常见的网络攻击都有哪几种?
1、口令入侵
所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
2、电子邮件
电子邮件是互连网上运用得十分广泛的一种通讯方式。攻击者能使用一些邮件炸弹软件或CGI程式向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,更有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。
3、节点攻击
攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们能使用网络监听方法,尝试攻破同一网络内的其他主机;也能通过IP欺骗和主机信任关系,攻击其他主机。
4、网络监听
网络监听是主机的一种工作模式,在这种模式下,主机能接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。
5、黑客软件
利用黑客软件攻击是互连网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,他们能非法地取得用户计算机的终极用户级权利,能对其进行完全的控制,除了能进行文件操作外,同时也能进行对方桌面抓图、取得密码等操作。
6、端口扫描
所谓端口扫描,就是利用Socket编程和目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有:Connect()扫描。Fragmentation扫描。
参考资料来源:百度百科-网络攻击
网络通信环境中针对消息的攻击方式
由于网络所带来的诸多不安全因素使得网络使用者不得不采取相应的网络安全对策。为了堵塞安全漏洞和提供安全的通信服务,必须运用一定的技术来对网络进行安全建设,这已为广大网络开发商和网络用户所共识。
现今主要的网络安全技术有以下几种:
一、加密路由器(Encrypting Router)技术
加密路由器把通过路由器的内容进行加密和压缩,然后让它们通过不安全的网络进行传输,并在目的端进行解压和解密。
二、安全内核(Secured Kernel)技术
人们开始在操作系统的层次上考虑安全性,尝试把系统内核中可能引起安全性问题的部分从内核中剔除出去,从而使系统更安全。如S olaris操作系统把静态的口令放在一个隐含文件中, 使系统的安全性增强。
三、网络地址转换器(Network Address Translater)
网络地址转换器也称为地址共享器(Address Sharer)或地址映射器,初衷是为了解决IP 地址不足,现多用于网络安全。内部主机向外部主机连接时,使用同一个IP地址;相反地,外部主机要向内部主机连接时,必须通过网关映射到内部主机上。它使外部网络看不到内部网络, 从而隐藏内部网络,达到保密作用。
数据加密(Data Encryption)技术
所谓加密(Encryption)是指将一个信息(或称明文--plaintext) 经过加密钥匙(Encrypt ionkey)及加密函数转换,变成无意义的密文( ciphertext),而接收方则将此密文经过解密函数、解密钥匙(Decryti on key)还原成明文。加密技术是网络安全技术的基石。
数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的信息用于加解密,这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种。
专用密钥,又称为对称密钥或单密钥,加密时使用同一个密钥,即同一个算法。如DES和MIT的Kerberos算法。单密钥是最简单方式,通信双方必须交换彼此密钥,当需给对方发信息时,用自己的加密密钥进行加密,而在接收方收到数据后,用对方所给的密钥进行解密。这种方式在与多方通信时因为需要保存很多密钥而变得很复杂,而且密钥本身的安全就是一个问题。
DES是一种数据分组的加密算法,它将数据分成长度为6 4位的数据块,其中8位用作奇偶校验,剩余的56位作为密码的长度。第一步将原文进行置换,得到6 4位的杂乱无章的数据组;第二步将其分成均等两段 ;第三步用加密函数进行变换,并在给定的密钥参数条件下,进行多次迭代而得到加密密文。
公开密钥,又称非对称密钥,加密时使用不同的密钥,即不同的算法,有一把公用的加密密钥,有多把解密密钥,如RSA算法。
在计算机网络中,加密可分为"通信加密"(即传输过程中的数据加密)和"文件加密"(即存储数据加密)。通信加密又有节点加密、链路加密和端--端加密3种。
①节点加密,从时间坐标来讲,它在信息被传入实际通信连接点 (Physical communication link)之前进行;从OSI 7层参考模型的坐标 (逻辑空间)来讲,它在第一层、第二层之间进行; 从实施对象来讲,是对相邻两节点之间传输的数据进行加密,不过它仅对报文加密,而不对报头加密,以便于传输路由的选择。
②链路加密(Link Encryption),它在数据链路层进行,是对相邻节点之间的链路上所传输的数据进行加密,不仅对数据加密还对报头加密。
③端--端加密(End-to-End Encryption),它在第六层或第七层进行 ,是为用户之间传送数据而提供的连续的保护。在始发节点上实施加密,在中介节点以密文形式传输,最后到达目的节点时才进行解密,这对防止拷贝网络软件和软件泄漏也很有效。
在OSI参考模型中,除会话层不能实施加密外,其他各层都可以实施一定的加密措施。但通常是在最高层上加密,即应用层上的每个应用都被密码编码进行修改,因此能对每个应用起到保密的作用,从而保护在应用层上的投资。假如在下面某一层上实施加密,如TCP层上,就只能对这层起到保护作用。
值得注意的是,能否切实有效地发挥加密机制的作用,关键的问题在于密钥的管理,包括密钥的生存、分发、安装、保管、使用以及作废全过程。
(1)数字签名
