《电子信息对抗技术导论18532.docx》由会员分享,可在线阅读,更多相关《电子信息对抗技术导论18532.docx(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 课 程 名:电子信息息对抗技术导导论课 程 号: 任课教师: 论文名称:网络络攻击与防范范学生学号: 日 期: 20111-4-8 【摘要】随着互互联网的发展展,在计算机网络安全领域域里,存在一一些非法用户户利用各种手手段和系统的的漏洞攻击计计算机网络.网络安全已已经成为人们们日益关注的的焦点问题网网络中的安全全漏洞无处不不在,即便旧旧的安全漏洞洞补上了补丁丁,新的安全全漏洞又将不不断涌现.网网络攻击是造造成网络不安安全的主要原原因.单纯掌掌握攻击技术术或者单纯掌掌握防御技术术都不能适应应网络安全技技术的发展为为了提高计算算机网络的安安全性,必须须了解计算机机网络的不安安全因素和网网络攻击的
2、方方法同时采取取相应的防御御措施。本文分析了了网络攻击的的几种手段及及其产生的原原理,并且就就其中的Weeb欺骗攻击击和TCP/IP欺骗攻攻击提出了相相应的防范措措施。并且详详细阐述了个个人用户的安安全防护策略略关键词:网络 安全 防火墙 木马马 攻击 欺骗骗 防范一、网络攻击概概述网络安全是一个个永恒的话题题,因为计算算机只要与网网络连接就不不可能彻底安安全,网络中中的安全漏洞洞无时不在,随随着各种程序序的升级换代代,往往是旧旧的安全漏洞洞补上了,又又存在新的安安全隐患,网网络攻击的本本质实际上就就是寻找一切切可能存在的的网络安全缺缺陷来达到对对系统及资源源的损害。 网络攻击一一般分为三个个
3、阶段: 第第一阶段:获获取一个登录录账号 对UNLLX系统进行行攻击的首要要目标是设法法获取登录账账号及口令,攻攻击者一般先先试图获取存存在于/ettc/passswd或NNIS映射中中的加密口令令文件,得到到该口令文件件之后,就对对其运行Crrack,借借助于口令字字典,Craack甚至可可以在几分钟钟内破译一个个账号。 第第二阶段:获获取根访问权权 进入系统统后,入侵者者就会收集各各种信息,寻寻找系统中的的种种漏洞,利利用网络本身身存在的一些些缺陷,设法法获取根访问问权,例如未未加限制的NNFS允许根根对其读和写写。利用NFFS协议,客客户给与服务务器的安装守守护程序先交交换信息,信信息交
4、换后,生生成对NFSS守护程序的的请求,客户户通过这些请请求对服务器器上的文件进进行读或写操操作。因此,当当客户机安装装文件系统并并打开某个文文件时,如果果入侵者发出出适当各式的的UDP数据据报,服务器器就将处理NNFS请求,同同时将结果回回送客户,如如果请求是写写操作,入侵侵者旧可以把把信息写入服服务器中的磁磁盘。如果是是读操作,入入侵者就可以以利用其设置置于服务器和和客户机之间间的窥探器了了解服务器磁磁盘中的信息息,从而获得得根访问权。 第三阶段:扩展访问权权 一旦入入侵者拥有根根访问权,则则该系统即可可被用来供给给网络上的其其他系统。例例如:可以对对登录守护程程序作修改以以便获取口令令:
5、增加包窥窥探仪可获取取网络通信口口令:或者利利用一些独立立软件工具动动态地修改UUNLX内核核,以系统中中任何用户的的身份截击某某个终端及某某个连接,获获得远程主机机的访问权。二、网络攻击的的分析攻击的种类及其其分析 普通通的攻击一般般可分以下几几种: 1 拒绝服务攻攻击 拒绝服务务攻击不损坏坏数据,而是是拒绝为用户户服务,它往往往通过大量量不相关的信信息来阻断系系统或通过向向系统发出会会,毁灭性的的命令来实现现。例如入侵侵者非法侵入入某系统后,可可向与之相关关连的其他系系统发出大量量信息,最终终导致接收系系统过载,造造成系统误操操作甚至瘫痪痪。这种供给给的主要目的的是降低目标标服务器的速速度
