常見(jiàn)網(wǎng)絡(luò)攻擊手段及安全策略

摘要：本文詳細(xì)描述了常見(jiàn)的網(wǎng)絡(luò)攻擊手段和攻擊原理，針對(duì)這些攻擊手段設(shè)置網(wǎng)絡(luò)安全防護(hù)策略。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；安全策略

1 引言

隨著Internet的發(fā)展，高信息技術(shù)像一把雙刃劍，帶給我們無(wú)限益處的同時(shí)也帶給網(wǎng)絡(luò)更大的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全已成為重中之重，攻擊者無(wú)處不在。因此網(wǎng)絡(luò)管理人員應(yīng)該對(duì)攻擊手段有一個(gè)全面深刻的認(rèn)識(shí)，制訂完善安全防護(hù)策略。

2 常見(jiàn)網(wǎng)絡(luò)攻擊的原理和手段

2.1 口令入侵

所謂口令入侵是指使用某些合法用戶(hù)的賬號(hào)和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動(dòng)。獲得用戶(hù)賬號(hào)的方法很多，如利用目標(biāo)主機(jī)的Finger功能、X.500服務(wù)、從電子郵件地址中收集、查看習(xí)慣性賬號(hào)。獲取用戶(hù)的賬號(hào)后，利用一些專(zhuān)門(mén)軟件強(qiáng)行破解用戶(hù)口令。

2.2 放置特洛伊木馬程序 [1]

特洛伊木馬程序可以直接侵入用戶(hù)的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶(hù)打開(kāi)或下載，一旦用戶(hù)打開(kāi)或者執(zhí)行了這些程序，它們就會(huì)像古特洛伊人在敵人城外留下的藏滿(mǎn)士兵的木馬一樣留在自己的電腦中，并在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在windows啟動(dòng)時(shí)悄悄執(zhí)行的程序。當(dāng)你連接到因特網(wǎng)上時(shí)，這個(gè)程序就會(huì)通知攻擊者，來(lái)報(bào)告你的IP地址以及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用預(yù)先潛伏的程序，就可以任意地修改你的計(jì)算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你整個(gè)硬盤(pán)中的內(nèi)容等，從而達(dá)到控制你的計(jì)算機(jī)的目的。

2.4 電子郵件攻擊

電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。攻擊者使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量?jī)?nèi)容重復(fù)、無(wú)用的垃圾郵件，從而使目的郵箱被撐爆而無(wú)法使用。攻擊者還可以佯裝系統(tǒng)管理員，給用戶(hù)發(fā)送郵件要求用戶(hù)修改口令或在貌似正常的附件中加載病毒或其他木馬程序。

2.5 網(wǎng)絡(luò)監(jiān)聽(tīng) [2]

網(wǎng)絡(luò)監(jiān)聽(tīng)是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接收方是誰(shuí)。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)，用戶(hù)輸入的密碼需要從用戶(hù)端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽(tīng)。此時(shí)若兩臺(tái)主機(jī)進(jìn)行通信的信息沒(méi)有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽(tīng)工具(如NetXRay for Windows95／98／NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和賬號(hào)在內(nèi)的信息資料。

2.6 安全漏洞攻擊[2]

許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。如緩沖區(qū)溢出攻擊。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況，就任意接受任意長(zhǎng)度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里，系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令，系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準(zhǔn)備用作攻擊的字符，他甚至可以訪問(wèn)根目錄，從而擁有對(duì)整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。

3 網(wǎng)絡(luò)攻擊應(yīng)對(duì)策略

在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行上述分析與識(shí)別的基礎(chǔ)上，認(rèn)真制定有針對(duì)性的策略。明確安全對(duì)象，設(shè)置強(qiáng)有力的安全保障體系。同時(shí)還必須做到未雨綢繆，預(yù)防為主，將重要的數(shù)據(jù)備份并時(shí)刻注意系統(tǒng)運(yùn)行狀況。

3.1 利用安全防范技術(shù)

正因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題，復(fù)雜多樣，所以出現(xiàn)了一些技術(shù)來(lái)幫助管理員來(lái)加強(qiáng)網(wǎng)絡(luò)安全。其中主要分為，加密技術(shù)，身份認(rèn)證技術(shù)，防火墻技術(shù)等等。管理員可以利用這些技術(shù)組合使用來(lái)保證網(wǎng)絡(luò)主機(jī)的安全。

3.1.1 加密技術(shù)

加密技術(shù)主要分為公開(kāi)算法和私有算法兩種，私有算法是運(yùn)用起來(lái)是比較簡(jiǎn)單和運(yùn)算速度比較快的，但缺點(diǎn)是一旦被解密者追蹤到算法，那么算法就徹底廢了。公開(kāi)算法的算法是公開(kāi)的，有的是不可逆，有用公鑰，私鑰的。優(yōu)點(diǎn)是非常難破解，可廣泛用于各種應(yīng)用。缺點(diǎn)是運(yùn)算速度較慢。使用時(shí)很不方便。

