《网络攻击与防御技术》课程设计教学大纲-盘古文库

《网络攻击与防御技术》课程设计教学大纲

资料大全

来源：漫步者

作者：开心麻花

2025-09-23

《网络攻击与防御技术》课程设计教学大纲（精选11篇）

《网络攻击与防御技术》课程设计教学大纲第1篇

天津理工大学

《网络攻击与防御技术课程设计》教学大纲

课程代码： 0680156

课程名称（中文/英文）：网络攻击与防御技术课程设计（Practice Design of Network Attack and Defense）

学时：第六学期二周学分：2 课程类别：专业实践开设专业：信息安全

一、目的与性质

随着 Internet 的迅猛发展，网络与信息安全问题日益突出。病毒肆虐、网络犯罪、黑客攻击等现象时有发生，严重危及我们正常工作。据国际权威机构统计，全球每年因网络安全问题带来的损失高达数百亿美元。

网络攻击与防御技术是当今网络教学过程的重要组成部分，是学生对所学专业建立感性认识、巩固所学理论知识、培养专业技能和实际工作能力的重要环节。通过课程的学习，可加强防范对信息资源的非法访问和抵御黑客的袭击，提高抗威胁能力，最大限度的减少或避免因信息泄露、破坏等安全问题所造成的经济损失及对其形象的影响。使同学了解本专业实际的知识，培养学生理论联系实际及初步的独立工作能力，为今后从事信息安全相关工作打下基础。

二、主要内容与要求

本课程从原理与应用两个角度掌握网络攻击与防御技术，通过实践使学生进一步理解网络攻击与防御的基本理论、方法、技术和基本知识，以及软件开发的过程和步骤，并且初步具有中小型软件项目的需求分析、设计、编码、测试和维护的能力。

1．将学生分为3人一组，由1位组长和2位组员组成，共同确定系统目标。

2．小组成员共同对软件进行需求分析、总体设计和详细设计，完成规定的软件文档，并实现一个相对完整的可运行的系统原型。内容：

1.利用网络攻击与防御技术进行入侵攻防演练（包括DOS-DDOS攻击）； 2.设计一个snort入侵检测系统； 3.设计一个LIDS入侵检测系统； 4.设计一个IDS跟防火墙的联动系统。

其中课题1为必做内容，课题2、3、4任选其一。要求：

1．对于课程设计1 学生可以在网上寻找最新并且熟悉的网络攻防工具软件进行操练，掌握攻击与防御的原理和使用方法，采用多种方式进行验证，并记录相关过程及数据。

2．对于课程设计2、3、4 根据所学知识与兴趣，任选其一完成系统设计，要求具备系统的基本功能并能正确运行。

3．课程设计结束后，要求提交课程设计报告，其中包括：设计题目、设计要求、设计思想、程序清单、运行结果和分析。

三、方式、程序及时间安排

1．在课程设计初期，首先将学生分为3人一组，由1位组长和2位组员组成，共同确定系统目标，书写开题报告。

2．小组成员经过分工合作，在规定的时间内，以小组为单位提交课程设计报告书和可运行的系统原型。

3．鼓励学生学习和参考已有的成熟软件和开发技术，但不能完全抄袭。

四、考核与成绩评定

要求学生在规定的时间内完成课程设计内容并上交报告书。指导教师根据学生的完成情况以及报告的书写情况给学生评定成绩。成绩评定的参考标准为：

1．90 — 100分：按期出色地完成了规定的任务；课程设计报告完整；程序运行正常；回答问题正确；小组合作良好。

2．80 — 89分：按期较好地完成了规定的任务；课程设计报告较完整；程序运行正常；回答问题正确；小组合作良好。

3．70 — 79分：基本完成规定的任务；课程设计报告包含主要部分；程序运行正常，有小错误；回答问题正确；小组合作良好。

4．60 — 69分：能够完成规定的基本任务；有课程设计报告，质量较差，不完整；程序运行较正常，存在错误；回答问题基本正确；小组合作基本可以。

5．60分以下：没有完成规定的基本任务；没有课程设计报告或内容极少；程序无法运行；无法回答问题；小组合作极差。

实习成绩=答辩40%+实习报告60%

五、其它

1、对教师的要求

（1）指导教师应具备较丰富的实际工作经验、责任心强、对突发事件有较强的应变能力。

（2）提前准备好实验条件，并事先测试工具和程序的可用性。（3）准备并实施实习答辩，评定学生实习成绩。

2、对学生的要求

（1）网络攻防课程设计实习是教学过程的重要实践性教学环节，不允许免修；不及格者，按照学生学籍管理规定处理。

（2）实验中对一些不正常现象，应及时向老师请教。（3）参加实习答辩。修订单位：计算机科学与工程系修订日期： 2006.7.26 制定人：郑刚审核人：批准人：

《网络攻击与防御技术》课程设计教学大纲第2篇

中毒机器在局域网中发送假的APR应答包进行APR欺骗, 造成其他客户机无法获得网关和其他客户机的网卡真实MAC地址,导致无法上网和正常的局域网通信.

Part2. 病毒原理分析:

病毒的组件

本文研究的病毒样本有三个组件构成:

%windows%SYSTEM32LOADHW.EXE(108,386 bytes) ….. ”病毒组件释放者”

%windows%System32driverspf.sys(119,808 bytes) ….. ”发ARP欺骗包的驱动程序”

%windows%System32msitinit.dll (39,952 bytes)…”命令驱动程序发ARP欺骗包的控制者”

病毒运作基理:

1.LOADHW.EXE 执行时会释放两个组件npf.sys 和msitinit.dll .

LOADHW.EXE释放组件后即终止运行.

注意: 病毒假冒成winPcap的驱动程序,并提供winPcap的功能. 客户若原先装有winPcap,

《网络攻击与防御技术》课程设计教学大纲第3篇

1 网络钓鱼概念及分类

网络钓鱼是一种常见的互联网攻击方式, 以垃圾邮件、即时聊天工具以及手机短信等为依托, 传递各种诈骗信息, 诱导用户登陆诈骗网站获得用户真实信息的一种诈骗行为。网络钓鱼攻击具体可以划分为以下三种类型:第一, 欺骗攻击。通过发送电子邮件、手机短信等方式, 诱导用户登录钓鱼网站, 从而获得用户的机密信息;第二, 恶意程序攻击。网络具有较强的公开性, 部分用户受利益驱使恶意损坏其他用户键盘记录程序和截屏程序获得用户的机密信息;第三, 基于域名攻击。这种方式以改变用户的机主名为主, 误导用户登陆钓鱼网站, 从而获取用户的机密信息。

