谭诗棋-黑客防火墙的攻击与防范_第1页
谭诗棋-黑客防火墙的攻击与防范_第2页
谭诗棋-黑客防火墙的攻击与防范_第3页
谭诗棋-黑客防火墙的攻击与防范_第4页
谭诗棋-黑客防火墙的攻击与防范_第5页
已阅读5页,还剩7页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、封皮和扉页,目录不要求有页眉页脚和页码!石家庄信息工程职业学院毕业设计(论文)学生姓名 谭诗棋 学生学号 30871710132 专 业 网络技术专业 系 别 微软IT学院 指导教师 马晓丽 指导系部 网络教研室 2011年3月14日计算机网络攻击与防范专业:网络技术专业 班级:1班 姓名:谭诗棋 指导教师:马晓丽摘要:随着信息时代的到来,信息已成为社会发展的重要战略资源,社会的信息化已成为当今世界发展的潮流核心,而信息安全在信息社会中将扮演极为重要的角色,它直接关系到国家安全、企业经营和人们的日常生活。我们的计算机有时会受到计算机病毒、黑客的攻击,造成个人和企业的经济损失和信息资料的泄露,甚

2、至危及国家安全。为了更有效地防范黑客的攻击,现将一些常用的方法,写出来与大家分享:如果你想知道你的计算机有没有被黑客控制,你可以通过查看当前你的电脑中有哪些程序在运行,打开了哪些端口,而这些端口又与哪个网站或电脑相连,对方的IP地址、使用哪个端口等信息,具体方法是用:DOS命令NETSTAT或软件Currports来查。Abstract:With the advent of the information age, information has become the important strategic resources of social development, the social

3、 informatization has become the development trend in today's world core, and information security in information society will play an important role, it's directly related to national security, enterprise operation and People's Daily life. Our computer will sometimes by computer virus, h

4、ackers, causing personal and business economic loss and information disclosure, and even endanger state security. In order to more effectively prevent hackers, now will some commonly used method, and wrote it to share with everyone: If you want to know your computer have hackers control, you can che

5、ck the current through your computer in what programs are running, open what port, and these ports and with which website or computer connected, each other's IP address, use what port and other information, the specific method is to use: DOS command NETSTAT or software Currports check. 关键词:功、防、控

6、制keywords :Reactive, prevent 、control 目 录1.前言42.黑客常用的攻击手段43.常见的攻击类型和方法54.防止攻击的方法64.1防控DDoS攻击64.2基于状态的资源控制,防护防火墙资源64.3智能TCP代理有效防范SYN Flood74.4利用NetFlow对DoS攻击和病毒监测74.5防范溢出策略74.6对希望保护的主机实行“单独开放端口”访问控制策略114.7使用应用层防火墙系统114.8使用IDS功能的防火墙系统125.结论12参考文献 121. 前言防火墙是保护网络安全的重要组成部分,它往往部署在网络的要塞位置,但其本身也是一个软件、软硬件,以

7、及访问策略相结合的实体。设计上的漏洞和使用上的错误都会削弱防火墙的保护能力,也使得防火墙常常受到攻击。文章列举了一些防火墙攻击的类型和方法,着重分析了几种常用的防范这些攻击的解决方案。2.黑客常用的攻击手段 从第一台计算机投入使用,第一个网络协议推广开来,以及硬件的更新,软件的换代,种种缺陷和漏洞就潜在其中,特别是当计算机的应用遍布到世界的各个角落,这些缺陷和漏洞也随之弥散开来。这里说的缺陷,包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。开发人员在编写源码程序时,每写一千行,至少会有一个漏洞(Bug,即使再高明的程序员也不例外,因此黑客技术的产生与发展也就不足为奇了。我

8、们知道标志着第三代计算机网络OSI参考模型(Open System Interconnection/Reference Model,即开放式系统互连参考模型,常常用TCP/IP的4层模型来代替(如表1。(1接口层:主要利用物理链路的损坏、干扰,盗用物理地址以及通过网卡在数据传输中对数据进行监听。(2网际层:ICMP协议是用来传送一些关于网络和主机的控制信息的,如目标主机是不是可以到达的、路由的重定向、目标主机是否在使用等。常用的“ping”命令就是使用了ICMP协议。很多网络攻击工具就是利用了这个协议来实现的。在这一层主要是利用ICMP、IGMP协议的漏洞进行探测主机、DOS(拒绝服务攻击、路

