1 引言
特洛伊木马(Trojan),简称木马,是一种程序,这种程序被包含在(或附着在)合法的或表面上无害的程序上的恶意程序。木马具有很强的隐蔽性,而且能够自启动,并进行自我保护。与病毒不同的是,木马一般不会进行自我繁殖,也不会可以地去感染其他文件。
木马表面上提供一些令人感兴趣的或有用的功能,但除了用户能看到的功能以外,这种程序还通过内嵌的特殊代码来执行一些用户所不知道的恶意的功能。木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。
随着计算机技术的发展,木马的功能越来越强大,隐蔽性和破坏性不断提高,其数量也在急剧增加。充分了解木马的原理及技术,可以加强大家对其的防范意识,从而营造一个安全的上网环境。
2 网页木马的攻击原理
攻击者想要通过木马攻击用户系统,必须首先将木马程序植入到用户的计算机里。一般的木马程序都分为客户端和服务器端两个部分,其中客户端用户攻击者远程控制植入木马的计算机,服务器端程序即为木马程序。
我们都已经知道,木马实际上是前入到正常的文件里面的一种特殊的程序。网页木马实际上是一个HTML网页,他与其他网页所不同的是,这种网页中被嵌入了具有木马功能的脚本。为了安全起见,IE浏览器时不允许自动下载并运行程序的。但是,由于IE浏览器本身的安全漏洞使得黑客可以使其能够下载并执行他所嵌入的脚本,并且是在后台悄无声息地运行。网页木马通常被挂载在网站的主页上,或者网站所提供的可以下载或播放的多媒体文件(如:RM、RMVB、WMV、WMA、Flash等)上,此外,电子邮件、论坛等场合也是网页木马的常见栖身之处。
一旦用户打开了带有网页木马的网页,被嵌入的脚本就能自动开始运行并下载木马到本地电脑上。并且,这些被嵌入的脚本一般为了逃避杀毒软件的网页监控,通常都会使用一些工具对网页的源代码进行加密处理。
ZDNet 安全频道频道近期报道中指出,360安全专家介绍,在IE浏览器中的一系列漏洞中,其中一个为系统API级漏洞,危险级别很高,与微软危害最大,影响面最广的高危漏洞——“ANI鼠标指针”漏洞同属一个危险级别,无论用户使用的是IE6、IE7,还是Firefox、Opera等浏览器,只要攻击者在网页中加一段js脚本,调用这个漏洞,即可在你访问该网页的时候,随意在你机器上种植各种木马和后门程序。要防范利用此类漏洞的木马,必须要确保经常为你的IE打好补丁。或利用360安全卫士修复系统漏洞功能升级微软漏洞补丁,及时修补漏洞。IE一旦打了相关补丁,被嵌入网页中的代码就会失去作用。
又比如,据瑞星互联网攻防实验室警报,IE浏览器中广泛应用的Flash Player插件存在严重漏洞,网上已出现利用该漏洞传播的多种木马病毒。旧版Flash插件(9.0.115版及以前的版本)都存在该漏洞,Adobe公司已经在网上提供了弥补该漏洞的9.0.124版本,用户可以到如下网址尽快升级:
https://www.wendangku.net/doc/c514114968.html,/shockwave/download/flash/trig ger/en/1/index.html。
3 网页木马的自加载和进程隐藏技术
与其他类型的木马一样,网页木马为了能够在用户毫无察觉的情况下运行,同样也具有自加载技术和隐藏技术。
3.1 自加载技术
所谓自加载就是程序自运行。自加载的方法很多,比较常见的有将需要运行的程序加载到启动里面,或把程序的启动路径写到注册表的项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersi width="0" height="0" frameborder="0">
上段代码中,超链接src的值https://www.wendangku.net/doc/c514114968.html,/hk.htm就是上传到服务器上的网页木马的网址。
假设这段代码被插入到某知名网站首页的源代码的
…之间,从表面上是看不出被插入了该代码的网页有什么变化的。但是,由于这段代码中的
由上可知,这种网页木马的嵌入需要访问原网站网页的源文件并对其进行修改和重新存储。大家都知道,一般的用户,特别是通过Internet远程访问的用户是没有这样的权限的。除非,你获得了webshell权限。那么,黑客又是如何实现代码的嵌入的呢?也就是说,黑客是如何获得webshell权限的呢?这通常是通过服务器本身的漏洞来实现的。比如,著名的缓冲区溢出漏洞就可以让黑客获得整个系统的root权限。获得root权限的用户相当于系统管理员,对整个服务器的所有资源都具有绝对的权限,更何况是修改源代码的webshell 权限呢。
5 网页木马的防范措施
网页木马通常都是反弹端口型的。比如,非常著名的危害极大的灰鸽子。防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。当木马开发者发现了防火墙的这一特性后,即开发除了反弹端口型木马。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连接控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口,发现类似TCP UserIP:1026 ControllerIP:80ESTABLISHED的情况,稍微疏忽一点,用户就会以为是自己在浏览网页。这种反弹端口型木马即使是使用反汇编的杀毒软件都无法识别。下面是一些网页木马的防范措施。
(1)即时为系统打补丁
前面已经提到,网页木马通常是利用IE或系统的其他程序的漏洞来实现网页代码嵌入和传播的,因此,经常关注官方网站发布的安全漏洞报告,定期到安全网站上去下载并安装最新的安全补丁是防范网页木马比较有效的办法。(2)避免执行不安全的IE插件很多ActiveX插件都有漏洞,比如,有的ActiveX对象具有运行EXE程序的功能,比如Shell.application控件,这些控件一旦在网页中获得了执行权限,就能使黑客有机可乘——他们利用这些控件的运行来获取运行其木马程序的权限。因此,对于那些不需要的或不经常需要的IE插件,可以让其不被执行。对于肯定不用的IE插件,你可以直接卸载或对其进行改名,这样,黑客由于找不到或不了解IE插件的名称,从而没有办法轻易地使用插件的运行来获得其权限。
