网络攻击方法剖析与防卫措施的研究与探讨概要.docx
《网络攻击方法剖析与防卫措施的研究与探讨概要.docx》由会员分享,可在线阅读,更多相关《网络攻击方法剖析与防卫措施的研究与探讨概要.docx(8页珍藏版)》请在冰豆网上搜索。
网络攻击方法剖析与防卫措施的研究与探讨概要
摘要:
网络技术的发展已经给整个社会的科学技术、经济与文化带来了巨大的推动和冲击。
而在实际应用中,网络安全一直面临着巨大的挑战。
一般认为,计算机网络系统的安全威胁主要
来自于黑客。
黑客入侵的结果将造成网络的瘫痪
和巨大的经济损失。
本文分析了黑客攻击常用技术,讨论了相应的防御措施。
关键词:
黑客攻击防御措施
网络攻击
黑客是那些通过不合法的途径进入别人的网络寻找意外满足的人。
黑客网络攻击的实质就是利用被攻击方系统自身存在的安全漏洞,通过使用网络命令和专用软件进入对方网络系统的攻击。
目前黑客网络攻击的类型主要有以下几种:
利用监听嗅探技术获取对方网络上传输的有用信息利用拒绝服务攻击使目标网络暂时或永久性瘫癜利用网络协议上存在的漏洞进行网络攻击;利用系统漏洞(如缓冲区溢出)获得目的主机的控制权;利用网络数据库存在的安全漏洞,获取或破坏对方重要数据;利用计算机病毒传播快、破坏范围广的特性,开发合适的病毒破坏对方网络。
网络黑客的出现使每—个上网的人在遇到政:
i缶的时候不知
所措。
因此,要想更好的保护网络不受黑客的攻击,就必须对黑客的攻击方法、攻击原理有深入的、详细的了解,只有这样才能更有效、更具有针对性的进行主动防护。
缓冲区溢出攻击及其防范措施
缓冲区溢出是最普遍的攻击手段,黑客利用某些程序的设计缺陷,通过缓冲区溢出非法获得某些权限。
简单地说,缓冲区溢出就是向一个有限空间的缓冲区拷贝了过长的字符串,覆盖相邻的存储单元,引起程序运行失败。
因为变量保存在堆栈当中,当发生缓冲区溢出的时候,存储在堆栈中的函数返回地址也会被覆盖,从而破坏程序的堆栈,改变程序的执行流程,使之跳转到攻击代码。
缓冲区溢出对网络系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点:
1.程序指针完整性检查,在程序指针被引用之前检测它是否改变。
2.堆栈的保护,这是一种提供程序指针完整性检查的编译器技术,通过检查函数活动记录中的返回地址来实现。
在堆栈中函数返回地址后面加了一些附加的字节,而在函数返回时,首先检查这个附加的字节是否被改动过。
如果发生过缓冲区溢出的攻击,这种攻击很容易在函数返回前被检测到。
3.数组边界检查,所
■中南民族大学计算机学院周熠
有的对数组的读写操作都应当被检查,以确保对数组的操作在正确的范围内进行。
欺骗攻击及其防范措施
由于TcMP本身有着不安全的地方,即使是很好地实现
了协议,也可以对TcP/IP网络进行攻击。
这些攻击包括IP地址欺骗,DNs欺骗和web欺骗等。
(一)源IP地址欺骗
所谓IP欺骗,无非就是伪造他人的源IP地址,其实质就是让一台机器来扮演另一台机器,借以达到蒙混过关的目的。
m欺骗是利用主机之间的正常信任关系来发动的。
所谓信任关系就是网络上存在两台主机x和Y,Y可以利用远程登录工具,无需口令验证就可以登陆到x主机上,而登陆的基础是x对Y主机P的验证,即x是否对Y提供服务是基于对主机Y的m地址是否信任。
既然x、Y之间的信任关系是基于口地址建立起来的,那么假如能够冒充Y的P地址,就可以登录上x,而不需要任何口令验证,这就是IP欺骗的最根本的理论依据。
要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:
1.抛弃基于地址的信任策略。
阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。
2.使用加密方法。
在包发送到网络上之前对它进行加密。
3.进行包过滤。
可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。
