探討常見計算機網(wǎng)絡(luò)攻擊手段及安全防范措施

摘 要：隨著以計算機技術(shù)為核心的信息技術(shù)飛速發(fā)展，網(wǎng)絡(luò)攻擊手段愈加多樣化，網(wǎng)絡(luò)信息安全問題日益凸顯。因此，在計算機網(wǎng)絡(luò)普及化的當下，加強計算機網(wǎng)絡(luò)安全防范十分重要。在本文中，筆者首先就計算機網(wǎng)絡(luò)攻擊特點進行闡述，其次對計算機網(wǎng)絡(luò)攻擊途徑及攻擊手段進行分析，最后提出計算機安全防范措施，從而切實加強網(wǎng)絡(luò)信息安全性。

關(guān)鍵詞：計算機網(wǎng)絡(luò)；網(wǎng)絡(luò)攻擊；攻擊手段；防范措施

中圖分類號：TP393.08

隨著計算機技術(shù)及網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，對人們的生產(chǎn)生活、對國家經(jīng)濟社會文化發(fā)展都產(chǎn)生了巨大的影響，計算機網(wǎng)絡(luò)愈來愈成為人們生活中不可缺少的一部分。然而，伴隨而來的，互聯(lián)網(wǎng)信息安全問題也愈加突出。如何加強網(wǎng)絡(luò)安全防范、切實提升網(wǎng)絡(luò)防御能力已經(jīng)成為當前亟待解決的重要問題。針對當前層出不窮的計算機網(wǎng)絡(luò)攻擊，必須積極采取強有力的防范措施，否則網(wǎng)絡(luò)不僅無法發(fā)揮其有利作用，反而會危及個人、企事業(yè)單位甚至國家的安全。

1 當前計算機網(wǎng)絡(luò)攻擊的特征

計算機網(wǎng)絡(luò)攻擊指的是基于計算機網(wǎng)絡(luò)存在的漏洞及安全缺陷對計算機系統(tǒng)及其內(nèi)部資源進行攻擊或者進行非授權(quán)操作的行為，其具有造成損失巨大、攻擊手段多元、攻擊手法隱蔽等特點，有些計算機網(wǎng)絡(luò)攻擊還會對國家安全造成一定的威脅。具體而言，第一，計算機網(wǎng)絡(luò)攻擊的對象是聯(lián)網(wǎng)狀態(tài)的計算機，一旦攻擊成功，極其容易導致成千上萬臺計算機癱瘓，從而給個人、企事業(yè)單位甚至國家造成巨大的損失；第二，隨著信息技術(shù)高速發(fā)展，計算機網(wǎng)絡(luò)攻擊手段呈現(xiàn)出多樣化及精致化的特征，網(wǎng)絡(luò)黑客不僅可以通過截取他人賬號或口令從而進入計算機系統(tǒng)，而且可以通過監(jiān)視網(wǎng)上數(shù)據(jù)獲取他人信息，甚至可以避開他人設(shè)定的防火墻進入計算機系統(tǒng)，而這些網(wǎng)絡(luò)攻擊行為往往可以在極短時間內(nèi)通過計算機完成，因此也具有很強的隱蔽性。第三，計算機網(wǎng)絡(luò)攻擊絕大部分都是以軟件攻擊為主，通過對計算機軟件進行攻擊來進行，和生活中對計算機進行物理性攻擊完全不同。第四，當前，國際形勢瞬息萬變，一些計算機網(wǎng)絡(luò)攻擊者尤其是外國網(wǎng)絡(luò)攻擊者出于各種目的將他國政府部門或軍事機構(gòu)計算機系統(tǒng)作為網(wǎng)絡(luò)攻擊目標，從而給他國國家、社會造成巨大安全威脅。

