新时代的网络攻击技术(通用8篇)
新时代的网络攻击技术 篇1
0 引言
在当今互联网时代,战争方式和规则都发生了巨大改变,网络这一新型武器的特殊吸引力令众多国家难以抗拒。世界上许多国家纷纷成立特定的军事组织和机构,专门负责数字领域的冲突。新的冲突形式也给世人带来了一个新的课题:如何解决网络冲突中的伦理道德问题。为此,我们首先必须对什么样的网络攻击构成武力使用做一鉴定。
1 判别网络攻击构成武力使用的标准
网络冲突的影响有大有小,并非所有网络冲突都能构成武力使用。一般而言,如果预判使用计算机会造成人员伤害或其他损毁,计算机就是一种武器,实施计算机网络攻击就是一种武力的使用。与入侵某个地方政府网站致使其半个小时无法访问相比,破坏整个城市的红绿灯交通体系导致车祸频发显然影响更大一些。因此,仅仅简单地分析某次网络攻击是否涉及使用武力似乎有失主观,需要设计一个框架来衡量某次网络攻击是否构成武力使用。
武力使用有别于经济和外交等柔性手段,有学者提出了一些参考标准来区别这两种手段,以结果手段为衡量指标,从高级到低级分别代表武力使用到柔性手段的使用。[1]其中,从后果严重程度看,造成人员伤亡或财物损失的行动通常可视为使用了武力;从后果产生的时效性看,武力使用的后果一般会即时呈现,而柔性手段的影响可能有一个较长的间隔期才会有所体现;从行动和结果的关联性而言,武力攻击造成的后果通常可以直接回溯到某次行动,而柔性手段带来的影响可能常常会通过其他方式体现出来;从行动的发源地和目标地而言,武力攻击一般会跨越目标国的国界,无论是实质上的还是虚拟的,一般认为,经济制裁等柔性手段不具侵略性,而使用武力通常是侵略性的;从后果的可量化性而言,要统计武装攻击的可能性较大,可以通过伤亡人数和财物损失进行量化统计,而非武力手段常常很难用具体数字来衡量一次特定行动所造成的损失;从行动的合法性来看,《联合国宪章》规定,只有当武力使用是出于自卫时,国际社会才认可其合法性,也就是说,为了防御使用暴力或网络入侵行为时,被攻击方可以使用类似于武力的反击行为;从行动后果与行为体的责任性而言,武力攻击一般可追溯至某个国家行为体,责任更易归结于国家。
2 网络攻击的特点
不同于传统的武力使用,网络攻击具有鲜明的特点。
2.1 隐蔽性
网络的无国界性使网络攻击极具隐蔽性。与传统战争不同的是,网络冲突中被攻击者在很多时候甚至无法确定入侵者的真实身份和行动目的,也很难采取手段进行报复性回击。很多网络攻击可能来自友邦国家或者中立国的某个服务器,无法追溯攻击源头。签订于1868年12月的《圣彼得堡宣言》规定,“考虑到文明的进步,应尽可能减轻战争的灾难;各国在战争中应尽力实现的唯一合法目标是削弱敌人的军事力量。”[2]因此,一旦这种网络攻击殃及普通平民,从道德的角度而言,就会出现相当大的风险。
2.2 便捷性
网络攻击的另一个显著特点就是便捷性,即无须任何实体空间的兵力部署,事先也不会显示任何征兆,可以在瞬间加快攻击节奏,随时提高攻击的幅度与强度,达成攻击的突然性,令人防不胜防。一般而言,网络技术无论怎样发展,防御技术总是无法超越网络攻击技术,这种网络防御技术的滞后性使得网络漏洞无处遁形,网络攻击也就具备了技术上的便捷性和突然性。
另一方面,网络攻击具有极强的机动能力。得益于网络的开放性和无国界性的特点,网络信息相较于传统兵力和火力而言机动性更胜一筹,其零距离和光速度的便捷性极具诱惑力。
2.3 不对称性
网络攻击的不对称性显而易见。从技术的角度而言,一个经济落后国家或地区的超级黑客就能对传统军事强国的网络系统造成毁灭性打击。因此可以说,信息化程度越高的国家越有可能在先进的网络进攻技术下表现得不堪一击。从经济投入的角度看,网络攻击的不对称性更突出,攻击发动者无须耗费巨资生产航母或隐形战斗机等先进的武器,只要掌握了一定的网络技术,贫困国家或少数几个恐怖分子就能对超级大国发动进攻。
3 网络攻击的困境
《联合国宪章》及其他的一些国际法在限制国家发动战争和威胁使用武力的同时,也明确了合法使用武力的例外情况,“战争只有作为对不合法行为的反应,也就是说,只有作为国际法所规定的一定的国家行为的反应,才是被允许的。”[3]当一个国家的领土完整或政治独立遭到威胁时,它能否对其敌国的网络系统实施攻击?当第三国的计算机被敌国远程操控用于攻击某国时,该国家能破坏第三国的网络系统吗?在网络空间中,法律和道德相互交织,正如著名历史学家杰弗里·贝斯特所说,战争法始于伦理道德并始终与之相伴。
鉴于网络攻击的匿名性和便捷性,网络攻击的伦理问题越来越引起大家的关注。迄今为止,大多数武装冲突法都是针对实质性武器的使用,但又通常并不局限于某个领域。在这种前提下,假如技术手段能提供充足的信息,证明某次网络攻击造成的具体损害,或者查明某次攻击的实施者,就能有明确的法律依据来界定网络世界里发生的武力使用和武装攻击。长期以来,人们对核武器和生化武器的争议主要集中在它们与常规武器所带来的后果在程度上的区别。同样,如果网络攻击仅仅也只是其影响程度的区别,那么其道德标准完全可以用现有的法律法规来衡量。按照交战正义法,关于网络攻击的合法性等问题并不是指是否看起来像使用了武力,而是指攻击是否符合一般认可的原则。
4 网络攻击应遵循的标准
那么,网络攻击到底应该遵循怎样的标准呢?先来看一下传统战争的标准:一是必须区分战斗人员和非战斗人员,即只有一个国家的常规军队人员可以使用武力。二是军事必要性,也就是被攻击目标必须直接参与战争或者产生军事利益。三是相称性,即袭击一个合法的军事目标时,对非战斗人员和平民财产的间接损伤应该与可能获得的军事利益相称。四是不能滥用武器,应该避免使用不能准确定位目标的武器。五是不能造成过分伤害,即不应使用会造成灾难性以及无法治疗的伤害的武器。六是不能滥用相互信任的“欺诈行为”,即不应利用受保护的标志使军事目标免受袭击,也不应诈降或发布伪造的报告停火。七是中立性原则,即中立国家不帮助交战任何一方的国家。
前三条原则主要说明战争的实施者应该是军队,攻击的目标必须是军用的而非民用的对象。应用到网络攻击中,则指应尽力避免对通信、交通和金融系统等民用基础设施造成破坏,不能对非战斗人员和平民财产造成不必要的间接损害。
网络空间的欺诈行为颇为常见,如,在一个有红十字标识的伪造网站植入特洛伊木马,战争法不允许这种行为。中立原则保护那些中立国免受攻击,假设敌人的网络攻击信息包通过一个中立国的远程通信网传输,只要是不偏不倚地向双方提供这种服务,而且中立国仅仅只是传输信息包,并不关注其内容,那就不可以攻击该国的网络来阻止敌人的攻击。
此外,在技术层面也可采取一些措施以适应网络攻击的标准。
一是网络攻击实施者进行数字签名。如发起网络攻击时必须有明确的不可否认的签名,以确认谁该承担责任以及打算攻击什么目标。国际社会应达成国际协议和网络协议,使其在技术上具可操作性。
二是网络攻击确保具有修复力。攻击发起者应备份原始数据,并在网络攻击手段上进行必要的约束。例如,使用一种只有攻击者知道的密码对关键数据或程序进行加密,只要解密就可修复损害。常规战争中,进攻一方有义务在成功打击对手后帮助当地战后重建,维护正常的社会秩序和地区稳定,网络冲突中也应如此。
科技的发展常常催生法律和道德的思考,网络发展也不例外。世界各国应通过良好的互动合作来推动构建网络空间的行为准则。科技发达强国更应合法合理地利用先进的技术优势,为世界和平发展做出贡献,而非仅仅追求自己的国家利益。对网络武器的使用,我们应该从一开始就对其进行规范,只有在设计和使用网络武器时明确道德伦理标准,我们才能让普通民众不会深受其害。
参考文献
[1]SCHMITT MN.Computer network attack and theuse of force in international law:thoughts on a normativeframework[J].Columbia Journal of Transnational Law,1999(37):885-937.
