计算机网络攻防技术毕业设计论文.doc

学号：3208182005 安徽国防科技职业学院毕业（设计）论文论文题目网络攻防技术作 者魏瑞兵系 别信息工程系专 业计算机应用班 级08计应（2）班指导教师付贤政完成时间2011-03-15目录目录2摘 要3第一章：网络安全概述41.1 网络安全的含义41.2 网络安全的定义51.3 主要特性61.4 网络安全的属性71.5网络安全机制71.6 网络安全策略81.7网络面临的主要威胁10第二章：网络攻击112.1 网络攻击的步骤122.2 网络攻击的原理和手法142.3 攻击者常用的攻击工具192.4 DoS攻击原理20第三章：网络攻击的防范233.1防火墙技术233.2 防火墙的工作原理253.3 TELNET 入侵防范253.4 其他网络攻击行为的防范措施263.5 网络攻击应对策略293.6 防止 Administrator 账号被破解313.7 防止账号被暴力破解323.8“木马”防范措施323.9网页恶意代码及防范33结束语34致谢36参考文献37摘 要近年来，以Internet为标志的计算机网络协议、标准和应用技术的发展异常迅速。但Internet恰似一把锋利的双刃剑，它在为人们带来便利的同时，也为计算机病毒和计算机犯罪提供了土壤，针对系统、网络协议及数据库等，无论是其自身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都可能被一些另有图谋的黑客所利用并发起攻击，因此建立有效的网络安全防范体系就更为迫切。若要保证网络安全、可靠，则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备，从而确保网络运行的安全和可靠。本文全面分析了网络攻击的步骤、方法以及常用的攻击工具，并从几方面讲了具体的防范措施，让读者有全面的网络认识，在对待网络威胁时有充足的准备。计算机网络面临的各种安全威胁，系统地介绍网络安全技术。并针对网络的安全问题进行研究，本次论文研究中，我首先了解了 网络安全问题的主要威胁因素，并利用网络安全知识对安全问题进行剖析。关键词：防火墙 网络安全 攻击防范第一章：网络安全概述1.1 网络安全的含义网络安全从其本质来讲就是网络上信息安全，它涉及的领域相当广泛，这是因为目 前的公用通信网络中存在着各式各样的安全漏洞和威胁。广义上讲，凡是涉及到网络上 信息的保密性、完整性、可用性和可控性的相关技术和理论，都是网络安全的研究领域。 网络安全是指网络系统的硬件，软件及数据受到保护，不遭受偶然或恶意的破坏、 更改、泄露，系统连续可靠正常地运行，网络服务不中断 1 。且在不同环境和应用中又 不同的解释。 （1）运行系统安全：即保证信息处理和传输系统的安全，包括计算机系统机房环境 和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机 操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。 （2）网络上系统信息的安全：包括用户口令鉴别、用户存取权限控制、数据存取权 限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。 （3）网络上信息传输的安全：即信息传播后果的安全、包括信息过滤、不良信息过 滤等。 （4）网络上信息内容的安全：即我们讨论的狭义的“信息安全”；侧重于保护信息 的机密性、真实性和完整性。本质上是保护用户的利益和隐私。1.2 网络安全的定义网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全的具体含义会随着“角度”的变化而变化。比如：从用户（个人、企业等）的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。 随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网（Intranet）、企业外部网（Extranet）、全球互联网（Internet）的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 因此计算机安全问题，应该像每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。1.3 主要特性网络安全应具有以下五个方面的特征： 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。 完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。 可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击； 可控性：对信息的传播及内容具有控制能力。 可审查性：出现的安全问题时提供依据与手段。1.4 网络安全的属性网络安全具有三个基本的属性：机密性、完整性、可用性。 （1）机密性：是指保证信息与信息系统不被非授权者所获取与使用，主要 范措施是密码技术。 （2）完整性：是指保证信息与信息系统可被授权人正常使用，主要防范措施是确保 信息与信息系统处于一个可靠的运行状态之下。 