网络攻击常见方法及对策论文网络攻击常见方法及对策论文一一 引言引言 随着互联网的发展，在计算机网络安全领域里，存在一些非法用户利用各 种手段和系统的漏洞攻击计算机网络。网络中的安全漏洞无处不在，即便旧的 安全漏洞补丁，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏 洞和安全缺陷对系统和资源进行攻击，网络攻击是造成网络不安全的主要原因。 单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展。攻 击网络的方法千变万化，也越来越高明。攻击者不仅利用自己的电脑，还能利 用internet中那些安全性较差的电脑，对其他的网络进行攻击。在网络攻击中， 往往是多种攻击方法一起使用。如果使用计算机网络，就避免不了受到攻击。 未来的竞争是信息竞争，而网络信息是竞争的重要组成部分。其实质是人与人 的对抗，它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统 的安全防御能力，必须充分理解系统内核及网络协议的实现，真正做到洞察对 方网络系统的“细枝末节”，同时应该熟知针对各种攻击手段的预防措施，只 有这样才能尽最大可能保证网络的安全。 二二 常见的网络攻击以及防御常见的网络攻击以及防御 网络攻击是指网络攻击者利用目前网络通信协议（TCP/IP 等）自身存在的 或因配置不当而产生的安全漏洞,用户使用的操作系统内在缺陷或者用户使用的 程序本身所具有的安全隐患等,通过使用网络命令,或者从 internet 上下载专用 的软件(例如,SATAN 等网络扫描软件),或者攻击者自己编写的软件,非法进入本 地或远程用户主机系统,获取修改删除用户系统的信息以及在用户系统上增加 垃圾色情或者有害信息等一系列过程的总称. 随着现代科技的发展，世界再没有秘密。黑客攻击早在主机终端时代就已 经出现，随着Internet的发展，黑客则从以系统为主攻击转变到以网络为主的 攻击。网络攻击和网络安全保护是一对矛与盾的关系，我们只有掌握了黑客攻 击的常用手段，才能最终保护网络安全。 网络攻击常见的攻击手段主要有以下几种： （1 1）获取口令）获取口令 获取口令的方式有 3 种方法。 1缺省的登录界面攻击法：在被攻击主机上启动一个可执行程序，该程序显示 一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息（用户名和密 码等）后，程序将用户输入的信息传送到攻击者主机，然后关闭界面给出提示 信息“系统故障” ，要求用户重新登录。此后，才出现真正的登录界面。 2通过网络监听非法得到用户口令：这类方法有一定的局限性，但危害性极大， 监听者往往能够获得其所在网段的所有用户的帐号和口令，对局域网安全威胁 巨大。 3利用软件强行破解用户口令：在知道用户的帐号后（如电子邮件“”前面 的部分） ，利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑 客要有足够的耐性和时间。对安全系数较高的口令破解往往需要很长时间，但 对那些口令安全系数极底的用户只要短短的一两分钟，甚至几十秒就可以将其 破解。我们可以采取以下一些步骤来消除口令漏洞，预防口令攻击。第一步:删除所有没有口令的帐号或为没有口令的用户加上一个口令。特别是 系统内置或是缺省账号。 第二步:制定管理制度，规范增加帐号的操作，及时移走不再使用的帐号。经 常检查确认有没有增加新的帐号，不使用的帐号是否已被删除。当雇员或承包 人离开公司时，或当帐号不再需要时，应有严格的制度保证删除这些帐号。 第三步:加强所有的弱口令，并且设置为不易猜测的口令，为了保证口令的强 壮性，我们可以利用 Unix 系统保证口令强壮性的功能或是采用一些专门的程序 来拒绝任何不符合你安全策略的口令。这样就保证了修改的口令长度和组成使 得破解非常困难。如采用一首诗的部分诗句中第一或第二个字母，加上一些数 字来组成口令，还可以在口令中加入一些特殊符号将使口令更难破解。 第四步:使用口令控制程序，以保证口令经常更改，而且旧口令不可重用。