《网络攻击的种类分析及防范策略》由会员分享,可在线阅读,更多相关《网络攻击的种类分析及防范策略(6页珍藏版)》请在金锄头文库上搜索。
1、。网络攻击的种类分析及防范策略网络攻击的种类分析及防范策略摘要 本文分析了网络攻击的几种手段及其产生的原理,并且就其中的Web欺骗攻击和TCP/IP欺 骗攻击提出了相应的防范措施。并且详细阐述了个人用户的安全防护策略 关键词 网络安全 攻击 欺骗 防范随着INTERNET的进一步发展,各种网上活动日益频繁,尤其网上办公、交易越来越普及, 使得网络安全问题日益突出,各种各样的网络攻击层出不穷,如何防止网络攻击,为广大用户 提供一个安全的网络环境变得尤为重要。 1 网络攻击概述网络攻击概述 网络安全是一个永恒的话题,因为计算机只要与网络连接就不可能彻底安全,网络中的安 全漏洞无时不在,随着各种程序
2、的升级换代,往往是旧的安全漏洞补上了,又存在新的安全隐 患,网络攻击的本质实际上就是寻找一切可能存在的网络安全缺陷来达到对系统及资源的损害。网络攻击一般分为三个阶段: 第一阶段:获取一个登录账号 对UNLX系统进行攻击的首要目标是设法获取登录账号及口令,攻击者一般先试图获取存 在于/etc/passwd或NIS映射中的加密口令文件,得到该口令文件之后,就对其运行Crack,借助 于口令字典,Crack甚至可以在几分钟内破译一个账号。 第二阶段:获取根访问权进入系统后,入侵者就会收集各种信息,寻找系统中的种种漏洞,利用网络本身存在的 一些缺陷,设法获取根访问权,例如未加限制的NFS允许根对其读和
3、写。利用NFS协议, 客户给与服务器的安装守护程序先交换信息,信息交换后,生成对NFS守护程序的请求, 客户通过这些请求对服务器上的文件进行读或写操作。因此,当客户机安装文件系统并打 开某个文件时,如果入侵者发出适当各式的UDP数据报,服务器就将处理NFS请求,同时 将结果回送客户,如果请求是写操作,入侵者旧可以把信息写入服务器中的磁盘。如果是 读操作,入侵者就可以利用其设置于服务器和客户机之间的窥探器了解服务器磁盘中的信 息,从而获得根访问权。 第三阶段:扩展访问权 一旦入侵者拥有根访问权,则该系统即可被用来供给网络上的其他系统。例如:可以 对登录守护程序作修改以便获取口令:增加包窥探仪可获
4、取网络通信口令:或者利用一些 独立软件工具动态地修改UNLX内核,以系统中任何用户的身份截击某个终端及某个连接, 获得远程主机的访问权。 2 攻击的种类及其分析攻击的种类及其分析普通的攻击一般可分以下几种: 2.1 拒绝服务攻击拒绝服务攻击不损坏数据,而是拒绝为用户服务,它往往通过大量不相关的信息来阻断 系统或通过向系统发出会,毁灭性的命令来实现。例如入侵者非法侵入某系统后,可向与之相 关连的其他系统发出大量信息,最终导致接收系统过载,造成系统误操作甚至瘫痪。这种供给 的主要目的是降低目标服务器的速度,填满可用的磁盘空间,用大量的无用信息消耗系统资源, 是服务器不能及时响应,并同时试图登录到工
5、作站上的授权账户。例如,工作站向北供给服务 器请求NISpasswd信息时,攻击者服务器则利用被攻击服务器不能及时响应这一特点,替代被 攻击服务器做出响应并提供虚假信息,如没有口令的纪录。由于被攻击服务器不能接收或及时接收软件包,它就无法及时响应,工作站将把虚假的响应当成正确的来处 理,从而使带有假 的passwd条目的攻击者登录成功。 2.2 同步(SYN)攻击 同步供给与拒绝服务攻击相似,它摧毁正常通信握手关系。在SYN供给发生时,攻击者 的计算机不回应其它计算机的ACK,而是向他发送大量的SYN ACK信息。通常计算机有一缺 省值,允许它持特定树木的SYN ACK信息,一旦达到这个数目后
