網(wǎng)絡(luò)攻防技術(shù)文獻(xiàn)綜述

1、網(wǎng)絡(luò)攻防技術(shù)文獻(xiàn)綜述魏劉宏11054126網(wǎng)絡(luò)中的攻擊魏劉宏 110541261前言網(wǎng)絡(luò)的開放性、黑客的攻擊和系統(tǒng)本身的缺陷導(dǎo)致網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)并不安全，網(wǎng)絡(luò)入侵 也經(jīng)常發(fā)生，往往造成嚴(yán)重的后果，為了盡早恢復(fù)網(wǎng)絡(luò)或系統(tǒng)的正常運(yùn)轉(zhuǎn)，降低入侵的風(fēng)險(xiǎn) 成為了急待解決的問題。網(wǎng)絡(luò)攻擊與防范此消彼長(zhǎng)，長(zhǎng)期處于不斷較量當(dāng)中，正所謂魔高一 尺道高一丈。知己知彼方能百戰(zhàn)不殆，所以不關(guān)要加強(qiáng)我們防范攻擊的能力，還要熟悉攻擊 的慣常套路，保證網(wǎng)絡(luò)安全。2正文我們可以從攻擊者的角度出發(fā)，將攻擊的步驟可分為探測(cè)(probe) 攻擊(exploit)和隱 藏(conceal) o同時(shí)，攻擊技術(shù)據(jù)此分為探測(cè)技術(shù)、攻擊技術(shù)和

2、隱藏技術(shù)三大類，并在每 類中對(duì)各種不同的攻擊技術(shù)進(jìn)行細(xì)分。探測(cè)是黑客在攻擊開始前必需的情報(bào)收集工作，攻擊者通過這個(gè)過程需要盡可能詳細(xì)的 了解攻擊目標(biāo)安全相關(guān)的方方面面信息，以便能夠集中火力進(jìn)行攻擊。探測(cè)又可以分為三個(gè) 基本步驟:踩點(diǎn)、掃描和查點(diǎn)。踩點(diǎn)是指攻擊者結(jié)合各種工具和技巧，以正常合法的途徑對(duì)攻擊目標(biāo)進(jìn)行窺探，對(duì)其安 全情況建立完整的剖析圖。在這個(gè)步驟屮，主要收集的信息包括:各種聯(lián)系信息，包括名字、 郵件地址和電話號(hào)碼、傳真號(hào)，ip地址范圍，d7s服務(wù)器，郵件服務(wù)器等。對(duì)于般用戶來說，如果能夠利用互聯(lián)網(wǎng)屮提供的大量信息來源，就能逐漸縮小范圍，從而 鎖定所需了解的目標(biāo)。兒種實(shí)用的流行方式有:

3、通過網(wǎng)頁(yè)搜尋和鏈接搜索、利用互聯(lián)網(wǎng)域名 注冊(cè)機(jī)構(gòu)進(jìn)行whois查詢、利用traceroute獲取網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)信息等。信息搜集技術(shù)通常包括掃描技術(shù)和網(wǎng)絡(luò)嗅探技術(shù)。打描技術(shù)是一種檢測(cè)本地主機(jī)或遠(yuǎn)程主機(jī)安全性的程序。根據(jù)網(wǎng)絡(luò)掃描的階段性特征， 可分為主機(jī)掃描技術(shù)、端口掃描技術(shù)以及漏洞掃描技術(shù)。其中端口打描和漏洞打描是網(wǎng)絡(luò)打 描的核心。主機(jī)掃描的目的是確認(rèn)目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否處于啟動(dòng)狀態(tài)及其主機(jī)的相關(guān)信息。 端口掃描最大的作用是提供目標(biāo)主機(jī)的使用端口清單。漏洞掃描則建立在端口掃描的基礎(chǔ)之 上，主要通過基于漏洞庫(kù)的匹配檢測(cè)方法或模擬攻擊的方法來檢查目標(biāo)主機(jī)是否存在漏洞。 此外，信息搜集型攻擊還包括會(huì)話劫

4、持、信息服務(wù)利用、電磁泄漏技術(shù)等。網(wǎng)絡(luò)嗅探技術(shù)主要指通過截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流來對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行分析的技術(shù)。網(wǎng)絡(luò) 嗅探技術(shù)要優(yōu)于主要掃描技術(shù)，因?yàn)榫W(wǎng)絡(luò)嗅探技術(shù)不易被發(fā)現(xiàn)，讓管理員難以察覺。而嗅探 的設(shè)備可以是軟件，也可以是硬件。如今安全漏洞被發(fā)現(xiàn)得越來越頻繁，覆蓋面越來越廣，新發(fā)現(xiàn)的安全漏洞每年都要增加 一倍之多，管理人員要不斷用最新的補(bǔ)丁修補(bǔ)這些漏洞，而且每年都會(huì)發(fā)現(xiàn)安全漏洞的許多 新類型。入侵者經(jīng)常能夠在廠商修補(bǔ)這些漏洞前發(fā)現(xiàn)攻擊目標(biāo)。攻擊工具越來越復(fù)雜，攻擊工具開發(fā)者正在利用更先進(jìn)的技術(shù)武裝攻擊工具。與以前相 比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進(jìn)行檢測(cè)。攻擊工具具有以下特點(diǎn)：1、反偵