而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。
4.分割序列号空间。
使每—个连接有自己独立的序列号空间,序列号仍然按照以前的方式增加,但是这些序列号空间之间没有明显的关系。
(=)DNS欺骗
DNs服务器中主要存放着计算机的域名和IP相关联的数据库。
DNs服务器在收到传来的网址以后,首先查询本地的数据库,查看数据库中是否有和该网址对应的记录,如果有,就把该网址翻译对应的IP地址返回给具体的通信软件,通信
万方数据
软件通过IP地址就能找到相应的站点,把该站点的内容传到用户的计算机上,用户通过浏览器就能看到相应的信息。
如果没有,DNs服务器便会从这个域名的根域向下查找,一步一步层进式的查出该域名所指向的IP地址。
最后如果还是没有找到,浏览器会告诉用户“DNs
notfoun
dI’,也就是找
不到所要网址的IP地址,因此也就无法访问该网址。
如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样,用户上网时只能看到攻击者的主页,而不是用户想要去的网站的主页了,这就是DNS欺骗的基本原理。
(三)WEB欺骗
web欺骗是一种电子信息欺骗,绝大多数情况下,攻击者在受攻击者和web服务器之间设立自己的web服务器,用户浏览器和真正服务器之间的数据交换并非是直接的,会被攻击者服务器截获并处理,其工作原理就好像是一个过滤器。
这种欺骗对被攻击用户几乎是不知不觉的,因为他们仍然可以自由登录、链接到该网站的所有页面。
对于攻击者而言,在偷偷监视截取信息的同时,也能以受攻击者的名义发送数据到真正的web服务器,包括以服务器名义发送数据给受攻击者。
正常的web访问如图l所示,遭受web欺骗的web访问如图2所示。
图1正常Web访问
图2遭受Web欺骗的访问
攻击者能够监视受攻击者的网络信息,记录他们访问的网页和内容。
当受攻击者填写完一个表单并发送后,这些数据将被传送到web服务器,web服务器将返回必要的信息,但不幸的是,攻击者完全可以截获并加以使用。
由于绝大部分在线公司都是使用表单来完成业务的,这意味着攻击者可以获得用户的帐户和密码。
在得到必要的数据后,攻击者可以通过修改受攻击者和web服务器之间任何一个方向上的数据,来进行某些破坏活动。
实施web髟’骗,政^击者需诱使用户送入攻.击者控制的中间
服务器,攻击者在web服务器需要提供关于某个web站点的错误web页面时,他只需要在自己的服务器上建立—个该站点的
拷贝,而不必存储整个真实服务器站点的内容,然后改写这个拷贝中所有的链接获得真实服务器上的所有页面镜像。
首先,攻击者改写拷贝中所有链接地址(uRL),使它们指向了攻击者的服务器而不是真正的服务器。
假定攻击者所处的web服务器是www.aaa.com,攻击者通过在所有链接前增加www.aaa.com来改写uRL。
例如,abc.def.com将变为www.aaa.corIl,abc.def.com。
当用户点击改写过的abc.def_com,进入的却是www.aaa.com,然后由该中间服务器向abc.def.com发出请求并获得真正的文档,然后改写文档中的所有链接,最后经过www.aaa.com返回给用户的浏览器。
Web攻击者必须设法引诱用户去访问并点击他设定的web陷阱,黑客往往使用下面几种方法:
1.把错误的web连接放到一个热门的web站点上。
2.如果受攻击者使用基于会html的邮件,通过电子邮件发送伪造的web页面给用户。
3.创造错误的web索引指示给搜索引擎。
.4.在网络公共场合散播包含错误链接的网站网址。
为了防止web欺骗,应从下面几个方面预防:
1.禁止浏览器中的Javascript功能,那么各类改写信息将原形毕露;2.确保浏览器的连接状态是可见的,它将提供当前位置的各类
信息;3时刻注意所单击的uRL链接会在位置状态中得到正
