网络攻击与安全防御的分析论文Word文档格式.docx

网络攻击与安全防御的分析论文Word文档格式.docx

《网络攻击与安全防御的分析论文Word文档格式.docx》由会员分享，可在线阅读，更多相关《网络攻击与安全防御的分析论文Word文档格式.docx（12页珍藏版）》请在冰豆网上搜索。

网络攻击；

网络安全；

防御

analysisofnetworkattackandnetworkdefense

Abstract

Intheinformationage，networkhasbecomeimportantandindispensableforsocial。

innetworkdevelopmentanditsextensiveuse,theproblemsofnetworksecurityareincreasinglyserious,ofwhichnetworkattackbecomesathreattonet-worksecuritythatcannotbeignored.Thispaperhasanalyzedmethodsandcharacteristicsofthenetworkattackandputforwardsomedefensestrategiesofstrengtheningnetworksecurity.

Keywords：

networksecurity；

networkattack;

defense

目　　录

网络攻击与安全防御的分析

前言

随着计算机网络技术的飞速发展，计算机网络已涉及到国家、军事、金融、科技、教育等各个领域，成为社会发展的重要保证。

但是网络的开放性和共享性，使网络受到外来的攻击，这样给网络造成的严重攻击会使正常的数据被窃取，服务器不能正常提供服务等等，人们采取一些有效的措施和手段来防止网络遭受破坏，例如防火墙和一些网络技术手段等，传统的信息安全技术,主要是在阻挡攻击（防火墙）或及时侦测攻击。

一旦攻击者绕过防火墙随意访问内部服务器时，防火墙就无法提供进一步的防护。

及时侦测攻击只有在攻击开始时才会提供信息，但这却无法为你争取足够的时间以保护所有易被攻击的系统.无法判断出新的攻击是否成功，或被攻系统是否成为跳板。

所以一个成功的防御措施，应是既可以拖延攻击者，又能为防御者提供足够的信息来了解敌人,避免攻击造成的损失。

灵活的使用网络攻击转移防护技术，就可以达到上述目标。

设计好的牢笼系统中,拖延并控制住攻击者,进而保护真正的服务器并研究黑客为防御者提供攻击者手法和动机的相关信息。

第一章网络攻击概述

1.1网络攻击概述

1。

1网络攻击

网络攻击也称为网络入侵，网络攻击带来的危害就像一颗核武器爆炸带来的伤害，企图危及到网络资源的安全性和完整性的行为，破坏系统的安全措施以达到非法访问信息,改变系统的行为和破坏系统的可用性的目的。

网络攻击主要是通过信息收集、分析、整理后发现目标系统漏洞与弱点,有针对性地对目标系统（服务器、网络设备与安全设备）进行资源入侵与破坏,机密信息窃取、监视与控制的活动.主要有以下几点：

（1）外部渗透是指未被授权使用计算机又未被使用数据或程序资源的透.

（2）内部渗透是指虽被授权使用计算机但未被使用数据或程序资源的渗透.

（3）不法使用是指利用授权使用计算机数据和程序资源合法用户身份的渗透。

网络攻击策略与攻击过程:

攻击者的攻击策略可以概括信息收集、分析系统的安全弱点、模拟攻击、实施攻击、改变日志、清除痕迹等，信息收集目的在于获悉目标系统提供的网络服务及存在的系统缺陷,攻击者往往采用网络扫描、网络口令攻击等。

在收集到攻击目标的有关网络信息之后，攻击者探测网络上每台主机，以寻求该系统安全漏洞.根据获取信息,建立模拟环境,对其攻击,并测试可能的反应，然后对目标系统实施攻击。

猜测程序可对截获用户账号和口令进行破译；

破译程序可对截获的系统密码文件进行破译；

对网络和系统本身漏洞可实施电子引诱（如木马）等。

大多数攻击利用了系统本身的漏洞，在获得一定的权限后,以该系统为跳板展开对整个网络的攻击。

同时攻击者都试图毁掉攻击入侵的痕迹.在目标系统新建安全漏洞或后门，以便在攻击点被发现之后，继续控制该系统.

