网络攻击行为研究

作者: 未知

摘要: 网络攻击是指通过计算机网络进行的任何未经授权的行为，其目的是干扰，破坏和破坏网络系统的信息安全. 网络攻击造成的损害范围从简单地使网络服务失效到破坏系统硬件不等. 主要介绍了网络攻击行为和当前的典型网络攻击行为.

关键字: 网络攻击；侵入性特征防御措施

CLC编号: TP393文档标识码: A物品编号: 1671-7597（2011）0310037-01

1网络攻击行为的简要说明

1.1入侵时间. 大多数网络攻击通常发生在系统所在的深夜. 深夜网络是系统安全性最弱，网络速度最快的时候.

1.2入侵者平台. 入侵者使用的操作系统各不相同. UNIX是最常用的平台，包括FreeBSD和Linux. 入侵者通常使用Solaris X86或SCO作为平台. 因为即使这些产品需要许可证，也很容易获得. UNIX平台之所以受欢迎的原因之一是因为它仅消耗一小部分系统资源. Windows平台是当前PC上使用最广泛的平台，它支持许多合法的安全工具. Windows自然成为许多黑客的主要选择，特别是那些经验不足和技术不足的黑客.

1.3典型入侵者的特征. 典型的入侵者至少具有以下特征:

1）可以用C，C ++或Perl编码； 2）对TCP / IP有透彻的了解； 3）丰富的Internet经验，在一定程度上痴迷于Internet和计算机技术； 4）拥有与计算机相关的副本. 5）对计算机硬件和软件有一定程度的了解和了解.

1.4攻击. 攻击的法律定义是指仅在入侵完成且入侵者已在目标网络中时，才发生攻击. 但是我的观点是，所有可能损害网络的行为都应称为“攻击”. 也就是说，从入侵者开始在目标计算机上工作起，攻击就开始了.

1.5入侵级别指数. 入侵级别是入侵程度. 以下是入侵程度从低到高的指标. 邮件袭击；简单的拒绝服务；本地用户获得未经授权的读取访问权限；本地用户获得了他们不应该拥有的文件的写权限. 远程用户获得未经授权的帐户；远程用户获得特权文件的读取权限；远程用户获得特权文件的写入权限；远程用户具有root权限（破坏系统）.

1.6典型目标的特征. 很难说出什么是典型的目标，因为不同的入侵者会出于不同的原因攻击不同类型的网络. 但是，常见的攻击是小型专用网络. 因为: 网络所有者对Internet的使用仍处于入门阶段；它的系统管理员比TCP / IP更熟悉LAN. 其设备和软件非常陈旧（可能已过时）；另一个话题是熟悉度. 从使用的角度来看，大多数入侵者都熟悉两个或多个操作系统，但是从入侵的角度来看，他们通常只知道一个操作系统. 很少有入侵者知道如何入侵多个平台.

2典型攻击简介

2.1拒绝服务攻击. 尝试通过使服务计算机崩溃或将其按下来停止服务. 服务拒绝服务攻击是最容易实施的攻击. 以下是每种典型攻击行为的示例. :

死亡之音

概述: 由于路由器在早期阶段对最大数据包大小有限制，因此许多操作系统在ICMP数据包上实现64KB的TCP / IP堆栈，并读取数据包的标头. 此后，应该根据标头中包含的信息为有效负载生成一个缓冲区. 当声称其大小超过ICMP限制（即，负载的大小）超过64K限制的格式错误的数据包时，将发生内存分配错误. TCP / IP堆栈崩溃，导致收件人崩溃.

防御: 现在已经实现了所有标准的TCP / IP实现，以处理超大数据包，并且大多数防火墙可以自动过滤这些攻击邮件攻击，包括: Windows 98之后的Windows，NT（Service Pack 3之后），Linux，Solaris和Mac操作系统具有抵御一般的死亡攻击的能力. 此外，配置防火墙以阻止ICMP和任何未知协议都是为了防止此类攻击.

2.2被利用的攻击. 利用攻击是一种尝试直接控制您的计算机的攻击. 木马更常见.

木马概述: 木马是直接由黑客或不知情的用户安装在目标系统上的程序. 一旦安装成功并获得管理员权限，安装程序的人就可以直接远程控制目标系统. 最有效的一种称为后门程序. 恶意程序包括: NetBus，BackOrifice和BO2k，以及用于控制系统的良性程序，例如: netcat，VNC，pcAnywhere. 理想的后门程序可以透明地运行.

防御: 避免下载可疑程序并拒绝执行它们，并使用网络扫描软件定期监视内部主机上的侦听TCP服务.

2.3信息收集攻击. 信息收集攻击不会损害目标本身. 顾名思义，此类攻击用于为进一步的入侵提供有用的信息. 主要包括: 扫描技术，系统探索，信息服务的使用. 以下是一个示例:

体系结构检测概述: 黑客使用自动工具和已知响应类型的来检查从目标主机到不良数据包传递的响应. 由于每个操作系统都有其自己独特的响应方法（例如，NT和Solaris中TCP / IP堆栈的具体实现是不同的），因此，通过将此独特响应与中的已知响应进行比较邮件攻击，黑客通常可以确定系统在目标主机上运行.

防御: 删除或修改各种横幅广告，包括操作系统和各种应用程序服务，并封锁用于识别的端口，以破坏另一方的攻击计划.

2.4虚假邮件攻击. 用于攻击配置错误的目标的邮件主要包括: DNS缓存污染和伪造的电子邮件.

DNS缓存污染概述: 由于DNS服务器在与其他名称服务器交换信息时不进行身份验证，因此黑客可以掺入不正确的信息并将用户定向到黑客自己的主机.

防御: 过滤防火墙上的入站DNS更新. 外部DNS服务器应该无法更改内部服务器对内部计算机的了解.

伪造电子邮件概述: 由于SMTP无法验证电子邮件发件人的身份，因此黑客可以伪造给内部客户（声称来自客户认识并相信的人），并将其与可安装的A Trojan附加在一起. 马程序或指向恶意网站的链接.

防御: 使用PGP等安全工具并安装电子邮件证书.

3摘要

本文首先对网络攻击行为进行了一般分析，包括网络入侵时间，入侵平台，入侵者的特征，入侵等级索引等，然后简要介绍了当前典型的网络攻击并给出了防御措施

参考:

[1]索廷峰，马世耀，互联网欺诈技术和信息网络安全，2003年.

[2]段珊珊，李欣，基于欺骗的计算机安全，计算机时代，2003年.

关于作者:

李忠忠（1987-），男，天津，天津理工大学信息学院.

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-262265-1.html