防火墙的基本概念(3)

　　 
　　3 常用网络攻击方法
　　1） IP地址伪装（IP Spoofing）：攻击方发出的数据包中的源地址改成受攻击方的网络地址，向该网络发送数据包。

　　2） IP抢劫（IP Hijacking、IP Splicing）：攻击者中途截取一个已经连接成功的会话。这种攻击通常发生在用户身份被验证后，这样攻击者看起来是一个合法用户。对于这种攻击的最主要的防范方法是对网络层或会话层的传输的数据进行加密。
　　3） Smurf：攻击方通过第三方网络介以一伪造的地址将数据包传入，大量的数据包使得网络速度迅速下降直至崩溃。这种攻击很难查出攻击者。
　　4） Dumpster diving：通过搜寻公司的垃圾文件以获得口令等敏感性数据。
　　5） War-dialing：通过不断快速的枚举法来获得用户帐号和口令。这是一非常古老的方法。但现在使用它的逐渐又多了起来。如对于采用密钥长度为56位的DES加密的数据，可以在一个月之内被破译（按照目前的计算速度），对于40位或48位的则只需几个小时或几天。DES是使用最广泛的加密技术。
　　6） 利用操作系统缺陷：利用系统中漏洞直接对系统进行攻击。如“蠕虫”病毒是利用finger命令中的bug，令缓冲区溢出，再将控制转移到自己的程序中。还可以利用系统缺陷，绕过防火墙的检验，直接获取数据。发现系统中的缺陷，应该立即采取对策，防止对系统的进一步危害。
　　7） 拒绝服务denial of service：特征是攻击者通过各种方法使合法的用户不能使用某种服务。例如：
　　; “淹没”一个网络，从而阻止合法的数据传输；
　　; 破坏两台机器见间的连接，使用户不能访问该服务；
　　; 阻止特定的个人访问某种资源；
　　; 中断到某个特定系统或个人的服务；
　　一些拒绝服务攻击被称为“非对称攻击”，特点是攻击方利用有限的资源去攻击一个比较大的网络。如攻击者可能可以利用一个低速的modem，将一个大型的网络搞垮。
　　拒绝服务攻击的种类有多种，以下三种是比较基本的：
　　; 消耗有限的、不可更新的资源；
　　; 毁坏或者更改配置的信息；
　　; 对于网络的物理组件的破坏或者更改；
　　这里就第一种即“消耗有限的资源”做一些说明。
　　计算机和网络需要有特定的资源来运行：网络带宽、内存和磁盘空间、cpu时间、数据结构、对其他网络和计算机的访问；并且还包括一些环境资源，如电、冷气甚至还有水。
　　有这样一种攻击方法：攻击者建立一个到目标机器的连接，但是用某种方法阻止将此连接的最终完成；这样，在目标机器上就预留了一些用来完成连接所需的数据结构。结果一些合法的连接被拒绝了，因为目标机器正在等待完成那些已经完成一半的连接。应该注意到，这种攻击并不消耗网络带宽，它只是消耗建立连接所需的核心的数据结构。这也意味着可以从利用拨号上网来攻击一个非常快速的网络。这是一个“非对称攻击”的好例子。
　　其他的方法有创建一个恶意的进程不断的生成新的进程，消耗系统资源。

原文转自：http://www.ltesting.net