9、由欺骗。(3传输层:TCP协议提供的是面向连接的、可靠的数据流传输,而UDP协议提供的是非面向连接的、不可靠的数据流传输。显然UDP协议在安全方面更难保证。这一层主要是利用TCP、UDP协议的缺陷,进行DOS、DDOS(分布式拒绝服务攻击或是利用TCP序列号攻击进行IP欺骗。(4应用层:应用层协议很多,如:TELNET、FTP、SMTP等,每一项服务开启的背后都可能被多种多样的攻击所利用,如:超级用户口令的获取、特洛伊木马的植入等。由上面的简单分析,不难看出在开放式的网络设计中,安全方面欠缺很多,再加上操作系统、软件自身的漏洞以及配置管理与使用上的不规范使得黑客更是有机可乘。那么,黑客们主要采

10、取哪些攻击技术呢?3. 常见的攻击类型和方法从目前看来,黑客的攻击手法和技术越来越智能化和多样化,但就攻击过程上看,大概可以范围3类攻击。第一类是探测在目标防火墙上安装的是何种防火墙系统并找出次防火墙系统允许那些服务。通常称为对防火墙的探测攻击。最常见的就是木马攻击。第二类是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制,从而对防火墙和内部网络造成破坏。此类攻击方法比较多样,常见的有IP欺骗攻击、分片攻击等,而会话劫持攻击是结合了欺骗技术以及嗅探在内的一种攻击手段。第三类是寻找、利用防火墙系统实现和设计上的安全漏洞,从而有针对性的发动攻击。这种攻击难度比较大,可是破坏性很大。防火墙本质

11、上是一个操作系统,有其软件和硬件,因此依然存在漏洞。所以其本身也可能受到攻击和出现软/硬件方面的故障。4.防止攻击的方法4.1防控DDoS攻击DDoS攻击即拒绝服务攻击。从现在和未来看,防火墙都是抵御的重要组成部分,这是由防火墙在网络拓扑的位置和扮演的角色决定的,下面列举防火前对付DoS/DDoS攻击的集中有效防范方法。4.2基于状态的资源控制,保护防火墙资源有些防火墙支持IP Inspect功能,对进入防火墙的资料做严格的检查,各种针对系统漏洞的攻击包如Ping Of Death,TearDrop等,会自动被系统过滤掉congress保护网络。对防火墙来说,资源是十分宝贵的,当收到来自外来的

12、DDos攻击时,系统内部的资源全部被攻击流所占用,此时正常的资料报文肯定会受到影响。基于状态的资源控制回自动监测网络内所有的连接状态,当有连接长时间未得到应答就处于半连接状态,浪费系统资源,当系统内的半连接超过正常的范围时,就有可能判断是遭受了攻击。防火墙基于状态的资源控制能有效的控制这类情况,具体体现在一下5点:控制连接、与半连接的超时时间;必要时,可以缩短半连接的超时时间,加速半连接的老化。限制系统各个协议的最大连接值,保证协议的连接总数不超过系统限制,在达到连接上限后删除新建的连接。限制系统符合条件源/目的主机连接数量。针对源或目的IP地址做流限制,Inspect可以限制每个IP地址的资

13、源,用户在资源控制的范围内时,使用并不会受到影响,但当用户感染蠕虫病毒或发送攻击报文等情况时,针对流的资源控制可以限制每个IP地址发送的连接数目,超过限制的连接数目将被丢弃,这种做法可以有效的抑制病毒产生攻击的效果,避免其他正常使用的用户受到影响。单位时间内如果穿过防火墙的“同类”数据流超过门限值后,可以设定对该种类的数据流进行阻断,对于防止IP,ICMP,UDP等非连接的Flood攻击具有良好的防御效果。4.3智能TCP代理有效防范SYN FloodSYN Flood是DDoS攻击中危害性最强,也是最难防范的一种。这种攻击利用TCP协议的缺陷,发送大量的TCP连接请求,从而使得被攻击方资源耗

