網(wǎng)絡(luò)攻擊與防范

1、網(wǎng)絡(luò)攻擊的種類分析及防范策略摘要:本文分析了網(wǎng)絡(luò)攻擊的幾種手段及其產(chǎn)生的原理，并且就其中的Web欺騙攻擊和TCP/IP欺騙攻 擊提出了相應(yīng)的防范措施。并且詳細(xì)闡述了個(gè)人用戶的安全防護(hù)策略關(guān)鍵詞：網(wǎng)絡(luò)安全攻擊欺騙防范隨著INTERNET的進(jìn)一步發(fā)展，各種網(wǎng)上活動(dòng)日益頻繁，尤其網(wǎng)上辦公、交易越來(lái)越普及，使得網(wǎng)絡(luò)安全 問(wèn)題日益突出，各種各樣的網(wǎng)絡(luò)攻擊層出不窮，如何防止網(wǎng)絡(luò)攻擊，為廣大用戶提供一個(gè)安全的網(wǎng)絡(luò)環(huán)境 變得尤為重要。1網(wǎng)絡(luò)攻擊概述網(wǎng)絡(luò)安全是一個(gè)永恒的話題，因?yàn)橛?jì)算機(jī)只要與網(wǎng)絡(luò)連接就不可能徹底安全，網(wǎng)絡(luò)中的安全漏洞無(wú)時(shí)不在， 隨著各種程序的升級(jí)換代，往往是舊的安全漏洞補(bǔ)上了，又存在新的安全隱患

2、，網(wǎng)絡(luò)攻擊的本質(zhì)實(shí)際上就 是尋找一切可能存在的網(wǎng)絡(luò)安全缺陷來(lái)達(dá)到對(duì)系統(tǒng)及資源的損害。網(wǎng)絡(luò)攻擊一般分為三個(gè)階段：第一階段：獲取一個(gè)登錄賬號(hào)對(duì)UNLX系統(tǒng)進(jìn)行攻擊的首要目標(biāo)是設(shè)法獲取登錄賬號(hào)及口令，攻擊者一般先試圖獲取存在于/etc/passwd 或NIS映射中的加密口令文件，得到該口令文件之后，就對(duì)其運(yùn)行Crack，借助于口令字典，Crack甚至可 以在幾分鐘內(nèi)破譯一個(gè)賬號(hào)。第二階段：獲取根訪問(wèn)權(quán)進(jìn)入系統(tǒng)后，入侵者就會(huì)收集各種信息，尋找系統(tǒng)中的種種漏洞，利用網(wǎng)絡(luò)本身存在的一些缺陷，設(shè)法獲 取根訪問(wèn)權(quán)，例如未加限制的NFS允許根對(duì)其讀和寫。利用NFS協(xié)議，客戶給與服務(wù)器的安裝守護(hù)程序 先交換信息，

3、信息交換后，生成對(duì)NFS守護(hù)程序的請(qǐng)求，客戶通過(guò)這些請(qǐng)求對(duì)服務(wù)器上的文件進(jìn)行讀或?qū)?操作。因此，當(dāng)客戶機(jī)安裝文件系統(tǒng)并打開某個(gè)文件時(shí)，如果入侵者發(fā)出適當(dāng)各式的UDP數(shù)據(jù)報(bào)，服務(wù)器 就將處理NFS請(qǐng)求，同時(shí)將結(jié)果回送客戶，如果請(qǐng)求是寫操作，入侵者舊可以把信息寫入服務(wù)器中的磁盤。 如果是讀操作，入侵者就可以利用其設(shè)置于服務(wù)器和客戶機(jī)之間的窺探器了解服務(wù)器磁盤中的信息，從而 獲得根訪問(wèn)權(quán)。第三階段：擴(kuò)展訪問(wèn)權(quán)一旦入侵者擁有根訪問(wèn)權(quán)，則該系統(tǒng)即可被用來(lái)供給網(wǎng)絡(luò)上的其他系統(tǒng)。例如：可以對(duì)登錄守護(hù)程序作修 改以便獲取口令：增加包窺探儀可獲取網(wǎng)絡(luò)通信口令：或者利用一些獨(dú)立軟件工具動(dòng)態(tài)地修改UNLX內(nèi)核， 以

