论文部分内容阅读
[摘 要]本文阐述了基于头部、协议和验证的的漏洞与攻击方法,并分別举例进行详细分析,最后提出基于漏洞和发动攻击的一般步骤,提出一系列有效的防护方法,采取有效措施,从而提高网络系统安全。
[关键词]硬件、软件、服务器、漏洞、攻击、防护
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2018)06-0286-01
网络漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,使攻击者在未授权的情况下访问或破坏系统。网络漏洞会影响到很大范围的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。网络漏洞的种类数不胜数,人们多根据其产生的原因、存在的位置和利用漏洞攻击的原理来进行分类。
1 基于头部
(1)漏洞:基于头部的漏洞是指,协议头部与标准发生了冲突,例如在头部的某个域中使用了无效值的情况就属于这种范畴。每一层都要给它从上一层接收来的数据增加一个头部,来完成与对等层进行通信,头部通过层使用来执行协议的功能。
(2)攻击:某些操作系统不能处理IP头部的无效值,问题在于IP协议处理拆分与重组的方法上,在IP头部有一个长度域,指示IP数据包的长度。当数据包不是按序到达时,IP协议按照相对值处理数据包并把它们放置在重组缓冲区,在这类攻击中,最后的数据包最先到达,IP协议层将它们放置在重组缓冲区中。如果被复制的数据溢出了缓冲区的尾部,就会引起一些计算机宕机。
(3)总结:基于头部的攻击一旦被发现是很容易处理的,但困难的是如何发现它们,因为它们依赖的是协议实现时出现的漏洞。
2 基于协议
基于协议的漏洞是指,所有有效的数据包,与协议的执行过程有冲突时,一个协议按照一定顺序交换一串数据包,并执行功能。对于一个基于协议的攻击,它有几种执行方式,包括:
(1)不按序发送数据包,发送数据包太快或太慢,没有发送数据包,发送有效数据包到错误协议层,发送有效数据包到错误的混合的数据包串中。
(2)数据包到达太快或太慢的情况常在实现时处理,一般会处理为无序数据包或不希望的数据包。因为终端系统对数据包的速度是无法控制的,这种类型的攻击在互联网上是很难执行的。
(3)丢失数据包协议问题是最难处理的一种,因为在某些情况下的确不知道等待一个回应要多长时间,例如电话协议,当用户呼叫某人时,用户希望被呼叫方拿起电话时说些什么,但并没有规定等待开始说话的时间。
(4)一个经典的基于协议的攻击是破坏TCP开放连接协议。当TCP打开一个连接时,协议使用一种称为三次握手的协议。担当这种任务的服务器,必须配置足够的内存以便维持连接。当客户收到服务器的打开连接的回应时,客户端发回一个回应,连接就打开了。
(5)在SYN雪崩式攻击中,攻击方发送一个打开连接请求,服务器响应请求,但攻击方不会回应服务器完成三次握手,这就使得服务器一直处于打开状态等待客户的回应数据包。攻击者又发了一个打开连接请求,同样不给服务器回应。攻击者连续发送请求,直到服务器的缓冲区满,不能接收任何其他请求,这就是雪崩式攻击的名称由来,攻击者以SYN数据包导致服务器宕机。在标准中有对等待客户打开连接回应的超时规定,但攻击者在所有的资源分配超时之前,就发送了足够的请求。这是情况是很难处理的,因为它占用客户回应的时间未知,并且变化,一个处理办法是限制单一计算机和服务器试图连接次数,但攻击者可以通过发起多个客户协同发送攻击的防守办法对此进行规避。
3 基于验证
验证是一个用户对另外一个用户认可的证据,验证通常会令人理解为用户名和密码。在网络安全中,验证是指一层对另一层的识别以执行它的功能。
从用户开始,可以看到某个用户可能想对另外一个用户证明他或她是谁,这就是常说的用户到用户验证,指两个或两个以上用户的互相认可,常常是用密钥和证书来完成的。这种验证形式常在E-mail或安全性文档中使用,它还可以用作为某些基于网络攻击的解决方案。
一个用户在他能够访问之前,需要向某个应用、主机或协议层证明他是谁,这通常叫做用户到主机验证。最通常的形式是用户名和密码,通过它们用户可以对资源请求验证来证明他的身份,并获得对服务器、应用或数据的访问。例如,在无线网络安全中,就有通过密码获得对无线网络访问的情况。
另外两个验证的类型涉及由某个应用、主机或网络来提供验证信息。两个应用、两个主机及两个网络层之间的验证叫做主机到主机的验证。在主机到主机的验证中,两台主机互相验证是为了执行某个功能,这种验证通常借助主机地址或应用程序地址,如IP地址或硬件地址来实现。
