王永健

[摘要]在信息時代，信息安全問題越來越重要，而現(xiàn)在大部分信息都是通過互聯(lián)網(wǎng)來傳播的，因此互聯(lián)網(wǎng)安全就顯得尤為重要。對常見的網(wǎng)絡(luò)攻擊行為以及安全防御系統(tǒng)的實現(xiàn)進行探討。

[關(guān)鍵詞]網(wǎng)絡(luò)攻擊 安全防御 黑客

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0510066－01

一、常見的網(wǎng)絡(luò)攻擊行為

（一）利用惡意軟件

1．邏輯炸彈。它是一種程序，在特定的條件下（通常是由于漏洞）會對目標系統(tǒng)產(chǎn)生破壞作。2．后門。它是一種程序，允許黑客遠程執(zhí)行任意命令。3．蠕蟲。它是一種獨立的程序，可以直接破壞數(shù)據(jù)，或者因消耗系統(tǒng)資源而減低系統(tǒng)性能，甚至使整個網(wǎng)絡(luò)癱瘓。4．病毒。它是一種程序或代碼（但并不是獨立的程序），能夠在當前的應(yīng)用中自我復(fù)制，并且可以附著在其他程序上。5．特洛伊木馬。特洛伊木馬往往能夠執(zhí)行某種有用的功能，而這種看似有用的功能卻能夠隱藏在其中的非法程序。當合法用戶使用這樣合法的功能時，特洛伊木馬也同時執(zhí)行了非授權(quán)的功能，而且通常篡奪了用戶權(quán)限。

（二）利用電腦脆弱性

1．訪問權(quán)限。黑客利用系統(tǒng)文件的讀/寫等訪問控制權(quán)限配置不當造成的弱點，獲取系統(tǒng)的訪問權(quán)。2．蠻力攻擊。黑客通過多次嘗試主機上默認或安全性極弱的登錄/口令，試登錄到某個帳號。還有一種形式是采用口令破解程序，對用戶加密后的口令文件進行破解。3．緩沖區(qū)溢出。一種形式的緩沖區(qū)溢出攻擊是黑客本人編寫并存放在緩沖區(qū)后任意的代碼，然后執(zhí)行這些代碼。另一種形式的緩沖區(qū)溢出攻擊是程序代碼編寫時欠考慮。典型的一種形式是對用戶輸入的邊界檢查問題。4．信息流泄露。黑客利用在某個程序執(zhí)行時所產(chǎn)生的某些暫時的不安全條件，例如在執(zhí)行SUID時執(zhí)行用戶具有同被執(zhí)行程序的屬主同等權(quán)限，這樣執(zhí)行用戶就可以獲得對某些敏感數(shù)據(jù)的訪問權(quán)。

（三）操縱IP包

1．端口欺騙。利用常用服務(wù)的端口，如20/53/80/1024等，避開包過濾防火墻的過濾規(guī)則。2．化整為零。黑客將正常長度的數(shù)據(jù)包分解為若干小字節(jié)的數(shù)據(jù)包，從而避開防火墻過濾規(guī)則。3．盲1P欺騙。即改變源IP地址進行欺騙，盲IP欺騙可能造成嚴重的后果，基于IP源地址欺騙的攻擊可穿過過濾路由器（防火墻），并可能獲得受到保護的主機的root權(quán)限。4. 序列號預(yù)測。某些主機產(chǎn)生的隨機序列號不夠隨機，這也就意味著不安全。黑客通過分析和發(fā)現(xiàn)隨機序列的產(chǎn)生規(guī)律，計算出該主機與服務(wù)器連接時的TCPSEQ/ACK序列號，即可欺騙服務(wù)器并與之建立“合法”的連接。

（四）拒絕服務(wù)DoS

1．Smurfing拒絕服務(wù)攻擊。如果黑客將發(fā)送的ICMP請求包的源地址偽造為被攻擊者的地址，則該網(wǎng)絡(luò)上所有主機的工CMPECHOREPLY包都要發(fā)往被攻擊的主機，不僅造成被攻擊者的主機出現(xiàn)流量過載，減慢甚至停止正常的服務(wù)，而且發(fā)出ICMP回應(yīng)包的中間受害網(wǎng)絡(luò)也會出現(xiàn)流量擁塞甚至網(wǎng)絡(luò)癱瘓。2．分片攻擊。這種攻擊方法利用了TCP/IP協(xié)議的弱點，被攻擊的目標主機要么處于藍屏幕的停機狀態(tài)，要么死機或重新啟動。類似這樣的黑客攻擊工具有：Teardrop New Tear Bonk和Boink等。3．帶外數(shù)據(jù)包攻擊。向一個用戶Windows系統(tǒng)的NetBIOS的端口，發(fā)送帶外數(shù)據(jù)包。OOB（垃圾數(shù)據(jù)），windows不知如何處理這些OOB，可以遠程造成該用戶系統(tǒng)運行異常。對方用戶只有重新啟動才能正常工作。4．分布式拒絕服務(wù)攻擊DDOS。DDOS隱蔽性更強。通過間接操縱因特網(wǎng)上“無辜”的計算機實施攻擊，突破了傳統(tǒng)攻擊方式從本地攻擊的局限性和不安全性。攻擊的規(guī)?？梢愿鶕?jù)情況做得很大，使目標系統(tǒng)完全失去提供服務(wù)的功能。

