【正文】 理機制兩方面的內(nèi)容。網(wǎng)絡設備之間應互認證對方的身份，以保證正確的操作權(quán)力賦予 和數(shù)據(jù)的存取控制；同時網(wǎng)絡也必須 5 認證用戶的身份，以授權(quán)保證合法的用戶實施正確 的操作。利用密碼技術(shù)的完整性保護可以很好地對付非法篡改，當信息源 的完整性可以被驗證卻無法模仿時，可提供不可抵賴服務。 網(wǎng)絡安全策略 策略通常是一般性的規(guī)范，只提出相應的重點，而不確切地說明如何達到所要的結(jié) 果，因此策略屬于安全技術(shù)規(guī)范的最高一級?；谝?guī)則的安全策略是指建立在特定的，個體化屬性之上的授權(quán)準則，授權(quán)通常依 賴于敏感性。 （ 3）數(shù)字簽名；防止用戶否認對數(shù)據(jù)所做的處理。主要是指公開密銀證書的產(chǎn)生、分配更新和驗證。是在不同的終端系統(tǒng)之間協(xié)商建立共同采用的安全策略，包括安全 策略實施所在層次、具體采用的認證、加密算法和步驟、如何處理差錯。 國際互聯(lián)網(wǎng)允許自主接入，從而構(gòu) 成一個規(guī)模龐大的，復雜的巨系統(tǒng)，在如此復雜 的環(huán)境下，孤立的技術(shù)發(fā)揮的作用有限，必須從整體的和體系的角度，綜合運用系統(tǒng)論， 控制論和信息論等理論，融合各種技術(shù)手段，加強自主創(chuàng)新和頂層設計，協(xié)同解決網(wǎng)絡 安全問題。國家計算機網(wǎng)絡入侵防范中心發(fā)布安全漏洞周報稱，上周安全漏洞共計有１８３個，其中高危漏洞８８個，安全漏洞總量相比前一周有所上升。 無論多強大的軟件在設計之初都難免存在缺陷或漏洞，操作系統(tǒng)軟件也不例外。攻擊者通過各種方式尋找系統(tǒng)脆弱點或系統(tǒng)漏洞，由于網(wǎng)絡系統(tǒng)同構(gòu)冗余環(huán)境的弱點是相同的，多個系統(tǒng)同時故障的概率雖小，但被攻破可能性卻大，通過攔截、竊取等多種方式，向系統(tǒng)實施攻擊，破壞系統(tǒng)重要數(shù)據(jù)，甚至系統(tǒng)癱瘓，給網(wǎng)絡安全帶來嚴重威脅。此外，網(wǎng)絡環(huán)境應是可靠的、可 被控制的。同時外來的攻擊和內(nèi)部用戶的攻擊越來越多、危害越來越大 ,已經(jīng)嚴重影響到了網(wǎng)絡的正常 使用。非授權(quán)訪問或在非授權(quán)和不能監(jiān)測的方式下對數(shù)據(jù)進行修改 。 四、網(wǎng)絡攻擊 黑客攻擊和網(wǎng)絡安全的是緊密結(jié)合在一起的，研究網(wǎng)絡安全不研究 黑客攻擊技術(shù)簡直是紙上談兵，研究攻擊技術(shù)不研究網(wǎng)絡安全就是閉門造車。 網(wǎng)絡攻擊 的步驟 下面我們就來看一下那些攻擊者是如何找到你計算機中的安全漏洞的，并了解一下他們的攻擊手法。 第二種方式是做多極跳板“ Sock 代理”，這樣在入侵的電腦上留下的是代理計算機的 IP 地址。掃描分成兩種策略：被動式策略和主動式策略。 第五步：在網(wǎng)絡中隱身 一次成功入侵之后，一般在對方的計算機上已經(jīng)存儲了相關(guān)的登錄日志，這樣就容易被管理員發(fā)現(xiàn)，在入侵完畢后需要清除登錄日志已經(jīng)其他相關(guān)的日志。 2. 放置特洛伊木馬程序 特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者 執(zhí)行了這些程序之后，它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，并在自己的計算機系統(tǒng)中隱藏一個可以在 Windows 啟動時悄悄執(zhí)行的程序。