常见网络入侵技术及网络防护技术简介

常见网络入侵技术和网络防护技术简述随着计算机和网络技术的快速发展，网络信息已经成为社会发展的重要组成部分，涉及到国家的政府、军事、经济等诸多领域。由于计算机网络组成形式的多样性和网络的开放性等特点，致使这些网络信息容易受到来自世界各地的各种人为攻击。据统计，全球每20秒就有一起黑客事件发生，因此网络安全成为了全世界范围内一个无法回避且急需解决的问题。本文简单介绍了几种常见的网络入侵手段和网络防护技术。一、背景上世纪九十年代开始发展起来的计算机网络技术，给人们在处理信息和资源共享带来了极大的方便，深刻影响并改变着我们的生活方式。当各种商业活动，金融领域，国家政府机构，军事国防对网络依赖度越来越高时，也不得不面对更多来自网络安全方面的考验。随之出现的诸如木马，蠕虫，DoS攻击等，正在成为网络安全最大的威胁。全球知名的个人电脑安全软件制造商Symantec专家ⅥncentWeaver在接受新华社记者采访时说：“中国排全球互联网黑客攻击的第三号目标。”中国互联网络信息中心(CNNIC)报告指出，截至2013年底，网民人数已达6.18亿，手机网民超过5亿，同样面临着严重的安全威胁。其中计算机病毒感染率更是长期处于较高水平。每年因计算机病毒、蠕虫和木马造成的安全事件占全部安全事件的83%。近年来国内发生了许多网络安全事件，其中部分事件有着重大的社会和政治影响。我国重要信息系统受到境内、外恶意病毒的攻击，木马的侵入、渗透，危害相当严重。从整个国家和地区情况看，近年来世界广为知晓的“棱镜门”事件，以及前一个时期通过国外媒体暴露的有关国内知名的公司核心服务器受到侵害的安全问题非常突出。国外媒体报道的中国周边国家韩国突发的网络安全和信息瘫痪的事件，都令人深思和警醒。随着互联网的发展，网络安全给我们带来的挑战应该更加凸显。尽管这几年我国政府在逐步的加大网络安全方面的工作力度、技术投入和资金保障，但仍然客观存在着网络安全的问题，有的还比较突出，整个形势不容乐观。二、网络攻击新趋势互联网上肆意传播着大量木马、病毒，除此之外网络攻击技术和攻击工具也有了新的发展趋势，网络攻击呈实时化、多样化、复杂化等特点，主要表现在一下几个方面：1．攻击工具的自动化水平越来越高，且攻击速度越来越快；攻击工具目前已经发展到了可以通过自动升级，或者更改工具的其中一部分来迅速改变自身，进而发动快速变化的攻击，且可以做到在每次攻击中使用不同种类不同形态的多种攻击工具。2．攻击程序越来越复杂和隐蔽；比如一些攻击程序会借鉴计算机病毒的技术发展，很快编写出能够反查杀的变形木马等一系列在复杂恶劣的网络环境下更加具有生存能力的新型攻击程序；另外，程序在执行时不会在系统中显示出来，攻击者也会利用NTFS流来隐藏木马程序文件，使用隐蔽信道等之类的手段更好地对自身加以隐藏。3．攻击者发现安全漏洞的速度越来越快；只要使用电脑，操作系统和应用软件都是用户必备的工具，然而新发现的各种系统、软件与网络安全的漏洞都在不断地增加，几乎每一年都会有安全漏洞的新类型被发现，网管或用户需要在第一时间用最新的软件补丁对这些漏洞进行修补。但攻击者往往能够抢这些新安全漏洞被修补前，发现并加以利用发起攻击。4．防火墙的被渗透率越来越高；目前，很多的网络攻击技术都可以成功绕过防火墙，例如IPP(网络打印协议)和WebDAV都可以被攻击者利用来绕过防火墙。使用http—tunnel的通道技术也能有效地渗透并通过防火墙。5．对用户造成的影响越来越大；由于用户对计算机的依赖度越来越高，同时也需要使用网络所提供的各项服务，严重的攻击会导致网络大面积长时间地瘫痪，严重的干扰到了用户的各项日常工作和业务，甚至可能会给国家和个人造成无可挽回的巨大经济损失。