网络攻击检测技术论文

网络攻击检测技术论文（共12篇）

网络攻击检测技术论文 篇1

随着计算机的普及、网络的发达,越来越多的商业交易透过计算机与网络来达成,越来越多的重要信息储存在计算机上,越来越多的工作与控制也交由计算机与网络来处理。因此入侵与破坏计算机与网络系统可为攻击者带来庞大的金钱利益与机密信息并影响国家基础公共设施的运作与民心士气的稳定。在这些诱因下,各式各样的攻击手法被发展了出来并在网络上四处流窜,因此近来常常可见各地的网站被攻击者入侵置换首页或植入恶意程式码,或数量庞大的计算机被攻击者入侵、改造成僵尸网络、并发起各种形式的攻击,更不时传来知名购物网站的客户个人信息遭黑客窃走,并贩卖给诈骗集团,进而助长了诈骗案件的发生率。在信息安全事件频传的情况下,稍不小心使用者的计算机与网络系统即成为黑客的掌握的机器或跳板,因此企业与政府单位需更重视这方面的技术发展与强化自身的电脑与网络管理能力,才可避免成为下一个牺牲者。

黑客对世界信息安全的威胁已经是显而易见的了,最为人知的便是中国Google 2009年12月时遭黑客入侵,导致后来Google移出中国的事件,近日更有新闻指出Google的密码系统也遭黑客窃走,虽然似乎没有影响到Gmail等服务的运作,也宣称没有任何账号遭入侵,但对于Google的商誉已经有些影响,强如Google都会被黑客入侵,国内各企业和国安单位必须更为注意这方面消息,才能够防御来自未知的网络攻击。

1 网络攻击趋势

网络攻击有许多面向,我们以较具有公信力的OWASP、X-Force和McAfee所公布的报告分别分析Web攻击与其它方面的各式攻击手法与趋势。

1.1 Web攻击

OWASP组织是一研究Web应用程序安全的组织,目标是增进Web的安全性,因此每三年OWASP组织都会发布OWASP Top10,列入前十名的威胁不代表是最常见的,而是衡量其发生的可能性与对于系统的影响程度而做出的报告书。

1.1.1 Injection攻击

今年的第一名为相当著名的Injection攻击,像是SQL Injection、LDAP Injection、OS Commands等等诸如此类型的攻击都被于此类,最常见的当然还是被大量使用的SQL Injection攻击。一般来说,此类型攻击都发生于程序未检验使用者的输入,攻击者利用程序的缺失执行指令,如此的手法可能造成后端数据库的数据损失和泄漏,甚至可能夺取数据库的控制权,利用一些原始码扫描仪或是Fuzzer应该可以找出程序内的漏洞,但是单纯利用测试技巧则很难发现这些威胁,而Injection攻击流行的主因便是容易发起,在短暂时间内便可已达到大量的网站攻击事件。

安全人员可将使用者输入经过处理而减少这类型漏洞,像是将使用者输入中类似SQL指令与SQL Query指令会用到的一些符号滤掉,这样便可减少被入侵的可能性。例如,我们常常利用admin’这类型的字符串来跳过账号登入时的检查,安全人员应该在使用者输入的窗体中将“’”与这个符号之后的内容都过滤掉,以免被攻击者恶意入侵。

1.1.2 Cross-Site Scripting攻击

通常简称为XSS,XSS攻击已经流行相当一阵子了,大抵上就是在一个可信任的网站上插入一段恶意的程序代码,有阵子黑客非常喜欢利用XSS攻击偷取使用者的cookie,利用cookie做账号窃取,进而以被害者的帐号登入,尤其针对银行网站的账号攻击。和Injection攻击类似,这两种攻击都是没有对使用者的输入作验证和检查所导致的问题,实际上已经有一些解决方法,但是有许多网站仍然有此问题,Web 2.0常使用的AJAX,也会造成XSS侦测的困难。最简单的漏洞像是使用者输入的资料会成为网页的一部分,这就必须要小心谨慎处理。

1.1.3 Broken Authentication and Session Management

Web网站常常有自己的身份验证方式,这部份的身份认证模块和Session管理如果有问题,则可能导致攻击者冒用其它使用者的身份,这部份的错误和缺失很难发觉,像是将Session ID显露在URL上,看似没什么特别,却可能造成此类漏洞,一旦这样的漏洞被发现,对于网站的安全性、信誉都是相当严重的。

1.1.4 Insecure Direct Object References

此种威胁也属于未验证使用者输入的一种攻击,利用网站未验证使用者输入的漏洞,更改网页参数的值,存取原本不允许使用者存取的档案或对象,像是/etc/passwd文件等等秘密数据。

1.1.5 Cross-Site Request Forgery攻击

通常简称为CSRF攻击,可以算是XSS的一种,也常常搭配XSS的手法发起攻击,目前是非常常见的一种攻击。在网页中插入一段恶意的CSRF攻击,然后利用登入的使用者执行这段攻击,对网站发出伪造的请求,而造成伤害。

1.1.6 Security Misconfiguration

此类威胁来自于管理的问题,不算是应用程序的漏洞,大都是网站设定上的问题:没有定期更新系统、default账号没有移除、Access Control没有做好等等,网管人员必须对这样的漏洞特别小心,针对使用的系统和其必须的设定要有相当程度的了解,也要随时注意是否发布了安全性更新。

1.1.7 Insecure Cryptographic Storage

应用程序没有对机密数据做加密,或是用很容易破解的加密算法,其实有许多加密算法较为安全,例如:RSA、AES、SHA-256等等,当然一般攻击者比较不喜欢直接针对加密算法做攻击,因为需要花掉大量时间,通常都是直接攻击数据库,以取得想要的数据,如此一来只要将后端数据做加密处理,攻击者就很难取得有用的数据。但目前仍然有许多网站以明码做存取,个人资料外泄的问题日益严重的情况下,资料势必以加密形式储存。

1.1.8 Failure to Restrict URL Access

一般来说网站后台管理系统不应该让一般使用者存取,不过有许多网站仍然让管理系统暴露在外,或只是保护连向管理系统的按钮或连结,这可能为潜在的威胁,黑客可能猜到或是使用Google搜寻直接伪造管理后台的request,因此针对管理系统网页做存取的限制是必须的手段。

1.1.9 Insufficient Transport Layer Protection

网络应用程序常常不会对网络流量做保护,像是常用的Windows Live Messenger就没有对传送出去的信息做加密,因此很多信息很可能在传送的过程中被窃听,尤其是在输入一些机密数据,如信用卡号码、电话号码之类的,这些东西就需要用SSL/TLS做认证,只要监听自己的网络流量就可以知道是否有这样的弱点。

1.1.10 Unvalidated Redirects and Forwards

有些网站会提供网页导向的功能,或是利用参数来指定跳转之后的页面,而攻击者可以利用更改参数的方式让网页跳转到恶意网站,藉此让使用者安装其它恶意软件,或是跳到钓鱼网站,让使用者输入账号密码,这样的技巧很容易突破使用者心理的防御,而造成许多伤害。

1.2 其它攻击

许多报告和研究的统计数字告诉我们,除了Web攻击外,还有许多活跃于地下的网络攻击活动,这些攻击混和了各种面向,参杂了许多攻击技巧来达成完整攻击,在后面的章节我们将会讨论这些攻击。

1.2.1 PDF漏洞攻击

PDF全名为Portable Document Format,是由Adobe公司(,2009年7月14日)在1993年提出的文件格式,这几年来许多攻击者利用Acrobat Reader的漏洞攻击配合假造的钓鱼信件诱使使用者点击打开信件中夹带的PDF文档,而造成Acrobat Reader程序当掉或是执行攻击者准备好的程序,在2010年就有相当多关于Acrobat Reader的PDF漏洞,很明显的这些漏洞都是属于“严重性:高”的,因此在传送文件时使用PDF并不是很安全的方法,甚至iPhone 3Gs的Jailbreak方法都是靠PDF漏洞达成的。

1.2.2 USB病毒/蠕虫

在网军对抗中,各国为了对付军网实体隔离政策而发展出USB病毒/蠕虫,USB蠕虫的原理来自于过去Windows设计的Autorun机制,Autorun机制是为了让设计多媒体CD/DVD的公司可以在使用者将光盘放入光驱中即可自动执行,免去使用者学习如何使用光盘的麻烦,但是这个机制也沿用到了可擦写的USB随身碟,因此攻击者便利用这个技巧,也在USB随身碟中放入一个autorun.inf,在里面加入执行档的路径,当USB插入计算机的时候,就会自动执行该执行档了,其中最有名的病毒便是Kavo,据信Conficker的变种病毒也利用了类似技巧来增加散播的管道。由于此攻击手法不容易被一般使用者察觉,而且使用USB来交换数据的情形相当多,所以利用USB来传染的效果非常好,最后Microsoft公司在2009年8月提供了KB971029的修补方案,将USB的Autorun机制关掉,以减缓此攻击的散布,但是有许多计算机还没有安装这个修补方案,而且使用Windows XP的计算机还是占多数,因此目前USB病毒仍然活跃于各种入侵活动中。

1.2.3 僵尸网络攻击

僵尸网络(Botnet)最近几年活动相当频繁,甚至取代了蠕虫(Worm)的威胁性,近年来,过去为非作歹的蠕虫渐渐消失,例如:Code Red、Slapper与Blast,而僵尸网路不像过去蠕虫总是利用缓冲区溢位攻击(Buffer Overflow Attack)来做快速传染,攻击者更谨慎的拓展僵尸网络的大小,并小心不让整个僵尸网络被发现,因为僵尸网络对攻击者来说具有相当大的经济价值,攻击者利用僵尸网络来进行网络犯罪,例如:发垃圾、广告邮件(Spam Mail)或钓鱼信件(Phishing Mail)、发起分布式阻断服务攻击(Distributed Denial of Service Attack)与假造点击广告(Click-Fraud)。

僵尸网络的散布管道实在太多样化,像是透过Web弱点造成的Drive-bydownload、Heap Spray,甚至有透过PDF漏洞、Flash漏洞、USB蠕虫和传统缓冲区溢位,或是Peer-to-Peer软件分享的假造档案,一般来说,针对僵尸网络的研究大都专注于Command&Control Channel的讨论上,过去大部分都是以IRC当作沟通管道,但是后来慢慢发展成各种不同的僵尸网络形式,以结构式、MSN、Peer-to-Peer方式、Skype来当作C&C Channel的僵尸网络越来越多,而隐蔽性也越来越高,因此要将僵尸网络一网打尽的可能性变得越来越低,大多时候仍利用Honeypot诱饵来想办法加入僵尸网络中,并想办法从中破坏或找到攻击者本人,但想要达到这样的功效并不容易,需要得到国家单位或是ISP帮助,2009年时,美国举办的ACMCCS研讨会就有研究人员发表了他们利用更改Domain Name对应的IP地址夺下一个僵尸网络的方式

1.2.4 其它各式攻击

攻击使用者计算机中的软件成为一种潮流,因为有很多软件是每个人的计算机几乎都会使用的,像是过去针对Microsoft Office的恶意文件、上述提到的PDF漏洞,还有Flash漏洞和针对浏览器来攻击的Heap Spray攻击,大都是跟Memory Corruption有关的攻击,但是每个漏洞所使用的方法迥异,Heap Spray攻击所着重的在于将注入的程序码在Heap段重复放入多个,以增加攻击成功率,目前在Internet Explorer和FireFox都有听过这样的漏洞。

