网络端口的安全与防范(精选7篇)
网络端口的安全与防范 篇1
医院网络信息化发展异常迅速:从纸笔登记到“一卡通”;从人工喊号到电子语音报价;从一本本病例到无纸化电子病历系统……每一个环节都体现出网络的便捷,而一个稳定、安全、高效的网络是提供便捷医疗服务的前提保证。
网络构成四要素:⑴通信线路和设备;⑵独立功能的计算机;⑶网络软件;⑷数据通信和资源共享。这里首当其冲的是通信线路和设备。
谈及通信设备不得不说到交换机——OSI七层模型中的第二层设备,也是现网络拓扑结构中所占比重最大的网络设备,起着承上启下的至关作用。网络安全的前提便是交换机的安全,为此,交换机的端口安全成了稳定医院信息化业务的最重要技术保证。
1 门诊网络安全因素分析与交换机端口技术应用
1.1 门诊网络安全因素分析
医院门诊信息化网络中影响安全的因素更加复杂、多变:新增加的网络设备、计算机;新布置的网线、软件程序;医生乃至就诊患者、家属的个人电脑私自接入内网……种种可变、不确定的外部因素增加了医院固有网络的管理难度,“以不变应万变”的端口流量检测与安全技术应运而生。
1.2 交换机端口安全技术应用
交换机组网技术中,VLAN(虚拟局域网)技术被广泛应用,它将局域网的设备划分成不同网段,使设备形成逻辑上的隔离,利于网络监管,提高了网络运行的安全性。
交换机流量监控值得重视,监控其端口流量变化来发现和判断环路的产生,我们将引入QOS技术和环路检测办法。
1.2.1 VLAN划分与IP、MAC和端口的多元组绑定
1VLAN划分与绑定
VLAN划分有四种:基于端口、基于MAC、基于IP子网与基于协议,因医院业务繁多、数据各异(HIS、LIS、PACS),所以基于端口的VLAN划分方法更能让医院门诊网络有机融入医院总网形成统一整体,以便管理。
在三层交换机上(本章以H3C的S3610为例)基于端口的VLAN划分:(部分配置)
<H3C>system进入全局模式
<H3C>SYSNAME S3610修改交换机描述为S3610
[S3610]super password ZHANGLS设置登录密码为ZHANGLS
[S3610]VLAN 2建立VLAN 2
[S3610-vlan 2]port Ethernet 0/2 eth0/2归属VLAN 2
[S3610-vlan 2]VALN 3建立VLAN 3
[S3610-vlan 3]port Ethernet 0/3 eth0/2归属VLAN 3
[S3610-vlan 3]inter VALN 2
[S3610-vlan-interface2]IP add 192.168.2.1 255.255.255.0设置e0/2端口IP
[S3610-vlan-interface2]inter VLAN 3
[S3610-vlan-interface3]IP add 192.168.3.1 255.255.255.0设置e0/3端口IP
[S3610-vlan-interface3]inter e0/2进入端口e0/2
[S3610-Ethernet0/2] port link-type Access设置端口访问模式access只能属于1个VLAN
[S3610-Ethernet0/3] port link-type Access设置端口访问模式access只能属于1个VLAN
[S3610-Ethernet0/3]quit
[S3610]VLAN 1建立VLAN 1
[S3610-vlan 1]port Ethernet 0/1 eth0/1归属VLAN 1
[S3610-vlan 1]inter VALN 1
[S3610-vlan-interface1]IP add 192.168.1.1 255.255.255.0设置e0/1端口IP
[S3610-vlan-interface1]inter e0/1进入端口e0/1
[S3610-Ethernet0/1] port link-type trunk设置多VLAN模式
[S3610-Ethernet0/1] port trunk permit VLAN all让所有VLAN通过
[S3610-Ethernet0/1]quit
[S3610]save保存设置
2多元素组合绑定
为了增加门诊网络中计算机使用医院内网的唯一性,排除无法确定安全性的个人计算机未经许可私自接入医院内网,我们将MAC、端口和IP进行多元组绑定。进行多元组绑定之前需清楚设备是否支持MAC地址与多元组绑定策略。
多元组绑定分为三种方式:MAC+端口;IP+MAC;端口+IP+MAC,这里可以根据实际情况选择绑定方式进行配置。绑定之前,登录二层交换机(以H3C的S3100-UM系列为例),查看MAC表:
<S3100>sys
[S3100]display Mac-address
进入连接Console的计算机CMD窗口,输入Arp—a,查看对应的MAC、IP地址,接下来进行绑定:
三种绑定技术配置,可根据需要选择(为简化配置,均采用AM命令):
⑴IP+MAC:
<S3100>sys
[S3100] am user-bind IP-address 192.168.2.10 MAC-address 00-1F-3B-02-C4-FB
⑵MAC+端口:
<S3100>sys
[S3100] am user-bind Mac-address 00-1F-3B-02-C4-FB interface Ethernet 0/2
⑶MAC+IP+端口:
<S3100>sys
[S3100] am user-bind IP-address 192.168.2.10 Mac-address 00-1F-3B-02-C4-FB interface Ethernet 0/2
通过上述配置,VLAN与端口、端口与MAC、IP的多元组绑定得以实现。
1.2.2 QOS与交换机环路检测
1 QOS
网络资源总是有限的,在网络总带宽固定的情况下,如果某类业务占用的带宽越多,那么其他业务能使用的带宽就越少。例如,门诊某科室计算机通过内网大量的下载软件,这将导致门诊挂号与收费网络资源的急剧减少,降低办理流程的速度,极大影响正常门诊业务的开展。
引入QOS技术,对网络资源进行合理的规划和分配,从而使网络资源得到高效利用,保障门诊业务正常运行势在必行。
什么是QOS?QOS(Quality of Service)即服务质量。对于网络业务,服务质量包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。采用流量限制、拥塞避免等措施进行先期QOS调度,使进入接入网的流量相对平稳,避免在接入网中出现拥塞,保障网络畅通。
QOS技术在网络体系中作用在哪里?见图2。
QOS技术包括流分类、流量监管、流量整形、端口限速、拥塞管理、拥塞避免等。
流分类:采用一定的规则识别符合某类特征的报文,它是对网络业务进行区分服务的前提和基础。
流量监管:对进入或流出设备的特定流量进行监管。当流量超出设定值时,可以采取限制或惩罚措施,以保护网络资源不受损害。可以作用在端口入方向和出方向。
流量整形:一种主动调整流的输出速率的流量控制措施,用来使流量适配下游设备可供给的网络资源,避免不必要的报文丢弃和延迟,通常作用在端口出方向。
拥塞管理:就是当拥塞发生时如何制定一个资源的调度策略,以决定报文转发的处理次序,通常作用在端口出方向。
拥塞避免:监督网络资源的使用情况,当发现拥塞有加剧的趋势时采取主动丢弃报文的策略,通过调整队列长度来解除网络的过载,通常作用在端口出方向。
QOS配置方式分为QOS策略配置方式和非QOS策略配置方式两种。QOS策略配置方式是指通过配置QOS策略来实现。
