黑客攻擊與防范技術(shù)論文

I黑客攻擊與防范技術(shù)論文姓名：學(xué)號：年級：院系：專業(yè)：完成時間：摘要:在網(wǎng)絡(luò)信息時代的今天，網(wǎng)絡(luò)安全問題日趨嚴(yán)重，黑客攻防技術(shù)成為當(dāng)今網(wǎng)絡(luò)技術(shù)關(guān)注和發(fā)展的焦點，隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問題已經(jīng)成為一個被人們強(qiáng)烈關(guān)注的熱點。而其中黑客攻擊所造成的安全問題是很重要的一個方面。本文將介紹網(wǎng)絡(luò)安全面臨的主要威脅，重點分析黑客攻擊的一般步驟，使用的手段，以及解決應(yīng)對的最新方法手段。關(guān)鍵詞：網(wǎng)絡(luò)安全威脅黑客攻擊步驟原理對策PAGE10目錄摘要 I關(guān)鍵詞 I1.黑客常見攻擊步驟 21.1攻擊前奏 21.2實施攻擊 31.3鞏固控制 31.4鞏固控制 32.常見的幾種攻擊分類 3 2.1緩沖區(qū)溢出攻擊 32.2欺騙類攻擊 32.3對防火墻的攻擊 42.4利用病毒攻擊 42.5木馬程序攻擊 43.常見的攻擊 4 3.1DOS攻擊 43.1DOS攻擊原理 53.1Trinoo攻擊軟件攻擊實例 54.常見的網(wǎng)絡(luò)安全防范措施 8 4.1網(wǎng)絡(luò)級安全檢測與防范 84.2及時備份重要數(shù)據(jù) 84.3使用加密機(jī)制傳輸數(shù)據(jù) 84.4網(wǎng)絡(luò)攻擊的攻擊軟件：PasswordCrackers 95．結(jié)語 96．參考文獻(xiàn) 10黑客攻擊與防范技術(shù)對于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全問題，必須談的一個話題就是黑客（Hacker）。黑客是英文"Hacker"的英文譯音,它起源于美國麻省理工學(xué)院的計算機(jī)實驗室中。是指對計算機(jī)某一領(lǐng)域有著深入的理解，并且十分熱衷于潛入他人計算機(jī)、竊取非公開信息的人。每一個對互聯(lián)網(wǎng)絡(luò)的知識十分了解的人，都有可能成為黑客。黑客是：“喜歡探索軟件程序奧秘，并從中增長其個人才干的人?！憋@然，“黑客”一語原來并沒有絲毫的貶義成分，直到后來，少數(shù)懷有不良的企圖，利用非法手段獲得的系統(tǒng)訊問權(quán)去闖入運程機(jī)器系統(tǒng)、破壞重要數(shù)據(jù)，或為了自己的私利而制造麻煩的具有惡意行為的人慢慢玷污了“黑客”的名聲，“黑客”才逐漸演變成入侵者、破壞者的代名詞。黑客常見攻擊步驟：黑客常用的攻擊步驟可以說變幻莫測，但縱觀其整個攻擊過程，還是有一定規(guī)律可循的，一般可以分：攻擊前奏、實施攻擊、鞏固控制、繼續(xù)深入幾個過程。見下圖1示：1.1攻擊前奏

黑客鎖定目標(biāo)、了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)，收集各種目標(biāo)系統(tǒng)的信息等。

鎖定目標(biāo)：網(wǎng)絡(luò)上有許多主機(jī)，黑客首先要尋找他找的站點的。當(dāng)然能真正標(biāo)識主機(jī)的是IP地址，黑客會利用域名和IP地址就可以順利地找到目標(biāo)主機(jī)，了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)：確定要攻擊的目標(biāo)后，黑客就會設(shè)法了解其所在的網(wǎng)絡(luò)結(jié)構(gòu)，哪里是網(wǎng)關(guān)、路由，哪里有防火墻，哪些主機(jī)與要攻擊的目標(biāo)主機(jī)關(guān)系密切等，最簡單地就是用tracert命令追蹤路由，也可以發(fā)一些數(shù)據(jù)包看其是否能通過來猜測其防火墻過濾則的設(shè)定等。當(dāng)然老練的黑客在干這些的時候都會利用別的計算機(jī)來間接的探測，從而隱藏他們真實的IP地址。

