关键词: 计算机网络
网络攻击的预防措施(精选11篇)
篇1:网络攻击的预防措施
针对系统、网络协议及数据库等,无论是其自身的设计缺陷,还是由于人为的因素产生的各种安全漏洞,都可能被一些另有图谋的 所利用并发起攻击,若要保证网络安全、可靠,要熟知 网络攻击的过程。只有这样方可在客攻击前做好必要的防备,确保网络运行的安全和可靠。
目前造成网络不安全的主要因素是系统、协议及数据库等的设计上存在缺陷。由于当今的计算机网络操作系统在本身结构设计和代码设计时偏重考虑系统使用时的方便性,导致了系统在远程访问、权限控制和口令管理等许多方面存在安全漏洞。
网络互连一般采用TCP/IP协议,它是一个工业标准的协议簇,但该协议簇在制订之初,对安全问题考虑不多,协议中有很多的安全漏洞。同样,数据库管理系统(DBMS)也存在数据的安全性、权限管理及远程访问等方面问题,在DBMS或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。
由此可见,针对系统、网络协议及数据库等,无论是其自身的设计缺陷,还是由于人为的因素产生的各种安全漏洞,都可能被一些另有图谋的 所利用并发起攻击。因此若要保证网络安全、可靠,则必须熟知 网络攻击的一般过程。只有这样方可在客攻击前做好必要的防备,从而确保网络运行的安全和可靠。
一、攻击网络的一般过程
1、信息的收集
信息的收集并不对目标产生危害,只是为进一步的入侵提供有用信息。 可能会利用下列的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息。
2、系统安全弱点的探测
在收集到一些准备要攻击目标的信息后, 们会探测目标网络上的每台主机,来寻求系统内部的安全漏洞。
3、建立模拟环境,进行模拟攻击
根据前面两小点所得的信息,建立一个类似攻击对象的模拟环境,然后对此模拟目标进行一系列的攻击。在此期间,通过检查被攻击方的日志,观察检测工具对攻击的反应,可以进一步了解在攻击过程中留下的“痕迹”及被攻击方的状态,以此来制定一个较为周密的攻击策略。
4、具体实施网络攻击
入侵者根据前几步所获得的信息,同时结合自身的水平及经验总结出相应的攻击方法,在进行模拟攻击的实践后,将等待时机,以备实施真正的网络攻击。
二、协议欺骗攻击及其防范措施
1、源IP地址欺骗攻击
许多应用程序认为若数据包可以使其自身沿着路由到达目的地,并且应答包也可回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的一个重要前提。
假设同一网段内有两台主机A和B,另一网段内有主机X。B 授予A某些特权。X 为获得与A相同的特权,所做欺骗攻击如下:首先,X冒充A,向主机 B发送一个带有随机序列号的SYN包。主机B响应,回送一个应答包给A,该应答号等于原序列号加1。
然而,此时主机A已被主机X利用拒绝服务攻击 “淹没”了,导致主机A服务失效,
结果,主机A将B发来的包丢弃。为了完成三次握手,X还需要向B回送一个应答包,其应答号等于B向A发送数据包的序列号加1。
此时主机X 并不能检测到主机B的数据包(因为不在同一网段),只有利用TCP顺序号估算法来预测应答包的顺序号并将其发送给目标机B。如果猜测正确,B则认为收到的ACK是来自内部主机A。此时,X即获得了主机A在主机B上所享有的特权,并开始对这些服务实施攻击。
要防止源IP地址欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:
(1)抛弃基于地址的信任策略 阻止这类攻击的一种十分容易的办法就是放弃以地址为基础的验证。不允许r类远程调用命令的使用;删除.rhosts 文件;清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段,如telnet、ssh、skey等等。
(2)使用加密方法在包发送到网络上之前,我们可以对它进行加密。虽然加密过程要求适当改变目前的网络环境,但它将保证数据的完整性、真实性和保密性。
(3)进行包过滤 可以配置路由器使其能够拒绝网络外部与本网内具有相同IP地址的连接请求。而且,当包的IP地址不在本网内时,路由器不应该把本网主机的包发送出去。有一点要注意,路由器虽然可以封锁试图到***部网络的特定类型的包。但它们也是通过分析测试源地址来实现操作的。因此,它们仅能对声称是来自于内部网络的外来包进行过滤,若你的网络存在外部可信任主机,那么路由器将无法防止别人冒充这些主机进行IP欺骗。
