常见网络攻击的手段与防范侯建兵赤峰学院计算机科学与技术系,赤峰024000摘要:现在,Intemet上的网络攻击越来越猖獗,攻击手段也越来越先进,一旦被攻破,导致的损失也会越来越严重。
如何有效地防止网络攻击已成为一个全球性的研究课题,受到全世界网络工作者的普遍重视,因此,针对黑客的网络攻击,提高网络的防护能力,保证信息安全已成为当务之急。
为此本文列举了一些典型的网络攻击,将它们进行了分类,在分析其攻击原理的基础上,针对网络攻击的具体防御措施进行了讨论和分析。
关键词:网络安全;网络攻击;安全策略;手段;措施;黑客攻击;防范技术一.引言随着Intemet的发展.高信息技术像一把双刃剑,带给我们无限益处的同时也带给网络更大的风险。
网络安全已成为重中之重,攻击者无处不在。
因此网络管理人员应该对攻击手段有一个全面深刻的认识,制订完善安全防护策略。
孙子兵法上说,知己知彼,百战不殆。
要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动的安装防火墙是显然不够的。
我们必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解,针对不同的方法采取不同的措施,做到有的放矢。
只有这样才能更有效、更具有针对性的进行主动防护。
二.相关基本概念和网络攻击的特点1.计算机网络安全的含义从本质上来讲.网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性.使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
人为的网络入侵和攻击行为使得网络安全面临新的挑战。
2. 网络攻击概念性描述网络攻击是利用信息系统自身存在的安全漏洞,进入对方网络系统或者是摧毁其硬件设施。
其目的就是破坏网络安全的各项指标,破坏扰乱对方信息系统的正常运行,致使对方计算机网络和系统崩溃、失效或错误工作。
3. 计算机网络攻击的特点计算机网络攻击具有下述特点:(1)损失巨大。
由于攻击和入侵的对象是网络上的计算机。
所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。
(2)威胁社会和国家安全。
一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。
(3)手段多样,手法隐蔽。
计算机攻击的手段可以说五花八门。
网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统;还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。
这些过程都可以在很短的时间内通过任何一台联网的计算机完成。
(4)以软件攻击为主。
几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。
它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。
因此,这一方面导致了计算机犯罪的隐蔽性,另一方面又要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。
三.网络攻击的步骤进行网络攻击是一件系统性很强的工作,其主要工作流程是:收集情报——远程攻击——远程登录——取得普通用户的权限——取得超级用户的权限——留下后门——清除日志。
主要内容包括目标分析、文档获取、破解密码、日志清除等技术。
第一步:隐藏自己的位置普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。
第二步:寻找目标主机并分析目标主机攻击者首先要寻找目标主机并分析目标主机。
在Intemet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。
当然,知道要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供的服务等资料进行全面的了解。
此时,攻击者会使用一些扫描工具,轻松获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些帐户,WWW、FTP、Telnet、SMTP等服务器程序是何种版本等资料,为入侵作好充分的准备。
第三步:获取帐号和密码,登录主机要想入侵一台主机,首先必需要有该主机的一个帐号和密码,否则连登录都无法进行。
因此,攻击者必须先设法盗窃帐户文件并进行破解,从中获取某用户的帐号和口令,然后寻找合适时机以此身份进入主机。
当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。
第四步:获得控制权攻击者用FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后,就会清除日志和留下后门,而且会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序,以便日后可以不被觉察地再次进入系统。
大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用了,甚至新文件的大小都和原文件一模一样。
攻击者一般会使用rep传递这些文件,以便不留下FTP记录。
用清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。
第五步:窃取网络资源和特权攻击者找到攻击目标后,会继续下一步的攻击,即实施真正的网络攻击。
如:下载敏感信息;实施窃取帐号密码、信用卡号等经济偷窃;使网络瘫痪。
三.网络攻击技术原理和常用手段1.Dos拒绝服务攻击Internet最初的设计目标是开放性和灵活性,而不是安全性。
目前Internet网上各种入侵手段和攻击方式大量出现,成为网络安全的主要威胁,拒绝服务(Denial of Service,DoS)是一种简单但很有效的进攻方式。
