1、计算机网络安全网络攻击透视与防范课程设计论文随着计算机网络在人类生活领域中的广泛应用,针对计算机网络的攻击事件也随之增加。网络已经无所不在的影响着社会的政治、经济、文化、军事、意识形态和社会生活等各个方面。同时在全球范围内,针对重要信息资源和网络基础设施的入侵行为和企图入侵行为的数量仍在持续不断增加,网络攻击与入侵行为对国家安全、经济和社会生活造成了极大的威胁。计算机病毒不断地通过网络产生和传播,计算机网络被不断地非法入侵,重要情报、资料被窃取,甚至造成网络系统的瘫痪等等,诸如此类的事件已给政府及企业造成了巨大的损失,甚至危害到国家的安全。网络安全已成为世界各国当今共同关注的焦点,网络安全的重
2、要性是不言而喻的。本文首先阐述目前计算机网络中存在的安全问题及计算机网络安全的重要性,接着分析黑客网络攻击常见方法及攻击的一般过程,最后分析针对这些攻击的特点采取的防范措施。计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面,即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护,免于破坏、丢失等。逻辑安安全包括信息的完整性、保密性和可用性。计算机网络安全不仅包括组网的硬件、管理控制网络的软件,也包括共享的资源,快捷的网络服务,所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照 ISO 给出的计
3、算机安全定义,认为计算机网络安全是指:“保护计算机网络系统中的硬件,软件和数据资源,不因偶然或恶意的原因遭到破坏、更改、泄露,使网络系统连续可靠性地正常运行,网络服务正常有序。 ”由于互联网络的发展,整个世界经济正在迅速地融为一体,而整个国家犹如一部巨大的网络机器。计算机网络已经成为国家的经济基础和命脉。计算机网络在经济和生活的各个领域正在迅速普及,整个社会对网络的依赖程度越来越大。众多的企业、组织、政府部门与机构都在组建和发展自己的网络,并连接到 Internet 上,以充分共享、利用网络的信息和资源。网络已经成为社会和经济发展的强大动力,其地位越来越重要。伴随着网络的发展,也产生了各种各样
4、的问题,其中安全问题尤为突出。了解网络面临的各种威胁,防范和消除这些威胁,实现真正的网络安全已经成了网络发展中最重要的事情。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性” ;控制安全则指身份认证、不可否认性、授权和访问控制。互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题: 信息泄漏、信息污染、信息不易受控
5、。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。 在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。 网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。 随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政
6、府网站等。目前,我国网络安全问题日益突出,主要标志是: 计算机系统遭受病毒感染和破坏的情况相当严重。据国家计算机病毒应急处理中心副主任张健介绍,从国家计算机病毒应急处理中心日常监测结果看来,计算机病毒呈现出异常活跃的态势。据2001 年调查,我国约 73%的计算机用户曾感染病毒, 2003 年上半年升至 83%。其中,感染 3 次以上的用户高达 59%,而且病毒的破坏性较大,被病毒破坏全部数据的占 14%,破坏部分数据的占57%。 电脑黑客活动已形成重要威胁。网络信息系统具有致命的脆弱性、易受攻击性和开放性,从国内情况来看,目前我国 95%与互联网相联的网络管理中心都遭受过境内外黑客的攻击或侵
7、入,其中银行、金融和证券机构是黑客攻击的重点。 信息基础设施面临网络安全的挑战。面对信息安全的严峻形势,我国的网络安全系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。据英国简氏战略报告和其它网络组织对各国信息防护能力的评估,我国被列入防护能力最低的国家之一,不仅大大低于美国、俄罗斯和以色列等信息安全强国,而且排在印度、韩国之后。近年来,国内与网络有关的各类违法行为以每年 30%的速度递增。据某市信息安全管理部门统计,2003 年第 1 季度内,该市共遭受近 37 万次黑客攻击、2.1 万次以上病毒入侵和 57 次信息系统瘫痪。该市某公司的镜像网站在 10 月份 1 个月内,就遭到从外部1
8、00 多个 IP 地址发起的恶意攻击。在 Internet 网上,网络攻击的行为通常有:通过侵入主机后非法获取重要文件,修改系统资料,删除文件,破坏系统;通过发送大量报文或其他方式使网络拥塞,使被攻击的主机 Shut Down;通过截取或篡改网络上的报文来欺骗目标主机,获取相关资料;通过传播病毒攻击目标主机。网络上还有一类人,他们能够侵入一个系统,但目的不是破坏,而只是想显示自己的水平,把侵入系统当成是对自己的挑战,这种人通常称为 黑客( HACKER) 。我们把进行以上攻击行为的人统称为“攻击者” 。 网络攻击的手段大致可分为以下几类: (1)利用主机上服务器的不正确配置和漏洞进行攻击。 (