其它各式攻击相当多样化,像近来攻击趋势除了针对一般个人计算机或是服务器外,现在攻击者的目标已经慢慢转移到智能型手机上,智能型手机上保有的个人隐私信息比个人计算机上还要多,而且更有价值,许多人利用手机买股票、上银行、收发E-mail与简讯,因此像是FlexiSpy这类的间谍软件便趁机兴起,而且成为商业软件,活跃于各式各样的手机平台,例如:Windows Mobile、Symbian、BlackBerry和Android等作业系统。未来的攻防战场会更贴近人们生活,甚至就在你/妳的口袋里。

2 结论与讨论

在黑客对强烈的网络攻击之下,政府单位更应该加强信息管理和信息战的能力,虽然政府已有各级安全部门、网监部门,但是各单位的程度不一,又没有统一建设,而是各自为政,对于人员的管理和信息安全教育是相当重要的,若能经由训练达成一定的信息安全观念,那么许多网络攻击威胁并不能真正影响我们。在本文中我们介绍了Web应用程序的漏洞与攻击,和几个近年常见的攻击手法,这些技巧和攻击手法都是每天的确发生在网路上的,像最严重的SQL Injection、XSS攻击,或者是配合钓鱼信件的PDF恶意文件,我们必须了解这些攻击可能造成的伤害与严重性,并了解攻击形成的方式和原因,尽量避免浏览不知名的网页、开启不知名的来信,更要针对所有电子邮件或MSN夹带文件案进行病毒扫描,养成良好的使用习惯才更能阻止黑客入侵。

摘要：该文将介绍目前最常见的网络攻击型态与黑客的攻击活动。随着计算机的普及、网络的发达、与黑客技术的提升,信息安全已经成一越来越不可轻忽的问题。随着攻击技术的提升,黑客对于网站的攻击亦更加频繁,信息安全成为不容忽视的问题。

关键词：黑客,信息安全,网络攻击

参考文献

[1]Kim H,Kang I,Ballk S.Realtime visualization of network attacks on high—speed links[J].IEEE Network,2004,18(5):30-39.

[2]鲍姆.计算机网络[M].4版.潘爱民,译.北京:清华大学出版社,2004.

[3]谢冬青,冷健,熊伟.计算机网络安全技术教程[M].北京:机械工业出版社,2007.

[4]侯波.网络攻击行为的预防与解决途径[J].湛江师范学院学报,2009(4).

网络攻击检测技术论文 篇2

主要阐述计算机网络攻击和入侵的特点、步骤及其安全防御策略。

关键词：

计算机网络;网络攻击;防御策略

在科学技术发展的今天，计算机网络正在逐步改变着人们的工作和生活方式，随着INTERNET/INTRANET的不断发展，全球信息化已成为人类发展的大趋势。但是，任何事务都象一把双刃剑，计算机网络在给人们带来便利的同时却面临着巨大的威胁，这种威胁将不断给社会带来巨大的损失。虽然计算机网络安全已被信息社会的各个领域所重视，但由于计算机网络具有联结形式多样性、终端分布不均匀性和计算机网络的开放性、互连性等特征;无论是在局域网还是在广域网中，都存在着自然和人为等诸多因素的潜在威胁以及计算机网络自身的`脆弱性,致使计算机网络易受黑客、病毒、恶意软件和其他不轨行为的攻击。 因此若要保证计算机网络安全、可靠，则必须熟知计算机网络攻击的一般过程。只有这样方可在被攻击前做好必要的防备，从而确保计算机网络运行的安全和可靠。

1 计算机网络攻击分析

1.1计算机网络攻击的特点

“攻击”是指任何的非授权行为。攻击的范围从简单的服务器无法提供正常的服务到完全破坏、控制服务器。目前的计算机网络攻击者主要是利用计算机网络通信协议本身存在的缺陷或因安全配置不当而产生的安全漏洞进行计算机网络攻击。目标系统攻击或者被入侵的程度依赖于攻击者的攻击思路和采用攻击手段的不同而不同。可以从攻击者的行为上将攻击区分为以下两类：

(1)被动攻击：攻击者简单地监视所有信息流以获得某些秘密。这种攻击可以是基于计算机网络或者基于系统的。这种攻击是最难被检测到的，对付这类攻击的重点是预防，主要手段是数据加密。

(2)主动攻击：攻击者试图突破计算机网络的安全防线。这种攻击涉及到数据流的修改或创建错误信息流，主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。这类攻击无法预防但容易检测，所以，对付这种攻击的重点是“测”而不是“防”，主要手段有：防火墙、入侵检测系统等。

入侵者对目标进行攻击或入侵的目的大致有两种：第一种是使目标系统数据的完整性失效或者服务的可用性降低。为达到此目的，入侵者一般采用主动攻击手段入侵并影响目标信息基础设施;第二种是监视、观察所有信息流以获得某些秘密。入侵者采用被动手段，通过计算机网络设备对开放的计算机网络产生影响。因此，入侵者可以主动入侵并观察，也可以被动手段观察、建模、推理达到其目的。无论入侵者采用什么手段，其行为的最终目的是干扰目标系统的正常工作、欺骗目标主机、拒绝目标主机上合法用户的服务，直至摧毁整个目标系统。

1.2计算机网络中的安全缺陷及其产生的原因

第一，TCP/IP的脆弱性。 因特网的基础是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。

第二，网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。

第三，缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。

1.3网络攻击和入侵的主要途径

网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。

口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中，入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址，它们之间互相信任。由于这种信任关系，这些计算机彼此可以不进行地址的认证而执行远程操作。

域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名―IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。

1.4常见的计算机网络攻击方式

(1)计算机网络监听攻击：计算机网络监听是一种监视计算机网络状态、数据流以及计算机网络上传输信息的管理工具，它可以将计算机网络接口设置在监听模式，并且可以截获计算机网络上传输的信息，取得目标主机的超级用户权限。作为一种发展比较成熟的技术，监听在协助计算机网络管理员监测计算机网络传输数据、排除计算机网络故障等方面具有不可替代的作用。然而，在另一方面计算机网络监听也给计算机网络安全带来了极大的隐患，当信息传播的时候，只要利用工具将计算机网络接口设置在监听的模式，就可以将计算机网络中正在传播的信息截获，从而进行攻击。计算机网络监听在计算机网络中的任何一个位置模式下都可实施进行。而入侵者一般都是利用了计算机网络监听工具来截获用户口令的。

(2)缓冲区溢出攻击：简单地说就是程序对接受的输入数据没有进行有效检测导致的错误，后果可能造成程序崩溃或者是执行攻击者的命令。UNIX和Windows本身以及在这两个系统上运行的许多应用程序都是C语言编写的，C、C++语言对数组下标访问越界不做检查，是引起缓冲区溢出的根本原因。在某些情况下，如果用户输入的数据长度超过应用程序给定的缓冲区，就会覆盖其他数据区。这就称“缓冲区溢出”。

(3)拒绝服务攻击：拒绝服务攻击，即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至计算机网络带宽，从而阻止正常用户的访问。最常见的拒绝服务攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指极大的通信量冲击计算机网络，使得所有的计算机网络资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。这是由计算机网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器缓冲区满负荷，不接受新的请求;二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。

2 计算机网络安全防御策略

计算机网络技术本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性，尤其是多用户计算机网络系统自身的复杂性、资源共享性使得多种技术组合应用变得非常必要。攻击者使用的是“最易渗透原则”，必然在最有利的时间地点，从系统最薄弱的地方进行攻击。因此，充分、全面、完整地对系统安全漏洞和安全威胁进行分析、评估和检测，从计算机网络的各个层次进行技术防范是设计计算机网络安全防御系统的必要条件。目前采用的技术要主要有加密、认证、访问控制、防火墙技术、入侵检测、安全协议、漏洞扫描、病毒防治、数据备份和硬件冗余等。

2.1建立安全实时响应和应急恢复的整体防御

没有百分之百安全和保密的计算机网络信息，因此要求计算机网络在被攻击和破坏时能够及时发现，及时反映，尽可能快地恢复计算机网络信息中心的服务，减少损失。所以，计算机网络安全系统应该包括：安全防护机制、安全监测机制、安全反应机制和安全恢复机制。

安全防护机制是指根据系统具体存在的各种安全漏洞和安全威胁采取相应的防护措施，避免非法攻击的进行;

安全监测机制是指检测系统的运行情况，及时发现对系统进行的各种攻击;

安全反应机制，能对攻击作出及时的反映，有效制止攻击的进行，防止损失扩大;

安全恢复机制，能在安全防护机制失效的情况下，进行应急处理和尽量及时地恢复信息，降低攻击的破坏程度。

2.2建立分层管理和各级安全管理中心

建立多级安全层次和安全级别。将计算机网络安全系统应用分为不同的级别。包括：对信息保密程度的分级(绝密、机密、秘密、普密);对用户操作权限分级;对计算机网络安全程度分级;对系统实现结构的分级等。从而针对不同级别的安全对象，提供全面、可选的安全算法和安全体制，以满足计算机网络中不同层次的各种实际需求。

3 结束语

保证网络安全和保密涉及的问题是十分复杂的，网络安全不是单一的技术问题，而是一个集技术、管理、法规综合作用为一体的、长期的、复杂的系统工程。在实施过程中尽可能采取多种技术的融合和相关的管理措施，防止网络安全问题的发生。

参考文献：

[1]刘占全.网络管理与防火墙[M].北京:人民邮电出版社,.

[2](美)Kevin D.Mitnick,William L.Simon.入侵的艺术.清华大学出版社,1月.

[3]张仁斌.网络安全技术. 清华大学出版社,8月.

