当前位置：首页 > 实用文档 > 其他范文> 网络层安全服务与攻击分析

网络层安全服务与攻击分析

时间：2023-12-10 07:56:50 其他范文收藏本文下载本文

网络层安全服务与攻击分析（推荐7篇）由网友“假装ゝ无所谓”投稿提供，下面是小编给大家带来的网络层安全服务与攻击分析，以供大家参考，我们一起来看看吧!

网络层安全服务与攻击分析

篇1：网络层安全服务与攻击技巧分析

正文：在网络层实现安全服务有很多的优点。首先，由于多种传送协议和应用程序可以共享由网络层提供的密钥管理架构，密钥协商的开销被大大地削减了。其次，若安全服务在较低层实现，那么需要改动的程序就要少很多。但是在这样的情况下仍会有新的安全问题。本文将对此作出阐述。

目前公认的网络攻击三种原型是、篡改、伪造、拒绝服务攻击等。

IPSec 针对攻击原型的安全措施

IPsec提供三项主要的功能：认证功能(AH)，认证和机密组合功能(ESP)及密钥交换功能。AH的目的是提供无连接完整性和真实性包括数据源认证和可选的抗重传服务；ESP分为两部分，其中ESP头提供数据机密性和有限抗流量分析服务，在ESP尾中可选地提供无连接完整性、数据源认证和抗重传服务。

IPSec提供了一种标准的、健壮的以及包容广泛的机制，可用它为IP及上层协议(如UDP和TCP)提供安全保证。它定义了一套默认的、强制实施的算法，以确保不同的实施方案相互间可以共通。而且很方便扩展，

IPSec可保障主机之间、安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。IPSec是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec有两个基本目标：保护IP数据包安全；为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理，三者共同实现上述两个目标，IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设，就是假定数据通信的传输媒介是不安全的，因此通信数据必须经过加密，而掌握加解密方法的只有数据流的发送端和接收端，两者各自负责相应的数据加解密处理，而网络中其他只负责转发数据的路由器或主机无须支持IPSec。

IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。

(1)验证:通过认证可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。

(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。

(3)保密:使相应的接收者能获取发送的真正内容，而无关的接收者无法获知数据的真正内容。

IPv6下对网络安全的威胁

针对密码攻击的分析

基于密码的攻击很具有生命力，在IPv6环境下同样面临着这样的威胁。虽然在网络IPv6下IPsec是强制实施的，但是在这种情况下，用户使用的操作系统与其他访问控制的共同之处就是基于密码进行访问控制。对计算机与网络资源的访问都是由用户名与密码决定的。对那些版本较老的操作系统，有些组件不是在通过网络传输标识信息进行验证时就对该信息加以保护，这样者能够获取有效的用户名与密码，就拥有了与实际用户同样的权限。攻击者就可以进入到机器内部进行恶意破坏。

篇2：网络层安全服务与攻击

在网络层实现安全服务有很多的优点，首先，由于多种传送协议和应用程序可以共享由网络层提供的密钥管理架构，密钥协商的开销被大大地削减了。其次，若安全服务在较低层实现，那么需要改动的程序就要少很多。但是在这样的情况下仍会有新的安全问题。本文将对此作出阐述。目前公认的网络攻击三种原型是、篡改、伪造、拒绝服务攻击等。

IPSec 针对攻击原型的安全措施

IPsec提供三项主要的功能：认证功能(AH)，认证和机密组合功能(ESP)及密钥交换功能。AH的目的是提供无连接完整性和真实性包括数据源认证和可选的抗重传服务；ESP分为两部分，其中ESP头提供数据机密性和有限抗流量分析服务，在ESP尾中可选地提供无连接完整性、数据源认证和抗重传服务。IPSec提供了一种标准的、健壮的以及包容广泛的机制，可用它为IP及上层协议(如UDP和TCP)提供安全保证。它定义了一套默认的、强制实施的算法，以确保不同的实施方案相互间可以共通。而且很方便扩展。IPSec可保障主机之间、安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。IPSec是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec有两个基本目标：保护IP数据包安全；为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理，三者共同实现上述两个目标，IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设，就是假定数据通信的传输媒介是不安全的，因此通信数据必须经过加密，而掌握加解密方法的只有数据流的发送端和接收端，两者各自负责相应的数据加解密处理，而网络中其他只负责转发数据的路由器或主机无须支持IPSec。

IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。

(1)验证:通过认证可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。

(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。

(3)保密:使相应的接收者能获取发送的真正内容，而无关的接收者无法获知数据的真正内容。

IPv6下对网络安全的威胁

针对密码攻击的分析

针对泄漏密钥攻击的分析

IPv6下IPsec工作的两种模式(传输模式和隧道模式)都需要密钥交换这样的过程，因此对密钥的攻击仍然具有威胁。尽管对于攻击者来说确定密钥是一件艰难而消耗资源的过程，但是这种可能性实实在在存在。当攻击者确定密钥之后，攻击者使用泄露密钥便可获取对于安全通信的访问权，而发送者或接收者却全然没有察觉攻击，后面所进行的数据传输等等遭到没有抵抗的攻击。进而，攻击者使用泄露密钥即可解密或修改其他需要的数据。同样攻击者还会试图使用泄露密钥计算其它密钥，从而使其获取对其它安全通信的访问权。

针对应用层服务攻击

应用程序层攻击的目标是应用程序服务器，即导致服务器的操作系统或应用程序出错。这会使攻击者有能力绕过正常访问控制。攻击者利用这一点便可控制应用程序、系统或网络，并可进行下列任意操作：读取、添加、删除或修改数据或操作系统；引入病毒，即使用计算机与软件应用程序将病毒复制到整个网络；引入窃探器来分析网络与获取信息，并最终使用这些信息导致网络停止响应或崩溃；异常关闭数据应用程序或操作系统；禁用其它安全控制以备日后攻击，

由于IPsec在网络层进行数据包加密，在网络传输过程中防火墙无法有效地将加密的带有病毒的数据包进行有效的监测，这样就对接收端的主机或路由器构成了威胁。

可能发生的拒绝服务攻击

密钥管理分为手工密钥管理和自动密钥管理。Internet密钥管理协议被定位在应用程序的层次，IETF规定了Internet安全协议和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol) 来实现IPSec的密钥管理需求, 为身份验证的SA 设置以及密钥交换技术定义了一个通用的结构, 可以使用不同的密钥交换技术；IETF还设计了OA KL EY密钥确定协议(Key Determination Protocol) 来实施ISAKMP的具体功能, 其主要目的是使需要保密通信的双方能够通过这个协议证明自己的身份、认证对方的身份、确定采用的加密算法和通信密钥, 从而建立起安全的通信连接。

对IPsec最主要的难应用性在于它们所强化的系统的复杂性和缺乏清晰性。IPsec中包含太多的选项和太多的灵活性。对于相同的或者类似的情况常常有多种做法。

IKE的协议容易受到拒绝服务攻击。攻击者可以在因特网初始化许多连接请求就可以做到，这时服务器将会维护这些恶意的小甜饼。

加密是有代价的。进行模数乘幂运算，或计算两个非常大的质数的乘积，甚至对单个数据包进行解密和完整性查验，都会占用cpu的时间。发起攻击的代价远远小于被攻击对象响应这种攻击所付出的代价。例如，甲想进行一次Diffie-Hellman密钥交换，但mallory向她发送了几千个虚假的Diffie-Hellman公共值，其中全部填充伪造的返回地址。这样乙被动地进入这种虚假的交换。显然会造成cpu的大量浪费。

IPsec对相应的攻击提出了相应的对策。但它并不是通过抵挡服务否认攻击来进行主动防御，只是增大了发送这种垃圾包的代价及复杂度，来进行一种被动防御。

但是攻击者仍然可以利用IKE协议的漏洞从而使服务中断。

以下是基于签名的IKE阶段1主模式的认证失败(如图4所示)。

(Malice 对I使用他的真实身份信息，而对R则冒充I)

1. I到Malice：HDRI,SAI;

1Malice(I)到R：HDRI，SAI；

2R到Malice(I):HDRR,SAR；

2.Malice到I：HDRR，SAR；

3.I到Malice：HDRI，gx，NI；

3Malice(I)到R：HDRI,gx,NI；

4R到Malice(I)：HDRR，gy，NR；

4.Malice到I：HDRR，gy，NR；

5.I到Malice：HDRI，{IDI,CertI,SigI}gxy?；

5Malice(I)到R：HDRI，{IDI,CertI,SigI}gxy；

6R到Malice(I)：HDRR，{IDR,CertR,SigR}gxy；

6. Dropped。

这样，R认为刚才和他对话并和他共享会话密钥的是I，而I却认为刚才是和Malice进行了一次不成功的通信。R根本不会被通知存在任何异常，并且也许会拒绝来自I的服务；实际上R进入了这样一种状态，只接受来自I的服务请求(也许直到超时后，R才会脱离这样的状态。)

面对越来越多的网络安全问题，唯有各种安全协议有效地结合起来使用才会降低攻击的可能性。由于IPsec是IPv6下强制使用的，加上网络层加密的特殊优点，把工作于IP层的IPsec和其他的安全协议(SSL等)结合起来可以将网络安全的质量提高到更高的一个水平。但是同时道高一尺，魔高一丈，新的安全问题会接踵而至，对于协议的漏洞，要先知先觉，这样才会未雨绸缪，防患于未然。

