破解原理 所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然後再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然後再進行合法用戶口令的破譯。獲得普通用戶帳號的方法非常多,如
利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;
利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑;
從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;
查看主機是否有習慣性的帳號:有經驗的用戶都知道,非常多系統會使用一些習慣性的帳號,造成帳號的泄露。
常見途徑 放置特洛伊木馬程式
特洛伊木馬程式能直接侵入用戶的計算機並進行破壞,他常被偽裝成工具程式或遊戲等誘使用戶打開帶有特洛伊木馬程式的郵件附屬檔案或從網上直接下載,一旦用戶打開了這些郵件的附屬檔案或執行了這些程式之後,他們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬相同留在自己的計算機中,並在自己的計算機系統中隱藏一個能在windows啟動時悄悄執行的程式。當你連線到網際網路上時,這個程式就會通知攻擊者,來報告你的IP位址及預先設定的連線埠。攻擊者在收到這些信息後,再利用這個潛伏在其中的程式,就能任意地修改你的計算機的參數設定、複製檔案、窺視你整個硬碟中的內容等,從而達到控制你的計算機的目的。
WWW欺騙技術
在網上用戶能利用IE等瀏覽器進行各種各樣的WEB站點的訪問,如閱讀新聞組、諮詢產品價格、訂閱報紙、電子商務等。然而一般的用戶恐怕不會想到有這些問題存在:正在訪問的網頁已被黑客篡改過,網頁上的信息是虛假的!例如黑客將用戶要瀏覽的網頁的URL改寫為指向黑客自己的伺服器,當用戶瀏覽目標網頁的時候,實際上是向黑客伺服器發出請求,那么黑客就能達到欺騙的目的了。
一般Web欺騙使用兩種技術手段,即URL地址重寫技術和相關信關信息掩蓋技術。利用URL地址,使這些地址都向攻擊者的Web伺服器,即攻擊者能將自已的Web地址加在所有URL地址的前面。這樣,當用戶和站點進行安全連結時,就會毫不防備地進入攻擊者的服器,於是用記的所有信息便處於攻擊者的監視之中。但由於瀏覽器材一般均設有地址欄和狀態欄,當瀏覽器和某個站點邊接時,能在地址欄和狀態樣中獲得連線中的Web站點地址及其相關的傳輸信息,用戶由此能發現問題,所以攻擊者往往在URLf址重寫的同時,利用相關信息排蓋技術,即一般用JavaScript程式來重寫地址樣和狀枋樣,以達到其排蓋欺騙的目的。
電子郵件攻擊
電子郵件是互連網上運用得十分廣泛的一種通訊方式。攻擊者能使用一些郵件炸彈軟體或CGI程式向目的信箱傳送大量內容重複、無用的垃圾郵件,從而使目的信箱被撐爆而無法使用。當垃圾郵件的傳送流量特別大時,更有可能造成郵件系統對於正常的工作反映緩慢,甚至癱瘓。相對於其他的攻擊手段來說,這種攻擊方法具有簡單、見效快等好處。
通過節點攻擊
攻擊者在突破一台主機後,往往以此主機作為根據地,攻擊其他主機(以隱蔽其入侵路徑,避免留下蛛絲馬跡)。他們能使用網路監聽方法,嘗試攻破同一網路內的其他主機;也能通過IP欺騙和主機信任關係,攻擊其他主機。
這類攻擊非常狡猾,但由於某些技術非常難掌控,如TCP/IP欺騙攻擊。攻擊者通過外部計算機偽裝成另一台合法機器來實現。他能磙壞兩台機器間通信鏈路上的數據,其偽裝的目的在於哄騙網路中的其他機器誤將其攻擊者作為合法機器加以接受,誘使其他機器向他傳送據或允許他修改數據。TCP/IP欺騙能發生TCP/IP系統的所有層次上,包括數據鏈路層、網路層、運輸層及套用層均容易受到影響。如果底層受到損害,則套用層的所有協定都將處於危險之中。另外由於用戶本身不直接和底層相互相交流,因而對底層的攻擊更具有欺騙性。
