《最新常见的网络攻击类型有_网络攻击有哪几种类型.doc》由会员分享,可在线阅读,更多相关《最新常见的网络攻击类型有_网络攻击有哪几种类型.doc(86页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、最新常见的网络攻击类型有_网络攻击有哪几种类型常见的网络攻击与防范摘 要 本文刨析了网络上黑客常见的攻击手段,主要分析DDOS攻击的原理和步骤。论文提出了防范DDOS攻击的一些措施。关键词 DDOS 攻机 网络 安全AbstractThis paper analyzes the sharpening network hackers common means of attack, mainly on the principle of DDOS attacks and steps. The paper presents the DDOS attack prevention measuresKey
2、words: DDoS Attack Network Security 目 录摘 要 Abstract . 前 言 .4第1章 绪 论 . 41.1 黑客常见攻击步骤 . 41.1.1攻击前奏 . 41.1.2实施攻击 . 51.1.3晋级支配 . 6第2章 DoS 与DDoS攻击原理 . 62.1 DoS攻击 . 72.1.1 SYN Flood攻击 . 72.1.2 Land 攻击 . 72.1.3 Smurf攻击 . 72.1.4 UDP攻击 . 72.2 DDoS攻击 . 82.2.1 DDoS攻击原理 . 82.2.2 DDoS攻击的主要形式 . 9第3章 DoS 与DDoS攻击的检
3、测与防范 . 93.1常规安全检测与防范 . 103.1.1安装最小化 . 103.1.2 安装补丁程序 . 113.1.3关闭非必须端口 . 113.1.4删除Guest账号 . 113.1.5及时备份重要数据 . 113.1.6使用加密机制传输数据 . .12结 论 . 12致 谢 . 13参考文献 . 14前言在网络这个不断更新换代的世界里,网络中的安全漏洞无处不在。即便旧的安全漏洞补上了,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。许多上网的用户对网络安全可能抱着无所谓的态度,认为最多不过是被“黑客”盗用账号,他们往往会认为“安全”只是针对那
4、些大中型企事业单位的,而且黑客与自己无怨无仇,干嘛要攻击自己呢?其实,在一无法纪二无制度的虚拟网络世界中,现实生活中所有的阴险和卑鄙都表现得一览无余,在这样的信息时代里,几乎每个人都面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题,那些平时不注意安全的人,往往在受到安全方面的攻击时,付出惨重的代价时才会后悔不已。为了把损失降低到最低限度,我们一定要有安全观念,并掌握一定的安全防范措施,禁绝让黑客无任何机会可乘。只有了解了他们的攻击手段,我们才能采取准确的对策对付这些黑客。第1章 绪论 1.1 黑客常见攻击步骤黑客常用的攻击步骤可以说变幻莫测,但纵观其整个攻击过程,还是有
5、一定规律可循的,一般可以分:攻击前奏、实施攻击、巩固控制、继续深入几个过程。1.1.1 攻击前奏黑客锁定目标、了解目标的网络结构,收集各种目标系统的信息等。锁定目标:网络上有许多主机,黑客首先要寻找他找的站点的。当然能真正标识主机的是IP地址,黑客会利用域名和IP地址就可以顺利地找到目标主机。了解目标的网络结构:确定要攻击的目标后,黑客就会设法了解其所在的网络结构,哪里是网关、路由,哪里有防火墙,哪些主机与要攻击的目标主机关系密切等,最简单地就是用tracert命令追踪路由,也可以发一些数据包看其是否能通过来猜测其防火墙过滤则的设定等。当然老练的黑客在干这些的时候都会利用别的计算机来间接的探测
6、,从而隐藏他们真实的IP地址。收集系统信息:在收集到目标的第一批网络信息之后,黑客会对网络上的每台主机进行全面的系统分析,以寻求该主机的安全漏洞或安全弱点。首先黑客要知道目标主机采用的是什么操作系统什么版本,如果目标开放telnet服务,那只要telnet xx.xx.xx.xx.(目标主机),就会显示“digitalunlx(xx.xx.xx.)(ttypl)login:”这样的系统信息。接着黑客还会检查其开放端口进行服务分析,看是否有能被利用的服务。因特网上的主机大部分都提供www、mail、ftp、teinet等日常网络服务,通常情况下telnet服务的端口是23等,www服务的端口是8