2 网络钓鱼产生的原因

2.1 制作成本低, 无法追踪犯罪事实

钓鱼网站制作成本非常低, 具有较高的经济利益, 即使是新开发的钓鱼网站在发布信息的过程中也不会产生较大经济投入, 一旦有用户相信钓鱼网站上各类虚假信息或者是用户被骗上当钓鱼网站即可获得庞大的经济效益。钓鱼者诱使用户提交真实身份信息后, 通过用户身份登录到真实网站即可获得经济利益, 该过程无迹可寻, 很难追究钓鱼者的责任, 导致现代网络社会钓鱼猖獗。

2.2 静态、单向用户名/口令认证体制

通常情况下, 用户向网站提交真实身份信息后, 很难得到准确的认证网络服务器的真实身份, 当用户上当受骗后, 基本无从查证。静态、单向用户名以及口令认证体制都是现代网络社会钓鱼猖獗的诱发因素。

2.3 网站身份容易被窃取

用户在网络操作过程中很难保证自身真实身份不被窃取。钓鱼者能通过多种渠道下载源文件, 通过修改整治后, 受害者很难找回真实信息, 几乎不可能正确区分钓鱼网站和真实网站之间的差别, 钓鱼技术非常简单实际效益也非常高, 导致现代网络社会钓鱼猖獗。

3 网络钓鱼攻击的防御技术

3.1 XSS型网络的钓鱼攻击防御技术

3.1.1 防御方法

XSS钓鱼攻击会严重威胁用户信息安全, 该攻击形式以反射型XSS漏洞和具有保存性质的XSS漏洞将具有严重危害的脚本信息上传到互联网上, 或者把有危害性的脚本发送到用户个人网站。XSS漏洞的形式和种类非常多, 在同一网站中搜寻漏洞信息很难满足用户信息安全保护的需求。目前, 一些钓鱼者为避开过滤器, 通常对URL编码JavaScript编码以及HTML编码进行处理, XSS型钓鱼攻击防御流程图如图1所示。

3.1.2 防御方法测试

该测试以一个样本为主, 利用XSS构造的钓鱼网站为依据, 当用户提交身份信息后, 系统会自动向服务器HTTP发送请求, 系统在收到服务器HTTP请求后, 通过截取系统服务器请求参数, 截获的参数已经经过程序处理, 系统会对其进行自动解码。当用户点击URL后, 系统会自动转向另一个手机用户信息的页面, 系统再一次截取服务HTTP上的信息, 在判断信息是否可疑后, 提出相关字符。系统将截取的字符与用户的真实信息进行核实, 获得公共字符串, 再利用iframe完成标签程序, 确定XSS钓鱼攻击, 既可以检测到系统中钓鱼网站的钓鱼攻击。

3.2 利用木马进行网络钓鱼攻击的防御技术

利用木马进行网络钓鱼攻击是防御钓鱼网站攻击的重要防御技术。利用木马进行钓鱼攻击是指钓鱼者将网站泄露的信息在正常网站中进行处理, 通过网页挂马的形式, 在用户访问该网站后, 木马会立即自动获得用户的真实信息, 导致用户操守钓鱼攻击。

3.2.1 用户层键盘记录及其防御方法分析

用户层键盘记录的方法非常多, 在实际应用过程中发挥着至关重要的作用。系统在自动调用函数后, 可以直接或间接获得键盘信息, 系统获得的函数由user32.dll提供, 函数信息均来源于系统的动态链接库。用户层键盘记录及其防御方法具体如下介绍:先获得用户层键盘记录地址后, 结合函数系统找到对应的地址, 利用现有的地址替换原有的函数地址, 当应用程序显示存在上述的函数地址后, 用户可以在内核中调用反键盘, 调反键盘的主要目的是记录程序中生成的函数, 这个过程中产生的函数为hook函数, 将该函数与PID号相结合, 判断是否存在具有欺诈性的键盘记录。用户反键盘记录流程如下介绍:

获取信息地址----挂钩用于键盘记录的函数----有应用程序调用键盘几楼函数----系统自身调用, 判断是否需要返回原函数或者通知用户存在键盘异常----获取用户响应----允许执行, 判断是否需要返回原函数执行----返回执行错误。

3.2.2 内核层键盘记录及其防御方法分析

通过分析发现, 系统中存在的HOOT函数可以自动获取键盘记录。内核层防御反键盘记录的流程如下图2所示。

4 网络钓鱼攻击的整理防御框架设计

上文中提到的XSS型网络的钓鱼攻击防御技术和利用木马进行网络钓鱼攻击的防御技术均以新型的网络钓鱼攻击为防御对象, 这两种方法不适合传统攻击方法的防御。为了弥补不足, 笔者结合多年工作经验, 结合网络钓鱼攻击防御技术建立了一个行之有效的防御框架。该框架实际设计非常复杂, 在传统钓鱼网站攻击防御的基础上, 结合现代新型钓鱼攻击防御技术, 采用人机交互模块全面提高系统的防御能力。

基于网络钓鱼攻击的整理防御框架检测过程如下:以多线方程为依据, 任意打开某一网站, 判断该网址是否在黑名单数据库中出现, 当该网站出现在黑名单数据系统中后即可启动人机互动模式, 否则, 当出现可检测异常事故时, 系统将很难完成用户实际需求。地址分析模块的主要作用是对用户地址的真实性进行分析, 系统会自动判断各种欺骗技术, 如果人机互动模块提醒用户关闭网页, 证明该网站存在钓鱼危害。当系统没有检测到钓鱼攻击时, 系统会自动将该页面提交给系统检测模块。系统通过判断表单之间的交互情况, 当表单存在交互时, 系统会自动开启反键盘记录模块, 为用户信息安全提供保障。

5 结束语

综上所述, 网络钓鱼攻击为用户身份信息安全带来了巨大威胁, 信息技术领域在提高网络钓鱼攻击防御技术的前提下, 应该了解网络钓鱼概念及分类, 明确现代网络社会网络钓鱼猖獗的原因, 如制作成本低, 无法追踪犯罪事实、静态、单向用户名/口令认证体制以及网站身份容易被窃取等。针对具体原因采取有效措施, 强化各项网络钓鱼攻击防御技术, 结合各种攻击防御技术建立网络系统防御框架, 在提高用户信息安全性的同时, 为促进我国信息行业的发展提供技术保障。

