网络防护技术结课报告.docx
《网络防护技术结课报告.docx》由会员分享,可在线阅读,更多相关《网络防护技术结课报告.docx(11页珍藏版)》请在冰豆网上搜索。
网络防护技术结课报告
《网络防护技术》
结课报告
院系计算机与通信工程学院专业网络工程
班级网络1101班学号201158080130学生姓名黄浩辉指导教师向凌云
课程成绩完成日期2014.1.2
目录
1网络攻击概述1
1.1网络安全现状1
1.1.1网络的发展1
1.1.2我国网络安全存在的问题1
1.2常见网络攻击技术的基本原理及危害2
1.2.1IP欺骗2
1.2.2ARP欺骗3
1.2.3跨站脚本攻击3
2保证网络安全的主要方法和途径4
2.1防火墙技术4
2.2加密技术5
2.3数字签名6
3网络欺骗攻击之DNS欺骗攻击6
3.1DNSID欺骗攻击及其防御方案6
3.1.1DNSID欺骗攻击原理6
3.1.2防御方法7
3.2DNS缓存中毒攻击及其防御方案8
3.2.1DNS缓存中毒原理8
3.2.2防御方案9
4总结与期望10
浅谈我对网络攻防的认识
学生姓名:
指导老师:
向凌云
摘要:
本报告主要介绍目前常见的网络攻击手段及其原理分析,举例几种防止网络攻击的方法,对未来网络攻击发展的趋势进行预判。
着重讨论了DNS欺骗攻击,对其攻击原理、攻击手段、防御方法进行了介绍。
关键字:
网络安全网络攻击DNS欺骗攻击
1网络攻击概述
1.1网络安全现状
1.1.1网络的发展
随着互联网的飞速发展,网络应用日益普及并更加复杂,网络安全问题已成为网络应用发展中面临的重要问题。
网络攻击行为日趋复杂,各种方法相互融合,使网络安全防御更加困难。
黑客攻击行为组织性更强,攻击目标从单纯追求“荣耀感”向获取多方面实际利益的方向转移,网上木马、间谍程序、恶意网站等日趋泛滥;手机掌上电脑等无线终端的处理能力和功能通用性提高,时期日趋接近个人计算机,针对这些无线终端的网络攻击已经出现,并将经一步发展。
总之,网络安全问题变得更加错综复杂,影响将不断扩大,很难在短期内得到全面解决。
1.1.2我国网络安全存在的问题
此外,我国网络安全问题日益突出主要体现在以下几个方面:
(1)计算机系统遭受病毒感染和破坏的情况相当严重。
据相关资料,2013年4月,国家计算机病毒应急处理中心共发现病毒689541个,比上月上升7.9%,新增病毒83607个,比上月上升11.4%,感染计算机32557082台,比上月上升1.1%,主要传播途径仍以“网络钓鱼”和“网页挂马”为主。
(2)电脑黑客活动已形成重要威胁。
网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。
(3)网络政治颠覆活动频繁。
近年来,国内外反动势力利用互联网组党结社,进行针对我国党和政府的非法组织和串联活动,猖獗频繁,屡禁不止。
尤其是一些非法组织有计划地通过网络渠道,宣传异教邪说,妄图扰乱人心,扰乱社会秩序。
例如,据媒体报道,“法轮功”非法组织就是在美国设网站,利用无国界的信息空间进行反政府活动。
1.2常见网络攻击技术的基本原理及危害
现今,网络攻击技术繁多,我在这里主要介绍以下几种常见的攻击技术。
1.2.1IP欺骗
所谓IP欺骗,就是通过IP地址的伪造使得某台主机能够伪装成另外一台主机骗取权限从而进行攻击的技术,而被伪装的主机往往具有某种特权或者被另外的主机所信任。
图1为IP欺骗的原理,在网络中,主机A与主机B是存在新人关系的两台主机,主机B有对主机A进行操作的权限。
袭击者C也想获取对主机A的操作权限,因此它就通过伪装成主机B向主机A发送数据,从而使主机A误认为是主机B在对其进行操作。
图1
1.2.2ARP欺骗
由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。
所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!
