【正文】 利用了微軟視窗操作系統(tǒng)的漏洞，計(jì)算機(jī)感染這一病毒后，會(huì)不斷自動(dòng)撥號(hào)上網(wǎng)，并利用文件中的地址信息或者網(wǎng)絡(luò)共享進(jìn)行傳播，最終破壞用戶的大部分重要數(shù)據(jù)。蠕蟲病毒是自包含的程序或是一套程序，它能傳播自身功能的拷貝或自身的某些部分到其它的計(jì)算機(jī)系統(tǒng)中。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。防范口令攻擊的方法雖然簡(jiǎn)單,但很多用戶卻不能做到,一些用戶的口令與用戶名相同,或使用電話號(hào)碼、生日,甚至口令為空。防范口令攻擊的一個(gè)簡(jiǎn)單有效的辦法是,不要用英語單詞,且不可能被別人猜測(cè)出的口令就可以了。并一直循環(huán)下去,直到找到正確的口令或字典的單詞試完為止。通過一些程序,自動(dòng)地從電腦字典中取出一個(gè)單詞,作為用戶的口令輸入給遠(yuǎn)端的主機(jī),申請(qǐng)進(jìn)入系統(tǒng)。 口令攻擊黑客攻擊目標(biāo)時(shí),常常把破譯普通用戶的口令作為攻擊的開始. 先用Finger 遠(yuǎn)端主機(jī)名找出主機(jī)上的用戶帳號(hào),然后采用字典窮舉法進(jìn)行攻擊。攻擊者一旦發(fā)現(xiàn)用戶系統(tǒng)的漏洞，這對(duì)用戶的系統(tǒng)是一個(gè)很大的威脅。 （5）當(dāng)用戶發(fā)現(xiàn)自己正在遭受DDoS攻擊時(shí)，應(yīng)當(dāng)啟動(dòng)自己的應(yīng)付策略，盡可能快地追蹤攻擊包，并且及時(shí)聯(lián)系ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其他節(jié)點(diǎn)，從而阻擋從已知攻擊節(jié)點(diǎn)的流量。（3）利用網(wǎng)絡(luò)安全設(shè)備（例如：防火墻）來加固網(wǎng)絡(luò)的安全性，配置好這些設(shè)備的安全規(guī)則，過濾掉所有可能的偽造數(shù)據(jù)包。建立邊界安全界限，確保輸出的包受到正確限制。通過這樣一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小。對(duì)一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機(jī)制。專家建議可以采取的安全防御措施有以下幾種。由于它通過利用一批受控制的機(jī)器向一臺(tái)機(jī)器發(fā)起攻擊，來勢(shì)迅猛，而且往往令人難以防備，具有極大的破壞性。它是利用多臺(tái)已經(jīng)被攻擊者所控制的機(jī)器對(duì)某一臺(tái)單機(jī)發(fā)起攻擊，在帶寬相對(duì)的情況下，被攻擊的主機(jī)很容易失去反應(yīng)能力。它不需要在接入交換機(jī)上進(jìn)行特殊的防攻擊配置，只需要客戶端通過認(rèn)證協(xié)議（）登錄網(wǎng)絡(luò)，認(rèn)證服務(wù)器（如CAMS 服務(wù)器）會(huì)識(shí)別客戶端，并下發(fā)網(wǎng)關(guān)的IP/MAC 對(duì)應(yīng)關(guān)系給客戶端，來防御“仿冒網(wǎng)關(guān)”攻擊。通過全網(wǎng)部署，可以有效的防御“仿冒網(wǎng)關(guān)”、“欺騙網(wǎng)關(guān)”、“欺騙終端用戶”、“ARP 中間人攻擊”、“ARP 泛洪攻擊”等校園網(wǎng)中常見的ARP 攻擊方式；且不需要終端用戶安裝額外的客戶端軟件，簡(jiǎn)化了網(wǎng)絡(luò)配置。H3C 公司根據(jù)ARP 攻擊的特點(diǎn)，提出了“全面防御，模塊定制”的ARP 攻擊防御理念，并給出了兩種解決方案。近幾年來包括我們學(xué)校在內(nèi)的許多校園網(wǎng)絡(luò)都出現(xiàn)了ARP 攻擊現(xiàn)象。