网络攻击技术原理与防范措施
班级:网络0902 学号:[1**********]4 姓名:刘建波
随着网络技术和Internet 的飞速发展,网络环境变得越来越复杂,网络安全问题显得越来越重要,网络易受如木马、恶意代码、蠕虫、DDOS 攻击等攻击, 黑客攻击事件数量的不断上升,如2011年6月发生的Facebook 攻击,2011年3月发生的RSA Security攻击,再早些时候发生的网游大盗及熊猫烧香等,给社会造成了严重的损失,与此同时,网络攻击呈现攻击手段多样化、技术平民化、周期缩短化的态势,为了不被突如其来的网络攻击弄得手足无措,必须要化被动为主动,探究可能存在的网络漏洞、常见的攻击方法及其防范措施,具有十分重要的意义。
网络攻击的常见方法:
1.1 TCP SYN拒绝服务攻击
一般情况下,一个TCP 连接的建立需要经过三次握手的过程,即:
1、建立发起者向目标计算机发送一个TCP SYN报文;
2、目标计算机收到这个SYN 报文后,在内存中创建TCP 连接控制块(TCB ),然后向发起者回送一个TCP ACK报文,等待发起者的回应;
3、发起者收到TCP ACK报文后,再回应一个ACK 报文,这样TCP 连接就建立起来了。 利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击:
1、攻击者向目标计算机发送一个TCP SYN报文;
2、目标计算机收到这个报文后,建立TCP 连接控制结构(TCB ),并回应一个ACK ,等待发起者的回应;
3、而发起者则不向目标计算机回应ACK 报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK 回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB 控制结构,TCB ,一般情况下是有限的)耗尽,而不能响应正常的TCP 连接请求。
1.2 ICMP洪水
正常情况下,为了对网络进行诊断,一些诊断程序,比如PING 等,会发出ICMP 响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Reply 报文。而这个过程是需要CPU 处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP 洪水),则目标计算机会忙于处理这些ECHO 报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS )。
1.3 UDP洪水
原理与ICMP 洪水类似,攻击者通过发送大量的UDP 报文给目标计算机,导致目标计算机忙于处理这些UDP 报文而无法继续处理正常的报文。
1.4 端口扫描
根据TCP 协议规范,当一台计算机收到一个TCP 连接建立请求报文(TCP SYN)的时候,做这样的处理:
1、如果请求的TCP 端口是开放的,则回应一个TCP ACK报文,并建立TCP 连接控制结构(TCB );
2、如果请求的TCP 端口没有开放,则回应一个TCP RST (TCP 头部中的RST 标志设为
1)报文,告诉发起计算机,该端口没有开放。
相应地,如果IP 协议栈收到一个UDP 报文,做如下处理:
1、如果该报文的目标端口开放,则把该UDP 报文送上层协议(UDP )处理,不回应任何报文(上层协议根据处理结果而回应的报文例外);
2、如果该报文的目标端口没有开放,则向发起者回应一个ICMP 不可达报文,告诉发起者计算机该UDP 报文的端口不可达。
利用这个原理,攻击者计算机便可以通过发送合适的报文,判断目标计算机哪些TCP 或UDP 端口是开放的,过程如下:
1、发出端口号从0开始依次递增的TCP SYN或UDP 报文(端口号是一个16比特的数字,这样最大为65535,数量很有限);
2、如果收到了针对这个TCP 报文的RST 报文,或针对这个UDP 报文的ICMP 不可达报文,则说明这个端口没有开放;