4、系統(tǒng)中任何用戶的身份截?fù)裟硞€(gè)終端及某個(gè)連接，獲得遠(yuǎn)程主機(jī)的訪問(wèn)權(quán)。2攻擊的種類及其分析普通的攻擊一般可分以下幾種:2.1拒絕服務(wù)攻擊拒絕服務(wù)攻擊不損壞數(shù)據(jù)，而是拒絕為用戶服務(wù)，它往往通過(guò)大量不相關(guān)的信息來(lái)阻斷系統(tǒng)或通過(guò)向系統(tǒng) 發(fā)出會(huì)，毀滅性的命令來(lái)實(shí)現(xiàn)。例如入侵者非法侵入某系統(tǒng)后，可向與之相關(guān)連的其他系統(tǒng)發(fā)出大量信息， 最終導(dǎo)致接收系統(tǒng)過(guò)載，造成系統(tǒng)誤操作甚至癱瘓。這種供給的主要目的是降低目標(biāo)服務(wù)器的速度，填滿 可用的磁盤空間，用大量的無(wú)用信息消耗系統(tǒng)資源，是服務(wù)器不能及時(shí)響應(yīng)，并同時(shí)試圖登錄到工作站上 的授權(quán)賬戶。例如，工作站向北供給服務(wù)器請(qǐng)求NISpasswd信息時(shí)，攻擊者服務(wù)器則利用被攻

5、擊服務(wù)器不 能及時(shí)響應(yīng)這一特點(diǎn)，替代被攻擊服務(wù)器做出響應(yīng)并提供虛假信息，如沒(méi)有口令的紀(jì)錄。由于被攻擊服務(wù) 器不能接收或及時(shí)接收軟件包，它就無(wú)法及時(shí)響應(yīng)，工作站將把虛假的響應(yīng)當(dāng)成正確的來(lái)處理，從而使帶 有假的passwd條目的攻擊者登錄成功。2.2同步（SYN）攻擊同步供給與拒絕服務(wù)攻擊相似，它摧毀正常通信握手關(guān)系。在SYN供給發(fā)生時(shí)，攻擊者的計(jì)算機(jī)不回應(yīng)其 它計(jì)算機(jī)的ACK，而是向他發(fā)送大量的SYN ACK信息。通常計(jì)算機(jī)有一缺省值，允許它持特定樹木的SYN ACK信息，一旦達(dá)到這個(gè)數(shù)目后，其他人將不能初始化握手，這就意味著其他人將不能進(jìn)入系統(tǒng)，因此最 終有可能導(dǎo)致網(wǎng)絡(luò)的崩潰。Web欺騙攻擊W

6、eb欺騙的關(guān)鍵是要將攻擊者偽造的Web服務(wù)器在邏輯上置于用戶與目的Web服務(wù)器之間，使用戶的所 有信息都在攻擊者的監(jiān)視之下。一般Web欺騙使用兩種技術(shù)：URL地址重寫技術(shù)和相關(guān)信息掩蓋技術(shù)。利用URL地址重寫技術(shù)，攻擊者重寫某些重要的Web站點(diǎn)上的所有URL地址，使這些地質(zhì)均指向 攻擊者的Web服務(wù)器，即攻擊者可以將自己的Web站點(diǎn)的URL地址加到所有URL地址的前面。例如，設(shè) 攻擊者的 Web站點(diǎn)的URL地址為:,合法 Web站點(diǎn)上的URL地址為 HYPERLINK , 經(jīng)重寫后，該地址可以被加到合法 URL 地址 HYPERLINK 之前，即 HYPERLINK / /.當(dāng)用戶與站點(diǎn)進(jìn)行安

7、全鏈接時(shí)，則會(huì)毫無(wú)防備地進(jìn)入攻擊者服務(wù)器。此時(shí)用戶瀏覽器首先向攻擊者服務(wù)器 請(qǐng)求訪問(wèn)，然后由攻擊者服務(wù)器向真正的目標(biāo)服務(wù)器請(qǐng)求訪問(wèn)，目標(biāo)服務(wù)器向攻擊服務(wù)器傳回相關(guān)信息， 攻擊者服務(wù)器重寫傳回頁(yè)面后再傳給用戶。此時(shí)瀏覽器呈現(xiàn)給用戶的的確是一個(gè)安全鏈接，但連接的對(duì)象 卻是攻擊者服務(wù)器。用戶向真正Web服務(wù)器所提交的信息和真正Web服務(wù)器傳給用戶的所有信息均要經(jīng)過(guò) 攻擊者服務(wù)器，并受制于它，攻擊者可以對(duì)所有信息進(jìn)行記錄和修改。由于瀏覽器一般均設(shè)有地址欄和狀態(tài)欄，當(dāng)瀏覽器與某個(gè)站點(diǎn)連接時(shí)，可以在地址欄中和狀態(tài)欄中獲 取連接中的Web站點(diǎn)地址及相關(guān)的傳輸信息，用戶可由此發(fā)現(xiàn)問(wèn)題，所以一般攻擊者往往在UR