3.1.2 身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)在電子商務(wù)應(yīng)用中是極為重要的核心安全技術(shù)之一，主要在數(shù)字簽名是用公鑰私鑰的方式保證文件是由使用者發(fā)出的和保證數(shù)據(jù)的安全。在網(wǎng)絡(luò)應(yīng)用中有第三方認(rèn)證技術(shù)Kerberos，它可以使用戶(hù)使用的密碼在網(wǎng)絡(luò)傳送中，每次均不一樣，可以有效的保證數(shù)據(jù)安全和方便用戶(hù)在網(wǎng)絡(luò)登入其它機(jī)器的過(guò)程中不需要重復(fù)輸入密碼。

3.1.3 防火墻 [3]

防火墻技術(shù)是比較重要的一個(gè)橋梁，以用來(lái)過(guò)濾內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)環(huán)境，在網(wǎng)絡(luò)安全方面，它的核心技術(shù)就是包過(guò)濾，高級(jí)防火墻還具有地址轉(zhuǎn)換，虛擬私網(wǎng)等功能。

3.2 制訂安全策略

系統(tǒng)管理員應(yīng)提高認(rèn)識(shí)，并分析做出解決辦法和提出具體防范方法。更應(yīng)該在保證好機(jī)器設(shè)備正常運(yùn)轉(zhuǎn)的同時(shí)，積極研究各種安全問(wèn)題，制訂安全策略。雖然沒(méi)有絕對(duì)的把握阻止任何侵入，但是一個(gè)好的安全策略可以最少的機(jī)會(huì)發(fā)生入侵情況，即使發(fā)生了也可以最快的做出正確反應(yīng)，最大程度減少經(jīng)濟(jì)損失。

3.2.1 提高安全意識(shí)

(1)不隨意打開(kāi)來(lái)歷不明的電子郵件及文件，不隨意運(yùn)行不明程序。

(2)盡量避免從Internet下載不明軟件。一旦下載軟件及時(shí)用最新的病毒和木馬查殺軟件進(jìn)行掃描。

(3)密碼設(shè)置盡可能使用字母數(shù)字混排，不容易窮舉。重要密碼最好經(jīng)常更換。

(4)及時(shí)下載安裝系統(tǒng)補(bǔ)丁程序。

3.2.2 使用防毒、防黑等防火墻

防火墻是用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱(chēng)之為控制進(jìn)/出兩個(gè)方向通信的門(mén)檻。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。

3.2.3 設(shè)置代理服務(wù)器，隱藏自己的IP地址。

事實(shí)上，即便你的機(jī)器上被安裝了木馬程序，若沒(méi)有你的IP地址，攻擊者也是沒(méi)有辦法的，而保護(hù)IP地址的最好方法就是設(shè)置代理服務(wù)器。代理服務(wù)器能起到外部網(wǎng)絡(luò)申請(qǐng)?jiān)L問(wèn)內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)某種網(wǎng)絡(luò)服務(wù)時(shí)，代理服務(wù)器接受申請(qǐng)，然后它根據(jù)其服務(wù)類(lèi)型、服務(wù)內(nèi)容、被服務(wù)的對(duì)象、服務(wù)者申請(qǐng)的時(shí)間、申請(qǐng)者的域名范圍等來(lái)決定是否接受此項(xiàng)服務(wù)。

3.2.4 將防毒、防黑當(dāng)成日常例性工作，定時(shí)更新防毒組件，將防毒軟件保持在常駐狀態(tài)，以徹底防毒。

3.2.5 對(duì)于重要的資料做好嚴(yán)密的保護(hù)，并養(yǎng)成資料備份的習(xí)慣。

4 結(jié)束語(yǔ)

沒(méi)有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，安全問(wèn)題是多種多樣，且隨著時(shí)間技術(shù)的變化而變化，所以安全防護(hù)也是非常重要的，保持清醒正確的認(rèn)識(shí)，同時(shí)掌握最新的安全問(wèn)題情況，再加上完善有效的安全策略，是可以阻止大部分安全事件的發(fā)生，保持最小程度的損失。

參考文獻(xiàn)：

[1]耿杰，方風(fēng)波.計(jì)算機(jī)網(wǎng)絡(luò)安全與實(shí)訓(xùn)[M].北京:科學(xué)出版社出版，2006，155-158.

[2]劉遠(yuǎn)生，等.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社出版，2006.229-244.

[3]姜文紅.網(wǎng)絡(luò)安全與管理[M].北京:清華大學(xué)出版社出版，2007.100-113.

收稿日期：2008-01-06

作者簡(jiǎn)介：郭正紅（1977-），女，河北懷來(lái)人，河北北方學(xué)院信息中心助教，學(xué)士。