7、0,ftp服务的口是23。利用信息服务,像snmp服务、traceroute程序、whois服务可用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节,traceroute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数,whois协议服务能提供所有有关的dns域和相关的管理参数,finger协议可以用finger服务来获取一个指一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。所有如果没有特殊的需要,管理员应该关闭这些服务.利用安扫描器,收集系统信息当然少不了安全扫描器黑客会利用一些安全扫描器来帮他们发现系
8、统的各种漏洞,包括各种系统服务漏洞,应用软件漏洞,弱口令用户等等。1.1.2实施攻击当黑客探测到了足够的系统信息,对系统的安全弱点有了了解后就会发动攻击,当然他们会根据不同的网络结构、不同的系统情况而采用的不同的攻击手段。一般,黑客攻击的终极目的是能够控制目标系统,窃取其中的机密文件等,但并不是每次黑客攻击都能够得逞控制目标主机的目的的,所以有时黑客也会发动拒绝服务攻击之类的干扰攻击,使系统不能正常工作。关于黑客具体采用的一些攻击方法我们在下面黑客攻击方法中有详细的介绍,这里就不细说了。1.1.3 晋级支配黑客利用种种手段进入目标主机系统并获得控制权之后,不是像大家想象的那样会马上进行破坏活动
9、,删除数据、涂改网页等,那是毛头小伙子们干的事情。一般入侵成功后,黑客为了能长时间表的保留和巩固他对系统的控制权,不被管理员发现,他会做两件事:清除记录和留下后门。日志往往会记录上一些黑攻击的蛛丝马迹,黑客当然不会留下这些“犯罪证据”,他会把它删了或用假日志覆盖它,为了日后面以不被觉察地再次进入系统,黑客会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动;窃取主机上的各种敏感信息:软件资料、客户名单、财务报表、信用卡号等等,也可能是什么都不动,只是把你的系统作为他存放黑客程序或资料的仓库,也可能黑客会利
10、用这台已经攻陷的主机去继续他下一步的攻击,如:继续入侵内部网络,或者利用这台主机发动d.o.s攻击使网络瘫痪。网络世界瞬息万变,黑客们各有不同,他们的攻击流程也不会全相同,上面我们提的攻击步骤是对一般情况而言的,是绝大部分黑客正常情况下采用的攻击步骤。第二章 DoS 与DDoS攻击原理拒绝服务(Denial of Service,简称DoS)攻击是一种利用 TCP/IP协议的弱点和系统存在的漏洞,对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的,对网络服务器发送大量“请求”信息,造成网络或服务器系统不堪重负,致使系统瘫痪而无法提供正常的网络服务。分布式拒绝服务(Distributed
11、 Denial of Service,简称DDoS)攻击是在拒绝服务攻击的基础上产生的一种分布式、协作式的大规模拒绝服务攻击方式。目前,拒绝服务攻击和分布式拒绝服务攻击已成为一种遍布全球的系统漏洞攻击方法,无数网络用户都受到这种攻击的侵害,造成了巨大的经济损失。因此,了解DoS 与DDoS攻击原理及基本的防范方法,对所有网络用户特别是网络管理人员有着重要的意义。2.1 DoS攻击DoS攻击的方式主要是利用合理的服务请求,来占用过多的网络带宽和服务器资源,致使正常的连接请求无法得到响应。常见的 DoS攻击方法有:SYN Flood攻击、Land 攻击、Smurf攻击、UDP攻击等。下图2为DoS
12、攻击的基本过程。 2.1.1 SYN Flood攻击SYN Flood攻击是一种最常见的 DoS攻击手段,它利用TCP/IP连接的“三次握手”过程,通过虚假IP, 源地址发送大量 SYN 数据包,请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后,等待对方连接,虚假的IP 源地址将不给予响应。这样,连接请求将一直保存在系统缓存中直到超时。2.1.2 Land 攻击Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包,造成目标主机解析 Land包时占用大量系统资源,从而使网络功能完全瘫痪的攻击手段。2.1.3 Smurf攻击Smurf攻击是
