【正文】 用程序給定的緩沖區(qū)，就會覆蓋其他數(shù)據(jù)區(qū)。 （ 3）拒絕服務(wù)攻擊：拒絕服務(wù)攻擊，即攻擊者想辦法讓目標(biāo)機器停止提供服務(wù)或資源訪問。最常見的拒絕服務(wù)攻擊有計算機網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。這是由網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的，從而拒絕服務(wù)攻擊也成為了攻擊者的終極手法。 06 計算機軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 8 典型病毒攻擊 舉例 ARP 木馬病毒 當(dāng)局域網(wǎng)內(nèi)某臺主機運行 ARP 欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機和路由器，迫使局域網(wǎng)所有主機的 arp 地址表的網(wǎng)關(guān) MAC 地址更新為該主機的 MAC 地址，導(dǎo)致所有局域網(wǎng)內(nèi)上網(wǎng)的計算機的數(shù)據(jù)首先通過該計算機再轉(zhuǎn)發(fā)出去，用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過該主機上網(wǎng)，切換的時候用戶會斷線一次。當(dāng) ARP 欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。 防范措施：可以借助 NBTSCAN 工具來檢測局域網(wǎng)內(nèi)所有主機真實的 IP 與 MAC 地址對應(yīng)表，在網(wǎng) 絡(luò)不穩(wěn)定狀況下，以 arp –a 命令查看主機的 Arp 緩存表，此時網(wǎng)關(guān) IP 對應(yīng)的MAC 地址為感染病毒主機的 MAC 地址，通過 “Nbtscan –r ”掃描 網(wǎng)段查看所有主機真實 IP 和 MAC 地址表，從而根據(jù) IP 確定感染病毒主機。 另外，未雨綢繆，建議用戶采用雙向綁定的方法解決并且防止 ARP 欺騙，在計算機上綁定正確的網(wǎng)關(guān)的 IP 和網(wǎng)關(guān)接口 MAC 地址，在正常情況下，通過 arp –a 命令獲取網(wǎng)關(guān) IP 和網(wǎng)關(guān)接口的 MAC 地址，編寫一個批處理文件 內(nèi)容 如下： echo off arp –d（清零 ARP 緩存地址表） arp s 0022aa0022aa（綁定正確網(wǎng)關(guān) IP 和 MAC 地址） 把批處理放置開始 程序 啟動項中，使之隨計算機重起自動運行，以避免 ARP 病毒的欺騙。蠕蟲通過TCP/135 進(jìn)行探索發(fā)現(xiàn)存在漏洞的系統(tǒng)，一旦攻擊成功，通過 TCP/4444 端口進(jìn)行遠(yuǎn)程命令控制，最后通過在受感染的計算機的 UDP/69 端口建立 tftp 服務(wù)器進(jìn)行上傳蠕蟲自己的二進(jìn)制代碼程序 加以控制與破壞，該蠕蟲傳播時破壞了系統(tǒng)的核心進(jìn)程 ，會導(dǎo)致系統(tǒng) RPC 服務(wù)停止，因此可能引起其他服務(wù)（如 IIS）不能正常工作，出現(xiàn)比如拷貝、粘貼功能不工作，無法進(jìn)入網(wǎng)站頁面鏈接等等現(xiàn)象，嚴(yán) 重時并可能造成系統(tǒng)崩潰和反復(fù)重新啟動。如果該蠕蟲發(fā)現(xiàn)被感染的機器上有 “沖擊波 ”蠕蟲，則殺掉 “沖擊波 ”蠕蟲，并為系統(tǒng)打上補丁程序，但由于程序運行上下文的限制，很多系統(tǒng)不能被打上補丁，并被導(dǎo)致反復(fù)重新啟動。 蠕蟲病毒 蠕蟲病毒利用了本地安全驗證子系統(tǒng)（ Local Security Authority Subsystem，LSASS）里的一個緩沖區(qū)溢出錯誤，從而使得攻擊者能夠取得被感染系統(tǒng)的控制權(quán)。同時，它使用 TCP 端口 5554 隨機搜索 Inter 的網(wǎng)段，尋找其它沒有修補 LSASS 錯誤的 Windows 2021 和 Windows XP 系統(tǒng)。該蠕蟲會使 計算 機運行緩慢、 網(wǎng)絡(luò) 堵塞、并讓系統(tǒng)不停的進(jìn)行倒計時重啟。 TCP IP 協(xié)議中規(guī)定， IP 地址為 32 位，由網(wǎng)絡(luò)號和網(wǎng)絡(luò)內(nèi)的主機號構(gòu)成，每一臺接入局域網(wǎng)或者 Inter 的主機都要配置一個 IP 地址。 