关键词:黑客 拒绝服务 网络攻击 网络安全 缓冲区溢出
前言
随着计算机网络的发展,网络与人们的生活结合的越来越紧密,网络的普及,随之而来的网络安全是每个网络管理者必须面对的问题。网络攻击与防范永远是个此消彼长的过程,攻击方法的不断演进,防范措施必须与时俱进。黑客攻击方法主要分为以下几类:拒绝服务(DoS:Denial of Service)、缓冲区溢出、IP欺骗以及网络监听等,其中拒绝服务与缓冲区溢出是黑客常采用的攻击方法。
1 DoS机制
外部网络中的黑客攻击威胁性非常大,比如,网络黑客蓄意发动针对网络设备的分布式拒绝服务攻击DDoS (Distributed Denial of Service)、蠕虫病毒等新的攻击方式,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击:带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法用户请求无法通过;连通性攻击是指用大量的连接请求冲击,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。这些攻击可以造成网络流量急速提高,最终导致网络设备的崩溃或者造成网络链路的不堪重负。另外,由于在宽带网络建设中只注重网络的可用性,而忽视了管理性,造成内部网用户的互相攻击。
在DoS攻击中,灰洞攻击是比较特殊的一种,灰洞攻击是一种比较隐蔽的攻击方式,在开始的时候很难被发现,因为在攻击开始的时候,攻击者和其它正常网络节点表现并无差异:正常地参与路由发现过程,在取得其它网络节点的信任后,攻击者开始故意丢失部分或全部的转发数据包。转发数据包被丢失必然引起网络性能的下降,网络路由的建立也常常比干扰。
2、缓冲区溢出攻击
缓冲区是程序存放数据的地方,如果程序往缓冲区写入的数据超过其允许的长度,就会造成缓冲区溢出,如果是无意为之,则最多是程序或者系统崩溃,如果是有意为之,则往往是借助缓冲区的溢出来使程序转而执行其它指令,达到攻击的目的。
缓冲区溢出攻击一般分为两步,首先是在程序的地址空间安排代码,在安排好代码后,下一步就是设法寻找没有边界或者其它弱点的缓冲区,造成缓冲区溢出,改变程序正常的执行顺序,使其跳转到攻击代码处执行。
3、 拒绝服务攻击防范
为了防止拒绝服务攻击,首先是通过对系统的设置来调整限制Syn半开数据包的流量和个数,对于超时的Syn请求需强制复位;其次在路由器的前端做TCP拦截,使得只有完成TCP三次握手过程的数据包才可进入该网段;最后需要关闭可能产生无限序列的服务来防止信息淹没攻击。
针对灰洞攻击的检测方法:灰洞攻击检测方案由以下三个相关算法组成。
(1)证据产生算法
所有参与路由的节点都要调用该算法,以产生数据包转发证据。转发证据基于Boneh 等人的聚合签名算法产生,用于证明节点接收了数据包。
(2)审查算法
源节点发现非正常丢包现象时,如目标节点告收到的数据包明显少于正常情况,调用该算法检测丢包节点。
(3)诊断算法
源节点根据审查算法返回的转发证据,确定丢包节点。根据签名验证结果,有以下三种情况:①通过了验证,确定没有丢包节点。②如果节点Ni拒绝提供签名,则认为该节点是丢包节点。③Ni在源路由中签名但不是目标节点。综合考虑上述情况,若某节点被怀疑次数超过阈值,则被认为是丢包节点。
4、缓冲区溢出防范策略
缓冲区溢出是较为常见的隐患之一,攻击者往往会利用系统或者是程序的溢出漏洞来获取对计算机的控制,因此其对网络安全的危害可想而知,对于缓冲区溢出,目前主要采用以下一些措施来进行防范。
4.1 检查程序指针的完整性
缓冲区溢出攻击者往往通过改变程序指针的方法来达到改变程序流程的目的,因此在程序指针被引用前对其进行检测就显得非常有必要,这样的话,即使程序指针被攻击者改变,由于事先已经检测到,编程者可以采取合理的措施来处理这种情况。
4.2 保护堆栈
这是一种提供程序指针完整性检查的编译器技术,通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了些附加的字节,而在函数返回时,首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这种攻击很容易在函数返回前被检测到。但是,如果攻击者预见到这些附加字节的存在,并且能在溢出过程中同样地制造它们,那么他就能成功地跳过堆栈保护的检测。
4.3 检查数组边界
许多应用程序是用C语言编写的,而C语言不检查缓冲区的边界,因此在编程中使用数组时就必须格外谨慎,在对数组进行读写操作时都应当检查,以免对数组的操作超过数组的边界,显然如果每次操作都对数组直接检测会造成应用程序性能的下降,目前有些优化的技术来对数组进行检查,主要有Purify存储器存取检查以及Jones&Kely C数组边界检查等。
参考文献:
[1] 范建中.黑客社会工程学攻击.山东:齐鲁电子音像出版社,2008.
