常見網(wǎng)絡(luò)攻擊的手段與防范

1、精選優(yōu)質(zhì)文檔-傾情為你奉上常見網(wǎng)絡(luò)攻擊的手段與防范侯建兵赤峰學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系，赤峰摘要：現(xiàn)在，Intemet上的網(wǎng)絡(luò)攻擊越來越猖獗，攻擊手段也越來越先進(jìn)，一旦被攻破，導(dǎo)致的損失也會(huì)越來越嚴(yán)重。如何有效地防止網(wǎng)絡(luò)攻擊已成為一個(gè)全球性的研究課題，受到全世界網(wǎng)絡(luò)工作者的普遍重視，因此，針對黑客的網(wǎng)絡(luò)攻擊，提高網(wǎng)絡(luò)的防護(hù)能力，保證信息安全已成為當(dāng)務(wù)之急。為此本文列舉了一些典型的網(wǎng)絡(luò)攻擊，將它們進(jìn)行了分類，在分析其攻擊原理的基礎(chǔ)上，針對網(wǎng)絡(luò)攻擊的具體防御措施進(jìn)行了討論和分析。關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；安全策略；手段；措施；黑客攻擊；防范技術(shù)一 引言隨著Intemet的發(fā)展高信息技術(shù)像一把雙刃劍有

2、抄襲痕跡，可以引用，但請用自己的語言描述，帶給我們無限益處的同時(shí)也帶給網(wǎng)絡(luò)更大的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全已成為重中之重，攻擊者無處不在。因此網(wǎng)絡(luò)管理人員應(yīng)該對攻擊手段有一個(gè)全面深刻的認(rèn)識，制訂完善安全防護(hù)策略。孫子兵法上說，知己知彼，百戰(zhàn)不殆。要想有效的防范黑客對我們電腦的入侵和破壞，僅僅被動(dòng)的安裝防火墻是顯然不夠的。我們必須對黑客的攻擊方法、攻擊原理、攻擊過程有深入的、詳細(xì)的了解，針對不同的方法采取不同的措施，做到有的放矢。只有這樣才能更有效、更具有針對性的進(jìn)行主動(dòng)防護(hù)。二 相關(guān)基本概念和網(wǎng)絡(luò)攻擊的特點(diǎn)1.計(jì)算機(jī)網(wǎng)絡(luò)安全的含義從本質(zhì)上來講網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性

3、使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。2. 網(wǎng)絡(luò)攻擊概念性描述網(wǎng)絡(luò)攻擊是利用信息系統(tǒng)自身存在的安全漏洞，進(jìn)入對方網(wǎng)絡(luò)系統(tǒng)或者是摧毀其硬件設(shè)施。其目的就是破壞網(wǎng)絡(luò)安全的各項(xiàng)指標(biāo)，破壞擾亂對方信息系統(tǒng)的正常運(yùn)行，致使對方計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)崩潰、失效或錯(cuò)誤工作。3. 計(jì)算機(jī)網(wǎng)絡(luò)攻擊的特點(diǎn)此段可以考慮刪除計(jì)算機(jī)網(wǎng)絡(luò)攻擊具有下述特點(diǎn)：(1)損失巨大。由于攻擊和入侵的對象是網(wǎng)絡(luò)上的計(jì)算機(jī)。所以一旦他們?nèi)〉贸晒?，就?huì)使網(wǎng)絡(luò)中成千上萬臺計(jì)算機(jī)處于癱瘓狀態(tài)，從而給計(jì)算機(jī)用戶造成巨大的經(jīng)濟(jì)損

4、失。(2)威脅社會(huì)和國家安全。一些計(jì)算機(jī)網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府要害部門和軍事部門的計(jì)算機(jī)作為攻擊目標(biāo)，從而對社會(huì)和國家安全造成威脅。(3)手段多樣，手法隱蔽。計(jì)算機(jī)攻擊的手段可以說五花八門。網(wǎng)絡(luò)攻擊者既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取別人的保密信息；也可以通過截取別人的帳號和口令堂而皇之地進(jìn)入別人的計(jì)算機(jī)系統(tǒng)；還可以通過一些特殊的方法繞過人們精心設(shè)計(jì)好的防火墻等等。這些過程都可以在很短的時(shí)間內(nèi)通過任何一臺聯(lián)網(wǎng)的計(jì)算機(jī)完成。(4)以軟件攻擊為主。幾乎所有的網(wǎng)絡(luò)入侵都是通過對軟件的截取和攻擊從而破壞整個(gè)計(jì)算機(jī)系統(tǒng)的。它完全不同于人們在生活中所見到的對某些機(jī)器設(shè)備進(jìn)行物理上的摧毀。因此，這一方面

5、導(dǎo)致了計(jì)算機(jī)犯罪的隱蔽性，另一方面又要求人們對計(jì)算機(jī)的各種軟件(包括計(jì)算機(jī)通信過程中的信息流)進(jìn)行嚴(yán)格的保護(hù)。三網(wǎng)絡(luò)攻擊的步驟此段也可刪除，本文主要探討攻擊與防范，這里最好說一下攻擊類型有哪些，下面就某幾種攻擊展開論述進(jìn)行網(wǎng)絡(luò)攻擊是一件系統(tǒng)性很強(qiáng)的工作，其主要工作流程是：收集情報(bào)遠(yuǎn)程攻擊遠(yuǎn)程登錄取得普通用戶的權(quán)限取得超級用戶的權(quán)限留下后門清除日志。主要內(nèi)容包括目標(biāo)分析、文檔獲取、破解密碼、日志清除等技術(shù)。第一步：隱藏自己的位置普通攻擊者都會(huì)利用別人的電腦隱藏他們真實(shí)的IP地址。第二步：尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)攻擊者首先要尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)。在Intemet上能真正標(biāo)識主機(jī)的是IP地址