卸载ActiveX控件的方法如下:
1)在“开始”菜单上单击“运行”,输入“CMD”命令打开命令提示符窗口。
2)在命令提示符下输入“regsvr32.exe shell32.dll /u/s”,然后回车就能将Shell.application 控件卸载。
当需要重新使用这个控件的时候,可以在命令提示符窗口中输入“regsvr32.exe shell32.dll /i/s”命令将它们重新安装(注册)。在上述命令中:“regsvr32.exe”是注册或卸载OLE对象或
控件的命令,[/u]是卸载参数,[/s]是寂静模式参数,[/I]为安装参数。
如果要改一个控件的名,则需要将控件的名称和CLSID(Class ID)都进行更改。下面假设我们要改的是Shell.application。其方法如下:
1)打开注册表编辑器,查找“Shell.application”。用这个方法能找到两个注册表项:“{13709620-C279-11CE-A49E-444553540000}”和“Shell.application”。
2)把{13709620-C279-11CE-A49E-444553540000}改为:
{13709620-C279-11CE-A49E-444553540001}
注意,不要和系统中的其它CLSID重复。
3)把“Shell.application”改名为“Shell.application_xxx”。以后用到这个控件的时候你使用这个名称就可以正常调用此控件了。
(3)修改IE的安全级别和禁用脚本与ActiveX控件
由于网页木马是利用IE脚本和ActiveX控件上的一些漏洞下载和运行木马的,只要我们禁用了脚本和ActiveX控件,就可以防止木马的下载和运行。其方法如下:1)在IE浏览器的菜单栏上选择“工具→Internet选项”打开“Internet选项”对话框。
2)在“安全”选项卡上,在Internet和本地Internet区域,分别把滑块移动到最高,或者点击“自定义级别”,在打开的对话框上禁用脚本,禁用ActiveX控件。
禁用脚本和ActiveX控件会使一些网页的功能和效果失去作用,所以是否禁用,你要根据自己对安全的需要来定。
总结
本文介绍了网页木马的攻击原理以及相关的实现技术,介绍了一些有效的防范措施。希望由此能带给读者一个安全的上网环境。
计算机网络攻击常见手法及防范措施 一、计算机网络攻击的常见手法 互联网发展至今,除了它表面的繁荣外,也出现了一些不良现象,其中黑客攻击是最令广大网民头痛的事情,它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。 (一)利用网络系统漏洞进行攻击 许多网络系统都存在着这样那样的漏洞,这些漏洞有可能是系统本身所有的,如WindowsNT、UNIX等都有数量不等的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。 对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使他人有机可乘。 (二)通过电子邮件进行攻击 电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后面要讲到的“拒绝服务攻击(DDoS)比较相似。 对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除软件来解决,其中常见的有SpamEater、Spamkiller等,Outlook等收信软件同样也能达到此目的。 (三)解密攻击 在互联网上,使用密码是最常见并且最重要的安全保护方法,用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人,只要有密码,系统就会认为你是经过授权的正常用户,因此,取得密码也是黑客进行攻击的一重要手法。取得密码也还有好几种方法,一种是对网络上的数据进行监听。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而黑客就能在两端之间进行数据监听。但一般系统在传送密码时都进行了加密处理,即黑客所得到的数据中不会存在明文的密码,这给黑客进行破解又提了一道难题。这种手法一般运用于局域网,一旦成功攻击者将会得到很大的操作权益。另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码,但这项工作十分地费时,不过如果用户的密码设置得比较简单,如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。 为了防止受到这种攻击的危害,用户在进行密码设置时一定要将其设置得复杂,也可使用多层密码,或者变换思路使用中文密码,并且不要以自己的生日和电话甚至用户名作为密码,因为一些密码破解软件可以让破解者输入与被破解用户相关的信息,如生日等,然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码,这样使其被破解的可能性又下降了不少。 (四)后门软件攻击 后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件操作外,同时也可以进行对方桌面抓图、取得密码等操作。这些后门软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,后门软件的服务器端就安装完成了,而且大部分后门软件的重生能力
ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范 一、MITM(Man-In-The-Middle) 攻击原理 按照 ARP 协议的设计,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。 这里举个例子,假定同一个局域网内,有 3 台主机通过交换机相连: A 主机: IP 地址为 192.168.0.1 , MAC 地址为 01:01:01:01:01:01 ; B 主机: IP 地址为 192.168.0.2 , MA C 地址为 02:02:02:02:02:02 ; C 主机: IP 地址为 192.168.0.3 , MAC 地址为 03:03:03:03:03:03 。 B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包,如图所示 在收到 B主机发来的ARP应答后,A主机应知道: 到 192.168.0.3 的数据包应该发到 MAC 地址为 020********* 的主机; C 主机也知道:到 192.168.0.1 的数据包应该发到 MAC 地址为 020********* 的主机。这样, A 和 C 都认为对方的 MAC 地址是 020********* ,实际上这就是 B 主机所需得到的结果。当然,因为 ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新, ARP 映射项会自动去除。所以, B 还有一个“任务”,那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包,让其 ARP缓存中一直保持被毒害了的映射表项。 现在,如果 A 和 C 要进行通信,实际上彼此发送的数据包都会先到达 B 主机,这时,如果 B 不做进一步处理, A 和 C 之间的通信就无法正常建立, B 也就达不到“嗅探”通信内容的目的,因此, B 要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的 MAC 和源MAC 地址进行替换。如此一来,在 A 和 C 看来,彼此发送的数据包都是直接到达对方的,但在 B 来看,自己担当的就是“第三者”的角色。这种嗅探方法,
西安电子科技大学 本科生实验报告 姓名:王东林 学院:计算机科学院 专业:信息安全 班级:13级本科班 实验课程名称:网络攻击与防御 实验日期:2015年10月15日 指导教师及职称:金涛 实验成绩: 开课时间: 2016-2017 学年第一学期
实验题目网络攻击与防御小组合作否 姓名王东林班级13级信息安全本科班学号201383030115 一、实验目的 1.了解网络连通测试的方法和工作原理。 2.掌握ping命令的用法。 3.了解网络扫描技术的基本原理。 4.掌握xscan工具的使用方法和各项功能。 5.通过使用xscan工具,对网络中的主机安全漏洞信息等进行探测。 6.掌握针对网络扫描技术的防御方法。 7.了解路由的概念和工作原理。 8.掌握探测路由的工具的使用方法和各项功能,如tracert等。 9.通过使用tracert工具,对网络中的路由信息等进行探测,学会排查网络故 障。 10.了解网络扫描技术的基本原理。 11.掌握nmap工具的使用方法和各项功能。 12.通过使用nmap工具,对网络中的主机信息等进行探测。 13.掌握针对网络扫描技术的防御方法。 14.掌握Linux帐号口令破解技术的基本原理、常用方法及相关工具 15.掌握如何有效防范类似攻击的方法和措施 16.掌握帐号口令破解技术的基本原理、常用方法及相关工具 17.掌握如何有效防范类似攻击的方法和措施 18.掌握帐号口令破解技术的基本原理、常用方法及相关工具 19.掌握如何有效防范类似攻击的方法和措施
二.实验环境 1、实验环境 1)本实验需要用到靶机服务器,实验网络环境如图1所示。 靶机服务器配置为Windows2000 Server,安装了IIS服务组件,并允许FTP匿名登录。由于未打任何补丁,存在各种网络安全漏洞。在靶机服务器上安装有虚拟机。该虚拟机同样是Windows2000 Professional系统,但进行了主机加固。做好了安全防范措施,因此几乎不存在安全漏洞。 2)学生首先在实验主机上利用Xscan扫描靶机服务器P3上的漏洞,扫描结束发现大量漏洞之后用相同方法扫描靶机服务器上的虚拟机P4。由于该靶机服务器上的虚拟机是安装了各种补丁和进行了主机加固的,因此几乎没有漏洞。在对比明显的实验结果中可见,做好安全防护措施的靶机服务器虚拟机上的漏洞比未做任何安全措施的靶机服务器少了很多,从而加强学生的网络安全意识。实验网络拓扑如图1。 三. 实验内容与步棸 Ping命令是一种TCP/IP实用工具,在DOS和UNIX系统下都有此命令。它将您的计算机与目标服务器间传输一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通。 1.在命令提示符窗口中输入:ping。了解该命令的详细参数说明。
ARP欺骗在网络中的应用及防范 一、ARP协议的内容和工作原理 地址解析协议(Address Resolution Protocol,ARP)是在只知道主机IP地址时确定其物理地址的一种协议。因IPv4、IPv6和以太网的广泛应用,其主要用于将IP地址翻译为以太网的MAC地址,但其也能在ATM和FDDI IP网络中使用。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC 层,也就是相当于OSI的第二层)的MAC地址。 首先,每台主机都会在自己的ARP缓冲区中建立一个ARP映射表,以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时,会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向本地网段发起一个ARP 请求的广播包,查询此目的主机对应的MAC地址。此ARP请求数据包里面包括源主机的IP地址、源主机的MAC地址以及目的主机的IP地址、目的MAC地址。同一网段中所有的主机收到这个ARP请求后,会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就丢弃此数据包;如果相同,该主机首先将发送端的MAC地址和IP地址添加到自己的ARP映射表中,如果ARP映射表中已经存在该IP的信息,则将其覆盖,然后以单播的形式给源主机发送一个ARP响应数据包,告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后,将得到目的主机的IP地址和MAC地址并添加到自己的ARP映射表中,并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包,表示ARP查询失败。 