譚詩棋-黑客防火墻的攻擊與防范

1、封皮和扉頁，目錄不要求有頁眉頁腳和頁碼！石家莊信息工程職業(yè)學院畢業(yè)設計（論文）學生姓名 譚詩棋 學生學號 30871710132 專 業(yè) 網絡技術專業(yè) 系 別 微軟IT學院 指導教師 馬曉麗 指導系部 網絡教研室 2011年3月14日計算機網絡攻擊與防范專業(yè)：網絡技術專業(yè) 班級：1班 姓名：譚詩棋 指導教師：馬曉麗摘要：隨著信息時代的到來，信息已成為社會發(fā)展的重要戰(zhàn)略資源，社會的信息化已成為當今世界發(fā)展的潮流核心，而信息安全在信息社會中將扮演極為重要的角色，它直接關系到國家安全、企業(yè)經營和人們的日常生活。我們的計算機有時會受到計算機病毒、黑客的攻擊，造成個人和企業(yè)的經濟損失和信息資料的泄露，甚

2、至危及國家安全。為了更有效地防范黑客的攻擊，現將一些常用的方法，寫出來與大家分享：如果你想知道你的計算機有沒有被黑客控制，你可以通過查看當前你的電腦中有哪些程序在運行，打開了哪些端口，而這些端口又與哪個網站或電腦相連，對方的IP地址、使用哪個端口等信息，具體方法是用：DOS命令NETSTAT或軟件Currports來查。Abstract:With the advent of the information age, information has become the important strategic resources of social development, the social

3、 informatization has become the development trend in today's world core, and information security in information society will play an important role, it's directly related to national security, enterprise operation and People's Daily life. Our computer will sometimes by computer virus, h

4、ackers, causing personal and business economic loss and information disclosure, and even endanger state security. In order to more effectively prevent hackers, now will some commonly used method, and wrote it to share with everyone: If you want to know your computer have hackers control, you can che

5、ck the current through your computer in what programs are running, open what port, and these ports and with which website or computer connected, each other's IP address, use what port and other information, the specific method is to use: DOS command NETSTAT or software Currports check. 關鍵詞：功、防、控

6、制keywords ：Reactive, prevent 、control 目 錄1.前言42.黑客常用的攻擊手段43.常見的攻擊類型和方法54.防止攻擊的方法64.1防控DDoS攻擊64.2基于狀態(tài)的資源控制，防護防火墻資源64.3智能TCP代理有效防范SYN Flood74.4利用NetFlow對DoS攻擊和病毒監(jiān)測74.5防范溢出策略74.6對希望保護的主機實行“單獨開放端口”訪問控制策略114.7使用應用層防火墻系統(tǒng)114.8使用IDS功能的防火墻系統(tǒng)125.結論12參考文獻 121. 前言防火墻是保護網絡安全的重要組成部分，它往往部署在網絡的要塞位置，但其本身也是一個軟件、軟硬件，以

7、及訪問策略相結合的實體。設計上的漏洞和使用上的錯誤都會削弱防火墻的保護能力，也使得防火墻常常受到攻擊。文章列舉了一些防火墻攻擊的類型和方法，著重分析了幾種常用的防范這些攻擊的解決方案。2.黑客常用的攻擊手段 從第一臺計算機投入使用，第一個網絡協議推廣開來，以及硬件的更新，軟件的換代，種種缺陷和漏洞就潛在其中，特別是當計算機的應用遍布到世界的各個角落，這些缺陷和漏洞也隨之彌散開來。這里說的缺陷，包括軟件缺陷、硬件缺陷、網絡協議缺陷、管理缺陷和人為的失誤。開發(fā)人員在編寫源碼程序時，每寫一千行，至少會有一個漏洞(Bug，即使再高明的程序員也不例外，因此黑客技術的產生與發(fā)展也就不足為奇了。我

