網絡攻擊的種類分析及安全防范策略

李 寧

摘 要:網絡安全問題已經引起了人們的普遍關注,成為當今網絡技術的一個重要研究課題。本文首先概括了網絡安全及攻擊行為的三個階段,之后分析了網絡攻擊的幾種手段及其產生的原理,并就其中典型的拒絕服務攻擊、同步(SYN)攻擊、Web欺騙攻擊和TCP/IP欺騙攻擊方式進行了探討,最后就普通用戶最常遇到的兩種攻擊方式做了簡要分析。

關鍵詞:網絡安全 攻擊 欺騙 防范

隨著Internet的進一步發展,各種網上活動日益頻繁,尤其網上辦公、交易越來越普及,使得網絡安全問題日益突出,各種各樣的網絡攻擊層出不窮,如何防止網絡攻擊,為廣大用戶提供一個安全的網絡環境變得尤為重要。

一、網絡攻擊概述

網絡攻擊一般分為三個階段:

第一階段:獲取一個登錄賬號

對UNLX系統進行攻擊的首要目標是設法獲取登錄賬號及口令,攻擊者一般先試圖獲取存在于/etc/passwd或NIS映射中的加密口令文件,得到該口令文件之后,就對其運行Crack,借助于口令字典,Crack甚至可以在幾分鐘內破譯一個賬號。

第二階段:獲取根訪問權

進入系統后,入侵者就會收集各種信息,尋找系統中的種種漏洞,利用網絡本身存在的一些缺陷,設法獲取根訪問權,例如未加限制的NFS允許根對其讀和寫。利用NFS協議,客戶與服務器的安裝守護程序先交換信息,信息交換后,生成對NFS守護程序的請求,客戶通過這些請求對服務器上的文件進行讀或寫操作。因此,當客戶機安裝文件系統并打開某個文件時,如果入侵者發出適當的UDP數據報,服務器就將處理NFS請求,同時將結果回送客戶,如果請求是寫操作,入侵者就可以把信息寫入服務器中的磁盤。如果是讀操作,入侵者就可以利用其設置于服務器和客戶機之間的窺探器了解服務器磁盤中的信息,從而獲得根訪問權。

第三階段:擴展訪問權

一旦入侵者擁有根訪問權,則該系統即可被用來供給網絡上的其他系統。例如:可以對登錄守護程序做修改以便獲取口令;增加包窺探儀可獲取網絡通信口令;利用一些獨立軟件工具動態地修改UNLX內核,以系統中任何用戶的身份截擊某個終端及某個連接,獲得遠程主機的訪問權。

二、攻擊的種類及其分析

1.拒絕服務攻擊

拒絕服務攻擊不損壞數據,而是拒絕為用戶服務,它往往通過大量不相關的信息來阻斷系統或通過向系統發出毀滅性的命令來實現。例如入侵者非法侵入某系統后,可向與之相關連的其他系統發出大量信息,最終導致接收系統過載,造成系統誤操作甚至癱瘓。這種供給的主要目的是降低目標服務器的速度,填滿可用的磁盤空間,用大量的無用信息消耗系統資源,使服務器不能及時響應,并同時試圖登錄到工作站上的授權賬戶。

2.同步(SYN)攻擊

同步攻擊與拒絕服務攻擊相似,它摧毀正常通信握手關系。在SYN攻擊發生時,攻擊者的計算機不回應其他計算機的ACK,而是向他發送大量的SYN ACK信息。通常計算機有一缺省值,允許它持特定樹木的SYN ACK信息,一旦達到這個數目后,其他人將不能初始化握手,這就意味著其他人將不能進入系統,因此最終有可能導致網絡的崩潰。

3.Web欺騙攻擊

Web欺騙的關鍵是要將攻擊者偽造的Web服務器在邏輯上置于用戶與目的Web服務器之間,使用戶的所有信息都在攻擊者的監視之下。一般Web欺騙使用兩種技術:URL地址重寫技術和相關信息掩蓋技術。

利用URL地址重寫技術,攻擊者重寫某些重要的Web站點上的所有URL地址,使這些地址均指向攻擊者的Web服務器,即攻擊者可以將自己的Web站點的URL地址加到所有URL地址的前面。當用戶與站點進行安全鏈接時,則會毫無防備地進入攻擊者服務器。此時用戶瀏覽器首先向攻擊者服務器請求訪問,然后由攻擊者服務器向真正的目標服務器請求訪問,目標服務器向攻擊服務器傳回相關信息,攻擊者服務器重寫傳回頁面后再傳給用戶。此時瀏覽器呈現給用戶的的確是一個安全鏈接,但連接的對象卻是攻擊者服務器。用戶向真正Web服務器所提交的信息和真正Web服務器傳給用戶的所有信息均要經過攻擊者服務器,并受制于它,攻擊者可以對所有信息進行記錄和修改。

由于瀏覽器一般均設有地址欄和狀態欄,當瀏覽器與某個站點連接時,可以在地址欄中和狀態欄中獲取連接中的Web站點地址及相關的傳輸信息,用戶可由此發現問題,所以一般攻擊者往往在URL地址重寫的同時,利用相關信息掩蓋技術來掩蓋地址欄和狀態欄信息,以達到其掩蓋欺騙的目的。

4.TCP/IP欺騙攻擊

IP欺騙可發生在IP系統的所有層次上,包括硬件數據鏈路層、IP層、傳輸層及應用層均容易受到影響。如果底層受到損害,則應用層的所有協議都將處于危險之中。另外,由于用戶本身不直接與底層結構相互交流,有時甚至根本沒有意識到這些結構的存在,因而對底層的攻擊更具欺騙性。

