譚詩(shī)棋-黑客防火墻的攻擊與防范

1、封皮和扉頁(yè)，目錄不要求有頁(yè)眉頁(yè)腳和頁(yè)碼！石家莊信息工程職業(yè)學(xué)院畢業(yè)設(shè)計(jì)（論文）學(xué)生姓名 譚詩(shī)棋 學(xué)生學(xué)號(hào) 30871710132 專(zhuān) 業(yè) 網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè) 系 別 微軟IT學(xué)院 指導(dǎo)教師 馬曉麗 指導(dǎo)系部 網(wǎng)絡(luò)教研室 2011年3月14日計(jì)算機(jī)網(wǎng)絡(luò)攻擊與防范專(zhuān)業(yè)：網(wǎng)絡(luò)技術(shù)專(zhuān)業(yè) 班級(jí)：1班 姓名：譚詩(shī)棋 指導(dǎo)教師：馬曉麗摘要：隨著信息時(shí)代的到來(lái)，信息已成為社會(huì)發(fā)展的重要戰(zhàn)略資源，社會(huì)的信息化已成為當(dāng)今世界發(fā)展的潮流核心，而信息安全在信息社會(huì)中將扮演極為重要的角色，它直接關(guān)系到國(guó)家安全、企業(yè)經(jīng)營(yíng)和人們的日常生活。我們的計(jì)算機(jī)有時(shí)會(huì)受到計(jì)算機(jī)病毒、黑客的攻擊，造成個(gè)人和企業(yè)的經(jīng)濟(jì)損失和信息資料的泄露，甚

2、至危及國(guó)家安全。為了更有效地防范黑客的攻擊，現(xiàn)將一些常用的方法，寫(xiě)出來(lái)與大家分享：如果你想知道你的計(jì)算機(jī)有沒(méi)有被黑客控制，你可以通過(guò)查看當(dāng)前你的電腦中有哪些程序在運(yùn)行，打開(kāi)了哪些端口，而這些端口又與哪個(gè)網(wǎng)站或電腦相連，對(duì)方的IP地址、使用哪個(gè)端口等信息，具體方法是用：DOS命令NETSTAT或軟件Currports來(lái)查。Abstract:With the advent of the information age, information has become the important strategic resources of social development, the social

3、 informatization has become the development trend in today's world core, and information security in information society will play an important role, it's directly related to national security, enterprise operation and People's Daily life. Our computer will sometimes by computer virus, h

4、ackers, causing personal and business economic loss and information disclosure, and even endanger state security. In order to more effectively prevent hackers, now will some commonly used method, and wrote it to share with everyone: If you want to know your computer have hackers control, you can che

5、ck the current through your computer in what programs are running, open what port, and these ports and with which website or computer connected, each other's IP address, use what port and other information, the specific method is to use: DOS command NETSTAT or software Currports check. 關(guān)鍵詞：功、防、控

6、制keywords ：Reactive, prevent 、control 目 錄1.前言42.黑客常用的攻擊手段43.常見(jiàn)的攻擊類(lèi)型和方法54.防止攻擊的方法64.1防控DDoS攻擊64.2基于狀態(tài)的資源控制，防護(hù)防火墻資源64.3智能TCP代理有效防范SYN Flood74.4利用NetFlow對(duì)DoS攻擊和病毒監(jiān)測(cè)74.5防范溢出策略74.6對(duì)希望保護(hù)的主機(jī)實(shí)行“單獨(dú)開(kāi)放端口”訪(fǎng)問(wèn)控制策略114.7使用應(yīng)用層防火墻系統(tǒng)114.8使用IDS功能的防火墻系統(tǒng)125.結(jié)論12參考文獻(xiàn) 121. 前言防火墻是保護(hù)網(wǎng)絡(luò)安全的重要組成部分，它往往部署在網(wǎng)絡(luò)的要塞位置，但其本身也是一個(gè)軟件、軟硬件，以

