网络攻击常见方法及对策计算机专业论文

网络攻击常见方法及对策论文
一引言
随着互联网的发展，在计算机网络安全领域里，存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络。

网络中的安全漏洞无处不在，即便旧的安全漏洞补丁，新的安全漏洞又将不断涌现。

网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击，网络攻击是造成网络不安全的主要原因。

单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展。

攻击网络的方法千变万化，也越来越高明。

攻击者不仅利用自己的电脑，还能利用internet 中那些安全性较差的电脑，对其他的网络进行攻击。

在网络攻击中，往往是多种攻击方法一起使用。

如果使用计算机网络，就避免不了受到攻击。

未来的竞争是信息竞争，而网络信息是竞争的重要组成部分。

其实质是人与人的对抗，它具体体现在安全策略与攻击策略的交锋上。

为了不断增强信息系统的安全防御能力，必须充分理解系统内核及网络协议的实现，真正做到洞察对方网络系统的“细枝末节”，同时应该熟知针对各种攻击手段的预防措施，只有这样才能尽最大可能保证网络的安全。

二常见的网络攻击以及防御
网络攻击是指网络攻击者利用目前网络通信协议（TCP/IP等）自身存在的或因配置不当而产生的安全漏洞,用户使用的操作系统内在缺陷或者用户使用的程序本身所具有的安全隐患等,通过使用网络命令,或者从internet上下载专用的软件(例如,SATAN等网络扫描软件),或者攻击者自己编写的软件,非法进入本地或远程用户主机系统,获取\修改\删除用户系统的信息以及在用户系统上增加垃圾\色情或者有害信息等一系列过程的总称.
随着现代科技的发展，世界再没有秘密。

黑客攻击早在主机终端时代就已经出现，随着Internet的发展，黑客则从以系统为主攻击转变到以网络为主的攻击。

网络攻击和网络安全保护是一对矛与盾的关系，我们只有掌握了黑客攻击的常用手段，才能最终保护网络安全。

网络攻击常见的攻击手段主要有以下几种：
（1）获取口令
获取口令的方式有3种方法。

1．缺省的登录界面攻击法：在被攻击主机上启动一个可执行程序，该程序显示一个伪造的登录界面。

当用户在这个伪装的界面上键入登录信息（用户名和密码等）后，程序将用户输入的信息传送到攻击者主机，然后关闭界面给出提示信息“系统故障”，要求用户重新登录。

此后，才出现真正的登录界面。

2．通过网络监听非法得到用户口令：这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户的帐号和口令，对局域网安全威胁巨大。

3．利用软件强行破解用户口令：在知道用户的帐号后（如电子邮件“@”前面的部分），利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐性和时间。

对安全系数较高的口令破解往往需要很长时间，但对那些口令安全系数极底的用户只要短短的一两分钟，甚至几十秒就可以将其破解。

我们可以采取以下一些步骤来消除口令漏洞，预防口令攻击。

第一步:删除所有没有口令的帐号或为没有口令的用户加上一个口令。

特别是系统内置或是缺省账号。

第二步:制定管理制度，规范增加帐号的操作，及时移走不再使用的帐号。

经常检查确认有没有增加新的帐号，不使用的帐号是否已被删除。

当雇员或承包人离开公司时，或当帐号不再需要时，应有严格的制度保证删除这些帐号。

第三步:加强所有的弱口令，并且设置为不易猜测的口令，为了保证口令的强壮性，我们可以利用Unix系统保证口令强壮性的功能或是采用一些专门的程序来拒绝任何不符合你安全策略的口令。

这样就保证了修改的口令长度和组成使得破解非常困难。

如采用一首诗的部分诗句中第一或第二个字母，加上一些数字来组成口令，还可以在口令中加入一些特殊符号将使口令更难破解。

第四步:使用口令控制程序，以保证口令经常更改，而且旧口令不可重用。

第五步:对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。

(在你这么做之前，先确定你有权利这么做，你是管理员)
另一个避免没有口令或弱口令的方法是采用认证手段，例如采用RSA认证令牌。

每分钟变一次，相信没有人可以在没有令牌的情况下进入你的FTP服务器。

（2）拒绝服务攻击
拒绝服务的攻击是指一个用户占据了大量的共享资源，是系统没有剩余的资源给其他用户可用的攻击。

它主要用来攻击域名服务器、路由器以及其他网络服务，使被攻击者无法提供正常的服务。

这是一类危害极大的攻击方式，严重的可以使一个网络瘫痪。

常见的有服务过载、信息流、信号接地。

拒绝服务器攻击的防御：
1．在网络上设立过滤器或侦测器，在信息到达网站服务器之前阻挡信息。

防火墙和路由器是目前阻挡拒绝服务攻击的常用设备，通过设计访问策略，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包，能够对拒绝服务攻击起到一定的防范作用。

