毕业设计(论文)
题目:网络攻击和防御技术研究
摘要
网络在人类社会生活中的应用越来越广泛和重要,Internet已经把人们的学习、工作和生活紧密地联系在一起,但其中潜在的安全问题也越来越严峻,各种攻击手段层出不穷。其中拒绝服务攻击以其攻击范围广、隐蔽性强、简单有效、破坏性大和难以防御等特点成为最常见的网络攻击技术之一。尤其分布式拒绝服务攻击其破坏性更大,严重威胁着Internet的安全,受到这种攻击的损失是无法计量的。为其建立有效的防御机制是当前维护网络安全的重要目标之一。
本次毕业设计的主要工作是研究网络攻击与防御技术,并在此基础上重点研究分析拒绝服务攻击,并对其防御策略进行研究。主要研究成果如下:
(1)研究计算机网络攻击与防御的原理与技术。
(2)研究网络安全现状、发展趋势,常见网络攻击方法以及典型网络攻击技术。
(3)在上述研究基础上,主要研究拒绝服务攻击,详细分析研究了SYN Flood 攻击、Smurf攻击、Teardrop攻击等拒绝服务攻击的原理和防御策略。
(4)在对拒绝服务攻击分析研究的基础上,采用Java多线程技术实现对某个网站的SYN Flood拒绝服务攻击并分析了其防御方法。
关键词:拒绝服务攻击,防御策略,SYN Flood,Smurf,Teardrop
ABSTRACT
Network in human social life, more and more extensive and important, Internet has been the people's learning, working and living closely together, but potentially more serious security issues, all kinds of attacks one after another. Denial of service attack in which a wide range of its concealment and strong, simple and effective, destructive, and so large and difficult to defend the most common network attacks technologies. In particular, the distributed denial of service attacks more damaging, a serious threat to the security of Internet by the loss of such attacks can not be measured. Defense mechanism for the establishment of effective maintenance of network security is currently one of the important goals.
The main graduation work is to study the network attack and defense techniques,and focus on research and analysis on the basis of denial of service attacks, and to study their defense strategy.The main results are as follows:
(1)Study of computer network attack and defense of the principles and
techniques.
(2)Study of network security situation, development trends, common
network attack methods and techniques typical of network attacks.
(3)Based on these studies, the main research denial of service
attacks,detailed analysis of the SYN Flood attacks, Smurf attacks, Teardrop attacks the principle of denial of service attack and defense strategies.
(4) In the analysis of denial of service attacks based on the use of Java multi-threading technology on a Web site of the SYN Flood denial of service attacks and analysis of its defenses.
Keywords:Denial of service attacks, defense strategy, SYN Flood, Smurf, Teardrop
目录
第1章绪论 (1)
1.1网络安全的现状及发展趋势 (1)
1.1.1网络安全现状 (1)
1.1.2网络安全发展趋势 (2)
1.2网络安全的基本概念 (3)
1.3常用的网络安全防范措施和策略 (4)
1.4本次毕业设计的任务 (6)
第2章网络攻击技术研究 (7)
2.1网络攻击 (7)
2.2网络攻击模型概述 (13)
2.3几种典型的攻击模型 (14)
2.3.1攻击树模型 (14)
2.3.2特权图模型 (15)
2.3.3攻击图模型 (15)
2.3.4供/需模型 (16)
2.3.5基于Petri网的模型 (16)
第3章典型网络攻击与防范技术研究 (18)
3.1Web欺骗攻击 (18)
3.2分布式拒绝服务攻击 (19)
3.3缓冲区溢出攻击 (22)
3.4IP地址欺骗 (25)
3.5网络监听 (27)
3.6电子邮件攻击 (29)
第4章基于拒绝服务攻击的实现与防御策略的分析 (32)
4.1拒绝服务攻击原理 (32)
4.2基于拒绝服务的SYN Flood攻击的实现 (36)
4.2.1SYN Flood攻击实现功能 (37)
4.2.2SYN Flood攻击过程的实现 (37)
4.2.3拒绝服务攻击(DoS)对策 (44)
4.2.4任务小结 (46)
第5章总结 (47)
参考文献 (48)
致谢 (49)
第1章绪论
随着计算机网络技术在各领域的普遍应用,现代社会的人们对于信息网络的依赖性正与日剧增。网络的用户涵盖了社会的方方面面,大量在网络中存储和传输的数据承载着社会的虚拟财富,这对计算机的安全性提出了严格的要求。然而与此同时,黑客技术也在不断发展,大量黑客工具在网络上广泛流传,使用这些工具的技术门槛越来越低,从而造成全球范围内网络攻击行为的泛滥,对信息财富造成了极大的威胁。因此,掌握网络安全的知识,保护网络的安全已经成为确保现代社会稳步发展的必要条件。
1.1网络安全的现状及发展趋势
过去的数年中,互联网遭受了一波又一波的攻击——传播速度超快、影响范围广泛、造成损失巨大的恶意攻击不断出现。面对这些攻击,人们一次又一次的予以坚决的阻击,同时网络安全形势也在攻击与防护的相互较量中不断地发生着变化。
2008年7月24日,中国互联网络信息中心(CNNIC)在京发布了《第22次中国互联网络发展状况报告》。报告显示,截止2008年6月底,我国网民数量达到了2.53亿,首次大幅度超过美国,跃居世界第一位,与此同时,互联网的开放性和安全漏洞带来的安全风险无时不在,恶意攻击、信息篡改、信息泄密等影响国家政治、经济、军事和文化等各个领域。
1.1.1网络安全现状
目前,各种网络安全漏洞大量存在和不断被发现,漏洞公布后利用漏洞的攻击代码出现时间缩短至几天甚至一天,使开发、安装相关补丁及采取防范措施的时间压力增加,总体来说,网络面临的重大威胁主要来自下面几个方面。
1.黑客的攻击
黑客对于大家来说,不再是一个高深莫测的人物,黑客技术逐渐被越来越多的人掌握和利用。目前,世界上有20多万个黑客网站,这些站点都介绍一些攻击方法和攻击软件的使用以及系统的一些漏洞,因而系统、站点遭受攻击的可能性就变大了。
2. 管理的缺陷
网络系统的严格管理是企业、机构及用户免受攻击的重要措施。事实上,很多企业、机构及用户方的网站或系统都疏于这方面的管理。据IT界企业团体ITAA 的调查显示,美国90%的IT企业对黑客攻击准备不足。目前,美国75%~85%的
网站都抵挡不住黑客的攻击,约有75%的企业网上信息失窃,其中25%的企业的损失在25万美元以上。
3. 网络的缺陷
因特网的共享性和开放性使网络中信息安全存在先天不足,因为其赖以生存的TCP/IP族缺乏相应的安全机制,而且因特网最初的设计考虑的是该网不会因局部故障而影响信息的传输,基本上没有考虑网络安全问题,因此因特网在安全可靠、服务质量、带宽和方便性等方面存在着不适应性。
4. 软件的漏洞或“后门”
随着软件系统规模的不断增大,系统中的安全漏洞或“后门”也不可避免的存在,比如我们常用的操作系统,无论是Windows还是UNIX,几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器、一些桌面软件等都被发现过存在安全隐患。可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞,这也是网络安全面临重大威胁的原因之一。