以上可以看出：在网络中，维护信息载体和信息自身的安全都包括了机密性、完整 性、可用性这些重要的属性。1.5网络安全机制网络安全机制是保护网络信息安全所采用的措施，所有的安全机制都是针对某些潜 在的安全威胁而设计的，可以根据实际情况单独或组合使用。如何在有限的投入下合理 地使用安全机制，以便尽可能地降低安全风险，是值得讨论的，网络信息安全机制应包括:技术机制和管理机制两方面的内容。 1.5.1网络安全技术机制 网络安全技术机制包含以下内容： （1）加密和隐藏。加密使信息改变，攻击者无法了解信息的内容从而达到保护；隐 藏则是将有用信息隐藏在其他信息中，使攻击者无法发现。 （2）认证和授权。网络设备之间应互认证对方的身份，以保证正确的操作权力赋予 和数据的存取控制；同时网络也必须认证用户的身份，以授权保证合法的用户实施正确 的操作。 （3）审计和定位。通过对一些重要的事件进行记录，从而在系统中发现错误或受到 攻击时能定位错误并找到防范失效的原因，作为内部犯罪和事故后调查取证的基础。 （4）完整性保证。利用密码技术的完整性保护可以很好地对付非法篡改，当信息源 的完整性可以被验证却无法模仿时，可提供不可抵赖服务。 （5）权限和存取控制：针对网络系统需要定义的各种不同用户，根据正确的认证， 赋予其适当的操作权力，限制其越级操作。 （6）任务填充：在任务间歇期发送无用的具有良好模拟性能的随机数据，以增加攻 击者通过分析通信流量和破译密码获得信息难度。 1.5.2网络安全管理机制 网络信息安全不仅仅是技术问题，更是一个管理问题，要解决网络信息安全问题， 必须制定正确的目标策略，设计可行的技术方案，确定合理的资金技术，采取相应的管 理措施和依据相关法律制度。1.6 网络安全策略策略通常是一般性的规范，只提出相应的重点，而不确切地说明如何达到所要的结 果，因此策略属于安全技术规范的最高一级。 1.6.1 安全策略的分类 安全策略分为基于身份的安全策略和基于规则的安全策略种。基于身份的安全策略 是过滤对数据或资源的访问，有两种执行方法：若访问权限为访问者所有，典型的作法 为特权标记或特殊授权，即仅为用户及相应活动进程进行授权；若为访问数据所有则可 以采用访问控制表（ACL） 。这两种情况中，数据项的大小有很大的变化，数据权力命名 也可以带自己的ACL 。基于规则的安全策略是指建立在特定的，个体化属性之上的授权准则，授权通常依 赖于敏感性。在一个安全系统中，数据或资源应该标注安全标记，而且用户活动应该得 到相应的安全标记。 1.6.2 安全策略的配置 开放式网络环境下用户的合法权益通常受到两种方式的侵害：主动攻击和被动攻 击，主动攻击包括对用户信息的窃取，对信息流量的分析。根据用户对安全的需求才可 以采用以下的保护： （1）身份认证；检验用户的身份是否合法、防止身份冒充、及对用户实施访问控制 数据完整性鉴别、防止数据被伪造、修改和删除。 （2）信息保密；防止用户数据被泄、窃取、保护用户的隐私。 （3）数字签名；防止用户否认对数据所做的处理。 （4）访问控制；对用户的访问权限进行控制。 （5）不可否认性；也称不可抵赖性，即防止对数据操作的否认。 1.6.3 安全策略的实现流程 安全策略的实现涉及到以下及个主要方面，（1）证书管理。主要是指公开密银证书的产生、分配更新和验证。 （2）密银管理。包括密银的产生、协商、交换和更新，目的是为了在通信的终端系统之间建立实现安全策略所需的共享密银。 （3）安全协作。是在不同的终端系统之间协商建立共同采用的安全策略，包括安全 策略实施所在层次、具体采用的认证、加密算法和步骤、如何处理差错。 （4）安全算法实现：具体算法的实现，如PES、RSA. （5）安全策略数据库：保存与具体建立的安全策略有关的状态、变量、指针。1.7网络面临的主要威胁网络面临的主要威胁主要来自下面几方面:1. 黑客的攻击黑客对于大家来说，不再是一个高深莫测的人物，黑客技术逐渐被越来越多的人掌握和发展，目前，世界上有20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，是网络安全的主要威胁。2. 管理的欠缺 网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示，美国90的IT企业对黑客攻击准备不足。目前，美国7585的网站都抵挡不住黑客的攻击，约有75的企业网上信息失窃，其中25的企业损失在25万美元以上。3. 网络的缺陷 因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议簇，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。4. 软件的漏洞或“后门”随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等等都被发现过存在安全隐患。大家熟悉的尼母达,中国黑客等病毒都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。第二章：网络攻击黑客攻击和网络安全的是紧密结合在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。网络攻击有善意也有恶意的，善意的攻击可以帮助系统管理员检查系统漏洞，恶意的攻击可以包括：为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击。