2、源路由欺骗攻击
在通常情况下,信息包从起点到终点所走的路是由位于此两点间的路由器决定的,数据包本身只知道去往何处,而不知道该如何去。源路由可使信息包的发送者将此数据包要经过的路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机。下面仍以上述源IP欺骗中的例子给出这种攻击的形式:
主机A享有主机B的某些特权,主机X想冒充主机A从主机B(假设IP为aaa.bbb.ccc.ddd)获得某些服务。首先,攻击者修改距离X最近的路由器,使得到达此路由器且包含目的地址aaa.bbb.ccc.ddd的数据包以主机X所在的网络为目的地;然后,攻击者X利用IP欺骗向主机B发送源路由(指定最近的路由器)数据包。当B回送数据包时,就传送到被更改过的路由器。这就使一个入侵者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据。
为了防范源路由欺骗攻击,一般采用下面两种措施:
对付这种攻击最好的办法是配置好路由器,使它抛弃那些由外部网进来的却声称是内部主机的报文。
在路由器上关闭源路由。用命令no ip source-route。
三、拒绝服务攻击及预防措施
在拒绝服务攻击中,攻击者加载过多的服务将对方资源全部使用,使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。
SYN Flood常常是源IP地址欺骗攻击的前奏,又称半开式连接攻击,每当我们进行一次标准的TCP连接就会有一个三次握手的过程,而SYN Flood在它的实现过程中只有三次握手的前两个步骤,当服务方收到请求方的SYN并回送SYN-ACK确认报文后,请求方由于采用源地址欺骗等手段,致使服务方得不到ACK回应,这样,服务方会在一定时间内处于等待接收请求方ACK报文的状态,一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器的系统可用资源、网络可用带宽急剧下降,将无法向其它用户提供正常的网络服务。
篇2:网络攻击的预防措施
一、基于网络的缓解威胁措施:
·安装具有跟踪通讯流(如DYN、ICMP等)功能的IDS/IPS系统。
·安装一个防火墙。这种防火墙能够丢弃数据包,不让数据包达到内部的服务器,
这种网络服务器的性质是让你允许从互联网使用HTTP协议访问服务器。你需要监视服务器以便确定在什么地方封锁通讯。
·拥有你的互联网服务提供商的应急管理团队(或者应急反应团队或者能够对这种事件做出反应的团队)的联络电话号码。你首先需要联系他们以便阻止攻击达到你的网络范围。
二、基于托管的缓解威胁措施:
·保证HTTP开放进程在合理的时间内超时。当发生攻击的时候,你需要减少这个时间。
·保证TCP进程在合理的时间内超时。
·安装一个基于托管的防火墙,阻止HTTP线程变成攻击数据包。
三、预防性措施:
篇3:民办高校预防网络攻击的研究
关键词:民办高校,网络攻击,预防,研究
1 网络攻击
1.1 网络攻击所使用的方式及危害
1.1.1 网络窃听
网络窃听是HOST的一种工作方式, 在这种方式下, HOST可以窃取所有该物理通道畅通的信息和数据, 而不管这些信息的发送和接收方是哪里。
1.1.2 口令拦截
用户在远程登录到系统当中是, 需要登录系统的用户名和口令, 那么在传输口令的同时, 被对方中途所拦截, 导致用户的所有数据几乎可以被全部所掌握。
1.1.3 内置木马
Trojan木马指通过特殊的程序操控其他计算机, 它自身可包含两个端点, 即主控端UNIVERSAL与被控端TRANSITIVE。木马自身是不会触发的, 通常附加在其他计划或常规程序正常执行后被连带触发, 才使它自身生效, 导致用户文件被破坏丢失等。特点是运行时不易被察觉, 木马文件本身较轻, 运行后直接进入系统Boot区域, 自身可复制隐藏, 执行非正常运行。
1.1.4 WEB欺骗
WEB欺骗是互联网WEB的制作者, 欺骗spider, 欺骗爬虫做恶意优化。绕过管理后台, 从而绕过入口数据合法性验证。易受SQL注入攻击, 密钥的安全性攻击, 对于我们来说, 应该把安全重点放在:提交内容包括URL、查询关键字、HTTP HEAD、POST数据可靠的输入验证上。
1.1.5 Email攻击