【关键词】 网络安全;网络攻击;安全策略
一、常见网络攻击的原理和手段
1.口令入侵。口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击活动。获得用户账号的方法很多,如利用目标主机的Finger功能、X.500服务、从电子邮件地址中收集、查看习惯性账号。获取用户的账号后,利用一些专门软件强行破解用户口令。
2.放置特洛伊木马程序。特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开或下载,一旦用户打开或者执行了这些程序,就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当你连接到因特网上时,这个程序就会通知攻击者,来报告你的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用预先潜伏的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,达到控制你的计算机的目的。
3.电子邮件攻击。电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,使目的邮箱被撑爆而无法使用。攻击者还可以佯装系统管理员,给用户发送邮件要求用户修改口令或在貌似正常的附件中加载病毒或其他木马程序。
4.网络监听。网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,不管这些信息的发送方和接收方是谁。系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和账号在内的信息资料。
5.安全漏洞攻击。许多系统都有这样那样的安全漏洞(B ugs)。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。
二、网络攻击应对策略
1.利用安全防范技术。(1)加密技术。加密技术主要分为公开算法和私有算法两种,私有算法是运用起来是比较简单和运算速度比较快,缺点是一旦被解密者追踪到算法,算法就彻底废了。公开算法的算法是公开,有的是不可逆,有用公钥,私钥的,优点是非常难破解,可广泛用于各种应用;缺点是运算速度较慢,使用时很不方便。(2)身份认证技术。身份认证技术在电子商务应用中是极为重要的核心安全技术之一,主要在数字签名是用公钥私钥的方式保证文件是由使用者发出的和保证数据的安全。在网络应用中有第三方认证技术Kerberos,可以使用户使用的密码在网络传送中,每次均不一样,可以有效的保证数据安全和方便用户在网络登入其它机器的过程中不需要重复输入密码。(3)防火墙。防火墙技术是比较重要的一个桥梁,以用来过滤内部网络和外部网络环境,在网络安全方面,它的核心技术就是包过滤,高级防火墙还具有地址转换,虚拟私网等功能。
2.制订安全策略。(1)提高安全意识。一是不随意打开来历不明的电子邮件及文件,不随意运行不明程序;二是尽量避免从Internet下载不明软件,一旦下载软件及时用最新的病毒和木马查杀软件进行扫描;三是密码设置尽可能使用字母数字混排,不容易穷举,重要密码最好经常更换;四是及时下载安装系统补丁程序。(2)使用防毒、防黑等防火墙。防火墙是用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。(3)设置服务器,隐藏自己的IP地址。事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法,保护IP地址的最好方法就是设置服务器。服务器能起到外部网络申请访问内部网络的中间转接作用。当外部网络向内部网络申请某种网络服务时,服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务。(4)将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。(5)对于重要的资料做好严密的保护,并养成资料备份的习惯。
参考文献
[1]耿杰,方风波.计算机网络安全与实训[M].北京:科学出版社出版,2006:155~158
一、网络常见的攻击方法
1.网络监听攻击。网络监听是一种监视网络状态、数据流,以及网络上传输信息的管理工具,它可以将网络接口设置在监听模式,并且可以截获网络上传输的信息,取得目标主机的超级用户权限。作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据、排除网络故障等方面具有不可替代的作用。然而,网络监听也给网络安全带来了极大的隐患,当信息传播的时候,只要利用工具将网络接口设置在监听的模式,就可以将网络中正在传播的信息截获,从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行。而入侵者一般都是利用网络监听工具来截获用户口令的。
