1、第二章 网络攻击与交易欺诈2.1 网络攻击的概念2.2 网络攻击技术2.3 网购欺诈与防范2.1 网络攻击的基本概念2.1.1 黑客的含义“黑客”一词是由英文单词“Hacker”音译过来的。最初起源于20世纪50年代,是指那些精力充沛、热衷于解决计算机难题的程序员。通常所说的“黑客”指的是骇客(Cracker,破坏者),是那些怀有不良企图,强行闯入他人系统或以某种恶意目的干扰他人的网络,运用自己的知识去做出有损他人权益的事情的人,也称入侵者。 最早的计算机于1946年在宾夕法尼亚大学诞生,而最早的黑客出现于麻省理工学院,贝尔实验室也有。他们一般都是一些高级的技术人员,热衷于挑战、崇尚自由并主张
2、信息的共享。图2-1 互联网中的木马黑色产业链案例2.1.2 网络攻击的类型1.按照攻击目的分类(1)主动攻击 主动攻击会导致某些数据流的篡改和虚假数据流的产生。这类攻击可分为篡改、伪造消息数据和拒绝服务。(2)被动攻击 被动攻击中攻击者不对数据信息做任何修改,通过截取和窃听,在未经用户同意和认可的情况下攻击者获得了信息或相关数据。通常包括窃听、流量分析、破解弱加密的数据流等攻击方式。2.1.2 网络攻击的类型2.按照入侵者的攻击手段分类(1)拒绝服务攻击:是最容易实施的攻击行为,它企图通过使目标计算机崩溃或把它压跨来阻止其提供服务。(2)利用型攻击:是一类试图直接对主机进行控制的攻击。主要包
3、括:口令猜测,特洛伊木马,缓冲区溢出等。(3)信息收集型攻击:这类攻击并不对目标本身造成危害,而是被用来为进一步入侵提供有用的信息。(4)假消息攻击:用于攻击目标配置不正确的消息,主要包括:DNS高速缓存污染、伪造电子邮件等。(5)病毒攻击:是指使目标主机感染病毒从而造成系统损坏、数据丢失、拒绝服务、信息泄密、性能下降等现象的攻击。 (6)社会工程学攻击:社会工程学攻击是指利用人性的弱点、社会心理学等知识来获得目标系统敏感信息的行为。图2-2 常见的网络攻击方法2.1.3 网络攻击的步骤(1)攻击的准备阶段(2)攻击的实施阶段(3)攻击的善后阶段图2-4 网络攻击基本流程2.2 网络攻击技术1
4、安全漏洞漏洞是指计算机系统具有的某种可能被入侵者恶意利用的属性,在计算机安全领域,安全漏洞通常又称作脆弱性。简单地说,计算机漏洞是系统的一组特性,恶意的主体能够利用这组特性,通过已授权的手段和方式获取对资源的未授权访问,或者对系统造成损害。现在Internet上仍然在使用的TCP/IP在最初设计时并没有考虑安全方面的需求。从技术角度来看,漏洞的来源主要有:软件或协议设计时的瑕疵、软件或协议实现中的弱点、软件本身的瑕疵、系统和网络的错误配置等。2.2 网络攻击技术2. 网络扫描的概念网络扫描就是对计算机系统或者其他网络设备进行与安全相关的检测,以找出目标系统所放开放的端口信息、服务类型以及安全隐
5、患和可能被黑客利用的漏洞。网络扫描的基本原理是通过网络向目标系统发送一些特征信息,然后根据反馈情况,获得有关信息。网络扫描通常采用两种策略:第一种是被动式策略第二种是主动式策略防范扫描可行的方法是:(1)关闭掉所有闲置的和有潜在威胁的端口。(2)通过防火墙或其它安全系统检查各端口。(3)利用“陷阱”技术在一些端口引诱黑客扫描。2.2 网络攻击技术3.常用的网络扫描工具(1)Nmap:扫描器之王Nmap(Network Mapper,网络映射器)是一款开放源代码的网络探测和安全审核的工具。它可以在大多数版本的Unix系统中运行,并且已经被移植到了Windows系统中。它主要在命令行方式下使用,可
6、以快速地扫描大型网络,也可以扫描单个主机。(2)Nessus:分布式的扫描器Nessus是一种用来自动检测和发现已知安全问题的强大扫描工具,运行于Solaris、Linux等系统,源代码开放并且可自由地修改后再发布,可扩展性强,当一个新的漏洞被公布后很快就可以获取其新的插件对网络进行安全性检查。(3)X-Scan:国内最好的扫描器X-Scan是国内最著名的综合扫描器之一,完全免费,是不需要安装的绿色软件,其 界面支持中文和英文两种语言,使用方式有图形界面和命令行方式两种,支持windows操作系统。2.2.2网络监听1网络监听的概念 网络监听也被称作网络嗅探(Sniffer)。它工作在网络的底