13、一种放大效果的ICMP攻击方式,其方法是攻击者伪装成被攻击者向某个网络上的广播设备发送请求,该广播设备会将这个请求转发到该网络的其他广播设备,导致这些设备都向被攻击者发出回应,从而达到以较小代价引发大量攻击的目的。2.1.4 UDP攻击UDP攻击是指通过发送UDP数据包来发动攻击的方式。在UDP Flood攻击中,攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包,从而使被攻击者不能提供正常的服务,甚至造成系统资源耗尽、系统死机。2.2 DDoS攻击DoS攻击主要是采用一对一的攻击方式。当目标计算机的配置较低或网络带宽较小时,其攻击的效果较为明显。随着计算机及网络技术的发展,计算机的处理
14、能力迅速增长,网络带宽也从百兆发展到了千兆、万兆,DoS攻击很难奏效。DDoS攻击是DoS攻击的一种演变,它改变了传统的一对一的攻击方式,利用网络调动大量傀儡机,同时向目标主机发起攻击,攻击效果极为明显。2.2.1 DDoS攻击原理DDoS主要采用了比较特殊的3层客户机/服务器结构,即攻击端、主控端和代理端,这3者在攻击中各自扮演着不同的角色。攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的
15、程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。攻击者发起DDoS攻击的第一步,就是寻找在Internet上有漏洞的主机,进入系统后在其上面安装后门程序,攻击者入侵的主机越多,他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起攻击。这种3层客户机/服务器结构,使DDoS具有更强的攻击能力,并且能
16、较好地隐藏攻击者的真实地址。下图3为DDoS的攻击原理。 DDoS攻击一旦实施,攻击数据包就会像洪水般地从四面八方涌向被攻击主机,从而把合法用户的连接请求淹没掉,导致合法用户长时间无法使用网络资源。2.2.2 DDoS攻击的主要形式DDoS攻击的主要形式有以下几种:通过大量伪造的IP 向某一固定目标发出高流量垃圾数据,造成网络拥塞,使被攻击主机无法与外界通信。利用被攻击主机提供的服务或传输协议上的缺陷,反复高速地发送对某特定服务的连接请求,使被攻击主机无法及时处理正常业务。利用被攻击主机所提供服务中数据处理上的缺陷,反复高速地发送畸形数据引发服务程序错误,大量占用系统资源,使被攻击主机处于假死
17、状态,甚至导致系统崩溃。 第三章 DoS 与DDoS攻击的检测与防范 从 DoS 与DDoS攻击过程可以看出,其攻击的目的主要有:(1)对网络带宽的流量攻击;(2)对服务器某特定服务的攻击。攻击的手段主要是发送大量垃圾数据交由网络设备或服务器处理,导致资源占用超出允许上限,使网络中断或无法提供正常服务。由于DoS 、DDoS是利用网络协议的缺陷进行的攻击,所以要完全消除攻击的危害是非常困难的。从理论上说,只要是带宽或服务器资源有限的系统都会受到 DoS 或 DDoS攻击的威胁。对于暴力型DDoS攻击,即使是最先进的防火墙也无能为力。攻击者可能无法越过防火墙攻击内部网络中的服务器系统,但防火墙阻
18、挡这些攻击数据包,必须付出高额的资源开支,这同样会造成网络性能下降,甚至网络中断。在实际应用中,我们可以通过一些方法检测到攻击现象的出现,并减缓攻击造成的危害。3.1 常规安全检测与防范常规检测与防范是面向网络中所有服务器和客户机的,是整个网络的安全基础。可以设想,如果全世界所有计算机都有较好的防范机制,大规模计算机病毒爆发和DDoS攻击发生的概率将锐减。所以,在任何安全防范体系中加强安全教育、树立安全意识及采取基本的防护手段都是最重要的。在实际应用中,可以使用Ping命令和Netstat an命令检测是否受到了DoS、DDoS 攻击。若发现网络速度突然变慢,使用Ping命令检测时出现超时或严
