黑客攻擊與防范技術(shù)論文

I黑客攻擊與防范技術(shù)論文姓名：學(xué)號(hào)：年級(jí)：院系：專(zhuān)業(yè)：完成時(shí)間：摘要:在網(wǎng)絡(luò)信息時(shí)代的今天，網(wǎng)絡(luò)安全問(wèn)題日趨嚴(yán)重，黑客攻防技術(shù)成為當(dāng)今網(wǎng)絡(luò)技術(shù)關(guān)注和發(fā)展的焦點(diǎn)，隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為一個(gè)被人們強(qiáng)烈關(guān)注的熱點(diǎn)。而其中黑客攻擊所造成的安全問(wèn)題是很重要的一個(gè)方面。本文將介紹網(wǎng)絡(luò)安全面臨的主要威脅，重點(diǎn)分析黑客攻擊的一般步驟，使用的手段，以及解決應(yīng)對(duì)的最新方法手段。關(guān)鍵詞：網(wǎng)絡(luò)安全威脅黑客攻擊步驟原理對(duì)策PAGE10目錄摘要 I關(guān)鍵詞 I1.黑客常見(jiàn)攻擊步驟 21.1攻擊前奏 21.2實(shí)施攻擊 31.3鞏固控制 31.4鞏固控制 32.常見(jiàn)的幾種攻擊分類(lèi) 3 2.1緩沖區(qū)溢出攻擊 32.2欺騙類(lèi)攻擊 32.3對(duì)防火墻的攻擊 42.4利用病毒攻擊 42.5木馬程序攻擊 43.常見(jiàn)的攻擊 4 3.1DOS攻擊 43.1DOS攻擊原理 53.1Trinoo攻擊軟件攻擊實(shí)例 54.常見(jiàn)的網(wǎng)絡(luò)安全防范措施 8 4.1網(wǎng)絡(luò)級(jí)安全檢測(cè)與防范 84.2及時(shí)備份重要數(shù)據(jù) 84.3使用加密機(jī)制傳輸數(shù)據(jù) 84.4網(wǎng)絡(luò)攻擊的攻擊軟件：PasswordCrackers 95．結(jié)語(yǔ) 96．參考文獻(xiàn) 10黑客攻擊與防范技術(shù)對(duì)于互聯(lián)網(wǎng)網(wǎng)絡(luò)安全問(wèn)題，必須談的一個(gè)話題就是黑客（Hacker）。黑客是英文"Hacker"的英文譯音,它起源于美國(guó)麻省理工學(xué)院的計(jì)算機(jī)實(shí)驗(yàn)室中。是指對(duì)計(jì)算機(jī)某一領(lǐng)域有著深入的理解，并且十分熱衷于潛入他人計(jì)算機(jī)、竊取非公開(kāi)信息的人。每一個(gè)對(duì)互聯(lián)網(wǎng)絡(luò)的知識(shí)十分了解的人，都有可能成為黑客。黑客是：“喜歡探索軟件程序奧秘，并從中增長(zhǎng)其個(gè)人才干的人。”顯然，“黑客”一語(yǔ)原來(lái)并沒(méi)有絲毫的貶義成分，直到后來(lái)，少數(shù)懷有不良的企圖，利用非法手段獲得的系統(tǒng)訊問(wèn)權(quán)去闖入運(yùn)程機(jī)器系統(tǒng)、破壞重要數(shù)據(jù)，或?yàn)榱俗约旱乃嚼圃炻闊┑木哂袗阂庑袨榈娜寺栉哿恕昂诳汀钡拿?，“黑客”才逐漸演變成入侵者、破壞者的代名詞。黑客常見(jiàn)攻擊步驟：黑客常用的攻擊步驟可以說(shuō)變幻莫測(cè)，但縱觀其整個(gè)攻擊過(guò)程，還是有一定規(guī)律可循的，一般可以分：攻擊前奏、實(shí)施攻擊、鞏固控制、繼續(xù)深入幾個(gè)過(guò)程。見(jiàn)下圖1示：1.1攻擊前奏

