攻击网络攻击

53技术研究2012年第12期魏为民,袁仲雄(上海电力学院计算机与信息工程学院,上海200090)摘要:网络攻击与防御是信息安全领域的核心内容,采用攻防角色分组的情境实践模式,将其分解为扫描、网络嗅探、口令破解、欺骗攻击、拒绝服务攻击、缓冲区溢出攻击、Web攻击、SQL注入攻击、木马攻击、计算机病毒、手机病毒、防火墙与入侵检测等12个专题,对应12个学生小组,每组6名学生,攻击和防御各半.
通过课程实践,有效培养学生的实际动手能力、自主学习、分析问题、解决问题的能力,以及团队协作和组织能力.
关键词:网络攻击与防御;口令破解;欺骗攻击;SQL注入攻击中图分类号:TP393.
08文献标识码:A文章编号:1671-1122(2012)12-0053-04ResearchandPracticeofNetworkAttacksandDefenseTechniquesWEIWei-min,YUANZhong-xiong(SchoolofComputerandInformationEngineering,ShanghaiUniversityofElectricPower,Shanghai200090,China)Abstract:Networkattacksanddefense,ascorecontentinthefieldoftheinformationsecurity,introduceakindofeducationalmethodcalledsituationalteachingwhichseparateattackingrolesaswellasdefendingonesapartdividingthiscourseinto12subjects:scanning,networksniffing,passwordcracker,spoofingattacks,denialofservices,bufferoverflows,Webattacks,SQLinjection,Trojanhorse,computervirus,mobilevirus,firewallaswellasintrusiondetection;eachgroupcontaining6studentshaveonetask,halfofwhombelongtotheattackingfieldswhiletheremainingshouldworkontheoppositeside.
Wesincerelyhopethatthroughthispracticestudents'comprehensivecapabilityincludingpracticalability,self-learningabilityandhowtosolve,analyzeoneproblemaswellastogetalongwithotherscanbeimprovedtosomeextent.
Keywords:networkattacksanddefense;passwordcracker;spoofingattacks;SQLinjectiondoi:10.
3969/j.
issn.
1671-1122.
2012.
12.
016网络攻击与防御技术的研究与实践收稿时间:2012-11-15基金项目:上海市自然科学基金[11ZR1414300]、上海市教育委员会科研创新项目[11YZ194]作者简介:魏为民(1970-),男,湖北,副教授,博士,主要研究方向:图像处理、数字取证、信息隐藏;袁仲雄(1956-),男,上海,副教授,主要研究方向:数据处理.
0引言网络攻击与防御是信息技术领域的重要研究课题,越来越受到人们的关注.
近年来,我国网络安全事件发生比率呈明显上升趋势,调查显示绝大多数网民的主机曾经感染病毒,超过一半的网民经历过账号被盗窃或者个人信息被篡改,还有部分网民曾被钓鱼网站欺骗[1].
在经济利益的驱使下,制造、贩卖病毒木马、教授网络攻击技术,再进行网络盗窃或诈骗等,已形成严密的"产业链",给社会造成了巨大的经济损失和安全威胁,严重影响了我国互联网的健康发展.
网络攻击与防御是信息安全领域的核心内容,通过学习网络攻击与防御课程,学生可以了解当前计算机网络安全技术面临的现状和挑战,掌握网络攻防技术的基本原理和方法,全面了解网络攻击与防范技术,掌握网络防范体系的相关内容,并具备防御各种常见网络攻击的基本能力[2],主要有三个方面的能力:1)学习能力:通过课堂实验教学和各项实践技能的训练,使学生具备分析问题和解决问题的能力,同时培养学生的继续学习能力和创造能力;2)专业能力:通过理论实践一体化课堂学习,使学生具备网络安全基础知识和较强的动手操作能力,同时在实践环节中使学生具备较强的团队合作、信息交流、组织协调等能力;3)社会能力:使学生具备在企事业单位IT领域从事网络安全管理与维护的能力.
1项目设置我们采用张玉清主编的《网络攻击与防御技术》教材,该教材由清华大学出版社于2011年1月出版.
该教材共分13章,从计算机网络安全基础知识入手,由浅入深地讲述网络安全的基本概念和目前黑客常用的一些攻击手段和使用技巧,包括网络扫描、口令破解、欺骗攻击、拒绝服务攻击、缓冲区溢出技术、Web攻击、特洛伊木马、计算机病毒等,并针对各种攻击方法介绍对应54技术研究2012年第12期的检测或防御技术.
此外,简要阐述了目前应用较为广泛的多种典型防御手段,包括加密、身份认证、防火墙、入侵检测系统、虚拟专用网、蜜罐取证等.
