计算机网络攻击方法

1、 计算机网络攻击方法解放军电子工程学院孙乐昌梁亚声刘京菊7摘要该文介绍了计算机网络攻击的一。般过程、网络攻击常用的方法及其原理,分析了网络存在的各种安全漏洞并针对这些安全漏洞而确定的网络攻击点和攻击策略。同时对当前常用网络攻击工具进行了介绍和归纳。关键词端口扫描网络监听口令攻击1引言程序攻击引发错误攻击电子欺骗攻击计算机网络攻击一般先从网络端口扫描开始,在对网络数据信息截获的基础上,针对寻找到的网络漏洞,窃取到的网络信息,确定攻击点,采取相应的网络攻击策略和攻击方法对目标机进行攻击。常用的网络攻击方法主要有破解口令攻击、程序攻击、引发错误攻击和电子欺骗攻击等。2扫描器在INTERNET安全领域

2、,扫描器可以说是网络攻击者的基本武器。扫描器并不是一个直接的攻击网络漏洞的程序,它仅仅能帮助我们发现目标机的某些内在的弱点。而这些现存的弱点可能是破坏目标机安全的关键。所以,许多网络入侵是从扫描开始的。扫描器是一种自动检测远程或本地主机安全性弱点的程序,扫描器通过选通远程TCP/IP不同的端口和服务,并记录目标给予的回答,可以发现远程服务器的各种TCP端口的分配及提供的服务和其它各种有用的信息(比妃是否能用匿名登录是否有可写的FTP目录是否能用TELNET等,从而使用户间接或直观地了解到远程主机所存在的安全漏洞,进而为确定网络攻击策略提供依据。扫描器可分为端口扫描器和网络安全扫描器。端口扫描器

3、只扫描目标机当前开放的一些端口及相对应的服务,其漏洞要靠用户自己进一步查找:而网络安全扫描器可以自动完成漏洞扫描与匹配工作,它首先扫描远程主机端口,然后调用扫描/攻击方法库中的扫描/攻击方法检测远程主机,发现主机存在的漏洞。随着网络中不断涌现的新技术所带来的安全漏洞的增加,安全扫描器中所收集的检测方法也需不断扩充。常见的扫描工具有SATAN(安全管理员的网络分析工具、ISS、NNS(网络安全扫描器、STROBE(超级优化TCP端口检测程序、JakaI(秘密扫描器、CONNECT(扫描TFTP服务器子网、ESPScan(扫描FSP服务器等。下面显示的是某一扫描程序的运行结果。7found.Des

4、ct“echo”9found.Iesc;“di scard”13found.1Desc*“daYt ime”19found.Desct“chargen”21found.Desc;“ftp-23found.DesO*“tolnot”25found.Desc;“smtP”37found.Desct“t ime”79found.Desc-“finger”80found.Desc*“www”53folind.Desc*“doma in/nameserver”512found.Iosc一“biff/exec”513found.Desc=“109in/who”514found.De sc;“shell/S

5、Yslog”2001年无线电工程第31卷第4期-55+tlt ttl +kttrrrrrrr rrrrrrr万方数据万方数据kh型熬擀用鱼戮囊t:燃潦从以上运行结果可以清楚地看到目标机(一个WindowsNT服务器当前开放的端口,即提供的各种服务。3网络监听和数据截获使用网络监听工具可以监视网络的状态、数据流动情况以及网络上传输的信息。网络攻击者用得最多得是截获用户的口令及获取其它有用数据。向网络接口发送I/O控制命令,将其设置在监听模式或称杂乱模式(promiscuous mode,便可以源源不断地将网上传输的信息截获。主要工作原理如下:每一个在LAN上的工作站都有其硬件地址。这些地址唯一地

6、标识着网络上的机器。当用户发送一个报文时,这些报文就会发送到与其在一个物理网段上的所有可用的机器。在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不予响应。如果某个工作站的网络接口处于杂收模式,那么它就可以捕获网络上所有的数据帧。但监听器只能监听同一个网段上的计算机传输的信息,即一台计算机只能监听经过自己网络接口的数字信号。网络信息容易被窃听和截获的另一个原因是,当某人用一台主机和外网的主机进行通信时,他们之间互相发送数据包是经过很多机器重重转发的。网络攻击者可以使用一台处于用户数据包传输路径上的主机,那么他就可以监听和截获从这个网络出去的所有数据帧。对于截获到的

7、数据,进行进一步的分析,得出数据传输使用的协议、数据传输格式、数据信息的具体内容等有用信息,从而为数据篡改、流量攻击等网络主动攻击手段提供了前提条件。当前流行的网络监听和数据截获工具有: Snifffer,Gobbler、Ethload、Etherboy、Traceroute、Ipman、Snoop、NetXRay、Tcpdump等。4破解口令口令是对抗攻击的第一道防线。如果攻击者不能访问系统,就不能很好地和系统交互,因而对系统的入侵方法就不多了。攻击者总是通过猜测合法用户的口令来获得没有授权的访问。破解口令的一种方法是从存放了许多常用口令的数据库中,逐一取出“口令”尝试。另一种方法是设法偷走

