第一篇:木马攻防感想
木马攻防的感想
前言
木马技术是最常见的网络攻击手段之一,它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类,针对常见的木马攻击方式提出了一些防范措施。
木马的危害,在于它能够远程控制你的电脑。当你成为“肉鸡”的时候,别人(控制端)就可以进入你的电脑,偷看你的文件、*密码、甚至用你的QQ发一些乱七八糟的东西给你的好友,木马大量出现,在于它有着直接的商业利益。一旦你的网上银行密码被盗,哭都来不及了。正因为如此,现在木马越繁殖越多,大有“野火烧不尽”之势。木马与病毒相互配合、相得益彰,危害越来越大。
【关键词】:木马程序、攻击手段、防范技术、木马的危害
一、木马概述
1.木马的定义及特征
1.1木马的定义
在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,赢得了战役的胜利,成为一段历史佳话。而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。
有关木马的定义有很多种,作者认为,木马是一种在远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序,它的运行遵照TCP/IP协议,由于它像间谍一样潜入用户的电脑,为其他人的攻击打开后门,与战争中的“木马”战术十分相似,因而得名木马程序。
木马程序一般由两部分组成的,分别是Server(服务)端程序和Client(客户)端程序。其中Server 端程序安装在被控制计算机上,Client端程序安装在控制计算机上,Server端程序和Client端程序建立起连接就可以实现对远程计算机的控制了。
首先,服务器端程序获得本地计算机的最高操作权限,当本地计算机连入网络后,客户端程序可以与服务器端程序直接建立起连接,并可以向服务器端程序发送各种基本的操作请求,并由服务器端程序完成这些请求,也就实现了对本地计算机的控制。
因为木马发挥作用必须要求服务器端程序和客户端程序同时存在,所以必须要求本地机器感染服务器端程序,服务器端程序是可执行程序,可以直接传播,也可以隐含在其他的可执行程序中传播,但木马本身不具备繁殖性和自动感染的功能。
1.2木马的特征
据不完全统计,目前世界上有上千种木马程序。虽然这些程序使用不同的程序设计语言进行编制,在不同的环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。
(1)隐蔽性
隐蔽性是木马的首要特征。木马类软件的server端在运行时会使用各种手段隐藏自己,例如大家所熟悉的修改注册表和ini文件,以便机器在下一次启动后仍能载入木马程序。通常情况下,采用简单的按“Alt+Ctrl+Del”键是不能看见木马进程的。
还有些木马可以自定义通信端口,这样就可以使木马更加隐秘。木马还可以更改server端的图标,让它看起来象个zip或图片文件,如果用户一不小,就会让当。
(2)功能特殊性
通常,木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索目标计算机中的口令,设置口令,扫描IP发现中招的机器,记录用户事件,远程注册表的操作,以及颠倒屏幕,锁定鼠标等功能。
(3)自动运行性
木马程序通过修改系统配置文件或注册表的方式,在目标计算机系统启动时即自动运行或加载。
(4)欺骗性
木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被用户发现。木马程序经常使用的是常见的文件名或扩展名,如“dllwinsysexplorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”。还有的木马程序为了隐藏自己,把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。木马编制者还在不断地研究、发掘欺骗的手段,花样层出不穷,让人防不胜防。
(5)自动恢复性
现在,很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。计算机一旦感染上木马程序,想单独靠删除某个文件来清除,是不太可能的。
2.木马的工作原理
特洛伊木马(其名称取自希腊神话的特洛伊木马记,以下简称木马)的英文为“Trojan Horse”,是一种基于远程控制的黑客工具程序。因此,查杀木马最关键的还是要知道木马的工作原理。
常见的普通木马一般是客户端/服务端(Client/Server,C/S)模式,客户端/服务端之间采用TCP/UDP的通信方式,攻击者控制的相应的客户端程序,服务端程序是木马程序,木马程序被植入到毫不知情的用户的计算机中。以“里应外和”的工作方式,服务端通过打开特定的端口并进行监听,这些端口好像“后门”一样,所以,也有人把特洛伊木马叫做后门工具。攻击者所掌握的客户端程序向该端口发出请求(Connect Request),木马便与其连接起来。攻击者可以使用控制器进入计算机,通过客户端程序命令达到控制服务器端的目的。这类木马的一般工作模式如下图所示。
3.木马的分类
根据木马程序对计算机的具体动作方式,可以把现在存在的木马程序分为以下的几类。
1、远程访问型木马
