论文部分内容阅读
摘要:当前网络攻击不时发生,因此基于防御视角的常见网络攻击技术创新研究是必要的。
关键词:防御视角;网络攻击;技术创新;研究
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 22-0000-02
1 端口扫描技术
TCP/IP的服务一般是通过IP地址加一个端口号(Port)来决定,如FTP的服务端口号是21,SMTP的服务端口是25,POP3的端口是110。客户端程序一般通过服务器的IP地址和端口号与服务器应用程序连接。对目标计算机端口扫描,得到许多有用信息(如该服务是否已经启动等),从而发现系统的安全漏洞。在基于TCP/IP协议的网络环境中,一台计算机(具有一个IP地址)可以提供多种服务,如文件传输FTP、远程登录Rlogin、Gopher查询等。为了使各种服务协调运行,TCP/IP协议为每种服务设定了一个端口,称为TCP协议端口。每个端口都拥有一个16 bit的端口号(显然,对于一台主机,可以定义65536个端口)。用户自己提供的服务可以使用自由端口号。不过,一般系统使用的端口号为0~1023,用户可以自己定义的端口号从1024开始。扫描目标主机的服务端口之前,首先得弄清楚该主机是否已经在运行。如果发现该主机是活的(Alive),则可对该主机提供的各种服务端口进行扫描,从而找出活着的服务。
2 端口侦听技术
“端口侦听”与“端口扫描”是黑客攻击和防护经常要用到的两种端口技术。在黑客攻击时利用它们可以准确地寻找攻击的目标,获取有用信息。在个人及网络防护方面通过这种端口技术的应用可以及时发现黑客的攻击及一些安全漏洞。
3 网络欺骗技术
网络欺骗技术是指利用TCP/IP协议本身的缺陷对TCP/IP网络进行攻击的一种复杂的技术。网络欺骗主要包括如下几种方式:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、E-mail欺骗、Cookie欺骗以及源路由欺骗等,下面着重介绍几种。IP欺骗攻击是指利用TCP/IP本身的缺陷而进行的入侵,它不是进攻的结果,而是进攻的手段,实际上是两台主机之间信任关系的破坏。IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击,它由若干部分组成。目前,IP欺骗攻击已经成为黑客入侵时所采用的一种重要手段,因此有必要了解它的工作原理和防御措施,以便充分地保护用户的合法权益。IP欺骗攻击的实施步骤如下:(1)选定目标主机;(2)发现主机之间的信任模式;(3)通过一系列手段迫使被信任主机丧失工作能力;(4)预测和取样TCP序列号;(5)冒充被信任主机进入系统;(6)实施破坏行为并留下后门以供以后使用。
4 常用网络攻击工具
非法入侵者在进行网络攻击时需要借助一些工具,这些工具被统称为网络攻击工具。一般情况下,根据各个工具的功能以及实现的目的不同,可以将网络攻击工具分为4类:端口扫描工具、网络监听工具、密码破解工具和拒绝服务攻击工具。目前存在的扫描器产品主要可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上面的风险漏洞,而后者则是通过网络远程探测其它主机的安全风险漏洞。SuperScan是一款功能强大的、基于连接的TCP端口扫描工具,它支持ping命令和主机名解析。多线程和异步技术使得扫描速度大大增加,并且SuperScan具有强大的端口管理器,内置了大部分常见的端口以及端口的说明,同时支持自定义端口功能。SuperScan具有以下功能:⑴ 通过Ping来检验IP是否在线。⑵ IP和域名相互转换。⑶ 检验目标计算机提供的服务类别。⑷ 检验一定范围目标计算机的是否在线和端口情况。⑸ 工具自定义列表检验目标计算机是否在线和端口情况。⑹ 自定义要检验的端口,并可以保存为端口列表文件。⑺ 软件自带一个木马端口列表trojans.lst,通过这个列表可以检测目标计算机是否有木马;同时,也可以自己定义修改这个木马端口列表。
5 网络监听工具
网络监听工具可以被理解为一种安装在计算机上的窃听设备。它可以用来窃听计算机在网络上发送和接收的数据,这些数据可以是用户的账户信息,也可以是机密的数据文件等。常用的网络监听工具有Sniffer、NetXray、TcpDump、winpcap以及流光等。
TcpDump可以將网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来去掉无用的信息。TcpDump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。TcpDump存在于基本的FreeBSD系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。普通情况下,直接启动TcpDump将监视第一个网络界面上所有流过的数据包。
6 密码破解工具
密码破解工具实际上是一种能够将口令破译出来或者使口令保护失效的程序。通常情况下,密码破解工具并不是真正地解码,而是通过尝试一个又一个的字符组合,使用已知的加密算法来加密这些字符组合,直到发现一个字符组合经过加密后的结果与要解密的数据一样,就会认为该字符组合为要找的密码。