公开密钥的加密机制虽提供了良好的保密性,但难以鉴别发送者, 即任何得到公开密钥的人都可以生成和发送报文。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充和篡改等问题。
数字签名一般采用不对称加密技术(如RSA),通过对整个明文进行某种变换,得到一个值,作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。当然,签名也可以采用多种方式,例如,将签名附在明文之后。数字签名普遍用于银行、电子贸易等。
数字签名不同于手写签字:数字签名随文本的变化而变化,手写签字反映某个人个性特征, 是不变的;数字签名与文本信息是不可分割的,而手写签字是附加在文本之后的,与文本信息是分离的。
(2)Kerberos系统
Kerberos系统是美国麻省理工学院为Athena工程而设计的,为分布式计算环境提供一种对用户双方进行验证的认证方法。
它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户;如是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其验证是建立在对称加密的基础上的。
Kerberos系统在分布式计算环境中得到了广泛的应用(如在Notes 中),这是因为它具有如下的特点:
①安全性高,Kerberos系统对用户的口令进行加密后作为用户的私钥,从而避免了用户的口令在网络上显示传输,使得窃听者难以在网络上取得相应的口令信息;
②透明性高,用户在使用过程中,仅在登录时要求输入口令,与平常的操作完全一样,Ker beros的存在对于合法用户来说是透明的;
③可扩展性好,Kerberos为每一个服务提供认证,确保应用的安全。
Kerberos系统和看电影的过程有些相似,不同的是只有事先在Ker beros系统中登录的客户才可以申请服务,并且Kerberos要求申请到入场券的客户就是到TGS(入场券分配服务器)去要求得到最终服务的客户。
Kerberos的认证协议过程如图二所示。
Kerberos有其优点,同时也有其缺点,主要如下:
①、Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,假设只有合法用户拥有口令字。如攻击者记录申请回答报文,就易形成代码本攻击。
②、Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,假设只有合法用户拥有口令字。如攻击者记录申请回答报文,就易形成代码本攻击。
③、AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全。在AS和TGS前应该有访问控制,以增强AS和TGS的安全。
④、随用户数增加,密钥管理较复杂。Kerberos拥有每个用户的口令字的散列值,AS与TGS 负责户间通信密钥的分配。当N个用户想同时通信时,仍需要N*(N-1)/2个密钥
( 3 )、PGP算法
PGP(Pretty Good Privacy)是作者hil Zimmermann提出的方案, 从80年代中期开始编写的。公开密钥和分组密钥在同一个系统中,公开密钥采用RSA加密算法,实施对密钥的管理;分组密钥采用了IDEA算法,实施对信息的加密。
PGP应用程序的第一个特点是它的速度快,效率高;另一个显著特点就是它的可移植性出色,它可以在多种操作平台上运行。PGP主要具有加密文件、发送和接收加密的E-mail、数字签名等。
(4)、PEM算法
保密增强邮件(Private Enhanced Mail,PEM),是美国RSA实验室基于RSA和DES算法而开发的产品,其目的是为了增强个人的隐私功能, 目前在Internet网上得到了广泛的应用,专为E-mail用户提供如下两类安全服务:
对所有报文都提供诸如:验证、完整性、防抵 赖等安全服务功能; 提供可选的安全服务功能,如保密性等。
PEM对报文的处理经过如下过程:
第一步,作规范化处理:为了使PEM与MTA(报文传输代理)兼容,按S MTP协议对报文进行规范化处理;
第二步,MIC(Message Integrity Code)计算;
第三步,把处理过的报文转化为适于SMTP系统传输的格式。
身份验证技术
身份识别(Identification)是指定用户向系统出示自己的身份证明过程。身份认证(Authertication)是系统查核用户的身份证明的过程。人们常把这两项工作统称为身份验证(或身份鉴别),是判明和确认通信双方真实身份的两个重要环节。
Web网上采用的安全技术
在Web网上实现网络安全一般有SHTTP/HTTP和SSL两种方式。
(一)、SHTTP/HTTP
SHTTP/HTTP可以采用多种方式对信息进行封装。封装的内容包括加密、签名和基于MAC 的认证。并且一个消息可以被反复封装加密。此外,SHTTP还定义了包头信息来进行密钥传输、认证传输和相似的管理功能。SHTTP可以支持多种加密协议,还为程序员提供了灵活的编程环境。
SHTTP并不依赖于特定的密钥证明系统,它目前支持RSA、带内和带外以及Kerberos密钥交换。
(二)、SSL(安全套层) 安全套接层是一种利用公开密钥技术的工业标准。SSL广泛应用于Intranet和Internet 网,其产品包括由Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客户机和服务器,以及诸如Apa che-SSL等产品。
SSL提供三种基本的安全服务,它们都使用公开密钥技术。