参考文献

浅析网络攻击与防御技术第4篇

关键词：网络安全；网络攻击与防御；监听扫描

一、网络安全概述

网络安全是指网络系统中的数据受到保护，不受恶意的或者偶然的原因而遭到破坏、更改、泄露，以及系统中的软件、硬件连续、可靠正常地运行。随着计算机网络的飞速发展，网络中的安全问题也日趋突出。网络容易遭受到恶意攻击，例如数据被窃取，服务器不能正常的工作等等。针对这些攻击，人们采用了一些防御手段，不断的增强系统本身的安全性，同时还采用了一些辅助设备，比如网络系统和防火墙。防火墙一般作为网关使用，在检测攻击的同时，还能阻断攻击，网络一般作为并行设备使用，不具有阻断攻击的能力，它检测到攻击后，发出警报通知管理员，由管理员进行处理。不同的攻击，有不同的防御方法，我们在对攻击的有一定的了解后，制定相应的防御策略，才能保证网络安全。

二、攻击方法分类

网络入侵的来源一般来说有两种，一种是内部网络的攻击，另一种是外网的入侵。

攻击行为可分为：单用户单终端，单用户多终端，多用户多终端3大类。

（1）端口扫描攻击：网络端口监听就是一种时刻监視网络的状态、计算机数据流程以及在网络中传输的信息的管理工具.当计算机网络的接口处于监听模式的状态时，其可以快速的截取在网络中传输的数据信息，以此来取得目标主机的超级管理用户的权限。另外还在系统扫描的过程中，可以扫描到系统中那个端口是开放的，对应开放的端口提供的是什么服务，在捕获的服务中的操作信息是什么，此后攻击者就能利用它获取到的操作系统信息对目标主机进行网络入侵。

（2）缓冲区溢出攻击：缓冲区溢出攻击就是利用缓冲区溢出漏洞来进行攻击，在某种程度上可以说是一种非常危险的漏洞，在各种操作系统、应用软件中存在比较多。其原理在于程序获得了过量的数据，系统并没有对接收到的数据及时检测。结果使系统的堆栈遭到严重的损坏，从而使计算机被攻击者操控或者是造成机器瘫痪，使其不能正常工作。如果黑客进行远程攻击时，就必须使用系统服务中出现的溢出漏洞。在各个不相同的系统中，它产生的服务的攻击代码也各不相同。常用到的攻击检测的方法就是使用字符串匹配。出现缓冲区溢出的攻击还有一方面在于，现在大多是的应用程序都是由C语言构成的.在C、C++语言的语法中，对其数组下标的访问一般不做越界检查，因此导致缓冲区溢出的现象。

（3）拒绝服务攻击：拒绝服务攻击就是攻击者想办法让目标主机无法访问资源或提供服务，是黑客常用的攻击手段。这些资源包括磁盘硬盘空间、线程、内存等。拒绝服务攻击是指对计网络带宽进行消耗攻击。带宽攻击这一话题也并不陌生它是指用大量的通信数据量来攻击网络带宽。从而使网络带宽中的的大部分资源都被消耗完了，以至于主机不能正常的处理合法用户进行的请求。攻击者产生拒绝服务攻击，从而导致服务器的缓冲区溢出，无法接收新的请求，同时攻击者还可以采用IP地址欺骗的方式，使合法用户的请求被攻击者窃取，无法正常达到信息请求的目的地，严重影响用户请求的连接。

（4）病毒攻击：提到病毒攻击，最为直观的就是木马攻击。木马对电脑系统的破坏很强大，一般来说它具有通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，多采用多种手段来隐藏木马，这样，即使是发现感染了木马，由于不能确定木马的正确位置，也无法清除。木马的服务端一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，而这对于服务端的用户是非常危险的。一旦计算机被植入木马，攻击者就能窃取密码，更该系统配置，发送错误信息，终止进程，修改注册表等。攻击者就可以远程实现像操纵自己的计算机一样来操纵被植入木马的计算机。木马入侵的方式主要有错误的服务信息，电子邮件，捆绑在游戏中等。

三、网络防御策略

（1）防火墙技术。防火墙是设置在内部网络与外部网络之间的一个隔离层，能够有效的防止未知的或者是潜在的入侵者。内部网络安全的实现主要是通过监测进入内网的数据信息或者直接限制其信息流入内网。从而实现外网无法获得内网的网络构成、数据流转和信息传递等情况，以此达到实现保护内部网络安全的目的。防火墙是不同网络间信息传递的重要关口，它能够有效的控制外网和内网的数据流交换，而且它本身具有较强的抗攻击能力。从某种程度上说，防火墙是实现了分离和限制的作用，可以监控内部网和外部网之间信息交换活动，来达到保护内部网络安全的目的。

（2）入侵检测。入侵检测系统（IDS）就是对现在的系统或正在使用的网络资源进行实时监测，以能够及时发现网络中的入侵者。入侵检测技术一般来说分为，非正常检测和常规检测。非正常检测就是通过检测系统中是否存在异常行为以此来达到检测目的，它能快速的地检测出网络中未知的网络入侵者，漏报率非常低，但是由于在检测中无法确地定义正常的操作特征，所以引发信息的误报率高。常规检测方法。这种检测方法最大的缺点是它自身依赖于函数特征库，只能检测出已存在的入侵者，不能检测未知的入侵攻击，从而引发漏报率较高，但误报率较低。

（3）建立安全管理。它是指通过一些的组织机构、制定制度，把含有信息安全功能的设备和使用此信息的人融合在一起，以确保整个系统达到预先制定的信息安全程度，以此能够达到保证信息的保密性、完整性和实用性的目的。安全管理主要包括安全管理策略和技术两个方面的内容。要想安全管理实现就必须在规章制度制定、安全体系中充分考虑技术方面，只有制度和技术的有效结合才能真正发挥作用，并取得预期的效果。

（4）多层次的安全系统建立。计算机网络安全系统可划分为不同级别的安全制度。其主要包括：对系统实现结构的分级，对传输数据的安全程度的分级（绝密、机密、秘密、公开）；对计算机网络安全程度的进行分级，对用户操作权限的分级等。针对网络中不同级别的安全对象.从而提供不同的安全算法和安全体制.用以以满足现代计算机网络中不同层次的实际需求.

四、网络安全技术的前景

随着网络的迅速发展，网络的攻击方法已由最初的零散知识发展为一门完整系统的科学。与此相反的是，成为一名攻击者越来越容易，需要掌握的技术越来越少，网络上随手可得的攻击实例视频和黑客工具，使得任何人都可以轻易地发动攻击。因此我们的防御技术显得尤为重要，从攻击趋势分析中发现，目前网络安全防范的主要难点在于：攻击的“快速性”—漏洞的发现到攻击出现间隔的时间很短；安全威胁的“复合性”—包括多种攻击手段的复合和传播途径的复合性。这一切均是传统防御技术难以对付的，因此人们需要更加先进，更全面化的主动防御技术和产品，才能在攻击面前泰然自若。（作者单位：河南师范大学软件学院）

参考文献：

[1]高飞，申普兵.网络安全主动防御技术.计算机安全.2009.1：38-40.

