【正文】 06 計算機軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學院 21 4 參考文獻 [1]作者： 馮登國 《 計算機通信網(wǎng)絡(luò)安全 》 清華大學出版社 [2]作者： 張兆信 《 計算機網(wǎng)絡(luò)安全與應(yīng)用 》 機械工業(yè)出版社 [3]作者： 蔣天發(fā) 《網(wǎng)絡(luò)信息安全》 電子工業(yè)出版社 [4]作者： 石淑華 池瑞楠 《計算機網(wǎng)絡(luò)安全技術(shù) (第 2 版 )》 人民郵電出版社 。一種技術(shù)只能解決一方面的問題，而不是萬 能的。另外，通過對安全事件的不斷收集、積聚和分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞性行為。對于確定 是否有網(wǎng)絡(luò)攻擊的情況，審計信息對于確定問題和攻擊源很重要。 審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。通過對蜜罐系統(tǒng)記錄的攻擊行為進行分析，來發(fā)現(xiàn)攻擊者的攻擊方法及系統(tǒng)存在的漏洞。 漏洞掃描技術(shù)是一項重要的主動防范安全技術(shù)，它主要通過以下兩種 方法 來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查 看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。可以認為 IPS 就是防火墻加 上入侵檢測系統(tǒng)，但并不是說 IPS 可以代替防火墻或入侵檢測系統(tǒng)。 IPS 是基于 IDS 的、建立在 IDS 發(fā)展 的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)， IPS 的檢測功能類似于 IDS，防御功能類似于防火墻。作為防火墻的有效補充，入侵檢測技術(shù)能夠幫助系統(tǒng)對付已知和未知網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。主要的網(wǎng)絡(luò)安全檢測技術(shù)有： 06 計算機軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學院 20 入侵檢測系統(tǒng)（ Intrusion Detection System,IDS）是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。這類技術(shù)的基本思想是通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對 計算 機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，或者更廣泛意義上的信息系統(tǒng)的非法攻擊。在過濾路由器過濾掉所有不能識別或禁止通過的信息流后，將其他信息流轉(zhuǎn)發(fā)到堡壘主機上，由其上的代理仔細進 行檢查。 分組過濾器通過出入信息流的過濾起到了子網(wǎng)與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的緩沖作用。外出的信息 首先經(jīng)過堡壘主機下的應(yīng)用服務(wù)代理的檢查，然后被轉(zhuǎn)發(fā)到過濾路由器，然后有過濾路由器將其轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)上。這個系統(tǒng)結(jié)構(gòu)的第一個安全設(shè)施是過濾路由器，它阻塞外部網(wǎng)絡(luò)進來的除了通向堡壘主機的所有其他信息流。 一個過濾主機網(wǎng)關(guān)是由一個雙宿網(wǎng)關(guān)和一個過濾路由器組成的。如果認為消息是安全的，那么代理會將消息轉(zhuǎn)發(fā)相應(yīng)的主 機上。它具有路由器的作用。絕人多數(shù)防火墻系統(tǒng)在它們的體系結(jié)構(gòu)中含了這些路由器，但只足以一種相當隨意的方式來允許或禁止通過它的分組，因此它并不能做成一個完整的解決方案。為了轉(zhuǎn)發(fā)分組，路由器從 IP報頭讀取目的地址，應(yīng)用基于表格 的路由算法安排分組的出口。在這里，防火墻是一個小型的防御系統(tǒng)，用來隔離被保護的內(nèi)部網(wǎng)絡(luò)，明確定義網(wǎng)絡(luò)的邊界和服務(wù)，同時完成授權(quán)、訪問控制以及安全審計的功能。所以網(wǎng)絡(luò)防毒一定要以網(wǎng)為本，從網(wǎng)絡(luò)系統(tǒng)和角度重新設(shè)計防毒解決方案，只有這樣才能 有效地查殺網(wǎng)絡(luò)06 計算機軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學院 19 上的計算機病毒。