拒绝服务攻击的防范措施包括【口令攻击及其防范措施浅论】

　　摘要：攻击者在攻击目标时，通常把破译普通用户的口令作为攻击的开始。口令是网络系统的第一道防线。当前的网络系统都是通过口令来验证用户身份、实施访问控制的。口令攻击是指黑客以口令为攻击目标，破解合法用户的口令，或避开口令验证过程，然后冒充合法用户潜入目标网络系统，夺取目标系统控制权的过程。本文主要介绍口令攻击的几种方式及如何来进行防范的。
　　关键词：口令攻击；方式；防范
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)18-31591-02
　　On Password Attack and Defending Measures
　　LIU Xiao-zhi, QIN Feng
　　(Huanggang Polytechnic College, Huanggang 438002, China)
　　Abstract:While attacking the target, attackers usually consider decoding common users" password as the first step. Password is the first line of defence of network system. Current network system verifies users" identities and takes control to the system by using password. Password attack is a process that hackers take password as attacking target to analyze and decode legal user"s password, or avoid the verifying process, and then slip into the user"s network system to seize the user"s controlling power. This paper mainly introduces some measures on password attack and how to take precautions against that.
　　Key words:password attack; measures; precautions
　　
　　1 引言
　　
　　帐号和口令常用来作为安全系统进行身份认证的一种形式。借助它可以保证合法授权的用户在网络上能够访问哪些资源。如果口令攻击成功黑客进入了目标网络系统，他就能够随心所欲地窃取、破坏和篡改被侵入方的信息，直至完全控制被侵入方。所以，口令攻击是黑客实施网络攻击的最基本、最重要、最有效的方法之一。目前，有一部分人喜欢用各种办法来破解他人的各种口令，如e-mail，QQ帐号，网络游戏的帐号等，这也给网络安全造成一定的威胁。所以，为了加强网络安全，有必要对几种常见的口令攻击式及防范措施有所了解。
　　
　　2 几种常用的口令攻击方法
　　
　　口令认证的过程是用户在本地输入ID和口令，经传输线路到达远端系统进行认证。由此，就产生了3种口令攻击方式，即从用户主机中获取口令，在通信线路上截获口令，从远端系统中破解口令。
　　2.1 从用户主机中获取口令
　　攻击者对用户主机的使用权限一般可分为两种情况：一是具有使用主机的一般权限；二是不具有使用主机的任何权限。前者多见于一些特定场合，如企业内部，大学校园的计算中心，机房等。所要破解的密码有：Word、Excel、powerpoint、Access等一些办公文件密码等。所使用的工具多为可从网上下载的专用软件。这对于攻击者来说不需要有太高的技术水平，只要具备能使用某些软件就可以进行破解。对于后者一般要与一些黑客技术配合使用，如特洛伊木马、后门程序等。这样可使攻击者非法获得对用户机器的完全控制权。然后再在目标主机上安装木马、键盘记录器等工具软件来窃取被攻击主机用户输入的口令字符串。
　　2.2 通过网络监听来得到用户口令。
　　网络监听的目的是截获通信的内容，然后分析数据包,从而获得一些敏感的信息. 它本来是提供给网络安全管理人员进行管理的工具，利用它来监视网络的状态、数据流动情况以及网络上传输的信息等。而目前，诸多协议本身又没有采用任何加密或身份认证技术，如在Telnet、FTP、HTTP、SMTP等传输协议中，用户帐户和密码信息都是以明文格式传输的，此时攻击者只要将网络接口设置成监听模式,然后利用数据包截取工具便可很容易收集到你的帐户和密码等个人信息乃至一个网段内的所有用户帐号和密码。