该课程的第一周,首先向学生介绍网络安全相关的基础知识和概念,以及网络攻击的一般步骤,分析目前的网络安全形势,使学生对这一领域有一个初步的认识;其次,简单介绍课程的主要内容以及教学方式.
最后,将该课程分为12个专题项目,分别是扫描与防御技术、网络嗅探与防御技术、口令破解与防御技术、欺骗攻击与防御技术、拒绝服务攻击与防御技术、缓冲区溢出攻击与防御技术、Web攻击与防御技术、SQL注入攻击及防御、木马攻击与防御技术、计算机病毒、手机病毒、防火墙与入侵检测,每个专题项目都包括攻击和防御两部分,如表1所示.
采用攻防角色分组的方式,将来自两个自然班的71名同学,分别分为12个小组,即按学号顺序每3人组成1个小组(最后一组为2人),每组对应一个专题,由各组代表PK决定攻防角色.
表1专题情境描述专题描述要求扫描与防御技术基于Internet远程检测目标网络或本地主机安全性脆弱点了解漏洞存在的原因和危害;学习端口扫描和漏洞扫描方法;掌握不同端口对应的协议和服务;针对扫描结果采取相应的防御措施网络嗅探与防御技术网络嗅探可协助网络管理员实时监控网络传输数据,亦可被黑客用于信息收集掌握各种常见协议的结构和工作原理;嗅探计算机网络数据流;掌握分析网络协议的方法和步骤口令破解与防御技术使用用户名和口令验证用户身份是当前网络非常普遍的认证手段掌握常见操作系统口令文件格式和弱点,了解常用的口令破解工具.
综合运用强口令、一次性口令技术,防止未授权泄漏、修改和删除欺骗攻击与防御技术冒充身份通过认证以骗取信任掌握5种常见的欺骗攻击及其防御技术:IP欺骗、ARP欺骗、Email欺骗、DNS欺骗和Web欺骗拒绝服务攻击与防御技术通过网络连接,利用合理的服务请求占用过多资源,使合法用户无法得到服务掌握典型的拒绝服务攻击及其防御技术;了解分布式拒绝服务攻击,监测和防御分布式拒绝服务攻击缓冲区溢出攻击与防御技术缓冲区溢出是一种非常危险并极为常见的漏洞,可导致攻击者执行非授权指令获取系统特权了解缓冲区溢出原理,包括堆溢出、栈溢出、BSS溢出和格式化串溢出,掌握防范缓冲区溢出Web攻击与防御Web应用技术常见的安全问题有:未验证参数、访问控制缺陷、跨站脚本漏洞、命令注入漏洞等掌握各种Web攻击的原理和防御方法,包括:Web页面盗窃、跨站脚本、GoogleHacking等SQL注入攻击及防御网页中用户提交的数据没有进行合法性判断和过滤掌握SQL注入攻击原理及其防范技术木马攻击与防御技术系统中被植入的程序,通过网络远程控制其它用户的计算机,窃取信息资料熟悉木马的类型和工作原理,掌握检测、清除和防范木马的方法和手段计算机病毒和手机病毒以通过不正当手段获取利益为目的,包含病毒、黑客攻击、木马、间谍软件等多种危害于一体的基于互联网的网络威胁掌握计算机病毒的工作原理,熟悉计算机病毒的预防和清除方法,了解计算机病毒技术的新动向,严防手机病毒防火墙技术应用针对企事业单位的网络拓扑结构,放置软硬件防火墙,并对防火墙进行设置掌握防火墙的工作原理,针对防火墙的功能进行过滤规则设置,让相应的数据流经过防火墙入侵检测技术应用针对企事业单位的网络拓扑结构,放置入侵检测系统,并对入侵检测系统进行设置掌握入侵检测的工作原理,掌握入侵检测系统的部署方案,使用入侵检测系统防御局域网的安全在随后的十二周课堂实践中,学生们通过借阅图书、在网上搜索案例、搭建攻击平台,或编写程序检测等方式,分析每种攻击的手段、技术原理,以及实现过程和性能、优缺点等,运用实际案例对知识要点进行演练,极大地调动了同学们的学习激情,让大部分同学参与并亲身体验到了网络攻击与防御的真实情境.
第十四周,主要介绍目前广泛应用的多种典型防御手段,包括常用的加密技术、身份认证技术、防火墙技术、入侵检测技术、虚拟专用网技术、日志审计技术、蜜罐取证等,从系统防御体系的角度阐述信息安全知识,加深学生对整个信息安全领域的了解和认识.
第十五周,主要介绍网络安全未来的发展趋势,以及与网络安全相关的一些法律法规问题,强调法律在信息安全领域的重要性.
2案例分析2.
1口令破解与防御技术:CSDN和RenRen网站口令分析2011年底,CSDN、天涯等网站发生用户信息泄露事件引起社会广泛关注[3],被公开的疑似泄露数据库26个,涉及账号、密码信息2.
