《网络攻击与防御》课程考查报告
(2019 —2020 学年第 2 学期)
题目浅谈网络攻击与防御学生姓名董茹玉
专业班级网络工程1701
学生学号
任课教师王辉
成绩:
评语:
教师签名:
日期:
目录
一、前言 (3)
二、背景分析 (4)
2.1 网络安全基本概念 (4)
2.2 网络安全现状与隐患 (4)
2.3网络安全发展趋势 (5)
2.3.1网络安全服务成全球趋势 (5)
2.3.2区块链解决网络安全大有前途 (6)
三、网络攻击技术研究 (8)
3.1 网络攻击模型基本概念 (8)
3.2常见攻击模型及防御措施 (8)
3.2.1服务拒绝攻击 (8)
3.2.2利用型攻击 (11)
3.2.3信息收集型攻击 (12)
3.2.4假消息攻击 (14)
四、网络防御技术及策略 (15)
4.1 边界安全(防火墙技术) (15)
4.2 入侵防范( IDS,IPS) (15)
4.3 安全连接(VPN) (16)
4.4 多层次的安全系统建立 (16)
4.5 准入控制( NAC/EAD(H3C) ) (16)
4.6集成化产品安全 (16)
4.7 常见网络防御技术 (17)
五、结束语 (18)
一、前言
随着计算机网络的发展,网络的开放性、共享性、互连程度随之扩大。特别是Internet的普及,使得商业数字货币、互联网络银行等一些网络新业务的迅速兴起,越来越多的公司内部及外部网络慢慢的健全,为了保护网络免遭破坏,网络安全问题显得越来越重要。
所以网络安全是目前一个非常热门的领域。网络己经成为社会和经济发展的强大动力,其地位越来越重要。伴随着它的发展,也产生了各种各样的问题,其中安全问题尤为突出。网络容易遭受到恶意攻击,例如数据被窃取,服务器不能正常的工作等等。针对这些攻击,人们采用了一些防御手段,不断的增强系统本身的安全性,同时还采用了一些辅助设备,比如网络系统和防火墙。防火墙一般作为网关使用,在检测攻击的同时,还能阻断攻击,网络一般作为并行设备使用,不具有阻断攻击的能力,它检测到攻击后,发出警报通知管理员,由管理员进行处理。不同的攻击,有不同的防御方法,我们在对攻击的有一定的了解后,制定相应的防御策略,才能保证网络安全。
二、背景分析
2.1 网络安全基本概念
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。
在计算机应用日益广泛和深入的同时,计算机网络的安全问题日益复杂和突出。网络的脆杂性增加了被攻击的可能性。
2.2 网络安全现状与隐患
当今,我国已经开始着手建立积极防御信息安全的保障体系,国内开始筹建信息安全技术产业。鉴于此,未来几年后,我国网络安全将被重点防护。针对现如今的网络安全,其现状依旧不容乐观,进行如下分析。
1.网络信息安全犯罪层出不穷
据工业和信息化部互联网网络安全信息通报成员单位报送的数据,2014年,在中国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名半数以上在境外注册。此外,2014年,中国境内政府网站被篡改数量为5673个,与2013年的4327个相比,上升幅度较为明显。在国家互联网应急中心监测的政府网站列表中,2014年被篡改的政府网站比例达到12.5%,从这一数据得出我国政府网站遭到黑客恶意攻击和篡改的数量比较庞大,占全国的十分之- -。遭黑客恶意攻击的网站包括水利部、国防部、国土资源部、人民检察院等。从上述分析得出,运用网络能够获得较高利益,因此不少犯罪分子在强大利益的驱使下,铤而走险,利用网络进行犯罪。
2.法律法规滞后于互联网技术的发展
现如今,互联网技术出现在社会的各个层面中,原有的传统法律处理网络发展的新问题显得力不从心,而网络发展速度之快,远远超出一般人的想象,如
不及时制定新的法律规范,将难以应付这些迅速膨胀的新的法律问题,势必影响社会的安定和经济的发展。综观我国现有的法律体系,虽然自1994年以来我国政府已颁布实施了一系列有关计算机及国际互联网的法规、条例,内容涉及对互联网的管理、信息服务、域名注册、网络安全等多个方面。但是,从总体上看,由于我国的互联网技术的发展才刚刚起步,网络的法律规范并不健全,其立法体制明显滞后。此外,会出现一些网络诉讼案件,这些案件不能够从法律上找到依据,难以处理。因此加强立法研究,加快立法研究的进程,填补法律法规的空白刻不容缓。
3.用户网络安全意识较弱
人们无论在生活还是在学习上都离不开网络技术,大部分网络用户自身网络安全意识较弱,在网络上随意注册,泄漏自己的个人信息,关闭电脑时没有退出自己的账号,电脑中没有装杀毒软件等,这造成一系列安全隐患。此外,基于产业发展而言,国内在信息安全的研究领域投入较少,重视度不够,人才队伍建设培养出现诸多不适应。
2.3网络安全发展趋势
2.3.1网络安全服务成全球趋势
网络安全作为一种服务,是全球向共享经济模式转变的趋势的一部分。到2020 年,公司不愿意为工具支付过高的费用,因此他们将在需要的时间段内转而使用所需的服务。开始提供这种模式的 IT 初创企业已经成为独角兽。McAfee Inc. 和 NortonLifeLock 就是这样的公司。其他可供选择的端点安全提供商包括 Carbon Black、Cylance、Palo Alto Networks、FireEye 等。
