几种常见网络攻击的方法与对策研究

几种常见网络攻击的方法与对策研究

【摘要】随着计算机网络的普及和发展，我们的生活和工作都越来越依赖于网络，与此相关的网络安全问题也随之凸现出来。论文分析并探讨了一般性的网络攻击原理和手段，其中对IP Spoofing攻击方法和SYN Flooding作了详尽的讨论，最后提出了未来网络攻击方式演变的四种可能攻击趋势。

【关键词】网络攻击；IP Spoofing；SYN Flooding；攻击趋势

在网络这个不断更新换代的世界里，网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。网络攻击主要是通过信息收集、分析、整理以后，发现目标系统漏洞与弱点，有针对性地对目标系统(服务器、网络设备与安全设备)进行资源入侵与破坏，机密信息窃取、监视与控制的活动。

1RLA(Remote to Local Attacks)网络攻击的原理和手法

RLA是一种常见的网络攻击手段，它指的是在目标主机上没有账户的攻击者获得该机器的当地访问权限，从机器中过滤出数据、修改数据等的攻击方式。RLA也是一种远程攻击方法。远程攻击的一般过程：1)收集被攻击方的有关信息，分析被攻击方可能存在的漏洞；2）建立模拟环境，进行模拟攻击，测试对方可能的反应；3)利用适当的工具进行扫描；4）实施攻击。

IP Spoofing是一种典型的RLA攻击，它通过向主机发送IP包来实现攻击，主要目的是掩护攻击者的真实身份，使攻击者看起来像正常的用户或者嫁祸于其他用户。攻击过程可简单描述如下：①攻击端-SYN(伪造自己的地址)-被攻击端；

②伪造的地址SYN-ACK被攻击端；③被攻击端等待伪装端的回答。IP Spoofing 攻击过程见图1，具体描述如下：①假设I企图攻击A，而A信任B。②假设I 已经知道了被信任的B，使B的网络功能暂时瘫痪，以免对攻击造成干扰。因此，在实施IP Spoofing攻击之前常常对B进行SYN Flooding攻击。③I必须确定A 当前的ISN。④I向A发送带有SYN标志的数据段请求连接，只是信源IP改成了B。A向B回送SYN+ACK数据段，B已经无法响应，B的TCP层只是简单地丢弃A的回送数据段。⑤I暂停，让A有足够时间发送SYN+ ACK，然后I 再次伪装成B向A发送ACK，此时发送的数据段带有I预测的A的ISN+1。如果预测准确，连接建立，数据传送开始。如果预测不准确，A将发送一个带有RST标志的数据段异常终止连接，I重新开始。

IP Spoofing攻击利用了RPCN服务器仅仅依赖于信源IP地址进行安全校验的特性，攻击最困难的地方在于预测A的ISN。

图1IP Spoofing攻击过程

２拒绝服务DoS (Denial of Service)攻击

拒绝服务攻击指一个用户占据了大量的共享资源，使系统没有剩余的资源给其他用户使用的攻击方式。拒绝服务可以用来攻击域名服务器、路由器及其它网络操作服务，使CPU、磁盘空间、打印机、调制解调器等资源的可加性降低。拒绝服务的典型攻击方法有SYN Flooding、Ping Flooding、Land、Smurf、Ping of catch等类型。这里主要分析SYN Flooding攻击。

当一个主机接收到大量不完全连接请求而超出其所能处理的范围时，就会发生SYN Flooding攻击。在通常情况下，希望通过TCP连接来交换数据的主机必须使用3次握手进行任务初始化。SYN Flooding攻击就是基于阻止3次握手的

完成来实现的。SYN Flooding攻击原理是：首先，攻击者向目标主机发送大量的SYN请求，用被挂起的连接占满连接请求队列。一旦目标主机接收到这种请求，就会向它所认为的SYN报文的源主机发送SYN/ACK报文做出应答。一旦存储队列满了，接下来的请求就会被TCP端忽略，直至最初的请求超时，被重置(通常为75s)，每次超时过后，服务器端就向未达的客户端发送一个RST报文，此时攻击者必须重复以上步骤来维持拒绝服务的攻击。

SYN Flooding攻击的重点就在于不断发送大量的SYN报文，其攻击在空间性上表现得极为明显。如图2，从源到汇，攻击者可从不同路径向被攻击主机持续发送连接请求，也可将数据包拆分为几个传输再在目的地汇合，以湮没被攻击主机。检测这种攻击的困难就在于目标主机接收到的数据包好像来自整个Internet。

图2SYN Flooding攻击过程

３攻击方式的四种趋势

从1988年开始，位于美国卡内基梅隆大学的CERT CC（计算机紧急响应小组协调中心）就开始调查入侵者的活动。CERT CC给出一些关于最新入侵者攻击方式的趋势。

一是攻击过程的自动化与攻击工具的快速更新。攻击工具的自动化程度继续不断增强，自动化攻击涉及到的四个阶段都发生了变化。

二是攻击工具的不断复杂化。攻击工具的编写者采用了比以前更加先进的技术。攻击工具的特征码越来越难以通过分析来发现，并且越来越难以通过基于特征码的检测系统发现，例如防病毒软件和入侵检测系统。当今攻击工具的三个重要特点是反检测功能，动态行为特点以及攻击工具的模块化。

三是漏洞发现得更快。每一年报告给CERT/CC的漏洞数量都成倍增长。CERT/CC公布的漏洞数据2000年为1090个，2001年为2437个，2002年已经增加至4129个，就是说每天都有十几个新的漏洞被发现。可以想象，对于管理员来说想要跟上补丁的步伐是很困难的。而且，入侵者往往能够在软件厂商修补这些漏洞之前首先发现这些漏洞。随着发现漏洞的工具的自动化趋势，留给用户打补丁的时间越来越短。尤其是缓冲区溢出类型的漏洞，其危害性非常大而又无处不在，是计算机安全的最大的威胁。在CERT和其它国际性网络安全机构的调查中，这种类型的漏洞是对服务器造成后果最严重的。四是渗透防火墙。我们常常依赖防火墙提供一个安全的主要边界保护。但是情况是：已经存在一些绕过典型防火墙配置的技术，如IPP（the Internet Printing Protocol）和Web-DA V （Web-based Distributed Authoring and Versioning）。一些标榜是“防火墙适用”的协议实际上设计为能够绕过典型防火墙的配置。特定特征的“移动代码”（如ActiveX控件，Java和JavaScript）使得保护存在漏洞的系统以及发现恶意的软件更加困难。

４总结

随着Internet网络上计算机的不断增长，所有计算机之间存在很强的依存性。一旦某些计算机遭到了入侵，它就有可能成为入侵者的栖息地和跳板，作为进一步攻击的工具。对于网络基础架构如DNS系统、路由器的攻击也越来越成为严重的安全威胁。我们还应该认识到随着网络及其应用的广泛发展，安全威胁呈现出的种类、方法和总体数量越来越多、网络攻击越来越猖獗、破坏性和系统恢复难度越来越大的趋势，对网络安全造成了很大的威胁。这就要求我们，对网络安全又更清醒的认识；对攻击方法有更进一步的研究，对安全策略有更完善的发展，