计算机网络课程设计之《网络攻击技术的分类与防范》.docx
《计算机网络课程设计之《网络攻击技术的分类与防范》.docx》由会员分享,可在线阅读,更多相关《计算机网络课程设计之《网络攻击技术的分类与防范》.docx(25页珍藏版)》请在冰豆网上搜索。
计算机网络课程设计之《网络攻击技术的分类与防范》
网络攻击技术的分类与防范
学生姓名:
XXX指导老师:
XXX
摘要本课程设计介绍了当前网络攻击技术,通过分析攻击手段的特点和对各种网络攻击行为所共有的关键特征进行分析、提取,并根据其不同特点进行分类,在对网络攻击进行分析和识别的基础上,提出了相应的解决方案和防范方法,制定有针对性的防御措施,指出应该明确安全对象,设置强有力的安全防护体系;并要以预防为主,将重要的数据进行备份并时刻监视系统的运行状况。
关键字网络攻击;防范技术;信息安全
引言
互联网在为人们工作带来便利的同时,伴随着的是日趋严重的网络安全问题。
美国互联网调查机构日前发布研究报告称,中国现有网民一亿三千七百万,在世界上仅次于美国。
近年,中国的网民增长速度超过美国,预计未来几年内,网民的绝对数量也将赶超美国。
随着互联网的飞速发展,特别是电子商务、电子政务、金融电子化进程的不断深入,人们对信息的依赖程度也越来越强,信息的安全题日益突出,根据权威机构调查互联网网站存在以下安全问题:
网站被篡改、主机被植入木马、网络仿冒事件、网页恶意代码事件、僵尸网络。
其中,网络仿冒事件危害力极大。
在美国,2008年因域名仿冒等网络钓鱼造成的损失大约是40亿美元,并以25%的速度递增。
2008年12月份中国互联网调查报告表明,只有27.6%的网民认为在网上进行交易是安全的。
因此,对各种网络攻击行为所共有的关键特征进行分析、提取,并根据其不同特点进行分类、并提出相对应的防范方法对于人们认识、防范网络攻击具有重要意义。
1攻击的目标与分类
1.1攻击者
攻击者包括操作员、程序员、数据录入员、内部用户和外部用户,主要分为以下六种:
(1)黑客:
攻击的动机与目的是为了表现自己或获取访问权限。
(2)间谍:
攻击的动机与目的是获取情报信息。
(3)恐怖主义者:
攻击的动机与目的是获取恐怖主义集团的利益。
(4)公司职员:
攻击的动机与目的是获取经济利益。
(5)职业犯罪分子:
攻击的动机与目的是获取个人利益。
(6)破坏者:
攻击的动机与目的是破坏目标网络和系统。
1.2攻击目标
攻击者为了达到物理破坏、信息破坏、数据欺骗、窃取服务、浏览和窃取信息等目的,一定要访问目标网络和系统,包括合法访问和非法访问。
一般的,攻击过程主要依赖于设计弱点、实现弱点和配置弱点,非法访问和使用目标网络的资源,即未授权访问或未授权使用目标系统的资源。
(1)破坏信息:
删除或修改系统中存储的信息或者网络中传送的信息。
(2)窃取信息:
窃取或公布敏感信息。
(3)窃取服务:
未授权使用计算机或网络服务。
(4)拒绝服务:
干扰系统和网络的正常服务,降低系统和网络的性能,甚至使系统和网络崩溃。
1.3攻击分类
根据主动攻击与被动攻击的分类,将网络攻击分为以下四类。
(1)中断:
中断发送方与接收方之间的通信。
(2)拦截:
作为第三者,截获或者侦听通信内容。
(3)篡改:
攻击者截断通信,将截获的数据更改之后再交付给接收者,接收者认为篡改后的信息就是发送者的原始信息。
(4)伪造:
攻击者伪造信息,将其以原始发送者的身份发送给接收者。
1.4攻击工具
攻击者通常使用一系列包括攻击策略和方法的攻击工具,对目标网络实施攻击,这些工具如下:
(1)用户命令:
攻击者在命令行状态下或者以图形用户接口方式输入攻击命令。
(2)脚本或程序:
利用脚本或者程序挖掘弱点。
(3)自治主体:
攻击者初始化一个程序或者程序片段,独立执行弱点挖掘和攻击。
(4)工具包:
使用攻击工具软件包,软件包中可能包括进行弱点挖掘、攻击和破坏的多个工具。
(5)分布式工具:
攻击者分发攻击工具到多台主机,通过协作方式执行攻击。
2攻击的基本过程
网络攻击持续的时间有长有短,方法和手段多种多样,达到的效果各异。
经过分析发现,所有成功的攻击过程都大致相似。
所以,可以给网络攻击定义一个通用的模型。
该模型将攻击过程归纳为若干阶段,每个阶段使用不同的方法和工具,实现不同的目标。
各阶段前后呼应,共同实现最终的攻击目标。
网络攻击模型将攻击过程划分为攻击身份和位置隐藏、目标系统信息收集、弱点信息挖掘分析、目标使用权限获取、攻击行为隐蔽、攻击实施、开辟后门、攻击痕迹清除等阶段,如图1所示。
图2.1网络攻击的基本过程
3常见网络攻击技术
3.1针对网络协议展开的攻击
