网络攻击与防御的论文

2025-01-24

网络攻击与防御的论文（精选12篇）

1.网络攻击与防御的论文篇一

1、怎样发现 Sniffer

Sniffer最大的危险性就是它很难被发现，在单机情况下发现一个Sniffer还是比较容易的，可以通过查看计算机上当前正在运行的所有程序来实现，当然这不一定可靠，

在UNIX系统下可以使用下面的命令:ps-aux。这个命令列出当前的所有进程、启动这些进程的用户、它们占用CPU的时间以及占用多少内存等等。在Windoos系统下，可以按下Ctrl+Alt+Del键，查看任务列表。不过，编程技巧高的Sniffer即使正在运行，也不会出现在这里。

另一个方法就是在系统中搜索，查找可怀疑的文件。但人侵者用的可能是他们自己写的程序，所以这给发现Sniffer造成相当大的困难。还有许多工具能用来查看你的系统会不会处于混杂模式，从而发现是否有一个Sniffer正在运行。但在网络情况下要检测出哪一台主机正在运行Sniffer是非常困难的，因为Sniffer是一种被动攻击软件，它并不对任何主机发出数据包，而只是静静地运行着，等待着要捕获的数据包经过。2、抵御 Sniffer

虽然发现一个Sniffer是非常困难的，但是我们仍然有办法抵御Sniffer的嗅探攻击。既然Sniffer要捕获我们的机密信息，那我们干脆就让它捕获，但事先要对这些信息进行加密，即使捕捉到了我们的机密信息，也无法解密，这样，Sniffer就失去了作用。

主要用Sniffer来捕获Telnet、FTP、POP3等数据包，因为这些协议以明文在网上传输，我们可以使用一种叫做SSH的安全协议来替代Telnet等容易被Sniffer攻击的协议。

SSH又叫Secure Shell，它是一个在应用程序中提供安全通信的协议，建立在客户/服务器模型上。SSH服务器分配的端口是22，连接是通过使用一种来自RSA的算法建立的。在授权完成后，接下来的通信数据用IDEA技术来加密。这种加密方法通常是比较强的，适合于任何非秘密和非经典的通信。

SSH后来发展成为F-SSH，提供了高层次的、军方级别的对通信过程的加密。它为通过TCP/IP的网络通信提供了通用的最强的加密。如果某个站点使用F―SSH，用户名和口令就不再重要了。目前，还没有人突破过这种加密方法。即使是Sniffer，收集到的信息将不再有价值。有兴趣的读者可以参看与SSH相关的书籍。

另一种抵御Sniffer攻击的方法是使用安全的拓扑结构。因为Sniffer只对以太网、令牌环网等网络起作用，所以尽量使用交换设备的网络可以从最大程度上防止被Sniffer 到不属于自己的数据包。还有一个原则用于防止Snther的被动攻击一个网络段必须有足够的理由才能信任另一网络段。网络段应该从考虑具体的数据之间的信任关系上来设计，而不是从硬件需要上设计。一个网络段仅由能互相信任的计算机组成。通常它们在同一个房间里，或在同一个办公室里，应该固定在建筑的某一部分。注意每台机器是通过硬连接线接到集线器(Hub)的，集线器再接到交换机上。由于网络分段了，数据包只能在这个网段上被捕获，其余的网段将不可能被监听，

所有的问题都归结到信任上面。计算机为了和其他计算机进行通信，它就必须信任那台计算机。系统管理员的工作就是决定一个方法，使得计算机之间的信任关系很小。这样，就建立了一种框架，告诉你什么时候放置了一个Sniffer，它放在哪里，是谁放的等等。

如果局域网要和Internet相连，仅仅使用防火墙是不够的。人侵者已经能从一个防火墙后面扫描，并探测正在运行的服务。应该关心的是一旦人侵者进人系统，他能得到些什么。你必须考虑一条这样的路径，即信任关系有多长。举个例子，假设你的Web服务器对计算机A是信任的，那么有多少计算机是A信任的呢?又有多少计算机是受这些计算机信任的呢?一句话，就是确定最小信任关系的那台计算机。在信任关系中，这台计算机之前的任何一台计算机都可能对你的计算机进行攻击并成功。你的任务就是保证一旦出现Sniffer，它只对最小范围有效。

Sniffr往往是在攻击者侵人系统后使用的，用来收集有用的信息。因此，防止系统被突破很关键。系统安全管理员要定期的对所管理的网络进行安全测试，防止安全隐患。同时要控制拥有相当权限的用户的数量，因为许多攻击往往来自网络内部。

3、防止 Sniffer的工具 Antisnff

Antisniff是由著名组织(现在是安全公司了)L0pht开发的工具，用于检测本地网络是否有机器处于混杂模式(即监听模式)。

一台处于混杂模式的机器意味着它很可能已被入侵并被安装了Sniffer。对于网络管理员来说，了解哪台机器正处于混杂模式以作进一步的调查研究是非常重要的。

Antisniff 1.X版运行在以太网的WindOWS NT系统中，并提供了简单易用的用户图形界面。该工具以多种方式测试远程系统是否正在捕捉和分析那些并不是发送给它的数据包。这些测试方法与其操作系统本身无关。

Antisniff运行在本地以太网的一个网段上。如果在非交换式的C类网络中运行，Antisniff能监听整个网络;如果网络交换机按照工作组来隔离，则每个工作组中都需要运行一个Antisniff。原因是某些特殊的测试使用了无效的以太网地址，另外某些测试需要进行混杂模式下的统计(如响应时间、包丢失率等)。

Antisniff的用法非常简便，在工具的图形界面中选择需要进行检查的机器，并且指定检查频率。对于除网络响应时间检查外的测试，每一台机器会返回一个确定的正值或负值。返回的正值表示该机器正处于混杂模式，这就有可能已经被安装了Sniffer。

对于网络响应时间测试的返回值，建议根据第一次返回的数值计算标准值，然后再对在flood和非flood两次测试时返回的结果有较大变化的机器进行检查。一旦这些机器退出混杂模式返回到正常操作模式下，Antisniff的下一次测试将会记录到混杂模式和非混杂模式的差值(正值)。

应该周期性地运行Antisniff，具体周期值根据不同的站点、不同的网络负荷、测试的机器数量和网站策略等而有所不同。

2.网络攻击与防御的论文篇二

关键词：计算机网络,网络攻击,防御策略

0 前言

引言:飞速发展的计算机及相关的信息技术、愈来愈普及的网络,使人们的生活方式、生产方式和管理方式发生了翻天覆地的变化。但是,任何事物的发展都具有其两面性,高度信息化的计算机网络极大地方便了人们的同时也给社会带来了巨大的威胁。近年来,发生的有关网络安全的事件层出不穷。据调查,绝大多数网民的的主机曾经感染过病毒,超过一半的网民经历过个人账号/信息被盗取、被篡改,还有网民被一些仿冒的网站所欺骗等等,在利益的诱惑下,一些不法分子制造、贩卖病毒木马、进行网络盗窃与诈骗,严重影响了互联网事业的健康发展。本文针对当前计算机网络存在的各类主流网络攻击进行分析,并提出与之相对应的防范策略。

1 网络安全概述

(1)定义从狭义的角度了来说,计算机网络安全就是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害。从广义的保护角度来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性、和可控性的相关技术和理论都是计算机网络安全的研究领域。从通用定义的角度来说,计算机网络安全是计算机网络系统的硬件、软件及其系统中的数据资源受到保护,不会因偶然的原因而遭到破坏、更改和泄露,系统连续、可靠、正常地运行,服务不中断。

(2)网络安全的特征网络安全具有以下几个方面的特征:保密性、完整性、可用性、可控性、不可抵赖性

(3)网络安全面临的主要威胁因素信息在公共的通信网络上传输、共享和存储,面临着种种威胁,这些威胁不仅给广大网络用户带来危害,更对企业和国家带来难以估量的损失。

互联网面临的安全威胁有很多因素,总结起来,大致有以下几点:(1)非人为的、自然力造成的数据丢失、设备失效、线路阻断;(2)人为的,但属于操作人员非有意的失误造成的数据丢失;(3)来自外部和内部人员的恶意攻击与入侵。

网络攻击的一般步骤

首先说明,这里主要探讨远程攻击。

1. 攻击的准备阶段(1)确定攻击目标;(2)信息收集;(3)服务分析;(4)系统分析;(5)漏洞分析。

(2)攻击的实施阶段一般过程:预攻击探测→口令破解并提升权限→实施攻击。

(3)攻击的善后阶段就是指维护访问权、掩盖踪迹和隐藏。

2 主流的网络攻击方式及其防御策略

2.1. TCP会话劫持

(1)定义会话劫持(Session Hijack)是一种主动性欺骗型攻击,但它也结合了网络嗅探攻击技术。它接管一个现存动态会话的过程,当用户连接远程服务器时,攻击者接管用户的连线,使正常的连线被攻击者中转,攻击者能对连接交换的数据进行任意修改,冒充合法用户发送数据到服务器或冒充服务器给用户返回虚假信息。如下图所示:

(2)攻击原理及攻击步骤被劫持主机通过三次握手机制建立连接,攻击者使用一个协议分析器来计算IP流,从而确认TCP的连接状态和其序列号。接管此会话后,攻击者可冒充合法用户发送报文。被劫持的合法用户主机因发送的TCP段的序列号不正确而被目标主机抛弃。但被劫持主机则认为是TCP段丢失,将继续发送TCP段。一旦攻击者的TCP段被接受,并且目标主机发送了ACK应答报文,那么TCP会话就成功被劫持了。

