淺析網(wǎng)絡(luò)攻擊與防范

劉娟

[摘 要]隨著互聯(lián)網(wǎng)時代的到來，網(wǎng)絡(luò)攻擊已無處不在，小到個人信息外泄，大到國家機密泄露，必須引起高度重視。網(wǎng)絡(luò)攻擊與防范就像矛和盾一樣此消彼長。本文通過講解網(wǎng)絡(luò)攻擊的方式、原理，針對性地提出了相應(yīng)的防范方法.

[關(guān)鍵詞]安全漏洞；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊

doi：10.3969/j.issn.1673 - 0194.2018.22.060

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673-0194（2018）22-0-02

0 引 言

2017年，全球爆發(fā)的勒索病毒至今仍讓大量互聯(lián)網(wǎng)用戶心有余悸，據(jù)統(tǒng)計，全球超過150個國家、10萬家機構(gòu)組織、100萬

臺電腦遭到該病毒攻擊，造成的經(jīng)濟損失超過80億美元。該病毒正是利用郵件、程序木馬、網(wǎng)頁掛馬的形式進行網(wǎng)絡(luò)傳播，可以說也是一種網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊主要利用網(wǎng)絡(luò)中存在的漏洞和安全缺陷攻擊系統(tǒng)中的硬件、軟件以及數(shù)據(jù)，以盜取有用的信息或者實現(xiàn)不可告人的目的。也許有人會對網(wǎng)絡(luò)安全抱著無所謂的態(tài)度，認為最多不過是盜用賬號，不會造成多大的危害。很多人往往會認為“安全”只是針對那些大中型企事業(yè)單位和網(wǎng)站而言。其實，僅從技術(shù)上說，黑客入侵的動機是成為目標主機的主人。只要獲得了一臺網(wǎng)絡(luò)主機的超級用戶權(quán)限，就有可能在該主機上修改資源配置、安置“特洛伊”程序、隱藏行蹤和執(zhí)行任意進程等。因此，每一個人都有可能面臨著安全威脅，都有必要對網(wǎng)絡(luò)安全有所了解，并能夠處理一些安全方面的問題。只有了解了網(wǎng)絡(luò)攻擊的方式和原理，才能采取合理的策略應(yīng)對這些攻擊，為用戶營造一個安全干凈的網(wǎng)絡(luò)環(huán)境。

1 網(wǎng)絡(luò)攻擊的方式與原理

1.1 端口攻擊

端口攻擊其實就是通過端口的漏洞進行攻擊。一般來說，計算機通過端口與外部進行通信，分為軟件端口和硬件端口。端口按號分布可分為三段。公認端口（0～1023），又稱常用端口，為已經(jīng)公認定義或為將要公認定義的軟件保留的。這些端口緊密綁定一些服務(wù)且明確表示了某種服務(wù)協(xié)議。如80端口表示HTTP協(xié)議。注冊端口（1024～49151），又稱保留端口，這些端口松散綁定一些服務(wù)。此外，還有動態(tài)/私有端口（49152～65535）。理論上不應(yīng)為服務(wù)器分配這些端口，下面介紹幾種有代表性的端口入侵。

1.1.1 FTP端口滲透

FTP是文件傳輸協(xié)議（File Transfer Protocol）的英文縮寫，通過FTP可以實現(xiàn)互聯(lián)網(wǎng)文件的雙向傳輸，也就是說既可以從服務(wù)器中下載需要的文件，也可以把有用的文件上傳到服務(wù)器，因此FTP上有很多個人或者企業(yè)的資料，甚至還有一些個人私密信息或企業(yè)內(nèi)部機密，所以FTP是很多網(wǎng)絡(luò)黑客的首選攻擊對象，最常見的入侵方法是尋找打開“anonymous”FTP服務(wù)器的方法。一旦破譯了FTP密碼，就會對網(wǎng)絡(luò)系統(tǒng)安全構(gòu)成威脅，可以輕易拷貝FTP中的文件，更有甚者通過提權(quán)可以直接控制FTP服務(wù)器。一般來說入侵FTP有以下幾種方法。

（1）暴力破解FTP密碼，實現(xiàn)FTP入侵。基本原理是假設(shè)遠程主機上有FTP服務(wù)器，通過使用用戶和密碼文件，不斷嘗試登錄FTP服務(wù)器，關(guān)鍵是制作字典。一般用的破解工具是FxpSites、Medusa等軟件。

（2）通過Webshell讀取Serv_u用戶配置文件，實現(xiàn)FTP入侵。要有想要入侵FTP普通權(quán)限的Shell，不需要終端或物理控制臺登錄，只要有一個Shell，能運行端口數(shù)據(jù)轉(zhuǎn)發(fā)的程序就可以，利用得到的Webshell上傳轉(zhuǎn)向程序Fpipe，從而在自己的機器上就可以管理所入侵的FTP了。

