局域網(wǎng)上網(wǎng)的安全防范與技巧

1、局域網(wǎng)上網(wǎng)的安全防范與技巧在計算機網(wǎng)絡日益成為生活中不可或缺的工具時，計算機網(wǎng)絡中的入侵活動已經(jīng)引起了公眾的高度重視。非法入侵一直危害著網(wǎng)絡安全，計算機網(wǎng)絡系統(tǒng)的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務攻擊三個方面。網(wǎng)絡的安全威脅方向也分為外部和內(nèi)部。黑客攻擊早在主機終端時代就已經(jīng)出現(xiàn)，隨著因特網(wǎng)的發(fā)展，現(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉(zhuǎn)變到以網(wǎng)絡為主的攻擊。本文提供一些網(wǎng)絡安全防范的措施和技巧，希望能對網(wǎng)絡安全防范起一定的參考作用。 1.黑客攻擊類型 任何系統(tǒng)的安全都是相對的，沒有一個網(wǎng)絡操作系統(tǒng)是絕對安全的。局域網(wǎng)上網(wǎng)即使有防火墻的保護，由于防火墻錯誤配置等其他原因，仍很難保證其安全性。

2、 幾種網(wǎng)絡攻擊類型： data diddling未經(jīng)授權刪除檔案，更改其資料（15.5%） scanner利用工具尋找暗門漏洞(15.8%) sniffer監(jiān)聽加密之封包(11.2%) denial of service使其系統(tǒng)癱瘓（16.2%） ip spoofing冒充系統(tǒng)內(nèi)網(wǎng)絡的ip地址(12.4%) other其他(13.9%)2.防范黑客的措施選用安全的口令：據(jù)統(tǒng)計，大約80%的安全隱患是由于口令設置不當引起的。 用戶口令應包含大小寫，最好能加上字符串和數(shù)字，一起使用以期達到最好的保密效果。 用戶口令不要太規(guī)則，不要用用戶姓名、生日和電話號碼作為口令。不要用常用單詞作為口令。 根據(jù)黑

3、客軟件的工作原理，參照口令破譯的難易程度,以破解需要的時間為排序指標，口令長度設置時應遵循7位或14位的整數(shù)倍原則。 安裝某些系統(tǒng)服務功能模塊時有內(nèi)建帳號，應及時修改操作系統(tǒng)內(nèi)部帳號口令的缺省設置。應及時取消調(diào)離或停止工作的雇員的帳號以及無用的帳號。在通過網(wǎng)絡驗證口令過程中，不要以明文方式傳輸，以免被監(jiān)聽截取?？诹畈灰悦魑姆绞酱娣旁谙到y(tǒng)中，確?？诹钜鸭用??？诹顟ㄆ谛薷?，應避免重復使用舊口令，應采用多套口令的命名規(guī)則。 建立帳號鎖定機制，一旦同一帳號密碼校驗錯誤若干次即斷開連接并鎖定該帳號，至一段時間才解鎖再次開放使用。 實施存取控制：主要是針對網(wǎng)絡操作系統(tǒng)的文件系統(tǒng)的存取控制。 存取控制是

4、內(nèi)部網(wǎng)絡安全理論的重要方面，它包括人員權限、數(shù)據(jù)標識、權限控制、控制類型、風險分析等內(nèi)容。確保數(shù)據(jù)的安全：完整性是在數(shù)據(jù)處理過程中，在原來數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致的證明手段，一般常用數(shù)字簽名和數(shù)據(jù)加密算法來保證。請參照幾個加密站點： 規(guī)定公共密鑰加密: rsa加密專利公司:.faq使用安全的服務器系統(tǒng)：雖然沒有一種網(wǎng)絡操作系統(tǒng)是絕對安全的，但unix經(jīng)過幾十年來的發(fā)展已相當成熟，以其穩(wěn)定性和安全性成為關鍵性應用的首選。windows nt的安全問題：例子：rdisk漏洞：rdisk是windows nt提供的緊急修復磁盤工具，雖然是很好的工具，但存在巨大的安全漏洞。用戶使用rdisk將所

5、有安全信息（包括口令和注冊信息）放入c:winntrepair，攻擊者很容易獲得口令。 unix的安全問題： 例子：linux中的imapd coredump可以泄露隱蔽口令。 各大unix廠商的補丁站點： aix（ibm） freebsd/openbsd /pub/openbsd/patches hp-unix http:/us- sco ftp:/ sunos/solaris irix 謹慎開放缺乏安全保障的應用和端口：很多黑客攻擊程序是針對特定服務和特定服務端口的，所以關閉不必要的服務和服務端口，能大大降低遭受黑客攻擊的風險。nt server：將

