崔敏

(東營職業(yè)學院教師教育學院，山東 東營 257091)

一 常見網絡攻擊類型

(一)拒絕服務(DoS)攻擊

拒絕服務攻擊是一種以遭受攻擊的資源目標不能繼續(xù)提供服務的攻擊形式，它通常都是針對某個特定的系統(tǒng)或網絡而故意實施的惡意攻擊行為。下面討論幾種常見拒絕服務攻擊的方式。

(1)緩沖區(qū)溢出，最常見的DoS攻擊方式。攻擊者向某個應用程序發(fā)送去超出其緩沖區(qū)最大容量的數(shù)據，當數(shù)據量超出緩沖區(qū)的長度時，多出來的數(shù)據就會溢出堆棧，這經常會引起應用程序或整個系統(tǒng)的崩潰。

(2)SYN Flood攻擊，最為流行的一種DoS攻擊方式。它利用TCP三次握手協(xié)議的缺陷，向目標主機發(fā)送大量的偽造源地址的SYN連接請求，消耗目標主機的資源，從而不能為正常訪問的用戶提供服務。

(3)“淚滴”(Teardrop)，也稱為分片攻擊，是利用TCP/IP的缺陷進行DoS攻擊的典型。

(二)侵入攻擊

侵入攻擊是最經常遭受到的攻擊方式，它會使攻擊者竊取到你系統(tǒng)的訪問權并盜用你的計算機資源。竊取某個系統(tǒng)訪問權限的辦法多種多樣?！吧缃幌葳濉笔亲钣行У霓k法之一，它針對的是安全防護體系里最薄弱的因素——人。攻擊者可以偽裝一名幫助臺的工作人員，讓某個用戶去修改自己的口令字;也可以偽裝成一名復印機維修人員直接進入某個辦公大樓。總之，想要竊取某個公司的系統(tǒng)訪問權，“社交陷阱”是非常有效的。

(三)信息盜竊攻擊

信息盜竊攻擊是指攻擊者從目標系統(tǒng)里偷走數(shù)據的情形。此類攻擊有時并不需要攻擊者擁有目標系統(tǒng)的訪問權限。它最常用的工具是網絡嗅探器(network sniffer)。攻擊者可以利用一個嗅探器監(jiān)視網絡上的通信情況，最常見的情況是等待用戶名/口令字組合的出現(xiàn)。使用嗅探器的做法一般被稱為“被動型攻擊”，這是因為在使用嗅探器的時候并不要求攻擊者采取任何行動。

二 防火墻防范措施

(一)基本的防火墻防御

在黑客常見的攻擊手段中，拒絕服務(DoS)攻擊是最常見的。在DoS攻擊中，SYN Flood(洪水攻擊)具有典型特征。使用防火墻是防御SYN Flood攻擊的最有效的方法之一。我們可以通過包過濾型和應用代理型等防火墻技術防御 SYN Flood攻擊。

應用代理防火墻的防御原理是在客戶端與服務器建立TCP連接的三次手，因為它位于客戶端與服務器端(通常分別位于外、內部網絡)中間，所以充當代理角色。這樣客戶端要與服務器端建立一個TCP連接，就必須先與防火墻進行三次TCP握手，當客戶端和防火墻的三次握手成功之后，再由防火墻與服務器端進行TCP三次握手，完成后即可成功建立一個TCP連接。

所有的報文都通過防火墻轉發(fā)，而且如果客戶端未同防火墻建立起TCP連接就無法同服務器端建立連接，所以這種防火墻起到一種隔離保護作用，安全性較高。當外界對內部網絡中的服務器端進行SYN Flood攻擊時，實際上遭受攻擊的不是服務器而是防火墻。而防火墻自身是具有抗攻擊能力的，可以通過規(guī)則設置，拒絕外界客戶端不斷發(fā)送的報文。

(二)特殊的防火墻防御

防御SYN Flood攻擊的防火墻設置除了可直接采用以上不同類的防火墻防御SYN Flood攻擊外，還可采用特殊的防火墻設置達到防御目的。針對SYN Flood攻擊，防火墻通常有三種防護方式:SYN網關、被動式SYN網關和SYN中繼。

(1)SYN網關。此方式中，防火墻在收到客戶端的SYN包時，直接轉發(fā)給服務器，防火墻在收到服務器的SYN+ACK包后，一方面將SYN+ACK包轉發(fā)給客戶端，另一方面以客戶端的名義給服務器回送一個ACK包，完成一個完整的TCP三次握手，讓服務器端由半連接狀態(tài)進入連接狀態(tài)。當客戶端真正的ACK包到達時，如果ACK包里有數(shù)據則轉發(fā)給服務器，否則丟棄該包。由于服務器承受連接狀態(tài)的能力要比半連接狀態(tài)高得多，所以這種方法能有效地減輕對服務器的攻擊。

(2)被動式SYN網關。在這種方式中，設置防火墻的SYN請求超時參數(shù)，讓它遠小于服務器的超時期限。防火墻負責轉發(fā)客戶端發(fā)往服務器的SYN包，以及服務器發(fā)往客戶端的SYN+ACK包和客戶端發(fā)往服務器的ACK包。這樣，如果客戶端在防火墻計時器到期時還沒發(fā)送ACK包，防火墻即往服務器發(fā)送RST包，以使服務器從隊列中刪去該半連接。由于防火墻的超時參數(shù)遠小于服務器的超時期限，因此這樣也能有效的防御SYN Flood攻擊。

(3)SYN中繼。在這種方式中，防火墻在收到客戶端的SYN包后，并不向服務器轉發(fā)信息而是記錄該狀態(tài)信息，然后主動給客戶端回送SYN+ACK包。如果收到客戶端的ACK包，表明是正常訪問，由防火墻向服務器發(fā)送SYN包并完成在三次握手。這樣由防火墻作為代理來實現(xiàn)客戶端和服務器端的連接，可以完全阻止不可用連接發(fā)往服務器。

綜上可知，解決網絡安全問題的重要手段就是防火墻技術。本文針對常見網絡攻擊類型及防火墻防范措施做了一些有益的探索工作，但還是遠遠不夠的，亟待進一步研究防火墻技術在網絡安全中的應用，這對于指導防火墻產品的研制和推廣有著十分顯著的實踐意義。