计算机网络安全

计算机网络安全目录（电信本055陈振华05017259）绪论1、网络黑客1.1黑客简史1.2黑客网络攻击的主要类型2、具体实施网络攻击的方法及其防护措施2.1网络监听2.2拒绝服务攻击2.3源lP地址欺骗攻击2.4源路由欺骗攻击2.5缓冲区溢出2.6木马应用3、结术语绪论随着网络的迅猛发展、网络安全问题的日趋严重、黑客攻击活动的日益猖撅，黑客攻防技术成为当今社会关注的焦点。据统计，开发人员在编写程序时，每写一千行代码，至少会有一个漏洞出现，再高明的程序员也不例外，因此黑客技术的出现和发展也是不足为奇的事情。黑客利用现有的方法或自己开发小工具，利用计算机系统或网络的漏洞（包括软件漏洞、硬件漏洞、网络协议漏洞、管理方面的漏洞和一些人为的错误）实施攻击。关于通过网络攻击信息系统，造成经济损失的报道已有许多，就连防御最严密的美国国防部五角大楼内，每年都有成千上万的非法入侵者侵入其内部网络系统；我国的ISP、证券公司及银行也多次被国内外黑客攻击。在Internet上黑客站点随处可见，黑客工具可以任意下载，对网络的安全造成了极大的威胁。所以，在Internet日益渗透到人们工作和生活的今天，提高Internet的防卫能力，保证信息安全已经成为当务之急。本文将在以下着重剖析几种常见的黑客攻击手段。1、网络黑客1.1黑客简史黑客的早期历史至少可以追溯到20世纪五六十年代.麻省理工学院（MIT）率先研制出“分时系统”，学生们第一次拥有了自己的电脑终端。不久后，MIT学生中出现了大批狂热的电脑迷，他们称自己为“黑客”（Hacker），即“肢解者”和“捣毁者”，意味着他们要彻底“肢解”和“捣毁”大型主机的控制。1961年，拉塞尔等三位大学生，在PDP-1上编制出第一个游戏程序“空间大战”。其他学生也编制出更多更“酷”的玩艺，例如象棋程序、在分时系统网络里给别人留言的软件等等。MIT的“黑客”属于第一代，他们开发了大量有实用价值的应用程序。60年代中期，起源于MIT的“黑客文化”开始弥散到美国其他校园，逐渐向商业渗透，黑客们进入或建立电脑公司。他们中最著名的有贝尔实验室的邓尼斯·里奇和肯·汤姆森，他俩在小型电脑PDP-11/20编写出UNIX操作系统和C语言，推动了工作站电脑和网络的成长.MIT的理查德·斯德尔曼（RichardStallman)后来发起成立了自由软件基金会，成为国际自由软件运动的精神领袖。他们都是第二代“黑客”的代表人物。1975年，爱德华·罗伯茨发明第一台微型电脑“牛郎星”。美国很快出现了一个电脑业余爱好者在汽车库里组装微电脑的热潮，并组织了一个“家庭酿造电脑俱乐部”，相互交流组装电脑的经验。以“家酿电脑俱乐部”为代表的“黑客”属于第三代，他们发动了一场个人电脑的革命。史蒂夫·乔布斯、比尔·盖茨等人创办了苹果和微软公司，后来都成了重量级的IT企业。新一代“黑客”伴随着“嬉皮士运动”出现。艾比·霍夫曼是这代黑客的“始作俑者”。霍夫曼制造了许多恶作剧，常常以反对越战和迷幻药为题。1967年10月，他领导了一次反战*******，号召黑客们去“抬起五角大楼”。他还创办了一份地下技术杂志TAP，告诉嬉皮士黑客如何在现存的体制下谋生，并大量介绍电话偷窃技术。从70年代起，新一代黑客已经逐渐走向自己的反面。1970年，约翰·达帕尔发现“嘎吱船长”牌麦圈盒里的口哨玩具，吹出的哨音可以开启电话系统，从而借此进行免费的长途通话。他在黑客圈子里被叫做“嘎吱船长”，因盗用电话线路而多次被捕。苹果公司乔布斯和沃兹奈克也制作过一种“蓝盒子”，成功侵入了电话系统。1982年，年仅15岁的凯文·米特尼克（KevinMitnick)闯入了“北美空中防务指挥系统”，这是首次发现的从外部侵袭的网络事件。他后来连续进入到美国多家大公司的电脑网络，把一些重要合同涂改得面目全非。1994年，他向圣迭戈超级计算机中心发动攻击，将整个互联网置于危险的境地。米特尼克曾多次入狱，指控他偷窃了数以千计的文件以及非法使用2万多个信用卡。他是著名的“世界头号黑客”，80年代初，计算机地下组织开始形成，出现了早期的计算机窃贼。1984年，德国汉堡出现了一个名叫“混沌”计算机俱乐部（CCC），其成员竟然通过网络将10万美元从汉堡储蓄银行转到CCC账号上。1987年，CCC的成员攻入了美国宇航局的SPAN网络。1984年，美国黑客戈德斯坦创办著名的黑客杂志2600：TheHackerQuarterly；10年后，这份杂志已有可观的发行量，1995年达到了2万册。1988年11月2日，美国康奈尔大学23岁学生罗伯特·莫里斯（RobertMorris)，向互联网络释放了“蠕虫病毒”，美国军用和民用电脑系统同时出现了故障，至少有6200台受到波及，约占当时互联网络电脑总数的10%以上，用户直接经济损失接近1亿美元，造成了美国高技术史上空前规模的灾难事件。1995年，俄罗斯黑客列文在英国被捕。他被控用笔记本电脑从纽约花旗银行非法转移至少370万美元到世界各地由他和他的同党控制的账户。1999年3月，美国黑客戴维·史密斯制造了“梅利莎”病毒，通过因特网在全球传染数百万台计算机和数万台服务器。