网络攻击源

网络攻击源（精选8篇）

网络攻击源 篇1

0 引言

无线自组织网络是具有无线通信能力的节点组成的具有任意和临时性网络拓扑的动态自治网络系统, 其中每个节点的角色既是主机也是路由器。这种组网方式以其部署快速灵活、无需基础设施、组网成本低等优点而具有广阔的应用前景。随着各种无线自组织网络的应用范围不断扩大, 其面临的安全问题也日益凸显。开放的无线信道、有限的带宽资源、动态变化的网络拓扑等无线自组织网络所具备的特点使得它比传统的有线固定网络更容易遭受攻击且更难防御。无线自组织网络的安全研究面临着许多新的挑战[1]。

在无线自组织网络面临的各种安全威胁中, 拒绝服务Do S攻击是最难防御的一种攻击形式。拒绝服务攻击是指攻击者通过非法占用或消耗有限的服务资源, 使被攻击主机或网络丧失或降低为合法用户提供服务能力的一种攻击形式。攻击者还常常通过控制大量的傀儡主机同时发起这种攻击, 从而形成威力更强、破坏性更大的分布式拒绝服务DDo S攻击。据统计, DDo S攻击已给Internet造成了严重的经济损失[2]。由于与Internet相比无线自组织网络的网络和节点资源更加有限, 所以其更容易遭受DDo S攻击[3]。其中资源消耗型的DDo S攻击由于实施简单、不易防御而逐渐成为无线自组织网络中攻击的主流形式, 例如剥夺睡眠攻击、泛洪攻击[4,5]等。

“攻击源追踪技术”是抵御DDo S攻击的一种重要方法。所谓“攻击源追踪”是指根据有关信息定位攻击的来源, 推断出攻击者的位置和攻击路径。根据追踪结果, 防御者不仅可以有针对性地从攻击的源头实施防御措施, 例如将攻击者隔离出网络从而摆脱被动挨打的局面。而且, 成熟的攻击源追踪系统对攻击者也能起到一定的威慑作用, 使其不敢轻举妄动, 从一定程度上能遏制网络攻击不断蔓延的趋势。已有的研究成果[6]表明追踪技术确能有效地改善防御效果。因此, 攻击源追踪技术逐渐得到研究者的广泛关注, 成为一个热点研究问题。

1 Ad hoc网中攻击源追踪技术研究综述

Internet中DDo S攻击源追踪技术的研究起步较早, 研究者相继提出了多种追踪方法[7]。无线自组织网络中的攻击源追踪技术研究起步相对较晚。Vrizlynn L.L.Thing等最早对几种主流Internet追踪方法在无线自组织网络中的适用性进行了研究[16]。之后, 对无线自组织网络中的攻击源追踪研究越来越多, 但大多还是沿用了Internet中的追踪方法, 和Internet中自动追踪方法类似, 主要分为路由器日志法、基于ICMP扩展的追踪方法、包标记法等等。

1.1 路由日志法

路由器日志法是通过将用户的网络行为信息以日志的形式记录在路由器或特定的日志数据库中, 并通过查询日志的方式获取追踪所需的信息。其工作原理如图1所示。Internet中路由器日志法的典型代表包括基于Center Track[8]方法、Snoeren等提出的SPIE (Source Path Isolation Engine) 方法[9]、以及对SPIE的一系列改进方法等[10,11,12]。

目前已有一些研究提出在自组织网络中也使用该方法实现追踪, 包括Huang等提出的Hotspot方法[17]、Sy等提出的CAP-TRA方法[18], 以及Kim等针对基于分簇结构的MANET提出的方法[19]。总的来说这些方法基本上还是继承了SPIE方法的思想。

虽然这种方法具有追踪速度快的优点, 但它对节点的存储空间要求很高。即使采用诸如Bloom Filter这样的数据结构可以不用保存完整的报文[9], 但也需要占用大量的节点计算和存储资源。而且, 由于存储空间有限, 节点所记录的信息只能保留小段时间用于追踪。这些缺点使得这些方法对于节点资源受限的无线自组织网络来说并不实用。

1.2 基于ICMP的追踪方法

基于ICMP的追踪方法主要通过路由器以ICMP报文的形式向受害者主动发送节点信息的方式为追踪提供信息来源[13]。图2为基于ICMP的追踪方法原理图。

Vrizlynn L.L.Thing等针对自组织网络提出了基于ICMP-CP的追踪方法[20]。这种方法的缺点是用于追踪的i Trace消息会产生额外的网络开销。这一点对于网络带宽资源有限的无线网络来说是不利的, 更何况在DDo S攻击发生时如何有效地将i Trace消息传送到被攻击者也是一个问题。另外, 这种方法的追踪速度也不可能太快。因为, 每个节点发送ICMP追踪消息的频率不可能太高, 否则会占用更多的带宽。Kim等基于Small World概念提出了类似的基于流量特征的追踪方法[21,22]。该方法的前提是攻击流与正常流在特征上有明显的区别, 这对于一些狡猾的低速率攻击可能效果不佳。而且保存流量特征数据也需要占用节点的存储资源, 另外针对DDo S攻击的多源追踪也很困难。

1.3 包标记法

包标记法的基本原理是路由器将追踪所需的信息 (如节点IP地址) 标记在转发的报文中, 随着这些报文一起到达受害者。受害者从这些标记报文中抽取标记信息, 并根据这些标记信息可以重构攻击路径。包标记法又分为确定包标记法[14]和随机包标记法[15]两种。确定包标记法仅能应用于Internet, 因为在Internet中有边缘路由器可以承担包标记的工作, 而自组织网络本身就是无边界的网络, 所以在何处进行包标记很难确定。随机包标记法的原理如图3所示, 其核心思想是:路由节点在转发报文时按照一定的概率将部分路径信息标记在报文中。被攻击者通过收集标记报文中的部分路径信息, 可以重构出完整的攻击路径, 从而达到攻击源追踪的目的。

随机包标记法由于具有节点开销和网络开销都比较小的优点, 所以被研究者广泛应用于无线自组织网络中[23,24,25]。但自组织网络拓扑动态变化的特点对该方法的实际应用带来的负面影响很大, Cheng等[26,27]及杨峰等[28]提出通过缩短追踪算法收敛时间来适应网络拓扑变化。Jin等为了减少动态拓扑对追踪的影响提出了一种基于区域采样的ZSBT追踪方法[29]。这种方法将网络划分成若干区域, 标记报文时不再标记节点ID, 而是标记区域ID。该方法的追踪效果与区域的划分策略有很大关系, 而且追踪精度有待提高。Yang等[30]提出通过记录网络拓扑快照来校准追踪结果, 但这种方法局限于使用DSR路由协议的网络。Das等[31]基于代数追踪方法提出通过增量式计算来反映拓扑变化, 但这种方法与原方法[32]一样只能适用于Do S攻击的单源追踪。此外, 自组织网络动态变化的拓扑使得PPM收敛难度加大, 从而导致追踪时间很长或难以完成追踪。

目前国内在这方面的研究工作大部分主要集中于Internet中的DDo S攻击源追踪技术研究。主要的研究工作包括:中科院研究组在追踪速度和准确率等方面的研究[33,34,35];吉林大学研究组在实时追踪方面的研究工作[36];北航研究组在提高追踪准确率方面的研究[37];以及复旦大学研究组在追踪速度和追踪技术应用方面的工作[38]。除此之外, 也有许多独立的研究者开展了相关的研究工作[39,40,41]。

2 面临的问题与挑战

根据上述对国内外相关研究现状分析可以看出:目前, 本领域的研究工作主要还集中在Internet的DDo S攻击源追踪技术研究上, 而关于无线自组织网络中的DDo S攻击源追踪技术研究还不成熟。由于无线自组织网络与Internet有着显著的区别, 传统的追踪方法一般都无法直接应用于无线自组织网络或应用效果不佳。表1分析了各种攻击源追踪方法的性能, 以及不适用于无线自组织网络的原因。

无线自组织网络自身的一些特点对追踪方法的研究提出了更大的挑战。本文对无线自组织网络中的攻击源追踪技术研究所面临的问题和挑战同样进行了分析, 主要表现在以下几个方面。