IP欺騙供給通常是通過外部計算機偽裝成另一臺合法機器來實現的。他能破壞兩臺機器間通信鏈路上的正常數據流,也可以在通信鏈路上插入數據,其偽裝的目的在于哄騙網絡中的其他機器誤將攻擊者作為合法機器而加以接受,誘使其他機器向它發送數據或允許它修改數據。

由于許多應用程序最初設計時就是把信任建立于發送方的IP地址簿,即如果包能夠使其自身沿著路由到達目的地,并且應答包也可以回到原地,則可以肯定源IP地址是有效的。因此一個攻擊者可以通過發送有效IP源地址屬于另一臺機器的IP數據報來實施欺騙。

一方面現有路由器的某些配置使得網絡更容易受到IP欺騙攻擊。因此利用這一點網絡外不用戶只要設法表明是一種內部IP地址即可繞過路由器發送報。

另一方面,攻擊者使用偽造的IP地址發送數據報,不僅可以獲取數據報特有的有效請求,還可以通過預測TCP字節順序號迫使接收方相信其合法而與之進行連接,從而達到TCP欺騙連接。

一個TCP連接包括三個階段:(1)建立連接;(2)數據交換;(3)斷開連接。其中最關鍵的就是數據交換。TCP協議為每個數據字節分配自己的順序號,每個TCP頭包含一個順序域。TCP數據交換中客戶方以發送帶有SYN標志的TCP頭為開始,發送一個或多個TCP/IP數據包,接受方回送包含SYN及ACK標志的頭答復送方的SYN頭。

初始的順序號是隨機的,當接受方接收到客戶的序列號后首先要進行確認,如果確認號域有效,它就對應于下一個期望數據字節的順序號,并設置ACK標志。攻擊者利用偽造的IP地址成功地發送數據報后,只是獲得這些數據報特有的有效請求,要獲得些請求的答復還必須預測到TCP順序號。攻擊者對順序號的預測是一個估計與猜測的過程。攻擊者可以在客戶與服務器之間設置窺探儀來確定初始順序號,一旦攻擊者獲取了連接的初始順序號,就可以通過估算發送者發送給接收者的TCP/IP數據量計算出下一個期望的順序號,即下一個期望的順序號為:數據量+初始順序號。而事實上,一些TCP/IP實現并不完全采用隨機方式分配初始順序號,而是由一個簡單的隨機數生成器產生。這種生成器按某種固定的次序產生數據,因此實際上可能的初始順序號只能在一個有限的范圍內,這樣預測起來就會更加方便。預測獲得的順序號只是一個估計值,它一般可分為三種情況考慮。

第一種情況:預測值正好等于下一順序號

若偽造的數據報遲于合法數據報到達且其包含的數據報少于合法數據報,則接收方將完全丟棄偽造的數據報;如果若偽造的數據報遲于合法數據報到達但其數據報包含的數據多于合法數據報,則接收方將接收偽造數據報中順序號大于合法數據報的那部分內容,同時丟棄順序號與合法數據報重疊部分的內容;若偽造的數據報早于合法數據報到達,則接收方將丟棄合法數據報內容。

第二種情況:預測值大于下一個順序號

在這種情況下,接收方將丟棄其中超過窗口域(即輸入緩沖區)中的部分內容,而將前面部分內容放入緩沖區中,待下一期望順序號與第一個偽造數據報字節順序號間的空當被合法數據填滿之后,再為接收方接收。

第三種情況:預測值小于下一個順序號

在這種情況下,偽造數據報中的前面部分內容肯定會被丟棄,但是如果偽造數據報內容足夠多,則接收方有可能接受其后面的內容。

三、網絡上常見的幾種攻擊方式及其防范

用戶在撥號上網時,如果選擇了“保存密碼”的功能,則上網密碼將被儲存在windows目錄中,以“username.pwl”的形式存放。如果不小心被別人看到這個文件,那就麻煩了,因為從網上可以很輕松地找到諸如pwlview這樣的軟件來觀看其中的內容,那上網密碼就泄漏了。

那么該如何防范密碼不被攻擊呢?應從以下方面入手:(1)不用生日、電話號碼、名字等易于猜到的字符做密碼。(2)上網時盡量不選擇保存密碼。(3)每隔半個月左右更換一次密碼。

木馬程序是一種特殊的病毒,它通過修改注冊表等手段潛伏在系統中,在用戶上網后,種植木馬的黑客通過服務器端木馬程序控制用戶的計算機,獲取用戶的口令等重要信息,其危害性非常大。

預防木馬程序應從以下幾方面入手:(1)安裝反病毒防火墻。(2)對于不明來歷的電子郵件要謹慎對待,不要輕易打開其附件文件。(3)不要隨便從一些小站點下載軟件,應從較大的知名網站上下載。

四、結束語

本文闡述了網絡攻擊的一般步驟,較詳細地介紹了幾種常見的網絡攻擊手段的原理,并提出了一些可行的防范網絡攻擊的策略,希望本文能夠為網絡管理員或一般的網絡使用者在制訂網絡安全策略時起到有益的參考。

參考文獻

1.(美)海吉著,羅進文等譯.《網絡安全技術與解決方案》.人民郵電出版社,2009.3.1

2.(美)斯托林斯(Stallings,W.)著,孟慶樹等譯.密碼編碼學與網絡安全——原理與實踐(第四版).電子工業出版社,2006.11.1

3.龍冬陽.網絡安全技術及應用.華南理工大學出版社,2006.2.1

4.王繼剛.揭秘Web應用程序攻擊技術.水利水電出版社,2009.5.1 ■