网络攻击技术研究-合格论文

网络攻击技术研究-合格论文内容摘要：

用攻击 ｡网络攻击的全过程是 :攻击者海军工程大学毕业设计（论文） 14 发起并应用一定的攻击工具 (包括攻击策略与方法 ),对目标网络系统进行攻击操作 ,达到一定的攻击效果 ,实现攻击者预定义的攻击效果 ｡ 网络攻击分类 网络攻击行为通常表现 为：或通过入侵目标主机后非法获取重要文件，修改系统资料，删除，修改文件，破坏系统致使其瘫痪；或通过发送大量的报文以及其他方式使网络发生拥塞，致使目标主机崩溃；或通过截取，篡改网络上的传输报文来欺骗目标主机，以获取相关资料；或通过传播病毒，安装木马等恶意代码攻击目标主机。 与此相应，网络攻击主要包括如下几类 ： 1. 入侵攻击 (Interruption， Breakin) 最常见的攻击方式就是入侵攻击。 目前，入侵的手段众多，常见的一种类型是用户密码猜测，黑客攻击目标时常常把破译普通用户的口令作为攻击的开始。 另一种入 侵攻击就是通过搜索整个系统，发现软件，硬件的漏洞或配置错误，以获得系统的进入权。 每种操作系统都有自己的一些漏洞，有些是已知的，而有些则需要仔细的研究才能发现。 而系统管理员不可能不停的阅读每个系统平台的安全漏洞报告，因此极有可能对某个系统的安全性了解不够，故而，计算机网络中很可能存在各种各样的安全漏洞。 海军工程大学毕业设计（论文） 15 2. 拒绝服务 (Denial of Service,DoS) 该攻击的方法往往是利用操作系统网络功能的漏洞而进行的。 比如 : Windows 95/NT的 OOB漏洞， Windows 98的 IGMP漏洞等，造成的 现象为 TCP/IP栈崩溃导致与 Inter的连接中断、系统蓝屏、系统凝固甚至重新启动、有无数的窗口被打开等等。 但基本上对硬盘上的数据没有损害，一般重新启动机器即可恢复。 3. 欺骗 (Spoofing) 欺骗包括很多肿类型，攻击者可以使用各种欺骗手段来达到攻击的目的，比如伪造 MAC和 IP地址，修改数据包头内容，伪造路由信息，甚至与伪造整个网站。 对应于 TCP/IP的 5层结构，从地层到高层存在有 MAC地址欺骗，ARP欺骗， IP地址欺骗， ICMP欺骗， TCP欺骗， WEB欺骗， DNS欺骗， RIP路由欺骗等。 4. 缓冲区溢出 (Bufer Over flow) 缓冲区溢出指的是一种系统攻击的手段，通过向程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。 5. 系统入侵攻击 由于大多数的 Windows 95/98/Me不提供如 HTTP、 FTP、 TELNET等服务器才提供的服务，所以通过这些实现入侵一般是行不通的，但有的用户可海军工程大学毕业设计（论文） 16 能会使用 HTTP服务器设计网页或使用 FTP服务器让朋友从自己机器上下载文件或调试程序，这就给攻击者造成了可乘之机， 达到攻击的目 的。 近几年，网络攻击技术和攻击工具有了新的发展，主要表现为以下几个方面 ： 趋势一：自动化程度和攻击速度提高 攻击工具的自动化水平不断提高。 自动攻击一般涉及四个阶段，在每个阶段都出现了新变化，攻击工具趋向于自动化、图形化和多线程化，大大提高了攻击工具的易用性、执行速度和攻击效率。 趋势二： 攻击代码的动态化和模块化 攻击代码趋向于动态化、模块化 (插件化 )和反制化，大大提高了攻击代码的生存性、对抗性以及鲁棒性。 趋势三： 攻击代码的伪装化和蠕虫化 攻击代码趋向于伪装化、隐身化和蠕虫化 (深度传播 )，大大提 高了攻击代码的欺骗性、隐身性和可传播性。 趋势四： 漏洞发现的自动化和快速化 系统漏洞发现趋向于自动化和快速化，利用新漏洞可以大大提高攻击成功率和工作效率。 趋势五： 防火墙攻击的不对称化和非常规化 防火墙攻击趋向于不对称化 (反向穿透 )和非常规化，大大提高了防火墙攻击成功率和隐蔽性。 趋势六： 攻击手法的融合化和多样化 攻击手法趋向于多种攻击方法相互融合和多样化，大大提高了攻击成功率和效率。 海军工程大学毕业设计（论文） 17 木马攻击技术分析 木马的概念 计算机木马的名称来源于古希腊的特洛伊木马 (Trojan Horse)的故事，希腊人围攻特洛伊城，很多年不能得手后想出了木马的计策，他们把士兵藏匿于巨大的木马中。 在敌人将其作为战利品拖入城内后，木马内的士兵爬出来，与城外的部队里应外合而攻下了特洛伊城。 