因此，我们每一个人都有可能面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题。2.1 网络攻击的步骤下面我们就来看一下那些攻击者是如何找到你计算机中的安全漏洞的，并了解一下他们的攻击手法。一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整，归纳起来就是“黑客攻击五部曲”。如下图：进行其他非法活动利用系统漏洞，通过输入区发送特殊命令，造成缓冲区溢出，猜测用户口令，从而发现突破口扫描网络选中攻击目标获取普通用户权限获取超级用户权限擦除入侵痕迹安装后门新建帐号攻击其他主机截获修改信息图1黑客常见攻击步骤第一步：隐藏IP 这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。第二步：踩点扫描踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。第三步：获得系统或管理员权限 得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限；通过管理漏洞获得管理员权限；通过软件漏洞得到系统权限；通过监听获得敏感信息进一步获得相应权限；通过弱口令获得远程管理员的用户密码；通过穷举法获得远程管理员的用户密码；通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权；通过欺骗获得权限以及其他有效的方法。第四步：种植后门 为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。第五步：在网络中隐身 一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现，在入侵完毕后需要清除登录日志已经其他相关的日志。2.2 网络攻击的原理和手法1. 口令入侵 所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。 2. 放置特洛伊木马程序 特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知攻击者，来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。 3. WWW的欺骗技术 在网上用户可以利用IE等浏览器进行各种各样的Web站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。 一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信关信息掩盖技术。利用URL地址，使这些地址都向攻击者的Web服务器，即攻击者可以将自已的Web地址加在所有URL地址的前面。这样，当用户与站点进行安全链接时，就会毫不防备地进入攻击者的服器，于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏，当浏览器与某个站点边接时，可以在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息，用户由此可以发现问题，所以攻击者往往在URL地址重写的同时，利用相关信息排盖技术，即一般用Javascript程序来重写地址样和状枋样，以达到其掩盖欺骗的目的。4. 电子邮件攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其它的攻击手段来说，这种攻击方法具有简单、见效快等优点。 电子邮件攻击主要表现为两种方式： (1)是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪； (2)是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。 5. 通过一个节点来攻击其他节点 攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。 这类攻击很狡猾，但由于某些技术很难掌握，如TCPIP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。它能破坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受，诱使其它机器向他发送据或允许它修改数据。TCPIP欺骗可以发生TCPIP系统的所有层次上，包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流，因而对底层的攻击更具有欺骗性。 6. 网络监听 网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具(如NetXRay for Windows9598NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及口令。 7. 