- 相關推薦
計算機網絡攻擊與防御
計算機網絡攻擊與防御【1】
摘要:主要闡述計算機網絡攻擊和入侵的特點、步驟及其安全防御策略。
關鍵詞:計算機網絡;網絡攻擊;防御策略
在科學技術發展的今天,計算機網絡正在逐步改變著人們的工作和生活方式,隨著INTERNET/INTRANET的不斷發展,全球信息化已成為人類發展的大趨勢。
但是,任何事務都象一把雙刃劍,計算機網絡在給人們帶來便利的同時卻面臨著巨大的威脅,這種威脅將不斷給社會帶來巨大的損失。
雖然計算機網絡安全已被信息社會的各個領域所重視,但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和計算機網絡的開放性、互連性等特征;無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的潛在威脅以及計算機網絡自身的脆弱性,致使計算機網絡易受黑客、病毒、惡意軟件和其他不軌行為的攻擊。
因此若要保證計算機網絡安全、可靠,則必須熟知計算機網絡攻擊的一般過程。
只有這樣方可在被攻擊前做好必要的防備,從而確保計算機網絡運行的安全和可靠。
本文將針對當前計算機網絡存在的各類攻擊進行分析,并提出安全對策。
1 計算機網絡攻擊分析
1.1計算機網絡攻擊的特點
“攻擊”是指任何的非授權行為。
攻擊的范圍從簡單的服務器無法提供正常的服務到完全破壞、控制服務器。
目前的計算機網絡攻擊者主要是利用計算機網絡通信協議本身存在的缺陷或因安全配置不當而產生的安全漏洞進行計算機網絡攻擊。
目標系統攻擊或者被入侵的程度依賴于攻擊者的攻擊思路和采用攻擊手段的不同而不同。
可以從攻擊者的行為上將攻擊區分為以下兩類:
(1)被動攻擊:攻擊者簡單地監視所有信息流以獲得某些秘密。
這種攻擊可以是基于計算機網絡或者基于系統的。
這種攻擊是最難被檢測到的,對付這類攻擊的重點是預防,主要手段是數據加密。
(2)主動攻擊:攻擊者試圖突破計算機網絡的安全防線。
這種攻擊涉及到數據流的修改或創建錯誤信息流,主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務等。
這類攻擊無法預防但容易檢測,所以,對付這種攻擊的重點是“測”而不是“防”,主要手段有:防火墻、入侵檢測系統等。
入侵者對目標進行攻擊或入侵的目的大致有兩種:第一種是使目標系統數據的完整性失效或者服務的可用性降低。
為達到此目的,入侵者一般采用主動攻擊手段入侵并影響目標信息基礎設施;第二種是監視、觀察所有信息流以獲得某些秘密。
入侵者采用被動手段,通過計算機網絡設備對開放的計算機網絡產生影響。
因此,入侵者可以主動入侵并觀察,也可以被動手段觀察、建模、推理達到其目的。
無論入侵者采用什么手段,其行為的最終目的是干擾目標系統的正常工作、欺騙目標主機、拒絕目標主機上合法用戶的服務,直至摧毀整個目標系統。
1.2計算機網絡中的安全缺陷及其產生的原因
第一,TCP/IP的脆弱性。
因特網的基礎是TCP/IP協議。
但不幸的是該協議對于網絡的安全性考慮得并不多。
并且,由于TCP/IP協議是公布于眾的,如果人們對TCP/IP很熟悉,就可以利用它的安全缺陷來實施網絡攻擊。
第二,網絡結構的不安全性。
因特網是一種網間網技術。
它是由無數個局域網所連成的一個巨大網絡。
當人們用一臺主機和另一局域網的主機進行通信時,通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發,如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機,他就可以劫持用戶的數據包。
第三,易被偷聽。
由于因特網上大多數數據流都沒有加密,因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行偷聽。
第四,缺乏安全意識。
雖然網絡中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。
如人們為了避開防火墻代理服務器的額外認證,進行直接的PPP連接從而避開了防火墻的保護。
1.3網絡攻擊和入侵的主要途徑
網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限,并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。
