网站服务器-一般是使用那些方式来防止入侵和攻击
在互联网上,为了防止黑客侵入自己的电脑,有必要了解黑客入侵目标计算机的常用方法。黑客通常使用数据驱动攻击、非法使用系统文件、伪造信息攻击和远程操纵等入侵手段。下面简要介绍这些入侵方法。
1.数据驱动的攻击
数据驱动的攻击是黑客在执行发送或复制到目标计算机的看似无害的特殊程序时发起的攻击。该攻击允许黑客修改目标计算机上与网络安全相关的文件,使得黑客下次更容易侵入目标计算机。数据驱动攻击包括缓冲区溢出攻击、格式化字符串攻击、输入身份验证攻击、同步漏洞攻击、信任漏洞攻击等。
2.伪造信息攻击
伪造信息攻击是指黑客通过发送伪造的路由信息,在源计算机和目标计算机之间构造一条虚假路径,使流向目标计算机的数据包通过黑客操作的计算机,从而获得个人敏感信息,如银行账户密码。
3.信息协议漏洞攻击
在LAN上,IP地址的源路径选项允许IP数据包自行选择到目标计算机的路径。当黑客试图连接到防火墙后面无法到达的计算机A时,他只需要在传出请求消息中设置IP地址源路径选项,以便消息的目标地址指向防火墙。但是最终地址指向计算机A。当消息到达防火墙时,它被允许通过,因为它指向防火墙而不是计算机A。消息的源路径在防火墙的IP层被更改并发送到Intranet,因此消息到达不可访问的计算机A,从而实现对信息协议漏洞的攻击。
4.遥控
远程操作是指黑客在目标计算机上启动可执行程序,该程序显示假登录界面,用户在其中输入登录信息,如帐户、密码等。该程序将用户输入的帐户和密码发送给黑客的计算机。同时,程序关闭登录界面,提示"系统故障"信息,并要求用户再次登录。这种攻击类似于互联网上经常遇到的钓鱼网站。
5.利用系统管理员错误攻击
在局域网中,人是局域网安全的最重要因素之一。当系统管理员在WWW服务器系统的配置中出现错误时,普通用户会扩展用户权限等,这些错误为黑客提供了利用这些错误的机会。黑客利用这些错误,再加上指头、netstat等命令,来实现入侵攻击。
6.重发攻击
重发攻击是指黑客收集特定的IP数据包并篡改其数据,然后逐个重新发送这些IP数据包,从而欺骗接收数据的目标计算机来实现攻击。
7.ICMP消息攻击
在局域网中,重定向消息可以改变路由器的路由列表,根据该列表,路由器可以建议计算机选择更好的路径来传播数据。ICMP数据包攻击意味着黑客可以有效地使用重定向消息将连接传输到不可靠的计算机或路径,或者通过不可靠的计算机转发所有消息,从而实现攻击。
8.针对源路径选择的漏洞攻击
源路径选择的缺点是黑客通过在局域网(LAN)外操作计算机向LAN发送具有内部计算机地址的源路径消息。因为路由器会相信这条消息,所以应答消息将被发送到局域网外的计算机,因为这是P.源路径选项的要求。对此攻击的防御措施是正确地配置路由器以丢弃来自局域网之外并声称来自内部计算机的消息。
9.以太网广播方法
以太网广播攻击模式是将计算机网卡的接口设置为随机模式(promiscuous),以便截获局域网中的所有数据包,分析保存在数据包中的帐户和密码,从而窃取信息。
10.跳跃攻击
在Internet中,UNIX操作系统被许多网站上的服务器或超级计算机使用。黑客将尝试使用UNIX登录其中一台计算机,通过操作系统中的漏洞获取系统权限,然后将其用作访问和黑客入侵其他计算机的据点,即称为"岛跳"的计算机。黑客经常像这样跳几次,然后攻击最终的目的地计算机。例如,美国的黑客可能在进入美国美国联邦调查局网络之前登录到亚洲的计算机,从那里登录到加拿大的计算机,然后跳转到欧洲。最后,法国的一台计算机对美国美国联邦调查局(Island-hopping)网络发起了攻击。这样,即使被攻击的计算机发现黑客在哪里发动攻击,管理人员也很难找到黑客。此外,一旦黑客获得了某台计算机的系统特权,他就可以删除syslog,并在退出时切断"藤"。
11.窃取TCP协议连接
在UNIX实现的几乎所有协议家族中,都存在一个众所周知的漏洞,使得窃取TCP连接成为可能。在建立TCP连接时,服务器使用包含初始序列号的应答消息来确认用户的请求。这个序列号没有特殊的要求,只要它是唯一的。当客户端收到答案时,它会再次确认它并建立连接。TCP协议规范要求每秒替换25万次序列号,但大多数UNIX系统的替换频率实际上要比这个数字低得多,下一个替换通常是可预测的。黑客能够预测服务器的初始序列号,从而完成入侵攻击。防止这种攻击的唯一方法是使初始序列号更加随机,最安全的解决方案是使用加密算法生成初始序列号。就目前的硬件速度而言,由此产生的额外CPU计算负载是可以忽略不计的。
12.控制系统
在UNIX系统中,太多的文件只能由超级用户创建,而某些类型的用户可以创建的文件很少,这使得系统管理员不得不在根权限下操作,这不是很安全。由于黑客的主要目标是root,所以最常见的目标是超级用户的密码。严格地说,UNIX下的用户密码不是加密的;它只是将公共字符串加密为DES算法的密钥。有许多可用于解密的软件工具,它们利用CPU的高速、详尽的密码搜索。一旦攻击成功,黑客将成为UNIX系统的管理员。因此,应该对系统中的用户权限进行划分,如设置邮件系统管理员管理,这样邮件系统的邮件管理员可以在没有超级用户权限的情况下很好地管理邮件系统。这将使该系统更加安全。