6、，域名是為了便于記憶主機(jī)的IP地址而另起的名字，只要利用域名和IP地址就可以順利地找到目標(biāo)主機(jī)。當(dāng)然，知道要攻擊目標(biāo)的位置還是遠(yuǎn)遠(yuǎn)不夠的，還必須將主機(jī)的操作系統(tǒng)類型及其所提供的服務(wù)等資料進(jìn)行全面的了解。此時(shí)，攻擊者會(huì)使用一些掃描工具，輕松獲取目標(biāo)主機(jī)運(yùn)行的是哪種操作系統(tǒng)的哪個(gè)版本，系統(tǒng)有哪些帳戶，WWW、FTP、Telnet、SMTP等服務(wù)器程序是何種版本等資料，為入侵作好充分的準(zhǔn)備。第三步：獲取帳號和密碼，登錄主機(jī)要想入侵一臺主機(jī)，首先必需要有該主機(jī)的一個(gè)帳號和密碼，否則連登錄都無法進(jìn)行。因此，攻擊者必須先設(shè)法盜竊帳戶文件并進(jìn)行破解，從中獲取某用戶的帳號和口令，然后尋找合適時(shí)機(jī)以此身份進(jìn)入主

7、機(jī)。當(dāng)然，利用某些工具或系統(tǒng)漏洞登錄主機(jī)也是攻擊者常用的一種技法。第四步：獲得控制權(quán)攻擊者用FTP、Telnet等工具利用系統(tǒng)漏洞進(jìn)入目標(biāo)主機(jī)系統(tǒng)獲得控制權(quán)之后，就會(huì)清除日志和留下后門，而且會(huì)更改某些系統(tǒng)設(shè)置、在系統(tǒng)中置入特洛伊木馬或其他一些遠(yuǎn)程操縱程序，以便日后可以不被覺察地再次進(jìn)入系統(tǒng)。大多數(shù)后門程序是預(yù)先編譯好的，只需要想辦法修改時(shí)間和權(quán)限就可以使用了，甚至新文件的大小都和原文件一模一樣。攻擊者一般會(huì)使用rep傳遞這些文件，以便不留下FTP記錄。用清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后，攻擊者就開始下一步的行動(dòng)。第五步：竊取網(wǎng)絡(luò)資源和特權(quán)攻擊者找到攻擊目標(biāo)后，會(huì)繼續(xù)下一步的攻

8、擊，即實(shí)施真正的網(wǎng)絡(luò)攻擊。如：下載敏感信息；實(shí)施竊取帳號密碼、信用卡號等經(jīng)濟(jì)偷竊；使網(wǎng)絡(luò)癱瘓。三 網(wǎng)絡(luò)攻擊技術(shù)原理和常用手段上下文參照，標(biāo)題序號都不對1. Dos拒絕服務(wù)攻擊Internet最初的設(shè)計(jì)目標(biāo)是開放性和靈活性，而不是安全性。目前Internet網(wǎng)上各種入侵手段和攻擊方式大量出現(xiàn)，成為網(wǎng)絡(luò)安全的主要威脅，拒絕服務(wù)(Denial of Service，DoS)是一種簡單但很有效的進(jìn)攻方式。其基本原理是利用合理的請求占用過多的服務(wù)資源，致使服務(wù)超載，無法響應(yīng)其他的請求，從而使合法用戶無法得到服務(wù)。DoS的攻擊方式有很多種。最基本的DoS攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，致使

9、服務(wù)超載，無法響應(yīng)其他的請求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開放的進(jìn)程或者向內(nèi)的連接。這種攻擊會(huì)導(dǎo)致資源的缺乏，無論計(jì)算機(jī)的處理速度多么快，內(nèi)存容量多么大，互連網(wǎng)的速度多么快都無法避免這種攻擊帶來的后果。因?yàn)槿魏问露加幸粋€(gè)極限。所以，總能找到一個(gè)方法使請求的值大于該極限值，因此就會(huì)使所提供的服務(wù)資源缺乏，像是無法滿足需求。千萬不要自認(rèn)為自己擁有了足夠?qū)挼膸捑蜁?huì)有一個(gè)高效率的網(wǎng)站，拒絕服務(wù)攻擊會(huì)使所有的資源交得非常渺小。典型拒絕服務(wù)攻擊有以下幾種：（1）Ping of Death根據(jù)TCPIP的規(guī)范，一個(gè)包的長度最大為65536字節(jié)。盡管一個(gè)包的長度不能超過65536字節(jié)，但是一

10、個(gè)包分成的多個(gè)片段的疊加卻能做到。當(dāng)一個(gè)主機(jī)收到了長度大于65536字節(jié)的包時(shí)，就是受到了Ping of Death攻擊，該攻擊會(huì)造成主機(jī)的宕機(jī)。（2）SYN floodSYN flood攻擊也是一種常用的拒絕服務(wù)攻擊。它的工作原理是，正常的一個(gè)TCP連接需要連接雙方進(jìn)行三個(gè)動(dòng)作，即“三次握手”，其過程如下：請求連接的客戶機(jī)首先將一個(gè)帶SYN標(biāo)志位的包發(fā)給服務(wù)器；服務(wù)器收到這個(gè)包后產(chǎn)生一個(gè)自己的SYN標(biāo)志，并把收到包的SYN+I作為ACK標(biāo)志返回給客戶機(jī)：客戶機(jī)收到該包后，再發(fā)一個(gè)ACK=SYN+I的包給服務(wù)器。經(jīng)過這三次握手，連接才正式建立。在服務(wù)器向客戶機(jī)發(fā)返回包時(shí)，它會(huì)等待客戶機(jī)的ACK