新时代的网络攻击技术 篇3

在病毒攻击的早期，计算机用户往往要与感染有活性病毒的媒介相互作用才能受到病毒的攻击。这些旧攻击技术往往凭借终端用户的疏忽而得手，比如，用户打开一个携带病毒的附件，或接受一个畸形的ActiveX控件或一个有毒的Secure Sockets Layer(SSL)安全证书，从而导致感染其计算机和网络。

可现在，终端用户无需做任何错事就可以被黑客捕捉。在一个研讨会上将此称为“新时代网络攻击”。

“Scob蠕虫攻击”给了我们一个暗示：新时代网络攻击已经来临。Scob蠕虫让黑客安装一个密码记载程序，来记录用户的个人信息，包括用户名、密码和信用卡账号。

这是一个非常复杂的攻击，传统的安全产品没有一个能侦察到它，更不用说反击它了。比如，假称VBScriDt运行的病毒是针对微软IIS服务器的，可以给受害的Web服务器上的网页添加一个恶毒的javascript。

阻止新的攻击

大多数杀毒软件通常使用一种叫“签名(slgnature)"的技术，用来扫描包含有已知病毒行踪的文件和信息包。相反，现在出现的一些锋利无比的安全技术是采用的“行为(behavior)”战术，通过扫描文件和信息包来显示出可疑行为信号。这些可疑行为包括赠与一小段欺诈性的应用程序，来打开电子邮件地址册，并给每一个地址发送电子邮件。

研究员Sabo说：“真正的问题是如何能阻止这些病毒。补丁程序需要时间，因此，杀毒程序就是大多数人唯一的救星。”即使新一代病毒没有出现，旧的杀毒办法也不可能再保护好团体网络和个人电脑。

他说：“传统杀毒软件不能防御恶毒的脚本，因为它不在签名数据库之列。”因为这一小小的原因，森严的防火墙就不再具备完整的防御功能。防火墙处理数据包时，就不能知道网页在做什么。

黑客与杀毒商博弈

Sabo说，当新的弱点被公布时，黑客与杀毒商就会进行一场竞技比赛。在病毒公布之后的第一紧急时段短短几小时或几天里，是用户最容易被感染的危险时期。混合攻击较单一攻击引发更多层面的威胁，又由于许多应用都要依靠Ac-tiveX控件才能实现，因此，取消IE下的ActiveX控件功能将无济于事，失效的ActiveX控件也能导致额外的麻烦。

善于捕杀已知病毒的杀毒软件必须建立第道防线，然后再来分析原因，是因为它不在杀毒软件的签名数据库之列而被漏掉。再接着制定新的防御措施。Finjan的新防御措施是Vital Security(重大安全)。这是一个综合方案，包括URL过滤、垃圾邮件控制、内容过滤和SSL扫描。

更好的捕鼠器

网络攻击的确存在，由于电子邮件过滤技术阻止了几乎所有的传统攻击，因此，黑客开始寻找新的攻击办法和新的攻击目标。黑客似乎已经找到了答案，那就是网络。这些新病毒是如此的危险，以致于他们不需用户做什么就可以感染上病毒。

网络攻击技术——拒绝服务 篇4

关键词：DOS,攻击,拒绝

最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求，如图1所示。

1 分布式拒绝服务

DDoS(分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，

一个比较完善的DDoS攻击体系分成三层，如图2。

1)攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。

2)主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。

3)代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，由它向受害者主机实际发起攻击。

2 DDoS的主要攻击方式及防范策略

2.1 死亡之ping(ping of death)

由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方宕机。

2.2 SYN Flooding攻击

对Windows NT攻击很有效，使用一个伪装的地址向目标计算机发送连接请求叫做IP欺骗技术。当目标计算机收到这样的请求后，就会使用一些资源来为新的连接提供服务，接着回复请求一个肯定答复(叫做SYN-ACK)。由于SYN-ACK是返回到一个伪装的地址，没有任何响应。于是目标计算机将继续设法发送SYN-ACK。一些系统都有缺省的回复次数和超时时间，只有回复一定的次量、或者超时时，占用的资源才会释放。NT设罢为可回复5次，每次等待时间加倍：则：3+6+12+24+48+96=189S

2.3 Land攻击

在Land攻击中，一个特别打造的SYN包它的源地址和目标地址都被设置成某一个服务器地址，此举将导致接收服务器向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK消息并创建一个空连接，每一个这样的连接都将保留直到超时掉，对Land攻击反应不同，许多UNIX实现将崩溃，NT变的极其缓慢(大约持续五分钟)。

2.4 Smurf攻击

基于互联网控制信息包(ICMP)的Smurf攻击是一种强力的拒绝服务攻击方法，主要利用的是IP协议的直接广播特性。Smurf攻击对被攻击的网络，以及被利用来做扩散器的网络都具有破坏性。在这种拒绝服务攻击中，主要的角色有：攻击者、中间代理(也就是所说的扩散器);牺牲品(目标主机)。

2.4.1 Smurf攻击的过程

Smurf攻击并不十分可怕;它仅仅是利用IP路由漏洞的攻击方法。攻击通常分为以下五步：

1)锁定一个被攻击的主机(通常是一些Web服务);

2)寻找可做为中间代理的站点，用来对攻击实施放大(通常会选择多个，以便更好地隐藏自己，伪装攻);

3)黑客给中间代理站点的广播地址发送大量的ICMP包(主要是指Ping echo包)。这些数据包全都以被攻击的主机的IP地址做为IP包的源地址;

4)中间代理向其所在的子网上的所有主机发送源IP地址欺骗的数据包;

5)中间代理主机对被攻击的网络进行响应。

2.4.2 防止你的网络遭受Smurf攻击

首先，千万不能让你的网络里的人发起这样的攻击。在Smurf攻击中，有大量的源欺骗的IP数据包离开了第一个网络

通过在路由器上使用输出过滤，你就可以滤掉这样的包，从而阻止从你的网络中发起的Smurf攻击。

在路由器上增加这类过滤规则的命令是：

Access-list 100 permit IP{你的网络号}{你的网络子网掩码}any

其次，停止你的网络做为中间代理。如果没有必须要向外发送广播数据包的情况，就可以在路由器的每个接口上设置禁止直接广播，命令如下：

2.5 Fraggle攻击

Fraggle攻击与Smurf攻击类似，但它使用的不是ICMP，而是UDP Echo。

可以在防火墙上过滤掉UDP应答消息来防范

2.6 炸弹攻击

炸弹攻击的基本原理是利用工具软件，集中在一段时间内，向目标机发送大量垃圾信息，或是发送超出系统接收范围的信息，使对方出现负载过重、网络堵塞等状况，从而造成目标的系统崩溃及拒绝服务。常见的炸弹攻击有邮件炸弹、聊天室炸弹等。

防御：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。

3 配置路由器、防火墙和入侵检测系统来抵御DDoS攻击

3.1 抵御Smurf

1)确定是否成为了攻击平台：对不是来自于内部网络的信息包进行监控;监控大容量的回音请求和回音应答信息包。

2)避免被当做一个攻击平台：在所有路由器上禁止IP广播功能;将不是来自于内部网络的信息包过滤掉。

3)减轻攻击的危害：在边界路由器对回音应答信息包进行过滤，并丢弃;对于Cisco路由器，使用CAR来规定回音应答信息包可以使用的带宽最大值。

3.2 抵御trinoo

1)确定是否成为了攻击平台：在master程序和代理程序之间的通讯都是使用UDP协议，因此对使用UDP协议(类别17)进行过滤;攻击者用TCP端口27655与master程序连接，因此对使用TCP(类别6)端口27655连接的流进行过滤;master与代理之间的通讯必须要包含字符串“l44”，并被引导到代理的UDP端口27444，因此对与UDP端口27444连接且包含字符串“l44”的数据流进行过滤。

2)避免被用作攻击平台：将不是来自于你的内部网络的信息包过滤掉。

3)减轻攻击的危害：从理论上说，可以对有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列进行过滤，并丢弃它们。

3.3 抵御TFN和TFN2K

1)确定是否成为了攻击平台：对不是来自于内部网络的信息包进行监控。

2)避免被用作攻击平台：不允许一切到你的网络上的ICMP回音和回音应答信息包，当然这会影响所有要使用这些功能的Internet程序;将不是来源于内部网络的信息包过滤掉。

3.4 抵御Stacheldraht

1)确定是否成为了攻击平台：对ID域中包含值666、数据域中包含字符串“skillz”或ID域中包含值667、数据域中包含字符串“ficken”的ICMP回音应答信息包进行过滤;对源地址为“3.3.3.3”的ICMP信息包和ICMP信息包数据域中包含字符串“spoofworks”的数据流进行过滤。

2)避免被用作攻击平台：不允许一切到你的网络上的ICMP回音和回音应答信息包,当然这会影响所有要使用这些功能的Internet程序;将不是来源于内部网络的信息包过滤掉;将不是来源于内部网络的信息包过滤掉。

4 总结

网络安全中，拒绝服务攻击以其危害巨大，难以防御等特点成为黑客经常采用的攻击手段。本文从原理、对网络的危害以及防范方法上面来分析拒绝服务攻击，如何防范拒绝服务攻击。

参考文献

[1]赵安军.网络安全技术与应用[M].北京:人民邮电出版社,2007.

[2]俞承杭.计算机网络与信息安全技术[M].北京:机械工业出版社,2008.

网络攻击检测技术论文 篇5

2.1网络攻击技术的双重性

互联网具有开放性，由于网络技术的发展，很多网络技术开始进行跨国攻击，窃取别国的机密文件，为此不仅要积极防御网络攻击，还要努力提高自身的网络安全技术。虽然网络攻击技术有着一定的缺点，但是我们要用发展的眼光来看待网络攻击技术，网络攻击技术有利于网络的安全。网络攻击技术的发展，使得我们必须要去研究了解它，保证网络的安全，随着信息技术的.发展，要想保证国家信息的安全，必须要不断开发具有知识自主产权的网络安全产品。

2.2网络攻击技术促进了网络技术的发展

网络攻击技术的发展，使得网络产品不断改善，从而促进了网络安全。hacker和间谍利用网络技术对计算机进行攻击，从一定程度上促使了网络安全产业的发展，从而推动了互联网的发展，网络攻击技术能够带来技术的创新。当然网络管理人员能够充分利用网络攻击技术来找出网络系统的安全漏洞，采取一定的措施来加强网络的安全，从而使网络攻击技术服务于网络安全。

2.3网络攻击技术为国家安全服务

随着社会经济的发展，信息化程度日益加深，人们的日常生活越来越离不开网络，许多网络都存在着管理漏洞，容易使机密文件泄露，因此网络安全对于国家的国防安全以及经济发展十分重要。必须要防御网络攻击技术，增强网络安全，这样才能在未来的信息战中取得胜利。

3结束语

网络攻击的种类分析 篇6

摘要：随着INTERNET的进一步发展，各种网上活动日益频繁，尤其网上办公、交易越来越普及，使得网络安全问题日益突出，各种各样的网络攻击层出不穷，如何防止网络攻击，保护个人、单位的网络环境变得尤为重要。

关键词：网络攻击种类

1网络攻击概述

网络安全是一个永恒的话题，因为计算机只要与网络连接就不可能彻底安全，网络中的安全漏洞无时不在，随着各种程序的升级换代，往往是旧的安全漏洞补上了，又存在新的安全隐患，网络攻击的本质实际上就是寻找一切可能存在的网络安全缺陷来达到对系统及资源的损害。

网络攻击一般分为三个阶段：

第一阶段：获取一个登录账号对UNLX系统进行攻击的首要目标是设法获取登录账号及口令，攻击者一般先试图获取存在于/etc/passwd或NIS映射中的加密口令文件，得到该口令文件之后，就对其运行Crack，借助于口令字典，Crack甚至可以在几分钟内破译一个账号。

第二阶段：获取根访问权进入系统后，入侵者就会收集各种信息，寻找系统中的种种漏洞，利用网络本身存在的一些缺陷，设法获取根访问权，例如未加限制的NFS允许根对其读和写。利用NFS协议，客户给与服务器的安装守护程序先交换信息，信息交换后，生成对NFS守护程序的请求，客户通过这些请求对服务器上的文件进行读或写操作。因此，当客户机安装文件系统并打开某个文件时，如果入侵者发出适当各式的UDP数据报，服务器就将处理NFS请求，同时将结果回送客户，如果请求是写操作，入侵者旧可以把信息写入服务器中的磁盘。如果是读操作，入侵者就可以利用其设置于服务器和客户机之间的窥探器了解服务器磁盘中的信息，从而获得根访问

