论文部分内容阅读
摘要:信息时代飞速发展,互联网成为人们生活中不可或缺的内容,相应的带来的网络安全问题尤为突出。该文通过对计算机网络中主要攻击手段的分析,提出了几种现今比较流行的网络安全防御技术。
关键词:计算机网络防御;拒绝服务攻击;ARP欺骗;虚拟专用网;防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)15-3534-02
1 计算机网络主要攻击手段
网络攻击的手段多种多样,其中大部分攻击都得到了很好的解决。这些攻击方式主要有以下几种:
1.1 拒绝服务攻击
DoS即拒绝服务攻击,它是指攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接受新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。当前最流行的DoS攻击方式是SYN Flood,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽的攻击方式。
1.2 漏洞扫描攻击
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。入侵者一般利用扫描技术获取系统中的安全漏洞侵入系统,而系统管理员也需要通过扫描技术及时了解系统存在的安全问题,并采取相应的措施来提高系统的安全性。漏洞扫描技术是建立在端口扫描技术的基础之上的。从对黑客攻击行为的分析和收集的漏洞来看,绝大多数都是针对某一个网络服务,也就是针对某一个特定的端口的。所以漏洞扫描技术也是以与端口扫描技术同样的思路来开展扫描的。
漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。
1.3 缓冲区溢出攻击
缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统当机、重新启动等后果。更为严重的是,可以利用它执行费授权指令,甚至可以取得系统特权,进而进行各种非法操作。
1.4 ARP欺骗
ARP在进行地址解析的工作过程中,没有对数据报和发送实体进行真实性和有效性的验证,因此存在着安全缺陷。攻击者可以通过发送伪造的ARP消息给被攻击对象,是被攻击对象获得错误的ARP解析。例如,攻击者可以伪造网关的ARP解析,使被攻击对象将发给网关的数据报错误的发到攻击者所有主机,于是攻击者就可以窃取、篡改、阻断数据的正常转发,甚至造成整个网段的瘫痪。
1.5 特洛伊木马
特洛伊木马简称木马,常常会伪装成正常的软件程序进入用户的计算机,在感染用户计算机后伺机窃取用户资料传递给攻击者,或者使攻击者可以控制用户计算机。木马由两部分组成:服务端和控制端。感染木马、受远程控制的一方称为服务端,对服务端进行远程控制的一方成为控制端。当主机被装上服务端程序,攻击者就可以使用控制端程序通过网络来控制主机。木马通常是利用蠕虫病毒、黑客入侵或者使用者的疏忽将服务端程序安装到主机上的。
1.6 蠕虫
蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒的技术。虽然很多人习惯于将蠕虫称为蠕虫病毒,但严格来说计算机病毒和蠕虫是有所不同的。病毒是通过修改其他程序而将其感染。而蠕虫是独立的一种只能程序,它可以通过网络等途径将自身的全部代码或部分代码复制、传播给其他计算机系统,但它在复制、传播时,不寄生于病毒宿主之中。同事具有蠕虫和病毒特征的程序称为蠕虫病毒。由于蠕虫病毒有着极强的感染能力和破坏能力,它已成为网络安全的主要威胁之一。
2 计算机网络安全防御技术分析
2.1 虚拟专用网
所谓虚拟专用网(Virtual Private Network,VPN),就是建立在公用网上的、由某一组织或某一群用户专用的、由某一组织或某一群用户专用的通信网络,其虚拟性表现在任意一对VPN用户之间没有专用的物理连接,而是通过ISP提供的公用网络来实现通信的,其专用性表现在VPN之外的用户无法访问VPN内部的网络资源,VPN内部用户之间可以实现安全通信。Internet本质上是一个开放的网络,没有任何安全措施可言。随着Internet应用的扩展,很多要求安全和保密的业务需要通过Internet实现,这一需求促进了VPN技术的发展。各个过级最值和企业都在研究和开发VPN的理论、技术、协议、系统和服务。实际应用中要根据具体情况选用适当的VPN技术。实现VPN的关键技术主要有如下几种:
