網(wǎng)絡(luò)攻擊與安全防御的分析論文正稿

1、本科畢業(yè)設(shè)計(jì)（論文）題目：網(wǎng)絡(luò)攻擊與安全防御的分析學(xué)生：學(xué)號(hào)：系（部）：數(shù)學(xué)與計(jì)算機(jī)系 專業(yè)：計(jì)算機(jī)科學(xué)與技術(shù) 入學(xué)時(shí)間：201年月導(dǎo)師：職稱/學(xué)位：導(dǎo)師所在單位：網(wǎng)絡(luò)攻擊與安全防御的分析摘 要隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已涉與到國(guó)家、軍事、金融、科技、教育等各個(gè)領(lǐng)域成為社會(huì)發(fā)展的重要保證。因此需要一些新的技術(shù)和解決方案來防御網(wǎng)絡(luò)安全威脅，具有主動(dòng)防護(hù)功能的網(wǎng)絡(luò)攻擊轉(zhuǎn)移防護(hù)系統(tǒng)就是其中的一種。對(duì)網(wǎng)絡(luò)攻擊轉(zhuǎn)移防護(hù)系統(tǒng)的主動(dòng)防御功能進(jìn)行了探討，并論述了將其用于網(wǎng)絡(luò)安全防護(hù)的優(yōu)缺點(diǎn)。在全面分析常見的網(wǎng)絡(luò)攻擊手段與對(duì)策的基礎(chǔ)上，結(jié)合可適應(yīng)網(wǎng)絡(luò)安全理論提出了一種有效的攻擊防御系統(tǒng)，網(wǎng)絡(luò)攻擊效

2、果評(píng)估技術(shù)研究等。通過對(duì)網(wǎng)絡(luò)安全脆弱性的分析，研究了網(wǎng)絡(luò)攻擊的方式和過程，分析了網(wǎng)絡(luò)安全防御的特點(diǎn)、策略和過程。關(guān)鍵詞：網(wǎng)絡(luò)攻擊；網(wǎng)絡(luò)安全；防御analysis ofnetwork attackand networkdefenseAbstractIn the information age, network has become important and indispensable for social. in network development and its extensive use, the problems ofnetwork security are increasingly

3、 serious,ofwhichnetwork attack becomes a threat to net-work security that can notbe ignored. This paperhas analyzedmethods and characteristics of the network attack and put forward somedefense strategies of strengthening network security.Key words：network security；network attack；defense 目錄前言1第一章網(wǎng)絡(luò)攻擊

4、概述11.1網(wǎng)絡(luò)攻擊概述11.1.1網(wǎng)絡(luò)攻擊11.1.2網(wǎng)絡(luò)攻擊的步驟21.2網(wǎng)絡(luò)防御技術(shù)的概述21.2.1網(wǎng)絡(luò)安全的特性21.2.2網(wǎng)絡(luò)安全的分析31.2.3網(wǎng)絡(luò)安全技術(shù)手段4第二章網(wǎng)絡(luò)攻擊的主流技術(shù)52.1電子欺騙52.2程序攻擊7第三章網(wǎng)絡(luò)安全的防御技術(shù)分析93.1 網(wǎng)絡(luò)安全防御的過程分析93.2數(shù)據(jù)加密技術(shù)93.3防火墻技術(shù)103.4入侵檢測(cè)11結(jié)束語(yǔ)13參考文獻(xiàn)1412 / 15網(wǎng)絡(luò)攻擊與安全防御的分析前 言隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已涉與到國(guó)家、軍事、金融、科技、教育等各個(gè)領(lǐng)域，成為社會(huì)發(fā)展的重要保證。但是網(wǎng)絡(luò)的開放性和共享性，使網(wǎng)絡(luò)受到外來的攻擊，這樣給網(wǎng)絡(luò)造成的嚴(yán)

5、重攻擊會(huì)使正常的數(shù)據(jù)被竊取，服務(wù)器不能正常提供服務(wù)等等，人們采取一些有效的措施和手段來防止網(wǎng)絡(luò)遭受破壞，例如防火墻和一些網(wǎng)絡(luò)技術(shù)手段等，傳統(tǒng)的信息安全技術(shù)，主要是在阻擋攻擊(防火墻)或與時(shí)偵測(cè)攻擊。一旦攻擊者繞過防火墻隨意訪問部服務(wù)器時(shí)，防火墻就無(wú)法提供進(jìn)一步的防護(hù)。與時(shí)偵測(cè)攻擊只有在攻擊開始時(shí)才會(huì)提供信息，但這卻無(wú)法為你爭(zhēng)取足夠的時(shí)間以保護(hù)所有易被攻擊的系統(tǒng)。無(wú)法判斷出新的攻擊是否成功，或被攻系統(tǒng)是否成為跳板。所以一個(gè)成功的防御措施，應(yīng)是既可以拖延攻擊者，又能為防御者提供足夠的信息來了解敵人，避免攻擊造成的損失。靈活的使用網(wǎng)絡(luò)攻擊轉(zhuǎn)移防護(hù)技術(shù)，就可以達(dá)到上述目標(biāo)。設(shè)計(jì)好的牢籠系統(tǒng)中，拖延并控

