【文章內(nèi)容簡介】 務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。而且現(xiàn)在沒有有限的方法來避免這樣的攻擊。因為此攻擊基于TCP/IP 協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？，并打上安全補丁。計算機緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。，而不僅針對關(guān)鍵主機。這是為了確保管理員知道每個主機系統(tǒng)在 運行什么？ 誰在使用主機？ 哪些人可以訪問主機？ 不然，即使黑客侵犯了系統(tǒng)，也很難查明。，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng)—甚至是受防火墻保護的系統(tǒng)。 Unix上的所有服務(wù)都有TCP封裝程序，限制對主機的訪問權(quán)。 系統(tǒng)。否則，黑客能通過電話線發(fā)現(xiàn)未受保護的主機，即刻就能訪問極為機密的數(shù)據(jù)。 Telnet、Ftp、Rsh、Rlogin 和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網(wǎng)上以明文格式傳遞口令，而Telnet和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。此外， 和 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!。這會使黑客有機會截獲系統(tǒng)文件，并以特洛伊木馬替換他，文件傳輸功能無異將陷入癱瘓。這張圖應(yīng)該詳細標(biāo)明TCP/IP地址、主機、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部分。大多數(shù)時間是由于防火墻配置不當(dāng)造成的，使DoS/ DDoS攻擊成功率很高，所以一定要認真檢查特權(quán)端口和非特權(quán)端口。只要日志出現(xiàn)紕漏或時間出現(xiàn)變更，幾乎可以坑定：相關(guān)的主機安全收到了威脅。計算機網(wǎng)絡(luò)的攻擊特1．損失巨大由于攻擊和入侵的對象是網(wǎng)絡(luò)上的計算機,因此攻擊一旦成功,就會使網(wǎng)絡(luò)中的計算機處于癱瘓狀態(tài),從而給計算機用戶造成巨大的經(jīng)濟損失。如美國每年因計算機犯罪而造成的經(jīng)濟損失就達幾百億美元。平均每起計算機犯罪案件所成的經(jīng)濟損失是一般案件的幾十到幾百倍。2．威脅社會和國家安全一些計算機網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府部門和軍事部門的計算機作為攻擊目標(biāo),從而對社會和國家安全造成威脅。3．手段多樣與手法隱蔽計算機攻擊的手段可以說五花八門:網(wǎng)絡(luò)攻擊者既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取別人的保密信息,又可以通過截取別人的帳號和口令進入別人的計算機系統(tǒng),還可以通過一些特殊的方法繞過人們精心設(shè)計的防火墻,等等。這些過程都可以在很短的時間內(nèi)通過計算機完成,因而犯罪不留痕跡,隱蔽性很強。4．以軟件攻擊為主幾乎所有的網(wǎng)絡(luò)入侵都是通過對軟件的截取和攻擊進而破壞整個計算機系統(tǒng)的。因此,計算機犯罪具有隱蔽性,這要求人們對計算機的各種軟件(包括計算機通信過程中的信息流)進行嚴格的保護。第3章 計算機網(wǎng)絡(luò)安全面臨的威脅計算機信息系統(tǒng)僅僅是一個智能的機器,易受自然災(zāi)害及環(huán)境(溫度、濕度、振動、沖擊、污染)的影響。目前,我們不少計算機房并沒有防震、防火、防水、避雷、防電磁泄露或干擾等措施,接地系統(tǒng)也疏于周到考慮,抵御自然災(zāi)害和意外事故的能力較差。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。由于噪音和電磁輻射,導(dǎo)致網(wǎng)絡(luò)信噪比下降,誤碼率增加,信息的安全性、完整性和可用性受到威脅。網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標(biāo),曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟件的“后門”都是軟件公司的設(shè)計編程人員為了自便而設(shè)置的,一般不為外人所知,一旦“后門”洞開,其造成的后果將不堪設(shè)想。這是計算機網(wǎng)絡(luò)所面臨的最大威脅。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統(tǒng)的運行,并不盜竊系統(tǒng)資料,通常采用拒絕服務(wù)攻擊或信息炸彈。破壞性攻擊是以侵入他人電腦系統(tǒng)、盜竊系統(tǒng)保密信息、破壞目標(biāo)系統(tǒng)的數(shù)據(jù)為目的。