5. 企业网络内部缺陷
网络内部存在用户误操作、资源滥用等恶意行为,即使再完善的防火墙也无法抵御来自网络内部的攻击,也无法对网络内部的滥用做出反应。所以企业内部的网络安全也成为了目前网络安全范围中较为明显的一部分。
1.1.2网络安全发展趋势
在短短的几年时间内,网络与信息安全已经成为当今社会关注的重要问题之一,正是因为安全威胁的无处不在,才使得安全这个字眼频繁出现。目前威胁主流系统的安全漏洞已经数以千计,即使在一个小型的企业网当中,也难于对每个可能发生安全问题的地方进行监控,而在浩瀚的互联网世界,更是存在难以计数的危险。
现在,不管是企业还是个人用户在使用信息产品和服务的时候,都开始对安全问题表现出了不同程度的担忧,安全性及安全功能已经成为关心重点,在未来的几年中,安全将成为信息网络的必要组成部分。网络与信息安全将呈现以下发展趋势。
1. 安全需求多样化
随着我国信息化建设的推进,用户对安全保障的要求会越来越高,对网络与信息安全的需求会越来越大。安全需求将会“从单一安全产品发展到综合防御体系”,“从某一点的安全建设过渡到整个安全体系的建设”。网络与信息安全部署的重点开始由“网络安全”向“应用安全”嬗变,应用安全和安全管理会逐渐被重视起来。
2. 技术发展两极分化:专一和融合
诸如防火墙、IDS、内容管理等产品方案会越做越专,这是因为在安全需求较高的电信行业需应对复杂多变的安全威胁。同时,融合也是一种趋势,基本的防火墙功能也被集成到了越来越多的网络设备当中,路由器和交换机设备越来越多地开始整合防火墙过滤功能。除了防火墙功能之外,还有很多安全功能被整合进了各种产品中。在软件领域,安全功能除了在软件系统中被越来越多地考虑之外,大量进行网络管理的软件都增加了防范恶意程序及行为的机制。
3. 安全管理体系
“三分技术,七分管理”,管理作为网络与信息安全保障的重要基础,一直备受重视。网络与信息安全管理正逐渐成为企业管理关键的一部分,越来越多的企业将在今后几年内逐步建立自身的信息安全管理体系(ISMS)。
1.2网络安全的基本概念
1.2.1 网络安全定义
网络安全的一个通用定义是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的原因而遭到破坏、更改或泄露,系统连续、可靠、正常地运行,服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。从广义上来说,凡是涉及网络上的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。
网络安全在不同的环境和应用中会得到不同的解释,主要有如下三方面:
1. 运行系统安全
即保证信息处理和传输系统的安全。包括计算机系统机房环境的保护,法律、政策的保护,计算机结构设计上的安全性考虑,硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等。它侧重于保证系统正常的运行,避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失,避免由于电磁泄露产生信息泄露,干扰他人(或受他人干扰),本质上是保护系统的合法操作和正常运行。
2. 网络上系统信息的安全
包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治和数据加密等。
3. 网络上信息传播的安全
网络上信息传播的安全主要指信息传播后的安全,包括信息过滤等。它侧
重于保护信息的保密性、真实性、和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户的行为。本质上是保护用户的利益和隐私。
显而易见,网络安全与其所保护的信息对象有关。其本质是在信息的安全期内保证其在网络上流动时或者静态存放时不被非授权用户非法访问,但授权用户却可以访问。网络安全、信息安全和系统安全的研究领域是相互交叉和紧密相连的。
1.2.2 网络安全目标
网络安全主要实现以下安全目标:
1. 保密性
保密性指网络信息不泄露给非授权用户、实体、过程或供其利用的特性。即信息只为授权用户使用。保密性是在可靠性和可用性基础之上,保障网络信息安全的重要手段。常用的保密技术包括:
(1)物理保密:利用各种物理方法,如限制、隔离、掩蔽、控制等措施,保护信息不被泄露。
(2)防窃听:使对手侦收不到有用的信息。
(3)防辐射:防止有用信息以各种途径辐射出去。
(4)信息加密:在密钥的控制下,用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效的信息。
2. 完整性
完整性指数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
3. 可用性
可用性指可被授权实体访问并按需求使用的特性。即当需要时应能存取所需的信息。网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
4. 可控性
可控性指对信息的传播及内容具有控制能力。
1.3常用的网络安全防范措施和策略
针对互联网上的这些不良信息和安全问题,可以从加强安全管理、设置权限对访问进行控制、对数据进行加密处理等方面来防范,增强网络的安全性和可信任性,保护网络数据不受到破坏。同时,也要注意数据的备份和恢复工作,在受到攻击之后也能尽快恢复系统状态,将损失控制在最小范围。
所谓安全策略,是针对那些被允许进入某一组织、试图访问网络技术资源和信息资源的人所规定的规则。或者说,是指网络管理部门根据整个计算机网络所提供的服务内容、网络运行状况、网络安全状况、安全性需求、易用性、技术实现所付出的代价和风险、社会因素等许多方面因素,所制定的关于网络安全总体目标、网络安全操作、网络安全工具、人事管理等方面的规定。
网络安全防范措施和策略主要有以几种:
1.访问控制
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。访问控制措施为网络访问提供了限制,只允许有访问权限的用户获得网络资源,同时控制用户可以访问的网络资源的范围,以及限制可以对网络资源进行的操作。访问控制主要有以下两个方面:
(1)用户名和口令的识别与验证是常用的访问控制方法之一。然而由于人们在创建口令和保护口令时的随意性,常常使得口令没有真正起到保护计算机系统的作用,安全有效的口令应该是:口令的长度应尽可能长而且应该经常换口令。在口令的识别与管理上,还可以采取一些必要的技术手段,如严格限制从一个终端进行非法认证的次数;对于连续一定次数登录失败的用户,系统自动取消其账号;限制登录访问的时间和访问范围,对限时和超出范围的访问一律加以拒绝。
(2)防火墙技术也是网络控制技术中很重要的一种访问控制技术,它是目前最为流行也最为广泛使用的一种网络安全技术。在构建网络环境的过程中,防火墙作为第一道防线,正受到越来越多的关注。所谓防火墙就是由软件和硬件设备组成,处于企业与外界通道之间,限制外界用户对内部网络的访问,并管理内部用户访问外界网络的系统。防火墙为各类企业网络提供必要的访问控制,但又不造成网络的瓶颈。实现防火墙技术的主要技术手段有数据包过滤、应用网关、代理服务。
2. 数据加密技术
数据加密技术是保障信息安全的最基本、最核心的技术措施之一。这是一种主动安全防御策略,用很小的代价即可为信息提供相当大的保护。按作用不同,数据加密技术一般可分为数据传输、数据存储、数据完整性鉴别以及密钥管理技术四种。
3. 数据备份
数据备份是在系统出现灾难事件时重要的恢复手段。计算机系统可能会由于系统崩溃、黑客入侵以及管理员的误操作而导致数据丢失和损坏,所以重要系统要采取双机热备份,并建立一个完整的数据备份方案,严格实施,以保证当系统或者数据受损害时,能够快速、安全地将系统和数据恢复。
1.4本次毕业设计的任务
网络存在着诸多安全问题,只有深入研究网络的攻击与防御技术,才能有效地做好网络和系统的防护。因此,本次毕业设计的主要任务是研究网络攻击技术,并在此基础上研究其防御策略,论文的具体安排如下:
1.研究网络安全现状及发展趋势,常用的防范措施和网络安全策略;
2.研究网络攻击技术;
3.研究典型网络攻击与防范技术;
4.重点研究基于拒绝服务攻击的SYN Flood攻击及其防御策略。
5.对本次毕业设计做总结。
第2章网络攻击技术研究
网络安全领域一直是网络攻击与防御的战场,入侵与防入侵对抗的大舞台。本章重点研究网络攻击的基本概念,网络攻击分类,以及几种典型的网络攻击模型。
2.1网络攻击
网络攻击是指网络中用户未经授权的访问尝试或者未经授权的使用尝试。网络与系统的主要目标是破坏网络或系统信息的保密性、信息的完整性、服务的可用性、信息的非否认性和运行的可控性。
2.1.1 网络攻击分类
从20世纪90年代以来,Internet得到了迅猛的发展,各种商业机构及政府部门都纷纷接入Internet,并提供各种各样的网络应用服务,逐步实现全球范围的信息共享。但Internet也是一把双刃剑,在给人们带来巨大便利的同时,也带来了一些负面影响,网络信息的安全问题便是其中一个不容忽视的问题。但目前网络与系统攻击方面还没有一个非常完善的分类方法。
目前存在如下的一些分类方法:
1.基于攻击术语分类
一种简单的网络攻击分类方法是罗列攻击术语定义,Icove给出了下面的例子:
(1) 窃听 (8) 蠕虫 (15) 特洛伊木马
(2) 陷门 (9) 口令窃听 (16) 未授权复制数据
(3) 潜入 (10) 会话拦截 (17) IP欺骗
(4) 隐藏信道 (11) 扫描 (18) 超越特权
(5) 电磁泄漏 (12) 隧道 (19) 逻辑炸弹
(6) 病毒 (13) 伪造 (20) 流量分析
(7) 拒绝服务 (14) 软件盗版 (21) 数据扰乱
从上述术语列表中,通常很难看到非常清晰的分类。这些术语不具有相互排斥的特性,例如“病毒”和“逻辑炸弹”,病毒可能包含逻辑炸弹,因此,这种分类是重叠的。
2. 基于攻击种类分类
相对术语定义列表而言,种类列表是一种改进,因为它提供了某种结构。
(1) 窃取口令 (5) 协议失效
(2) 社交工程 (6) 信息泄露
(3) 错误和后门 (7) 拒绝服务
(4) 认证失效
3.基于攻击效果分类
这种方法通过攻击效果对攻击进行分类,本质上说,这是列表方法的一种变体。
4.基于弱点分类矩阵
这种方法是由Perry和Wallicht提出的一种基于弱点和攻击者的二维结构的分类方案,具体见表2-1所示。
表2-1 攻击分类表
5.基于攻击过程分类
Stallings基于攻击过程,定义了如下4种攻击:
(1) 中断(Interruption) (3) 篡改(Modification)
(2) 拦截侦听(Interception) (4) 伪造(Fabrication)
6.基于多维角度分类
一般认为网络攻击的全过程是由攻击者发起,攻击者应用一定的攻击工具,包括攻击策略与方法,对目标网络和系统进行合法与非法的访问,达到一定的攻击效果,实现攻击者预定的攻击目标。
基于以上分析,扩充上述网络与系统攻击操作序列图,进而给出一种多维角度的攻击分类方法。
(1)攻击者与其目标
Russell和Gangemi将攻击者分成两大类:内部人员和外部人员。在此倾向
于根据攻击的动机与目的,将攻击者分为以下6种:黑客、间谍、恐怖主义者、
公司职员、职业犯罪分子、破坏者。
这6种类型的攻击者和他们的主要攻击目标如图2-1所示:
图2-1 攻击者与攻击目标的分类
(2)攻击访问
攻击者为了达到其攻击目的,一定要访问目标网络和系统,包括合法和非法
的访问。但是,攻击过程主要依赖于非法访问和使用目标网络的资源,即未授权
访问或未授权使用目标系统的资源。攻击者能够进行授权访问和使用系统的前提
是目标网络和系统存在安全弱点,包括设计弱点、实现弱点和配置弱点。进入目
标系统之后,攻击者就开始执行相关命令,如修改文件、传送数据等,以实施各
类不同的攻击。基于上述认识,攻击访问过程如图2-2所示:
图2-2 攻击访问
(3)攻击效果
攻击效果有如下几种,如图2-3所示:
图2-3 攻击效果
(4)攻击工具集
攻击者通过一系列攻击工具(包括攻击策略与方法),对目标网络实施攻击,
如图2-4所示:
图2-4 攻击工具
通过以上分析,得到一种多维角度的网络攻击分类方法。
7.基于攻击步骤分类
目前唯一得到广泛应用的公开攻击特征库为著名开源入侵检测系统Snort
的规则库,而其采用的分类方法是根据经验进行罗列,出发的角度也不尽相同,
有攻击结果、攻击技术、攻击目标等,从而导致分类结果十分混乱。为了判断一
个分类方法是否合理并满足实际应用的需求,Amoroso 给出了一个攻击分类方法
应满足的分类标准,即互斥性(分类类别不应重叠)、完备性(覆盖所有可能的
攻击)、非二义性(类别划分清楚)、可重复性(对一个样本多次分类结果一致)、
可接受性(符合逻辑和直觉)和实用性(可用于深入研究和调查)6个特性。
攻击技术作为攻击最为重要的一个内在属性,对其进行分析和分类研究,对了解攻击的本质,以便更准确地对其进行检测和响应具有重要的意义。已提出的一些分类方法,包括在构建攻击知识库所采用的多维攻击分类体系,都已经把攻击技术作为一个重要的维度,但已有的分类方法均是仅仅在概念层次上为其给出一个简单的分类列表,并不满足完整性、实用性等分类标准。因此,从攻击者的角度出发,对现有的攻击技术进行研究和分析,提出了对攻击技术的层次化分类结构并给出基于攻击步骤的分类。
从攻击者的角度出发,攻击的步骤可分为探测(Probe)、攻击(Exploit)和隐藏(Conceal)。我们的攻击技术分类方法据此分为探测技术、攻击技术和隐藏技术3大类,并在每类中对各种不同的攻击技术进行细分。如图2-5所示:
图 2-5 攻击技术分类层次结构
2.1.2 攻击的一般过程
攻击者一般有两种,一种是内部人员利用自己的工作机会和权限来获得不应
该获取的权限进行的攻击,即来源于内部网络的攻击。另一种是外部人员入侵,即来源于外网的入侵,包括远程入侵、网络结点接入入侵等。这种攻击发生在组织外部甚至是国界之外,很难调查取证和追究责任,因此该类攻击影响较大,造成的危害也比较严重。
攻击者实施攻击是一件步骤性很强的工作,在攻击之前要做准备工作,即预攻击阶段,包括确定攻击目标信息,攻击目标网络地址,弄清目标所使用的操作系统,目标机器所提供服务以及开放的端口等信息;当收集到足够的信息之后,就进入了攻击阶段;攻击者利用种种手段进入目标主机系统并获得控制权之后,绝不仅仅满足于进行破坏活动。一般入侵成功后,攻击者为了能长时间地保留和巩固他对系统的控制权,不被管理员发现,他会做两件事:留下后门和擦除痕迹。具体过程见图2-6。
攻击的阶段:
1.预攻击阶段
(1)端口扫描
(2)漏洞扫描
(3)操作系统类型鉴别
(4)网络拓扑分析
2.攻击阶段
(1)缓冲区溢出攻击
a)操作系统漏洞
b)应用服务缺陷
(2)脚本程序漏洞攻击
(3)口令攻击
(4)错误及若配置攻击
(5)网络欺骗与劫持攻击
其它攻击种类
(1)拒绝服务攻击
(2)嗅探攻击
(3)恶意网页攻击
(4)社会工程攻击
3.后攻击阶段
(1)后门木马
(2)痕迹擦除
图 2-6 攻击的一般过程
2.2网络攻击模型概述
在实际的网络系统中常常会存在各种各样的脆弱性,在这样的网络系统中,
安全管理员进行安全管理时会遇到下面的问题:
1.虽然Nessus 、Nmap 等脆弱性发现工具能够发现网络的脆弱性,但是由于
网络组件之间以及网络脆弱性之间存在关联关系,从而难以对当前网络安全风险
进行有效评估;
2.由于消除脆弱性需要一定的成本,如重启电脑会暂时无法获得网络服务
等,因此需要在安全性和可用性之间做出权衡,并且确定安全措施的优先级,以
最小的安全成本获得网络的安全;
3. 需要将IDS 的预警信息与网络的实际状况相结合,更加有效地利用IDS
预警信息预测攻击者的企图和产生的安全影响,从而采取适当的安全措施。
网络攻击建模通过对整个网络进行综合分析,研究攻击者如何利用计算机的
各个脆弱性对计算机网络进行逐步入侵,最终达到攻击目标。它从攻击的角度识
别各个脆弱性之间的关系,详细地描述了攻击者的攻击路径,能够有效评估网络
攻击所导致的直接和间接的安全影响,提高安全知识的共享以及提高攻击检测和
安全预警的效率,对它的研究有利于解决上述安全问题。
因此网络攻击模型的研究是在网络攻击方面除攻击分类研究、具体攻击原理
的研究、攻击发现技术研究、攻击的响应防御策略研究以及网络攻击效果评估技
术研究之外的又一个重要的研究方向。
在20世纪80年代中期,美国国家标准局(现在是美国标准与技术研究院分支)和美国国家计算机安全中心首次涉及计算机安全风险管理模型和信息安全风险计算模型的领域。这两个组织创建了一系列的工作室,将风险专家的所有精力主要集中在计算机安全风险的挑战上。这一次尝试所研究出来的方法以及相应的商业软件包构成了第一代信息安全风险评估计算模型。这次研究使人们对计算机安全风险模型产生了极大的注意了,并且形成了基本的现代计算机安全风险评估理念。
在1990年前后,民间研究组织对安全风险计算模型有一些零星的研究,包括一些大型产业公司为其自身的风险评估所做的私人研究,在圣地亚国家研究所进行的计算机担保工作,以及一些安全顾问和学者进行的一系列个人研究。但是这些私人研究的详细内容普遍没有对外公布,计算机担保的研究内容虽然可以下载到,但是当时的很多研究者都已经离开参与到别的项目中去,从一些可以得到的研究报告看来,这些研究主要致力于风险的定量分析,整体上并没有打破第一代信息安全风险评估计算模型的范围或者解决模型框架,没有解决的任何一个基本挑战。
90年代后,随着计算机网络的普及,信息安全问题不再被看作额外的不必要的花费,而变成了企业商机的关键。在这种趋势下,诞生了第二代信息安全风险评估计算模型,这一代模型主要研究解决风险的定性和半定量的计算等问题。
网络攻击建模的方法经历了从小型网络建模向中大规模网络建模方向发展,由于手动建模向自动化建模方向发展,由自然语言建模向形式化语言建模方向发展的阶段。但是,攻击模型的研究总体上讲还是个较新的领域,目前常用的几种攻击模型基本上都处于理论研究阶段。
2.3几种典型的攻击模型
目前对网络攻击方法进行模型描述主要手段有:攻击描述语言、攻击树、图论和Petri网。
2.3.1攻击树模型
攻击树模型最早由Bruce Scheier提出,是一种结构化、可复用的将攻击过程文档化的方法。他的原本目的是希望攻击树提供一种描述安全系统的方法,允许对系统的安全性进行精确的计算,比较不同的安全系统,并作出一套比较完善的安全解决方案。
在一棵攻击树的树形结构中,根节点代表了总目标,各个分支代表达到总目
标的方法。通过对各个节点的赋值,就可以依据此树形结构做一些基本的计算用
