譚詩棋-黑客防火墻的攻擊與防范

1、封皮和扉頁，目錄不要求有頁眉頁腳和頁碼！石家莊信息工程職業(yè)學(xué)院畢業(yè)設(shè)計（論文）學(xué)生姓名 譚詩棋 學(xué)生學(xué)號 30871710132 專 業(yè) 網(wǎng)絡(luò)技術(shù)專業(yè) 系 別 微軟IT學(xué)院 指導(dǎo)教師 馬曉麗 指導(dǎo)系部 網(wǎng)絡(luò)教研室 2011年3月14日計算機(jī)網(wǎng)絡(luò)攻擊與防范專業(yè)：網(wǎng)絡(luò)技術(shù)專業(yè) 班級：1班 姓名：譚詩棋 指導(dǎo)教師：馬曉麗摘要：隨著信息時代的到來，信息已成為社會發(fā)展的重要戰(zhàn)略資源，社會的信息化已成為當(dāng)今世界發(fā)展的潮流核心，而信息安全在信息社會中將扮演極為重要的角色，它直接關(guān)系到國家安全、企業(yè)經(jīng)營和人們的日常生活。我們的計算機(jī)有時會受到計算機(jī)病毒、黑客的攻擊，造成個人和企業(yè)的經(jīng)濟(jì)損失和信息資料的泄露，甚

2、至危及國家安全。為了更有效地防范黑客的攻擊，現(xiàn)將一些常用的方法，寫出來與大家分享：如果你想知道你的計算機(jī)有沒有被黑客控制，你可以通過查看當(dāng)前你的電腦中有哪些程序在運(yùn)行，打開了哪些端口，而這些端口又與哪個網(wǎng)站或電腦相連，對方的IP地址、使用哪個端口等信息，具體方法是用：DOS命令NETSTAT或軟件Currports來查。Abstract:With the advent of the information age, information has become the important strategic resources of social development, the social

3、 informatization has become the development trend in today's world core, and information security in information society will play an important role, it's directly related to national security, enterprise operation and People's Daily life. Our computer will sometimes by computer virus, h

4、ackers, causing personal and business economic loss and information disclosure, and even endanger state security. In order to more effectively prevent hackers, now will some commonly used method, and wrote it to share with everyone: If you want to know your computer have hackers control, you can che

5、ck the current through your computer in what programs are running, open what port, and these ports and with which website or computer connected, each other's IP address, use what port and other information, the specific method is to use: DOS command NETSTAT or software Currports check. 關(guān)鍵詞：功、防、控

6、制keywords ：Reactive, prevent 、control 目 錄1.前言42.黑客常用的攻擊手段43.常見的攻擊類型和方法54.防止攻擊的方法64.1防控DDoS攻擊64.2基于狀態(tài)的資源控制，防護(hù)防火墻資源64.3智能TCP代理有效防范SYN Flood74.4利用NetFlow對DoS攻擊和病毒監(jiān)測74.5防范溢出策略74.6對希望保護(hù)的主機(jī)實(shí)行“單獨(dú)開放端口”訪問控制策略114.7使用應(yīng)用層防火墻系統(tǒng)114.8使用IDS功能的防火墻系統(tǒng)125.結(jié)論12參考文獻(xiàn) 121. 前言防火墻是保護(hù)網(wǎng)絡(luò)安全的重要組成部分，它往往部署在網(wǎng)絡(luò)的要塞位置，但其本身也是一個軟件、軟硬件，以

7、及訪問策略相結(jié)合的實(shí)體。設(shè)計上的漏洞和使用上的錯誤都會削弱防火墻的保護(hù)能力，也使得防火墻常常受到攻擊。文章列舉了一些防火墻攻擊的類型和方法，著重分析了幾種常用的防范這些攻擊的解決方案。2.黑客常用的攻擊手段 從第一臺計算機(jī)投入使用，第一個網(wǎng)絡(luò)協(xié)議推廣開來，以及硬件的更新，軟件的換代，種種缺陷和漏洞就潛在其中，特別是當(dāng)計算機(jī)的應(yīng)用遍布到世界的各個角落，這些缺陷和漏洞也隨之彌散開來。這里說的缺陷，包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和人為的失誤。開發(fā)人員在編寫源碼程序時，每寫一千行，至少會有一個漏洞(Bug，即使再高明的程序員也不例外，因此黑客技術(shù)的產(chǎn)生與發(fā)展也就不足為奇了。我

