网络攻击方法分析与防范措施

左手的ㄟ右手 2022-03-21 05:38 248阅读 0赞

推荐阅读（仅仅三页内容）：常见网络攻击手段分析及防御原理

一个网站建立以后,如果不注意安全方面的问题,很容易被人攻击,下面我就总结几种常见的漏洞的简介与攻击原理分析

前奏：  
什么是网络安全

![è¿éåå¾çæè¿°][70]  
黑客入侵技术的发展

![è¿éåå¾çæè¿°][70 1]

攻击技术：  
一、DoS攻击：

不是用DoS操作系统攻击，其全称为Denial of Service——拒绝服务。它通过协议方式，或抓住系统漏洞，集中对目标进行网络攻击，直到对方网络瘫痪，大家常听说的洪水攻击，疯狂Ping攻击都属于此类。由于这种攻击技术门槛较低，并且效果明显，防范起来比较棘手，所以其一度成为准黑客们的必杀武器，进而出现的DDoS(Distubuted Denial of Service分布式拒绝服务)攻击，更是让网络安全管理员感到头痛。

可别小看这种攻击，虽然DoS攻击原理极为简单，早已为人们所熟知。但目前全球每周所遭遇的DoS攻击依然达到4000多次，正是因为简单、顽固的原因，让DoS攻击如野草般烧之不尽，DoS攻击最早可追述到1996年，在2000年发展到极致，这期间不知有多少知名网站遭受到它的骚扰。

对于国内网络来说，DoS攻击更是能体现“黑客”们的价值，他们组成了一列列僵尸网络，多线程攻击目标主机，一切看起来似乎很简单，但对于服务器来说确实难以应对。

那企业管理员该如何呢?在应对常见的DoS攻击时，路由器本身的配置信息非常重要，管理员可以通过以下方法，来防止不同类型的DoS攻击。

扩展访问列表是防止DoS攻击的有效工具，其中Show IP access-list命令可以显示匹配数据包，数据包的类型反映了DoS攻击的种类，由于DoS攻击大多是利用了TCP协议的弱点，所以网络中如果出现大量建立TCP连接的请求，说明洪水攻击来了。此时管理员可以适时的改变访问列表的配置内容，从而达到阻止攻击源的目的。

如果用户的路由器具备TCP拦截功能，也能抵制DoS攻击。在对方发送数据流时可以很好的监控和拦截，如果数据包合法，允许实现正常通信，否则，路由器将显示超时限制，以防止自身的资源被耗尽，说到底，利用设备规则来合理的屏蔽持续的、高频度的数据冲击是防止DoS攻击的根本。

二、ARP攻击：

网络提示连接出现故障，IP冲突，无法打开网页，频繁弹出错误对话框。如果你的PC有以上的表现，那就要考虑是否遭到ARP攻击了。

ARP欺骗是通过MAC翻译错误造成计算机内的身份识别冲突，它和DOS一样，目前没有特别系统的解决方案，但有一些值得探讨的技术技巧。

一般我们采取安装防火墙来查找攻击元凶，利用ARP detect可以直接找到攻击者以及可能参与攻击的对象。ARP detect默认启动后会自动识别网络参数，当然用户还是有必要进行深入设置。首先要选择好参与内网连接的网卡，这点非常重要，因为以后所有的嗅探工作都是基于选择的网卡进行的。然后检查IP地址、网关等参数。

需要提醒用户的是，检测范围根据网络内IP分布情况来设置，如果IP段不清楚，可以通过CMD下的ipconfig来查看网关和本机地址。不要加入过多无效IP，否则影响后期扫描工作。不过遗憾的是，这种方法在很多ARP病毒攻击的情况下并不乐观。首先我们需要管理员多做一些工作，尤其是路由器上的IP地址绑定，并且随时查看网络当前状态是否存在IP伪装终端，先确实找到攻击源并采取隔离措施。

ARP攻击一旦在局域网开始蔓延，就会出现一系列的不良反应。sniffer是网络管理的好工具，网络中传输的所有数据包都可以通过sniffer来检测。同样arp欺骗数据包也逃不出sniffer的监测范围。通过嗅探→定位→隔离→封堵几个步骤，可以很好的排除大部分ARP攻击。

三、脚本攻击：

大家都听过SQL注入攻击吧，所谓SQL注入就是利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，所谓SQL注入就是利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，这种攻击脚本最直接，也最简单，当然，脚本攻击更多的是建立在对方漏洞的基础上，它比DOS和ARP攻击的门槛更高。

随着交互式网页的应用，越来越多的开发者在研究编写交互代码时，漏掉了一些关键字，同时也会造成一部分程序冲突。这里包括Cookie欺骗、特殊关键字未过滤等等。导致了攻击者可以提交一段数据库查询代码，根据程序返回的结果，获得一些他想得到的数据。SQL注入利用的是正常的HTTP服务端口，表面上看来和正常的web访问没有区别，隐蔽性极强，不易被发现。

虽然这项技术稍显落后，国内也是在几年前才开始兴起，但涉及到其覆盖面广，出现问题的几率大，造成很多网站都不行中招，甚至导致服务器被攻陷。

SQL注入攻击的特点就是变种极多，有经验的攻击者会手动调整攻击参数，致使攻击数据的变种是不可枚举的，这导致传统的特征匹配检测方法仅能识别相当少的攻击，难以防范。因为采取了参数返回错误的思路，造成很多方式都可以给攻击者提示信息，所以系统防范起来还是很困难，现在比较好的办法是通过静态页面生成方式，将终端页面呈现在用户面前，防止对方随意添加访问参数。

四、嗅探扫描

常在网上漂，肯定被扫描。网络扫描无处不在，也许你觉得自己长期安然无事，那是因为你的终端不够长期稳定的联在网上。对于服务器来说，被扫描可谓是危险的开始。这里面又以Sniffer为主。如何发现和防止Sniffer嗅探器呢?