网络协议在设计之初并没有考虑到协议的安全性能,但随着互联网的发展,以及各式各样针对协议的攻击来看,发现一些攻击正是利用了协议的特点。
如以下几种攻击方式:
TCPSYN拒绝服务攻击:
一般情况下,一个TCP连接的建立需要经过三次握手的过程,利用这个过程,一些恶意的攻击者可以进行所谓的TCPSYN拒绝服务攻击:
首先,攻击者向目标计算机发送一个TCPSYN报文;然后,目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应;而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。
因此,目标计算机如果接收到大量的TCPSYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。
ICMP洪水攻击:
正常情况下,为了对网络进行诊断,一些诊断程序比如PING等,会发出ICMP响应请求报文(ICMPECHO),接收计算机接收到ICMPECHO后,会回应一个ICMPECHOReply报文。
而这个过程是需要CPU处理的,有的情况下可能消耗掉大量的资源。
这样如果攻击者向目标计算机发送大量的ICMPECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。
UDP洪水攻击:
原理与ICMP洪水类似,攻击者通过发送大量的UDP报文给目标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。
泪滴攻击:
对于一些大的IP包,需要对其进行分片传送,这是为了迎合链路层的MTU(最大传输单元)的要求。
比如,一个4500字节的IP包,在MTU为1500的链路上传输的时候,就需要分成三个IP包。
在IP报头中有一个偏移字段和一个分片标志(MF),如果MF标志设置为1,则表面这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个IP包中的位置。
例如,对一个4500字节的IP包进行分片(MTU为1500),则三个片断中偏移字段的值依次为:
0,1500,3000。
这样接收端就可以根据这些信息成功的组装该IP包。
如果一个攻击者打破这种正常情况,把偏移字段设置成不正确的值,即可能出现重合或断开
的情况,就可能导致目标操作系统崩溃。
比如,把上述偏移设置为0,1300,3000。
这就是所谓的泪滴攻击。
3.2针对系统漏洞展开攻击
系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式来攻击或控制整个电脑,从而窃取用户电脑中的重要资料和信息,甚至破坏系统。
如WindowsXP默认启动的UPNP服务就存在严重安全漏洞。
UPNP(UniversalPlugandPlay)体系面向无线设备、PC机和智能应用,提供普遍的对等网络连接,在家用信息设备、办公用网络设备间提供TCP/IP连接和Web访问功能,该服务可用于检测和集成UPNP硬件。
UPNP协议存在的安全漏洞,使攻击者可非法获取任何WindowsXP的系统级访问,从而进行攻击,甚至可通过控制多台XP机器发起分布式的攻击。
其次,服务拒绝漏洞:
WindowsXP支持点对点的协议(PPTP),是作为远程访问服务实现的虚拟专用网技术。
在用于控制建立、维护和拆开PPTP连接的代码段中存在未经检查的缓存,导致WindowsXP的实现中存在漏洞。
通过向一台存在该漏洞的服务器发送不正确的PPTP控制数据,攻击者可损坏核心内存并导致系统失效,中断所有系统中正在运行的进程。
该漏洞可攻击任何一台提供PPTP服务的服务器,对于PPTP客户端的工作站,攻击者只需激活PPTP会话即可进行攻击。
相对安全的Linux系统也存在着漏洞如:
LinuxUtil-LinuxLoginPam(权限提升漏洞)util-linux软件包中提供了很多标准UNIX工具,例如login。
它存在一个问题可允许本地用户提升权限。
如果某些用户的login访问受到pam_limits控制的话,就可能导致一些不可预料的结果:
登录的用户可能获取控制台或者系统用户的权限。
3.3其它攻击方式
WWW的欺骗技术:
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻、咨询产品价格、订阅报纸、电子商务等。
然而一些用户可能不会想到有这些问题存在:
正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!
