計算機(jī)網(wǎng)絡(luò)安全

計算機(jī)網(wǎng)絡(luò)安全PAGE8目錄1.計算機(jī)網(wǎng)絡(luò)安全的含義1.1計算機(jī)網(wǎng)絡(luò)安全定義國際標(biāo)準(zhǔn)化組織將“計算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和治理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機(jī)安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。計算機(jī)網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的熟悉和要求也就不同。從普通使用者的角度來說，可能僅僅希望個人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突的自然災(zāi)難、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通保持網(wǎng)絡(luò)通信的連續(xù)性。從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。1.2計算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀計算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計算機(jī)和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計算機(jī)病毒的種類，而且許多攻擊都是致命的。在Internet網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒有時空和地域的限制，每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計算機(jī)系統(tǒng)及網(wǎng)絡(luò)癱瘓。計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第1頁。2.計算機(jī)網(wǎng)絡(luò)攻擊和入侵的主要途徑計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第1頁。2.1網(wǎng)絡(luò)入侵的定義網(wǎng)絡(luò)入侵是指網(wǎng)絡(luò)攻擊者通過非法的手段（如破譯口令、電子欺騙等）獲得非法的權(quán)限，并通過使用這些非法的權(quán)限使網(wǎng)絡(luò)攻擊者能對被攻擊的主機(jī)進(jìn)行非授權(quán)的操作。網(wǎng)絡(luò)入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。2.2網(wǎng)絡(luò)攻擊的途徑口令是計算機(jī)系統(tǒng)抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機(jī)，然后再實施攻擊活動。這種方法的前提是必須先得到該主機(jī)上的某個合法用戶的帳號，然后再進(jìn)行合法用戶口令的破譯。獲得普通用戶帳號的方法很多，如：2.2.1利用目標(biāo)主機(jī)的Finger功能當(dāng)用Finger命令查詢時，主機(jī)系統(tǒng)會將保存的用戶資料（如用戶名、登錄時間等）顯示在終端或計算機(jī)上；利用目標(biāo)主機(jī)的X.500服務(wù)：有些主機(jī)沒有關(guān)閉X.500的目錄查詢服務(wù)，也給攻擊者提供了獲得信息的一條簡易途徑；從電子郵件地址中收集：有些用戶電子郵件地址常會透露其在目標(biāo)主機(jī)上的帳號；查看主機(jī)是否有習(xí)慣性的帳號：有經(jīng)驗的用戶都知道，很多系統(tǒng)會使用一些習(xí)慣性的帳號，造成帳號的泄露。2.2.2IP欺騙IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機(jī)假冒另一臺計算機(jī)以達(dá)到蒙混過關(guān)的目的。它只能對某些特定的運行TCP/IP的計算機(jī)進(jìn)行入侵。IP欺騙利用了TCP/IP網(wǎng)絡(luò)協(xié)議的脆弱性。在TCP的三次握手過程中，入侵者假冒被入侵主機(jī)的信任主機(jī)與被入侵主機(jī)進(jìn)行連接，并對被入侵主機(jī)所信任的主機(jī)發(fā)起淹沒攻擊，使被信任的主機(jī)處于癱瘓狀態(tài)。當(dāng)主機(jī)正在進(jìn)行遠(yuǎn)程服務(wù)時，網(wǎng)絡(luò)入侵者最容易獲得目標(biāo)網(wǎng)絡(luò)的信任關(guān)系，從而進(jìn)行IP欺騙。IP欺騙是建立在對目標(biāo)網(wǎng)絡(luò)的信任關(guān)系基礎(chǔ)之上的。同一網(wǎng)絡(luò)的計算機(jī)彼此都知道對方的地址，它們之間互相信任。由于這種信任關(guān)系，這些計算機(jī)彼此可以不進(jìn)行地址的認(rèn)證而執(zhí)行遠(yuǎn)程操作。2.2.3域名系統(tǒng)（DNS）計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第2頁。域名系統(tǒng)（DNS）是一種用于TCP/IP程序的分布式數(shù)據(jù)庫，它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。通常，用戶通過UDP協(xié)議和DNS服務(wù)器進(jìn)行通信，而服務(wù)器在特定的53端口監(jiān)聽，并返回用戶所需的相關(guān)信息。DNS協(xié)議不對轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議被人以一些不同的方式加以利用。