常见的网络攻击与防范

本文刨析了网络上黑客常见的攻击手段，主要分析DDOS攻击的原理和步骤。论文提出了防范DDOS攻击的一些措施。

关键词　DDOS 攻机 网络 安全

Abstract

This paper analyzes the sharpening network hackers common means of attack, mainly on the principle of DDOS attacks and steps. The paper presents the DDOS attack prevention measures

Key words: DDoS  Attack  Network  Security

不要删除行尾的分节符，此行不会被打印

目 录

摘 要 ……………………………………………………………………Ⅰ

Abstract    Ⅱ

前 言 ……………………………………………………………………..4

第1章 绪 论    4

1.1 黑客常见攻击步骤    4

1.1.1攻击前奏    4

1.1..2实施攻击    5

1.1..3晋级支配    6

第2章 DoS 与DDoS攻击原理    6

2.1 DoS攻击    7

2.1.1 SYN Flood攻击    7

2.1.2 Land 攻击    7

2.1.3 Smurf攻击    7

2.1.4 UDP攻击    7

2.2 DDoS攻击    8

2.2.1 DDoS攻击原理    8

2.2.2 DDoS攻击的主要形式    9

第3章 DoS 与DDoS攻击的检测与防范    9

3.1常规安全检测与防范    10

3.1.1安装最小化    10

3.1.2 安装补丁程序    11

3.1.3关闭非必须端口    11

3.1.4删除Guest账号    11

3.1.5及时备份重要数据    11

3.1.6使用加密机制传输数据    ..12

结 论    12

致 谢    13

参考文献    14

前言

    在网络这个不断更新换代的世界里，网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。

    许多上网的用户对网络安全可能抱着无所谓的态度，认为最多不过是被“黑客”盗用账号，他们往往会认为“安全”只是针对那些大中型企事业单位的，而且黑客与自己无怨无仇，干嘛要攻击自己呢？其实，在一无法纪二无制度的虚拟网络世界中，现实生活中所有的阴险和卑鄙都表现得一览无余，在这样的信息时代里，几乎每个人都面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题，那些平时不注意安全的人，往往在受到安全方面的攻击时，付出惨重的代价时才会后悔不已。为了把损失降低到最低限度，我们一定要有安全观念，并掌握一定的安全防范措施，禁绝让黑客无任何机会可乘。只有了解了他们的攻击手段，我们才能采取准确的对策对付这些黑客。

第1章 绪论

1.1 黑客常见攻击步骤

黑客常用的攻击步骤可以说变幻莫测，但纵观其整个攻击过程，还是有一定规律可循的，一般可以分：攻击前奏、实施攻击、巩固控制、继续深入几个过程。

1.1.1 攻击前奏

     黑客锁定目标、了解目标的网络结构，收集各种目标系统的信息等。

    锁定目标：网络上有许多主机，黑客首先要寻找他找的站点的。当然能真正标识主机的是IP地址，黑客会利用域名和IP地址就可以顺利地找到目标主机。

    了解目标的网络结构：确定要攻击的目标后，黑客就会设法了解其所在的网络结构，哪里是网关、路由，哪里有防火墙，哪些主机与要攻击的目标主机关系密切等，最简单地就是用tracert命令追踪路由，也可以发一些数据包看其是否能通过来猜测其防火墙过滤则的设定等。当然老练的黑客在干这些的时候都会利用别的计算机来间接的探测，从而隐藏他们真实的IP地址。

    收集系统信息：在收集到目标的第一批网络信息之后，黑客会对网络上的每台主机进行全面的系统分析，以寻求该主机的安全漏洞或安全弱点。首先黑客要知道目标主机采用的是什么操作系统什么版本，如果目标开放telnet服务，那只要telnet xx.xx.xx.xx.（目标主机），就会显示“digitalunlx(xx.xx.xx.)(ttypl)login：”这样的系统信息。接着黑客还会检查其开放端口进行服务分析，看是否有能被利用的服务。因特网上的主机大部分都提供www、mail、ftp、teinet等日常网络服务，通常情况下telnet服务的端口是23等，www服务的端口是80，ftp服务的口是23。利用信息服务，像snmp服务、traceroute程序、whois服务可用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节，traceroute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数，whois协议服务能提供所有有关的dns域和相关的管理参数，finger协议可以用finger服务来获取一个指一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。所有如果没有特殊的需要，管理员应该关闭这些服务.利用安扫描器，收集系统信息当然少不了安全扫描器黑客会利用一些安全扫描器来帮他们发现系统的各种漏洞，包括各种系统服务漏洞，应用软件漏洞，弱口令用户等等。

