王永健

[摘要]在信息時(shí)代，信息安全問(wèn)題越來(lái)越重要，而現(xiàn)在大部分信息都是通過(guò)互聯(lián)網(wǎng)來(lái)傳播的，因此互聯(lián)網(wǎng)安全就顯得尤為重要。對(duì)常見(jiàn)的網(wǎng)絡(luò)攻擊行為以及安全防御系統(tǒng)的實(shí)現(xiàn)進(jìn)行探討。

[關(guān)鍵詞]網(wǎng)絡(luò)攻擊 安全防御 黑客

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0510066－01

一、常見(jiàn)的網(wǎng)絡(luò)攻擊行為

（一）利用惡意軟件

1．邏輯炸彈。它是一種程序，在特定的條件下（通常是由于漏洞）會(huì)對(duì)目標(biāo)系統(tǒng)產(chǎn)生破壞作。2．后門(mén)。它是一種程序，允許黑客遠(yuǎn)程執(zhí)行任意命令。3．蠕蟲(chóng)。它是一種獨(dú)立的程序，可以直接破壞數(shù)據(jù)，或者因消耗系統(tǒng)資源而減低系統(tǒng)性能，甚至使整個(gè)網(wǎng)絡(luò)癱瘓。4．病毒。它是一種程序或代碼（但并不是獨(dú)立的程序），能夠在當(dāng)前的應(yīng)用中自我復(fù)制，并且可以附著在其他程序上。5．特洛伊木馬。特洛伊木馬往往能夠執(zhí)行某種有用的功能，而這種看似有用的功能卻能夠隱藏在其中的非法程序。當(dāng)合法用戶使用這樣合法的功能時(shí)，特洛伊木馬也同時(shí)執(zhí)行了非授權(quán)的功能，而且通常篡奪了用戶權(quán)限。

（二）利用電腦脆弱性

1．訪問(wèn)權(quán)限。黑客利用系統(tǒng)文件的讀/寫(xiě)等訪問(wèn)控制權(quán)限配置不當(dāng)造成的弱點(diǎn)，獲取系統(tǒng)的訪問(wèn)權(quán)。2．蠻力攻擊。黑客通過(guò)多次嘗試主機(jī)上默認(rèn)或安全性極弱的登錄/口令，試登錄到某個(gè)帳號(hào)。還有一種形式是采用口令破解程序，對(duì)用戶加密后的口令文件進(jìn)行破解。3．緩沖區(qū)溢出。一種形式的緩沖區(qū)溢出攻擊是黑客本人編寫(xiě)并存放在緩沖區(qū)后任意的代碼，然后執(zhí)行這些代碼。另一種形式的緩沖區(qū)溢出攻擊是程序代碼編寫(xiě)時(shí)欠考慮。典型的一種形式是對(duì)用戶輸入的邊界檢查問(wèn)題。4．信息流泄露。黑客利用在某個(gè)程序執(zhí)行時(shí)所產(chǎn)生的某些暫時(shí)的不安全條件，例如在執(zhí)行SUID時(shí)執(zhí)行用戶具有同被執(zhí)行程序的屬主同等權(quán)限，這樣執(zhí)行用戶就可以獲得對(duì)某些敏感數(shù)據(jù)的訪問(wèn)權(quán)。

（三）操縱IP包

1．端口欺騙。利用常用服務(wù)的端口，如20/53/80/1024等，避開(kāi)包過(guò)濾防火墻的過(guò)濾規(guī)則。2．化整為零。黑客將正常長(zhǎng)度的數(shù)據(jù)包分解為若干小字節(jié)的數(shù)據(jù)包，從而避開(kāi)防火墻過(guò)濾規(guī)則。3．盲1P欺騙。即改變?cè)碔P地址進(jìn)行欺騙，盲IP欺騙可能造成嚴(yán)重的后果，基于IP源地址欺騙的攻擊可穿過(guò)過(guò)濾路由器（防火墻），并可能獲得受到保護(hù)的主機(jī)的root權(quán)限。4. 序列號(hào)預(yù)測(cè)。某些主機(jī)產(chǎn)生的隨機(jī)序列號(hào)不夠隨機(jī)，這也就意味著不安全。黑客通過(guò)分析和發(fā)現(xiàn)隨機(jī)序列的產(chǎn)生規(guī)律，計(jì)算出該主機(jī)與服務(wù)器連接時(shí)的TCPSEQ/ACK序列號(hào)，即可欺騙服務(wù)器并與之建立“合法”的連接。