2 計算機網(wǎng)絡(luò)攻擊的主要途徑

當前，計算機網(wǎng)絡(luò)攻擊的主要途徑主要有破譯口令、IP欺騙以及DNS欺騙三種。具體而言，第一，計算機網(wǎng)絡(luò)攻擊的一個重要途徑是破譯口令?？诹钍怯嬎銠C系統(tǒng)抵抗入侵者的一項重要手段。網(wǎng)絡(luò)攻擊者在獲取計算機上合法用戶的賬號后，對合法用戶口令進行破解，然后使用破解所得的口令登陸計算機，進而實施其他非授權(quán)行為。第二，計算機網(wǎng)絡(luò)攻擊的另一個重要途徑是IP欺騙，IP欺騙，顧名思義，指的是計算機網(wǎng)絡(luò)攻擊者通過將自身計算機IP地址偽造成他人IP，讓自身計算機假冒另一臺計算機，從而達到蒙騙過關(guān)的目的。IP欺騙具有一定的局限性，其利用了TCP/IP網(wǎng)絡(luò)協(xié)議的脆弱性特點，只能對某些運行TCP/IP的計算機系統(tǒng)進行入侵。通過與被入侵計算機的連接，對其所信任的計算機發(fā)起攻擊，從而使該計算機主機癱瘓。第三，計算機網(wǎng)絡(luò)攻擊的第三個途徑是DNS欺騙。DNS，中文名為域名系統(tǒng)，是用于TCP/IP應(yīng)用程序的一種數(shù)據(jù)庫，可以提供計算機主機名字與IP地址間的轉(zhuǎn)換信息。一般而言，計算機網(wǎng)絡(luò)用戶間的通信一般通過UDP協(xié)議以及DNS服務(wù)器完成，服務(wù)器在五十三端口進行“監(jiān)聽”，向用戶反饋其所需要的信息。由于DNS服務(wù)器并不對轉(zhuǎn)換或者信息更新予以身份認證，這就給了計算機網(wǎng)絡(luò)攻擊者利用的空間。當網(wǎng)絡(luò)攻擊者對DNS進行危害時，一旦明確地將計算機主機名即IP地址映射表更改時，就出現(xiàn)了DNS欺騙，而這些改變也隨之寫入了轉(zhuǎn)換表。當客戶機請求查詢相關(guān)信息時，只能獲得偽造的IP地址，而這個偽造的地址是完全處于網(wǎng)絡(luò)攻擊者控制的地址。

3 計算機網(wǎng)絡(luò)攻擊常見手段

3.1 網(wǎng)絡(luò)攻擊者利用網(wǎng)絡(luò)系統(tǒng)漏洞進行攻擊

當前，許多網(wǎng)絡(luò)系統(tǒng)并不完善，存在著諸多漏洞，這些漏洞既有可能是系統(tǒng)本身就有，也可能是計算機用戶、網(wǎng)絡(luò)管理員的疏忽所造成的，網(wǎng)絡(luò)攻擊者利用這些漏洞進行密碼探測、系統(tǒng)入侵等攻擊行為，最終造成計算機內(nèi)資料的泄露或者導致計算機不能正常運行。

3.2 網(wǎng)絡(luò)攻擊者通過電子郵件進行攻擊

網(wǎng)絡(luò)時代，電子郵件愈來愈成為我們生活中的重要通訊方式，應(yīng)用范圍愈加廣泛。網(wǎng)絡(luò)攻擊者有時會使用電子郵件炸彈的方式向同一個目的郵箱發(fā)送大量垃圾郵件，這些垃圾郵件往往內(nèi)容無用且重復，其目的是使用戶網(wǎng)絡(luò)帶寬耗盡、郵箱空間撐爆，尤其是當垃圾郵件發(fā)送量特別巨大時，可能導致郵件系統(tǒng)工作遲緩、甚至出現(xiàn)癱瘓，從而阻礙用戶正常收發(fā)電子郵件。

3.3 網(wǎng)絡(luò)攻擊者通過網(wǎng)絡(luò)監(jiān)聽進行攻擊

作為主機的一種工作模式，網(wǎng)絡(luò)監(jiān)聽通常被用于監(jiān)視計算機網(wǎng)絡(luò)狀態(tài)、信息傳輸以及數(shù)據(jù)流情況。網(wǎng)絡(luò)攻擊者在目標主機網(wǎng)絡(luò)信息傳輸時，通過工具將目標主機網(wǎng)絡(luò)接口設(shè)置為監(jiān)聽模式，從而截獲正在傳輸?shù)男畔ⅲㄒ话憬孬@用戶口令），最終取得目標主機用戶權(quán)限，從而實施攻擊行為。

