《2022年黑客攻击揭密-分析选定的网络攻击.docx》由会员分享,可在线阅读,更多相关《2022年黑客攻击揭密-分析选定的网络攻击.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2022年黑客攻击揭密-分析选定的网络攻击由于黑客攻击最近在新闻中屡有报导,我们都知道须要仔细地对待计算机平安问题。尽管有很多出版物介绍可以用来确保计算机环境平安的软件,但很少有出版物说明黑客攻击事实上是如何执行的。假如您负责确保公司的计算机环境的平安,那么,理解黑客攻击的工作原理对您就很重要了。在本文中,Michael Pichler 分析了一些好玩的网络攻击并说明白它们是如何工作的。您将看到黑客是多么富于创建性,并将了解自己的软件中所包含的一些特性是如何被利用来应付您的。本文适合于对网络有肯定理解,但不肯定从事网络领域日常工作的读者。黑客基础学问不难想象,本文可选择的攻击类型范围很广。我之
2、所以选取本文所探讨的几种特定攻击,是因为它们不须要太多关于所涉及协议的学问,但仍旧能有效地说明白攻击是如何执行的、攻击事实上是多么简洁(一旦您知道了具体信息)以及攻击者所需的资源(计算和网络)是多么有限。尽管不行能在本文中涵盖关于黑客攻击的整个主题,但我已尽可能简化基本原理,而仍旧尽量多地供应必要信息,以便您理解所描述的攻击。攻击的种类稍后您将了解关于所选取的攻击及其执行方式的具体信息。但在起先探讨之前,您须要理解这个领域的一些术语。通常,攻击是按其特征分类的。下面描述了这些特征中的两种:扫描:扫描或跟踪踪迹(footprinting)是黑客的初始信息收集过程的一部分。在黑客能够攻击系统之前,
3、他们须要收集关于该系统的信息,如网络布局、操作系统类型、系统可用服务、系统用户等。黑客可以依据所收集的信息推断出可能的弱点,并选择对选定目标系统的最佳攻击方法。拒绝服务攻击:通常,黑客瞄准特定系统,闯入系统以便将其用于特定用途。那些系统的主机平安性常常会阻挡攻击者获得对主机的限制权。但进行拒绝服务攻击时,攻击者不必获得对系统的限制权。其目标只是使系统或网络过载,这样它们就无法接着供应服务了。拒绝服务攻击可以有不同的目标,包括带宽消耗(bandwidth consumption)和资源缺乏(resource starvation)。协议本文探讨了针对网际限制报文协议(ICMP)和传输限制协议(T
4、CP)上的攻击,这两个协议都属于网际协议(IP)系列。在深化探讨关于这些协议的具体信息之前,我准备先在适合于这些协议的环境中探讨它们。图 1 显示了将以太网假定为底层物理网络技术时的网际协议(Internet Protocol)栈的简化图。图 1. 网际协议栈如图 1 所示,网络协议通常是分层的。这样做是有意义的,因为底层协议供应很基本的服务,如网络电缆上的信号传输。此外,较高级别的协议供应更困难的应用层服务,如 Telnet。每个层都运用下面一层的服务,这使得顶层协议能够在物理网络上传输消息。让我们简要地探讨一下图 1 中显示的协议。称为物理层协议的两个底层处理网络电缆上的实际信号传输。高一
5、级别的协议 网际协议(IP)运用这一服务。网际协议(IP)供应“主机对主机”包(或数据报)传递服务。IP 在底层物理网络的边界之间供应最基本的数据报传递形式。反过来,IP 层又供应由网际限制报文协议(ICMP)和传输限制协议(TCP)运用的服务。网际限制报文协议(ICMP)是 IP 的组成部分,但它运用某些 IP 服务。ICMP 供应服务,使主机能够彼此沟通限制信息。ICMP 由 IP 和一些更高级别的协议运用,如传输限制协议(TCP)。传输限制协议(TCP) 是本文中探讨的第三个重要协议。TCP 的功能比 IP 更进一步,并供应两个重要特性:连接和服务质量。这意味着您可以在两台主机之间开一个
6、虚拟通道,通过这个通道,使得所发送的包的依次及其实际传递都得到保障。接下来更高的一级是应用层协议,如 Telnet 和 SMTP。它们都运用由 TCP 供应的服务。例如,当您用 Telnet 连接到主机时,打开一个连接,并且您希望全部输入这个 Telnet 会话的数据都以正确的依次发送到接收主机。理解 IP尽管我将不在本文中介绍任何 IP 级别的攻击,但我的确须要略微具体地探讨 IP,因为它是 ICMP 和 TCP 的底层协议。IP 供应在两个设置为 IP 节点的网络节点(称为源和目的地)间传输数据块的服务。源和目的地节点都用 IP 地址标识。要使一个 IP 网络中的两个节点能够通信,那些 I
