Internet上的网络攻击与防范(可做论文)
更新时间:2024-01-23 00:42:01 阅读量: 教育文库 文档下载
Internet上的网络攻击与防范
近几年来Internet在全球范围内迅速升温并高速发展,极大地改变着人们的生活方式,它已被认为是信息社会中信息高速公路的雏形。人们在充分享受Internet提供的各种好处的同时,必须考虑到网络上还存在着大量的垃圾信息的攻击行为,尤其是作为中国Internet服务的主要提供者,保证网络的正常运行,为用户提供高质量的可靠服务,使Internet能更好地为社会服务,也是我们应尽的责任。为此,我们必须提高安全意识,尽量减少来自网络的各类攻击行为。
在Internet网上,网络攻击的行为通常有:通过侵入主机后非法获取重要文件,修改系统资料,删除文件,破坏系统;通过发送大量报文或其他方式使网络拥塞,使被攻击的主机Shut Down;通过截取或篡改网络上的报文来欺骗目标主机,获取相关资料;通过传播病毒攻击目标主机。网络上还有一类人,他们能够侵入一个系统,但目的不是破坏,而只是想显示自己的水平,把侵入系统当成是对自己的挑战,这种人通常称为 黑客(HACKER)。我们把进行以上攻击行为的人统称为“攻击者”。 网络攻击的手段大致可分为以下几类: (1)利用主机上服务器的不正确配置和漏洞进行攻击。 (2)利用主机操作系统的某些漏洞进行攻击。
(3)利用TCP/IP协议上的某些不安全因素进行攻击。 (4)利用病毒进行攻击。 (5)其他网络攻击方式。
1 关于服务器程序的不安全因素
目前Internet上常见的服务器程序有WWW(http)、ftp、MAIL(smtp)、fingerd、rlogind、rshd几种,由于这些服务器程序自身存在的BUG及配置错误,使任何对外提供这些服务的主机都是潜在的被攻击对象,这些漏洞常被攻击者用来非法获得对主机系统的访问权。
1.l ftp服务器
众所周知,匿名ftp服务器上的ftp/etc/passwd应该是一个缩减版本,以免泄漏一些对攻击者有用的信息,如用户名、用户SHELL等;另外,ftp的HOME目录的所有者不能是ftp自己,否则,ftp目录下的文件有可能被修改或删除。除此而外,在某些早期版本的ftp Server上,如Wu-ftp,存在一个“site exec”的命令,使用户能够在运行这个服务器的主机上执行一些命令,显然这对系统安全是一个严重的威胁。在最新的Wu-ftp服务器上已经消除了这个隐患,但某些服务器程序,如SUNOS操作系统自带的in.ftpd仍然使一个普通的帐号用户能够以类似的方式获得shadow中的内容,再通过Crack等口令猜测工具可以猜出一些取得不好的口令,因此不要在用户的登录主机上运行这个服务器程序,除非已安装了SUN公司提供的PATCH。 1.2 WWW服务器
通过WWW Server用到的目录和文件应该属于ROOT用户而且不允许其他用户写,运行WWW Server的用户应该具有较小的权限,尽量不要以ROOT的身份运行WWW Server。这是因为在WWW中为了提供更大的灵活性而引入了大量的CGI程序和JAVA程序,它们都有可能调用用户提供的参数在本地机上运行,如果在设计程序时考虑不周,就存在着一定的危险性,有可能使攻击者能获得对系统的访问权。例如,在NCSAhttpd l.4之前的版本中自带了一个叫phf的CGI程序,没有处理好对某些特殊字符的过滤,使攻击者能够在被攻击的主机上以WWW Server属主的身份执行一些额外的程序。除了NCSAhttpd以外,还有其他一些WWW Server和一些考虑不周的CGI程序也有类似的情况。目前在CHINANET上有相当部分节点存在这样的问题,有些节点的WWW Server和匿名ftp Server在同一台主机上,这样会使问题更加严重,攻击者可以在ftp Server的incoming目录中放一个只包括一个“+”的文件,然后通过前面提到的WWW Server上的漏洞将这个文件拷到WWW Server属主的HOME目录,从而能够用.rhosts类服务访问主机,或者在incoming中放一个特络伊木马程
序和其他攻击程序,通过WWW Server的漏洞调用它来进一步攻击系统。 1.3 SMTP服务器
Internet上的网络攻击与防范
目前CHINANET上的邮件服务器大多数采用的是Sendmail。Sendmail的每一个版本都存在着一些BUG,从早期的Wizard,Debug,Decode,Forward到后来利用Sendmail本身的错误来读取任何文件,利用Buf Over Flow来非法执行命令。最新版的Sendmail已消除了绝大多数已知的BUG。 1.4 其他服务程序