7、及訪(fǎng)問(wèn)策略相結(jié)合的實(shí)體。設(shè)計(jì)上的漏洞和使用上的錯(cuò)誤都會(huì)削弱防火墻的保護(hù)能力，也使得防火墻常常受到攻擊。文章列舉了一些防火墻攻擊的類(lèi)型和方法，著重分析了幾種常用的防范這些攻擊的解決方案。2.黑客常用的攻擊手段 從第一臺(tái)計(jì)算機(jī)投入使用，第一個(gè)網(wǎng)絡(luò)協(xié)議推廣開(kāi)來(lái)，以及硬件的更新，軟件的換代，種種缺陷和漏洞就潛在其中，特別是當(dāng)計(jì)算機(jī)的應(yīng)用遍布到世界的各個(gè)角落，這些缺陷和漏洞也隨之彌散開(kāi)來(lái)。這里說(shuō)的缺陷，包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和人為的失誤。開(kāi)發(fā)人員在編寫(xiě)源碼程序時(shí)，每寫(xiě)一千行，至少會(huì)有一個(gè)漏洞(Bug，即使再高明的程序員也不例外，因此黑客技術(shù)的產(chǎn)生與發(fā)展也就不足為奇了。我

8、們知道標(biāo)志著第三代計(jì)算機(jī)網(wǎng)絡(luò)OSI參考模型(Open System Interconnection/Reference Model，即開(kāi)放式系統(tǒng)互連參考模型，常常用TCP/IP的4層模型來(lái)代替(如表1。(1接口層：主要利用物理鏈路的損壞、干擾，盜用物理地址以及通過(guò)網(wǎng)卡在數(shù)據(jù)傳輸中對(duì)數(shù)據(jù)進(jìn)行監(jiān)聽(tīng)。(2網(wǎng)際層：ICMP協(xié)議是用來(lái)傳送一些關(guān)于網(wǎng)絡(luò)和主機(jī)的控制信息的，如目標(biāo)主機(jī)是不是可以到達(dá)的、路由的重定向、目標(biāo)主機(jī)是否在使用等。常用的“ping”命令就是使用了ICMP協(xié)議。很多網(wǎng)絡(luò)攻擊工具就是利用了這個(gè)協(xié)議來(lái)實(shí)現(xiàn)的。在這一層主要是利用ICMP、IGMP協(xié)議的漏洞進(jìn)行探測(cè)主機(jī)、DOS(拒絕服務(wù)攻擊、路

9、由欺騙。(3傳輸層：TCP協(xié)議提供的是面向連接的、可靠的數(shù)據(jù)流傳輸，而UDP協(xié)議提供的是非面向連接的、不可靠的數(shù)據(jù)流傳輸。顯然UDP協(xié)議在安全方面更難保證。這一層主要是利用TCP、UDP協(xié)議的缺陷，進(jìn)行DOS、DDOS(分布式拒絕服務(wù)攻擊或是利用TCP序列號(hào)攻擊進(jìn)行IP欺騙。(4應(yīng)用層：應(yīng)用層協(xié)議很多，如：TELNET、FTP、SMTP等，每一項(xiàng)服務(wù)開(kāi)啟的背后都可能被多種多樣的攻擊所利用，如：超級(jí)用戶(hù)口令的獲取、特洛伊木馬的植入等。由上面的簡(jiǎn)單分析，不難看出在開(kāi)放式的網(wǎng)絡(luò)設(shè)計(jì)中，安全方面欠缺很多，再加上操作系統(tǒng)、軟件自身的漏洞以及配置管理與使用上的不規(guī)范使得黑客更是有機(jī)可乘。那么，黑客們主要采

