无线网络攻击与防范

无线网络攻击与防范（共12篇）

无线网络攻击与防范 篇1

无线技术是在70多年前的第一次世界大战和第二次世界大战期间打开美国市场的。但出于国家安全方面的考虑,无线技术当时只用于军事。如今,无线技术已成为市场中灸手可热的宠儿,与无线通信有关的新技术、新功能和新安全漏洞也随之发展到了一个新的高度。在1999年,世界各地总共只有约140万无线局域网用户,但仅过一年这个数字就达到了490万。2015年,我国移动智能终端用户数达10.6亿。

从技术角度分析,不能把802.11无线网络与蓝牙技术混为一谈,后者是一个由爱立信、摩托罗拉和微软等多家公司结成的商业联盟开发的。802.11网络目前传输在2GHz和3GHz频段上,但有关的开始工作和技术模型却是为了让它们工作在5GHz频段上而确立的。由于发展得过于迅速以及人们在当初制定802.x系统协议和Wired Equivalet Privacy算法时考虑不够周密,各种攻击手段、漏洞和简单易用的黑客工具涌现出来。

1 针对NetStumbler的攻击与防范

NetStumbler是一个基于Windows的无线侦察工具,它可以探测无线网络并在GPS系统的配合下把它们相对位置标出来。“侦察”是收集情报的意思。但在无线领域,收集情报往往并不需要采取主动姿态,在进行内部审计时,只须拿着笔记本电脑在科技园区、城市街道或公司大楼里散散步就可以收集到很多有价值的信息。在工作时NetStumbler会把一个802.11Probe Request数据包发送到广播目的地地址,这将使周围区域内所有无线接入点发出一个包含着网络配置信息的802.11 Probe Response数据包。在有GPS系统配合的情况下,NetStumbler能把自己为每一个无线接入点找到的信号强度最大的接收位置的GPS坐标逐一记录下来。收集到网络配置信息和GPS数据之后,就可以利用NetStumbler绘制出精确的地图。配置完网卡启动NetStumbler并单击工具条上的绿色箭头图标。如果周围区域内存在能对Broadcast Probe Request请求做出响应的接入点,它们就会做出响应并出现在窗口里。通过单击圆圈图标选中任何一个网络会显示出一个信噪比图。

针对NetStumbler的防范是究其缺点,即发出Broadcast Probe Request请求。无线设备制造商通常都会在其产品里提供一个用来禁用这一802.11功能的选项,启用那个选项将使NetStumbler功能发挥不出来。

2 针对Kismet嗅探器的攻击与防范

Kismet是一个基于Linux和BSD的无线嗅探器,它同时也具备无线侦察功能。“嗅探器”是一种监视网络数据运行的软件设备,协议分析器既能用于合法网络管理,也能用于窃取网络信息。网络运作和维护都可以采用协议分析器,如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等。非法嗅探器严重威胁网络安全性,这是因为它实质上不能进行探测行为且易随处插入,所以,网络黑客常将它作为攻击武器。Kismet不仅允许追踪无线接入点和GPS位置,还提供了很多其他功能。Kismet是一个被动式网络探测工具,它将循环检查可用的无线频道,看是否有诸如Beacon和Association Request之类足以表明存在着一个无线局域网的802.11数据包出现。如有可能,Kismet还可以收集到关于某个网络的其他信息,比如有关网络的IP地址分配情况和CDP名字等。在使用Kismet时,它将无线网络的名字显示在主窗口里。其中“T”栏给出的是无线网络的类型;“W”栏表明有关网络是否激活了WEP功能;“Ch”栏给出的是频道编号;“IP Range”栏显示着Kismet通过ARP请求或正常通信探测到的IP地址。

防范Kismet,不可能让Kismet找不到你的WLAN,所以,一定要保证有高级认证和加密措施。加密策略虽然能够保证信息在网络传输的过程中不被非法读取,但是,不能够解决在网络中通信的双方相互确认彼此身份的真实性问题,这需要采用认证策略解决。所谓认证,是指验证用户的真实身份。目前的网络安全解决方案中,多采用两种认证形式,一种是第三方认证,另一种是直接认证。基于公开密钥框架结构的交换认证和认证的管理,是将网络用于电子政务、电子业务和电子商务的基本安全保障。它通过对受信用户颁发数字证书并且联网相互验证的方式,实现了对用户身份真实性的确认。

3 针对破解WEP加密的攻击防范

WEP是IEEE为了给802.11网络在OSI网络模型的第2层提供一种保护机制而制定的一项标准。人们制定WEP标准的目的不是为了给网络提供全面的保护,而是为了防止别人在无人觉察的情况下以被动方式窃听WLAN网络上的数据。有很多人把WEP算法误认为是一种以身份验证和加密机制为核心的信息安防解决方案,这个目标在802.11标准里根本没有被提及。

WEP算法所使用的密钥是由AP和无线客户结点共享的,而最常见的无线客户结点是笔记本电脑里的一块无线网卡。WEP将使用这个密钥对通信结点之间的所有往来数据进行加密。一种常见的错误概念是把WEP理解为一种基于共享密钥的网络身份认证机制。假如某个WLAN使用了WEP,凡是不知道共享密钥的人就都不能加入该网络。这种现象很容易让人们认为那个网络本身是安全的,但事实却是WEP算法既不会对802.11标头进行加密,也不会对数据的IV或ID部分进行加密。

就在设备制造商在无线AP和网卡上引入和实现WEP算法之后不久,就出现了几种以它为目标的攻击手段。这些攻击手段多种多样,有的是主动式,有的是被动式;有的基于字典,有的基于密钥长度;有的是点对点,有的是“二传手”。但总的来说,以破解为目的的攻击手段占了绝大多数。这类技术可以让攻击者对整个密钥集中的所有可能性进行测试,以从中找出唯一的正确答案。数量相对较少的另一类WEP攻击手段,通过结合第一个RC4输出字节对IV进行分析的办法来达到其目的。

利用各种WEP安全弱点的黑客工具已有很多,它们有的能自动完成某种攻击,有的则是帮助其他黑客工具完成某种自动攻击。为达到其目的,这类工具中的绝大多数都同时使用了数据包捕获和数据包破解技术。

AirSnort是一个由多个脚本和程序构成的黑客工具包,那些脚本和程序是它们的作者根据Tim newsham、马里兰大学和加州大学伯克利分校的研究成果而编写出来的。在专门用来捕获无线数据包的各种工具当中,AirSnort是最流行和最出名的Linux工具。它最初只是一个基于Linux的命令行工具,仅能捕获802.11b无线数据包和利用IV的安全弱点去破解数据包,现在它不仅有了一个GUI操作界面,还具备了设定WEP密钥强度的能力。在使用AirSnort时,通常需要让它先在扫描模式下运行一段时间,以确定周围是否存在着AP和是否有数据包在传输。AirSnort找到了1个AP,并且使用了WEP功能。

与网络上五花八门的WLAN数据包破解器相比,目前能采用的防范措施相当简单。首先,在所有的AP上实现128位密钥强度的WEP。在挑选WEP密钥时,千万不要选那些可能会出现在某个字典里的单词,只要有可能,就应选一个数字、字母和特殊字符混用的字符串当作密钥。值得注意的是,WEP密钥的长度最好是8个字符以上,与6个字符的密钥相比,对长度超过8个字符的密钥进行强制破解所需要的时间将呈指数增加。其次,修改AP的SSID,不要使用它们的默认设置值。如果它们的制造商还提供了对WEP算法的某种补丁,那务必打上那些补丁。最后,要尽可能频繁改变WEP密钥。

4 结语

在Internet上,用来攻击无线网络的黑客工具流传甚广。无线网关和多重加密机制已被证明是保护无线网络免遭黑客工具攻击的最佳防线。从表面上看,无线技术与其他通信媒介联系不紧密,但在本质上,它们利用多重身份和加密机制来确保信息安全的工业模型全都是同一个。安全防范的关键在于警惕,防患于未然才是最高级别的网络安全。

参考文献

[1]马建峰,吴振强.无线局域网安全体系结构[M].北京:高等教育出版社,2008.

[2]Stuart Mc Clure,Joel Scambray.黑客大曝光[M].北京:清华大学出版社,2006.

无线网络攻击与防范 篇2

1常见的计算机网络攻击手段

1.1电脑高手攻击

电脑高手通常都比较了解计算机系统和网络漏洞，电脑高手会利用很多网络手段攻击计算机网络，从而对计算机网络安全的维护构成很大危害。比较常见的电脑高手手段有：通过非法的手段来截获网络上传播的数据信息、恶意修改网络程序来破坏网络的运行等等。

1.2病毒攻击手段

病毒软件是威胁计算机网络安全的主要手段之一。计算机病毒是人为编写的破坏型指令或程序，当侵入计算机系统后，就会被激发进而破坏计算机系统或进行其他操作，给用户造成损失。计算机病毒的种类有很多，包括复合型病毒、系统引导病毒、宏病毒、文件型病毒等等病毒蠕虫和木马。而且计算机病毒可以自我复制、自动传播，不容易被发现，还变化多端，比杀毒软件发展的更快。人们在用计算机上网的过程中，很容易被病毒程序侵入。一旦计算机感染上病毒就会出现很多安全隐患。比如，当病毒侵入计算机系统之后，有可能造成电脑死机、数据丢失、数据被盗取、数据被恶意修改、计算机系统被恶意破坏等等，更严重者可能危害到网络的正常运行。

1.3拒绝服务攻击手段

防范不明攻击　维护网络安全 篇3

随着网络的开放性、共享性及互联程度的扩大，特别是Internet网的出现，网络的重要性和对社会的影响也越来越大。随着网络上各种新业务的兴起，比如电子商务（Electronic Commerce）、电子现金（Electronic Cash）、数字货币（Digital Cash）、网络银行（Network Bank）等的兴起，以及各种专用网（比如金融网、科研网等）的建设，使得安全问题显得越来越重要。因此对网络安全技术的研究成为现在计算机和通信界的一个热点，并且成为信息科学的一个重要研究领域，正日益受到人们的关注。

