網絡安全中的攻擊與防御

■楊艷杰

網絡安全中的攻擊與防御

■楊艷杰

當今網絡安全現狀

網絡安全從本質上講就是信息的安全，是指網絡系統的硬件、軟件以及數據受到保護，不受偶然的或者惡意的攻擊而遭到破壞、更改、泄露，系統能連續正常地運行，網絡服務不中斷。但是，隨著人類工作及生活對互聯網的依賴性增強，網絡安全所面臨的問題也越來越嚴峻，尤其是1993年Internet商用化以后，電子商務業務逐漸增多，Internet/Intranet技術日趨成熟，很多企事業單位建立了自己的內部網絡。這些內部網絡成為攻擊者入侵的目標，以竊取商業信息。近年來，隨著計算機技術的發展，網絡攻擊方法越來越多，隱蔽性越來越強，攻擊范圍越來越廣。同時，由于某些網絡本身存在一定的安全漏洞，如TCP/IP協議安全漏洞、軟件“后門”等，使得網絡安全問題日益突出。

常見的網絡攻擊手段及其防御措施

緩沖區溢出攻擊與防御

緩沖區溢出是一種較為普遍的漏洞，存在于各種操作系統和應用軟件中。緩沖區溢出攻擊是一種系統攻擊手段，它通過向系統的緩沖區寫入過多的數據，破壞系統的堆棧，使系統跳轉到攻擊者設定的代碼部分運行，獲得超級權限或達到其他攻擊目的[1]。緩沖區溢出的原因是程序沒有對用戶輸入的參數仔細檢查，造成運行錯誤。當然，這不是攻擊者的目的，攻擊者會使程序運行一個用戶shell，然后通過shell執行其他命令。如果該程序屬于root且有suid權限，那么，攻擊者就獲得一個有root權限的shell，可以對系統進行任意操作[2]。

大多數的網絡攻擊屬于緩沖區溢出攻擊，攻擊者通過這種攻擊可以獲得Internet中另一臺主機的部分或全部的控制權。防御攻擊的策略是盡可能地消除緩沖區溢出的漏洞，比如通過對系統中的數據訪問進行越界檢查，或是只允許執行在代碼空間的指令等措施來提高系統的安全性。

拒絕服務攻擊與防御

拒絕服務攻擊是指攻擊者利用TCP/IP或系統存在的漏洞使目標機器停止提供服務或資源訪問。攻擊者進行拒絕服務攻擊，實際上讓服務器實現兩種效果：一是迫使服務器的緩沖區滿，不接收新的請求；二是使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。最常見的拒絕服務攻擊方式有SYN Flood攻擊、IP欺騙DOS攻擊、UDP洪水攻擊、Ping洪流攻擊、淚滴（teardrop）攻擊、Land攻擊、Smurf攻擊、Fraggle攻擊。

對于拒絕服務攻擊的防范，一般是通過設置防火墻，對輸入和輸出的數據包都進行過濾，禁止將非法的內網包傳送到Internet上，以增強網絡的安全性。

木馬攻擊與防御

特洛伊木馬通常是Client/Server結構的程序，一般由客戶端程序和服務器端程序兩部分組成。木馬攻擊通常是攻擊者將木馬程序中的服務器端程序隱藏在合法程序中，然后安裝在目標主機上，通過客戶端程序遠程操作目標主機，從而竊取密碼、操作文件、修改注冊表等。

木馬的種類有很多種，目前較為著名的木馬有冰河、Acid Battery、Ambush等。這些木馬都有自己的通信方式和特征代碼，而這也是檢測的依據。由于大部分木馬攻擊是客戶端向服務器端發起連接，所以可以通過設置防火墻來禁止外網發向內網的連接，從而阻斷攻擊者和內部機器的通信。還有些木馬是服務器端主動向客戶端發起連接的，如“網絡神偷”，這種木馬難以檢測，需要運用殺毒軟件進行查殺。

網絡監聽攻擊與防御

網絡監聽是一種監視網絡狀態、數據流以及網絡上傳輸信息的管理工具，它是通過向網絡接口發出I/O控制命令，將其設置成監聽模式，進而截取網上傳輸的信息。網絡監聽作為一種發展比較成熟的技術，其在協助網絡管理員監測網絡傳輸數據，排除網絡故障等方面具有重要的作用。但是黑客通常利用這一技術截獲網絡傳輸的數據，比如目標主機的用戶口令。

由于運行網絡監聽的主機只是被動地接收信息，不主動與其他主機交換信息，所以網絡監聽比較隱蔽，較難被發現。比較有效的防范措施有：從邏輯或物理上對網絡分段；使用共享式集線器；數據加密。

結語

網絡安全是涉及計算機科學、通信技術、密碼技術、信息安全技術等多門學科的綜合性課題。隨著計算機技術的不斷發展，網絡攻擊的手段也層出不窮，其攻擊目的無非是使服務器無法正常工作或者控制服務器。這就要求對網絡攻擊進行深入研究，有針對性地制定防御策略以保護內網。保護內網最有效的方式之一就是防火墻，通過設置防火墻的過濾規則進行訪問控制，能有效屏蔽不安全服務，降低風險。同時還可以采取加密技術、漏洞掃描、入侵檢測、安全協議、數據備份等措施，來有效地防御網絡攻擊，降低損失。■

[1]夏尊背.網絡攻擊手段與防御策略[J].零陵學院學報,2003(9):56-58

[2]尹紅.網絡攻擊與防御技術研究[J].計算機安全,2007(8):47-52

（作者單位：山東省德州職業技術學院計算機系）

10.3969/j.issn.1671-489X.2011.11.054