来描述针对总目标的各种攻击方式,因此将其应用到攻击的领域仍是可行的。根
据一棵给定的攻击树,我们可以从树的某一个叶节点开始找到一条能够实现我们
攻击目的同时开销又比较小的路径。可以使用攻击树来表示攻击,树的根节点表
示最终的入侵目标,子节点表示在实现父节点目标之前需要成功执行的攻击行
为,同一父节点下的子节点具有“或”、“与”、“顺序与”的关系。“或”关
系表示完成任一个子节点的攻击行为或子目标就可实现父节点的目标,“与”关
系表示攻击者完成了子节点的全部攻击行为或子目标才可实现父节点的目标,
“顺序与”关系表示按顺序完成所有子节点攻击行为或子目标才可实现父节点目
标,如图2-7所示。攻击树就是由这些关系组合而成,我们可以使用深度优先方
式从攻击树中推导出实现终极目标的攻击路径。
图2-7 攻击树的三种节点
攻击树在结构上存在优势,能够满足诸如计算攻击目标可达概率、安全投资
回报分析等量化分析工作的要求,同时使用攻击树也能够描述复杂的攻击场景,
但是攻击树自身存在规模问题使其不适于在大规模网络环境下应用。
2.3.2特权图模型
Dacier 等人使用特权图来表达攻击者发动一系列攻击的过程对系统控制权
限的变化。特权图的每一个节点都代表用户具有的某些权限,边代表漏洞;通过
分析特权图可以构造出攻击状态图,可以获得一个入侵者到达一个特定目标的不
同路径。Dacier 还为漏洞定义了一个度量METF (Mean Effort To Failure )来
表达对此漏洞进行攻击的成功可能性,但是该度量方法计算起来比较复杂。
2.3.3攻击图模型
现实中的网络攻击行为往往需要利用多个漏洞、跨越多个主机边界来完成。
山东华宇工学院 《网络攻击与防御》 课程教学大纲 适用专业:计算机网络工程 编制单位:网络教研室 编制日期:2017年7月20日 电子信息工程学院制
《网络攻击与防御》课程教学大纲 一、教学目标 《网络攻击与防御》通过本课程的教学,使学生能熟练掌握信息安全的基本概念、框架和技术,使学生掌握常见的信息安全技术、加密技术、防火墙技术、入侵检测与预警技术、防病毒技术、拒绝服务攻击、欺骗攻击、常见的系统漏洞等安全方面的内容。通过学习,学生能够主动构建信息安全框架,并从内容安全和管理安全的角度掌握信息安全的方法和技术。通过该课程的学习,学生可以了解到信息安全的发展现状和网络安全的各种相关技术,通过实验还可以学会有关网络安全方面的分析与设计。 二、本课程与专业人才培养目标的关系——网络工程专业 三、学时安排
课程内容与学时分配表 四、课程教学内容与基本要求 第一章信息安全概述 教学目的与要求:通过本章的学习,了解信息的概念,性质与功能会计的产生、信息技术与信息安全的关系、息安全主要事件及形势的严峻性、信息安全的含义。 主要知识点: 1.信息与信息技术概述 2.网络体系结构与协议基础 3.信息安全的重要性与严峻性 4.信息安全的目标 教学重点与难点:信息与信息技术概述、信息安全的目标 第二章攻击信息安全的行为分析 教学目的与要求:通过本章的学习,了解信息安全问题的起源及常见威胁、了解影响信息安全的人员分析、理解网络攻击的手段与步骤、熟悉常见的网络攻击技术、熟悉网络
防御与信息安全保障的相关知识。 主要知识点: 1.信息安全问题的起源和常见威胁 2.影响信息安全的人员分析 3.网络攻击的手段与步骤 4.网络攻击技术 5.网络防御与信息安全保障 教学重点与难点:网络攻击的手段与步骤、网络攻击技术 第三章信息安全体系结构 教学目的与要求:熟悉开放系统互连安全体系结构,了解安全体系框架三维图、了解信息安全技术的相关知识、了解信息安全的等级划分及认证方法。 主要知识点: 1.开放系统互连安全体系结构 2.信息安全体系框架 3.信息安全技术 4.信息安全的产品类型 5.信息系统安全等级保护与分级认证 教学重点与难点:信息安全体系框架、信息系统安全等级保护与分级认证 第四章物理安全技术 教学目的与要求:了解物理安全的定义,掌握计算机房场地环境的安全要求,掌握电源安全技术的实现方法,掌握电磁防护的常用方法,理解通信线路安全的概念和保护方法。 主要知识点: 1.物理安全概述 2.物理安全等级要求 3.设备安全技术要求 4.环境安全技术要求 5.系统物理安全技术要求 教学重点与难点:物理安全等级要求 第五章灾难备份与恢复技术 教学目的与要求:掌握灾难恢复的关键技术,熟悉灾难恢复的规划与实施,了解灾难备
网络攻击机制和技术发展综述 一、概述 在这个世界上,人类不断研究和发展新的信息安全机制和工程实践,为战胜计算机网络安全威胁付出了艰巨的努力。似乎如果计算机攻击手法不再翻新,关于信息安全的战争将很快结束。虽然,大多数地下组织研究的攻击手法都是惊人的相似,无非就是:蠕虫、后门、rootkits、DoS和sniffer等。但这些手段都体现了它们惊人的威力。到今年,情况愈演愈烈。这几类攻击手段的新变种,与去年前年出现的相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从web程序的控制程序到内核级rootkits,黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。 (注:rootkits, 是一种攻击脚本、经修改的系统程序,或者成套攻击脚本和工具,用于在一个目标系统中非法获取系统的最高控制权限。) 在长期与信息安全专家的较量中,黑客对开发隐蔽的计算机网络攻击技术更加得心应手。同时,这些工具应用起来也越来越简单。以前很多命令行的攻击工具被人写成了GUI(图形界面)的内核级rootkit,将这些高度诡异的攻击武器武装到了那些热中于”玩脚本的菜鸟”手中,这些杀伤力很强的黑客工具,使”脚本菜鸟”们变得象令人敬畏的黑客。 当然,工具本身是不会危及系统安全的-坏事都是人干的。信息安全专业人员也使用和入侵者同样使用的扫描和监听工具,对系统安全做例行公事般地审计。在恶意用户使用前,那些能非法控制web程序的新的渗透测试工具,也被安全人员用来测试系统的漏洞。但是,还有很多的工具有它完全黑暗的一面,比如,蠕虫程序不断发展和传播,它只用来干坏事;反入侵检测工具和很多rootkits专门用来破坏系统的安全性。 本文将探讨一些黑客工具的独创性,以及它们令普通人惊讶的功能。这对帮助用户考虑采用新技术和传统措施来防范这些威胁有很重要的意义:在攻击者攻击来临之前,先检测和修补系统和软件漏洞。 二、Web应用程序:首选目标 日益增长的网络业务应用为脆弱的web应用提供了漏洞滋生的土壤。如银行、政府机构和在线商务企业都使用了web技术提供服务。这些机构往往自己开发整套的web应用程序(ASP、JSP和CGI等),而这些开发者由于没有获得过专业训练,导致这些自产软件漏洞百出。Web程序的开发者没有意识到,任何传递给浏览器的信息都可能被用户利用和操纵。不管用不用SSL(安全套接层),恶意用户可以查看、修改或者插入敏感信息(包括价格、会话跟踪信息甚至是脚本执行代码)。攻击者可以通过状态操纵攻击或者SQL代码嵌入等技术危及电子商务网站的安全。 所谓状态操纵攻击(state manipulation), 是指攻击者通过在URL中修改传递给浏览器的敏感信息,隐藏表格元素和cookies,达到非法访问的目的。如果一个安全意识松懈的web开发者,他把数据存储在会话ID中,而没有考虑到价格和余额等关键数据的完整性保护,则攻击者完全可以修改这些数据。再加上如果web程序相信由浏览器传递过来的数据,那么攻击者完全可以窃取用户帐号、修改价格或者修改帐户余额。 所谓SQL代码嵌入(SQL injection),是指攻击者在普通用户输入中插入数据库查询指令。这些问题相当多情况下是因为输入检验不严格和在错误的代码层中编码引起的,如对逗号”,”和分号”;”等。在这种情况下,攻击者可以对数据库进行查询、修改和删除等操作,在特定情况下,还可以执行系统指令。一般情况下,web网页上的用户名表单往往是这类攻击的入口。如果攻击者使用Proxy server执行这类操作,管理员将很难查到入侵者的来源。而要防止这类攻击,必须在自研软件开发程序上下手整治,形成良好的编程规范和代码检测机制,仅仅靠勤打补丁和安装防火墙是不够的。关于SQL Injection更多的详细信息,请参考:https://www.doczj.com/doc/d26391127.html,/article/db/2412.htm
