浅析黑客攻击与防范

浅析黑客攻击与防范

摘要：本文就目前网络安全领域存在的普遍问题进行了探讨，列举和分析了目前黑客进行网络攻击所采取的主要技术手段，并针对这些网络攻击方法提出了相应的防范与保护措施。

关键词：网络攻击 木马 缓冲区溢出 IP欺骗 服务攻击 防火墙

Abstract :In this paper, the general network security issues were discussed. We list and analyze the main techniques used by hackers when they perform attacks, and propose the corresponding prevention and protection measures.

Keyword: network attacks, trojan, buffer overflow, IP spoofing, service attacks, firewall

1. 引言

随着互联网的发展，在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要原因.单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展为了提高计算机网络的安全性,必须了解计算机网络的不安全因素和网络攻击的方法同时采取相应的防御措施。

2.典型的网络入侵与攻击方式

2.1 特洛伊木马

特洛伊木马(简称木马)是一种C/S结构的网络应用程序，一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，实时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。木马的服务器端程序通常是嵌入到主机的合法程序中，随合法程序运行后独立工作，或者作为单独的程序在设定的条件下自动运行，极具隐蔽性和危害性。

2.2 缓冲区溢出

缓冲区溢出是指当计算机向缓冲区内填充数据位数时超过了缓冲区本身的容量溢出的数据覆盖在合法数据上,理想的情况是程序检查数据长度并不允许输入超过缓冲区长度的字符,但是绝大多数程序都会假设数据长度总是与所分配的储存空间相匹配,这就为缓冲区溢出埋下隐患.操作系统所使用的缓冲区 又被称为\"堆栈\". 在各个操作进程之间,指令会被临时储存在\"堆栈\"当中,\"堆栈\"也会出现缓冲区溢出。缓冲区溢出可能会带来两种结果：一是过长的内容覆盖了相邻的存储单元，引起程序运行失败，严重的可导致系统崩溃；二是破坏程序的堆栈，使程序转而执行其它的指令，由此而引发多种攻击方法。缓冲区溢出一直引起许多严重的安全性问题。

2.3 网络扫描器

扫描器是一种自动检测远程或本地主机安全脆弱点的程序，通过使用扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本，能够根据

漏洞信息分析系统脆弱点，生成扫描报告。常用的扫描方法有利用网络命令、端口扫描和漏洞扫描三种。黑客就可以利用它间接的或直观的了解到远程主机所存在的安全问题。常用的扫描方法有利用网络命令、端口扫描和漏洞扫描三种。

2.4 拒绝服务攻击

拒绝服务攻击是利用合理的服务请求来占用过多的服务资源，致使目标主机服务超载，停止提供服务或资源访问。这些服务资源包括网络带宽、磁盘容量、内存、进程等。拒绝服务攻击是由于网络协议本身的安全缺陷造成的，这种攻击会导致资源的匮乏，无论目标主机速度多快、容量多大、网络环境多好都无法避免这种攻击。拒绝服务攻击能实现两种效果：一是迫使目标主机的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使目标主机把合法用户的连接复位，影响合法用户的连接。

拒绝服务攻击是一种遍布全球的系统漏洞，无数黑客醉心于此，而无数的网络用户将成为这种攻击的受害者。

2.5 网络监听

网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。

当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在

同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。即在同一条物理信道上传输的所有信息都可以被接收到。正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。

2.6 IP欺骗

IP欺骗是利用TCP/IP协议本身的安全缺陷实现攻击的，它通过盗用合法的IP地址，获取目标主机的信任，进而访问目标主机上的资源。

目前，许多安全性解决方案都依赖于精确的IP地址，所以不论目标主机上运行的是何种操作系统，IP欺骗攻击都是容易实现的，这些攻击包括序列号欺骗、路由攻击、源地址欺骗和授权欺骗。

3 防范网络入侵和攻击的主要技术

在网络环境下，由于种种原因，网络被入侵和攻击是难免的。但是，通过加强管理和采用必要的技术手段可以减少入侵和攻击行为，避免因入侵和攻击造成的各种损失。下面就介绍几种主要的防范入侵和攻击的技术措施。

3.1 网络访问控制技术

访网络访问控制技术是网络安全防范和保护的主要核心策略，它的主要任务是保证网络资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识别的基

础上，根据身份对提出资源访问的请求加以控制。网络访问控制技术是对网络信息系统资源进行保护的重要措施，也是计算机系统中最重要和最基础的安全机制。

入网访问控制通过对用户名、用户密码和用户帐号默认权限的综合验证、检查来限制用户对网络的访问，它能控制哪些用户、在什么时间以及使用哪台主机入网。入网访问控制为网络访问提供了第一层访问控制。

网络用户一般分为三类：系统管理员用户，负责网络系统的配置和管理；普通用户，由系统管理员创建并根据他们的实际需要为其分配权限；审计用户，负责网络系统的安全控制和资源使用情况的审计。用户入网后就可以根据自身的权限访问网络资源。权限控制通过访问控制表来规范和限制用户对网络资源访问，访问控制表中规定了用户可以访问哪些目录、子目录、文件和其它资源，指定用户对这些文件、目录等资源能够执行哪些操作。

