2022年网络攻击与防范技术 .pdf

2 0 1 1.0 869学 术.技 术网络攻击与防范技术高永仁(武夷学院，福建 武夷山 354300)摘 要：网络攻击是指网络用户未经授权地访问或者使用网络资源，网络攻击方法众多，其攻击目标也不尽相同。简单介绍了网络攻击的目标、分类、攻击的基本过程和常见攻击与防范技术。关键词：网络资源；网络攻击；攻击的目标。Network Attacks and Prevention Techniques GAO Yong-ren(Wuyi University,Wuyishan,Fujian 354300,China)Abstract:Network attack is the unauthorized network users to access or use of network resources,Many ways to network attacks，Target is not the same.This paper briefly describes the targets of network attack,classification,the basic process of attack and common attacks and prevention techniques.Key words:Network resources;network attack;the target of attacks 1 攻击的目标与分类1.1 攻击者攻击者包括操作员、程序员、数据录入员、内部用户和外部用户，主要分为以下六种：(1)黑客：攻击的动机与目的是为了表现自己或获取访问权限。(2)间谍：攻击的动机与目的是获取情报信息。(3)恐怖主义者：攻击的动机与目的是获取恐怖主义集团的利益。(4)公司职员：攻击的动机与目的是获取经济利益。(5)职业犯罪分子：攻击的动机与目的是获取个人利益。(6)破坏者：攻击的动机与目的是破坏目标网络和系统。1.2 攻击目标攻击者为了达到物理破坏、信息破坏、数据欺骗、窃取服务、浏览和窃取信息等目的，一定要访问目标网络和系统，包括合法访问和非法访问。一般的，攻击过程主要依赖于设计弱点、实现弱点和配置弱点，非法访问和使用目标网络的资源，即未授权访问或未授权使用目标系统的资源。(1)破坏信息：删除或修改系统中存储的信息或者网络中传送的信息。(2)窃取信息：窃取或公布敏感信息。(3)窃取服务：未授权使用计算机或网络服务。(4)拒绝服务：干扰系统和网络的正常服务，降低系统和网络的性能，甚至使系统和网络崩溃。1.3 攻击分类根据主动攻击与被动攻击的分类，将网络攻击分为以下四类。(1)中断：中断发送方与接收方之间的通信。(2)拦截：作为第三者，截获或者侦听通信内容。(3)篡改：攻击者截断通信，将截获的数据更改之后再交付给接收者，接收者认为篡改后的信息就是发送者的原始信息。(4)伪造：攻击者伪造信息，将其以原始发送者的身份发送给接收者。1.4 攻击工具攻击者通常使用一系列包括攻击策略和方法的攻击工具，对目标网络实施攻击，这些工具如下：(1)用户命令：攻击者在命令行状态下或者以图形用户接口方式输入攻击命令。(2)脚本或程序：利用脚本或者程序挖掘弱点。(3)自治主体：攻击者初始化一个程序或者程序片段，独立执行弱点挖掘和攻击。(4)工具包：使用攻击工具软件包，软件包中可名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 4 页 -2 0 1 1.0 870学 术.技 术能包括进行弱点挖掘、攻击和破坏的多个工具。(5)分布式工具：攻击者分发攻击工具到多台主机，通过协作方式执行攻击。2 攻击的基本过程网络攻击持续的时间有长有短，方法和手段多种多样，达到的效果各异。经过分析发现，所有成功的攻击过程都大致相似。所以，可以给网络攻击定义一个通用的模型。该模型将攻击过程归纳为若干阶段，每个阶段使用不同的方法和工具，实现不同的目标。各阶段前后呼应，共同实现最终的攻击目标。网络攻击模型将攻击过程划分为攻击身份和位置隐藏、目标系统信息收集、弱点信息挖掘分析、目标使用权限获取、攻击行为隐蔽、攻击实施、开辟后门、攻击痕迹清除等阶段，如图1 所示。图 1 网络攻击的基本过程3 常见的网络攻击及防范技术网络攻击技术多种多样，各种攻击工具都使用了一种或者综合使用多种攻击技术。下面简单介绍常见的网络攻击技术和原理。3.1 网络欺骗网络欺骗(Spoofing)是指攻击者通过伪造自己在网络上的身份，得到目标主机或者网络的访问权限。在 TCP IP 协议中，数据包的一些域具有特定的含义。