網絡入侵的主要途徑有:破譯口令、IP欺騙和DNS欺騙。
口令是計算機系統抵御入侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然后再實施攻擊活動。
這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然后再進行合法用戶口令的破譯。
IP欺騙是指攻擊者偽造別人的IP地址,讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。
它只能對某些特定的運行TCP/IP的計算機進行入侵。
IP欺騙利用了TCP/IP網絡協議的脆弱性。
在TCP的三次握手過程中,入侵者假冒被入侵主機的信任主機與被入侵主機進行連接,并對被入侵主機所信任的主機發起淹沒攻擊,使被信任的主機處于癱瘓狀態。
當主機正在進行遠程服務時,網絡入侵者最容易獲得目標網絡的信任關系,從而進行IP欺騙。
IP欺騙是建立在對目標網絡的信任關系基礎之上的。
同一網絡的計算機彼此都知道對方的地址,它們之間互相信任。
由于這種信任關系,這些計算機彼此可以不進行地址的認證而執行遠程操作。
域名系統(DNS)是一種用于TCP/IP應用程序的分布式數據庫,它提供主機名字和IP地址之間的轉換信息。
通常,網絡用戶通過UDP協議和DNS服務器進行通信,而服務器在特定的53端口監聽,并返回用戶所需的相關信息。
DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。
當攻擊者危害DNS服務器并明確地更改主機名―IP地址映射表時,DNS欺騙就會發生。
這些改變被寫入DNS服務器上的轉換表。
因而,當一個客戶機請求查詢時,用戶只能得到這個偽造的地址,該地址是一個完全處于攻擊者控制下的機器的IP地址。
因為網絡上的主機都信任DNS服務器,所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器,也可以欺騙服務器相信一個IP地址確實屬于一個被信任客戶。
1.4常見的計算機網絡攻擊方式
(1)計算機網絡監聽攻擊:計算機網絡監聽是一種監視計算機網絡狀態、數據流以及計算機網絡上傳輸信息的管理工具,它可以將計算機網絡接口設置在監聽模式,并且可以截獲計算機網絡上傳輸的信息,取得目標主機的超級用戶權限。
作為一種發展比較成熟的技術,監聽在協助計算機網絡管理員監測計算機網絡傳輸數據、排除計算機網絡故障等方面具有不可替代的作用。
然而,在另一方面計算機網絡監聽也給計算機網絡安全帶來了極大的隱患,當信息傳播的時候,只要利用工具將計算機網絡接口設置在監聽的模式,就可以將計算機網絡中正在傳播的信息截獲,從而進行攻擊。
計算機網絡監聽在計算機網絡中的任何一個位置模式下都可實施進行。
而入侵者一般都是利用了計算機網絡監聽工具來截獲用戶口令的。
(2)緩沖區溢出攻擊:簡單地說就是程序對接受的輸入數據沒有進行有效檢測導致的錯誤,后果可能造成程序崩潰或者是執行攻擊者的命令。
UNIX和Windows本身以及在這兩個系統上運行的許多應用程序都是C語言編寫的,C、C++語言對數組下標訪問越界不做檢查,是引起緩沖區溢出的根本原因。
在某些情況下,如果用戶輸入的數據長度超過應用程序給定的緩沖區,就會覆蓋其他數據區。
這就稱“緩沖區溢出”。
(3)拒絕服務攻擊:拒絕服務攻擊,即攻擊者想辦法讓目標機器停止提供服務或資源訪問。
這些資源包括磁盤空間、內存、進程甚至計算機網絡帶寬,從而阻止正常用戶的訪問。
最常見的拒絕服務攻擊有計算機網絡帶寬攻擊和連通性攻擊。
帶寬攻擊指極大的通信量沖擊計算機網絡,使得所有的計算機網絡資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。
這是由計算機網絡協議本身的安全缺陷造成的,從而拒絕服務攻擊也成為了攻擊者的終極手法。
攻擊者進行拒絕服務攻擊,實際上讓服務器實現兩種效果:一是迫使服務器緩沖區滿負荷,不接受新的請求;二是使用IP欺騙,迫使服務器把合法用戶的連接復位,影響合法用戶的連接。
2 計算機網絡安全防御策略