1) 隧道技术。隧道技术是一种通过使用因特网基础设施在网络之间传递数据的方式。隧道协议将其他协议的数据报重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过因特网传递。在Internet上建立隧道可以在不同的协议层实现,例如数据链路层、网路层和传输层,这是VPN特有的技术。
2) 加解密技术。VPN可以利用已有的加解密技术实现保密通信,保证公司业务和个人通信的安全。
3) 密钥管理技术。建立隧道和保密通信都需要密钥管理技术的支撑,密钥管理负责密钥的生成、分发、控制和追踪,以及验证密钥的真实性等。
4) 身份验证技术。加入VPN的用户都要通过身份认证,通常使用用户名和密码,或者智能卡来实现用户的身份认证。
2.2 防火墙技术
防火墙是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称。防火墙的作用是防止不希望的、未经授权的通信进出被保护的网络,通过边界控制强化内部网络的安全政策。防火墙通常放置在外部网络和内部网络的中间,执行网络边界的过滤封锁机制。总之,防火墙是一种逻辑隔离部件,而不是物理隔离部件,它所遵循的原则是在保证网络通畅的情况下,尽可能地保证内部网络的安全。防火墙是在已经制定好的安全策略下进行访问控制,所以一般情况下它是一种静态安全部件,但随着防火墙技术的发展,防火墙通过与IDS进行连动,或者本身集成IDS功能,将能够根据实际的情况进行动态的策略调整。从技术角度来看,防火墙主要包括包过滤防火墙、状态检测防火墙、电路级网关、应用级网关和代理服务器。
2.3 IDS和IPS
1) IDS
IDS即入侵检测系统,是一种主动保护自己,使网络和系统免遭非法攻击的网络安全技术,它依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。入侵检测系统是对防火墙的一个极其有益的补充,我们做一个形象的比喻:假如防火墙是一栋大楼的门锁,那么IDS就是这栋大楼里的监视系统。一旦小偷爬窗进入大楼,或者内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
一个IDS系统通常由探测器、分析器、响应单元和事件数据库组成。探测器主要负责手机数据;分析器的作用是分析从探测器中获得的数据,主要包括两个方面:一个监控进出主机和网络的数据流,看是否存在对系统的入侵行为。另一个是评估系统关键资源和数据文件的完整性,看系统是否已经遭受了入侵;响应单元的作用是对分析索的结果做出相应的动作,或者是报警,或者是更改文件属性,或者是阻断网络连接等;事件数据库主要用了存放各种中间数据,记录攻击的基本情况。
根据数据来源和系统结构的不同,入侵检测系统可以分为基于主机、基于网络和混合性入侵检测系统三类;而根据入侵检测所采用的技术,可以分为异常检测和误用检测两类。
2) IPS
随着网络攻击技术的发展,对安全技术提出了新的挑战。防火墙技术和IDS自身具有的缺陷阻止了它们进一步的发展。如防火墙不能阻止内部网络的攻击,对于网络上流行的各种病毒也没有很好的防御措施;IDS只能检测入侵而不能实时地阻止攻击,而且IDS具有较高的漏报和误报率。
在这种情况下,IPS即入侵防御系统成了新一代的网络安全技术。IPS提供主动、实时的防护,其设计旨在对网络流量中的恶意数据包进行检测,对攻击性的流量进行自动拦截,使它们无法造成损失。IPS如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施阻断攻击源,而不把攻击流量放进内部网络。IPS的原理是通过嵌入到网络流量来实现这一功能的,即通过一个端口接受来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
网络安全防御技术还有ISA Server、访问控制技术和网络隔离技术等,每一种技术都有它的优点,但也不是万能的。在实际生活中,我们需把多种技术结合起来,尽可能把不安全因素隔离在网络之外。
3 总结
现今,网络防御技术已趋于完善,但面对不断出现的新的病毒、木马等威胁网络安全的事件,相关技术人员工作仍然任重道远。但相信不久的将来,计算机网络防御技术定会得到更大提高,给人们提供一个更加安全、可靠的网络生活环境。
参考文献:
[1] 朱理森.计算机网络应用技术[M].北京:水利文献出版社,2009.
[2] 刘占全.网络管理与防火墙[M].北京:人民邮电出版社,2009.
[3] 刘远生.计算机网络安全[M].北京:清华大学出版社,2006.
[4] 石志国.计算机网络安全教程[M].北京:清华大学出版社,2007.
