王曉亮

摘 要 安全漏洞是指網(wǎng)絡(luò)系統(tǒng)中存在的弱項、缺點或協(xié)議缺陷，研制開發(fā)操作失誤可形成漏洞，在不斷糾正或修補以往漏洞時可逐漸凸顯新漏洞，因此漏洞有增無減。漏洞高度復雜，對于安全風險、安全隱患的敏感性較高，黑客可利用漏洞滲透網(wǎng)絡(luò)、深層系統(tǒng)，并執(zhí)行惡意代碼及接收錯誤指令，增加系統(tǒng)攻擊風險、網(wǎng)絡(luò)操作風險、硬件風險、軟件風險。應及時發(fā)現(xiàn)漏洞、分析漏洞相關(guān)性、防范漏洞，減少漏洞危害。本文探討了計算機網(wǎng)絡(luò)的安全漏洞及相關(guān)防范措施，旨在主動防治網(wǎng)絡(luò)問題，減少安全攻擊、改進網(wǎng)絡(luò)安全狀態(tài)。

關(guān)鍵詞 安全漏洞 網(wǎng)絡(luò) 計算機

計算機網(wǎng)絡(luò)應用領(lǐng)域及空間廣闊，已經(jīng)覆蓋全球，為工作創(chuàng)造了諸多便捷，豐富了業(yè)余生活，現(xiàn)代社會中的網(wǎng)上購物、電子商務(wù)等服務(wù)對網(wǎng)絡(luò)的依賴程度極高，民眾生活與網(wǎng)絡(luò)已互相融合?；ヂ?lián)網(wǎng)涉及數(shù)量龐大的網(wǎng)絡(luò)用戶與計算機系統(tǒng)，且網(wǎng)絡(luò)本身存在多種缺陷，因此網(wǎng)絡(luò)安全隱患、安全漏洞難以避免。網(wǎng)絡(luò)安全漏洞可增加間諜程序、蠕蟲、木馬、黑客攻擊概率，為病毒隱藏及偽裝、網(wǎng)絡(luò)犯罪提供便利，造成信息泄漏、經(jīng)濟損失，還會引起網(wǎng)絡(luò)故障。應重視防范安全漏洞，加強網(wǎng)絡(luò)監(jiān)管，科學分配網(wǎng)絡(luò)中的軟件資源、硬件資源，降低安全風險、減少惡意攻擊及惡意干擾，提高網(wǎng)絡(luò)保密程度，維持網(wǎng)絡(luò)正常運轉(zhuǎn)。

一、安全漏洞

安全漏洞屬于不可控、無可避免、必然的、非正常情況，漏洞可影響路由器、防火墻、操作系統(tǒng)、應用軟件正常運行，目前網(wǎng)絡(luò)應用軟件中的漏洞數(shù)量增勢明顯，如Mozilla Firefox及微軟IE瀏覽器漏洞等，且發(fā)現(xiàn)漏洞與出現(xiàn)攻擊程序之間的時間不斷縮短，零日攻擊問題頻繁發(fā)生，漏洞修補程序發(fā)布時間落后，導致不能及時修補安全漏洞，增加了網(wǎng)絡(luò)攻擊的可能性。分析安全漏洞時需考慮網(wǎng)絡(luò)系統(tǒng)環(huán)境、具體時間段，常見漏洞包括拒絕服務(wù)、安全繞過、信息泄露、緩沖溢出、權(quán)限升級漏洞、跨站腳本、注入漏洞、跨站偽造請求、代碼執(zhí)行及無授權(quán)訪問等。防火墻與網(wǎng)絡(luò)安全環(huán)境保護要求不匹配時也會出現(xiàn)安全漏洞，再加上黑客攻擊技術(shù)在不斷改進，出現(xiàn)安全漏洞時通常會發(fā)生程序捆綁攻擊行為。編寫網(wǎng)絡(luò)軟件程序時可能遺留安全漏洞及BUG，如FTP漏洞、CGI漏洞、ASP漏洞及PHP漏洞等，黑客通常會檢測出BUG及安全漏洞，利用病毒攻擊網(wǎng)絡(luò)漏洞，讀寫系統(tǒng)結(jié)構(gòu)或服務(wù)目錄，如某些軟件接收異常或超長數(shù)據(jù)時可導致緩沖區(qū)發(fā)生溢出問題。涉及安全漏洞的協(xié)議包括SSH、HTTP、FTP、TELNET、IPSec、TCP、IPv6及DNS等，網(wǎng)絡(luò)協(xié)議主要為TCP/IP協(xié)議，協(xié)議本身不能準確判斷開放性與互聯(lián)性網(wǎng)絡(luò)IP地址實際來源，網(wǎng)絡(luò)黑客可利用安全漏洞偵聽傳輸線路、檢查或截取網(wǎng)絡(luò)數(shù)據(jù)，推測TCP及改變路由，破壞、覆蓋網(wǎng)絡(luò)數(shù)據(jù)。

