网络入侵攻击

网络入侵攻击（通用7篇）

网络入侵攻击 篇1

1 网络安全缺失分析

最初，Internet是一个为研究人员服务、开放的网络;是完全非赢利性的信息共享载体。因此，几乎所有的Internet协议都没有考虑安全机制问题。随着网络技术的发展,它的性质和使用情况发生了很大的变化，网络的安全问题越趋凸显。Internet的全球化和商业化，导致很多用户利用网络来传输私人信息和进行网络交易，而并非单纯的信息共享，所以网络的安全性日趋成为人们关注的问题。

网络不安全的另一个因素是因为人们很容易从网络上获得相关的核心技术资料，比如RFC,FAQ文档;各类应用程序源代码。还有各类安全工具的源代码也是公开免费的，这些资料拿出来共享其愿望是好的，但也难免产生事与愿违的效果。

网络不安全的另一个致命因素是使用者普遍缺乏安全意识，特别是那些对计算机和网络技术不了解的用户。虽然网络中设置了许多安全保护屏障，但更多时候人们只会去使用它，从来不去考虑是否存在安全隐患，更谈不上去寻求解决策略。对大多数用户来说，能管好自己的密码就万事大吉了，但又有多少用户愿意取一个不好记的密码呢?方便性和安全性总是相互冲突，很难兼得的。

归根到底，网络不安全还是由于人为造成的，我们只要看一看那越来越厚的防盗门就明白了。如今，Internet上也出现了比防盗门更复杂的防火墙，来防范那些不怀好意和顾于炫耀的黑客们。

2 网络入侵与攻击类型分析

基于对网络攻击行为过程性的分析，入侵技术以入侵目标网络为主要目的，通常以入侵为主要手段,以盗取信息或破坏系统为主要目的。一般，入侵以信息搜集为前导，通过系统所暴露的脆弱性进行相应的入侵操作;而攻击包括入侵阶段和后期的攻击、控制阶段。黑客的入侵过程通常在对目标主机的扫描探测后，针对系统所暴露的脆弱性和漏洞，对系统进行入侵操作。

2.1 入侵

2.1.1 网络扫描

网络扫描是一种检测本地主机或远程主机安全性的程序。根据网络扫描的阶段性特征,可分为主机扫描、端口扫描以及漏洞扫描。其中端口扫描和漏洞扫描是网络扫描的核心。主机扫描的目的是确认目标网络上的主机是否处于启动状态及其主机的相关信息。端口扫描最大的作用是提供目标主机的使用端口清单。漏洞扫描则建立在端口扫描的基础之上，主要通过基于漏洞库的匹配检测方法或模拟攻击的方法来检查目标主机是否存在漏洞。此外，信息搜集型攻击还包括会话劫持、信息服务利用、电磁泄漏技术等。

2.1.2 网络嗅探

网络嗅探技术主要指通过截获网络上传输的数据流来对目标网络进行分析的技术。网络嗅探技术要优于主机扫描技术，因为网络嗅探技术不易被发现，让管理员难以察觉。而嗅探的设备可以是软件，也可以是硬件。

2.1.3 窃取口令

口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。

口令入侵通常有以下几种方式：一是利用系统管理员的习惯性账号的失误，采用暴力法来破解用户的密码，这通常需要一定的时间来完成，但是不受网段的限制;二是利用工具(Sniffer)对目标主机进行网络监听，等待用户登录，从而获得用户密码信息;三是采用中途截击的方法，利用Internet传输协议的明文格式传输缺陷，通过数据包截取工具便可以收集到用户的账号和密码;四是扮演“第三者”的角色，通过完成“三次握手”建立连接后，相继假冒服务器和用户身份向对方发出恶意请求，这样造成的后果不堪设想。

2.2 攻击

网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗等。

2.2.1 Dos攻击

DoS攻击(拒绝服务)指利用网络协议的缺陷或耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标计算机停止响应甚至崩溃,。通常有计算机网络带宽攻击和连通性攻击。

分布式拒绝服务DDoS攻击是在传统的DoS攻击基础之上产生的一类攻击方式。分布式拒绝服务DDoS通过,将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。

2.2.2 欺骗攻击

欺骗攻击是攻击者创造一个易于误解的上下文环境，以诱使受攻击者进入并且做出缺乏安全考虑的决策。

Web欺骗，Web欺骗允许攻击者创造整个WWW世界的影响复制。影响Web的入口进入到攻击者的Web服务器，进过攻击者机器的过滤作用，允许攻击者监控受攻击者的任何活动，包括账号和密码。黑客通过篡改网页信息，或者将网页URL指向自己的服务器。用户一旦浏览这些网页，用户的行为就处于被黑客监控中。

ARP欺骗，一般当源主机在向目的主机发送一个IP请求数据包时，攻击者通过强制目的主机Down掉，并把自己的IP地址改为目的主机的IP地址，然后向源主机发送一个ping请求，要求更新主机的ARP转换表，主机找到该IP，并在ARP表中添加新的IP与MAC地址的对应关系。此时，原合法的主机失效了，取而代之的便是攻击者的主机MAC。

IP欺骗，指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。利用TCP/IP网络协议的脆弱性，攻击者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。当主机正在进行远程服务时，攻击者最容易获得目标网络的信任关系，从而进行IP欺骗。

域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名-IP地址映射表时，DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而，当一个客户机请求查询时，用户只能得到这个伪造的地址，该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器，所以一个被破坏的DNS服务器可以将客户引导到非法的服务器，也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。

