【文章內(nèi)容簡介】 后再向主機發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址，向被攻擊主機發(fā)出SYN請求信號，當被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN/消息。由于此時的主機IP不存在或當時沒有被使用所以無法向主機發(fā)送RST，因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷的向被攻擊的主機發(fā)送SYN請求，被攻擊主機就一直處于等待狀態(tài)，從而無法響應其他用戶請求。對付淹沒攻擊的最好方法就是實時監(jiān)控系統(tǒng)處于SYNRECEIVED狀態(tài)的連接數(shù)，當連接數(shù)超過某一給定的數(shù)值時，實時關閉這些連接。第三章 網(wǎng)絡攻擊分析攻擊是指非授權行為。攻擊的范圍從簡單的使服務器無法提供正常的服務到安全破壞、控制服務器。在網(wǎng)絡上成功實施的攻擊級別以來于擁護采取的安全措施。在此先分析下比較流行的攻擊Dodos分布式拒絕服務攻擊：Does是Denial of Service的簡稱，即拒絕服務，造成Does的攻擊行為被稱為Does攻擊，其目的是使計算機或網(wǎng)絡無法提供正常的服務。最常見的Does攻擊有計算機網(wǎng)絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網(wǎng)絡，使得所有可用網(wǎng)絡資源都被消耗殆盡，最后導致合法的用戶請求就無法通過。連通性攻擊是指用大量的連接請求沖擊計算機，使得所有可用的操作系統(tǒng)資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。而分布式拒絕服務（DDoS:Distributed Denial of Service）攻擊是借助于客戶/服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通常，攻擊者使用一個偷竊賬號將DDoS主控程序安裝在一個計算機上，在一個設定的時間主控程序?qū)⑴c大量代理程序通訊，代理程序已經(jīng)被安裝在 Internet 上的許多計算機上。代理程序收到指令時就發(fā)動攻擊。利用客戶/服務器技術，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運行。而且現(xiàn)在沒有有限的方法來避免這樣的攻擊。因為此攻擊基于TCP/IP 協(xié)議的漏洞，要想避免除非不使用此協(xié)議，顯然這是很難做到的那我們要如何放置呢？，并打上安全補丁。計算機緊急響應協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。，而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統(tǒng)在 運行什么？ 誰在使用主機？ 哪些人可以訪問主機？ 不然，即使黑客侵犯了系統(tǒng)，也很難查明。，黑客通過根攻擊就能獲得訪問特權系統(tǒng)的權限，并能訪問其他系統(tǒng)—甚至是受防火墻保護的系統(tǒng)。 Unix上的所有服務都有TCP封裝程序，限制對主機的訪問權。 系統(tǒng)。否則，黑客能通過電話線發(fā)現(xiàn)未受保護的主機，即刻就能訪問極為機密的數(shù)據(jù)。 Telnet、Ftp、Rsh、Rlogin 和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網(wǎng)上以明文格式傳遞口令，而Telnet和 Rlogin 則正好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡上的重要服務器。此外， 和 文件刪除,因為不用猜口令,這些文件就會提供登錄訪問!。這會使黑客有機會截獲系統(tǒng)文件，并以特洛伊木馬替換他，文件傳輸功能無異將陷入癱瘓。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網(wǎng)絡設備，還應該包括網(wǎng)絡邊界、非軍事區(qū)（DMZ）及網(wǎng)絡的內(nèi)部保密部分。大多數(shù)時間是由于防火墻配置不當造成的，使DoS/ DDoS攻擊成功率很高，所以一定要認真檢查特權端口和非特權端口。只要日志出現(xiàn)紕漏或時間出現(xiàn)變更，幾乎可以坑定：相關的主機安全收到了威脅。第四章 網(wǎng)絡安全技術 防火墻的定義和選擇網(wǎng)絡防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，訪問內(nèi)部網(wǎng)絡資源，保護內(nèi)部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。目前的防火墻產(chǎn)品主要有堡壘主機、包過濾路由器、應用層網(wǎng)關（代理服務器）以及電路層網(wǎng)關、屏蔽主機防火墻、雙宿主機等類型。作為內(nèi)部網(wǎng)絡與外部公共網(wǎng)絡之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡安全產(chǎn)品之一。雖然從理論上看，防火墻處于網(wǎng)絡安全的最底層，負責網(wǎng)絡間的安全認證與傳輸。但隨著網(wǎng)絡安全技術的整體發(fā)展和網(wǎng)絡應用的不斷變化，現(xiàn)代防火墻技術已經(jīng)逐步走向網(wǎng)絡層之外的其他安全層次，不僅要完成傳統(tǒng)防火墻的過濾任務，同時還能為各種網(wǎng)絡應用提供相應的安全服務。