【文章內(nèi)容簡介】 秒鐘內(nèi)激活成百上千次代理程序的運行。 而且現(xiàn)在沒有有限的方法來避免這樣的攻擊。因為此攻擊基于TCP/IP 協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？1. 確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁。計算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補(bǔ)丁。2. 確保管理員對所有主機(jī)進(jìn)行檢查，而不僅針對關(guān)鍵主機(jī)。這是為了確保管理員知道每個主機(jī)系統(tǒng)在 運行什么？ 誰在使用主機(jī)？ 哪些人可以訪問主機(jī)？ 不然，即使黑客侵犯了系統(tǒng)，也很難查明。3. ，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng)—甚至是受防火墻保護(hù)的系統(tǒng)。4. 確保運行在 Unix上的所有服務(wù)都有TCP封裝程序，限制對主機(jī)的訪問權(quán)。5. 禁止內(nèi)部網(wǎng)通過Modem連接至PSTN 系統(tǒng)。否則，黑客能通過電話線發(fā)現(xiàn)未受保護(hù)的主機(jī)，即刻就能訪問極為機(jī)密的數(shù)據(jù)。6. 禁止使用網(wǎng)絡(luò)訪問程序如 Telnet、 Ftp、 Rsh 、Rlogin 和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網(wǎng)上以明文格式傳遞口令，而Telnet和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。此外，在Unix上應(yīng)該將. rhost 和 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!7. 限制在防火墻外與網(wǎng)絡(luò)文件共享。這會使黑客有機(jī)會截獲系統(tǒng)文件，并以特洛伊木馬替換他，文件傳輸功能無異將陷入癱瘓。8. 確保手頭上有一張最新的網(wǎng)絡(luò)拓?fù)鋱D。這張圖應(yīng)該詳細(xì)標(biāo)明TCP/IP地址、主機(jī)、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部分。9. 在防火墻上運行端口映射程序或端口掃描程序。大多數(shù)時間是由于防火墻配置不當(dāng)造成的，使DoS/ DDoS攻擊成功率很高，所以一定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。10. 檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)紕漏或時間出現(xiàn)變更，幾乎可以坑定：相關(guān)的主機(jī)安全收到了威脅。計算機(jī)網(wǎng)絡(luò)的攻擊特1．損失巨大由于攻擊和入侵的對象是網(wǎng)絡(luò)上的計算機(jī),因此攻擊一旦成功,就會使網(wǎng)絡(luò)中的計算機(jī)處于癱瘓狀態(tài),從而給計算機(jī)用戶造成巨大的經(jīng)濟(jì)損失。如美國每年因計算機(jī)犯罪而造成的經(jīng)濟(jì)損失就達(dá)幾百億美元。平均每起計算機(jī)犯罪案件所成的經(jīng)濟(jì)損失是一般案件的幾十到幾百倍。2．威脅社會和國家安全一些計算機(jī)網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府部門和軍事部門的計算機(jī)作為攻擊目標(biāo),從而對社會和國家安全造成威脅。3．手段多樣與手法隱蔽 計算機(jī)攻擊的手段可以說五花八門:網(wǎng)絡(luò)攻擊者既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取別人的保密信息,又可以通過截取別人的帳號和口令進(jìn)入別人的計算機(jī)系統(tǒng),還可以通過一些特殊的方法繞過人們精心設(shè)計的防火墻,等等。這些過程都可以在很短的時間內(nèi)通過計算機(jī)完成,因而犯罪不留痕跡,隱蔽性很強(qiáng)。4．以軟件攻擊為主幾乎所有的網(wǎng)絡(luò)入侵都是通過對軟件的截取和攻擊進(jìn)而破壞整個計算機(jī)系統(tǒng)的。因此,計算機(jī)犯罪具有隱蔽性,這要求人們對計算機(jī)的各種軟件(包括計算機(jī)通信過程中的信息流)進(jìn)行嚴(yán)格的保護(hù)。 第3章 計算機(jī)網(wǎng)絡(luò)安全面臨的威脅計算機(jī)信息系統(tǒng)僅僅是一個智能的機(jī)器,易受自然災(zāi)害及環(huán)境(溫度、濕度、振動、沖擊、污染)的影響。目前,我們不少計算機(jī)房并沒有防震、防火、防水、避雷、防電磁泄露或干擾等措施,接地系統(tǒng)也疏于周到考慮,抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。由于噪音和電磁輻射,導(dǎo)致網(wǎng)絡(luò)信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo),曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的,一般不為外人所知,一旦“后門”洞開,其造成的后果將不堪設(shè)想。這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行,并不盜竊系統(tǒng)資料,通常采用拒絕服務(wù)攻擊或信息炸彈。破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。黑客們常用的攻擊手段有獲取口令、電子郵件攻擊、特洛伊木馬攻擊、的欺騙技術(shù)和尋找系統(tǒng)漏洞等。20世紀(jì)90年代,出現(xiàn)了曾引起世界性恐慌的“計算機(jī)病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進(jìn)入到系統(tǒng)中進(jìn)行擴(kuò)散。計算機(jī)感染上病毒后,輕則使系統(tǒng)工作效率下降,重則造成系統(tǒng)死機(jī)或毀壞,使部分文件或全部數(shù)據(jù)丟失,甚至造成計算機(jī)主板等部件的損壞。