LOphtCrack是在Windows NT平台上使用的口令审计工具,它能通过保存在Windows NT操作系统中Cryptographic Hashes列表来破解用户口令。通常为了安全起见,用户的口令都是在经过加密之后保存在Hash列表中的。这些敏感的信息如果被攻击者获得。他们不仅可能会得到用户的权限.也可能会得到系统管理员的权限。LOphtCrack可通过各种不同的破解方法对用户的口令进行破解。PWDump不是一个密码破解程序,但是使用它可以从Windows中的SAM数据库中提取密码。PWDump是一个免费的Windows实用程序,它能够提取出Windows系统中的口令,并存储在指定的文件中。PWDump能够从Windows目标中提取出NTLM和LanMan口令散列值,而不管是否启用了Syskey(一个Windows账户数据库加密工具,是Windows下的一条命令)。该程序是Unix密码破解程序,但是也可以运行在Windows平台下,功能强大、运行速度快,可以进行字典破解和强行破解。除了上面介绍的三种工具以外,还有其他一些比较常用的密码破解工具,例如NTSweep、Crack、XIT、Slurpie等。 7 拒绝服务攻击工具
拒绝服务攻击因为其容易实施,所以是网络攻击中比较常见的一种。一般情况下,比较常见的拒绝服务攻击方式包括:死亡之Ping、Teardrop、TCP SYN洪水、Land以及Smurf等。Teardrop攻击是一种拒绝服务攻击。Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉;对于Windows系统会导致蓝屏死机,并显示STOP 0x0000000A错误。TCP/IP栈只能等待有限数量的ACK(应答)消息,因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。TCP SYN洪水攻击正是利用了这一系统漏洞来实施攻击的。攻击者利用伪造的IP地址向目标发出多个连接(SYN)请求。目标系统在接收到请求后发送确认信息,并等待回答。由于攻击者发送请求的IP地址是伪造的,所以确认信息也不会到达任何计算机,当然也就不会有任何计算机为此确认信息作出应答了。而在没有接收到应答之前,目标计算机系统是不会主动放弃的,继续会在缓冲区中保持相应连接信息,一直等待。当等待连接达到一定数量后,缓冲区资源耗尽,从而开始拒绝接收任何其他连接请求,也包括本来属于正常应用的请求。Land攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。
8 蜜网技术
蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又可成为诱捕网络。蜜网技术实质上还是一类研究型的高交互蜜罐技術,其主要目的是收集黑客的攻击信息。但与传统蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,我们可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。此外,虚拟蜜网通过应用虚拟操作系统软件(如VMWare和User Mode Linux等)使得我们可以在单一的主机上实现整个蜜网的体系架构。虚拟蜜网的引入使得架设蜜网的代价大幅降低,也较容易部署和管理,但同时也带来了更大的风险,黑客有可能识别出虚拟操作系统软件的指纹,也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。蜜网有着三大核心需求,即数据控制、数据捕获和数据分析。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全,以减轻蜜网架设的风险;数据捕获技术能够检测并审计黑客攻击的所有行为数据;而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。
参考文献:
[1]张海堂.21世纪世界商务发展的潮流[M].北京:经济科学出版社,1999.
[2]龚俭,王倩.计算机网络安全导论[M].南京:东南大学出版社,2000.
[3]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
[4]尹衍波.电子商务法规[M].北京:北京交通大学出版社,2007.
[5]劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2000.
[6]谢红燕.电子商务的安全问题及对策研究[J].哈尔滨商业大学学报(自然科学版),2007,(3):350-358,
[7]彭禹皓,兰波晓玲.电子商务的安全性探讨[J].集团经济研究,2007,(232):216-217.
[8]余绍军.电子商务安全与数据加密技术浅析[J].中国管理信息化,2007,(6):12-14.
[9]曾凤生.电子商务安全需求及防护策略[J].数据库及信息管理,2007,(4):25-28.