[2]王铁崖.战争法文献集[M].北京:解放军出版社,1986.
[3][美]托马斯·阿奎那.阿奎那政治著作选[M].马清槐,译.北京:商务印书馆,1989.
浅析网络攻击与防御技术 篇2
关键词:网络安全;网络攻击与防御;监听扫描
一、网络安全概述
网络安全是指网络系统中的数据受到保护,不受恶意的或者偶然的原因而遭到破坏、更改、泄露,以及系统中的软件、硬件连续、可靠正常地运行。随着计算机网络的飞速发展,网络中的安全问题也日趋突出。网络容易遭受到恶意攻击,例如数据被窃取,服务器不能正常的工作等等。针对这些攻击,人们采用了一些防御手段,不断的增强系统本身的安全性,同时还采用了一些辅助设备,比如网络系统和防火墙。防火墙一般作为网关使用,在检测攻击的同时,还能阻断攻击,网络一般作为并行设备使用,不具有阻断攻击的能力,它检测到攻击后,发出警报通知管理员,由管理员进行处理。不同的攻击,有不同的防御方法,我们在对攻击的有一定的了解后,制定相应的防御策略,才能保证网络安全。
二、攻击方法分类
网络入侵的来源一般来说有两种,一种是内部网络的攻击,另一种是外网的入侵。
攻击行为可分为:单用户单终端,单用户多终端,多用户多终端3大类。
(1)端口扫描攻击:网络端口监听就是一种时刻监視网络的状态、计算机数据流程以及在网络中传输的信息的管理工具.当计算机网络的接口处于监听模式的状态时,其可以快速的截取在网络中传输的数据信息,以此来取得目标主机的超级管理用户的权限。另外还在系统扫描的过程中,可以扫描到系统中那个端口是开放的,对应开放的端口提供的是什么服务,在捕获的服务中的操作信息是什么,此后攻击者就能利用它获取到的操作系统信息对目标主机进行网络入侵。
(2)缓冲区溢出攻击:缓冲区溢出攻击就是利用缓冲区溢出漏洞来进行攻击,在某种程度上可以说是一种非常危险的漏洞,在各种操作系统、应用软件中存在比较多。其原理在于程序获得了过量的数据,系统并没有对接收到的数据及时检测。结果使系统的堆栈遭到严重的损坏,从而使计算机被攻击者操控或者是造成机器瘫痪,使其不能正常工作。如果黑客进行远程攻击时,就必须使用系统服务中出现的溢出漏洞。在各个不相同的系统中,它产生的服务的攻击代码也各不相同。常用到的攻击检测的方法就是使用字符串匹配。出现缓冲区溢出的攻击还有一方面在于,现在大多是的应用程序都是由C语言构成的.在C、C++语言的语法中,对其数组下标的访问一般不做越界检查,因此导致缓冲区溢出的现象。
(3)拒绝服务攻击:拒绝服务攻击就是攻击者想办法让目标主机无法访问资源或提供服务,是黑客常用的攻击手段。这些资源包括磁盘硬盘空间、线程、内存等。拒绝服务攻击是指对计网络带宽进行消耗攻击。带宽攻击这一话题也并不陌生它是指用大量的通信数据量来攻击网络带宽。从而使网络带宽中的的大部分资源都被消耗完了,以至于主机不能正常的处理合法用户进行的请求。攻击者产生拒绝服务攻击,从而导致服务器的缓冲区溢出,无法接收新的请求,同时攻击者还可以采用IP地址欺骗的方式,使合法用户的请求被攻击者窃取,无法正常达到信息请求的目的地,严重影响用户请求的连接。
(4)病毒攻击:提到病毒攻击,最为直观的就是木马攻击。木马对电脑系统的破坏很强大,一般来说它具有通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。木马的设计者为了防止木马被发现,多采用多种手段来隐藏木马,这样,即使是发现感染了木马,由于不能确定木马的正确位置,也无法清除。木马的服务端一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,而这对于服务端的用户是非常危险的。一旦计算机被植入木马,攻击者就能窃取密码,更该系统配置,发送错误信息,终止进程,修改注册表等。攻击者就可以远程实现像操纵自己的计算机一样来操纵被植入木马的计算机。木马入侵的方式主要有错误的服务信息,电子邮件,捆绑在游戏中等。
三、网络防御策略
(1)防火墙技术。防火墙是设置在内部网络与外部网络之间的一个隔离层,能够有效的防止未知的或者是潜在的入侵者。内部网络安全的实现主要是通过监测进入内网的数据信息或者直接限制其信息流入内网。从而实现外网无法获得内网的网络构成、数据流转和信息传递等情况,以此达到实现保护内部网络安全的目的。防火墙是不同网络间信息传递的重要关口,它能够有效的控制外网和内网的数据流交换,而且它本身具有较强的抗攻击能力。从某种程度上说,防火墙是实现了分离和限制的作用,可以监控内部网和外部网之间信息交换活动,来达到保护内部网络安全的目的。
(2)入侵检测。入侵检测系统(IDS)就是对现在的系统或正在使用的网络资源进行实时监测,以能够及时发现网络中的入侵者。入侵检测技术一般来说分为,非正常检测和常规检测。非正常检测就是通过检测系统中是否存在异常行为以此来达到检测目的,它能快速的地检测出网络中未知的网络入侵者,漏报率非常低,但是由于在检测中无法确地定义正常的操作特征,所以引发信息的误报率高。常规检测方法。这种检测方法最大的缺点是它自身依赖于函数特征库,只能检测出已存在的入侵者,不能检测未知的入侵攻击,从而引发漏报率较高,但误报率较低。
(3)建立安全管理。它是指通过一些的组织机构、制定制度,把含有信息安全功能的设备和使用此信息的人融合在一起,以确保整个系统达到预先制定的信息安全程度,以此能够达到保证信息的保密性、完整性和实用性的目的。安全管理主要包括安全管理策略和技术两个方面的内容。要想安全管理实现就必须在规章制度制定、安全体系中充分考虑技术方面,只有制度和技术的有效结合才能真正发挥作用,并取得预期的效果。
(4)多层次的安全系统建立。计算机网络安全系统可划分为不同级别的安全制度。其主要包括:对系统实现结构的分级,对传输数据的安全程度的分级(绝密、机密、秘密、公开);对计算机网络安全程度的进行分级,对用户操作权限的分级等。针对网络中不同级别的安全对象.从而提供不同的安全算法和安全体制.用以以满足现代计算机网络中不同层次的实际需求.
四、网络安全技术的前景
随着网络的迅速发展,网络的攻击方法已由最初的零散知识发展为一门完整系统的科学。与此相反的是,成为一名攻击者越来越容易,需要掌握的技术越来越少,网络上随手可得的攻击实例视频和黑客工具,使得任何人都可以轻易地发动攻击。因此我们的防御技术显得尤为重要,从攻击趋势分析中发现,目前网络安全防范的主要难点在于:攻击的“快速性”—漏洞的发现到攻击出现间隔的时间很短;安全威胁的“复合性”—包括多种攻击手段的复合和传播途径的复合性。这一切均是传统防御技术难以对付的,因此人们需要更加先进,更全面化的主动防御技术和产品,才能在攻击面前泰然自若。(作者单位:河南师范大学软件学院)
参考文献:
[1]高飞,申普兵.网络安全主动防御技术.计算机安全.2009.1:38-40.