6、制住攻擊者，進(jìn)而保護(hù)真正的服務(wù)器并研究黑客為防御者提供攻擊者手法和動(dòng)機(jī)的相關(guān)信息。第一章網(wǎng)絡(luò)攻擊概述1.1網(wǎng)絡(luò)攻擊概述1.1.1網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊也稱為網(wǎng)絡(luò)入侵，網(wǎng)絡(luò)攻擊帶來的危害就像一顆核武器爆炸帶來的傷害，企圖危與到網(wǎng)絡(luò)資源的安全性和完整性的行為，破壞系統(tǒng)的安全措施以達(dá)到非法訪問信息，改變系統(tǒng)的行為和破壞系統(tǒng)的可用性的目的。網(wǎng)絡(luò)攻擊主要是通過信息收集、分析、整理后發(fā)現(xiàn)目標(biāo)系統(tǒng)漏洞與弱點(diǎn),有針對(duì)性地對(duì)目標(biāo)系統(tǒng)(服務(wù)器、網(wǎng)絡(luò)設(shè)備與安全設(shè)備)進(jìn)行資源入侵與破壞,信息竊取、監(jiān)視與控制的活動(dòng)。主要有以下幾點(diǎn)：(1)外部滲透是指未被授權(quán)使用計(jì)算機(jī)又未被使用數(shù)據(jù)或程序資源的透。(2)部滲透是指雖被授權(quán)使用

7、計(jì)算機(jī)但未被使用數(shù)據(jù)或程序資源的滲透。(3)不法使用是指利用授權(quán)使用計(jì)算機(jī)數(shù)據(jù)和程序資源合法用戶身份的滲透。網(wǎng)絡(luò)攻擊策略與攻擊過程:攻擊者的攻擊策略可以概括信息收集、分析系統(tǒng)的安全弱點(diǎn)、模擬攻擊、實(shí)施攻擊、改變?nèi)罩尽⑶宄圹E等，信息收集目的在于獲悉目標(biāo)系統(tǒng)提供的網(wǎng)絡(luò)服務(wù)與存在的系統(tǒng)缺陷,攻擊者往往采用網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)口令攻擊等。在收集到攻擊目標(biāo)的有關(guān)網(wǎng)絡(luò)信息之后，攻擊者探測(cè)網(wǎng)絡(luò)上每臺(tái)主機(jī),以尋求該系統(tǒng)安全漏洞。根據(jù)獲取信息,建立模擬環(huán)境,對(duì)其攻擊,并測(cè)試可能的反應(yīng),然后對(duì)目標(biāo)系統(tǒng)實(shí)施攻擊。猜測(cè)程序可對(duì)截獲用戶賬號(hào)和口令進(jìn)行破譯；破譯程序可對(duì)截獲的系統(tǒng)密碼文件進(jìn)行破譯；對(duì)網(wǎng)絡(luò)和系統(tǒng)本身漏洞可實(shí)施電

8、子引誘(如木馬)等。大多數(shù)攻擊利用了系統(tǒng)本身的漏洞，在獲得一定的權(quán)限后，以該系統(tǒng)為跳板展開對(duì)整個(gè)網(wǎng)絡(luò)的攻擊。同時(shí)攻擊者都試圖毀掉攻擊入侵的痕跡。在目標(biāo)系統(tǒng)新建安全漏洞或后門，以便在攻擊點(diǎn)被發(fā)現(xiàn)之后，繼續(xù)控制該系統(tǒng)。1.1.2網(wǎng)絡(luò)攻擊的步驟在網(wǎng)絡(luò)更新的時(shí)代，網(wǎng)絡(luò)中的安全漏洞無(wú)處不在，網(wǎng)絡(luò)攻擊正是利用對(duì)安全的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行攻擊。主要有以下步驟：（1）隱藏自己的位置普通的攻擊者通常會(huì)用他人的電腦隱藏他們真實(shí)的IP地址，老練的攻擊者會(huì)用的無(wú)人轉(zhuǎn)接服務(wù)連接ISP然后盜用他人的賬號(hào)上網(wǎng)。（2）尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)攻擊者主要利用域名和IP地址可以找到目標(biāo)主機(jī)的位置，但是必須將主機(jī)的操作

9、系統(tǒng)類型和提供的服務(wù)等資料做了全面的了解。知道系統(tǒng)的哪個(gè)版本，有哪些賬戶www，ftp等服務(wù)程序是哪個(gè)版本，并做好入侵的準(zhǔn)備。 （3）獲得賬號(hào)和密碼并登陸主機(jī)攻擊者如果想要用戶的資料必須要有用戶的賬號(hào)和密碼，對(duì)用戶的賬號(hào)進(jìn)行破解從中獲得賬號(hào)和口令，再尋找合適的機(jī)會(huì)進(jìn)入主機(jī)。利用某些工具或者系統(tǒng)的登陸主機(jī)也是一種方法。 （4）獲得控制權(quán)網(wǎng)絡(luò)攻擊者登陸并獲得控制權(quán)后，清除記錄，刪除拷貝的文件等手段來隱藏自己的蹤跡之后，攻擊者就開始下一步。 （5）竊取網(wǎng)絡(luò)資源和特權(quán)攻擊者找到攻擊目標(biāo)后，會(huì)繼續(xù)下一步，例如下載資源信息，竊取賬號(hào)密碼信用卡號(hào)等經(jīng)濟(jì)盜竊使網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)攻擊的原理:網(wǎng)絡(luò)入侵總是利用系統(tǒng)存在

10、的缺陷，這些缺陷可能是網(wǎng)絡(luò)的不合理規(guī)劃造成的，也可能是系統(tǒng)的開發(fā)所留下的BUD，還有是人為的安全疏忽所造成的系統(tǒng)口令丟失，明文通信信息被監(jiān)聽等。主要有網(wǎng)絡(luò)協(xié)議的缺陷如ARP協(xié)議、TCP/IP協(xié)議、UDP協(xié)議、ICMP協(xié)議等。系統(tǒng)或者軟件設(shè)計(jì)中的漏洞，人為的失誤或者疏忽。1.2網(wǎng)絡(luò)防御技術(shù)的概述在網(wǎng)絡(luò)防御中，隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷發(fā)展，以與難度越來越大，網(wǎng)絡(luò)防御技術(shù)也面臨著同樣的問題，需要不斷提高防御技術(shù)。1.2.1網(wǎng)絡(luò)安全的特性網(wǎng)絡(luò)安全的主要因素有性、完整性、可用性、可控性、可審查性。性是指信息不泄露給非授權(quán)用戶、實(shí)體和過程或者供其利用的特性。完整性是指數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性?？捎眯灾?/p>

