浅谈几种网络攻击手段.doc

网络安全
——浅谈网络攻击手段
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统保持连续可靠正常地运行,网络服务不中断。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域;从其本质上来讲就是网络上的信息安全。举个例子:从个人或者企业的角度来说,他们都希望涉及到自身隐私或者商业机密的信息在网络中传播时受到保护,避免陌生人或者竞争对手的利用窃取、冒充、篡改等手段来破坏自身的隐私或者利益。
我在这里稍微谈一下针对网络的攻击手段。
1、针对web application的攻击
网络应用程序,一般指web服务器端的cgi程序,常见的有asp,php,。因此因此针对web ,也就是脚本程序员的安全意识不高,,从而导致过滤不严,使得客户端所输入的恶意代码,危险数据得以在服务器端正常运行,进而操纵数据库,达到攻击者的目的.
2、系统中应用软件安全
纵观当前软件,无论是系统软件还是应用软件,存在安全缺陷的原因无非以下几种情况:编程语言本身缺陷;设计阶段部署失误;编码阶段人为原因,如故意留后门;-u,总是爆出漏洞,,例如对C语言中strcpy,strcat不合理的利用,将导致缓冲区溢出.
3、网络边界安全
网络边界包括路由器,防火墙,入侵检测系统IDS,虚拟专用网VPN,,,. 防火墙分为包过滤和应用代理两大类,但把以上两种技术结合的防火墙已经出现,,绕过防火墙对于富有经验的攻击者而言简直易如反掌. IDS在设计上本就不完美,它只能根据数据库中已存在的记录去判定什么是入侵行为,应该发出警报,而什么不需要.
4、协议缺陷的利用
针对互联网目前广泛使用的TCP/IP协议族,,DNS欺骗,DHCP欺骗,以及拒绝服务攻击,,, 安全焦点web服务器被D持续近一个星期,(man in middle),攻击者通过嗅探,监听等手段冒充服务器信任机对服务器实施欺骗,实现攻击者的目的.
5、社会工程学与钓鱼
社会工程学其实就是攻击者利用人性的弱点,使用诸如欺骗,伪造,冒充等手段获得想要的信息,,往往能获得令人意想不到的结果.
6、脚本攻击技术
着重介绍下SQL注入攻击的防御与突破目前比