远程访问型木马是现在最广泛的特洛伊木马。这种木马起着远程控制的功能,用起来非常简单,只需一些人运行服务端程序,同时获得他们的IP地址,控制者就能任意访问被控制端的计算机。这种木马可以使远程控制者在本地机器上做任意的事情,比如键盘记录、上传和下载功能、发射一个“截取屏幕”等等。这种类型的木马有著名的BO(Back Office)、国产的冰河等。
2、密码发送型木马
密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。大多数的这类木马程序不会在每次Windows重启时都自动加载,它们大多数使用25端口发送电子邮件。
3、键盘记录型木马
键盘记录型木马是非常简单的,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动,知道受害者在线并且记录每一个用户事件,然后通过邮件或其他方式发送给控制者。
4、毁坏型木马
大部分木马程序只窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动地删除受控制者计算机上所有的.dll或.ini或.exe文件,甚至远程格式化受害者硬盘。毁坏型木马的危害很大,一旦计算机被感染而没有即时删除,系统中的信息会在顷刻间“灰飞烟灭”。
5、FTP型木马
FTP型木马打开被控制计算机的21端口(FTP所使用的默认端口),使每一个人都可以用一个FTP 客户端程序来不用密码连接到受控制端计算机,并且可以进行最高权限的上传和下载,窃取受害者的机密文件。
6、DoS攻击木马
随着D o S 攻击越来越广泛的应用,被用作D o S 攻击的木马也越来越流行起来。当黑客入侵一台机器后,给他种上DoS 攻击木马,那么日后这台计算机就成为黑客DoS 攻击的最得力助手了。黑客控制的肉鸡数量越多,发动D o S 攻击取得成功的机率就越大。所以,这种木马的危害不是体现在被感染计算机上,而是体现在黑客利用它来攻击一台又一台计算机,给网络造成很大的伤害和带来损失。还有一种类似DoS 的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
7、反弹端口型木马
木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤,但是对于连出的链接却疏于防范。与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的被动端口;为了隐蔽起见,控制端的被动端口一般开在80,即使用户使用扫描软件检查自己的端口时,发现类似TCPUserIP:1026 Controller IP:80 ESTABLISHED 的情况,稍微疏忽一点,就会以为是自己在浏览网页,因为浏览网页都会打开80 端口的。
8、代理木马
黑客在入侵的同时掩盖自己的足迹,谨防别人发现自己的身份是非常重要的,因此,给被控制的肉鸡种上代理木马,让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马,攻击者可以在匿名的情况下使用Telnet,ICQ,IRC 等程序,从而隐蔽自己的踪迹。
9、程序杀手木马
上面的木马功能虽然形形色色,不过到了对方机器上要发挥自己的作用,还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus 等。程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他的木马更好地发挥作用
4.木马的功能
木马程序的危害是十分大的,它能使远程用户获得本地机器的最高操作权限,通过网络对本地计算机进行任意的操作,比如删添程序、锁定注册表、获取用户保密信息、远程关机等。木马使用户的电脑完全暴露在网络环境之中,成为别人操纵的对象。
就目前出现的木马来看,大致具有以下功能:
1、自动搜索已中木马的计算机;
2、对对方资源管理,复制文件、删除文件、查看文件内容、上传文件、下载文件等;
3、远程运行程序;
4、跟踪监视对方屏幕;
5、直接屏幕鼠标控制,键盘输入控制;
6、监视对方任务且可以中止对方任务;
7、锁定鼠标、键盘和屏幕;
8、远程重新启动计算机、关机;
9、记录、监视按键顺序、系统信息等一切操作;
10、随意修改注册表;
11、共享被控制端的硬盘;
12、乱屏等耍弄人操作。
5.木马的工作过程
1.配置木马
一般来说,一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两个功能。
(1)木马伪装。木马配置程序为了在服务器端尽可能隐藏好,会采用多种伪装手段,如修改图标、捆绑文件、定制端口、自我销毁等。
(2)信息反馈。木马配置程序会根据信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址、IRC号、ICQ号等。
2.传播木马
配置好木马后,就要传播过去。木马的传播方式主要有:控制端通过E-mail将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件就会感染木马;软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装;通过QQ等通信软件进行传播;通过病毒的夹带把木马传播出去。3.启动木马