6、缺省的nwlink ipx/spx傳輸協(xié)議去掉；在tcp/ip協(xié)議屬性里，啟用安全機制。如果沒有特別需求（如icq、real數(shù)據(jù)流傳輸?shù)龋┛蓪⑺衭dp端口關閉。具體方法：依次點擊“控制面板協(xié)議tcp/ip協(xié)議屬性高級啟用安全機制配置”即可。unix：最好關閉unix的rservices，如rlogin、rfingerd等。用戶不提供rservices，最好將/etc/hosts.equiv和rhosts文件刪除，修改/etc/services和/etc/inetd.conf文件，將不必要的服務去除。定期分析系統(tǒng)日志:日志文件不僅在調(diào)查網(wǎng)絡入侵時十分重要，它們也是用少量的代價來阻止攻擊的辦法之

7、一。這里提供給大家一些比較有用的日志文件分析工具： nestwatch能從所有主web服務器和許多防火墻中導入日志文件。它運行在windows nt 機器上，能夠以html格式輸出報告，并將它們分發(fā)到選定的服務器上。（url：http:/www. logsurfer是一個綜合日志分析工具。根據(jù)它發(fā)現(xiàn)的內(nèi)容，它能執(zhí)行各種動作，包括告警、執(zhí)行外部程序，甚至將日志文件數(shù)據(jù)分塊并將它們送給外部命令或進程處理。（ftp:/ftp.cert.dfn.de/pub/tols/audit/logsurfer-1.41.tar.gz）要求有c編譯器。不斷完善服務器系統(tǒng)的安全性能:無論是unix還是nt的操作系統(tǒng)

8、都存在安全漏洞，他們的站點會不定期發(fā)布系統(tǒng)補丁，系統(tǒng)管理員應定期下載補丁，及時堵住系統(tǒng)漏洞。（微軟公司：排除人為因素：再完善的安全體制，沒有足夠的安全意識和技術人員經(jīng)常維護，安全性將大打折扣。要制定一整套完整的網(wǎng)絡安全管理操作規(guī)范。 進行動態(tài)站點監(jiān)控：利用網(wǎng)絡管理軟件對整個局域網(wǎng)進行監(jiān)控，發(fā)現(xiàn)問題及時防范。 掃描、攻擊自己的站點：網(wǎng)絡上有許多掃描軟件（例如satan），適用于各種平臺，它們是把雙刃劍。在網(wǎng)絡管理員手里可以成為簡化安審計工作的利器，在有心人手里卻可成為網(wǎng)絡攻擊工具。 請第三方評估機構(gòu)或?qū)＜襾硗瓿删W(wǎng)絡安全的評估:一般能較系統(tǒng)地檢查局域網(wǎng)的各項安全指標，但花費較貴。謹慎利用共享軟件：

9、不應隨意下載使用共享軟件，有些程序員為了調(diào)測軟件的方便都設有后門，這往往成為最好的攻擊后門。做好數(shù)據(jù)的備份工作：這是非常關鍵的一個步驟，有了完整的數(shù)據(jù)備份，我們在遭到攻擊或系統(tǒng)出現(xiàn)故障時才可能迅速恢復我們的系統(tǒng)。使用防火墻 防火墻是防止從網(wǎng)絡外部訪問本地網(wǎng)絡的常用設備，它們?yōu)榉乐雇獠抗籼峁┝酥匾陌踩Ｕ?。但防火墻只是所有安全體系結(jié)構(gòu)中的一個部件，故不能完全依賴防火墻。 防火墻分為網(wǎng)絡級防火墻和應用網(wǎng)關防火墻。 網(wǎng)絡級防火墻一般是具有很強報文過濾能力的路由器，可以改變參數(shù)來允許或拒絕外部環(huán)境對站點的訪問，但對欺騙性攻擊的防護很脆弱。 應用代理防火墻（應用網(wǎng)關）的優(yōu)勢是它們能阻止ip報文無限制

