網(wǎng)絡(luò)攻擊的方法及對策

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)網(wǎng)絡(luò)攻擊的方法及對策網(wǎng)絡(luò)攻擊的方法及對策【摘要】：隨著計算機技術(shù)的發(fā)展，在計算機上處理業(yè)務(wù)已由基于單機的數(shù)學(xué)運算、文件處理，基于簡單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級計算機處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在信息處理能力提高的同時，系統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出。不論是外部網(wǎng)還是內(nèi)部網(wǎng)的網(wǎng)絡(luò)都會受到安全的問題。 面臨著大量的網(wǎng)絡(luò)

2、入侵事件,就必須要求在一個開放式的計算機網(wǎng)絡(luò)物理環(huán)境中構(gòu)造一個封閉的邏輯環(huán)境來保障敏感信息和保密數(shù)據(jù)不受到攻擊。為此迫切需要對網(wǎng)絡(luò)安全作分類研究,把各種網(wǎng)絡(luò)安全問題清晰有序地組織起來,從而構(gòu)建一個合理、安全、高效的網(wǎng)絡(luò)防御體系?！娟P(guān)鍵字】:網(wǎng)絡(luò)、安全、黑客、攻擊、Internet引言計算機網(wǎng)絡(luò)安全包括計算機安全、通信安全、操作安全、訪問控制、實體安全、系統(tǒng)安全、網(wǎng)絡(luò)站點安全,以及安全管理和法律制裁等諸多內(nèi)容。尤其涉及計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性幾個方面。網(wǎng)絡(luò)安全保護的核心是如何在網(wǎng)絡(luò)環(huán)境下保證數(shù)據(jù)本身的秘密性、完整性與操作的正確性、合法性與不可否認(rèn)性。而網(wǎng)絡(luò)攻擊的目

3、的正相反,其立足于以各種方式通過網(wǎng)絡(luò)破壞數(shù)據(jù)的秘密性和完整性或進行某些非法操作。因此可將網(wǎng)絡(luò)安全劃分為網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)安全防護兩大類。隨著計算機技術(shù)的發(fā)展，在計算機上處理業(yè)務(wù)已由基于單機的數(shù)學(xué)運算、文件處理，基于簡單連結(jié)的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、企業(yè)外部網(wǎng) 、全球互聯(lián)網(wǎng)的企業(yè)級計算機處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在信息處理能力提高的同時，系統(tǒng)的連結(jié)能力也在不斷的提高。但在連結(jié)信息能力、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出。過去兩個世紀(jì)來對工業(yè)技術(shù)的控制，代表了一個國家的軍事實力和經(jīng)濟實力，今天，對信息技術(shù)的控制將是領(lǐng)導(dǎo)21世紀(jì)的

4、關(guān)鍵。有人說，信息安全就像茫茫宇宙中閃爍的星星一樣無序，看得見摸不著，具有混沌特征。一、網(wǎng)絡(luò)的開放性帶來的安全問題Internet的開放性以及其他方面因素導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計算機系統(tǒng)存在很多安全問題。為了解決這些安全問題，各種安全機制、策略和工具被研究和應(yīng)用。然而，即使在使用了現(xiàn)有的安全工具和機制的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以歸結(jié)為以下幾點:(1) 每一種安全機制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境。防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問，防火墻往往是無能為力的。因此，對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為

5、和內(nèi)外勾結(jié)的入侵行為，防火墻是很難發(fā)覺和防范的。(2)安全工具的使用受到人為因素的影響。一個安全工具能不能實現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當(dāng)?shù)脑O(shè)置就會產(chǎn)生不安全因素。例如，NT在進行合理的設(shè)置后可以達(dá)到C2級的安全性，但很少有人能夠?qū)T本身的安全策略進行合理的設(shè)置。雖然在這方面，可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進行比較，針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。(3)系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方。防火墻很難考慮到這類安全問題，多數(shù)情況下，這類入侵行為可

6、以堂而皇之經(jīng)過防火墻而很難被察覺；比如說，眾所周知的ASP源碼問題，這個問題在IIS服務(wù)器4.0以前一直存在，它是IIS服務(wù)的設(shè)計者留下的一個后門，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而可以收集系統(tǒng)信息，進而對系統(tǒng)進行攻擊。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。(4)只要有程序，就存在BUG。甚至連安全工具本身也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用

