论文部分内容阅读
【摘 要】通信网络是信息传输的主体,随着Internet的发展,通信安全越来越重要,它是对于计算机网络信息的安全防范,一旦通信网络出现故障,会造成无法预知的损失。本文介绍了几种常见的网络攻击方式,探讨了通信网络安全维护措施及技术。
【关键词】通信网络;网络攻击;通信安全
信息安全的内涵,随着计算机网络的发展发生一些变化,从普通的防范到专门领域的防范。在我国政策和法律的基础上,建立完整的网络安全体系有着重要的作用。不仅带来重大的经济价值和社会效应,也能避免安全事故产生的无法估计的损失,推动了信息化与经济的发展。网络安全体系的建立保证通信网络的安全,针对现状进行以下分析并提出一些具体措施。
一、常见的网络攻击方式
1、网络监听攻击
网络监听是一种监视网络状态、数据流以及网上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,取得目标主机的超级用户权限。作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用。然而,网络监听也给网络安全带来了极大的隐患,当信息传播的时候,可以利用工具将网络接口设置在监听的模式,便可截获或者捕获到网络中正在传播的信息,从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行,而黑客一般都是利用网络监听来截取用户口令,如当有人占领了一台主机之后, 要想占领这个主机所在的整个局域网的话,监听往往是他们选择的捷径。
2、信息炸弹攻击
信息炸弹攻击又称缓冲区溢出,就是程序对接受的输入数据没有进行有效的检测导致错误,造成程序崩溃或者是执行攻击者的命令。UNIX和Windows及其上的许多应用程序都是用C语言编写的, 而C、C++语言对数组下标访问越界不做检查,是引起缓冲区溢出的根本原因。在某些情况下,如果用户输入的数据长度超过应用程序给定的缓冲区,就会覆盖其他数据区,即缓冲区溢出。
3、木马程序攻击
该攻击是程序员设计一些功能复杂的程序时,将木马程序秘密安装在目标主机当中,开放某个端口,然后就可以远程操作了。特洛伊木马是一种非常危险的恶性程序,它无休止地窃取用户的信息,给用户造成了巨大的损失。完整的木马程序一般由两部分组成,分别是服务器程序和控制器程序。若一台电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制该电脑,这台电脑上的各种文件、程序,以及在电脑上使用的账号、密码就无安全保障了。
4、拒绝服务攻击
拒绝服务攻击(DoS攻击)即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。最常见的DoS攻击有包括计算机网络带宽攻击和连通性攻击,其中:①带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最终导致合法的用户请求无法通过;②连通性攻击是指用大量的连接请求冲击计算机,使所有可用的操作系统资源都被消耗殆尽,最终使计算机无法处理合法用户的请求。拒绝服务攻击是利用网络协议本身的安全缺陷造成的, 从而成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现以下两种效果:①迫使服务器的缓冲区满,不接收新的请求;②使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
5、邮件服务器攻击
目前互联网上的邮件服务器攻击包括以下两类:①中继利用(Relay),即远程机器通过被攻击服务器来发信,这样任何人都可以利用被攻击的服务器向任何地址发邮件;②垃圾邮件,即人们常说的邮件炸弹。这两种攻击都可能使邮件服务器无法正常工作。
6、DNS服务器攻击
由于DNS服务使用UDP协议,因此对于攻击者而言,更容易把攻击焦点集中在DNS服务上。DNS服务面临的威胁包括以下两种:(1) 缓存区中毒:这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的信息,一旦成功,攻击者可以改变发向合法站点的传输流方向,使它传送到攻击者控制的站点。该攻击通常被用于网络钓鱼犯罪,攻击的目标站点通常为金融机构,用来骗取金融机构客户信息。(2)域劫持:通过利用客户升级自己的域注册信息来使用的不安全机制,攻击者可以接管域注册过程来控制合法的域。
二、通信网络安全维护措施及技术
当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。于是,保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露,保障系统连续可靠地运行,网络服务不中断,就成为通信网络安全的主要内容。
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解決网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(VPN)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
漏洞扫描技术。面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的维护是长远持久的,从一种专门的领域变成了无处不在,通信网络的普及和演进让人们改变了信息沟通的方式,与多种社会经济生活有着十分紧密的关联。需要不断提高技术水平,以保证网络安全维护的顺利进行。
【关键词】通信网络;网络攻击;通信安全
信息安全的内涵,随着计算机网络的发展发生一些变化,从普通的防范到专门领域的防范。在我国政策和法律的基础上,建立完整的网络安全体系有着重要的作用。不仅带来重大的经济价值和社会效应,也能避免安全事故产生的无法估计的损失,推动了信息化与经济的发展。网络安全体系的建立保证通信网络的安全,针对现状进行以下分析并提出一些具体措施。
一、常见的网络攻击方式
1、网络监听攻击