这就是一个简单的ARP欺骗。
其原理如下:
某机器A要向主机B发送报文,会查询本地的ARP缓存表,找到B的IP地址对应的MAC地址后,就会进行数据传输。
如果未找到,则A广播一个ARP请求报文(携带主机A的IP地址Ia——物理地址Pa),请求IP地址为Ib的主机B回答物理地址Pb。
网上所有主机包括B都收到ARP请求,但只有主机B识别自己的IP地址,于是向A主机发回一个ARP响应报文。
其中就包含有B的MAC地址,A接收到B的应答后,就会更新本地的ARP缓存。
接着使用这个MAC地址发送数据(由网卡附加MAC地址)。
因此,本地高速缓存的这个ARP表是本地网络流通的基础,而且这个缓存是动态的。
ARP欺骗带来的危害可以分为几大类,
1.网络异常。
具体表现为:
掉线、IP冲突等。
2.数据窃取。
具体表现为:
个人隐私泄漏(如QQ聊天记录、邮件等)、账号被盗用(如QQ账号、银行账号等)。
3.数据篡改。
具体表现为:
访问的网页被添加了恶意内容,俗称“挂马”。
4.非法控制。
具体表现为:
网络速度、网络访问行为(例如某些网页打不开、某些网络应用程序用不了)受第三者非法控制。
1.2.3跨站脚本攻击
跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。
用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。
攻击者通过在链接中插入恶意代码,就能够盗取用户信息。
攻击者通常会用十六进制(或其他编码方式)将链接编码,以免用户怀疑它的合法性。
网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面,而这个页面看起来就像是那个网站应当生成的合法页面一样。
许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。
假设用户甲发表了一篇包含恶意脚本的帖子,那么用户乙在浏览这篇帖子时,恶意脚本就会执行,盗取用户乙的session信息。
跨站脚本攻击分为持久式攻击和非持久式攻击两类,其危害是这些攻击者可以盗取用户帐户,修改用户设置,盗取/污染cookie,做虚假广告等。
2保证网络安全的主要方法和途径
2.1防火墙技术
防火墙技术。
在保护计算机网络安全的技术性措施中,最成熟、最早产品化的就是网络防火墙。
防火墙是在两个网络之间执行控制策略的系统。
这两个网络通常一个是要保护的内部网,一个是外部网(如因特网)。
防火墙可能是纯硬件的,也可能是纯软件的,还可能是软、硬件兼而有之。
防火墙在内部网和外部网之间构成了一道屏障,它监测、限制、更改通过它的数据流,对外屏蔽内部网的信息、结构和运行状况,以防止发生网络入侵和攻击,实现对内部网的安全保护。
防火墙实质上就是一个隔离控制技术,从逻辑上看它既是一个分析器又是一个限制器。
它要求所有进出网络的数据流都必须有安全策略和计划的确认和授权。
其工作原理是:
按照事先规定好的配置和规则,监测并过滤所有通向外部网或从外部网传来的信息,只允许授权的数据通过。
防火墙还应该能够记录有关连接的信息、服务器的通信量以及试图闯入者的任何企图,以方便管理员的监测和跟踪。
防火墙本身也必须具有比较高的抗攻击性。
防火墙的优点是效率高、功能多,对应用和协议是透明和综合的,安全系数高,能屏蔽被保护的网络内部结构。
当前,比较有代表性的产品主要有中科院信息安全技术工程研究中心的安胜防火墙系统、方正数码的方御防火墙系列产品、广州众达天网技术有限公司的天网防火墙系统、联想的网御2000系列防火墙等。
2.2加密技术
加密技术。
防火墙技术是一种被动的防卫技术,难以对因特网上潮水般的访问进行有效防卫。
加密作为一种主动的防卫手段,其优势就显示出来了,要保障网络信息的安全,就应当用现代密码学来助阵。
加密是通过对信息的重新组合,使得只有收发双方才能解码还原信息。
传统的加密系统是以密钥为基础的,这是一种对称加密,也就是说,用户使用同一个密钥加密或解码。
在网络应用中一般采取两种加密形式,即秘密密钥和公开密钥,采用何种加密形式则要结合具体应用环境和系统,而不能简单地根据其加密强度来判断。
因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性以及投入产出分析都应在实际环境中具体考虑。
