网络攻击与防御作业指导书.doc

《网络攻击与防御》课程作业论文 题 目： 系 别： 班 级： 姓 名： 成 绩： 二〇一二年四月 基于SPI的网络攻击与防御技术 一、选题的目的和意义 目前，网络安全已经成为制约互联网发展的头号问题，无论是病毒、木马，还是来自黑客的恶意攻击都在较大程度地影响着互联网的健康发展。对于个人PC 用户来讲，层出不穷的蠕虫和木马造成的威胁性越来越大。黑客可以通过入侵Web 服务器并植入木马，使得成千上万浏览相关网页的用户都陷入危险之中。当木马侵入系统后，传统的反病毒软件并不能保证及时发现，这样就有可能让黑客通过木马对个人PC 用户进行远程控制。当系统被植入木马后，轻则用户的隐私会被泄露，重则用户的网络银行账号、IM 账号、Email 账号等都会被监听并截获密码发送给黑客，给用户带来财产损失。 由于反病毒软件工作原理的限制，对于新出现的木马，或者是专门进行“免杀”处理过的木马它们往往会在一段时间内无能为力；而防火墙则不然，它们可以通过各种手段截获所有进程的网络操作，根据规则决定进行过滤还是放行，或者向用户进行报警。因此我们可以选择一款个人防火墙配合反病毒软件来保护自己的安全。即使反病毒软件没有及时查杀到木马，凭借防火墙的网络保护功能也可以使得木马无法连接网络，不至于将自己的敏感信息泄露给黑客。 作为网络工程专业的学生，对于反病毒软件、个人防火墙等常规安全软件以及病毒、木马等恶意程序的工作原理是必须认真掌握的。 要想实现一个防火墙，不是一件容易的事情。我们必须理解常规的网络通信程序工作原理，包括OSI 协议模型、数据传输过程等；必须知道常见的网络编程方法，不仅包括如何编写基于网络连接的程序，还有如何进行封包监视和截获等的实现方法；必须知道通常的病毒与木马是如何突破防火墙保护的，以及怎样做出有针对性的防范。通过实现一个完整的防火墙，可以把大学期间学习到的内容有效地串联起来，例如网络编程、Windows GUI 编程、消息机制、注册表操作、动态链接库编程，促使我们的知识结构得到一个系统的总结。 二、目前该选题的研究现状 在一个网页内容过滤系统中，实现数据包截获并非困难，但要把截获的数据包重组成服务器返回的网页文件需要一定的难度。本文简单阐述了Windows SPI网页数据包截获技术，并结合HTTP协议和winsock2．0原理，提出了截获网页数据包并重组为网页文件的算法模型。最后在网络数据过滤系统中得以实现，并取得了良好的效果。 网络测试的对象从网络层向应用层过渡。目的就是要确保网络能够承载各种各样的应用，最好的解决办法是对网络上加载不同应用的情况进行测试。从这个意义上说，话音业务、网站业务等网络应用才是网络测试的真正意义所在。 由于网络安全测试技术含量较高、操作较复杂，许多网络系统管理员只清楚网络系统安全重要，实际并不十分了解网络系统安全真正存在的具体问题。因此，掌握一种操作简便、性能优越的网络安全测试方法，也就成为各单位网络系统管理人员需要认真研究及掌握的重要问题。 三、设计思路分析 比较容易利用 SPI 实现的攻击有网络嗅探、木马和Web欺骗。 嗅探器(sniffer)是利用计算机的网络接口截获目的地为其它计算机的数据报文的一种技术。一般情况下，嗅探器通过将以太网卡设置成混杂模式来实现。使用混杂模式建立的嗅探器容易通过检测混杂模式套接字和套接字所在进程而找到黑客程序。使用SPI 技术建立的嗅探器不需要设置套接字模式，也不需建立新的套接字。假设要嗅探所有从本机发送出去和目的地址为本机的数据，数据分别保存为文件recvUPP.dat(接收的UDP 数据)、recvTCP.dat(接收的TCP 数据)、sendUDP.dat(发送的UDP 数据)、sendTCP.dat(发送的TCP 数据)。 例如，有人上网进入免费邮件服务器发送邮件。如果嗅探器正在工作，上网收发的内容将保存在recvTCP.dat 和sendTCP.dat 中，在文件中可以发现登陆邮箱的密码。 传统的木马是分别位于控制和被控制端计算机上的两个进程。如果SPI 被用于设计木马，被控制端将是一个DLL 文件。只要有进程使用网络，木马就会被自动启动，在DLL 中可以实现数据的上传下载、进程的启动与终止、系统信息的获取。但是，只要使用网络的进程退出内存，SPI 木马也会退出内存。 传统的木马检测办法是通过网络端口与进程的关联来寻找木马进程，如果对 SPI 木马也使用此办法，则无法检测到。例如，设当前正常的文件aa.exe 启动，产生进程并使用网络，则SPI 程序启动，相应地SPI 木马也启动。使用网络端口与进程的关联时，虽然能发现木马使用的端口，但找到的进程不是SPI的DLL文件，而是进程aa.exe。 由此可