漏洞攻擊技術(shù)論文
漏洞攻擊技術(shù)論文
隨著互聯(lián)網(wǎng)的迅速發(fā)展,漏洞攻擊已成為了一種最廣泛的攻擊方式,下面是小編精心推薦的一些漏洞攻擊技術(shù)論文,希望你能有所感觸!
漏洞攻擊技術(shù)論文篇一
計(jì)算機(jī)系統(tǒng)漏洞攻擊及防范研究
摘要:隨著互聯(lián)網(wǎng)的迅速發(fā)展,系統(tǒng)漏洞攻擊已成為了一種最廣泛的攻擊方式,該文對(duì)計(jì)算機(jī)系統(tǒng)漏洞攻擊進(jìn)行了分析,并提出了病毒防范的建議,從而達(dá)到提高計(jì)算機(jī)用戶安全工作環(huán)境的目的。
關(guān)鍵詞:系統(tǒng)漏洞;漏洞攻擊;防范
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2015)27-0035-02
Abstract: With the rapid development of the Internet, the system has become the most widely used attack mode, this paper analyzes the computer system vulnerabilities, and puts forward some suggestions to prevent the virus, so as to achieve the purpose of improving the safety working environment of computer users.
Key words: system vulnerability; vulnerability attack; prevention
1 引言
隨著互聯(lián)網(wǎng)的迅速發(fā)展,人們?cè)诠ぷ骱蜕钪幸苍絹碓揭蕾囉诰W(wǎng)絡(luò),這對(duì)病毒的傳播提供了更快、更廣的途徑。計(jì)算機(jī)病毒不僅是對(duì)計(jì)算機(jī)系統(tǒng)造成危害,而且對(duì)計(jì)算機(jī)用戶的隱私數(shù)據(jù)信息造成威脅,因此每一位計(jì)算機(jī)用戶都應(yīng)該對(duì)計(jì)算機(jī)病毒有所了解,掌握基本的病毒防御措施,提高自己的網(wǎng)絡(luò)安全意識(shí)。
2 系統(tǒng)漏洞攻擊介紹
計(jì)算機(jī)系統(tǒng)漏洞是指在硬件、軟件及協(xié)議的實(shí)現(xiàn)中存在的缺陷,黑客利用這種缺陷產(chǎn)生相應(yīng)危害的攻擊。隨著互聯(lián)網(wǎng)的快速發(fā)展,計(jì)算機(jī)的廣泛應(yīng)用,操作系統(tǒng)的漏洞已經(jīng)被越來越多的黑客所利用,計(jì)算機(jī)遭受的攻擊也越來越頻繁。系統(tǒng)漏洞主要分為緩沖區(qū)溢出漏洞和內(nèi)存損壞漏洞。緩沖區(qū)溢出漏洞是最常見、最典型的漏洞之一,緩沖區(qū)是一個(gè)有限的數(shù)據(jù)存儲(chǔ)區(qū)域,當(dāng)某個(gè)程序存儲(chǔ)于緩沖區(qū)的數(shù)據(jù)大于緩沖區(qū)的容量時(shí)就會(huì)發(fā)生溢出,溢出的數(shù)據(jù)到相鄰的內(nèi)存地址,病毒制造者就會(huì)利用這種漏洞,對(duì)接收數(shù)據(jù)的緩沖區(qū)長(zhǎng)度進(jìn)行計(jì)算分析,從而將自己的病毒代碼程序放在發(fā)送的數(shù)據(jù)后面,覆蓋的數(shù)據(jù)正是病毒代碼的地址,當(dāng)操作系統(tǒng)程序執(zhí)行完畢返回時(shí)就會(huì)執(zhí)行病毒代碼,造成危害。像“紅色代碼”、“沖擊波”等病毒就是利用該漏洞來攻擊計(jì)算機(jī)。內(nèi)存損壞漏洞是由已經(jīng)釋放的內(nèi)存塊被重新使用所造成的。特別是在使用微軟COM技術(shù)時(shí),如果使用對(duì)象不加以引用,就很容易造成內(nèi)存的破壞,導(dǎo)致軟件異常而無法繼續(xù)執(zhí)行。
2.1 MS08-067漏洞分析
