阿虎网络攻击与防范技术研究毕业论文定稿

阿虎网络攻击与防范技术研究毕业论文定稿内容摘要：

WWW 目录夹里面，就可以通过编制 CGI 程序在被攻击主机上执行木马程序。 （ 3）通过电子邮件植入 比如在用户电子邮箱中收到故意谎称是网络管理员发来的某应用系统的升级文件，可能用户打开这个文件后，木马已经悄悄在后台运行了。 （ 4）通过系统的一些漏洞植入 如微软著名的 IIS 服务器溢出漏洞，通过一个 IISHACK 攻击程序就可以使IIS 服务器崩溃，并且同时在被攻击服务器执行远程木马文件。 木马在被植入被攻击的主机后，它一般会通过发 送电子邮件、发送 UDP 或者ICMP 数据包的方式把入侵主机的信息，如主机的 IP 地址、木马植入的端口等发送给攻击者，这样攻击者有这些信息才能够与木马里应外合控制被攻击的主机。 特洛伊木马程序的检测 在使用计算机的过程中可能遇到莫名其妙地死机或重启、计算机反应速度变慢、硬盘在不停地读写、鼠标不听使唤、键盘无效、窗口被莫名其妙地关闭和打开、网络传输指示灯一直在闪烁等不正常现象，有可能受到特洛伊木马程序的攻击。 检测特洛伊木马程序常用以下方法： （ 1）通过网络连接检测 扫描端口是检测木马的常用方法。 在不打 开任何网络软件的前提下，接入互联网的计算机打开的只有 139 端口。 因此，可以关闭所有网络软件，然后用端口扫描软件对电脑端口进行扫描，如果发现除 139 端口之外的端口被打开，就有可能存在特洛伊木马程序。 也可以利用 Windows 自带的 Netstat 命令来查看。 一般情况下，如果没有进行任何上网操作，在 MSDOS 窗口中用 Netstat 命令将看不到什么信息，此时可以使用 “stat a” 命令格式。 如果出现不明端口处于监听状态，而目前又没有进行任何网络服务的操作，那么监听该端口的很可能是木马。 （ 2）通过进程检 测 在 Win2020/XP 中按下 “CTL+ALT+DEL” ，进入任务管理器，就可看到系统正在运行的全部进程，清查时即可发现是否有木马程序。 在 Windows 98/2020/XP 中，单击任务栏【开始】 /【运行】，在对话框中输入 msinfo32 后，单即【确定】按钮，出现系统信息窗口。 展开【软件环境】项，单击【正在运行任务】项，出现 相应 的窗口。 窗口中显示的是 Windows 现在全部运行的任务。 如果有的项目有程序名和路径，而没有版本、厂商和说明时就应小心清查了。 16 （ 3）通过软件检测 用户运行杀毒软件、放火墙软件和专 用木马查杀软件等都可以检测系统中是否存在已知的木马程序。 特洛伊木马程序的清除 以通过手工和软件的方式清除特洛伊木马程序，但一般情况下木马程序不容易被发现，手工清除比较困难，软件清除比较简单，但是软件清除对于一些新出现的木马程序无能为力。 1手工清除 (1) 如果发现有 “ 木马 ” 存在，马上将计算机与网络断开，防止黑客通过网络进行攻击。 (2) 编辑 文件，将该文件中的 [WINDOWS]下面的 “run=‘ 木马 ’ 程序名 ” 或 “load=‘ 木马 ’ 程序名 ” 更改为 “run=” 和 “load=”。 (3) 编辑 文件，将 [BOOT]下面的 “shell=‘ 木马 ’ 文件名 ” 更改为“shell=”。 (4) 在注册表中，用 regedit 对注册表进行编辑，先在“HKEY LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到 “ 木马 ” 程序的文件名，再在整个注册表中搜索并替换掉 “ 木马 ” 程序，有时候还需注意的是：有的 “ 木马 ” 程序并不是直接将“HKEY LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run” 下的 “ 木马 ” 键值删除就行了，因为有的 “ 木马 ”( 如 BladeRunner“ 木马 ”) ，如果删除它， “ 木马 ” 会立即自动加上，需要的是记下 “ 木马 ” 的名字与目录，然后退回到 MSDOS下，找到此 “ 木马 ” 文件并删除掉。 重新启动计算机，然后再到注册表中将所有 “ 木马 ” 文件的键值删除。 如手工清除 Back Orifice 2020(BO2020)方法，首先检查注册表 \HEKYLOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 中有无 的键值，如有键值，则将其删除。 