網(wǎng)絡(luò)攻擊與防御技術(shù)的研究與實(shí)踐

中國(guó)論文榜--中國(guó)權(quán)威論文發(fā)表平臺(tái)，我們?yōu)槟峁I(yè)的論文發(fā)表咨詢和論文發(fā)表輔導(dǎo)!網(wǎng)絡(luò)攻擊與防御技術(shù)的研究與實(shí)踐魏為民，袁仲雄【論文摘要】網(wǎng)絡(luò)攻擊與防御是信息安全領(lǐng)域的核心內(nèi)容，采用攻防角色分組的惰境實(shí)踐模式，將其分解為掃描、網(wǎng)絡(luò)嗅探、口令破解、欺騙攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、Web攻擊、SQL注入攻擊、木馬攻擊、計(jì)算機(jī)病毒、手機(jī)病毒、防火墻與入侵檢測(cè)等12個(gè)專題，對(duì)應(yīng)12個(gè)學(xué)生小組，每組6名學(xué)生，攻擊和防御各半。通過課程實(shí)踐，有效培養(yǎng)學(xué)生的實(shí)際動(dòng)手能力、自主學(xué)習(xí)、分析問題、解決問題的能力，以及團(tuán)隊(duì)協(xié)作和組織能力。

【論文關(guān)鍵詞】網(wǎng)絡(luò)攻擊與防御；口令破解；欺騙攻擊；SQL注入攻擊

引言

網(wǎng)絡(luò)攻擊與防御是信息技術(shù)領(lǐng)域的重要研究課題，越來越受到人們的關(guān)注。近年來，我國(guó)網(wǎng)絡(luò)安全事件發(fā)生比率呈明顯上升趨勢(shì)，調(diào)查顯示絕大多數(shù)網(wǎng)民的主機(jī)曾經(jīng)感染病毒，超過一半的網(wǎng)民經(jīng)歷過賬號(hào)被盜竊或者個(gè)人信息被篡改，還有部分網(wǎng)民曾被釣魚網(wǎng)站欺騙[1]。在經(jīng)濟(jì)利益的驅(qū)使下，制造、販賣病毒木馬、教授網(wǎng)絡(luò)攻擊技術(shù)，再進(jìn)行網(wǎng)絡(luò)盜竊或詐騙等，已形成嚴(yán)密的"產(chǎn)業(yè)鏈”給社會(huì)造成了巨大的經(jīng)濟(jì)損失和安全威脅，嚴(yán)重影響了我國(guó)互聯(lián)網(wǎng)的健康發(fā)展。

網(wǎng)絡(luò)攻擊與防御是信息安全領(lǐng)域的核心內(nèi)容，通過學(xué)習(xí)網(wǎng)絡(luò)攻擊與防御課程，學(xué)生可以了解當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)面臨的現(xiàn)狀和挑戰(zhàn)，掌握網(wǎng)絡(luò)攻防技術(shù)的基本原理和方法，全面了解網(wǎng)絡(luò)攻擊與防范技術(shù)，掌握網(wǎng)絡(luò)防范體系的相關(guān)內(nèi)容，并具備防御各種常見網(wǎng)絡(luò)攻擊的基本能力'主要有三個(gè)方面的能力：i)學(xué)習(xí)能力：通過課堂實(shí)驗(yàn)教學(xué)和各項(xiàng)實(shí)踐技能的訓(xùn)練，使學(xué)生具備分析問題和解決問題的能力，同時(shí)培養(yǎng)學(xué)生的繼續(xù)學(xué)習(xí)能力和創(chuàng)造能力；2專業(yè)能力：通過理論實(shí)踐一體化課堂學(xué)習(xí)，使學(xué)生具備網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)和較強(qiáng)的動(dòng)手操作能力，同時(shí)在實(shí)踐環(huán)節(jié)中使學(xué)生具備較強(qiáng)的團(tuán)隊(duì)合作、信息交流、組織協(xié)調(diào)等能力；3)社會(huì)能力：使學(xué)生具備在企事業(yè)單位IT領(lǐng)域從事網(wǎng)絡(luò)安全管理與維護(hù)的能力。

1項(xiàng)目設(shè)置

我們采用張玉清主編的《網(wǎng)絡(luò)攻擊與防御技術(shù)》教材，該教材由清華大學(xué)出版社于2011年1月出版。該教材共分13章，從計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)入手，由淺入深地講述網(wǎng)絡(luò)安全的基本概念和目前黑客常用的一些攻擊手段和使用技巧，包括網(wǎng)絡(luò)掃描、口令破解、欺騙攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出技術(shù)、Web攻擊、特洛伊木馬、計(jì)算機(jī)病毒等，并針對(duì)各種攻擊方法介紹對(duì)應(yīng)的檢測(cè)或防御技術(shù)。此外，簡(jiǎn)要闡述了目前應(yīng)用較為廣泛的多種典型防御手段，包括加密、身份認(rèn)證、防火墻、入侵檢測(cè)系統(tǒng)、虛擬專用網(wǎng)、蜜罐取證寺。