10、取哪些攻擊技術(shù)呢？3. 常見(jiàn)的攻擊類(lèi)型和方法從目前看來(lái)，黑客的攻擊手法和技術(shù)越來(lái)越智能化和多樣化，但就攻擊過(guò)程上看，大概可以范圍3類(lèi)攻擊。第一類(lèi)是探測(cè)在目標(biāo)防火墻上安裝的是何種防火墻系統(tǒng)并找出次防火墻系統(tǒng)允許那些服務(wù)。通常稱(chēng)為對(duì)防火墻的探測(cè)攻擊。最常見(jiàn)的就是木馬攻擊。第二類(lèi)是采取地址欺騙、TCP序號(hào)攻擊等手法繞過(guò)防火墻的認(rèn)證機(jī)制，從而對(duì)防火墻和內(nèi)部網(wǎng)絡(luò)造成破壞。此類(lèi)攻擊方法比較多樣，常見(jiàn)的有IP欺騙攻擊、分片攻擊等，而會(huì)話(huà)劫持攻擊是結(jié)合了欺騙技術(shù)以及嗅探在內(nèi)的一種攻擊手段。第三類(lèi)是尋找、利用防火墻系統(tǒng)實(shí)現(xiàn)和設(shè)計(jì)上的安全漏洞，從而有針對(duì)性的發(fā)動(dòng)攻擊。這種攻擊難度比較大，可是破壞性很大。防火墻本質(zhì)

11、上是一個(gè)操作系統(tǒng)，有其軟件和硬件，因此依然存在漏洞。所以其本身也可能受到攻擊和出現(xiàn)軟/硬件方面的故障。4.防止攻擊的方法4.1防控DDoS攻擊DDoS攻擊即拒絕服務(wù)攻擊。從現(xiàn)在和未來(lái)看，防火墻都是抵御的重要組成部分，這是由防火墻在網(wǎng)絡(luò)拓?fù)涞奈恢煤桶缪莸慕巧珱Q定的，下面列舉防火前對(duì)付DoS/DDoS攻擊的集中有效防范方法。4.2基于狀態(tài)的資源控制，保護(hù)防火墻資源有些防火墻支持IP Inspect功能，對(duì)進(jìn)入防火墻的資料做嚴(yán)格的檢查，各種針對(duì)系統(tǒng)漏洞的攻擊包如Ping Of Death,TearDrop等，會(huì)自動(dòng)被系統(tǒng)過(guò)濾掉congress保護(hù)網(wǎng)絡(luò)。對(duì)防火墻來(lái)說(shuō)，資源是十分寶貴的，當(dāng)收到來(lái)自外來(lái)的

12、DDos攻擊時(shí)，系統(tǒng)內(nèi)部的資源全部被攻擊流所占用，此時(shí)正常的資料報(bào)文肯定會(huì)受到影響。基于狀態(tài)的資源控制回自動(dòng)監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)所有的連接狀態(tài)，當(dāng)有連接長(zhǎng)時(shí)間未得到應(yīng)答就處于半連接狀態(tài)，浪費(fèi)系統(tǒng)資源，當(dāng)系統(tǒng)內(nèi)的半連接超過(guò)正常的范圍時(shí)，就有可能判斷是遭受了攻擊。防火墻基于狀態(tài)的資源控制能有效的控制這類(lèi)情況，具體體現(xiàn)在一下5點(diǎn)：控制連接、與半連接的超時(shí)時(shí)間；必要時(shí)，可以縮短半連接的超時(shí)時(shí)間，加速半連接的老化。限制系統(tǒng)各個(gè)協(xié)議的最大連接值，保證協(xié)議的連接總數(shù)不超過(guò)系統(tǒng)限制，在達(dá)到連接上限后刪除新建的連接。限制系統(tǒng)符合條件源/目的主機(jī)連接數(shù)量。針對(duì)源或目的IP地址做流限制，Inspect可以限制每個(gè)IP地址的資

