Internet上的网络攻击与防范可做论文电子教案

1、Good is good, but better carries it.精益求精，善益求善。Internet上的网络攻击与防范可做论文-Internet上的网络攻击与防范近几年来Internet在全球范围内迅速升温并高速发展，极大地改变着人们的生活方式，它已被认为是信息社会中信息高速公路的雏形。人们在充分享受Internet提供的各种好处的同时，必须考虑到网络上还存在着大量的垃圾信息的攻击行为，尤其是作为中国Internet服务的主要提供者，保证网络的正常运行，为用户提供高质量的可靠服务，使Internet能更好地为社会服务，也是我们应尽的责任。为此，我们必须提高安全意识，尽量减少来自网络的各

2、类攻击行为。在Internet网上，网络攻击的行为通常有：通过侵入主机后非法获取重要文件，修改系统资料，删除文件，破坏系统；通过发送大量报文或其他方式使网络拥塞，使被攻击的主机ShutDown；通过截取或篡改网络上的报文来欺骗目标主机，获取相关资料；通过传播病毒攻击目标主机。网络上还有一类人，他们能够侵入一个系统，但目的不是破坏，而只是想显示自己的水平，把侵入系统当成是对自己的挑战，这种人通常称为黑客（HACKER）。我们把进行以上攻击行为的人统称为“攻击者”。网络攻击的手段大致可分为以下几类：（1）利用主机上服务器的不正确配置和漏洞进行攻击。（2）利用主机操作系统的某些漏洞进行攻击。（3）利

3、用TCPIP协议上的某些不安全因素进行攻击。（4）利用病毒进行攻击。（5）其他网络攻击方式。1关于服务器程序的不安全因素目前Internet上常见的服务器程序有WWW（http）、ftp、MAIL（smtp）、fingerd、rlogind、rshd几种，由于这些服务器程序自身存在的BUG及配置错误，使任何对外提供这些服务的主机都是潜在的被攻击对象，这些漏洞常被攻击者用来非法获得对主机系统的访问权。1.lftp服务器众所周知，匿名ftp服务器上的ftpetcpasswd应该是一个缩减版本，以免泄漏一些对攻击者有用的信息，如用户名、用户SHELL等；另外，ftp的HOME目录的所有者不能是ftp

4、自己，否则，ftp目录下的文件有可能被修改或删除。除此而外，在某些早期版本的ftpServer上，如Wuftp，存在一个“siteexec”的命令，使用户能够在运行这个服务器的主机上执行一些命令，显然这对系统安全是一个严重的威胁。在最新的Wu-ftp服务器上已经消除了这个隐患，但某些服务器程序，如SUNOS操作系统自带的in.ftpd仍然使一个普通的帐号用户能够以类似的方式获得shadow中的内容，再通过Crack等口令猜测工具可以猜出一些取得不好的口令，因此不要在用户的登录主机上运行这个服务器程序，除非已安装了SUN公司提供的PATCH。1.2WWW服务器通过WWWServer用到的目录和文

5、件应该属于ROOT用户而且不允许其他用户写，运行WWWServer的用户应该具有较小的权限，尽量不要以ROOT的身份运行WWWServer。这是因为在WWW中为了提供更大的灵活性而引入了大量的CGI程序和JAVA程序，它们都有可能调用用户提供的参数在本地机上运行，如果在设计程序时考虑不周，就存在着一定的危险性，有可能使攻击者能获得对系统的访问权。例如，在NCSAhttpdl.4之前的版本中自带了一个叫phf的CGI程序，没有处理好对某些特殊字符的过滤，使攻击者能够在被攻击的主机上以WWWServer属主的身份执行一些额外的程序。除了NCSAhttpd以外，还有其他一些WWWServer和一些考

6、虑不周的CGI程序也有类似的情况。目前在CHINANET上有相当部分节点存在这样的问题，有些节点的WWWServer和匿名ftpServer在同一台主机上，这样会使问题更加严重，攻击者可以在ftpServer的incoming目录中放一个只包括一个“”的文件，然后通过前面提到的WWWServer上的漏洞将这个文件拷到WWWServer属主的HOME目录，从而能够用.rhosts类服务访问主机，或者在incoming中放一个特络伊木马程序和其他攻击程序，通过WWWServer的漏洞调用它来进一步攻击系统。1.3SMTP服务器Internet上的网络攻击与防范目前CHINANET上的邮件服务器大多

7、数采用的是Sendmail。Sendmail的每一个版本都存在着一些BUG，从早期的Wizard，Debug，Decode，Forward到后来利用Sendmail本身的错误来读取任何文件，利用BufOverFlow来非法执行命令。最新版的Sendmail已消除了绝大多数已知的BUG。1.4其他服务程序在CHINANET的网点上，还经常运行着以下服务器程序：rlogind，rshd，fingerd，tftpd，X11等。前两个由于提供了一种不经过验证口令即可进入系统的方式，因而容易被攻击者利用来攻击系统。在早期的fingerd中存在着BufOverFlow的漏洞，1988年Internet上的