[2]王秀和，杨明.计算机网络安全技术浅析.中国教育技术装备.2007.5.49-53

[3]周军.计算机网络攻击与防御浅析.电脑知识与技术.2007.3：1563-1606

[4]赵鹏，李之棠.网络攻击防御的研究分析.计算机安全.2003.4：35-38

[5]张玉清.网络攻击与防御技术.清华大学出版社.2012

《网络攻击与防御技术》课程设计教学大纲第5篇

受到网络攻击的新闻数不胜数。会入侵商业网站盗取信用卡信息，入侵国防领域网站偷取最高机密的军事计划。最近发生的拒绝服务（DoS）攻击能让普通用户无法访问网站。遍布企业网络的防火墙和入侵防御系统每天都记录了大量的攻击活动。

为了防止被攻击，有两个重要的防御方法可以使用：基于签名和基于异常网络行为分析（NBA）。

基于签名的入侵防御和侦查

基于签名的系统是对抗曾经被发现过的攻击的一个极为有效的的方法。它们能够快速安装和马上使用。这些系统会检查所有到达的数据包并将它的内容与一系列已知的攻击机制进行比对。将合法的活动当成攻击的错误判断会很少发生。它生成的报表很容易理解，因为每一个事件都标明了探测到的攻击类型。

虽然基于签名的系统对抗已知的攻击类型很有效，但是它们不能探测新出现的攻击。也明白任何新的攻击类型会很快被探测到，并且入侵防御供应商很快就会有应对方法。因此，他们会在发现新的攻击方法时马上攻击大量的网站。

因此，基于签名的系统必须保持更新。供应商会收集和监控来自全世界的攻击报告。他们也会收集来自安装在客户的产品的数据。当其中一个客户受到攻击时，供应商会马上派人分析，然后开发出一个保护方法，并将更新分发给所有其他客户。虽然供应通常能够探测新的攻击方法并快速以给出防御方法，但是第一批受到攻击的已经受到了攻击破坏。

基于异常的入侵探测系统

基于异常的探测系统会探测与预期行为不相符的网络活动，

系统会根据相应的产品匹配正常的活动模式。例如，应用正常时会一次只访问一条数据记录。如果入侵防御系统探测到有人在同时访问大量的记录，这很可能就是一个攻击。类似地，如果一个有权限访问一些受保护记录的用户试图访问其它类型的信息，那么该用户的工作机很可能已经感染病毒了。

跟基于签名的系统不同，新的攻击也会被探测到，因为这些攻击不匹配已经被基于异常的入侵检测系统识别的模式。所以只要发生了与正常行为不同的事件就会被探测到。基于异常的入侵防御系统的缺点它必须经过详细配置后才能识别活动预期的模式。配置必须在添加新的应用或现有应用修改后进行更新。如果合法的活动没有以平常模式运行，那么就可能发生错误判断。

配置IPS防御复杂攻击

对于攻击元素分布在多条命令的情况，如基于Web攻击的HTTP消息，会同时给基于签名和基于异常的系统带来难度。对于基于签名的系统，签名可以分布在一系列的命令中而使攻击模板匹配不到任何数据包。基于异常的系统可能无法探测同时针对多个主机发起的攻击。发送到每一个主机的序列可能都是合法的，但它们可能会让每台主机上的应用进行交互而进行破坏活动。

更麻烦的是，并不是所有数据包都从一个相同的点或网关进入网络的。虽然企业网络通常都会不止一个的连接到Internet的网关上配置入侵防御系统，防御所有的网关仍然是不够的。

病毒可能不是通过网关渗入网络的。员工可能会将笔记本电脑带回到他们保护措施比较弱的家庭网络中使用。当他们把感染病毒电脑重新连接到企业内部网络时，病毒就可以不经过Internet网关而进入企业网络。无线网络是另一个容易受到攻击的点，它们在实现一个入侵防御系统是不能被忽略的一部分。通过无线LAN（WLAN）的外部破坏同样也是绕过网关的。

入侵防御系统也必须安装在网络的关键点上（像连接网关到应用运行或连接数据库服务器的交换机）来探测这些攻击。系统必须能够互相交换信息，并评估来自路由器等的报告和主机日志，从而根据一连串数据包来检测出攻击。

《网络攻击与防御技术》课程设计教学大纲第6篇

一、DDoS攻击的工作原理

1.1 DDoS的定义

DDos的前身 DoS (DenialofService)攻击，其含义是拒绝服务攻击，这种攻击行为使网站服务器充斥大量的要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷而停止提供正常的网络服务。而DDoS分布式拒绝服务，则主要利用 Internet上现有机器及系统的漏洞，攻占大量联网主机，使其成为攻击者的代理。当被控制的机器达到一定数量后，攻击者通过发送指令操纵这些攻击机同时向目标主机或网络发起DoS攻击，大量消耗其网络带和系统资源，导致该网络或系统瘫痪或停止提供正常的网络服务。由于DDos的分布式特征，它具有了比Dos远为强大的攻击力和破坏性。

1.2 DDoS的攻击原理

如图1所示，一个比较完善的DDos攻击体系分成四大部分，分别是攻击者( attacker也可以称为master)、控制傀儡机( handler)、攻击傀儡机( demon，又可称agent)和受害着( victim)。第2和第3部分，分别用做控制和实际发起攻击。第2部分的控制机只发布令而不参与实际的攻击，第3部分攻击傀儡机上发出DDoS的实际攻击包。对第2和第3部分计算机，攻击者有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自攻击者的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦攻击者连接到它们进行控制，并发出指令的时候，攻击愧儡机就成为攻击者去发起攻击了。

之所以采用这样的结构，一个重要目的是隔离网络联系，保护攻击者，使其不会在攻击进行时受到监控系统的跟踪。同时也能够更好地协调进攻，因为攻击执行器的数目太多，同时由一个系统来发布命令会造成控制系统的网络阻塞，影响攻击的突然性和协同性。而且，流量的突然增大也容易暴露攻击者的位置和意图。整个过程可分为：

1)扫描大量主机以寻找可入侵主机目标;

2)有安全漏洞的主机并获取控制权;

3)入侵主机中安装攻击程序;

4)用己入侵主机继续进行扫描和入侵。

当受控制的攻击代理机达到攻击者满意的数量时，攻击者就可以通过攻击主控机随时发出击指令。由于攻击主控机的位置非常灵活，而且发布命令的时间很短，所以非常隐蔽以定位。一旦攻击的命令传送到攻击操纵机，主控机就可以关闭或脱离网络，以逃避追踪要着，攻击操纵机将命令发布到各个攻击代理机。在攻击代理机接到攻击命令后，就开始向目标主机发出大量的服务请求数据包。这些数据包经过伪装，使被攻击者无法识别它的来源面且，这些包所请求的服务往往要消耗较大的系统资源，如CP或网络带宽。如果数百台甚至上千台攻击代理机同时攻击一个目标，就会导致目标主机网络和系统资源的耗尽，从而停止服务。有时，甚至会导致系统崩溃。

