中圖分類號：TP393.1 文獻(xiàn)標(biāo)識碼：A

摘要：針對局域網(wǎng)網(wǎng)絡(luò)安全的重要性，分析了幾種典型的局域網(wǎng)攻擊行為及攻擊特點(diǎn)。在此基礎(chǔ)上，結(jié)合局域網(wǎng)的實(shí)際特點(diǎn)以及工作需要，提出了幾種可實(shí)施的安全防御策略，形成了相對完善的局域網(wǎng)安全防范對策體系。

關(guān)鍵詞：局域網(wǎng)； 攻擊； 防御

在如今這個信息化時代，隨著數(shù)據(jù)集中程度越來越高，局域網(wǎng)應(yīng)用已成為企事業(yè)發(fā)展中必不可少的一部分。然而，在感受網(wǎng)絡(luò)所帶來的便利的同時，也面臨著各種各樣的攻擊和威脅，如機(jī)密泄漏、數(shù)據(jù)丟失、身份冒用、非法入侵等。存儲和運(yùn)行數(shù)據(jù)安全已然成為我們必須面對的問題。局域網(wǎng)攻擊有可能使我們的整個工作陷入癱瘓，有可能侵犯個人隱私，有可能給學(xué)校、公司、企業(yè)等帶來隱患，造成嚴(yán)重惡劣的社會影響，甚至危害國家安全。因此熟悉局域網(wǎng)目前面臨的主要攻擊，并掌握一些基本的防御與應(yīng)對措施，對于我們每個人來說都是十分必要的。

一、局域網(wǎng)面臨的安全威脅

第一，局域網(wǎng)內(nèi)數(shù)據(jù)快速便捷地傳遞，讓病毒快速、直接地傳播，有了可趁之機(jī)，也就存在著網(wǎng)內(nèi)攻擊的潛在危險性。如果局域網(wǎng)中的服務(wù)器不進(jìn)行獨(dú)立保護(hù)，其中一臺計算機(jī)感染病毒，并且通過服務(wù)器進(jìn)行數(shù)據(jù)傳遞，就會感染服務(wù)器。這樣，局域網(wǎng)中的任何一臺通過服務(wù)器進(jìn)行數(shù)據(jù)傳遞的電腦，就很可能會感染病毒。雖然網(wǎng)絡(luò)的出口處有防火墻阻斷外來的攻擊，但是無法抵擋來自局域網(wǎng)內(nèi)部的攻擊。

第二，由于用戶沒有及時安裝網(wǎng)絡(luò)殺毒軟件和系統(tǒng)漏洞補(bǔ)丁，或未及時更新防病毒軟件和病毒庫而導(dǎo)致計算機(jī)病毒的入侵。許多網(wǎng)絡(luò)攻擊，正是利用用戶的這個弱點(diǎn)，制造出較為新穎的木馬、病毒修改磁盤上的現(xiàn)有軟件，在自己寄生的軟件注入新的代碼，從而達(dá)到傳播和破壞的目的。

第三，局域網(wǎng)用戶安全意識不強(qiáng)，許多用戶使用移動存儲設(shè)備進(jìn)行數(shù)據(jù)的傳遞，經(jīng)常將外部的數(shù)據(jù)不經(jīng)過必要的安全檢查就通過移動設(shè)備進(jìn)入內(nèi)部局域網(wǎng)。這給木馬、蠕蟲的進(jìn)入提供了方便，并且給數(shù)據(jù)的泄密增加了可能性。

第四，物理安全隱患，局域網(wǎng)的物理安全主要包括環(huán)境安全和設(shè)備安全。環(huán)境安全是指局域網(wǎng)的建立應(yīng)當(dāng)遠(yuǎn)離網(wǎng)絡(luò)干擾，如震動或者強(qiáng)磁場。還應(yīng)當(dāng)盡力避免自然災(zāi)害對局域網(wǎng)造成的破壞，如雷擊、火災(zāi)等等。設(shè)備安全要做好電源和靜電兩方面的防護(hù)工作。電源防護(hù)是指要防止局域網(wǎng)在使用的過程中突然停電。突然斷電不僅會影響磁盤壽命，而且還會造成數(shù)據(jù)的丟失。靜電對網(wǎng)絡(luò)的危害也很大，靜電可以在短時間內(nèi)放出大量電流，就會造成磁盤故障和數(shù)據(jù)損失。

第四，軟件漏洞，無論是何種操作系統(tǒng)，還是我們?nèi)粘Ｊ褂玫膽?yīng)用軟件都會存在一些漏洞，這些漏洞往往會成為攻擊者利用的對象。攻擊者一般會掃描電腦中存在的漏洞，然后根據(jù)漏洞的信息下載攻擊軟件進(jìn)行攻擊。