2．及早发现系统存在的攻击漏洞，及时安装系统补丁程序。

建立和完善备份机制，对一些特权账号（如管理员账号）的密码设置要谨慎。

把攻击者的可乘之机降低到最小。

3．禁止不必要的网络服务，经常检测系统配制信息，并注意查看每天的安全日志。

4．与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制并对带宽总量进行限制。

5．当正在遭受DoS攻击时，应当启用应对策略，及时尽可能快地追踪攻击包，分析受影响的系统，确定涉及的其他节点，阻挡已知攻击节点的流量。

6．发现系统中存在DoS攻击的工具软件要及时清除,以免留下后患。

要彻底杜绝拒绝服务攻击,只有追根溯源去找到正在进行攻击的机器和攻击者.因为攻击者一旦停止了攻击行为,很难将其发现,只能在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用一级一级回溯的方法来查找其攻击源头.这就需要各级部门的协同配合,甚至是不同组织\不同国家的合作才能很好地完成,这几乎是不可能实现的。

（3）寻找系统漏洞
许多系统都有这样那样的安全漏洞，其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞， Windows 98中的共享目录密码验证和IE5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你不上网。

还有
就是有些程序员设计一些功能复杂的程序时，一般采用模块化的程序设计思想，将整个项目分割为多个功能模块，分别进行设计、调试，这时的后门就是一个模块的秘密入口。

在程序开发阶段，后门便于测试、更改和增强模块功能。

正常情况下，完成设计之后需要去掉各个模块的后门，不过有时由于疏忽或者其他原因后门没有去掉，一些别有用心的人会利用专门的扫描工具发现并利用这些后门，然后进入系统并发动攻击。

另外，还有一些是管理员错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出。

如缓冲区溢出是一个非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在。

其原理是，向一个有限的空间的缓冲区拷贝了过长的字符串，它带来两种后果：一是过长的字符串覆盖了相邻的存储单元，引起程序运行失败，严重的可引起死机、系统重起等后果；二是利用这种漏洞可以执行任意的命令，甚至可以取得系统特权。

由此引发了许多的攻击方法。

缓冲区溢出对系统带来了巨大的危害，要有效地防止这种攻击，应该做到以下几点：
·程序指针完整性检查：在程序指针被引用之前检测它是否改变。

即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。

·堆栈保护：这是一种提供程序指针完整性检查的编译器技术，通过检查函数活动纪录中的返回地址来实现。

在堆栈中函数返回地址后面加了一些附加的字节，而在函数返回时，首先检查这个附加的字节是否被改动过。

如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。

但是，如果攻击者预见到这些附加字节的存在，并且能在溢出过程中同样地制造他们，那么他就能成功地跳过堆栈保护的检测。

·数组边界检查：所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。

最直接的方法是检查所有的数组操作，通常可以采用一些优化的技术来减少检查的次数。

目前主要有以下的几种检查方法：Compaq C编译器、Jones & Kelly C数组边界检查、Purify存储器存取检查等。

（4）扫描
许多网络入侵是从扫描开始的。

利用扫描工具能找出目标主机上各种各样的漏洞来，有些漏洞尽管早已公布于众，但在一些系统中任然存在，于是给了外部入侵以可乘之机。

常用的短小而实用的端口扫描工具是一种获取主机信息的和方法。

在UNIX系统中，使用端口扫描程序不需要超级用户权限，任何用户都可以使用。

而且简单的端口扫描程序非常容易写，掌握了初步的SOCKET编程知识，便可以轻而易举地编写出能够在UNIX和Windonws NT下运行的端口扫描程序。

黑客们常常用扫描工具找出系统漏洞或者是主机信息，然后展开攻击。

防范端口扫描的方法有两个：
1．关闭闲置和有潜在危险的端口
这个方法有些“死板”，它的本质是——将所有用户需要用到的正常计算机端口外的其他端口都关闭掉。

因为就黑客而言，所有的端口都可能成为攻击的目标。

换句话说“计算机的所有对外通讯的端口都存在潜在的危险”，而一些系统必要的通讯端口，如访问网页需要的HTTP（80端口）；QQ（4000端口）等不能被关闭。

在Windows NT核心系统（Windows 2000/XP/ 2003）中要关闭掉一些闲置端口是比较方便的，可以采用“定向关闭指定服务的端口”和“只开放允许端口的方式”。