8、L地址重 寫的同時(shí)，利用相關(guān)信息掩蓋技術(shù)即一般用的JavaScript程序來(lái)地址欄和狀態(tài)欄信息，以達(dá)到其掩蓋欺騙 的目的。TCP/IP欺騙攻擊IP欺騙可發(fā)生在IP系統(tǒng)的所有層次上，包括硬件數(shù)據(jù)鏈路層、IP層、傳輸層及應(yīng)用層均容易受到影響。 如果底層受到損害，則應(yīng)用層的所有協(xié)議都將處于危險(xiǎn)之中。另外，由于用戶本身不直接與底層結(jié)構(gòu)相互交流，有時(shí)甚至根本沒(méi)有意識(shí)到這些結(jié)構(gòu)的存在，因而對(duì)底層的攻擊更具欺騙性。IP欺騙供給通常是通過(guò)外部計(jì)算機(jī)偽裝成另一臺(tái)合法機(jī)器來(lái)實(shí)現(xiàn)的。他能破壞兩臺(tái)機(jī)器間通信鏈路上 的正常數(shù)據(jù)流，也可以在通信鏈路上插入數(shù)據(jù)，其偽裝的目的在于哄騙網(wǎng)絡(luò)中的其他機(jī)器誤將攻擊者作為 合法機(jī)器而

9、加以接受，誘使其他機(jī)器向它發(fā)送數(shù)據(jù)或允許它修改數(shù)據(jù)。由于許多應(yīng)用程序最初設(shè)計(jì)時(shí)就是把信任建立于發(fā)送方IP地址的薄，即如果包能夠使其置身沿著陸由 到達(dá)目的地，并且應(yīng)答包也可以回到原地，則可以肯定源IP地址是有效的。因此一個(gè)攻擊者可以通過(guò)發(fā)送 有效IP源地址屬于另一臺(tái)機(jī)器的IP數(shù)據(jù)報(bào)來(lái)實(shí)施欺騙。一方面現(xiàn)有路由器的某些配置使得網(wǎng)絡(luò)更容易受到IP欺騙攻擊。例如有些路由器不保護(hù)IP包端口源 的信息，來(lái)自端口的所有IP包被裝入同一個(gè)隊(duì)列然后逐個(gè)處理。假如包指示IP源地址來(lái)自內(nèi)部網(wǎng)絡(luò)，則 該包可轉(zhuǎn)發(fā)。因此利用這一點(diǎn)網(wǎng)絡(luò)外不用戶只要設(shè)法表明是一種內(nèi)部IP地址即可繞過(guò)路由器法送報(bào)。另一方面，攻擊者使用偽造的IP

10、地址發(fā)送數(shù)據(jù)報(bào)，不僅可以獲取數(shù)據(jù)報(bào)特有的有效請(qǐng)求，還可以通過(guò) 預(yù)測(cè)TCP字節(jié)順序號(hào)迫使接收方相信其合法而與之進(jìn)行連接，從而達(dá)到TCP欺騙連接。一個(gè)TCp連接包括三個(gè)階段：（1）建立連接：（2）數(shù)據(jù)交換：（3）斷開連接。其中最關(guān)鍵的就是 數(shù)據(jù)交換。TCP協(xié)議為每個(gè)數(shù)據(jù)字節(jié)分配自己的順序號(hào)，每個(gè)TCP頭包含一個(gè)順序域。TCP數(shù)據(jù)交換中客 戶方以發(fā)送帶有SYN標(biāo)志的TCP頭為開始，發(fā)送一個(gè)或多個(gè)TCP/IP數(shù)據(jù)包，接受方回送包含SYN及ACK 標(biāo)志的頭答復(fù)送方的SYN頭。初始的順序號(hào)是隨機(jī)的，當(dāng)接受方接收到客戶的序列號(hào)后首先要進(jìn)行確認(rèn)，如果確認(rèn)號(hào)域有效，它就 對(duì)應(yīng)于下一個(gè)期望數(shù)據(jù)字節(jié)的順序號(hào)，并設(shè)置