10、地進入網(wǎng)絡，缺點是它們的開銷比較大且影響內(nèi)部網(wǎng)絡的工作。代理必須為一個網(wǎng)絡應用進行配置，包括http、ftp、telnet、電子郵件、新聞組等。（相關信息：.au/pub/docs/security/800-10/node52.html） 防火墻的安全問題： cisco pix des漏洞：cisco private link使用一個48位des（date encryption standard）密碼,被認為較容易被解密。（補?。?firewall-1保留關鍵字漏洞：firewall-1有許多保留關鍵字，當用它們描述網(wǎng)絡對象時會打開一個安全漏洞，使得已命名的對象成為“未定義”，可被任何地址訪問

11、。網(wǎng)絡安全知識拒絕服務攻擊入侵攻擊 可以說當前是一個進行攻擊的黃金時期，很多的系統(tǒng)都很脆弱并且很容易受到攻擊，所以這是一個成為黑客的大好時代，可讓他們利用的方法和工具是如此之多！在此我們僅對經(jīng)常被使用的入侵攻擊手段做一討論。 【拒絕服務攻擊 】 拒絕服務攻擊（denial of service, dos）是一種最悠久也是最常見的攻擊形式。嚴格來說，拒絕服務攻擊并不是某一種具體的攻擊方式，而是攻擊所表現(xiàn)出來的結(jié)果，最終使得目標系統(tǒng)因遭受某種程度的破壞而不能繼續(xù)提供正常的服務，甚至導致物理上的癱瘓或崩潰。具體的操作方法可以是多種多樣的，可以是單一的手段，也可以是多種方式的組合利用，其結(jié)果都是一樣的

12、，即合法的用戶無法訪問所需信息。 通常拒絕服務攻擊可分為兩種類型。 第一種是使一個系統(tǒng)或網(wǎng)絡癱瘓。如果攻擊者發(fā)送一些非法的數(shù)據(jù)或數(shù)據(jù)包，就可以使得系統(tǒng)死機或重新啟動。本質(zhì)上是攻擊者進行了一次拒絕服務攻擊，因為沒有人能夠使用資源。以攻擊者的角度來看，攻擊的刺激之處在于可以只發(fā)送少量的數(shù)據(jù)包就使一個系統(tǒng)無法訪問。在大多數(shù)情況下，系統(tǒng)重新上線需要管理員的干預，重新啟動或關閉系統(tǒng)。所以這種攻擊是最具破壞力的，因為做一點點就可以破壞，而修復卻需要人的干預。 第二種攻擊是向系統(tǒng)或網(wǎng)絡發(fā)送大量信息，使系統(tǒng)或網(wǎng)絡不能響應。例如，如果一個系統(tǒng)無法在一分鐘之內(nèi)處理100個數(shù)據(jù)包，攻擊者卻每分鐘向他發(fā)送1000個數(shù)

13、據(jù)包，這時，當合法用戶要連接系統(tǒng)時，用戶將得不到訪問權，因為系統(tǒng)資源已經(jīng)不足。進行這種攻擊時，攻擊者必須連續(xù)地向系統(tǒng)發(fā)送數(shù)據(jù)包。當攻擊者不向系統(tǒng)發(fā)送數(shù)據(jù)包時，攻擊停止，系統(tǒng)也就恢復正常了。此攻擊方法攻擊者要耗費很多精力，因為他必須不斷地發(fā)送數(shù)據(jù)。有時，這種攻擊會使系統(tǒng)癱瘓，然而大多多數(shù)情況下，恢復系統(tǒng)只需要少量人為干預。 這兩種攻擊既可以在本地機上進行也可以通過網(wǎng)絡進行。 拒絕服務攻擊類型1 ping of death 根據(jù)tcp/ip的規(guī)范，一個包的長度最大為65536字節(jié)。盡管一個包的長度不能超過65536字節(jié)，但是一個包分成的多個片段的疊加卻能做到。當一個主機收到了長度大于65536字節(jié)

14、的包時，就是受到了ping of death攻擊，該攻擊會造成主機的宕機。 2 teardrop ip數(shù)據(jù)包在網(wǎng)絡傳遞時，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過發(fā)送兩段(或者更多)數(shù)據(jù)包來實現(xiàn)teardrop攻擊。第一個包的偏移量為0，長度為n，第二個包的偏移量小于n。為了合并這些數(shù)據(jù)段，tcp/ip堆棧會分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機器的重新啟動。 3 land 攻擊者將一個包的源地址和目的地址都設置為目標主機的地址，然后將該包通過ip欺騙的方式發(fā)送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。 4 smurf