秘密密钥,又叫私钥加密或对称密钥加密。
其常见加密标准为DES等,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时,则要采取IDEA和三重DES等。
作为传统企业网络广泛应用的加密技术,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合因特网环境。
在因特网中使用更多的是公钥系统,即公开密钥加密,它的加密密钥和解密密钥是不同的。
一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由属主保存。
常用的公钥加密算法是RSA算法,加密强度很高。
它是将数字签名和数据加密结合起来,发送方在发送数据时必须加上数据签名,用自己的私钥加密一并与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。
当这些密文被接收方收到后,接收方用自己的私钥将密文解密,得到发送的数据和发送方的数字签名,然后用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。
数字签名每次还与被传送的数据和时间等因素有关。
数字签名的加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,十分适合因特网上使用。
目前,随着技术的进素有关。
数字签名的加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,十分适合因特网上使用。
目前,随着技术的进步,加密正逐步被集成到系统和网络中,如InternetEngineeringTaskFore正在发展的下一代网际协议IPv6。
硬件方面,Intel公司也在研制用于PC机和服务器主板的加密协处理器。
加密正逐步被集成到系统和网络中,如InternetEngineeringTaskFore正在发展的下一代网际协议IPv6。
硬件方面,Intel公司也在研制用于PC机和服务器主板的加密协处理器。
2.3数字签名
数字签名。
如今,大多数电子交易采用两个密钥加密,密文和用来解码的密钥一起发送,而该密钥本身又被加密,还需要另一个密钥来解码。
这种组合加密被称为数字签名,它有可能成为未来电子商务中首选的安全技术。
3网络欺骗攻击之DNS欺骗攻击
3.1DNSID欺骗攻击及其防御方案
3.1.1DNSID欺骗攻击原理
DNSID欺骗以监听ID和端口号为基础,如果是在交换机搭建的网络环境下,欺骗者首先要向攻击目标实施ARP欺骗。
图3是一个DNSID欺骗(DNSIDspoofing)的实例。
假设用户、欺骗者和DNS服务器同在一个局域网内。
图3网内DNSspoofing攻击示意图
攻击流程如下:
①:
欺骗者通过向攻击目标以一定的频率发送伪造ARP应答包改写目标机的ARPcache中的内容,并通过IP续传使数据流过欺骗者的主机再流向目的地;欺骗者配合Sniffer软件监听DNS请求包,取得ID和端口号。
②:
欺骗者取得ID和端口号后,立即向攻击目标发送相应的伪造DNS应答包,用户收到后确认ID和端口号无误,以为收到正确的DNS应答包;而其实际的地址很可能被导向攻击者想让用户访问的恶意网站,用户的信息安全受到威胁。
③:
用户再次收到DNS服务器发来的DNS应答包,由于晚于伪造的DNS应答包,因此被用户抛弃;用户的访问被导向攻击者设计的地址,一次完整的DNSID欺骗完成。
3.1.2防御方法
根据此种攻击的特点,有以下的应对方案可以考虑:
(1)对少数信息安全级别要求高的网站避免使用DNS。
因为DNS欺骗中相当一部分的目的是窃取用户的私密信息,而对于大部分用户而言,其访问网站中的大多数都不涉及此类信息,所以在访问涉及个人私密信息的网站时(比如通过网上银行进行交易),可以直接通过IP地址访问,这样就可以绕开DNS服务,DNS欺骗自然无从谈起,其危害性就大大降低了。
因为涉及敏感信息的网站只占很少的一部分,对于绝大多数用户而言,这种方法几乎不会对其使用产生什么影响;又由于大部分用户受自身条件所限,不足以对所处的网络环境产生什么影响,并且对信息安全要求不是太高,因此该方法不失为一种简单有效的方法,而且对于所有涉及DNS的攻击均有效。