新的和有前途的提供商也正在推出可行的解决方案,例如 Cloudstrike 及其 Falcon,这是第一个软件即服务的多租户、云本机、智能安全平台。竞争对手 Infoblox 通过 SD-WAN、混合云和物联网提供安全性、简单性和自动化,将人工任务减少 70%,生产力提高 300%。他们的 BloxOne 威胁防御允许流量监控、主动威胁识别、网络漏洞保护和自动化。InfoBlox 占据了 DDI 市场 52% 的份
额,在《财富》1000 强企业中占据 59% 的份额,在《福布斯》2000 强企业中占据 58% 的份额。
2.3 .2区块链解决网络安全大有前途
通过一个主要联络点的集中式服务器路由所有业务和个人数据构成了对信息安全大量的威胁。2019 年,企业网络犯罪的成本为 2 万亿美元。
解决这个问题的一个很有前途的新类别是区块链技术,它使得数据几乎不可能改变,分散的端到端加密数据服务取代了传统的加密工具。在 2020 年可以看到成功提供去中心化数据存储的项目。
美国 VoIP 企业家 Jeff Pulver 发现了一种新的以分散式方式私密存储数据的方式,背后是 Twitter 早期投资人 Vonage 的 30 亿美元。2018 年,他与他人共同创立了一家新公司,以开发支持区块链的通信网络,为客户提供新的身份验证层和去中心化解决方案。
该解决方案称为 Debrief,据说是最安全的端到端业务通信网络,不再像Facebook、Skype 和 Zoom 等现有服务那样暴露用户机密信息。正如 Pulver 所声称的,由于网络中使用了数据加密,信息一旦被放置到网络上,就不能以任何方式进行编辑或篡改。网络上的每个接收者接收到的信息都与实时输入的信息相同。如果黑客试图篡改或编辑一个接收方计算机上的信息,网络上的其他计算机将不得不接受这些编辑过的信息,它们将立即拒绝这些信息。
“我们在 2018-2019 年目睹的数据泄漏有其成因,我们相信,使高安全性通信服务普遍可用的最佳方法是使用区块链技术。通过避免集中控制,我们将消除等式中的薄弱环节-第三方,” Pulver 解释说。
Debrief 由一个分散的存储系统和安全的区块链认证组成,这让黑客无法入侵。Debrief DApp 在网络上运行,展示其广泛的功能功能,为客户提供高清视频会议、P2P 音频和视频通话、消息传递、分散的文件存储,确保所有数据的保
密性。它也是其他主流区块链和传统通信应用程序利用和启用区块链通信功能的中间件。
能够追踪漏洞和可疑交易的区块链解决方案的需求将继续增长。诸如CipherTrace 和 Chainalysis 之类的解决方案首先进入了市场,现在不仅被大型组织使用,而且还被政府组织甚至国际刑警组织使用。
三、网络攻击技术研究
3.1 网络攻击模型基本概念
网络攻击行为主要分系统层面和网络层面。网络层面主要的攻击有DOS类、欺骗、非法侦听、拦截并篡改通信数据、扫描、病毒引起的网络攻击行为、利用网络服务漏洞进行入侵。
网络攻击的目标系统和数据
系统型攻击的特点:攻击发生在网络的网络层
数据型攻击的特点:攻击发生在网络的应用层
网络攻击的一般模型(四个阶段)
网络攻击的手段:
1、漏洞攻击
2、社会工程学攻击
3、拒绝服务攻击
4、欺骗攻击
5、口令攻击
网络攻击分类:主动和被动
3.2常见攻击模型及防御措施
3.2.1服务拒绝攻击
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服
务,服务拒绝攻击是最容易实施的攻击行为,主要包括:
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的
windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo
来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet 的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
防御:在防火墙上过滤来自同一主机的后续连接。
未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK 消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
防御:打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。(包括10域、127域、192.168域、172.16到172.31域)
Smurf攻击
概览:一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,比pingof death 洪水的流量高出一或两个数量级。更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
防御:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
