网络安全防御体系的构建研究(毕业设计论文)(编辑修改稿)

网络安全防御体系的构建研究(毕业设计论文)(编辑修改稿)内容摘要：

CIMP 包响应。 虽然对路由器进行了禁止网外的 CIMP 广播包的进入 , 但是黑客很可能已经攻破了网络内部的某台主机 ,黑客仍然可以使用网络上这台被他控制的这台主机发起 Smurf 攻击。  黑客攻击的目标应采取的措施 对被攻击的目标而言 ,要防止接受到大量的 CIMPECHOREPYL 包的攻击 没有一个简单的解决办法 ,甚至要防止受到其他类型的 DoS 攻击都没有太好的 办法 ,Yahoo!等站点被 DoS 攻击这一事实就说明了这一点。 虽然可以对被攻 击网络的路由器进行配置 ,禁止 CIMPECHOREPLAY 包的进入 ,但这并不能 阻止网络路由器到其 IsP 之间的网络拥塞。 这样 ,较为妥当的解决办法是与其 SIP 协商 ,由 IsP 暂时阻止这样的垃圾流量。 另外 ,被攻击目标应及时与被黑客利 用而发起攻击的中间网络管理员联系。  黑客攻击实际发起的网络应采取的措施 于从本网络向外部网络发送的数据包 ,本网络应该将目的地址为 其他网 络的这部分数据包过滤掉。 虽然当前的 IP 协议技术不可能消除 IP 伪造数据包 , 但使用过滤技术可以减少这种伪造发生的可能。 . 分片攻击 (Fragment Attacks) 种攻击方法利用了 TCP/P协议的弱点 ,第一种形式的分片攻击是 ,有一些 TCP/IP协议实现中 ,对 IP 分段出现重叠时并不能正确地处理。 例如 ,当黑客远程向目标主机发送 IP的片段 ,然后在目标主机上重新构造成一个无效的 UDP 包 ,这个无效的 UDP 包使得目标主机处于不稳定状态。 一旦处于不稳定状态 ,被攻击的目标主机要么处于蓝屏幕的停机状 常州大学本科毕业设计（论文） 第 5 页 共 58 页 态 ,要么死机或重新启动。 类似这样的黑客攻击工具有 :Teardorp,NewTear,Bokn 和 Boikn等。 第二种形式的分片攻击是 ,一些 TCP/P 的实现对出现一些特定的数据包会呈现出脆弱性。 例如 ,当黑客远程向目标主机发出的 SYN 包 ,其源地址和端口与目标主机的地址和端口一致时 ,目标主机就可能死机或挂起。 典型这样的黑客工具是 :LAND。 . 带外数据包攻击 /Nuking(Out of Band) 向一个用户 Windows 系统的 139 口 (NetBIOS 的端口 ),发送带外数据包 OOB(垃圾数据 ),Windows 不 知如何处理这些 OOB,可以远程造成该用户系统运行异常。 对方用户只有重新启动才能正常工作。 . 分布式拒绝服务攻击 DDOS 传统 DoS 攻击的缺点是 :  受网络资源的限制。 黑客所能够发出的无效请求数据包的数量要受到其主机出口带宽的限制。  隐蔽性差。 如果从黑客本人的主机上发出拒绝服务攻击 ,即使他采用伪造 IP 地址等手段加以隐蔽 ,从网络流量异常这一点就可以大致判断其位置 ,与 IsP合作还是较容易定位和缉拿到黑客的。 而 DDoS 却克服了以上两个致命弱点。  隐蔽性更强。 通过间接操纵因特网上 “无辜 ”的计算机实施攻击 ,突破了传统攻击方式从本地攻击的局限性和不安全性。  攻击的规模可以根据情况做得很大 ,使目标系统完全失去提供服务的功能。 所以 ,分布式网络攻击体现了对黑客本人能力的急剧放大和对因特网上广阔资源的充分利用。 由于攻击点众多 ,被攻击方要进行防范就更加不易。 对 Yahoo!等世界上最著名站点的成功攻击证明了这一点。 . 拒绝服务攻击小结  分布式网络攻击 NAistribetNdeowrAcs)成为黑客的主要攻击手段 ,这也是未来连接在 常州大学本科毕业设计（论文） 第 6 页 共 58 页 因特网上机构所面临的严重威胁之一。 DNA 攻击形式是随着因特网快速发展的必然结果。 现在是 DDoS 攻击 ,那么下一次攻击也许就是分布式欺骗 (Dsitributedspoofing)、分布式监听 (Distibutedsniffing) 、 或 者 是 分 布 式 分 段 攻 击(DistibutedFragmentationAttack)。  