网络攻击与防御技术期末考试试卷及答案 考试时间: 120 分钟 试卷页数(A4): 2 页 考试方式:闭卷(开卷或闭卷) 考试内容: 一、选择题(每小题1分,共30分) 1、假冒网络管理员,骗取用户信任,然后获取密码口令信息的攻击方式被称为()。 A、密码猜解攻击 B、社会工程攻击 C、缓冲区溢出攻击 D、网络监听攻击 2、下列哪一项软件工具不是用来对网络上的数据进行监听的?() A、Xsniff B、TcpDump C、Sniffit D、UserDump 3、在进行微软数据库(Microsoft SQL Database)口令猜测的时候,我们一般会猜测拥有数据库最高权 限登录用户的密码口令,这个用户的名称是()? A、admin B、administrator C、sa D、root 4、常见的Windows NT系统口令破解软件,如L0phtCrack(简称LC),支持以下哪一种破解方式?() A.字典破解B、混合破解C、暴力破解D、以上都支持 5、著名的John the Ripper软件提供什么类型的口令破解功能? () A、Unix系统口令破解 B、Windows系统口令破解 C、邮件帐户口令破解 D、数据库帐户口令破解 6、下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻击的前提? () A、IP欺骗 B、DNS欺骗 C、ARP欺骗 D、路由欺骗 7、通过TCP序号猜测,攻击者可以实施下列哪一种攻击?() A、端口扫描攻击 B、ARP欺骗攻击 C、网络监听攻击 D、TCP会话劫持攻击 8、目前常见的网络攻击活动隐藏不包括下列哪一种?() A、网络流量隐藏 B、网络连接隐藏 C、进程活动隐藏 D、目录文件隐藏 9、在Windows系统中可用来隐藏文件(设置文件的隐藏属性)的命令是()。 A、dir B、attrib C、ls D、move 10、在实现ICMP协议隐蔽通道,常需要将发送出去的数据包伪装成下列哪一种类型?() A、ICMP请求信息,类型为0x0 B、ICMP请求信息,类型为0x8 C、ICMP应答信息,类型为0x0 D、ICMP应答信息,类型为0x8 11、Unix系统中的last命令用来搜索____来显示自从文件创建以来曾经登录过的用户,包括登录/退出 时间、终端、登录主机IP地址。() A、utmp/utmpx文件 B、wtmp/wtmpx文件 C、lastlog文件 D、attc文件 12、Unix系统中的w和who命令用来搜索____来报告当前登录的每个用户及相关信息。() A、utmp/utmpx文件 B、wtmp/wtmpx文件 C、lastlog文件 D、attc文件 13、流行的Wipe工具提供什么类型的网络攻击痕迹消除功能? () A、防火墙系统攻击痕迹清除 B、入侵检测系统攻击痕迹清除 C、Windows NT系统攻击痕迹清除 D、Unix系统攻击痕迹清除 14、流行的elsave工具提供什么类型的网络攻击痕迹消除功能? () A、防火墙系统攻击痕迹清除 B、WWW服务攻击痕迹清除 C、Windows NT系统攻击痕迹清除 D、Unix系统攻击痕迹清除 15、为了清除攻击Apache WWW服务时的访问记录,攻击者需要读取下列Apache的哪一种配置文件 来确定日志文件的位置和文件名。()
论文:网络安全技术综述 研究目的: 随着互联网技术的不断发展和广泛应用,计算机网络在现代生活中的作用越来越重要,如今,个人、企业以及政府部门,国家军事部门,不管是天文的还是地理的都依靠网络传递信息,这已成为主流,人们也越来越依赖网络。然而,网络的开放性与共享性容易使它受到外界的攻击与破坏,网络信息的各种入侵行为和犯罪活动接踵而至,信息的安全保密性受到严重影响。因此,网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。 21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。 网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。 研究意义: 一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要 想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用。
西安电子科技大学 本科生实验报告 姓名:王东林 学院:计算机科学院 专业:信息安全 班级:13级本科班 实验课程名称:网络攻击与防御 实验日期:2015年10月15日 指导教师及职称:金涛 实验成绩: 开课时间: 2016-2017 学年第一学期
实验题目网络攻击与防御小组合作否 姓名王东林班级13级信息安全本科班学号201383030115 一、实验目的 1.了解网络连通测试的方法和工作原理。 2.掌握ping命令的用法。 3.了解网络扫描技术的基本原理。 4.掌握xscan工具的使用方法和各项功能。 5.通过使用xscan工具,对网络中的主机安全漏洞信息等进行探测。 6.掌握针对网络扫描技术的防御方法。 7.了解路由的概念和工作原理。 8.掌握探测路由的工具的使用方法和各项功能,如tracert等。 9.通过使用tracert工具,对网络中的路由信息等进行探测,学会排查网络故 障。 10.了解网络扫描技术的基本原理。 11.掌握nmap工具的使用方法和各项功能。 12.通过使用nmap工具,对网络中的主机信息等进行探测。 13.掌握针对网络扫描技术的防御方法。 14.掌握Linux帐号口令破解技术的基本原理、常用方法及相关工具 15.掌握如何有效防范类似攻击的方法和措施 16.掌握帐号口令破解技术的基本原理、常用方法及相关工具 17.掌握如何有效防范类似攻击的方法和措施 18.掌握帐号口令破解技术的基本原理、常用方法及相关工具 19.掌握如何有效防范类似攻击的方法和措施
二.实验环境 1、实验环境 1)本实验需要用到靶机服务器,实验网络环境如图1所示。 靶机服务器配置为Windows2000 Server,安装了IIS服务组件,并允许FTP匿名登录。由于未打任何补丁,存在各种网络安全漏洞。在靶机服务器上安装有虚拟机。该虚拟机同样是Windows2000 Professional系统,但进行了主机加固。做好了安全防范措施,因此几乎不存在安全漏洞。 2)学生首先在实验主机上利用Xscan扫描靶机服务器P3上的漏洞,扫描结束发现大量漏洞之后用相同方法扫描靶机服务器上的虚拟机P4。由于该靶机服务器上的虚拟机是安装了各种补丁和进行了主机加固的,因此几乎没有漏洞。在对比明显的实验结果中可见,做好安全防护措施的靶机服务器虚拟机上的漏洞比未做任何安全措施的靶机服务器少了很多,从而加强学生的网络安全意识。实验网络拓扑如图1。 三. 实验内容与步棸 Ping命令是一种TCP/IP实用工具,在DOS和UNIX系统下都有此命令。它将您的计算机与目标服务器间传输一个数据包,再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通。 1.在命令提示符窗口中输入:ping。了解该命令的详细参数说明。
网络攻击防御技术考题答 案 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
选择题(单选) 1.假冒网络管理员,骗取用户信任,然后获取密码口令信息的攻击方式被称 为___B_。 A.密码猜解攻击 B.社会工程攻击 C.缓冲区溢出攻击 D.网络监听攻击 2.下列哪一项软件工具不是用来对网络上的数据进行监听的?D A.XSniff B.TcpDump C.Sniffit https://www.doczj.com/doc/d26391127.html,erDump 3.Brutus是一个常用的Windows平台上的远程口令破解工具,它不支持以下 哪一种类型的口令破解A A.SMTP B.POP3 C.Telnet D.FTP 4.在进行微软数据库(Microsoft SQL Database)口令猜测的时候,我们一般 会猜测拥有数据库最高权限登录用户的密码口令,这个用户的名称是__C__ 5. A.admin B.administrator C.sa D.root 6.常见的Windows NT系统口令破解软件,如L0phtCrack(简称LC),支持 以下哪一种破解方式?D A.字典破解 B.混合破解 C.暴力破解 D.以上都支持 7.著名的John the Ripper软件提供什么类型的口令破解功能?B A.Windows系统口令破解
B.Unix系统口令破解 C.邮件帐户口令破解 D.数据库帐户口令破解 8.下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻 击的前提?C A.IP欺骗 B.DNS欺骗 C.ARP欺骗 D.路由欺骗 9.通过TCP序号猜测,攻击者可以实施下列哪一种攻击?D A.端口扫描攻击 B.ARP欺骗攻击 C.网络监听攻击 D.TCP会话劫持攻击 10.目前常见的网络攻击活动隐藏不包括下列哪一种?A A.网络流量隐藏 B.网络连接隐藏 C.进程活动隐藏 D.目录文件隐藏 11.在Windows系统中可用来隐藏文件(设置文件的隐藏属性)的命令是 ____。B A.dir B.attrib
《网络攻击与防御》课程教学大纲 一、课程说明 二、课程的地位及作用 《网络攻击与防御》课程是网络工程本科专业四年级第一学期开设的一门专业方向课程,共32学时。 随着计算机技术和网络通信技术的飞速发展,Internet的规模正在不断增长。Internet的迅猛发展不仅带动了信息产业和国民经济的快速增长,也为企业的发展带来了勃勃生机,但随着计算机网络的广泛应用,与 Internet 有关的安全事件也越来越多,安全问题日益突出,各种计算机犯罪层出不穷,越来越多的组织开始利用Internet 处理和传输敏感数据,Internet 上也到处传播和蔓延入侵方法与脚本程序,使得连入 Internet 的任何系统都处于将被攻击的风险之中。因此如何保障网络与信息资源的安全就一直是人们关注的焦点,如何对各种网络攻击手段进行检测和预防,是计算机安全中的重中之重。 面对严峻的网络安全形势,国家明确提出要大力加强信息安全专门人才的培养,以满足社会对信息安全专门人才日益增长的需求,目前大多数高等院校都陆续开设了信息安全方面的课程,了解和掌握网络攻防知识具有重要的现实意义。一方面,研究网络攻击,是因为网络安全防范不仅要从正面去进行防御,还要从反面入手,从攻击者的角度设计更坚固的安全保障系统。另一方面,攻击方法的不断演进,防范措施也必须与时俱进。随着网络安全新技术的出现,有助于加强传统安全技术的防御功能,提升网络安全的等级。 三、课程教学目标 本课程从原理与应用两个角度掌握网络攻击与防御技术,通过实践使学生进一步理解网络攻击与防御的基本理论、方法、技术和基本知识。通过本课程教学,学习者应达到下列教学目标: 1.了解和掌握现代各种网络攻击与防御技术和主要发展方向,掌握网络攻击与防御的基本思想、基本概念与分析方法;