當(dāng)攻擊者危害DNS服務(wù)器并明確地更改主機(jī)名—IP地址映射表時,DNS欺騙就會發(fā)生。這些改變被寫入DNS服務(wù)器上的轉(zhuǎn)換表。因而,當(dāng)一個客戶機(jī)請求查詢時,用戶只能得到這個偽造的地址,該地址是一個完全處于攻擊者控制下的機(jī)器的IP地址。因為網(wǎng)絡(luò)上的主機(jī)都信任DNS服務(wù)器,所以一個被破壞的DNS服務(wù)器可以將客戶引導(dǎo)到非法的服務(wù)器,也可以欺騙服務(wù)器相信一個IP地址確實屬于一個被信任客戶。計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第2頁。3.計算機(jī)網(wǎng)絡(luò)攻擊的特點3.1計算機(jī)網(wǎng)絡(luò)攻擊具體特點3.1.1損失巨大由于攻擊和入侵的對象是網(wǎng)絡(luò)上的計算機(jī)，所以一旦他們?nèi)〉贸晒?，就會使網(wǎng)絡(luò)中成千上萬臺計算機(jī)處于癱瘓狀態(tài)，從而給計算機(jī)用戶造成巨大的損失。如美國每年因計算機(jī)犯罪而造成的經(jīng)濟(jì)損失就達(dá)幾百億美元。平均一起計算機(jī)犯罪案件所造成的經(jīng)濟(jì)損失是一般案件的幾十到幾百倍。3.1.2威脅和國家安全一些計算機(jī)網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府要害部門和軍事部門的計算機(jī)作為攻擊目標(biāo)，從而對社會和國家安全造成威脅。3.1.3手段多樣，手法隱蔽計算機(jī)攻擊的手段可以說五花八門。網(wǎng)絡(luò)攻擊者既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取別人的保密信息；也可以通過截取別人的帳號和口令堂而皇之地進(jìn)入別人的計算機(jī)系統(tǒng)；還可以通過一些特殊的方法繞過人們精心設(shè)計好的防火墻等等。這些過程都可以在很短的時間內(nèi)通過任何一臺聯(lián)網(wǎng)的計算機(jī)完成。因而犯罪不留痕跡，隱蔽性很強(qiáng)。3.1.4以軟件攻擊為主計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第3頁。幾乎所有的網(wǎng)絡(luò)入侵都是通過對軟件的截取和攻擊從而破壞整個計算機(jī)系統(tǒng)的。它完全不同于人們在生活中所見到的對某些機(jī)器設(shè)備進(jìn)行物理上的摧毀。因此，這一方面導(dǎo)致了計算機(jī)犯罪的隱蔽性，另一方面又要求人們對計算機(jī)的各種軟件（包括計算機(jī)通信過程中的信息流）進(jìn)行嚴(yán)格的保護(hù)。計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第3頁。4.計算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生的原因4.1網(wǎng)絡(luò)安全缺陷產(chǎn)生的主要原因4.1.1TCP/IP的脆弱性因特網(wǎng)的基石是TCP/IP協(xié)議。但不幸的是該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。4.1.2網(wǎng)絡(luò)結(jié)構(gòu)的不安全性因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡(luò)。當(dāng)人們用一臺主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶的數(shù)據(jù)包。4.1.3易被竊聽由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的郵件、口令和傳輸?shù)奈募M(jìn)行竊聽。4.1.4缺乏安全意識雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識，從而使這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的PPP連接從而避開了防火墻的保護(hù)。5.常見的網(wǎng)絡(luò)攻擊及其防范對策計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第4頁。隨著INTERNET的進(jìn)一步發(fā)展，各種網(wǎng)上活動日益頻繁，尤其網(wǎng)上辦公、交易越來越普及，使得網(wǎng)絡(luò)安全問題日益突出，各種各樣的網(wǎng)絡(luò)攻擊層出不窮，如何防止網(wǎng)絡(luò)攻擊，為廣大用戶提供一個安全的網(wǎng)絡(luò)環(huán)境變得尤為重要。蠕蟲、后門、Rootkits、DOS和Sniffer是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第4頁。5.1密碼攻擊用戶在撥號上網(wǎng)時，如果選擇了“保存密碼”的功能，則上網(wǎng)密碼將被儲存在windows目錄中，以“username.pwl”的形式存放。如果不小心被別人看到這個文件，那就麻煩了，因為從網(wǎng)上可以很輕松地找到諸如pwlview這樣的軟件來觀看其中的內(nèi)容，那上網(wǎng)密碼就泄漏了。有的人使用名字、生日、電話號碼等來做密碼，更有的人的密碼干脆和用戶名一樣，這樣的密碼，在黑客攻擊軟件龐大的字典文件面前簡直是不堪一擊。那么該如何防范密碼不被攻擊呢？應(yīng)從以下方面入手：（1）不用生日、電話號碼、名字等易于猜到的字符做密碼。（2）上網(wǎng)時盡量不選擇保存密碼。（3）每隔半個月左右更換一次密碼，不要怕麻煩。5.2特洛伊木馬特洛伊木馬程序技術(shù)是黑客常用的攻擊手段。它通過在你的電腦系統(tǒng)隱藏一個會在Windows啟動時運行的程序，采用服務(wù)器／客戶機(jī)的運行方式，從而達(dá)到在上網(wǎng)時控制你電腦的目的。