攻击技术

攻击技术（精选十篇）

攻击技术篇1

近年来计算机网络安全事故已经对计算机网络系统造成极大的安全威胁,而传统的网络安全防御技术[1]功能单一,且只能根据设置被动地防御攻击事件,无法识别攻击者的攻击计划并预测攻击者的下一步攻击。在攻击意图识别领域[2],基于规划图分析的意图识别方法[3,4]无法处理复杂问题,基于概率推理的意图识别方法[5,6]在先验概率方面具有一定的局限性。

1 基于最小顶点割的攻击意图阻止算法

采取一定措施,降低发生概率高、危害程度大的攻击意图的实现概率是提高网络安全的重要途径。为使采取的补救措施最少,首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集,然后采用一定措施消除最小顶点割集的这些节点,就可以阻止该攻击意图的实现,从而实现增强网络安全的目的。

1.1 最大两两顶点不相交路径的构造

为简化最大两两顶点不相交路径问题,采用节点拆分(node-splitting)技术将问题转变为构造最大两两边不相交路径问题。将汇节点和源节点外的其他节点拆分为出点和入点,将该出节点的有向边转变为由出点引出的有向边,到该节点的有向边转变为指向该入点的有向边,以一条权值为1 的有向边连接出点和入点,节点拆分示意图如图1 所示。

从图1 可以看出,经过节点(见图1(a))的路径一定会经过节点(见图1(b))的该节点出点和入点之间的边,因此图1中最大两两顶点不相交路径等价于最大两两边不相交路径。从而构造最大两两顶点不相交路径可通过采用标准的最大流算法和网络流技术实现。

如图2 所示,按照节点拆分原则及路径转化原则,构造最大两两边不相交算法如下:

(1)将正在进行攻击的路径图作为一个流网络,把该流网络每条边的容量设为1;

(2)在当前使用的残留网络中找到所有的增广路径;

(3)在原来的流网络中添加增广路径,从而构造出新的流网络;

(4)重复步骤(2),(3),直到找出所有的增广路径;

(5)删除无流的边,余下的u-v路径就是网络图的最大两两边不相交路径。

图2(a)~图2(e)为循环迭代过程,(a)是初始网络,黑粗线代表增广路径,(b)是(a)的残留网络,(c)是(a)增加相应增广路径流量后的更新网络;(d)是(c)的残留网络,(e)是(d)增加相应增广路径流量后的更新网络。图2(f)是最后的计算结果,粗线代表网络图的最大两两边不相交路径,也就是最大两两顶点不相交路径。

1.2 最小顶点割

设PATH*为PATH的补集,PATH是Graph最大两两顶点不相交u-v的路径集合,其共有b条路径,则b为其最小顶点割的势,其中第i条路径共有di个内顶点。Min Cut是有向图Graph(VE RTEX,EDGE)的一个最小顶点割,则对于vertex∈ Min Cut,必然有路径path经过顶点vertex,且path∈PATH 。根据上述假设,则从有向图最大两两顶点不相交的u-v路径得到u-v的最小顶点割的算法如下:

(1)在各路径pathi∈PATH中,1≤i≤b,通过选取各节点依次形成具有b个元素的顶点集合共m个,记VERTEX1,…,VERTEXm,其中

(2) 取PATH*中的路径path*,然后检查全部的VERTEXj集合,如果path*不从集合VERTEXj中的任意顶点经过,则舍去VERTEXj,其中VERTEXj∈{VERTEX1,…,VERTEXm};

(3)对PATH*中所有的路径path*执行步骤(2)后,余下的m′ 个VERTEX1′,…,VERTEX′m′顶点集合就是所求的最小顶点割Min Cut。

1.3 基于最小割的攻击意图阻止

为阻止攻击者的入侵,可在攻击路径图中,通过切断通往意图的全部路径来实现网络安全防护的目标,而最经济有效的方法就是移除攻击路径图中的所有最小顶点割集。从前述最小顶点割的算法可以看出,攻击路径图Graph中意图节点v和初始节点u共有{s1,s3},{s1,s4},{s2,s3} 和{s2,s4}4 个最小顶点割。记m′ 个最小顶点割分别为VERTEX1′,…,VERTEX′m′,各个最小顶点割集均有b个顶点元素。由于有向图能够取主机级、安全域级和脆弱性级的攻击路径图,所以vertex可分为代表主机、安全和脆弱性的域节点。设最小割集VERTEXi′中的第j个顶点元素为vertexij,去掉节点vertexij的金钱成本、时间成本、人力成本以及关闭服务、主机和安全域造成的损失成本总和是f(vertexij)。最优的防护措施就是移除成本最低的最小顶点割集,具体如式(1)所示:

2 攻击意图动态识别算法图

2.1 攻击意图概率计算

脆弱性级攻击路径图中的节点趋向系数需要考虑攻击成功后的收益Gain、攻击的难易程度Difficulty*、攻击的隐蔽程度Stealths三个因素,各因素所占的权值分别用w1,w2,w3表示。将攻击者的攻击水平按由低到高分为低、中、高三个等级,其三个系数的相应权值依次为[0.8,0.0,0.2],[0.5,0.3,0.2],[0.2,0.4,0.4]。在攻击初始时刻,攻击水平较低,将相应权值作为初始值,然后依据攻击者在攻击过程中利用网络脆弱性的攻击复杂度来自动增减其攻击水平,从而实现权值的合理分配,具体如式(2):

脆弱性利用的难易程度Difficulty*的计算方法为:

若入侵者成功利用过该脆弱性,则难易程度Difficulty*为1,其他情况的难易程度Difficulty*需要进行计算。本文采用一个能实时反映脆弱性状态的信号因子描述脆弱性状态对攻击意图实现的影响程度。设脆弱性vulni在时间区域 τ 内所处状态Su的信号因子为λ(τ,vulni,Su),其中u =1,2,3,4,5。根据NTC的定义和Difficulty≠0知:NTC(ni-1,ni)≠0,NTC(n0,n1)=1,则信号因子为:

攻击者为了完成攻击意图,必须能够成功利用当前节点u出发到达攻击意图节点v的任一条路径上系统的全部脆弱性。依据脆弱性当前的状态和路径上各个脆弱性的利用概率能够计算出该条攻击路径成功完成攻击的总概率APPI。针对一条完整的攻击路径:pathk=(u,vuln1,…,vulnn,v),v是攻击意图节点,而系统的脆弱性之间利用“与”的关系。因此,通过式(5)可以计算出攻击路径pathk的APPI:

但从初始节点u到达攻击意图节点v的路径不是惟一的,设从初始节点u到达攻击意图节点v的攻击路径共有m条:{pathk,k = 1,2,…,m},具体如式(6)所示:

式中第k条路径pathk的长度为kn。在所有m条攻击路径中,只要攻击者完成任何一条攻击路径,就能够实现其攻击意图。因此,攻击意图的实现概率如式(7)所示:

2.2 基于当前状态的攻击路径预测

如图3 所示,攻击者的当前位置为v5,攻击者已经成功利用的脆弱性节点用深色节点表示,因此节点v2,v5处于状态S4,节点v8处于状态S5,余下节点处于状态S1。由于已经观察到了部分攻击行为,所以包含节点v2,v5的攻击路径{u,v2,v5,v9,v12,v} 的实现概率要比以前(节点v2,v5的状态为S1时)的实现概率高;而系统的响应行为使包含节点v8的攻击路径丧失了实现条件,所以{u,v2,v5,v8,v12,v} 的攻击路径的实现概率为零。

设攻击起点u到达攻击意图节点v的攻击路径共有m条,则在已知攻击者的攻击意图的条件下,利用式(8)可求解各个攻击路径的概率:

式中:Pr(intent)=AIP(intent),Pr(pathk)=APPI(pathk),可分别由式(5)和式(7)求得。应用式(7)可计算出各条路径实现攻击意图的概率,然后按照概率由高到低进行排列,据此针对实现概率高的攻击路径优先制定防护措施。

3 基于攻击意图分析的威胁评估

3.1 资产价值评估

针对确定网络的安全属性要求,资产的重要性和价值可通过其对完整性、机密性、可用性的敏感程度进行评估,由上述安全属性未达成时所造成的影响后果或者其达成程度来决定资产的价值。信息安全标准ISO13335 中利用资产的各安全属性被破坏后的影响后果确定资产的价值[7],具体如式(9)所示:

其中adi(i=1,2,…,n)表示资产对各安全属性的敏感程度。本文从资产的完整性、机密性和可用性三个安全属性出发,因此资产价值的计算公式为:

完整性、机密性和可用性的敏感性等级及划分方法如表1 所示。

将完整性、机密性和可用性的敏感度等级在极高时的值设为1,在不敏感时的值设为0,故AV∈[0,1]。

3.2 威胁评估算法

网络中的关键资产集合记为ENTITY,针对其中某一关键资产entity的攻击意图设为intent,则攻击意图intent对关键资产entity的威胁值为:

式中:AIP(intent)代表攻击意图对关键资产entity的攻击成功概率;AV(entity)代表关键资产entity的价值。

当评估网络中全部关键资产的威胁值时,先将全部关键资产的价值进行归一化处理,使threat(ENTITY)∈[0,1],具体如下:

4 网络攻击意图动态识别系统设计

4.1 系统总体框架

根据上述设计算法,攻击意图动态识别系统由数据源模块、接口模块、数据管理和存储模块以及可视化模块四个模块组成。

数据源模块:数据源模块利用各种安全技术收集网络中的安全相关数据,主要包括攻击事件信息、系统脆弱性信息、网络环境信息、安全防护策略信息等;

