计算机网络课程设计之《网络攻击技术的分类与防范》.doc

《计算机网络课程设计之《网络攻击技术的分类与防范》.doc》由会员分享，可在线阅读，更多相关《计算机网络课程设计之《网络攻击技术的分类与防范》.doc（15页珍藏版）》请在三一办公上搜索。

1、计算机网络课程设计之网络攻击技术的分类与防范 网络攻击技术的分类与防范 学生姓名：XXX 指导老师：XXX 摘 要 本课程设计介绍了当前网络攻击技术，通过分析攻击手段的特点和对各种网络攻击行为所共有的关键特征进行分析、提取，并根据其不同特点进行分类，在对网络攻击进行分析和识别的基础上，提出了相应的解决方案和防范方法，制定有针对性的防御措施，指出应该明确安全对象，设置强有力的安全防护体系；并要以预防为主，将重要的数据进行备份并时刻监视系统的运行状况。关键字 网络攻击；防范技术； 信息安全 引 言互联网在为人们工作带来便利的同时, 伴随着的是日趋严重的网络安全问题。美国互联网调查机构日前发布研究报

2、告称，中国现有网民一亿三千七百万，在世界上仅次于美国。近年，中国的网民增长速度超过美国，预计未来几年内，网民的绝对数量也将赶超美国。随着互联网的飞速发展，特别是电子商务、电子政务、金融电子化进程的不断深入，人们对信息的依赖程度也越来越强，信息的安全题日益突出，根据权威机构调查互联网网站存在以下安全问题：网站被篡改、主机被植入木马、网络仿冒事件、网页恶意代码事件、僵尸网络。其中，网络仿冒事件危害力极大。在美国，2008 年因域名仿冒等网络钓鱼造成的损失大约是40 亿美元，并以25%的速度递增。2008 年12 月份中国互联网调查报告表明，只有27.6%的网民认为在网上进行交易是安全的。因此，对各

3、种网络攻击行为所共有的关键特征进行分析、提取，并根据其不同特点进行分类、并提出相对应的防范方法对于人们认识、防范网络攻击具有重要意义。 1 攻击的目标与分类1.1 攻击者攻击者包括操作员、程序员、数据录入员、内部用户和外部用户，主要分为 以下六种：(1) 黑客：攻击的动机与目的是为了表现自己或获取访问权限。(2) 间谍：攻击的动机与目的是获取情报信息。(3) 恐怖主义者：攻击的动机与目的是获取恐怖主义集团的利益。(4) 公司职员：攻击的动机与目的是获取经济利益。(5) 职业犯罪分子：攻击的动机与目的是获取个人利益。(6) 破坏者：攻击的动机与目的是破坏目标网络和系统。 1.2 攻击目标攻击者为

4、了达到物理破坏、信息破坏、数据欺骗、窃取服务、浏览和窃取信息等目的，一定要访问目标网络和系统，包括合法访问和非法访问。一般的，攻击过程主要依赖于设计弱点、实现弱点和配置弱点，非法访问和使用目标网络的资源，即未授权访问或未授权使用目标系统的资源。(1) 破坏信息：删除或修改系统中存储的信息或者网络中传送的信息。(2) 窃取信息：窃取或公布敏感信息。(3) 窃取服务：未授权使用计算机或网络服务。(4) 拒绝服务：干扰系统和网络的正常服务，降低系统和网络的性能，甚至使系统和网络崩溃。 1.3 攻击分类根据主动攻击与被动攻击的分类，将网络攻击分为以下四类。(1) 中断：中断发送方与接收方之间的通信。(

5、2) 拦截：作为第三者，截获或者侦听通信内容。(3) 篡改：攻击者截断通信，将截获的数据更改之后再交付给接收者，接收者认为篡改后的信息就是发送者的原始信息。(4) 伪造：攻击者伪造信息，将其以原始发送者的身份发送给接收者。 1.4 攻击工具攻击者通常使用一系列包括攻击策略和方法的攻击工具，对目标网络实施攻击，这些工具如下：(1) 用户命令：攻击者在命令行状态下或者以图形用户接口方式输入攻击命令。(2) 脚本或程序：利用脚本或者程序挖掘弱点。(3) 自治主体：攻击者初始化一个程序或者程序片段，独立执行弱点挖掘和攻击。(4) 工具包：使用攻击工具软件包，软件包中可能包括进行弱点挖掘、攻击和破坏的多