11、確認(rèn)包，這時(shí)這個(gè)連接被加到未完成連接隊(duì)列中，直到收到ACK應(yīng)答后或超時(shí)才從隊(duì)列中刪除。這個(gè)隊(duì)列是有限的，一些TCPIP堆棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來的ACK消息、，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這些緩沖區(qū)內(nèi)充滿了虛假連接的初始信息，該服務(wù)器就會(huì)對接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。如果客戶機(jī)偽裝大量SYN包進(jìn)行連接請求并且不進(jìn)行第三次握手，則服務(wù)器的未完成連接隊(duì)列就會(huì)被塞滿，正常的連接請求就會(huì)被拒絕，這樣就造成了拒絕服務(wù)。（3）緩沖區(qū)溢出攻擊緩沖區(qū)是程序運(yùn)行時(shí)計(jì)算機(jī)內(nèi)存中的一個(gè)連續(xù)塊。大多數(shù)情況下為了不占用太多的內(nèi)存，一個(gè)有動(dòng)態(tài)變量的程序在程序運(yùn)行時(shí)才決

12、定給它們分配多少內(nèi)存。如果程序在動(dòng)態(tài)分配緩沖區(qū)放入超長的數(shù)據(jù)，就會(huì)發(fā)生緩沖區(qū)的溢出。此時(shí)，子程序的返回地址就有可能被超出緩沖區(qū)的數(shù)據(jù)覆蓋，如果在溢出的緩存區(qū)中寫入想執(zhí)行的代碼(SHELL-CODE)，并使返回地址指向其起始地址，CPU就會(huì)轉(zhuǎn)而執(zhí)行SHELL-CODE，達(dá)到運(yùn)行任意指令從而進(jìn)行攻擊的目的。2. 程序攻擊（1）病毒A病毒的主要特征適當(dāng)精簡，太冗長，有重點(diǎn)的說明1-2個(gè)攻擊方式Ø 隱蔽性：病毒的存在、傳染和對數(shù)據(jù)的破壞過程不易為計(jì)算機(jī)操作人員發(fā)現(xiàn)。Ø 寄生性：計(jì)算機(jī)病毒通常是依附于其它文件而存在的。Ø 傳染性：計(jì)算機(jī)病毒在一定條件下可以自我復(fù)制，能對其它

13、文件或系統(tǒng)進(jìn)行一系列非法操作，并使之成為一個(gè)新的傳染源。Ø 觸發(fā)性：病毒的發(fā)作一般都需要一個(gè)激發(fā)條件，可以是日期、時(shí)間、特定程序的運(yùn)行或程序的運(yùn)行次數(shù)等等。Ø 破壞性：病毒在觸發(fā)條件滿足時(shí)，會(huì)立即對計(jì)算機(jī)系統(tǒng)的文件、資源等運(yùn)行進(jìn)行干擾破壞。Ø 不可遇見性：病毒相對于防毒軟件永遠(yuǎn)是超前的，理論上講沒有任何殺毒軟件能將所有的病毒殺除。Ø 針對性：針對特定的應(yīng)用程序或操作系統(tǒng)，通過感染數(shù)據(jù)庫服務(wù)器進(jìn)行傳播。B病毒采用的觸發(fā)條件主要有以下幾種：Ø 日期觸發(fā)：許多病毒采用日期做觸發(fā)條件。日期觸發(fā)大體包括：特定日期觸發(fā)、月份觸發(fā)、前半年后半年觸發(fā)等。

14、16; 時(shí)間觸發(fā)：時(shí)間觸發(fā)包括特定的時(shí)間觸發(fā)、染毒后累計(jì)工作時(shí)間觸發(fā)、文件最后寫入時(shí)間觸發(fā)等。Ø 鍵盤觸發(fā)：有些病毒監(jiān)視用戶的擊鍵動(dòng)作，當(dāng)發(fā)現(xiàn)病毒預(yù)定的鍵入時(shí)，病毒被激活，進(jìn)行某些特定操作。鍵盤觸發(fā)包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)、熱啟動(dòng)觸發(fā)等。Ø 感染觸發(fā)：許多病毒的感染需要某些條件觸發(fā)，而且相當(dāng)數(shù)量的病毒又以與感染有關(guān)的信息反過來作為破壞行為的觸發(fā)條件，稱為感染觸發(fā)。它包括：運(yùn)行感染文件個(gè)數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤數(shù)觸發(fā)、感染失敗觸發(fā)等。Ø 啟動(dòng)觸發(fā)：病毒對機(jī)器的啟動(dòng)次數(shù)計(jì)數(shù)，并將此值作為觸發(fā)條件稱為啟動(dòng)觸發(fā)。Ø 訪問磁盤次數(shù)觸發(fā)：病毒對磁盤IO訪問

15、的次數(shù)進(jìn)行計(jì)數(shù)，以預(yù)定次數(shù)做觸發(fā)條件叫訪問磁盤次數(shù)觸發(fā)。Ø 調(diào)用中斷功能觸發(fā)：病毒對中斷調(diào)用次數(shù)計(jì)數(shù)，以預(yù)定次數(shù)做觸發(fā)條件。Ø CPU型號主板型號觸發(fā)：病毒能識別運(yùn)行環(huán)境的CPU型號主板型號，以預(yù)定CPU型號主板型號做觸發(fā)條件，這種病毒的觸發(fā)方式奇特罕見。被計(jì)算機(jī)病毒使用的觸發(fā)條件是多種多樣的，而且往往不只是使用上面所述的某一個(gè)條件，而是使用由多個(gè)條件組合起來的觸發(fā)條件。大多數(shù)病毒的組合觸發(fā)條件是基于時(shí)間的，再輔以讀、寫盤操作，按鍵操作以及其他條件等。（2）蠕蟲A.蠕蟲的工作原理蠕蟲程序的實(shí)體結(jié)構(gòu)：蠕蟲程序相對于一般的應(yīng)用程序，在實(shí)體結(jié)構(gòu)方面體現(xiàn)更多的復(fù)雜性，通過對多個(gè)蠕蟲