2.缓冲区溢出攻击。简单地说就是程序对接受的输入数据没有进行有效检测导致的错误,后果可能造成程序崩溃或者是执行攻击者的命令。UNIX和Windows本身和在这两个系统上运行的许多应用程序都是C语言编写的,C、C++语言对数组下标访问越界不作检查,是引起缓冲区溢出的根本原因。在某些情况下,如果用户输入的数据长度超过应用程序给定的缓冲区,就会覆盖其他数据区,这就称“缓冲区溢出”。
3.拒绝服务攻击。拒绝服务攻击,即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。最常见的拒绝服务攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指用极大的通信量冲击网络,使得所有的网络资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。这是由网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器缓冲区满负荷,不接受新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
4.基于浏览器的攻击。基于浏览器的攻击主要是利用浏览器系统对电脑的数据处理系统进行破坏,或者是黑客利用浏览器与用户许可体系进行攻击,访问计算机并盗取或破坏其中的重要信息,还很多种其它的表现形式,如传播病毒、隐藏木马等。
5.系统漏洞的攻击。系统漏洞是程序中无意造成的缺陷,它形成了一个不被注意的通道。漏洞也指无意的配置错误,如使用默认服务器配置。许多时候,运行在服务器上的操作系统或程序包含这些代码问题。黑客就利用这些问题,利用它们进行攻击。
6.系统默认设置。在系统安全中最常见和最紧迫的问题是绝大多数系统使用默认的配置,几乎所有的网络后台运行程序在默认设置的情况下都泄漏很多的信息。在连接过程中,每台计算机为了在服务器和Internet之间建立一个连接,必须提供具有潜在敏感性的信息。如运行在任何服务器上的标题信息,对黑客来说至关重要,因为他们可以通过此信息识别主机上运行的操作系统和Internet服务的类型。有时,标题信息可以通过直接远程登录到主机上的一个特殊端口而获得。
7.木马攻击。完整的木马程序一般由两个部分组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,服务端程序就相当于一个应用程序服务器一样,一旦运行会一直监听某个端口,等待客户的请求。若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码就无安全可言了。
8.间谍软件。间谍软件是一种来自互联网的,能够在用户不知情的情况下偷偷进行非法安装,并悄悄把截获的一些机密信息发送给第三者的软件。隐藏在用户计算机中秘密监视用户活动,对用户电脑攻击,窃取密码、信用卡号和其它机密数据,消耗计算能力,使计算机崩溃。
二、攻击的一般过程
1.收集信息,分析存在的漏洞。黑客首先要确定攻击的目标,在获取目标机及其所在的网络类型后,还需进一步获取有关信息,如目标机的IP地址、操作系统类型和版本、系统管理人员的邮件地址等,根据这些信息进行分析,可得到有关被攻击方系统中可能存在的漏洞。如运行一个host命令,可以获得目标网络中有关机器的IP地址信息,还可识别出目标机的操作系统类型。利用WHOIS查询,可了解技术管理人员的名字信息。运行一些Usernet和Web查询可了解有关技术人员是否经常上Usernet,收集有关技术人员重要信息。每个操作系统都有自己的一套漏洞,有些是已知的,而有些则需要仔细研究才能发现。管理员不可能不停地阅读每个平台的安全报告,因此极有可能对某个系统的安全特性掌握得不够。通过对上述信息的分析,黑客就可以得到对方计算机网络可能存在的漏洞,并针对这些存在的漏洞进行攻击。
2.建立模拟环境,进行模拟攻击。根据第一步所获得的信息,建立模拟环境,然后对模拟目标机进行一系列的攻击。通过检查被攻击方的日志,可以了解攻击过程中留下的“痕迹”。这样攻击者就知道需要删除哪些文件来毁灭其入侵证据。
关键词:大型机场;计算机网络;安全问题;防范措施
中图分类号:TN711 文献标识码:A 文章编号:
1、计算机网络安全的概念
计算机网络安全根据计算机的使用者不同而具有两层含义。一是从普通的使用者角度讲,计算机网络安全是指在网络传输中保障个人及商业信息的机密性、完整性和真实性,避免他人用非正常手段截取、窃取、破坏、篡改信息,以保障个人隐私和个人利益不受侵害。二是从网络运营商的角度讲,计算机网络安全是保护和控制本地网络信息的访问、读写等操作,避免出现病毒、非法存取、拒绝服务和非法占用、控制网络资源,防御黑客攻击。
2、计算机网络安全的特征计算机网络安全有很多特征,但是最主要的是下面的五个。
(1)完整性完整性是指计算机中的数据如果没有经过授权,就不能随意修改的特性。就是说数据在保存或是传输过程中要保持不被修改、不被破坏和不能丢失的特性。
(2)保密性保密性是指当计算机中的信息如果没有经过允许,就不能泄露给没有授权的用户,也不能以其他任何形式被非法用户进行利用。