1.1.2实施攻击

当黑客探测到了足够的系统信息，对系统的安全弱点有了了解后就会发动攻击，当然他们会根据不同的网络结构、不同的系统情况而采用的不同的攻击手段。一般，黑客攻击的终极目的是能够控制目标系统，窃取其中的机密文件等，但并不是每次黑客攻击都能够得逞控制目标主机的目的的，所以有时黑客也会发动拒绝服务攻击之类的干扰攻击，使系统不能正常工作。关于黑客具体采用的一些攻击方法我们在下面黑客攻击方法中有详细的介绍，这里就不细说了。

1.1.3 晋级支配

黑客利用种种手段进入目标主机系统并获得控制权之后，不是像大家想象的那样会马上进行破坏活动，删除数据、涂改网页等，那是毛头小伙子们干的事情。一般入侵成功后，黑客为了能长时间表的保留和巩固他对系统的控制权，不被管理员发现，他会做两件事：清除记录和留下后门。日志往往会记录上一些黑攻击的蛛丝马迹，黑客当然不会留下这些“犯罪证据”，他会把它删了或用假日志覆盖它，为了日后面以不被觉察地再次进入系统，黑客会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序。

清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步的行动；窃取主机上的各种敏感信息：软件资料、客户名单、财务报表、信用卡号等等，也可能是什么都不动，只是把你的系统作为他存放黑客程序或资料的仓库，也可能黑客会利用这台已经攻陷的主机去继续他下一步的攻击，如：继续入侵内部网络，或者利用这台主机发动d.o.s攻击使网络瘫痪。

网络世界瞬息万变，黑客们各有不同，他们的攻击流程也不会全相同，上面我们提的攻击步骤是对一般情况而言的，是绝大部分黑客正常情况下采用的攻击步骤。

第二章 DoS 与DDoS攻击原理

拒绝服务（Denial of Service，简称DoS）攻击是一种利用 TCP/IP协议的弱点和系统存在的漏洞，对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的，对网络服务器发送大量“请求”信息，造成网络或服务器系统不堪重负，致使系统瘫痪而无法提供正常的网络服务。分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是在拒绝服务攻击的基础上产生的一种分布式、协作式的大规模拒绝服务攻击方式。

  目前，拒绝服务攻击和分布式拒绝服务攻击已成为一种遍布全球的系统漏洞攻击方法，无数网络用户都受到这种攻击的侵害，造成了巨大的经济损失。因此，了解DoS 与DDoS攻击原理及基本的防范方法，对所有网络用户特别是网络管理人员有着重要的意义。

2.1 DoS攻击

DoS攻击的方式主要是利用合理的服务请求，来占用过多的网络带宽和服务器资源，致使正常的连接请求无法得到响应。常见的 DoS攻击方法有：SYN Flood攻击、Land 攻击、Smurf攻击、UDP攻击等。下图2为DoS攻击的基本过程。

2.1.1 SYN Flood攻击

SYN Flood攻击是一种最常见的 DoS攻击手段，它利用TCP/IP连接的“三次握手”过程，通过虚假IP, 源地址发送大量 SYN 数据包，请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后，等待对方连接，虚假的IP 源地址将不给予响应。这样，连接请求将一直保存在系统缓存中直到超时。

2.1.2 Land 攻击

Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包，造成目标主机解析 Land包时占用大量系统资源，从而使网络功能完全瘫痪的攻击手段。

2.1.3 Smurf攻击

Smurf攻击是一种放大效果的ICMP攻击方式，其方法是攻击者伪装成被攻击者向某个网络上的广播设备发送请求，该广播设备会将这个请求转发到该网络的其他广播设备，导致这些设备都向被攻击者发出回应，从而达到以较小代价引发大量攻击的目的。