16、程序的分析，可以粗略的把蠕蟲程序的實(shí)體結(jié)構(gòu)分為如下的六大部分，具體的蠕蟲可能是由其中的幾部分組成：Ø 未編譯的源代碼：由于有的程序參數(shù)必須在編譯時(shí)確定，所以蠕蟲程序可能包含一部分未編譯的程序源代碼；Ø 已編譯的鏈接模塊：不同的系統(tǒng)(同族)可能需要不同的運(yùn)行模塊，例如不同的硬件廠商和不同的系統(tǒng)廠商采用不同的運(yùn)行庫，這在UNIX族的系統(tǒng)中非常常見；Ø 可運(yùn)行代碼：整個(gè)蠕蟲可能是由多個(gè)編譯好的程序組成；Ø 腳本：利用腳本可以節(jié)省大量的代碼，充分利用系統(tǒng)shell的功能；Ø 受感染系統(tǒng)上的可執(zhí)行程序：受感染系統(tǒng)上的可執(zhí)行程序如文件傳輸?shù)瓤杀蝗湎x作為自己

17、的組成部分；Ø 信息數(shù)據(jù)：包括已破解的口令、要攻擊的地址列表、蠕蟲自身壓縮包。蠕蟲程序的功能結(jié)構(gòu)：鑒于所有蠕蟲都具有相似的功能結(jié)構(gòu)，本文給出了蠕蟲程序的統(tǒng)一功能模型，統(tǒng)一功能模型將蠕蟲程序分解為基本功能模塊和擴(kuò)展功能模塊。實(shí)現(xiàn)了基本功能模塊的蠕蟲程序就能完成復(fù)制傳播流程，包含擴(kuò)展功能模塊的蠕蟲程序則具有更強(qiáng)的生存能力和破壞能力。基本功能由五個(gè)功能模塊構(gòu)成：Ø 搜索模塊：尋找下一臺要傳染的機(jī)器，為提高搜索效率，可以采用一系列的搜索算法。Ø 攻擊模塊：在被感染的機(jī)器上建立傳輸通道(傳染途徑)，為減少第一次傳染數(shù)據(jù)傳輸量，可以采用引導(dǎo)式結(jié)構(gòu)。Ø 傳輸模塊：計(jì)算

18、機(jī)間的蠕蟲程序復(fù)制。Ø 信息搜集模塊：搜集和建立被傳染機(jī)器上的信息。Ø 繁殖模塊：建立自身的多個(gè)副本，在同一臺機(jī)器上提高傳染效率、判斷避免重復(fù)傳染。B.蠕蟲的工作流程：蠕蟲程序的工作流程可以分為掃描、攻擊、現(xiàn)場處理、復(fù)制四部分，當(dāng)掃描到有漏洞的計(jì)算機(jī)系統(tǒng)后，進(jìn)行攻擊，攻擊部分完成蠕蟲主體的遷移工作；進(jìn)入被感染的系統(tǒng)后，要做現(xiàn)場處理工作，現(xiàn)場處理部分工作包括隱藏、信息搜集等；生成多個(gè)副本后，重復(fù)上述流程。（3）木馬攻擊A.木馬的結(jié)構(gòu)木馬程序一般包含兩個(gè)部分：外殼程序和內(nèi)核程序。外殼程序：一般是公開的，誰都可以看得到。往往具有足夠的吸引力，使人在下載或拷貝時(shí)運(yùn)行。內(nèi)核程序：隱藏

19、在外殼程序之后，可以做各種對系統(tǒng)造成破壞的事情，如：發(fā)動(dòng)攻擊、破壞設(shè)備、安裝后門等。B.木馬攻擊原理一般的木馬程序都包括客戶端和服務(wù)端兩個(gè)程序，其中客戶端是用于攻擊者遠(yuǎn)程控制植入木馬的機(jī)器，服務(wù)器端程序即是木馬程序，他所做的第一步是要把木馬的服務(wù)器端程序植入到目標(biāo)的電腦里面。攻擊者要通過木馬攻擊目標(biāo)系統(tǒng)，當(dāng)植入成功以后，攻擊者就對目標(biāo)電腦進(jìn)行非法操作。C.木馬具有的特性由于木馬所從事的是”地下工作”，因此它必須隱藏起來，它會(huì)想盡一切辦法不讓你發(fā)現(xiàn)它。它的特性主要體現(xiàn)在以下幾個(gè)方面：Ø 隱蔽性：當(dāng)木馬植入到目標(biāo)電腦中，不產(chǎn)生任何圖標(biāo)，并以”系統(tǒng)服務(wù)”的方式欺騙操作系統(tǒng)。Ø 具

20、有自動(dòng)運(yùn)行性：木馬為了控制服務(wù)端。它必須在系統(tǒng)啟動(dòng)時(shí)即跟隨啟動(dòng)，所以它必須潛人在你的啟動(dòng)配置文件中，如winini、systemini、winstartbat以及啟動(dòng)組等文件之中。Ø 包含具有未公開并且可能產(chǎn)生危險(xiǎn)后果的功能的程序。Ø 具備自動(dòng)恢復(fù)功能，木馬程序中的功能模塊具有多重備份，可以相互恢復(fù)。當(dāng)你刪除了其中的一個(gè)，隨后馬上有會(huì)出現(xiàn)。Ø 能自動(dòng)打開特別的端口，當(dāng)木馬程序植入后，攻擊者利用該程序，開啟系統(tǒng)中別的端口，以便進(jìn)行下一次非法操作。Ø 通常的木馬功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache中的口令、設(shè)置口令、掃描目