6、,填满可可用的磁盘空空间,用大量量的无用信息息消耗系统资资源,是服务务器不能及时时响应,并同同时试图登录录到工作站上上的授权账户户。例如,工工作站向北供供给服务器请请求NISppasswdd信息时,攻攻击者服务器器则利用被攻攻击服务器不不能及时响应应这一特点,替替代被攻击服服务器做出响响应并提供虚虚假信息,如如没有口令的的纪录。由于于被攻击服务务器不能接收收或及时接收收软件包,它它就无法及时时响应,工作作站将把虚假假的响应当成成正确的来处处 理,从而而使带有假的的passwwd条目的攻攻击者登录成成功。 2 同步(SYYN)攻击 同步步供给与拒绝绝服务攻击相相似,它摧毁毁正常通信握握手关系。在
7、在SYN供给给发生时,攻攻击者的计算算机不回应其其它计算机的的ACK,而而是向他发送送大量的SYYN ACKK信息。通常常计算机有一一缺省值,允允许它持特定定树木的SYYN ACKK信息,一旦旦达到这个数数目后,其他他人将不能初初始化握手,这这就意味着其其他人将不能能进入系统,因因此最终有可可能导致网络络的崩溃。 3 Webb欺骗攻击 Webb欺骗的关键键是要将攻击击者伪造的WWeb服务器器在逻辑上置置于用户与目目的Web服服务器之间,使使用户的所有有信息都在攻攻击者的监视视之下。一般般Web欺骗骗使用两种技技术:URLL地址重写技技术和相关信信息掩盖技术术。 利用URLL地址重写技技术,攻击
8、者者重写某些重重要的Webb站点上的所所有URL地地址,使这些些地质均指向向攻击者的WWeb服务器器,即攻击者者可以将自己己的Web站站点的URLL地址加到所所有URL地地址的前面。例例如,设攻击击者的Webb站点的URRL地址为:http:/,合合法Web站站点上的URRL地址为hhttp:/www.bbb.ccom,经重重写后,该地地址可以被加加到合法URRL地址htttp:/www.bbbb.coom之前,即即http:/ 当用户户与站点进行行安全链接时时,则会毫无无防备地进入入攻击者服务务器。此时用用户浏览器首首先向攻击者者服务器请求求访问,然后后由攻击者服服务器向真正正的目标服务务器
9、请求访问问,目标服务务器向攻击服服务器传回相相关信息,攻攻击者服务器器重写传回页页面后再传给给用户。此时时浏览器呈现现给用户的的的确是一个安安全链接,但但连接的对象象却是攻击者者服务器。用用户向真正WWeb服务器器所提交的信信息和真正WWeb服务器器传给用户的的所有信息均均要经过攻击击者服务器,并并受制于它,攻攻击者可以对对所有信息进进行记录和修修改。 由于浏览览器一般均设设有地址栏和和状态栏,当当浏览器与某某个站点连接接时,可以在在地址栏中和和状态栏中获获取连接中的的Web站点点地址及相关关的传输信息息,用户可由由此发现问题题,所以一般般攻击者往往往在URL地地址重写的同同时,利用相相关信息
10、掩盖盖技术即一般般用的JavvaScriipt程序来来地址栏和状状态栏信息,以以达到其掩盖盖欺骗的目的的。 4 TTCP/IPP欺骗攻击 IP欺欺骗可发生在在IP系统的的所有层次上上,包括硬件件数据链路层层、IP层、传传输层及应用用层均容易受受到影响。如如果底层受到到损害,则应应用层的所有有协议都将处处于危险之中中。另外,由由于用户本身身不直接与底底层结构相互互交流,有时时甚至根本没没有意识到这这些结构的存存在,因而对对底层的攻击击更具欺骗性性。 IP欺骗供供给通常是通通过外部计算算机伪装成另另一台合法机机器来实现的的。他能破坏坏两台机器间间通信链路上上的正常数据据流,也可以以在通信链路路上插