最后一种验证类型由应用、主机或网络层给某个用户提供识别信息,这叫做主机到用户的验证,这种验证允许用户证明他或她正在连接的主机的身份,这常常用在当某个用户与某个安全Web网站连接时。
4 网络漏洞的防护
事实上,尽管网络攻击的方法和原理各不相同,但其发动攻击的步骤是基本一致的,通常都是采用以下4个步骤:
(1)确定攻击目标的位置;
(2)利用公开协议和工具通过端口扫描、网络监听收集目标的系统类型、提供的服务等信息;
(3)利用自编入侵程序或公开的工具扫描分析系统的安全漏洞;
(4)针对发现的网络漏洞展开攻击。
通过对网络漏洞攻击原理和攻击步骤的分析,发现要防止或减少网络漏洞的攻击,最好的方法是尽力避免主机端口被扫描和监听,先于攻击者发现网络漏洞,并采取有效措施。提高网络系统安全的方法主要有:
(1)在安装操作系统和应用软件之后及时安装补丁程序,并密切关注国内外著名的安全站点,及时获得最新的网络漏洞信息。在使用网络系统时,要设置和保管好账号、密码和系统中的日志文件,并尽可能的做好备份工作。
(2)及时安装防火墙,建立安全屏障。防火墙可以尽可能屏蔽内部网络的信息和结构,降低来自外部网络的攻击。对个人用户而言,现在的个人防火墙还有探测扫描、攻击,并自动防御和追踪的功能。例如金山毒霸和瑞星防火墙就具有扫描网络漏洞的功能,而蓝盾防火墙则设计了自动反扫描的机制,外部的扫描将找不到任何端口。
(3)利用系统工具和专用工具防止端口扫描。要利用网络漏洞攻击,必须通过主机开放的端口。因此,黑客常利用Satan、Netbrute、SuperScan等工具进行端口扫描。防止端口扫描的方法:一是在系统中将特定的端口关闭,如利用Win系统中的TCP/IP属性设置功能,在“高级TCP/IP设置”的“选项”面板中,关闭TCP/IP协议使用的端口;二是利用PortMapping等专用软件,对端口进行限制或是转向。
(4)通过加密、网络分段、划分虚拟局域网等技术防止网络监听。
(5)利用密罐技术,使网络攻击的目标转移到预设的虚假对象,从而保护系统的安全。
参考文献
[1] 孙梦婕,孙沛.浅谈计算机网络安全的主要隐患与规避措施[J].信息技术与信息化,2014.
[2] 梁树杰.浅析计算机网络安全问题及其防范措施[J].信息安全与技术,2014.
[关键词]硬件、软件、服务器、漏洞、攻击、防护
中图分类号:TP393.08 文献标识码:A 文章编号:1009-914X(2018)06-0286-01
网络漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,使攻击者在未授权的情况下访问或破坏系统。网络漏洞会影响到很大范围的软硬件设备,包括作系统本身及其支撑软件,网络客户和服务器软件,网络路由器和安全防火墙等。网络漏洞的种类数不胜数,人们多根据其产生的原因、存在的位置和利用漏洞攻击的原理来进行分类。
1 基于头部
(1)漏洞:基于头部的漏洞是指,协议头部与标准发生了冲突,例如在头部的某个域中使用了无效值的情况就属于这种范畴。每一层都要给它从上一层接收来的数据增加一个头部,来完成与对等层进行通信,头部通过层使用来执行协议的功能。
(2)攻击:某些操作系统不能处理IP头部的无效值,问题在于IP协议处理拆分与重组的方法上,在IP头部有一个长度域,指示IP数据包的长度。当数据包不是按序到达时,IP协议按照相对值处理数据包并把它们放置在重组缓冲区,在这类攻击中,最后的数据包最先到达,IP协议层将它们放置在重组缓冲区中。如果被复制的数据溢出了缓冲区的尾部,就会引起一些计算机宕机。
(3)总结:基于头部的攻击一旦被发现是很容易处理的,但困难的是如何发现它们,因为它们依赖的是协议实现时出现的漏洞。
2 基于协议
基于协议的漏洞是指,所有有效的数据包,与协议的执行过程有冲突时,一个协议按照一定顺序交换一串数据包,并执行功能。对于一个基于协议的攻击,它有几种执行方式,包括:
(1)不按序发送数据包,发送数据包太快或太慢,没有发送数据包,发送有效数据包到错误协议层,发送有效数据包到错误的混合的数据包串中。
(2)数据包到达太快或太慢的情况常在实现时处理,一般会处理为无序数据包或不希望的数据包。因为终端系统对数据包的速度是无法控制的,这种类型的攻击在互联网上是很难执行的。
