网络攻击技术分类研究-合格论文

网络攻击技术分类研究-合格论文内容摘要：

马程序 (1)、 BO2020(BackOrifice)：它是功能最全的 TCP／ IP 构架的攻击工具，可以搜集信息，执行系统命令，重新设置机器，重新定向网络的客户端／服务器应用程序。 BO2020支持多个网络协议，它可以利用 TCP 或 UDP来传送，还可以用 XOR加密算法或更高级的 3DES加密算法加密。 感染 BO2020后机器就完全在别人的控制之下，黑客成了超级用户，你的所有操作都可由 BO2020自带的“秘密摄像机”录制成“录像带”。 (2)、“冰河”：冰河是一个国产木马程序， 具有简单的中文使用界面，且只有少数流行的反病毒、防火墙才能查出冰河的存在。 冰河的功能比起国外的木马程序来一点也不逊色。 它可以自动跟踪目标机器的屏幕变化，可以完全模拟键盘及鼠标输入，即在使被控端屏幕变化和监控端产生同步的同时，被监控端的一切键盘及鼠标操作将反映在控端的屏幕。 它可以记录各种口令信息，包括开机口令、屏保口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息；它可以获取系统信息；它还可以进行注册表操作，包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作。 (3)、 NetSpy：可以运行于 Windows95／ 98／ NT／ 2020等多种平台上，它是一个基于 TCP／ IP 的简单的文件传送软件，但实际上你可以将它看作一个没有权限控制的增强型 FTP 服务器。 通过它，攻击者可以神不知鬼不觉地下载和上传目标机器上的任意文件，并可以执行一些特殊的操作。 海军工程大学毕业论文 8 (4)、 Glacier：该程序可以自动跟踪目标计算机的屏幕变化、获取目标计算机登录口令及各种密码类信息、获取目标计算机系统信息、限制目标计算机系统功能、任意操作目标计算机文件及目录、远程关机、发送信息等多种监控功能。 类似于 BO2020。 (5)、 KeyboardGhost： Windows 系统是一个以消息循环 (MessageLoop)为基础的操作系统。 系统的核心区保留了一定的字节作为键盘输入的缓冲区，其数据结构形式是队列。 键盘幽灵正是通过直接访问这一队列，使键盘上输入你的电子邮箱、代理的账号、密码 Password（显示在屏幕上的是星号）得以记录，一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来，并在系统根目录下生成一文件名为 的隐含文件。 (6)、 ExeBind：这个程序可以将指定的攻击程序捆绑到任何一个广为传 播的热门软件上，使宿主程序执行时，寄生程序也在后台被执行，且支持多重捆绑。 实际上是通过多次分割文件，多次从父进程中调用子进程来实现的。 网络攻击技术分类 网络攻击的分类方法有很多，主要依据计算机系统中的安全漏洞、攻击的效果、攻击的技术手段、攻击的检测、攻击所造成的后果等。 目前已有的网络攻击的分类主要有术语罗列、攻击种类列表、基于攻击效果的分类、基于经验的种类列表、矩阵分类法、基于过程的分类、基于多维属性海军工程大学毕业论文 9 的分类法等。 其中基于攻击对象的分类方法，分为基于操作系统的网络攻击、基于应用程序的网络攻击 、基于 web 代码的网络攻击、基于路由器的网络攻击、基于手机的网络攻击和基于智能终端的网络攻击六类。 本文依据 本人 近 段时间 的研究、实验 ,提出基于攻击技术手段 的分类方法， 将网络攻击技术分为 阻塞类攻击 、 控制类攻击 、 探测类攻击 、 欺骗类攻击 、 漏洞类攻击 、 破坏类攻击六类。 海军工程大学毕业论文 11 第三章 网络攻击技术的分析 阻塞类攻击 阻塞类攻击：企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。 拒绝服务攻击（ DoS） 拒绝服务攻击简称 DoS（ Denial of Service），是一种针对 TCP/IP 协议的缺陷来进行网络攻击的手段，它可以出现在任何平台上。 拒绝服务攻击的原理并不复杂而且易于实现，通过向目标主机发送海量的数据包，占据大量的共享资源（这里资源指的可以是处理器的时间、磁盘的空间、打印机和调制解调器，也甚至涉及到系统管理员的时间），使系统没有其他的资源来给其他的用户使用，或使网络服务器中充斥了大量要求回复的信息，消耗网络带宽或系统资正常的网络服务。 拒绝服务减低了资源的可用性，攻击的结果是停止和失去服务，甚至主机崩溃。 通过简单的工具就能在因特网上 引发极度的混乱，而且这种攻击工具在网上每个人都可以得支、使用，更糟的是目前还没有一个有效的对付方法。 拒绝服务攻击的实现是利用了 Inter 网络协议的许多安全漏洞，它让我们看到了现存网络脆弱性的一面。 可用于发动拒绝服务攻击的工具海军工程大学毕业论文 12 很多，比较常见的可以分为四种类型。 （ 1）带宽消耗 这里最常见也是最阴险的 DOS 攻击。 其基本原理是攻击者消耗掉通达某个网站的几乎所有可能带宽，组织且法用户使用网络带宽。 带宽消耗型DOS 攻击可用发生在局域网上，但更常见的是攻击者远 程消耗带宽资源，通过多个主机多点集中拥塞目标网络，这种多点攻击也使得更难找到真正的攻击发起者。 （ 2） 系统资源消耗 攻击者通过盗用、滥用目标主机的资源访问权，消耗目标主机的 CPU 利用率、内存、文件系统限额和系统进程总数之类的系统资源，造成文件系统变慢、进程被挂起直至系统崩溃，从而使得合法用户无法使用系统的资源。 （ 3）编程缺陷 攻击者利用应用程序、操作系统或嵌入式逻辑芯片在处理异常情况时的失败，而向目标主机发送非常规的数据包分组，导致内核发生混乱，从而是系统崩溃。 （ 4）路由和 DNS 攻击 由于网络上使用的较早版本的路由协议没有或只有很弱的认证机制，攻击者可以假冒 IP 地址，操纵路由表项，为 DOS 攻击创造条件，拒绝对合法系统或网络提供服务。 这种攻击的后果是目标网络的分组或者经由攻击者的网络路由，或者被路由到不存在的黑洞网络上。 海军工程大学毕业论文 13 拒绝服务攻击是最容易实施的攻击行为，常见的 DoS 工具有： Smurf 攻击、 UDP 洪水攻击、 SYN 洪水攻击、 teardrop、 Land 攻击、死亡之 ping、Fraggle 攻击、电子邮件炸弹、畸形消息攻击、分布式拒绝服务攻击、分 布式拒绝服务攻击 DDOS 等。 下面我们分别对这些黑客经常使用的拒绝服务攻击方法与防御措施进行介绍。 （ 1） Smurf 攻击  原理：一个简单的 smurf 攻击可以通过将回复地址设置成受害网络的广播地址，使用 ICMP 应答请求，（ ping）数据包来淹没受害主机的方式进行，最终导致该网络的所有主机都对此 ICMP 应答请求作出答复，导致网络阻塞，比 ping of death 洪水的流量高出一或两个数量级。 更加复杂的Smurf 将源地址改为第三方的受害者，最终导致第三方雪崩。  防御：为了防止黑客利用你和网络攻击他人 ，关闭外部路由器或防火墙的广播地址特性。 为防止被攻击，在防火墙上设置规则，丢弃 ICMP 包。 （ 2） UDP 洪水（ UDP flood）  原理：通过各种各样的假冒攻击，利用简单的 TCP/IP 服务，如 Chargen和 Echo,来传送毫无用处的占满带宽的数据，通过伪造与某一主机的Chargen 服务之间的一次 UDP 连增，使回复地址指向开着 Echo 服务的一台主机，这样就生成在两台主机之间的无用数据流，如果数据流足够多就会导致带宽拥塞而形成攻击。  防御：关掉不必要的 TCP/IP 服务，或者对防火墙进行配置，阻断来自 Inter 的请求这些服务的 UDP 请求。 （ 3） SYN 洪水（ SYN flood） 海军工程大学毕业论文 14  原理：一些 TCP/IP 栈的实现只能等待从有限数量的计算机发来的 ACK消息，因为它们只有有限的内存缓存区用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接超时。 在一些创建连接不受限制的实现里， SYN 洪水具有类似的影响。  防御：在防火墙上过滤来自同一主机的后续连接。 （ 4）泪滴（ teardrop）  原理：泪滴攻击利用 在 TCP/IP 堆栈实现中信任 IP 碎片中包的标题头所包含的信息来实现的攻击。 IP 分段含有指示该分段所包含的是源包的哪一段的信息，某些 TCP/IP（包括 service pack 4 以前的 Windows NT）在收到含有重叠偏移的伪造分段时将崩溃。  防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而不是转发它们。 （ 5） Land 攻击  原理：在 Land 攻击中，使用一个特别打造的 SYN 包，它的源地址和目标地址都被设置成某一个服务器地址，此举将导致接受服务器向它自己的地址发送 SYNACK 消息 ，结果这个地址又发回 ACK 消息并创建一个空连接，每一个这样的连接都将保留直到超时。 不同的操作系统对 Land 攻击的反应不同，不少 UNIX 系统受到攻击后就将崩溃，而 Windows NT 会变得极其缓慢。  防御：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入栈的含有内部源地址过滤掉（包括 10 域、 127 域、 域、 域海军工程大学毕业论文 15 域）。 （ 6）死亡之 ping （ ping of death）  原理：由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对 TCP/IP 栈 的实现在 ICMP 包上都是规定为 64KB，并且在对包的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产在畸形的，声称自己的尺寸超过 ICMP 上限的包也就是加载的尺寸超过64K 上限时，就会出现内存分配错误，导致 TCP/IP 堆栈崩溃，致使接受方当机。  防御：现在所有的标准 TCP/IP 实现都已实现对付超大尺寸的包，并且大多数防火墙能够自动过滤这些攻击，包括：从 Windows 98 之后的 Windows NT（ service pack 3 以上版本） /2020， Linux、 Solaris、和 Mac OS 都具有抵抗一般 ping of death 攻击的能力。 此外，对防火墙进行配置，阻断ICMP 以及任何未知协议，都能防止此类攻击。 （ 7） Fraggle 攻击  原理： Fraggle 攻击对 Smurf 攻击作了简单的修改，使用的是 UDP 应答消息而非 ICMP。  防御：在防火墙上过滤掉 UDP 应答消息。 （ 8）电子邮件炸弹  原理：是最古老的匿名攻击之一，通过设置一台计算机不断的大量的向同一地址发送电子邮件 ,攻击都能够耗尽接受。