11、入数据据,其伪装的的目的在于哄哄骗网络中的的其他机器误误将攻击者作作为合法机器器而加以接受受,诱使其他他机器向它发发送数据或允允许它修改数数据。 由于许多多应用程序最最初设计时就就是把信任建建立于发送方方IP地址的的薄,即如果果包能够使其其置身沿着陆陆由到达目的的地,并且应应答包也可以以回到原地,则则可以肯定源源IP地址是是有效的。因因此一个攻击击者可以通过过发送有效IIP源地址属属于另一台机机器的IP数数据报来实施施欺骗。 一方面面现有路由器器的某些配置置使得网络更更容易受到IIP欺骗攻击击。例如有些些路由器不保保护IP包端端口源的信息息,来自端口口的所有IPP包被装入同同一个队列然然后逐个
12、处理理。假如包指指示IP源地地址来自内部部网络,则该该包可转发。因因此利用这一一点网络外不不用户只要设设法表明是一一种内部IPP地址即可绕绕过路由器法法送报。 另一方方面,攻击者者使用伪造的的IP地址发发送数据报,不不仅可以获取取数据报特有有的有效请求求,还可以通通过预测TCCP字节顺序序号迫使接收收方相信其合合法而与之进进行连接,从从而达到TCCP欺骗连接接。 一个TCCp连接包括括三个阶段:()建立立连接:()数据交换换:()断断开连接。其其中最关键的的就是数据交交换。TCPP协议为每个个数据字节分分配自己的顺顺序号,每个个TCP头包包含一个顺序序域。TCPP数据交换中中客户方以发发送带有
13、SYYN标志的TTCP头为开开始,发送一一个或多个TTCP/IPP数据包,接接受方回送包包含SYN及及ACK标志志的头答复送送方的头。 初始的顺顺序号是随机机的,当接受受方接收到客客户的序列号号后首先要进进行确认,如如果确认号域域有效,它就就对应于下一一个期望数据据字节的顺序序号,并设置置ACK标志志。攻击者利利用伪造的IIP地址成功功地发送数据据报后,只是是获得这些数数据报特有的的有效请求,要要获得些请求求的答复还必必须预测到TTCP顺序号号。攻击者对对顺序号的预预测是一个估估计与猜测的的过程。攻击击者可以在客客户与服务器器之间设置窥窥探仪来确定定初始顺序号号,一旦攻击击者获取了连连接的初始
14、顺顺序号,就可可以通过估算算发送者发送送给接收者的的TCP/IIP数据量计计算出下一个个期望的顺序序号,即下一一个期望的顺顺序号为:数数据量初始始顺序号。而而事实上,一一些TCP/IP实现并并不完全采用用随机方式分分配初始顺序序号,而是由由一个简单的的随机数生成成器产生。这这种生成器按按某种固定的的次序产生数数据,因此实实际上可能的的初始顺序号号只能在一个个有限的范围围内,这样预预测起来就会会更加方便。预预测获得的顺顺序号只是一一个估计值,它它一般可分为为三种情况考考虑。 第一种情况:预预测值正好等等于下一顺序序号 若伪造的数据保保迟于合法数数据报到达,且且其包含的数数据报少于合合法数据报,则
15、则接收方将完完全丢弃伪造造的数据报;如果伪造数数据包包含的的数据多于合合法数据报,则则接收方将接接收伪造数据据报中顺序号号大于合法数数据报的那部部分内容,同同时丢弃顺序序号与合法数数据报重叠部部分的内容;若伪造的数数据报早于合合法数据报到到达,则接收收方将丢弃合合法数据报内内容。 第二二种情况:预预测值大于下下一个顺序号号 在这种情况况下,接收方方将丢弃其中中超过窗口域域(即输入缓缓冲区)中的的部分内容,而而将前面部分分内容放入缓缓冲区中,待待下一期望顺顺序号与第一一个伪造数据据报字节顺序序号间的空当当被合法数据据填满之后,再再未接收方接接收。 第三三种情况:预预测值小于下下一个顺序号号 在这
