网络入侵与防范

1、广东岭南职业技术学院毕 业 设 计课题：网络入侵与防范指 导 教 师：徐丙文老师广东岭南职业技术学院Guangdong Lingnan Institute of Technology姓 名： 叶慧娟专 业：电子商务学 号：08601130208目录网络入侵与防范1摘要11 计算机的发展概况22 计算机网络入侵攻击的特点22.1损失巨大22.2威胁社会和国家安全22.3手段多样，手法隐蔽22.4以软件攻击为主23 计算机网络中的安全缺陷及产生的原因23.1 TCP/IP的脆弱性。23.2网络结构的不安全性23.3易被窃听23.4 缺乏安全意识24 网络攻击和入侵的主要途径34.1破译口令34.2

2、IP欺骗34.3DNS欺骗35 常见的网络攻击及其防范对策35.1特洛伊木马35.2邮件炸弹45.3过载攻击45.4淹没攻击46 防范网络入侵和攻击的主要技术46.1  访问控制技术56.2  防火墙技术56.3  数据加密技术56.4  入侵检测技术66.5 安全扫描66.6  安全审计66.7 安全管理67  结束语7网络入侵与防范摘要随着计算机网络技术的高速发展和普及，信息化已成为人类社会发展的大趋势。但是，由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征，致使网络容易受黑客、恶意软件和其

3、它不轨行为的攻击，威胁网络信息的安全，所以信息的安全和保密就成为一个至关重要的问题被信息社会的各个领域所重视。要保证网络信息的安全，有效防范网络入侵和攻击，就必须熟悉网络入侵和攻击的常用方法，在此基础上才能制定行之有效地防范策略，确保网络安全。1 计算机的发展概况计算机网络经过40多年不断发展和完善，现在正以高速的发展方向迈进。全球的因特网装置之间的通信量将超过人与人之间的通信量，因特网将从一个单纯的大型数据中心发展成为一个高智商网络，将成为人与信息之间的高层调节者。带宽的成本将会变得非常低，甚至忽略不计。在不久的将来，无线网络将更加普及，尤其短距无线网络的前景更大。在计算机网络飞速发展的同时

4、，网络安全问题也更加突出，因此各国正不断致力于开发和设计新的加密算法加密机制，加强安全技术的应用也是网络发展的一个重要内容。总之，计算机网络在今后的发展中范围更广、潜力更大，将会融入到社会各个领域。2 计算机网络入侵攻击的特点2.1损失巨大由于攻击和入侵的对象是网络上的计算机，所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的 经济 损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。2.2威胁社会和国家安全一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击

5、目标，从而对社会和国家安全造成威胁。2.3手段多样，手法隐蔽计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息；也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统；还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。因而犯罪不留痕迹，隐蔽性很强。2.4以软件攻击为主几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此，这一方面导致了计算机犯罪的隐蔽性，另一方面又要求人们对计算机的各种软件（包括计算机通信过

6、程中的信息流）进行严格的保护。2.5计算机软件漏洞中国日报网消息：IE浏览器4日再次曝出新的安全漏洞，该IE漏洞可被黑客远程利用，并能够获取用户隐私信息，提醒使用IE浏览器的用户特别关注。据了解，作为微软VIA成员，金山安全实验室第一时间获取了该漏洞的相关信息。国家计算机网络入侵防范中心发布安全漏洞周报称，上周安全漏洞共计有个，其中高危漏洞个，安全漏洞总量相比前一周有所上升。金山反病毒专家李铁军表示，新的IE漏洞目前还不能被用来挂马传播病毒，但可以被黑客用来远程获得用户的隐私信息，如IE访问记录等，黑客掌握了用户的一些私人信息之后，有可能实行进一步欺诈攻击。李铁军说，该漏洞可能影响到的IE浏览

7、器版本包括windows2000IE5IE6版本以windowsxpIE6IE7IE8等版本。黑客通过精心构造的恶意代码，攻击某些网站并上传恶意代码到被攻击网站的服务器。用户访问被攻击的网站时，可能导致用户隐私信息泄露。无论多强大的软件在设计之初都难免存在缺陷或漏洞，操作系统软件也不例外。系统主机之间互异的操作系统具有相对的独立性，同样性质的漏洞，也会由于操作系统软件设计开发过程的不同，而具有不一样的表现形式。攻击者可以很“方便”的通过漏洞对计算机系统进行破坏，造成主机瘫痪、重要资料丢失等，严重影响系统的正常运行。3 计算机网络中的安全缺陷及产生的原因3.1 TCP/IP的脆弱性。 因特网的基