13、源，用戶(hù)在資源控制的范圍內(nèi)時(shí)，使用并不會(huì)受到影響，但當(dāng)用戶(hù)感染蠕蟲(chóng)病毒或發(fā)送攻擊報(bào)文等情況時(shí)，針對(duì)流的資源控制可以限制每個(gè)IP地址發(fā)送的連接數(shù)目，超過(guò)限制的連接數(shù)目將被丟棄，這種做法可以有效的抑制病毒產(chǎn)生攻擊的效果，避免其他正常使用的用戶(hù)受到影響。單位時(shí)間內(nèi)如果穿過(guò)防火墻的“同類(lèi)”數(shù)據(jù)流超過(guò)門(mén)限值后，可以設(shè)定對(duì)該種類(lèi)的數(shù)據(jù)流進(jìn)行阻斷，對(duì)于防止IP，ICMP，UDP等非連接的Flood攻擊具有良好的防御效果。4.3智能TCP代理有效防范SYN FloodSYN Flood是DDoS攻擊中危害性最強(qiáng)，也是最難防范的一種。這種攻擊利用TCP協(xié)議的缺陷，發(fā)送大量的TCP連接請(qǐng)求，從而使得被攻擊方資源耗

14、盡。防火墻工作時(shí)，并不會(huì)立即開(kāi)啟TCP代理，只有當(dāng)網(wǎng)絡(luò)中的TCP半連接達(dá)到啟動(dòng)警戒線(xiàn)時(shí)，正常TCP Intercept會(huì)自動(dòng)啟動(dòng)，當(dāng)網(wǎng)絡(luò)中的TCP半連接達(dá)到入侵警戒線(xiàn)時(shí)，系統(tǒng)進(jìn)入入侵模式，此時(shí)新連接回覆蓋舊的TCP連接；此后，系統(tǒng)全連接數(shù)增多，半連接數(shù)減小，當(dāng)半連接數(shù)降到入侵警戒線(xiàn)以下時(shí)，系統(tǒng)退出入侵模式。如果此時(shí)停止攻擊，系統(tǒng)半連接數(shù)逐漸降到TCP代理啟動(dòng)警戒線(xiàn)以下，智能TCP代理模塊停止工作。通過(guò)智能TCP代理可以有效防止SYN Flood攻擊，保證網(wǎng)絡(luò)資源安全。4.4利用NetFlow對(duì)DoS攻擊和病毒監(jiān)測(cè)支持NetFlow功能的防火墻，將網(wǎng)絡(luò)交換中的資料包識(shí)別為流的方式加以記錄，并封裝

15、為UDP資料包發(fā)送到分析器上，這樣就為網(wǎng)絡(luò)管理、流量分析和監(jiān)控、入侵檢測(cè)等提供了豐富的資料來(lái)源，即可以再不影響轉(zhuǎn)發(fā)性能的同時(shí)記錄、發(fā)送NetFlow信息，并能夠利用一些流量分析工具對(duì)接收到的資料進(jìn)行分析、處理，從而可以統(tǒng)計(jì)出每天流量的TOP TEN或者業(yè)務(wù)的TOP TEN等，以此作為標(biāo)準(zhǔn)，當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)流量異常時(shí)，就可以可以利用NetFlow有效的查找、定位DDoS攻擊的來(lái)源。4.5防范溢出策略目前，大多數(shù)的防火墻系統(tǒng)都是針對(duì)包過(guò)濾規(guī)則進(jìn)行安全防御的，這種類(lèi)型的防火墻在高也只能工作在傳輸層，而溢出程序的shellcode是放在應(yīng)用層的，因此對(duì)這類(lèi)攻擊就無(wú)能為力了。及到對(duì)黑客的防范，必須首先明確網(wǎng)絡(luò)

16、系統(tǒng)的安全。我們認(rèn)為，網(wǎng)絡(luò)系統(tǒng)安全有下列3個(gè)中心目標(biāo)：其一是保密性，即保證非授權(quán)操作不能獲取受保護(hù)的信息或計(jì)算機(jī)資源；其二是完整性，即保證非授權(quán)操作不能修改數(shù)據(jù)；其三是有效性，即保證非授權(quán)操作不能破壞信息或計(jì)算機(jī)資源。具體是指基于網(wǎng)絡(luò)運(yùn)作和網(wǎng)絡(luò)間物理線(xiàn)路和聯(lián)接的安全、網(wǎng)絡(luò)信息傳輸?shù)陌踩?、操作系統(tǒng)安全、應(yīng)用服務(wù)安全、人員管理安全等幾個(gè)方面。要實(shí)現(xiàn)這些方面的安全，除了明確黑客攻擊的原理，還必須熟悉防范采用的技術(shù)，進(jìn)而才能采取具體的防范措施。對(duì)這種漏洞的解決方案如下： 常見(jiàn)的防范技術(shù)分為兩類(lèi)，即主動(dòng)防范技術(shù)與被動(dòng)防范技術(shù)。主動(dòng)防范技術(shù)包括數(shù)字簽名技術(shù)、取證技術(shù)、陷阱技術(shù)等。被動(dòng)防范技術(shù)包括