第三阶段：扩展访问权一旦入侵者拥有根访问权，则该系统即可被用来供给网络上的其他系统。例如：可以对登录守护程序作修改以便获取口令：增加包窥探仪可获取网络通信口令：或者利用一些独立软件工具动态地修改UNLX内核，以系统中任何用户的身份截击某个终端及某个连接，获得远程主机的访问权。

2攻击的种类及其分析

普通的攻击一般可分以下几种：

2.1拒绝服务攻击拒绝服务攻击不损坏数据，而是拒绝为用户服务，它往往通过大量不相关的信息来阻断系统或通过向系统发出会，毁灭性的命令来实现。例如入侵者非法侵入某系统后，可向与之相关连的其他系统发出大量信息，最终导致接收系统过载，造成系统误操作甚至瘫痪。这种供给的主要目的是降低目标服务器的速度，填满可用的磁盘空间，用大量的无用信息消耗系统资源，是服务器不能及时响应，并同时试图登录到工作站上的授权账户。例如，工作站向北供给服务器请求NlSpasswd信息时，攻击者服务器则利用被攻击服务器不能及时响应这一特点，替代被攻击服务器做出响应并提供虚假信息，如没有口令的纪录。由于被攻击服务器不能接收或及时接收软件包，它就无法及时响应，工作站将把虚假的响应当成正确的来处理，从而使带有假的passwd条目的攻击者登录成功。

2.2同步(SYN)攻击同步供给与拒绝服务攻击相似，它摧毁正常通信握手关系。在SYN供给发生时，攻击者的计算机不回应其它计算机的ACK，而是向他发送大量的SYN ACK信息。通常计算机有一缺省值，允许它持特定树木的SYN ACK信息，一旦达到这个数目后，其他人将不能初始化握手，这就意味着其他人将不能进入系统，因此最终有可能导致网络的崩溃。

2.3Web欺骗攻击Web欺骗的关键是要将攻击者伪造的Web服务器在逻辑上置于用户与目的Web服务器之间，使用户的所有信息都在攻击者的监视之下。一般Web欺骗使用两种技术：URL地址重写技术和相关信息掩盖技术。

利用URL地址重写技术，攻击者重写某些重要的Web站点上的所有URL地址，使这些地质均指向攻击者的Web服务器。

当用户与站点进行安全链接时，则会毫无防备地进入攻击者服务器。此时用户浏览器首先向攻击者服务器请求访问，然后由攻击者服务器向真正的目标服务器请求访问，目标服务器向攻击服务器传回相关信息，攻击者服务器重写传回页面后再传给用户。此时浏览器呈现给用户的的确是一个安全链接，但连接的对象却是攻击者服务器。用户向真正Web服务器所提交的信息和真正Web服务器传给用户的所有信息均要经过攻击者服务器，并受制于它，攻击者可以对所有信息进行记录和修改。

由于浏览器一般均设有地址栏和状态栏，当浏览器与某个站点连接时，可以在地址栏中和状态栏中获取连接中的Web站点地址及相关的传输信息，用户可由此发现问题，所以一般攻击者往往在URL地址重写的同时，利用相关信息掩盖技术即一般用的JavaScript程序来地址栏和状态栏信息，以达到其掩盖欺骗的目的。

2.4TCP/IP欺骗攻击IP欺骗可发生在IP系统的所有层次上，包括硬件数据链路层、IP层、传输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外，由于用户本身不直接与底层结构相互交流，有时甚至根本没有意识到这些结构的存在，因而对底层的攻击更具欺骗性。

lP欺骗供给通常是通过外部计算机伪装成另一台合法机器来实现的。他能破坏两台机器间通信链路上的正常数据流，也可以在通信链路上插入数据，其伪装的目的在于哄骗网络中的其他机器误将攻击者作为合法机器而加以接受，诱使其他机器向它发送数据或允许它修改数据。

由于许多应用程序最初设计时就是把信任建立于发送方IP地址的薄，即如果包能够使其置身沿着陆由到达目的地，并且应答包也可以回到原地，则可以肯定源IP地址是有效的。因此一个攻击者可以通过发送有效IP源地址属于另一台机器的IP数据报来实施欺骗。

一方面现有路由器的某些配置使得网络更容易受到IP欺骗攻击。例如有些路由器不保护IP包端口源的信息，来自端口的所有lP包被装入同一个队列然后逐个处理。假如包指示IP源地址来自内部网络，则该包可转发。因此利用这一点网络外不用户只要设法表明是一种内部IP地址即可绕过路由器法送报。

另一方面，攻击者使用伪造的IP地址发送数据报，不仅可以获取数据报特有的有效请求，还可以通过预测TCP字节顺序号迫使接收方相信其合法而与之进行连接，从而达到TCP欺骗连接。

3网络上常见的几种攻击方式

3.1密码攻击用户在拨号上网时，如果选择了“保存密码”的功能，则上网密码将被储存在windows目录中，以“username pwl”的形式存放。如果不小心被别人看到这个文件，那就麻烦了，因为从网上可以很轻松地找到诸如pwlview这样的软件来观看其中的内容，那上网密码就泄漏了。

有的人使用名字、生日、电话号码等来做密码，更有的人的密码

干脆和用户名一样，这样的密码，在黑客攻击软件庞大的字典文件面前简直是不堪一击。

3.2木马程序攻击木马程序是一种特殊的病毒，它通过修改注册表等手段使自己悄悄地潜伏在系统中，在用户上网后，种植木马的黑客就可以通过服务器端木马程序控制你的计算机，获取你的口令等重要信息，其危害性非常大。

3.3垃圾邮件攻击垃圾邮件是指向他人电子信箱发送未经许可的，难以拒绝的电子邮件或电子邮件列表，其内容包括广告信息、电子杂志、网站信息等。用户的电子信箱被这些垃圾邮件充斥后，会大大占用网络资源，导致网络阻塞，严重的还会使用户的邮箱被“炸”掉，使邮箱不能正常工作。

3.4通过聊天软件攻击用户在用聊天软件聊天时，黑客用一些小软件就可查出对方聊天者的lP地址，然后通过lP炸弹阮家对用户的机器进行轰炸，使之蓝屏或死机。

4网络攻击的六大趋势

4.1自动化程度和攻击速度提高攻击工具的自动化水平不断提高。自动化攻击涉及四个阶段，每个阶段都出新变化。

扫描可能的受害者。自1997年起，广泛的扫描变得司空见惯。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。

损害脆弱的系统。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。

传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。

攻击工具的协调管理。随着分布式攻击工具的出现，攻击者可以管理和协调公布在许多Internet系统上的大量一部书的攻击工具。目前，分布式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。

4.2攻击工具越来越复杂攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具有三个特点：反侦破，攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；动态行为，早期的攻击工具是以但已确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为；攻击工具的成熟性，与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的功绩，且在每一次攻击中会出现多种不同形态的攻击工具。

4.3发现安全漏洞越来越快新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修复这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

4.4越来越高的防火墙渗透率防火墙使人们牙防反入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙。例如，(IPP Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。

4.5越来越不对称的威胁Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的阿安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技术的提高，威胁的不对称性将继续增加。

4.6对基础设施将形成越来越大的威胁基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统DNS的攻击和对路由器攻击或利用路由器的攻击。

网络攻击技术与网络安全分析 篇7

1 网络中常见的攻击技术

随着网络技术的发展, 网络的攻击技术也越来越高端, 网络攻击开始朝着低

门槛和自动化的趋势发展, 间谍和黑客技术已经成为最常见的网络攻击技术。

1.1 系统漏洞

若计算机的操作系统以及应用软件存在系统漏洞, 间谍就会利用这一安全漏洞来远程控制计算机, 致使计算机中的重要文件资料被轻易窃取。当然这种攻击方式是将口令作为攻击对象, 对计算机中的程序进行猜测破译, 若需要验证口令时, 将会自行避开, 并冒名顶替合法的用户, 从而轻易的潜入目标计算机中, 控制计算机。当然许多计算机用户为了弥补这一安全漏洞, 通过“打补丁”的方式来解决系统漏洞的问题, 但是还是有部分计算机用户没有这种安全意识, 使得计算机系统漏洞长期存在, 导致网络间谍能够远程操控计算机。

1.2 口令简单

随着网络技术的发展, 为了防止网络信息的泄露, 大多计算机用户都会在计算机中设置密码, 从而禁止陌生人的访问权限, 一般计算机用户会设置开机密码, 也会对电子邮箱设置密码从而来限制访问权限。但是有部分计算机用户没有设置密码, 致使攻击者能够轻而易举地在计算机上建立空链接来远程控制计算机。当然若设置的密码较为简单也能够使计算机轻易被攻击。

1.3 木马程序

计算机中木马程序是由木马和控守中心组成, 在计算机中是一种较为隐蔽的远程控制软件。一般为了防止计算机被追踪, 会在计算机程序中增加跳板, 从而更好的连接控守中心和木马。木马利用跳板来联系控守中心, 而操作控守中心的人可以利用网络来控制用户的计算机, 从而来监视用户的举动, 窃取用户的文件资料, 甚至是监听用户的谈话内容。计算机系统漏洞会导致木马病毒攻击计算机, 其攻入计算机的途径多样, 如利用用户浏览网页的空隙潜伏在连接上, 藏于邮件的附件以及程序中, 从而来攻击计算机。当然木马很善于隐藏技术, 有些木马利用代码注入技术潜伏在计算机系统程序中, 有些木马改变名字如window.exe等, 利用用户不了解计算机系统来隐藏自己。木马病毒攻击计算机可能会导致计算机系统的崩溃。

1.4 嗅探器

网络嗅探就是网络监听, 是利用计算机中的网络共享通道来获取数据, 是较为高端的网络技术。当然嗅探器进行监听的途径有两种:一是利用网络连接设备来进行监听活动, 如将监听软件放置在网关服务器上;二是利用具有安全漏洞的局域网来进行监听活动。在一般的网络环境中, 网络信息是以明文的方式进行传输, 间谍只要获取一台主机的管理员权限, 就可以对局域网的数据进行监听活动, 操控计算机。而网络监听软件可以将用户的聊天记录以及电子邮件密码全部监听, 在互联网上较为盛行的监听软件是MSN, 一般安装MSN软件之后, 可以对本地局域网中使用MSN软件用户的聊天内容进行监听活动。

2 网关攻击技术对网络安全的作用

网络技术的发展, 使得网络攻击技术越来越高端, 要想减少黑客以及间谍的

攻击, 保证网络的安全, 必须要对网络攻击技术进行深入剖析, 使其能有效保障网络安全。

2.1 网络攻击技术的双重性

互联网具有开放性, 由于网络技术的发展, 很多网络技术开始进行跨国攻击, 窃取别国的机密文件, 为此不仅要积极防御网络攻击, 还要努力提高自身的网络安全技术。虽然网络攻击技术有着一定的缺点, 但是我们要用发展的眼光来看待网络攻击技术, 网络攻击技术有利于网络的安全。网络攻击技术的发展, 使得我们必须要去研究了解它, 保证网络的安全, 随着信息技术的发展, 要想保证国家信息的安全, 必须要不断开发具有知识自主产权的网络安全产品。