TCP会话劫持可分为五步:发现攻击目标、确认动态会话、猜测序列号、使客户主机下线、接管会话。

(3)防范会话劫持虽然到目前为止,仍没有有效的方法从根本上彻底阻止与消除会话劫持攻击,但尽量减小此类攻击所带来的危害还是必要的。目前可以采取加密、使用安全协议于和限制保护措施等方法。

2.2 IP地址欺骗

(1)定义同TCP会话劫持一样,IP地址欺骗也属于欺骗攻击类型。IP欺骗就是利用主机之间的正常信任关系,伪造数据包源IP地址,以绕开主机或网络访问控制亦或隐藏攻击来源的攻击技术。

(2)IP欺骗原理及其攻击步骤原理如下图:

IP欺骗的主要步骤:(1)发现信任关系;(2)攻击被信任的主机;(3)伪造TCP数据包,猜测初始序列号;(4)与目标主机建立连接,获取访问权限;(5)进一步提升权限,达到完全控制目标主机。

(3)IP欺骗攻击的防范大多数路由器都有内置的欺骗过滤器,过滤器有入口过滤型和出口过滤型两种。入口过滤型保护单位的网络不成为欺骗攻击的受害者;出口过滤型阻止有人使用内网的计算机向其他的站点发起攻击。

虽然人们能保护自己的计算机不被欺骗,但不能阻止攻击者盗用你的地址向其他一方发送欺骗攻击消息。所以更要做到防范源路由欺骗、防范信任关系欺骗和不允许通过互联网使用信任关系。

2.3 SQL注入攻击

(1)定义随着网络的迅速发展,基于B/S模式(即浏览器/服务器模式)的网络应用愈来愈来普及,这些Web的应用大多数使用脚本语言加后台数据库系统(如MSSQL、Access、My SQL等)开发。很多程序员在编写表单代码时,将用户输入的的代码直接用来构造动态SQL命令或作为存储过程的输入参数,攻击者可以通过提交精心构造的数据库查询代码,然后根据网页的返回结果来获取网站的敏感信息,进而利用获得信息进行网络攻击,这就是所谓的SQL注入(SQL Injection)攻击。

(2)SQL注入攻击原理:(1)SQL命令可执行查询、插入、更新、删除等操作,以分号字符作为不同命令的区别;(2)SQL命令对于传入的字符串参数是用单引号字符所包起来的;(3)SQL命令中,可以注入注释。(连续两个减号字符“--”后为注释,或者“*/”和“/*”中间所包起来的);(4)所以,如果在组合SQL的命令字符串时,未针对单引号字符作取代处理的话,将导致该字符变量在填入命令字符串时,会被恶意篡改原本的SQL语法的作用。

例如某个网站的登陆验证的SQL查询代码为:

因此这就造成即使无账号密码,也可登录该网站。

(3)SQL注入攻击的一般过程:(1)寻找可能的SQL注入点;(2)测试SQL注入漏洞的存在;(3)判断后台数据库类型;(4)确定可执行情况;(5)发现WEB虚拟目录;(6)上传ASP木马;(7)获得管理员权限。

(4)SQL注入攻击方的防范首先要对用户提交的数据和输入参数进行过滤,一般用is Numeric()函数来过滤数值型的参数。另一可行方法就是摒弃动态SQL语句。

2.4 拒绝服务(Do S)攻击与分布式拒绝服务(DDo S)攻击

(1)基本概念与攻击原理Do S攻击通常利用传输协议的漏洞、系统存在的漏洞、服务的漏洞,对目标系统发起大规模的进攻,用超出目标处理能力的海量数据包消耗可用资源、带宽资源等或造成程序缓冲区溢出错误,导致其无法处理合法用户的正常请求,无法提供正常服务,并最终导致网络服务瘫痪,甚至引起系统死机。但随着计算机网络的发展,拒绝服务攻击逐渐进化成了分布式拒绝服务攻击。其攻击原理如下图:

(2)DDo S攻击的防御(1)安装入侵检测系统;(2)与因特网服务供应商合作;(3)优化网络和路由结构;(4)保护主机系统安全;(5)使用扫描工具。

2.5 木马

(1)定义及特点木马,又称特洛伊木马。指计算机系统或网络系统中被植入的、认为设定的程序,其目的在于通过网络远程控制其他用户的计算机,窃取用户信息资料,并可恶意致使计算机系统瘫痪。木马具有有效性、隐蔽性、顽固性、易植入性、自动运行、欺骗性、自动回复和功能的特殊性。

(2)木马的危害木马一旦侵入目标系统,就为远程攻击打开了后门。木马的危害性主要表现在:自动搜索一中木马的计算机;跟踪监视对方屏幕;随意修改注册表和系统文件;共享被控计算机的硬盘资源;管理对方资源;直接控制对方的键盘、鼠标;监视对方运行的任务而且可随意终止对方任务;远程监测和操纵计算机。

(3)木马攻击的一般步骤:木马植入→自动加载→隐藏→监控

(4)木马的防范木马的隐蔽性很强,即使使用专业的检测工具,也有很多木马检测不到,所以,木马的日常防范至关重要。方法主要有:及时修补漏洞,安装补丁;运行实时监控程序;培养风险意识;即时发现,即时清除。

2.6 计算机病毒

(1)定义与基本特点“计算机病毒”的概念最早由美国计算机专家弗雷德￭科恩博士提出。科恩博士指出,计算机病毒是一种程序,它用修改其他程序的方法将自己的精确拷贝或者可能演化的拷贝放入其他程序中,从而感染他们。

计算机病毒具有以下基本特点:隐藏性、传染性、潜伏性和破坏性。

(2)计算机病毒的种类计算机病毒的种类相当繁多,恐怕没有人能说出它到底有多少,而且计算机病毒的数量约以每周10种的速度递增。历史上著名的十大计算机病毒有:CHI(1998年)、梅利莎(Melissa,1999年)、爱虫(I love you,2000年)、红色代码(Red Code,2001年)、SQL Slammer(2003年)、冲击波(Blaster,2003年)、大无极.F(Sobig.F,2003年)、贝革热(Bagle,2004年)、My Doom(2004年)、震荡波(Sasser,2004年)。

(3)计算机病毒的预防:(1)安装反病毒软件并定期更新;(2)定期备你的份计算机;(3)完整性检查软件;(4)及时安装计算机最新的安全补丁;(5)从外部获取数据之前要先进行检查;(6)尽量减少别人使用自己的计算机;(7)不要随便打开邮件附件。

3 结束语

网络的开放性决定了网络的复杂性、多样性,任何安全的防范措施不是单一存在的,任何网络的入侵也不是单一技术或技术的简单组合。本文就现今主流的网络攻击方式进行了简要的介绍与分析,并提出了与之相对应的安全防御策略。但我们应该清楚的认识到随着技术的不断进步,网络的不断发展,各种新型的网络攻击还会不断涌现,这就要求我们对网络攻击有更深入的认识,对防御策略有更完善的研究,以此来建立一个安全的、高效的、全面的网络安全体系。

参考文献

[1]张玉清等.网络攻击与防御技术[M].北京:清华大学出版社.2011.1

[2]伊红.网络攻击与防御技术研究[J].计算机安全.2007.8

[3]张仁斌.网络安全技术.清华大学出版社.2004.8

3.网络攻击与防御的论文篇三

关键词：计算机网络；网络黑客；防御策略

引言

在计算机技术与互联网技术的普及应用下，计算机网络已经成为人们工作、生活、学习不可或缺的重要工具。我国有95%以上的网络管理中心都曾经遭受到网络黑客的攻击。而个人用户由于防范意识薄弱，防范技术有限更加容易成為黑客的入侵对象。

1.计算机网络黑客概述

网络黑客是指网络的攻击者以及非法入侵者。黑客攻击主要是指在没有经过他人允许的情况下非法入侵其他计算机，获取他人信息、资料，将他人的网络程序或硬件进行破坏。黑客攻击的会给所有信息用户带来严重的损失，更有甚者可能会给国家安全带来严重危险。黑客网络攻击已经成为一种常见的网络犯罪。

2.黑客攻击方式

2.1网络报文嗅探

网络报文嗅探主要是网络黑客利用网络监听等方式来获得用户重要的系统信息。例如用户的账号、密码等。如果用户的计算机信息被网络黑客获取，那么其就可以入侵用户的计算机网络。如果网络黑客获取了系统计算机的用户账号，就可以对其中的关键信息进行修改，例如计算机系统管理员的账号与密码等重要信息。同时还可以给日后获取网络系统更多信息留下后路[1]。

2.2放置木马程序

放置木马程序即为网络黑客在计算机网络中放置一些木马程序，例如特洛伊木马等。木马程序是一种黑客程序软件，其能够直接攻击计算机系统的服务器以及用户端。木马程序市场被伪装成正常的软件程序或游戏，引诱用户打开程序或安装程序。一旦用户执行程序后，木马程序就会潜伏在计算机当中，并且隐藏在计算机启动时会自动启动的程序当中。当用户需要连接网络的时候，该木马程序就会自动向黑客汇报用户所在主机IP以及预定的端口。当网络黑客在获取用户相关信息后就能够随意修改用户主机中的相关数据，拷贝用户信息，窥探用户数据等，进而达到控制用户主机的目的[2]。

2.3IP欺骗

IP欺骗是网络黑客利用计算机主机与主机之间的关系而进行的。由于计算机在接触网络运行过程中IP的源头十分不稳定，因此很容易使得用户在通过计算机网络来发送信息或相关数据的时候，网络黑客入侵系统改变主机的IP路径，使得用户所发送的重要信息与数据转而传送到网络黑客所设定的IP地质上。这样网络黑客就能够非法获取用户的重要数据信息，进而获得非法利益。网络黑客通过繁杂的口令或端口来判断主机之间的关系，让攻击者获得远程访问与控制系统的权限，从而进行一系列的系统入侵攻击行为[3]。