二、局域網(wǎng)面臨的主要攻擊手段

（一） ARP 攻擊

ARP（Address Resolution Protocol）是地址解析協(xié)議的英文縮寫，位于 IP 層的最底層，沒有了 ARP 的輔助，IP 也就無法正常運(yùn)行，只有通過 ARP 才能實(shí)現(xiàn) IP 地址的硬件地址的自由切換。ARP 本身比較脆弱，很容易遭受惡意攻擊，一旦出現(xiàn)被惡意攻擊就會對整個局域網(wǎng)產(chǎn)生嚴(yán)重的危害，危及整個網(wǎng)絡(luò)。ARP 攻擊最常用的就是 ARP 欺騙，攻擊方式主要是向既定的目標(biāo)主機(jī)發(fā)送應(yīng)答報文，這里面攜帶著偽造的 IP 地址和相關(guān)的硬件地址，既定的目標(biāo)主機(jī)會自動刷新原有的信息報文并儲存?zhèn)卧斓膽?yīng)答報文信息，如此一來，攻擊者就順利通過了身份認(rèn)證，從而實(shí)現(xiàn)對計算機(jī)系統(tǒng)的網(wǎng)絡(luò)攻擊。

（二） DoS 攻擊

DoS（拒絕服務(wù)）攻擊不是以獲得網(wǎng)絡(luò)或者網(wǎng)絡(luò)上的信息訪問權(quán)為目的，而是使用超出被攻擊目標(biāo)處理能力的大量數(shù)據(jù)包消耗系統(tǒng)可用系統(tǒng)、帶寬資源，最后致使網(wǎng)絡(luò)服務(wù)癱瘓的一種攻擊手段。DoS 攻擊的過程如下：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息。由于地址是偽造的，所以服務(wù)器一直等不到回傳的信息，然而服務(wù)器中分配給這次請求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時間后，連接會因超時而被中斷，攻擊者會再次傳送新的一批請求，在這種反復(fù)發(fā)送偽造地址請求的情況下，服務(wù)器資源最終會被耗盡。

（三）口令攻擊

口令攻擊，一般通過“finger 遠(yuǎn)端主機(jī)名稱”輕松找到機(jī)主存留在計算機(jī)上的登陸賬號，然后通過利用大規(guī)模的字典窮舉法對其進(jìn)行密碼破譯，通過進(jìn)入機(jī)主登陸界面并設(shè)法獲取機(jī)密信息。

（四）網(wǎng)絡(luò)監(jiān)聽

網(wǎng)絡(luò)監(jiān)聽，又稱為網(wǎng)絡(luò)嗅探。網(wǎng)絡(luò)監(jiān)聽可以說是網(wǎng)絡(luò)安全領(lǐng)域的一個敏感話題，網(wǎng)絡(luò)監(jiān)聽就像一把雙刃劍，一方面它為網(wǎng)絡(luò)管理員提供了一種管理網(wǎng)絡(luò)的手段，監(jiān)聽在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測網(wǎng)絡(luò)傳輸數(shù)據(jù)、排除網(wǎng)絡(luò)故障等方面有著不可替代的作用；另一方面，網(wǎng)絡(luò)監(jiān)聽是黑客取得局域網(wǎng)上傳輸?shù)闹匾畔⒌囊环N重要手段。若是黑客登錄局域網(wǎng)主機(jī)并取得超級用戶權(quán)限，就可以登錄其它主機(jī)，使用網(wǎng)絡(luò)監(jiān)聽便可以有效地截獲網(wǎng)絡(luò)上的數(shù)據(jù)。

（五）木馬攻擊

木馬，也就是我們常說的木馬病毒。得名于希臘神話《木馬屠城記》，這形象地指出它所具有的大幅度殺傷力。在網(wǎng)絡(luò)中，一般故意偽裝成一個實(shí)用性的工具或者資料包，更或者是一個外表比較可愛充滿趣味性的網(wǎng)絡(luò)游戲，吸引用戶自行安裝在自己的電腦上，然后獲取用戶的相關(guān)信息，其性質(zhì)和冒充 IP 地址相似，都是在偽裝的外表下實(shí)施網(wǎng)絡(luò)攻擊與犯罪。

（五）遠(yuǎn)程攻擊

遠(yuǎn)程攻擊與我們常見的遠(yuǎn)程協(xié)助工作原理一樣，主要是針對于攻擊者以外的計算機(jī)，不受時間與距離的限制。遠(yuǎn)程攻擊主要通過遠(yuǎn)程協(xié)議或網(wǎng)絡(luò)連接來控制既定的主機(jī)或者是系統(tǒng)，從而盜取一些機(jī)密信息，甚至是對被控制的計算機(jī)展開大規(guī)模的惡意攻擊，導(dǎo)致被控制計算機(jī)無法正常工作甚至陷入癱瘓狀態(tài)。是一種通過遠(yuǎn)程來操控的計算機(jī)網(wǎng)絡(luò)攻擊行為。

