网络安全技术论文.doc

1、 网络安全技术浅析网络攻击与防范梁秋华 1000150303【摘要】近年来，以Internet为标志的计算机网络协议、标准和应用技术的发展异常迅速。但Internet恰似一把锋利的双刃剑，它在为人们带来便利的同时，也为计算机病毒和计算机犯罪提供了土壤，针对系统、网络协议及数据库等，无论是其自身的设计缺陷，还是由于人为的因素产生的各种安全漏洞，都可能被一些另有图谋的黑客所利用并发起攻击，因此建立有效的网络安全防范体系就更为迫切。若要保证网络安全、可靠，则必须熟知黑客网络攻击的一般过程。只有这样方可在黒客攻击前做好必要的防备，从而确保网络运行的安全和可靠。本文浅析了网络攻击的步骤、方法以及常用的攻

2、击工具，并从几方面讲了具体的防范措施，让读者有全面的网络认识，在对待网络威胁时有充足的准备。【关键词】 网络安全、黑客、入侵与攻击、木马【正文】一：网络安全由于互联网络的发展，整个世界经济正在迅速地融为一体，而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在迅速普及，整个社会对网络的依赖程度越来越大。众多的企业、组织、政府部门与机构都在组建和发展自己的网络，并连接到Internet上，以充分共享、利用网络的信息和资源。网络已经成为社会和经济发展的强大动力，其地位越来越重要。伴随着网络的发展，也产生了各种各样的问题，其中安全问题尤为突出

3、。了解网络面临的各种威胁，防范和消除这些威胁，实现真正的网络安全已经成了网络发展中最重要的事情。网络安全问题已成为信息时代人类共同面临的挑战，国内的网络安全问题也日益突出。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁；信息基础设施面临网络安全的挑战；信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节；网络政治颠覆活动频繁。随着信息化进程的深入和互联网的迅速发展，人们的工作、学习和生活方式正在发生巨大变化，效率大为提高，信息资源得到最大程度的共享。但必须看到，紧随信息化发展而来的网络安全问题日渐凸出，如果不很好地解决这个问题，必将阻碍信息化发展的进程。网

4、络面临的主要威胁主要来自下面几方面:1. 黑客的攻击黑客对于大家来说，不再是一个高深莫测的人物，黑客技术逐渐被越来越多的人掌握和发展，目前，世界上有20多万个黑客网站，这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞，因而系统、站点遭受攻击的可能性就变大了。尤其是现在还缺乏针对网络犯罪卓有成效的反击和跟踪手段，使得黑客攻击的隐蔽性好，“杀伤力”强，是网络安全的主要威胁。2. 管理的欠缺 网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上，很多企业、机构及用户的网站或系统都疏于这方面的管理。据IT界企业团体ITAA的调查显示，美国90的IT企业对黑客攻击准备不足。目前，美

5、国7585的网站都抵挡不住黑客的攻击，约有75的企业网上信息失窃，其中25的企业损失在25万美元以上。3. 网络的缺陷 因特网的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议簇，缺乏相应的安全机制，而且因特网最初的设计考虑是该网不会因局部故障而影响信息的传输，基本没有考虑安全问题，因此它在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。4. 软件的漏洞或“后门”随着软件系统规模的不断增大，系统中的安全漏洞或“后门”也不可避免的存在，比如我们常用的操作系统，无论是Windows还是UNIX几乎都存在或多或少的安全漏洞，众多的各类服务器、浏览器、一些桌面软件等等都

6、被发现过存在安全隐患。大家熟悉的尼母达,中国黑客等病毒都是利用微软系统的漏洞给企业造成巨大损失,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，这也是网络安全的主要威胁之一。5. 企业网络内部网络内部用户的误操作，资源滥用和恶意行为防不胜防，再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的滥用做出反应。网络环境的复杂性、多变性，以及信息系统的脆弱性，决定了网络安全威胁的客观存在。我国日益开放并融入世界，但加强安全监管和建立保护屏障不可或缺。目前我国政府、相关部门和有识之士都把网络监管提到新的高度，衷心希望在不久的将来，我国信息安全工作能跟随信

7、息化发展，上一个新台阶。二：黑客黑客最早源自英文hacker，早期在美国的电脑界是带有褒义的。但在媒体报导中，黑客一词往往指那些“软件骇客”(software cracker)。黑客一词，原指热心于计算机技术，水平高超的电脑专家，尤其是程序设计人员。但到了今天，黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。黑客攻击(hacker attack)是指黑客破解或破坏某个程序、系统及网络安全,或者破解某系统或网络以提醒该系统所有者的系统安全漏洞的过程。黑客热衷于攻击电脑，一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整，归纳起来就是“黑客攻击五部曲”。如下图：利

8、用系统漏洞，通过输入区发送特殊命令，造成缓冲区溢出，猜测用户口令，从而发现突破口扫描网络选中攻击目标获取普通用户权限获取超级用户权限擦除入侵痕迹安装后门新建帐号攻击其他主机截获修改信息第一步：隐藏IP 这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”

