网络攻击与防范毕业论文范.docx

1、网络攻击与防范毕业论文范四川师范大学本 科 毕 业 论 文题 目 网络攻击与防范 系部名称 计算机科学系 专 业 软件工程 学 号 XXXXXXXX 学生姓名 XXXXX 指导教师 XXXXXXX 内容摘要 谈到网络安全问题，就没法不谈黑客（Hacker）。黑客是指对计算机某一领域有着深入的理解，并且十分热衷于潜入他人计算机、窃取非公开信息的人。每一个对互联网络的知识十分了解的人，都有可能成为黑客。翻开1998年日本出版的新黑客字典，可以看到上面对黑客的定义是：“喜欢探索软件程序奥秘，并从中增长其个人才干的人。”显然，“黑客”一语原来并没有丝毫的贬义成分，直到后来，少数怀有不良的企图，利用非法

2、手段获得的系统讯问权去闯入运程机器系统、破坏重要数据，或为了自己的私利而制造麻烦的具有恶意行为的人慢慢玷污了“黑客”的名声，“黑客”才逐渐演变成入侵者、破坏者的代名词。目前，“黑客”已成为一个特殊的社会群体，在欧美等国有不少合法的黑客组织，黑客们经常召开黑客技术交流会，另一方面，黑客组织在因特网上利用自己的网站上介绍黑客攻击手段，免费提供各种黑客工具软件、出版网上黑客杂志，这使得普通人也探测容易下载并学会使用一些简单的黑客手段或工具对网络进行某种程序的攻击，进一步恶化了网络安全环境。 本文首先阐述目前计算机网络中存在的安全问题及计算机网络安全的重要性，接着分析黑客网络攻击常见方法及攻击的一般过

3、程，最后分析针对这些攻击的特点采取的防范措施。关键字： 网络安全，DOS，DDOS 攻击，ARP绪 论 1第 一 章 我国网络安全现状 2 第 二 章 黑客进行网络攻击的一般过程 5 1 收集信息 52 系统安全弱点的探测 63 建立模拟环境进行攻击 64 具体实施网络攻击 6第 三 章 网络安全检测与防范 71 网络级安全检测与防范 72 常规安全检测与防范 83 优化路由和网络结构 9第 四 章 常见网络攻击的具体过程及防范的方法 10 （一） DoS与DDoS攻击原理及其防范 10 1Dos攻击原理及方式 10 2 DDos攻击 133 Trinoo攻击软件进行DDos攻击实例 154

4、DoS与DDoS攻击的检测与防范 16（二） ARP攻击原理及其防范 181 ARP攻击原理 182 ARP攻击的主要方式 19 3 ARP攻击的防范 20总 结 22参考文献 23 致 谢 24绪 论 随着计算机网络的发展，网络的开放性、共享性、互连程度随之扩大。特别是Internet的普及，使得商业数字货币、互联网络银行等一些网络新业务的迅速兴起，网络安全问题显得越来越重要。目前造成网络不安全的主要因素是在协议、系统及数据库等的设计上存在缺陷。网络互连一般采用TCP/IP协议，它是一个工业标准的协议簇，但该协议簇在制订之初，对安全问题并没有考虑太多，协议中存在很多的安全漏洞。 对于操作系统

5、，由于目前使用的计算机网络操作系统在本身结构设计和代码设计时偏重于考虑系统的使用方便性，导致了系统在远程访问、权限控制和口令管理及等许多方面存在安全漏洞。同样，数据库管理系统（DBMS）也存在权限管理、数据的安全性及远程访问等许多方面问题，在DBMS或应用程序中能够预先安置从事情报收集、受控激发破坏程序。由上述可见，针对协议、系统及数据库等，无论是其本身的设计缺陷，还是由于人为因素造成的各种漏洞，都可能被一些另有图谋的黑客利用进行网络攻击，因此要保证网络信息的安全，必须熟知黑客网络攻击的一般过程，在此基础上才能制定防范策略，确保网络安全。许多上网的用户对网络安全可能抱着无所谓的态度，认为最多不