本文将采用基于端口的QOS策略进行流量监管配置,限制对HTTP报文的接收速率不超过512kbps,超出限制速率的报文将被丢弃。配置除门诊挂号、收费、发药系统的端口外进行速率限制,确保挂号、收费、发药所需要的正常网络流量不会被抢夺占用。
<S3610> sys进入全局模式
[S3610] acl number 3000配置高级IPv4 ACL,匹配HTTP报文
[S3610-acl-adv-3000] rule permit tcp destination-port eq 80
[S3610-acl-adv-3000] quit
[S3610] traffic classifier http创建流分类,匹配ACL 3000
[S3610-classifier-http] if-match acl 3000
[S3610-classifier-http] quit
[S3610] traffic behavior http配置策略并应用到eth 0/1端口入方向
[S3610-behavior-http] car cir 512
[S3610-behavior-http] quit
[S3610] qos policy http
[S3610-qospolicy-http] classifier http behavior http
[S3610-qospolicy-http] quit
[S3610] interface eth 0/1
[S3610- eth 0/1] qos apply policy http inbound
拥塞避免(Congestion Avoidance)是一种流量控制机制,它通过监视网络资源(如队列或内存缓冲区)的使用情况,在拥塞产生或有加剧的趋势时主动丢弃报文,通过调整网络的流量来解除网络过载。
与端到端的流量控制相比,这里的流量控制具有更广泛的意义,它影响到设备中更多的业务流的负载。设备在丢弃报文时,需要与源端的流量控制动作(比如TCP流量控制)相配合,调整网络的流量到一个合理的负载状态。丢包策略和源端流控机制有效的组合,可以使网络的吞吐量和利用效率最大化,并且使报文丢弃和延迟最小化。
为避免TCP全局同步现象:当队列同时丢弃多个TCP连接的报文时,将造成多个TCP连接同时进入拥塞避免和慢启动状态以降低并调整流量,而后又会在某个时间同时出现流量高峰。如此反复,使网络流量忽大忽小,网络不停震荡,可使用RED(RandomEarly Detection,随机早期检测)或WRED(Weighted Random Early Detection,加权随机早期检测)。
RED和WRED通过随机丢弃报文避免了TCP的全局同步现象,使得当某个TCP连接的报文被丢弃、开始减速发送的时候,其他的TCP连接仍然有较高的发送速度。这样,无论什么时候,总有TCP连接在进行较快的发送,提高了线路带宽的利用率。
本文将采用基于WRED的配置:
2交换机(以H3C的S3610系列为例)环路检测
对于网络设备环境的更新与日常维护,难免出错,例:同一根网线两端连接在同一台交换机上的两个端口,由此产生的广播风暴会让交换机DOWN掉,造成网络瘫痪。而通过流量监控能够发现网络环路,及时恢复正常的网络通信。
通过display interface brief命令,查看所有接口下的流量,存在环路的接口上INUTI和OUTUTI两个计数会逐步增加:
第一次查询(不同设备型号显示不同):
Interface PHY Auto-Neg Duplex Bandwidth InUti OutUti Trunk
FastEthernet0/1 up enable full 100M 0% 0.01% —
FastEthernet0/2 up enable full 1000M 0.56% 0.56% 1
FastEthernet0/3 up enable full 1000M 0.56% 0.56% 1
最后一次查询:
Interface PHY Auto-Neg Duplex Bandwidth InUti OutUti Trunk
FastEthernet0/1 up enable full 100M 0% 0.01% —
FastEthernet0/2 up enable full 1000M 76% 76% 1
FastEthernet0/3 up enable full 1000M 76% 76% 1
一般情况下,查询只能看到网络的当前流量结果,如果只有一台设备的一个端口出入方向流量较大,可能是单端口环回;如果只有一台设备的两个端口流量较大,可能是本设备两个端口环回;如果某端口只有单方向流量,只有出或者只有入,需要重点排查,因为环路有可能在该端口的上下游设备。
通常情况下,如果当前网络流量远大于正常业务,可能存在二层环路。
⑴换机自环出现环路
问题现象:端口出方向和入方向流量持续增加。
问题原因:端口自环或者链路环回。
处理方法:1首先在端口下loopback internal;2设备由于链路引入环路有两种:
一种是单端口收发环回。第二种是设备上两个端口环路。
此类环路造成的原因是光纤或者网线误接,需要拆除连线
⑵换机下游设备自环出现环路
前置条件:设备未部署STP和LDT,本设备未环回。
问题现象:端口入方向和出方向流量持续增大,环回链路在下游。
问题原因:下游链路环回或者自环。
处理方法:1首先逐跳向下游寻找环路的链路;2然后在端口下loopback internal;3设备由于链路引入环路有两种:一种是单端口收发环,第二种是设备上两个端口环路。
2 总结
笔者结合实际情况进行了端口安全技术的组合配置,进行了多元组绑定,规范了网络结构,增强、提高了安全性。引入QOS管理技术,该技术分类详细、手段多样,一个好的QOS能确保网络资源本身的合理性与科学性。配合环路检测技术,将能更好的服务网络、保障业务。
更多端口安全技术,将会在实际工作中进行更深入的研究与实践。
摘要:现代医疗信息技术的发展,网络安全直接关系到医疗业务的正常开展。该文通过分析医院门诊网络可能存在的安全隐患,对应提出在安全技术手段上的方法,形成一个体系的安全架构,为医院的网络安全防护提供一种可行的解决方案。
关键词:VLAN划分与绑定,QOS限制,环路检测
网络端口的安全与防范 篇2
关键词:网络窃听,端口镜像,管理系统,密码安全
在计算机网络中, 网络窃听是指网络中某主机侦听和截获系统、服务器、路由器或防火墙中所有网络通信流量, 从而对其它主机进行监视、分析和记录, 非法获取他人正常通信数据流中的重要信息。对于网络管理员, 它可以用来监测网络的运行情况、帮助排除网络故障。相反, 如果被用来捕获用户帐号、口令、保密信息和私人信息, 就会严重危害网络中其它用户的安全。充分认识网络窃听技术可能对网络安全造成的危害, 采取相应措施是十分必要的。
1 共享式以太网窃听程序工作原理
在传统的共享式以太网中, 数据帧以广播方式传播。位于同一物理网段上所有主机都可以接到任意目标MAC地址的数据帧。正常情况下, 接收头部信息中目标MAC地址与本机MAC地址相配的数据包, 否则丢弃。如果是监听模式, 那么即使MAC地址与本机不匹配, 也不会丢弃, 而是送到上层协议, 进行数据包分析, 传统的窃听程序就是利用这一原理截取数据包。下面的数据是利用网络嗅探工具sniffer捕获TCP包片断。
如上所述, 该窃听程序内部包含了协议数据包分析器, 可以对截取的数据包进行了模式匹配和分析处理, 在表1的TCP包序列中已经将数据链路层和IP层的包头层层剥去, 留下了数据部分进行分析, 从中就可得通信中的敏感信息。
2 交换式以太网环境下的网络窃听方法