其基本原理是利用合理的请求占用过多的服务资源,致使服务超载,无法响应其他的请求,从而使合法用户无法得到服务。
DoS的攻击方式有很多种。
最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。
这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者向内的连接。
这种攻击会导致资源的缺乏,无论计算机的处理速度多么快,内存容量多么大,互连网的速度多么快都无法避免这种攻击带来的后果。
因为任何事都有一个极限。
所以,总能找到一个方法使请求的值大于该极限值,因此就会使所提供的服务资源缺乏,像是无法满足需求。
千万不要自认为自己拥有了足够宽的带宽就会有一个高效率的网站,拒绝服务攻击会使所有的资源交得非常渺小。
典型拒绝服务攻击有以下几种:(1)Ping of Death根据TCP/IP的规范,一个包的长度最大为65536字节。
尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。
当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。
(2)SYN floodSYN flood攻击也是一种常用的拒绝服务攻击。
它的工作原理是,正常的一个TCP连接需要连接双方进行三个动作,即“三次握手”,其过程如下:请求连接的客户机首先将一个带SYN标志位的包发给服务器;服务器收到这个包后产生一个自己的SYN标志,并把收到包的SYN+I作为ACK标志返回给客户机:客户机收到该包后,再发一个ACK=SYN+I的包给服务器。
经过这三次握手,连接才正式建立。
在服务器向客户机发返回包时,它会等待客户机的ACK 确认包,这时这个连接被加到未完成连接队列中,直到收到ACK应答后或超时才从队列中删除。
这个队列是有限的,一些TCP/IP堆栈的实现只能等待从有限数量的计算机发来的ACK 消息、,因为他们只有有限的内存缓冲区用于创建连接,如果这些缓冲区内充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。
如果客户机伪装大量SYN包进行连接请求并且不进行第三次握手,则服务器的未完成连接队列就会被塞满,正常的连接请求就会被拒绝,这样就造成了拒绝服务。
(3)缓冲区溢出攻击缓冲区是程序运行时计算机内存中的一个连续块。
大多数情况下为了不占用太多的内存,一个有动态变量的程序在程序运行时才决定给它们分配多少内存。
如果程序在动态分配缓冲区放入超长的数据,就会发生缓冲区的溢出。
此时,子程序的返回地址就有可能被超出缓冲区的数据覆盖,如果在溢出的缓存区中写入想执行的代码(SHELL-CODE),并使返回地址指向其起始地址,CPU就会转而执行SHELL-CODE,达到运行任意指令从而进行攻击的目的。
2.程序攻击(1)病毒A.病毒的主要特征➢隐蔽性:病毒的存在、传染和对数据的破坏过程不易为计算机操作人员发现。
➢寄生性:计算机病毒通常是依附于其它文件而存在的。
➢传染性:计算机病毒在一定条件下可以自我复制,能对其它文件或系统进行一系列非法操作,并使之成为一个新的传染源。
➢触发性:病毒的发作一般都需要一个激发条件,可以是日期、时间、特定程序的运行或程序的运行次数等等。
➢破坏性:病毒在触发条件满足时,会立即对计算机系统的文件、资源等运行进行干扰破坏。
➢不可遇见性:病毒相对于防毒软件永远是超前的,理论上讲没有任何杀毒软件能将所有的病毒杀除。
➢针对性:针对特定的应用程序或操作系统,通过感染数据库服务器进行传播。
B.病毒采用的触发条件主要有以下几种:➢日期触发:许多病毒采用日期做触发条件。
日期触发大体包括:特定日期触发、月份触发、前半年后半年触发等。
➢时间触发:时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。
➢键盘触发:有些病毒监视用户的击键动作,当发现病毒预定的键入时,病毒被激活,进行某些特定操作。
键盘触发包括击键次数触发、组合键触发、热启动触发等。
➢感染触发:许多病毒的感染需要某些条件触发,而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件,称为感染触发。
它包括:运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。
➢启动触发:病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发。
➢访问磁盘次数触发:病毒对磁盘I/O访问的次数进行计数,以预定次数做触发条件叫访问磁盘次数触发。
➢调用中断功能触发:病毒对中断调用次数计数,以预定次数做触发条件。
➢CPU型号/主板型号触发:病毒能识别运行环境的CPU型号/主板型号,以预定CPU 型号/主板型号做触发条件,这种病毒的触发方式奇特罕见。
被计算机病毒使用的触发条件是多种多样的,而且往往不只是使用上面所述的某一个条件,而是使用由多个条件组合起来的触发条件。
大多数病毒的组合触发条件是基于时间的,再辅以读、写盘操作,按键操作以及其他条件等。
(2)蠕虫A.蠕虫的工作原理蠕虫程序的实体结构:蠕虫程序相对于一般的应用程序,在实体结构方面体现更多的复杂性,通过对多个蠕虫程序的分析,可以粗略的把蠕虫程序的实体结构分为如下的六大部分,具体的蠕虫可能是由其中的几部分组成:➢未编译的源代码:由于有的程序参数必须在编译时确定,所以蠕虫程序可能包含一部分未编译的程序源代码;➢已编译的链接模块:不同的系统(同族)可能需要不同的运行模块,例如不同的硬件厂商和不同的系统厂商采用不同的运行库,这在UNIX族的系统中非常常见;➢可运行代码:整个蠕虫可能是由多个编译好的程序组成;➢脚本:利用脚本可以节省大量的代码,充分利用系统shell的功能;➢受感染系统上的可执行程序:受感染系统上的可执行程序如文件传输等可被蠕虫作为自己的组成部分;➢信息数据:包括已破解的口令、要攻击的地址列表、蠕虫自身压缩包。