然而一般的用戶恐怕不會想到有這些問題存在：正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過，網(wǎng)頁上的信息是虛假的！例如黑客將用戶要瀏覽的網(wǎng)頁的 URL 改寫為指向黑客自己的服務器，當用戶瀏覽目標網(wǎng)頁的時候，實際上是向黑客服務器發(fā)出請求，那么黑客就可以達到欺騙的目的了。 4. 電子郵件攻擊 電子郵件是互聯(lián)網(wǎng)上運用得十分廣泛的一種通訊方式。 電子郵件攻擊主要表現(xiàn)為兩種方式： (1)是電子郵件轟炸和電子郵件“滾雪球”，也就是通常所說的郵件炸彈，指的 是用偽造的 IP 地址和電子郵件地址向同一 16 信箱發(fā)送數(shù)以千計、萬計甚至無窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴重者可能會給電子郵件服務器操作系統(tǒng)帶來危險，甚至癱瘓； (2)是電子郵件欺騙，攻擊者佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），給用戶發(fā)送郵件要求用戶修改口令（口令可能為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序。攻擊者通過外部計算機偽裝成另一臺合法機器來實現(xiàn)。另外由于用戶本身不直接與底層相互相交流，因而對底層的攻擊更具有欺騙性。雖然網(wǎng)絡監(jiān)聽獲得的用戶帳號和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號及口令。有可能當用戶下載了一個小游戲并運行時，黑客軟件的服務器端就安裝完成了，而且大部分黑客軟件的重生能力比較強，給用戶進行清除造成一定的麻煩。如緩沖區(qū)溢出攻擊。另一些是利用協(xié)議漏洞進行攻擊。現(xiàn)在常見的蠕蟲病毒或與其同類的病毒都可以對服務器進行拒絕服務攻擊的進攻。 19 五、常見網(wǎng)絡攻擊 常見的網(wǎng)絡攻擊可分為四大類； 分別為： arp 攻擊、內(nèi)網(wǎng)ip 欺騙、內(nèi)網(wǎng)攻擊、及外網(wǎng)流量攻擊四種不同型式。 在這個階段，防制的措施 是以 arp echo 指令方式，可以解決只是為了盜寶為目的傳統(tǒng) arp 攻擊。由于發(fā)出廣播包的次數(shù)太多，因此會使整個局域網(wǎng)變慢，或占用網(wǎng)關(guān)運算能力，發(fā)生內(nèi)網(wǎng)很慢或上網(wǎng)卡的現(xiàn)象。有些解決方式則在用戶與網(wǎng)關(guān)間建立 pppoe 聯(lián)機，不但配置功夫大，還耗費運算能力。這種攻擊現(xiàn)象，通常影響的計算機有限，不致出現(xiàn)大規(guī)模影響。若是采用其它的 arp 防制方法，則要采用另外的方法來應對。有的內(nèi)網(wǎng)攻擊會自行變換 ip，讓網(wǎng)管更難找出是誰發(fā)出的網(wǎng)絡包。對于內(nèi)網(wǎng)攻擊，另外的防制措施是采用聯(lián)防的交換機，直接把不正常計算機的實體聯(lián)機切斷，不過具備聯(lián)防能力交換機的成本較高，甚至比路由器還貴。它的現(xiàn)象是看內(nèi)網(wǎng)流量很正常，但是上網(wǎng)很慢或上不了 。有些用戶搭配多條動態(tài) ip 撥接的 adsl 備援，動態(tài) ip 就較不易成為攻擊的目標。 22 六、網(wǎng)絡攻擊的防范 協(xié)議欺騙攻擊及其防范措施 1． 