14、尽。防火墙工作时,并不会立即开启TCP代理,只有当网络中的TCP半连接达到启动警戒线时,正常TCP Intercept会自动启动,当网络中的TCP半连接达到入侵警戒线时,系统进入入侵模式,此时新连接回覆盖旧的TCP连接;此后,系统全连接数增多,半连接数减小,当半连接数降到入侵警戒线以下时,系统退出入侵模式。如果此时停止攻击,系统半连接数逐渐降到TCP代理启动警戒线以下,智能TCP代理模块停止工作。通过智能TCP代理可以有效防止SYN Flood攻击,保证网络资源安全。4.4利用NetFlow对DoS攻击和病毒监测支持NetFlow功能的防火墙,将网络交换中的资料包识别为流的方式加以记录,并封装

15、为UDP资料包发送到分析器上,这样就为网络管理、流量分析和监控、入侵检测等提供了丰富的资料来源,即可以再不影响转发性能的同时记录、发送NetFlow信息,并能够利用一些流量分析工具对接收到的资料进行分析、处理,从而可以统计出每天流量的TOP TEN或者业务的TOP TEN等,以此作为标准,当发现网络流量异常时,就可以可以利用NetFlow有效的查找、定位DDoS攻击的来源。4.5防范溢出策略目前,大多数的防火墙系统都是针对包过滤规则进行安全防御的,这种类型的防火墙在高也只能工作在传输层,而溢出程序的shellcode是放在应用层的,因此对这类攻击就无能为力了。及到对黑客的防范,必须首先明确网络

16、系统的安全。我们认为,网络系统安全有下列3个中心目标:其一是保密性,即保证非授权操作不能获取受保护的信息或计算机资源;其二是完整性,即保证非授权操作不能修改数据;其三是有效性,即保证非授权操作不能破坏信息或计算机资源。具体是指基于网络运作和网络间物理线路和联接的安全、网络信息传输的安全、操作系统安全、应用服务安全、人员管理安全等几个方面。要实现这些方面的安全,除了明确黑客攻击的原理,还必须熟悉防范采用的技术,进而才能采取具体的防范措施。对这种漏洞的解决方案如下: 常见的防范技术分为两类,即主动防范技术与被动防范技术。主动防范技术包括数字签名技术、取证技术、陷阱技术等。被动防范技术包括

17、防火墙技术、入侵检测技术等。a. 数字签名技术数字签名技术是采用加密技术的加、解密算法体制来对报文进行处理,以达到发送方不能否认所发送的报文;接收方能够证实发送方的真实身份这两方面的目的。实现数字签名的方法多种,但采用公开密钥算法要比常规算法更容易实现。公开密钥密码体制主要的特点就是加密和解密使用不同的密钥,每个用户保存着一对密钥公开密钥PK和秘密密钥SK。只有同时使用收、发双方的解密密钥和公开密钥才能获得原文,从而对口令入侵、网络监听有很好的防范作用。b. 陷阱技术陷阱技术是隐藏在防火墙后面,通过模拟一些常见的系统漏洞,制造一个被入侵的网络环境,诱导入侵者对系统发生攻击。在攻击的过程中对此环

18、境中的进出数据进行捕获与控制,并对被捕获数据进行分析,从而理解和研究入侵者们使用的工具、入侵的方法以及入侵的动机。由此获取不同系统的第一手入侵数据,这样做,一方面可以转移攻击目标,保护目标机;另一方面可以进行系统评估、优化入侵检测系统、防火墙系统,为制定强有力的安全决策提供依据。c. 取证技术取证技术是利用在受保护的计算机中事先安装上代理,当黑客入侵该机的时候,对于系统的操作,或是对于文件的修改、删除、复制、传送等行为,系统和代理会产生相应的日志文件加以记录,这些日志文件被迅速传递到取证机中加以备份保存,并由分析机调取日志文件信息,结合网络数据进行相关分析。一方面通过定性、定量的分析可以确定是

19、否入侵以及入侵的来源、入侵的方式、入侵的程度等信息;另一方面保存原始数据用来作为被入侵的证据。 d. 防火墙技术防火墙技术是在受保护网和不被信任的网络之间设立一个屏障,对进出的所有报文进行分析,或对用户进行认证,其主要功能就是通过对受保护网络的非法访问的控制,达到防范外网对内网、内网对外网的非法访问。从防火墙技术发展的总体来看,大概经历了包过滤技术、代理技术和状态监视技术3个阶段。包过滤技术主要针对网络层的安全,检查传输过程中不符合规定的IP地址;代理技术是通过在两个网络之间设置代理服务器,检查双方信息传输的合法性,由此将内部用户与外界隔离开来;状态监视技术是在不影响安全正常工作的前提下,通过

