常见网络入侵技术及网络防护技术简介

常见网络入侵技术和网络防护技术简

述

随着计算机和网络技术的快速发展，网络信息已经成为社会

发展的重要组成部分，涉及到国家的政府、军事、经济等诸多领

域。由于计算机网络组成形式的多样性和网络的开放性等特点，

致使这些网络信息容易受到来自世界各地的各种人为攻击。据统

计，全球每20秒就有一起黑客事件发生，因此网络安全成为了

全世界范围内一个无法回避且急需解决的问题。本文简单介绍了

几种常见的网络入侵手段和网络防护技术。

一、背景

上世纪九十年代开始发展起来的计算机网络技术，给人们在

处理信息和资源共享带来了极大的方便，深刻影响并改变着我们

的生活方式。当各种商业活动，金融领域，国家政府机构，军

事国防对网络依赖度越来越高时，也不得不面对更多来自网络安

全方面的考验。随之出现的诸如木马，蠕虫，DoS攻击等，正在

成为网络安全最大的威胁。

全球知名的个人电脑安全软件制造商Symantec专家VI

ncentWeaver在接受新华社记者采访时说：“中国排全球互联网

黑客攻击的第三号目标。"中国互联网络信息中心(CNNIC)报告指

出，截至2013年底，网民人数已达6.18亿，手机网民超过5

亿，同样面临着严重的安全威胁。其中计算机病毒感染率更是长

期处于较高水平。每年因计算机病毒、蠕虫和木马造成的安全事

件占全部安全事件的83%。近年来国内发生了许多网络安全事件,

其中部分事件有着重大的社会和政治影响。我国重要信息系统受

到境内、外恶意病毒的攻击，木马的侵入、渗透，危害相当严重。

从整个国家和地区情况看，近年来世界广为知晓的“棱镜门”事

件，以及前一个时期通过国外媒体暴露的有关国内知名的公司核

心服务器受到侵害的安全问题非常突出。国外媒体报道的中国周

边国家韩国突发的网络安全和信息瘫痪的事件，都令人深思和警

醒。随着互联网的发展，网络安全给我们带来的挑战应该更加凸

显。尽管这几年我国政府在逐步的加大网络安全方面的工作力

度、技术投入和资金保障，但仍然客观存在着网络安全的问题，

有的还比较突出，整个形势不容乐观。

二、网络攻击新趋势

互联网上肆意传播着大量木马、病毒，除此之外网络攻击技

术和攻击工具也有了新的发展趋势，网络攻击呈实时化、多样化、

复杂化等特点，主要表现在一下几个方面：

1.攻击工具的自动化水平越来越高，且攻击速度越来越快;

攻击工具目前已经发展到了可以通过自动升级，或者更改工具的

其中一部分来迅速改变自身，进而发动快速变化的攻击，且可以

做到在每次攻击中使用不同种类不同形态的多种攻击工具。

2.攻击程序越来越复杂和隐蔽;

