利用型网络攻击及其预防

开篇：润墨网以专业的文秘视角，为您筛选了一篇利用型网络攻击及其预防范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要:利用型网络攻击是一类常见的网络攻击。该文对此类攻击的常见方法和典型攻击工具进行了较为系统的介绍,并针对攻击原理提出了一些有效的预防措施。

关键词:网络攻击;利用型网络攻击;攻击预防

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)34-9679-03

Network Attack and Prevention of Information Collecting

WANG Jie-hua,GU Xiang

(School of Computer Science and Technology, Nantong University, Nantong 226019,China)

Abstract: Imperfection using attack is a kind of common network attack. The paper introduces some usual methods and typical tools about the attack. A lot of working preventive measures is also provided aimed at attacking principle.

Key words: network attack; imperfection using attack attack; attack prevention

随着计算机网络的飞速发展,网络信息的安全问题也日渐突出,它已经成为了科学研究的一个重大课题。现阶段,网络攻击的手段花样翻新,层出不穷,大致来说,可以分成如下四类:拒绝服务型攻击、利用型攻击、信息收集型攻击、假消息攻击。本文拟就其中的利用型攻击作一些初步的探讨。

利用型攻击是一类通过网络技术手段直接对主机或服务器进行控制的攻击。常见的有缓冲区溢出攻击、漏洞攻击、木马攻击等等。

1 缓冲区溢出攻击

在网络攻击技术的发展过程中,缓冲区溢出攻击是最有效的手段之一,缓冲区攻击占到远程网络攻击的大部分。

1.1 缓冲区溢出攻击的原理

缓冲区是内存中存放数据的地方。当程序试图将数据存放到内存中的某一位置时,如果没有足够的存储空间就会发生缓冲区溢出。在缓冲区攻击中,攻击者向一个有限空间的缓冲区中植入超长字符串,这时可能会导致系统出现以下两种情况:一种是过长的字符串覆盖了相邻存储单元,引起程序运行失败,情况严重时可导致系统崩溃;另一种是利用这个漏洞执行任意指令,甚至取得系统root特级权限。

缓冲区溢出攻击之所以能成为远程攻击中的主要方式,是因为缓冲区溢出漏洞给予攻击者控制程序执行流程的机会。攻击者将事先准备好的攻击代码植入到有缓冲区漏洞的程序之中,改变漏洞程序的执行过程,进而获得被攻击主机的控制权。

1.2 常用的缓冲区溢出攻击工具

MailEnable:这是是一款商业性质的POP3和SMTP服务器。MailEnable的IMAP服务中存在栈溢出漏洞,远程攻击者可能利用此漏洞控制服务器。如果攻击者能够发送特制的命令和数据的话,就可能触发这个漏洞,导致拒绝服务或任意指令执行。

Qt C++应用研发工具:Qt是一款C++应用研发工具,包括类库和跨平台开放工具。Qt包含多个安全问题,远程攻击者能够利用这些漏洞构建恶意图像文档,可以利用进程权限在系统上执行任意指令。Qt库在处理8-bit RLE编码的BMP文档过程中存在基于堆的缓冲区溢出,远程攻击者能够建立特别的BMP文档,诱使用户查看,可导致任意指令执行。

1.3 缓冲区溢出的预防措施

预防缓冲区溢出攻击主要有以下途径:

1) 强制书写正确的代码的方法。最根本的方法是完善程序,对程序定义的缓冲区设置严格的边界检查,只要有超过缓冲区大小的内容写入,程序就报错,不允许将写不下的内容写入缓冲区外面的地址之中。

2) 检查操作系统。检查操作系统是否出现缓冲区溢出漏洞是很重要的,一旦发现有溢出漏洞出现就要及时查找位置并安装补漏程序,这样才能使自己的操作系统处于安全状态。

3) 对堆栈的保护。这是一种提供程序指针完整性检查的编译器技术,通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节,而在函数返回时,首先要检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这次缓冲区溢出攻击就很容易在函数返回前被检测到。但是,如果攻击者(黑客)预先知道了这些附加字节的存在,并且能在溢出过程中同样地制造他们,那么攻击者(黑客)就能成功地跳过堆栈保护的检测。

4) 应急方法。如果发现了操作系统中有缓冲区溢出漏洞,但在一段时间内又找不到补漏的程序,那么可以将存在缓冲区漏洞的程序的权限暂时去掉,实现方法:

chmod u-s 文件名

到了需要使用时或则找到漏洞补丁的时候再用命令把它的用户ID权限加上,实现方法:

chmod u+s 文件名

2 漏洞攻击

漏洞它是指攻击者在未授权的条件下通过软件、硬件、协议和安全策略等上存在的缺陷对系统进行的非法访问或破坏。

2.1 漏洞攻击的原理

漏洞的存在会影响到很大范围的软硬件设备,包括系统本身和其支撑的软件、网络客户和服务器软件、网络路由器和安全防火墙等。漏洞有一种广义的定义,它是指威胁计算机信息安全的事物,包括人、硬件、软件、程序、数据等。

漏洞的来源主要有以下三个方面:与软件、硬件供应商有关的安全漏洞、与系统管理者有关的安全漏洞、与用户活动有关的安全漏洞。

常见的安全漏洞有:获得远程管理员权限、获得本地管理员权限、权限提升、远程拒绝服务、本地拒绝服务、欺骗、服务器信息的泄露、弱口令、读取受限文件、远程未授权文件存取、普通用户访问权限等等。