收集系統(tǒng)信息：在收集到目標(biāo)的第一批網(wǎng)絡(luò)信息之后，黑客會對網(wǎng)絡(luò)上的每臺主機(jī)進(jìn)行全面的系統(tǒng)分析，以尋求該主機(jī)的安全漏洞或安全弱點。首先黑客要知道目標(biāo)主機(jī)采用的是什么操作系統(tǒng)什么版本，如果目標(biāo)開放telnet服務(wù)，那只要telnetxx.xx.xx.xx.（目標(biāo)主機(jī)），就會顯示“digitalunlx(xx.xx.xx.)(ttypl)login：”這樣的系統(tǒng)信息。接著黑客還會檢查其開放端口進(jìn)行服務(wù)分析，看是否有能被利用的服務(wù)。

1.2實施攻擊

當(dāng)黑客探測到了足夠的系統(tǒng)信息，對系統(tǒng)的安全弱點有了了解后就會發(fā)動攻擊，當(dāng)然他們會根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)、不同的系統(tǒng)情況而采用的不同的攻擊手段。

1.3鞏固控制

黑客利用種種手段進(jìn)入目標(biāo)主機(jī)系統(tǒng)并獲得控制權(quán)之后，進(jìn)行破壞活動，刪除數(shù)據(jù)、涂改網(wǎng)頁等。為了能長時間表的保留和鞏固他對系統(tǒng)的控制權(quán)，不被管理員發(fā)現(xiàn)，他會做兩件事：清除記錄和留下后門。

1.4繼續(xù)深入

清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后，攻擊者就開始下一步的行動；竊取主機(jī)上的各種敏感信息：軟件資料、客戶名單、財務(wù)報表、信用卡號等等。常見的幾種攻擊分類：2.1緩沖區(qū)溢出攻擊

通過往程序的緩沖區(qū)寫超出其長度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令，如果這些指令是放在有root權(quán)限的內(nèi)存中，那么一旦這些指令得到了運行，黑客就以root權(quán)限控制了系統(tǒng)，達(dá)到入侵的目的。緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運行的程序的功能，使攻擊者獲得程序的控制權(quán)。

緩沖區(qū)溢出的一般攻擊步驟為：在程序的地址空間里安排適當(dāng)?shù)拇a（植入法或利用已存在的代碼），然后，通過適當(dāng)?shù)牡刂烦跏蓟拇嫫骱痛鎯ζ?，讓程序跳到黑客安排的地址空間中執(zhí)行（如激活紀(jì)錄、函數(shù)指針或長跳轉(zhuǎn)緩沖區(qū)等）。

2.2欺騙類攻擊

TCP/IP協(xié)議本身的一些缺陷可以被利用，使黑客可以對TCP/IP網(wǎng)絡(luò)進(jìn)行攻擊，網(wǎng)絡(luò)欺騙的技術(shù)主要有：HoneyPot和分布式HoneyPot、欺騙空間技術(shù)等。主要方式有：IP欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；以IP欺騙攻擊為例說明如下，其的實施步驟為：選定目標(biāo)主機(jī)——發(fā)現(xiàn)主機(jī)間的信任模式——使被信任主機(jī)葬失工作能力——TCP序列號的取樣和預(yù)測——冒充被信任主機(jī)進(jìn)入系統(tǒng)，并留下后門供以后使用。2.3對防火墻的攻擊

一般來說，防火墻的抗攻擊性很強(qiáng)，可是它也不是不可攻破的。其實，防火墻也是由軟件和硬件組成的，在設(shè)計和實現(xiàn)上都不可避免地存在著缺陷。對防火墻的探測攻擊技術(shù)有：Firewalking技術(shù)、Hping。

