网络入侵与防范研究.docx
《网络入侵与防范研究.docx》由会员分享,可在线阅读,更多相关《网络入侵与防范研究.docx(25页珍藏版)》请在冰豆网上搜索。
网络入侵与防范研究
摘要
文中首先论述介绍了之所以需要着重加强网络安全的国际和国内背景。
对当今网络世界中频繁发生的网络入侵行为进行了系统分析并将常见的入侵方法分为六大类,分析了每一类网络攻击的原理和步骤同时列举了一些普遍但很具代表性的实例。
从而指出了现有网络协议和系统的一些安全漏洞为制定相应的安全防护策略提供了参考。
然后简要介绍了计算机病毒的构成、分类、特点、传染途径和危害。
最后具体设计了一个用C语言实现的简单病毒。
关键词:
网络入侵、计算机病毒、c语言病毒代码
Abstract
Thepaperfirstdiscusseswhyintroducedtoenhancenetworksecurityneedtofocusoninternationalanddomesticcontext.Conductedasystematicanalysistotoday'sonlineworldofnetworkintrusionsandcommonmethodsaredividedintosixmajorcategoriesofintrusion.Thenanalysisoftheprinciplesofeachtypeofnetworkattacksandthesteps,alsosomecommonexamplesarelisted.Sothattheexistingnetworkprotocolsandsystemsforthedevelopmentofanumberofsecurityholessecuritystrategyappropriatetoprovideareference.Thenbrieflydescribesacomputervirusstructure,classification,characteristics,modeoftransmissionandharm.Finally,IdesignasimpleviruswithClanguage.
Keywords:
networkintrusion、computervirus、Clanguageviruscode
朗读
显示对应的拉丁字符的拼音
字典
1.名词
1.summary
2.abstract
朗读
显示对应的拉丁字符的拼音
字典
1.名词
1.summary
2.abstract
目录
1.引言1
2.网络入侵及分类1
2.1网络入侵的方法1
2.2网络入侵的分类2
2.2.1入侵攻击2
2.2.2欺骗攻击3
2.2.3会话劫持3
2.2.4缓冲区溢出攻击4
2.2.5保留访问权限4
2.2.6隐藏踪迹4
2.3网络入侵的防范及常用技术5
2.3.1加强内部网络管理人员以及使用人员的安全意识5
2.3.2网络防火墙技术5
2.3.3安全加密技术6
2.3.4网络主机的操作系统安全和物理安全措施6
第三章计算机病毒简介6
3.1计算机病毒的构成及分类6
3.2计算机病毒的特点及传染途径7
3.3计算机病毒的危害8
第四章传染C文件源码病毒及解毒程序设计实现8
4.1程序设计思路和分析8
4.1.1病毒程序VIRUS.C8
4.2程序流程图10
4.3其中用到的函数和结构体的说明11
4.4程序主体13
结论17
参考文献:
17
致谢18
1.引言
随着计算机网络在人类生活各个领域的广泛应用,网络安全问题越来越引起世界各国的严密关注。
不断出现的网络非法入侵,重要资料被窃取,网络系统瘫痪等严重问题,网络,应用程序的安全漏洞越来越多,各种病毒泛滥,已经给各个国家以及众多商业公司造成重大损失甚至危害到国家安全。
加强网络安全管理已经刻不容缓。
要阻止网络攻击,必须要先了解网络攻击,掌握网络攻击的机制和方法从而弥补攻击造成的错误,减少被再次攻击的可能性、制定出相应的应对策略。
本文对网络入侵行为进行了系统分析,并将常见的入侵方法分为六大类,分析了每一类网络攻击的原理和步骤,同时列举了一些很具代表性的实例。
从而指出了现有网络协议和系统的一些安全漏洞,进一步强调了网络安全的重要性。
2.网络入侵及分类
2.1网络入侵的方法
网络入侵是指网络攻击者利用目前网络通信协议自身存在的或因配置不当而产生的安全漏洞、用户使用系统的内在缺陷、用户使用的程序语言本身所具有的安全隐患等,通过使用网络命令或者从Internet上下载的专用软件非法进入本地或远程用户主机系统,获得、修改、删除用户系统信息以及在用户系统信息上增加垃圾或有害信息等一系列过程的总称。
要研究网络入侵就必须深入了解入侵的方法,一般来说黑客入侵要经过三个阶段:
