網絡攻擊和防禦手段及其可能造成的後果

常見的攻擊方法

埠掃描:網絡攻擊的前奏

網絡監聽∶區域網、HUB、ARP欺騙、網關設備

郵件攻擊︰郵件炸彈、郵件欺騙

網頁欺騙∶偽造網址、DNS重定向

密碼破解∶字典破解、暴力破解、md5解密

漏洞攻擊:溢出攻擊、系統漏洞利用

種植木馬︰隱蔽、免殺、網站掛馬、郵件掛馬

DoS、DDoS:拒絕服務攻擊、分布式拒絕服務攻擊

cc攻擊︰藉助大量代理或肉雞訪問最耗資源的網頁

XSS跨站攻擊、SQL注入:利用變量檢查不嚴格構造javascript語句掛馬或獲取用戶信息，或構造sql語句猜測表、欄位以及管理員帳號密碼

社會工程學:QQ資料庫被盜

常見的系統入侵步驟

攻擊方式與實例列舉

一.DDoS(分布式拒絕服務）攻擊

北京時間2020年10月22日凌晨，美國域名伺服器管理服務供應商Dyn宣布，該公司在當地時間周五早上遭遇了DDoS(分布式拒絕服務)攻擊，從而導致許多網站在美國東海岸地區宕機，Twitter、Tumblr、Netflix、亞馬遜、 Shopify.Reddit、Airbnb、 PayPal和Yelp等諸多人氣網站無一倖免。Dyn稱，攻擊由感染惡意代碼的設備發起，來自全球上千萬IP位址，幾百萬惡意攻擊的源頭是物聯網聯繫的所謂「智能」家居產品。

分布式拒絕服務攻擊:藉助於C/S(客戶/伺服器）技術，將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力

攻擊現象

>被攻擊主機上有大量等待的TCP連接﹔

>網絡中充斥著大量的無用的數據包;

>源地址為假製造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊;

>利用受害主機提供的傳輸協議上的缺陷反覆高速的發出特定的服務請求，使主機無法處理所有正常請求;

>嚴重時會造成系統死機。

攻擊流程

1、搜集資料，被攻擊目標主機數目、地址情況，目標主機的配置、性能，目標的寬帶。

2、是佔領和控制網絡狀態好、性能好、安全管理水平差的主機做傀儡機。

3、攻擊者在客戶端通過telnet之類的常用連接軟體，向主控端發送發送對自標主機的攻擊請求命令。主控端偵聽接收攻擊命令，並把攻擊命令傳到分布端，分布端是執行攻擊的角色，收到命令立即發起flood攻擊。

防範措施

主機設置

所有的主機平臺都有抵禦DoS的設置，基本的有:

1、關閉不必要的服務

2、限制同時打開的Syn半連接數目

3、縮短Syn半連接的time out 時間

4、及時更新系統補丁

網絡設置

1、防火牆

禁止對主機的非開放服務的訪問，限制同時打開的SYN最大連接數，限制特定IP位址的訪問，啟用防火牆的防DDoS的屬性，嚴格限制對外開放的伺服器的向外訪問，第五項主要是防止自己的伺服器被當做工具去害人。

2、路由器

設置SYN數據包流量速率 升級版本過低的ISO 為路由器建立log server

二.SQL注入攻擊

雅虎作為美國著名的網際網路門戶網站，也是20世紀末網際網路奇蹟的創造者之一。然而在2013年8月20日,中國雅虎郵箱宣布停止提供服務。就在大家已快將其淡忘的時候，雅虎公司突然對外發布消息，承認在2014年的一次黑客襲擊中，至少5億用戶的數據信息遭竊。此次事件成為了有史以來規模最大的單一網站信息洩露事件。

SQL注入:就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙伺服器執行惡意的SQL命令。具體來說，它是利用現有應用程式，將(惡意)的SQL命令注入到後臺資料庫引擎執行的能力，它可以通過在Web表單中輸入（惡意)SQL語句得到一個存在安全漏洞的網站上的資料庫，而不是按照設計者意圖去執行SQL語句。

攻擊方法

SQL注入主要是由於網頁製作者對輸入數據檢查不嚴格，攻擊者通過對輸入數據的改編來

實現對資料庫的訪問，從而猜測出管理員帳號和密碼﹔

如http://a.com/view.asp?id=1 ;改為http://a.com/view.asp?id=1 and user= 'admin』 ;

如果頁面顯示正常，說明資料庫表中有一個user欄位，且其中有admin這個值;

通過SQL注入攻擊可以探測網站後臺管理員帳號和密碼。

利用探測出的管理員帳號和密碼登陸網站後臺，在擁有附件上傳的功能模塊中嘗試上傳網頁木馬或一句話木馬（—般利用資料庫備份和恢復功能);

通過網頁木馬探測IIS伺服器配置漏洞，找到突破點提升權限，上傳文件木馬並在遠程服

務器上運行﹔

通過連接木馬徹底拿到系統控制權﹔

因此，SQL注入只是網站入侵的前奏，就算注入成功也不一定可以拿到web shell或root。

防範措施

1、輸入驗證

檢查用戶輸入的合法性，確信輸入的內容只包含合法的數據。

2、錯誤消息處理

防範SQL注入，還要避免出現一些詳細的錯誤消息，因為黑客們可以利用這些消息。要使用一種標準的輸入確認機制來驗證所有的輸入數據的長度、類型、語句、企業規則等。

3、加密處理

將用戶登錄名稱、密碼等數據加密保存。

4、存儲過程來執行所有的查詢

SQL參數的傳遞方式將防止攻擊者利用單引號和連字符實施攻擊。此外，它還使得資料庫權限可以限制到只允許特定的存儲過程執行，所有的用戶輸入必須遵從被調用的存儲過程的安全上下文，這樣就很難再發生注入式攻擊了。

5、使用專業的漏洞掃描工具

6、確保資料庫安全

7、安全審評

三.ARP攻擊

ARP ( Address Resolution Protocol，地址解析協議)是根據IP位址獲取物理地址的一個TCP/IP協議。

ARP攻擊就是通過偽造IP位址和MAC地址實現ARP歌騙，能夠在網絡中產生大量的ARP通信量使網絡阻塞，攻擊者只要持續不斷的發出偽造的ARP響應包就能更改目標主機ARP緩存中的IP-MAC條自，造成網絡中斷或中間人攻擊。

ARP攻擊僅能在區域網內進行。

ARP請求包是以廣播的形式發出，正常情況下只有正確P地址的主機才會發出ARP響應包，告知查詢主機自己的MAC地址。

區域網中每臺主機都維護著一張ARP表，其中存放著<IP—MAC>地址對。

原理:

X分別向A和B發送ARP包，促使其修改ARP表主機A的ARP表中B為<IPb——MACx>

主機B的ARP表中A為<IPa—MACx>

X成為主機A和主機B之間的「中間人」，可以選擇被動地監測流量，獲取密碼和其他涉密信息，也可以偽造數據，改變電腦A和電腦B之間的通信內容。

防範措施:

網關和終端雙向綁定IP和MAC地址。

區域網中的每臺電腦中進行靜態ARP綁定。打開安全防護軟體的ARP防火牆功能。徹底追蹤查殺ARP病毒。