網(wǎng)絡(luò)攻擊及防范措施

1、網(wǎng)絡(luò)攻擊及防范措施【摘要】隨著互聯(lián)網(wǎng)的開展,在計算機網(wǎng)絡(luò)平安領(lǐng)域里,存在一些非法用戶利用各種手段和系統(tǒng)的破綻攻擊計算機網(wǎng)絡(luò).網(wǎng)絡(luò)平安已經(jīng)成為人們?nèi)找骊P(guān)注的焦點問題網(wǎng)絡(luò)中的平安破綻無處不在,即便舊的平安破綻補上了補丁,新的平安破綻又將不斷涌現(xiàn).網(wǎng)絡(luò)攻擊是造成網(wǎng)絡(luò)不平安的主要原因.單純掌握攻擊技術(shù)或者單純掌握防御技術(shù)都不能適應(yīng)網(wǎng)絡(luò)平安技術(shù)的開展為了進步計算機網(wǎng)絡(luò)的平安性,必須理解計算機網(wǎng)絡(luò)的不平安因素和網(wǎng)絡(luò)攻擊的方法同時采取相應(yīng)的防御措施。【關(guān)鍵詞】特洛伊木馬網(wǎng)絡(luò)監(jiān)聽緩沖區(qū)溢出攻擊1特洛伊木馬特洛伊木馬是一種惡意程序,它們悄悄地在宿主機器上運行,就在用戶毫無發(fā)覺的情況下,讓攻擊者獲得了遠程訪問和控

2、制系統(tǒng)的權(quán)限.黑客的特洛伊木馬程序事先已經(jīng)以某種方式潛入你的機器,并在適當(dāng)?shù)臅r候激活,埋伏在后臺監(jiān)視系統(tǒng)的運行,它同一般程序一樣,能實現(xiàn)任何軟件的任何功能.例如拷貝、刪除文件、格式化硬盤、甚至發(fā)電子郵件,典型的特洛伊木馬是竊取別人在網(wǎng)絡(luò)上的賬號和口令,它有時在用戶合法的登錄前偽造一登錄現(xiàn)場,提示用戶輸入賬號和口令,然后將賬號和口令保存至一個文件中,顯示登錄錯誤,退出特洛伊木馬程序。完好的木馬程序一般由兩個部份組成:一個是效勞器程序,一個是控制器程序.“中了木馬就是指安裝了木馬的效勞器程序,假設(shè)你的電腦被安裝了效勞器程序,那么擁有控制器程序的人就可以通過網(wǎng)絡(luò)控制你的電腦、為所欲為。1.1特洛伊木

3、馬程序的檢測(1)通過網(wǎng)絡(luò)連接檢測:掃描端口是檢測木馬的常用方法.在不翻開任何網(wǎng)絡(luò)軟件的前提下,接入互聯(lián)網(wǎng)的計算機翻開的只有139端口.因此可以關(guān)閉所有的網(wǎng)絡(luò)軟件。進展139端口的掃描。(2)通過進程檢測:in/xp中按下“tl+alt+del進入任務(wù)管理器,就可以看到系統(tǒng)正在運行的全部進程,清查可能發(fā)現(xiàn)的木馬程序。(3)通過軟件檢測:用戶運行殺毒、防火墻軟件和專用木馬查殺軟件等都可以檢測系統(tǒng)中是否存在的木馬程序。1.2特洛伊木馬程序的預(yù)防(1)不執(zhí)行任何來歷不明的軟件(2)不隨意翻開郵件附件(3)將資源管理器配置成始終顯示擴展名(4)盡量少用共享文件夾(5)運行反木馬實時監(jiān)控程序(6)經(jīng)常晉

4、級系統(tǒng)2網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽技術(shù)本來是提供應(yīng)網(wǎng)絡(luò)平安管理人員進展管理的工具,可以用來監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔⒌?當(dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時,使用監(jiān)聽技術(shù)進展攻擊并不是一件難事,只要將網(wǎng)絡(luò)接口設(shè)置成監(jiān)聽形式,便可以源源不斷地將網(wǎng)上傳輸?shù)男畔⒔孬@。在因特網(wǎng)上有很多使用以太網(wǎng)協(xié)議的局域網(wǎng),許多主機通過電纜、集線器連在一起。當(dāng)同一網(wǎng)絡(luò)中的兩臺主機通信的時候,源主機將寫有目的的主機地址的數(shù)據(jù)包直接發(fā)向目的主機。但這種數(shù)據(jù)包不能在ip層直接發(fā)送,必須從tp/ip協(xié)議的ip層交給網(wǎng)絡(luò)接口,也就是數(shù)據(jù)鏈路層,而網(wǎng)絡(luò)接口是不會識別ip地址的,因此在網(wǎng)絡(luò)接口數(shù)據(jù)包又增加了一局部以太幀頭的