计算机的一些网络服务会有系统分配默认的端口，将一些闲置的服务
关闭掉，其对应的端口也会被关闭了（如图2）。

进入“控制面板”、“管理工具”、“服务”项内，关闭掉计算机的一些没有使用的服务（如FTP服务、DNS 服务、IIS Admin服务等等），它们对应的端口也被停用了。

至于“只开放允许端口的方式”，可以利用系统的“TCP/IP筛选”功能实现，设置的时候，“只允许”系统的一些基本网络通讯需要的端口即可。

2．检查各端口，有端口扫描的症状时，立即屏蔽该端口
这种预防端口扫描的方式显然用户自己手工是不可能完成的，或者说完成起来相当困难，需要借助软件。

这些软件就是我们常用的网络防火墙。

防火墙的工作原理是：首先检查每个到达你的电脑的数据包，在这个包被你机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收Internet上的任何东西。

当第一个请求建立连接的包被你的电脑回应后，一个“TCP/IP端口”被打开；端口扫描时，对方计算机不断和本地计算机建立连接，并逐渐打开各个服务所对应的“TCP/IP端口”及闲置端口，防火墙经过自带的拦截规则判断，就能够知道对方是否正进行端口扫描，并拦截掉对方发送过来的所有扫描需要的数据包。

现在市面上几乎所有网络防火墙都能够抵御端口扫描，在默认安装后，应该检查一些防火墙所拦截的端口扫描规则是否被选中，否则它会放行端口扫描，而只是在日志中留下信息而已。

（5）网络监听
网络监听工具是提供给管理员的一类管理工具。

使用这种工具，可以监视网络的状态、数据流动情况以及网络传输的信息。

但是网络监听工具也是黑客们常用的工具。

当信息以明文的形式在网络传输时，便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获。

网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。

网络监听最有用的获得用户口令，当口令被截获时，就可以非常容易地登录另一台主机。

一旦网络被监听,可能导致敏感信息被截获,将会给网络带来很大的安全问题,常用的网络监听的防范方法如下:1要确保以太网的整体安全性,因为网络监听行为要想发生,一个最重要的前提条件就是以太网内部的一台有漏洞的主机被攻破,只有利用被攻破的主机,才能进行网络监听,去收集以太网内敏感的数据信息2对网络中传输的数据进行加密,以密文传输也是一个很好的办法,入侵者即使抓取到了传输的数据信息,意义也不大。

3使用交换机目前也是一个应用比较多是方式,这在很大程度上解决了网络监听的问题.4对安全性要求比较高的公司可以考虑kerberos,kerberos是一种为网络通信提供可信第三方服务的面向开放系统的认证机制,它提供了一种强加密机制,使客户端和服务器即使在非安全的网络连接环境中也能确认彼此的身份,而且在双方通过身份认证后,后续的所有通信也是被加密的。

（6）特洛伊木马攻击
特洛伊木马程序技术是黑客常用的攻击手段。

它通过在你的计算机系统隐藏一个会在Windows启动时运行的程序，采用服务器/客户机的运行方式，从而达到在上网时控制你计算机的目的。

黑客利用它窃取你的口令、浏览你的驱动器、修改你的文件、登陆注册表等，如流传极广的冰河木马。

特洛伊木马具有隐蔽性和非授权性的特点。

所谓隐蔽性是指特洛伊木马程序
采用了多种隐藏手段，一旦被植入到对方计算机内部就很难察觉。

而非授权性指的是控制端与服务器连接后，控制端就享有服务器端的修改文件及注册表、控制鼠标和键盘等权限，不过这些权限是窃取来的。

当前，对计算机和网络安全威胁最大的是病毒和特洛伊木马程序，而制造一个特洛伊木马程序，也就是更换常用的一些系统程序和命令，是非常容易的，更有入侵者故意设置一些陷阱，一获取更大的特权。