Email是当今INTERNET使用最广泛的一种代表正式性的通信与联系方式。Email攻击通常包含恶意邮件攻击与常规邮件附带恶意病毒或木马等攻击, 是一种潜藏的攻击手段, Email攻击是现如今使用较流行的攻击手段。例如垃圾邮件、伪造邮件、拒绝服务等。
1.1.6 系统漏洞攻击
许多系统都有这样那样的安全漏洞 (Bugs) 。当通过安全软件进行系统检测时发现系统有很多漏洞, 其实这些漏洞也包含系统本身的和其他软件的漏洞, 攻击者会通过系统本身的漏洞采取入侵与攻击, 通过其他软件的漏洞达到攻击系统或其软件自身的目的。因此, 系统会经常蓝屏死机, 不能正行执行正常的软件等一系状况。
1.2 目前所使用的网络安全对策
1.2.1 检索黑客
一般很难发现web站点是否被人入侵。即便站点上有黑客入侵, 也可能永远不会被察觉。如果黑客破坏了站点的安全性, 则可以定位他们。利用下面的方发我们呢可以找到可黑的藏身之处。
1) 入侵者正在行动时, 捉住入侵者。例如, 当管理员正在工作时, 发现有人使用超级用户的账号通过拨号终端登录, 而超级用户口令只有管理员本人知道;
2) 其他站点的管理员那里收到邮件, 称从本站点有人对“他”的站点大肆活动;
3) 根据系统中一些奇怪的现象, 发现入侵者。例如, 不正常的上机连接及连接次数, 系统崩溃, 突然的磁盘存储活动等;
4) 检查系统命令Login的使用情况。在Windows NT平台上, 可以定期检查Security Log探索可疑行为。
1.2.2 正确面对
1) 发现黑客后, 会有许多选择。但是不管发生什么事, 必须慎重的思考才可采取行动;
2) 记录每一件日志, 包括时间和日期;
3) 预算破坏程度;
4) 采取相应措施。能否关闭Server, 若不能, 也可关闭一些服务;若打算追踪黑客, 则不要关闭互联网的连接, 否则会失去入侵者的踪迹。
1.2.3 临时处理
发现入侵后, 管理人员的主要目的不是纵容他们, 而是应把保护用户、保护网站的文件和系统资源放在首位。例如:
1) 利用nslookup、finger、rusers等工具跟踪这个连接, 找出入侵者的来路和身份;
2) 管理员用snoop、ps、lastcomm、ttywatch等工具来监视入侵者, 观察他们的动机;
3) 杀死进程来切断入侵者与系统的连接。断开物理连接线路或设备;
4) 找出系统安全漏洞并修补漏洞, 再次恢复系统。
1.3 被入侵后应采取的策略与手段
针对攻击采取逐级逐步分析与判断, 缜密制定限制策略。制定互联网应用层、网络层、数据链路层等OSI模型内部层次的安全, 达到确保攻击在其上无计可施。重视预防, 定期做差异、增量、全部等数据备份。具体如下:
1) 加强防御意识;
2) 使用防毒、防黑等防火墙软件;
3) 设置代理服务器, 隐藏自己的IP地址;
4) 定时更新病毒库, 开启全部病毒引擎, 例如360杀毒引用的双引擎 (Bitdefender和小红伞) , 将杀毒软件运行在正常防御状态, 以防止病毒常驻引导区与活动进程间。
5) 个人与企业数据定期做异地备份与多级备份。
2 反入侵与攻击技术的未来发展方向
在高校信息化建设的潮流中, 入侵与反入侵, 攻击与防御攻击始终是高校实验管理技术人员不断探索, 不断挖掘的一个热门问题, 在不断提高自身工作效率, 增强校园系统维护安全竞争意识, 促使信息化建设真正有效地为师生服务, 是极其艰巨的问题;这也是一个不断尝试, 不断改进和完善的过程。入侵检测技术与入侵防御系统是我们在民办高校预防网络攻击的重点研究过程。
3 结论
从未来反黑技术角度出发, 网络安全产品包括基于客户端服务器模式的防病毒系统、加密信息系统、入侵检测与防御系统、数字证书等市场将具有巨大的憧憬, 利用这些网络解决方案足够使高校计算机实验管理技术人员面对这些威胁的攻击与侵害, 但什么事都不是绝对的。原因是入侵检测系统速度<网络传输速度, 漏报与误报率增高, 入侵检测产品和其它网络安全产品结合问题等期间的信息交换, 共同协作发现攻击并阻击攻击, 入侵检测系统对数据流的加密与交换网络下的数据流不能进行CHECK, 并且其本身也易受攻击, 入侵检测系统体系结构不完整。因此采取主动防御对实验技术人员来说更具有挑战性, 未来黑客攻击的防御手段和黑客攻击技术的探索是一个不能终止的问题, 但是我们高校计算机实验管理技术人员一定要跟得上当前的形式, 不求超越, 但求认真的把计算机系统的安全性提到最高, 威胁程度降到最低, 给高校网络及计算机系统带来绿色的环境。
参考文献
[1]张玉清.网络攻击与防御技术.清华大学出版社, 2011-01-01.