9、2)利用主机操作系统的某些漏洞进行攻击。 (3)利用 TCPIP 协议上的某些不安全因素进行攻击。 (4)利用病毒进行攻击。 (5)其他网络攻击方式。黑客常用的攻击步骤可以说变幻莫测,但纵观其整个攻击过程,还是有一定规律可循的,一般可以分:信息收集, 系统安全弱点的探测, 建立模拟环境,进行模拟攻击, 具体实施网络攻击几个过程。见下图 1 示:1 .信息收集信息收集并不对目标本身造成危害,只是为进一步入侵提供有用的信息。黑客可能会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息:(1) SNMP 协议:用来查阅网络系统路由器的路由表,从而了解目标主机所在网络的拓扑结构及其
10、内部细节。(2) TraceRoute 程序:能够用该程序获得到达目标主机所要经过的网络数和路由器数。(3) Whois 协议:该协议的服务信息能提供所有有关的 DNS 域和相关的管理参数。(4) DNS 服务器:该服务器提供了系统中可以访问的主机 IP地址表和它们所对应的主机名(5) Ping 实用程序:可以用来确定一个指定的主机的位置。网络攻击行为主要分系统层面和网络层面。网络层面主要的攻击有 DOS 类、欺骗、非法侦听、拦截并篡改通信数据、扫描、病毒引起的网络攻击行为、利用网络服务漏洞进行入侵。攻击目的我们知道有两种,一是破坏,二是入侵。一 DoS 与 DDoS 攻击原理及其防范拒绝服务
11、(Denial of Service,简称 DoS)攻击是一种利用 TCP/IP 协议的弱点和系统存在的漏洞,对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的,对网络服务器发送大量“请求”信息,造成网络或服务器系统不堪重负,致使系统瘫痪而无法提供正常的网络服务。分布式拒绝服务(Distributed Denial of Service,简称 DDoS)攻击是在拒绝服务攻击的基础上产生的一种分布式、协作式的大规模拒绝服务攻击方式。目前,拒绝服务攻击和分布式拒绝服务攻击已成为一种遍布全球的系统漏洞攻击方法,无数网络用户都受到这种攻击的侵害,造成了巨大的经济损失。因此,了解 DoS 与 D
12、DoS 攻击原理及基本的防范方法,对所有网络用户特别是网络管理人员有着重要的意义。1 DoS 攻击原理及方式DoS 攻击的方式主要是利用合理的服务请求,来占用过多的网络带宽和服务器资源,致使正常的连接请求无法得到响应。常见的 DoS 攻击方法有:SYN Flood 攻击、Land 攻击、Smurf 攻击、UDP 攻击等。下图 2 为 DoS 攻击的基本过程。(1)SYN Flood 攻击SYN Flood 攻击是一种最常见的 DoS 攻击手段,它利用TCP/IP 连接的“三次握手”过程,通过虚假 IP, 源地址发送大量 SYN 数据包,请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这
13、些虚假 IP,地址发送确认数据包后,等待对方连接,虚假的 IP 源地址将不给予响应。这样,连接请求将一直保存在系统缓存中直到超时。如果系统资源被大量此类未完成的连接占用,系统性能自然会下降。后续正常的 TCP 连接请求也会因等待队列填满而被丢弃,造成服务器拒绝服务的现象。Syn Flood 原理 - 三次握手 ,Syn Flood 利用了 TCP/IP 协议的固有漏洞。面向连接的 TCP 三次握手是 Syn Flood 存在的基础。图三如图三,在第一步中,客户端向服务端提出连接请求。这时TCP SYN 标志置位。客户端告诉服务端序列号区域合法,需要检查。客户端在 TCP 报头的序列号区中插入自
14、己的 ISN。服务端收到该TCP 分段后,在第二步以自己的 ISN 回应 (SYN 标志置位),同时确认收到客户端的第一个 TCP 分段(ACK 标志置位)。在第三步中,客户端确认收到服务端的 ISN(ACK 标志置位 )。到此为止建立完整的TCP 连接,开始全双工模式的数据传输过程,而 Syn Flood 攻击者不会完成三次握手。图四 Syn Flood 恶意地不完成三次握手假设一个用户向服务器发送了 SYN 报文后突然死机或掉线,那么服务器在发出 SYN+ACK 应答报文后是无法收到客户端的 ACK报文的(第三次握手无法完成),这种情况下服务器端一般会重试(再次发送 SYN+ACK 给客户
15、端)并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为 SYN Timeout,一般来说这个时间是分钟的数量级(大约为 30 秒-2 分钟);一个用户出现异常导致服务器的一个线程等待 1 分钟并不是什么很大的问题,但如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源- 数以万计的半连接,即使是简单的保存并遍历也会消耗非常多的 CPU 时间和内存,何况还要不断对这个列表中的 IP 进行 SYN+ACK 的重试。实际上如果服务器的 TCP/IP 栈不够强大,最后的结果往往是堆栈溢出崩溃 -即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP 连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小),此时从正常客户的角度看来,服务器失去响应,这种情况我们称做:服务器端受到了 SYN Flood 攻击(SYN 洪水攻击)。 (2) Land 攻击Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包,造成目标主机解析 Land 包时占用大量系统资源,从而
