【www.shanpow.com--网络散文】
【一】:网络攻击
常见的服务器攻击方法
攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接收新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。几种常见的拒绝服务攻击的原理:
1.SYNFoold
SYNFlood是当前最流行的DoS(拒绝服务攻击)与DDoS(DistributedDenialOfService分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
SYNFlood攻击的过程在TCP协议中被称为三次握手(Three-wayHandshake),而SYNFlood拒绝服务攻击就是通过三次握手而实现的。
(1)攻击者向被攻击服务器发送一个包含SYN标志的TCP报文,SYN(Synchronize)即同步报文。同步报文会指明客户端使用的端口以及TCP连接的初始序号。这时同被攻击服务器建立了第一次握手。
(2)受害服务器在收到攻击者的SYN报文后,将返回一个SYN+ACK的报文,表示攻击者的请求被接受,同时TCP序号被加一,ACK(Acknowledgement)即确认,这样就同被攻击服务器建立了第二次握手。
(3)攻击者也返回一个确认报文ACK给受害服务器,同样TCP序列号被加一,到此一个TCP连接完成,三次握手完成。
具体原理是:TCP连接的三次握手中,假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接。这段时间的长度我们称为SYNTimeout,一般来说这个时间是分钟的数量级(大约为30秒~2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况(伪造IP地址),服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源。即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃——既使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况就称作:服务器端受到了SYNFlood攻击(SYN洪水攻击)。
2.IP欺骗DOS攻击
这种攻击利用RST位来实现。假设现在有一个合法用户(61.61.61.61)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为61.61.61.61,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从61.61.61.61发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户61.61.61.61再发送合法数据,服务器就已经没有这样的连接了,该用户就必须从新开始建立连接。攻击时,攻击者会伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务,从而实现了对受害服务器的拒绝服务攻击。
3.UDP洪水攻击
攻击者利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间存在很多的无用数据流,这些无用数据流就会导致带宽的服务攻击。4.Ping洪流攻击
由于在早期的阶段,路由器对包的最大尺寸都有限制。许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方死机。
4.泪滴(teardrop)攻击
泪滴攻击是利用在TCP/IP堆栈中实现信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指明该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。6.Land攻击
Land攻击原理是:用一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址。此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接。被攻击的服务器每接收一个这样的连接都将保留,直到超时,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续5分钟)。7.Smurf攻击
一个简单的Smurf攻击原理就是:通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行。最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞。它比pingofdeath洪水的流量高出1或2个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方崩溃。
5.Fraggle攻击
原理:Fraggle攻击实际上就是对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP
入侵网站服务器的八种攻击方式
1、SQL注入漏洞的入侵
这种是asp+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把asp木马上传上去,获得一个网站的WEBSHELL。
2、asp上传漏洞的利用
这种技术方式是利用一些网站的ASP上传功能来上传asp木马的一种入侵方式,不少网站都限制了上传文件的类型,一般来说asp为后缀的文件都不允许上传,但是这种限制是可以被黑客突破的,黑客可以采取COOKIE欺骗的方式来上传asp木马,获得网站的WEBSHELL权限。
3、后台数据库备份方式获得WEBSHELL
这个主要是利用网站后台对ACCESS数据库进行数据库备份和恢复的功能,备份数据库路径等变量没有过滤导致可以把任何文件的后缀改成ASP,那么利用网站上传的功能上传一个文件名改成JPG或者GIF后缀的asp木马,然后用这个恢复库备份和恢复的功能把这个木马恢复成asp文件,从而达到能够获取网站WEBSHELL控制权限的目的。