11、授權(quán)用戶使用并按照需求使用的特性?？煽匦詫?duì)信息的傳播和容具有控制能力?？蓪彶樾猿霈F(xiàn)的安全問題時(shí)提供依據(jù)與手段。1.2.2網(wǎng)絡(luò)安全的分析1.物理安全分析網(wǎng)絡(luò)的物理安全的分析是整個(gè)網(wǎng)絡(luò)安全的前提。在網(wǎng)絡(luò)工程中，網(wǎng)絡(luò)工程屬于弱電工程，耐壓值低。在設(shè)計(jì)過程中必須首先保護(hù)人和網(wǎng)絡(luò)設(shè)備不受電，火災(zāi)雷電的襲擊，考慮布線的問題還要考慮計(jì)算機(jī)與其他弱電耐壓設(shè)備的防雷?？偟膩碚f物理安全風(fēng)險(xiǎn)有地震、火災(zāi)等環(huán)境、電源故障、人為操作失誤或錯(cuò)誤，高可用性的硬件，雙機(jī)多冗余的設(shè)計(jì)，機(jī)房環(huán)境與報(bào)警系統(tǒng)、安全意識(shí)等，要盡量避免網(wǎng)絡(luò)物理安全風(fēng)險(xiǎn)。2.網(wǎng)絡(luò)結(jié)構(gòu)的安全分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全，在外部和部網(wǎng)絡(luò)進(jìn)行

12、通信時(shí)，部網(wǎng)絡(luò)的機(jī)器就會(huì)受到安全的威脅，同樣也會(huì)影響到其他的系統(tǒng)。通過網(wǎng)絡(luò)的傳播還能影響到其它的網(wǎng)絡(luò)，我們?cè)谧鼍W(wǎng)絡(luò)設(shè)計(jì)時(shí)有必要公開服務(wù)器和外網(wǎng)與其網(wǎng)絡(luò)進(jìn)行必要的隔離，避免網(wǎng)絡(luò)信息的泄漏。同時(shí)還要對(duì)外部的服務(wù)請(qǐng)求加以過濾，只允許正常的數(shù)據(jù)包到達(dá)相應(yīng)的主機(jī)，其它的服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。3.系統(tǒng)安全的分析系統(tǒng)安全的分析是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)平臺(tái)是否可靠和值得信賴，沒有安全的網(wǎng)絡(luò)操作系統(tǒng)，不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)做詳細(xì)的分析。選擇安全性比較高的操作系統(tǒng)并對(duì)操作系統(tǒng)進(jìn)行安全配置，必須加強(qiáng)登陸過程的認(rèn)證，確保用戶的合法性；其次限制操作用戶的登陸權(quán)限，將其完成的操作限制在最小的圍。1

13、.2.3網(wǎng)絡(luò)安全技術(shù)手段 物理措施 保護(hù)網(wǎng)絡(luò)的關(guān)鍵設(shè)備，制定完整的網(wǎng)絡(luò)安全規(guī)章制度。采取防火、防輻射、安裝不間斷電源等措施。 訪問控制 對(duì)用戶進(jìn)行網(wǎng)絡(luò)資源的訪問權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如進(jìn)行用戶身份認(rèn)證、對(duì)口令加密更新和鑒別等。 數(shù)據(jù)加密 加密是數(shù)據(jù)保護(hù)的重要手段，其作用是保障信息被人截獲后不能讀懂含義，防止計(jì)算機(jī)網(wǎng)絡(luò)病毒，安裝防止網(wǎng)絡(luò)病毒系統(tǒng)。第二章網(wǎng)絡(luò)攻擊的主流技術(shù)2.1電子欺騙電子欺騙是通過偽造源于一個(gè)可信任地址的數(shù)據(jù)包以使一臺(tái)機(jī)器認(rèn)證另一臺(tái)機(jī)器的電子攻擊手段。它可分為IP電子欺騙、ARP電子欺騙和DNS電子欺騙三種類型。1.IP電子欺騙攻擊IP電子欺騙是攻擊者攻克工internet

14、防火墻系統(tǒng)最常用的方法，也是許多其他攻擊方法的基礎(chǔ)。IP欺騙技術(shù)就是通過偽造某臺(tái)主機(jī)的IP地址，使得某臺(tái)主機(jī)能夠偽裝成另外一臺(tái)主機(jī)，而這臺(tái)主機(jī)往往具有某種特權(quán)或被另外主機(jī)所信任。對(duì)于來自網(wǎng)絡(luò)外部的欺騙來說，只要配置一下防火墻就可以，但對(duì)同一網(wǎng)絡(luò)的機(jī)器實(shí)施攻擊則不易防。一些基于遠(yuǎn)程過程調(diào)用（RPC）的命令都是采用客戶/服務(wù)器模式，在一個(gè)主機(jī)上運(yùn)行客戶程序，在另一個(gè)主機(jī)上運(yùn)行服務(wù)器模式。在建立遠(yuǎn)程連接時(shí)，服務(wù)程序根據(jù)文件進(jìn)行安全檢查，并只根據(jù)信源IP地址來確認(rèn)用戶的身份，以確定是否接受用戶的RPC請(qǐng)求。由于RPC連接基于特定端口的TCP連接，而建立TCP連接需要建立三次握手過程，每次建立連接時(shí)TC

