計(jì)算機(jī)網(wǎng)絡(luò)安全及防范技術(shù)探析

【摘要】目計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)已深入到我們工作和生活的方方面面，在給人們帶來(lái)便利的同時(shí)，也使網(wǎng)絡(luò)安全受到了較大的影響。網(wǎng)絡(luò)安全不僅包括網(wǎng)絡(luò)系統(tǒng)的硬件和軟件的安全，還包括網(wǎng)絡(luò)信息傳輸?shù)陌踩?，而且由于使用者的不同，?duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和要求也具有較大的差異。加強(qiáng)對(duì)網(wǎng)絡(luò)安全的防范，則需要從技術(shù)方向和管理方面的問(wèn)題入手，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全缺陷的產(chǎn)生原因進(jìn)行了分析，并進(jìn)一步對(duì)網(wǎng)絡(luò)攻擊和入侵的途徑、常見(jiàn)網(wǎng)絡(luò)攻擊及防范措施進(jìn)行了具體的闡述。

【關(guān)鍵詞】計(jì)算機(jī)網(wǎng)絡(luò)安全；攻擊；入侵；防范

隨著全球經(jīng)濟(jì)一體的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已成為當(dāng)前全球信息基礎(chǔ)設(shè)施的重要組成部分，在計(jì)算機(jī)網(wǎng)絡(luò)快速的發(fā)展下，使人們的生活方式、工作方式和信息的傳遞、處理和利用都發(fā)生了較大的變化，使人們的生活和工作更加便利。但由于互聯(lián)網(wǎng)具有開放性，這就給信息的保密性和系統(tǒng)的安全性帶來(lái)了較大的影響。一旦有病毒侵入、黑客攻擊和網(wǎng)絡(luò)癱瘓等問(wèn)題發(fā)生時(shí)，則會(huì)給計(jì)算機(jī)網(wǎng)絡(luò)安全帶來(lái)極大的威脅，而網(wǎng)絡(luò)系統(tǒng)一旦崩潰，所帶來(lái)的損失是無(wú)法估量的，提高計(jì)算機(jī)網(wǎng)絡(luò)安全已成為當(dāng)前業(yè)界人士急需解決的重要問(wèn)題。

1.計(jì)算機(jī)網(wǎng)絡(luò)安全的概念

對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全并沒(méi)有一個(gè)統(tǒng)一的定義，因?yàn)樵趯?duì)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用過(guò)程中，使用者不同，對(duì)網(wǎng)絡(luò)安全的要求也有所不同。對(duì)于大多數(shù)普通用戶來(lái)講，網(wǎng)絡(luò)安全即是其希望個(gè)人隱私或是機(jī)密信息在網(wǎng)絡(luò)傳遞過(guò)程中受到破壞，以免被竊聽(tīng)、篡改和偽造，對(duì)信息的保密性的安全需求較高；而對(duì)于網(wǎng)絡(luò)提供商來(lái)講，其除了對(duì)信息保密性的安全有一定的要求外，還要對(duì)各種突發(fā)的自然災(zāi)難、軍事打擊等網(wǎng)絡(luò)硬件的破壞及網(wǎng)絡(luò)出現(xiàn)異常時(shí)網(wǎng)絡(luò)通信的恢復(fù)、網(wǎng)絡(luò)通信的連續(xù)性等安全問(wèn)題進(jìn)行充分的考慮，所以通常情況下可以將網(wǎng)絡(luò)安全分為系統(tǒng)安全、網(wǎng)絡(luò)運(yùn)行安全和內(nèi)部網(wǎng)絡(luò)安全等三個(gè)方面。

2.計(jì)算機(jī)網(wǎng)絡(luò)安全缺陷產(chǎn)生的原因

2.1 TCP/IP的脆弱性

因特網(wǎng)是以TCP/IP協(xié)議為其運(yùn)行的基礎(chǔ)，但由于該協(xié)議是公開性的，而且對(duì)網(wǎng)絡(luò)的安全性缺乏必要的考慮，所以對(duì)于熟知TCP/IP協(xié)議的人，就可以利用該協(xié)調(diào)的缺陷來(lái)實(shí)施對(duì)網(wǎng)絡(luò)的攻擊。