接下來我們認(rèn)識(shí)下目前網(wǎng)絡(luò)上常見的幾種攻擊方式： ARP攻擊ARP攻擊就是通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IPMAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。由于用戶越來越多地依賴Internet完成日常業(yè)務(wù)，基礎(chǔ)設(shè)施攻擊引起人們?cè)絹碓酱蟮膿?dān)心。 　　趨勢(shì)六：對(duì)基礎(chǔ)設(shè)施將形成越來越大的威脅。由于攻擊技術(shù)的進(jìn)步，一個(gè)攻擊者可以比較容易地利用分布式系統(tǒng)，對(duì)一個(gè)受害者發(fā)動(dòng)破壞性的攻擊。Internet上的安全是相互依賴的。防火墻是人們用來防范入侵者的主要保護(hù)措施。入侵者經(jīng)常能夠在廠商修補(bǔ)這些漏洞前發(fā)現(xiàn)攻擊目標(biāo)。 　　趨勢(shì)三：發(fā)現(xiàn)安全漏洞越來越快。與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進(jìn)行檢測(cè)。 　　趨勢(shì)二：攻擊工具越來越復(fù)雜。隨著分布式攻擊工具的出現(xiàn)，攻擊者可以管理和協(xié)調(diào)分布在許多Internet系統(tǒng)上的大量已部署的攻擊工具。趨勢(shì)一：自動(dòng)化程度和攻擊速度提高 。在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢(shì)，使借助Internet運(yùn)行業(yè)務(wù)的機(jī)構(gòu)面臨著前所未有的風(fēng)險(xiǎn)，本章內(nèi)容主要分析目前網(wǎng)絡(luò)攻擊的趨勢(shì)，針對(duì)目前主流的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)漏洞進(jìn)行分析，分析其技術(shù)特點(diǎn)和攻擊針對(duì)的類型，使讀者能夠認(rèn)識(shí)、評(píng)估，并減小這些風(fēng)險(xiǎn)，然后輔以相應(yīng)的技術(shù)手段進(jìn)行防范。另外介紹一下BGP下一條的特性，R2向AS200通告R1的路由時(shí)，通常都將R1的環(huán)回地址作為下一條，這樣雖然整個(gè)路由查詢沒有錯(cuò)誤，但是為了節(jié)省路由查詢的時(shí)間，通常R2將自己作為下一條。啟用了環(huán)回接口以后，不但可以負(fù)載均衡而且發(fā)揮了鏈路冗余的優(yōu)點(diǎn)。然而這種方法只能解決鏈路冗余卻不能解決負(fù)載均衡的問題。 BGP命令maximupaths示例：AS100中的路由器有兩條前往AS200中的路徑，默認(rèn)情況下只有一條路徑，如果在R1加上一條命令maximun paths將發(fā)揮作用，該命令雖然不會(huì)影響B(tài)GP選擇的最佳路徑數(shù)目，但是可以影響存儲(chǔ)在IP路由表中的路由數(shù)。當(dāng)檢測(cè)到一個(gè)跳躍的或重發(fā)的序列號(hào)時(shí), 就用一個(gè)Notification報(bào)文終止BGP鏈路。除了采用對(duì)等體認(rèn)證外，還可以通過增加報(bào)文序列號(hào)增加安全性。主要運(yùn)用于運(yùn)營商和大型企業(yè)之間。BGP4支持CIDR尋址方案，該方案增加了Internet上的可用IP地址數(shù)量。 BGP路由協(xié)議BGP（Border Gateway Protocol，邊界網(wǎng)關(guān)協(xié)議）是用來連接Internet上的獨(dú)立系統(tǒng)的路由選擇協(xié)議。路由器ID在OSPF中非常重要，而且是唯一的。廣播網(wǎng)絡(luò)中，所有的路由器只跟DR建立鄰居關(guān)系，如果DR出現(xiàn)故障，則有BDR替代。 DR\BDR的選舉和路由器ID的標(biāo)識(shí)在諸如以太網(wǎng)等多路訪問廣播網(wǎng)絡(luò)中，OSPF通常要選舉DR和BDR，這個(gè)選舉過程類似于生成樹STP協(xié)議中選舉跟網(wǎng)橋的過程。