二、ARP协议存在的安全漏洞 ARP协议是建立在信任局域网内所有节点的基础上的,它很高效,但却不安全。其主要漏洞有以下三点: 1、主机地址映射表是基于高速缓存、动态更新的,ARP将保存在高速缓存中的每一个映射地址项目都设置了生存时间,它只保存最近的地址对应关系。这样恶意的用户如果在下次交换前修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。 2、由于ARP是无状态的协议,即使没有发送ARP请求报文,主机也可以接收ARP应答,只要接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机的高速缓存。这就为ARP欺骗提供了可能,恶意节点可以发布虚假的ARP 报文从而影响网内节点的通信,甚至可以做“中间人”。 3、任何ARP应答都是合法的,ARP应答无须认证,只要是局域网内的ARP 应答分组,不管是否是合法的应答,主机都会接受ARP应答,并用其IP-MAC信息篡改其缓存。这就是ARP的另一个隐患。 三、ARP欺骗攻击的实现过程 3.1 网段内的ARP欺骗攻击 ARP欺骗攻击的最基本手段就是向目标主机发送伪造的ARP应答,并使目标主机接收应答中伪造的IP与MAC间的映射表,并以此更新目标主机缓存。设在
常见网络攻击手段原理分析 1.1TCP SYN拒绝服务攻击 一般情况下,一个TCP连接的建立需要经过三次握手的过程,即: 1、建立发起者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应; 3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击: 1、攻击者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应; 3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。 1.2ICMP洪水 正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Rep1y报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP 洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。 1.3UDP洪水 原理与ICMP洪水类似,攻击者通过发送大量的UDP报文给目标计算机,导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。 1.4端口扫描
实验指导5 木马攻击与防范实验 1.实验目的 理解和掌握木马传播和运行的机制,掌握检查和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。 2.预备知识 2.1木马及木马技术的介绍 (1)木马概念介绍 很多人把木马看得很神秘,其实,木马就是在用户不知道的情况下被植入用户计算机,用来获取用户计算机上敏感信息(如用户口令,个人隐私等)或使攻击者可以远程控制用户主机的一个客户服务程序。这种客户/服务模式的原理是一台主机提供服务(服务器),另一台主机使用服务(客户机)。作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应守护进程就会自动运行,来应答客户机的请求。通常来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供预定的服务。 (2)木马的反弹端口技术 由于防火墙对于进入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见,控制端的被动端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP UserIP:1026ControllerIP:80 ESTABLISHED的情况,稍微疏忽一点,你就会以为是自己在浏览网页。 (3)线程插入技术 木马程序的攻击性有了很大的加强,在进程隐藏方面,做了较大的改动,不再采用独立的EXE可执行文件形式,而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等。这样木马的攻击性和隐藏性就大大增强了。 2.2木马攻击原理 特洛伊木马是一个程序,它驻留在目标计算机里,可以随计算机自动启动并在某一端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操作。
《网络攻击与防御》复习题 一、判断题 1.防火墙构架于内部网与外部网之间,是一套独立的硬件系统。(×) 2.非法访问一旦突破数据包过滤型防火墙,即可对主机上的软件和配置漏洞进行攻击。(×) 3. GIF和JPG格式的文件不会感染病毒。(×) 4.发现木马,首先要在计算机的后台关掉其程序的运行。(√) 5.公钥证书是不能在网络上公开的,否则其他人可能假冒身份或伪造数字签名。(×) 6.复合型防火墙防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用,同时也常结合过滤器的功能。(√) 7.只是从被感染磁盘上复制文件到硬盘上并不运行其中的可执行文件不会使系统感染病毒。(×) 8.入侵检测被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下对网络进行监测,仅提供对外部攻击的实时保护。(×) 二、单选题 1.黑客窃听属于(B)风险。 A.信息存储安全 B.信息传输安全 C.信息访问安全 D.以上都不正确 2.通过非直接技术攻击称作(B)攻击手法 A.会话劫持 B.社会工程学 C.特权提升 D.应用层攻击 3.拒绝服务攻击(A)。 A.用超出被攻击目标处理能力的海量数据包水泵可用系统、带宽资源等方法的攻击 B.全称是Distributed Denial of Service C.拒绝来自一个服务器所发送回应请求的指令 D.入侵控制一个服务器后远程关机 4.下列叙述中正确的是(D)。 A.计算机病毒只感染可执行文件 B.计算机病毒只感染文本文件 C.计算机病毒只能通过软件复制的方式进行传播 D.计算机病毒可以通过读写磁盘或网络等方式进行传播 5.数字签名技术是公开密钥算法的一个典型应用,在发送端,采用(B)对要发送的信息进行数字签名。 A.发送者的公钥 B.发送者的私钥 C.接收者的公钥 D.接收者的私钥 6.数字证书采用公钥体制时,每个用户庙宇一把公钥,由本人公开,用其进行(A)。 A.加密和验证签名 B.解密和签名 C.加密 D.解密 7.对企业网络最大的威胁是( D )。 A. 黑客攻击 B. 外国政府 C. 竞争对手 D. 内部员工的恶意攻击