5、破和動(dòng)態(tài)行為。攻擊者采用隱蔽攻擊工具特性的技術(shù)，這使安全專家分析新攻 擊工具和了解新攻擊行為所耗費(fèi)的時(shí)間增多。早期的攻擊工具是以單一確定的順序執(zhí)行攻擊 步驟，今天的口動(dòng)攻擊工具可以根據(jù)隨機(jī)選擇、預(yù)先定義的決策路徑或通過入侵者直接管理, 來變化它們的模式和行為。2、攻擊工具的成熟性。與早期的攻擊工具不同，目前攻擊工具可以通過升級(jí)或更換工 具的一部分迅速變化，發(fā)動(dòng)迅速變化的攻擊，且在每一次攻擊中會(huì)出現(xiàn)多種不同形態(tài)的攻擊 工具。此外，攻擊工具越來越普遍地被開發(fā)為可在多種操作系統(tǒng)平臺(tái)上執(zhí)行，攻擊自動(dòng)化程 度和攻擊速度大大提高，殺傷力逐步提高。4、可掃描可能的受害者、脆弱的系統(tǒng)。目前，掃描工具利用更先進(jìn)

6、的掃描模式來改善 掃描效果和提高打描速度。以前，安全漏洞只在廣泛的打描完成后才被加以利用。而現(xiàn)在攻 擊工具利用這些安全漏洞作為掃描活動(dòng)的一部分，從而加快了攻擊的傳播速度。5、具有傳播攻擊特點(diǎn)。在2000年之前，攻擊工具需要人來發(fā)動(dòng)新一輪攻擊。目前，攻 擊工具可以自己發(fā)動(dòng)新一輪攻擊。像紅色代碼和尼姆達(dá)這類工具能夠自我傳播，在不到18 個(gè)小時(shí)內(nèi)就達(dá)到全球飽和點(diǎn)。internet上的安全是相互依賴的。每個(gè)internet系統(tǒng)遭受攻擊的可能性取決于連接到 全球internet ±其他系統(tǒng)的安全狀態(tài)。由于攻擊技術(shù)的進(jìn)步，一個(gè)攻擊者可以比較容易地 利用分布式系統(tǒng)，對(duì)一個(gè)受害者連續(xù)發(fā)動(dòng)破壞性的攻擊

7、。隨著部署自動(dòng)化程度和攻擊工具管 理技巧的提高，威脅的不對(duì)稱性將繼續(xù)增加。如今，網(wǎng)絡(luò)攻擊還有越來越髙的防火墻滲透率。防火墻是人們用來防范入侵者的主要保 護(hù)措施。但是越來越多的攻擊技術(shù)可以繞過防火墻，例如internet打印協(xié)議和webdav (基 于web的分布式創(chuàng)作與翻譯)都可以被攻擊者利用來繞過防火墻。而且，網(wǎng)絡(luò)攻擊対基礎(chǔ)設(shè)施將形成越來越大的威脅?；A(chǔ)設(shè)施攻擊是大面積影響 internet關(guān)鍵組成部分的攻擊。rfl于用戶越來越多地依賴internet完成日常業(yè)務(wù)，基礎(chǔ)設(shè) 施攻擊引起人們?cè)絹碓酱蟮膿?dān)心?；A(chǔ)設(shè)施而臨分布式拒絕服務(wù)攻擊、蠕蟲病毒、對(duì) internet域名系統(tǒng)(dns)的攻擊和對(duì)路由器攻擊或利用路由器的攻擊。攻擊工具的自動(dòng)化程 度使得一個(gè)攻擊者可以安裝他們的工具并控制幾萬個(gè)受損害的系統(tǒng)發(fā)動(dòng)攻擊。入侵者經(jīng)常搜 索已知包含大量具有高速連接的易受攻擊系統(tǒng)的地址塊，電纜調(diào)制解調(diào)器、dsl和大學(xué)地址 塊越來越成為計(jì)劃安裝攻擊工具的入侵者的目標(biāo)。所以要求我們要做好入侵檢測(cè)。如果將服務(wù)器比作一個(gè)大樓，主機(jī)入侵信息收集及分析 要做的工作就如在大樓屮部署若干個(gè)攝像頭，在大樓發(fā)生盜竊事件之后，對(duì)攝像頭中的影像 進(jìn)行分析，進(jìn)而為報(bào)案和“亡羊補(bǔ)牢”做準(zhǔn)備。其它防范攻擊的技術(shù)還包括一一設(shè)置安全密碼、安裝防火墻、安裝安全防護(hù)軟件、安全 掃描技術(shù)、入侵檢測(cè)技術(shù)、蜜罐與蜜網(wǎng)技術(shù)、養(yǎng)成良