计算机应用论文计算机基础应用论文

－102－ 信 息 产 业 计算机网络防御技术初探 张 莉 (海南省公安边防总队,海南 海口 570218) 1计算机网络攻击的主要方式。 根据对计算机系统原理、软件结构、网络协 议等分析掌握的不同，对计算机攻击的重点、采 取的方式也多种多样，大部分情况下，攻击总是 利用系统的缺陷、操作系统的安全缺陷、应用软 件缺陷、通信协议的安全漏洞等来进行的、 现在，已经发现的攻击方式超过几千种，大概可 以划分为以下几类： 1.1拒绝服务攻击：主要对象通常是工作站 或重要服务器，拒绝服务攻击是通过使被攻击对 象的系统主要资源过载，从而使被攻击对象停止 全部或部分服务，陷于瘫痪状态。拒绝服务攻击 方法就有几百种，它是最基本的入侵攻击手段， 也是最难对付的入侵攻击手段之一，典型示例有 Land攻击、Ping_Flood攻击、SYN_Flood攻击、 Win_Nuke攻击等。 1.2非授权访问尝试：是攻击者对被保护文 件进行读、写或执行的尝试，也包括为获得被保 护访问权限所做的尝试，通常采取猜测，枚举等 方式进行。 1.3臭探攻击：在连续的非授权访问尝试过 程中，攻击者为了获得网络内部的信息及刚刚网 络周围的信息，通常使用这种攻击尝试，典型示 例包括 SATAN扫描、端口扫描和 IP半途扫描 等。 1.4可疑活动：是通常定义的“”网络通 信范畴之外的活动，也可以指网络上不希望有的 活 动 ， 如 IP_Unknown_Protocol 和 Duli- cate_IP_Address事件等。 1.5协议解码：协议解码可用于以上任何一 种非期望的方法中，网络或安全管理员需要进行 解码工作，并获得相应的结果，解码后的协议信 息可能表明期望的活动，如 FTU_User 和 Portmapper_Proxy等解码方式。 2攻击行为的特征分析与反攻击技术 为了防止有效的攻击，就必须了解入侵系 统的原理和工作机理，只有这样才能做到知己知 彼，从而有效的防止入侵攻击行为的发生，入侵 检测是防止有效手段，其最基本原理是采用模式 匹配的方法来发现入侵攻击行为。下面我们针对 几种典型的入侵攻击进行分析。 2.1 Land攻击 类型：种拒绝服务攻击。 特征：攻击的数据包中的源地址和目标地 址是相同的，因为当操作系统接收到这类数据包 时，不知道该如何堆栈中通信源地址和目的地址 相同的这种情况，从而使系统循环发送和接收该 数据包，消耗大量的系统资源，着重堆栈溢出，造 成系统崩溃或死机等现象。 测试方法：判断网络数据包的源地址和目 标地址是否相同。 反攻击手段：配置防火墙设备及其相应的 过滤规则是防止这类攻击的有效手段，一般处理 是丢弃这类数据包，同时，对这种攻击进行审计， 记录事件发生的时间，源主机和目标主机的 MAC地址和 IP地址。 2.2 TCP_SYN攻击 类型：拒绝服务攻击。 特征：利用 TCP客户机与服务器之间三次 握手过程的缺陷来进行的。攻击者伪造源 IP地 址 (错误的)，并不断地向被攻击者发送大量的 SYN数据包，当被攻击主机接收到大量的 SYN 数据包时，提取出伪造的源 IP地址，需要使用大 量的缓存来处理这些连接，并将 SYN_ACK数据 包发送回错误的 IP地址，并一直等待 ACK数据 包的回应，最终导致缓存溢出，不能再处理其它 合法的 SYN连接，即不能对外提供正常服务。 测试方法：制定相应的策略，对收到 SYN 连接进行检查，测其单位时间内收到的 SYN连 接否收超过系统设定的值。 反攻击手段：当测试到大量的同类型的 SYN数据包时，通知防火墙阻断与该地址的连 接请求，并丢弃这些数据包，并进行系统审计。 2.3 TCP/UDP端口扫描 类型：TCP/UDP端口扫描是一种溴探攻击。 特征：对被攻击主机的不同端口发送 TCP 或 UDP连接请求，探测被攻击对象运行的服务 类型。 测试方法：统计外界对系统端口的连接请 求，特别是对 21、23、25、53、80、8000、8080等以 外的非常用端口的连接请求。 