论文部分内容阅读
摘要:近年来计算机网络受到攻击及瘫痪的现象频频发生,给企业和社会造成极大的经济损失,在社会上影响极坏。因此,除了传统的预防方法之外,为改变这种被动受攻击的局面,本文对网络攻击的防范策略进行了探讨。
关键词:网络攻击;特洛伊木马;网络监听
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 10-0000-01
Network Attack Preventive Strategies
Bi Feifei
(CNPC Fuel Oil Company Limited,Beijing100025,China)
Abstract:In recent years,computer network attack and the high incidence of paralysis,the business and social cause great economic losses,a very bad influence in society.Therefore,in addition to traditional preventive methods,to change the passive situation of attack,this attack against the network strategy is discussed.
Keywords:Network attack;Trojan horse;Network monitoring
联网的共享性及开放性使网上信息安全存在先天不足,由于赖以生存的TCP/IP协议是公开发布的,数据包在网络上通常是明码传送,容易被窃听和欺骗;互联网最初的设计考虑是该网不会因局部故障而影响信息的传输,因此该协议本身在安全可靠、服务质量、带宽和方便性上也存在缺陷;此外,随着软件系统规模的不断扩大,功能也越来越强,内置程序也越来越多,系统中的安全漏洞或“后门”也不可避免的存在。
一、特洛伊木马的防范策略
特洛伊木马是在执行看似正常的程序时,还同时运行了未被察觉的有破坏性的程序;木马通常能够将重要的信息传送给攻击者,而且攻击者可以把任意数量的程序植入木马,计算机一旦感染上木马程序,后果不堪设想。那么,对于木马的防范我们可以采取以下措施:
(一)运行反木马实时监控程序
在上网时,必需运行反木马实时监控程序。例如the cleaner,它的实时监控程序TCA,可即时显示当前所有运行程序并有详细的描述信息。另外,也可采用一些专业的最新杀毒软件、个人防火墙进行监控。
(二)不要执行任何来历不明的软件
对于从网上下载的软件在安装、使用之前一定要用反病毒软件进行检查,确定没有木马程序再执行、使用。
二、网络监听的预防
网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具就可轻而易举地截取包括日令和账号在内的信息资料。对网络监听的防范措施:
(一)从逻辑或物理上对网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。
(二)使用加密技术
数据经过加密后,通过监听仍然可以得以传送的信息,但显示的是乱码(关于数据加密的内容见本书第7章内容)。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。
(三)划分VLAN
运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。
三、安全漏洞网络攻击的防范
许多系统都有这样那样的安全漏洞(Bugs)。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈单,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。
(一)利用CGI漏洞进行攻击
有些CGI程序只是简单地进行传递,不对内容进行过滤,攻击者就可能通过页面提交带危险指令的脚本代码给机器去执行,有些CGI能够过滤一些特征数据,但是有些攻击者故意制用一些混乱的字符串骗过检测,甚至有些管理员将CGI所在的目录设置为可写的,攻击者不仅可以修改替换页面,而且也可以通过新脚本为所欲为。
防范对策:严格设置CGI脚本权限,采有安全的CGI。
(二)FTP协议漏洞攻击
FTP协议漏洞之一在于对使用的端口号没有任何限制,用户可以使用TCP提供给其他服务的任意端口,这就使攻击者得以利用FTP攻击其他服务。
FTP协议的第二个漏洞是,FTP标准允许无限次输入密码,如些以来攻击者就可以使用口令暴力攻击。防范措施是建议服务器限制尝试输入正确指令的次数。另外,一次登录失败后应暂停几秒来削减暴力攻击的有效性。
FTP的第三个漏洞是分配端口号时通常按增序分配,攻击者可以预先占领端口,让合法用户无法分配到端口或趁机窃取信息等。防范对策:让系统改为使用随机分配端口号的方法。
四、网络病毒进行攻击防范
计算机网络病毒破坏性极强,它不仅仅破坏网络资源,而且还能破坏网络上的计算机硬分区,造成主机无法启动,甚至造成整个网络系统的瘫痪。它具有传染性、自我复制性、隐蔽性等特点。
预防措施:严格计算机管理制度,提高防范意识;对于工作站,可以插防病毒卡;定期升级并使用杀毒软件清除计算机上的病毒;对于服务器,可采用加装防病毒卡;也可采用提供实时扫描的防病毒可装载模块(NLM)。
五、总结
网络攻击与网络安全既对立又关联,矛愈锋则盾愈坚。虽然说网络的安全风险不可避免,但我们可以设法将其降为最低。当前,网络攻击的方式还有很多种,本文仅仅对四种最常见的网络攻击形式进行了解析,并且对其防范策略进行了总结概括。
关键词:网络攻击;特洛伊木马;网络监听
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 10-0000-01
Network Attack Preventive Strategies
Bi Feifei
(CNPC Fuel Oil Company Limited,Beijing100025,China)
Abstract:In recent years,computer network attack and the high incidence of paralysis,the business and social cause great economic losses,a very bad influence in society.Therefore,in addition to traditional preventive methods,to change the passive situation of attack,this attack against the network strategy is discussed.