篇3：网络攻击特征分析与反攻击技术

要想更好的保护网络不受的攻击，就必须对的攻击方法、攻击原理、攻击过程有深入的、详细的了解，只有这样才能更有效、更具有针对性的进行主动防护，下面通过对攻击方法的特征分析，来研究如何对攻击行为进行检测与防御。

一、反攻击技术的核心问题

反攻击技术(入侵检测技术)的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息，一种是通过网络侦听的途径(如Sniffer，Vpacket等程序)来获取所有的网络信息(数据包信息，网络流量信息、网络状态信息、网络管理信息等)，这既是进行攻击的必然途径，也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。

二、攻击的主要方式

对网络的攻击方式是多种多样的，一般来讲，攻击总是利用“系统配置的缺陷”，“操作系统的安全漏洞”或“通信协议的安全漏洞”来进行的。到目前为止，已经发现的攻击方式超过种，其中对绝大部分攻击手段已经有相应的解决方法，这些攻击大概可以划分为以下六类:

1.拒绝服务攻击:一般情况下，拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载，从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种，它是最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。

2.非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试，也包括为获得被保护访问权限所做的尝试。

3.预探测攻击:在连续的非授权访问尝试过程中，攻击者为了获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典型示例包括SATAN扫描、端口扫描和IP半途扫描等。

4.可疑活动:是通常定义的“标准”网络通信范畴之外的活动，也可以指网络上不希望有的活动，如IP Unknown Protocol和Duplicate IP Address事件等。

5.协议解码:协议解码可用于以上任何一种非期望的方法中，网络或安全管理员需要进行解码工作，并获得相应的结果，解码后的协议信息可能表明期望的活动，如FTU User和Portmapper Proxy等解码方式。

6.系统代理攻击:这种攻击通常是针对单个主机发起的，而并非整个网络，通过RealSecure系统代理可以对它们进行监视。

三、攻击行为的特征分析与反攻击技术

入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为，要有效的进反攻击首先必须了解入侵的原理和工作机理，只有这样才能做到知己知彼，从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析，并提出相应的对策。

1.Land攻击

攻击类型:Land攻击是一种拒绝服务攻击。

攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的，因为当操作系统接收到这类数据包时，不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况，或者循环发送和接收该数据包，消耗大量的系统资源，从而有可能造成系统崩溃或死机等现象。

检测方法:判断网络数据包的源地址和目标地址是否相同。

反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包)，并对这种攻击进行审计(记录事件发生的时间，源主机和目标主机的MAC地址和IP地址)。

2.TCP SYN攻击

攻击类型:TCP SYN攻击是一种拒绝服务攻击。

攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包，当被攻击主机接收到大量的SYN数据包时，需要使用大量的缓存来处理这些连接，并将SYN ACK数据包发送回错误的IP地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再处理其它合法的SYN连接，即不能对外提供正常服务。

检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。

反攻击方法:当接收到大量的SYN数据包时，通知防火墙阻断连接请求或丢弃这些数据包，并进行系统审计。

3.Ping Of Death攻击

攻击类型:Ping Of Death攻击是一种拒绝服务攻击，

攻击特征:该攻击数据包大于65535个字节。由于部分操作系统接收到长度大于65535字节的数据包时，就会造成内存溢出、系统崩溃、重启、内核失败等后果，从而达到攻击的目的。

检测方法:判断数据包的大小是否大于65535个字节。

反攻击方法:使用新的补丁程序，当收到大于65535个字节的数据包时，丢弃该数据包，并进行系统审计。

4.WinNuke攻击

攻击类型:WinNuke攻击是一种拒绝服务攻击。

攻击特征:WinNuke攻击又称带外传输攻击，它的特征是攻击目标端口，被攻击的目标端口通常是139、138、137、113、53，而且URG位设为“1”，即紧急模式。

检测方法:判断数据包目标端口是否为139、138、137等，并判断URG位是否为“1”。

反攻击方法:适当配置防火墙设备或过滤路由器就可以防止这种攻击手段(丢弃该数据包)，并对这种攻击进行审计(记录事件发生的时间，源主机和目标主机的MAC地址和IP地址MAC)。

5.Teardrop攻击

攻击类型:Teardrop攻击是一种拒绝服务攻击。

攻击特征:Teardrop是基于UDP的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的IP包(IP分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置等信息)，某些操作系统收到含有重叠偏移的伪造分片数据包时将会出现系统崩溃、重启等现象。

