第一篇：淺談跨站腳本攻擊

淺談跨站腳本攻擊

什么是XSS攻擊

XSS又叫CSS(Cross Site Script)，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。XSS屬于被動式的攻擊，因?yàn)槠浔粍忧也缓美?，所以許多人常呼略其危害性。而本文主要講的是利用XSS得到目標(biāo)服務(wù)器的shell。技術(shù)雖然是老技術(shù)，但是其思路希望對大家有幫助。

如何尋找XSS漏洞

XSS攻擊分成兩類，一類是來自內(nèi)部的攻擊，主要指的是利用程序自身的漏洞，構(gòu)造跨站語句，如:dvbbs的showerror.asp存在的跨站漏洞。另一類則是來來自外部的攻擊，主要指的自己構(gòu)造XSS跨站漏洞網(wǎng)頁或者尋找非目標(biāo)機(jī)以外的有跨站漏洞的網(wǎng)頁。如當(dāng)我們要滲透一個站點(diǎn)，我們自己構(gòu)造一個有跨站漏洞的網(wǎng)頁，然后構(gòu)造跨站語句，通過結(jié)合其它技術(shù)，如社會工程學(xué)等，欺騙目標(biāo)服務(wù)器的管理員打開，然后利用下面的技術(shù)得到一個shell。

XSS攻擊方式

外部攻擊：

傳統(tǒng)的跨站利用方式一般都是攻擊者先構(gòu)造一個跨站網(wǎng)頁，然后在另一空間里放一個收集cookie的頁面，接著結(jié)合其它技術(shù)讓用戶打開跨站頁面以盜取用戶的cookie，以便進(jìn)一步的攻擊。目前該方式已經(jīng)畢竟落后，所以對于這種問題一般大家都知道，一旦你收集到了Cookie也未必就可以滲透進(jìn)入，因?yàn)樵贑ookie傳輸中的密碼一般都是經(jīng)過加密的。另外一般多數(shù)的外部攻擊方式都是通過上傳shell腳本來實(shí)施的，所以對于上傳功能的安全性測試是需要非常謹(jǐn)慎的。

內(nèi)部攻擊：

通常情況下是看代碼里對用戶輸入的地方和變量有沒有做長度和對”〈”,”〉”,”;”,”’”等字符是否做過濾。還有要注意的是對于標(biāo)簽的閉合，像測試QQ群跨站漏洞的時候，你在標(biāo)題處輸入〈script〉alert(‘test’)〈/script〉，代碼是不會被執(zhí)行的，因?yàn)樵谠创a里，有其它的標(biāo)簽未閉合，如少了一個〈/script〉，這個時候，你只要閉合一個〈/script〉，代碼就會執(zhí)行，如：你在標(biāo)題處輸入〈/script〉〈script〉alert(‘test’)〈/script〉，這樣就可以彈出一個test的框。

第二篇：跨站點(diǎn)腳本攻擊 腳本注入 解決 方案

/**

* 過濾用戶輸入要保護(hù)應(yīng)用程序免遭跨站點(diǎn)腳本編制的攻擊，請通過將敏感字符轉(zhuǎn)換為其對

應(yīng)的字符實(shí)體來清理HTML。這些是HTML 敏感字符：< > “ ' %;)(& +

串

Example to filter sensitive data to prevent cross-site scripting

* */

public String scriptingFilter(String value){

if(value == null){

return null;

}

StringBuffer result = new

StringBuffer(value.length());

for(int i=0;i

switch(value.charAt(i)){

case '<':

result.append(”<“);

break;

case '>':

result.append(”>“);

break;

case '”':

result.append(“"”);

break;

case ''':

result.append(“");

break;

case '%':

result.append(”%“);

break;

case ';':

result.append(”;“);

break;

case '(':

result.append(”(“);以下示例通過將敏感字符轉(zhuǎn)換為其對應(yīng)的字符實(shí)體，來過濾指定字符

}break;case ')':result.append(”)“);break;case '&':result.append(”&“);break;case '+':result.append(”+");break;default:result.append(value.charAt(i));break;} } return new String(result);