繞過防火墻認(rèn)證的攻擊手法有：地址欺騙和TCP序號協(xié)同攻擊、IP分片攻擊、Tcp/Ip會話劫持、協(xié)議隧道攻擊、干擾攻擊、利用FTP-pasv繞過防火墻認(rèn)證的攻擊。

直接攻擊防火墻系統(tǒng)的常見手法有：CiscoPix防火墻的安全漏洞：CiscoPIX防火墻的拒絕服務(wù)漏洞、CISCOPIX防火墻FTP漏洞允許非法通過防火墻。

2.4利用病毒攻擊

病毒是黑客實施網(wǎng)絡(luò)攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對性、衍生性、不可預(yù)見性和破壞性等特性，而且在網(wǎng)絡(luò)中其危害更加可怕，目前可通過網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬種，可通過注入技術(shù)進(jìn)行破壞和攻擊。

計算機(jī)病毒攻擊的傳播途徑有電子郵件、傳統(tǒng)的軟盤、光盤、BBS、WWW瀏覽、FTP文件下載、新聞組、點對點通信系統(tǒng)和無線通信系統(tǒng)等。

2.5木馬程序攻擊

特洛依木馬是一種騙子程序，提供某些功能作為誘餌，背地里干一些鬼事，當(dāng)目標(biāo)計算機(jī)啟動時，木馬程序隨之啟動，然后在某一特定的端口監(jiān)聽，在通過監(jiān)聽端口收到命令后，木馬程序根據(jù)命令在目標(biāo)計算機(jī)上執(zhí)行一些操作，如傳送或刪除文件，竊取口令，重新啟動計算機(jī)等。常見的特洛伊木馬程序有：BO、Netspy、Netbus等。

3.常見的攻擊：

3.1DoS攻擊

DoS攻擊的方式主要是利用合理的服務(wù)請求，來占用過多的網(wǎng)絡(luò)帶寬和服務(wù)器資源，致使正常的連接請求無法得到響應(yīng)。常見的DoS攻擊方法有：SYNFlood攻擊、Land攻擊、Smurf攻擊、UDP攻擊等。下圖2為DoS攻擊的基本過程。

3.2DDoS攻擊原理

DDoS主要采用了比較特殊的3層客戶機(jī)/服務(wù)器結(jié)構(gòu)，即攻擊端、主控端和代理端，這3者在攻擊中各自扮演著不同的角色。攻擊者：攻擊者所用的計算機(jī)是攻擊主控臺，可以是網(wǎng)絡(luò)上的任何一臺主機(jī)，甚至可以是一個活動的便攜機(jī)。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運行攻擊器程序，接受和運行主控端發(fā)來的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。攻擊者發(fā)起DDoS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門程序，攻擊者入侵的主機(jī)越多，他的攻擊隊伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各司其職，在攻擊者的調(diào)遣下對攻擊對象發(fā)起攻擊。這種3層客戶機(jī)/服務(wù)器結(jié)構(gòu)，使DDoS具有更強(qiáng)的攻擊能力，并且能較好地隱藏攻擊者的真實地址。下圖3為DDoS的攻擊原理。

DDoS攻擊一旦實施，攻擊數(shù)據(jù)包就會像洪水般地從四面八方涌向被攻擊主機(jī)，從而把合法用戶的連接請求淹沒掉，導(dǎo)致合法用戶長時間無法使用網(wǎng)絡(luò)資源。

3.3Trinoo攻擊軟件攻擊實例

DDoS攻擊不斷在Internet出現(xiàn)，并在應(yīng)用的過程中不斷的得到完善，已有一系列比較成熟的軟件產(chǎn)品，如Trinoo、獨裁者DDoS攻擊器、DdoSer、TFN、TFN2K等。