接口模块:接口模块将上层系统与数据源模块之间进行有效隔离,同时对数据完成转换和传输;

数据管理和存储模块:系统中包含数据文件和数据库2 个子模块,同时保证了对数据的处理能力和对可视化系统的支持;

可视化模块:系统的输出显示模块,完成原始数据到可视化数据的映射,实现图形颜色分配及图形拓扑算法。

4.2 网络攻击意图动态识别系统的实现

数据源模块、接口模块和数据管理和存储模块功能较为简单,故攻击意图的可视化是系统实现的重点内容,需对可视化模块的实现进行详细设计,本文采用开源可视化工具包prefuse实现可视化模块,具体实现步骤如下:

(1)数据文件的读取。采用SAX2 方式读取可视化数据文件,采用jdom形式读取网络拓扑信息的配置文件;

(2)Data Tables到Visual Abstraction数据的映射,实现将普通数据到可视化数据的映射;

(3)图形绘制。在prefuse.render包中使用NET_labelrenderer类绘制图形的节点,使用NET_edgerenderer类绘制图形的边;

(4)交互实现。通过自定义类ET_Drag Control实现节点的拖动、图形的放大和缩小、图形平移。当类ET_Drag Control接收到相应消息后,通过图形重绘事件实现交互效果。

5 系统实验

搭建的实验网络环境与拓扑结构如图4 所示。

运行实验系统,从2011 年6 月20 日到2011 年7 月10 日共探测到报警3 733 条,将其提炼成17 条攻击行为信息。图5 所示为2011 年6 月20 日05:13:43 时的攻击路径图,包括主机级、安全域级和脆弱性级三个层次。

网络所受的威胁程度随时间的变化如图6 所示。随着攻击行为的深入,攻击者对网络安全的威胁也逐渐加大,威胁值也逐渐变高。

以上测试表明,本文提出的攻击意图动态识别算法及系统在所搭建的测试环境下是有效的。

6 结论

本文给出了网络攻击路径图中的最小顶点割的攻击意图阻止算法和基于时间自动机的攻击意图动态识别算法,并在算法的基础上,设计并实现了网络攻击意图动态识别系统,采用图形化的系统数据输出手段,显著地提高了系统的表达能力,便于用户的理解和使用。本文提出的算法和系统仅在搭建的简单网络环境中进行了实验,要实现算法和模型的实用化,还需后续在更复杂的网络中进行充分测试,以便最终实现系统的工程化应用。

参考文献

[1]张阳,张琛,唐朝京.基于DCA的主动安全防御算法[J].现代电子技术,2015,38(15):53-56.

[2]冷画屏,吴晓锋,余永权.对抗意图识别技术研究现状及其突破途径[J].电光与控制,2008,15(4):54-58.

[3]BLUM A L,FURST M L.Fast planning through planning graph analysis[J].Artificial intelligence,1997,90(1/2):281-300.

[4]FIKES R E,NILSSON N J.STRIPS:a new approach to the application of theorem proving to problem solving[J].Computation intelligence,1995,2(3/4):189-208.

[5]CHARNIAK E,GOLDMAN R.A Bayesian model of plan recognition[J].Artificial intelligence,1993,64(1):53-79.

[6]ALBRECHT D W,ZUKERMAN I,NICHOLSON A E.Bayesian models for keyhole plan recognition in an adventure game[J].User modeling and user adapted interaction,1998,8(1):5-47.

攻击特征与反攻技术篇2

攻击特征与反攻技术

。下面通过对攻击方法的特征分析，来研究如何进行检测与防御。

一、反攻击技术

反攻击技术(入侵检测技术)的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径来获取所有的网络信息，这既是进行攻击的必然途径，也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。

二、攻击的方式

对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式中绝大部分攻击手段已经有相应的解决方法，这些攻击大概可以划分为以下六类：

1.拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。

2.非授权访问尝试：是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。

3.预探测攻击：在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

4.可疑活动：是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。

5.协议解码：协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。

6.系统代理攻击：这种攻击通常是针对单个主机发起的，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。

1三、攻击行为的特征与反攻击技术

入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为，要有效的进反攻击首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析，并提出相应的对策。

1.Land攻击

Land攻击是一种拒绝服务攻击。用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。检测方法：判断网络数据包的源地址和目标地址是否相同。反攻击方法：适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包)，并对这种攻击进行审计(记录事件发生的时间，源主机和目标主机的MAC地址和IP地址)。

2.TCP SYN攻击

TCP SYN攻击是一种拒绝服务攻击。它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包，当被攻击主机接收到大量的SYN数据包时，需要使用大量的缓存来处理这些连接，并将SYN ACK数据包发送回错误的IP地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再处理其它合法的SYN连接，即不能对外提供正常服务。检测方法：检查单位时间内收到的SYN连接否收超过系统设定的值。反攻击方法：当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。

3.Ping Of Death攻击

Ping Of Death攻击是一种拒绝服务攻击，

该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。检测方法：判断数据包的大小是否大于65535个字节。反攻击方法：使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。

4.WinNuke攻击

WinNuke攻击是一种拒绝服务攻击。WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。检测方法：判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。反攻击方法：适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包)，并对这种攻击进行审计(记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC)。

5.Teardrop攻击

Teardrop攻击是一种拒绝服务攻击。Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息)，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。检测方法：对接收到的分片数据包进行分析，计算数据包的片偏移量(Offset)是否有误。反攻击方法：添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。

6.TCP/UDP端口扫描

TCP/UDP端口扫描是一种预探测攻击。对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。统计外界对系统端口的连接请求，特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。反攻击方法：当收到多个TCP/UDP数据包对异常端口的连接请求时，通知防火墙阻断连接请求，并对攻击者的IP地址和MAC地址进行审计。对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法，还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。

1 四、入侵检测系统的几点思考

从性能上讲，入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。从技术上讲，入侵检测系统存在一些亟待解决的问题，主要表现在以下几个方面：

1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中，我们了解到安全问题日渐突出，攻击者的水平在不断地提高，加上日趋成熟多样的攻击工具，以及越来越复杂的攻击手法，使入侵检测系统必须不断跟踪最新的安全技术。

2.网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往假设攻击信息是明文传输的，因此对信息的改变或重新编码就可能骗过入侵检测系统的检测，因此字符串匹配的方法对于加密过的数据包就显得无能为力。

3.网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制，以适应更多的环境的要求。

4.对入侵检测系统的评价还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术，随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断的升级才能保证网络的安全性。

5.采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作，当入侵检测系统发现攻击行为时，过滤掉所有来自攻击者的IP数据包，当一个攻击者假冒大量不同的IP进行模拟攻击时，入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是造成新的拒绝服务访问。

6.对IDS自身的攻击。与其他系统一样，IDS本身也存在安全漏洞，若对IDS攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要求系统应该采取多种安全防护手段。

7.随着网络的带宽的不断增加，如何开发基于高速网络的检测器(事件分析器)仍然存在很多技术上的困难。

后记：入侵检测系统作为网络安全关键性测防系统，具有很多值得进一步深入研究的方面，有待于我们进一步完善，为今后的网络发展提供有效的安全手段。

单片机攻击技术和应对加密技术分析篇3

摘要:随着单片机越来越广泛的应用,单片机应用系统的开发者必然面临系统被仿制或剽窃的问题。为了使更多的单片机系统的原创者能有效地保护自己的开发成果和知识产权,文章分别从软件和硬件两方面对单片机及其应用系统的加密技术进行了阐述和比较,供大家参考。

关键词:单片机系统双芯片互校验加密技术

0 引言

随着单片机和大规模集成电路技术的飞速发展,单片机的应用领域不断拓宽,产品市场不断扩大。人们应用单片机及相关的外围电子器件,研制开发了各种各样的智能化仪器仪表和小型控制系统等自动化高新技术产品,在此类产品开发及推广应用中,碰到的一个令人头疼的问题就是新产品刚一推出就被仿制和剽窃,使单片机应用产品开发商常常蒙受损失,极大地挫伤了开发人员的积极性。加密问题就成为新产品开发中必须考虑的重要问题之— 。

1 单片机攻击技术

1.1 软件攻击该技术通常使用处理器通信接口并利用协议、加密算法或这些算法中的安全漏洞来进行攻击。软件攻击取得成功的一个典型事例是对早期ATMEL AT89C系列单片机的攻击。攻击者利用了该系列单片机擦除操作时序设计上的漏洞,使用自编程序在擦除加密锁定位后,停止下一步擦除片内程序存储器数据的操作,从而使加过密的单片机变成没加密的单片机,然后利用编程器读出片内程序。

1.2 电子探测攻击该技术通常以高时间分辨率来监控处理器在正常操作时所有电源和接口连接的模拟特性,并通过监控它的电磁辐射特性来实施攻击。因为单片机是一个活动的电子器件,它执行不同的指令时,对应的电源功率消耗也相应变化。这样通过使用特殊的电子测量仪器和数学统计方法分析和检测这些变化,即可获取单片机中的特定关键信息。

1.3 过错产生技术该技术使用异常工作条件来使处理器出错,然后提供额外的访问来进行攻击。使用最广泛的过错产生攻击手段包括电压冲击和时钟冲击。低电压和高电压攻击可用来禁止保护电路工作或强制处理器执行错误操作。时钟瞬态跳变也许会复位保护电路而不会破坏受保护信息。电源和时钟瞬态跳变可以在某些处理器中影响单条指令的解码和执行。