3、相反,如果收到了针对这个TCP SYN报文的ACK 报文,或者没有接收到任何针对该UDP 报文的ICMP 报文,则说明该TCP 端口是开放的,UDP 端口可能开放(因为有的实现中可能不回应ICMP 不可达报文,即使该UDP 端口没有开放)。
这样继续下去,便可以很容易的判断出目标计算机开放了哪些TCP 或UDP 端口,然后针对端口的具体数字,进行下一步攻击,这就是所谓的端口扫描攻击。
1.5 分片IP 报文攻击
为了传送一个大的IP 报文,IP 协议栈需要根据链路接口的MTU 对该IP 报文进行分片,通过填充适当的IP 头中的分片指示字段,接收计算机可以很容易的把这些IP 分片报文组装起来。
目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些IP 协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻击者计算机便会一直等待(直到一个内部计时器到时),如果攻击者发送了大量的分片报文,就会消耗掉目标计算机的资源,而导致不能相应正常的IP 报文,这也是一种DOS 攻击。
1.6 SYN比特和FIN 比特同时设置
在TCP 报文的报头中,有几个标志字段:
1、 SYN :连接建立标志,TCP SYN报文就是把这个标志设置为1,来请求建立连接;
2、 ACK :回应标志,在一个TCP 连接中,除了第一个报文(TCP SYN)外,所有报文都设置该字段,作为对上一个报文的相应;
3、 FIN :结束标志,当一台计算机接收到一个设置了FIN 标志的TCP 报文后,会拆除这个TCP 连接;
4、 RST :复位标志,当IP 协议栈接收到一个目标端口不存在的TCP 报文的时候,会回应一个RST 标志设置的报文;
5、 PSH :通知协议栈尽快把TCP 数据提交给上层程序处理。
正常情况下,SYN 标志(连接请求标志)和FIN 标志(连接拆除标志)是不能同时出现在一个TCP 报文中的。而且RFC 也没有规定IP 协议栈如何处理这样的畸形报文,因此,各个操作系统的协议栈在收到这样的报文后的处理方式也不同,攻击者就可以利用这个特征,通过发送SYN 和FIN 同时设置的报文,来判断操作系统的类型,然后针对该操作系统,进行进一步的攻击。
1.7 没有设置任何标志的TCP 报文攻击
正常情况下,任何TCP 报文都会设置SYN ,FIN ,ACK ,RST ,PSH 五个标志中的至少一个标志,第一个TCP 报文(TCP 连接请求报文)设置SYN 标志,后续报文都设置ACK 标志。有的协议栈基于这样的假设,没有针对不设置任何标志的TCP 报文的处理过程,
因此,这样的协议栈如果收到了这样的报文,可能会崩溃。攻击者利用了这个特点,对目标计算机进行攻击。
1.8 设置了FIN 标志却没有设置ACK 标志的TCP 报文攻击
正常情况下,ACK 标志在除了第一个报文(SYN 报文)外,所有的报文都设置,包括TCP 连接拆除报文(FIN 标志设置的报文)。但有的攻击者却可能向目标计算机发送设置了FIN 标志却没有设置ACK 标志的TCP 报文,这样可能导致目标计算机崩溃。
1.9 死亡之PING
TCP/IP规范要求IP 报文的长度在一定范围内(比如,0-64K ),但有的攻击计算机可能向目标计算机发出大于64K 长度的PING 报文,导致目标计算机IP 协议栈崩溃。
1.10 地址猜测攻击
跟端口扫描攻击类似,攻击者通过发送目标地址变化的大量的ICMP ECHO报文,来判断目标计算机是否存在。如果收到了对应的ECMP ECHO REPLY 报文,则说明目标计算机是存在的,便可以针对该计算机进行下一步的攻击。
1.11 泪滴攻击
对于一些大的IP 包,需要对其进行分片传送,这是为了迎合链路层的MTU (最大传输单元)的要求。比如,一个4500字节的IP 包,在MTU 为1500的链路上传输的时候,就需要分成三个IP 包。
