网络攻击与防范技术研究定稿大学论文.docx
- 文档编号:25563997
- 上传时间:2023-06-09
- 格式:DOCX
- 页数:53
- 大小:125.21KB
网络攻击与防范技术研究定稿大学论文.docx
《网络攻击与防范技术研究定稿大学论文.docx》由会员分享,可在线阅读,更多相关《网络攻击与防范技术研究定稿大学论文.docx(53页珍藏版)》请在冰豆网上搜索。
网络攻击与防范技术研究定稿大学论文
江西师范大学本科毕业论文
网络攻击与防范技术研究
姓名:
学院:
专业:
计算机科学与技术
学号:
0608069004
完成时间:
2010.4.
指导教师:
声明
本人郑重声明:
所呈交的学位论文,是本人在指导教师指导下,独立进行研究工作所取得的成果。
除文中已经注明引用的内容外,本论文不含任何其他个人或集体已经发表或撰写过的作品或成果。
对本文的研究做出重要贡献的个人和集体,均已在文中以明确的方式标明。
本声明的法律结果由本人承担。
本毕业设计(论文)成果是本人在江西师范大学科学技术学院读书期间在指导教师指导下取得的,成果归江西师范大学科学技术学院所有。
特此声明。
声明人(毕业设计(论文)作者)学号:
声明人(毕业设计(论文)作者)签名:
目录
摘 要5
关键字5
Abstract6
Keywords6
1 引言7
1.1 网络安全的定义7
1.2 计算机网络安全的内容7
1.3网络攻击的目的8
2网络攻击的一般步骤9
2.1 攻击的准备阶段9
2.2 攻击的实施阶段10
2.3攻击的善后工作11
3 网络攻击常见的方法及措施13
3.1获取口令13
3.1.1获取口令的方法13
3.1.2防御获取口令的措施13
3.2 特洛伊木马程序14
3.2.1特洛伊木马程序简介14
3.2.2特洛伊木马服务端程序的植入方法14
3.2.3特洛伊木马程序的检测15
3.2.4特洛伊木马程序的清除16
3.2.5特洛伊木马程序的预防17
3.3网络监听17
3.3.1网络监听原理18
3.3.2网络监听的防范方法18
3.3.3检测网络监听的手段19
3.4 缓冲区溢出攻击20
3.4.1 攻击缓冲区溢出简介20
3.4.2缓冲区溢出攻击防范21
3.5拒绝服务攻击22
3.5.1DoS攻击的基本过程22
3.5.2分布式拒绝服务22
3.5.3拒绝服务攻击的防御23
3.6网络扫描与嗅探24
3.6.1网络扫描的原理及方法24
3.6.2隐蔽扫描及其对策25
3.6.3基于ICMP的网络扫描及其在操作系统之别中的应用29
3.6.4网络嗅探30
3.6.5欺骗攻击31
4入侵检测36
4.1入侵检测系统36
4.1.1入侵检测系统的主要功能36
4.1.2入侵检测系统的分类36
4.1.3入侵检测产品的选购原则37
4.1.4网络安全扫描技术37
5网络攻击的处理策略46
5.1发现入侵者46
5.2发现入侵后的对策46
5.2.1估计形势46
5.2.2采取措施47
结语48
致谢49
参考文献50
摘 要
随着全球科学技术的迅猛发展和信息技术的广泛应用,信息网络系统的安全性问题已经成为全社会关注的焦点,并且已成为涉及国家政治、军事、经济和文教等诸多领域的重要课题。
网络攻击越来越猖獗,对网络安全造成了很大的威胁。
本文主要讲述了进行网络攻击的目的、常用攻击方法、常用工具、入侵检测、安全扫描以及出现网络攻击的处理策略,并介绍了网络攻击中常用的网络监听和扫描器。
关键字
网络攻击 攻击方法处理策略
Abstract
Withtherapiddevelopmentofglobalscienceandtechnologyandinformationtechnology,wideapplicationofinformationnetworksecurityissueshavebecomethefocusofattentionofthecommunity,andhasbecameinvolvedstatepolitical,military,economic,andculturalandeducationalfields,andmanyotherimportantissues.Moreandmorerampantattacksonnetworksecurityposedagreatthreat.Thispaperdescribesthepurposeofnetworkattacks,commonattackmethods,commonlyusedtools,intrusiondetection,securityscanningandtheemergenceofthetreatmentstrategyofnetworkattacks,networkattacksanddescribesthecommonlyusednetworkmonitoringandscanner.