在CHINANET的网点上,还经常运行着以下服务器程序:rlogind,rshd,fingerd,tftpd,X11等。前两个由于提供了一种不经过验证口令即可进入系统的方式,因而容易被攻击者利用来攻击系统。在早期的fingerd中存在着Buf Over Flow的漏洞,1988年 Internet上的第一起网络攻击事件(著名的Morrs’s Worm)正是使用了这个漏洞使Worm在网络中大量复制,使被入侵的主机系统因CPU繁忙而不得不关机,同时使网络拥塞。Worm程序还利用了前面提到的Sendmail和rlogin的一些BUG。在现在的fingerd中已经弥补了这个漏洞,但是,它仍然可以为用户提供远程主机上用户的活动规律,为攻击者提供有利的信息。ttfp提供了一种不验证口令就可以从服务器上取文件的服务,也具有一定的危险性。XServer如果使用不当,也使攻击者可能观察到另一个用户的屏幕信息,甚至记录该用户的击键信息,模拟用户击键。另外,NFS和NIS也存在一些安全性方面的问题。 2 关于操作系统的不安全因素
由于UNIX系统是一个开放的系统,其源代码早已公开,因此一些攻击者通过深入研究源代码而发现了UNIX的一些漏洞,并利用它非法获取超级用户的某些权限。这种漏洞常见的有以下几类:
(1)利用某些S-UID程序中对边界条件检查不严,通过Buf Overflow的方式使堆栈
溢出,并将返回指针指向一个Shell程序,而获得S-UID属主权限Shell,如SUNOS的eject,rdist,passwd,fdformat,ffbconfig,AIX的dtterm,mount,lquerypv,gethostbyname(),IRIX的printers,df,iwsh,xlock,几乎所有的UNIX操作系统都有这类漏洞,而这类漏洞也是拥有shell权利的攻击者用于获取ROOT的最常用方式。
(2)某些程序在/tmp目录下存放运行过程中产生的临时数据,在一些情况下可以被攻击者利用竞争条件来获取超级用户权力,如ps就是这样,它所产生的数据文件先存放在/tmp目录下,然后才把它的属主改为ROOT,因此通过把另一个程序连接到该文件,就有可能通过竞争使该程序的属主为ROOT。
(3)某些UNIX操作系统允许传送环境变量给telnetd,所以攻击者可以通过设定环境变量login()使用错误的动态连接库的方法来跳过口令认证,获得访问系统的权力,在某些版本的IRIX、OSF操作系统中存在这类问题。另外,在某些操作系统如IRIX上,有一些缺省帐号是没有口令的,这种帐号如果没有锁定或加口令,将是非常危险的。
(4)某些设备文件的存取权限设置不对,也有可能使攻击者获得额外的权力,这方面的例子有/dev/kmem核心内存区、/dev/tty终端设备区都不能让普通用户有写的权力。 (5)故意让某些程序在运行时出错,从产生的core文件中可以得到一些额外的信息,这方面的例子包括前面提到的SUNOS的in.ftpd的问题。有些时候程序在出错的时候改变了某些关键文件的属性也给攻击者以可乘之机。
(6)某些操作系统在实现某些网络协议时对边界条件检查不严,如IP报文长度超过64kB时,如果接收方没有检查到这个错误而按正常方式分片重组,将可能造成系统崩溃或其它不可预料的后果。WIN NT和WIN95也曾受到一种叫WinNuke软件的攻击而造成系统死机或影响网络功能,其原因也在于Win95/NT对TCP报头中的“紧急”位(UREGENT)的处理不够完善,接收方通过紧急指针来决定紧急传送的带外数据(Out Of Band)的位置,当紧急指针指向帧的末尾即没有带外数据时,Win95/NT将出现上述故障,通过安装相应的Patch
可以补上这个漏洞。
3 TCP/IP协议族的一些弱点
TCP/IP协议族的特点之一是它的简单性,然而这也带来了一些潜在的问题。例如,在网络上,一些关键信息是用明码传送的,包括telnet,ftp,pop3,rlogin等要求提供用户名和口令的协议也是如此,因此,如果攻击者通过一些监控程序或其他方式截获了网络上传送的这些包,从中提取用户名和口令是一件比较容易的事情。
