对当前网络漏洞的解析与防护探究
- 作者:admin 来源:网络 日期:2009-2-21 23:02:57
- 摘要:本文较全面地介绍了存在于计算机网络中的各种安全漏洞,描述了黑客攻击网络的步骤与方法,试图通过分析利用网络漏洞进行网络攻击的原理,发现有效的网络安全防护措施。
关键词:网络漏洞网络攻击解析与防护
研究背景
四年前,病毒开始攻击网络漏洞,并逐渐成为现今网络上最可怕的安全威胁。引发网络攻击的一个最重要的原因就是在计算机中存着大大小小,花样百出的漏洞,它们很容易被人利用来进行网络的攻击。2003年由《资源》杂志评选出的危害最大的,包括冲击波、恶邮差在内的10种病毒,均是利用网络的漏洞进行攻击。从技术上讲,我们很难彻底清除这些漏洞,也无法杜绝发生在网络中各种各样的攻击行为。但可以通过对网络漏洞的分析,找出有效的防护措施,提高网络的安全,减少网络漏洞带来的危害。那么漏洞究竟是什么呢?究竟有哪些漏洞,利用它们进行攻击的原理是什么?如何才能消除其危害?下面将就这些问题进行讨论。
1网络漏洞的概念描述
关于网络漏洞,目前还没有一个准确统一的定义。有学者从访问控制的角度出发,认为:当对系统的各种操作与系统的安全策略发生冲突时,就产生了安全漏洞。也有专家认为:计算机系统是由若干描述实体配置的当前状态所组成,可分为授权状态和非授权状态、易受攻击状态和不易受攻击状态,漏洞就是状态转变过程中能导致系统受损的易受攻击状态的特征。以上两种观点,都是从各自的专业角度对网络漏洞进行描述,并没有给出一个全面的准确的定义。一个较为通俗的网络漏洞的描述性定义是:存在于计算机网络系统中的、可能对系统中的组成和数据造成损害的一切因素。
2网络漏洞的类型
网络漏洞的种类数不胜数,人们多根据其产生的原因、存在的位置和利用漏洞攻击的原理来进行分类。分类情况可见表1:
表1网络漏洞的种类
网络中有许多的漏洞都是由于设计人员和程序员的疏忽或失误及对网络环境的不熟悉造成的。进行网络开发时,许多设计开发者并不重视网络的安全情况,也不完全了解程序的内部工作机理,致使程序不能适应所有的网络环境,造成网络功能与安全策略发生冲突,最终导致漏洞的产生。另有一部分漏洞则是网络用户刻意为之的。网络管理员为了更好地监管和控制网络,往往预留秘密通道,以保证对网络的绝对控制。而部分网络用户或黑客也许会出于好奇而在网络中秘密种下木马、逻辑炸弹或是陷门。
网络中的漏洞可以存在于硬件和软件中,但更多还是以软件漏洞的形式存在。无论是网络应用软件,还是单机应用软件,都广泛隐藏有漏洞。网络中的聊天软件如QQ,文件传输软件如FlashFXP、CuteFTP,浏览器软件如IE,单机中的办公软件如MSWord,这些应用软件中都存在着可导致泄密和招致网络攻击的漏洞。在各种操作系统中也同样存在着大量漏洞,如:Windows系统中存在RPC远程任意代码执行漏洞等,RedHat中存在可通过远程溢出获得root权限的漏洞等,各种版本的Unix系统中同样存在着大量可导致缓冲器溢出的漏洞等。在Internet中提供服务的各种服务器中,漏洞存在的情况和招致的危害更是严重。无论是Web服务器、FTP服务器、邮件服务器,还是数据库服务器和流媒体服务器都存在着可导致网络攻击的安全漏洞。脚本语言的设计缺陷和使用不规范,更是令因特网的安全状况雪上加霜。http://www.dxlww.net代写论文网
3网络漏洞的解析
网络漏洞的广泛存为网络攻击提供了机会,但在一般情况下,普通的网络用户不易受到恶意攻击。相比而言,由于网络服务器在网络中的重要作用,而且其安装的软件和开放的端口更多,也就更容易招致网络攻击。但无论对于接受服务的个人用户还是提供服务的服务器用户,都不能对网络中的漏洞掉以轻心,必须充分认识网络漏洞的危害,并对利用漏洞发动网络攻击的原理有一定的了解。下面将从网络攻击原理来对网络漏洞进行更深入的分析。
