《计算机网络攻击及解决方法.》由会员分享,可在线阅读,更多相关《计算机网络攻击及解决方法.(18页珍藏版)》请在金锄头文库上搜索。
1、廊坊职业职业技术术学院高职职高专类专类毕业毕业(设计设计)论论文网络技术专业题目计算机网络攻击及解决办法学生姓名程正一学号1113080247指导教师刘红娟班级网络技术G1102班计算机网络攻击及解决方法班级:网络技术G1102班姓名:程正一学号:1113080247摘要:随着计算机应用的日益广泛和计算机网络的普及,计算机病毒攻击与防范技术也在不断拓展,本文从个人计算机面临的各种安全威胁入手,系统地介绍网络安全技术。并针对个人计算机网络的安全问题进行研究,首先分析了网络安全概述及存在的隐患,然后从安全防御体系加强了个人计算机安全管理设计了个人网络的安全策略。在安全技术不断发展的同时,全面加强安
2、全技术的应用也是网络安全发展的一个重要内容。因为即使有了网络安全的理论基础,没有对网络安全的深刻认识、没有广泛地将它应用于网络中,那么谈再多的网络安全也是无用的。同时,网络安全不仅仅是防火墙,也不是防病毒、入侵监测、防火墙、身份认证、加密等产品的简单堆砌,而是包括从系统到应用、从设备到服务的比较完整的、体系性的安全系列产品的有机结合。总之,网络在今后的发展过程中不再仅仅是一个工具,也不再是一个遥不可及仅供少数人使用的技术专利,它将成为一种文化、一种生活融入到社会的各个领域。关键词:计算机;网络;安全;防范第1章绪论绪论计算机安全事业始于本世纪60年代。当时,计算机系统的脆弱性已日益为美国政府和
3、私营的一些机构所认识。但是,由于当时计算机的速度和性能较落后,使用的范围也不广,再加上关国政府把它当作敏感问题而施加控制,因此,有关计算机安全的研究一直局限在比较小的范围内。进入80年代后,计算机的性能得到了成百上千倍的提高,应用的范围也在不断扩大.计算机已遍及世界各个角落。并且,人们利用通信网络把孤立的单机系统连接起来.相互通信和共享资源。但是,随之而来并日益严峻的问题是计算机信息的安全问题。人们在这方而所做的研究与计算机性能和应用的飞速发展不相适应,因此,它已成为未来信息技术中的主要问题之一。由于计算机信息有共享和易扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥
4、用、遗漏和丢失,甚至被泄劣、窃取、篡改、甘充和破坏,以至于病毒的快速发展。在计算机安全中,个人计算机安全是我们正常工作、学习、娱乐的需要,注意个人计算机的安全能维护个人信息数据资料的保密性、完整性、准确性,能使我们拒绝成为“网络僵尸”的成员。1.1计计算机网络发络发展前景计算机网络就是计算机之间通过连接介质(如网络线、光纤等)互联起来,按照网络协议进行数据通信,实现资源共享的一种组织形式。计算机网络是二十世纪60年代起源于美国,原本用于军事通讯,后逐渐进入民用,经过短短40年不断的发展和完善,现已广泛应用于各个领域,并正以高速向前迈进。在不久的将来,我们将看到一个充满虚拟性的新时代。在这个虚拟
5、时代,人们的工作和生活方式都会极大地改变,那时我们将进行虚拟旅行,读虚拟大学,在虚拟办公室里工作,进行虚拟的驾车测试等。1.2本章小结结计算机网络经过40多年不断发展和完善,现在正以高速的发展方向迈进。全球的因特网装置之间的通信量将超过人与人之间的通信量,因特网将从一个单纯的大型数据中心发展成为一个高智商网络,将成为人与信息之间的高层调节者。带宽的成本将会变得非常低,甚至忽略不计。在不久的将来,无线网络将更加普及,尤其短距无线网络的前景更大。在计算机网络飞速发展的同时,网络安全问题也更加突出,因此各国正不断致力于开发和设计新的加密算法加密机制,加强安全技术的应用也是网络发展的一个重要内容。总之
6、,计算机网络在今后的发展中范围更广、潜力更大,将会融入到社会各个领域。第2章计计算机网络络攻击击及解决方法2.1拒绝绝服务务攻击击2.1.1TCPSYN拒绝服务攻击一般情况下,一个TCP连接的建立需要经过三次握手的过程,即:(1)建立发起者向目标计算机发送一个TCPSYN报文;(2)目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCPACK报文,等待发起者的回应;(3)发起者收到TCPACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。利用这个过程,一些恶意的攻击者可以进行所谓的TCPSYN拒绝服务攻击:(1)攻击者向目标计算机发送一个
7、TCPSYN报文;(2)目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应;(3)而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。可以看出,目标计算机如果接收到大量的TCPSYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。2.1.2ICMP洪水正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMPECHO),接收计算机接收到ICMP
8、ECHO后,会回应一个ICMPECHOReply报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMPECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。2.1.3UDP洪水原理与ICMP洪水类似,攻击者通过发送大量的UDP报文给目标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。2.1.4端口扫描根据TCP协议规范,当一台计算机收到一个TCP连接建立请求报文(TCPSYN)的时候,做这样的处理:1、如果