比如一些攻击程序会借鉴计算机病毒的技术发展，很快编写

出能够反查杀的变形木马等一系列在复杂恶劣的网络环境下更

加具有生存能力的新型攻击程序；另外，程序在执行时不会在系

统中显示出来，攻击者也会利用NTFS流来隐藏木马程序文件，

使用隐蔽信道等之类的手段更好地对自身加以隐藏。

3.攻击者发现安全漏洞的速度越来越快；

只要使用电脑，操作系统和应用软件都是用户必备的工具，

然而新发现的各种系统、软件与网络安全的漏洞都在不断地增

加，几乎每一年都会有安全漏洞的新类型被发现，网管或用户需

要在第一时间用最新的软件补丁对这些漏洞进行修补。但攻击者

往往能够抢这些新安全漏洞被修补前，发现并加以利用发起攻

击。

4.防火墙的被渗透率越来越高；

目前，很多的网络攻击技术都可以成功绕过防火墙，例如

IPP（网络打印协议）和WebDAV都可以被攻击者利用来绕过防火

墙。使用http—tunnel的通道技术也能有效地渗透并通过防火

，回。

5.对用户造成的影响越来越大；

由于用户对计算机的依赖度越来越高，同时也需要使用网络

所提供的各项服务，严重的攻击会导致网络大面积长时间地瘫

痪，严重的干扰到了用户的各项日常工作和业务，甚至可能会给

国家和个人造成无可挽回的巨大经济损失。基于以上种种原因，

网络安全已成为了全世界范围内的共识，加之对安全领域的探索

和研究日益深入，如何保护计算机网络系统的安全也越来越被人

们所重视。然而，迅猛增加的网民并未能和必须具备的网络安全

意识与知识同步，信息安全观念较为淡薄，不能很好的采取相应

的安全措施来保护自身的网络环境，也直接导致了此类用户很容

易被攻击者利用成为网络攻击源。我国对全球互联网的安全威胁

很低，但由于缺乏安全意识遭受境外的网络攻击却持续增多，

2011年，有近4.7万个境外口地址控制了我国境内主机。

三、常见的网络入侵类型

网络入侵技术通常利用网络或系统存在的漏洞和安全缺陷

进行的攻击，最终以窃取目标主机的信息或破坏系统为主要目

的。因此，当某些系统缺陷、安全漏洞被修补之后，这些入侵方

式也就很难得逞了。通常情况下，入侵都是以信息搜集为前提，

对目标系统的脆弱点采取相应攻击入侵手段，从而达到入侵目

的。网络入侵时时刻刻都在发生，其方式也可谓五花八门，具体

种类更是无从列举，目前常见的入侵类型有：

1.描探测和嗅探

扫描探测攻击是指攻击者通过在得到目标IP地址空间后，

利用特定的软件对其进行扫描或嗅探，根据扫描技术侦察得知目

标主机的扫描端口是否是处于激活状态，主机提供了哪些服务,

提供的服务中是否含有某些缺陷，及服务器的操作系统，从而为

以后的入侵攻击打下基础。扫描探测是攻击的第一步，大多数入

侵者都会在对系统发动攻击之前进行扫描。常见的探测攻击有

NMAP、XSc趾、Nessus等，有的探测工具甚至还具有自动攻击

等功能。端口扫描活动是针对TCP和UDP端口的，NULL端口扫

描，FIN端口扫描，XMAS端口扫描，这是几个比较类似的扫描方

式。入侵者发送一个TCP包出去，如果收到带有RST标志的包，

表示端口是关闭的，如果什么包也没有收到，就有端口打开的可

能性。漏洞扫描是针对软硬件系统平台存在某些形式的脆弱性，

扫描方式主要有CGI漏洞扫描，POP3漏洞扫描，HTTP漏洞扫描

等，这些漏洞扫描都是建立在漏洞库基础之上的，最后再把扫描

结果与漏洞库数据进行匹配得到漏洞信息。为降低被防火墙或

IDS检测到的风险，攻击者则会采用比较隐蔽得扫描方式，如慢

扫描或分布式扫描等。扫描技术正向着高速，隐蔽，智能化的方

向发展。然而扫描作为一种主动攻击行为很容易被发现，而嗅探

则要隐蔽得多。嗅探是指攻击者对网络上流通的所有数据包进，

从而获取并筛选出对自己入侵有用的信息。常用工具如

SnifferPro等。除了扫描和嗅探，入侵者还会利用一些比较实

用的软件，诸如ping、nslookup>traceeroute^whois等对目

标系统网络结构等进行探测。

2.拒绝服务(DoS)攻击

Dos是DenialofSelVice的简称,即拒绝服务攻击，指利

用网络协议的缺陷来耗尽被入侵目标的资源，使得被入侵主机或

网络不能提供正常的服务和资源访问为，最终使得目标系统停止

响应甚至崩溃。是网络上攻击比较频繁，影响严重的一类攻击。

攻击示意图如下：

分布式拒绝服务DDoS攻击的基础是传统的DoS攻击。分布

式拒绝服务DDoS通过控制大量的计算机，并将它们联合起来形

成一个攻击平台，对目标网络发起发动DoS攻击，从而大大地提

高了拒绝服务攻击的破坏力。DDoS攻击通过感染了特殊恶意软

件的计算机所组成的“僵尸网络(Botnet)”来实现。大量DDoS

攻击旨在关闭系统，然后无声地进入网络而不被检测到。拒绝服

务攻击已成为一种严重危害网络的恶意攻击。目前，DoS具有代

表性的攻击手段包括PingofDeath>TearDrop>UDPflood、

SYNflood、IPSpoofingDoS等。

3.缓冲区溢出攻击

缓冲区溢出攻击是指利用缓冲区溢出漏洞所进行的攻击行

为，即将一个超过缓冲区规定长度的字符串放置到缓冲区所致。

缓冲区溢出攻击能干扰并打乱具有某些特权运行的程序的功能，

这样便能使攻击者取得程序的控制权，进而实现对整个目标主机

的控制，进行各种各样的非法操作。通常情况下，攻击者对rOOt

程序进行攻击，然后运行像“exec(sh)”的代码来获得最高管理

员权限的shello

例：voidfunction(char*str){

Charbuffer[16]；

strcpy(buffer,str)：

)

