网络攻击技术与防范技术的初探

信息技术

甘肃科技纵横网络攻击技术与防范技术的初探

马小燕

（兰州科技情报研究所，甘肃兰州730030）

摘

经济与文化带来了巨大的推动和冲击。而在实际应用中，网络安全一要：网络技术的发展已经给整个社会的科学技术、

直面临着巨大的挑战。随着Internet的不断发展，信息技术已成为促进经济发展、社会进步的巨大推动力，当今社会高度的计算机化信息资源对任何人都变得极有价值，不管是存储在工作站中、服务器里还是流通于Intemet上的信息都已转变成为一个关系事业成败的关键策略点，这就使得信息的安全性变得格外重要。然而，由于Intemet是一个面向大众的开放系统，对于信息的保密和系统的安全考虑得并不完备，网络与信息安全问题随着网络技术的不断更新而愈发严重。网络规模迅猛增长和计算机系统El益复杂，导致新的安全问题层出不穷。传统的安全防护手段如防火墙、入侵检测、安全漏洞探测、虚拟专用网等在同网络黑客进行斗争的过程中发挥了巨大的作用，但是在层出不穷的网络攻击技术面前这些传统的安全防御手段显得有些力不从心。

关键词：网络攻击；网络探测；隐藏踪迹

1网络攻击的基本步骤

网络攻击分为四步：窥探设施，查点，攻击系统，扫

技术，网络端口扫描技术等。2.1口令破解技术

口令机制是资源访问控制的第l道屏障。1988年“蠕虫事件”，以破解用户的弱口令为突破小莫里斯的

口，致使攻击成功。计算机硬件和软件技术的发展，使口令攻击更为有效。首先，CPU的速度有了很大的提高，再加上网络的普及和分段攻击算法的发展，使攻击者有了千倍于l0年前的计算能力进行口令攻击。其次，用户仍然喜欢选择容易记忆的口令，大约20％～30％的口令可通过对字典或常用字符表进行搜索或简单的置换发现，因此这些口令属于弱口令。还有，可读的加密口令文使口令攻击更为有效。

攻击者要进行口令攻击通常需要具备如下条件：）高性能计算机；（1

（2）大容量的在线字典或其他字符列表；（3）已知的加密算法；）可读的口令文件；（4

（5）口令以较高的概率包含于攻击字典中。2.2网络嗅探技术

网络嗅探器（NetworkSniffer）是一种黑客工具，用于窃听流经网络接口的信息，从而获取用户会话信息：如商业秘密、认证信息（用户名、口令等）。一般的计算机系统通常只接收目的地址指向自己的网络包。其他的包被忽略。但在很多情况下，一台计算机的网络接口可能收到目的地址并非指向自身的网络包。在完全的广播子网中，所有涉及局域网中任何一台主机的网络通信内容均可被局域网中所有的主机接收到，这就使得网络窃听变得十分容易。目前的网络嗅探器大部分是基于以太网

31

尾工作。

第一步是窥探设施。攻击者首先利用一些网络工作，来确定被攻击系统在网络上的设置和结构，发现目标系统的外围安全设备类型并确定侵入点，通过外围安全设备的薄弱环节，进入网络的正常服务，如通过电子邮件系统和主页等进入网络。

第二是查点。侵入者一旦获得进入网络的权利，便会在外围设备中为自己寻找一个安全的、不易被发现的落脚点．通常侵入者会选择一个能够获得root权限的主机作为落脚点。落脚点确定后，外部入侵者就变成了系统内部一员。

第三是系统攻击。落脚后，入侵者就在系统内部寻找可盗窃的数据和可破坏的目标，主要包括偷窃软件访问机密文件、破坏数据、硬源代码和感兴趣的数据、

件及为再次入侵安置“特洛伊木马”等。

第四是扫尾工作。攻击和破坏得手后，入侵者会安以防被发现。典型的作法是删装后门及清除入侵痕迹。除或替换系统的日志文件。

2攻击系统中常用的攻击技术

网络攻击技术是一系列技术的综合运用，攻击者

必须掌握各种关键攻击技术，理解各种攻击技术应用的局限性和限制条件；反之，防御者也需要了解攻击技术的内涵，才能制定有针对性的防范策略。

常见的网络攻击技术有口令破解技术，网络嗅探

甘肃科技纵横信息技术

2010年（第40卷）第6期

的，其原因在于以太网广泛地应用于局域网。

技术上讲，进行网络嗅探主要有2个问题：

（1）如何使用网络接口（网卡）接收目的地址并不指向自己的网络包。以太网接口提供了“杂模式”（ProsmiscuousMode），在该模式下，主机的网络接口接收所有经过网络介质的数据，包括那些目的地址并不指向该主机的网络包。