2000年2月，全世界黑客们联手发动了一场“黑客战争”，把整个网络搅了个天翻地覆。神通广大的神秘黑客，接连袭击了因特网最热门的八大网站，包括亚马逊、Yahoo和微软，造成这些网站瘫痪长达数小时。FBI仅发现一个名为“黑手党男孩”的黑客参与了袭击事件，对他提出的56项指控只与其中几个被“黑”网站有关，估计造成了达17亿美元的损失。2000年5月，菲律宾学生奥内尔·古兹曼炮制出“爱虫”病毒，因电脑瘫痪所造成的损失高达100亿美元。全世界反黑客、反病毒的斗争呈现出越来越激烈的趋势1.2黑客网络攻击的主要类型网络攻击其实质就是指利用被攻击方信息系统自身存在安全漏洞，通过使用网络命令和专用软件进入对方网络系统的攻击。目前黑客网络攻击的类型主要有以下几种：（1）利用监听嗅探技术获取对方网络上传输的有用信息；（2）利用拒绝服务攻击使目的网络暂时或永久性瘫痪；（3）利用网络协议上存在的漏洞进行网络攻击；（4）利用系统漏洞，例如缓冲区溢出或格式化字符串等，以获得目的主机的控制权；（5）利用网络数据库存在的安全漏洞，获取或破坏对方重要数据；（6）利用计算机病毒传播快、破坏范围广的特性，开发合适的病毒破坏对方网络。 2、具体实施网络攻击的方法及其防护措施2．1网络监听将网卡设置为混杂模式，对以太网上流通的所有数据包进行监听，并将符合一定条件的数据包（如包含了字“username”或“password”的数据包）记录到日志文件中去，以获取敏感信息。常见的网络监听工具有：NetRay，Sniffit，Sniffer，Etherfind，Snoop，Tcpdump，Packetman，Interman，Etherman，Loadman，Gobbler等。对于网络嗅探攻击，我们可以采取以下一些措施（1）网络分段一个网络段包括一组共享低层设备和线路的机器，如交换机、动态集线器和网桥等设备，可以对数据流进行限制，从而达到防止嗅探的目的。（2）加密一方面可以对数据流中的部分重要信息进行加密；另一方面也可只对应用层加密，然而后者将使大部分与网络和操作系统有关的敏感信息失去保护。选择何种加密方式就取决于信息的安全级别及网络的安全程度。（3）一次性口令技术口令并不在网络上传输，而是在两端进行字符串匹配，客户端利用从服务器上得到的Challenge和自身的口令计算出一个新字符串，并将之返回给服务器。在服务器上利用比较算法进行匹配，如果匹配连接就允许建立，所有的Challenge和字符串都只使用一次。（4）禁用杂错节点安装不支持杂错的网卡，通常可以防止IBM兼容机进行嗅探。2．2拒绝服务攻击拒绝服务攻击（DenialofService，DOS）行为通过发送一定数量一定序列的报文，使网络服务器中充斥了大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。常见的DOS工具有：同步洪流（SYNFlood），死亡之PING（PingofDeath），Echl攻击，Finger炸弹，Land攻击，Ping洪流，Rwhod，Smurf等。为了防止拒绝服务攻击，可以采取以下预防措施：（1）对于信息淹没攻击，应关掉可能产生无限序列的服务来防止这种攻击。比如可以在服务器端拒绝所有的ICMP包，或者在该网段路由器上对ICMP包进行带宽限制，控制其在一定的范围内。（2）要防止SYN数据段攻击，应对系统设定相应的内核参数，使得系统强制对超时的SYN请求连接数据包复位，同时通过缩短超时常数和加长等侯队列使得系统能迅速处理无效的SYN请求数据包。（3）建议在该网段的路由器上做些调整，这些调整包括限制SYN半开数据包的流量和个数。（4）建议在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段，这样可以有效地保护本网段内的服务器不受此类攻击。另外，对于一些具体的系统，其本身现已可以防止SYNFlood攻击，如solaris在其2．6版本以后，系统中存在2条队列，一条是已连接的队列，另一条是未连接完成的队列。SYN攻击时只能填充后一条队列，而且，一旦队列满，将随机丢弃老的SYN包。系统还会监控这个队列被短时间填充的情况，一旦怀疑是SYNFlood，将采取一定的措施。总之，要彻底杜绝拒绝服务攻击，只有追根溯源去找到正在进行攻击的机器和攻击者。要追踪攻击者不是一件很容易的事情，一旦其停止了攻击行为，很难将其发现。惟一可行的方法就是在其进行攻击的时候，根据路由器的信息和攻击数据包的特征，采用一级一级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合才能很好的完成。2．3源lP地址欺骗攻击许多应用程序认为如果数据包能够使其自身沿着路由到达目的地，而且应答包也可以回到源地，那么源IP地址一定是有效的，而这正是使源IP地址欺骗攻击成为可能的前提。假设同一网段内有2台主机A和B，另一网段内有主机X，B授予A某些特权。X为获得与A相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序列号加1。