①信息私密,通过使用公开密钥和对称密钥技术以达到信息私密。SSL客户机和SSL服务器之间的所有业务使用在SSL握手过程中建立的密钥和算法进行加密。这样就防止了某些用户通过使用IP packet sniffer工具非法窃听。尽管packet sniffer仍能捕捉到通信的内容, 但却无法破译。 ②信息完整性,确保SSL业务全部达到目的。如果Internet成为可行的电子商业平台,应确保服务器和客户机之间的信息内容免受破坏。SSL利用机密共享和hash函数组提供信息完整性服务。③相互认证,是客户机和服务器相互识别的过程。它们的识别号用公开密钥编码,并在SSL握手时交换各自的识别号。为了验证证明持有者是其合法用户(而不是冒名用户),SSL要求证明持有者在握手时对交换数据进行数字式标识。证明持有者对包括证明的所有信息数据进行标识以说明自己是证明的合法拥有者。这样就防止了其他用户冒名使用证明。证明本身并不提供认证,只有证明和密钥一起才起作用。 ④SSL的安全性服务对终端用户来讲做到尽可能透明。一般情况下,用户只需单击桌面上的一个按钮或联接就可以与SSL的主机相连。与标准的HTTP连接申请不同,一台支持SSL的典型网络主机接受SSL连接的默认端口是443而不是80。
当客户机连接该端口时,首先初始化握手协议,以建立一个SSL对话时段。握手结束后,将对通信加密,并检查信息完整性,直到这个对话时段结束为止。每个SSL对话时段只发生一次握手。相比之下,HTTP 的每一次连接都要执行一次握手,导致通信效率降低。一次SSL握手将发生以下事件:
1.客户机和服务器交换X.509证明以便双方相互确认。这个过程中可以交换全部的证明链,也可以选择只交换一些底层的证明。证明的验证包括:检验有效日期和验证证明的签名权限。
2.客户机随机地产生一组密钥,它们用于信息加密和MAC计算。这些密钥要先通过服务器的公开密钥加密再送往服务器。总共有四个密钥分别用于服务器到客户机以及客户机到服务器的通信。
3.信息加密算法(用于加密)和hash函数(用于确保信息完整性)是综合在一起使用的。Netscape的SSL实现方案是:客户机提供自己支持的所有算法清单,服务器选择它认为最有效的密码。服务器管理者可以使用或禁止某些特定的密码。
代理服务
在 Internet 中广泛采用代理服务工作方式, 如域名系统(DNS), 同时也有许多人把代理服务看成是一种安全性能。
从技术上来讲代理服务(Proxy Service)是一种网关功能,但它的逻辑位置是在OSI 7层协议的应用层之上。
代理(Proxy)使用一个客户程序,与特定的中间结点链接,然后中间结点与期望的服务器进行实际链接。与应用网关型防火墙所不同的是,使用这类防火墙时外部网络与内部网络之间不存在直接连接,因此 ,即使防火墙产生了问题,外部网络也无法与被保护的网络连接。
防火墙技术
(1)防火墙的概念
在计算机领域,把一种能使一个网络及其资源不受网络"墙"外"火灾"影响的设备称为"防火墙"。用更专业一点的话来讲,防火墙(FireW all)就是一个或一组网络设备(计算机系统或路由器等),用来在两个或多个网络间加强访问控制,其目的是保护一个网络不受来自另一个网络的攻击。可以这样理解,相当于在网络周围挖了一条护城河,在唯一的桥上设立了安全哨所,进出的行人都要接受安全检查。
防火墙的组成可以这样表示:防火墙=过滤器+安全策略(+网关)。
(2)防火墙的实现方式
①在边界路由器上实现;
②在一台双端口主机(dual-homed host)上实现;
③在公共子网(该子网的作用相当于一台双端口主机)上实现,在此子网上可建立含有停火区结构的防火墙。
(3)防火墙的网络结构
网络的拓扑结构和防火墙的合理配置与防火墙系统的性能密切相关,防火墙一般采用如下几种结构。
①最简单的防火墙结构
这种网络结构能够达到使受保护的网络只能看到"桥头堡主机"( 进出通信必经之主机), 同时,桥头堡主机不转发任何TCP/IP通信包, 网络中的所有服务都必须有桥头堡主机的相应代理服务程序来支持。但它把整个网络的安全性能全部托付于其中的单个安全单元,而单个网络安全单元又是攻击者首选的攻击对象,防火墙一旦破坏,桥头堡主机就变成了一台没有寻径功能的路由器,系统的安全性不可靠。
②单网端防火墙结构
其中屏蔽路由器的作用在于保护堡垒主机(应用网关或代理服务) 的安全而建立起一道屏障。在这种结构中可将堡垒主机看作是信息服务器,它是内部网络对外发布信息的数据中心,但这种网络拓扑结构仍把网络的安全性大部分托付给屏蔽路由器。系统的安全性仍不十分可靠。
③增强型单网段防火墙的结构
为增强网段防火墙安全性,在内部网与子网之间增设一台屏蔽路由器,这样整个子网与内外部网络的联系就各受控于一个工作在网络级的路由器,内部网络与外部网络仍不能直接联系,只能通过相应的路由器与堡垒主机通信。
④含"停火区"的防火墙结构
针对某些安全性特殊需要, 可建立如下的防火墙网络结构。 网络的整个安全特性分担到多个安全单元, 在外停火区的子网上可联接公共信息服务器,作为内外网络进行信息交换的场所。
网络反病毒技术
由于在网络环境下,计算机病毒具有不可估量的威胁性和破坏力, 因此计算机病毒的防范也是网络安全性建设中重要的一环。网络反病毒技术也得到了相应的发展。
网络反病毒技术包括预防病毒、检测病毒和消毒等3种技术。(1) 预防病毒技术,它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术是:加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡)等。(2)检测病毒技术,它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。(3)消毒技术,它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。
网络反病毒技术的实施对象包括文件型病毒、引导型病毒和网络病毒。
网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。
随着网上应用不断发展,网络技术不断应用,网络不安全因素将会不断产生,但互为依存的,网络安全技术也会迅速的发展,新的安全技术将会层出不穷,最终Internet网上的安全问题将不会阻挡我们前进的步伐!
