常见网络攻击的手段与防范
常见网络攻击的手段与防范
侯建兵
赤峰学院计算机科学与技术系,赤峰024000
摘要:现在,Intemet上的网络攻击越来越猖獗,攻击手段也越来越先进,一旦被攻破,导致的损失也会越来越严重。如何有效地防止网络攻击已成为一个全球性的研究课题,受到全世界网络工作者的普遍重视,因此,针对黑客的网络攻击,提高网络的防护能力,保证信息安全已成为当务之急。为此本文列举了一些典型的网络攻击,将它们进行了分类,在分析其攻击原理的基础上,针对网络攻击的具体防御措施进行了
讨论和分析。
关键词:网络安全;网络攻击;安全策略;手段;措施;黑客攻击;防范技术
一.引言
随着Intemet的发展.高信息技术像一把双刃剑,带给我们无限益处的同时也带给网络更大的风险。网络安全已成为重中之重,攻击者无处不在。因此网络管理人员应该对攻击手段有一个全面深刻的认识,制订完善安全防护策略。孙子兵法上说,知己知彼,百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动的安装防火墙是显然不够的。我们必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解,针对不同的方法采取不同的措施,做到有的放矢。只有这样才能更有效、更具有针对性的进行主动防护。
二.相关基本概念和网络攻击的特点
1.计算机网络安全的含义
从本质上来讲.网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性.使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
2. 网络攻击概念性描述
网络攻击是利用信息系统自身存在的安全漏洞,进入对方网络系统或者是摧毁其硬件设施。其目的就是破坏网络安全的各项指标,破坏扰乱对方信息系统的正常运行,致使对方计算机网络和系统崩溃、失效或错误工作。
3. 计算机网络攻击的特点
计算机网络攻击具有下述特点:(1)损失巨大。由于攻击和入侵的对象是网络上的计算机。所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。(2)威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。
(3)手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的
计算机系统;还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。(4)以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此,这一方面导致了计算机犯罪的隐蔽性,另一方面又要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。
三.网络攻击的步骤
进行网络攻击是一件系统性很强的工作,其主要工作流程是:收集情报——远程攻击——远程登录——取得普通用户的权限——取得超级用户的权限——留下后门——清除日志。主要内容包括目标分析、文档获取、破解密码、日志清除等技术。
第一步:隐藏自己的位置
普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。
第二步:寻找目标主机并分析目标主机
攻击者首先要寻找目标主机并分析目标主机。在Intemet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供的服务等资料进行全面的了解。此时,攻击者会使用一些扫描工具,轻松获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些帐户,WWW、FTP、Telnet、SMTP等服务器程序是何种版本等资料,为入侵作好充分的准备。
第三步:获取帐号和密码,登录主机
要想入侵一台主机,首先必需要有该主机的一个帐号和密码,否则连登录都无法进行。因此,攻击者必须先设法盗窃帐户文件并进行破解,从中获取某用户的帐号和口令,然后寻找合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。
第四步:获得控制权
攻击者用FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后,就会清除日志和留下后门,而且会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用了,甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件,以便不留下FTP记录。用清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。
第五步:窃取网络资源和特权
攻击者找到攻击目标后,会继续下一步的攻击,即实施真正的网络攻击。如:下载敏感信息;实施窃取帐号密码、信用卡号等经济偷窃;使网络瘫痪。
三.网络攻击技术原理和常用手段
1.Dos拒绝服务攻击
Internet最初的设计目标是开放性和灵活性,而不是安全性。目前Internet网上各种入侵手段和攻击方式大量出现,成为网络安全的主要威胁,拒绝服务(Denial of Service,DoS)是一种简单但很有效的进攻方式。其基本原理是利用合理的请求占用过多的服务资源,致使服务超载,无法响应其他的请求,从而使合法用户无法得到服务。
DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资
源,致使服务超载,无法响应其他的请求。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。这种攻击会导致资源的缺乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限。所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源缺乏,像是无法满足需求。千万不要自认为自己拥有了足够宽的带宽就会有一个高效率的网站,拒绝服务攻击会使所有的资源交得非常渺小。
典型拒绝服务攻击有以下几种:
(1)Ping of Death
根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。
(2)SYN flood
SYN flood攻击也是一种常用的拒绝服务攻击。它的工作原理是,正常的一个TCP连接需要连接双方进行三个动作,即“三次握手”,其过程如下:请求连接的客户机首先将一个带SYN标志位的包发给服务器;服务器收到这个包后产生一个自己的SYN标志,并把收到包的SYN+I作为ACK标志返回给客户机:客户机收到该包后,再发一个ACK=SYN+I的包给服务器。经过这三次握手,连接才正式建立。在服务器向客户机发返回包时,它会等待客户机的ACK 确认包,这时这个连接被加到未完成连接队列中,直到收到ACK应答后或超时才从队列中删除。这个队列是有限的,一些TCP/IP堆栈的实现只能等待从有限数量的计算机发来的ACK 消息、,因为他们只有有限的内存缓冲区用于创建连接,如果这些缓冲区内充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。如果客户机伪装大量SYN包进行连接请求并且不进行第三次握手,则服务器的未完成连接队列就会被塞满,正常的连接请求就会被拒绝,这样就造成了拒绝服务。
(3)缓冲区溢出攻击
