网络攻击与防御

摘要：当今的Internet每时每刻都存在危险，如果用户在使用Internet时不采取任何保护措施，就很容易遭到黑客的攻击。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视，计算机网络安全技术也因此出现了日新月异的变化。本篇论文是对现时网络环境中的网络攻击与防御技术进行分析。

关键词：网络攻击；防御；

Abstract: In today's Internet presence at all times dangerous, if the user does not use the Internet to take any protective measures, it is vulnerable to hackers. In recent years, frequent security incidents caused a national computer security community's attention, computer network security technology and thus there have been rapid changes. This paper is the current network environment of network attack and defense techniques for analysis.Key words: network attacks; defense;

TN711

一、网络攻击的概述

随着Internet的日益普及，网络安全成为被广泛关注的问题。从2000 年年初Yahoo 、eBay等著名网站遭到DDoS攻击、年底微软网站被“黑”开始，网络安全逐步成为热门的技术产业。网络攻击就是试图通过网络入侵或干扰一个网络的行为。网络攻击的种类有多种多样，分为主动攻击和被动攻击。主动攻击是电脑用户利用自己的电脑和网络，进行入侵或干扰其它网络。被动攻击，是电脑中了病毒或木马程序，在机主不知道的情况下，由病毒或木马自己进行网络入侵或干扰活动。

二、常见的网络攻击技术

1.获取口令。其中包括三种方法：一是通过网络监听非法得到用户口令这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大；二是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令这种方法不受网段限制，但黑客要有足够的耐心和时间；三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令。[1]

2.放置特洛伊木马程序。特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载。一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改用户计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等，从而达到控制用户的计算机的目的。

3.WWW的欺骗技术。黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。[2]

4 .电子邮件攻击。主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”。也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序，这类欺骗只要用户提高警惕，一般危害性不是太大。

5.通过一个节点来攻击其他节点。黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机（以隐蔽其入侵路径，避免留下蛛丝马迹）。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少被黑客使用。

6.网络监听。主机的一种工作模式，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXray for Windows 95/98/nt、sniffit for linux 、solaries等就可以轻而易举地截取包括口令和账号在内的信息资料。

7.寻找系统漏洞。许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非用户将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。

8.利用账号进行攻击。有的黑客会利用操作系统提供的缺省账户和密码进行攻击。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令一般都能克服。

9.偷取特权。利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。

三、防御措施

为了实现服务器与客户机的通信，服务器和客户机都必须建立套接字，这样做目的是为了确保数据的安全性。在这种安全连接上，数据在发送前经过加密码，然后在接收时先解密再进行处理。浏览器和服务器在发送任何数据之前都对所有流量加密。

经过对端口扫描和网络攻击技术的研究，结合现有的防御技术文章，总结下列几种简单的防御措施。[3]

1.取消文件夹隐藏共享

（1）打开注册表编辑器，进入“HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\parameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑。

(2)在计算机管理中直接停止共享，右击我的电脑管理共享文件夹共享右击需要停止的共享停止共享。

2.拒绝恶意代码

运行IE浏览器，“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

3.封死黑客的后门

(1)删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

(2)关闭“文件和打印共享”

用鼠标右击“网络邻居”，选择中本地连接然后右击属性菜单，在弹出的对话框中把“Microsoft 网络文件和打印机共享”前的复选框取消即可。

(3)把Guest账号禁用

打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

(4)禁止建立空连接

打开注册表“HKEY_LOCAL_MACHINE\System\CurrentControlSetControl\LSA”将DWORD值“Restrict Anonymous”的键值改为“1”即可。

4.隐藏IP地址

黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS（拒绝服务）攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用服务器。

5.关闭不必要的端口

黑客在入侵时常常会扫描用户的计算机端口，如果安装了端口监视程序（比如Net watch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。

6.更换管理员账户

Administrator账户拥有最高的系统权限，一旦该账户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator账户的密码，所以我们要重新配置Administrator账号。首先是为Administrator账户设置一个强大复杂的密码，然后我们重命名Administrator账户，再创建一个没有管理员权限的Administrator账户欺骗入侵者。这样一来，入侵者就很难搞清哪个账户真正拥有管理员权限，也就在一定程度上减少了危险性。[4]

7.杜绝Guest账户的入侵

Guest账户即所谓的来宾账户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest账户的系统入侵。禁用或彻底删除Guest账户是最好的办法。

8.安装必要的安全软件和防范木马程序

我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

（1）在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

（2）在“开始”“程序”“启动”或“开始”“程序”“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

（3）注册表里：

KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除即可。

通过上面几点的操作，相信我们的计算机安全已经得到有效的保证。

参考文献：

[1] 星光科技，黑客攻防实战[M]，人民邮电出版社，2008

[2] 张同光，信息安全技术教程[M]，电子工业出版社，2008

[3] 神龙工作室，新手学黑客攻防[M]，人民邮电出版社，2009

[4] 甘刚，网络攻击与防御[M]，清华大学出版社，2008