1.4 探针技术该技术是直接暴露芯片内部连线,然后观察,操控、干扰单片机以达到攻击目的。为了方便起见,人们将以上四种攻击技术分成两类,一类是侵入型攻击(物理攻击),这类攻击需要破坏封装,然后借助半导体测试设备、显微镜和微定位器,在专门的实验室花上几小时甚至几周时间才能完成。所有的微探针技术都属于侵入型攻击。另外三种方法属于非侵入型攻击,被攻击的单片机不会被物理损坏。在某些场合非侵入型攻击是特别危险的,这是因为非侵入型攻击所需设备通常可以自制和升级,因此非常廉价。

大部分非侵入型攻击需要攻击者具备良好的处理器知识和软件知识。与之相反,侵入型的探针攻击则不需要太多的初始知识,而且通常可用一整套相似的技术对付宽范围的产品。因此,对单片机的攻击往往从侵入型的反向工程开始,积累的经验有助于开发更加廉价和快速的非侵入型攻击技术。

2 单片机系统软件加密

这里的软件加密是指在不改变硬件电路及其资源的情况下只靠程序实现的加密。

2.1 数据加密对于数据,可设计密钥,并采用数据与密钥进行逻辑异或等方法进行加密。还可采用将数据进行模糊处理方法,即掺沙子,并进行真假数据地址的交叉混叠。但这些方法对解密高手来说都没有太大难度。

2.2 程序加密单片机系统的监控程序是剽窃者的主要破解目标之一,因此也就成为保密的重点。可以采用单片机本身的加密位或动态加密法对程序进行加密。

2.2.1 单片机加密锁定位实现程序加密近年推出的大多数单片机内部都有加密锁定位或加密字节,开发者将调试好的程序固化到单片机内部程序存储器的同时将其锁定,这样就无法使用普通的仿真器或编程器读出其程序代码,这就是所谓的拷贝保护和锁定功能。但是许多单片机在此功能的设计上是有漏洞的,如,ATMEL的AT89C系列单片机,拷贝者可想办法(如自编程序)擦除其加密锁定位,且紧接着停止擦除内部程序存储器的下一步操作,然后就可利用仿真器或编程器读出程序代码,而且这种加密方法对有些单片机而言会使得片内程序存储器失去重新编程功能。

2.2.2 虚实地址实现程序加密虚实地址加密是一种动态加密技术,即开发者在编写系统程序时,使程序表面上看到的是虚地址,而其对应的实地址在某个不易破解的芯片中,由CPU运行程序时动态地赋予。

3 单片机系统硬件加密

单片机产品的硬件加密方法有很多种,只要能使其硬件电路核心部分不能或者很难破译,就是有效的硬件加密方法。下面将介绍几种硬件加密的方法。

3.1 总线烧毁法单片机内程序存储器的读写都是通过数据总线特定的I/O口以并行或是以串行方式来传送,如果把单片机数据总线的特定I/O口永久性地破坏,解密者即使擦除了加密位,也无法读出片内程序的正确代码。开发设计人员在设计单片机硬件系统时只要预留出总线的其中一条不用,就可以使用总线烧毁法对单片机加密。

这种加密方法的优点是简单可靠;缺点是占用了单片机资源,不能再使用总线扩展接口芯片和存储器。

使用总线烧毁法需要注意:程序的大小受片内程序存储器容量的限制;单片机被加密后,总线被永久性破坏,片内存储器就不再具有重复编程的特性,只有当确认程序无误后才能加密。

3.2 总线置乱法在单片机的应用领域中,对于采用MCU +EPROM结构的产品,设计时,将MCU 和EPROM之间的数据线和地址线的顺序排乱,然后再将仿真器上调试好的源程序固化到EPROM 前,必须按排乱的数据线和地址线将源程序(明文)—— 转化成EPROM中的目标程序(密文)。这样,剽窃者如果想要破译EPROM 中的程序,必须同时破译硬件路,并将其排乱的数据线和地址线恢复正常,然后根据排乱和正常状态的对应关系,将EPROM 芯片中读出的数据(密文)经反向转换成原始程序(明文)。再考虑程序得反汇编和分析等,其工作量之大可想而知。

3.3 RAM 替代法随机存储器大都是CMOS电路,功耗很低,用电池对其进行掉电保护数据,电流仅几微安。因此一粒锂电池可以保护数据15年之久,利用随机存储器的这一特点,我们可以采取单片微机仿真器对随机存储器进行编程。先将一系列数据写入随机存储器,接上电池,然后将其余的芯片插上,单片微机系统运行后,CPU首先从随机存储器中读出数据,这些数据可以是CPU执行程序的条件判别依据,也可以是CPU将执行的程序。如果数据正确,整个系统正常运行,反之,系统则不能运行。

假若对硬件电路没有剖析清楚,拔下了随机存储器或者取下电池,则随机存储器中的数据就会消失,在无正确的源程序的情况下,根本无法恢复原来的数据。

3.4 用GA1 器件对外EPROM 中的软件进行加密 GAL是一种可电擦写、可重复编程、并能够加密的可编程逻辑器件。GAL器件内部有一加密锁定位,一旦这个位被编程,就使其存取阵列电路中止工作,从而防止再次编程或者检验,此加密位只能够在整体擦除时和阵列一起擦除。由此可见,一旦GAL芯片内的加密位被编程,整个GAL芯片内的已编程的逻辑电路,对用户来说是不透明的,这就起到了对硬件电路的加密作用。单片机系统中的芯片其内部译码电路是不可以改变的,而且它本身没有可以加密的内部阵列。所以只能够将单片机系统中的EPROM 的数据线或者地址线重新定义后新连结,使用户仿真时从EPROM芯片中读出的程序代码变成随机数,从而反汇编时使原程序面目全非,变成不可明读的密码程序,从而达到了对软件加密的目的。

应用GAL器件对外EPROM 中的软件进行加密可采取变位加密法:将原机器码中的位序进行某种交换;逻辑运算加密法:将原机器码进行逻辑运算后获得每一位加密的机器码;地址总线加密法:改变地址总线,使读出代码的顺序发生变化,从而达到加密的目的。将各种加密技术结合起来,可实现复杂的加密技术,使得加密的软件保密性较高,不易破译。

3.5 采用多单片机结构设计一个控制系统或产品可采用两个或多个单片机,控制系统是由CPU控制的,CPU 最终执行的是机器码语言。而这些机器码程序又存放在外部存储器中。我们将原源程序的机器码,按高半字节和低半字节进行分割,分别存放在两片EPROM 中去。当CPU输出地址访问外部程序存贮器时,选用内置程序存储器的单片机EP1、一般单片机EP2同时有效,分别把有效的半字节送到CPU总线上,重新组台恢复了原指令的代码,保证了CPU取指的正确,而盗用取出其中的一片或两片分别进行反汇编时,会因代码混乱而无法进行反汇编,这样达到了加密的目的。

EP1和EP2构成性能稳定的控制系统。把带内置程序存储器的单片机作为主处理,另一单片机完成其他集成电路的功能。这样在编制程序时,把程序的关键部分安排在EPl,其他程序安排在EP2中,或交替地存放程序。这样就增加了程序的反汇编的难度。

4 结束语

对单片机应用系统软硬件而言,要做到绝对保密几乎是不可能的,只能采取合适的加密技术尽量提高解密成本,这是加密的一个基本原则,只要能使一般剽窃者望而却步,就是成功的加密方法。

参考文献:

[1]任克强,刘晖.单片机系统硬件与软件加密技术.电子设计应用.2003年7期.

“网络钓鱼”攻击及防范技术篇4

目前,网络上有一些利用“网络钓鱼”手法,如建立假冒网站或发送含有欺诈信息的电子邮件,盗取网上银行、网上证券或其它电子商务用户的账户和密码,从而窃取用户资金的违法犯罪活动不断增多。

1 什么是“网络钓鱼”

网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,是常见的网络诈骗行为。网络钓鱼大约起源于1996年,黑客起初是利用电子邮件作为诱饵,盗用美国在线的账号和密码,后来鉴于最早的是以电话线作案,所以用黑客们常常用“Ph”来取代“F”,因此创造了“Phishing”一词。“网络钓鱼”本身上是一种独立的攻击手段,更多的只是诈骗方法,就像现实社会中的诈骗一样。

网络钓鱼通过发送大量声称来自于银行或其他知名机构的欺骗性电子邮件和伪造的web站点来进行的诈骗活动,意图引诱访问者提供一些个人信息,如用户名、口令、账号ID或信用卡详细信息等内容,从而获取重要信息的一种攻击方式。

国际反网络钓鱼工作小组APWG于2005年8月完成的《网络钓鱼趋势分析》显示,目前中国的钓鱼网站占全球钓鱼网站的13%,名列全球第二位。同时国内业界和客户的警惕性还很弱,因此这类攻击事件越来越频繁,造成的危害也越来越大。一些组织估计此类攻击造成的损失超过数百亿美元。根据国际反网络欺诈组织发布的统计报告,2004年1月收到176起Phishing事件的报告,而到了12月份则超过了9000起;2004年9月份发现仿冒网站的数目为546个,到了12月份则达到1707个。近日,中国反钓鱼网站联盟发布报告称,他们收到的钓鱼网站投诉前三位的分别为淘宝网、CCTV和腾讯网,占投诉总量的74%以上。