(1) 无线自组织网络与传统的有线网络相比对追踪方法研究的约束条件更多, 例如节点的计算资源和能源供给有限, 网络带宽资源也很有限, 这些约束条件要求追踪方法一方面要尽量轻量, 另一方面需要进一步提高追踪效率以适应这些约束条件。

(2) 需要根据自组织网络自身的一些特点提出一些新型的追踪方法。例如, 自组织网络动态变化的拓扑结构就给随机包标记法的应用带来了很大的困难。虽然基于Overlay构建的稳定拓扑能够从一定程度上改善传统随机包标记法的追踪效果[42], 但该方法对复杂的网络变化情况适应能力有限, 仍不能从根本上解决问题。因此, 需要我们根据这些新特点设计适合自组织网络的新型追踪方法。

(3) 自组织网络中节点的自主性和不可信给追踪系统的安全保障带来了很大困难。我们知道在各种传统追踪方法中路由器在追踪过程中起到非常关键的辅助作用, 由于Internet中的路由器一般被ISP运营商控制, 所以这些中间结点的安全性较高, 而对于这些节点的信任也正是现有各种追踪方法的假设前提。但是在自组织网络中每个节点都是一个独立的自主个体, 可能本身就是攻击者或已经被攻击者“俘获”成为共谋者, 因此节点的不可信将会给追踪的安全保障带来新的挑战。

(4) 目前提出的一些针对无线自组织网络的追踪方法仍然需要依赖于某种特定的自组织网络结构或路由协议, 适用面不广。例如Kim等[19]及Cheng等[27]提出的追踪方法只能适用于基于分簇的层次结构自组织网络, 再如Yang等[30]提出的方法需要依赖于DSR路由协议等。因此, 新型追踪方法需要独立于具体的网络结构或协议, 提高对各种网络的兼容性。

上述问题都给无线自组织网络中的DDo S攻击源追踪技术研究带来了新的挑战。目前在这方面的研究探讨还比较少, 有待更多的研究者更系统深入地研究。

3 结语

随着大规模的无线Mesh网络逐步与Internet对接融合, 仅仅研究Internet中的DDo S攻击源追踪问题已明显不够, 因此无线自组织网络中的DDo S攻击源追踪技术研究也亟待深入开展。而国内外对于这方面的研究离实际应用要求还相距甚远, 仍有很多问题需要解决。追踪方法对无线自组织网络特点的适应能力将是研究的重点, 新的思路需要被提出。此外, 追踪效率、追踪过程的安全保障等方面还有很多关键的理论和技术问题需要解决, 亟需更系统和深入的研究。

网络攻击的种类分析 篇2

摘要：随着INTERNET的进一步发展，各种网上活动日益频繁，尤其网上办公、交易越来越普及，使得网络安全问题日益突出，各种各样的网络攻击层出不穷，如何防止网络攻击，保护个人、单位的网络环境变得尤为重要。

关键词：网络攻击种类

1网络攻击概述

网络安全是一个永恒的话题，因为计算机只要与网络连接就不可能彻底安全，网络中的安全漏洞无时不在，随着各种程序的升级换代，往往是旧的安全漏洞补上了，又存在新的安全隐患，网络攻击的本质实际上就是寻找一切可能存在的网络安全缺陷来达到对系统及资源的损害。

网络攻击一般分为三个阶段：

第一阶段：获取一个登录账号对UNLX系统进行攻击的首要目标是设法获取登录账号及口令，攻击者一般先试图获取存在于/etc/passwd或NIS映射中的加密口令文件，得到该口令文件之后，就对其运行Crack，借助于口令字典，Crack甚至可以在几分钟内破译一个账号。

第二阶段：获取根访问权进入系统后，入侵者就会收集各种信息，寻找系统中的种种漏洞，利用网络本身存在的一些缺陷，设法获取根访问权，例如未加限制的NFS允许根对其读和写。利用NFS协议，客户给与服务器的安装守护程序先交换信息，信息交换后，生成对NFS守护程序的请求，客户通过这些请求对服务器上的文件进行读或写操作。因此，当客户机安装文件系统并打开某个文件时，如果入侵者发出适当各式的UDP数据报，服务器就将处理NFS请求，同时将结果回送客户，如果请求是写操作，入侵者旧可以把信息写入服务器中的磁盘。如果是读操作，入侵者就可以利用其设置于服务器和客户机之间的窥探器了解服务器磁盘中的信息，从而获得根访问

第三阶段：扩展访问权一旦入侵者拥有根访问权，则该系统即可被用来供给网络上的其他系统。例如：可以对登录守护程序作修改以便获取口令：增加包窥探仪可获取网络通信口令：或者利用一些独立软件工具动态地修改UNLX内核，以系统中任何用户的身份截击某个终端及某个连接，获得远程主机的访问权。

2攻击的种类及其分析

普通的攻击一般可分以下几种：

2.1拒绝服务攻击拒绝服务攻击不损坏数据，而是拒绝为用户服务，它往往通过大量不相关的信息来阻断系统或通过向系统发出会，毁灭性的命令来实现。例如入侵者非法侵入某系统后，可向与之相关连的其他系统发出大量信息，最终导致接收系统过载，造成系统误操作甚至瘫痪。这种供给的主要目的是降低目标服务器的速度，填满可用的磁盘空间，用大量的无用信息消耗系统资源，是服务器不能及时响应，并同时试图登录到工作站上的授权账户。例如，工作站向北供给服务器请求NlSpasswd信息时，攻击者服务器则利用被攻击服务器不能及时响应这一特点，替代被攻击服务器做出响应并提供虚假信息，如没有口令的纪录。由于被攻击服务器不能接收或及时接收软件包，它就无法及时响应，工作站将把虚假的响应当成正确的来处理，从而使带有假的passwd条目的攻击者登录成功。

2.2同步(SYN)攻击同步供给与拒绝服务攻击相似，它摧毁正常通信握手关系。在SYN供给发生时，攻击者的计算机不回应其它计算机的ACK，而是向他发送大量的SYN ACK信息。通常计算机有一缺省值，允许它持特定树木的SYN ACK信息，一旦达到这个数目后，其他人将不能初始化握手，这就意味着其他人将不能进入系统，因此最终有可能导致网络的崩溃。

2.3Web欺骗攻击Web欺骗的关键是要将攻击者伪造的Web服务器在逻辑上置于用户与目的Web服务器之间，使用户的所有信息都在攻击者的监视之下。一般Web欺骗使用两种技术：URL地址重写技术和相关信息掩盖技术。

利用URL地址重写技术，攻击者重写某些重要的Web站点上的所有URL地址，使这些地质均指向攻击者的Web服务器。

当用户与站点进行安全链接时，则会毫无防备地进入攻击者服务器。此时用户浏览器首先向攻击者服务器请求访问，然后由攻击者服务器向真正的目标服务器请求访问，目标服务器向攻击服务器传回相关信息，攻击者服务器重写传回页面后再传给用户。此时浏览器呈现给用户的的确是一个安全链接，但连接的对象却是攻击者服务器。用户向真正Web服务器所提交的信息和真正Web服务器传给用户的所有信息均要经过攻击者服务器，并受制于它，攻击者可以对所有信息进行记录和修改。

由于浏览器一般均设有地址栏和状态栏，当浏览器与某个站点连接时，可以在地址栏中和状态栏中获取连接中的Web站点地址及相关的传输信息，用户可由此发现问题，所以一般攻击者往往在URL地址重写的同时，利用相关信息掩盖技术即一般用的JavaScript程序来地址栏和状态栏信息，以达到其掩盖欺骗的目的。

2.4TCP/IP欺骗攻击IP欺骗可发生在IP系统的所有层次上，包括硬件数据链路层、IP层、传输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外，由于用户本身不直接与底层结构相互交流，有时甚至根本没有意识到这些结构的存在，因而对底层的攻击更具欺骗性。

lP欺骗供给通常是通过外部计算机伪装成另一台合法机器来实现的。他能破坏两台机器间通信链路上的正常数据流，也可以在通信链路上插入数据，其伪装的目的在于哄骗网络中的其他机器误将攻击者作为合法机器而加以接受，诱使其他机器向它发送数据或允许它修改数据。

