信息安全方面的混合攻击是什么意思?
通常的黑客攻击采取以下步骤:
1)判断入侵对象的操作系统;
2)扫描端口,判断开放了哪些服务(这两步有可能同时进行);
3)根据操作系统和所开放的服务选择入侵方法,通常有"溢出"和"弱口猜测"等方法;
4)获得系统的最高权力;
5)安放后门等病毒、清除日志等。
如今的病毒技术趋于复杂化与多样化,有些病毒能完全模拟以上的黑客攻击行为。所以如今的病毒不是单一的个体在战斗,而是一组在战斗,每一个个体有不同的功能与特性。它们包括端口扫描、漏洞扫描、漏洞利用、获得权限、种植木马后门,蠕虫病毒形成各种攻击与危害等。这就是混合攻击
什么是端口扫描?
一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。 在手工进行扫描时,需要熟悉各种命令。对命令执行后的输出进行分析。用扫描软件进行扫描时,许多扫描器软件都有分析数据的功能。 通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞。 什么是扫描器 扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器你可一不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本!这就能让我们间接的或直观的了解到远程主机所存在的安全问题。 工作原理 扫描器通过选用远程TCP/IP不同的端口的服务,并记录目标给予的回答,通过这种方法,可以搜集到很多关于目标主机的各种有用的信息(比如:是否能用匿名登陆!是否有可写的FTP目录,是否能用TELNET,HTTPD是用ROOT还是nobady在跑!) 扫描器能干什么 扫描器并不是一个直接的攻击网络漏洞的程序,它仅仅能帮助我们发现目标机的某些内在的弱点。一个好的扫描器能对它得到的数据进行分析,帮助我们查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。 扫描器应该有三项功能:发现一个主机或网络的能力;一旦发现一台主机,有发现什么服务正运行在这台主机上的能力;通过测试这些服务,发现漏洞的能力。 编写扫描器程序必须要很多TCP/IP程序编写和C, Perl和或SHELL语言的知识。需要一些Socket编程的背景,一种在开发客户/服务应用程序的方法。开发一个扫描器是一个雄心勃勃的项目,通常能使程序员感到很满意。 常用的端口扫描技术 TCP connect() 扫描 这是最基本的TCP扫描。操作系统提供的connect()系统调用,用来与每一个感兴趣的目标计算机的端口进行连接。如果端口处于侦听状态,那么connect()就能成功。否则,这个端口是不能用的,即没有提供服务。这个技术的一个最大的优点是,你不需要任何权限。系统中的任何用户都有权利使用这个调用。另一个好处就是速度。如果对每个目标端口以线性的方式,使用单独的connect()调用,那么将会花费相当长的时间,你可以通过同时打开多个套接字,从而加速扫描。使用非阻塞I/O允许你设置一个低的时间用尽周期,同时观察多个套接字。但这种方法的缺点是很容易被发觉,并且被过滤掉。目标计算机的logs文件会显示一连串的连接和连接是出错的服务消息,并且能很快的使它关闭。 TCP SYN扫描 这种技术通常认为是“半开放”扫描,这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包,好象准备打开一个实际的连接并等待反应一样(参考TCP的三次握手建立一个TCP连接的过程)。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回,表示端口没有处于侦听态。如果收到一个SYN|ACK,则扫描程序必须再发送一个RST信号,来关闭这个连接过程。这种扫描技术的优点在于一般不会在目标计算机上留下记录。但这种方法的一个缺点是,必须要有root权限才能建立自己的SYN数据包。 TCP FIN 扫描 有的时候有可能SYN扫描都不够秘密。一些防火墙和包过滤器会对一些指定的端口进行监视,有的程序能检测到这些扫描。相反,FIN数据包可能会没有任何麻烦的通过。这种扫描方法的思想是关闭的端口会用适当的RST来回复FIN数据包。另一方面,打开的端口会忽略对FIN数据包的回复。这种方法和系统的实现有一定的关系。有的系统不管端口是否打开,都回复RST,这样,这种扫描方法就不适用了。并且这种方法在区分Unix和NT时,是十分有用的。 IP段扫描 这种不能算是新方法,只是其它技术的变化。它并不是直接发送TCP探测数据包,是将数据包分成两个较小的IP段。这样就将一个TCP头分成好几个数据包,从而过滤器就很难探测到。但必须小心。一些程序在处理这些小数据包时会有些麻烦。 TCP 反向 ident扫描 ident 协议允许(rfc1413)看到通过TCP连接的任何进程的拥有者的用户名,即使这个连接不是由这个进程开始的。因此你能,举
X-Scan-v3.1用法