2.1.4 UDP攻击

UDP攻击是指通过发送UDP数据包来发动攻击的方式。在UDP Flood攻击中，攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包，从而使被攻击者不能提供正常的服务，甚至造成系统资源耗尽、系统死机。

2.2 DDoS攻击

DoS攻击主要是采用一对一的攻击方式。当目标计算机的配置较低或网络带宽较小时，其攻击的效果较为明显。随着计算机及网络技术的发展，计算机的处理能力迅速增长，网络带宽也从百兆发展到了千兆、万兆，DoS攻击很难奏效。DDoS攻击是DoS攻击的一种演变，它改变了传统的一对一的攻击方式，利用网络调动大量傀儡机，同时向目标主机发起攻击，攻击效果极为明显。

2.2.1 DDoS攻击原理

DDoS主要采用了比较特殊的3层客户机/服务器结构，即攻击端、主控端和代理端，这3者在攻击中各自扮演着不同的角色。攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。这种3层客户机/服务器结构，使DDoS具有更强的攻击能力，并且能较好地隐藏攻击者的真实地址。下图3为DDoS的攻击原理。

DDoS攻击一旦实施，攻击数据包就会像洪水般地从四面八方涌向被攻击主机，从而把合法用户的连接请求淹没掉，导致合法用户长时间无法使用网络资源。 

2.2.2 DDoS攻击的主要形式

DDoS攻击的主要形式有以下几种：

    ①通过大量伪造的IP 向某一固定目标发出高流量垃圾数据，造成网络拥塞，使被攻击主机无法与外界通信。

    ②利用被攻击主机提供的服务或传输协议上的缺陷，反复高速地发送对某特定服务的连接请求，使被攻击主机无法及时处理正常业务。

    ③利用被攻击主机所提供服务中数据处理上的缺陷，反复高速地发送畸形数据引发服务程序错误，大量占用系统资源，使被攻击主机处于假死状态，甚至导致系统崩溃。

第三章 DoS 与DDoS攻击的检测与防范

从 DoS 与DDoS攻击过程可以看出，其攻击的目的主要有：（1）对网络带宽的流量攻击；（2）对服务器某特定服务的攻击。攻击的手段主要是发送大量垃圾数据交由网络设备或服务器处理，导致资源占用超出允许上限，使网络中断或无法提供正常服务。

由于DoS 、DDoS是利用网络协议的缺陷进行的攻击，所以要完全消除攻击的危害是非常困难的。从理论上说，只要是带宽或服务器资源有限的系统都会受到 DoS 或 DDoS攻击的威胁。对于暴力型DDoS攻击，即使是最先进的防火墙也为力。攻击者可能无法越过防火墙攻击内部网络中的服务器系统，但防火墙阻挡这些攻击数据包，必须付出高额的资源开支，这同样会造成网络性能下降，甚至网络中断。在实际应用中，我们可以通过一些方法检测到攻击现象的出现，并减缓攻击造成的危害。

3.1 常规安全检测与防范

常规检测与防范是面向网络中所有服务器和客户机的，是整个网络的安全基础。可以设想，如果全世界所有计算机都有较好的防范机制，大规模计算机病毒爆发和DDoS攻击发生的概率将锐减。所以，在任何安全防范体系中加强安全教育、树立安全意识及采取基本的防护手段都是最重要的。

在实际应用中，可以使用Ping命令和Netstat —an命令检测是否受到了DoS、DDoS 攻击。若发现网络速度突然变慢，使用Ping命令检测时出现超时或严重丢包，则有可能是受到了流量攻击。若使用Ping命令测试某服务器时基本正常，但无法访问服务（如无法打开网页，DNS失效等），而Ping同一交换机上的其他主机正常，则有可能是受到了资源耗尽攻击。在服务器上执行Netstat —an命令，若显示有大量SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态，而ESTABLISHED状态较少，则可以认定是受到了资源耗尽攻击。

    要增强网络中的服务器的抵抗力可采用的方法有：

3.2.1 安装最小化

    因为现在的硬盘越来越大，许多人在安装操作系统时，希望安装越多越好。岂不知装得越多，所提供的服务就越多，而系统的漏洞也就越多。如果只是要作为一个代理服务器，则只安装最小化操作系统和代理软件、杀毒软件、防火墙即可，不要安装任何应用软件，更不可安装任何上网软件用来上网下载，甚至输入法也不要安装，更不能让别人使用这台服务。