准备阶段、实施阶段、善后阶段。
准备阶段:
首先要确定攻击的目的,一般有两种:
第一,使攻击目标不能正常工作。
比如发出超量的服务请求,使其忙于应付,无法完成其他任务,从而达到目的。
第二,入侵攻击目标。
例如,攻击者对密码解密后,盗取企业的账目;在目标系统中植入木马程序,对之进行监控。
实施阶段:
这是真正的攻击阶段,如果目标计算机有密码保护,黑客就会破解密码。
如果目标系统提供了资源共享,那么黑客连密码也不用破解就可以长驱直入。
当然大多数攻击成功还是利用系统本身的漏洞一般来说是利用了缓冲区溢出漏洞来获得非法权限。
获得一定的权限后,黑客的最终目的是获得目标系统的最高权限,这样就可以做诸如网络监听、打扫痕迹之类的事情。
善后处理阶段:
黑客的所有活动一般都会被系统日志记录在案,所以要对系统的日志进行修改,以免被系统管理员及时发现。
网络入侵者的目标各不相同,但是不管他们有那种类型的目标,采用的攻击手段和过程却具有一定的共性。
一般网络入侵者的攻击大体有如下儿个步骤:
第一,调查、收集和判断目标系统计算机网络拓扑结构以及其它信息。
第二,对目标计算机系统的安全的脆弱性进行探测和分析。
第三,对目标系统实施攻击。
2.2网络入侵的分类
网络入侵大体可分为入侵攻击、欺骗攻击、会话劫持攻击、缓冲区溢出攻击、保留访问权限、隐藏踪迹这六大类。
2.2.1入侵攻击
入侵攻击主要有拒绝服务攻击和口令攻击两大类。
(1)拒绝服务攻击
拒绝服务攻击(DenialofService,DOS)是一种最悠久也是最常见的攻击形式。
严格来说,拒绝服务攻击并不是某一种具体的攻击方式,而是攻击所表现出来的结果,最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务,甚至导致物理上的瘫痪或崩溃。
具体的操作方法可以是多种多样的,可以是单一的手段,也可以是多种方式的组合利用,其结果都是一样的,即合法的用户无法访问所需信息。
通常拒绝服务攻击可以分为两种类型:
第一种是使一个系统或网络瘫痪。
如果攻击者发送一些非法的数据或数据包,就可以使得系统死机或重新启动。
本质上是攻击者进行了一次拒绝服务攻击,因为没有人能够使用资源。
以攻击者的角度来看,攻击的简单之处在于可以只发送少量的数据包就使一个系统无法访问。
在大多数情况下,系统重新上线需要管理员的干预,重新启动或关闭系统。
所以这种攻击是最具破坏力的,因为做一点点就可以破坏,而修复却需要人的干预。
第二种是向系统或网络发送大量信息,使系统或网络不能响应。
进行这种攻击时,攻击者必须连续地向系统发送数据包。
比如Smurf攻击即洪水ping攻击,该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。
子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机无法响应从而拒绝其他服务。
(2)口令攻击
攻击者攻击目标时常常把破解用户口令作为攻击的开始。
只要攻击者能猜测或者确定用户的口令,他就能获得机器或者网络的访问权限,并能访问到用户能访问的任何资源。
如果这个用户有域管理员或root用户权限,这是及其危险的。
这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。
获得普通用户账号的方法很多,如:
(1)利用主机的Finger功能:
当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;
(2)利用目标主机的X.500服务:
有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;
(3)从电子邮件地址中收集:
有些用户电子邮件地址常会透露其在目标主机上的账号;查看主机是否有习惯性的账号:
有经验的用户都知道,很多系统会使用一些习惯性的账号,造成账号的泄露。
2.2.2欺骗攻击
欺骗攻击的类型如下:
IP欺骗:
攻击者使用其他计算机的IP地址来获得信息或者得到特权。
电子信件欺骗:
电子信件的发送方地址欺骗。
比如说,电子信件看上去是来自MIKE,但事实上MIKE没有发信,是冒充MIKE的人发的信。
WEB欺骗:
越来越多的电子商务使用互联网。
为了利用网站做电子商务,人们不得不被鉴别并被授权来得到信任。
在任何实体必须被信任的时候,欺骗的机会就出现了。
非技术类欺骗:
这些类型的攻击是把精力集中在攻击的人力因素上。
它需要通过社会工程技术来实现。
2.2.3会话劫持
会话劫持(SessionHijack)是一种结合了嗅探以及欺骗技术在内的攻击乎段。
