各种网络攻击模式讲解(2)

防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。

畸形消息攻击

概览：各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有进行适当正确的错误校验，在收到畸形的信息可能会崩溃。

防御：打最新的服务补丁。

2、利用型攻击

利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三种：

口令猜测

概览：一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS这样的服务的可利用的用户帐号，成功的口令猜测能提供对机器控制。

您也可以在还没设置口令前，直接点击主界面工具栏的【锁定按钮】，在弹出框内直接输入设定口令进行锁定，届时口令将同时保存至加密设置界面。gb/t 10001.1-2006 标志用公共信息图形符号 第1部分: 通用符号gb/t 10001.2-2006 标志用公共信息图形符号 第2部分: 旅游休闲符号gb/t 10001.3-2011 标志用公共信息图形符号 第3部分: 客运货运符号gb/t 10001.4-2009 标志用公共信息图形符号 第4部分：运动健身符号gb/t 10001.5-2006 标志用公共信息图形符号 第5部分: 购物符号gb/t 10001.6-2006 标志用公共信息图形符号 第6部分：医疗保健符号gb/t 10001.9-2008 标志用公共信息图形符号 第9部分: 无障碍设施符号gb/t 10001.10-2007 标志用公共信息图形符号 第10部分: 铁路客运服务符号gb/t 16903.1-2008 标志用图形符号表示规则 第1部分：公共信息图形符号的设计原则gb/t 16903.2-2008 标志用图形符号表示规则 第2部分：测试程序gb/t 5845.2-2008 城市公共交通标志 第2部分：一般图形符号和安全标志gb/t 5845.4-2008 城市公共交通标志 第4部分：运营工具。力争到2020年，全市青少年公共体育服务促进体系更加完善，职工公共体育服务激励体系成效明显，公共体育服务保障体系、残疾人健身康复体系不断丰富，覆盖城乡的全民健身服务网络体系基本建成。

木马

概览：木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

roguekiller流氓软件专杀工具是一款专杀流氓软件的有效卸载工具，当我们的电脑运行速度慢，发现恶意软件或者插件，roguekiller最新版将扫描电脑上正在执行的应用程序并及时删除流氓程序。如果你的中出现这些情况应该保持警惕：在windows任务管理器中发现两个同名程序在运行、或者本程序不在系统盘中的system32目录中、如果没有进行软件的安装本进程也会时不时的运行或者开机就自动运行、或者系统提示本程序出现错误等情况都很有可能被感染了木马病毒或恶意软件，建议更新杀毒软件最新病毒库后进行全盘查杀通常可解决，如果故障依旧建议还原或重装操作系统。*潜在恶意程序防护：迈克菲是第一家致力于帮助用户防范恶意应用程序（包括商业软件、广告软件和拨号程序）的企业，即使这些程序可能已随同用户需要的一个程序被同时下载，用户依然能得到有效防护。

防御：避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的TCP服务。

缓冲区溢出

概览：由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数，最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾，这样当发生缓冲区溢出时，返回指针指向恶意代码，这样系统的控制权就会被夺取。

防御：利用SafeLib、tripwire这样的程序保护系统，或者浏览最新的安全公告不断更新操作系统。

3、信息收集型攻击

信息收集型攻击并不对目标本身造成危害，如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括：扫描技术、体系结构刺探、利用信息服务

