【文章內(nèi)容簡介】 CIMP 包響應。雖然對路由器進行了禁止網(wǎng)外的 CIMP 廣播包的進入 , 但是黑客很可能已經(jīng)攻破了網(wǎng)絡內(nèi)部的某臺主機 ,黑客仍然可以使用網(wǎng)絡上這臺被他控制的這臺主機發(fā)起 Smurf 攻擊。 ? 黑客攻擊的目標應采取的措施 對被攻擊的目標而言 ,要防止接受到大量的 CIMPECHOREPYL 包的攻擊 沒有一個簡單的解決辦法 ,甚至要防止受到其他類型的 DoS 攻擊都沒有太好的 辦法 ,Yahoo!等站點被 DoS 攻擊這一事實就說明了這一點。雖然可以對被攻 擊網(wǎng)絡的路由器進行配置 ,禁止 CIMPECHOREPLAY 包的進入 ,但這并不能 阻止網(wǎng)絡路由器到其 IsP 之間的網(wǎng)絡擁塞。這樣 ,較為妥當?shù)慕鉀Q辦法是與其 SIP 協(xié)商 ,由 IsP 暫時阻止這樣的垃圾流量。另外 ,被攻擊目標應及時與被黑客利 用而發(fā)起攻擊的中間網(wǎng)絡管理員聯(lián)系。 ? 黑客攻擊實際發(fā)起的網(wǎng)絡應采取的措施 于從本網(wǎng)絡向外部網(wǎng)絡發(fā)送的數(shù)據(jù)包 ,本網(wǎng)絡應該將目的地址為 其他網(wǎng) 絡的這部分數(shù)據(jù)包過濾掉。雖然當前的 IP 協(xié)議技術不可能消除 IP 偽造數(shù)據(jù)包 , 但使用過濾技術可以減少這種偽造發(fā)生的可能。 . 分片攻擊 (Fragment Attacks) 種攻擊方法利用了 TCP/P協(xié)議的弱點 ,第一種形式的分片攻擊是 ,有一些 TCP/IP協(xié)議實現(xiàn)中 ,對 IP 分段出現(xiàn)重疊時并不能正確地處理。例如 ,當黑客遠程向目標主機發(fā)送 IP的片段 ,然后在目標主機上重新構造成一個無效的 UDP 包 ,這個無效的 UDP 包使得目標主機處于不穩(wěn)定狀態(tài)。一旦處于不穩(wěn)定狀態(tài) ,被攻擊的目標主機要么處于藍屏幕的停機狀 常州大學本科畢業(yè)設計（論文） 第 5 頁 共 58 頁 態(tài) ,要么死機或重新啟動。類似這樣的黑客攻擊工具有 :Teardorp,NewTear,Bokn 和 Boikn等。 第二種形式的分片攻擊是 ,一些 TCP/P 的實現(xiàn)對出現(xiàn)一些特定的數(shù)據(jù)包會呈現(xiàn)出脆弱性。例如 ,當黑客遠程向目標主機發(fā)出的 SYN 包 ,其源地址和端口與目標主機的地址和端口一致時 ,目標主機就可能死機或掛起。典型這樣的黑客工具是 :LAND。 . 帶外數(shù)據(jù)包攻擊 /Nuking(Out of Band) 向一個用戶 Windows 系統(tǒng)的 139 口 (NetBIOS 的端口 ),發(fā)送帶外數(shù)據(jù)包 OOB(垃圾數(shù)據(jù) ),Windows 不 知如何處理這些 OOB,可以遠程造成該用戶系統(tǒng)運行異常。對方用戶只有重新啟動才能正常工作。 . 分布式拒絕服務攻擊 DDOS 傳統(tǒng) DoS 攻擊的缺點是 : ? 受網(wǎng)絡資源的限制。黑客所能夠發(fā)出的無效請求數(shù)據(jù)包的數(shù)量要受到其主機出口帶寬的限制 。 ? 隱蔽性差。如果從黑客本人的主機上發(fā)出拒絕服務攻擊 ,即使他采用偽造 IP 地址等手段加以隱蔽 ,從網(wǎng)絡流量異常這一點就可以大致判斷其位置 ,與 IsP合作還是較容易定位和緝拿到黑客的。而 DDoS 卻克服了以上兩個致命弱點。 ? 隱蔽性更強。