7、P 地址必需在整个网络中是唯一的。IP 地址(IP 版本 4)是一个 32 位数,通常以点分十进制符号(如 10.0.0.1)表示。因为 IP 供应的是无连接、不行靠、最高效的(best-effort)数据报传递服务,所以 IP 的运用范围多少受到了限制。但是,它供应两个基本功能:寻址和分段。地址(在 IP 数据报头中封装为源和目的地地址)用来将数据报传输到其目的地,这个过程称为路由。有两种基本状况:接收主机和发送主机位于同一子网,这种状况下数据报将被干脆从发送方发送到接收方。接收主机位于不同的子网,这种状况下发送主机将把数据报转发到网关(连接两个子网的 IP 主机),然后,假如目的地主机在一
8、个与网关相连的子网中,则网关会尝试将数据报传递到目的地主机。假如目的地主机不在与网关相连的子网中,网关将会把数据报转发到另一个网关。这个过程将反复进行,直到能够将数据报传递到其目的地主机为止。假如要传输的数据报超过了底层物理层规定的最大包的大小,则 IP 模块会在发送前将该数据报分割成几个较小的包(称为分段),然后在接收中时重新组装它们。既然我已经介绍了基础学问,现在可以探讨个别协议了。在以下几节中,您将找到关于 ICMP 和 TCP 的更具体的信息以及一些运用这些协议的好玩的攻击。运用 ICMP因为 ICMP 是面对包的,所以它在相互连接的网络系统中是不行靠的主机对主机数据报服务,供应无保证
9、的传递。ICMP 运用 IP 的基本支持,就好象是更高级别的协议。但是,ICMP 是 IP 的组成部分 这基本上意味着 ICMP 包将 IP 头用于传输 而且 ICMP 必需由每个 IP 模块实现。通常,ICMP 用来报告主机上数据报处理中的错误。ICMP 的部分功能包括:目的地不行到达消息:假如依据网关的路由表,数据报中指定的要转发的目的地地址是不行到达的,则网关会向源主机返回 ICMP 的目的地不行到达消息,通知发送主机包传递不胜利。超时消息:每个 IP 数据报头中都包含一个字段 称为“生存时间字段” 它指出数据报在被丢弃之前还能在因特网上保持多久。数据报在因特网上保持的时间以跳动点(ho
10、p)衡量,其中一个跳动点表示数据报通向目的地节点路径上的一个网关。当数据报经过网关转发时,它就将生存时间字段中的值减一。假如处理数据报的网关测定该数据报 IP 头中的生存时间字段为 0,则丢弃该数据报并用超时消息通知源主机。回应恳求和回应应答消息:假如主机 A 想知道主机 B 是否是活动的,则主机 A 会向主机 B 发送一条 ICMP 回应恳求消息。主机 B 将用 ICMP 回应应答消息来应答,以表明自己是活动的。这条消息就是众所周知的 ping 包。以上这些并不是 ICMP 所运用的全部消息类型,但它们能使您大致了解 ICMP 的用途。接下来我将向您介绍两种 ICMP 攻击。目的地不行到达攻
11、击类别:拒绝服务攻击描述:如上所述,ICMP 目的地不行到达消息向尝试转发消息的网关供应了一种工具,用来通知发送方:因为在数据报目的地地址中指定的主机不行到达,所以无法传递该消息。您可能会猜想“目的地不行到达攻击”会是什么情形。让我们假设网关 G 连接了两个网络:网络 10.1.0.0 和网络 10.2.0.0。假设主机 A 地址为 10.1.23.3(因此属于网络 10.1.0.0),它想将数据报发送到主机 B,其地址为 10.2.156.34(因此属于 10.2.0.0)。在传输过程中,数据报将被发送到网关 G,而网关 G 又会将它转发到目的地主机。假如入侵者获得了网络 10.1.0.0
12、中一台主机的访问权,那么,他可以广播一条“目的地不行到达消息”,声明网关 G 对于他所在网络的全部主机是不行到达的。这将使网关 G 和网络 10.2.0.0 短暂变得不行用,因而不行能从网络 10.1.0.0 向网络 10.2.0.0 传输任何消息。这种攻击背后的动机只是使网络或服务短暂瘫痪。因为攻击者不须要功能强大的机器或高速的网络连接来执行这种攻击,所以它特殊危急。Smurf 攻击类别:拒绝服务攻击描述:Smurf 攻击是拒绝服务攻击的一种特别可怕的形式,因为它具有放大效应。Smurf 攻击利用 ICMP 回应消息。如上所述,主机 A 每次向主机 B 发送回应恳求消息时,主机 B 都会返回
13、回应应答消息以表明自己是活动的。名称“Smurf 攻击”源自一个名为 smurf 的利用程序,攻击者用该程序来执行这种攻击。在深化探讨这种攻击的具体信息之前,我应当说明一下术语电子欺瞒(spoofing)。电子欺瞒可以说明成用于伪造的网络平安术语。它指的是攻击者有方法构造包含错误数据的网络数据报。例如,攻击者可以从主机 A 向主机 B 发送数据报,但在该数据报头的源地址字段运用主机 C 的 IP 地址。这样,主机 B 就会认为包是来自主机 C 而不是主机 A。事实上,主机 C“假扮”了主机 A,而主机 B 对此一窍不通。知道了这一点,假设攻击者构造了一条 ICMP 回应消息,它的头中包含伪造的随意主机 A 的源地址,如 192.168.2.2。让我们进一步假设主机 A