山东建筑大学网络攻击透视与防范-课程论文

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

计算机网络安全随着计算机网络在人类生活领域中的广泛应用,针对计算机网络的攻击事件也随之增加。网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒不断地通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件已给政府及企业造成了巨大的损失,甚至危害到国家的安全。网络安全已成为世界各国当今共同关注的焦点,网络安全的重要性是不言而喻的。本文首先阐述目前计算机网络中存在的安全问题及计算机网络安全的重要性,接着分析黑客网络攻击常见方法及攻击的一般过程,最后分析针对这些攻击的特点采取的防范措施。计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安安全包括信息的完整性、保密性和可用性。计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源,快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义,认为计算机网络安全是指:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。”由于互联网络的发展,整个世界经济正在迅速地融为一体,而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在迅速普及,整个社会对网络的依赖程度越来越大。众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到Internet上,以充分共享、利用网络的信息和资源。网络已经成为社会和经济发展的强大动力,其地位越来越重要。伴随着网络的发展,也产生了各种各样的问题,其中安全问题尤为突出。了解网络面临的各种威胁,防范和消除这些威胁,实现真正的网络安全已经成了网络发展中最重要的事情。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:⑴信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。⑵在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。⑶网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。⑷随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。目前,我国网络安全问题日益突出,主要标志是:⑴计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。据2001年调查,我国约73%的计算机用户曾感染病毒,2003年上半年升至83%。其中,感染3次以上的用户高达59%,而且病毒的破坏性较大,被病毒破坏全部数据的占14%,破坏部分数据的占57%。⑵电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵入,其中银行、金融和证券机构是黑客攻击的重点。⑶信息基础设施面临网络安全的挑战。面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国《简氏战略报告》和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。近年来,国内与网络有关的各类违法行为以每年30%的速度递增。据某市信息安全管理部门统计,2003年第1季度内,该市共遭受近37万次黑客攻击、2.1万次以上病毒入侵和57次信息系统瘫痪。该市某公司的镜像网站在10月份1个月内,就遭到从外部100多个IP地址发起的恶意攻击。在Internet网上,网络攻击的行为通常有:通过侵入主机后非法获取重要文件,修改系统资料,删除文件,破坏系统;通过发送大量报文或其他方式使网络拥塞,使被攻击的主机ShutDown;通过截取或篡改网络上的报文来欺骗目标主机,获取相关资料;通过传播病毒攻击目标主机。网络上还有一类人,他们能够侵入一个系统,但目的不是破坏,而只是想显示自己的水平,把侵入系统当成是对自己的挑战,这种人通常称为黑客(HACKER)。我们把进行以上攻击行为的人统称为“攻击者”。网络攻击的手段大致可分为以下几类:(1)利用主机上服务器的不正确配置和漏洞进行攻击。(2)利用主机操作系统的某些漏洞进行攻击。(3)利用TCP/IP协议上的某些不安全因素进行攻击。(4)利用病毒进行攻击。(5)其他网络攻击方式。黑客常用的攻击步骤可以说变幻莫测,但纵观其整个攻击过程,还是有一定规律可循的,一般可以分:信息收集,系统安全弱点的探测,建立模拟环境,进行模拟攻击,具体实施网络攻击几个过程。见下图1示:1.信息收集信息收集并不对目标本身造成危害,只是为进一步入侵提供有用的信息。黑客可能会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息:(1)SNMP协议:用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其内部细节。(2)TraceRoute程序:能够用该程序获得到达目标主机所要经过的网络数和路由器数。(3)Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数。(4)DNS服务器:该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名(5)Ping实用程序:可以用来确定一个指定的主机的位置。网络攻击行为主要分系统层面和网络层面。网络层面主要的攻击有DOS类、欺骗、非法侦听、拦截并篡改通信数据、扫描、病毒引起的网络攻击行为、利用网络服务漏洞进行入侵。攻击目的我们知道有两种,一是破坏,二是入侵。一DoS与DDoS攻击原理及其防范拒绝服务(DenialofService,简称DoS)攻击是一种利用TCP/IP协议的弱点和系统存在的漏洞,对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的,对网络服务器发送大量“请求”信息,造成网络或服务器系统不堪重负,致使系统瘫痪而无法提供正常的网络服务。分布式拒绝服务(DistributedDenialofService,简称DDoS)攻击是在拒绝服务攻击的基础上产生的一种分布式、协作式的大规模拒绝服务攻击方式。目前,拒绝服务攻击和分布式拒绝服务攻击已成为一种遍布全球的系统漏洞攻击方法,无数网络用户都受到这种攻击的侵害,造成了巨大的经济损失。因此,了解DoS与DDoS攻击原理及基本的防范方法,对所有网络用户特别是网络管理人员有着重要的意义。1DoS攻击原理及方式DoS攻击的方式主要是利用合理的服务请求,来占用过多的网络带宽和服务器资源,致使正常的连接请求无法得到响应。常见的DoS攻击方法有:SYNFlood攻击、Land攻击、Smurf攻击、UDP攻击等。下图2为DoS攻击的基本过程。(1)SYNFlood攻击SYNFlood攻击是一种最常见的DoS攻击手段,它利用TCP/IP连接的“三次握手”过程,通过虚假IP,源地址发送大量SYN数据包,请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后,等待对方连接,虚假的IP源地址将不给予响应。这样,连接请求将一直保存在系统缓存中直到超时。如果系统资源被大量此类未完成的连接占用,系统性能自然会下降。后续正常的TCP连接请求也会因等待队列填满而被丢弃,造成服务器拒绝服务的现象。SynFlood原理-三次握手,SynFlood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是SynFlood存在的基础。图三如图三,在第一步中,客户端向服务端提出连接请求。这时TCPSYN标志置位。客户端告诉服务端序列号区域合法,需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后,在第二步以自己的ISN回应(SYN标志置位),同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中,客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接,开始全双工模式的数据传输过程,而SynFlood攻击者不会完成三次握手。图四SynFlood恶意地不完成三次握手假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYNTimeout,一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的CPU时间和内存,何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大,最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称做:服务器端受到了SYNFlood攻击(SYN洪水攻击)。(2)Land攻击Land攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包,造成目标主机解析Land包时占用大量系统资源,从而使网络功能完全瘫痪的攻击手段。其方法是将一个特别设计的SYN包中的源地址和目标地址都设置成某个被攻击服务器的地址,这样服务器接收到该数据包后会向自己发送一个SYN—ACK回应包,SYN—ACK又引起一个发送给自己的ACK包,并创建一个空连接。每个这样的空连接到将暂存在服务器中,当队列足够长时,正常的连接请求将被丢弃,造成服务器拒绝服务的现象。(3)Smurf攻击Smurf攻击是一种放大效果的ICMP攻击方式,其方法是攻击者伪装成被攻击者向某个网络上的广播设备发送请求,该广播设备会将这个请求转发到该网络的其他广播设备,导致这些设备都向被攻击者发出回应,从而达到以较小代价引发大量攻击的目的。例如,攻击者冒充被攻击者的IP使用PING来对一个C类网络的广播地址发送ICMP包,该网络上的254台主机就会对被攻击者的IP发送ICMP回应包,这样攻击者的攻击行为就被放大了254倍。(4)UDP攻击UDP攻击是指通过发送UDP数据包来发动攻击的方式。在UDPFlood攻击中,攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包,从而使被攻击者不能提供正常的服务,甚至造成系统资源耗尽、系统死机。由于UDP协议是一种无连接的服务,只

1 / 24
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功