(3)可控性可控性是指当网络中的数据在传输过程中,要时刻的对数据进行严格的控制,防止出现不必要的差错。
(4)可审查性可审查性是指当计算机网络出现了安全问题时,要有方法能检测出来,即出现网络安全问题时能够提供解决的对策。
(5)可用性可用性是指计算机中的信息能够被已授权的用户进行访问并按自己的需求使用的特性。即当用户需要时能否存取和使用自己所需要的信息。
3、计算机网络安全问题
(1)非人为的、自然力造成的数据丢失、设备失效、线路阻断。
(2)人因攻击:如社会工程、钓鱼等行为。主要指采取非计算机手段,转而使用其他方式(如人际关系、欺骗、威胁、恐吓)等非正常手段获取信息。钓鱼则使用假冒、欺骗性的网站,获得网络用户的敏感信息如账号、密码等。
(3)物理攻击:主要是指通过分析或调换硬件设备来窃取密码和加密算法。物理攻击比较难以防范,因为攻击者往往是来自能够接触到物理设备的用户。
(4)服务拒绝攻击:通过使被攻击对象(通常是服务器)的系统关键资源过载。从而使目标服务器崩溃或瘫痪,以致停止部分或全部服务。根据利用方法不同又分为资源耗尽和宽带耗尽两种方式,服务拒绝攻击时最容易实施的攻击行为,也是最难对付的入侵攻击之一,其中目前已知的服务拒绝攻击就有几百种,典型示例有死亡之ping、泪滴、UDPflood、SYNflood、Land攻击、Smurf攻击、电子邮件炸弹、畸形消息攻击等。
(5)非授权访问:对网络设备及信息资源进行非正常使用,如非法进行读、写或执行等。
(6)扫描攻击:在连续的非授权访问尝试过程中,攻击者为了获得网络内部的资源信息及网络周围的信息,通常使用SATAN扫描、端口扫描个IP半途扫描方式。由于互联网目前广泛使用的TCP/IP协议族中,各个层次不同的协议均存在一定程度的缺陷,可以利用操作系统和网络的漏洞进行攻击。
(7)远程控制:通过操作系统本身的漏洞或安装木马客户端软件直接对用户的及其进行控制的攻击,主要通过口令猜测、特洛伊木马、缓冲区溢出等方式。
(8)身份窃取:指用户的身份或服务器的身份被他人非法截取,典型的有网络钓鱼、DNS转换、MAC地址转换、IP假冒技术等。
(9)假消息攻击:通过在网络中发送目标配置不正确的消息,主要包括DNS高速缓存污染、伪造电子邮件等。
(10)窃听:攻击者通过监听网络数据获得敏感信息,如通过抓包软件等。
(11)重传:攻击者实现获得部分或全部信息,然后将此信息重新发送给接受者。攻击者一般通过协议解码方式,如FTUUser等,完成重传。解码后的协议信息可表明期望的活动,然后重新发送出去。
(12)伪造和篡改:攻击者对合法用户之间的通信信息进行修改、删除、插入,再发送给接收者。
4、计算机网络安全问题的防范措施基本的网络安全措施应包括这个网络的安全传播过程。首先应设置安全的行政人事管理,设立安全管理机构,制定完善的人事安全管理、系统安全管理和行政安全管理规则制度。其次是技术方面的措施,主要的技术手段有以下6种。
(1)物理措施:采取具备优良性能的传输工具,制定严密的安全规制,保护交换机和大型计算机等关键硬件设施。
(2)访问控制:严格把关用户访问权限,确保严格控制陌生用户的访问可能造成的侵袭。可以选用安全稳定的网络操作系统,对用户的身份证进行设置,设置加密的口令并进行定期的更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限等。
(3)数据加密技术:数据加密是保障信息安全的最基本、最核心的技术措施之一,是保护数据安全的重要手段。可以在整个网络过程中加以应用。加密的作用是保障信息被人截获后不能直接被利用,能在用户的数据被截取之后减少用户的损失,用很小的代价即可为信息提供相当大的保护。按作用不同,数据加密技术一般可以分为数据传输、数据存储、数据完整性鉴别以及密钥管理技术四种。
(4)隔离技术:通过防火墙划分VLAN、VPN等方式分隔成独立区域,将重要的子网络与其他网络隔开,可以更好的使重要的数据得到保护,不会轻易的就被截取。
(5)备份措施:可以避免因硬盘损坏。偶然或者而已的数据破坏、病毒入侵、网络攻击等带来的影响,同时也确保了数据的完整性。
(6)防火墙:主要指的是一种对计算机及其网络流经的通信数据进行扫描的一种软件技术。通过对相关数据的扫描和过滤,避免计算机被黑客侵入,造成数据和程序纵和控制。
(7)其他措施:其他安全技术包括数字签名、认证技术、智能卡技术和访问控制等。
(8)改善计算机应用环境,规范人员操作流程。为了实现计算机网络的安全、高速运行,需要不断改善计算机应用环境,增强使用人员的网络安全意识,提高网络管理人员的技术手段和安全意识,规范使用人员的操作流程,避免出人为因素造成的网络安全问题。
结语:总之,计算机网络出现安全问题是无法避免的。只要我们永不懈怠,及时解决出现的安全问题,同时高度重视对大型机场计算机网络安全的预防。采用先进的技术去建立严密的安全防范体系,加强防范意识,构造全方位的防范策略,给大型机场计算机网络正常的运行以保证,使计算机网络更加健康的发展。
参考文献
[1]钮炎.计算机网络技术与应用.北京:清华大学出版社,2010.2.