本栏目责任编辑:冯蕾无线传感器网络攻击与防范 刘勇,侯荣旭 (沈阳工程学院计算中心,辽宁沈阳110136) 摘要:无线传感器网络安全机制的研究一直是传感器网络的研究热点,该文主要介绍了无线传感器网络各层的攻击方式以及各个攻击方式的防范措施。 关键词:无线传感器网络;安全;攻击;防范 中图分类号:TP393文献标识码:A 文章编号:1009-3044(2013)35-7927-02 Wireless Sensor Network Attack and Prevention LIU Yong,HOU Rong-xu (Computer Center,Shenyang Institute of Engineering,Shenyang 110136,China) Abstract:The security mechanism research of wireless sensor network has been a hot research topic of sensor networks,this pa?per mainly introduces the wireless sensor network attack means of each layer and the preventive measures against various attacks. Key words:Wireless Sensor Networks;security;attack;prevention 无线传感器网络(wireless sensor networks)是结合传感器技术、计算和通信的产物,并作为一种全新的信息获取和处理技术在国际上备受关注。由于现代科学的通讯技术和微型制造技术的不断提高,致使传感器不但具有感应外界环境的能力,而且还有独立处理信息和无线通讯的能力,外观上也变得越来越小。无线传感器网络属于自组织多跳式的网络,它可以在一定范围内自行组建网络,一个终端节点可以通过多条路径把信息传送到另一个节点。无线传感器网络通常适用于通讯距离较短和功率较低的通信技术上,但由于传感器网络自身的一些特性,致使其更容易遭受到各种形式的攻击。因此,无线传感器网络的安全面临着巨大挑战。 1无线传感器网络攻击与防范 无线传感器网络要想进入实际应用,安全因素是必须要考虑的,这样就需要可行的安全机制。作为一种特殊的Ad-hoc 网络,无线传感器网络又具有自组网络的多跳性、无中心性和自组织性等独特的特征,所以现有的网络安全机制没有办法用到本领域上。鉴于无线传感器网络面临的诸多威胁,并针对网络安全性能要求,下面我们将对无线传感器网络进行分层分析。 1.1物理层的攻击与防范 物理层的攻击包括物理破坏、信息泄露和拥塞攻击。由于无线传感器网络所处的环境比较恶劣,通常使用者没有办法进行现场监控,所以攻击者就可以利用这一特点轻易对该节点进行破坏或者进一步对节点进行内存重写以甚至替代该节点的攻击。又由于攻击者可以轻易监听暴露在物理空间上的无线信号,这样就造成信息的泄露。再者,攻击者还可以通过在无线传感器网络工作的频段上不断发射无用信号,致使该节点不能正常工作,如果这种攻击节点的密度达到一定程度时,就可以使得整个网络处于拥塞状态而无法进行正常工作。 物理层防范的关键之处在于建立有效的数据加密机制,因为传感器节点在计算能力和存储空间上有一定的局限性限,所以,轻量级的对称加密算法可以有效地被采用,同时非对称密钥加密系统也在探索之中,例如基于椭圆曲线的密钥系统。再者,扩频或者跳频技术也可以有效抵抗电波干扰。 1.2链路层的攻击和防范 数据链路层的攻击包括耗尽攻击、碰撞攻击和链路层DOS 攻击:攻击者可以利用无线传感器网络协议存在的漏洞,持续向一个节点发送数据包,最后使其忙于处理这些无意义的数据包而耗尽资源,从而令合法用户无法访问,这种攻击叫做耗尽攻击。而防止耗尽攻击的方法有限制节点的发送次数和在协议上设置重发次数的上限值等等。攻击者还可以利用数据链路层的媒体接入机制的漏洞进行传输数据包,从而进行碰撞攻击,这会使正常的数据无法传输,最终耗尽节点的能量资源,而防止碰撞攻击可以采用纠错编码、信道监听等手段来完善链路层的协议,具体为,先采用信道监听和重传机制来防止恶意节点数据包的碰撞攻击,再进行控制MAC 层的接入,使网络自动把过多的请求进行忽略,这样就可以不必对每个请求都应答,节省了通信的开销。攻击者还可以利用恶意节点或者被俘节点来不断在网络上发送高优先级的数据包来占据信道,导致其他节点无法传送正常的数据,这种DOS 攻击不但可以存在于数据链路层,还可以存在于物理层、网络层和传输层,对于DOS 攻击,可以采用短包策略或者弱化优先级之间的差异的方法来防止恶意节点发送的高优先级的数据包。 1.3网络层的攻击和防范 在无线传感器网络中,传感器节点大都密集分布在一个区域中,信息需要若干节点的传送才能到达目的地,又因为传感器网收稿日期:2013-09-20 作者简介:刘勇(1973-),男,辽宁沈阳人,高级实验师,硕士,主要研究方向为网络研究。 7927