1.2网络攻击的步骤

在网络更新的时代,网络中的安全漏洞无处不在，网络攻击正是利用对安全的漏洞和安全缺陷对系统和资源进行攻击。

主要有以下步骤:

（1）隐藏自己的位置

普通的攻击者通常会用他人的电脑隐藏他们真实的IP地址,老练的攻击者会用电话的无人转接服务连接ISP然后盗用他人的账号上网。

（2）寻找目标主机并分析目标主机

攻击者主要利用域名和IP地址可以找到目标主机的位置，但是必须将主机的操作系统类型和提供的服务等资料做了全面的了解。

知道系统的哪个版本,有哪些账户www，ftp等服务程序是哪个版本，并做好入侵的准备。

（3）获得账号和密码并登陆主机

攻击者如果想要用户的资料必须要有用户的账号和密码，对用户的账号进行破解从中获得账号和口令,再寻找合适的机会进入主机。

利用某些工具或者系统的登陆主机也是一种方法.

（4）获得控制权

网络攻击者登陆并获得控制权后，清除记录，删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步。

（5）窃取网络资源和特权

攻击者找到攻击目标后，会继续下一步，例如下载资源信息，窃取账号密码信用卡号等经济盗窃使网络瘫痪。

网络攻击的原理：

网络入侵总是利用系统存在的缺陷，这些缺陷可能是网络的不合理规划造成的，也可能是系统的开发所留下的BUD，还有是人为的安全疏忽所造成的系统口令丢失，明文通信信息被监听等。

主要有网络协议的缺陷如ARP协议、TCP/IP协议、UDP协议、ICMP协议等.系统或者软件设计中的漏洞，人为的失误或者疏忽.

1.2网络防御技术的概述

在网络防御中,随着网络攻击技术的不断发展,以及难度越来越大，网络防御技术也面临着同样的问题,需要不断提高防御技术。

2。

1网络安全的特性

网络安全的主要因素有保密性、完整性、可用性、可控性、可审查性。

保密性是指信息不泄露给非授权用户、实体和过程或者供其利用的特性.

完整性是指数据XX不能进行改变的特性。

可用性指授权用户使用并按照需求使用的特性。

可控性对信息的传播和内容具有控制能力。

可审查性出现的安全问题时提供依据与手段。

2.2网络安全的分析

1.物理安全分析

网络的物理安全的分析是整个网络安全的前提。

在网络工程中，网络工程属于弱电工程，耐压值低。

在设计过程中必须首先保护人和网络设备不受电，火灾雷电的袭击，考虑布线的问题还要考虑计算机及其他弱电耐压设备的防雷.总的来说物理安全风险有地震、火灾等环境、电源故障、人为操作失误或错误，高可用性的硬件，双机多冗余的设计，机房环境及报警系统、安全意识等，要尽量避免网络物理安全风险.

2.网络结构的安全分析

网络拓扑结构设计也直接影响到网络系统的安全，在外部和内部网络进行通信时，内部网络的机器就会受到安全的威胁，同样也会影响到其他的系统。

通过网络的传播还能影响到其它的网络，我们在做网络设计时有必要公开服务器和外网及其网络进行必要的隔离,避免网络信息的泄漏。

同时还要对外部的服务请求加以过滤，只允许正常的数据包到达相应的主机,其它的服务在到达主机之前就应该遭到拒绝.