Fraggle攻击
概览:Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP
防御:在防火墙上过滤掉UDP应答消息
电子邮件炸弹
概览:电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
防御:对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息。
畸形消息攻击
概览:各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。
防御:打最新的服务补丁。
3.2.2利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击,最常见的有三种:口令猜测
概览:一旦黑客识别了一台主机而且发现了基于NetBIOS、Telnet或NFS 这样的服务的可利用的用户帐号,成功的口令猜测能提供对机器控制。
防御:要选用难以猜测的口令,比如词和标点符号的组合。确保像NFS、NetBIOS和Telnet这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略,就进行锁定。
特洛伊木马
概览:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
最有效的一种叫做后门程序,恶意程序包括:NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:netcat、VNC、pcAnywhere。理想的后门程序透明运行。
防御:避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
缓冲区溢出
概览:由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
防御:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。
3.2.3信息收集型攻击
信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。主要包括:扫描技术、体系结构刺探、利用信息服务扫描技术
地址扫描
概览:运用ping这样的程序探测目标地址,对此作出响应的表示其存在。
防御:在防火墙上过滤掉ICMP应答消息。
端口扫描
概览:通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。
防御:许多防火墙能检测到是否被扫描,并自动阻断扫描企图。
反响映射
概览:黑客向主机发送虚假消息,然后根据返回“hostunreachable”这一消息特征判断出哪些主机是存在的。目前由于正常的扫描活动容易被防火墙侦测到,黑客转而使用不会触发防火墙规则的常见消息类型,这些类型包括:RESET 消息、SYN-ACK消息、DNS响应包。
防御:NAT和非路由代理服务器能够自动抵御此类攻击,也可以在防火墙上过滤“hostunreachable”ICMP应答。
慢速扫描
概览:由于一般扫描侦测器的实现是通过监视某个时间桢里一台特定主机发起的连接的数目(例如每秒10次)来决定是否在被扫描,这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。
防御:通过引诱服务来对慢速扫描进行侦测。
体系结构探测
概览:黑客使用具有已知响应类型的数据库的自动工具,对来自目标主机的、对坏数据包传送所作出的响应进行检查。由于每种操作系统都有其独特的响应方法(例NT和Solaris的TCP/IP堆栈具体实现有所不同),通过将此独特的响应与数据库中的已知响应进行对比,黑客经常能够确定出目标主机所运行的操作系统。
防御:去掉或修改各种Banner,包括操作系统和各种应用服务的,阻断用于识别的端口扰乱对方的攻击计划。
利用信息服务
DNS域转换
概览:DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。如果你维护着一台公共的DNS服务器,黑客只需实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。
防御:在防火墙处过滤掉域转换请求。
Finger服务
概览:黑客使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。
防御:关闭finger服务并记录尝试连接该服务的对方IP地址,或者在防火墙上进行过滤。
LDAP服务
概览:黑客使用LDAP协议窥探网络内部的系统和它们的用户的信息。
防御:对于刺探内部网络的LDAP进行阻断并记录,如果在公共机器上提供LDAP 服务,那么应把LDAP服务器放入DMZ。
3.2.4假消息攻击
用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染