我国的信息化进程虽然刚刚起步，但是发展迅速，网络已经渗透到国民经济的各个领域，渗透到了我们工作和生活的方方面面。在短短的几年时间里，也发生了多起针对、利用计算机网络进行犯罪的案件，给国家、企业和个人造成了重大的经济损失和危害，特别是具有行业特征（例如金融部门等）的犯罪，更是令人触目惊心。面对如此严重危害计算机网络的种种威胁，必须采取有力的措施来保证计算机网络的安全。但是现有的计算机网络大多数在建设之初都忽略了安全问题，即使考虑了安全，也只是把安全机制建立在物理安全机制上，随着网络的互联程度的扩大，这种安全机制对于网络环境来讲形同虚设。另外，目前网络上使用的协议，比如TCP/IP协议，在制订之初也没有把安全考虑在内，所以没有安全可言。TCP/IP协议中存在很多的安全问题，根本不能满足网络安全要求。开放性和资源共享是计算机网络安全问题的主要根源，它的安全性主要依赖于加密、网络用户身份鉴别、存取控制策略等技术手段。

面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求，一种全新安全防护防范理念的网络安全技术“第五代网络隔离技术"应运而生。网络隔离技术的目标是确保把有害的攻击隔离在可信网络之外和保证可信网络内部信息不外泄的前提下完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了自己的优势。网络隔离，英文名为Network Isolation，主要是指把两个或两个以上可路由的网络（如：TCP/IP）通过不可路由的协议（如：IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的，由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（Protocol Isolation）。隔离概念的出现，是为了保护高安全度网络环境的情况下产生的；隔离产品的大量出现，也是经历了五代隔离技术不断的实践和理论相结合后得来的。

第五代隔离技术的出现，是在对市场上网络隔离产品和高安全度网需求的详细分析情况下产生的，它不仅很好地解决了第三代和第四代很难解决的速度瓶颈问题，并且先进的安全理念和设计思路明显地提升了产品的安全功能，是一种创新的隔离防护手段。第五代隔离技术的实现原理是通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术进行不同安全级别网络之间的数据交换，彻底阻断了网络间的直接TCP/IP连接，同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全可控，杜绝了由于操作系统和网络协议自身的漏洞带来的安全风险。

北京盖特佳信息安全技术有限公司的研发人员最早从1999年就开始对网络隔离技术的研究， 经历了从串口、并口到USB的研发过程。在实践中发现，要更安全地完成协议隔离，靠不可路由的协议虽然达到了一定的安全度，但由于像串口、并口和USB等都为通用设备，IPX/SPX和NetBEUI等都为常见协议，都有规范的接口，安全强度仍然不够高。为此，研发人员提出了用专用硬件通信和专有安全协议的全新理念，虽然增加了研发难度，但明显地提高了系统的抗攻击能力，有更强的控制能力，并最终研发出了“网杰安全隔离与信息交换系统”。

2003年8月14日，国家保密局保密信息系统安全保密测评中心签发了北京盖特佳信息安全技术有限公司自主研发的“网杰安全隔离与信息交换系统”检测报告，这标志着我国首套新一代专用通道型式网络安全隔离系统诞生。同时，“网杰安全隔离技术”的面世，实现了我国信息安全行业网络安全隔离技术的重大突破，填补了国内空白。

网络攻击与防范研究 篇4

随着信息时代的到来,越来越多的企业或个人逐步意识到信息安全防护的重要性。但又非常自然的以为安全技术能帮助他们免受网络入侵者的恶意攻击。但是,假如这样,追求的只是一种安全意识,却忘记了安全的最薄弱环节:人为因素。因此,分析黑客发动攻击的心理及动机,以及所采用的工具、技术和攻击方法是非常必要的,用以给每个关心网络安全性的人提供帮助。

1 攻击目标

1.1 寻找目标

浩瀚的因特网上有几十亿可能的公有IP地址,因此发现一个适当的目标难度该有多大?这或许是人们首先关注的安全问题。连接入网是黑客发现你的方法之一;因此,必须考虑如何避免黑客的攻击。购买最好的安全技术工具来保护你的PC,并且经常打补丁以保证这些技术是最新。并且希望公司有专门负责网络安全的小组,希望安全专家都具有高水平的技术能力等。事实上普通信息窃取,垃圾搜寻(dumpser diving)才是信息安全最薄弱的环节。问题就在于,对一个社会工程师来说,即便是公司丢弃的垃圾也是不安全的。使用“社会工程学”的黑客能够很轻松地获得这样的信息,连同另外一些更容易弄到的信息就可以进行下一步的入侵了。

1.2 机会性目标

很多时候,黑客使用多种工具在网络上游荡,并且随时准备发现某个可能的目标。除了黑客以外,还有许多“菜鸟级”的网络捣乱者。判定你是否会成为一个“机会性目标”的关键在于你的安全构架。根据经验,如果你没有适当的防火墙或者防火墙很长时间没有升级过了,你就有可能成为黑客的一个“机会性目标”。

1.3 选择性目标

黑客在选择目标的时候通常在心里已有了一个目标。或许你的公司有一种引发业界革命的新产品,或许你的信用很好以致身份令人垂涎,或许某雇员对公司不满,或许你的公司掌握着某人很看重的其他公司的信息,或许公司业务已陷入混乱而早已被人觊觎,或许公司业务被卷入社会政治风波,在这些情况下,或者其他许多情况下,你正式成为黑客的一个选择性目标。

2 攻击过程

攻击者可以采用多种方式访问一个系统,无论攻击者的目标是何种系统,他们采取的步骤都基本相同。

2.1 侦察和踩点

侦察和踩点就是指黑客对公司和网络进行的情报准备。黑客指望着能在该阶段获得有用信息。

2.1.1 被动侦探(passive reconnaissance)

使用DNS进行被动侦探,如nslookup命令即可泄露你的网络域名信息;可见只使用DNS工具,黑客就可以得到目标网站的公开IP地址以及其DNS和E-mail服务器的地址等。另外Whois是许多应用和因特网免费提供的一个工具,利用它,目标公司的网址已经成为一种非常有用的信息,攻击者从中可以得到很多信息。黑客可将这些信息用于社会工程学,获得网络系统识别和系统管理员身份等。通过这些信息的跟踪,黑客可能会对目标网络有了一个更深层次的洞察。

2.1.2 主动侦探(active reconnaissance)

通过目标网络的公开IP地址来确定在这些服务器上运行了什么服务。如使用Google搜索关键词“Welcome to IIS4.0”,你就会发现究竟有多少IIS服务器在运行。同时黑客常使用WhatRoute对一类子网进行ping扫描,从扫描结果了解自己是否可能被发现,从而采用主动侦探的方式,一直到他获得足够的信息来找到一个可以攻击该系统的漏洞。

2.2 扫描

侦察和踩点之后,黑客弄清楚了网络内的主机分布、使用的操作系统、系统管理员信息、提交到新闻组的讨论、办公地点,以及上游的入侵防御系统。黑客掌握了网络和设备布局后,就准备对服务和开放端口进行监听,以确定将承担的风险、留下的痕迹等。黑客经常使用NMAP、TigerSuite进行详细扫描,以获得有用信息。另外一类扫描是弱点(漏洞)扫描,通常使用X-Scanner、Superscan、扫描器流光等发现系统漏洞。

2.3 枚举分析

网络环境的勾画包括踩点、扫描和枚举分析。黑客通过踩点可以将其活动范围限定到那些最有希望发现漏洞的系统上。通过扫描则可以找到开放的端口和正在运行的服务。枚举分析用于提取有效的账户信息以及输出资源。枚举分析包括对特定系统的动态连接以及对这些特定系统的直接连接请求。针对不同操作系统都有相应的枚举分析技术来对付。其中Windows操作系统中常使用net view、nbtstat进行枚举分析。

2.4 获得访问通道

很多人都错误的认为黑客想要“控制”入侵的目标设备,其实黑客更有可能是想获得进入目标主机的访问通道。使用枚举分析找到更容易的入口后,就可以用合法的用户账号以及缺乏保护的资源共享来开始更强力的侦测,从而获得访问通道。黑客必须通过系统某个方面的漏洞来获得对该系统的访问通道。通常采用操作系统攻击、应用程序攻击、错误配置攻击、脚本攻击四类攻击。

2.4.1 操作系统攻击

操作系统首先必须满足用户的各种需求,在一定程度上支持网络环境,要求的网络能力越强,提供的服务也就越多,随之开放端口也会多,提供更多可用的动态服务,黑客就有越多机会选择攻击,从而获得访问通道。

2.4.2 应用程序攻击

应用程序的不完善,不规范也是获得访问通道的途径。

2.4.3 错误配置攻击

系统管理员的工作就是保证系统安全或系统能提供用户需要的功能。这通常意味着需要进行系统配置。错误配置没有让系统管理员引起重视,他们一般不会回头研究如何解决碰到的难题,也不会禁用那些不需要的服务;另外忘记改变写入设备程序的缺省管理用户名和口令,也是黑客攻击获取通道的途径。

2.4.4 脚本攻击

UNIX和Linux使用脚本攻击最简单。许多这样的操作系统都自带可用的例子脚本和程序。它们一旦被启动或未经测试,就有可能导致你的系统被黑客攻击。缓冲区溢出、暴力破解口令、尝试且嗅探口令、捕获口令标记等。

2.5 权限提升

尽管获得对系统的访问通道,可普通用户或许并不具备有黑客为达到目的所需要的权限,黑客必须提升权限级别。黑客可能采取的行动:进入系统内部,运行适当的系统漏洞检测代码获得更多的权限;使用多种免费的口令破解工具来破译口令;搜寻未经加密(即明文)的口令;考察一下被入侵的系统和网络中其他系统之间的信任关系,以期发现另外一个攻击机会;查看文件或共享权限是否设置不当。黑客还可能采用拒绝服务(DoS)攻击、同步(SYN flood)攻击、ICMP技术、碎片重叠/碎片偏移错误、缓冲区溢出等。

2.6 生成后门并隐藏踪迹

黑客实现了对目标系统的控制之后,必须隐藏踪迹,防止被管理员察觉。对基于Windows的系统,黑客必须清除或整理时间日志和注册表表项。对基于UNIX的系统,他则必须清空历史文件,并且运行日志清除工具(log wiper)来清理UTMP、WTMP以及LastLog日志文件。

初次入侵后,黑客想要保持进入该系统的访问通道,他就会创建后门以便以后再次访问。可能使用Netcat、VNC、键盘记录器、定制程序等工具,建立系统账户、定期执行批处理任务、开机运行程序或者远程控制服务或软件,以及用木马伪造合法的服务或程序等。

3 网络攻击的防范对策

3.1 强化网络安全意识

网络安全意识是安全的前提,必须坚持强化意识、自觉防范、主动作为的原则。杜绝黑客窃取普通信息,培养公司所有资料都应该视为敏感信息的意识,主动填补社会工程学陷阱。看似无关紧要的普通信息都应该保护起来,每个员工都应该意识到,除非在数据分级标准里明确规定,否则绝不能泄露。降低该网络系统成为攻击目标的可能性。