检测方法:对接收到的分片数据包进行分析，计算数据包的片偏移量(Offset)是否有误。

反攻击方法:添加系统补丁程序，丢弃收到的病态分片数据包并对这种攻击进行审计。

6.TCP/UDP端口扫描

攻击类型:TCP/UDP端口扫描是一种预探测攻击。

攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求，探测被攻击对象运行的服务类型。

检测方法:统计外界对系统端口的连接请求，特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。

反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时，通知防火墙阻断连接请求，并对攻击者的IP地址和MAC地址进行审计。

对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法，还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。

四、入侵检测系统的几点思考

从性能上讲，入侵检测系统面临的一个矛盾就是系统性能与功能的折衷，即对数据进行全面复杂的检验构成了对系统实时性要求很大的挑战。

从技术上讲，入侵检测系统存在一些亟待解决的问题，主要表现在以下几个方面:

1.如何识别“大规模的组合式、分布式的入侵攻击”目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中，我们了解到安全问题日渐突出，攻击者的水平在不断地提高，加上日趋成熟多样的攻击工具，以及越来越复杂的攻击手法，使入侵检测系统必须不断跟踪最新的安全技术。

2.网络入侵检测系统通过匹配网络数据包发现攻击行为，入侵检测系统往往假设攻击信息是明文传输的，因此对信息的改变或重新编码就可能骗过入侵检测系统的检测，因此字符串匹配的方法对于加密过的数据包就显得无能为力。

3.网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制，以适应更多的环境的要求。

4.对入侵检测系统的评价还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术，随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断的升级才能保证网络的安全性。

5.采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作，当入侵检测系统发现攻击行为时，过滤掉所有来自攻击者的IP数据包，当一个攻击者假冒大量不同的IP进行模拟攻击时，入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉，于是造成新的拒绝服务访问。

6.对IDS自身的攻击。与其他系统一样，IDS本身也存在安全漏洞，若对IDS攻击成功，则导致报警失灵，入侵者在其后的行为将无法被记录，因此要求系统应该采取多种安全防护手段。

7.随着网络的带宽的不断增加，如何开发基于高速网络的检测器(事件分析器)仍然存在很多技术上的困难。

入侵检测系统作为网络安全关键性测防系统，具有很多值得进一步深入研究的方面，有待于我们进一步完善，为今后的网络发展提供有效的安全手段。

篇4：IIS攻击与安全加固实例分析

IIS作为一款流行的Web服务器，在当今互联网环境中占有很大的比重，绝大多数的asp、asp.net网站都运行在它上面，因此，也引来了无数们关注的目光。目前针对IIS的攻击技术已经非常成熟，而且相对技术门槛较低，所以很多初学者拿它来练手。许多网站因为网站管理员的安全意识不高或技术上的疏忽而惨遭毒手。本文通过实例来谈谈针对IIS的攻击技术与安全加固措施。

攻击实例

IIS写权限漏洞利用

我们先通过一个攻击实例来演示如何利用IIS权限配置不当来快速攻陷一个网站，以此来提高广大读者对IIS安全性的重视。

目标网站IP：192.168.1.105

利用漏洞：IIS写权限漏洞

用到的工具：IIS PUT Scaner、桂林老兵写权限利用工具

1 检测目标网站是否存在写权限漏洞

打开IIS PUT Scanner，输入目标网站的IP、端口号（默认为80端口），然后点击“Scan”按钮开始扫描，很快就返回了结果，如图1所示：

图1

2 IIS写权限漏洞利用过程

根据扫描结果，我们可以确定目标网站存在IIS写权限漏洞。下面我们来看下如何利用这个漏洞，来得到一个WebShell。

我们先将“<%eval request(“cmd”)%>”这段一句话木马代码保存成一个txt文档，名字随意。我这里命名为test.txt。接着打开桂林老兵写权限利用工具，输入目标网站的IP或域名，在“数据包格式”处的下拉菜单中选择“PUT”数据包提交方式，最后点击“数据包提交”按钮，我们来看服务器返回的结果。如图2所示：

图2

服务器返回了201响应码，这标志着我们成功上传了文件。

现在我们需要将刚刚上传的txt文本修改为asp文件，否则服务器不会将它解析为asp文件。在“数据包格式”的下拉菜单中选择“MOVE”数据包提交方式，在“Destination”处修改文件名称，默认为shell.asp，这里我修改为cmd.asp。然后点击“提交数据包”按钮，我们来看服务器返回的信息。如图3所示：

图3

服务器同样返回了“201”响应码，说明我们成功将test.txt修改为cmd.asp了。

现在我们用一句话木马客户端来连接刚上传的一句话木马，可以成功访问。如图4所示：

图4

这样我们就得到了一个WebShell。从整个攻击过程来看，用的时间很短，而且技术门槛很低，一个普通人运用工具也可以很快拿下一个网站。但遗憾的是，在实际的渗透测试过程中，依然有不少站点存在这样的漏洞，希望通过这个实例能够引起广大网络管理员对安全的重视。

