1.1网络攻击过程
如今,计算机网络已经成为工、农、商以及国防等方面的重要信息交换手段,渗透到社会生活的各个领域。于是一些为了追逐金钱和利益以及其他目的的人(一般称其为黑客)。通过网络利用各种“手段”非法获得他们所需的信息。这些“手段”也就是所谓的网络攻击。网络攻击具有以下特点: ①没有地域和时间的限制,跨越国界的攻击就如同在现场一样方便;
②通过网络的攻击往往混杂在大量正常的网络活动之中,隐蔽性强;
③入侵手段更加隐蔽和复杂。
通常来说,一般的网络攻击行为都要经过以下阶段:
(1)收集信息
通过多种途径获得有关目标系统的大量信息,包括域名、IP地址范围、邮件地址、用户帐号、网络拓扑 、路由跟踪信息、系统运行状态等等。其工具以有命令行方式运行的finger、whois、ping、traceroute等;也有以图形界面方式运行的VisualRoute、AmartWhois、SamApade、NeoTracePro、NetScanTools工具等。这个是为进一步的探测和攻击所用的。
(2)扫描
也称探测漏洞。也就是要到一些敏感的信息或漏洞,并针对具体的脆弱性研究相应的攻击方法。例如,某些产品或操作系统,已发现有些安全漏洞,且该产商也提供了“补丁”程序,但用户并不一定及时使用了这些“补丁”程序来补上漏洞。黑客一旦扫描到这些“补丁”程序的接口后就通过自编程序,从这个忘记打“补丁”的接口进入系统。黑客可用的扫描手段包括端口扫描、操作系统类型探测、针对特定应用及服务的漏洞扫描(包括Web漏洞扫描、Windows漏洞扫描、SNMP漏洞扫描、RPC漏洞扫描等)。
(3)嗅探
它是黑客攻击过程中较为灵活的一种手段,如果满足必要的条件,通过嗅探,黑客可以获得大量的敏感信息,包括用户帐号、登陆口令、邮件内容等,它更难被察觉,也更容易操作。对安全管理人员来说,借助嗅探技术,可以对网络活动进行实时监控,并及时发现各种网络攻击行为。
(4)攻击
这就是黑客实施攻击行为的阶段,也就是实现其最直接的攻击目的。对于黑客攻击的目的无非有两种:一种是给目标以致命打击,使其丧失基本能力,让目标系统受损,甚至瘫痪;另一种目的就是在于获取直接的利益,比如截取到目标系统的机密信息,又或是得到目标系统的最高控制权。在此过程中,黑客无意对目标系统的正常工作能力进行破坏,一般都希望能非常隐蔽地实现自己的目的。在稍后的文章里,我将简要的介绍一些攻击方法。
(5)消灭痕迹
获得目标系统的控制全后,攻击者会清理自己先前“工作”过程中遗留下来的黑机,列如Web服务器的日志,时间日志等。这样攻击者才能不被机警的管理员发现并追踪。
(6)留置后门
在完全控制了受害主机之后,为了使以后远程操作时更加隐蔽和方便,又或计划将受害主机作为跳板去进一步攻击新的目标,攻击者通常都会在受害主机上安装各种后门程序,这些程序操作灵活,运行方式灵隐蔽,是黑客控制受害主机的利器。
1.2网络攻击类型以及常见的网络攻击
那么计算机网络系统开放式环境面临的威胁有那些呢?主要有以下几种类型:①欺骗(Masquerade)
;②重发(Replay);③报文修改(Modification of message);④拒绝服务(Deny of service);⑤陷阱门(Trapdoor);⑥特洛伊木马(Trojan horse);⑦攻击如透纳攻击(Tunneling Attack)、应用软件攻击等。以下是几种常见的网络攻击:
●分布式拒绝服务攻击(Distributed Denial of Service,DDoS)
可以说是DoS攻击的变种。由于DoS攻击的攻击源多是单个主机或单个网络,在现在普遍带宽的网络环境中,加上通信协议以及系统防护能力的加强,以及单点攻击手段容易被追查等“不足”,就使得传统的DoS攻击手段就失去了往日的“魅力”,于是就出现了DDoS。黑客使用DDoS工具,往往可以同时控制成百上千的攻击源,向某个单个目标发动攻击,导致目标系统无法正常的运行或处理正常的服务请求。从遭受攻击的主机来看,一种是因为对突入其来的服务请求应接不暇,或者是系统资源的最终耗尽而导致系统服务的实际“停顿”;另一种就是因为系统某方面的漏洞被黑客利用而导致系统全面崩溃。一些典型的DDoS 攻击工具有:Trinoo、TFN(The Tribe Flood Network)、Stachelaraht、Trinity v3、Shaft、TFN2K等。在发动DDoS攻击之前,黑客一般都需要先控制一个或多个高带宽网络上的主机系统,并在这些被控制的主机(也称作Master)上加载许多黑客工具,包括Scanners、Exploit tools、Root kits、DDoS工具等,然后借助一些自动化工具,在网络中扫描并攻击那些具有特定漏洞的主机,并在上面加载Daemon(守护进程端,是实施攻击的前锋)软件,黑客维护一个受空主机的Daemon,并策动Master与Daemons进行通信,Master上的工具软件也可以自动发现其他的受