第三篇：攻擊網(wǎng)站

如何攻擊網(wǎng)站（圖文）

說起流光、溯雪、亂刀，可以說是大名鼎鼎無人不知無人不曉，這些都是小榕哥的作品。每次一提起小榕哥來，我的崇拜景仰就如滔滔江水，連綿不絕~~~~（又來了！）讓我們崇拜的小榕哥最新又發(fā)布了SQL注入工具，這回喜歡利用SQL注入入侵網(wǎng)站的黑友們有福了。小榕哥的工具就是強(qiáng)！偶用它來搞定我們本地的信息港，從尋找注入漏洞到注入攻擊成功，通過準(zhǔn)確計(jì)時，總共只用了3分還差40秒，呵呵，王者風(fēng)范，就是強(qiáng)啊！不信嗎？看看我的入侵過程吧。

一、下載榕哥的工具包是用來掃描某個站點(diǎn)中是否存在SQL注入漏洞的；“wed.exe”則是用來破解SQL注入用戶名密碼的。兩個工具的使用都非常簡單，結(jié)合起來，就可以完成從尋找注入點(diǎn)到注入攻擊完成的整個過程。

二、尋找SQL注入點(diǎn)

小提示：在輸入網(wǎng)址時，前面的“http://”;和最后面的“/”是必不可少的，否則將會提示無法進(jìn)行掃描。

輸入完畢后回車，即可開始進(jìn)行掃描了。很快得到了掃描結(jié)果，可以看到這個網(wǎng)站中存在著很多SQL注入漏洞（如圖2），我們隨便挑其中一個來做試驗(yàn)，就挑“/rjz/sort.asp?classid=1”吧。

打開瀏覽器，在地

正想著手工注入會有多困難時，“wed.exe”程序已經(jīng)開始了用戶名和密碼的破解。很快的，就得到了用戶名和密碼了——“admina”、“pbk&7*8r”（如圖6）！天啦，這也太容易了吧！還不到一分鐘呢

四、搜索隱藏的管理登錄頁面

重新回到剛才的軟件下載頁面中，任意點(diǎn)擊了一個軟件下載鏈接，哎呀？怎么可以隨便下載的呢！不像以前碰到的收費(fèi)網(wǎng)站，要輸入用戶名和密碼才可以下載?？磥磉@是免費(fèi)下載的網(wǎng)站，我猜錯了攻擊對象，不過既然都來了，就看看有沒有什么可利用的吧？

拿到了管理員的帳號，現(xiàn)在看來我們只有找到管理員登錄管理的入口才行了。在網(wǎng)頁上找遍了也沒有看到什么管理員的入口鏈接，看來還是得讓榕哥出手啦！

再次拿出“wis.exe”程序，這個程序除了可以掃描出網(wǎng)站中存在的所有SQL注入點(diǎn)外，還可以找到隱藏的管理員登錄頁面。在命令窗口中輸入“wis.exe http://004km.cn/rjz/sort.asp?classid=1/ /a”（如圖7）。注意這里輸入了一個隱藏的參數(shù)“/a”。

怎么會掃描不成功呢？呵呵，原來這是掃描注入點(diǎn)，當(dāng)然不能成功了，管理員登錄頁面只可能隱藏在整個網(wǎng)站的某個路徑下。于是輸入“wis.exe http://004km.cn/ /a”，對整個網(wǎng)站進(jìn)行掃描。注意掃描語句中網(wǎng)址的格式。程序開始對網(wǎng)站中的登錄頁面進(jìn)行掃描，在掃描過程中，找到的隱藏登錄頁面會在屏幕上以紅色進(jìn)行顯示。很快就查找完了，在最后以列表顯示在命令窗口中?？梢钥吹搅斜碇杏卸鄠€以“/rjz/”開頭的登錄頁面網(wǎng)址，包括“/rjz/gl/manage.asp”、“/rjz/gl/login.asp”、“/rjz/gl/admin1.asp”等。就挑“/rjz/gl/admin1.asp”吧，反正這些都是管理員登錄的頁面想用哪個都可以。