8、第一起网络攻击事件（著名的MorrssWorm）正是使用了这个漏洞使Worm在网络中大量复制，使被入侵的主机系统因CPU繁忙而不得不关机，同时使网络拥塞。Worm程序还利用了前面提到的Sendmail和rlogin的一些BUG。在现在的fingerd中已经弥补了这个漏洞，但是，它仍然可以为用户提供远程主机上用户的活动规律，为攻击者提供有利的信息。ttfp提供了一种不验证口令就可以从服务器上取文件的服务，也具有一定的危险性。XServer如果使用不当，也使攻击者可能观察到另一个用户的屏幕信息，甚至记录该用户的击键信息，模拟用户击键。另外，NFS和NIS也存在一些安全性方面的问题。2关于操作系统的

9、不安全因素由于UNIX系统是一个开放的系统，其源代码早已公开，因此一些攻击者通过深入研究源代码而发现了UNIX的一些漏洞，并利用它非法获取超级用户的某些权限。这种漏洞常见的有以下几类：（1）利用某些SUID程序中对边界条件检查不严，通过BufOverflow的方式使堆栈溢出，并将返回指针指向一个Shell程序，而获得SUID属主权限Shell，如SUNOS的eject，rdist，passwd，fdformat，ffbconfig，AIX的dtterm，mount，lquerypv，gethostbyname（），IRIX的printers，df，iwsh，xlock，几乎所有的UNIX操作系

10、统都有这类漏洞，而这类漏洞也是拥有shell权利的攻击者用于获取ROOT的最常用方式。（2）某些程序在tmp目录下存放运行过程中产生的临时数据，在一些情况下可以被攻击者利用竞争条件来获取超级用户权力，如ps就是这样，它所产生的数据文件先存放在tmp目录下，然后才把它的属主改为ROOT，因此通过把另一个程序连接到该文件，就有可能通过竞争使该程序的属主为ROOT。（3）某些UNIX操作系统允许传送环境变量给telnetd，所以攻击者可以通过设定环境变量login（）使用错误的动态连接库的方法来跳过口令认证，获得访问系统的权力，在某些版本的IRIX、OSF操作系统中存在这类问题。另外，在某些操作系统

11、如IRIX上，有一些缺省帐号是没有口令的，这种帐号如果没有锁定或加口令，将是非常危险的。（4）某些设备文件的存取权限设置不对，也有可能使攻击者获得额外的权力，这方面的例子有/devkmem核心内存区、dev/tty终端设备区都不能让普通用户有写的权力。（5）故意让某些程序在运行时出错，从产生的core文件中可以得到一些额外的信息，这方面的例子包括前面提到的SUNOS的in.ftpd的问题。有些时候程序在出错的时候改变了某些关键文件的属性也给攻击者以可乘之机。（6）某些操作系统在实现某些网络协议时对边界条件检查不严，如IP报文长度超过64kB时，如果接收方没有检查到这个错误而按正常方式分片重组，

12、将可能造成系统崩溃或其它不可预料的后果。WINNT和WIN95也曾受到一种叫WinNuke软件的攻击而造成系统死机或影响网络功能，其原因也在于Win95NT对TCP报头中的“紧急”位（UREGENT）的处理不够完善，接收方通过紧急指针来决定紧急传送的带外数据（OutOfBand）的位置，当紧急指针指向帧的末尾即没有带外数据时，Win95NT将出现上述故障，通过安装相应的Patch可以补上这个漏洞。3TCPIP协议族的一些弱点TCPIP协议族的特点之一是它的简单性，然而这也带来了一些潜在的问题。例如，在网络上，一些关键信息是用明码传送的，包括telnet，ftp，pop3，rlogin等要求提供

13、用户名和口令的协议也是如此，因此，如果攻击者通过一些监控程序或其他方式截获了网络上传送的这些包，从中提取用户名和口令是一件比较容易的事情。另外，在Internet这样复杂的网络环境中，主机将不得不完全或部分信任它所得到的信息，如对方的IP地址、DNS消息等。然而攻击者可以利用IP欺骗的方式，篡改IP报文的报头，使被攻击的主机认为信息来自另一台可以信赖的主机，而达到攻击的目的，它往往和前面提到的.rhosts的不安全性一起使用，这种攻击方式还利用了TCPIP协议中TCP报文中Sequence产生的规律性，使攻击者即使收不到被攻击主机传回来的确认报文，仍然可以猜出TCP连接中下一个报文的Seque

