浅论计算机网络安全与防范技术

浅论计算机网络安全与防范技术2008级 计算机科学与技术专业 王 峰摘要：本文首先在介绍计算机网络安全和网络黑客的含义，然后介绍常见的计算机网络攻击及其防范对策，网络攻击和入侵的主要途径，涉密计算机网络保密建设的基本措施，计算机网络文件的隐藏，利用IE浏览器参数进行计算机网络系统的防范，App sinffer 攻击技巧，杀（防）毒软件不可少，个人防火墙不可替代，分类设置密码并使密码设置尽可能复杂，只在必要时共享文件夹，防范间谍软件（Spyware），定期备份重要数据，不要随意浏览黑客网站、色情网站，木马病毒的攻击和防御原理。关键词：计算机；黑客；网络安全；防范技术；病毒；一计算机网络安全和网络黑客的含义计算机网络安全的具体含义，随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。几十年前第一台分时小型电脑诞生，ARPAnet 实验也刚展开的年代，那时有一个由程序设计专家和计算机网络名人所组成的，具有分享特点的文化社群。这种文化的成员创造了 “hacker” 这个名词。黑客们建立了 Internet。黑客们发明出了现在使用的 UNIX 计算机操作系统。黑客们使 Usenet 运作起来，黑客们让 WWW 运转起来。这个文化的一部分，对这种文化有所贡献，这个社群的其它成员也认识你并称你为 hacker，这就是计算机网络黑客。电子学和音乐 事实上，你可以在任何最高级别的科学和艺术活动中发现它。精于软件的黑客赞赏这些在其他领域的同类并把他们也称作黑客有人宣称黑客天性是绝对独立于他们工作的特定领域的。在这份文档中，我们将注意力集中在软件黑客的技术和态度，以及发明了“黑客”一词的以共享为特征的文化传统之上。二常见的计算机网络攻击及其防范对策（一）特洛伊木马特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序，采用服务器客户机的运行方式，从而达到在上网时控制你电脑的目的。特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。特洛伊木马中存在这些用户不知道的额外操作代码，含有特洛伊木马的程序在执行时，表面上是执行正常的程序，实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分，实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的程序中，从而使它们受到感染。计算机的危害极大，通过特洛伊木马，网络攻击者可以读写未经授权的文件，可以获得对被攻击的计算机的控制权。对每一个文件进行数字签名，在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。（二）邮件炸弹电子邮件炸弹是最古老的匿名攻击之一，设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间消耗殆尽，阻止用户对正常邮件的接收，防碍计算机的正常工作。攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。邮件炸弹的方法主要有通过配置路由器，选择地接收电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息，也可使自己的SMTP连接只能达成指定的服务器，免受外界邮件的侵袭。（三）过载攻击过载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处于繁忙的状态，无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击，它是通过大量地进行人为地增大CPU的工作量，耗费CPU的工作时间，使其它的用户一直处于等待状态。防止过载攻击的方法有：限制单个用户所拥有的最大进程数，杀死一些耗时的进程。这两种方法都存在一定的负面效应。对单个用户所拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求得不到系统的响应，出现类似拒绝服务的现象。管理员可以使用网络监视工具来发现这种攻击，通过主机列表和网络地址列表来分析问题的所在，也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外，还可以让系统自动检查是否过载或者重新启动系统。（四）淹没攻击TCP连接建立要经历3次握手的过程，客户机向主机发送SYN请求信号，主机收到请求信号后向客户机发送SYN/ACK消息，客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。