2.4Web欺骗

Web欺骗我即为网络黑客所营造的一种电子欺骗，网络黑客会在网络中构建完整的Web世界，让用户相信该Web的真实性。该Web欺骗能够实现网络连接，进而使得计算机出现电源故障、线路故障等。计算机硬件故障十分容易对计算机网络安全造成威胁，并且由于计算机网络操作系统都配置有后台管理系统，因此很难解决计算机网络操作系统安全隐患。计算机网络是采用的大跨度、开放式的环境，因此网络黑客的入侵十分容易给计算机网络带来损害。并且由于计算机网络有一定的隐蔽性，网络黑客的身份无法被识别，因此也使得计算机网络安全存在严重威胁。

3.防御黑客技术

3.1防火墙技术

防火墙是连接计算机与网络之间的软件，其将计算机内部网与互联网相隔离，而这种隔离作用能够在一定程度上保护网络与计算机。防火墙技术不单单可以在不同网络之间、网络安全之间的信息控制出入口使用，同时还可以根据计算机使用的实际情况来定制安全策略，从而控制网络信息状态。防火墙具有强大的抗攻击能力，其能够实现网络与信息安全，是网络应用中的一个十分基础的防护手段。

3.2计算机加密

3.2.1对称加密技术

对称加密技术是一种能够根据加密与解密方式来推测出密码制度的技术。对称加密体制主要是指单钥或私钥，在对称加密体制中加密与解密所以用到的密钥是相同的，也就是说可以通过加密密钥来获得解密密钥。这一特征就要求通信双方在实行通信前必须约定好制定的密钥。在对称密码体制中包括分组密码和序列密码。常见的对称加密算法有DES、AES等。

3.2.2非对称加密技术

非对称密码体制主要就是指加密与解密过程中的密钥是一对，加密的密钥是公钥，是属于公开信息，而解密密钥即为私钥，需要实行保护。加密密钥和解密密钥是相互独立的，不能实现相互推算。常见的非对称加解密算法有RSA算法、ECC等。

3.3安全隔离技术

安全隔离技术主要有以下几种：安全隔离技术，采用独立设备以及线路来访不同的网络，进而实现完全的物理空间隔离，需要相关的网络配套系统。数据传播过程隔离技术，是通过计算机网络中传播系统分时复制计算机文件的途径来实现隔离。安全通道隔离技术，是一种交换协议安全制度，能够实现网络隔离与数据交换。

3.3隐藏IP

要避免黑客获取计算机IP可以通过隐藏IP的方式来避免自己的IP泄露。例如可以使用数据包分析方法、相关IP隐藏软件都能够实现隐藏IP的功能。

4.结束语

网络黑客的攻击时常给人们带来巨大的经济损失。网络黑客攻击的出现与存在给众多计算机网络用户的信息安全以及经济安全都带来了严重威胁。熟悉网络黑客攻击方式，掌握防御黑客攻击能够有效提升计算机的使用安全。（作者单位：中国石油大学（华东）公安处）

参考文献：

[1]王小龙，刘光辉.计算机网络中的黑客攻击技术及防御技术解析[J].数字技术与应用，2011，（10）：214+217.

[2]杨峰.计算机网络中的黑客攻击技术及其防御技术研究[J].软件导刊，2013，（08）：131-132.

4.网络攻击与防御的论文篇四

本文如果出现弹出是由于代码造成的，无需担心安全问题

随着网络与信息技术的飞速发展，尤其是在互连网飞速发展的今天，网络已经逐渐改变了人们的生活方式，成了生活中不可缺少的一部分，越来越多的企业已经开始建设自己的业务信息系统，所以网络安全的重要性就此体现出来了。笔者在在中国被黑站点统计系统调查发现全国共有24516个一级域名网站被篡改，这仅仅还是以知的不包括所有的二级或二级域名以下的网站数据，其中包括：

.gov.cn 域名的仅20就有 708 个网站被篡改

.cn 域名被黑站点统计为 6186个

.com.cn 域名被黑站点统计共计 1403 个

.com 域名被黑站点统计共计 13664 个

.net.cn 域名被黑站点共计 203个

.net 域名被黑站点统计共计 1586 个

.org 域名被黑站点统计共计393 个

.org.cn 域名被黑站点统计 102 个

教育网站被黑统计 .edu.cn 域名共271个被所篡改，总计为 24516 个网站。这些仅仅为我们所知道的。而更多的攻击是在隐蔽的根本无法发觉的情况下进行。有的大型企业内部网络被控制长达几个月管理员竟然都不知道?

那么到底是如何攻击?他们心理又是如何去思考? 如何去确定一个攻击目标呢?从整体上看，网络攻击呈现下面两个特点：

一、组织越来越正规化

组织内部有明确分工，从恶意代码的制作，到代码的散播，都有明确的分工合作。而不同的组织之间既有竞争也有合作，攻击按照计划的有组织地进行，使得攻击的效率有明显提高。

二、攻击目标直接化

网络们针对攻击目标的特点，经过一系列的类似“睬点”后，们针对目标存在的问题编写攻击代码设定只针对此目标的攻击模式，绕过网络防御体系入侵有价值的目标主机，或者通过僵尸网络对目标发起直接的大规模网络攻击，造成目标网络不能访问或者访问延迟等等现象。

一般来说。真正的不会去攻击没有价值的目标，往往是存在商业价值或者私人恩怨以后，“ ”会确定目标进行跟踪式攻击，当然也不排除有无聊的非真正进行无聊的攻击活动，当然这也从另一方面反映出我国的网络安全的薄弱现象。稍微懂一点计算机的“ ”使用一些工具就可以轻易的篡改一些网站。

那么下面我就针对网络如何进行攻击与一些常用的攻击手法进行介绍，只有知道了如何攻击才能有效的进行防御。

年根据新近公布的一份现实威胁分析报告表明，Web 应用正成为最大的网络安全盲点。而企业必须认识到自己的各种应用的风险，并采取必要的手段来避免危险的安全攻击。有许多调查研究论及了病毒、网络攻击、公共缺陷公布、垃圾邮件和网络钓鱼企图，但很少关注位于防火墙和传统网络安全范畴之外的基于 Web 的应用。

简单来说，目前攻击所用到的技术都是已知技术的更高级应用，大概分为以下的几种方法：

接下来，我将简单介绍这几类攻击手法的技术原理。以及该如何防范这些攻击。

注：以下例子都为真实的案例，为保护这些网站，网址经过处理

一、SQL注入攻击

什么是 SQL注入呢?

简单的说也就是攻击者通过黑盒测试的方法查询到目标网站脚本存在过滤不严，那么攻击者就可以利用某些特殊构造的SQL语句插入SQL的特殊字符和指令，提交一段数据库查询代码，通过在IE浏览器访问直接查询管理员的用户口令等等。或者利用数据库的一些特性进行权限提升等等，这就是我们常说的sql injection也就是SQL注入。我们来看一下的代码：

dimID

dimrs,sql

ID=request(“id”)//从客户端获取ID的值

sql=“select*fromInfowhereID=”&ID//把查询语句赋值给SQL变量

Setrs=Server.CreateObject(“ADODB.Recordset”)//创建记录对象

rs.opensql,conn,1,1//执行查询语句

ifnot(rs.eofandrs.bof)then//判断记录是否存在

%>如果程序员在网站的某一程序，比如vite.asp里有如上语句，

那么我们可以清楚的看到ID没有经过任何过滤便放入到SQL查询语句当中，注入漏洞产生。那么我们可以构造地址为127.0.0.1/vite.asp?id=1 的地址来进行SQL注射攻击。SQL注射为目前WEB应用的最重要的威胁。据了解，90%的企业网站被攻险都是因为SQL注入引起的。那么下面我们就来看真实的案例。

目标站点：北京某专修学院网站，如图1

错误信息为: Microsoft OLE DB Provider for ODBC Drivers 错误 80040e14 [Microsoft][ODBC SQL Server Driver][SQL Server]第 1 行: 附近有语法错误。 /detail.asp，行 22

从上面的返回信息我们得到了以下几个提示:

1.网站使用的是sql server数据库

2.是通过odbc来连接数据库

3.程序应该是有过滤不严密的地方，因为我们输入的单引号已经被程序解吸执行了。

那么既然这样我们就可以使用 and 1=1 1=2来判断是不是存在注射漏洞。

通过判断发现该地址存在注射漏洞，马上使用工具检验一下，通过使用阿D注射工具发现，数据库当前库为cw88163_db，当前用户为cw88163，权限为DB_OWNER。如图3

既然知道了权限为DB_OWNER 那么我们就可以通过列目录来寻找网站的WEB目录从而通过使用差异备份来获取网站的WEBSHELL。通过列取一系列目录得知网站的WEB目录为D:wwwroot如图4

既然知道了WEB目录我们就使用NBSI的getwebshell功能备份一个一句话木马进去吧。在注入地址那里添写hxxp://www.bjjxxx.com.cn/detail.asp?productid=389，备份目录那里写D:wwwroot1.asp 然后点备份就好啦可以看到我们成功的备份出了一个一句话木马。如图5

至此我们已经成功的拿到了网站的WEBSHELL也就是最高权限了。一个很简单的漏洞就使得一个名牌学校的网站就这样”沦陷”了。SQL注入防御方法：单独编写一个文件，部分内容为：