[2]马小青.浅析网络安全问题及其防范措施[J].电脑知识与技术,2009,5
随着互联网和计算机的普及率越来越高,计算机网络在人们的生产生活中发挥着越来越重要的作用。但与此同时也面临着越来越严峻的网络安全问题。其中ARP攻击就是常见的影响网络安全的攻击技术。它具有隐蔽性强、不易消除、阻塞网络等特点,危害性很大。因此除了那些基本的网络安全防护技术外,还必须综合采用双向地址绑定、SOCKET开发防御系统、ARP防火墙及彻底追踪查杀ARP病毒等方法来确保计算机网络的安全。
【关键词】计算机网络安全 ARP攻击 防范措施
随着信息化社会的到来,互联网技术和计算机技术已经得到了广泛的普及和应用。同时,随着这个趋势而来的是计算机网络受到的安全威胁也日益突出,其中ARP攻击是最常见的网络安全威胁之一。这些问题严重影响了计算机网络的安全使用,同时也给人们的生产生活造成了很大的不便和巨大的损失。因此,有必要在计算机网络的应用中,提高对ARP的认识,并采取必要的措施防范其攻击。
1 ARP 攻击简介
1.1 ARP攻击的定义
目前普遍认为ARP攻击是一种以 TCP/IP 协议为基础的网络层攻击技术,攻击者通常会通过运用一些网络技术来获取计算机用户在局域网上的数据封包并进行篡改,从而使用户无法正常上网。ARP攻击也有其自身的局限,它目前只可以攻击如公司内部网络这样的一定范围内的局域网,无法攻击外部的或不同地区的网络。
1.2 ARP攻击的技术原理
ARP攻击技术主要攻击的对象是局域网,通过使局域网内的计算机感染木马病毒,进而篡改计算机网络的IP地址和MAC地址,接着向用户发出已经过篡改的ARP数据包,使他们的网络产生大量的ARP数据量,最终导致无法正常运行。攻击者往往乘此机会更改用户的IP-MAC条目,使他们无法连上网络。
1.3 ARP攻击的危害
ARP作为当前最常见的网络攻击技术,其危害性是很大的。ARP攻击通常导致整个局域网内的计算机都出现崩溃、死机等现象,而且计算机网络里相关的各种数据和账号密码等可能会被窃取,危害非常大。
2 ARP攻击的特点
2.1 隐蔽性强
一般而言,对于计算机网络出现IP地址冲突问题,计算机用户可以通过更换新的IP地址等方法来避免。但是由于ARP 攻击行为具有极强的隐蔽性,计算机很难对它进行全面和准确的判断,导致计算机对ARP攻击行为的判断经常出现差错。
2.2 不易消除
只要我们还在使用计算机网络,那么ARP攻击就在所难免,对此我们只能积极应该,采取各种有效的防范措施以尽量降低其危害。平时要多注意加强网络安全维护工作。
2.3 阻塞网络
ARP攻击技术主要攻击的对象是局域网,通过使局域网内的计算机感染 ARP 木马病毒,进而篡改计算机网络的IP地址和MAC地址,然后向用户们发出已被篡改的ARP数据包,在他们的网络中产生数量庞大的ARP数据量,进而使整个网络都出现阻塞的现象,破坏计算机的通讯能力。
3 ARP 攻击的防护
随着互联网技术的不断发展和广泛使用,人们对网络安全的关注和需求也越来越高。与此同时,由于ARP给计算机用户带来了极大的危害和损失,人们迫切需要有效的防范措施来抵御ARP的攻击。下面总结一些当前使用广泛且效果比较明显的防范ARP攻击的方法。
3.1 防御ARP攻击最基本的方法
这些最基本的方法是针对那些计算机水平低的用户的,主要有以下这几种:(1)重启计算机,这样可以使ARP攻击失去存在的攻击环境;(2)尽量避免使用计算机网卡,这样可以通过让APP攻击因无法到达MAC地址而失去目标,达到防御攻击的效果;(3)让网络设备恢复出厂设置,这样也可以确保不会受到ARP的攻击。但是这些方法总体而言所起的效果有限,起作用的时间也比较短,同时还会给用户带来一些不便,因此要想有效防御ARP的攻击还是远远不够的。
3.2 采取双向地址绑定
当前所有的防范ARP的方法中,双向地址绑定是最常见的一种。它的工作原理是利用双向绑定MAC地址以及IP地址来防止受到ARP的攻击。这是因为ARP攻击通常是通过伪造MAC地址与IP地址来进行的,因此要想有效防范这一攻击方式就要实行MAC地址和IP地址的双向绑定,从而有效避免ARP表被更改。
3.3 使用SOCKET开发防御系统
使用SOCKET编程开发出来的防范ARP攻击的防御系统,是防止ARP攻击的一种非常有效的手段。但是这一防范方法对网络管理员的技术能力要求较高,需要他们能熟练地掌握SOCKET编程技术并很熟悉ARP的攻击原理。这种防范系统需要SOCKET系统能够防范ARP攻击,并在受到ARP攻击的时候可以发出警报并显示被攻击主机的相关信息,使管理员可以及时发现主机的问题并采取相应的防控和修复措施。
3.4 使用ARP防火墙
ARP防火墙技术是专门针对ARP攻击而研发出来的,是专门防范它的防火墙,因此效果非常出色。它主要用来确保网关获取的MAC地址和计算机所获取的MAC地址的合法性,避免它们受到假的ARP数据包的干扰。
3.5 彻底追踪查杀ARP病毒
要想比较彻底地解决ARP攻击的威胁,最根本的方法就是对其进行彻底的追踪查杀。由于ARP主要的攻击目标是局域网,因此我们可以使用局域网ARP 攻击检测工具,来确定ARP攻击目标来源,接着在计算机中安装专门用来查杀ARP的工具,以便及时对其进行全面和彻底的杀毒,从根本上杜绝网络危险。
4 结语
网络安全随着美国“棱镜项目”的出现而引起了世界范围的广泛关注,其实不仅在国家安全方面面临着这样的问题,在我们的日常工作和生活中也无时无刻不面临着网络安全的问题。这也是随着信息化时代的到来而不可避免的现象,对此,我们必须采取综合措施积极应对,才能最大程度发挥计算机和网络的作用,同时将网络安全风险降到最低。
参考文献
[1]田维珍,窦为伟,庞雄昌.ARP欺骗攻击防控方法研究[J].计算机与信息技术,2010(Z2):55-57.