交换式以太网出现以后, 网络嗅探程序一度陷入了困境。原因是:在交换式以太网中, 交换机具有智能化的特点, 可以实现点对点通信, 广播域被分割到了端口, 主机发送的数据帧只通过交换机建立的端口间的内部链路直接传送到目的主机所在端口, 主机无法再利用数据帧的广播和网卡的监听模式对其它端口间的数据流进行侦听。但是, 交换式以太网是为解决带宽和网络使用效率问题而出现的, 在网络安全方面并未采取更严格的控制手段, 仍然留下了一些漏洞可利用。目前, 在交换式以太网条件下进行嗅探的方法主要有如下几种。
2.1 ARP改向的“中间人”嗅探方法
利用ARP协议的漏洞, 采用ARP欺骗技术, 改变了AB主机的所发出的数据帧内部目的地址 (MAC地址) , 使原本由A发往B的数据包改成由A发往X再由X发往B, 这样, “中间人”X嗅探主机既有效地隐藏了自己, 同时又嗅探了数据。这种方法具体又分为两种。
(1) 主机X伪装成主机B向主机A发出ARP请求包, 将其中发送节点的信息修改为B的IP地址, X的MAC地址, 则A修改自己的ARP表中主机B的地址对为
(2) 主机X直接向主机A发出ARP响应包, 修改数据包中发送节点的地址为B的IP地址, X的MAC地址, 促使主机A修改自己的ARP表;同理修改主机B的ARP表, 完成ARP改向的设置, X成为A、B之间的“中间人”。
2.2 修改MAC地址方法
在多数情况下, 改变网卡的MAC地址是可行的, 这也可以利用为在交换环境下网络嗅探手段。常用的改变MAC地址的方法有:在windows中对网卡进行设置、修改注册表 (Windows) 、利用ifconfig命令 (Unix/Linux) 直接进行设置等。嗅探者只需把所在主机的网卡MAC地址配置成与目标主机相同, 就可以以目标主机的身份发送数据包。交换机收到嗅探者发出的这些数据包后, 其"自学习"功能将自动修改内部的端口/MAC地址对应表中的相关条目, 之后, 源主机发送给目的主机的数据包将会被错误地发送到嗅探主机所在的端口。
2.3 攻击交换机内存方法
为在各端口间建立按需建立所需的点对点直连, 交换机需要开辟一定的内存空间来存放端口/MAC地址对应表。交换机工作时正是通过查表来决定将数据包发往哪个端口。交换机内存放该表的内存空间的大小是有限的, 在耗尽了这块内存后, 由于无法正常进行数据包的交换, 有些交换机会为了能够保证网络能够继续工作而退回到类似集线器的工作状态。
2.4 交换机端口镜像
端口镜像 (Port Mirroring) 是交换机内部所具有的一项辅助功能, 主要是为了网络管理的方便, 用于动态监控用户的通信信息。
3 UNIX系统登录密码的窃听实现
网络窃听对网络的危害是不容忽视的, 通过对数据包的截获和分析, 网络窃听程序几乎可以得到所有的敏感信息。窃取其它用户的电子邮件内容、偷听通信软件的对话、截取各种应用层的明文口令等等。
3.1 窃听UNIX系统root帐号与口令
UNIX系统中root帐号为最高用户权限。ILAS系统是基于UNIX操作系统的B/S结构的管理系统。窃听root用户口令, 将可以直接读取服务器内所有数据和文件, 将可以肆意删除破坏服务器的内容, 对图书馆的网络安全和系统安全都形成了威胁。
表1中截取的数据包的头部显示了登录者使用的电脑的IP地址:192.168.48.88, 服务器的IP地址:192.168.48.11, 服务类型:FTP, 连接端口是21。其中报文中数据由于没有加密, 而是直接在网络上传送, 很容易破译为如下表2所示字符:
从帧数据破译得到USER为root, PASS为99y Any An。ILAS系统的服务器端是基于SCO UNIX系统的。root是UNIX的系统管理员, 拥有最高权限。root口令的破译是非常危险的。许多ILAS系统管理员为了图方便, 常常用root用户进行远程登录, 进行查看进程, 自动数据备份等操作, 没有认识到有可能被侦听和破译。
3.2 窃听系统管理员的用户帐号与口令
一般而言, 系统管理员具有最高系统管理权限, 能管理所有的ILAS用户的工作和设备权限以及处理所有数据的权限。下面按照网络中ILAS口令数据包的捕获、分析和破译的步骤来具体说明如何对图书馆管理系统ILAS的登录密码进行网络嗅探。
3.2.1 捕获登录数据包
利用上述的端口镜像技术在交换式以太网环境下对ILAS数据包进行捕获。首先, TELNET到可编程交换机中用会话命令进行配置:
上述配置命令设置了:同时监控输入和输出帧;设置端口1的帧影射到端口2。ILAS服务器连在1号端口, 侦听主机连在2号端口。选择早上八点左右的登录高峰期, 运行嗅探程序, 设置参数——目标地址为ILAS服务器的IP, 端口为27088, 协议为TCP。开始对网络中所有发送给ILAS服务器数据包进行侦听, 得到大量的数据包。
3.2.2 剖析系统登录数据包
下面来剖析某管理信息系统的登录数据帧, 主要分析数据帧的结构。
如表三所示的登录帧由40个头部字节和46个报文字节共86个构成。40字节的头部长度是不变的, 而报文长度根据密码的大小和目录的不同而有不同。头部信息中可知:包是从客户端 (192.168.48.68) 发送给服务器 (192.168.48.11) 的, TCP连接是通过27088号端口进行的, 27088正是ILAS的独特端口。生存时间为128, 说明发送方的操作系统是WINDOWS系统, UNIX系统的TTL一般值为255。报文主要由传输控制字符和数据字符组成。文始STX (02H) 、空NUL (00H) 、引号 (22H) 等报文控制字符的主要作用就是为确保报文的正确发送、接收。报文的数据部分从第21个字符0x03开始。包含帐号、口令、登录日志存放目录等相关信息。
3.2.3 破译ILAS登录数据包中的敏感信息
由于ILAS系统的客户端登录用户和口令都是明文传送, 并没有使用加密技术, 我们将对照ASCII码表, 从表三中破译出ILAS系统帐号及相应的口令等敏感信息, 如超级管理员djw的密码为djwyinh。其中如用户帐号名和密码的长度、用户帐号和口令破解都在表3中进行了说明。
通过网络嗅探, 完全可以非法获得包括ILAS的系统管理员在内的所有用户帐号信息, 完全可以对ILAS系统进行任何操作, 如删除图书馆书目资料、读者借阅资料等, 系统的安全性面临极大危险, 因此有必要对网络嗅探进行防范。
4 网络窃听程序的防范措施
针对不同的窃听手法, 我们要采用各种措施对网络窃听进行被动和主动的防范, 加强POP3、FTP、HTTP、SMTP等主机的网络安全。
(1) 在共享式以太网中, 数据包极易被侦听, 其中包含的用户帐号、密码等重要信息也很容易被嗅探, 改集线器为交换机, 避免数据包广播, 从而减少数据包被无关人员获取的可能性, 有效地防止利用共享式网络进行网络嗅探。
(2) 在交换式以太网中, 分割网段是有效地减少被嗅探的可能性。有条件地尽量采用第三层交换机, 可以有效防范ARP改向的网络嗅探。
(3) 加强对交换机硬件的管理, 特别是暴露在外的交换机柜要上锁, 同时交换机的密码不能为空, 同时设置登录错误最高尝试次数, 以防止交换机密码被非法登录者暴力破解——编制网络程序自动进行成千上万次地连续登录、尝试密码。
(4) 尽量关闭服务器上不必要的服务, 尽量少开放端口, 以防止非法用户帐号通过网络入侵系统。
(5) 定期更换密码、更新防火墙、查杀病毒。
5 结束语
交换式以太网中的网络嗅探可能带来的安全问题并未得到充分的认识。网络管理员往往把绝大部分精力都放在了来自外部的安全威胁上, 而忽视了内部的隐患。通过以上的分析, 网络管理人员应对这一问题给予足够的重视, 并及时采取相应的有效措施。
参考文献
[1]Stevens W R.TCP/IP详解[M].北京:机械工业出版社, 2000.
[2]Waingrow.X. (美) .UNIX Hints&Hacks[M].北京:电子工业出版社, 2002.