17、防火墻技術(shù)、入侵檢測(cè)技術(shù)等。a. 數(shù)字簽名技術(shù)數(shù)字簽名技術(shù)是采用加密技術(shù)的加、解密算法體制來(lái)對(duì)報(bào)文進(jìn)行處理，以達(dá)到發(fā)送方不能否認(rèn)所發(fā)送的報(bào)文；接收方能夠證實(shí)發(fā)送方的真實(shí)身份這兩方面的目的。實(shí)現(xiàn)數(shù)字簽名的方法多種，但采用公開(kāi)密鑰算法要比常規(guī)算法更容易實(shí)現(xiàn)。公開(kāi)密鑰密碼體制主要的特點(diǎn)就是加密和解密使用不同的密鑰，每個(gè)用戶(hù)保存著一對(duì)密鑰公開(kāi)密鑰PK和秘密密鑰SK。只有同時(shí)使用收、發(fā)雙方的解密密鑰和公開(kāi)密鑰才能獲得原文，從而對(duì)口令入侵、網(wǎng)絡(luò)監(jiān)聽(tīng)有很好的防范作用。b. 陷阱技術(shù)陷阱技術(shù)是隱藏在防火墻后面，通過(guò)模擬一些常見(jiàn)的系統(tǒng)漏洞，制造一個(gè)被入侵的網(wǎng)絡(luò)環(huán)境，誘導(dǎo)入侵者對(duì)系統(tǒng)發(fā)生攻擊。在攻擊的過(guò)程中對(duì)此環(huán)

18、境中的進(jìn)出數(shù)據(jù)進(jìn)行捕獲與控制，并對(duì)被捕獲數(shù)據(jù)進(jìn)行分析，從而理解和研究入侵者們使用的工具、入侵的方法以及入侵的動(dòng)機(jī)。由此獲取不同系統(tǒng)的第一手入侵?jǐn)?shù)據(jù)，這樣做，一方面可以轉(zhuǎn)移攻擊目標(biāo)，保護(hù)目標(biāo)機(jī)；另一方面可以進(jìn)行系統(tǒng)評(píng)估、優(yōu)化入侵檢測(cè)系統(tǒng)、防火墻系統(tǒng)，為制定強(qiáng)有力的安全決策提供依據(jù)。c. 取證技術(shù)取證技術(shù)是利用在受保護(hù)的計(jì)算機(jī)中事先安裝上代理，當(dāng)黑客入侵該機(jī)的時(shí)候，對(duì)于系統(tǒng)的操作，或是對(duì)于文件的修改、刪除、復(fù)制、傳送等行為，系統(tǒng)和代理會(huì)產(chǎn)生相應(yīng)的日志文件加以記錄，這些日志文件被迅速傳遞到取證機(jī)中加以備份保存，并由分析機(jī)調(diào)取日志文件信息，結(jié)合網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行相關(guān)分析。一方面通過(guò)定性、定量的分析可以確定是