Keywords:Network attack;Trojan horse;Network monitoring
联网的共享性及开放性使网上信息安全存在先天不足,由于赖以生存的TCP/IP协议是公开发布的,数据包在网络上通常是明码传送,容易被窃听和欺骗;互联网最初的设计考虑是该网不会因局部故障而影响信息的传输,因此该协议本身在安全可靠、服务质量、带宽和方便性上也存在缺陷;此外,随着软件系统规模的不断扩大,功能也越来越强,内置程序也越来越多,系统中的安全漏洞或“后门”也不可避免的存在。
一、特洛伊木马的防范策略
特洛伊木马是在执行看似正常的程序时,还同时运行了未被察觉的有破坏性的程序;木马通常能够将重要的信息传送给攻击者,而且攻击者可以把任意数量的程序植入木马,计算机一旦感染上木马程序,后果不堪设想。那么,对于木马的防范我们可以采取以下措施:
(一)运行反木马实时监控程序
在上网时,必需运行反木马实时监控程序。例如the cleaner,它的实时监控程序TCA,可即时显示当前所有运行程序并有详细的描述信息。另外,也可采用一些专业的最新杀毒软件、个人防火墙进行监控。
(二)不要执行任何来历不明的软件
对于从网上下载的软件在安装、使用之前一定要用反病毒软件进行检查,确定没有木马程序再执行、使用。
二、网络监听的预防
网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具就可轻而易举地截取包括日令和账号在内的信息资料。对网络监听的防范措施:
(一)从逻辑或物理上对网络分段
网络分段通常被认为是控制网络广播风暴的一种基本手段,但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离,从而防止可能的非法监听。
(二)使用加密技术
数据经过加密后,通过监听仍然可以得以传送的信息,但显示的是乱码(关于数据加密的内容见本书第7章内容)。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。
(三)划分VLAN
运用VLAN(虚拟局域网)技术,将以太网通信变为点到点通信,可以防止大部分基于网络监听的入侵。
三、安全漏洞网络攻击的防范
许多系统都有这样那样的安全漏洞(Bugs)。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈单,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。
(一)利用CGI漏洞进行攻击
有些CGI程序只是简单地进行传递,不对内容进行过滤,攻击者就可能通过页面提交带危险指令的脚本代码给机器去执行,有些CGI能够过滤一些特征数据,但是有些攻击者故意制用一些混乱的字符串骗过检测,甚至有些管理员将CGI所在的目录设置为可写的,攻击者不仅可以修改替换页面,而且也可以通过新脚本为所欲为。
防范对策:严格设置CGI脚本权限,采有安全的CGI。
(二)FTP协议漏洞攻击
FTP协议漏洞之一在于对使用的端口号没有任何限制,用户可以使用TCP提供给其他服务的任意端口,这就使攻击者得以利用FTP攻击其他服务。
FTP协议的第二个漏洞是,FTP标准允许无限次输入密码,如些以来攻击者就可以使用口令暴力攻击。防范措施是建议服务器限制尝试输入正确指令的次数。另外,一次登录失败后应暂停几秒来削减暴力攻击的有效性。
FTP的第三个漏洞是分配端口号时通常按增序分配,攻击者可以预先占领端口,让合法用户无法分配到端口或趁机窃取信息等。防范对策:让系统改为使用随机分配端口号的方法。
四、网络病毒进行攻击防范
计算机网络病毒破坏性极强,它不仅仅破坏网络资源,而且还能破坏网络上的计算机硬分区,造成主机无法启动,甚至造成整个网络系统的瘫痪。它具有传染性、自我复制性、隐蔽性等特点。
预防措施:严格计算机管理制度,提高防范意识;对于工作站,可以插防病毒卡;定期升级并使用杀毒软件清除计算机上的病毒;对于服务器,可采用加装防病毒卡;也可采用提供实时扫描的防病毒可装载模块(NLM)。
五、总结
网络攻击与网络安全既对立又关联,矛愈锋则盾愈坚。虽然说网络的安全风险不可避免,但我们可以设法将其降为最低。当前,网络攻击的方式还有很多种,本文仅仅对四种最常见的网络攻击形式进行了解析,并且对其防范策略进行了总结概括。