黑客鎖定目標(biāo)、了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)，收集各種目標(biāo)系統(tǒng)的信息等。

鎖定目標(biāo)：網(wǎng)絡(luò)上有許多主機(jī)，黑客首先要尋找他找的站點(diǎn)的。當(dāng)然能真正標(biāo)識(shí)主機(jī)的是IP地址，黑客會(huì)利用域名和IP地址就可以順利地找到目標(biāo)主機(jī)，了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)：確定要攻擊的目標(biāo)后，黑客就會(huì)設(shè)法了解其所在的網(wǎng)絡(luò)結(jié)構(gòu)，哪里是網(wǎng)關(guān)、路由，哪里有防火墻，哪些主機(jī)與要攻擊的目標(biāo)主機(jī)關(guān)系密切等，最簡(jiǎn)單地就是用tracert命令追蹤路由，也可以發(fā)一些數(shù)據(jù)包看其是否能通過(guò)來(lái)猜測(cè)其防火墻過(guò)濾則的設(shè)定等。當(dāng)然老練的黑客在干這些的時(shí)候都會(huì)利用別的計(jì)算機(jī)來(lái)間接的探測(cè)，從而隱藏他們真實(shí)的IP地址。

收集系統(tǒng)信息：在收集到目標(biāo)的第一批網(wǎng)絡(luò)信息之后，黑客會(huì)對(duì)網(wǎng)絡(luò)上的每臺(tái)主機(jī)進(jìn)行全面的系統(tǒng)分析，以尋求該主機(jī)的安全漏洞或安全弱點(diǎn)。首先黑客要知道目標(biāo)主機(jī)采用的是什么操作系統(tǒng)什么版本，如果目標(biāo)開(kāi)放telnet服務(wù)，那只要telnetxx.xx.xx.xx.（目標(biāo)主機(jī)），就會(huì)顯示“digitalunlx(xx.xx.xx.)(ttypl)login：”這樣的系統(tǒng)信息。接著黑客還會(huì)檢查其開(kāi)放端口進(jìn)行服務(wù)分析，看是否有能被利用的服務(wù)。

1.2實(shí)施攻擊

當(dāng)黑客探測(cè)到了足夠的系統(tǒng)信息，對(duì)系統(tǒng)的安全弱點(diǎn)有了了解后就會(huì)發(fā)動(dòng)攻擊，當(dāng)然他們會(huì)根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)、不同的系統(tǒng)情況而采用的不同的攻擊手段。

1.3鞏固控制

黑客利用種種手段進(jìn)入目標(biāo)主機(jī)系統(tǒng)并獲得控制權(quán)之后，進(jìn)行破壞活動(dòng)，刪除數(shù)據(jù)、涂改網(wǎng)頁(yè)等。為了能長(zhǎng)時(shí)間表的保留和鞏固他對(duì)系統(tǒng)的控制權(quán)，不被管理員發(fā)現(xiàn)，他會(huì)做兩件事：清除記錄和留下后門(mén)。

1.4繼續(xù)深入

清除日志、刪除拷貝的文件等手段來(lái)隱藏自己的蹤跡之后，攻擊者就開(kāi)始下一步的行動(dòng)；竊取主機(jī)上的各種敏感信息：軟件資料、客戶(hù)名單、財(cái)務(wù)報(bào)表、信用卡號(hào)等等。常見(jiàn)的幾種攻擊分類(lèi)：2.1緩沖區(qū)溢出攻擊

通過(guò)往程序的緩沖區(qū)寫(xiě)超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它的指令，如果這些指令是放在有root權(quán)限的內(nèi)存中，那么一旦這些指令得到了運(yùn)行，黑客就以root權(quán)限控制了系統(tǒng)，達(dá)到入侵的目的。緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運(yùn)行的程序的功能，使攻擊者獲得程序的控制權(quán)。