15、P都要為該連接產(chǎn)生一個(gè)初序列號(hào)ISN。 如果掌握了TCP初始序列分配方法與隨時(shí)間的變化規(guī)律，很容易實(shí)施IP電子欺騙攻擊。 假設(shè)B是A的所信任的主機(jī)，信任是指A的/etc/hosts. equiv 和SHOME /. 文件中注冊(cè)B的IP地址，如果C企圖攻擊A，那么必須知道A信任B。C采用IP欺騙手段攻擊的過程：（1）假設(shè)C知道了A信任B的，首先使B的網(wǎng)絡(luò)暫時(shí)癱瘓，以免B干擾攻擊?？梢酝ㄟ^TCP SYN flood 攻擊將B的網(wǎng)絡(luò)功能暫時(shí)癱瘓。（2）C設(shè)法探測(cè)A的當(dāng)前的ISN，可以向端口號(hào)25發(fā)送TCP SYN報(bào)文請(qǐng)求來實(shí)現(xiàn)。端口25是SMTP服務(wù)，不做任何檢查并計(jì)算C到A的RTT平均值，如果了解

16、了A的ISN基值和增加規(guī)律（如果每秒增加128000，連續(xù)增加64000）也可計(jì)算到C到A的RTT平均值，可以立刻轉(zhuǎn)入IP欺騙攻擊。（3） C偽裝B向A發(fā)送TCP SYN報(bào)文請(qǐng)求建立連接，原來的IP為B，TCP的端口為513，A向B回送TCP SYN+ACK進(jìn)行響應(yīng)。因?yàn)锽的網(wǎng)絡(luò)功能暫時(shí) 處于癱瘓的狀態(tài)，無(wú)法向A發(fā)送TCP SYN+ACK進(jìn)行響應(yīng)。（4）C偽裝成B向A發(fā)送TCP ACK 報(bào)文，該報(bào)文中帶有C檢測(cè)A的序列號(hào)ISN+1。如果序列預(yù)測(cè)準(zhǔn)確，那么這個(gè)TCP連接便建立起來了并轉(zhuǎn)入數(shù)據(jù)傳送階段。由于這是A和B之間的連接，A向B發(fā)送數(shù)據(jù)時(shí)，而不是向C，因此C還需要假冒B向A類似重定向命令來實(shí)

17、現(xiàn)通信。并且執(zhí)行A的shell，獲得root 權(quán)限。如果序列號(hào)預(yù)測(cè)不準(zhǔn)確，則本次攻擊宣告失敗。IP欺騙攻擊主要采用了RPC服務(wù)器的安全檢查依賴于信源IP地址的弱點(diǎn)，但是一旦預(yù)測(cè)了A的ISN，攻擊成功率很大。過程如圖所示：圖1：IP欺騙攻擊原理圖1)使B癱瘓 2)ISN和RTT3)假冒B建立連接4)重定向獲取數(shù)據(jù) 獲得shell和root權(quán)限2.ARP電子欺騙ARP電子欺騙是一種更改ARP Cache的技術(shù)。Cache中含有IP與物理地址的映射信息，如果攻擊者更改了A即Cache中IP物理地址聯(lián)編，來自目標(biāo)的數(shù)據(jù)包就能發(fā)送到攻擊的物理地址，因?yàn)橐罁?jù)映射信息，目標(biāo)機(jī)己經(jīng)信任攻擊者的機(jī)器了。防止A即

18、欺騙:把網(wǎng)絡(luò)安全信任關(guān)系建立在IP基礎(chǔ)上，而不僅是兩者之一；設(shè)置靜態(tài)IP對(duì)應(yīng)表，讓主機(jī)刷新你設(shè)定好的轉(zhuǎn)換表;使用代理IP的傳輸。3.DNS電子欺騙當(dāng)攻擊者危害DNS服務(wù)器并明確地更改主機(jī)名IP地址映射表時(shí)，DNS欺騙就會(huì)發(fā)生。這些改變被寫入DNS服務(wù)器上的轉(zhuǎn)換表。因而當(dāng)一個(gè)客戶機(jī)請(qǐng)求查詢時(shí)，用戶只能得到這個(gè)偽造的地址，該地址是一個(gè)完全處于攻擊者控制下的機(jī)器的地址。因?yàn)榫W(wǎng)絡(luò)上的主機(jī)都信任DNS服務(wù)器，所以一個(gè)被破壞的DNS服務(wù)器可以將客戶引導(dǎo)到非法的服務(wù)器，也可以欺騙服務(wù)器相信一個(gè)IP地址確實(shí)屬于一個(gè)被信任客戶。防方法是用轉(zhuǎn)化得到的IP地址或域名再次作反向轉(zhuǎn)換驗(yàn)證。4.炸彈電子炸彈是最古老的匿名

19、攻擊之一,通過設(shè)置一臺(tái)機(jī)器不斷地大量的向同一地址發(fā)送電子,攻擊者能夠耗盡接收者網(wǎng)絡(luò)的帶寬,占據(jù)空間,使用戶儲(chǔ)存空間消耗殆盡,從而阻止用戶對(duì)正常的接收,妨礙計(jì)算機(jī)的正常工作。防止炸彈的方法主要有通過配置路由器,有選擇的接受電子,對(duì)地址進(jìn)行配置,自動(dòng)刪除來自同一主機(jī)的過量或重復(fù)的消息,也可使自己的SMTP連接只能達(dá)到指定的服務(wù)器,從而免受外界的侵襲。安全漏洞包括操作系統(tǒng)漏、網(wǎng)絡(luò)協(xié)議漏洞、數(shù)據(jù)庫(kù)系統(tǒng)漏洞、應(yīng)用程序漏洞、硬件漏洞等。任何的軟件都不可能是完美，總是存在一些漏洞，這也是軟件不斷升級(jí)和打補(bǔ)丁的原因之一。漏洞可能造成計(jì)算機(jī)資料的丟失或計(jì)算機(jī)不能正常使用。由于計(jì)算機(jī)各種漏洞太多，因此，有人用“野