缓冲区是程序运行时计算机内存中的一个连续块。大多数情况下为了不占用太多的内存,一个有动态变量的程序在程序运行时才决定给它们分配多少内存。如果程序在动态分配缓冲区放入超长的数据,就会发生缓冲区的溢出。此时,子程序的返回地址就有可能被超出缓冲区的数据覆盖,如果在溢出的缓存区中写入想执行的代码(SHELL-CODE),并使返回地址指向其起始地址,CPU就会转而执行SHELL-CODE,达到运行任意指令从而进行攻击的目的。
2.程序攻击
(1)病毒
A.病毒的主要特征
隐蔽性:病毒的存在、传染和对数据的破坏过程不易为计算机操作人员发现。
寄生性:计算机病毒通常是依附于其它文件而存在的。
传染性:计算机病毒在一定条件下可以自我复制,能对其它文件或系统进行一系列非法操作,并使之成为一个新的传染源。
触发性:病毒的发作一般都需要一个激发条件,可以是日期、时间、特定程序的运行或程序的运行次数等等。
破坏性:病毒在触发条件满足时,会立即对计算机系统的文件、资源等运行进行干扰破坏。
不可遇见性:病毒相对于防毒软件永远是超前的,理论上讲没有任何杀毒软件能将所有的病毒杀除。
针对性:针对特定的应用程序或操作系统,通过感染数据库服务器进行传播。
B.病毒采用的触发条件主要有以下几种:
日期触发:许多病毒采用日期做触发条件。日期触发大体包括:特定日期触发、月份触发、前半年后半年触发等。
时间触发:时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。
键盘触发:有些病毒监视用户的击键动作,当发现病毒预定的键入时,病毒被激活,进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。
感染触发:许多病毒的感染需要某些条件触发,而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件,称为感染触发。它包括:运行感染文件
个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。
启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发。
访问磁盘次数触发:病毒对磁盘I/O访问的次数进行计数,以预定次数做触发条件叫访问磁盘次数触发。
调用中断功能触发:病毒对中断调用次数计数,以预定次数做触发条件。
CPU型号/主板型号触发:病毒能识别运行环境的CPU型号/主板型号,以预定CPU 型号/主板型号做触发条件,这种病毒的触发方式奇特罕见。
被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一个条件,而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的,再辅以读、写盘操作,按键操作以及其他条件等。
(2)蠕虫
A.蠕虫的工作原理
蠕虫程序的实体结构:
蠕虫程序相对于一般的应用程序,在实体结构方面体现更多的复杂性,通过对多个蠕虫程序的分析,可以粗略的把蠕虫程序的实体结构分为如下的六大部分,具体的蠕虫可能是由其中的几部分组成:
未编译的源代码:由于有的程序参数必须在编译时确定,所以蠕虫程序可能包含一部分未编译的程序源代码;
已编译的链接模块:不同的系统(同族)可能需要不同的运行模块,例如不同的硬件厂商和不同的系统厂商采用不同的运行库,这在UNIX族的系统中非常常见;
可运行代码:整个蠕虫可能是由多个编译好的程序组成;
脚本:利用脚本可以节省大量的代码,充分利用系统shell的功能;
受感染系统上的可执行程序:受感染系统上的可执行程序如文件传输等可被蠕虫作为自己的组成部分;
信息数据:包括已破解的口令、要攻击的地址列表、蠕虫自身压缩包。
蠕虫程序的功能结构:
鉴于所有蠕虫都具有相似的功能结构,本文给出了蠕虫程序的统
一功能模型,统一功能模型将蠕虫程序分解为基本功能模块和扩展功能模块。实现了基本功能模块的蠕虫程序就能完成复制传播流程,包含扩展功能模块的蠕虫程序则具有更强的生存能力和破坏能力。
基本功能由五个功能模块构成:
搜索模块:寻找下一台要传染的机器,为提高搜索效率,可以采用一系列的搜索算法。
攻击模块:在被感染的机器上建立传输通道(传染途径),为减少第一次传染数据传输量,可以采用引导式结构。
传输模块:计算机间的蠕虫程序复制。
信息搜集模块:搜集和建立被传染机器上的信息。
繁殖模块:建立自身的多个副本,在同一台机器上提高传染效率、判断避免重复传染。
B.蠕虫的工作流程:
蠕虫程序的工作流程可以分为扫描、攻击、现场处理、复制四部分,当扫描到有漏洞的计算机系统后,进行攻击,攻击部分完成蠕虫主体的迁移工作;进入被感染的系统后,要做现场处理工作,现场处理部分工作包括隐藏、信息搜集等;生成多个副本后,重复上述流程。(3)木马攻击
A.木马的结构
木马程序一般包含两个部分:外壳程序和内核程序。
外壳程序:一般是公开的,谁都可以看得到。往往具有足够的吸引力,使人在下载或拷贝时运行。
内核程序:隐藏在外壳程序之后,可以做各种对系统造成破坏的事情,如:发动攻击、破坏设备、安装后门等。
B.木马攻击原理
一般的木马程序都包括客户端和服务端两个程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序,他所做的第一步是要把木马的服务器端程序植入到目标的电脑里面。攻击者要通过木马攻击目标系统,当植入成功以后,攻击者就对目标电脑进行非法操作。
C.木马具有的特性
由于木马所从事的是”地下工作”,因此它必须隐藏起来,它会想尽一切办法不让你发现它。它的特性主要体现在以下几个方面:
隐蔽性:当木马植入到目标电脑中,不产生任何图标,并以”系统服务”的方式欺骗操作系统。
具有自动运行性:木马为了控制服务端。它必须在系统启动时即跟随启动,所以它必须潜人在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及
启动组等文件之中。
包含具有未公开并且可能产生危险后果的功能的程序。
具备自动恢复功能,木马程序中的功能模块具有多重备份,可以相互恢复。当你删除了其中的一个,随后马上有会出现。
能自动打开特别的端口,当木马程序植入后,攻击者利用该程序,开启系统中别的端口,以便进行下一次非法操作。
通常的木马功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址进行键盘记录、远程注册表的操作以及锁定鼠标等功能。
3.电子欺骗攻击
(1)IP电子欺骗攻击
IP欺骗有两种基本方式,一种是使用宽松的源路由选择截取数据包,另一种是利用UNIX 机器上的信任关系。
使用宽松的源路由选择时,发送端指明了流量或者数据包必须经过的IP地址清单,但如果有需要,也可以经过一些其它的地址。由于采用单向的IP欺骗时,被盗用的地址会收到返回的信息流,而黑客的机器却不能收到这样的信息流,所以黑客就在使用假冒的地址向目的
地发送数据包时指定宽松的源路由选择,并把它的IP地址填入地址清
单中,最终截取目的机器返回到源机器的流量。
在UNIX系统中,为了操作方便,通常在主机A和主机B中建立起两个相互信任的账户。黑客为了进行IP欺骗,首先会使被信任的主机丧失工作能力,同时采样目标主机向被信任的主机发出的TCP序列号,猜测出它的数据序列号,然后伪装成被信任的主机,同时建立起与目标主机基于地址验证的应用连接,以便进行非授权操作。
(2)DNS电子欺骗攻击
主机域名与IP地址的映射关系是由域名系统DNS来实现的,现在Internet上主要使用Bind域名服务器程序。DNS协议具有以下特点:
NDS报文只使用一个序列号来进行有效性鉴别,序列号由客户程序设置并由服务器返回结果,客户程序通过它来确定响应与查询是否匹配,这就引入了序列号攻击的危
险;