基于以上种种原因，网络安全已成为了全世界范围内的共识，加之对安全领域的探索和研究日益深入，如何保护计算机网络系统的安全也越来越被人们所重视。然而，迅猛增加的网民并未能和必须具备的网络安全意识与知识同步，信息安全观念较为淡薄，不能很好的采取相应的安全措施来保护自身的网络环境，也直接导致了此类用户很容易被攻击者利用成为网络攻击源。我国对全球互联网的安全威胁很低，但由于缺乏安全意识遭受境外的网络攻击却持续增多，2011年，有近4.7万个境外口地址控制了我国境内主机。三、常见的网络入侵类型网络入侵技术通常利用网络或系统存在的漏洞和安全缺陷进行的攻击，最终以窃取目标主机的信息或破坏系统为主要目的。因此，当某些系统缺陷、安全漏洞被修补之后，这些入侵方式也就很难得逞了。通常情况下，入侵都是以信息搜集为前提，对目标系统的脆弱点采取相应攻击入侵手段，从而达到入侵目的。网络入侵时时刻刻都在发生，其方式也可谓五花八门，具体种类更是无从列举，目前常见的入侵类型有：1．描探测和嗅探扫描探测攻击是指攻击者通过在得到目标IP地址空间后，利用特定的软件对其进行扫描或嗅探，根据扫描技术侦察得知目标主机的扫描端口是否是处于激活状态，主机提供了哪些服务，提供的服务中是否含有某些缺陷，及服务器的操作系统，从而为以后的入侵攻击打下基础。扫描探测是攻击的第一步，大多数入侵者都会在对系统发动攻击之前进行扫描。常见的探测攻击有NMAP、XSc趾、Nessus等，有的探测工具甚至还具有自动攻击等功能。端口扫描活动是针对TCP和UDP端口的，NULL端口扫描，FIN端口扫描，XMAS端口扫描，这是几个比较类似的扫描方式。入侵者发送一个TCP包出去，如果收到带有RST标志的包，表示端口是关闭的，如果什么包也没有收到，就有端口打开的可能性。漏洞扫描是针对软硬件系统平台存在某些形式的脆弱性，扫描方式主要有CGI漏洞扫描，POP3漏洞扫描，HTTP漏洞扫描等，这些漏洞扫描都是建立在漏洞库基础之上的，最后再把扫描结果与漏洞库数据进行匹配得到漏洞信息。为降低被防火墙或IDS检测到的风险，攻击者则会采用比较隐蔽得扫描方式，如慢扫描或分布式扫描等。扫描技术正向着高速，隐蔽，智能化的方向发展。然而扫描作为一种主动攻击行为很容易被发现，而嗅探则要隐蔽得多。嗅探是指攻击者对网络上流通的所有数据包进，从而获取并筛选出对自己入侵有用的信息。常用工具如SnifferPro等。除了扫描和嗅探，入侵者还会利用一些比较实用的软件，诸如ping、nslookup、traceeroute、whois等对目标系统网络结构等进行探测。2．拒绝服务(DoS)攻击Dos是DenialofSeⅣice的简称，即拒绝服务攻击，指利用网络协议的缺陷来耗尽被入侵目标的资源，使得被入侵主机或网络不能提供正常的服务和资源访问为，最终使得目标系统停止响应甚至崩溃。是网络上攻击比较频繁，影响严重的一类攻击。攻击示意图如下：分布式拒绝服务DDoS攻击的基础是传统的DoS攻击。分布式拒绝服务DDoS通过控制大量的计算机，并将它们联合起来形成一个攻击平台，对目标网络发起发动DoS攻击，从而大大地提高了拒绝服务攻击的破坏力。DDoS攻击通过感染了特殊恶意软件的计算机所组成的“僵尸网络(Botnet)”来实现。大量DDoS攻击旨在关闭系统，然后无声地进入网络而不被检测到。拒绝服务攻击已成为一种严重危害网络的恶意攻击。目前，DoS具有代表性的攻击手段包括PingofDeath、TearDrop、UDPflood、SYNflood、IPSpoofingDoS等。3．缓冲区溢出攻击缓冲区溢出攻击是指利用缓冲区溢出漏洞所进行的攻击行为，即将一个超过缓冲区规定长度的字符串放置到缓冲区所致。