非法人士在攻击企业的网络之前,必须先进行一些信息的收集。如他们需要知道企业用的是什么类型的操作系统;其最新的补丁是什么;并且进行全面扫描,以发现其中的漏洞等等。这种我们也叫做信息收集性攻击。
非法人士在攻击企业的网络之前,必须先进行一些信息的收集。如他们需要知道企业用的是什么类型的操作系统;其最新的补丁是什么;并且进行全面扫描,以发现其中的漏洞等等。这种我们也叫做信息收集性攻击。
信息收集性攻击虽然不会对网络带来实质性的危害,只是收集相关的信息。但是,这是其他攻击类以发生的前提。若能够采取有效的防御,不让他们收集到相关的信息,那么就可以有效的避免其他的一些危害性攻击,如RPC漏洞攻击等等。
常见的信息收集型攻击注意有端口扫描、体系结构扫描、反响印射技术等等。下面笔者就结合这些常见的信息收集型攻击,谈谈我们在网络安全管理中,该如何防御这些攻击。
第一:地址扫描。
利用一些工具,如IP地址扫描器、MAC地址扫描系统等等。通过这些工具,可以知道局域网内有哪些IP地址或者MAC地址是有效的;并且这些地址所对应的主机采用了什么样的操作系统,打了什么补丁等等。都可以一目了然的知道。地址扫描一般是进行其它攻击之前的一个必要步骤。有些还可以知道这些操作系统中,管理员帐户是否采用了空密码或者弱密码。
如以前微软操作系统的RPC共享漏洞。我们可以先利用地址扫描找到哪些操作系统没有关闭磁盘分区默认共享;并且,他们的管理员帐户密码是弱密码甚至没有设置密码。如此的话,我们就可以远程登录他们的主机。可以查阅他们主机中的所有内容,甚至也可以在他们主机中设置隐藏的帐户名;当然也可以轻而易举的在他们的操作系统中种植木马或者密码窃取工具等等。
可见,地址扫描是其他一切攻击前所要进行的一个重要步骤。若能够有效的防止非法人员对企业的局域网络进行地址扫描的话,那么,就可以有效的防止非法人士的一些攻击,可以有效的提高企业网络的安全性。
解决方法:
要实现地址扫描,则必须要采用ICMP协议。地址扫描就是向对局域网内的所有主机发送一个信息,看看到底有哪些主机对他做出了响应。然后再根据回应的信息,判断其采用的是微软的操作系统还是其它的如Linux的操作系统。而若我们关闭各个主机的ICMP协议,或则把这个ICMP协议的应答信息过滤掉的话,则地址扫描就会以失败告终。
若采用的是微软的操作系统,则可以利用微软自带的安全策略模板进行设置。如在安全策略中可以把ICMP的应答信息过滤掉。这样的话,其他人试图通过命令,如PING命令想让主机回应信息时,主机会把这个命令忽略掉,不会恢复任何信息。如此的话,对方就会认为这个ip地址或者Mac地址是无效的。
若用户采用的是Linux操作系统,则可以通过他自带的防火墙,把ICMP应答信息过滤掉。如此的话,对方也不能够得到这个应答信息。
第二:反响印射。
反响印射是地址扫描的另一个版本。由于地址扫描在前段时间内,给网络带来了很大的影响。所以,现在一些防火墙,把防止地址扫描作为其的推荐配置。在这种情况下,则采用地址扫描技术就不能够知道到底哪些主机在网络中是活跃的。
俗话说,道高一尺,魔高一丈。非法攻击者很快就找到了地址扫描的替代工具,即“反响印射”技术。非法攻击者试图向所有主机发生虚假信息,如果这个主机地址返回的是主机不可达信息时,则说明这个IP地址是不活跃的。若没有受到这个信息的话,则说明这个IP地址所对应的主机现在在网络中是打开的。如现在采用DNS响应包、RESET消息等等都可以达到类似的目的。最重要的是,在默认情况下,这类信息不会触发防火墙规则。故不法攻击者可以利用这种技术知道哪些IP地址是有效的,为他们下一步攻击做好准备。
解决方法:
一是也可以通过过滤ICMP应答来实现。主机不可达是ICMP的另一类应答信息。我们可以通过防火墙或者主机的安全配置,让防火墙过滤掉ICMP中的“主机不可达”应答。也就是说,当有人试图通过DNS数据包发一虚假信息给主机的时候,即使主机不活跃,则防火墙也会过滤掉“主机不可达”信息。如此的话,非法攻击者就不知道主机到底是不是开启的。