3.2 定期查看日志,及时给系统、软件打补丁

定期查看系统日志,关注网络安全基础工具,发现异端及时处理,觉察入侵者的侦察和踩点行为并予以制止。

及时观察系统补丁是网络安全的基础,微软不断推出新的补丁,为了网络信息的安全,还是应该到微软的站点下载用户电脑操作系统对应的补丁程序,很多的病毒木马程序都是由于系统的漏洞才使得它们有机可乘。许多应用软件也存在漏洞,也有非法者入侵者的“窗口”,也要注意并及时打好补丁。削弱入侵者的扫描效果,减少访问通道获得的机率,同时可以防止权限提升。

3.3 禁用空闲服务,封闭空闲端口

服务开得多可以给管理带来方便。但也会给黑客留下可乘之机,因此应该关闭用不到的服务。比如在不需要远程管理计算机时,最好把有关远程网络登录的服务关掉。去掉不必要的服务之后,不仅能提高系统运行速度,而且还可以保证系统的安全。

文件和打印共享应该是一个非常有用的功能,但它也是引发黑客入侵的安全漏洞。所以在不需要“文件和打印共享”的情况下,我们可以将其关闭。即便确实需要共享,也应该为共享资源设置访问密码。

杜绝枚举分析,最好方法是设置路由器和防火墙以阻挡Net BIOS包的出入。为了防止对安全的分层攻击,禁用135至139间的TCP及UDP端口,Windows的TCP和UDP445端口。

在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此我们必须禁止建立空连接。拒绝枚举分析,以及起到关闭“后门”的作用。

4 结论

计算机网络的飞速发展,势必同时也伴随着网络攻击的猖獗,本文从发现正确的目标到执行攻击,对黑客的攻击方法做了一些相应的剖析,旨在帮助关心网络安全的人群能更加关注安全问题,并且有针对性的结合防范措施避免入侵者的恶意攻击。

摘要：随着信息时代的到来,越来越多的企业或个人逐步意识到信息安全防护的重要性。计算机网络、数据通信、电子商务、办公自动化等领域需要解决信息安全问题。如何保护企业或个人的信息系统免遭非法入侵?对目前计算机网络存在的网络攻击方法进行了分析,从发现正确的目标到执行攻击,并提出相应的防范措施。

关键词：网络攻击,黑客,入侵,防范

参考文献

[1]Tom Thomas.Network Security first-step.posts&telecom press.2005.

[2]Kevin Mitnick,William Simon.The Art of Deception:Controlling the Human Element of Security.2005.

[3]宋庆大,颜定军.计算机安全漏洞与应对措施[J].计算机安全.2009.

[4]张小磊,计算机病毒诊断与防治[M].北京希望电子出版社.2005.

浅析黑客常用攻击方法与防范措施 篇5

[摘 要]本文首先介绍了网络黑客的定义与起源,其次说明了网络上黑客攻击常用的九种方法,最后简要论述了防范黑客攻击应注意的一些问题。

[关键词]黑客 网络 攻击方法

一、什么是黑客

“黑客”一词有很多定义,大部分定义都涉及高超的编程技术,强烈的解决问题和克服限制的欲望。一般认为,黑客起源于50年代麻省理工学院的实验室中,他们精力充沛,热衷于解决难题。60、70年代,“黑客”一词极富褒义,用于指代那些独立思考、奉公守法的计算机迷,他们智力超群,对电脑全身心投入,从事黑客活动意味着对计算机的最大潜力进行智力上的自由探索,为电脑技术的发展做出了巨大贡献。直到后来,少数怀着不良的企图,利用非法手段获得的系统访问权去闯入远程机器系统、破坏重要数据,或为了自己的私利而制造麻烦的具有恶意行为特征的人慢慢玷污了“黑客”的名声,“黑客”才逐渐演变成入侵者、破坏者的`代名词。

目前黑客已成为一个特殊的社会群体。在欧美等国有不少完全合法的黑客组织,他们在因特网上利用自己的网站介绍黑客攻击手段、免费提供各种黑客工具软件、出版网上黑客杂志,甚至经常召开黑客技术交流会。这使得普通人也很容易下载并学会使用一些简单的黑客手段或工具对网络进行某种程度的攻击,进一步恶化了网络安全环境。

二、黑客常用的攻击方法

我们来研究一下那些黑客是如何找到你计算机中的安全漏洞的,只有了解了他们的常用攻击手段,我们才能采取准确的对策应对这些黑客。

1.获取口令。获取口令有三种方法:一是通过网络监听非法得到用户口令;二是在知道用户的账号后,利用一些专门软件强行破解用户口令;三是在获得一个服务器上的用户口令文件后,用暴力破解程序破解用户口令。

2.放置特洛伊木马程序。特洛伊木马程序可以直接侵入用户的电脑并进行破坏。它常被伪装成工具程序或者游戏等,一旦用户打开了这些程序,它们就会在计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。

3.WWW的欺骗技术。在网上用户可以利用各种浏览器访问WEB站点,如阅读新闻、咨询产品价格、订阅报纸、电子商务等等。然而如果黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。

4.电子邮件攻击。电子邮件攻击主要表现为两种方式:一是电子邮件轰炸,它是指用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”。二是电子邮件欺骗,攻击者佯称自己为系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。

5.通过一个节点来攻击其他节点。黑客在突破一台主机后,往往以此主机作为根据地,攻击其他主机。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。

6.网络监听。网络监听是主机的一种工作模式,在这种模式下,主机可以接受到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接受方是谁。此时,如果两台主机进行通信的信息没有加密,只要使用某些网络监听工具就可以轻而易举地截取包括口令和帐号在内的信息资料。

7.寻找系统漏洞。许多系统都有这样那样的安全漏洞,其中某些是操作系统或应用软件本身具有的,在补丁未被开发出来之前一般很难防御黑客的破坏;还有一些漏洞是由于系统管理员配置错误引起的,这都会给黑客带来可乘之机,应及时加以修正。

8.利用帐号进行攻击。有的黑客会利用操作系统提供的缺省账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等缺省账户,有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。

9.偷取特权。利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击,前者可使黑客非法获得对用户机器的完全控制权,后者可使黑客获得超级用户的权限,从而拥有对整个网络的绝对控制权。

三、防范措施

1.经常做telnet、ftp等需要传送口令的重要机密信息应用的主机应该单独设立一个网段,以避免某一台个人机被攻破,造成整个网段通信全部暴露。

2.专用主机只开专用功能。网管网段路由器中的访问控制应该限制在最小限度,关闭所有不必要的端口。网络配置原则是“用户权限最小化”,关闭不必要或者不了解的网络服务,不用电子邮件寄送密码。

3.对用户开放的各个主机的日志文件全部定向到一个系统日志服务器上,集中管理。该服务器可以由一台拥有大容量存贮设备主机承当。定期检查系统日志文件,在备份设备上及时备份。制定完整的系统备份计划,并严格实施。

4.设立专门机器使用ftp或WWW从互联网上下载工具和资料,提供电子邮件、WWW、DNS的主机不安装任何开发工具,避免攻击者编译攻击程序。

5.下载安装最新的操作系统及其它应用软件的安全和升级补丁,安装几种必要的安全加强工具,限制对主机的访问,加强日志记录,对系统进行完整性检查,定期检查用户的脆弱口令,并通知用户尽快修改。

无线网络攻击与防范 篇6

关键字:ARP协议;ARP攻击;MAC地址;防范策略

中图分类号:TN915.08文献标识码:A文章编号:1007-9599 (2010) 06-0000-02

Attacks Principle& Preventive Measures of ARP Protocol Under Campus Network

Li Hui,Du Shanlin

Abstract:From the function of the ARP protocol to explain the working mechanism ARP.ARP works by analyzing the protocol,discuss the ARP protocol to the physical address from IP address resolution process in the presence of the security risk, given the same network segment and the process of inter-segment ARP cheating. Articles from the client and the network equipment side,puts forward the countermeasures,including the IP address and MAC address binding,switch port and MAC address binding,VLAN isolation techniques on the ARP spoofing attack,the security policy.

Keywords:ARP protocol;ARP attack;MAC address;Preventive measures

一、ARP工作原理

(一)ARP协议介绍

ARP在局域网中,实际传输的是“帧”,帧包括源MAC地址及目标的MAC地址。 在以太网中,一主机要和另一主机进行通信,必须要知道目标MAC地址。MAC是通过ARP地址解析协议获得的。“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。

ARP协议规定每一个主机都设有一个ARP高速缓存,里面存有所在局域网上的各主机和路由器的IP地址到硬件地址的一张映射表。根据存储类型,ARP地址转换表可被分为动态和静态两种。

(二)ARP的工作流程

当主机A准备向B发送数据时,己知A明确B的IP地址IPB为192.168.1.101,MAC地址为BB-BB-BB-BB-BB-BB。通过比较IPB与子网掩码,判断A与B是否在同一网段。

1.A与B在同一个网段,A检查本机上ARP缓存区是否有B的MAC地址,如果有则直接发送信息给B,没有就以广播的形式向A所在本局域网内所有主机发送ARP请求报文,意思是本地主机大喊一声“谁的IP是192.168.1.101?请把你的MAC地址传过来!”。网络上其他主机并不响应ARP询问,只有B收到此广播帧后,向A返回ARP reply报文(含MAC地址),意思是对A说“我的IP是IPB,我的MAC地址是BB-BB-BB-BB-BB-BB,当A接收到应答后,更新本机上的ARP缓存,然后用该物理地址把数据包直接发送给B。

2.A与B不在同一网段, A若想要发送信息给B,就必须通过本地网关S1来转发,由本地网关通过路由将数据包发送到B所在网段中的网关S2,网关S2收到这个数据包发现是发送给B的,就会检查自己的ARP缓存,看是否有B的MAC地址,如果没有就使用ARP协议获得,如果有就用该MAC地址与主机B通信。

二、ARP病毒欺骗的实现

(一)ARP协议存在的安全隐患

由于ARP协议不对报文信息的真实性校验,而且没有被请求的ARP响应报文同样可以被目标主机所接受。目标主机刷新自己的缓存,把新的地址映射信息加入到ARP高速缓存中。这种缺陷使得伪造别人的IP地址或MAC地址实现ARP欺骗,进而影响系统报文通信成为一种可能。