8、石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。3.2 网络结构的不安全性因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。3.3易被窃听由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的 电子 邮件、口令和传输的文件进行窃听。3.4 缺乏安全

9、意识虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。4 网络攻击和入侵的主要途径网络入侵是指网络攻击者通过非法的手段（如破译口令、电子欺骗等）获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。4.1 破译口令口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，

10、然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如：利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。4.2 IP欺骗IP欺骗是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行

11、TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中，入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址，它们之间互相信任。由于这种信任关系，这些计算机彼此可以不进行地址的认证而执行远程操作。4.3 DNS欺骗域名系统（DNS）是一种用于TCP/IP 应用 程序的分布式数据库，它提供主机名字和IP地址之间的转换信息

12、。通常， 网络 用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。5 常见的网络攻击及其

13、防范对策5.1特洛伊木马特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序，采用服务器客户机的运行方式，从而达到在上网时控制你电脑的目的。特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分，即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的程序中，从而使它们受到感染。此类攻

14、击对 计算 机的危害极大，通过特洛伊木马，网络攻击者可以读写未经授权的文件，甚至可以获得对被攻击的计算机的控制权。防止在正常程序中隐藏特洛伊木马的主要 方法 是人们在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。5.2邮件炸弹电子 邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间消耗殆尽，从而阻止用户对正常邮件的接收，防碍计算机的正常工

15、作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。防止邮件炸弹的方法主要有通过配置路由器，有选择地接收电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息，也可使自己的SMTP连接只能达成指定的服务器，从而免受外界邮件的侵袭。5.3过载攻击过载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处于繁忙的状态，从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击，它是通过大量地进行人为地增大CPU的工作量，耗费CPU的工作时间，使其它的用户一直处于等待状态。防止过载攻击的方法有：限制单个用户所拥有的最大进程数；杀死一些耗时

16、的进程。然而，不幸的是这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求得不到系统的响应，从而出现类似拒绝服务的现象。通常，管理员可以使用网络监视工具来发现这种攻击，通过主机列表和网络地址列表来 分析 问题 的所在，也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外，还可以让系统自动检查是否过载或者重新启动系统。5.4淹没攻击正常情况下，TCP连接建立要经历3次握手的过程，即客户机向主机发送SYN请求信号；目标主机收到请求信号后向客户机发送SYN/ACK消息；客户机收到SYN/ACK消息后再向主机发送RST信号并

17、断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址，向被攻击主机发出SYN请求信号，当被攻击主机收到SYN请求信号后，它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时主机的IP不存在或当时没有被使用所以无法向主机发送RST，因此，造成被攻击的主机一直处于等待状态，直至超时。如果攻击者不断地向被攻击的主机发送SYN请求，被攻击主机就会一直处于等待状态，从而无法响应其他用户的请求。对付淹没攻击的最好方法是实时监控系统处于SYN-RECEIVED状态的连接数，当连接数超过某一给定的数值时，实时关闭这些连接。6 防范网络入侵和

18、攻击的主要技术在网络环境下，由于种种原因，网络被入侵和攻击是难免的。但是，通过加强管理和采用必要的技术手段可以减少入侵和攻击行为，避免因入侵和攻击造成的各种损失。下面就介绍几种主要的防范入侵和攻击的技术措施。6.1  访问控制技术访问控制的主要目的是确保网络资源不被非法访问和非法利用，是网络安全保护和防范的核心策略之一。访问控制技术主要用于对静态信息的保护，需要系统级别的支持，一般在操作系统中实现。目前，访问控制主要涉及入网访问控制、权限控制、目录级安全控制以及属性安全控制等多种手段。    入网访问控制通过对用户名、用户密码和用户帐号默认权限的综合验证