4、 网站旁注入侵
这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站,然后通过一些薄弱的网站实施入侵,拿到权限之后转而控制服务器的其它网站。
5、sa注入点利用的入侵技术
这种是asp+MSSQL网站的入侵方式,找到有SA权限的SQL注入点,然后用SQL数据库的
XP_CMDSHELL的存储扩展来运行系统命令建立系统级别的帐号,然后通过3389登录进去,或者在一台肉鸡上用NC开设一个监听端口,然后用VBS一句话木马下载一个NC到服务器里面,接着运行NC的反向连接命令,让服务器反向连接到远程肉鸡上,这样远程肉鸡就有了一个远程的系统管理员级别的控制权限。
6、sa弱密码的入侵技术
这种方式是用扫描器探测SQL的帐号和密码信息的方式拿到SA的密码,然后用SQLEXEC之类的工具通过1433端口连接到远程服务器上,然后开设系统帐号,通过3389登录。然后这种入侵方式还可以
配合WEBSHELL来使用,一般的asp+MSSQL网站通常会把MSSQL的连接密码写到一个配置文件当中,这个可以用WEBSHELL来读取配置文件里面的SA密码,然后可以上传一个SQL木马的方式来获取系统的控制权限。
7、提交一句话木马的入侵方式
这种技术方式是对一些数据库地址被改成asp文件的网站来实施入侵的。黑客通过网站的留言版,论坛系统等功能提交一句话木马到数据库里面,然后在木马客户端里面输入这个网站的数据库地址并提交,就可以把一个asp木马写入到网站里面,获取网站的WEBSHELL权限。
8、 论坛漏洞利用入侵方式
这种技术是利用一些论坛存在的安全漏洞来上传asp木马获得WEBSHELL权限,最典型的就是,动网6.0版本,7.0版本都存在安全漏洞,拿7.0版本来说,注册一个正常的用户,然后用抓包工具抓取用户提交一个ASP文件的COOKIE,然后用明小子之类的软件采取COOKIE欺骗的上传方式就可以上传一个asp木马,获得网站的WEBSHELL
处理方法
对于企业用户来,最害怕的莫过于服务器遭受攻击了,虽然运维人员在此之前做好了全面的防范工作,但攻击再所难免,如何在服务器遭受攻击后能够迅速有效的处理攻击行为?如何才能降低服务器被攻击的可能性?如何最大限度的降低攻击对服务器造成的影响?
一、服务器被攻击怎么办?处理步骤
1.切断网络
所有的攻击都来自于网络,因此,在得知系统正遭受黑客的攻击后,首先要做的就是断开服务器的网络连接,这样除了能切断攻击源之外,也能保护服务器所在网络的其他主机。
2.查找攻击源
可以通过分析系统日志或登录日志文件,查看可疑信息,同时也要查看系统都打开了哪些端口,运行哪些进程,并通过这些进程分析哪些是可疑的程序。这个过程要根据经验和综合判断能力进行追查和分析。下面的章节会详细介绍这个过程的处理思路。
3.分析入侵原因和途径
既然系统遭到入侵,那么原因是多方面的,可能是系统漏洞,也可能是程序漏洞,一定要查清楚是哪个原因导致的,并且还要查清楚遭到攻击的途径,找到攻击源,因为只有知道了遭受攻击的原因和途径,才能删除攻击源同时进行漏洞的修复。
4.备份用户数据
在服务器遭受攻击后,需要立刻备份服务器上的用户数据,同时也要查看这些数据中是否隐藏着攻击源。如果攻击源在用户数据中,一定要彻底删除,然后将用户数据备份到一个安全的地方。
5.重新安装系统
永远不要认为自己能彻底清除攻击源,因为没有人能比黑客更了解攻击程序,在服务器遭到攻击后,最安全也最简单的方法就是重新安装系统,因为大部分攻击程序都会依附在系统文件或者内核中,所以重新安装系统才能彻底清除攻击源。
6.修复程序或系统漏洞www.shanpow.com_网络攻击内存不足。
在发现系统漏洞或者应用程序漏洞后,首先要做的就是修复系统漏洞或者更改程序bug,因为只有将程序的漏洞修复完毕才能正式在服务器上运行。
7.恢复数据和连接网络
将备份的数据重新复制到新安装的服务器上,然后开启服务,最后将服务器开启网络连接,对外提供服务。
二、如何检查并锁定可疑用户
当发现服务器遭受攻击后,首先要切断网络连接,但是在有些情况下,比如无法马上切断网络连接时,就必须登录系统查看是否有可疑用户,如果有可疑用户登录了系统,那么需要马上将这个用户锁定,然后中断此用户的远程连接。
1.登录系统查看可疑用户
通过root用户登录,然后执行“w”命令即可列出所有登录过系统的用户,如下图所示。
通过这个输出可以检查是否有可疑或者不熟悉的用户登录,同时还可以根据用户名以及用户登录的源地址和它们正在运行的进程来判断他们是否为非法用户。
2.锁定可疑用户
一旦发现可疑用户,就要马上将其锁定,例如上面执行“w”命令后发现nobody用户应该是个可疑用户(因为nobody默认情况下是没有登录权限的),于是首先锁定此用户,执行如下操作:
[root@server ~]# passwd -l nobody
锁定之后,有可能此用户还处于登录状态,于是还要将此用户踢下线,根据上面“w”命令的输出,即可获得此用户登录进行的pid值,操作如下:
[root@server ~]# ps -ef|grep @pts/3
【二】:上网不稳定祸起路由器内存容量不足
上网不稳定祸起路由器内存容量不足
在局域网刚刚组建的一段时间内,网络运行状态往往都比较稳定,这是因为网络设备都是新的,网络应用也比较少;可是运行时间长了之后,局域网中出现的网络故障就比较多了,例如Web站点不能浏览了,物理连接掉线了,网络连接速度变慢了,上网性能不稳定了等等。其中,一些网络故障由于具有特别明显的现象,排查、解决起来往往比较轻松;但是也有一些网络故障却非常奇怪,明明ping测试一切正常,可是网络传输速度异常缓慢,对于这类特殊的故障现象,我们必须要多点出发、全面排查,才能定位故障原因、解决故障现象。这不,笔者曾经遭遇一则上网不稳定的故障现象,经过多点、全面地排查,竟然发现该故障是由于路由器内存容量不足引起的,由于这种故障因素很少出现,在排查该故障的过程中很容易多走弯路,现在本文就将该故障的排除过程还原出来,供各位朋友参考交流!