注入漏洞之旁注攻击

顾名思义就是从旁注入，也就是利用主机上面的一个虚拟站点进行渗透此类手法多出现与虚拟主机站点。如一个网站本身程序非常安全，攻击者没有任何下手的地方，那么攻击者可以通过入侵同服务器的另外一个站点，然后提升权限从而达到入侵目标站的目的。防御方法：尽量选择单独服务器或者服务器权限设置比较好的虚拟机。

二、跨站攻击

XSS又叫CSS(Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者向 Web面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码被执行，从而达到攻击者的特殊目的。XSS属于被动式的攻击，因为其被动且好利用，所以许多人经常忽略其危害性。

5.网络攻击与防御的论文篇五

1、防止跳出web目录

首先修改httpd.conf，如果你只允许你的php脚本程序在web目录里操作，还可以修改httpd.conf文件限制php的操作路径。比如你的web目录是/usr/local/apache/htdocs，那么在httpd.conf里加上这么几行：

这样，如果脚本要读取/usr/local/apache/htdocs以外的文件将不会被允许，如果错误显示打开的话会提示这样的错误：

等等。

2、防止php木马执行webshell

打开safe_mode，

在，php.ini中设置

二者选一即可，也可都选

3、防止php木马读写文件目录

在php.ini中的

后面加上php处理文件的函数

主要有

即成为

ok，大功告成，php木马拿我们没辙了，遗憾的是这样的话，利用文本数据库的那些东西就都不能用了，

如果是在windos平台下搭建的apache我们还需要注意一点，apache默认运行是system权限，这很恐怖，这让人感觉很不爽.那我们就给apache降降权限吧。

ok.我们建立了一个不属于任何组的用户apche。

我们打开计算机管理器，选服务，点apache服务的属性，我们选择log on，选择this account，我们填入上面所建立的账户和密码，重启apache服务，ok，apache运行在低权限下了。

实际上我们还可以通过设置各个文件夹的权限，来让apache用户只能执行我们想让它能干的事情，给每一个目录建立一个单独能读写的用户。这也是当前很多虚拟主机提供商的流行配置方法哦，不过这种方法用于防止这里就显的有点大材小用了。

6.网络攻击与防御的论文篇六

P2P 网络由于其自身的特点，决定着其中的病毒能够利用和蔓延开来。因此，P2P 网络病毒的泛滥与P2P 网络自身的结构和特点有着密切的关系，因此在探讨P2P 网络病毒之前我们需要对P2P 网络有一个简单的认识。

1.1 P2P 网络结构

P2P 网络在经过这些年的发展之后得到广泛运行的结构模式有三种三种，本文对着三种结构模式作了简要的介绍。第一种是集中式P2P 网络结构。这种网络结构的突出特点是“使用一个或多个节点索引服务器来提供节点查询应答服务”P2P网络之中的节点在其上线之后，索引服务器之中将会存储它的所有的信息，通过索引服务器，用户可以查询节点上共享的其他节点的所有的信息。这种模式的P2P 结构之中，虽然存在一个结构中心服务器，但是它与其他的文件下载模式采用的客户端/服务端模式仍然存在本质上的不同。这种不同的突出表现就是信息的存储位置不同。在P2P 结构之中，信息存在于各个节点上，而客户端/服务端这种模式下信息存在与服务器之中，同时这种模式之中客户端的用户无法实现相互之间的通信，而在P2P 模式之中用户端是可以实现互相通信的。P2P 网络的这种集中式网络结构的优点是不需要复杂的算法，通过节点就可以查询索引服务器进而获得存储于节点上的信息。这是一种非常简单有效的方法，但是它的缺点也非常的明显和突出。最直接的体现就是一旦索引服务器出现故障或受到攻击而导致其不能正常工作，那么整个P2P 网络体制就会无法运转。在这种模式下，运营和维护索引服务器是非常重要的。

P2P 网络的第二种模式是完全分布式网络结构。在这种P2P网络结构下，没有集中的索引服务器，节点间通过端与端之间的连接实现一个逻辑覆盖网络。整个网络结构是一个松散的组织，网路之中相邻的节点之间通过广播进行信息的查询和传递。这种结构的优点是不需要中心服务器，解决了网络结构中心化的问题。在这种结构模式之中通常不会出现单个节点的问题，但是在这种模式之中，所有的节点都是未知的，在网络规模较大时，查询的泛洪会导致信息的泛滥以及消耗大量的宽带从而造成沉重的网络负担。这种模式下信息的查询还存在查询结果不确定，网络半径不确定的风险。

第三种P2P 网络结构是混合式。这种模式总吸收了集中式P2P 结构良好的可扩展性和完全分布式的较强容错性两方面的优点。混合式结构的三个组成部分别是索引节点，搜素节点，用户节点。

这三种节点的划分是根据各个节点在整个网络结构之中所起的不同作用而划定的。在网络运作的过程之中用户节点仅仅是资源共享节点，不处理额外的信息;搜索节点是用来进行信息的存储与信息的查询工作，索引节点的作用是进行网络范围内的搜索记录工作，索引节点是从搜索节点之中选取出来的。混合式P2P 结构的查询速度比完全分布式有极大的提升，同时查询的结果也更加的准确还消除了完全分布式之中的搜素迟缓问题。

1.2 P2P 网络的特点分析

为进一步说明P2P 网络的行为特点和运行机制，本文选取了第三代混合型P2P 网络结构之中的Bit Torrent 网络做为实例进行一次详细的分析。选取Bit Torrent 做为实例是因为目前的统计数据显示Bit Torrent 流量占据了整个P2P 流量之中的50%以上。同时Bit Torrent 协议也是目前运用最广泛的P2P 技术协议。BitTorrent 网络目前已经成为世界上最重要的资源共享平台。

Bit Torrent 网络做为一种典型的P2P 结构网络，其具有P2P 网络的所有典型的特点。第一个特点就是“每个下载数据的客户端也会同时将数据上传给其他客户端，因而能充分利用用户富余的上行宽带”。第二个特点是在Bit Torrent 网络之中，没有“服务器”与“客户机”的区别。在网络实际的运行过程之中每一个“客户机”就是“服务器”。在运行的过程之中，一个用户在下载的同时上行的宽带也会向其他的用户提供该用户已经下载完成的部分。

在这种情况下，下载的人数越多，实际的网络宽带就越大，下载的传播速度就越快。Bit Torrent 网络协议与传统的网络协议也存在着巨大的差别，Bit Torrent 网络协议与传统的网络协议的区别在于:Bit Torrent 在数据的应用层之中将所有的数据分割成了体积较小的数据块，在传输的过程之中，是以数据块为基本单位进行传输，这样传输的优点在于能够进一步提高传输速度和并行性，并且能够降低资源共享者的宽带消耗。

信息的发布者在Bit Torrent 网络之中发布信息时是根据共享资源来生成特定的种子文件。所谓的种子文件具体是指依据一定的编码规则描述共享资源的概要信息，索引信息以及资源的校验码信息。校验码是通过哈希算法而生成的。哈希计算的基本原理是“把待发布的目标文件虚拟的分成若干个体积相等的分片，而后在对每个分片计算哈希值。”种子文件是整个Bit Torrent 网络之中的共享资源的索引文件。在用户需要通过Bit Torrent 网络获取资源时首先将自己想要获取的资源对应的种子添加到Bit Torrent 软件之中，然后创建下载任务。下载节点会通过种子查询到所需资源的共享点信息，当用户连接上共享点之后，用户便可以从节点之中获取自己想要的资源信息。在这个过程之中，由于每一个用户可以同时向多个共享点请求共享，因此每一个节点的宽带负担都比较小，故流量分布比较均匀整个网络还能保持比较高的数据传输速度。

一般情况下一个完整的Bit Torrent 网络由5 个部分组成:第一个部分是静态元信息文件。这个文件是由共享资源的初始拥有者制作的这一文件也称做torrent 文件。实质上该文件就是前文所论述的种子文件。第二部分是普通Web 服务器，该服务器的主要功能就是为用户发布种子文件和为用户提供种子文件的下载。第三部分是Tracker 服务器，该服务器是一个中心服务器，它的作用是保存，追踪和传输各个节点的信息，该服务器实质上就是前文所论述的索引服务器。用户可以在这个服务器上搜索到自己需要的资源的下载节点，然后自行选择其中的节点进行下载。第四部分是指分布式哈希表网络。该网络的作用是查询下载同一资源的用户并对节点之中的信息进行分布式的存储。第五部分是下载用户。在P2P 网络之中，下载用户既是原始的“下载者”同时也是原始文件的拥有者。在P2P 网络之中，节点的作用分为两个方面。第一个方面是从别的地方下载文件分片;第二个方面是将自己所拥有的文件分片提供给其他的需求者。

1.3 P2P 网络病毒传播机理分析

P2P 病毒就是指以“P2P 网络为活动空间和传播途径的病毒”。在P2P 网络之中节点担负着服务器，路由器，客户端等多种角色，这直接导致了节点的拓扑信息极易被病毒利用。利用这一特点病毒在P2P 模式之中不需要进行大量的无用扫描，只需要以自身的身份混入正常的信息之中，就可以在不引起任何网络异常的前提下快速的在P2P 网络之中快速的进行大范围传播。P2P 病毒的在传播的过程之中通常是依附在正常的P2P 信息之中，因此用户在通过P2P 网络下载资源时就在不知不觉之中感染了P2P病毒。P2P 病毒检测与预防方法

完整的P2P 网络之中具有数量众多的节点，不同的节点检测与防御病毒的能力存在比较大的差距。在进行P2P 网络的安全防护时首先应以节点为核心建立P2P 对等端的病毒检测节点。在以节点为核心的保护措施的建立的过程之中，我们要考虑到如果病毒的检测节点只具有自身的病毒检测和防御能力，那么我们设计的P2P 网络保护机制将无法确保那些自身防护能力较弱的节点是否能够面对病毒的攻击。为平衡P2P 网络之中各个节点的防卫能力的差异，我们需要构建的等端P2P 网络病毒检测节点不仅能检测自身是否带有病毒，还可以对病毒进行有效的抵御。

