浅谈计算机网络的防御技术

1 编号 池 州 职 业 技 术 学 院 毕业设计 论文 课题名称 谈计算机网络防御技术 学生姓名 张 晓 辉 学 号 0 7 1 3 1 1 2 3 专 业 计 算 机 应 用 技 术 班 级 0 7 计 指导教师 邹 汪 平 二 一 年五月 2 浅谈计算机网络的防御技术浅谈计算机网络的防御技术 摘要摘要 随着计算机技术的飞速发展 信息网络已经成为社会发展的重要保证 有很多 是敏感信息 甚至是国家机密 所以难免会吸引来自世界各地的各种人为攻击 例如 信息泄漏 信息窃取 数据篡改 数据删添 计算机病毒等 因此 就必须对攻击方 法 攻击原理 攻击过程有深入的 详细的了解 只有这样才能更有效 更具有针对性 的进行主动防护 下面就对攻击方法的特征进行分析 来研究如何对攻击行为进行检测 与防御 反攻击技术的核心问题是如何截获所有的网络信息 目前主要是通过两种途 径来获取信息 一种是通过网络侦听的途径来获取所有的网络信息 这既是进行攻击的必 然途径 也是进行反攻击的必要途径 另一种是通过对操作系统和应用程序的系统日志进 行分析 来发现入侵行为和系统潜在的安全漏洞 关键字关键字 网络 攻击 防御 防火墙 入侵检测系统 一 攻击的主要方式一 攻击的主要方式 3 对网络的攻击方式是多种多样的 一般来讲 攻击总是利用 系统配置的缺陷 操作系统的安全漏洞 或 通信协议的安全漏洞 来进行的 到目前为止 已经发 现的攻击方式超过 2000 种 其中对绝大部分攻击手段已经有相应的解决方法 这些攻 击大概可以划分以下几类 1 1 拒绝服务攻击拒绝服务攻击 攻击者加载过多的服务将对方资源全部使用 使得没有多余资源供其他用户无法 使用 一般情况下 服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你 提供服务 服务拒绝攻击是最容易实施的攻击行为 SYN Flood 攻击是典型的拒绝服务 攻击 2 2 网络嗅探攻击网络嗅探攻击 网络嗅探就是使网络接口接收不属于本主机的数据 计算机网络通常建立在共享 信道上 以太网就是这样一个共享信道的网络 其数据报头包含目的主机的硬件地址 只有硬件地址匹配的机器才会接收该数据包 一个能接收所有数据包的机器被称为杂 错节点 通常账户和口令等信息都以明文的形式在以太网上传输 一旦被黑客在杂错 节点上嗅探到 用户就可能会遭到损害 3 3 缓冲区溢出攻击缓冲区溢出攻击 缓冲区溢出攻击是属于系统攻击的手段 通过往程序的缓冲区写超出其长度的内 容 造成缓冲区的溢出 从而破坏程序的堆栈 使程序转而执行其它指令 以达到攻 击的目的 当然 随便往缓冲区中填东西并不能达到攻击的目的 最常见的手段是通 过制造缓冲区溢出使程序运行一个用户 shell 再通过 shell 执行其它命令 如果该程 序具有 root 权限的话 攻击者就可以对系统进行任意操作了 4 4 信息收集型攻击信息收集型攻击 信息收集型攻击并不对目标本身造成危害 如名所示这类攻击被用来为进一步入 侵提供有用的信息 主要包括 扫描技术 体系结构刺探 利用信息服务 5 5 假消息攻击假消息攻击 4 用于攻击目标配置不正确的消息 主要包括 DNS 高速缓存污染 伪造电子邮件 6 系统代理攻击系统代理攻击 这种攻击通常是针对单个主机发起的 而并非整个网络 通过 RealSecure 系统代 理可以对它们进行监视 二 攻击行为与反攻击技术二 攻击行为与反攻击技术 Land 攻击攻击 攻击形式 在 Land 攻击中 一个特别打造的 