8、口令文件,然后通过口令破解工具来破解这些加密的口令。口令在网络上传送的途中是可以被截获的。口令攻击程序就是对原来加密的口令进行解密并使得口令显56-露出来的程序。但这并不是说口令攻击程序能够解密任何东西。事实上,大多数口令攻击程序的解密功能很有限。一般不采取强加密算法的密码进行解密,现在的许多加密过程是单向的,也就是说没有对加密进行反向处理的过程(或者说寻找这样的过程需要很长时间。代替的方法是:采用与加密算法相同的模拟工具来对原来的口令进行加密,然后进行比较分析。用于WindowsNT的口令攻击程序有NTCrack、ScanNT等;UNIX口令攻击程序有John The Ripper、Crac

9、ker、Claymore等。5程序攻击程序攻击指利用危险程序,包括病毒、特洛伊木马、后门、逻辑炸弹和时间炸弹、蠕虫、种子程序等对系统进行攻击。5.1病毒狭义病毒是隐藏在别的程序中的一段代码,其具有潜伏能力、自我繁殖能力、被激活产生破坏的能力。广义的病毒还包插逻辑炸弹和时间炸弹、蠕虫、种子程序、细菌程序和兔子程序等。逻辑炸弹是在程序中设置了一些条件,当这些条件满足时,程序将会做与原来功能不一样的事时间炸弹也是一种能执行破坏性指令的程序,它通常是在满足特定的时间和数目时发作。蠕虫是一种可以在网上不同主机问传播,而不须修改目标主机上其它程序的一类程序。它大量自我繁殖而并不一定具有潜伏能力和激活能力,

10、它一旦进入系统便迅速繁殖,最终导致系统瘫痪。种子、细菌和兔子程序是一类疯狂复制自己,以消耗系统资源的程序。这种程序通过不断地复制自己,直到没有足够的磁盘空间或内存空间可以容纳其下一代繁殖为止。5.2特洛伊木马特洛伊木马程序是表面上做一件事情,其实做另外事情的程序。或者是一种未经授权的程序,它包含在一段正常的程序当中。这个未经授权的程序提供了一些用户不知道的(也可能是不希望实现的功能。它一般有两个程序,一个是服务器端程序,一个是控制器端程序,如果你的电脑安装了服务器端程序,那么,黑客就可以使用控制器端程序进入你的电脑,通过命令服务器端程序达到控制你的电脑的目的。著名的特洛伊木马程序有BO(Bac

11、k Orifice、Netspy、NetBus等。木马为了能在每次电脑开机的时候进入内存发挥万方数据万方数据作用,主要手法是加载到注册表的启动组中或者捆绑程序在电脑启动时,由Windows自动安装,或由用户自己需要运行该程序而启动。木马打开一个或者几个端口(0256×256=65536,黑客所使用的控制器端软件通过木马的端口进入你的电脑。每个木马所打开的端口不同,根据端口号,可以识别不同的木马。对付特洛伊木马的工具存TCPVIEW(查看端口和线程、ATM(查看当前运行的软件及软件的硬盘位置、REGEDIT(注册表修改工具、LockDown(监视注册表的变化、NukeNabber(监视

12、端口的工具等。对付特洛伊木马程序还可采用数字签名技术,这是用来保护已有的程序不被更换。MD5就是一个可以为每个文件生成一个数字签名的工具。MD5系统在RFC一1321中的定义如下所述:“算法以一个任意消息输入,同时产生一一个128位的“指纹”或“摘要消息”。5.3后门后门是指入侵者为了不引起管理员的注意发展起来的能躲过日志,使自己重返被入侵系统的技术。后门的设置主要是为了实现如下目的:保证在管理员改变密码以后,仍然能再次侵入:使再次侵入被发现的可能性减至最低利用脆弱性,重复攻破机器。后门常常是攻击成功后,黑客故意留下,以便下次进入。后门的种类很多,常见的存密码破解后门、Login 后门、Tel

13、net后门、rhosts+后门、服务后门、文件系统后门、Boot块后门、内核后门、TCP Shell后门等。6引发错误攻击6.1缓冲区溢出缓冲区溢出是一个在各种操作系统、应用软件中广泛存在的非常普遍、非常危险的漏洞。缓冲区溢出的原理是:向一个有限的缓冲区中拷贝了过长的字符串,它带来了两种后果一是过长的字串覆盖了相邻的存储单元,引起程序运行失败,严重的可引起当机、系统重启等后果二是利用这种漏洞可以执行任意指令,甚至可以取得系统特权。缓冲区溢出是程序设计或编写错误所带来的BUG。在许多应用程序中,都假定缓冲区的长度是足够的,它的长度肯定大于要拷贝的字串的长度。然而,事实并不总是这样。当程序出错时或