P2P 网络中的病毒检测与防御节点是基于P2P 对等端的构建而实现的。这一安全保护机制是在P2P 网络正常进行信息交互的过程之中，对信息进行病毒检测的。在P2P 网络工作的过程之中，节点可以在一定的范围之内进行针对病毒传播的防御工作。节点通过加载P2P 病毒的三元列表进而识别出P2P 网络之中带有P2P病毒片段的数据分片。此后该分片会通过Tracker 注册及DHT 扩散的方式除去携带病毒资源之中的swarm。此后在此节点上的传输过程之中便不会再有病毒的数据分片，这种方法将最大限度的减少资源的下载者下载到的资源之中包含的病毒。这样以对等端构建的P2P 网络中的检测与防御节点，既能让P2P 资源传输更加的便利与快捷，还能够有效的增强P2P 网络病毒的检测与防御功能。

在 P2P 网络之中，当普通下载的过程之中对等端与病毒的防御节点连接之后，病毒的防御节点请求之中包含了一部分病毒的数据片段之后，实质的下载完成之后，下载的对等端也会得到若干并不包含病毒的数据分片，造成这样一个结果的原因是，此刻下载用户得到的数据并不是上一个请求节点之中对应的数据，而是防御节点为避免病毒进一步快速传播而构造的无害数据，实质上当节点检测到病毒之后，节点就会进入受防御的节点保护状态进行节点的隔离保护。含有病毒的数据在重复的传播的过程之中，下载节点会不断的向病毒所在的节点请求数据块时，防御节点并不将含有病毒的数据分片传递下去，而是生成一个无毒的数据块进行传输，在传输的过程之中，当包含病毒的数据分片的校验码错误之后，此一数据分片失去继续传播的能力。结语

7.网络攻击与防御的论文篇七

由于计算机网络技术本身存在着诸多的安全弱点和软件漏洞等缺陷,加上一些人为制造的因素,使得网络信息的安全性受到很大威胁。

首先,TCP/IP的协议集就存在先天性的安全缺陷。比如:大部分的低层协议在局域网中都是使用广播方式进行数据传输,于是在局域网上的任何一台机器都有可能窃听到广播方式发送的数据包;从而很轻易的从系统的“后门”进行攻击和入侵。

其次,由于信息安全还处在发展的初级阶段,当计算机网络系统安全受到威胁或入侵时,系统管理人员缺少应有的安全管理和正确的安全对策。这也形成了计算机网络的诸多安全隐患。

2 计算机网络安全面临的威胁

通常对计算机网络安全构成威胁的主要因素有以下三个方面:(1)自然因素。主要指由于地震、雷击、洪水等其他不可抗拒的自然灾害造成的损害,以及因计算机硬件和网络设备的自然磨损或老化造成的损失。主要破坏了信息的完整性及可用性。(2)操作失误。由于管理人员或操作员的操作失误,导致文件被删除,磁盘被格式化,或因为网络管理员对网络的设置不够严谨造成的安全漏洞,用户的安全意识不够等,都会给计算机网络的安全带来威胁。(3)外部攻击。一般可分为两种,一种是对网络进行攻击:利用操作系统或应用软件的漏洞进行攻击以破坏对方信息的有效性或完整性;另一种是网络侦察:在不影响网络正常工作的情况下,进行截获、破译、窃取以获得重要的机密信息。

3 网络攻击的方式及发展趋势

(1)拒绝服务攻击。拒绝服务攻击的主要目的是使计算机及网络无法提供正常的服务。它会破坏计算机网络的各种配置,消耗计算机及网络中各种有限资源等。(2)欺骗式攻击。欺骗式攻击不是利用软件的漏洞进行攻击,而是重点诱骗终端用户进行攻击。T C P/I P协议存在着很多缺陷和漏洞,攻击者利用这些漏洞进行攻击,或者进行DNS欺骗和Web欺骗。(3)通过协同工具进行攻击。各种协同工具的使用,可能导致泄漏机密商业数据。(4)对手机等移动设备的攻击。近年来,手机、P D A及其他无线设备感染恶意软件的数量在激增,但因为其使用和传播的一些特点还没有导致大规模爆发。但随着W A P网和无线上网的发展,此类攻击也会越来越普遍。(5)电子邮件攻击。随着电子邮件在工作和生活中的普遍使用,利用电子邮件进行的攻击也越来越多。这些攻击常常针对政府部门、军事机构及其他大型组织。

4 网络信息安全的技术保障策略

存在安全隐患的网络一旦遭到黑客的恶意攻击,将可能造成巨大的损失。网络信息安全是一项系统工程,需要从法律制度、管理、技术上采取综合措施,才能取得较好的安全效果。目前,技术仍是最直接有效的的措施。主要的安全技术保障策略主要有以下几种:

(1)加密与解密技术。信息加密是网络与信息安全保密的重要基础。它是将原文用某种特定方式或规则进行重新编排,使其变为一般人无法阅读理解的密文。当前比较成熟的加密方法有:替换加密、移位加密、序列密码、一次性密码本加密等。加密可以有效地对抗信息泄露、黑客非法访问等威胁。

(2)身份鉴别。对实体声称的身份进行惟一性识别,以便验证其访问请求,或保证信息来源以验证消息的完整性,有效地对抗非法入侵访问、冒充、重演等威胁。鉴别的方式很多;利用通行字、密钥、访问控制机制等鉴别用户身份,防止冒充、非法访问等,当今最佳的身份鉴别方法是数字签名。

(3)网络访问控制策略。访问控制策略是网络安全防范和保护的主要措施,是保证网络安全最重要的核心策略之一。其主要任务是保证网络资源不被非法使用和非法访问。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。目前进行网络访问控制的主要方法主要有:M A C地址过滤、VLAN隔离、IEEE802.1Q身份验证、基于IP地址访问控制列表和防火墙控制等。

(4)物理安全策略。保护路由器、交换机、工作站、网络服务器等硬件实体和通信链路免受非人为及人为因素的破坏和攻击。

5 主要防范措施

目前网络安全系统常用的防范措施主要有:防火墙技术、病毒防治技术、安全入侵检测与预警技术、路由器技术等。

(1)防火墙技术。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。通常来说,防火墙的许多配置仍然需要网络管理员进行手工修改,如果管理员对防火墙不是特别熟悉,就有可能在配置过程中存在的安全漏洞。

(2)修补系统安全漏洞。Windows提供了很多服务,但是由于一些网络服务或协议自身存在的许多安全漏洞。Telnet就是一个非常典型的例子!在Windows2000操作系统中是这样解释Telnet服务的:“允许远程用户登录到系统并且使用命令行运行控制台程序”。也就是说Telnet可以被用于进行各种各样的入侵活动。平时应该禁止这类服务,需要时才打开它。W i n d o w s还有许多服务,可以根据自己实际情况禁用一些不必要的服务,除了可以减少安全隐患,还可以增加Windows运行速度。

(3)注意防病毒监控。网络病毒无处不在,一旦被感染,就会严重影响网络正常使用,甚至带来巨大损失。在互联网环境下,必须选择一个全方位防病毒产品,一个基于服务器操作系统平台的防病毒软件和针对各种操作系统的防病毒软件,针对网络中所有可能存在的病毒攻击点设置对应防病毒软件,通过全方位多层次防病毒系统的配置,通过定期或不定期自动升级,使网络免受病毒的侵袭。

6 结语

8.点击劫持式Web攻击与防御篇八

近几年，随着互联网及其应用不断发展，互联网安全态势也不断发展变化。各种针对Web应用的攻击形式不断出现，相对于传统的网络层攻击，这些攻击从应用层入手，可以轻易避开防火墙等传统安全防护设备，利用Web应用的漏洞，直接对Web应用展开攻击。这一类攻击行为往往怀有经济性企图，例如窃取用户账户密码信息、获取用户权限、欺骗用户进行某种操作等，其目的性更明确，影响范围广，危害较大。其中以点击劫持式的攻击形式尤其让人防不胜防。

相识Click Jacking

2008年，SecTheory公司的罗伯特·汉森（Robert Hansen）和白帽安全公司的杰罗麦亚·格罗斯曼（Jeremiah Grossman）首次提出了点击劫持漏洞（Click Jacking）。它是一种基于视觉欺骗的WEB会话劫持攻击，通过在网页的输入控件上覆盖一个不可见的框（Frame），当用户操作该控件时，实际上是在其之上的不可见的框（Frame）中进行操作。

点击劫持的基本方法是允许攻击者强制Web用户在想要点击良性链接的时候，点击到恶意链接，攻击者可以构建一个恶意的Web页面，用以在用户的电脑上安装rootkit或者其他恶意软件，然后用看起来无害的网页呈现所有页面，比如，其中一个就含有基于Flash的游戏。当用户点击页面上的各种链接和按钮的时候，实际上点击的是被攻击者控制的隐藏的链接。

相知Click Jacking

伴随着WEB2.0的出现，以及HTML5的发展，很多应用操作都已经向WEB上移植，使基于WEB的攻击层出不穷，信息安全也开始过渡到以Web环境为基础、Web应用为载体新时代.相对于WEB安全十多年的发展史，点击劫持算是一种较新型的攻击手法，其发展十分迅速，在百度搜索点击劫持攻击结果中可以看到151000条记录。

