入侵威脅
入侵威脅的形式有許多種,在這裏不可能對它們的所有形式進行描述,因爲每天都會出現新的入侵形式。一些入侵,如 Ping 服務器地址,可能看起來無害。但是,在發現服務器的存在之後,黑客可能會嘗試更嚴重的攻擊。這意味着應該認爲所有入侵都是有潛在危害的。一些主要入侵有:
數據包嗅探器
嗅探器指的是與 LAN 相連並從以太網幀獲取信息的應用程序軟件或硬件設備。這些系統的原始目的是對以太網通信進行故障排除和分析,或者深入研究幀以檢查單個 IP 數據包。嗅探器以混合模式運行;即,它們偵聽物理電線上的每個數據包。許多應用程序(如 Telnet)以明文(可以被嗅探器產品顯示)發送用戶名稱和密碼信息。這意味着擁有嗅探器的黑客可以獲取許多應用程序的訪問權限。
在嗅探器沒有生成網絡通信時,防火牆無法發現嗅探,而許多潛在嗅探入侵者就是防火牆內您自己的用戶。免費的嗅探器軟件可以從 Internet 上下載,您的用戶可能正在其 PC 上運行它,在傳遞數據包時檢查它們。如果您的 PC 上正在運行的是 Microsoft(R) Windows(R) 操作系統,用戶通常需要管理員權限纔可以運行嗅探器,這樣就限制了可能試圖進行嗅探的用戶人數。但是,您的管理員用戶(可能非常多)可以運行嗅探器。除了訪問保密數據之外,他們可能會查看明文密碼,如上所述。由於許多人將對每個應用程度使用相同的密碼,所以入侵者可以推斷出編碼密碼的內容,並且獲取進一步的訪問權限。有各種計算嗅探的措施。主要措施是使用強加密的密碼,但是這超出了本模塊的範圍。
IP 欺騙
IP 欺騙是指對 IP 數據包的源地址進行更改以隱藏發送方的身份。Internet 中的路由操作僅使用目標地址發送數據包,並忽略源地址。因此,黑客可以將破壞性的數據包發送到您的系統並掩藏其來源,使您無法知道它的來源。欺騙未必具有破壞性,但是它表明入侵即將開始。此地址可能在網絡之外(以隱藏入侵者的身份),也它可能是具有訪問特權的受信任的內部地址之一。欺騙通常用於拒絕服務 (DoS) 攻擊,本模塊稍後進行描述。
拒絕服務攻擊
DoS 攻擊是最難阻止的攻擊之一。DoS 攻擊與其他類型的攻擊的區別在於它們不會導致網絡的永久損壞。相反,它們試圖通過轟擊特定的計算機(服務器或者網絡設備),或者通過將網絡鏈接的吞吐量降低到性能差到足以導致客戶厭煩和組織業務損失的程度,來停止網絡的運行。分佈式 DoS (DDoS) 是從許多不同計算機發動,集中轟擊您的系統的攻擊。進行攻擊的計算機本身沒有發動攻擊,而是由於其自身的安全漏洞,使得它們自己被滲透。
應用程序層攻擊
應用程序層攻擊通常是最公開的攻擊,通常利用應用程序中衆所周知的弱點,如 Web 服務器和數據庫服務器。這些問題,尤其對於 Web 服務器來說,是它們被設計爲供未知以及無法被信任的公共用戶訪問。大多數攻擊針對的是產品中的已知缺陷。這意味着最好的防禦機制通常是安裝製造商的最新更新程序。聲名狼藉的結構化查詢語言 (SQL) Slammer 蠕蟲程序在 2003 年 1 月發佈的短時間內影響了 35,000 個系統。它利用了 Microsoft(R) SQL Server2000 中的已知問題,Microsoft 已經在 2002 年 8 月發行了此問題的修補程序。此蠕蟲程序正是利用了許多管理員沒有應用建議的更新程序,並且沒有安裝適當的防火牆(防火牆本可以阻止發送到蠕蟲所使用的端口的數據包)。發生這些情況時,防火牆只是一個背後的屏障;製造商建議將升級程序應用於所有產品,特別是防止應用程序層攻擊。
網絡偵察
網絡偵察指的是對網絡進行掃描以發現有效的 IP 地址、域名系統 (DNS) 名稱和 IP 端口,然後發起攻擊。網絡偵察本身不損壞系統。但是,發現哪些地址正在使用可以幫助某人啓動惡意攻擊。如果查看防火牆的日誌,您會發現大多數入侵的都是這種形式的。典型的探測包括掃描偵聽傳輸控制協議 (TCP) 和用戶數據報協議 (UDP) 端口以及其他衆所周知的偵聽端口,如 Microsoft SQL Server、網絡基本輸入/輸出系統 (NetBIOS)、超文本傳輸協議 (HTTP) 和簡單郵件傳輸協議 (SMTP) 所使用的端口。所有這些探測都尋求一個回答,這會告知黑客服務器存在並且運行這其中的一種服務。許多這類探測都可以被邊緣路由器或防火牆阻止,但是關閉其中某些服務可能會限制您的網絡診斷能力。