2.2.3 利用木马程序攻击

木马本身是一种人为编写的计算机程序，一些黑客常用它来远程控制别人的计算机。它常被伪装成工具程序或游戏，一旦用户打开带有木马的邮件或从internet下载的文件，或者执行了这些程序之后，当用户连接到Internet时，该木马程序就会把用户的计算机信息通知黑客，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到Internet上时，这个程序就会通知黑客，来报告您的IP地址以及预先设定的端口。黑客收到这些资料后，利用这个潜伏的木马程序，就可以恣意修改用户的计算机设置、复制文件、窥视用户硬盘资料。

2.2.4 电子邮件攻击

电子邮件攻击主要表现为两种方式：一是电子邮件轰炸，也就是通常所说的邮件炸弹，攻击者通过伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计内容相同的垃圾邮件，致使受害人邮箱被挤爆，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪;二是电子邮件欺骗，攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同)，给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序。这类欺骗只要用户提高警惕，一般危害性不是太大。

2.2.5 利用漏洞寻求攻击

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。一个漏洞并不是自己出现的，必须要有人发现。在实际使用中，用户会发现系统中存在缺陷，而入侵者会有意利用其中的某些错误并使其成为威胁系统安全的工具。

一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来，这些早先被发现的漏洞也会不断被系统供应商发布的补丁修补，或在以后发布的新版系统中得以纠正。与此同时，也会引入一些新的漏洞和错误。因而随着时间的推移，旧的漏洞会不断消失，新的漏洞也会相继出现。

系统安全漏洞与系统攻击活动之间有紧密的关系。系统攻击者往往既是安全漏洞的发现者也是使用者，要对于一个系统进行攻击，如果不能发现和使用系统中存在的安全漏洞是不可能成功的。

因而不该脱离系统攻击活动来谈安全漏洞问题。了解常见的系统攻击方法，对于有针对性的理解系统漏洞问题，以及找到相应的补救方法是十分必要的。

3 结束语

正如计算机病毒的日益滋生推动了杀毒产业的发展;黑客和网络攻击技术，造就了计算机网络安全产业的诞生;网络攻击技术则促使了计算机和网络产品供应商不断改善他们的产品，加强网络的安全性。网络攻击往往带来技术的创新，它对计算机网络系统的发展做出了突出的贡献，网络管理员也可以利用这些技术找到系统漏洞，采取措施以增强网络的安全性，这也将通过利用网络攻击技术来为网络安全服务成为现实。

摘要：随着网络技术的发展,Internet的全球化和商业化,导致网络的安全性问题日趋凸显。了解网络入侵的方式对于做好网络安全防护有着非常重要的意义。该文简明阐述了导致网络安全缺失的因素,重点分析了网络入侵的流程和攻击类型。

关键词：网络安全缺失,入侵,攻击

参考文献

[1]张国鸣.网络管理员教程[M].北京:清华大学出版社,2004.

[2]苏建飞,王景伟.网络攻击技术与网络安全探析[J].通信技术,2010(1).

[3]王希忠,王智,黄俊强.网络攻防实验技术的研究[J].通信技术,2010(1).

网络入侵攻击 篇2

入侵攻击方式的四种最新趋势

。CERT CC给出一些关于最新入侵者攻击方式的趋势。

趋势一：攻击过程的自动化与攻击工具的快速更新

攻击工具的自动化程度继续不断增强。自动化攻击涉及到的四个阶段都发生了变化。

1． 扫描潜在的受害者。从起开始出现大量的扫描活动。目前，新的扫描工具利用更先进的扫描技术，变得更加有威力，并且提高了速度。

2． 入侵具有漏洞的系统。以前，对具有漏洞的系统的攻击是发生在大范围的扫描之后的。现在，攻击工具已经将对漏洞的入侵设计成为扫描活动的一部分，这样大大加快了入侵的速度。

3． 攻击扩散。之前，攻击工具需要一个人来发起其余的攻击过程。现在，攻击工具能够自动发起新的攻击过程。例如红色代码和Nimda病毒这些工具就在18个小时之内传遍了全球。

4． 攻击工具的协同管理。自从起，随着分布式攻击工具的产生，攻击者能够对大量分布在Internet之上的攻击工具发起攻击。现在，攻击者能够更加有效地发起一个分布式拒绝服务攻击。协同功能利用了大量大众化的协议如IRC（Internet Relay Chat）、IR（Instant Message）等的功能。

趋势二：攻击工具的不断复杂化

攻击工具的编写者采用了比以前更加先进的技术，

攻击工具的特征码越来越难以通过分析来发现，并且越来越难以通过基于特征码的检测系统发现，例如防病毒软件和入侵检测系统。当今攻击工具的三个重要特点是反检测功能，动态行为特点以及攻击工具的模块化。

1． 反检测。攻击者采用了能够隐藏攻击工具的技术。这使得安全专家想要通过各种分析方法来判断新的攻击的过程变得更加困难和耗时。

2． 动态行为。以前的攻击工具按照预定的单一步骤发起进攻。现在的自动攻击工具能够按照不同的方法更改它们的特征，如随机选择、预定的决策路径或者通过入侵者直接的控制。

3． 攻击工具的模块化。和以前攻击工具仅仅实现一种攻击相比，新的攻击工具能够通过升级或者对部分模块的替换完成快速更改。而且，攻击工具能够在越来越多的平台上运行。例如，许多攻击工具采用了标准的协议如IRC和HTTP进行数据和命令的传输，这样，想要从正常的网络流量中分析出攻击特征就更加困难了。

趋势三：漏洞发现得更快

网络入侵攻击黑色产业链分析 篇3

近年来, 随着互联网的高速发展, 黑客入侵攻击活动已成为影响我国互联网安全最大的问题。在巨大的经济利益诱导下, 网络入侵攻击行为人已经不在满足于最初的技术炫耀, 而自发的形成一个分工明确、衔接紧密的利益团队。黑客入侵攻击活动已形成了由黑客教学、制作销售黑客工具、实施攻击、盗窃倒卖用户信息及虚拟财产、提供交易平台销赃洗钱等各个环节分工合作的多元化、产业化的黑色链条。

