浅谈网络攻击入侵防范.docVIP

精品论文 参考文献 浅谈网络攻击入侵防范 陶琳 深圳市携创技工学校 518000 　　摘要 在计算机网络安全领域里，有越来越多非法用户或敌对势力利用各种各样的手段攻击计算机网络，入侵攻击已成为造成网络不安全的主要原因。为了提高计算机网络系统的安全性，本文对入侵攻击的防范措施、策略进行简略描述，目的在于解决局域网被非法入侵的问题。 　　关键词 攻击危害 网络攻击 攻击防范 　　一、网络攻击的危害 　　由于互联网络的发展，整个社会对网络的依赖程度越来越大。随着网络的发展，也产生了各种各样的问题，网络攻击问题尤为突出。 　　在计算机犯罪和网络侵权方面，无论是数量、手段，还是性质、规模，已经到了令人咋舌的地步。具体表现为：计算机系统受病毒感染和破坏的情况相当严重；电脑黑客活动已形成重要威胁。 　　1、网络攻击的方式 　　网络攻击所采用的主要方式有，口令入侵；放置木马程序 ； WWW的欺骗技术； 电子邮件攻击； 通过一个节点来攻击其他节点；利用黑客软件攻击；安全漏洞攻击等方式。 　　2、 网络攻击的防范 　　要保证网络信息的安全，必须熟知网络攻击的过程，在此基础上才能制定防范策略，确保网络安全。 　　3、 协议欺骗攻击及防范措施 　　3.1源路由欺骗攻击 　　在通常情况下，信息包从起点到终点走过的路径是由位于两点间的路由器决定，数据包本身只知道去往何处，但不知道该如何去。假设主机A享有主机B的某些特权，主机X想冒充主机A从主机B（IP为aaa.bbb.ccc.ddd）获得某些服务。首先，攻击者修改距离X最近的路由器，使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地；然后，攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时，就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。 　　防范源路由欺骗攻击，可采用下面两种措施： 　　1、配置好路由器，抛弃那些由外部网进来的却声称是内部主机的报文。 　　2、路由器上关闭源路由。 　　3.2 源IP地址欺骗攻击 　　许多程序认为如数据包能够使沿着路由到达目的地，且应答包也可以回到源地，那么源IP地址一定是有效，这正是使源IP地址欺骗攻击成为可能的前提。假设同一网段内有两台主机A、B，另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权，所做欺骗攻击如下：首先，X冒充A，向主机 B发送一个带有随机序列号的SYN包。主机B响应，回送一个应答包给A，该应答号等于原序 列号加1。然而，此时主机A已被主机X利用拒绝服务攻击 “淹没”了，导致主机A服务失效。结果，主机A将B发来的包丢弃。为了完成三次握手，X还需要向B回送一个应答包，其应答号等于B向A发送数据 包的序列号加1。此时主机X 并不能检测到主机B的数据包（因为不在同一网段），只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确，B则认为收到的ACK是来自内部主机A。此时，X即获得了主机A在主机B上所享有的特权，并开始对这些服务实施攻击。 　　防止源IP地址欺骗行为，采取以下措施来保护系统免受这类攻击： 　　1、抛弃基于地址的信任策略：阻止这类攻击的办法就是放弃以地址为基础的验证。 　　2、 使用加密方法：在包发送前加密。 　　3、 包过滤：配置路由器使其能够拒绝网络外部与本网具有相同IP地址的连接请求。 　　3.3 DoS 与DDoS攻击及其防范措施 　　拒绝服务（DoS）攻击是一种利用 TCP/IP协议的弱点和系统漏洞，对网络设备进行攻击的行为。以消耗网络带宽和系统资源为目的，对服务器发送大量“request”信息，造成服务器系统不堪重负，使系统瘫痪。分布式拒绝服务（DDoS）攻击是在拒绝服务攻击的基础上产生的分布式、协作式的大规模拒绝服务攻击。 　　3.3.1 DoS和DDoS攻击 　　DoS攻击主要是利用合理的服务请求，来占用过多的网络带宽和服务器资源，致使正常的请求无法得到响应。常见的 DoS攻击方法有：SYN Flood攻击、Land 攻击、Smurf攻击、UDP攻击等。 　　DDoS采用了特殊的3层C/S结构，即攻击端、主控端和代理端。攻击端：攻击者是攻击主控台，可以是网络上任何一台主机。攻击端操纵整个攻击过程，它向主控端发送攻击命令。主控端：攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端上面安装了特定的程序，接受攻击者发来的特殊指令，把这些命令发送到代理主机上。代理端：也是攻击者侵入并控制的主机，运行攻击器程序，接受和运行主控端发来的命令。代理端主机是执行者，向受害者主机发送攻击。攻击者发起DDoS攻击的第一步，就是寻找在Intern