11、ACK標(biāo)志。攻擊者利用偽造的IP地址成功地發(fā)送數(shù)據(jù)報(bào)后， 只是獲得這些數(shù)據(jù)報(bào)特有的有效請(qǐng)求，要獲得些請(qǐng)求的答復(fù)還必須預(yù)測(cè)到TCP順序號(hào)。攻擊者對(duì)順序號(hào)的 預(yù)測(cè)是一個(gè)估計(jì)與猜測(cè)的過(guò)程。攻擊者可以在客戶與服務(wù)器之間設(shè)置窺探儀來(lái)確定初始順序號(hào)，一旦攻擊 者獲取了連接的初始順序號(hào)，就可以通過(guò)估算發(fā)送者發(fā)送給接收者的TCP/IP數(shù)據(jù)量計(jì)算出下一個(gè)期望的順 序號(hào)，即下一個(gè)期望的順序號(hào)為：數(shù)據(jù)量+初始順序號(hào)。而事實(shí)上，一些TCP/IP實(shí)現(xiàn)并不完全采用隨機(jī)方 式分配初始順序號(hào)，而是由一個(gè)簡(jiǎn)單的隨機(jī)數(shù)生成器產(chǎn)生。這種生成器按某種固定的次序產(chǎn)生數(shù)據(jù)，因此 實(shí)際上可能的初始順序號(hào)只能在一個(gè)有限的范圍內(nèi)，這樣預(yù)測(cè)起來(lái)

12、就會(huì)更加方便。預(yù)測(cè)獲得的順序號(hào)只是 一個(gè)估計(jì)值，它一般可分為三種情況考慮。第一種情況：預(yù)測(cè)值正好等于下一順序號(hào)若偽造的數(shù)據(jù)保遲于合法數(shù)據(jù)報(bào)到達(dá)，且其包含的數(shù)據(jù)報(bào)少于合法數(shù)據(jù)報(bào)，則接收方將完全丟棄偽造 的數(shù)據(jù)報(bào)；如果偽造數(shù)據(jù)包包含的數(shù)據(jù)多于合法數(shù)據(jù)報(bào)，則接收方將接收偽造數(shù)據(jù)報(bào)中順序號(hào)大于合法數(shù) 據(jù)報(bào)的那部分內(nèi)容，同時(shí)丟棄順序號(hào)與合法數(shù)據(jù)報(bào)重疊部分的內(nèi)容；若偽造的數(shù)據(jù)報(bào)早于合法數(shù)據(jù)報(bào)到達(dá)， 則接收方將丟棄合法數(shù)據(jù)報(bào)內(nèi)容。第二種情況：預(yù)測(cè)值大于下一個(gè)順序號(hào)在這種情況下，接收方將丟棄其中超過(guò)窗口域（即輸入緩沖區(qū)）中的部分內(nèi)容，而將前面部分內(nèi)容放 入緩沖區(qū)中，待下一期望順序號(hào)與第一個(gè)偽造數(shù)據(jù)報(bào)字節(jié)順序號(hào)

13、間的空當(dāng)被合法數(shù)據(jù)填滿之后，再未接收 方接收。第三種情況：預(yù)測(cè)值小于下一個(gè)順序號(hào)在這種情況下，偽造數(shù)據(jù)報(bào)中的前面部分內(nèi)容肯定會(huì)被丟棄，但是如果偽造數(shù)據(jù)報(bào)內(nèi)容足夠多，則接 收方有可能接受其后面的內(nèi)容。3網(wǎng)絡(luò)上常見的幾種攻擊方式及其防范3.1密碼攻擊用戶在撥號(hào)上網(wǎng)時(shí)，如果選擇了 “保存密碼”的功能，則上網(wǎng)密碼將被儲(chǔ)存在windows目錄中，以“username.pwl ”的形式存放。如果不小心被別人看到這個(gè)文件，那就麻煩了，因?yàn)閺木W(wǎng)上可以很輕松地找到 諸如pwlview這樣的軟件來(lái)觀看其中的內(nèi)容，那上網(wǎng)密碼就泄漏了。有的人使用名字、生日、電話號(hào)碼等來(lái)做密碼，更有的人的密碼干脆和用戶名一樣，這樣的密碼，在黑客 攻擊軟件龐大的字典文件面前簡(jiǎn)直是不堪一擊。那么該如何防范密碼不被攻擊呢？應(yīng)從以下方面入手：（1）不用生日、電話號(hào)碼、名字等易于猜到的字符 做密碼。（2）上網(wǎng)時(shí)盡量不選擇保存密碼。（3）每隔半個(gè)月左右更換一次密碼，不要怕麻煩。3.2木馬程序攻擊木馬程序是一種特殊的病毒，它通