8、們知道標(biāo)志著第三代計算機(jī)網(wǎng)絡(luò)OSI參考模型(Open System Interconnection/Reference Model，即開放式系統(tǒng)互連參考模型，常常用TCP/IP的4層模型來代替(如表1。(1接口層：主要利用物理鏈路的損壞、干擾，盜用物理地址以及通過網(wǎng)卡在數(shù)據(jù)傳輸中對數(shù)據(jù)進(jìn)行監(jiān)聽。(2網(wǎng)際層：ICMP協(xié)議是用來傳送一些關(guān)于網(wǎng)絡(luò)和主機(jī)的控制信息的，如目標(biāo)主機(jī)是不是可以到達(dá)的、路由的重定向、目標(biāo)主機(jī)是否在使用等。常用的“ping”命令就是使用了ICMP協(xié)議。很多網(wǎng)絡(luò)攻擊工具就是利用了這個協(xié)議來實(shí)現(xiàn)的。在這一層主要是利用ICMP、IGMP協(xié)議的漏洞進(jìn)行探測主機(jī)、DOS(拒絕服務(wù)攻擊、路

9、由欺騙。(3傳輸層：TCP協(xié)議提供的是面向連接的、可靠的數(shù)據(jù)流傳輸，而UDP協(xié)議提供的是非面向連接的、不可靠的數(shù)據(jù)流傳輸。顯然UDP協(xié)議在安全方面更難保證。這一層主要是利用TCP、UDP協(xié)議的缺陷，進(jìn)行DOS、DDOS(分布式拒絕服務(wù)攻擊或是利用TCP序列號攻擊進(jìn)行IP欺騙。(4應(yīng)用層：應(yīng)用層協(xié)議很多，如：TELNET、FTP、SMTP等，每一項(xiàng)服務(wù)開啟的背后都可能被多種多樣的攻擊所利用，如：超級用戶口令的獲取、特洛伊木馬的植入等。由上面的簡單分析，不難看出在開放式的網(wǎng)絡(luò)設(shè)計中，安全方面欠缺很多，再加上操作系統(tǒng)、軟件自身的漏洞以及配置管理與使用上的不規(guī)范使得黑客更是有機(jī)可乘。那么，黑客們主要采

10、取哪些攻擊技術(shù)呢？3. 常見的攻擊類型和方法從目前看來，黑客的攻擊手法和技術(shù)越來越智能化和多樣化，但就攻擊過程上看，大概可以范圍3類攻擊。第一類是探測在目標(biāo)防火墻上安裝的是何種防火墻系統(tǒng)并找出次防火墻系統(tǒng)允許那些服務(wù)。通常稱為對防火墻的探測攻擊。最常見的就是木馬攻擊。第二類是采取地址欺騙、TCP序號攻擊等手法繞過防火墻的認(rèn)證機(jī)制，從而對防火墻和內(nèi)部網(wǎng)絡(luò)造成破壞。此類攻擊方法比較多樣，常見的有IP欺騙攻擊、分片攻擊等，而會話劫持攻擊是結(jié)合了欺騙技術(shù)以及嗅探在內(nèi)的一種攻擊手段。第三類是尋找、利用防火墻系統(tǒng)實(shí)現(xiàn)和設(shè)計上的安全漏洞，從而有針對性的發(fā)動攻擊。這種攻擊難度比較大，可是破壞性很大。防火墻本質(zhì)