(二)ARP病毒作用机理

ARP病毒工作时,首先在将安装有ARP机器的网卡MAC地址通过ARP欺骗广播至整个局域网,使局域网中的工作站误认为安装ARP的机器是该局域网的网关。由于局域网中的所有信息都必须通过网关来中转,当它伪装成网关时,由于物理地址错误,网络上的计算机发来的数据无法正常发送到网关,无法正常上网,造成这些计算机无法访问外网,而局域网中所有机器的数据却都可能流经它而被它窃取。

1.同一网段的ARP欺骗。

设在同一网段的三台主机:A,B,C。

假设A与B是信任关系,A欲向B发送数据包。攻击方C通过前期准备,收集信息,发现B的漏洞,使B暂时无法工作。然后C发送包含自己MAC地址的ARP应答给A。由于大多数的操作系统在接收到ARP应答后会及时更新ARP缓存,而不考虑是否发出过真实的ARP请求,所以A接收到应答后,就更新它的ARP缓存,建立新的IP/MAC地址映射对,即B的IP地址对应C的MAC地址。这样,A就将发往B的数据包发向了C。

2.跨网段的ARP欺骗。

这种方式需要把ARP欺骗与ICMP重定向攻击结合在一起。假设A和B在同一网段,C在另一网段,其IP地址和物理(MAC)地址映射关系如表

跨网段IP/MAC地址映射关系

首先攻击方C修改IP包的生存时间,将其延长,以便做充足的广播。然后寻找B的漏洞,攻击此漏洞,使主机B暂时无法工作。此后,攻击方C发送B的IP地址和C的MAC地址的ARP应答给A。A接收到应答后,更新其ARP缓存。这样,在主机A上B的IP地址就对应C的MAC地址。但是,A在发数据包给B时,仍然会在局域网内寻找192.168.1.101的MAC地址,不会把包发给路由器,这时就需要进行ICMP重定向,告A“到192.168.1.101的最短路径不是局域网,而是路由,请主机重定向路由路径,把所有到192.168.1.101的包发给路由器”。主机A在接受到这个合理的ICMP重定向后,修改自己的路由路径,把对192.168.1.101的数据包都发给路由器。这样攻击方C就能得到来自内部网段的数据包。

基于ARP协议的这一工作特性,借助于一些黑客工具如网络剪刀手等,黑客向对方计算机不断发送有欺诈性质的ARP数据包和ARP恢复数据包,数据包内包含有与当前设备重复的MAC地址,使对方在回应时,由于简单的地址重复错误而导致不能进行正常的网络通信,这样就可以在一台普通计算机上通过发送ARP数据包的方法来控制网络中任何一台计算机的上网与否,甚至还可以直接对网关进行攻击,让所有连接网络的计算机都无法正常上网。

三、安全防范策略

(一)用户端计算机的防御策略

1.安装杀毒软件、防火墙。安装金山毒霸、瑞星、360安全卫士、金山ARP防火墙等杀毒软件,必须要定期升级更新病毒代码,每天定时对机器进行病毒扫描,及时更新补丁程序等。安装影子系统或其它还原系统,这样在受到ARP攻击后可以通过重启实现ARP病毒的清除。

2.网上玩游戏要注意安全。许多带有ARP病毒的木马程序往往都是隐藏在网络游戏的外挂中通过网络游戏私服进行传播的。

3.在用户端计算机上绑定交换机网关的IP和MAC地址。Windows用户可通过在命令行方式执行“arp –s 网关 IP 网关MAC 地址”命令来减轻中毒计算机对本机的影响。网关IP和网关MAC地址可在网络工作正常时通过命令行方式下的“arp -a”命令来得到。可以编写一个批处理文件arp.bat,实现将交换机网关的MAC地址和网关的IP地址的绑定,并将这个批处理文件拖到“开始-程序-启动”中,以便用户每次开机后计算机自动加载并执行该批处理文件。

4.安装常见的防范ARP欺骗攻击的工具软件。针对ARP欺骗攻击出现了一些可以保护客户端的网关MAC地址不被修改的工具软件,并且报警当前是哪个MAC地址在攻击网络。

5.计算机中了ARP病毒后的处理方法。一旦你的计算中了ARP病毒,各种防病毒软件或专杀工具很难完全清除,只有重装系统,并施加相关防护措施,才可以得到比较彻底的恢复。

(二)网络设备管理端的防御策略

1.在核心交换机上绑定用户主机的IP地址和网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。同时在三层交换机上实时检控用户的IP MAC对应表以及在二层交换机上限制用户端接口上最大可以上传的MAC数量。

(1)IP和MAC地址的绑定。

在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。

(2)MAC地址与交换机端口的绑定。

根据局域网络用户所在的区域、楼体和用户房间所对应的交换机端口号,将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。

2.开启交换机上针对ARP的特定功能。在锐捷S21系列二层交换机上可以通过开启Anti-ARP-Spoofing功能,防止同一网段内针对用户的ARP欺骗攻击。其他厂家的设备也有类似功能,CISCO的可以使用ARP-Inspection,H3C的可以使用Anti-ARP-at2tack。

3.使用ARP服务器查找自己的ARP转换表来响应其他机器的ARP广播。

4.对上网用户进行上网认证和地址绑定。通过在用户侧使用静态IP同时在汇聚交换机上进行IP-MAC对的绑定,同时开启帐号+密码+IP+MAC+接入交换机IP+接入交换机PORT的六元素绑定。由于用户名、密码、用户端IP、MAC和接入交换机IP、PORT都对应起来了,杜绝了同一MAC对应多个IP和用户MAC对应网关IP的ARP欺骗,因此通过地址绑定基本可以实现网络对于ARP欺骗攻击的完全性免疫。

四、结束语

本文通过分析ARP协议的工作原理,探讨了基于ARP协议漏洞的欺骗攻击的实现过程,提出了多种可行的安全防御策略,并分析了多种防御措施各自存在的局限性,对于彻底的防范ARP欺骗攻击,一般需要多种方案配合使用,特别是对用户上网进行认证"如果要从根本上解决这一问题,最好的方法将是重新设计一种安全的地址解析协议,已经在IPV6中已经考虑到了这个问题,采用了更安全的方式杜绝了来自底层的攻击。

参考文献:

[1]谢希仁.计算机网络.北京:电子工业出版社,2003,6

[2]傅伟,谢宜辰.基于ARP协议的欺骗攻击及安全防御策略.湘潭师范学院学报,2007,12

[3]邓清华,陈松乔.ARP欺骗攻击及其防范.微机发展,2004,14,8:126-128

[4]周增国.局域网络环境下ARP欺骗攻击及安全防范策略.计算机与信息技术

[5]潘锋.局域网中ARP欺骗的防范.Computer Era,2007,5

[6]黄少敏.校园网络ARP病毒攻击和对策.广东科技,2007,4

作者简介:李辉(1989-),男,辽宁盘锦人,本科在读。

网络攻击技术与防范技术的初探 篇7

网络攻击分为四步:窥探设施, 查点, 攻击系统, 扫尾工作。

第一步是窥探设施。攻击者首先利用一些网络工作, 来确定被攻击系统在网络上的设置和结构, 发现目标系统的外围安全设备类型并确定侵入点, 通过外围安全设备的薄弱环节, 进入网络的正常服务, 如通过电子邮件系统和主页等进入网络。

第二是查点。侵入者一旦获得进入网络的权利, 便会在外围设备中为自己寻找一个安全的、不易被发现的落脚点.通常侵入者会选择一个能够获得root权限的主机作为落脚点。落脚点确定后, 外部入侵者就变成了系统内部一员。

第三是系统攻击。落脚后, 入侵者就在系统内部寻找可盗窃的数据和可破坏的目标, 主要包括偷窃软件源代码和感兴趣的数据、访问机密文件、破坏数据、硬件及为再次入侵安置“特洛伊木马”等。

第四是扫尾工作。攻击和破坏得手后, 入侵者会安装后门及清除入侵痕迹。以防被发现。典型的作法是删除或替换系统的日志文件。

2 攻击系统中常用的攻击技术

网络攻击技术是一系列技术的综合运用, 攻击者必须掌握各种关键攻击技术, 理解各种攻击技术应用的局限性和限制条件;反之, 防御者也需要了解攻击技术的内涵, 才能制定有针对性的防范策略。

常见的网络攻击技术有口令破解技术, 网络嗅探技术, 网络端口扫描技术等。

2.1 口令破解技术

口令机制是资源访问控制的第l道屏障。1988年小莫里斯的“蠕虫事件”, 以破解用户的弱口令为突破口, 致使攻击成功。计算机硬件和软件技术的发展, 使口令攻击更为有效。首先, CPU的速度有了很大的提高, 再加上网络的普及和分段攻击算法的发展, 使攻击者有了千倍于l0年前的计算能力进行口令攻击。其次, 用户仍然喜欢选择容易记忆的口令, 大约20%~30%的口令可通过对字典或常用字符表进行搜索或简单的置换发现, 因此这些口令属于弱口令。还有, 可读的加密口令文使口令攻击更为有效。

攻击者要进行口令攻击通常需要具备如下条件:

(1) 高性能计算机;

(2) 大容量的在线字典或其他字符列表;

(3) 已知的加密算法;

(4) 可读的口令文件;

(5) 口令以较高的概率包含于攻击字典中。

2.2 网络嗅探技术

网络嗅探器 (Network Sniffer) 是一种黑客工具, 用于窃听流经网络接口的信息, 从而获取用户会话信息:如商业秘密、认证信息 (用户名、口令等) 。一般的计算机系统通常只接收目的地址指向自己的网络包。其他的包被忽略。但在很多情况下, 一台计算机的网络接口可能收到目的地址并非指向自身的网络包。在完全的广播子网中, 所有涉及局域网中任何一台主机的网络通信内容均可被局域网中所有的主机接收到, 这就使得网络窃听变得十分容易。目前的网络嗅探器大部分是基于以太网的, 其原因在于以太网广泛地应用于局域网。

技术上讲, 进行网络嗅探主要有2个问题:

(1) 如何使用网络接口 (网卡) 接收目的地址并不指向自己的网络包。以太网接口提供了“杂模式” (Prosmiscuous Mode) , 在该模式下, 主机的网络接口接收所有经过网络介质的数据, 包括那些目的地址并不指向该主机的网络包。

(2) 如何从数据链路层获取这些包。不同的系统提供了不同的数据链路存取方法, 通过检测一些特殊设备或文件的存在, 可以识别出该计算机操作系统所支持的捕获网络数据包的方式。

