1、i江西理工大学应用科学学院网络攻击与防御课程作业论文题 目:网络防御与攻击 系 别: 信 息 工 程 系 班 级: 网络 091 班 姓 名: 潘德云 成 绩: 二一二年四月网络防御与攻击课程设计一、选题的目的和意义随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势,但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,网络攻击也变得越来越频繁,所以网上信息的安全和保密是一个至关重要的问题。对于网络和信息安全来说,无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措
2、施应是能全方位地针对各种不同的威胁和脆弱性。例如,网上办公、电子商务、分布式数据处理等。但网络也存在不容忽视的问题,例如,用户的数据被篡改、合法用户被冒充、通信被中断等。面临着大量的网络入侵事件,就必须要求在一个开放式的计算机网络物理环境中构造一个封闭的逻辑环境来保障敏感信息和保密数据不受到攻击。为此迫切需要对网络安全作分类研究,把各种网络安全问题清楚有序地组织起来,从而构建一个合理、安全、高效的网络防御体系。网络安全问题的分析计算机网络安全包括计算机安全、通信安全、操作安全、访问控制、实体安全、系统安全、网络站点安全,以及安全治理和法律制裁等诸多内容。尤其涉及计算机网络上信息的保密性、完整性
3、、可用性、真实性和可控性几个方面二、目前该选题的研究现状网络安全保护的核心是如何在网络环境下保证数据本身的秘密性、完整性与操作的正确性、合法性与不可否认性。而网络攻击的目的正相反,其立足于以各种方式通过网络破坏数据的秘密性和完整性或进行某些非法操作。因此可将网络安全划分为网络攻击和网络安全防护两大类。下面就对网络攻击和网络安全防护作进一步的分析研究。网络攻击手段可以从两个层面来区分,一是理论攻击,即密码学意义上的攻击,只专注于其攻击概念或攻击过程、算法,而不考虑具体的技术实现;二是技术攻击,即与特定网络协议、操作系统及应用程序相关,存在明确可操作的攻击步骤,攻击者可借助一定的分析手段与攻击工具
4、来达到特定的攻击目的。密码学意义上的理论攻击可分为对加密算法的攻击,对签名算法的攻击、对密钥交换和认证协议的攻击等。技术攻击有多种分类方式,如根据使用的攻击工具可分为扫描工具攻击、破解工具攻击、炸弹工具攻击、窃听工具攻击、网络监听、分析工具攻击等方式;按照网络边界的概念,可分为远程攻击和内部用户未授权的攻击,例如 IPSpoofing 攻击、放置特洛伊木马程序的攻击等;内部攻击主要是本地用户获取系统治理员的高级权限的攻击,如缓冲区溢出攻击等随着文明的不断进步和科技的发展,人类对于改善环境条件和防御自然灾害的能力会慢慢趋向成熟。人为因素一直都是威胁网络安全的最大因素,因为人是最不稳定的因素,任何
5、事情只要加入了人的因素就没有绝对的确定性。科技的进步也代表了人的进步所以,世界上没有完美的事物也就代表了没有完美的防御,也就是不管科技怎么发展也都还有突破口,那么黑客既有能力进入你的网络。即使在理论上虚拟网络中有完美的防御,而有人能在现实中拿到他想要的,那网络的安全几乎为零,社会工程学不管在虚拟网络还是现实中都是很危险的而掌握社会工程学的是人,因此人为因素是威胁网络安全的最大因素也是永久因素。三、设计思路分析实施网络安全技术的最终目的不外乎是:访问控制、认证、保密、确保数据完整性及不可否认性。访问控制通过限制用户的访问权限,来保证网络资源的合法使用;认证多指身份认证,确认身份主要通过口令鉴别、
6、双因素鉴别、CHAP 鉴别协议、Kerberos 系统等方式实现;保密即保护信息不暴露给未授权把握该信息的实体;确保数据完整性指对违反安全策略,改变数据价值和存在的防护;确保不可否认性指提供证据解决通信交换中一方事后否认曾发生过交换而产生的纠纷。所有网络安全保护可以说都是围绕以上 5 点展开的。同样,与我们对攻击手段的划分相对应,安全保护技术也可分为理论防护与技术防护两层,两者的关系与理论攻击和技术攻击的关系类似。常见的网络攻击这里我们将对现存的大多数网络攻击手段归纳分析,对理论攻击将着重于介绍对加密算法攻击的技术性实现。而技术攻击则对网络监听、拒绝服务攻击、基于网络边界而言的远程攻击和内部未
7、授权用户对系统的攻击进行分析。对加密算法的攻击对加密算法的攻击主要集中于破译某段密文或分析加密密钥。通常破译者可对密码进行惟密文攻击、已知明文攻击、选择密文攻击和选择明文攻击及穷举攻击,对特定算法还有特定攻击方法,如对DES 这类迭代分组密码可选择差分密码分析法、能量攻击法,对公钥算法 RSA 可采用公用模攻击、低加密指数攻击、定时攻击等方法。网络监听网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理信道上传输的所有信息,而不管信息的发送方和接受方是谁。所以进行通信的信息必须进行加密,否则只要使用一些网络监听工具就可以截获包括口令和账号在内的信息资料。大部分的传输介质
8、如 Ethernet、FDDI、Token-ring、模拟电话线、无线接入网上都可实施网络监听,其中尤以 Ethernet 与无线接入网最为轻易,因为这两者都是典型的广播型网络。拒绝服务攻击一般来说,拒绝服务攻击有些是用来消耗带宽,有些是消耗网络设备的 CPU 和内存。例如对 UDP 的攻击,原理就是使用大量的伪造的文攻击网络端口,造成服务器的资源耗尽,使系统停止响应甚至崩溃。也可以使用大量的 IP 地址向网络发出大量真实的连接,来抢占带宽,造成网络服务的终止。拒绝服务一般分两种:一是试图破坏资源,使目标无人可以使用此资源。如破坏或摧毁信息:删除文件、格式化磁盘、切断电源等。二是过载一些系统服