[2]王绍斌, 王昭顺.信息系统攻击与防御, 电子工业出版社, 2007-10-01.
[3]师鸣若.网络攻防工具.电子工业出版社, 2009-09-01.
[4]李瑞民.网络扫描技术揭秘, 机械工业出版社, 2012-01-01.
篇4:网络攻击的常见手段及防范措施
【关键词】 网络安全;网络攻击;安全策略
一、常见网络攻击的原理和手段
1.口令入侵。口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。获得用户账号的方法很多,如利用目标主机的Finger功能、X.500服务、从电子邮件地址中收集、查看习惯性账号。获取用户的账号后,利用一些专门软件强行破解用户口令。
2.放置特洛伊木马程序。特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开或下载,一旦用户打开或者执行了这些程序,就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当你连接到因特网上时,这个程序就会通知攻击者,来报告你的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用预先潜伏的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,达到控制你的计算机的目的。
3.电子邮件攻击。电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,使目的邮箱被撑爆而无法使用。攻击者还可以佯装系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。
4.网络监听。网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,不管这些信息的发送方和接收方是谁。系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和账号在内的信息资料。
5.安全漏洞攻击。许多系统都有这样那样的安全漏洞(B ugs)。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。
二、网络攻击应对策略
1.利用安全防范技术。(1)加密技术。加密技术主要分为公开算法和私有算法两种,私有算法是运用起来是比较简单和运算速度比较快,缺点是一旦被解密者追踪到算法,算法就彻底废了。公开算法的算法是公开,有的是不可逆,有用公钥,私钥的,优点是非常难破解,可广泛用于各种应用;缺点是运算速度较慢,使用时很不方便。(2)身份认证技术。身份认证技术在电子商务应用中是极为重要的核心安全技术之一,主要在数字签名是用公钥私钥的方式保证文件是由使用者发出的和保证数据的安全。在网络应用中有第三方认证技术Kerberos,可以使用户使用的密码在网络传送中,每次均不一样,可以有效的保证数据安全和方便用户在网络登入其它机器的过程中不需要重复输入密码。(3)防火墙。防火墙技术是比较重要的一个桥梁,以用来过滤内部网络和外部网络环境,在网络安全方面,它的核心技术就是包过滤,高级防火墙还具有地址转换,虚拟私网等功能。
2.制订安全策略。(1)提高安全意识。一是不随意打开来历不明的电子邮件及文件,不随意运行不明程序;二是尽量避免从Internet下载不明软件,一旦下载软件及时用最新的病毒和木马查杀软件进行扫描;三是密码设置尽可能使用字母数字混排,不容易穷举,重要密码最好经常更换;四是及时下载安装系统补丁程序。(2)使用防毒、防黑等防火墙。防火墙是用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。(3)设置代理服务器,隐藏自己的IP地址。事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法,保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务。(4)将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。(5)对于重要的资料做好严密的保护,并养成资料备份的习惯。
参考文献
[1]耿杰,方风波.计算机网络安全与实训[M].北京:科学出版社出版,2006:155~158
[2]刘远生.计算机网络安全[M].北京:清华大学出版社出版,2006:229~244
篇5:网络攻击的预防措施
1常见的计算机网络攻击手段
1.1电脑高手攻击
电脑高手通常都比较了解计算机系统和网络漏洞,电脑高手会利用很多网络手段攻击计算机网络,从而对计算机网络安全的维护构成很大危害。比较常见的电脑高手手段有:通过非法的手段来截获网络上传播的数据信息、恶意修改网络程序来破坏网络的运行等等。
1.2病毒攻击手段