(2)防范ARP攻击。
因为此类攻击需要以ARP欺骗为基础,所以较为直接的方法是谨防受到ARP欺骗攻击。
避免了ARP攻击的可能,自然就无法进行DNSID欺骗。
3.2DNS缓存中毒攻击及其防御方案
3.2.1DNS缓存中毒原理
在不得到ID和端口号的情况下不可能完成DNS欺骗攻击。
原理是,如果在已知端口号的前提下,通过发送大量的DNS应答包来猜测攻击目标的DNS请求包的ID号,如果所发送的伪造应答包中存在和请求包的ID一致的情况,也就是产生了所谓的“碰撞”,则欺骗成功。
16位的ID号取值范围为0~65535,共有65536种可能性,想要使其攻击的成功率可以达到50%,至少需要发送32768个完全不同ID号的应答包。
如果不知道端口号,ID和端口号的组合空间比原来扩大了6万多倍,相应的攻击成功率也就极大地降低了。
不幸的是,有很多的DNS服务器的端口都是固定的,只需要一个DNS请求,就可以从反馈当中得知端口号。
这样的结果使得DNS缓存中毒攻击成为可能。
可是要得到50%的成功率,在短时间内发送32768个包,还要赶在真正的应答包到来之前发生“碰撞”,其操作难度较大。
如果很好地利用“生日攻击”就可以只发送较少的数据包,同样能达到欺骗的效果。
“生日攻击”的攻击目标必须是DNS服务器,其涉及到一个叫作“生日悖论”的数学模型。
“生日悖论”是指23个人中有人生日是同一天的可能性大于50%。
通过概率论的知识,可知2个人的生日是同一天的可能性是:
P
(2)=1-1×(364/365);3个人中有生日相同的概率是:
P(3)=1-1×(364/365)×(363/365);以此类推,P(4)=1-1×(364/365)×(363/365)×(362/365);…;P(n)=1-1×(364/365)×…(365-(n-1))/365,(n=1,2,…,365);可得出P(23)>50%,即23人中有可能其中有人的生日是相同的。
从中可以看出,一个有365个元素的空间,只需23个元素其间产生“碰撞”的概率就高于50%。
如果对一台本地DNS服务器发动“生日攻击”,如图4所示,而且假定本地DNS服务器不是目标域名的授权DNS服务器和其缓存中没有相应的记录。
图4DNScachepoisoning“生日攻击”示意图
攻击流程如下:
①~②:
欺骗者向目标服务器发送数量为q的DNS请求包,如果在没有做特殊配置的情况下,服务器会转而向上级服务器发送同样数量的查询包。
这一漏洞(US-CERTVU#457875)成为了发动“生日攻击”的有利条件,它对相同的请求包生成大量的查询包,使得“生日攻击”变得简单了许多。
③:
欺骗者再向攻击目标发送数量为r的伪造应答包,如果产生了ID号的“碰撞”,则服务器被欺骗收到了DNS应答包,如果其具有缓存机制,并把记录写入自己的Cache,那么针对DNS服务器的“生日攻击”宣告成功。
④~⑤:
在此条记录的缓存生存周期内,凡是以这台服务器为DNS服务器的客户机访问同样域名的网站都会被导向错误的地址。
3.2.2防御方案
除上文所涉及到的2种防范措施外,根据“生日攻击”的特点,有下面的应对方案可以考虑:
(1)采用随机端口。
如果作为被攻击的服务器在发送DNS请求时使用随机端口,这样可以使ID号和端口号的组合空间扩大6万多倍,大大增加攻击的难度。
(2)为信息安全要求高的网站建立标准IP映射表。
作为DNS服务器,有能力为少部分网站(比如涉及私密信息的网站或经常访问的网站)制作静态的标准DNS映射表,这样可以保证这种攻击对这部分网站无从下手。
(3)被动检测法。
由于此类攻击往往需要在短时间内发送大量的针对同一个域名的请求包,这显然并不合乎常理,因此可以针对这一特点进行DNS欺骗检测,或者限制发送查询包的数量,其效率较高。
4总结与期望
通过一个学期的对网络攻防的学习,以及课后自己查阅资料,我深刻认识到现阶段以及未来社会的发展中,网络安全与每个人息息相关。
网络安全发展至今,已经成为了一个包括通信技术、网络技术、计算机技术、密码学、安全技术的跨多种门科技术的综合性科学,因此网络安全的发展在技术发展的同时会向全方位、纵深化、专业化方向发展。
我认为在未来,网络安全与防护会向移动互联方向有更加深入的发展,对人们的生活产生更加大的影响。
升级会员 