因特網(wǎng)人為攻擊及防范對(duì)策

　　因特網(wǎng)人為攻擊及防范對(duì)策

　　[摘 要]計(jì)算機(jī)網(wǎng)絡(luò)安全隨著使用者的變化而變化，使用者不同，對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也就不同。

　　普通使用者可能僅僅希望個(gè)人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時(shí)受到保護(hù)就OK了，有的還要考慮如何應(yīng)付突發(fā)的自然災(zāi)害、軍事打擊等對(duì)網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時(shí)如何恢復(fù)網(wǎng)絡(luò)通信等等，在網(wǎng)絡(luò)發(fā)展突飛猛進(jìn)的時(shí)代人為對(duì)網(wǎng)絡(luò)入侵和攻擊也使網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。

　　[關(guān)鍵詞]因特網(wǎng) 域名 攻擊 入侵 對(duì)策

　　一、網(wǎng)絡(luò)安全缺陷分析

　　1、因特網(wǎng)本身的缺陷。

　　這方面有IP協(xié)議的脆弱性何網(wǎng)絡(luò)結(jié)構(gòu)的不安全性。

　　因特網(wǎng)的IP協(xié)議對(duì)于網(wǎng)絡(luò)的安全性考慮得并不多，IP協(xié)議是公布于眾的，如果人們對(duì)IP很熟悉的話，就可以利用它的安全缺陷來(lái)實(shí)施網(wǎng)絡(luò)攻擊。

　　再有因特網(wǎng)是由無(wú)數(shù)個(gè)局域網(wǎng)所連成的一個(gè)巨大網(wǎng)絡(luò)。

　　當(dāng)人們用一臺(tái)主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過(guò)很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺(tái)處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶的數(shù)據(jù)包。

　　2、因特網(wǎng)用戶安全意識(shí)的淡薄。

　　人們?cè)谝蛱鼐W(wǎng)上保存的大多數(shù)數(shù)據(jù)都沒(méi)有加密，因此利用網(wǎng)上免費(fèi)提供的工具就很容易對(duì)網(wǎng)上的電子郵件、口令和傳輸?shù)奈募�進(jìn)行竊取。

　　雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識(shí)，從而使這些保護(hù)措施形同虛設(shè)。

　　如人們?yōu)榱吮荛_(kāi)防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的PPP連接從而避開(kāi)了防火墻的保護(hù)。

　　二、人為網(wǎng)絡(luò)攻擊和入侵

　　網(wǎng)絡(luò)入侵是指網(wǎng)絡(luò)攻擊者通過(guò)非法的手段獲得非法的權(quán)限，并通過(guò)使用這些非法的權(quán)限使網(wǎng)絡(luò)攻擊者能對(duì)被攻擊的主機(jī)進(jìn)行非授權(quán)的操作。

　　主要有以下幾種手段。

　　1、口令入侵。

　　所謂口令入侵是指使用某些合法用戶的帳號(hào)和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動(dòng)。

　　這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的帳號(hào)，然后再進(jìn)行合法用戶口令的破譯。

　　獲得普通用戶帳號(hào)的方法很多，如一利用目標(biāo)主機(jī)的Finger功能，當(dāng)用Finger命令查詢(xún)時(shí)，主機(jī)系統(tǒng)會(huì)將保存的用戶資料(如用戶名、登錄時(shí)間等)顯示在終端或計(jì)算機(jī)上;二利用目標(biāo)主機(jī)的X.500服務(wù)，有些主機(jī)沒(méi)有關(guān)閉X.500的目錄查詢(xún)服務(wù)，也給攻擊者提供了獲得信息的一條簡(jiǎn)易途徑;三從電子郵件地址中收集，有些用戶電子郵件地址常會(huì)透露其在目標(biāo)主機(jī)上的帳號(hào);四查看主機(jī)是否有習(xí)慣性的帳號(hào)，有經(jīng)驗(yàn)的用戶都知道，很多系統(tǒng)會(huì)使用一些習(xí)慣性的帳號(hào)，造成帳號(hào)的泄露。