通过一些网络软件，可以看到信息包传送情况，向ping这样的命令会告诉你掉了百分几的包。如果网络中有人在监听扫描，那么信息包传送将无法每次都顺畅的流到目的地，这是由于sniffer拦截每个包导致的。

通过某些带宽控制器，比如防火墙，可以实时看到目前网络带宽的分布情况，如果某台机器长时间的占用了较大的带宽，这台终端就有可能在监听。

另一个比较容易接受的是使用安全拓扑结构。这听上去很简单，但实现起来花销是很大的。这样的拓扑结构需要有这样的规则：一个网络段必须有足够的理由才能信任另一网络段。网络段应该考虑你的数据之间的信任关系上来设计，而不是硬件需要。

在网络上，各种攻击层出不穷，但对于终端来说，防范管理都要注意以下几个方面：

1.要做好路由器的保护，它是攻击成败的转折点

2.不要以为自己的口令很复杂，获取口令不仅仅是靠猜解

3.终端的端口和服务是控制危险的平衡闸

4.注意系统的升级

5.带宽要足够，并且稳定，如果资金允许，配备强大的硬件防火墙

攻击手法：  
配一张比较全面的图：

![è¿éåå¾çæè¿°][70 2]

一、拒绝服务

TCP SYN泛洪   
ping泛洪   
放大攻击 <== 充分利用广播地址。发送伪造包至广播网，受害者被大量回复数据包淹没   
分布式Dos泛洪 <== 僵尸网络攻击Dos攻击一个受害者

二、畸形数据

死亡之ping   
泪滴 <== 发送具有重叠偏移量的数据包片段   
SYN比特和FIN比特同时设置   
没有设置任何标志的TCP报文攻击   
设置了FIN标志却没有设置ACK标志的TCP报文攻击

在TCP报文的报头中，有几个标志字段：

1. SYN：连接建立标志，TCP SYN报文就是把这个标志设置为1，来请求建立连接   
　　2. ACK：回应标志，在一个TCP连接中，除了第一个报文（TCP SYN）外，所有报文都设置该字段，作为对上一个报文的相应   
　　3. FIN： 结束标志，当一台计算机接收到一个设置了FIN标志的TCP报文后，会拆除这个TCP连接   
　　4. RST：复位标志，当IP协议栈接收到一个目标端口不存在的TCP报文的时候，会回应一个RST标志设置的报文   
　　5. PSH：通知协议栈尽快把TCP数据提交给上层程序处理

三、TCP/IP劫持

伪造数据包接管受害者与服务器之间的通信。

RST劫持 <== 最简单的方式  
四、路由协议攻击

扰乱路由表、转发表，但如果路由器、交换机开启了HMAC验证，则不会成功。

五、网络扫描

发现各种TCP/IP端口的分配、开放的服务、Web服务软件版本和这些服务及软件呈现在Internet上的安全漏洞。

有三个阶段：

发现目标 <== ping扫描  
确认目标信息（操作系统、服务类型、版本、网络拓扑等）<== 端口扫描、操作系统探测  
确认是否有安全漏洞 <== 网络安全扫描  
端口扫描原理:

根据TCP协议规范，当一台计算机收到一个TCP连接建立请求报文（TCP SYN）的时候，做这样的处理：

如果请求的TCP端口是开放的，则回应一个TCP ACK报文，并建立TCP连接控制结构（TCB）

如果请求的TCP端口没有开放，则回应一个TCP RST（TCP头部中的RST标志设为1）报文，告诉发起计算机，该端口没有开放

相应地，如果IP协议栈收到一个UDP报文，做如下处理：

如果该报文的目标端口开放，则把该UDP报文送上层协议（UDP）处理，不回应任何报文（上层协议根据处理结果而回应的报文例外）

如果该报文的目标端口没有开放，则向发起者回应一个ICMP不可达报文，告诉发起者计算机该UDP报文的端口不可达

常见的系统入侵步骤：

![è¿éåå¾çæè¿°][70 3]  
安全防范措施：

![è¿éåå¾çæè¿°][70 4]  
外链：

PPT详解网络攻击的常见手段与防范措施   
四大网络攻击常见手段及防护   
WEB网站常见的攻击方法总结与原理分析   
《常见网络攻击手段分析及防御原理 》书籍下载  
[https://blog.csdn.net/m0\_37925202/article/details/80298511][https_blog.csdn.net_m0_37925202_article_details_80298511]

[70]: /images/20220321/d78e605047894df695e1837b28603583.png
[70 1]: /images/20220321/54f8b5d4307b460992e380ea93bec7a4.png
[70 2]: /images/20220321/b533a60fc3244c96988c63a914ebf465.png
[70 3]: /images/20220321/375a255c92644c0c9bfacddc69e4e237.png
[70 4]: /images/20220321/de8711dc105e400ea55d7231e8a9eda6.png
[https_blog.csdn.net_m0_37925202_article_details_80298511]: https://blog.csdn.net/m0_37925202/article/details/80298511