北京科技大学硕士学位论文
引 言
近年来,以网络为代表的信息化浪潮席卷全球,在网络迅速发展的同时,网络安全
问题也越来越引起人们的关注,对网络的攻击事件层出不穷,造成的损失巨大,影晌了
正常的网络秩序。
互联网的诞生己经有30多年的历史,其最初的设计思想是认为网络中的所有使用
者都按照正常的规则来利用网络,设计者在设计网络通讯协议时,更多的考虑到了通讯
的效率,而对通讯中会带来的安全隐患考虑的不多,几乎所有的网络协议都没有考虑到
安全性的问题,如网络上的FTP, Telnet协议。在电子邮件中的用户帐户和密码都是用
明文传传输的,如此脆弱自然很容易受到攻击。
网络的另一个不安全的因素就是人们可以很容易的从网络上获得相关的核心技术资
料,特别是关于网络本身的资料,包括各种通讯原理,通讯协议
内容
财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容
,还有大量的源代
码。所有的网络通讯都是公开的,沿有一点的保密
1)网络安全问题
在整个互联网上和局域网中各主机之间数据通讯遵循都TCP/ll,协议,该协议的运
行原理已经被完全公开于世,其通讯的方法和特点没有一点保密,当然协议本身的漏iH,
和带来的安全性问题也摆在人们面前。一些精通TCP/IP协议的人利用TCP/IP协议的漏
洞非法的进入本来他不能进入的网络主机中,非法获取其他主机的秘密数据,造成巨大
损失。
目前计算机网络主要面临的四种威胁有:
(1)截获:攻击者从网络上窃听他人的内容。
(2)中断:攻击者有意中断他人在网络上的通信。
(3)篡改:攻击者故意篡改网络上的信息。
(4)伪造:攻击者伪造信息在网络上传输。
利用网络的漏洞进行攻击的手段主要有两类:破坏型和入侵型。破坏型主要是使攻
击目标不能正常工作,而不能控制目标。入侵型则是通过一定的手段达到控制目标主机
的目的。入侵型的破坏性更大,因为控制目标主机后就意味着重要信息的泄露。
入侵型攻击一般利用操作系统、应用软件或网络协议存在的安全漏洞来实现。主要
的过程通常为:首先攻击者(通常是在正常情况下没有访问被攻击主机权限的一台计算
机)需要与他想攻击的目标建立信任关系,建立信任关系之前,攻击者需要知道哪台主
北京科技大学硕士学位论文
机与被攻击者有信任关系。第二步,攻击者与利用伪造TCP/IP通讯协议的技术,使自己
模拟成可以获得被攻击者信任的主机来与被攻击者进行通讯,获得需要的数据。第三
步,当获得了必要的信息后,如有很高权限的帐户和口令后,攻击者就可以轻易的控制
被攻击者了。
第一步和第三步主要是利用信任关系,而攻击的核心是第二步,这一步多是在利用
协议的漏洞来进行欺骗。
2)主要欺骗攻击种类
目前主要的欺骗攻击手段有如下几种:
EP欺骗攻击
路由欺骗攻击
ICMP欺骗攻击
ARI,欺骗攻击
(1) IP欺骗攻击
目标主机即被攻击主机己经选定,而且攻击者己经找到信任的模式,并且找到了一
个被目标主机信任的主机。首先,为使被攻击目标信任的主机失去工作能力,即在网络
上不能进行数据通讯,攻击者利用TCP/IP协议中建立连接需要的三次握手中的漏洞,向
被攻击目标信任的主机发送大量的假源IP地址的请求,假源IP地址表示是一个合法的但
却在网络中没有的地址,这样就使该主机通讯队列充满,无法再接受新的通讯,而忙于
与这个虚假的IP进行连接,这样在一定时间内,该主机就无法再与别的主机通讯,这段
时间,就为攻击主机留出了攻击的时间。
接着,攻击者还会利用TCP/IP协议的漏洞,发送自己制作的IP数据包,
检测
工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训
出被攻
击者的数据序列号。这个过程可在短时间内完成。
最后,攻击者伪装成被信任主机的IP地址,这时,该主机仍处于停顿状态,制作相
应的TCP/IP包,来获得被攻击目标的信任,建立起连接,开始进行数据传输。攻击者可
以在被攻击者的主机上放置一个后门程序,这样,可以为下一次的攻击铺平道路。
(2)路由欺骗攻击
北京科技大学硕士学位论文
当一台主机和另一台主机进行通讯时,发送的数据包是经过很多设备转发的,要经
过防火墙和层层路由器,这种工作原理节省了资源,有利于传输,但带来了安全性的问
题。
路由欺骗攻击方法就是利用了这种工作原理,通过改变某主机或路由器上的路由
表,破坏正常的路由寻址,以达到攻击目的。
主要方法包括:
源路由攻击:通过设置IP严格源路由或源路由选项,使ICMP或TCP数据包按照源路
由返回。攻击者事先确定一条攻击路由,在源地址假冒中使用它,以使目标主机的回应
信息返回来。
路由信息协议攻击:路由信息协议(RIP)在局域网中用来广播路由信息。接收到
该协议数据包的主机不做任何检测。攻击者可以向到达目标主机的所有网关发送伪路由
信息,以便进行源地址假冒时,能收到目标机的回应信息:攻击者也可以将其主机声明
为到某主机或网络的路由器,以截获所有目的地址的数据包,并继续发动更进一步的攻
击。
(3) ICMP重定向攻击
ICMP重定向报文网关向主机通知到信宿的最优路径,攻击者可以使用它做类似的
RIP攻击。