（四）拒絕服務(wù)DoS

1．Smurfing拒絕服務(wù)攻擊。如果黑客將發(fā)送的ICMP請(qǐng)求包的源地址偽造為被攻擊者的地址，則該網(wǎng)絡(luò)上所有主機(jī)的工CMPECHOREPLY包都要發(fā)往被攻擊的主機(jī)，不僅造成被攻擊者的主機(jī)出現(xiàn)流量過(guò)載，減慢甚至停止正常的服務(wù)，而且發(fā)出ICMP回應(yīng)包的中間受害網(wǎng)絡(luò)也會(huì)出現(xiàn)流量擁塞甚至網(wǎng)絡(luò)癱瘓。2．分片攻擊。這種攻擊方法利用了TCP/IP協(xié)議的弱點(diǎn)，被攻擊的目標(biāo)主機(jī)要么處于藍(lán)屏幕的停機(jī)狀態(tài)，要么死機(jī)或重新啟動(dòng)。類似這樣的黑客攻擊工具有：Teardrop New Tear Bonk和Boink等。3．帶外數(shù)據(jù)包攻擊。向一個(gè)用戶Windows系統(tǒng)的NetBIOS的端口，發(fā)送帶外數(shù)據(jù)包。OOB（垃圾數(shù)據(jù)），windows不知如何處理這些OOB，可以遠(yuǎn)程造成該用戶系統(tǒng)運(yùn)行異常。對(duì)方用戶只有重新啟動(dòng)才能正常工作。4．分布式拒絕服務(wù)攻擊DDOS。DDOS隱蔽性更強(qiáng)。通過(guò)間接操縱因特網(wǎng)上“無(wú)辜”的計(jì)算機(jī)實(shí)施攻擊，突破了傳統(tǒng)攻擊方式從本地攻擊的局限性和不安全性。攻擊的規(guī)模可以根據(jù)情況做得很大，使目標(biāo)系統(tǒng)完全失去提供服務(wù)的功能。

二、網(wǎng)絡(luò)安全防御系統(tǒng)實(shí)現(xiàn)策略

（一）網(wǎng)絡(luò)安全

1．安全網(wǎng)絡(luò)拓?fù)?。整個(gè)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)為雙網(wǎng)結(jié)構(gòu)，即內(nèi)部LAN網(wǎng)中的所有主機(jī)對(duì)服務(wù)器的訪問(wèn)與INTERNET用戶對(duì)服務(wù)器的訪問(wèn)是通過(guò)兩條不同的信道進(jìn)行，體現(xiàn)了其安全性。2．防火墻。防火墻對(duì)各種帶有攻擊嫌疑的數(shù)據(jù)包進(jìn)行過(guò)濾:源IP地址；目的IP地址；協(xié)議類型(IP，ICMP，TCP，UDP)；源TCP/UDP端口；目的TCP/UDP端口；TCP報(bào)文標(biāo)志域；ICMP報(bào)文類型域和代碼域；包通信的日期和時(shí)間，包括起始時(shí)間、終止時(shí)間，區(qū)間從年、月、周、日直至小時(shí)、分鐘。提供內(nèi)部IP地址與MAC地址的綁定，防止IP地址盜用。防止IP地址欺騙，拒絕所有來(lái)自外部網(wǎng)絡(luò)而源地址為內(nèi)部地址的數(shù)據(jù)包。防止DOS攻擊，通過(guò)對(duì)保護(hù)目標(biāo)主機(jī)的通信狀態(tài)跟蹤，判斷DOS/DDOS攻擊，并作出反應(yīng)，保證服務(wù)器的正常運(yùn)行。3．實(shí)時(shí)入侵檢測(cè)。該網(wǎng)絡(luò)防御系統(tǒng)通過(guò)網(wǎng)絡(luò)安全監(jiān)測(cè)儀提供了強(qiáng)大的實(shí)時(shí)入侵檢測(cè)功能，能夠通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的收集和分析，與入侵行為的規(guī)則集進(jìn)行匹配，判斷入侵行為的發(fā)生，并提供實(shí)時(shí)報(bào)警功能，并切斷非法連接。