1 教授制作销售环节

1.1 黑客教学环节

可以说, “黑客学校”在很大程度上已经成为培养黑客的摇篮, 成为传播网络入侵攻击软件和技术的源头。目前, 一些资深黑客通过网站、论坛、QQ群开办“黑客学校”, 传播教授网络入侵攻击工具编程、木马免杀、黑客攻防等技术, 网民可以在短时间内掌握使用这些工具和技术。很多黑客培训网站甚至采用“传销”的组织模式有偿的招收学员, 年收入可以达到百万以上。在巨大的经济利益的驱使下, 黑客教学产业蓬勃发展, 降低了网络入侵攻击的门槛, 网络黑客违法犯罪主体也呈现出平民化的趋势。

1.2 制作贩卖木马程序、病毒程序环节

专门从事制作木马的黑客在此行当中被称为“造枪人”, 他们在互联网黑色产业链条中处于顶端, 根据网络入侵的需要编写各式各样的恶意代码。“造枪人”通过贩卖木马、病毒提供木马升级更新、免杀等“售后服务”获取巨大的经济利益。在互联网上销售木马、病毒程序在黑市中被称为“买枪人”。很多“造枪人”制作出木马病毒后, 将木马病毒作为一种商品代理给“买枪人”, 为追求利益的最大化, 他们会招收二级代理甚至更多级的代理。近年来, 公安机关在打击黑客入侵案件时, 发现木马病毒的销售网络已经发展成梯次较多的金字塔结构, 一个销售代理如果业绩好的话, 获利甚至可以超过“造枪人”。

2 实施入侵攻击环节

网络入侵攻击是黑色产业链的核心环节, 攻击方式多种多样, 在此只探讨以获利为目的的传播木马、病毒进行入侵攻击的行为, 通常有以下几种常见的方式:

(1) 网站“挂马”。一般黑客会选择小型网站或非法网站实施这一行为, 如淫秽色情网站、私服游戏网站、小型电子商务网站、个人QQ空间、第三方软件、影视剧下载、博客、虚假广告等网站页面上嵌入恶意代码或链接, 等待网民点击植入。

(2) 通过通信方式“种马”。通过网络即时通讯工具 (QQ、MSN等) 、社交网络 (微博、微信) 、手机短信、邮件等通讯方式传播木马、病毒。

(3) 通过域名劫持技术“挂马”。对网站进行DNS域名服务器攻击, 使得网民登录这些网站时跳转IP至指定挂马网站, 实现木马病毒的传播植入。

2.4 通过钓鱼网站传播

通过制作与某一目标网站高度相似的仿冒网页 (俗称钓鱼网站) , 并通过垃圾邮件、即时聊天、手机短信或网页虚假广告等方式发送声称来自于被仿冒机构的欺骗性消息, 诱骗用户访问钓鱼网站, 以获取用户信息。

3 销赃获利环节

盈利行为贯穿在网络入侵攻击产业的每一环节, 在利益的驱动下, 这些业内人士自发组成分工明确、衔接紧密的产业体系, 下文将分析产业链下端的获利行为, 这也是整个产业链中最为复杂一个环节。

(1) “收信”环节。通常说的“收信”是指黑客利用木马入侵电脑后, 盗取用户信息, 形成“信封” (盗取的账号和密码等信息, 通过以万为单位保存的信息文本) , 将“信封”回收以便兜售的环节。黑客一般会先花钱租用“箱子” (用于接收账号密码等信息的网站) , 将盗取的信息回传到“箱子”里, “箱子”通常按日收费, 一日数百元至上千元不等。

(2) “拆信”环节。“拆信”是指专门的人员对“箱子”里的信息分类汇总整理, 剥离如QQ账号密码、网银账号密码、游戏账号密码以及各种游戏装备等, 以便下一步的兜售, 此环节中, “拆信人”也会直接利用获取的账号密码进行网络盗窃、网络诈骗等不法行为。

(3) “洗信”环节。“洗信”是指将通过木马病毒盗取的用户信息中的游戏装备、虚拟货币进行整理, 分类销售、流转、洗钱的过程。“洗信人”一般通过网络第三方支付平台进行交易, 第三方支付平台从中提3.5%-10%获利。大部分第三方支付平台由于缺乏监管, 在利益的驱动下, 甚至在明知洗钱的情况下, 仍为其提供服务, 已成为不法分子创造地下流动资金的渠道。

(4) 交易“肉鸡”、流量获利。黑客掌握的“肉鸡”同样可以用于交易获利, 下一级黑客利用购买到的“肉鸡”刷流量再次获利。利用“肉鸡”实现刷流量的方式及软件五花八门, 种类繁多, 其目的主要是为广告商、流量商增加网站点击率。通常, 黑客与广告、流量商的交易一般也在第三方支付平台上进行结算。

(5) 拒绝服务器攻击获利。目前互联网的竞争日趋激烈, 私服游戏商家、网吧甚至是一些正规的商家在互联网上进行“火并”的现象时有发生, 他们会雇佣“黑客杀手”, 对竞争对手进行拒绝服务器攻击, 致使对方服务器瘫痪, 或盗取、毁坏对方服务器内资料。黑客会根据攻击流量、攻击对象、范围及难度进行收费。还有一些黑客通过攻击对方服务器以达到敲诈勒索、收取“保护费”等方式获利。