在瀏覽器中輸入網(wǎng)址“ http://004km.cn/rjz/gl/admin1.asp”，呵呵，出現(xiàn)了本來隱藏著的管理員登錄頁面（如圖8）。輸入用戶名和密碼，就進(jìn)入到后臺管理系統(tǒng)，進(jìn)來了做些什么呢？當(dāng)然不能搞破壞啦，看到有一個添加公告的地方，好啊，就在這兒給管理員留下一點(diǎn)小小的通知吧！

看看最后我更改過的主頁，冰河洗劍的大名留在了信息港上（如圖9），不過可沒有破壞什么東西??！我和網(wǎng)頁管理員也是朋友，他會原諒我這個小小的玩笑吧！

第四篇：DDoS攻擊以及防范措施

DDoS攻擊以及防范措施.txt舉得起放得下叫舉重，舉得起放不下叫負(fù)重。頭要有勇氣，抬頭要有底氣。學(xué)習(xí)要加，驕傲要減，機(jī)會要乘，懶惰要除。人生三難題：思，相思，單相思?；A(chǔ)知識 認(rèn)識了解DDoS攻擊以及防范措施2008年02月21日 星期四 12:07

商業(yè)利益的驅(qū)使，促成DDOS攻擊不斷

隨著Internet互聯(lián)網(wǎng)絡(luò)帶寬的增加和多種DDOS黑客工具的不斷發(fā)布，DDOS拒絕服務(wù)攻擊的實(shí)施越來越容易，DDOS攻擊事件正在成上升趨勢。

在我國，DDOS攻擊多數(shù)來自美國，占39％，而中國是拒絕服務(wù)攻擊的主要目標(biāo)，占63%。這是亞太及日本地區(qū)互聯(lián)網(wǎng)安全威脅報(bào)告中的一部分?jǐn)?shù)據(jù)。中國成為DDoS攻擊的主要目標(biāo)。據(jù)介紹，凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都屬“拒絕服務(wù)攻擊”。出于商業(yè)競爭、打擊報(bào)復(fù)和網(wǎng)絡(luò)敲詐等多種因素，導(dǎo)致很多IDC托管機(jī)房、商業(yè)站點(diǎn)、游戲服務(wù)器、聊天網(wǎng)絡(luò)等網(wǎng)絡(luò)服務(wù)商長期以來一直被DDOS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機(jī)用戶受牽連、法律糾紛、商業(yè)損失等一系列問題，因此，解決DDOS攻擊問題成為網(wǎng)絡(luò)服務(wù)商必須考慮的頭等大事。

到底什么是DDOS？你被DDOS了嗎？

DDOS是英文Distributed Denial of Service的縮寫，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)（Denial of Service）呢？可以這么理解，凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，從而達(dá)成攻擊者不可告人的目的。

雖然同樣是拒絕服務(wù)攻擊，但是DDOS和DOS還是有所不同，DDOS的攻擊策略側(cè)重于通過很多“僵尸主機(jī)”（被攻擊者入侵過或可間接利用的主機(jī)）向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS則側(cè)重于通過對主機(jī)特定漏洞的利用攻擊導(dǎo)致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機(jī)死機(jī)而無法提供正常的網(wǎng)絡(luò)服務(wù)功能，從而造成拒絕服務(wù)，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務(wù)攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防范，至于DOS攻擊，通過給主機(jī)服務(wù)器打補(bǔ)丁或安裝防火墻軟件就可以很好地防范，后文會詳細(xì)介紹怎么對付DDOS攻擊。

DDOS的表現(xiàn)形式

DDOS的表現(xiàn)形式主要有兩種，一種為流量攻擊，主要是針對網(wǎng)絡(luò)帶寬的攻擊，即大量攻擊包導(dǎo)致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被虛假的攻擊包淹沒而無法到達(dá)主機(jī)；另一種為資源耗盡攻擊，主要是針對服務(wù)器主機(jī)的攻擊，即通過大量攻擊包導(dǎo)致主機(jī)的內(nèi)存被耗盡或CPU被內(nèi)核及應(yīng)用程序占完而造成無法提供網(wǎng)絡(luò)服務(wù)。

