【正文】 整性失效或者服務(wù)的可用性降低。為達到此目的，入侵者一般采用主動攻擊手段入侵并影響目標信息基礎(chǔ)設(shè)施；第二種是破壞目標的秘密。入侵者采用被動手段，即不用入侵目標，通過網(wǎng)絡(luò)設(shè)備對開放網(wǎng)絡(luò)產(chǎn)生影響。為此，入侵者可以主動入侵并觀察，也可以被動手段觀察、建模、推理達到其目的。無論入侵者采用什么手段，其行為的最終目的是干擾目標系統(tǒng)的正常工作、欺 騙目標主機、拒絕目標主機上合法用戶的服務(wù)，直至摧毀整個目標系統(tǒng)。 ．網(wǎng)絡(luò)攻擊過程 無論網(wǎng)絡(luò)入侵者攻擊的是什么類型的目標，其所采用的攻擊手段和過程都有一定的共性。網(wǎng)絡(luò)攻擊一般分為如下幾個步驟：調(diào)查、收集和判斷出目標計算機網(wǎng)絡(luò)的拓撲結(jié)構(gòu)和其他的信息；對目標系統(tǒng)安全的脆弱性進行探測與分析；對目標系統(tǒng)實施攻擊。 （ 1）調(diào)查、收集和判斷目標網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)等信息。入侵者利用操作系統(tǒng)中現(xiàn)有的網(wǎng)06 計算機軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 7 絡(luò)工具或協(xié)議收集遠程目標系統(tǒng)中各個主機的相關(guān)信息，為對目標系統(tǒng)進行進一步分析和判斷做準備。 （ 2）制 定攻擊策略和確定攻擊目標。收集到遠程目標的一般網(wǎng)絡(luò)信息后確定攻擊對象，這與入侵者所制定的攻擊策略有關(guān)。一般情況下，入侵者想要獲得的是 1 個主系統(tǒng)上或 1 個可用的最大網(wǎng)段的根訪問權(quán)限，通常只要成功入侵 1 臺主機后，就可以控制整個網(wǎng)絡(luò)。 （ 3）掃描目標系統(tǒng)。入侵者確定掃描遠程目標系統(tǒng)，以尋找該系統(tǒng)的安全漏洞或安全弱點，并試圖找到安全性最薄弱的主機作為入侵對象。因為某些系統(tǒng)主機的管理員素質(zhì)不高，而造成的目標系統(tǒng)配置不當，所以這會給入侵者以機會。而且有時攻破 1 個主機就意味著可以攻破整個系統(tǒng)。 （ 4）攻擊目標系統(tǒng)。 入侵者使用掃描方法探測到目標系統(tǒng)的一些有用信息并進行分析，尋找到目標系統(tǒng)由于種種原因而存在的安全漏洞后，就可以進行攻擊并試圖獲得訪問權(quán)限。一旦獲得訪問權(quán)限，入侵者就可以搜索目錄，定位感興趣的信息，并將信息傳輸、存儲起來。通過這臺薄弱的主機，入侵者也可以對與本機建立了訪問連接和信任關(guān)系的其他網(wǎng)絡(luò)計算機進行攻擊。 ．常見的網(wǎng)絡(luò)攻擊方式 （ 1）網(wǎng)絡(luò)監(jiān)聽攻擊：網(wǎng)絡(luò)監(jiān)聽是一種監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流以及網(wǎng)絡(luò)上傳輸信息的管理工具，它可以將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，并且可以截獲網(wǎng)絡(luò)上傳輸?shù)男畔?，取得目標主機的超級 用戶權(quán)限。作為一種發(fā)展比較成熟的技術(shù)，監(jiān)聽在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測網(wǎng)絡(luò)傳輸數(shù)據(jù)、排除網(wǎng)絡(luò)故障等方面具有不可替代的作用。然而，在另一方面網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò)安全帶來了極大的隱患，當信息傳播的時候，只要利用工具將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽的模式，就可以將網(wǎng)絡(luò)中正在傳播的信息截獲，從而進行攻擊。網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)中的任何一個位置模式下都可實施進行。而入侵者一般都是利用了網(wǎng)絡(luò)監(jiān)聽工具來截獲用戶口令的。 （ 2）緩沖區(qū)溢出攻擊：簡單地說就是程序?qū)邮艿妮斎霐?shù)據(jù)沒有進行有效檢測導(dǎo)致的錯誤，后果可能造成程序崩潰或者是執(zhí)行攻擊者的命令。 UNIX 和 Windows 本身以及在這兩個系統(tǒng)上運行的許多應(yīng)用程序都是 C 語言編寫的， C、 C++語言對數(shù)組下標訪問越界不做檢查，是引起緩沖區(qū)溢出的根本原因。在某些情況下，如果用戶輸入的數(shù)據(jù)長度超過應(yīng)用程序給定的緩沖區(qū)，就會覆蓋其他數(shù)據(jù)區(qū)。這就稱 “緩沖區(qū)溢出 ”。 （ 3）拒絕服務(wù)攻擊：拒絕服務(wù)攻擊，即攻擊者想辦法讓目標機器停止提供服務(wù)或資源訪問。這些資源包括磁盤空間、內(nèi)存、進程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。最常見的拒絕服務(wù)攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊指極大的通信量沖擊網(wǎng)絡(luò)，使得所有的網(wǎng)絡(luò)資 源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。這是由網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務(wù)攻擊，實際上讓服務(wù)器實現(xiàn)兩種效果：一是迫使服務(wù)器緩沖區(qū)滿負荷，不接受新的請求；二是使用 IP 欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。 06 計算機軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 8 典型病毒攻擊 舉例 ARP 木馬病毒 當局域網(wǎng)內(nèi)某臺主機運行 ARP 欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和路由器，迫使局域網(wǎng)所有主機的 arp 地址表的網(wǎng)關(guān) MAC 地址更新為該主機的 MAC 地址，導(dǎo)致所有局域網(wǎng)內(nèi)上網(wǎng)的計算機的數(shù)據(jù)首先通過該計算機再轉(zhuǎn)發(fā)出去，用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過該主機上網(wǎng)，切換的時候用戶會斷線一次。由于 ARP 欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當 ARP 欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。 ARP 木馬病毒會導(dǎo)致整個局域網(wǎng)網(wǎng)絡(luò)運行不穩(wěn)定，時斷時通。 防范措施：可以借助 NBTSCAN 工具來檢測局域網(wǎng)內(nèi)所有主機真實的 IP 與 MAC 地址對應(yīng)表，在網(wǎng) 絡(luò)不穩(wěn)定狀況下，以 arp –a 命令查看主機的 Arp 緩存表，此時網(wǎng)關(guān) IP 對應(yīng)的MAC 地址為感染病毒主機的 MAC 地址，通過 “Nbtscan –r ”掃描 網(wǎng)段查看所有主機真實 IP 和 MAC 地址表，從而根據(jù) IP 確定感染病毒主機。也可以通過SNIFFER 或者 IRIS 偵聽工具進行抓取異常數(shù)據(jù)包，發(fā)現(xiàn)感染病毒主機。 另外，未雨綢繆，建議用戶采用雙向綁定的方法解決并且防止 ARP 欺騙，在計算機上綁定正確的網(wǎng)關(guān)的 IP 和網(wǎng)關(guān)接口 MAC 地址，在正常情況下，通過 arp –a 命令獲取網(wǎng)關(guān) IP 和網(wǎng)關(guān)接口的 MAC 地址，編寫一個批處理文件 內(nèi)容 如下： @echo off arp –d（清零 ARP 緩存地址表） arp s 0022aa0022aa（綁定正確網(wǎng)關(guān) IP 和 MAC 地址） 把批處理放置開始 程序 啟動項中，使之隨計算機重起自動運行，以避免 ARP 病毒的欺騙。 蠕蟲 是一種利用 DCOM RPC 漏洞進行傳播的蠕蟲，傳播能力很強。蠕蟲通過TCP/135 進行探索發(fā)現(xiàn)存在漏洞的系統(tǒng)，一旦攻擊成功，通過 TCP/4444 端口進行遠程命令控制，最后通過在受感染的計算機的 UDP/69 端口建立 tftp 服務(wù)器進行上傳蠕蟲自己的二進制代碼程序 加以控制與破壞，該蠕蟲傳播時破壞了系統(tǒng)的核心進程 ，會導(dǎo)致系統(tǒng) RPC 服務(wù)停止，因此可能引起其他服務(wù)（如 IIS）不能正常工作，出現(xiàn)比如拷貝、粘貼功能不工作，無法進入網(wǎng)站頁面鏈接等等現(xiàn)象，嚴 重時并可能造成系統(tǒng)崩潰和反復(fù)重新啟動。 蠕蟲 蠕蟲 (以下簡稱 Nachi 蠕蟲 )利用了 Microsoft Windows DCOM RPC 接口遠程緩沖區(qū)溢出漏洞和 Microsoft Windows 2021 WebDAV 遠程緩沖區(qū)溢出漏洞進行傳播。如果該蠕蟲發(fā)現(xiàn)被感染的機器上有 “沖擊波 ”蠕蟲，則殺掉 “沖擊波 ”蠕蟲，并為系統(tǒng)打上補丁程序，但由于程序運行上下文的限制，很多系統(tǒng)不能被打上補丁，并被導(dǎo)致反復(fù)重新啟動。Nachi 蠕蟲感染機器 后，會產(chǎn)生大量長度為 92 字節(jié)的 ICMP 報文，從而嚴重 影響 網(wǎng)絡(luò)性能。 