网络攻击与防御方法研究.docVIP

网络攻击与防御方法研究 　　随着计算机网络的普及和发展，人们利用网络可以方便快捷地进行各种信息处理，例如，网上办公、电子商务、分布式数据处理等。但网络也存在不容忽视的问题，例如，用户的数据被篡改、合法用户被冒充、通信被中断等。面临着大量的网络入侵事件，就必须要求在一个开放式的计算机网络物理环境中构造一个封闭的逻辑环境来保障敏感信息和保密数据不受到攻击。为此迫切需要对网络安全作分类研究，把各种网络安全问题清晰有序地组织起来，从而构建一个合理、安全、高效的网络防御体系。 　　 　　网络安全问题的分析 　　 　　计算机网络安全包括计算机安全、通信安全、操作安全、访问控制、实体安全、系统安全、网络站点安全，以及安全管理和法律制裁等诸多内容。尤其涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性几个方面。 　　网络安全保护的核心是如何在网络环境下保证数据本身的秘密性、完整性与操作的正确性、合法性与不可否认性。而网络攻击的目的正相反，其立足于以各种方式通过网络破坏数据的秘密性和完整性或进行某些非法操作。因此可将网络安全划分为网络攻击和网络安全防护两大类。下面就对网络攻击和网络安全防护作进一步的分析研究。 　　网络攻击手段可以从两个层面来区分，一是理论攻击，即密码学意义上的攻击，只专注于其攻击概念或攻击过程、算法，而不考虑具体的技术实现；二是技术攻击，即与特定网络协议、操作系统及应用程序相关，存在明确可操作的攻击步骤，攻击者可借助一定的分析手段与攻击工具来达到特定的攻击目的。密码学意义上的理论攻击可分为对加密算法的攻击，对签名算法的攻击、对密钥交换和认证协议的攻击等。技术攻击有多种分类方式，如根据使用的攻击工具可分为扫描工具攻击、破解工具攻击、炸弹工具攻击、窃听工具攻击、网络监听、分析工具攻击等方式；按照网络边界的概念（网络边界是指采用不同安全策略的两个网络连接处，即单一网络与外部网络发生信息交换的部分），可分为远程攻击和内部用户未授权的攻击，例如IP Spoofing攻击、放置特洛伊木马程序的攻击等；内部攻击主要是本地用户获取系统管理员的高级权限的攻击，如缓冲区溢出攻击等。 　　实施网络安全技术的最终目的不外乎是：访问控制、认证、保密、确保数据完整性及不可否认性。访问控制通过限制用户的访问权限，来保证网络资源的合法使用；认证多指身份认证，确认身份主要通过口令鉴别、双因素鉴别、CHAP鉴别协议、Kerberos系统等方式实现；保密即保护信息不暴露给未授权掌握该信息的实体；确保数据完整性指对违反安全策略，改变数据价值和存在的防护；确保不可否认性指提供证据解决通信交换中一方事后否认曾发生过交换而产生的纠纷。所有网络安全保护可以说都是围绕以上5点展开的。同样，与我们对攻击手段的划分相对应，安全保护技术也可分为理论防护与技术防护两层，两者的关系与理论攻击和技术攻击的关系类似。 　　 　　常见的网络攻击 　　 　　这里我们将对现存的大多数网络攻击手段归纳分析，对理论攻击将着重于介绍对加密算法攻击的技术性实现。而技术攻击则对网络监听、拒绝服务攻击、基于网络边界而言的远程攻击和内部未授权用户对系统的攻击进行分析。 　　 　　● 对加密算法的攻击 　　对加密算法的攻击主要集中于破译某段密文或分析加密密钥。通常破译者可对密码进行惟密文攻击、已知明文攻击、选择密文攻击和选择明文攻击及穷举攻击，对特定算法还有特定攻击方法，如对DES这类迭代分组密码可选择差分密码分析法、能量攻击法，对公钥算法RSA可采用公用模攻击、低加密指数攻击、定时攻击等方法。 　　 　　● 网络监听 　　网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理信道上传输的所有信息，而不管信息的发送方和接受方是谁。所以进行通信的信息必须进行加密，否则只要使用一些网络监听工具就可以截获包括口令和账号在内的信息资料。大部分的传输介质如Ethernet、FDDI、Token-ring、模拟电话线、无线接入网上都可实施网络监听，其中尤以Ethernet与无线接入网最为容易，因为这两者都是典型的广播型网络。 　　 　　● 拒绝服务攻击(DoS) 　　一般来说，拒绝服务攻击有些是用来消耗带宽，有些是消耗网络设备的CPU和内存。例如对UDP的攻击，原理就是使用大量的伪造的报文攻击网络端口，造成服务器的资源耗尽，使系统停止响应甚至崩溃。也可以使用大量的IP地址向网络发出大量真实的连接，来抢占带宽，造成网络服务的终止。 　　拒绝服务一般分两种：一是试图破坏资源，使目标无人可以使用此资源。如破坏或摧毁信息：删除文件、格式化磁盘、切断电源等。 二是过载一些系统服务或者消耗一些资源，通过这样的方式可以造成其它用户不能使用这个服务。这两种情况大