78亿条,严重威胁互联网用户的合法权益和互联网安全,引发众多网民对自己账号、口令等互联网信息被盗取的普遍担忧.
根据调查和研判发现,我国部分网站的用户信息仍采用明文的方式存储,相关漏洞修补不及时,安全防护水平较低.
在口令破解与防御技术专题,第三组学生结合上述"CSDN泄密门"事件,下载CSDN和RenRen的网上泄漏数据,利用MySQL数据库系统,对这两个网站泄漏的用户口令进行分析.
CSDN的样本,总共是3列数据,分别是用户名、口令和邮箱,通过"#"分割,格式较为严谨,所有数据均可用,记录数为6428632条.
RenRen的样本,一般是2列数据,分别是用户名(同时也是邮箱)和口令,使用TAB分割.
此样本的格式不太严谨,删除只有1列或者超过2列的无效记录共53412条,进一步剔除如邮箱长度超过50个字符或者口令长度超过20个字符的显然不合理数据后,记录数为4711943条.
注意到其中有些用户名是重复的,重复次数最多的用户名是"yourname@hotmail.
com",共1388条,其次是"yourname@domain.
com",共818条,共计有549847条记录用户名重复,考虑到重复数量如此之多,网站可能通过其它我们未知的字段区分记录,故这部分数据没有剔除.
55技术研究2012年第12期学生们对这两个网站的口令主要分析了口令长度分布、密码类型分布,以及使用手机号码、生日、英文单词、Email地址等作为密码等情况统计,其中口令长度分布情况如图1所示.
另外他们还对复杂密码,即字母+数字+特殊字符的密码进行了统计分析.
图1CSDN和RenRen网泄漏口令长度分布百分比通过分析发现,CSDN用户一般采用的是10位左右的数字密码或数字+字母的组合密码,其平均口令长度要高于RenRen.
CSDN仍有超过23万人选择"123456789"这样的弱密码,作为主要是程序员一类的技术型用户,设置如此简单的密码,简直是不可思议的事情.
由此可见普通网友设置密码仍然比较薄弱,因此加强密码设置强度已经刻不容缓.
为此,第三组学生为网友提出了设置密码的基本要求:1)使用大小写字母、标点和数字组合;2)密码字符数尽量多一些,12位左右较为合适;3)不要以任何形式使用你的用户名或是注册名;4)不要使用任何语言的单词作为密码;5)不要使用"password"作为密码;6)不使用关于自身的信息,如姓名、出生日期、绰号或者昵称、身份证号码、电话号码、手机号码、所居住的街道等,甚至家庭成员或宠物的名字;7)有规律地更换密码.
值得一提地是,在研究CSDN和RenRen样本中,他们发现大量用户名、邮箱或者密码完全相同或者极其相似的"水军"记录.
第三组同学下一步准备对这部分数据深入挖掘,研究网络"水军"的行为特征[4].
2.
2假冒网站分析欺骗攻击的实质是冒充身份认证以骗取信任的攻击方式,攻击者针对认证机制的缺陷,将自己伪装成可信任方,从而与受害者进行交流,最终获取信息或是展开进一步攻击.
其中假冒网站是指攻击者利用欺骗性的电子邮件和伪造的网站(钓鱼网站)来进行网络诈骗的一种欺骗手段[5].
典型的网络钓鱼攻击是设计一个与正规网站极其相似的钓鱼网站,然后通过电子邮件等方式引诱用户进入该假冒网站,再通过用户输入账号和密码来窃取其重要信息.
普通用户一般不会觉察到这个过程,而在蒙受损失后才会后知后觉.
目前互联网上的钓鱼网站传播途径主要有[6]:1)通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;2)在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接;3)通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接;4)通过微博、Twitter中的短连接散布钓鱼网站链接;5)通过仿冒邮件,如冒充"银行密码重置邮件",欺骗用户进入钓鱼网站;6)感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站;7)恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站;8)伪装成用户输入网址时易发生的错误,如gogle.
com、sinz.
com等,一旦用户写错,就误入钓鱼网站.
第四组同学在课堂上分析并演示了五种常见的欺骗攻击:IP欺骗、ARP欺骗、Email欺骗、DNS欺骗和Web欺骗,特别是对网络钓鱼的防御和检测提出了他们的见解.
他们认为网络钓鱼不只是一个技术性问题,攻击者会不断发现攻击用户的新途径,目前没有单一的解决方案.
对于检测假冒网站,他们建议:1)通过第三方网站身份诚信认证辨别真实性;2)核对网站域名,假冒网站一般和真实网站有细微区别,如在域名方面,假冒网站通常将英文字母"1"替换为数字"1",CCTV换成CCYV等仿造域名;3)比较网站内容.