19、否入侵以及入侵的來(lái)源、入侵的方式、入侵的程度等信息；另一方面保存原始數(shù)據(jù)用來(lái)作為被入侵的證據(jù)。 d. 防火墻技術(shù)防火墻技術(shù)是在受保護(hù)網(wǎng)和不被信任的網(wǎng)絡(luò)之間設(shè)立一個(gè)屏障，對(duì)進(jìn)出的所有報(bào)文進(jìn)行分析，或?qū)τ脩?hù)進(jìn)行認(rèn)證，其主要功能就是通過(guò)對(duì)受保護(hù)網(wǎng)絡(luò)的非法訪(fǎng)問(wèn)的控制，達(dá)到防范外網(wǎng)對(duì)內(nèi)網(wǎng)、內(nèi)網(wǎng)對(duì)外網(wǎng)的非法訪(fǎng)問(wèn)。從防火墻技術(shù)發(fā)展的總體來(lái)看，大概經(jīng)歷了包過(guò)濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)3個(gè)階段。包過(guò)濾技術(shù)主要針對(duì)網(wǎng)絡(luò)層的安全，檢查傳輸過(guò)程中不符合規(guī)定的IP地址；代理技術(shù)是通過(guò)在兩個(gè)網(wǎng)絡(luò)之間設(shè)置代理服務(wù)器，檢查雙方信息傳輸?shù)暮戏ㄐ?，由此將?nèi)部用戶(hù)與外界隔離開(kāi)來(lái)；狀態(tài)監(jiān)視技術(shù)是在不影響安全正常工作的前提下，通過(guò)

20、對(duì)相關(guān)數(shù)據(jù)采樣來(lái)對(duì)網(wǎng)絡(luò)的各層實(shí)行監(jiān)測(cè)，為安全決策提供支持。e. 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)是通過(guò)對(duì)系統(tǒng)與網(wǎng)絡(luò)日志文件、私有數(shù)據(jù)文件、程序執(zhí)行中的不期望行為等方面信息的搜集，利用模式匹配、統(tǒng)計(jì)分析、完整性校驗(yàn)等方法進(jìn)行監(jiān)視分析用戶(hù)和系統(tǒng)行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性以達(dá)到對(duì)入侵行為識(shí)別、預(yù)警、報(bào)告、處理的目的。大體上分為兩類(lèi)，即基于主機(jī)的入侵檢測(cè)技術(shù)與基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)。前者分析得細(xì)致，結(jié)論準(zhǔn)確性高；后者響應(yīng)得及時(shí)，便于實(shí)時(shí)分析，兩者各有所長(zhǎng)。實(shí)際應(yīng)用中可相互補(bǔ)充、結(jié)合進(jìn)行。  在具體的生活實(shí)際中，要進(jìn)行防范黑客入侵的工作，往往要從兩方面著手。一方面是

21、彌補(bǔ)人員自身存在的缺陷；另一方面是從實(shí)際的網(wǎng)絡(luò)環(huán)境出發(fā)，改善安全狀況。a. 彌補(bǔ)人員自身的缺陷首先，要強(qiáng)化管理人員的安全防范意識(shí)。管理人員，作為安全防范第一線(xiàn)的負(fù)責(zé)人，責(zé)任重大。要求不僅具備系統(tǒng)管理的必備知識(shí)，熟悉系統(tǒng)的漏洞與常出現(xiàn)的問(wèn)題，而且應(yīng)具備全局意識(shí)，明確本地的安全策略，選擇安全的服務(wù)器系統(tǒng)，設(shè)置安全的存取控制權(quán)限，定期分析系統(tǒng)日志、備份重要文件，及時(shí)解決如操作系統(tǒng)的補(bǔ)丁程序的下載、安裝，入侵行為的處理等方面的問(wèn)題，而且要不定期組織相關(guān)人員的培訓(xùn)，提高安全防范的技能。其次，樹(shù)立個(gè)人的安全防范意識(shí)，這一點(diǎn)說(shuō)起來(lái)容易，做起來(lái)很難。例如：你是否常常對(duì)不明來(lái)歷的郵件感興趣，并隨意地打開(kāi)？你是否

