攻擊行為特征及反攻擊技術(shù) -電腦資料

　　 攻擊行為特征及反攻擊技術(shù)！

　　要想更好的保護(hù)網(wǎng)絡(luò)不受 的攻擊，就必須對 的攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解，只有這樣才能更有效、更具有針對性的進(jìn)行主動防護(hù)，

攻擊行為特征及反攻擊技術(shù)

。下面通過對 攻擊方法的特征分析，來研究如何對 攻擊行為進(jìn)行檢測與防御。

　　一、反攻擊技術(shù)的核心問題

　　反攻擊技術(shù)（入侵檢測技術(shù)）的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息，一種是通過網(wǎng)絡(luò)偵聽的途徑 （如Sniffer，Vpacket等程序）來獲取所有的網(wǎng)絡(luò)信息（數(shù)據(jù)包信息，網(wǎng)絡(luò)流量信息、網(wǎng)絡(luò)狀態(tài)信息、網(wǎng)絡(luò)管理信息等），這既是 進(jìn)行攻擊的必然途徑，也是進(jìn)行反攻擊的必要途徑；另一種是通過對操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析，來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

　　二、 攻擊的主要方式

　　 對網(wǎng)絡(luò)的攻擊方式是多種多樣的，一般來講，攻擊總是利用系統(tǒng)配置的缺陷，操作系統(tǒng)的安全漏洞或通信協(xié)議的安全漏洞來進(jìn)行的。到目前為止，已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種，其中對絕大部分 攻擊手段已經(jīng)有相應(yīng)的解決方法，這些攻擊大概可以劃分為以下六類：

　　1.拒絕服務(wù)攻擊：一般情況下，拒絕服務(wù)攻擊是通過使被攻擊對象（通常是工作站或重要服務(wù)器）的系統(tǒng)關(guān)鍵資源過載，從而使被攻擊對象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種，它是最基本的入侵攻擊手段，也是最難對付的入侵攻擊之一，典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。

　　2.非授權(quán)訪問嘗試：是攻擊者對被保護(hù)文件進(jìn)行讀、寫或執(zhí)行的嘗試，也包括為獲得被保護(hù)訪問權(quán)限所做的嘗試。

　　3.預(yù)探測攻擊：在連續(xù)的非授權(quán)訪問嘗試過程中，攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周圍的信息，通常使用這種攻擊嘗試，典型示例包括SATAN掃描、端口掃描和IP半途掃描等。

　　4.可疑活動：是通常定義的標(biāo)準(zhǔn)網(wǎng)絡(luò)通信范疇之外的活動，也可以指網(wǎng)絡(luò)上不希望有的活動，如IP Unknown Protocol和Duplicate IP Address事件等，

電腦資料

《攻擊行為特征及反攻擊技術(shù)》(http://m.clearvueentertainment.com)。

　　5.協(xié)議解碼：協(xié)議解碼可用于以上任何一種非期望的方法中，網(wǎng)絡(luò)或安全管理員需要進(jìn)行解碼工作，并獲得相應(yīng)的結(jié)果，解碼后的協(xié)議信息可能表明期望的活動，如FTU User和Portmapper Proxy等解碼方式。

　　6.系統(tǒng)代理攻擊：這種攻擊通常是針對單個主機發(fā)起的，而并非整個網(wǎng)絡(luò)，通過RealSecure系統(tǒng)代理可以對它們進(jìn)行監(jiān)視。

　　三、 攻擊行為的特征分析與反攻擊技術(shù)

　　入侵檢測的最基本手段是采用模式匹配的方法來發(fā)現(xiàn)入侵攻擊行為，要有效的進(jìn)反攻擊首先必須了解入侵的原理和工作機理，只有這樣才能做到知己知彼，從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對幾種典型的入侵攻擊進(jìn)行分析，并提出相應(yīng)的對策。

　　1.Land攻擊

　　攻擊類型：Land攻擊是一種拒絕服務(wù)攻擊。

　　攻擊特征：用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的，因為當(dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時，不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況，或者循環(huán)發(fā)送和接收該數(shù)據(jù)包，消耗大量的系統(tǒng)資源，從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。

　　檢測方法：判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。

　　反攻擊方法：適當(dāng)配置防火墻設(shè)備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為（一般是丟棄該數(shù)據(jù)包），并對這種攻擊進(jìn)行審計（記錄事件發(fā)生的時間，源主機和目標(biāo)主機的MAC地址和IP地址）。

　　2.TCP SYN攻擊

　　攻擊類型：TCP SYN攻擊是一種拒絕服務(wù)攻擊。

　　攻擊特征：它是利用TCP客戶機與服務(wù)器之間三次握手過程的缺陷來進(jìn)行的。攻擊者通過偽造源IP地址向被攻擊者發(fā)送大量的SYN數(shù)據(jù)包，當(dāng)被攻擊主機接收到大量的SYN數(shù)據(jù)包時，需要使用大量的緩存來處理這些連接，并將SYN ACK數(shù)據(jù)包發(fā)送回錯誤的IP地址，并一直等待ACK數(shù)據(jù)包的回應(yīng)，最終導(dǎo)致緩存用完，不能再處理其它合法的SYN連接，即不能對外提供正常服務(wù)。

　　檢測方法：檢查單位時間內(nèi)收到的SYN連接否收超過系統(tǒng)設(shè)定的值。

　　反攻擊方法：當(dāng)接收到大量的SYN數(shù)據(jù)包時，通知防火墻阻斷連接請求或丟棄這些數(shù)據(jù)包，并進(jìn)行系統(tǒng)審計。

　　3.Ping Of Death攻擊

　　攻擊類型：Ping Of Death攻擊是一種拒絕服務(wù)攻擊。