网络攻防技术.doc

网络攻防技术 1.网络攻防概述 随着互联网的迅猛发展，一些“信息垃圾”、“邮件炸弹”、“病毒木马”、“网络黑客”等越来越多地威胁着网络的安全，而网络攻击是最重要的威胁来源之一，所以有效的防范网络攻击势在必行，一个能真正能有效应对网络攻击的高手应该做到知己知彼，方可百战不殆。 黑客简介 今天，人们一谈到“黑客”（Hacker）往往都带着贬斥的意思，但是“黑客”的本来含义却并非如此。一般认为，黑客起源于20世纪50年代美国著名高校的实验室中，他们智力非凡、技术高超、精力充沛，热终于解决一个个棘手的计算机网络难题。60、70年代，“黑客”一词甚至于极富褒义，从事黑客活动意味着以计算机网络的最大潜力进行治理上的自由探索，所谓的“黑客”文化也随之产生了。然后并非所有的人都能恪守“黑客”文化的信条，专注于技术的探索，恶意的计算机网络破坏者、信息系统的窃密者随后层出不穷，人们把这部分主观上有恶意企图的人成为“骇客”（Cracker）,试图区别于“黑客”，同时也诞生了诸多的黑客分类方法，如“白帽子、黑帽子、灰帽子”。然而，不论主观意图如何，“黑客”的攻击行为在客观上会造成计算机网络极大的破坏，同时也是对隐私权的极大侵犯，所以在今天人们把那些侵入计算机网络的不速之客都成为“黑客”。 2.1黑客历史 黑客起源于20世纪50年代的MIT的实验室中，他们精力充沛，热衷于解决难题。 60年代，黑客代指独立思考、奉公守法的计算机迷。 70年代，黑客倡导了一场个人计算机革命，发明生产了PC，代表人物史蒂夫.乔布斯。 80年代，黑客的代表是软件设计师，代表人物比尔.盖茨； 后来，黑客为了信息共享而奋斗。 如今，黑客队伍人员杂乱，既有以发现计算机系统漏洞为乐趣的Hacker，也有玩世不恭好恶作剧的Cyberbunk，更有纯粹以私利为目的，任意篡改数据、非法获取信息的Cracker。 2.2黑客分类 网络攻击的分类 攻击方法的分类是安全研究的重要课题，对攻击的定性和数据挖掘的方法来分析漏洞有重要意义。对于系统安全漏洞的分类法主要有两种：RISOS分类法和Aslam分类法，对于针对TCP/IP协议族攻击的分类也有几种。 3.1 按照TCP/IP协议层次进行分类 这种分类是基于对攻击所属的网络层次进行的，TCP/IP协议传统意义上分为四层，攻击类型可以分成四类： (1)针对数据链路层的攻击（如ARP欺骗 ） (2)针对网络层的攻击 （如Smurf攻击、ICMP路由欺骗 ） (3)针对传输层的攻击 （如SYN洪水攻击、会话劫持 ） (4)针对应用层的攻击 （如DNS欺骗和窃取 ） 3.2按照攻击者目的分类 按照攻击者的攻击目的可分为以下几类： DOS（拒绝服务攻击）和DDOS（分布式拒绝服务攻击） 拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之一。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决，究其原因是因为这是由于网络协议本身的安全缺陷造成的，从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击，实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。 Sniffer监听 网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效地截获网络上的数据，这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机，通常被用来获取用户密码等。 （3）会话劫持与网络欺骗。 （4）获得被攻击主机的控制权 针对应用层协议的缓冲区溢出基本上目的都是为了得到被攻击主机的shell。 按危害范围分类 按危害范围可分为以下两类： 3.1局域网范围。如sniffer和一些ARP欺骗。 3.2广域网范围。如大规模僵尸网络造成的DDOS。 网络攻击步骤