IIS6.0解析漏洞利用

a. 在WEB目录下，当文件名称为类似“a.asp;b.jpg”这种格式的时候，IIS会将它解析为asp文件，如图5所示。

图5

b. 在WEB目录下，IIS6.0会将以“x.asp”这种格式命名的文件夹下的所有文件都解析为asp文件，如图6所示。

图6

上面这两点属于IIS设计的缺陷，但可惜微软认为这是IIS的特性，一直没有推出相应的安全补丁。

在尝试绕过文件上传检测时，这两种方法有时非常有效，下面是在实际渗透测试过程中遇到的一个例子。

先登录网站后台，直接上传一个asp木马，提示非法文件，不允许上传。接下来将它的名称改为1.asp;2.jpg后再次上传，发现成功上传至网站目录，如图7所示。

图7

安全加固

这部分我们通过跟踪IIS从安装到配置的整个过程，分析其中可能面临的安全风险，并给出相应的加固措施。

IIS安装及版本的选择

在IIS安装过程中，根据具体的业务需求，只安装必要的组件，以避免安装其他一切不必要的组件带来的安全风险。如网站正常运行只需要ASP环境，那我们就没必要安装.net组件。

对于IIS版本，至少要在6.0以上，IIS5.0存在严重的安全漏洞，不过现在运行IIS5.0的服务器已经非常少了，对于这一点不用太过担心。

IIS配置

1 删除IIS默认站点

把IIS默认安装的站点删除或禁用掉。

2 禁用不必要的Web服务扩展

打开IIS 管理器，检查是否有不必要的“Web服务扩展”，如果有则禁用掉。如图8所示：

图8

3 IIS访问权限配置

如果IIS中有多个网站，建议为每个网站配置不同的匿名访问账户。

方法：

a. 新建一个账号，加入Guests组

b. “网站属性”--->“目录安全性”--->“身份验证和访问控制”，把“启用匿名访问”处，用刚新建的账户代替默认账户，如图9所示。

图9

4 网站目录权限配置

原则（如图10）：

目录有写入权限，一定不要分配执行权限

目录有执行权限，一定不要分配写入权限

网站上传目录和数据库目录一般需要分配“写入”权限，但一定不要分配执行权限

其他目录一般只分配“读取”和“记录访问”权限即可

图10

5 只保留必要的应用程序扩展

根据网站的实际情况，只保留必要的应用程序扩展，其他的一律删除，尤其是像cer、asa这样极其危险的扩展，而且一般网站也不需要它，如图11，

图11

6 修改IIS日志文件配置

无论是什么服务器，日志都是应该高度重视的部分。当发生安全事件时，我们可以通过分析日志来还原攻击过程，否则将无从查起。有条件的话，可以将日志发送到专门的日志服务器保存。

先检查是否启用了日志记录，如未启用，则启用它。日志格式设置为W3C扩展日志格式，IIS中默认是启用日志记录的。

接着修改IIS日志文件保存路径，默认保存在“C:\WINDOWS\system32\LogFiles”目录下，这里修改为自定义路径。建议保存在非系统盘路径，并且IIS日志文件所在目录只允许Administrators组用户和SYSTEM用户访问，如图12。

图12

7 防止信息泄露

a. 禁止向客户端发送详细的ASP错误信息

“IIS管理器”--->“属性”--->“主目录”--->“配置”--->“调试”，选择“向客户端发送下列文本错误消息”项，自定义出错时返回的错误信息，如图13。

图13

b. 修改默认错误页面

“IIS管理器”--->“属性”--->“自定义错误”，用自定义的错误页面替换默认的默认页面。下面是我自定义的一个404错误页面，当网站发生404错误时，将向客户端返回这个页面，如图14。

图14

8 自定义IIS Banner信息

默认Banner信息会泄露服务器类型、版本等相关信息，我们需要对其进行修改，这样可以防止信息泄露，还可以骗过一些自动化扫描、攻击工具。

a. 修改默认HTTP头信息

在修改之前，我们先来看下默认的HTTP头信息是什么样的。我们向IIS服务器发一个请求，然后用抓包工具分析它返回的数据，就可以发现HTTP头信息，如图15所示：

图15

上图用红框标注的地方就是HTTP头信息，通过它我们就可以确定目标网站使用的是IIS服务器。

现在我们来看下如何自定义HTTP头信息。首先，打开“IIS管理器”--->“属性”--->“HTTP头”，在“自定义HTTP头”选中默认的HTTP头信息，进行编辑，或者删除掉默认的，自己添加一个新的HTTP头信息。图16中是我随便自定义的一个HTTP头。