如何判斷網(wǎng)站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發(fā)現(xiàn)Ping超時或丟包嚴(yán)重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發(fā)現(xiàn)和你的主機(jī)接在同一交換機(jī)上的服務(wù)器也訪問不了了，基本可以確定是遭受了流量攻擊。當(dāng)然，這樣測試的前提是你到服務(wù)器主機(jī)之間的ICMP協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽，否則可采取Telnet主機(jī)服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試，效果是一樣的。不過有一

點(diǎn)可以肯定，假如平時Ping你的主機(jī)服務(wù)器和接在同一交換機(jī)上的主機(jī)服務(wù)器都是正常的，突然都Ping不通了或者是嚴(yán)重丟包，那么假如可以排除網(wǎng)絡(luò)故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現(xiàn)象是，一旦遭受流量攻擊，會發(fā)現(xiàn)用遠(yuǎn)程終端連接網(wǎng)站服務(wù)器會失敗。

相對于流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網(wǎng)站主機(jī)和訪問網(wǎng)站都是正常的，發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在服務(wù)器上用Netstat-na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，Ping自己的網(wǎng)站主機(jī)Ping不通或者是丟包嚴(yán)重，而Ping與自己的主機(jī)在同一交換機(jī)上的服務(wù)器則正常，造成這種原因是網(wǎng)站主機(jī)遭受攻擊后導(dǎo)致系統(tǒng)內(nèi)核或某些應(yīng)用程序CPU利用率達(dá)到100%無法回應(yīng)Ping命令，其實(shí)帶寬還是有的，否則就Ping不通接在同一交換機(jī)上的主機(jī)了。

當(dāng)前主要有三種流行的DDOS攻擊：

1、SYN/ACK Flood攻擊：這種攻擊方法是經(jīng)典最有效的DDOS方法，可通殺各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機(jī)發(fā)送大量偽造源IP和源端口的SYN或ACK包，導(dǎo)致主機(jī)的緩存資源被耗盡或忙于發(fā)送回應(yīng)包而造成拒絕服務(wù)，由于源都是偽造的故追蹤起來比較困難，缺點(diǎn)是實(shí)施起來有一定難度，需要高帶寬的僵尸主機(jī)支持。少量的這種攻擊會導(dǎo)致主機(jī)服務(wù)器無法訪問，但卻可以Ping的通，在服務(wù)器上用Netstat-na

命令會觀察到存在大量的SYN_RECEIVED狀態(tài)，大量的這種攻擊會導(dǎo)致Ping失敗、TCP/IP棧失效，并會出現(xiàn)系統(tǒng)凝固現(xiàn)象，即不響應(yīng)鍵盤和鼠標(biāo)。普通防火墻大多無法抵御此種攻擊。

2、TCP全連接攻擊：這種攻擊是為了繞過常規(guī)防火墻的檢查而設(shè)計(jì)的，一般情況下，常規(guī)防火墻大多具備過濾TearDrop、Land等DOS攻擊的能力，但對于正常的TCP連接是放過的，殊不知很多網(wǎng)絡(luò)服務(wù)程序（如：IIS、Apache等Web服務(wù)器）能接受的TCP連接數(shù)是有限的，一旦有大量的TCP連接，即便是正常的，也會導(dǎo)致網(wǎng)站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵尸主機(jī)不斷地與受害服務(wù)器建立大量 的TCP連接，直到服務(wù)器的內(nèi)存等資源被耗盡而被拖跨，從而造成拒絕服務(wù)，這種攻擊的特點(diǎn)是可繞過一般防火墻的防護(hù)而達(dá)到攻擊目的，缺點(diǎn)是需要找很多僵尸主機(jī)，并且由于僵尸主機(jī)的IP是暴露的，因此容易被追蹤。