(3)丢失数据包协议问题是最难处理的一种,因为在某些情况下的确不知道等待一个回应要多长时间,例如电话协议,当用户呼叫某人时,用户希望被呼叫方拿起电话时说些什么,但并没有规定等待开始说话的时间。
(4)一个经典的基于协议的攻击是破坏TCP开放连接协议。当TCP打开一个连接时,协议使用一种称为三次握手的协议。担当这种任务的服务器,必须配置足够的内存以便维持连接。当客户收到服务器的打开连接的回应时,客户端发回一个回应,连接就打开了。
(5)在SYN雪崩式攻击中,攻击方发送一个打开连接请求,服务器响应请求,但攻击方不会回应服务器完成三次握手,这就使得服务器一直处于打开状态等待客户的回应数据包。攻击者又发了一个打开连接请求,同样不给服务器回应。攻击者连续发送请求,直到服务器的缓冲区满,不能接收任何其他请求,这就是雪崩式攻击的名称由来,攻击者以SYN数据包导致服务器宕机。在标准中有对等待客户打开连接回应的超时规定,但攻击者在所有的资源分配超时之前,就发送了足够的请求。这是情况是很难处理的,因为它占用客户回应的时间未知,并且变化,一个处理办法是限制单一计算机和服务器试图连接次数,但攻击者可以通过发起多个客户协同发送攻击的防守办法对此进行规避。
3 基于验证
验证是一个用户对另外一个用户认可的证据,验证通常会令人理解为用户名和密码。在网络安全中,验证是指一层对另一层的识别以执行它的功能。
从用户开始,可以看到某个用户可能想对另外一个用户证明他或她是谁,这就是常说的用户到用户验证,指两个或两个以上用户的互相认可,常常是用密钥和证书来完成的。这种验证形式常在E-mail或安全性文档中使用,它还可以用作为某些基于网络攻击的解决方案。
一个用户在他能够访问之前,需要向某个应用、主机或协议层证明他是谁,这通常叫做用户到主机验证。最通常的形式是用户名和密码,通过它们用户可以对资源请求验证来证明他的身份,并获得对服务器、应用或数据的访问。例如,在无线网络安全中,就有通过密码获得对无线网络访问的情况。
另外两个验证的类型涉及由某个应用、主机或网络来提供验证信息。两个应用、两个主机及两个网络层之间的验证叫做主机到主机的验证。在主机到主机的验证中,两台主机互相验证是为了执行某个功能,这种验证通常借助主机地址或应用程序地址,如IP地址或硬件地址来实现。
最后一种验证类型由应用、主机或网络层给某个用户提供识别信息,这叫做主机到用户的验证,这种验证允许用户证明他或她正在连接的主机的身份,这常常用在当某个用户与某个安全Web网站连接时。
4 网络漏洞的防护
事实上,尽管网络攻击的方法和原理各不相同,但其发动攻击的步骤是基本一致的,通常都是采用以下4个步骤:
(1)确定攻击目标的位置;
(2)利用公开协议和工具通过端口扫描、网络监听收集目标的系统类型、提供的服务等信息;
(3)利用自编入侵程序或公开的工具扫描分析系统的安全漏洞;
(4)针对发现的网络漏洞展开攻击。
通过对网络漏洞攻击原理和攻击步骤的分析,发现要防止或减少网络漏洞的攻击,最好的方法是尽力避免主机端口被扫描和监听,先于攻击者发现网络漏洞,并采取有效措施。提高网络系统安全的方法主要有:
(1)在安装操作系统和应用软件之后及时安装补丁程序,并密切关注国内外著名的安全站点,及时获得最新的网络漏洞信息。在使用网络系统时,要设置和保管好账号、密码和系统中的日志文件,并尽可能的做好备份工作。
(2)及时安装防火墙,建立安全屏障。防火墙可以尽可能屏蔽内部网络的信息和结构,降低来自外部网络的攻击。对个人用户而言,现在的个人防火墙还有探测扫描、攻击,并自动防御和追踪的功能。例如金山毒霸和瑞星防火墙就具有扫描网络漏洞的功能,而蓝盾防火墙则设计了自动反扫描的机制,外部的扫描将找不到任何端口。
(3)利用系统工具和专用工具防止端口扫描。要利用网络漏洞攻击,必须通过主机开放的端口。因此,黑客常利用Satan、Netbrute、SuperScan等工具进行端口扫描。防止端口扫描的方法:一是在系统中将特定的端口关闭,如利用Win系统中的TCP/IP属性设置功能,在“高级TCP/IP设置”的“选项”面板中,关闭TCP/IP协议使用的端口;二是利用PortMapping等专用软件,对端口进行限制或是转向。
(4)通过加密、网络分段、划分虚拟局域网等技术防止网络监听。
(5)利用密罐技术,使网络攻击的目标转移到预设的虚假对象,从而保护系统的安全。
参考文献
[1] 孙梦婕,孙沛.浅谈计算机网络安全的主要隐患与规避措施[J].信息技术与信息化,2014.
[2] 梁树杰.浅析计算机网络安全问题及其防范措施[J].信息安全与技术,2014.