如何对黑客攻击行为进行检测与防御？【豹子融】

为了更好地保护网络免受黑客攻击，需要对黑客的攻击方式、攻击原理、攻击过程等有深入细致的了解。只有这样，才能进行更有效、更有针对性的主动保护。下面，我们将通过分析黑客攻击方式的特点来研究如何检测和防御黑客攻击。

一、反攻击技术的核心问题

反攻击技术（入侵检测技术）的核心问题是如何拦截所有网络信息。目前，获取信息的方式主要有两种。一种是通过网络监听（如Sniffer、Vpacket等程序）获取所有网络信息（数据包信息、网络流量信息、网络状态信息、网络管理信息）。等）land攻击源端口目的端口，这不仅是黑客进行攻击的必然方式，也是进行反攻击的必要方式；二是分析操作系统和应用程序的系统日志，发现系统的入侵行为和潜在的安全漏洞。

二、黑客攻击的主要方法

黑客以多种方式攻击网络。一般来说，攻击总是利用“系统配置缺陷”、“操作系统安全漏洞”或“通信协议安全漏洞”。到目前为止，已经发现了2000多种攻击方式，其中大部分的黑客攻击方式都有相应的解决方案。这些攻击大致可以分为以下六类：

1. 拒绝服务攻击：

一般来说，拒绝服务攻击是通过使被攻击对象（通常是工作站或重要服务器）的关键系统资源过载，使被攻击对象停止部分或全部服务。有数百种已知的拒绝服务攻击。它是最基本的入侵攻击方法，也是最难对付的一种。典型的例子包括 SYN Flood 攻击、Ping Flood 攻击、Land 攻击和 WinNuke 攻击。

2. 未经授权的访问尝试：

攻击者尝试读取、写入或执行受保护的文件，包括尝试获得受保护的访问权限。

3. 预探测攻击：

在不断的未授权访问尝试的过程中，攻击者通常利用这种攻击尝试来获取网络内部的信息和网络周围的信息。典型的例子包括 SATAN 扫描、端口扫描和 IP 中途扫描。

4. 可疑活动：

它是通常定义的“标准”网络通信范围之外的活动，也可以指网络上不受欢迎的活动，例如 IP 未知协议和重复 IP 地址事件。

5. 协议解码：

协议解码可用于上述任何不受欢迎的方法。网络或安全管理员需要进行解码工作并获得相应的结果。解码后的协议信息可以指示预期的活动，例如解码方法，如 FTU User 和 Portmapper Proxy。.

6. 系统代理攻击：

这种攻击通常针对单个主机而不是整个网络发起，RealSecure 系统代理可以对其进行监控。

三、黑客攻击行为特征分析及反攻击技术

入侵检测最基本的手段是使用模式匹配来发现入侵攻击。要进行有效的攻击和反击land攻击源端口目的端口，首先要了解入侵的原理和工作机制。只有这样，我们才能知道自己和他人，从而有效地防止入侵攻击。. 下面我们分析几种典型的入侵攻击并提出相应的对策。

1. 陆地攻击

攻击类型：陆地攻击是一种拒绝服务攻击。

攻击特点：用于Land攻击的数据包中的源地址和目的地址是相同的，因为操作系统在接收到这种类型的数据包时，不知道如何处理相同的通信源地址和目的地址堆栈。情况，或者循环发送和接收数据包，会消耗大量系统资源，可能导致系统崩溃或死机。

检测方法：判断网络数据包的源地址和目的地址是否相同。

防攻击方法：适当配置防火墙设备或过滤路由器的过滤规则，可以防止这种攻击行为（一般是丢弃数据包），并对这种攻击进行审计（记录事件发生的时间、源主机和目标主机。 MAC 地址和 IP 地址）。

2. TCP SYN 攻击

攻击类型：TCP SYN 攻击是拒绝服务攻击。

攻击特征：利用TCP客户端与服务器的三次握手过程中的漏洞进行攻击。攻击者通过伪造源IP地址向攻击者发送大量SYN包。当被攻击主机接收到大量的SYN包时，需要使用大量的缓冲区来处理这些连接，并将SYN ACK包发回错误处。它一直在等待ACK数据包的响应，最终导致缓存耗尽，无法再处理其他合法的SYN连接，也就是无法对外提供正常的服务。