15、該攻擊向一個子網(wǎng)的廣播地址發(fā)一個帶有特定請求(如icmp回應請求)的包，并且將源地址偽裝成想要攻擊的主機地址。子網(wǎng)上所有主機都回應廣播包請求而向被攻擊主機發(fā)包，使該主機受到攻擊。 5 syn flood 該攻擊以多個隨機的源主機地址向目的主機發(fā)送syn包，而在收到目的主機的syn ack后并不回應，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ack一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。 6 cpu hog 一種通過耗盡系統(tǒng)資源使運行nt的計算機癱瘓的拒絕服務攻擊，利用windows nt排定當前運行程序的方式所進行的攻擊。 7 win nuke

16、 是以拒絕目的主機服務為目標的網(wǎng)絡層次的攻擊。攻擊者向受害主機的端口139，即netbios發(fā)送大量的數(shù)據(jù)。因為這些數(shù)據(jù)并不是目的主機所需要的，所以會導致目的主機的死機。 8 rpc locator 攻擊者通過telnet連接到受害者機器的端口135上，發(fā)送數(shù)據(jù)，導致cpu資源完全耗盡。依照程序設置和是否有其他程序運行，這種攻擊可以使受害計算機運行緩慢或者停止響應。無論哪種情況，要使計算機恢復正常運行速度必須重新啟動。 分布式拒絕服務攻擊 分布式拒絕服務攻擊（ddos）是攻擊者經(jīng)常采用而且難以防范的攻擊手段。ddos攻擊是在傳統(tǒng)的dos攻擊基礎之上產(chǎn)生的一類攻擊方式。單一的dos攻擊一般是采用

17、一對一方式的，當攻擊目標cpu速度低、內(nèi)存小或者網(wǎng)絡帶寬小等等各項性能指標不高它的效果是明顯的。隨著計算機與網(wǎng)絡技術的發(fā)展，計算機的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡，這使得dos攻擊的困難程度加大了 目標對惡意攻擊包的消化能力加強了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包，但我的主機與網(wǎng)絡帶寬每秒鐘可以處理10,000個攻擊包，這樣一來攻擊就不會產(chǎn)生什么效果。所以分布式的拒絕服務攻擊手段（ddos）就應運而生了。如果用一臺攻擊機來攻擊不再能起作用的話，攻擊者就使用10臺、100臺攻擊機同時攻擊。ddos就是利用更多的傀儡機來發(fā)起進攻，以比從前更大的規(guī)模來

18、進攻受害者。 高速廣泛連接的網(wǎng)絡也為ddos攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡時代時，黑客占領攻擊用的傀儡機時，總是會優(yōu)先考慮離目標網(wǎng)絡距離近的機器，因為經(jīng)過路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點之間的連接都是以g為級別的，大城市之間更可以達到2.5g的連接，這使得攻擊可以從更遠的地方或者其他城市發(fā)起，攻擊者的傀儡機位置可以在分布在更大的范圍，選擇起來更靈活了。 一個比較完善的ddos攻擊體系分成四大部分： 攻擊者所在機 控制機（用來控制傀儡機） 傀儡機 受害者 先來看一下最重要的控制機和傀儡機：它們分別用做控制和實際發(fā)起攻擊。請注意控制機與攻擊機的區(qū)別，對受害者來說，ddos的實際攻擊

19、包是從攻擊傀儡機上發(fā)出的，控制機只發(fā)布命令而不參與實際的攻擊。對控制機和傀儡機，黑客有控制權或者是部分的控制權，并把相應的ddos程序上傳到這些平臺上，這些程序與正常的程序一樣運行并等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時，這些傀儡機器并沒有什么異常，只是一旦黑客連接到它們進行控制，并發(fā)出指令的時候，攻擊傀儡機就成為害人者去發(fā)起攻擊了。 為什么黑客不直接去控制攻擊傀儡機，而要從控制傀儡機上轉(zhuǎn)一下呢？。這就是導致ddos攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不愿意被捉到，而攻擊者使用的傀儡機越多，他實際上提供給受害者的分析依據(jù)就越多。在占領一臺機器后，高水平的攻擊者會首先做兩件事：1.考慮如何留好后門，2. 如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較初級的黑客會不管三七二十一把日志全都刪掉，但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了，頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反，真正的好手會挑有關自己的日志項目刪掉，讓人看不到異常的情況。這樣