3.系统安全的分析

系统安全的分析是指整个网络操作系统和网络平台是否可靠和值得信赖,没有安全的网络操作系统，不同的用户应从不同的方面对其网络做详细的分析。

选择安全性比较高的操作系统并对操作系统进行安全配置，必须加强登陆过程的认证，确保用户的合法性；

其次限制操作用户的登陆权限，将其完成的操作限制在最小的范围内。

2.3网络安全技术手段

物理措施保护网络的关键设备，制定完整的网络安全规章制度。

采取防火、防辐射、安装不间断电源等措施。

访问控制对用户进行网络资源的访问权限进行严格的认证和控制。

例如进行用户身份认证、对口令加密更新和鉴别等.

数据加密加密是数据保护的重要手段,其作用是保障信息被人截获后不能读懂含义，防止计算机网络病毒，安装防止网络病毒系统。

第二章网络攻击的主流技术

1电子欺骗

电子欺骗是通过伪造源于一个可信任地址的数据包以使一台机器认证另一台机器的电子攻击手段.它可分为IP电子欺骗、ARP电子欺骗和DNS电子欺骗三种类型。

1.IP电子欺骗攻击

IP电子欺骗是攻击者攻克工internet防火墙系统最常用的方法,也是许多其他攻击方法的基础.IP欺骗技术就是通过伪造某台主机的IP地址，使得某台主机能够伪装成另外一台主机，而这台主机往往具有某种特权或被另外主机所信任。

对于来自网络外部的欺骗来说,只要配置一下防火墙就可以,但对同一网络内的机器实施攻击则不易防范.

一些基于远程过程调用（RPC）的命令都是采用客户/服务器模式，在一个主机上运行客户程序，在另一个主机上运行服务器模式。

在建立远程连接时，服务程序根据文件进行安全检查，并只根据信源IP地址来确认用户的身份,以确定是否接受用户的RPC请求。

由于RPC连接基于特定端口的TCP连接，而建立TCP连接需要建立三次握手过程,每次建立连接时TCP都要为该连接产生一个初序列号ISN。

如果掌握了TCP初始序列分配方法及随时间的变化规律，很容易实施IP电子欺骗攻击。

假设B是A的所信任的主机,信任是指A的/etc/hosts。

equiv和SHOME/。

文件中注册B的IP地址，如果C企图攻击A，那么必须知道A信任B。

C采用IP欺骗手段攻击的过程:

（1）假设C知道了A信任B的,首先使B的网络暂时瘫痪，以免B干扰攻击。

可以通过TCPSYNflood攻击将B的网络功能暂时瘫痪。

（2）C设法探测A的当前的ISN，可以向端口号25发送TCPSYN报文请求来实现。

端口25是SMTP服务，不做任何检查并计算C到A的RTT平均值，如果了解了A的ISN基值和增加规律（如果每秒增加128000，连续增加64000）也可计算到C到A的RTT平均值,可以立刻转入IP欺骗攻击.

（3）C伪装B向A发送TCPSYN报文请求建立连接，原来的IP为B,TCP的端口为513，A向B回送TCPSYN+ACK进行响应.因为B的网络功能暂时处于瘫痪的状态，无法向A发送TCPSYN+ACK进行响应。

（4）C伪装成B向A发送TCPACK报文，该报文中带有C检测A的序列号ISN+1。

如果序列预测准确，那么这个TCP连接便建立起来了并转入数据传送阶段。

由于这是A和B之间的连接，A向B发送数据时，而不是向C，因此C还需要假冒B向A类似重定向命令来实现通信。

并且执行A的shell,获得root权限。

如果序列号预测不准确,则本次攻击宣告失败。

IP欺骗攻击主要采用了RPC服务器的安全检查依赖于信源IP地址的弱点,但是一旦预测了A的ISN，攻击成功率很大。

过程如图所示：

图1：

IP欺骗攻击原理图

1）使B瘫痪

2）ISN和RTT

3）假冒B建立连接

4）重定向获取数据获得shell和root权限

2.ARP电子欺骗

ARP电子欺骗是一种更改ARPCache的技术.Cache中含有IP与物理地址的映射信息，如果攻击者更改了A即Cache中IP物理地址联编，来自目标的数据包就能发送到攻击的物理地址，因为依据映射信息，目标机己经信任攻击者的机器了。

