《网络攻击的方法及对策(共5页).doc》由会员分享,可在线阅读,更多相关《网络攻击的方法及对策(共5页).doc(5页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上网络攻击的方法及对策网络攻击的方法及对策【摘要】:随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。不论是外部网还是内部网的网络都会受到安全的问题。 面临着大量的网络入侵事件,就必须要求在一个开放式的计算机网络物理环境中构造一个封闭的逻辑环境来保障敏感信息和保密数据
2、不受到攻击。为此迫切需要对网络安全作分类研究,把各种网络安全问题清晰有序地组织起来,从而构建一个合理、安全、高效的网络防御体系。【关键字】:网络、安全、黑客、攻击、Internet引言计算机网络安全包括计算机安全、通信安全、操作安全、访问控制、实体安全、系统安全、网络站点安全,以及安全管理和法律制裁等诸多内容。尤其涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性几个方面。网络安全保护的核心是如何在网络环境下保证数据本身的秘密性、完整性与操作的正确性、合法性与不可否认性。而网络攻击的目的正相反,其立足于以各种方式通过网络破坏数据的秘密性和完整性或进行某些非法操作。因此可将网络安全划分
3、为网络攻击和网络安全防护两大类。随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网 、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。过去两个世纪来对工业技术的控制,代表了一个国家的军事实力和经济实力,今天,对信息技术的控制将是领导21世纪的关键。有人说,信息安全就像茫茫宇宙中闪烁的星星一样无序,看得见摸不着,具有混沌特征。一、网络的开放性
4、带来的安全问题Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:(1) 每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。(2)安全工具的使用受到人为因素的影响。一个安全工具
5、能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。(3)系统的后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉;比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前
6、一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。(4)只要有程序,就存在BUG。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工
7、具对于利用这些BUG的攻击几乎无法防范。(5)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。二、网络安全的防护力漏洞,导致黑客在网上任意畅行1、 根据Warroon Research的调查,1997年世界排名前一千的公司几乎都曾被黑客闯入。 2、 据美国FBI统计,美国每年因网络安全造成的损失高达75亿美元。 3、 Ernst
8、和Young报告,由于信息安全被窃或滥用,几乎80%的大型企业遭受损失 4、在最近一次黑客大规模的攻击行动中,雅虎网站的网络停止运行3小时,这令它损失了几百万美金的交易。而据统计在这整个行动中美国经济共损失了十多亿美金。由于业界人心惶惶,亚马逊(A)、AOL、雅虎(Yahoo!)、eBay的股价均告下挫,以科技股为主的那斯达克指数(Nasdaq)打破过去连续三天创下新高的升势,下挫了六十三点,杜琼斯工业平均指数周三收市时也跌了二百五十八点。看到这些令人震惊的事件,不禁让人们发出疑问:“网络还安全吗?” 据不完全统计目前,我国网站所受到黑客的攻击,还不能与美国的情况相提并论,因为我们在用户数、用
9、户规模上还都处在很初级的阶段,但以下事实也不能不让我们深思: 1993年底,中科院高能所就发现有“黑客”侵入现象,某用户的权限被升级为超级权限。当系统管理员跟踪时,被其报复。1994年,美国一位14岁的小孩通过互联网闯入中科院网络中心和清华的主机,并向我方系统管理员提出警告。1996年,高能所再次遭到“黑客”入侵,私自在高能所主机上建立了几十个帐户,经追踪发现是国内某拨号上网的用户。同期,国内某ISP发现“黑客”侵入其主服务器并删改其帐号管理文件,造成数百人无法正常使用。1997年,中科院网络中心的主页面被“黑客”用魔鬼图替换。进入1998年,黑客入侵活动日益猖獗,国内各大网络几乎都不同程度地