利用黑客软件攻击 利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马，它们可以非法地取得用户电脑的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登陆上已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，黑客软件的服务器端就安装完成了，而且大部分黑客软件的重生能力比较强，给用户进行清除造成一定的麻烦。 特别是最近出现了一种TXT文件欺骗手法，表面看上去是一个TXT文本文件，但实际上却是一个附带黑客程序的可执行程序，另外有些程序也会伪装成图片和其他格式的文件。 8. 安全漏洞攻击 许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏的根目录，从而获得超级用户的权限。 又如，ICMP协议也经常被用于发动拒绝服务攻击。它的具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强，一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件，而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言，也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。 9. 端口扫描攻击 所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。2.3 攻击者常用的攻击工具1. D.O.S攻击工具： 如WinNuke通过发送OOB漏洞导致系统蓝屏；Bonk通过发送大量伪造的UDP数据包导致系统重启；TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃；WinArp通过发特殊数据包在对方机器上产生大量的窗口；Land通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动；FluShot通过发送特定IP包导致系统凝固；Bloo通过发送大量的ICMP数据包导致系统变慢甚至凝固；PIMP通过IGMP漏洞导致系统蓝屏甚至重新启动；Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动。 2. 木马程序：(1) BO2000(BackOrifice)：它是功能最全的TCPIP构架的攻击工具，可以搜集信息，执行系统命令，重新设置机器，重新定向网络的客户端服务器应用程序。BO2000支持多个网络协议，它可以利用TCP或UDP来传送，还可以用XOR加密算法或更高级的3DES加密算法加密。感染BO2000后机器就完全在别人的控制之下，黑客成了超级用户，你的所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”。 (2)“冰河”：冰河是一个国产木马程序，具有简单的中文使用界面，且只有少数流行的反病毒、防火墙才能查出冰河的存在。冰河的功能比起国外的木马程序来一点也不逊色。 它可以自动跟踪目标机器的屏幕变化，可以完全模拟键盘及鼠标输入，即在使被控端屏幕变化和监控端产生同步的同时，被监控端的一切键盘及鼠标操作将反映在控端的屏幕。它可以记录各种口令信息，包括开机口令、屏保口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息；它可以获取系统信息；它还可以进行注册表操作，包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。 (3) NetSpy：可以运行于Windows9598NT2000等多种平台上，它是一个基于TCPIP的简单的文件传送软件，但实际上你可以将它看作一个没有权限控制的增强型FTP服务器。通过它，攻击者可以神不知鬼不觉地下载和上传目标机器上的任意文件，并可以执行一些特殊的操作。 (4) Glacier：该程序可以自动跟踪目标计算机的屏幕变化、获取目标计算机登录口令及各种密码类信息、获取目标计算机系统信息、限制目标计算机系统功能、任意操作目标计算机文件及目录、远程关机、发送信息等多种监控功能，类似于BO2000。 (5) KeyboardGhost：Windows系统是一个以消息循环(MessageLoop)为基础的操作系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区，其数据结构形式是队列。键盘幽灵正是通过直接访问这一队列，使键盘上输入你的电子邮箱、代理的账号、密码Password（显示在屏幕上的是星号）得以记录，一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来，并在系统根目录下生成一文件名为KG.DAT的隐含文件。 (6) ExeBind：这个程序可以将指定的攻击程序捆绑到任何一个广为传播的热门软件上，使宿主程序执行时，寄生程序也在后台被执行，且支持多重捆绑。实际上是通过多次分割文件，多次从父进程中调用子进程来实现的。2.4 DoS攻击原理拒绝服务（Denial of Service，简称DoS）攻击是一种利用 TCP/IP协议的弱点和系统存在的漏洞，对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的，对网络服务器发送大量“请求”信息，造成网络或服务器系统不堪重负，致使系统瘫痪而无法提供正常的网络服务。 