2“网络钓鱼”案例

1)假银联网站盗取用户信息

网络上出现了很多假冒银联的网站,用来盗取用户密码。如网址为“www.cnbank-yl.com”的网站要求用户填写银行卡卡号、密码等信息。网址为“www.nihaoqq.com”的网站则要求用户填写密码后进入。用户输入用户账户和密码后,网站出现“系统正忙,请稍后再试……”等信息,用户还在傻傻等待的时候,用户的账户和密码已被黑客盗取。

2)免费赠送qq币

最近很多网友在打开qq后会出现一条消息:“登陆qq.la**.cn,免费获赠qq币”,登陆该网站后,发现该网站从网页布局到域名,都仿冒腾讯公司的qq网站,让用户误以为是腾讯官方进行的市场促销活动。当用户按照提示填入自己的qq号码后,网站会弹出一个假冒的qq软件信息窗口,让用户误以为自己真获得了腾讯公司赠送的qq币。此类网站一般是通过这种方式来提高自己的点击率,或者盗取用户的qq账户和密码,从而盗取用户的qq币。

3)非法学历查询假网站

网络中出现很多学历查询的非法网站,如:假冒的中国高等教育学生信息网http://hesi-cn.com,假冒的中国高等教育学生信息网http://www.chsic.com,假冒的中国大学生学历信息网http://www.chinesedsx.com,假冒的中国大学生网http://www.chuksi.com等。这些非法网站通过盗用教育部高校学生司、教育部全国高校学生信息咨询与就业指导中心的名义,盗版中国高等教育学生信息网的风格和内容,利用人们对互联网站名称和域名概念不清的情况,来欺骗社会。

4)木马病毒连接假联想主页

不久前,互联网上出现了一则关于“联想集团和腾讯公司联合赠送qq币”的虚假消息,把人们引向一个恶意网站导致用户计算机被植入木马。这个含有木马病毒主页的网址是http://www.1enovo.com,而联想网站的地址是http://www.ienovo.com,两者的区别仅仅只有一个字符:阿拉伯数字“1”和英文字母“i”。这两个字符在电脑屏幕上很难分辨,人们误认为这是联想公司的主页,便毫不犹豫地按下了鼠标左键……在恶意网站被打开时,2秒钟便完成木马病毒种植,然后自动重新链接到真正的联想主页。

3“网络钓鱼”的主要手段

“网络钓鱼”的主要伎俩在于仿冒某些公司的网站或电子邮件,然后对程序代码进行修改,如果使用者信以为真,按照其要求填入个人信息,资料将被传送到诈骗者手中。实际上,不法分子在诈骗过程中,经常采取以上几种手法配合使用,还有的通过手机短信、QQ、MSN进行各种各样的“网络钓鱼”不法活动。

1)利用电子邮件发送虚假信息。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件,以中奖、对帐等内容引诱用户,登陆设计好的网站,然后填入金融账号和密码,或是以核对信息等理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息,继而盗窃用户重要信息甚至资金。

2)利用假冒网上银行、网上证券网站骗取重要信息。诈骗分子建立域名和网页内容都与真正网上银行网站、网上证券交易网站极为相似的网站,如:http://www.1cbc.com(真是网站为http://www.icbc.com)。引诱用户输入网银账号和密码等信息,然后通过真正的网上银行、网上证券系统盗窃资金,或者伪造银行储蓄卡、证券交易卡行窃;还有的利用跨站脚本,在站点的网页中插入恶意代码,屏蔽住一些可以用来辨别网站真假的重要信息,利用cookies窃取用户信息。

3)利用虚假的电子商务进行诈骗。诈骗分子通过建立电子商务网站,或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息,利用低廉的价格引诱用户汇款,当他们收到受害人的购物汇款后就销声匿迹。如最近出现的假冒淘宝网站:http://item

taobao.com.auoino.com/auction/item_detailb.asp?item_db2-a84c1bc7c43d7af50718b78855dd678a.shtml。网站风格和内容与淘宝网(http//www.taobao.com)极为相似,所售商品价格低廉,很多网名图一时之利上当受骗。

4)利用木马和黑客技术等手段窃取用户信息后实施盗窃活动。木马制作者通过发送邮件或在一些安全性差的网站中提交恶意代码,大肆传播木马程序,当感染木马的用户进行网上交易时,木马程序即以键盘记录的方式获取用户账号和密码,并发送给指定邮箱,用户资金将受到严重威胁。

5)利用用户弱口令等漏洞盗取用户帐号和密码。一些不法分子利用部分用户管理不当,贪图方便设置弱口令的漏洞,对银行卡密码进行猜测破解,从而获取用户的重要信息。

4“网络钓鱼”防范技术

针对以上不法分子通常采取的网络欺诈手法,广大用户可采取如下防范措施:

1)对于陌生的电子邮件,轻易不要打开,如果非要看邮件内容,建议用txt方式打开。对于要求重新输入账号信息,否则将停掉账号之类的邮件,不予理睬。不要点击邮件的链接,如果要核实电子邮件的信息,请使用电话,而非鼠标;若想访问某个公司的网站,请使用浏览器直接访问,而不要通过邮件中的链接。

2)尽量不登陆陌生的网站,对于熟悉的网站,也要留意网址。多数合法网站的网址相对较短,通常以.com或者.gov结尾,仿冒网站的地址通常较长,只在其中包括合法企业域名的一部分(甚至根本不包含)。

3)给您的网络浏览器程序安装补丁,使其的补丁保持在最新状态,避免开启来路不明的电子邮件及文件,安装杀毒软件并及时升级病毒库,定期扫描系统。将敏感信息输入隐私保护,打开个人防火墙。

4)使用网络银行时,选择使用网络凭证及约定账户方式进行转账交易,不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。

5)尽量不要再网络上留下可以证明自己身份的重要资料,如身份证号、银行账号等。自己的隐私资料不要通过网络传输,例如银行卡号、身份证、支付宝账户等资料不要通过QQ、MSN、Email等软件发送,因为这些内容极容易被攻击者截获并利用。

6)不要轻易相信通过电子邮件、网络论坛、QQ等发布的中奖信息、促销信息,除非得到官方的证明。正规的有奖活动是不会通过电子邮件来发布中奖消息的,而腾讯也多次警告所有的QQ弹出的中奖消息都是假的,用户不要相信。

7)不要运行可疑软件。

综上所述,网络钓鱼之所以如此猖獗,其主要原因就是利用了人们疏于防范的心理以及“贪小便宜”和“贪图便利”的弱点。网络钓鱼者投下足够的诱饵吸引猎物上钩,或者通过恐吓、诱惑,用户的防线在这些因素的干扰下彻底崩溃而咬住了钩子。而对于网络钓鱼的防范其实是很容易的,只要我们做到细心检查网址、忽视网络中奖消息、谨慎对待电子邮件、自觉杜绝不良网站以及做好安全防护,保护好自己的敏感信息,让网络钓鱼者彻底消失。

参考文献

[1]杨绍兰.信息安全防范的现状分析[J].四川图书馆学报,2003(1).

[2]王文松,吕秀鉴,于丽娜.网络钓鱼及其防范[J].计算机与网络,2006(13).

[3]李磊.网络钓鱼陷阱正向银行袭来[J].金融经济,2006(5).

借助网络解析技术定位DDOS攻击篇5

最近，网络遭遇DDOS攻击的事件时有发生，比如最近的韩国网站遭受的攻击就属于DDOS攻击，后果非常严重，引起了全球网民的高度关注，但是，如何发现并检测到DDOS攻击呢?传统的网络安全类工具并不凑效，在此，笔者简单介绍一下网络遭遇DDOS攻击的症状以及如何借助网络分析技术定位DDOS攻击。

一、什么是DDOS攻击

DDOS(Distributed Denial of Service)，即分布式拒绝服务攻击，这是当今流行的网络攻击方式之一，利用合法的服务请求来占用过多的资源或带宽，从而使服务器不能对正常、合法的用户提供服务。更通俗的说，只要导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。这也就说明拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达到其攻击目的。

DDOS的攻击通过众多的“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致不能提供正常的服务(拒绝服务)。在分布式拒绝服务攻击的实施中，大量攻击主机发送的网络数据包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、、Script. Flood、Proxy Flood等多种方式。下面我们将介绍如何通过网络分析技术手段来检测DDOS攻击。

二、遭遇攻击的症状

DDOS的目的非常明确，表现形式主要有两种，一种主要是针对网络带宽的攻击，即大量攻击包占用网络带宽，导致网络被阻塞，从而无法完成正常、合法响应;另一种则为资源耗尽攻击，主要是针对服务器的攻击，即通过大量攻击包导致服务器的内存或CPU资源被耗尽，从而造成服务器当机或无法提供正常的网络服务。

三、如何检测DDOS攻击

由于对DDOS攻击的防御较为困难，目前没有任何一种产品或方法能够防御DDOS攻击入侵，因此，对于如何检测DDOS攻击就显得至关重要，

本文，我们将介绍通过网络分析的手段来检测DDOS攻击(此处用到的产品为科来网络通讯分析系统技术交流版6.9)。

利用网络分析技术的检测手段，通过对网络通讯数据包进行实时的捕获，能够快速的分析和检测到网络中是否发生了DDOS攻击。如果网络中已经发生了此类攻击，那么，我们借助网络分析技术就可以快速的查找和解决问题。下面我们通过一个实例来讲解用科来网络通讯分析系统查找DDOS攻击的方法。

首先，打开概要统计视图，查看网络中的TCP的连接信息，如图1所示： (图1 概要统计视图)