6、个 工具。(5) 分布式工具：攻击者分发攻击工具到多台主机，通过协作方式执行攻击。 2 攻击的基本过程网络攻击持续的时间有长有短，方法和手段多种多样，达到的效果各异。经过分析发现，所有成功的攻击过程都大致相似。所以，可以给网络攻击定义一个通用的模型。该模型将攻击过程归纳为若干阶段，每个阶段使用不同的方法和工具，实现不同的目标。各阶段前后呼应，共同实现最终的攻击目标。网络攻击模型将攻击过程划分为攻击身份和位置隐藏、目标系统信息收集、弱点信息挖掘分析、目标使用权限获取、攻击行为隐蔽、攻击实施、开辟后门、攻击痕迹清除等阶段，如图1 所示。 图2.1 网络攻击的基本过程 3 常见网络攻击技术 3.1

7、针对网络协议展开的攻击网络协议在设计之初并没有考虑到协议的安全性能，但随着互联网的发展，以及各式各样针对协议的攻击来看，发现一些攻击正是利用了协议的特点。如以下几种攻击方式：TCP SYN 拒绝服务攻击：一般情况下，一个TCP连接的建立需要经过三次握手的过程，利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN 拒绝服务攻击：首先，攻击者向目标计算机发送一个TCP SYN报文；然后，目标计算机收到这个报文后，建立TCP 连接控制结构（TCB），并回应一个ACK，等待发起者的回应；而发起者则不向目标计算机回应ACK 报文，这样导致目标计算机一致处于等待状态。因此，目标计算机如果接收到大量的

8、TCP SYN 报文，而没有收到发起者的第三次ACK 回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB 控制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的TCP 连接请求。ICMP 洪水攻击：正常情况下，为了对网络进行诊断，一些诊断程序比如PING 等，会发出ICMP 响应请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO后，会回应一个ICMP ECHO Reply 报文。而这个过程是需要CPU 处理的，有的情况下可能消耗掉大量的资源。这样如果攻击者向目标计算机发送大量的ICMP ECHO 报文（产生ICMP 洪水），则目标计算机会忙

9、于处理这些ECHO 报文，而无法继续处理其它的网络数据报文，这也是一种拒绝服务攻击（DOS）。UDP 洪水攻击：原理与ICMP 洪水类似，攻击者通过发送大量的UDP 报文给目标计算机，导致目标计算机忙于处理这些UDP 报文而无法继续处理正常的报文。泪滴攻击：对于一些大的IP 包，需要对其进行分片传送，这是为了迎合链路层的MTU（最大传输单元）的要求。比如，一个4500 字节的IP 包，在MTU 为1500的链路上传输的时候，就需要分成三个IP 包。在IP 报头中有一个偏移字段和一个分片标志（MF），如果MF标志设置为1，则表面这个IP 包是一个大IP 包的片断，其中偏移字段指出了这个片断在整个

10、IP 包中的位置。例如，对一个4500 字节的IP 包进行分片（MTU 为1500）， 则三个片断中偏移字段的值依次为：0，1500，3000。这样接收端就可以根据这些信息成功的组装该IP 包。如果一个攻击者打破这种正常情况，把偏移字段设置成不正确的值，即可能出现重合或断开 的情况，就可能导致目标操作系统崩溃。比如，把上述偏移设置为0，1300，3000。这就是所谓的泪滴攻击。 3.2 针对系统漏洞展开攻击系统漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个电脑，从而窃取用户电脑中的重要资

11、料和信息，甚至破坏系统。如Windows XP 默认启动的UPNP 服务就存在严重安全漏洞。UPNP(UniversalPlug and Play) 体系面向无线设备、PC 机和智能应用，提供普遍的对等网络连接，在家用信息设备、办公用网络设备间提供TCP/IP 连接和Web 访问功能，该服务可用于检测和集成UPNP 硬件。UPNP 协议存在的安全漏洞，使攻击者可非法获取任何Windows XP的系统级访问，从而进行攻击，甚至可通过控制多台XP 机器发起分布式的攻击。其次，服务拒绝漏洞：Windows XP 支持点对点的协议（PPTP），是作为远程访问服务实现的虚拟专用网技术。在用于控制建立、维