2.3 网络端口扫描技术

2.3.1 全TCP连接

全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试 (使用三次握手) 与目的机指定端口建立建立正规的连接。连接由系统调用connect () 开始。对于每一个监听端口, connect () 会获得成功, 否则返回-1, 表示端口不可访问。由于通常情况下, 这不需要什么特权, 所以几乎所有的用户 (包括多用户环境下) 都可以通过connect来实现这个技术。

这种扫描方法很容易检测出来 (在日志文件中会有大量密集的连接和错误记录) 。Courtney, Gabriel和TCP Wrapper监测程序通常用来进行监测。另外, TCP Wrapper可以对连接请求进行控制, 所以它可以用来阻止来自不明主机的全连接扫描。

2.3.2 TCP SYN扫描

在这种技术中, 扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST, 那么说明端口是关闭的, 按照设定就探听其它端口;如果应答中包含SYN和ACK, 说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息, 传送一个RST给目标机从而停止建立连接。由于在SYN扫描时, 全连接尚未建立, 所以这种技术通常被称为半打开扫描。SYN扫描的优点在于即使日志中对扫描有所记录, 但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下, 发送主机需要构造适用于这种扫描的IP包, 通常情况下, 构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。

2.3.3 秘密扫描技术

由于这种技术不包含标准的TCP三次握手协议的任何部分, 所以无法被记录下来, 从而必SYN扫描隐蔽得多。另外, FIN数据包能够通过只监测SYN包的包过滤器。

秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口, 数据包会被丢掉, 并且回返回一个RST数据包。否则, 当一个FIN数据包到达一个打开的端口, 数据包只是简单的丢掉 (不返回RST) 。

Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN, URG和PUSH标记, 而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤。

秘密扫描通常适用于UNIX目标主机, 除过少量的应当丢弃数据包却发送reset信号的操作系统 (包括CISCO, BSDI, HP/UX, MVS和IRIX) 。在Windows95/NT环境下, 该方法无效, 因为不论目标端口是否打开, 操作系统都发送RST。跟SYN扫描类似, 秘密扫描也需要自己构造IP包。

2.3.4 间接扫描

间接扫描的思想是利用第三方的IP (欺骗主机) 来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息, 所以必须监控欺骗主机的IP行为, 从而获得原始扫描的结果。间接扫描的工作过程如下:

假定参与扫描过程的主机为扫描机, 隐藏机, 目标机。扫描机和目标记的角色非常明显。隐藏机是一个非常特殊的角色, 在扫描机扫描目的机的时候, 它不能发送任何数据包 (除了与扫描有关的包) 。

3 网络安全的防范技术

网络的攻击与防范是一对矛盾, 攻击技术的发展促进了防范技术的发展。

3.1 防火墙技术

防火墙的作用可以说是“一夫当关, 万夫莫开”, 它是计算机硬件与软件的组合, 常被放在内网与外网之间, 起到隔离的作用, 使得互联网上的危险不能漫延到内部网络当中。

但是它不能防范内部的攻击。防火墙技术是目前最有效的最成熟的网络安全技术, 防火墙产品目前约有三千多种, 目前防火墙产品一般都具有防止拒绝服务攻击的功能。

3.2 反病毒技术

反病毒技术主要包括杀毒技术及防毒技术。俗话说, 治病不如防病, 同样地, 计算机病毒的预防也是非常重要的。由于计算机病毒层出不穷, 安装反病毒软件后也不能保证计算机不中病毒, 关键是要经常更新病毒库, 及时安装补丁。

3.3 入侵检测技术

(上接32页) 心技术之一, 它的主要作用是发现网络当中的正在发生的入侵行为, 实时报警。入侵检测常需要用到专家系统技术, 人工智能技术等。是一项高智能的技术, 因此, 目前成熟的产品不多。

3.4 加密技术

在网络当中, 信息的保密性是非常重要的。利用加密技术可以确定信息在Internet上传输的保密和安全。密码学技术源远流长, 相关理论和技术都很成熟, 因此在网络安全特别是电子商务安全中的应用十分广泛。加密技术可以分为对称加密和非对称加密。非对称加密是1973年以后才出现的, 它的出现也使得电子证书等技术得到实现, 也使得加密技术在网络安全中是不可缺少的。目前Internet中广泛使用的SSL, SET, PGP等协议也都使用了加密技术, 为电子商务的安全保驾护航。网络防范技术还包括身份认证技术, 数据备份技术、VPN技术等。

由于计算机网络的特点, 一个完全可靠的网络系统是不存在的, 使用加密技术, 防火墙技术, 入侵检测技术等可以建立一个高效、稳定的网络。网络攻击技术不断在发展, 网络的防范技术也需要不断更新和提高。

摘要：网络技术的发展已经给整个社会的科学技术、经济与文化带来了巨大的推动和冲击。而在实际应用中, 网络安全一直面临着巨大的挑战。随着Internet的不断发展, 信息技术已成为促进经济发展、社会进步的巨大推动力, 当今社会高度的计算机化信息资源对任何人都变得极有价值, 不管是存储在工作站中、服务器里还是流通于Intemet上的信息都已转变成为一个关系事业成败的关键策略点, 这就使得信息的安全性变得格外重要。然而, 由于Intemet是一个面向大众的开放系统, 对于信息的保密和系统的安全考虑得并不完备, 网络与信息安全问题随着网络技术的不断更新而愈发严重。网络规模迅猛增长和计算机系统El益复杂, 导致新的安全问题层出不穷。传统的安全防护手段如防火墙、入侵检测、安全漏洞探测、虚拟专用网等在同网络黑客进行斗争的过程中发挥了巨大的作用, 但是在层出不穷的网络攻击技术面前这些传统的安全防御手段显得有些力不从心。

关键词：网络攻击,网络探测,隐藏踪迹

参考文献

[1]陈明.网络安全教程[M].北京:清华大学出版社, 2004.

[2]李光文, 计算机网络安全[M].武汉:湖北人民出版社, 2003.

探究网络攻击分析与安全防范 篇8

关键词：网络攻击,防范策略,拖库,APT

0 引言

网络安全属于一个系统工程,不仅要考虑其系统的安全需求,还应该将各种安全技术结合起来,方能形成一个通用、安全且高效的网络系统。[1]然而,就目前来看,一个开网的网络信息系统必然会存在很多安全隐患(潜在或非潜在),简而言之破坏与反破坏、黑客与反黑客之间的斗争依然激烈地继续着。因此,网络攻击与防范策略之间便形成了一个独特的领域,并越来越被人类所重视,尤其是网络建设者在不断地努力抗争着网络攻击。

1 常见网络攻击分析

1.1 人为恶意攻击

1.1.1 口令入侵与木马程序

口令入侵与木马程序都能直接侵入用户的计算机网络进行破坏,它经常伪装成游戏或工具程序等对用户展开诱惑,而这些游戏或工具程序往往带着木马程序,当用户打开了这些邮件或附件,进行下载的时候便已经执行了木马程序。木马程序被执行后便会通知攻击者,并将被攻击者的IP地址及预先设计的端口等传递给攻击者,攻击者获取信息后便能通过潜伏的木马程序修改用户的计算机相关参数,并能复制、窥视及下载硬盘中的内容等,也就是说他能完全控制用户的计算机。

1.1.2 APT攻击

APT攻击,即高级可持续攻击,它是当今网络攻击中最难应付的一种。世界上最早对其的报道是在2010年的伊核设施遭遇了Stuxnet-超级病毒攻击,攻击目标直指西门子公司的工业控制系统,对设备进行破坏,后果严重,造成了伊朗核电站推迟发电。APT在当前也普遍存在于网络攻击中,它并非炒作,而是真正具有实力的攻击类型,其主要对情报、军事以及经济等有针对性的攻击,并且它能在目标系统中潜伏很长一段时间而不被发现。[2]攻击者为了能诱发APT攻击,往往会大量搜集关于攻击目标的资料,并进行详细的分析。此外,攻击者对于各类安全与网络技术都非常熟悉,可谓网络“高才生”。APT攻击可以潜伏着不被人察觉,然后忽然发起攻击,因为它能完全将自己融入被攻击的系统里,因此很难被检测出来。

1.2 安全漏洞攻击

不言而喻,当前计算机技术确实得到了飞跃式的发展,但是我们必须看清的现实是:大部分的网络系统都存在各式各样的安全漏洞,有些是应用软件本身自带的,而有些则是操作系统引起的。由于大部分系统在未检查缓冲与程序之间的变化情况就随意接受了任意长度的数据,然后把溢出的数据放在了堆栈里,而系统却依然要照常执行相关的命令。这样的话攻击者肆意发送超出了缓冲区能处理的长度指令,便能造成系统的不稳定甚至瘫痪。此外,有一些还能利用协议漏洞进行网络攻击,从而获取一些超级用户的特权等。比如Struts2框架攻击事件,其最早出现在2010年7月14日,当时发现了一种严重命令的执行漏洞,而黑客则利用了Struts2“命令执行漏洞”,从而获取网站服务器的相关特权,诸如ROOT权限、执行命令等,从而篡改网页或窃取重要数据。

1.3 用户缺乏安全意识

从目前来看,大部分的应用服务系统在安全通信及访问控制等方面的考虑都比较少,并且系统若出现了设置错误,极易造成不必要的损失。假如在一个设计足够安全的网络中,面临的最大安全隐患往往是人为因素所造成的安全漏洞。网络管理员及使用者都或多或少拥有相应的权限,他们可能利用这些权限进行网络安全的破坏。比如“拖库”攻击,这个词语本来属于数据库领域的专有术语,一般指的是数据库中进行数据的导出。黑客如果通过非正常的手段侵入网站,便能窃取网站内的数据库,并能全盘下载资源信息。若泄漏了个人的邮箱、游戏、微博、网购账号和密码等,则可能对个人财产造成一定的损失与影响;若窃取的是公司或企业或国家的机密资料,那就非同小可了。APT在对网站服务器进行攻击的时候主要包括:弱口令攻击、远程桌面攻击、漏洞攻击以及管理疏忽攻击等。

2 网络安全防范策略探析

网络安全越来越被人们所重视,从目前来看,主要的网络安全防范策略有以下几个方面:

2.1 合理安装杀毒软件,配置防火墙,及时修补漏洞

总的来说,首要的便是为电脑配置一套正版的杀毒软件,每周要做好电脑的全面扫描、杀毒工作,便于及时发现并清除潜藏的病毒。[4]但是,实际生活中,大部分用户为了省钱和图个方便,都不愿意花钱购买正版杀毒软件,这正中了网络攻击的下怀。比如在修补Struts2攻击事件引起的漏洞时,应该查看相关的服务器或网站是否被入侵,是否存在后门文件等,确保最大限度控制风险与损失。从目前来看,Struts2“命令执行漏洞”影响了很多网站,危害巨大,因此诸如360等大型网站已经安装了检测平台并及时更新了漏洞库,同时还及时向存在漏洞的网站发送了警示邮件等,还建议使用Struts2框架的用户及时做好升级工作,定期做好相关的安检,确保随时掌控网络安全。[3]

2.2 个人防范意识应提高

对于个人计算机的安全防护工作而言,最重要的还是要用户自己高度重视,加强安全培训,漏洞往往是在人身上挖掘的,意识胜过杀毒软件。养成良好的安全操作习惯,切勿随意打开不明电子邮件或文件,不要随意运行陌生人给予的程序,自己的私人密码尽量设置复杂一些(包括数字、字母及符号等),还要设置不同的常用密码,避免一个被查出而牵连其余重要密码(最好经常更换重要密码)。此外,还应该及时下载漏洞补丁进行电脑的补丁修复。这里着重介绍一下关于“拖库”攻击的解决办法(主要对个人用户而言):用户要对自己的网站密码采取分级管理,若各种系统使用密码皆为同一个,那么其坏处是不言而喻的,因此,我们应该养成对不同的应用设置不同密码的习惯;要保证密码的安全性非常强,大部分网站都提供了强度检查功能,我们应该很好的利用它。

2.3 控制好入网访问的安全

入网访问的安全设置将为网络访问提供首层安全控制,也就是说它可以控制并选择哪些或什么用户可以登陆系统并获取网络资源,同时也能控制某些用户入网时间及在哪台工作站入网。用户的入网访问的安全控制一般有三个设置部分:1)用户名的识别及验证;2)用户口令的识别及验证;3)用户帐号缺省的限制检查。这三个部分环环相扣,不管是哪一个部分未被通过,那么此用户便无法进入网络。因此,能够很好的控制非法侵入对网络造成的危害。

2.4 隐藏IP地址

IP地址属于网络上分配给计算机或网络设备的32位数字标识,在Internet上,每台计算机所拥有的IP地址都应该是唯一的。然而,一些黑客往往利用其超高的技术窥探用户的逐级信息,其目的在于获取主机中的IP地址。用户将IP地址进行隐藏,那么黑客便不容易探测出主机中的IP地址。主要的方法是利用代理服务器,用户一旦使用了代理服务器,那么黑客探测到的便是代理服务器的IP地址而不是用户本身的IP地址,这便实现了隐藏IP地址的目的,从而保障了用户的上网安全。

2.5 虚拟局域网技术的应用

虚拟局域网技术的应用,能够较好地从链路层进行网络安全的保障。虚拟网络技术指的是通过交换设备在网络的物理拓扑结构基础进行逻辑网络的构建,它可以依据用户的逻辑设定将与之互联的一个局域网划分成不同的虚拟子网,而划分的依据则是设备的连接端口或用户节点的MAC地址等。[5]此项技术对于安全性要求较高的虚拟局域网的端口实施MAC帧过滤,即使黑客攻破了其中一个虚拟子网,也不会影响整个网络的信息。此外,在虚拟局域网技术的应用中不得不谈一下关于APT攻击的防范,这就需要对整个网络进行不断的监控,并进行相关的网络情报分析,但这会涉及到大量的机构化或非机构化数据,所以当前对于网络情报的分析主要只有大型的机构才有条件实现。比如针对“匿名者”的恶意攻击而言,我们可以针对其攻击行为进行相应的调研分析,探索出奇特征,提前做好防御工作。因此,这就需要借助于一些高科技的计算方式,如云计算,来进行大量情报数据的分析,争取早日发现APT的攻击行迹,从而及早防御与出击。

2.6 使用先进的入侵检测系统

入侵检测主要是利用网络封包或者信息的收集,进行一些可能入侵的行为的提前检测,并能在入侵行为真正入侵并造成危害之前就及时做出警报,通知相关技术专员或管理员进行相应的处理。入侵检测系统一般根据信息的来源收集方式不同而进行划分,总的来说可以分成基于主机的检测系统与基于网络的检测系统,当然细分的话即包括:主机型入侵检测系统、网络型入侵检测系统以及混和入侵检测系统。[6]但不管运用何种检测系统,都应该按照相关的规范要求进行操作,确保检测系统的使用正确,同时也要保证检测的准确性。

参考文献

[1]唐小盛.关键网络安全事件及安全理念总结[J].网络与信息,2012,26(3):60-61.

[2]防御APT网络安全矛与盾之间的生死时速[J].计算机与网络,2012,38(9):47-47.

[3]欧阳梅.网络攻击分析与安全防范[J].科技信息,2010,(11):500,541.

[4]方富贵.网络攻击与安全防范策略研究[J].软件导刊,2011,10(6):136-137.

[5]谷林柱,王凯.现代网络技术发展概述[J].软件,2011,32(3).

无线网络攻击与防范 篇9

TCP/IP网络协议栈源于20世纪60年代美国军方资助的一个分组交换网络的研究项目, 在设计之初是使用环境中的用户都是可信任的, 并未考虑到其中存在的安全问题, 后来TCP/IP协议栈取得巨大的成功, 并促成全球互联网时代的到来, 但随着互联网的逐步扩展与开放, 使得原先用户可信任的缺省假设不再满足, TCP/IP协议栈存在的安全缺陷被发现, 如:缺乏加密认证机制、TCP序列号易被猜测、定时器及连接建立过程中的问题等, 都是TCP/IP协议固有的缺陷。而这些缺陷成了黑客们的攻击点, 对目标网络的安全性构成危害和威胁。

2 常用的 TCP/IP 网络协议栈攻击技术

2.1 网络层攻击

(1) ARP缓存欺骗

ARP缓存是ARP协议的重要组成部分。当使用ARP协议解析了MAC地址和IP地址的映射关系, 该映射便会被缓存下来。因此就不再使用ARP协议来解析已存在缓存中的映射关系。但是因ARP协议是无身份认证的, 所以ARP缓存很容易被恶意的虚假ARP数据报实施欺骗, 这样的攻击被称为ARP缓存欺骗。

在这样的攻击中, 攻击者通过伪造ARP数据报来欺骗被攻击主机的电脑使之缓存错误的MAC地址和IP地址映射。因攻击者的动机不同, 攻击的结果也有很多。例如, 攻击者可以使被攻击主机的默认网关IP映射到一个不存在的MAC地址达到DoS攻击, 攻击者也可以使被攻击主机的通信重定向至其他机器等等。

(2) ICMP重定向攻击

ICMP重定向报文是路由器为网络中的机器提供最新的路由信息以达到最短路由而使用的。当主机收到一个ICMP重定向报文就会根据报文来更新自己的路由表。由于缺乏确认机制, 如果攻击者想要使被攻击主机使用特定路由, 他们只要向被攻击主机发送欺骗性的ICMP重定向报文, 使它改变路由表即可。

2.2 传输层攻击

(1) SYN flood攻击

SYN flood攻击是DoS攻击的一种形式, 攻击者向被攻击主机的TCP端口大量发送SYN请求包, 但不去完成TCP的“三次握手”的过程, 例如攻击使用一个假的IP地址, 或只是简单地不再继续建立TCP连接的过程, 这都使被攻击主机处于”半连接”状态 (即在”三次握手”过程中, 有了前两次握手, SYN包和SYN-ACK包的传输, 但没有最后一次ACK包的确认。

被攻击主机的主机会使用一个队列来保存这种半连接的状态, 当这个队列存储空间满了的时候, 目标主机便无法再接受任何其它连接。这一队列的空间大小事实上是一个系统变量, 在Linux中, 可以这样查看它的大小:#sysctl–qnet.ipv4.tcp_max_syn_backlog。

我们还可以使用”netstat -na”命令去检查队列的使用情况。处于半连接的连接状态被标示为”SYN-RECV”, 完成了”三次握手”的连接被标示为”ESTABLISHED”。

你可以使用Netwox去实施攻击, 并使用嗅探器来获取数据包。攻击实施的过程中, 在被攻击主机上运行”netstat -na”命令去观察受攻击的情况。

SYN Cookie保护机制:如果你的攻击看起来并不成功, 你可以检查一下目标主机的SYN Cookie机制是否被开启。SYN cookie是针对SYN flood攻击的一种保护机制。这一机制会在探测到SYN flood攻击时开始生效。你可以使用sysctl命令去打开或关闭这一机制:

# sysctl -w net.ipv4.tcp_syncookies=0 (关闭SYN cookie)

# sysctl–w net.ipv4.tcp_syncookies=1 (打开SYN cookie)

(2) TCP RST攻击

比如被攻击者使用浏览器访问一个视频网站, 并选择播放某个视频大多数情况下视频的完整内容被存放在一个不同的主机上, 该主机接下来会与被攻击主机建立起TCP连接, 从而使被攻击主机能够接收视频的内容, 通过破坏上述TCP连接来干扰视频流的传输。你可以让被攻击主机试图去访问一个假的IP地址或是攻击主机的IP地址来获取视频 (从而它无法成功获得视频内容) , 但请注意, 攻击的目标应该是被攻击主机, 这是受你控制的一台主机, 不要针对提供视频的主机 (不受你控制的主机) 。你的攻击实验应出于学习目的而不要造成真正的危害。

(3) TCP会话劫持 (bonus)

TCP会话劫持的目标是劫持一个已经存在于两台被攻击主机之间的TCP连接, 在会话中注入恶意的内容。如果这是一个telnet会话连接, 攻击者可以注入一些恶意的命令, 使得被攻击主机运行这些恶意的命令。在这个任务中, 我们使用telnet作为例子, 并且仍然假定攻击机与目标主机在同一个局域网内。

3 TCP/IP 网络协议栈 IP 欺骗的应对措施

上述诸多黑客攻击TCP/IP网络协议栈的情况非常普遍, 这里我们只针对较普遍的IP欺骗采取应对策略加以说明。

在网络攻击技术中IP欺骗是针对TCP/IP协议栈中不完善的机制而发展起来的, 目前尚无简便的方法防止IP地址的欺骗行为。我们只能采取一些弥补措施来使其造成的危害减少到最小的程度。防御这种攻击的主要防范策略:

(1) 在局域网内部的IP数据包发出之前, 需对每一个连接局域网的网关或路由器进行IP源地址进行检验。如果该IP包的IP源地址不是其所在局域网内部的IP地址, 则该IP包就被网关或路由器拒绝, 不允许该包离开局域网。这样攻击者至少需要使用其所在局域网内的IP地址才能通过连接该局域网的网关或路由器。因此建议每一ISP或局域网的网关路由器都对出去的IP数据包进行IP源地址的检验和过滤。

(2) 使用防火墙决定是否允许外部的IP数据包进入局域网, 对来自外部的IP数据包进行检验。如果数据包的IP不是防火墙内的任何子网, 它就不能离开防火墙。这种方法虽然能够很好地解决问题, 但是一些防火墙并不能够正确的区分内部与外部的数据包, 并且在实际应用中局域网与局域网之间也常常需要有相互的信任关系以共享资源, 这种方案不具备较高的实用价值。

(3) 在包发送到网络上之前, 我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境但它将保证数据的完整性和真实性。虽然服务拒绝攻击的工具很多, 但一般都有相应的补丁, 所以网络管理员应经常在网上查找并安装这此补丁。

4 结束语

针对上面的各种CP/IP网络协议栈攻击技术我们在工作实践中不断寻求不同的解决方案, TCP /IP协议的安全隐患目前是无法从根本上消除的, 我们只有通过深入分析TCP/IP协议所存在的漏洞, 研究黑客利用这些漏洞进行攻击的常用方法并针对这些漏洞可能导致的安全隐患采取相应的解决策略才能达到提高网络安全性能、减少网络系统免受攻击的目的。

参考文献

[1]季云龙, 邵国强.TCP/IP协议的网络安全电脑学习, 2011, 2:29-30.