3.1拒绝服务攻击原理
拒绝服务攻击(DoS:DenailofService)是一种针对TCP/IP协议漏洞的一种网络攻击手段,其原理是利用DoS工具向目标主机发送海量的数据包,消耗网络的带宽和目标主机的资源,造成目标主机网段阻塞,致使网络或系统负荷过载而停止向用户提供服务。常见的拒绝服务攻击方法有SYNFlood攻击、Smurf、UDP洪水、Land攻击、死亡之Ping、电子邮件炸弹等。目前影响最大、危害最深的是分布式DoS攻击。它利用多台已被攻击者控制的计算机对某一台计算机进行攻击,很容易导致被攻击主机系统瘫痪。对DoS攻击的防护措施主要是设置防火墙,关闭外部路由器和防火墙的广播地址,利用防火墙过滤掉UDP应答消息和丢弃ICMP包,尽量关闭不必要的TCP/IP服务。
3.2缓冲区溢出攻击原理
简单地说,缓冲区溢出的原因是向一个有限的缓冲区复制了超长的字符串,结果覆盖了相邻的存储单元。这种覆盖往往会导致程序运行的失败,甚至是死机或是系统的重启。另外,黑客利用这样的漏洞可以执行任意的指令,掌握系统的操作权。缓冲区溢出漏洞广泛存在于应用软件和操作系统中,其危害是非常巨大的,但一直以来并没有引起系统和软件开发者足够的重视。要防止缓冲区溢出攻击,首要的是堵住漏洞的源头,在程序设计和测试时对程序进行缓冲区边界检查和溢出检测。而对于网络管理员,必须做到及时发现漏洞,并对系统进行补丁修补。有条件的话,还应对系统进行定期的升级。
3.3欺骗类攻击的原理
欺骗类攻击主要是利用TCP/IP协议自身的缺陷发动攻击。在网络中,如果使用伪装的身份和地址与被攻击的主机进行通信,向其发送假报文,往往会导致主机出现错误操作,甚至对攻击主机做出信任判断。这时,攻击者可冒充被信任的主机进入系统,并有机会预留后门供以后使用。根据假冒方式的不同,这种攻击可分为:IP欺骗、DNS欺骗、电子邮件欺骗、原路由欺骗等。下面以IP欺骗攻击为例分析欺骗攻击的过程。在这种攻击中,发动攻击的计算机使用一个伪装的IP地址向目标计算机主机发送网络请求;当主机收到请求后,会使用系统资源提供网络连接服务,并回复确认信息;但由于IP地址是假的,主机不可能得到回应,这种情况下,主机将会继续重复发送确认信息。尽管操作系统规定了回复的次数和超时的时间,但完成多次回复仍要占用主机资源较长时间,严重降低主机的工作效率。例如WindowsNT系统在缺省回复次数下,从建立连接到资源的释放大约用时190秒。对于解决欺骗类攻击的方法,最好是充分了解主机的系统状况,只启用必用的应用程序和只开放提供服务所用到的端口。
3.4程序错误攻击原理
在网络的主机中存在着许多服务程序错误和网络协议错误。换句话说就是,服务程序和网络协议无法处理所有的网络通信中所面临的问题。人们利用这些错误,故意向主机发送一些错误的数据包。对于主机来说,往往不能正确处理这些数据包,这会导致主机的CPU资源全部被占用或是死机。服务程序存在错误的情况很多,多种操作系统的服务程序都存在。例如WinNT系统中的RPC服务就存在着多种漏洞,其中危害最大的要数RPC接口远程任意代码可执行漏洞,非常流行的冲击波病毒就是利用这个漏洞编制的。对付这类漏洞的方法是尽快安装漏洞的补丁程序,在没有找到补丁之前,应先安装防火墙,视情况切断主机应用层服务,即禁止从主机的所有端口发出和接收数据包。
代写论文联系方式
联系QQ:904272800
联系信箱:904272800@qq.com
代写论文导航
客户、写手申请单
最新论文
热点论文