　　2、 IP欺騙。

　　攻擊者偽造別人的IP地址，讓一臺(tái)計(jì)算機(jī)假冒另一臺(tái)計(jì)算機(jī)以達(dá)到蒙混過(guò)關(guān)的目的。

　　它只能對(duì)某些特定的運(yùn)行TCP/IP的計(jì)算機(jī)進(jìn)行入侵。

　　入侵者假冒被入侵主機(jī)的信任主機(jī)與被入侵主機(jī)進(jìn)行連接，并對(duì)被入侵主機(jī)所信任的主機(jī)發(fā)起淹沒(méi)攻擊，使被信任的主機(jī)處于癱瘓狀態(tài)。

　　當(dāng)主機(jī)正在進(jìn)行遠(yuǎn)程服務(wù)時(shí)，網(wǎng)絡(luò)入侵者最容易獲得目標(biāo)網(wǎng)絡(luò)的信任關(guān)系，從而進(jìn)行IP欺騙。

　　IP欺騙是建立在對(duì)目標(biāo)網(wǎng)絡(luò)的信任關(guān)系基礎(chǔ)之上的。

　　同一網(wǎng)絡(luò)的計(jì)算機(jī)彼此都知道對(duì)方的地址，它們之間互相信任。

　　由于這種信任關(guān)系，這些計(jì)算機(jī)彼此可以不進(jìn)行地址的認(rèn)證而執(zhí)行遠(yuǎn)程操作。

　　3、利用域名系統(tǒng)(DNS)。

　　DNS是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫(kù)，它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。

　　通常，網(wǎng)絡(luò)用戶通過(guò)UDP協(xié)議和DNS服務(wù)器進(jìn)行通信，而服務(wù)器在特定的53端口監(jiān)聽(tīng)，并返回用戶所需的相關(guān)信息。

　　DNS協(xié)議不對(duì)轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議被人以一些不同的方式加以利用。

　　當(dāng)攻擊者危害DNS服務(wù)器并明確地更改主機(jī)名―IP地址映射表時(shí)，DNS欺騙就會(huì)發(fā)生。

　　這些改變被寫(xiě)入DNS服務(wù)器上的轉(zhuǎn)換表。

　　因而，當(dāng)一個(gè)客戶機(jī)請(qǐng)求查詢(xún)時(shí)，用戶只能得到這個(gè)偽造的地址，該地址是一個(gè)完全處于攻擊者控制下的機(jī)器的IP地址。

　　因?yàn)榫W(wǎng)絡(luò)上的主機(jī)都信任DNS服務(wù)器，所以一個(gè)被破壞的DNS服務(wù)器可以將客戶引導(dǎo)到非法的服務(wù)器，也可以欺騙服務(wù)器相信一個(gè)IP地址確實(shí)屬于一個(gè)被信任客戶。

　　三、常見(jiàn)的網(wǎng)絡(luò)攻擊及其防范對(duì)策

　　在因特網(wǎng)的使用過(guò)程中，經(jīng)常碰到的網(wǎng)絡(luò)攻擊主要有過(guò)載攻擊、郵件炸彈、特洛伊木馬、淹沒(méi)攻擊等等，對(duì)此我們要加以防范處理，密切阻止其進(jìn)行。

　　過(guò)載攻擊中被攻擊者用得最多的一種方法是進(jìn)程攻擊，它是通過(guò)大量地進(jìn)行人為地增大CPU的工作量，耗費(fèi)CPU的工作時(shí)間，使其它的用戶一直處于等待狀態(tài)。

　　防止過(guò)載攻擊的方法有：限制單個(gè)用戶所擁有的最大進(jìn)程數(shù);殺死一些耗時(shí)的進(jìn)程。

　　然而，不幸的是這兩種方法都存在一定的負(fù)面效應(yīng)。

　　通過(guò)對(duì)單個(gè)用戶所擁有的最大進(jìn)程數(shù)的限制和耗時(shí)進(jìn)程的刪除，會(huì)使用戶某些正常的請(qǐng)求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類(lèi)似拒絕服務(wù)的現(xiàn)象。

　　通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來(lái)發(fā)現(xiàn)這種攻擊，通過(guò)主機(jī)列表和網(wǎng)絡(luò)地址列表來(lái)分析問(wèn)題的所在，也可以登錄防火墻或路由器來(lái)發(fā)現(xiàn)攻擊究竟是來(lái)自于網(wǎng)絡(luò)外部還是網(wǎng)絡(luò)內(nèi)部。

