【正文】 提供了機會。這是因為網(wǎng)絡最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。所以網(wǎng)絡分段是保證局域網(wǎng)安全的一項重要措施。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。目前的VLAN技術(shù)主要有三種：基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應用協(xié)議的VLAN。一個網(wǎng)絡的防病毒體系是建立在每個局域網(wǎng)的防病毒系統(tǒng)上的，應該根據(jù)每個局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別設置有針對性的防病毒策略。同時，控制管理中心的控制臺子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間也有大量的交互操作，如警報信息查詢、網(wǎng)絡事件重建等。以上幾步完成之后，一個IDS的最基本框架已被實現(xiàn)。數(shù)據(jù)庫管理子系統(tǒng)的前端程序通常與控制臺子系統(tǒng)集成在一起，用Access或其他數(shù)據(jù)庫存儲警報信息和其他數(shù)據(jù)。第四，需要構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)?？刂婆_子系統(tǒng)的主要任務有：管理數(shù)據(jù)采集分析中心，以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報消息；根據(jù)安全策略進行一系列的響應動作，以阻止非法行為，確保網(wǎng)絡的安全。第三，需要構(gòu)建控制臺子系統(tǒng)。在這里需要特別注意3個問題。數(shù)據(jù)分析模塊相當于IDS的大腦，它必須具備高度的―智慧‖和―判斷能力‖,所以，在設計此模塊之前，需要對各種網(wǎng)絡協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個很清晰、深入地研究，然后制訂相應的安全規(guī)則庫和安全策略，再分別建立濫用檢測模型和異常檢測模型，讓機器模擬自己的分析過程，識別確知特征的攻擊和異常行為，最后將分析結(jié)果形成報警消息，發(fā)送給控制管理中心。應根據(jù)自己網(wǎng)絡的具體情況，選用合適的軟件及硬件設備，如果網(wǎng)絡數(shù)據(jù)流量很小，用一般的PC機安裝Linux即可，如果所監(jiān)控的網(wǎng)絡流量非常大，則需要用一臺性能較高的機器；在服務器上開出一個日志分區(qū)，用于采集數(shù)據(jù)的存儲；接著應進行有關(guān)軟件的安裝與配置，至此系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡數(shù)據(jù)流了。這就需要使用網(wǎng)絡監(jiān)聽來實現(xiàn)審計數(shù)據(jù)的獲取，可以通過對網(wǎng)卡工作模式的設置為―混雜‖模式實現(xiàn)對某一段網(wǎng)絡上所有數(shù)據(jù)包的捕獲。構(gòu)建一個基本的IDS,具體需考慮以下幾個方面的內(nèi)容。 局域網(wǎng)入侵檢測系統(tǒng)的構(gòu)建方法根據(jù)CIDF規(guī)范，從功能上將IDS 劃分為四個基本部分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)。當檢測到某種誤用模式時，產(chǎn)生一個告警并發(fā)送給控制臺。由放置在不同網(wǎng)段的傳感器或不同主機的代理來收集信息，包括系統(tǒng)和網(wǎng)絡日志文件、網(wǎng)絡流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。入侵檢測系統(tǒng)的任務是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡，并給出相關(guān)的提示和警告。從一組數(shù)據(jù)中，檢測出符合某一特點的數(shù)據(jù)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術(shù)。當用戶訪問請求到達網(wǎng)關(guān)是操作系統(tǒng)前，狀態(tài)監(jiān)測器要抽取有關(guān)數(shù)據(jù)進行分析，結(jié)合網(wǎng)絡配置和安全規(guī)定作出接納、拒絕、身份認證、報警或給該通信加密處理動作。它有一個檢測引擎，在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡安全策略。