[3]谢崇斌, 张玉清, 田玉敏, 钱秀槟.局域网下网络窃听的实现与防范[J].计算机工程, 2004, 07:46-48.
[4]朱名勋.防范ARP欺骗的网络安全性研究[J].衡阳师范学院学报 (自然科学版) , 2003 (6) .
[5]刘琼, 潘进, 刘炯.基于信息论安全的防窃听网络编码方案[J].计算机工程, 2012, 22:107-110.
[6]张睿汭.光纤通信网络窃听方法及防御措施[J].电信科学, 2012, 11:112-115.
网络信息安全的风险与防范 篇3
1.1 网络信息安全的含义
网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因遭到破坏、更改、泄露, 数据能够连续、可靠、正常地运行, 网络服务不中断。
1.2 网络信息安全的现状
据统计, 截至2012年6月底, 我国网民数量已达到5.38亿, 互联网普及率已经达到39.9%, 其中手机网民规模达到3.88亿人, 超过电脑上网用户的3.86亿人, CN域名注册量达到398万个, 四项指标继续稳居世界排名第一, 显示出中国互联网的规模价值正在日益放大。如此高的网民数量增长势必带来更加迅猛的互联网安全问题, 根据金山网络发布的《2011-2012中国互联网安全研究报告》公布了2011年度影响最大的十大病毒, 如qq群蠕虫病毒、输入法盗号木马、淘宝客劫持木马等。据统计显示, 金山毒霸累计捕获新增病毒1230万个, 每天保护用户免于病毒攻击的次数约为500万次, 每天有4%-8%的电脑上会发现病毒。
2网络信息安全面临的主要风险
2.1 黑客的恶意攻击
“黑客” (Hack) 利用自己的技术专长专门攻击网站和计算机[1], 就目前网络技术的发展趋势来看, 攻击的方式主要采用病毒进行破坏, 对没有防火墙的网站和系统进行攻击和破坏, 这给网络的安全防护带来了严峻的挑战。
2.2 网络自身和管理存在欠缺
因特网赖以生存的TCP/IP协议缺乏相应的安全机制, 在安全防范、服务质量、带宽和方便性等方面存在滞后和不适应性[2]。
2.3 软件设计的漏洞或“后门”而产生的问题
我们常用的无论是Windows还是UNIX几乎都存在或多或少的安全漏洞[2]。如大名鼎鼎的“熊猫烧香”病毒, 就是黑客针对微软Windows操作系统安全漏洞设计的病毒, 它对社会造成的各种损失更是难以估计。
2.4 恶意网站设置的陷阱
网站恶意编制一些盗取他人信息的软件, 如现在非常流行的“木马”病毒。
2.5 用户网络内部工作人员的不良行为引起的安全问题
网络内部用户的误操作, 资源滥用也有可能对网络的安全造成巨大的威胁。各单位管理制度不严都容易引起一系列安全问题。
3保证网络信息应采取的主要安全防范
3.1 采取技术防护手段
(1) 信息加密技术
网络信息发展的关键问题安全性, 必须建立一套有效的信息加密技术、安全认证技术等内容的安全机制作为保证, 来实现电子信息数据的机密性、完整性, 防止信息被不良用心的人窃取, 甚至出现虚假信息[3]。
(2) 安装防病毒软件和防火墙
在主机上安装防病毒软件, 能对病毒进行定时或实时的病毒扫描及漏洞检测, 变被动清毒为主动截杀, 发现异常情况及时处理。
(3) 使用路由器和虚拟专用网技术
路由器采用了密码算法和解密专用芯片, 通过在主板上增加加密模件来实现路由信息和IP包的加密、数据完整性验证等功能[4]。
3.2 构建信息安全保密体系
(1) 信息安全保密的体系框架
以信息安全保密策略和机制为核心, 以信息安全保密服务为支持, 以标准规范、安全技术和组织管理体系为具体内容, 最终形成能够满足信息安全保密的能力[5]。
(2) 信息安全保密的服务支持体系
主要由技术检查服务、调查取证服务、风险管理服务、系统测评服务、应急响应服务和咨询培训服务组成。
(3) 信息安全保密的标准规范体系
主要由国家和军队相关安全技术标准构成。
(4) 信息安全保密的技术防范体系
主要由电磁防护技术、信息终端防护技术、通信安全技术、网络安全技术和其他安全技术组成。目的是为了从信息系统和信息网络的不同层面保护信息的机密性、完整性等性能, 进而保障信息及系统的安全, 提高信息系统和信息网络的抗攻击能力和安全可靠性[6]。
(5) 信息安全保密的管理保障体系
主要从技术管理、制度管理、资产管理和风险管理等方面, 加强安全保密管理的力度, 使管理成为信息安全保密工作的重中之重。
(6) 信息安全保密的工作能力体系
主要将技术、管理与标准规范结合起来, 以安全保密策略和服务为支持, 合力形成信息安全保密工作的能力体系。既是信息安全保密工作效益与效率的体现, 也能反映出当前信息安全保密工作是否到位[7]。
4结语
当前网络信息安全技术发展迅速, 但没有任一种解决方案可以防御所有危及网络信息安全的攻击, 这是“矛”与“盾”的问题, 需要不断跟踪新技术, 对所采用的网络信息安全防范技术进行升级完善, 以确保相关利益不受侵犯。
参考文献
[1]Stuart McClure等.黑客大曝光——网络安全机密与解决方案[M].北京:清华大学出版社, 2006:140.
[2]魏仕民等.信息安全概论[M].北京:高等教育出版社, 2005:40-41
[3]吴汉平.信息战与信息安全[M].北京:电子工业出版社, 2003:120.
[4]戴红等.算机网络安全[M].北京:电子工业出版社, 2004:158-159.
[5]孙锐等.信息安全原理及应用[M].北京:清华大学出版社, 2003:45-46.
[6]秦立军.信息安全保密列谈[M].北京:金城出版社, 2002:125.