攻击者使用一个不存在或当时没有被使用的主机的IP地址，被攻击主机发出SYN请求信号，当被攻击主机收到SYN请求信号后，这台不存在IP地址的伪装主机发出SYN/消息。主机的IP不存在或当时没有被使用所以无法向主机发送RST，造成被攻击的主机一直处于等待状态，直至超时。如果攻击者不断地向被攻击的主机发送SYN请求，被攻击主机就会一直处于等待状态，从无法响应其他用户的请求。对付淹没攻击的最好方法是实时监控系统处于SYN-RECEIVED状态的连接数，当连接数超过某一给定的数值时，实时关闭这些连接。三网络攻击和入侵的主要途径 网络入侵是指网络攻击者通过非法的手段（如破译口令、电子欺骗等）获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺骗和DNS欺骗。 口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，进行合法用户口令的破译。获得普通用户帐号的方法很多：利用目标主机的Finger功能，当用Finger命令查询时，主机系统会保存的用户资料（如用户名、登录时间等）显示在终端或计算机上。利用目标主机的X.500服务，主机没有关闭X.500的目录查询服务，给攻击者提供了获得信息的一条简易途径。电子邮件地址中收集，用户电子邮件地址常会透露其在目标主机上的帐号，查看主机是否有习惯性的帐号，有经验的用户都知道，系统会使用一些习惯性的帐号，造成帐号的泄露。IP欺骗是指攻击者伪造别人的IP地址，一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。网络的计算机都知道对方的地址，它们之间互相信任。这种信任关系，计算机可以不进行地址的认证执行远程操作。域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。网络用户通过UDP协议和DNS服务器进行通信，服务器在特定的53端口监听，返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名IP地址映射表时，DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。当一个客户机请求查询时，用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。网络上的主机都信任DNS服务器，所以一个被破坏的DNS服务器可以将客户引导到非法的服务器，也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。四涉密计算机网络保密建设的基本措施根据国家有关规定，政务内网是涉密网络，是专门处理国家秘密和内部办公信息的网络。党和国家对涉密网络的保密建设和管理非常重视，制定了一系列方针政策、法律法规和标准规范。根据这些规定，涉密计算机网络保密建设的基本措施：（一）存放安全。保证涉密计算机信息系统的机房设备和终端存放在安全可靠的地方，做到防火、防水、防震、防爆炸和防止外来人员进行物理上的盗取和破坏等，防止外界电磁场对涉密信息系统各个设备的电磁干扰，保证涉密信息系统的正常运行。处理国家秘密信息的电磁屏蔽室的建设，必须符合国家保密标准BMB3的要求。处理秘密级、机密级信息的系统中心机房，应当彩有效的电子门控系统。处理绝密级信息和重要信息的系统中心机房的门控系统，还应采取IC卡或生理特征进行身份鉴别，并安装电视监视系统，且配备警卫人员进行区域保护。（二）物理隔离。这是涉密信息系统免遭来自因特网上的黑客攻击和病毒侵扰的最有效措施。实现物理隔离，必须做到以下几点：1、一个单位的政务内网和政务外网的机房要分别建设，相互物理隔离。2、政务内网的布线要采用光缆或屏蔽电缆，对已建网络要改造成政务内、外网两个网络、单布线不可改变时，可以采用安装安全隔离集线器的办法，使客户端微机不能同时与内、外网相通。3、客户端的物理隔离可以采取以下方法解决：安装双主板、双硬盘的微机浪，对原的微机进行物理隔离改造，即增中一块硬盘和一块双硬盘隔离卡，对客户端微机只增加一块单礓盘隔离卡等。4、对单位与单位政务内网之间的信息传输，可采用以下方法解决：利用各地政务内网平台提供的宽带保密通道，采用单独交换设备和单独铺设线路，并安装计算机网络加密机，使用面向连接的电路交换方式时，应采用认证和链路加密措施。（三）身份鉴别。在用户进入涉密信息系统前，系统要对用户的身份进行鉴别，判断该用户是否为系统的合法用户。目的是防止非法用户进入。（四）访问控制。