木马程序传播给对方后,接下来是启动木马。一种方式是被动地等待木马或捆绑木马的程序被主动运行,这是最简单的木马。大多数首先将自身复制到Windows的系统文件夹中(C:WINNT,C:WINNTsystem32或C:WINNTtemp目录下),然后写入注册表启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。一般系统重新启动时木马就可以启动,然后木马打开端口,等待连接。4.建立连接
一个木马连接的建立必须满足两个条件:一是服务器端已安装了木马程序;二是控制端、服务器端都要在线。在此基础上控制端可以通过木马端口与服务器端建立连接。控制端可以根据提前配置的服务器地址、定制端口来建立连接;或者是用扫描器,根据扫描结果中检测哪些计算机的某个端口开放,从而知道该计算机里某类木马的服务器端在运行,然后建立连接;或者根据服务器端主动发回来的信息知道服务器端的地址、端口,然后建立连接。5.远程控制 前面的步骤完成之后,就是最后的目的阶段,对服务器端进行远程控制,实现窃取密码、文件操作、修改注册表、锁住服务器端以及系统操作等。
二、木马的传播方式
⒈系统漏洞
一个新安装的系统在没有安装任何系统补丁和防火墙程序时,它遭受木马种植的危险机率非常大.众所周知,Windows系统的漏洞非常多,即使你不做任何事只要系统连接上了网络,黑客们就可以通过网络扫描程序来找到你的电脑,然后再通过系统漏洞直接进入你的电脑,然后在你的系统中偷偷安装上木马程序,让你在不知不觉间就中了招,成为了别人的肉鸡.⒉文件捆绑
这是黑客种植木马最常用的手段之一.将木马程序捆绑在正常的程序或文件中,当别人下载并运行后,被捆绑木马的程序和文件可以正常运行,但在运行过程中,木马程序也已经悄悄运行了,这起到了很好的迷惑作用.黑客通常会将木马程序捆绑到一个广为传播的热门软件上来诱使他人下载,并把它放到下载网站或网站论坛中使其在网络上传播.⒊文件伪装
将木马程序伪装成其它文件是黑客种植木马最简单也是最常用的手段.比如修改木马程序的图标,文件名或后缀名,使它看起来与另外一个正常文件别无二样,而且为了让人容易接受,常常会伪装成热门文件来诱使对方打开.伪装木马最常用的传播方式就是通过电子邮件和QQ等即时通讯软件来传播.很多朋友对电子邮件的附件或QQ好友发送的文件会毫不犹豫的点击接受,就这样因为一时粗心大意中了木马.有的黑客在第一次发送伪装的木马程序给对方后,如果对方运行后发现有疑问时,他就会解释说程序坏了或是发错了,然后重新发送正常的程序给对方来消除对方的疑虑,而此时木马程序已经在运行了.⒋网页木马
网页木马是通过网页浏览传播的一种木马种植方式,此方法非常隐蔽,常常让人在不知不觉间中招.黑客会将制作好的木马程序放到网页中,当人们在浏览这些网页时,木马程序会通过系统或软件的漏洞自动安装,或是以浏览该网页必须的插件等名义诱骗用户点击安装等等。方式偷偷进驻到别人的电脑中,让人防不胜防.三、木马攻防感想
计算机的广泛应用把人类带入了一个全新的时代,特别是计算机网络的社会化,已经成为了信息时代的主要推动力。然而,网络是一把双刃剑,随着计算机网络的飞速发展。尤其是互联网的应用变得越来越广泛,带来了前所未有的海量信息的同时,网络的开放性和自由性也产生了私有信息和数据被破坏或被侵犯的可能性。网络信息的安全变得越来越重要。
学习《信息安全技术》这一课,尤其是木马攻防这一方面的学习,对于提高我们的网络安全管理水平,累计网络安全实践经验,具有非常重要的意义。
通过本次木马攻防的学习,我们发现学到了不少新的知识,了解到了木马工作的原理和工作过程。木马技术涉及的知识方面十分广泛,要深入的了解木马技术,掌握木马的工作原理和防范方法,不但要对网络知识十分熟悉,还要掌握每一方面的知识,通过大量的实验和实践,不断学习新的知识,提高自己的网络安全技术的意识。
我个人对此比较感兴趣,就去了解了相关软件的应用。这些软件中,有的是外国鼎鼎大名的产品,在巩固我们的知识的同时,也拉动了我们的外语的学习。我发现很多的算法都是利用强大的数学能力作为基础,一般人根本无法企及。我试图做了一下,发现我远远挨不到边,也许正是由于这种算法的这几种特质,才让它经久不衰。不过作为非专业的学者,我们不需要掌握如此精深的加密解密知识,只需要注意一下几点,那么木马也就没有那么容易击败我们了。
1,首先要找一个优秀的杀毒软件,安装防火墙 2.保持良好的个人上网习惯。
3.对系统有一定的认识。可辨别正常的系统进程和服务(专业杀毒软件在使用的时候有这个选择。比如卡巴kis 带防火墙)
4.经常的清理系统残余垃圾信息。5.不要在网站上随便透露个人信息
相信只要我们注意这几个方面,那么木马便很难入侵我们的电脑。
第二篇:网络攻防技术报告
目录