通過間接操縱因特網(wǎng)上 “無辜 ”的計算機實施攻擊 ,突破了傳統(tǒng)攻擊方式從本地攻擊的局限性和不安全性。 ? 攻擊的規(guī)?？梢愿鶕?jù)情況做得很大 ,使目標系統(tǒng)完全失去提供服務的功能。所以 ,分布式網(wǎng)絡攻擊體現(xiàn)了對黑客本人能力的急劇放大和對因特網(wǎng)上廣闊資源的充分利用。由于攻擊點眾多 ,被攻擊方要進行防范就更加不易。對 Yahoo!等世界上最著名站點的成功攻擊證明了這一點。 . 拒絕服務攻擊小結(jié) ? 分布式網(wǎng)絡攻擊 NAistribetNdeowrAcs)成為黑客的主要攻擊手段 ,這也是未來連接在 常州大學本科畢業(yè)設計（論文） 第 6 頁 共 58 頁 因特網(wǎng)上機構所面臨的嚴重威脅之一。 DNA 攻擊形式是隨著因特網(wǎng)快速發(fā)展的必然結(jié)果。現(xiàn)在是 DDoS 攻擊 ,那么下一次攻擊也許就是分布式欺騙 (Dsitributedspoofing)、分布式監(jiān)聽 (Distibutedsniffing) 、 或 者 是 分 布 式 分 段 攻 擊(DistibutedFragmentationAttack)。 ? 從根本上還是要維護好上網(wǎng)主機的安全性。 ? SIP 與 SIP 之間、 IsP 與網(wǎng)絡管理員管理員之間相互協(xié)調(diào)合作 ,共同對付 DoS。 . 惡意軟件 (Malicious Software) . 邏輯炸彈 (Logical Bomb) 它是一種程序 ,在特定的條件下 (通常是由于漏洞 )會對目標系統(tǒng)產(chǎn)生破壞作用。 . 后門 (Backdoor) 它是一種程序 ,允許黑客遠程執(zhí)行任意命令。一般情況下 ,黑客攻破某個系統(tǒng)后 ,即使系統(tǒng)管理員發(fā)現(xiàn)了黑客行為并堵住了系統(tǒng)的漏洞 ,為了能夠再次訪問該系統(tǒng) ,黑客往往在系統(tǒng)中安放這樣的程序。 . 蠕蟲 (Worm) 它是一種獨立的程序 ,能夠繁殖并從一個系統(tǒng)到另一個系統(tǒng)傳播其自身的拷貝 ,通常在整個網(wǎng)絡上。像病毒一樣 ,蠕蟲可以直接破壞數(shù)據(jù) ,或者因消耗系統(tǒng)資源而減低系統(tǒng)性能 ,甚至使整個網(wǎng)絡癱瘓。最著名的就是 1988 年 Morrsi 因特網(wǎng)蠕蟲事件。 . 病毒（ Virus) 它是一種程序或代碼但并不是獨立的程序 ),能夠在當前的應用中自我復制 ,并且可以附著在其他程序上。病毒也能夠通過過度占用系統(tǒng)資源而降低系統(tǒng)性能 ,使得其他合法的授權用戶也不能夠正常使用系統(tǒng)資源。 . 特洛伊木馬 (Trojan) 一種獨立的、能夠執(zhí)行任意命令的程序。特洛伊木馬往往能夠執(zhí)行某種有 常州大學本科畢業(yè)設計（論文） 第 7 頁 共 58 頁 用的功能 ,而這種看似有用的功能卻能夠隱藏在其中的非法程序。當合法用戶 使用這樣合法的功能時 ,特洛伊木馬也同時執(zhí)行了非授權的功能 ,而且通常篡 奪了用戶權限。 . 惡意軟件攻擊方法小結(jié) 惡意軟件通常能夠造成嚴重的安全威脅 ,秘密的信息可以被截獲和發(fā)送到敵手處 ,關鍵的信息可以被修改 ,計算機的軟件配置可以被改動以允許黑客進行連續(xù)的入侵。 排除惡意軟件的威脅代價是高昂的。采取預防措施和教育用戶所花費的代價 ,要比被攻擊后恢復的代價要低的多。 （一） 制定一個保護計算機防止被病毒等惡意軟件威脅的計劃。 這樣的計劃應該包括要保護計算機被病毒和其他惡意軟件威脅 ,系統(tǒng)管理員和合法用戶應該擁有的明確責任。