例如，IP 包的哪个域表示数据的来源、哪个域表示目标，邮件的哪个域表示邮件地址等，都有固定的结构。通过底层网络编程技术，可以方便地伪造任意内容的网络数据包，因此网络上的主机都面临着被欺骗的威胁。在实际攻击过程中，网络欺骗通常作为一种进攻手段，用于获得目标主机的信任，然后再利用这种信任关系对其实施攻击。常见的网络欺骗技术有IP 欺骗、电子邮件欺骗、Web 欺骗和 ARP 欺骗。3.1.1 IP 欺骗I P 欺骗是指使用虚假的I P 地址来达到欺骗的目的。(1)改变 I P 地址。这是攻击者首选的欺骗方式之一，攻击者修改数据包的源IP 地址，伪装成被假冒者机器的I P 地址，如图2 所示。攻击者改变数据包源地址的主要目的是隐藏攻击的来源，一方面，即使攻击行为被对方发现，也不能根据IP 地址找到攻击的来源，从而攻击者可以逃避制裁和惩罚。另一方面，如果目标系统中存在以I P 地址作为鉴别标准的授权行为，则攻击者可以获得被假冒方的权限。修改数据包的I P 地址需通过低层的网络编程实现。图 2 改变 lP地址欺骗(2)源路由欺骗。如果只改变数据包的源IP 地址，那么目标主机的应答回到被假冒的地址上，攻击者不能得到应答。攻击者如果想了解会话情况，必须保证自己插入到应答经过的网络通路上。攻击者使用 T C P IP 协议提供的一种机制(源路由选项)，并把自己的I P 地址置于所指定的地址序列清单中。当目标端回应时，数据包返回到假冒的IP 地址处，但它会经过攻击者的机器，这样可以保证攻击者得到应答数据包。针对 IP 欺骗攻击的防范措施，安装V P N 网关，实现通信加密和身份认证，实施PKI的 CA，实现身份认证。3.1.2 电子邮件欺骗攻击者使用电子邮件进行欺骗有三个目的。第名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 4 页 -2 0 1 1.0 871学 术.技 术一，隐藏自己的身份。第二，通过假冒电子邮件地址使自己看起来像某个其他人。第三，社会工程的一种表现形式，获取想要的信息。例如，如果攻击者想让用户发给他一份敏感文件，攻击者可以伪装其他的邮件地址，使用户认为这是老板或者管理员的要求，从而按要求发送信息。(1)相 似 的 电 子 邮 件 地 址。假 冒 一 个 相 似 的邮件地址发送邮件，如Ii uch ang 163 c om 与1iuchang163 com，因为邮件地址似乎是正确的，所以收信人很可能会回复它，这样攻击者就会得到想要的信息。(2)修改邮件客户软件。当发出电子邮件时，没有对发件人地址进行验证或者确认，因此他能够指定他希望出现在发件人中的任意地址。当用户回信时，答复回到真实的地址，而不是回到被盗用了地址的人那里。3.1.3 Web 欺骗网站通常是各种目的攻击者的主要攻击目标，而 W eb 欺骗是网站面临的一种主要攻击。网站欺骗分两大类，一类是加密他人的网站、使用U R L重写技术隐藏真正的网站地址，欺骗网站的浏览者，另一类是使用匿名代理技术浏览网站，欺骗网站服务的提供者，而中间人攻击则可以达到欺骗双方的目的。1)基本的网站欺骗目前在互联网上注册一个域名没有严格的审查，攻击者可以抢先或特别设计注册一个非常类似的有欺骗性的站点。当用户浏览了这个假冒地址，并与站点作了一些信息交流，如填写了一些表单之后，站点会给出一些响应式的提示和回答，同时记录下用户的信息。典型的例子是假冒金融机构的网站，偷盗客户的信用卡、银行卡等信息。例如，中国工商银行网站为“www icbc com cn”，有人注册了网站“w w w1c b cc or ncn”。这种欺骗方式被专家定义为网络陷阱程序，也称为网络钓鱼程序(phishing)，多以欺骗用户信用卡号、银行账号、股票信息等获取经济利益为目的。防止基本的网站欺骗的最好办法是使用站点服务器认证。由于服务器认证是服务器向客户提供的一个有效证书，它能证明谁是谁，可以把证书看作服务器的一张身份证。服务器认证不容易被欺骗而且提供了较高级别的保护，确保正在连接的站点是真正属于用户所期待的站点。2)中间人攻击攻击者找到一个位置，使进出受害方的所有流量都经过他。攻击者通过某种方法把目标机器的域名对应的IP 更改为攻击者所控制的机器，这样所有外界对目标机器的请求将涌向攻击者的机器，这时攻击者可以转发所有的请求到目标机器，让目标机器进行处理，再把处理结果发回到发出请求的客户机。实际上，中间人攻击是把攻击者的机器设成目标机器的代理服务器，收集大量的信息。3)URL 重写U R L 重写是指修改(或重写)W eb 内容中的URL，比如指向与原始URL 不同位置的结果URL。