　　监听器Sniffer就是一个NAI公司推出的功能强大的网络监听工具。它可以是硬件,也可以是软件.其监听原理是: 在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据信息,若所收到的帧中含有用户的口令信息,就可以通过程序显示出来。就会造成用户口令的泄露。
　　2.3 远端系统破解用户口令
　　所谓远端系统是指Web服务器或攻击者要入侵的其他服务器。破解的口令有TELNET、FTP，基于Web的访问口令，系统中一般用户和管理员的口令等。
　　黑客入侵系统时，常常把破译系统中普通用户口令作为攻击的开始，因为只要取得系统中一般的访问权限，就很容易利用系统的本地漏洞来取得系统的控制权。下面几种攻击方式是黑客惯用的技俩：
　　(1)利用Web页面欺骗：攻击者将用户所要浏览的网页URL地址改写成指向自己的服务器，当用户浏览目标网页的时候，实际上是一个伪造的页面，如果用户在这个伪造页面中填写有关的登录信息，如账户名称、密码等，这些信息就会被传送到攻击者的Web服务器，从而达到骗取的目的。如网上钓鱼就采取这种方式获取用户的银行卡号与密码等信息的。
　　(2)强行破解用户口令：当攻击者知道用户的账号（如电子邮件@前面的部分）后，就可以利用一些专门的密码破解工具进行破解，例如采用字典法、穷举法，破解工具会自动从定义的字典中取出一个单词，作为用户的口令尝试登录，如果口令错误，就按序取出下一个单词再进行尝试，直到找到正确的口令或者字典的单词测试完成为止。由于这个破译过程由计算机程序来自动完成，因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。这种方法不受网段限制，但攻击者要有足够的耐心和时间。
　　(3)想方设法获取服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令。这种方法在所有方法中危害最大，因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码，尤其对那些弱智用户(指口令安全系数极低的用户)更是在短短的一两分钟内，甚至几十秒内就可以将其干掉。
　　
　　3 口令攻击的防御
　　
　　为了更好地加强整个网络系统的安全性，在日常电脑的使用过程中该如何来防御口令攻击呢？下面来谈谈我自己的看法。
　　3.1 使用相对安全的口令。
　　根据目前公开的解密算法，防止口令被穷举法或字典法猜解出，应加强口令安全。主要措施有：
　　(1)口令长度不小于6位，并应包含字母，数字和其他字符，并且不包含全部或部分的用户帐户名；
　　(2)避免使用英文单词、生日、姓名、电话号码或这些信息的简单组合作为口令；
　　(3)不要在不同的系统上使用相同的口令；
　　(4)定期或不定期地修改口令；
　　(5)使用口令设置工具生成健壮的口令；
　　(6)对用户设置的口令进行检测，及时发现弱口令；
　　(7)对某些网络服务的登录次数进行限定，防止远程猜解用户口令。
　　3.2 对网络侦听进行检测和防止
　　网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域局上传输的信息，不主动的与其他主机交换信息，也没有修改在网上传输的数据包。
　　3.2.1 实时检测监听
　　虽然处于混杂模式下的主机并不会主动向外发送任何显露其嗅探特征的数据包，但在某些情况下，通过外部强加的一些诱因，可使隐藏在黑暗处的嗅探器显露出来。
　　(1)对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处理监听状态的机器能接收，但如果他的IP stack不再次反向检查的话，就会响应。
　　(2)向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。
　　(3)使用反监听工具如antisniffer等进行检测
　　3.2.2 防止监听
　　(1)从逻辑或物理上对网络分段
　　网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。如SNIFFER软件虽然可以监听同一网段所有的数据包，但不能监听不同网段的计算机传输的信息。