Trinoo攻擊功能的實現(xiàn)，是通過三個模塊付諸實施的：1、攻擊守護(hù)進(jìn)程（NS）；2、攻擊控制進(jìn)程（MASTER）；3、客戶端（NETCAT，標(biāo)準(zhǔn)TELNET程序等）。攻擊守護(hù)進(jìn)程N(yùn)S是真正實施攻擊的程序，它一般和攻擊控制進(jìn)程（MASTER）所在主機(jī)分離，在原始C文件NS.C編譯的時候，需要加入可控制其執(zhí)行的攻擊控制進(jìn)程MASTER所在主機(jī)IP，（只有在NS.C中的IP方可發(fā)起NS的攻擊行為）編譯成功后，黑客通過目前比較成熟的主機(jī)系統(tǒng)漏洞破解（如RPC.CMSD，RPC.TTDBSERVER，RPC.STATD）可以方便的將大量NS植入因特網(wǎng)中有上述漏洞主機(jī)內(nèi)。NS運行時，會首先向攻擊控制進(jìn)程（MASTER）所在主機(jī)的31335端口發(fā)送內(nèi)容為HELLO的UDP包，標(biāo)示它自身的存在，隨后攻擊守護(hù)進(jìn)程即處于對端口27444的偵聽狀態(tài)，等待MASTER攻擊指令的到來。

攻擊控制進(jìn)程（MASTER）在收到攻擊守護(hù)進(jìn)程的HELLO包后，會在自己所在目錄生成一個加密的名為...的可利用主機(jī)表文件，MASTER的啟動是需要密碼的，在正確輸入默認(rèn)密碼gOrave后，MASTER即成功啟動，它一方面?zhèn)陕牰丝?1335，等待攻擊守護(hù)進(jìn)程的HELLO包，另一方面?zhèn)陕牰丝?7665，等待客戶端對其的連接。當(dāng)客戶端連接成功并發(fā)出指令時，MASTER所在主機(jī)將向攻擊守護(hù)進(jìn)程ns所在主機(jī)的27444端口傳遞指令。

客戶端不是Trinoo自帶的一部分，可用標(biāo)準(zhǔn)的能提供TCP連接的程序，如TELNET，NETCAT等，連接MASTER所在主機(jī)的27665端口，輸入默認(rèn)密碼betaalmostdone后，即完成了連接工作，進(jìn)入攻擊控制可操作的提示狀態(tài)。

Trinoo運行的總體輪廓可用圖4說明：

圖4DDoS的攻擊原理

攻擊實例：被攻擊的目標(biāo)主機(jī)victimIP為：5ns被植入三臺sun的主機(jī)里，他們的IP對應(yīng)關(guān)系分別為client1：1client2：2client3：3master所在主機(jī)為masterhost：4首先我們要啟動各個進(jìn)程，在client1，2，3上分別執(zhí)行ns，啟動攻擊守護(hù)進(jìn)程，其次，在master所在主機(jī)啟動mastermasterhost#./master??gOrave（系統(tǒng)示輸入密碼，輸入gOrave后master成功啟動）Trinoov1.07d2+f3+c[Mar202000：14：38：49]（連接成功）在任意一臺與網(wǎng)絡(luò)連通的可使用telnet的設(shè)備上，執(zhí)行：telnet427665Escapecharacteris'^]'.betaalmostdone（輸入密碼）Trinoov1.07d2+f3+c..[rpm8d/cb4Sx/]Trinoo>（進(jìn)入提示符）Trinoo>mping（我們首先來監(jiān)測一下各個攻擊守護(hù)進(jìn)程是否成功啟動）mping：SendingaPINGtoeveryBcasts.Trinoo>PONG1Receivedfrom1PONG2Receivedfrom2PONG3Receivedfrom3（成功響應(yīng)）Trinoo>mtimer60（設(shè)定攻擊時間為60秒）mtimer：Settingtimeronbcastto60.Trinoo>dos5DoS：Packeting5至此一次攻擊結(jié)束，此時ping5，會得到icmp不可到達(dá)反饋，目標(biāo)主機(jī)此時與網(wǎng)絡(luò)的正常連接已被破壞。由于Trinoo尚未采用IP地址欺騙，因此在被攻擊的主機(jī)系統(tǒng)日志里我們可以看到如下紀(jì)錄：Mar2014:40：34victimsnmpXdmid：Willattempttore-establishconnection.Mar2014:40：35victimsnmpdx：errorwhilereceivingapdufrom1.59841：Themessagehasawrongheadertype(0x0)Mar2014:40：35victimsnmpdx：errorwhilereceivingapdufrom2.43661：Themessagehasawrongheadertype(0x0)Mar2014:40：36victimsnmpdx：errorwhilereceivingapdufrom192316831.13.40183：Themessagehasawrongheadertype(0x0)Mar2014:40：36victimsnmpXdmid：ErrorreceivingPDUThemessagehasawrongheadertype(0x0).Mar2014:40：36victimsnmpXdmid：Errorreceivingpacketfromagent;rc=-1.Mar2014:40：36victimsnmpXdmid：Willattempttore-establishconnection.Mar2014:40：36victimsnmpXdmid：ErrorreceivingPDUThemessagehasawrongheadertype(0x0).Mar2014:40：36victimsnmpXdmid：Errorreceivingpacketfromagent;rc=-1.4.常見的網(wǎng)絡(luò)安全防范措施：