6、,其他人将不能初始化握手, 这就意味着其他人将不能进入系统,因此最终有可能导致网络的崩溃。 2.3 Web欺骗攻击Web欺骗的关键是要将攻击者伪造的Web服务器在逻辑上置于用户与目的Web服务器之 间,使用户的所有信息都在攻击者的监视之下。一般Web欺骗使用两种技术:URL地址重写技 术和相关信息掩盖技术。利用URL地址重写技术,攻击者重写某些重要的Web站点上的所有URL地址,使这些地 质均指向攻击者的Web服务器,即攻击者可以将自己的Web站点的URL地址加到所有URL地址 的前面。例如,设攻击者的Web站点的URL地址为:http:/,合法Web站点上的URL 地址为http:/,经重写
7、后,该地址可以被加到合法URL地址http:/之前, 即http:/ 先向攻击者服务器请求访问,然后由攻击者服务器向真正的目标服务器请求访问,目标服务器 向攻击服务器传回相关信息,攻击者服务器重写传回页面后再传给用户。此时浏览器呈现给用 户的的确是一个安全链接,但连接的对象却是攻击者服务器。用户向真正Web服务器所提交的 信息和真正Web服务器传给用户的所有信息均要经过攻击者服务器,并受制于它,攻击者可以 对所有信息进行记录和修改。由于浏览器一般均设有地址栏和状态栏,当浏览器与某个站点连接时,可以在地址栏中和 状态栏中获取连接中的Web站点地址及相关的传输信息,用户可由此发现问题,所以一般攻击
8、 者往往在URL地址重写的同时,利用相关信息掩盖技术即一般用的JavaScript程序来地址栏和 状态栏信息,以达到其掩盖欺骗的目的。 2.4 TCP/IP欺骗攻击IP欺骗可发生在IP系统的所有层次上,包括硬件数据链路层、IP层、传输层及应用层均容 易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外,由于用户本 身不直接与底层结构相互交流,有时甚至根本没有意识到这些结构的存在,因而对底层的攻击 更具欺骗性。IP欺骗供给通常是通过外部计算机伪装成另一台合法机器来实现的。他能破坏两台机器间 通信链路上的正常数据流,也可以在通信链路上插入数据,其伪装的目的在于哄骗网络中的其 他机
9、器误将攻击者作为合法机器而加以接受,诱使其他机器向它发送数据或允许它修改数据。由于许多应用程序最初设计时就是把信任建立于发送方IP地址的薄,即如果包能够使其置 身沿着陆由到达目的地,并且应答包也可以回到原地,则可以肯定源IP地址是有效的。因此一 个攻击者可以通过发送有效IP源地址属于另一台机器的IP数据报来实施欺骗。一方面现有路由器的某些配置使得网络更容易受到IP欺骗攻击。例如有些路由器不保护IP 包端口源的信息,来自端口的所有IP包被装入同一个队列然后逐个处理。假如包指示IP源地址 来自内部网络,则该包可转发。因此利用这一点网络外不用户只要设法表明是一种内部IP地址 即可绕过路由器法送报。另
10、一方面,攻击者使用伪造的IP地址发送数据报,不仅可以获取数据报特有的有效请求, 还可以通过预测TCP字节顺序号迫使接收方相信其合法而与之进行连接,从而达到TCP欺骗连 接。一个TCp连接包括三个阶段:()建立连接:()数据交换:()断开连接。其中 最关键的就是数据交换。TCP协议为每个数据字节分配自己的顺序号,每个TCP头包含一个顺序域。TCP数据交换中客户方以发送带有SYN标志的TCP头为开始,发送一个或多个TCP/IP数 据包,接受方回送包含SYN及ACK标志的头答复送方的头。初始的顺序号是随机的,当接受方接收到客户的序列号后首先要进行确认,如果确认号域 有效,它就对应于下一个期望数据字节
11、的顺序号,并设置ACK标志。攻击者利用伪造的IP地址 成功地发送数据报后,只是获得这些数据报特有的有效请求,要获得些请求的答复还必须预测 到TCP顺序号。攻击者对顺序号的预测是一个估计与猜测的过程。攻击者可以在客户与服务器 之间设置窥探仪来确定初始顺序号,一旦攻击者获取了连接的初始顺序号,就可以通过估算发 送者发送给接收者的TCP/IP数据量计算出下一个期望的顺序号,即下一个期望的顺序号为:数 据量初始顺序号。而事实上,一些TCP/IP实现并不完全采用随机方式分配初始顺序号,而是 由一个简单的随机数生成器产生。这种生成器按某种固定的次序产生数据,因此实际上可能的 初始顺序号只能在一个有限的范围
