1.常见的攻击和防范

技术支持工程师陈伟纯网络安全培训中心前言：请注意以下所述：•五一中美黑客大战中国有九百多家网站被攻破。•我国的网络安全面临着严峻的考验。•传统的防御方式是否已经过时。蓝盾安全小组一、常见攻击方法1.窃取口令主要有三种方法:A、将UNIX的/ECT目录下的PASSWORD文件读出来,用工具破密。B、用常用密码字典。如中文版“万能钥匙”进行穷尽性尝试破密。C、网络监听防冶方法：用户名/密码一般不少于8位字符，并且尽量使用各种字符交替输入密码。网络安全培训中心2、操作平台漏洞如往WINDOW/NT的NetBios端口送一串标志为OutofBand的字符串“ABCD”可致使NT服务器崩溃。SUN/OS在收到错误UDP包时，系统重启。利用UNICODE漏洞“五一”用得最多的UNICODE攻击，利用WIN2000、NT的IIS的UNICODE漏洞。WIN2000的ISAPI扩展远程溢出漏洞:/null.idaWIN2000的ISAPI扩展远程溢出漏洞:/null.idqIIS5.0.printer远程缓冲区溢出漏洞网络安全培训中心网络安全培训中心黑客可以远程通过IIS执行以下命令，列出指定URL中C：\盘根目录下的所有内容。:\+/a或:\+/a通过相关的操作查得该主机WEB页为：c:\inetpub\网络安全培训中心下一步是修改主页::\inetpub\修改页面完成，首页改为:hackedbyqting解决办法：A、及时的装补丁B、关闭没用到的端口网络安全培训中心IISunicode漏洞:/scripts/..%c0%2f..%c0%2f..%c0%2f..%c0%2f../winnt/system32/cmd.exe?/c+dir/scripts/..%c1%1c..%c1%1c..%c1%1c..%c1%1c../winnt/system32/cmd.exe?/c+dir/scripts/check.bat/..%c0%2f..%c0%2f..%c0%2f/winnt/system32/cmd.exe?/c%20dir%20C:\/scripts/check.bat/..%c1%1c..%c1%1c..%c1%1c/winnt/system32/cmd.exe?/c%20dir%20C:\IISCGI文件名二次解码漏洞:/_vti_bin/..%%35%63..%%35%63..%%35%63..%%35%63..%%35%63../winnt/system32/cmd.exe?/c+dir/_vti_bin/..%%35c..%%35c..%%35c..%%35c..%%35c../winnt/system32/cmd.exe?/c+dir网络安全培训中心3、特洛伊木马原理：就是将有破坏能力和监控能力的黑客工具隐藏在你觉得“很有用”的软件里面让你下载。例子：A、木马SUBSEVEN（图8）网络安全培训中心B、网上股票交易黑客监听用户所有键盘输入（包括账号、密码）和屏幕信息。防治办法：使用清除木马的软件或使用蓝盾防火墙个人版。网络安全培训中心C、病毒由于病毒引起的损失也是很大的一个数目1、电脑Nimda蠕虫病毒侵入中国的计算机网络。2、“蓝色代码”泛滥3、CIH曾经跑遍全球4、“尼姆达”电脑病毒向互联网发动袭击5、中国一号（尼姆达与蓝色代码综合）防治方法：A、不要轻易下载不信任网站上的东西B、不阅读来路不明的电子邮件。如果非要阅读不可，要先将“宏”关闭。C、采用专用“木马”检测软件进行检测。网络安全培训中心4、拒绝服务攻击最近在Internet上DoS（Denial-of-Service）攻击暴虐一时。由于可以通过使用一些公开的软件进行攻击，它的发动较为简单。同时要防止这种攻击又非常困难，所以蓝盾防火墙系统针对各种DoS攻击做出了防御措施。网络安全培训中心SYN堵塞攻击原理：（图5）客户端服务器端①SYN请求②已收到请求③已收到回答若收不到③，服务器会重发②（一般五次）网络安全培训中心解决办法:使用蓝盾防火墙的智能防御功能。网络安全培训中心变种DDoS攻击这次我们在联通国际反美黑客战中，美国黑客伪造出3000多个“合法IP”发起3千多万条SYN请求，4台傀垒机同时发出攻击包，迷惑防火墙。（具体如下图）网络安全培训中心网络安全培训中心5、电子欺骗不法分子可以使用IPSpoof的办法伪造来源IP，由于防火墙系统本身具有路由功能，如果没有防御措施，将会被骗，把该虚假来源的IP包发送到局部网络中去，这使非常危险的。蓝盾防火墙系统会根据IP的来源设备进行分析，如果超出该设备的网络范围，将会拒绝该IP包，纪录并发出警告。这样在不网络安全培训中心同物理网络/逻辑网络之间虚假IP包不能通过，保证了系统的安全。（图10）网络安全培训中心6、NETBIOS攻击利用WINDOWS的NETBIOS服务（139端口）获得你的主机名、甚至使用你的共享硬盘。（图11）小黑客网站声称已经拥有上万台主机信息网络安全培训中心防治办法：A、用蓝盾在线检测、端口扫描测试你的电脑。B、关闭与互联网相连的网络设备上的NETBIOS服务协议。网络安全培训中心攻击方式的分类后门攻击拒绝服务攻击分布式拒绝服务攻击扫描攻击缓冲区溢出攻击远程过程调用攻击网络蠕虫病毒基于CGI的Web攻击基于Frontpage的Web攻击基于IIS的Web攻击基于Coldfusion的Web攻击前导攻击ICMP攻击SMTP攻击其它攻击网络安全培训中心