2.4.1 DoS攻击DoS攻击的方式主要是利用合理的服务请求，来占用过多的网络带宽和服务器资源，致使正常的连接请求无法得到响应。常见的 DoS攻击方法有：SYN Flood攻击、Land 攻击、Smurf攻击、UDP攻击等。下图为DoS攻击的基本过程：图2 DoS攻击的基本过程1. SYN Flood攻击SYN Flood攻击是一种最常见的 DoS攻击手段，它利用TCP/IP连接的“三次握手”过程，通过虚假IP, 源地址发送大量 SYN 数据包，请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后，等待对方连接，虚假的IP 源地址将不给予响应。这样，连接请求将一直保存在系统缓存中直到超时。如果系统资源被大量此类未完成的连接占用，系统性能自然会下降。后续正常的TCP 连接请求也会因等待队列填满而被丢弃，造成服务器拒绝服务的现象。2. Land 攻击Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包，造成目标主机解析 Land包时占用大量系统资源，从而使网络功能完全瘫痪的攻击手段。其方法是将一个特别设计的SYN包中的源地址和目标地址都设置成某个被攻击服务器的地址，这样服务器接收到该数据包后会向自己发送一个SYNACK 回应包，SYNACK又引起一个发送给自己的ACK包，并创建一个空连接。每个这样的空连接到将暂存在服务器中，当队列足够长时，正常的连接请求将被丢弃，造成服务器拒绝服务的现象。3. Smurf攻击Smurf攻击是一种放大效果的ICMP攻击方式，其方法是攻击者伪装成被攻击者向某个网络上的广播设备发送请求，该广播设备会将这个请求转发到该网络的其他广播设备，导致这些设备都向被攻击者发出回应，从而达到以较小代价引发大量攻击的目的。例如，攻击者冒充被攻击者的IP使用PING来对一个C类网络的广播地址发送ICMP包，该网络上的254台主机就会对被攻击者的IP发送ICMP回应包，这样攻击者的攻击行为就被放大了 254 倍。4. UDP攻击UDP攻击是指通过发送UDP数据包来发动攻击的方式。在UDP Flood攻击中，攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包，从而使被攻击者不能提供正常的服务，甚至造成系统资源耗尽、系统死机。由于UDP协议是一种无连接的服务，只要被攻击者开放有一个UDP服务端口，即可针对该服务发动攻击。UDP攻击通常可分为UDP Flood 攻击、UDP Fraggle攻击和DNS Query Flood攻击。第三章：网络攻击的防范随着计算机网络的发展，网络的开放性、共享性、互连程度随之扩大。特别是Internet的普及，使得商业数字货币、互联网络银行等一些网络新业务的迅速兴起，网络安全问题显得越来越重要。目前造成网络不安全的主要因素是在协议、系统及数据库等的设计上存在缺陷。网络互连一般采用TCP/IP协议，它是一个工业标准的协议簇，但该协议簇在制订之初，对安全问题并没有考虑太多，协议中存在很多的安全漏洞。 对于操作系统，由于目前使用的计算机网络操作系统在本身结构设计和代码设计时偏重于考虑系统的使用方便性，导致了系统在远程访问、权限控制和口令管理及等许多方面存在安全漏洞。同样，数据库管理系统（DBMS）也存在权限管理、数据的安全性及远程访问等许多方面问题，在DBMS或应用程序中能够预先安置从事情报收集、受控激发破坏程序。由上述可见，针对协议、系统及数据库等，无论是其本身的设计缺陷，还是由于人为因素造成的各种漏洞，都可能被一些另有图谋的黑客利用进行网络攻击，因此要保证网络信息的安全，必须熟知黑客网络攻击的一般过程，在此基础3.1防火墙技术随着网络安全问题日益严重，网络安全技术和产品也被人们逐渐重视起来，防火墙 作为最早出现的网络安全技术和使用量最大的网络安全产品，受到用户和研发机构的亲睐。 防火墙的基本概念与作用 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它执行预先制 定的访问控制策略，决定了网络外部与网络内部的访问方式。 在网络中，防火墙实际是一种隔离技术，它所执行的隔离措施有： （1）拒绝未经授权的用户访问内部网和存取敏感数据。 （2）允许合法用户不受妨碍地访问网络资源。 而它的核心思想是在不安全的因特网环境中构造一个相对安全的子网环境，其目的 是保护一个网络不受另一个网络的攻击，所以防火墙又有以下作用： （1）作为网络安全的屏障。一个防火墙作为阻塞节点和控制节点能极大地提高一个 内部网络的安全性，并通过过滤不安全的服务而降低风险，只有经过精心选择的应用协 议才能通过防火墙，所以网络环境变得更安全。 （2）可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有的安 全软件配置在防火墙上，体现集中安全管理更经济。 （3）对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火 墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据，当发 生可疑动作时， 防火墙能进行适当的报警， 并提供网络是否受到监测和攻击的详细信息。 （4）防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点 网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。 （5）支持具有因特网服务性的企业内部网络技术体系VPN。3.2 防火墙的工作原理 从防火墙的作用可以看出，防火墙必须具备两个要求：保障内部网安全和保障内部 网和外部网的联通。因此在逻辑上防火墙是一个分离器、限制器、分析器。防火墙根据功能实现在 TCP/IP 网络模型中的层次，其实现原理可以分为三类：在 网络层实现防火墙功能为分组过滤技术；在应用层实现防火墙功能为代理服务技术；在 网络层，IP层，应用层三层实现防火墙为状态检测技术。 （1）分组过滤技术 实际上是基于路由器技术，它通常由分组过滤路由器对IP分组进行分组选择，允 许或拒绝特定的IP数据包，工作于IP层。（2）代理服务技术 以一个高层的应用网关作为代理服务器，接受外来的应用连接请求，在代理服务器 上进行安全检查后，再与被保护的应用服务器连接，使外部用户可以在受控制的前提下 使用内部网络的服务，由于代理服务作用于应用层，它能解释应用层上的协议，能够作复杂和更细粒度的 访问控制；同时，由于所有进出服务器的客户请求必须通过代理网关的检查，可以作出 精细的注册和审计记录，并且可以与认证、授权等安全手段方便地集成，为客户和服务 提供更高层次的安全保护。 （3）状态检测技术 此技术工作在IP/TCP/应用层，它结合了分组过滤和代理服务技术的特点，它同分 组过滤一样，在应用层上检查数据包的内容，分析高层的协议数据，查看内容是否符 合网络安全策略。3.3 TELNET 入侵防范Telnet 协议是 TCP/IP 协议族中的一员，是 Internet 远程登录服务的标准协 议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终 端使用者的电脑上使用telnet程序， 用它连接到服务器。 终端使用者可以在telnet 程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输 入一样。可以在本地就能控制服务器。要开始一个 telnet 会话，必须输入用户名 和密码来登录服务器。Telnet 是常用的远程控制 Web 服务器的方法。 telnet可能是黑客常用的攻击方式，我们可以通过修改telnet服务端口，停用 telnet服务，甚至把telnet控制台管理工具删除。3.4 其他网络攻击行为的防范措施协议攻击和拒绝服务攻击是黑客惯于使用的攻击方法，但随着网络技术的飞速发展，攻击行为千变万化，新技术层出不穷。下面将阐述一下网络嗅探及缓冲区溢出的攻击原理及防范措施。1. 针对网络嗅探的防范措施网络嗅探就是使网络接口接收不属于本主机的数据。计算机网络通常建立在共享信道上，以太网就是这样一个共享信道的网络，其数据报头包含目的主机的硬件地址，只有硬件地址匹配的机器才会接收该数据包。一个能接收所有数据包的机器被称为杂错节点。通常账户和口令等信息都以明文的形式在以太网上传输，一旦被黑客在杂错节点上嗅探到，用户就可能会遭到损害。 对于网络嗅探攻击，我们可以采取以下措施进行防范： （1）网络分段 一个网络段包括一组共享低层设备和线路的机器，如交换机，动态集线器和网桥等设备，可以对数据流进行限制，从而达到防止嗅探的目的。 （2）加密 一方面可以对数据流中的部分重要信息进行加密，另一方面也可只对应用层加密，然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式这就取决于信息的安全级别及网络的安全程度。 （3）一次性口令技术 口令并不在网络上传输而是在两端进行字符串匹配，客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串并将之返回给服务器。在服务器上利用比较算法进行匹配，如果匹配，连接就允许建立，所有的Challenge和字符串都只使用一次。 （4）禁用杂错节点 安装不支持杂错的网卡，通常可以防止IBM兼容机进行嗅探。 2. 缓冲区溢出攻击及其防范措施缓冲区溢出攻击是属于系统攻击的手段，通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。当然，随便往缓冲区中填东西并不能达到攻击的目的。最常见的手段是通过制造缓冲区溢出使程序运行一个用户shell，再通过shell执行其它命令。如果该程序具有root权限的话，攻击者就可以对系统进行任意操作了。 缓冲区溢出对网络系统带来了巨大的危害，要有效地防止这种攻击，应该做到以下几点： （1）程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。 （2）堆栈的保护 这是一种提供程序指针完整性检查的编译器技术，通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节，而在函数返回时，首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。