缓冲区溢出攻击能干扰并打乱具有某些特权运行的程序的功能，这样便能使攻击者取得程序的控制权，进而实现对整个目标主机的控制，进行各种各样的非法操作。通常情况下，攻击者对r00t程序进行攻击，然后运行像“exec(sh)”的代码来获得最高管理员权限的shell。例：voidfunction(char*str){Charbuffer[16]；strcpy(buffer,str)：)即只要str的长度大于16，就会造成buffer的溢出。缓冲区溢出攻击占了远程网络攻击的绝大多数，而一旦遭受到缓冲区溢出攻击，可能导致程序运行失败、死机、重启等后果。第一个缓冲区溢出攻击名为Morris蠕虫，发生于1988年，致使接通Internet的6～8万台计算机的10％～20％陷于瘫痪。防范缓冲区溢出攻击比较有效的方法是：关闭异常端口或服务，及时为软件打补丁和修复系统漏洞。4．欺骗类攻击欺骗类攻击是攻击者较常使用的攻击手段之一，常见的有IP欺骗攻击、WEB欺骗和ARP欺骗攻击。IP地址欺骗是突破防火墙常用的方法，它同时也是其他一系列攻击方法的基础。之所以使用这个方法，是因为IP自身的缺点。IP欺骗攻击指攻击者通过篡改其发送的数据包的源IP地址，来骗取目标主机信任的一种网络欺骗攻击方法。其原理是利用了主机之间的正常信任关系，也就是RPC服务器只依靠数据源IP地址来进行安全校验的特性。常用来于攻击基于UIlix的操作平台，通过IP地址进行安全认证的如rlogin、rsh远程服务等。使用加密方法或进行包过滤可以防范IP欺骗。WEB欺骗是一种建立在互联网上基础之上，十分危险却又不易察觉的非法欺诈行为。攻击者切断用户与Web目标服务器之间的正常连接，制造一系列假象如虚假连接，图表，单表等掩盖体，欺骗用户做出错误的决策，从而建立一条从用户到攻击者主机，再到Web目标服务器的连接，最终控制着从Web目标服务器到用户的返回数据。这种攻击方式常被称之为“来自中间的攻击”。Web欺骗的发生可能导致重要的账号密码的泄露，严重者当用户进行网购或登陆网银时被欺骗则会造成巨大的经济损失。防御的方法有：查看HTML是否可疑或观察所点击的URL链接是否正确，禁止浏览器中的JaVaScript功能等。ARP欺骗攻击是一种利用ARP协议漏洞，通过伪造IP地址和MAC地址实现舢心欺骗的攻击技术。攻击者常利用它进行中间人攻击和拒绝服务类攻击等。由于攻击者通常都使用比较专业的欺骗攻击如arpspoof等，使得这种攻击具有较高的普及率和成功率。ARP欺骗又可分为两种：对路由器ARP表的欺骗和对内网PC的网关欺骗。当欺骗攻击发生时，可导致所有的路由器数据只能发送给错误的MAc地址，从而使得正常主机无法收到信息，大多数情况下甚至会造成大面积掉线。认证技术和中间件技术增加了攻击者ARP欺骗的难度，使攻击行为不易达成。5．SQL注入式攻击SQL注入式攻击，简称隐码攻击。SQL注入漏洞是盛行已久的攻击者对数据库进行攻击的常用手段，攻击者通过网站程序源码中的漏洞进行SQL注入攻击，渗透获得想得知的数据，获得数据库的访问权限等，其中获得账号及密码是其中最基础的目的。甚至数据库服务器被攻击，系统管理员帐户被窜改等后果。CSDN泄密事件就是由SQL注入漏洞所引发的。由于SQL注入手法非常灵活，语句构造也很巧妙，且是从正常的WWW端口进入访问，看起来和普通的Web页面很相似，所以目前的防火墙一般对SQL的注入都不会发出警告，加上用户平时如果对IIS日志不太注意，极有可能被长时间的入侵都毫无知觉。使用SQL通用防注入系统的程序，或用其他更安全的方式连接SQL数据库等可以有效防止SQL注入式攻击。