【正文】 么后果將無法估量；另一方面網(wǎng)絡(luò)技術(shù)很高的國家和部門也會被黑客成功入侵。 事件一： 2021 年 7 月 14 日國際報(bào)道 英國一名可能被引渡到美國的黑客 McKinnon 表示，安全性差是他能夠入侵美國國防部網(wǎng)站的主要原因。 近年來，威脅網(wǎng)絡(luò)安全的事件不斷發(fā)生，特別是計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)發(fā)展迅速的國家和部門發(fā)生的網(wǎng)絡(luò)安全事件越來越頻繁和嚴(yán)重。從 Web 程序的控制程序到內(nèi)核級 Rootlets。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時至今日，有愈演愈烈之勢。在 Inter 網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒有時空和地域的限制，每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)癱瘓。計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計(jì)算機(jī)和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。人為的網(wǎng)絡(luò)入 侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。從普通使用者的角度來說，可能僅僅希望個人隱私或機(jī) 密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外，還要考慮如何應(yīng)付突發(fā)的 自然 災(zāi)害、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通信，保持網(wǎng)絡(luò)通信的連續(xù)性。上述計(jì)算機(jī)安全的定義包含物理安全和邏輯安全兩方面的 內(nèi)容 ，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。本文通過對幾起典型的網(wǎng)絡(luò)安全事件的分析，以及對威脅網(wǎng)絡(luò)安全的幾種典型方法研究的結(jié)果，提出實(shí)現(xiàn)防護(hù)網(wǎng)絡(luò)安全的具體策略。這樣，使原本就十分脆弱的互聯(lián)網(wǎng)越發(fā)顯得不安全。盡管我們正在廣泛地使用各種復(fù)雜的軟件技術(shù)，如防火墻、代理服務(wù)器、侵襲探測器、通道控制機(jī)制，但是，無論在發(fā)達(dá)國家，還是在發(fā)展中國家（包括我國），黑客活動越來越猖狂，他們無孔不入，對社 會造成了嚴(yán)重的危害。當(dāng)然也可以利用將交換機(jī)端口 Disable 掉來屏 蔽該用戶對網(wǎng)絡(luò)造成影響，從而達(dá)到安全防范的目的。網(wǎng)絡(luò)用戶如果擅自改動本機(jī)網(wǎng)卡的 MAC 地址，該機(jī)器的網(wǎng)絡(luò)訪問將因其 MAC 地址被交換機(jī)認(rèn)定為非法而無法實(shí)現(xiàn)上網(wǎng)，自然也就不會對局域網(wǎng)造成干擾了。根據(jù)局域網(wǎng)絡(luò)用戶所在的區(qū)域、樓體和用戶房間所對應(yīng)的交換機(jī)端口號，將用戶計(jì)算機(jī)網(wǎng)卡的 MAC 地址和交換機(jī)端口綁定。這樣可以極大程度上避免非法用戶使用 ARP 欺騙或盜用06 計(jì)算機(jī)軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 11 合法用戶的 IP 地址進(jìn)行流量的盜取。 1） IP 和 MAC 地址的綁定。 2）編寫一個批處理文件 ，實(shí)現(xiàn)將交換機(jī)網(wǎng)關(guān)的 MAC 地址和網(wǎng)關(guān)的 IP 地址的綁定，內(nèi)容如下： echo off arp d arp s 0040667788d7 用戶應(yīng)該按照第一步中查找到的交換機(jī)網(wǎng)關(guān)的 IP 地址和 MAC 地址，填入 arp – s 后面即可，同時需要將這個批處理軟件拖到“ windows開始 程序 啟動”中，以便用戶每次開機(jī)后計(jì)算機(jī)自動加載并執(zhí)行該批處理文件，對用戶起到一個很好的保護(hù)作用。 用戶端綁定 在用戶端計(jì)算機(jī)上綁定交換機(jī)網(wǎng)關(guān)的 IP 和 MAC 地址。主機(jī)Ａ在接受到這個合理的 ICMP 重定向后，修改自己的路由路徑，把對10． 10． 100． 2 的數(shù)據(jù)包都發(fā)給路由器。這樣，在主機(jī)Ａ上Ｂ的 IP 地址就對應(yīng)Ｃ的 MAC 地址。此后 ，攻擊方Ｃ發(fā)送IP 地址為Ｂ的 IP 地址 10． 10． 100． 2， MAC 地址為Ｃ的 MAC 地址 00E04C333333 的ARP 應(yīng)答給Ａ。 表 2：跨網(wǎng)段主機(jī) IP 地址和 MAC 地址對應(yīng)表 用戶主機(jī) IP 地址 MAC 地址 A 10． 10． 100． 