网络信息安全的隐患与防范 篇4
关键词:网络安全,黑客,病毒,防火墙
1 前言
随着Internet技术和信息化建设的迅速发展, 计算机网络在我国飞速发展, 已经成为各级政府、企业、院校、部队等单位对内管理和对外交流必不可少的平台。随着国家经济的迅猛发展, 网络应用的范围越来越扩大, 但同时网络蠕虫的快速传播、网络的数据窃贼、针对系统漏洞的网络攻击、垃圾信息的泛滥以及黑客的攻击等也越来越猖獗, 造成用户网速变慢、信息丢失以及网络瘫痪等严重后果, 对各单位内部网络安全构成巨大威胁。所以研究和构建一个完善的网络信息安全防范体系势在必行。
2 网络信息安全存在的普遍问题
2.1 计算机网络信息安全技术问题
2.1.1 操作系统自身的漏洞
网络系统的安全依赖于各主机所使用操作系统的安全。目前我国各网络服务器常用的操作系统Windows、Unix、Linux等都符合C2级安全级别, 但也存在如Windows的IE漏洞、IIS漏洞等问题, 许多病毒正是利用操作系统的漏洞进行传染。如果对这些漏洞不采取相应的措施, 就会使操作系统完全暴露给入侵者, 对网络安全构成威胁。
2.1.2 缺乏自主的计算机网络软、硬件核心技术
我国的信息化建设过程中缺乏自主的核心技术支撑, 主要软、硬件, 如CPU芯片、操作系统和数据库、网关软件等大多依赖进口, 极易留下嵌入式病毒、隐性通道和可恢复密钥的密码等隐患, 这使计算机网络的安全性能大大降低, 网络处于被窃听、干扰、监视等多种安全威胁中, 网络安全极其脆弱。
2.1.3 安全防护体系的缺陷
2.1.3. 1 网络自身的TCP/IP协议缺乏相应的安全措施, 在共享和开放的机制下其安全存在先天不足, 在大规模攻击面前几乎无能为力。
2.1.3. 2 大多数网络防护体系中缺少硬件级防火墙措施, 没有对内部网和外部网进行有效的隔离。
2.1.4 计算机病毒的危害
目前针对计算机系统的网络缺陷、漏洞的各式各样病毒的入侵可导致计算机系统的瘫痪、程序和数据的严重破坏, 使网络的效率和作用大大降低, 许多功能无法使用。
2.1.5 网络中传输的安全可靠性低
个人隐私及涉密信息存储在网络内, 很容易被搜集而造成泄密。这些涉密资料在传输过程中, 在任何中介节点均可能被读取或恶意修改。
2.1.6 非授权访问
对网络设备及信息资源进行非正常使用或越权使用, 例如:使用下载的黑客工具和木马程序来攻击网络服务器、路由器、个人主机等设备;盗用别人的地址上网、蓄意攻击办公电脑、非法获取访问权限、窃取机密数据和文件、篡改网页内容等。
2.1.7 软件程序编写得不严谨
目前流行的Web服务其后台程序一般为asp、jsp等脚本程序, 很多程序员只考虑程序运行稳定而没有考虑安全因素, 这样就无形中留下了漏洞, 很多黑客可以利用对脚本程序的熟悉, 通过输入特殊的字符对他人进行攻击, 以获取到他所需要的资料文件, 严重时甚至可以让服务器执行系统指令而进行破坏行为。
2.2 计算机网络安全管理问题
影响网络安全的因素中, 人为因素危害较大, 主要有以下几方面:
2.2.1 人为失误造成
操作员安全配置不当、用户安全意识不强、口令选择不慎、自己的帐号随意转借他人或与别人共享等一些无意的行为都会对网络安全带来威胁。
2.2.2 人员管理的问题
主要是内部工作人员的泄密, 一是无知导致的泄密, 对计算机系统没有采取任何安全措施而泄露秘密信息;二是故意泄密, 用信息系统的秘密换取金钱利益;三是操作失误而造成的系统故障。因此内部工作人员的安全问题更应引起重视。
2.2.3 制度管理
网络安全管理意识、规章制度、人员分工、督促检查等管理制度的缺乏;管理者专业安全意识不强;专业技术人员匮乏、队伍建设滞后等问题使得网络系统安全难以保障。
3 网络信息的安全防范措施
针对计算机网络存在的安全问题, 其所采取的措施也主要是技术和管理方面:
3.1 技术防范
3.1.1 操作系统
针对目前主流操作系统存在的漏洞, 采取及时查漏补漏、实时监控以及正确的安全设置等策略, 可在一定程度上防止系统受到非法访问、黑客攻击和病毒破坏。
3.1.2 防火墙技术
网络防火墙技术是架在内部网络与外部网络之间的第一道安全屏障, 是一种用来加强网络之间访问控制、防止外部网络用户非法进人内部网络、保护内部网络操作环境的特殊网络互联设备。它通过预定义的安全策略, 使用分组过滤技术、应用层网关技术和代理服务技术对内外网通信强制实施访问控制, 监视网络运行状态。它还可以通过检查服务类型、地址、数据甚至与数据流相关的用户, 来决定是否将连接传送到其他网络、或者直接丢弃。
3.1.3 备份和镜像技术
通过备份技术对需要保护的数据制作备份, 即使失去原件还能使用数据备份;而采用镜像技术可以保证其中一个设备出现故障, 另一个仍可以继续工作。用备份和镜像技术可以提高数据的完整性。
3.1.4 加密技术
对网络数据传输、在线电子商务等操作采用对称密钥加密和公开密钥加密等数据加密技术。文件口令和控制信息的加密策略也可以保证信息机密性。
3.1.5 访问控制策略
访问控制的主要任务是保证网络资源不被非法使用和访问, 它是保证网络安全最重要的核心策略之一。
3.1.6 入侵检测技术
检测计算机网络中违反安全策略行为的技术, 以保证计算机系统的安全设计与配置能够及时发现系统中的异常现象。
3.2 安全管理
安全管理是安全防范体系能够正常运行的保障, 它能使各种安全技术发挥出最大功效, 使安全策略得以实现。
3.2.1 加大计算机核心软硬件和网络安全产品的自主研发能力, 以保障在技术更新飞速发展的网络世界的信息安全。
3.2.2 强化计算机管理, 建立分层管理和多级安全层次和级别;建立入网访问控制, 将网络安全系统分为不同的级别;建立档案信息加密制度, 防止数据非法泄漏;建立网络的权限控制模块, 对用户操作权限分级;对网络服务器设定锁定控制、登录时间限制、防火墙安装等, 从而针对不同级别的安全对象, 提供全面、可选的安全算法和安全体制, 以满足网络中不同层次的各种实际需求。
3.2.3 建立严格规范的管理制度和网络使用规范。
3.2.4 重视网络信息安全人才的培养
4 结束语
随着网络技术的不断成熟, 网络环境也越来越复杂多变并且也越来越脆弱, 无论是在局域网还是在广域网中, 都存在着自然的和人为的、技术和管理等诸多因素的潜在威胁。信息安全保障能力是国家经济发展和安全的重要组成部分, 提高信息安全保障能力已经成为现代信息社会的当务之急。因此, 必须针对各种不同的威胁和系统的脆弱性, 全方位系统化地制定信息系统的安全措施, 也就是建立一套完整的网络安全体系来保障网络安全可靠地运行, 这样才能确保信息系统的安全性。
参考文献
[1]陈应明.计算机网络与应用[M], 北京:冶金工业出版社.2005
[2]戴英侠.计算机网络安全[M], 北京:清华大学出版社.2005
[3]黄元飞.信息安全与加密解密核心技术[M], 上海浦东电子出版社.2001
[4]盛思源.网络安全技术的研究和发展, 机械工业出版社.2007
网络端口的安全与防范 篇5
关键词:空管,网络信息安全,信息加密技术
近年来, 随着空管网络规模快速扩张, 空管网络结构与网络应用日趋复杂, 空管信息安全也面临全新挑战。一旦空管信息系统被黑客控制或破坏, 将可能造成系统故障、重要信息被泄密甚至空管指挥指令被利用等重大恶果。站在国家安全的高度, 空管网络信息安全越来越受到空管各级部门高度重视。本文通过分析空管网络信息系统现存的安全隐患, 探讨实现空管网络信息安全的防范措施, 思考空管网络信息安全体系构建的短期效应与长远意义。