然而，此时主机A已被主机X利用拒绝服务攻击“淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答包等于B向A发送数据包的序列号加1。此时主机X并不能检测到主机B的数据包（因为不在同一网段），只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施政击。要防止源IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击：（1）抛弃基于地址的信任策略阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用：删除．rhosts文件：清空／etc／hosts．equiv文件。这将迫使所有用户使用其他远程通信手段，如telnet，ssh，skey等。（2）使用加密方法在包发送到网络上之前，可以对他进行加密。虽然加密过程要求适当改变目前的网络环境，但他将保证数据的完整性和真实性。（3）进行包过滤可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本09网主机的包发送出去。有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但他们也是通过分析测试源地址来实现操作的。因此，他们仅能对声称是来自于内部网络的外来包进行过滤，若你的网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。2．4源路由欺骗攻击在通常情况下，信息包从起点到终点走过的路径是由位于此2点间的路由器决定的，数据包本身只知道去往何处，但不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里，使数据包循着一个对方不可预料的路径到达目的主机，下面仍以上述源IP欺骗中的例子给出这种攻击的形式：主机A享有主机B的某些特权，主机X想冒充主机A从主机B（假设IP为aaa．bbb．ccc．ddd）获得某些服务。首先，攻击者修改距离X最近的路由器，使得到达此路由器且包含目的地址aaa．bbb．ccc．ddd的数据包以主机X所在的网络为目的地；然后，攻击者X利用IP欺骗向主机B发送源路由（指定最近的路由器）数据包。当B回送数据包时，就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。为了防范源路由欺骗攻击。一般采用下面2种措施：（1）对付这种攻击最好的办法是配置好路由器，使他抛弃那些由外部网进来的却声称是内部主机的报文。（2）在路由器上关闭源路由。用命令noipsource-roue2．5缓冲区溢出通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，如果这些指令是放在有root权限的内存中，那么一旦这些指令得到了运行，黑客就以root权限控制了系统，达到入侵的目的；缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能，使攻击者获得程序的控制权。缓冲区溢出的一般攻击步骤为：在程序的地址空间里安排适当的代码——通过适当的地址初始化寄存器和存储器，让程序跳到黑客安排的地址空间中执行。缓冲区溢出对系统带来了巨大的危害，要有效地防止这种攻击，应该做到以下几点：（1）必须及时发现缓冲区溢出这类漏洞在一个系统中，比如UNIX操作系统，这类漏洞是非常多的，系统管理员应经常和系统供应商联系，及时对系统升级以堵塞缓冲区溢出漏洞。（2）程序指针完整性检查在程序指针被引用之前检测他是否改变。即便一个攻击者成功地改变了程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。（3）堆栈保护这是一种提供程序指针完整性检查的编译器技术，通过检查函数活动纪录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节，而在函数返回时，首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。但是，如果攻击者预见到这些附加字节的存在．并且能在溢出过程中同样地制造他们，那么他就能成功地跳过堆栈保护的检测。（4）数组边界检查所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所有的数组操作，通常可以采用一些优化的技术来减少检查的次数。目前主要有以下的几种检查方法：CompaqC编译器、Purify存储器存取检查等。2.6木马应用（1）攻击原理木马是一个程序，它驻留在目标计算机里，可以随计算机自动启动并在某一端口进行侦听，在对接收的数据识别后，对目标计算机执行特定的操作。木马，其实质只是一个通过端口进行通信的网络客户/服务程序。