黑客攻击与防范技术论文

I黑客攻击与防范技术论文姓名：学号：年级：院系：专业：完成时间：摘要:在网络信息时代的今天，网络安全问题日趋严重，黑客攻防技术成为当今网络技术关注和发展的焦点，随着网络的发展，网络安全问题已经成为一个被人们强烈关注的热点。而其中黑客攻击所造成的安全问题是很重要的一个方面。本文将介绍网络安全面临的主要威胁，重点分析黑客攻击的一般步骤，使用的手段，以及解决应对的最新方法手段。关键词：网络安全威胁黑客攻击步骤原理对策PAGE10目录摘要 I关键词 I1.黑客常见攻击步骤 21.1攻击前奏 21.2实施攻击 31.3巩固控制 31.4巩固控制 32.常见的几种攻击分类 3 2.1缓冲区溢出攻击 32.2欺骗类攻击 32.3对防火墙的攻击 42.4利用病毒攻击 42.5木马程序攻击 43.常见的攻击 4 3.1DOS攻击 43.1DOS攻击原理 53.1Trinoo攻击软件攻击实例 54.常见的网络安全防范措施 8 4.1网络级安全检测与防范 84.2及时备份重要数据 84.3使用加密机制传输数据 84.4网络攻击的攻击软件：PasswordCrackers 95．结语 96．参考文献 10黑客攻击与防范技术对于互联网网络安全问题，必须谈的一个话题就是黑客（Hacker）。黑客是英文"Hacker"的英文译音,它起源于美国麻省理工学院的计算机实验室中。是指对计算机某一领域有着深入的理解，并且十分热衷于潜入他人计算机、窃取非公开信息的人。每一个对互联网络的知识十分了解的人，都有可能成为黑客。黑客是：“喜欢探索软件程序奥秘，并从中增长其个人才干的人。”显然，“黑客”一语原来并没有丝毫的贬义成分，直到后来，少数怀有不良的企图，利用非法手段获得的系统讯问权去闯入运程机器系统、破坏重要数据，或为了自己的私利而制造麻烦的具有恶意行为的人慢慢玷污了“黑客”的名声，“黑客”才逐渐演变成入侵者、破坏者的代名词。黑客常见攻击步骤：黑客常用的攻击步骤可以说变幻莫测，但纵观其整个攻击过程，还是有一定规律可循的，一般可以分：攻击前奏、实施攻击、巩固控制、继续深入几个过程。见下图1示：1.1攻击前奏

黑客锁定目标、了解目标的网络结构，收集各种目标系统的信息等。

锁定目标：网络上有许多主机，黑客首先要寻找他找的站点的。当然能真正标识主机的是IP地址，黑客会利用域名和IP地址就可以顺利地找到目标主机，了解目标的网络结构：确定要攻击的目标后，黑客就会设法了解其所在的网络结构，哪里是网关、路由，哪里有防火墙，哪些主机与要攻击的目标主机关系密切等，最简单地就是用tracert命令追踪路由，也可以发一些数据包看其是否能通过来猜测其防火墙过滤则的设定等。当然老练的黑客在干这些的时候都会利用别的计算机来间接的探测，从而隐藏他们真实的IP地址。

收集系统信息：在收集到目标的第一批网络信息之后，黑客会对网络上的每台主机进行全面的系统分析，以寻求该主机的安全漏洞或安全弱点。首先黑客要知道目标主机采用的是什么操作系统什么版本，如果目标开放telnet服务，那只要telnetxx.xx.xx.xx.（目标主机），就会显示“digitalunlx(xx.xx.xx.)(ttypl)login：”这样的系统信息。接着黑客还会检查其开放端口进行服务分析，看是否有能被利用的服务。

1.2实施攻击

当黑客探测到了足够的系统信息，对系统的安全弱点有了了解后就会发动攻击，当然他们会根据不同的网络结构、不同的系统情况而采用的不同的攻击手段。

1.3巩固控制

黑客利用种种手段进入目标主机系统并获得控制权之后，进行破坏活动，删除数据、涂改网页等。为了能长时间表的保留和巩固他对系统的控制权，不被管理员发现，他会做两件事：清除记录和留下后门。

1.4继续深入

清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步的行动；窃取主机上的各种敏感信息：软件资料、客户名单、财务报表、信用卡号等等。常见的几种攻击分类：2.1缓冲区溢出攻击

通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它的指令，如果这些指令是放在有root权限的内存中，那么一旦这些指令得到了运行，黑客就以root权限控制了系统，达到入侵的目的。缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能，使攻击者获得程序的控制权。