确的显示;4.改变浏览器,使之具有反弹真实uRL信息的功能,而不会被蒙蔽;5.对于通过安全连接建立的web——浏览器对话,浏览器还应该告诉用户谁在另一端,而不只是表明一种安全连接的状态。
网络嗅探攻击及防范措施
网络嗅探就是使网络接口接收不属于本主机的数据。
计算机网络通常建立在共享信道上,以太网就是这样一个共享信道的网络,在使用共享式HuB的以太网中,所有通信都是广
播的,即一台主机发给另一台主机的报文,会被发送到共享式HuB,而共享式HuB会将收到的报文发送到它的所有端口。
如图3所示。
图3共享式HUB工作过程
假设主机A要和主机c通信,主机A发出的数据帧送到了HuB上,由HuB向每一个端口广播由主机A发出的数据帧,主机c检查数据帧中的地址,接收到了数据帧,而与HuB相连的所有其他主机的网卡都可能收到该数据帧,条件是共享式
万方数据
网络的主机安装嗅探软件且将网卡设置为混杂模式。
若将HuB用一个switch(交换机)替代,switch内部的单片机程序能记住每个接口的MAc地址,因此,在收到数据帧后,会根据接口的MAc地址准确地将帧发给目的主机,而不会同时发给其他主机,如图4所示。
图4Switch的工作过程主机A发出的数据帧到了Switch,Switch检查数据帧中的目的地址,并从网络地址表中知道应该把数据帧发送到主机c,于是主机c收到从A发来的信息,在此过程中,即使主机B安装了嗅探软件并将网卡设置为混杂模式,也不能嗅探到A、c之间的通信。
然而,在交互式网络环境下,攻击者通过将自己伪造成网关,就能达到攻击的目的。
因为网关是一个网络连接其他网络的接口,所有发往其他网络的报文都必须由网关转发出去,即所有发往其他网络的数据帧的目的MAc地址都指向网关,如果网络上所有主机都将装有嗅探软件的计算机当成网关的话,就能达到嗅探攻击的目的。
为此,攻击者需进行ARP欺骗,ARP是地址转换协议,负责把IP地址转换成对应的MAc地址。
计算机中维护一个ARP高速缓存,其中存储着主机IP地址和MAc地址的映射,这个高速缓存是随着主机不断发出ARP请求和收到ARP应答而不断更新的,一个ARP欺骗过程如图s所示。
其中B是进行嗅探攻击的主机,c是网关,当A要浏览某个网页时,它的请求必定由c转发出去,应答也由c传回。
M^c:
BB是
10D.03
IPIlO,0.0.1
~lACI
A^
IP:
10DDl3~【AC:
CC
图5ARP欺骗及中间人攻击
攻击者向主机A发出—卟ARP应潜,其中目的P:
10.0.o.1,
目的MAC:
AA,源IP:
10.0.0.3,源MAC:
BB,主机A收到了,更新它的ARP缓存,相信IP地址为10.O.o.3的主机的MAc地址是BB,主机A发出浏览某网页命令时,数据包被送到switch,switch查看数据包中的目的地址,发现IP地址为lo.o.o.3的网关的MAc为BB,于是将数据包发到主机B,当然B要窃听到A、c之间的通信而又不被发现,需要
同时欺骗他们双方,并将窃听到的报文发送给网关c,反之亦然。
攻击者在此过程中起到“中间人”的作用,因此也称为“中间人攻击”,在交互式网络上进行嗅探攻击就是一个嗅探加上一个ARP欺骗。
对于网络嗅探攻击,可以采取以下措施进行防范:
1.网络分段。
一个网络段包括一组共享低层设备和线路的机器,如交换机,动态集线器和网桥等设备,可以对数据流进行限制,从而达到防止嗅探的目的。
2.加密。
一方面可以对数据流中的部分重要信息进行加密,另一方面也可只对应用层加密,然而后者将使大部分与网络和操作系统有关的敏感信息
失去保护。
3.一次性口令技术。
口令并不在网络上传输而是在两端进行字符串匹配,客户端利用从服务器上得到的chal—lenge和自身的口令计算出—个新字符串并将之返回给服务器。
在服务器上利用比较算法进行匹配,如果匹配,连接就允许建立,所有的challenge和字符串都只使用一次。
4.禁用杂错节点。
安装不支持杂错的网卡,通常可以防止IBM兼容机进行嗅探。