7、，而且這種攻擊通常不會產(chǎn)生日志，幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG，現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。(5)黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進的、安全工具不知道的手段進行攻擊。二、網(wǎng)絡(luò)安全的防護力漏洞，導(dǎo)致黑客在網(wǎng)上任意暢行1、 根據(jù)Warroon Research的調(diào)查，1997年世界排名前一千的公司幾乎都曾

8、被黑客闖入。 2、 據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。 3、 Ernst和Young報告，由于信息安全被竊或濫用，幾乎80%的大型企業(yè)遭受損失 4、在最近一次黑客大規(guī)模的攻擊行動中，雅虎網(wǎng)站的網(wǎng)絡(luò)停止運行3小時，這令它損失了幾百萬美金的交易。而據(jù)統(tǒng)計在這整個行動中美國經(jīng)濟共損失了十多億美金。由于業(yè)界人心惶惶，亞馬遜(A)、AOL、雅虎(Yahoo!)、eBay的股價均告下挫，以科技股為主的那斯達(dá)克指數(shù)(Nasdaq)打破過去連續(xù)三天創(chuàng)下新高的升勢，下挫了六十三點，杜瓊斯工業(yè)平均指數(shù)周三收市時也跌了二百五十八點?？吹竭@些令人震驚的事件，不禁讓人們發(fā)出疑問：“網(wǎng)絡(luò)還安全

9、嗎？” 據(jù)不完全統(tǒng)計目前，我國網(wǎng)站所受到黑客的攻擊，還不能與美國的情況相提并論，因為我們在用戶數(shù)、用戶規(guī)模上還都處在很初級的階段，但以下事實也不能不讓我們深思： 1993年底，中科院高能所就發(fā)現(xiàn)有“黑客”侵入現(xiàn)象，某用戶的權(quán)限被升級為超級權(quán)限。當(dāng)系統(tǒng)管理員跟蹤時，被其報復(fù)。1994年，美國一位14歲的小孩通過互聯(lián)網(wǎng)闖入中科院網(wǎng)絡(luò)中心和清華的主機，并向我方系統(tǒng)管理員提出警告。1996年，高能所再次遭到“黑客”入侵，私自在高能所主機上建立了幾十個帳戶，經(jīng)追蹤發(fā)現(xiàn)是國內(nèi)某撥號上網(wǎng)的用戶。同期，國內(nèi)某ISP發(fā)現(xiàn)“黑客”侵入其主服務(wù)器并刪改其帳號管理文件，造成數(shù)百人無法正常使用。1997年，中科院網(wǎng)絡(luò)中

10、心的主頁面被“黑客”用魔鬼圖替換。進入1998年，黑客入侵活動日益猖獗，國內(nèi)各大網(wǎng)絡(luò)幾乎都不同程度地遭到黑客的攻擊： 2月，廣州視聆通被黑客多次入侵，造成4小時的系統(tǒng)失控； 4月，貴州信息港被黑客入侵，主頁被一幅淫穢圖片替換； 5月，大連ChinaNET節(jié)點被入侵，用戶口令被盜； 6月，上海熱線被侵入，多臺服務(wù)器的管理員口令被盜，數(shù)百個用戶和工作人員的賬號和密碼被竊?。?7月，江西169網(wǎng)被黑客攻擊，造成該網(wǎng)3天內(nèi)中斷網(wǎng)絡(luò)運行2次達(dá)30個小時，工程驗收推遲20天；同期，上海某證券系統(tǒng)被黑客入侵； 8月，印尼事件激起中國黑客集體入侵印尼網(wǎng)點，造成印尼多個網(wǎng)站癱瘓，但與此同時，中國的部分站點遭到印

11、尼黑客的報復(fù)；同期，西安某銀行系統(tǒng)被黑客入侵后，提走80.6萬元現(xiàn)金；9月，揚州某銀行被黑客攻擊，利用虛存帳號提走26萬元現(xiàn)金； 10月，福建省圖書館主頁被黑客替換。三、常見的網(wǎng)絡(luò)攻擊這里我們將對現(xiàn)存的大多數(shù)網(wǎng)絡(luò)攻擊手段歸納分析,對理論攻擊將著重于介紹對加密算法攻擊的技術(shù)性實現(xiàn)。而技術(shù)攻擊則對網(wǎng)絡(luò)監(jiān)聽、拒絕服務(wù)攻擊、基于網(wǎng)絡(luò)邊界而言的遠(yuǎn)程攻擊和內(nèi)部未授權(quán)用戶對系統(tǒng)的攻擊進行分析。對加密算法的攻擊對加密算法的攻擊主要集中于破譯某段密文或分析加密密鑰。通常破譯者可對密碼進行惟密文攻擊、已知明文攻擊、選擇密文攻擊和選擇明文攻擊及窮舉攻擊,對特定算法還有特定攻擊方法,如對DES這類迭代分組密碼可選擇差