二、防范措施

（一）漏洞掃描

使用網(wǎng)絡(luò)時應注意定期掃描安全漏洞，包括主機系統(tǒng)、防火墻、WEB站點、局域網(wǎng)的漏洞，了解是否存在竊聽系統(tǒng)、不良網(wǎng)絡(luò)服務(wù)，查詢TCP/IP端口信息及記錄協(xié)議響應情況，及時發(fā)現(xiàn)與修復漏洞，不斷優(yōu)化網(wǎng)絡(luò)系統(tǒng)及增強安全攻擊抵御能力。掃描漏洞時可采用模擬攻擊測試法或目標系統(tǒng)掃描法，模擬攻擊指的是利用DDOS、緩沖溢出、護欺騙等方法嘗試性攻擊遠程目標，逐項檢查目標系統(tǒng)已知漏洞或可能出現(xiàn)的漏洞。掃描目標系統(tǒng)指的是連接主機端口后請求FTP、TELNET等服務(wù)，并記錄主機應答信息，通過分析應答過程檢測安全漏洞。掃描網(wǎng)絡(luò)與目標主機時多采用PING技術(shù)，使用工具ping與IP地址即可掃描目標主機，根據(jù)主機回應情況檢測安全漏洞，如主機中的防火墻自動屏蔽PING掃描，可將錯誤數(shù)據(jù)發(fā)送到目標主機，通過判斷ICMP出錯響應情況檢測漏洞，掃描流程。掃描防火墻安全控制規(guī)則中是否存在漏洞時，可采用與Trace-route IP數(shù)據(jù)分析相類似的方法，掃描時可通過探測網(wǎng)絡(luò)開啟端口與特定網(wǎng)關(guān)判斷漏洞情況。探測軟件漏洞時可發(fā)送UDP或ICMP請求報文，對ICMP回應進行分析，包括Que-SO、NAMP分段響應情況，從而判別響應信息與漏洞。掃描網(wǎng)絡(luò)協(xié)議端口時可采用TCP SYN掃描、TCP Connect掃描、認證掃描及秘密掃描技術(shù)。