在DNS应答报文中可以附加信息,该信息可以和所请求的信息没有直接关系,这样,攻击这就可以在应答中随意添加某些信息,指示某域的权威域名服务器的域名和IP,导致在被影响的域名服务器上查询该域的请求都会被转向攻击这所指定的域名服务
器上,从而对网络的完整性造成威胁。
DNS的高速缓存机制,当一个域名服务器收到有关域名和IP的映射信息时,它会将该信息存放在高速缓存中,当再次遇到对此域名的查询请求时就直接使用缓存中的结
果而无需重新查询。
针对DNS协议存在的安全缺陷,目前可采用的DNS欺骗技术有:
A.内应攻击。攻击者在非法或合法地控制一台DNS服务器后,可以直接操作域名数据库,修改指定域名所对应的IP为自己所控制的主机IP。于是,当客户发出对指定域名的查询请求后,将得到伪造的IP地址。
B.序列号攻击。DNS协议格式中定义了序列号ID,用来匹配请求数据包和响应数据包,客户端首先以特定的ID向DNS服务器发送域名查询数据包,在DNS服务器查询之后以相同的ID 号给客户端发送域名响应数据包。这时,客户端将收到的DNS响应数据包的ID和自己发送出去的查询数据包的ID比较,如果匹配,则使用之,否则,丢弃。利用序列号进行DNS欺骗的关键是伪装成DNS服务器向客户端发送DNS响应数据包,而且要在DNS服务器发送的真实DNs 响应数据包之前到达客户端,从而是客户端DNS缓存中查询域名所对应的IP就是攻击者伪造的IP。其欺骗的前提条件是攻击者发送的DNS响应数据包ID必须匹配客户的DNS查询数据包ID。
利用序列号进行DNS欺骗有两种情况:第一,当攻击者与DNS服务器,客户端均不在同一个局域网内时,攻击者可以向客户端发送大量的携有随机ID序列号的DNS响应数据包,其中包内含有攻击者伪造的IP,但ID匹配的几率很低,所以攻击的效率不高。第二,当攻击者至少与DNS服务器或者客户端某一个处在同一个局域网内时,攻击者可以通过网络监听得到DNS 查询包的序列号ID,这时,攻击者就可以发送自己伪造好的DNS响应包给客户端,这种方式攻击更高效。
4.对网络协议(TCP/IP)弱点的攻击
(1)网络监听
网络监听的原理:
网络中传输的每个数据包都包含有目的MAC地址,局域网中数据包以广播的形式发送。假设接收端计算机的网卡工作在正常模式下,网卡会比较收到数据包中的目的MAC地址是否为本计算机MAC地址或为广播地址,是,数据包将被接收,如果不是,网卡直接将其丢弃。
假设网卡被设置为混杂模式,那么它就可以接收所有经过的数据包了。也就是说,只要是发送到局域网内的数据包,都会被设置成混杂模式的网卡所接收。
现在局域网都是交换式局域网,以前广播式局域网中的监听不再有效。但监听者仍然可以通过其他途径来监听交换式局域网中的通信。
攻击手段:
网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输人的密码需
要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay forWindows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和账号在内的信息资料。(2)电子邮件攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件。从而使目的邮箱被撑爆而无法使用。攻击者还可以佯装系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。
四.网络攻击的防范措施
在对网络攻击进行深入分析与识别的基础上,网络管理人员或用户应认真制定有针对性的防范策略,明确安全对象,设置强有力的安全保障体系,有的放矢,在网络中层层设防,发挥网络每一层的作用,使每层都成为一道关卡,从而让攻击者无缝可钻、无计可施。当然,还必须做到预防为主,对重要的数据及时进行备份并时刻关注系统的运行状况。
1.拒绝服务攻击的防范
由于DoS攻击主要利用网络协议的特征和漏洞进行攻击,所以在防御DoS攻击时也要与之对应,分别提出相应的解决方案。防范DoS攻击可以采用以下的技术手段:.
(1)Syn—Cookie(主机)/Syn—Gate(网关)
在服务器和外部网络之间部署代理服务器,通过代理服务器发送Syn/Ack报文,在收到客户端的Syn包后,防火墙代替服务器向客户端发送Syn/Ack包,如果客户端在一段时间内没有应答或中间的网络设备发回了ICMP错误消息,防火墙则丢弃此状态信息;如果客户端的Ack到达,防火墙代替客户端向服务器发送Syn包,并完成后续的握手,最终建立客户端到服务器的连接。通过这种Syn—Cookie技术,保证每个Syn包源的真实有效性,确保服务器不被虚假请求浪费资源,从而彻底防范对服务器的Syn—Flood攻击。
(2)应用负载均衡技术
负载均衡技术基于现有网络结构,提供了一种扩展服务器带宽和增加服务器吞吐量的廉价有效的方法,增强了网络数据处理能力。负载均衡的应用,能够有效地解决网络拥塞问题,能够就近提供服务,同时,还能提高服务器的响应速度,提高服务器及其它资源的利用效率,从而为用户提供更好的访问质量。负载均衡技术不是专门用来解决DoS问题,但它在应对拒绝服务攻击方面却起到了重大的作用。
(3)包过滤及路由设置
应用包过滤技术过滤对外开放的端口,是防止假冒地址的攻击,使得外部机器无法假冒内部机器的地址来对内部机器发动攻击的有效方法。
(4)运行尽可能少的服务
运行尽可能少的服务可以减少被成功攻击的机会。如果一台计算机开了20个端口,这就
使得攻击者可以在较大的范围内尝试对每个端口进行不同的攻击。相反,如果系统只开了很少的端口,这就限制了攻击者攻击站点的类型,而且,当运行的服务和开放的端口都很少时,管理员可以很容易地进行安全设置。
(5)防患于未然
由于现有的技术还没有一项针对DoS攻击的非常有效的解决办法,所以,防止DoS攻击的最佳方法就是防患于未然。也就是说,首先要保证一般的外围主机和服务器的安全,使攻击者无法获得大量的无关主机,从而无法发动有效攻击。一旦内部或临近网络的主机被黑客侵入,那么其他的主机被侵入的危险将会很大,而且,如果网络内部或邻近的主机被用来对本机进行DoS攻击,攻击效果会更加明显,因此,必须保证外围主机和网络的安全,尤其是那些拥有高带宽和高性能服务器的网络。保护这些主机最好的办法就是及时了解有关本操作系统的安全漏洞以及相应的安全措施,及时安装补丁程序并注意定期升级系统软件,以免给黑客以可乘之机。
2.网络监听的防范
现在网络中使用的大部分协议都是很早就设计的,没有充分考虑到网络安全问题,许多协议的实现都是基于一种非常友好的、通信双方充分信任的基础之上,而且许多信息以明文形式发送,因此给黑客的网络监听有了可乘之机。网络监听是很难被发现的,因为运行网络监听的主机只是被动地接收在局域网上传输的信息,不主动的与其他主机交换信息,也没有修改在网上传输的数据包,但可以采用以下措施来有效防止网络监听:
(1)划分VLAN
为了克服以太网的广播问题,可以运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,防止大部分基于网络监听的入侵。交换机的每一个端口配置成独立的VLAN,享有独立的VID。将每个用户端口配置成独立的VLAN,利用支持VLAN的交换机进行信息的隔离,把用户的IP地址绑定在端口的VLAN号上,以保证正确的路由选择。
在集中式网络环境下,将中心的所有主机系统集中到一个VLAN里,在这个VLAN里不允许有任何用户节点,从而较好地保护敏感的主机资源。在分布式网络环境下,可以按机构或部门的设置来划分VLAN,各部门内部的所有服务器和用户节点都在各自的VLAN内,互不侵扰。通过划分VLAN,有效地控制了广播风暴,降低了通过网络监听手段窃取诸如网络管理员等高级用户口令的风险,有效保障网络的正常运行和网络信息的安全。