经过身份鉴别进入涉密信息系统的合法用户，需要对其访问系统资源的权限进行限制。访问控制的任务就是根据一定的原则对合法用户的访问权限进行控制，以决定他可以使用哪些系统资源，以什么样的方式使用。（五）数据存储加密。对涉密信息系统中存放的文件和数据进行加密，使这成为密文，用在用户对其进行访问（查询、插入、修改）时，需要对数据实时进行加密/解密。这是系统安全控制的第三道防线。系统的身份鉴别和访问控制这两道防线万一遭到破坏或用户绕过身份鉴别和访问控制，采用什么样的密码体制对数据进行加密，密码控制中的一个很关键的问题，要保证密码算法既有很强的密码强度，对系统的运行效率不致于有太大影响。现代密码体制是将密码算法公开，保持密钥的秘密性，一切秘密寓于密钥之中。（六）安全审计。审计是模拟社会检察机构在信息系统中用来监视、记录和控制用户活动的一种机制，它使影响系统安全的访问和访问企图留下线索，事后分析追查。主要的安全审计手段包括：设置审计开关、事件过滤、查询审计日志和违远见事件报警等。审计系统有详细的日志，记录每个用户的每次活动（访问时间、地址、数据、程序、设备等）系统出错和配置修改等信息。（七）防电磁泄漏。涉密信息系统中涉密设备的安装使用，应满足国家保密标准BMB2的要求。对不符合BMB2要求的，采取电磁泄漏的防护措施。电磁泄漏的防护技术共有3种：电磁屏蔽室、低泄射设备和电磁干扰器。对处理绝密级信息的系统机房应当建设电磁屏蔽室，处理绝密级信息的计算机要安装电磁屏蔽台，电磁屏蔽室和电磁屏蔽台都要符合国家保密标准BMB3的要求。处理秘密级、机密级信息的设备应当采取安装电磁干扰器或采用低泄射设备等防电磁泄漏措施。即处理机密级以下（含机密级）信息的设备应当采用一级电磁干扰器，二级电磁干扰器用于保护处理内部敏感信息的设备和最小警戒距离大于等于100米处理秘密级信息的设备。五利用IE浏览器参数进行计算机网络系统的防范首先在“快速启动”栏找到启动“Internet Explorer”浏览器选项，接着点击鼠标右键选择“属性命令”之所以不点击桌面上那个IE浏览器。是因为它的属性是设置为用于Internet的属性；而并非IE浏览器的属性。找到目标选项后，在路径后加入以下的参数；这样IE浏览器就可以找到不同防范后果。在目标选项后加上kohone参数，这样IE浏览器在启动的时候就会打开一个空的窗口。即使是主页选项中设置了IE浏览器激活的网页地址。IE浏览器也不会打开，这样不但可以防范了恶意的网页后。IE浏览器自动跳转到了页标地址，也可以在IE浏览器首页恶意脚本更改后。不让IE浏览器访问这些被更改的恶意网页，从而很好地保护计算机网络系统安全。如果急着使用IE浏览器，可是IE浏览器的默认设置已经被恶意网页修改，没有来得及修复的话，那么直接在目标选项后加上需要访问的网页地址即可。六App sinffer 攻击技巧：（一）踩点和扫描，应用windows系统的web服务器的代码结构多数都是asp加mssql，这些都存在sq/injection隐患。主要是通过注射工具，如果是Db-own的，可以通过配置黑客字典来跑用户名和密码，如果有论坛的话，看题存在漏洞，如果存在就通过木马来获得webshell这样。（二）查点、攻击和系统提权，利用直点，得到该空间使用者的情况，用户名和联系方式，邮件列表，为社会工程做好铺垫。通过nslookup务器信息，多数还是通过端口扫描来获得有价值的信息。（三）内网嗅探和盗取资料、安装后门软件。通过注册表或输入命令把自己添加到admin.group 组， nc（一个黑客工具）打开 mstic 服务（3389）服务，在命令行输入 net user命令查看当前是否管理员在线，安装 winpcap软件，新版的 winpcap不需要再重新启动就可以用，安装arp sinffer 进行网络嗅探。七杀（防）毒软件不可少计算机病毒利用读写文件能进行感染，利用驻留内存、截取中断向量等方式能进行传染和破坏。预防计算机病毒就是要监视、跟踪系统内类似的操作，提供对系统的保护，最大限度地避免各种计算机病毒的传染破坏。计算机病毒防范工作，防范体系的建设和制度的建立。没有一个完善的防范体系，一切防范措施都将滞后于计算机病毒的危害。计算机病毒防范体系的建设是一个社会性的工作，不是一两个人、一两家企业能够实现的，需要全社会的参与，充分利用所有能够利用的资源，形成广泛的、全社会的计算机病毒防范体系网络。计算机病毒防范制度是防范体系中每个主体都必须的行为规程，没有制度，防范体系就不可能很好地运作，就不可能达到预期的效果。必须依照防范体系对防范制度的要求，结合实际情况，建立符合自身特点防范制度。现在不少人对防病毒有个误区，就是对待电脑病毒的关键是“杀”，对待电脑病毒应当是以“防”为主。