从上图中我们看到，网络中存在大量的TCP同步数据包(2,249,352个)，而成功建立TCP连接数太少，根据TCP三次握手的原理，我们知道，这是一种不正常的现象，网络肯定存在问题。我们再通过矩阵视图来查看具体的网络通信情况，如图2： (图2 矩阵连接视图)

在矩阵连接视图中，大量的主机同时与125.91.13.124连接通讯，并且向其发送大量的数据包，我们怎样来确定这些数据包的类型呢?为了进一步确定发送了怎样的数据包，我们再查看数据包解码就能够看到，如图3所示： (图3 数据包解码视图)

从上图中我们看到，当前的通讯全是使用了TCP进行通讯，查看TCP的标志，发送所有的数据包均为SYN置1，即TCP同步请求数据包，这些数据包全都向125.91.13.124请求同步，至此我们可以判断125.91.13.124这台主机进行遭受DDOS攻击，而攻击的方式为SYN Flood攻击。

SYN Flood攻击是一种经典和常用的DDOS方法，主要是通过向受害主机发送大量的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，对各种系统的网络服务、网络资源等都会造成巨大的影响。

美国作家:西方完善攻击中国的技术篇6

西方自己都在全世界各地做着践踏人权的事情，又怎么可能关心人权呢？人权问题是西方用来掩盖其对任何致力于与共产主义或社会主义国家进行对抗的组织提供支持的借口。

“支持人权”，往往是西方干涉别国内政甚至将某个国家引入内战的同义词。这已经在尼加拉瓜、古巴和智利等国家“实行”过，现在又被用来制造中国的不稳定。

“支持人权”，在苏联解体的过程中扮演了重要角色，曾破坏了拉美所有的革命或群众运动（古巴除外），也曾为某些最可怕的干涉行动提供了借口，如对越南和老挝人民的屠杀罪行。

中国历来都是一个爱好和平的国家，与亚洲地区的一些西方盟友相比，中国的人权问题要小得多，也不同于西方本身对人权的侵犯。同时，中国希望通过自己善意的行动与和解的态度能够赢得别人的理解。但我们这个世界控制在殖民和后殖民帝国手中，这些帝国有着几百年的征服和镇压经验，善意与和平不会使它们减少冲突。

西方不少民众对中国越来越敌视，这并不是因为他们更加认识或了解了这个国家，而是因为他们被西方持续的“宣传炸弹”征服了。反华已经成为在美国和其他西方国家获得科研贷款或在新闻界向上爬的最佳途径之一。

实际上，全世界没有哪个地方逃得过西方开展的宣传。在非洲，很多人对中国深表感激。在肯尼亚，我就亲耳听到参与中资项目的数百名肯尼亚工作人员表示自己“第一次被外国人当人看”，“从来也不需要跟中国老板谈工资问题，因为他们提供的工资总是比你预想的高出三倍”。但中国在非洲（或大洋洲或世界其他地区）的形象越正面，就越要承受西方媒体的嘲讽和批评。

非洲和其他地区的不少报纸热衷于发表西方的反华文章。因为在这些地区，凡是愿意迎合西方反华媒体论调的记者们能够获得很多酬劳，包括到国外旅行、接受“培训”以及获得奖金或者西方国家的签证。在大洋洲和东南亚同样有这样的现象。这种酬劳诱惑很大。

肯尼亚前议员姆万达维罗·姆格汉加说：对于中国，人们有自己的看法。如果你到肯尼亚国内旅行，你会发现中国人在建造公路、大楼和体育场。这是一些非常好的项目。中国人非常有合作精神。人们看到中国人真正做了什么，并做出自己的评价。但肯尼亚政府也承受了巨大的压力，西方因为我们与中国的密切关系而惩罚我们。

印度尼西亚的苏哈托在1965年美国推动的政变之后，在印尼杀害了两三百万人，正是美国建造了这个集中营。大部分受害者是共产主义者、少数族裔华裔人士、反对派知识分子、无神论者和教师。

抵抗智利独裁的人们，也从来没成为诺贝尔奖的关注对象。皮诺切特的爪牙在西方的命令下奸杀掳掠，西方的机构又怎么会将百万美元的奖金授予那些想要终结这种屠杀的人呢？

西方的媒体只敢嘲讽穆斯林的圣人，却不敢取笑我们西方崇拜的对象！我们西方的媒体允许自己，甚至是被要求取笑中国、俄罗斯或拉美的所有人物和象征，甚至于革命歌曲。而在赞美我们的反共“英雄”时，则不断地为他们铺设红地毯，为他们贴上近乎神圣的标签。

以美国为首的西方把诺贝尔和平奖给了卢旺达的反对派了吗？尽管卢旺达的反对派领导人被谋杀、被关押，有的在总统大选之前就失踪了。也许布莱尔都能获得诺贝尔和平奖，但卢旺达的反对派不会。

“人权”一词，已经被侵略、干涉、军事政变和随之出现的所有谋杀、酷刑和侵犯行为玷污了。如果我们想保留住这个概念，就应该对每个国家，在每种情况下都平等地使用它。那么我们就能清楚地看到谁才是最大的践踏人权者。我们也会看到，什么才是“人权”的真正含义，哪些才是最基本的人权。难道不应该是生命权和自决权吗？如果是这样，那么西方不就是过去和现在最大的践踏人权行为的罪魁祸首吗？

姆万达维罗曾经说过，很多非政府组织、“民间社会”和人权保护组织，常常直接服务于西方在穷国的帝国主义利益。

如果西方真的对人权感兴趣，哪怕只有一点点的兴趣，也应该停止在国外的粗暴侵略和战争，停止在全世界支持那些最可恶的独裁政权，教训那些在全世界直接或间接犯下罪行的西方跨国公司，这些罪行大部分是针对手无寸铁的穷人，甚至更荒谬的是，针对当地那些真正的人权卫士。

西方的权力体系中根本不存在利他主义，要想期待出现这样的情况就太可笑了。西方的权力机器极度野蛮，只为自己的利益服务，已经引发了成百上千场战争和冲突，造成了数亿无辜者丧生。

作为和平大国的中国，对西方的扩张主义来说显然是一种威胁。西方对此感到害怕，这种害怕甚至发展到了歇斯底里的程度。西方已经不知道该怎么做了。西方的决策者们求助于1973年在智利和1965年在印度尼西亚采取的颠覆手段来对付中国；用对付苏联和古巴的方法来挑衅和挤压中国；企图通过宣传手段在国内外诋毁中国；还进行干涉和渗透，甚至进行贿赂；还寻求通过吸引蒙古及其邻国加入其势力范围来孤立中国；甚至企图说服越南对中国采取进攻性的态度。但是都没有奏效。

西方面对的中国是一个拥有五千多年历史、地球上最伟大的文化之一的国家。西方所面对的是以前从未遇到过的人和精神。最重要的是，中国厌恶冲突。中国礼貌地倾听但坚持自己的道路，坚信自己的选择。中国的选择所追求的主要目标是让所有中国人摆脱贫困，并向全世界展示中国是如何在屈服于西方殖民者几个世纪之后重新站起来的。

中国不会再听命于西方的摆布。大部分中国人不会再相信西方人。中国有自己的制度。他们不需要西方人告诉他们该怎么做，什么时候做。

西方的暴怒是可以理解的。西方的武器、宣传和颠覆战术第一次显得如此无效和无能。看来西方没有能力征服或分裂中国。这方面的尝试数不胜数，比如在西方出版的有关中国的书99%是“持不同政见者”写的。但这样仍然不奏效。

中国是很耐心的，出奇地耐心。想象一下，如果中国突然公开支持美国国内一个计划推翻美国政治制度的共产党组织，结果会怎么样？相反的是，在美国和欧洲，有数以百计的人因为有比这要轻得多的言行而入狱。再想象一下，如果中国积极地谋求孤立美国，收买和贿赂加拿大或墨西哥政府，结果又会怎么样；或者中国在距离别国首都不到一个小时航程的地方部署核弹会怎么样？

欧洲人和美国人已经习惯了在世界其他国家做出这种不公正的行为，但如果他们自己成为受害者就会大肆叫嚣。中国似乎意识到了西方这种精神上的病态，即无力抑制自己要控制世界的欲望。但是，必须有个界限。所有破坏中国稳定的企图都将遭遇中国的坚决抵抗，中国在必要时会毫不犹豫地捍卫自己的人民和领土。

数据链路层攻击防范技术研究篇7

由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、病毒、恶意软件和其他不轨的攻击,从而给企业甚至政府机构造成巨大损失。所以,网上信息的安全和保密是一个至关重要的问题。本文针对二层网络上的重要的安全隐患进行了探讨和预防。

OSI网络模型采用的分层的网络模型,如图1,它允许在不同的层次上进行不同的网络活动,而且在每一层所应用的协议及其规范都是不同的,这就使得OSI的网络模型每一层几乎都是一个相对独立的整体,数据在网络中的完整传输过程需要这七层同时协调工作才能够完成,整个数据传输过程也就是一个封装和解封装的过程。

网络模型中处于底部的分层对高层的影响:在OSI网络参考模型中,要实现一个完整的数据通信,是靠每一层相互之间的协作来完成的,并不是通过某一层独立完成的,但是各层的工作都是相互独立的,并不受其它层的影响,处于低层的网络只是向高层的提供服务,某一层出现其他问题其余的分层都不知道。也就是说当网络中的某一层被攻击了,其余的分层并不知道。在网络模型中最容易受到攻击的是处于低层的网络,也就是第二层数据链路层。网络安全尤其是低层的网络安全问题对公司所造成的损失是巨大的。此外,并不是只有少部分的人可以对网络造成威胁。现在有很多的应用攻击软件,其操作难度很低,只要能够对计算机进行基本操作即可使用,这个问题也说明了网络安全问题所面临的形势非常严峻。