网络监听是一种监视网络状态、数据流以及网上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网上传输的信息,取得目标主机的超级用户权限。作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用。然而,网络监听也给网络安全带来了极大的隐患,当信息传播的时候,可以利用工具将网络接口设置在监听的模式,便可截获或者捕获到网络中正在传播的信息,从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行,而黑客一般都是利用网络监听来截取用户口令,如当有人占领了一台主机之后, 要想占领这个主机所在的整个局域网的话,监听往往是他们选择的捷径。
2、信息炸弹攻击
信息炸弹攻击又称缓冲区溢出,就是程序对接受的输入数据没有进行有效的检测导致错误,造成程序崩溃或者是执行攻击者的命令。UNIX和Windows及其上的许多应用程序都是用C语言编写的, 而C、C++语言对数组下标访问越界不做检查,是引起缓冲区溢出的根本原因。在某些情况下,如果用户输入的数据长度超过应用程序给定的缓冲区,就会覆盖其他数据区,即缓冲区溢出。
3、木马程序攻击
该攻击是程序员设计一些功能复杂的程序时,将木马程序秘密安装在目标主机当中,开放某个端口,然后就可以远程操作了。特洛伊木马是一种非常危险的恶性程序,它无休止地窃取用户的信息,给用户造成了巨大的损失。完整的木马程序一般由两部分组成,分别是服务器程序和控制器程序。若一台电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制该电脑,这台电脑上的各种文件、程序,以及在电脑上使用的账号、密码就无安全保障了。
4、拒绝服务攻击
拒绝服务攻击(DoS攻击)即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。最常见的DoS攻击有包括计算机网络带宽攻击和连通性攻击,其中:①带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最终导致合法的用户请求无法通过;②连通性攻击是指用大量的连接请求冲击计算机,使所有可用的操作系统资源都被消耗殆尽,最终使计算机无法处理合法用户的请求。拒绝服务攻击是利用网络协议本身的安全缺陷造成的, 从而成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现以下两种效果:①迫使服务器的缓冲区满,不接收新的请求;②使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
5、邮件服务器攻击
目前互联网上的邮件服务器攻击包括以下两类:①中继利用(Relay),即远程机器通过被攻击服务器来发信,这样任何人都可以利用被攻击的服务器向任何地址发邮件;②垃圾邮件,即人们常说的邮件炸弹。这两种攻击都可能使邮件服务器无法正常工作。
6、DNS服务器攻击
由于DNS服务使用UDP协议,因此对于攻击者而言,更容易把攻击焦点集中在DNS服务上。DNS服务面临的威胁包括以下两种:(1) 缓存区中毒:这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的信息,一旦成功,攻击者可以改变发向合法站点的传输流方向,使它传送到攻击者控制的站点。该攻击通常被用于网络钓鱼犯罪,攻击的目标站点通常为金融机构,用来骗取金融机构客户信息。(2)域劫持:通过利用客户升级自己的域注册信息来使用的不安全机制,攻击者可以接管域注册过程来控制合法的域。
二、通信网络安全维护措施及技术
当前通信网络功能越来越强大,在日常生活中占据了越来越重要的地位,我们必须采用有效的措施,把网络风险降到最低限度。于是,保护通信网络中的硬件、软件及其数据不受偶然或恶意原因而遭到破坏、更改、泄露,保障系统连续可靠地运行,网络服务不中断,就成为通信网络安全的主要内容。
为了实现实现上述的种种安全措施,必须有技术做保证,采用多种安全技术,构筑防御系统,主要有:
防火墙技术。在网络的对外接口采用防火墙技术,在网络层进行访问控制。通过鉴别,限制,更改跨越防火墙的数据流,来实现对网络的安全保护,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
入侵检测技术。防火墙保护内部网络不受外部网络的攻击,但它对内部网络的一些非法活动的监控不够完善,IDS(入侵检测系统)是防火墙的合理补充,它积极主动地提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,提高了信息安全性。
网络加密技术。加密技术的作用就是防止公用或私有化信息在网络上被拦截和窃取,是网络安全的核心。采用网络加密技术,对公网中传输的IP包进行加密和封装实现数据传输的保密性、完整性,它可解決网络在公网上数据传输的安全性问题也可解决远程用户访问内网的安全问题。
身份认证技术。提供基于身份的认证,在各种认证机制中可选择使用。通过身份认证技术可以保障信息的机密性、完整性、不可否认性及可控性等功能特性。
虚拟专用网(VPN)技术。通过一个公用网(一般是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的内网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。
漏洞扫描技术。面对网络的复杂性和不断变化的情况,仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不够的,我们必须通过网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
21世纪全世界的计算机都将通过Internet联到一起,信息安全的维护是长远持久的,从一种专门的领域变成了无处不在,通信网络的普及和演进让人们改变了信息沟通的方式,与多种社会经济生活有着十分紧密的关联。需要不断提高技术水平,以保证网络安全维护的顺利进行。