16、种种情况下,伪伪造数据报中中的前面部分分内容肯定会会被丢弃,但但是如果伪造造数据报内容容足够多,则则接收方有可可能接受其后后面的内容。四、网络攻击方方式1 特洛伊木马马 特特洛伊木马是是一种恶意程程序,它们悄悄悄地在宿主主机器上运行行,就在用户户毫无察觉的的情况下,让让攻击者获得得了远程访问问和控制系统统的权限.黑黑客的特洛伊伊木马程序事事先已经以某某种方式潜入入你的机器,并在适当的的时候激活,潜伏在后台台监视系统的的运行,它同同一般程序一一样,能实现现任何软件的的任何功能.例如拷贝、删删除文件、格格式化硬盘、甚甚至发电子邮件,典典型的特洛伊伊木马是窃取取别人在网络络上的账号和和口令,它有有时
17、在用户合合法的登录前前伪造一登录录现场,提示示用户输入账账号和口令,然后将账号号和口令保存存至一个文件件中,显示登登录错误,退退出特洛伊木木马程序。 完整的的木马程序一一般由两个部部份组成:一一个是服务器器程序,一个个是控制器程程序.“中了了木马”就是是指安装了木木马的服务器器程序,若你你的电脑被安安装了服务器器程序,则拥拥有控制器程程序的人就可可以通过网络络控制你的电电脑、为所欲欲为。 1.1 特特洛伊木马程程序的检测 (1)通过网络连连接检测:扫扫描端口是检检测木马的常常用方法.在在不打开任何何网络软件的的前提下,接接入互联网的的计算机打开开的只有1339端口.因因此可以关闭闭所有的网络络
18、软件。进行行139端口口的扫描。 (2)通过进程检检测:Winn/XP中按按下“CTLL+ALT+DEL”进进入任务管理理器,就可以以看到系统正正在运行的全全部进程,清清查可能发现现的木马程序序。 (3)通过软软件检测:用用户运行杀毒毒、防火墙软软件和专用木木马查杀软件件等都可以检检测系统中是是否存在已知知的木马程序序。 11.2 特洛洛伊木马程序序的预防 (1)不不执行任何来来历不明的软软件 (2)不随意意打开邮件附附件 (3)将资源源管理器配置置成始终显示示扩展名 (4)尽尽量少用共享享文件夹 (5)运运行反木马实实时监控程序序 (66)经常升级级系统 2 网络监听 网网络监听技术术本来是
19、提供供给网络安全全管理人员进进行管理的工工具,可以用用来监视网络络的状态、数数据流动情况况以及网络上上传输的信息息等.当信息息以明文的形形式在网络上上传输时,使使用监听技术术进行攻击并并不是一件难难事,只要将将网络接口设设置成监听模模式,便可以以源源不断地地将网上传输输的信息截获获。 在在因特网上有有很多使用以以太网协议的的局域网,许许多主机通过过电缆、集线线器连在一起起。当同一网网络中的两台台主机通信的的时候,源主主机将写有目目的的主机地地址的数据包包直接发向目目的主机。但但这种数据包包不能在IPP层直接发送送,必须从TTCP/IPP协议的IPP层交给网络络接口,也就就是数据链路路层,而网络
20、络接口是不会会识别IP地地址的,因此此在网络接口口数据包又增增加了一部分分以太帧头的的信息。在帧帧头中有两个个域,分别为为只有网络接接口才能识别别的源主机和和目的主机的的物理地址,这是一个与与IP地址相相对应的488位的地址。 当主机机工作在监听听模式下,所所有的数据帧帧都将被交给给上层协议软软件处理。而而且,当连接接在同一条电电缆或集线器器上的主机被被逻辑地分为为几个子网时时,如果一台台主机处于监监听模式下,它还能接收收到发向与自自己不在同一一子网(使用用了不同的掩掩码、IP地地址和网关)的主机的数数据包。即在在同一条物理理信道上传输输的所有信息息都可以被接接收到。正确确的使用网络络监听技术
21、也也可以发现入入侵并对入侵侵者进行追踪踪定位,在对对网络犯罪进进行侦查取证证时获取有关关犯罪行为的的重要信息,成为打击网网络犯罪的有有力手段。 2.11 如何检测测并防范网络络监听 (1)对于于怀疑运行监监听程序的机机器,用正确确的IP地址址和错误的物物理地址piing,运行行监听程序的的机器会有响响应。这是因因为正常的机机器不接收错错误的物理地地址,处理监监听状态的机机器能接收,但如果他的的IPstaack不再次次反向检查的的话,就会响响应。 (2)观测测DNS 许多的网网络监听都会会进行址反向向解析,在怀怀疑有网络监监听发生时可可以在DNSS系统上观测测有没有明显显增多的解析析请求。 (3