本文主要介绍了几种在数据链路层上使用的攻击及其防御技术,通过这些防范措施,可以使数据链路层的安全性得到很大的提升,下面逐一介绍存在于数据链路层上的攻击及其防范措施。

1 主要的攻击方法

1.1 VLAN的跳跃攻击

VLAN的跳跃攻击利用了IEEE802.1Q的封装漏洞,同时在以太网帧中加入了两个TAG字段,第一个TAG字段是虚假的,第二个TAG字段才是真正的目的VLAN,其具体的工作过程如图2。

如图2所示,VLAN的跳跃攻击共分为5个步骤:1)攻击者通过协商并获取Trunk信息;2)攻击者向攻击目标发送双Tag帧;3)交换机A处理第一个虚假的Tag,并将其发往下一跳交换机B;4)接着交换机B处理真正的Tag;5)最终攻击者将攻击包Data发送到希望的目标主机。

1.2 MAC地址攻击

交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。CAM表的大小是固定的,不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满后,流量以泛洪方式发送到所有接口,这时攻击者可以利用各种嗅探攻击获取网络信息。同时,trunk接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。

MAC地址攻击的方式是以MAC地址的泛洪来攻击网络中的交换机,使交换机的MAC地址表来不及存储有效的MAC地址,这样交换机就会把没有存储进去的MAC地址以广播的形式通告出去,这时攻击者就可以轻松的获得这个网络中的所有MAC地址。其攻击主要基于几点:1)二层交换机是基于MAC地址来转发数据帧的;2)转发过程中依靠对CAM表的查询来确定正确的转发接口;3)一旦在查询过程中无法找到相关的MAC对应条目,此数据帧将作为广播帧来处理;4)CAM表的容量有限,只能存储不多的条目,当CAM表记录的MAC地址到达上限后,新的条目将不会被添加到CAM表中。

基于以上原理,网络会产生一个有趣而且危险的现象,假如某台PC不断发送去往某未知目的地的数据帧,而且每个包的源MAC地址都不同,当这样的数据包发送的速度足够快之后,快到在刷新时间内将交换机的CAM表迅速填满,那么CAM表会被这些伪造的MAC地址占据,而真实的MAC地址条目却无法写入CAM表,那么任何一个经过交换机的正常的单播数据帧都会以广播的形式来处理,这时整个网络的MAC地址就有很大的安全威胁。

1.3 生成树攻击

当网络中的某条链路出现中断时可以将要发送的流量进行重新定向,从其他的路径传输。其实现方法是在整个的STP域内使用BPDU包,这个BPDU包可以将STP域内的配置进行更改,最显著的是重新选举生成树的根桥,从而使域中的整个数据从其他路径转发,这样如果发生DOS攻击的话,就会使整个网络陷于瘫痪状态。图3给出了一种生成树攻击的示例。

2 相应的防范措施

2.1 VLAN跳跃攻击的防范

对于VLAN跳跃攻击,我们一般可以使用几个防范步骤:1)对于所有的中继端口使用一个固定的VLAN,这样就可以杜绝攻击者从其他的中继端口实行攻击;2)在网络中将不使用的端口关闭掉并且将其置于一个不用的VLAN中,这样攻击者就不能通过改变网络的拓扑结构来实现攻击;3)不要用VLAN做任何事情,因为VLAN1是默认的管理VLAN,也是承载交换信息的VLAN;4)不要让设备去自己协商中继链路,也就是说关闭设备的动态中继协商(DTP)如果需要的话通过网络管理员手工加入,这样可以精确控制网络中的中继链路;5)明确配置每台设备上的中继端口;6)对于本征VLAN在中继链路上的传输,使用标签给其他所有非本征VLAN。

2.2 MAC地址攻击的防范

对于MAC地址攻击,最有力的防范措施是启用交换机的端口安全,也就是交换机限定特殊的MAC地址接入到端口。启用交换机的端口安全,可以参照说明:

Switch(config)#interface f0/1-----要确保这个接口的模式为access模式

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum2-这个接口允许两个合法的MAC

Switch (config-if)#switchport port-security mac-address?

H.H.H 48 bit mac address---这里手工输入合法的MAC地址

stickyConfigure dynamic secure addresses as sticky-动态学习到的第一个MAC

Switch(config-if)#switchport port-security violation?-定义非法接入的处理方法

protect Security violation protect mode

端口状态正常,但是不合法的数据包到达接口的时候会被drop掉

restrict Security violation restrict mode

类似protect,但是会生成日志文件

shutdown Security violation shutdown mode

接口出现err-disable,有效的关闭接口,需要管理员手工no shutdown

通过以上方法,可以定义交换机的某个端口能够学习到多个MAC地址,同时也可以限定那些MAC地址是允许的,也可以加入一个计时器,使得某个MAC地址的接入时间有最基本的限制,这样就可以最大限度的防止冒充的MAC进行攻击。也可以处理在学习到非法的MAC地址后交换机应采取的那些操作,这样最大限度的确保网络的正常运行。

2.3 生成树攻击的防范

对于生成树攻击,主要的防范措施包括BPDU的防护(BPDU GUARD)和根的防护(ROOT GUARD)。

BPDU防护是一种用来防止入侵者利用虚假BPDU消息来篡改STP域内的根桥的机制,它是事先在不是根桥的交换机上配置BPDU防护,使其不能够接收BPDU消息,一旦配置了BPDU guard的交换机收到BPDU消息,则立即关闭该交换机的端口。如图4所示。

3 结论

本文通过对数据链路层所存在的安全问题做了几点初步的分析,对数据链路层攻击的防范技术做了一些初步的介绍,侧重于研究解决最底层网络也即是传统数据链路层出现的网络安全隐患,这样有助于数据帧高效正确的传输,在最底层保护网络不受侵害,以保障系统正常地运行,或在受到攻击时能够迅速地发现并采取相应的安全措施,使系统的安全损失减少到最小,并在受到攻击后能够迅速地恢复。

参考文献

[1]Yusuf Bhaijiv.LAYER 2 ATTACKS&MITIGATION TECHNIQUES[J/OL].

[2]郭向勇,吴光斌,赵怡滨著.千兆位以太网组网技术.电子工业出版社,2002.12.

[3](美)Todd Lammle,Eric Quinn著,魏巍等译.CCNP:交换学习指南(第二版).电子工业出版社,2003.4.

[4](美)Anthony T.Velte,Toby J.Velte著.杨志姝,冉小旻等译.Cisco实用教程(第3版).清华大学出版社.2005.8.

[5]Justin Menga著.李莉,高雪,周永生译.CCNP实战指南:交换/Cisco职业认证培训系列.人民邮电出版社.2005.

ARP病毒攻击技术分析与防御篇8

ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写, 局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。

每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录 (条目) 的生存时间一般为60秒, 起始时间从被创建时开始算起。在命令提示符下, 输入“arp-a”就可以查看ARP缓存表中的内容;用“arp-d”命令可以删除ARP表中某一行的内容;用“arps”可以手动在ARP表中指定IP地址与MAC地址的对应。默认情况下, ARP从缓存中读取IP-MAC条目, 缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此, 只要网络上有ARP响应包发送到本机, 即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。

ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候, 就会对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在ARP缓存中。因此, B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.10.3 (C的IP地址) , MAC地址是DD-DD-DD-DD-DD-DD (C的MAC地址本来应该是CC-CC-CC-CC-CC-CC, 这里被伪造了) 。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存 (A可不知道被伪造了) 。当攻击源大量向局域网中发送虚假的ARP信息后, 就会造成局域网中的机器ARP缓存的崩溃。

二、ARP病毒现象

1. 网上银行、游戏及QQ账号的频繁丢失

一些人为了获取非法利益, 利用ARP欺骗程序在网内进行非法活动, 此类程序的主要目的在于破解账号登陆时的加密解密算法, 通过截取局域网中的数据包, 然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒, 就可以获得整个局域网中上网用户账号的详细信息并盗取。当局域网内某台主机运行ARP欺骗的木马程序时, 会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网, 切换的时候用户会断一次线。切换到病毒主机上网后, 如果用户已经登陆了游戏服务器, 那么病毒主机就会经常伪造断线的假象, 那么用户就得重新登录游戏服务器, 这样病毒主机就可以盗号了。

2. 局域网内频繁性地区域或整体掉线, 重启计算机或网络设

备后恢复正常

当带有ARP欺骗程序的计算机在网内进行通讯时, 就会导致频繁掉线, 出现此类问题后重启计算机或禁用网卡会暂时解决问题, 但掉线情况还会发生。

3. 网速时快时慢, 极其不稳定, 但单机进行光纤数据测试时一切正常

当局域内的某台计算机被ARP的欺骗程序非法侵入后, 它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包, 阻塞网络通道, 造成网络设备的承载过重, 导致网络的通讯质量不稳定。用户会感觉上网速度越来越慢或时常断线。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。

三、防御方法

1. 使用可防御ARP攻击的三层交换机, 绑定端口MAC-IP, 限

制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分VLAN, 彻底阻止盗用IP、MAC地址, 杜绝ARP的攻击。