若為不合法用語,則拒絕訪問。若為合法用戶,則把該請求轉(zhuǎn)發(fā)給真正的某個內(nèi)部網(wǎng)絡的主機。當決定轉(zhuǎn)發(fā)時,代理服務器上的客戶進程向真正的服務器發(fā)出請求,服務器返回代理服務器轉(zhuǎn)發(fā)客戶機的數(shù)據(jù)。 代理技術(shù)代理技術(shù)是在應用層實現(xiàn)防火墻功能,代理服務器執(zhí)行內(nèi)部網(wǎng)絡向外部網(wǎng)絡申請時的中轉(zhuǎn)連接作用。防火墻根據(jù)預先定義好的映射規(guī)則來判斷這個訪問是否安全和接受與否。在內(nèi)部網(wǎng)絡通過安全網(wǎng)卡訪問外部網(wǎng)絡時,系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡地址。包過濾型防火墻工作在OSI參考模型的網(wǎng)絡層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址,端口號和協(xié)議類型等標志確定是否允許通過,只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應目的地,其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。即使侵襲者侵入堡壘主機，他將仍然必須通過內(nèi)部路由器。這樣就在內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間形成了一個―隔離帶‖。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網(wǎng)。在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方案之一執(zhí)行：(1)允許其它的內(nèi)部主機為了某些服務開放到Internet上的主機連接（允許那些經(jīng)由數(shù)據(jù)包過濾的服務）；(2)不允許來自內(nèi)部主機的所有連接（強迫那些主機經(jīng)由堡壘主機使用代理服務）。因此堡壘主機要保持更高等級的主機安全。堡壘主機是因特網(wǎng)上的主機能連接到的唯一的內(nèi)部網(wǎng)絡上的系統(tǒng)。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務器直接相連）。 被屏蔽主機體系結(jié)構(gòu)雙重宿主主機體系結(jié)構(gòu)防火墻沒有使用路由器。外部網(wǎng)絡能與雙重宿主主機通信，內(nèi)部網(wǎng)絡也能與雙重宿主主機通信。然而雙重宿主主機的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。雙重宿主主機至少有兩個網(wǎng)絡接口。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。 防火墻系統(tǒng) 防火墻概述防火墻是一種用來增強內(nèi)部網(wǎng)絡安全性的系統(tǒng)，它將網(wǎng)絡隔離為內(nèi)部網(wǎng)和外部網(wǎng)，從某種程度上來說，防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺和多臺計算機構(gòu)成，它對內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進行分析、檢測、管理和控制，通過對數(shù)據(jù)的篩選和過濾，來防止未授權(quán)的訪問進出內(nèi)部計算機網(wǎng)，從而達到保護內(nèi)部網(wǎng)資源和信息的目的。（5）若沒有最新的備份文件，可嘗試使用殺毒軟件把病毒清除，對在已染毒網(wǎng)絡上存取過的軟盤進行消毒。（3）用干凈的系統(tǒng)盤啟動文件服務器，系統(tǒng)管理員登錄后，使用disable longin禁止其他用戶登錄。 清除網(wǎng)絡病毒一旦在局域網(wǎng)上發(fā)現(xiàn)病毒，應盡快加以清除，以防網(wǎng)絡病毒的擴散給整個系統(tǒng)造成更大的損失，具體過程為:（1）立即停止使用受感染的電腦，并停止電腦與網(wǎng)絡的聯(lián)接,因為病毒會隨時發(fā)作，繼續(xù)使用受感染的電腦，只會加速該病毒的擴散,用broadcast命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶退網(wǎng),關(guān)閉文件服務器。二、加強各級網(wǎng)絡管理人員的專業(yè)技能學習，提高工作能力，并能及時檢查網(wǎng)絡系統(tǒng)中出現(xiàn)病毒的癥狀。