一、网络攻击技术................................................................................1 1.背景介绍..................................................................................................1 2.常见的网络攻击技术.............................................................................1 1.网络监听............................................................................................2 2.拒绝服务攻击...................................................................................2 3.缓冲区溢出.......................................................................................3 4.源IP地址欺骗..................................................................................4 5.密码攻击............................................................................................4 6.应用层攻击.......................................................................................5
二、网络防御技术................................................................................6 1.背景介绍..................................................................................................6 2.常见的网络防御技术.............................................................................6 1.防火墙技术.......................................................................................6 2.访问控制技术...................................................................................7 3.入侵检测技术(IDS)..........................................................................8 4.网络防病毒技术...............................................................................8
三、总结...................................................................................................10
一、网络攻击技术
1.背景介绍
随着互联网的高速发展,计算机网络已经成为人们日常生活中不可或缺的一部分。计算机网络在给我们提供了大量生活便利的同时也带来了越来越严重的网络安全问题。在对我们网络的安全威胁中一个很主要的威胁来自于黑客。
网络黑客利用通信软件,非法进行网络操作,盗取别人的私人信息,篡改计算机数据,危害信息安全,甚至造成十分严重的经济后果。然而许多上网的用户对网络安全却抱着无所谓的态度,认为最多不过是被“黑客”盗用账号,他们往往会认为“安全”只是针对那些大中型企事业单位的,而且黑客与自己无怨无仇,干嘛要攻击自己呢? 其实,在一无法纪二无制度的虚拟网络世界中,现实生活中所有的阴险和卑鄙都表现得一览无余,在这样的信息时代里,几乎每个人都面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题,那些平时不注意安全的人,往往在受到安全方面的攻击,付出惨重的代价时才会后悔不已。为了把损失降低到最低限度,我们一定要有安全观念,并掌握一定的安全防范措施,坚决让黑客无任何机会可趁。黑客攻击网络的手段十分丰富,令人防不胜防。只有分析和研究黑客活动的手段和采用的技术,才有可能从根本上防止甚至杜绝黑客对我们进行网络入侵。
2.常见的网络攻击技术
黑客攻击其实质就是指利用被攻击方信息系统自身存在安全漏洞,通过使用网络命令和专用软件进入对方网络系统的攻击。目前总结出黑客网络攻击的类型主要有以下几种: 1.网络监听
网络嗅探其实最开始是应用于网络管理的,就像远程控制软件一样,但后来这些强大的功能逐渐被黑客们利用。最普遍的安全威胁来自内部,同时这些威胁通常都是致命的,其破坏性也远大于外部威胁。对于安全防护一般的网络,使用网络嗅探这种方法操作简单,而且同时威胁巨大。很多黑客也使用嗅探器进行网络入侵的渗透。嗅探器是利用计算机的网络接口,截获目的计算机数据报文的一种技术。不同传输介质的网络的可监听性是不同的。
