引言:
三) 我发现一种对于同一系列端口的扫描来自于Internet上变化很大的源地址 这通常是由于“诱骗”扫描(decoy scan),如nmap。
摘要:
防火墙是什么?也许您会说,它是用来防止外部攻击的设备。您说的没错,但这只是防火墙功能之一,现在市场上的硬件防火墙,还有很多功能可能是您不知道的,下面就让我带您了解防火墙的几点功能。 在企业内部网与公众网之间,每天要进行着无数次的信息往来。这些信息是以数据包的形式进行交换的,就象是一箱箱货物,在热闹的港口运进运出。防火墙就是港口的海关,在每一箱货物入港时,海关先看货物发出地,如果在不在......
摘要:
随着internet网络的迅速延伸和向商业化应用发展,无论是企业、公司、个人在方便的获取/提供信息或进行商业活动、信息传输的同时,都面临着一个如何保信息和网络自身安全性的问题。尤其是在开放互联环境中进行商务等机密信息的交换中,如何保证信息存取和传输中不被窃取、篡改已经成为大家共同关注的问题。 一、 checkpoint简介: 作为开放安全企业互联联盟(opsec)的组织和倡导......
解读防火墙记录(三)
三) 我发现一种对于同一系列端口的扫描来自于internet上变化很大的源地址 【程序编程相关:
蜜罐技术:消除防火墙局限和脆弱】 【推荐阅读:
防范SQL注入式攻击】 这通常是由于“诱骗”扫描(decoy scan),如nmap.其中一个是攻击者,其它的则不是. 【扩展信息:
冲击波(MSBlast)蠕虫分析报告】 利用防火墙规则与协议分析我们可以追踪他们是谁?例如:如果你ping每个系统,你就可以将获得的ttl与那些连接企图相匹配.这样你至少可以哪一个是“诱骗”扫描(ttl应该匹配,如果不匹配则他们是被“诱骗”了).不过,新版本的扫描器会将攻击者自身的ttl随机化,这样要找出他们回更困难. 你可以进一步研究你的防火墙记录,寻找在同一子网中被诱骗的地址(人).你通常会发现攻击者刚刚试图对你连接,而被诱骗者不会. 四) 特洛伊木马扫描是指什么? 特洛伊木马攻击的第一步是将木马程序放置到用户的机器上.常见的伎俩有: 1) 将木马程序发布在newsgroup中,声称这是另一种程序. 2) 广泛散布带有附件的e-mail 3) 在其web上发布木马程序 4) 通过即时通讯软件或聊天系统发布木马程序(icq, aim, irc等) 5) 伪造isp(如aol)的e-mail哄骗用户执行程序(如软件升级) 6) 通过“文件与打印共享”将程序copy至启动组 下一步将寻找可被控制的机器.最大的问题是上述方法无法告知hacker/cracker受害者的机器在哪里.因此,hacker/cracker扫描internet. 这就导致防火墙用户(包括个人防火墙用户)经常看到指向他们机器的扫描.他们的机器并没有被攻击,扫描本身不会造成什么危害.扫描本身不会造成机器被攻击.真正的管理员会忽略这种“攻击” 以下列出常见的这种扫描.为了发现你的机器是否被种了木马,运行“netstat -an”.查看是否出现下列端口的连接. ...
下一页 摘要:
3 常用网络攻击方法 1) ip地址伪装(ip spoofing):攻击方发出的数据包中的源地址改成受攻击方的网络地址,向该网络发送数据包。 2) ip抢劫(ip hijacking、ip splicing):攻击者中途截取一个已经连接成功的会话。这种攻击通常发生在用户身份被验证后,这样攻击者看起来是一个合法用户。对于这种攻击的最主要的防范方法是对网络层或会话层的传输的数据进行加密。......