(2)以交换式集线器代替共享式集线器
对局域网的中心交换机虽然可以进行网络分段,但以太网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器之间的数据包(称为单播包)还是会被同一台集线器上的其他用户所监听。因此,应该以交换式集线器代替共享式集线器(近年来,由于交换机价格的下降,使交换机的应用越来越广泛,而集线器则逐渐退出了历史舞台),使单播包仅在两个节点之间传送,从而防止非法监听。
(3)VLAN+IP+MAC捆绑来确保网络的安全性
在所有的用户间采用VLAN隔离,从而最大限度地保护了网络和用户信息的安全,但是用户的IP地址或MAC地址可能被盗用或被仿冒,因此采用VLAN+IP+MAC捆绑的方式来认证和保证网络的安全,这意味着只有正确分配的IP地址、正确的网络接口卡并且连到特定端口的用户才能获取服务。
(4)信息加密
对一些重要数据进行加密,即使被截获,信息也不易泄露。
确认所进行的请求和数据传递是处于明文还是密文的状态(如:在Telnet、FTP、HTTP、
SMTP等传输协议中,用户帐号和密码信息都是以明文格式传输),是明文传输的应尽可能改用密文方式来传输。例如:由于Telnet协议是明文传输的,而ssh是密文传输的,所以应该用ssh取代Telnet实现对主机的远程管理。对网络安全要求不是很高的交易或认证,可以使用SSL(Secure Sockets Layer:安全套接层通讯协议)安全机制,为IIS提供一种在其服务协议(HTIT)和TCP/IP之间提供分层数据安全性的协议,为TCP/IP连接提供数据加密、服务器身份验证和消息完整性,从而防止资料窃取者直接看到传输中的信息。
3.缓冲区溢出攻击的防范
近年来所发现的重大安全漏洞中有半数属于缓冲区溢出漏洞,因此,要完全避免缓冲区溢出漏洞造成的安全威胁是不可能的,但我们可以构建完善的防范体系来降低缓冲区溢出攻击的威胁。
(1)编写正确的代码
避免使用Gets、Sprintf等未限定边界溢出的危险函数或者使用具有类型安全的Java等语言以避免C语言的缺陷,防止缓冲区溢出的发生,同时,使用高级查错工具寻找代码中的缓冲区溢出安全漏洞,确保程序员开发出更安全的程序。
(2)非执行的缓冲区
通过使被攻击程序的数据段地址空间不可执行,从而使得攻击者不可能执行被植入到被攻击程序输入缓冲区中的代码,这种技术称为非执行的缓冲区技术。事实上,很多老的Unix 系统都是这样设计的,但是近来的Unix和MSWindows系统为实现更好的性能和功能,往往在数据段中动态地放人可执行的代码。所以为了保持程序的兼容性不可
能使得所有程序的数据段不可执行。但是我们可以设定堆栈数据段不可执行,这样就可以最大限度地保证了程序的兼容性。
(3)数组边界检查
不像非执行缓冲区保护,数组边界检查完全没有了缓冲区溢出的产生和攻击。这样,只要数组不能被溢出,溢出攻击也就无从谈起。为实现数组边界检查,则所有对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。通常可以用Compaq C编译器、类型安全语言等优化技术来减少检查的次数。
(4)程序指针完整性检查
程序指针完整性检查和边界检查有略微的不同。与防止程序指针被改变不同,程序指针完整性检查在程序指针被引用之前检测到它的改变。因此,即便一个攻击者成功地改变程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。与数组边界检查相比,这种方法不能解决所有的缓冲区溢出问题,采用其他的缓冲区溢出方法就可以避免这种检测,但是这种方法在性能上有很大的优势,而且兼容性也很好。
(5)作为普通用户或系统管理员,确保及时对自己的操作系统和应用程序进行升级更新,以修补公开的漏洞,减少不必要的开放服务端口。
五.网络安全防范措施
以上这几种防范措施是针对具体的网络攻击来设计的。我们都知道,现在的网络攻击手段纷繁复杂,多的数不胜数,而且攻击的手段越来越高级,就靠这几种防范措施是远远不够得,是不能解决现实问题的。所以下面给大家从总体上强调几点防范措施:
1.利用安全防范技术
正因为网络安全问题复杂多样,所以出现了一些技术来帮助管理员来加强网络安全。其中主要分为。加密技术,身份认证技术,防火墙技术等等。管理员可以利用这些技术组合使
用来保证网络主机的安全。
(1)加密技术
加密技术主要分为公开算法和私有算法两种。私有算法是运用起来是比较简单和运算速度比较快的,但缺点是一旦被解密者追踪到算法,那么算法就彻底废了。公开算法的算法是公开的,有的是不可逆。有用公钥,私钥的。优点是非常难破解。可广泛用于各种应用。缺点是运算速度较慢。使用时很不方便。
(2)身份认证技术
身份认证技术在电子商务应用中是极为重要的核心安全技术之一。主要在数字签名是用公钥私钥的方式保证文件是由使用者发出的和保证数据的安全。在网络应用中有第三方认证技术Kerberos,它可以使用户使用的密码在网络传送中。每次均不一样,可以有效的保证数据安全和方便用户在网络登入其它机器的过程中不需要重复输入密码。
(3)防火墙
防火墙技术是比较重要的一个桥梁。以用来过滤内部网络和外部网络环境,在网络安全方面,它的核心技术就是包过滤,高级防火墙还具有地址转换。虚拟私网等功能。
2.制订安全策略
系统管理员应提高认识,并分析做出解决办法和提出具体防范方法。更应该在保证好机器设备正常运转的同时,积极研究各种安全问题,制订安全策略。虽然没有绝对的把握阻止任何侵入,但是一个好的安全策略可以最少的机会发生入侵情况,即使发生了也可以最快的做出正确反应,最大程度减少经济损失。
(1)提高安全意识
不随意打开来历不明的电子邮件及文件,不随意运行不明程序。
尽量避免从Intemet下载不明软件。一旦下载软件及时用最新的病毒和木马查杀软件进行扫描。
密码设置尽可能使用字母数字混排,不容易穷举。重要密码最好经常更换。
及时下载安装系统补丁程序。
(2)使用防毒、防黑等防火墙
防火墙是用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。
(3)设置代理服务器,隐藏自己的IP地址。
事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务。
(4)将防毒、防黑当成日常例性工作。定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。
(5)对于重要的资料做好严密的保护,并养成资料备份的习惯。
六.结束语
没有绝对安全的网络系统,安全问题是多种多样,且随着时间技术的变化而变化,所以安全防护也是非常重要的,保持清醒正确的认识,同时掌握最新的安全问题情况,再加上完善有效的安全策略,是可以阻止大部分安全事件的发生,保持最小程度的损失。
参考文献:
[1]张兴虎.黑客攻防技术内幕.清华大学出版社,2002.12.
[2]【美]Eric Cole著,苏雷等译.黑客——攻击透析与防范.电子工业出版社。2002.3.
[3][美]Cathy Cronkhite Jack McCullough著,纪新元,谭保东译.拒绝恶意访问.人民邮
电出版社。2002.6.
[4]http://grc.com/dos/drdos.htm.
[5]余伟建防守反击一一黑客攻击手段分析与防范,北京:人
民邮电出版社,2001.8
[6]张玮.网络攻击防范技术研究与实现.学位论文.重庆大学.2007.
[7]刘远生,等.计算机网络安全[M].北京:清华大学出版社出版。2006.229—244.
[8]姜文红.网络安全与管理[M].北京:清华大学出版社出版。2007.100—113.