点击劫持攻击刚被提出来的时候，主要攻击模式包括“鼠标拖放”劫持和“触摸劫（tap jacking）”两种。其中，一是结合Iframe、CSS等技术隐藏目标网页；二是结合社会工程学、JavaScript技术、Flash 以及AJAX 技术实现欺骗点击、鼠标跟随、鼠标点击劫持等，目的是欺骗和劫持用户鼠标点击目标按钮，并进行各种“后台”操作，获取用户敏感信息，控制摄像头等终端PC资源。例如，将一个弹出框外观设计成与QQ消息框一模一样的形式，用户潜意识中会不假思索点击查看最新的消息，从而触发恶意攻击。

拖放劫持

在Black Hat Europe 2010大会上，Paul Stone提出了基于点击劫持延伸的另外一种攻击模式——鼠标“拖放劫持”攻击。它具有以下四项特点：

操作简单：点击某个对象，并按住鼠标按钮不放，将鼠标移动到另一个区域，然后释放鼠标按钮将对象“放”在这里。

可见即可拖：浏览器中可以拖放对象一直在不断的增加，而且允许页面上任何控件成为放置目标，随着HTML5的发展，支持拖放操作的API函数也会相应增多而且功能强大。HTML5中拖动时依次触发以下事件：Dragstart、Drag、Dragend；放置时依次触发以下事件：Dragenter、Dragover、Dragleave或 Drop。

dataTransfer 对象：dataTransfer 对象使得自定义处理拖曳操作成为可能。dataTransfer对象可于源对象和目标对象中使用，通过event对象完成这种功能。典型用法是，setdata方法用于源事件，以指定格式给对象赋予数据；相应的，getData方法用于目标事件以便确保获取的数据和数据格式。

跨域操作：拖放不受同源策略限制，用户可以把一个域的内容拖放到另外一个不同的域，而这样的操作是“点击劫持”无法做到的。跨域操作可以拖放链接，这些链接中可能会有session key，token，password，也可以拖放内容，把页面拖拽到文本编辑模式中，这样就可以看到源代码。这些HTML源代码中可能会有type="hidden"等敏感信息。

触屏劫持

近几年，移动互联网发展十分迅速，通过智能移动终端上网的用户数已远超PC用户。针对现有智能移动设备，斯坦福大学的研究人员从攻击电脑浏览器的类似方式点击劫持引申出一个新的概念：触屏劫持。

当前的智能移动设备触屏即包含了PC上的鼠标和键盘全部功能，智能设备屏幕小，视觉攻击更容易。在智能移动设备触屏上，手指的点击与松开、拖与放都有特定的API函数接口，完全可以编写浏览器识别的WEB脚本。此外，针对移动终端的WEB应用安全还未得到足够重视（因为攻击事件还相对少），因此，点击劫持变种为触屏劫持（Tap jacking）并在触屏上实现是完全可能的。

防御Click Jacking

点击劫持是用巧妙的视觉欺骗的方式对WEB会话进行劫持。通过对点击劫持攻击模式分析，可以发现其实现必须满足以下几个前提：一是恶意网页必须能够以一定方式存在于正常网页中，这需要依赖Iframe等一些特定技术实现方式；二是客户端浏览器Cookie，攻击者能够利用用户身份进行恶意攻击；三是网页之上必须有欺骗鼠标操作交互，诱骗用户点击、拖放。针对以上特点，笔者设计实现对于点击劫持的防御解决方案。

点击劫持防御主要包含客户端防御和服务器端防御两个方面。对于客户端来说，目前几乎所有的浏览器都提供了防御点击劫持的安全机制，例如支持X-Frame-Options。对于客户端来说，及时更新浏览器、修复安全漏洞，提高个人安全意识，不随意访问、点击不安全的页面，都能够有效地防止这一类恶意攻击。

针对服务器端的防御方法，目前有三种：

支持X-Frame-Options。X-Frame-Options是由微软提出来的防御点击劫持的一种方法，WEB开发人员可以在HTML responses中加入一个X-Frame-Options字段，浏览器会根据X-Frame-Options字段中参数来判断页面是否可以被IFRAME标签包含，通过拒绝或限制iframe 载入，黑客就无法通过Iframe 隐藏特定的网页。

使用Frame Busting代码。这种方法是使用javascript脚本来对页面进行控制，达到页面无法被IFRAME标签包含。但是如果用户浏览器禁用JavaScript 脚本执行，则Frame Busting 代码也无法正常运行，所以这一方法只能提供有限的防御。

使用验证码认证用户。在网站页面上增加认证码来识别用户，确定是用户的发出的点击命令才执行。例如，在许多网站上设置的交互认证码，要求用户输入图形中的字符、选择相似图形等。

9.防御DDoS攻击的六大绝招篇九

对于此类隐蔽性极好的DDoS攻击的防范，更重要的是用户要加强安全防范意识，提高网络系统的安全性。专家建议可以采取的安全防御措施有6种。

1）及早发现系统存在的攻击漏洞，及时安装系统补丁程序，对一些重要的信息（如系统配置信息）建立和完善备份机制，对一些特权账号（如管理员账号）的密码设置要谨慎。通过这样一系列的举措，可以把攻击者的可乘之机降低到最小。

2）在网络管理方面，要经常检查系统的物理环境，禁止不必要的网络服务。建立边界安全界限，确保输出的包受到正确限制。经常检测系统配置信息，并注意查看每天的安全日志。

3）利用网络安全设备（如防火墙）来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。

4）与网络服务提供商协调工作，让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。

5）当用户发现自己正在遭受DDoS攻击时，应当启动自己的应付策略，尽可能快地追踪攻击包，并且及时联系ISP和有关应急组织，分析受影响的系统，确定涉及的其他节点，从而阻挡已知攻击节点的流量。

10.网络攻击与防御的论文篇十

关键词：计算机网络,攻击形式,防御措施

1 概述

随着计算机网络 (以下简称“网络”) 的高速发展, 网络遭受的各类攻击事件频频出现, 使得网络的安全问题日益突出。为了较好的解决网络安全问题。我们必须了解网络遭受攻击的主要途径, 在此基础上才能更好的加以防范。

2 计算机网络遭受攻击的主要途径

计算机网络遭受攻击的途径主要有以下几个方面。

2.1 利用系统漏洞的攻击

系统漏洞是指应用软件或者操作系统软件在逻辑设计上的缺陷或在编写时产生的错误。当人们发现系统漏洞后会在漏洞上打补丁, 或者改正以后发布新版本的系统。但在纠正错误的过程中, 又会带入一些新的错误。因此, 会造成修改错误再带入新错误的恶性循环。系统漏洞成了一个长期得不到良好解决的问题。许多网络系统中都存在着各式各样的漏洞, 漏洞有的是系统自带的, 有的是由人们的疏忽造成的。若是系统漏洞被不良者熟知或者掌握, 就会造成严重后果。一些恶意代码会通过漏洞进入计算机系统对主机进行攻击或者是控制电脑。他们会利用系统漏洞, 通过植入木马, 病毒等方式, 从计算机中获取重要信息, 或者造成计算机系统的破坏。

2.2“黑客”的攻击

黑客会利用或攻击系统自身的缺陷或者人为造成的各种安全漏洞。黑客攻击通常有四个过程, 收集信息, 分析存在的漏洞;探测系统安全弱点;建立模拟环境, 进行模拟攻击;实施具体的网络攻击。“黑客”在网络中具有非授权性, 隐蔽性, 破坏性。黑客会利用网络的各种缺陷进入对方计算机系统中控制计算机。一旦进入计算机中, 用户的主机就被黑客完全利用, 黑客就可以在用户的主机上为所欲为, 用户的重要信息会被窃取, 造成无法估计的损失。这对普通家庭以及国家来说都是很大的威胁。

2.3 解密攻击

在网络上, 大多数人都会使用密码来保护自己的隐私。这是最重要且最普遍的方式。只要你在系统上输入账户密码, 系统就会为你打开这个门。换句话说, 不管任何人, 只要掌握了账户密码, 都可以进入, 系统不能分清进入的是授权用户还是其他人。不法者只要获取密码就可以进入系统, 控制计算机, 从而达到他的不法目的。有多种方法可以获取密码, 比如监听网络数据, 用户输入密码后, 系统要进行校验, 密码要从客户端传送到服务器端, 他们可以在两端进行监听, 一般情况下, 若是传送的密码加密了, 不法者就不能轻易掌握账户密码。

3 防御对策或措施

3.1 运用防火墙技术

防火墙实际上是一种隔离技术。它是目前最为流行、使用最广泛的也是最有效的防御措施, 防火墙技术就象一位站在家门口的安全卫士, 时刻查检并控制进入计算机的访问者, 使他们的行为能够在被用户允许后才能行动, 不被允许者被挡在了大门之外, 无法进入房门来窃取用户的机密和信息, 从而在很大程度上使计算机用户免受了由于不法之徒或别有用心者的攻击而造成的损失。目前防火墙的产品有堡垒主机, 包过滤路由器, 应用层网关等。

3.2 运用数据加密技术。

加密措施是保证信息安全的最后一道防线。所谓数据加密技术是指将一个信息经过加密钥匙及加密函数转换, 变成无意义的密文, 数据加密技术采用密码技术首先对数据进行加密, 然后通过密钥管理和密钥的分发实现对数据解密的授权, 只有被授权的人才能解密和使用数据。一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。如同特战电影或电视中秘密战线的人使用一种正常人看不懂的语言, 只有掌握了密码本的人, 进行破译才能明白其中真正的含义, 没有密码本的人的人永远得不到真正的答案, 由于密码的存在, 很大程度上保护了网络的安全。

3.3 运用杀毒软件

杀毒软件更象一群义务兵 (免费的杀毒软件) 或一群雇佣兵 (付费的杀毒软件) , 他们受用户的指令, 通过对比迅速找到侵入计算机的敌对分子或搞破坏的人 (病毒或木马) , 并进行监控、打击或者缴杀, 从而能够保护计算机的正常运转。目前, 我们所能应用的杀毒软件较多, 如360、金山毒霸、KV300、KILL98、瑞星等等, 都能够有效地保护计算机的安全。

3.4 加强系统的安全管理

在用户方面, 要通过入侵检测系统 (IDS) 、漏洞扫描系统、安全审计系统等等手段, 加强网络安全的审计和跟踪, 阻挡攻击, 降低可能的损失。在管理方面, 要提高网络工作人员的素质, 强化网络安全责任, 要结合数据、软件、硬件等网络系统各方面对工作人员进行安全教育, 提高责任心, 并通过相关业务技术培训, 提高工作人员的操作技能, 避免人为事故的发生。

4 结束语

随着信息化速度的加快, 攻击网络的手段和方法不断变幻, 但只要我们提高网络安全意识, 我们总能找到一种合适的方法, 应对来自网络的攻击, 确保网络的安全。

参考文献

[1]刘远生等, 计算机网络安全[M].北京:清华大学出版社出版。2006.229—244.