14、nc序号，从而伪造出下一个攻击报文，用“瞎子攻击”的方式对系统进行攻击。在DNS的例子中，由于主机对DNS消息的信任，通过伪造DNS报文的内容，也可以使执行查询的主机得到的IP地址是攻击者希望用户去访问的主机，诱导用户提供一些私人信息或误导用户。4利用病毒进行攻击病毒一直是计算机用户尤其PC机用户的一个令人头痛的问题，在Internet上有许多共享软件、免费软件和其他应用软件，然而，他们也有可能带有一些病毒对系统造成危害。因此，我们要小心使用这些软件，使用前最好用病毒检测软件进行检查，使用后要观察一段时期后再正式使用。5其他网络攻击方式WINNT和WIN95是网络上应用比较广泛的操作系统，它们

15、也存在着一些BUG，容易受到攻击。不久前微软公司在Internet上的WWW网站就曾因受到攻击而暂时关闭，原因是基于NT的WWWServer-I-IS在处理一个超长的URL的时候会出现缓冲区溢出而使服务器崩溃。同样，NETSCAPE和IE也存在一些BUG，使用户在访问WWWServer时，WWWServer的管理员有可能窃取用户硬盘上的所有资料。在Cisco的25112509系列路由器上，如果配置不当，也使攻击者能够操纵与异步口相连的MODEM，改变MODEM的参数，甚至窃取拨号用户的密码。Cisco路由器的enable口令本身也存在被解密的可能。而MailBomb、MailSpamming和

16、MailSpoof是网络上的另一类攻击行为，其目的在于破坏系统，使网络拥塞，搔扰用户而不是侵入系统。6如何加强系统的安全性前面我们谈到了在Internet上存在着许多不安全的因素，然而，通过提高管理员的安全意识和技术水平，提前做好一些防范工作，是可以使大部分的网络攻击行为不能得逞。首先，我们应该防止攻击者通过各种途径非法获得对一些关键系统的访问权，因此，要尽量采用最新版本的服务器程序。一般来说，这些最新版本的服务器程序都已经弥补了以前版本的绝大部分已知的漏洞，它们自身虽然仍然可能存在着一些新的BUG，但这些BUG的发现和传播是需要一定的时间的，这可以阻止大部分通过服务器程序进行的攻击。对于一些

17、不常用的服务如rsh，flogin，tftP等，要谨慎使用。对telnet服务，如果一定要有，可以考虑常用严格限制的sh-rsh（restrictshell）；对ftp服务，可以对使用的用户进行限制或用chroot限制其访问的目录。对于一些不对外提供服务的主机，有可能的话，应在路由器或防火墙上用accesslist加以过滤，不让外部主机访问，防止攻击者通过攻击那些未开放的主机，并通过它对整个网络的安全造成威胁。即使是对外提供服务的主机，也应把它不提供服务的那些报文过滤掉。在很多路由器和防火墙软件上，还提供了其他一些增强的功能，如IP欺骗的检测与记录、地址转换等。在一个对安全性有较高要求的环境中

18、，可以考虑在内部网和外部网之间用防火墙配置一个堡垒主机或非军事区子网，以充分利用防火墙的功能，对进出内部网的信息进行监控，隔离外部网可能对内部网的攻击，同时可以跟踪和记录对网络的攻击行为。有些服务，如果只想让内部人员使用，也可以改变其标准的PORT号。对XServer，可以用MITCookie来提供一种验证机制，加强它的安全性。其次，为了提高操作系统自身的安全性，我们应该尽可能安装最新的版本，并寻找和安装新的PATCH，以弥补系统的已知漏洞。同时注意操作系统厂商发布的安全公告及建议，及时弥补新发现的漏洞。作为系统管理员，还要做以下工作：（1）提醒用户取一个不容易猜测的口令。虽然口令加密采用的D

19、ES算法是不可逆的，但一个不好的口令是可以用口令猜测程序猜测出来的。用户口令的泄漏，不仅对用户是一个损失，对整个系统的安全也是一个威胁。（2）有可能的话，可以考虑去掉大部分不必要的SUID程序。检查由etcinetdconf，etcre*，cron，at等启动的程序有无可疑，检查系统文件和目录的存取权限和完整性，检查有无可疑的.rhosts文件和SUID程序，检查各类配置文件是否被修改，这些都是攻击者可能留下后门的地方，我们曾经在这些地方发现并清除过一些后门程序。检查用户登陆的登录时间和源地址是否可疑，虽然攻击者在获得超级用户的权力后有可能清除或改变这些记录，但如果这些记录存放在别的主机或在备份的介质上，攻击者即使拥有了超级用户的权力也会留下一些痕迹可供跟踪。（3）使用一些额外的安全工具，如检测口令是否安全的Crack，增加TCP连接控制和记录的tcpwrapper，检查文件完整性的MD5，SUN公司的ASET（自动安全增强工具），检查网络安全性漏洞的Satan等，跟踪记录网络上感兴趣的信息的工具Sniffit，它可以监测telnet用户、ftp用户的活动。我们曾经用它跟踪并记录到了一些用户登录进主机后的可疑行为，并及时堵住了相关的漏洞。（4）