22、)向向网上发大量量不存在的物物理地址的包包,由于监听听程序要分析析和处理大量量的数据包会会占用很多的的CPU资源源,这将导致致性能下降。通通过比较前后后该机器性能能加以判断。这这种方法难度度比较大。 (4)反应时间 向怀疑疑有网络监听听行为的网络络发出大量垃垃圾数据包,根据各个主主机回应的情情况进行判断断,正常的系系统回应的时时间应该没有有太明显的变变化,而处于于混杂模式的的系统由于对对大量的垃圾圾信息照单全全收,所以很很有可能回应应时间会发生生较大的变化化。 (5)利用aarp数据包包进行监测 这种方方法是pinng方式的一一种变体,使使用arp数数据包替代了了ICMP数数据包,向主主机发送
23、非广广播式的arrp包,如果果主机响应了了这个arpp请求,就可可以判断它很很可能就处于于网络监听模模式了,这是是目前相对比比较好的监测测模式。 (6)使使用反监听工工具如Anttisnifff软件进行行检测3 缓缓冲区溢出攻攻击 缓冲区区溢出是指当当一个超长的的数据进入到到缓冲进入到到缓冲区时,超出部分就就会被写入其其他缓冲区,其他缓冲区区存放的可能能是数据、下下一条指令的的指针或者是是其他程序的的输出内容,这些内容都都被覆盖或被被破坏掉。 缓冲区区溢出有时又又称为堆栈溢溢出攻击,是是过去的十多多年里,网络络安全漏洞常常用的一种形形式并且易于于扩充。相比比于其他因素素,缓冲区溢溢出是网络受受
24、到攻击的主主要原因。 (1)编写正确的的代码 由于缓冲区区溢出是一个个编程问题,所以只能通通过修复被破破坏的程序的的代码而解决决问题。开放放程序时仔细细检查溢出情情况,不允许许数据溢出缓缓冲区。 (2)非非执行的缓冲冲区 使使被攻击程序序的数据段址址空间不可执执行,从而使使得攻击都不不可能执行被被植入的攻击击程序输入缓缓冲共代码。 (3)数组边界检检查 数数组边界检查查完且没有缓缓冲共溢出的的产生和攻击击。这样,只只要数组不能能被溢出,溢溢出攻击也就就无从谈起。为为了实现数组组边界检查,则所有的对对数组的读写写操作都应当当被检查以确确保对数组的的操作在正确确的范围内。 (4)堆栈溢出检检查 使
25、使用检查堆栈栈溢出的编译译器或者在程程序中加入某某些记号,以以便程序运行行时确认禁止止黑客有意造造成的溢出。问问题是无法针针对已有程序序,对新程序序来讲,需要要修改编译器器。 (5)操作系系统和应用程程序检查 经常检查查你的操作系系统和应用程程序提供商的的站点,一旦旦发现他们提提供的补丁程程序,就马上上下载并且应应用在系统上上,这是最好好的方法。 44 结束语 网网络安全是一一个综合性的的课题,涉及及技术、管理理、使用等许许多方面,既既包括信息系系统本身的安安全问题,也也有物理的和和逻辑的技术术措施,一种种技术只能解解决一方面的的问题而不是是万能的。未未来的网络安安全面临着更更大的挑战和和机遇,在看看一个内部网网是否安全时时不仅要考察察其手段,而而更重要的是是对该网络所所采取的各种种措施,其中中不光是物理理防范,还有有人员的素质质等其他“软软”因素,进进行综合评估估,从而得出出是否安全的的结论。参考文献 1 冯冯登国.计算算机通信网络络安全.北京京:清华大学学出版社,22001. 2 王育民,刘建伟.通通信网安全理论与技技术.西安:西安电子科技大学学出版社,11999. 3 戴英侠,连一峰,王王航.系统安安全与入侵检检测.北京:清华大学出出版社.