11、上是一個操作系統(tǒng)，有其軟件和硬件，因此依然存在漏洞。所以其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。4.防止攻擊的方法4.1防控DDoS攻擊DDoS攻擊即拒絕服務(wù)攻擊。從現(xiàn)在和未來看，防火墻都是抵御的重要組成部分，這是由防火墻在網(wǎng)絡(luò)拓?fù)涞奈恢煤桶缪莸慕巧珱Q定的，下面列舉防火前對付DoS/DDoS攻擊的集中有效防范方法。4.2基于狀態(tài)的資源控制，保護(hù)防火墻資源有些防火墻支持IP Inspect功能，對進(jìn)入防火墻的資料做嚴(yán)格的檢查，各種針對系統(tǒng)漏洞的攻擊包如Ping Of Death,TearDrop等，會自動被系統(tǒng)過濾掉congress保護(hù)網(wǎng)絡(luò)。對防火墻來說，資源是十分寶貴的，當(dāng)收到來自外來的

12、DDos攻擊時，系統(tǒng)內(nèi)部的資源全部被攻擊流所占用，此時正常的資料報文肯定會受到影響?；跔顟B(tài)的資源控制回自動監(jiān)測網(wǎng)絡(luò)內(nèi)所有的連接狀態(tài)，當(dāng)有連接長時間未得到應(yīng)答就處于半連接狀態(tài)，浪費(fèi)系統(tǒng)資源，當(dāng)系統(tǒng)內(nèi)的半連接超過正常的范圍時，就有可能判斷是遭受了攻擊。防火墻基于狀態(tài)的資源控制能有效的控制這類情況，具體體現(xiàn)在一下5點(diǎn)：控制連接、與半連接的超時時間；必要時，可以縮短半連接的超時時間，加速半連接的老化。限制系統(tǒng)各個協(xié)議的最大連接值，保證協(xié)議的連接總數(shù)不超過系統(tǒng)限制，在達(dá)到連接上限后刪除新建的連接。限制系統(tǒng)符合條件源/目的主機(jī)連接數(shù)量。針對源或目的IP地址做流限制，Inspect可以限制每個IP地址的資

13、源，用戶在資源控制的范圍內(nèi)時，使用并不會受到影響，但當(dāng)用戶感染蠕蟲病毒或發(fā)送攻擊報文等情況時，針對流的資源控制可以限制每個IP地址發(fā)送的連接數(shù)目，超過限制的連接數(shù)目將被丟棄，這種做法可以有效的抑制病毒產(chǎn)生攻擊的效果，避免其他正常使用的用戶受到影響。單位時間內(nèi)如果穿過防火墻的“同類”數(shù)據(jù)流超過門限值后，可以設(shè)定對該種類的數(shù)據(jù)流進(jìn)行阻斷，對于防止IP，ICMP，UDP等非連接的Flood攻擊具有良好的防御效果。4.3智能TCP代理有效防范SYN FloodSYN Flood是DDoS攻擊中危害性最強(qiáng)，也是最難防范的一種。這種攻擊利用TCP協(xié)議的缺陷，發(fā)送大量的TCP連接請求，從而使得被攻擊方資源耗

14、盡。防火墻工作時，并不會立即開啟TCP代理，只有當(dāng)網(wǎng)絡(luò)中的TCP半連接達(dá)到啟動警戒線時，正常TCP Intercept會自動啟動，當(dāng)網(wǎng)絡(luò)中的TCP半連接達(dá)到入侵警戒線時，系統(tǒng)進(jìn)入入侵模式，此時新連接回覆蓋舊的TCP連接；此后，系統(tǒng)全連接數(shù)增多，半連接數(shù)減小，當(dāng)半連接數(shù)降到入侵警戒線以下時，系統(tǒng)退出入侵模式。如果此時停止攻擊，系統(tǒng)半連接數(shù)逐漸降到TCP代理啟動警戒線以下，智能TCP代理模塊停止工作。通過智能TCP代理可以有效防止SYN Flood攻擊，保證網(wǎng)絡(luò)資源安全。4.4利用NetFlow對DoS攻擊和病毒監(jiān)測支持NetFlow功能的防火墻，將網(wǎng)絡(luò)交換中的資料包識別為流的方式加以記錄，并封裝