（二）數(shù)據(jù)安全

1．保密性：（1）SSL加密通道。網(wǎng)站開(kāi)通SSL的加密通道，SSL中使用了RSA的加密機(jī)制，這樣就能夠保證在客戶瀏覽器與網(wǎng)站的交互過(guò)程中，所有交互信息均通過(guò)加密通道傳輸。安全郵件系統(tǒng)SSL通道保證了用戶瀏覽器與網(wǎng)站的交互信息的保密性。（2）內(nèi)容監(jiān)控軟件。考慮到不同的公司和組織對(duì)內(nèi)部信息向外傳輸?shù)目刂瞥潭炔煌?，且可能牽涉到員工隱私權(quán)的問(wèn)題，所以需要根據(jù)客戶要求選擇，在網(wǎng)絡(luò)出口處設(shè)置內(nèi)容監(jiān)控軟件，其目的是對(duì)進(jìn)出網(wǎng)絡(luò)的網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容實(shí)施監(jiān)控，這樣通過(guò)內(nèi)容監(jiān)控，確保了內(nèi)部敏感信息的保密性。（3）可靠性。該服務(wù)器具有以下特點(diǎn):大容量存儲(chǔ)介質(zhì)。在沒(méi)有備份工作時(shí)應(yīng)該切斷所有網(wǎng)絡(luò)連接。確保備份介質(zhì)的物理安全。確保該服務(wù)器的專用性。確保該服務(wù)器中用戶信息和口令的安全保密。這樣通過(guò)該服務(wù)器的工作，將使整個(gè)系統(tǒng)可以在出現(xiàn)事故后得到及時(shí)的恢復(fù)，以保證其工作正常。

（三）系統(tǒng)安全

1．鑒別認(rèn)證。利用了安全操作系統(tǒng)提供的鑒別機(jī)制，采用了IC卡的方式對(duì)所有內(nèi)部用戶進(jìn)行身份鑒別，所有內(nèi)部用戶的IC卡均通過(guò)統(tǒng)一的發(fā)卡中心發(fā)放，只有持卡用戶才能夠進(jìn)入服務(wù)器，而網(wǎng)絡(luò)用戶是無(wú)法通過(guò)普通的遠(yuǎn)程登錄進(jìn)入服務(wù)器的，從而保證了服務(wù)器的登錄安全。2．安全掃描。安全掃描的基本工作原理就是模擬攻擊，一旦攻擊成功，就意味存在漏洞。安全掃描的另一部分就是病毒防治功能。通過(guò)定期或是非定期的病毒掃描，防止病毒的進(jìn)入和漫延。通過(guò)實(shí)時(shí)網(wǎng)上病毒掃描和防病毒軟件的定期升級(jí)功能，防止引入新的病毒。

三、結(jié)語(yǔ)

綜上所述，由于計(jì)算機(jī)信息有共享和易于擴(kuò)散等特性，它在處理、存儲(chǔ)、傳輸和使用上有著嚴(yán)重的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，還有可能受到計(jì)算機(jī)病毒的感染。因此如何打造一套網(wǎng)絡(luò)安全防御系統(tǒng)顯得尤為重要。

參考文獻(xiàn)：

[1]中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心，《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，2008.1.

[2]許潤(rùn)國(guó)，基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)研究與設(shè)計(jì)[J].網(wǎng)絡(luò)安全，2006.10.