1 00E04C111111 B 10． 10． 100． 2 00E04C222222 C 10． 10． 200． 3 00E04C333333 首先攻擊方Ｃ修改 IP 包的生存時間，將其延長，以便做充足的廣播。 06 計(jì)算機(jī)軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 10 跨網(wǎng)段的 ARP 欺騙攻擊 跨網(wǎng)段的 ARP 欺騙比同一網(wǎng)段的 ARP 欺騙要復(fù)雜得多，它需要 把 ARP 欺騙與ICMP 重定向攻擊結(jié)合在一起。由于大多數(shù)的操作系統(tǒng)在接收到 ARP 應(yīng)答后會及時更新 ARP 緩存，而不考慮是否發(fā)出過真實(shí)的 ARP請求，所以Ａ接收到應(yīng)答后，就更新它的 ARP 緩存，建立新的 IP 和 MAC 地址映射對，即Ｂ的 IP 地址 10． 10． 100． 2 對應(yīng)了Ｃ的 MAC 地址 00E04C333333。 表 1：同網(wǎng)段主機(jī) IP 地址和 MAC 地址對應(yīng)表 用戶主機(jī) IP 地址 MAC 地址 A 10． 10． 100． 1 00E04C111111 B 10． 10． 100． 2 00E04C222222 C 10． 10． 100． 3 00E04C333333 假設(shè)Ａ與Ｂ是信任關(guān)系，Ａ欲向Ｂ發(fā)送數(shù)據(jù)包。 ARP 欺騙攻擊的實(shí)現(xiàn)過程 網(wǎng)段內(nèi)的 ARP 欺騙攻擊 ARP 欺騙攻擊的核心就是向目標(biāo)主機(jī)發(fā)送偽造的 ARP 應(yīng)答 ，并使目標(biāo)主機(jī)接收應(yīng)答中偽造的 IP 與 MAC 間的映射對，并以此更新目標(biāo)主機(jī)緩存。經(jīng)過 ARP 協(xié)議解析IP 地址之后，主機(jī)會在緩存中保存 IP 地址和 MAC 地址的映射條目，此后再進(jìn)行數(shù)據(jù)交換時只要從緩存中讀取映射條目即可。當(dāng)該報(bào)文通過廣播方式到達(dá)目的 主機(jī)時，目的主機(jī)會響應(yīng)該請求，并返回 ARP 響應(yīng)報(bào)文，從而源主機(jī)可以獲取 目的主機(jī)的 MAC 地址，同樣目的主機(jī)也能夠獲得源主機(jī)的 MAC地址。這時如果目的主機(jī)和源主機(jī)在同一個網(wǎng)段內(nèi)，源主機(jī)會以第二層廣播的方式發(fā)送 ARP 請求報(bào)文。 跨網(wǎng)段 ARP 工作原理 源主機(jī)在傳輸數(shù)據(jù)前，首先要對初始數(shù)據(jù)進(jìn)行封裝，在該過程中會把目的主機(jī)的 IP 地址和MAC 地址封裝進(jìn)去。在以太網(wǎng)中，源主機(jī)和目的主機(jī)通信時，源主機(jī)不僅要知道目的主機(jī)的 IP 地址，還要知道目的主機(jī)的數(shù)據(jù)鏈路層地址，即網(wǎng)卡的 MAC 地址，同時規(guī)定 MAC 地址為 48 位。 網(wǎng)段 內(nèi)的 ARP 欺騙攻擊 ARP 協(xié)議簡介 ARP(Address Resolution Protocol)即地址解析協(xié)議，該協(xié)議將網(wǎng)絡(luò)層的 IP 地址轉(zhuǎn)換為數(shù)據(jù)鏈路層地址。震蕩波病毒會發(fā)起 128 個線程來掃描隨機(jī)的 IP 地址，并連續(xù)偵聽從 TCP 端口 1068 開始的各個端口。震蕩波06 計(jì)算機(jī)軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 9 病毒會利用 TCP 端口 5554 架設(shè)一個 FTP 服務(wù)器。Nachi 蠕蟲感染機(jī)器 后，會產(chǎn)生大量長度為 92 字節(jié)的 ICMP 報(bào)文，從而嚴(yán)重 影響 網(wǎng)絡(luò)性能。 蠕蟲 蠕蟲 (以下簡稱 Nachi 蠕蟲 )利用了 Microsoft Windows DCOM RPC 接口遠(yuǎn)程緩沖區(qū)溢出漏洞和 Microsoft Windows 2021 WebDAV 遠(yuǎn)程緩沖區(qū)溢出漏洞進(jìn)行傳播。 蠕蟲 是一種利用 DCOM RPC 漏洞進(jìn)行傳播的蠕蟲，傳播能力很強(qiáng)。也可以通過SNIFFER 或者 IRIS 偵聽工具進(jìn)行抓取異常數(shù)據(jù)包，發(fā)現(xiàn)感染病毒主機(jī)。 ARP 木馬病毒會導(dǎo)致整個局域網(wǎng)網(wǎng)絡(luò)運(yùn)行不穩(wěn)定，時斷時通。由于 ARP 欺騙的木馬程序發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器緩沖區(qū)滿負(fù)荷，不接受新的請求；二是使用 IP 欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。帶寬攻擊指極大的通信量沖擊網(wǎng)絡(luò)，使得所有的網(wǎng)絡(luò)資 源都被消耗殆盡，最終計(jì)算機(jī)無法再處理合法用戶的請求。這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問。