5.防止ARP欺骗。
可以在关键设备如防火墙和边界路由器上没置静态ARP。
特洛伊木马及其防范措施
(一)木马程序的特征。
一个典型的木马程序通常具有以下四个特征:
1.隐蔽性:
隐蔽性是木马的生命力,也是其首要特征。
木马必须有能力长期潜伏于目标机器中而不被发现。
其隐藏分为真隐藏和假隐藏。
所谓真隐藏就是让程序彻底地消失,不以一个进程或服务的方式工作;假隐藏是指程序的进程仍然存在,只不过让它消失在进程列表中。
2.欺骗性:
木马常常使用名字欺骗技术达到长期隐蔽的目的。
它经常使用常见的文件名或扩展名,或者仿制一些不易被人区别的文件名,或者干脆就借用系统文件中已有的文件名。
3.顽固性:
很多木马的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。
4.危害性:
当木马被植入
目标主机以后,攻击者可以通过客户端强大的控制和破坏力对主机进行操作。
如窃取系统密码,控制系统的运行,进
行有关文件的操作及修改注册表等。
(二)木马程序自动加载检测。
1.在win.ini文件中加载:
在win.ini文件中,在[wINDOwS】下面,“run=”和“load=”是可能加载“木马”程序的途径。
一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是熟悉的启动文件,计算机就可能中了“木马”。
2.在system.illi文件中加载。
在system.ini文件中,在[B00T】下面有个“shell=文件名”。
正确的文件名应该是“explorer.
万方数据
exe”,如果不是“explorer.exe”,而是“shell=explorer.exe程序名”,那么后面跟着的那个程序就是“木马”程序。
3.修改注册表。
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,点击至:
“HKEY—LOCAL—
MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”
目录,查看键值中有没有自己不熟悉的自动启动文件,扩展名为ExE,通过在此目录下找到“木马”程序的文件名,再在整个注册表中搜索即可。
(三)木马清除与预防。
清除木马的基本方法:
1.检查注册表进行手工清除。
找到木马后,先终止该程序在内存中的运行,保证端口没有打开。
在硬盘上删除该文件,再到注册表中去查找包含该文件央名的键值,如果在启动组中找到了就先记下该键值,然后删除。
在注册表的其他很多位置也会启动木马,这样的木马手工清除比较麻烦,只有根据键值找到木马本身,然后再到注册表中去找,找到后删除它。
2.专用杀毒软件
清除。
由于一般I青况下,手动清除木马都要用到注册表,所以
对于一个新手来说比较困难。
现在很多反计算机病毒厂商都把清除木马作为杀毒软件的一项功能。
随着网络的普及,木马的传播也越来越快,而且新的变种层出不穷,我们在检测清除它的同时,更要注意采取措施来预防它。
1.不要执行任何来历不明的软件。
2.不要随意打开邮件附件。
3.重新选择新的客户端软件。
4.将资源管理器配置成始终显示扩展名。
5.尽量少用共享文件夹。
6.运行反木马实时监控程序。
7.经常升级系统。
总结
在全球信息技术高度发达的今天,网络对于许多人来说已经成为工作和生活中必不可少的一部分,它在带给人们极大便利的同时,也带来了一个棘手的问题——黑客和网络安全问题。
由于网络本身的设计缺陷及其开放性,它极易受到黑客攻击,近年来不仅网络病毒更加肆虐的在网上流行,各类网站被黑客攻击的消息也常见,越来越多的人意识到,一些黑客的恶意行为已经成为新的全球公害,必须采取有力措施保护网络免受其害。
俗话说,知己知彼,百战不殆,想要更好的保护自己不受黑客伤害,就必须对黑客技术有一定的了解,所以关于黑客的种种攻击手段,该如何有效具体的防护,还有待我们进一
步的探索和研究。
戆(责编张岩)
安装防病
了吗?