例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以获得一些如帐号、密码等信息。
电子邮件攻击:
电子邮件攻击主要表现为两种方式。
一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,是指用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者还会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员貌似相同),这类欺骗只要用户提高警惕,一般危害性不是太大。
放置特洛伊木马程序:
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。
当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。
黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制计算机的目的。
4常见网络攻击及防范技术
网络攻击技术多种多样,各种攻击工具都使用了一种或者综合使用多种攻击技术。
下面简单介绍常见的网络攻击技术及其防范。
4.1网络欺骗
网络欺骗(Spoofing)是指攻击者通过伪造自己在网络上的身份,得到目标主机或者网络的访问权限。
在TCP/IP协议中,数据包的一些域具有特定的含义。
例如,IP包的哪个域表示数据的来源、哪个域表示目标,邮件的哪个域表示邮件地址等,都有固定的结构。
通过底层网络编程技术,可以方便地伪造任意内容的网络数据包,因此网络上的主机都面临着被欺骗的威胁。
在实际攻击过程中,网络欺骗通常作为一种进攻手段,用于获得目标主机的信任,然后再利用这种信任关系对其实施攻击。
常见的网络欺骗技术有IP欺骗、电子邮件欺骗、Web欺骗和ARP欺骗。
(1)IP欺骗是指使用虚假的IP地址来达到欺骗的目的。
改变IP地址。
这是攻击者首选的欺骗方式之一,攻击者修改数据包的源IP地址,伪装成被假冒者机器的IP地址,如图4.1所示。
攻击者改变数据包源地址的主要目的是隐藏攻击的来源,一方面,即使攻击行为被对方发现,也不能根据IP地址找到攻击的来源,从而攻击者可以逃避制裁和惩罚。
另一方面,如果目标系统中存在以IP地址作为鉴别标准的授权行为,则攻击者可以获得被假冒方的权限。
修改数据包的IP地址需通过低层的网络编程实现。
发送信息
返回信息
图4.1改变IP地址欺骗
源路由欺骗。
如果只改变数据包的源IP地址,那么目标主机的应答回到被假冒的地址上,攻击者不能得到应答。
攻击者如果想了解会话情况,必须保证自己插入到应答经过的网络通路上。
攻击者使用TCP/IP协议提供的一种机制(源路由选项),并把自己的IP地址置于所指定的地址序列清单中。
当目标端回应时,数据包返回到假冒的IP地址处,但它会经过攻击者的机器,这样可以保证攻击者得到应答数据包。
针对IP欺骗攻击的防范措施有以下几种。
抛弃基于地址的信任策略,阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。
不允许r类远程调用命令的使用;删除.rhosts文件;清空/etc/hosts.equiv文件。
这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。
使用加密方法在包发送到网络上之前,我们可以对它进行加密。
虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性、真实性和保密性。
可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。
而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。
有一点要注意,路由器虽然可以封锁试图到达内部网络的特定类型的包。
但它们也是通过分析测试源地址来实现操作的。
因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若你的网络存在外部可信任主机,那么路由器将无法防止别人冒充这些主机进行IP欺骗。
(2)电子邮件欺骗,攻击者使用电子邮件进行欺骗有三个目的。
第一,隐藏自己的身份。
第二,通过假冒电子邮件地址使自己看起来像某个其他人。
第三,社会工程的一种表现形式,获取想要的信息。
例如,如果攻击者想让用户发给他一份敏感文件,攻击者可以伪装其他的邮件地址,使用户认为这是老板或者管理员的要求,从而按要求发送信息。