10、遭到黑客的攻击: 2月,广州视聆通被黑客多次入侵,造成4小时的系统失控; 4月,贵州信息港被黑客入侵,主页被一幅淫秽图片替换; 5月,大连ChinaNET节点被入侵,用户口令被盗; 6月,上海热线被侵入,多台服务器的管理员口令被盗,数百个用户和工作人员的账号和密码被窃取; 7月,江西169网被黑客攻击,造成该网3天内中断网络运行2次达30个小时,工程验收推迟20天;同期,上海某证券系统被黑客入侵; 8月,印尼事件激起中国黑客集体入侵印尼网点,造成印尼多个网站瘫痪,但与此同时,中国的部分站点遭到印尼黑客的报复;同期,西安某银行系统被黑客入侵后,提走80.6万元现金;9月,扬州某银行被黑客攻击,利
11、用虚存帐号提走26万元现金; 10月,福建省图书馆主页被黑客替换。三、常见的网络攻击这里我们将对现存的大多数网络攻击手段归纳分析,对理论攻击将着重于介绍对加密算法攻击的技术性实现。而技术攻击则对网络监听、拒绝服务攻击、基于网络边界而言的远程攻击和内部未授权用户对系统的攻击进行分析。对加密算法的攻击对加密算法的攻击主要集中于破译某段密文或分析加密密钥。通常破译者可对密码进行惟密文攻击、已知明文攻击、选择密文攻击和选择明文攻击及穷举攻击,对特定算法还有特定攻击方法,如对DES这类迭代分组密码可选择差分密码分析法、能量攻击法,对公钥算法RSA可采用公用模攻击、低加密指数攻击、定时攻击等方法。网络监听
12、网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理信道上传输的所有信息,而不管信息的发送方和接受方是谁。所以进行通信的信息必须进行加密,否则只要使用一些网络监听工具就可以截获包括口令和账号在内的信息资料。大部分的传输介质如Ethernet、FDDI、Token-ring、模拟电话线、无线接入网上都可实施网络监听,其中尤以Ethernet与无线接入网最为容易,因为这两者都是典型的广播型网络。拒绝服务攻击(DoS)一般来说,拒绝服务攻击有些是用来消耗带宽,有些是消耗网络设备的CPU和内存。例如对UDP的攻击,原理就是使用大量的伪造的报文攻击网络端口,造成服务器的资源耗尽,
13、使系统停止响应甚至崩溃。也可以使用大量的IP地址向网络发出大量真实的连接,来抢占带宽,造成网络服务的终止。拒绝服务一般分两种:一是试图破坏资源,使目标无人可以使用此资源。如破坏或摧毁信息:删除文件、格式化磁盘、切断电源等。二是过载一些系统服务或者消耗一些资源,通过这样的方式可以造成其它用户不能使用这个服务。这两种情况大半是因用户错误或程序错误造成的,并非针对性的攻击。针对网络的拒绝服务攻击主要包括服务过载攻击、消息流攻击、Paste式攻击、SYN Flooding攻击、过载攻击、Mailbomb攻击。攻击主要是在一个主机接收到大量不完全连接请求而超出其所能处理的范围时,就会发生SYN floo
14、ding攻击。在通常情况下,希望通过TCP连接来交换数据的主机必须使用3次握手进行任务初始化。SYN Flooding攻击就是基于阻止3次握手的完成来实现的。SYN Flooding的攻击原理是:首先,攻击者向目标主机发送大量的SYN请求,用被挂起的连接占满连接请求队列。一旦目标主机接收到这种请求,就会向它所认为的SYN报文的源主机发送SYN/ACK报文作出应答。一旦存储队列满了,接下来的请求就会被TCP端忽略,直至最初的请求超时并被重置(通常为75s),每次超时过后,服务器端就向未达的客户端发送一个RST报文,此时攻击者必须重复以上步骤来维持拒绝服务的攻击。SYN Flooding攻击的重点
15、就在于不断发送大量的SYN报文,其攻击在空间性上表现得极为明显。如图1,从源到汇,攻击者可从不同路径向被攻击主机持续发送连接请求,也可将数据包拆分为几个传输再在目的地会合,以隐藏被攻击主机。检测这种攻击的困难就在于目标主机接收到的数据好像来自整个Internet。分布式拒绝服务(DDoS)攻击通过探测扫描大量主机,从而找到可以入侵的目标主机,通过一些远程溢出漏洞攻击程序,入侵有安全漏洞的目标主机并获取系统的控制权,在被入侵的主机上安装并运行DDoS分布端的攻击守护进程,然后利用多台已被攻击者控制的机器对另一台单机进行扫描和攻击,在大小悬殊的带宽之比下被攻击的主机很快失去反应能力。整个过程都是自