广义上说,会话劫持就是在一次正常的通信过程中,黑客作为第三方参与到其中,或者是在数据流(例如基于TCP的会话)里注射额外的信息,或者是将双方的通信模式暗中改变,即从直接联系变成有黑客联系。
会话劫持攻击利用了TCP/IP工作原理来实现的。
它可以对基于TCP的任何应用发起攻击,如HTTP,FTP,Telnet等。
对于攻击者来说,所必须要做的就是窥探到正在进行TCP通信的两台主机之间传送的报文,这样攻击者就可以得知其中一台主机对将要收到的下一个TCP报文段中seq和ackseq值。
攻击者根据所截获的信息向该主机发出一个带有净荷的TCP报文,如果该主机先收到攻击报文,就可以把合法的TCP会话建立在攻击主机与被攻击主机之间。
带有净荷的攻击报文能够使被攻击主机对下一个要收到的TCP报文中的确认序号(ackseq)的值发生变化,从而使另一台合法的主机向被攻击主机发出的报文被攻击主机拒绝。
TCP会话劫持攻击方式的特点在于使攻击者避开了被攻击主机对访问者的身份验证和安全认证,从而使攻击者直接进入对被攻击主机的访问状态,因此对系统安全构成的威胁比较严重。
2.2.4缓冲区溢出攻击
缓冲区溢出(又称堆栈溢出)攻击已成为最常用的黑客技术之一。
缓冲区溢出源于每个程序运行的需要:
放置数据的空间。
多数计算机程序都在内存中创建多个地址用于信息存储。
当程序写入超过缓冲区的边界时,这就是所谓的“缓冲区溢出”。
发生缓冲区溢出时,会覆盖下一个相邻的内存块,从而会潜在地修改碰巧分配在缓冲区附近的任何数据。
一般情况下,覆盖其他数据区的数据最多造成应用程序错误。
但是,如果输入的数据是经过黑客精心设计的,而覆盖缓冲区的数据恰恰是黑客的入侵程序代码,黑客就获取了程序的控制权。
此外,攻击者利用缓冲区溢出得到机器上的交互式会话(shell)。
如果被利用的程序以较高的优先权在运行(如root用户或管理员),则攻击者就会在交互式会话中得到优先权。
2.2.5保留访问权限
(1)后门
在大多数情况下,攻击者入侵一个系统后,他可能还想在适当的时候再次进入系统。
很容易想到的方法就是在这个己经被入侵的系统中留一个后门。
后门(backdoor)就是攻击者再次进入网络或系统而不被发现的隐蔽通道。
最简单的方法就是打开一个被端口监听代理所监听的端口,有很多软件可以做到这一点。
(2)特洛伊木马
当获得了系统的存储权时,建立后门是相当容易的,但是在没有完全获得对系统的存取权限时,一般可以通过使用特洛伊木马来实现。
特洛伊木马程序包括两个部分:
一个外壳程序和一个内核程序。
外壳程序就是每个人都可以看得到的部分。
这部分必须是非常有趣或者是让人激动的,以至于当人们看到它的是时候都会不加考虑的运行。
内核部分就是能够对系统造成危害的部分。
其功能非常强大儿乎可以做任何事情。
比如进行攻击、删除硬件设备、建立后门等。
对于大多数特洛伊木马程序来说,内核程序的功能就是在受攻击的系统中建立后门。
2.2.6隐藏踪迹
当黑客成功获取了存取权限且完成了自己的预定目标后,他还需要隐藏攻击踪迹。
这其中包括重新进入系统,将所有能够表明他曾经来过的证据隐藏起来。
为达到这个目的,有四个方面的工作要做:
(1)日志文件:
大多数系统都是通过记录日志文件来检测是谁进入过系统并且停留了多长时间。
根据日志文件所设置的级别不同,还可以发现他们做了些什么,对哪些文件进行了操作。
(2)文件信息:
为了获得系统的存取权限和在系统中建立后门,攻击者通常必须对某些系统文件进行修改。
当他们这样做后,文件的一些信息,比如说修改时间和文件长度就会发生变化,通过这些也可以确定系统是否曾经遭受过攻击。
(3)另外的信息:
在很多情况下,黑客为了达到进入系统获取权限目的,必须另外上传或者安装一些文件。
这些用来隐藏踪迹或者用来对别的站点进行新攻击的文件通常会占用一定的磁盘空问。
系统管理员可以通过磁盘空余空间的检查来确定是否发生过攻击。
(4)网络通信流量:
当黑客对某个系统进行攻击时,大多数情况下是通过网络进行的。
这也意味着攻击者必须对自己在网络上留下的痕迹进行清除。
2.3网络入侵的防范及常用技术
2.3.1加强内部网络管理人员以及使用人员的安全意识
很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。
网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。
好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它与操作系统及其它安全措施紧密地结合在一起.成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。