防止A即欺骗:

把网络安全信任关系建立在IP基础上，而不仅是两者之一；

设置静态IP对应表，让主机刷新你设定好的转换表;

使用代理IP的传输。

3.DNS电子欺骗

当攻击者危害DNS服务器并明确地更改主机名IP地址映射表时，DNS欺骗就会发生.这些改变被写入DNS服务器上的转换表。

因而当一个客户机请求查询时，用户只能得到这个伪造的地址，该地址是一个完全处于攻击者控制下的机器的地址。

因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器，也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。

防范方法是用转化得到的IP地址或域名再次作反向转换验证。

4。

邮件炸弹

电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断地大量的向同一地址发送电子邮件,攻击者能够耗尽接收者网络的带宽，占据邮箱空间，使用户储存空间消耗殆尽，从而阻止用户对正常邮件的接收，妨碍计算机的正常工作。

防止邮件炸弹的方法主要有通过配置路由器,有选择的接受电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息,也可使自己的SMTP连接只能达到指定的服务器，从而免受外界邮件的侵袭.

安全漏洞包括操作系统漏、网络协议漏洞、数据库系统漏洞、应用程序漏洞、硬件漏洞等。

任何的软件都不可能是完美,总是存在一些漏洞，这也是软件不断升级和打补丁的原因之一.漏洞可能造成计算机资料的丢失或计算机不能正常使用。

由于计算机各种漏洞太多，因此，有人用“野火烧不尽，春风吹又生”来形容安全漏洞。

操作人员疏忽例如操作人员的安全意识不强,配置不当，没采取必要的安全防护措施，疏忽大意导致的失误，误操作等。

黑客攻击是计算机网络所面临的最大的威胁。

黑客是一群熟练掌握网络技术，专门对计算机网络搞破坏或入侵的人。

黑客没有国家地域的限制，只要遇到他们感兴趣的东西，他们就会利用各种方法和手段将其黑到手.

2程序攻击

程序攻击就是通过编写一些程序代码，让计算机来执行一系列指令，进而破坏系统的正常运行.

病毒是一些程序，常常修改同一计算机中的另一些程序，将自己复制进其他程序代码中。

一般的复制方法有覆盖型及附着型两种。

当病毒发作时，会使系统产生不正常的动作。

特洛伊木马程序是驻留在目标计算机中的一个程序，在程序中提供了一些符合正常意愿使用的功能，但在其中却隐藏了用户不知道的其他程序代码，当目标计算机启动时，木马程序也启动，然后在某一特定端口监听.一旦条件成熟，这些非法代码就会被激活而执行一些操作，如传送或删除文件，窃取口令，重新启动机器等，使系统不能正常工作。

特洛伊木马程序技术是黑客常用的攻击手段.它通过在你的电脑系统隐藏一个会在windows启动时运行的程序，采用服务器/客户机的运行方式,从而达到在上网是控制你的电脑目的。

特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码.特洛伊木马程序包括两个部分,即实现攻击者目的的指令和在网络中转播的指令.特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的程序中，从而使它们受到感染。

防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。

蠕虫是一种可以在网上不同主机间传播，而不须修改目标主机上其他程序的一类程序.它不一定会破坏任何软件和硬件，蠕虫不断通过计算机网络将自己传送到各处，最后由于不断的扩张使得系统不胜负荷.它还不断地收集包含密码或文件在内的信息，蠕虫严重地消耗系统的资源和带宽。

近几年出现了综合各种网络攻击手段的网络欺骗攻击、分布式拒绝服务攻击和分布式网络病毒攻击.下面是各类网络攻击技术的分类及其新近的发展:

①漏洞类攻击:

针对扫描器发现的网络系统的各种漏洞实施的相应攻击,跟随新发现的漏洞,攻击手段不断地翻新，防不胜防。

由于这些攻击的新颖性，一般而言即使安装了实时人侵检测系统，也很难发现这一类攻击;

②阻塞类攻击:

阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。

DOS是典型的阻塞类攻击，常见的方法有:

泪滴攻击、UDP/TCP洪泛攻击、Land攻击、电子邮件炸弹等多种方式。

为了针对宽带网络技术的发展，目前DOS已发展为更为猛烈的分布式集群攻击;

③病毒类攻击计算机病毒已经由单机病毒发展到网络病毒,由DOS病毒发展到WINIOWS98/NT/2000/XP系统的病毒,现在已经发现UNIX系列的病毒。

电子邮件与蠕虫技术是网上传播病毒的主要方法，最近在红色代码n中病毒技术与后门技术结合是网络攻击手法的新动向;

④探测类攻击:

信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。

特洛伊木马也可以用于这一类目的。

这类攻击主要包括：

扫描技术、体系结构刺探、系统信息服务收集等.目前正在发展更先进的网络无踪迹信息探测技术；

⑤欺骗类攻击：

欺骗类攻击包括IP欺骗和假消息攻击,前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配置或设置一些假信息来实施欺骗攻击，主要包括：

ARP缓存虚构、DNS高速缓存污染、伪造电子邮件等；

⑥控制类攻击:

控制型攻击是一类试图获得对你的机器控制权的攻击，最常见的有3种口令攻击、特洛伊木马攻击和缓冲区溢出攻击.口令截获与破解，仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；

木马技术目前着重研究更新的隐藏技术和秘密信道技术缓冲区溢出是一种常用的攻击技术，早期利用系统软件自身存在的缓冲区溢出的缺陷进行攻击，现在研究制造缓冲区溢出。

第三章网络安全的防御技术分析

3.1网络安全防御的过程分析

一般来讲计算机网络安全防御技术可以分类以下几种：

（1）物理安全技术包括通信保障设备和计算机设备两部分,目的是保护硬件实体和通信线路免受攻击。

（2）运行安全技术主要指基础协议的实现和应用系统两层的安全，包含网络和系统的可用性和资源使用合法性方面的保障，保障运行安全的主要技术和机制有:

防火墙及身份认证技术、网络安全检测与监控等。

（3）信息保护技术主要实现信息和数据在产生、存储、处理、传输的过程中的保密性、完整性和有效性。

保障信息安全识别涉及到加密技术、访问控制与认证技术、数学签名、数据完整性技术等。

其中加密技术是核心。

[1］

网络安全防御是一个动态过程为适应外部环境的飞速发展，网络系统的安全防御必须不断地相应的变化调整才能有效地保证安全防御系统的有效性。

网络安全防御的过程如下：

（1）进行态势分析以评估当前和预计的针对网络的安全威胁以及网络自身各方面存在的脆弱性，预测和评估安全威胁产生的致命性后果带来的影响与损失。

对网络的安全态势有一个清晰、客观和全面的了解。

（2）建立基于安全政策的网络安全目标.这些目标针对要实现的安全（防御和威胁）程度以及实现的日期定量和定性的表述。

（3）基于安全漏洞的普遍性和威胁的不确定性,制定满足安全目标的可供选择方法。

（4）对各种可供选择的防御方法加以分析评估，根据其效能、可行性、效费和风险等指标进行决策,选择安全防御计划的组成要素（风险分析、保护、指示和预警、响应、灾难恢复）.将计划要素综合成一个一致的安全计划。

（5）同时为贯彻防御计划制定一个度量和控制风险的方法，对风险发生的概率以及结果进行量化。

针对每个风险领域制定其消除防范计划。

（6）对所贯彻行动的效果和性能进行全过程监控，并根据出现的偏差进行改进调整。

安全技术策略

网络系统本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使得多种技术组合应用变得非常必要。

攻击者使用的是“最易渗透原则"

，必然在最有利的时间地点,从系统最薄弱的地方进行攻击.因此,全面地对系统的安全漏洞和安全威胁进行分析、评估和检测（包括模拟攻击），从网络的各个层次进行技术防范是设计网络安全防［2］御系统的必要条件。

目前采取的技术主要有：

加密、认证、访问控制、防火墙技术、入侵检测、安全协议、漏洞扫描病毒防治、数据备份和硬件冗余等.