在IP 报头中有一个偏移字段和一个分片标志(MF ),如果MF 标志设置为1,则表面这个IP 包是一个大IP 包的片断,其中偏移字段指出了这个片断在整个IP 包中的位置。 例如,对一个4500字节的IP 包进行分片(MTU 为1500),则三个片断中偏移字段的值依次为:0,1500,3000。这样接收端就可以根据这些信息成功的组装该IP 包。
如果一个攻击者打破这种正常情况,把偏移字段设置成不正确的值,即可能出现重合或断开的情况,就可能导致目标操作系统崩溃。比如,把上述偏移设置为0,1300,3000。这就是所谓的泪滴攻击。
1.12 带源路由选项的IP 报文
为了实现一些附加功能,IP 协议规范在IP 报头中增加了选项字段,这个字段可以有选择的携带一些数据,以指明中间设备(路由器)或最终目标计算机对这些IP 报文进行额外的处理。
源路由选项便是其中一个,从名字中就可以看出,源路由选项的目的,是指导中间设备(路由器)如何转发该数据报文的,即明确指明了报文的传输路径。比如,让一个IP 报文明确的经过三台路由器R1,R2,R3,则可以在源路由选项中明确指明这三个路由器的接口地址,这样不论三台路由器上的路由表如何,这个IP 报文就会依次经过R1,R2,R3。而且这些带源路由选项的IP 报文在传输的过程中,其源地址不断改变,目标地址也不断改变,因此,通过合适的设置源路由选项,攻击者便可以伪造一些合法的IP 地址,而蒙混进入网络。
1.13 带记录路由选项的IP 报文
记录路由选项也是一个IP 选项,携带了该选项的IP 报文,每经过一台路由器,该路由器便把自己的接口地址填在选项字段里面。这样这些报文在到达目的地的时候,选项数据里面便记录了该报文经过的整个路径。
通过这样的报文可以很容易的判断该报文经过的路径,从而使攻击者可以很容易的寻找其中的攻击弱点。
1.14 未知协议字段的IP 报文
在IP 报文头中,有一个协议字段,这个字段指明了该IP 报文承载了何种协议,比如,如果该字段值为1,则表明该IP 报文承载了ICMP 报文,如果为6,则是TCP ,等等。目前
情况下,已经分配的该字段的值都是小于100的,因此,一个带大于100的协议字段的IP 报文,可能就是不合法的,这样的报文可能对一些计算机操作系统的协议栈进行破坏。
1.15 IP地址欺骗
一般情况下,路由器在转发报文的时候,只根据报文的目的地址查路由表,而不管报文的源地址是什么,因此,这样就可能面临一种危险:如果一个攻击者向一台目标计算机发出一个报文,而把报文的源地址填写为第三方的一个IP 地址,这样这个报文在到达目标计算机后,目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP 地址欺骗攻击。
比较著名的SQL Server 蠕虫病毒,就是采用了这种原理。该病毒(可以理解为一个攻击者)向一台运行SQL Server解析服务的服务器发送一个解析服务的UDP 报文,该报文的源地址填写为另外一台运行SQL Server解析程序(SQL Server 2000以后版本)的服务器,这样由于SQL Server 解析服务的一个漏洞,就可能使得该UDP 报文在这两台服务器之间往复,最终导致服务器或网络瘫痪。
面对网络攻击手段的层出不穷,各类网络安全技术防范技术也应运而生,为了确保网络安全,下面介绍几种常见的网络攻击防范技术。 防火墙
防火墙是一种比较成熟、使用最广泛的安全技术,是网络安全最基本的安全措施,它是利用硬件和软件组合而成的在内部网(或局域网) 和互联网之间,其目的是保护网络不受外来的攻击,实现防火墙的技术有很多种,如包过滤、双穴主机、屏蔽子网网关和代理服务器等,其中,应用代理防火墙位于内网和外网之间,当外网的用户请求访问内网的某个WEB 服务器时,该请求先被送到代理防火墙,代理防火墙对该请求进行安全检查,通过后,再转交给内网中的服务器,从而确保了网络的安全,包过滤型防火墙是通过检查它的数据包的路由器,从而限定外部客户的不符合过滤规则的数据包,常用的防火墙有思科CISCO 、东软Neusoft 、Juniper 、H3C 、华为赛门铁克、飞塔Fortinet 、天网防火墙、傲盾ddos 防火墙和冰盾DDOS 防火墙等。 入侵检测系统