[2]姜文红.网络安全与管理[M].北京:清华大学出版社出版。2007.100—113

11.DDoS攻击原理与防御篇十一

DDoS攻击方式是在DoS攻击的基础上产生的一种攻击方式。根据CERT的统计, 自1990以来, 在各种网络攻击事件中, DDoS攻击所占的比例一直呈上升趋势。为了避免产生更大的损失, 对DDoS的攻击原理进行分析, 从而有针对性地得出防御的方法。

1DoS攻击

1.1 DoS攻击原理

拒绝服务 (Denial of Serviece, DoS) 。这种攻击的目的是拒绝网络中的合法用户对服务器的访问, 破坏网络的正常运行[1]。

DoS的攻击方式很多, 最基本的DoS攻击是利用合理的服务请求占用过多的服务资源, 从而使合法用户无法得到网络服务。攻击过程为:首先攻击者向服务器发送大量有虚假地址的请求, 服务器发送回复信息后等待回传信息, 但是由于地址是假的, 所以服务器等不到回传的信息, 分配给这次请求的资源始终没有被释放。当服务器等待一定的时间后, 连接因超时被切断, 攻击者会再次传送新的一批请求, 在这种反复发送伪地址请求的情况下系统的资源最终被耗尽。

1.2 常见的DoS攻击方法

常见的DoS攻击的方法[2]有:

(1) 带宽DoS攻击。利用高带宽消耗服务器的缓冲区, 消耗服务器的带宽。这种攻击方法属于初级DoS攻击。

(2) 日志文件满载攻击。构造大量的错误信息发送出来, 服务器的日志文件因为记录这些错误变得非常庞大。

(3) Windows 的SMB实现中的DoS攻击。它是2002年发布的攻击方法, 只要允许匿名连接的Windows操作系统就可以进行远程攻击。

2DDoS攻击

2.1 攻击原理

DDoS攻击是在DoS攻击的基础上产生的一类攻击方法。DoS攻击对于CPU速度慢, 网络带宽小的目标主机有明显的效果[3]。但是随着计算机技术和网络技术的发展, 使得DoS攻击不再产生强大的效果。因此, DDoS攻击就应运而生, 它的最大特点是分布性。

DDoS攻击的网络拓扑结构由Attacker, Master, Daemon和Target组成, 如图1所示。

图1中Attacker是攻击者所使用的计算机, Master是主控机, Daeman是精灵机。在发动进攻之前, 网络攻击者 (Attacker) 入侵多台主机作为攻击时的主控机 (Master) 和精灵机 (Daeman) , 它对这些主机具有一定程度上的控制权, 并将相应的DDoS程序注入这些主机上。一旦网络攻击者开始发动进攻, 它会控制主控机向精灵机发送命令, 当精灵机中的相应程序接到命令后就向目标主机发送大量的数据包, 最终淹没目标主机。

2.2 DDoS攻击的类型

到目前为止, 攻击者常使用的DDoS攻击程序主要包括:Smurf攻击、Trinoo攻击、Tribal Flood Network攻击。

Smurf攻击 Smurf是一种简单但是有效的DDoS攻击技术, 它利用了ICMP在Internet上用于错误处理和传递控制信息。它的功能之一就是与主机联系, 通过发送数据包, 看主机是否“活着”。最普通的ping程序就是使用了这个功能。Smurf是用一个偷来的帐号安装到计算机中, 然后用一个伪造的源地址连续ping一个或者多个计算机网络。这个伪造的源地址实际就是攻击的目标, 它将被大量的相应信息量淹没[4]。

Trinoo攻击 Trinoo是复杂的DDoS攻击程序, 它使用“Master”程序对实际实施攻击的任何数量的“代理”程序实现自动控制。攻击者连接到安装了Master程序的计算机, 启动Master程序, 然后根据一个IP地址的列表, 由Master程序负责启动所有的代理程序。接着代理程序用UDP信息包冲击网络, 从而攻击目标。

Tribal Flood Network攻击 Tribal Flood Network与Trinoo一样, 使用一个Master程序与位于多个网络上的攻击代理进行通信。TFN可以并行发送数不胜数的DoS攻击, 包括UDP冲击、TCP SYN冲击、ICMP回音请求冲击以及ICMP广播冲击。

3DDoS攻击的检测与防御

由于DDoS攻击是利用一些常见的协议和服务, 被攻击者很难区分恶意请求和正常连接请求, 从而无法有效分离攻击数据包, 所以目前仍然没有很好的办法来解决拒绝服务攻击问题[5]。但是通过一些技术手段, 可以在检测、防御方面采取措施, 最大限度地减少DDoS攻击带来的危害。

3.1 DDoS攻击的检测

检测方法有两类, 即基于特征的DDoS攻击检测和基于异常的DDoS攻击检测。

(1) 基于特征的DDoS攻击检测。

在检测之前先提取分类规则, 然后将检测到的当前分类的特征属性与分类规则相比较, 如果两者相似度偏低, 检测系统就会报警[6]。整个检测过程如图2所示。

这种检测技术具有误报率低, 技术比较成熟, 容易实现, 反映迅速, 具有早期预警能力, 但是不足之处在于局限于某种特定工具, 漏报率高, 依赖于攻击程序中的固定值, 容易被网络攻击者所利用[7]。

(2) 基于异常的DDoS攻击检测。

基于异常的入侵检测是检测记录主机的网络通信情况, 并与正常情况下的网络通信情况相比较, 如果相差过大就认为是异常发生。

基于异常分析的检测方法主要包括基于统计的异常分析, 基于神经网络的异常分析, 基于专家系统的异常分析, 基于统计的特征分析等[8]。

在实际的检测系统中, 往往是结合基于特征的检测与基于异常的检测来取长补短, 通过混合检测的手段提高DDoS检测的准确率[9]。

3.2 DDoS攻击的防御

目前, 进行DDoS攻击的防御是比较困难的。因为这种攻击的特点是利用TCP/IP协议的漏洞, 除非不用TCP/IP才有可能完全抵御DDoS攻击。

下面提出一些方法, 通过这些方法可以有效地增加DDoS防御的能力。

(1) SYN-Cookie, SYN网关。

通过使用SYN代理网关的方式由一个专门的机器进行合法SYN请求的判断, 从而将攻击者伪造的SYN请求拒绝在网络外部, 不会对目标服务器产生作用。

(2) 被动消极忽略。

Windows 2000及以后的Windows版本对单位时间内超过一定量的SYN请求判断为DDoS攻击, 从而将其简单的忽略而不做处理, 这可以保护服务器免于崩溃, 有一定的价值。

(3) 主动发送RST消息。

当目标服务器判断出某个连接存在着攻击嫌疑时, 也可以直接向远程机发送RST包, 从而断开连接, 以达到保护目标服务器的目的[10]。

(4) 安装系统补丁程序。

及早发现系统的攻击漏洞, 及时安装系统补丁程序。

(5) 拔网线。

当DDoS攻击可能导致服务器崩溃时, 最后的方法就是拔网线。

4结语

以上是对DDoS攻击的防御技术介绍, 但是随着新的DDoS攻击技术的出现, 将面临更多的挑战, 因此在这一领域还有很多工作需要做。

摘要：分布式拒绝服务攻击 (Distributed Denial of Serviece Attack) 是目前黑客用的比较多的攻击手段, 这种攻击对网络造成的危害性越来越大。为了更好地了解这种攻击的特点, 从而避免产生更大的损失, 这里从DoS和DDoS的攻击原理进行探讨研究, 研究常见的DDoS攻击的类型如Smurf攻击、Trinoo攻击等。根据这些攻击的特点, 提出DDoS攻击的检测方法即基于特征的攻击检测和基于异常的攻击检测。这两种检测技术各有所长, 在实际使用中往往需要将两者结合起来, 共同提高DDoS检测的准确性。

关键词：DDoS攻击,DoS攻击,检测方法,防御

参考文献

[1]璞青.Dos (拒绝服务) 攻击技术分析及其防范[J].网络与应用, 2005, (8) :45-47.

[2]李泽林.Internet安全技术[M].北京:国防工业出版社, 2005.

[3]尚占锋, 章登义.DDoS防御机制研究[J].计算机技术与发展, 2008 (1) :7-8.

[4]Yitzhaky Y, Kopeika N S.Identification of Blur Parametersfrom Motion Blurred Images[J].Graphical Models andImage Processing, 1997, 59 (5) :310-320.