當(dāng)某一節(jié)點(diǎn)試圖發(fā)送偽造的或是修改的LSA 時(shí), 只要有一條其他的可用路由, 使該LSA 所聲明的通告路由器收到該LSA, 若該LSA 描述的信息與自身信息不一致時(shí),該路由器會(huì)生成一個(gè)新的LSA 實(shí)例, 將其LSA 的序號(hào)超過所接收到的LSA 序號(hào), 并泛洪出去, 從而使偽造的LSA 被丟棄, 實(shí)現(xiàn)一定程度的自衛(wèi)。 可靠的擴(kuò)散機(jī)制LSA 是通過可靠的泛洪進(jìn)行通告的, 確保了鏈路狀態(tài)數(shù)據(jù)庫在本區(qū)域的一致性, 從而保證了計(jì)算出路由的一致性。域內(nèi)路由的優(yōu)先級(jí)比域間路由的優(yōu)先級(jí)要高, 協(xié)議總是優(yōu)先考慮本區(qū)域內(nèi)部的路徑。因此一個(gè)區(qū)域受到攻擊, 一般并不會(huì)導(dǎo)致其他區(qū)域也遭受攻擊。非骨干區(qū)域內(nèi)部路由信息通過ABR 匯總進(jìn)入骨干區(qū)域, 通告給其他區(qū)域。但人們發(fā)現(xiàn)層次化路由不僅減小了路由表的大小,減少了網(wǎng)絡(luò)流量, 保證了網(wǎng)絡(luò)的快速收斂, 而且改善了安全性。僅當(dāng)鄰居不支持MD5認(rèn)證時(shí)，明文認(rèn)證才被選用。下表1列出了協(xié)議包中所設(shè)認(rèn)證類型，空認(rèn)證（協(xié)議包頭不包含任何認(rèn)證信息）是路由配置中缺省的配置。OSPF路由協(xié)議是目前部署最為廣泛的一種路由協(xié)議，協(xié)議的安全性對(duì)網(wǎng)絡(luò)有著重要意義。具有適應(yīng)范圍廣泛，收斂速度快，無自環(huán)、以組播方式發(fā)送報(bào)文等特點(diǎn)。 OSPF路由協(xié)議OSPF(Open Shortest Path First，開放式最短路徑優(yōu)先)是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議，用于在單一自治系統(tǒng)內(nèi)決策路由。由于該路由的優(yōu)先級(jí)最高，路由器選擇主口路由來發(fā)送數(shù)據(jù)，上述過程是備份口到主口的自動(dòng)切換。設(shè)置通過主路徑的路由優(yōu)先級(jí)最高，其余的備份路徑依次遞減，這樣正常情況下路由器采用主路徑發(fā)送數(shù)據(jù)，當(dāng)線路發(fā)生故障時(shí)該路由自動(dòng)隱藏，路由器會(huì)選擇余下的優(yōu)先級(jí)最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。 利用靜態(tài)路由實(shí)現(xiàn)路由備份H3C系列路由器支持路由備份，當(dāng)各個(gè)備份線路發(fā)生變化時(shí)自動(dòng)實(shí)現(xiàn)路由之間的切換，提高用戶網(wǎng)絡(luò)的可靠性。這樣到同一目的地存在這不同的路徑，而且它們的優(yōu)先級(jí)也相同，在沒有比這優(yōu)先級(jí)更高的路由時(shí)，該路由被IP層采納。 利用靜態(tài)路由實(shí)現(xiàn)負(fù)載分擔(dān)H3C系列路由器支持多路由模式，即允許配置到同一目標(biāo)IP地址/目標(biāo)IP地址掩碼，并且優(yōu)先級(jí)也相同的路由。因此此方法對(duì)保證網(wǎng)絡(luò)不間斷運(yùn)行存在一定的局限性，我們推薦在下面兩種情況下使用靜態(tài)路由。 靜態(tài)路由協(xié)議靜態(tài)路由是一種特殊的路由，它由網(wǎng)絡(luò)管理員采用手工方法在路由器中配置而成。我們將討論網(wǎng)絡(luò)路由設(shè)計(jì)時(shí)最關(guān)鍵因素。為了網(wǎng)絡(luò)安全的操作，在構(gòu)建網(wǎng)絡(luò)的路由基礎(chǔ)結(jié)構(gòu)時(shí)將安全牢記在心是根本。而SSL VPN就不一樣，實(shí)現(xiàn)的是IP級(jí)別的訪問，遠(yuǎn)程網(wǎng)絡(luò)和本地網(wǎng)絡(luò)幾乎沒有區(qū)別。