批注:
计算机网络攻击常见手法及防范措施
计算机网络攻击常见手法及防范措施 一、计算机网络攻击的常见手法 互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。 (一)利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。 对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。 (二)通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。 对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。 (三)解密攻击 在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。 为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。 (四)后门软件攻击 后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力
常见网络攻击手段
TypeYourNameHere TypeDateHere 网络攻击常用手段介绍 通常的网络攻击一般是侵入或破坏网上的服务器主机盗取服务器的敏感数据或干 扰破坏服务器对外提供的服务也有直接破坏网络设备的网络攻击这种破坏影响较大会导致 网络服务异常甚至中断网络攻击可分为拒绝服务型DoS 攻击扫描窥探攻击和畸形报文攻 击三大类 拒绝服务型DoS, Deny of Service 攻击是使用大量的数据包攻击系统使系统无法接 受正常用户的请求或者主机挂起不能提供正常的工作主要DoS攻击有SYN Flood Fraggle等 拒绝服务攻击和其他类型的攻击不大一样攻击者并不是去寻找进入内部网络的入口而是去阻止合法的用户访问资源或路由器 扫描窥探攻击是利用ping扫射包括ICMP和TCP 来标识网络上存活着的系统从而准确的 指出潜在的目标利用TCP和UCP端口扫描就能检测出操作系统和监听着的潜在服务攻击者通 过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞为进一步侵入系统做好准备 畸形报文攻击是通过向目标系统发送有缺陷的IP报文使得目标系统在处理这样的IP包时 会出现崩溃给目标系统带来损失主要的畸形报文攻击有Ping of Death Teardrop等 一DoS攻击 1. IP Spoofing 攻击 为了获得访问权入侵者生成一个带有伪造源地址的报文对于使用基于IP地址验证的应用 来说此攻击方法可以导致未被授权的用户可以访问目的系统甚至是以root权限来访问即使 响应报文不能达到攻击者同样也会造成对被攻击对象的破坏这就造成IP Spoofing攻击 2. Land攻击 所谓Land攻击就是把TCP SYN包的源地址和目标地址都设置成某一个受害者的IP地址这将 导致受害者向它自己的地址发送SYN-ACK消息结果这个地址又发回ACK消息并创建一个空连接每一个这样的连接都将保留直到超时掉各种受害者对Land攻击反应不同许多UNIX主机将崩 溃NT主机会变的极其缓慢 3. smurf攻击 简单的Smurf攻击用来攻击一个网络方法是发ICMP应答请求该请求包的目标地址设置为 受害网络的广播地址这样该网络的所有主机都对此ICMP应答请求作出答复导致网络阻塞这 比ping大包的流量高出一或两个数量级高级的Smurf攻击主要用来攻击目标主机方法是将上 述ICMP应答请求包的源地址改为受害主机的地址最终导致受害主机雪崩攻击报文的发送需要一定的流量和持续时间才能真正构成攻击理论上讲网络的主机越多攻击的效果越明显 4. Fraggle攻击 Fraggle 类似于Smurf攻击只是使用UDP应答消息而非ICMP UDP端口7 ECHO 和端口19 Chargen 在收到UDP报文后都会产生回应在UDP的7号端口收到报文后会回应收到的内 容而UDP的19号端口在收到报文后会产生一串字符流它们都同ICMP一样会产生大量无用的 应答报文占满网络带宽攻击者可以向子网广播地址发送源地址为受害网络或受害主机的UDP 包端口号用7或19 子网络启用了此功能的每个系统都会向受害者的主机作出响应从而引发大量的包导致受害网络的阻塞或受害主机的崩溃子网上没有启动这些功能的系统将产生一个ICMP不可达消息因而仍然消耗带宽也可将源端口改为Chargen 目的端口为ECHO 这样会自 动不停地产生回应报文其危害性更大 5. WinNuke攻击 WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口139 发送OOB out-ofband 数据包引起一个NetBIOS片断重叠致使已与其他主机建立连接的目标主机崩溃还有一 种是IGMP分片报文一般情况下IGMP报文是不会分片的所以不少系统对IGMP分片报文的处 理有问题如果收到IGMP分片报文则基本可判定受到了攻击 6. SYN Flood攻击 由于资源的限制TCP/IP栈的实现只能允许有限个TCP连接而SYN Flood攻击正是利用这一
网络攻击及防范措施
网络攻击及防范措施 【摘要】随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要 【摘要】随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要原因.单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展为了提高计算机网络的安全性,必须了解计算机网络的不安全因素和网络攻击的方法同时采取相应的防御措施。 【关键词】特洛伊木马网络监听缓冲区溢出攻击 1 特洛伊木马 特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限.黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能.例如拷贝、删除文件、格式化硬盘、甚至发电子邮件,典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入账号和口令,然后将账号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。 完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序.“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为。 1.1 特洛伊木马程序的检测 (1)通过网络连接检测:扫描端口是检测木马的常用方法.在不打开任何网络软件的前提下,接入互联网的计算机打开的只有139端口.因此可以关闭所有的网络软件。进行139端口的扫描。 (2)通过进程检测:Win/XP中按下“CTL+ALT+DEL”进入任务管理器,就可以看到系统正在运行的全部进程,清查可能发现的木马程序。
几种常见的网络黑客攻击手段原理分析
常见网络攻击手段原理分析 1.1TCP SYN拒绝服务攻击 一般情况下,一个TCP连接的建立需要经过三次握手的过程,即: 1、建立发起者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应; 3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击: 1、攻击者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应; 3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。 1.2ICMP洪水 正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Rep1y报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP 洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。 1.3UDP洪水 原理与ICMP洪水类似,攻击者通过发送大量的UDP报文给目标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。 1.4端口扫描
常见网络攻击方法及原理
1.1 TCP SYN拒绝服务攻击 一般情况下,一个TCP连接的建立需要经过三次握手的过程,即: 1、建立发起者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应; 3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。 利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击: 1、攻击者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应; 3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB 控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。 1.2 ICMP洪水 正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。