4.1網(wǎng)絡(luò)級安全檢測與防范

目前比較流行的網(wǎng)絡(luò)級安全防范措施是使用專業(yè)防火墻

通過編寫防火墻規(guī)則，可以讓系統(tǒng)知道什么樣的信息包可以進(jìn)入、什么樣的應(yīng)該放棄，如此一來，當(dāng)黑客發(fā)送有攻擊性信息包的時候，在經(jīng)過防火墻時，信息就會被丟棄掉，從而防止了黑客的進(jìn)攻。如天網(wǎng)防火墻，安裝后進(jìn)入自定義IP規(guī)則，進(jìn)行設(shè)置：

（1）禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源。

（2）禁止所有人的連接。

（3）禁止所有人連接低端口。

（4）允許已經(jīng)授權(quán)的程序打開端口，這樣一切需要開放的端口程序都需要審批。但是不要勾選“系統(tǒng)設(shè)置”里的“允許所有應(yīng)用程序訪問網(wǎng)絡(luò)，并在規(guī)則記錄這些程序”，這個設(shè)置是防范反彈木馬和鍵盤記錄的秘密武器。4.2及時備份重要數(shù)據(jù)

亡羊補(bǔ)牢，如果數(shù)據(jù)備份及時，即便系統(tǒng)遭到黑客進(jìn)攻，也可以在短時間內(nèi)修復(fù)，挽回不必要的經(jīng)濟(jì)損失。想國外很多商務(wù)網(wǎng)站，都會在每天晚上對系統(tǒng)數(shù)據(jù)進(jìn)行備份，在第二天清晨，無論系統(tǒng)是否收到攻擊，都會重新恢復(fù)數(shù)據(jù)，保證每天系統(tǒng)中的數(shù)據(jù)庫都不會出現(xiàn)損壞。數(shù)據(jù)的備份最好放在其他電腦或者驅(qū)動器上，這樣黑客進(jìn)入服務(wù)器之后，破壞的數(shù)據(jù)只是一部分，因為無法找到數(shù)據(jù)的備份，對于服務(wù)器的損失也不會太嚴(yán)重。然而一旦受到黑客攻擊，管理員不要只設(shè)法恢復(fù)損壞的數(shù)據(jù)，還要及時分析黑客的來源和攻擊方法，盡快修補(bǔ)被黑客利用的漏洞，然后檢查系統(tǒng)中是否被黑客安裝了木馬、蠕蟲或者被黑客開放了某些管理員賬號，盡量將黑客留下的各種蛛絲馬跡和后門分析清除、清除干凈，防止黑客的下一次攻擊。

4.3使用加密機(jī)制傳輸數(shù)據(jù)

對于個人信用卡、密碼等重要數(shù)據(jù)，在客戶端與服務(wù)器之間的傳送，應(yīng)該先經(jīng)