MS08-067是一個(gè)具有主動(dòng)暴露性的高危漏洞,可以造成“遠(yuǎn)程執(zhí)行代碼”的后果,非常的適合制作網(wǎng)絡(luò)蠕蟲。MS08-067漏洞位于netapi32.dll中,其中NetpwpathCanonicalize()函數(shù)在解析路徑名時(shí)存在堆棧上溢的問題,攻擊者利用這點(diǎn)來構(gòu)造路徑參數(shù)來覆蓋函數(shù)的返回地址,從而來執(zhí)行遠(yuǎn)程代碼。攻擊者也可以通過RPC發(fā)送請(qǐng)求,使svchost.exe產(chǎn)生遠(yuǎn)程溢出。
以netapi32.dll為例來分析漏洞形成的原因。
從圖1中可知,Netapi32.dll!netpwpathcanonicalize函數(shù)通過內(nèi)部函數(shù)Canonicalizepathname來處理傳入的路徑,在Canonicalizepathname函數(shù)中出現(xiàn)漏洞溢出。該函數(shù)首先把路徑中的“/”轉(zhuǎn)換成“\”,然后修改傳入路徑緩沖區(qū)來得到相對(duì)的路徑。在處理相對(duì)路徑時(shí),使用兩個(gè)指針分別指向前一個(gè)斜杠和當(dāng)前的“\”,當(dāng)掃描到“…\”時(shí),復(fù)制從Currentslash開始的數(shù)據(jù)到Prevslash開始的空間,然后從當(dāng)前的Prevslash指針減1的位置開始向前搜索來重新定位Prevslash,函數(shù)的處理過程如圖2所示。
當(dāng)完成對(duì)’…\’的替換,緩沖區(qū)的內(nèi)容為’\a’。依照函數(shù)的算法,Prevslash減1并開始向前搜索,Prevslash已經(jīng)向前越過了路徑緩沖區(qū)的起始地址,導(dǎo)致該函數(shù)向堆棧的低地址上溢出,攻擊者就可以通過傳入已構(gòu)造的路徑數(shù)據(jù)覆蓋掉函數(shù)的返回地址來執(zhí)行代碼。
2.2 ARP協(xié)議安全漏洞分析
ARP協(xié)議的基本功能是通過目的設(shè)備的IP地址來查詢目的設(shè)備的MAC地址從而保證數(shù)據(jù)通信的正常進(jìn)行。ARP攻擊通過偽造IP地址和MAC地址來實(shí)現(xiàn)ARP欺騙,在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信數(shù)據(jù)量來使網(wǎng)絡(luò)阻塞,進(jìn)行ARP的重定向和嗅探攻擊。利用偽造的MAC地址發(fā)送ARP響應(yīng)數(shù)據(jù)包,實(shí)現(xiàn)對(duì)ARP高速緩存的攻擊。
當(dāng)局域網(wǎng)內(nèi)的某臺(tái)主機(jī)運(yùn)行了ARP欺騙程序時(shí),就會(huì)欺騙到局域網(wǎng)內(nèi)的所有主機(jī)和路由器,讓上網(wǎng)的流量都必須通過病毒的主機(jī),從而竊取用戶的信息,上網(wǎng)速度也會(huì)變慢。由ARP病毒引起的ARP欺騙,中毒的機(jī)器會(huì)發(fā)送虛假的ARP應(yīng)答包進(jìn)行ARP欺騙,從而使其它客戶機(jī)不能獲得真實(shí)的MAC地址,導(dǎo)致無法上網(wǎng)進(jìn)行正常的數(shù)據(jù)通信。病毒的樣本由三個(gè)組件構(gòu)成,分別為%windows%\system32\loadhw.exe病毒組件;%windows%\system32\drivers\npf.sys發(fā)ARP欺騙包的驅(qū)動(dòng)程序;%windows%\system32\msitinit.dll命令驅(qū)動(dòng)程序發(fā)ARP欺騙包的控制者。ARP病毒的運(yùn)行過程是:首先,LOADHW.EXE執(zhí)行時(shí)會(huì)釋放npf.sys和msitinit.dll兩個(gè)組件; 隨后npf.sys和msitinit.dll注冊(cè)為內(nèi)核級(jí)驅(qū)動(dòng)設(shè)備:”Netgroup Packet Filter D riner”,msitinit.dll還負(fù)責(zé)發(fā)送一些指令,如發(fā)送ARP欺騙包、抓包等指令來操作驅(qū)動(dòng)程序npf.sys; npf.sys負(fù)責(zé)監(jiān)護(hù)msitinit.dll,并將LOADHW.EXE注冊(cè)為自啟動(dòng)程序:
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUNONCE] DWMYTEST =LOADHW.EXE.