黑客攻防之防范入侵攻击的主要方法技巧 一、访问控制技术 访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛,包括网络登录控制、网络使用权限控制、目录级安全控制,以及属性安全控制等多种手段。 1.网络登录控制 网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问,或禁止用户登录,或限制用户只能在指定的工作站上进行登录,或限制用户登录到指定的服务器上,或限制用户只能在指定的时间登录网络等。 网络登录控制一般需要经过三个环节,一是验证用户身份,识别用户名;二是验证用户口令,确认用户身份;三是核查该用户账号的默认权限。在这三个环节中,只要其中一个环节出现异常,该用户就不能登录网络。其中,前两个环节是用户的身份认证过程,是较为重要的环节,用户应加强这个过程的安全保密性,特别是增强用户口令的保密性。用户可以使用一次性口令,或使用IC卡等安全方式来证明自己的身份。 网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号,可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式,并对登录过程进行必要的审计。对于试图非法登录网络的用户,一经发现立即报警。 2.网络使用权限控制 当用户成功登录网络后,就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制,则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问,允许用户访问的资源就开放给用户,不允许用户访问的资源一律加以控制和保护。 网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中,规定了用户可以访问的网络资源,以及能够对这些资源进行的操作。根据网络使用权限,可以将网络用户分为三大类:一是系统管理员用户,负责网络系统的配置和管理;二是审计用户,负责网络系统的安全控制和资源使用情况的审计;三是普通用户,这是由系统管理员创建的用户,其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限,或将其删除。 3.目录级安全控制
选择题(单选) 1.假冒网络管理员,骗取用户信任,然后获取密码口令信息的攻击方式被称为___B_。 A.密码猜解攻击 B.社会工程攻击 C.缓冲区溢出攻击 D.网络监听攻击 2.下列哪一项软件工具不是用来对网络上的数据进行监听的?D A.XSniff B.TcpDump C.Sniffit https://www.doczj.com/doc/d26391127.html,erDump 3.Brutus是一个常用的Windows平台上的远程口令破解工具,它不支持以下哪一种类型 的口令破解A A.SMTP B.POP3 C.Telnet D.FTP 4.在进行微软数据库(Microsoft SQL Database)口令猜测的时候,我们一般会猜测拥有数 据库最高权限登录用户的密码口令,这个用户的名称是__C__? A.admin B.administrator C.sa D.root 5.常见的Windows NT系统口令破解软件,如L0phtCrack(简称LC),支持以下哪一种破 解方式?D A.字典破解 B.混合破解 C.暴力破解 D.以上都支持 6.著名的John the Ripper软件提供什么类型的口令破解功能?B A.Windows系统口令破解 B.Unix系统口令破解 C.邮件帐户口令破解 D.数据库帐户口令破解 7.下列哪一种网络欺骗技术是实施交换式(基于交换机的网络环境)嗅探攻击的前提?C A.IP欺骗 B.DNS欺骗 C.ARP欺骗 D.路由欺骗 8.通过TCP序号猜测,攻击者可以实施下列哪一种攻击?D A.端口扫描攻击 B.ARP欺骗攻击 C.网络监听攻击 D.TCP会话劫持攻击
9.目前常见的网络攻击活动隐藏不包括下列哪一种?A A.网络流量隐藏 B.网络连接隐藏 C.进程活动隐藏 D.目录文件隐藏 10.在Windows系统中可用来隐藏文件(设置文件的隐藏属性)的命令是____。B A.dir B.attrib C.ls D.move 11.在实现ICMP协议隐蔽通道,常需要将发送出去的数据包伪装成下列哪一种类型?C A.ICMP请求信息,类型为0x0 B.ICMP请求信息,类型为0x8 C.ICMP应答信息,类型为0x0 D.ICMP应答信息,类型为0x8 12.相对来说,下列哪一种后门最难被管理员发现?D A.文件系统后门 B.rhosts++后门 C.服务后门 D.内核后门 13.常见的网络通信协议后门不包括下列哪一种?A A.IGMP B.ICMP C.IP D.TCP 14.Unix系统中的last命令用来搜索____来显示自从文件创建以来曾经登录过的用户,包 括登录/退出时间、终端、登录主机IP地址。B A.utmp/utmpx文件 B.wtmp/wtmpx文件 https://www.doczj.com/doc/d26391127.html,stlog文件 D.attc文件 15.Unix系统中的w和who命令用来搜索____来报告当前登录的每个用户及相关信息。A A.utmp/utmpx文件 B.wtmp/wtmpx文件 https://www.doczj.com/doc/d26391127.html,stlog文件 D.attc文件 16.流行的Wipe工具提供什么类型的网络攻击痕迹消除功能?D A.防火墙系统攻击痕迹清除 B.入侵检测系统攻击痕迹清除 C.Windows NT系统攻击痕迹清除 D.Unix系统攻击痕迹清除 17.流行的elsave工具提供什么类型的网络攻击痕迹消除功能?C A.防火墙系统攻击痕迹清除 B.WWW服务攻击痕迹清除
网络攻击技术及攻击实例介绍 摘要:随着计算机网络的广泛使用,网络攻击技术也迅猛发展。研究网络攻击带来的各种威胁,有针对性的对这些威胁进行有效防范,是加固安全防御体系的重要途径。研究计算机网络攻击技术,模拟黑客行为,以敌手推演为模型、以攻防对抗为实践方式来验证网络整体安全防护效能,是加强网络安全防护的一种重要手段。本文介绍了WEB脚本入侵攻击、缓沖区滋出攻击、木马后门攻击、网络设备攻击、内网渗透攻击、拒绝服务攻击、网电空间对抗六种典型网络攻击技术及伊朗核设施遭震网技术的网络攻击案例。 一、网络攻击技术分类 计算机网络攻击是网络攻击者利用网络通信协议自身存在的缺陷、用户使用的操作系统内在缺陷或用户使用的程序语言本身所具有的安全隐患,通过使网络命令或者专门的软件非法进人本地或远程用户主机系统,获得、修改、删除用户系统的信息以及在用户系统上插入有害信息,降低、破坏网络使用效能等一系列活动的总称。 从技术角度看,计算机网络的安全隐患,一方面是由于它面向所有用户,所有资源通过网络共享,另一方面是因为其技术是开放和标准化的。层出不穷的网络攻击事件可视为这些不安全因素最直接的证据。其后果就是导致信息的机密性、完整性、可用性、真实性、可控性等安全属性遭到破坏,进而威胁到系统和网络的安全性。 从法律定义上,网络攻击是入侵行为完全完成且入侵者已在目标网络内。但是更激进的观点是(尤其是对网络安全管理员来说),可能使一个网络受到破坏的所有行为都应称为网络攻击,即从一个入侵者开始对目标机上展开工作的那个时刻起,攻击就开始了。通常网络攻击过程具有明显的阶段性,可以粗略的划分为三个阶段: 准备阶段、实施阶段、善后阶段。