3、刷Script腳本攻擊：這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，并調(diào)用MSSQLServer、MySQLServer、Oracle等數(shù)據(jù)庫的網(wǎng)站系統(tǒng)而設(shè)計(jì)的，特征是和服務(wù)器建立正常的TCP連接，并不斷的向腳本程序提交查詢、列表等大量耗費(fèi)數(shù)據(jù)庫資源的調(diào)用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費(fèi)和帶寬的占用是幾乎可以忽略的，而服務(wù)器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費(fèi)是很大的，常見的數(shù)據(jù)庫服務(wù)器很少能支持?jǐn)?shù)百個查詢指令同時執(zhí)行，而這對于客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機(jī)服務(wù)器大量遞交查詢指令，只需數(shù)分鐘就會把服務(wù)器資源消耗掉而導(dǎo)致拒絕服務(wù)，常見的現(xiàn)象就是網(wǎng)站慢如蝸牛、ASP程序失效、PHP連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序占用CPU偏高。這種攻擊的特點(diǎn)是可以完全繞過普通的防火墻防護(hù)，輕松找一些Proxy代理就可實(shí)施攻擊，缺點(diǎn)是對付只有靜態(tài)頁面的網(wǎng)站效果會大打折扣，并且有些Proxy會暴露攻擊者的IP地址。

完全抵御住DDOS攻擊是不可能的

對付DDOS是一個系統(tǒng)工程，想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實(shí)的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的，基于攻擊和防御都有成本開銷的緣故，若通過適當(dāng)?shù)霓k法增強(qiáng)了抵御DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄，也就相當(dāng)于成功的抵御了DDOS攻擊。

以下幾點(diǎn)是防御DDOS攻擊幾點(diǎn):

1、采用高性能的網(wǎng)絡(luò)設(shè)備

首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機(jī)、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了，當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點(diǎn)處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。

2、充足的網(wǎng)絡(luò)帶寬保證

網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊，當(dāng)前至少要選擇100M的共享帶寬，最好的當(dāng)然是掛在1000M的主干上了。

但需要注意的是，主機(jī)上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的，若把它接在100M的交換機(jī)上，它的實(shí)際帶寬不會超過100M，再就是接在100M的帶寬上也不等于就有了百兆的帶寬，因?yàn)榫W(wǎng)絡(luò)服務(wù)商很可能會在交換機(jī)上限制實(shí)際帶寬為10M，這點(diǎn)一定要搞清楚。

3、安裝專業(yè)抗DDOS防火墻

專業(yè)抗DDOS防火墻采用內(nèi)核提前過濾技術(shù)、反向探測技術(shù)、指紋識別技術(shù)等多項(xiàng)專利技術(shù)來發(fā)現(xiàn)和提前過濾DDoS非法數(shù)據(jù)包，做到了智能抵御用戶的DoS攻擊。但也不能100％阻止對DDoS非法數(shù)據(jù)包準(zhǔn)確檢查。

DoS（Denial of Service拒絕服務(wù)）和DDoS（Distributed Denial of Service分布式拒絕服務(wù)）攻擊是大型網(wǎng)站和網(wǎng)絡(luò)服務(wù)器的安全威脅之一，2000年2月，Yahoo、亞馬遜、CNN被攻擊等事例，曾被刻在重大安全事件的歷史中。

第五篇：網(wǎng)絡(luò)攻擊研究和檢測

[摘 要] 隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全問題變得越來越受人關(guān)注。而了解網(wǎng)絡(luò)攻擊的方法和技術(shù)對于維護(hù)網(wǎng)絡(luò)安全有著重要的意義。本文對網(wǎng)絡(luò)攻擊的一般步驟做一個總結(jié)和提煉，針對各個步驟提出了相關(guān)檢測的方法。

[關(guān)鍵詞] 掃描 權(quán)限 后門

信息網(wǎng)絡(luò)和安全體系是信息化健康發(fā)展的基礎(chǔ)和保障。但是，隨著信息化應(yīng)用的深入、認(rèn)識的提高和技術(shù)的發(fā)展，現(xiàn)有信息網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)已提上工作日程。

入侵攻擊有關(guān)方法，主要有完成攻擊前的信息收集、完成主要的權(quán)限提升完成主要的后門留置等，下面僅就包括筆者根據(jù)近年來在網(wǎng)絡(luò)管理中有關(guān)知識和經(jīng)驗(yàn)，就入侵攻擊的對策及檢測情況做一闡述。