1 空管网络信息系统现状
信息网络系统与生俱来的共享性、开放性、复杂性特性在带来生活方便的同事, 也使病毒、黑客有了可趁之机。面对日益成熟漏洞攻击技术, 建立在通用信息平台基础之上的空管信息系统并不具备任何优势, 网络非法分子随时可能利用或制造空管系统漏铜, 影响空中飞行秩序, 威胁国家的安全和稳定。
另一方面, 我国目前空管系统的供应商主要以欧美大型厂商为主, 如法国泰雷兹、美国雷神、美国洛克希勒·马丁、美国德雷费尼克等。随着高空空域管理革新启动, 空管系统尤其低空空域管理系统的需求日益扩大, 我国空管装备欧美垄断格局亟待破解。民航部门在2011年初明确表示, “十二五”将重点推进空管装备国产化。
此外, 空管系统不仅涉及航空运输安全与效率, 更关乎国防安全。而低空空域管理下的信息系统较运输航空复杂, 其面临的技术难度更大。
我国空管系统加密技术缺失也加剧了空管网络信息的安全隐患。目前, 我国空管网络系统间的互连均通过运营商的专线实现, 部分系统甚至是靠租用电信sdh电路专线, 或利用vpn技术实现专线服务。这些系统下的网络信息并没有实行相关加密技术, 也就无法阻挡、防范黑客对空管网络信息的破坏与窃取。我国的空管系统在租用的专线上采用加密传输技术, 刻不容缓。
目前, 我国空管网络信息面临的安全隐患主要表现在非授权访问、信息泄漏或丢失、破坏数据完整性、网络病毒、网络系统的漏洞及“后门”。
可见, 空管网络信息系统发展明显滞后, 日益频繁的空管系统入侵事件对空管信息系统提出了更高要求。目前, 我国空管系统同银行、证券一起, 已被列入国家七大重点行业网络保障单位。
2 空管系统网络信息安全防护
需要关注的是, 由于网络安全系统本身固有的弱点, 再微小的安全漏洞都有可能引发整个网络系统崩溃。且在信息产业快速发展的大背景下, 网络信息系统安全具有暂态性与静态性。基于此, 通过持续全面的安全服务, 才是实现当前空管系统网络信息安全的关键。笔者认为, 空管系统网络信息安全防护包括以下几个方面:可靠的系统设备设施;严实的信息加密技术;完备的安全管理制度。此外, IT部门有必要定期进行网络风险评估, 并协助用户制定安全事件应急方案。
2.1 加强空管系统设备设施建设
在空管系统每一个网络入口, 特别是接入Internet的网络设置防火墙。从而控制出入网络的信息流, 防止黑客篡改和窃取网络重要信息。
在资金允许的情况下, 建议安装入侵预防系统, 对防病毒软件与防火墙进行补充。
2.2 使用信息加密技术加密
所谓信息加密技术, 是指通过密码算术对数据进行转化, 使之成为没有正确密钥任何人都无法读懂的密文, 进而达到对储存数据和传输数据保护的目的。
空管系统中的数据传输加密技术关键是对专线传输数据加密。这样一来, 及时系统信息在传输中途被窃取, 但如果不知道加密算法或密钥, 仍不能获取到真正的数据信息。
事实上, 在开放的网络大环境中, 数据加密与防火墙相比, 更为灵活, 适用性也更强。
2.3 完善信息安全管理制度
实行科学化管理, 建立由总局空管局统筹、地区空管局分管的统一空管信息服务系统。具体讲, 根据系统各层面与各地理分布特点, 各地的网络、应用及增值业务建设与维护由所在地区空管局负责, 涉及全局性质的规划如域名、标准、规范等由总局空管局统一规划, 再进行分级管理。同时, 按照系统专业口划分相对应的专业信息资源管理, 并负责提供统一的专业接口规范标准, 以及专业间的信息服务。
同时, 重视对公共基础设施与重大系统的建设和管理, 在信息布局、采集、接入、传输、处理及管理等问题上, 按照空管系统的统一要求, 应加强相互间协调, 避免衔接漏洞的出现。
此外, 要加强使用人员安全知识普及, 如制定统一的网络安全策略, 全员普及病毒防范措施等。
浅析计算机网络的安全与防范 篇6
计算机网络安全即网络系统中的硬件和软件及其运行系统中的数据受到保护, 不因偶然的或者恶意等原因而遭受到破坏、泄露及其更改, 运行系统连续可靠的正常地运转, 网络服务持续不断的供应。网络安全大致包含网络设备安全、网络信息安全、网络软件安全。从广义来说, 凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性等相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
2 广域网架设、接入的设计
广域网 (WAN) 。通常跨接很大的物理范围, 所覆盖的范围从几十公里到几千公里, 它能连接多个城市或国家, 或横跨几个洲并能提供远距离通信, 形成国际性的远程网络。为了提高网络的可靠性, 通常一个结点交换机往往与多个结点交换机相连。达到资源共享的目的。如因特网 (Internet) 是世界范围内最大的广域网简称。
目前, 广域网的常用接入技术主要有:电话线调制解调器 (Modern) 、电缆调制解调器 (Cable Modern) 、ISDN、DDN、ADSL (非对称数字用户环网) 、无线微波接入等。
根据目前电信行业的发展状况和计算机室的需求, 我们认为可以采用以下3种接入方式:
1) 运用DDN (利用光纤、数字微波或卫星等数字传输通道和数字交叉复用设备组成的数字数据传输网) 技术通过中国公用信息网接入Internet;
2) 通过校园网接入Internet;
3) 运用ADSL技术, 通过中国公用信息网接入Internet。
3 计算机网络系统的安全防护
3.1 结构方面
网络架设结构设计直接影响到网络系统的安全性。假如在外部和内部网络进行通信时, 内部网络的机器安全就会受到威胁, 同时也影响在同一网络上的许多其他系统。透过网络传播, 还会影响到连上Internet/Intranet的其他的网络;影响所及, 还可能涉及法律、金融等安全敏感领域。
为了保证计算机网络的安全, 网络结构采取了以下措施:物理层上, 服务器与交换机的连接采用冗余连接的方法, 既可以保证链路上无断点故障, 又能均衡网络流量, 减少拥塞的发生, 使信息传输比较畅通, 有效减少数据丢失。网络层安全通过正确设计拓扑结构, 将计算机室网络划分为内、外两个网段。一方面通过合理配置路由器的访问控制列表, 设置地址转换功能, 利用路由器充当外部防火墙, 防止来自Internet的外部入侵;另一方面, 在内、外网段间添加代理服务器, 利用代理服务器充当内部防火墙, 即可以屏蔽计算机室内部网络结构, 防止来自Internet的外部入侵, 又可以通过正确使用加密模块, 防止来自内部的破坏。
3.2 综合布线方面要求
应考虑网络布线设计的可靠性。双绞线布线, 应保证其在与电力导线平行铺设间距大于0.5m, 以防止其电磁的干扰;所布线的长度应保证在比Hub到工作台实际距离略长, 但又不可留的太长, 5类线的传输有效距离是90m, 考虑到各种干扰, 实际布线的长度不应大于75m。
3.3 电源和消防报警方面
为了保证网络系统设备不间断的运转, 根据每天主机房设备所需要的电源流量, 同时为了保证8h不间断的持续工作, 推荐使用APCMatrix 5000系列的UPS为主机房冗余电源系统, 它的有效输出功率5 000VA, 输出电容量为3 750W, 基本上可以满足目前机房设施输出功率的要求。为了消除安全方面的隐患, 我们推荐使用美国CK系列产品中的烟雾自动报警系统, 它采用智能型烟雾感应探头和温度感应探头, 能够智能地感应烟雾与热量, 给出相应的模拟量值, 通过先进的算法, 将正确的报警信号传输至消防中心。