(6) 实施网络盗窃、诈骗等不法行为获利。网络盗窃、网络诈骗等侵财类违法犯罪行为中, 无论违法犯罪的形态如何, 其根本是建立在网络入侵攻击盗取用户信息基础上的, 如网银盗窃行为和盗窃网络游戏装备行为, 是根据黑客入侵盗取的用户网银及游戏账户账号密码为基础来实施;如QQ视频诈骗行为, 是根据黑客入侵盗取的用户QQ账号及密码, 对盗取的QQ列表中的好友行骗。这一类违法犯罪行为方式是多种多样、频繁变化的, 获利情况根据实际情况而定, 一起案件涉案金额少则几百, 多则数百万。

4 打击整治网络入侵攻击对策

互联网入侵攻击产业链的发展现状要求公安机关及相关部门必须在打击整治方面做出调整, 变被动为主动, 抓住黑色产业链的各个实质环节实施打击整治。

4.1 打击重点

(1) 重点打击制作销售木马的犯罪团伙。刑法修正案增加了刑法286条的客观要件, 即“故意制作、传播计算机病毒等破坏性程序, 影响计算机系统正常运行”, 为公安机关打击制作传播销售木马病毒提供了法律依据。打击流行的木马病毒制销团伙, 可以使网络入侵攻击、网络盗窃、网络诈骗等违法犯罪行为大大减少。

(2) 重点打击销售木马“箱子”的犯罪团伙。木马“箱子”在网络入侵攻击盗取用户信息过程中有必不可少的作用, 甚至可以说, 这一过程是整个黑色产业链承上启下的环节。“箱子”通常由专门的技术人员或团队制作, 对这一类违法犯罪行为的打击可以掐住黑色产业链的咽喉。

(3) 重点打击建设僵尸网络的犯罪团伙。拒绝服务器攻击一旦实施成功, 将会使公安机关侦查过程中面临大量混淆侦查视线的“肉鸡”, 调查工作难度极大。大多数此类攻击都借助于僵尸网络来实施, 所以通过重点监测和打击建设僵尸网络的团伙对于消除这一网络安全隐患至关重要。

4.2 整治重点

4.2.1 整治重点黑客教学产业

黑客教学网站不仅是培养黑客的摇篮, 也是各种病毒蔓延根源之一, 而且其主办者往往也参与黑客攻击破坏活动, 他们通常打着互联网技术培训的旗号, 在互联网上半公开的招收会员, 大大降低了网民学习黑客技术的门槛, 整治此类网站、论坛的重要性不言而喻。

4.2.2 重点整治网络流量交易产业

网络流量交易是网络入侵攻击产业链的主要获利环节, 这一环节大都与网络广告业联系密切, 控制“肉鸡”、建设僵尸网络都是大都为提高点击率然后与流量商或广告商交易。整治网络流量交易平台将是控制这一利益链条的有效手段。

4.2.3 重点整治网络游戏装备交易产业

网络游戏装备目前仍被定义为一种虚拟财产, 盗窃网络游戏装备案件对于各地公安机关都比较棘手, 由于游戏商证明游戏装备的所有权难度较大, 造成公安机关无法立案的现象比比皆是。网络黑客利用这一法律空白, 大肆在网络游戏特别是私服游戏中投放木马病毒, 大量盗取游戏账号及装备以获取巨大的利益。重点整治网络游戏装备交易产业将能够彻底切断大部分网络入侵攻击销赃的途径。

5 结束语

网络入侵攻击 篇4

1 高校计算机网络遭受入侵的方式和危害

1.1 网络入侵

在计算机以及信息化技术快速发展的今天,网络提高了人们生活的便利性,同时也为高校管理水平的提高提供了新的途径。在网络时代,安全问题是社会十分关注的一项问题。在计算机使用的过程中,一部分人员往往会通过非法手段入侵到计算机当中,进而实现对计算机中种种资源以及信息的掠夺,这是网络入侵的主要体现,同时也是当前网络环境面临的主要危险因素之一[1]。

1.2 高校计算机网络遭受入侵的危害

高校计算机网络系统的功能在于管理学生的信息以及发布学校的一部分信息,学生的信息必须具有极强的保密性,一旦泄漏,往往会对学生的生活以及学习造成十分严重的不良影响,高校计算机网络遭受入侵的危害主要体现在以下方面。

首先,高校计算机网络遭受入侵会造成学生信息泄漏。出于种种目的,一部分不法分子会侵入到高校计算机网络系统当中,窃取学生信息,这会导致学生的信息出现大面积泄漏,对于保证学生安全性十分不利[2]。

其次,高校计算机网络被入侵会影响高校的正常管理。一旦高校计算机网络系统被入侵,高校的整个管理过程都会被打乱,这对于高校的正常运行十分不利,严重时甚至会对高校的形象产生影响。因此,必须分析与解决高校计算机网络的入侵问题[3]。

2 传统计算机网络入侵预警技术及存在的问题

为了避免高校计算机网络遭受入侵对高校网络造成严重的影响,应将预防与治理相结合,在解决入侵问题的同时,一定要注重加强预防工作。计算机网络入侵预警技术是一种主要的预防技术。使用预警技术后,高校计算机网络一旦出现了被入侵的现象,有关人员便能够及时感知,这对于入侵问题的解决起到重要作用。对于入侵情况的感知可以从两个角度来实现:在入侵问题发生时,可以基于入侵这一事件本身实现预警;除此之外,入侵问题的发生还会导致网络流量出现变化,因此,也可以通过对网络流量变化的判断实现对入侵的预警。