另外，这样还可以阻塞目标网络的防火墙和路由器等网络设备，进一步加重网络拥塞状况。于是，目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样，系统管理员就难于区分恶意请求和正连接请求，从而无法有效分离出攻击数据包

二、DDoS攻击识别

DDoS ( Denial of Service，分布式拒绝服务) 攻击的主要目的是让指定目标无注提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击方式之一。

2.1 DDoS表现形式

DDoS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击，主要是针对服务器主机的政击，即通过大量攻击包导致主机的内存被耗尽或CPU内核及应用程序占完而造成无法提供网络服务。

2.2 攻击识别

流量攻击识别主要有以下2种方法：

1) Ping测试：若发现Ping超时或丢包严重，则可能遭受攻击，若发现相同交换机上的服务器也无法访问，基本可以确定为流量攻击。测试前提是受害主机到服务器间的ICMP协议没有被路由器和防火墙等设备屏蔽;

2) Telnet测试：其显著特征是远程终端连接服务器失败，相对流量攻击，资源耗尽攻击易判断，若网站访问突然非常缓慢或无法访问，但可Ping通，则很可能遭受攻击，若在服务器上用Netstat-na命令观察到大量 SYN_RECEIVED、TIME_WAIT， FIN_ WAIT_1等状态，而EASTBLISHED很少，可判定为资源耗尽攻击，特征是受害主机Ping不通或丢包严重而Ping相同交换机上的服务器正常，则原因是攻击导致系统内核或应用程序CPU利用率达100%无法回应Ping命令，但因仍有带宽，可ping通相同交换机上主机。

三、DDoS攻击方式

DDoS攻击方式及其变种繁多，就其攻击方式面言，有三种最为流行的DDoS攻击方式。

3.1 SYN/ACK Flood攻击

这种攻击方法是经典有效的DDoS攻击方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源P和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伤造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持，少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用 Netstat-na命令会观察到存在大量的 SYN RECEIVED状态，大量的这种攻击会导致Ping失败，TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。

攻击流程如图2所示，正常TCP连接为3次握手，系统B向系统A发送完 SYN/ACK分组后，停在 SYN RECV状态，等待系统A返回ACK分组;此时系统B已经为准备建立该连接分配了资源，若攻击者系统A，使用伪造源IP，系统B始终处于“半连接”等待状态，直至超时将该连接从连接队列中清除;因定时器设置及连接队列满等原因，系统A在很短时间内，只要持续高速发送伪造源IP的连接请求至系统B，便可成功攻击系统B，而系统B己不能相应其他正常连接请求。

3.2 TCP全连接攻击

这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤 TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序(如：IIS、Apache等Web服务器)能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽面被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此此种DDOs攻击方容易被追踪。

3.3 TCP刷 Script脚本攻击

这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用 MSSQL Server、My SQL Server、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过 Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Poxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些代理会暴露DDOS攻击者的IP地址。

四、DDoS的防护策略

DDoS的防护是个系统工程，想仅仅依靠某种系统或产品防住DDoS是不现实的，可以肯定的说，完全杜绝DDoS目前是不可能的，但通过适当的措施抵御大多数的DDoS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDoS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。

4.1 采用高性能的网络设备

抗DDoS攻击首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

4.2 尽量避免NAT的使用

无论是路由器还是硬件防护墙设备都要尽量避免采用网络地址转换NAT的使用，除了必须使用NAT，因为采用此技术会较大降低网络通信能力，原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间。

4.3 充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅有10M带宽，无论采取何种措施都很难对抗现在的 SYNFlood攻击，当前至少要选择100M的共享带宽,1000M的带宽会更好，但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M。

4.4 升级主机服务器硬件

在有网络带宽保证的前提下，尽量提升硬件配置，要有效对抗每秒10万个SYN攻击包，服务器的配置至少应该为：P4 2.4G/DDR512M/SCSI-HD，起关键作用的主要是CPU和内存，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，要保障硬件性能高并且稳定，否则会付出高昂的性能代价。

4.5 把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦，到现在为止还没有出现关于HTML的溢出的情况，新浪、搜狐、网易等门户网站主要都是静态页面。

此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问我们网站的80%属于恶意行为。

总结

WMI的攻击与防御方法第7篇

WMI是“Microsoft Windows 管理规范”的简称，需要“Windows Management Instrumentation”服务支持，而这个服务是默认启动的，这就为入侵提供了很大的方便。只要知道了管理员的用户名和密码，而且本机的135端口已开启，就可以在被入侵的机器上执行任意命令，取得控制权。而大多数用户在安装系统时都把系统自带的管理员账户Administrator密码留空，这无疑给了可乘之机，即使是很初级的“无聊 ”也可以轻而易举地使用利用WMI漏洞的工具来实现入侵。

WMI入侵

1.Remoxec

Remoxec是最早出现的利用WMI原理编写的程序，功能简单，但已具有执行任意命令的功能。

在软件界面中输入目标主机的域名或IP地址及具有管理员权限的用户名密码，再输入要执行的命令，就可以入侵了。比如要新建一个用户名名为“simuz”，密码为“123456”的用户，只要输入“net user simuz 123456 /add”即可，命令执行成功后会弹出一个成功的提示对话框。利用命令可以做很多事，比如提升用户为管理员，上传文件等，可以这么说，只要在Shell中可以做到的事，在Remoxec中同样可以做到。

小知识：Shell是一个命令解释器，类似于DOS下的command.com，

它用来接收用户命令，然后调用相应的应用程序。

2.Recton

与Remoxec相比，Recton的功能就强多了，它内置了开启3389端口、开启Telnet等功能，只要输入主机的管理员用户名和密码，选择相应的命令并执行即可。在开启了对方的远程终端服务后，就可以像操作自己的电脑一样操作主机了。

WMI入侵的防范

从上文我们可以得知，利用WMI服务进行入侵需要两个必要条件，即系统的135端口和Windows Management Instrumentation服务要同时开启，所以我们可以对症下药，不用任何工具就能切断利用WMI入侵这条途径。

方法一:利用WMI入侵首先需要得到目标主机的管理员用户名和密码，而粗心的用户往往会将系统默认的Administrator账户密码留空，因此就给了可乘之机。我们可以为该账户设置一个“强悍”的密码，这样就很难破译管理员密码，利用WMI入侵的几率就很小了。