　　(2)建立交换网络
　　由于共享式HUB可以进行网络监听，将给网络安全带来极大的威胁，所以通过对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包还是会被同一台集线器上的其他用户所监听。故为了防止监听，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送。
　　(3)使用加密技术
　　在通信线路上传输的一些敏感信息如用户的ID和口令等，如果没有经过处理，一旦被Sniffer捕获，就能造成这些敏感信息的泄露，解决的方法之一就是进行加密。数据经过加密后，通过监听仍然可以得到传送的信息，但显示的是乱码。
　　加密的方法有多种，如SSH即Secure Shell，是一种介于传输层与应用层之间的加密通道协议。它包含三个组成部分：一是传输层协议（SSH-TRANS），负责进行服务器认证、数据加密和完整性保护，还提供数据压缩功能；二是用户认证协议(SSH-USERAUTH)，它建立在传输层协议之上，服务器发起认证，告知客户端它所支持的认证方式，客户端从中选择，只有用户完成认证，服务器才启动客户端请求的服务；三是连接协议(SSH-CONNECT)，它提供交互的SHELL会话，支持远程命令执行，提供TCP端口转发和X11连接转发功能。此外还有SSL(Secure Socket Layer)和VPN(Virtual Private Network)。
　　(4)使用一次性口令
　　通常的计算机口令是静态的，也就是说在一定时间内是不变的，而且可重复使用，极易被网上嗅探窃取。鉴于此，人们发明的一次性口令。是不是在每次会话后修改一次密码呢？显然这样做是极其愚蠢的，那样太累人了。事实上是采用了S/key一次性口令技术或其它一次性口令技术。S/key的原理是远程主机已得到一个口令（这个口令不会在不安全的网络中传输），当用户连接时会获得一个“质询”信息，用户将这个信息和口令经过某个算法运算，产生一个正确的“响应”信息（如果通信双方口令正确的话）。这种验证方式无需在网络中传输口令，而且相同的“质询/响应信息”也不会出现两次。
　　
　　4 身份鉴别
　　
　　身份鉴别是基于加密技术的一种网络防范行为，它的作用就是用来确定用户是否是真实的。常用的鉴别方式主要有两种：数字签名和Kerberos鉴别。利用它能提供更多的安全服务。
　　4.1 数字签名
　　数字签名是通信双方在网上交换信息时使用公钥密码防止欺骗和伪装的一种身份签证。其具体实现过程如下:用户选择一个公开密码交给用户A，自己留私用密钥，A选择一个随机数，用B的公开密钥将该数加密，并要求B将其解密并送回。这样只有知道解密钥的B才能完成这一解密，冒充者在这样的测试中则会暴露。
　　随着电子商务的应用与发展，计算机化的报文代替纸墨文件的传送势在必行。数字签名被设计用来代替亲笔签名或印章来证明报文的真实性，用它来达到下列功能：①接收者能够核实和确认发送者对报文的签名，但不能伪造对报文的签名(收方条件)；②发送者事后不能否认和抵赖对报文的签名(发方条件)；③公证方能确认收发双方的信息，作出仲裁，但不能伪造成这一过程(公证条件)。当前，数字签名技术大致分为两种：采用秘密密钥的数字签名和采用公开密钥的数字签名。
　　4.2 Kerberos鉴别
　　Kerberos是一种基于秘密密钥加密技术的可信任第三方的认证方案，它的协议原型是Needham-Schroder认证协议，并在原协议基础上加入了“时间戳记”和“报文序号”机制，来抵抗重发(Replay)攻击，最终形成现在的Kerberos安全认证技术。Kerberos认证技术在分布式环境中提供强大的认证,而且可使用的范围很广，目前已经成为事实上的工业标准。Kerberos可在开放的网络上运行，不要求网络上所有主机的物理安全，同时它还假设通过网络传输的包可以被任意地截获，修改和插入。Kerberos系统非常适合于在一个物理网络并不安全的环境中使用，它的安全性是经过了实践的考验的。口令攻击已经成为信息与网络安全中的一个不容忽视的问题，其攻击形式日益多样化，攻击技术也在不断进步。系统管理员和用户应加强防范意识，在必要时对攻击技术要进行研究，并不断寻求相应行之有效的防范方法和措施。
　　
　　参考文献：
　　[1]邓志华. 网络安全基础教程. 2005.
　　[2]口令攻击与防范. 电脑知识与技术, 2007(2).