19、、检查来限制用户对网络的访问，它能控制哪些用户、在什么时间以及使用哪台主机入网。入网访问控制为网络访问提供了第一层访问控制。    网络用户一般分为三类：系统管理员用户，负责网络系统的配置和管理；普通用户，由系统管理员创建并根据他们的实际需要为其分配权限；审计用户，负责网络系统的安全控制和资源使用情况的审计。用户入网后就可以根据自身的权限访问网络资源。权限控制通过访问控制表来规范和限制用户对网络资源访问，访问控制表中规定了用户可以访问哪些目录、子目录、文件和其它资源，指定用户对这些文件、目录等资源能够执行哪些操作。    系统管理员为

20、用户在目录一级指定的权限对该目录下的所有文件和子目录均有效。如果用户滥用权限，则会对这些目录、文件或设备等网络资源构成威胁。目录级安全控制可以限制yonghu对目录和文件的访问权限，进而保护目录和文件的安全，防止用户权限滥用。属性安全控制是通过给网络资源设置安全属性标记来实现的。take以将目录或文件隐藏、共享和设置成系统特性，可以xianzhiyong户对文件进行读、写、删除、运行等操作等。属性安全在权限安全的基础上提供更进一步的安全性。    6.2  防火墙技术    防火墙是一种高级访问控制设备，是置于不同网络安全域

21、之间的一系列部件的组合，是不同网络安全域间通信流的惟一通道，它能根据有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙是网络安全的屏障，是提供安全信息服务、实现网络安全的基础设施之一。防火墙能极大地提高一个内部网络的安全性，防止来自被保护区域外部的攻击，并通过过滤不安全的服务而降低风险；能防止内部信息外泄和屏蔽有害信息，利用防火墙对内部网络的划分，可以实现内部网络重点网段的隔离，限制安全问题扩散，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响；能强化网络安全策略，将局域网的安全管理集中在一起，便于统一管理和执行安quance略；能严格监控和审计进出网络的信息，如果

22、所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。6.3  数据加密技术    数据加mineng防止入侵者查看、篡改机密的数据文件，使入侵者不能轻易地查找一个系统的文件。数据加密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行加密来保障其安全性，是一种主动的安全防御策略。数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换受“密钥”控制。常用的数据加密技术有私用密钥加密技术和公开密钥加

23、密技术。私用密钥加密技术利用同一个密钥对数据进行加密和解密，这个密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信息，也可以用该密钥解密信息。DES是私用密钥加密技术中最具代表性的算法。gongkaimiyue加密技术采用两个不同的密钥进行加密和jiemi，这两个密钥是公钥和私钥。如果用公钥对数据进行加密，只有用对应的私钥才能进行解密；如果用私钥对数据进行加密，则只有用对应的公钥才能解密。公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的用公钥加密过的信息。目前比较安全的采用公开密钥加密技术的算法主要有RSA算法及其变种Rabin算

24、法等。6.4  入侵检测技术    入侵检测是对入侵行为的检测，它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中shifou存在违反安全策略的行为和被攻击的迹象。    用于入侵检测的软件与硬件的组合便是入侵检测系统，入侵检测系统被认为是防火墙之后的第二道安全闸门，它能监视分xiyonghu及系统活动，查找用户的非法操作，评估重要系统和数据文件的完整性，检测系统配置的正确性，提示管理员修补系统漏洞；能实时地对检测到的入侵行为进行反应，在入侵攻击对系统发生

25、危害前利用报警与防护系统驱逐入侵攻击，在入侵攻击过程中减少入侵攻击所造成的损失，在被入侵攻击后收集入侵攻击的相关信息，作为防范系统的知识，添加入侵策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵攻击。入侵检测作为一动态安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，它与静态安全防御技术(防火墙)xianghu配合可构成坚固的网络安全防御体系。6.5 安全扫描    安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，以找出安全隐患和可能被攻击者利用的漏洞。安全扫描是把双刃剑，攻击者利用它

26、可以入侵系统，而管理员利用它可以有效地防范攻击者入侵。    安全扫描常采用基于网络的主动式策略和基于主机的被动式策略。主动式策略就是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞；而被动式策略就是对系统中不合适的设置，脆弱的口令以及其它同安全规则抵触的对象进行检查。利用被动式策略扫描称为系统安全扫描，利用主动式策略扫描称为网络安全扫描。 目前，安全扫描主要涉及四种检测技术：基于应用的检测技术、基于主机的检测技术、基于目标的漏洞检测技术、基于网络的检测技术。6.6  安全审计    网络安全是动态的，对已经建立的系统，如果没有实时的