由于许多应用程序最初设计时就是把信任建立于发送方IP地址的薄，即如果包能够使其置身沿着陆由到达目的地，并且应答包也可以回到原地，则可以肯定源IP地址是有效的。因此一个攻击者可以通过发送有效IP源地址属于另一台机器的IP数据报来实施欺骗。

一方面现有路由器的某些配置使得网络更容易受到IP欺骗攻击。例如有些路由器不保护IP包端口源的信息，来自端口的所有lP包被装入同一个队列然后逐个处理。假如包指示IP源地址来自内部网络，则该包可转发。因此利用这一点网络外不用户只要设法表明是一种内部IP地址即可绕过路由器法送报。

另一方面，攻击者使用伪造的IP地址发送数据报，不仅可以获取数据报特有的有效请求，还可以通过预测TCP字节顺序号迫使接收方相信其合法而与之进行连接，从而达到TCP欺骗连接。

3网络上常见的几种攻击方式

3.1密码攻击用户在拨号上网时，如果选择了“保存密码”的功能，则上网密码将被储存在windows目录中，以“username pwl”的形式存放。如果不小心被别人看到这个文件，那就麻烦了，因为从网上可以很轻松地找到诸如pwlview这样的软件来观看其中的内容，那上网密码就泄漏了。

有的人使用名字、生日、电话号码等来做密码，更有的人的密码

干脆和用户名一样，这样的密码，在黑客攻击软件庞大的字典文件面前简直是不堪一击。

3.2木马程序攻击木马程序是一种特殊的病毒，它通过修改注册表等手段使自己悄悄地潜伏在系统中，在用户上网后，种植木马的黑客就可以通过服务器端木马程序控制你的计算机，获取你的口令等重要信息，其危害性非常大。

3.3垃圾邮件攻击垃圾邮件是指向他人电子信箱发送未经许可的，难以拒绝的电子邮件或电子邮件列表，其内容包括广告信息、电子杂志、网站信息等。用户的电子信箱被这些垃圾邮件充斥后，会大大占用网络资源，导致网络阻塞，严重的还会使用户的邮箱被“炸”掉，使邮箱不能正常工作。

3.4通过聊天软件攻击用户在用聊天软件聊天时，黑客用一些小软件就可查出对方聊天者的lP地址，然后通过lP炸弹阮家对用户的机器进行轰炸，使之蓝屏或死机。

4网络攻击的六大趋势

4.1自动化程度和攻击速度提高攻击工具的自动化水平不断提高。自动化攻击涉及四个阶段，每个阶段都出新变化。

扫描可能的受害者。自1997年起，广泛的扫描变得司空见惯。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。

损害脆弱的系统。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。

传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。

攻击工具的协调管理。随着分布式攻击工具的出现，攻击者可以管理和协调公布在许多Internet系统上的大量一部书的攻击工具。目前，分布式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。

4.2攻击工具越来越复杂攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具有三个特点：反侦破，攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；动态行为，早期的攻击工具是以但已确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为；攻击工具的成熟性，与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的功绩，且在每一次攻击中会出现多种不同形态的攻击工具。

4.3发现安全漏洞越来越快新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修复这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

4.4越来越高的防火墙渗透率防火墙使人们牙防反入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙。例如，(IPP Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。

4.5越来越不对称的威胁Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的阿安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技术的提高，威胁的不对称性将继续增加。

4.6对基础设施将形成越来越大的威胁基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统DNS的攻击和对路由器攻击或利用路由器的攻击。

一种追踪DDoS攻击源的算法 篇3

关键词：入侵检测,DDoS,攻击路径

随着互联网络的快速发展,DDo S攻击已成为Internet中最主要的安全威胁之一,越来越多的攻击案例已跨越了多个ISP。DDo S攻击可在世界上任何一个连接Internet的角落发起攻击,随着Internet规模不断拓展,DDo S攻击所跨越的路径将变得更长。在大多数的DDo S攻击事件中,攻击者普遍采用了“源地址欺骗”技术,使得各类基于特征信息过滤的防范手段变得十分有限,因而防范DDo S攻击是非常困难的。一些追踪算法[1,2,3,4,5,6,7]在短距离攻击事件的追踪中有良好的表现,而针对长距离攻击事件的追踪则显得力不从心。

最初的DDo S攻击追踪采用逐跳(Hop by Hop)追踪方法,例如链路测试,从最接近被攻击的路由器开始,测试其上游所有链路,找出是哪一个链路传输了攻击的数据流,然后在上一级路由器重复该过程,直到发现攻击源。由于该方法极大地依赖ISP和网络管理员的配合,人工成本很高,难以实现。

目前针对DDo S攻击源追踪主要为基于因特网层面的全局范围解决方案和基于ISP层面上的有限范围解决方案[1]。前者修改Internet中所有的路由器协议,需要路由器厂商和ISP支持,参与追踪算法的实施;后者能有效跟踪ISP内部攻击事件,但难以处理跨ISP的DDo S攻击事件。基于显式的ICMP traceback消息的追踪方案利用ICMP分组包来发送标记消息[2],而路由器以低概率从其转发的路由分组中取一个样本,目的节点根据收到的信息来重构攻击路径,但需防止攻击者发送假的ICMP traceback报文。类似于ICMP traceback,基于概率数据包标记(PPM)方案[3]在数据包到达路由器时,以某种概率来标记数据包的部分路径信息,当被攻击主机收到的带有标记信息的数据包达到一定数量时,可通过分析来恢复和构建完整的攻击路径。该方法能实现事后追踪,降低系统负载,且不会增加所传送数据包的大小。但数据包标记很容易被攻击者利用,当对付少量攻击包且高度分散的DDo S攻击时,假阳性概率会很高。对于一个平均攻击长度为25的25个用户发动的DDo S攻击事件,如采用PPM算法,被攻击主机需要花费数天的时间才能找到大致的攻击路径,而这里面还包含了一定数量的假阳性路径。

本文提出了一个追踪DDo S攻击源的算法,将攻击源快速锁定到规模相对较小的AS实体中,确定攻击源所属的AS自治域系统。由入侵检测系统的网络数据包采集器负责对网络中传输的报文进行监听、过滤、记录数据包信息,采集到的数据经加工处理后,识别并记录攻击行为或异常情况,对网络事件进行相关性分析,形成入侵攻击报警信息数据,再读取数据库的相关入侵攻击数据,对入侵攻击的路径路由进行反追踪以形成有效的入侵攻击路径路由图,从而实现入侵追踪定位的目标任务。

1 追踪处理框架

数据的采集由入侵检测系统的网络数据包采集器负责对网络中传输的报文进行监听、过滤、记录数据包信息,能够对内外网同时监控,为了更有效的采集数据,选取对主机的各种端口和网络关键节点的数据采集相结合。

入侵检测先集中采集数据,再用各种协议对数据分类,利用异常检测技术对数据源检测,如果发现有DDo S攻击行为,把结果反馈给用户,让用户决定是否进行追踪。DDo S攻击在时间上不是孤立产生的,在各个端点采集到的数据之间都有联系。新的入侵类型出现时,只要在控制中心在一定时间间隔内刷新规则库,具有很强的灵活性。

追踪攻击源对内网采用IP与MAC地址绑定的方式,对于外网采取经过路由器的数据包进行概率性的标记并记录。追踪基于Hash函数的SHTE引擎,首先扫描IDS检测到的攻击包,在查询中心查找需要的数据包头并进行综合分析,再对取得的路径信息用重构路径中心回溯攻击源路径。追踪后由用户决定是否对攻击源采取措施,警告攻击源、断开攻击源的连接或关闭对它开放的资源。

追踪定位读取入侵攻击报警数据库中的报警信息,其中包括入侵攻击源的IP地址,利用IP地址作为查询关键字,在注册设备信息数据库进行搜索查询相关入侵攻击者信息。如果入侵源IP地址存在于入侵攻击报警数据库,则输出入侵攻击报警数据库中的报警信息,否则输出警告信息。

注册设备信息数据库中入网注册主机信息包括设备主机IP地址、MAC地址、使用者相关资料等信息。网络入侵检测抓取网络业务数据后,对其进行预处理分析、决策、融合形成入侵报警信息,存放于入侵报警数据库,把入侵源信息与注册设备信息数据库中的数据进行查询比对,取得入侵攻击源更详细的信息,锁定入侵攻击源目标。