关键词:防御视角;网络攻击;技术创新;研究
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 22-0000-02
1 端口扫描技术
TCP/IP的服务一般是通过IP地址加一个端口号(Port)来决定,如FTP的服务端口号是21,SMTP的服务端口是25,POP3的端口是110。客户端程序一般通过服务器的IP地址和端口号与服务器应用程序连接。对目标计算机端口扫描,得到许多有用信息(如该服务是否已经启动等),从而发现系统的安全漏洞。在基于TCP/IP协议的网络环境中,一台计算机(具有一个IP地址)可以提供多种服务,如文件传输FTP、远程登录Rlogin、Gopher查询等。为了使各种服务协调运行,TCP/IP协议为每种服务设定了一个端口,称为TCP协议端口。每个端口都拥有一个16 bit的端口号(显然,对于一台主机,可以定义65536个端口)。用户自己提供的服务可以使用自由端口号。不过,一般系统使用的端口号为0~1023,用户可以自己定义的端口号从1024开始。扫描目标主机的服务端口之前,首先得弄清楚该主机是否已经在运行。如果发现该主机是活的(Alive),则可对该主机提供的各种服务端口进行扫描,从而找出活着的服务。
2 端口侦听技术
“端口侦听”与“端口扫描”是黑客攻击和防护经常要用到的两种端口技术。在黑客攻击时利用它们可以准确地寻找攻击的目标,获取有用信息。在个人及网络防护方面通过这种端口技术的应用可以及时发现黑客的攻击及一些安全漏洞。
3 网络欺骗技术
网络欺骗技术是指利用TCP/IP协议本身的缺陷对TCP/IP网络进行攻击的一种复杂的技术。网络欺骗主要包括如下几种方式:IP欺骗、ARP欺骗、DNS欺骗、Web欺骗、E-mail欺骗、Cookie欺骗以及源路由欺骗等,下面着重介绍几种。IP欺骗攻击是指利用TCP/IP本身的缺陷而进行的入侵,它不是进攻的结果,而是进攻的手段,实际上是两台主机之间信任关系的破坏。IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击,它由若干部分组成。目前,IP欺骗攻击已经成为黑客入侵时所采用的一种重要手段,因此有必要了解它的工作原理和防御措施,以便充分地保护用户的合法权益。IP欺骗攻击的实施步骤如下:(1)选定目标主机;(2)发现主机之间的信任模式;(3)通过一系列手段迫使被信任主机丧失工作能力;(4)预测和取样TCP序列号;(5)冒充被信任主机进入系统;(6)实施破坏行为并留下后门以供以后使用。
4 常用网络攻击工具
非法入侵者在进行网络攻击时需要借助一些工具,这些工具被统称为网络攻击工具。一般情况下,根据各个工具的功能以及实现的目的不同,可以将网络攻击工具分为4类:端口扫描工具、网络监听工具、密码破解工具和拒绝服务攻击工具。目前存在的扫描器产品主要可分为基于主机的和基于网络的两种,前者主要关注软件所在主机上面的风险漏洞,而后者则是通过网络远程探测其它主机的安全风险漏洞。SuperScan是一款功能强大的、基于连接的TCP端口扫描工具,它支持ping命令和主机名解析。多线程和异步技术使得扫描速度大大增加,并且SuperScan具有强大的端口管理器,内置了大部分常见的端口以及端口的说明,同时支持自定义端口功能。SuperScan具有以下功能:⑴ 通过Ping来检验IP是否在线。⑵ IP和域名相互转换。⑶ 检验目标计算机提供的服务类别。⑷ 检验一定范围目标计算机的是否在线和端口情况。⑸ 工具自定义列表检验目标计算机是否在线和端口情况。⑹ 自定义要检验的端口,并可以保存为端口列表文件。⑺ 软件自带一个木马端口列表trojans.lst,通过这个列表可以检测目标计算机是否有木马;同时,也可以自己定义修改这个木马端口列表。
5 网络监听工具
网络监听工具可以被理解为一种安装在计算机上的窃听设备。它可以用来窃听计算机在网络上发送和接收的数据,这些数据可以是用户的账户信息,也可以是机密的数据文件等。常用的网络监听工具有Sniffer、NetXray、TcpDump、winpcap以及流光等。
TcpDump可以將网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来去掉无用的信息。TcpDump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。TcpDump存在于基本的FreeBSD系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。普通情况下,直接启动TcpDump将监视第一个网络界面上所有流过的数据包。
6 密码破解工具
密码破解工具实际上是一种能够将口令破译出来或者使口令保护失效的程序。通常情况下,密码破解工具并不是真正地解码,而是通过尝试一个又一个的字符组合,使用已知的加密算法来加密这些字符组合,直到发现一个字符组合经过加密后的结果与要解密的数据一样,就会认为该字符组合为要找的密码。