即只要str的长度大于16,就会造成buffer的溢出。缓冲

区溢出攻击占了远程网络攻击的绝大多数，而一旦遭受到缓冲区

溢出攻击，可能导致程序运行失败、死机、重启等后果。第一个

缓冲区溢出攻击名为Morris蠕虫，发生于1988年，致使接通

Internet的6~8万台计算机的10%〜20%陷于瘫痪。防范缓冲

区溢出攻击比较有效的方法是：关闭异常端口或服务，及时为软

件打补丁和修复系统漏洞。

4.欺骗类攻击

欺骗类攻击是攻击者较常使用的攻击手段之一，常见的有

IP欺骗攻击、WEB欺骗和ARP欺骗攻击。

IP地址欺骗是突破防火墙常用的方法，它同时也是其他一

系列攻击方法的基础。之所以使用这个方法，是因为IP自身的

缺点。IP欺骗攻击指攻击者通过篡改其发送的数据包的源IP地

址，来骗取目标主机信任的一种网络欺骗攻击方法。其原理是利

用了主机之间的正常信任关系，也就是RPC服务器只依靠数据源

IP地址来进行安全校验的特性。常用来于攻击基于Ullix的操

作平台，通过IP地址进行安全认证的如rlogin、rsh远程服务

等。使用加密方法或进行包过滤可以防范IP欺骗。

WEB欺骗是一种建立在互联网上基础之上，十分危险却又不

易察觉的非法欺诈行为。攻击者切断用户与Web目标服务器之间

的正常连接，制造一系列假象如虚假连接，图表，单表等掩盖体,

欺骗用户做出错误的次策，从而建立一条从用户到攻击者主机，

再到Web目标服务器的连接，最终控制着从Web目标服务器到用

户的返回数据。这种攻击方式常被称之为“来自中间的攻击工

Web欺骗的发生可能导致重要的账号密码的泄露，严重者当用户

进行网购或登陆网银时被欺骗则会造成巨大的经济损失。防御的

方法有：查看HTML是否可疑或观察所点击的URL链接是否正确,

禁止浏览器中的JavaScript功能等。

ARP欺骗攻击是一种利用ARP协议漏洞，通过伪造TP地址

和MAC地址实现鼬心欺骗的攻击技术。攻击者常利用它进行中间

人攻击和拒绝服务类攻击等。由于攻击者通常都使用比较专业的

欺骗攻击如arpspoof等，使得这种攻击具有较高的普及率和成

功率。ARP欺骗又可分为两种：对路由器ARP表的欺骗和对内网

PC的网关欺骗。当欺骗攻击发生时，可导致所有的路由器数据

只能发送给错误的MAc地址，从而使得正常主机无法收到信息，

大多数情况下甚至会造成大面积掉线。认证技术和中间件技术增

加了攻击者ARP欺骗的难度，使攻击行为不易达成。

5.SQL注入式攻击

SQL注入式攻击，简称隐码攻击。SQL注入漏洞是盛行已久

的攻击者对数据库进行攻击的常用手段，攻击者通过网站程序源

码中的漏洞进行SQL注入攻击，渗透获得想得知的数据，获得

数据库的访问权限等，其中获得账号及密码是其中最基础的目

的。甚至数据库服务器被攻击，系统管理员帐户被窜改等后果。

CSDN泄密事件就是由SQL注入漏洞所引发的。由于SQL注入手

法非常灵活，语句构造也很巧妙，且是从正常的WWW端口进入访

问，看起来和普通的Web页面很相似，所以目前的防火墙一般对

SQL的注入都不会发出警告，加上用户平时如果对IIS日志不太

注意，极有可能被长时间的入侵都毫无知觉。使用SQL通用防注

入系统的程序，或用其他更安全的方式连接SQL数据库等可以有

效防止SQL注入式攻击。

6.利用黑客软件攻击

利用已有的黑客软件攻击，因为攻击者获得攻击软件比较方

便，操作简单，所以也是现在互连网上比较常见的一种攻击手

法。例如Back法if例如000、SubSeven,冰河等都是比较著名

的特洛伊木马，他们能非法地取得计算机的最高级权限，达到对

其完全控制的目的，除了能进行文件的读写操作之外，也能实现