該課程的第一周，首先向?qū)W生介紹網(wǎng)絡(luò)安全相關(guān)的基礎(chǔ)知識(shí)和概念，以及網(wǎng)絡(luò)攻擊的一般步驟，分析目前的網(wǎng)絡(luò)安全形勢(shì)，使學(xué)生對(duì)這一領(lǐng)域有一個(gè)初步的認(rèn)識(shí)；其次，簡(jiǎn)單介紹課程的主要內(nèi)容以及教學(xué)方式。最后，將該課程分為12個(gè)專題項(xiàng)目，分別是掃描與防御技術(shù)、網(wǎng)絡(luò)嗅探與防御技術(shù)、口令破解與防御技術(shù)、欺騙攻擊與防御技術(shù)、拒絕服務(wù)攻擊與防御技術(shù)、緩沖區(qū)溢出攻擊與防御技術(shù)、Web攻擊與防御技術(shù)、SQL注入攻擊及防御、木馬攻擊與防御技術(shù)、計(jì)算機(jī)病毒、手機(jī)病毒、防火墻與入侵檢測(cè)，每個(gè)專題項(xiàng)目都包括攻擊和防御兩部分，如表1所示。采用攻防角色分組的方式,將來自兩個(gè)自然班的71名同學(xué)，分別分為12個(gè)小組，即按學(xué)號(hào)順序每3人組成1個(gè)小組（最后一組為2人)，每組對(duì)應(yīng)一個(gè)專題，由各組代表PK決定攻防角色。

在隨后的十二周課堂實(shí)踐中，學(xué)生們通過借閱圖書、在網(wǎng)上搜索案例、搭建攻擊平臺(tái)，或編寫程序檢測(cè)等方式，分析每種攻擊的手段、技術(shù)原理，以及實(shí)現(xiàn)過程和性能、優(yōu)缺點(diǎn)等,運(yùn)用實(shí)際案例對(duì)知識(shí)要點(diǎn)進(jìn)行演練，極大地調(diào)動(dòng)了同學(xué)們的學(xué)習(xí)激情，讓大部分同學(xué)參與并親身體驗(yàn)到了網(wǎng)絡(luò)攻擊與防御的真實(shí)情境。

第十四周，主要介紹目前廣泛應(yīng)用的多種典型防御手段,包括常用的加密技術(shù)、身份認(rèn)證技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)、虛擬專用網(wǎng)技術(shù)、日志審計(jì)技術(shù)、蜜罐取證等，從系統(tǒng)防御體系的角度闡述信息安全知識(shí)，加深學(xué)生對(duì)整個(gè)信息安全領(lǐng)域的了解和認(rèn)識(shí)。

第十五周，主要介紹網(wǎng)絡(luò)安全未來的發(fā)展趨勢(shì)以及與網(wǎng)絡(luò)安全相關(guān)的一些法律法規(guī)問題，強(qiáng)調(diào)法律在信息安全領(lǐng)域的重要性。

2案例分析

2.1口令破解與防御技術(shù)：CSDN和RenRen網(wǎng)站口令分析

2011年底，CSDN、天涯等網(wǎng)站發(fā)生用戶信息泄露事件引起社會(huì)廣泛關(guān)注[3]，被公開的疑似泄露數(shù)據(jù)庫26個(gè)，涉及賬號(hào)密碼信息2.78億條，嚴(yán)重威脅互聯(lián)網(wǎng)站的基本情況；5)大型電子商務(wù)網(wǎng)站一般應(yīng)用了可信證書類產(chǎn)品，如其網(wǎng)址非"https"開頭，應(yīng)謹(jǐn)慎對(duì)待；6)專用網(wǎng)站檢測(cè)，如SiteWatcher檢測(cè)假冒網(wǎng)站,如圖2所示。

2.3SQL注入攻擊及防御

隨著B/S模式應(yīng)用開發(fā)的流行，使用這種模式編寫應(yīng)用程序的程序員也越來越多。但由于程序員的水平及經(jīng)驗(yàn)參差不齊，很多程序員在編寫表單代碼的時(shí)候，將用戶輸入的內(nèi)容直接用來構(gòu)造動(dòng)態(tài)SQL命令或作為存儲(chǔ)過程的輸入?yún)?shù)，攻擊者把SQL命令插入到Web表單的輸入域或頁面請(qǐng)求的查詢字符串，欺騙服務(wù)器執(zhí)行惡意的SQL命令這就是SQL注入攻擊[7]。表面看SQL注入跟一般的Web頁面訪問沒什么區(qū)別，一般防火墻也不會(huì)對(duì)SQL注入發(fā)出警報(bào)，故而網(wǎng)站被入侵很久也可能不會(huì)被發(fā)覺。據(jù)調(diào)查，國(guó)內(nèi)采用ASP+Access或SQLServer數(shù)據(jù)庫的網(wǎng)站占70%以上。第八組的同學(xué)在虛擬機(jī)上搭建一套采用ASP+Access數(shù)據(jù)庫的留言板網(wǎng)絡(luò)應(yīng)用，其首頁地址為：http:"28:8181/bbs/index.asp，公告鏈接為：http:〃28:8181/bbs/gshow.asp?id=1，通過在id參數(shù)后面加上andexists(select*frommsysobjects)，構(gòu)成完整的SQL注入測(cè)試語句：28:8181/bbs/gshow.asp?id=1andexists(select*frommsysobjects)。服務(wù)器返回的結(jié)果如圖3所示，從而確定該網(wǎng)站存在SQL注入漏洞，且后臺(tái)采用的是Access數(shù)據(jù)庫。