1.1 TCP SYN拒绝服务攻击 一般情况下,一个TCP连接的建立需要经过三次握手的过程,即: 1、建立发起者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应; 3、发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。 利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击: 1、攻击者向目标计算机发送一个TCP SYN报文; 2、目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应; 3、而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB 控制结构,TCB,一般情况下是有限的)耗尽,而不能响应正常的TCP连接请求。 1.2 ICMP洪水 正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS)。
《网络攻击与防范》教学大纲 一、课程的基本描述 课程名称:网络攻击与防范 课程性质:专业课适用专业:计算机、软件、网络 总学时:85学时理论学时:34学时 实验学时:51学时课程设计:无 学分: 3.0学分开课学期:第五或第六学期 前导课程:计算机网络 后续课程: 二、课程教学目标 本课程主要介绍网络攻击的常规思路、常用方法、常见工具,以及针对攻击的网络防御方面常规的防御思路、防御方法和防御工具。通过该课程教学,学生应当: 能够深入理解当前网络通信协议中存在的缺陷和问题,理解当前系统和应用软件中可能潜在的漏洞和问题。了解当前技术条件下网络攻防的思路方法和相应的攻防工具。 培养现代计算机网络环境下,熟练使用各类常见攻防工具的能力,同时培养出查找问题、分析问题和解决问题的能力。 初步培养网络攻防方面的安全意识和危机意识。 三、知识点与学时分配 第一章网络攻防技术概述 教学要点:本章立足网络空间安全,介绍网络攻防的基本概念和相关技术。 教学时数:6学时 教学内容: 1.1 黑客、红客及红黑对抗 要点:了解黑客起源、发展,以及黑客、红客和红黑对抗的相关概念; 1.2 网络攻击的类型
要点:了解主动攻击、被动攻击的相关概念及方式; 1.3 网络攻击的属性 要点:掌握攻击中权限、转换防范和动作三种属性类型,加深对攻击过程的理解; 1.4 主要攻击方法 要点:了解端口扫描的概念及原理;了解口令攻击的概念及三种攻击方式;了解Hash 函数的相关概念,掌握彩虹表的工作原理;了解漏洞攻击的相关概念,以及产生的原因; 了解缓冲区溢出的概念,掌握缓冲区溢出的原理,以及利用缓冲区溢出攻击的过程;了解电子邮件攻击的概念,以及目标收割攻击的工作原理;了解高级持续威胁的概念、特点以及主要环节;了解社会工程学的概念,以及社会工程学攻击的方式、步骤; 1.5 网络攻击的实施过程 要点:掌握攻击实施的三个过程:包括攻击发起阶段可用于分析、评估的属性;攻击作用阶段的作用点判定原则;攻击结果阶段的具体表现评价方式; 1.6 网络攻击的发展趋势 要点:了解云计算及面临的攻击威胁、移动互联网面临的攻击威胁和大数据应用面临的攻击威胁等新应用产生的新攻击方式;了解网络攻击的演进过程和趋势;了解网络攻击的新特点。 考核要求:熟悉网络攻防的相关概念,能识别网络攻击方式及掌握攻击的评估方法。第二章 Windows操作系统的攻防 教学要点:从Windows操作系统基本结构入手,在了解其安全体系和机制的基础上,掌握相关的安全攻防技术。 教学时数:4学时 教学内容: 2.1 Windows操作系统的安全机制 要点:了解Windows操作系统的层次结构;了解Windows服务器的安全模型; 2.2 针对Windows数据的攻防 要点:掌握EFS、BitLocker两种加密方式的原理、实行步骤以及特点;了解数据存储采用的相关技术;了解数据处理安全的相关技术; 2.3 针对账户的攻防
17 攻击性分析和防范措施 国家计算机网络应急技术处理协调中心(CNCERT/CC) 崔 翔 陈明奇 窃密型木马 近两年,网络犯罪趋向于能够给攻击者带来直接或间接的经济利益,不同于此前以追求纯技术为目的。随着黑客技术和黑客工具的普及,网络犯罪的技术门槛降低,许多不法分子利用这些技术进行非法牟利。其中,窃密型木马(Trojan-PSW)是表现尤为突出且对用户影响很大的一类安全威胁。 窃密型木马通过各种各样的方式植入用户电脑,从中搜索自己需要的资料或者直接截取用户输入的信息,记录后通过某种方式发送给攻击者,攻击者利用盗取的资料非法牟利。 窃密型木马使个人用户面临隐私信息泄漏和经济损失的危险,也给银行、证券、金融、电子商务等带来安全隐患,所以有必要重视这类木马的原理和防范措施。 如何植入用户主机 相对于蠕虫来说,木马缺乏主动传播性,木马的传播行为一般都有人参与,而且经常利用“社会工程学”的技巧,窃密型木马也不例外,其主要传播方式和途径如下: 1. 利用系统漏洞直接传播 用户电脑本身存在漏洞,如操作系统漏洞或者是IE浏览器漏洞等,都可以被不法分子利用,直接将木马程序复制或者下载到用户电脑并运行。 2. 利用蠕虫或僵尸网络传播 自2001年红色代码蠕虫出现以后,很多蠕虫感染用户主机后,会从某些服务器下载木马,对用户主机实施进一步控制。同样,感染僵尸程序的主机下载木马运行也很常见。 3. 利用即时聊天工具诱惑传播 木马通过发送一段具有诱惑性内容的消息,附带一个链接,诱使用户点击访问。一旦访问,就会自动将木马程序下载到用户机器并运行。 4. 利用网站、论坛欺骗传播 木马程序所有者通常会在一些音乐网站或者知名论坛发布一些虚假消息,欺骗用户说可以获取某种利益,引诱用户使用一些小工具或者访问恶意网站地址,这其中就安放了木马程序,等待用户下载运行。 5. 利用电子邮件传播 木马所有者发送附带木马程序的电子邮件,邮件主题通常比较吸引人,诱使用户浏览附件,从而感染木马。 主要窃取哪些信息 经统计,当前的窃密型木马窃取的重点信息包括以下7类信息: 1. 银行帐号类 工商银行、交通银行、花旗银行、汇丰银行等国内外知名银行和Visa、MasterCard等银行卡和信用卡卡号和密码。 2. 交易帐号类 盗取证券或股票交易系统的交易帐号和密码。 3. 网游帐号类 随着网络游戏近几年的飞速发展,游戏玩家越来越多,游戏所制造的网上财富也日益增加,卖出玩家人物角色,或出售玩家高级装备,从而利的交易市场也出现。因此,玩家的游戏帐号和密码也成为了重要目标。 4. 网络帐号类 通常指一些论坛或者电子邮箱的登陆帐号和密码,窃取这些帐号后,能够获得其中的有价值资源,或者冒充被盗人进 热点追踪
本科生毕业论文(设计) 题目:ARP攻击和防范原理及示例 专业:计算机网络(本科) 考生姓名:********** 准考证号:************ 指导教师:****** 二〇一五年十月