15、為UDP資料包發(fā)送到分析器上，這樣就為網(wǎng)絡(luò)管理、流量分析和監(jiān)控、入侵檢測等提供了豐富的資料來源，即可以再不影響轉(zhuǎn)發(fā)性能的同時記錄、發(fā)送NetFlow信息，并能夠利用一些流量分析工具對接收到的資料進(jìn)行分析、處理，從而可以統(tǒng)計出每天流量的TOP TEN或者業(yè)務(wù)的TOP TEN等，以此作為標(biāo)準(zhǔn)，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常時，就可以可以利用NetFlow有效的查找、定位DDoS攻擊的來源。4.5防范溢出策略目前，大多數(shù)的防火墻系統(tǒng)都是針對包過濾規(guī)則進(jìn)行安全防御的，這種類型的防火墻在高也只能工作在傳輸層，而溢出程序的shellcode是放在應(yīng)用層的，因此對這類攻擊就無能為力了。及到對黑客的防范，必須首先明確網(wǎng)絡(luò)

16、系統(tǒng)的安全。我們認(rèn)為，網(wǎng)絡(luò)系統(tǒng)安全有下列3個中心目標(biāo)：其一是保密性，即保證非授權(quán)操作不能獲取受保護(hù)的信息或計算機(jī)資源；其二是完整性，即保證非授權(quán)操作不能修改數(shù)據(jù)；其三是有效性，即保證非授權(quán)操作不能破壞信息或計算機(jī)資源。具體是指基于網(wǎng)絡(luò)運(yùn)作和網(wǎng)絡(luò)間物理線路和聯(lián)接的安全、網(wǎng)絡(luò)信息傳輸?shù)陌踩?、操作系統(tǒng)安全、應(yīng)用服務(wù)安全、人員管理安全等幾個方面。要實(shí)現(xiàn)這些方面的安全，除了明確黑客攻擊的原理，還必須熟悉防范采用的技術(shù)，進(jìn)而才能采取具體的防范措施。對這種漏洞的解決方案如下： 常見的防范技術(shù)分為兩類，即主動防范技術(shù)與被動防范技術(shù)。主動防范技術(shù)包括數(shù)字簽名技術(shù)、取證技術(shù)、陷阱技術(shù)等。被動防范技術(shù)包括

17、防火墻技術(shù)、入侵檢測技術(shù)等。a. 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù)是采用加密技術(shù)的加、解密算法體制來對報文進(jìn)行處理，以達(dá)到發(fā)送方不能否認(rèn)所發(fā)送的報文；接收方能夠證實(shí)發(fā)送方的真實(shí)身份這兩方面的目的。實(shí)現(xiàn)數(shù)字簽名的方法多種，但采用公開密鑰算法要比常規(guī)算法更容易實(shí)現(xiàn)。公開密鑰密碼體制主要的特點(diǎn)就是加密和解密使用不同的密鑰，每個用戶保存著一對密鑰公開密鑰PK和秘密密鑰SK。只有同時使用收、發(fā)雙方的解密密鑰和公開密鑰才能獲得原文，從而對口令入侵、網(wǎng)絡(luò)監(jiān)聽有很好的防范作用。b. 陷阱技術(shù)陷阱技術(shù)是隱藏在防火墻后面，通過模擬一些常見的系統(tǒng)漏洞，制造一個被入侵的網(wǎng)絡(luò)環(huán)境，誘導(dǎo)入侵者對系統(tǒng)發(fā)生攻擊。在攻擊的過程中對此環(huán)

18、境中的進(jìn)出數(shù)據(jù)進(jìn)行捕獲與控制，并對被捕獲數(shù)據(jù)進(jìn)行分析，從而理解和研究入侵者們使用的工具、入侵的方法以及入侵的動機(jī)。由此獲取不同系統(tǒng)的第一手入侵?jǐn)?shù)據(jù)，這樣做，一方面可以轉(zhuǎn)移攻擊目標(biāo)，保護(hù)目標(biāo)機(jī)；另一方面可以進(jìn)行系統(tǒng)評估、優(yōu)化入侵檢測系統(tǒng)、防火墻系統(tǒng)，為制定強(qiáng)有力的安全決策提供依據(jù)。c. 取證技術(shù)取證技術(shù)是利用在受保護(hù)的計算機(jī)中事先安裝上代理，當(dāng)黑客入侵該機(jī)的時候，對于系統(tǒng)的操作，或是對于文件的修改、刪除、復(fù)制、傳送等行為，系統(tǒng)和代理會產(chǎn)生相應(yīng)的日志文件加以記錄，這些日志文件被迅速傳遞到取證機(jī)中加以備份保存，并由分析機(jī)調(diào)取日志文件信息，結(jié)合網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行相關(guān)分析。一方面通過定性、定量的分析可以確定是