案发现场
笔者单位的一个下属公司,共包含技术部、工程部、业务部、销售部这几个部门,每个部门大约有20台左右的普通计算机,这些计算机全部通过各自部门的BayNet品牌的普通交换机连接到局域网的CISCO路由器中,每个部门都拥有自己独立的工作子网,它们相互之间不能互相访问,普通计算机只能在相同的工作子网中进行共享、交流;但是,单位的文件服务器、打印服务器、Web服务器等,都是直接连接到路由器端口上的,所有部门的计算机都可以直接访问,并且它们还能通过路由器访问Internet网络。为了保证局域网网络的运行安全,下属公司的网络管理员还在路由器与Internet网络之间,架设了天融信硬件防火墙,来对整个单位的网络访问行为进行安全控制与监视。www.shanpow.com_网络攻击内存不足。
平时,各个部门的普通计算机都能正常上网,并且这些计算机在各个部门的内网中,都能互相进行共享、交流访问;同时,由于工作需要,各个部门的上网用户几乎每天都要访问公司的Web服务器,从中查询、下载公司的一些内部信息。可是,最近一段时间,网络管理员发现各个部门的用户在访问Web服务器或Internet网络时,经常会出现上网不稳定的现象,也就是说有时候上网速度很快,有的时候上网速度很慢,甚至还会出现一会儿能上网,一会儿不能上网的故障现象。
排查故障
由于这种故障现象存在于各个部门,网络管理员估计这种现象多半与普通客户端系统自身的设置没有任何关系,那究竟有哪些因素会影响整个局域网的上网稳定性呢?网络管理员对故障现象再次进行了琢磨分析,认为该故障发生时几乎没有什么规律可遵循,上网有快有慢,网络有时能上有时不能上,这种无规律的故障现象很有可能是局域网中的网络病毒引起的,事实上许多由病毒造成的网络故障就是表现得如此没有规律。如果确认网络病毒的确是造成上网不稳定故障因素的话,那么网络病毒很可能造成了网络中某些重要通信端口数据流量的异常;依照这样的分析,网络管理员决定先用超级终端程序登录进入局域网路由器后台系统,然后利用该系统自带的扫描诊断功能,发现局域网中各个交换端口的数据流量并不是很大,这说明网络病毒并没有造成重要端口数据传输发生瓶颈现象。虽然如此,网络管理员还是有点不放心,要求各个部门的工作人员,立即登录到局域网中的网络病毒防御服务器,安装更新网络杀毒软件,并利用它对自己部门的计算机系统进行一次病毒查杀操作,可是这样的努力没有取得任何效果,看来局域网上网不稳定的故障现象与网络病毒无关。
考虑到网络管理员先前已经扫描过各个交换端口的流量情况,并没有看到有异常情况,这说明局域网中并不存在重要数据端口瓶颈现象,也就是说上网不稳定故障现象与端口瓶颈因素也没有关系。同时,重要交换端口的数据流量大小正常,也反映了局域网中不存在广播风暴或者网络环路现象,因为这些现象要是存在的话,我们应该能够看到重要交换端口的输出广播包大小应该不断增加才对,可事实却没有,这就意味着上网不稳定故障不是
由网络广播风暴或网络环路现象引起的。
在初步排除了端口瓶颈因素、网络环路因素、广播风暴因素以及网络病毒因素后,网络故障还是不能消除,这让网络管理员万分的懊恼。以前提到上网不稳定故障,网络管理员可能会下意识地认为是网络连接不牢靠的因素,可是现在他怎么也不会怀疑到网络连接因素上,因为这种上网不稳定的故障几乎在各个部门的工作子网中都会出现,如果真的是网络连接不牢靠的话,那也不可能局域网中所有计算机都同时出现不牢靠现象吧。