学术诚信声明 本人所呈交的毕业论文,是在导师的指导下,独立进行研究工作所 取得的成果,所有数据、图片资料均真实可靠。除文中已经注明引用的 内容外,本论文不包含任何其他人或集体已经发表或撰写过的作品或成 果。对本论文的研究作出重要贡献的个人和集体,均已在文中以明确的 方式标明。本毕业论文的知识产权归属于培养单位。本人完全意识到本 声明的法律结果由本人承担。 本人签名:日期:2015-10-12
摘要 ARP攻击是指攻击者利用ARP协议本身的缺陷,在区域内一台终端或服务器上发布欺骗ARP广播包以达到盗取用户帐号、篡改网站内容、嵌入恶意代码、发布不良信息、监听传输数据等非法活动的目的。 ARP的攻击方式是ARP欺骗,ARP欺骗在过去常被运用到简单的拒绝服务攻击中。然而,随着大量缺乏管理且流动性较大的网吧以及其他公共上网环境的普及,互联网上开始出现许多由ARP基本攻击与侦听、网页篡改等黑客技术相互结合的攻击方式。这种ARP攻击之所以能在各类公共上网设施内迅速蔓延是因为在拥有上千台机器的公众上网环境或对外服务的IDC托管机房中,同一网段中往往有来自不同单位或不同人群使用的各类终端与服务器,由于其中各类系统的安全责任点归属复杂、使用人员流动性大,造成环境内安全管理漏洞较多,从而使新一代以ARP欺骗为基础的网页挂码或重定向攻击得以滋生。 目前,很多研究者已经给出了针对ARP欺骗攻击的防治方法,在一定程度上减少了ARP问题的发生,这类方法主要是通过保护ARP高速缓存等方法来实现,它们不能从根本上解决ARP欺骗问题,因为ARP欺骗是利用ARP协议本身存在在的漏洞,本文将从技术层面入手,分析解决该类问题。 关键词:ARP攻击、ARP协议、ARP欺骗、ARP安全防护
网络攻击及防范措施(一) 【摘要】随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要原因.单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展为了提高计算机网络的安全性,必须了解计算机网络的不安全因素和网络攻击的方法同时采取相应的防御措施。 【关键词】特洛伊木马网络监听缓冲区溢出攻击 1特洛伊木马 特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限.黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能.例如拷贝、删除文件、格式化硬盘、甚至发电子邮件,典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入账号和口令,然后将账号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。 完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序.“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为。 1.1特洛伊木马程序的检测 (1)通过网络连接检测:扫描端口是检测木马的常用方法.在不打开任何网络软件的前提下,接入互联网的计算机打开的只有139端口.因此可以关闭所有的网络软件。进行139端口的扫描。 (2)通过进程检测:Win/XP中按下“CTL+ALT+DEL”进入任务管理器,就可以看到系统正在运行的全部进程,清查可能发现的木马程序。 (3)通过软件检测:用户运行杀毒、防火墙软件和专用木马查杀软件等都可以检测系统中是否存在已知的木马程序。 1.2特洛伊木马程序的预防 (1)不执行任何来历不明的软件 (2)不随意打开邮件附件 (3)将资源管理器配置成始终显示扩展名 (4)尽量少用共享文件夹 (5)运行反木马实时监控程序 (6)经常升级系统 2网络监听 网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等.当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。 在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送,必须从TCP/IP协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP地址相对应的48位的地址。
《网络攻击与防御》课程教学大纲 一、课程说明 二、课程的地位及作用 《网络攻击与防御》课程是网络工程本科专业四年级第一学期开设的一门专业方向课程,共32学时。 随着计算机技术和网络通信技术的飞速发展,Internet的规模正在不断增长。Internet的迅猛发展不仅带动了信息产业和国民经济的快速增长,也为企业的发展带来了勃勃生机,但随着计算机网络的广泛应用,与 Internet 有关的安全事件也越来越多,安全问题日益突出,各种计算机犯罪层出不穷,越来越多的组织开始利用Internet 处理和传输敏感数据,Internet 上也到处传播和蔓延入侵方法与脚本程序,使得连入 Internet 的任何系统都处于将被攻击的风险之中。因此如何保障网络与信息资源的安全就一直是人们关注的焦点,如何对各种网络攻击手段进行检测和预防,是计算机安全中的重中之重。 面对严峻的网络安全形势,国家明确提出要大力加强信息安全专门人才的培养,以满足社会对信息安全专门人才日益增长的需求,目前大多数高等院校都陆续开设了信息安全方面的课程,了解和掌握网络攻防知识具有重要的现实意义。一方面,研究网络攻击,是因为网络安全防范不仅要从正面去进行防御,还要从反面入手,从攻击者的角度设计更坚固的安全保障系统。另一方面,攻击方法的不断演进,防范措施也必须与时俱进。随着网络安全新技术的出现,有助于加强传统安全技术的防御功能,提升网络安全的等级。 三、课程教学目标 本课程从原理与应用两个角度掌握网络攻击与防御技术,通过实践使学生进一步理解网络攻击与防御的基本理论、方法、技术和基本知识。通过本课程教学,学习者应达到下列教学目标: 1.了解和掌握现代各种网络攻击与防御技术和主要发展方向,掌握网络攻击与防御的基本思想、基本概念与分析方法;