扫描技术

地址扫描

概览：运用ping这样的程序探测

标地址，对此作出响应的表示其存在。

防御：在防火墙上过滤掉ICMP应答消息。

端口扫描

这是truehost服务主机的tcp端口，truehost客户端在此端口与服务主机建立tcp连接，完成登录、验证等操作。今天看了一篇关于在dos下如何用usb设备的文章，觉得对我们搞atm的工程师帮助比较大，因为nt一般不支持usb，所以特此制作了一张带usb驱动的win98启动盘，经测试，用这张盘启动的系统，可以在dos下正常访问我的u盘，希望这个工具能给大家带来一些方便，做的不好还请大家指教，记着先把要使用的usb设备与电脑主机连接，由于要读取usb驱动，因此电脑的启动时间会比平时稍长——启动盘会先扫描主板的usb端口，如果找到端口上的usb设备，则为其分配一个id识别号码(即盘符)，循环往复直到所有的usb设备侦测完毕。masscan强大之处在于其端口扫描的速度快，但是针对扫描出的端口无法探测其对应的服务及主机操作系统类型，这个时候nmap就派上用场了，可以利用nmap对已经扫描出的ip和端口进行服务探测和安全检查，这里采用redis临时存储masscan的扫描结果，nmap对masscan的结果再次进行扫描，将最终开放的端口及服务探测结果写入文件保存。

防御：许多防火墙能检测到是否被扫描，并自动阻断扫描企图。

反响映射

为实现能量检测扫描，设备网络层通过发送扫描类型（scantype）参数设置为能量检测扫描的mlme-scan.request原语到mac层进行信道能量检测扫描扫描结果通过mlme-scan.confirm原语返回。这里只讲解与tracert有关的icmp消息类型，网关发送超时报文(type = 11)，主机发送目标不可达报文(type = 3)，基本格。点滴7：设置触发端口：在配置完包含ila的bit文件后，analyzer能自动扫描到其中包含的ila和vio,已经配置过的fpga在点击扫描后也能显示出其中的ila和vio，左上角有窗口，选trigger-setup，可以设置match类型，（可选择的match类型在cdc设置时有说哦），radix是选择数据显示格式的（英语要好好学），trig选项卡中添加触发条件，add添加新的条件，触发条件可选多个触发单元and或or（谁点谁知道）。

防御：NAT和非路由代理服务器能够自动抵御此类攻击，也可以在防火墙上过滤“hostunreachable”ICMP应答。

慢速扫描

概览：由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目（例如每秒10次）来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

防御：通过引诱服务来对慢速扫描进行侦测。

体系结构探测

必须在对任意地址进行读操作或做一个复位响应操作之后才可以进行数据交 换。[0072]静态特征匹配具体的匹配可以包括:将脚本的二进制文件与静态特征库中的已知恶意脚本二进制文件进行匹配，将脚本的函数结构与静态特征库中的已知恶意脚本函数结构进行匹配，将脚本的至少部分字符串与静态特征库中的已知恶意脚本的字符串进行匹配。具体的匹配可以包括:将脚本的二进制文件与静态特征库中的已知恶意脚本二进制文件进行匹配，将脚本的函数结构与静态特征库中的已知恶意脚本函数结构进行匹配，将脚本的至少部分字符串与静态特征库中的已知恶意脚本的字符串进行匹配。

防御：去掉或修改各种Banner，包括操作系统和各种应用服务的，阻断用于识别的端口扰乱对方的攻击计划。

利用信息服务

DNS域转换

概览：DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器，黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

防御：在防火墙处过滤掉域转换请求。

Finger服务

概览：黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

防御：关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。

LDAP服务

概览：黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。

防御：对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。

4、假消息攻击

用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

DNS高速缓存污染

概览：由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证，这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

防御：在防火墙上过滤入站的DNS更新，外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

伪造电子邮件

概览：由于SMTP并不对邮件的发送者的身份进行鉴定，因此黑客可以对你

在这场新型恶意活动中，受害者会接收到一封垃圾邮件，其中包含一个微软office文件的附件，邮件中声称此附件为一个文件。对于网虫来说，挂马网站、下载的恶意软件（包括从邮件、即时通讯软件接收）是病毒、木马侵入我们电脑的最常见方式。此后，还出现了使用美图网、暴风、酷我等多家知名网络公司数字签名的“百家”远控木马，经腾讯电脑管家分析和联系相关公司确认，该木马所使用的数字签名是通过伪造资料恶意申请的。

防御：使用PGP等安全工具并安装电子邮件证书。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-111376-2.html