设为首页
收藏本站
开启辅助访问
切换到宽版
请
登录
后使用快捷导航
没有帐号?
加入我们
用户名
Email
记 住
找回密码
密码
加入我们
只需一步,快速开始
快捷导航
首页
Portal
论坛
BBS
新闻资讯
健康咨询
医药信息
名医名院
治疗方法
文献资料
家园
Space
关于本站
排行榜
图片新闻
文字新闻
公告信息
曝光平台
医药前沿
疾病常识
健康保健
中药信息
西药信息
医院介绍
医生介绍
矿泉疗法
中医疗法
西医疗法
中西结合疗法
其他疗法
紫外线疗法
关于我们
微信公众平台
网站大事记
联系我们
免责声明
版权声明
爱心捐助
搜索
搜索
热搜:
活动
交友
discuz
本版
用户
当前位置:
»
论坛
›
生活休闲区
›
心情驿站
›
帖子
返回列表
黑客攻击行为的特征分析及反攻击技术〔二〕
[复制链接]
1
回复
2694
查看
人生
当前离线
积分
8316
IP卡
狗仔卡
1
#
电梯直达
分享到:
人生
发表于 2005-9-9 19:37:00
|
只看该作者
|
倒序浏览
|
阅读模式
<
>
3. Ping Of Death攻击
攻击类型:Ping Of Death攻击是一种拒绝服务攻击。
攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时,就会造成内存溢出、系统崩溃、重启、内核失败等后果,从而达到攻击的目的。
检测方法:判断数据包的大小是否大于65535个字节。
反攻击方法:使用新的补丁程序,当收到大于65535个字节的数据包时,丢弃该数据包,并进行系统审计。
4. WinNuke攻击
攻击类型:WinNuke攻击是一种拒绝服务攻击。
攻击特征:WinNuke攻击又称带外传输攻击,它的特征是攻击目标端口,被攻击的目标端口通常是139、138、137、113、53,而且URG位设为“1”,即紧急模式。
检测方法:判断数据包目标端口是否为139、138、137等,并判断URG位是否为“1”。
反攻击方法:适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址MAC)。
5. Teardrop攻击
攻击类型:Teardrop攻击是一种拒绝服务攻击。
攻击特征:Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。
检测方法:对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。
反攻击方法:添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。
6. TCP/UDP端口扫描
攻击类型:TCP/UDP端口扫描是一种预探测攻击。
攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。
检测方法:统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。
反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。
对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。
<
>
四、入侵检测
系统的几点思考
从性能上讲,入侵检测系统面临的一个矛盾就是系统性能与功能的折衷,即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。
从技术上讲,入侵检测系统存在一些亟待解决的问题,主要表现在以下几个方面:
1. 如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中,我们了解到安全问题日渐突出,攻击者的水平在不断地提高,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的安全技术。
2. 网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就显得无能为力。
3. 网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。
4. 对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断的升级才能保证网络的安全性。
<
>
5. 采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。
6. 对IDS自身的攻击。与其他系统一样,IDS本身也存在安全漏洞,若对IDS攻击成功,则导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种安全防护手段。
7. 随着网络的带宽的不断增加,如何开发基于高速网络的检测器(事件分析器)仍然存在很多技术上的困难。
入侵检测系统作为网络安全关键性测防系统,具有很多值得进一步深入研究的方面,有待于我们进一步完善,为今后的网络发展提供有效的安全手段。
分享到:
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
0
分享
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
人生
当前离线
积分
8316
IP卡
狗仔卡
2
#
楼主
|
人生
发表于 2005-9-10 07:40:00
|
只看该作者
回复:(人生)黑客攻击行为的特征分析及反攻击技术〔...
<
>
你学习黑客的事情我早就听说了,如果你想切磋一下随时随地,只要你方便,多看到向你这样自学成材的人很少啊,能看到你会我就很高兴了。
<
>
现在的年轻人都不太喜欢学习这个,你这岁数的人能学会我真的很高兴。你能语言学会了真挺让我佩服,你说吧,什么时候告诉我就行。
<
>
另外,你说我胖子,但是我告诉我我还不胖跟你JZA没啥说的,你想怎么玩都可以,网上玩也行,私下整也我们玩也行,我的手机号给13704653467。
<
>
<
>
回复
支持
反对
使用道具
举报
显身卡
返回列表
使用
高级回帖
(可批量传图、插入视频等)
快速回复
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
加入我们
本版积分规则
写好了,发布
Ctrl + Enter 快速发布
回帖后跳转到最后一页
发帖时请遵守我国法律,网站会将有关你发帖内容、时间以及发帖IP地址等记录保留,只要接到合法请求,即会将信息提供给有关政府机构。
Copyright © 2005-2020
www.yxb365.com
(http://www.yxb365.com) 版权所有 All Rights Reserved.
技术支持:
守望轩
京ICP备17033200号
快速回复
返回顶部
返回列表