虽然嗅探器的最初设计目的是供网管员用来进行网络管理,可以帮助网络管理员查找网络漏洞和检测网络性能、分析网络的流量,以便找出所关心的网络中潜在的问题,但目前在黑客攻击中的应用似乎更加广泛,使人们开始对这类工具敬而远之。普通情况下,网卡只接收和自己的地址有关的信息包,即传输到本地主机的信息包。一旦网卡设置为混杂(promiscuous)模式,它就能接收传输在网络上的每一个信息包。将网卡设置为混杂模式(需要用编程方式来解决,或者使用Sniffer之类工具来监听),对以太网上流通的所有数据包进行监听,并将符合一定条件的数据包(如包含了字“username”或“password”的数据包)记录到日志文件中去,以获取敏感信息。常见的网络监听工具有:NetRay、Sniffit、Sniffer、Etherfind、Snoop、Tcpdump、Packetman、Interman、Etherman、Loadman和Gobbler等。
2.拒绝服务攻击
拒绝服务(Denial of Service,DoS)攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单,但又很有效的进攻方式。它的目的就是拒绝服务访问,破坏组织的正常运行,最终使网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。
DoS的攻击方式有很多种,常见的DoS攻击方式有:同步洪流(SYNFlood)、死亡之Ping(Ping of Death)、Finger炸弹、Land攻击、Ping洪流、Rwhod和Smurf等。DoS攻击的基本过程如下:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。由于地址是伪造的,所以服务器一直等不到回传的消息,然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。
被DDoS攻击时出现的现象主要有如下几种。被攻击主机上有大量等待的TCP连接。网络中充斥着大量的无用的数据包,源地址为假。制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通信。利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。严重时会造成系统死机。要避免系统遭受DoS攻击,网络管理员要积极谨慎地维护整个系统,确保无安全隐患和漏洞,而针对更加恶意的攻击方式则需要安装防火墙等安全设备过滤DoS攻击,同时建议网络管理员定期查看安全设备的日志,及时发现对系统构成安全威胁的行为。
3.缓冲区溢出
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令。如果这些指令是放在有Root权限的内存中,那么一旦这些指令得到了运行,黑客就以Root权限控制了系统,达到入侵的目的;缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。
缓冲区溢出的一般攻击步骤为:在程序的地址空间里安排适当的代码——通过适当的地址初始化寄存器和存储器,让程序跳到黑客安排的地址空间中执行。缓冲区溢出对系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点。必须及时发现缓冲区溢出这类漏洞:在一个系统中,比如UNIX操作系统,这类漏洞是非常多的,系统管理员应经常和系统供应商联系,及时对系统升级以堵塞缓冲区溢出漏洞。程序指针完整性检查:在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。数组边界检查:所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所 有的数组操作,通常可以采用一些优化的技术来减少检查的次数。目前主要有以下的几种检查方法:Compaq C编译器、Purify存储器存取检查等。
4.源IP地址欺骗
许多应用程序认为如果数据包能够使其自身沿着路由到达目的地,而且应答包也可以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的前提。假设同一网段内有两台主机A和B,另一网段内有主机C,B授予A某些特权。C为获得与A相同的特权,所做欺骗攻击如下:首先,C冒充A,向主机B发送一个带有随机序列号的SYN包。主机B响应,回送一个应答包给A,该应答号等于原序列号加1。然而,此时主机A已被主机C利用拒绝服务攻击“淹没”了,导致主机A服务失效。结果,主机A将B发来的包丢弃。为了完成3次握手,C还需要向B回送一个应答包,其应答包等于B向A发送数据包的序列号加1。此时主机C并不能检测到主机B的数据包(因为不在同一网段),只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确,B则认为收到的ACK是来自内部主机A。此时,C即获得了主机A在主机B上所享有的特权,并开始对这些服务实施攻击。
要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击。抛弃基于地址的信任策略:阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令删除.rhosts文件,清空/etc/hosts下的.equiv文件。这将迫使所有用户使用其他远程通信手段,如telnet、ssh和skey等。使用加密方法:在包发送到网络上之前,可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性和真实性。进行包过滤:可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把09网主机的包发送出去。