《网络攻击与防御技术》期末复习提纲: 1.网络安全问题主要表现在哪些方面?常用防范措施有哪些? 整体网络的安全问题主要表现在以下几个方面:网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。 防范措施:*物理措施*防问措施*数据加密*病毒防范*其他措施。包括信息过滤、容错、数据镜像、数据备份和审计等。 2.简述数据报文的传送过程。 在进行数据传输时,相邻层之间通过接口进行通信,发送方由高层到低层逐层封装数据,接收方由低层到高层逐层解包数据。 如果接收方与方送方位于同一网段,则不需要进行路由选路,不经路由设备直达接收方。如果通信双方不在同一网段,例如我们访问互联网,则需要进行路由选路,经过若干路由设备。报文经过路由设备时进行的处理过程是这样的:在路由设备的物理层接收报文,然后向上传递到数据链路层、网络层。在网络层路由设备会判断报文的目的IP地址是否是本地网络,然后将报文重新打包下发到数据链路层和物理层发送出去。在这个过程中网络层的目的IP地址始终保持不变,而数据链路层的MAC地址更改成本地目的主机的MAC地址或下一个路由器的MAC地址。 3.在网络中定位一台计算机的方法是使用____IP地址____或_____域名DN___。 4.私有IP地址通常由路由器使用___NAT_____协议来转换为公有地址。 5. ping命令是用于检测____网络连接性_______和__主机可到达性_________的主要TCP/IP 命令。使用ping命令默认情况下将发送__4_________次ICMP数据包,每个数据包的大小为_____32_______个字节。 6. ping命令的常用参数的含义:-n,-t,-l。 -n 指定发送数据包的数目,默认为4个。-t 对目标持续不断地发送ICMP数据包,按Ctrl+C 组键停止。-l 指定发包时,单个数据包的大小,默认是32KB。 7.ping命令出现“Request timed out.”信息的可能原因有哪些? * 与对方网络连接有问题(对方关机、此IP不存在、网络有问题)。 * 双方网络连接慢,网速卡、数据不能及时传递。 * 对方安装了防火墙,过滤了ICMP数据包。 * 本地安装了防火墙,过滤了ICMP数据包(在企业用的比较多,ISA服务器过滤内部的ICMP数据包)。 8.简述tracert命令的工作原理。 通过向目标主机发送不同IP生存时间值的ICMP回应数据包,Tracert诊断程序确定到目标主机所经过的路由。在数据包传输中所经过的每个路由在转发数据报之前要将数据包上的TTL值减1。当数据包上的TTL值减为0时,路由器应该将“ICMP已超时”的消息发回源系统。 Tracert先发送TTL为1 的回应数据包,并在随后的每次发送过程中将TTL值递增1,直到目标响应或TTL值达到最大值,从而确定路由。通过检查中间路由发回的“ICMP已超时”的消息确定路由。某些路由不经询问直接丢弃TTL过期的数据包,这在Tracert实用程序中看不到。Tracert命令按顺序打印出返回“ICMP已超时”消息的路径中的近端路由器接口列表。如果使用“-d”选项,则Tracert实用程序不在每个IP地址上查询DNS。 https://www.doczj.com/doc/d26391127.html,stat命令常用参数-a,-b,-n,-r的含义。 -a 显示所有连接和监听端口。-b 显示包含于创建每个连接或监听端口的可执行组件。-n 以数字形式显示地址和端口号。-r 显示路由表。 https://www.doczj.com/doc/d26391127.html, user、net localgroup命令的常用用法。
《网络攻防技术实践》考核口试题 软件工程相关 1.软件的算法是如何定义的有哪些主要特征 算法是指解题方案的准确而完整的描述,是一系列解决问题的清晰指令。 七个主要特征:有穷性、确定性、可行性、有效性、健壮性、输入项输出项2.软件中算法的效率如何度量 空间复杂度、时间复杂度。 3.解释一下算法、程序和软件的概念。 算法:通常指可以用来解决的某一类问题的步骤或程序,这些步骤或程序必须是明确的和有效的,而且能够在有限步之内完成的。 程序:程序(program)是为实现特定目标或解决特定问题而用计算机语言编写的命令序列的集合。 软件:计算机系统中与硬件相互依存的一部分,包括程序、数据、相关文档的完整集合。 4.什么是结构化程序设计有哪几种主要结构 结构化程序设计(structured programming)是进行以模块功能和处理过程设计为主的详细设计的基本原则。它的主要观点是采用自顶向下、逐步求精的程序设计方法,使用三种基本控制结构构造程序。任何程序都可由顺序、选择、循环三种基本控制结构构造。 5.解释一下C语言中结构体的概念 结构体是由一系列具有相同类型或不同类型的数据构成的数据集合。 6.什么是数据结构数据结构在计算机中如何表示 数据结构是计算机存储、组织数据的方式。数据结构是指相互之间存在一种或多种特定关系的数据元素的集合。常用的数据结构有数组、栈、队列、链表、树、图、堆和散列表等。数据结构在计算机中的表示成为数据的物理结构,又称为存储结构,包括数据元素的表示和关系的表示。表示方法有结点、顺序存储结构和链式存储结构。 7.解释一下数据结构中线性表的概念 线性表中数据元素之间的关系是一对一的关系,即除了第一个和最后一个数据元素之外,其它数据元素都是首尾相接的。 8.解释一下数据结构中树的概念 树是由一个集合以及在该集合上定义的一种关系构成的。集合中的元素称为树的结点,所定义的关系称为父子关系。父子关系在树的结点之间建立
关于网络攻击与防御技术实验教程 最近有网友想了解下《网络攻击与防御技术实验教程》张玉清写的这本书,所以小编就整理了相关资料分享给大家,具体内容如下.希望大家参考参考!!! 《网络攻击与防御技术实验教程》 《网络攻击与防御技术实验教程》内容简介 网络攻击与防御技术是网络安全的核心和焦点,也是确保网络安全实际动手能力的综合体现。全书共分11章,第1章介绍如何进行系统安全配置并搭建一个用于网络攻防实验的虚拟机,在接下来的各章中,在回顾理论知识的同时,结合动手实验介绍网络典型攻防技术,这些网络典型攻防技术包括扫描技术、网络监听及防御技术、口令攻击、欺骗攻击及防御、拒绝服务攻击与防范、缓冲区溢出攻击及防御、Web攻击及防范、木马攻击及防御、病毒与蠕虫攻击及防御和典型网络攻击防御技术。通过这种理论与实践相结合的网络攻防技术的学习,读者会对网络攻击与防御技术有更直观和深刻的理解。 书中各章内容安排方式为:理论知识回顾、基本实验指导
和巩固提高型实验。 本书可以作为信息安全、计算机、通信等相关专业研究生、本科生的教材,也可供从事网络安全研发的工程技术人员和热衷网络攻防技术的读者参考。 《网络攻击与防御技术实验教程》前言/序言 “知彼知己,百战不殆。" --孙子兵法网络安全已成为人们在信息空间中生存与发展的重要保证条件,与国家的政治安全、经济安全、军事安全、社会稳定以及人们的日常生活密切相关。由于兴趣爱好和经济利益的驱使,黑客攻击事件层出不穷。公司和国家只有积极防御,才能在攻击环境下生存。 攻击与防御是一对相互制约和相互发展的网络安全技术。 本实验教程的目标是帮助安全人员理解黑客的攻击方法和步骤,事实一次又一次地证明,理解敌人的策略、技巧和工具对保护自己是多么的重要。同时,本教程还让安全人员了解能采取哪些策略来防范各类攻击。
常见网络攻击的手段与防范 侯建兵 赤峰学院计算机科学与技术系,赤峰024000 摘要:现在,Intemet上的网络攻击越来越猖獗,攻击手段也越来越先进,一旦被攻破,导致的损失也会越来越严重。如何有效地防止网络攻击已成为一个全球性的研究课题,受到全世界网络工作者的普遍重视,因此,针对黑客的网络攻击,提高网络的防护能力,保证信息安全已成为当务之急。为此本文列举了一些典型的网络攻击,将它们进行了分类,在分析其攻击原理的基础上,针对网络攻击的具体防御措施进行了 讨论和分析。 关键词:网络安全;网络攻击;安全策略;手段;措施;黑客攻击;防范技术 一.引言 随着Intemet的发展.高信息技术像一把双刃剑,带给我们无限益处的同时也带给网络更大的风险。网络安全已成为重中之重,攻击者无处不在。因此网络管理人员应该对攻击手段有一个全面深刻的认识,制订完善安全防护策略。孙子兵法上说,知己知彼,百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏,仅仅被动的安装防火墙是显然不够的。我们必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解,针对不同的方法采取不同的措施,做到有的放矢。只有这样才能更有效、更具有针对性的进行主动防护。 二.相关基本概念和网络攻击的特点 1.计算机网络安全的含义 从本质上来讲.网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性.使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。 2. 网络攻击概念性描述 网络攻击是利用信息系统自身存在的安全漏洞,进入对方网络系统或者是摧毁其硬件设施。其目的就是破坏网络安全的各项指标,破坏扰乱对方信息系统的正常运行,致使对方计算机网络和系统崩溃、失效或错误工作。 3. 计算机网络攻击的特点 计算机网络攻击具有下述特点:(1)损失巨大。由于攻击和入侵的对象是网络上的计算机。所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。(2)威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。 (3)手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的
网络攻击一般步骤的研究和检测 [摘要] 随着计算机技术的不断发展,网络安全问题变得越来越受人关注。而了解网络攻 击的方法和技术对于维护网络安全有着重要的意义。本文对网络攻击的一般步骤做一个总结和提炼,针对各个步骤提出了相关检测的方法。 [关键词] 扫描权限后门 信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。 入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及 检测情况做一阐述。 对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。 一、利用数据流特征来检测攻击的思路 扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路: 1.特征匹配。找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP” 等等。 2.统计分析。预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。 3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明