计算机网络攻击与防御技术第8篇

关键词：黑客,网络安全,攻击防御

1 计算机网络安全简介

计算机网络安全是指利用网络管理控制和技术措施, 保证在一个网络环境里, 数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面, 即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护, 免于破坏、丢失等。逻辑安安全包括信息的完整性、保密性和可用性。

计算机网络安全不仅包括组网的硬件、管理控制网络的软件, 也包括共享的资源, 快捷的网络服务, 所以定义网络安全应考虑涵盖计算机网络所涉及的全部内容。参照ISO给出的计算机安全定义, 认为计算机网络安全是指:“保护计算机网络系统中的硬件, 软件和数据资源, 不因偶然或恶意的原因遭到破坏、更改、泄露, 使网络系统连续可靠性地正常运行, 网络服务正常有序。”

2 网络安全现状与隐患

网络安全问题已成为信息时代人类共同面临的挑战, 国内的网络安全问题也日益突出。

据统计, 目前全球平均每20秒就会发生一起Internet主机被入侵的事件, 美国75%~85%的网站抵挡不住黑客攻击, 约有75%的企业网上信息失窃, 其中5%的企业损失在5万美元以上。而通过网络传播的病毒无论在其传播速度、传播范围和破坏性方面都比单机病毒更令人色变。目前全球已发现病毒5万余种, 并仍以每天10余种的速度增长。有资料显示, 病毒所造成的损失占网络经济损失的76%。

在各领域的计算机犯罪和网络侵权方面, 无论是数量、手段, 还是性质、规模, 已经到了令人咋舌的地步。2003年, CSI/FBI调查所接触的524个组织中, 有56%遇到电脑安全事件, 其中38%遇到1~5起、16%以上遇到11起以上。因与互联网连接而成为频繁攻击点的组织连续3年不断增加;遭受拒绝服务攻击 (Do S) 则从2000年的27%上升到2003年的42%。调查显示, 521个接受调查的组织中96%有网站, 其中30%提供电子商务服务, 这些网站在2003年1年中有20%发现未经许可入侵或误用网站现象。更令人不安的是, 有33%的组织说他们不知道自己的网站是否受到损害。据统计, 全球平均每20s就发生1次网上入侵事件, 黑客一旦找到系统的薄弱环节, 所有用户均会遭殃。

3 潜在威胁

计算机网络不安全因素主要表现在以下几个方面:

计算机网络的脆弱性:互联网是对全世界都开放的网络, 任何单位或个人都可以在网上方便地传输和获取各种信息, 互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。

互联网的不安全性主要有以下几项:

⑴网络的开放性。网络的技术是全开放的, 使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击, 或是来自对网络通信协议的攻击, 以及对计算机软件、硬件的漏洞实施攻击。

⑵网络的自由性。大多数的网络对用户的使用没有技术上的约束, 用户可以自由的上网, 发布和获取各类信息。

所以, 在网络中存在着很多不可预知的因素, 互联网是对全世界开放的网络, 安全就成了一个大问题, 为了保护信息的安全, 就必须加强网络安全性的建设。

4 网络攻击与防御技术

黑客攻击和网络安全的是紧密结合在一起的, 研究网络安全不研究黑客攻击技术简直是纸上谈兵, 研究攻击技术不研究网络安全就是闭门造车。某种意义上说没有攻击就没有安全, 系统管理员可以利用常见的攻击手段对系统进行检测, 并对相关的漏洞采取措施。

网络攻击有善意也有恶意的, 善意的攻击可以帮助系统管理员检查系统漏洞, 恶意的攻击可以包括:为了私人恩怨而攻击、商业或个人目的获得秘密资料、民族仇恨、利用对方的系统资源满足自己的需求、寻求刺激、给别人帮忙以及一些无目的攻击。因此, 我们每一个人都有可能面临着安全威胁, 都有必要对网络安全有所了解, 并能够处理一些安全方面的问题。

5 结束语

未来的战争是信息战争, 而网络战是信息战的重要组成部分。网络对抗, 实际上是人与人的对抗, 它具体体现在安全策略与攻击策略的交锋上。为了不断增强信息系统的安全防御能力, 必须充分理解系统内核及网络协议的实现, 真正做到洞察对方网络系统的“细枝末节”, 同时应该熟知针对各种攻击手段的预防措施, 只有这样才能做到“知己知彼, 百战百胜”。

参考文献

[1]穆勇, 李培信.人民邮电出版社.《防御!网络攻击内幕剖析》.

[2]冯前进.中国政法大学出版社.《计算机网络攻击与防范》.

[3]石志国.清华大学出版社、北京交通大学出版社.《计算机网络安全教程》.

[4]冯元, 兰少华, 杨余旺.科学出版社.《计算机网络安全基础》.

[5]蒋建春, 冯登国.国防工业出版社《网络入侵检测原理与技术》.

[6]常红.长春冶金工业出版社.《网络完全技术与反黑客》.

《网络攻击与防御技术》课程设计教学大纲第9篇

摘要：ARP协议对网络安全具有重要的意义，通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量，使网络阻塞。所以通过本文将使我们更加深入地理解AKP攻击的发现与定位以及防御办法。

关键词：ARP；发现；定位；防御方法

1什么是ARP协议

ARP是TCP／IP协议集中的网络层协议之一，ARP协议完成IP地址转换为第二物理地址(即MAC地址)，从而实现通过IP地址来访问网络设备的目的。然而，一些非法的入侵者和网络监听者利用各种技术和手段，篡改和伪造IP地址和MAC地址，在网络中产生大量的ARP通信量使网络阻塞或者实现“中间人”进行ARP重定和嗅探攻击，以达到非法监听和获取他人在网络上传输的信息的目的，这种网络入侵方式为ARP欺骗。它是近年来网络入侵攻击的主要形式之一，严重威胁着网络信息的安全。

2ARP攻击的发现与定位

要定位感染ARP木马电脑的MAC地址有三种方法可供选择：

方法一：可以查看三层交换机网段里面的ARP信息(如cisco 6509中可以输入show ARPlinclude网段相同部分)，如果发现里面存在有不同IP对应相同MAC列表的情况，就可以肯定该网段内有ARP欺骗，这个MAC地址就是感染ARP木马的电脑MAC。

方法二：用户端可以通过输入命令的方式，输入arp-a命令即可显示与该电脑直连设备的MAC，就会发现电脑网关所对应的MAC地址是否被修改，如果被修改就可判定该电脑感染了ARP木马程序。

方法三：安装网络检测软件的用户，如果网段中有ARP攻击，检测软件会有报警，如antiARP软件会自动弹出攻击者的MAC地址，网络执法官则会显示一个与MAC地址对应的两个IP地址，其中一个IP必然为网关，那该MAC对应电脑就是攻击者了。