6、过是被“黑客”盗用账号，他们往往会认为“安全”只是针对那些大中型企事业单位的，而且黑客与自己无怨无仇，干嘛要攻击自己呢？其实，在一无法纪二无制度的虚拟网络世界中，现实生活中所有的阴险和卑鄙都表现得一览无余，在这样的信息时代里，几乎每个人都面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题，那些平时不注意安全的人，往往在受到安全方面的攻击时，付出惨重的代价时才会后悔不已。为了把损失降低到最低限度，我们一定要有安全观念，并掌握一定的安全防范措施，禁绝让黑客无任何机会可乘。只有了解了他们的攻击手段，我们才能采取准确的对策对付这些黑客第一章 我国网络安全现状网络安全问题已成为信息

7、时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。1 网络安全问题的产生 可以从不同角度对网络安全作出不同的解释。一般意义上，网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”；控制安全则指身份认证、不可否认性、授权和访问控制。互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创

8、造了理想空间，网络技术的迅速发展和广泛应用，为人类社会的进步提供了巨大推动力。然而，正是由于互联网的上述特性，产生了许多安全问题： 信息泄漏、信息污染、信息不易受控。例如，资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等，这些都是信息安全的技术难点。 在网络环境中，一些组织或个人出于某种特殊目的，进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透，甚至通过网络进行政治颠覆等活动，使国家利益、社会公共利益和各类主体的合法权益受到威胁。 网络运用的趋势是全社会广泛参与，随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧，使信息资源的保护和管理出现脱节和真空，从而使信息安

9、全问题变得广泛而复杂。 随着社会重要基础设施的高度信息化，社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪，包括国防通信设施、动力控制网、金融系统和政府网站等。2 网络安全成为信息时代人类共同面临的挑战 美国前总统克林顿在签发保护信息系统国家计划的总统咨文中陈述道：“在不到一代人的时间里，信息革命以及电脑进入了社会的每一领域，这一现象改变了国家的经济运行和安全运作乃至人们的日常生活方式，然而，这种美好的新的代也带有它自身的风险。所有电脑驱动的系统都很容易受到侵犯和破坏。对重要的经济部门或政府机构的计算机进行任何有计划的攻击都可能产生灾难性的后果，这种危险是客观存在的。过去敌对力量

10、和恐怖主义分子毫无例外地使用炸弹和子弹，现在他们可以把手提电脑变成有效武器，造成非常巨大的危害。如果人们想要继续享受信息时代的种种好处，继续使国家安全和经济繁荣得到保障，就必须保护计算机控制系统，使它们免受攻击。” 在各领域的计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规模，已经到了令人咋舌的地步。据有关方面统计，目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元，德国、英国也均在数十亿美元以上，法国为100亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪已名列榜首。2003年，CSI/FBI调查所接触的524个组织中，有56%遇到电

11、脑安全事件，其中38%遇到15起、16%以上遇到11起以上。因与互联网连接而成为频繁攻击点的组织连续3年不断增加；遭受拒绝服务攻击（DoS）则从2000年的27%上升到2003年的42%。调查显示，521个接受调查的组织中96%有网站，其中30%提供电子商务服务，这些网站在2003年1年中有20%发现未经许可入侵或误用网站现象。更令人不安的是，有33%的组织说他们不知道自己的网站是否受到损害。据统计，全球平均每20s就发生1次网上入侵事件，黑客一旦找到系统的薄弱环节，所有用户均会遭殃。3 我国网络安全问题日益突出 目前，我国网络安全问题日益突出的主要标志是： 计算机系统遭受病毒感染和破坏的情况