缓冲区溢出的一般攻击步骤为：在程序的地址空间里安排适当的代码（植入法或利用已存在的代码），然后，通过适当的地址初始化寄存器和存储器，让程序跳到黑客安排的地址空间中执行（如激活纪录、函数指针或长跳转缓冲区等）。

2.2欺骗类攻击

TCP/IP协议本身的一些缺陷可以被利用，使黑客可以对TCP/IP网络进行攻击，网络欺骗的技术主要有：HoneyPot和分布式HoneyPot、欺骗空间技术等。主要方式有：IP欺骗；ARP欺骗；DNS欺骗；Web欺骗；电子邮件欺骗；以IP欺骗攻击为例说明如下，其的实施步骤为：选定目标主机——发现主机间的信任模式——使被信任主机葬失工作能力——TCP序列号的取样和预测——冒充被信任主机进入系统，并留下后门供以后使用。2.3对防火墙的攻击

一般来说，防火墙的抗攻击性很强，可是它也不是不可攻破的。其实，防火墙也是由软件和硬件组成的，在设计和实现上都不可避免地存在着缺陷。对防火墙的探测攻击技术有：Firewalking技术、Hping。

绕过防火墙认证的攻击手法有：地址欺骗和TCP序号协同攻击、IP分片攻击、Tcp/Ip会话劫持、协议隧道攻击、干扰攻击、利用FTP-pasv绕过防火墙认证的攻击。

直接攻击防火墙系统的常见手法有：CiscoPix防火墙的安全漏洞：CiscoPIX防火墙的拒绝服务漏洞、CISCOPIX防火墙FTP漏洞允许非法通过防火墙。

2.4利用病毒攻击

病毒是黑客实施网络攻击的有效手段之一，它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性，而且在网络中其危害更加可怕，目前可通过网络进行传播的病毒已有数万种，可通过注入技术进行破坏和攻击。

计算机病毒攻击的传播途径有电子邮件、传统的软盘、光盘、BBS、WWW浏览、FTP文件下载、新闻组、点对点通信系统和无线通信系统等。

2.5木马程序攻击

特洛依木马是一种骗子程序，提供某些功能作为诱饵，背地里干一些鬼事，当目标计算机启动时，木马程序随之启动，然后在某一特定的端口监听，在通过监听端口收到命令后，木马程序根据命令在目标计算机上执行一些操作，如传送或删除文件，窃取口令，重新启动计算机等。常见的特洛伊木马程序有：BO、Netspy、Netbus等。

3.常见的攻击：

3.1DoS攻击

DoS攻击的方式主要是利用合理的服务请求，来占用过多的网络带宽和服务器资源，致使正常的连接请求无法得到响应。常见的DoS攻击方法有：SYNFlood攻击、Land攻击、Smurf攻击、UDP攻击等。下图2为DoS攻击的基本过程。

3.2DDoS攻击原理

DDoS主要采用了比较特殊的3层客户机/服务器结构，即攻击端、主控端和代理端，这3者在攻击中各自扮演着不同的角色。攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。这种3层客户机/服务器结构，使DDoS具有更强的攻击能力，并且能较好地隐藏攻击者的真实地址。下图3为DDoS的攻击原理。

DDoS攻击一旦实施，攻击数据包就会像洪水般地从四面八方涌向被攻击主机，从而把合法用户的连接请求淹没掉，导致合法用户长时间无法使用网络资源。

3.3Trinoo攻击软件攻击实例

DDoS攻击不断在Internet出现，并在应用的过程中不断的得到完善，已有一系列比较成熟的软件产品，如Trinoo、独裁者DDoS攻击器、DdoSer、TFN、TFN2K等。

Trinoo攻击功能的实现，是通过三个模块付诸实施的：1、攻击守护进程（NS）；2、攻击控制进程（MASTER）；3、客户端（NETCAT，标准TELNET程序等）。攻击守护进程NS是真正实施攻击的程序，它一般和攻击控制进程（MASTER）所在主机分离，在原始C文件NS.C编译的时候，需要加入可控制其执行的攻击控制进程MASTER所在主机IP，（只有在NS.C中的IP方可发起NS的攻击行为）编译成功后，黑客通过目前比较成熟的主机系统漏洞破解（如RPC.CMSD，RPC.TTDBSERVER，RPC.STATD）可以方便的将大量NS植入因特网中有上述漏洞主机内。NS运行时，会首先向攻击控制进程（MASTER）所在主机的31335端口发送内容为HELLO的UDP包，标示它自身的存在，随后攻击守护进程即处于对端口27444的侦听状态，等待MASTER攻击指令的到来。