7、层,能够把网络传输的全部数据记录下来,黑客一般都是利用该技术来截取用户口令的。网络监听具有以下特点:(1)隐蔽性强:进行网络监听的主机只是被动地接收在网络中传输的信息,没有任何主动的行为。(2)手段灵活:网络监听可以在网络中的任何位置实施,可以是网络中的一台主机、路由器,也可以是调制解调器。2.2.2网络监听2监听的原理正常情况下,网卡只接收发给自己的信息,但是如果将网卡模式设置为混杂模式,让所有经过的数据包都传递给系统核心;然后被Sniffer等程序利用。所谓混杂接收模式是指网卡可以接收网络中传输的所有报文,无论其目的MAC地址是否为该网卡的MAC地址。要使机器成为一个Sniffer,需要一
8、个特殊的软件(以太网卡的广播驱动程序)或者需要一种能使网络处于混杂模式的网络软件。2.2.2网络监听3监听的防范可以通过检测混杂模式网卡的工具来发现网络嗅探。还可以通过网络带宽出现反常来检测嗅探。最好的办法就是使网络嗅探不能达到预期的效果,使嗅探价值降低。4常见的网络监听工具Sniffer Pro、Ethereal、Sniffit、Dsniff、Libpcap/Winpcap、Tcpdump/Windump。2.2.3Web欺骗1Web欺骗的概念 Web欺骗是指攻击者建立一个使人信以为真的假冒Web站点,这个Web站点“拷贝”就像真的一样,它具有原页面几乎所有页面元素。然而攻击者控制了这个We
9、b站点的“拷贝”,被攻击对象和真的Web站点之间的所有信息流动都被攻击者所控制了。 2.Web攻击的原理 Web欺骗攻击的原理是打断从被攻击者主机到目标服务器之间的正常连接,并建立一条从被攻击主机到攻击主机再到目标服务器的连接。图2-5 假冒银行服务器的Web攻击示意图2.2.3Web欺骗3.Web欺骗的防范(1)IP地址、子网、域的限制:它可以保护单个的文档,也可以保护整个的目录。(2)用户名和密码:为获取对文档或目录的访问,需输入用户名和密码。(3)加密:这是通过加密技术实现的,所有传送的内容都是加密的,除了接收者之外无人可以读懂。(4)上网浏览时,最好关掉浏览器的 JavaScript,
10、只有当访问熟悉的网站时才打开它。(5)不从自己不熟悉的网站上链接到其他网站,特别是链接那些需要输入个人账户名和密码的有关电子商务的网站。(6)要养成从地址栏中直接输入网址来实现浏览网站的好习惯。2.2.4IP地址欺骗1 IP地址盗用所谓IP地址欺骗,就是伪造某台主机的IP地址的技术。其实质就是让一台机器来扮演另一台机器,以达到蒙混过关的目的。被伪造的主机往往具有某种特权或者被另外的主机所信任。 2. IP欺骗的原理IP欺骗是利用主机之间的正常的信任关系来发动的,这种信任是有别于用户间的信任和应用层的信任的。黑客可以通过命令方式或扫描技术、监听技术来确定主机之间的信任关系。3. IP欺骗的防范(
11、1)放弃基于地址的信任策略(2)对数据包进行限制(3)应用加密技术2.2.5 缓冲区溢出1缓冲区溢出的概念缓冲区溢出攻击是一种系统攻击的手段,通过往缓冲区写超出其长度的内容,造成缓冲区溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。2. 缓冲区溢出的原理 如下C语言代码段: void function(char *str) char buffer16; strcpy(buffer,str); 该程序的功能是通过strcpy函数把str中的字符串拷贝到数组buffer16中去,如果str的长度超过16就会造成数组buffer的溢出,使程序出错。2.2.5 缓冲区溢出3缓冲区溢
12、出的防范(1)编写正确的代码在程序开发时就要考虑可能的安全问题,杜绝缓冲区溢出的可能性。(2)非执行的缓冲区是指通过使被攻击程序的数据段地址空间不可执行,从而使得攻击者不可能执行被攻击程序输入缓冲区的代码。(3)指针完整性检查堆栈保护是一种提供程序指针完整性检查的编译器技术,通过检查函数活动记录中的返回地址来实现。(4)用好安全补丁实际上,让普通用户解决所有的安全问题是不现实的,用补丁修补缺陷则是一个不错的,也是可行的解决方法。2.2.6 拒绝服务攻击拒绝服务攻击(Dos)是一种简单有效的攻击方式,其目的是使服务器拒绝正常的访问,破坏系统的正常运行,最终使部分网络连接失败,甚至网络系统失效。图
13、2-6 正常情况下的连接交互 图2-7 拒绝服务攻击(DoS)(控制)2.2.6 拒绝服务攻击形形色色的DOS攻击:(1)死亡之ping:将一个包分成的多个片段的叠加却能做到发送超长包。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的死机。 (2)SYN Flood:以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,导致目标主机复旦过重而死机。(3)Land攻击:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机。(4)泪珠(Teardrop)攻击