例如 ,確定誰有權在計算機上下載和安裝軟件 。誰負責檢測和清除惡意軟件 ,用戶還是管理員 。禁止用戶運行從 E 一 MAIL 上接收到的可執(zhí)行文件、禁止從公共站點上下載軟件等。 （二） 安裝有 效的反病毒等工具。 要考慮反病毒等工具要進行脫線備份 ,以防止它們可能被病毒等惡意軟件修改而失去檢測功能。應積極地經(jīng)常在線檢測 ,同時也要不時進行脫線檢測 ,以確保在線檢測工具的正常功能。一般情況下 ,這種方法在初始安裝和配置操作系統(tǒng)時最為可靠。 （三） 教育用戶預防和識別病毒等惡意軟件的技術 用戶應該接受諸如病毒等惡意軟件傳播及防止它們進一步傳播的教育。這包括教育用戶在裝載和使用公共軟件之前 ,要使用安全掃描工具對其進行檢測。另外 ,許多病毒等惡意軟件有一定的特點 ,用戶應該得到一定的識別知識 ,并且能夠使用 適當?shù)能浖宄?。最好能夠及時進行新類型的安全威脅以及入侵方面的教育。 （四） 及時更新清除惡意軟件的工具 許多反惡意軟件的工具 ,如反病毒軟件 ,使用已知惡意軟件特征的數(shù)據(jù)庫 ,而新類型 常州大學本科畢業(yè)設計（論文） 第 8 頁 共 58 頁 的惡意軟件不斷地出現(xiàn) ,因此 ,檢測軟件應該不斷地更新以確保有最新的檢測版本。否則 ,結(jié)果是只能自認為安全的自欺欺人。 . 利用脆弱性 (Exploiting Vulnerabilites) . 訪問權限 (Aceess Permissions) 黑客利用系統(tǒng)文件的讀 /寫等訪問控制權限配置不當造成的弱點 ,獲取系統(tǒng)的訪問權。 . 蠻力攻擊 (Brute Force) 黑客通過多次嘗試主機上默認或安全性極弱的登錄 /口令 ,試登錄到某個帳號。還有一種形式是采用口令破解程序 ,對用戶加密后的口令文件進行破解 ,如使用 Cracker、LophtCracker、 NTCrack 等破解軟件。 . 緩沖區(qū)溢出 (Buffer Overflow) 一種形式的緩沖區(qū)溢出攻擊是黑客本人編寫并存放在緩沖區(qū)后任意的代碼 ,然后執(zhí)行這些代碼。這對黑客的技術水平要求很高 ,一般的黑客少有此舉。 另一種形式的緩沖區(qū)溢出攻擊是程序代碼編寫時欠考慮。典型的一種形式是對用 戶輸入的邊界檢查問題。例如 ,C 語言中 ,函數(shù)地 eto 不對用戶輸入的數(shù)量進行檢查 ,如果程序員不考慮這個情況就會出問題。統(tǒng)計表明 ,在操作系統(tǒng)和應用軟件中 ,因為編寫的原因 ,其中約有 30%的代碼存在著緩沖區(qū)溢出的漏洞。這就是為什么現(xiàn)在針對緩沖區(qū)溢出的攻擊事件不斷地發(fā)生的主要原因。有理由相信 ,隨著某些操作系統(tǒng)和應用軟件源代碼的公布 ,還會有更多的類似攻擊事件的發(fā)生。 . 信息流泄露 (Race Condition) 黑客利用在某個程序執(zhí)行時所產(chǎn)生的某些暫時的不安全條件 ,例如在執(zhí)行 SUID 時執(zhí)行用戶具有同被執(zhí)行程序的屬主同等權限 ,這樣執(zhí)行用戶就可以獲得對某些敏感數(shù)據(jù)的訪問權。 常州大學本科畢業(yè)設計（論文） 第 9 頁 共 58 頁 . 利用脆弱性小結(jié) 計算機和計算機網(wǎng)絡構成了一個復雜的大系統(tǒng) ,這個大系統(tǒng)內(nèi)部又有各種型號和計算機、各種版本的服務和各種類型的協(xié)議構成 ,不可能保證計算機系統(tǒng)的硬件、軟件 (操作系統(tǒng)和應用軟件 )、網(wǎng)絡協(xié)議、系統(tǒng)配置等各方面都完美無缺 ,黑客就能夠發(fā)現(xiàn)并利用這些缺陷來進行攻擊。 