二是采用NAT(网络地址转换)技术也可以防止类似的信息收集攻击。若在企业的边界中采用NAT服务器,则当别人试图通过 反响印射来查找哪些主机是活略的时候,NAT服务器会自动抵制这类攻击。所以,采取NAT服务器也是保护企业网络安全的一个很好的手段。
第三:端口扫描。
端口扫描往往是跟地址扫描结合在一起的。知道了哪些主机是活跃的,只是他们信息收集攻击的第一步。他们还需要知道主机上开启了哪些端口,即启动了哪些服务。只有知道这些信息之后,他们才可以分析这台主机可能存在的系统漏洞,找到他们可以攻击的点。
现在网络上端口扫描工具随处可见。利用端口扫描工具软件,可以对活跃的主机进行端口扫描。在端口扫描工具中,会以列表的形式清爽的显示主机所有打开的端口。如此的话,黑客就可以利用这些端口,如FTP端口,等等进行攻击。所以,我们若能够采取有效的措施防止端口扫描的话,那么就可以有效的防止他们的攻击。
解决方法:
一是我们要养成一个习惯,及时关闭不必要的端口与服务。在微软操作系统安装的过程中,其会打开很多端口。其实,这些端口中大部分我们是用不到的。特别是在一些应用服务器中,我们可以把像80这样的端口直接关闭掉。当我们把不必要的端口关闭后,即使攻击者通过端口扫描工具得到了主机的端口信息,也是没有用的。因为可以被他们攻击的端口都已经关闭掉了。这就好像一个房间,可以被非法者入侵的窗户、门都封死了。只留下一些很少的、必要的进出门户,也都实施了监控。如此的话,就可以把攻击的发生的机率降至道最低。
二是若企业网络中部署了防火墙的话,则可以通过防火墙防止他人对主机端口进行扫描。若没有的话,则也可以通过微软操作系统自带的主机防火墙,来限制他人对主机端口进行扫描。
不过我还是建议企业采用企业级别的防火墙,进行策略的统一制定与管理。企业级别的防火墙功能与个人防火墙还是有很大区别的。企业级别的防火墙强调的是一个统一管理的平台,除了对主机提供保护之外,还可以对整个网络进行观测,实时监测是否有非法攻击者的存在。所以,有条件的企业,采用企业级别的防火墙还是有必要的。
第四:操作系统探测。
不同的操作系统,其具有的漏洞不同。如Linxu与Windows操作系统,其就具有不同的系统漏洞。作为攻击者,他们除了需要收集哪些IP地址或者主机中的哪些端口是活跃的之外,他们还需要了解主机所采用的操作系统。这可以让他们省下很多的时间和精力去分析操作系统到底有什么漏洞。他们知道操作系统后,就可以根据他们所知道的操作系统的漏洞情况,进行一一的测试即可。所以,收集操作系统的相关信息,而是他们信息收集型攻击过程中的一个重要过程。
不法攻击者一般可以利用一些工具,向已知的目标主机发送一些坏的数据包。然后目标主机会做出一定的响应。由于不同的操作系统其做出的响应是不同的。所以,不法攻击者就可以根据这些响应消息的不同,来判断目标主机到底是采用了什么类型的操作系统。有的比较高级的工具,甚至还可以知道其采用的是哪个版本的操作系统,系统是否打了相关的补丁等等。这我不法人士进行下一步的攻击,提供了非常重要的参考信息。
解决方法:
这种攻击手段是最难防治的。
首先,我们需要做好前面的地址扫描与反响印射的保护工作。当对方不知道哪些IP地址时活跃的,他们也就很难确定需要攻击的目标主机。他们无法确定目标主机的话,也就可以避免发生“操作系统探测”攻击了;或者至少可以提高他们攻击的成本。
第二种方法就比较专业,一般需要专业的管理员才可以做,否则的话,可能会给操作系统带来致命的影响。如可以修改各种标题信息,如操作系统和各种应用服务(如WEB服务)反应数据包错误信息的内容以及格式,或者对应的端口等等。如此的话,对方得到的错误数据包反应信息跟他们所了解的不一样,他们也就不知道你到底采用了什么样的操作系统。通过这可以有效的防止别人对你的操作系统进行探测。不过就是这种方法比较专业,需要慎用。