吳 剛

[摘要]隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)安全問題日益突出,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全問題進(jìn)行深入研究,對(duì)網(wǎng)絡(luò)攻擊的主要手段及其防范措施進(jìn)行系統(tǒng)分析和探討。

[關(guān)鍵詞]網(wǎng)絡(luò)安全系統(tǒng)入侵防范措施

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1110083-01

一、引言

在Internet/Intranet的使用中,Internet/Intranet安全面臨著重大挑戰(zhàn)。事實(shí)上,資源共享和信息安全歷來是一對(duì)矛盾。近年來隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)的資源共享進(jìn)一步加強(qiáng),隨之而來的信息安全問題日益突出。據(jù)美國FBI統(tǒng)計(jì),美國每年因網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元。而全球每20秒鐘就發(fā)生一起Internet計(jì)算機(jī)入侵事件。

二、網(wǎng)絡(luò)安全的概念

計(jì)算機(jī)網(wǎng)絡(luò)的安全性可定義為:保障網(wǎng)絡(luò)信息的保密性、完整性和網(wǎng)絡(luò)服務(wù)的可用性及可審查性。即要求網(wǎng)絡(luò)保證其信息系統(tǒng)資源的完整性、準(zhǔn)確性及有限的傳播范圍。并要求網(wǎng)絡(luò)能向所有的用戶有選擇地隨時(shí)提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù)。

三、網(wǎng)絡(luò)攻擊的一般過程及常用手段

(一)網(wǎng)絡(luò)攻擊的一般過程

1.收集被攻擊方的有關(guān)信息,分析被攻擊方可能存在的漏洞。黑客首先要確定攻擊的目標(biāo)。在獲取目標(biāo)機(jī)及其所在的網(wǎng)絡(luò)類型后,還需進(jìn)一步獲取有關(guān)信息,如目標(biāo)機(jī)的IP地址、操作系統(tǒng)類型和版本、系統(tǒng)管理人員的郵件地址等,根據(jù)這些信息進(jìn)行分析,可得到有關(guān)被攻擊方系統(tǒng)中可能存在的漏洞。

通過對(duì)上述信息的分析,就可以得到對(duì)方計(jì)算機(jī)網(wǎng)絡(luò)可能存在的漏洞。

2.建立模擬環(huán)境,進(jìn)行模擬攻擊,測試對(duì)方可能的反應(yīng)。根據(jù)第一步所獲得的信息,建立模擬環(huán)境,然后對(duì)模擬目標(biāo)機(jī)進(jìn)行一系列的攻擊。通過檢查被攻擊方的日志,可以了解攻擊過程中留下的“痕跡”。這樣攻擊者就知道需要?jiǎng)h除哪些文件來毀滅其入侵證據(jù)。

3.利用適當(dāng)?shù)墓ぞ哌M(jìn)行掃描。收集或編寫適當(dāng)?shù)墓ぞ?并在對(duì)操作系統(tǒng)分析的基礎(chǔ)上,對(duì)工具進(jìn)行評(píng)估,判斷有哪些漏洞和區(qū)域沒有覆蓋到。然后在盡可能短的時(shí)間內(nèi)對(duì)目標(biāo)進(jìn)行掃描。完成掃描后,可對(duì)所獲數(shù)據(jù)進(jìn)行分析,發(fā)現(xiàn)安全漏洞,如FTP漏洞、NFS輸出到未授權(quán)程序中、不受限制的X服務(wù)器訪問、不受限制的調(diào)制解調(diào)器、Sendmail的漏洞、NIS口令文件訪問等。

4.實(shí)施攻擊。根據(jù)已知的漏洞,實(shí)施攻擊。黑客們或修改網(wǎng)頁,或破壞系統(tǒng)程序或放病毒使系統(tǒng)陷入癱瘓,或竊取政治、軍事、商業(yè)秘密;或進(jìn)行電子郵件騷擾或轉(zhuǎn)移資金賬戶,竊取金錢等等。

(二)常見的網(wǎng)絡(luò)攻擊手段

1.炸彈攻擊。炸彈攻擊的基本原理是利用工具軟件,集中在一段時(shí)間內(nèi),向目標(biāo)機(jī)發(fā)送大量垃圾信息,或是發(fā)送超出系統(tǒng)接收范圍的信息,使對(duì)方出現(xiàn)負(fù)載過重、網(wǎng)絡(luò)堵塞等狀況,從而造成目標(biāo)的系統(tǒng)崩潰及拒絕服務(wù)。常見的炸彈攻擊有郵件炸彈、聊天室炸彈等。

2.利用木馬和后門程序。木馬攻擊通常是黑客事先設(shè)計(jì)讓受害者運(yùn)行特洛伊木馬工具里的一個(gè)程序(運(yùn)行時(shí)不易被察覺),然后黑客就可以利用工具里的另一個(gè)本地程序來遙控受害者的機(jī)器。后門程序一般是指那些繞過安全性控制而獲取對(duì)程序或系統(tǒng)訪問權(quán)的程序方法。在軟件的開發(fā)階段,程序員常常會(huì)在軟件內(nèi)創(chuàng)建后門程序以便可以修改程序設(shè)計(jì)中的缺陷。但是,如果這些后門被其他人知道,或是在發(fā)布軟件之前沒有刪除后門程序,那么它就成了安全風(fēng)險(xiǎn),容易被黑客當(dāng)成漏洞進(jìn)行攻擊。