目录 一.生活中黑客常用的攻击技术 (1) 2.拒绝服务攻击 (2) 3.缓冲区溢出 (2) 二.生活中常见的网络防御技术3 1.常见的网络防御技术 (3) 1.防火墙技术 (3) 2.访问控制技术 (4) 三.总结 (5) 一.生活中黑客常用的攻击技术 黑客攻击其实质就是指利用被攻击方信息系统自身存在安全漏洞,通过使用网络命令和专用软件进入对方网络系统的攻击。目前总结出黑客网络攻击的类型主要有以下几种: 1.对应用层攻击。 应用层攻击能够使用多种不同的方法来实现,最常见的方法是使用服务器上通常可找到的应用软件(如SQL Server、PostScript和FTP)缺陷,通过使用这些缺
陷,攻击者能够获得计算机的访问权,以及在该计算机上运行相应应用程序所需账户的许可权。 应用层攻击的一种最新形式是使用许多公开化的新技术,如HTML规范、Web 浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序,包括Java applet和Active X控件等,并通过用户的浏览器调用它们,很容易达到入侵、攻击的目的。 2.拒绝服务攻击 拒绝服务(Denial of Service, DoS)攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单,但又很有效的进攻方式。它的目的就是拒绝服务访问,破坏组织的正常运行,最终使网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。 攻击的基本过程如下:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。由于地址是伪造的,所以服务器一直等不到回传的消息,然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。 被DDoS攻击时出现的现象主要有如下几种。被攻击主机上有大量等待的TCP 连接。网络中充斥着大量的无用的数据包,源地址为假。制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通信。利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。严重时会造成系统死机。要避免系统遭受Do S攻击,网络管理员要积极谨慎地维护整个系统,确保无安全隐患和漏洞,而针对更加恶意的攻击方式则需要安装防火墙等安全设备过滤D O S攻击,同时建议网络管理员定期查看安全设备的日志,及时发现对系统构成安全威胁的行为。 3.缓冲区溢出 通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令。如果这些指令是放在有Root权限的内存中,那么一旦这些指令得到了运行,黑客就以Root权限控制了系统,达到入侵的目的;缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。 缓冲区溢出的一般攻击步骤为:在程序的地址空间里安排适当的代码——通过适当的地址初始化寄存器和存储器,让程序跳到黑客安排的地址空间中执行。缓冲区溢出对系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点。必须及时发现缓冲区溢出这类漏洞:在一个系统中,比如UNIX操作系统,这类漏洞是非常多的,系统管理员应经常和系统供应商联系,及时对系统升级以堵塞缓冲区溢出漏洞。程序指针完整性检查:在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测
毕业设计(论文) 题目:网络攻击和防御技术研究
摘要 网络在人类社会生活中的应用越来越广泛和重要,Internet已经把人们的学习、工作和生活紧密地联系在一起,但其中潜在的安全问题也越来越严峻,各种攻击手段层出不穷。其中拒绝服务攻击以其攻击范围广、隐蔽性强、简单有效、破坏性大和难以防御等特点成为最常见的网络攻击技术之一。尤其分布式拒绝服务攻击其破坏性更大,严重威胁着Internet的安全,受到这种攻击的损失是无法计量的。为其建立有效的防御机制是当前维护网络安全的重要目标之一。 本次毕业设计的主要工作是研究网络攻击与防御技术,并在此基础上重点研究分析拒绝服务攻击,并对其防御策略进行研究。主要研究成果如下: (1)研究计算机网络攻击与防御的原理与技术。 (2)研究网络安全现状、发展趋势,常见网络攻击方法以及典型网络攻击技术。 (3)在上述研究基础上,主要研究拒绝服务攻击,详细分析研究了SYN Flood 攻击、Smurf攻击、Teardrop攻击等拒绝服务攻击的原理和防御策略。 (4)在对拒绝服务攻击分析研究的基础上,采用Java多线程技术实现对某个网站的SYN Flood拒绝服务攻击并分析了其防御方法。 关键词:拒绝服务攻击,防御策略,SYN Flood,Smurf,Teardrop
ABSTRACT Network in human social life, more and more extensive and important, Internet has been the people's learning, working and living closely together, but potentially more serious security issues, all kinds of attacks one after another. Denial of service attack in which a wide range of its concealment and strong, simple and effective, destructive, and so large and difficult to defend the most common network attacks technologies. In particular, the distributed denial of service attacks more damaging, a serious threat to the security of Internet by the loss of such attacks can not be measured. Defense mechanism for the establishment of effective maintenance of network security is currently one of the important goals. The main graduation work is to study the network attack and defense techniques,and focus on research and analysis on the basis of denial of service attacks, and to study their defense strategy.The main results are as follows: (1)Study of computer network attack and defense of the principles and techniques. (2)Study of network security situation, development trends, common network attack methods and techniques typical of network attacks. (3)Based on these studies, the main research denial of service attacks,detailed analysis of the SYN Flood attacks, Smurf attacks, Teardrop attacks the principle of denial of service attack and defense strategies. (4) In the analysis of denial of service attacks based on the use of Java multi-threading technology on a Web site of the SYN Flood denial of service attacks and analysis of its defenses. Keywords:Denial of service attacks, defense strategy, SYN Flood, Smurf, Teardrop