20、火燒不盡，春風(fēng)吹又生”來形容安全漏洞。操作人員疏忽例如操作人員的安全意識(shí)不強(qiáng)，配置不當(dāng)，沒采取必要的安全防護(hù)措施，疏忽大意導(dǎo)致的失誤，誤操作等。黑客攻擊是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大的威脅。黑客是一群熟練掌握網(wǎng)絡(luò)技術(shù)，專門對(duì)計(jì)算機(jī)網(wǎng)絡(luò)搞破壞或入侵的人。黑客沒有國(guó)家地域的限制，只要遇到他們感興趣的東西，他們就會(huì)利用各種方法和手段將其黑到手。2.2程序攻擊程序攻擊就是通過編寫一些程序代碼，讓計(jì)算機(jī)來執(zhí)行一系列指令，進(jìn)而破壞系統(tǒng)的正常運(yùn)行。病毒是一些程序，常常修改同一計(jì)算機(jī)中的另一些程序，將自己復(fù)制進(jìn)其他程序代碼中。一般的復(fù)制方法有覆蓋型與附著型兩種。當(dāng)病毒發(fā)作時(shí)，會(huì)使系統(tǒng)產(chǎn)生不正常的動(dòng)作。特洛伊木馬程序

21、是駐留在目標(biāo)計(jì)算機(jī)中的一個(gè)程序，在程序中提供了一些符合正常意愿使用的功能，但在其中卻隱藏了用戶不知道的其他程序代碼，當(dāng)目標(biāo)計(jì)算機(jī)啟動(dòng)時(shí)，木馬程序也啟動(dòng)，然后在某一特定端口監(jiān)聽。一旦條件成熟，這些非法代碼就會(huì)被激活而執(zhí)行一些操作，如傳送或刪除文件，竊取口令，重新啟動(dòng)機(jī)器等，使系統(tǒng)不能正常工作。特洛伊木馬程序技術(shù)是黑客常用的攻擊手段。它通過在你的電腦系統(tǒng)隱藏一個(gè)會(huì)在windows啟動(dòng)時(shí)運(yùn)行的程序,采用服務(wù)器/客戶機(jī)的運(yùn)行方式,從而達(dá)到在上網(wǎng)是控制你的電腦目的。特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。特洛伊木馬程序包括兩個(gè)部分,即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中轉(zhuǎn)播的指令。特洛伊木馬

22、具有很強(qiáng)的生命力,在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個(gè)含有特洛伊木馬的程序時(shí),它能把自己插入一些未被感染的程序中，從而使它們受到感染。防止在正常程序中隱藏特洛伊木馬的主要方法是人們?cè)谏晌募r(shí)，對(duì)每一個(gè)文件進(jìn)行數(shù)字簽名,而在運(yùn)行文件時(shí)通過對(duì)數(shù)字簽名的檢查來判斷文件是否被修改,從而確定文件中是否含有特洛伊木馬。蠕蟲是一種可以在網(wǎng)上不同主機(jī)間傳播，而不須修改目標(biāo)主機(jī)上其他程序的一類程序。它不一定會(huì)破壞任何軟件和硬件，蠕蟲不斷通過計(jì)算機(jī)網(wǎng)絡(luò)將自己傳送到各處，最后由于不斷的擴(kuò)使得系統(tǒng)不勝負(fù)荷。它還不斷地收集包含密碼或文件在的信息，蠕蟲嚴(yán)重地消耗系統(tǒng)的資源和帶寬。近幾年出現(xiàn)了綜合各種網(wǎng)絡(luò)攻擊手段的網(wǎng)絡(luò)欺騙攻擊、分布式

23、拒絕服務(wù)攻擊和分布式網(wǎng)絡(luò)病毒攻擊。下面是各類網(wǎng)絡(luò)攻擊技術(shù)的分類與其新近的發(fā)展:漏洞類攻擊:針對(duì)掃描器發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)的各種漏洞實(shí)施的相應(yīng)攻擊，跟隨新發(fā)現(xiàn)的漏洞，攻擊手段不斷地翻新，防不勝防。由于這些攻擊的新穎性，一般而言即使安裝了實(shí)時(shí)人侵檢測(cè)系統(tǒng)，也很難發(fā)現(xiàn)這一類攻擊；阻塞類攻擊:阻塞類攻擊企圖通過強(qiáng)制占有信道資源、網(wǎng)絡(luò)連接資源、存儲(chǔ)空間資源，使服務(wù)器崩潰或資源耗盡無(wú)法對(duì)外繼續(xù)提供服務(wù)。DOS是典型的阻塞類攻擊，常見的方法有:淚滴攻擊、UDP/TCP洪泛攻擊、Land攻擊、電子炸彈等多種方式。為了針對(duì)寬帶網(wǎng)絡(luò)技術(shù)的發(fā)展,目前DOS已發(fā)展為更為猛烈的分布式集群攻擊；病毒類攻擊計(jì)算機(jī)病毒已經(jīng)由單機(jī)病

