计算机网络漏洞浅析及安全防护

1、浅析计算机网络的漏洞及应对方法秀松小学 孟利摘要 ：随着计算机技术及网络的不断发展，计算机网络安全日益成为人们关注的话题。本文简要的介绍 了计算机网络漏洞，以及面对这样的漏洞我们应该采取哪些安全策略。一、引言随着计算机网络的不断发展， 全球信息化已成为人类发展的大趋势。 但由于计算机网络具 有联结形式多样性、 终端分布不均匀性和网络的开放性、 互连性等特征， 致使网络易受黑客、 怪客、 恶意软件和其他不轨的攻击， 所以网上信息的安全和保密是一个至关重要的问题。 无 论是在局域网还是在广域网中， 都存在着自然和人为等诸多因素的脆弱性和潜在威胁。 故此， 网络的安全措施应是能全方位地针对各种不同的

2、威胁和脆弱性， 这样才能确保网络信息的保 密性、完整性和可用性。二、计算网络面临的威胁计算机网络所面临的威胁大体可分为两种： 一是对网络中信息的威胁； 二是对网络中设备 的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的； 可能是人 为的， 也可能是非人为的；可能是外来黑客对网络系统资源的非法使有，归结起来，针对网 络安全的威胁主要有以下两种：1、人为的无意失误：如操作员安全配置不当造成的安全漏洞，用户安全意识不强，用户 口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。2、计算机网络的漏洞和 “后门”：网络软件不可能是百分之百的无缺陷和无漏洞

3、的， 然而， 这些漏洞和缺陷恰恰是黑客进行攻击的首选目标，曾经出现过的黑客攻入网络内部的事件， 这些事件的大部分就是因为安全措施不完善所招致的苦果。另外， 软件的“后门”都是软件 公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成 的后果将不堪设想。本文将对第二种网络的漏洞进行介绍及如何防护进行探讨。三、网络漏洞网络漏洞的概念漏洞是指程序在设计、 实现或运行操作上的错误， 而被黑客用来获取信息、 取得用户权限、 取得系统管理权限或破坏系统。 关于网络漏洞， 目前还没有一个准确统一的定义。 从访问控 制的角度， 有人认为： 当对系统的各种操作与系统的安全策略发生冲突

4、时， 就产生了安全漏 洞；也有人认为： 计算机系统是由若干描述实体配置的当前状态所组成， 可分为授权状态和 非授权状态、 易受攻击状态和不易受攻击状态， 漏洞就是状态转变过程中能导致系统受损的 易受攻击状态的特征。 以上都是从各自的专业角度对网络漏洞进行描述， 并没有给出一个全 面准确的定义。 较为通俗的网络漏洞的描述定义是： 存在于计算机网络系统中的、 可能对系 统中的组成、运行和数据造成损害的一切因素。网络漏洞的分类 根据网络漏洞产生的原因、 存在的位置和利用漏洞攻击的原理来进行分类， 可分为系统漏洞 和人为漏洞。系统漏洞是指硬件或软件因为设计或制作产生时产生的能被利用的各种漏洞。 网络中

5、的 漏洞可以存在于硬件和软件中， 但更多还是以软件漏洞的形式存在。 这些漏洞有许多都是由 于系统设计人员和程序员的疏忽或失误及对网络环境的不熟悉造成的。 进行网络开发时， 许 多开发者都并不重视网络的安全情况， 也不完全了解程序的内部工作机理， 致使程序不能适 应所有的网络环境， 造成网络功能与安全策略发生冲突， 最终导致漏洞的产生。 无论是操作 系统、网络应用软件， 还是单机应用软件， 都广泛隐藏有漏洞。 例如操作系统 WINDOWS9X 、 WINDOWS 2000 、WINDWS XP 、WINDOWS VISTA 、 Linux 等；网络中的即时通信软件如 QQ、MSM 等；文件传输软

6、件如 FlashFXP 、CuteFTP 等，浏览器软件如 IE、OPERA、Firefox 等；办公软件如 MS Office 、WPS 等，这些软件中都存在着可导致泄密和招致网络攻击的漏 洞。在 Internet 中提供服务的各种服务器中，漏洞存在的情况和招致的危害更是严重。无论 是 Web 服务器、 FTP 服务器、邮件服务器，还是数据库服务器和流媒体服务器都存在着可 导致网络攻击的安全漏洞。 脚本评议的设计缺陷和使用不规范， 更是令因特网的安全状况雪 上加霜。人为漏洞有两种。 一种是指这些漏洞则是刻意留下的。 网络管理员或程序开发者为了更 好地监管和控制网络， 往往预留秘密通道， 以保