病毒软件是威胁计算机网络安全的主要手段之一。计算机病毒是人为编写的破坏型指令或程序,当侵入计算机系统后,就会被激发进而破坏计算机系统或进行其他操作,给用户造成损失。计算机病毒的种类有很多,包括复合型病毒、系统引导病毒、宏病毒、文件型病毒等等病毒蠕虫和木马。而且计算机病毒可以自我复制、自动传播,不容易被发现,还变化多端,比杀毒软件发展的更快。人们在用计算机上网的过程中,很容易被病毒程序侵入。一旦计算机感染上病毒就会出现很多安全隐患。比如,当病毒侵入计算机系统之后,有可能造成电脑死机、数据丢失、数据被盗取、数据被恶意修改、计算机系统被恶意破坏等等,更严重者可能危害到网络的正常运行。
1.3拒绝服务攻击手段
篇6:攻击无限网络的方法
攻击无限网络的方法
,
篇7:网络攻击技术与攻击工具六大趋势
趋势一:自动化程度和攻击速度提高
攻击工具的自动化水平不断提高。自动攻击一般涉及四个阶段,在每个阶段都出现了新变化。扫描可能的受害者。自1997年起,广泛的扫描变见惯。目前,扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。损害脆弱的系统。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。传播攻击。在2000年之前,攻击工具需要人来发动新一轮攻击。目前,攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。攻击工具的协调管理。随着分布式攻击工具的出现,攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。目前,分布式攻击工具能够更有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。
趋势二:攻击工具越来越复杂
攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。攻击工具具有三个特点:反侦破,攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;动态行为,早期的攻击工具是以单一确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为;攻击工具的成熟性,与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。
此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协议)等协议,从入侵者那里向受攻击的计算机发送数据或命令,使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。
趋势三:发现安全漏洞越来越快
新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。
趋势四:防火墙渗透率越来越高
防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙,例如,IPP(Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。
趋势五:威胁越来越不对称
Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到
全球Internet上其他系统的安全状态。由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高,威胁的将继续增加。
趋势六:对基础设施将形成的威胁越来越大
基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务,基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。
拒绝服务攻击利用多个系统攻击一个或多个受害系统,使受攻击系统拒绝向其合法用户提供服务。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块,电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。由于Internet是由有限而可消耗的资源组成,并且Internet的安全性是高度相互依赖的,因此拒绝服务攻击十分有效。
蠕虫病毒是一种自我繁殖的恶意代码。与需要用户做某种事才能继续繁殖的病毒不同,蠕虫病毒可以自我繁殖。再加上它们可以利用大量安全漏洞,会使大量的系统在几个小时内受到攻击。一些蠕虫病毒包括内置的拒绝服务攻击载荷或Web站点损毁载荷,另一些蠕虫病毒则具有动态配置功能。但是,这些蠕虫病毒的最大影响力是,由于它们传播时生成海量的扫描传输流,它们的传播实际上在Internet上生成了拒绝攻击,造成大量间接的破坏(这样的例子包括:DSL路由器瘫痪;并非扫描本身造成的而是扫描引发的基础网络管理(ARP)传输流激增造成的电缆调制解制器ISP网络全面超载)。