常见网络攻击的手段与防范
常见网络攻击的手段与防范 侯建兵 赤峰学院计算机科学与技术系,赤峰024000 摘要:现在,Intemet上的网络攻击越来越猖獗,攻击手段也越来越先进,一旦被攻破,导致的损失也会越来越严重。如何有效地防止网络攻击已成为一个全球性的研究课题,受到全世界网络工作者的普遍重视,因此,针对黑客的网络攻击,提高网络的防护能力,保证信息安全已成为当务之急。为此本文列举了一些典型的网络攻击,将它们进行了分类,在分析其攻击原理的基础上,针对网络攻击的具体防御措施进行了 讨论和分析。 关键词:网络安全;网络攻击;安全策略;手段;措施;黑客攻击;防范技术 一.引言 随着Intemet的发展.高信息技术像一把双刃剑,带给我们无限益处的同时也带给网络更大的风险。网络安全已成为重中之重,攻击者无处不在。因此网络管理人员应该对攻击手段有一个全面深刻的认识,制订完善安全防护策略。孙子兵法上说,知己知彼,百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动的安装防火墙是显然不够的。我们必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解,针对不同的方法采取不同的措施,做到有的放矢。只有这样才能更有效、更具有针对性的进行主动防护。 二.相关基本概念和网络攻击的特点 1.计算机网络安全的含义 从本质上来讲.网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性.使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。 2. 网络攻击概念性描述 网络攻击是利用信息系统自身存在的安全漏洞,进入对方网络系统或者是摧毁其硬件设施。其目的就是破坏网络安全的各项指标,破坏扰乱对方信息系统的正常运行,致使对方计算机网络和系统崩溃、失效或错误工作。 3. 计算机网络攻击的特点 计算机网络攻击具有下述特点:(1)损失巨大。由于攻击和入侵的对象是网络上的计算机。所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。(2)威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。 (3)手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的
计算机网络攻击及防范
青岛恒星职业技术学院高等职业教育专科 计算机网络技术专业毕业论文(设计) 青岛恒星职业技术学院 毕业论文(设计) 题目:___计算机网络攻击及防范__ _______________ 姓名:____张双勇_______________ 学号:____0801883___________ 指导教师及职称:____________ ______信息学院_____________________ 年月日
绪论 随着计算机网络技术的发展,网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能够更加可靠地运行,不受外来入侵者干扰和破坏。所以解决好网络的安全性和可靠性问题,是保证网络正常运行的前提和保障。 在信息化飞速发展的今天,计算机网络得到了广泛应用,但随着网络之间的信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。这致使数据的安全性和自身的利益受到了严重的威胁。 根据美国FBI(美国联邦调查局)的调查,美国每年因为网络安全造成的经济损失超过170亿美元。75%的公司报告财政损失是由于计算机系统的安全问题造成的。超过50%的安全威胁来自内部。而仅有59%的损失可以定量估算。在中国,针对银行、证券等金融领域的计算机系统的安全问题所造成的经济损失金额已高达数亿元,针对其他行业的网络安全威胁也时有发生。 由此可见,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。所以,计算机网络必须有足够强的安全防范措施。无论是在局域网还是在广域网中,网络的安全防范措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。 所以本文就从网络的“攻击”与“防范”这两个方面来进行研究。让人们明白各种网络攻击的原理与防范的方法。从而减少因网络安全问题所产生的损失。
【个人总结系列-17】常见网络攻击方法及原理学习总结
常见网络攻击方法及原理学习总结 ?TCP SYN拒绝服务攻击 一般情况下,一个TCP连接的建立需要经过三次握手的过程,即: 1、建立发起者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应; 3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。 利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击: 1、攻击者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应; 3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB 控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。 ?端口扫描 根据TCP协议规范,当一台计算机收到一个TCP连接建立请求报文(TCP SYN)的时候,做这样的处理: 1、如果请求的TCP端口是开放的,则回应一个TCP ACK报文,并建立TCP连接控制结构(TCB); 2、如果请求的TCP端口没有开放,则回应一个TCP RST(TCP头部中的RST标志设为1)报文,告诉发起计算机,该端口没有开放。 相应地,如果IP协议栈收到一个UDP报文,做如下处理: 1、如果该报文的目标端口开放,则把该UDP报文送上层协议(UDP)处理,不回应任何报文(上层协议根据处理结果而回应的报文例外); 2、如果该报文的目标端口没有开放,则向发起者回应一个ICMP不可达报文,告诉发起者计算机该UDP报文的端口不可达。
《网络攻击与防范》教学大纲
《网络攻击与防范》教学大纲 一、课程的基本描述 课程名称:网络攻击与防范 课程性质:专业课适用专业:计算机、软件、网络 总学时:85学时理论学时:34学时 实验学时:51学时课程设计:无 学分: 3.0学分开课学期:第五或第六学期 前导课程:计算机网络 后续课程: 二、课程教学目标 本课程主要介绍网络攻击的常规思路、常用方法、常见工具,以及针对攻击的网络防御方面常规的防御思路、防御方法和防御工具。通过该课程教学,学生应当: 能够深入理解当前网络通信协议中存在的缺陷和问题,理解当前系统和应用软件中可能潜在的漏洞和问题。了解当前技术条件下网络攻防的思路方法和相应的攻防工具。 培养现代计算机网络环境下,熟练使用各类常见攻防工具的能力,同时培养出查找问题、分析问题和解决问题的能力。 初步培养网络攻防方面的安全意识和危机意识。 三、知识点与学时分配 第一章网络攻防技术概述 教学要点:本章立足网络空间安全,介绍网络攻防的基本概念和相关技术。 教学时数:6学时 教学内容: 1.1 黑客、红客及红黑对抗 要点:了解黑客起源、发展,以及黑客、红客和红黑对抗的相关概念; 1.2 网络攻击的类型
要点:了解主动攻击、被动攻击的相关概念及方式; 1.3 网络攻击的属性 要点:掌握攻击中权限、转换防范和动作三种属性类型,加深对攻击过程的理解; 1.4 主要攻击方法 要点:了解端口扫描的概念及原理;了解口令攻击的概念及三种攻击方式;了解Hash 函数的相关概念,掌握彩虹表的工作原理;了解漏洞攻击的相关概念,以及产生的原因; 了解缓冲区溢出的概念,掌握缓冲区溢出的原理,以及利用缓冲区溢出攻击的过程;了解电子邮件攻击的概念,以及目标收割攻击的工作原理;了解高级持续威胁的概念、特点以及主要环节;了解社会工程学的概念,以及社会工程学攻击的方式、步骤; 1.5 网络攻击的实施过程 要点:掌握攻击实施的三个过程:包括攻击发起阶段可用于分析、评估的属性;攻击作用阶段的作用点判定原则;攻击结果阶段的具体表现评价方式; 1.6 网络攻击的发展趋势 要点:了解云计算及面临的攻击威胁、移动互联网面临的攻击威胁和大数据应用面临的攻击威胁等新应用产生的新攻击方式;了解网络攻击的演进过程和趋势;了解网络攻击的新特点。 考核要求:熟悉网络攻防的相关概念,能识别网络攻击方式及掌握攻击的评估方法。第二章 Windows操作系统的攻防 教学要点:从Windows操作系统基本结构入手,在了解其安全体系和机制的基础上,掌握相关的安全攻防技术。 教学时数:4学时 教学内容: 2.1 Windows操作系统的安全机制 要点:了解Windows操作系统的层次结构;了解Windows服务器的安全模型; 2.2 针对Windows数据的攻防 要点:掌握EFS、BitLocker两种加密方式的原理、实行步骤以及特点;了解数据存储采用的相关技术;了解数据处理安全的相关技术; 2.3 针对账户的攻防
网络攻击及防范措施(一)