9、务或者消耗一些资源,通过这样的方式可以造成其它用户不能使用这个服务。这两种情况大半是因用户错误或程序错误造成的,并非针对性的攻击。四、设计过程描述对网络信息系统的攻击来自很多方面,这些攻击可以宏观地为人为攻击和自然灾害攻击。他们都会对通信安全构成威胁,但是精心设计的人为攻击威胁最大,也最难防备。社会工程学攻击社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的
10、个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。攻击方式(1)打电话请求密码。尽管这个方式很普通,但打电话询问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。(2)伪造 Email使用 telnet,一个黑客可以截取任何一个身份证发送 Email 的全部信息,这样的 Email 消息是真,因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充
11、系统管理员或经理的黑客就能较为轻松的获得大量的信息,黑客就能实施他们的恶意阴谋。Ping of death 攻击Ping 是潜水艇人员的专用术语,表示回应的声纳脉冲,在网络中 ping 是一个十分好用的 TCP/IP 工具。它主要的功能是用来检测网络的连通情况和分析网路速度。Ping 有善的一面也有恶的一面。攻击方式对 目 标 IP 不 停 地 Ping 探 测 从 而 致 使 目 标 主 机 TCP/IP 堆栈 崩 溃 导 致 网 络 瘫 痪 。Ping t l 65550Unicode 漏 洞 描 述攻 击 者 可 通 过 IE 浏 览 器 远 程 运 行 被 攻 击 计 算 机 的 cm
12、d.exe 文件 , 从 而 使 该 计 算 机 的 文 件 暴 露 , 且 可 随 意 执 行 和 更 改 文 件 。Unicode 标 准 被 很 多 软 件 开 发 者 所 采 用 , 无 论 何 种 平 台 、 程 序或 开 发 语 言 , Unicode 均 为 每 个 字 符 提 供 独 一 无 二 的 序 号 , 如 向IIS 服 务 器 发 出 包 括 非 法 Unicode UTF-8 序 列 的 URL, 攻 击 者 可 使 服 务 器 逐 字 “进 入 或 退 出 ”目 录 并 执 行 任 意 程 序 , 该 攻 击 即 称 为 目 录 转 换 攻 击 。Unicode
13、用 “%2f”和 “%5c”分 别 代 表 “/”和 “”字 符 , 但 也可 用 “超 长 ”序 列 来 代 替 这 些 字 符 。 “超 长 ”序 列 是 非 法 的Unicode 表 示 符 , 如 用 “%c0%af”代 表 “/”字 符 。 由 于 IIS 不对 超 长 序 列 进 行 检 查 , 因 此 在 URL 中 添 加 超 长 的 Unicode 序 列 后 ,可 绕 过 微 软 的 安 全 检 查 , 如 在 一 个 标 记 为 可 执 行 的 文 件 夹 发 出 该请 求 , 攻 击 者 即 可 在 服 务 器 上 运 行 可 执 行 文 件 。5、设计成果展示利 用
14、Unicode 漏 洞 进 行 攻 击此 漏 洞 从 中 文 IIS4.0+SP6 开 始 , 还 影 响 中 文WIN2000+IIS5.0、 中 文 WIN2000+IIS5.0+SP1, 台 湾 繁 体 中 文 也 同样 存 在 这 样 的 漏 洞 。 在 NT4 中 /编 码 为 “%c1%9c”或 者“%c1%9c”, WIN2000 英 文 版 是 “%c0%af”。但 从 国 外 某 些 站 点 得 来 的 资 料 显 示 , 还 有 以 下 的 编 码 可 以 实 现对 该 漏 洞 的 检 测 , 该 编 码 存 在 于 日 文 版 、 韩 文 版 等 操 作 系 统 。 %c
15、1%pc %c0%9v %c0%qf %c1%8s %e0%80%af利 用 Unicode 漏 洞 读 取 系 统 盘 目 录利 用 该 漏 洞 读 取 出 计 算 机 上 目 录 列 表 , 比 如 读 取 C 盘 的 目 录 ,只 要 在 浏 览 器 中 输 入 “http:/172.18.25.109/scripts/%c0%2f/winnt/system32/cmd.exe?/c+dir+c:”利 用 Unicode 漏 洞 读 取 系 统 文 件利 用 语 句 得 到 对 方 计 算 机 上 装 了 几 个 操 作 系 统 以 及 操 作 系 统 的类 型 , 只 要 读 取 C
16、盘 下 的 boot.ini 文 件 就 可 以 了 。 使 用 的 语 句是 :http:/172.18.25.109/scripts/%c0%2f/winnt/system32/cmd.exe?/c+type+c:boot.ini执 行 的 结 果 如 图 所 示 :利 用 Unicode 漏 洞 读 取 系 统 文 件利 用 语 句 得 到 对 方 计 算 机 上 装 了 几 个 操 作 系 统 以 及 操 作 系 统 的类 型 , 只 要 读 取 C 盘 下 的 boot.ini 文 件 就 可 以 了 。 使 用 的 语 句是 :http:/172.18.25.109/scripts