22、下載不知名的軟件并運(yùn)行？在密碼設(shè)置上是否是用純數(shù)字、純字符或是英文單詞，并且常常不更換？你是否有備份的習(xí)慣等等。這時(shí)候，也許某個(gè)木馬程序已經(jīng)悄悄植入，帳號(hào)密碼已經(jīng)更換，文件已被竊取。關(guān)于網(wǎng)站安全調(diào)查的結(jié)果表明：超過(guò)80的安全侵犯都是由于人們選用了拙劣的口令而導(dǎo)致的。所以，安全防范意識(shí)一定要從使用者本身抓起。b. 改善網(wǎng)絡(luò)環(huán)境的安全狀況根據(jù)本地的安全策略，選擇適合的安全防范系統(tǒng)。上圖給出了一個(gè)局域網(wǎng)的安全防范拓?fù)鋱D。首先考慮安裝防火墻(見(jiàn)圖。防火墻技術(shù)是控制對(duì)網(wǎng)絡(luò)系統(tǒng)訪(fǎng)問(wèn)的首選方法。據(jù)某網(wǎng)站統(tǒng)計(jì)，超過(guò)三分之一的Web網(wǎng)點(diǎn)都是通過(guò)某種形式的防火墻加以保護(hù)，有百分之七十的網(wǎng)絡(luò)入侵可以通過(guò)防火墻防范于

23、未然。另外，任何對(duì)關(guān)鍵服務(wù)器的訪(fǎng)問(wèn)都應(yīng)該通過(guò)代理服務(wù)器，這雖然降低了服務(wù)的某些性能，但從安全的角度考慮，是完全值得的。其次考慮安裝入侵檢測(cè)系統(tǒng)(IDS。前面已經(jīng)介紹了基于主機(jī)的入侵檢測(cè)系統(tǒng)(見(jiàn)圖和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(見(jiàn)圖的特點(diǎn)。前者性能價(jià)格比高，不需增加專(zhuān)門(mén)的硬件平臺(tái)，適用于被加密的、交換的環(huán)境；后者價(jià)格昂貴，但偵測(cè)速度快、隱蔽性好、占用資源少、不依賴(lài)主機(jī)的操作系統(tǒng)。二者各有優(yōu)劣，可根據(jù)安全策略的不同考慮采取不同措施，也可以二者結(jié)合使用。第三考慮安裝取證系統(tǒng)(見(jiàn)圖。在實(shí)際的入侵防范中，許多入侵行為都是轉(zhuǎn)瞬即逝的，即使察覺(jué)也難于拿出證據(jù)，并將入侵者訴諸于公堂。于是就迫切需要由第三方公證的取證

24、系統(tǒng)出臺(tái)，為利益損失的一方提出訴訟的依據(jù)，以便維護(hù)損失方的利益。那么，有此方面安全策略需求的可以采取安裝取證系統(tǒng)。第四考慮安裝陷阱系統(tǒng)(見(jiàn)圖。這一系統(tǒng)主要針對(duì)網(wǎng)絡(luò)入侵行為的研究，入侵的時(shí)間、入侵的渠道、采用的方法、入侵的目的等，可以作為輔助手段用于分析網(wǎng)絡(luò)的系統(tǒng)漏洞，需要采用什么樣的安全策略，需要在哪些方面調(diào)整，為進(jìn)一步監(jiān)督、保障安全策略的執(zhí)行做好準(zhǔn)備。4.6對(duì)希望保護(hù)的主機(jī)實(shí)行“單獨(dú)開(kāi)放端口”訪(fǎng)問(wèn)控制策略所謂“單獨(dú)開(kāi)放窗口”就是指只開(kāi)放需要提供的端口，對(duì)于不需要提供服務(wù)的端口實(shí)行過(guò)濾策略。遠(yuǎn)程溢出的攻擊實(shí)施流程如圖3-2-1所示。圖3-2-1 遠(yuǎn)程溢出的攻擊實(shí)施流程圖使用“單獨(dú)開(kāi)放端口”策略的解決方案對(duì)整個(gè)遠(yuǎn)程溢出過(guò)程所發(fā)生的前三部都是無(wú)能為力的，但第四步能夠有效地阻止黑客連上有缺陷主機(jī)的被溢出端口，從而切斷了黑客的惡意攻擊手段。這種方案的優(yōu)點(diǎn)是操作簡(jiǎn)單，一般的網(wǎng)絡(luò)/系統(tǒng)管理員