入侵检测(IDS )是一种用于检测网络上不合法、不正常活动的网络技术,可以在一定程度上防范来自系统内、外部的入侵,其通过收集不同的系统资源信息,并对资源信息进行分析处理,监视、分析用户及系统行为,识别、反应已知攻击的行为模式并报警,入侵检测系统有两种:基于主机的IDS (HIDS)和基于网络的IDS(NIDS)。 虚拟专用网络
VPN (Virtual Private Network,虚拟专用网)是建立在实际物理网络基础上的一种功能性网络,其利用Internet 等公共网络的基础设施,通过安全隧道、客户认证和访问控制等技术,为用户提供一条与专用网络具有相同通信功能的安全数据通道,实现不同网络之间以及用户与网络之间的相互连接,其由VPN 服务器、传输介质和客户段组成,要实现 VPN 连接,企业内部网络中必须配置有一台VPN 服务器,VPN 服务器一方面连接到 Internet ,另一方面要连接企业内部专用网络。 加密技术
密码技术通过信息的变换或编码,将机密的敏感消息变换成为难以读懂的乱码字符,以此防止信息泄漏、篡改和破坏,加密技术常分为对称加密和非对称加密技术,常见的对称加密方式有 DES 、3DES 、DB64等,非常见的非对称加密算法有RSA 和ECC 等。 漏洞扫描技术
漏洞扫描是通过扫描等手段,对远端或本地主机安全漏洞进行检测的技术,它从而发现网络的安全脆弱点,针对特定漏洞,给予漏洞描述、严重程度描述,并给出相应的修补的措施,
使网络管理者可以预先了解网络的脆弱性所在,从而确保网络系统的安全,常用的工具包括亿思网站安全检测平台、瑞星漏洞扫描、思科漏洞扫描、冠群金辰、启明星辰等。
随着计算机系统的广泛应用和黑客技术的不断发展,网络攻击的手段多样化,令人防不胜防,形形色色的网络罪犯充斥在Internet 的各个角落,各类网络安全事件频频见诸报端,针对网络的各种攻击,如木马病毒,邮件炸弹,网络蠕虫,黑客攻击等等,已经泛滥开来,分析和研究常见的网络攻击方法与其防范技术具有重要的意义。
网络攻击技术原理与防范措施
班级:网络0902 学号:[1**********]4 姓名:刘建波
随着网络技术和Internet 的飞速发展,网络环境变得越来越复杂,网络安全问题显得越来越重要,网络易受如木马、恶意代码、蠕虫、DDOS 攻击等攻击, 黑客攻击事件数量的不断上升,如2011年6月发生的Facebook 攻击,2011年3月发生的RSA Security攻击,再早些时候发生的网游大盗及熊猫烧香等,给社会造成了严重的损失,与此同时,网络攻击呈现攻击手段多样化、技术平民化、周期缩短化的态势,为了不被突如其来的网络攻击弄得手足无措,必须要化被动为主动,探究可能存在的网络漏洞、常见的攻击方法及其防范措施,具有十分重要的意义。
网络攻击的常见方法:
1.1 TCP SYN拒绝服务攻击
一般情况下,一个TCP 连接的建立需要经过三次握手的过程,即:
1、建立发起者向目标计算机发送一个TCP SYN报文;
2、目标计算机收到这个SYN 报文后,在内存中创建TCP 连接控制块(TCB ),然后向发起者回送一个TCP ACK报文,等待发起者的回应;
3、发起者收到TCP ACK报文后,再回应一个ACK 报文,这样TCP 连接就建立起来了。 利用这个过程,一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击:
1、攻击者向目标计算机发送一个TCP SYN报文;
2、目标计算机收到这个报文后,建立TCP 连接控制结构(TCB ),并回应一个ACK ,等待发起者的回应;
3、而发起者则不向目标计算机回应ACK 报文,这样导致目标计算机一致处于等待状态。 可以看出,目标计算机如果接收到大量的TCP SYN报文,而没有收到发起者的第三次ACK 回应,会一直等待,处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源(TCB 控制结构,TCB ,一般情况下是有限的)耗尽,而不能响应正常的TCP 连接请求。
1.2 ICMP洪水
