《网络攻击常见方法及对策计算机专业论文》由会员分享,可在线阅读,更多相关《网络攻击常见方法及对策计算机专业论文(17页珍藏版)》请在金锄头文库上搜索。
1、网络攻击常见方法及对策论文一 引言随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络。网络中的安全漏洞无处不在,即便旧的安全漏洞补丁,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击,网络攻击是造成网络不安全的主要原因。单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展。攻击网络的方法千变万化,也越来越高明。攻击者不仅利用自己的电脑,还能利用internet中那些安全性较差的电脑,对其他的网络进行攻击。在网络攻击中,往往是多种攻击方法一起使用。如果使用计算机网络,就避免不了受到攻击。未来的竞争是信
2、息竞争,而网络信息是竞争的重要组成部分。其实质是人与人的对抗,它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力,必须充分理解系统内核及网络协议的实现,真正做到洞察对方网络系统的“细枝末节”,同时应该熟知针对各种攻击手段的预防措施,只有这样才能尽最大可能保证网络的安全。二 常见的网络攻击以及防御网络攻击是指网络攻击者利用目前网络通信协议(TCP/IP等)自身存在的或因配置不当而产生的安全漏洞,用户使用的操作系统内在缺陷或者用户使用的程序本身所具有的安全隐患等,通过使用网络命令,或者从internet上下载专用的软件(例如,SATAN等网络扫描软件),或者攻击者自己编写的
3、软件,非法进入本地或远程用户主机系统,获取修改删除用户系统的信息以及在用户系统上增加垃圾色情或者有害信息等一系列过程的总称.随着现代科技的发展,世界再没有秘密。黑客攻击早在主机终端时代就已经出现,随着Internet的发展,黑客则从以系统为主攻击转变到以网络为主的攻击。网络攻击和网络安全保护是一对矛与盾的关系,我们只有掌握了黑客攻击的常用手段,才能最终保护网络安全。网络攻击常见的攻击手段主要有以下几种:(1)获取口令获取口令的方式有3种方法。1缺省的登录界面攻击法:在被攻击主机上启动一个可执行程序,该程序显示一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息(用户名和密码等)后,程序将用
4、户输入的信息传送到攻击者主机,然后关闭界面给出提示信息“系统故障”,要求用户重新登录。此后,才出现真正的登录界面。2通过网络监听非法得到用户口令:这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户的帐号和口令,对局域网安全威胁巨大。3利用软件强行破解用户口令:在知道用户的帐号后(如电子邮件“”前面的部分),利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐性和时间。对安全系数较高的口令破解往往需要很长时间,但对那些口令安全系数极底的用户只要短短的一两分钟,甚至几十秒就可以将其破解。我们可以采取以下一些步骤来消除口令漏洞,预防口令攻击。 第一步:
5、删除所有没有口令的帐号或为没有口令的用户加上一个口令。特别是系统内置或是缺省账号。第二步:制定管理制度,规范增加帐号的操作,及时移走不再使用的帐号。经常检查确认有没有增加新的帐号,不使用的帐号是否已被删除。当雇员或承包人离开公司时,或当帐号不再需要时,应有严格的制度保证删除这些帐号。第三步:加强所有的弱口令,并且设置为不易猜测的口令,为了保证口令的强壮性,我们可以利用Unix系统保证口令强壮性的功能或是采用一些专门的程序来拒绝任何不符合你安全策略的口令。这样就保证了修改的口令长度和组成使得破解非常困难。如采用一首诗的部分诗句中第一或第二个字母,加上一些数字来组成口令,还可以在口令中加入一些特殊
6、符号将使口令更难破解。第四步:使用口令控制程序,以保证口令经常更改,而且旧口令不可重用。第五步:对所有的帐号运行口令破解工具,以寻找弱口令或没有口令的帐号。(在你这么做之前,先确定你有权利这么做,你是管理员)另一个避免没有口令或弱口令的方法是采用认证手段,例如采用RSA认证令牌。每分钟变一次,相信没有人可以在没有令牌的情况下进入你的FTP服务器。(2)拒绝服务攻击拒绝服务的攻击是指一个用户占据了大量的共享资源,是系统没有剩余的资源给其他用户可用的攻击。它主要用来攻击域名服务器、路由器以及其他网络服务,使被攻击者无法提供正常的服务。这是一类危害极大的攻击方式,严重的可以使一个网络瘫痪。常见的有服
7、务过载、信息流、信号接地。拒绝服务器攻击的防御:1 在网络上设立过滤器或侦测器,在信息到达网站服务器之前阻挡信息。防火墙和路由器是目前阻挡拒绝服务攻击的常用设备,通过设计访问策略,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包,能够对拒绝服务攻击起到一定的防范作用。2 及早发现系统存在的攻击漏洞,及时安装系统补丁程序。建立和完善备份机制,对一些特权账号(如管理员账号)的密码设置要谨慎。把攻击者的可乘之机降低到最小。3 禁止不必要的网络服务,经常检测系统配制信息,并注意查看每天的安全日志。4 与网络服务提供商协调工作,让网络服务提供商帮助实现路由的访问控制并对带宽总量进行限制。5 当正在遭
8、受DoS攻击时,应当启用应对策略,及时尽可能快地追踪攻击包,分析受影响的系统,确定涉及的其他节点,阻挡已知攻击节点的流量。6 发现系统中存在DoS攻击的工具软件要及时清除,以免留下后患。要彻底杜绝拒绝服务攻击,只有追根溯源去找到正在进行攻击的机器和攻击者.因为攻击者一旦停止了攻击行为,很难将其发现,只能在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用一级一级回溯的方法来查找其攻击源头.这就需要各级部门的协同 配合,甚至是不同组织不同国家的合作才能很好地完成,这几乎是不可能实现的。(3)寻找系统漏洞许多系统都有这样那样的安全漏洞,其中某些是操作系统或应用软件本身具有的,如Sendma