12、护和拆开PPTP 连接的代码段中存在未经检查的缓存，导致Windows XP 的实现中存在漏洞。通过向一台存在该漏洞的服务器发送不正确的PPTP 控制数据，攻击者可损坏核心内存并导致系统失效，中断所有系统中正在运行的进程。该漏洞可攻击任何一台提供PPTP 服务的服务器，对于PPTP 客户端的工作站，攻击者只需激活PPTP 会话即可进行攻击。相对安全的Linux 系统也存在着漏洞如：LinuxUtilLinux Login Pam（权限提升漏洞）utillinux 软件包中提供了很多标准UNIX 工具，例如login。它存在一个问题可允许本地用户提升权限。如果某些用户的login访问受到paml

13、imits 控制的话，就可能导致一些不可预料的结果：登录的用户可能获取控制台或者系统用户的权限。 3.3 其它攻击方式WWW 的欺骗技术：在网上用户可以利用IE 等浏览器进行各种各样的WEB 站点的访问，如阅读新闻、咨询产品价格、订阅报纸、电子商务等。然而一些用户可能不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL 改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以获得一些如帐号、密码等信息。电子邮件攻击：电子邮件攻击主要表现为两种方式。一是电子邮件轰炸和电子邮件“滚雪球”，也就是通

14、常所说的邮件炸弹，是指用伪造的IP 地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者还会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员貌似相同），这类欺骗只要用户提高警惕，一般危害性不是太大。放置特洛伊木马程序：特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会在自己的计算机系统中隐藏一个可以在Windows 启动时悄悄执行的

15、程序。当您连接到因特网上时，这个程序就会通知黑客，来报告您的IP 地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制计算机的目的。 4 常见网络攻击及防范技术网络攻击技术多种多样，各种攻击工具都使用了一种或者综合使用多种攻击技术。下面简单介绍常见的网络攻击技术及其防范。 4.1 网络欺骗网络欺骗(Spoofing) 是指攻击者通过伪造自己在网络上的身份，得到目标主 机或者网络的访问权限。在T C P I P 协议中，数据包的一些域具有特定的含义。例如，I P 包的哪个域表示数据的来源、

16、哪个域表示目标，邮件的哪个域表示邮件地址等，都有固定的结构。通过底层网络编程技术，可以方便地伪造任意改变IP地址欺骗 源路由欺骗。如果只改变数据包的源IP 地址，那么目标主机的应答回到被假冒的地址上，攻击者不能得到应答。攻击者如果想了解会话情况，必须保证自己插入到应答经过的网络通路上。攻击者使用T C P I P 协议提供的一种机制( 源路由选项)，并把自己的I P 地址置于所指定的地址序列清单中。当目标端回应时，数据包返回到假冒的I P 地址处，但它会经过攻击者的机器，这样可以保 证攻击者得到应答数据包。针对I P 欺骗攻击的防范措施有以下几种。抛弃基于地址的信任策略，阻止这类攻击的一种十分

17、容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。使用加密方法 在包发送到 网络上之前，我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境，但它将保证数据的完整性、真实性和保密性。可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且，当包的IP地址不在本网内时，路由器不应该把本网主机的包发送出去。有一点要注意，路由器虽然可以封锁试图到达内部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。

18、因此，它们仅能对声称是来自于内部网络的外来包进行过滤，若你的网络存在外部可信任主机，那么路由器将无法防止别人冒充这些主机进行IP欺骗。（2）电子邮件欺骗，攻击者使用电子邮件进行欺骗有三个目的。第一，隐藏自己的身份。第二，通过假冒电子邮件地址使自己看起来像某个其他人。第三，社会工程的一种表现形式，获取想要的信息。例如，如果攻击者想让用户发给他一份敏感文件，攻击者可以伪装其他的邮件地址，使用户认为这是老板或者管理员的要求，从而按要求发送信息。相似的电子邮件地址。假冒一个相似的邮件地址发送邮件，如I iuchang 与1iuchang163com，因为邮件地址似乎是正确的，所以收信人很可能会回复它，