2. 查找病毒源, 对病毒源头的机器进行处理, 杀毒或重新安装系统。

解决了ARP攻击的源头PC机的问题, 可以保证内网免受攻击。

3. 对于经常爆发病毒的网络, 进行Internet访问控制, 限制用户对网络的访问。

此类ARP攻击程序一般都是从Internet下载到用户终端, 如果能够加强用户上网的访问控制, 就能极大的减少该问题的发生。

4. 关闭一些不需要的服务, 条件允许的可关闭一些没有必要的共享, 也包括、等管理共享。

完全单机的用户也可直接关闭Server服务。

5. 经常更新杀毒软件 (病毒库) , 设置允许的可设置为每天定时自动更新。

安装并使用网络防火墙软件, 网络防火墙在防病毒过程中也可以起到至关重要的作用, 能有效地阻挡自来网络的攻击和病毒的入侵。

6. 给系统安装补丁程序, 通过Windows Update安装好系统补丁程序 (关键更新、安全更新和Service Pack) 。

摘要：本文详细分析了ARP协议以及实现ARP攻击的原理, 列举了ARP病毒的各种常见现象, 并给出了具体的防御方法。

关键词：ARP协议,ARP病毒,分析,防御

参考文献

[1]周增国:局域网络环境下ARP欺骗攻击及安全防范策略[J].计算机与信息技术, 2006, (11)

[2]陈英马洪涛:局域网内ARP协议攻击及解决办法[J].中国安全科学学报, 2007, (07)

[3]张道军吴银芳袁海峰:校园网络中ARP病毒的综合治理[J].网络安全技术与应用, 2007, (09)

浅析木马程序攻击手段及防范技术篇9

现在随着计算机网络技术的迅速发展, 人们对计算机的依赖程度越来越多, 因此把越来越多的重要资料存放到计算机中, 比如一些重要文档, 金融密码, 证券密码, 游戏资料密码, QQ资料密码等, 因此针对盗取这些重要资料的木马程序应运而生, 这就要求我们加大对木马的研究, 来充分保证我们的隐私安全。对于现今对网络已无比依赖的众多用户来说, 安全始终是高悬在应用上的一把“利剑”。由于木马病毒起源较早且流行性较广, 而且随着查杀病毒工具的进步, 它的变种也越来越厉害, 往往是看起来容易清除, 实则不然。本文专门对木马程序的攻击手段和一些防范措施进行了探讨, 以增加用户对木马程序更深一步的认识。

1 木马的基本概念

1.1 木马的定义

“木马”全称是特洛伊木马 (Trojan Horse) , 原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上, “特洛伊木马”指是一种在远程计算机之间建立起连接, 使远程计算机能够通过网络控制本地计算机的程序, 它的运行遵照TCP/IP协议, 由于它像间谍一样潜入用户的电脑, 为其他人的攻击打开后门, 与战争中的“木马”战术十分相似, 因而得名木马程序。

1.2 木马的工作原理

现在网络上流行的木马基本上都采用的是C/S结构 (客户端/服务端) 。若要使用木马控制对方的电脑, 首先需要在对方的电脑中种植并运行服务端程序, 然后运行本地电脑中的客户端程序对对方电脑进行连接进而控制对方电脑。

因为木马发挥作用必须要求服务器端程序和客户端程序同时存在, 所以必须要求本地机器感染服务器端程序, 服务器端程序是可执行程序, 可以直接传播, 也可以隐含在其他的可执行程序中传播, 但木马本身不具备繁殖性和自动感染的功能。

1.3 木马的特征

隐蔽性:是木马的首要特征。木马必需隐藏在目标计算机系统之中, 它会想尽一切办法不被发现。

自动运行性:当系统启动时即自动运行, 潜入在相关系统启动文件中如win.ini、system.ini以及启动组等。

欺骗性:“特洛伊木马”借助系统中已有文件或常见文件名或扩展名, 仿制一些不易被人区别的文件名, 甚者借用系统文件中已有的文件名, 另行保存或者设置ZIP文件式图标等等实现对机器和管理员的欺骗。

自动恢复性:现在, 很多的木马程序中的功能模块已不再是由单一的文件组成, 而是具有多重备份, 可以相互恢复。

顽固性:木马病毒顽固性就是指有效清除木马病毒的难易程度。若一个木马在检查出来之后, 仍然无法将其一次性有效清除那么该木马病毒就具有较强的顽固性。

1.4 木马的种类

根据木马程序对计算机的具体动作方式, 可以把现在存在的木马程序分为以下几类。

(1) 远程控制型木马

这种木马是现在使用最广泛的木马, 它可以远程访问被攻击者的硬盘。只要有人运行了服务端程序, 客户端通过扫描等手段知道了服务端的I P地址, 就可以实现远程控制。

(2) 密码发送型木马

密码发送型木马是找到所有的隐藏密码, 并且在受害者不知道的情况下把它们发送到指定的信箱。

(3) 破坏型木马

这种木马惟一的功能就是破坏并且删除文件, 它们非常简单, 很容易使用, 能自动删除目标机上的DLL、INI、EXE文件。

(4) 键盘记录型木马

键盘记录型木马是非常简单的, 它们只做一种事情, 就是记录受害者的键盘敲击, 并且在LOG文件里做完整的记录。

(5) 即时通讯型木马

可以利用即时通讯工具 (比如:QQ、MSN) 进行传播。用户中了此类木马后, 电脑会下载病毒攻击作者指向的任意程序, 其危害不可确定还会造成恶作剧。

(6) 网银型木马

网银型木马专门针对网络银行攻击, 采用记录键盘和系统动作的方法盗取网银的账号和密码, 并发送到作者指定的邮件, 直接导致用户的经济损失。

(7) FTP型木马

FTP型木马打开被控制计算机的21端口 (FTP所使用的默认端口) , 使每一个人都可以用一个FTP'客户端程序来不用密码连接到受控制端计算机, 并且可以进行最高权限的上传和下载, 窃取受害者的机密文件。

2 木马常用攻击手段

2.1 修改系统文件

这是最常用的木马自动加载方法。木马病毒通过将自己拷贝到启动组, 或在win.ini, system.ini添加相应的启动信息而在系统启动时自动加载。这种加载方式简单有效, 但隐蔽性差。

2.2 修改系统注册表

修改系统注册表是木马程序最常用的攻击和入侵手段。在注册表中, 我们也可以设置一些启动加载项目, 编制木马程序的高手们当然不会放过这样的机会。因为他们知道注册表中更安全, 更容易使人上当。

2.3 修改文件打开关联

对于一些常用的文件, 我们只要用鼠标双击文件名就能打开这个文件。这是因为在系统注册表中, 已经把这类文件与一个程序关联了起来, 只要用户双击该类文件, 系统就自动启动相关联的程序来打开文件。

2.4 共享硬盘数据

木马程序能使目标计算机上的硬盘共享, 暴露目标计算机的所有资源, 为黑客的攻击提供方便。我们自己选择了某个文件夹, 进行共享之后, 在资源管理器里浏览时, 就会发现该文件夹下放有一个手一样的图标托着。但是木马程序使硬盘共享后, 在资源管理器里就看不出来有共享的“痕迹”, 做得十分隐蔽。

2.5 欺骗法

主要是伪装成有用的软件或者是吸引人的图片, 以吸引用户, 一旦用户点击, 木马的服务端程序就自动加载到用户的计算机中。

2.6 远程关机或重新启动

木马程序有时需要重新启动被控制端计算机, 或者强制关闭远程计算机。当被控制计算机重新启动时, 木马程序再获得控制权。

2.7 键盘与鼠标的控制

在木马程序中, 木马使用者可以通过网络控制被控制端计算机的鼠标和键盘, 以达到模拟鼠标和键盘的功能, 也可以通过这种方式启动或关闭被控制端的应用程序。

2.8 改名法

具体方法是把可执行文件伪装成图片或文本, 在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg, 由于Windows中默认设置是“不显示已知的文件后缀名”, 文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了。

3 防范技术

木马病毒的危害是巨大的。为了保护计算机的安全, 保证自己的信息不被他人窃取, 必须采取一定的措施防止木马病毒的侵入和破坏。

3.1 对可疑进程和可疑文件的处理

在计算机使用过程中, 若发现操作异常, 如网络流量异常或异常程序远程连接等, 须手动排查相关进程。对于不确定的可疑进程采取先关闭, 搜集程序相关信息再做出相应的处理。如果确定了该程序的非法性, 应及时删除该程序以及相关非法文件。若出现系统自带工具无法正常使用的情况, 可搜索相关替代工具使用。

3.2 不要随意打开来历不明的邮件

现在许多“木马”都是通过邮件来传播的。所以当你收到来历不明的邮件时, 请不要打开应直接删除。同时, 我们还应该加强邮件监控系统, 拒收垃圾邮件。对于邮件附件要先用防病毒软件和专业清除木马的工具进行扫描后再使用。

3.3 经常升级系统及时修补漏洞和关闭可疑的端口

一般木马都是通过漏洞在系统上打开端口留下后门, 以便上传木马文件和执行代码。用户在使用计算机时应及时更新系统漏洞修补程序以防“木马”病毒入侵。在把漏洞修补上的同时, 也要及时对端口进行检查, 把可疑的端口关闭。

3.4 关闭不必要的服务

Windows操作系统提供很多系统服务以方便管理, 但开启太多服务给自己带来便的同时也给入侵者打开了方便之门, 所以用户可以根据需要在服务管理器中进行设置, 在允许的情况下使用“最少的权限+最少的服务=最大的安全”。

3.5 使用安全工具软件保护系统安全

在做好操作系统本身的安全防护工作基础之上, 还应该借助安全工具软件来保护系统安全运行。对于绝大多数个人用户来说, 安装防病毒软件和网络防火墙是一项比较适当的选择。