这种被动防御的消极模式远不能彻底解决计算机安全问题。安装杀毒软件的实时监控程序，定期升级所安装的杀毒软件给操作系统打相应补丁、升级引擎和病毒定义码。新病毒的出现层出不穷，现在各杀毒软件厂商的病毒库更新十分频繁，设置每天定时更新杀毒实时监控程序的病毒库，以保证其能够抵御最新出现的病毒的攻击。 每周要对电脑进行一次全面的杀毒、扫描工作，并清除隐藏在系统中的病毒。用户不慎感染上病毒时，立即将杀毒软件升级到最新版本，然后对整个硬盘进行扫描操作，清除一切查杀的病毒。病毒无法清除，杀毒软件不能做到对病毒体进行清晰的辨认，将病毒提交给杀毒软件公司，杀毒软件公司一般会在短期内给予用户满意的答复。面对网络攻击之时，我们的第一反应是拔掉网络连接端口，按下杀毒软件上的断开网络连接钮。八个人防火墙不可替代安装个人防火墙抵御黑客的袭击。所谓“防火墙”，是指一种将内部网和公众访问网分开的方法，是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。商家一旦发现其产品存在安全漏洞，就会尽快发布补救产品，确认真伪（防止特洛伊木马等病毒），对防火墙进行更新。一个好的防火墙能把各种安全问题在发生之前解决。目前各家杀毒软件的厂商都会提供个人版防火墙软件，防病毒软件中都含有个人防火墙，可用同一张光盘运行个人防火墙安装，重点提示防火墙在安装后一定要根据需求进行详细配置。合理设置防火墙后应能防范大部分的蠕虫入侵。九分类设置密码并使密码设置尽可能复杂网上设置密码的地方很多，设置密码时要尽量避免使用有意义的英文单词、姓名缩写及生日、电话号码等容易泄露的字符作为密码，采用字符与数字混合的密码。 不要贪图方便在拨号连接的时候选择“保存密码”选项虽然密码在机器中是以加密方式存的，这样的加密往往并不保险，一些初级的黑客即可轻易地破译你的密码，而且现在上就有许多黑客软件可供下载，定期地修改自己的上网密码，至少一个月更改一次，这样以确保即使原密码泄露，也能将损失减小到最少。不下载来路不明的软件及程序，不打来历不明的邮件及附件 ，不下载来路不明的软件及程序。选择信誉较好的下载网下载软件，将下载的软件及程序集中放在非引导分区的某个目录，在使用前最好用杀毒软查杀病毒。不要打开来历不明的电子邮件及其附件，以免遭受病毒邮件的侵害。在互网上有许多种病毒流行，有些病毒就是通过电子邮件来传播的（如梅丽莎、爱虫等），这病毒邮件通常都会以带有噱头的标题来吸引你打开其附件，如果您抵挡不住它的诱惑，而载或运行了它的附件，对于来历不明的邮件应当将其拒之门外。十只在必要时共享文件夹，防范间谍软件（Spyware） 不要以为你在内部网上共享的文件是安全的，其实你在共享文件的同时就会有软件漏洞呈现在互联网的不速之客面前，公众可以自由地访问您的那些文件，并很有可能被有恶意的人利用和攻击。共享文件应该设置密码，一旦不需要共享时立即关闭。目前，网上一些黑客利用“网络钓鱼”手法进行诈骗，如建立假冒网站或发送含有欺诈信息的电子邮件，盗取网上银行、网上证券或其他电子商务用户的账户密码，从而窃取用户资金的违法犯罪活动不断增多。最近公布的一份家用电脑调查结果显示，大约80%的用户对间谍软件入侵他们的电脑毫无知晓。间谍软件是一种能够在用户不知情的情况下偷偷进行安装（安装后很难找到其踪影），并悄悄把截获的信息发送给第三者的软件。间谍软件的一个共同特点是，能够附着在共享文件、可执行图像以及各种免费软件当中，并趁机潜入用户的系统，而用户对此毫不知情。间谍软件的主要用途是跟踪用户的上网习惯，有些间谍软件还可以记录用户的键盘操作，捕捉并传送屏幕图像。间谍程序总是与其他程序捆绑在一起，用户很难发现它们是什么时候被安装的。十一定期备份重要数据，不要随意浏览黑客网站、色情网站这点勿庸多说，是道德层面，下许多病毒、木马和间谍软件都来自于黑客网站和色情网站如果你上了这些网站，而你的个人电脑恰巧又没有缜密的防范措施。数据备份的重要性毋庸讳言，无论你的防范措施做得多么严密，遭到致命的攻击，操作系统和应用软件可以重装，而重要的数据就只能靠你日常的备份了。无论你采取了多么严密的防范措施，也不要忘了随时备份你的重要数据，做到有备无患。十二木马病毒的攻击和防御原理（一） 木马入侵的第一特征：伪装将服务端程序更名，黑客在入侵前会将木马的服务端安装程序改成一个大家容易忽略的名字，如mm.swf.exe，而一般用户的电脑都设置为隐藏已知文件类型的文件名，然后将这个程序文件的图标改成flash的图标，这样对方初一看为mm.swf，就会毫不犹豫地打开它。只要双击木马服务端安装程序就会悄无声息的安装，并自动删除安装程序，对方一看没反应，安装程序又不在了，还以为该删除了。当然这一招只能欺骗菜鸟级用户。但成功效率更高。捆绑程序：运行exe捆绑机