[2]王秀和,杨明.计算机网络安全技术浅析.中国教育技术装备.2007.5.49-53
[3]周军.计算机网络攻击与防御浅析.电脑知识与技术.2007.3:1563-1606
[4]赵鹏,李之棠.网络攻击防御的研究分析.计算机安全.2003.4:35-38
[5]张玉清.网络攻击与防御技术.清华大学出版社.2012
网络黑金时代黑客攻击的有效防范 篇3
一、网络黑金时代的现状
在计算机网络如此发达的今天, 网络黑客愈演愈烈, 而“磁碟机”病毒也正是在这种刻意低调的伪装下, 伺机窃取用户的隐私敏感信息, 包括游戏账号、网银、网上证券交易等账号密码, 稍不留神, 人们就会跌入被人设计好的网络陷阱, 付出沉重的代价。
“2008年爆发的‘磁碟机’病毒, 与‘熊猫烧香’病毒相比, 绝对是青出于蓝而胜于蓝。它非常狡猾, 在反攻杀毒软件能力、传播能力、自我保护能力和隐藏能力、病毒变种和自我更新速度、破坏性等方面远远超过了以往的‘熊猫烧香’。”“据国家计算机网络应急处理中心估计, 目前病毒的‘黑色产业链’年产值已超过2.38亿元人民币, 造成的损失则超过76亿元。”
在利润的驱使下, 想利用病毒获取利益的人逐渐地聚集到一起, 形成了一条产销分工明确的灰色产业链。金山毒霸北京技术部技术总监孙国军说, “灰鸽子的背后就有一个制造、贩卖、销售病毒的‘传销’帝国, 一些人利用它大量发展‘肉鸡’, 然后贩卖出去获取经济利益。”
二、黑客攻击不断升级的原因分析
(一) 非法牟取利益。
据了解, “熊猫烧香”的程序设计者李俊, 每天收入近万元, 被警方抓获后, 承认自己获利近千万元。据中国互联网安全最高机构——国家计算机网络应急技术处理协调中心的监测数据显示, 目前中国的互联网世界中, 有5个僵尸网络操控的“肉鸡”规模超过10万台, 个别僵尸网络能达到30万台规模。这些僵尸网络可以被租借、买卖, 黑客们每年可以有上百万元收入。由此可见, 这些真实的案例足以证明黑客们疯狂的、日以继夜的、争分夺秒的制造新病毒, 潜藏着一个共同目的——牟取暴利。非法获取利益是黑客攻击不断升级客观存在的根本因素。
(二) 有力制裁黑客行为的法律缺失。
按照我国目前的《计算机信息网络国际联网安全保护管理办法》, 制造和传播病毒属违法行为, 但对于木马、黑客程序等并没有清晰的界定, 因为它们本身只是一个工具, 至于使用者拿它们去干坏事还是干好事, 无法控制。这也是木马程序制造者敢于利用网络公开叫卖、大发不义之财的根本原因。所以, 立法斩黑迫在眉睫。
(三) 网络使用者的自我安全保护意识不足。
在暴利的推动下, 病毒的发展势头空前强大, 计算机病毒反攻杀毒软件的能力、自我保护能力、隐藏能力还有变种速度可能导致杀毒软件永远没有办法清除病毒。所以, 提高网络安全意识是避免被病毒肆虐的最佳途径。
三、黑客攻击的有效防范
我们认为, 对付网络信息时代的攻击, 最好的武器是训练有素的人, 而不是技术。网络地下产业链发展至今, 已经具有了组织化、公开化和规模化的流水性作业程序。因此, 任何连接到Internet上的关键任务系统必须清楚地了解所面临的问题, 并知道采取何种措施使被成功攻击的机会达到最小。在此, 本文对如何减少被黑客攻击提出以下几项措施:
第一, 拒绝网上“裸奔”。所谓网上“裸奔”, 就是计算机系统没装杀毒软件或者防火墙, 或者虽然装了杀毒软件但长期不升级病毒库, 或者装多个杀毒软件和多重防火墙。一般来说, 装上杀毒软件和防火墙较为妥当。装多个, 则太杞人忧天了。因为软件之间会互相冲突, 导致系统不稳定、速度变得像蜗牛一样慢, 从而大大影响了计算机的速度。
第二, 培养及时更新计算机系统的习惯。调查发现, 有65%的计算机用户没有及时更新计算机系统, 没有打补丁的习惯;有30%的用户从来没有为自己的计算机打过补丁。只有5%的一些计算机爱好者, 会每天坚持完善自己的计算机系统。“熊猫烧香”病毒之所以造成了非常大的危害性, 其根本原因就在于社会上的计算机系统存在着不安全设置和漏洞。如果我们的安全意识提高, 及时关注和安装最新的补丁, 不断合理设置计算机系统, 就会大大地降低被攻击的机率。
第三, 设计有效完善的站点。站点越完善, 站内网络的运行状况就会越好。在理想情况下, 公司不仅要有多条与Internet的连接, 最好有不同的地理区域连接。因为网络服务的位置越分散, IP地址越分散, 攻击同时寻找与定位所有计算机的难度就越大。这样当问题发生时, 所有的通信都可以被重新路由。
第四, 限制带宽。当拒绝服务攻击发生时, 针对单个协议的攻击会耗尽公司的带宽, 以致拒绝对合法用户的服务。限制基于协议的带宽就成为一种非常有效的防范措施。例如, 端口25只能使用20%的带宽, 端口80只能使用50%的带宽。但是, 我们需要知道, 所有这些解决方案都是不完善的, 都存在着被攻克的可能, 因此, 能与黑客攻击相匹敌的惟一方法就是建立多种防御机制来保护网络。
第五, 运行尽可能少的服务。运行尽可能少的服务可以减少被成功攻击的机会。如果一台计算机开了30个端口, 这使得攻击者可以在很大的范围内尝试对每个端口进行不同的攻击。相反, 如果系统只开了两、三个端口, 这就限制了攻击者攻击站点的攻击类型。
第六, 只允许必要的通信。这一防御机制与上一个标准“运行尽可能少的服务”很相似, 不过它侧重于周边环境, 主要是防火墙和路由器。关键是不仅要对系统实施最少权限原则, 对网络也要实施最少权限原则。确保防火墙只允许必要的通信出入网络。许多人只过滤进入通信, 而向外的通信不采取任何措施。其实, 这两种通信都应该过滤。
第七, 封锁敌意IP地址。当一个公司知道自己受到攻击时, 应该马上确定发起攻击的IP地址, 并在其外部路由器上封锁此IP地址。这样的问题是, 即使在外部路由器上封锁了这些IP地址, 路由器仍然会因为数据量太多而拥塞, 导致合法用户被拒绝对其他系统或网络的访问。因此, 一旦公司受到攻击应立刻通知其ISP和上游提供商封锁敌意数据包。因为ISP拥有较大的带宽和多点访问, 如果它们封锁了敌意通信, 仍然可以保持合法用户的通信, 也可以恢复遭受攻击公司的连接。
第八, 尽量避免个人资料的泄露。QQ、MSN、论坛账号等等是被广泛应用的通讯工具, 黑客团伙盗取QQ号的动机是为了里面的好友信息, 一旦他们掌握了这些信息, 便可以向你的朋友下手, 通过诈骗、勒索、盗窃等等的手段来获得经济利益。所以, 登陆自己的账号时, 尽量不要选“自动登陆”, 不要在论坛个人资料里选择“公开邮箱”, 也不要在QQ和MSN上公开透露个人的隐私资料信息, 更不要相信您的邮箱里有关于套取你机密资料的邮件, 特别是那些向你索取银行账号和密码的邮件, 如果有来历不明的可疑邮件, 不要打开, 一经发现, 立刻删除。在办公室上网的尤其应该如此。
总而言之, 从来就没有刀枪不入的盔甲, 当代也没有天衣无缝的计算机系统, 也不存在完美的杀毒软件, 最好的杀毒方法就是把病毒抵于门外。如果广大网民都以身作则, 积极提高网络的自我保护意识, 那么黑客攻击和危害就会大大减少, 甚至无机可乘了。
注释
1[1]林华.重拳惊曝黑客产业链条[J].高科技与产业化, 2008, 1
网络攻击的实施和技术分析 篇4
关键词:网络攻击,网络仿真,端口扫描,入侵检测
“网络攻击”是指任何的非授权而进入或试图进入他人计算机网络的行为。这种行为包括对整个网络的攻击,也包括对网络中的服务器或单个计算机的攻击。攻击的目的在于干扰、破坏、摧毁对方服务器的正常工作,攻击的范围从简单地使某种服务器无效到完全破坏整个网络。简单的说,对网络安全管理员来说,可能导致一个网络受到破坏、网络服务受到影响的所有行为都应称为攻击。
1 网络嗅探技术
嗅探技术是网络安全攻防技术中很重要的一种。对黑客来说,通过嗅探技术能以非常隐蔽的方式取网络中的大量敏感信息,与主动扫描相比,嗅探行为更难被察觉,也更容易操作。对安全管理人员来说,借助嗅探技术,可以对网络活动进行实时监控,并发现各种网络攻击行为。嗅探器实际是一把双刃剑。虽然网络嗅探技术被黑客利用后会对网络安全构成一定的威胁,但嗅探器本身的危害并不是很大,主要是用来为其他黑客软件提供网络情报,真正的攻击主要是由其他黑客软件来完成[1]。