12、相当严重。据国家计算机病毒应急处理中心副主任张健介绍，从国家计算机病毒应急处理中心日常监测结果看来，计算机病毒呈现出异常活跃的态势。据2001年调查，我国约73%的计算机用户曾感染病毒，2003年上半年升至83%。其中，感染3次以上的用户高达59%，而且病毒的破坏性较大，被病毒破坏全部数据的占14%，破坏部分数据的占57%。 电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性，从国内情况来看，目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻击的重点。 信息基础设施面临网络安全的挑战。面对信息安全的严峻形势，我国的

13、网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国简氏战略报告和其它网络组织对各国信息防护能力的评估，我国被列入防护能力最低的国家之一，不仅大大低于美国、俄罗斯和以色列等信息安全强国，而且排在印度、韩国之后。近年来，国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息安全管理部门统计，2003年第1季度内，该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。该市某公司的镜像网站在10月份1个月内，就遭到从外部100多个IP地址发起的恶意攻击。随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资

14、源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。第二章黑客进行网络攻击的一般过程 黑客常用的攻击步骤可以说变幻莫测，但纵观其整个攻击过程，还是有一定规律可循的，一般可以分：信息收集, 系统安全弱点的探测, 建立模拟环境，进行模拟攻击, 具体实施网络攻击几个过程。见下图1示：图1 1 .信息收集信息收集并不对目标本身造成危害，只是为进一步入侵提供有用的信息。黑客可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息：（1） SNMP协议：用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的

15、拓扑结构及其内部细节。（2） TraceRoute程序：能够用该程序获得到达目标主机所要经过的网络数和路由器数。（3） Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。（4） DNS服务器：该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名（5） Ping实用程序：可以用来确定一个指定的主机的位置。2 .系统安全弱点的探测 在收集到攻击目标的一批网络信息之后，黑客会探测目标网络上的每台主机，以寻求该系统的安全漏洞或安全弱点，其主要使用下列方式进行探测：（1） 自编程序：对某些产品或者系统，已经发现了一些安全漏洞，但是用户并不一定及时使用对这些漏洞的“补丁

16、”程序。因此入侵者可以自己编写程序，通过这些漏洞进入目标系统。（2）利用公开的工具：象Internet的电子安全扫描程序IIS、审计网络用的安全分析工具SATAN等这样的工具，可以对整个网络或子网进行扫描，寻找安全漏洞。（3） 慢速扫描：由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。（4）体系结构探测：黑客利用一些特定的数据包传送给目标主机，使其作出相应的响应。由于每种操作系统都有其独特的响应方式，将此独特的响应报与数据库中的已知响应进行匹配，经常能够确定出目标主机所运行的操作系统及其版本等信

17、息。3 建立模拟环境，进行模拟攻击根据前两步所获得的信息，建立一个类似攻击对象的模拟环境，然后对模拟目标机进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具对攻击的反应等，可以了解攻击过程中留下的“痕迹”及被攻击方的状态，以此来制定一个系统的、周密的攻击策略。4具体实施网络攻击入侵者根据前几步所获得的信息，同时结合自身的水平及经验总结出相应的攻击方法，在进行模拟攻击的实践后，将等待时机，以备实施真正的网络攻击第三章 网络安全检测与防范1 网络级安全检测与防范目前比较流行的网络级安全防范措施是使用专业防火墙+入侵检测系统（IDS）为企业内部网络构筑一道安全屏障。防火墙可以有效地阻止

18、有害数据的通过，而IDS 则主要用于有害数据的分析和发现，它是防火墙功能的延续。2者联动，可及时发现并减缓DoS、DDoS 攻击，减轻攻击所造成的损失。通常人们认为，只要安装防火墙就可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展，网络结构日趋复杂，传统防火墙在使用过程中暴露出以下的不足： 防火墙在工作时，入侵者可以伪造数据绕过防火墙，或者找到防火墙中可能敞开的后门。 由于防火墙通常被安装在网络出口处，所以对来自网络内部的攻击无能为力。 由于防火墙性能上的限制，通常它不具备实时监控入侵的能力。 防止病毒入侵是防火墙的一个弱项。IDS恰好弥补了防火墙的不足，为网络提供实时的数据