2.1 基于事件的入侵预警技术

基于事件的入侵预警技术是预警技术的主要组成部分。入侵事件必须为正在发生或已发生。在事件发生时,网络本身必定会存在一定的变化,通过对网络的监控,上述变化能够充分体现在记录当中[4]。为了实现入侵预警,有关人员要对上述事件进行研究,要对其规律进行记录,并以此判断接下来网络的安全趋势。基于事件的入侵预警技术能够为入侵问题的解决提供重要保证,对于保证高校网络中信息安全性具有重要价值,但需要认识到的是,这一入侵预警技术在应用过程中存在一定的缺陷。对于入侵事件进行分析能够有效发现其规律,这一点不容置疑,但这一技术却无法有效识别入侵者的意图,因此,在利用这一技术实现预警的过程中,其准确性往往得不到保证[5]。

2.2 基于流量的入侵预警技术

基于流量的入侵预警技术在实际工作中同样得到应用。在高校的网络系统中,其流量的变化往往具有一定的规律性,一旦在某一时间点,其流量的变化情况背离了这一规律,则表明系统很有可能被入侵。利用基于流量的入侵预警技术实现高校计算机网络的入侵预警具有准确性高的优势,这是其较于基于事件的预警技术的主要优势,但同时也存在一定的缺陷,主要体现在无法详细获取入侵信息方面[6]。

3 基于攻击聚类的高校计算机网络入侵预警手段

基于攻击聚类的高校计算机网络入侵预警技术是一种新型预警技术,这一技术在基于事件与流量两种技术的基础上实现,有效解决了两种技术存在的准确性不高以及对事件信息记录程度不足的问题,成为了当前一种较为有效的网络入侵预警技术。

3.1 基于攻击聚类的高校计算机网络入侵预警技术原理

基于攻击聚类的高校计算机网络入侵预警技术是一种基于入侵意图而产生的预警技术[7]。传统的预警技术如基于事件的预警技术能够有效记录入侵信息,但却无法识别入侵意图,因此,很容易导致预警失败。基于攻击聚类的预警技术在基于事件的预警技术的基础上产生,在继承了其优势的同时,通过对同一入侵意图的攻击手段的聚类以及意图量化计算的手段,使对于入侵意图的分析成为了可能,从而使预警的准确性得到了进一步提升。

在使用基于攻击聚类的高校计算机网络入侵预警技术后,一旦入侵问题出现,系统能够通过对事件进行判断的方式预测出其下一步的趋势,同时还能够通过对本次入侵对计算机造成的损害的特点的分析,实现对下一步入侵趋势的判断,这对于入侵预警的顺利实现具有重要价值。

除此之外,算法效率高也是基于攻击聚类的高校计算机网络入侵预警技术的主要特征。这一类型的预警技术能够在分析出攻击规律的同时,实现对攻击类型的判断。一旦计算机被入侵,系统能够自动实现对攻击规律的分析,并以此为基础,判断出下一步的入侵趋势。在此基础上,通过对入侵类型的总结实现攻击事件的关联。上述优势对于入侵预警有效性以及准确性的提高具有重要价值,是在传统预警技术基础上的伟大进步。

3.2 基于攻击聚类的高校计算机网络入侵预警技术的实现

3.2.1 入侵关联

入侵关联主要指的是通过对入侵事件类型的总结以及对各类型规律的对比实现的事件的关联。入侵关联的实现能够为入侵意图的分析提供基础。在这一技术的支持下,系统通过对不同入侵事件的匹配,能够有效得知本次入侵事件中入侵者的意图。通过对入侵意图规律的总结,有关人员能够及时发现网络中存在的漏洞,这对于漏洞的处理以及高校计算机系统网络安全性的进一步提高具有重要意义。

3.2.2 入侵等级的设定

基于攻击聚类的高校计算机网络入侵预警技术能够实现对入侵等级的设定。通过对入侵事件以及入侵意图规律的分析,有关人员能够总结出各子网遭受入侵的具体情况。在总结各子网遭受入侵的数量的基础上,可以实现对其安全等级的编排。不同的子网在安全方面具有不同的要求,在设置子网的入侵预警系统的过程中,有关人员需要结合其安全等级以及对于安全性的不同要求来实现。除此之外,对入侵等级的设定还要参考当前的社会以及国家互联网安全方面的动态来实现。一般情况下,如果当前国际以及国内形势较为稳定,互联网领域的安全性必定相对较高,此时,对于安全入侵等级的设定相对宽松,但是,最好设定严格的入侵等级,这样才能使入侵预警效果达到更好。

3.2.3 网络入侵响应

高校计算机网络入侵预警的意义在于在入侵情况发生时能够使有关人员及时感知,并及时对入侵情况进行处理,以避免导致更加严重的问题出现。对此,必须保证网络入侵响应的有效性。有关人员要通过对警报以及通知等的设置使预警系统能够实现入侵响应,这对于入侵问题的顺利解决具有重要价值。另外,在入侵响应发生之后,系统还必须能够实现自动关闭服务的功能,上述功能的实现能够提高入侵问题的解决效率,也就能够达到提高高校计算机网络系统安全性的目的。

4 结语

基于攻击聚类的计算机网络入侵预警系统的设计具有准确性高的优势,同时,相对于基于事件的网络入侵预警系统而言,其还能够实现对入侵意图的分析以及对网络入侵的响应,将上述预警技术应用到高校计算机网络中,能够极大保证其网络信息安全性。

参考文献

[1]钟华,陶妍丹.基于攻击聚类的计算机网络入侵预警研究[A]//中国电子学会信息论分会、北京邮电大学研究生院.2007北京地区高校研究生学术交流会通信与信息技术会议论文集(上册)[C].2008:5.

[2]李浩志.聚类攻击的计算机网络入侵预警探讨[J].信息与电脑(理论版),2009(7):14.

[3]张立涛.聚类攻击的计算机网络入侵预警探讨[J].信息与电脑(理论版),2009(11):93.