14、:IP数据包在网络传递时,数据包可以分成更小的片段,为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源。3.分布式拒绝服务攻击2.2.6 拒绝服务攻击4.拒绝服务攻击的防范(1)与ISP合作:与ISP配合对路由访问进行控制、对网络流量的监视,以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率。(2)漏洞检查:定期使用漏洞扫描软件对内部网络现有的、潜在的漏洞进行检查,以提高系统安全的性能。(3)服务器优化:确保服务器的安全,使攻击者无法获得更多内部主机的信息,从而无法发动有效的攻击。(4)应急响应:建立应急机构和制度,制定紧急应对策略,以便拒绝服务攻击发生时能够迅速恢复系
15、统和服务。同时还要注意对员工进行相关的培训,使其掌握必要的应对措施和方法。2.2.7 特洛伊木马特洛伊木马(Trojan horse)其名称取自希腊神话的特洛伊木马,它是一种基于远程控制的黑客工具。特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小,运行时不会浪费太多资源,因此没有使用杀毒软件是难以发觉的。木马的特征:隐蔽性、潜伏性、危害性、非授权性。图2-9 灰鸽子木马产业链示意图图2-10 木马的工作原理一般木马的伪装方式(1)修改图标:当你在E-MAIL的附件中看到如HTML、TXT、ZIP等文件的图标时,不要轻信这是一般的文本文件,有可能就是修改后的木马文件。(2)捆绑文
16、件:这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。(3)出错显示:有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序。(4)定制端口:很多新式的木马都加入了定制端口的功能,这样就给判断所感染木马类型带来了麻烦。(5)自我销毁:是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源。(6)木马更名:很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。3.木马的分类(1)网络游戏木马网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用
17、户的密码和帐号。(2)网银木马网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。(3)通讯软件木马国内即时通讯软件百花齐放。QQ、新浪UC、网易泡泡、盛大圈圈网上聊天的用户群十分庞大。发送消息型、盗号型、传播自身型(4)网页点击类木马网页点击类木马会恶意模拟用户点击广告等动作,在短时间内可以产生数以万计的点击量。2.2.8 电子邮件攻击2.邮件攻击方式(1)窃取、篡改数据通过监听数据包或者截取正在传输的信息,可以使攻击者读取或者修改数据。(2)伪造邮件SMTP协议极其缺乏验证能力,所以假冒某一个邮箱进行电子邮件欺骗并非一件难的事情。(3)拒绝服务攻击者使用一
18、些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。图2-12 邮件加密和签名的原理图2.3 网购欺诈与防范2.3.1 网络购物的安全隐患1基于互联网本身的安全问题2法律对网上购物安全性的影响3支付上的安全问题4商家角度上的安全问题2.3.2 网购诈骗方法(1)发送电子邮件,以虚假信息引诱用户中圈套(2)建立假冒网站骗取用户账号密码实施盗窃(3)利用虚假的电子商务进行诈骗(4)利用“木马”和“黑客”技术窃取用户信息(5)网址诈骗(6)破解用户“弱口令”窃取资金(7)手机短信诈骗2.3.3 网购欺诈的防范(1)认清虚假信息(2)谨防钓鱼网站(3)确保支付安全(4)保密个人信息本章小结网络购物的安全问题主要根源在于:基于互联网本身的安全问题、法律对网上购物安全性的影、支付上的安全问题、商家角度上的安全问题。主要欺诈方式包括:盗取个人信息、破译账户密码、种植木马、网络钓鱼等方式,也有利用消费者的心里弱点制造网购陷阱,比如:超低价、中奖、免费送等等。保障网络购物的安全要形成从消费者、商家、交易平台到全社会的安全防范体系,不但要从技术上保证交易系统的安全,更要从个人安全意识、系统安全管理到电子商务法律法规建设着手,全方位的为电子商务健康发展保驾护航。