3.拒絕服務(wù)攻擊。拒絕服務(wù)攻擊是指一個(gè)用戶占據(jù)了大量的共享資源,使系統(tǒng)沒有剩余的資源給其他用戶可用的一種攻擊方式。拒絕服務(wù)的攻擊降低了資源的可用性,這些資源可以是處理器、磁盤空間、CPU使用的時(shí)間、打印機(jī)、網(wǎng)卡,甚至是系統(tǒng)的時(shí)間,攻擊的結(jié)果是減少或失去服務(wù)。

有兩種類型的拒絕服務(wù)攻擊:

第一種攻擊是試圖去破壞或者毀壞資源,使得無人可以使用這個(gè)資源。有許多種方式可以破壞或毀壞信息,如:刪除文件、格式化磁盤或切斷電源,這些行為都可以實(shí)現(xiàn)拒絕服務(wù)攻擊。幾乎所有的攻擊都可以通過限制訪問關(guān)鍵賬戶和文件并且保護(hù)它們不受那些未授權(quán)用戶訪問的方式來防止。

第二種類型是過載一些系統(tǒng)服務(wù)或者消耗一些資源,這些行為也許是攻擊者故意的行為,也許是一個(gè)用戶無意中的錯(cuò)誤所致。通過這些方式,阻止其他用戶使用這些服務(wù)。例如:填滿一個(gè)磁盤分區(qū)、讓用戶和系統(tǒng)程序無法再生成新的文件。

4.電子欺騙。電子欺騙指通過偽造源于一個(gè)可信任地址的數(shù)據(jù)包以使一臺(tái)主機(jī)認(rèn)證另一臺(tái)主機(jī)的復(fù)雜技術(shù)。這里“信任”指那些獲準(zhǔn)相互連接的機(jī)器之間的一種關(guān)系,認(rèn)證是這些機(jī)器用于彼此識(shí)別的過程。電子欺騙包括IP Spoofing,Arp Spoofing,DNS Spoofing等技術(shù)。

四、網(wǎng)絡(luò)安全防護(hù)的措施和手段

(一)提高思想認(rèn)識(shí),強(qiáng)化內(nèi)部的安全管理

“三分技術(shù)、七分管理”這句話是對(duì)網(wǎng)絡(luò)安全客觀生動(dòng)的描述。任何網(wǎng)絡(luò)僅僅通過技術(shù)手段是無法確保安全的,必須在提高技術(shù)防范的同時(shí),加強(qiáng)單位內(nèi)部的安全管理,在國家相應(yīng)法規(guī)的基礎(chǔ)上,制訂適合本單位的安全規(guī)章制度,并且嚴(yán)格落實(shí)到位。

(二)應(yīng)對(duì)黑客攻擊的主要防范策略

1.設(shè)置訪問權(quán)限。很多計(jì)算機(jī)系統(tǒng)采用不同權(quán)限設(shè)置來限制不同用戶的訪問權(quán)限.不同用戶采用不同口令來控制對(duì)系統(tǒng)資源的訪問。這是防止黑客入侵最容易和最有效的方法之一。

2.采用防火墻技術(shù)。防火墻由軟件和硬件設(shè)備組合而成。在被保護(hù)的單位內(nèi)部網(wǎng)與Intemet之間,豎起一道安全屏障.防火墻通過監(jiān)測、限制、修改跨越防火墻的數(shù)據(jù)流。盡可能地對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況,以此來實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的安全保護(hù)。防火墻由過濾器和安全策略組成.是一種非常有效的網(wǎng)絡(luò)安全技術(shù)。

3.部署入侵檢測系統(tǒng)。部署入侵檢測系統(tǒng)可以檢測到某些穿透防火墻的攻擊行為,通過和防火墻之間實(shí)現(xiàn)互動(dòng).在防火墻上動(dòng)態(tài)生成相應(yīng)的規(guī)則,從而阻斷攻擊;防火墻動(dòng)態(tài)生成的規(guī)則可以自動(dòng)清除,保證了防火墻的性能不會(huì)因?yàn)橐?guī)則一直增加而下降。

(三)操作系統(tǒng)安全策略

1.及時(shí)更新系統(tǒng)補(bǔ)丁。必須密切跟蹤最新的漏洞和攻擊技術(shù),及時(shí)對(duì)網(wǎng)絡(luò)中設(shè)備進(jìn)行系統(tǒng)更新和升級(jí)。例如:如果及時(shí)對(duì)IIS打補(bǔ)丁,就不會(huì)發(fā)生紅色代碼蠕蟲問題;如果及時(shí)對(duì)SQL server打補(bǔ)丁,就不會(huì)發(fā)生SQL蠕蟲問題;如果及時(shí)加強(qiáng)口令的控制、關(guān)閉不必要的服務(wù),就不會(huì)產(chǎn)生被他人遠(yuǎn)程控制問題;如果在出口進(jìn)行源路由控制,就不會(huì)出現(xiàn)內(nèi)網(wǎng)發(fā)動(dòng)的DDOS攻擊等。

2.修補(bǔ)系統(tǒng)漏洞。通過漏洞掃描系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行掃描,可以從設(shè)備之外的網(wǎng)絡(luò)角度(某個(gè)程度上可以看成是黑客的角度),來審視網(wǎng)絡(luò)上還有哪些漏洞沒有修補(bǔ)、正在提供什么樣的服務(wù),以此找到需要關(guān)閉的服務(wù),甚至也可以發(fā)現(xiàn)部分密碼設(shè)置過于簡單的賬號(hào)。