[4]李奎.网络安全态势感知体系初探[A]//中国武汉决策信息研究开发中心、决策与信息杂志社、北京大学经济管理学院.区域发展与公共政策研究学术研讨会论文集(下)[C].2016:1.

[5]张应辉,饶云波.最小差异度聚类在异常入侵检测中的应用[A],/中国计算机学会计算机安全专业委员会、中国电子学会计算机工程与应用学会计算机安全保密学组.第二十一次全国计算机安全学术交流会论文集[C].2006:5.

[6]许贻福,胡华平,林柏钢.基于网络的攻击特征自动提取系统框架设计[A],/现代通信国家重点实验室、《信息安全与通信保密》杂志社.第十一届保密通信与信息安全现状研讨会论文集[C].2009:4.

浅谈防范黑客入侵攻击的主要方法 篇5

黑客网络的攻击方式是多种多样的, 一般来讲, 总是利用“系统配置的缺陷”, “操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止, 已经发现的攻击方式超过2000种, 这些攻击大概可以划分为以下六类:

1、拒绝服务攻击

一般情况下, 拒绝服务攻击是通过使被攻击对象 (通常是工作站或重要服务器) 的系统关键资源过载, 从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种, 它是最基本的入侵手段, 也是最难对付的入侵攻击之一, 典型示例有SYN Flood攻击、Ping Flood攻击、Win Nuke攻击等。

2、非授权访问尝试

非授权访问尝试是攻击者对被保护文件进行读、写或执行的尝试, 也包括为获得被保护访问权限所做的尝试。

3、预探测攻击

在连续的非授权访问尝试过程中, 攻击者为了获得网络内部的信息及网络周围的信息, 通常使用这种攻击尝试, 典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

4、可疑活动

可以活动是通常定义的“标准”网络通信范畴之外的活动, 也可以指网络上不希望有的活动, 如IP Unknown Protocol和Duplicate IP Address事件等。

5、协议解码

协议解码可用于以上任何一种非期望的方法中, 网络或安全管理员需要进行解码工作, 并获得相应的结果, 解码后的协议信息可能表明期望的活动, 如FIU User和Portmapper Proxy等解码方式。

6、系统代理攻击

这种攻击通常是针对单个主机发起的, 而并非整个网络, 通过Real Secure系统代理可以对它们进行监视。

二、防范黑客攻击的主要方法

了解了黑客的攻击方式, 除了硬件上要做好防范外, 还要自己懂得使用一些简单的网络病毒防范程序, 合理使用网络安全程序, 能在一定基础上降低黑客侵入系统的几率。通常的技术手段如下:

1、关闭“文件和打印共享”

随着办公业务的不断增加, 共享一些资料成为一种常用的办公手段, 许多办公室共用一台打印机的现象也非常普遍, 这种使用环境很容易让一些不安全的电脑病毒程序, 利用此功能, 在电脑之间不断传输与感染, 甚至一些黑客也利用此漏洞进行一些窃取密码与重要文件的活动, 为了杜绝此类现象的发生, 最有效的办法就是确保共享功能及时关闭, 具体操作办法就是用鼠标右击“网络邻居”, 选择“属性”, 然后单击“文件和打印共享”按钮, 将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

2、关闭系统来宾账户

Guest帐户指计算机操作系统分配的来宾帐户, 用这个账户可以进入计算机系统, 但是访问会受到一些限制, 常用的浏览查找功能可以实现, 一些管理功能此账户是禁止操作的, 不过一些病毒也可以利用此账户, 登入计算机系统, 安放后门程序, 伺机窃取复制重要数据与密码, 禁用或彻底删除Guest帐户是最好的办法。

3、严禁创建空连接

在一般的情况下, 所有的计算机终端用户都可以进行空连接连到系统服务器, 从而进行账号密码的反复比对进行破解。所以对于网络服务器系统必须严禁建立空连接。一般可以通过修改系统注册表实现:

打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetC o n t r o lL S A”, 将D W O R D值“RestrictAnonymous”的键值改为“1”即可。

4、将IP地址进行隐藏与伪装

黑客经常利用一些网络探测技术来查看我们的主机信息, 主要目的就是得到网络中主机的IP地址。隐藏IP地址的主要方法是使用代理服务器。代理服务器的原理是在客户机和远程服务器之间架设一个“中转站”, 当客户机向远程服务器提出服务要求后, 代理服务器首先截取用户的请求, 然后代理服务器将服务请求转交远程服务器, 从而实现客户机和远程服务器之间的联系。很显然, 使用代理服务器后, 其它用户只能探测到代理服务器的IP地址而不是用户的IP地址, 这就实现了隐藏用户IP地址的目的, 保障了用户上网安全。

5、无用的系统端口要进行屏蔽

一般情况, 网络黑客在需要系统漏洞时, 通常会网络中大量扫描开放的计算机端口, 如果安装了端口监视程序 (比如Netwatch) , 该监视程序则会有警告提示。如果遇到这种入侵, 可用工具软件关闭用不到的端口。

6、建立防护体系, 安装专业查杀防护软件

对于接入互联网的电脑, 在使用过程中, 必须进行系统安全漏洞的弥补, 确保系统无安全隐患, 同时安装防毒杀毒程序, 并时时更新病毒库, 每间隔一段时间就要对计算机系统进行全方面病毒查杀, 必要时也要增加硬件防火墙, 培养良好的网络使用习惯, 不去点击存在病毒风险的网站, 在网络中下载软件资料前, 要对相关的数据及时查杀, 确保安全后, 方可下载, 不冒然接受来历不明的电子邮件防止被木马感染, 通过一系列的安全防范系统的建立, 会在一定程度上防范黑客程序的危害, 但是对于重要数据与密码, 还是需要电脑操作者及时进行备份与更新, 确保数据被破坏后能够及时恢复。

