《网络攻击与防护》由会员分享,可在线阅读,更多相关《网络攻击与防护(19页珍藏版)》请在金锄头文库上搜索。
1、网络攻击与防御网络攻击与防范措施随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要原因.单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展为了提高计算机网络的安全性,必须了解计算机网络的不安全因素和网络攻击的方法同时采取相应的防御措施。 关键字:特洛伊木马网络监听缓冲区溢出攻击 特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系
2、统的权限.黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能.例如拷贝、删除文件、格式化硬盘、甚至发电子邮件,典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入账号和口令,然后将1账号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序.“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为。 1.1 特洛伊木
3、马程序的检测 (1)通过网络连接检测:扫描端口是检测木马的常用方法.在不打开任何网络软件的前提下,接入互联网的计算机打开的只有 139 端口.因此可以关闭所有的网络软件。进行 139 端口的扫描。 (2)通过进程检测:Win/XP 中按下“CTL+ALT+DEL”进入任务管理器,就可以看到系统正在运行的全部进程,清查可能发现的木马程序。 (3)通过软件检测:用户运行杀毒、防火墙软件和专用木马查杀软件等都可以检测系统中是否存在已知的木马程序。 1.2 特洛伊木马程序的预防 (1)不执行任何来历不明的软件 (2)不随意打开邮件附件 (3)将资源管理器配置成始终显示扩展名 (4)尽量少用共享文件夹
4、(5)运行反木马实时监控程序 (6)经常升级系统 22 网络监听 网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等.当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。 在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在 IP 层直接发送,必须从 TCP/IP 协议的 IP 层交给网络接口,也就是数据链路层,而网络接口
5、是不会识别 IP 地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与 IP 地址相对应的 48 位的地址。 当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP 地址和网关) 的主机的数据包。即在同一条物理信道上传输的所有信息都可以被接收到。正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络3犯罪进行侦查取证时获取有关犯罪行为
6、的重要信息,成为打击网络犯罪的有力手段。 2.1 如何检测并防范网络监听 (1)对于怀疑运行监听程序的机器,用正确的 IP 地址和错误的物理地址 ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收,但如果他的IPstack 不再次反向检查的话,就会响应。 (2)观测 DNS 许多的网络监听都会进行址反向解析,在怀疑有网络监听发生时可以在 DNS 系统上观测有没有明显增多的解析请求。 (3)向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的 CPU 资源,这将导致性能下降。通过比较前后该机器性能加以判断。这种方法
7、难度比较大。 (4)反应时间 向怀疑有网络监听行为的网络发出大量垃圾数据包,根据各个主机回应的情况进行判断,正常的系统回应的时间应该没有太明显的变化,而处于混杂模式的系统由于对大量的垃圾信息照单全收,所以很有可能回应时间会发生较大的变化。 (5)利用 arp 数据包进行监测 这种方法是 ping 方式的一种变体,使用 arp 数据包替代了 ICMP数据包,向主机发送非广播式的 arp 包,如果主机响应了这个 arp 请求,就可以判断它很可能就处于网络监听模式了,这是目前相对比较好的4监测模式。3 缓冲区溢出攻击 缓冲区溢出是指当一个超长的数据进入到缓冲进入到缓冲区时,超出部分就会被写入其他缓冲
8、区,其他缓冲区存放的可能是数据、下一条指令的指针或者是其他程序的输出内容,这些内容都被覆盖或被破坏掉。 缓冲区溢出有时又称为堆栈溢出攻击,是过去的十多年里,网络安全漏洞常用的一种形式并且易于扩充。相比于其他因素,缓冲区溢出是网络受到攻击的主要原因。 (1)编写正确的代码 由于缓冲区溢出是一个编程问题,所以只能通过修复被破坏的程序的代码而解决问题。开放程序时仔细检查溢出情况,不允许数据溢出缓冲区。 (2)非执行的缓冲区 使被攻击程序的数据段址空间不可执行,从而使得攻击都不可能执行被植入的攻击程序输入缓冲共代码。 (3)数组边界检查 数组边界检查完且没有缓冲共溢出的产生和攻击。这样,只要数组不能被
9、溢出,溢出攻击也就无从谈起。为了实现数组边界检查,则所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。 5(4)堆栈溢出检查 使用检查堆栈溢出的编译器或者在程序中加入某些记号,以便程序运行时确认禁止黑客有意造成的溢出。问题是无法针对已有程序,对新程序来讲,需要修改编译器。 (5)操作系统和应用程序检查 经常检查你的操作系统和应用程序提供商的站点,一旦发现他们提供的补丁程序,就马上下载并且应用在系统上,这是最好的方法。 二、加密技术加密技术:即是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解码)。加密技术的要点是加密算