緩沖區(qū)溢出的一般攻擊步驟為：在程序的地址空間里安排適當(dāng)?shù)拇a（植入法或利用已存在的代碼），然后，通過(guò)適當(dāng)?shù)牡刂烦跏蓟拇嫫骱痛鎯?chǔ)器，讓程序跳到黑客安排的地址空間中執(zhí)行（如激活紀(jì)錄、函數(shù)指針或長(zhǎng)跳轉(zhuǎn)緩沖區(qū)等）。

2.2欺騙類(lèi)攻擊

TCP/IP協(xié)議本身的一些缺陷可以被利用，使黑客可以對(duì)TCP/IP網(wǎng)絡(luò)進(jìn)行攻擊，網(wǎng)絡(luò)欺騙的技術(shù)主要有：HoneyPot和分布式HoneyPot、欺騙空間技術(shù)等。主要方式有：IP欺騙；ARP欺騙；DNS欺騙；Web欺騙；電子郵件欺騙；以IP欺騙攻擊為例說(shuō)明如下，其的實(shí)施步驟為：選定目標(biāo)主機(jī)——發(fā)現(xiàn)主機(jī)間的信任模式——使被信任主機(jī)葬失工作能力——TCP序列號(hào)的取樣和預(yù)測(cè)——冒充被信任主機(jī)進(jìn)入系統(tǒng)，并留下后門(mén)供以后使用。2.3對(duì)防火墻的攻擊

一般來(lái)說(shuō)，防火墻的抗攻擊性很強(qiáng)，可是它也不是不可攻破的。其實(shí)，防火墻也是由軟件和硬件組成的，在設(shè)計(jì)和實(shí)現(xiàn)上都不可避免地存在著缺陷。對(duì)防火墻的探測(cè)攻擊技術(shù)有：Firewalking技術(shù)、Hping。

繞過(guò)防火墻認(rèn)證的攻擊手法有：地址欺騙和TCP序號(hào)協(xié)同攻擊、IP分片攻擊、Tcp/Ip會(huì)話劫持、協(xié)議隧道攻擊、干擾攻擊、利用FTP-pasv繞過(guò)防火墻認(rèn)證的攻擊。

直接攻擊防火墻系統(tǒng)的常見(jiàn)手法有：CiscoPix防火墻的安全漏洞：CiscoPIX防火墻的拒絕服務(wù)漏洞、CISCOPIX防火墻FTP漏洞允許非法通過(guò)防火墻。

2.4利用病毒攻擊

病毒是黑客實(shí)施網(wǎng)絡(luò)攻擊的有效手段之一，它具有傳染性、隱蔽性、寄生性、繁殖性、潛伏性、針對(duì)性、衍生性、不可預(yù)見(jiàn)性和破壞性等特性，而且在網(wǎng)絡(luò)中其危害更加可怕，目前可通過(guò)網(wǎng)絡(luò)進(jìn)行傳播的病毒已有數(shù)萬(wàn)種，可通過(guò)注入技術(shù)進(jìn)行破壞和攻擊。

計(jì)算機(jī)病毒攻擊的傳播途徑有電子郵件、傳統(tǒng)的軟盤(pán)、光盤(pán)、BBS、WWW瀏覽、FTP文件下載、新聞組、點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線通信系統(tǒng)等。

2.5木馬程序攻擊

特洛依木馬是一種騙子程序，提供某些功能作為誘餌，背地里干一些鬼事，當(dāng)目標(biāo)計(jì)算機(jī)啟動(dòng)時(shí)，木馬程序隨之啟動(dòng)，然后在某一特定的端口監(jiān)聽(tīng)，在通過(guò)監(jiān)聽(tīng)端口收到命令后，木馬程序根據(jù)命令在目標(biāo)計(jì)算機(jī)上執(zhí)行一些操作，如傳送或刪除文件，竊取口令，重新啟動(dòng)計(jì)算機(jī)等。常見(jiàn)的特洛伊木馬程序有：BO、Netspy、Netbus等。