2.2 网络攻击技术促进了网络技术的发展

网络攻击技术的发展, 使得网络产品不断改善, 从而促进了网络安全。黑客和间谍利用网络技术对计算机进行攻击, 从一定程度上促使了网络安全产业的发展, 从而推动了互联网的发展, 网络攻击技术能够带来技术的创新。当然网络管理人员能够充分利用网络攻击技术来找出网络系统的安全漏洞, 采取一定的措施来加强网络的安全, 从而使网络攻击技术服务于网络安全。

2.3 网络攻击技术为国家安全服务

随着社会经济的发展, 信息化程度日益加深, 人们的日常生活越来越离不开网络, 许多网络都存在着管理漏洞, 容易使机密文件泄露, 因此网络安全对于国家的国防安全以及经济发展十分重要。必须要防御网络攻击技术, 增强网络安全, 这样才能在未来的信息战中取得胜利。

3 结束语

信息技术的发展促进了社会经济的发展, 使得网络技术有了很大的发展空间, 但同时也无法避免网络攻击行为, 因此加强防御意识, 掌握网络核心技术, 确保网络信息安全十分之必要。

摘要：社会经济的迅速发展, 科学技术的日新月异, 推动着信息网络技术的发展, 互联网开始进入人们的视线, 对人们的生产生活产生了巨大的影响。随着互联网技术的发展, 人们越来越依赖于网络, 虽然互联网方便了人们的生产生活, 在人们的日常生活中越来越普及, 但是其存在也带来了一系列的问题。随着互联网的发展, 网络的攻击技术也在不断发展, 严重影响了人们的日常生活。本文就网络攻击技术进行深入剖析, 试探性地提出几点网络安全防范措施, 希望能给相关工作人们起到参考与借鉴的作用, 以期从根本上解决这一问题。

关键词：网络攻击技术,网络安全

参考文献

[1]苏剑飞, 王景伟.网络攻击技术与网络安全探析[J].通信技术, 2010, 01:91-93.

[2]温伟强.网络攻击技术与网络安全探析[J].网络安全技术与应用, 2015, 01:79+81.

[3]顾海浪.对网络攻击技术和网络安全工作的分析研究[J].电子世界, 2012, 18:117-118.

网络攻击技术与网络安全探析 篇8

1 几种常用的网络攻击技术

随着计算机网络的更新换代, 网络的攻击方法也是越来越多, 而且网络攻击也有了自动化趋势, 网络攻击技术目前广泛被黑客和间谍所使用。

1.1 网络系统漏洞

计算机网络系统漏洞主要是指实际操作系统在逻辑设计上存在缺陷, 在编写程序的过程当中出现了编写失误。这些错误就会被黑客或者间谍用远程等手段来控制计算机, 在黑客控制计算机的这一时间内, 计算机中的一切资料信息都会被窃取, 窃取的方式一般都是以口令作为主要的攻击目标。有的时候也会冒充合法用户直接潜入到攻击的计算机中, 从而获取计算机的控制权。我们的计算机开发商也是发现了这一问题, 研究出了很多的打补丁方法, 这样的一种方法在一定程度上是缓解了计算机的系统漏洞, 但是从目前的使用情况来看, 很多人对打补丁的态度都是比较冷淡的, 并没有这方面的意识, 这样一来必定会造成计算机系统长期在系统漏洞中运行, 这样的话就会给黑客可乘之机, 一旦被侵入, 后果不堪设想。

1.2 口令过于简单

人们为了保护自己的隐私, 所以大部分的用户都会使用密码来限制授权访问, 像电脑的开机密码, 系统用户密码, 等等, 但是大部分的使用者为了方便, 所有的密码都选择了一个, 而且是非常简单好记的, 这样的一种密码设置就非常容易给攻击者建立空连接, 攻击者这时会极其容易的控制远程用户的计算机, 即便用户设置了密码, 但是由于密码相对比较简单, 所以破解也就是时间问题。

1.3 木马软件

木马软件属于一种隐蔽性极强的远程控制软件, 当前计算机木马程序主要是由木马和控守中心组成, 为了防止安全人员对木马软件进行追踪, 木马软件还会增加跳板, 它属于木马和控守中心的桥梁。木马会利用跳板与控守中心联系, 后面拥有控守中心的人就会通过网络技术直接控制用户的计算机, 从而轻松获取密码。甚至个人通信方面的信息都会被全面掌握。也就是说只要你计算机上有的信息资源, 攻击者都会知晓, 如果再有摄像头和麦克风的话, 那么攻击者也能够实时的窃听用户的所有谈话内容。

计算机系统本身就存在很多的漏洞, 再加上我们的用户在使用计算机的时候也不去注重网络安全问题, 这样的一种习惯也让木马有了可乘之机, 木马会通过不同的方式方法进入到计算机当中。打个比方, 用户在浏览网页的时候, 木马就可能藏在链接中, 在下载某些程序的时候, 木马可能会和程序捆绑而来, 还有一部分木马会采用隐藏技术, 像将自己的名字改为window.exe, 不了解电脑系统的人一看就以为是系统软件, 不敢删除, 而从计算机防火墙的监控日志中也是很难判断系统进程是正常连接还是恶意连接。据有关部门统计, 木马攻击会占到全部软件病毒破坏事件的90%以上。

2 利用网络攻击技术维护网络安全

在网络信息时代, 要想消除网络攻击造成的影响是不现实的, 我们现在唯一能做的就是采取相关措施来减少网络泄密事件的发生几率。

2.1 网络攻击技术的双面性特征

由于互联网的开放性特征, 使得网络技术会出现跨国攻击, 而这样的一种网络间谍技术不仅可以用于攻击网络, 也可以用于网络安全防御。攻防兼备才是信息化发展的基础, 而网络攻击技术的出现对于一部分软件的开发商来说是不利的, 但是从长远的发展角度来看, 网络攻击技术对网络安全的保障也是很大的, 网络攻击技术的发展有利于国家安全的稳定, 网络攻击技术之所以会存在双面性。究其原因, 如果我们不去研究网络攻击技术, 那么网络攻击技术就会反客为主, 我们就会受制于它, 而随着信息技术的不断更新发展, 我们需要开发出具有自主知识产权的网络安全产品来保护我国的网络安全信息。

2.2 网络攻击技术融入到互联网信息战

随着社会的信息化程度不断提高, 计算机网络与人们生产生活之间的关系也是越来越紧密。如果说一个国家的信息网络遭受到了打击, 那么必定会对这一国家的社会经济造成极大的影响。总地来说, 网络在运行的过程当中必定会存在系统漏洞, 很多的机密文件都会被泄露出去, 信息战将会成为未来社会主要的战争, 在信息战还没有打起来之前, 谁也不知道一旦出现会造成多大的破坏, 要想在打信息战之前做好防御工作, 就要对网络攻击技术进行细化研究, 找出我国网络安全的薄弱环节, 进而推动我国信息安全的有序发展。不断强化我国在信息战中的防卫、反击能力。

2.3 网络攻击技术可以推动网络技术的发展

网络攻击技术的出现会让网络产品的供应商不断的改进自身的产品。力求最大限度上增强网络的安全性。而在黑客以及网络攻击技术的出现让计算机网络安全的相关产业随之出现。这种新型产业也极大的推动了互联网的发展。而计算机的系统管理员也可以利用这些网络技术来查找系统存在的漏洞, 将网络攻击技术换一种使用方式, 不断的增强网络的安全性。这样也能够通过利用网络攻击技术来为网络安全服务。

摘要：针对当前互联网发展的特征, 在阐述目前互联网安全现状和网络所存在的问题的基础上, 重点分析了网络信息安全影响比较严重的几种网络攻击技术, 提出了利用网络攻击技术来创建网络的安全体系, 及时发现和遏制网络信息的泄露。

关键词：网络攻击,网络安全,技术

参考文献

[1]周予倩.基于防御视角的常见网络攻击技术发展趋势研究[J].计算机光盘软件与应用, 2012, (22) :55-56.

[2]陈金阳, 蒋建中, 郭军利, 等.网络攻击技术研究与发展趋势探讨[J].信息安全与通信保密, 2004, (12) :37-39.

[3]陈峰, 罗养霞, 陈晓江, 等.网络攻击技术研究进展[J].西北大学学报 (自然科学版) , 2007, (02) :26-27.

[4]敖腾河, 庞滨, 谢辉.数据库触发器机制在IDS系统中的应用[C]//第二十四届中国数据库学术会议论文集 (技术报告篇) .2007.

网络攻击技术与防范技术的初探 篇9

网络攻击分为四步:窥探设施, 查点, 攻击系统, 扫尾工作。

第一步是窥探设施。攻击者首先利用一些网络工作, 来确定被攻击系统在网络上的设置和结构, 发现目标系统的外围安全设备类型并确定侵入点, 通过外围安全设备的薄弱环节, 进入网络的正常服务, 如通过电子邮件系统和主页等进入网络。

第二是查点。侵入者一旦获得进入网络的权利, 便会在外围设备中为自己寻找一个安全的、不易被发现的落脚点.通常侵入者会选择一个能够获得root权限的主机作为落脚点。落脚点确定后, 外部入侵者就变成了系统内部一员。

第三是系统攻击。落脚后, 入侵者就在系统内部寻找可盗窃的数据和可破坏的目标, 主要包括偷窃软件源代码和感兴趣的数据、访问机密文件、破坏数据、硬件及为再次入侵安置“特洛伊木马”等。

第四是扫尾工作。攻击和破坏得手后, 入侵者会安装后门及清除入侵痕迹。以防被发现。典型的作法是删除或替换系统的日志文件。

2 攻击系统中常用的攻击技术

网络攻击技术是一系列技术的综合运用, 攻击者必须掌握各种关键攻击技术, 理解各种攻击技术应用的局限性和限制条件;反之, 防御者也需要了解攻击技术的内涵, 才能制定有针对性的防范策略。

常见的网络攻击技术有口令破解技术, 网络嗅探技术, 网络端口扫描技术等。

2.1 口令破解技术

口令机制是资源访问控制的第l道屏障。1988年小莫里斯的“蠕虫事件”, 以破解用户的弱口令为突破口, 致使攻击成功。计算机硬件和软件技术的发展, 使口令攻击更为有效。首先, CPU的速度有了很大的提高, 再加上网络的普及和分段攻击算法的发展, 使攻击者有了千倍于l0年前的计算能力进行口令攻击。其次, 用户仍然喜欢选择容易记忆的口令, 大约20%~30%的口令可通过对字典或常用字符表进行搜索或简单的置换发现, 因此这些口令属于弱口令。还有, 可读的加密口令文使口令攻击更为有效。

攻击者要进行口令攻击通常需要具备如下条件:

(1) 高性能计算机;

(2) 大容量的在线字典或其他字符列表;

(3) 已知的加密算法;

(4) 可读的口令文件;

(5) 口令以较高的概率包含于攻击字典中。

2.2 网络嗅探技术

网络嗅探器 (Network Sniffer) 是一种黑客工具, 用于窃听流经网络接口的信息, 从而获取用户会话信息:如商业秘密、认证信息 (用户名、口令等) 。一般的计算机系统通常只接收目的地址指向自己的网络包。其他的包被忽略。但在很多情况下, 一台计算机的网络接口可能收到目的地址并非指向自身的网络包。在完全的广播子网中, 所有涉及局域网中任何一台主机的网络通信内容均可被局域网中所有的主机接收到, 这就使得网络窃听变得十分容易。目前的网络嗅探器大部分是基于以太网的, 其原因在于以太网广泛地应用于局域网。