8、們知道標志著第三代計算機網絡OSI參考模型(Open System Interconnection/Reference Model，即開放式系統(tǒng)互連參考模型，常常用TCP/IP的4層模型來代替(如表1。(1接口層：主要利用物理鏈路的損壞、干擾，盜用物理地址以及通過網卡在數據傳輸中對數據進行監(jiān)聽。(2網際層：ICMP協議是用來傳送一些關于網絡和主機的控制信息的，如目標主機是不是可以到達的、路由的重定向、目標主機是否在使用等。常用的“ping”命令就是使用了ICMP協議。很多網絡攻擊工具就是利用了這個協議來實現的。在這一層主要是利用ICMP、IGMP協議的漏洞進行探測主機、DOS(拒絕服務攻擊、路

9、由欺騙。(3傳輸層：TCP協議提供的是面向連接的、可靠的數據流傳輸，而UDP協議提供的是非面向連接的、不可靠的數據流傳輸。顯然UDP協議在安全方面更難保證。這一層主要是利用TCP、UDP協議的缺陷，進行DOS、DDOS(分布式拒絕服務攻擊或是利用TCP序列號攻擊進行IP欺騙。(4應用層：應用層協議很多，如：TELNET、FTP、SMTP等，每一項服務開啟的背后都可能被多種多樣的攻擊所利用，如：超級用戶口令的獲取、特洛伊木馬的植入等。由上面的簡單分析，不難看出在開放式的網絡設計中，安全方面欠缺很多，再加上操作系統(tǒng)、軟件自身的漏洞以及配置管理與使用上的不規(guī)范使得黑客更是有機可乘。那么，黑客們主要采

10、取哪些攻擊技術呢？3. 常見的攻擊類型和方法從目前看來，黑客的攻擊手法和技術越來越智能化和多樣化，但就攻擊過程上看，大概可以范圍3類攻擊。第一類是探測在目標防火墻上安裝的是何種防火墻系統(tǒng)并找出次防火墻系統(tǒng)允許那些服務。通常稱為對防火墻的探測攻擊。最常見的就是木馬攻擊。第二類是采取地址欺騙、TCP序號攻擊等手法繞過防火墻的認證機制，從而對防火墻和內部網絡造成破壞。此類攻擊方法比較多樣，常見的有IP欺騙攻擊、分片攻擊等，而會話劫持攻擊是結合了欺騙技術以及嗅探在內的一種攻擊手段。第三類是尋找、利用防火墻系統(tǒng)實現和設計上的安全漏洞，從而有針對性的發(fā)動攻擊。這種攻擊難度比較大，可是破壞性很大。防火墻本質

11、上是一個操作系統(tǒng)，有其軟件和硬件，因此依然存在漏洞。所以其本身也可能受到攻擊和出現軟/硬件方面的故障。4.防止攻擊的方法4.1防控DDoS攻擊DDoS攻擊即拒絕服務攻擊。從現在和未來看，防火墻都是抵御的重要組成部分，這是由防火墻在網絡拓撲的位置和扮演的角色決定的，下面列舉防火前對付DoS/DDoS攻擊的集中有效防范方法。4.2基于狀態(tài)的資源控制，保護防火墻資源有些防火墻支持IP Inspect功能，對進入防火墻的資料做嚴格的檢查，各種針對系統(tǒng)漏洞的攻擊包如Ping Of Death,TearDrop等，會自動被系統(tǒng)過濾掉congress保護網絡。對防火墻來說，資源是十分寶貴的，當收到來自外來的

