【正文】 八、參考文獻(xiàn) [1] 楊義先 .網(wǎng)絡(luò)安全理論與技術(shù) . 北京：人民郵電出版社 2021 [2] 李學(xué)詩 .計算機系統(tǒng)安全技術(shù) . 武漢：華中理工大學(xué)出版社 2021 [3] 葛秀慧 .計算機網(wǎng)絡(luò)安全管理 [M ].北京 :清華大學(xué)出版社 ,2021 [4] 張琳 ,黃仙姣 .淺談網(wǎng)絡(luò)安全技術(shù) [J].電腦知識與技術(shù) ,2021 [5] 徐超漢 .計算機網(wǎng)絡(luò)安全與數(shù)據(jù)完整性技術(shù) [M ]. 北京電子工業(yè)出版社 ,2021 。 本論文從多方面講了網(wǎng)絡(luò)的攻擊方法和防范措施，主要是為了讓大家了解網(wǎng)絡(luò)安全存在的問題以及為了維 護(hù)網(wǎng)絡(luò)安全需要注意的事項。網(wǎng)絡(luò)對抗，實際上是人與人的對抗，它具體體現(xiàn)在安全策略與攻擊策略的交鋒上。特別需要強調(diào)的是，在任何時候都應(yīng)將網(wǎng)絡(luò)安全教育放在整個安全體系的首位，努力提 高所有網(wǎng)絡(luò)用戶的安全意識和基本防范技術(shù)，這對提高整個網(wǎng)絡(luò)的安全性有著十分重要的意義。對于任何黑客的惡意攻擊，都有辦法來防御，只要了解了他們的攻擊手段，具有豐富的網(wǎng)絡(luò)知識，就可以抵御黑客們的瘋狂攻擊。 6. 對于重要的個人資料做好嚴(yán)密的保護(hù)，并養(yǎng)成資料備份的習(xí)慣。 4. 將防毒、防黑當(dāng)成日常例性工作，定時更新防毒組件，將防毒軟件保持在常駐狀態(tài)，以徹底防毒。代理服務(wù)器能起到外部網(wǎng)絡(luò)申請訪問內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用，其功能類似于一個數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶能訪問哪些服務(wù)類型。 3. 設(shè)置代理服務(wù)器，隱藏自已的 IP 地址 保護(hù)自己的 IP 地址是很重要的。 2. 使用防毒、防黑等防火墻軟件 防火墻是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn) /出兩個方向通信的門檻。 (5)不隨便運行黑客程序，不少這類程序運行時會發(fā)出你的個人信息。重要密碼最好經(jīng)常更換。 (3)密碼設(shè)置盡可能使用字母數(shù)字混排，單純的英文或者數(shù)字很容易窮舉。 (2)盡量避免從 Inter 下載不知名的軟件、游戲程序。 29 還必須做到未雨稠繆，預(yù)防為主 ，將重要的數(shù)據(jù)備份并時刻注意系統(tǒng)運行狀況。明確安全對象，設(shè)置強有力的安全保障體系。在實際應(yīng)用中，我們可以通過一些方法檢測到攻擊現(xiàn)象的出現(xiàn)，并減緩攻擊造成的危害。對于暴力型 DDoS 攻擊，即使是最先進(jìn)的防火墻也無能為力。下圖為 DDoS 的攻擊原理： 28 圖 4 DDoS 的攻擊原理 由于 DoS 、 DDoS 是利用網(wǎng)絡(luò)協(xié)議的缺陷進(jìn)行的攻擊，所以要完全消除攻擊的危害是非常困難的。這種 3 層客戶機 /服務(wù)器結(jié)構(gòu)，使 DDoS 具有更強的攻擊能力，并且能較好地隱藏攻擊者的真實地址。第二步在入侵主機上安裝攻擊程序，其中一部分主機充當(dāng)攻擊的主控端，一部分主機充當(dāng)攻擊的代理端。代理端主機是攻擊的執(zhí)行者，真正向受害者主機發(fā)送攻擊。主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機上。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。 