攻防黑客信息收集型攻击与假消息攻击.pdfVIP

(讯)黑客信息收集型攻击是目前非常主流的一种攻击形

式，信息收集型攻击并不对目标本身造成危害，如名所示这

类黑客攻击被用来为进一步入侵提供有用的信息。而假消息

攻击是用于攻击目标配置不正确的消息，主要包括：扫描技

术、体系结构刺探、利用信息服务。

黑客攻防之信息收集型攻击

1.扫描技术

(1)地址扫描

概览：运用ping这样的程序探测目标地址，对此作出响

应的表示其存在。

防御：在防火墙上过滤掉ICMP应答消息。

(2)端口扫描

概览：通常使用一些软件，向大范围的主机连接一系列

的TCP端口，扫描软件报告它成功的建立了连接的主机所开

的端口。

防御：许多防火墙能检测到是否被扫描，并自动阻断扫

描企图。

(3)反响映射

概览：黑客向主机发送虚假消息，然后根据返回

1

“hostunreachable”这一消息特征判断出哪些主机是存在

的。目前由于正常的扫描活动容易被防火墙侦测到，黑客转

而使用不会触发防火墙规则的常见消息类型，这些类型包括：

RESET消息、SYN-ACK消息、DNS响应包。

防御：NAT和非路由代理服务器能够自动抵御此类攻击，

也可以在防火墙上过滤“hostunreachable”ICMP应答。

(4)慢速扫描

概览：由于一般扫描侦测器的实现是通过监视某个时间

桢里一台特定主机发起的连接的数目(例如每秒10次)来决定

是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫

描软件进行扫描。

防御：通过引诱服务来对慢速扫描进行侦测。

2.体系结构探测

概览：黑客使用具有已知响应类型的数据库的自动工具，

对来自目标主机的、对坏数据包传送所作出的响应进行检查。

由于每种操作系统都有其独特的响应方法(例NT和Solaris

的TCP/IP堆栈具体实现有所不同)，通过将此独特的响应与

数据库中的已知响应进行对比，黑客经常能够确定出目标主

机所运行的操作系统。

防御：去掉或修改各种Banner，包括操作系统和各种应

2

用服务的，阻断用于识别的端口扰乱对方的攻击计划。

3.DNS域转换

概览：DNS协议不对转换或信息性的更新进行身份认证，

这使得该协议被人以一些不同的方式加以利用。如果你维护

着一台公共的DNS服务器，黑客只需实施一次域转换操作就

能得到你所有主机的名称以及内部IP地址。

防御：在防火墙处过滤掉域转换请求。

4.Finger服务

概览：黑客使用finger命令来刺探一台finger服务器

以获取关于该系统的用户的信息。

防御：关闭finger服务并记录尝试连接该服务的对方IP

地址，或者在防火墙上进行过滤。（PChome）

3