检测方法：检查单位时间内收到的SYN连接数是否超过系统设置的值。

防攻击方法：当收到大量SYN包时，通知防火墙阻止连接请求或丢弃这些包，并进行系统审计。

3. Ping Of Death 攻击

攻击类型：Ping Of Death 攻击是一种拒绝服务攻击。

攻击特征：攻击报文大于65535字节。因为有些操作系统接收到超过65535字节的数据包，会造成内存溢出、系统崩溃、重启、内核故障等后果，从而达到攻击的目的。

检测方法：判断数据包大小是否大于65535字节。

防攻击方法：使用新补丁，当收到大于65535字节的报文时，丢弃该报文并进行系统审计。

4. WinNuke 攻击

攻击类型：WinNuke 攻击是一种拒绝服务攻击。

攻击特点：WinNuke 攻击又称带外传输攻击，特点是攻击目标端口。被攻击的目标端口通常为139、138、137、113、@ >53，URG位设置为“1”，即紧急模式。

检测方法：判断数据包的目的端口是否为139、138、137等，判断URG位是否为“1”。

防攻击方法：适当配置防火墙设备或过滤路由器可以防止这种攻击方法（丢包），并审计这种攻击（记录事件发生的时间，源主机和目标主机的MAC地址和IP地址） ） 苹果电脑）。

5. 泪珠攻击

攻击类型：Teardrop 攻击是一种拒绝服务攻击。

攻击特点：Teardrop是一种基于UDP的对病理分片数据包的攻击方式。它的工作原理是向攻击者发送多个分片的IP包（IP分片数据包包括分片数据包属于哪个数据包）。以及数据包中的位置等信息），一些操作系统会出现系统崩溃、重启等情况。

检测方法：分析接收到的分片数据包，计算数据包的分片偏移量（Offset）是否错误。

反攻击方法：添加系统补丁，丢弃收到的病理分片报文，审计本次攻击。

6. TCP/UDP 端口扫描

攻击类型：TCP/UDP 端口扫描是一种预探测攻击。

攻击特征：向被攻击主机的不同端口发送TCP或UDP连接请求，检测被攻击对象上运行的服务类型。

检测方法：统计外界对系统端口的连接请求，特别是21、23、@>25、53、@>80、800< @k25@ 对8080等以外的端口的连接请求，非常常用。

防攻击方法：当收到多个TCP/UDP数据包对异常端口的连接请求时，通知防火墙阻止连接请求，并审计攻击者的IP地址和MAC地址。

对于一些复杂的入侵攻击（如分布式攻击、组合攻击），不仅需要模式匹配的方法，还需要状态转换和网络拓扑的方法来进行入侵检测。

四、对入侵检测系统的一些思考

在性能方面，入侵检测系统面临的矛盾之一是系统性能和功能之间的折衷，即对数据的全面而复杂的检测对系统的实时性要求构成很大挑战。

从技术上讲，入侵检测系统存在一些亟待解决的问题，主要有以下几个方面：

1. 如何识别“大规模组合分布式入侵攻击”，目前还没有更好的方法和成熟的解决方案。从雅虎等知名ICP攻击中了解到，安全问题越来越突出，攻击者水平不断提高，再加上攻击工具日益成熟多样，攻击手段越来越复杂，使得入侵检测必要的系统 跟踪最新的安全技术。

2. 网络入侵检测系统通过匹配网络数据包发现攻击行为。入侵检测系统往往假设攻击信息是以明文形式传输的，所以信息的改变或重新编码可能会欺骗入侵检测系统的检测，所以字符字符串匹配的方法对于加密数据包是无能为力的.

3. 网络设备越来越复杂和多样化，这就要求可以定制入侵检测系统，以满足更多环境的要求。

4. 对入侵检测系统的评价没有客观的标准，标准的不一致使得入侵检测系统的互联变得困难。入侵检测系统是一项新兴技术。随着技术的发展和新的攻击识别的增加，入侵检测系统需要不断升级以保证网络的安全。

5. 使用不适当的自动响应也会给入侵检测系统带来风险。入侵检测系统通常可以与防火墙协同工作。当入侵检测系统发现攻击行为时，它会过滤掉所有来自攻击者的IP数据包。当攻击者冒充大量不同的IP来模拟攻击时，入侵检测系统会自动配置防火墙，过滤掉这些实际上并没有攻击的地址，从而造成新的拒绝服务访问。

6. 对 IDS 本身的攻击。与其他系统一样，IDS 本身也存在安全漏洞。如果对IDS的攻击成功，则报警失败，入侵者的后续行为将不被记录。因此，系统应采取多种安全保护措施。

7. 随着网络带宽的不断增加，如何开发基于网络的高速检测器（事件分析仪）还存在很多技术难点。

入侵检测系统作为网络安全的关键检测和防御系统，有很多方面值得深入研究，需要进一步完善，为未来网络发展提供有效的安全手段。