图16

在修改完成后，我们再来抓包分析一下，如图17所示：

图17

从图上可以看到，现在IIS服务器返回的HTTP头已经是我们自定义了。

b. 修改默认IIS头信息

修改默认IIS头信息需要通过工具来完成。这里推荐使用ServerMask，它是一款专门用来隐藏或修改IIS服务器默认Banner信息，防止信息泄露的工具。下图18是该软件的界面：

图18

在修改之前，我们先来分析下IIS默认的头信息，如图19所示：

图19

根据服务器返回的信息，我们很容易判断出目标网站使用的服务器是IIS，版本是6.0，操作系统是Windows Server ，这些信息对攻击者确定下一步行动是非常有帮助的。

我们也可以使用扫描工具来完成刺探目标网站服务器相关信息的任务，这类工具非常多，而且使用非常简单，如图20。

图20

现在我们来把默认的IIS头信息隐藏或修改掉，首先打开软件，选中要保护的网站，在“Security Profile”处的下拉菜单中选择相应的策略，这里我自定义一个。

图21

如图21所示，我把IIS默认的头信息修改成了Apache服务器的信息。这样就可以迷惑攻击者，有效隐藏网站的真实信息。现在我们再来分析下修改后的IIS服务器返回的头信息，如图22：

图22

现在IIS服务器返回的头信息已经是我们自定义的了，这里伪装成了Apache服务器。

我们再用扫描工具扫描一下，看能否得到目标网站的真实服务器类型，结果如图23：

图23

根据上图，我们可以看到现在扫描器已经获取不到目标网站的服务器类型了。

对于一些自动化攻击工具来说，因为获取不到目标服务器的类型和版本相关信息，自然也就无法进行下一步攻击了。

总结

通过上面对IIS攻击和安全加固的实例，相信读者对IIS服务器的安全有了更加深入的认识。其实对于IIS的安全加固并不难，很多时候更重要的是管理员的安全意识，只要有足够的安全意识，加上上面介绍的安全加固方法，相信你一定可以打造一个安全的IIS服务器。

篇5：网络信息检索服务与分析论文

网络信息检索服务与分析论文

随着网络应用的不断普及，网络已经成为人们获取信息的重要场所。在对新的检索工具和检索技术进行探索和研究的过程中，应克服当下网络信息检索给我们带来的困难，加强对不同需求进行信息搜集和发送的智能化服务功能。

1、网络环境下信息检索的特点

1.1数据量巨大。

在网络环境下，数据量大的惊人。大数据量会导致一些难以预料的软件异常，流量也会难以控制，对各个环节的策略和算法选择将会更加复杂。

1.2多用户服务。

多用户模式的信息检索服务必须注重快速反应，注重对并发访问的支持，对公共数据的共享，对临时工作数据的清理等。如果要针对不同用户开展不同服务，就要获取并管理不同用户的个性化需求，使大量的信息通过不同的渠道，主动送到用户的手上。

1.3用户层次复杂。

网络环境下信息检索服务的用户中，大多数都不是专业用户，他们的层次区别较难，拥有不同的操作技能和操作知识，面对这些非专业的用户，将更加需要人性化的引导式信息服务。

2、智能化信息检索的含义

智能化信息检索是在信息检索的基础上提出来的，它是以用户为中心的信息检索技术，为不同用户提供不同的服务，并满足同一用户在不同时期的需求，通过收集和分析用户信息来学习用户的兴趣和行为，并综合利用这些用户信息，提高信息检索系统的性能，满足用户的个体信息需求。在具体实现过程中主要是通过观察和分析用户的搜索行为，从中识别出用户对信息需求的偏好，并且能够根据用户对搜索结果的评价，自觉地调整搜索策略，使得对于不同的检索请求，不同用户都能够得到最贴近自己需要的信息服务。

3、信息检索服务的主体技术

网络信息检索通常采用搜索引擎技术，该技术是为了解决“信息迷航”问题而提出的'。它通过相应的算法在互联网上搜索相关信息，并对信息进行组织和处理，从而为用户提供信息导航。

现阶段，网络搜索引擎有很多，用户比较常用的有google、有道、百度等等，这些搜索引擎能进行网络信息检索、信息过滤、个性化信息服务定制等比较有特色的服务，但是并没有实现真正意义上的智能化检索。在实际使用过程中，用户想要的不仅仅是有用的信息，他们更希望做信息消费的主人，使信息的搜索可以在一个相对主动的环境中进行。