ARP 協(xié)議所做的工作就是查詢目的主機的 IP 地 址所對應(yīng)的 MAC 地址，并實現(xiàn)雙方通信。在通信的最初階段，我們能夠知道目的主機的 IP 地址，而 MAC 地址卻是未知的。 ARP 請求報文中含有源主機的 IP 地址和 MAC 地址，以及目的主機的 IP地址。如果目的主機和源主機地址不在同一個網(wǎng)段內(nèi)，源主機發(fā)出的 IP 數(shù)據(jù)包會送到交換機的默認(rèn)網(wǎng)關(guān)，而默認(rèn)網(wǎng)關(guān)的 MAC 地址同樣可以通過 ARP 協(xié)議獲取。 ARP 協(xié)議工作原理詳見圖 1 和圖 2。設(shè)在同一網(wǎng)段的三臺主機分別為Ａ ,Ｂ ,Ｃ，詳見表 1。攻擊方Ｃ通過前期準(zhǔn)備，可以發(fā)現(xiàn)Ｂ的漏洞，使Ｂ暫時無法工作，然后 Ｃ發(fā)送包含自己 MAC 地址的 ARP 應(yīng)答給Ａ。這樣，導(dǎo)致Ａ就將發(fā)往Ｂ的數(shù)據(jù)包發(fā)向了Ｃ ,但Ａ和 B 卻對此全然不知，因此 C 就實現(xiàn)對 A 和 B 的監(jiān)聽。假設(shè)Ａ和Ｂ在同一網(wǎng)段，Ｃ在另一網(wǎng)段，詳見表 2。然后和上面提到的一樣，尋找主機Ｂ的漏洞，攻擊此漏洞，使主機Ｂ暫時無法工作。Ａ接收到應(yīng)答后，更新其 ARP 緩存。但是，Ａ在發(fā)數(shù)據(jù)包給Ｂ時，仍然會在局域網(wǎng)內(nèi)尋找 10． 10． 100． 2 的MAC 地址，不會把包發(fā)給路由器，這時就需要進(jìn)行 ICMP 重定向，告訴主機Ａ到 10． 10． 100． 2的最短路徑不是局域網(wǎng)，而是路由，請主機重定向路由路徑，把所有到 10． 10． 100． 2 的包發(fā)給路由器。這樣攻擊方Ｃ就能得到來自內(nèi)部網(wǎng)段的數(shù)據(jù)包。 1）首先，要求用戶獲得交換機網(wǎng)關(guān)的 IP 地址和 MAC 地址，用戶在 DOS 提示符下執(zhí)行 arp – a 命令，具體如下： C:\Documents and Settings\userarp a Interface: 0x2 Inter Address Physical Address Type 0040667788d7 dynamic 其中 和 00306dbc9cd7 分別為網(wǎng)關(guān)的 IP 地址和 MAC 地址，因用戶所在的區(qū)域、樓體和交換機不同，其對應(yīng)網(wǎng)關(guān)的 IP 地址和 MAC 地址也不相同。 網(wǎng)管交換機端綁定 在核心交換機上綁定用戶主機的 IP 地址和網(wǎng)卡的 MAC 地址，同時在邊緣交換機上將用戶計算機網(wǎng)卡的 MAC 地址和交換機端口綁定的雙重安全綁定方式。在核心交換機上將所有局域網(wǎng)絡(luò)用戶的 IP 地址與其網(wǎng)卡MAC 地址一一對應(yīng)進(jìn)行全部綁定。具體實現(xiàn)方法如下（以 AVAYA 三層交換機為例）： P580(Configure) arp 00:E0:4C:11:11:11 P580(Configure) arp 00:E0:4C:22:22:22 P580(Configure) arp 00:E0:4C:33:33:33 2） MAC 地址與交換機端口的綁定。此方案可以防止非法用戶隨意接入網(wǎng)絡(luò)端口上網(wǎng)。具體操作如下（以 AVAYA 二層邊緣交換機為例）： console (enable) lock port 1/1 console (enable) add mac 00:E0:4C:11:11:11 1 Address 00:E0:4C:11:11:11 was added to the secure list ! console (enable) lock port 1/2 console (enable) add mac 00:E0:4C:22:22:22 2 Address 00:E0:4C:22:22:22 was added to the secure list ! console (enable) lock port 1/3 console (enable) add mac 00:E0:4C:33:33:33 3 Address 00:E0:4C:33:33:33 was added to the secure list ! console (enable) show cam VLAN DestMAC/Route Des Destination Port 1 00:E0:4C:11:11:11 1/1 1 00:E0:4C:22:22:22 1/2 1 00:E0:4C:33:33:33 1/3 采用 VLAN 技術(shù)隔離端口 局域網(wǎng)的網(wǎng)絡(luò)管理員可根據(jù)本單位網(wǎng)絡(luò)的拓卜結(jié)構(gòu)，具體規(guī)劃出若干個 VLAN，當(dāng)管理員發(fā)現(xiàn)有非法用戶在惡意利用 ARP 欺騙攻擊網(wǎng)絡(luò)，或因合法用戶受病毒 ARP 病毒感染而影響網(wǎng)絡(luò)時，網(wǎng)絡(luò)管理員可利用技術(shù)手段首先查找到該用戶所在的交換機端口，然后將該端口劃一個單獨的 VLAN 將該用戶與其它用戶進(jìn)行物理隔離，以避免對其它用戶的影響。 