黑客工具XSCAN V3.3 GUI的使用 扫描漏洞的工具很多,像国产软件流光、superscan等等,在这里我们简单地介绍一下这个软件的使用,应用平台为Windows NT/2000/XP/2003 ,采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。扫描内容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。汉化版的对于我们国人来说,十分容易上手。其中各模块相关说明为: 图形界面设置项说明: “检测范围”模块: “指定IP范围” - 可以输入独立IP地址或域名,也可输入以“-”和“,”分隔的IP范围,如“192.168.0.1-20,192.168.1.10-192.168.1.254”,或类似“192.168.100.1/24”的掩码格式。 “从文件中获取主机列表” - 选中该复选框将从文件中读取待检测主机地址,文件格式应为纯文本,每一行可包含独立IP或域名,也可包含以“-”和“,”分隔的IP范围。 “全局设置”模块: “扫描模块”项 - 选择本次扫描需要加载的插件。 “并发扫描”项 - 设置并发扫描的主机和并发线程数,也可以单独为每个主机的各个插件设置最大线程数。 “网络设置”项 - 设置适合的网络适配器,若找不到网络适配器,请重新安装WinPCap 3.1 beta4以上版本驱动。 “扫描报告”项 - 扫描结束后生成的报告文件名,保存在LOG目录下。扫描报告目前支持TXT、HTML和XML三种格式。 “其他设置”项: “跳过没有响应的主机” - 若目标主机不响应ICMP ECHO及TCP SYN报文,X-Scan将跳过对该主机的检测。 “无条件扫描” - 如标题所述 “跳过没有检测到开放端口的主机” - 若在用户指定的TCP端口范围内没有发现开放端口,将跳过对该主机的后续检测。 “使用NMAP判断远程操作系统” - X-Scan使用SNMP、NETBIOS和NMAP综合判断远程操作系统类型,若NMAP频繁出错,可关闭该选项。 “显示详细信息” - 主要用于调试,平时不推荐使用该选项。 “插件设置”模块: 该模块包含针对各个插件的单独设置,如“端口扫描”插件的端口范围设置、各弱口令插件的用户名/密码字典设置等。 我们点击第一个按钮,在弹出的“扫描参数”中,我们有如下几个参数可选。 检测范围:该模块指定您要扫描的对象,本地服务器还是网络中的计算机。默认是localhost,这意味着你扫描的是本地计算机。范围也可以是个IP段,方式如下: 223.321.21.0-223.321.21.100 这就说明您扫描的范围是在这两个IP范围内所有的计算机。 全局设置 该功能模块包括以下4种功能子模块:扫描模块、并发扫描、扫描报告以及其他设置。 扫描模块 该列表种包含了您所要扫描的项目。开放服务、NT-SERVER弱口令、NETBIOS信息、SNMP信息等等的20个选项。 并发扫描 该模块限制了并发扫描的主机数量以及并发线程数量。 扫描报告 该功能模块是在您完成您的扫描后,XScan将以什么样的形式反馈扫描报告。有4种文件参数:HTML,XML,TXT。默认的为localhost_report.HTML 其他设置 该功能可以帮助您处理一些扫描过程种的问题,包括 跳过没有响应主机,无条件扫描等等。 插件设置 该项目包括了端口相关设置,SNMP相关设置,NETBIOS相关设置,漏洞检测脚本设置,CGI相关设置,字典文件设置这6项设置。 端口相关设置 该模块将根据您的要求设置扫描的端口以及扫描方式。扫描参数扫描方式有两种,一种是里同TCP检测,一种是利用SYN检测。 SNMP相关设置 对于大多数管理员来讲,SNMP的安全性已经不是一个新鲜的话题了。但是,有的服务器上SNMP问题依然存在,所以该检测模块将检测SNMP信息。 NETBIOS相关设置 该模块将扫描NETBIOS的相关设置,以方便您了解NETBIOS上存在的问题。该模块的选项主要有:注册表敏感键值,服务器时间,域控制器信息,传输列表,会话列表等。 漏洞检测教本 如果您善于编写教本,那么该模块将大大的简化您的日常工作以及便于您对XSCAN的使用。 CGI设置 对于信息服务器来将,CGI检测是尤为总要的,具体的我不再复述。 字典设置 XSCAN自带的字典有很多,用来破解您系统的弱口令。一个好的字典将决定了你服务器的安全性。 按照您的设置完毕后,我们点击如图一中的开始按钮,XSCAN就可以开始扫描。在扫描过程中您将看到具体的扫描过程。 漏洞发现 扫描完毕后,将会使用你选择的扫描报告形式予以报告。我们使用HTML。 本节扫描的系统是Windows Server 2003企业版本,没有打上SP1。 本地计算机存在诸多的TCP安全问题。我进行测试的系统是将所有的微软安全报告的补丁全部打上,所以没有出现其他安全问题。由图可以发现,很多基于TCP的端口存在安全问题,一共存在18个安全问题,端口135,445,1025,1027是本次扫描的重点反映出来的问题,具体的信息我们可以查看扫描报告。 我们转到扫描报告,该报告反映了我们扫描出来的具体信息以及相关的解决方法。 针对各个安全问题,XSCAN都给出了相关的解决方案。我们就很容易的发现network blackjack(1025/tcp)在本地的安全级别不高,恶意人员可能通过该漏洞入侵到服务器中。 总结 使用X-Scan可以快速了扫描您的计算机上面存在的安全漏洞,以及可以快速的了解安全漏洞的处理方法。很多表面上看起来安全的问题我们都可以及时的反映出问题,方便管理人员快速的解决安全漏洞。但是,由于XSCAN本身出发点是为HACK攻击所使用的扫描器,所以,我们在使用的同时,HACKER们也可能使用XSCAN在扫描您的服务器和计算机。那么,我们就要加强本地网络的安全性了。 XSCAN不能代替其他专业的服务器或网络扫描工具。我将陆续介绍其他相关的工具使用介绍在此。 本文出自 51CTO.COM技术博客参考资料:百度网页
中了ARP攻击重做系统管用吗?权威人士请进
明确告诉你:不管用!
arp攻击不是病毒,并不是说把硬盘全格式化就行的,也不需要重装系统
就像网站被黑,如果你不采取一定安全措施,即便你把网站服务器重新装一遍也没用
因为arp攻击是通过端口的,只要被攻击的端口一直开放,那么攻击就一直存在
对付arp攻击的最好办法是:1、用端口扫描软件对开放端口进行扫描,然后关闭可疑端口
2、将mac地址与ip地址双项绑定,然后安装arp防火墙
0条大神的评论