19、重丢包,则有可能是受到了流量攻击。若使用Ping命令测试某服务器时基本正常,但无法访问服务(如无法打开网页,DNS失效等),而Ping同一交换机上的其他主机正常,则有可能是受到了资源耗尽攻击。在服务器上执行Netstat an命令,若显示有大量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态,而ESTABLISHED状态较少,则可以认定是受到了资源耗尽攻击。要增强网络中的服务器的抵抗力可采用的方法有:3.2.1 安装最小化因为现在的硬盘越来越大,许多人在安装操作系统时,希望安装越多越好。岂不知装得越多,所提供的服务就越多,而系统的漏洞也就越多。如果只是要作为一个代理服务
20、器,则只安装最小化操作系统和代理软件、杀毒软件、防火墙即可,不要安装任何应用软件,更不可安装任何上网软件用来上网下载,甚至输入法也不要安装,更不能让别人使用这台服务。3.2.2 安装补丁程序上面所讲的利用输入法的攻击,其实就是黑客利用系统自身的漏洞进行的攻击,对于这种攻击我们可以下载微软提供的补丁程序来安装,就可较好地完善我们的系统和防御黑客利用漏洞的攻击。我们可下载windows最新的service pack补丁程序,也可直接运行开始菜单中的windows update 进行系统的自动更新。3.2.3 关闭非必须端口计算机要进行网络连接就必须通过端口,要控制我们的电脑也必须要通过端口。所以我
21、们可通过关闭一些对于我们暂时无用的端口(但对于“黑客”却可能有用),即关闭无用的服务,来减少“黑客”的攻击路径。我们可通过“控制面板”的“管理工具”来进入“服务”,也可用通过打开“TCP/IP协议” 选择“属性”,打开“常规” 选择“高级”,打开“选项” 选择“TCP/IP筛选” 选择“属性” 双击“TCP/IP筛选” 选择“只允许” 选择“添加”添加需要打开的端口;如上网必须要利用的80端口。3.2.4 删除Guest账号大家都知道win2000的Guest账号一般是不能更改和删除的,只能“禁用”,但是可以通过net命令(net user guest /active)将其激活,所以它很容易成
22、为“黑客”攻击的目标,所以最好的方法就是将其删除,下载Ptsec.exe 即win2000权限提升程序。进入cmd,打入Ptsec /di回车,退出。进入注册表,搜索guest,删除它,Guest账号就被删除了。3.2.5 及时备份重要数据如果数据备份及时,即便系统遭到黑客进攻,也可以在短时间内修复,挽回不必要的经济损失。国外很多商务网站,都会在每天晚上对系统数据进行备份,在第二天清晨,无论系统是否收到攻击,都会重新恢复数据,保证每天系统中的数据库都不会出现损坏。然而一旦受到黑客攻击,管理员不要只设法恢复损坏的数据,还要及时分析黑客的来源和攻击方法,尽快修补被黑客利用的漏洞,然后检查系统中是否
23、被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号,尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净,防止黑客的下一次攻击。3.2.6 使用加密机制传输数据对于现在网络上流行的各种加密机制,都已经出现了不同的破解方法,因此在加密的选择上应该寻找破解困难的,例如DES加密方法,这是一套没有逆向破解的加密算法,因此黑客的到了这种加密处理后的文件时,只能采取暴力破解法。个人用户只要选择了一个优秀的密码,那么黑客的破解工作将会在无休止的尝试后终止。 结论 网络攻击越来越猖獗,对网络安全造成了很大的威胁。对于任何黑客的恶意攻击,都有办法来防御,只要了解了他们的攻击手段,具有丰富的网络知识,就可以抵
24、御黑客们的疯狂攻击。一些初学网络的朋友也不必担心,因为目前市场上也已推出许多网络安全方案,以及各式防火墙,相信在不久的将来,网络一定会是一个安全的信息传输媒体。特别需要强调的是,在任何时候都应将网络安全教育放在整个安全体系的首位,努力提高所有网络用户的安全意识和基本防范技术。这对提高整个网络的安全性有着十分重要的意义。 参考文献 1 舒洁Win2000安全审核让入侵者无处遁形DB/OL http:/ 胡小新、王 颖、罗旭斌一种DoS攻击的防御方案J 计算机工程与应用2004(12):160-1633 吴闻构建网络安全体系的必要措施 J 网络安全技术与应用2003(9):28-314 无琴Win
