网络常见攻击方式和预防手段 一

网络常见攻击方式和预防手段

 

一数据包嗅探器（packet ）
  网络通信是顺序进行的，发送一个包，再发送一个包，直到整个消息被传送出去。
  许多网络应用是以明文方式发布网络数据包的，即跨越网络发送的信息并没有经过加密。
  数据包嗅探器，实际就是将网卡设置成混杂模式（在这种模式下，网卡将所有从物理网络介质中收到的数据包传递给应用以供处理）的软件，它可以捕获所有在局  域网内发送的数据包。
  其缺点：只能捕获那些在其自身所连的网段中穿梭的数据包。很多网络协议都是明文方式传送信息：telnet ftp snmp pop
  数据包嗅探器的类型和功能：
  数据包嗅探器对策： 身份认证 使用强的认证方式是抵御数据包嗅探器威胁的第一选择。OTP（one-time passwords）一次性口令
                     交换式基础设施
                     防嗅探工具
二IP欺骗
  一般来说，IP欺骗攻击仅限于对客户端和服务器应用之间现存的一个数据流进行数据或命令注射。为了启动双向连接，攻击者必须更改所有的路由选择表，以指向  被欺骗的IP地址；另一个攻击方法：只要攻击者不考虑接收任何来自应用程序的响应。那就可以直接通过伪造IP进行攻击，例如发送邮件。
  IP欺骗对策：
      借助一下方法，IP欺骗的威胁可以被减小，但并不能消除
      1 访问控制
      2 RFC2827过滤
三特权提升
      攻击者可能以一个处于非特权用户等级的合法身份获得对系统的访问，然后利用系统应用程序或服务中存在的已知漏洞来提升特权等级，直到获得系统的管理      员权限。
  特权提升的对策：去掉网络设备上不用的服务或应用。
                  仔细应用严格的口令策略
                  经常复查用户帐号，清除不再需要的帐号
                  严格限制应用和存储位置的特权等级
                  经常研究一下系统日志文件
四拒绝服务DOS
     DOS攻击的目的在于使正常使用的服务不可用，典型的，DOS可以凭借耗尽网络，操作系统或应用的某类资源而得逞。
     DOS攻击的设计思路：让系统超载并拒绝提供正常服务。它需要利用协议漏洞或携带被允许进入网络的正常流量。
     1 分布式拒绝服务DDOS
     2 DOS对策 ：大多数DOS攻击利用的是系统整体架构中的弱点，而不是软件缺陷或安全漏洞
                 降低DOS攻击的危险有下列两种方法：
                        防欺骗特性   恰当配置路由器和防火墙上的防欺骗特性
                        防DOS特性    恰当配置路由器和防火墙上的防DOS特性
五口令攻击
  试图突破登录的口令攻击可以有多种实施方法：暴力攻击 特洛伊木马程序 IP欺骗和数据包嗅探器
                口令攻击：字典攻击   暴力运算
     口令攻击对策：
         禁止用户在多个系统中使用相同的口令
         在失败登录后禁止帐号
         不要使用简单文本口令
         使用强口令
         使用口令时限
六 中间人攻击 （man-in-the-middle-attack)
         这要求攻击者能够访问穿越网络的数据包，这类攻击往往借助网络数据包嗅探器和路由选择及传输协议来实施
预防办法：
1 静态ARP        攻击者可以利用ARP毒害伪造ARP条目，将有效的ARP条目设置成其自身的MAC地址。
2 私有VLAN          潜在的中间人攻击者需要能访问到参与会话的VLAN中的一台设备
3  802.1X                 允许在局域网使用扩展认证协议，这提供了一种封装认证会话并使其对中间人隐藏的手段。