对主机的密码获取等操作。这类黑客软件一般由服务器端和客户

端组成，当攻击者进行攻击时，使用客户端程序连接到己安装好

服务器端程序的远程计算机，这些服务器端程序都很小，通常都

会捆绑于某些应用软件上，因而很难被发现。例如当用户运行一

个下载的实用软件并时，黑客软件的服务器端就同时自动安装完

成了，而且大部分黑客软件的重生能力比较强，用户不太容易

对其进行检测和彻底清除。特别是最近出现了一种TXT文件欺骗

手法，表面看上去是个TXT文本文件，但实际上却是个附带黑客

程序的可执行程式，另外有些程序也会伪装成成见的图片和其他

格式的文件。

四、网络安全技术

为了保障计算机信息和网络安全，我们采用了多种网络安全

技术手段，常用的主要有：防火墙、身份认证、访问控制、加密、

安全路由等。常见网络安全技术各有侧重，比如传统的防火墙方

式虽然能够通过过滤和方间控制，制止多数对系统的非法访问，

但却不能抵御某些方式的入侵攻击，例如防火墙对数据驱动式攻

击就没有抵抗能力。特别是在防火墙系统存在一些配置上的错

误，未定义或者没有对系统安全进行明确定义时，都可能会危及

到整个系统的安全。除此之外，由于防火墙大部分都设置在网络

数据流的关键路径上，通过访问控制的方式来将系统内部与外部

隔离开，但对于恶意的代码(如木马、病毒、缓冲区溢出)攻击以

及其它来自内部的攻击等，防火墙将束手无策。下面对这几种安

全技术进行详细介绍。

1.防火墙技术

在各类网络安全技术中，防火墙技术是一种实用且成熟的技

术。简单的防火墙可以由Router,3LayerSwitch的ACL(access

controllist)来充当，也可以用一台主机，甚至是一个子网来

实现。而广义的防火墙则是由软件和硬件共同组合而成，是设置

在内部网和外部网之间、专用网和公共网之间的界面上的一道重

要安全保护屏障。

防火墙技术实质也是一种隔离控制技术，具备分离、限制和

分析等功能。也可以把防火墙形象地比喻为一堵带小孔的墙，这

些小孔就是用来进行的过滤控制的通道。最简单的一类防火墙称

为包过滤防火墙。入侵者在攻击目标主机之前，必须首先经过防

火墙的安全防线，接受防火墙对流经的数据进行扫描，判断是否

符合安全规则，防护墙将非法的访问拒之墙外，对合法的行为和

数据放行，这样能够过滤掉一些攻击，从而阻止攻击者对被保护

系统的非法入侵。防火墙对数据包检查控制示意图如下：

防火墙系统应该具备的几点特性：

•内外网之间的数据传输都必须经过防火墙；

•只有被授权的合法数据，才能通过防火墙，未被授权的将

被防火墙阻拦；

•防火墙本身具有对攻击良好的免疫性；

•采用最新的信息安全技术；

防火墙历经多年的发展升级，已经到了现在的第五代防火

墙。目前最为先进和广泛使用的是SPI防火墙，SPI（全状态数据

包检查）防火墙提供了最高级别的安全性。它是通过对每个连接

信息（如协议类型、TCP协议连接状态和超时时间等）进行检测,

从而判断是否过滤数据包的防火墙。其安全性还体现在：除了能

够完成简单防火墙的包过滤工作外，还在自己的内存中建立并维

护一个连接表，这个连接表中通常保存了比较详细的源和目的地

址、源和目的端口号以及TCP序列号等一系列跟踪状态的连接信

息，因此具有比包过滤防火墙更大的安全性。防火墙不但可以反

欺骗，而且当关闭不使用的端口时，还能禁止特定端口的

通信，从而防止特洛伊木马。

2.身份认证和访问控制技术

身份认证是网络中用于确认操作者身份的一项技术，认证可

以基于如下一个或几个因因素：信息因素的如口令，密码；身份

因素的如智能卡；生物因素如指纹虹膜等。信息因素和身份因素

认证虽然简单易用，但都属于不安全的身份认证方式，因为其存