嗅探器最初是作为网络管理员检测网络通信的一种工具,它既可以是软件,又可以是一个硬件设备。软件嗅探应用方便,针对不同的操作系统平台都有多种不同的软件嗅探,而且和多都是免费的:硬件嗅探通常被称做协议分析器,其价格一般都很高昂。
嗅探是一种常用的收集数据的有效方法,这些数据可以是用户的账号和密码,也可以是一些商用机密数据等。内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用“sniffer”程序。这种方法要求运行嗅探程序的主机和被监听的主机必须在同一个以太网段上,在外部主机上运行嗅探程序是没有效果的,再者,必须以root身份使用嗅探程序,才能够监听到以太网段上的数据流。
在局域网中,以太网的共享式特性决定了嗅探能够成功。因为以太网是基于广播方式传送数据的,所有的物理信号都会被传送到每一个主机节点,此外网卡可以被设置成混杂接收模式(Promiscuous),这种模式下,无论监听到的数据帧的目的地址如何,网卡都能予以接收。而TCP/IP协议栈中的应用协议大多数以明文在网络上传输,这些明文数据中,往往包含一些敏感信息(如密码、账号等),因此使用嗅探可以悄无声息地监听到所有局域网内的数据通信,得到这些敏感信息。同时嗅探的隐蔽性好,它知识“被动”接收数据,而不向外发送数据,所以在传输数据的过程中,很难觉察到它在监听[2]。
2 缓冲区溢出攻击技术
缓冲区溢出下面举例说明:
从上面的例子中不难看出,可以通过缓冲区溢出来改变在堆栈中存放的过程返回地址,从而改变整个程序的流程,使它转向任何攻击者想要它去的地方,这就为攻击者提供了可乘之机。攻击者利用堆栈溢出攻击最常见的方法是:在长字符串中嵌入一段代码,并将函数的返回地址覆盖为这段代码的起始地址,这样当函数返回时,程序就转而开始执行这段攻击者自编的代码了[3]。当然前提条件是在堆栈中可以执行代码。一般来说,这段代码都是执行一个Shell程序(如binsh),因此当攻击者入侵一个带有堆栈溢出缺陷且具有suid_root属性的程序时,攻击者会获得一个具有root权限的Shell。这段代码一般被称为Shell Code。攻击者在要溢出的buffer前加入多条NOP指令的目的是增加猜测Shell Code起始地址的机会。几乎所有的处理器都支持NOP指令来执行null操作(NOP指令是一个任何事都不做的指令),这通常被用来进行延时操作。攻击者利用NOP指令来填充要溢出的buffer的前部,如果返回地址能够指向这些NOP字符串的任意一个,则最终将执行到攻击者的Shell Code。
由于在编写Shell Code时并不知道这段程序执行时在内存中具体的位置,所以使用一条额外的JMP和CALL指令。因为这两条指令编码使用的都是相对于IP的偏移地址而不是绝对地址,这就意味着可以跳到相对于目前IP的某一位置而无须知道这一位置在内存中的绝对地址。如果正好在字符串“binsh”之前放CALL指令,而用JMP指令跳到CALL指令处,则当CALL指令执行时,字符串“binsh”的地址将作为返回地址被压入堆栈,然后再将此地址拷入寄存器。只要计算好程序编码的字节,就可以使JMP指令跳转到CALL指令处执行,而CALL指令则指向JMP的下一条指令,这样就可以在运行时获得“binsh”的绝对地址。通过这个地址加偏移的间接寻址方法,还可以很方便地存取string_addr和null_addr。
3 拒绝服务(DoS)攻击技术
DoS攻击,起全称为Denial of Service,又被称为拒绝服务攻击。直观地说,就是攻击者过多地占用系统资源直到系统繁忙,超载而无法处理正常的工作,甚至导致被攻击的主机系统崩溃。攻击者的目的很明确,即通过攻击使系统无法继续为合法的用户提供服务。这种意图可能包括:1)试图“淹没”某处网络,而阻止合法的网络传输;2)试图断开两台或两台以上计算机之间的连接,从而断开它们之间的服务通道;3)试图阻止某个或某些用户访问一种服务;4)试图断开对特定系统或个人的服务。
实际上,DoS攻击早在Internet普及以前就存在了[4]。当时的拒绝服务攻击是针对单台计算机的,简单地说,就是攻击者利用攻击工具或病毒不断地站用计算机上有限的资源,如硬盘、内存和CPU等,直到系统资源耗尽而崩溃、死机。
随着Internet在计算机领域乃至整个社会中的地位越来越重要,针对Internet的DoS再一次猖獗起来。它利用网络连接和传输时使用的TCP/IP、UDP等各种协议的漏洞,使用多种手段充斥和侵占系统的网络资源,造成系统网络阻塞而无法为合法的Interne用户进行服务。
DoS攻击具有各种各样的攻击模式,是分别针对各种不同的服务而产生的。它对目标系统进行的攻击可以分为以下三类:1)消耗稀少的、有限的并且无法再生的系统资源;2)破坏或者更改系统的配置信息;3)对网络部件和设施进行物理破坏和修改。
当然以消耗各种系统资源为目的的拒绝服务攻击是目前最重要的一种攻击方式。计算机和网络系统的运行使用的相关资源很多,例如网络宽带、系统内存和硬盘空间、CPU时钟、数据结构以及连接其他主机或Internet的网络通道等。针对类似的这些有限的资源,攻击者会使用各不相同的拒绝服务攻击形式以达到目的。
4 网络攻击的综合实施
为了对整个攻击过程有整体的了解,下面通过实验对扫描器、缓冲区溢出工具、木马程序及常用网络命令等进行综合应用,实验环境请用自己构建的实训平台。实验分别对被攻击系统存在已知漏洞和不存在已知漏洞两种情况进行攻击分析。
对被攻击系统存在已知漏洞的情况进行攻击,主要是利用缓冲区漏洞进行的系列攻击。首先使用扫描工具对目标进行扫描,扫描IDA漏洞的主机。然后,使用工具IDAHack对目标机器进行溢出攻击。接着,在CMD中使用Telnet连接到对方机器并使用ne user命令添加一个新用户,使用net localgroup命令把新添加的用户加到管理组,退出Telnet,使用新建的用户建立IPC空连接并将被攻击计算机中的磁盘映射为本地的磁盘。最后,生成一个木马服务端程序,使用捆绑工具和图片捆绑在一起,用来伪装木马程序(当运行图片时会同时运行木马程序),并把伪装好的服务端复制到目标主机的C盘系统目录下,可以通过远程调用,或诱使被攻击者运行图片文件来启动木马程序,当服务端程序运行后,本地即可使用木马客户端程序进行连接控制。使用日志清除工具入侵日志,抹去入侵痕迹。防范方法有:及时打补丁,使得系统没有让攻击者可以利用的漏洞。删除IPC等默认共享,在“控制面板”、“管理工具”、“计算机管理”、“共享文件夹”、“共享”中删除默认共享。
当对被攻击系统不存在已知漏洞的情况下,可以采用远程破解口令的方式。在实验中,可以使用SuperScan等扫描工具对目标主机进行用户枚举扫描,获得目标主机的用户列表[5]。接着使用工具NAT对选定的账户进行远程口令破解。取得对方计算机的用户名和密码后,其他步骤可以通过与上面第一种情况相同的方式建立映射磁盘以及置入木马来控制对方计算机。防范方法:远程破解口令可以通过在被攻击计算机上修改“本地安全策略”中的“账户策略”而得到有效的防范。在远端计算机“本地安全策略”中的“账户策略”中是当用户登录时密码3次不正确自动锁定账户30分钟。也可以设定为自己认为合适的数值。
5 结论
计算机网络的发展,特别是近年来Internet的发展已将世界上无数的计算机网络联系在了一起。即使你已将大楼的门完全锁好了,但攻击者还是通过计算机网络在世界上午另一头侵入你的网络,翻阅机密资料甚至做出破坏性的动作。
攻击者在攻击取得成功后,为了能够方便下次再轻易地返回系统,专业黑客在推出系统之前,肯定要留下一些后门。对于后门,管理员比较难以察觉,因为在没有发现攻击者的情况下,很少管理员会主动去查找是否系统里留有攻击者的后门。后门的类型五花八门,种类繁多,有些可以通过工具或自检查到或处理掉,有些就比较麻烦,可能要花费大量的人力和物力。高级复杂的后门如“内核后门”是很难发觉的,除非重装系统,否则不能保证没有后门留在里面。
攻击者在攻击取得成功后要做的另一件事就是攻击痕迹清除或将攻击行为转嫁。如果获得了访问系统的完全权限,攻击者是很容易修改系统上的事件日志来掩盖留下的任何痕迹。
参考文献
[1]刘竹涛,网络的攻击与防范[J].计算机安全,2008(9):117-119.