12、内,这样预测起来就会更加方便。预测获得的顺序号只是一 个估计值,它一般可分为三种情况考虑。第一种情况:预测值正好等于下一顺序号若伪造的数据保迟于合法数据报到达,且其包含的数据报少于合法数据报,则接收方将完 全丢弃伪造的数据报;如果伪造数据包包含的数据多于合法数据报,则接收方将接收伪造数据 报中顺序号大于合法数据报的那部分内容,同时丢弃顺序号与合法数据报重叠部分的内容;若 伪造的数据报早于合法数据报到达,则接收方将丢弃合法数据报内容。第二种情况:预测值大于下一个顺序号在这种情况下,接收方将丢弃其中超过窗口域(即输入缓冲区)中的部分内容,而将前面 部分内容放入缓冲区中,待下一期望顺序号与第一个伪造
13、数据报字节顺序号间的空当被合法数 据填满之后,再未接收方接收。第三种情况:预测值小于下一个顺序号在这种情况下,伪造数据报中的前面部分内容肯定会被丢弃,但是如果伪造数据报内容足 够多,则接收方有可能接受其后面的内容。 3 网络上常见的几种攻击方式及其防范网络上常见的几种攻击方式及其防范 3.1 密码攻击密码攻击用户在拨号上网时,如果选择了“保存密码”的功能,则上网密码将被储存在windows目录 中,以“username.pwl”的形式存放。如果不小心被别人看到这个文件,那就麻烦了,因为从网 上可以很轻松地找到诸如pwlview这样的软件来观看其中的内容,那上网密码就泄漏了。有的人使用名字、生日
14、、电话号码等来做密码,更有的人的密码干脆和用户名一样,这样 的密码,在黑客攻击软件庞大的字典文件面前简直是不堪一击。那么该如何防范密码不被攻击呢?应从以下方面入手:(1)不用生日、电话号码、名字 等易于猜到的字符做密码。 (2)上网时尽量不选择保存密码。 (3)每隔半个月左右更换一次密 码,不要怕麻烦。 3.2 木马程序攻击木马程序攻击木马程序是一种特殊的病毒,它通过修改注册表等手段使自己悄悄地潜伏在系统中,在用 户上网后,种植木马的黑客就可以通过服务器端木马程序控制你的计算机,获取你的口令等重 要信息,其危害性非常大。预防木马程序应从以下几方面入手:(1)加载反病毒防火墙。 (2)对于不明来
15、历的电子 邮件要谨慎对待,不要轻易打开其附件文件。 (3)不要随便从网络上的一些小站点下载软件, 应从大的网站上下载。 3.3 垃圾邮件攻击垃圾邮件攻击垃圾邮件是指向他人电子信箱发送未经许可的,难以拒绝的电子邮件或电子邮件列表,其 内容包括广告信息、电子杂志、网站信息等。用户的电子信箱被这些垃圾邮件充斥后,会大大 占用网络资源,导致网络阻塞,严重的还会使用户的邮箱被“炸”掉,使邮箱不能正常工作。防范垃圾邮件应从以下方面入手:(1)申请一个免费的电子信箱,用于对外联系。这样 就算信箱被垃圾邮件轰炸,也可以随时抛弃。 (2)申请一个转信信箱,经过转信信箱的过滤, 基本上可以清除垃圾邮件。 (3)对
16、于垃圾邮件切勿应答。 (4)禁用Cookie。Cookie是指写到硬 盘中一个名为cookies.txt文件的一个字符串,任何服务器都可以读取该文件内容。黑客也可以 通过Cookie来跟踪你的上网信息,获取你的电子信箱地址。为避免出现这种情况,可将IE浏览 器中的Cookie设置为“禁止”。 3.4 通过聊天软件攻击通过聊天软件攻击用户在用聊天软件聊天时,黑客用一些小软件就可查出对方聊天者的IP地址,然后通过IP 炸弹阮家对用户的机器进行轰炸,使之蓝屏或死机。防范聊天软件供给应从以下方面入手: (1)利用代理服务器上网,这样可以隐藏自己的IP地址。 (2)安装防火墙软件,利用防火墙 阻挡对方的攻击。 (3)升级操作系统,如升级到win2000等,其安全性会比win95/98系统有很 大的提高。 4 网络攻击的六大趋势网络攻击的六大趋势 4.1 自动化程