21、標(biāo)機(jī)器人的IP地址進(jìn)行鍵盤記錄、遠(yuǎn)程注冊表的操作以及鎖定鼠標(biāo)等功能。3. 電子欺騙攻擊（1）IP電子欺騙攻擊IP欺騙有兩種基本方式，一種是使用寬松的源路由選擇截取數(shù)據(jù)包，另一種是利用UNIX機(jī)器上的信任關(guān)系。使用寬松的源路由選擇時(shí)，發(fā)送端指明了流量或者數(shù)據(jù)包必須經(jīng)過的IP地址清單，但如果有需要，也可以經(jīng)過一些其它的地址。由于采用單向的IP欺騙時(shí)，被盜用的地址會(huì)收到返回的信息流，而黑客的機(jī)器卻不能收到這樣的信息流，所以黑客就在使用假冒的地址向目的地發(fā)送數(shù)據(jù)包時(shí)指定寬松的源路由選擇，并把它的IP地址填入地址清單中，最終截取目的機(jī)器返回到源機(jī)器的流量。在UNIX系統(tǒng)中，為了操作方便，通常在主機(jī)A和主

22、機(jī)B中建立起兩個(gè)相互信任的賬戶。黑客為了進(jìn)行IP欺騙，首先會(huì)使被信任的主機(jī)喪失工作能力，同時(shí)采樣目標(biāo)主機(jī)向被信任的主機(jī)發(fā)出的TCP序列號，猜測出它的數(shù)據(jù)序列號，然后偽裝成被信任的主機(jī)，同時(shí)建立起與目標(biāo)主機(jī)基于地址驗(yàn)證的應(yīng)用連接，以便進(jìn)行非授權(quán)操作。（2）DNS電子欺騙攻擊主機(jī)域名與IP地址的映射關(guān)系是由域名系統(tǒng)DNS來實(shí)現(xiàn)的，現(xiàn)在Internet上主要使用Bind域名服務(wù)器程序。DNS協(xié)議具有以下特點(diǎn)：Ø NDS報(bào)文只使用一個(gè)序列號來進(jìn)行有效性鑒別，序列號由客戶程序設(shè)置并由服務(wù)器返回結(jié)果，客戶程序通過它來確定響應(yīng)與查詢是否匹配，這就引入了序列號攻擊的危險(xiǎn)；Ø 在DNS應(yīng)答報(bào)

23、文中可以附加信息，該信息可以和所請求的信息沒有直接關(guān)系，這樣，攻擊這就可以在應(yīng)答中隨意添加某些信息，指示某域的權(quán)威域名服務(wù)器的域名和IP，導(dǎo)致在被影響的域名服務(wù)器上查詢該域的請求都會(huì)被轉(zhuǎn)向攻擊這所指定的域名服務(wù)器上，從而對網(wǎng)絡(luò)的完整性造成威脅。Ø DNS的高速緩存機(jī)制，當(dāng)一個(gè)域名服務(wù)器收到有關(guān)域名和IP的映射信息時(shí)，它會(huì)將該信息存放在高速緩存中，當(dāng)再次遇到對此域名的查詢請求時(shí)就直接使用緩存中的結(jié)果而無需重新查詢。針對DNS協(xié)議存在的安全缺陷，目前可采用的DNS欺騙技術(shù)有：A.內(nèi)應(yīng)攻擊。攻擊者在非法或合法地控制一臺DNS服務(wù)器后，可以直接操作域名數(shù)據(jù)庫，修改指定域名所對應(yīng)的IP為自己所

24、控制的主機(jī)IP。于是，當(dāng)客戶發(fā)出對指定域名的查詢請求后，將得到偽造的IP地址。B.序列號攻擊。DNS協(xié)議格式中定義了序列號ID，用來匹配請求數(shù)據(jù)包和響應(yīng)數(shù)據(jù)包，客戶端首先以特定的ID向DNS服務(wù)器發(fā)送域名查詢數(shù)據(jù)包，在DNS服務(wù)器查詢之后以相同的ID號給客戶端發(fā)送域名響應(yīng)數(shù)據(jù)包。這時(shí)，客戶端將收到的DNS響應(yīng)數(shù)據(jù)包的ID和自己發(fā)送出去的查詢數(shù)據(jù)包的ID比較，如果匹配，則使用之， 否則，丟棄。利用序列號進(jìn)行DNS欺騙的關(guān)鍵是偽裝成DNS服務(wù)器向客戶端發(fā)送DNS響應(yīng)數(shù)據(jù)包，而且要在DNS服務(wù)器發(fā)送的真實(shí)DNs響應(yīng)數(shù)據(jù)包之前到達(dá)客戶端，從而是客戶端DNS緩存中查詢域名所對應(yīng)的IP就是攻擊者偽造的IP

25、。其欺騙的前提條件是攻擊者發(fā)送的DNS響應(yīng)數(shù)據(jù)包ID必須匹配客戶的DNS查詢數(shù)據(jù)包ID。利用序列號進(jìn)行DNS欺騙有兩種情況：第一，當(dāng)攻擊者與DNS服務(wù)器，客戶端均不在同一個(gè)局域網(wǎng)內(nèi)時(shí)，攻擊者可以向客戶端發(fā)送大量的攜有隨機(jī)ID序列號的DNS響應(yīng)數(shù)據(jù)包，其中包內(nèi)含有攻擊者偽造的IP，但I(xiàn)D匹配的幾率很低，所以攻擊的效率不高。第二，當(dāng)攻擊者至少與DNS服務(wù)器或者客戶端某一個(gè)處在同一個(gè)局域網(wǎng)內(nèi)時(shí)，攻擊者可以通過網(wǎng)絡(luò)監(jiān)聽得到DNS查詢包的序列號ID，這時(shí)，攻擊者就可以發(fā)送自己偽造好的DNS響應(yīng)包給客戶端，這種方式攻擊更高效。4. 對網(wǎng)絡(luò)協(xié)議（TCP/IP）弱點(diǎn)的攻擊（1） 網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的原理：網(wǎng)絡(luò)中

