网络攻击及防范措施

【摘要】随着互联网的发展,在计算机网络安全领域里,存在一些非法用户利用各种手段和系统的漏洞攻击计算机网络.网络安全已经成为人们日益关注的焦点问题网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现.网络攻击是造成网络不安全的主要原因.单纯掌握攻击技术或者单纯掌握防御技术都不能适应网络安全技术的发展为了提高计算机网络的安全性,必须了解计算机网络的不安全因素和网络攻击的方法同时采取相应的防御措施。

【关键词】特洛伊木马网络监听缓冲区溢出攻击

1 特洛伊木马

特洛伊木马是一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限.黑客的特洛伊木马程序事先已经以某种方式潜入你的机器,并在适当的时候激活,潜伏在后台监视系统的运行,它同一般程序一样,能实现任何软件的任何功能.例如拷贝、删除文件、格式化硬盘、甚至发电子邮件,典型的特洛伊木马是窃取别人在网络上的账号和口令,它有时在用户合法的登录前伪造一登录现场,提示用户输入账号和口令,然后将账号和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。

完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序.“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为。

1.1 特洛伊木马程序的检测

(1)通过网络连接检测:扫描端口是检测木马的常用方法.在不打开任何网络软件的前提下,接入互联网的计算机打开的只有139端口.因此可以关闭所有的网络软件。进行139端口的扫描。

(2)通过进程检测:win/xp中按下“ctl+alt+del”进入任务管理器,就可以看到系统正在运行的全部进程,清查可能发现的木马程序。

(3)通过软件检测:用户运行杀毒、防火墙软件和专用木马查杀软件等都可以检测系统中是否存在已知的木马程序。

1.2 特洛伊木马程序的预防

(1)不执行任何来历不明的软件

(2)不随意打开邮件附件

(3)将资源管理器配置成始终显示扩展名

(4)尽量少用共享文件夹

(5)运行反木马实时监控程序

(6)经常升级系统

2 网络监听

网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等.当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。

在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在ip层直接发送,必须从tcp/ip协议的ip层交给网络接口,也就是数据链路层,而网络接口是不会识别ip地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与ip地址相对应的48位的地址。

当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、ip地址和网关)的主机的数据包。即在同一条物理信道上传输的所有信息都可以被接收到。正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。

2.1 如何检测并防范网络监听

(1)对于怀疑运行监听程序的机器,用正确的ip地址和错误的物理地址ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处理监听状态的机器能接收,但如果他的ipstack不再次反向检查的话,就会响应。

(2)观测dns

许多的网络监听都会进行址反向解析,在怀疑有网络监听发生时可以在dns系统上观测有没有明显增多的解析请求。

(3)向网上发大量不存在的物理地址的包,由于监听程序要分析和处理大量的数据包会占用很多的cpu资源,这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。

(4)反应时间

向怀疑有网络监听行为的网络发出大量垃圾数据包,根据各个主机回应的情况进行判断,正常的系统回应的时间应该没有太明显的变化,而处于混杂模式的系统由于对大量的垃圾信息照单全收,所以很有可能回应时间会发生较大的变化。

(5)利用arp数据包进行监测

这种方法是ping方式的一种变体,使用arp数据包替代了icmp数据包,向主机发送非广播式的arp包,如果主机响应了这个arp请求,就可以判断它很可能就处于网络监听模式了,这是目前相对比较好的监测模式。

(6)使用反监听工具如antisniff软件进行检测

3 缓冲区溢出攻击

缓冲区溢出是指当一个超长的数据进入到缓冲进入到缓冲区时,超出部分就会被写入其他缓冲区,其他缓冲区存放的可能是数据、下一条指令的指针或者是其他程序的输出内容,这些内容都被覆盖或被破坏掉。

缓冲区溢出有时又称为堆栈溢出攻击,是过去的十多年里,网络安全漏洞常用的一种形式并且易于扩充。相比于其他因素,缓冲区溢出是网络受到攻击的主要原因。

(1)编写正确的代码

由于缓冲区溢出是一个编程问题,所以只能通过修复被破坏的程序的代码而解决问题。开放程序时仔细检查溢出情况,不允许数据溢出缓冲区。

(2)非执行的缓冲区

使被攻击程序的数据段址空间不可执行,从而使得攻击都不可能执行被植入的攻击程序输入缓冲共代码。

(3)数组边界检查

数组边界检查完且没有缓冲共溢出的产生和攻击。这样,只要数组不能被溢出,溢出攻击也就无从谈起。为了实现数组边界检查,则所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。

(4)堆栈溢出检查

使用检查堆栈溢出的编译器或者在程序中加入某些记号,以便程序运行时确认禁止黑客有意造成的溢出。问题是无法针对已有程序,对新程序来讲,需要修改编译器。

(5)操作系统和应用程序检查

经常检查你的操作系统和应用程序提供商的站点,一旦发现他们提供的补丁程序,就马上下载并且应用在系统上,这是最好的方法。

4 结束语

网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题而不是万能的。未来的网络安全面临着更大的挑战和机遇,在看一个内部网是否安全时不仅要考察其手段,而更重要的是对该网络所采取的各种措施,其中不光是物理防范,还有人员的素质等其他“软”因素,进行综合评估,从而得出是否安全的结论。

参考文献

[1] 冯登国.计算机通信网络安全.北京:清华大学出版社,2001.

[2] 王育民,刘建伟.通信网安全——理论与技术.西安:西安电子科技大学出版社,1999.

[3] 戴英侠,连一峰,王航.系统安全与入侵检测.北京:清华大学出版社.