（3）安全:SSL VPN是一個(gè)安全協(xié)議，數(shù)據(jù)全程加密傳輸?shù)?。?）容易維護(hù)：SSL VPN 維護(hù)起來簡(jiǎn)單，出現(xiàn)問題，就維護(hù)網(wǎng)關(guān)就可以了。SSL VPN相對(duì)IPsec VPN主要有以下優(yōu)點(diǎn)：（1）方便：實(shí)施SSL VPN之需要安裝配置好中心網(wǎng)關(guān)即可。IPSec VPN最大的難點(diǎn)在于客戶端需要安裝復(fù)雜的軟件，而且當(dāng)用戶的VPN策略稍微有所改變時(shí)，VPN的管理難度將呈幾何級(jí)數(shù)增長(zhǎng)。與復(fù)雜的IPSec VPN相比，SSL通過簡(jiǎn)單易用的方法實(shí)現(xiàn)信息遠(yuǎn)程連通。SSL獨(dú)立于應(yīng)用，因此任何一個(gè)應(yīng)用程序都可以享受它的安全性而不必理會(huì)執(zhí)行細(xì)節(jié)。握手協(xié)議允許服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€(gè)數(shù)據(jù)字節(jié)以前，彼此確認(rèn)，協(xié)商一種加密算法和密碼鑰匙。因此就一般企業(yè)用戶構(gòu)建安全的VPN而言，應(yīng)該使用IPsec技術(shù)，當(dāng)然如果需要實(shí)現(xiàn)安全的VPDN，就應(yīng)該采用L2TP+IPsec組合技術(shù) SSL VPN技術(shù)的應(yīng)用SSL協(xié)議提供了數(shù)據(jù)私密性、端點(diǎn)驗(yàn)證、信息完整性等特性。L2TP與IPsec的一個(gè)最大的不同在于它不對(duì)隧道傳輸中的數(shù)據(jù)進(jìn)行加密，從而沒法保證數(shù)據(jù)傳輸過程中的安全。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，可以進(jìn)行用戶身份認(rèn)證。L2TP本質(zhì)上是一種隧道傳輸協(xié)議，它使用兩種類型的消息：控制消息和數(shù)據(jù)隧道消息。但是GRE隧道不提供安全特性，不會(huì)對(duì)流量進(jìn)行加密、完整性驗(yàn)證，而IPsec剛好解決了這個(gè)難題，這樣基于IPsec的GRE的VPN強(qiáng)大功能特性就充分體現(xiàn)了。GRE的源動(dòng)力就是任何東西都可以被封裝在其中，GRE的主要應(yīng)用就是在IP網(wǎng)絡(luò)中承載非IP包，這個(gè)恰恰是IPsec所不能的。某些網(wǎng)絡(luò)管理員為了降低其網(wǎng)絡(luò)核心的管理開銷，將除IP外的所有傳送協(xié)議都刪除了，因而IPX和AppleTalk等非IP協(xié)議只能通過GRE來穿越IP核心網(wǎng)絡(luò)。在建立IPsec隧道的時(shí)候還需要用到一個(gè)重要的協(xié)議即IKE協(xié)議，通過建立IKE的兩個(gè)階段，完成數(shù)據(jù)的傳送。ESP能提供的安全服務(wù)則更多，除了上述AH所能提供的安全服務(wù)外，還能提供數(shù)據(jù)機(jī)密性，這樣可以保證數(shù)據(jù)包在傳輸過程中不被非法識(shí)別。IPsec實(shí)質(zhì)上也是一種隧道傳輸技術(shù)，它將IP分組或IP上層載荷封裝在IPsec報(bào)文內(nèi)，并根據(jù)需要進(jìn)行加密和完整性保護(hù)處理，以此保證數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸過程的安全。H3C公司的安全解決方案的VPN特性非常豐富，包括適用于分支機(jī)構(gòu)的動(dòng)態(tài)VPN（DVPN）解決方案、適用于MPLS VPN和IPSec VPN環(huán)境下的VPE解決方案、適用于鏈路備份的VPN高可用方案等，可以滿足各種VPN環(huán)境的需要。