　　另外，還可以讓系統(tǒng)自動(dòng)檢查是否過(guò)載或者重新啟動(dòng)系統(tǒng)。

　　電子郵件炸彈是最古老的匿名攻擊之一，通過(guò)設(shè)置一臺(tái)機(jī)器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間，使用戶的存儲(chǔ)空間消耗殆盡，從而阻止用戶對(duì)正常郵件的接收，防礙計(jì)算機(jī)的正常工作。

　　此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)對(duì)某一目標(biāo)的報(bào)復(fù)活動(dòng)中。

　　防止郵件炸彈的方法主要有通過(guò)配置路由器，有選擇地接收電子郵件，對(duì)郵件地址進(jìn)行配置，自動(dòng)刪除來(lái)自同一主機(jī)的過(guò)量或重復(fù)的消息，也可使自己的SMTP連接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。

　　特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個(gè)含有特洛伊木馬的程序時(shí)，它能把自己插入一些未被感染的程序中，從而使它們受到感染。

　　此類(lèi)攻擊對(duì)計(jì)算機(jī)的危害極大，通過(guò)特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫(xiě)未經(jīng)授權(quán)的文件，甚至可以獲得對(duì)被攻擊的計(jì)算機(jī)的控制權(quán)。

　　特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。

　　因?yàn)樵谔芈逡聊抉R中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時(shí)，表面上是執(zhí)行正常的程序，而實(shí)際上是在執(zhí)行用戶不希望的程序。

　　防止在正常程序中隱藏特洛伊木馬的主要方法是人們?cè)谏�成文件時(shí)，對(duì)每一個(gè)文件進(jìn)行數(shù)字簽名，而在運(yùn)行文件時(shí)通過(guò)對(duì)數(shù)字簽名的檢查來(lái)判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。

　　避免下載可疑程序并拒絕執(zhí)行，運(yùn)用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽(tīng)TCP服務(wù)。

　　淹沒(méi)攻擊者可以使用一個(gè)不存在或當(dāng)時(shí)沒(méi)有被使用的主機(jī)的IP地址，向被攻擊主機(jī)發(fā)出SYN請(qǐng)求信號(hào)，當(dāng)被攻擊主機(jī)收到SYN請(qǐng)求信號(hào)后，它向這臺(tái)不存在IP地址的偽裝主機(jī)發(fā)出SYN/消息。

　　由于此時(shí)主機(jī)的IP不存在或當(dāng)時(shí)沒(méi)有被使用所以無(wú)法向主機(jī)發(fā)送RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。

　　對(duì)付淹沒(méi)攻擊的最好方法是實(shí)時(shí)監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過(guò)某一給定的數(shù)值時(shí)，實(shí)時(shí)關(guān)閉這些連接。

　　總之，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件何軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。

　　參考文獻(xiàn)

　　1、劉占全，《網(wǎng)絡(luò)管理與防火墻》，北京人民郵電出版社，2000;

　　2、朱理森、張守連，《計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)》，北京專(zhuān)利文獻(xiàn)出版社，2001;

　　3、1999胡道元，《計(jì)算機(jī)局域網(wǎng)》，北京清華大學(xué)出版社，2001。

【因特網(wǎng)人為攻擊及防范對(duì)策】相關(guān)文章：

淺析黑客常用攻擊方法與防范措施10-26

網(wǎng)絡(luò)信息安全攻擊方式及應(yīng)對(duì)策略的論文10-08

探析計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)對(duì)防范攻擊論文10-08

神經(jīng)內(nèi)科護(hù)理對(duì)策及防范論文10-09

因特網(wǎng)英語(yǔ)作文10-09

市場(chǎng)價(jià)格機(jī)制防范對(duì)策分析的論文10-09

當(dāng)前國(guó)有港口企業(yè)稅收籌劃風(fēng)險(xiǎn)及防范對(duì)策探究10-06

校園信息安全網(wǎng)絡(luò)防范問(wèn)題及對(duì)策的論文10-08

房地產(chǎn)金融防范問(wèn)題對(duì)策碩士論文10-08

《牽手因特網(wǎng)》教案設(shè)計(jì)10-09