17、/%c0%2f/winnt/system32/cmd.exe?/c+type+c:boot.ini执 行 的 结 果 如 图 所 示 :防火墙的定义在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet 或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问防火墙的功能根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。(1)可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户(2)防止入侵者接近网络防御设施(3)限制内部用户访问特殊站点由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如
18、 Intranet 等种类相对集中的网络。Internet 上的 Web 网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。防火墙的必要性随着世界各国信息基础设施的逐渐形成,国与国之间变得“近在咫尺” 。Internet 已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。因此,网络安全已经成为迫在眉睫的
19、重要问题,没有网络安全就没有社会信息化防火墙的分类常见的放火墙有三种类型:1、分组过滤防火墙;2、应用代理防火墙;3、状态检测防火墙。分组过滤(Packet Filtering):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。应用代理(Application Proxy):也叫应用网关(Application Gateway) ,它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实
20、际中的应用网关通常由专用工作站实现。状态检测(Status Detection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。应用代理防火墙应用代理(Application Proxy)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间,用于转接内外主机之间的通信,它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层,因此又被称为“应用网关” 。防火墙的优点:(1) 防火墙能强化安全策略 因为因特网上每天都有上百万人在那里收集
21、信息。交换信息,不可避免的会发生个别品的不良的人,或违反规则的人,防火墙就是为了防止不良现象发生的“交通警察”,他执行站点的安全策略,仅仅容许“认可”和符合规则的请求通过。(2) 防火墙能有效的记录因特网上的活动 因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为唯一的访问点,防火墙能在被保护的网络和外部网络之间进行记录。(3) 防火墙限制暴露用户点防火墙能够用来隔开网络中一个网段。这样,能够防止影响一个网段问题通过整个网络转播。(4) 防火墙是一个安全策略的检查站 所有进出的信息必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝与门外
22、。防火墙的缺点: (1) 不能防范恶意的知情者 防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙就变得无能为力。内部用户可以偷窃数据。破坏硬件和软件,并且巧妙的修改程序而不接近防火墙。(2) 不能防范不通过它的连接 防火墙能够有效的防止通过它进行传输的信息的功绩,然而不能防止不通过它而传输的信息的功绩。(3) 不能防备全部的威胁 防火墙被用来防备已知的威胁,如果是一个很好的防火墙涉及方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的威胁。(4) 防火墙不能防范病毒 防火墙不能消除网络上的 pc 机的病毒。
23、课设总结随着网络和计算机技术日新月异的飞速发展,新的安全问题不断产生和变化。网络攻击越来越猖獗,对网络安全造成了很大的威胁。对于任何黑客的而已攻击,都有办法来防御,只要具有丰富的网络知识,就可以抵御黑客们的疯狂攻击,因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。同时要加快网络信息安全技术手段的研究和创新,在任何时候都应该将网络安全教育放在整个安全体系的首位,努力提高所有网络用户的安全意识和基本防范技术,从而使网络的信息能安全可靠地为广大用户服务。未来的战争是信息战争,而网络战是信息战的重要组成部分。网络对抗,实际上是人
24、与人的对抗,它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力,必须充分理解和洞察对方网络系统的“细枝末节” ,同时应该熟知针对各种攻击手段的预防措施,只有这样才能做到“知己知彼,百战百胜”本论文从多方面描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。基于上述的网络防御体系,网络防御技术主要分为以下几类:物理隔离逻辑隔离防火墙防御来自网络的攻击抗攻击网关防止来自网络上的病毒防病毒网关身份认证网络的鉴别、授权和治理系统加密通信和虚拟专用网VPN 入侵检测和主动防卫IDS 网管、审计和取证集中网管结语本文对各种常见的网络攻击和防御方法进行了具体的分析,并提出了“网络防御体系”模型,它们都还需要进一步的研究提高。同时,随着网络及其应用的广泛发展,安全威胁呈现出攻击的种类、方法和总体数量越来越多、破坏性和系统恢复难度也越来越大。这就要求我们对攻击方法有更进一步的研究;对安全策略有更完善的发展,建立起一个全面的、可靠的、高效的安全体系。