19、这样攻击者就会得到想要的信息。针对电子邮件欺骗可以采用修改邮件客户软件的方法防范。当发出电子邮件时，没有对发件人地址进行验证或者确认，因此他能够指定他希望出现在发件人中的任意地址。当用户回信时，答复回到真实的地址，而不是回到被盗用了地址的人那里。（3）Web欺骗，网站通常是各种目的攻击者的主要攻击目标，而Web欺骗是网站面临的一种主要攻击。网站欺骗分两大类，一类是加密他人的网站、使用U R L重写技术隐藏真正的网站地址，欺骗网站的浏览者，另一类是使用匿名代理技术浏览网站，欺骗网站服务的提供者，而中间人攻击则可以达到欺骗双方的目的。基本的网站欺骗，目前在互联网上注册一个域名没有严格的审查，攻击者

20、可以抢先或特别设计注册一个非常类似的有欺骗性的站点。当用户浏览了这个假冒地址，并与站点作了一些信息交流，如填写了一些表单之后，站点会给出一些响应式的提示和回答，同时记录下用户的信息。典型的例子是假冒金融机构的网站，偷盗客户的信用卡、银行卡等信息。例如，中国工商银行网站为“”，有人注册了网站“ ”。这种欺骗方式被专家定义为网络陷阱程序，也称为网络钓鱼程序(phishing)，多以欺骗用户信用卡号、银行账号、股票信息等获取经济利益为目的。防止基本的网站欺骗的最好办法是：使用站点服务器认证。由于服务器认证是服务器向客户提供的一个有效证书，它能证明谁是谁，可以把证书看作服务器的一张身份证。服务器认证不

21、容易被欺骗而且提供了较高级别的保护，确保正在连接的站点是真正属于用户所期待的站点。中间人攻击，攻击者找到一个位置，使进出受害方的所有流量都经过他。攻击者通过某种方法把目标机器的域名对应的I P 更改为攻击者所控制的机器，这样所有外界对目标机器的请求将涌向攻击者的机器，这时攻击者可以转发所有的请求到目标机器，让目标机器进行处理，再把处理结果发回到发出请求的客户机。实际上，中间人攻击是把攻击者的机器设成目标机器的代理服务器，收集大量的信息。URL重写是指修改( 或重写)Web内容中的URL，比如指向与原始URL 不同位置的结果URL。在URL 重写中，攻击者通过改写URL 能够把网络流量转到攻击者

22、控制的另一个站点上，因而所有信息便处于攻击者的监视之中。（4）ARP欺骗是一种典型的中间人攻击方法，如图4.2 所示。正常情况下，当A 与B 需要通信时，A发送ARPR equest 询问B 的MA C 地址，B 发送ARPReply 告诉A 自己的MAC 地址。 Haeker 4.2 ARP欺骗 ARP 欺骗是Hacker 发送伪装的ARPReply 告诉A，计算机B 的MAC 地址是Hacker 计算机的MAC 地址。Hacker 发送伪装的ARPReply 告诉B，计算机A 的MAC 地址是Hacker 计算机的MAC地址。这样A 与B 之间的通信都将先经过Hacker，然后由Hacke

23、r 进行转发。于是Hacker 可以捕获到所有A 与B 之间的数据传输( 如用户名和密码)。针对ARP欺骗攻击有以下防范措施：ARP双向绑定。单纯依靠IP或MAC来建立信任关系是不安全的，理想的安全关系是建立在IP+MAC的基础上。设置静态的IP/MAC 对应表，不要让主机动态刷新你设定好的转换表。并进行A R P双向绑定，所谓“双向绑定”就是在网关上绑定客户机的I P 地址和MAC 地址，同时，在客户机上也绑定网关的I P 地址和MAC 地址。具体实现方法如下：首先，需要在本地主机上使用命令“arps 网关IP地址网关MAC 地址”来绑定网关的IP 地址和MAC 地址；其次，要在内网交换机端

24、口上绑定内部合法主机的MAC地址和IP地址：Switch>enable / 进入交换机特权模式Switch#config terminal / 进入交换机全局配置模式Switch(config)#interface fa0/1 / 进入接口配置模式Switch(config-if)#switchport port-security/ 配置端口安全功能Switch(config-if)#switchport port-security mac-address MAC( 主机的MAC 地址) ip-addressIP( 绑定的IP 地址) / 配置该端口的安全MAC 地址 和绑定的IP 地址