3。

2数据加密技术

数据加密是技术把数据的原始形式明文（通过加密算法和加密密钥变成另一种无意义的数据密文）过程,这个过程是可逆的。

加密算法可以分为对称和不对称加密算法两种，对称加密算法是收发双方所持有的密钥相同,一把密钥既用来加密也用来解密,此种加密技术的优点是数据加解密速度较快，但是密钥自身的秘密分发比较困难,密钥管理复杂，不便于开放的网络环境中应用。

不对称加密算法是收发双方持有不同的密钥，一把用来加密,另一把用来解密,这样就克服了密钥分发的安全问题，能够适应网络的开放性要求，但其缺点是算法复杂,加解密数据速度和效率较低,著名的算法有RSA算法。

在实际应用中，考虑到这两种算法的优缺点，通常用DES或IDEA算法来加密要传输的数据正文，而用RSA算法来加密对称加密算法的密钥，以保证密钥分发的安全。

[3］

数据加密技术在网络安全的应用数据加密是一种主动安全防御策略.它可实现用很小的代价为信息提供相当大的安全防护.在OSI七层结构中，除会话层以外其它各层均可进行一定的加密,但习惯是在高层上进行。

因为在应用层采用软件加密方式其优点是，现在有标准的安全API（即信息安全应用程序模块）产品，比如IBM的CAPI（CryptographicApplicationProgrammingInter-face）、X/Open的GCS—API（GenericCryptographicSer—viceAPI）、Netscape的SSL（SecureSocketsLayer）等，实现方便，兼容性好。

根据加密技术应用的逻辑位置不同可以将加密分为如下几种:

（1）链路加密。

通常将网络层以下的加密称为链路加密.它可以有效的保护通信链路上节点间的数据不被非法窃取，加密过程由置于节点间的加密设备完成。

其缺点是信息在网络交换节点处以明文的形式出现,这是链路加密传输过程中的一个重要的不安全因素.链路加密由网络自动完成,不需用户干预，整个加密和解密过程对用户透明.[4］

（2）节点加密。

节点加密是在链路加密的基础上进行优化改进,它在协议传输层上进行加密，克服了链路加密在网络交换节点处信息易遭非法窃取的缺点。

（3）端到端加密。

端到端加密是在源节点和目的节点中对传送的PUD进行加密和解密,报文的安全性不会因为中间节点的不可靠而受到影响。

3.3防火墙技术

所谓防火墙是指由一个软件和硬件设备组合而成，它实际上是一种隔离技术，处于网络群体计算机与外界通道之间,限制外界用户对于内部网络访问以及管理内部用户访问外界网络的权限。

防火墙作为一种网络监视和过滤器,它监视每一个通过的数据报文和请求。

一方面对可信赖的报文和应用请求允许通过，另一方面对有害的或可疑的报文禁止通过。

同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络.防火墙是网络安全中一种很重要的技术。

为了达到对网络数据传输进行监视的目的,防火墙一般位于局域网和广域网之间或局域网与局域网之间.[5]

通常防火墙的配置策略是：

为查找病毒,扫描所有进入的电子邮件及附件。

防火墙改变这些信息的发送方向，使之在进入内部邮件服务器之前,首先进入到网络防病毒服务器中.防病毒服务器检查所有改变方向后的邮件和附件中的病毒。

假如发现一个被感染的信息，则或者清除病毒,或者将邮件一起删除,并通知管理员。

采用这种方