19、否入侵以及入侵的來源、入侵的方式、入侵的程度等信息；另一方面保存原始數(shù)據(jù)用來作為被入侵的證據(jù)。 d. 防火墻技術(shù)防火墻技術(shù)是在受保護(hù)網(wǎng)和不被信任的網(wǎng)絡(luò)之間設(shè)立一個屏障，對進(jìn)出的所有報文進(jìn)行分析，或?qū)τ脩暨M(jìn)行認(rèn)證，其主要功能就是通過對受保護(hù)網(wǎng)絡(luò)的非法訪問的控制，達(dá)到防范外網(wǎng)對內(nèi)網(wǎng)、內(nèi)網(wǎng)對外網(wǎng)的非法訪問。從防火墻技術(shù)發(fā)展的總體來看，大概經(jīng)歷了包過濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)3個階段。包過濾技術(shù)主要針對網(wǎng)絡(luò)層的安全，檢查傳輸過程中不符合規(guī)定的IP地址；代理技術(shù)是通過在兩個網(wǎng)絡(luò)之間設(shè)置代理服務(wù)器，檢查雙方信息傳輸?shù)暮戏ㄐ?，由此將?nèi)部用戶與外界隔離開來；狀態(tài)監(jiān)視技術(shù)是在不影響安全正常工作的前提下，通過

20、對相關(guān)數(shù)據(jù)采樣來對網(wǎng)絡(luò)的各層實(shí)行監(jiān)測，為安全決策提供支持。e. 入侵檢測技術(shù)入侵檢測技術(shù)是通過對系統(tǒng)與網(wǎng)絡(luò)日志文件、私有數(shù)據(jù)文件、程序執(zhí)行中的不期望行為等方面信息的搜集，利用模式匹配、統(tǒng)計分析、完整性校驗(yàn)等方法進(jìn)行監(jiān)視分析用戶和系統(tǒng)行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性以達(dá)到對入侵行為識別、預(yù)警、報告、處理的目的。大體上分為兩類，即基于主機(jī)的入侵檢測技術(shù)與基于網(wǎng)絡(luò)的入侵檢測技術(shù)。前者分析得細(xì)致，結(jié)論準(zhǔn)確性高；后者響應(yīng)得及時，便于實(shí)時分析，兩者各有所長。實(shí)際應(yīng)用中可相互補(bǔ)充、結(jié)合進(jìn)行。  在具體的生活實(shí)際中，要進(jìn)行防范黑客入侵的工作，往往要從兩方面著手。一方面是

21、彌補(bǔ)人員自身存在的缺陷；另一方面是從實(shí)際的網(wǎng)絡(luò)環(huán)境出發(fā)，改善安全狀況。a. 彌補(bǔ)人員自身的缺陷首先，要強(qiáng)化管理人員的安全防范意識。管理人員，作為安全防范第一線的負(fù)責(zé)人，責(zé)任重大。要求不僅具備系統(tǒng)管理的必備知識，熟悉系統(tǒng)的漏洞與常出現(xiàn)的問題，而且應(yīng)具備全局意識，明確本地的安全策略，選擇安全的服務(wù)器系統(tǒng)，設(shè)置安全的存取控制權(quán)限，定期分析系統(tǒng)日志、備份重要文件，及時解決如操作系統(tǒng)的補(bǔ)丁程序的下載、安裝，入侵行為的處理等方面的問題，而且要不定期組織相關(guān)人員的培訓(xùn)，提高安全防范的技能。其次，樹立個人的安全防范意識，這一點(diǎn)說起來容易，做起來很難。例如：你是否常常對不明來歷的郵件感興趣，并隨意地打開？你是否