为便于对数据包的分区路由追踪,对入侵检测得到的数据和路由器中对应数据分区保存。由于ISP服务商提供服务的网络拓扑结构非常复杂,必须在网络中布置多个追踪扫描点,每个扫描点在自己的区域内,取得请求的数据包信息,追踪查询中心对这些分散的区域进行数据统计分类,查出在本区域内路由器标记过的数据包摘要信息,用于重构路径。

在锁定攻击源后,逐步追踪至入侵攻击的源头,排除攻击威胁。根据被锁定的攻击源IP地址及MAC地址信息,回溯实施入侵攻击行为走过的路径路由,在查询中心提供数据的基础上,利用拓扑结构图,得到入侵攻

击的路径路由图,以形成有效的虚拟证据链。总体结构框架如图1所示。

2 追踪实现

2.1 追踪DDo S攻击源的算法

构建入侵攻击路径路由利用ICMP包消息传递反向追踪技术,在ICMP包的传递过程中,但其存活时间TTL的值递增得足够大时,可实际抵达目标位置,由于在接收端主机上,没有进程在等待这条消息,会返回一条ICMP“端口访问不到”的消息。可以将ICMP数据包发给目的地(入侵攻击源),同时连续递增更改TTL的值。在TTL“超时”的时候,返回一条ICMP错误消息,对入侵攻击源的反向跟踪其实现入侵攻击所经过的路径路由,从而构建一张入侵攻击路径路由轮廓图。

追踪DDo S攻击源的算法采用PPM算法原理,我们采用标记信息由路由器地址换成了AS编号。由于AS的边界路由器(ASBR是此AS与其它AS之间交换信息的桥梁,任何进出AS的流量都要经过ASBR。追踪DDo S攻击源的算法用来发现DDo S攻击的AS所属源头。按照给定的概率随机把AS编号附加到进出本AS的数据包上,在确定时间段内,包含代表数据包特征信息的AS范围中的特定路由器地址;由被攻击主机重构攻击过程中经过的AS路径,使用AS编号来重构AS路径图。

标记信息获取算法:

路径构建算法:

在输入主机名或IP地址后,开始对入侵攻击源进行反向跟踪,从而构建出一幅入侵攻击路径路由图。例如,某一个入侵攻击源主机地址为11.56.1.212,程序对其进行反向追踪后,得到其入侵攻击某一主机过程中顺次经过的路由为:11.56.1.212→11.56.167.221→11.254.76.66→11.254.99.11→11.254.99.21→11.254.98.55→11.254.16.67→11.135.175.201→11.135.254.97→11.135.253.97→11.138.196.97→11.138.65.252

3.2算法性能分析

由于追踪DDo S攻击源的算法类似标记原理,因此性能分析的理论分析同样适用该算法。被攻击主机在恢复长度为d的攻击路径中所需收到的标记包数量的期望值E(X)<1/p(1-p)d-1。根据该公式计算的结果,当d=6~8时,p分别取0.13~0.17;得到15<=E(X)<=25,即被攻击主机接收到15到25个带标记的数据包就可把攻击路径构建起来。追踪DDo S攻击源算法和PPM算法相比,具有更好的收敛性;特别是标记概率较高时,算法性能更好,p取0.25时PPM算法所需的标记包数量是3601个,而追踪DDo S攻击源的算法的所需的标记包数量则是25个。PPM算法在对于近距离的攻击追踪中有非常好的收敛性。

由于IPV4中的Identification域只有16bit,而追踪DDoS攻击源的算法需要36bit的标记信息,因此采用分段标记策略(FMS)的计算量求解公式:C(k,d)=∑m[i-1].m[i]k(1<=i<=d)。其中,k表示标记信息的分段数量,d表示攻击长度,C(k,d)为发现所有d距离攻击者的计算量。

如表2所示,由于路径长度的减少,重建路径的算法计算量大大减少,重建路径所花的时间也随之大为降低。如采用每秒钟运算速度为100亿次的主流工作站,重建算法耗费的平均时间可以控制在分钟级内,非常便于实时追踪的实现。因此,追踪DDo S攻击源的算法比PPM算法在计算负荷上有更优越的表现。

3结论

本文提出了一个追踪DDo S攻击源的算法,将攻击源快速锁定到规模相对较小的AS实体中,确定攻击源所属的AS自治域系统,对入侵攻击的路径路由进行反追踪以形成有效的入侵攻击路径路由图,从而实现入侵追踪定位的目标任务。与PPM算法相比,在计算负荷上有更优越的表现。下一步的工作需要对下一代网络的支持问题展开进一步的深入研究。

参考文献

[1]Broder A,Mitzenmacher M.Network applications of bloom filters:A survey[J].Internet Mathematics,2005,1(4):485-509

[2]Sohn T,Moon J,LEE S,et al.Covert channel detection in the ICMP payload using support vector machine[M].Berlin:Springer,2003.

[3]Stefan S,David W.Network Support for IP Traceback[J].IEEE/ACM Transactions on Networking,2001,9(3):226-237.

[4]任勋益,王汝传,王海艳.基于自相似检测DDoS攻击的小波分析方法[J].通信学报,2006,27(5):6-11.

[5]任勋益,王汝传,张登银.R/S和小波分析法检测DDoS攻击的研究与比较[J].南京邮电大学学报:自然科学版,2006,26(6):48-51.

[6]张小明,许晓东,朱士瑞.基于Hurst指数方差分析的DDoS攻击检测方法[J].计算机工程,2008,34(14):149-151.

迎战网络恶意攻击 篇4

被攻击后的计算机现象:被攻击主机上有大量等待的TCP连接, 网络中充斥着大量的无用的数据包, 源地址为假, 制造高流量无用数据, 造成网络拥塞, 使受害主机无法正常和外界通讯, 利用受害主机提供的服务或传输协议上的缺陷, 反复高速地发出特定的服务请求, 使受害主机无法及时处理所有正常请求, 严重时会造成系统死机。

如何对付恶意攻击?除了日常要正确安装和使用杀毒软件和及时升级防火墙外, 我们还可以应用更多的方法来防御。

第一个方面:从共享和端口着手

1、查看本地共享资源。运行CMD输入net share, 如果看到有异常的共享, 那么应该关闭。但是有时你关闭共享下次开机的时候又出现了, 那么你应该考虑一下, 你的机器是否已经被黑客所控制了, 或者中了病毒。

删除共享 (每次输入一个)

net share admin$/delete

net share c$/delete

net share d$/delete (如果有e, f, ……可以继续删除)

删除ipc$空连接, 在运行内输入regedit, 在注册表中找到HKEY-LO-CAL_MACHINESYSTEMCurrentControSetControlLSA项里数值名称RestrictAnonymous的数值数据由0改为1。

2、关闭自己的139端口, i pc和RPC漏洞存在于此。关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议 (TCP/IP) ”属性, 进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”, 打勾就关闭了139端口。

防止rpc漏洞, 打开管理工具———服务———找到RPC (Remote Procedure Call (RPC) Locator) 服务———将故障恢复中的第一次失败、第二次失败、后续失败, 都设置为不操作。

3、445端口的关闭。修改注册表, 添加一个键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled为REG_DWORD类型键值为0, 这样就可以了。

4、4899的防范。网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口, 由于这些控制软件功能强大, 所以经常被黑客用来控制自己的肉鸡, 而且这类软件一般不会被杀毒软件查杀, 比后门还要安全。4899不像3389那样, 是系统自带的服务。需要自己安装, 而且需要将服务端上传到入侵的电脑并运行服务, 才能达到控制的目的。所以, 只要你的电脑做了基本的安全配置, 黑客是很难通过4899来控制的。