[2]宁博.网络攻击及网络安全解决方案[J].西安邮电学院学报,2008,13(3):103-105.
[3]牛少彰.网络的攻击与防范[M].北京:北京邮电大学出版社,2006.
[4]濮青.基于网络拒绝服务攻击的技术分析与安全策略[J].计算机研究,2003,20(3):71-75.
木马型网络攻击技术的研究 篇5
目前,网络漏洞扫描产品有很多种,其中比较有名的有Nessus、ISS和NetRecon等,这些系统大都是面向网络安全评测的,因此它们对一个主机或整个网络的扫描是在授权的情况下进行的。而以攻击为目的,对一个目标主机或网络执行漏洞扫描,是在非授权情况下进行的。由于扫描会在目标系统的日志中留下记录,扫描容易被目标系统管理员所追踪。而且在目标系统网络中存在入侵检测系统的情况下,扫描很容易被检测到。同时,在很多情况下,本地攻击者与目标系统之间无法建立直接的网络连接,因为目标系统拒绝的本地连接,如一些包含敏感信息的服务器,在本地无法直接访问;目标系统本身存在于内网中,而且使用内部网IP地址,在外部无法直接访问;目标系统运行在网络防火墙后,大多数服务端口被过滤掉[1]。
在上述几种情况下,本地的漏洞扫描程序无法对目标系统执行有效的扫描。因此,在执行攻击为目的的漏洞扫描时,面临着穿透防火墙、进入内部网和防止被追踪等难题。针对在执行以网络攻击为目的漏洞扫描所面临的难题,本文提出了基于木马的漏洞扫描模型,将部分木马的特性应用于漏洞扫描系统之上。
2 木马型的网络漏洞扫描攻击
2.1 木马漏洞的扫描模型
计算机木马(又称为特洛伊木马)是一种能够在受害者毫无察觉的情况下渗透到系统的恶意代码,在完全控制了受害系统后,能进行秘密的信息窃取或破坏。它秘密运行在对方计算机系统内,与控制主机之间建立起连接,使得控制者能够通过网络控制受害系统。
在基于木马的漏洞扫描模型中,漏洞扫描系统包含控制端和执行端两部分。该扫描模型可如图1所示。
扫描执行端核心部分以木马形式植入第三方“无辜”的主机。而扫描控制端运行在攻击者本地。攻击者通过控制端控制远程执行端对其他的目标系统执行扫描,并接收扫描结果。扫描执行端核心部分是以木马形式存在的,可以通过上传扫描插件扩充扫描功能。
这样,就有效的隐藏了本地攻击者,防止被攻击目标所追踪。同时可以将扫描执行端植入防火墙后面的主机或是内部网内的主机,控制它们对内部的目标系统执行漏洞扫描。因此,采用木马体系结构的扫描模型,可以解决执行以攻击为目的的漏洞扫描所面临的难题。
2.2 木马漏洞的攻击机理
一般的木马程序分为两部分:被控制端和控制端。在正向连接中,被控制端会打开一个默认的端口进行监听,等待控制端提出连接请求.在反向连接中,被控制端则主动发送连接请求。双方建立连接后,控制端一般会发送命令,如键盘记录命令、文件操作命令以及敏感信息获取命令等,被控制端接收并执行这些命令,然后返回相应结果到控制端[2]。木马型漏洞的一般攻击过程如图2所示。
木马攻击的第一步是对木马被控制端进行相应配置,如设置被控制端开放的端口号、名称、触发条件、连接密码等,若是反向连接还包括控制端地址等信息。第二阶段即木马的传播/植入阶段,常见传播/植入方式有:即时通讯传播、E-mail传播、下载传播、脚本植入、远程溢出攻击植入等。运行木马阶段一般实现木马被控制端的移动、删除、注册表修改、远程程序插入等。木马运行后,被系统加载进入内存,并通过事先的通信连接方式与控制端建立连接。木马程序双方建立通信连接后,即可实施敏感信息获取或者远程控制操作。
在整个木马的攻击过程中,都贯穿有隐藏操作的实施,在前3个阶段多涉及社会工作学问题,即根据用户习惯,迷惑用户,达到运行木马程序的目的。如被控制端与常用工具软件或者图片捆绑,被控制端文件名称与常见文件名称类似等。攻击过程的后2个阶段主要涉及技术问题,即如何在技术上实现木马信息的隐藏,也不排除利用社会工程学的思想。总之,隐藏性贯穿于整个攻击过程,是木马可生存性的首要前提[3]。
3 木马型的网络攻击技术的实现
3.1 本地实现加载及激活木马
本地实现木马的加载及激活的主要途径是:
1)在AutoStart文件中加载
C:wind owsstartmemuporgramsstartup(English)
C:wind owsstartMenuPrograms启动(Chinese)
在注册表中的位置:
HKEY_CURRETNT_USERSoftWareMicrosoftWindowsCurrentVersionExplorerShellFoldersStartup="C:windowsstartm enuporgramsstartup",修改此处,指向木马程序,就可以在系统启动的时候加载并激活木马。
2)修改批处理
一般通过修改下列三个文件来作案:Autoexec.bat(自动批处理,在引导系统时执行),Winstart.bat(在启动GUI图形界面环境时执行),Dosstart.bat(在进入MS-DOS方式时执行)。
3)修改系统配置
常使用的方法,通过修改系统配置文件System.ini,Win.ini来达到自运行的目的。
4)通过注册表中的Run来启动
通过在Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce中添加键值,可以比较容易地实现程序的加载,尤其是修改带”Once"的主键,因为带“Once"的主键中的键值,在程序运行后将被删除,因此当用户使用注册表修改程序查看时,不会发现异样,具有很好的隐蔽性。
5)通过文件关联启动
通常可修改的文件关联有:EXE文件关联(主键为:exefile),文本文件(主键为:txtfile)及注册表文件关联(主键为:regfile),其中修改注册表文件关联一般是用来防止用户恢复注册表,例如让用户双击.reg文件就关闭计算机)、unkown(未知文件关联)。
3.2 利用远程线程实现加载木马
远程加载木马DLL的方法的关键就是在日标进程空间内嵌入自己的代码。在讨论该项技术前有必要对Windows系统的内存结构作一定的了解。从理论上来讲,在Windows系统中的每个进程的私有虚拟内存空间,是不允许别的进程随意访问的。但实际上仍可利用种种方法进入别的进程的内存空间。比如:窗口Hook、挂接API(HOOK API)以及远程线程技术等,本节重点讨论利用远程线程加载木马DLL的技术。
利用远程线程加载(插入)DLL的方法基本上要求目标进程中的线程调用LoadLibrary()函数来加载木马DLL。由于除了自己进程中的线程外,无法方便的控制其他进程中的线程,因此这种方法要求能够在目标进程中创建自己的一个线程,Windows系统提供了一个称为CreateRemoteThread()的函数,使得能够在另外的一个进程中创建线程。那么就可以通过该函数在另外的一个进程中创建一个远程线程,然后有该远程线程调用LoadLibrary()来加载木马DLL。其具体步骤如下:
首先,通过OpenProcess()来打开目标进程(即要嵌入的进程),如果目标进程不允许打开,那么嵌入就无法进行,这往往是由于权限不足引起的,解决方法是通过种种途径提升本地进程的权限。由于在后面需要写目标进程的内存地址空间并建立远程线程,所以需要申请足够的权限,至少应该包括PROCESS-CREATE-THREAD,VM_OPERATION,VM_WRITE等权限。
然后,由该远程线程调用LoadLibraryW()或LoadLibraryA()函数来加载木马DLL。实际上有两个LoadLibrary函数,即LoadLibraryW和LoadLibraryA。这两个函数之间的差别就是传递给函数的参数类型不同,一个是ANSI字符串类型,另外一个是Unicode类型,下面的程序中是以UniCode类型为例)。
接着,使用CreateRemoteThread()函数,在目标进程中创建一个线程,该线程调用的线程函数就是上一步得到的LoadLibraryW或LoadLibraryA。并为传递上不中所分配的内存地址。此时就完成了木马DLL的加载工作,木马DLL已被加载到目标进程的地址空间内。
4 小结
总之,随着信息技术高速发展,人类社会正进入信息社会,社会经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大。同时,由于Internet的广泛应用,基于Internet的网络战已经成为信息战的一种重要形式。为了在未来的网络战中掌握主动权,木马型网络攻击技术是不可或缺的武器,研究和发展木马型网络攻击技术对于国家安全具有重要的军事战略意义。
摘要:为了在未来的信息战中掌握主动权,研究木马型网络攻击技术具有重要的军事战略意义。该文提出了基于木马的漏洞扫描模型,并对其攻击原理以及关键攻击技术实现作了进一步的研究。
关键词:木马漏洞,网络攻击,加载木马
参考文献
[1]刘嫔,唐朝京,张森强.基于网络的安全漏洞分类与扫描分析[J].信息与电子工,2006(04):25-27.