[2]张黄励.针对ARP攻击的主动防范策略研究与实现[D].重庆大学,2010:66-67.
[3]夏海静,刘光伟.ARP攻击防范及解决方案分析[J].福建电脑,2011(01):36-70.
关键词:网络安全;拒绝服务攻击;类型;原理;防范措施
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)26-5818-02
随着技术的不断发展,互联网在给人带来方便、快捷的同时,也存在着着严重的安全隐患。拒绝服务(Denial of Service)在目前来说是一种严重威胁互联网系统且又遍布全世界的攻击。这种攻击是以损坏一些特定系统资源为主要目的,传输一些服务器本身不能自动修复和处理的不明软件系统,以此来影响网络,造成一些原本可以使用服务器的客户不能在正常的情况下运行。
1 拒绝服务攻击的含义
拒绝服务攻击(Denial of Service)是一种最为常见的攻击方式,由于其攻击目标仅仅是造成受害网络与信息系统无法正常对外提供服务,因此属于较为容易实施的一类攻击方式。同时,伴随着大规模僵尸网络的盛行,资源耗尽型拒绝服务攻击也格外便于实现并可能造成严重的后果。
2 拒绝服务攻击的分类
2.1 漏洞利用拒绝服务攻击
漏洞利用拒绝服务攻击是一种利用漏洞造成软件不能正常运行的攻击方式。这种拒绝服务不依赖大量傀儡机,也不需要发送大量访问请求,而仅仅是利用目标节点软件的安全漏洞,通过精心的构造恶意数据包,造成目标节点软件不能有效的运行。
2.2 分布式拒绝服务攻击
分布式拒绝服务(Distributed Denial of Serxrice,DDoS)攻击是一种资源耗尽型攻击,通常也被称作洪水攻击。顾名思义,即是利用分布于网络上的大量节点向同一目标节点发起的引起目标节点资源被大量消耗而不能正常对外提供服务的网络攻击方式。从技术原理上看,分布式拒绝服务攻击主要是指那些借助外界的平台,如客户或者是服务器本身,把不同的计算机系统联合在一起,对其进行必要的攻击,进而加倍的增强拒绝攻击的成果。一般情况,攻击者将分布式拒绝服务攻击的主控程序安装在一个用于控制的计算机上,将受控程序安装部署在因特网的多台计算机上。主控程序可以与受控程序进行通讯并控制受控程序的行为,当主控程序发送特定的指令时,受控程序即可根据指令发动攻击。
2.3 分布式反射拒绝服务攻击
分布式反射拒绝服务攻击(Distributed Reflection Denial of Service,DRDoS)是一种较新出现的资源耗尽型拒绝服务攻击。最早在2002年被发现,2002年1月11日凌晨两点,grc.conl遭到此类攻击,大量的ack应答造成了grc.corn陷于崩溃的边缘。与分布式拒绝服务攻击使用伪造源IP地址不同,分布式反射拒绝服务攻击的来源IP地址全是真实地址,这些真实的网络节点本身并没有安全漏洞,而是利用TCP三次握手来实现的。首先,攻击者通过控制的傀儡机使用受害者IP地址作为源地址向任意处于活动状态的网络节点(如核心路由器、域名服务器、大型网站等)发送带有SYN标记的数据包,也就是TCP三次握手的第一步;处于活动状态的网络节点接收到伪造源IP地址的数据包后,将会按照协议要求向受害者进行应答,发送带有SYN、ACK标记的应答数据包。当攻击者使用大量傀儡机同时发起攻击时,即完成了一次分布式反射拒绝服务攻击。
3 拒绝服务攻击的原理
拒绝服务攻击是一种广泛的系统漏洞,黑客们热衷于对它的研究,而无数的网络用户将成为这种攻击的受害者。它是一种简单的破坏性攻击,黑客通常利用TCP/IP中的某种漏洞,或者系统存在的某些漏洞,对目标系统发起大规模的攻击,使攻击目标失去工作能力,系统不可访问,合法用户不能及时得到服务或系统资源,如CPU处理时间与网络带宽等。其实,它最本质的特征是延长正常的应用服务的等待时间。
根据TCP/IP协议的原理,当客户端要和服务器进行通信时,会通过请求/确认的方式进行联系,例如用户登录服务器时,首先是用户向服务器发送请求信息,服务器给予响应回复客户端的请求,当被确认后,客户端才能正式和服务器交流信息。在拒绝服务攻击情况下,黑客凭借虚假地址向服务器提交连接请求,当然服务器回复信息时就送到这个虚假地址,但是服务器回传时却无法找到这个地址,根据TCP/IP连接原理,此时服务器会进行等待,达到超时设置时才会断开连接。如果攻击者传送多个这样的请求或利用多个站点同时传送这样的请求,那么服务器就会等待更长时间,这个过程周而复始,最终会导致服务器资源用尽,网络带宽用完,正常的服务请求不能被服务器处理及回复,最终形成服务器的拒绝服务。拒绝服务并不是服务器不接受服务,而是服务器太忙,不能及时地响应请求,相对于客户端来说,就认为是服务器拒绝服务,严重时会造成服务器死机,甚至导致整个网络瘫痪。
4 防范拒绝服务攻击的措施
4.1 加强用户的安全防范意识
对于用户,要不断的增加安全技能知识的培训,以此来提高用户的安全防范意识,降低因个人疏忽造成的不安全因素的入侵和安全危机,如:数据的丢失、密码外泄等情况;关闭那些不必要的网址和窗口,尤其是那些明显存在着安全漏洞的接口,像Portmapper接口等;其次在使用的计算机上安装防范功能较强的防范软件;此外还要运用安装的防范软件对计算机做定时的安全扫描工作,把安全隐患扼杀在萌芽的状态之中;最后,要对安全防范知识的普及做到学以致用。