如果确定了MAC的攻击者，还需要进行物理位置定位来确定该电脑的使用者，以便及时通知对方进行处理，现在高校用户大部分使用真实IP地址进行上网，只要找到该IP地址就等于找到了该用户。

为大家介绍两种方法来通过MAC地址查找IP地址。

方法一：命令法。下载nbtscan DOS软件，在虚网中任意主机运行nbtsacn218.197.57.0／24就可以得到该段内所在的用户的IP对应的MAC，通过MAC查询，就可以得到该机的IP。

方法二：软件法。利用网络执法官软件保存该网段内所有IP所对应的MAC，当发现攻击电脑MAC时就可找到该IP，从而定位到该电脑。

另外，对于采用DHCP服务器进行IP地址分配的网络，由于每台没有固定IP，很难通过IP直接定位，那需要我们利用IP冲突查找，只要将网内某台电脑IP修改为该感染ARP木马的电脑IP，该电脑上面就会出IP冲突的提示，只要有用户打电话反映IP有冲突，那台电脑就是攻击者。

3ARP欺骗攻击的防范策略

3.1用户端防御

由于绝大部分ARP欺骗攻击都是针对网关进行攻击的。使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。

针对此在用户端计算机上绑定交换机网关的IP和MAC地址，就是强制指定ARP对应关系。

(1)静态绑定

首先获取网关的真实MAC地址。网络正常的情况下ping网关IP地址，之后用arp-a查看网关的IP对应的MAC地址。

编写一个批处理文件arp.bat，实现将交换机网关的MAC地址和IP地址的绑定，内容如下：

arp-d(清空ARP缓存)

arp-s 10.10.100.254 00-40-66-77-88-d7

将这个批处理文件加入计算机启动项中，以便每次开机后自动加载并执行该批处理文件，对用户起到一个很好的保护作用。

(2)使用防ARP攻击的软件

下载和使用防ARP攻击的软件，如AARP、Aarpguard等支持arp过滤的防火墙。

3.2网管交换机端绑定

采用在核心交换机上绑定用户主机的IP地址的网卡的MAC地址，同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。

(1)IP和MAC地址的绑定

在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。

(2)MAC地址与交换机端口的绑定

根据局域网用户所在的区域、楼体和用户房间所对应的交换机端口号，将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址，该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网，自然也就不会对局域网造成干扰了。

3.3采用VLAN技术隔离端口

网络管理员可根据本单位网络的拓扑结构，具体规划出若干个VLAN，当发现有非法用户在恶意利用ARP欺骗攻击网络，或因合法用户受ARP病毒感染而影响网络时，首先利用技术手段查找到该用户所在的交换机端口，然后把该端口划一个单独的VLAN将该用户与其他用户进行物理隔离，以避免对其他用户的影响。可以利用将交换机端口Disable来屏蔽该用户对网络造成影响，从而达到安全防范的目的。

4结束语

如何对攻击行为进行检测与防御第10篇

如何对攻击行为进行检测与防御

，

《网络攻击与防御技术》课程设计教学大纲第11篇

针对业务系统的分布式拒绝服务(DDo S)攻击是当前最为常见的网络威胁,同时,DDo S攻击也是攻击者当前最为简便易行、攻击效率最高的一种破坏网络安全手段。本文对网络安全风险控制的特点进行了归纳,对DDo S攻击的技术原理进行了简单梳理,对DDo S攻击的防御体系进行了设计和简要分析,探讨了DDo S攻击防御体系在未来的进一步发展方向。

1 DDo S攻击的特点

1.1 DDo S攻击及其特点

DDo S攻击,是在传统的拒绝服务攻击基础之上产生的一类攻击方式。拒绝服务攻击的方式有很多种,但是其核心思想都是利用合理的服务请求来占用过多的服务资源,从而使服务器(业务)无法处理全部(或部分)合法用户的指令,拒绝为全部(或部分)合法用户提供服务。DDo S攻击即分布式的拒绝服务攻击,将拒绝服务攻击的单一发起代理通过傀儡网络,复制、聚集、分布在整个网络环境中,形成地理上分布、空间上分散、控制上统一的攻击平台,以几何级数的方式加强了单一拒绝服务攻击的强度和破坏力。

网络设备和传统的防火墙、入侵检测系统等安全措施,都不能有效的防御DDo S攻击。

在一个典型的DDo S攻击中,攻击者首先必须依靠傀儡网络筹集所需要的攻击资源。之后,按照统一的策略调集这些资源对目标系统发动攻击。

图1表示了一个典型的DDo S攻击过程,包括以下步骤:

(1)探测并发现存在某种可被利用的漏洞的计算机,攻击者以获取这些计算机的系统控制权为目的,通过跳板或直接对这些计算机进行入侵。这些存在安全漏洞且被攻击者控制的计算机,称为傀儡主机。

(2)通过若干傀儡主机,攻击者以释放蠕虫、安装木马或两者相结合的方式,重复进行上述(1)的行动,直到获取到理想数量的被控计算机。在若干傀儡主机上安装控制程序(称为Handler),在其他傀儡主机上安装攻击代理程序(称为Agent),形成受攻击者控制的傀儡网络。

(3)攻击者利用傀儡网络发动攻击。

1.2 DDo S攻击技术原理和分类

依据DDo S攻击造成破坏的宏观特征,可以分为服务器计算资源耗尽型(称为“I型”)和网络资源耗尽型(称为“II型”)两类。I型攻击的原理主要是利用被攻击目标操作系统的漏洞或应用程序的缺陷和漏洞,依靠发送符合协议但逻辑错误的数据包(称为语义攻击,Semantic),导致目标系统在处理这种数据包时发生系统错误而导致计算资源耗尽,进而导致服务中断。典型代表有Land、Ping of Death、Teardrops、SYN Flood、CC等等。

Ⅱ型攻击的原理是通过正常的、突发的、大量的数据包(称为暴力攻击,Brute)访问被攻击目标,导致目标所在网络带宽被急剧消耗,来实现阻断目标服务的目的。典型代表有Smurf、Fraggle等等。

对于攻击者而言,无论使用Ⅰ型还是Ⅱ型攻击,其目的都是要将目标正常的服务阻断,因此,将Ⅰ型和II型混合使用已经成为趋势。

1.3 分布式反射DDo S攻击(DRDo S)和低速率DDo S攻击(LDo S/PDo S)

在DDo S攻击的基础上,除了利用傀儡网络之外,还可以借用网络中ISP的合法网络设备(反射器,Reflectors)“反射”攻击流量,形成分布式反射DDo S攻击。攻击时,傀儡网络中的代理,首先将攻击目标的IP地址作为源地址,将反射器的IP地址作为目的地址构造攻击数据包(例如一个ICMP请求),然后将这种伪造的数据包发送给反射器,从而由反射器完成了攻击反射动作,大量的响应请求数据包将耗尽目标网络的资源。