9、，这样跨国度的攻击，一般很难被侦破。第二步：踩点扫描踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。第三步：获得系统或管理员权限 得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限；通过管理漏洞获得管理员权限；通过软件漏洞得到系统权限；通过监听获得敏感信息进一步获得相应权限；通过弱口令获得远程管理员的用户密码；通过穷举法获得远程管理员

10、的用户密码；通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权；通过欺骗获得权限以及其他有效的方法。第四步：种植后门 为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。第五步：在网络中隐身 一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现，在入侵完毕后需要清除登录日志已经其他相关的日志。网络攻击的原理和手法：1. 口令入侵 2. 放置特洛伊木马程序 3. WWW的欺骗技术 4. 电子邮件攻击 6. 网络监听 5. 通过一个节点来攻击其他节点 7. 利用黑客软件攻击 8. 安全漏洞攻击 9. 端口扫描攻击 (此处作了解

11、即可，不做详细介绍)三：网络入侵与攻击、木马网络入侵是一个广义上的概念，它是指任何威胁和破坏计算机或网络系统资源的行为，例如非授权访问或越权访问系统资源、搭线窃听网络信息等。入侵行为的人或主机称为入侵者。一个完整的入侵包括入侵准备、攻击、侵入实施等过程。而攻击是入侵者进行入侵所采取的技术手段和方法，入侵的整个过程都伴随着攻击，有时也把入侵者(Intruder)称为攻击者(Attacker)。入侵者（或攻击者）所采用的攻击手段:冒充-将自己伪装成为合法用户（如系统管理员），并以合法的形式攻击系统。重放-攻击者首先复制合法用户所发出的数据（或部分数据），然后进行重发，以欺骗接收者，进而达到非授权入

12、侵的目的。篡改。服务拒绝-中止或干扰服务器为合法用户提供服务或抑制所有流向某一特定目标的数据。内部攻击-利用其所拥有的权限对系统进行破坏活动。外部攻击-通过搭线窃听、截获辐射信号、冒充系统管理人员或授权用户、设置旁路躲避鉴别和访问控制机制等各种手段入侵系统。 陷阱门-首先通过某种方式侵入系统，然后安装陷阱门（如值入木马程序）。并通过更改系统功能属性和相关参数，使入侵者在非授权情况下能对系统进行各种非法操作。特洛伊木马-这是一种具有双重功能的客户/服务体系结构。特洛伊木马系统不但拥有授权功能，而且还拥有非授权功能，一旦建立这样的体系，整个系统便被占领。攻击者常用的攻击工具1.D.O.S攻击工具：

13、 DoS (Denial of Service,拒绝服务)和DDoS(Distributed Denial of Service,分布式拒绝服务)是两种常见的攻击方式，虽然实现原理比较简单，但产生的破坏性却较强。攻击原理：DoS攻击的目的就是让被攻击主机拒绝用户的正常服务访问，破坏系统的正常运行，最终使用户的部分Internet连接和网络系统失效。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务-让被攻击主机无法响应正常的用户请求。-消耗资源(处理-CPU/缓存；带宽)如WinNuke通过发送OOB漏洞导致系统蓝屏；Bonk通过发送大量伪造的UDP数据包

14、导致系统重启；TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃；WinArp通过发特殊数据包在对方机器上产生大量的窗口；Land通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动；FluShot通过发送特定IP包导致系统凝固；Bloo通过发送大量的ICMP数据包导致系统变慢甚至凝固；PIMP通过IGMP漏洞导致系统蓝屏甚至重新启动；Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动。 DoS攻击的基本过程 DDoS的攻击原理2木马木马主要用来作为远程控制、窃取密码的工具，它是一个具有内外连接功能的后门程序。一般的木马程序包括客户端和服务器端两个程序

15、，其中客户端用于攻击者远程控制植入木马的计算机（即服务器端），而服务器端即是植入木马程序的远程计算机。当木马程序或带有木马的其他程序执行后，木马首先会在系统中潜伏下来，并修改系统的配置参数，每次启动系统时都能够实现木马程序的自动加载。运行木马的客户端和服务器端在工作方式上属于客户机/服务器模式（Client/Server，C/S客户端在本地主机执行，用来控制服务器端。而服务器端则在远程主机上执行，一旦执行成功该主机就中了木马，就可以成为一台服务器，可以被控制者进行远程管理。 木马传播过程：配置木马（伪装木马）传播木马（通过文件下载或电子邮件等方式）运行木马（自动安装并运行）信息泄露建立连接远程

16、控制。 木马的隐藏方式：在“任务栏”里隐藏当木马运行时已不会在任务栏中显示其程序图标。在“任务管理器”里隐藏在任务栏的空白位置单击鼠标右键，在出现的快捷菜单中选择“任务管理器”，打开其“进程”列表，就可以查看正在运行的进程。 进程中的伪装；伪装成系统服务。通过修改系统配置文件来隐藏木马可以通过修改VXD（虚拟设备驱动程序）或DLL（动态链接库）文件来加载木马。 不增加文件/不打开新的端口/没有新的进程。线程注入-产生一个特殊的线程，这个线程能够将一段执行代码连接到另一个进程所处的内存空间里，作为另一个进程的其中一个非核心线程来运行，从而达到交换数据的目的，这个连接的过程被称为“注入”（inje