5、信息。在幀頭中有兩個域,分別為只有網(wǎng)絡(luò)接口才能識別的源主機和目的主機的物理地址,這是一個與ip地址相對應(yīng)的48位的地址。當(dāng)主機工作在監(jiān)聽形式下,所有的數(shù)據(jù)幀都將被交給上層協(xié)議軟件處理。而且,當(dāng)連接在同一條電纜或集線器上的主機被邏輯地分為幾個子網(wǎng)時,假如一臺主機處于監(jiān)聽形式下,它還能接收到發(fā)向與自己不在同一子網(wǎng)(使用了不同的掩碼、ip地址和網(wǎng)關(guān))的主機的數(shù)據(jù)包。即在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏健Ｕ_的使用網(wǎng)絡(luò)監(jiān)聽技術(shù)也可以發(fā)現(xiàn)入侵并對入侵者進展追蹤定位,在對網(wǎng)絡(luò)犯罪進展偵查取證時獲取有關(guān)犯罪行為的重要信息,成為打擊網(wǎng)絡(luò)犯罪的有力手段。2.1如何檢測并防范網(wǎng)絡(luò)監(jiān)聽(1)對于疑心運行

6、監(jiān)聽程序的機器,用正確的ip地址和錯誤的物理地址ping,運行監(jiān)聽程序的機器會有響應(yīng)。這是因為正常的機器不接收錯誤的物理地址,處理監(jiān)聽狀態(tài)的機器能接收,但假如他的ipstak不再次反向檢查的話,就會響應(yīng)。(2)觀測dns許多的網(wǎng)絡(luò)監(jiān)聽都會進展址反向解析,在疑心有網(wǎng)絡(luò)監(jiān)聽發(fā)生時可以在dns系統(tǒng)上觀測有沒有明顯增多的解析懇求。(3)向網(wǎng)上發(fā)大量不存在的物理地址的包,由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會占用很多的pu資源,這將導(dǎo)致性能下降。通過比擬前后該機器性能加以判斷。這種方法難度比擬大。(4)反響時間向疑心有網(wǎng)絡(luò)監(jiān)聽行為的網(wǎng)絡(luò)發(fā)出大量垃圾數(shù)據(jù)包,根據(jù)各個主機回應(yīng)的情況進展判斷,正常的系統(tǒng)回應(yīng)的

7、時間應(yīng)該沒有太明顯的變化,而處于混雜形式的系統(tǒng)由于對大量的垃圾信息照單全收,所以很有可能回應(yīng)時間會發(fā)生較大的變化。(5)利用arp數(shù)據(jù)包進展監(jiān)測這種方法是ping方式的一種變體,使用arp數(shù)據(jù)包替代了ip數(shù)據(jù)包,向主機發(fā)送非播送式的arp包,假如主機響應(yīng)了這個arp懇求,就可以判斷它很可能就處于網(wǎng)絡(luò)監(jiān)聽形式了,這是目前相比照擬好的監(jiān)測形式。(6)使用反監(jiān)聽工具如antisniff軟件進展檢測3緩沖區(qū)溢出攻擊緩沖區(qū)溢出是指當(dāng)一個超長的數(shù)據(jù)進入到緩沖進入到緩沖區(qū)時,超出局部就會被寫入其他緩沖區(qū),其他緩沖區(qū)存放的可能是數(shù)據(jù)、下一條指令的指針或者是其他程序的輸出內(nèi)容,這些內(nèi)容都被覆蓋或被破壞掉。緩沖區(qū)

8、溢出有時又稱為堆棧溢出攻擊,是過去的十多年里,網(wǎng)絡(luò)平安破綻常用的一種形式并且易于擴大。相比于其他因素,緩沖區(qū)溢出是網(wǎng)絡(luò)受到攻擊的主要原因。(1)編寫正確的代碼由于緩沖區(qū)溢出是一個編程問題,所以只能通過修復(fù)被破壞的程序的代碼而解決問題。開放程序時仔細檢查溢出情況,不允許數(shù)據(jù)溢出緩沖區(qū)。(2)非執(zhí)行的緩沖區(qū)使被攻擊程序的數(shù)據(jù)段址空間不可執(zhí)行,從而使得攻擊都不可能執(zhí)行被植入的攻擊程序輸入緩沖共代碼。(3)數(shù)組邊界檢查數(shù)組邊界檢查完且沒有緩沖共溢出的產(chǎn)生和攻擊。這樣,只要數(shù)組不能被溢出,溢出攻擊也就無從談起。為了實現(xiàn)數(shù)組邊界檢查,那么所有的對數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對數(shù)組的操作在正確的范圍內(nèi)。

9、(4)堆棧溢出檢查使用檢查堆棧溢出的編譯器或者在程序中參加某些記號,以便程序運行時確認制止黑客有意造成的溢出。問題是無法針對已有程序,對新程序來講,需要修改編譯器。(5)操作系統(tǒng)和應(yīng)用程序檢查經(jīng)常檢查你的操作系統(tǒng)和應(yīng)用程序提供商的站點,一旦發(fā)現(xiàn)他們提供的補丁程序,就馬上下載并且應(yīng)用在系統(tǒng)上,這是最好的方法。4完畢語網(wǎng)絡(luò)平安是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面,既包括信息系統(tǒng)本身的平安問題,也有物理的和邏輯的技術(shù)措施,一種技術(shù)只能解決一方面的問題而不是萬能的。將來的網(wǎng)絡(luò)平安面臨著更大的挑戰(zhàn)和機遇,在看一個內(nèi)部網(wǎng)是否平安時不僅要考察其手段,而更重要的是對該網(wǎng)絡(luò)所采取的各種措施,其中不光是物理防范,