對入侵攻擊來說，掃描是信息收集的主要手段，所以通過對各種掃描原理進(jìn)行分析后，我們可以找到在攻擊發(fā)生時數(shù)據(jù)流所具有的特征。

一、利用數(shù)據(jù)流特征來檢測攻擊的思路

掃描時,攻擊者首先需要自己構(gòu)造用來掃描的Ip數(shù)據(jù)包,通過發(fā)送正常的和不正常的數(shù)據(jù)包達(dá)到計(jì)算機(jī)端口,再等待端口對其響應(yīng),通過響應(yīng)的結(jié)果作為鑒別。我們要做的是讓IDS系統(tǒng)能夠比較準(zhǔn)確地檢測到系統(tǒng)遭受了網(wǎng)絡(luò)掃描?？紤]下面幾種思路：

1.特征匹配。找到掃描攻擊時數(shù)據(jù)包中含有的數(shù)據(jù)特征，可以通過分析網(wǎng)絡(luò)信息包中是否含有端口掃描特征的數(shù)據(jù)，來檢測端口掃描的存在。如UDp端口掃描嘗試：content:“sUDp”等等。

2.統(tǒng)計(jì)分析。預(yù)先定義一個時間段，在這個時間段內(nèi)如發(fā)現(xiàn)了超過某一預(yù)定值的連接次數(shù)，認(rèn)為是端口掃描。

3.系統(tǒng)分析。若攻擊者對同一主機(jī)使用緩慢的分布式掃描方法，間隔時間足夠讓入侵檢測系統(tǒng)忽略，不按順序掃描整個網(wǎng)段，將探測步驟分散在幾個會話中，不導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)出現(xiàn)明顯異常，不導(dǎo)致日志系統(tǒng)快速增加記錄，那么這種掃描將是比較隱秘的。這樣的話，通過上面的簡單的統(tǒng)計(jì)分析方法不能檢測到它們的存在，但是從理論上來說，掃描是無法絕對隱秘的，若能對收集到的長期數(shù)據(jù)進(jìn)行系統(tǒng)分析，可以檢測出緩慢和分布式的掃描。

二、檢測本地權(quán)限攻擊的思路

行為監(jiān)測法、文件完備性檢查、系統(tǒng)快照對比檢查是常用的檢測技術(shù)。虛擬機(jī)技術(shù)是下一步我們要研究的重點(diǎn)方向。

1.行為監(jiān)測法。由于溢出程序有些行為在正常程序中比較罕見，因此可以根據(jù)溢出程序的共同行為制定規(guī)則條件，如果符合現(xiàn)有的條件規(guī)則就認(rèn)為是溢出程序。行為監(jiān)測法可以檢測未知溢出程序,但實(shí)現(xiàn)起來有一定難度，不容易考慮周全。行為監(jiān)測法從以下方面進(jìn)行有效地監(jiān)測:一是監(jiān)控內(nèi)存活動，跟蹤內(nèi)存容量的異常變化，對中斷向量進(jìn)行監(jiān)控、檢測。二是跟蹤程序進(jìn)程的堆棧變化,維護(hù)程序運(yùn)行期的堆棧合法性。以防御本地溢出攻擊和競爭條件攻擊。監(jiān)測敏感目錄和敏感類型的文件。對來自www服務(wù)的腳本執(zhí)行目錄、ftp服務(wù)目錄等敏感目錄的可執(zhí)行文件的運(yùn)行,進(jìn)行攔截、仲裁。對這些目錄的文件寫入操作進(jìn)行審計(jì),阻止非法程序的上傳和寫入。監(jiān)測來自系統(tǒng)服務(wù)程序的命令的執(zhí)行。對數(shù)據(jù)庫服務(wù)程序的有關(guān)接口進(jìn)行控制,防止通過系統(tǒng)服務(wù)程序進(jìn)行的權(quán)限提升。監(jiān)測注冊表的訪問，采用特征碼檢測的方法，阻止木馬和攻擊程序的運(yùn)行。

2.文件完備性檢查。對系統(tǒng)文件和常用庫文件做定期的完備性檢查。可以采用checksum的方式,對重要文件做先驗(yàn)快照,檢測對這些文件的訪問,對這些文件的完備性作檢查,結(jié)合行為檢測的方法,防止文件覆蓋攻擊和欺騙攻擊。