25、。这样，只有这台主机可以通过端口1使用网络，如果其他P C 想通过这个端口使用网络，必须对交换机的此项设置进行修改。双向绑定方法适合于机器数量较 少且不经常更换的地方，如：网吧、学校机房等。而对于大型局域网则不适用，因为需要完成大量的配置任务，工作量太大，不容易实施。建立DHCP 服务器，为了在网络中方便对客户机的I P 地址进行有效管理，而不需要一个一个手动指定I P 地址，通常用DHCP(Dynamic Host Con-figure Protocol，动态主机配置协议) 让客户机自动获取动态IP地址。因为ARP欺骗攻击一般总是先攻击网关，将DHCP服务器建立在网关上，利用DHCP Sno

26、oping 技术建立和维护DHCP Snooping 绑定表，过滤不可信任的DHCP信息。DHCPSnooping 开启后，主机将向DHCP 服务器发送DHCP REQUEST 广播包，DHCP 服务器将返回一个DHCPACK 单播包，这些报文都要通过DHCP Snooping 的监听，交换机会自动将主机所在端口以及主机的MAC地址和DHCP 服务器分配给主机的IP地址保存在一个动态表中，并形成动态绑定关系。同时，启用ARP inspection 功能，即对ARP 报文的检测。只有符合DHCP Snooping 动态绑定表中绑定关系的主机才能发送和接收A R P 报文，否则过滤掉，以达到防止A

27、RP 欺骗的目的。划分安全区域, 一般情况下，A R P 广播包是不能跨子网或者网段传播的，也就是说子网、网段可以隔离广播包。一个VLAN 就是一个逻辑广播域，通过VLAN 技术可以在局域网中创建多个子网，就在局域网中隔离了广播，缩小了广播范围，也就减小了广播风暴的产生几率。局域网的网络管理员可根据网络的拓扑结构，具体规划出若干个VLAN，当管理员发现有非法用户在恶意利用ARP攻击网络,或因合法用户受ARP 病毒感染而影响网络时，网络管理员可利用技术手段首先查找到该用户所在的交换机端口，然后将该端口划一个单独的VLAN 将该用户与其他用户进行物理隔离，以避免对其他用户产生影响。划分安全域的方法

28、能在一定程度上有效缓解ARP 攻击的传播，但缺点是：安全域划分太细会使局域网的管理和资源共享不方便。 4.2 网络扫描扫描器( Scanner ) 是一种自动检测远程或本地主机安全性弱点的程序。扫描器通过发送特定的网络数据包，记录目标主机的应答消息，从而可以收集关于目标主机的各种信息或者测试主机的性能。扫描器也是一把双刃剑，可以作为安全 管理人员检查、测试主机和网络安全性的工具，帮助管理员发现问题，防患于未然。另一方面，有恶意目的的人员利用扫描器收集主机和网络的信息，发掘其中的脆弱点，为攻击做准备。（1）网络诊断命令，对目标系统进行扫描可以手动进行，也可以使用扫描工具自动进行。在手动进行扫描时

29、，需要熟悉各种网络命令，并对命令执行后的输出进行分析。用扫描工具进行扫描时，工具本身一般都提供数据分析的功能。ping 命令。Ping 命令经常用来对TCPIP 网络进行诊断。通过向目标计算机发送一个ICMPechorequest 数据包，目标计算机收到后发送ICMPechoreply 数据包，如果能够收到reply 数据包，就说明网络能够连通。通过ping命令，不仅可以判断目标计算机是否正在运行，还可以了解网络的大致延时。（2）端口扫描，端口是传输层的TCP和UDP协议与上层应用程序之间的接口点。攻击者可以利用每一个端口作为入侵系统的通道。端口扫描就是通过向目标主机的指定端口发送数据包，根据

30、目标端口的反应确定哪些端口是开放的。此外，还可以根据端口返回的旗标(banners) 信息进一步判断端口上运行的服务类型，以及对应软件版本甚至操作系统类型。（3）脆弱性扫描，脆弱性扫描是检测远程或本地主机系统脆弱性的技术，它通过获取主机信息或者与主机的TCPIP 端口建立连接并请求服务，记录目标主机的应答，从而发现主机或网络内在的安全弱点。由于它把繁琐的安全检测过程通过程序自动完成，不仅减轻了管理者的工作，还缩短了检测时问，因而成为网络管理的重要手段和工具。（4）扫描的防范，攻击者对潜在的目标进行扫描一般是攻击的前奏。扫描能获取系统信息，发掘系统存在的脆弱性。为了降低被攻击的风险，应该从以下几