計算機網(wǎng)絡(luò)是一個開放的系統(tǒng)，它是同時運行多程序、多數(shù)據(jù)流向和各種數(shù)據(jù)業(yè)務(wù)的服務(wù)。 ，多層防御。例如 :某一終端機如果通過軟盤感染了計算機病毒，勢必會在 LAN上蔓延，而服務(wù)器具有了防毒功能，病毒在由終端機向服務(wù)器轉(zhuǎn)移的進程中就會被殺掉。基于網(wǎng)絡(luò)的病毒特點，應(yīng)該著眼于網(wǎng)絡(luò)整體來設(shè)計防范手段。 實時殺毒，報警隔離。 在網(wǎng)絡(luò)上，軟件的安裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護管理的效率和質(zhì)量，而且涉及到網(wǎng)絡(luò)的安全性。但在網(wǎng)絡(luò)系統(tǒng)中，由于認證信息要通過網(wǎng)遞，口令很容易被攻擊者從網(wǎng)絡(luò)傳輸線路上竊取，所以網(wǎng)絡(luò)環(huán)境中，使用口令控制并不是很安全的方法。在選擇口令應(yīng)往意，必須選擇超過 6個字符并且由字母和數(shù)字共同組成的口令；操作員應(yīng)定期變 一次口令；不得寫下口令或在電子郵件中傳送口令。 很多計算機系統(tǒng)常用口令來控制對系統(tǒng)資源的訪問，這是防病毒進程中，最容易和最經(jīng)濟的方法之一。再者，應(yīng)該加強技術(shù)上的防范措施，比如使用高技術(shù)防火墻、使用防毒殺毒工具等。間諜軟件的功能繁多，它可以監(jiān)視用戶行為，或是發(fā)布廣告，修改系統(tǒng)設(shè)置，威脅用戶隱私和計算機安全，并可能小同程度的影響系統(tǒng)性能。與計算機病毒不同，間諜軟件的主要目的不在于對系統(tǒng)造成破壞，而是竊取系統(tǒng)或是用戶信息。 垃圾郵件和間諜軟件。它像灰色的幽靈將自己附在其他程序上，在這些程序運行時進人到系統(tǒng)中進行擴散。 計算機病毒。黑客問題的出現(xiàn)，并非黑客能夠制造入侵的機會，從沒有路的地方走出一條路，只是他們善于發(fā)現(xiàn)漏洞。他們具有計算機系統(tǒng)和網(wǎng)絡(luò)脆弱性的知識，能使用各種計算機工具。 黑客的威脅和攻擊。日常工作中因斷電而設(shè)備損壞、數(shù)據(jù)丟失的現(xiàn)象時有發(fā)生。 計算機信息系統(tǒng)僅僅是一個智能的機器，易受自然災(zāi)害及環(huán)境 (溫度、濕度、振動、沖擊、污染 )的影響。再者，由于計算機信息系統(tǒng)自身所固有的脆弱性，使計算機信息系統(tǒng)面臨威脅和攻擊的考驗 。 計算機信息系統(tǒng)之所以存在著脆弱性，主要是由于技術(shù)本身存在著安全弱點、系統(tǒng)的安全性差、缺乏安全性實踐等；計算機信息系統(tǒng)受到的威脅和攻擊除自然災(zāi)害外，主要來自計算機犯罪、計算機病毒、黑客攻擊、信息戰(zhàn)爭和計算機系統(tǒng)故障等。 計算機網(wǎng)絡(luò)面臨的威脅 信息安全是一個非常關(guān)鍵而又復雜的問題。 06 計算機軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學院 17 (5)安裝反病毒軟件。 (3)掃描并清除。 防范間 諜軟件 如果想徹底把 Spyware 拒之門外，請按照這幾個步驟來做： (1)斷開網(wǎng)絡(luò)連接并備份注冊表和重要用戶數(shù)據(jù)。 不要回陌生人的郵件 有些黑客可能會冒充某些正規(guī)網(wǎng)站的名義，然后編個冠冕堂皇的理由寄一封信給你要求你輸入上網(wǎng)的用戶名稱與密碼，如果按下 “確定 ”，你的帳號和密碼就進了黑客的郵箱。 (2)在 “開始 ”→“ 程序 ”→“ 啟動 ”或 “開始 ”→“ 程序 ”→“Startup” 選項里看是 否有不明的運行項目，如果有，刪除即可。在上網(wǎng)時打開它們，這樣即使有黑客進攻我們的安全也是有保證的。另外，在 IE 的安全性設(shè)定中我們只能設(shè)定Inter、本地 Intra、受信任的站點、受限制的站點。所以要避免惡意網(wǎng)頁的攻擊只有禁止這些惡意代碼的運行。去掉不必要的服務(wù)停止之后，不僅能保證系統(tǒng)的安全，同時還可以提高系統(tǒng)運行速度。 (4) 關(guān)閉不必要的服務(wù) 服務(wù)開得多可以給管理帶來方便，但也會給黑客留下可乘之機，因此對于一些確實用不到的服務(wù)，最好關(guān)掉。 (3) 禁止建立空連接 在默認的情況下，任何用戶都可以通過空連接連上服務(wù)器，枚舉帳號并猜測密碼。所以在沒有必要 文件和打印共享 的情況下，我們可以將其關(guān)閉。其中 NetBIOS 是很多安全缺陷的源泉，對于不需要提供文件和打印共享的主機，可以將綁定在 TCP/IP 協(xié)議的 NetBIOS 給關(guān)閉，避免針對 NetBIOS 的攻擊。 