关键词:计算机网络防御;拒绝服务攻击;ARP欺骗;虚拟专用网;防火墙
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)15-3534-02
1 计算机网络主要攻击手段
网络攻击的手段多种多样,其中大部分攻击都得到了很好的解决。这些攻击方式主要有以下几种:
1.1 拒绝服务攻击
DoS即拒绝服务攻击,它是指攻击者想办法让目标机器停止提供服务或资源访问,是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分,只要能够对目标造成麻烦,使某些服务被暂停甚至主机死机,都属于拒绝服务攻击。拒绝服务攻击问题也一直得不到合理的解决,究其原因是因为这是由于网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器的缓冲区满,不接受新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。当前最流行的DoS攻击方式是SYN Flood,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽的攻击方式。
1.2 漏洞扫描攻击
漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。入侵者一般利用扫描技术获取系统中的安全漏洞侵入系统,而系统管理员也需要通过扫描技术及时了解系统存在的安全问题,并采取相应的措施来提高系统的安全性。漏洞扫描技术是建立在端口扫描技术的基础之上的。从对黑客攻击行为的分析和收集的漏洞来看,绝大多数都是针对某一个网络服务,也就是针对某一个特定的端口的。所以漏洞扫描技术也是以与端口扫描技术同样的思路来开展扫描的。
漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。
1.3 缓冲区溢出攻击
缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统当机、重新启动等后果。更为严重的是,可以利用它执行费授权指令,甚至可以取得系统特权,进而进行各种非法操作。
1.4 ARP欺骗
ARP在进行地址解析的工作过程中,没有对数据报和发送实体进行真实性和有效性的验证,因此存在着安全缺陷。攻击者可以通过发送伪造的ARP消息给被攻击对象,是被攻击对象获得错误的ARP解析。例如,攻击者可以伪造网关的ARP解析,使被攻击对象将发给网关的数据报错误的发到攻击者所有主机,于是攻击者就可以窃取、篡改、阻断数据的正常转发,甚至造成整个网段的瘫痪。
1.5 特洛伊木马
特洛伊木马简称木马,常常会伪装成正常的软件程序进入用户的计算机,在感染用户计算机后伺机窃取用户资料传递给攻击者,或者使攻击者可以控制用户计算机。木马由两部分组成:服务端和控制端。感染木马、受远程控制的一方称为服务端,对服务端进行远程控制的一方成为控制端。当主机被装上服务端程序,攻击者就可以使用控制端程序通过网络来控制主机。木马通常是利用蠕虫病毒、黑客入侵或者使用者的疏忽将服务端程序安装到主机上的。
1.6 蠕虫
蠕虫是一种智能化、自动化,综合网络攻击、密码学和计算机病毒的技术。虽然很多人习惯于将蠕虫称为蠕虫病毒,但严格来说计算机病毒和蠕虫是有所不同的。病毒是通过修改其他程序而将其感染。而蠕虫是独立的一种只能程序,它可以通过网络等途径将自身的全部代码或部分代码复制、传播给其他计算机系统,但它在复制、传播时,不寄生于病毒宿主之中。同事具有蠕虫和病毒特征的程序称为蠕虫病毒。由于蠕虫病毒有着极强的感染能力和破坏能力,它已成为网络安全的主要威胁之一。
2 计算机网络安全防御技术分析
2.1 虚拟专用网
所谓虚拟专用网(Virtual Private Network,VPN),就是建立在公用网上的、由某一组织或某一群用户专用的、由某一组织或某一群用户专用的通信网络,其虚拟性表现在任意一对VPN用户之间没有专用的物理连接,而是通过ISP提供的公用网络来实现通信的,其专用性表现在VPN之外的用户无法访问VPN内部的网络资源,VPN内部用户之间可以实现安全通信。Internet本质上是一个开放的网络,没有任何安全措施可言。随着Internet应用的扩展,很多要求安全和保密的业务需要通过Internet实现,这一需求促进了VPN技术的发展。各个过级最值和企业都在研究和开发VPN的理论、技术、协议、系统和服务。实际应用中要根据具体情况选用适当的VPN技术。实现VPN的关键技术主要有如下几种:
1) 隧道技术。隧道技术是一种通过使用因特网基础设施在网络之间传递数据的方式。隧道协议将其他协议的数据报重新封装在新的包头中发送。新的包头提供了路由信息,从而使封装的负载数据能够通过因特网传递。在Internet上建立隧道可以在不同的协议层实现,例如数据链路层、网路层和传输层,这是VPN特有的技术。
2) 加解密技术。VPN可以利用已有的加解密技术实现保密通信,保证公司业务和个人通信的安全。
3) 密钥管理技术。建立隧道和保密通信都需要密钥管理技术的支撑,密钥管理负责密钥的生成、分发、控制和追踪,以及验证密钥的真实性等。
4) 身份验证技术。加入VPN的用户都要通过身份认证,通常使用用户名和密码,或者智能卡来实现用户的身份认证。
2.2 防火墙技术
防火墙是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称。防火墙的作用是防止不希望的、未经授权的通信进出被保护的网络,通过边界控制强化内部网络的安全政策。防火墙通常放置在外部网络和内部网络的中间,执行网络边界的过滤封锁机制。总之,防火墙是一种逻辑隔离部件,而不是物理隔离部件,它所遵循的原则是在保证网络通畅的情况下,尽可能地保证内部网络的安全。防火墙是在已经制定好的安全策略下进行访问控制,所以一般情况下它是一种静态安全部件,但随着防火墙技术的发展,防火墙通过与IDS进行连动,或者本身集成IDS功能,将能够根据实际的情况进行动态的策略调整。从技术角度来看,防火墙主要包括包过滤防火墙、状态检测防火墙、电路级网关、应用级网关和代理服务器。
2.3 IDS和IPS
1) IDS
IDS即入侵检测系统,是一种主动保护自己,使网络和系统免遭非法攻击的网络安全技术,它依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。入侵检测系统是对防火墙的一个极其有益的补充,我们做一个形象的比喻:假如防火墙是一栋大楼的门锁,那么IDS就是这栋大楼里的监视系统。一旦小偷爬窗进入大楼,或者内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
一个IDS系统通常由探测器、分析器、响应单元和事件数据库组成。探测器主要负责手机数据;分析器的作用是分析从探测器中获得的数据,主要包括两个方面:一个监控进出主机和网络的数据流,看是否存在对系统的入侵行为。另一个是评估系统关键资源和数据文件的完整性,看系统是否已经遭受了入侵;响应单元的作用是对分析索的结果做出相应的动作,或者是报警,或者是更改文件属性,或者是阻断网络连接等;事件数据库主要用了存放各种中间数据,记录攻击的基本情况。
根据数据来源和系统结构的不同,入侵检测系统可以分为基于主机、基于网络和混合性入侵检测系统三类;而根据入侵检测所采用的技术,可以分为异常检测和误用检测两类。
2) IPS
随着网络攻击技术的发展,对安全技术提出了新的挑战。防火墙技术和IDS自身具有的缺陷阻止了它们进一步的发展。如防火墙不能阻止内部网络的攻击,对于网络上流行的各种病毒也没有很好的防御措施;IDS只能检测入侵而不能实时地阻止攻击,而且IDS具有较高的漏报和误报率。
在这种情况下,IPS即入侵防御系统成了新一代的网络安全技术。IPS提供主动、实时的防护,其设计旨在对网络流量中的恶意数据包进行检测,对攻击性的流量进行自动拦截,使它们无法造成损失。IPS如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施阻断攻击源,而不把攻击流量放进内部网络。IPS的原理是通过嵌入到网络流量来实现这一功能的,即通过一个端口接受来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
网络安全防御技术还有ISA Server、访问控制技术和网络隔离技术等,每一种技术都有它的优点,但也不是万能的。在实际生活中,我们需把多种技术结合起来,尽可能把不安全因素隔离在网络之外。
3 总结
现今,网络防御技术已趋于完善,但面对不断出现的新的病毒、木马等威胁网络安全的事件,相关技术人员工作仍然任重道远。但相信不久的将来,计算机网络防御技术定会得到更大提高,给人们提供一个更加安全、可靠的网络生活环境。
参考文献:
[1] 朱理森.计算机网络应用技术[M].北京:水利文献出版社,2009.
[2] 刘占全.网络管理与防火墙[M].北京:人民邮电出版社,2009.
[3] 刘远生.计算机网络安全[M].北京:清华大学出版社,2006.
[4] 石志国.计算机网络安全教程[M].北京:清华大学出版社,2007.