Keywords
Networkattack、Attacks、processpolicy
1 引言
计算机的广泛应用把人类带入了一个全新的时代,尤其是网络应用的迅速普及,正在以惊人的速度渗透到各个领域。
在为全球信息的交换与获取提供了最便捷的手段的同时,也使信息安全受到严重威胁。
所以,在计算机网络系统飞速发展的今天,我们要更加重视计算机网络安全。
1.1 网络安全的定义
国际标准化组织将“计算机安全”定义为:
“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。
计算机网络安全可以理解为计算机安全在网络环境下的扩展,即网络安全是对网络信息保密性、完整性和可用性的保护。
网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
1.2 计算机网络安全的内容
计算机网络系统安全主要包括三个方面的内容:
安全性、保密性、完整性。
从系统安全的内容出发,计算机网络系统中安全机制基本的任务是访问控制:
即授权、确定访问权限、实施访问权限、计算机网络审计跟踪。
1.计算机网络系统的安全性。
它主要是指内部与外部安全。
内部安全是在系统的软件、硬件及周围的设施中实现的。
外部安全主要是人事安全,是对某人参与计算机网络系统工作和这位工作人员接触到的敏感信息是否值得信赖的一种审查过程。
2.计算机网络系统保密性。
加密是对传输过程中的数据进行保护的重要方法,又是对存储在各种媒体上的数据加以保护的一种有效的手段。
系统安全是我们的最终目标,而加密是实现这一目标的有效的手段。
3.计算机网络系统的完整性。
完整性技术是保护计算机网络系统内软件(程序)与数据不被非法删改的一种技术手段,它可分为数据完整性和软件完整性。
4.计算机网络安全访问控制。
(1)授权:
决定哪个主体有资格访问哪个客体。
(2)确定访问权限:
决定是否有权读、写、运行、删除以及附着。
(3)实施访问权限:
在一个计算机网络系统中,访问控制权指本系统内主体对客体的访问控制,不涉及访问本系统。
5.计算机网络审计跟踪。
在一个计算机网络系统中,审计跟踪对使用何种系统资源、使用时间、如何使用以及由哪个用户使用等问题提供了一个完备的纪录,以备非法事件发生后能够有效追查。
它是在用户进人系统进行各种操作时自动进行的。
1.3网络攻击的目的
网络攻击总是有一定目的的。
了解网络攻击的目的,可以使用户在实际应用中有针对性的加强防御措施。
使用互联网的用户越来越多,对网络进行攻击的人也逐渐增多,攻击者的生活、经历和工作环境不同,存在着各种各样的攻击目的。
攻击目的主要有:
(1)只是为了显示一下自己的能力。
(2)仅仅是恶作剧或戏弄别人。
(3)获取所需资料,包括科技情报、个人资料、金融账户、技术成果和系统信息等。
(4)破坏网络正常的服务,使网络或服务瘫痪。
(5)出于不良目的窃取军事和商业情报。
(6)篡改有关数据以达到非法目的。
(7)蓄意制造混乱。
(8)打击报复。
不论出于何种目的,对网络的攻击都会使网络的正常工作受到破坏,甚至使网络或服务瘫痪,在经济、信誉等方面造成不同程度的损失。
2网络攻击的一般步骤
一般完整的攻击过程都是先隐藏自身,在隐藏好自己后再进行预攻击探测,检测目标机器的各种属性和具备的被攻击条件,然后采取相应的攻击方法进行破坏,达到自己的目的,最后攻击者会删除自己的行为日志
2.1 攻击的准备阶段
1.确定攻击的目的
攻击者在进行攻击之前首先要确定攻击要达到什么样的目的,造成什么样的后果。
常见的攻击有破坏型和入侵型两种。
破坏型攻击指的只是破坏攻击目标,使其不能正常工作,而不控制目标系统的运行,破坏型攻击的主要的手段是拒绝服务攻击(DenialofService)。
而入侵型攻击一般要获得一定的权限以控制攻击目标。
这种攻击比破坏型攻击更为普遍,威胁性更大。
一旦获取攻击目标的管理员权限就可以对攻击目标做任意动作,包括破坏性的攻击。
入侵攻击目标一般是利用系统的漏洞、密码泄露等进行的网络攻击。
2.信息收集
攻击前的最主要工作就是收集尽量多的关于攻击目标的信息。
主要包括目标的操作系统类型及版本,提供的服务,各服务器程序的类型与版本以及相关的社会信息。
进行信息收集可以用手工进行,也可以利用工具来完成,完成信息收集的工具叫做扫描器。
用扫描器收集信息的优点是速度快,可以一次对多个目标进行扫描。