22、下載不知名的軟件并運(yùn)行？在密碼設(shè)置上是否是用純數(shù)字、純字符或是英文單詞，并且常常不更換？你是否有備份的習(xí)慣等等。這時候，也許某個木馬程序已經(jīng)悄悄植入，帳號密碼已經(jīng)更換，文件已被竊取。關(guān)于網(wǎng)站安全調(diào)查的結(jié)果表明：超過80的安全侵犯都是由于人們選用了拙劣的口令而導(dǎo)致的。所以，安全防范意識一定要從使用者本身抓起。b. 改善網(wǎng)絡(luò)環(huán)境的安全狀況根據(jù)本地的安全策略，選擇適合的安全防范系統(tǒng)。上圖給出了一個局域網(wǎng)的安全防范拓?fù)鋱D。首先考慮安裝防火墻(見圖。防火墻技術(shù)是控制對網(wǎng)絡(luò)系統(tǒng)訪問的首選方法。據(jù)某網(wǎng)站統(tǒng)計，超過三分之一的Web網(wǎng)點(diǎn)都是通過某種形式的防火墻加以保護(hù)，有百分之七十的網(wǎng)絡(luò)入侵可以通過防火墻防范于

23、未然。另外，任何對關(guān)鍵服務(wù)器的訪問都應(yīng)該通過代理服務(wù)器，這雖然降低了服務(wù)的某些性能，但從安全的角度考慮，是完全值得的。其次考慮安裝入侵檢測系統(tǒng)(IDS。前面已經(jīng)介紹了基于主機(jī)的入侵檢測系統(tǒng)(見圖和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(見圖的特點(diǎn)。前者性能價格比高，不需增加專門的硬件平臺，適用于被加密的、交換的環(huán)境；后者價格昂貴，但偵測速度快、隱蔽性好、占用資源少、不依賴主機(jī)的操作系統(tǒng)。二者各有優(yōu)劣，可根據(jù)安全策略的不同考慮采取不同措施，也可以二者結(jié)合使用。第三考慮安裝取證系統(tǒng)(見圖。在實(shí)際的入侵防范中，許多入侵行為都是轉(zhuǎn)瞬即逝的，即使察覺也難于拿出證據(jù)，并將入侵者訴諸于公堂。于是就迫切需要由第三方公證的取證

24、系統(tǒng)出臺，為利益損失的一方提出訴訟的依據(jù)，以便維護(hù)損失方的利益。那么，有此方面安全策略需求的可以采取安裝取證系統(tǒng)。第四考慮安裝陷阱系統(tǒng)(見圖。這一系統(tǒng)主要針對網(wǎng)絡(luò)入侵行為的研究，入侵的時間、入侵的渠道、采用的方法、入侵的目的等，可以作為輔助手段用于分析網(wǎng)絡(luò)的系統(tǒng)漏洞，需要采用什么樣的安全策略，需要在哪些方面調(diào)整，為進(jìn)一步監(jiān)督、保障安全策略的執(zhí)行做好準(zhǔn)備。4.6對希望保護(hù)的主機(jī)實(shí)行“單獨(dú)開放端口”訪問控制策略所謂“單獨(dú)開放窗口”就是指只開放需要提供的端口，對于不需要提供服務(wù)的端口實(shí)行過濾策略。遠(yuǎn)程溢出的攻擊實(shí)施流程如圖3-2-1所示。圖3-2-1 遠(yuǎn)程溢出的攻擊實(shí)施流程圖使用“單獨(dú)開放端口”策略的解決方案對整個遠(yuǎn)程溢出過程所發(fā)生的前三部都是無能為力的，但第四步能夠有效地阻止黑客連上有缺陷主機(jī)的被溢出端口，從而切斷了黑客的惡意攻擊手段。這種方案的優(yōu)點(diǎn)是操作簡單，一般的網(wǎng)絡(luò)/系統(tǒng)管理員