相似的电子邮件地址。
假冒一个相似的邮件地址发送邮件,如Iiuchang@与1iuchang@163.com,因为邮件地址似乎是正确的,所以收信人很可能会回复它,这样攻击者就会得到想要的信息。
针对电子邮件欺骗可以采用修改邮件客户软件的方法防范。
当发出电子邮件时,没有对发件人地址进行验证或者确认,因此他能够指定他希望出现在发件人中的任意地址。
当用户回信时,答复回到真实的地址,而不是回到被盗用了地址的人那里。
(3)Web欺骗,网站通常是各种目的攻击者的主要攻击目标,而Web欺骗是网站面临的一种主要攻击。
网站欺骗分两大类,一类是加密他人的网站、使用URL重写技术隐藏真正的网站地址,欺骗网站的浏览者,另一类是使用匿名代理技术浏览网站,欺骗网站服务的提供者,而中间人攻击则可以达到欺骗双方的目的。
基本的网站欺骗,目前在互联网上注册一个域名没有严格的审查,攻击者可以抢先或特别设计注册一个非常类似的有欺骗性的站点。
当用户浏览了这个假冒地址,并与站点作了一些信息交流,如填写了一些表单之后,站点会给出一些响应式的提示和回答,同时记录下用户的信息。
典型的例子是假冒金融机构的网站,偷盗客户的信用卡、银行卡等信息。
例如,中国工商银行网站为“”,有人注册了网站“”。
这种欺骗方式被专家定义为网络陷阱程序,也称为网络钓鱼程序(phishing),多以欺骗用户信用卡号、银行账号、股票信息等获取经济利益为目的。
防止基本的网站欺骗的最好办法是:
使用站点服务器认证。
由于服务器认证是服务器向客户提供的一个有效证书,它能证明谁是谁,可以把证书看作服务器的一张身份证。
服务器认证不容易被欺骗而且提供了较高级别的保护,确保正在连接的站点是真正属于用户所期待的站点。
中间人攻击,攻击者找到一个位置,使进出受害方的所有流量都经过他。
攻击者通过某种方法把目标机器的域名对应的IP更改为攻击者所控制的机器,这样所有外界对目标机器的请求将涌向攻击者的机器,这时攻击者可以转发所有的请求到目标机器,让目标机器进行处理,再把处理结果发回到发出请求的客户机。
实际上,中间人攻击是把攻击者的机器设成目标机器的代理服务器,收集大量的信息。
URL重写是指修改(或重写)Web内容中的URL,比如指向与原始URL不同位置的结果URL。
在URL重写中,攻击者通过改写URL能够把网络流量转到攻击者控制的另一个站点上,因而所有信息便处于攻击者的监视之中。
(4)ARP欺骗是一种典型的中间人攻击方法,如图4.2所示。
正常情况下,当A与B需要通信时,A发送ARPRequest询问B的MAC地址,B发送ARPReply告诉A自己的MAC地址。
我是B我是A
Haeker
4.2ARP欺骗
ARP欺骗是Hacker发送伪装的ARPReply告诉A,计算机B的MAC地址是Hacker计算机的MAC地址。
Hacker发送伪装的ARPReply告诉B,计算机A的MAC地址是Hacker计算机的MAC地址。
这样A与B之间的通信都将先经过Hacker,然后由Hacker进行转发。
于是Hacker可以捕获到所有A与B之间的数据传输(如用户名和密码)。
针对ARP欺骗攻击有以下防范措施:
ARP双向绑定。
单纯依靠IP或MAC来建立信任关系是不安全的,理想的安全关系是建立在IP+MAC的基础上。
设置静态的IP/MAC对应表,不要让主机动态刷新你设定好的转换表。
并进行ARP双向绑定,所谓“双向绑定”就是在网关上绑定客户机的IP地址和MAC地址,同时,在客户机上也绑定网关的IP地址和MAC地址。
具体实现方法如下:
首先,需要在本地主机上使用命令“arps网关IP地址网关MAC地址”来绑定网关的IP地址和MAC地址;其次,要在内网交换机端口上绑定内部合法主机的MAC地址和IP地址:
Switch>enable//进入交换机特权模式
Switch#configterminal//进入交换机全局配置模式
Switch(config)#interfacefa0/1//进入接口配置模式
Switch(config-if)#switchportport-security//配置端口安全功能
Switch(config-if)#switchportport-securitymac-addressMAC(主机的MAC地址)ip-addressIP(绑定的IP地址)//配置该端口的安全MAC地址和绑定的IP地址。
这样,只有这台主机可以通过端口1使用网络,如果其他PC想通过这个端口使用网络,必须对交换机的此项设置进行修改。
双向绑定方法适合于机器数量较少且不经常更换的地方,如:
网吧、学校机房等。
而对于大型局域网则不适用,因为需要完成大量的配置任务,工作量太大,不容易实施。