06 計算機軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 12 2 網(wǎng)絡(luò)安全 近年來，伴隨著互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展，人們在提供了極大的方便，然而，信息化在給人們帶來種種物質(zhì)和文化享受的同時，我們也正受到日益嚴(yán)重的來自網(wǎng)絡(luò)的安全威脅，諸如網(wǎng)絡(luò)的數(shù)據(jù)竊賊、黑客的侵襲、病毒發(fā)布者，甚至系統(tǒng)內(nèi)部的泄密者。與此同時，更讓人不安的是，互聯(lián)網(wǎng)上黑客網(wǎng)站還在不斷增加，學(xué)習(xí)黑客技術(shù)、獲得黑客攻擊工具變得輕而易舉。針對各種來自網(wǎng)上的安全威脅，怎樣才能確保網(wǎng)絡(luò)信息的安全性，尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全性。 、計算機網(wǎng)絡(luò)安全的概念 國際標(biāo)準(zhǔn)化組織將 “計算機安全 ”定義為： “為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機硬 件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏 ”。計算機網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的認(rèn)識和要求也就不同。 從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。 、計算機網(wǎng)絡(luò)安全現(xiàn)狀 計算機網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。06 計算機軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 13 目前 黑客的攻擊 方法 已超過了計算機病毒的種類，而 且許多攻擊都是致命的。蠕蟲、后門 (Backdoors)、 Rootkits、 DOS(DenialofServices)和 Sniffer(網(wǎng)路監(jiān)聽 )是大家熟悉的幾種黑客攻擊手段。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化， 攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。一些國家和部門不斷遭到入侵攻擊，本文列舉以下事例以供分析和研究之用。他面臨 “與計算機有關(guān)的欺詐 ”的指控，控方稱，他的活動涉及了美國陸軍、海軍、空軍以及美國航空航天局。 事件二： 2021 年 6 月 17 日報道萬事達(dá)信用卡公司稱，大約 4000 萬名信用卡用戶的賬戶被一名黑客利用電腦病毒侵入，遭到入侵的數(shù)據(jù)包括信用卡用戶的姓名、銀行和賬號，這都能夠被用來盜用資 金。 事件三： 日本 3 家銀行 eBank、網(wǎng)絡(luò)銀行和瑞穗銀行近日聲稱，有客戶在不知情的情況下，存款被轉(zhuǎn)賬、盜領(lǐng)，在向銀行查詢后，才知道是遭黑客入侵。日本警視廳高科技犯罪對策中心接到報案后已展開調(diào)查，并從被害人的計算機中查到間諜軟件，這種軟件可自動記錄輸入計算機的資料，并透過網(wǎng)絡(luò)傳送給第三者。非法入侵到國防、政府等一些機密信息系統(tǒng)，盜取國家的軍事和政治情報，危害國家安全。通過網(wǎng)絡(luò)，利用黑客手段侵入敵方信息系統(tǒng)，獲取軍事信息、發(fā)布假信息、病毒，擾亂對方系統(tǒng)等等。我國證券系統(tǒng)接二連三發(fā)生的盜用他人密碼進(jìn)行詐騙的案件，已經(jīng)引起了網(wǎng)民的不安。 基于以上事件的分析，一方面可以看到網(wǎng)絡(luò)安全不僅影響到一個國家的政治、軍事、經(jīng)濟及文化的發(fā)展，而且會影響到國際局勢的變化和發(fā)展；另一方面網(wǎng)絡(luò)自身存在安全隱患才會影06 計