二、網(wǎng)絡(luò)安全防御系統(tǒng)實現(xiàn)策略

（一）網(wǎng)絡(luò)安全

1．安全網(wǎng)絡(luò)拓撲。整個網(wǎng)絡(luò)拓撲設(shè)計為雙網(wǎng)結(jié)構(gòu)，即內(nèi)部LAN網(wǎng)中的所有主機對服務(wù)器的訪問與INTERNET用戶對服務(wù)器的訪問是通過兩條不同的信道進行，體現(xiàn)了其安全性。2．防火墻。防火墻對各種帶有攻擊嫌疑的數(shù)據(jù)包進行過濾:源IP地址；目的IP地址；協(xié)議類型(IP，ICMP，TCP，UDP)；源TCP/UDP端口；目的TCP/UDP端口；TCP報文標志域；ICMP報文類型域和代碼域；包通信的日期和時間，包括起始時間、終止時間，區(qū)間從年、月、周、日直至小時、分鐘。提供內(nèi)部IP地址與MAC地址的綁定，防止IP地址盜用。防止IP地址欺騙，拒絕所有來自外部網(wǎng)絡(luò)而源地址為內(nèi)部地址的數(shù)據(jù)包。防止DOS攻擊，通過對保護目標主機的通信狀態(tài)跟蹤，判斷DOS/DDOS攻擊，并作出反應(yīng)，保證服務(wù)器的正常運行。3．實時入侵檢測。該網(wǎng)絡(luò)防御系統(tǒng)通過網(wǎng)絡(luò)安全監(jiān)測儀提供了強大的實時入侵檢測功能，能夠通過對網(wǎng)絡(luò)數(shù)據(jù)的收集和分析，與入侵行為的規(guī)則集進行匹配，判斷入侵行為的發(fā)生，并提供實時報警功能，并切斷非法連接。

（二）數(shù)據(jù)安全

1．保密性：（1）SSL加密通道。網(wǎng)站開通SSL的加密通道，SSL中使用了RSA的加密機制，這樣就能夠保證在客戶瀏覽器與網(wǎng)站的交互過程中，所有交互信息均通過加密通道傳輸。安全郵件系統(tǒng)SSL通道保證了用戶瀏覽器與網(wǎng)站的交互信息的保密性。（2）內(nèi)容監(jiān)控軟件?？紤]到不同的公司和組織對內(nèi)部信息向外傳輸?shù)目刂瞥潭炔煌?，且可能牽涉到員工隱私權(quán)的問題，所以需要根據(jù)客戶要求選擇，在網(wǎng)絡(luò)出口處設(shè)置內(nèi)容監(jiān)控軟件，其目的是對進出網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容實施監(jiān)控，這樣通過內(nèi)容監(jiān)控，確保了內(nèi)部敏感信息的保密性。（3）可靠性。該服務(wù)器具有以下特點:大容量存儲介質(zhì)。在沒有備份工作時應(yīng)該切斷所有網(wǎng)絡(luò)連接。確保備份介質(zhì)的物理安全。確保該服務(wù)器的專用性。確保該服務(wù)器中用戶信息和口令的安全保密。這樣通過該服務(wù)器的工作，將使整個系統(tǒng)可以在出現(xiàn)事故后得到及時的恢復(fù)，以保證其工作正常。

（三）系統(tǒng)安全

1．鑒別認證。利用了安全操作系統(tǒng)提供的鑒別機制，采用了IC卡的方式對所有內(nèi)部用戶進行身份鑒別，所有內(nèi)部用戶的IC卡均通過統(tǒng)一的發(fā)卡中心發(fā)放，只有持卡用戶才能夠進入服務(wù)器，而網(wǎng)絡(luò)用戶是無法通過普通的遠程登錄進入服務(wù)器的，從而保證了服務(wù)器的登錄安全。2．安全掃描。安全掃描的基本工作原理就是模擬攻擊，一旦攻擊成功，就意味存在漏洞。安全掃描的另一部分就是病毒防治功能。通過定期或是非定期的病毒掃描，防止病毒的進入和漫延。通過實時網(wǎng)上病毒掃描和防病毒軟件的定期升級功能，防止引入新的病毒。

三、結(jié)語

綜上所述，由于計算機信息有共享和易于擴散等特性，它在處理、存儲、傳輸和使用上有著嚴重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，還有可能受到計算機病毒的感染。因此如何打造一套網(wǎng)絡(luò)安全防御系統(tǒng)顯得尤為重要。

參考文獻：

[1]中國互聯(lián)網(wǎng)絡(luò)信息中心，《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》，2008.1.

[2]許潤國，基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)研究與設(shè)計[J].網(wǎng)絡(luò)安全，2006.10.