9、il漏洞, Windows 98中的共享目录密码验证和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你不上网。还有就是有些程序员设计一些功能复杂的程序时,一般采用模块化的程序设计思想,将整个项目分割为多个功能模块,分别进行设计、调试,这时的后门就是一个模块的秘密入口。在程序开发阶段,后门便于测试、更改和增强模块功能。正常情况下,完成设计之后需要去掉各个模块的后门,不过有时由于疏忽或者其他原因后门没有去掉,一些别有用心的人会利用专门的扫描工具发现并利用这些后门,然后进入系统并发动攻击。另外,还有一些是管理员错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出。
10、如缓冲区溢出是一个非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。其原理是,向一个有限的空间的缓冲区拷贝了过长的字符串,它带来两种后果:一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可引起死机、系统重起等后果;二是利用这种漏洞可以执行任意的命令,甚至可以取得系统特权。由此引发了许多的攻击方法。 缓冲区溢出对系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点: 程序指针完整性检查:在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。堆栈保护:这是一种提供程序指针完整性检查的编译
11、器技术,通过检查函数活动纪录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节,而在函数返回时,首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这种攻击很容易在函数返回前被检测到。但是,如果攻击者预见到这些附加字节的存在,并且能在溢出过程中同样地制造他们,那么他就能成功地跳过堆栈保护的检测。 数组边界检查:所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所有的数组操作,通常可以采用一些优化的技术来减少检查的次数。目前主要有以下的几种检查方法:Compaq C编译器、Jones & Kelly C数组边界检查、Purify存储
12、器存取检查等。(4)扫描 许多网络入侵是从扫描开始的。利用扫描工具能找出目标主机上各种各样的漏洞来,有些漏洞尽管早已公布于众,但在一些系统中任然存在,于是给了外部入侵以可乘之机。常用的短小而实用的端口扫描工具是一种获取主机信息的和方法。在UNIX系统中,使用端口扫描程序不需要超级用户权限,任何用户都可以使用。而且简单的端口扫描程序非常容易写,掌握了初步的SOCKET编程知识,便可以轻而易举地编写出能够在UNIX和Windonws NT下运行的端口扫描程序。黑客们常常用扫描工具找出系统漏洞或者是主机信息,然后展开攻击。 防范端口扫描的方法有两个: 1 关闭闲置和有潜在危险的端口这个方法有些“死板
13、”,GxTPpe国zfrF-sBQzz的它的本质是将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。因为就黑客而言,所有的端口都可能成为攻击的目标。换句话说“计算机的所有对外通讯的端口都存在潜在的危险”,GV网网ma网g育专e*cVN而一些系统必要的通讯端口,gOTB.K的AT网JN垠n如访问网页需要的HTTP(80端口);QQ(4000端口)等不能被关闭。 在Windows NT核心系统(Windows 2000/XP/ 2003)中要关闭掉一些闲置端口是比较方便的,可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。计算机的一些网络服务会有系统分配默认的端口,+B+FqXl
14、J育HwU将一些闲置的服务关闭掉,其对应的端口也会被关闭了(如图2)。进入“控制面板”、“管理工具”、“服务”项内,关闭掉计算机的一些没有使用的服务(如FTP服务、DNS服务、IIS Admin服务等等),它们对应的端口也被停用了。至于“只开放允许端口的方式”, 无1MOksqTW.Kd5育可以利用系统的“TCP/IP筛选”功能实现,设置的时候,“只允许”系统的一些基本网络通讯需要的端口即可。 2 检查各端口,有端口扫描的症状时,立即屏蔽该端口这种预防端口扫描的方式显然用户自己手工是不可能完成的,或者说完成起来相当困难,需要借助软件。这些软件就是我们常用的网络防火墙。防火墙的工作原理是:首先检
15、查每个到达你的电脑的数据包, $%;s&4教!提m的管Qrhr提2FO.=4在这个包被你机上运行的任何软件看到之前,防火墙有完全的否决权,可以禁止你的电脑接收Internet上的任何东西。当第一个请求建立连接的包被你的电脑回应后,一个“TCP/IP端口”被打开;端口扫描时,对方计算机不断和本地计算机建立连接,并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口,防火墙经过自带的拦截规则判断,$T+I网iTW网5就能够知道对方是否正进行端口扫描,并拦截掉对方发送过来的所有扫描需要的数据包。 现在市面上几乎所有网络防火墙都能够抵御端口扫描,在默认安装后,应该检查一些防火墙所拦截的端口扫描规则是
16、否被选中,否则它会放行端口扫描,而只是在日志中留下信息而已。(5)网络监听网络监听工具是提供给管理员的一类管理工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络传输的信息。但是网络监听工具也是黑客们常用的工具。当信息以明文的形式在网络传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。网络监听最有用的获得用户口令,当口令被截获时,就可以非常容易地登录另一台主机。一旦网络被监听,可能导致敏感信息被截获,将会给网络带来很大的安全问题,常用的网络监听的防范方法如下:1要确保以太网的整体安全性,因为网络监听行为要想发生,一个最重要的前提条件就是以太网内部的一