26、傳輸?shù)拿總€(gè)數(shù)據(jù)包都包含有目的MAC地址，局域網(wǎng)中數(shù)據(jù)包以廣播的形式發(fā)送。假設(shè)接收端計(jì)算機(jī)的網(wǎng)卡工作在正常模式下，網(wǎng)卡會(huì)比較收到數(shù)據(jù)包中的目的MAC地址是否為本計(jì)算機(jī)MAC地址或?yàn)閺V播地址，是，數(shù)據(jù)包將被接收，如果不是，網(wǎng)卡直接將其丟棄。假設(shè)網(wǎng)卡被設(shè)置為混雜模式，那么它就可以接收所有經(jīng)過的數(shù)據(jù)包了。也就是說，只要是發(fā)送到局域網(wǎng)內(nèi)的數(shù)據(jù)包，都會(huì)被設(shè)置成混雜模式的網(wǎng)卡所接收?，F(xiàn)在局域網(wǎng)都是交換式局域網(wǎng)，以前廣播式局域網(wǎng)中的監(jiān)聽不再有效。但監(jiān)聽者仍然可以通過其他途徑來監(jiān)聽交換式局域網(wǎng)中的通信。攻擊手段：網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，?/p>

27、不管這些信息的發(fā)送方和接收方是誰。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)，用戶輸人的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。此時(shí)若兩臺主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具(如NetXRay forWindows9598NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和賬號在內(nèi)的信息資料。（2） 電子郵件攻擊電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。攻擊者使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量內(nèi)容重復(fù)、無用的垃圾郵件。從而使目的郵箱被撐爆而無法使用。攻擊者還可以佯裝系統(tǒng)管理員，給用戶發(fā)送郵件要求用戶修改口令或

28、在貌似正常的附件中加載病毒或其他木馬程序。四 網(wǎng)絡(luò)攻擊的防范措施在對網(wǎng)絡(luò)攻擊進(jìn)行深入分析與識別的基礎(chǔ)上，網(wǎng)絡(luò)管理人員或用戶應(yīng)認(rèn)真制定有針對性的防范策略，明確安全對象，設(shè)置強(qiáng)有力的安全保障體系，有的放矢，在網(wǎng)絡(luò)中層層設(shè)防，發(fā)揮網(wǎng)絡(luò)每一層的作用，使每層都成為一道關(guān)卡，從而讓攻擊者無縫可鉆、無計(jì)可施。當(dāng)然，還必須做到預(yù)防為主，對重要的數(shù)據(jù)及時(shí)進(jìn)行備份并時(shí)刻關(guān)注系統(tǒng)的運(yùn)行狀況。1.拒絕服務(wù)攻擊的防范由于DoS攻擊主要利用網(wǎng)絡(luò)協(xié)議的特征和漏洞進(jìn)行攻擊，所以在防御DoS攻擊時(shí)也要與之對應(yīng)，分別提出相應(yīng)的解決方案。防范DoS攻擊可以采用以下的技術(shù)手段： (1)SynCookie(主機(jī))SynGate(網(wǎng)關(guān))

29、在服務(wù)器和外部網(wǎng)絡(luò)之間部署代理服務(wù)器，通過代理服務(wù)器發(fā)送SynAck報(bào)文，在收到客戶端的Syn包后，防火墻代替服務(wù)器向客戶端發(fā)送SynAck包，如果客戶端在一段時(shí)間內(nèi)沒有應(yīng)答或中間的網(wǎng)絡(luò)設(shè)備發(fā)回了ICMP錯(cuò)誤消息，防火墻則丟棄此狀態(tài)信息；如果客戶端的Ack到達(dá)，防火墻代替客戶端向服務(wù)器發(fā)送Syn包，并完成后續(xù)的握手，最終建立客戶端到服務(wù)器的連接。通過這種SynCookie技術(shù)，保證每個(gè)Syn包源的真實(shí)有效性，確保服務(wù)器不被虛假請求浪費(fèi)資源，從而徹底防范對服務(wù)器的SynFlood攻擊。(2)應(yīng)用負(fù)載均衡技術(shù)負(fù)載均衡技術(shù)基于現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，提供了一種擴(kuò)展服務(wù)器帶寬和增加服務(wù)器吞吐量的廉價(jià)有效的方法，

30、增強(qiáng)了網(wǎng)絡(luò)數(shù)據(jù)處理能力。負(fù)載均衡的應(yīng)用，能夠有效地解決網(wǎng)絡(luò)擁塞問題，能夠就近提供服務(wù)，同時(shí)，還能提高服務(wù)器的響應(yīng)速度，提高服務(wù)器及其它資源的利用效率，從而為用戶提供更好的訪問質(zhì)量。負(fù)載均衡技術(shù)不是專門用來解決DoS問題，但它在應(yīng)對拒絕服務(wù)攻擊方面卻起到了重大的作用。(3)包過濾及路由設(shè)置應(yīng)用包過濾技術(shù)過濾對外開放的端口，是防止假冒地址的攻擊，使得外部機(jī)器無法假冒內(nèi)部機(jī)器的地址來對內(nèi)部機(jī)器發(fā)動(dòng)攻擊的有效方法。 (4)運(yùn)行盡可能少的服務(wù)運(yùn)行盡可能少的服務(wù)可以減少被成功攻擊的機(jī)會(huì)。如果一臺計(jì)算機(jī)開了20個(gè)端口，這就使得攻擊者可以在較大的范圍內(nèi)嘗試對每個(gè)端口進(jìn)行不同的攻擊。相反，如果系統(tǒng)只開了很少的端