24、毒發(fā)展到網(wǎng)絡(luò)病毒，由DOS病毒發(fā)展到WINIOWS98/NT/2000/XP系統(tǒng)的病毒，現(xiàn)在已經(jīng)發(fā)現(xiàn)UNIX系列的病毒。電子與蠕蟲技術(shù)是網(wǎng)上傳播病毒的主要方法，最近在紅色代碼n中病毒技術(shù)與后門技術(shù)結(jié)合是網(wǎng)絡(luò)攻擊手法的新動(dòng)向；探測(cè)類攻擊:信息探測(cè)型攻擊主要是收集目標(biāo)系統(tǒng)的各種與網(wǎng)絡(luò)安全有關(guān)的信息，為下一步入侵提供幫助。特洛伊木馬也可以用于這一類目的。這類攻擊主要包括:掃描技術(shù)、體系結(jié)構(gòu)刺探、系統(tǒng)信息服務(wù)收集等。目前正在發(fā)展更先進(jìn)的網(wǎng)絡(luò)無(wú)蹤跡信息探測(cè)技術(shù)；欺騙類攻擊:欺騙類攻擊包括IP欺騙和假消息攻擊，前一種通過冒充合法網(wǎng)絡(luò)主機(jī)騙取敏感信息，后一種攻擊主要是通過配置或設(shè)置一些假信息來實(shí)施欺騙攻擊，

25、主要包括:ARP緩存虛構(gòu)、DNS高速緩存污染、偽造電子等；控制類攻擊:控制型攻擊是一類試圖獲得對(duì)你的機(jī)器控制權(quán)的攻擊，最常見的有3種口令攻擊、特洛伊木馬攻擊和緩沖區(qū)溢出攻擊?？诹罱孬@與破解，仍然是最有效的口令攻擊手段，進(jìn)一步的發(fā)展應(yīng)該是研制功能更強(qiáng)的口令破解程序；木馬技術(shù)目前著重研究更新的隱藏技術(shù)和秘密信道技術(shù)緩沖區(qū)溢出是一種常用的攻擊技術(shù)，早期利用系統(tǒng)軟件自身存在的緩沖區(qū)溢出的缺陷進(jìn)行攻擊，現(xiàn)在研究制造緩沖區(qū)溢出。第三章網(wǎng)絡(luò)安全的防御技術(shù)分析3.1 網(wǎng)絡(luò)安全防御的過程分析一般來講計(jì)算機(jī)網(wǎng)絡(luò)安全防御技術(shù)可以分類以下幾種:(1)物理安全技術(shù)包括通信保障設(shè)備和計(jì)算機(jī)設(shè)備兩部分,目的是保護(hù)硬件實(shí)體和

26、通信線路免受攻擊。(2)運(yùn)行安全技術(shù)主要指基礎(chǔ)協(xié)議的實(shí)現(xiàn)和應(yīng)用系統(tǒng)兩層的安全,包含網(wǎng)絡(luò)和系統(tǒng)的可用性和資源使用合法性方面的保障，保障運(yùn)行安全的主要技術(shù)和機(jī)制有:防火墻與身份認(rèn)證技術(shù)、網(wǎng)絡(luò)安全檢測(cè)與監(jiān)控等。(3)信息保護(hù)技術(shù)主要實(shí)現(xiàn)信息和數(shù)據(jù)在產(chǎn)生、存儲(chǔ)、處理、傳輸?shù)倪^程中的性、完整性和有效性。保障信息安全識(shí)別涉與到加密技術(shù)、訪問控制與認(rèn)證技術(shù)、數(shù)學(xué)簽名、數(shù)據(jù)完整性技術(shù)等。其中加密技術(shù)是核心。1網(wǎng)絡(luò)安全防御是一個(gè)動(dòng)態(tài)過程為適應(yīng)外部環(huán)境的飛速發(fā)展，網(wǎng)絡(luò)系統(tǒng)的安全防御必須不斷地相應(yīng)的變化調(diào)整才能有效地保證安全防御系統(tǒng)的有效性。網(wǎng)絡(luò)安全防御的過程如下:(1)進(jìn)行態(tài)勢(shì)分析以評(píng)估當(dāng)前和預(yù)計(jì)的針對(duì)網(wǎng)絡(luò)的安全

27、威脅以與網(wǎng)絡(luò)自身各方面存在的脆弱性,預(yù)測(cè)和評(píng)估安全威脅產(chǎn)生的致命性后果帶來的影響與損失。對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)有一個(gè)清晰、客觀和全面的了解。(2)建立基于安全政策的網(wǎng)絡(luò)安全目標(biāo)。這些目標(biāo)針對(duì)要實(shí)現(xiàn)的安全(防御和威脅)程度以與實(shí)現(xiàn)的日期定量和定性的表述。(3)基于安全漏洞的普遍性和威脅的不確定性，制定滿足安全目標(biāo)的可供選擇方法。(4)對(duì)各種可供選擇的防御方法加以分析評(píng)估，根據(jù)其效能、可行性、效費(fèi)和風(fēng)險(xiǎn)等指標(biāo)進(jìn)行決策,選擇安全防御計(jì)劃的組成要素(風(fēng)險(xiǎn)分析、保護(hù)、指示和預(yù)警、響應(yīng)、災(zāi)難恢復(fù))。將計(jì)劃要素綜合成一個(gè)一致的安全計(jì)劃。(5)同時(shí)為貫徹防御計(jì)劃制定一個(gè)度量和控制風(fēng)險(xiǎn)的方法，對(duì)風(fēng)險(xiǎn)發(fā)生的概率以與結(jié)果

28、進(jìn)行量化。針對(duì)每個(gè)風(fēng)險(xiǎn)領(lǐng)域制定其消除防計(jì)劃。(6)對(duì)所貫徹行動(dòng)的效果和性能進(jìn)行全過程監(jiān)控，并根據(jù)出現(xiàn)的偏差進(jìn)行改進(jìn)調(diào)整。安全技術(shù)策略網(wǎng)絡(luò)系統(tǒng)本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性,尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使得多種技術(shù)組合應(yīng)用變得非常必要。攻擊者使用的是“最易滲透原則”，必然在最有利的時(shí)間地點(diǎn)，從系統(tǒng)最薄弱的地方進(jìn)行攻擊。因此,全面地對(duì)系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析、評(píng)估和檢測(cè)(包括模擬攻擊)，從網(wǎng)絡(luò)的各個(gè)層次進(jìn)行技術(shù)防是設(shè)計(jì)網(wǎng)絡(luò)安全防2御系統(tǒng)的必要條件。目前采取的技術(shù)主要有：加密、認(rèn)證、訪問控制、防火墻技術(shù)、入侵檢測(cè)、安全協(xié)議、漏洞掃描病毒防治、數(shù)據(jù)