另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證、防止病毒與黑客入侵等方向發(fā)展。 防火墻的選擇總擁有成本防火墻產(chǎn)品作為網(wǎng)絡系統(tǒng)的安全屏障，其總擁有成本（TCO）不應該超過受保護網(wǎng)絡系統(tǒng)可能遭受最大損失的成本。以一個非關鍵部門的網(wǎng)絡系統(tǒng)為例，假如其系統(tǒng)中的所有信息及所支持應用的總價值為10萬元，則該部門所配備防火墻的總成本也不應該超過10萬元。當然，對于關鍵部門來說，其所造成的負面影響和連帶損失也不應該考慮在內(nèi)。如果僅作粗略估算，非關鍵部門的防火墻購置成本不應該超過網(wǎng)絡系統(tǒng)的建設總成本，關鍵部門則應另當別論選擇防火墻的標準有很多，但最重要的是以下兩條：（1）防火墻本身是安全的作為信息系統(tǒng)安全產(chǎn)品，防火墻本身也應該保證安全，不給外部侵入者以可乘之機。如果像瑪奇諾防線一樣，正面雖然牢不可破，但進攻者能夠輕易地繞過防線進入系統(tǒng)內(nèi)部，網(wǎng)絡系統(tǒng)也就沒有任何安全性可言了。通常，防火墻的安全性問題來自兩個方面：其一是防火墻本身的設計是否合理，其二是使用不當。一般來說，防火墻的許多配置需要系統(tǒng)管理員手工修改，如果系統(tǒng)管理員對防火墻十分不熟悉，就有可能在配置過程中遺留大量的安全漏洞。（2）可擴充性在網(wǎng)絡系統(tǒng)建設的初期，由于內(nèi)部信息系統(tǒng)的規(guī)模較小，遭受攻擊造成的損失也較小，因此沒有必要購置過于復雜和昂貴的防火墻產(chǎn)品。但隨著網(wǎng)絡的擴容和網(wǎng)絡應用的增加，網(wǎng)絡的風險成本也會急劇上升，此時便需要增加具有更高安全性的防火墻產(chǎn)品。如果早期購置的防火墻沒有可擴充性，或擴充成本極高，這便是對投資的浪費。好的產(chǎn)品應該留給用戶足夠的彈性空間，在安全水平要求不高的情況下，可以只選購基本系統(tǒng)，而隨著要求的提供，用戶仍然有進一步增加選擇的余地。這樣不僅能夠保護用戶的投資，對提供防火墻產(chǎn)品的廠商來說，也擴大產(chǎn)品的覆蓋面。 加密技術信息交換加密技術分為兩類: 對稱加密技術在對稱加密技術中,對信息的加密和解密都使用相同的鑰,信息交換雙方都不必彼此研究和交換專用的加密算法。如果在交換階段私有密鑰未曾泄漏，那么機密性和報文完整性就可以得以保證。對稱加密技術也存在一些不足，如果交換一方有N個交換對象，那么他就要維護N個私有密鑰，對稱加密存在的另一個問題是雙方共享一把私有密鑰，交換雙方的任何信息都是通過這把密鑰加密后傳送給對方。如三重DES是DES（數(shù)據(jù)加密標準）的一種變形，這種方法使用兩個獨立的56位密鑰對信息進行3次加密，從而使有效密鑰長度達到112位。 非對稱加密技術在非對稱加密體系中，密鑰被分解為一對（即公開密鑰和私有密鑰）。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛分布，但它只對應于生成密鑰的交換方。非對稱加密方式可以使通信雙方無須事先交換密鑰就可以建立安全通信，廣泛應用于身份認證、數(shù)字簽名等信息交換領域。非對稱加密體系一般是建立在某些已知的數(shù)學難題之上，是計算機復雜性理論發(fā)展的必然結(jié)果。最具有代表性是RSA公鑰密碼體制。 RSA算法RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制。其安全性是基于分散大整數(shù)的困難性。在RSA體制中使用了這樣一個基本事實：到目前為止，無法找到一個有效的算法來分散兩大素數(shù)之積。RSA算法的描述如下：公開密鑰： n=pq(p、q 分別為兩個互異的大素數(shù)，p、q 必須保密)e與(p1)(q1)互素私有密鑰：d=e1 {mod(p1)(q1)} 加密：c=me(mod n)，其中 m 為明文，c為密文。解密：m=cd(mod n)利用目前已經(jīng)掌握的只是和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計算機的運算能力，因此在目前和預見的將來，它是足夠安全的。 注冊與認證管理 認證機構CA（Certification Authorty）就是這樣一個確保信任度的權威實體，它的主要職責是頻發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網(wǎng)絡用戶電子身份證明一證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的，這不僅與密碼學有關系，而且還與整個PKI系統(tǒng)的構架和模型有關。 注冊機構RA(Registration Authority)是用戶和CA的借口，它所獲得的用戶標識的準確性是CA發(fā)給證書的基礎。RA不僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設計和實現(xiàn)網(wǎng)絡化、安全的且易于操作的RA系統(tǒng)。 密鑰備份和恢復為了保證數(shù)據(jù)的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。 證書管理與撤銷系統(tǒng)證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進行證書撤銷，證書撤銷的理由是各種各樣的?？赡馨üぷ髯儎拥綄γ荑€懷疑等一系列原因。證書撤銷系統(tǒng)實現(xiàn)是利用周期性的發(fā)布機制撤銷證書或采用在線查詢機制，隨時查詢被撤銷的證書。