结语

网络入侵攻击 篇6

关键词：入侵检测系统,Snort,蜜罐

入侵检测系统(Intrusion Detection System,简称IDS),是一种用来提高网络中主机系统安全性的工具,当有试图入侵电脑行为时对入侵进行检测。IDS有两种类型:基于主机型和基于网络型。

(1)基于主机的IDS

基于主机型的IDS是工作在主机上的软件。IDS通过日志分析攻击的细节。比如,IDS通常对系统、应用程序和Windows安全相关事件日志进行探测。IDS将查看新的事件日志信息并且与已定义的规则进行对比,如果匹配规则,则进行报警。进行这种处理需要事件日志数据,这个日志包含所有重要的文件系统日志事件记录。除非这个记录中没有任何事件记录IDS,否则IDS将要用来分析入侵的数据。

(2)基于网络的IDS

基于网络的IDS是特殊的软件工作在网络中个别的电脑中。这种类型的IDS应用在网络接口卡(Network Interface Card ,NIC)的混杂模式下。在这种模式下,网络接口卡将要传送每个从网络中发送到应用程序的数据包。如果NIC工作在普通模式,那么它只接受拥有与主机有相同目的IP地址的数据包。数据包发送到入侵检测系统后,它将会分析对比规则。IDS如果发现数据匹配了已有规则将会进行报警。

融合蜜罐技术的IDS可以根据他们的部署和应用的环境进行分类:

(1)产品型蜜罐,产品型蜜罐主要用于网络安全和防御,不用来收集信息和黑客行为。

(2)研究型蜜罐,研究型蜜罐专门用来收集关于黑客和恶意软件的信息。它们通常被教育机构和非盈利性的机构使用。主要的目的是获得更多的网络黑客的深入信息,如操作、策略和动机等。最终的目的是确认威胁以及更有效的处理威胁。

本文使用了Honeyd,它是一个由GPL授权的守护类型蜜罐。Honeyd能使用仅仅一台电脑模拟一个大型网络。在外面看来,Honeyd看起来像一个在未分配的地址空间中的主机网络。

1 设计和实现

与蜜罐技术融合的入侵检测系统对入侵的检测更加有效,具体系统结构如图1所示。

根据图1所示的IDS主要系统设计结构图可知,系统工作在Linux系统上,主要由两个重要部分组成:IDS和数据库。

(1)入侵检测系统(IDS):这个部分通过Snort实现,Snort工作在开源的Linux系统中。Snort由一些重要文件构成,这些文件需要对Snort.conf文件进行适合于实验的配置。这些规则能够通过对Snort规则学习后进行编辑。

(2)数据库:这个系统数据库使用MySQL数据库。它对于Linux 的Fedora 操作系统和Snort完全支持。而且,MySQL数据库拥有的phpMyAdmin工具使得对于数据库的管理更加有效率。

(3)蜜罐:根据实验需要配置蜜罐,决定模拟哪一个类型的Windows操作系统版本以及是否适合配置文件。使得机器的模拟类似Web服务器、邮件服务器和FTP服务器。修改honeyd.conf实现这些具体的配置。

(4)按照实验的需求进行具体的配置,具体的网络拓扑图如图2所示,同时扫描网络进行运行测试。

具体包含网络的配置,首先是交换机的配置,选择思科2950系列多端口交换机进行配置,交换机将从一个端口到其他端口传送数据包。其次是路由器的配置,选择思科2600系列路由器进行配置。配置路由器可达DHCP池和拥有路由器的RIP权限。

2 实验结果

通过三种类型的攻击TCP、UDP和ICMP对比显示了单独的入侵检测系统与融合蜜罐技术的入侵检测系统的实验结果。实验表明,融合蜜罐技术的入侵检测系统更加有效率。

这些由NESSUS工具收集到的结果可以分为以下几个部分:

(1)按照图2的网络拓扑图进行网络操作系统和工具的设置,实现单播IP地址和多播IP地址形式对于目标网络的入侵。根据TCP协议扫描的结果发现,大多数对于网络中系统的扫描和入侵都是为了发现系统的漏洞和弱点。这个过程的结果又分为攻击的形式和协议两种。本文只针对用来传输重要数据和入侵电脑的主要协议和攻击数据进行结果分析。使用TCP协议的单播IP地址和多播IP地址入侵检测结果如图3所示。图3中的左图使用单播IP地址的TCP协议攻击对比显示了来自单独IDS和融合了蜜罐技术的IDS对TCP协议入侵检测的结果。

(2)图3中的右图数据显示,检测结果显示,使用多播IP地址的TCP协议攻击融合蜜罐的入侵检测系统比单独的入侵检测系统平均数据高24.15个百分点。

(3)由图4(a)可知,对于使用单播IP地址的UDP协议的攻击数据包,融合蜜罐技术的入侵检测系统与单独入侵检测系统在平均值上相近。图4(b)显示,对于多播IP地址UDP协议入侵的检测数据对比,融合蜜罐技术的入侵检测系统比单独的入侵检测系统平均高90.91%。

(4)由图5(a)可知,融合蜜罐技术的入侵检测系统检测到的单播IP地址ICMP协议攻击数据平均比单独入侵检测系统收集到的数据高9.97百分点。图5(b)显示,多播IP地址ICMP协议的入侵检测数据对比,融合蜜罐技术的入侵检测系统比单独的入侵检测系统平均高84.31%。

分析图中单播IP地址的入侵检测数据,对于对比的两个系统,TCP协议和UDP协议的数据非常相近,这是因为NESSUS软件主要扫描TCP协议而且只攻击服务器的流量。对于ICMP协议,融合蜜罐技术的入侵检测系统检测到的数据包多于单独的入侵检测系统。

总结分析对比的数据,融合蜜罐技术的入侵检测系统能够比单独的入侵检测系统检测到更多的数据流量。

3 结束语

实验测量数据的结果来自多种攻击的数据库。通过表1可以发现,入侵检测系统传感器和蜜罐对于三种类型(TCP,UDP和ICMP)的多播地址攻击可以检测到更多的流量。表1显示了融合蜜罐技术的入侵检测系统和单独入侵检测系统检测数据的平均百分比。

参考文献

[1]冯登国.计算机通信网络安全[M].北京:清华大学出版社,2005:15-25.