這就稱 “緩沖區(qū)溢出 ”。 UNIX 和 Windows 本身以及在這兩個系統(tǒng)上運(yùn)行的許多應(yīng)用程序都是 C 語言編寫的， C、 C++語言對數(shù)組下標(biāo)訪問越界不做檢查，是引起緩沖區(qū)溢出的根本原因。而入侵者一般都是利用了網(wǎng)絡(luò)監(jiān)聽工具來截獲用戶口令的。然而，在另一方面網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò)安全帶來了極大的隱患，當(dāng)信息傳播的時候，只要利用工具將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽的模式，就可以將網(wǎng)絡(luò)中正在傳播的信息截獲，從而進(jìn)行攻擊。 ．常見的網(wǎng)絡(luò)攻擊方式 （ 1）網(wǎng)絡(luò)監(jiān)聽攻擊：網(wǎng)絡(luò)監(jiān)聽是一種監(jiān)視網(wǎng)絡(luò)狀態(tài)、數(shù)據(jù)流以及網(wǎng)絡(luò)上傳輸信息的管理工具，它可以將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，并且可以截獲網(wǎng)絡(luò)上傳輸?shù)男畔?，取得目?biāo)主機(jī)的超級 用戶權(quán)限。一旦獲得訪問權(quán)限，入侵者就可以搜索目錄，定位感興趣的信息，并將信息傳輸、存儲起來。 （ 4）攻擊目標(biāo)系統(tǒng)。因?yàn)槟承┫到y(tǒng)主機(jī)的管理員素質(zhì)不高，而造成的目標(biāo)系統(tǒng)配置不當(dāng)，所以這會給入侵者以機(jī)會。 （ 3）掃描目標(biāo)系統(tǒng)。收集到遠(yuǎn)程目標(biāo)的一般網(wǎng)絡(luò)信息后確定攻擊對象，這與入侵者所制定的攻擊策略有關(guān)。入侵者利用操作系統(tǒng)中現(xiàn)有的網(wǎng)06 計(jì)算機(jī)軟件 1 班 胡小偉 網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全 江西渝州科技職業(yè)學(xué)院 7 絡(luò)工具或協(xié)議收集遠(yuǎn)程目標(biāo)系統(tǒng)中各個主機(jī)的相關(guān)信息，為對目標(biāo)系統(tǒng)進(jìn)行進(jìn)一步分析和判斷做準(zhǔn)備。網(wǎng)絡(luò)攻擊一般分為如下幾個步驟：調(diào)查、收集和判斷出目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和其他的信息；對目標(biāo)系統(tǒng)安全的脆弱性進(jìn)行探測與分析；對目標(biāo)系統(tǒng)實(shí)施攻擊。無論入侵者采用什么手段，其行為的最終目的是干擾目標(biāo)系統(tǒng)的正常工作、欺 騙目標(biāo)主機(jī)、拒絕目標(biāo)主機(jī)上合法用戶的服務(wù)，直至摧毀整個目標(biāo)系統(tǒng)。入侵者采用被動手段，即不用入侵目標(biāo)，通過網(wǎng)絡(luò)設(shè)備對開放網(wǎng)絡(luò)產(chǎn)生影響。 入侵者對目標(biāo)進(jìn)行攻擊或入侵的目的大致有兩種：第一種是使目標(biāo)系統(tǒng)數(shù)據(jù)的完整性失效或者服務(wù)的可用性降低。這種攻擊涉及到數(shù)據(jù)流的修改或創(chuàng)建錯誤信息流，主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務(wù)等。這種攻擊是最難被檢測到的，對付這類攻擊的重點(diǎn)是預(yù)防，主要手段是數(shù)據(jù)加密?？梢詮墓粽叩男袨樯蠈⒐魠^(qū)分為以下兩類： 被動攻擊：攻擊者簡單地監(jiān)視所有信息流以獲得某些秘密。目前的網(wǎng)絡(luò)攻擊者主要是利用網(wǎng)絡(luò)通信協(xié)議本身存在的缺 陷或因安全配置不當(dāng)而產(chǎn)生的安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊。因此網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可 1 網(wǎng)絡(luò)攻擊 網(wǎng)絡(luò)攻擊特點(diǎn) 攻擊 ”是指任何的非授權(quán)行為。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為影響一個國家的政治、經(jīng)濟(jì)、軍事和人民生活的重大關(guān)鍵問題。不僅傳統(tǒng)的病毒借助互聯(lián)網(wǎng)加快了其傳播速度并擴(kuò)大了其傳播范圍，而且各種針對網(wǎng)絡(luò)協(xié)議和應(yīng)用程序漏洞的新型攻擊方法層出不窮。s rapid largescale use of technology. It is well known that the use of the world39。、 關(guān)鍵詞 ： 網(wǎng)絡(luò)、安全、 VPN、加密技術(shù)、防火墻技術(shù) 。這以要求我們與 Inter 互連所帶來的安全性問題予以 足夠