第二个方面:从系统服务入手。禁用网络攻击可能利用的服务。打开控制面板, 进入管理工具———服务, 关闭以下服务:Alerter[通知选定的用户和计算机管理警报];ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享];Distributed File System[将分散的文件共享合并成一个逻辑名称, 共享出去, 关闭后远程计算机无法访问共享];Distributed Link Tracking Server[适用局域网分布式链接];Human Interface Device Access[启用对人体学接口设备 (HID) 的通用输入访问];IMAPI CD-Burning COM Service[管理CD录制];Indexing Service[提供本地或远程计算机上文件的索引内容和属性, 泄露信息];Kerberos Key Distribution Center[授权协议登录网络];License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止];Messenger[警报];NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集];Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换];Network DDE DSDM[管理动态数据交换 (DDE) 网络共享];Print Spooler[打印机服务, 没有打印机就禁止吧];Remote Desktop Help Session Manager[管理并控制远程协助];Remote Registry[使远程计算机用户修改本地注册表];Routing and Remote Access[在局域网和广域往提供路由服务, 黑客理由路由服务刺探注册信息];Server[支持此计算机通过网络的文件、打印和命名管道共享];Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符];TCP/IPNetBIOS Helper[提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络];Telnet[允许远程用户登录到此计算机并运行程序];Terminal Services[允许用户以交互方式连接到远程计算机];Window s Image Acquisition (WIA) [照相服务, 应用与数码摄像机]。

如果发现机器开启了一些很奇怪的服务, 如r_server这样的服务, 必须马上停止该服务, 因为这完全有可能是黑客使用控制程序的服务端。

第三个方面:从本地安全策略入手

本地策略:这个很重要, 可以帮助我们发现那些居心叵测人的一举一动, 还可以帮助我们将来追查黑客。虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹, 不过也有例外的。

打开管理工具, 然后再到管理工具找到事件查看器:三个方面应用程序、安全性、系统的日志可同样设置:右键→属性→设置日志大小上限, 一般设置了50MB, 选择不覆盖事件。

本地安全策略:打开管理工具, 找到本地安全设置→本地策略→安全选项:

1、交互式登陆:不需要按Ctrl+Alt+Del启用[根据个人需要]

2、网络访问:不允许SAM账户的匿名枚举启用

3、网络访问:可匿名的共享将后面的值删除

4、网络访问:可匿名的命名管道将后面的值删除

5、网络访问:可远程访问的注册表路径将后面的值删除

6、网络访问:可远程访问的注册表的子路径将后面的值删除

7、网络访问:限制匿名访问命名管道和共享

还可以自己动手设置本地策略中的安全选项:当登陆时间用完时自动注销用户 (本地) 防止黑客密码渗透;登陆屏幕上不显示上次登录名 (远程) , 如果开放3389服务, 别人登陆时, 就不会残留有你登陆的用户名, 让他去猜你的用户名去吧;对匿名连接的额外限制;禁止按Alt+Crtl+Del;允许在未登陆前关机[防止远程关机/启动、强制关机/启动];只有本地登录用户才能访问cd-rom;只有本地登录用户才能访问软驱;取消关机原因的提示;禁止关机事件跟踪。开始“Start→”运行“Run→”输入“gpedit.msc”, 在出现的窗口的左边部分, 选择“计算机配置” (Computer Configuration) →“管理模板” (Administrative Templates) →“系统” (System) , 在右边窗口双击“Shutdown Event Tracker”, 在出现的对话框中选择“禁止” (Disabled) 点击, 然后“确定” (OK) 保存后退出。

没有绝对安全的网络系统, 安全问题是多种多样, 且随着时间技术的变化而变化, 所以安全防护也是非常重要的, 保持清醒正确的认识, 同时掌握最新的安全问题情况, 再加上完善有效的安全策略, 是可以阻止大部分安全事件的发生, 保持最小程度的损失。

参考文献

[1]仇多利.ARP攻击及防御策略[J].电脑知识与技术 (学术交流) , 2007.17.

网络攻击与防御 篇5

当今社会网络日渐成为人们生活中不可缺少的一部分。计算机网络技术为人类在交往、工作、购物、娱乐、教育、生活等各种领域, 提供一种崭新的电子服务方式。同时, 网络安全问题日益突出。特别是近年来, 黑客站点越来越多, 黑客工具唾手可得, 攻击事件明显增加[1]。Internet的安全遭受着严重的威胁。

在网络不断更新换代的过程中, 网络中的安全漏洞无处不在。即便旧的补上了, 新的漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。可以说, 网络中我们每个人随时随地都可能受到来自各方面的攻击。

1网络攻击手段

黑客利用网上的任何漏洞和缺陷修改网页、非法进入主机、进入银行盗取和转移资金、窃取信息、发送假冒的电子邮件等, 从而引发各类网络案件。为此, 提高网络的防护能力, 保证信息安全已成为当务之急。下面从几方面论述黑客的攻击手法[2,3]。

1.1端口扫描

端口扫描是一种获取主机信息的方法。利用端口扫描程序扫描网络上的一台主机, 可以从扫描的端口数目和端口号来判断出目标主机运行的操作系统, 结合其它扫描信息进而掌握一个局域网的构造。针对端口扫描, 其防范措施一般是关闭那些不使用的端口。

1.2对网络协议 (TCP/IP) 弱点的攻击

当初设计INTERNET各类协议时, 几乎没有人考虑网络安全问题, 网络协议或缺乏认证机制或缺少数据保密性, 因此可能被攻击者加以利用而入侵网络[4,5,6], 此类攻击方式主要有以下几种。

1.2.1 网络监听 (嗅听)

网络监听工具可以监听网络的状态, 数据流动情况以及网络上传输的信息。但此类工具被一些黑客利用, 截取他人的信息, 对他人造成损失。通常的检测与防御的方法是:对于怀疑运行监听程序的机器, 用正确的IP地址和错误的物理地址去PING , 运行监听程序的机器会有响应;使用安全的网络拓扑结构隔断网络, 隔断监听;对一些重要数据进行加密, 即使被截获, 信息也不容易泄露。

1.2.2 电子邮件攻击

电子邮件攻击者可以通过发送邮件破坏系统文件, 或者对端口25进行SYN-FLOOD攻击。保护电子邮件的有效办法是加密签名技术, 比如PGP (PRETTY GOOD PRIVACY) 来验证电子邮件。

1.2.3 Web欺骗攻击

Web欺骗指攻击者建立一个使人相信的Web页站点拷贝, 它具有该页所有的页面和链接。通过Web站点拷贝被攻击对象和真的Web站点之间的所有信息流动都被攻击者控制了。攻击者可以监视被攻击对象的活动。虽然不易察觉, 但可以通过使用安全性较高的浏览器, 关闭浏览器的JAVA SCRIPT来避免受到攻击。

1.2.4 IP电子欺骗攻击

IP电子欺骗攻击是攻击者攻击INTERNET防火墙最常用的方法, 也是许多其他攻击方法的基础。IP欺骗技术就是通过伪造某台主机的IP地址, 使得某台主机能够伪造另一台主机, 而这台主机往往具有某种特权或被另外主机所信任。对于来自网络外部的欺骗来说, 只要配置一个防火墙就可以了, 但对同一网络的机器实施攻击则不易防范。

1.2.5 DNS电子欺骗攻击

当危害DNS服务器并明确更改主机名和IP地址映射表时, DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而, 当一个客户机请求查询时, 用户只能得到这个伪造的地址, 该地址是一个完全处于攻击者控制下的机器IP地址。因为网络上的主机都信任DNS服务器, 所以一个被破坏的DNS服务器, 可以将客户引导到非法的服务器, 也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。

1.3程序攻击

程序攻击就是通过编写一些程序代码, 让计算机来执行一系列指令, 进而破坏系统的正常运行。

1.3.1 病毒

病毒是一些破坏性程序, 常常修改计算机中的另一些程序, 将自己复制进其他程序代码中进而对目标机形成破坏, 当病毒发作时, 会使系统异常, 甚至造成系统崩溃。使用杀毒软件并不断更新病毒库能有效地防范病毒, 适当的操作也很重要。

1.3.2 特洛伊木马程序

特洛伊木马程序是驻留在目标计算机中的一个程序, 在程序中提供了一些符合正常意愿使用的功能, 但在其中却隐藏了用户不知道的其他程序代码, 当目标计算机启动时, 木马程序页启动, 然后在某一特定端口监听。一旦条件成熟, 这些非法代码就会被激活而执行一些操作, 如传输或删除文件, 窃取口令, 重新启动机器等, 使系统不能正常工作。使用杀毒软件对特洛伊木马同样有效, 而且一些比较好用的木马工具也可以对其起一定的防范作用。

