理论教育 网络入侵技术与口令获取

网络入侵技术与口令获取

时间:2023-11-24 理论教育 版权反馈
【摘要】:网络入侵技术通常利用网络或系统存在的漏洞和安全缺陷进行攻击,最终以窃取目标主机的信息或破坏系统为主要目的。网络入侵方式也是在不断更新的,当前常用的入侵技术有扫描探测技术、口令获取技术、缓冲区溢出攻击技术、欺骗类攻击技术、SQL注入攻击技术等。于是,获取口令便成为一项重要的入侵技术。

网络入侵技术与口令获取

网络入侵技术通常利用网络或系统存在的漏洞和安全缺陷进行攻击,最终以窃取目标主机的信息或破坏系统为主要目的。因此,当某些系统缺陷、安全漏洞被修补之后,这些入侵方式也就很难得逞了。通常情况下,入侵都是以信息搜集为前提,对目标系统的脆弱点采取相应攻击入侵手段,从而达到入侵目的。网络入侵方式也是在不断更新的,当前常用的入侵技术有扫描探测技术、口令获取技术、缓冲区溢出攻击技术、欺骗类攻击技术、SQL注入攻击技术等。

1. 扫描探测技术

扫描探测技术是入侵者利用特定的软件对目标IP地址空间进行扫描或嗅探,根据扫描技术侦察得知目标主机的扫描端口是否处于激活状态,主机提供了哪些服务,提供的服务中是否有某些缺陷,以及服务器的操作系统,从而为以后的入侵打下基础。

扫描探测是网络入侵的第一步,大多数入侵者都会在对系统发动攻击之前进行扫描探测。常见的探测攻击有NMAP、Nessus、X-Scan等,有的探测工具甚至还具有自动攻击等功能。

端口扫描是针对TCP和UDP端口的,扫描者发送一个TCP包过去,如果收到带有RST标示的包,表示端口是关闭的,如果什么包也没有收到,端口可能是打开的。

漏洞扫描是针对软硬件系统平台存在某种形式的脆弱性,扫描方式主要有CGI漏洞扫描、HTTP漏洞扫描、POP3漏洞扫描等,这些漏洞扫描都是建立在漏洞库基础之上的,最后再把扫描结果与漏洞库数据进行匹配,得到漏洞信息。

为降低被防火墙或入侵检测系统(IDS)检测到的风险,入侵者一般会采用比较陷落的扫描方式,如慢扫描或分布式扫描等,扫描技术正向着高速、隐蔽、智能化的方向发展。

如果扫描作为一种主动攻击行为很容易被发现,那么嗅探则要隐蔽得多。嗅探是入侵者对网络上流通的所有数据包进行捕获,从而获取并筛选出对自己入侵有用的信息。常用的工具,如Sniffer Pro、Wireshark、TCPDump等。

2. 口令获取技术

网络入侵的目标是获取系统的访问权限,或者扩大其在系统中的权限范围。大多数的初始攻击都是利用系统或软件中存在的漏洞,让入侵者可以在系统上执行代码并留下后门。另外,入侵者可能会尝试获取受系统保护的信息,大多数情况下,这些信息都是以用户口令的形式存在。因此,如果知道其他用户的口令,入侵者就可以登录系统,使用合法用户的所有权限。于是,获取口令便成为一项重要的入侵技术。

获取口令主要有以下方法:

(1)通过网络监听非法得到用户口令。这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大。

(2)对于特定用户进行猜测破解。如果知道用户的账号,可以采用猜测方法破解用户口令,可以从用户个人及家庭信息,如用户姓名,用户的配偶或孩子的姓名,用户的电话号码、房间号码及汽车牌号,用户感兴趣的事物等,猜测用户的口令。这种方法不受网段限制,但黑客要有足够的耐心和时间。

(3)暴力破解。在获得一个服务器上的用户口令文件后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码,尤其对那些口令安全系统极低的用户(如某用户账号为zys,其口令就是zys666、666666或干脆就是zys等)更是在短短的一两分钟内,甚至几十秒内就可以将其破解。(www.daowen.com)

(4)通过社会工程的方式得到用户口令。

3. 缓冲区溢出攻击技术

缓冲区溢出攻击是指利用缓冲区溢出漏洞所进行的攻击行为,即将一个超过缓冲区规定长充的字符串放置到缓冲区所致。缓冲区溢出攻击能干扰并有某些特权运行的程序的功能,这样便能使攻击者取得程序的控制权,进而实现对整个目标主机的控制,进行各种各样的非法操作。

缓冲区溢出攻击是远程网络攻击的常用技术,而一旦遭受到缓冲区溢出攻击,可能导致程序运行失败、死机、重启等后果。第一个缓冲区溢出攻击是发生在1988年的Morris蠕虫,致使Internet上的几万台计算机陷于瘫痪。防范缓冲区溢出攻击比较有效的方法是关闭异常端口或服务,及时为软件打补丁和修复系统漏洞。

4. 欺骗类攻击技术

欺骗类攻击是网络入侵者常用的攻击手段之一,常见的有IP欺骗、Web欺骗和ARP欺 骗等。

IP地址欺骗是突破防火墙常用的方法,同时也是其他一系列攻击方法的基础。之所以使用这个方法,是因为IP自身的缺点。IP地址欺骗指入侵者通过篡改其发送的数据包的源IP地址,来骗取目标主机信任的一种网络欺骗攻击方法。其原理是利用了主机之间的正常信任关系,也就是RPC服务器只依靠数据源IP地址来进行安全校验的特性。常用来攻击基于Unix的操作平台,通过IP地址进行安全认证的服务,如Rlogin、Rsh等。使用加密方法或包过滤可以防范IP地址欺骗。

Web欺骗是一种建立在互联网基础上,十分危险却又不易察觉的非法欺诈行为。攻击者切断用户与目标Web服务器之间的正常连接,建立一条从用户到入侵者主机,再到目标Web服务器的连接,最终控制着从用户到目标Web服务器之间传输的数据,这种攻击方式常称为“中间人攻击”。Web欺骗可能导致重要的账号密码的泄露,严重者当用户进行网购或登录网银时被欺骗,则会造成巨大的经济损失。

ARP欺骗是一种利用ARP协议漏洞,通过伪造IP地址和MAC地址实现欺骗的攻击技术。

5. SQL注入攻击技术

SQL注入攻击,是对数据库进行攻击的常用手段,入侵者通过网站程序源码中的漏洞进行SQL注入攻击,渗透获得想得到的数据,获得数据库的访问权限等,其中获得账号及密码是其中最基础的目的。甚至发生数据库服务器被攻击,系统管理账户被篡改的结果。

由于SQL注入手法非常灵活,语句构造也很巧妙,并且是从正常的WWW端口进入访问,看起来和正常的Web页面访问很相似,所以目前防火墙一般对SQL都不会发出警告,用户平时对日志不太注意,很可能被长时间入侵都毫无察觉。使用SQL通用防注入系统的程序,或用其他更安全的方式连接SQL数据库等可以有效防止SQL注入式攻击。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