建立DHCP服务器,为了在网络中方便对客户机的IP地址进行有效管理,而不需要一个一个手动指定IP地址,通常用DHCP(DynamicHostCon-figureProtocol,动态主机配置协议)让客户机自动获取动态IP地址。
因为ARP欺骗攻击一般总是先攻击网关,将DHCP服务器建立在网关上,利用DHCPSnooping技术建立和维护DHCPSnooping绑定表,过滤不可信任的DHCP信息。
DHCPSnooping开启后,主机将向DHCP服务器发送DHCPREQUEST广播包,DHCP服务器将返回一个DHCPACK单播包,这些报文都要通过DHCPSnooping的监听,交换机会自动将主机所在端口以及主机的MAC地址和DHCP服务器分配给主机的IP地址保存在一个动态表中,并形成动态绑定关系。
同时,启用ARPinspection功能,即对ARP报文的检测。
只有符合DHCPSnooping动态绑定表中绑定关系的主机才能发送和接收ARP报文,否则过滤掉,以达到防止ARP欺骗的目的。
划分安全区域,一般情况下,ARP广播包是不能跨子网或者网段传播的,也就是说子网、网段可以隔离广播包。
一个VLAN就是一个逻辑广播域,通过VLAN技术可以在局域网中创建多个子网,就在局域网中隔离了广播,缩小了广播范围,也就减小了广播风暴的产生几率。
局域网的网络管理员可根据网络的拓扑结构,具体规划出若干个VLAN,当管理员发现有非法用户在恶意利用ARP攻击网络,或因合法用户受ARP病毒感染而影响网络时,网络管理员可利用技术手段首先查找到该用户所在的交换机端口,然后将该端口划一个单独的VLAN将该用户与其他用户进行物理隔离,以避免对其他用户产生影响。
划分安全域的方法能在一定程度上有效缓解ARP攻击的传播,但缺点是:
安全域划分太细会使局域网的管理和资源共享不方便。
4.2网络扫描
扫描器(Scanner)是一种自动检测远程或本地主机安全性弱点的程序。
扫描器通过发送特定的网络数据包,记录目标主机的应答消息,从而可以收集关于目标主机的各种信息或者测试主机的性能。
扫描器也是一把双刃剑,可以作为安全管理人员检查、测试主机和网络安全性的工具,帮助管理员发现问题,防患于未然。
另一方面,有恶意目的的人员利用扫描器收集主机和网络的信息,发掘其中的脆弱点,为攻击做准备。
(1)网络诊断命令,对目标系统进行扫描可以手动进行,也可以使用扫描工具自动进行。
在手动进行扫描时,需要熟悉各种网络命令,并对命令执行后的输出进行分析。
用扫描工具进行扫描时,工具本身一般都提供数据分析的功能。
ping命令。
Ping命令经常用来对TCP/IP网络进行诊断。
通过向目标计算机发送一个ICMPechorequest数据包,目标计算机收到后发送ICMPechoreply数据包,如果能够收到reply数据包,就说明网络能够连通。
通过ping命令,不仅可以判断目标计算机是否正在运行,还可以了解网络的大致延时。
(2)端口扫描,端口是传输层的TCP和UDP协议与上层应用程序之间的接口点。
攻击者可以利用每一个端口作为入侵系统的通道。
端口扫描就是通过向目标主机的指定端口发送数据包,根据目标端口的反应确定哪些端口是开放的。
此外,还可以根据端口返回的旗标(banners)信息进一步判断端口上运行的服务类型,以及对应软件版本甚至操作系统类型。
(3)脆弱性扫描,脆弱性扫描是检测远程或本地主机系统脆弱性的技术,它通过获取主机信息或者与主机的TCP/IP端口建立连接并请求服务,记录目标主机的应答,从而发现主机或网络内在的安全弱点。
由于它把繁琐的安全检测过程通过程序自动完成,不仅减轻了管理者的工作,还缩短了检测时问,因而成为网络管理的重要手段和工具。
(4)扫描的防范,攻击者对潜在的目标进行扫描一般是攻击的前奏。
扫描能获取系统信息,发掘系统存在的脆弱性。
为了降低被攻击的风险,应该从以下几方面对扫描进行防范。
修正系统和网络,使其暴露尽可能少的信息。
例如,修改系统和服务器的旗标信息,许多服务软件都提供了这个功能,可以定制系统和服务器返回给客户端的提示信息;修正系统或者网络,减少其脆弱性,比如关闭不必要的网络服务,给系统和软件及时打补丁等;入侵检测系统一般能发现正在进行的扫描,所以应该安装网络入侵检测系统或主机入侵检测系统,对于发现的扫描行为,要及时处理,避免攻击者的进一步行动;扫描器也是安全管理的助手,作为网络管理员和主机用户,应该时常对自己管理的网络和系统进行扫描,提前发现问题,防患于未然。
4.3拒绝服务
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使
升级会员 