网络攻击及防范措施(一) 【摘要】随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要原因.单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展为了提高计算机网络的安全性,必须了解计算机网络的不安全因素和网络攻击的方法同时采取相应的防御措施。 【关键词】特洛伊木马网络监听缓冲区溢出攻击 1特洛伊木马 特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限.黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能.例如拷贝、删除文件、格式化硬盘、甚至发电子邮件,典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入账号和口令,然后将账号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。 完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序.“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为。 1.1特洛伊木马程序的检测 (1)通过网络连接检测:扫描端口是检测木马的常用方法.在不打开任何网络软件的前提下,接入互联网的计算机打开的只有139端口.因此可以关闭所有的网络软件。进行139端口的扫描。 (2)通过进程检测:Win/XP中按下“CTL+ALT+DEL”进入任务管理器,就可以看到系统正在运行的全部进程,清查可能发现的木马程序。 (3)通过软件检测:用户运行杀毒、防火墙软件和专用木马查杀软件等都可以检测系统中是否存在已知的木马程序。 1.2特洛伊木马程序的预防 (1)不执行任何来历不明的软件 (2)不随意打开邮件附件 (3)将资源管理器配置成始终显示扩展名 (4)尽量少用共享文件夹 (5)运行反木马实时监控程序 (6)经常升级系统 2网络监听 网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等.当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。 在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送,必须从TCP/IP协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP地址相对应的48位的地址。
网络攻击技术及攻击实例介绍全解
网络攻击技术及攻击实例介绍 摘要:随着计算机网络的广泛使用,网络攻击技术也迅猛发展。研究网络攻击带来的各种威胁,有针对性的对这些威胁进行有效防范,是加固安全防御体系的重要途径。研究计算机网络攻击技术,模拟黑客行为,以敌手推演为模型、以攻防对抗为实践方式来验证网络整体安全防护效能,是加强网络安全防护的一种重要手段。本文介绍了WEB脚本入侵攻击、缓沖区滋出攻击、木马后门攻击、网络设备攻击、内网渗透攻击、拒绝服务攻击、网电空间对抗六种典型网络攻击技术及伊朗核设施遭震网技术的网络攻击案例。 一、网络攻击技术分类 计算机网络攻击是网络攻击者利用网络通信协议自身存在的缺陷、用户使用的操作系统内在缺陷或用户使用的程序语言本身所具有的安全隐患,通过使网络命令或者专门的软件非法进人本地或远程用户主机系统,获得、修改、删除用户系统的信息以及在用户系统上插入有害信息,降低、破坏网络使用效能等一系列活动的总称。 从技术角度看,计算机网络的安全隐患,一方面是由于它面向所有用户,所有资源通过网络共享,另一方面是因为其技术是开放和标准化的。层出不穷的网络攻击事件可视为这些不安全因素最直接的证据。其后果就是导致信息的机密性、完整性、可用性、真实性、可控性等安全属性遭到破坏,进而威胁到系统和网络的安全性。 从法律定义上,网络攻击是入侵行为完全完成且入侵者已在目标网络内。但是更激进的观点是(尤其是对网络安全管理员来说),可能使一个网络受到破坏的所有行为都应称为网络攻击,即从一个入侵者开始对目标机上展开工作的那个时刻起,攻击就开始了。通常网络攻击过程具有明显的阶段性,可以粗略的划分为三个阶段: 准备阶段、实施阶段、善后阶段。
对十种网络攻击行为的介绍
近几年,互联网的应用呈现出一种爆发增长的态势,网速越来越快,能够遍寻的软件越来越多,初级黑客凭借一些入门的教程和软件就能发起简单的攻击;另一方面,电脑的价格持续下降,企业内部的终端数量也在逐步增加,更多的资源,更复杂的网络使得IT运维人员在管控内网时心力交瘁,面对这些内忧外患,我们不得不重新审视网络安全问题。 下面,我们将介绍一些攻击行为案例,对于这些行为不知您是否遇到过?您的网络是否能够抵挡住这些攻击?您都做了哪些防范?如果对于攻击行为您并没有全面、细致、合规的操作不妨看看我们的建议和意见吧。 Top 10:预攻击行为攻击案例:某企业网安人员近期经常截获一些非法数据包,这些数据包多是一些端口扫描、SA TAN扫描或者是IP半途扫描。扫描时间很短,间隔也很长,每天扫描1~5次,或者是扫描一次后就不在有任何的动作,因此网安人员获取的数据并没有太多的参考价值,攻击行为并不十分明确。 解决方案:如果扫描一次后就销声匿迹了,就目前的网络设备和安全防范角度来说,该扫描者并没有获得其所需要的资料,多是一些黑客入门级人物在做简单练习;而如果每天都有扫描则说明自己的网络已经被盯上,我们要做的就是尽可能的加固网络,同时反向追踪扫描地址,如果可能给扫描者一个警示信息也未尝不可。鉴于这种攻击行为并没有造成实质性的威胁,它的级别也是最低的。 危害程度:★ 控制难度:★★ 综合评定:★☆ Top 9:端口渗透攻击案例:A公司在全国很多城市都建立办事处或分支机构,这些机构与总公司的信息数据协同办公,这就要求总公司的信息化中心做出VPN或终端服务这样的数据共享方案,鉴于VPN的成本和难度相对较高,于是终端服务成为A公司与众分支结构的信息桥梁。但是由于技术人员的疏忽,终端服务只是采取默认的3389端口,于是一段时间内,基于3389的访问大幅增加,这其中不乏恶意端口渗透者。终于有一天终端服务器失守,Administrator密码被非法篡改,内部数据严重流失。 解决方案:对于服务器我们只需要保证其最基本的功能,这些基本功能并不需要太多的端口做支持,因此一些不必要的端口大可以封掉,Windows我们可以借助于组策略,Linux可以在防火墙上多下点功夫;而一些可以改变的端口,比如终端服务的3389、Web的80端口,注册表或者其他相关工具都能够将其设置成更为个性,不易猜解的秘密端口。这样端口关闭或者改变了,那些不友好的访客就像无头苍蝇,自然无法进入。 危害程度:★★ 控制难度:★★ 综合评定:★★ Top 8:系统漏洞攻击案例:B企业网络建设初期经过多次评审选择了“imail”作为外网邮箱服务器,经过长时间的运行与测试,imail表现的非常优秀。但是好景不长,一时间公司
一些网络攻击方式
目前网络中存在的攻击方式主要有如下几种: SYN Attack(SYN 攻击):当网络中充满了会发出无法完成的连接请求的SYN 封包,以至于网络无法再处理合法的连接请求,从而导致拒绝服务(DoS) 时,就发生了SYN 泛滥攻击。 ICMP Flood(ICMP 泛滥):当ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流时,就发生了ICMP 泛滥。当启用了ICMP 泛滥保护功能时,可以设置一个临界值,一旦超过此值就会调用ICMP 泛滥攻击保护功能。如果超过了该临界值,防火墙设备在该秒余下的时间和下一秒内会忽略其它的ICMP 回应要求。 UDP Flood(UDP 泛滥):与ICMP 泛滥相似,当以减慢系统速度为目的向该点发送UDP 封包,以至于系统再也无法处理有效的连接时,就发生了UDP 泛滥。当启用了UDP 泛滥保护功能时,可以设置一个临界值,一旦超过此临界值就会调用UDP 泛滥攻击保护功能。如果从一个或多个源向单个目表发送的UDP 封包数超过了此临界值,Juniper 设备在该秒余下的时间和下一秒内会忽略其它到该目标的UDP 封包。 Port Scan Attack(端口扫描攻击):当一个源IP 地址在定义的时间间隔内向位于相同目标IP 地址10 个不同的端口发送IP 封包时,就会发生端口扫描攻击。这个方案的目的是扫描可用的服务,希望会有一个端口响应,因此识别出作为目标的服务。Juniper 设备在内部记录从某一远程源地点扫描的不同端口的数目。使用缺省设置,如果远程主机在0.005 秒内扫描了10 个端口(5,000 微秒),防火墙会将这一情况标记为端口扫描攻击,并在该秒余下的时间内拒绝来自该源地点的其它封包(不论目标IP 地址为何)。 下面的选项可用于具有物理接口和子接口的区段: Limit session(限制会话):防火墙设备可限制由单个IP 地址建立的会话数量。例如,如果从同一客户端发送过多的请求,就能耗尽Web 服务器上的会话资源。此选项定义了每秒钟防火墙设备可以为单个IP 地址建立的最大会话数量。 SYN-ACK-ACK Proxy 保护:当认证用户初始化Telnet 或FTP 连接时,用户会SYN 封包到Telnet 或FTP服务器。Juniper 设备会截取封包,通过Proxy 将SYN-ACK 封包发送给用户。用户用ACK 封包响应。此时,初始的三方握手就已完成。防火墙设备在其会话表中建立项目,并向用户发送登录提示。如果用户怀有恶意而不登录,但继续启动SYN-ACK-ACK 会话,防火墙会话表就可能填满到某个程度,让设备开始拒绝合法的连接要求。要阻挡这类攻击,您可以启用SYN-ACK-ACK Proxy 保护SCREEN 选项。从相同IP 地址的连接数目到达syn-ack-ack-proxy 临界值后,防火墙设备就会拒绝来自该IP 地址的进一步连接要求。缺省情况下,来自单一IP 地址的临界值是512 次连接。您可以更改这个临界值(为1 到2,500,000 之间的任何数目)以更好地适合网络环境的需求。 SYN Fragment(SYN 碎片):SYN 碎片攻击使目标主机充塞过量的SYN 封包碎片。主机接到这些碎片后,会等待其余的封包到达以便将其重新组合在起来。通过向服务器或主机堆积无法完成的连接,主机的内存缓冲区最终将会塞满。进一步的连接无法进行,并且可能会破坏主机操作系统。当协议字段指示是ICMP封包,并且片断标志被设置为1 或指出了偏