特洛伊木马防御原理
知道了木马的攻击原理和隐身方法，我们就可以采取措施进行防御了。

1.端口扫描
端口扫描是检查远程机器有无木马的最好办法, 端口扫描的原理非常简单, 扫描程序尝试连接某个端口, 如果成功, 则说明端口开放,如果失败或超过某个特定的时间(超时), 则说明端口关闭。

但对于驱动程序/动态链接木马, 扫描端口是不起作用的。

2.查看连接
查看连接和端口扫描的原理基本相同，不过是在本地机上通过netstat -a（或某个第三方程序）查看所有的TCP/UDP连接，查看连接要比端口扫描快，但同样是无法查出驱动程序/动态链接木马,而且仅仅能在本地使用。

3.检查注册表
上面在讨论木马的启动方式时已经提到，木马可以通过注册表启动（好像现在大部分的木马都是通过注册表启动的，至少也把注册表作为一个自我保护的方式），那么，我们同样可以通过检查注册表来发现冰河在注册表里留下的痕迹。

4.查找文件
查找木马特定的文件也是一个常用的方法，木马的一个特征文件是kernl32.exe,另一个是sysexlpr.exe，只要删除了这两个文件,木马就已经不起作用了。

如果你只是删除了sysexlpr.exe而没有做扫尾工作的话,可能会遇到一些麻烦-就是你的文本文件打不开了, sysexplr.exe是和文本文件关联的,你还必须把文本文件跟notepad关联上。

另外，对于驱动程序/动态链接库木马，有一种方法可以试试，使用Windows 的"系统文件检查器"，通过"开始菜单"-"程序"-"附件"-"系统工具"-"系统信息"-"工具"可以运行"系统文件检查器", 用“系统文件检查器”可检测操作系统文件的完整性，如果这些文件损坏，检查器可以将其还原，检查器还可以从安装盘中解压缩已压缩的文件（如驱动程序）。

如果你的驱动程序或动态链接库在你没有升级它们的情况下被改动了,就有可能是木马(或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。

（7）病毒攻击
病毒是一些程序，常常修改同一计算机中的另一些程序，将自己复制进其他程序代码中。

病毒也会修改其他程序的执行流程，并将自己复制到受感染的程序中。

有时，一个很小的病毒可以在计算机系统上造成极大的破坏，当他们被传播到网络环境中去时，危险性就更大。

现在流行的很多病毒都带有黑客性质，如影响面极广的Nimda、“求职信”、“红色代码II”和“熊猫烧香病毒”等。

攻击者可以佯称自己为管理员，将这些病毒通过电子邮件的方式发送给你。

下面就以熊猫病毒为例：
在2007年新年出现的“PE_FUJACKS”就是最近让广大互联网用户闻之色变的“熊猫烧香”。

这个版本的病毒已经集成了PE_FUJACK和QQ大盗的代码，通过网络共享,文件感染和移动存储设备传播，尤其是感染网页文件，并在网页文件写入自动更新的代码，一旦浏览该网页，就会感染更新后的变种。

不幸中招的用户都知道，“熊猫烧香”会占用局域网带宽，使得电脑变得缓慢，计算机会出现以下症状：熊猫烧香病毒会在网络共享文件夹中生成一个名为GameSetup.exe的病毒文件；结束某些应用程序以及防毒软件的进程，导致应用程序异常，或不能正常执行，或速度变慢；硬盘分区或者U盘不能访问使用；exe程序无法使用程序图标变成熊猫烧香图标；硬盘的根目录出现setup.exeauturun.INF文件；同时浏览器会莫名其妙地开启或关闭。

该病毒主要通过浏览恶意网站、网络共享、文件感染和移动存储设备(如U 盘)等途径感染，其中网络共享和文件感染的风险系数较高，而通过Web和移动存储感染的风险相对较低。

该病毒会自行启动安装，生成注册列表和病毒文件%System%\drivers\spoclsv.exe，并在所有磁盘跟目录下生成病毒文件setup.exe,autorun.inf。

熊猫烧香有很多变种，其原理和和以前的PE_Looked一样。

可以采用以下方法进行防御和解除：
1、下载sysclean工具：
/ftp/products/tsc/
2、下载病毒特征码压缩包：
/download/pattern.asp
3、将下载的病毒特征码压缩包解压缩得到病毒特征码文件lpt$vpn.xxx(其中xxx是三位数字)
4、将sysclean工具和病毒特征码文件放在同一个文件夹下
5、重启进入安全模式
6、运行sysclean工具，对系统进行全盘扫描
7、重启回到正常模式，检查病毒是否已被清除。