1、基本概念:网络客户/服务模式的原理是一台主机提供服务(服务器)，另一台主机接受服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(ConnectRequest),服务器上的相应程序就会自动运行，来应答客户机的请求，这个程序称为守护进程(UNIX的术语,不过已经被移植到了MS系统上)。对于特洛伊木马，被控制端就成为一台服务器，控制端则是一台客户机，G_server.exe是守护进程,G_client是客户端应用程序。2、程序实现:可以使用VB或VC的Winsock控件来编写网络客户/服务程序,实现方法如下:服务器端:G_Server.LocalPort=7626(冰河的默认端口,可以改为别的值)G_Server.Listen(等待连接)客户端:G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)G_Client.RemotePort=7626(设远程端口为冰河的默认端口)(在这里可以分配一个本地端口给G_Client,如果不分配,计算机将会自动分配一个)G_Client.Connect(调用Winsock控件的连接方法)一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接PrivateSubG_Server_ConnectionRequest(ByValrequestIDAsLong)G_Server.AcceptrequestIDEndSub客户端用G_Client.SendData发送命令,而服务器在G_Server_DateArrive事件中接受并执行命令(几乎所有的木马功能都在这个事件处理程序中实现)如果客户断开连接,则关闭连接并重新监听端口PrivateSubG_Server_Close()G_Server.Close(关闭连接)G_Server.Listen(再次监听)EndSub客户端上传一个命令，服务端解释并执行命令。3、实现木马的控制功能由于Win98开放了所有的权限给用户，因此，以用户权限运行的木马程序几乎可以控制一切，下面仅对木马的主要功能进行简单的概述,主要是使用WindowsAPI函数。（1）远程监控(控制对方鼠标、键盘，并监视对方屏幕)keybd_event模拟一个键盘动作。mouse_event模拟一次鼠标事件mouse_event(dwFlags,dx,dy,cButtons,dwExtraInfo)dwFlags:MOUSEEVENTF_ABSOLUTE指定鼠标坐标系统中的一个绝对位置MOUSEEVENTF_MOVE移动鼠标MOUSEEVENTF_LEFTDOWN模拟鼠标左键按下MOUSEEVENTF_LEFTUP模拟鼠标左键抬起MOUSEEVENTF_RIGHTDOWN模拟鼠标右键按下MOUSEEVENTF_RIGHTUP模拟鼠标右键按下dx,dy:MOUSEEVENTF_ABSOLUTE中的鼠标坐标（2）记录各种口令信息keylogbegin：将击键记录在一个文本文件里，同时还记录执行输入的窗口名（3）获取系统信息a.取得计算机名GetComputerNameb.更改计算机名SetComputerNamec.当前用户GetUserNamed.系统路径SetFileSystem0bject=CreateObject("Scripting.FileSystemObject")(建立文件系统对象)SetSystemDir=FileSystem0bject.getspecialfolder(1)(取系统目录)SetSystemDir=FileSystem0bject.getspecialfolder(0)(取Windows安装目录)e.取得系统版本GetVersionExf.当前显示分辨率Width=screen.Width\screen.TwipsPerPixelXHeight=screen.Height\screen.TwipsPerPixelY（4）限制系统功能a.远程关机或重启计算机,使用WinAPI中的如下函数可以实现:ExitWindowsEx(UINTuFlags,DWORDdwReserved)当uFlags=EWX_LOGOFF中止进程，然后注销=EWX_SHUTDOWN关掉系统但不关电源=EWX_REBOOT重新引导系统=EWX_FORCE强迫中止没有响应的进程=EWX_POWERDOWN关掉系统及关闭电源b.锁定鼠标,ClipCursor(lpRectAsRECT)可以将指针限制到指定区域,或者用ShowCursor(FALSE)把鼠标隐藏起来也可以，RECT是定义的一个矩形。c.让对方掉线RasHangUpd.终止进程ExitProcesse.关闭窗口利用FindWindow函数找到窗口并利用SendMessage函数关闭窗口（5）远程文件操作删除文件：Filedelete拷贝文件：Filecopy共享文件：Exportlist（列出当前共享的驱动器、目录、权限及共享密码）（6）注册表操作在VB中只要SetRegEdit=CreateObject（"WScript.Shell")就可以使用以下的注册表功能:删除键值:RegEdit.RegDeleteR