3 漏洞防范措施
系統(tǒng)軟件越來越復(fù)雜,漏洞也隨之越來越多,所受到的攻擊也越來越嚴(yán)重,為了創(chuàng)建一個(gè)安全健康的操作環(huán)境,可以從幾個(gè)方面來防范,盡可能地阻止外來的攻擊。
(1) 對(duì)計(jì)算機(jī)系統(tǒng)漏洞有一個(gè)基本的認(rèn)識(shí),養(yǎng)成定期升級(jí)、打補(bǔ)丁的良好習(xí)慣。
(2) 用戶可以在“開始”菜單中的“Windows update”選項(xiàng)中經(jīng)常關(guān)注最新的更新信息。
(3) 利用任務(wù)管理器查看有無異常的程序,及時(shí)關(guān)閉占用大量?jī)?nèi)存或CPU時(shí)間的服務(wù)程序,經(jīng)常查殺毒。
(4) 對(duì)注冊(cè)表進(jìn)行備份,或者下載注冊(cè)表修復(fù)程序,一旦發(fā)現(xiàn)異常立刻進(jìn)行修復(fù)。
(5) 關(guān)閉不需要的系統(tǒng)服務(wù),可以通過“控制面板”――“管理工具”――“服務(wù)”來啟動(dòng)服務(wù)管理器,根據(jù)需要關(guān)閉一些不用的服務(wù)程序,比如RPC服務(wù)。
4 結(jié)語(yǔ)
文中僅僅對(duì)MS08-067漏洞和ARP協(xié)議安全漏洞兩種類型的攻擊進(jìn)行了分析,但由于計(jì)算機(jī)用戶所使用的系統(tǒng)及一些主流的路由器防火墻軟件都存在著安全漏洞,造成了黑客進(jìn)行不同類型的攻擊,產(chǎn)生巨大的危害。只有全面提高計(jì)算機(jī)用戶的病毒分析與病毒防御技術(shù)能力,才能使計(jì)算機(jī)系統(tǒng)遭受攻擊的可能性降低,危害降為最小。
參考文獻(xiàn):
[1] 王雨晨. 系統(tǒng)漏洞原理與常見攻擊方法[J]. 計(jì)算機(jī)工程與應(yīng)用,2010(3):62-64.
[2] 吳舒平,張玉清. 漏洞庫(kù)發(fā)展現(xiàn)狀的研究及啟示[J]. 計(jì)算機(jī)安全, 2010(11): 82-84.
[3] 黃俊強(qiáng),宋超臣. 一種多方聯(lián)動(dòng)的信息系統(tǒng)漏洞應(yīng)對(duì)方案[J]. 信息安全與技術(shù),2014(6):41-43.
點(diǎn)擊下頁(yè)還有更多>>>漏洞攻擊技術(shù)論文