（3）利用掃描軟件實現(xiàn)FTP入侵。如通過軟件X-CSAN掃描到對方FTP有漏洞，確定入侵目標服務(wù)器類型為：Serv-uFTP，通過使用Serv-uMDTM溢出漏洞進行入侵，利用NC端口程序連接入侵的主機端口，會出現(xiàn)一個新的DOS窗口，這個窗口就是有管理員權(quán)限的窗口，至此就成功地進行了FTP滲透。

（4）通過嗅探器實現(xiàn)FTP入侵。嗅探器也叫網(wǎng)絡(luò)分析器，能從FTP中獲取存在文本中的密碼，一般可以使用工具Scapy來嗅探FTP用戶密碼。

1.1.2 80端口滲透

80端口一般是Web網(wǎng)站服務(wù)的默認端口，也就是說訪問網(wǎng)站的時候，是通過80端口實現(xiàn)的。目前，針對80端口的攻擊一般是采用SQL語句注入的攻擊方法，更多是采用腳本滲透技術(shù)，利用Web應(yīng)用程序的漏洞進行滲透，如可以通過上傳漏洞、文件包含漏洞、列目錄漏洞等一系列方式進行攻擊，當然也可以通過一些木馬程序利用80端口攻擊計算機，如Executor、RingZero。

（1）SQL語句滲透。由于80端口是提供WEB服務(wù)的，只要在地址欄上加入SQL信息，讓服務(wù)器執(zhí)行這些SQL語句，即可實現(xiàn)入侵。

（2）上傳漏洞滲透。上傳漏洞可以直接提交修改過的數(shù)據(jù)繞過擴展名檢驗，直接得到Webshell，危害等級較高。

（3）文件包含漏洞。程序員一般會把重復(fù)使用的函數(shù)寫到一個單個的文件中，在使用的時候直接調(diào)取，一般情況下程序員為了方便會把包含文件設(shè)置為變量，進行動態(tài)調(diào)用。正是由于這種靈活性，導(dǎo)致客戶端可以調(diào)用一個惡意文件，使計算機受到惡意攻擊。文件漏洞一般存在于PHP Web Applicationg中。

（4）列目錄漏洞。由于Web應(yīng)用程序?qū)τ谟脩糨斎氲奈募陌踩则炞C不足，使攻擊者可以通過一些特殊的字符就可以繞過服務(wù)器的安全限制訪問任意文件，實現(xiàn)惡意滲透。

1.1.3 8080端口滲透

8080端口是用于連接代理服務(wù)的，通過8080端口可以實現(xiàn)網(wǎng)絡(luò)瀏覽，主要有以下方法。

（1）木馬病毒入侵。通過特洛伊木馬病毒利用8080端口實現(xiàn)遠程控制計算機，就可以任意復(fù)制計算機中的文件和修改相關(guān)參數(shù)，窺探整個硬盤中的內(nèi)容，從而達到控制計算機的目的。

（2）破譯Apache（Web服務(wù)器）弱口令入侵。通過使用專用掃描器探測后臺弱口令漏洞，進行破譯，實現(xiàn)計算機滲透。

（3）腳本入侵。Apache在Windows環(huán)境中是以系統(tǒng)權(quán)限啟動的，JSP的腳本同樣繼承了該權(quán)限，可直接執(zhí)行任意系統(tǒng)命令。而且對于一些舊版本的Tomcat，JSP存在漏洞，黑客通過提交一些注入.jsP.Jsp等，嘗試找源碼代碼和目錄文件。黑客通過查找上傳文件，直接上傳JSP腳本后門，能夠?qū)τ嬎銠C進行控制。

（4）網(wǎng)絡(luò)監(jiān)聽入侵。目前，由于很多協(xié)議沒有采用任何加密或身份認證技術(shù)，利用數(shù)據(jù)包截取工具通關(guān)8080端口獲取用戶賬戶和密碼。更有甚者在用戶同服務(wù)器端完成“三次握手”建立連接之后，在通信過程中扮演“第三者”的角色，假冒服務(wù)器身份欺騙用戶，再假冒用戶向服務(wù)器發(fā)出惡意請求，控制服務(wù)器。

1.2 拒絕服務(wù)（DoS）攻擊

拒絕服務(wù)器攻擊一般是指通過發(fā)送大量的信息使網(wǎng)站癱瘓，無法提供正常的服務(wù)。對服務(wù)器來說實際上可以造成兩種危害，一是迫使服務(wù)器的緩沖區(qū)過滿，不能再接受新的請求，二是通過利用IP欺騙，迫使服務(wù)器連接到非法用戶，影響合法用戶正常連接。

