常见网络入侵技术及网络防护技术简介

常见网络入侵技术和网络防护技术简述 随着计算机和网络技术的快速发展，网络信息已经成为社会发展的重要组成部分，涉及到国家的政府、军事、经济等诸多领域。由于计算机网络组成形式的多样性和网络的开放性等特点，致使这些网络信息容易受到来自世界各地的各种人为攻击。据统计，全球每20秒就有一起黑客事件发生，因此网络安全成为了全世界范围内一个无法回避且急需解决的问题。本文简单介绍了几种常见的网络入侵手段和网络防护技术。 一、背景 上世纪九十年代开始发展起来的计算机网络技术，给人们在处理信息和资源共享带来了极大的方便，深刻影响并改变着我们的生活方式。当各种商业活动， 金融领域，国家政府机构，军事国防对网络依赖度越来越高时，也不得不面对更多来自网络安全方面的考验。随之出现的诸如木马，蠕虫，DoS攻击等，正在成为网络安全最大的威胁。 全球知名的个人电脑安全软件制造商Symantec专家Ⅵncent Weaver在接受新华社记者采访时说：“中国排全球互联网黑客攻击的第三号目标。”中国互联网络信息中心(CNNIC)报告指出，截至 2013年底，网民人数已达 6.18亿，手机网民超过 5亿，同样面临着严重的安全威胁。其中计算机病毒感染率更是长期处于较高水平。每年因计算机病毒、蠕虫和木马造成的安全事件占全部安全事件的83%。近年来国内发生了许多网络安全事件，其中部分事件有着重大的社会和政治影响。我国重要信息系统受到境内、外恶意病毒的攻击，木马的侵入、渗透，危害相当严重。从整个国家和地区情况看，近年来世界广为知晓的“棱镜门”事件，以及前一个时期通过国外媒体暴露的有关国内知名的公司核心服务器受到侵害的安全问题非常突出。国外媒体报道的中国周边国家韩国突发的网络安全和信息瘫痪的事件，都令人深思和警醒。随着互联网的发展，网络安全给我们带来的挑战应该更加凸显。尽管这几年我国政府在逐步的加大网络安全方面的工作力度、技术投入和资金保障，但仍然客观存在着网络安全的问题，有的还比较突出，整个形势不容乐观。 二、网络攻击新趋势 互联网上肆意传播着大量木马、病毒，除此之外网络攻击技术和攻击工具也有了新的发展趋势，网络攻击呈实时化、多样化、复杂化等特点，主要表现在一下几个方面： 1．攻击工具的自动化水平越来越高，且攻击速度越来越快；攻击工具目前已经发展到了可以通过自动升级，或者更改工具的其中一部分来迅速改变自身，进而发动快速变化的攻击，且可以做到在每次攻击中使用不同种类不同形态的多种攻击工具。 2．攻击程序越来越复杂和隐蔽； 比如一些攻击程序会借鉴计算机病毒的技术发展，很快编写出能够反查杀的变形木马等一系列在复杂恶劣的网络环境下更加具有生存能力的新型攻击程序；另外，程序在执行时不会在系统中显示出来，攻击者也会利用NTFS流来隐藏木马程序文件，使用隐蔽信道等之类的手段更好地对自身加以隐藏。 3．攻击者发现安全漏洞的速度越来越快； 只要使用电脑，操作系统和应用软件都是用户必备的工具，然而新发现的各种系统、软件与网络安全的漏洞都在不断地增加，几乎每一年都会有安全漏洞的新类型被发现，网管或用户需要在第一时间用最新的软件补丁对这些漏洞进行修补。但攻击者往往能够抢这些新安全漏洞被修补前，发现并加以利用发起攻击。 4．防火墙的被渗透率越来越高； 目前，很多的网络攻击技术都可以成功绕过防火墙，例如IPP(网络打印 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 ) 和WebDAV都可以被攻击者利用来绕过防火墙。