反攻击方法：当收到多个 TCP/UDP数据包 对异常端口的连接请求时，通知防火墙阻断连接 请求，并对攻击者的 IP地址和MAC地址进行审 计。 对于某些较复杂的入侵攻击行为（如分布 式攻击、组合攻击）不但需要采用模式匹配的方 法，还需要利用状态转移、网络拓扑结构等方法 来进行入侵检测。 3安全防御 3.1防火墙设置 防火墙是设置在不同网络之间的一系列软 硬件的组合，它在校园网与 Internet网络之间执 行访问控制策略，决定哪些内部站点允许外界访 问和允许访问外界，从而保护内部网免受外部非 法用户的入侵。设计防火墙的目的是不让那些来 自不受保护的网络如因特网上的多余的未授权 的信息进入专用网络，如 LAN或WAN，而仍有 允许本地网络上的你以及其他用户访问因特网 服务。大多数防火墙就是一些路由器，它们根据 数据包的源地址、目的地址、更高级的协议，专用 标准或安全策略来过滤进入网络的数据包。 3.2采用入侵检测系统 入侵检测技术是为保证计算机系统的安全 而设计与配置的一种能够及时发现并报告系统 中未授权或异常现象的技术，是一种用于检测计 算机网络中违反安全策略行为的技术。在入侵检 测系统中利用审计记录，入侵检测系统能够识别 出任何不希望有的活动，从而达到限制这些活 动，以保护系统的安全、采用入侵检测技术，最好 采用混合入侵检测，在网络中同时采用基于网络 和基于主机的入侵检测系统，则会构架成一套完 整立体的主动防御体系，但是，入侵检测系统也 存在一定的不足： 网络入侵检测系统通过匹配网络数据包发 现攻击行为，入侵检测系统往往假设攻击信息是 明文传输的，因此对信息的改变或重新编码就可 能骗过入侵检测系统的检测，因此字符串匹配的 方法对于加密过的数据包就显得无能为力。 对入侵检测系统的评价还没有客观的标 准，标准的不统一使得入侵检测系统之间不易互 联。随着技术的发展和对新攻击识别的增加，入 侵检测系统需要不断的升级才能保证网络的安 全性。 3.3漏洞扫描系统 基于网络系统漏洞库，漏洞扫描大体包括 CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、 SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫 描是基于漏洞库，将扫描结果与漏洞库相关数据 匹配比较得到漏洞信息；漏洞扫描还包括没有相 应漏洞库的各种扫描，比如 Unicode遍历目录漏 洞探测、FTP弱势密码探测、OPENRelay邮件转 发漏洞探测等，这些扫描通过使用插件(功能模 块技术)进行模拟攻击，测试出目标主机的漏洞 信息。 解决网络层安全问题，首先要清楚网络中 存在哪些安全隐患、脆弱点。面对大型网络的复 杂性和不断变化的情况，仅仅依靠网络管理员的 技术和经验寻找安全漏洞、做出风险评估，显然 是不现实的。解决的是，寻找一种能查找网 络安全漏洞、评估并提出修改建议的网络安全扫 描工具，利用优化系统配置和打补丁等各种方式 最大可能地弥补最新的安全漏洞和消除安全隐 患。在要求安全程度不高的情况下，可以利用各 种黑客工具，对网络模拟攻击从而暴露出网络的 漏洞。 总之，防火墙技术、入侵检测系统、漏洞扫描 系统等作为网络安全关键性测防系统，具有很多 值得进一步深入研究的方面，有待于我们进一步 完善，为今后的网络发展提供有效的安全手段。 摘 要：计算机网络已普及至我们生活、工作、学习等各方面，但在实际使用中，经常会遇到一些安全问题，为了保护好自己的网络不受攻击， 就必须对攻击方法、攻击原理、攻击过程有深入的、详细的了解，只有这样才能更有效、更具有针对性的进行主动防护。防止网络被攻击的关键是如 何截获所有的网络信息。主要有两种途径，一种是通过网络侦听的途径来获取所有的网络信息，这既是进行攻击的必然途径，也是进行反攻击的必 要途径；另一种是通过对操作系统和应用程序的系统日志进行分析，来发现入侵行为和系统潜在的安全漏洞。 关键词：网络；安全；攻击；检测