（2）如何从数据链路层获取这些包。不同的系统提供了不同的数据链路存取方法，通过检测一些特殊设备或文件的存在，可以识别出该计算机操作系统所支持的捕获网络数据包的方式。2.3网络端口扫描技术2.3.1全TCP连接

全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接。

连接由系统调用connect（）开始。对于每一个监听端口，connect（）会获得成功，否则返回－1，表示端口不可访问。由于通常情况下，这不需要什么特权，所以几乎所有的用户（包括多用户环境下）都可以通过connect来实现这个技术。

这种扫描方法很容易检测出来（在日志文件中会有大量密集的连接和错误记录）。Courtney,Gabriel和TCPWrapper监测程序通常用来进行监测。另外，TCPWrapper可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。2.3.2TCPSYN扫描

在这种技术中，扫描主机向目标主机的选择端口发送SYN数据段。

如果应答是RST，那么说明端口是关闭的，按照设定就探听其它端口；如果应答中包含SYN和ACK，说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息，传送一个RST给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。SYN扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。2.3.3秘密扫描技术

由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而必SYN扫描隐蔽得多。另外，FIN数据包能够通过只监测SYN包的包过滤器。

秘密扫描技术使用FIN数据包来探听端口。当一

32

个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST数据包。

否则，当一个FIN数据包到达一个打开的端口，数据包只是简单的丢掉（不返回RST）。

Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤。

秘密扫描通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送reset信号的操作系统（包括CISCO，BSDI，HP/UX，MVS和IRIX）。在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都发送RST。跟SYN扫描类似，秘密扫描也需要自己构造IP包。2.3.4间接扫描

间接扫描的思想是利用第三方的IP

（欺骗主机）来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息，所以必须监控欺骗主机的IP行为，从而获得原始扫描的结果。间接扫描的工作过程如下：

假定参与扫描过程的主机为扫描机，隐藏机，目标机。扫描机和目标记的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能发送任何数据包（除了与扫描有关的包）。

3网络安全的防范技术

网络的攻击与防范是一对矛盾，攻击技术的发展

促进了防范技术的发展。3.1防火墙技术

防火墙的作用可以说是“一夫当关，万夫莫开”，它是计算机硬件与软件的组合，常被放在内网与外网之间，起到隔离的作用，使得互联网上的危险不能漫延到内部网络当中。

但是它不能防范内部的攻击。防火墙技术是目前最有效的最成熟的网络安全技术，防火墙产品目前约有三千多种，目前防火墙产品一般都具有防止拒绝服务攻击的功能。3.2反病毒技术

反病毒技术主要包括杀毒技术及防毒技术。俗话说，治病不如防病，同样地，计算机病毒的预防也是非常重要的。由于计算机病毒层出不穷，安装反病毒软件后也不能保证计算机不中病毒，关键是要经常更新病毒库，及时安装补丁。3.3入侵检测技术

入侵检测技术目前是网络安全的核（下转14页）

甘肃科技纵横论坛

工作文档等内容的管理；

2010年（第40卷）第6期

随着计算机及互联网的快速发展，各类科技信息来源渠道越来越广泛，科技信息的载体形式越来越多样化，传播速度越来越快，更新速度也越来越快。所以，科技信息研究机构应该采用先进的管理技术，配备先进的硬件设备，及时吸取先进的技术，不断改革创新，使科技信息管理工作跟上信息时代的发展速度。必须依靠现代化、智能化的管理才能进行科技信息的收集、分类、整理、研究分析、加工、发布与传递等一系列管理工作。