使用http—tunnel的通道技术也能有效地渗透并通过防火墙。 5．对用户造成的影响越来越大； 由于用户对计算机的依赖度越来越高，同时也需要使用网络所提供的各项服务，严重的攻击会导致网络大面积长时间地瘫痪，严重的干扰到了用户的各项日常工作和业务，甚至可能会给国家和个人造成无可挽回的巨大经济损失。基于以上种种原因，网络安全已成为了全世界范围内的共识，加之对安全领域的探索和研究日益深入，如何保护计算机网络系统的安全也越来越被人们所重视。然而，迅猛增加的网民并未能和必须具备的网络安全意识与知识同步，信息安全观念较为淡薄，不能很好的采取相应的安全措施来保护自身的网络环境，也直接导致了此类用户很容易被攻击者利用成为网络攻击源。我国对全球互联网的安全威胁很低，但由于缺乏安全意识遭受境外的网络攻击却持续增多，2011年，有近4.7万个境外口地址控制了我国境内主机。 三、常见的网络入侵类型 网络入侵技术通常利用网络或系统存在的漏洞和安全缺陷进行的攻击，最终以窃取目标主机的信息或破坏系统为主要目的。因此，当某些系统缺陷、安全漏洞被修补之后，这些入侵方式也就很难得逞了。通常情况下，入侵都是以信息搜集为前提，对目标系统的脆弱点采取相应攻击入侵手段，从而达到入侵目的。网络入侵时时刻刻都在发生，其方式也可谓五花八门，具体种类更是无从列举，目前常见的入侵类型有： 1．描探测和嗅探 扫描探测攻击是指攻击者通过在得到目标IP地址空间后，利用特定的软件对其进行扫描或嗅探，根据扫描技术侦察得知目标主机的扫描端口是否是处于激活状态，主机提供了哪些服务，提供的服务中是否含有某些缺陷，及服务器的操作系统，从而为以后的入侵攻击打下基础。扫描探测是攻击的第一步，大多数入侵者都会在对系统发动攻击之前进行扫描。常见的探测攻击有NMAP、XSc趾、Nessus 等，有的探测工具甚至还具有自动攻击等功能。端口扫描活动是针对TCP和UDP端口的，NULL端口扫描，FIN端口扫描，XMAS端口扫描，这是几个比较类似的扫描方式。入侵者发送一个TCP包出去，如果收到带有RST标志的包，表示端口是关闭的，如果什么包也没有收到，就有端口打开的可能性。漏洞扫描是针对软硬件系统平台存在某些形式的脆弱性，扫描方式主要有CGI漏洞扫描，POP3漏洞扫描，HTTP漏洞扫描等，这些漏洞扫描都是建立在漏洞库基础之上的，最后再把扫描结果与漏洞库数据进行匹配得到漏洞信息。为降低被防火墙或IDS 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 到的风险，攻击者则会采用比较隐蔽得扫描方式，如慢扫描或分布式扫描等。扫描技术正向着高速，隐蔽，智能化的方向发展。然而扫描作为一种主动攻击行为很容易被发现，而嗅探则要隐蔽得多。嗅探是指攻击者对网络上流通的所有数据包进，从而获取并筛选出对自己入侵有用的信息。常用工具如SnifferPro等。除了扫描和嗅探，入侵者还会利用一些比较实用的软件，诸如ping、nslookup、traceeroute、whois等对目标系统网络结构等进行探测。 2．拒绝服务(DoS)攻击 Dos是Denial of SeⅣice的简称，即拒绝服务攻击，指利用网络协议的缺陷来耗尽被入侵目标的资源，使得被入侵主机或网络不能提供正常的服务和资源访问为，最终使得目标系统停止响应甚至崩溃。是网络上攻击比较频繁，影响严重的一类攻击。攻击示意图如下： 分布式拒绝服务DDoS攻击的基础是传统的DoS攻击。