3.常見(jiàn)的攻擊：

3.1DoS攻擊

DoS攻擊的方式主要是利用合理的服務(wù)請(qǐng)求，來(lái)占用過(guò)多的網(wǎng)絡(luò)帶寬和服務(wù)器資源，致使正常的連接請(qǐng)求無(wú)法得到響應(yīng)。常見(jiàn)的DoS攻擊方法有：SYNFlood攻擊、Land攻擊、Smurf攻擊、UDP攻擊等。下圖2為DoS攻擊的基本過(guò)程。

3.2DDoS攻擊原理

DDoS主要采用了比較特殊的3層客戶(hù)機(jī)/服務(wù)器結(jié)構(gòu)，即攻擊端、主控端和代理端，這3者在攻擊中各自扮演著不同的角色。攻擊者：攻擊者所用的計(jì)算機(jī)是攻擊主控臺(tái)，可以是網(wǎng)絡(luò)上的任何一臺(tái)主機(jī)，甚至可以是一個(gè)活動(dòng)的便攜機(jī)。攻擊者操縱整個(gè)攻擊過(guò)程，它向主控端發(fā)送攻擊命令。主控端：主控端是攻擊者非法侵入并控制的一些主機(jī)，這些主機(jī)還分別控制大量的代理主機(jī)。主控端主機(jī)的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來(lái)的特殊指令，并且可以把這些命令發(fā)送到代理主機(jī)上。代理端：代理端同樣也是攻擊者侵入并控制的一批主機(jī)，它們上面運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來(lái)的命令。代理端主機(jī)是攻擊的執(zhí)行者，真正向受害者主機(jī)發(fā)送攻擊。攻擊者發(fā)起DDoS攻擊的第一步，就是尋找在Internet上有漏洞的主機(jī)，進(jìn)入系統(tǒng)后在其上面安裝后門(mén)程序，攻擊者入侵的主機(jī)越多，他的攻擊隊(duì)伍就越壯大。第二步在入侵主機(jī)上安裝攻擊程序，其中一部分主機(jī)充當(dāng)攻擊的主控端，一部分主機(jī)充當(dāng)攻擊的代理端。最后各部分主機(jī)各司其職，在攻擊者的調(diào)遣下對(duì)攻擊對(duì)象發(fā)起攻擊。這種3層客戶(hù)機(jī)/服務(wù)器結(jié)構(gòu)，使DDoS具有更強(qiáng)的攻擊能力，并且能較好地隱藏攻擊者的真實(shí)地址。下圖3為DDoS的攻擊原理。

DDoS攻擊一旦實(shí)施，攻擊數(shù)據(jù)包就會(huì)像洪水般地從四面八方涌向被攻擊主機(jī)，從而把合法用戶(hù)的連接請(qǐng)求淹沒(méi)掉，導(dǎo)致合法用戶(hù)長(zhǎng)時(shí)間無(wú)法使用網(wǎng)絡(luò)資源。

3.3Trinoo攻擊軟件攻擊實(shí)例

DDoS攻擊不斷在Internet出現(xiàn)，并在應(yīng)用的過(guò)程中不斷的得到完善，已有一系列比較成熟的軟件產(chǎn)品，如Trinoo、獨(dú)裁者DDoS攻擊器、DdoSer、TFN、TFN2K等。

Trinoo攻擊功能的實(shí)現(xiàn)，是通過(guò)三個(gè)模塊付諸實(shí)施的：1、攻擊守護(hù)進(jìn)程（NS）；2、攻擊控制進(jìn)程（MASTER）；3、客戶(hù)端（NETCAT，標(biāo)準(zhǔn)TELNET程序等）。攻擊守護(hù)進(jìn)程N(yùn)S是真正實(shí)施攻擊的程序，它一般和攻擊控制進(jìn)程（MASTER）所在主機(jī)分離，在原始C文件NS.C編譯的時(shí)候，需要加入可控制其執(zhí)行的攻擊控制進(jìn)程MASTER所在主機(jī)IP，（只有在NS.C中的IP方可發(fā)起NS的攻擊行為）編譯成功后，黑客通過(guò)目前比較成熟的主機(jī)系統(tǒng)漏洞破解（如RPC.CMSD，RPC.TTDBSERVER，RPC.STATD）可以方便的將大量NS植入因特網(wǎng)中有上述漏洞主機(jī)內(nèi)。NS運(yùn)行時(shí)，會(huì)首先向攻擊控制進(jìn)程（MASTER）所在主機(jī)的31335端口發(fā)送內(nèi)容為HELLO的UDP包，標(biāo)示它自身的存在，隨后攻擊守護(hù)進(jìn)程即處于對(duì)端口27444的偵聽(tīng)狀態(tài)，等待MASTER攻擊指令的到來(lái)。