如何预防与应对网络攻击
一、部署适配的安全设备
企业根据自身的安全状况,部署相应的网络安全设备。运维遇到问题,可以考虑部署堡垒机;定期自动化漏洞检测,可以考虑部署漏洞扫描系统;进一步加强Web应用防护,可以考虑部署Web应用防火墙。
网络安全设备并不是越多越好,应依据实际需求来进行采购,如果不懂得合理利用和维护,安全产品再多也是徒劳。
二、随时对IT资产进行备份
网络攻击猝不及防,往往给企业的重要资产和信息带来重大打击,当IT资产在遇到网络安全问题时,平时应保持将重要资产进行备份的习惯,并且做到异地备份,保证数据的完整性。
三、制定相关网络安全机制和政策
企业内部应制定相关的网络安全机制,网络安全问题不可忽视,它将涉及到企业的业务发展。往往人们容易忽视的东西,更容易出错;在网络安全建设中,网络安全管理制度也是必不可少,它能够对内部人员进行约束,当问题来临时能有条不紊。
四、就网络攻击响应场景进行演习
任何的突发事件,没有人能够预料到,但如果对其可能发生的情况提前进行一次预演,当突发安全事件来临时,应急预案可以时刻做好准备。网络安全法中对应急预案也提出了相关要求,具体请参考网络安全法。
五、加强员工网络安全意识
尽管企业管理者有足够的网络安全意识,员工也同样需要加强。信息泄露、数据丢失等情况时有发生,而此类情况大多都是内部员工网络安全意识缺乏引起。钓鱼邮件、使用弱口令、保存数据不当等操作都容易引来网络安全问题。因此应做好定期的宣贯,对员工使用操作不当等行为进行培训。
六、定期对IT资产进行安全检测
网络攻击的有效防范,少不了定期的安全检测工作。对IT资产定期体检,能及时发现问题所在,并在短时间内处理,以防后患。而安全检测的手段有很多,比如:漏洞扫描、渗透测试、代码审计等,企业可根据自身需求和预算进行选择。
网络安全技术
计算机网络攻击的常见手法
互联网发展至今,除了它表面的繁荣外,也出现了一些
不良现象,其中黑客攻击是最令广大网民头痛的事情,它是
计算机网络安全的主要威胁。只有了解这些攻击方式,才能
大大降低受到攻击的可能性,下面着重分析行网络攻击的几
种常见手法,
(一)利用网络系统漏洞进行攻击
许多网络系统都存在着这样那样的漏洞,这些漏洞有可
能是系统本身所有的,如
WindowsNT
、
UNIX
等都有数量不等
的漏洞,也有可能是由于网管的疏忽而造成的。黑客利用这
些漏洞就能完成密码探测、系统入侵等攻击。
对于系统本身的漏洞,可以安装软件补丁;另外网管也
需要仔细工作,尽量避免因疏忽而使他人有机可乘。
(二)通过电子邮件进行攻击
电子邮件是互联网上运用得十分广泛的一种通讯方式。
黑客可以使用一些邮件炸弹软件或
CGI
程序向目的邮箱发送
大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而
无法使用。当垃圾邮件的发送流量特别大时,还有可能造成
邮件系统对于正常的工作反映缓慢,甚至瘫痪,这一点和后
面要讲到的“拒绝服务攻击(
DDoS
)比较相似。
对于遭受此类攻击的邮箱,可以使用一些垃圾邮件清除
软件来解决,其中常见的有
SpamEater
、
Spamkiller
等,
Outlook
等收信软件同样也能达到此目的。
(三)解密攻击
在互联网上,使用密码是最常见并且最重要的安全保护
方法,用户时时刻刻都需要输入密码进行身份校验。而现在
的密码保护手段大都认密码不认人,只要有密码,系统就会
认为你是经过授权的正常用户,因此,取得密码也是黑客进
行攻击的一重要手法。
取得密码也还有好几种方法,一种是对网络上的数据进
行监听。因为系统在进行密码校验时,用户输入的密码需要
从用户端传送到服务器端,而黑客就能在两端之间进行数据
监听。
但一般系统在传送密码时都进行了加密处理,即黑客所
得到的数据中不会存在明文的密码,这给黑客进行破解又提
了一道难题。这种手法一般运用于局域网,一旦成功攻击者
将会得到很大的操作权益。
另一种解密方法就是使用穷举法对已知用户名的密码
进行暴力解密。这种解密软件对尝试所有可能字符所组成的
密码,但这项工作十分地费时,不过如果用户的密码设臵得
比较简单,如“
12345
”、“
ABC
”等那有可能只需一眨眼的
功夫就可搞定。
为了防止受到这种攻击的危害,用户在进行密码设臵时
一定要将其设臵得复杂,也可使用多层密码,或者变换思路
使用中文密码,并且不要以自己的生日和电话甚至用户名作
为密码,因为一些密码破解软件可以让破解者输入与被破解
用户相关的信息,如生日等,然后对这些数据构成的密码进
行优先尝试。另外应该经常更换密码,这样使其被破解的可
能性又下降了不少。
(四)后门软件攻击
后门软件攻击是互联网上比较多的一种攻击手法。
Back
Orifice2000
、冰河等都是比较著名的特洛伊木马,它们可
以非法地取得用户电脑的超级用户级权利,可以对其进行完
全的控制,除了可以进行文件操作外,同时也可以进行对方
桌面抓图、取得密码等操作。
这些后门软件分为服务器端和用户端,当黑客进行攻击
时,会使用用户端程序登陆上已安装好服务器端程序的电
脑,这些服务器端程序都比较小,一般会随附带于某些软件
上。有可能当用户下载了一个小游戏并运行时,后门软件的
服务器端就安装完成了,而且大部分后门软件的重生能力比
较强,给用户进行清除造成一定的麻烦。
当在网上下载数据时,一定要在其运行之前进行病毒扫
描,并使用一定的反编译软件,查看来源数据是否有其他可
疑的应用程序,从而杜绝这些后门软件。
(五)拒绝服务攻击
互联网上许多大网站都遭受过此类攻击。实施拒绝服务
攻击(
DDoS
)的难度比较小,但它的破坏性却很大。它的具
体手法就是向目的服务器发送大量的数据包,几乎占取该服
务器所有的网络宽带,从而使其无法对正常的服务请求进行
处理,而导致网站无法进入、网站响应速度大大降低或服务
器瘫痪。
现在常见的蠕虫病毒或与其同类的病毒都可以对服务
器进行拒绝服务攻击的进攻。它们的繁殖能力极强,一般通