技术上讲, 进行网络嗅探主要有2个问题:

(1) 如何使用网络接口 (网卡) 接收目的地址并不指向自己的网络包。以太网接口提供了“杂模式” (Prosmiscuous Mode) , 在该模式下, 主机的网络接口接收所有经过网络介质的数据, 包括那些目的地址并不指向该主机的网络包。

(2) 如何从数据链路层获取这些包。不同的系统提供了不同的数据链路存取方法, 通过检测一些特殊设备或文件的存在, 可以识别出该计算机操作系统所支持的捕获网络数据包的方式。

2.3 网络端口扫描技术

2.3.1 全TCP连接

全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试 (使用三次握手) 与目的机指定端口建立建立正规的连接。连接由系统调用connect () 开始。对于每一个监听端口, connect () 会获得成功, 否则返回-1, 表示端口不可访问。由于通常情况下, 这不需要什么特权, 所以几乎所有的用户 (包括多用户环境下) 都可以通过connect来实现这个技术。

这种扫描方法很容易检测出来 (在日志文件中会有大量密集的连接和错误记录) 。Courtney, Gabriel和TCP Wrapper监测程序通常用来进行监测。另外, TCP Wrapper可以对连接请求进行控制, 所以它可以用来阻止来自不明主机的全连接扫描。

2.3.2 TCP SYN扫描

在这种技术中, 扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST, 那么说明端口是关闭的, 按照设定就探听其它端口;如果应答中包含SYN和ACK, 说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息, 传送一个RST给目标机从而停止建立连接。由于在SYN扫描时, 全连接尚未建立, 所以这种技术通常被称为半打开扫描。SYN扫描的优点在于即使日志中对扫描有所记录, 但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下, 发送主机需要构造适用于这种扫描的IP包, 通常情况下, 构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。

2.3.3 秘密扫描技术

由于这种技术不包含标准的TCP三次握手协议的任何部分, 所以无法被记录下来, 从而必SYN扫描隐蔽得多。另外, FIN数据包能够通过只监测SYN包的包过滤器。

秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口, 数据包会被丢掉, 并且回返回一个RST数据包。否则, 当一个FIN数据包到达一个打开的端口, 数据包只是简单的丢掉 (不返回RST) 。

Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN, URG和PUSH标记, 而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤。

秘密扫描通常适用于UNIX目标主机, 除过少量的应当丢弃数据包却发送reset信号的操作系统 (包括CISCO, BSDI, HP/UX, MVS和IRIX) 。在Windows95/NT环境下, 该方法无效, 因为不论目标端口是否打开, 操作系统都发送RST。跟SYN扫描类似, 秘密扫描也需要自己构造IP包。

2.3.4 间接扫描

间接扫描的思想是利用第三方的IP (欺骗主机) 来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息, 所以必须监控欺骗主机的IP行为, 从而获得原始扫描的结果。间接扫描的工作过程如下:

假定参与扫描过程的主机为扫描机, 隐藏机, 目标机。扫描机和目标记的角色非常明显。隐藏机是一个非常特殊的角色, 在扫描机扫描目的机的时候, 它不能发送任何数据包 (除了与扫描有关的包) 。

3 网络安全的防范技术

网络的攻击与防范是一对矛盾, 攻击技术的发展促进了防范技术的发展。

3.1 防火墙技术

防火墙的作用可以说是“一夫当关, 万夫莫开”, 它是计算机硬件与软件的组合, 常被放在内网与外网之间, 起到隔离的作用, 使得互联网上的危险不能漫延到内部网络当中。

但是它不能防范内部的攻击。防火墙技术是目前最有效的最成熟的网络安全技术, 防火墙产品目前约有三千多种, 目前防火墙产品一般都具有防止拒绝服务攻击的功能。

3.2 反病毒技术

反病毒技术主要包括杀毒技术及防毒技术。俗话说, 治病不如防病, 同样地, 计算机病毒的预防也是非常重要的。由于计算机病毒层出不穷, 安装反病毒软件后也不能保证计算机不中病毒, 关键是要经常更新病毒库, 及时安装补丁。

3.3 入侵检测技术

(上接32页) 心技术之一, 它的主要作用是发现网络当中的正在发生的入侵行为, 实时报警。入侵检测常需要用到专家系统技术, 人工智能技术等。是一项高智能的技术, 因此, 目前成熟的产品不多。

3.4 加密技术

在网络当中, 信息的保密性是非常重要的。利用加密技术可以确定信息在Internet上传输的保密和安全。密码学技术源远流长, 相关理论和技术都很成熟, 因此在网络安全特别是电子商务安全中的应用十分广泛。加密技术可以分为对称加密和非对称加密。非对称加密是1973年以后才出现的, 它的出现也使得电子证书等技术得到实现, 也使得加密技术在网络安全中是不可缺少的。目前Internet中广泛使用的SSL, SET, PGP等协议也都使用了加密技术, 为电子商务的安全保驾护航。网络防范技术还包括身份认证技术, 数据备份技术、VPN技术等。

由于计算机网络的特点, 一个完全可靠的网络系统是不存在的, 使用加密技术, 防火墙技术, 入侵检测技术等可以建立一个高效、稳定的网络。网络攻击技术不断在发展, 网络的防范技术也需要不断更新和提高。

摘要：网络技术的发展已经给整个社会的科学技术、经济与文化带来了巨大的推动和冲击。而在实际应用中, 网络安全一直面临着巨大的挑战。随着Internet的不断发展, 信息技术已成为促进经济发展、社会进步的巨大推动力, 当今社会高度的计算机化信息资源对任何人都变得极有价值, 不管是存储在工作站中、服务器里还是流通于Intemet上的信息都已转变成为一个关系事业成败的关键策略点, 这就使得信息的安全性变得格外重要。然而, 由于Intemet是一个面向大众的开放系统, 对于信息的保密和系统的安全考虑得并不完备, 网络与信息安全问题随着网络技术的不断更新而愈发严重。网络规模迅猛增长和计算机系统El益复杂, 导致新的安全问题层出不穷。传统的安全防护手段如防火墙、入侵检测、安全漏洞探测、虚拟专用网等在同网络黑客进行斗争的过程中发挥了巨大的作用, 但是在层出不穷的网络攻击技术面前这些传统的安全防御手段显得有些力不从心。

关键词：网络攻击,网络探测,隐藏踪迹

参考文献

[1]陈明.网络安全教程[M].北京:清华大学出版社, 2004.

[2]李光文, 计算机网络安全[M].武汉:湖北人民出版社, 2003.

网络攻击的实施和技术分析 篇10

关键词：网络攻击,网络仿真,端口扫描,入侵检测

“网络攻击”是指任何的非授权而进入或试图进入他人计算机网络的行为。这种行为包括对整个网络的攻击,也包括对网络中的服务器或单个计算机的攻击。攻击的目的在于干扰、破坏、摧毁对方服务器的正常工作,攻击的范围从简单地使某种服务器无效到完全破坏整个网络。简单的说,对网络安全管理员来说,可能导致一个网络受到破坏、网络服务受到影响的所有行为都应称为攻击。

1 网络嗅探技术

嗅探技术是网络安全攻防技术中很重要的一种。对黑客来说,通过嗅探技术能以非常隐蔽的方式取网络中的大量敏感信息,与主动扫描相比,嗅探行为更难被察觉,也更容易操作。对安全管理人员来说,借助嗅探技术,可以对网络活动进行实时监控,并发现各种网络攻击行为。嗅探器实际是一把双刃剑。虽然网络嗅探技术被黑客利用后会对网络安全构成一定的威胁,但嗅探器本身的危害并不是很大,主要是用来为其他黑客软件提供网络情报,真正的攻击主要是由其他黑客软件来完成[1]。

嗅探器最初是作为网络管理员检测网络通信的一种工具,它既可以是软件,又可以是一个硬件设备。软件嗅探应用方便,针对不同的操作系统平台都有多种不同的软件嗅探,而且和多都是免费的:硬件嗅探通常被称做协议分析器,其价格一般都很高昂。

嗅探是一种常用的收集数据的有效方法,这些数据可以是用户的账号和密码,也可以是一些商用机密数据等。内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用“sniffer”程序。这种方法要求运行嗅探程序的主机和被监听的主机必须在同一个以太网段上,在外部主机上运行嗅探程序是没有效果的,再者,必须以root身份使用嗅探程序,才能够监听到以太网段上的数据流。

在局域网中,以太网的共享式特性决定了嗅探能够成功。因为以太网是基于广播方式传送数据的,所有的物理信号都会被传送到每一个主机节点,此外网卡可以被设置成混杂接收模式(Promiscuous),这种模式下,无论监听到的数据帧的目的地址如何,网卡都能予以接收。而TCP/IP协议栈中的应用协议大多数以明文在网络上传输,这些明文数据中,往往包含一些敏感信息(如密码、账号等),因此使用嗅探可以悄无声息地监听到所有局域网内的数据通信,得到这些敏感信息。同时嗅探的隐蔽性好,它知识“被动”接收数据,而不向外发送数据,所以在传输数据的过程中,很难觉察到它在监听[2]。

2 缓冲区溢出攻击技术

缓冲区溢出下面举例说明:

从上面的例子中不难看出,可以通过缓冲区溢出来改变在堆栈中存放的过程返回地址,从而改变整个程序的流程,使它转向任何攻击者想要它去的地方,这就为攻击者提供了可乘之机。攻击者利用堆栈溢出攻击最常见的方法是:在长字符串中嵌入一段代码,并将函数的返回地址覆盖为这段代码的起始地址,这样当函数返回时,程序就转而开始执行这段攻击者自编的代码了[3]。当然前提条件是在堆栈中可以执行代码。一般来说,这段代码都是执行一个Shell程序(如binsh),因此当攻击者入侵一个带有堆栈溢出缺陷且具有suid_root属性的程序时,攻击者会获得一个具有root权限的Shell。这段代码一般被称为Shell Code。攻击者在要溢出的buffer前加入多条NOP指令的目的是增加猜测Shell Code起始地址的机会。几乎所有的处理器都支持NOP指令来执行null操作(NOP指令是一个任何事都不做的指令),这通常被用来进行延时操作。攻击者利用NOP指令来填充要溢出的buffer的前部,如果返回地址能够指向这些NOP字符串的任意一个,则最终将执行到攻击者的Shell Code。

由于在编写Shell Code时并不知道这段程序执行时在内存中具体的位置,所以使用一条额外的JMP和CALL指令。因为这两条指令编码使用的都是相对于IP的偏移地址而不是绝对地址,这就意味着可以跳到相对于目前IP的某一位置而无须知道这一位置在内存中的绝对地址。如果正好在字符串“binsh”之前放CALL指令,而用JMP指令跳到CALL指令处,则当CALL指令执行时,字符串“binsh”的地址将作为返回地址被压入堆栈,然后再将此地址拷入寄存器。只要计算好程序编码的字节,就可以使JMP指令跳转到CALL指令处执行,而CALL指令则指向JMP的下一条指令,这样就可以在运行时获得“binsh”的绝对地址。通过这个地址加偏移的间接寻址方法,还可以很方便地存取string_addr和null_addr。