从根本上还是要维护好上网主机的安全性。  SIP 与 SIP 之间、 IsP 与网络管理员管理员之间相互协调合作 ,共同对付 DoS。 . 恶意软件 (Malicious Software) . 逻辑炸弹 (Logical Bomb) 它是一种程序 ,在特定的条件下 (通常是由于漏洞 )会对目标系统产生破坏作用。 . 后门 (Backdoor) 它是一种程序 ,允许黑客远程执行任意命令。 一般情况下 ,黑客攻破某个系统后 ,即使系统管理员发现了黑客行为并堵住了系统的漏洞 ,为了能够再次访问该系统 ,黑客往往在系统中安放这样的程序。 . 蠕虫 (Worm) 它是一种独立的程序 ,能够繁殖并从一个系统到另一个系统传播其自身的拷贝 ,通常在整个网络上。 像病毒一样 ,蠕虫可以直接破坏数据 ,或者因消耗系统资源而减低系统性能 ,甚至使整个网络瘫痪。 最著名的就是 1988 年 Morrsi 因特网蠕虫事件。 . 病毒（ Virus) 它是一种程序或代码但并不是独立的程序 ),能够在当前的应用中自我复制 ,并且可以附着在其他程序上。 病毒也能够通过过度占用系统资源而降低系统性能 ,使得其他合法的授权用户也不能够正常使用系统资源。 . 特洛伊木马 (Trojan) 一种独立的、能够执行任意命令的程序。 特洛伊木马往往能够执行某种有 常州大学本科毕业设计（论文） 第 7 页 共 58 页 用的功能 ,而这种看似有用的功能却能够隐藏在其中的非法程序。 当合法用户 使用这样合法的功能时 ,特洛伊木马也同时执行了非授权的功能 ,而且通常篡 夺了用户权限。 . 恶意软件攻击方法小结 恶意软件通常能够造成严重的安全威胁 ,秘密的信息可以被截获和发送到敌手处 ,关键的信息可以被修改 ,计算机的软件配置可以被改动以允许黑客进行连续的入侵。 排除恶意软件的威胁代价是高昂的。 采取预防措施和教育用户所花费的代价 ,要比被攻击后恢复的代价要低的多。 （一） 制定一个保护计算机防止被病毒等恶意软件威胁的计划。 这样的计划应该包括要保护计算机被病毒和其他恶意软件威胁 ,系统管理员和合法用户应该拥有的明确责任。 例如 ,确定谁有权在计算机上下载和安装软件。 谁负责检测和清除恶意软件 ,用户还是管理员。 禁止用户运行从 E 一 MAIL 上接收到的可执行文件、禁止从公共站点上下载软件等。 （二） 安装有 效的反病毒等工具。 要考虑反病毒等工具要进行脱线备份 ,以防止它们可能被病毒等恶意软件修改而失去检测功能。 应积极地经常在线检测 ,同时也要不时进行脱线检测 ,以确保在线检测工具的正常功能。 一般情况下 ,这种方法在初始安装和配置操作系统时最为可靠。 （三） 教育用户预防和识别病毒等恶意软件的技术 用户应该接受诸如病毒等恶意软件传播及防止它们进一步传播的教育。 这包括教育用户在装载和使用公共软件之前 ,要使用安全扫描工具对其进行检测。 另外 ,许多病毒等恶意软件有一定的特点 ,用户应该得到一定的识别知识 ,并且能够使用 适当的软件清除。 最好能够及时进行新类型的安全威胁以及入侵方面的教育。 （四） 及时更新清除恶意软件的工具 许多反恶意软件的工具 ,如反病毒软件 ,使用已知恶意软件特征的数据库 ,而新类型 常州大学本科毕业设计（论文） 第 8 页 共 58 页 的恶意软件不断地出现 ,因此 ,检测软件应该不断地更新以确保有最新的检测版本。 否则 ,结果是只能自认为安全的自欺欺人。 . 利用脆弱性 (Exploiting Vulnerabilites) . 访问权限 (Aceess Permissions) 黑客利用系统文件的读 /写等访问控制权限配置不当造成的弱点 ,获取系统的访问权。 . 蛮力攻击 (Brute Force) 黑客通过多次尝试主机上默认或安全性极弱的登录 /口令 ,试登录到某个帐号。 还有一种形式是采用口令破解程序 ,对用户加密后的口令文件进行破解 ,如使用 Cracker、LophtCracker、 NTCrack 等破解软件。 . 缓冲区溢出 (Buffer Overflow) 一种形式的缓冲区溢出攻击是黑客本人编写并存放在缓冲区后任意的代码 ,然后执行这些代码。 这对黑客的技术水平要求很高 ,一般的黑客少有此举。 