7、证对网络的绝对控制。 部分网络用户或黑客 也许会出于好奇而在网络中秘密下木马、 逻辑炸弹或是陷阱。 另一种是因为网络管理员的疏 忽而产生的，例如没有及时打上补丁或设置了一个弱管理员口令。 利用网络漏洞进行网络攻击的原理网络漏洞的广泛存在为网络攻击提供了机会， 相比而言， 由于网络服务器在网络中的重要 作用， 而且其安装的软件和开放的端口更多， 更容易招致网络攻击。 下面介绍几种常见的利 用网络漏洞进行攻击的方法。 拒绝服务攻击原理拒绝服务攻击(Dos:Denai of Service)是一种针对TCP/IP协议漏洞的一种网络攻击手段，其原理是利用 Dos 工具向目标主机发送海量的数据包，消耗网

8、络的带宽和目标主机的资源， 造成目标主机网段阻塞， 致使网络或系统负荷过载而停止向用户提供服务。 常见的拒绝服务 攻击方法有 SYN Flood攻击、Smurf、UDP洪水、Land攻击、死亡之 Ping、电子邮件炸弹 等。目前影响最大、危害最深的是分布式 Dos 攻击。它利用多台已被攻击者控制的计算机 对某一台计算机进行攻击，很容易导致被攻击主机系统瘫痪。对Dos 攻击的防护措施主要是设置防火墙，关闭外部路由器和防火墙的广播地址，利用防火墙过滤掉UDP 应答消息和丢弃 ICMP 包，尽量关闭不必要的 TCP/IP 服务。 缓冲区溢出攻击原理简单地说， 缓冲区溢出的原因是向一个有限的缓冲区复制

9、了超长的字符串，结果覆盖了相邻的存储单元。 这种覆盖往往会导致程序运行的失败， 甚至是死机或是系统的重握系统的操 作权。 缓冲区溢出漏洞广泛存在于应用软件和操作系统中， 其危害是非常巨大的， 但一直以 来并没有引起系统和软件开发者足够的重视。 要防止缓冲区溢出攻击， 首要的是堵住漏洞的 源头， 在程序设计和测试时对程序进行缓冲区边界检查和溢出检测。 而对于网络管理员， 必 须做到及时发现漏洞，并对系统进行补丁修补。有条件的话，还应付系统进行定期的升级。 欺骗类攻击的原理欺骗类攻击主要是利用 TCP/IP 协议自身的缺陷发动攻击。在网络中，如果使用伪装的身 份和地址与被攻击的主机进行通信， 向其

10、发送假报文， 往往会导致主机出现错误操作， 甚至 对攻击主机做出信任判断。 这时， 攻击者可冒充被信任的主机进入系统， 并有机会预留后门 供以后使用。根据假冒方式的不同，这种攻击可分为： IP 欺骗、 DNS 欺骗、电子邮件欺骗、 源路由欺骗等。下面以 IP 欺骗攻击为例分析欺骗攻击的过程。在这种攻击中，发动攻击的 计算机的使用一个伪装的 IP 地址向目标计算机主机发送网络请求；当主机收到请求后，会 使用系统资源提供网络连接服务，并回复确认信息；但由于IP 地址是假的，主机不可能得到回应， 这种情况下， 主机将会继续重得发送确认信息。 尽管操作系统规定了回复的次数和 超时的时间， 但完成多次回

11、复仍要占用主机资源较长时间， 严重降低主机的工作效率。 例如 Windows2000 系统在缺省回复次数下， 从建立连接到资源的释放大约用时 190 秒。对于解决 欺骗类攻击的方法， 最好是充分了解主机的系统状况， 只启用必用的应用程序和只开放提供 服务所用到的端口。 程序错误攻击原理在网络的主机中存在着许多服务程序错误和网络协议错误。 换句话说就是， 服务程序和网 络协议无法处理所有的网络通信中所面临的问题。 人们利用这些错误， 故意向主机发送的数 据包。对于主机来说，往往不能正确处理这些数据包，这会导致主机的 CPU 资源全部被占 用或是死机。 服务程序存在错误的情况很多， 多种操作系统的