■国家人口和计划生育委员会信息中心
冯方回蔡鹏程
根据《赛门铁克互联网安全威胁报告》,目前,十大最流行的恶意代码中有五个是特洛伊木马。
在赛门铁克蜜罐网络
(honeypotnetwork)检测到的恶意代码中,18%是之前从未发现
过的。
多态型病毒越来越普遍,并且具有自我修正能力,从而使得防病毒软件越来越难以检测和删除病毒。
雪上加霜的是,许多员工不遵守公司定期更新病毒定义的政策。
面对上述困境,企业怎能保护其信息的安全性呢?
问题一:
防病毒程序是反应性预防机制,对于未知病
毒或零日攻击(zero—davattack)无能为力。
解决方法:
为了防御零日攻击和未知恶意代码,早期检测和预防措施是必不可少的。
企业可以采用主动性措施,如使用双向防火墙和操作系统防护。
问题二:
通过漏洞发起攻击的恶意代码会使企业网络瘫
痪或导致业务中断。
解决方法:
为了应对恶意代码(如通过网络或漏洞广为传
播的蠕虫和bot),公司可以利用个人防火墙来防御未授权的访问等。
问题三:
如果员工未定期更新其病
毒定义,或远程机器未安装防火墙……
解决方法:
为了确保端点遵从企业安全策略,企业必须采用自动实施这些策略的措施。
例如,员工在获得内部网的权限之前必须完成病毒定义的更新……在访问和存储敏感信息方面,受管理的端点通常拥有更广泛
的权限,因此需要更强大、更全面的安全措施。
目前,新威胁变化莫测,混合型威胁越来越常见,而不再属于少数例外情况。
因此,仅基于检测已知威胁特征的反应性措施已捉襟见肘。
企业需要基于行为分析的主动性方法来识别某个程序是否进行未授权访问以及是否企图修改系统注册表。
因此,此类机制能够有效阻止未知威胁或零日攻击。
而现在的挑战源于当今风驰电掣般的数据传播速度。
例如,在2003年,slammer病毒感染速率翻了一番,达到8.5秒,在10分钟之内就感染了90%易受攻击的主机。
对于未定期更新病毒定义或补丁程序的端点,或对于未安装防火墙的远程计算机而言,必须自动实施企业安全策略。
所以,我们在信息安全建设过程中,应当加强系统自动补救能力建设,在企业遭受入侵时,可以隔离受感染的主机,将对核心业务的影响降至最低。
IT人员可从系统感染病毒的位置迅速
移除恶意代码并修复系统,从而大大节约IT运营成本。
●
(责编张岩)
万方数据
网络攻击方法剖析与防卫措施的研究与探讨
作者:
周熠
作者单位:
中南民族大学计算机学院刊名:
信息网络安全英文刊名:
NETINFOSECURITY年,卷(期:
2007(9被引用次数:
1次
引证文献(1条
1.宋庆福TCP/IP协议下常见网络攻击技术及其防范[期刊论文]-科技信息(科学·教研)2008(5
本文链接:
升级会员 