机，如果这样的话，有两个弊端：一是内部机器不安全，因为除了www之外，外部网络可以通过地址转换功能访问到这台机器的所有功能。如果反向nat提供动态网络地址及端口转换功能，还可以实现负载均衡等功能端口映射功能可以让内部网络中某台机器对外部提供www服务，这不是将真ip地址直接转到内部提供www服务的主机，如果这样的话邮件攻击主要是什么，有二个蔽端，一是内部机器不安全，因为除了www之外，外部网络可以通过地址转换功能访问到这台机器的所有功能。slammer，也称蓝宝石病毒，是一款ddos恶意程序，透过一种全新的传染途径，采取分布式阻断服务攻击感染服务器，它利用 sql server 弱点采取阻断服务攻击1434端口并在内存中感染 sql server，通过被感染的 sql server 再大量的散播阻断服务攻击与感染，造成 sql server 无法正常作业或宕机，使内部网络拥塞。

用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

概览：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你的内部客户伪造电子邮件，声称是来自某个客户认识并相信的人，并附带上可安装的木马程序，或者是一个引向恶意网站的连接。

防御：使用PGP等安全工具并安装电子邮件证书。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-106018-2.html