摘要:口令是网络系统的第一道防线。当前的网络系统都是通过口令来验证用户身份、实施访问控制的。口令攻击是指攻击者以口令为攻击目标,破解合法用户的口令,或避开口令验证过程,然后冒充合法用户潜入目标网络系统,夺取目标系统控制权的过程。口令攻击是实施网络攻击的最基本、最重要、最有效的方法之一。本文主要介绍口令攻击的几种方法及其防范措施。 关键词:口令攻击;防护措施
账号和口令常用来作为信息系统进行身份认证的一种手段。借助它可以确定合法授权的用户能够访问系统中的哪些资源。如果口令攻击成功,攻击者就能进入目标网络系统,能够随心所欲地窃取、破坏和篡改目标网络系统的信息。所以,口令攻击是实施网络攻击的最基本、最重要、最有效的方法之一。目前,网络上利用口令攻击盗取用户QQ、游戏、银行卡等账号密码的现象较为普遍,给网络安全造成一定的威胁。因此,为了加强网络安全,有必要对几种常见的口令攻击方法及其防范措施有所了解。四种形态和教育惩处相结合的认识
1.常用口令攻击方法及原理
口令认证的过程是用户在本地输入账号和口令,经传输线路到达远端系统进行认证。由此,就产生了3 种口令攻击方式,即从用户主机中获取口令,在通信线路上截获口令,从远端系统中破解口令。
1.1 从用户主机中获取口令
正交多项式攻击者对用户主机的使用权限一般可分为两种情况: 一是具有使用主机的一般权限; 二是不具有使用主机的任何权限。前者多见于一些特定场合,如企业内部,大学校园的计算中心,机房等。所使用的工具多为可从网上下载的专用软件,对于攻击者来说不需要有太高的技术水平,只要能使用某些软件就可以进行破解。对于后者一般要与一些黑客技术配合使用,如特洛伊木马、后门程序等,这样可使攻击者非法获得对用户机器的完全控制权,然后再在目标主机上安装木马、键盘记录器等工具软件来窃取被攻击主机用户输入的口令字符串。
1.2 通过网络监听来截获用户口令
网络监听的目的是截获通信的内容,然后分析数据包,从而获得一些敏感信息。它本
来是提供给网络安全管理人员进行管理的工具,利用它来监视网络的状态、数据流动情况以及网络上传输的信息等。而目前,诸多协议本身没有采用任何加密或身份认证技术,如在Telnet、FTP、HTTP、SMTP 等传输协议中,用户账户和密码信息都是以明文方式传输的,此时攻击者只要将网络接口设置成混杂模式,然后利用数据包截取工具(如Sniffer)便可很容易收集到一个网段内的所有用户账号和密码。
1.3 远端系统破解用户口令
远端系统是指Web 服务器或攻击者要入侵的其他服务器。攻击者入侵系统时,常常把破解系统中普通用户口令作为攻击的开始,因为只要取得系统中一般的访问权限,就很容易利用系统的本地漏洞来取得系统的控制权。下面是几种常见的攻击方式:
(1)利用Web 页面欺骗: 攻击者将用户所要浏览的网页URL地址改写成指向自己的服务器,当用户浏览目标网页的时候,实际上是一个伪造的页面,如果用户在这个伪造页面中填写有关的登录信息,如账户名称、密码等,这些信息就会被传送到攻击者的Web 服务器,从而达到骗取口令的目的。如网络钓鱼就是采用这种方法获取用户的账号与密码等信息的。
(2)强行破解用户口令: 当攻击者知道用户的账号( 如@前面的部分) 后,就可以利用一些专门的密码破解工具进行破解,例如采用字典法、穷举法,破解工具会自动从定义的字典中取出一个单词,作为用户的口令尝试登录,如果口令错误,就按序取出下一个单词再进行尝试,直到到正确的口令或者字典的单词测试完成为止。
(3) 想方设法获取服务器上的用户口令文件( 此文件成为Shadow文件) 后,用暴力破解程序破解用户口令。这种方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow 文件中的口令相比较就能非常容易地破获用户密码,尤其对那些安全系数极低的口令更是在短短的一两分钟内,甚至几十秒内就可以将其破解。
2.口令攻击的防护措施
2.1 使用相对安全的口令
为防止口令被穷举法或字典法猜解出,应加强口令安全。主要措施有:
(1)口令长度不小于6 位,并应包含字母,数字和其他字符,并且不包含全部或部分的用户账号名;
表面活性剂(2)避免使用英文单词、生日、姓名、电话号码或这些信息的简单组合作为口令;
(3)不要在不同的系统上使用相同的口令;
(4)定期或不定期地修改口令;苏州科技学院学报
(5)使用口令设置工具生成健壮的口令;
(6)对用户设置的口令进行检测,及时发现弱口令;
项目管理技术(7)限制某些网络服务的登录次数,防止远程猜测、字典法、穷举法等攻击。
2.2检测和防止网络侦听
网络监听是很难被发现的,因为运行网络监听的主机只是被动地接收在局域网上传输的信息,不主动的与其他主机交换信息,也没有修改在网上传输的数据包。即便如此,仍然有一些方法可以用来检测和防止网络侦听。
2.2.1检测监听
虽然处于混杂模式下的主机并不会主动向外发送任何显露其嗅探特征的数据包,但在某些情况下,可通过一些外部诱因,使隐藏在暗处的显露出来。
(1) 对于怀疑运行监听程序的机器,构造一种正确的IP地址和错误的物理地址的ICMP 数据包去ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误物理地址的数据包,处于监听状态的机器能接收,如果他的IP stack不再次反向检查的话,就会对这个ping的包做出回应;
(2) 观测DNS。许多的网络都会尝试进行地址反向解析,在怀疑有网络监听发生时可以在DNS服务器上观测有没有明显增多的解析请求;
(3)使用反监听工具如ant sniffer 等进行检测。
2.2.2防止监听
(1)利用虚拟局域网(VLAN)对网络分段
网络分段不仅能用于控制网络广播风暴,也是保证网络安全的一项措施。利用网络分段可将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。
(2)建立交换式网络
由于共享式局域网基于广播方式来发送数据,易于监听,将给网络安全带来极大的威
体育的社会功能
胁。因此利用交换机构建交换式局域网,可以有效降低网络监听的风险。
(3)使用加密技术
在通信线路上传输的一些敏感信息如用户的账号和口令等,如果没有经过处理,一旦被监听工具(如Sniffer)截获,就会造成这些敏感信息的泄露。解决的方法之一就是利用加密技术,对敏感信息进行加密,攻击者即使通过监听截获了传送的信息,但信息以密文显示,很难轻易获得有用信息。
(4)使用一次性口令
通常的计算机口令是静态的,也就是说在一定时间内是不变的,而且可重复使用,极易被网络嗅探窃取。有鉴于此,可使用S/key等一次性口令技术。
3. 结论
口令攻击已经对信息系统造成了巨大威胁,其攻击形式日益多样化,攻击技术也在不断进步。系统管理员和用户应加强防范意识,,综合运用各种技术防护措施,提高信息系统的安全性,同时还应对各种攻击技术,尤其是新出现的,进行研究,寻更加有效的应对方法和防范措施。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议