(1)收集操作系统信息
要攻击一台机器,首先要确定它上面运行的操作系统和版本,不同的操作系统和版本,其上的系统漏洞有很大区别,攻击的方法可能完全不同。
确定一台服务器的操作系统一般是靠经验,有些服务器的某些服务显示信息会泄露其操作系统。
如通过telnet命令连上一台机器时,显示下面信息:
c:
\>telnet192.168.254.65
RedHatLinuxrelease7.1(Seawolf)
Kernel2.4.2-2onani686
login:
根据显示的信息和经验判断运行的操作系统为RedHatLinux7.1。
还有一种方法是查询DNS的主机信息,看登记域名时的申请机器类型和操作系统类型,以及利用某些主机开放的SNMP的公共组来查询。
这种方法不是很可靠。
另外一种相对比较准确的方法是利用不同操作系统在网络底层协议的实现细节上的不同来确定操作系统。
由于每种操作系统在传输的数据包中总是使用一些具有特性的标志,因此可以通过远程向目标发送特殊的数据包,然后通过返回的数据包来确定操作系统类型。
(2)收集提供的服务信息
收集攻击目标提供哪些服务及服务的类型、使用的软件和版本也非常重要。
因为已知的漏洞一般都是针对某一服务,确定这些信息有助于利用系统漏洞攻破网站,如通过telnet命令连上一台服务器的Web服务的端口时,显示如下信息:
c:
\>telnet192.168.1.180
HTTP/1.1400BadRequest
Server:
Microsoft-IIS/5.0
Date:
Sun,23Nov200319:
28:
15GMT
Content-Type:
text/html
Content-Length:
87
Connectionclosedbyforeignhost.
根据显示的信息和经验判断运行的Web服务为Microsoft-IIS5.0。
(3)收集社会信息
收集与网络系统本身没有关系的社会信息,如网站所属公司的名称、规模、电话号码等。
这些信息看起来与网站没有关系,实际上很多黑客都是利用了这类信息攻破网站的。
如有些用户用自己的电话号码做系统密码,如果掌握了该电话号码,那么就等于掌握了管理员权限。
从网络安全角度出发,网站管理员应该更改一些显示信息,造成一些假象迷惑攻击者,以保护网络的安全。
2.2 攻击的实施阶段
(1)获得权限
收集到足够的信息之后,攻击者就要开始实施攻击行动了。
对于破坏性攻击,只需利用工具发动攻击即可。
而作为入侵性攻击,要利用收集到的信息,找到其系统漏洞,然后利用该漏洞获取一定的权限。
能够被攻击者利用的漏洞包括系统软件的安全漏洞,也包括由于管理配置不当而造成的漏洞。
大多数攻击还是利用了系统软件本身的漏洞。
(2)权限的扩大
系统漏洞分为远程漏洞和本地漏洞两种,远程漏洞是指可以在别的机器上直接利用该漏洞进行攻击并获取一定的权限。
这种漏洞的威胁性很大,攻击一般都是从远程漏洞开始的。
但是利用远程漏洞往往只是获取一个普通用户的权限,要想获取更大的权限就需要配合本地漏洞来把获得的权限扩大,最终常常是获得系统管理员权限。
往往只有获得管理员权限,才能完成对网络攻击的目的,如网络监听、打扫痕迹等。
要完成权限的扩大,还可以放一些木马之类的欺骗程序在本地来套取管理员密码。
无论攻击者还是网络管理员,都需要掌握尽量多的系统漏洞。
管理员根据不同的漏洞来进行不同的防御措施,黑客则用它来完成攻击。
2.3攻击的善后工作
(1)日志系统简介
所有的网络操作系统都提供日志记录功能,会把系统上发生的动作记录下来。
为了自身的隐蔽性,攻击者一般都会抹掉自己在日志中留下的痕迹。
如果攻击者完成攻击后不做任何善后工作,那么他的行踪将会很快被发现。
不同的操作系统日志文件及其存放会有所不同。
(2)隐藏踪迹
攻击者在获得系统最高管理员权限之后一般可以修改系统上的文件,包括日志文件,攻击者想要隐藏自己的踪迹的话,必须对日志进行修改。
最简单的方法是删除日志文件,这样做虽然避免了系统管理员追踪到自己,但同时也告诉了管理员系统已经被入侵。
所以通常只对日志文件中有关攻击的那一部分做修改。
即使自认为修改了所有的日志,但仍然会留下一些痕迹的。
如安装了某些后门程序,运行后也可能被管理员发现。
有的攻击者会通过替换一些系统程序的方法来进一步隐藏踪迹。
管理员应该采取一定的措施来避免日志系统被修改,如用打印机实时记录网络日志信息或把所有日志文件发送到一台比较安全的主机上。