3.4 網(wǎng)絡(luò)攻擊者通過放置木馬程序進行攻擊

木馬程序?qū)τ嬎銠C系統(tǒng)危害較大，它往往被偽裝成工具程序或者游戲軟件等誘使用戶執(zhí)行，當這些木馬程序被執(zhí)行后，就會將本地計算機與遠程計算機進行連接，當計算機聯(lián)網(wǎng)運行時，網(wǎng)絡(luò)攻擊者往往就會通過這些木馬程序盜取用戶資料及信息，篡改用戶文件資料，從而最終控制本地計算機。

3.5 網(wǎng)絡(luò)攻擊者通過拒絕服務(wù)進行攻擊

拒絕服務(wù)攻擊是網(wǎng)絡(luò)攻擊者較常使用的一種攻擊手段。攻擊者通過某種方法使目標主機暫停或者停止提供服務(wù)甚至出現(xiàn)主機死機的情況，從而達到對其攻擊的目的，其中最為常見的是對網(wǎng)絡(luò)帶寬攻擊以及連通性攻擊。

4 計算機網(wǎng)絡(luò)安全防范措施

針對當前計算機網(wǎng)絡(luò)攻擊手段的多樣性及復雜性，為確保計算機網(wǎng)絡(luò)安全、增強計算機網(wǎng)絡(luò)抵御能力，有必要積極建立一套合理可行的網(wǎng)絡(luò)安全防范機制，全方位地對主機的訪問進行監(jiān)視，及時發(fā)現(xiàn)并采取有效措施抵御攻擊行為。

4.1 網(wǎng)絡(luò)安全結(jié)構(gòu)中防火墻技術(shù)的運用

作為保障系統(tǒng)安全的有效屏障，防火墻是實現(xiàn)計算機網(wǎng)絡(luò)安全的最基礎(chǔ)但也是最為有效的防范措施之一，由計算機軟件及硬件共同組成。通過構(gòu)建計算機防火墻，用戶群體可以在內(nèi)、外部相互訪問中確立一定權(quán)限。用戶聯(lián)網(wǎng)后，確保計算機網(wǎng)絡(luò)安全的重要一個環(huán)節(jié)是抵御惡意操作行為，而目前抵御非法入侵者惡意操作最主要的措施就是防火墻技術(shù)。通過防火墻技術(shù)的使用，在相當程度上提高了網(wǎng)絡(luò)安全性，在一定程度上阻斷并過濾了惡意攻擊行為，從而降低計算機安全風險。

4.2 加密技術(shù)的應(yīng)用

通過應(yīng)用計算機網(wǎng)絡(luò)加密技術(shù)，對網(wǎng)絡(luò)傳輸中主機IP地址進行封裝加密，可以大幅提高數(shù)據(jù)傳輸?shù)谋Ｃ苄耘c真實性，其在確保公網(wǎng)數(shù)據(jù)傳輸安全方面也有重要作用。和防火墻技術(shù)相比，加密技術(shù)更加靈活，盡管其在一定程度上限制了用戶權(quán)限，但是對維護用戶靜態(tài)信息安全起到了積極保護作用。

4.3 入侵檢測技術(shù)的使用

入侵檢測系統(tǒng)，英文簡稱IDS，其通過多渠道對計算機網(wǎng)絡(luò)數(shù)據(jù)信息進行搜集，并對數(shù)據(jù)信息進行分析，從而判定網(wǎng)絡(luò)攻擊特征并實施驅(qū)逐。使用入侵檢測技術(shù)，不僅可以對主機與網(wǎng)絡(luò)之間的行為實時監(jiān)控，同時可以對外來攻擊及入侵進行預(yù)警，并實施阻擋及防護，提升計算機網(wǎng)絡(luò)防御能力。與防火墻技術(shù)相比，入侵檢測技術(shù)更加系統(tǒng)化，同時對于網(wǎng)絡(luò)攻擊可以進行數(shù)據(jù)特征分析并對入侵行為實施驅(qū)逐。此外，入侵檢測技術(shù)還能對計算機受損程度進行檢測，在受攻擊后收集相關(guān)數(shù)據(jù)信息，將攻擊者數(shù)據(jù)及相關(guān)特征、信息添加到相應(yīng)數(shù)據(jù)庫中，使計算機系統(tǒng)安全防范能力得到提高，避免了同種或者同類型的攻擊行為再次使計算機系統(tǒng)受損。