SYN 包它的原地址和目标地址都被设 置成某一个服务器地址 此举将导致接受服务器向它自己的地址发送 SYN ACK 消息 结果这个地址又发回 ACK 消息并创建一个空连接 每一个这样的连接都将保留直到超 时掉 对 Land 攻击反应不同 许多 UNIX 实现将崩溃 NT 变的极其缓慢 大约持续五 分钟 防御 打最新的补丁 或者在防火墙进行配置 将那些在外部接口上入站的含有 内部源地址滤掉 包括 10 域 127 域 192 168 域 172 16 到 172 31 域 电子邮件炸弹电子邮件炸弹 攻击形式 电子邮件炸弹是最古老的匿名攻击之一 通过设置一台机器不断的大 量的向同一地址发送电子邮件 攻击者能够耗尽接受者网络的带宽 防御 对邮件地址进行配置 自动删除来自同一主机的过量或重复的消息 缓冲区溢出攻击缓冲区溢出攻击 攻击形式 由于在很多的服务程序中大意的程序员使用象 strcpy strcat 类似 的不进行有效位检查的函数 最终可能导致恶意用户编写一小段利用程序来进一步打 开安全豁口然后将该代码缀在缓冲区有效载荷末尾 这样当发生缓冲区溢出时 返回 指针指向恶意代码 这样系统的控制权就会被夺取 防御 利用 SafeLib tripwire 这样的程序保护系统 或者浏览最新的安全公告 不断更新操作系统 5 TCP UDPTCP UDP 端口扫描攻击端口扫描攻击 攻击形式 对被攻击主机的不同端口发送 TCP 或 UDP 连接请求 探测被攻击对象运 行的服务类型 检测方法 统计外界对系统端口的连接请求 特别是对 21 23 25 53 80 8000 8080 等以外的非常用端口的连接请求 防御 当收到多个 TCP UDP 数据包对异常端口的连接请求时 通知防火墙阻断连接 请求 并对攻击者的 IP 地址和 MAC 地址进行审计 三 关于入侵检测系统三 关于入侵检测系统 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报 告系统中未授权或异常现象的技术 是一种用于检测计算机网络中违反安全策略行为 的技术 在入侵检测系统中利用审计记录 入侵检测系统能够识别出任何不希望有的 活动 从而达到限制这些活动 以保护系统的安全 在校园网络中采用入侵检测技术 最好采用混合入侵检测 在网络中同时采用基于网络和基于主机的入侵检测系统 则 会构架成一套完整立体的主动防御体系 入侵检测系统存在一些亟待解决的问题 主要 表现在以下几个方面 1 如何识别 大规模的组合式 分布式的入侵攻击 目前还没有较好的方法和成 熟的解决方案 从 Yahoo 等著名 ICP 的攻击事件中 我们了解到安全问题日渐突出 攻 击者的水平在不断地提高 加上日趋成熟多样的攻击工具 以及越来越复杂的攻击手法 使入侵检测系统必须不断跟踪最新的安全技术 2 网络设备越来越复杂 越来越多样化就要求入侵检测系统能有所定制 以适应更 多的环境的要求 3 对入侵检测系统的评价还没有客观的标准 标准的不统一使得入侵检测系统之间 不易互联 入侵检测系统是一项新兴技术 随着技术的发展和对新攻击识别的增加 入 侵检测系统需要不断的升级才能保证网络的安全性 4 对 IDS 自身的攻击 与其他系统一样 IDS 本身也存在安全漏洞 若对 IDS 攻击成 6 功 则导致报警失灵 入侵者在其后的行为将无法被记录 因此要求系统应该采取多种安 全防护手段 5 采用不恰当的自动反应同样会给入侵检测系统造成风险 入侵检测系统通常可 以与防火墙结合在一起工作 当入侵检测系统发现攻击行为时 