25、2000入侵日志分析J 黑客X档案2003(5)P675 华勇、高健媛、韩臻网络安全存在问题解决方法的研究J 铁路计算机应用2002(1)6 宋乃平、文桦Internet网络安全管理J 天中学刊2002(2)7 陈浩Internet上的网络攻击与防范J 电信技术1998(4)8 黑客防线http:/9 火狐技术联盟http:/ 常见网络攻击的手段与防范常见网络攻击的手段与防范 侯建兵赤峰学院计算机科学与技术系,赤峰024000 摘要:现在,Intemet上的网络攻击越来越猖獗,攻击手段也越来越先进,一旦被攻破,导致的损失也会越来越严重。如何有效地防止网络攻击已成为一个全球性的研究课题,受到全世
26、界网络工作者的普遍重视,因此,针对黑客的网络攻击,提高网络的防护能力,保证信息安全已成为当务之急。为此本文列举了一些典型的网络攻击,将它们进行了分类,在分析其攻击原理的基础上,针对网络攻击的具体防御措施进行了讨论和分析。关键词:网络安全;网络攻击;安全策略;手段;措施;黑客攻击;防范技术 一 引言随着Intemet的发展高信息技术像一把双刃剑,带给我们无限益处的同时也带给网络更大的风险。网络安全已成为重中之重,攻击者无处不在。因此网络管理人员应该对攻击手段有一个全面深刻的认识,制订完善安全防护策略。孙子兵法上说,知己知彼,百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动的安装防火墙
27、是显然不够的。我们必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解,针对不同的方法采取不同的措施,做到有的放矢。只有这样才能更有效、更具有针对性的进行主动防护。二 相关基本概念和网络攻击的特点1.计算机网络安全的含义从本质上来讲网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。2. 网络攻击概念性描述网络攻击是利用信息系统自身存在的安全漏洞,进入对方网络系统或者是摧毁其硬件设施。其目的就是破坏网络安全的各项
28、指标,破坏扰乱对方信息系统的正常运行,致使对方计算机网络和系统崩溃、失效或错误工作。3. 计算机网络攻击的特点计算机网络攻击具有下述特点:(1)损失巨大。由于攻击和入侵的对象是网络上的计算机。所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。(2)威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。(3)手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系
29、统;还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。(4)以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此,这一方面导致了计算机犯罪的隐蔽性,另一方面又要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。三网络攻击的步骤进行网络攻击是一件系统性很强的工作,其主要工作流程是:收集情报远程攻击远程登录取得普通用户的权限取得超级用户的权限留下后门清除日志。主要内容包括目标分析、文档获取、破解密码、日志清除等技
30、术。第一步:隐藏自己的位置普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。第二步:寻找目标主机并分析目标主机攻击者首先要寻找目标主机并分析目标主机。在Intemet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供的服务等资料进行全面的了解。此时,攻击者会使用一些扫描工具,轻松获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些帐户,WWW、FTP、Telnet、SMTP等服务器程序是何种版本等资料,为入侵作好充分的准备。第三步:获取帐号
31、和密码,登录主机要想入侵一台主机,首先必需要有该主机的一个帐号和密码,否则连登录都无法进行。因此,攻击者必须先设法盗窃帐户文件并进行破解,从中获取某用户的帐号和口令,然后寻找合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。第四步:获得控制权攻击者用FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后,就会清除日志和留下后门,而且会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用了,甚至新文件的大小都和原文件一模一样。攻击者