4.2 增加安全防范手段
对于那些可以有效的防治安全漏洞的软件要进行必要的了解和掌握,同时还要对网络中出现的不同安全隐患攻击类型和方法进行了解,以便能够更好的发现网络中出现的问题,并根据具体的问题提出相应的解决措施。当发现有危险性的软件运行时,要及时运用网络中自带的检测系统进行必要的检测和拦截;同时还可以使用一些专门漏洞检查工具进行问题的检测,如:网络测试仪、流量测试仪等,及时的找出修复漏洞的方法和措施,减少不必要的损失。
4.3 正确运用安全防范工具
在网络系统受到外界安全隐患攻击时,及时的使用简单网络检测软件对不安全因素进行检测,同时,对测试工具的进行有效的选择,以此来判断安全隐患的来源以及是否会对网络系统造成严重的损害;也可以使用那些专门检测网络安全隐患的软件,定期的进行检测。其目的主要是为了能够对黑客初期的攻击进行防范,采取适当的措施以避免对网络系统造成重大危害,让站点可以持续的提供服务给所有的请求者。
5 结论
从整体上看,随着DoS的破坏性能不断增强,防范要求越来越高,但制定一系列的安全措施是非常必要的,应该实行多重安全防护措施,同时不断提高人们的安全意识,只有这样才能更好的防范拒绝服务攻击带来的危害。
参考文献:
[1] 汪明燕.DoS/DDoS拒绝服务攻击分析及防范对策[J].电脑知识与技术,2005,(24).
[2] 方建超,徐全军.网络安全漏洞检测技术分析[J].计算机安全,2005,(10).
[3] 李禾,王述洋.拒绝服务攻击/分布式拒绝服务攻击防范技术的研究[J].中国安全科学学报,2009(1).
关键词:计算机;网络;安全;防范
在信息时代,信息可以帮助团体或个人,使他们受益,同样,信息也可以用来对他们构成威胁,造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
一、计算机网络安全的概念
国际标准化组织将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
二、计算机网络安全现状
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
三、计算机网络安全的防范措施1、加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问,这是防病毒进程中,最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限,选择不同的口令,对应用程序数据进行合法操作,防止用户越权访问数据和使用网络资源。
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时,这样的病毒存在于信息共享的网络介质上,因此就要在网关上设防,在网络前端进行杀毒。
2、网络防火墙技术
是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威胁,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
3、安全加密技术
加密技术的出现为全球电子商务提供了保证,从而使基于Internet上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术,加密运算与解密运算使用同样的密钥。不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
4、网络主机的操作系统安全和物理安全措施
防火墙作为网络的第一道防线并不能完全保护内部网络,必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高,分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线,主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线,用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后,是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息,作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生警告信息。而且,系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。
总之,网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,既包括信息系统本身的安全问题,也有物理的和逻辑的技术措施,一种技术只能解决一方面的问题,而不是万能的。为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
参考文献:
[1]黄怡强,等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01).