另一种形式的缓冲区溢出攻击是程序代码编写时欠考虑。 典型的一种形式是对用 户输入的边界检查问题。 例如 ,C 语言中 ,函数地 eto 不对用户输入的数量进行检查 ,如果程序员不考虑这个情况就会出问题。 统计表明 ,在操作系统和应用软件中 ,因为编写的原因 ,其中约有 30%的代码存在着缓冲区溢出的漏洞。 这就是为什么现在针对缓冲区溢出的攻击事件不断地发生的主要原因。 有理由相信 ,随着某些操作系统和应用软件源代码的公布 ,还会有更多的类似攻击事件的发生。 . 信息流泄露 (Race Condition) 黑客利用在某个程序执行时所产生的某些暂时的不安全条件 ,例如在执行 SUID 时执行用户具有同被执行程序的属主同等权限 ,这样执行用户就可以获得对某些敏感数据的访问权。 常州大学本科毕业设计（论文） 第 9 页 共 58 页 . 利用脆弱性小结 计算机和计算机网络构成了一个复杂的大系统 ,这个大系统内部又有各种型号和计算机、各种版本的服务和各种类型的协议构成 ,不可能保证计算机系统的硬件、软件 (操作系统和应用软件 )、网络协议、系统配置等各方面都完美无缺 ,黑客就能够发现并利用这些缺陷来进行攻击。 解决这方面的问题 ,一是教育 ,教育用户树立安全意识 ,如注意口令的设置、正确配置设备和服务等。 二是不断地升级系统软件和应用软件的版本 ,及时安装 “补丁 ”软件。 . 操纵 IP 包 (IP Packet manipulation) . 端口欺骗 (Port spoofing) 利用常用服务的端口 ,如 20/53/80/1024 等 ,避开包过滤防火墙的过滤规则。 . 划整为零 (Tiny fargments) 黑客将正常长度的数据包分解为若干小字节的数据包 ,从而避开防火墙过滤规则 ,如对 nga 币。 川 siez 等的检测规则等。 . “盲 ”IP 欺骗 (Blind IP spoofing) 改变源 IP 地址进行欺骗。 这种 IP 欺骗称为 “盲 ”IP 欺骗 ,是因为黑客修改其发送数据包的源地址后 ,不能与目标主机进行连接并收到来自目标主机的 响应。 但是 ,这种 “盲 ”IP欺骗往往是黑客能够事先预计到目标主机可能会做出的响应而构成其他攻击的组成部分。 例如 ,前面所将到的 Smurf 攻击 ,黑客事先预计到网络上的计算机会对 CIMP 广播包做出响应 ,从而达到攻击预定目标的目的。 而黑客本人却无意接收网络上计算机的任何回应。 容易受到 IP 欺骗攻击脆弱的服务包括 :SunRPCamp。 NFS。 BSD UNIX“r”命令。 X windows其他任何使用 IP 地址认证的应用。 对 IP 欺骗攻击的防范中 ,路由器的正确设置最为关键和重要。 如果路由器没有正确 常州大学本科毕业设计（论文） 第 10 页 共 58 页 设置 ,对声称源地址是本网络的进网数据包不进行过滤 ,则容易使 IP 欺骗攻击得逞。 下面三种路由器配置情况下 ,都可能遭致 “盲 ”IP 欺骗攻击 :  在应用代理防火墙中 ,应用代理使用源 IP 地址进行认证。  为了支持将内部网络再划分为子网 ,配备具有两个接口的路由器。  与外部不可信网络相连的路由器支持多个内部接口 盲 IP 欺骗可能造成严重的后果 ,基于 IP 源地址欺骗的攻击可穿过过滤路由器 (防火墙 ),并可能获得受到保护的主机的 root 权限。 针对这种攻击行为可以采取以下措施 :  检测  使用网络监视软件 ,例如 log 软件 ,监视外来的数据包。 如果发现 外部接口上通过的数据包 ,其源地址和目的地址与内部网络的一致 , 则可以断定受到IP 欺骗攻击。  另一个办法是比较内部网络中不同系统的进程统计日志。 如果 IP 欺 骗对内部某个系统进行了成功地攻击 ,该受到攻击主机的日志会记录这样的访问 ,“攻击主机 ”的源地址是内部某个主机。 而在 “攻击主机 ”上查找日志时 ,却没有这样的记录。  防治措施 防治 “盲 ”IP 欺骗攻击的最佳办法是 :安装配置过滤路由器 ,限制从外部来的进网流量 ,特别是要过滤掉那些源地址声称是内部网络的进网数据包。 不仅如此 ,过滤路由器还要过滤掉那些声称源地址不是本网络的出网数据包 ,以防止 IP 欺骗从本网络发生。 . 序列。