19、流监控，并且在发现入侵的初期协同防火墙采取相应的防护手段。目前IDS系统作为必要附加手段，已经被大多数企业的安全构架所接受。最近市场上出现了一种将防火墙和IDS两者合二为一的新产品“入侵防御系统”（Iutrusion Prevention System简称IPS）。它不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，二者的整合大幅度地提高了检测和阻止网络攻击的效率，是今后网络安全架构的一种发展趋势。通过编写防火墙规则，可以让系统知道什么样的信息包可以进入、什么样的应该放弃，如此一来，当黑客发送有攻击性信息包的时候，在经过防火墙时，信息就会被丢弃掉，从而防止了黑客的

20、进攻。如天网防火墙，安装后进入自定义IP规则，进行设置： 禁止互联网上的机器使用我的共享资源。 禁止所有人的连接。 禁止所有人连接低端口。 允许已经授权的程序打开端口，这样一切需要开放的端口程序都需要审批。但是不要勾选“系统设置”里的“允许所有应用程序访问网络，并在规则记录这些程序”，这个设置是防范反弹木马和键盘记录的秘密武器。2 常规安全检测与防范常规检测与防范是面向网络中所有服务器和客户机的，是整个网络的安全基础。可以设想，如果全世界所有计算机都有较好的防范机制，大规模计算机病毒爆发和DDoS攻击发生的概率将锐减。所以，在任何安全防范体系中加强安全教育、树立安全意识及采取基本的防护手段都是

21、最重要的。在实际应用中，可以使用Ping命令和Netstat an命令检测是否受到了DoS、DDoS 攻击。若发现网络速度突然变慢，使用Ping命令检测时出现超时或严重丢包，则有可能是受到了流量攻击。若使用Ping命令测试某服务器时基本正常，但无法访问服务（如无法打开网页，DNS失效等），而Ping同一交换机上的其他主机正常，则有可能是受到了资源耗尽攻击。在服务器上执行Netstat an命令，若显示有大量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态，而ESTABLISHED状态较少，则可以认定是受到了资源耗尽攻击。要增强网络中的服务器的抵抗力可采用的方法有： 关闭

22、不必要的服务：因为现在的硬盘越来越大，许多人在安装操作系统时，希望安装越多越好。岂不知装得越多，所提供的服务就越多，而系统的漏洞也就越多。如果只是要作为一个代理服务器，则只安装最小化操作系统和代理软件、杀毒软件、防火墙即可，不要安装任何应用软件，更不可安装任何上网软件用来上网下载，甚至输入法也不要安装，更不能让别人使用这台服务。 安装补丁程序：上面所讲的利用输入法的攻击，其实就是黑客利用系统自身的漏洞进行的攻击，对于这种攻击我们可以下载微软提供的补丁程序来安装，就可较好地完善我们的系统和防御黑客利用漏洞的攻击。我们可下载windows最新的service pack补丁程序，也可直接运行开始菜单

23、中的windows update 进行系统的自动更新。 关闭无用的甚至有害的端口： 计算机要进行网络连接就必须通过端口，要控制我们的电脑也必须要通过端口。所以我们可通过关闭一些对于我们暂时无用的端口（但对于“黑客”却可能有用），即关闭无用的服务，来减少“黑客”的攻击路径。 删除Guest账号：win2000的Guest账号一般是不能更改和删除的，只能“禁用”，但是可以通过net命令（net user guest /active）将其激活，所以它很容易成为“黑客”攻击的目标，所以最好的方法就是将其删除，下载Ptsec.exe 即win2000权限提升程序。进入cmd，打入Ptsec /di回车，