3 拒绝服务(DoS)攻击技术

DoS攻击,起全称为Denial of Service,又被称为拒绝服务攻击。直观地说,就是攻击者过多地占用系统资源直到系统繁忙,超载而无法处理正常的工作,甚至导致被攻击的主机系统崩溃。攻击者的目的很明确,即通过攻击使系统无法继续为合法的用户提供服务。这种意图可能包括:1)试图“淹没”某处网络,而阻止合法的网络传输;2)试图断开两台或两台以上计算机之间的连接,从而断开它们之间的服务通道;3)试图阻止某个或某些用户访问一种服务;4)试图断开对特定系统或个人的服务。

实际上,DoS攻击早在Internet普及以前就存在了[4]。当时的拒绝服务攻击是针对单台计算机的,简单地说,就是攻击者利用攻击工具或病毒不断地站用计算机上有限的资源,如硬盘、内存和CPU等,直到系统资源耗尽而崩溃、死机。

随着Internet在计算机领域乃至整个社会中的地位越来越重要,针对Internet的DoS再一次猖獗起来。它利用网络连接和传输时使用的TCP/IP、UDP等各种协议的漏洞,使用多种手段充斥和侵占系统的网络资源,造成系统网络阻塞而无法为合法的Interne用户进行服务。

DoS攻击具有各种各样的攻击模式,是分别针对各种不同的服务而产生的。它对目标系统进行的攻击可以分为以下三类:1)消耗稀少的、有限的并且无法再生的系统资源;2)破坏或者更改系统的配置信息;3)对网络部件和设施进行物理破坏和修改。

当然以消耗各种系统资源为目的的拒绝服务攻击是目前最重要的一种攻击方式。计算机和网络系统的运行使用的相关资源很多,例如网络宽带、系统内存和硬盘空间、CPU时钟、数据结构以及连接其他主机或Internet的网络通道等。针对类似的这些有限的资源,攻击者会使用各不相同的拒绝服务攻击形式以达到目的。

4 网络攻击的综合实施

为了对整个攻击过程有整体的了解,下面通过实验对扫描器、缓冲区溢出工具、木马程序及常用网络命令等进行综合应用,实验环境请用自己构建的实训平台。实验分别对被攻击系统存在已知漏洞和不存在已知漏洞两种情况进行攻击分析。

对被攻击系统存在已知漏洞的情况进行攻击,主要是利用缓冲区漏洞进行的系列攻击。首先使用扫描工具对目标进行扫描,扫描IDA漏洞的主机。然后,使用工具IDAHack对目标机器进行溢出攻击。接着,在CMD中使用Telnet连接到对方机器并使用ne user命令添加一个新用户,使用net localgroup命令把新添加的用户加到管理组,退出Telnet,使用新建的用户建立IPC空连接并将被攻击计算机中的磁盘映射为本地的磁盘。最后,生成一个木马服务端程序,使用捆绑工具和图片捆绑在一起,用来伪装木马程序(当运行图片时会同时运行木马程序),并把伪装好的服务端复制到目标主机的C盘系统目录下,可以通过远程调用,或诱使被攻击者运行图片文件来启动木马程序,当服务端程序运行后,本地即可使用木马客户端程序进行连接控制。使用日志清除工具入侵日志,抹去入侵痕迹。防范方法有:及时打补丁,使得系统没有让攻击者可以利用的漏洞。删除IPC等默认共享,在“控制面板”、“管理工具”、“计算机管理”、“共享文件夹”、“共享”中删除默认共享。

当对被攻击系统不存在已知漏洞的情况下,可以采用远程破解口令的方式。在实验中,可以使用SuperScan等扫描工具对目标主机进行用户枚举扫描,获得目标主机的用户列表[5]。接着使用工具NAT对选定的账户进行远程口令破解。取得对方计算机的用户名和密码后,其他步骤可以通过与上面第一种情况相同的方式建立映射磁盘以及置入木马来控制对方计算机。防范方法:远程破解口令可以通过在被攻击计算机上修改“本地安全策略”中的“账户策略”而得到有效的防范。在远端计算机“本地安全策略”中的“账户策略”中是当用户登录时密码3次不正确自动锁定账户30分钟。也可以设定为自己认为合适的数值。

5 结论

计算机网络的发展,特别是近年来Internet的发展已将世界上无数的计算机网络联系在了一起。即使你已将大楼的门完全锁好了,但攻击者还是通过计算机网络在世界上午另一头侵入你的网络,翻阅机密资料甚至做出破坏性的动作。

攻击者在攻击取得成功后,为了能够方便下次再轻易地返回系统,专业黑客在推出系统之前,肯定要留下一些后门。对于后门,管理员比较难以察觉,因为在没有发现攻击者的情况下,很少管理员会主动去查找是否系统里留有攻击者的后门。后门的类型五花八门,种类繁多,有些可以通过工具或自检查到或处理掉,有些就比较麻烦,可能要花费大量的人力和物力。高级复杂的后门如“内核后门”是很难发觉的,除非重装系统,否则不能保证没有后门留在里面。

攻击者在攻击取得成功后要做的另一件事就是攻击痕迹清除或将攻击行为转嫁。如果获得了访问系统的完全权限,攻击者是很容易修改系统上的事件日志来掩盖留下的任何痕迹。

参考文献

[1]刘竹涛,网络的攻击与防范[J].计算机安全,2008(9):117-119.

[2]宁博.网络攻击及网络安全解决方案[J].西安邮电学院学报,2008,13(3):103-105.

[3]牛少彰.网络的攻击与防范[M].北京:北京邮电大学出版社,2006.

[4]濮青.基于网络拒绝服务攻击的技术分析与安全策略[J].计算机研究,2003,20(3):71-75.

浅谈网络攻击的防范 篇11

一、常见网络攻击类型

1、口令窃取

登录一台计算机最容易的方法就是采用口令进入。口令窃取一直是网络安全上的一个重要问题，　口令的泄露往往意味这个系统的防护已经被瓦解。

2、病毒和木马攻击

病毒和大马攻击是最原始的网络攻击的一种，但也是最普遍、最厉害的一种。病毒的攻击可以对计算机造成毁灭性的破坏。特别是当前许多病毒与木马相互配合，不仅具有难查杀、难删除的特点，而且还可以瞬间繁殖、快速传播。

3、电子邮件攻击

电子邮件已经成为了　21　世纪不可或缺的一种通讯方式，越来越多的商务交际、公司贸易都应用到了电子邮件。黑客通过使用邮件炸弹软件或　CGI　程序向攻击对象的邮箱不断重复发送大量、无用的垃圾邮件，从而使该邮箱被撑爆而导致无法使用。或佯装管理员，给用户发送附带病毒或木马程序的邮件。

4、拒绝服务攻击

DoS　攻击，全称为　Deni　al　of　Servi　ce，又称拒绝服务攻击。简单地说，就是攻击者强行占用对方系统资源，让系统超载而无法正常工作，直至该系统崩溃。常见的　DoS攻击有以下几种方式：①　破坏计算机之间的连接，阻止其访问服务。②　阻止特殊用户的访问服务。③　试图　HDOD服务器，阻止合法网络通讯。④　破坏服务器的服务、导致服务器死机。

5、利用漏洞攻击

漏洞是在程序、数据、硬件、软件的具体实现或者系统的安全策略上所存在的缺陷。常见安全漏洞有：获得远程管理员权限、获得本地管理员权限、权限提升、远程拒绝服务、本地拒绝服务、服务器信息的泄露、远程未授权文件存取、普通用户访问权限等等。通常，黑客首先利用一些专业的漏洞探测工具来检测目标系统的各种漏洞，然后借助漏洞在未授权的情况下访问或进行有针对性的攻击、破坏。尤其是一些未公布的漏洞，是黑客攻击的首选。

6、TCP／IP　欺骗攻击

IP　欺骗攻击是通过路由伪造假地址，以假冒身份跟其他主机进行合法的通信、或向其发送假报文，让对方主机做出错误指令的攻击行为。具体来说，IP欺骗攻击一般是由多个过程进行分工组合的，攻击者首先利用基于　IP的信任关系，选择一台远程信任主机，并提取主机的　TCP　syn，用来预测下步连接序列号，从而可以成功伪装被信任的远程计算机，然后建立起与目标主机基于地址验证的应用连接，一旦连接成功，攻击者便可以取代被信任主机的角色，达到其不可告人的目的。

7、放置后门程序

不仅如此，攻击者利用伪造的　IP地址发送数据报的同时，还可以预测　TCP　字节顺序号，从而迫使接收方相信其合法而与之连接，以达到　TCP欺骗连接。

8、缓冲区溢出攻击

缓冲区溢出攻击主要是利用软件自身的缺陷来进行的攻击，黑客们利用软件漏洞向程序的缓冲区写入超出其长度要求的内容，导致缓冲区溢出，并破坏程序的堆栈，使程序转而执行其他指令，从而达到攻击的目的；或者是在该程序的缓冲区中加入一段自己的代码，并以该代码的起始地址覆盖原函数的返回地址，这样当函数返回时，程序就转而开始执行攻击者自编的代码了。

二、应对网络攻击的防范措施

1、、设置安全密码

密码是系统的第一道屏障。可利用不同的加密技术对信息进行交换，　实现信息的隐藏，　从而保护信息的安全。数字签名是在公钥密码体制下很容易获得的一种服务，　它的机制与手写签名类似，　单个实体在数据上签名，　而其他的实体能够读取这个签名并能验证其正确性，　它可以解决否认、伪造、篡改及冒充等问题。常用的数字签名技术是　DSS　和　RSA　签名。身份认证是指计算机及网络系统确认操作者身份的过程。

2、安装防火墙

防火墙技术是建立在现代通信网络技术和信息安全技术基础之上的应用性安全技术，　它越来越多地应用于专用网络与公用网络的互联环境之中，　尤其以接入　Internet　为甚。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，　能根据企业的安全政策控制（　允许、拒绝、监测）　出入网络的信息流，　且本身具有较强的抗攻击能力。它是提供信息安全服务，　实现网络和信息安全的基础设施。在逻辑上，　防火墙是一个分离器，　一个限制器，　也是一个分析器，　有效地监控了内部网和　Internet　之间的任何活动，　保证了内部网络的安全。

3、安装安全防护软件

杀毒软件选择的基本原则是：杀毒效果好、界面友好、速度快、占用系统资源少。但是，任何一款杀毒软件都无法保证你　100%　的安全。当前的杀毒软件都是以特征码技术来检测和查杀病毒的。因此，杀毒软件需要不断地升级才能够查杀最新、最流行的病毒。杀毒软件使用的是后期服务，只要是正版的杀毒软件，都能得到持续不断地升级和售后服务。当然，一些优秀的完全免费的杀毒软件也是非常不错的选择。

4、安全扫描技术

安全扫描技术是为系统管理员能够及时了解系统中存在的安全漏洞，　并采取相应防范措施，　从而降低系统的安全风险而发展起来的一种安全技术。能够有效地检测网络和主机中存在的薄弱点，　提醒用户打上相应的补丁，　有效地防止攻击者利用已知的漏洞实施入侵，　但是无法防御攻击者利用脚本漏洞和未知漏洞入侵。扫描技术主要体现在对安全扫描器的使用方面。