当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
2.3.2网络防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的持殊网络互联设备。
它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:
无法防范通过防火墙以外的其它途径的攻击。
不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
2.3.3安全加密技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。
对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。
不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
2.3.4网络主机的操作系统安全和物理安全措施
防火墙作为网络的第一道防线并不能完全保护内部网络,结合其它的措施才能提高系统的安全水平。
在防火墙之后是基于网络主机的操作系统和物理安全措施。
按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。
这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。
系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。
在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构构成的整体安全检查和反应措施。
它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络,作为输入提供给入侵检测子系统。
入侵检测子系统根据一定的规则判断是否有入侵事件发生。
如果有入侵发生.则启动应急处理措施,并产生警告信息。
而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源.
第三章计算机病毒简介
3.1计算机病毒的构成及分类
微机系统的计算机病毒按传染方式分为以下三大类:
(1)引导型计算机病毒是指既传染磁盘主引导区,又传染DOS的BOOT区的计算机病毒。
就一般而言,引导型的计算机病毒出现的传染情况如下:
硬盘BOOT区引导程序;软盘BOOT区引导程序;硬盘分区表(主引导程序)。
(2)文件型计算机病毒。
一般传染磁盘上的可执行文件(exe,com)。
在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。
其特点是附着于正常程序文件,成为程序文件的一个外壳或部件。
这是较为常见的传染方式。
(3)混和型计算机病毒。
混和型计算机病毒是指既传染磁盘的引导区.又传染一可执行文件的计算机病毒。
计算机病毒的构成:
计算机病毒是多种多样的,不同类型病毒采用的机制和组成虽然是千奇百怪,但其主要组成部分是相同的。
它应该由传染模块和表现及破坏模块组成。
每个模块又由两个程序段组成:
传染条件判断段和实施段。
3.2计算机病毒的特点及传染途径
计算机病毒的特点:
(1)刻意编写人为破坏。
计算机病毒不是偶然发生的,而是人为编写的有意破坏、严谨精巧的程序段,它是广格组织的程序代码,一与所在环境相互适应并紧配合。
编写病毒的动机一般有一下几种情况:
为了表现自己和证明自己,处于对上级的不满,出于好奇的“恶作剧”,为了报复,为了纪念某一事件等。
(2)自我复制能力。
自我复制也称再生或传染。
再生机制是判断该程序是不是病毒的重要依据。
这一特点与生物病毒也最为相似。
在一定条件下计算机病毒通过某种渠道从一个文件或一台计算机传染到另外没有感染的文件或计算机,轻则造成被感染的计算机数据被破坏或工作失常,重则使计算机瘫痪。
(3)夺取系统控制权。
当计算机在正常程序控制之下运行时,.系统运行是稳定的。
在这台计算机上可以查看病毒文件的名字,查看或扫印计算机病毒代码,甚至复制病毒文件,系统都不会激活并感染病毒。
病毒为了完成感染、破坏系统的目的必然要取得系统的控制权。
这是计算机病毒的另外一大特点。
(4)隐蔽性。
不经过程序代码分析或计算机病毒扫描,病毒程序与正常程序不易区别开。
在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时问内大量传染。
传染后,一般计算机系统仍然能够运行且被感染的程序也能执行,用户不会感到明显的异常,这便是计算机病毒的隐蔽性。