但这样做也不能完全保证日志不被修改。
如攻击者不停地向日志里写入无用的信息,使得打印机不停地打印日志,直到纸用光为止,或者攻击存放日志的计算机。
攻击者清除攻击痕迹的方法主要是清除系统和服务日志。
有些攻击可以清除日志,如THC提供的cleara.c。
cleara.c可以清除utmp/utmpx,wtmp/wtmpx,修复lastlog让其仍然显示该用户的上次登录信息。
有时攻击者会自己对日志进行修改,不同的UNIX版本的日志存储位置不同。
(3)后门
一般攻击者都会在攻入系统后不只一次地进入该系统。
为了下次再进入系统时方便,黑客会留下一个后门,如特洛伊木马程序,它能与系统同时运行,而且能在系统重新启动时自动运行这个程序。
3 网络攻击常见的方法及措施
3.1获取口令
人们一想到网络安全,首先就会想到口令,事实上口令是保护网络安全的一个重要措施,口令被窃取特别是管理员的口令被窃取,会使网络安全受到非常大的威胁。
网络攻击者往往会通过获取网络系统上的用户名和密码的方法达到攻击的目的。
3.1.1获取口令的方法
获取口令的方法一般有以下四种:
(1)在被攻击主机上启动一个可执行程序,该程序可能是显示一个伪造的登录界面。
当需要用户输入用户名和口令时,伪装的登录界面先启动,用户在这个登录界面上键入登录信息后,程序将用户输入的信息传送到攻击者主机,然后关闭界面给出出错提示信息(如“密码错误”、“系统故障”等),要求用户重新登录。
重新出现的登录界面才是真正的登录界面。
该程序也可能是一个记录输入的用户名和口令的软件,当用户在登录界面输入用户名和口令时,将被记录在一个文件中或者通过邮件发送给攻击者。
(2)通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的用户账号和口令,对局域网安全威胁很大。
该方法需要使用网络监听软件分析网络上传输的数据包,从中可以得到用户名和口令。
(3)在知道用户的账号后(如电子邮件地址@前面的部分),利用一些专门软件强行在线破解用户口令,这种方法不受网段限制,但要有足够的耐心和时间。
(4)获得服务器上的用户口令文件(如Windows2000下的sam文件、UNIX下的shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令文件。
此方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与口令文件中的口令相比较就能非常容易地破获用户密码,尤其对那些口令安全系数低的用户(如某用户账号为abc,其口令就是abc123、12345等),更是在短短的一两分钟内,甚至几十秒内就可以破解密码。
3.1.2防御获取口令的措施
用户口令是保护网络安全的一个主要措施,保证用户口令不被获取在网络安全方面非常重要。
防御获取口令的措施主要有以下三种。
(1)防止特洛伊木马程序的入侵。
(2)防止网络被监听。
(3)制定口令管理策略。
大多数机构都有自己的口令管理策略。
3.2 特洛伊木马程序
特洛伊木马程序是威胁网络安全的一种危险程序。
特洛伊木马程序在今天的网络上可谓无所不在,一旦特洛伊木马程序侵入计算机系统,网络的安全和个人隐私将受到严重的威胁。
3.2.1特洛伊木马程序简介
特洛伊木马程序是一个包含在一个合法程序中的非法的程序。
该非法程序被用户在不知情的情况下执行。
特洛伊木马程序隐藏在计算机系统中,在操作系统启动时自动运行,它采用客户机/服务器的运行方式,服务器运行在被攻击的计算机上,客户机运行在攻击者的计算机上。
当被攻击者上网时,特洛伊木马程序的服务端就会通过预先设定的端口或电子邮件通知攻击者,报告被攻击者的IP地址、预先设定的端口、获取的口令等信息。
攻击者收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改被攻击者计算机的参数设定、复制文件、修改注册表、窥视硬盘中的内容,攻击者甚至可以格式化硬盘、获取信用卡号及密码等,从而达到控制计算机的目的。
现在流行的很多病毒也都带有特洛伊木马程序性质。
3.2.2特洛伊木马服务端程序的植入方法
攻击者要通过木马进行网络攻击,第一步是要把木马的服务器端程序植入到被攻击者的计算机系统里,然后通过一定的提示故意误导被攻击者打开执行文件。