計算機網絡技術本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是多用戶計算機網絡系統自身的復雜性、資源共享性使得多種技術組合應用變得非常必要。
攻擊者使用的是“最易滲透原則”,必然在最有利的時間地點,從系統最薄弱的地方進行攻擊。
因此,充分、全面、完整地對系統安全漏洞和安全威脅進行分析、評估和檢測,從計算機網絡的各個層次進行技術防范是設計計算機網絡安全防御系統的必要條件。
目前采用的技術要主要有加密、認證、訪問控制、防火墻技術、入侵檢測、安全協議、漏洞掃描、病毒防治、數據備份和硬件冗余等。
2.1建立安全實時響應和應急恢復的整體防御
沒有百分之百安全和保密的計算機網絡信息,因此要求計算機網絡在被攻擊和破壞時能夠及時發現,及時反映,盡可能快地恢復計算機網絡信息中心的服務,減少損失。
所以,計算機網絡安全系統應該包括:安全防護機制、安全監測機制、安全反應機制和安全恢復機制。
安全防護機制是指根據系統具體存在的各種安全漏洞和安全威脅采取相應的防護措施,避免非法攻擊的進行;
安全監測機制是指檢測系統的運行情況,及時發現對系統進行的各種攻擊;
安全反應機制,能對攻擊作出及時的反映,有效制止攻擊的進行,防止損失擴大;
安全恢復機制,能在安全防護機制失效的情況下,進行應急處理和盡量及時地恢復信息,降低攻擊的破壞程度。
2.2建立分層管理和各級安全管理中心
建立多級安全層次和安全級別。
將計算機網絡安全系統應用分為不同的級別。
包括:對信息保密程度的分級(絕密、機密、秘密、普密);對用戶操作權限分級;對計算機網絡安全程度分級;對系統實現結構的分級等。
從而針對不同級別的安全對象,提供全面、可選的安全算法和安全體制,以滿足計算機網絡中不同層次的各種實際需求。
3 結束語
保證網絡安全和保密涉及的問題是十分復雜的,網絡安全不是單一的技術問題,而是一個集技術、管理、法規綜合作用為一體的、長期的、復雜的系統工程。
在實施過程中盡可能采取多種技術的融合和相關的管理措施,防止網絡安全問題的發生。
參考文獻:
[1]劉占全.網絡管理與防火墻[M].北京:人民郵電出版社,1999.
[2](美)Kevin D.Mitnick,William L.Simon.入侵的藝術.清華大學出版社,2007年1月.
[3]張仁斌.網絡安全技術. 清華大學出版社,2004年8月.
[4]卿斯漢.安全協議.清華大學出版社,2005年3月.
計算機網絡中的黑客攻擊與防御策略【2】
摘要:隨著計算機的使用與普及,計算機潛在的安全隱患成為了威脅日常工作正常、順利進行的一大重要因素。
文章主要針對計算機網絡中的黑客攻擊以及相關的防御策略來進行探析。
關鍵詞:計算機網絡;網絡黑客;防御策略
引言
在計算機技術與互聯網技術的普及應用下,計算機網絡已經成為人們工作、生活、學習不可或缺的重要工具。
我國有95%以上的網絡管理中心都曾經遭受到網絡黑客的攻擊。
而個人用戶由于防范意識薄弱,防范技術有限更加容易成為黑客的入侵對象。
1.計算機網絡黑客概述
網絡黑客是指網絡的攻擊者以及非法入侵者。
黑客攻擊主要是指在沒有經過他人允許的情況下非法入侵其他計算機,獲取他人信息、資料,將他人的網絡程序或硬件進行破壞。
黑客攻擊的會給所有信息用戶帶來嚴重的損失,更有甚者可能會給國家安全帶來嚴重危險。
黑客網絡攻擊已經成為一種常見的網絡犯罪。
2.黑客攻擊方式
2.1網絡報文嗅探
網絡報文嗅探主要是網絡黑客利用網絡監聽等方式來獲得用戶重要的系統信息。
例如用戶的賬號、密碼等。
如果用戶的計算機信息被網絡黑客獲取,那么其就可以入侵用戶的計算機網絡。
如果網絡黑客獲取了系統計算機的用戶賬號,就可以對其中的關鍵信息進行修改,例如計算機系統管理員的賬號與密碼等重要信息。
同時還可以給日后獲取網絡系統更多信息留下后路[1]。
2.2放置木馬程序
放置木馬程序即為網絡黑客在計算機網絡中放置一些木馬程序,例如特洛伊木馬等。
木馬程序是一種黑客程序軟件,其能夠直接攻擊計算機系統的服務器以及用戶端。
木馬程序市場被偽裝成正常的軟件程序或游戲,引誘用戶打開程序或安裝程序。
一旦用戶執行程序后,木馬程序就會潛伏在計算機當中,并且隱藏在計算機啟動時會自動啟動的程序當中。
當用戶需要連接網絡的時候,該木馬程序就會自動向黑客匯報用戶所在主機IP以及預定的端口。