2.2 網(wǎng)絡(luò)結(jié)構(gòu)的不安全

因特網(wǎng)是一個(gè)巨大的網(wǎng)絡(luò)，其利用網(wǎng)間網(wǎng)技術(shù)來(lái)將無(wú)數(shù)個(gè)局域網(wǎng)連接在一起，所以當(dāng)一臺(tái)主機(jī)與另一局域網(wǎng)內(nèi)的主機(jī)進(jìn)行通信時(shí)，攻擊者則可以利用處于同一數(shù)據(jù)傳輸路徑上的主機(jī)采取攻擊，從而實(shí)現(xiàn)劫取用戶數(shù)據(jù)包的目的。

2.3 數(shù)據(jù)容易被竊取

英特網(wǎng)具有開放性，而且大多數(shù)的數(shù)據(jù)流都沒(méi)有進(jìn)行加密，而且目前網(wǎng)上還會(huì)提供一些免費(fèi)的工具，竊取者利用這些工具則會(huì)實(shí)現(xiàn)對(duì)網(wǎng)上的電子郵件、口令和傳輸文件進(jìn)行竊聽(tīng)，從而導(dǎo)致數(shù)據(jù)被竊取。

2.4 缺乏安全意識(shí)

網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但由于人們普遍缺乏安全意識(shí)，所以這些保護(hù)措施許多時(shí)候等同于虛設(shè)。

3.網(wǎng)絡(luò)攻擊和入侵的主要途徑

網(wǎng)絡(luò)攻擊和入侵是指網(wǎng)絡(luò)攻擊者通過(guò)非法的手段來(lái)獲取被攻擊主機(jī)上的非法權(quán)限，通過(guò)對(duì)這些非法權(quán)限的利用來(lái)對(duì)被攻擊主機(jī)進(jìn)行操作，從而實(shí)現(xiàn)獲取數(shù)據(jù)和信息的目的。目前在進(jìn)行網(wǎng)絡(luò)入侵時(shí)其主要途徑有破譯口令、IP欺騙和DNS欺騙。

目前在計(jì)算機(jī)系統(tǒng)安全防控中，利用口令是抵御入侵者的重要手段，所以當(dāng)入侵者利用口令來(lái)進(jìn)行入侵時(shí)，其首先需要取得某些合法用戶的賬戶和口令，再對(duì)其進(jìn)行破譯，利用這些合法的賬戶和口令來(lái)登錄于目的主機(jī)展開攻擊活動(dòng)。

IP欺騙是指攻擊者利用一臺(tái)計(jì)算機(jī)來(lái)假冒另一臺(tái)計(jì)算機(jī)，從而達(dá)到蒙混過(guò)關(guān)的目的，這種入侵方式充分的利用了TCP/IP網(wǎng)絡(luò)協(xié)議的脆弱性，使假冒被入侵的主機(jī)取得信任，主機(jī)與被入侵主機(jī)實(shí)現(xiàn)連接，對(duì)被入侵主機(jī)所信任的主機(jī)發(fā)起攻擊，從而導(dǎo)致被信任的主機(jī)處于癱瘓狀態(tài)。

域名系統(tǒng)（DNS）是一種用于TCP/IP應(yīng)用程序的分布式數(shù)據(jù)庫(kù)，它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。通常網(wǎng)絡(luò)用戶通過(guò)UDP協(xié)議和DNS服務(wù)器進(jìn)行通訊，而服務(wù)器在特定端進(jìn)行監(jiān)聽(tīng)，并返回用戶所需的相關(guān)信息。DNS協(xié)議轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議被人以一些不同的方式加以利用。當(dāng)攻擊者危害DNS服務(wù)器并明確的更改主機(jī)名——IP地址映射表時(shí)，DNS欺騙就會(huì)發(fā)生。這些改變被寫入DNS服務(wù)器上的轉(zhuǎn)換表。因而，當(dāng)一個(gè)客戶機(jī)請(qǐng)求查詢時(shí)，用戶只能得到這個(gè)偽造的地址，該地址是一個(gè)完全處于攻擊者控制下的機(jī)器IP地址。。