有没有可能是网络设备自身性能不稳定,造成了上网不稳定现象呢?联想到夏天的时候,一些设备由于散热不好,造成自身工作性能下降,经常出现上网掉线或速度缓慢现象,为此网络管理员推断可能是局域网中的路由器或交换机过热,造成自身工作性能不稳定。于是,网络管理员立即来到公司机房,先是观察了路由器、交换机的信号灯状态,发现一切正常,之后用手触摸这些设备的表面温度时,也没有觉察到有什么异常现象。
在万般无奈的情况下,网络管理员决定登录进入局域网的防火墙系统,查看其中的一些运行状态信息,看看有没有什么值得怀疑的地方。让他感到非常意外的事情出现了,网络管理员看到局域网防火墙竟然记录了许多IP地址为0.0.0.0主机的通讯痕迹,那0.0.0.0究竟是什么样的主机地址呢?经过上网搜索,网络管理员发现该地址是Windows系统对所有未知IP的地址描述,包括网卡设备通过dhcp方式取得的地址,pppoe的IP地址,以及其它非本机指定的IP地址;此外,0.0.0.0地址也代表全零网络,它能帮助路由器发送路由表中无法查询的包。如果设置了全零网络的路由,路由表中无法查询的包都将送到全零网络的路由中去。 通过上面的描述,网络管理员认为该地址其实就是一个不存在的地址,那么究竟是什么因素让外网不停地与局域网中一个根本不存在的主机进行通信呢?如果真的是外网与0.0.0.0地址不断进行通信的话,那么外网的数据包是如何进入到局域网中的呢,因为单位局域网中的防火墙已经被设置,阻止那些使用明显虚假地址的主机进行通信的?
解决故障
经过进一步查看防火墙记录,网络管理员看到0.0.0.0地址没有进行任何通信操作,难道它们真的被防火墙拦截了?会不会是局域网遭到了非法攻击,攻击包在进入内网之后,将其IP地址乔装成0.0.0.0地址了呢?可事实情况是,那个IP地址为0.0.0.0的主机没有进行任何通信操作,那么非法攻击包即使在尝试攻击内网,也没有成功,如此一来它也不会造成上网不稳定的现象;为此,网络管理员断定不存在外网攻击的事情,那个0.0.0.0地址肯定来自局域网内部,那么这个不可能的IP地址究竟是怎么产生的呢?再次上网咨询相关信息,网络管理员发现一些重要网络设备的内存容量不够时,可能会在通信过程中丢弃一些数据包信息,造成某些上网内容无法有效组合在一起,此时就容易产生一些0.0.0.0地址。
依照上述理论分析,网络管理员推断0.0.0.0地址很可能来自内网,并且该地址很可能是由于局域网中的交换机或路由器内存容量不够引起的。由于上网不稳定故障在各个部门都存在,网络管理员估计问题多半出在与个工作子网都有关的路由器设备上,于是这一次准备通过远程连接方式登录进入局域网路由器后台系统,在远程登录过程中,网络管理员感觉到登录速度明显迟钝,看来路由器设备真的出现问题了。之后,他使用Console控制线直接连接到路由器后台系统,查看其内存的使用状态时,发现该设备的内存容量确实不足了,很明显在上网高峰期间,路由器的内存容量就更显不足了,如此一来路由器自然就无法正常转发数据信息了,这也正是各个部门上网不稳定的原因。
找到了故障原因后,网络管理员立即重新启动了一次路由器系统,发现各个部门的上网状态立即又恢复正常了,此时再次监控路由器的内存容量时,发现该内存占用率也在不断变大,看来要真正解决问题,还得需要升级路由器设备,要不然过一段时间,又要重新启动路由器系统了。
【三】:java程序员职场全攻略
JAVA程序员广义上是指一群以JAVA为谋生手段的软件开发