DNS是一种将名字翻译为数字IP地址的分布式分级全球目录。这种目录结构最上面的两层对于Internet运行至关重要。在顶层中有13个“根”名服务器。下一层为顶级域名(TLD)服务器,这些服务器负责管理“.com”、“.net”等域名以及国家代码顶级域名。DNS面临的威胁包括:缓存区中毒,如果使DNS缓存伪造信息的话,攻击者可以改变发向合法站点的传输流方向,使它传送到攻击者控制的站点上;破坏数据,攻击者攻击脆弱的DNS服务器,获得修改提供给用户的数据的能力;拒绝服务,对某些TLD域名服务器的大规模拒绝服务攻击会造成Internet速度普遍下降或停止运行;域劫持,通过利用客户升级自己的域注册信息所使用的不安全机制,攻击者可以接管域注册过程来控制合法的域。
路由器是一种指挥Internet上传输流方向的专用计算机。路由器面临的威胁有:将路由器作为攻击平台,入侵者利用不安全的路由器作为生成对其他站点的扫描或侦察的平台;拒绝服务,尽管路由器在设计上可以传送大量的传输流,但是它常常不能处理传送给它的同样数量的传输流,入侵者利用这种特性攻击连接到网络上的路由器,而不是直接攻击网络上的系统;利用路由器之间的信赖关系,路由器若要完成任务,就必须知道向哪里发送接收到的传输流,路由器通过共享它们之间的路由信息来做到这点,而这要求路由器信赖其收到的来自其他路由器的信息,因此攻击者可以比较容易地修改、删除全球Internet路由表或将路由输入到全球Internet路由表中,将发送到一个网络的传输流改向传送到另一个网络,从而造成对两个网络的拒绝服务攻击。尽管路由器保护技术早已可供广泛使用,但是许多用户没有利用
篇8:计算机网络攻击的主要防治措施
1 访问控制
访问控制的主要任务是保证网络资源不被非法使用和非法访问, 它也是维护网络系统安全并保护网络资源的重要手段。访问控制策略由访问网络时进行控制、个人使用权限控制、有效操作目录控制、防火墙技术控制、属性设定控制、网络服务器安全控制、网络监测控制等几部分构成。
1.1 访问网络时进行控制。
访问网络时进行控制是网络访问的第一层关卡。它只允许有权限的用户登陆到服务器和获取需要的资源, 对用户登陆进入的时间和从哪台工作站入网进行控制。整个用户的入网过程需要经过两个步骤来实现:验证检查用户名称和用户口令、检查用户帐号的默认权限。只要有任意一个步骤发生问题, 用户就被拒绝进入该网络。
口令是计算机系统抵御入侵者的一种重要手段。防止非法用户企图进入的第一步是对网络用户的用户名和口令进行验证。用户在登录时需要输入用户名和口令, 服务器首先验证所输入的用户名是否存在且合法, 如果验证合法, 再继续验证用户输入的口令, 不合法则拒绝访问。其中用户的口令最为重要, 因为用户名是公开的, 只有口令是用户自己私有的, 因此对用户口令加密也是必不可少的, 口令加密的方法很多, 最常见的方法有基于单向函数的口令加密、基于测试模式的口令加密等。经过各种方法加密的口令, 安全性达到足够提高, 即使是系统管理员也不能得到[2]。
系统管理员对用户的使用帐户、用户访问网络的时间和方式进行控制和限制。用户名或用户帐户是所有计算机系统中最基本的安全形式, 且只有系统管理员才有权限建立。用户口令是每个用户需要访问网络时必须提交的, 用户可以自行修改自己的口令, 系统管理员可以制定强有力的密码管理措施, 包括规定最短密码长度、复杂性、更换周期[3]。
1.2 个人使用权限控制。
个人使用权限控制是为了防止可能出现的网络非法操作而提出的一种安全保护措施, 其所针对的主要是合法的用户。利用赋予用户或用户组一定的操作权限, 对用户或用户组访问网络中的计算机和服务器加以控制, 避免有越权操作的情况出现, 规定用户可以访问哪些目录、子目录、文件和其他资源以及进行何种操作。依据可访问的权限可以将用户分为:系统管理员, 对网络、系统和资源有特权操作的用户;一般普通用户, 根据实际需要来分配操作权限。
1.3 有效操作目录控制。
在目录安全的允许下, 用户在目录一级的操作对目录中的所有文件和子文件都是有效的。对目录下的子目录和文件用户也可进行操作。系统管理员指定用户各自的访问权限, 控制着用户的各种访问, 在加强网络和服务器的安全性的同时保证用户能够按时顺利的完成工作任务。对目录和文件的访问权限常规的有:创建权限、修改权限、删除权限、读取权限、写入权限和查找权限等。
1.4 防火墙技术控制。
防火墙是介于内网与外网之间的安全防范系统, 实现内网与外网连接的访问控制。它是硬件和软件的组合, 运作在网络网关服务器上, 隔离被保护的内部网络, 使私有网络资源免遭其他网络使用者的擅用或侵入, 是系统对外防御的第一道防线。防火墙通常安装在网络边界上, 并与网络的其他部分隔开, 使访问者无法直接存取内部网络资源。防火墙实现的机制有包过滤、代理服务器、状态表检测等。
1.5 属性设定控制。
系统管理员需要对文件、目录和网络设备等指定访问属性。用户只能依照网络服务器的文件、目录和网络设备各自的访问属性进行访问。属性设定控制还可以对重要的目录和文件进行保护, 防止用户因失误而造成的的错误删除等操作。用户对网络资源的操作权限需要依照访问控制表中给各项资源标示出的安全属性。属性能够控制写入数据、文件复制、删除目录或文件、隐含文件、查看目录和文件、执行文件、共享、系统属性等。
1.6 网络服务器安全控制。