12、分密碼分析法、能量攻擊法,對公鑰算法RSA可采用公用模攻擊、低加密指數(shù)攻擊、定時攻擊等方法。網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機的一種工作模式,在這種模式下,主機可以接收到本網(wǎng)段在同一條物理信道上傳輸?shù)乃行畔?而不管信息的發(fā)送方和接受方是誰。所以進行通信的信息必須進行加密,否則只要使用一些網(wǎng)絡(luò)監(jiān)聽工具就可以截獲包括口令和賬號在內(nèi)的信息資料。大部分的傳輸介質(zhì)如Ethernet、FDDI、Token-ring、模擬電話線、無線接入網(wǎng)上都可實施網(wǎng)絡(luò)監(jiān)聽,其中尤以Ethernet與無線接入網(wǎng)最為容易,因為這兩者都是典型的廣播型網(wǎng)絡(luò)。拒絕服務(wù)攻擊(DoS)一般來說,拒絕服務(wù)攻擊有些是用來消耗帶寬,有些是消耗網(wǎng)絡(luò)設(shè)備

13、的CPU和內(nèi)存。例如對UDP的攻擊,原理就是使用大量的偽造的報文攻擊網(wǎng)絡(luò)端口,造成服務(wù)器的資源耗盡,使系統(tǒng)停止響應(yīng)甚至崩潰。也可以使用大量的IP地址向網(wǎng)絡(luò)發(fā)出大量真實的連接,來搶占帶寬,造成網(wǎng)絡(luò)服務(wù)的終止。拒絕服務(wù)一般分兩種:一是試圖破壞資源,使目標(biāo)無人可以使用此資源。如破壞或摧毀信息:刪除文件、格式化磁盤、切斷電源等。二是過載一些系統(tǒng)服務(wù)或者消耗一些資源,通過這樣的方式可以造成其它用戶不能使用這個服務(wù)。這兩種情況大半是因用戶錯誤或程序錯誤造成的,并非針對性的攻擊。針對網(wǎng)絡(luò)的拒絕服務(wù)攻擊主要包括服務(wù)過載攻擊、消息流攻擊、Paste式攻擊、SYN Flooding攻擊、過載攻擊、Mailbomb

14、攻擊。攻擊主要是在一個主機接收到大量不完全連接請求而超出其所能處理的范圍時,就會發(fā)生SYN flooding攻擊。在通常情況下,希望通過TCP連接來交換數(shù)據(jù)的主機必須使用3次握手進行任務(wù)初始化。SYN Flooding攻擊就是基于阻止3次握手的完成來實現(xiàn)的。SYN Flooding的攻擊原理是:首先,攻擊者向目標(biāo)主機發(fā)送大量的SYN請求,用被掛起的連接占滿連接請求隊列。一旦目標(biāo)主機接收到這種請求,就會向它所認(rèn)為的SYN報文的源主機發(fā)送SYN/ACK報文作出應(yīng)答。一旦存儲隊列滿了,接下來的請求就會被TCP端忽略,直至最初的請求超時并被重置(通常為75s),每次超時過后,服務(wù)器端就向未達(dá)的客戶端發(fā)

15、送一個RST報文,此時攻擊者必須重復(fù)以上步驟來維持拒絕服務(wù)的攻擊。SYN Flooding攻擊的重點就在于不斷發(fā)送大量的SYN報文,其攻擊在空間性上表現(xiàn)得極為明顯。如圖1,從源到匯,攻擊者可從不同路徑向被攻擊主機持續(xù)發(fā)送連接請求,也可將數(shù)據(jù)包拆分為幾個傳輸再在目的地會合,以隱藏被攻擊主機。檢測這種攻擊的困難就在于目標(biāo)主機接收到的數(shù)據(jù)好像來自整個Internet。分布式拒絕服務(wù)(DDoS)攻擊通過探測掃描大量主機,從而找到可以入侵的目標(biāo)主機,通過一些遠(yuǎn)程溢出漏洞攻擊程序,入侵有安全漏洞的目標(biāo)主機并獲取系統(tǒng)的控制權(quán),在被入侵的主機上安裝并運行DDoS分布端的攻擊守護進程,然后利用多臺已被攻擊者控制