[2]胡道元.计算机局域网[M].北京:清华大学出版社,2001.
[关键字]ARP 攻击防范 免疫网络
ARP的中文名称是地址解析协议,它的全称是AddressResolution Protocol,在网络使用的过程中,逐渐制订了ARP,这对于安全网络的使用有着重要的保证。攻击防范是网络经常会遇到的问题,也是网络必须具备的基础安全措施,网络一旦被病毒侵害,对网络会造成很大的危害,所以需要一定的“抵抗力”来应对病毒的入侵。所谓的“抵抗能力”也就是免疫网络,免疫网络能够像人体的免疫力保护人体免受细菌的侵害一样可以保护网络正常
一、ARP攻击防范中免疫网络设备的主要问题
1、解决措施的防范能力有限。网络本身的安全性还是比较高的,但是在实际的网络使用过程中,各种因素可能会降低这种安全性,给网络本身造成很大的不便。一些网络安全措施虽然能够达到保护网络安全的效果,但是当遇到更强大的病毒的时候,可能就会有些力不能及,也就是说一般的防范措施能力有限,在遇到复杂的情况下就会能力不足,所以需要更加强大的解决措施来增强网络的安全性。
2、对网络管理约束大,不方便不实用,不具备可操作性。随着网络的不断发展,ARP防范措施的种类也在不断的增多,虽然数量可观,但是在质量上却不尽如人意。有很多的ARP防范措施对网络的管理约束太大,所以在实际的使用中实用性并不强,在管理上也不方便,操作上也不方便,这样的措施再多都无济于事。因为在管理的过程中,并不需要太多的措施,仅仅只要一个能够有所保证的措施就可以。
3、某些措施对网络传输的效能有损失,网速变慢,带宽浪费,也不可取。在众多的ARP防范措施中,不乏一些看着华丽的措施,实则并没有实际的防范能力。这种类型的防范措施往往需要快的网速,而且传输的东西也非常多,对于网络传输的效能会有一定的损失,导致网速变慢,同时浪费宽带,从实用性方面来讲,并没有很大的优势。
二、常见的防范ARP措施的分析
1、双绑措施。双绑措施的重点就在于双绑,这里的双指的是路由器和终端上进行的IP-MAC绑定的措施,对于一些ARP欺骗的两个端口,伪造关闭网络、截获数据的现象,从而起到一定的约束作用。这种防范措施是从ARP原理上进行的一种基本的防范措施,在人们的生活中普遍适用,能够有效的用于最最普通的ARP欺骗。但是这种措施也存在一定的缺陷,它的缺陷主要有三点,包括升级的ARP容易捣毁终端上的静态绑定,严重的情况下静态绑定能够完全失效。第二个就是路由器上的IP-MAC表的绑定工作非常繁琐费时费力,不方便。第三点就是这种方法作用的主要对象只是两端的电脑和路由器,只能让他们免接受ARP信息,而内网中还会有ARP信息的传输。
2、ARP个人防火墙。ARP个人防火墙是ARP的又一个防范措施,这种防范措施主要是对终端电脑的网关进行绑定,以免网络中假网关的对其造成一定的影响,这种防范措施主要的保护对象是自身数据。ARP个人防火墙的作用范围很广,但是并不代表ARP个人防火墙能够保证ARP攻击就不存在,同样,ARP个人防火墙也是有很大的缺陷。首先,ARP个人防火墙不能够保证绑定的网关是绝对正确的。再者,ARP不仅能够伪造网关,同样他也能够截获数据。所以说ARP个人防火墙中的个人还是比较突出的,也就是说ARP个人防火墙是个人的,不是网络的。
3、VLAN和交换机端口绑定。VLAN和交换机端口绑定是另外一个常用的ARP防范措施,这种方法主要是对做法VLAN进行细致的划分,通过这种划分减少广播域的范围,从而让ARP能够在小范围内发挥作用,不至于在更大的范围中影响,同时,学习完成以后,关闭一些具有MAC地址学习的功能网管交换机,就可以把对应的MAC和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。VLAN和交换机端口绑定的防范措施也存在一定的问题,主要问题在于没有对网关的任何保护,把每一台电脑都牢牢地固定在一个交换机端口上,这种管理太死板了。
购物车(0)