3.6 运行实时监控程序及时更新病毒库

用户在上网时最好运行反木马实时监控程序和个人防火墙, 并定时对系统进行病毒检查, 同时启动病毒库实时升级程序及时更新病毒库。

4 结束语

随着信息技术的发展, “特洛伊木马”的变种也在日新月异, 对系统造成的危害也在进一步加大, 需要防患于未然。为了避免计算机感染上木马程序, 造成难以估量的损失, 保障安全, 最好的办法全面了解木马的攻击原理和防范策略是非常有必要的, 同时还要注意, 不在一些不知道的网站上下载软件, 不要随便运行别人给的软件, 访问安全网站, 对不信任的Active X控件不做连接尝试, 并升级杀毒软件, 使用正确的软件查杀, 并定期进行手动检测, 相信“特洛伊木马”必将无所遁形, 用户信息的安全必将得到维护, 系统的稳定性也必将得到保证。

摘要：木马程序作为一种计算机网络病毒, 它对网络环境中计算机信息资源所构成的危害远大于其他病毒。本文介绍了木马程序的概念、特征、分类、攻击原理、常用攻击手段以及防范技术。提出要维护用户信息和网络安全就必须重视“特洛伊木马”的危害从而加强防护。

关键词：木马程序,攻击手段,网络安全,防范技术

参考文献

[1]康治平.特洛伊木马可生存性研究及攻防实践[D].重庆大学.2006.

[2]张颖卓.特洛伊木马分析与防范[J].现代计算机 (下半月版) .2007.

[3]孟蕾.特洛伊木马隐蔽性研究[J].电脑学习.2007.

[4]黄良斌.浅谈木马程序开发技术[J].南通航运职业技术学院学报.2005.

[5]喻华明.基于木马程序防范技术的探讨[J].光盘技术.2008.

SQL注入攻击及其防范技术研究篇10

目前, 国内大多数的网站都采用了Web动态网页结合后台数据库技术架设而成。网页先从用户的请求中得到某些参数, 然后动态地生成SQL语句请求发送给数据库, 再把从数据库中得到的结果返回给网页, 从而完成网页执行的功能。

然而, 在许多Web网站系统开发过程中, 由于程序员编写的代码没有对用户输入数据的合法性进行判断, 造成应用程序存在安全隐患。恶意攻击者可以利用用户可提交或可修改的数据, 构造出特殊目的SQL语句, 并将其插入到系统实际执行的SQL语句中, 从而获取数据库中的重要信息, 并能对数据库进行修改、添加和删除, 甚至控制整个网站服务器。这就是SQL Injection, 即SQL注入式攻击。

1 SQL注入攻击实现原理

1.1 SQL注入攻击实现原理

SQL注入攻击主要是通过构建特殊的输入, 这些输入往往是SQL语法中的一些组合, 这些输入将作为参数传入Web应用程序, 通过执行SQL语句而执行入侵者的想要的操作, 下面以典型的SQL注入攻击“登录验证模块”为例, 说明SQL注入攻击的实现方法。

在Web应用程序的登录验证程序中, 一般有用户名和密码两个参数, 程序会通过用户所提交输入的用户名和密码来执行授权操作。其原理是通过查找users表中的用户名和密码的结果来进行授权访问, 典型的SQL查询语句为:Select*from users where username='admin'and password=’111’

如果分别给username和password赋值“admin’or 1=1--”和“111”。那么, SQL脚本解释器中的上述语句就会变为:select*from users where username=’admin’or 1=1--and password=’111’。该语句中由于1=1在逻辑判断上是恒成立的, 能返回查询正确结果, 从而实现登录功能。SQL注入攻击原理如图1。

同理通过在输入参数中构建SQL语法还可以删除数据库中的表, 查询、插入和更新数据库中的数据等危险操作。SQL注入语句如表1。

1.2 SQL注入攻击特点

SQL注入是从正常的Web端口进行访问, 表面上看跟一般的Web页面访问没有什么区别, 它可以绕过普通防火墙的防范, 因此一旦网络应用程序有注入漏洞, 攻击者就可以直接访问数据库进而甚至能够获得数据库所在的服务器的访问权。SQL注入攻击具有以下特点:

(1) 广泛性。SQL注入攻击利用的是SQL语法, 因此只要是利用SQL语法的Web应用程序, 未对输入的SQL语句做严格的处理都会存在SQL注入漏洞, 目前以Active/Java Server Pages、PHP、Perl等技术与SQL Server、Oracle、DB2、Sybase等数据库相结合的Web应用程序均发现存在SQL注入漏洞。

(2) 技术难度不高。SQL注入技术公布后, 网络上先后出现了多款SQL注入工具, 例如教主的HDSI、NBSI等, 利用这些工具软件可以轻易地对存在SQL注入的网站或者Web应用程序实施攻击, 并最终获取其计算机的控制权。

(3) 危害性大。在不经授权的情况下操作数据库中的数据、恶意篡改网页的内容、篡改管理员权限、网页挂马。

1.3 SQL注入攻击实现过程

SQL注入攻击可以手工进行, 也可以通过SQL注入攻击辅助软件如HDSI、NBSI等, 其实现过程可以归纳为以下几个阶段:

(1) 寻找SQL注入点;寻找SQL注入点的经典查找方法是在有参数传入的地方添加诸如“or 1=1”、“’”等一些特殊字符, 通过浏览器所返回的错误信息来判断是否存在SQL注入, 如果返回错误, 则表明程序未对输入的数据进行处理, 绝大部分情况下都能进行注入。

(2) 获取和验证SQL注入点;找到SQL注入点以后, 需要进行SQL注入点的判断, 常常采用表1中的语句来进行验证。

(3) 获取信息;获取信息是SQL注入中一个关键的部分, SQL注入中首先需要判断存在注入点的数据库是否支持多句查询、子查询、数据库用户账号、数据库用户权限。

(4) 实施直接控制;以SQL Server 2000为例, 如果实施注入攻击的数据库是SQL Server 2000, 且数据库用户为sa, 则可以直接添加管理员账号、开放3389远程终端服务、生成文件等命令。

(5) 间接进行控制。间接控制主要是指通过SQL注入点不能执行DOS等命令, 只能进行数据字段内容的猜测。在Web应用程序中, 为了方便用户的维护, 一般都提供了后台管理功能, 其后台管理验证用户和口令都会保存在数据库中, 通过猜测可以获取这些内容, 如果获取的是明文的口令, 则可以通过后台中的上传等功能上传网页木马实施控制, 如果口令是明文的, 则可以通过暴力破解其密码。图2为SQL注入攻击实现过程。

2 SQL注入攻击检测方法与防范

通过上面的分析, 我们了解了SQL注入攻击危害、攻击原理和攻击步骤。为了防范SQL注入攻击, 提高网站的安全, 我们采用了对SQL注入攻击检测和其防范的方法。

2.1 SQL注入攻击检测方法

SQL注入攻击检测分为入侵前的检测和入侵后的检测, 入侵前的检测, 可以通过手工方式, 也可以使用SQL注入工具软件。检测的目的是为预防SQL注入攻击, 而对于SQL注入攻击后的检测, 主要是针对日志的检测, SQL注入攻击成功后, 会在IIS日志和数据库中留下“痕迹”。

(1) 数据库检查

使用HDSI、NBSI等SQL注入攻击软件工具进行SQL注入攻击后, 都会在数据库中生成一些临时表。通过查看数据库中最近新建的表的结构和内容, 可以判断是否曾经发生过SQL注入攻击。

(2) IIS日志检查

在Web服务器中如果启用了日志记录, 则IIS日志会记录访问者的IP地址, 访问文件等信息, SQL注入攻击往往会大量访问某一个页面文件 (存在SQL注入点的动态网页) , 日志文件会急剧增加, 通过查看日志文件的大小以及日志文件中的内容, 也可以判断是否发生过SQL注入攻击。

(3) 其它相关信息判断

SQL注入攻击成功后, 入侵者往往会添加用户、开放3389远程终端服务以及安装木马后门等, 可以通过查看系统管理员账号、远程终端服务器开启情况、系统最近日期产生的一些文件等信息来判断是否发生过入侵。

2.2 SQL注入攻击防范方法

为了防止SQL注入造成数据泄露, 可以采用相应的措施来加强W E B应用程序安全。

(1) 使用参数化的过滤性语句

防御SQL注入, 要求用户的输入的数据不能直接被嵌入到SQL语句中。对用户输入的数据必须进行过滤, 或者使用参数化的语句。参数化的语句使用参数而不是将用户输入数据直接嵌入到语句中, 用户输入是被限于一个参数, 这种方法意味着嵌入用户输入的SQL语句在运行时将被拒绝。下面是一个使用Java和JDBC API例子:

(2) 屏蔽出错信息

避免出现一些详细的错误消息。黑客们可以利用数据库报错的消息, 获取数据库信息。要使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、规则等。

(3) 使用专业的漏洞扫描工具

攻击者经常使用自动搜索工具, 攻击有漏洞的目标网站并实施攻击。漏洞扫描程序专门查找网站上的SQL注入式漏洞, 最新的漏洞扫描程序可以查找最新发现的漏洞。安装、配置Web服务器时需要采用一些专业的漏洞扫描工具, 如Acunetix的Web漏洞扫描程序。Acunetix Web Vulnerability Scanner是以模拟黑客攻击的方法来检测用户的Web应用安全, 主动找出Web应用的漏洞。