重新启动电脑，并将\Windows\System 中的 删除。 2 软件清除 (1) 杀毒软件：目前常用的病毒防护软件也可以实现对木马的查杀，如瑞星、金山毒霸等，这类软件对木马的检查也比较成功，但彻底地清除不是很理想，因为 17 一般情况下木马在电脑每次启动时都会自动加载，杀病毒软件不能完全清除木马文件，杀病毒软件作为防止木马的入侵来说更有效。 (2) 个人版网络防火墙软件：常用的个人版网 络防火墙软件，如天网、金山网镖等，在防火墙启动之后，一旦有可疑的网络连接或者木马对电脑进行控制，防火墙就会报警，同时显示出对方的 IP地址、接入端口等提示信息，通过设置之后即可使对方无法进行攻击。 利用防火墙只能检测发现木马并加以预防攻击，但不能彻底清除它。 (3) 专用的木马查杀软件：专用的木马查杀软件一般可以彻底清除系统中的木马程序，如 The Cleaner、木马克星、木马终结者等。 特洛伊木马程序的预防 随着网络的普及，木马的传播越来越快，而且新的变种层出不穷，在检测清除它的同时，更要注意 采取措施来预防。 预防方法如下： （ 1）不执行任何来历不明的软件 下载软件的时候需要特别注意，一般推荐去一些信誉比较高的站点。 下载完成后一定要用反病毒软件检查一下，建议用专门查杀木马的软件来进行检查，确定无毒后再使用。 （ 2）不随意打开邮件附件 很多木马程序是通过邮件来传递的，对邮件附件的运行尤其需要注意。 （ 3）将资源管理器配置成始终显示扩展名 一些文件扩展名为 vbs、 shs、 pif 的文件多为木马病毒的特征文件，如果碰到这些可疑的文件扩展名时就应该引起注意。 （ 4）尽量少用共享文件夹 单独开一 个共享文件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。 （ 5）运行反木马实时监控程序 上网时最好运行反木马实时监控程序，木马克星、 The Cleaner 等软件一般都能实时显示当前所有运行程序并有详细的描述信息。 此外还应加上一些专业的最新杀毒软件、个人防火墙等。 （ 6）经常升级系统 很多木马都是通过系统漏洞来进行攻击的，及时打上系统漏洞补丁，很多时候打过补丁之后的系统本身就是一种最好的木马防范办法。 网络监听 18 网络监听本来是为了管理网络，网络管理员使用网 络监听工具可以监视网络的状态和数据流动情况以及网络上传输的信息。 但是由于网络监听能有效地截获网上的数据，因此也成了攻击者常用的攻击手段。 目前网络上的数据绝大多数是以明文的形式在网络上传输的，将网络接口设置在监听模式，便可以源源不断地将网上传输的信息截获，尤其是口令通常很短且很容易辨认，网络监听用得最多的是截获用户的口令。 但有一个前提条件，监听只能是同一网段的主机，这里同一网段是指物理上的连接。 网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、路由器、网关、防火墙等。 监听效果最好的地方是在网关 、路由器、防火墙一类的设备处，通常由网络管理员来操作，使用最方便的是在一个以太网中的任何一台上网的主机上，这是大多数黑客的做法。 网络监听原理 以太网 (Ether)协议的传输方式是广播式的传送，即把数据包发往连接在一起的所有主机。 在包头中包括有应该接收数据包的主机的正确地址 (在局域网中为网卡的物理地址 )，只有与数据包中目标地址一致的那台主机才能接收到信息包，当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。 这样在物理线路上传输的数字信号也就能到达连接 在集线器上的每个主机了。 当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据包进行检查，如果数据包中携带的物理地址是自己的或者物理地址是广播地址，那么就接收。 对于每个到达网络接口的数据帧都要进行这个过程的。 但是当主机工作在监听模式下的话，所有的数据帧都将被交给上层协议软件处理。 但是当主机工作在混杂模式下的话不管数据包中的目标物理地址是什么，主机都将全部接收，然后再对数据包进行分析，实现信息的截获。 网络监听的防范方法 一旦网络被监听，可能导致敏感信息被截获，将会给网络带来很大的安 全问题，常用的网络监听的防范方法如下： (1) 要确保以太网的整体安全性，因为网络监听行为要想发生，一个最重要的前提条件就是以太网内部的一台有漏洞的主机被攻破，只有利用被攻破的主机，才能进行网络监听，去收集以太网内敏感的数据信息。 (2) 对网络中传输的数据进行加密，以密文传输也是一个很好的办法，入侵者即使抓取到了传输的数据信息，意义也不大。 比如作为 tel、 ftp 等安全替代产品目前采用 ssh2 还是安全的。 这是目前相对而言使用较多的手段之一。 19 (3) 使用交换机目前也是一个应用比较多的方式。 交换机在工作 时维护着一张ARP 的数据库，在这个库中记录着交换机每个端口绑定的 MAC 地址，当有数据报发送到交换机上时，交换机会将数据报的目的 MAC地址与自己维护的数据库内的端口对照，然后将数据报发送到 “ 相应的 ” 端口上，这在一定程度上解决了网络监听的问题。 但是随着 dsniff， ettercap 等软件的出现，即使使用交换机也能进行网络监听。 (4) 对安全性要求比较高的公司可以考虑 kerberos， kerberos 是一种为网络通信提供可信第三方服务的面向开放系统的认证机制，它提供了一种强加密机制，使客户端和服务器即使在非安全 的网络连接环境中也能确认彼此的身份，而且在双方通过身份认证后，后续的所有通信也是被加密的。 检测网络监听的手段 具有网络监听行为的主机在工作时总是不做声的收集数据包，几乎不会主动发出任何信息，因此对发生在局域网主机上的监听缺乏很好的检测方法。 目前可以使用的检测手段有如下五种： （ 1）反应时间 向怀疑有网络监听行为的网络发送大量垃圾数据包，根据各个主机回应的情况进行判断，正常的系统回应的时间应该没有太明显的变化，而处于混杂模式的系统由于对大量的垃圾信息照单全收，所以很有可能回应时间会发生较大的变化。 （ 2）观测 DNS 许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听发生时可以在 DNS 系统上观测有没有明显增多的解析请求。 （ 3）利用 Ping 模式进行监测 当一台主机进入混杂模式时，以太网的网卡会将所有不属于它的数据照单全收。 现在伪造出这样的一种 ICMP 数据包：网卡硬件地址 (MAC 地址 )被设置为不与局域网内任何一台主机相同的地址，目的 IP 地址为怀疑正在进行网络监听的主机 IP 地址，可以设想一下这种数据包在局域网内传输会发生什么现象。 这个数据包在传输时，任何正常的主机会检查这个数据包，比较数据包 的硬件地址，和自己的不同，于是不会理会这个数据包，而处于网络监听模式的主机呢。 由于它的网卡现在是在混杂模式的，因此它不会去对比这个数据包的硬件地址，而是将这个数据包直接传到上层协议，上层协议检查数据包的 IP 地址，符合自己的 IP，于是会对这个 Ping 的包做出回应。 这样，一台处于网络监听模式的主机就被发现了。 20 （ 4）利用 arp 数据包进行监测 这种方法是 Ping 方式的一种变体，使用 arp 数据包替代了上述的 ICMP 数据包。 向局域网内的主机发送非广播方式的 arp 包，如果局域网内的某个主机响应了这个 arp 请求，就可以 判断它很可能就是处于网络监听模式了，这是目前相对而言比较好的监测模式。 （ 5）使用 Antisniff 软件检测 1999 年， Lopht 公司发布了一个名为 Antisniff 的软件，该软件可以扫描网络并测试一台计算机是否运行在混杂模式。 缓冲区溢出攻击 随着网络防范技术的日益成熟，使木马病毒这类恶意代码的植入变得困难。 网络黑客开始针对系统和程序自身存在的漏洞，编写相应的攻击程序。 其中最常见的就是对缓冲区溢出漏洞的攻击，而在诸多缓冲区溢出中又以堆栈溢出的问题最具有代表性。 目前，利用缓冲区溢出漏洞进行的攻击 已经占到了整个网络攻击的半数以上。 缓冲区溢出漏洞利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，就会造成缓冲区的溢出，从而破坏程序的堆栈，导致程序执行流程的改变。 通过攻击存在缓冲区溢出的程序，入侵者可以是程序运行失败，造成系统当机、重启、甚至执行非授权指令，获得系统最高权限。 缓冲区溢出漏洞是目前最常见的安全漏洞。 同时，缓冲区溢出攻击仍然是目前远程网络攻击和本地权限提升的主要方法之一。 如果能有效地解决缓冲区溢出漏洞的问题，将会给系统的安全性能带来本质上的改变。 对缓冲区溢 出漏洞攻击，可以导致程序运行失败、系统崩溃以及重新启动等后果。 更为严重的是，可以利用缓冲区溢。