过
Microsoft
的
Outlook
软件向众多邮箱发出带有病毒的邮
件,而使邮件服务器无法承担如此庞大的数据处理量而瘫
痪。
对于个人上网用户而言,也有可能遭到大量数据包的攻
击使其无法进行正常的网络操作,所以大家在上网时一定要
安装好防火墙软件,同时也可以安装一些可以隐藏
IP
地址
的程序,这样才能大大降低受到攻击的可能性。
攻击步骤
第一步:隐藏己方位置
普通攻击者都会利用别人的计算机隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP,然后再盗用他人的帐号上网。
第二步:寻找并分析
攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和 IP地址就能顺利地找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的操作系统类型及其所提供服务等资料作个全方面的了解。此时,攻击者们会使用一些扫描器工具,轻松获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些帐户,WWW、FTP、Telnet 、SMTP等服务器程式是何种版本等资料,为入侵作好充分的准备。
第三步:帐号和密码
攻击者要想入侵一台主机,首先要该获取主机的一个帐号和密码,否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件,进行破解,从中获取某用户的帐户和口令,再寻觅合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。
第四步:获得控制权
攻击者们用FTP、Telnet等工具利用系统漏洞进入进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程式,以便日后能不被觉察地再次进入系统。大多数后门程式是预先编译好的,只需要想办法修改时间和权限就能使用了,甚至新文件的大小都和原文件一模相同。攻击者一般会使用rep传递这些文件,以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。
第五步:资源和特权
攻击者找到攻击目标后,会继续下一步的攻击,窃取网络资源和特权。如:下载敏感信息;实施窃取帐号密码、信用卡号等经济偷窃;使网络瘫痪。
8应对策略
在对网络攻击进行上述分析和识别的基础上,我们应当认真制定有针对性的策略。明确安全对象,设置强有力的安全保障体系。有的放矢,在网络中层层设防,发挥网络的每层作用,使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪,预防为主 ,将重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网络安全问题,提出的几点建议
提高安全意识
(1)不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程式,比如“特洛伊”类黑客程式就需要骗你运行。 中国.网管联盟
(2)尽量避免从Internet下载不知名的软件、游戏程式。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。
(3)密码设置尽可能使用字母数字混排,单纯的英文或数字非常容易穷举。将常用的密码设置不同,防止被人查出一个,连带到重要密码。重要密码最佳经常更换。
(4)及时下载安装系统补丁程式。
(5)不随便运行黑客程式,不少这类程式运行时会发出你的个人信息。
(6)在支持HTML的BBS上,如发现提交警告,先看原始码,非常可能是骗取密码的陷阱。
防火墙软件
使用防毒、防黑等防火墙软件。防火墙是个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监视系统来隔离内部和外部网络,以阻档外部网络的侵入。
代理服务器
设置代理服务器,隐藏自已IP地址。保护自己的IP地址是非常重要的。事实上,即便你的机器上被安装了木马程式,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最佳方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,他主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后他根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,他就向内部网络转发这项请求。
其他策略
将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以完全防毒;
由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒;
对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
网络安全与防范措施
网络安全与防范措施【1】
摘要:随着计算机网络技术的快速发展,网络安全日益成为人们关注的焦点。
越来越多的计算机用户足不出户就可访问到全球网络系统丰富的信息资源,经济、文化、军事和社会活动也强烈依赖于网络,一个网络化的社会已呈现在我们面前。
随着网络应用的不断增多,网络安全问题也越来越突出。
由于计算机网络联接形式的多样性、终端分布的不均匀性、网络的开放性和网络资源的共享性等因素,致使计算机网络容易遭受病毒、黑客、恶意软件和其它不轨行为的攻击。
为确保信息的安全与畅通,研究网络的安全与防范措施已迫在眉捷。
本文分析了影响网络安全的主要因素及攻击的主要方式,从管理和技术两方面就加强计算机网络安全提出了针对性的对策。
关键词:网络安全;防范;隐患;措施