32、一般会使用rep传递这些文件,以便不留下FTP记录。用清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。第五步:窃取网络资源和特权攻击者找到攻击目标后,会继续下一步的攻击,即实施真正的网络攻击。如:下载敏感信息;实施窃取帐号密码、信用卡号等经济偷窃;使网络瘫痪。三 网络攻击技术原理和常用手段1. Dos拒绝服务攻击Internet最初的设计目标是开放性和灵活性,而不是安全性。目前Internet网上各种入侵手段和攻击方式大量出现,成为网络安全的主要威胁,拒绝服务(Denial of Service,DoS)是一种简单但很有效的进攻方式。其基本原理是利用合理的请求占用
33、过多的服务资源,致使服务超载,无法响应其他的请求,从而使合法用户无法得到服务。DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。这种攻击会导致资源的缺乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限。所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源缺乏,像是无法满足需求。千万不要自认为自己拥有了足够宽的带宽就会有一个高效率的网站,拒绝服务攻击会使所有的资源交得非
34、常渺小。典型拒绝服务攻击有以下几种:(1)Ping of Death根据TCPIP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。(2)SYN floodSYN flood攻击也是一种常用的拒绝服务攻击。它的工作原理是,正常的一个TCP连接需要连接双方进行三个动作,即“三次握手”,其过程如下:请求连接的客户机首先将一个带SYN标志位的包发给服务器;服务器收到这个包后产生一个自己的SYN标志,并把收到包的SYN+
35、I作为ACK标志返回给客户机:客户机收到该包后,再发一个ACK=SYN+I的包给服务器。经过这三次握手,连接才正式建立。在服务器向客户机发返回包时,它会等待客户机的ACK确认包,这时这个连接被加到未完成连接队列中,直到收到ACK应答后或超时才从队列中删除。这个队列是有限的,一些TCPIP堆栈的实现只能等待从有限数量的计算机发来的ACK消息、,因为他们只有有限的内存缓冲区用于创建连接,如果这些缓冲区内充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。如果客户机伪装大量SYN包进行连接请求并且不进行第三次握手,则服务器的未完成连接队列就会被塞满,正常的连接请
36、求就会被拒绝,这样就造成了拒绝服务。(3)缓冲区溢出攻击缓冲区是程序运行时计算机内存中的一个连续块。大多数情况下为了不占用太多的内存,一个有动态变量的程序在程序运行时才决定给它们分配多少内存。如果程序在动态分配缓冲区放入超长的数据,就会发生缓冲区的溢出。此时,子程序的返回地址就有可能被超出缓冲区的数据覆盖,如果在溢出的缓存区中写入想执行的代码(SHELL-CODE),并使返回地址指向其起始地址,CPU就会转而执行SHELL-CODE,达到运行任意指令从而进行攻击的目的。2. 程序攻击(1)病毒A病毒的主要特征 隐蔽性:病毒的存在、传染和对数据的破坏过程不易为计算机操作人员发现。 寄生性:计算机
37、病毒通常是依附于其它文件而存在的。 传染性:计算机病毒在一定条件下可以自我复制,能对其它文件或系统进行一系列非法操作,并使之成为一个新的传染源。 触发性:病毒的发作一般都需要一个激发条件,可以是日期、时间、特定程序的运行或程序的运行次数等等。 破坏性:病毒在触发条件满足时,会立即对计算机系统的文件、资源等运行进行干扰破坏。 不可遇见性:病毒相对于防毒软件永远是超前的,理论上讲没有任何杀毒软件能将所有的病毒杀除。 针对性:针对特定的应用程序或操作系统,通过感染数据库服务器进行传播。B病毒采用的触发条件主要有以下几种: 日期触发:许多病毒采用日期做触发条件。日期触发大体包括:特定日期触发、月份触发