特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬程序包括兩個部分，即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的程序中，從而使它們受到感染。此類攻擊對機(jī)的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對被攻擊的計算機(jī)的控制權(quán)。防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進(jìn)行數(shù)字簽名，而在運行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽TCP服務(wù)。5.3郵件炸彈計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第5頁。郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺機(jī)器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，防礙計算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過計算機(jī)網(wǎng)絡(luò)對某一目標(biāo)的報復(fù)活動中。計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第5頁。防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進(jìn)行配置，自動刪除來自同一主機(jī)的過量或重復(fù)的消息，也可使自己的SMTP連接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。5.4過載攻擊過載攻擊是攻擊者通過服務(wù)器長時間發(fā)出大量無用的請求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進(jìn)程攻擊，它是通過大量地進(jìn)行人為地增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。防止過載攻擊的方法有：限制單個用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時的進(jìn)程。然而，不幸的是這兩種方法都存在一定的負(fù)面效應(yīng)。通過對單個用戶所擁有的最大進(jìn)程數(shù)的限制和耗時進(jìn)程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機(jī)列表和網(wǎng)絡(luò)地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡(luò)外部還是網(wǎng)絡(luò)內(nèi)部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。5.5淹沒攻擊計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第6頁。正常情況下，TCP連接建立要經(jīng)歷3次握手的過程，即客戶機(jī)向主機(jī)發(fā)送SYN請求信號；目標(biāo)主機(jī)收到請求信號后向客戶機(jī)發(fā)送SYN/ACK消息；客戶機(jī)收到SYN/ACK消息后再向主機(jī)發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會。攻擊者可以使用一個不存在或當(dāng)時沒有被使用的主機(jī)的IP地址，向被攻擊主機(jī)發(fā)出SYN請求信號，當(dāng)被攻擊主機(jī)收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機(jī)發(fā)出SYN/消息。由于此時主機(jī)的IP不存在或當(dāng)時沒有被使用所以無法向主機(jī)發(fā)送RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時。如果攻擊者不斷地向被攻擊的主機(jī)發(fā)送SYN請求，被攻擊主機(jī)就會一直處于等待狀態(tài)，從而無法響應(yīng)其他用戶的請求。計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第6頁。計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第7頁。對付淹沒攻擊的最好方法是實時監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過某一給定的數(shù)值時，實時關(guān)閉這些連接。計算機(jī)網(wǎng)絡(luò)安全全文共8頁，當(dāng)前為第7頁。結(jié)論總之，計算機(jī)網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、治理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。參考文獻(xiàn)尚曉航，陳強(qiáng)．計算機(jī)局域網(wǎng)與windows使用教程，清華大學(xué)出版社，2000沈志星，馬金彪．計算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)［Ｍ］,清華大學(xué)出版社，2010劉占全，網(wǎng)絡(luò)管理與防火墻［M］，人民郵電出版社，1999闞曉初，計算機(jī)網(wǎng)絡(luò)基礎(chǔ)應(yīng)用，北京大學(xué)出版社，2006.8葉忠杰，計算機(jī)網(wǎng)絡(luò)安全技術(shù)，科學(xué)出版社，2003.8致謝感謝我的指導(dǎo)老師**