12、DDos攻擊時，系統(tǒng)內部的資源全部被攻擊流所占用，此時正常的資料報文肯定會受到影響?；跔顟B(tài)的資源控制回自動監(jiān)測網絡內所有的連接狀態(tài)，當有連接長時間未得到應答就處于半連接狀態(tài)，浪費系統(tǒng)資源，當系統(tǒng)內的半連接超過正常的范圍時，就有可能判斷是遭受了攻擊。防火墻基于狀態(tài)的資源控制能有效的控制這類情況，具體體現在一下5點：控制連接、與半連接的超時時間；必要時，可以縮短半連接的超時時間，加速半連接的老化。限制系統(tǒng)各個協議的最大連接值，保證協議的連接總數不超過系統(tǒng)限制，在達到連接上限后刪除新建的連接。限制系統(tǒng)符合條件源/目的主機連接數量。針對源或目的IP地址做流限制，Inspect可以限制每個IP地址的資

13、源，用戶在資源控制的范圍內時，使用并不會受到影響，但當用戶感染蠕蟲病毒或發(fā)送攻擊報文等情況時，針對流的資源控制可以限制每個IP地址發(fā)送的連接數目，超過限制的連接數目將被丟棄，這種做法可以有效的抑制病毒產生攻擊的效果，避免其他正常使用的用戶受到影響。單位時間內如果穿過防火墻的“同類”數據流超過門限值后，可以設定對該種類的數據流進行阻斷，對于防止IP，ICMP，UDP等非連接的Flood攻擊具有良好的防御效果。4.3智能TCP代理有效防范SYN FloodSYN Flood是DDoS攻擊中危害性最強，也是最難防范的一種。這種攻擊利用TCP協議的缺陷，發(fā)送大量的TCP連接請求，從而使得被攻擊方資源耗

14、盡。防火墻工作時，并不會立即開啟TCP代理，只有當網絡中的TCP半連接達到啟動警戒線時，正常TCP Intercept會自動啟動，當網絡中的TCP半連接達到入侵警戒線時，系統(tǒng)進入入侵模式，此時新連接回覆蓋舊的TCP連接；此后，系統(tǒng)全連接數增多，半連接數減小，當半連接數降到入侵警戒線以下時，系統(tǒng)退出入侵模式。如果此時停止攻擊，系統(tǒng)半連接數逐漸降到TCP代理啟動警戒線以下，智能TCP代理模塊停止工作。通過智能TCP代理可以有效防止SYN Flood攻擊，保證網絡資源安全。4.4利用NetFlow對DoS攻擊和病毒監(jiān)測支持NetFlow功能的防火墻，將網絡交換中的資料包識別為流的方式加以記錄，并封裝

15、為UDP資料包發(fā)送到分析器上，這樣就為網絡管理、流量分析和監(jiān)控、入侵檢測等提供了豐富的資料來源，即可以再不影響轉發(fā)性能的同時記錄、發(fā)送NetFlow信息，并能夠利用一些流量分析工具對接收到的資料進行分析、處理，從而可以統(tǒng)計出每天流量的TOP TEN或者業(yè)務的TOP TEN等，以此作為標準，當發(fā)現網絡流量異常時，就可以可以利用NetFlow有效的查找、定位DDoS攻擊的來源。4.5防范溢出策略目前，大多數的防火墻系統(tǒng)都是針對包過濾規(guī)則進行安全防御的，這種類型的防火墻在高也只能工作在傳輸層，而溢出程序的shellcode是放在應用層的，因此對這類攻擊就無能為力了。及到對黑客的防范，必須首先明確網絡

16、系統(tǒng)的安全。我們認為，網絡系統(tǒng)安全有下列3個中心目標：其一是保密性，即保證非授權操作不能獲取受保護的信息或計算機資源；其二是完整性，即保證非授權操作不能修改數據；其三是有效性，即保證非授權操作不能破壞信息或計算機資源。具體是指基于網絡運作和網絡間物理線路和聯接的安全、網絡信息傳輸的安全、操作系統(tǒng)安全、應用服務安全、人員管理安全等幾個方面。要實現這些方面的安全，除了明確黑客攻擊的原理，還必須熟悉防范采用的技術，進而才能采取具體的防范措施。對這種漏洞的解決方案如下： 常見的防范技術分為兩類，即主動防范技術與被動防范技術。主動防范技術包括數字簽名技術、取證技術、陷阱技術等。被動防范技術包括