引言
随着计算机技术的突飞猛进,计算机网络的新月异,网络已经深入到我们生活的各个角落。
计算机网络在扮演着越来越重要的角色。
然而,在我们每天通过互联网络与朋友通信,和同行交流,通过互联网了解新闻获取信息的同时,我们对这个网络究竟了解多少,我们是否能意识到给我们生活、工作带来快捷、便利的网络所潜伏的不安全因素。
1计算机网络安全的概念
计算机网络安全的具体定义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。
例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被偷听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的 自然 灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题 ,也有管理方面的问题,两方面相互补充,缺一不可。
人为的网络入侵和攻击行为使得网络安全面临新的挑战。
2、计算机网络安全的隐患及攻击形式
2.1计算机网络硬件安全隐患
计算机网络硬件设施是互联网中必不可少的部分,硬件设施本身就有着安全隐患。
电子辐射泄露就是其主要的安全隐患问题,也就是说计算机和网络所包含的电磁信息泄露了,这增加了窃密、失密、泄密的危险;此外安全隐患问题也体现在通信部分的脆弱性上,在进行数据与信息的交换和通信活动时,主要通过四种线路,即光缆、电话线、专线、微波,除光缆外其它三种线路上的信息比较容易被窃取;除上述方面外,计算机的操作系统与硬件组成的脆弱性,也给系统的滥用埋下了隐患。
?另外,移动存储介质。
移动存储介质比如U盘、移动硬盘等,由于其自身具有方便小巧、存储量大、通用性强、易携带等特点,应用比较广泛,尤其是涉密单位,这给网络系统的信息安全造成很大的隐患。
2.2计算机软件漏洞
黑客通过精心构造的恶意代码,攻击某些网站并上传恶意代码到被攻击网站的服务器。
用户访问被攻击的网站时,可能导致用户隐私信息泄露。
无论多强大的软件在设计之初都难免存在缺陷或漏洞,操作系统软件也不例外。
系统主机之间互异的操作系统具有相对的独立性,同样性质的漏洞,也会由于操作系统软件设计开发过程的不同,而具有不一样的表现形式。
攻击者可以很“方便”的通过漏洞对计算机系统进行破坏,造成主机瘫痪、重要资料丢失等,严重影响系统的正常运行。
2.3黑客攻击和计算机病毒攻击
这是一种最严重的网络安全威胁。
攻击者通过各种方式寻找系统脆弱点或系统漏洞,由于网络系统同构冗余环境的弱点是相同的,多个系统同时故障的概率虽小,但被攻破可能性却大,通过拦截、窃取等多种方式,向系统实施攻击,破坏系统重要数据,甚至系统瘫痪,给网络安全带来严重威胁。
网络病毒发病和传播速度极快,而许多计算机用户由于各种各样的原因,没有安装杀毒软件或不能及时更新杀毒软件病毒库,造成网络病毒泛滥,病毒程序轻者降低系统工作效率,重者导致系统崩溃、数据丢失,造成无可挽回的损失,不仅严重地危害到了用户计算机安全,而且极大的消耗了网络资源,造成网络拥塞,给每一个用户都带来极大的不便。
2.4网络自身的安全缺陷
网络是一个开放的环境,TCP/IP是一个通用的协议,即通过IP地址作为网络节点的唯一标识,基于IP地址进行多用户的认证和授权,并根据IP包中源IP地址判断数据的真实和安全性,但该协议的最大缺点就是缺乏对IP地址的保护,缺乏对源IP地址真实性的认证机制,这就是TCP/IP协议不安全的根本所在。
通过TCP/IP协议缺陷进行的常见攻击有:源地址欺骗、IP欺骗、源路由选择欺骗、路由选择信息协议攻击、SYN攻击等等。
3.网络安全的防范措施
3.1防火墙技术
防火墙是网络安全的屏障,配置防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。
防火墙是指一个由软件或和硬件设备组合而成,处于企业或网络群体计算机与外界通道之间,限制外界用户对内部网络访问及管理内部用户访问外界网络的权限。
当一个网络接上Inter net之后,系统的安全除了考虑计算机病毒、系统的健壮性之外,更主要的是防止非法用户的入侵,而目前防止的措施主要是靠防火墙技术完成。
3.2数据加密技术
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。
数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。
数据加密技术按作用不同可分为数据存储,数据传输、数据完整性的鉴别,以及密钥的管理技术。
数据存储加密技术是防止在存储环节上的数据丢失为目的,可分为密文存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密。
数据完整性鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
3.3防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。
在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。
单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。
网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
病毒主要由数据破坏和删除、后门攻击、拒绝服务、垃圾邮件传播几种方式的对网络进行传播和破坏,照成线路堵塞和数据丢失损毁。
那么建立统一的整体网络病毒防范体系是对计算机网络整体有效防护的解决办法。
3.4服务器访问控制策略
服务器和路由器这样的网络基础设备,避免非法入侵的有效方法是去掉不必要的网络访问,在所需要的网络访问周围建立访问控制。
