網(wǎng)絡安全防護之常用黑客攻擊與御防

蔡體龍　王瀟　杜金庭

摘要：計算機網(wǎng)絡一直伴隨著我們的生活，它使兩個無論相聚多遠的人可以實現(xiàn)及時聯(lián)絡，相互通信，讓我們做到資源共享，信息傳輸，現(xiàn)在網(wǎng)絡已經(jīng)融入了我們的社會。但是任何事物都具有雙面性，網(wǎng)絡的快速發(fā)展也帶來了網(wǎng)絡安全問題。

關(guān)鍵詞：網(wǎng)絡安全;黑客攻擊及防御;洪水攻擊

由于網(wǎng)絡通信主要依靠各種網(wǎng)絡協(xié)議，先稍微了解一下網(wǎng)絡層的協(xié)議，然后再去介紹一下幾個常見的攻擊方式以及防御的方法。

常見網(wǎng)絡安全協(xié)議及作用

網(wǎng)絡接口層：1.點到點通道協(xié)議（PPTP）一種支持多協(xié)議虛擬專用網(wǎng)的新型技術(shù)，它可以使遠程用戶通過Internet安全的訪問企業(yè)網(wǎng) 2.第二層通道協(xié)議（L2TP），是Cisco的L2F與PPTP相結(jié)合的一個協(xié)議

網(wǎng)絡層：常用的有IP協(xié)議、ARP協(xié)議、ICMP協(xié)議、RARP等，IP是網(wǎng)絡層唯一的核心協(xié)議。網(wǎng)絡層向上只提供簡單靈活的、無連接的、盡最大努力交付的數(shù)據(jù)報服務

傳輸層：主要是TCP和UDP，TCP提供可靠的面向連接服務，UDP應用程序提供了一種無需建立連接就可以發(fā)送封裝的 IP 數(shù)據(jù)包的方法，是OSI參考模型中一種無連接的傳輸層協(xié)議。

應用層：應用層有很多日常傳輸數(shù)據(jù)用到的協(xié)議，HTTP（超文本傳輸協(xié)議）、HTTPS、FTP（文件傳輸協(xié)議）、SMTP（主要任務是負責服務器之間的郵件傳送，最大的特點是簡單。只規(guī)定了電子郵件如何在互聯(lián)網(wǎng)中通過TCP協(xié)議在發(fā)送方和接收方之間進行傳送。）、Telnet、DNS（用域名系統(tǒng)來處理IP地址和主機名之間的轉(zhuǎn)換， 在DNS中主機名即為域名。DNS也是一個應用層協(xié)議）、POP3等。

常見網(wǎng)絡安全攻擊方法以及防御措施

（1）DNS欺騙

DNS欺騙是一種非常危險的中間人攻擊，它容易被黑客利用，非法獲取數(shù)據(jù)，攻擊者可以利用一個漏洞來偽造網(wǎng)絡流量。DNS欺騙主要得到目標主機的端口號。

原理：冒充域名服務器，然后把查詢的IP地址設為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這就是DNS欺騙的基本原理。DNS欺騙其實并不是真的“黑掉”了對方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。常被利用來釣魚等。

（2）DDOS

DDoS簡單粗暴，可以達到直接摧毀目標的目的。另外，相對其他攻擊手段DDoS的技術(shù)要求和發(fā)動攻擊的成本很低，只需要購買部分服務器權(quán)限或控制一批肉雞即可，而且攻擊相應速度很快，攻擊效果可視。一種服務需要面向大眾就需要提供用戶訪問接口，這些接口恰恰就給了黑客有可乘之機。

攻擊方式：

1.資源消耗類攻擊

資源消耗類是比較典型的DDoS攻擊，最具代表性的包括：Syn Flood、Ack Flood、UDP

Flood。這類攻擊的目標很簡單，就是通過大量請求消耗正常的帶寬和協(xié)議處理資源的能力，從而達到服務端無法正常工作的目的。

2.服務消耗性攻擊

相比資源消耗類攻擊，服務消耗類攻擊不需要太大的流量，它主要是針對服務的特點進行精確定點打擊，如web的CC，數(shù)據(jù)服務的檢索，文件服務的下載等。這類攻擊往往不是為了擁塞流量通道或協(xié)議處理通道，它們是讓服務端始終處理高消耗型的業(yè)務的忙碌狀態(tài)，進而無法對正常業(yè)務進行響應。

3.反射類攻擊

反射攻擊也叫放大攻擊，該類攻擊以UDP協(xié)議為主，一般請求回應的流量遠遠大于請求本身流量的大小。攻擊者通過流量被放大的特點以較小的流量帶寬就可以制造出大規(guī)模的流量源，從而對目標發(fā)起攻擊。反射類攻擊嚴格意義上來說不算是攻擊的一種，它只是利用某些服務的業(yè)務特征來實現(xiàn)用更小的代價發(fā)動Flood攻擊。

4.混合型攻擊

混合型攻擊是結(jié)合上述幾種攻擊類型，并在攻擊過程中進行探測選擇最佳的攻擊方式?；旌闲凸敉殡S這資源消耗和服務消耗兩種攻擊類型特征。

DDOS洪水攻擊，（以hping3舉例 kali系統(tǒng)）

常用于金融借貸平臺、游戲、電商、教育培訓、競價排名、醫(yī)療等高危網(wǎng)站，可以造成網(wǎng)站的癱瘓，可能幾秒網(wǎng)站就無法提供訪問，造成資金損失及客戶信息流失，或者競價排名的不可靠性。

DDOS的防御手段：1.基于異常入侵檢測技術(shù)，比較主機的記錄與平常的不同，如果差距過大，則視為異常，檢測系統(tǒng)就會發(fā)出警報2.進行防御流量清洗設備可以起到一定的作用，Guard、Detector和 Manager完整組成了異常流量檢測與清洗方案，有一定的容災功能。3. 做好硬件保護措施，大多數(shù)情況下用戶無法及時更新或重新配置帶有漏洞的軟件，尤其是在工作負載量大的關(guān)鍵服務器上，也無法更新不受制造商設備支持的舊版軟件4.了解病毒攻擊類型。

（3） ARP欺騙

通過IP地址去尋找mac地址。然后從實現(xiàn)上來說就是先廣播ARP請求分組出去尋找IP對應的mac，然后再單播ARP響應分組回來。關(guān)鍵在于這個ARP數(shù)據(jù)包是可以用軟件進行偽造的。例如：當局域網(wǎng)中有人使用了ARP欺騙的木馬程序。由于ARP欺騙的木馬發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導致局域網(wǎng)通訊擁塞，用戶會感覺上網(wǎng)速度越來越慢。當木馬程序停止運行時，用戶會恢復從路由器上網(wǎng)，切換中用戶會再斷一次線。

ARP欺騙的防御手段：

1.網(wǎng)絡硬件，記錄用戶的IP地址、MAC地址和端口信息，并在交換機上做多元素綁定，根本上阻斷非法ARP報文傳播

2.端口綁定

3.端口隔離（VLAN）

4.優(yōu)化操作系統(tǒng)設置

5.采用ARP防火墻，有很多的ARP的防火墻還是很管用的，可以起到一定的作用。

當代是信息大時代，網(wǎng)絡已經(jīng)融入了人們的生活，與生活密不可分，網(wǎng)絡安全不得不成為人人議論的熱點，網(wǎng)絡安全與個人安全，社會乃至國家安全都密不可分，在這個信息飛速發(fā)展的時代，網(wǎng)絡安全是國家穩(wěn)定發(fā)展的一個保障。在這個時代，會有越來越多的幻想成為現(xiàn)實。