解決這方面的問題 ,一是教育 ,教育用戶樹立安全意識 ,如注意口令的設置、正確配置設備和服務等 。二是不斷地升級系統(tǒng)軟件和應用軟件的版本 ,及時安裝 “補丁 ”軟件。 . 操縱 IP 包 (IP Packet manipulation) . 端口欺騙 (Port spoofing) 利用常用服務的端口 ,如 20/53/80/1024 等 ,避開包過濾防火墻的過濾規(guī)則。 . 劃整為零 (Tiny fargments) 黑客將正常長度的數(shù)據(jù)包分解為若干小字節(jié)的數(shù)據(jù)包 ,從而避開防火墻過濾規(guī)則 ,如對 nga 幣。川 siez 等的檢測規(guī)則等。 . “盲 ”IP 欺騙 (Blind IP spoofing) 改變源 IP 地址進行欺騙。這種 IP 欺騙稱為 “盲 ”IP 欺騙 ,是因為黑客修改其發(fā)送數(shù)據(jù)包的源地址后 ,不能與目標主機進行連接并收到來自目標主機的 響應。但是 ,這種 “盲 ”IP欺騙往往是黑客能夠事先預計到目標主機可能會做出的響應而構成其他攻擊的組成部分。例如 ,前面所將到的 Smurf 攻擊 ,黑客事先預計到網(wǎng)絡上的計算機會對 CIMP 廣播包做出響應 ,從而達到攻擊預定目標的目的。而黑客本人卻無意接收網(wǎng)絡上計算機的任何回應。 容易受到 IP 欺騙攻擊脆弱的服務包括 :SunRPCamp。NFS。 BSD UNIX“r”命令 。X windows其他任何使用 IP 地址認證的應用。 對 IP 欺騙攻擊的防范中 ,路由器的正確設置最為關鍵和重要。如果路由器沒有正確 常州大學本科畢業(yè)設計（論文） 第 10 頁 共 58 頁 設置 ,對聲稱源地址是本網(wǎng)絡的進網(wǎng)數(shù)據(jù)包不進行過濾 ,則容易使 IP 欺騙攻擊得逞。 下面三種路由器配置情況下 ,都可能遭致 “盲 ”IP 欺騙攻擊 : ? 在應用代理防火墻中 ,應用代理使用源 IP 地址進行認證 。 ? 為了支持將內(nèi)部網(wǎng)絡再劃分為子網(wǎng) ,配備具有兩個接口的路由器 。 ? 與外部不可信網(wǎng)絡相連的路由器支持多個內(nèi)部接口 盲 IP 欺騙可能造成嚴重的后果 ,基于 IP 源地址欺騙的攻擊可穿過過濾路由器 (防火墻 ),并可能獲得受到保護的主機的 root 權限。 針對這種攻擊行為可以采取以下措施 : ? 檢測 ? 使用網(wǎng)絡監(jiān)視軟件 ,例如 log 軟件 ,監(jiān)視外來的數(shù)據(jù)包。如果發(fā)現(xiàn) 外部接口上通過的數(shù)據(jù)包 ,其源地址和目的地址與內(nèi)部網(wǎng)絡的一致 , 則可以斷定受到IP 欺騙攻擊 。 ? 另一個辦法是比較內(nèi)部網(wǎng)絡中不同系統(tǒng)的進程統(tǒng)計日志。如果 IP 欺 騙對內(nèi)部某個系統(tǒng)進行了成功地攻擊 ,該受到攻擊主機的日志會記錄這樣的訪問 ,“攻擊主機 ”的源地址是內(nèi)部某個主機 。而在 “攻擊主機 ”上查找日志時 ,卻沒有這樣的記錄。 ? 防治措施 防治 “盲 ”IP 欺騙攻擊的最佳辦法是 :安裝配置過濾路由器 ,限制從外部來的進網(wǎng)流量 ,特別是要過濾掉那些源地址聲稱是內(nèi)部網(wǎng)絡的進網(wǎng)數(shù)據(jù)包。不僅如此 ,過濾路由器還要過濾掉那些聲稱源地址不是本網(wǎng)絡的出網(wǎng)數(shù)據(jù)包 ,以防止 IP 欺騙從本網(wǎng)絡發(fā)生。 . 序列