29、備份和硬件冗余等。3.2數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密是技術(shù)把數(shù)據(jù)的原始形式明文(通過加密算法和加密密鑰變成另一種無(wú)意義的數(shù)據(jù)密文)過程，這個(gè)過程是可逆的。加密算法可以分為對(duì)稱和不對(duì)稱加密算法兩種，對(duì)稱加密算法是收發(fā)雙方所持有的密鑰一樣,一把密鑰既用來加密也用來解密,此種加密技術(shù)的優(yōu)點(diǎn)是數(shù)據(jù)加解密速度較快,但是密鑰自身的秘密分發(fā)比較困難，密鑰管理復(fù)雜，不便于開放的網(wǎng)絡(luò)環(huán)境中應(yīng)用。不對(duì)稱加密算法是收發(fā)雙方持有不同的密鑰，一把用來加密,另一把用來解密,這樣就克服了密鑰分發(fā)的安全問題,能夠適應(yīng)網(wǎng)絡(luò)的開放性要求，但其缺點(diǎn)是算法復(fù)雜，加解密數(shù)據(jù)速度和效率較低，著名的算法有RSA算法。在實(shí)際應(yīng)用中，考慮到這兩種算法

30、的優(yōu)缺點(diǎn)，通常用DES或IDEA算法來加密要傳輸?shù)臄?shù)據(jù)正文，而用RSA算法來加密對(duì)稱加密算法的密鑰，以保證密鑰分發(fā)的安全。3數(shù)據(jù)加密技術(shù)在網(wǎng)絡(luò)安全的應(yīng)用數(shù)據(jù)加密是一種主動(dòng)安全防御策略。它可實(shí)現(xiàn)用很小的代價(jià)為信息提供相當(dāng)大的安全防護(hù)。在OSI七層結(jié)構(gòu)中，除會(huì)話層以外其它各層均可進(jìn)行一定的加密,但習(xí)慣是在高層上進(jìn)行。因?yàn)樵趹?yīng)用層采用軟件加密方式其優(yōu)點(diǎn)是，現(xiàn)在有標(biāo)準(zhǔn)的安全API(即信息安全應(yīng)用程序模塊)產(chǎn)品,比如IBM的CAPI(Cryptographic Application Programming Inter-face)、X/Open的GCS-API(Generic Cryptographic

31、 Ser-vice API)、Netscape的SSL(Secure Sockets Layer)等,實(shí)現(xiàn)方便,兼容性好。根據(jù)加密技術(shù)應(yīng)用的邏輯位置不同可以將加密分為如下幾種:(1)鏈路加密。通常將網(wǎng)絡(luò)層以下的加密稱為鏈路加密。它可以有效的保護(hù)通信鏈路上節(jié)點(diǎn)間的數(shù)據(jù)不被非法竊取，加密過程由置于節(jié)點(diǎn)間的加密設(shè)備完成。其缺點(diǎn)是信息在網(wǎng)絡(luò)交換節(jié)點(diǎn)處以明文的形式出現(xiàn)，這是鏈路加密傳輸過程中的一個(gè)重要的不安全因素。鏈路加密由網(wǎng)絡(luò)自動(dòng)完成，不需用戶干預(yù)，整個(gè)加密和解密過程對(duì)用戶透明。4(2)節(jié)點(diǎn)加密。節(jié)點(diǎn)加密是在鏈路加密的基礎(chǔ)上進(jìn)行優(yōu)化改進(jìn)，它在協(xié)議傳輸層上進(jìn)行加密，克服了鏈路加密在網(wǎng)絡(luò)交換節(jié)點(diǎn)處信息易遭

32、非法竊取的缺點(diǎn)。(3)端到端加密。端到端加密是在源節(jié)點(diǎn)和目的節(jié)點(diǎn)中對(duì)傳送的PUD進(jìn)行加密和解密，報(bào)文的安全性不會(huì)因?yàn)橹虚g節(jié)點(diǎn)的不可靠而受到影響。3.3防火墻技術(shù)所謂防火墻是指由一個(gè)軟件和硬件設(shè)備組合而成，它實(shí)際上是一種隔離技術(shù)，處于網(wǎng)絡(luò)群體計(jì)算機(jī)與外界通道之間，限制外界用戶對(duì)于部網(wǎng)絡(luò)訪問以與管理部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。防火墻作為一種網(wǎng)絡(luò)監(jiān)視和過濾器，它監(jiān)視每一個(gè)通過的數(shù)據(jù)報(bào)文和請(qǐng)求。一方面對(duì)可信賴的報(bào)文和應(yīng)用請(qǐng)求允許通過，另一方面對(duì)有害的或可疑的報(bào)文禁止通過。同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。防火墻是網(wǎng)絡(luò)安全中一種很重要的技術(shù)。為了達(dá)到對(duì)網(wǎng)絡(luò)數(shù)據(jù)