攻击控制进程（MASTER）在收到攻击守护进程的HELLO包后，会在自己所在目录生成一个加密的名为...的可利用主机表文件，MASTER的启动是需要密码的，在正确输入默认密码gOrave后，MASTER即成功启动，它一方面侦听端口31335，等待攻击守护进程的HELLO包，另一方面侦听端口27665，等待客户端对其的连接。当客户端连接成功并发出指令时，MASTER所在主机将向攻击守护进程ns所在主机的27444端口传递指令。

客户端不是Trinoo自带的一部分，可用标准的能提供TCP连接的程序，如TELNET，NETCAT等，连接MASTER所在主机的27665端口，输入默认密码betaalmostdone后，即完成了连接工作，进入攻击控制可操作的提示状态。

Trinoo运行的总体轮廓可用图4说明：

图4DDoS的攻击原理

攻击实例：被攻击的目标主机victimIP为：5ns被植入三台sun的主机里，他们的IP对应关系分别为client1：1client2：2client3：3master所在主机为masterhost：4首先我们要启动各个进程，在client1，2，3上分别执行ns，启动攻击守护进程，其次，在master所在主机启动mastermasterhost#./master??gOrave（系统示输入密码，输入gOrave后master成功启动）Trinoov1.07d2+f3+c[Mar202000：14：38：49]（连接成功）在任意一台与网络连通的可使用telnet的设备上，执行：telnet427665Escapecharacteris'^]'.betaalmostdone（输入密码）Trinoov1.07d2+f3+c..[rpm8d/cb4Sx/]Trinoo>（进入提示符）Trinoo>mping（我们首先来监测一下各个攻击守护进程是否成功启动）mping：SendingaPINGtoeveryBcasts.Trinoo>PONG1Receivedfrom1PONG2Receivedfrom2PONG3Receivedfrom3（成功响应）Trinoo>mtimer60（设定攻击时间为60秒）mtimer：Settingtimeronbcastto60.Trinoo>dos5DoS：Packeting5至此一次攻击结束，此时ping5，会得到icmp不可到达反馈，目标主机此时与网络的正常连接已被破坏。由于Trinoo尚未采用IP地址欺骗，因此在被攻击的主机系统日志里我们可以看到如下纪录：Mar2014:40：34victimsnmpXdmid：Willattempttore-establishconnection.Mar2014:40：35victimsnmpdx：errorwhilereceivingapdufrom1.59841：Themessagehasawrongheadertype(0x0)Mar2014:40：35victimsnmpdx：errorwhilereceivingapdufrom2.43661：Themessagehasawrongheadertype(0x0)Mar2014:40：36victimsnmpdx：errorwhilereceivingapdufrom192316831.13.40183：Themessagehasawrongheadertype(0x0)Mar2014:40：36victimsnmpXdmid：ErrorreceivingPDUThemessagehasawrongheadertype(0x0).Mar2014:40：36victimsnmpXdmid：Errorreceivingpacketfromagent;rc=-1.Mar2014:40：36victimsnmpXdmid：Willattempttore-establishconnection.Mar2014:40：36victimsnmpXdmid：ErrorreceivingPDUThemessagehasawrongheadertype(0x0).Mar2014:40：36victimsnmpXdmid：Errorreceivingpacketfromagent;rc=-1.4.常见的网络安全防范措施：

4.1网络级安全检测与防范

目前比较流行的网络级安全防范措施是使用专业防火墙

通过编写防火墙规则，可以让系统知道什么样的信息包可以进入、什么样的应该放弃，如此一来，当黑客发送有攻击性信息包的时候，在经过防火墙时，信息就会被丢弃掉，从而防止了黑客的进攻。如天网防火墙，安装后进入自定义IP规则，进行设置：

（1）禁止互联网上的机器使用我的共享资源。

（2）禁止所有人的连接。

（3）禁止所有人连接低端口。

（4）允许已经授权的程序打开端口，这样一切需要开放的端口程序都需要审批。但是不要勾选“系统设置”里的“允许所有应用程序访问网络，并在规则记录这些程序”，这个设置是防范反弹木马和键盘记录的秘密武器。4.2及时备份重要数据

亡羊补牢，如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。想国外很多商务网站，都会在每天晚上对系统数据进行备份，在第二天清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系统中的数据库都不会出现损坏。数据的备份最好放在其他电脑或者驱动器上，这样黑客进入服务器之后，破坏的数据只是一部分，因为无法找到数据的备份，对于服务器的损失也不会太严重。然而一旦受到黑客攻击，管理员不要只设法恢复损坏的数据，还要及时分析黑客的来源和攻击方法，尽快修补被黑客利用的漏洞，然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号，尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净，防止黑客的下一次攻击。

4.3使用加密机制传输数据

对于个人信用卡、密码等重要数据，在客户端与服务器之间的传送，应该先经