找回密码
 注册创意安天

攻击的方法归纳

[复制链接]
发表于 2011-2-23 09:06 | 显示全部楼层 |阅读模式
根据F-Secure公司最新研究发现,SEO(搜索引擎优化)中毒攻击正在逐渐发展,而且这种攻击正变得越来越危险。然而,很多最终用户和一些网络管理员甚至都还不知道这种威胁的存在。那么,如何在不影响用户使用互联网搜索功能的前提下,保护企业免受SEO中毒攻击呢?这是本文需要解决的问题。

  搜索引擎的普及

  网络上信息量非常巨大,如果没有搜索引擎,用户将很难找到自己需要的东西。从第一个互联网搜索工具Archie出现以来,我们走过了很漫长的路,早期的搜索引擎随后让路给“爬行式”类型的搜索引擎,而爬行式搜索引擎从最开始的WebCrawler,然后再到Magellan、Excite、AltaVista和Yahoo!。而自2000年以来,谷歌从开始统领搜索行业,虽然最近谷歌受到微软Bing的挑战,但似乎也未能撼动谷歌在搜索界的地位。

  有了所有这些搜索引擎,以及每天返回数百万搜索结果,这也成为攻击者诱人的攻击目标。其中攻击者发动攻击或者传播恶意软件所使用的最普遍的方法就是引诱不知情的网络用户到包含恶意代码的网站。除了能够将用户直接带到恶意网站外,SEO中毒攻击还能够在受欢迎的合法网站使用跨站脚本攻击技术。攻击者如何为他们的恶意网站获取更多的流量而不是通过操作搜索引擎,以让攻击者的网址来替代位于搜索结果前列的合法网站的网址》

  搜索引擎优化的工作原理

  SEO技术是指合法网站为了增加其网站流量和使用的搜索引擎优化技术。当用户使用搜索引擎搜索某关键字或者短语时,他通常只会看搜索结果的第一页或者前两页,所以说,网站在搜索结果中的排列名次越靠前,搜索者就越可能访问你的网站。SEO这个词最早出现在90年代后期,当时网络设计师刚开始注意到他们如何才能够让他们的网站排在搜索引擎的前几页。在早期,可以简单地通过在网页的元数据插入热门关键字来操控搜索结果,但是现在搜索引擎算法变得越来越复杂以避免这种问题。

  现在,很多搜索引擎将他们的排名标准当作最高的机密,据称,谷歌使用了超过200个因素,而搜索引擎优化者则使用很多不同的方法,例如:

  横向链接相同网站的页面

  “关键字堆砌”(在meta标签中或者网页内容中反复使用热门关键字,通常是通过将字体颜色融合到背景中或者放在图片后面,让网站访问者无法看到),被“塞满”的网页有时候被称为“中毒”网页

  “垃圾评论”或者“垃圾索引”(在很多博客的评论中粘贴网站链接)

  “链接养殖场”(网站集群,所有集群中的网站都互相链接)

  搜索引擎也发布了改善网站排名的可行方法的指导,而使用这些指导以外的方法将会被认为是不合理的,而试图“戏弄”搜索引擎算法的技术一般被称为“黑帽SEO”,通常使用卑鄙的技术来获取更多的流量,而当网站是恶意网站时,就变成了SEO中毒攻击。

  攻击2.0

  SEO中毒攻击可以说是攻击2.0的一部分,也就是说,它属于日益复杂化攻击的一部分,攻击者们开始使用越来越复杂的技术。这些中毒攻击者通常都会瞄准最受欢迎的搜索条件以攻击最大数量的受害者。据估计,在谷歌搜索结果中排名最高的网站中有超过十分之一为恶意网站。最近,SEO攻击开始攻击的是关于苹果公司iPad和iPhone4的信息,因为这两个都是最热门的话题。但是由于这些攻击慢慢被大家所了解,SEO攻击者将会很快转移到下一个热门话题,这种快速转移的能力就是他们成功的关键。

  攻击者现在正在使用自动化工具,使他们能够更简单地使用黑帽SEO技术来利用现在最热门的信息,而且通常都会与某些悲剧结合:地震、莫斯科自杀爆炸时间、名人死亡等等,任何能够获取大量点击的信息都成为恶意攻击者的棋子。

  攻击者使用的很多搜索引擎优化工具(应用程序,通常作为PHP脚本编写,能够生成中毒网页以重定向访问者到恶意网站)都能够对用户进行区分,直接访问网站的一般用户,和从搜索引擎或搜索引擎抓取工具访问网站的用户。然后,用户会被重定向到恶意网站。Sophos公司的最新研究报告就分析了自动化的过程,请点击此处下载。

  攻击者如何破坏合法网站来插入他们的重定向工具呢?在某些情况下,他们是利用内容管理系统中的漏洞。而在其他情况下,他们可能是通过利用托管网络服务器中的漏洞来攻击网站。当攻击者能够渗透网站后,他们就会上传并安装SEO应用程序,该应用程序能够动态生成SEO页面并从搜索结果中提取文本,使用任何主流搜索引擎。最新热门关键词都能够在网上找到,例如Google Trends。元数据从搜索引擎结果中被提取出来并添加到SEO页面的链接中,被生成的内容同样可以由SEO工具进行缓存。