3.4 病毒防范方面
因网络常采用DOS的格式存取文件, 所以用户一不小心就容易受DOS病毒的侵害;而网络型病毒受网络使用范围的限制, 其破坏性也受到了限制, 加上网络的安全性, 使其比DOS病毒更易防范, 所以主要应防止DOS病毒的感染。用户在安全使用计算机网络系统中应注意 (1) 不要打开不明来源的邮件对于邮件附件尽可能小心, 安装一套杀毒软件, 在你打开邮件之前对附件进行预扫描。 (2) 注意文件扩展名因为Window允许用户在文件命名时使用多个扩展名, 而许多电子邮件程序只显示第一个扩展名, 有时会造成一些假象。 (3) 不要轻易运行陌生的程序对于一般人寄来的程序, 都不要运行, 就算是比较熟悉、了解的朋友们寄来的信件, 如果其信中夹带了程序附件, 但是他却没有在信中提及或是说明, 也不要轻易运行。 (4) 不要盲目转发信件收到自认为有趣的邮件时, 不要盲目转发, 因为这样会帮助病毒的传播。
3.5 强化防火墙方面
在内网接入外网中, 如:校园网络由于学生人数众多, 因此更要防止各种黑客、蠕虫等恶意病毒的攻击, 以确保内网以及外网的安全。目前来说, 最多的攻击形式仍以ARP攻击居多, 因此建议校园选择的路由器设备中, 最好能够拥有内建的防制ARP功能, 借助自动检视封包的机制, 侦测过滤可疑的封包, 做为防制ARP攻击的第一道防线。当然如果网管人员可搭配IP /MAC双向绑定, 在路由器端以及各个系所或是宿舍内的PC端进行IP/MAC绑定, 即可达到防堵ARP无漏洞的效果。另外一方面, 由于网络信息包罗万象, 有许多不正当应用或网站例如色情网站、反动网站等等, 对于校园学子风气有不良的影响, 应通过NatS hell路由器内置的网页管制, 或防火墙设定, 针对特定的网域或网站予以封锁服务。针对BT、迅雷等工具, 可通过防火墙内置的过滤功能, 对此类软件进行限制, 以达到整体网络畅通。
4 结语
互联网现在已经成为了公民不可或缺的工具, 其发展速度也快的惊人, 以此而来的攻击破坏可谓层出不穷, 为了有效的防止入侵把损失降到最低, 我们必须时刻注意安全问题, 使用尽量多而可靠的安全工具经常维护, 让我们的网络体系完善可靠, 总之, 计算机网络系统的良好架设, 在性能、稳定性、安全性等诸多方面满足广大用户需求, 为学校教学、科研、管理及日常使用等工作提供了有力的技术保障。当然, 我们在使用和运行过程中会不断地发现新问题, 不断地完善它。所以, 在今后的工作中, 我们还要全力以赴, 迎接挑战, 使我们的计算机网络系统更加安全。
参考文献
[1]蔡立军.网络系统集成技术[M].北京:清华大学出版社, 2011.
网络安全防范与测试 篇7
自网络产生以来,网络安全一直都是焦点话题。随着互联网爆炸式的发展和各种大规模网络事件的发生,网络安全一次又一次被推到了风口浪尖。最典型的事件当属2010年伊朗铀浓缩工厂遭受的攻击,由于病毒导致所有计算机和网络系统的彻底破坏,很多关键数据被修改或删除,该工厂一度被迫停止了当时的工作。美国网络司令部把网络空间作为第五领域,各国都在培养自己的网络部队,以防范网络上的威胁。我国为提高部队的网络安全防护水平也组建了专业化的“网络蓝军”。
2 网络攻击的分类
2.1 漏洞攻击
漏洞(Vulnerability)是存在于计算机网络系统中且可能对系统中的组成和数据造成损害的一切因素,是硬件、软件、协议或系统安全策略上存在的缺陷或弱点,从而使攻击者能够在未授权的情况下访问或破坏系统。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来。每年有上千种安全漏洞被发现,且这些漏洞常常为黑客和病毒编写者修改和编辑,并生成新的变种。国际权威漏洞库维护组织(CVE)按照CVE公共的命名标准,对每个已知漏洞进行编号,建立漏洞数据库并对应到CVE字典。这些漏洞数据库都定期同步更新。
已公开漏洞如果未及时被修补,就可能被攻击者攻击。目前,最危险的系统漏洞是0Day漏洞,它是已经被发现(有可能未被公开)而尚未被修补的漏洞,因其隐蔽性强,对网络系统形成严重威胁。针对该类型漏洞所发动的攻击,比其他种类的攻击更为隐蔽,甚至很难被发现,危害性极强,如2014年爆出的SSL“心脏滴血”漏洞。
目前,常采用模糊测试Fuzzing技术挖掘未知漏洞,其原理是将一组随机数据作为程序输入,并监视程序运行过程中的任何异常,从而发现未知漏洞。但在安全从业者不断通过模糊测试寻找并修补漏洞的同时,黑客也在使用包括模糊测试在内的多种漏洞挖掘技术寻找侵入途径,这是一场无休止的竞赛,谁先取得先机,谁就占据了主动。
2.2 分布式拒绝服务攻击
分布式拒绝服务攻击(DDoS)是借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动攻击,从而成倍地提高拒绝服务攻击的威力,导致目标电脑的网络资源及系统资源耗尽,使之无法向正常请求的用户提供服务。拒绝服务攻击最早发现于1998年,但目前已很普遍。传统的DDoS大多来自僵尸网络,可以分成带宽消耗型和资源消耗型两种形式,它们都是通过大量合法或伪造的请求占用网络以及设备资源,以达到瘫痪网络和系统的目的。新兴的DDoS可能来自高性能服务器、移动设备甚至志愿者,在传输层和应用层进行拒绝服务攻击,如:Apache Killer、Slowloris通过消耗HTTP服务器的相应能力达到攻击目的。
2.3 僵尸网络
僵尸网络是指采用一种或多种传播手段,使大量主机感染僵尸程序(bot程序)。僵尸网络控制者(botherder)能集中控制被感染主机,形成一个可一对多的控制网络,被感染的主机通过一个控制信道接收控制者的指令,组成一个僵尸网络,向被攻击者发动攻击,如:同时对某目标网站进行分布式拒绝服务攻击,或发送大量的垃圾邮件等。
2.4 恶意代码(也称恶意软件)
恶意代码是指能够影响计算机操作系统、应用程序和数据的完整性、可用性、可控性、保密性的计算机程序或代码,主要包括计算机病毒、蠕虫和木马程序等。根据中国国家计算机病毒应急处理中心2014年3月发布的统计报告,在已发生的网络安全事件中,感染恶意代码以76.4%高居首位,是用户面临的主要威胁。
绝大多数的网络攻击都来自于DDoS、僵尸网络和未知漏洞的攻击,但无论哪种攻击,都可以通过网络安全软件进行模拟和检测。
3 网络安全工具
网络攻击的方式很多,但是作为黑客/攻击者来说,无论采用哪种形式的攻击,都有一套完整的攻击计划。首先,要了解被攻击者的详细情况,确定被攻击者的“身份”(指系统、网络的组成情况),如系统采用了哪种类型的操作系统、是否开放某种服务等;其次,进一步了解是否能获取身份鉴别权,是否有防火墙及安全审计设备等。要实现上述目标,就必须借助相关工具。
3.1 Nmap
Nmap (Network Mapper)网络映射器是一款开放源代码的网络探测和安全审核的扫描工具,可运行在Linux、Unix、Windows等主流平台上。Nmap的功能相当强大,可通过发送特定的扫描报文来确定对端主机地址是否存在,并根据回显中的特征判断远程主机的操作系统、版本、开放的服务和报文过滤器/防火墙的类型等。Nmap通常可用于安全审核,许多系统管理员和网络管理员也用它来做一些日常工作,如:查看整个网络的信息、管理服务升级计划、监视主机和服务的运行等。