[2]颜学雄, 王清贤, 李梅林.SYN Flood攻击原理与预防方法, 计算机应用, 2000.

无线网络攻击与防范 篇10

随着网络的发展计算机的普及，计算机网络安全已经成为热议的话题，而计算机网络ARP攻击则是该安全领域的重要威胁因素。考虑到这一点，防范计算机网络ARP攻击就刻不容缓。

1 ARP协议和工作原理

在局域网络之中，IP地址是计算机的标志性识别因素，它为互联网上的每一个网络和每一台主机分配一个逻辑地址。但具体到实际的数据传输过程中，MAC才是实际的地址。在生产过程中，生产厂家就会将MAC地址刻录到网卡的EPROM中。这样一来，世界上每一台计算机的网卡的物理地址就是独一无二的。

在以太网（Ethernet）中，两个不同的网络设备之间如果要实现通信联系，一方面需要获取的是目标设备的网络层面的逻辑地址，另一方面还需要知晓其实际地址，即物理地址，这两者缺一不可。ARP协议在运行过程中，通过目标设备的IP地址来查询目标设备的MAC地址，这样才能够有足够的能力保障网络通信的正常实施。假设有两个网络设备A和B，当A需要和B进行通信的时候，A首先需要把B的IP地址与自己的子网掩码进行“与”操作，若两者处于同一个网段之内且源设备未获得与目标IP地址相对应的MAC地址信息，则源设备就发送ARP请求报文。在上述网段中的其他设备也可以收到此ARP请求报文。如有检测到相符的，那么它就会向源设备发回ARP响应报文，并且经由该报文使源设备获得目标设备的MAC地址信息。若不处于同一网段，则源设备首先把IP分组发向自己的缺省网关，并由他转发。假如源设备没有关于缺省网关的MAC信息，则它同样通过ARP协议获取缺省网关的MAC地址信息。为了缓解广播的负载量，网络设备通过ARP表在缓存中保存IP与MAC地址的映射信息。发生一次ARP的请求并给予相关的回应的这个过程中，通信双方都会在自己的ARP表中保存彼此的IP与MAC地址的对应关系，这样便于以后的通信联系。与此同时，ARP表会自动将不常使用的IP与MAC地址的映射关系进行删除，这是其老化机制的应用。

设备之间的通信所传递的数据包向一个LAN的主机传输，在抵达网关时，网关自身要求ARP程序找到对应的物理主机或与IP地址相匹配的MAC地址。这个需要ARP程序在已有的缓存中找寻地址，如若找到，则提供该地址，这样便于让数据包进行对应长度和格式的转化，最终传输到此主机。如若未找到，ARP程序便会在网络相关平台上广播带有独特格式的信息，旨在寻找知晓此IP地址相关的MAC地址的机器。假如其中某台机器接受到这样的广播信息后，发现是自己的IP地址，它就会给予回应，如此一来，相应的地址就找到了。如此过程下来，ARP程序就会自行更新自身的缓存内容，紧接着将数据包发送到对应的MAC地址。在网络中，协议不同，其对应的处理方式和方法也有所差别，这就导致出现不同的网络的地址解析请求。此外，还有逆向地址解析协议，它主要是为那些不知IP地址的主机从ARP缓存中获得IP地址。

2 计算机网络安全ARP攻击的特点

计算机网络安全ARP攻击有一下三个特点：其一，隐蔽性。在实际的网络执行过程中，存在网络协议地址冲突的现象，对于此，有较多的途径解决之。但是，当产生了ARP攻击，那么就无法断定ARP缓存正确与否，对于网络用户而言，它不会给予相关的提示信息，最终导致用户的计算机不知不觉中就已经被攻击过了。其二，阻塞网络性。只要有了ARP攻击，就会提供虚假的、伪造过的网络协议地址及物理地址。这些虚假的地址必然使得ARP的通信总量急剧增加，对于网络的畅通产生影响，大大消弱了网络通讯能力和效率。其三，不易消除性。ARP攻击因其自身的隐蔽性，所以解决处理起来就困难重重，也加大了计算机相关网络维护管理人员的工作量，对于维持和保护网络安全，是极大的挑战。

3 ARP攻击对计算机网络安全的影响及危害

随着网络时代的不断推进，社会也逐渐往数字化、网络化、信息化等方向发展、前进。计算机网路信息化的崭露头角，得宜于人们将通信技术与计算机技术的有机完美结合。计算机网络自诞生之日起就随着其应用的广泛性，不断完善自身，加之日新月异的设备支持，计算机网络更加完备。在实际的应用过程中，计算机网络基于其通讯联系和资源共享的技术本身，使得人们的工作、学习等方面的效率极大提高，鉴于此，计算机网络迅速普及开来。计算机网络应用日益广泛的同时，其安全问题也逐渐浮出水面，成为人们不容忽视的问题。其中，ARP攻击就是计算机网络安全不可避免的。通常来讲，ARP攻击会窃取IP地址，使得计算机自身功能受损甚至导致计算机网络瘫痪。例如，企业所使用的网络遭受ARP攻击，这就会导致企业数据丢失，甚至带来严重的经济损失。

如今的信息社会离不开网络的使用，而要使得计算机网络能够安全有效的为我们所用，必然需要从技术层面对ARP攻击进行有效的预防和应对。知己知彼百战不殆，这就需要对ARP攻击有充分全面的了解，这样才能够制定科学合理的防范ARP攻击的措施。

4 防范ARP攻击的网络安全措施

ARP攻击计算机网络系统，有其特定的表征特征。在其潜伏发生的前期，若网络管理员能够及时发现异常，那么就能够通过在MSDOS界面输入ARP-a命令进行硬件地址与IP地址对应情况浏览。假如若干个IP地址仅有一个硬件地址相呼应，那这种情况下，该硬件地址对应计算机系统受到了ARP攻击。接下来，通过在窗口处键入ipconfig/all指令，对相应的硬件地址进行更加详细的查询和分析，从而找到ARP攻击的到底是网络系统中的那一台计算机，然后选取相应的措施和方法来解除此类攻击。

4.1 判断是否受到ARP攻击的方法

能够有效的断定ARP攻击是否存在于局域网络之中，这样可以降低ARP对网络攻击的机率。这就需要定时定点定期对局域网进行检测，及时发觉网络异常。一旦发生，就需要在MS-DOS窗口并输入ARP-a命令，对局域网内所有IP地址中的MAC地址的内容进行检测。通过比对，锁定局域网内部受到攻击的计算机。

4.2 个人用户防ARP攻击办法

个人用户防范ARP攻击，首先要具备健康的上网习惯和安全意识。其次，在个人电脑上，要安装杀毒软件和防火墙。再有，在往电脑上安插U盘、光盘、软盘等移动存储器前先进行病毒扫描，定期用杀毒软件对个人电脑进行杀毒，及时处理系统补丁等。（1）重启电脑、网络设备复位、停用网卡，这三种方法，可以暂时解决问题，且技术要求不高，但非根本的解决ARP攻击的长久之计。（2）启用ARP防火墙。主动防御功能，能够将本计算机正确的MAC地址进行分析，从而确保网关获取到的本主机MAC是正确的。（3）管理员防ARP攻击方法。主机数目偏多的时候，这需要使用相关的ARP防护软件。一方面可以检测到ARP攻击，另一方面，可以向网络广播正确的ARP信息。（4）当前市场上所流通的网络路由器，均带有防ARP攻击功能。

5 结束语

综上所述，在充分了解和把握计算机网络ARP攻击的特点的基础上，合理分析，制定和采取科学有效的方式方法，减少计算机网络ARP攻击的发生率。

参考文献

[1]李军锋.基于计算机网络安全防ARP攻击的研究[J].武汉工业学院学报,2009(3):28-31.

[2]周晴.浅析高校计算机网络安全问题及对策[J].电脑知识与技术,2010(15):87-90.

ARP欺骗攻击原理与防范 篇11

关键词:ARP;欺骗;网络攻击

中图分类号:TN915.08 文献标识码:A文章编号:1007-9599 (2010) 03-0031-02

Principles and Precautions of ARP Spoofing Attack

Fang Song,Wang Yanxian

(hunan radio & TV university,ChangSha410004,China)

Abstract: With the development of Internet,Network Attack is increasing more and more with each passing day.We will face the situation that Internet is breaken off without any reason when we use Local Area Network.Most of the Network Administrators may firstly think that there is something wrong with the computer,instead of ignoring the safety of Network. At the present time,the Network Attack depended on ARP in Local Area Network is very prevalent and harmful/dangerous.Internet bars and computer rooms of colleges and universities are the frequently-occurred fields of ARP Spoofing Attack.Therefore,it’s vital/essential for us to understand the principles of ARP Spoofing Attack so that we can take some kind of precautionary measures.