控系统。有了这些前期准备,黑客就可以利用DDoS攻击工具开始他的攻击了。由于DDoS攻击的具体方式多种多样,所以对DDoS的防御至今也没有一种很好的解决办法。其最基本防御方法,那就是先解决好操作系统、协议栈,以及网络服务和应用系统的漏洞问题。但是我们也可以借助被称作
2012年四川高考作文find-ddos的系列工具来帮助我们发现多种常见的DDoS攻击。
●IP欺骗攻击
IP欺骗是利用了主机之间的正常信任关系来发动的。它伪造数据包源IP地址来进行攻击,其实现的可能性基于两个前提:第一,目前的TCP/IP网络在路由数据包时,只判断目的IP地址,并不对源IP地址进行判断,这就给伪造IP 包创造了条件;第二,两台主机之间,存在基于IP地址的认证授权防卫,这就给会话劫持(Session Hijack,是一种结合了嗅探和欺骗技术在内的攻击手段。所谓会话劫持,就是在一次正常的通信过程中,黑客做为第三方参与其中,或者是在数据流里注射额外的信息,又或是将双方的通信模式暗中改变)创造了条件。其具体攻击步骤是:(为了好表示,我用H表示攻击者,A表示被攻击目标,T 表示被A信任的主机)
滨特尔中国(1)首先使被信任主机T的网络暂时瘫痪,即实施拒绝服务攻击,以免对攻击造成干扰;
(2)攻击者H连接到被攻击目标A的某个端口来猜测ISN(Initial Sequence Number,TCP连接的初始序列号)基值以及规律,以估算下一次连接是A的ISN 值;
(3)接下来把源址址伪装成被信任主机T,发送带有SYN标志的数据(源IP为T,H的ISN为M,连接rlogin端口(端口号是513);
(4)然后等待目标机A发送SYN+ACK,A的ISN为N,应答号为M+1包给已经瘫痪的主机T;
(5)在等待一恰当的时间后,攻击者H再次伪装成T向目标主机A发送的ACK,源IP为T,H的应答号为N+1。此时发送的数据段中N的值是H估算出来的;詹金斯
(6)连接建立,发送命令请求。
其防御策略就是让操作系统使用较强壮的随机系列号生成器,使其很难猜测TCP连接的ISN。为了有效防范这种攻击,需注意:①对进入本网络的IP包,要检查其源IP地址,禁止外来的却使用本地IP的数据报进入,避免IP欺骗;②禁止r-类型的服务,不要使用简单的基于IP地址的认证机制,用SSH代替Telnet、rlogin这样的不安全网络服务;③如果是Linux系统,可以借助路由模块的源地址过滤功能防止IP欺骗。
缓冲区溢出攻击(Buffer Overflow Attactiong)
它是近年来应用非常广泛的一种攻击手段。先来看下缓冲区和溢出的定义:缓冲区是程序运行期间,用于保存包括字符数组在内的各种数据库类型;而溢出,其实就是所填充数据超出了原有缓冲区的边
界,并非法占据了另一段内存区域。所谓缓冲区溢出,就是由于填充数据越界而导致程序原有流程的改变,黑客借此精心构造填充数据,让程序转而执行特殊的代码,最终获取系统的控制权。按填充数据溢出的缓冲区位置来看,可以有栈溢出(Stack Overflow)、堆溢出(Heap Overflow)以及BSS(静态数据区),还有近两年出项的溢出类型是格式化字符串溢出;如果按照黑客重新定向程序流程的方式来看,有直接植入黑客自己代码的方式,也有跳转执行系统中已经加载了的代码的方式;而根据黑客利用缓冲区
溢出漏洞的外部条件的不同,有可以分为本地缓冲区溢出和远程缓冲区溢出。从技术上讲,缓冲区溢出牵涉的内容非常广泛,要求也比较高。再加上论文的中心不在于此,因此就不再赘述。如果想继续深入的了解它,可以参考其他方面的资料。
木马
对于木马,有趣的是,如果你看过电影“特洛伊木马”,那么你就应该知道在故事的结局中,古希腊士兵藏在木马内进入特洛伊从而占领它,获得胜利,结束了延续几年的战争。这就是木马的来源。在Internet上,“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。“木马”程序会想方设法的隐藏自己,其主要途径有:在任务栏中隐藏自己,只要把Form的Visible属性设为False、ShowI
nTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。木马会在每次用户启动时自动装载服务端,并无声无息地启动。“木马”会用上Windows系统启动时自动加载应用程序的所有方法,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。知道了木马的藏身之所,就可以很好的查杀它了。