常见的植入方法有以下四种:
(1)通过软件下载植入
木马执行文件非常小,大都是几KB到几十KB,如果把木马捆绑到其他正常文件上,用户很难发现,有的网站提供下载的软件可能捆绑了木马文件,在用户执行这些下载的文件时,也同时运行了木马程序。
(2)通过网页脚本植入
木马可以通过Script、ActiveX及ASP、CGI交互脚本的方式植入,由于浏览器在执行脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者电脑进行文件操作等控制。
如果攻击者有办法把木马执行文件上传到攻击主机的一个可执行WWW目录夹里面,就可以通过编制CGI程序在被攻击主机上执行木马程序。
(3)通过电子邮件植入
比如在用户电子邮箱中收到故意谎称是网络管理员发来的某应用系统的升级文件,可能用户打开这个文件后,木马已经悄悄在后台运行了。
(4)通过系统的一些漏洞植入
如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序就可以使IIS服务器崩溃,并且同时在被攻击服务器执行远程木马文件。
木马在被植入被攻击的主机后,它一般会通过发送电子邮件、发送UDP或者ICMP数据包的方式把入侵主机的信息,如主机的IP地址、木马植入的端口等发送给攻击者,这样攻击者有这些信息才能够与木马里应外合控制被攻击的主机。
3.2.3特洛伊木马程序的检测
在使用计算机的过程中可能遇到莫名其妙地死机或重启、计算机反应速度变慢、硬盘在不停地读写、鼠标不听使唤、键盘无效、窗口被莫名其妙地关闭和打开、网络传输指示灯一直在闪烁等不正常现象,有可能受到特洛伊木马程序的攻击。
检测特洛伊木马程序常用以下方法:
(1)通过网络连接检测
扫描端口是检测木马的常用方法。
在不打开任何网络软件的前提下,接入互联网的计算机打开的只有139端口。
因此,可以关闭所有网络软件,然后用端口扫描软件对电脑端口进行扫描,如果发现除139端口之外的端口被打开,就有可能存在特洛伊木马程序。
也可以利用Windows自带的Netstat命令来查看。
一般情况下,如果没有进行任何上网操作,在MS-DOS窗口中用Netstat命令将看不到什么信息,此时可以使用“netstat-a”命令格式。
如果出现不明端口处于监听状态,而目前又没有进行任何网络服务的操作,那么监听该端口的很可能是木马。
(2)通过进程检测
在Win2000/XP中按下“CTL+ALT+DEL”,进入任务管理器,就可看到系统正在运行的全部进程,清查时即可发现是否有木马程序。
在Windows98/2000/XP中,单击任务栏【开始】/【运行】,在对话框中输入msinfo32后,单即【确定】按钮,出现系统信息窗口。
展开【软件环境】项,单击【正在运行任务】项,出现相应的窗口。
窗口中显示的是Windows现在全部运行的任务。
如果有的项目有程序名和路径,而没有版本、厂商和说明时就应小心清查了。
(3)通过软件检测
用户运行杀毒软件、放火墙软件和专用木马查杀软件等都可以检测系统中是否存在已知的木马程序。
3.2.4特洛伊木马程序的清除
以通过手工和软件的方式清除特洛伊木马程序,但一般情况下木马程序不容易被发现,手工清除比较困难,软件清除比较简单,但是软件清除对于一些新出现的木马程序无能为力。
1手工清除
(1)如果发现有“木马”存在,马上将计算机与网络断开,防止黑客通过网络进行攻击。
(2)编辑win.ini文件,将该文件中的[WINDOWS]下面的“run=‘木马’程序名”或“load=‘木马’程序名”更改为“run=”和“load=”。
(3)编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件名”更改为“shell=explorer.exe”。
(4)在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:
有的“木马”程序并不是直接将“HKEY-LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”(如BladeRunner“木马”),如果删除它,“木马”会立即自动加上,需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 攻击 防范 技术研究 定稿 大学 论文