源 IP 地址欺騙攻擊 許多 應用程序認為如果數(shù)據(jù)包能夠使其自身沿著路由到達目的地，而且應答包也可以回到源地，那么源 IP 地址一定是有效的，而這正是使源 IP 地址欺騙攻擊成為可能的前提。主機 B 響應，回送一個應答包給 A，該應答號等于原序 列號加 1。此時主機 X 并不能檢測到主機 B 的數(shù)據(jù)包（因為不在同一網(wǎng)段），只有利用 TCP 順序號估算法來預測應答包的順序號并將其發(fā)送給目標機 B。 拋棄基于地址的信任策略：阻止這類攻擊的一種非常容易的辦法就是放棄以地址為基礎的驗證。 使用加密方法：在包發(fā)送到 網(wǎng)絡上之前，我們可以對它進行加密。而且，當包的 IP 地址不在本網(wǎng)內(nèi)時，路由器不應該把本網(wǎng)主機的包發(fā)送出去。 2．源路由欺騙攻擊 在通常情況下，信息包從起點到終點走過的路徑是由位于此兩點間的路由器決定的，數(shù)據(jù)包本身只知道去往何處，但不知道該如何去。當 B 回送數(shù)據(jù)包時，就傳送到被更改過的路由器。 分布式拒絕服務（ Distributed Denial of Service，簡稱 DDoS）攻擊是在拒絕服務攻擊的基礎上產(chǎn)生的一種分布式、協(xié)作式的大規(guī)模拒絕服務攻擊方式。常見的 DoS 攻擊方法有： SYN Flood 攻擊、 Land 攻擊、 Smurf攻擊、 UDP 攻擊等。 如果系統(tǒng)資源被大量此類未完成的連接占用，系統(tǒng)性能自然會下降。每個這樣的空連接到將暫存在服務器中，當隊列足夠長時，正常的連接請求將被丟棄，造成服務器拒絕服務的現(xiàn)象。在UDP Flood 攻擊中，攻擊者發(fā)送大量虛假源 IP 的 UDP 數(shù)據(jù)包或畸形 UDP 數(shù)據(jù)包，從而使被攻擊者不能提供正常的服務，甚至造成系統(tǒng)資源耗盡、系統(tǒng)死機。攻擊者：攻擊者所用的計算機是攻擊主控臺，可以是網(wǎng)絡 27 上的任何一臺主機，甚至可以是一個活動的便攜機。代理端：代理端同樣也是攻擊者侵入并控制的一批主機，它們上面運行攻 擊器程序，接受和運行主控端發(fā)來的命令。最后各部分主機各司其職，在攻擊者的調(diào)遣下對攻擊對象發(fā)起攻擊。從理論上說，只要是帶寬或服務器資源有限的系統(tǒng)都會受到 DoS 或 DDoS 攻擊的威脅。 網(wǎng)絡攻擊應對策略 在對網(wǎng)絡攻擊進行上述分析與識別的基礎上，我們應當認真制定有針對性的策略。以下是針對眾多令人 擔心的網(wǎng)絡安全問題，提出的幾點建議： 1. 提高安全意識 (1)不要隨意打開來歷不明的電子郵件及文件，不要隨便運行不太了解的人給你的程序，比如“特洛伊”類黑客程序就需要騙你運行。將常用的密碼設置不同，防止被人查出一個，連帶到重要密碼。 (6)在支持 HTML 的 BBS 上，如發(fā)現(xiàn)提交警告，先看源代碼，很可能是騙取密碼的陷阱。事實上，即便你的機器上 30 被安裝了木馬程序，若沒有你的 IP 地址，攻擊者也是沒有辦法的，而保護 IP 地址的最好方法就是設置代理服務器。 5. 由于黑 客經(jīng)常會針對特定的日期發(fā)動攻擊，計算機用戶在此期間應特別提高警戒。一些初學網(wǎng)絡的朋友也不必擔心，因為目前市場上也已推出許多網(wǎng)絡安全方案，以及各式防火墻，相信在不久的將來，網(wǎng)絡一定會是一個安全的信息傳輸媒體。為了不斷增強信息系統(tǒng)的安全防御能力，必須充分理解系統(tǒng)內(nèi)核及網(wǎng)絡協(xié)議的實現(xiàn)，真正做到洞察對方網(wǎng)絡系統(tǒng)的“細枝末節(jié)”，同時應該熟知針對各種攻擊手段的預防措施，只有這樣才能做到“知己知彼，百