攻擊控制進(jìn)程（MASTER）在收到攻擊守護(hù)進(jìn)程的HELLO包后，會(huì)在自己所在目錄生成一個(gè)加密的名為...的可利用主機(jī)表文件，MASTER的啟動(dòng)是需要密碼的，在正確輸入默認(rèn)密碼gOrave后，MASTER即成功啟動(dòng)，它一方面?zhèn)陕?tīng)端口31335，等待攻擊守護(hù)進(jìn)程的HELLO包，另一方面?zhèn)陕?tīng)端口27665，等待客戶(hù)端對(duì)其的連接。當(dāng)客戶(hù)端連接成功并發(fā)出指令時(shí)，MASTER所在主機(jī)將向攻擊守護(hù)進(jìn)程ns所在主機(jī)的27444端口傳遞指令。

客戶(hù)端不是Trinoo自帶的一部分，可用標(biāo)準(zhǔn)的能提供TCP連接的程序，如TELNET，NETCAT等，連接MASTER所在主機(jī)的27665端口，輸入默認(rèn)密碼betaalmostdone后，即完成了連接工作，進(jìn)入攻擊控制可操作的提示狀態(tài)。

Trinoo運(yùn)行的總體輪廓可用圖4說(shuō)明：

圖4DDoS的攻擊原理

攻擊實(shí)例：被攻擊的目標(biāo)主機(jī)victimIP為：5ns被植入三臺(tái)sun的主機(jī)里，他們的IP對(duì)應(yīng)關(guān)系分別為client1：1client2：2client3：3master所在主機(jī)為masterhost：4首先我們要啟動(dòng)各個(gè)進(jìn)程，在client1，2，3上分別執(zhí)行ns，啟動(dòng)攻擊守護(hù)進(jìn)程，其次，在master所在主機(jī)啟動(dòng)mastermasterhost#./master??gOrave（系統(tǒng)示輸入密碼，輸入gOrave后master成功啟動(dòng)）Trinoov1.07d2+f3+c[Mar202000：14：38：49]（連接成功）在任意一臺(tái)與網(wǎng)絡(luò)連通的可使用telnet的設(shè)備上，執(zhí)行：telnet427665Escapecharacteris'^]'.betaalmostdone（輸入密碼）Trinoov1.07d2+f3+c..[rpm8d/cb4Sx/]Trinoo>（進(jìn)入提示符）Trinoo>mping（我們首先來(lái)監(jiān)測(cè)一下各個(gè)攻擊守護(hù)進(jìn)程是否成功啟動(dòng)）mping：SendingaPINGtoeveryBcasts.Trinoo>PONG1Receivedfrom1PONG2Receivedfrom2PONG3Receivedfrom3（成功響應(yīng)）Trinoo>mtimer60（設(shè)定攻擊時(shí)間為60秒）mtimer：Settingtimeronbcastto60.Trinoo>dos5DoS：Packeting5至此一次攻擊結(jié)束，此時(shí)ping5，會(huì)得到icmp不可到達(dá)反饋，目標(biāo)主機(jī)此時(shí)與網(wǎng)絡(luò)的正常連接已被破壞。由于Trinoo尚未采用IP地址欺騙，因此在被攻擊的主機(jī)系統(tǒng)日志里我們可以看到如下紀(jì)錄：Mar2014:40：34victimsnmpXdmid：Willattempttore-establishconnection.Mar2014:40：35victimsnmpdx：errorwhilereceivingapdufrom1.59841：Themessagehasawrongheadertype(0x0)Mar2014:40：35victimsnmpdx：errorwhilereceivingapdufrom2.43661：Themessagehasawrongheadertype(0x0)Mar2014:40：36victimsnmpdx：errorwhilereceivingapdufrom192316831.13.40183：Themessagehasawrongheadertype(0x0)Mar2014:40：36victimsnmpXdmid：ErrorreceivingPDUThemessagehasawrongheadertype(0x0).Mar2014:40：36victimsnmpXdmid：Errorreceivingpacketfromagent;rc=-1.Mar2014:40：36victimsnmpXdmid：Willattempttore-establishconnection.Mar2014:40：36victimsnmpXdmid：ErrorreceivingPDUThemessagehasawrongheadertype(0x0).Mar2014:40：36victimsnmpXdmid：Errorreceivingpacketfromagent;rc=-1.4.常見(jiàn)的網(wǎng)絡(luò)安全防范措施：