2.2 常用的漏洞攻击工具

1) WebDAVScan

此款软件是用于检测网段内的Microsoft IIS 5.0 服务器是否提供了对WebDAV的支持。WebDAV(基于 Web 的分布式写作和改写)是一组对 HTTP协议的扩展,它允许用户协作地编辑和管理远程 Web 服务器上的文件。DAV 功能包含创建、移动、复制及删除远程服务器上的文件和目录。

2) 新云漏洞完美入侵工具:

新云漏洞完美入侵这款工具集合了“新云”到现在以来的基本漏洞,另外还集合了一款外部软件、欺骗工具和跨站功能,是一款功能比较齐全的漏洞攻击工具。此款工具的界面如图1所示。

3) 啊D注入工具

啊D注入工具是一款功能强大、使用操作方便的注入工具。它可以对网站的SQL注入检测、管理入口检测、还可以注入连接和上传木马以及WebShell管理等等。此款工具的界面如图2所示。

2.3 漏洞攻击的预防措施

有关计算机系统存在的漏洞,可以采取以下措施:

1) 关闭系统不用的端口。默认情况下,Windows有很多端口是开放的,在上网的时候,网络病毒和攻击者可以通过这些端口连上电脑。为了让系统更安全,应该关掉这些端口,主要端口有:135,137,138,139,445,1025,2475,3127,6129,3389,593。

2) 对于网站、论坛、Blog存在的漏洞,在网页前应该对它们进行彻底调试:对.inc文件内容进行加密;使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码;inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。在发现漏洞时应该及时到专业网站下载该漏洞的补丁程序。隐藏数据库的存放位置,尽量让数据库的名称复杂,同时要更新.asp中的数据库连接。

3) 其他一些预防措施:停止不必要的服务;卸载不需要的协议;安装杀毒软件和防火墙等等。

3 木马攻击

木马全称叫做“特洛伊木马”(Trojan horse),其名称取自希腊神话的特洛伊木马记。 木马一词就是由这一典故引发而来的。

3.1 木马攻击的原理

木马其实是一个网络客户端与服务端组成的程序。它由一台计算机(服务器)提供服务,另一台计算机(服务器)接受服务。其中,客户端是运行在攻击者的操作系统上;服务器端则运行在目标主机上。

目前,木马主要依靠邮件、下载等途径进行传播。它利用一些有诱惑性的提示来诱使用户运行木马程序的服务端程序,实现木马的种植。此外木马还可以通过脚本来进行传播。

常见的木马有:1) 破坏型:这种类型的木马只有唯一的功能,那就是破坏并且删除文件,它们可以自动的删除电脑上的DLL、INI、EXE文件,使电脑瘫痪。“熊猫烧香”就是这类木马的典型。2) 密码发送型:这种类型的木马可以在用户的电脑中找出隐藏密码并把它们发送给攻击者指定的邮箱中。3) 远程操作型:这种类型的木马使攻击者知道目标主机的IP地址或主机名,使得他们可以连接到目标主机上进行远程操作。4) 型:攻击者给被控制的目标主机种上木马,通过木马,隐藏自己的攻击踪迹。5) 程序杀手型:其功能为关闭目标主机上的木马查杀程序,让木马更好地发挥作用。

3.2 常见的木马攻击工具

1) 冰河

冰河是一款优秀的国产木马,其主要功能包括:自动跟踪目标主机的屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程操作、修改注册表等等。

2) 灰鸽子

灰鸽子是第三代木马的标准软件,也是国内首次成功使用反弹端口技术的木马,它除了拥有二代木马的控制功能外,还能够方便地控制动态IP地址和局域网内的远程主机。该工具的界面如图3所示。

3) 广外幽灵

广外幽灵是第四代木马,采用线程插入技术。它能截取到Windows窗口中的星号密码(IE除外),记录键盘活动,还可以把记录的内容通过E―mail形式发送到指定的邮箱。此外还可以制作邮件日志,当邮件无法发送时,可以查看邮件日志来找回记录的内容。该工具的界面如图4所示。

4) 黑暗天使

黑暗天使是一款属于初级的第五代木马。它是一个结合窃听密码和远程控制于一体的木马。具有很多先进的技术:安装后注册表跟任务管理器中都找不到任何新增的键和进程、采用端口隐藏技术、有强大的自我修复功能、能杀掉目前流行的防火墙等等。

3.3 木马攻击的预防措施

1) 不打开任何可疑文件、文件夹及网页。

2) 常开杀毒软件和病毒防火墙。

3) 升级IE浏览器到最新版本。

4 结束语

随着用户对互联网的依赖程度日益加深,网络攻击所造成的破坏和损失也就日益严重。利用型网络攻击是一类常见的网络攻击,只有了解此类攻击的原理和常见方法,并将各种预防措施落到实处,才能最有效的预防攻击,从而将损失降到最低。

参考文献:

[1] 牛少彰.网络的攻击与防范[M].北京:北京邮电大学出版社,2006.

[2] 卿斯汉.入侵检测技术研究综述[J].通信学报,2004,25(7):19-29.

[3] 洪宏.网络安全扫描技术研究[J].计算机工程,2004,30(10):54-56.

[4] 邓吉,刘靖.黑客攻防实战[M].北京:电子工业出版社,2006.

[5] 蒋卫华,李伟华,杜君.IP欺骗攻击技术原理方法工具及对策[J].西北工业大学学报,2002,20(4):544-547.