10、法,加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。2.1 对称加密算法在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。如图所示:在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。加密明文 密钥 密文解密密文 密钥 明文加密者解密者6对称加密算法的特点是:算法公开;计算量小;加密速度快;加密效率高。不足之处是:交易双方都使用同样的密钥,
11、安全性得不到保证;每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一密钥,这会使得发收信双方所拥有的密钥数量成几何级数增长,密钥管理成为用户的负担。对称算法的加密和解密表示为:EK (M) =CDK(C) =M2.2 非对称加密算法(公开密钥算法)非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙公钥和私钥。在使用非对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。公钥和私钥:公钥就是公布出来,所有人都知道的密钥,它的作用是供公众使用。私钥则是只有拥有者才知道的密钥。加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收
12、信方的公钥,只有收信方(解密者)才是惟一知道自己私钥的人。如下图:非对称加密算法的基本原理是:(1)如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文。(2)收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用非对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。非对称算法的公开密钥 K1 加密表示为:EK1(M)=C。公开密钥和私人密钥是不加密明文 加密(公钥 Kpublic) 密文解密密文 解密(私钥Kprivate)明文加密者解密者7同的,用相应的私人密钥 K2 解密可表示为:
13、DK2(C)=M。广泛应用的非对称加密算法有 RSA 算法和美国国家标准局提出的数字签名算法 DSA。由于非对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。DES(Data Encryption Standard)算法,是一种用 56 位密钥来加密 64 位数据的方法。RSA 算法是第一个能同时用于加密和数字签名的算法。根据 RSA 算法的原理,可以利用 C 语言实现其加密和解密算法。RSA 算法比 DES 算法复杂,加解密的所需要的时间也比较长。2.3 不可逆加密算法不可逆加密算法的特征是:加密过程中不需要使用密钥,输入明文后,由系统直接经过加密算法处理成密文,这种加密后的数据是
14、无法被解密的,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密。显然,在这类加密过程中,加密是自己,解密还得是自己,而所谓解密,实际上就是重新加一次密,所应用的“密码”也就是输入的明文。不可逆加密算法不存在密钥保管和分发问题,非常适合在分布式网络系统上使用,但因加密计算复杂,工作量相当繁重,通常只在数据量有限的情形下使用,如广泛应用在计算机系统中的口令加密,利用的就是不可逆加密算法。2.4 PGP 加密技术本例介绍目前常用的加密工具 PGP,使用 PGP 产生密钥,加密文件和邮件。PGP 加密技术是一个基于 RSA 公钥加密体系的邮件加密
15、软件,提出了公共钥匙或不对称文件的加密技术。由于 RSA 算法计算量极大,在速度上不适合加密大量数据,所以 PGP 实际上用来加密的不是 RSA 本身,而是采用传统加密算法IDEA,IDEA 加解密的速度比 RSA 快得多。PGP 随机生成一个密钥,用 IDEA 算法对明文加密,然后用 RSA 算法对密钥加密。收件人同样是用 RSA 解出随机密钥,再用 IEDA 解出原文。2.4.1.使用 PGP 加密文件使用 PGP 可以加密本地文件,右击要加密的文件,选择 PGP 菜单项的菜单“Encrypt”,如下图所示:8系统自动出现对话框,让用户选择要使用的加密密钥,选中一个密钥,点击按钮“OK”
16、,如下图所示:目标文件被加密了,在当前目录下自动产生一个新的文件,如图所示:打开加密后的文件时,程序自动要求输入密码,输入建立该密钥时的密码。如图:92.4.2 使用 PGP 加密邮件PGP 的主要功能是加密邮件,安装完毕后,PGP 自动和 Outlook 或者 Outlook Express 关联。和 Outlook Express 关联如图所示:利用 Outlook 建立邮件,可以选择利用 PGP 进行加密和签名,如图所示:10三、网络防御在当今网络系统开发中,不注意网络防范问题,就会遭到黑客的攻击,甚至会使整个系统崩溃。因此,在开发中我们注意网络攻击问题,以免让黑客有机可趁。虽然黑客攻击的手段防不胜防,但我们应该把所知道的防范措施做好,例如:防范 SQL 注入式攻击,验证码技术等。3.1 防范 SQL 注入攻击Sql 注入式攻击是指利用设计上的漏洞,在目标服务器上运行 Sql 命令以及进行