黑客們常用的攻擊手段有獲取口令、電子郵件攻擊、特洛伊木馬攻擊、的欺騙技術(shù)和尋找系統(tǒng)漏洞等。20世紀90年代,出現(xiàn)了曾引起世界性恐慌的“計算機病毒”,其蔓延范圍廣,增長速度驚人,損失難以估計。它像灰色的幽靈將自己附在其他程序上,在這些程序運行時進入到系統(tǒng)中進行擴散。計算機感染上病毒后,輕則使系統(tǒng)工作效率下降,重則造成系統(tǒng)死機或毀壞,使部分文件或全部數(shù)據(jù)丟失,甚至造成計算機主板等部件的損壞。計算機犯罪,通常是利用竊取口令等手段非法侵入計算機信息系統(tǒng),傳播有害信息,惡意破壞計算機系統(tǒng),實施貪污、盜竊、詐騙和金融犯罪等活動。在一個開放的網(wǎng)絡(luò)環(huán)境中,大量信息在網(wǎng)上流動,這為不法分子提供了攻擊目標(biāo)。他們利用不同的攻擊手段,獲得訪問或修改在網(wǎng)中流動的敏感信息,闖入用戶或政府部門的計算機系統(tǒng),進行窺視、竊取、篡改數(shù)據(jù)。不受時間、地點、條件限制的網(wǎng)絡(luò)詐騙,其“低成本和高收益”又在一定程度上刺激了犯罪的增長。使得針對計算機信息。 防火墻技術(shù)網(wǎng)絡(luò)安全所說的防火墻(Fire Wall)是指內(nèi)部網(wǎng)和外部網(wǎng)之間的安全防范系統(tǒng)。它使得內(nèi)部網(wǎng)絡(luò)與因特網(wǎng)之間或與其它外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪，用來保護內(nèi)部網(wǎng)絡(luò)。防火墻通常安裝在內(nèi)部網(wǎng)與外部網(wǎng)的連接點上。所有來自Internet（外部網(wǎng)）的傳輸信息或從內(nèi)部網(wǎng)發(fā)出的信息都必須穿過防火墻。 防火墻的主要功能 防火墻的主要功能包括：防火墻可以對流經(jīng)它的網(wǎng)絡(luò)通信進行掃描，從而過濾掉一些攻擊，以免其在目標(biāo)計算機上被執(zhí)行。防火墻可以關(guān)閉不使用的端口，而且它還能禁止特定端口的輸出信息。防火墻可以禁止來自特殊站點的訪問，從而可以防止來自不明入侵者的所有通信，過濾掉不安全的服務(wù)和控制非法用戶對網(wǎng)絡(luò)的訪問。防火墻可以控制網(wǎng)絡(luò)內(nèi)部人員對Internet上特殊站點的訪問。防火墻提供了監(jiān)視Internet安全和預(yù)警的方便端點 防火墻的主要優(yōu)點防火墻的主要優(yōu)點包括:可作為網(wǎng)絡(luò)安全策略的焦點防火墻可作為網(wǎng)絡(luò)通信的阻塞點。所有進出網(wǎng)絡(luò)的信息都必須通過防火墻。防火墻將受信任的專用網(wǎng)與不受信任的公用網(wǎng)隔離開來，將承擔(dān)風(fēng)險的范圍從整個內(nèi)部網(wǎng)絡(luò)縮小到組成防火墻系統(tǒng)的一臺或幾臺主機上。從而在結(jié)構(gòu)上形成了一個控制中心，極大地加強了網(wǎng)絡(luò)安全，并簡化了網(wǎng)絡(luò)管理。可以有效記錄網(wǎng)絡(luò)活動由于防火墻處于內(nèi)網(wǎng)與外網(wǎng)之間，即所有傳輸?shù)男畔⒍紩┻^防火墻。所以，防火墻很適合收集和記錄關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用的多種信息，提供監(jiān)視、管理與審計網(wǎng)絡(luò)的使用和預(yù)警功能。為解決IP地址危機提供了可行方案 由于Internet的日益發(fā)展及IP地址空間有限，使得用戶無法獲得足夠的注冊IP地址。防火墻則處于設(shè)置網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的最佳位置。NAT有助于緩和IP地址空間的不足。防火墻能夠強化安全策略因為網(wǎng)絡(luò)上每天都有上百萬人在收集信息、交換信息，不可避免地會出現(xiàn)個別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點的安全策略，僅僅容許“認可的”、防火墻能有效地記錄網(wǎng)絡(luò)上的活動因為所有進出信息都必須通過防火墻，、防火墻限制暴露用戶點防火墻能夠用來隔開網(wǎng)絡(luò)中的兩個網(wǎng)段，、防火墻是一個安全策略的檢查站所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點， 防火墻的主要缺陷由于互聯(lián)網(wǎng)的開放性，防火墻也有一些弱點，使它不能完全保護網(wǎng)絡(luò)不受攻擊。防火墻的主要缺陷有：防火墻對繞過它的攻擊行為無能為力。防火墻無法防范病毒，不能防止感染了病毒的軟件或文件的傳輸，對于病毒只能安裝反病毒軟件。防火墻需要有特殊的較為封閉的網(wǎng)絡(luò)拓撲結(jié)構(gòu)來支持。網(wǎng)絡(luò)安全性的提高往往是以犧牲網(wǎng)絡(luò)服務(wù)的靈活性、多樣性和開放性為代價。