17、ction）。常见的木马程序：(1) BO2000(BackOrifice)：它是功能最全的TCPIP构架的攻击工具，可以搜集信息，执行系统命令，重新设置机器，重新定向网络的客户端服务器应用程序。BO2000支持多个网络协议，它可以利用TCP或UDP来传送，还可以用XOR加密算法或更高级的3DES加密算法加密。感染BO2000后机器就完全在别人的控制之下，黑客成了超级用户，你的所有操作都可由BO2000自带的“秘密摄像机”录制成“录像带”。 (2)“冰河”：冰河是一个国产木马程序，具有简单的中文使用界面，且只有少数流行的反病毒、防火墙才能查出冰河的存在。冰河的功能比起国外的木马程序来一点也不逊

18、色。 它可以自动跟踪目标机器的屏幕变化，可以完全模拟键盘及鼠标输入，即在使被控端屏幕变化和监控端产生同步的同时，被监控端的一切键盘及鼠标操作将反映在控端的屏幕。它可以记录各种口令信息，包括开机口令、屏保口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息；它可以获取系统信息；它还可以进行注册表操作，包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。 (3) NetSpy：可以运行于Windows9598NT2000等多种平台上，它是一个基于TCPIP的简单的文件传送软件，但实际上你可以将它看作一个没有权限控制的增强型FTP服务器。通过它，攻击者可以神不知鬼不觉地下载和

19、上传目标机器上的任意文件，并可以执行一些特殊的操作。 (4) Glacier：该程序可以自动跟踪目标计算机的屏幕变化、获取目标计算机登录口令及各种密码类信息、获取目标计算机系统信息、限制目标计算机系统功能、任意操作目标计算机文件及目录、远程关机、发送信息等多种监控功能，类似于BO2000。 (5) KeyboardGhost：Windows系统是一个以消息循环(MessageLoop)为基础的操作系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区，其数据结构形式是队列。键盘幽灵正是通过直接访问这一队列，使键盘上输入你的电子邮箱、代理的账号、密码Password（显示在屏幕上的是星号）得以记

20、录，一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来，并在系统根目录下生成一文件名为KG.DAT的隐含文件。 (6) ExeBind：这个程序可以将指定的攻击程序捆绑到任何一个广为传播的热门软件上，使宿主程序执行时，寄生程序也在后台被执行，且支持多重捆绑。实际上是通过多次分割文件，多次从父进程中调用子进程来实现的。对防范网络攻击的建议:在对网络攻击进行上述分析与识别的基础上，我们应当认真制定有针对性的策略。明确安全对象，设置强有力的安全保障体系。有的放矢，在网络中层层设防，发挥网络的每层作用，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪，预防为主 ，将

21、重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网络安全问题，提出的几点建议： 1. 提高安全意识 (1)不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序，比如“特洛伊”类黑客程序就需要骗你运行。 (2)尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。 (3)密码设置尽可能使用字母数字混排，单纯的英文或者数字很容易穷举。将常用的密码设置不同，防止被人查出一个，连带到重要密码。重要密码最好经常更换。 (4)及时下载安装系统补丁程序。 (5)不随便运行黑客程序，不少这类程序

22、运行时会发出你的个人信息。 (6)在支持HTML的BBS上，如发现提交警告，先看源代码，很可能是骗取密码的陷阱。 2. 使用防毒、防黑等防火墙软件 防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障，也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻档外部网络的侵入。3. 设置代理服务器，隐藏自已的IP地址 保护自己的IP地址是很重要的。事实上，即便你的机器上被安装了木马程序，若没有你的IP地址，攻击者也是没有办法的，而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用，其功能类似于

23、一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务，如果接受，它就向内部网络转发这项请求。 4. 将防毒、防黑当成日常例性工作，定时更新防毒组件，将防毒软件保持在常驻状态，以彻底防毒。 5. 由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒。 6. 对于重要的个人资料做好严密的保护，并养成资料备份的习惯。网络攻击越来越猖獗，对网络安全造成了很大的威胁。对于任何黑客的恶意攻击，都有办法来防御，只要了解了他们的攻击手段，具有丰富的网络知识，就可以抵御黑客们的疯狂攻击。一些初学网络的朋友也不必担心，因为目前市场上也已推出许多网络安全方案，以及各式防火墙，相信在不久的将来，网络一定会是一个安全的信息传输媒体。特别需要强调的是，在任何时候都应将网络安全教育放在整个安全体系的首位，努力提高所有网络用户的安全意识和基本防范技术，这对提高整个网络的安全性有着十分重要的意义。【参考文献】