4.常見(jiàn)的網(wǎng)絡(luò)攻擊及其防范對(duì)策

4.1 特洛伊木馬

特洛伊木馬程序技術(shù)是黑客常用的攻擊手段。它通過(guò)在你的電腦系統(tǒng)隱藏一個(gè)會(huì)在windows啟動(dòng)時(shí)運(yùn)行的程序.采用服務(wù)器/客戶機(jī)的運(yùn)行方式，從而達(dá)到在上網(wǎng)是控制你電腦的目的。特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。特洛伊木馬程序包括兩個(gè)部分。即實(shí)現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中轉(zhuǎn)播的指令。特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個(gè)含有特洛伊木馬的程序時(shí)，它能把自己插入一些未被感染的程序中.從而使它們受到感染。防止在正常程序中隱藏特洛伊木馬的主要方法是人們?cè)谏晌募r(shí).對(duì)每一個(gè)文件進(jìn)行數(shù)字簽名，而在運(yùn)行文件時(shí)通過(guò)對(duì)數(shù)字簽名的檢查來(lái)判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。

4.2 郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過(guò)設(shè)置一臺(tái)機(jī)器不斷地大量的向同一地址發(fā)送電子郵件。攻擊者能夠耗盡接收者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱空間。使用戶儲(chǔ)存空間消耗殆盡，從而阻止用戶對(duì)正常郵件的接收，妨礙計(jì)算機(jī)的正常工作。防止郵件炸彈的方法主要有通過(guò)配置路由器，有選擇的接受電子郵件。對(duì)郵件地址進(jìn)行配置，自動(dòng)刪除來(lái)自同一主機(jī)的過(guò)量或重復(fù)的消息，也可使自己的SMTP連接只能達(dá)到指定的服務(wù)器，從而免受外界郵件的侵襲。

4.3 過(guò)載攻擊

過(guò)載攻擊是攻擊者通過(guò)服務(wù)器長(zhǎng)時(shí)間發(fā)出大量無(wú)用請(qǐng)求。使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)。從而無(wú)法滿足其他用戶的請(qǐng)求。防止過(guò)載攻擊的方法有限制單個(gè)用戶所擁有的最大進(jìn)程數(shù)；殺死一些耗時(shí)的進(jìn)程。然而，不幸的是這兩種方法都存在一定的負(fù)面效應(yīng)。通過(guò)對(duì)單個(gè)用戶所擁有的最大進(jìn)程數(shù)的限制和耗時(shí)進(jìn)程的刪除.會(huì)使用戶某些正常的請(qǐng)求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類是拒絕服務(wù)的現(xiàn)象。

4.4 淹沒(méi)攻擊

正常情況下，TCP連接建立要經(jīng)歷3次握手的過(guò)程及客戶機(jī)向主機(jī)發(fā)送SYN請(qǐng)求信號(hào)；目標(biāo)主機(jī)收到請(qǐng)求信號(hào)后向客戶機(jī)發(fā)送SYN/ACK消息后再向主機(jī)發(fā)送RST信號(hào)并斷開連接。TCP的這三次握手過(guò)程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會(huì)。攻擊者可以使用一個(gè)不存在或當(dāng)時(shí)沒(méi)有被使用的主機(jī)的IP地址，向被攻擊主機(jī)發(fā)出SYN請(qǐng)求信號(hào)，當(dāng)被攻擊主機(jī)收到SYN請(qǐng)求信號(hào)后，它向這臺(tái)不存在IP地址的偽裝主機(jī)發(fā)出SYN消息。由于此時(shí)主機(jī)的IP不存在或當(dāng)時(shí)沒(méi)有被使用，所以無(wú)法向主機(jī)發(fā)送RST，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時(shí)。對(duì)付淹沒(méi)攻擊的最好方法是實(shí)時(shí)監(jiān)控系統(tǒng)處于SYN—REECEIVED狀態(tài)的連接數(shù)，當(dāng)連接數(shù)超過(guò)某一給定的數(shù)值時(shí)，實(shí)時(shí)關(guān)閉這些鏈接。

5.結(jié)束語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)安全的防范并不是單一的，這是一個(gè)系統(tǒng)工程，涉及多方面的因素，所以需要從管理和技術(shù)等方面來(lái)制定整體的管理策略，并對(duì)其進(jìn)行認(rèn)真實(shí)施，從而確保計(jì)算機(jī)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

[1]趙偉霞.淺析計(jì)算機(jī)網(wǎng)絡(luò)安全與防范策略[J].中國(guó)科技縱橫，2010（7）.

[2]馬國(guó)泰.新形勢(shì)下網(wǎng)絡(luò)信息安全防護(hù)體系的構(gòu)建.黑龍江科技信息，2012（11）.

[3]李焱伶.醫(yī)院網(wǎng)絡(luò)安全狀況及其防范措施[J].醫(yī)療裝備，2010（7）.