9、请求的TCP端口是开放的,则回应一个TCPACK报文,并建立TCP连接控制结构(TCB);2、如果请求的TCP端口没有开放,则回应一个TCPRST(TCP头部中的RST标志设为1)报文,告诉发起计算机,该端口没有开放。相应地,如果IP协议栈收到一个UDP报文,做如下处理:1、如果该报文的目标端口开放,则把该UDP报文送上层协议(UDP)处理,不回应任何报文(上层协议根据处理结果而回应的报文例外);2、如果该报文的目标端口没有开放,则向发起者回应一个ICMP不可达报文,告诉发起者计算机该UDP报文的端口不可达。利用这个原理,攻击者计算机便可以通过发送合适的报文,判断目标计算机哪些TCP或UDP端
10、口是开放的2.1.5分片IP报文攻击为了传送一个大的IP报文,IP协议栈需要根据链路接口的MTU对该IP报文进行分片,通过填充适当的IP头中的分片指示字段,接收计算机可以很容易的把这些IP分片报文组装起来。目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻击者计算机便会一直等待(直到一个内部计时器到时),如果攻击者发送了大量的分片报文,就会消耗掉目标计算机的资源,而导致不能相应正常的IP报文,这也是一种DOS攻击。2.1.6
11、SYN比特和FIN比特同时设置在TCP报文的报头中,有几个标志字段:1、SYN:连接建立标志,TCPSYN报文就是把这个标志设置为1,来请求建立连接;2、ACK:回应标志,在一个TCP连接中,除了第一个报文(TCPSYN)外,所有报文都设置该字段,作为对上一个报文的相应;3、FIN:结束标志,当一台计算机接收到一个设置了FIN标志的TCP报文后,会拆除这个TCP连接;4、RST:复位标志,当IP协议栈接收到一个目标端口不存在的TCP报文的时候,会回应一个RST标志设置的报文;5、PSH:通知协议栈尽快把TCP数据提交给上层程序处理。正常情况下,SYN标志(连接请求标志)和FIN标志(连接拆除标
12、志)是不能同时出现在一个TCP报文中的。而且RFC也没有规定IP协议栈如何处理这样的畸形报文,因此,各个操作系统的协议栈在收到这样的报文后的处理方式也不同,攻击者就可以利用这个特征,通过发送SYN和FIN同时设置的报文,来判断操作系统的类型,然后针对该操作系统,进行进一步的攻击。2.1.7没有设置任何标志的TCP报文攻击2.1.8设置了FIN标志却没有设置ACK标志的TCP报文攻击正常情况下,ACK标志在除了第一个报文(SYN报文)外,所有的报文都设置,包括TCP连接拆除报文(FIN标志设置的报文)。但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文,这样可能导
13、致目标计算机崩溃。2.1.9死亡之PINGTCPIP规范要求IP报文的长度在一定范围内(比如,064K),但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文,导致目标计算机IP协议栈崩溃。2.1.10地址猜测攻击跟端口扫描攻击类似,攻击者通过发送目标地址变化的大量的ICMPECHO报文,来判断目标计算机是否存在。如果收到了对应的ECMPECHOREPLY报文,则说明目标计算机是存在的,便可以针对该计算机进行下一步的攻击。2.2拒绝服务攻击的防范通常拒绝服务攻击可分为两种类型。第一种是使一个系统或网络瘫痪。如果攻击者发送一些非法的数据或数据包,就可以使得系统死机或重新启动。本质上是
14、攻击者进行了一次拒绝服务攻击,因为没有人能够使用资源。以攻击者的角度来看,攻击的刺激之处在于可以只发送少量的数据包就使一个系统无法访问。在大多数情况下,系统重新上线需要管理员的干预,重新启动或关闭系统。所以这种攻击是最具破坏力的,因为做一点点就可以破坏,而修复却需要人的干预。第二种攻击是向系统或网络发送大量信息,使系统或网络不能响应。例如,如果一个系统无法在一分钟之内处理100个数据包,攻击者却每分钟向他发送1000个数据包,这时,当合法用户要连接系统时,用户将得不到访问权,因为系统资源已经不足。进行这种攻击时,攻击者必须连续地向系统发送数据包。当攻击者不向系统发送数据包时,攻击停止,系统也就
15、恢复正常了。此攻击方法攻击者要耗费很多精力,因为他必须不断地发送数据。有时,这种攻击会使系统瘫痪,然而大多多数情况下,恢复系统只需要少量人为干预。这两种攻击既可以在本地机上进行也可以通过网络进行。由于DoS攻击主要利用网络协议的特征和漏洞进行攻击,所以在防御DoS攻击时也要与之对应,分别提出相应的解决方案。防范DoS攻击可以采用以下的技术手段:(1)SYNCookie(主机)SYNGate(网关)(2)应用负载均衡技术(3)包过滤及路由设置(4)运行尽可能少的服务(5)防患于未然2.3网络监听攻击网络监听攻击。网络监听是一种监视网络状态、数据流,以及网络上传输信息的管理工具,它可以将网络接口设
16、置在监听模式,并且可以截获网络卜传输的信息,取得目标主机的超级用户权限。作为一种发展比较成熟的技术.监听在协助网络管理员监测网络传输数据、排除网络故伸等方面具有不可替代的作用。然而。网络监听也给网络安全带来了极大的信息.当信息传播的时候,只要利用工具将网络接口设备在监听的模式,就可以将网络中正在传播的俏息截取,从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行。而入侵者一般都是利用网络监听工具来截获用户口令的。2.4网络监听的解决方法现在网络中使用的大部分协议都是很早就设计的,没有充分考虑到网络安全问题,许多协议的实现都是基于一种非常友好的、通信双方充分信任的基础之上,而且许多信息以明文形式发送,因此给黑客的网络监听有了可乘之机。网络监听是很难被发现的,因为运行网络监听的主机只是被动地接收在局域网上传输的信息,不主动的与其他主机交换信息,也没有修改在网上传输的数据包,但可以采用以下措施来有效防止网络监听:(1)划分VLAN(2)以交换式集线器代替共享式集线器(3)VLAN+IP+MAC捆绑来确保网络的安全性(4)信息加密2.5缓冲区溢出攻击缓冲区溢出攻击。简单地说