最后，还提醒大家，养成以下良好习惯，以防熊猫烧香的入侵：
1 建立良好的安全习惯，不要打开可疑邮件和访问可疑网站
2 平时上网的时候一定要打开ocse的实时监控功能。

3 经常升级安全补丁。

建议用户应该定期到微软网站去下载最新的安全补丁，切实做好防范工作。

4 在打开一个陌生文件时，请用最新病毒库的杀毒软件进行扫描。

5 请经常更新病毒库，防止病毒的侵入。

6 关闭网络共享，如果必须共享，请设置复杂密码。

7 使用U盘等移动存储设备请一定要做好防范措施
（8）Web欺骗
这是一种在Internet上使用的针对WWW的攻击技术，这种攻击方法会泄露
某人的隐私或破坏数据的完整性，危及到使用Web浏览器的用户。

Web站点的广泛使用，诱惑着网上的欺诈行为。

这种欺诈行为是由于铺天盖地的信息，而又无法让人们辨认其真假。

类似的例子是张贴在街头的小广告，仅凭看到的一些信息，是无法分辨哪些是真，哪些是假。

而Web上这种欺诈就更加容易了。

黑客攻击时，先编写一些看起来“合法”的程序，上传到一些FTP站点或是提供给某些个人主页，诱导用户下载。

当一个用户下载软件时，黑客软件一起下载到用户的机器上。

该软件会跟踪用户计算机操作，它静静的记录着用户输入的每个口令，然后把它们发送给黑客指定的Internet 信箱。

例如，有人发送给用户电子邮件，声称为“确定我们的用户需要”而进行搜索。

作为对填写表格的回报，允许用户免费使用多少小时。

但是，该程序实际上却是搜集用户的口令，并把它们发送给某个远方的“黑客”。

Web欺骗的预防解决
逃离灾难
受攻击者可以自觉与不自觉地离开攻击者的错误Web页面。

这里有若干种方法。

访问Bookmark或使用浏览器中提供的“Open location”进入其他Web页面，离开攻击者所设下的陷阱。

不过，如果用户使用“Back”按键，则会重新进入原先的错误Web页面。

当然，如果用户将所访问的错误Web存入Bookmark，那么下次可能会直接进入攻击者所设下的陷阱。

关于追踪攻击者
有人建议应当通过跟踪来发现并处罚攻击者。

确实如此，攻击者如果想进行Web欺骗的话，那么离不开Web服务器的帮助。

但是，他们利用的Web服务器很可能是被攻击后的产物，就象罪犯驾驶着盗窃来的汽车去作案一样。

预防办法
Web欺骗是当今Internet上具有相当危险性而不易被察觉的欺骗手法。

幸运的是，我们可以采取的一些保护办法。

短期的解决方案
为了取得短期的效果，最好从下面三方面来预防：
1.禁止浏览器中的JavaScript功能，那么各类改写信息将原形毕露；
2.确保浏览器的连接状态是可见的，它将给你提供当前位置的各类信息；
3.时刻注意你所点击的URL链接会在位置状态行中得到正确的显示。

现在，JavaScript、ActiveX以及Java提供越来越丰富和强大的功能，而是越来越为黑客们进行攻击活动提供了强大的手段。

为了保证安全，建议用户考虑禁止这些功能。

这样做，用户将损失一些功能，但是与可能带来的后果比较起来，每个人会得出自己的结论。

长期的解决方案
1.改变浏览器，使之具有反映真实URL信息的功能，而不会被蒙蔽；
2.对于通过安全连接建立的Web——浏览器对话，浏览器还应该告诉用户谁在另一端，而不只是表明一种安全连接的状态。

比如：在建立了安全连接后，给出一个提示信息“NetscapeInc.”等等。

所有的解决方案，可以根据用户的安全要求和实际条件来加以选择。

（9）IP欺骗
IP电子欺骗，就是通过伪造源于一个可信任IP地址的数据包以使一台机器认证另一台机器的复杂技术，其实质就是让一台机器来扮演另一台机器，借以蒙混过关。

欺骗的形式多种多样，从随机扫描到利用系统已知的一些漏洞。

电子欺骗攻击通常发生于一台主机被确信在安全性方面存在漏洞之后。

此时入侵者已经作好了实施一次IP电子欺骗的准备，攻击者知道目标网络存在漏洞并且。