正常情况下,为了对网络进行诊断,一些诊断程序,比如PING 等,会发出ICMP 响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Reply 报文。而这个过程是需要CPU 处理的,有的情况下还可能消耗掉大量的资源,比如处理分片的时候。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP 洪水),则目标计算机会忙于处理这些ECHO 报文,而无法继续处理其它的网络数据报文,这也是一种拒绝服务攻击(DOS )。
1.3 UDP洪水
原理与ICMP 洪水类似,攻击者通过发送大量的UDP 报文给目标计算机,导致目标计算机忙于处理这些UDP 报文而无法继续处理正常的报文。
1.4 端口扫描
根据TCP 协议规范,当一台计算机收到一个TCP 连接建立请求报文(TCP SYN)的时候,做这样的处理:
1、如果请求的TCP 端口是开放的,则回应一个TCP ACK报文,并建立TCP 连接控制结构(TCB );
2、如果请求的TCP 端口没有开放,则回应一个TCP RST (TCP 头部中的RST 标志设为
1)报文,告诉发起计算机,该端口没有开放。
相应地,如果IP 协议栈收到一个UDP 报文,做如下处理:
1、如果该报文的目标端口开放,则把该UDP 报文送上层协议(UDP )处理,不回应任何报文(上层协议根据处理结果而回应的报文例外);
2、如果该报文的目标端口没有开放,则向发起者回应一个ICMP 不可达报文,告诉发起者计算机该UDP 报文的端口不可达。
利用这个原理,攻击者计算机便可以通过发送合适的报文,判断目标计算机哪些TCP 或UDP 端口是开放的,过程如下:
1、发出端口号从0开始依次递增的TCP SYN或UDP 报文(端口号是一个16比特的数字,这样最大为65535,数量很有限);
2、如果收到了针对这个TCP 报文的RST 报文,或针对这个UDP 报文的ICMP 不可达报文,则说明这个端口没有开放;
3、相反,如果收到了针对这个TCP SYN报文的ACK 报文,或者没有接收到任何针对该UDP 报文的ICMP 报文,则说明该TCP 端口是开放的,UDP 端口可能开放(因为有的实现中可能不回应ICMP 不可达报文,即使该UDP 端口没有开放)。
这样继续下去,便可以很容易的判断出目标计算机开放了哪些TCP 或UDP 端口,然后针对端口的具体数字,进行下一步攻击,这就是所谓的端口扫描攻击。
1.5 分片IP 报文攻击
为了传送一个大的IP 报文,IP 协议栈需要根据链路接口的MTU 对该IP 报文进行分片,通过填充适当的IP 头中的分片指示字段,接收计算机可以很容易的把这些IP 分片报文组装起来。
目标计算机在处理这些分片报文的时候,会把先到的分片报文缓存起来,然后一直等待后续的分片报文,这个过程会消耗掉一部分内存,以及一些IP 协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文,而不发送所有的分片报文,这样攻击者计算机便会一直等待(直到一个内部计时器到时),如果攻击者发送了大量的分片报文,就会消耗掉目标计算机的资源,而导致不能相应正常的IP 报文,这也是一种DOS 攻击。
1.6 SYN比特和FIN 比特同时设置
在TCP 报文的报头中,有几个标志字段:
1、 SYN :连接建立标志,TCP SYN报文就是把这个标志设置为1,来请求建立连接;
2、 ACK :回应标志,在一个TCP 连接中,除了第一个报文(TCP SYN)外,所有报文都设置该字段,作为对上一个报文的相应;
3、 FIN :结束标志,当一台计算机接收到一个设置了FIN 标志的TCP 报文后,会拆除这个TCP 连接;
4、 RST :复位标志,当IP 协议栈接收到一个目标端口不存在的TCP 报文的时候,会回应一个RST 标志设置的报文;
5、 PSH :通知协议栈尽快把TCP 数据提交给上层程序处理。