5.密码攻击
密码攻击通过多种不同方法实现,包括蛮力攻击(brute force attack)、特洛伊木马程序、IP欺骗和报文嗅探。尽管报文嗅探和IP欺骗可以捕获用户账 号和密码,但密码攻击通常指的是反复地试探、验证用户账号或密码。这种反复试探被称为蛮力攻击。
通常蛮力攻击使用运行于网络上的程序来执行并企图注册到共享资源中,例如服务器。一旦攻击者成功地获得了资源的访问权,他就拥有了与那些账户的用户相同的权利。如果这些账户有足够的特权,攻击者可以为将来的访问创建一个后门,这样就不用担心被危及用户账号的任何身份和密码的改变。
6.应用层攻击
应用层攻击能够使用多种不同的方法来实现,最常见的方法是使用服务器上通常可找到的应用软件(如SQL Server、Sendmail、PostScript和FTP)缺陷,通过使用这些缺陷,攻击者能够获得计算机的访问权,以及在该计算机上运行相应应用程序所需账户的许可权。
应用层攻击的一种最新形式是使用许多公开化的新技术,如HTML规范、Web浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序,包括Java applet和Active X控件等,并通过用户的浏览器调用它们,很容易达到入侵、攻击的目的。
二、网络防御技术
1.背景介绍
计算机技术快速发展,在给我们的生活带来便利的时候,我们面对的网络威胁越来越多。在网络黑客活跃频繁的情况下,如何使我们的隐私得到保护。怎么才能更安全的上网,使我们免遭黑客的攻击,使我们免遭经济损失。因此,我们需要一些网络防御技术来保护我们安全上网,来保护我们免遭黑客攻击。那么当下的网络防御技术都有哪些呢!下面将为大家介绍一下。
2.常见的网络防御技术
1.防火墙技术
网络安全中使用最广泛的技术就是防火墙技术,对于其网络用户来说,如果决定使用防火墙,那么首先需要由专家领导和网络系统管理员共同设定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本馆的安全策略,对外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。
该技术主要完成以下具体任务:
通过源地址过滤,拒绝外部非法IP地址,有效的避免了与本馆信息服务无关的外部网络主机越权访问;防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降到最低限度,使黑客无机可乘;同样,防火墙可以制定访问策略,只有被授权的外部主机才可以访问内部网络上的有限IP地址,从而保证外部网络只能访问内部网络中的必要资源,使得与本馆信息服务无关的操作将被拒绝;由于外部网络对内部网络的所有访问都要经过防火墙,所以防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为。
另外,由于安装了防火墙后,网络的安全策略由防火墙集中管理,因此,黑 客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的,而直接攻击防火墙几乎是不可能的。
防火墙可以进行地址转换工作,使外部网络用户不能看到内部网络的结构,使黑客失去攻击目标。
虽然防火墙技术是在内部网与外部网之间实施安全防范的最佳选择,但也存在一定的局限性:不能完全防范外部刻意的人为攻击;不能防范内部用户攻击;不能防止内部用户因误操作而造成口令失密受到的攻击;很难防止病毒或者受病毒感染的文件的传输。
2.访问控制技术
访问控制是网络安全防范和保护的主要技术,它的主要任务是保证网络资源不被非法使用和非法访问。
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。
对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合。
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访 问权限可以用一个访问控制表来描述。
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限(FileScan)、存取控制权限(AccessControl)。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
3.入侵检测技术(IDS)
如果说防火墙技术是静态安全防御技术,那么IDS就是一种动态安全技术。IDS包括基于主机的入侵检测技术和基于网络的入侵检测技术两种。该技术用于保护应用网络连接的主要服务器,实时监视可疑的连接和非法访问的闯入,并对各种入侵行为立即作出反应,如断开网络连接等。
4.网络防病毒技术
当今世界上每天有13种到50种新病毒出现,而60%的病毒均通过Internet传播,病毒发展有日益跨越疆界的趋势,存在着不可估量的威胁性和破坏力。冲击波病毒及震荡波病毒就足以证明如果不重视计算机网络防病毒工作,那就有可能给社会造成灾难性的后果,因此计算机病毒的防范也是网络安全技术中重要的一环。