VPN 作為私有專網(wǎng)，一方面與底層承載網(wǎng)絡(luò)之間保持資源獨(dú)立性，即在一般情況下，VPN 資源不會(huì)被網(wǎng)絡(luò)中的其它VPN 或非該VPN 用戶使用；另一方面，VPN 提供足夠安全性，能夠確保VPN 內(nèi)部信息的完整性、保密性、不可抵賴性。VPN 只為特定的企業(yè)或用戶群體所專用。需要先建立一個(gè)普通的ACL列表，然后建立一個(gè)關(guān)于VLAN的訪問映射表將建立的ACL列表包含進(jìn)去，最后把訪問映射表映射到所需要的VLAN。在Qos中應(yīng)用ACL：Qos ACL指定了Qos分類、標(biāo)記、控制和調(diào)度將應(yīng)用于那些數(shù)據(jù)包，也可以基于時(shí)間段、流量監(jiān)管、隊(duì)列調(diào)度、流量統(tǒng)計(jì)、端口重定向、本地流鏡像以及WEB Cache重定向的功能及應(yīng)用部署相關(guān)的ACL。：PC2可以針對(duì)PC3的MAC地址進(jìn)行限制。 ACL技術(shù)組網(wǎng)圖另外還有一些特殊情況下的ACL技術(shù)的應(yīng)用：基于MAC地址的ACL：二層 ACL 根據(jù)源MAC 地址、目的MAC 地址、 優(yōu)先級(jí)、二層協(xié)議類型等二層信息制定規(guī)則，對(duì)數(shù)據(jù)進(jìn)行相應(yīng)處理。如果匹配（假設(shè)為允許發(fā)送），則不管是第一條還是最后一條語句，數(shù)據(jù)都會(huì)立即發(fā)送到目的接口。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語句相匹配，那么后面的語句就將被忽略，不再進(jìn)行檢查。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的控制范圍, 擴(kuò)展IP訪問控制列表比標(biāo)準(zhǔn)IP訪問控制列表具有更多的匹配項(xiàng)，包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。標(biāo)準(zhǔn)ACL可以阻止來自某一網(wǎng)絡(luò)的所有通信流量，或者允許來自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對(duì)Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。 端口多路復(fù)用(Port address Translation,PAT)是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，Port Address Translation)。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。 NAT技術(shù)組網(wǎng)圖NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換Static Nat、動(dòng)態(tài)轉(zhuǎn)換Dynamic Nat 和端口多路復(fù)用PAT。 NAT技術(shù)的應(yīng)用NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)屬接入廣域網(wǎng)(WAN)技術(shù),是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù),它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。隨著網(wǎng)絡(luò)的日益復(fù)雜，域邊界的概念逐漸替代了網(wǎng)絡(luò)邊界，邊界成了網(wǎng)絡(luò)安全區(qū)域之間安全控制的基本點(diǎn)。當(dāng)主路由器出現(xiàn)故障時(shí)，一個(gè)備份路由器將成為新的主路由器，接替它的工作, 避免備份組內(nèi)的單臺(tái)或多臺(tái)交換機(jī)發(fā)生故障而引起的通信中斷。Cisco系列交換機(jī)更多的采用思科廠商專用的HSRP（Hot Standby Router Protoc