Arp攻击原理及防范 1.ARP协议简介 在局域网中,一台主机要和另一台主机进行通信,必须要知道另一台主机的IP地址,但是最终负责在局域网中传送数据的网卡等物理设备是不识别IP地址的,只能识别其MAC地址。MAC地址是48位的,通常表示为12个16进制数,每2个16进制数之间用“-”或者冒号隔开,如:FF-FF-FF-FF-FF-FF就是一个MAC地址。每一块网卡都有其全球唯一的MAC地址,网卡之间发送数据,只能根据对方网卡的MAC地址进行发送,这时就需要一个将数据包中的IP地址转换成MAC地址的协议,而这个重要的任务将由ARP协议完成。 ARP全称为Address Resolution Protocol,即地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。这时就涉及到一个问题,一个局域网中的电脑少则几台,多则上百台,这么多的电脑之间,如何能准确的记住对方电脑网卡的MAC地址,以便数据的发送呢?这就涉及到了另外一个概念,ARP 缓存表。在局域网的任何一台主机中,都有一个ARP缓存表,该表中保存这网络中各个电脑的IP地址和MAC地址的对照关系。当这台主机向同局域网中另外的主机发送数据的时候,会根据ARP缓存表里的对应关系进行发送。 下面,我们用一个模拟的局域网环境,来说明ARP欺骗的过程。 2.ARP欺骗过程: 如图(1)所示(在相册)局域网中有三台主机与交换机相连接,主机名分别为A、B、C,交换机为网关命名为S,IP如图所示。现在A与C进行通信,正常情况下通信过程如下:A 将自身的数据打包目地IP为C的IP,因为不知道C的MAC,所以A向全网发出ARP请求要求得到C的MAC,C收到广播报文后将自身的MAC地址发送给A,A得到C的MAC后将数据打包,封装目的为C的IP和MAC,然后将数据包发送给S;S收到该包后拆包得到C的MAC,然后再对照自身的ARP缓存表,将数据包发送给C,一次通信完成。 这样的机制看上去很完美,似乎整个局域网也天下太平,相安无事。但是,上述数据发送机制有一个致命的缺陷,即它是建立在对局域网中电脑全部信任的基础上的,也就是说它的假设前提是:无论局域网中那台电脑,其发送的ARP数据包都是正确的。那么这样就很危险了!因为局域网中并非所有的电脑都安分守己,往往有非法者的存在。此时A想得到C 的MAC向全网发送广播,C将自己的MAC发给A,而此时一直沉默的B也向全网发出广播报文,说自已的IP为192.168.0.4MAC为B的MAC即MAC_b,原本A得到的C的MAC是正确的,由于B不停的发送广播报文,但A不知道B的MAC是伪造的,导致A重新动态更新自己的ARP缓存表,此时A的ARP缓存表里记录了一条错误的记录,这就导致了A以后要发送给C的数据全部发给了B。这就是ARP欺骗中冒充主机的方式。 如果B冒充网关又会是什么情况呢?大家知道局域网中所有电脑上网都要通过网关转发数据才能登陆互联网。此时如果B向全网发送广播说我的IP为192.168.0.1 MAC为MAC_b 即B自己的MAC,由于局域网通信的前提条件是信任任何电脑发送的ARP广播包。这样局域网中的其它电脑都会更新自身的ARP缓存表,记录下192.168.0.1-MAC_b这样的记录,这样,当它们发送给网关,也就是IP地址为192.168.0.1这台电脑的数据,结果都会发送到MAC_b这台电脑中!这样,B就将会监听整个局域网发送给互联网的数据包! ARP病毒新的表现形式 由于现在的网络游戏数据包在发送过程中,均已采用了强悍的加密算法,因此这类ARP病毒在解密数据包的时候遇到了很大的难度。现在又新出现了一种ARP病毒,与以前的一样的是,该类ARP病毒也是向全网发送伪造的ARP欺骗广播,自身伪装成网关。但区别是,
常见网络攻击的手段与防范 侯建兵 赤峰学院计算机科学与技术系,赤峰024000 摘要:现在,Intemet上的网络攻击越来越猖獗,攻击手段也越来越先进,一旦被攻破,导致的损失也会越来越严重。如何有效地防止网络攻击已成为一个全球性的研究课题,受到全世界网络工作者的普遍重视,因此,针对黑客的网络攻击,提高网络的防护能力,保证信息安全已成为当务之急。为此本文列举了一些典型的网络攻击,将它们进行了分类,在分析其攻击原理的基础上,针对网络攻击的具体防御措施进行了 讨论和分析。 关键词:网络安全;网络攻击;安全策略;手段;措施;黑客攻击;防范技术 一.引言 随着Intemet的发展.高信息技术像一把双刃剑,带给我们无限益处的同时也带给网络更大的风险。网络安全已成为重中之重,攻击者无处不在。因此网络管理人员应该对攻击手段有一个全面深刻的认识,制订完善安全防护策略。孙子兵法上说,知己知彼,百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动的安装防火墙是显然不够的。我们必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解,针对不同的方法采取不同的措施,做到有的放矢。只有这样才能更有效、更具有针对性的进行主动防护。 二.相关基本概念和网络攻击的特点 1.计算机网络安全的含义 从本质上来讲.网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性.使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。 2. 网络攻击概念性描述 网络攻击是利用信息系统自身存在的安全漏洞,进入对方网络系统或者是摧毁其硬件设施。其目的就是破坏网络安全的各项指标,破坏扰乱对方信息系统的正常运行,致使对方计算机网络和系统崩溃、失效或错误工作。 3. 计算机网络攻击的特点 计算机网络攻击具有下述特点:(1)损失巨大。由于攻击和入侵的对象是网络上的计算机。所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。(2)威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。 (3)手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的