4.1網(wǎng)絡(luò)級(jí)安全檢測(cè)與防范

目前比較流行的網(wǎng)絡(luò)級(jí)安全防范措施是使用專(zhuān)業(yè)防火墻

通過(guò)編寫(xiě)防火墻規(guī)則，可以讓系統(tǒng)知道什么樣的信息包可以進(jìn)入、什么樣的應(yīng)該放棄，如此一來(lái)，當(dāng)黑客發(fā)送有攻擊性信息包的時(shí)候，在經(jīng)過(guò)防火墻時(shí)，信息就會(huì)被丟棄掉，從而防止了黑客的進(jìn)攻。如天網(wǎng)防火墻，安裝后進(jìn)入自定義IP規(guī)則，進(jìn)行設(shè)置：

（1）禁止互聯(lián)網(wǎng)上的機(jī)器使用我的共享資源。

（2）禁止所有人的連接。

（3）禁止所有人連接低端口。

（4）允許已經(jīng)授權(quán)的程序打開(kāi)端口，這樣一切需要開(kāi)放的端口程序都需要審批。但是不要勾選“系統(tǒng)設(shè)置”里的“允許所有應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)，并在規(guī)則記錄這些程序”，這個(gè)設(shè)置是防范反彈木馬和鍵盤(pán)記錄的秘密武器。4.2及時(shí)備份重要數(shù)據(jù)

亡羊補(bǔ)牢，如果數(shù)據(jù)備份及時(shí)，即便系統(tǒng)遭到黑客進(jìn)攻，也可以在短時(shí)間內(nèi)修復(fù)，挽回不必要的經(jīng)濟(jì)損失。想國(guó)外很多商務(wù)網(wǎng)站，都會(huì)在每天晚上對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行備份，在第二天清晨，無(wú)論系統(tǒng)是否收到攻擊，都會(huì)重新恢復(fù)數(shù)據(jù)，保證每天系統(tǒng)中的數(shù)據(jù)庫(kù)都不會(huì)出現(xiàn)損壞。數(shù)據(jù)的備份最好放在其他電腦或者驅(qū)動(dòng)器上，這樣黑客進(jìn)入服務(wù)器之后，破壞的數(shù)據(jù)只是一部分，因?yàn)闊o(wú)法找到數(shù)據(jù)的備份，對(duì)于服務(wù)器的損失也不會(huì)太嚴(yán)重。然而一旦受到黑客攻擊，管理員不要只設(shè)法恢復(fù)損壞的數(shù)據(jù)，還要及時(shí)分析黑客的來(lái)源和攻擊方法，盡快修補(bǔ)被黑客利用的漏洞，然后檢查系統(tǒng)中是否被黑客安裝了木馬、蠕蟲(chóng)或者被黑客開(kāi)放了某些管理員賬號(hào)，盡量將黑客留下的各種蛛絲馬跡和后門(mén)分析清除、清除干凈，防止黑客的下一次攻擊。

4.3使用加密機(jī)制傳輸數(shù)據(jù)

對(duì)于個(gè)人信用卡、密碼等重要數(shù)據(jù)，在客戶(hù)端與服務(wù)器之間的傳送，應(yīng)該先經(jīng)