12、服务程序都存在。 例如 WinNT 系统中的 RPC 服务就存在着多种漏洞， 其中危害最大的要数 RPC 接口远程任意代码可执行 漏洞，非常流行的冲击波病毒就是利用这个漏洞编制的。 对付这类漏洞的方法是尽快安装漏 洞的补丁程序， 在没有找到补丁之前，应先安装防火墙， 视情况切断主机应用层服务， 即禁 止从主机的所有端口发出和接收数据包。 恶意程序码攻击原理这种攻击是指黑客通过外部设备和网络漏洞， 把恶意程序码安装到系统内。 它通常是黑客 成功入侵后做的后续动作，可以分为病毒和后门攻击程序。 病毒有自我复制性和破坏性两个特性， 这种攻击就是把病毒安装到系统内， 利用病毒的特性 破坏系统和感染其他

13、系统。 最有名的蠕虫病毒的攻击行为很简单， 就是复制， 复制同时做到 感染和破坏的目的。 后门攻击原理通常网络攻击者在获得一台主机的控制权后， 会在主机上建立后门， 以便下一次入侵时使 用。后门和种类很多，有登录后门、服务后门、库后门、口令破解后门等。这些后门多数存 在于 Windows 或 Unix 系统中。目前，建立后门常有的方法是在主机中安装木马程序。攻击 者利用欺骗的手段， 通过向主机发送电子邮件或是文件， 并诱使主机的操作员打开或运行藏 有木马程序的邮件或是文件； 或者是攻击者获得控制权后， 自己安装木马程序。 对付后门攻 击的方法是经常检测系统的程序运行情况， 及时发现在运行中的不

14、明程序， 并用木马专杀工 具进行查杀工具进行查杀木马。其实上， 网络攻击的方法千变万化， 尽管可以对网络攻击从原理上进行分类， 但在网络攻击 的具体实例中，有时又很难简单地将其归于某一类的攻击。例如，利用 Ping 命令向一台主 机发送超过65535的Echo Request数据包，目标主机就会因缓冲区溢出而拒绝继续提供服务， 既可以将这种攻击看作是拒绝服务攻击， 也可以视为缓冲区溢出攻击。 正是由于网络漏洞种 类繁多，攻击方法也多种多样，很难对网络攻击的具体实例进行一一分析。网络漏洞的安全防护通过对网络漏洞攻击原理的分析， 可以知道： 要防止或减少网络漏洞的攻击， 最好的方法 是尽力避免主机

15、端口被扫描和监听， 先于攻击者发现网络漏洞， 并采取有效措施。 提高网络 系统安全的方法主要有：(1) 在安装操作系统和应用软件之后及时安装补丁程序，并密切关注国内外著名的安全站点， 及时获得最新的网络漏洞信息。在使用网络系统时，要设置和保管好账号、密码和系统中的日志文件，并尽可能的做好备份工作。(2) 及时安装防火墙，建立安全屏障。防火墙可以尽可能屏蔽内部网络的信息和结构， 降低来自外部网络的攻击。对个人用户而言，现在的个人防火墙还有防火墙还有探测扫描、 攻击，并自动防御和追踪的功能。例如金山毒霸和瑞星防火墙就具有扫描网络漏洞的功能， 而天网防火墙则设计了自动反扫描的机制，外部的扫描将找不到任何端口。(3) 利用系统工具和专用工具防止端口扫描。要利用网络漏洞攻击，必须通过主机开放 的端口。因此，黑客常利用 Satan、Netbrute、SuperScan 等工具进行端口扫描。防止端口扫 描的方法：一是在系统中将特定的端口关闭，如利用 Win 系统中的 TCP/IP 属性设置功能， 在“高级 TCP/IP 设置”的“选项”面板中，关闭 TCP/IP 协议使用的端口；二是利用端口映 射等方法，对端口进行限制或是转向。(4) 通过加密、网络分段、划分虚拟局域网等技术防止网络监听。总结随着互联网在各个领域的迅速普及与广泛应用， 网络漏洞的种类越来越层出不穷