1.2.1 SYN FLood攻擊

SYN FLood是當前比較流行的拒絕服務(wù)攻擊方式，它主要利用TCP協(xié)議的缺陷，發(fā)送大量偽造的TCP連接請求，耗盡被攻擊方的資源。

1.2.2 IP欺騙攻擊

攻擊者偽造一個IP向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段，服務(wù)器接收這個數(shù)據(jù)后，認為這個IP發(fā)送的連接有問題，就會清空緩沖區(qū)建立新的連接，此時如果合法用戶在發(fā)送數(shù)據(jù)，服務(wù)器因為已經(jīng)沒有這個連接了，所以這個合法用戶就必須重新開始連接。由于攻擊者會偽造大量的IP地址，向目標發(fā)送RST數(shù)據(jù)，使服務(wù)器不為合法用戶服務(wù)。

1.3 遠程用戶攻擊

一般是沒有做好遠程控制的用戶密碼安全工作產(chǎn)生的漏洞，攻擊者可以通過遠程登錄計算機，然后用電腦的賬號和弱口令來進入計算機進行操作，權(quán)限有高有低，這要看用戶的管理權(quán)限大小，像3389端口的遠程攻擊等都屬于這一種。

黑客還可以利用遠程桌面攻擊。遠程桌面是計算機管理員處理計算機硬件和軟件問題的常用辦法。它雖然給管理者帶來了方便，同時也存一些安全隱患，攻擊者可以通過破解.Rdp文件、遠程抓包分析3389的用戶名和密碼等，對計算機進行滲透攻擊。

2 網(wǎng)絡(luò)攻擊的防范措施

2.1 設(shè)置硬件防火墻

硬件防火墻是把防火墻程序嵌入硬件內(nèi)，由硬件執(zhí)行防火墻的功能。與軟件防火墻比較，硬件防火墻除了可以實現(xiàn)軟件防火墻的功能外，還可以實現(xiàn)CF（內(nèi)容過濾）、IDS（入侵偵探）、IPS（入侵防護）等功能。它是內(nèi)部網(wǎng)絡(luò)安全的一道重要屏障，可以有效預(yù)防病毒入侵。

2.2 設(shè)置復(fù)雜的口令密碼

設(shè)置口令密碼可以有效保護計算機，但由于很多用戶不夠重視密碼設(shè)置，為了方便記憶，設(shè)置的密碼只由簡單數(shù)字或字母組成，很容易被破解，起不到保護作用。一般來說，設(shè)置開機密碼、登錄密碼等口令密碼時，最好由英文大寫、英文小寫、數(shù)字及特殊字符組成，密碼長度要不小于8位，這樣破解成功的概率是很低的，可以有效保護計算機。

2.3 安裝系統(tǒng)補丁及防火墻軟件

一般來說，系統(tǒng)開發(fā)公司會不定期發(fā)布針對系統(tǒng)錯誤漏洞的修復(fù)程序，用戶要及時更新下載安裝這些程序，可以有效避免黑客通過這些漏洞攻擊計算機。防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾及應(yīng)用網(wǎng)關(guān)4個部分組成，它可以控制計算機網(wǎng)絡(luò)，可以防止病毒傳播到網(wǎng)絡(luò)內(nèi)部，保護內(nèi)部網(wǎng)絡(luò)免受非法用戶入侵。

2.4 加強網(wǎng)絡(luò)防范意識

為了避免網(wǎng)絡(luò)攻擊，用戶最好不上非法網(wǎng)站，不打開來歷不明的電子郵件，不隨便設(shè)置代理服務(wù)器，安裝下載的軟件前及時用殺毒軟件進行殺毒。

3 結(jié) 語

人們的生活越來越離不開網(wǎng)絡(luò)，網(wǎng)絡(luò)安全也越來越被重視，只有積極應(yīng)對網(wǎng)絡(luò)攻擊，才能營造一個安全的網(wǎng)絡(luò)環(huán)境，只要清晰了解攻擊原理，才能及時采取防范措施。

主要參考文獻

[1]王啟.計算機網(wǎng)絡(luò)安全技術(shù)分析及防范策略研究[J].科技廣場，2011（7）.

[2]王新，羅旭穎.一種DoS攻擊的防御方案[J].計算機工程與應(yīng)用，2004（12）.

[3]楊明福.計算機網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，2010.

[4]袁也婷，劉沖.淺談計算機網(wǎng)絡(luò)安全技術(shù)與防范策略[J].華章，2011（15）.