網路監聽
網路監聽是主機的一種工作模式,在這種模式下,主機能接收到本網段在同一條物理通道上傳輸的所有信息,而不管這些信息的傳送方和接收方是誰。因為系統在進行密碼校驗時,用戶輸入的密碼需要從用戶端傳送到伺服器端,而攻擊者就能在兩端之間進行數據監聽。此時若兩台主機進行通信的信息沒有加密,只要使用某些網路監聽工具(如NetXRay for 視窗系統95/98/NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和帳號在內的信息資料。雖然網路監聽獲得的用戶帳號和口令具有一定的局限性,但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。 利用黑客軟體攻擊利用黑客軟體攻擊利用黑客軟體攻擊利用黑客軟體攻擊
利用黑客軟體攻擊
是互連網上比較多的一種攻擊手法。Back Orifice2000、冰河等都是比較著名的特洛伊木馬,他們能非法地取得用戶計算機的終極用戶級權利,能對其進行完全的控制,除了能進行檔案操作外,同時也能進行對方桌面抓圖、取得密碼等操作。這些黑客軟體分為伺服器端和用戶端,當黑客進行攻擊時,會使用用戶端程式登入上已安裝好伺服器端程式的計算機,這些伺服器端程式都比較小,一般會隨附帶於某些軟體上。有可能當用戶下載了一個小遊戲並運行時,黑客軟體的伺服器端就安裝完成了,而且大部分黑客軟體的重生能力比較強,給用戶進行清除造成一定的麻煩。特別是最近出現了一種TXT檔案欺騙手法,表面看上去是個TXT文本檔案,但實際上卻是個附帶黑客程式的可執行程式,另外有些程式也會偽裝成圖片和其他格式的檔案。
安全漏洞攻擊
許多系統都有這樣那樣的安全漏洞(Bugs)。其中一些是作業系統或套用軟體本身具有的。如緩衝區溢出攻擊。由於非常多系統在不檢查程式和緩衝之間變化的情況,就任意接受任意長度的數據輸入,把溢出的數據放在堆疊里,系統還照常執行命令。這樣攻擊者只要傳送超出緩衝區所能處理的長度的指令,系統便進入不穩定狀態。若攻擊者特別設定一串準備用作攻擊的字元,他甚至能訪問根目錄,從而擁有對整個網路的絕對控制權。另一些是利用協定漏洞進行攻擊。如攻擊者利用POP3一定要在根目錄下運行的這一漏洞發動攻擊,破壞的根目錄,從而獲得終極用戶的許可權。又如,ICMP協定也經常被用於發動拒絕服務攻擊。他的具體手法就是向目的伺服器傳送大量的數據包,幾乎占取該伺服器所有的網路寬頻,從而使其無法對正常的服務請求進行處理,而導致網站無法進入、網站回響速度大大降低或伺服器癱瘓。常見的蠕蟲病毒或和其同類的病毒都能對伺服器進行拒絕服務攻擊的進攻。他們的繁殖能力極強,一般通過Microsoft的 Outlook軟體向眾多信箱發出帶有病毒的郵件,而使郵件伺服器無法承擔如此龐大的數據處理量而癱瘓。對於個人上網用戶而言,也有可能遭到大量數據包的攻擊使其無法進行正常的網路操作。
連線埠掃描攻擊
所謂連線埠掃描,就是利用Socket編程和目標主機的某些連線埠建立TCP連線、進行傳輸協定的驗證等,從而偵知目標主機的掃描連線埠是否是處於激活狀態、主機提供了哪些服務、提供的服務中是否含有某些缺陷等等。
常用的掃描方式有:Connect()掃描。Fragmentation掃描
攻擊的位置
(1)遠程攻擊:指外部攻擊者通過各種手段,從該子網以外的地方向該子網或者該子網內的系統發動攻擊。
(2)本地攻擊:指本單位的內部人員,通過所在的區域網路,向本單位的其他系統發動攻擊,在本級上進行非法越權訪問。
(3)偽遠程攻擊:指內部人員為了掩蓋攻擊者的身份,從本地獲取目標的一些必要信息後,攻擊過程從外部遠程發起,造成外部入侵的現象。