1.3网络攻击的新趋势
在最近几年里,伴随网络技术的飞速发展,网络攻击技术与攻击工具也有了新的发展趋势,使借助网络运行业务的机构面临的风险更大。其发展的趋势主要有:(1)自动化程度和攻击速度提高。表现在攻击工具的自动化水平的提高,攻击的传播速度加快以及能够自我传播等;(2)攻击工具复杂化。与以前的相比,现在的攻击工具更难发现和检测,隐蔽性较强,其“智能化”也有所提高,能够根据随机选择、预先定义的路径或是黑客直接的管理,来变化其模式和行为;可在每次攻击中出现多种不同形态的攻击工具,并可执行在多种操作系统平台之上;(3)发现安全漏洞越来越快。通常在管理人员用上补丁修补已发现的漏洞后,黑客就又能够发现漏洞的新类型;(4)越来越高的防火墙渗透率。越来越多的攻击技术能够饶过作为网络卫士的防火墙,如Internet 打印协议(IPP)和基于Web的分布式创作与翻译(WebDAV);(5)越来越不对称的威胁。网络上的安全是相互依赖的。每个网络系统遭受攻击的可能性取决于连接到全球网络上其他系统的安全状态。攻击技术的不断进步,攻击者可以轻松地利用分布式系统,对一个受害者发动破坏性的攻击。随着自动化程度和攻击工具管理
技巧的提高,威胁的不对称性将继续增加;(6)对基础设施将形入侵成越来越大的威胁。基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户过多地依赖Internet完成日常业务,就引起人们对基础设施攻击极大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。
1.4网络安全防范
既然威胁存在,我们就不能坐以待毙。认清网络的脆弱性和潜在威胁,采取有力的安全防范技术,来保障网络的安全性,维护网络世界的“和平”。要进行网络安全建设,就必须通过技术手段以及有效的管理来确保信息系统的安全性。安全性主要体现在信息安全的保护和系统安全的保护两点上。保护信息安全就是要保护系统运行过程中信息的机密性、完整性和可用性。网络安全技术包括网络隔离、访问控制、加密通道、入侵检测、安全扫描等。
(1)隔离
由于在传统的以太网络,信息发送采用的是广播方式,这就给信息“共享”打开了门户。攻击者只要能够进入局域网,就可能监听所有数据通信,窃取机密。网络分段就是保证网络安全的一项基本措施,其本质是根据业务或分类级别的不同,将网络和用户隔离,通过设定不同的访问权限,防止越级越权对网络资源的非法访问。它分为物理分段和逻辑分段两种方式:物理分段通常是指将网络从物理层和
数据链路层分为若干网段,各网段之间无法进行直接通信;逻辑分段则是将整个系统在网络层上进行分段。在实际的应用中,通常是将两者相结合的方法来实现对网络系统的安全性控制。如交换网和虚拟局域网。哈尔滨军事工程学院
北京电视台4
(2)访问控制
访问控制主要是通过防火墙的使用来实现的。防火墙是应用最广的一种防范技术。作为系统的第一道防线,它通过制定严格的安全策略来监控可信任网络和不可信任网络之间的访问通道,可在内部与外部网络之间形成一道防护屏障,拦截来自外部的非法访问并阻止内部信息的外泄,但它无法阻拦来自网络内部的非法操作。由于它是根据事先设定的规则来确定是否拦截信息流的进出,但无法动态识别或自适应地调整规则,因而其智能化程度很有限。它分为3类:①包过滤防火墙,它的控制功能是在网络层和传输层实现的,其根据分组包的源、宿地址、端口号,协议类型以及标志位来确定对分组包的控制规则,所有过滤依据的信息均源于IP、TCP或UDP协议的包头;②应用级网关防火墙,在应用层实现,其特点是对网络通信进行完全隔离,并通过针对各种应用服务的代理程序,实现其功能优点是能识别应用层信息,并对其进行很好的过滤,可提供详细的日志记录,相对性教好,弱点在于限制了网络通信的多样性,其处理速度也是一个问题。
③状态监测防火墙,通过监视并记录每一个有效连接的状态,根据这些信息决定网络数据包是否允许通过防火墙,其速度比较快,也可以有效的防止IP欺骗的发生。
az91d镁合金
(3)信息加密
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护传输的数据。加密可以建立在链路层,也可以建立在网络层、传输层以及应用层。其可使用的技术有IPSec(VPN的一种典型技术,用于网络层加密)、SSL(Secure Socket Layer)技术、TLS(Transport Layer Security,传输层安全)、SMIME(Secure
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议