分布式拒绝服务DDoS 通过控制大量的计算机，并将它们联合起来形成一个攻击平台，对目标网络发起发动DoS攻击，从而大大地提高了拒绝服务攻击的破坏力。DDoS攻击通过感染了特殊恶意软件的计算机所组成的“僵尸网络(Botnet)”来实现。大量DDoS攻击旨在关闭系统，然后无声地进入网络而不被检测到。拒绝服务攻击已成为一种严重危害网络的恶意攻击。目前，DoS具有代表性的攻击手段包括Ping of Death、TearDrop、UDPflood、SYNflood、IP Spoofing DoS等。 3．缓冲区溢出攻击 缓冲区溢出攻击是指利用缓冲区溢出漏洞所进行的攻击行为，即将一个超过缓冲区规定长度的字符串放置到缓冲区所致。缓冲区溢出攻击能干扰并打乱具有某些特权运行的程序的功能，这样便能使攻击者取得程序的控制权，进而实现对整个目标主机的控制，进行各种各样的非法操作。通常情况下，攻击者对r00t程序进行攻击，然后运行像“exec(sh)”的代码来获得最高管理员权限的shell。 例：void function(char *str){ Char buffer[16]； strcpy(buffer,str)： ) 即只要str的长度大于16，就会造成buffer的溢出。缓冲区溢出攻击占了远程网络攻击的绝大多数，而一旦遭受到缓冲区溢出攻击，可能导致程序运行失败、死机、重启等后果。第一个缓冲区溢出攻击名为Morris 蠕虫，发生于1988年，致使接通Internet的6～8万台计算机的10％～20％陷于瘫痪。防范缓冲区溢出攻击比较有效的方法是：关闭异常端口或服务，及时为软件打补丁和修复系统漏洞。 4．欺骗类攻击 欺骗类攻击是攻击者较常使用的攻击手段之一，常见的有IP欺骗攻击、WEB欺骗和ARP欺骗攻击。 IP地址欺骗是突破防火墙常用的方法，它同时也是其他一系列攻击方法的基础。之所以使用这个方法，是因为IP自身的缺点。IP欺骗攻击指攻击者通过篡改其发送的数据包的源IP地址，来骗取目标主机信任的一种网络欺骗攻击方法。其原理是利用了主机之间的正常信任关系，也就是RPC服务器只依靠数据源IP地址来进行安全校验的特性。常用来于攻击基于UIlix的操作平台，通过IP地址进行安全认证的如rlogin、rsh远程服务等。使用加密方法或进行包过滤可以防范IP欺骗。 WEB欺骗是一种建立在互联网上基础之上，十分危险却又不易察觉的非法欺诈行为。攻击者切断用户与Web目标服务器之间的正常连接，制造一系列假象如虚假连接，图表，单表等掩盖体，欺骗用户做出错误的决策，从而建立一条从用户到攻击者主机，再到Web目标服务器的连接，最终控制着从Web目标服务器到用户的返回数据。这种攻击方式常被称之为“来自中间的攻击”。Web欺骗的发生可能导致重要的账号密码的泄露，严重者当用户进行网购或登陆网银时被欺骗则会造成巨大的经济损失。防御的方法有：查看HTML是否可疑或观察所点击的URL链接是否正确，禁止浏览器中的JaVaScript功能等。 ARP欺骗攻击是一种利用ARP协议漏洞，通过伪造IP地址和MAC地址实现舢心欺骗的攻击技术。攻击者常利用它进行中间人攻击和拒绝服务类攻击等。由于攻击者通常都使用比较专业的欺骗攻击如arpspoof等，使得这种攻击具有较高的普及率和成功率。ARP欺骗又可分为两种：对路由器ARP表的欺骗和对内网PC的网关欺骗。当欺骗攻击发生时，可导致所有的路由器数据只能发送给错误的MAc地址，从而使得正常主机无法收到信息，大多数情况下甚至会造成大面积掉线。认证技术和中间件技术增加了攻击者ARP欺骗的难度，使攻击行为不易达成。