3.2 防火墙技术

防火墙是一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，是不同网络安全域间通信流的惟一通道，它能根据有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为。防火墙是网络安全的屏障，是提供安全信息服务、实现网络安全的基础设施之一。

防火墙能极大地提高一个内部网络的安全性，防止来自被保护区域外部的攻击，并通过过滤不安全的服务而降低风险；能防止内部信息外泄和屏蔽有害信息，利用防火墙对内部网络的划分，可以实现内部网络重点网段的隔离，限制安全问题扩散，从而降低了局部重点或敏感网络安全问题对全局网络造成的影响；能强化网络安全策略，将局域网的安全管理集中在一起，便于统一管理和执行安全策略；能严格监控和审计进出网络的信息，如

果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

3.3 数据加密技术

数据加密技术要求只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加解密，这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。

数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法，这种变换受“密钥”控制。常用的数据加密技术有私用密钥加密技术和公开密钥加密技术。私用密钥加密技术利用同一个密钥对数据进行加密和解密，这个密钥必须秘密保管，只能为授权用户所知，授权用户既可以用该密钥加密信息，也可以用该密钥解密信息。DES是私用密钥加密技术中最具代表性的算法。公开密钥加密技术采用两个不同的密钥进行加密和解密，这两个密钥是公钥和私钥。如果用公钥对数据进行加密，只有用对应的私钥才能进行解密；如果用私钥对数据进行加密，则只有用对应的公钥才能解密。公钥是公开的，任何人可以用公钥加密信息，再将密文发送给私钥拥有者。私钥是保密的，用于解密其接收的用公钥加密过的信息。目前比较安全的采用公开密钥加密技术的算法主要有RSA算法及其变种Rabin算法等。

3.4 入侵检测技术

入侵检测是对传统安全产品的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完

整性。

它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。它能监视分析用户及系统活动，查找用户的非法操作，评估重要系统和数据文件的完整性，检测系统配置的正确性，提示管理员修补系统漏洞；能实时地对检测到的入侵行为进行反应，在入侵攻击对系统发生危害前利用报警与防护系统驱逐入侵攻击，在入侵攻击过程中减少入侵攻击所造成的损失，在被入侵攻击后收集入侵攻击的相关信息，作为防范系统的知识，添加入侵策略集中，增强系统的防范能力，避免系统再次受到同类型的入侵攻击。

入侵检测作为一动态安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵，它与静态安全防御技术(防火墙)相互配合可构成坚固的网络安全防御体系。

3.5 安全审计

网络安全审计就是对企业网络安全的脆弱性进行测试、评估、分析的过程。它就是在一个特定的网络环境下，为了保障网络和数据不受来自外网和内网用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件，以便集中报警、分析、处理的一种技术手段，它是一种积极、主动的安全防御技术。其目的是为了在最大限度内保障网络与信息的安全。

网络安全是动态的，对已经建立的系统，如果没有实时的、集中的可视化审计，就不

能及时评估系统的安全性和发现系统中存在的安全隐患。

计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计，加强安全教育，增强安全责任意识。目前，网络安全审计系统主要包含以下几种功能：采集多种类型的日志数据、日志管理、日志查询、入侵检测、自动生成安全分析报告、网络状态实时监视、事件响应机制、集中管理。

3.6 网络安全管理

安全管理就是指为实现信息安全的目标而采取的一系列管理制度和技术手段，包括安全检测、监控、响应和调整的全部控制过程。需要指出的是，不论多么先进的安全技术，都只是实现信息安全管理的手段而已，信息安全源于有效地管理，要使先进的安全技术发挥较好的效果，就必须统一安全管理平台，来总体配置、调控整个网络多层面、分布式的安全系统，实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模块之间的互动，从而有效简化网络安全管理工作，提升网络的安全水平和可控制性、可管理性，降低用户的整体安全管理开销。

4 结束语

计算机网络信息安全是一项复杂的系统工程，涉及技术、设备、管理和制度等多方面的因素，安全解决方案的制定需要从整体上进行把握，认真分析各种可能的入侵和攻击形式，采取有效的技术措施，制定合理的网络安全策略和配套的管理办法，防止因网络入侵和攻击造成的经济损失。

参考文献

[1] 袁德月，乔月圆.计算机网络安全.电子工业出版社.2007年6月

[2] 谢瑞春.浅析黑客的攻击及防范对策.科技广场。2009年3月

[3] (美)福斯特 等著，蔡勉 译.缓冲区溢出攻击——检测、剖析与预防.清华大学出版社.2006年12月

[4] 李振汕.黑客攻击与防范方法研究.网络安全技术与应用.2008年1月

[5] GA-T_391-2002_计算机信息系统安全等级保护管理要求

[6] 袁德月，乔月圆.缓冲区溢出的分析与防范.计算机应用. 2008年6月

[7] 武新华，翟长森等编著．黑客攻防秘技大曝光．清华大学出版社．2006．

[8] 梅云红.计算机网络安全隐患与防范策略的探讨.计算机与信息技术.2007年09期

[9] 宋劲松.网络入侵检测—分析、发现和报告攻击.国防工业出版社.2004年9月