第五章 安全技術的研究 安全技術的研究現(xiàn)狀和方向我國信息網(wǎng)絡安全研究歷經(jīng)了通信保密、數(shù)據(jù)保護兩個階段，正在進入網(wǎng)絡信息安全研究階段，現(xiàn)已開發(fā)研制出防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測、系統(tǒng)脆弱性掃描軟件等。但因信息網(wǎng)絡安全領域是一個綜合、交叉的學科領域它綜合了利用數(shù)學、物理、生化信息技術和計算機技術的諸多學科的長期積累和最新發(fā)展成果，提出系統(tǒng)的、完整的和協(xié)同的解決信息網(wǎng)絡安全的方案，目前應從安全體系結(jié)構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)五個方面開展研究，各部分相互協(xié)同形成有機整體。根據(jù)防火墻所采用的技術不同，將它分為4個基本類型：包過濾型、網(wǎng)絡地址轉(zhuǎn)換NAT、代理型和監(jiān)測型。 包過濾型包過濾型產(chǎn)品是防火墻的初級產(chǎn)品，其技術依據(jù)是網(wǎng)絡中的分包傳輸技術。網(wǎng)絡上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?，?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會含一些特定信息，防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一單發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包，防火墻便會將這些數(shù)據(jù)拒之門外。系統(tǒng)管理員也可以根據(jù)實際情況靈活制定判斷規(guī)則。包過濾技術的優(yōu)點是簡單實用，實現(xiàn)成本較低，在應用環(huán)境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統(tǒng)的安全。但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基于網(wǎng)絡層的安全技術，只能根據(jù)數(shù)據(jù)包的來源、目標和端口等網(wǎng)絡信息進行判斷，無法識別基于應用層的惡意侵入。 代理型代理型的安全性能要高過包過濾型，并已經(jīng)開始向應用層發(fā)展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機來看，代理服務器相當于一臺真正的服務器；從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數(shù)據(jù)時，首先將數(shù)據(jù)請求發(fā)給代理服務器，代理服務器再根據(jù)這一請求向服務器索取數(shù)據(jù)，然后再由代理服務器將數(shù)據(jù)傳輸給客戶機。由于外部系統(tǒng)與內(nèi)部服務器之間沒有直接的數(shù)據(jù)通道，外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡系統(tǒng)。代理型防火墻的優(yōu)點是安全性較高，可以針對應用層進行偵測和掃描，對付基于應用層的侵入和病毒都十分有效。其缺點是對系統(tǒng)的整體性能有較大的影響，而且代理服務器必須針對客戶機可能產(chǎn)生的所有應用類型逐一進行設置，大大增加了系統(tǒng)管理的復雜性。實際上，作為當前防火墻產(chǎn)品的主流趨勢，大多數(shù)代理服務器（也稱應用網(wǎng)關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應用的，應用網(wǎng)關能提供對協(xié)議的過濾。正是由于應用網(wǎng)關的這些特點，使得應用過程中的矛盾主要集中在對多種網(wǎng)絡應用協(xié)議的有效支持和對網(wǎng)絡整體性能的影響上。結(jié)束語互聯(lián)網(wǎng)現(xiàn)在已經(jīng)成為了人們不可缺少的通信工具，其發(fā)展速度也快的驚人，以此而來的攻擊破壞層出不窮，為了有效的防止入侵把損失降到最低，我們必須適合注意安全問題，使用盡量多而可靠的安全工具經(jīng)常維護，讓我們的網(wǎng)絡體系完善可靠。在英特網(wǎng)為我們提供了大量的機會和便利的同時，也在安全性方面給我們帶來了巨大的挑戰(zhàn)，我們不能因為害怕挑戰(zhàn)而拒絕它，否則就會得不償失，信心安全是當今社會乃至整個國家發(fā)展所面臨的一個只管重要的問題。對于這個問題，我們還沒有從系統(tǒng)的規(guī)劃上去考慮它，從技術上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分，而且應該看到，發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要的組成部分，甚至應該看到它對我國未來電子化、信息化的發(fā)展講起到非常重要的作用。網(wǎng)絡安全是一項動態(tài)的、整體的系統(tǒng)工程，我們應該結(jié)合現(xiàn)在網(wǎng)絡發(fā)展的特點，制定妥善的網(wǎng)絡安全策略，將英特網(wǎng)的不安全性降至到現(xiàn)有條件下的最低點，讓它為我們的工作和現(xiàn)代化建設做出更好的服務。參 考 文 獻[1] 電子工業(yè)出版社[2]湯小丹、 西安電子科技大學出版社 [3] 清華大學出版社 [4] Andrew 清華大學出版社第三篇：計算機安全論文論計算機安全淺談計算機網(wǎng)絡安全的防護姓名班級學號摘要：隨著社會的不斷發(fā)展，整個社會對網(wǎng)絡的依賴越來越大，隨之而來的網(wǎng)絡安全問題也益發(fā)凸顯