3.5做好科技信息保密和知识产权保护工作

科技信息的管理人员和研究人员要具备良好的职业道德，学习相应的法律法规，处理好科技信息管理利用与知识产权、科技成果保护之间的关系，要根据国家和国际上相应的法规和标准，制定有效的规范和标准，专利技术、技术诀通过法律和技术手段，对知识产权、科技文献进行保护，使科研活动和科技信息研究活窍、

动合法有序地进行，提高科技信息服务质量。

因此，“数字科技”的建设实施有以下具体措施：）采用成熟和先进的计算机技术设计和管理科（1

技信息，目前最为常用的是.net+mircosoftserver/oracle技术；

（2）防患于未然，在硬件和软件上双管齐下，增强“数字和升级网络防火墙和计算机杀毒软件技术，确保网络系统安全正常的运行；科技”

（3）完善和增强科技信息管理的各项功能，建立和健全专家数据库、文献数据库等数据库，建立科技信科技档案、科技文献、科技期刊杂志等管理系统，加息、

强科技信息搜集、整理、上传、分析的能力；满足科技系统日常办公的需要，提供对用户待办事宜、一般事宜、

）加强科技项目管理的功能，完善科技项目申报（4

的功能，提供对科技项目申请、可行性报告、项目立项、合同大纲评审、合同经费拨付、中间成果评审、项目验收等内容的管理。对涉及到的科研项目、科研成果、技术文献、科技论文、专利技术进行整理、分析，建立相应的数据库，建立需求项目信息管理、新技术发布信息管成果登记信息管理及咨询专家信息管理等系统，提理、

供对科技成果鉴定、科技成果登记、科技报奖推荐等内促进企业发展。容的管理。推介技术成果及企业产品，

（5）开展科技情报工作，做好科技项目的调研工作。创建技术、成果转移平台。就集成科技成果转化的各个环节服务功能，以科技成果转化服务为核心，为高等院校、科研院所，各类科技型企业和科技创业人员提供投融资服务、科技创业服务。

（6）开展科技查询统计管理系统的建设，提供对科技项目、科技成果及评奖、技术标准等内容的查询统计功能，根据用户需求提供多种报表格式，方便用户日常查询统计工作。

（7）加强和完善对其它行业的支持，尤其对“数字工业”、“数字农业”的支持。

参考文献：

［1］邓学来.浅谈省级科技信息研究所的科技信息管理工作

.科技情报开发与经济,2006,14（92-93）.［J］

［2］刘斌，田真.论科技信息资源的管理与开发［J］.技术与创新

管理,2005,26（1）:36-38.

［3］史丽萍，薛茁芳，等.科技信息在科研管理过程中的作用［J］.

水产学杂志,2002（2）.

［4］孙淑君.论科技信息管理工作［J］.河北煤炭,1999（2）:30-32.

：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：：（上接32页）心技术之一，它的主要作用是发现网络当

等协议也都使用了加密技术，为电子商务的安全保驾数据备份技护航。网络防范技术还包括身份认证技术，术、VPN技术等。

由于计算机网络的特点，一个完全可靠的网络系统是不存在的，使用加密技术，防火墙技术，入侵检测技术等可以建立一个高效、稳定的网络。网络攻击技术不断在发展，网络的防范技术也需要不断更新和提高。

参考文献：

中的正在发生的入侵行为，实时报警。入侵检测常需要用到专家系统技术，人工智能技术等。是一项高智能的技术，因此，目前成熟的产品不多。3.4加密技术

在网络当中，信息的保密性是非常重要的。利用加密技术可以确定信息在Internet上传输的保密和安全。密码学技术源远流长，相关理论和技术都很成熟，因此在网络安全特别是电子商务安全中的应用十分广泛。加密技术可以分为对称加密和非对称加密。非对称加密是1973年以后才出现的，它的出现也使得电子证书等技术得到实现，也使得加密技术在网络安全中是不可缺少的。目前Internet中广泛使用的SSL，SET，PGP

14

［1］陈明.网络安全教程［M］.北京：清华大学出版社，2004．［2］李光文，计算机网络安全［M］.武汉：湖北人民出版社，2003．［3］徐超汉，柯宗贵.计算机网络安全实用技术［M］.北京：电子

工业出版社，2005．