31、口，這就限制了攻擊者攻擊站點(diǎn)的類型，而且，當(dāng)運(yùn)行的服務(wù)和開放的端口都很少時(shí)，管理員可以很容易地進(jìn)行安全設(shè)置。(5)防患于未然由于現(xiàn)有的技術(shù)還沒有一項(xiàng)針對DoS攻擊的非常有效的解決辦法，所以，防止DoS攻擊的最佳方法就是防患于未然。也就是說，首先要保證一般的外圍主機(jī)和服務(wù)器的安全，使攻擊者無法獲得大量的無關(guān)主機(jī)，從而無法發(fā)動(dòng)有效攻擊。一旦內(nèi)部或臨近網(wǎng)絡(luò)的主機(jī)被黑客侵入，那么其他的主機(jī)被侵入的危險(xiǎn)將會(huì)很大，而且，如果網(wǎng)絡(luò)內(nèi)部或鄰近的主機(jī)被用來對本機(jī)進(jìn)行DoS攻擊，攻擊效果會(huì)更加明顯，因此，必須保證外圍主機(jī)和網(wǎng)絡(luò)的安全，尤其是那些擁有高帶寬和高性能服務(wù)器的網(wǎng)絡(luò)。保護(hù)這些主機(jī)最好的辦法就是及時(shí)了解有關(guān)

32、本操作系統(tǒng)的安全漏洞以及相應(yīng)的安全措施，及時(shí)安裝補(bǔ)丁程序并注意定期升級系統(tǒng)軟件，以免給黑客以可乘之機(jī)。2.網(wǎng)絡(luò)監(jiān)聽的防范現(xiàn)在網(wǎng)絡(luò)中使用的大部分協(xié)議都是很早就設(shè)計(jì)的，沒有充分考慮到網(wǎng)絡(luò)安全問題，許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的、通信雙方充分信任的基礎(chǔ)之上，而且許多信息以明文形式發(fā)送，因此給黑客的網(wǎng)絡(luò)監(jiān)聽有了可乘之機(jī)。網(wǎng)絡(luò)監(jiān)聽是很難被發(fā)現(xiàn)的，因?yàn)檫\(yùn)行網(wǎng)絡(luò)監(jiān)聽的主機(jī)只是被動(dòng)地接收在局域網(wǎng)上傳輸?shù)男畔?，不主?dòng)的與其他主機(jī)交換信息，也沒有修改在網(wǎng)上傳輸?shù)臄?shù)據(jù)包，但可以采用以下措施來有效防止網(wǎng)絡(luò)監(jiān)聽：(1)劃分VLAN出現(xiàn)新名詞，要有解釋為了克服以太網(wǎng)的廣播問題，可以運(yùn)用VLAN(虛擬局域網(wǎng))技術(shù)，將

33、以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。交換機(jī)的每一個(gè)端口配置成獨(dú)立的VLAN，享有獨(dú)立的VID。將每個(gè)用戶端口配置成獨(dú)立的VLAN，利用支持VLAN的交換機(jī)進(jìn)行信息的隔離，把用戶的IP地址綁定在端口的VLAN號上，以保證正確的路由選擇。在集中式網(wǎng)絡(luò)環(huán)境下，將中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里，在這個(gè)VLAN里不允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，可以按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN，各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。通過劃分VLAN，有效地控制了廣播風(fēng)暴，降低了通過網(wǎng)絡(luò)監(jiān)聽手段竊取諸如網(wǎng)絡(luò)管理員等高級用戶口令

34、的風(fēng)險(xiǎn)，有效保障網(wǎng)絡(luò)的正常運(yùn)行和網(wǎng)絡(luò)信息的安全。(2)以交換式集線器代替共享式集線器對局域網(wǎng)的中心交換機(jī)雖然可以進(jìn)行網(wǎng)絡(luò)分段，但以太網(wǎng)監(jiān)聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺機(jī)器之間的數(shù)據(jù)包(稱為單播包)還是會(huì)被同一臺集線器上的其他用戶所監(jiān)聽。因此，應(yīng)該以交換式集線器代替共享式集線器(近年來，由于交換機(jī)價(jià)格的下降，使交換機(jī)的應(yīng)用越來越廣泛，而集線器則逐漸退出了歷史舞臺)，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽。(3)VLAN+IP+MAC捆綁來確保網(wǎng)絡(luò)的安全性在

35、所有的用戶間采用VLAN隔離，從而最大限度地保護(hù)了網(wǎng)絡(luò)和用戶信息的安全，但是用戶的IP地址或MAC地址可能被盜用或被仿冒，因此采用VLAN+IP+MAC捆綁的方式來認(rèn)證和保證網(wǎng)絡(luò)的安全，這意味著只有正確分配的IP地址、正確的網(wǎng)絡(luò)接口卡并且連到特定端口的用戶才能獲取服務(wù)。(4)信息加密對一些重要數(shù)據(jù)進(jìn)行加密，即使被截獲，信息也不易泄露。確認(rèn)所進(jìn)行的請求和數(shù)據(jù)傳遞是處于明文還是密文的狀態(tài)(如：在Telnet、FTP、HTTP、SMTP等傳輸協(xié)議中，用戶帳號和密碼信息都是以明文格式傳輸)，是明文傳輸?shù)膽?yīng)盡可能改用密文方式來傳輸。例如：由于Telnet協(xié)議是明文傳輸?shù)?，而ssh是密文傳輸?shù)模詰?yīng)該用