[5]Merike Kaeo.网络安全性设计[M].2版.北京:人民邮电出版社, 2005.

[6]吴虎, 刘云超, 陈挺.对DDoS攻击防范策略的研究[J].计算机应用研究, 2006 (5) :34-36.

[7]Kim Y W, Lau W C, Chuah M C, et al.Packetseore:Statis-tieal-based Overload Control against Distributed Denial-of-Service Attacks[A].Proc.of the 23rd Annual Joint Conf.ofthe IEEE ComPuter and Communieations Societies[C].2004, 4:2 594-2 604.

[8]吴国纲.DDoS攻击与IP拥塞控制研究[J].电子科技大学学报, 2007 (3) :70-73.

[9]刘芳.分布式拒绝服务攻击预警系统的设计与实现[J].计算机工程, 2006, 23 (2) :129-130.

[10]Lokhande R, Arya K V, Gupta P.Identification of Parame-ters and Restoration of Motion Blurred Images[A].Pro-ceedings of the 2006 ACM Symposium on Applied Compu-ting[C].USA:ACM Press, 2006:301-305.

[11]杨文静, 陈义平.一种新的分布式DDoS攻击防御体系[J].现代电子技术, 2006, 29 (19) :54-57.

12.DDoS攻击方式与防御技术研究篇十二

分布式拒绝服务攻击(Distributed Denial of Service,DDoS)由于其可用工具多、容易操作、攻击范围广、隐蔽性强、简单有效等特点,其发生频率越来越高,极大地影响网络和业务主机系统的有效服务,被公认为互联网上最难解决的问题之一[1],现已对网络安全构成了重大威胁,它是近年来新出现的且被经常使用的一种攻击方式。它借助于C/S技术将大量计算机联合起来作为攻击平台,使用攻击机、主控机、傀儡机三层网络结构,采用IP地址欺骗技术在同一时间对某个目标发动的DoS攻击,极大地提高了攻击的成功几率,同时攻击者通常很容易将少数的主控机的日志、路由等信息清理干净,使得难以追查攻击者。DDoS的攻击原理如图1所示。

2 DDoS攻击方式介绍

攻击者在攻击前为了提高攻击的成功几率,通常会想方设法将目标主机的一系列参数搞到,其中比较重要的是目标主机的IP地址、服务器网络带宽、服务器的配置、性能(对于使用负载均衡的还要了解其服务器的个数)。当得到网络带宽和服务器的性能后攻击者会根据两者的参数进行计算、比较,选择一种能够比较奏效的方式实施攻击。

DDoS攻击方式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即过量攻击包导致网络带宽被阻塞,致使合法网络包被虚假的攻击包淹没而无法到达主机。另一种为资源耗尽攻击,主要是针对服务器主机的攻击,大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务,严重时甚至造成服务器的死机。近年主要的DDoS攻击统计结果[2]和常见的攻击方式和工具如表1所示。

至于进行攻击,这已经是后期的工作了,在选择好一种攻击方式后,最重要的就是要建立攻击平台。在建立攻击平台的时候。黑客最感兴趣的是有下列情况的傀儡机主机:安全管理水平差的主机、链路状态好的主机、性能好的主机。对于安全水平差的主机攻击者能够更便于控制,对于链路状态好和性能好的控制主机可以减少傀儡主机的数量来达相同的攻击效果。近年主要的DDoS攻击统计结果表明,目前大多数DDoS攻击主要采用TCP洪流攻击,大多数的DDoS攻击是通过TCP协议实现的。因此,对于基于TCP协议的服务必须进行重点防护,保护TCP部分的带宽将能保护绝大多数的服务。

3 DDoS的防御措施

一般对DDoS攻击采取的防御措施主要有如下几种:

1)网络节流和服务器均衡技术:在网络管理方面,首先要在有网络带宽保证的前提下,要优化路由和网络结构,配置好安全规则,在网络设备流量较大的时候采取丢报的方式来维持其功能的正常,丢掉的数据报会包含攻击的数据报和正常访问的数据报。另外,尽量提升主机服务器硬件配置,利用负载均衡技术可以让多台服务器或多条链路共同承担一些繁重的计算或I/O任务,从而以较低成本消除网络瓶颈,提高网络的灵活性和可靠性。

2)报文过滤技术:可以分为基于入口报文过滤和基于路由报文过滤两种技术。入口报文过滤[3](Ingress Filtering)是一种对付匿名攻击的方法,可以过滤掉伪造源IP地址的数据包。这种机制主要是配置在路由器的入口,通过网络提供者(ISP)利用路由器将来源地址不属于该客户区域的数据包过滤掉。要求路由器有足够能力去检查每个包的源IP地址,并且能够有足够的能力去区别合法的和非法的地址。因此,入口过滤在ISP的边缘或者客户网络中更加有作用,这里处理数据包更加明确,并且流量负载相对低些。基于路由报文过滤(RPF,Route-based Packet Filtering)本质上是将入口报文过滤机制扩展到了Internet核心。与后者不同,RPF使用路由信息分辨出伪造IP地址的报文。该机制在Internet核心路由器部署大量报文过滤器,根据报文的源地址和目的地址,以及边界网关协议(GP)路由信息,判断该报文是否来自正确链路。如果某报文的来源和它所声称的来源不符,则该报文将被丢弃。RPF机制的先进之处在于它并不使用或存储个别主机地址用于过滤,而是利用了自治系统(AS)的拓扑信息。

3)防火墙:中继防火墙的作用就是一个SYN代理,防火墙代替了服务器去处理SYN攻击,SYN代理程序工作在用户层,处理半连接数量也是有限的,很容易被攻破。另外,由于增加了一次代理进行TCP的三层握手,不可避免地引起TCP连接的延迟。半透明网关防火墙作用是当客户端的TCP连接请求到来时,防火墙会让这个数据包通过到服务器端,服务器端回应SYN+ACK数据包时,防火墙也会将这个数据包转发到客户端,并且会送一个ACK数据包给服务器端,提前完成TCP连接过程。如果说在一个特定时间内,防火墙没有再收到客户端的ACK数据包,这时防火墙会送一个RST数据包给服务器端,将刚刚的连接断开。如果是正常的用户,这时客户端会收到两次的ACK数据包。当连接建立之后,数据传输将不会受到防火墙的控制。

4)加强对傀儡机的检测。傀儡机又被称为“肉鸡”,金山毒霸反病毒专家李铁军表示,“从广义上讲,遭遇木马攻击的电脑均可以称为肉鸡。”金山毒霸云安全中心监测数据显示,截止至2009年月19日,全国累计超过3800万台次计算机遭遇木马攻击,其中专门针对网银的木马暴涨近10倍,互联网用户的财产安全面临巨大威胁。用“肉鸡”查杀软件对电脑进行查杀,既是对自己负责,也是对他人负责,及早发现系统中存在的漏洞,做出相应的处理。另外,对一些重要的信息(例如系统配置信息)建立和完善备份机制,对一些特权账号(如管理员账号)的密码设置尤其要谨慎。

4 对攻击的追踪

随着DDoS攻击工具自动化程度越来越高,破坏力和隐蔽性愈来愈强,DDoS攻击已经成为Internet安全的一个严重威胁,为了能更好的追踪DDoS攻击源。攻击追踪的目标就是查出攻击的真实来源,由于攻击者基本上使用IP欺骗技术来隐藏攻击的实际源头IP,攻击追踪困难重重。同时,对于DDoS的攻击的追踪需要巨大的人力、物力和财力来支持,这两点也是DDoS攻击猖獗的重要原因。因此,在当前条件下,如何能够快速、成功的追踪到DDoS攻击源已经成为目前研究人员研究的热点。目前国内外的专家提出了几种解决DDoS的攻击源追踪方法,主要分为数据包标记方法、日志记录技术、基于ICM P的技术、input debugging、controlled flooding等几大类,表2对这些方法的优缺点进行了总结。

通过上述表格中的对比我们不难发现,数据包标记方法由于具有较低的管理负担、较少的负载、良好的可扩展性等特性成为当前IP追踪的热门方法,这一方法的关键就是对于攻击树的再现。攻击树的再现就是要将攻击过程中合法用户和非法用户的数据包进行分离,因为目标机不仅会收到攻击者发来的攻击性数据包,还会收到正常用户发来的合法数据包。基于概率的数据包标记算法(PPM,Probabilistic Packet Marking)则能更快的构建出攻击树来[5],其主要原理如下:路山器以一定的概率P(通常是1/25),用其IP地址或IP地址的一部分随机标记经过它的数据包。当发生DDo S攻击时,受害者根据其收到的攻击数据包中的标记信息,重建攻击路径。使用PPM算法,路由器负担较小,采用标记边压缩和分片技术大大降低了额外的网络流量,对攻击后这种方法也同样的适用。

5 结束语

对于DDoS攻击来说并没有绝对有效的防御手段。但是由于攻击者必须比防御者付出更大的努力才能成功,所以只要我们对DDoS攻击有很好的了解,积极部署防御措施,还是能够在很大程度抵御这种安全威胁。

参考文献

[1]蒋平.DDoS攻击分类及趋势预测[C]//全国网络与信息安全技术研讨会,北京:人民邮电出版社,2004.

[2]刘峰,范松波,周斌.DDoS攻击报文过滤器在Linux防火墙中的应用[J].长沙通信职业技术学院学报,2005,4(3):23-25.

[3]Nort hcutt S.网络入侵检测分析员手册[M].北京:人民邮电出版社,2000.

[4]赵恒,王宁宁,荣瑞峰.DDoS的攻击与防御[J].信息技术与信息化,2007(3):28-30.

【网络攻击与防御的论文】推荐阅读：