什么是 FTP 欺骗攻击?
FTP代表文件传输协议,它是用于在客户端和服务器之间传输文件的应用层协议。我们可以使用 FTP 客户端下载、删除、移动、重命名和复制文件到服务器。如果您使用 FTP 传输文件,它将主要从 FTP 服务器上传或下载数据。当文件上传时,它们从个人计算机传输到服务器,当文件下载时,它们从服务器传输到个人计算机。
欺骗:
欺骗是一种网络攻击,其中入侵者冒充另一个合法设备或用户以发起网络攻击。换句话说,攻击者从看似真实的设备发送通信。
FTP欺骗攻击:
通常,在 FTP 服务器中,外部用户或其组织 IP 以外的 IP 将被阻止,以避免登录或攻击者访问/传输文件。即使有更多的安全措施,攻击者也可以使用外部计算机来冒充公司网络上计算机的主机地址,并在数据传输过程中下载文件。
在职的:
- 攻击者将通过暴力攻击获取服务器的用户名和密码,以进入服务器以获取文件或传输有效负载。
- 即使攻击者手中有密码,大多数组织也会丢弃/拒绝来自外部 IP 的连接。
- 因此,攻击者会通过将本地 IP 更改为组织的 IP 地址来隐藏其原始身份。欺骗私有 IP 地址是可能的,但存在一些重大限制。
- 可以通过使用 IP 欺骗建立可用于将有效负载传输到目标的连接,但无法建立真正的双向 TCP 连接。
- 例如,攻击者可以让目标机器做出响应,但来自攻击者机器的响应不会被路由到它们,因此它们不会收到它们。
- 因此,UDP 连接比 TCP 连接更广泛地用于 IP 欺骗。另一方面,攻击者可以通过发回虚假的确认数据包来模仿接收数据包,然后继续传输有效负载或建立与内部系统的连接。
- 黑客攻击非常困难,因为不同平台处理 TCP 连接的方式不同,它可能并非在所有系统上都可行,这使得攻击者更难以复制 ack 数据包。
检测方法:
- 通过扫描数据包标头中的差异来检测 IP 地址欺骗。 IP 地址可以通过其 MAC(媒体访问控制)地址或 Cisco 的 IOS NetFlow 等安全系统进行验证,该系统为访问网络的每台计算机分配一个 ID 和时间戳。所以在第一阶段本身,如果 MAC 地址不属于组织域,它将失败。
- 每个 BotNet 都可能包含数千台能够访问多个 IP 地址的计算机。因此,自动攻击难以追踪。
预防措施:
- 使用良好的防火墙来分析每个数据包,以避免来自外部 IP 的连接。
- 使用强密码来避免 FTP 攻击的初始阶段。
- 将 FTP 服务器访问权限仅限于必要的管理专业人员,并强制拥有凭据的员工使用多重身份验证来减少这种威胁。必须保存的密码应保存在 AD 域或 LDAP 服务器上。
- 单独使用时,FTPS 技术是不安全的。客户端无需请求加密即可连接到网络。只有当客户明确要求安全连接时才有可能。在网络上,永远不应启用此功能。相反,请使用隐式加密,这会强制对所有连接进行加密。不再支持 SSL 和 TLS 1.0 协议,因此文件服务器应该运行 TLS 1.2 版。
- 标准 FTP 协议已被弃用。安全文件传输协议服务器,通过安全连接工作,确保您的公司和客户安全。
- 如今,哈希算法变得更容易受到暴力攻击。河豚和密码都已过时且容易破解。网络中应使用高级加密标准 (AES)。为了保护数据传输的完整性,请使用 SHA-2 系列的算法。
- 导致拒绝服务 (DoS) 的攻击仍然很普遍。对 FTP 或 SFTP 服务器进行编程以限制恶意 IP 地址非常耗时,但它仍然是抵御这些攻击的最有效防御措施之一。我们还可以使用允许列表来明确接受您网络上的客户端,但这仅适用于仍然使用静态 IP 地址的少数流量源。
- 通过滥用文件权限访问,黑客可以利用我们的系统。即使客户需要上传或下载数据的权限,也不应授予客户对整个目录的独占访问权限。任何未在 DMZ 服务器上使用的文件都应加密。 FTP 服务器上的文件只应在需要时保留。
结论:
FTP 在组织中广泛用于文件共享,因此对于攻击者来说就像糖果一样。组织应采取必要的行动和安全措施来防止 FTP 攻击。