过滤掉所有来自攻击者 的 IP 数据包 当一个攻击者假冒大量不同的 IP 进行模拟攻击时 入侵检测系统自动配 置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉 于是造成新的拒绝服务访 问 6 对 IDS 自身的攻击 与其他系统一样 IDS 本身也存在安全漏洞 若对 IDS 攻击成 功 则导致报警失灵 入侵者在其后的行为将无法被记录 因此要求系统应该采取多种安 全防护手段 四 网络系统的漏洞 导致黑客在网上任意畅行四 网络系统的漏洞 导致黑客在网上任意畅行 根据 WarroonResearch 的调查 1997 年世界排名前一千的公司几乎都曾被黑客 闯入 据美国 FBI 统计 美国每年因网络安全造成的损失高达 75 亿美元 Ernst 和 Young 报告 由于信息安全被窃或滥用 几乎 80 的大型企业遭受损失 在最近一次黑客大规模的攻击行动中 雅虎网站的网络停止运行 3 小时 令其 损失了几百万美金的交易 而据统计在这整个行动中美国经济共损失了十多亿美金 由于业界人心惶惶 亚马逊 A AOL 雅虎 Yahoo eBay 的股价均告下挫 以科技股为主的那斯达克指数 Nasdaq 打破过去连续三天创下新高的升势 下挫了六 十三点 杜琼斯工业平均指数周三收市时也跌了二百五十八点 看到这些令人震惊的 事件 不禁让人们发出疑问 网络还安全吗 据不完全统计 目前 我国网站所 受到黑客的攻击 虽然还不能与美国的情况相提并论 但是我国的用户数目 用户规 模已经达到了突飞猛进的阶段 以下事实也不能不让我们深思 2007 年 6 月 18 岁少年黑客攻击两千家网站 只为炫耀水平 7 2008 年 5 月陕西省地震局网站遭黑客短时攻击 并在网站首页恶意发布 网站出 现重大安全漏洞 的虚假信息 2008 年 9 月北大网站遭黑客攻击 假冒校长抨击大学教育 2008 年 一个全球性的黑客组织 利用 ATM 欺诈程序在一夜之间从世界 49 个城 市的银行中盗走了 900 万美元 2009 年 7 月 7 日 韩国总统府 国会 国情院和国防部等国家机关 以及金融界 媒体和防火墙企业网站遭到黑客的攻击 9 日韩国国家情报院和国民银行网站无法被访 问 韩国国会 国防部 外交通商部等机构的网站一度无法打开 这是韩国遭遇的有 史以来最强的一次黑客攻击 2009 年 7 月 17 日 中国气象局下属的国家卫星气象中心网站受到黑客攻击 2009 年下半年 中国多个省份电信被 DDOS 攻击 导致断网 2010 年 1 月 12 日上午 6 点左右起 全球最大中文搜索引擎百度突然出现大规模无 法访问 主要表现为跳转到一雅虎出错页面 伊朗网军图片 出现 天外符号 等 范围涉及四川 福建 江苏 吉林 浙江 北京 广东等国内绝大部分省市 中国大 陆市场占有率最高的搜索引擎百度受到创立以来最严重的黑客攻击 2010 年 1 月 14 日凌晨 国内投诉门户网站 315 消费电子投诉网遭受黑客攻击 数据库中三条投诉信息莫名被删 五 防御黑客攻击五 防御黑客攻击 黑客攻击是黑客自己开发或利用已有的工具寻找计算机系统和网络的缺陷和漏洞 并对这些缺陷实施攻击 在计算机网络飞速发展的同时 黑客技术也日益高超 目前黑客能运用的攻击软 件已有 1 000 多种 从网络防御的角度讲 计算机黑客是一个挥之不去的梦魇 借助 黑客工具软件 黑客可以有针对性地频频对敌方网络发动袭击令其瘫痪 多名黑客甚 至可以借助同样的软件在不同的地点 集中火力 