[2]傅长弘.网络安全探讨[J].中国西部科技,2008(08):16-17.
网络钓鱼的攻击方式与识别技术 篇6
第30次中国互联网络发展状况调查统计报告显示, 截至2012年6月底, 中国网民数量达到5.38亿, 互联网普及率为39.9%。网络的普及给人们生活带来了极大的方便, 但同时也带来了许多安全隐患, 特别是通过网络钓鱼的方式诈骗钱财的事件屡屡发生。网络钓鱼是指攻击者通过各种隐蔽的技术手段, 声称自己是某银行或者权威机构来欺骗用户的一些敏感信息, 如用户的密码等信息。常见的网络钓鱼是设计一个与真实网站非常相似的网站, 引诱用户上当[1,2]。网络钓鱼方式已经严重威胁到用户的财产安全, 并具有愈演愈烈的趋势。中国互联网络信息中心 (CNNIC) 发布的《2012年中国反钓鱼网站联盟工作报告》显示, 反钓鱼网站联盟2012年共处理钓鱼网站24535个, 已累计认定并处理钓鱼网站100402个, 2012年联盟接到的钓鱼网站举报中, 钓鱼网站主要涉及淘宝网、工商银行、央视、腾讯公司等单位。可以看出电子商务网站成为网络钓鱼的重点攻击对象。
1 网络钓鱼的主要攻击方式
国家计算机病毒应急处理中心通过对互联网的监测发现, 随着“B2C”电子商务的迅猛发展, 网络钓鱼事件愈加频繁。目前, 网络钓鱼现状表现在银行类网站频遭仿冒、节假日成为钓鱼高峰期、热点事件催生网络钓鱼以及中奖信息类和彩票类钓鱼网站激增等五个方面。近期网络钓鱼事件频发, 那么网络钓鱼的主要采用什么攻击方式呢?主要存在三类攻击方式, 一类是使用恶意软件进行攻击, 第二类似利用软件的漏洞来攻击, 第三类是使用虚假信息或者克隆方式。
1.1 使用恶意软件的攻击
目前网络上恶意软件增长十分迅猛, 特别在移动互联网方面人们的防范意识更加薄弱, 也更容易被恶意软件攻击。《2012年中国反钓鱼网站联盟工作报告》显示, 截止2012年6月, 趋势科技已经截获25000个Android恶意应用程序。趋势科技于2012年8月在第三方应用市场截获了一个Android恶意应用程序ANDROIDOS_SMSZOMBIE.A, 该恶意应用程序可以利用某电信运营商短信支付平台的漏洞, 窃取用户的银行卡号以及账户的相关信息, 然后将窃取到的信息以短信的方式发送至指定的手机号码, 这给用户的银行卡安全造成严重的威胁。
1.2 利用软件的漏洞攻击
最常见的是利用浏览器漏洞进行攻击[3]。如2005年, 微软安全研究小组的工程师日前证实了IE浏览器上存在的一处可为URL诱骗攻击留下后门的漏洞, 攻击者可以利用它伪装一个弹出式广告URL信息, 这个信息窗口与真实的一模一样, 但实际上是网络钓鱼网站, 用户很容易被欺骗。攻击者也可能在Web页面里插入恶意代码, 当用户打开浏览器时, 嵌入其中的恶意代码也会运行。其次是利用常见的应用软件漏洞进行攻击。如, 利用网络中的视频软件, 各种在线工具的浏览器插件等。攻击者利用这些应用软件存在的漏洞, 在其中植入各种木马和病毒。
1.3 使用虚假信息或者克隆方式进行攻击
这类网络钓鱼的攻击方法主要采用假冒的方式[4], 如采用假电子邮件、虚假聊天室、假短信、虚假搜索引擎搜索排名等。
用户经常收到垃圾邮件, 有些垃圾邮件的标题具有诱惑性的词语, 用户容易打开, 并且在邮件正文里面也有类似的词语和图片, 有的还有一些超链接, 当用户点击其中的图片或者链接时, 网页会跳到攻击者设置好的恶意网页。这些网页有的克隆某个正规网页, 用户很容易中招。
社交网站也是恶意攻击者攻击的重点, 他们通过社交网络上的聊天工具, 留言等方式发布信息, 这些信息常常带有吸引人的文字投用户所好, 如用户比较喜欢中奖、免费活动和优惠活动等信息, 恶意攻击者就用这样诱人的语言引诱用户来点击链接, 这些链接的目的地就是网络钓鱼网站或者是木马。
克隆方式的网络钓鱼更具有欺骗性, 恶意攻击往往正规网站, 让用户防不胜防。如仿冒某个电子商务网站或者政府网站。不仅内容相同, 而且其他的也很类似, 特别是域名, 如包含部分正确的域名, 或者与正确域名相似, 这种方式往往通过修改正确的域名的某一个字母或构造与其相似的字母来欺骗用户。例如攻击者仿冒一个中国银行的网站, 他们会围绕中国银行域名中的boc来迷糊用户, 如变为boe、.bec、boci、iboc等。用户看到这样的域名, 以为是中国银行网站。
2 网络钓鱼识别技术
目前已经研究了许多网络钓鱼的防范软件, 有专门防钓鱼软件, 也有将防钓鱼功能嵌入到浏览器中。这里主要分析嵌入到浏览器中的防钓鱼网站所采用的技术和方法。
网络钓鱼攻击的最终实体为钓鱼网站, 攻击者利用伪造与合法网站极为相似的钓鱼站点, 诱使用户提交自己的敏感信息。因此最为广泛的约鱼攻击识别防范技术是基于网站或者URL的分析技术。
当用户浏览网页, 首先用黑名单和白名单的过滤方法, 再结合的URL地址对用户浏览的网页进行URL拦截。黑名单表示潜在的危险或不受欢迎的消息, 如垃圾邮件。如果发信人的IP地址在黑名单中, 其发送的消息将认为是垃圾, 直接拒收。白名单表示消息是可靠的。采用黑白名单机制可以实现网络钓鱼攻击防范中拦截功能。该方式通过将提出请求访问的URL与存储列表中的URL进行比较, 然后再判断该URL的访问请求是否得以通过。白名单中包含了可以通过访问请求的URL列表, 黑名单中包含了所有需要拦截的URL列表。目前很多浏览器使用了这项防范方法, 如微软Internet Explorer、360浏览器、搜狐浏览器、Mozilla的Firefox浏览器、谷歌的Chrome浏览器以及Opera浏览器等增加了反钓鱼安全保护功能。
2.1 钓鱼网站的特征
如果网络钓鱼网站不在黑白名单之列, 则需要进行检测。通过提起网络页面中的特征, 这些特征可以区别正常网站和钓鱼网站。钓鱼网站与正常网站具有下面的不同特征。
(1) 不同的域名地址。网站的域名是唯一的, 正常网站和钓鱼网站的域名存在差异, 有的钓鱼网站直接采用IP地址形式, 有的钓鱼网站则采用与正常网站非常相似的域名。 (2) 不同的链接URL。正常网站的Anchor对象是指向页面文件所在的域内, 这个域与网站声称的所有者所在的域一致。但是钓鱼网站存的Anchor对象指向则不同, 它们可能没有指向, 也可能指向不同的域。 (3) 不同的表单。正常网站上的<form>元素的action属性也常常指向网站文件所在的域, 这个域与所有者的域一致。但是钓鱼网站的该属性的指向也不同, 常常指向不同的域或者指向为空。 (4) 不同的资源引用。正常网站上的可引用资源的对象大多数来自网站文件所在的域, 但钓鱼网站中这些对象很多指向不同, 它们指向不在同一个域内。 (5) 不同的Cookie。正常网站和钓鱼网站中Cookie的内容是不同的, 正常网站通常将自身的域名写入到cookie中。但是网络钓鱼网站通常会在cookie中设置其想伪装的合法站点的域名, 这就会导致与钓鱼网站文件所在域的域名不一致。
2.2 钓鱼网站识别
首先要提取网页的特征, 网页的特征包括:网页的URL、DOM、身份信息以及其他信息如安全证书、Cookie信息等。如URL包含了协议、用户名、密码、域名、路径、端口号、目录、文件名、参数、值、特殊符号等特征;DOM包含了文件、元素、文本、属性、处理指令、批注、CDATA区段、文件类型实体、标签等;身份信息包含了网页ICP证号、版权信息、注册信息。其次是构建钓鱼网站的特征向量。如包括URL的基本特征向量、URL关系特征向量、网页内容的特征向量。在钓鱼网站中, URL的基本特征如URL中包含了IP地址、在域名中包含“@”字符、域名长度和点分隔数个数与正常网站不同。URL关系特征主要包括钓鱼网站的Page Rank值相对较小, 该值表示网站的权重;另外钓鱼网站域名使用时间较短, 各类网络搜索排名都比较低。钓鱼网页内容的特征主要包括图片常常链接到域外;钓鱼网页的HTML文档中或是其目的指向的网页文档中必定会含有Form元素表单, 另外钓鱼网站的空链接和外域链接多。再根据选择的网页特征, 通过已有的钓鱼网站检测特征对识别钓鱼网站的贡献度。这个过程可以采用神经网络方法, 也可以采用信息熵方法。这个过程包括子集产生、评价、和验证。首先从特征初始集中产生出一个子集, 然后选择一个合适的评价函数对该子集进行评价, 并将评价结果与停止准则比较, 若已达到停止标准则退出, 否则继续进行下一轮的特征选择并产生下一组子集, 重复上述选择过程, 直到选出合适的子集为止。最后是钓鱼网站的识别。根据钓鱼网站特征对比要分析的网站, 检测是否满足钓鱼网站的特征。如果这些特征相同则是钓鱼网站, 如果不同就不是钓鱼网站, 这个过程就是相似度比较过程。
3 结论
现在人们越来越依靠互联网和移动互联进行工作、生活和娱乐, 互联网给人们带来便利的同时, 也给不法分子提供了骗人的场所, 特别是网络钓鱼现象已经严重威胁了人们的财产安全。本文通过分析网络钓鱼的攻击方式, 阐述了网络钓鱼的检测方法。可以看到, 虽然攻击者采用不同的钓鱼方式, 但最终的目的是让用户浏览他们事先设计好的网页, 通过该网页来骗取用户的敏感信息, 因此网络钓鱼检测方法是根据钓鱼网站和正常网站的特征, 提取它们的特征向量, 通过比较分析特征向量来判断是否为钓鱼网站。