对于网络信息的完整性、保密性、可靠性等方面, 都有一些重要的性能指标, 如信息的防篡改性、隔离性、容错性等。合法的用户且具有相应的权限可以在服务器控制台上执行一些操作。为避免和防止非法用户对网络服务器修改、删除重要信息或破坏数据, 可对其设置口令加以锁定, 并限制服务器登录的时间, 对非法访问者加以检测[4]。
1.7 网络监测控制。
对网络实施监控, 并对用户访问网络资源的情况进行记录。在出现非法访问时, 服务器以声音或文字等形式提醒系统管理员注意, 从而阻止其操作。预先设定访问次数, 对于企图非法进入网络的行为自动记录, 在达到预先设定的数值后, 自动锁定该帐户。
2 入侵检测
入侵检测作为应用在网络和信息安全领域上的重要技术, 是整个计算机系统安全防护体系的重要组成部分。网络入侵检测技术的目的是提供实时的入侵检测以及采取一些相应的防护手段, 对网络中传输的数据进行分析, 寻找出可能是入侵的行为, 然后报警提醒注意或者直接切断入侵的线路, 提高计算机系统抵御攻击的能力。可以把入侵检测当作防火墙后的第二道安全防线, 它在不影响网络正常性能的情况下对网络进行监控, 对内部攻击、外部攻击和误用误操作进行防范, 它既检测来自外部的入侵行为, 又对内部用户未授权的行为进行检测。
2.1 异常入侵检测。
异常入侵检测指的是根据不正常的行为模式或者非正常使用计算机情况来检测入侵行为。首先需要定义一组系统认为正常情况的数值。再将系统运行时的数据与正常情况下的数据相比较, 检测是否有入侵的情况。如果不匹配, 则说明该行为是异常行为模式, 应该提出警告。异常检测的前提是入侵行为异常于正常的行为活动。
此检测方法的主要优点是漏报率相对比较小, 因为正常的行为数据最开始就有定义出, 这使得大部分的入侵行为所导致的异常情况都能被检测出来。不仅可以检测出已知的入侵行为, 未知的入侵行为也能识别出。缺点是由于实际情况的限制, 不可能把所有正常行为的系统数据全部列出, 这样就会造成某些正常的使用行为被当作入侵行为检测出来, 产生误报。并且当出现具有入侵性但又表现正常的行为时也会出现漏检。
2.2 误用入侵检测。
误用入侵检测是入侵检测系统中常用的检测手段之一, 入侵者通常是利用系统和软件中固有存在的漏洞来进行攻击, 因此根据已知的入侵模式, 指定出一些规则, 如果某个行为与其中的任何一条规则相符合, 则被认为是入侵行为。
此检测方法的主要优点是将正常行为当成入侵行为的误报可能性很小, 因为异常的行为都有被准确的定义出。误用检测的方法也比较简单, 只需要检测是否匹配, 而且只需要收集相关的数据, 极大减少了系统的负担, 准确率和效率都比较高。缺点是想要把所有的入侵行为都列举出是不行的, 而且还存在未知的入侵方式。这样就会出现漏报的情况, 无法将某些入侵行为检测出来。而且把一种入侵方式转化成为一种模式也是比较困难的, 如果不能正确有效的说明模式, 就不能发现入侵。
参考文献
[1]唐淑君, 李肖坚, 韦刚, 等.基于攻击描述语言的计算机网络攻击演练研究[J].计算机应用研究.2008, 25 (3) :906-914.
[2]周军.计算机网络攻击与防御浅析[J].电脑知识与技术.2007, 4 (18) :1563.
[3]姜瑜.计算机网络攻击中的社会工程学研究[J].湖南经济管理干部学院学报.2006, 17 (6) :279-280.
篇9:网络攻击的预防措施
关键词:网络攻击;口令保护;漏洞
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 10-0088-01
为了加强网络安全建设,用户应当在对网络攻击进行分析与识别的基础上,认真制定有针对性地策略。明确安全对象,设置强有力的安全保障体系。有的放矢,在网络中层层设防,发挥网络的每层作用,使每一层都成为一道关卡,才能全方位地抗拒各种不同的威胁和脆弱性,确保网络信息的保密性、完整性、可用性。
一、防范措施
(1)提高安全意识:不要随意打开来历不明的电子邮件及文件,不要运行来历不明的软件和盗版软件。不要随便从Internet上下载软件,尤其是不可靠的FIP站点和非授权的软件分发点。即使从知名的网站下载的软件也要及时用最新的杀毒软件进行扫描。(2)防字典攻击和口令保护:选择12-15个字符组成口令,尽肯能使用字母数字混排,并且在任何字典上都查不到,那么口令就不可能被轻易窃取了。不要用个人信息(如生日、名字等),口令中要有一些非字母(数字、标点符号、控制字符等),还要好记一些,不能写在纸上或计算机中的文件中,选择口令的一个好办法是将两个相关的词用一个数字或控制字符相连。重要的口令最好经常更换。(3)及时下载安装系统补丁程序。(4)不随便运行黑客程序,不少这类程序运行时会发出用户的个人信息:在支持HTML的BBS上,如发现提交警告,现看源代码,很可能是骗取密码的陷阱。经常运行专门的反黑客软件,不要时应在系统中安装具有实时监测、拦截、查找黑客攻击程序的工具。经常采用扫描工具软件扫描,以发现漏洞并及早采取弥补措施。(5)使用能防病毒、防黑客的防火墙软件:防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻挡外部网络的侵入。将防毒、防黑客当成日常例行工作,定时更新防毒软件,将防毒软件保持在常驻状态,以彻底防毒。由于黑客经常会针对特定的日期发动攻击,用户在此期间应特别提高警惕。