计算机网络安全及防范技术
计算机网络安全及防范技术 1 网络安全定义所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的因素或者恶意的攻击而遭到破坏、更改、泄漏,确保系统能连续、可靠、正常地运行,网络服务不中断。常见的影响网络安全的问题主要有病毒、黑客攻击、系统漏洞、资料篡改等,这就需要我们建立一套完整的网络安全体系来保障网络安全可靠地运行。 2 计算机网络攻击的特点计算机网络攻击具有下述特点:①损失巨大;②威胁社会和国家安全;③方法多样,手段隐蔽;④以软件攻击为主。 3 影响网络安全的主要因素①信息泄密。②信息被篡改。③传输非法信息流。④网络资源的错误使用。⑤非法使用网络资源。⑥环境影响。⑦软件漏洞。⑧人为安全因素。 4 计算机网络中的安全缺陷及产生的原因4.1 TCP/IP的脆弱性。因特网的基础是TCP/IP协议。但该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。4.2 网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。 4.3 易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。4.4 缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。5 常见的网络攻击 5.1 特洛伊木马。特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它会在计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知攻击者,来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改你的计算机的参数设定、复制
网络攻击常用方法
简答题:网络攻击常用的方法有哪些? 共有九种攻击方法: 1、获取口令: 包括:一是通过网络监听非法得到用户口令 二是在知道用户的账号后(如电子用户口令邮件@前面的部分)利用一些专门软件强行破解 三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令 2、放置特洛伊木马程序: 特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。 3、WWW的欺骗技术: 例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。4、电子邮件攻击: 电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,这类欺骗只要用户提高警惕,一般危害性不是太大。 5、通过一个节点来攻击其他节点: 黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。这类攻击很狡猾,但由于某些技术很难掌握,如IP欺骗,因此较少被黑客使用。 6、网络监听: 7、寻找系统漏洞: 8、利用帐号进行攻击: 9、偷取特权: 利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。这种攻击手段,一旦奏效,危害性极大。
网络信息安全的攻击与防护
目录 一.生活中黑客常用的攻击技术 (1) 2.拒绝服务攻击 (2) 3.缓冲区溢出 (2) 二.生活中常见的网络防御技术3 1.常见的网络防御技术 (3) 1.防火墙技术 (3) 2.访问控制技术 (4) 三.总结 (5) 一.生活中黑客常用的攻击技术 黑客攻击其实质就是指利用被攻击方信息系统自身存在安全漏洞,通过使用网络命令和专用软件进入对方网络系统的攻击。目前总结出黑客网络攻击的类型主要有以下几种: 1.对应用层攻击。 应用层攻击能够使用多种不同的方法来实现,最常见的方法是使用服务器上通常可找到的应用软件(如SQL Server、PostScript和FTP)缺陷,通过使用这些缺
陷,攻击者能够获得计算机的访问权,以及在该计算机上运行相应应用程序所需账户的许可权。 应用层攻击的一种最新形式是使用许多公开化的新技术,如HTML规范、Web 浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序,包括Java applet和Active X控件等,并通过用户的浏览器调用它们,很容易达到入侵、攻击的目的。 2.拒绝服务攻击 拒绝服务(Denial of Service, DoS)攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单,但又很有效的进攻方式。它的目的就是拒绝服务访问,破坏组织的正常运行,最终使网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。 攻击的基本过程如下:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。由于地址是伪造的,所以服务器一直等不到回传的消息,然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。 被DDoS攻击时出现的现象主要有如下几种。被攻击主机上有大量等待的TCP 连接。网络中充斥着大量的无用的数据包,源地址为假。制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通信。利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。严重时会造成系统死机。要避免系统遭受Do S攻击,网络管理员要积极谨慎地维护整个系统,确保无安全隐患和漏洞,而针对更加恶意的攻击方式则需要安装防火墙等安全设备过滤D O S攻击,同时建议网络管理员定期查看安全设备的日志,及时发现对系统构成安全威胁的行为。 3.缓冲区溢出 通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令。如果这些指令是放在有Root权限的内存中,那么一旦这些指令得到了运行,黑客就以Root权限控制了系统,达到入侵的目的;缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。 缓冲区溢出的一般攻击步骤为:在程序的地址空间里安排适当的代码——通过适当的地址初始化寄存器和存储器,让程序跳到黑客安排的地址空间中执行。缓冲区溢出对系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点。必须及时发现缓冲区溢出这类漏洞:在一个系统中,比如UNIX操作系统,这类漏洞是非常多的,系统管理员应经常和系统供应商联系,及时对系统升级以堵塞缓冲区溢出漏洞。程序指针完整性检查:在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测
网络安全中主要的攻击手段和防范措施.
网络安全中主要的攻击手段和防范措施 摘要:网络的重要性日益突出,网络应用中的安全问题也愈发引人关注,网络安全中对于密码的威胁与相关的防范是最重要的部分之一,因此,了解网络安全体系中密码相关的一些术语与协 议,以及常见的攻击软件与攻击手段能有效的避免大部分的威胁与攻击,减少因为密码信息 泄露而造成的财产损失。 关键词:网络安全,协议,算法,用户,密码…… The main means of attack in the network security and preventive measures Abstract:The growing importance of networks , network applications, security issues also become more concentrate,the password for the network security threats and related prevention is one of the most important part , therefore , to understand the network security system in a number of password-related terminology and protocols , and common means of attack and attack software can effectively prevent most of the threats and attacks , reducing the password information leak caused damage to property . Key words:n e twork,security,algorithm,user,password…… 1 引言