2． DDoS 攻擊 DDoS 主要采用了比較特殊的 3 層客戶機 /服務(wù)器結(jié)構(gòu)，即攻擊端、主控端和代理端，這 3 者在攻擊中各自扮演著不同的角色。由于 UDP 協(xié)議是一種無連接的服務(wù)，只要被攻擊者開放有一個 UDP 服務(wù)端口，即可針對該服務(wù)發(fā)動攻擊。 （ 4） UDP 攻擊 UDP 攻擊是指通過發(fā)送 UDP 數(shù)據(jù)包來發(fā)動攻擊的方式。 （ 3） Smurf 攻擊 Smurf 攻擊是一種放大效果的 ICMP 攻擊方式，其方法是攻擊者偽裝成被攻擊者向某個網(wǎng)絡(luò)上的廣播設(shè)備發(fā)送請求，該廣播設(shè)備會將這個請求轉(zhuǎn)發(fā)到該網(wǎng)絡(luò)的其他廣播設(shè)備，導(dǎo)致這些設(shè)備都向被攻擊者發(fā)出回應(yīng)，從而達(dá)到以較小代價引發(fā)大量攻擊的目的。其方法是將一個特別設(shè)計的 SYN 包中的源地址和目標(biāo)地址都設(shè)置成某個被攻擊服務(wù)器的地址，這樣服務(wù)器接收到該數(shù)據(jù)包后會向自己發(fā)送一個 26 SYN— ACK 回應(yīng)包， SYN— ACK 又引起一個發(fā)送給自己的 ACK 包，并創(chuàng)建一個空連接。后續(xù)正常的 TCP 連接請求也會因等待隊列填滿而被丟棄，造成服務(wù)器拒絕服務(wù)的現(xiàn)象。這樣，連接請求將一直保存在系統(tǒng)緩存中直到 超時。下圖為 DoS 攻擊的基本過程： 圖 3 DoS 攻擊的基本過程 （ 1） SYN Flood 攻擊 SYN Flood 攻擊是一種最常見的 DoS 攻擊手段，它利用TCP/IP 連接的“三次握手”過程，通過虛假 IP, 源地址發(fā)送大量 SYN 數(shù)據(jù)包，請求連接到被攻擊方的一個或多個端口。 1． DoS 攻擊 DoS 攻擊的方式主要是利用合理的服務(wù)請求，來占用過多的 25 網(wǎng)絡(luò)帶寬和服務(wù)器資源，致使正常的連接請求無法得到響應(yīng)。 目前，拒絕服務(wù)攻擊和分布式拒絕服務(wù)攻擊已成為一種遍布全球的系統(tǒng)漏洞攻擊方法，無數(shù)網(wǎng)絡(luò)用戶都受到這種攻擊的侵害，造成了巨大的經(jīng)濟損失。它以消耗網(wǎng)絡(luò)帶寬和系統(tǒng)資源為目的，對網(wǎng)絡(luò)服務(wù)器發(fā)送大量“請求”信息，造成網(wǎng)絡(luò)或服務(wù)器系統(tǒng)不堪重負(fù)，致使系統(tǒng)癱瘓而無法提供正常的網(wǎng)絡(luò)服務(wù)。 在路由器上關(guān)閉源路由 ,用命令 no ip sourceroute。 對付這種攻擊最好的辦法是配置好路由器，使它拋棄那些 由外部網(wǎng)進(jìn)來的卻聲稱是內(nèi)部主機的報文。這就使一個入侵者可以假冒一個主機的名義通過一個特殊的路徑來獲得某些被保護(hù)數(shù)據(jù)。首先，攻擊者修改距離 X 最近的路由器，使得到達(dá)此路由器且包含目的地址 的數(shù)據(jù)包以主機 X 所在的網(wǎng)絡(luò)為目的地； 24 然后，攻擊者 X 利用 IP 欺騙向主機 B 發(fā)送源路由 (指定最近的路由器 )數(shù)據(jù)包。源路由可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過的路徑寫在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個對方不可預(yù)料的路徑到達(dá)目的主機。因此，它們僅能對聲稱是來自于內(nèi)部網(wǎng)絡(luò)的外來包進(jìn)行過濾，若你的網(wǎng)絡(luò)存在外部可信任主機，那么路由器將無法防止別人冒充這些主機進(jìn)行 IP 欺騙。 有一點要注意，路由器雖然可以封鎖試圖到達(dá)內(nèi)部網(wǎng)絡(luò)的特定類型 的包。 進(jìn)行包過濾：可以配置路由器使其能夠拒絕網(wǎng)絡(luò)外部與本網(wǎng)內(nèi)具有相同 IP 地址的連接請求。