3.系統(tǒng)快照對比檢查。對系統(tǒng)中的公共信息，如系統(tǒng)的配置參數(shù)，環(huán)境變量做先驗(yàn)快照，檢測對這些系統(tǒng)變量的訪問，防止篡改導(dǎo)向攻擊。

4.虛擬機(jī)技術(shù)。通過構(gòu)造虛擬x86計(jì)算機(jī)的寄存器表、指令對照表和虛擬內(nèi)存，能夠讓具有溢出敏感特征的程序在虛擬機(jī)中運(yùn)行一段時間。這一過程可以提取與有可能被懷疑是溢出程序或與溢出程序程序相似的行為，比如可疑的跳轉(zhuǎn)等和正常計(jì)算機(jī)程序不一樣的地方，再結(jié)合特征碼掃描法，將已知溢出程序代碼特征庫的先驗(yàn)知識應(yīng)用到虛擬機(jī)的運(yùn)行結(jié)果中，完成對一個特定攻擊行為的判定。

虛擬機(jī)技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合，并沒有拋棄已知的特征知識庫。虛擬機(jī)的引入使得防御軟件從單純的靜態(tài)分析進(jìn)入了動態(tài)和靜態(tài)分析相結(jié)合的境界，在一個階段里面，極大地提高了已知攻擊和未知攻擊的檢測水平，以相對比較少的代價(jià)獲得了可觀的突破。在今后相當(dāng)長的一段時間內(nèi)，虛擬機(jī)在合理的完整性、技術(shù)技巧等方面都會有相當(dāng)?shù)倪M(jìn)展。目前國際上公認(rèn)的、并已經(jīng)實(shí)現(xiàn)的虛擬機(jī)技術(shù)在未知攻擊的判定上可達(dá)到80%左右的準(zhǔn)確率。

三、后門留置檢測的常用技術(shù)

1.對比檢測法。檢測后門時，重要的是要檢測木馬的可疑蹤跡和異常行為。因?yàn)槟抉R程序在目標(biāo)網(wǎng)絡(luò)的主機(jī)上駐留時,為了不被用戶輕易發(fā)現(xiàn),往往會采取各種各樣的隱藏措施，因此檢測木馬程序時必須考慮到木馬可能采取的隱藏技術(shù)并進(jìn)行有效地規(guī)避，才能發(fā)現(xiàn)木馬引起的異?，F(xiàn)象從而使隱身的木馬“現(xiàn)形”。常用的檢測木馬可疑蹤跡和異常行為的方法包括對比檢測法、文件防篡改法、系統(tǒng)資源監(jiān)測法和協(xié)議分析法等。

2.文件防篡改法。文件防篡改法是指用戶在打開新文件前,首先對該文件的身份信息進(jìn)行檢驗(yàn)以確保沒有被第三方修改。文件的身份信息是用于惟一標(biāo)識文件的指紋信息,可以采用數(shù)字簽名或者md5檢驗(yàn)和的方式進(jìn)行生成。

3.系統(tǒng)資源監(jiān)測法。系統(tǒng)資源監(jiān)測法是指采用監(jiān)控主機(jī)系統(tǒng)資源的方式來檢測木馬程序異常行為的技術(shù)。由于黑客需要利用木馬程序進(jìn)行信息搜集，以及滲透攻擊，木馬程序必然會使用主機(jī)的一部分資源，因此通過對主機(jī)資源(例如網(wǎng)絡(luò)、CpU、內(nèi)存、磁盤、USB存儲設(shè)備和注冊表等資源)進(jìn)行監(jiān)控將能夠發(fā)現(xiàn)和攔截可疑的木馬行為。

4.協(xié)議分析法。協(xié)議分析法是指參照某種標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議對所監(jiān)聽的網(wǎng)絡(luò)會話進(jìn)行對比分析，從而判斷該網(wǎng)絡(luò)會話是否為非法木馬會話的技術(shù)。利用協(xié)議分析法能夠檢測出采取了端口復(fù)用技術(shù)進(jìn)行端口隱藏的木馬。