16、动化的,攻击者可以在几秒钟内入侵一台主机并安装攻击工具,这样,在一个小时之内就可以入侵数千台主机。SYN FloodingSYN Flooding 攻击主要是在一个主机接收到大量不完全连接请求而超出其所能处理的范围时,就会发生SYN flooding攻击。在通常情况下,希望通过TCP连接来交换数据的主机必须使用3次握手进行任务初始化。SYN Flooding攻击就是基于阻止3次握手的完成来实现的。SYN Flooding的攻击原理是:首先,攻击者向目标主机发送大量的SYN请求,用被挂起的连接占满连接请求队列。一旦目标主机接收到这种请求,就会向它所认为的SYN报文的源主机发送SYN/ACK报文作
17、出应答。一旦存储队列满了,接下来的请求就会被TCP端忽略,直至最初的请求超时并被重置(通常为75s),每次超时过后,服务器端就向未达的客户端发送一个RST报文,此时攻击者必须重复以上步骤来维持拒绝服务的攻击。 SYN Flooding攻击的重点就在于不断发送大量的SYN报文,其攻击在空间性上表现得极为明显。如图1,从源到汇,攻击者可从不同路径向被攻击主机持续发送连接请求,也可将数据包拆分为几个传输再在目的地会合,以隐藏被攻击主机。检测这种攻击的困难就在于目标主机接收到的数据好像来自整个Internet。 分布式拒绝服务(DDoS)攻击通过探测扫描大量主机,从而找到可以入侵的目标主机,通过一些远
18、程溢出漏洞攻击程序,入侵有安全漏洞的目标主机并获取系统的控制权,在被入侵的主机上安装并运行DDoS分布端的攻击守护进程,然后利用多台已被攻击者控制的机器对另一台单机进行扫描和攻击,在大小悬殊的带宽之比下被攻击的主机很快失去反应能力。整个过程都是自动化的,攻击者可以在几秒钟内入侵一台主机并安装攻击工具,这样,在一个小时之内就可以入侵数千台主机。 远程攻击 远程攻击指在目标主机上没有帐户的攻击者获得该机器的当地访问权限,从机器中过滤出数据、修改数据等的攻击方式。远程攻击的一般过程:收集被攻击方的有关信息,分析被攻击方可能存在的漏洞;建立模拟环境,进行模拟攻击,测试对方可能的反应;利用适当的工具进行
19、扫描;实施攻击。 IP Spoofing是一种典型的远程攻击,它通过向主机发送IP包来实现攻击,主要目的是掩盖攻击者的真实身份,使攻击者看起来像正常的用户或者嫁祸于其他用户。 IP Spoofing攻击过程见图2,具体描述如下:假设I企图攻击A,而A信任B。假设I已经知道了被信任的B,使B的网络功能暂时瘫痪,以免对攻击造成干扰。因此,在实施IP Spoofing攻击之前常常对B进行 SYN Flooding攻击。必须确定A当前的ISN。I向A发送带有SYN标志的数据段请求连接,只是信源IP改成了B。A向B回送SYN+ACK数据段,B已经无法响应,B的TCP层只是简单地丢弃A的回送数据段。I暂停
20、,让A有足够时间发送SYN+ACK,然后I再次伪装成B向A发送ACK,此时发送的数据段带有I预测的A的ISN+1。如果预测准确,连接建立,数据传送开始。如果预测不准确,A将发送一个带有RST标志的数据段异常终止连接,I重新开始。 IP Spoofing攻击利用了RPC服务器仅仅依赖于信源IP地址进行安全校验的特性,攻击最困难的地方在于预测A的ISN。 系统攻击 系统攻击指一台机器上的本地用户获取Unix高级用户权限或Windows NT管理员权限的攻击方法。缓冲区溢出就是典型系统攻击。它通过向程序的缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,使程序转去执行其它的指令,如果这些
21、指令是放在有Root权限的内存里,那么,一旦这些指令得到了运行,入侵者就以Root的权限控制了系统。造成缓冲区溢出的原因大多是程序没有仔细检查用户输入的参数。缓冲区溢出攻击占所有系统攻击的80%以上。 入侵者要达到目的通常要完成两个任务:一是在程序的地址空间里安排适当的代码;二是通过适当的初始化寄存器和存储器,让程序跳转到安排好的地址空间执行。可以根据这两个任务对缓冲区溢出攻击进行分类: 1)在程序的地址空间里安排适当的代码的方法。 2)将控制程序转移到攻击代码的方法。 3)植入综合代码和流程控制技术。 通常可以采用下列方法防止缓冲区溢出:正确地编写代码;设定非执行的缓冲区;检查数组边界,使之不溢出;检查程序指针的完整性。 除了上述5种攻击外,其它还有对系统配置弱点的攻击,对软件设计弱点的攻击,恶意程序(特洛伊木马、病毒)攻击,物理(偷窃加密机、盗取用户身份标识、抢劫数据中心或公钥存储中心)攻击等。专心-专注-专业