另外,在Internet这样复杂的网络环境中,主机将不得不完全或部分信任它所得到的信息,如对方的IP地址、DNS消息等。然而攻击者可以利用IP欺骗的方式,篡改IP报文的报头,使被攻击的主机认为信息来自另一台可以信赖的主机,而达到攻击的目的,它往往和前面提到的.rhosts的不安全性一起使用,这种攻击方式还利用了TCP/IP协议中TCP报文中Sequence产生的规律性,使攻击者即使收不到被攻击主机传回来的确认报文,仍然可以猜出TCP连接中下一个报文的Sequenc序号,从而伪造出下一个攻击报文,用“瞎子攻击”的方式对系统进行攻击。在DNS的例子中,由于主机对DNS消息的信任,通过伪造DNS报文的内容,也可以使执行查询的主机得到的IP地址是攻击者希望用户去访问的主机,诱导用户提供一些私人信息或误导用户。 4 利用病毒进行攻击
病毒一直是计算机用户尤其PC机用户的一个令人头痛的问题,在Internet上有许多共享软件、免费软件和其他应用软件,然而,他们也有可能带有一些病毒对系统造成危害。因此,我们要小心使用这些软件,使用前最好用病毒检测软件进行检查,使用后要观察一段时期后再正式使用。 5 其他网络攻击方式
WIN NT和WIN95是网络上应用比较广泛的操作系统,它们也存在着一些BUG,容易受到攻击。不久前微软公司在Internet上的WWW网站就曾因受到攻击而暂时关闭,原因是
基于NT的WWW Server-I-IS在处理一个超长的URL的时候会出现缓冲区溢出而使服务器崩溃。同样,NETSCAPE和IE也存在一些BUG,使用户在访问WWW Server时,WWW Server的管理员有可能窃取用户硬盘上的所有资料。在Cisco的2511/2509系列路由器上,如果配置不当,也使攻击者能够操纵与异步口相连的MODEM,改变MODEM的参数,甚至窃取拨号用户的密码。Cisco路由器的enable口令本身也存在被解密的可能。而Mail Bomb、Mail Spamming和Mail Spoof是网络上的另一类攻击行为,其目的在于破坏系统,使网络拥塞,搔扰用户而不是侵入系统。 6 如何加强系统的安全性
前面我们谈到了在Internet上存在着许多不安全的因素,然而,通过提高管理员的安全意识和技术水平,提前做好一些防范工作,是可以使大部分的网络攻击行为不能得逞。 首先,我们应该防止攻击者通过各种途径非法获得对一些关键系统的访问权,因此,要尽量采用最新版本的服务器程序。一般来说,这些最新版本的服务器程序都已经弥补了以前版本的绝大部分已知的漏洞,它们自身虽然仍然可能存在着一些新的BUG,但这些BUG的发现和传播是需要一定的时间的,这可以阻止大部分通过服务器程序进行的攻击。对于一些不常用的服务如rsh,flogin,tftP等,要谨慎使用。对telnet服务,如果一定要有,可以考虑常用严格限制的sh--rsh(restrict shell);对ftp服务,可以对使用的用户进行限制或用chroot限制其访问的目录。对于一些不对外提供服务的主机,有可能的话,应在路由器或防火墙上用access-list加以过滤,不让外部主机访问,防止攻击者通过攻击那些未开放的主机,并通过它对整个网络的安全造成威胁。即使是对外提供服务的主机,也应把它不提供服务的那些报文过滤掉。在很多路由器和防火墙软件上,还提供了其他一些增强的功能,如IP欺骗的检测与记录、地址转换等。在一个对安全性有较高要求的环境中,可以考虑在内部网和外部网之间用防火墙配置一个堡垒主机或非军事区子网,以充分利用防火墙的功能,对进出内部网的信息进行监控,隔离外部网可能对内部网的攻击,同时可以跟踪和记录对网络的
攻击行为。有些服务,如果只想让内部人员使用,也可以改变其标准的PORT号。对XServer,可以用MIT Cookie来提供一种验证机制,加强它的安全性。其次,为了提高操作系统自身的安全性,我们应该尽可能安装最新的版本,并寻找和安装新的PATCH,以弥补系统的已知漏洞。同时注意操作系统厂商发布的安全公告及建议,及时弥补新发现的漏洞。作为系统管理员,还要做以下工作:
(1)提醒用户取一个不容易猜测的口令。虽然口令加密采用的DES算法是不可逆的,但一个不好的口令是可以用口令猜测程序猜测出来的。用户口令的泄漏,不仅对用户是一个损失,对整个系统的安全也是一个威胁。
(2)有可能的话,可以考虑去掉大部分不必要的SUID程序。检查由/etc/inetd.conf,/etc/re* ,cron,at等启动的程序有无可疑,检查系统文件和目录的存取权限和完整性,检查有无可疑的.rhosts文件和SUID程序,检查各类配置文件是否被修改,这些都是攻击者可能留下后门的地方,我们曾经在这些地方发现并清除过一些后门程序。检查用户登陆的登录时间和源地址是否可疑,虽然攻击者在获得超级用户的权力后有可能清除或改变这些记录,但如果这些记录存放在别的主机或在备份的介质上,攻击者即使拥有了超级用户的权力也会留下一些痕迹可供跟踪。