正常情况下,SYN 标志(连接请求标志)和FIN 标志(连接拆除标志)是不能同时出现在一个TCP 报文中的。而且RFC 也没有规定IP 协议栈如何处理这样的畸形报文,因此,各个操作系统的协议栈在收到这样的报文后的处理方式也不同,攻击者就可以利用这个特征,通过发送SYN 和FIN 同时设置的报文,来判断操作系统的类型,然后针对该操作系统,进行进一步的攻击。
1.7 没有设置任何标志的TCP 报文攻击
正常情况下,任何TCP 报文都会设置SYN ,FIN ,ACK ,RST ,PSH 五个标志中的至少一个标志,第一个TCP 报文(TCP 连接请求报文)设置SYN 标志,后续报文都设置ACK 标志。有的协议栈基于这样的假设,没有针对不设置任何标志的TCP 报文的处理过程,
因此,这样的协议栈如果收到了这样的报文,可能会崩溃。攻击者利用了这个特点,对目标计算机进行攻击。
1.8 设置了FIN 标志却没有设置ACK 标志的TCP 报文攻击
正常情况下,ACK 标志在除了第一个报文(SYN 报文)外,所有的报文都设置,包括TCP 连接拆除报文(FIN 标志设置的报文)。但有的攻击者却可能向目标计算机发送设置了FIN 标志却没有设置ACK 标志的TCP 报文,这样可能导致目标计算机崩溃。
1.9 死亡之PING
TCP/IP规范要求IP 报文的长度在一定范围内(比如,0-64K ),但有的攻击计算机可能向目标计算机发出大于64K 长度的PING 报文,导致目标计算机IP 协议栈崩溃。
1.10 地址猜测攻击
跟端口扫描攻击类似,攻击者通过发送目标地址变化的大量的ICMP ECHO报文,来判断目标计算机是否存在。如果收到了对应的ECMP ECHO REPLY 报文,则说明目标计算机是存在的,便可以针对该计算机进行下一步的攻击。
1.11 泪滴攻击
对于一些大的IP 包,需要对其进行分片传送,这是为了迎合链路层的MTU (最大传输单元)的要求。比如,一个4500字节的IP 包,在MTU 为1500的链路上传输的时候,就需要分成三个IP 包。
在IP 报头中有一个偏移字段和一个分片标志(MF ),如果MF 标志设置为1,则表面这个IP 包是一个大IP 包的片断,其中偏移字段指出了这个片断在整个IP 包中的位置。 例如,对一个4500字节的IP 包进行分片(MTU 为1500),则三个片断中偏移字段的值依次为:0,1500,3000。这样接收端就可以根据这些信息成功的组装该IP 包。
如果一个攻击者打破这种正常情况,把偏移字段设置成不正确的值,即可能出现重合或断开的情况,就可能导致目标操作系统崩溃。比如,把上述偏移设置为0,1300,3000。这就是所谓的泪滴攻击。
1.12 带源路由选项的IP 报文
为了实现一些附加功能,IP 协议规范在IP 报头中增加了选项字段,这个字段可以有选择的携带一些数据,以指明中间设备(路由器)或最终目标计算机对这些IP 报文进行额外的处理。
源路由选项便是其中一个,从名字中就可以看出,源路由选项的目的,是指导中间设备(路由器)如何转发该数据报文的,即明确指明了报文的传输路径。比如,让一个IP 报文明确的经过三台路由器R1,R2,R3,则可以在源路由选项中明确指明这三个路由器的接口地址,这样不论三台路由器上的路由表如何,这个IP 报文就会依次经过R1,R2,R3。而且这些带源路由选项的IP 报文在传输的过程中,其源地址不断改变,目标地址也不断改变,因此,通过合适的设置源路由选项,攻击者便可以伪造一些合法的IP 地址,而蒙混进入网络。
1.13 带记录路由选项的IP 报文
记录路由选项也是一个IP 选项,携带了该选项的IP 报文,每经过一台路由器,该路由器便把自己的接口地址填在选项字段里面。这样这些报文在到达目的地的时候,选项数据里面便记录了该报文经过的整个路径。
通过这样的报文可以很容易的判断该报文经过的路径,从而使攻击者可以很容易的寻找其中的攻击弱点。
1.14 未知协议字段的IP 报文
在IP 报文头中,有一个协议字段,这个字段指明了该IP 报文承载了何种协议,比如,如果该字段值为1,则表明该IP 报文承载了ICMP 报文,如果为6,则是TCP ,等等。目前
