唐斌1 張鈺釧2 張鄭武文3 西華師范大學(xué)計(jì)算機(jī)學(xué)院1 西華師范大學(xué)數(shù)學(xué)與信息學(xué)院2 西華師范大學(xué)新聞傳播學(xué)院3

1 引言

上世紀(jì)末，網(wǎng)絡(luò)技術(shù)由軍用逐漸過渡至民用，在多家公司的共同參與下迅速發(fā)展，并滲透到社會(huì)的各個(gè)領(lǐng)域。網(wǎng)絡(luò)技術(shù)的迅速發(fā)展得益于網(wǎng)絡(luò)的開放性、自由性、易理解性等特性，它允許每一位網(wǎng)民自由接入，并在短時(shí)間內(nèi)開始使用互聯(lián)網(wǎng)，網(wǎng)絡(luò)世界的匿名性、跨時(shí)空性也吸引著越來越多的公眾參與。但以上優(yōu)勢也留下一系列潛在的安全問題，網(wǎng)絡(luò)愛好者能夠快速掌握網(wǎng)絡(luò)傳輸協(xié)議并對其中的弱點(diǎn)進(jìn)行攻擊和利用，同時(shí)實(shí)現(xiàn)對自己身份信息的隱藏。當(dāng)今世界，各個(gè)國家和相關(guān)組織正在大力開展網(wǎng)絡(luò)安全建設(shè)，我國也正為實(shí)現(xiàn)網(wǎng)絡(luò)強(qiáng)國的偉大理想而添磚加瓦。

2 網(wǎng)絡(luò)安全問題的發(fā)生機(jī)制

2.1 部分網(wǎng)民的網(wǎng)絡(luò)安全意識(shí)不足

使用瀏覽器的賬號(hào)密碼記錄與保存cookie功能使得訪問常用網(wǎng)站變得更加方便，但也增加了受到網(wǎng)絡(luò)攻擊而造成賬號(hào)信息泄露的風(fēng)險(xiǎn)。網(wǎng)絡(luò)實(shí)名制的推行實(shí)施使得每位網(wǎng)民的真實(shí)信息被網(wǎng)絡(luò)服務(wù)公司保留，在一定程度上規(guī)范了網(wǎng)民的道德規(guī)范，但大量的個(gè)人隱私生活分享，會(huì)給他人留下可用信息。社會(huì)工程學(xué)通過社會(huì)、自然、制度等途徑，利用人的心理弱點(diǎn)（本能、好奇、信任、貪婪等）及制度上的漏洞，在攻擊者和被攻擊者之間建立信任關(guān)系，獲取有價(jià)值的信息，最終通過未經(jīng)授權(quán)的路徑訪問某些重要數(shù)據(jù)[1]。此外，在不同網(wǎng)站中使用相同的賬號(hào)密碼會(huì)存在撞庫的風(fēng)險(xiǎn)，在公共環(huán)境中使用網(wǎng)絡(luò)也存在網(wǎng)絡(luò)監(jiān)聽的風(fēng)險(xiǎn)，以上都能導(dǎo)致系統(tǒng)被入侵與數(shù)據(jù)被竊取。

2.2 計(jì)算機(jī)網(wǎng)絡(luò)本身存在的缺陷

在實(shí)現(xiàn)網(wǎng)絡(luò)參數(shù)標(biāo)準(zhǔn)化方面，國際標(biāo)準(zhǔn)化組織在網(wǎng)絡(luò)技術(shù)發(fā)展初期提出了OSI七層模型，但真正投入使用的是當(dāng)時(shí)由公司聯(lián)合提出的TCP/IP協(xié)議。我們以O(shè)SI七層模型入手，分析每層協(xié)議存在的安全隱患。

2.2.1 應(yīng)用層

應(yīng)用層負(fù)責(zé)直接與用戶和應(yīng)用程序建立聯(lián)系，提供遠(yuǎn)程登陸、郵件傳遞、文件傳輸?shù)确?wù)。DNS負(fù)責(zé)將域名解析為IP地址，并且優(yōu)先查詢本地?cái)?shù)據(jù)，如果對hosts文件進(jìn)行篡改，就可以達(dá)到DNS欺騙的效果。FTP和TELNET服務(wù)允許用戶遠(yuǎn)程訪問主機(jī)，在沒有登陸限制的情況下，攻擊者可以通過枚舉的形式對賬戶進(jìn)行暴力破解。HTTP提供的WEB服務(wù)允許任何人訪問，一旦攻擊者通過SQL注入、文件上傳等方式拿到服務(wù)器權(quán)限，將造成不可估量的損失。