1.4 SQL注入攻击

这种攻击的要诀在于将SQL的查询/行为命令通过‘嵌入’的方式放入合法的HTTP提交请求中, 从而达到攻击者的某种意图。现在很多的动态网页都会从该网页使用者的请求中得到某些参数, 然后动态的构成SQL请求发给数据库的。SQL注入攻击就是使我们在发送SQL请求时通过修改用户名或密码值等‘领域’区来达到攻击的目的。

1.5拒绝服务攻击

拒绝服务攻击通过发送一定数量、一定序列的报文, 使网络服务器中充满了大量要求回复的信息, 导致网络或系统不胜负荷以至于瘫痪, 停止正常的网络服务。分布式拒绝服务攻击是利用攻击者已经侵入并控制的主机, 并对某单位发起攻击。在悬殊的带宽力量下, 被攻击的主机会很快失去反映。

1.6缓冲区溢出

缓冲区溢出的原理是:向一个有限空间的缓冲区中拷贝了过长的字符串, 它带来了两种后果:一是过长的字串覆盖了相邻的存储单元, 引起程序运行失败, 严重的可引起死机、系统重新启动等后果;二是利用这种漏洞可以执行任意指令, 甚至可以取得系统特权。

2网络攻击应对策略

2.1避免被SQL注入攻击

防火墙与杀毒软件对SQL注入是没办法防范的, 因为SQL注入入侵跟普通的WEB页面访问没什么区别, 所以往往是防不甚防。服务器管理员要做的事主要是配置IIS和数据库用户权限, 而网站程序员主要是要在程序代码编写上防范SQL注入入侵。SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的, 如果你把IIS设置成不管出什么样的ASP错误, 只给出一种错误提示信息, 即HTTP 500错误, 那么攻击者就没办法入侵了。

服务器管理员还应在IIS中为每个网站设置好执行权限, 不要给攻击者静态网站以“脚本和可执行”权限。一般情况下有“纯脚本”权限就够了, 通过网站后台管理中心上传的文件存放的目录, 执行权限设为“无”, 这样做是为了防止上传ASP木马, 执行权限设为“无”。

过滤一些特殊像单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符, 过滤的对象包括:用户的输入、提交的URL请求中的参数部分、从COOKIE中得到的数据, 至于数字值, 将其转换为整数型之前必须有SQL语句声明, 或者用ISNUMERIC确定它为一个整型数。

修改“STARTUP AND RUN SQL SERVER”的用户运行级别为低级别。

删除一系列你不需要的储存过程。

2.2缓冲区溢出的保护方法

2.2.1 强制编写正确的代码的方法

编写正确的代码是一件非常有意义但耗时的工作, 特别像编写C语言那种具有容易出错倾向的程序, 这种风格是由于追求性能而忽视正确性的传统引起的。尽管花了很长的时间使得人们知道了如何编写安全的程序, 具有安全漏洞的程序依旧出现。因此人们开发了一些工具和技术来帮助经验不足的程序员编写安全正确的程序。虽然这些工具帮助程序员开发更安全的程序, 但是由于C语言的特点, 这些工具不可能找出所有的缓冲区溢出漏洞。所以, 侦错技术只能用来减少缓冲区溢出的可能, 并不能完全地消除它的存在。

2.2.2 非执行的缓冲区

通过使被攻击程序的数据段地址空间不可执行, 从而使得攻击者不可能执行已植入的代码运行。为了保持程序的兼容性不可能使得所有程序的数据段不可执行。但是可以设定堆栈数据段不可执行, 这样就可以最大限度地保证了程序的兼容性。这种方法有效地阻止了很多缓冲区溢出的攻击。

2.2.3 数组的边界检查

这个方法使得缓冲区溢出不可能出现, 只要数组不能被溢出, 溢出攻击也就无从谈起, 从而完全消除了缓冲区溢出的威胁。为了实现数组边界检查, 则所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内, 这样会进行大量的运算进而大大地影响性能, 代价较大, 技术还不很完善。

2.2.4 程序指针完整性检查

程序指针完整性检查在程序指针被引用之前检测到它的改变, 因此, 即使一个攻击者成功地改变了程序的指针, 由于系统事先检测到了指针的改变, 因此这个指针将不会被使用。虽然这种方法不能使得所有的缓冲区溢出失效, 但它的确阻止了绝大多数的缓冲区溢出攻击, 而在性能上有很大的优势, 兼容性也很好。其中又有堆栈保护和指针保护。

最普通的缓冲区溢出形式是攻击活动纪录, 然后在堆栈中植入代码。而非执行缓冲区和堆栈保护可以有效防卫这种攻击。非执行缓冲区可以防卫所有把代码植入堆栈的攻击方法, 堆栈保护可以防卫所有改变活动纪录的方法。实验的数据表明, 这两种方法对于各种系统的缓冲区溢出攻击都有很好的保护作用, 并能保持较好的兼容性和系统性能, 可以同时防卫多种可能的攻击。

剩下的攻击基本上可以用指针保护的方法来防卫, 但是在某些特殊的场合需要用手工来实现指针保护。全自动的指针保护需要对每个变量加入附加字节, 这样使得指针边界检查在某些情况下具有优势。

2.3使用防火墙软件

防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障, 也可称之为控制进出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络, 以阻挡外部网络的侵入。

2.4设置代理服务器

保护自己的IP地址最好的方法就是设置代理服务器, 事实上, 即使一台机器上被安装了木马程序, 但没有这台机器的IP地址, 攻击者也是无能为力。

2.5备份

将防毒、防黑当成日常例行工作, 定时更新防毒组件, 将防毒软件保持在常驻状态, 以彻底防毒。对于重要的个人资料做好严密的保护, 并养成资料备份的习惯。这是非常关键的一个步骤, 有了完整的数据备份, 我们在遭到攻击或系统出现故障时才可能迅速恢复我们的系统。

3结束语

网络攻击手段不断更新, 上述安全措施对网络安全可起到防护作用, 但仅仅依靠安全技术和工具不可能实现真正意义上的网络安全。相关的法律法规的保障也是必不可少的。同时, 作为网络用户一定要有良好的安全意识。

网络安全是信息时代一个永远沉默不了的话题, 可以说只要有网络的存在, 那么网络安全就得继续探索和发展。

摘要：随着Internet的发展与普及, 网络安全问题日益突出, 已经严重地干扰了网络的自由和安全。就此对目前网络中存在的安全问题进行了探讨与论证, 并对目前网络中比较流行的网络攻击手段进行了总结归类和研究与分析, 进而提出防御策略。

关键词：网络攻击,网络安全技术,网络攻击应对策略

参考文献

[1]蔡立军, 李立明, 李峰.计算机网络安全技术[M].北京:中国水利水电出版社, 2002.

[2]刘荫铭, 李金海, 刘国丽.计算机安全技术[M].北京:清华大学出版社, 2004.

[3]陈文云, 巩丹宏.网络通信软件设计原理及应用[M].西安:西安交通大学出版社, 2000.

[4]卿汉斯.密码学与计算机网络安全[M].北京:清华大学出版社, 2002.

[5]祁明.电子商务安全与保密[M].第3版.北京:高等教育出版社, 2003.