(3)使用一些额外的安全工具,如检测口令是否安全的Crack,增加TCP连接控制和记录的tcp wrapper,检查文件完整性的MD5,SUN公司的ASET(自动安全增强工具),检查网络安全性漏洞的Satan等,跟踪记录网络上感兴趣的信息的工具Sniffit,它可以监测telnet用户、ftp用户的活动。我们曾经用它跟踪并记录到了一些用户登录进主机后的可疑行为,并及时堵住了相关的漏洞。
(4)使用一些用于加密和身份认证的网络协议和产品,例如为了防止邮件被偷看或伪造,可以采用PGP软件进行加密和数字签名进行身份认证。为了保证网络上电子贸易的安全性,也可以考虑采用支持以下一些协议的产品,如SET(Secure Electronic Transaction,由Visa
和Master Card共同开发,并得到Microsoft,IBM,Netscape等公司的支持),SSL(Secure Socket Layer由Netscape公司提出,已提交IETF),S-HTTP(Secure HTTP,是HTTP的扩展,增加了许多安全性方面的内容)。这些协议大都采用了双匙加密和数字签名身份认证,以及通过一个双方都信任的公正机构(Certification Authority)来为双方提供证明,通过一个只在当前会话有效的临时密码对会话内容进行加密等技术。这些措施可以保证双方在交易过程中的内容是完整的,不可破译的,不可假冒的。
(5)要做好备份,世界上没有绝对的安全,一个你认为已经足够安全的系统也存在被攻破的可能,一旦系统出现一些灾难性的意外,备份能够将你的损失减少到最小。
总而言之,Internet上的攻击和防范之间的斗争是非常激烈的,而且是长期的,作为一个Internet网点的系统管理员和安全管理员来说,要想保证网络的安全运转,维护用户的利益,必须加强安全意识,跟踪最新的安全动态,采用最新的安全产品和技术,相互交流经验。同时广泛宣传教育,让广大用户正确地使用网络,才能减少来自网络的威胁,促进Internet的健康发展。
正在阅读:
建筑工程各项技术交底)03建筑装饰装修工程技术交底13地毯地面工04-05
历史趣谈张作霖为啥拒绝“东三省总督”赵尔巽的提亲?10-27
手指操游戏12-14
国家设置的职业(执业)资格(水平)考试一览表 - 图文11-10
SAP最新客户端安装包GUI750 安装说明及是否启用FIORI界面01-30
会计学原理_chapter9(1)07-29
近代香烟广告的中外较量12-18
甲苯乙苯 - 图文03-13
- exercise2
- 铅锌矿详查地质设计 - 图文
- 厨余垃圾、餐厨垃圾堆肥系统设计方案
- 陈明珠开题报告
- 化工原理精选例题
- 政府形象宣传册营销案例
- 小学一至三年级语文阅读专项练习题
- 2014.民诉 期末考试 复习题
- 巅峰智业 - 做好顶层设计对建设城市的重要意义
- (三起)冀教版三年级英语上册Unit4 Lesson24练习题及答案
- 2017年实心轮胎现状及发展趋势分析(目录)
- 基于GIS的农用地定级技术研究定稿
- 2017-2022年中国医疗保健市场调查与市场前景预测报告(目录) - 图文
- 作业
- OFDM技术仿真(MATLAB代码) - 图文
- Android工程师笔试题及答案
- 生命密码联合密码
- 空间地上权若干法律问题探究
- 江苏学业水平测试《机械基础》模拟试题
- 选课走班实施方案
- Internet
- 防范
- 攻击
- 论文
- 网络
- 钢卷尺标准装置期间核查方法
- 八年级英语上册Unit1MeandMyClassLesson4BestFriends教案冀教版1
- 培训游戏大全(团体游戏篇 - 103个游戏)
- 遥感试题
- 面试中如何自我介绍(共6篇)
- 2007年江西省高等职业学校招生统一考试复习试卷06
- LTE网络结构、网元功能及接口说明
- 申论不得不看的好文章
- 九年级部编语文教材网络培训心得体会
- 岗位职责含义
- 2018年高考化学试卷(全国卷2)
- 湖南省银行名录2018版502家 - 图文
- 成熟汽车社会的经验借鉴
- 人事部的绩效考核怎么做
- 辽宁省乡镇卫生室名录2018版2175家 - 图文
- 第 七 章资源税法
- 培养小学生几何直观能力的思考
- 实习电工考试题
- 倒闸操作
- 铝合金门窗施工合同