第五步:对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。 (在你这么做之前，先确定你有权利这么做，你是管理员)另一个避免没有口令或弱口令的方法是采用认证手段，例如采用 RSA 认证令 牌。每分钟变一次，相信没有人可以在没有令牌的情况下进入你的 FTP 服务器。（2 2）拒绝服务攻击）拒绝服务攻击 拒绝服务的攻击是指一个用户占据了大量的共享资源，是系统没有剩余的资源 给其他用户可用的攻击。它主要用来攻击域名服务器、路由器以及其他网络服 务，使被攻击者无法提供正常的服务。这是一类危害极大的攻击方式，严重的 可以使一个网络瘫痪。常见的有服务过载、信息流、信号接地。 拒绝服务器攻击的防御： 1 在网络上设立过滤器或侦测器，在信息到达网站服务器之前阻挡信息。防 火墙和路由器是目前阻挡拒绝服务攻击的常用设备，通过设计访问策略，配 置好这些设备的安全规则，过滤掉所有可能的伪造数据包，能够对拒绝服务 攻击起到一定的防范作用。 2 及早发现系统存在的攻击漏洞，及时安装系统补丁程序。建立和完善备份 机制，对一些特权账号（如管理员账号）的密码设置要谨慎。把攻击者的可 乘之机降低到最小。 3 禁止不必要的网络服务，经常检测系统配制信息，并注意查看每天的安全 日志。 4 与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制 并对带宽总量进行限制。 5 当正在遭受DoS攻击时，应当启用应对策略，及时尽可能快地追踪攻击包， 分析受影响的系统，确定涉及的其他节点，阻挡已知攻击节点的流量。 6 发现系统中存在DoS攻击的工具软件要及时清除,以免留下后患。 要彻底杜绝拒绝服务攻击,只有追根溯源去找到正在进行攻击的机器和攻击 者.因为攻击者一旦停止了攻击行为,很难将其发现,只能在其进行攻击的时 候,根据路由器的信息和攻击数据包的特征,采用一级一级回溯的方法来查找 其攻击源头.这就需要各级部门的协同 配合,甚至是不同组织不同国家的合 作才能很好地完成,这几乎是不可能实现的。 （3 3）寻找系统漏洞）寻找系统漏洞 许多系统都有这样那样的安全漏洞，其中某些是操作系统或应用软件本身具有的，如 Sendmail 漏洞， Windows 98 中的共享目录密码验证和 IE5 漏洞等， 这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你不上网。 还有就是有些程序员设计一些功能复杂的程序时，一般采用模块化的程序设计 思想，将整个项目分割为多个功能模块，分别进行设计、调试，这时的后门就 是一个模块的秘密入口。在程序开发阶段，后门便于测试、更改和增强模块功 能。正常情况下，完成设计之后需要去掉各个模块的后门，不过有时由于疏忽 或者其他原因后门没有去掉，一些别有用心的人会利用专门的扫描工具发现并 利用这些后门，然后进入系统并发动攻击。另外，还有一些是管理员错误引起 的，如在网络文件系统中，将目录和文件以可写的方式调出。如缓冲区溢出是一个非常普遍、非常危险的漏洞，在各种操作系统、应用软 件中广泛存在。其原理是，向一个有限的空间的缓冲区拷贝了过长的字符串， 它带来两种后果：一是过长的字符串覆盖了相邻的存储单元，引起程序运行失 败，严重的可引起死机、系统重起等后果；二是利用这种漏洞可以执行任意的 命令，甚至可以取得系统特权。由此引发了许多的攻击方法。缓冲区溢出对系统带来了巨大的危害，要有效地防止这种攻击，应该做到以 下几点： 程序指针完整性检查：在程序指针被引用之前检测它是否改变。即便一个 攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这 个指针将不会被使用。堆栈保护：这是一种提供程序指针完整性检查的编译器技术，通过检查函 数活动纪录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的 字节，而在函数返回时，首先检查这个附加的字节是否被改动过。如果发生过 缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。但是，如果 攻击者预见到这些附加字节的存在，并且能在溢出过程中同样地制造他们，那 么他就能成功地跳过堆栈保护的检测。