雖然加密過程要求適當(dāng)改變目前的網(wǎng)絡(luò)環(huán)境，但它將保證數(shù)據(jù)的完整性和真實性。 不允許 r 類遠(yuǎn)程調(diào)用 23 命 令的使用；刪除 .rhosts 文件；清空 /etc/ 文件。 要防止源 IP 地址欺騙行為，可以采取以下措施來盡可能地保護(hù)系統(tǒng)免受這類攻擊： 如果猜測正確， B 則認(rèn)為收到的 ACK 是來自內(nèi)部主機 A。為了完成三次握手 ， X 還需要向 B 回送一個應(yīng)答包，其應(yīng)答號等于 B 向 A 發(fā)送數(shù)據(jù) 包的序列號加 1。然而，此時主機 A 已被主機 X 利用拒絕服務(wù)攻擊 “淹沒”了，導(dǎo)致主機 A 服務(wù)失效。 X 為獲得與 A 相同的特權(quán)，所做欺騙攻擊如下：首先， X 冒充 A，向主機 B 發(fā)送一個帶有隨機序列號的 SYN包。 假設(shè)同一網(wǎng)段內(nèi)有兩臺主機 A、 B，另一網(wǎng)段內(nèi)有主機 X。外網(wǎng)流量攻擊成為現(xiàn)在是最難處理的攻擊。外網(wǎng)流量攻擊屬于犯法行為，可通知isp 配合執(zhí)法單位追查，但現(xiàn)在看起來效果并不大。有些地區(qū)可以要求 isp 更換 ip，但過幾天后，就又來攻擊了。觀看路由器的 廣域網(wǎng)流量，則發(fā)現(xiàn)下載的流量被占滿，造成寬帶接入不順暢。同時又因為外網(wǎng)攻擊經(jīng)常持續(xù)變換 ip，也不容易加以阻絕或追查。 外網(wǎng)流量攻擊 外網(wǎng)攻擊是從外部來的攻擊，通常發(fā)生在使用固定 ip 的用戶。正確的測試方法是用兩臺測試，一臺發(fā)出攻擊包給路由器，另一臺看是否能上網(wǎng)。 qno 俠諾對于內(nèi)網(wǎng)攻擊的解決方案，是從路由器判別，阻斷發(fā)出網(wǎng)絡(luò)包計算機的上網(wǎng)能力。 21 內(nèi)網(wǎng)攻擊通常是用戶安裝了外掛，變成發(fā)出攻擊的計算機。 內(nèi)網(wǎng)攻擊 內(nèi)網(wǎng)攻擊是從內(nèi)網(wǎng)計算機發(fā)出大量網(wǎng)絡(luò)包，占用內(nèi)網(wǎng)帶寬。因此，等于一次防制 arp 及內(nèi)網(wǎng) ip 欺騙解決。 內(nèi)網(wǎng) ip 欺騙采用雙向綁定方式，可以有效解決。攻擊計算機會偽裝成一樣的 ip，讓受攻擊的計算機產(chǎn)生ip 沖突，無法上網(wǎng)。雖然方法不但，大致都可以防制 arp 的攻擊。近來有不同解決方法提出，例如從路由器下載某個 imf 文件，更改網(wǎng)絡(luò)堆棧，但效果有限。如果嚴(yán)重時，經(jīng)常發(fā)生瞬斷或全網(wǎng)掉線的情況。新的攻擊方式，使用更高頻率的 arp echo，壓過用戶的 arp echo 廣播。對于整體網(wǎng)絡(luò)不會有影響。早期的 arp 攻擊，只會造成封包的遺失，或是 ping 值提高，并不會造成嚴(yán)重的掉線或是大范圍掉線。 如下圖： 圖 2 攻擊手段 arp 攻擊 arp 攻擊自 2021 年起，就開始普及。 9. 端口掃描攻擊 所謂端口掃描，就是利用 Socket 編程與目標(biāo)主機的某些端口建立 TCP 連接、進(jìn)行傳輸協(xié) 議的驗證等，從而偵知目標(biāo)主機的掃描端口是否是處于激活狀態(tài)、主機提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等等。它們的繁殖能力極強，一般通過 Microsoft的 Outlook 軟件向眾多郵箱發(fā)出帶有病毒的郵件，而使郵件服務(wù)器無法承擔(dān)如此龐大的數(shù)據(jù)處理量而癱瘓。它的具體手法就是向目的服務(wù)器發(fā)送大量的數(shù)據(jù)包，幾乎占取該服務(wù)器所 有的網(wǎng)絡(luò)寬帶，從而使其無法對正常的