在 URL 重写中，攻击者通过改写URL 能够把网络流量转到攻击者控制的另一个站点上，因而所有信息便处于攻击者的监视之中。3.1.4 ARP 欺骗A R P 欺骗是一种典型的中间人攻击方法，如图 3 所示。正常情况下，当A 与 B 需要通信时，A发送 ARPRequest询问 B 的 MAC地址，B发送ARPReply告诉 A 自己的 MAC 地址。图 3 ARP 欺骗ARP 欺骗是 Hacker发送伪装的ARPReply告诉 A，计算机B 的 MAC地址是 Hacker计算机的MAC 地址。Hacker发送伪装的ARPReply告诉 B，计算机 A 的 MAC地址是 Hacker计算机的MAC地址。这样A 与 B 之间的通信都将先经过Hacker，然后由 Hacker进行转发。于是Hacker可以捕获名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页，共 4 页 -2 0 1 1.0 872学 术.技 术到所有 A 与 B 之间的数据传输(如用户名和密码)。针对 A R P 欺骗攻击的防范措施，安装入侵检测系统，检测ARP欺骗攻击，MAC地址与 IP 地址绑定。3.2 扫描器扫描器(Scanner)是一种自动检测远程或本地主机安全性弱点的程序。扫描器通过发送特定的网络数据包，记录目标主机的应答消息，从而可以收集关于目标主机的各种信息或者测试主机的性能。扫描器也是一把双刃剑，可以作为安全管理人员检查、测试主机和网络安全性的工具，帮助管理员发现问题，防患于未然。另一方面，有恶意目的的人员利用扫描器收集主机和网络的信息，发掘其中的脆弱点，为攻击做准备。3.2.1 网络诊断命令对目标系统进行扫描可以手动进行，也可以使用扫描工具自动进行。在手动进行扫描时，需要熟悉各种网络命令，并对命令执行后的输出进行分析。用扫描工具进行扫描时，工具本身一般都提供数据分析的功能。(1)pi n g 命令。P i n g 命令经常用来对T C P IP 网络进行诊断。通过向目标计算机发送一个ICMPechorequest数据包，目标计算机收到后发送ICMPechoreply数据包，如果能够收到reply数据包，就说明网络能够连通。通过p i ng 命令，不仅可以判断目标计算机是否正在运行，还可以了解网络的大致延时。3.2.2 端口扫描端口是传输层的TCP和 UDP 协议与上层应用程序之间的接口点。攻击者可以利用每一个端口作为入侵系统的通道。端口扫描就是通过向目标主机的指定端口发送数据包，根据目标端口的反应确定哪些端口是开放的。此外，还可以根据端口返回的旗标(banners)信息进一步判断端口上运行的服务类型，以及对应软件版本甚至操作系统类型。3.2.3 脆弱性扫描脆弱性扫描是检测远程或本地主机系统脆弱性的技术，它通过获取主机信息或者与主机的T C P I P 端口建立连接并请求服务，记录目标主机的应答，从而发现主机或网络内在的安全弱点。由于它把繁琐的安全检测过程通过程序自动完成，不仅减轻了管理者的工作，还缩短了检测时问，因而成为网络管理的重要手段和工具。3.2.4 扫描的防范攻击者对潜在的目标进行扫描一般是攻击的前奏。扫描能获取系统信息，发掘系统存在的脆弱性。为了降低被攻击的风险，应该从以下几方面对扫描进行防范。(1)修正系统和网络，使其暴露尽可能少的信息。例如，修改系统和服务器的旗标信息，许多服务软件都提供了这个功能，可以定制系统和服务器返回给客户端的提示信息。(2)修正系统或者网络，减少其脆弱性，比如关闭不必要的网络服务，给系统和软件及时打补丁等。(3)入侵检测系统一般能发现正在进行的扫描，所以应该安装网络入侵检测系统或主机入侵检测系统，对于发现的扫描行为，要及时处理，避免攻击者的进一步行动。(4)扫描器也是安全管理的助手，作为网络管理员和主机用户，应该时常对自己管理的网络和系统进行扫描，提前发现问题，防患于未然。参考文献：1 张友纯.计算机网络安全M.武汉：华中科技大学出版社，2006.2 宁 彬.陷 阱 网 络 系 统 的 应 用 研 究 J.通 信 技 术，2008,41(02):86-89.3 孙洪峰.联动式入侵检测与防御系统的构建J.通信技术，2008,41(08):48-51.4 袁德月，乔月圆.计算机网络安全M.电子工业出版社，2007.5 梅云红.计算机网络安全隐患与防范策略的探讨J.计算机与信息技术,2007(9).作者简介：高永仁(1955-)，男，副教授，主要研究方向：计算机系统结构，网络信息安全。收稿日期：2011-05-30名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 4 页 -