不能防范惡意的知情者防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，，破壞硬件和軟件，只能要求加強內(nèi)部管理，、不能防范不通過它的連接防火墻能夠有效地防止通過它的傳輸信息，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進行撥號訪問，、不能防備全部的威脅防火墻被用來防備已知的威脅，如果是一個很好的防火墻設(shè)計方案，就可以防備新的威脅，、防火墻不能防范病毒 防火墻的分類 防火墻的實現(xiàn)從層次上大體可分為三類：包過濾防火墻，代理防火墻和復(fù)合型防火墻。包過濾防火墻包過濾防火墻是在IP層實現(xiàn)，它可以只用路由器來實現(xiàn)。包過濾防火墻根據(jù)報文的源IP地址，目的IP地址、源端口、目的端口和報文傳遞方向等報頭信息來判斷是否允許有報文通過。代理防火墻代理防火墻也叫應(yīng)用層網(wǎng)關(guān)防火墻，包過濾防火墻可以按照IP地址來禁止未授權(quán)者的訪問。但它不適合單位用來控制內(nèi)部人員訪問外部網(wǎng)絡(luò)，對于這樣的企業(yè)，應(yīng)用代理防火墻是更好的選擇。復(fù)合型防火墻復(fù)合型防火墻是將數(shù)據(jù)包過濾和代理服務(wù)結(jié)合在一起使用，從而實現(xiàn)了網(wǎng)絡(luò)安全性、性能和透明度的優(yōu)勢互補。 防火墻的部署防火墻是網(wǎng)絡(luò)安全的關(guān)口設(shè)備，只有在關(guān)鍵網(wǎng)絡(luò)流量通過防火墻的時候，防火墻才能對此實行檢查，防護功能。防火墻的位置一般是內(nèi)網(wǎng)與外網(wǎng)的接合處，用來阻止來自外部網(wǎng)絡(luò)的入侵。如果內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個VLAN之間設(shè)置防火墻。通過公網(wǎng)連接的總部與各分支機構(gòu)之間應(yīng)該設(shè)置防火墻。主干交換機至服務(wù)器區(qū)域工作組交換機的骨干鏈路上。遠程撥號服務(wù)器與骨干交換機或路由器之間?？傊?，在網(wǎng)絡(luò)拓撲上，防火墻應(yīng)當(dāng)處在網(wǎng)絡(luò)的出口與不同安全等級區(qū)域的結(jié)合處。安裝防火墻的原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)還是外部網(wǎng)的連接處都應(yīng)安裝防火墻。 數(shù)據(jù)加密技術(shù)數(shù)據(jù)加密技術(shù)就是對信息進行重新編碼，從而隱藏信息內(nèi)容，使非法用戶無法獲取信息、的真實內(nèi)容的一種技術(shù)手段。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的安全性和保密性，防止秘密數(shù)據(jù)被外部破析所采用的主要手段之一。數(shù)據(jù)加密技術(shù)按作用不同可分為數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)完整性的鑒別以及密匙管理技術(shù)4種。數(shù)據(jù)存儲加密技術(shù)是以防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密為目的，可分為密文存儲和存取控制兩種。數(shù)據(jù)傳輸加密技術(shù)的目的是對傳輸中的數(shù)據(jù)流加密，常用的有線路加密和端口加密兩種方法。數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理人的身份和相關(guān)數(shù)據(jù)內(nèi)容進行驗證，達到保密的要求，系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù)，實現(xiàn)對數(shù)據(jù)的安全保護。數(shù)據(jù)加密在許多場合集中表現(xiàn)為密匙的應(yīng)用，密匙管理技術(shù)事實上是為了數(shù)據(jù)使用方便。密匙的管理技術(shù)包括密匙的產(chǎn)生、分配保存、更換與銷毀等各環(huán)節(jié)上的保密措施。 系統(tǒng)容災(zāi)技術(shù)一個完整的網(wǎng)絡(luò)安全體系，只有防范和檢測措施是不夠的，還必須具有災(zāi)難容忍和系統(tǒng)恢復(fù)能力。因為任何一種網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失，一旦發(fā)生漏防漏檢事件，其后果將是災(zāi)難性的。此外，天災(zāi)人禍、不可抗力等所導(dǎo)致的事故也會對信息系統(tǒng)造成毀滅性的破壞。這就要求即使發(fā)生系統(tǒng)災(zāi)難，也能快速地恢復(fù)系統(tǒng)和數(shù)據(jù)，才能完整地保護網(wǎng)絡(luò)信息系統(tǒng)的安全?