网络攻击技术与网络安全探析 篇6

如今,互联网信息技术在社会的各领域起到不可替代的重要作用。在社会经济领域,各部门之间通过应用互联网技术对信息进行及时、有效的交换,从而合理配置社会资源,促进社会经济发展。在人们日常生活中,互联网技术的应用使得人们相互之间联系便捷,克服区域的局限性。但网络攻击时时存在,影响着社会生活的方方面面,我们必须加以重视。

1 网络攻击的含义及分类

所谓网络攻击,就是黑客利用计算机系统漏洞、木马病毒等手段对特定目标进行攻击,从而获取所需信息的行为。网络攻击主要分为两类,主动攻击与被动攻击。黑客通过技术手段对所需信息就行非法访问的行为叫做主动攻击。而被动攻击侧重于对信息的收集,其隐蔽性较高,用户一般难以察觉。

2 常用的网络攻击技术

网络攻击技术手段多样且更新换代速度较快,技术的不断发展对攻击者水平的要求不断降低,危害进一步扩大。现在,互联网上经常遇到的网络攻击技术主要有以下几类。

2.1 解码类攻击

在网络上,一般通过木马病毒获得用户的密码文件。然后使用口令猜测程序对用户的账号和密码进行破解。此类攻击对技术的要求较低,是较为常见的网络攻击手段。

2.2 未授权访问攻击

随着技术的不断升级,我们使用的计算机操作系统复杂性不断增强,在方便我们操作使用的同时,也为网络攻击埋下隐患。攻击者通过系统本身隐藏的漏洞、系统管理策略的疏忽等对系统进行攻击,从而获取计算机的最高权限。这类攻击隐蔽性较高,通常在人们没有察觉的时候,手中的计算机就成为了黑客的傀儡机。

2.3 电子邮件类攻击

随着网络的不断普及,电子邮件逐步取代传统的信件,成为我们日常通讯中越来越重要的通讯方式。电子邮件类的攻击主要是电子邮件炸弹,其通过垃圾邮件的大量发送使得目标邮箱的空间撑爆。当攻击目标众多,垃圾邮件的发送量巨大时,会导致电子邮件系统的工作运行迟缓、瘫痪,从而导致用户不能进行邮件的收发。

2.4 无线互联功能的计算机及其外围设备窃密

通信技术的发展使得无线网络的覆盖范围不断扩大,无线网络带给人们方便、便捷的同时,其本身具有的开放性特征使得信息传输的安全性大为降低。即便是使用了加密技术,信息也能够被破解,这容易造成用户信息的泄露。

当前社会,主流高端的笔记本电脑的标准配置的是迅驰移动计算机技术,通过此技术的应用,笔记本能够实现无线网络的自动寻址与连接,而且具有相同工具的计算机之间也能进行网络互连,其有效具有为100米。此类技术的应用使得处理信息的速度与便捷性进一步提高,但是搭配此类技术的笔记本电脑在处理涉密信息时,容易因无线网络的自动互联而造成泄密,且隐蔽性高,不易察觉。而安装有Windows操作系统并具有无线联网功能的笔记本电脑只要上互联网或被无线互联,其系统本身具有的漏洞就很容易导致计算机权限被黑客窃取,黑客通过权限将笔记本的麦克风开启,从而造成泄密。

2.5 网络攻击者通过网络监听进行攻击

在互联网时代,用户使用计算机上网时,其主机通过网络监听对本机的网络状态、信息传输和数据流情况进行监听。作为主机服务用户的模式,网络监听有效为用户网络冲浪进行服务,但攻击者通过相应的工具把目标主机的接口设为监听模式能对传输的信息就行捕获,从而获得目标的用户权限,进而实施攻击。

3 网络安全防护措施

3.1 完善计算机与网络管理制度

对保密性较强的部门或企业,应对计算机使用实施完善的管理制度,做到预防为主。对涉密计算机要严格按照相关规定进行使用,不能把涉密计算机与互联网进行关联,并做好相应的物理隔绝措施。对系统更新的补丁,我们应做到及时安装,从而完善系统漏洞,提高防御水平。实施完善的管理制度对相关部门和企业的意义重大,能够较为有效的防止涉密信息的流失。

3.2 合理使用防护软件保护计算机

计算机的使用者应及时下载、使用合法的防护软件,做好完善的预防措施。在互联网时代,计算机防火墙能有效防止网络黑客的攻击,对木马等病毒及时识别与隔离。防火墙可以看做是网络防护的城墙,能对来自互联网的入侵做到及时识别,并将之拒之门外,从而有效保护计算机的安全。

3.3 整体防护措施

由于互联网攻击手段多样,单一的使用防护软件并不能对计算机网络进行全面的防护。只有对计算机实行整体防护措施,才能有效保护计算机信息安全。整体防护措施通过将反应性与主动性两种防护措施进行有机结合,有层次、分级别的对网络及终端进行保护,具有互操作、集成和管理方便的特点。对计算机进行整体防护,应做到创建、部署、管理和报告与终端防护和终端遵从相关的各类终端安全活动。通过各类防护措施的整体使用与相互结合,形成有效的综合防护措施。

3.4 借助 GTI 系统

所谓GTI,即全球威胁智能感知系统。系统主要由四类信誉库组成,即全球网址信誉库、全球网址分类库、全球邮件消息信誉库和全球网络链接信誉库。此系统对世界各地收集的威胁信息进行综合整理,并实时进行更新。应用此系统,能有效防止大部分网络攻击,预警及时有力。

3.5 应用加密技术

进行网络连接时,我们可以运用加密技术对IP进行加密。这样可使数据传输的保密性与真实性得到有效提高,从而保证数据安全。相对于防火墙,此类技术具有灵活性的有力优势,能够积极、有效地保护用户的静态信息安全。

3.6 运用入侵检测技术

IDS又称为入侵检测系统,此系统通过对网络数据信息的搜集、整理、分析,进而判定是否属于网络攻击,对网络攻击实时进行驱逐。运用此类技术,即可对主机与网络兼得行为进行及时有效地监测,又可对外来攻击及入侵实时进行预警与防护。此系统能有效提高计算机的网络防护能力,相对于防火墙, 此系统能做到智能分析,对网络攻击进行实时驱逐。而且,IDS技术能将受到攻击后的计算机进行受损检测,并将攻击者数据及相关特征、信息添加到相应数据库中,从而对同类型的攻击进行规避,有效提高计算机防护能力。

3.7 对人员进行有效的技术培训

针对于计算机网络攻击的多样性与危害性,我们应对相关人员进行有效的培训,提高人员应对攻击的能力。针对不同类型的网络攻击,我们应及时进行整理分析,得到最有效的防御措施,形成相应的防范规则手册。做到遇到攻击不盲目应对,从而提高防范水平。

4 结语

网络攻击技术与网络安全分析 篇7

1 网络中常见的攻击技术

随着网络技术的发展, 网络的攻击技术也越来越高端, 网络攻击开始朝着低

门槛和自动化的趋势发展, 间谍和黑客技术已经成为最常见的网络攻击技术。

1.1 系统漏洞

若计算机的操作系统以及应用软件存在系统漏洞, 间谍就会利用这一安全漏洞来远程控制计算机, 致使计算机中的重要文件资料被轻易窃取。当然这种攻击方式是将口令作为攻击对象, 对计算机中的程序进行猜测破译, 若需要验证口令时, 将会自行避开, 并冒名顶替合法的用户, 从而轻易的潜入目标计算机中, 控制计算机。当然许多计算机用户为了弥补这一安全漏洞, 通过“打补丁”的方式来解决系统漏洞的问题, 但是还是有部分计算机用户没有这种安全意识, 使得计算机系统漏洞长期存在, 导致网络间谍能够远程操控计算机。

1.2 口令简单

随着网络技术的发展, 为了防止网络信息的泄露, 大多计算机用户都会在计算机中设置密码, 从而禁止陌生人的访问权限, 一般计算机用户会设置开机密码, 也会对电子邮箱设置密码从而来限制访问权限。但是有部分计算机用户没有设置密码, 致使攻击者能够轻而易举地在计算机上建立空链接来远程控制计算机。当然若设置的密码较为简单也能够使计算机轻易被攻击。

1.3 木马程序

计算机中木马程序是由木马和控守中心组成, 在计算机中是一种较为隐蔽的远程控制软件。一般为了防止计算机被追踪, 会在计算机程序中增加跳板, 从而更好的连接控守中心和木马。木马利用跳板来联系控守中心, 而操作控守中心的人可以利用网络来控制用户的计算机, 从而来监视用户的举动, 窃取用户的文件资料, 甚至是监听用户的谈话内容。计算机系统漏洞会导致木马病毒攻击计算机, 其攻入计算机的途径多样, 如利用用户浏览网页的空隙潜伏在连接上, 藏于邮件的附件以及程序中, 从而来攻击计算机。当然木马很善于隐藏技术, 有些木马利用代码注入技术潜伏在计算机系统程序中, 有些木马改变名字如window.exe等, 利用用户不了解计算机系统来隐藏自己。木马病毒攻击计算机可能会导致计算机系统的崩溃。