5、入侵检测技术

入侵检测系统（　Intrusion　Detection　System，IDS）　通过对网络中的数据包或者主机的日志等信息进行提取、分析，　发现入侵和攻击行为，　并对入侵或攻击作出响应，　是一种主动防御技术。

6、蜜罐与蜜网技术

基于主动防御理论而提出的蜜罐技术日益受到网络安全领域的重视。蜜罐主要是通过精心布置的诱骗环境来吸引和容忍入侵，　进而了解攻击思路、攻击工具和攻击目的等行为信息，　特别是对各种未知攻击行为信息的学习。蜜网作为蜜罐技术的高级学习工具，　不同于蜜罐技术的低级形式――单机蜜罐，　一般是由防火墙、路由器、入侵检测系统以及一台或多台蜜罐主机组成的网络系统。这种多元化系统能够更多地揭示网络攻击特征，　极大地提高了蜜网系统检测、分析、响应和恢复受侵害系统的能力。

7、养成良好上网习惯

一是不去访问含有不健康信息的网站。病毒并不一定是以一个可执行文件的形式出现的，它完全有可能是一段网页程序脚本或是恶意代码。当计算机访问到含有这类脚本或代码的网页时其就会潜入进计算机并激活。二是尽量去权威的大型下载站点下载软件。很多不知名的下载站点在软件下载页都提供了眼花缭乱、以假乱真的下载链接，而事实上这些链接都是流氓软件的链接，并不是真正的程序下载地址。三要尽量避免将　U　盘、内存卡、移动硬盘插入不安全的计算机中。这些移动存储设备也是计算机之间传播病毒的桥梁，所以避免将这些设备与可能带有病毒的计算机连接是重要的防护措施。

三、结论

全光网络中攻击的检测与定位 篇12

全光网络(AON)是指在网络中信号不需电/光和光/电转换,传输和交换过程中始终以光的形式存在。由于节点的交换使用大容量和高度灵活的波长上/下光分插复用器(OADM)和光交叉连接设备(OXC),进而实现透明传输,一旦商用将极大提高传输速率和网络容量。然而,与现有电/光/电网络和传统电网络相比,易受恶意攻击,其安全问题更应该被引起重视,具体原因如下[1]:

(1) 攻击者更易接近光器件,网络易攻击性高。例如,通过微弯光纤注入某一波长的攻击光信号或利用其辐射出的光信号可进行窃听,用光纤夹持器加以改进或光泄漏检测器就能实现上述功能;

(2) 光网络的物理结构为攻击提供了机会。例如,在网络远端注入攻击信号,在传输过程中可影响整个网络;

(3) 某些光技术恰成漏洞被攻击所利用。例如,光开关中的串扰水平引起的一部分泄漏信号,这对于正常信号不会造成危害,但当攻击者注入强干扰信号时,足以让攻击者检测到它的存在,很有可能从流量中恢复出一部分数据。

本文的目标是研究攻击的类型和方法,介绍全光网中易受攻击的器件,探讨几种有效的攻击的检测方法和定位算法。

2 攻击的类型和方法

从应对攻击角度出发,提出全光网络安全管理框架,如图1所示。

2.1 攻击的类型

攻击是指人为的恶意破坏。攻击大致有六类:通信流量分析、窃听、数据延迟、服务拒绝、QoS下降和欺骗。通信分析和窃听有相似特性;光网络没有光存储器,不会受到数据延迟攻击;欺骗可以用加密来防止;服务拒绝是QoS下降的极限结果,两者统称为服务破坏。从物理层看,全光网络中主要考虑的攻击有两类:窃听与通信流量分析和服务破坏。

2.2 攻击的方法

为实现上述两种攻击,攻击者必须设计攻击方法,原则是:易于实现和效果明显。常见的攻击方法有四种:带内干扰攻击、带外干扰攻击、窃听和断纤。

带内干扰攻击是注入一个光信号专门来降低接收机正确解译数据的能力,它不但破坏攻击源所在链路上的信号,而且也影响与该链路节点相连的其他链路上的信号质量[2],如图2所示。这是信号不需再生而直接在链路中传播造成的。

带外干扰攻击是利用器件的泄漏或交叉调制效应降低信号能量,攻击者注入一个与通信波段不同波长但又在放大器放大带宽内的信号,攻击信号就会掠夺其他信号的增益,如图3所示。

窃听是攻击者监听从邻近信道泄漏的串扰来获得有关邻近信号的信息。

断纤就是认为切断光缆的攻击。

3 易受攻击的器件

全光网络中易受攻击的器件主要包括:光纤、发送器、接收器、(解)复用器、光交叉连接设备(OXC)、光滤波器、光开关、耦合器、光放大器等。

下面以 OXC结点为例,分析易受攻击的光器件,将攻击点编号,如图4所示。

攻击点1——光纤 光纤的易接近性以及其自身的串扰、非线性、弯曲辐射特性为断纤和窃听攻击提供了机会。

攻击点2——测试接入端口 用于测试或需要时方便连接的测试接入端口却成为攻击者利用的对象:可用于窃听,还可以在端口处人为改变传输信号的功率、偏振等指标,信号再通过对这些指标比较敏感的器件时(比如放大器对偏振较敏感),服务质量就会降低。

攻击点3——EDFA EDFA存在两个不容忽视的问题:增益竞争和增益谱不平坦。如果增益谱不平坦,即使每个波道光功率相等,通过EDFA,输出的光功率也会出现波动起伏现象,再通过下一级EDFA时将产生更加严重的增益竞争,使得光信噪比下降,因此攻击者可采用带外干扰攻击降低或破坏通信质量。

攻击点4——分光器/合光器 解复用器是由一个分光器和一个滤波器组成。它所面临的危险与滤波器的易攻击性相同。

攻击点5——滤波器 在全光网络中,各个波道间隔非常小,而滤波器的带宽要求非常窄,但又必须满足通带平坦和边带陡峭条件,否则,相邻波道信号就会发生串扰,为非授权侵入提供机会,此种攻击很难检测和定位。

攻击点6——光开关 若光开关行性能不理想,会导致串扰,且具有传播性[3],一阶串扰引起二阶串扰,再引起三阶串扰等,如图5所示。合法用户间也可能存在串扰,可怕的是,一旦攻击者发送恶意攻击信号,将产生严重的带内干扰,同时也能通过串扰窃听。

4 攻击的检测方法

4.1 现有的检测方法

常用的攻击检测方法有[4]:宽带功率检测法、光谱分析法、监控信号分析法、光时域反射法,它们能初步检测出带内干扰攻击、带外干扰攻击、窃听和断纤。

宽带功率检测法是测量光信号在较大谱宽内的功率并与期望值比较来检测攻击的方法。需要时间长,且测到较小的功率变化不一定是攻击所致(可能是器件老化,光纤修补等)。

光谱分析法是用光谱分析仪测量光信号的频谱的变化来检测的攻击方法。但同样比较取样平均和统计平均,需要时间长,反应慢,而且对不改变光谱形状的攻击则无法检测。

监控信号分析法是利用传送监控信号来检测传输中断,但监控信号并不能完全代表通信信息的质量,而且对通信信号质量有影响。

光时域反射法是用OTDR监控信号和分析监控信号的反射信号来检测的攻击方法。然而,只要有不大于1%光泄漏,OTDR无法检测到这种攻击。

鉴于它们的局限性,提出了两种新的检测方法。

4.2 参数比较检测法

参数比较法基于被检测器件的输入、输出端信号应满足一定的数学关系而得。从器件的两端提取用于比较的光信号,其中提取的输入端信号加上被检测器件的固有延时τ,然后将光信号通过光电转换后变成电信号,再送到参数比较器中得出输出函数K。根据需要比较的参数类型(光信号的幅度、相位、波长等)以及被检测器件的固有特性,在没有攻击的情况下,比较器的输出函数K= f (S1…Sn,R1…Rn),是输入和输出信号的复合函数,一旦有攻击存在是,比较器的输出函数K′=f′(S1′…Sn′,R1′…Rn′)。将K′和K比较,超过设定的阈值,说明攻击存在,则将结果送到网管,由网管统一处理,比较过程如图6所示。

参数比较法不改变被检测器件结构,和传输链路的比特率无关。由于要光电转换,所以检测速度依赖于光电转换时间,同时要提取信号,可能会影响信号功率。

4.3 综合监测器件检测法

网络中监测器件主要负责对传输器件性能的监控。用V表示监控器件的集合,包括以下4类[5]:V0,V1,V2,V3,即V ={V0,V1,V2,V3},如表1。

下面用具体实例说明攻击检测的方法,图7是一段DWDM线路,假如Fiber-1处发生了攻击,在①,②,③,④处分别放置V0,V3,V1,V2类器件来检测攻击。

监控通道若收到V器件发出报警信号,用1表示,没收到则用0表示。发生攻击时,四个V器件发出的报警信号(0或1)排成一列,组成一个四位二进制数,并将其转化为十进制数,由于不同攻击方法的报警值不同,所以能检测出不同的攻击。

5 攻击的定位算法

当检测出攻击方法后,接着就要定位攻击源的位置,下面是分布式定位算法原理。

假设网络结点报警状态参量为S,正常状态时令S=0,受到攻击时令S=1,上游结点报警状态参量为S′,下游节点报警参量为S″,分布式定位算法的主要流程如图8所示。

结点S首先检测来自上游结点的报警状态参量S′,如果S′=1,则说明上游结点是攻击源,不让本结点报警;如果S′=0,说明上游结点不是攻击源,于是对本地结点进行攻击判断,一旦判断受到攻击,就令本地结点报警状态参量S=1,如果判断没有受到攻击,就令S=0,然后将本地报警状态参量S下传给下游结点,下游结点依次按照这样的方法进行分布重复判断,直到查找到整个网络的攻击源为止。

6 结 语

国内对全光网络中攻击研究还不是很深入,鉴于此提出了全光网络安全管理框架,得出了两种新的攻击检测方法和一种有效的攻击定位算法,这将有助于人们提高网络安全意识,防范恶意攻击的发生。

摘要：从研究攻击的角度出发,提出了全光网络安全管理框架。针对常见网络中的攻击,分析了网络中易受攻击的器件,分别采用参数比较检测法和综合监测器件检测法,准确地检测出带内干扰攻击、带外干扰攻击、窃听和断纤。运用两种新的检测方法,结合攻击的定位算法,就能有效地查找到整个网络的攻击源,且定位于被攻击的器件。

关键词：全光网络,攻击,攻击检测,攻击源定位

参考文献

[1]Jigesh K Patel,Sung U Ki m,David H Su,et al.A Frame-work for Managing Faults and Attacks in WDM OpticalNetwork[J].Optical Network Magazine,2002.

[2]Technical Information Bulletin 007-All-optical NetworksNational Communications System of National Communica-tion System,2000.

[3]Ruth Bergman,Muriel Medard S Chan.Distributed Algo-rithms for Attack Localizationin All-Optical Networks[C].Networks and Distributed System SecuritySymposium,1998.

[4] Muriel Medard,Douglas Marquis,Stephen R Chinn.Attack Detection Methods for All-optical Networks[C].Technical Digest of Optical Fiber Conference (OFC),1998.