計算機系統漏洞特性分析及防范措施研究

摘 要：隨著信息時代的加速發展，人類的生活已經離不開計算機，計算機作為互聯網的終端，存儲著大量的個人信息，但是由于系統存在漏洞，這些漏洞被別有用心的所利用，損害著我們的利益，那么，如何防止攻擊者對計算機的攻擊，保護系統安全，避免損失。本文通過對計算機系統漏洞的分析提出防范措施。

關鍵詞：計算機漏洞；特性分析

中圖分類號：TP309.5 文獻標識碼：A 文章編號：1674-7712 （2015） 02-0000-01

一、計算機漏洞產生原因

（一）程序邏輯結構設計不合理，不嚴謹。編程人員在設計程序時，對程序邏輯結構設計不合理，不嚴謹，因此產生一處或多處漏洞，這些漏洞為病毒的入侵提供了入口。此漏洞最典型的要數微軟的Windows2000用戶登錄的中文輸人法漏洞。非授權人員可以通過登錄界面的輸人法的幫助文件繞過Windows的用戶名和密碼驗證而取得計算機的最高權限。還有Winrar的自解壓功能，程序設計者的本意是為了方便用戶的使用，使得沒有安裝Winrar的用戶也可以解壓經過這種方式壓縮的文件。但是這種功能被黑客用到了不正當的用途上。

（二）除了程序邏輯結構設計漏洞之外，程序設計錯誤漏洞也是一個重要因素。受編程人員的能力、經驗和當時安全技術所限，在程序中難免會有不足之處，輕則影響程序效率，重則導致非授權用戶的權限提升。這種類型的漏洞最典型的是緩沖區溢出漏洞，它也是被黑客利用得最多的一種類型的漏洞。緩沖區是內存中存放數據的地方。在程序試圖將數據放到其內存中的某一個位置的時候，因為沒有足夠的空間就會發生緩沖區溢出。緩沖區溢出可以分為人為溢出和非人為溢出。人為的溢出是有一定企圖的，攻擊者寫一個超過緩沖區長度的字符串，植入到緩沖區，這時可能會出現兩種結果：一是過長的字符串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴重的可導致系統崩潰。

二、計算機漏洞的特點

（一）威脅性。系統安全漏洞是指可以用來對系統安全造成危害，系統本身具有的，或設置上存在的缺陷。系統安全漏洞是在系統具體實現和具體使用中產生的錯誤，并非系統中存在的錯誤都是安全漏洞，只有能威脅到系統安全的錯誤才是漏洞。許多錯誤在通常情況下并不會對系統安全造成危害，只有被人在某些條件下故意使用時才會影響系統安全。

（二）易被攻擊性。系統攻擊者往往是安全漏洞的發現者和使用者，要對于一個系統進行攻擊，如果不能發現和使用系統中存在的安全漏洞是不可能成功的。對于安全級別較高的系統尤其如此。系統安全漏洞與系統攻擊活動之間有緊密的關系。從某種角度上講，廣泛的攻擊存在，才使存在的漏洞必然被發現。

（三）長久性。一個系統從發布的那一天起，隨著用戶的深入使用，系統中存在的漏洞會被不斷暴露出來，這些早先被發現的漏洞也會不斷被系統供應商發布的補丁軟件修補，或在以后發布的新版系統中得以糾正。而在新版系統糾正了舊版本中具有漏洞的同時，也會引入一些新的漏洞和錯誤。因而隨著時間的推移，舊的漏洞會不斷消失，新的漏洞會不斷出現，漏洞問題也會長期存在。

三、了解利用系統漏洞進行網絡攻擊的原理并進行防范

拒絕服務攻擊原理。這種攻擊行為通過發送一定數量一定序列的報文，使網絡服務器中充斥了大量要求回復的信息，消耗網絡帶寬或系統資源，導致網絡或系統不勝負荷以至于癱瘓、停止正常的網絡服務。目的是讓目標計算機或網絡無法提供正常的服務或資源訪問，使目標系統服務停止響應甚至崩潰，而在此攻擊中并不入侵目標服務器或目標網絡設備。這是黑客最常用的攻擊手段，定期掃描、在骨干節點配置防火墻、充分利用網絡設備保護網絡資源、過濾不必要的服務和端口、限制SYN/ICMP流量等等都是常規的一些應對方法。

緩沖區溢出攻擊原理。通過往程序的緩沖區寫超出其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行其它的指令，如果這些指令是放在有root權限的內存中，那么一旦這些指令得到了運行，黑客就以root權限控制了系統，達到人侵的目的。因此，編程人員可使用語言Java以避免C語言的缺陷，產品發布前應仔細檢査程序溢出情況，使用檢査堆棧溢出的編譯器等。而普通用戶應及時為自己的操作系統和應用程序更新補丁，減少不必要的開放服務端口等。

欺騙類攻擊的原理。TCP/IP協議本身的一些缺陷可以被利用，使攻擊者可以對TCP/IP網絡進行攻擊，網絡欺騙的技術主要有：HoneyFot和分布式HoneyFot、欺騙空間技術等。主要方式有：IP欺騙；ARP欺騙；DNS欺騙；源路由欺騙等。對于解決欺騙類攻擊的方法，可采取使用加密方法、在客戶端使用arp命令綁定網關的真實MAC地址命令、直接用IP訪問重要的服務、在路由器上關閉源路由等等。

后門攻擊原理。通常網絡攻擊者在獲得一臺主機的控制權后，會在主機上建立后門，以便下一次入侵時使用。后門的種類很多，有登錄后門、服務后門、庫后門、口令破解后門等。目前，建立后門常有的方法是在主機中安裝木馬程序。所以，對付后門攻擊的方法是經常檢測系統的程序運行情況，及時發現在運行中的不明程序，并用木馬專殺工具進行査殺。

而普通用戶應養成及時下載最新系統安全漏洞補丁的安全習慣，從根源上減少黑客利用系統漏洞攻擊用戶計算機的可能，并定期做好重要資料的備份，選擇具備“網頁防木馬”功能的殺毒軟件，每天升級殺毒軟件病毒庫，定時對計算機進行病毒査殺，上網時開啟殺毒軟件全面監控，對來源不明的文件，養成先殺毒后打開的習慣。同時注意在上網過程中要加強自我保護，盡量避免訪問非法網站，以免被植入木馬或其它病毒。

計算機系統安全漏洞研究是計算機安全體系研究的基礎，充分理解計算機安全漏洞的含義和主要特點，了解系統中可能存在的漏洞隱患，從而有針對性地消除或阻止安全漏洞，使計算機安全專家更加針對性地尋找、分析、發現未知的漏洞，達到防范于未然的目的。

參考文獻：

[1]海吉（美）.網絡安全技術與解決方案（修訂版）[M].北京：人民郵電出版社，2010.

[2]譚琪.計算機網絡的安全咸脅及其防御機制研究[J].電腦知識與技術，2009（24）.