Keywords: Arp;Spoofing;Network Attack

一、ARP协议的作用

数据在网络中传输是通过IP地址来进行路由寻址和确定主机位置的,数据通过物理线路传送到达目的主机,最终是通过MAC地址来完成的,因为IP地址无法被物理网络识别,所以数据通信要解决的问题就是如何获取目的端主机MAC地址以及如何将IP地址转换为MAC地址的问题。ARP(Address Resolution Protocol)地址解析协议就是将计算机的IP地址转化为MAC地址的协议。

二、ARP的工作原理

当计算机通过ARP协议得到目的主机的MAC地址后,会将目的主机的MAC地址保存到自己的ARP缓存表中一段时间,以便下次通信时直接使用。所以当源主机需要将数据包发送到目的主机时,会首先检查自己ARP缓存表中是否存在与目的主机IP地址所对应的MAC地址记录。如果记录存在就直接将数据包发送到这个MAC地址;如果记录不存在,就会向本地网段发起一个ARP查询的广播包查询目的主机所对应的MAC地址。目的主机收到广播包后会应答这个ARP查询请求。同时,当网络中其它主机收到ARP广播包后,会将源主机的IP地址与MAC地址的对应记录保存到自己的ARP缓存表中。

三、ARP欺骗的过程

了解ARP的工作原理后,现在来理解ARP欺骗就不难了。下面以一个具体实例来加深大家对ARP欺骗的理解。

假设局域网中有3台主机,它们分别由交换机连接。拓扑结构、IP地址和MAC地址如图所示。其中主机A为源主机,主机B为目的主机;主机C为ARP欺骗源。

正常情况下,当主机A向主机B发送信息时,必须先获取主机B的MAC地址MAC-B。主机A会查询自己的ARP缓存表,看是否存在IP地址为192.168.1.2对应MAC地址为MAC-B的这条记录。如果存在,便直接发送信息给主机B。如果不存在,主机A将发送一个ARP查询的广播包。这一过程就好比是向网络上所有主机询问:“我的IP地址是192.168.1.1,MAC地址是MAC-A,我现在想知道IP地址是192.168.1.2的主机它的MAC地址是多少?”当网络中其它主机都将收到这条广播信息,但是只有主机B会对这条广播信息作出应答,因为它的IP地址为192.168.1.2。之后它们之间的通信便开始了。

如果这时主机C将自己的IP地址伪装成主机B的IP地址,同时也向主机A发送一个ARP应答,那情况就会变得很糟糕了。主机A将会把保存在ARP缓存表中原本正确的主机B的IP地址与MAC地址对应记录,更新为与主机C的MAC地址对应的记录。即192.168.1.2→MAC-C。这样将导致主机A发往主机B的所有数据都将被发往主机C,这就是ARP欺骗。

四、ARP欺骗的危害

ARP协议为了得到目的主机的MAC地址,会采取广播ARP查询的方式。正是因为ARP协议这种不安全的询问与应答机制,对网络构成很很多危害。

(一)假冒ARP应答缺陷

假设现在有两台主机,分别为主机A和主机B。主机A尚未发送ARP查询,而此时主机B却主动向主机A发送ARP应答。这时主机A也会更新其ARP缓冲表中主机B的MAC地址。这个缺陷将导致任何主机都可以向主机A发送假冒主机B的ARP应答包,如果欺骗成功,主机A和主机B之间的通讯都将被中断。

(二)对网关的干扰

如果欺骗是针对一个局域网当中的网关。例如像学校机房和网吧中所使用的接入层网关,那么局域网中的所有主机将会与外界失

去联系。这种危害是非常大的,不仅使学校的正常教学受到了严重的影响,而且也让网吧蒙受了巨大的经济损失。

(三)大量广播包占用带宽

保存在主机ARP缓存表中的MAC地址与IP地址对应记录,一般会经过一段时间后自动更新。所以被欺骗的主机在经过更新时间后仍然会恢复正常的通信。为了达到ARP欺骗的目的,欺骗方只能在MAC地址更新后再次发送ARP欺骗包。如此反复将导致大量的数据包在网络中传输,耗费网络带宽。

五、防范ARP欺骗的方法

目前对于ARP攻击的防护主要是通过软件和硬件来实现,下面我们来介绍几种常用方法:

(一)IP与MAC绑定法

此方法不需要使用第三方软件,直接利用windows系统自带的ARP命令便可完成。命令行法将网关的IP地址和其对应的MAC地址做静态的绑定,人为阻止ARP缓存的自动更新。我们可以在命令行中输入“ARP-S本地网关的IP地址,本地网关的MAC地址”。例如:“ARP-S192.168.1.1 00-13-32-33-12-11”。一般都是将此命令做成为批处理文件,以便系统每次启动时都能自动绑定。

(二)采用Super VLAN

Super VLAN又称为VLAN聚合,其原理是一个VLAN内包含多个Sub VLAN,每个Sub VLAN是一个广播域,不同Sub VLAN之间相互隔离,不能通信。所有的Sub VLAN都使用Super VLAN的默认网关IP地址与外界联系。如果将交换机的每个端口都设置为一个Sub VLAN,那么便可以实现所有端口的隔离,也就避免了ARP欺骗。

(三)使用第三方软件

目前防范ARP欺骗的软件有很多。如Anti ARP Sniffer、360安全卫士等。360安全卫士是目前使用比较广泛的一款免费杀毒软件,启动该软件提供的ARP防火墙功能后,系统会自动将本机的IP地址和MAC地址、本地网关的IP地址和MAC地址进行绑定。在受到ARP欺骗攻击时还会发出警告。

虽然ARP欺骗危害很大,但当我们知道了它的工作特性后,也能很好的防范它。如果我们能提前做好ARP欺骗的防治工作,相信能将ARP的危害减少到最小的程度甚至杜绝。

参考文献:

[1]计算机网络(第4版)(中文版)

[2]TCP/IP详解 卷1:协议

[3]网管员必读--网络安全(第2版)

作者简介

方颂(1978- ),男,中南大学在职研究生,工程师。

网络攻击及防范措施 篇12

网络攻击主要来自于黑客和病毒攻击, 尽管我们正在广泛地使用各种复杂的软件技术, 如防火墙、代理服务器、侵袭探测器等机制, 但是, 无论在发达国家, 还是在发展中国家, 黑客活动越来越猖狂, 他们无孔不入, 对社会造成了严重的危害。如银行卡资料被盗事件。一名黑客2003年2月20日“攻入”美国一个专门为商店和银行处理信用卡交易的服务器系统, 窃取了万事达、维萨、美国运通、发现等4家大型信用卡组织的约800万张信用卡资料。网络攻击有哪些?应该怎样防护才能保证网络的正常安全运行呢?

一、常见的网络攻击方式

1、缓冲区溢出

这是攻击中最容易被利用的系统漏洞。通过在程序的缓冲区写超出长度的内容, 造成缓冲区的溢出, 从而破坏程序的堆栈, 使程序转而执行其他指令。

2、拒绝服务攻击

(Denialof Service, Do S) 攻击是使受攻击方耗尽网络、操作系统或应用程序有限的资源而崩溃, 从而不能为其他正常用户提供服务。

Do S攻击方式

(1) Syn flood攻击。发动Synflood攻击的破坏者发送大量的不合法请求要求连接, 目的是使系统不胜负荷。其结果是系统拒绝所有合法的请求, 直至等待回答的请求超时。

(2) TCP SYN洪水攻击。利用TCP连接中三次握手过程漏洞来实施攻击。TCP/IP栈只能等待有限数量ACK (应答) 消息, 因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果缓冲区中充满了等待响应的初始信息, 计算机就会对接下来的连接停止响应, 直到缓冲区里的连接超时。

(3) Ping洪流。攻击者向您的计算机发送“洪水般的”ICMP数据包。如果它们在比您具有更大带宽的主机上发动这一攻击, 您的计算机就不能够向网络发送任何东西。该攻击的变体:“smurfing”会向某个主机发送返回地址为您的计算机的ICMP数据包, 以致它们毫无征兆地淹没您

3、工具漏洞攻击

有的系统为了改进系统管理及服务质量安装了一些工具软件, 如Packet Sniffer, Super Scan, Zenmap等。攻击者常利用它去收集非法信息。例如:netstat命令是显示当前正在活动的网络连接的详细信息.但是破坏者也用这一命令收集对系统有威胁性的信息, Net BIOS的名字、IIS名甚至是用户名。这些信息足以被黑客用来破译口令。Nmap是Linux, Free BSD, UNIX, Windows下的网络扫描和嗅探工具包。主要是探测一组主机是否在线;扫描主机端口, 嗅探所提供的网络服务;推断主机所用的操作系统。

二、网络攻击的防范技术

1、账号安全管理

(1) 禁用Guest用户名。即来宾账户, 它为黑客入侵打开了方便之门, 禁用Guest账户的方法:【控件面板】【管理工具】【计算机管理】【本地用户和组】【用户】找到Guest用户, 点击右键属性, 账户已停用前打对号, 【确定】

(2) 藏起管理员账户。为了避免有人恶意破解系统管理员Administrator账户的密码, 使用更名来防止非法用户找不到, 【控件面板】【管理工具】【计算机管理】【本地用户和组】【用户】找到Administrator用户, 将用户更改名字。右键重命名和设置密码 (密码一定要设置为强密码形式) 。再创建一个陷阱账号, 没有管理员权限的Administrator账户欺骗入侵者。这样一来, 入侵者就很难搞清哪个账户真正拥有管理员权限, 也就在一定程度上减少了危险性。

2、封杀黑客的”后门”

俗话说“无风不起浪”, 既然黑客能进入, 那我们的系统一定存在为他们打开的”后门”, 我们只要将此堵死, 让黑客无处下手。

关闭默认共享。必须修改注册表, 否则每次重启之后默认共享还会出现。在注册表中修改如下选项:

(2) 在右栏空白位置点击鼠标右键, 选择【新建】, 再选【字符串值】, 名称中输入delipc$, 这里的名字可以随便取, 然后双击它就会弹出一个窗口来, 输入。修改后需重启PC。同样方法还可以删掉AMDIN$。

关闭不必要的端口。黑客在入侵时常常会扫描计算机端口, 关闭一些不常用的端口, 如“文件和打印共享”139、445端口。

(3) 禁止空连接。在默认的情况下, 任何用户都可以通过空连接连上服务器, 枚举帐号并猜测密码。因此我们必须禁止。修改注册表防范IPC$攻击。单击【开始】【运行】, 输入“regedit”, 打开注册表

单击右键, 选择【修改】在弹出的“编辑DWORD值”对话框中数值数据框中添入“1”, 将项设置为“1”, 这样就可以禁止IPC$的连接, 单击【确定】按钮。

3、及时给系统打补丁