封死黑客的 后門 俗話說 “無風不起浪 ”，既然黑客能進入，那我們的系統(tǒng)一定存在為他們打開的 后門 ，我們只要將此堵死，讓黑客無處下手，豈不美哉！ (1) 刪掉不必要的協(xié)議 對于服務(wù)器和主機來說，一般只安裝 TCP/IP 協(xié)議就夠了。對稱加密是常規(guī)的以口令為基礎(chǔ)的技術(shù)，加密運算與解密運算使用同樣的密鑰。雖然防火墻是 目前 保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段，但也有明顯不足：無法防范通過防火墻以外的其它途徑的攻擊，不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅，也不能完全防止傳送已感染病毒的軟件或文件， 以及無法防范數(shù)據(jù)驅(qū)動型的攻擊。 、網(wǎng)絡(luò)防火墻技術(shù) 是一種用來加強網(wǎng)絡(luò)之間訪問控制 ，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部網(wǎng)絡(luò)資源，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。好的殺毒軟件能在幾分鐘內(nèi)輕松地安裝到組織里的每一個 NT 服務(wù)器上，并可下載和散布到所有的目的機器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管理，它會與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全管理的一部分，并且自動提供最佳的網(wǎng)絡(luò)病毒防御措施。網(wǎng)絡(luò)管理員和終端操作員根據(jù)自己的職責權(quán)限，選擇不同的口令，對 應(yīng)用 程序數(shù)據(jù)進行合法操作，防止用戶越權(quán)訪問數(shù)據(jù)和使用網(wǎng)絡(luò)資源。這樣的系統(tǒng)非常危險，它不能提供足夠的信息，就連已提供的信息都可能是不真實、不準確的。黑客可以利用這一漏洞發(fā)動拒絕服務(wù)攻擊，非法訪問敏感信息或是篡改 Web 服務(wù)器的內(nèi)容。 服務(wù)器的代碼設(shè)計及執(zhí)行也要進行有效管理。建立安全的架構(gòu)一定要從底層著手。所以，及時、有效地改變管理可以大大降低系統(tǒng)所承受的風險。當發(fā)現(xiàn)新的漏洞時，管理人員應(yīng)仔細分析危險程度，并馬上采取補救措施。黑客如要攻擊網(wǎng)絡(luò)，則先把網(wǎng)卡變成功能混雜的設(shè)備，截取經(jīng)過網(wǎng)絡(luò)的包（包括所有未加密的口令和其他敏感信息），然后短時間運行網(wǎng)包嗅探器就可以有足夠的信息去攻擊網(wǎng)絡(luò)。 另一 個最常被利用的工具是網(wǎng)包嗅探器（ PacketSniffer）。但是破壞者也用這一命令收集對系統(tǒng)有威脅性的信息，例如區(qū)域控制軟件的身份信息、 NetBIOS 的名字、 IIS名甚至是用戶名。其結(jié)果是系統(tǒng)拒絕所有合法的請求，直至等待回答的請求超時。這類攻擊的例子是 Synflood 攻擊。拒絕服務(wù) (DenialofService ， DoS) 攻擊的原理是攪亂 TCP/IP 連接的次序。假如破壞者特別配置一串他準備用作攻擊的字符，他甚至可以訪問系統(tǒng)根目錄。這樣破壞者便有機可乘。這是攻擊中最容易被利用的系統(tǒng)漏洞。另一個消息的來源就是諸如BugNet 或 NTBug traq 一類的新聞組。沒有任何一個系統(tǒng)可以排除漏洞的存在，想要修補所有的漏洞簡直比登天還難。目前，威脅網(wǎng)絡(luò)安全的技術(shù)主要有病毒、入侵和攻擊；而對網(wǎng)絡(luò)信息失竊造成威脅的主要是黑客的入侵，只有入侵到主機內(nèi)部才有可能竊取到有價值的信息。 (4)非法侵入他人的系統(tǒng)，獲取個人隱私，以便利用其進 行敲詐、勒索或損害他人的名譽，炸毀電子郵箱，使系統(tǒng)癱瘓等。 (3)非法入侵金融、商業(yè)系統(tǒng)，盜取商業(yè)信息；在電子商務(wù)、金融證券系統(tǒng)中進行詐騙、盜竊等違法犯罪活動；破壞正常的經(jīng)濟秩序。 (2)用于戰(zhàn)爭。 入侵的黑客通常扮演以下腳色 ： (1)充當政治工具。瑞穗銀行已發(fā)生兩件類似案件，遭到 500 萬日元的損失。如果該黑客真的用這些信息來盜用資金的話，不但將給這些信用卡用戶帶來巨大的經(jīng)濟損失，而且侵犯了這些信用卡用戶的個人隱私。 可以看出，一方面盡管這位黑客的主動入侵沒有惡意，但是事實上對美國國防部的網(wǎng)絡(luò)信息在安全方面造成威脅，假如這位黑客出于某種目的，那