但是，如果攻击者预见到这些附加字节的存在，并且能在溢出过程中同样地制造他们，那么他就能成功地跳过堆栈保护的检测。 （3）数组边界检查 所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内进行。最直接的方法是检查所有的数组操作，通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法：Compaq C编译器、Jones & Kelly C数组边界检查、Purify存储器存取检查等。 （4）利用公开的工具软件 像审计网络用的安全分析工具SATAN、Internet的电子安全扫描程序IIS等一些工具对整个网络或子网进行扫描，寻找安全方面的漏洞。 3. 建立模拟环境，进行模拟攻击 根据前面两小点所得的信息，建立一个类似攻击对象的模拟环境，然后对此模拟目标进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具对攻击的反应，可以进一步了解在攻击过程中留下的“痕迹”及被攻击方的状态，以此来制定一个较为周密的攻击策略。 4. 具体实施网络攻击 入侵者根据前几步所获得的信息，同时结合自身的水平及经验总结出相应的攻击方法，在进行模拟攻击的实践后，将等待时机，以备实施真正的网络攻击。3.5 网络攻击应对策略在对网络攻击进行上述分析与识别的基础上，我们应当认真制定有针对性的策略。明确安全对象，设置强有力的安全保障体系。有的放矢，在网络中层层设防，发挥网络的每层作用，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪，预防为主 ，将重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网络安全问题，提出的几点建议： 1. 提高安全意识 (1)不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序，比如“特洛伊”类黑客程序就需要骗你运行。 (2)尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。 (3)密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举。将常用的密码设置不同，防止被人查出一个，连带到重要密码。重要密码最好经常更换。 (4)及时下载安装系统补丁程序。 (5)不随便运行黑客程序，不少这类程序运行时会发出你的个人信息。 (6)在支持HTML的BBS上，如发现提交警告，先看源代码，很可能是骗取密码的陷阱。 2. 使用防毒、防黑等防火墙软件 防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。3. 设置代理服务器，隐藏自已的IP地址 保护自己的IP地址是很重要的。事实上，即便你的机器上被安装了木马程序，若没有你的IP地址，攻击者也是没有办法的，而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。 4. 将防毒、防黑当成日常例性工作，定时更新防毒组件，将防毒软件保持在常驻状态，以彻底防毒。 5. 由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒。 6. 对于重要的个人资料做好严密的保护，并养成资料备份的习惯。网络攻击越来越猖獗，对网络安全造成了很大的威胁。对于任何黑客的恶意攻击，都有办法来防御，只要了解了他们的攻击手段，具有丰富的网络知识，就可以抵御黑客们的疯狂攻击。一些初学网络的朋友也不必担心，因为目前市场上也已推出许多网络安全方案，以及各式防火墙，相信在不久的将来，网络一定会是一个安全的信息传输媒体。特别需要强调的是，在任何时候都应将网络安全教育放在整个安全体系的首位，努力提高所有网络用户的安全意识和基本防范技术，这对提高整个网络的安全性有着十分重要的意义。3.6 防止 Administrator 账号被破解Windows 2000/xp/2003系统的 Administrator账号是不能被停用的，也不能设置安全策略，这样黑客就可以一遍又一遍地尝试这个账号的密码，直到被破解，为了防止这 种侵入，我们可以把 Administrator账号更名：在“组策略”窗口中，依次展开“本地计 算机策略”/“计算机配置”/“windows设置”/“安全设置”/“本地策略”/“安全选 项”功能分支。重命名系统管理员帐户“属性”对话框，在此输入新的管理员名称，尽 量把它为普通用户，然后另建一个超过 10 位的超级复杂密码，并对该账号启用审核， 这样即使黑客费力破解到密码也杀一无所获。另外为了防止黑客通过Guest账号登录计 算机，可以在“组策略”中删除Guest账号。 3.7 防止账号被暴力破解 黑客攻击入侵，大部分利用漏洞，通过提升权限成为管理员，这一切都跟用户账号 紧密相连。 防范方法：通过修改注册表来禁用空用户连接。3.8“木马”防范措施“木马”的概述 特洛伊木马是一种隐藏了具有攻击性的应用程序。 与病毒不同， 它不具备复制能力， 其功能具有破坏性。 大部分“木马”采用C/S运行模式，当服务端在目标计算机上被运行后，打开一个 特定的端口进行监听，当客户端向服务器发出连接请求时，服务器端的相应