17、防火墻技術、入侵檢測技術等。a. 數字簽名技術數字簽名技術是采用加密技術的加、解密算法體制來對報文進行處理，以達到發(fā)送方不能否認所發(fā)送的報文；接收方能夠證實發(fā)送方的真實身份這兩方面的目的。實現數字簽名的方法多種，但采用公開密鑰算法要比常規(guī)算法更容易實現。公開密鑰密碼體制主要的特點就是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰公開密鑰PK和秘密密鑰SK。只有同時使用收、發(fā)雙方的解密密鑰和公開密鑰才能獲得原文，從而對口令入侵、網絡監(jiān)聽有很好的防范作用。b. 陷阱技術陷阱技術是隱藏在防火墻后面，通過模擬一些常見的系統(tǒng)漏洞，制造一個被入侵的網絡環(huán)境，誘導入侵者對系統(tǒng)發(fā)生攻擊。在攻擊的過程中對此環(huán)

18、境中的進出數據進行捕獲與控制，并對被捕獲數據進行分析，從而理解和研究入侵者們使用的工具、入侵的方法以及入侵的動機。由此獲取不同系統(tǒng)的第一手入侵數據，這樣做，一方面可以轉移攻擊目標，保護目標機；另一方面可以進行系統(tǒng)評估、優(yōu)化入侵檢測系統(tǒng)、防火墻系統(tǒng)，為制定強有力的安全決策提供依據。c. 取證技術取證技術是利用在受保護的計算機中事先安裝上代理，當黑客入侵該機的時候，對于系統(tǒng)的操作，或是對于文件的修改、刪除、復制、傳送等行為，系統(tǒng)和代理會產生相應的日志文件加以記錄，這些日志文件被迅速傳遞到取證機中加以備份保存，并由分析機調取日志文件信息，結合網絡數據進行相關分析。一方面通過定性、定量的分析可以確定是

19、否入侵以及入侵的來源、入侵的方式、入侵的程度等信息；另一方面保存原始數據用來作為被入侵的證據。 d. 防火墻技術防火墻技術是在受保護網和不被信任的網絡之間設立一個屏障，對進出的所有報文進行分析，或對用戶進行認證，其主要功能就是通過對受保護網絡的非法訪問的控制，達到防范外網對內網、內網對外網的非法訪問。從防火墻技術發(fā)展的總體來看，大概經歷了包過濾技術、代理技術和狀態(tài)監(jiān)視技術3個階段。包過濾技術主要針對網絡層的安全，檢查傳輸過程中不符合規(guī)定的IP地址；代理技術是通過在兩個網絡之間設置代理服務器，檢查雙方信息傳輸的合法性，由此將內部用戶與外界隔離開來；狀態(tài)監(jiān)視技術是在不影響安全正常工作的前提下，通過

20、對相關數據采樣來對網絡的各層實行監(jiān)測，為安全決策提供支持。e. 入侵檢測技術入侵檢測技術是通過對系統(tǒng)與網絡日志文件、私有數據文件、程序執(zhí)行中的不期望行為等方面信息的搜集，利用模式匹配、統(tǒng)計分析、完整性校驗等方法進行監(jiān)視分析用戶和系統(tǒng)行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數據的完整性以達到對入侵行為識別、預警、報告、處理的目的。大體上分為兩類，即基于主機的入侵檢測技術與基于網絡的入侵檢測技術。前者分析得細致，結論準確性高；后者響應得及時，便于實時分析，兩者各有所長。實際應用中可相互補充、結合進行。  在具體的生活實際中，要進行防范黑客入侵的工作，往往要從兩方面著手。一方面是