摘要:钓鱼网站是指攻击者利用各种手段仿冒正规的各类网站, 目的是骗取用户的敏感信息, 如用户的账号和密码, 钓鱼网站已经严重威胁了用户的财产安全。本文通过分析网络钓鱼网站的攻击方式, 阐述了网络钓鱼网站的识别方法, 即根据钓鱼网站的网页的特征, 构建钓鱼网站的特征向量, 通过已有的钓鱼网站检测特征对识别钓鱼网站的贡献度, 确定各个特征向量的权重, 再根据这些特征向量比较检测网页的相似度, 从而能够鉴别钓鱼网站。
关键词:网络钓鱼,网页,特征值,识别
参考文献
[1]Khonji M, Iraqi Y, Jones A.Lexical url analysis for discriminating phishing and legitimate websites[C]//Proceedings of the 8th Annual Collaboration, Electronic messaging, Anti-Abuse and Spam Conference.ACM, 2011:109-115.
[2]殷水军, 刘嘉勇, 刘亮.针对Web-mail邮箱的跨站网络钓鱼攻击的研究[J].通信技术, 2010, 8.
[3]Afroz S, Greenstadt R.Phishzoo:Detecting phishing websites by looking at them[C]//Semantic Computing (ICSC) , 2011 Fifth IEEE International Conference on.IEEE, 2011:368-375.
网络攻击技术——拒绝服务 篇7
关键词:DOS,攻击,拒绝
最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求,如图1所示。
1 分布式拒绝服务
DDoS(分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,
一个比较完善的DDoS攻击体系分成三层,如图2。
1)攻击者:攻击者所用的计算机是攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。
2)主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。
3)代理端:代理端同样也是攻击者侵入并控制的一批主机,它们上面运行攻击器程序,接受和运行主控端发来的命令。代理端主机是攻击的执行者,由它向受害者主机实际发起攻击。
2 DDoS的主要攻击方式及防范策略
2.1 死亡之ping(ping of death)
由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方宕机。
2.2 SYN Flooding攻击
对Windows NT攻击很有效,使用一个伪装的地址向目标计算机发送连接请求叫做IP欺骗技术。当目标计算机收到这样的请求后,就会使用一些资源来为新的连接提供服务,接着回复请求一个肯定答复(叫做SYN-ACK)。由于SYN-ACK是返回到一个伪装的地址,没有任何响应。于是目标计算机将继续设法发送SYN-ACK。一些系统都有缺省的回复次数和超时时间,只有回复一定的次量、或者超时时,占用的资源才会释放。NT设罢为可回复5次,每次等待时间加倍:则:3+6+12+24+48+96=189S
2.3 Land攻击
在Land攻击中,一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址,此举将导致接收服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
2.4 Smurf攻击
基于互联网控制信息包(ICMP)的Smurf攻击是一种强力的拒绝服务攻击方法,主要利用的是IP协议的直接广播特性。Smurf攻击对被攻击的网络,以及被利用来做扩散器的网络都具有破坏性。在这种拒绝服务攻击中,主要的角色有:攻击者、中间代理(也就是所说的扩散器);牺牲品(目标主机)。
2.4.1 Smurf攻击的过程
Smurf攻击并不十分可怕;它仅仅是利用IP路由漏洞的攻击方法。攻击通常分为以下五步:
1)锁定一个被攻击的主机(通常是一些Web服务);
2)寻找可做为中间代理的站点,用来对攻击实施放大(通常会选择多个,以便更好地隐藏自己,伪装攻);
3)黑客给中间代理站点的广播地址发送大量的ICMP包(主要是指Ping echo包)。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址;
4)中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包;
5)中间代理主机对被攻击的网络进行响应。
2.4.2 防止你的网络遭受Smurf攻击
首先,千万不能让你的网络里的人发起这样的攻击。在Smurf攻击中,有大量的源欺骗的IP数据包离开了第一个网络
通过在路由器上使用输出过滤,你就可以滤掉这样的包,从而阻止从你的网络中发起的Smurf攻击。
在路由器上增加这类过滤规则的命令是:
Access-list 100 permit IP{你的网络号}{你的网络子网掩码}any
其次,停止你的网络做为中间代理。如果没有必须要向外发送广播数据包的情况,就可以在路由器的每个接口上设置禁止直接广播,命令如下:
2.5 Fraggle攻击
Fraggle攻击与Smurf攻击类似,但它使用的不是ICMP,而是UDP Echo。
可以在防火墙上过滤掉UDP应答消息来防范
2.6 炸弹攻击
炸弹攻击的基本原理是利用工具软件,集中在一段时间内,向目标机发送大量垃圾信息,或是发送超出系统接收范围的信息,使对方出现负载过重、网络堵塞等状况,从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件炸弹、聊天室炸弹等。
防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
3 配置路由器、防火墙和入侵检测系统来抵御DDoS攻击
3.1 抵御Smurf
1)确定是否成为了攻击平台:对不是来自于内部网络的信息包进行监控;监控大容量的回音请求和回音应答信息包。
2)避免被当做一个攻击平台:在所有路由器上禁止IP广播功能;将不是来自于内部网络的信息包过滤掉。
3)减轻攻击的危害:在边界路由器对回音应答信息包进行过滤,并丢弃;对于Cisco路由器,使用CAR来规定回音应答信息包可以使用的带宽最大值。
3.2 抵御trinoo
1)确定是否成为了攻击平台:在master程序和代理程序之间的通讯都是使用UDP协议,因此对使用UDP协议(类别17)进行过滤;攻击者用TCP端口27655与master程序连接,因此对使用TCP(类别6)端口27655连接的流进行过滤;master与代理之间的通讯必须要包含字符串“l44”,并被引导到代理的UDP端口27444,因此对与UDP端口27444连接且包含字符串“l44”的数据流进行过滤。
2)避免被用作攻击平台:将不是来自于你的内部网络的信息包过滤掉。
3)减轻攻击的危害:从理论上说,可以对有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列进行过滤,并丢弃它们。
3.3 抵御TFN和TFN2K
1)确定是否成为了攻击平台:对不是来自于内部网络的信息包进行监控。
2)避免被用作攻击平台:不允许一切到你的网络上的ICMP回音和回音应答信息包,当然这会影响所有要使用这些功能的Internet程序;将不是来源于内部网络的信息包过滤掉。
3.4 抵御Stacheldraht
1)确定是否成为了攻击平台:对ID域中包含值666、数据域中包含字符串“skillz”或ID域中包含值667、数据域中包含字符串“ficken”的ICMP回音应答信息包进行过滤;对源地址为“3.3.3.3”的ICMP信息包和ICMP信息包数据域中包含字符串“spoofworks”的数据流进行过滤。
2)避免被用作攻击平台:不允许一切到你的网络上的ICMP回音和回音应答信息包,当然这会影响所有要使用这些功能的Internet程序;将不是来源于内部网络的信息包过滤掉;将不是来源于内部网络的信息包过滤掉。
4 总结
网络安全中,拒绝服务攻击以其危害巨大,难以防御等特点成为黑客经常采用的攻击手段。本文从原理、对网络的危害以及防范方法上面来分析拒绝服务攻击,如何防范拒绝服务攻击。
参考文献
[1]赵安军.网络安全技术与应用[M].北京:人民邮电出版社,2007.