計算機局域網(wǎng)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機制緊密結(jié)合起來，才有可能從根本上保護網(wǎng)絡系統(tǒng)的安全運行。難以挽回和無法估量的，目前市場上基于服務器的病毒防治采用NLM方法，它以NLM模塊方式進行程序設計，以服務器為基礎(chǔ)，提供實時掃描病毒的能力，從而保證服務器不被病毒感染，消除了病毒傳播的路徑，從根本上杜絕了病毒在網(wǎng)絡上的蔓延。（2）基于服務器的防治技術(shù)。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網(wǎng)絡的傳輸速度也會產(chǎn)生一定的影響。二、是在工作站上插防病毒卡，防病毒卡可以達到實時檢測的目的，但防病毒卡的升級不方便，從實際應用的效果看，對工作站的運行速度有一定的影響。局域網(wǎng)中的每個工作站就像是計算機網(wǎng)絡的大門，只有把好這道大門，才能有效防止病毒的侵入。 計算機局域網(wǎng)病毒的防治措施計算機局域網(wǎng)中最主要的軟硬件就是服務器和工作站，所以防治計算機網(wǎng)絡病毒應該首先考慮這兩個部分，另外要加強各級人員的管理教育及各項制度的督促落實。這表明殺毒工具軟件作為病毒防范的最主要工具，已顯露出重大缺陷對病毒的防范始終滯后于病毒的出現(xiàn)。當計算機感染上病毒出現(xiàn)異常時，人們首先想到的是用殺毒軟件來清除病毒。局域網(wǎng)病毒的傳播速度快，傳播范圍廣，危害也大。 局域網(wǎng)病毒局域網(wǎng)病毒的入侵主要來自蠕蟲病毒，同時集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)。雖然局域網(wǎng)采用的是專網(wǎng)形式，但因管理及使用方面等多種原因，計算機病毒也開始在局域網(wǎng)出現(xiàn)并迅速泛濫，給網(wǎng)絡工程安全帶來一定的隱患，對數(shù)據(jù)安全造成極大威脅，妨礙了機器的正常運行，影響了工作的正常開展。訪問控制也是一種安全機制，它通過訪問BSSID、MAC 地址過濾、控制列表ACL等技術(shù)實現(xiàn)對用戶訪問網(wǎng)絡資源的限制。 數(shù)據(jù)的訪問控制訪問控制的目標是防止任何資源（如計算資源、通信資源或信息資源）進行非授權(quán)的訪問,所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。會話建立階段，身份驗證的安全需要非對稱加密以及對PKI的改進來防止非授權(quán)訪問，同時完成初始密鑰的動態(tài)部署和管理工作，會話建立后，大量的數(shù)據(jù)安全傳輸必須通過對稱加密方式，但該系統(tǒng)通過一種動態(tài)加密的模式，摒棄了現(xiàn)有機制下靜態(tài)加密的若干缺陷，從而使通信雙方的每次―通信回合‖都有安全保證。 實行動態(tài)加密動態(tài)加密技術(shù)是基于對稱加密和非對稱加密的結(jié)合，能有效地保證網(wǎng)絡傳輸?shù)陌踩?。這種方式要求AP中的MAC地址列表必需隨時更新，目前都是手工操作。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認證。為AP 設置基于MAC 地址的Access Control（訪問控制表），確保只有經(jīng)過注冊的設備才能進入網(wǎng)絡。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進行關(guān)聯(lián)。因此可以認為SSID是一個簡單的口令，從而提供口令認證機制，阻止非法用戶的接入，保障無線局域網(wǎng)的安全。無線工作站設置了不同的SSID就可以進入不同網(wǎng)絡。CRC32不是一個很適合WEP的完整性校驗, 即使部分數(shù)據(jù)以及CRC32校驗碼同時被修改也無法校驗出來。但IV在一個相當短的時間內(nèi)重用，使用24位的IV并不能滿足要求。實際上，網(wǎng)絡只使用一個或幾個密鑰，也很少更換。WEP在每一個數(shù)據(jù)包中使用完整性校驗字段來保證數(shù)據(jù)在傳輸過程中不被竄改，它使用了CRC32校驗。 WEB缺陷威脅有線等效保密WEP是IEEE ，它的主要作用是為無線網(wǎng)絡上的信息提供和有線網(wǎng)絡同一等級的機密性。WLAN無線信號的覆蓋范圍一般都會超過實際需求，只要在信號覆蓋范圍內(nèi)入侵者就可以利用無線監(jiān)聽技術(shù)捕獲無線網(wǎng)絡的數(shù)據(jù)包，對網(wǎng)絡通信進行分析，從而獲取有用信息。入侵者可以通過這種協(xié)議上的缺陷對AP進行認證進行攻擊，向AP發(fā)送大量的認證請求幀，從而導致AP拒絕服務。