网络防病毒技术包括预防病毒、检测病毒和消除病毒等3种技术:
预防病毒技术,它是通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。技术手段包括:加密可执行程序、引导区保护、系统监控与读写控制等。
检测病毒技术,它是通过对计算机病毒的特征来进行判断的侦测技术,如自 身校验、关键字、文件长度的变化等。病毒检测一直是病毒防护的支柱,然而随着病毒的数目和可能切入点的大量增加,识别古怪代码串的进程变得越来越复杂,而且容易产生错误和疏忽。因此,最新的防病毒技术应将病毒检测、多层数据保护和集中式管理等多种功能集成起来,形成多层次防御体系,既具有稳健的病毒检测功能,又具有客户机/服务器数据保护能力。
消除病毒技术,它是通过对计算机病毒的分析,开发出具有杀除病毒程序并恢复原文件的软件。大量的病毒针对网上资源和应用程序进行攻击,这样的病毒存在于信息共享的网络介质上,因而要在网关上设防,在网络入口实时杀毒。对于内部病毒,如客户机感染的病毒,通过服务器防病毒功能,在病毒从客户机向服务器转移的过程中杀掉,把病毒感染的区域限制在最小范围内。
网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。
三、总结
计算机网络技术的日新月异,为现代人的生活提供了很大的方便。但网络安全威胁依然存在,网上经常报道一些明星的照片泄露,12306账号和密码泄露,一些邮箱的密码泄露,以及经常发生的QQ号被盗等等……这些都会给我们的生活带来麻烦,甚至让我们付出经济代价。
因此现在人们对于网络安全的认识也越来越重视,在整体概念上了解黑客的攻击技术和常用工具方法,对于我们防范黑客攻击提供了基本的知识储备。而具体到平时的学习工作中,我们应该养成良好的上网习惯和培养良好的网络安全意识,在平时的工作中应该注意,不要运行陌生人发过来的不明文件,即使是非可执行文件,也要十分小心,不要在不安全的网站上登录一些重要账号,或者不要在网站上记录账号密码。以免造成密码泄露。只要我们在平时上网时多注意,就可以有效地防范网络攻击。
此外,经常使用杀毒软件扫描,及时发现木马的存在。我们应该时刻警惕黑客的网络攻击,从自我做起,构建起网络安全坚实防线,尽可能让网络黑客无孔可入。
第三篇:网络攻防实验教案
计算机科学与技术学院
网络攻防实验教案
网络攻防是基于云平台的信息安全实验系统、网络攻防实验系统、网络攻防竞赛及对抗系统、大数据实验系统、密码实验系统及信息安全,提供给大学生一个学习的平台,通过平台大家可以了解和接触到更多的知识,本次网络攻防比赛的项目主要包括以下内容:WEB安全、系统安全、SQL注入靶场、密码破解、跨站靶场、数据库安全、逆向工程、手机安全、密码破解、内网靶场。
2015年5月29日
一、月赛题目安排设置的讲解
1)、第一次月赛题目
出题目的:熟悉比赛环境 技能题:
8个 靶场题:
1个 难易程度:简单
2)第二次月赛题目
出题目的: 锻炼能力 技能题:
10个 靶场题:
1个 难易程度: 一般 3)第三次月赛题目
出题目的: 选拔人才 技能题:
10个 靶场题:
1个 难易程度: 较难
二、用户信息的注册与加入网上学院
1)登录红亚官网。(http://www.xiexiebang.com/cQ8J4QddWw3p5 访问密码 cf63 下载之后点击浏览选择,找到我们下载的ISO文件即可。
18)点击确定之后,开启此虚拟机。
19)选择启动Win7 PE迷你系统。
20)选择分区管理
21)同意协议后,点击快速分区
22)这里建立两个盘就可以了,然后点击确定。
23)点击安装win7 SP1到c盘
24)这里的安装过程要等待一会
25)等待安装完成,我们的虚拟PC就安装成功了,在安装好的PC里面,可能画面不是充满屏幕的,我们可以通过屏幕分辨率来调节就可以了,根据自己本机的屏幕大小,自己设置即可。接下来我们就可以来在虚拟PC里面就行练习了,在这里面不需要担心自己的电脑被病毒感染和其它,可以放心使用了。下面来为大家讲解一下月赛的题目。
三、第一次月赛题目的讲解
第1题:技能题
根据提示我们得不到任何信息,这时我们可以查看一下源码,在页面内右击。
我们会发现密码被注释起来了,所以在页面内是不能看到。这里的说明一下,这个符号是注射符号,相当于C中的//或者是/* */。
第2题
通过代码的写法,我们会发现这是一个base64编码的字符。PD9waHAgQGV2YWwoJF9QT1NUWyd0aGlzX2lzX3lpanVodWEnXSk7Pz4= 我们在网上直接搜索base64解码与编码:
我们会得到解码之后的如下:
这是一个php的脚本,这一句执行出来之后就是this_is_yijuhua所以答案就是this_is_yijuhua。第3题
这里代码通过观察可以看出这是一个64编码的,前后+-号是来迷惑我们的,我们把中间的字符串复制,用base64进行解码就可以了。
解码之后得到答案:iamutf7encoded 第4题
这一题跟第一题比较像,从页面上我们不能得到任何信息,所以我们还是通过源码,看看能否得出什么信息。
在源码里面我们可以看出有这样的一个脚本,这也就是我们想要的,会发现里面是一串很乱的编码,通过前面的
点击咨询 