4、智能信息索引的相关技术

要实现真正意义上的以自我为中心的检索服务就需要以下的相关技术进行支撑。

4.1智能代理技术。

智能代理又可以称之为智能体，它是在用户没有明确具体要求的情况下，根据用户需要，代替用户进行各种复杂的工作，如信息检索、筛选及整理，并能推测用户的意图，自动制定、调整和执行工作计划。

智能代理首先要建立个性化的数据库，在数据库中建立用户基本信息表（包括用户编号、用户名、姓名、年龄、性别等字段）、用户职业信息表（包括职业编号、职业类型、等级、职称等字段）和用户兴趣信息表（包括兴趣编号、兴趣类别、程度等字段），用来详细描述用户的个人情况，其中第一个字段可以设置成关键字。

然后建立用户检索策略表（包括策略编号、策略控制、检索词控制、检索时间控制、检索范围控制等字段）和用户检索评价表（包括检索编号、检索时间、检索词、检索结果数量、查全率、查准率等字段），同样的，第一个字段设置成关键字。检索策略表主要是给用户模型的检索定义一个比较完整的检索策略，检索评价表主要是对用户检索的满意度作一个简单的评价描述。

有了用户个性化数据库，一方面，在服务器端吸收智能代理技术的思想，引入个性化服务的理念，引入用户反馈机制来完善检索机制、提高检索命中率，同时也可提供面向个人的特殊检索服务。另一方面，信息检索用到智能代理主要集成在客户端，配合用户兴趣完成搜索，它会对用户信息需求、偏好进行区别、归纳、总结，分析用户的兴趣爱好，并借助学习的规则，自动、独立地代理用户查找用户感兴趣的信息。

4.2用户兴趣挖掘技术。

实现信息检索服务最重要的就是对用户的喜好和习惯进行分析，日前，通常使用两种方法：其一是通过用户主动提供自己的兴趣来得到用户的个性化向量；其二是在用户没有明确参与的情况下，系统通过观察用户行为来得到用户的兴趣，从而得到用户的个性化向量。使用第一种方法，可以选择下面两种方式：一是用户将自己感兴趣的信息类或在线文档分类后提供给系统，系统从这些文档或信息类中发现用户的兴趣；二是用户提供自己的研究方向和其它阅读爱好等信息，系统从这些信息中发现用户的兴趣。但是，由于用户的兴趣并不是一成不变的，而用户一般不可能提供所有的兴趣以及感兴趣的程度，因此还需要使用第一种方式进行补充。使用第二种方法是根据用户对推送页面的评价信息来更新用户的个性化向量。

5、结束语

智能化信息检索技术现在已经成为一项被广泛研究的领域，它需要多种技术相支持，我们虽取得一些成绩，但是道路还很漫长，真正实现信息搜索的智能化服务，还有待代理技术的智能性、主动性、自主性等得到进一步的提高。

篇6：网络监听攻击:数据包扑捉与协议分析

在网络中，当信息进行传播的时候，可以利用工具，将网络接口设置在监听的模式，便可将网络中正在传播的信息截获或者捕获到，从而进行攻击，网络监听在网络中的任何一个位置模式下都可实施进行。而一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。

网络监听的原理

Ethernet（以太网，它是由施乐公司发明的一种比较流行的局域网技术，它包含一条所有计算机都连接到其上的一条电缆，每台计算机需要一种叫接口板的硬件才能连接到以太网）协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。

在网络监听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包，在监听到的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP会话的包整理到一起就相当不容易了，如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet上那么多的协议，运行进起的话这个监听程序将会十分的大哦。

现在网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广域网中，但这个想法很快就被否定了，

如果真是这样的话我想网络必将天下大乱了。而事实上现在在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不足道了。

下面是一些系统中的著名的监听程序，你可以自己尝试一下的。

Windows9x/NT NetXRay

DEC Unix/Linux Tcpdump

Solaris Nfswatch

SunOS Etherfind

检测网络监听的方法

网络监听在上述中已经说明了。它是为了系统管理员管理网络，监视网络状态和数据流动而设计的。但是由于它有着截获网络数据的功能所以也是所惯用的伎俩之一。

一般检测网络监听的方法通过以下来进行：

网络监听说真的，是很难被发现的。当运行监听程序的主机在进听的过程中只是被动的接收在以太网中传输的信息，它不会跟其它的主机交换信息的，也不能修改在网络中传输的信息包。这就说明了网络监听的检测是比较麻烦的事情。

一般情况下可以通过ps-ef或者ps-aux来检测。但大多实施监听程序的人都会通过修改ps的命令来防止被ps-ef的。修改ps只需要几个shell把监听程序的名称过滤掉就OK了。一能做到启动监听程序的人也绝对不是个菜的连这个都不懂的人了，除非是他懒。