计算机网络世界的木马是一种能够在受害者毫无察觉的情况下渗透到系统的程序代码，在完全控制了受害系统后，能进行秘密的信息窃取或破坏。 它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，它的通信遵照 TCP/IP协议，它秘密运行在对方计算机系统内，像一个潜入敌方的间谍，为其他人的攻击打开后门，与战争中的木马战术十分 相似，因而得名木马程序。 木马的分类 木马程序技术发展至今，已经经历了 4代，第一代，即是简单的密码窃取，发送等。 第二代木马，在技术上有了很大的进步，冰河可以说为是国内木马的典型代表之一。 第三代木马在数据传输技术上，又做了不小的改进，出现了 ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度。 第四代木马在进程隐藏方面，做了大的改动，采用了内核插入式的嵌海军工程大学毕业设计（论文） 18 入方式，利用远程插入线程技术，嵌入 DLL线程。 或者挂接 PSAPI，实现木马程序的隐藏，甚至在 Windows NT/2020下，都达到了良好的 隐藏效果。 根据木马程序对计算机的具体动作方式，可以把现在的木马程序分为以下几类 ： (1) 正向连接型：这种类型的客户羰连接服务器的时候是直接根据服务器上的 IP地址和端口来进行连接。 这种方法直观、简单，但同时也存在相应的缺陷。 它要求知道对方的 IP，这点对于不是固定 IP的被控端而言，过一段时间 IP改变后，控制端就无法连接了。 (2) 反向连接：由于正向连接的不足，后来的木马连接方式发生了变化，不再是由控制端去连接被控制端，而是控制端自动监听，由被控制端来进行连接。 这个办法可以很好地解决以上的缺陷，但 同时也有一个关键的问题，那就是这个方法要求控制端有一个固定的公网 IP。 如果控制端 IP是自动分配的话，过一段时间后 IP发生变化，则被控端就不可能连接到了。 (3) 反弹连接型：这种反弹连接型木马是从反抽连接型发展起来的，它也是由被控制端去连接控制端，但其被控端的木马程序不知道控制端的 IP，而是知道一个固定的网页文件地址，这个地址一般是网上的免费海军工程大学毕业设计（论文） 19 空间。 在这个文件夹中存放的就是控制端的 IP地址和端口。 于是，被控端通过这个固定的文件就能知道控制端的信息，从而进行连接。 而当控制端IP变化后，黑管所要做的只是 去该免费空间上修改这个文件的内容就可以了，完全不会影响控制端程序。 (4) 密码发送型： 密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。 大多数这类木马程序不会在每次 Windows系统重启时都自动加载，它们大多数使用 25端口发送电子邮件。 (5) 毁坏型： 大部分木马程序只是窃取信息，不做破坏性的事件，但毁坏型木马却以毁坏并且删除文件为己任 .它们可以自动删除受控主机上所有的 .dll, .ini或 .exe文件，甚至远程格式化受害者硬盘，使得受控主机上的所有信息都受到 破坏。 总而言之，该类木马目标只有一个就是尽可能的毁坏受感染系统，致使其瘫痪。 木马的特征及功能 木马的特征 (1) 隐蔽性：隐蔽性是木马的首要特征。 这一点与病毒特征是很相似的，木马类软件的 SERVER端程序在被控主机系统上运行时会使用各种方法来隐藏自己。 例如大家所熟悉的修改注册表和 .ini文件以便被控系统在下海军工程大学毕业设计（论文） 20 一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其它程序之中。 有些把服务器端和正常程序绑定成一个程序的软件，叫做 exebinder绑定程式，可以让人在使用绑定的程式时，木 马也入侵了系统，甚至有个别木马程序能把它自身的 .exe文件和服务器端的图片文件绑定，在你看图片的时候，木马也侵入了你的系统。 (2) 自 动 运 行 性 ： 木 马 程 序 通 过 修 改 系 统 配 置 文 件 ， 如 ：, ，在目标主机系统启动时自动运行或加载。 (3) 欺骗性：木马程序要达到其长期隐蔽的目的，就必需借助系统中己有的文件，以防用户发现，它经常使用的是常见的文件名或扩展名，如dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字 母“ l” 与数字“ 字母“ o与数字“ 0，常修改基本个文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中己有的文件名，只不过它保存在不同路径之中。 (4) 自动恢复性：现在很多的木马程序中的功能模块己不再是由单一的文件组成，而是具有多重备份，可以相互恢复。 系统一旦被植入木马，想利用删除某个文件来进行清除是不太可能的。 更先进的木马利用线程监控技术使得木马的清除更加困难。 (5) 功能的特殊性：通常的木马的功能都是十分特殊的，除了普通的海军工程大学毕业设计（论文） 21 文件操作以外，还有些木马具有搜索 Cache中的口令、设置口令、扫描 目标机器的 lP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。 木马的基本功能 (1) 自动搜索被植入木马的主机系统，以及上线即时通知； (2) 对被控主机的系统资源进行管理，如 ： 复制文件，删除文件，查看文件，以及上传 /下载文件等； (3) 远程执行程序； (4) 跟踪监视对方屏幕，截取屏幕并回传； (5) 直接屏幕鼠标控制，键盘输入控制； (6) 锁定鼠标，键盘和屏幕； (7) 远程重启计算机及关闭计算机； (8) 监视对方任务且可以终止对方任务； (9) 击键记录； (10) 获取系统相关信息 ； (11) 注册表操作。 包括修改键值，添加键，删除键等； (12) 硬盘共享 木马的基本原理 木马的攻击原理：现在网络上流行的木马基本上都采用的是 C/S 结构海军工程大学毕业设计（论文） 22 (客户端 /服务端 )。 你要使用木马控制对方的电脑，首先需要在对方的的电脑中种植并运行服务端程序，然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。 具体过程包括： 木马的传播方式主要有四种：一种是通过 EMAIL,控制端将木马程序以附件的形式夹在邮件中发送出去 ,收信人只要打开附件系统就会感染木马；另一种是软件下 载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装；第三种是把一些木马程序捆绑到网站上，当一些系统补丁没有补全的人在浏览网页的时候就不知不觉被种上了木马；还有一种就是通过本地的第三方软件漏洞，来种植木马，攻击系统。 鉴于木马的危害性 ,很多人对木马知识还是有一定了解的 ,这对木马的传播起了一定的抑制作用 ,这是木马设计者所不愿见到的 ,因此他们开发了多种功能来伪装木马 ,以达到降低用户警觉 ,欺骗用户的目的。 现在大体手法包括修改图标，捆绑文 件，出错显示，定制端口，自我销毁，木马更名等手段来达到伪装木马的目的。 服务端用户运行木马或捆绑木马的程序后 ,木马就会自动进行安装。 首海军工程大学毕业设计（论文） 23 先将自身拷贝到 WINDOWS的系统文件夹中 (C： WINDOWS或 C： WINDOWS SYSTEM目录下 ),然后在注册表 ,启动组 ,非启动组中设置好木马的触发条件 ,这样木马的安装就完成了。 安装后就可以启动木马了，具体方式有两种：一种方式是自启动激活木马，另一种方式是触发式激活木马。 木马被激活后，进入内存，并开启事先定义的木马端口准备与控制端建立连接。 一般来说，设计成熟的木马都有一个信息反馈机制。 所谓信息反馈机制是指木马成功安装后会收集一些服务端的软硬件信息，并通过 EMAIL，IRC或 ICO 的方式告知控制端用户。 从反馈信息中控制端可以知道服务端的一些软硬件信息，包括使用的操作系统，系统目录，硬盘分区况，系统口令等，在这些信息中，最重要的是服务端 IP，因为只有得到这个参数，控制端才能与服务端建立连接。 一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序 ； 二是控制端，服务端都要在线。 在此基础上控制端可以通过木马端口与服务端 建立连接。 木马连接建立后，控制端端口和木马端口之间将会出现一条通道。 控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系 ,并通海军工程大学毕业设计（论文） 24 过木马程序对服务端进行远程控制。 病毒攻击技术分析 病毒的概念 病毒是一种计算机指令代码。 用户运行了这些代码后，往往会产生一些恶意的结果，如破坏系统文件造成系统无法运行、数据文件被删除、硬件被破坏、非法侵入内部数据库，偷窃或篡改数据等等。 计算机一旦接触到病毒，轻者影响计算机系统的性能，降低工作效率，重者可以毁坏计算机系统内部信息及数据，并且 迅速传播危害整个计算。