假冒网站的字体样式与真实网站往往不一致;4)查询网站ICP备案查询网站的基本情况;5)大型电子商务网站一般应用了可信证书类产品,如其网址非"https"开头,应谨慎对待;6)专用网站检测,如SiteWatcher检测假冒网站(http://www.
sitewatcher.
cn),如图2所示.
图2假冒网站检测56技术研究2012年第12期2.
3SQL注入攻击及防御随着B/S模式应用开发的流行,使用这种模式编写应用程序的程序员也越来越多.
但由于程序员的水平及经验参差不齐,很多程序员在编写表单代码的时候,将用户输入的内容直接用来构造动态SQL命令或作为存储过程的输入参数,攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令,这就是SQL注入攻击[7].
表面看SQL注入跟一般的Web页面访问没什么区别,一般防火墙也不会对SQL注入发出警报,故而网站被入侵很久也可能不会被发觉.
据调查,国内采用ASP+Access或SQLServer数据库的网站占70%以上.
第八组的同学在虚拟机上搭建一套采用ASP+Access数据库的留言板网络应用,其首页地址为:http://192.
168.
80.
128:8181/bbs/index.
asp,公告链接为:http://192.
168.
80.
128:8181/bbs/gshow.
aspid=1,通过在id参数后面加上andexists(select*frommsysobjects),构成完整的SQL注入测试语句:http://192.
168.
80.
128:8181/bbs/gshow.
aspid=1andexists(select*frommsysobjects).
服务器返回的结果如图3所示,从而确定该网站存在SQL注入漏洞,且后台采用的是Access数据库.
图3SQL注入数据库类型检测模拟实验后,他们将SQL注入技术应用于互联网真实环境,探测有SQL注入漏洞的网站.
通过百度探测采用ASP搭建的网站,搜索语句为"inurl:aspid=site:com",扫描到有注入点的网站,通过SQL注入查看到了某网站的数据库、表、字段等内容,获得系统管理员账号admin及其口令的MD5值,通过在MD5解密网站上解密后,成功登陆该网站后台管理系统,如图4所示.
SQL注入是危害Web安全的主要攻击手段,存在SQL注入漏洞的网站一旦被攻击成功后,产生的后果可能是毁灭性的,如:1)非法越权操作数据库内容;2)随意篡改网页内容;3)添加系统账户或者数据库账户;4)安装木马后门;5)本地溢出获得服务器最高权限.
在成功演示SQL注入漏洞后,第八组同学联系该网站系统管理员,善意提出阻塞SQL注入漏洞的建议,该网站网管员向他们表示了衷心的谢意.
3结束语《网络攻击与防御》课程是信息安全专业的核心课程,通过该门课程的学习,使学生掌握网络安全技术研究的内容以及网络安全应用领域的相关基本知识和实践技能,为从事网络安全的应用、管理等岗位工作奠定坚实的基础.
该门课程能使学生具备胜任企业网络安全管理、系统维护、网络安全防御等相关专业技术岗位的工作,为学生通过计算机网络管理员等技能证书的考核起到良好的支撑作用.
在实践教学环节中以"情境教学"为主线,将教、学、做有机结合在一起.
通过本课程的学习,有效培养学生的实际动手能力、自主学习、分析问题、解决问题的能力,同时也能培养学生团队协作和组织能力,使学生具备良好的职业素养.
网络攻击者和防御者之间的博弈是信息安全领域的永恒话题[8].
IT技术的持续发展演变使得信息安全形势也随之动态变化,并给信息安全的教学带来了新的挑战,采用攻防角色分组的情境教学方式是我们一次有益的尝试.
参考文献:[1]张玉清等.
网络攻击与防御技术[M].
北京:清华大学出版社,2011.
[2]沈昌祥.
加强信息安全学科、专业建设和人才培养[J].
计算机教育,2007,(10):6.
[3]国家计算机网络应急技术处理协调中心.
2011年中国互联网网络安全报告[EB/OL].
http://www.
cert.
org.
cn,2012-05-23.
[4]ChengChen,KuiWu,VenkateshSrinivasan,XudongZhang.
BattlingtheInternetWaterArmy:DetectionofHiddenPaidPosters[EB/OL].
http://arxiv.
org/abs/1111.
4297v1,2011-11-12.
[5]张敏钰.
钓鱼网站简介[J].
保密科学技术,2011,(06):72-75.
[6]张加龙.
一种检测鉴别假冒网页的方法[D].
北京:吉林大学,2008.
[7]练坤梅,许静,田伟,张莹.
SQL注入漏洞多等级检测方法研究[J].
计算机科学与探索,2011,(05):474-480.
[8]顾纯祥,徐洪,郑永辉.
信息安全专业实践教学方法探讨[C].
2011年全国密码学与信息安全教学研讨会,2011.
224-226.
图4网站后台管理系统