SQL注入攻击分析和防御.docVIP

SQL注入攻击分析与防御 第1章 网络攻击与防范的机制及其原理 1.1网络攻击过程 如今，计算机网络已经成为工、农、商以及国防等方面的重要信息交换手段，渗透到社会生活的各个领域。于是一些为了追逐金钱和利益以及其他目的的人（一般称其为黑客）。通过网络利用各种“手段”非法获得他们所需的信息。这些“手段”也就是所谓的网络攻击。网络攻击具有以下特点： ① 没有地域和时间的限制，跨越国界的攻击就如同在现场一样方便； ② 通过网络的攻击往往混杂在大量正常的网络活动之中，隐蔽性强； ③ 入侵手段更加隐蔽和复杂。 通常来说，一般的网络攻击行为都要经过以下阶段： （1）收集信息 通过多种途径获得有关目标系统的大量信息，包括域名、IP地址范围、邮件地址、用户帐号、网络拓扑、路由跟踪信息、系统运行状态等等。其工具以有命令行方式运行的finger、whois、ping、traceroute等；也有以图形界面方式运行的VisualRoute、AmartWhois、SamApade、NeoTracePro、NetScanTools工具等。这个是为进一步的探测和攻击所用的。 （2） 扫描 也称探测漏洞。也就是要找到一些敏感的信息或漏洞，并针对具体的脆弱性研究相应的攻击方法。例如，某些产品或操作系统，已发现有些安全漏洞，且该产商也提供了“补丁”程序，但用户并不一定及时使用了这些“补丁”程序来补上漏洞。黑客一旦扫描到这些“补丁”程序的接口后就通过自编程序，从这个忘记打“补丁”的接口进入系统。黑客可用的扫描手段包括端口扫描、操作系统类型探测、针对特定应用及服务的漏洞扫描（包括Web漏洞扫描、Windows漏洞扫描、SNMP漏洞扫描、RPC漏洞扫描等）。 （3） 嗅探 它是黑客攻击过程中较为灵活的一种手段，如果满足必要的条件，通过嗅探，黑客可以获得大量的敏感信息，包括用户帐号、登陆口令、邮件内容等，它更难被察觉，也更容易操作。对安全管理人员来说，借助嗅探技术，可以对网络活动进行实时监控，并及时发现各种网络攻击行为。 （4） 攻击 这就是黑客实施攻击行为的阶段，也就是实现其最直接的攻击目的。对于黑客攻击的目的无非有两种：一种是给目标以致命打击，使其丧失基本能力，让目标系统受损，甚至瘫痪；另一种目的就是在于获取直接的利益，比如截取到目标系统的机密信息，又或是得到目标系统的最高控制权。在此过程中，黑客无意对目标系统的正常工作能力进行破坏，一般都希望能非常隐蔽地实现自己的目的。在稍后的文章里，我将简要的介绍一些攻击方法。 （5）消灭痕迹 获得目标系统的控制全后，攻击者会清理自己先前“工作”过程中遗留下来的黑机，列如Web服务器的日志，时间日志等。这样攻击者才能不被机警的管理员发现并追踪。 （6）留置后门 在完全控制了受害主机之后，为了使以后远程操作时更加隐蔽和方便，又或计划将受害主机作为跳板去进一步攻击新的目标，攻击者通常都会在受害主机上安装各种后门程序，这些程序操作灵活，运行方式灵隐蔽，是黑客控制受害主机的利器。 1.2网络攻击类型以及常见的网络攻击 那么计算机网络系统开放式环境面临的威胁有那些呢？主要有以下几种类型：① 欺骗（Masquerade）；② 重发(Replay)；③ 报文修改(Modification of message)；④ 拒绝服务(Deny of service)；⑤ 陷阱门(Trapdoor)；⑥ 特洛伊木马(Trojan horse)；⑦ 攻击如透纳攻击（Tunneling Attack）、应用软件攻击等。以下是几种常见的网络攻击： 分布式拒绝服务攻击（Distributed Denial of Service，DDoS） 可以说是DoS攻击的变种。由于DoS攻击的攻击源多是单个主机或单个网络，在现在普遍带宽的网络环境中，加上通信协议以及系统防护能力的加强，以及单点攻击手段容易被追查等“不足”，就使得传统的DoS攻击手段就失去了往日的“魅力”，于是就出现了DDoS。黑客使用DDoS工具，往往可以同时控制成百上千的攻击源，向某个单个目标发动攻击，导致目标系统无法正常的运行或处理正常的服务请求。从遭受攻击的主机来看，一种是因为对突入其来的服务请求应接不暇，或者是系统资源的最终耗尽而导致系统服务的实际“停顿”；另一种就是因为系统某方面的漏洞被黑客利用而导致系统全面崩溃。一些典型的DDoS攻击工具有：Trinoo、TFN（The Tribe Flood Network）、Stachelaraht、Trinity v3、Shaft、TFN2K等。在发动DDoS攻击之前，黑客一般都需要先控制一个或多个高带宽网络上的主机系统，并在这些被控制的主机（也称作Master）上加载许多黑客工具，包括Scanners、Explo