所以，未授權(quán)實體可以從外部或內(nèi)部進入網(wǎng)絡，瀏覽存放在網(wǎng)絡上的信息；另外，也可以利用該網(wǎng)絡作為攻擊第三方的出發(fā)點，對移動終端發(fā)動攻擊。三是主動防御，主要是使用安全的拓撲結(jié)構(gòu)和利用交換機劃分VLAN，這也是限制網(wǎng)絡監(jiān)聽的有效方法，這樣的監(jiān)聽行為只能發(fā)生在一個虛擬網(wǎng)中，最大限度地降低了監(jiān)聽的危害，但需要增加硬件設備的開支，實現(xiàn)起來要花費不少的錢。幾乎所有的加密技術(shù)都將導致網(wǎng)絡的延遲，加密技術(shù)越強，網(wǎng)絡速度就越慢。對在網(wǎng)絡上傳輸?shù)男畔⑦M行加密后，監(jiān)聽器依然可以捕獲傳送的信息，但顯示的是亂碼。網(wǎng)上的信息絕大多數(shù)都是以明文的形式傳輸，容易辨認。這就要求我們養(yǎng)成良好的使用計算機的習慣，不隨意下載和使用來歷不明的軟件，及時給計算機打上補丁程序，安裝防火墻等措施，涉及到國家安全的部門還應該有防電輻射技術(shù)，干擾技術(shù)等等，防止數(shù)據(jù)被監(jiān)聽。第一種是預防，監(jiān)聽行為要想發(fā)生，一個重要的前提條件就是網(wǎng)絡內(nèi)部的一臺有漏洞的主機被攻破，只有利用被攻破的主機，才能進行監(jiān)聽，從而收集以網(wǎng)絡內(nèi)重要的數(shù)據(jù)。非監(jiān)聽模式的機器的響應時間變化量會很小，而監(jiān)聽模式的機器的響應時間變化量則通常會較大。這種檢測已被證明是最有效的。向局域網(wǎng)內(nèi)的主機發(fā)送非廣播方式的ARP 包，如果局域網(wǎng)內(nèi)的某個主機以自己的IP 地址響應了這個ARP 請求，那么就可以判斷它很可能就處于網(wǎng)絡監(jiān)聽模式了。除了使用PING 進行監(jiān)測外，還可以利用ARP 方式進行監(jiān)測的。⑤ 如果看到回應，說明數(shù)據(jù)包沒有被丟棄，也就是說，可疑主機被監(jiān)聽了。③ 向可疑主機發(fā)送一個PING 包，包含它的IP 和改動后的MAC 地址。使用 PING 方法的具體步驟及結(jié)論如下：① 假設可疑主機的IP ，MAC 地址是00E04C3A4BA5，檢測者和可疑主機位于同一網(wǎng)段。我們可以構(gòu)造一個PING 包，包含正確的IP 地址和錯誤的MAC 地址，其中IP 地址是可疑主機的IP地址，MAC 地址是偽造的，這樣如果可疑主機的網(wǎng)卡工作在正常模式，則該包將在可疑主機的以太網(wǎng)的數(shù)據(jù)鏈路層上被丟棄，TCP/IP 網(wǎng)絡層接收不到數(shù)據(jù)因而也不會有什么反應。這種檢測原理基于以太網(wǎng)的數(shù)據(jù)鏈路層和TCP/IP 網(wǎng)絡層的實現(xiàn)，是一種非常有效的測試方法。向網(wǎng)上發(fā)大量不存在的物理地址的包，而監(jiān)聽程序往往就會將這些包進行處理，這樣就會導致機器性能下降，可以用icmp echo delay 來判斷和比較它。如果某臺計算機長時間的占用了較大的帶寬，對外界的響應很慢，這臺計算機就有可能被監(jiān)聽。如果網(wǎng)絡中有人在監(jiān)聽，就會攔截每個信息包，從而導致信息包丟包率提高。網(wǎng)絡通訊掉包率是否反常地高。如果某臺電腦沒有監(jiān)聽的話，無論是信息的傳送還是電腦對信息的響應時間等方面都是正常的，如果被監(jiān)聽的話，就會出現(xiàn)異常情況。如果有不熟悉的進程，或者通過跟另外一臺機器比較，看哪些進程是有可能是監(jiān)聽進程。在本地主機上搜索所有運行的進程，就可以知道是否有人在進行網(wǎng)絡監(jiān)聽。在Linux下，有現(xiàn)成的函數(shù)，比較容易實現(xiàn)，而在Windows平臺上，并沒有現(xiàn)成的函數(shù)來實現(xiàn)這個功能，要自己編寫程序來實現(xiàn)?？梢岳靡恍┈F(xiàn)成的工具軟件來發(fā)現(xiàn)，例如：AntiSniff，ARP探測技術(shù)。也可以編寫一些程序來實現(xiàn)。 網(wǎng)絡監(jiān)聽的檢測 在本地計算機上進行檢測（1）檢查網(wǎng)卡是否處于混雜模式。如果把對網(wǎng)卡進行適當?shù)脑O置和修改，將它設置為混雜模式，在這種狀態(tài)下它就能接收網(wǎng)絡中的每一個信息包。然而，在另一方面網(wǎng)絡監(jiān)聽也給網(wǎng)絡安全帶來了極大的隱患，許多的網(wǎng)絡入侵往往都伴隨著網(wǎng)絡監(jiān)聽行為，從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件。網(wǎng)絡監(jiān)聽也叫嗅探器，其英文名是Sniff