，F(xiàn)階段主要有基于數(shù)據(jù)備份和基于系統(tǒng)容錯的系統(tǒng)容災(zāi)技術(shù)。數(shù)據(jù)備份是數(shù)據(jù)保護的最后屏障，不允許有任何閃失。但離線介質(zhì)不能保證安全。數(shù)據(jù)容災(zāi)通過IP容災(zāi)技術(shù)來保證數(shù)據(jù)的安全。數(shù)據(jù)容災(zāi)使用兩個存儲器，在兩者之間建立復(fù)制關(guān)系，一個放在本地，另一個放在異地。本地存儲器供本地備份系統(tǒng)使用，異地容災(zāi)備份存儲器實時復(fù)制本地備份存儲器的關(guān)鍵數(shù)據(jù)。二者通過IP相連，構(gòu)成完整的數(shù)據(jù)容災(zāi)系統(tǒng)，也能提供數(shù)據(jù)庫容災(zāi)功能。 入侵檢測技術(shù)入侵檢測技術(shù)是從各種各樣的系統(tǒng)和網(wǎng)絡(luò)資源中采集信息（系統(tǒng)運行狀態(tài)、網(wǎng)絡(luò)流經(jīng)的信息等），并對這些信息進行分析和判斷。通過檢測網(wǎng)絡(luò)系統(tǒng)中發(fā)生的攻擊行為或異常行為，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)攻擊或異常行為并進行阻斷、記錄、報警等響應(yīng)，從而將攻擊行為帶來的破壞和影響降至最低。同時，入侵檢測系統(tǒng)也可用于監(jiān)控分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、識別異常行為和攻擊行為（通過異常檢測和模式匹配等技術(shù)）、對攻擊行為或異常行為進行響應(yīng)、審計和跟蹤等。典型的IDS系統(tǒng)模型包括4個功能部件：事件產(chǎn)生器，提供事件記錄流的信息源。事件分析器，這是發(fā)現(xiàn)入侵跡象的分析引擎。響應(yīng)單元，這是基于分析引擎的分析結(jié)果產(chǎn)生反應(yīng)的響應(yīng)部件。事件數(shù)據(jù)庫，這是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。 入侵檢測系統(tǒng)的分類入侵檢測系統(tǒng)根據(jù)數(shù)據(jù)來源不同，可分為基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和基于主機的入侵檢測系統(tǒng)。網(wǎng)絡(luò)型入侵檢測系統(tǒng)的實現(xiàn)方式是將某臺主機的網(wǎng)卡設(shè)置成混雜模式，監(jiān)聽本網(wǎng)段內(nèi)的所有數(shù)據(jù)包并進行判斷或直接在路由設(shè)備上放置入侵檢測模塊。一般來說，網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負著保護整個網(wǎng)絡(luò)的任務(wù)。主機型入侵檢測系統(tǒng)是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其它手段（如檢測系統(tǒng)調(diào)用）從所有的主機上收集信息進行分析。入侵檢測系統(tǒng)根據(jù)檢測的方法不同可分為兩大類：異常和誤用。異常入侵檢測根據(jù)用戶的異常行為或?qū)Y源的異常存放來判斷是否發(fā)生了入侵事件。 目前入侵檢測系統(tǒng)的缺陷入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全防護的重要手段，目前的IDS還存在很多問題，有待于我們進一步完善。高誤報率誤報率主要存在于兩個方面：一方面是指正常請求誤認為入侵行為；另一方面是指對IDS用戶不關(guān)心事件的報警。導(dǎo)致IDS產(chǎn)品高誤報率的原因是IDS檢測精度過低和用戶對誤報概念的不確定。缺乏主動防御功能入侵檢測技術(shù)作為一種被動且功能有限的安全防御技術(shù)，缺乏主動防御功能。因此，需要在一代IDS產(chǎn)品中加入主動防御功能，才能變被動為主動。 防火墻與入侵檢測系統(tǒng)的相互聯(lián)動防火墻是一個跨接多個物理網(wǎng)段的網(wǎng)絡(luò)安全關(guān)口設(shè)備。它可以對所有流經(jīng)它的流量進行各種各樣最直接的操作處理，如無通告拒絕、ICMP拒絕、轉(zhuǎn)發(fā)通過（可轉(zhuǎn)發(fā)至任何端口）、各以報頭檢查修改、各層報文內(nèi)容檢查修改、鏈路帶寬資源管理、流量統(tǒng)計、訪問日志、協(xié)議轉(zhuǎn)換等。當(dāng)我們實現(xiàn)防火墻與入侵檢測系統(tǒng)的相互聯(lián)動后，IDS就不必為它所連接的鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。因此，IDS可以將大部分的系統(tǒng)資源用于對采集報文的分析，而這正是IDS最眩目的亮點。IDS可以有足夠的時間和資源做些有效的防御工作，如入侵活動報警、不同業(yè)務(wù)類別