3.2.2 安装补丁程序

上面所讲的利用输入法的攻击，其实就是黑客利用系统自身的漏洞进行的攻击，对于这种攻击我们可以下载微软提供的补丁程序来安装，就可较好地完善我们的系统和防御黑客利用漏洞的攻击。我们可下载windows最新的service pack补丁程序，也可直接运行开始菜单中的windows update 进行系统的自动更新。

3.2.3 关闭非必须端口

计算机要进行网络连接就必须通过端口，要控制我们的电脑也必须要通过端口。所以我们可通过关闭一些对于我们暂时无用的端口（但对于“黑客”却可能有用），即关闭无用的服务，来减少“黑客”的攻击路径。我们可通过“控制面板”的“管理工具”来进入“服务”，也可用通过打开“TCP/IP协议” →选择“属性”，打开“常规” →选择“高级”，打开“选项” →选择“TCP/IP筛选” →选择“属性” →双击“TCP/IP筛选” →选择“只允许” →选择“添加”添加需要打开的端口；如上网必须要利用的80端口。

3.2.4 删除Guest账号

大家都知道win2000的Guest账号一般是不能更改和删除的，只能“禁用”，但是可以通过net命令（net user guest /active）将其激活，所以它很容易成为“黑客”攻击的目标，所以最好的方法就是将其删除，下载Ptsec.exe 即win2000权限提升程序。进入cmd，打入Ptsec /di回车，退出。进入注册表，搜索guest，删除它，Guest账号就被删除了。

3.2.5 及时备份重要数据

如果数据备份及时，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。国外很多商务网站，都会在每天晚上对系统数据进行备份，在第二天清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系统中的数据库都不会出现损坏。然而一旦受到黑客攻击，管理员不要只设法恢复损坏的数据，还要及时分析黑客的来源和攻击方法，尽快修补被黑客利用的漏洞，然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号，尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净，防止黑客的下一次攻击。

3.2.6 使用加密机制传输数据

对于现在网络上流行的各种加密机制，都已经出现了不同的破解方法，因此在加密的选择上应该寻找破解困难的，例如DES加密方法，这是一套没有逆向破解的加密算法，因此黑客的到了这种加密处理后的文件时，只能采取暴力破解法。个人用户只要选择了一个优秀的密码，那么黑客的破解工作将会在无休止的尝试后终止。

结论

网络攻击越来越猖獗，对网络安全造成了很大的威胁。对于任何黑客的恶意攻击，都有办法来防御，只要了解了他们的攻击手段，具有丰富的网络知识，就可以抵御黑客们的疯狂攻击。一些初学网络的朋友也不必担心，因为目前市场上也已推出许多网络安全方案，以及各式防火墙，相信在不久的将来，网络一定会是一个安全的信息传输媒体。特别需要强调的是，在任何时候都应将网络安全教育放在整个安全体系的首位，努力提高所有网络用户的安全意识和基本防范技术。这对提高整个网络的安全性有着十分重要的意义。

不要自己写，要利用word来自动生成。详情请看最后一页

参考文献

 [1] 舒洁．Win2000安全审核让入侵者无处遁形[DB/OL] ．http：//www.xfocus.net/index.html（安全焦点）2004-02

[2] 胡小新、王 颖、罗旭斌．一种DoS攻击的防御方案[J] ．计算机工程与应用．2004(12):160-163

[3] 吴闻．构建网络安全体系的必要措施 [J] ． 网络安全技术与应用．2003(9):28-31

[4] 无琴．Win2000入侵日志分析[J] ．黑客X档案．2003．（5）P67

[5] 华勇、高健媛、韩臻．网络安全存在问题解决方法的研究[J] ．铁路计算机应用．2002（1）

[6] 宋乃平、文桦．Internet网络安全管理[J] ．天中学刊．2002．（2）

[7] 陈浩．Internet上的网络攻击与防范[J] ．电信技术．1998．（4）

[8] 《黑客防线》．http：//www.hacker.com.cn

[9] 《火狐技术联盟》．http：//www.wrsky.com