上边提到过。当运行监听程序的时候主机响应一般会受到影响变的会慢，所以也就有人提出来通过响应的速率来判断是否受到监听。如果真是这样判断的话我想世界真的会大乱了，说不准一个时间段内会发现无数个监听程序在运行呢。呵呵。

如果说当你怀疑网内某太机器正在实施监听程序的话（怎么个怀疑？那要看你自己了），可以用正确的IP地址和错误的物理地址去ping它，这样正在运行的监听程序就会做出响应的。这是因为正常的机器一般不接收错误的物理地址的ping信息的。但正在进听的机器就可以接收，要是它的IP stack不再次反向检查的话就会响应的。不过这种方法对很多系统是没效果的，因为它依赖于系统的IP stack。

另一种就是向网上发大量不存在的物理地址的包，而监听程序往往就会将这些包进行处理，这样就会导致机器性能下降，你可以用icmp echo delay来判断和比较它。还可以通过搜索网内所有主机上运行的程序，但这样做其的难度可想而知，因为这样不但是大的工作量，而且还不能完全同时检查所有主机上的进程。可是如果管理员这样做也会有很大的必要性，那就是可以确定是否有一个进程是从管理员机器上启动的。

在Unix中可以通过ps Caun或ps Caugx命令产生一个包括所有进程的清单：进程的属主和这些进程占用的处理器时间和内存等。这些以标准表的形式输出在STDOUT上。如果某一个进程正在运行，那么它将会列在这张清单之中。但很多在运行监听程序的时候会毫不客气的把ps或其它运行中的程序修改成Trojan Horse程序，因为他完全可以做到这一点的。如果真是这样那么上述办法就不会有结果的。但这样做在一定程度上还是有所作为的。在Unix和Windows NT上很容易就能得到当前进程的清单了。但DOS、Windows9x好象很难做到哦，具体是不是我没测试过不得而知。

还有一种方式，这种方式要靠足够的运气。因为往往所用的监听程序大都是免费在网上得到的，他并非专业监听。所以做为管理员用来搜索监听程序也可以检测。使用Unix可以写这么一个搜索的小工具了，不然的话要累死人的。呵呵。

有个叫Ifstatus的运行在Unix下的工具，它可以识别出网络接口是否正处于调试状态下或者是在进听装下。要是网络接口运行这样的模式之下，那么很有可能正在受到监听程序的攻击。Ifstatus一般情况下不会产生任何输出的，当它检测到网络的接口处于监听模式下的时候才回输出。管理员可以将系统的cron参数设置成定期运行Ifstatus，如果有好的cron进程的话可以将它产生的输出用mail发送给正在执行cron任务的人，要实现可以在crontab目录下加****/usr/local/etc/ifstatus一行参数。这样不行的话还可以用一个脚本程序在crontab下00****/usr/local/etc/run-ifstatus。

抵御监听其实要看哪个方面了。一般情况下监听只是对用户口令信息比较敏感一点（没有无聊的去监听两台机器间的聊天信息的那是个浪费时间的事情）。所以对用户信息和口令信息进行加密是完全有必要的。防止以明文传输而被监听到。现代网络中，SSH（一种在应用环境中提供保密通信的协议）通信协议一直都被沿用，SSH所使用的端口是22，它排除了在不安全信道上通信的信息，被监听的可能性使用到了RAS算法，在授权过程结束后，所有的传输都用IDEA技术加密。

篇7：CCSDS SCPS网络层与传输层协议分析与仿真验证

CCSDS SCPS网络层与传输层协议分析与仿真验证

空间数据系统咨询委员会(CCSDS)针对空间通信的`特点制定了空间通信协议标准SCPS(Space Communications Protocal Specification).文章从CCSDS标准在中国空间技术的实际应用出发,对CCSDS SCPS协议中网络层协议(NP)和传输层协议(TP)进行研究,分析其特点和适用性,并与TCP/IP协议进行对比,最后设计演示验证系统对所提方案进行验证并得出结论:在空间通信环境下,采用SCPS协议后的性能优于采用TCP/IP协议.

作者：刘俊王九龙石军 Liu Jun Wang Jiulong Shi Jun 作者单位：中国空间技术研究院,北京,100094 刊名：中国空间科学技术 ISTIC PKU英文刊名：CHINESE SPACE SCIENCE AND TECHNOLOGY 年，卷(期)：2009 29(6) 分类号：P1 关键词：空间通信协议标准网络层传输层仿真 Space communication Protocol specification Network Transport Simulation

★ 详谈WLAN无线局域网交换机信号传输疑问

★ 网络安全技术论文

★ arp协议书

★ 个人信息安全保护措施论文