LDo S攻击是利用TCP/IP协议中的超时重传(RTO)机制的漏洞,以正常TCP的RTO为周期,在瞬间发送大量报文而产生拥塞,迫使网络发出拥塞信号(丢包,对端重传的ACK),使得源端的TCP拥塞控制机制启动,自适应的调整发送窗口尺寸,以尝试恢复到稳定状态。周期性的进行攻击,就会造成发送窗口缩小到一个非常小的值,将极大的降低TCP的吞吐量。

1.4 次级DDo S攻击(DDo S L2)

DDo S攻击在遇到DDo S防御机制的对抗后,攻击者也许会采用次级攻击的模式。

(1)使用假冒源IP地址方式的DDo S攻击手段发动攻击,激活被攻击目标的防御机制,使其屏蔽掉所有来源于攻击地址的数据包,从而客观上使得受攻击目标自行脱离互联网,达到使其拒绝服务的目的。此时,受攻击目标的(业务)系统资源并没有耗尽。例如,使得合法用户被列入防御机制的黑名单,从而阻断正常的服务等等。

(2)对与受攻击目标系统业务紧密相连的第三方系统(例如对某个公共域名服务器)发动DDo S攻击,使第三方系统拒绝服务,从而使受攻击目标系统受到连锁反应影响而拒绝服务。

2 DDo S攻击防御体系设计

从对抗的角度来说,针对DDo S攻击应该采取的对策包括检测、防御和追踪三个主要方面。以安全风险控制的角度来说,只有防御这个环节是目标明确、范围可控的环节。DDo S攻击发动者为了获得理想的攻击效果和更好的隐蔽自己,将会更多的选择傀儡网络作为其发动攻击的技术手段。因此,在预期傀儡网络将会被更加广泛应用的威胁环境中,防御就成了最优先的选择。DDo S攻击防御体系(Anti-DDo S System,ADS)就是为了实现防御的目的而建立的技术体系。

针对DDo S攻击的过程和技术特点,防御体系需要有针对性的兼顾3个环节:DDo S攻击来源端(称为“远端”)防御、DDo S攻击传输环境(称为“路径”)防御和DDo S攻击受害者端(称为“近端”)防御。防御的方法主要有主动防御和被动防御两种。主动防御是指基于追踪技术,识别攻击源后限制或者破坏攻击源的网络接入以达到防御的目的。被动防御是指利用基于流量监控和模式检测的技术,识别攻击流量后对攻击流量进行限速或者丢弃以达到防御的目的。

2.1 设计要点

(1)只保护值得保护的目标且只保护能够保护的目标

以风险控制的方法来看,任何防御措施都是一种成本和效果动态平衡的过程。安全只能是相对安全,不存在绝对的安全。因此,只能以最佳的方式方法保护值得保护的目标(比如,关键的业务系统和网络等),使得安全工作的费效比最大化。另外,ADS的设计不应以“预防攻击”为目标。

只针对攻击的“近端”和“路径”进行防御并且只以削弱攻击强度为目的方法要比针对攻击的全过程(尤其是防御方几乎不可控的“远端”)进行防御并且以消除全部攻击为目的的方法的整体费效比要高。例如,用目标出口带宽的20%为限度设计防御能力,就可以达到比较理想的防御效果。

(2)常备、快速响应、协同防御

防御体系应该是一种选择性介入手段,应当在受保护目标需要的时候快速接管、控制和恢复目标的工作环境,可以在攻击开始后通过策略激活防御体系。防御措施自身应该以某种受控方式,协调一致的进行工作。

2.2 体系模型

2.2.1 粗略模型

防御体系的工作流程经历“感知、引流、抑制、回送”四个主要步骤。如图2所示。

步骤一,感知攻击。在目前的网络中,攻击随时有可能发生,因此采取合理的技术手段正确感知到攻击,是进行攻击防御的第一步。感知攻击的技术手段主要有三种,一是通过探针方式,在客户端(“近端”)进行感知;二是通过入侵检测系统阵列(IDS-Array),在中、小带宽链路(“路径”)上进行感知;三是通过Net Flow技术,在大、超大带宽链路(“路径”)上进行感知。三种技术中,使用前两种的精确度高,但是受带宽限制,感知的范围较小或受限。使用最后一种技术感知攻击过程中受限范围小或几乎不受限,但是感知精确度较前两种低。

步骤二,引流。可以采用BGP Announce(RFC)的方式,把需要保护的目标IP地址通过IBGP广播的方式广播给相邻的路由器(这个路由器一般是最靠近攻击源的出口路由器)从而把含有攻击的网络流量送入ADS。

步骤三,抑制攻击流量。ADS将对所有流量进行甄别,把符合攻击特征的流量丢弃。采用的技术手段主要有五种:一是过滤,阻断非必要的网络流量到达受保护目标并进行动态调整。二是反欺骗,对源IP地址进行验证,去除伪造源IP地址的流量。三是基于统计识别异常流量并根据指定策略进行抑制。四是协议分析,去除不符合协议的流量。五是进行动态的速率限制。

步骤四,回送处理完成之后的流量。可以采用的回送的方式有策略路由(PBR),MPLS VPN,GRE隧道等方式。

2.2.2 原型结构

(1)攻击抑制器

主要完成引流、抑制攻击、回送等功能。

(2)指令控制器

主要用于对攻击感知器的状态监控和对攻击抑制器的控制,提供ADS人机交互界面和报表管理功能。其中,设备管理模块用于对攻击抑制器下达工作指令并监控其工作状态;数据管理模块用于人机交互界面的管理与报表的生成;事件分析模块用于对攻击感知器的状态监控和数据分析,确定攻击事件的各种特征等。

(3)攻击感知器

是一种逻辑设备(或功能模块),以Net Flow分析器、探针和IDS-Array三种主要形式存在,用于感知网络中是否存在攻击流量。

2.2.3 优势和局限

由于ADS复用了IDS技术和Net Flow技术,可以有效地兼顾“近端”和“路径”设防问题,因此对于I型和II型,尤其是混合型DDo S攻击都有着比较好的发现机制和适应性,可以在网络环境中进行大规模快速部署。

局限性体现在攻击感知和抑制攻击两个环节,系统的整体工作效果取决于是否能准确感知、及时感知和动态抑制,因此有必要加强感知和抑制两个的环节的进一步研究。此外,系统完全为分布式结构,其自身的控制过程较为复杂,如何提高其自身的控制效率也是下一步的研究重点。

3 DDo S攻击防御体系的发展趋势