20、对相关数据采样来对网络的各层实行监测,为安全决策提供支持。e. 入侵检测技术入侵检测技术是通过对系统与网络日志文件、私有数据文件、程序执行中的不期望行为等方面信息的搜集,利用模式匹配、统计分析、完整性校验等方法进行监视分析用户和系统行为、审计系统配置和漏洞、评估敏感系统和数据的完整性以达到对入侵行为识别、预警、报告、处理的目的。大体上分为两类,即基于主机的入侵检测技术与基于网络的入侵检测技术。前者分析得细致,结论准确性高;后者响应得及时,便于实时分析,两者各有所长。实际应用中可相互补充、结合进行。  在具体的生活实际中,要进行防范黑客入侵的工作,往往要从两方面着手。一方面是

21、弥补人员自身存在的缺陷;另一方面是从实际的网络环境出发,改善安全状况。a. 弥补人员自身的缺陷首先,要强化管理人员的安全防范意识。管理人员,作为安全防范第一线的负责人,责任重大。要求不仅具备系统管理的必备知识,熟悉系统的漏洞与常出现的问题,而且应具备全局意识,明确本地的安全策略,选择安全的服务器系统,设置安全的存取控制权限,定期分析系统日志、备份重要文件,及时解决如操作系统的补丁程序的下载、安装,入侵行为的处理等方面的问题,而且要不定期组织相关人员的培训,提高安全防范的技能。其次,树立个人的安全防范意识,这一点说起来容易,做起来很难。例如:你是否常常对不明来历的邮件感兴趣,并随意地打开?你是否

22、下载不知名的软件并运行?在密码设置上是否是用纯数字、纯字符或是英文单词,并且常常不更换?你是否有备份的习惯等等。这时候,也许某个木马程序已经悄悄植入,帐号密码已经更换,文件已被窃取。关于网站安全调查的结果表明:超过80的安全侵犯都是由于人们选用了拙劣的口令而导致的。所以,安全防范意识一定要从使用者本身抓起。b. 改善网络环境的安全状况根据本地的安全策略,选择适合的安全防范系统。上图给出了一个局域网的安全防范拓扑图。首先考虑安装防火墙(见图。防火墙技术是控制对网络系统访问的首选方法。据某网站统计,超过三分之一的Web网点都是通过某种形式的防火墙加以保护,有百分之七十的网络入侵可以通过防火墙防范于

23、未然。另外,任何对关键服务器的访问都应该通过代理服务器,这虽然降低了服务的某些性能,但从安全的角度考虑,是完全值得的。其次考虑安装入侵检测系统(IDS。前面已经介绍了基于主机的入侵检测系统(见图和基于网络的入侵检测系统(见图的特点。前者性能价格比高,不需增加专门的硬件平台,适用于被加密的、交换的环境;后者价格昂贵,但侦测速度快、隐蔽性好、占用资源少、不依赖主机的操作系统。二者各有优劣,可根据安全策略的不同考虑采取不同措施,也可以二者结合使用。第三考虑安装取证系统(见图。在实际的入侵防范中,许多入侵行为都是转瞬即逝的,即使察觉也难于拿出证据,并将入侵者诉诸于公堂。于是就迫切需要由第三方公证的取证

24、系统出台,为利益损失的一方提出诉讼的依据,以便维护损失方的利益。那么,有此方面安全策略需求的可以采取安装取证系统。第四考虑安装陷阱系统(见图。这一系统主要针对网络入侵行为的研究,入侵的时间、入侵的渠道、采用的方法、入侵的目的等,可以作为辅助手段用于分析网络的系统漏洞,需要采用什么样的安全策略,需要在哪些方面调整,为进一步监督、保障安全策略的执行做好准备。4.6对希望保护的主机实行“单独开放端口”访问控制策略所谓“单独开放窗口”就是指只开放需要提供的端口,对于不需要提供服务的端口实行过滤策略。远程溢出的攻击实施流程如图3-2-1所示。图3-2-1 远程溢出的攻击实施流程图使用“单独开放端口”策略的解决方案对整个远程溢出过程所发生的前三部都是无能为力的,但第四步能够有效地阻止黑客连上有缺陷主机的被溢出端口,从而切断了黑客的恶意攻击手段。这种方案的优点是操作简单,一般的网络/系统管理员

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论