31、方面对扫描进行防范。修正系统和网络，使其暴露尽可能少的信息。例如，修改系统和服务器的旗标信息，许多服务软件都提供了这个功能，可以定制系统和服务器返回给客户端的提示信息；修正系统或者网络，减少其脆弱性，比如关闭不必要的网络服务，给系统和软件及时打补丁等；入侵检测系统一般能发现正在进行的扫描，所以应该安装网络入侵检测系统或主机入侵检测系统，对于发现的扫描行为，要及时处理，避免攻击者的进一步行动； 扫描器也是安全管理的助手，作为网络管理员和主机用户，应该时常对自己管理的网络和系统进行扫描，提前 发现问题，防患于未然。 4.3 拒绝服务DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求

32、来占用过多的服务资源,从而使合法用户无法得到服务的响应。单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、 攻击示意图如图4.3,一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时

33、,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。DoS攻击的基本原理及现状。 DoS攻击一般包括以下三个步骤： (1)攻击者通过扫描工具寻找一个或多个能够入侵的系统，并获得系统的控制权。然后，在被攻陷的系统中安装DoS的管理者(handler)。这一步常常针对缓存溢出漏洞或系统安全配置漏洞来进行。(2)攻击者利用扫描工具大量扫描并攻击存在安全漏洞的系统，获得该系统的控制权。在被攻陷的系统中安装并运行DoS的攻击代理(agent)。(3)攻击者通过handler通知攻击代理攻击的目标以及攻击类型等。很多攻击工具的将攻击者、攻击代

34、理和handler之间的通信信道加密以便较好地隐藏DoS攻击网络在收到攻击指令后，攻击代理发起真正的攻击。早期的攻击者大多采取手工方式将DoS攻击工具(handler,agent等)安装至存在安全漏洞的系统中，因此要求攻击者具有较高的水平。随着攻击工具的快速发展，攻击工具的自动化程度越来越高。从扫描到探测，再到安装都可以自动完成。例如，DDoS攻击工具T0mkit利用脚本来实施自动的扫描、探测、安装。在ramen蠕虫出现以后，很多攻击者开始利用这类蠕虫的自动扫描、探测、安装、传播的特点来安装和传播DoS攻击工具。有些蠕虫，如红色代码(Code Red)，以及后来出现的红色代码II，本身就可以发

35、起对指定目标的TCP SYNDoS攻击。在基于handler的DDoS攻击模型中，由于handler和agent之间需要用指定端口通信，因此比较容易被发现。并且，由于handler和agent相互存有对方的信息，所以一旦其中之一被发现，整个DDoS攻击网络就会被破坏。在IRC(Intemet Relay Chat)流行以后，攻击者利用IRC与攻击代理进行通信，在这里，IRC相当于以前的handler。攻击者与IRC服务器建立连接，然后利用完全合法的通信信道控制一组攻击代理发动攻击。因此，1RC的使用给发现DDoS攻击网络带来了极大的挑战，大大提高了DDoS攻击网络的生存能力，是DDoS攻击技术

36、的一个巨大进步。现在，有很多基于IRC的DDoS攻击代理被包含在有自传播能力的蠕虫中自动地广泛传播，如KnightKaiten。攻击代理通常采用向目标主机发送大量的网络分组的方式来进行。使用的分组类型通常有以下几种：TCP洪流(floods)。向目标主机发送大量设置了不同标志的TCP分组常被利用的标志包括：SYN,ACK,RST。其中，TCPSYN攻击导致目标主机不断地为TCP连接分配内存，从而使其它功能不能分配到足够的内存。Trinoo就是一种分布式 的TCP SYNDoS攻击工具。ICMP Echo请求响应报文(如，Ping floods)。向目标主机发送大量的ICMP分组。UDP洪流。向

37、目标主机发送大量的UDP分组。一些DDoS工具，如TFN，能够使用上面列出的几种分组发起攻击。一些DoS攻击工具还常常改变攻击分组流中的分组的某些字段来达到各种目的，例如：源IP地址。假冒IP地址(re spoofing)主要有两种目的：隐藏分组的真正的源地址；使主机将响应发送给被攻击的主机。后者的例子很常见，如smurf或fraggle攻击。 源目的端口号。很多利用TCP或UDP分组洪流来实旌攻击的DoS工具有时通过改变分组中的源或目的端口号来抵抗分组过滤。其它的IP头字段。在已发现的DoS攻击事件中，有些DoS攻击工具除了保持分组首部中的目的IP地址不变外，随机选择分组流中的每一个分组的I