當網絡黑客在獲取用戶相關信息后就能夠隨意修改用戶主機中的相關數據,拷貝用戶信息,窺探用戶數據等,進而達到控制用戶主機的目的[2]。
2.3IP欺騙
IP欺騙是網絡黑客利用計算機主機與主機之間的關系而進行的。
由于計算機在接觸網絡運行過程中IP的源頭十分不穩定,因此很容易使得用戶在通過計算機網絡來發送信息或相關數據的時候,網絡黑客入侵系統改變主機的IP路徑,使得用戶所發送的重要信息與數據轉而傳送到網絡黑客所設定的IP地質上。
這樣網絡黑客就能夠非法獲取用戶的重要數據信息,進而獲得非法利益。
網絡黑客通過繁雜的口令或端口來判斷主機之間的關系,讓攻擊者獲得遠程訪問與控制系統的權限,從而進行一系列的系統入侵攻擊行為[3]。
2.4Web欺騙
Web欺騙我即為網絡黑客所營造的一種電子欺騙,網絡黑客會在網絡中構建完整的Web世界,讓用戶相信該Web的真實性。
該Web欺騙能夠實現網絡連接,進而使得計算機出現電源故障、線路故障等。
計算機硬件故障十分容易對計算機網絡安全造成威脅,并且由于計算機網絡操作系統都配置有后臺管理系統,因此很難解決計算機網絡操作系統安全隱患。
計算機網絡是采用的大跨度、開放式的環境,因此網絡黑客的入侵十分容易給計算機網絡帶來損害。
并且由于計算機網絡有一定的隱蔽性,網絡黑客的身份無法被識別,因此也使得計算機網絡安全存在嚴重威脅。
3.防御黑客技術
3.1防火墻技術
防火墻是連接計算機與網絡之間的軟件,其將計算機內部網與互聯網相隔離,而這種隔離作用能夠在一定程度上保護網絡與計算機。
防火墻技術不單單可以在不同網絡之間、網絡安全之間的信息控制出入口使用,同時還可以根據計算機使用的實際情況來定制安全策略,從而控制網絡信息狀態。
防火墻具有強大的抗攻擊能力,其能夠實現網絡與信息安全,是網絡應用中的一個十分基礎的防護手段。
3.2計算機加密
3.2.1對稱加密技術
對稱加密技術是一種能夠根據加密與解密方式來推測出密碼制度的技術。
對稱加密體制主要是指單鑰或私鑰,在對稱加密體制中加密與解密所以用到的密鑰是相同的,也就是說可以通過加密密鑰來獲得解密密鑰。
這一特征就要求通信雙方在實行通信前必須約定好制定的密鑰。
在對稱密碼體制中包括分組密碼和序列密碼。
常見的對稱加密算法有DES、AES等。
3.2.2非對稱加密技術
非對稱密碼體制主要就是指加密與解密過程中的密鑰是一對,加密的密鑰是公鑰,是屬于公開信息,而解密密鑰即為私鑰,需要實行保護。
加密密鑰和解密密鑰是相互獨立的,不能實現相互推算。
常見的非對稱加解密算法有RSA算法、ECC等。
3.3安全隔離技術
安全隔離技術主要有以下幾種:安全隔離技術,采用獨立設備以及線路來訪不同的網絡,進而實現完全的物理空間隔離,需要相關的網絡配套系統。
數據傳播過程隔離技術,是通過計算機網絡中傳播系統分時復制計算機文件的途徑來實現隔離。
安全通道隔離技術,是一種交換協議安全制度,能夠實現網絡隔離與數據交換。
3.3隱藏IP
要避免黑客獲取計算機IP可以通過隱藏IP的方式來避免自己的IP泄露。
例如可以使用數據包分析方法、相關IP隱藏軟件都能夠實現隱藏IP的功能。
4.結束語
網絡黑客的攻擊時常給人們帶來巨大的經濟損失。
網絡黑客攻擊的出現與存在給眾多計算機網絡用戶的信息安全以及經濟安全都帶來了嚴重威脅。
熟悉網絡黑客攻擊方式,掌握防御黑客攻擊能夠有效提升計算機的使用安全。
參考文獻:
[1]王小龍,劉光輝.計算機網絡中的黑客攻擊技術及防御技術解析[J].數字技術與應用,2011,(10):214+217.
[2]楊峰.計算機網絡中的黑客攻擊技術及其防御技術研究[J].軟件導刊,2013,(08):131-132.
[3]林闖,萬劍雄,向旭東.計算機系統與計算機網絡中的動態優化:模型、求解與應用[J].計算機學報,2012,(07):1339-1357.
【計算機網絡攻擊與防御】相關文章:
計算機網絡攻擊方式與防御技術論文10-08
計算機網絡防御策略模型10-26
探析計算機網絡應對防范攻擊論文10-08
計算機網絡的防御策略技術論文10-09
計算機網絡的防御策略的描述語言10-26
計算機網絡遠程攻擊系統論析論文10-08
計算機網絡技術安全及防御措施論文10-08
計算機網絡防御策略關鍵技術分析論文10-09
計算機網絡防御策略求精的關鍵技術論文10-08
計算機網絡防御策略求精關鍵技術探究論文10-09