数组边界检查：所有的对数组的读写操作都应当被检查以确保对数组的操 作在正确的范围内。最直接的方法是检查所有的数组操作，通常可以采用一些 优化的技术来减少检查的次数。目前主要有以下的几种检查方法：Compaq C 编 译器、Jones 删除.rhosts 文件;清空/etc/hosts.equiv 文件。这 将迫使所有用户使用其它远程通信手段，如 telnet、ssh、skey 等等。 进行包过滤 如果您的网络是通过路由器接入 Internet 的，那么可以利用您的路由器来 进行包过滤。确信只有您的内部 LAN 可以使用信任关系，而内部 LAN 上的主机 对于 LAN 以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。 使用加密方法 阻止 IP 欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种 手段并存时，可能加密方法最为适用。 使用随机化的初始序列号 黑客攻击得以成功实现的一个很重要的因素就是，序列号不是随机选择的或 者随机增加的。Bellovin 描述了一种弥补 TCP 不足的方法，就是分割序列号空 间。每一个连接将有自己独立的序列号空间。序列号将仍然按照以前的方式增 加，但是在这些序列号空间中没有明显的关系 可以通过下列公式来说明: ISN =M+F(localhost，localport ，remotehost ，remoteport )M:4 微秒定时器F:加密 HASH 函数 。 F 产生的序列号，对于外部来说是不应该能够被计算出或者被猜测出的。 Bellovin 建议 F 是一个结合连接标识符和特殊矢量(随机数，基于启动时间的 密码)的 HASH 函数 。三三 家庭用户攻击的防御家庭用户攻击的防御3.13.1 ADSLADSL 的用户攻击的防御的用户攻击的防御 目前，使用 ADSL 的用户越来越多，由于 ADSL 用户在线时间长、速度快，因 此成为黑客们的攻击目标。ADSL 用户除了注意上面提到的一些防御外，ADSL 用 户还应该注意以下几个安全保护自己网络的方法。一、取消文件夹隐藏共享 在默认状态下，Windows 2000/XP 会开启所有分区的隐藏共享，从“控制 面板/管理工具/计算机管理“窗口下选择“系统工具/共享文件夹/共享“，就可以 看到硬盘上的每个分区名后面都加了一个“$“。但是只要键入“计算机名或者 IPC$“，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统 Administrator 的密码都为空，入侵者可以轻易看到 C 盘的内容，这就给网络 安全带来了极大的隐患。 怎么来消除默认共享呢？方法很简单，打开注册表编辑器，进入 “HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevices Lanmanworkstationparameters“，新建一个名为“AutoShareWKs“的双字节值， 并将其值设为“0“，然后重新启动电脑，这样共享就取消了。 二、拒绝恶意代码一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意 代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页 的攻击只要禁止这些恶意代码的运行就可以了。 运行 IE 浏览器，点击“工具/Internet 选项/安全/自定义级别“，将安全级 别定义为“安全级-高“，对“ActiveX 控件和插件“中第 2、3 项设置为“禁用“， 其它项设置为“提示“，之后点击“确定“。这样设置后，当你使用 IE 浏览网页时， 就能有效避免恶意网页中恶意代码的攻击。 三、封死黑客的“后门“ 1.删掉不必要的协议 对于服务器和主机来说，一般只安装 TCP/IP 协议就够了。鼠标右击“网络邻 居“，选择“属性“，再鼠标右击“本地连接“，选择“属性“，卸载不必要的协议。 其中 NETBIOS 是很多安全缺陷的根源，对于不需要提供文件和打印共享的主