模擬實(shí)驗(yàn)后，他們將SQL注入技術(shù)應(yīng)用于互聯(lián)網(wǎng)真實(shí)環(huán)境，探測(cè)有SQL注入漏洞的網(wǎng)站。通過百度探測(cè)采用ASP搭建的網(wǎng)站，搜索語句為〃inurl:asp?id=site:com”掃描到有注入點(diǎn)的網(wǎng)站，通過SQL注入查看到了某網(wǎng)站的數(shù)據(jù)庫、表、字段等內(nèi)容，獲得系統(tǒng)管理員賬號(hào)admin及其口令的MD5值,通過在MD5解密網(wǎng)站上解密后，成功登陸該網(wǎng)站后臺(tái)管理系統(tǒng)，如圖4所示。

SQL注入是危害Web安全的主要攻擊手段，存在SQL注入漏洞的網(wǎng)站一旦被攻擊成功后，產(chǎn)生的后果可能是毀滅性的,如：1)非法越權(quán)操作數(shù)據(jù)庫內(nèi)容；2隨意篡改網(wǎng)頁內(nèi)容；3添加系統(tǒng)賬戶或者數(shù)據(jù)庫賬戶；4)安裝木馬后門；5)本地溢出獲得服務(wù)器最高權(quán)限。在成功演示SQL注入漏洞后，第八組同學(xué)聯(lián)系該網(wǎng)站系統(tǒng)管理員，善意提出阻塞SQL注入漏洞的建議，該網(wǎng)站網(wǎng)管員向他們表示了衷心的謝意。

3結(jié)束語

《網(wǎng)絡(luò)攻擊與防御》課程是信息安全專業(yè)的核心課程，通過該門課程的學(xué)習(xí)，使學(xué)生掌握網(wǎng)絡(luò)安全技術(shù)研究的內(nèi)容以及網(wǎng)絡(luò)安全應(yīng)用領(lǐng)域的相關(guān)基本知識(shí)和實(shí)踐技能，為從事網(wǎng)絡(luò)安全的應(yīng)用、管理等崗位工作奠定堅(jiān)實(shí)的基礎(chǔ)。該門課程能使學(xué)生具備勝任企業(yè)網(wǎng)絡(luò)安全管理、系統(tǒng)維護(hù)、網(wǎng)絡(luò)安全防御等相關(guān)專業(yè)技術(shù)崗位的工作，為學(xué)生通過計(jì)算機(jī)網(wǎng)絡(luò)管理員等技能證書的考核起到良好的支撐作用。在實(shí)踐教學(xué)環(huán)節(jié)中以"情境教學(xué)"為主線，將教、學(xué)、做有機(jī)結(jié)合在一起。通過本課程的學(xué)習(xí)，有效培養(yǎng)學(xué)生的實(shí)際動(dòng)手能力、自主學(xué)習(xí)、分析問題、解決問題的能力，同時(shí)也能培養(yǎng)學(xué)生團(tuán)隊(duì)協(xié)作和組織能力，使學(xué)生具備良好的職業(yè)素養(yǎng)。

網(wǎng)絡(luò)攻擊者和防御者之間的博弈是信息安全領(lǐng)域的永恒話題[8]。技術(shù)的持續(xù)發(fā)展演變使得信息安全形勢(shì)也隨之動(dòng)態(tài)變化，并給信息安全的教學(xué)帶來了新的挑戰(zhàn)，采用攻防角色分組的情境教學(xué)方式是我們一次有益的嘗試。

【參考文獻(xiàn)】

[1]張玉清等.網(wǎng)絡(luò)攻擊與防御技術(shù)[M].北京：清華大學(xué)出版社，2011.

[2]沈昌祥.加強(qiáng)信息安全學(xué)科、專業(yè)建設(shè)和人才培養(yǎng)J].計(jì)算機(jī)教育，2007，(10)：6.

[3]國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心.2011年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[EB/OL]2012-05-23.

[5]張敏鈺.釣魚網(wǎng)站簡(jiǎn)介[J].保密科學(xué)技術(shù)，2011,(0