网络攻击与防御机制分类研究.docVIP

网络攻击与防御机制分类研究 　　 [摘要] 随着Internet的迅速发展,网络安全问题日益突出,网络攻击对Internet构成巨大威胁。在分析攻击机理的基础上,对攻击和防御机制进行分类,以便有效地分析、认识攻击行为。 　　[关键词] 网络攻击 防御机制 分类 　　 　　随着互联网的迅速发展,网络安全问题日益突出,各种黑客工具和网络攻击手段也随之出现。网络攻击导致网络和用户受到侵害,其以攻击范围广、隐蔽性强、简单有效等特点,极大地影响网络的有效服务。 　　一、网络攻击分类 　　根据网络攻击操作流程,将攻击前的准备、攻击过程、攻击结果三个方面作为分。 　　(一)基于攻击前的准备的分类 　　在攻击准备阶段,攻击者部署自动化脚本扫描,找出有漏洞的机器安装攻击代码,然后主控端操纵攻击代理向受害者发起攻击。根据主控端与代理之间的通信机制,可将其分为直接通信攻击和间接通信攻击。 　　1.直接通信攻击 　　最初的网络攻击依靠不加密的会话连接相互通信。攻击者、主控机与代理之间通过TCP连接直接交互攻击信息,虽然这种通信方式是可靠的,但攻击者存在很大的风险。主控端与代理之间的通信有可能被入侵检测系统识别。通过监视网络流量,一旦发现主控机和代理,就有可能发现整个攻击网络,危及攻击者的安全。 　　2.间接通信攻击 　　在攻击过程中,通过间接通信实施网络攻击,可以提高 网络攻击的生存能力,如采用加密通信、隐性控制、IRC通道等,代理通过符合协议的正常网络服务,利用标准的服务端口同主控机建立连接,代理与主控端的通信与正常的网络流量没有区别,因此不易被发现。 　　(二)基于攻击过程的分类 　　TCP/IP协议在其制定过程中存在一些漏洞,攻击者利用这些漏洞进行攻击致使系统当机、挂起或崩溃。按照TCP/IP协议的层次划分将攻击作如下分类 　　1.基于ARP的攻击 　　ARP用于将以太网中的IP地址解析为MAC地址,其缓存中存储着MAC地址与IP地址的映射表。当主机收到另一主机的ARP请求时,它会将请求包中的源地址信息(发送请求主机的IP地址和MAC地址映射关系)视为有效,并保存到ARP缓存中。另外,ARP是无连接的协议,即使在没有ARP请求的情况下,收到攻击者发送来的ARP应答,它将会接收ARP应答包中所提供的信息,更新ARP缓存。因此,含有错误源地址信息的ARP请求和含有错误目标地址信息的ARP应答均会使上层应用忙于处理这种异常而无法响应外来请求,使得目标主机丧失网络通信能力,产生拒绝服务。例如,ARP重定向攻击就是基于ARP的攻击。 　　2.基于ICMP的攻击 　　ICMP用于错误处理和传递控制信息,其主要功能是用于主机之间的联络。它通过发送一个回复请求(Echo Request)信息包请求主机响应,以判断与主机之间的连接是否正常。攻击者向一个子网的广播地址发送多个ICMP Echo请求数据包,并将源地址伪装成想要攻击的目标主机的地址。这样,该子网上的所有主机均对此ICMP Echo请求包作出答复,向被攻击的目标主机发送数据包,使该主机受到攻击,导致网络阻塞。例如,Ping洪水攻击和Smurf攻击就是典型的基于ICMP的攻击。 　　3.基于IP的攻击 　　TCP/IP中的IP数据包在网络传递时,数据包可以分成更小的片段,到达目的地后再进行合并重装。在实现分段重新组装的进程中存在漏洞,缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击服务器,进而引起服务器内核崩溃,如 Tea由op是基于IP的攻击。 　　4.基于UDP的攻击 　　UDP是用来定义在网络环境中提供数据包交换的无连接的传输层协议,处在TCP/IP中网络层的上层。它为用户程序之间的信息传输提供了简便的协议机制,但不提供错误更正和重发,也不防止包的丢失或重复。由于UDP不会验证其发送的数据报是否被正确接收就会发送新的数据报,因此,可以伪造大量的数据报用于攻击目标主机,如UDP Flood, UDP Echo, Fraggle等都是基于该协议的攻击。 　　5.基于TCP的攻击 　　TCP是一个面向连接的传输协议,它在不可靠的IP层上提供了一个可靠的传输层。为了提供这种可靠的服务,TCP采用了超时重传、发送和接收端到端的确认分组等机制。TCP要求在传送数据前必须在服务器与客户机之间经过三次握手建立连接,即服务器在接收到客户机的SYN包后必须回应一个 SYN/ACK包,然后等待客户机再回应一个ACK包来确认,至此,TCP连接建立。而在建立TCP连接的过程中,如果在第二次握手以后故意不回应,服务器一般会重新发送SYN/ACK报丈给客户端,并在等待一段时间后丢弃这个没有建立连接的请求。值得注意的是,服务器用于等待来自客户机的ACK信息包的TCP/IP堆战是