概览:由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
防御:在防火墙上过滤入站的DNS更新,外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
伪造电子邮件
概览:由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
防御:使用PGP等安全工具并安装电子邮件证书
四、网络防御技术及策略
4.1 边界安全(防火墙技术)
访问控制列表和防火墙类似于建筑物外墙上的门锁,只让经过授权的用户(拥有钥匙或者胸牌的用户)进出。边界安全可以控制对关键性应用、服务和数据的访问,使得只有合法的用户和信息才能从一个网络(信任域)进入另外一个网络。基本的实施是访问控制和防火墙(访问攻击,缓解DOS 攻击,检测扫描攻击及作出相应措施)。
防火墙是设置在内部网络与外部网络之间的一个隔离层,能够有效的防止未知的或者是潜在的入侵者。内部网络安全的实现主要是通过监测进入内网的数据信息或者直接限制其信息流入内网。从而实现外网无法获得内网的网络构成、数据流转和信息传递等情况,以此达到实现保护内部网络安全的目的。防火墙是不同网络间信息传递的重要关口,它能够有效的控制外网和内网的数据流交换,而且它本身具有较强的抗攻击能力。从某种程度上说,防火墙是实现了分离和限制的作用,可以监控内部网和外部网之间信息交换活动,来达到保护内部网络安全的目的。
4.2 入侵防范( IDS,IPS)
入侵检测系统(IDS) 就是对现在的系统或正在使用的网络资源进行实时监测,以能够及时发现网络中的入侵者。入侵检测技术一般来说分为,非正常检测和常规检测。非正常检测就是通过检测系统中是否存在异常行为以此来达到检测目的,它能快速的地检测出网络中未知的网络入侵者,漏报率非常低,但是由于在检测中无法确地定义正常的操作特征,所以引发信息的误报率高。常规检测方法。这种检测方法最大的缺点是它自身依赖于函数特征库,只能检测出已存在的入侵者,不能检测未知的入侵攻击,从而引发漏报率较高,但误报率较低。
入侵检测系统的作用类似于现实生活中的监视摄像机。它们可以不间断地扫描网络流量(通过将流量拷贝一份到传感器),查找可疑的数据分组。
利用一个跟踪特征数据库,它们可以记录任何不正常的情况,并采取相应的措施:发出警报,重置攻击者的TCP连接,或者禁止攻击者的IP地址再次登录网络。网络IDS (NIDS )检则器通常可以利用一个不可寻址的混和接口卡监听某个子网上的所有流量,并通过另外一个更加可靠的接口发送任何警报和记录的流量。(检测攻击代码,如木马、病毒,扫描攻击)
4.3 安全连接(VPN)
利用互联网协议安全标准(IPS)的虚拟专用网(VPN )可以提供信息的机密性、完整性和终端身份认证。(防止数据被非法用户窃取,防止中间人的攻击)
4.4 多层次的安全系统建立
计算机网络安全系统可划分为不同级别的安全制度。其主要包括:对系统实现结构的分级,对传输数据的安全程度的分级(绝密、机密、秘密、公开) ;对计算机网络安全程度的进行分级,对用户操作权限的分级等。针对网络中不同级别的安全对象从而提供不同的安全算法和安全体制.用以以满足现代计算机网络中不同层次的实际需求
4.5 准入控制( NAC/EAD(H3C) )
NAC 为完全符合安全策略的终端设备提供网络接入,且有助于确保拒绝不符合策略的设备接入,将其放入隔离区以修复,或仅允许其有限地访问资源。(解决网络威胁)
4.6集成化产品安全
在提供传统防火墙、VPN 功能基础上,同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM 应用层流量控制和用户行为审计等安全功能。
4.7 常见网络防御技术
1)加密/签名/散列技术(理论基础)
2)主机加固技术(打补丁)
3)病毒防护技术(广义病毒)
4)防火墙技术(门卫/被动/进出)
5)虚拟专用网技术(端-端/密码技术)
6)入侵检测技术(警察/动态/内部)
7)蜜罐技术(主动/位置/误报漏报少)
8)计算机取证技术(主机取证和网络取证)
五、结束语
随着网络和计算机技术日新月异的飞速发展,新的安全问题不断产生和变化,网络攻击越来越猖獗,对网络安全造成了很大的威胁。对于任何黑客的恶意攻击,都有办法来防御,只要了解了他们的攻击手段,具有丰富的网络知识,就可以抵御黑客们的疯狂攻击。因此网络信息的安全必须依靠不断创新的技术进步与应用、自身管理制度的不断完善和加强、网络工作人员素质的不断提高等措施来保障。同时要加快网络信息安全技术手段的研究和创新,在任何时候都应该将网络安全教育放在整个安全体系的首位,努力提高所有网络用户的安全意识和基本防范技术,从而使网络的信息能安全可靠地为广大用户服务。
对于任何黑恶意攻击,都有办法来防御,只要了解了他们的攻击手段,具有丰富的网络知识,就可以抵御黑客们的疯狂攻击。而且目前市场上也已推出许多网络安全方案,以及各式防火墙,相信在不久的将来,网络一定会是一个安全的信息传输媒体。我个人觉得,不管在任何时候下都应将网络安全教育放在整个安全体系的首位,努力提高所有网络用户的安全意识和基本防范技术。这对提高整个网络的安全性有着十分重要的意义。