計算機(jī)犯罪,通常是利用竊取口令等手段非法侵入計算機(jī)信息系統(tǒng),傳播有害信息,惡意破壞計算機(jī)系統(tǒng),實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網(wǎng)絡(luò)環(huán)境中,大量信息在網(wǎng)上流動,這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段,獲得訪問或修改在網(wǎng)中流動的敏感信息,闖入用戶或政府部門的計算機(jī)系統(tǒng),進(jìn)行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網(wǎng)絡(luò)詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機(jī)信息。 防火墻技術(shù)網(wǎng)絡(luò)安全所說的防火墻(Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護(hù)內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。 防火墻的主要功能防火墻的主要功能包括：防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，從而過濾掉一些攻擊，以免其在目標(biāo)計算機(jī)上被執(zhí)行。防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息。防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問。防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對Internet上特殊站點的訪問。防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點 防火墻的主要優(yōu)點防火墻的主要優(yōu)點包括:可作為網(wǎng)絡(luò)安全策略的焦點防火墻可作為網(wǎng)絡(luò)通信的阻塞點。所有進(jìn)出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔(dān)風(fēng)險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機(jī)上。從而在結(jié)構(gòu)上形成了一個控制中心，極大地加強(qiáng)了網(wǎng)絡(luò)安全，并簡化了網(wǎng)絡(luò)管理。可以有效記錄網(wǎng)絡(luò)活動由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩┻^防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計網(wǎng)絡(luò)的使用和預(yù)警功能。為解決IP地址危機(jī)提供了可行方案由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。防火墻能夠強(qiáng)化安全策略因為網(wǎng)絡(luò)上每天都有上百萬人在收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請求通過.防火墻能有效地記錄網(wǎng)絡(luò)上的活動因為所有進(jìn)出信息都必須通過防火墻，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄.防火墻限制暴露用戶點防火墻能夠用來隔開網(wǎng)絡(luò)中的兩個網(wǎng)段，這樣就能夠防止影響一個網(wǎng)段的信息通過整個網(wǎng)絡(luò)進(jìn)行傳播.防火墻是一個安全策略的檢查站所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外. 防火墻的主要缺陷由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點，使它不能完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：防火墻對繞過它的攻擊行為無能為力。防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)來支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價。不能防范惡意的知情者防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，，破壞硬件和軟件，只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶教育等.不能防范不通過它的連接防火墻能夠有效地防止通過它的傳輸信息，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進(jìn)行撥號入侵.不能防備全部的威脅防火墻被用來防備已知的威脅，如果是一個很好的防火墻設(shè)計方案，就可以防備新的威脅，但沒有一扇防火墻能自動防御所有新的威脅.防火墻不能防范病毒防火墻一般不能消除網(wǎng)絡(luò)上的病毒. 防火墻的分類防火墻的實現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復(fù)合型防火墻。包過濾防火墻包過濾防火墻是在IP層實現(xiàn)，它可以只用路由器來實現(xiàn)。包過濾防火墻根據(jù)報文的源IP地址，目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。代理防火墻代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，包過濾防火墻可以按照IP地址來禁止未授權(quán)者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡(luò)，對于這樣的企業(yè)，應(yīng)用代理防火墻是更好的選擇。復(fù)合型防火墻復(fù)合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用，從而實現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢互補(bǔ)。 防火墻的部署防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時候，防火墻才能對此