（二）構(gòu)建漏洞信息庫

安全漏洞千差萬別、種類繁多，構(gòu)建安全漏洞信息庫可以提高漏洞掃描、檢測效率，準確驗證安全漏洞，標記HTTP文件中的相關(guān)內(nèi)容，根據(jù)漏洞信息運用追蹤技術(shù)查找網(wǎng)絡(luò)攻擊起源路徑，實現(xiàn)高效防護。構(gòu)建信息庫時可為不同的漏洞賦予唯一的特征碼，在檢測或掃描漏洞時可直接利用不同特征碼組成的數(shù)據(jù)包，在數(shù)據(jù)包中準確提取漏洞特征碼，從而高效分析漏洞及獲取相應的安全攻擊信息。注意根據(jù)漏洞掃描與檢測結(jié)果及時更新特征碼，保證信息庫中包含詳細的安全漏洞信息，包括漏洞特征、狀態(tài)、信息來源、控件信息及端口信息，漏洞編號、類型、名稱、相關(guān)引用、修訂時間、公布日期或報告時間，漏洞風險評估與危險級別、相關(guān)建議、補救方案、漏洞軟件與版本、木馬匹配規(guī)則、后門匹配規(guī)則、影響程度與影響平臺、處理方式及攻擊程度等。目前可使用的漏洞信息庫包括NIST實驗室的NVD漏洞庫、Mitre公司的CVE漏洞庫、CERT小組的US-CERT漏洞庫、ISS組織的X-Force漏洞庫，上述信息庫數(shù)據(jù)下載、發(fā)布方式、更新方式各有特點，信息庫結(jié)構(gòu)，漏洞信息構(gòu)成。

（三）完善網(wǎng)絡(luò)配置

為預防黑客利用漏洞發(fā)起偽造攻擊，可調(diào)整路由器訪問列表，限制路由器數(shù)據(jù)包允許通過地址范圍；關(guān)閉路由器上的源路由，利用No Ip Soure-route命令阻止源路由器發(fā)生安全攻擊；也可以在RPF檢查設(shè)備中設(shè)置No Ip Directed-broadcast命令，利用No Ip Directed-broadcast命令控制通過路由器的數(shù)據(jù)，減少路由攻擊。為確保端口安全，可在交換機中設(shè)置MAC地址數(shù)允許值，控制允許流量，避免網(wǎng)絡(luò)設(shè)備無定向、徒然處理數(shù)據(jù)包，減少協(xié)議端口單播擴散轉(zhuǎn)發(fā)流量，減少安全漏洞與安全攻擊。連接網(wǎng)絡(luò)時應盡量關(guān)閉計算機中的打印共享與文件共享功能，必要時可隱藏IP，避免設(shè)置空連接，將無用網(wǎng)絡(luò)端口及服務(wù)程序關(guān)閉，禁用Guest賬號。確保防火墻或服務(wù)器相匹配，刪除無用軟件程序與缺省路由，安裝病毒查殺與反查殺軟件，結(jié)合殺毒與防毒，組建多層次病毒防衛(wèi)體系，注意更新殺毒軟件、系統(tǒng)補丁，如卡巴斯基、小紅傘、金山毒霸等。設(shè)置復雜的服務(wù)密碼，完全隱藏重要目錄或文件，禁用Windows服務(wù)器中的Telnet服務(wù)、Remote Registry服務(wù)及Messenger服務(wù)。

三、結(jié)語

網(wǎng)絡(luò)資源開放、分散、共享，安全攻擊具有易欺騙性、潛藏性與隱蔽性特點，可利用系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞等安全漏洞非法截獲訪問信息，威脅網(wǎng)絡(luò)運行安全，引起隱蔽性攻擊、數(shù)據(jù)被竊、系統(tǒng)癱瘓、網(wǎng)絡(luò)破壞與網(wǎng)絡(luò)犯罪，影響網(wǎng)絡(luò)交流、溝通、信息共享。要主動制定防范措施應對安全漏洞，提高網(wǎng)絡(luò)結(jié)構(gòu)自身的安全性，設(shè)計誘騙技術(shù)、網(wǎng)絡(luò)陷阱、追蹤技術(shù)、信息證據(jù)獲取技術(shù)等，控制入網(wǎng)訪問，使用安全服務(wù)程序與通信協(xié)議，雙重加密網(wǎng)絡(luò)數(shù)據(jù)，避免網(wǎng)絡(luò)硬件、軟件遭到更改、攻擊、破壞。此外，應注意減少操作系統(tǒng)、認證技術(shù)缺陷，注重維修及檢測網(wǎng)絡(luò)運行空間，做到定期掃描、更新、清理，及時修正漏洞。

（作者單位為大連電子學校）