[2]俞承杭.计算机网络与信息安全技术[M].北京:机械工业出版社,2008.
网络攻击技术与网络安全探析 篇8
如今,互联网信息技术在社会的各领域起到不可替代的重要作用。在社会经济领域,各部门之间通过应用互联网技术对信息进行及时、有效的交换,从而合理配置社会资源,促进社会经济发展。在人们日常生活中,互联网技术的应用使得人们相互之间联系便捷,克服区域的局限性。但网络攻击时时存在,影响着社会生活的方方面面,我们必须加以重视。
1 网络攻击的含义及分类
所谓网络攻击,就是黑客利用计算机系统漏洞、木马病毒等手段对特定目标进行攻击,从而获取所需信息的行为。网络攻击主要分为两类,主动攻击与被动攻击。黑客通过技术手段对所需信息就行非法访问的行为叫做主动攻击。而被动攻击侧重于对信息的收集,其隐蔽性较高,用户一般难以察觉。
2 常用的网络攻击技术
网络攻击技术手段多样且更新换代速度较快,技术的不断发展对攻击者水平的要求不断降低,危害进一步扩大。现在,互联网上经常遇到的网络攻击技术主要有以下几类。
2.1 解码类攻击
在网络上,一般通过木马病毒获得用户的密码文件。然后使用口令猜测程序对用户的账号和密码进行破解。此类攻击对技术的要求较低,是较为常见的网络攻击手段。
2.2 未授权访问攻击
随着技术的不断升级,我们使用的计算机操作系统复杂性不断增强,在方便我们操作使用的同时,也为网络攻击埋下隐患。攻击者通过系统本身隐藏的漏洞、系统管理策略的疏忽等对系统进行攻击,从而获取计算机的最高权限。这类攻击隐蔽性较高,通常在人们没有察觉的时候,手中的计算机就成为了黑客的傀儡机。
2.3 电子邮件类攻击
随着网络的不断普及,电子邮件逐步取代传统的信件,成为我们日常通讯中越来越重要的通讯方式。电子邮件类的攻击主要是电子邮件炸弹,其通过垃圾邮件的大量发送使得目标邮箱的空间撑爆。当攻击目标众多,垃圾邮件的发送量巨大时,会导致电子邮件系统的工作运行迟缓、瘫痪,从而导致用户不能进行邮件的收发。
2.4 无线互联功能的计算机及其外围设备窃密
通信技术的发展使得无线网络的覆盖范围不断扩大,无线网络带给人们方便、便捷的同时,其本身具有的开放性特征使得信息传输的安全性大为降低。即便是使用了加密技术,信息也能够被破解,这容易造成用户信息的泄露。
当前社会,主流高端的笔记本电脑的标准配置的是迅驰移动计算机技术,通过此技术的应用,笔记本能够实现无线网络的自动寻址与连接,而且具有相同工具的计算机之间也能进行网络互连,其有效具有为100米。此类技术的应用使得处理信息的速度与便捷性进一步提高,但是搭配此类技术的笔记本电脑在处理涉密信息时,容易因无线网络的自动互联而造成泄密,且隐蔽性高,不易察觉。而安装有Windows操作系统并具有无线联网功能的笔记本电脑只要上互联网或被无线互联,其系统本身具有的漏洞就很容易导致计算机权限被黑客窃取,黑客通过权限将笔记本的麦克风开启,从而造成泄密。
2.5 网络攻击者通过网络监听进行攻击
在互联网时代,用户使用计算机上网时,其主机通过网络监听对本机的网络状态、信息传输和数据流情况进行监听。作为主机服务用户的模式,网络监听有效为用户网络冲浪进行服务,但攻击者通过相应的工具把目标主机的接口设为监听模式能对传输的信息就行捕获,从而获得目标的用户权限,进而实施攻击。
3 网络安全防护措施
3.1 完善计算机与网络管理制度
对保密性较强的部门或企业,应对计算机使用实施完善的管理制度,做到预防为主。对涉密计算机要严格按照相关规定进行使用,不能把涉密计算机与互联网进行关联,并做好相应的物理隔绝措施。对系统更新的补丁,我们应做到及时安装,从而完善系统漏洞,提高防御水平。实施完善的管理制度对相关部门和企业的意义重大,能够较为有效的防止涉密信息的流失。
3.2 合理使用防护软件保护计算机
计算机的使用者应及时下载、使用合法的防护软件,做好完善的预防措施。在互联网时代,计算机防火墙能有效防止网络黑客的攻击,对木马等病毒及时识别与隔离。防火墙可以看做是网络防护的城墙,能对来自互联网的入侵做到及时识别,并将之拒之门外,从而有效保护计算机的安全。
3.3 整体防护措施
由于互联网攻击手段多样,单一的使用防护软件并不能对计算机网络进行全面的防护。只有对计算机实行整体防护措施,才能有效保护计算机信息安全。整体防护措施通过将反应性与主动性两种防护措施进行有机结合,有层次、分级别的对网络及终端进行保护,具有互操作、集成和管理方便的特点。对计算机进行整体防护,应做到创建、部署、管理和报告与终端防护和终端遵从相关的各类终端安全活动。通过各类防护措施的整体使用与相互结合,形成有效的综合防护措施。
3.4 借助 GTI 系统
所谓GTI,即全球威胁智能感知系统。系统主要由四类信誉库组成,即全球网址信誉库、全球网址分类库、全球邮件消息信誉库和全球网络链接信誉库。此系统对世界各地收集的威胁信息进行综合整理,并实时进行更新。应用此系统,能有效防止大部分网络攻击,预警及时有力。
3.5 应用加密技术
进行网络连接时,我们可以运用加密技术对IP进行加密。这样可使数据传输的保密性与真实性得到有效提高,从而保证数据安全。相对于防火墙,此类技术具有灵活性的有力优势,能够积极、有效地保护用户的静态信息安全。
3.6 运用入侵检测技术
IDS又称为入侵检测系统,此系统通过对网络数据信息的搜集、整理、分析,进而判定是否属于网络攻击,对网络攻击实时进行驱逐。运用此类技术,即可对主机与网络兼得行为进行及时有效地监测,又可对外来攻击及入侵实时进行预警与防护。此系统能有效提高计算机的网络防护能力,相对于防火墙, 此系统能做到智能分析,对网络攻击进行实时驱逐。而且,IDS技术能将受到攻击后的计算机进行受损检测,并将攻击者数据及相关特征、信息添加到相应数据库中,从而对同类型的攻击进行规避,有效提高计算机防护能力。
3.7 对人员进行有效的技术培训
针对于计算机网络攻击的多样性与危害性,我们应对相关人员进行有效的培训,提高人员应对攻击的能力。针对不同类型的网络攻击,我们应及时进行整理分析,得到最有效的防御措施,形成相应的防范规则手册。做到遇到攻击不盲目应对,从而提高防范水平。
4 结语