(5)潜伏性。
大部分病毒在感染系统后一般不会马上发作,它可长期隐藏在系统中,除了传染外,不表现出破坏性,这样的状态可能保持几天,几个月甚至几年,只有在满足其特定条件后才能启动其表现模块,显示发作信息或进行系统破坏。
使计算机病毒发作的触发条件主要有以下几种:
利用系统时钟提供的时问作为触发器,这种触发机制被大量病毒使用;利用病毒体自带的计数器作为触发器;利用计算机内执行的某些特定操作作为触发器。
计算机病毒的常见传染途径:
(1)通过软盘:
通过使用外界被感染的软盘,例如,不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。
由于使用带有病毒的软盘,使机器感染病毒发病,并传染给未被感染的“干净”的软盘。
大量的软盘交换,合法或非法的程序拷贝,不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。
(2)通过硬盘:
通过硬盘传染也是重要的渠道,由于带有病毒机器移到其它地方使用、维修等,将干净的软盘传染并再扩散。
(3)通过网络:
这种传染扩散极快,能在很短时间内传遍网络上的机器。
3.3计算机病毒的危害
在计算机病毒出现的初期,说到计算机病毒的危害,往往注重于病毒对信息系统的直接破坏作用,比如格式化硬盘、删除文件数据等,并以此来区分恶性病毒和良性病毒。
其实这些只是病毒劣迹的一部分,随着计算机应用的发展,人们深刻地认识到凡是病毒都可能对计算机信息系统造成严重的破坏。
计算机病毒的主要危害有:
(1)病毒激发对计算机数据信息的直接破坏作用。
部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMOS设置等。
(2)占用磁盘空间和对信息的破坏,寄生在磁盘上的病毒总要非法占用一部分磁盘空间,就造成磁盘空问的严重浪费。
(3)抢占系统资源。
大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。
(4)影响计算机运行速度。
病毒在进行传染时同样要插入非法的额外操作特别是传染软盘时不但计算机速度明显变慢而且软盘正常的读写顺序被于打乱。
(5)计算机病毒往往给用户造成很大的心里压力。
大多数用户对病毒采取宁可信其有的态度,这对于保护计算机安全无疑是十分必要的然而往往要付出时间、金钱等方面的代价。
仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。
第四章传染C文件源码病毒及解毒程序设计实现
4.1程序设计思路和分析
4.1.1病毒程序VIRUS.C
本文用C语言编辑了一个病毒程序,当激发病毒程序时显示时间,然后返回。
病毒程序VIRUS.C一将个病毒传染给一个C语言程序。
当被病毒感染的程序经编译、连接和执行后,又可以将病毒部分传染给其他的C语言源程序。
每执行一次带有病毒的C语言程序,就向C语言源程序传播一次病毒。
此程序的设计思路如下:
当含有病毒部分的程序被执行时,首先进入病毒程序。
它在磁盘上找扩展名为C的匹配文件,如果找到,查找是否有被传染过的标志“INFECTED”。
如果有此标志,继续找其它的C文件,直至全部检查一遍。
若没有这个标志则:
(1)在未被感染的C程序头部加入“INFECTED”已被传染标志。
(2)读取病毒文件的头文件并将其插入到即将被感染的文件头部。
如果发现有重复则不插入。
(3)在主程序中插入“VIRUSES();”调用VIRUSES函数。
寻找prinft、for、while、break语句,如果找到就在之前插入。
(4)在文件尾部插入VIRUSES_SUB子程序。
(5)在插入到将感染文件里面的VIRUSES_SUB子程序里,必须把文件名改为当前自身的文件名,否则被感染文件经过编译、执行后将不再具有传染能力。
(6)最后插入VIRUSES子程序,这个子程序里调用了VIRUSES_SUB,执行到这里返回执行结果信息。
其中用到4个出错的返回值,分别是:
1.用户文件太大,不传染;
2.带病毒文件打不开,不传染;
3.带病毒文件读取不成功,不传染;
4.查找打一个匹配文件不成功。
如果返回值是0则表示传染成功。
具体实现过程如下:
首先导入病毒子程序要用到的三个库文件,分别是dir.h,stido.h,dos.h.在主函数里面只调用VIRUSES函数。
紧跟定义VIRUSES函数里面要调用的VIURS_SUB函数。
里面定义了若干个变量。
ffblk用来保存查找到的匹配文件的信息,用到里面的ff_name变量来保存匹配文件名。
然后定义保存未感染的文件和病毒文件的文件型指针变量,分别用是*virus_r和*vir
升级会员 