三、局域網(wǎng)攻防的防御措施

（一） 硬件防護(hù)

從硬件方面來講，可以通過硬件防火墻等一些硬件設(shè)備來進(jìn)行安全的防護(hù)，防止黑客的入侵。還可以通過硬件設(shè)備，來設(shè)置不允許一些可能危害網(wǎng)絡(luò)安全的軟件和可執(zhí)行程序的運(yùn)行。我們還要保證線纜的安全，防止攻擊者通過線纜抓包進(jìn)行數(shù)據(jù)的竊取。

（二）軟件防護(hù)

從軟件方面來講，可安裝殺毒軟件、網(wǎng)絡(luò)監(jiān)測軟件、軟件防火墻等來防止木馬、病毒的入侵，以及加密軟件和黑客的攻擊。監(jiān)測網(wǎng)絡(luò)內(nèi)的各種行為，來對網(wǎng)絡(luò)進(jìn)行監(jiān)測，確保網(wǎng)絡(luò)的安全。同時，為了防止攻擊者通過漏洞進(jìn)行攻擊，及時安裝補(bǔ)丁。

（三）設(shè)置防護(hù)

對公認(rèn)的網(wǎng)絡(luò)端口進(jìn)行修改，比如 Ping 的端口80，數(shù)據(jù)庫的端口 1433，遠(yuǎn)程訪問的端口 3389 以及IIS 的一些端口，如 8000、8088 等等。出于安全角度考慮，這些默認(rèn)的端口應(yīng)該開著，然后修改這些端口，讓入侵者去攻擊這些默認(rèn)的但是卻沒有使用的端口。當(dāng)把一些端口映射到互聯(lián)網(wǎng)和局域網(wǎng)使用的一些數(shù)據(jù)相關(guān)的軟件，例如使用財務(wù)軟件設(shè)置密碼時，要滿足密碼的復(fù)雜性。如果有需要的話，還需要對密碼輸入次數(shù)進(jìn)行限制。如果把這樣的設(shè)置應(yīng)用的映射到外網(wǎng)端口進(jìn)入時輸入密碼和局域網(wǎng)內(nèi)使用的軟件中去，那么數(shù)據(jù)的安全將會更加有保障。

（四）針對于服務(wù)器的防護(hù)

服務(wù)器大都是為了給一些軟件、程序、游戲、下載服務(wù)提供支持的高性能計算機(jī)?？梢酝ㄟ^進(jìn)行端口修改、硬件設(shè)備的引進(jìn)、殺毒軟件安裝、加密軟件安裝、軟件防火墻的安裝使用、補(bǔ)丁的安裝來進(jìn)行維護(hù)。如果服務(wù)器是為了給程序提供運(yùn)行支持，那么在程序開發(fā)的時候就要正確地編寫代碼、檢查數(shù)組邊界、檢查程序指針完整性等方法來防止緩沖區(qū)的溢出。

結(jié)束語

對于局域網(wǎng)的攻擊與防御，我們應(yīng)該做好充分的防御措施。信息時代，數(shù)據(jù)安全是頭等大事，特別是涉及軍隊(duì)、國家的科學(xué)研發(fā)機(jī)構(gòu)、數(shù)據(jù)信息中心、國家企事業(yè)單位、銀行數(shù)據(jù)信息系統(tǒng)的局域網(wǎng)，更應(yīng)該加強(qiáng)安全性防護(hù)措施。我們在增強(qiáng)安全防御意識的同時要加大對網(wǎng)絡(luò)安全的宣傳與教育，網(wǎng)絡(luò)安全立法，開展網(wǎng)絡(luò)安全教育講座，對于那些惡意的網(wǎng)絡(luò)攻擊犯罪行為嚴(yán)厲制裁，積極構(gòu)建更加安全、綠色、文明的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)：

[1]黃錫滋.軟件可靠性、安全性與質(zhì)量保證[M].北京：電子工業(yè)出版社，2008.

[2]李海燕，李袁.局域網(wǎng)的安全攻防測試與分析[J].煤炭技術(shù)，2012，（02）：188-189.

[3]蔣東輝.局域網(wǎng)的安全攻防測試與分析[J].科技資訊，2009，（01）：23.

[4]陳功.網(wǎng)絡(luò)攻擊與安全防御策略研究[J].四川文理學(xué)院學(xué)報.2009（02）