38、P首部中的其它各个字段的值。攻击者只有拥有足够的特权，就可以很容易产生和传送带有伪造的属性值的网络分组，这是因为TCPIP协议栈(IPv4)不提供机制来确保分组属性的完整性。 DoS攻击响应的技术。到目前为止，还没有一种有效抵抗DoS的攻击的技术和方法，现有的对付DoS攻击的方案主要有四种。一种是通过丢弃恶意分组的方法保护网络；另一种是在源端控制Dog世击；第三种是追溯(tmceback)发起攻击的源端，然后阻止它发起新的攻击；第四种是路由器动雒测流量并进行控制。上述措施只能部分地减轻DoS攻击所造成的危害，而不能从根本上解决问题。（1）分组过滤。为了避免被攻击，有些站点对于特定的流量进行过滤

39、(丢弃)。分组过滤的一个例子是用防火墙过滤掉所有来自某些攻击主机的报文，另一个例子是为了防止著名的smuff攻击而设置过滤器过滤掉所有ICMP(Intemet Control Message Protoc01)ECHO报文。这种基于特定攻击主机或者内容的过滤方法的作用只限于已经定义了的固定的过滤器，不适合动态变化的攻击模式。还有一种“输 入诊断”方案”，由受害者提供攻击特征，沿途的ISP(Intemet Service Provider)配合将攻击分组过滤掉，但是这种方案需要各个ISP的网络管理员人工配合，工作强度高、时间耗费大，因此较难实施。 （2）源端控制。通常参与DoS攻击的分组使用的源

40、IP地址都是假冒的，因此如果能够防止IP地址假冒就能够防IP此类的DoS攻击。通过某种形式的源端过滤可以减少或消除假冒IP地址的现象,从而防范DoS攻击。例如，路由器检查来自与其直接相连的网络分组的源IP地址，如果源IP地址非法(与该网络不匹配)则丢弃该分组。现在越来越多的路由器支持源端过滤。但是，源端过滤并不能彻底消除IP地址假冒。例如，一个ISP的客户计算机仍然能够假冒成该ISP网络内的成百上千个计算机中的任一个其他计算机。（3）追溯。追溯发起攻击的源端的方法不少，这些方法假定存在源地址假冒，它试图在攻击的源处抑制攻击，并误别恶意的攻击源。它在m地址假冒的情况下也可以工作，是日后采取必要的

41、法律等手段防止将来的攻击的必要一步。但是追溯过程中并不能实时控制攻击的危害，当攻击很分散的时候也不能做到有效的追溯。已有的追溯方法主要有：IP追溯。路由器使用部分路径信息标记经过的分组。由于DoS攻击发生时，攻击流中包括大量的具有共同特征的分组，因此，追溯机制只需以一定的概率抽样标记其中的部分分组。受害主机利用这些标记分组中的路径信息重构攻击路径以定位大致的攻击源。在攻击结束之后依然可以追溯。ICMP追溯。路由器以、_定的概率抽样标记其转发的部分分组，并向所标记的分组的目的地址发送ICMP消息。消息中包括该路由器的身份，抽样分组的内容，邻近的路由器信息。在受到攻击时，受害主机可以利用这些信息重

42、构攻击路径，找到攻击者。链路测试。这种方法从离受害主机最近的路由器开始，交互测试其上游链路，递归执行，直到确定攻击路径。它只有在攻击进行时才有效。具体方法包括：输入调试(Input Debugging)，受控涌入(Controlled Flooding)等。（4）路由器动态监测和控制。最近，有些研究人员提出在路由器上动态检测和控制DoS攻击引起的拥塞。其主要依据是DoS攻击分组虽然可能来源于多个流，但这些流肯定有某种共同的特征，比如有共同的目的地址或源地址(或地址前缀)或者都是TCP SYN类型的报文。这些流肯定在某些路由器的某些输出链路上聚集起来并造成大量的分组丢失。这些有着共同特征的流可以