另外对用户和账户进行必要的权限设置。
一是要限制数据库管理员用户的数量和给用户授予其所需要的最小权限。
二是取消默认账户不需要的权限选择合适的账户连接到数据库。
3.5建立更安全的电子邮件系统
目前有些优秀的电子邮件安全系统具有强大的高准确率和低误报率,独特的策略模块可以帮助用户轻松地实现邮件系统的管理与维护,有的电子邮件系统判别垃圾邮件的准确率接近百分之百。
各用户要多方分析、比较,选择优秀的电子邮件安全系统保证网络的邮件系统安全,以改变邮件系统存在垃圾邮件、邮件病毒、邮件泄密等安全隐患的现状。
3.6提高网络工作人员的素质,强化网络安全责任
为了强化网络安全的责任,还有一项重要任务――提高网络工作人员的管理素质。
要结合数据、软件、硬件等网络系统各方面对工作人员进行安全教育,提高责任心,并通过相关业务技术培训,提高工作人员的操作技能,网络系统的安全管理要加以重视,避免人为事故的发生。
由于网络研究在我国起步较晚,因此网络安全技术还有待提高和发展。
此外,为了保障网络能够安全运行,我们还应该制定完善的管理措施,建立严格的管理制度,完善法规、法律,提高人们对网络安全的认识,加大对计算机犯罪的法律制裁。
4.结束语
计算机网络的安全性越来越受到重视,网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了计算机网络不能仅仅依靠防火墙,而涉及到管理和技术等方方面面。
总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。
我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。
世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术与管理手段结合在一起,才能生成一个高效、通用、安全的计算机网络系统。
网络安全与防范措施【2】
[摘要]随着计算机网络的普及,我们对网络的依赖程度越来越高。
网络的开放性使得网络信息的安全受到前所未有的威胁。
我们必须积极采取各种有效的防范措施以确保重要信息不受损失。
本文主要从分析计算机网络安全隐患入手来探究其防范措施。
[关键词]计算机网络;网络安全;防范措施;防火墙
随着高新科技的发展,信息技术已渗透各个领域,对行业现代化建设发挥越来越重要的作用。
特别是信息技术在生活中的广泛渗透和发展,不但改变了传统的生活模式、办公方式、管理方式。
信息化已作为社会发展的核心内容,成为促进社会发展的助推器。
然而,随着信息网规模的逐渐扩大和系统应用的不断深入。
各种网络安全问题也随之而来。
例如系统不稳定、网速缓慢或瘫痪:访问登录失败、设备和信息安全事故、黑客和计算机病毒入侵等故障,严重影响,网络的正常使用,成为阻碍网络进一步深化和发展的瓶颈。
因此,研究网络安全防范技术具有十分重要的意义。
1计算机网络安全的概念
网络安全从本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护,免受破坏、更改和泄露,系统可靠正常地运行,网络服务小中断;从用户的角度来看,他们希望涉及个人和商业的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人利用偷听,篡改、抵赖等于段对自己的利益和隐私造成损害和侵犯;从网络运营商和管理者的角度来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源的非法占用和黑客的攻击。
计算机安全主要是为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的元凶而遭到破坏,更改和泄漏。
从本质上来讲,网络安全包括组成网络系统的硬件,软件及其住网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏。
网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
2网络安全的隐患
对计算机信息构成不安全的因素很多,其中包括人为的因素、自然的因素和偶发的因素。
其中,人为因素是指一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。
人为因素是对计算机信息网络安全威胁最大的因素。
计算机网络不安全因素主要表现在以下几个方面:
2.1计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。
在使用互联网时应注意以下几项不可靠的安全性。
2.1.1网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。
或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
2.1.2网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
2.1.3网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由的`上网,发布和获取各类信息。
2.2操作系统存在的安全问题
操作系统是一个支撑软件,是计算机程序或别的运用系统在上面正常运行的一个环境。
操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。
操作系统软件自身的不可靠安全性,是计算机系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
2.2.1操作系统结构体系的缺陷。
操作系统本身有内存管理、CPU管理、外设的管理,每个管理都涉及一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。