(6)设置代理服务器,隐藏自己的IP地址:保护自己的IP地址是很重要的。事实上,即便用户的计算机上被安装了木马程序,若没有用户的IP地址,攻击者也是没有办法的,而保护IP地址的最好办法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后他根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。(7)安装过滤器路由器,防止IP欺骗:防止IP欺骗站点的最好办法是安装一台过滤器路由器,该路由器限制对本站点外部接口的输入,监视数据包,可发现IP欺骗。应不允许那些以本站点内部网为源地址的包通过,还应该过滤去那些以不同于内部网为源地址的包输出,以防止从本站点进行IP欺骗。(8)建立完善的访问控制策略:访问控制时网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常反问。它也是维护网络系统安全、保护网络资源的重要手段。要正确地设置入网访问控制、网络权限控制、目录等级控制、属性安全控制、网络服务的安全控制。网络端口和节点的安全控制、防火墙控制等安全机制。各种安全访问控制互相配合,可以达到保护系统的最佳效果。(9)采用加密技术:不要在网络上传输未经加密的口令和重要文件、信息。(10)做好备份工作:经常检查系统注册表,做好数据备份工作。
二、处理对策
(1)发现攻击者。一般很难发现网络系统是否被人入侵。即便系统上有攻击者入侵,也可能永远不被发现。如果攻击者破坏了网络系统的安全性,则可以追踪他们。借助下面一些途径可以发现攻击者。(2)攻击者正在行动时,捉住攻击者。例如,当管理员正在工作时,发现有人使用超级用户的帐号通过拨号终端登陆,而超级用户口令只有管理员本人知道。(3)根据系统发生的一些改变推断系统以被入侵。(4)其他站点的管理员那里收到邮件,称从本站点有人对“他”的站点大肆活动。(5)根据网络系统中一些奇怪的现象,发现攻击者。例如,不正常的主机连接及连接次数,系统崩溃,突然的磁盘存储活动或者系统突然变得非常缓慢等。(6)经常注意登陆文件并对可逆行为进行快速检查,检查访问及错误登陆文件,检查系统命令如login等的使用情况。在Windows NT平台上,可以定期检查Event Log中的Security Log,以寻找可疑行为。(7)使用一些工具软件可以帮助发现攻击者。
三、处理原则
(1)不要惊慌。发现攻击者后会有许多选择,但是不管发生什么事,没有慎重的思考就去行动,只会使事情变得更糟。(2)记录每一件事情,甚至包括日期和时间。(3)估计形势。估计入侵造成的破坏程度,攻击者是否还滞留在系统中?威胁是否来自内部?攻击者身份及目的?若关闭服务器,是否能承受得起失去有用系统信息的损失?(4)采取相应措施。一旦了解形势之后,就应着手做出决定并采取相应的措施,能否关闭服务器?若不能,也可关闭一些服务或至少拒绝一些人;是否关心追踪攻击者?若打算如此,则不要关闭Internet联接,因为还会失去攻击者的踪迹。
四、发现攻击者后的处理对策
发现攻击者后,网络管理员的主要目的不是抓住他们,而是应把保护用户、保护网络系统的文件和资源放在首位。因此,可采取下面某些对策。
(1)不理睬。(2)使用write或talk工具询问他们究竟想要做什么。(3)跟踪这个连接,找出攻击者的来路和身份。这时候,nslookup、finger、rusers等工具很有用。(4)管理员可以使用一些工具来监视攻击者,观察他们正在做什么。这些工具包括snoop、ps、lastcomm、ttywatch等。(5)杀死这个进程来切断攻击者与系统的连接。断开调制解调器与网络线的连接,或者关闭服务器。(6)找出安全漏洞并修补漏洞,在恢复系统。(7)最后,根据记录的整个文件的发生发展过程,编档保存并从中吸取经验教训。
总之,面对当前如此猖獗的黑客攻击,必须做好网络的防范工作。正所谓对症下药,只有了解了攻击者的手法,才能更好地采取措施,来保护网络与计算机系统的正常运行。
参考文献:
[1]戚文静.网络安全与管理[M].中国水利水电出版社,2010
[2]刘远生.网络安全技术与应用实践[M].清华大学出版社,2010
篇10:网络嗅探攻击的原理及应用
网络嗅探攻击的原理及应用
,
篇11:细说网络攻击
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括:
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机,
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service
pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据,
通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
防御:在防火墙上过滤来自同一主机的后续连接。 未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