36、ssh取代Telnet實(shí)現(xiàn)對主機(jī)的遠(yuǎn)程管理。對網(wǎng)絡(luò)安全要求不是很高的交易或認(rèn)證，可以使用SSL(Secure Sockets Layer：安全套接層通訊協(xié)議)安全機(jī)制，為IIS提供一種在其服務(wù)協(xié)議(HTIT)和TCPIP之間提供分層數(shù)據(jù)安全性的協(xié)議，為TCPIP連接提供數(shù)據(jù)加密、服務(wù)器身份驗(yàn)證和消息完整性，從而防止資料竊取者直接看到傳輸中的信息。3.緩沖區(qū)溢出攻擊的防范近年來所發(fā)現(xiàn)的重大安全漏洞中有半數(shù)屬于緩沖區(qū)溢出漏洞，因此，要完全避免緩沖區(qū)溢出漏洞造成的安全威脅是不可能的，但我們可以構(gòu)建完善的防范體系來降低緩沖區(qū)溢出攻擊的威脅。(1)編寫正確的代碼避免使用Gets、Sprintf等未限定邊

37、界溢出的危險(xiǎn)函數(shù)或者使用具有類型安全的Java等語言以避免C語言的缺陷，防止緩沖區(qū)溢出的發(fā)生，同時(shí)，使用高級查錯(cuò)工具尋找代碼中的緩沖區(qū)溢出安全漏洞，確保程序員開發(fā)出更安全的程序。(2)非執(zhí)行的緩沖區(qū)通過使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行被植入到被攻擊程序輸入緩沖區(qū)中的代碼，這種技術(shù)稱為非執(zhí)行的緩沖區(qū)技術(shù)。事實(shí)上，很多老的Unix系統(tǒng)都是這樣設(shè)計(jì)的，但是近來的Unix和MSWindows系統(tǒng)為實(shí)現(xiàn)更好的性能和功能，往往在數(shù)據(jù)段中動(dòng)態(tài)地放人可執(zhí)行的代碼。所以為了保持程序的兼容性不可能使得所有程序的數(shù)據(jù)段不可執(zhí)行。但是我們可以設(shè)定堆棧數(shù)據(jù)段不可執(zhí)行，這樣就可以最大限度地保

38、證了程序的兼容性。(3)數(shù)組邊界檢查不像非執(zhí)行緩沖區(qū)保護(hù)，數(shù)組邊界檢查完全沒有了緩沖區(qū)溢出的產(chǎn)生和攻擊。這樣，只要數(shù)組不能被溢出，溢出攻擊也就無從談起。為實(shí)現(xiàn)數(shù)組邊界檢查，則所有對數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對數(shù)組的操作在正確的范圍內(nèi)。通?？梢杂肅ompaq C編譯器、類型安全語言等優(yōu)化技術(shù)來減少檢查的次數(shù)。(4)程序指針完整性檢查程序指針完整性檢查和邊界檢查有略微的不同。與防止程序指針被改變不同，程序指針完整性檢查在程序指針被引用之前檢測到它的改變。因此，即便一個(gè)攻擊者成功地改變程序的指針，由于系統(tǒng)事先檢測到了指針的改變，因此這個(gè)指針將不會(huì)被使用。與數(shù)組邊界檢查相比，這種方法不能解決所有

39、的緩沖區(qū)溢出問題，采用其他的緩沖區(qū)溢出方法就可以避免這種檢測，但是這種方法在性能上有很大的優(yōu)勢，而且兼容性也很好。(5)作為普通用戶或系統(tǒng)管理員，確保及時(shí)對自己的操作系統(tǒng)和應(yīng)用程序進(jìn)行升級更新，以修補(bǔ)公開的漏洞，減少不必要的開放服務(wù)端口。以上的論述可以考慮提到某種攻擊，馬上論述其防范措施，不要一股腦兒說完攻擊再說防范，這樣就沒有針對性，還能跟其他論文有區(qū)分，以避抄襲之嫌五網(wǎng)絡(luò)安全防范措施以上這幾種防范措施是針對具體的網(wǎng)絡(luò)攻擊來設(shè)計(jì)的。我們都知道，現(xiàn)在的網(wǎng)絡(luò)攻擊手段紛繁復(fù)雜，多的數(shù)不勝數(shù)，而且攻擊的手段越來越高級，就靠這幾種防范措施是遠(yuǎn)遠(yuǎn)不夠得，是不能解決現(xiàn)實(shí)問題的。所以下面給大家從總體上強(qiáng)調(diào)幾

40、點(diǎn)防范措施：1.利用安全防范技術(shù)正因?yàn)榫W(wǎng)絡(luò)安全問題復(fù)雜多樣，所以出現(xiàn)了一些技術(shù)來幫助管理員來加強(qiáng)網(wǎng)絡(luò)安全。其中主要分為。加密技術(shù)，身份認(rèn)證技術(shù)，防火墻技術(shù)等等。管理員可以利用這些技術(shù)組合使用來保證網(wǎng)絡(luò)主機(jī)的安全。（1）加密技術(shù)加密技術(shù)主要分為公開算法和私有算法兩種。私有算法是運(yùn)用起來是比較簡單和運(yùn)算速度比較快的，但缺點(diǎn)是一旦被解密者追蹤到算法，那么算法就徹底廢了。公開算法的算法是公開的，有的是不可逆。有用公鑰，私鑰的。優(yōu)點(diǎn)是非常難破解?？蓮V泛用于各種應(yīng)用。缺點(diǎn)是運(yùn)算速度較慢。使用時(shí)很不方便。（2）身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)在電子商務(wù)應(yīng)用中是極為重要的核心安全技術(shù)之一。主要在數(shù)字簽名是用公鑰私鑰的方式保證文件是由使用者發(fā)出的和保證數(shù)