1.4 嗅探器

网络嗅探就是网络监听, 是利用计算机中的网络共享通道来获取数据, 是较为高端的网络技术。当然嗅探器进行监听的途径有两种:一是利用网络连接设备来进行监听活动, 如将监听软件放置在网关服务器上;二是利用具有安全漏洞的局域网来进行监听活动。在一般的网络环境中, 网络信息是以明文的方式进行传输, 间谍只要获取一台主机的管理员权限, 就可以对局域网的数据进行监听活动, 操控计算机。而网络监听软件可以将用户的聊天记录以及电子邮件密码全部监听, 在互联网上较为盛行的监听软件是MSN, 一般安装MSN软件之后, 可以对本地局域网中使用MSN软件用户的聊天内容进行监听活动。

2 网关攻击技术对网络安全的作用

网络技术的发展, 使得网络攻击技术越来越高端, 要想减少黑客以及间谍的

攻击, 保证网络的安全, 必须要对网络攻击技术进行深入剖析, 使其能有效保障网络安全。

2.1 网络攻击技术的双重性

互联网具有开放性, 由于网络技术的发展, 很多网络技术开始进行跨国攻击, 窃取别国的机密文件, 为此不仅要积极防御网络攻击, 还要努力提高自身的网络安全技术。虽然网络攻击技术有着一定的缺点, 但是我们要用发展的眼光来看待网络攻击技术, 网络攻击技术有利于网络的安全。网络攻击技术的发展, 使得我们必须要去研究了解它, 保证网络的安全, 随着信息技术的发展, 要想保证国家信息的安全, 必须要不断开发具有知识自主产权的网络安全产品。

2.2 网络攻击技术促进了网络技术的发展

网络攻击技术的发展, 使得网络产品不断改善, 从而促进了网络安全。黑客和间谍利用网络技术对计算机进行攻击, 从一定程度上促使了网络安全产业的发展, 从而推动了互联网的发展, 网络攻击技术能够带来技术的创新。当然网络管理人员能够充分利用网络攻击技术来找出网络系统的安全漏洞, 采取一定的措施来加强网络的安全, 从而使网络攻击技术服务于网络安全。

2.3 网络攻击技术为国家安全服务

随着社会经济的发展, 信息化程度日益加深, 人们的日常生活越来越离不开网络, 许多网络都存在着管理漏洞, 容易使机密文件泄露, 因此网络安全对于国家的国防安全以及经济发展十分重要。必须要防御网络攻击技术, 增强网络安全, 这样才能在未来的信息战中取得胜利。

3 结束语

信息技术的发展促进了社会经济的发展, 使得网络技术有了很大的发展空间, 但同时也无法避免网络攻击行为, 因此加强防御意识, 掌握网络核心技术, 确保网络信息安全十分之必要。

摘要：社会经济的迅速发展, 科学技术的日新月异, 推动着信息网络技术的发展, 互联网开始进入人们的视线, 对人们的生产生活产生了巨大的影响。随着互联网技术的发展, 人们越来越依赖于网络, 虽然互联网方便了人们的生产生活, 在人们的日常生活中越来越普及, 但是其存在也带来了一系列的问题。随着互联网的发展, 网络的攻击技术也在不断发展, 严重影响了人们的日常生活。本文就网络攻击技术进行深入剖析, 试探性地提出几点网络安全防范措施, 希望能给相关工作人们起到参考与借鉴的作用, 以期从根本上解决这一问题。

关键词：网络攻击技术,网络安全

参考文献

[1]苏剑飞, 王景伟.网络攻击技术与网络安全探析[J].通信技术, 2010, 01:91-93.

[2]温伟强.网络攻击技术与网络安全探析[J].网络安全技术与应用, 2015, 01:79+81.

[3]顾海浪.对网络攻击技术和网络安全工作的分析研究[J].电子世界, 2012, 18:117-118.

网络攻击及防范措施 篇8

网络攻击主要来自于黑客和病毒攻击, 尽管我们正在广泛地使用各种复杂的软件技术, 如防火墙、代理服务器、侵袭探测器等机制, 但是, 无论在发达国家, 还是在发展中国家, 黑客活动越来越猖狂, 他们无孔不入, 对社会造成了严重的危害。如银行卡资料被盗事件。一名黑客2003年2月20日“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统, 窃取了万事达、维萨、美国运通、发现等4家大型信用卡组织的约800万张信用卡资料。网络攻击有哪些?应该怎样防护才能保证网络的正常安全运行呢?

一、常见的网络攻击方式

1、缓冲区溢出

这是攻击中最容易被利用的系统漏洞。通过在程序的缓冲区写超出长度的内容, 造成缓冲区的溢出, 从而破坏程序的堆栈, 使程序转而执行其他指令。

2、拒绝服务攻击

(Denialof Service, Do S) 攻击是使受攻击方耗尽网络、操作系统或应用程序有限的资源而崩溃, 从而不能为其他正常用户提供服务。

Do S攻击方式

(1) Syn flood攻击。发动Synflood攻击的破坏者发送大量的不合法请求要求连接, 目的是使系统不胜负荷。其结果是系统拒绝所有合法的请求, 直至等待回答的请求超时。

(2) TCP SYN洪水攻击。利用TCP连接中三次握手过程漏洞来实施攻击。TCP/IP栈只能等待有限数量ACK (应答) 消息, 因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果缓冲区中充满了等待响应的初始信息, 计算机就会对接下来的连接停止响应, 直到缓冲区里的连接超时。

(3) Ping洪流。攻击者向您的计算机发送“洪水般的”ICMP数据包。如果它们在比您具有更大带宽的主机上发动这一攻击, 您的计算机就不能够向网络发送任何东西。该攻击的变体:“smurfing”会向某个主机发送返回地址为您的计算机的ICMP数据包, 以致它们毫无征兆地淹没您

3、工具漏洞攻击

有的系统为了改进系统管理及服务质量安装了一些工具软件, 如Packet Sniffer, Super Scan, Zenmap等。攻击者常利用它去收集非法信息。例如:netstat命令是显示当前正在活动的网络连接的详细信息.但是破坏者也用这一命令收集对系统有威胁性的信息, Net BIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。Nmap是Linux, Free BSD, UNIX, Windows下的网络扫描和嗅探工具包。主要是探测一组主机是否在线;扫描主机端口, 嗅探所提供的网络服务;推断主机所用的操作系统。

二、网络攻击的防范技术

1、账号安全管理

(1) 禁用Guest用户名。即来宾账户, 它为黑客入侵打开了方便之门, 禁用Guest账户的方法:【控件面板】【管理工具】【计算机管理】【本地用户和组】【用户】找到Guest用户, 点击右键属性, 账户已停用前打对号, 【确定】

(2) 藏起管理员账户。为了避免有人恶意破解系统管理员Administrator账户的密码, 使用更名来防止非法用户找不到, 【控件面板】【管理工具】【计算机管理】【本地用户和组】【用户】找到Administrator用户, 将用户更改名字。右键重命名和设置密码 (密码一定要设置为强密码形式) 。再创建一个陷阱账号, 没有管理员权限的Administrator账户欺骗入侵者。这样一来, 入侵者就很难搞清哪个账户真正拥有管理员权限, 也就在一定程度上减少了危险性。

2、封杀黑客的”后门”

俗话说“无风不起浪”, 既然黑客能进入, 那我们的系统一定存在为他们打开的”后门”, 我们只要将此堵死, 让黑客无处下手。

关闭默认共享。必须修改注册表, 否则每次重启之后默认共享还会出现。在注册表中修改如下选项:

(2) 在右栏空白位置点击鼠标右键, 选择【新建】, 再选【字符串值】, 名称中输入delipc$, 这里的名字可以随便取, 然后双击它就会弹出一个窗口来, 输入。修改后需重启PC。同样方法还可以删掉AMDIN$。

关闭不必要的端口。黑客在入侵时常常会扫描计算机端口, 关闭一些不常用的端口, 如“文件和打印共享”139、445端口。

(3) 禁止空连接。在默认的情况下, 任何用户都可以通过空连接连上服务器, 枚举帐号并猜测密码。因此我们必须禁止。修改注册表防范IPC$攻击。单击【开始】【运行】, 输入“regedit”, 打开注册表

单击右键, 选择【修改】在弹出的“编辑DWORD值”对话框中数值数据框中添入“1”, 将项设置为“1”, 这样就可以禁止IPC$的连接, 单击【确定】按钮。

3、及时给系统打补丁