所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
2.2.2操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。
网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统就可能会造成崩溃。
像这些远程调用、文件传输,如果生产厂家或个人在上面安装间谍程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。
所以,建议尽量少使用一些来历不明,或者无法证明它安全性的软件。
2.2.3操作系统有守护进程的防护功能,它是系统的一些进程,总是在等待某些事件的出现。
所谓的守护进程,就是监控病毒的监控软件,当有病毒出现就会被捕捉。
但是有些进程是一些病毒,碰到特定的情况就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时可能不起作用,可是在某些条件下发生后,就会发生作用。
如果操作系统守护进程被人为地破坏掉就会出现这种不良的安全隐患。
3网络安全的防患措施
上面已经分析了网络安全所存在的一系列隐患,其中包括网络本身所具有的脆弱性和一些管理上的失当等原因。
而作为计算机用户,应该积极地采取有效的措施进行防患,以避免严重后果发生的可能性。
网络安全采用的主要防范措施如下:
3.1提高安全意识,加大安全管理力度
(1)配备专业的安全管理人员。
安全管理要有专人负责,同时还要有技术人员去落实。
(2)控制对网络的访问和使用。
控制用户对网络的访问和使用的目的是保证网络资源不被非法使用和非法访问。
(3)增强防病毒意识。
查、杀病毒是确保网络系统安全的必不可少的重要手段。
(4)及时做好数据备份工作,确保网络信息的安全。
3.2及时修补“漏洞”
网络软件不可能无缺陷、无漏洞,这些漏洞和缺陷正是黑客攻击的首选目标。
3.3利用网络安全技术
3.3.1防火墙技术
目前保护网络安全最主要的手段之一就是构筑防火墙。
防火墙是一种形象的说法,其实它是一种计算机硬件和软件相结合的技术,是在受保护网与外部网之间构造一个保护层,把攻击者挡在受保护网的外面。
这种技术强制所有出入内外网的数据流都必须经过此安全系统。
它通过监测、限制或更改跨越防火墙的数据流,尽可能地对外部网络屏蔽有关受保护网络的信息和结构来实现对网络的安全保护。
因而防火墙可以被认为是一种访问控制机制,用来在不安全的公共网络环境下实现局部网络的安全性。
3.3.2身份认证
身份认证是任何一个安全的计算机所必需的组成部分。
身份认证必须做到准确无误地将对方辨认出来,同时还应该提供双向的认证,即互相证明自己的身份,网络环境下的身份认证比较复杂,因为验证身份的双方都是通过网络而不是直接接触,传统的指纹手段等已无法使用,所以目前通常采用的是基于对称密钥加密或公开密钥加密的方法,以及采用高科技手段的密码技术进行身份验证。
3.3.3访问控制
访问控制也叫接入控制,阻止非授权用户进入网络,防止任何对计算机资源和通信资源的非授权访问。
即根据用户的身份赋予其相应的权限,也就是说按事先确定的规则决定主体对客体的访问是否合法。
访问控制主要通过注册口令、用户分组控制、文件权限控制三个层次来实现。
3.3.4基于密码论的技术
密码技术是集数学、计算机科学、电子与通信等诸多学科于一体的交叉学科,是保护信息安全的主要手段之一,它不仅具有保证信息机密性的信息加密功能,而且具有数字签名、身份验证、秘密分存、系统安全等功能。
(1)密钥技术。
密钥技术的任务是在一个密码系统中控制密钥的选择和分配。
密钥是一段数字信息,它与加密算法相互作用,以控制信息的加密。
(2)数字签名。
数字签名是一种用于鉴别的重要技术。
数字签名是一个数,它依赖于消息的所有位以及一个保密密钥。
它的正确性可以用一个公开密钥来检验。
数字签名可以用于鉴别服务,也可以用于完整性服务和无拒绝服务。
当数字签名用于无拒绝服务时,它是和公证一起使用的。
公证是通过可信任的第三方来验证消息的。
(3)验证技术。
验证技术可分为基于共享密钥的认证和基于公钥的认证。
前者实际上是执行一种查询―问答协议,发送方发送一个随机数给接收方,接收方解密后以一种特殊形式转换它并传回结果,从而实现认证。
该协议的关键是如何建立共享密钥。
3.3.5反病毒软件
即使有防火墙、身份认证和加密措施,人们仍担心遭到病毒和黑客的攻击。
随着计算机网络的发展,携带病毒和黑客程序的数据包和电子邮件越来越多,打开或运行这些文件,计算机就有可能感染病毒。
假如安装有反病毒软件,就可以预防、检测一些病毒和黑客程序。
总之,网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。
网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。
我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强网络立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。
此外,由于网络病毒、网络犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的网络犯罪和网络病毒等问题,确保网络安全。
参考文献:
[1]白斌.防火墙在网络安全中的应用[J].科技创新导报,2007(35).
[2]彭,高.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011(01).
[3]陈爱梅.基于防火墙技术的网络安全的研究[J].科协论坛(下半月),2008(05).
[4]郭勇.计算机网络安全浅析[J].科技广场,2009(09).
0条大神的评论