4.4 建立多層次安全級別的病毒防護系統(tǒng)，全面防護病毒入侵

一般而言，防范病毒入侵的方式主要有兩種，即單機防病毒軟件以及網(wǎng)絡(luò)防病毒軟件。單機防病毒軟件主要用于對本地計算機或者與本地計算機相連接的遠程資源進行病毒分析掃面，從而清除病毒；而網(wǎng)絡(luò)防病毒軟件則側(cè)重于對網(wǎng)絡(luò)病毒的防護與清除，尤其是某種病毒通過網(wǎng)絡(luò)向其他資源進行傳播時，網(wǎng)絡(luò)防病毒軟件會及時發(fā)現(xiàn)并予以清除。為了確保計算機網(wǎng)絡(luò)安全，有必要建立多層次安全級別的病毒防護系統(tǒng)，全面防護病毒入侵。

4.5 加強計算機網(wǎng)絡(luò)安全管理

業(yè)界有一句話比較經(jīng)典：三分技術(shù)，七分管理。當前，為了切實提高計算機網(wǎng)絡(luò)安全防范水平、增強計算機網(wǎng)絡(luò)防御能力，除了上述網(wǎng)絡(luò)安全技術(shù)的運用，還有必要積極加強計算機網(wǎng)絡(luò)安全管理、制定健全的網(wǎng)絡(luò)安全法律規(guī)章制度，對現(xiàn)有法律法規(guī)中有關(guān)計算機安全的內(nèi)容進行適當補充與修改，加強對計算機網(wǎng)絡(luò)犯罪的打擊力度，這對切實保障計算機網(wǎng)絡(luò)安全、可靠運行具有十分重要的作用。

5 結(jié)束語

隨著信息技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)攻擊手段不斷演變，各類計算機網(wǎng)絡(luò)違法犯罪案件數(shù)量不斷攀升。網(wǎng)絡(luò)攻擊越來越成為構(gòu)建計算機網(wǎng)絡(luò)安全體系的重要障礙，為了提升網(wǎng)絡(luò)安全防范水平，因此必須全方位、多角度地完善計算機網(wǎng)絡(luò)安全的防范體系。

參考文獻：

[1]趙秉文，陳寧，梁紅.基于層次分析法構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)的方法[J].浙江理工大學學報，2009（04）.

[2]胡華平，劉波，鐘求喜.網(wǎng)絡(luò)安全脆弱性分析與處置系統(tǒng)的研究與實現(xiàn)[J].國防科技大學學報，2009（01）.

[3]邢娜，馬文惠，馮紅嬋.淺析計算機網(wǎng)絡(luò)安全隱患及防范技術(shù)[J].科學大眾（科學教育），2009（11）.

[4]宋秀麗，鄧紅耀.計算機證據(jù)在網(wǎng)絡(luò)傳輸中的安全保護策略[J].計算機工程與設(shè)計，2010（16）.

[5]Poolsappasit，Nayot，Dewri，Rinku，Ray，Indrajit.Dynamic Security Risk Management Using Bayesian Attack Graphs[J].IEEE Transactions on Dependable and Secure Computing，2012（01）.

作者簡介：湯韜（1974.11-），男，湖南祁東人，本科，學士學位，網(wǎng)絡(luò)管理科科長，講師，研究方向：現(xiàn)代教育技術(shù)、計算機、計算機網(wǎng)絡(luò)。

作者單位：德宏師范高等專科學?，F(xiàn)代教育技術(shù)中心，云南德宏 678400