[2]王传林,商安宁.蜜罐技术发展初探[J].信息安全与通信保密,2008(8):119.

[3]禹金云,罗一新.我国信息安全的现状及对策研究[J].中国安全科学学报,2006,16(1):62-64.

[4]翟继强,乔佩利.利用IP分片技术探测Honeyd虚拟蜜罐[J].计算机应用与软件,2009,10(2):26.

[5]戴天虹.基于遗传神经网络的入侵检测研究[J].中国安全科学学报,2006,16(2):103-108.

[6]王婷.基于Honeyd的蜜罐技术研究与设计[D].四川:西南交通大学,2007.

[7]R.Berthier and M.Cukier.The Deployment of a Darknet on an Or-ganization Wide Network[J].11th IEEE High Assurance SystemsEngineering Symposium,2008,12(3):59-68.

网络入侵攻击 篇7

一、实验系统结构框架:

IDS测试实验系统结构框架见图1。在此实验中, 测试IDS的过程中会形成数量极大的模拟事件, 实验就是考虑在各种条件下, IDS从这些模拟事件中准确发现攻击事件的能力, 每一个模拟事件都以其发生时间和结束时间来标识。例如测试IDS的实时性。根据评估需要调度各模块。测试IDS在各种条件下的各项性能指标及检测攻击的能力。流量控制模块通过模拟流量来控制测试网络环境中的流量及系统负载等, 测试外界环境对被测IDS的影响。数据记录模块用来记录测试环境中的网络流量, 主机日志等数据。模拟攻击模块通过模拟实际的攻击过程和产生攻击数据提供测试的原始数据, 供IDS进行检测。最后, 通过比较被测IDS检测结果同数据记录模块记录的数据计算IDS的各项性能指标, 得出评估报告, 其中包括检测率和误报率等。

二、实验环境关键技术的实现

实验环境中的网络流量仿真及攻击仿真是整个实验的关键。

1. 网络流量的仿真

常用的网络流量仿真有以下几种方法:通过Smartbits或其他的背景流量发生器产生不同包长的UDP, TCP流量作为背景流量, 然后混合攻击流量对IDS进行测试;通过分协议对实际流量进行分析, 经统计计算, 得到各个协议按时间的流量概率分布, 以此为模型, 流量发生器实现具体协议流量的仿真;利用虚拟机技术, 只需几台主机使用基于虚拟主机技术, 也可以仿真一个大型网络中的流量。

2. 攻击仿真

攻击仿真是评估环境的核心, 也是对IDS进行测试的关键。由于各种攻击的数量过于庞大, 不可能对所有攻击都进行仿真, 因此在进行攻击仿真时一般先将攻击分类, 然后选择每种类别中典型的攻击方法进行模拟。从数量庞大的各种攻击中选取典型的攻击方法, 再选取一些针对IDS的攻击和使用逃避IDS技术的攻击, 组成攻击样本集, 形成攻击流量, 在正常背景流量的掩护下, 对IDS进行测试。通常可使用商业软件BladeIDSIn former和Nessus来仿真攻击, 形成攻击流量。使用Whisker, Fragroute工具对IDS进行欺骗和躲避攻击, 使用Stick程序对IDS进行拒绝服务攻击。过于复杂的攻击, 可以人工仿真实现。

三、实验系统方案设计

1. 实验环境配置

IDS的测试环境很难统一。此处根据本实验具体过程给出一个参考环境配置。整个网络测试环境由2个网段组成。由1台路由器把实验网络分为2个子网。每个子网使用1台支持监听端口功能, 具备将全部端口镜像到1个目的端口功能的以太网交换机。配置如图所现示。

(1) 网段1:被攻击和监测网段。目标靶机A, 预装Windows 2003 Server操作系统并提供HTTP服务 (IIS5。0) , FTP服务 (Serv-U) , EMAIL服务 (SMTP) , TELNET服务, 以及Myy-SQL数据库服务。并主动构建, 后门服务和系统漏洞等测试项目。目标靶机B, 预装Linux操作系统并开启E-Mail、www、FTP、TELNET服务。管理机进行数据采集, 安装sniff, 用于抓取数据包。接受和分析来自探测器的数据;分析线路上的数据包, 一旦发现1个攻击就报警。

(2) 网段2 (攻击网段) 。主要是使用攻击机来进行仿真攻击。本实验的攻击机是1个基于Intel架构的计算机系统, 预装Windows XP, Professional/Redhat Liunx9双操作系统, 预装扫描工具, DoS攻击程序, 后门程序, 缓冲区溢出攻击工具等, IIS工具, Network A ssociatesCyberCop扫描器等互联网安全攻击工具。

四、结语

本文总结了构建IDS测试实验平台的经验, 分析了IDS测试评估的环境配置, 测试方法, 提出了基于局域网搭建IDS测试平台的步骤及实现技术, 对IDS技术的进一步研究和发展有指导作用。

参考文献

[1]蔡忠闽.入侵检测系统评估环境的设计与实现[J].系统仿真学报, 2002, 14 (3) :377-380.

[2]董晓梅.入侵检测系统评估技术研究[J].小型微型计算机系统, 2005, 26 (4) :568-571.