在潜在的泄漏和丢失风险。

目前最为安全地身份认证方式是动态密码。用户使用唯一的

终端获取动态口令，且动态密码每60秒变换一次，密码一次有

效，它产生6位或8位动态数字进行一次一密的方式认证。这种

技术目前被广泛运用于网上银行，VPN和电子商务领域。为了增

强安全性通常使用不同认证方法相结合的方式进行身份认证。

访问控制技术是一种用于控制用户能否进入系统，以及进入

系统的用户能够读写的数据集的网络安全技术，其目标是防止对

任保护资源进行非授权的访问，其核心思想是：将访问权限与

对应的角色相联系，通过给用户分配合适的角色，让用户与访

问权限相关联，从而达到规避入侵风险的作用。

访问控制技术可分为自主访问控制和强制访问控制两种。目

前的主流操作系统，如Linux和Windows等操作系统都提供自主

访问控制功能。但自主访问控制的权限很大，极易造成信息泄露,

而且不能防范特洛伊木马的攻击。强制访问控制虽然能够防范特

洛伊木马和限制用户滥用权限，且具有更高的安全性，但其实现

的代价也更大，一般只用在对安全级别要求比较高的军事上。

3.密码技术

密码是一项很早就已经使用的防止信息泄漏或篡改的重要

技术。起初主要用于军事和外交，现在已经被广泛运用于金融，

通信和信息安全等领域。密码技术的基本思想就是把信息伪装以

隐藏其真实内容，即对信息做一定的数学变化，防止未授权者对

信息的攻击。密码技术包括加密和解密两方面。原有信息称为明

文(P),变换后的信息形式称为密文(C),明文变成密文的过程叫

做加密(E),密文还原成明文的过程叫做解密(D)。其中加密技术

包括两个元素：即算法和密钥。

根据密钥类型的不同可以把密码技术分为两类：一类是对称

加密(即秘密钥匙加密)，即加密密钥和解密密钥相同，或一个可

由另一个导出。另一类是非对称加密(即公开密钥加密)，即加密

密钥公开，解密密钥不公开，从一个不能推导出另一个。

常用的加密算法有：

DES算法：DES的算法是对称的，既能用做加密又可用做解

密。DES算法具有安全性极高，至今，除了用穷举法对DES算法

进行攻击外，还没有发现其它更为有效的攻击方法。但随着计算

机运算速度越来越快，对密码的强度的需求也越来越高，可以通

过增加DES的密钥长度来达到更高的抗攻击性，如3DESo

RSA算法:RSA是Rivest、Shamir和Adleman提出来的基于

数论的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻

击，已被ISO推荐为公钥数据加密标准，其加密基础是大数分解

和素数检测。

AES算法：高级加密标准，即下一代的加密算法标准，特点

是结构简单速度快，安全性高，目前AES标准的一个实现是

Rijndael算法；

MD5算法：MD5是计算机安全领域广泛使用的一种散列函数,

用来为消息的完整性提供保护，还广泛运用于操作系统的登陆认

证上，如Unix登录密码、数字签名等方面。

加密技术被信息安全领域应用在很多方面，但最广泛的运用

是电子商务和VPN上。

4.IPS技术

IPS(IntrusionPreventionSystem)即入侵防御系统，它可

以深度检测流经的数据流量，第一时间对恶意数据进行拦截以阻

断攻击，对滥用数据进行限流以保护网络带宽资源，是一种积极

主动的、积极的入侵检测和防御系统，简单地说，可认为IPS就

是防火墙技术加上入侵检测系统，在IDS监测的功能上又增加了

主动响应的功能。

IPS的产生就是因为IDS只能发现入侵，但不能主动抵御入

侵。IPS既可以做到及时发现入侵，又能主动抵御入侵。IPS的

部署位置介于防火墙和网络的设备之间。因此，如果检测到攻击,

IPS会在攻击