蠕蟲病毒 蠕蟲病毒利用了本地安全驗證子系統(tǒng)（ Local Security Authority Subsystem，LSASS）里的一個緩沖區(qū)溢出錯誤，從而使得攻擊者能夠取得被感染系統(tǒng)的控制權(quán)。震蕩波06 計算機軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 9 病毒會利用 TCP 端口 5554 架設(shè)一個 FTP 服務(wù)器。同時，它使用 TCP 端口 5554 隨機搜索 Inter 的網(wǎng)段，尋找其它沒有修補 LSASS 錯誤的 Windows 2021 和 Windows XP 系統(tǒng)。震蕩波病毒會發(fā)起 128 個線程來掃描隨機的 IP 地址，并連續(xù)偵聽從 TCP 端口 1068 開始的各個端口。該蠕蟲會使 計算 機運行緩慢、 網(wǎng)絡(luò) 堵塞、并讓系統(tǒng)不停的進行倒計時重啟。 網(wǎng)段 內(nèi)的 ARP 欺騙攻擊 ARP 協(xié)議簡介 ARP(Address Resolution Protocol)即地址解析協(xié)議，該協(xié)議將網(wǎng)絡(luò)層的 IP 地址轉(zhuǎn)換為數(shù)據(jù)鏈路層地址。 TCP IP 協(xié)議中規(guī)定， IP 地址為 32 位，由網(wǎng)絡(luò)號和網(wǎng)絡(luò)內(nèi)的主機號構(gòu)成，每一臺接入局域網(wǎng)或者 Inter 的主機都要配置一個 IP 地址。在以太網(wǎng)中，源主機和目的主機通信時，源主機不僅要知道目的主機的 IP 地址，還要知道目的主機的數(shù)據(jù)鏈路層地址，即網(wǎng)卡的 MAC 地址，同時規(guī)定 MAC 地址為 48 位。 ARP 協(xié)議所做的工作就是查詢目的主機的 IP 地 址所對應(yīng)的 MAC 地址，并實現(xiàn)雙方通信。 跨網(wǎng)段 ARP 工作原理 源主機在傳輸數(shù)據(jù)前，首先要對初始數(shù)據(jù)進行封裝，在該過程中會把目的主機的 IP 地址和MAC 地址封裝進去。在通信的最初階段，我們能夠知道目的主機的 IP 地址，而 MAC 地址卻是未知的。這時如果目的主機和源主機在同一個網(wǎng)段內(nèi)，源主機會以第二層廣播的方式發(fā)送 ARP 請求報文。 ARP 請求報文中含有源主機的 IP 地址和 MAC 地址，以及目的主機的 IP地址。當該報文通過廣播方式到達目的 主機時，目的主機會響應(yīng)該請求，并返回 ARP 響應(yīng)報文，從而源主機可以獲取 目的主機的 MAC 地址，同樣目的主機也能夠獲得源主機的 MAC地址。如果目的主機和源主機地址不在同一個網(wǎng)段內(nèi)，源主機發(fā)出的 IP 數(shù)據(jù)包會送到交換機的默認網(wǎng)關(guān)，而默認網(wǎng)關(guān)的 MAC 地址同樣可以通過 ARP 協(xié)議獲取。經(jīng)過 ARP 協(xié)議解析IP 地址之后，主機會在緩存中保存 IP 地址和 MAC 地址的映射條目，此后再進行數(shù)據(jù)交換時只要從緩存中讀取映射條目即可。 ARP 協(xié)議工作原理詳見圖 1 和圖 2。 ARP 欺騙攻擊的實現(xiàn)過程 網(wǎng)段內(nèi)的 ARP 欺騙攻擊 ARP 欺騙攻擊的核心就是向目標主機發(fā)送偽造的 ARP 應(yīng)答 ，并使目標主機接收應(yīng)答中偽造的 IP 與 MAC 間的映射對，并以此更新目標主機緩存。設(shè)在同一網(wǎng)段的三臺主機分別為Ａ ,Ｂ ,Ｃ，詳見表 1。 表 1：同網(wǎng)段主機 IP 地址和 MAC 地址對應(yīng)表 用戶主機 IP 地址 MAC 地址 A 10． 10． 100． 1 00E04C111111 B 10． 10． 100． 2 00E04C222222 C 10． 10． 100． 3 00E04C333333 假設(shè)Ａ與Ｂ是信任關(guān)系，Ａ欲向Ｂ發(fā)送數(shù)據(jù)包。攻擊方Ｃ通過前期準備，可以發(fā)現(xiàn)Ｂ的漏洞，使Ｂ暫時無法工作，然后 Ｃ發(fā)送包含自己 MAC 地址的 ARP 應(yīng)答給Ａ。由于大多數(shù)的操作系統(tǒng)在接收到 ARP 應(yīng)答后會及時更新 ARP 緩存，而不考慮是否發(fā)出過真實的 ARP請求，所以Ａ接收到應(yīng)答后，就更新它的 ARP 緩存，建立新的 IP 和 MAC 地址映射對，即Ｂ的 IP 地址 10． 10． 100． 2 對應(yīng)了Ｃ的 MAC 地址 00E04C333333。這樣，導(dǎo)致Ａ就將發(fā)往Ｂ的數(shù)據(jù)包發(fā)向了Ｃ ,但Ａ和 B 卻對此全然不知，因此 C 就實現(xiàn)對 A 和 B 的監(jiān)聽。 06 計算機軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 10 跨網(wǎng)段的 ARP 欺騙攻擊 跨網(wǎng)段的 ARP 欺騙比同一網(wǎng)段的 AR