6．利用黑客软件攻击利用已有的黑客软件攻击，因为攻击者获得攻击软件比较方便，操作简单，所以也是现在互连网上比较常见的一种攻击手法。例如BackOrifice2000、SubSeven、冰河等都是比较著名的特洛伊木马，他们能非法地取得计算机的最高级权限，达到对其完全控制的目的，除了能进行文件的读写操作之外，也能实现对主机的密码获取等操作。这类黑客软件一般由服务器端和客户端组成，当攻击者进行攻击时，使用客户端程序连接到已安装好服务器端程序的远程计算机，这些服务器端程序都很小，通常都会捆绑于某些应用软件上，因而很难被发现。例如当用户运行一个下载的实用软件并时，黑客软件的服务器端就同时自动安装完成了，而且大部分黑客软件的重生能力比较强，用户不太容易对其进行检测和彻底清除。特别是最近出现了一种TXT文件欺骗手法，表面看上去是个TXT文本文件，但实际上却是个附带黑客程序的可执行程式，另外有些程序也会伪装成成见的图片和其他格式的文件。四、网络安全技术为了保障计算机信息和网络安全，我们采用了多种网络安全技术手段，常用的主要有：防火墙、身份认证、访问控制、加密、安全路由等。常见网络安全技术各有侧重，比如传统的防火墙方式虽然能够通过过滤和访问控制，制止多数对系统的非法访问，但却不能抵御某些方式的入侵攻击，例如防火墙对数据驱动式攻击就没有抵抗能力。特别是在防火墙系统存在一些配置上的错误，未定义或者没有对系统安全进行明确定义时，都可能会危及到整个系统的安全。除此之外，由于防火墙大部分都设置在网络数据流的关键路径上，通过访问控制的方式来将系统内部与外部隔离开，但对于恶意的代码(如木马、病毒、缓冲区溢出)攻击以及其它来自内部的攻击等，防火墙将束手无策。下面对这几种安全技术进行详细介绍。1．防火墙技术在各类网络安全技术中，防火墙技术是一种实用且成熟的技术。简单的防火墙可以由Router，3LayerSwitch的ACL(accesscontrollist)来充当，也可以用一台主机，甚至是一个子网来实现。而广义的防火墙则是由软件和硬件共同组合而成，是设置在内部网和外部网之间、专用网和公共网之间的界面上的一道重要安全保护屏障。防火墙技术实质也是一种隔离控制技术，具备分离、限制和分析等功能。也可以把防火墙形象地比喻为一堵带小孔的墙，这些小孔就是用来进行的过滤控制的通道。最简单的一类防火墙称为包过滤防火墙。入侵者在攻击目标主机之前，必须首先经过防火墙的安全防线，接受防火墙对流经的数据进行扫描，判断是否符合安全规则，防护墙将非法的访问拒之墙外，对合法的行为和数据放行，这样能够过滤掉一些攻击，从而阻止攻击者对被保护系统的非法入侵。防火墙对数据包检查控制示意图如下：防火墙系统应该具备的几点特性：·内外网之间的数据传输都必须经过防火墙；·只有被授权的合法数据，才能通过防火墙，未被授权的将被防火墙阻拦；·防火墙本身具有对攻击良好的免疫性；·采用最新的信息安全技术；防火墙历经多年的发展升级，已经到了现在的第五代防火墙。目前最为先进和广泛使用的是SPI防火墙，SPI(全状态数据包检查)防火墙提供了最高级别的安全性。它是通过对每个连接信息(如协议类型、TCP协议连接状态和超时时间等)进行检测，从而判断是否过滤数据包的防火墙。其安全性还体现在：除了能够完成简单防火墙的包过滤工作外，还在自己的内存中建立并维护一个连接表，这个连接表中通常保存了比较详细的源和目的地址、源和目的端口号以及TCP序列号等一系列跟踪状态的连接信息，因此具有比包过滤防火墙更大的安全性。防火墙不但可以反欺骗，而且当关闭不使用的端口时，还能禁止特定端口的通信，从而防止特洛伊木马。2．