LOphtCrack是在Windows NT平台上使用的口令审计工具,它能通过保存在Windows NT操作系统中Cryptographic Hashes列表来破解用户口令。通常为了安全起见,用户的口令都是在经过加密之后保存在Hash列表中的。这些敏感的信息如果被攻击者获得。他们不仅可能会得到用户的权限.也可能会得到系统管理员的权限。LOphtCrack可通过各种不同的破解方法对用户的口令进行破解。PWDump不是一个密码破解程序,但是使用它可以从Windows中的SAM数据库中提取密码。PWDump是一个免费的Windows实用程序,它能够提取出Windows系统中的口令,并存储在指定的文件中。PWDump能够从Windows目标中提取出NTLM和LanMan口令散列值,而不管是否启用了Syskey(一个Windows账户数据库加密工具,是Windows下的一条命令)。该程序是Unix密码破解程序,但是也可以运行在Windows平台下,功能强大、运行速度快,可以进行字典破解和强行破解。除了上面介绍的三种工具以外,还有其他一些比较常用的密码破解工具,例如NTSweep、Crack、XIT、Slurpie等。 7 拒绝服务攻击工具
拒绝服务攻击因为其容易实施,所以是网络攻击中比较常见的一种。一般情况下,比较常见的拒绝服务攻击方式包括:死亡之Ping、Teardrop、TCP SYN洪水、Land以及Smurf等。Teardrop攻击是一种拒绝服务攻击。Teardrop是基于UDP的病态分片数据包的攻击方法,其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息),某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉;对于Windows系统会导致蓝屏死机,并显示STOP 0x0000000A错误。TCP/IP栈只能等待有限数量的ACK(应答)消息,因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。TCP SYN洪水攻击正是利用了这一系统漏洞来实施攻击的。攻击者利用伪造的IP地址向目标发出多个连接(SYN)请求。目标系统在接收到请求后发送确认信息,并等待回答。由于攻击者发送请求的IP地址是伪造的,所以确认信息也不会到达任何计算机,当然也就不会有任何计算机为此确认信息作出应答了。而在没有接收到应答之前,目标计算机系统是不会主动放弃的,继续会在缓冲区中保持相应连接信息,一直等待。当等待连接达到一定数量后,缓冲区资源耗尽,从而开始拒绝接收任何其他连接请求,也包括本来属于正常应用的请求。Land攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。
8 蜜网技术
蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又可成为诱捕网络。蜜网技术实质上还是一类研究型的高交互蜜罐技術,其主要目的是收集黑客的攻击信息。但与传统蜜罐技术的差异在于,蜜网构成了一个黑客诱捕网络体系架构,在这个架构中,我们可以包含一个或多个蜜罐,同时保证了网络的高度可控性,以及提供多种工具以方便对攻击信息的采集和分析。此外,虚拟蜜网通过应用虚拟操作系统软件(如VMWare和User Mode Linux等)使得我们可以在单一的主机上实现整个蜜网的体系架构。虚拟蜜网的引入使得架设蜜网的代价大幅降低,也较容易部署和管理,但同时也带来了更大的风险,黑客有可能识别出虚拟操作系统软件的指纹,也可能攻破虚拟操作系统软件从而获得对整个虚拟蜜网的控制权。蜜网有着三大核心需求,即数据控制、数据捕获和数据分析。通过数据控制能够确保黑客不能利用蜜网危害第三方网络的安全,以减轻蜜网架设的风险;数据捕获技术能够检测并审计黑客攻击的所有行为数据;而数据分析技术则帮助安全研究人员从捕获的数据中分析出黑客的具体活动、使用工具及其意图。
参考文献:
[1]张海堂.21世纪世界商务发展的潮流[M].北京:经济科学出版社,1999.
[2]龚俭,王倩.计算机网络安全导论[M].南京:东南大学出版社,2000.
[3]柯新生.网络支付与结算[M].北京:电子工业出版社,2004.
[4]尹衍波.电子商务法规[M].北京:北京交通大学出版社,2007.
[5]劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2000.
[6]谢红燕.电子商务的安全问题及对策研究[J].哈尔滨商业大学学报(自然科学版),2007,(3):350-358,
[7]彭禹皓,兰波晓玲.电子商务的安全性探讨[J].集团经济研究,2007,(232):216-217.
[8]余绍军.电子商务安全与数据加密技术浅析[J].中国管理信息化,2007,(6):12-14.
[9]曾凤生.电子商务安全需求及防护策略[J].数据库及信息管理,2007,(4):25-28.