  SEO页面链接到其他SEO页面,这样他们就会被搜因,和/或链接到张贴在其他合法网站的论坛、博客评论、留言薄、社交网络状态更新等中的SEO页面。这样就能让攻击者的SEO页面被搜索引擎赚取工具进行索引。

  当用户点击中毒搜索结果时,请求就会被重定向到恶意网站。实现重定向的一种方式就是使用PHPheader()函数来发送重定向状态代码给用户的网络浏览器。JavaScript或者其他主动内容也能够用来重定向用户。

  如何保护企业免受SEO攻击

  如何保护企业免受SEO中毒攻击呢?最大的问题在于,抵御基于网络攻击的传统保护措施,例如URL过滤,都会变得无效,因为攻击者使用的是合法网站来重定向访问者。而内容检查和过滤以及有效载荷检测则更加有效,以防止恶意内容攻击用户。

  教育用户是很好的办法,告诉他们SEO攻击者常用的一些攻击技术。例如中毒网页可能会重定向用户到“恶意门户网站”,在这些网站中用户会看到很多病毒攻击警报和安全提示,提示用户要安装假的杀毒软件,而其实是恶意代码。还应该提醒用户,当搜索有关人们话题的新闻时,不要依赖于搜索引擎的结果,而应该通过向浏览器输入可靠新闻网站的网址来直接查看新闻。其他方法还包括启用浏览器的安全功能,特别是当用户访问未知或者不可信任的网站时,并且当突然提示要求安装杀毒软件或者恶意软件防御工具时永远不要点“Yes”或者“确认”。管理员应该确保用户的操作系统安装了所有安全更新,并且所有用户都运行着杀毒软件和防恶意软件。

  有自己网站的企业应该对其网络服务器进行监测并确保其安全,以确保他们的网络服务器不会成为攻击者发动攻击的管道,因为当企业网站涉及SEO攻击事故时,企业声誉也会受到影响。需要注意的是,攻击者除了会将用户从你的网站重新定向到恶意网站外,他们还会向你的网页插入错误关键字或者meta标签,让搜索引擎认为你正在使用黑帽SEO技术。这可能会使你的企业网站受到来自主流搜索引擎的制裁,例如降低你们网站的排名等。因此,必须确保你的网络服务器和网络应用程序进行了适当的配置以防止SEO攻击者使用的跨站脚本和其他攻击技术。
 楼主| 发表于 2011-2-23 09:08 | 显示全部楼层
攻防技术
正所谓技术是一把双刃剑,黑客可以利用自己的技术攻击别人的电脑,然而掌握黑客攻防技术也可以让用户更好的在互联网中畅游。今天就为大家简单的介绍一下几种黑客攻防技术。

  黑客攻防之信息收集型攻击

  信息收集型攻击并不对目标本身造成危害,如名所示这类黑客攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务。

  1.扫描技术

  (1)地址扫描

  概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。

  防御:在防火墙上过滤掉ICMP应答消息。

  (2)端口扫描

  概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。

  防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。

  (3)反响映射

  概览:黑客向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。

  防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答。

  (4)慢速扫描

  概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

  防御:通过引诱服务来对慢速扫描进行侦测。

  2.体系结构探测

  概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。

  防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。

  3.DNS域转换

  概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

  防御:在防火墙处过滤掉域转换请求。

  4.Finger服务

  概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

  防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。

  5.LDAP服务

  概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。

  防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。

  黑客攻防之假消息攻击

  用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。

  1.DNS高速缓存污染

  概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

  防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

  2.伪造电子邮件

  概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。

  防御:使用PGP等安全工具并安装电子邮件证书。

  在黑客攻防的过程中,可能会产生许多变数,文章仅仅是通过简单叙述使大家了解一下黑客攻防的概念。在此要提醒大家,请尊重互联网安全,谨慎使用黑客攻防技术。

  正所谓技术是一把双刃剑,黑客可以利用自己的技术攻击别人的电脑,然而掌握黑客攻防技术也可以让用户更好的在互联网中畅游。今天就为大家简单的介绍一下几种黑客攻防技术。

  黑客攻防之信息收集型攻击

  信息收集型攻击并不对目标本身造成危害,如名所示这类黑客攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务。

  1.扫描技术

  (1)地址扫描

  概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。

  防御:在防火墙上过滤掉ICMP应答消息。

  (2)端口扫描

  概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。

  防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。

  (3)反响映射

  概览:黑客向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET消息、SYN-ACK消息、DNS响应包。

  防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答。

  (4)慢速扫描

  概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。

  防御:通过引诱服务来对慢速扫描进行侦测。

  2.体系结构探测

  概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。

  防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。

  3.DNS域转换

  概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。

  防御:在防火墙处过滤掉域转换请求。

  4.Finger服务

  概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

  防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。

  5.LDAP服务

  概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。

  防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP服务,那么应把LDAP服务器放入DMZ。

  黑客攻防之假消息攻击

  用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。

  1.DNS高速缓存污染

  概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。

  防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。

  2.伪造电子邮件

  概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。

  防御:使用PGP等安全工具并安装电子邮件证书。

  在黑客攻防的过程中,可能会产生许多变数,文章仅仅是通过简单叙述使大家了解一下黑客攻防的概念。在此要提醒大家,请尊重互联网安全,谨慎使用黑客攻防技术。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-31 01:24

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表