33、傳輸進(jìn)行監(jiān)視的目的，防火墻一般位于局域網(wǎng)和廣域網(wǎng)之間或局域網(wǎng)與局域網(wǎng)之間。5通常防火墻的配置策略是:為查找病毒，掃描所有進(jìn)入的電子與附件。防火墻改變這些信息的發(fā)送方向，使之在進(jìn)入部服務(wù)器之前，首先進(jìn)入到網(wǎng)絡(luò)防病毒服務(wù)器中。防病毒服務(wù)器檢查所有改變方向后的和附件中的病毒。假如發(fā)現(xiàn)一個(gè)被感染的信息，則或者清除病毒，或者將一起刪除,并通知管理員。采用這種方案時(shí)防火墻實(shí)際并不參與查找病毒，它在將的方向改變后,其使命就完成了，而部服務(wù)器只是被動(dòng)地接受給定的輸入。但此時(shí)假設(shè)服務(wù)器上出現(xiàn)問題，則管理員必須手工干預(yù)，并可能要重新配置多種設(shè)備，以采取進(jìn)一步的補(bǔ)救措施。防火墻的作用 防火墻具有良好的保護(hù)作用。入侵

34、者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)?？梢詫⒎阑饓ε渲贸稍S多不同保護(hù)級(jí)別。高級(jí)的保護(hù)可能禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。防火墻的工作原理所有的防火墻都具有IP地址過濾功能，這項(xiàng)任務(wù)要檢查IP，根據(jù)IP源地址和目標(biāo)地址放行 /丟棄決定，兩個(gè)網(wǎng)段之間隔離了一個(gè)防火墻，防火墻的一端有一臺(tái)計(jì)算機(jī)，另一邊有臺(tái)PC客戶機(jī)。當(dāng)客戶機(jī)向計(jì)算機(jī)發(fā)起TELENT請(qǐng)求時(shí)，PC的客戶程序就會(huì)產(chǎn)生一個(gè)TCP包傳給本地的協(xié)議準(zhǔn)備發(fā)送。接下來協(xié)議這個(gè)TCP包塞到一個(gè)IP包里，然后通過PC的TCP /IP協(xié)議的路徑并把它發(fā)送給計(jì)算機(jī)。 3.4入侵檢測(cè)入侵檢測(cè)是一種主動(dòng)的網(wǎng)絡(luò)安全防御措施，它

35、不僅可以通過監(jiān)測(cè)網(wǎng)絡(luò)實(shí)現(xiàn)對(duì)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，有效地彌補(bǔ)防火墻的不足，而且還能結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品，對(duì)網(wǎng)絡(luò)安全進(jìn)行全方位的保護(hù)，具有主動(dòng)性和實(shí)時(shí)性的特點(diǎn)，是防火墻重要的和有益的補(bǔ)充。它幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。實(shí)時(shí)響應(yīng)與恢復(fù)建立安全實(shí)時(shí)響應(yīng)和應(yīng)急恢復(fù)的整體防御。當(dāng)網(wǎng)絡(luò)在被攻擊和破壞時(shí)，能夠與時(shí)發(fā)現(xiàn)與時(shí)反應(yīng)減少損失盡快地恢復(fù)網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括:安全防護(hù)機(jī)制、安全監(jiān)測(cè)機(jī)制、安全反應(yīng)機(jī)制、安全恢復(fù)機(jī)制。安全防護(hù)機(jī)制是指根據(jù)系統(tǒng)具體存在的各種安全漏洞和安全威脅采取相應(yīng)的防護(hù)措施

36、避免非法攻擊的進(jìn)行；安全監(jiān)測(cè)機(jī)制監(jiān)測(cè)系統(tǒng)的運(yùn)行情況，與時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)進(jìn)行的各種攻擊；安全反應(yīng)機(jī)制能對(duì)攻擊與時(shí)的反應(yīng)，能有效制止攻擊的進(jìn)行，防止損失擴(kuò)大；安全恢復(fù)機(jī)制能在安全防護(hù)機(jī)制失效的情況下進(jìn)行應(yīng)急處理和盡量與時(shí)地恢復(fù)信息，降低被攻擊的破壞程度。6入侵檢測(cè)通過收集操作系統(tǒng)、系統(tǒng)程序、應(yīng)用程序、網(wǎng)絡(luò)包等信息,發(fā)現(xiàn)系統(tǒng)中違背安全策略或危與系統(tǒng)安全的行為。具有入侵檢測(cè)功能的系統(tǒng)稱為入侵檢測(cè)系統(tǒng)，簡(jiǎn)稱IDS最早入侵檢測(cè)模型。1.入侵檢測(cè)系統(tǒng)的作用在八十年代早期使用了“威脅”這一概念術(shù)語(yǔ)，其定義與人侵含義一樣。他將人侵企圖或威脅定義為未經(jīng)授權(quán)蓄意嘗試訪問信息、竄改信息，使系統(tǒng)不可靠。人侵檢測(cè)系統(tǒng)(IDS

37、)一般來講不是采取預(yù)防措施以防止人侵檢測(cè)的發(fā)生，人侵檢測(cè)系統(tǒng)作為安全技術(shù)其作用在于:(l)監(jiān)視用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作。(2)檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞。(3)對(duì)用戶的非正?；顒?dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)人侵檢測(cè)的規(guī)律。(4)檢查系統(tǒng)程序和數(shù)據(jù)的一致性與正確性。如計(jì)算和比較文件系統(tǒng)的校驗(yàn)和能夠?qū)崟r(shí)對(duì)檢測(cè)到的人侵檢測(cè)進(jìn)行反應(yīng)。2.入侵檢測(cè)方法：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)人侵檢測(cè)系統(tǒng)按照數(shù)據(jù)來源劃分，可以分為兩類:基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。7基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS)通常從主機(jī)的審計(jì)記錄和日志文件中獲得所需的主要數(shù)據(jù)源，并輔以主機(jī)上的其他信息，例如文件系統(tǒng)屬性、進(jìn)程狀態(tài)等信息來查找已知的和值得懷疑的攻擊模式。它的系統(tǒng)原型有SRI的IDES和MDES、Haystack系統(tǒng)等。其中IDES系統(tǒng)是具備劃時(shí)代意義的原型系統(tǒng)，它實(shí)現(xiàn)了最初的