43、称为流聚 (aggregate)。其主要设想是流聚集所通过的路由器有可能通过分析分组丢失的历史辩识出这种流聚集。如果一个路由器辩识出了这些高带宽的流聚集，它就可以通知送来这些流聚集的上游路由器限制其发送速率。这种由发生拥塞的路由器发起的回推(pushback)信号可能一直递归地传播到源端。这种机制从直观上不难理解，如果能够实用则对于解决DoS攻击问题有很好的前途。文献4】中也对这种拥塞控制机制进行了简单的模拟研究，显示该机制可以取季导一定的效果。但是这种机制在实际的网络中能否实用面临着检测标准、公平性机制、高效实现以及运营管理等很多未解决的问题。 4.4 网络嗅探嗅探(Sniffer)技术是网

44、络安全攻防技术中很重要的一种。对黑客来说,通过嗅探技术能以非常隐蔽的方式攫取网络中的大量敏感信息,与主动扫描相比,嗅探行为更难被察觉,也更容易操作。对安全管理人员来说,借助嗅探技术,可以对网络活动进行实时监控,并进行发现各种网络攻击行为。嗅探原理。嗅探器(Sniffer)最初是作为网络管理员检测网络通信的一种工具,它既可以是软件,又可以是一个硬件设备.软件Sniffer应用方便,针对不同的操作系统平台都有多种不同的软件Sniffer,而且很多都是免费的;硬件Sniffer通常被称作协议分析器,其价格一般都很高昂.在局域网中,由于以太网的共享式特性决定了嗅探能够成功.因为以太网是基于广播方式传送

45、数据的,所有的物理信号都会被传送到每一个主机节点,此外网卡可以被设置成混杂接收模式(Promiscuous),这种模式下,无论监听到的数据帧目的地址如何,网卡都能予以接收.而TCP/IP协议栈中的应用协议大多数明文在网络上传输,这些明文数据中,往往包含一些敏感信息(如密码,账号等),因此使用Sniffer可以悄无声息地监听到所有局域网内的数据通信,得到这些敏感信息.同时Sniffer的隐蔽性好,它只是"被动"接收数据,而不向外发送数据,所以在传输数据的过程中,根本无法觉察到有人监听.当然,Sniffer的局限性是只能在局域网的冲突域中进行,或者是在点到点连接的中间节点上进行

46、监听.在交换网络中,虽然避免了利用网卡混杂模式进行的嗅探.但交换机并不会解决所有的问题,在一个完全由交换机连接的局域网内,同样可以进行网络嗅探.主 要有以下三种可行的办法:MAC洪水(MAC Flooding),MAC复制,ARP欺骗,其中最常用的是ARP欺骗。（1）MAC洪水。交换机要负责建立两个节点间的"虚电路",就必须维护一个交换机端口与MAC地址的映射表,这个映射表是放在交换机内存中的,但由于内存数量的有限,地址映射表可以存储的映射表项也有限.如果恶意攻击者向交换机发送大量的虚假MAC地址数据,有些交换机在应接不暇的情况下,就会像一台普通的Hub那样只是简单地向所有

47、端口广播数据,嗅探者就可以借机达到窃听的目的.当然,并不是所有交换机都采用这样的处理方式,况且,如果交换机使用静态地址映射表,这种方法就失灵了.（2）MAC复制。MAC复制实际上就是修改本地的MAC地址,使其与欲嗅探主机的MAC地址相同,这样,交换机将会发现,有两个端口对应相同的MAC地址,于是到该MAC地址的数据包将同时从这两个交换机端口发送出去.这种方法与后面将要提到的ARP欺骗有本质的不同,前者是欺骗交换机,后者是毒害主机的ARP缓存而与交换机没有关系.但是,只要简单设置交换机使用静态地址映射表,这种欺骗方式也就失效了.（3）ARP欺骗。按照ARP协议的设计,为了减少网络上过多的ARP数

48、据通信,一台主机,即使受到的ARP应答并非自己请求得到的,它也会将其插入到自己的ARP缓存表中,这样,就造成了"ARP欺骗"的可能.如果黑客想探听同一网络中两台主机之间的通信,他会分别给这两台主机发送一个ARP应答包,让两台主机都"误"认为对方的MAC地址是第三方的黑客所在的主机,这样,双方看似"直接"的通信连接,实际上都是通过黑客所在的主机间接进行.黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可.在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发给黑客所在的中转主机的.网络嗅探的防范与检测。网络嗅探由于其特性所决定, 一般的杀毒软件和扫描软件很难检测到它的存在。用户也容易将用户名、密码或者银行账号之类的重要信息泄漏出来。采取必要的网络安全防范与检测措施有:(