2.2.2 表示層

表示層負(fù)責(zé)數(shù)據(jù)編碼，實(shí)現(xiàn)不同系統(tǒng)之間的數(shù)據(jù)兼容，同時(shí)提供加密解密服務(wù)。在數(shù)據(jù)包被截取后，攻擊者可以對數(shù)據(jù)包進(jìn)行解密與解碼，從而造成信息泄露。

2.2.3 會(huì)話層

會(huì)話層負(fù)責(zé)數(shù)據(jù)同步，通過數(shù)據(jù)偏移量等參數(shù)，保證一個(gè)被正確接受之后再傳輸下一個(gè)數(shù)據(jù)包。利用會(huì)話層的特性，攻擊者可以偽造數(shù)據(jù)包序列號(hào)來接管真實(shí)客戶端進(jìn)行通信，從而達(dá)到會(huì)話劫持的效果。

2.2.4 傳輸層

傳輸層負(fù)責(zé)數(shù)據(jù)的完整傳輸，在數(shù)據(jù)包接收失敗后進(jìn)行數(shù)據(jù)重傳。在網(wǎng)絡(luò)攻擊中，經(jīng)常利用TCP三次握手原理存在的漏洞進(jìn)行信息收集。此外，如果同時(shí)與服務(wù)器建立大量空連接，服務(wù)器會(huì)因資源被耗盡而拒絕正常服務(wù)。

2.2.5 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層負(fù)責(zé)在源主機(jī)和目標(biāo)主機(jī)之間建立路由，目前應(yīng)用最廣泛的是IP協(xié)議。每個(gè)IP報(bào)文中會(huì)保存數(shù)據(jù)的源IP地址與目的IP地址，攻擊者可以通過偽造源IP的方式來實(shí)現(xiàn)IP欺騙。在局域網(wǎng)中，路由器通過IP地址與MAC地址的映射關(guān)系找到真實(shí)主機(jī)，攻擊者可以通過偽造ARP請求來修改路由器ARP數(shù)據(jù)，實(shí)現(xiàn)ARP欺騙。

2.2.6 數(shù)據(jù)鏈路層

數(shù)據(jù)鏈路層負(fù)責(zé)數(shù)據(jù)的發(fā)送與接收，源節(jié)點(diǎn)通過目的節(jié)點(diǎn)回傳的響應(yīng)報(bào)文來保證數(shù)據(jù)包安全到達(dá)。攻擊者可以通過故意傳輸錯(cuò)誤數(shù)據(jù)的方式，使目的主機(jī)耗費(fèi)大量資源進(jìn)行數(shù)據(jù)校驗(yàn)。

2.2.7 物理層

物理層負(fù)責(zé)將數(shù)據(jù)鏈路層數(shù)據(jù)轉(zhuǎn)化成物理信號(hào)，并在物理線路上進(jìn)行傳輸。無線網(wǎng)絡(luò)允許每位信號(hào)范圍內(nèi)的客戶端接入，攻擊者經(jīng)常通過免費(fèi)WIFI和偽基站的方式誘導(dǎo)被攻擊者接入局域網(wǎng)，以便進(jìn)行內(nèi)網(wǎng)攻擊。此外，電信號(hào)在傳輸過程會(huì)形成感應(yīng)電流，利用特殊設(shè)備可以根據(jù)電流變化生成二進(jìn)制數(shù)據(jù)，達(dá)到數(shù)據(jù)竊取的目的。

2.3 匿名訪問技術(shù)的出現(xiàn)

“暗網(wǎng)”又稱深層網(wǎng)絡(luò)，主要包括建立在封包交換方式基礎(chǔ)上的I2P匿名網(wǎng)絡(luò)、建立在P2P分布式技術(shù)上的Tor等匿名網(wǎng)絡(luò)以及建立在自組織機(jī)制上的Firechat等自組織匿名網(wǎng)絡(luò)[2]?！鞍稻W(wǎng)”能夠?qū)崿F(xiàn)匿名訪問互聯(lián)網(wǎng)，使得用戶IP難以被追蹤。這種技術(shù)常被攻擊者用來隱藏身份信息。

3 網(wǎng)絡(luò)安全問題的解決路徑

3.1 與時(shí)俱進(jìn)，提升公民的信息安全意識(shí)