身份认证和访问控制技术身份认证是网络中用于确认操作者身份的一项技术，认证可以基于如下一个或几个因因素：信息因素的如口令，密码；身份因素的如智能卡；生物因素如指纹虹膜等。信息因素和身份因素认证虽然简单易用，但都属于不安全的身份认证方式，因为其存在潜在的泄漏和丢失风险。目前最为安全地身份认证方式是动态密码。用户使用唯一的终端获取动态口令，且动态密码每60秒变换一次，密码一次有效，它产生6位或8位动态数字进行一次一密的方式认证。这种技术目前被广泛运用于网上银行，VPN和电子商务领域。为了增强安全性通常使用不同认证方法相结合的方式进行身份认证。访问控制技术是一种用于控制用户能否进入系统，以及进入系统的用户能够读写的数据集的网络安全技术，其目标是防止对任保护资源进行非授权的访问，其核心思想是：将访问权限与对应的角色相联系，通过给用户分配合适的角色，让用户与访问权限相关联，从而达到规避入侵风险的作用。访问控制技术可分为自主访问控制和强制访问控制两种。目前的主流操作系统，如Linux和Windows等操作系统都提供自主访问控制功能。但自主访问控制的权限很大，极易造成信息泄露，而且不能防范特洛伊木马的攻击。强制访问控制虽然能够防范特洛伊木马和限制用户滥用权限，且具有更高的安全性，但其实现的代价也更大，一般只用在对安全级别要求比较高的军事上。3．密码技术密码是一项很早就已经使用的防止信息泄漏或篡改的重要技术。起初主要用于军事和外交，现在已经被广泛运用于金融，通信和信息安全等领域。密码技术的基本思想就是把信息伪装以隐藏其真实内容，即对信息做一定的数学变化，防止未授权者对信息的攻击。密码技术包括加密和解密两方面。原有信息称为明文(P)，变换后的信息形式称为密文(C)，明文变成密文的过程叫做加密(E)，密文还原成明文的过程叫做解密(D)。其中加密技术包括两个元素：即算法和密钥。根据密钥类型的不同可以把密码技术分为两类：一类是对称加密(即秘密钥匙加密)，即加密密钥和解密密钥相同，或一个可由另一个导出。另一类是非对称加密(即公开密钥加密)，即加密密钥公开，解密密钥不公开，从一个不能推导出另一个。常用的加密算法有：DES算法：DES的算法是对称的，既能用做加密又可用做解密。DES算法具有安全性极高，至今，除了用穷举法对DES算法进行攻击外，还没有发现其它更为有效的攻击方法。但随着计算机运算速度越来越快，对密码的强度的需求也越来越高，可以通过增加DES的密钥长度来达到更高的抗攻击性，如3DES。RSA算法：RSA是Rivest、Shamir和Adleman提出来的基于数论的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准，其加密基础是大数分解和素数检测。AES算法：高级加密标准，即下一代的加密算法标准，特点是结构简单速度快，安全性高，目前AES标准的一个实现是Rijndael算法；MD5算法：MD5是计算机安全领域广泛使用的一种散列函数，用来为消息的完整性提供保护，还广泛运用于操作系统的登陆认证上，如Unix登录密码、数字签名等方面。加密技术被信息安全领域应用在很多方面，但最广泛的运用是电子商务和VPN上。4．IPS技术IPS(IntrusionPreventionSystem)即入侵防御系统，它可以深度检测流经的数据流量，第一时间对恶意数据进行拦截以阻断攻击，对滥用数据进行限流以保护网络带宽资源，是一种积极主动的、积极的入侵检测和防御系统，简单地说，可认为IPS就是防火墙技术加上入侵检测系统，在IDS监测的功能上又增加了主动响应的功能。IPS的产生就是因为IDS只能发现入侵，但不能主动抵御入侵。IPS既可以做到及时发现入侵，又能主动抵御入侵。IPS的部署位置介于防