21、彌補人員自身存在的缺陷；另一方面是從實際的網絡環(huán)境出發(fā)，改善安全狀況。a. 彌補人員自身的缺陷首先，要強化管理人員的安全防范意識。管理人員，作為安全防范第一線的負責人，責任重大。要求不僅具備系統(tǒng)管理的必備知識，熟悉系統(tǒng)的漏洞與常出現的問題，而且應具備全局意識，明確本地的安全策略，選擇安全的服務器系統(tǒng)，設置安全的存取控制權限，定期分析系統(tǒng)日志、備份重要文件，及時解決如操作系統(tǒng)的補丁程序的下載、安裝，入侵行為的處理等方面的問題，而且要不定期組織相關人員的培訓，提高安全防范的技能。其次，樹立個人的安全防范意識，這一點說起來容易，做起來很難。例如：你是否常常對不明來歷的郵件感興趣，并隨意地打開？你是否

22、下載不知名的軟件并運行？在密碼設置上是否是用純數字、純字符或是英文單詞，并且常常不更換？你是否有備份的習慣等等。這時候，也許某個木馬程序已經悄悄植入，帳號密碼已經更換，文件已被竊取。關于網站安全調查的結果表明：超過80的安全侵犯都是由于人們選用了拙劣的口令而導致的。所以，安全防范意識一定要從使用者本身抓起。b. 改善網絡環(huán)境的安全狀況根據本地的安全策略，選擇適合的安全防范系統(tǒng)。上圖給出了一個局域網的安全防范拓撲圖。首先考慮安裝防火墻(見圖。防火墻技術是控制對網絡系統(tǒng)訪問的首選方法。據某網站統(tǒng)計，超過三分之一的Web網點都是通過某種形式的防火墻加以保護，有百分之七十的網絡入侵可以通過防火墻防范于

23、未然。另外，任何對關鍵服務器的訪問都應該通過代理服務器，這雖然降低了服務的某些性能，但從安全的角度考慮，是完全值得的。其次考慮安裝入侵檢測系統(tǒng)(IDS。前面已經介紹了基于主機的入侵檢測系統(tǒng)(見圖和基于網絡的入侵檢測系統(tǒng)(見圖的特點。前者性能價格比高，不需增加專門的硬件平臺，適用于被加密的、交換的環(huán)境；后者價格昂貴，但偵測速度快、隱蔽性好、占用資源少、不依賴主機的操作系統(tǒng)。二者各有優(yōu)劣，可根據安全策略的不同考慮采取不同措施，也可以二者結合使用。第三考慮安裝取證系統(tǒng)(見圖。在實際的入侵防范中，許多入侵行為都是轉瞬即逝的，即使察覺也難于拿出證據，并將入侵者訴諸于公堂。于是就迫切需要由第三方公證的取證

24、系統(tǒng)出臺，為利益損失的一方提出訴訟的依據，以便維護損失方的利益。那么，有此方面安全策略需求的可以采取安裝取證系統(tǒng)。第四考慮安裝陷阱系統(tǒng)(見圖。這一系統(tǒng)主要針對網絡入侵行為的研究，入侵的時間、入侵的渠道、采用的方法、入侵的目的等，可以作為輔助手段用于分析網絡的系統(tǒng)漏洞，需要采用什么樣的安全策略，需要在哪些方面調整，為進一步監(jiān)督、保障安全策略的執(zhí)行做好準備。4.6對希望保護的主機實行“單獨開放端口”訪問控制策略所謂“單獨開放窗口”就是指只開放需要提供的端口，對于不需要提供服務的端口實行過濾策略。遠程溢出的攻擊實施流程如圖3-2-1所示。圖3-2-1 遠程溢出的攻擊實施流程圖使用“單獨開放端口”策略的解決方案對整個遠程溢出過程所發(fā)生的前三部都是無能為力的，但第四步能夠有效地阻止黑客連上有缺陷主機的被溢出端口，從而切斷了黑客的惡意攻擊手段。這種方案的優(yōu)點是操作簡單，一般的網絡/系統(tǒng)管理員