科技發(fā)展日新月異，網(wǎng)絡(luò)安全面臨的挑戰(zhàn)與困難越來越多。網(wǎng)絡(luò)安全部門需保持與時(shí)俱進(jìn)的態(tài)度，不斷學(xué)習(xí)新的理論和技術(shù)以面對新的問題與挑戰(zhàn)。同時(shí)，還需從國家層面進(jìn)一步加強(qiáng)安全建設(shè)，從源頭上杜絕問題的發(fā)生，提升網(wǎng)絡(luò)安全宣傳力度，增強(qiáng)公民網(wǎng)絡(luò)安全意識(shí)。

3.2 建設(shè)國際網(wǎng)絡(luò)犯罪破案合作機(jī)制，降低跨國辦案的成本

在攻擊的實(shí)施過程中，攻擊者通常通過使用多個(gè)海外服務(wù)器為跳板的方式來實(shí)現(xiàn)IP地址欺騙，以達(dá)到隱藏自己身份信息的目的。在網(wǎng)絡(luò)犯罪的取證過程中，需要聯(lián)系服務(wù)器所在國家的通信部門以獲取上一跳服務(wù)器IP地址，最終取得攻擊者的真實(shí)IP地址。為了構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體，我國應(yīng)積極主張、加快推進(jìn)，提出國際網(wǎng)絡(luò)犯罪破案合作機(jī)制，形成一套方便快捷、覆蓋全面的國際網(wǎng)絡(luò)犯罪取證查詢系統(tǒng)。

3.3 結(jié)合區(qū)塊鏈原理，提出新的網(wǎng)絡(luò)協(xié)議

3.3.1 區(qū)塊鏈技術(shù)

區(qū)塊鏈技術(shù)源于比特幣，它能在不可信的環(huán)境中實(shí)現(xiàn)可信通信[3]。區(qū)塊鏈?zhǔn)褂萌ブ行幕瘷C(jī)制，加入?yún)^(qū)塊鏈的所有計(jì)算機(jī)上都儲(chǔ)存著每位用戶的操作記錄，以保證用戶操作不可否認(rèn)。區(qū)塊鏈分為私有鏈、聯(lián)盟鏈、公共鏈。其中，聯(lián)盟鏈?zhǔn)且环N中心化機(jī)制與去中心化機(jī)制結(jié)合的技術(shù)。

3.3.2 全新網(wǎng)絡(luò)協(xié)議構(gòu)想

在原有的中心化管理機(jī)制下，引入?yún)^(qū)塊鏈技術(shù)，兩者結(jié)合既能實(shí)現(xiàn)統(tǒng)一管理，又能快速、準(zhǔn)確地對用戶操作進(jìn)行溯源。這也要求全球合作的快速推進(jìn)，讓每個(gè)國家使用一臺(tái)高性能服務(wù)器加入?yún)^(qū)塊鏈，以實(shí)現(xiàn)網(wǎng)絡(luò)操作日志記錄賬本全球共享，有利于各國執(zhí)法部門快速追查跨國網(wǎng)絡(luò)犯罪活動(dòng)。

4 結(jié)束語

自從網(wǎng)絡(luò)技術(shù)產(chǎn)生以來，人類對于網(wǎng)絡(luò)安全的研究與探索就從未停歇。在不斷發(fā)展的技術(shù)面前，網(wǎng)絡(luò)安全面臨的挑戰(zhàn)越來越多，無論是國家、組織還是個(gè)人，只有通過不斷學(xué)習(xí)、積極創(chuàng)新，在面對網(wǎng)絡(luò)安全問題時(shí)才能胸有成竹。當(dāng)前，關(guān)于網(wǎng)絡(luò)協(xié)議本身缺陷的研究內(nèi)容紛繁復(fù)雜，但都是在已有問題上進(jìn)行控制。如果要從根本上解決網(wǎng)絡(luò)安全問題，還需結(jié)合不斷發(fā)展的新技術(shù)，對協(xié)議內(nèi)容進(jìn)行改進(jìn)或提出新的網(wǎng)絡(luò)傳輸協(xié)議加以應(yīng)對。

[1]Kevin Mitnick. The Art of Deception : ontrolling the Human Element of Security[M]. New York : Wiley, 005

[2]伍勁峰.OSI七層參考模型解析[J].軟件導(dǎo)刊,2006(17):46-47.

[3]駱慧勇.區(qū)塊鏈技術(shù)原理與應(yīng)用價(jià)值[J].金融縱,2016(07):33-37+76.