24、退出。进入注册表，搜索guest，删除它，Guest账号就被删除了。 限制不必要的用户数量：去掉所有的duplicate user账号，测试账号，共享账号，不再使用的账号。这些账号常会成为黑客入侵系统的突破口，账号越多，黑客得到合法用户的权限的机会就越大。如果你的计算机账号自动增加，则可判断你被入侵了。 及时备份重要数据：亡羊补牢，如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。 使用加密机制传输数据：对于个人信用卡、密码等重要数据，在客户端与服务器之间的传送，应该先经过加密处理在进行发送，这样做的目的是防止黑客监听、截获。3、优化路由和网络结构如果你管理的

25、不仅仅是一台主机，而是网络，就需要调整路由表以将拒绝服务攻击的影响减到最小。为了防止SYN flood攻击，应设置TCP侦听功能。详细资料请参阅相关路由器技术文档。另外禁止网络不需要使用的UDP和ICMP包通过，尤其是不应该允许出站ICMP“不可到达”消息。第四章 常见网络攻击的具体过程及防范的方法网络攻击行为主要分系统层面和网络层面。网络层面主要的攻击有 DOS类、欺骗、非法侦听、拦截并篡改通信数据、扫描、病毒引起的网络攻击行为、利用网络服务漏洞进行入侵。攻击目的我们知道有两种，一是破坏，二是入侵。一 DoS 与DDoS攻击原理及其防范 拒绝服务（Denial of Service，简称Do

26、S）攻击是一种利用 TCP/IP协议的弱点和系统存在的漏洞，对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的，对网络服务器发送大量“请求”信息，造成网络或服务器系统不堪重负，致使系统瘫痪而无法提供正常的网络服务。分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是在拒绝服务攻击的基础上产生的一种分布式、协作式的大规模拒绝服务攻击方式。 目前，拒绝服务攻击和分布式拒绝服务攻击已成为一种遍布全球的系统漏洞攻击方法，无数网络用户都受到这种攻击的侵害，造成了巨大的经济损失。因此，了解DoS 与DDoS攻击原理及基本的防范方法，对所有网络用户特别是网

27、络管理人员有着重要的意义。1 DoS攻击原理及方式 DoS攻击的方式主要是利用合理的服务请求，来占用过多的网络带宽和服务器资源，致使正常的连接请求无法得到响应。常见的 DoS攻击方法有：SYN Flood攻击、Land 攻击、Smurf攻击、UDP攻击等。下图2为DoS攻击的基本过程。（1）SYN Flood攻击SYN Flood攻击是一种最常见的 DoS攻击手段，它利用TCP/IP连接的“三次握手”过程，通过虚假IP, 源地址发送大量 SYN 数据包，请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后，等待对方连接，虚假的IP 源地址将不给予响应。这样

28、，连接请求将一直保存在系统缓存中直到超时。如果系统资源被大量此类未完成的连接占用，系统性能自然会下降。后续正常的TCP 连接请求也会因等待队列填满而被丢弃，造成服务器拒绝服务的现象。 Syn Flood原理 - 三次握手 ，Syn Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是Syn Flood存在的基础。图三如图三，在第一步中，客户端向服务端提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后，在第二步以自己的ISN回应(SYN标志置位)，同时确认收到客户端的第一个

29、TCP分段(ACK标志置位)。在第三步中，客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接，开始全双工模式的数据传输过程，而Syn Flood攻击者不会完成三次握手。图四 Syn Flood恶意地不完成三次握手假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现

30、异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源-数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃-即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称做：服务器端受到了SYN Flood攻击（SYN洪水攻击）。（2） Land 攻击Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包，造成目标主机解析 Land包时占用大量系统资源，从而使网络功能完全瘫痪的攻击手段。其方法是将一个特别设计的SYN包中的源地址和目标地址都设置成某个被攻击服务器的地址，这样服务器接收到该数据包后会向自己发送一个SYNACK 回应包，SYNACK又引起一个发送给自己的ACK包