38、、前半年后半年触发等。 时间触发:时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。 键盘触发:有些病毒监视用户的击键动作,当发现病毒预定的键入时,病毒被激活,进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。 感染触发:许多病毒的感染需要某些条件触发,而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件,称为感染触发。它包括:运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。 启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发。 访问磁盘次数触发:病毒对磁盘IO访问的次数进行计数,以预定次数做触发
39、条件叫访问磁盘次数触发。 调用中断功能触发:病毒对中断调用次数计数,以预定次数做触发条件。 CPU型号主板型号触发:病毒能识别运行环境的CPU型号主板型号,以预定CPU型号主板型号做触发条件,这种病毒的触发方式奇特罕见。被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一个条件,而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的,再辅以读、写盘操作,按键操作以及其他条件等。(2)蠕虫A.蠕虫的工作原理蠕虫程序的实体结构:蠕虫程序相对于一般的应用程序,在实体结构方面体现更多的复杂性,通过对多个蠕虫程序的分析,可以粗略的把蠕虫程序的实体结构分为如下的六大
40、部分,具体的蠕虫可能是由其中的几部分组成: 未编译的源代码:由于有的程序参数必须在编译时确定,所以蠕虫程序可能包含一部分未编译的程序源代码; 已编译的链接模块:不同的系统(同族)可能需要不同的运行模块,例如不同的硬件厂商和不同的系统厂商采用不同的运行库,这在UNIX族的系统中非常常见; 可运行代码:整个蠕虫可能是由多个编译好的程序组成; 脚本:利用脚本可以节省大量的代码,充分利用系统shell的功能; 受感染系统上的可执行程序:受感染系统上的可执行程序如文件传输等可被蠕虫作为自己的组成部分; 信息数据:包括已破解的口令、要攻击的地址列表、蠕虫自身压缩包。蠕虫程序的功能结构:鉴于所有蠕虫都具有相
41、似的功能结构,本文给出了蠕虫程序的统一功能模型,统一功能模型将蠕虫程序分解为基本功能模块和扩展功能模块。实现了基本功能模块的蠕虫程序就能完成复制传播流程,包含扩展功能模块的蠕虫程序则具有更强的生存能力和破坏能力。基本功能由五个功能模块构成: 搜索模块:寻找下一台要传染的机器,为提高搜索效率,可以采用一系列的搜索算法。 攻击模块:在被感染的机器上建立传输通道(传染途径),为减少第一次传染数据传输量,可以采用引导式结构。 传输模块:计算机间的蠕虫程序复制。 信息搜集模块:搜集和建立被传染机器上的信息。 繁殖模块:建立自身的多个副本,在同一台机器上提高传染效率、判断避免重复传染。B.蠕虫的工作流程:
42、蠕虫程序的工作流程可以分为扫描、攻击、现场处理、复制四部分,当扫描到有漏洞的计算机系统后,进行攻击,攻击部分完成蠕虫主体的迁移工作;进入被感染的系统后,要做现场处理工作,现场处理部分工作包括隐藏、信息搜集等;生成多个副本后,重复上述流程。(3)木马攻击A.木马的结构木马程序一般包含两个部分:外壳程序和内核程序。外壳程序:一般是公开的,谁都可以看得到。往往具有足够的吸引力,使人在下载或拷贝时运行。内核程序:隐藏在外壳程序之后,可以做各种对系统造成破坏的事情,如:发动攻击、破坏设备、安装后门等。B.木马攻击原理一般的木马程序都包括客户端和服务端两个程序,其中客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序,他所做的第一步是要把木马的服务器端程序植入到目标的电脑里面。攻击者要通过木马攻击目标系统,当植入成功以后,攻击者就对目标电脑进行非法操作。C.木马具有的特性由于木马所从事的是”地下工作”,因此它必须隐藏起来,它会想尽一切办法不让你发现它。它的特性主要体现在以下几个方面: 隐蔽性:当木马植入到目标电脑中,不产生任何图标,并以”系统服务”的方式欺骗操作系统。 具有自动运行性:木马为了控制服务端。它必须在系统启动时即跟随启动