16、的機器對另一臺單機進行掃描和攻擊,在大小懸殊的帶寬之比下被攻擊的主機很快失去反應(yīng)能力。整個過程都是自動化的,攻擊者可以在幾秒鐘內(nèi)入侵一臺主機并安裝攻擊工具,這樣,在一個小時之內(nèi)就可以入侵?jǐn)?shù)千臺主機。SYN FloodingSYN Flooding 攻擊主要是在一個主機接收到大量不完全連接請求而超出其所能處理的范圍時,就會發(fā)生SYN flooding攻擊。在通常情況下,希望通過TCP連接來交換數(shù)據(jù)的主機必須使用3次握手進行任務(wù)初始化。SYN Flooding攻擊就是基于阻止3次握手的完成來實現(xiàn)的。SYN Flooding的攻擊原理是:首先,攻擊者向目標(biāo)主機發(fā)送大量的SYN請求,用被掛起的連接占滿

17、連接請求隊列。一旦目標(biāo)主機接收到這種請求,就會向它所認(rèn)為的SYN報文的源主機發(fā)送SYN/ACK報文作出應(yīng)答。一旦存儲隊列滿了,接下來的請求就會被TCP端忽略,直至最初的請求超時并被重置(通常為75s),每次超時過后,服務(wù)器端就向未達(dá)的客戶端發(fā)送一個RST報文,此時攻擊者必須重復(fù)以上步驟來維持拒絕服務(wù)的攻擊。 SYN Flooding攻擊的重點就在于不斷發(fā)送大量的SYN報文,其攻擊在空間性上表現(xiàn)得極為明顯。如圖1,從源到匯,攻擊者可從不同路徑向被攻擊主機持續(xù)發(fā)送連接請求,也可將數(shù)據(jù)包拆分為幾個傳輸再在目的地會合,以隱藏被攻擊主機。檢測這種攻擊的困難就在于目標(biāo)主機接收到的數(shù)據(jù)好像來自整個Inter

18、net。 分布式拒絕服務(wù)(DDoS)攻擊通過探測掃描大量主機,從而找到可以入侵的目標(biāo)主機,通過一些遠(yuǎn)程溢出漏洞攻擊程序,入侵有安全漏洞的目標(biāo)主機并獲取系統(tǒng)的控制權(quán),在被入侵的主機上安裝并運行DDoS分布端的攻擊守護進程,然后利用多臺已被攻擊者控制的機器對另一臺單機進行掃描和攻擊,在大小懸殊的帶寬之比下被攻擊的主機很快失去反應(yīng)能力。整個過程都是自動化的,攻擊者可以在幾秒鐘內(nèi)入侵一臺主機并安裝攻擊工具,這樣,在一個小時之內(nèi)就可以入侵?jǐn)?shù)千臺主機。 遠(yuǎn)程攻擊 遠(yuǎn)程攻擊指在目標(biāo)主機上沒有帳戶的攻擊者獲得該機器的當(dāng)?shù)卦L問權(quán)限,從機器中過濾出數(shù)據(jù)、修改數(shù)據(jù)等的攻擊方式。遠(yuǎn)程攻擊的一般過程:收集被攻擊方的有關(guān)

19、信息,分析被攻擊方可能存在的漏洞;建立模擬環(huán)境,進行模擬攻擊,測試對方可能的反應(yīng);利用適當(dāng)?shù)墓ぞ哌M行掃描;實施攻擊。 IP Spoofing是一種典型的遠(yuǎn)程攻擊,它通過向主機發(fā)送IP包來實現(xiàn)攻擊,主要目的是掩蓋攻擊者的真實身份,使攻擊者看起來像正常的用戶或者嫁禍于其他用戶。 IP Spoofing攻擊過程見圖2,具體描述如下:假設(shè)I企圖攻擊A,而A信任B。假設(shè)I已經(jīng)知道了被信任的B,使B的網(wǎng)絡(luò)功能暫時癱瘓,以免對攻擊造成干擾。因此,在實施IP Spoofing攻擊之前常常對B進行 SYN Flooding攻擊。必須確定A當(dāng)前的ISN。I向A發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請求連接,只是信源IP改成了B。A向B回送SYN+ACK數(shù)據(jù)段,B已經(jīng)無法響應(yīng),B的TCP層只是簡單地丟棄A的回送數(shù)據(jù)段。I暫停,讓A有足夠時間發(fā)送SYN+ACK,然后I再次偽裝成B向A發(fā)送ACK,此時發(fā)送的數(shù)據(jù)段帶有I預(yù)測的A的ISN+1。如果預(yù)