情况下,已经分配的该字段的值都是小于100的,因此,一个带大于100的协议字段的IP 报文,可能就是不合法的,这样的报文可能对一些计算机操作系统的协议栈进行破坏。
1.15 IP地址欺骗
一般情况下,路由器在转发报文的时候,只根据报文的目的地址查路由表,而不管报文的源地址是什么,因此,这样就可能面临一种危险:如果一个攻击者向一台目标计算机发出一个报文,而把报文的源地址填写为第三方的一个IP 地址,这样这个报文在到达目标计算机后,目标计算机便可能向毫无知觉的第三方计算机回应。这便是所谓的IP 地址欺骗攻击。
比较著名的SQL Server 蠕虫病毒,就是采用了这种原理。该病毒(可以理解为一个攻击者)向一台运行SQL Server解析服务的服务器发送一个解析服务的UDP 报文,该报文的源地址填写为另外一台运行SQL Server解析程序(SQL Server 2000以后版本)的服务器,这样由于SQL Server 解析服务的一个漏洞,就可能使得该UDP 报文在这两台服务器之间往复,最终导致服务器或网络瘫痪。
面对网络攻击手段的层出不穷,各类网络安全技术防范技术也应运而生,为了确保网络安全,下面介绍几种常见的网络攻击防范技术。 防火墙
防火墙是一种比较成熟、使用最广泛的安全技术,是网络安全最基本的安全措施,它是利用硬件和软件组合而成的在内部网(或局域网) 和互联网之间,其目的是保护网络不受外来的攻击,实现防火墙的技术有很多种,如包过滤、双穴主机、屏蔽子网网关和代理服务器等,其中,应用代理防火墙位于内网和外网之间,当外网的用户请求访问内网的某个WEB 服务器时,该请求先被送到代理防火墙,代理防火墙对该请求进行安全检查,通过后,再转交给内网中的服务器,从而确保了网络的安全,包过滤型防火墙是通过检查它的数据包的路由器,从而限定外部客户的不符合过滤规则的数据包,常用的防火墙有思科CISCO 、东软Neusoft 、Juniper 、H3C 、华为赛门铁克、飞塔Fortinet 、天网防火墙、傲盾ddos 防火墙和冰盾DDOS 防火墙等。 入侵检测系统
入侵检测(IDS )是一种用于检测网络上不合法、不正常活动的网络技术,可以在一定程度上防范来自系统内、外部的入侵,其通过收集不同的系统资源信息,并对资源信息进行分析处理,监视、分析用户及系统行为,识别、反应已知攻击的行为模式并报警,入侵检测系统有两种:基于主机的IDS (HIDS)和基于网络的IDS(NIDS)。 虚拟专用网络
VPN (Virtual Private Network,虚拟专用网)是建立在实际物理网络基础上的一种功能性网络,其利用Internet 等公共网络的基础设施,通过安全隧道、客户认证和访问控制等技术,为用户提供一条与专用网络具有相同通信功能的安全数据通道,实现不同网络之间以及用户与网络之间的相互连接,其由VPN 服务器、传输介质和客户段组成,要实现 VPN 连接,企业内部网络中必须配置有一台VPN 服务器,VPN 服务器一方面连接到 Internet ,另一方面要连接企业内部专用网络。 加密技术
密码技术通过信息的变换或编码,将机密的敏感消息变换成为难以读懂的乱码字符,以此防止信息泄漏、篡改和破坏,加密技术常分为对称加密和非对称加密技术,常见的对称加密方式有 DES 、3DES 、DB64等,非常见的非对称加密算法有RSA 和ECC 等。 漏洞扫描技术
漏洞扫描是通过扫描等手段,对远端或本地主机安全漏洞进行检测的技术,它从而发现网络的安全脆弱点,针对特定漏洞,给予漏洞描述、严重程度描述,并给出相应的修补的措施,
使网络管理者可以预先了解网络的脆弱性所在,从而确保网络系统的安全,常用的工具包括亿思网站安全检测平台、瑞星漏洞扫描、思科漏洞扫描、冠群金辰、启明星辰等。
随着计算机系统的广泛应用和黑客技术的不断发展,网络攻击的手段多样化,令人防不胜防,形形色色的网络罪犯充斥在Internet 的各个角落,各类网络安全事件频频见诸报端,针对网络的各种攻击,如木马病毒,邮件炸弹,网络蠕虫,黑客攻击等等,已经泛滥开来,分析和研究常见的网络攻击方法与其防范技术具有重要的意义。