对一个或者多个网络发起攻击 而 8 且 黑客们还可以把这些软件神不知鬼不觉地通过互联网按到别人的电脑上 然后在 电脑主人根本不知道的情况下 借刀杀人 以别人的电脑为平台对敌方网站发起攻击 理论上开放系统都会有漏洞的 正是这些漏洞被一些拥有很高技术水平和超强耐性的 黑客所利用 黑客们最常用的手段是获得超级用户口令 他们总是先分析目标系统正 在运行哪些应用程序 目前可以获得哪些权限 有哪些漏洞可加以利用 并最终利用 这些漏洞获取超级用户权限 再达到他们的目的 因此 对黑客攻击的防御 主要从 访问控制技术 防火墙技术和信息加密技术入手 六 网络安全体系的探讨六 网络安全体系的探讨 一 网络病毒的防范 在网络环境下 病毒传播扩散快 仅用单机防病毒产品已经很难彻底清除网络病 毒 必须有适合于局域网的全方位防病毒产品 校园网络是内部局域网 就需要一个 基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件 如果 与互联网相连 就需要网关的防病毒软件 加强上网计算机的安全 如果在网络内部 使用电子邮件进行信息交换 还需要一套基于邮件服务器平台的邮件防病毒软件 识 别出隐藏在电子邮件和附件中的病毒 所以最好使用全方位的防病毒产品 针对网络 中所有可能的病毒攻击点设置对应的防病毒软件 通过全方位 多层次的防病毒系统 的配置 通过定期或不定期的自动升级 使网络免受病毒的侵袭 二 运用防火墙 二 运用防火墙 防火墙指的是一个由软件和硬件设备组合而成 在内部网和外部网之间 专用网 与公共网之间的界面上构造的保护屏障 是一种获取安全性方法的形象说法 它是一种 计算机硬件和软件的结合 使 Internet 与 Intranet 之间建立起一个 Security Gateway 从而保护内部网免受非法用户的侵入 防火墙主要由服务访问规则 验证 工具 包过滤和应用网关 4 个部分组成 利用防火墙 在网络通讯时执行一种访问控 制尺度 允许防火墙同意访问的人与数据进入自己的内部网络 同时将不允许的用户 9 与数据拒之门外 最大限度地阻止网络中的黑客来访问自己的网络 防止他们随意更 改 移动甚至删除网络上的重要信息 防火墙是一种行之有效且应用广泛的网络安全 机制 防止 Internet 上的不安全因素蔓延到局域网内部 所以 防火墙是网络安全的 重要一环 虽然防火墙是目前保护网络免遭黑客袭击的有效手段 但也有明显不足 无法防范通过防火墙以外的其它途径的攻击 不能防止来自内部变节者和不经心的用 户们带来的威胁 也不能完全防止传送已感染病毒的软件或文件 以及无法防范数据 驱动型的攻击 三 三 Web Email BBS 的安全监测系统的安全监测系统 在网络的 www 服务器 Email 服务器等中使用网络安全监测系统 实时跟踪 监视 网络 截获 Internet 网上传输的内容 并将其还原成完整的 www Email FTP Telnet 应用的内容 建立保存相应记录的数据库 及时发现在网络 上传输的非法内容 及时向上级安全网管中心报告 采取措施 四 漏洞扫描系统 四 漏洞扫描系统 解决网络层安全问题 首先要清楚网络中存在哪些安全隐患 脆弱点 面对大型 网络的复杂性和不断变化的情况 仅仅依靠网络管理员的技术和经验寻找安全漏洞 做出风险评估 显然是不现实的 解决的方案是 寻找一种能查找网络安全漏洞 评 估并提出修改建议的网络安全扫描工具 利用优化系统配置和打补丁等各种方式最大 可能地弥补最新的安全漏洞和消除安全隐患 在要求安全程度不高的情况下 可以利