14、者当恶意的用户故意送入一个过长的字符时,便有许多意想不到的情况发生。6.2利用处理程序错误的攻击通过网络可以使正在使用的计算机出现无响应、kh型黥静用惫静鞴糕:妻霪l磐”。死机的现象。当前流行的Teardrop、OOB、Ping of Death 矛ILand攻击都是利用TCP/IP协议的处理程序中的错误进行攻击。它们故意错误地设定数据包头的一些重要字段,例如,IP包头部的Total Length、Fragment offset、IHL和Source address等字段。使用Raw Socket将这些错误的IP数据包发送出去。在接收数据端,接收程序通常都存在一些问题,因而在将接收到的数据包组

15、装成一个完整的数据包的过程中,就会使系统当机、挂起或系统崩溃。6.3拒绝服务的攻击拒绝服务指网络入侵者采用具有破坏性的方法阻塞目标网络的资源,使网络暂时(或永久瘫痪。拒绝服务的攻击是用户经常使用的一种攻击方法。一个用户占据了大量的共享资源,这些资源可以是处理器、磁盘空间、CPU时间、打印机、调制解调器,甚至是系统管理员的时间,从而使系统没有剩余的资源给其它用户使用,最终导致目标机性能降低或失去服务。一般有两种类型的拒绝服务攻击。第一种攻击试图去破坏或者毁坏资源,使得无人可以使用这个资源;第二种类型是过载一些系统服务或者消耗一些资源。电子邮件炸弹就是一种很重要的拒绝服务的攻击方式。电子邮件炸弹是

16、指一个人反复收到一大堆无用的电子邮件,同时,到来的邮件都需要系统来处理。过多的邮件会加剧网络连接负担、消耗大量的存储空问过多的投递会导致系统日志文件变得巨大,甚至溢出文件系统,这将给许多操作系统带来危险。同时,大量到来得邮件将消耗大量的处理器时间,占用大量的带宽,延缓甚至阻止了系统正常的处理活动,给人们带来损失和麻烦。防止拒绝服务的攻击可以加强系统设置,如限制可以使用的最大内存、CPU时间以及可以生成的最大文件等。7网络电子欺骗攻击因为用户可以窃听和劫持别的数据报,所以用户可以获得足够的信息来伪装别人,从而实施电子欺2001年无线电工程第31卷第4期一57万方数据万方数据Technologyv

17、,V了l参。芬静li蔗杰廖用骗。一般的电子欺骗主要有Web欺骗、IP欺骗、DNS 检测和保护站点免受IP欺骗的最好方法是安装一欺骗和电子邮件欺骗等。过滤路由器,来限制对外接口的访问,禁止带有内部7.1Web欺骗网资源的地址包通过。当然也应禁止(过滤带有Web欺骗是一种电子信息欺骗,攻击者在其中创不同于内部资源地址的内部包通过路由器到别的网上造了整个Web世界的一个令人信服但是完全错误的拷去,这就防止内部的员工对别的站点进行IP欺骗。贝。错误的Web看起来十分逼真,它拥有相同的网页7.3DNS欺骗和链接。然而,攻击者控制着错误的Web站点,这提供DNS服务的DNS服务器很多,这些服务器里样受攻击

18、者浏览器￥ffWeb之间的所有网络信息完全被攻有一个数据库,这个数据库记录着IP地址和域名的对击者所截获,其工作原理就好像是一个过滤器。由于应信息。当用户的主机向这些服务器查询转换信息攻击者可以观察或者修改任何从受攻击者到web服务器时,这些主机就会回答用户的查询。DNS欺骗的关键的信息;同样地,也控制着从Web服务器至受攻击者在于这些服务器不一定知道用户所要的信息,于是该的返回数据,这样攻击者就有许多发起攻击的可能服务器会向别的服务器查询,并且它对查询结果不加性,包括监视和破坏。确认就放入自己的数据库中,并回答用户的查询。欺骗能够成功的关键是在受攻击者和其它WebH艮DNS欺骗就是应答DNS

19、请求,将名字解析指向假冒的务器之间设立起攻击者的web服务器,这种攻击种类在站点。但是截获DNS请求比较困难,通常采用攻克DNS 安全问题中称为“来自中间的攻击”。服务器的方法。虽然Web欺骗是危险的是几乎不可觉察的,然而7.4电子邮件欺骗还是可以采用下面一些方法进行保护:使用网络监听或电子邮件系统面临的攻击包括窃取/篡改数据、用Netstat之类的工具找到攻击者所用的服务器,这种伪造邮件、拒绝服务、病毒等。这里主要介绍电子邮件方法对于通过入侵另一台计算机进行攻击就无能为力欺骗,其它攻击在上面部分已讲过。了;在浏览时尽可能地关闭浏览器中的Java、Java一目前使用的SMTP(简单邮件传送协议,端口25及Script、ActiveX和Plugin等;确信你的浏览器的其缺乏验证功能,这使得假冒电子邮件进行电子邮件欺地址行总是可见的:不要保留不用的服务:定期检查系统骗很容易得逞。攻击者假冒发信人的邮件地址,在电子和Web记录以发现可疑活动等。邮件中声明该邮件是来自系统管理员,要求用户修改口7.2IP欺骗令,或声称来自某一授权人,要求用户发送其口令文件IP欺骗技术就是伪造某台主机的IP地址的技术。或其它敏感信息的拷贝等进行电子邮件欺骗