3.1.1 Nmap的隐蔽扫描方式
普通扫描方式容易在被攻击系统留下扫描日志,而Nmap采用的是TCP SYN扫描。该扫描方式通过向被攻击主机发送TCP SYN报文,并等待被攻击主机的回应,如果没有收到任何回应,说明扫描地址没有活动主机;如果收到“TCP SYN ACK”回应,说明被扫描的主机开放了该TCP端口,此时Nmap会发送一个RST,终止该TCP的建立;如果收到RST报文回应,说明被扫描主机没有开放该TCP端口。正是由于这种连TCP握手3次都没有建立的过程,主机不会将其记录日志,但可了解被攻击主机的信息。
3.1.2 Nmap的TCP ping扫描功能
常见的ping是采用向目标主机发ICMP echo并期待一个ICMP echo reply报文,而很多高安全性的主机往往会丢弃ICMP echo报文,使得ping显示的time out并不十分确定被ping的主机是真的不存在,还是被丢弃没有回应。而Nmap的TCP ping功能则是采用向被测试目标发送一个TCP ACK报文,由于被测设备没有建立TCP连接,如果目标地址存在,被测设备一定会回应一个RST报文,说明被测地址存在;反之,如果没有任何回应报文,说明被测地址不存在主机。
3.1.3 Nmap的操作系统探测功能
Nmap可通过每种不同操作系统各自独立的TCP/IP协议栈中“指纹”来探测并区分不同的操作系统,如图1所示。
从图1可以看出,Nmap扫描出远端是一台运行着Linux系统的主机,内核版本2.6.32。
3.1.4 Nmap的端口扫描功能
Nmap支持对特定主机的端口扫描探测能力。图2显示了使用Nmap扫描特定主机从1-1000开放的TCP端口探测结果。
从图2看出,扫描结果显示该主机开放了21、22、53、80、111端口及其所对应的ftp、ssh、DNS、http、rpc。
3.2 超级发包工具Xcap
开展网络安全防范和测试工作,需有一款可以定义内容的发包软件。Xcap是一款免费的发包工具,它可通过普通电脑网卡发送自定义内容的包,具有:构建各种以太网报文、内置报文生成及解析器、管理ICMP以及ARP/NDP、查看TCP/UDP端口、查看本地网络信息及本地路由表/ARP表、轻松编辑报文信息、发送文件测试流量等众多功能。Xcap通过图形化界面可迅速顺利地配置出想要的任何报文发送,操作步骤如下:
(1)刷新网卡接口,在接口上点击右键刷新,如图3所示。
(2)点击图3下方的报文组,并右键创建一个新报文。
这里我们已创建一个ping包,Ping的类型是ICMP报文。
(3)在目的MAC地址中填写好对端的MAC地址,这些地址可以通过arp命令获得,源MAC地址填写自己网卡的MAC,Vlan不用选择,Type选择lPv4,如图5所示,点击“下一步”。
(4)在IPv4的标签页里填写源IP和目的IP,这些IP可以随意修改,也可以做递增循环,如图5所示,设定完后点击“下一步”进入下一个页面。
(5)配置ICMP相关参数,需要发送的报文是ICMP request,在type里面选择类型0,如图6所示,设置完以后点击保存并退出。
(6)回到主页面,在使能这个位置上勾选,表明要发送该报文,并在上面发送接口中选择要发送的接口,发送间隔选择自己要的间隔,在这里选的是1ms,也就是说每秒发送1000个ping包,如图7所示。
(7)点击右键开始发包,通过本地wireshark抓包可以看到报文已经发出,通过时间的间隔看出确实是每秒发送了1000个包,如图8所示,发送成功。
该软件通过修改配置参数,可以发送各种伪装源地址的DDoS报文(比如TCP SYNC攻击、ping of death攻击、teardrop攻击等)、非连接的蠕虫病毒报文等。
3.3 Snort网络入侵检测/防御系统
攻击者通过扫描软件拿到远程主机的各种信息后,就会着手制定攻击计划。对于广大网络安全人员来说,如何防范是重中之重。虽然重要网络都会有值班的人员,但对于无时无刻都有威胁的网络来说,派一个网管人员时刻盯着系统日志或者各种告警是不现实的,这个时候就需要部署入侵检测系统。入侵检测系统(IDS)往往和网络中的防火墙联动,通过检查进入网络的各种报文,并分析其中的逻辑关系,匹配事先设定好的规则,如果有异常扫描和攻击出现,立刻通知防火墙启动针对网络的保护,阻断异常攻击流量或将攻击流量引入黑洞。
Snort是开放源代码的入侵检测系统,可以在嗅探器、抓包和IDS等三种模式下工作。嗅探器模式仅仅将经过网卡的包显示在终端上;抓包模式把经过网卡的包存储在本地硬盘上;入侵检测模式则是其中最重要最复杂的模块,它通过配置规则,根据包匹配的结果采取一定的动作。下面对入侵检测模式进行分析:
(1) Snort有个配置规则集文件snort.conf,该文件作为规则文件会对流经网卡所有的包进行检查和匹配,如果发现符合规则的包,就采取相应的行动。
(2) Snort有Pass、Log、Alert、Dynamic、Activate等5种动作。Pass是正常通过,不做记录;Log是按照配置的格式记录;Alert的功能很强大,但是必须恰当使用,如果规则设定的不当,会使得报警记录过多,分析有效信息的工作量加大,反而不利于安全防护;Dynamic是一种独特的模式,处于潜伏状态,直到Activate模式将其触发,它就会像Log一样记录数据包,当Activate规则触发的时候,启动Dynamic规则;Activate和Dynamic联动可以检测并防护复杂的攻击,并将数据归类。
(3) Snort有Full、Fast、Socket、Syslog、Smb和None等6种报警模式。Full是默认的报警模式,记录所有可记录的信息;Fast报警信息包括时间戳、信息、源/目的地址和端口号;Socket通过Unix的Socket方式发送报警,采用这种模式必须要有一个后台监听程序接收信息,实现实时报警;Syslog把报警发送给Syslog服务器;Smb把报警消息发送给Windows主机;None关闭报警。
通过合适的规则设定,Snort将成为网络安全防范的利器,成为除防火墙以外的第二道智能防线。
3.4 模糊测试/Fuzzing
模糊测试又称健壮性测试,它是一种特殊的动态测试方法,通过向应用提供非预期的输入并监视输出中的异常结果来发现漏洞。模糊测试利用自动化或半自动化的方法重复地向应用提供输入,这种输入可以是完全随机的或精心构造的,通常以大小相关的部分、字符串、标志字符串开始或结束的二进制块等为重点,使用边界值附近的值对目标进行测试。
模糊测试是通过模糊测试器,产生大量的有效数据,将其作为输入内容发送给应用程序,并观察在运行过程中是否发生了诸如崩溃、信息泄露、延迟等错误,从而判定该应用程序是否存在漏洞的技术。模糊测试器(fuzzer)分为两类:一类是基于变异(mutation-based)的模糊测试器,该类测试器利用已有的数据样本进行变异来创建测试用例;另一类是基于生成(generation-based)的模糊测试器,该类测试器利用被测系统使用的协议或文件格式建模,基于模型生成输入并据此创建测试用例。
目前,安全市场主要关注已知漏洞,这些漏洞已经被记录在案,而且可能已经有了补丁。但很多时候,一个漏洞从发现到补丁出来之前都有一段时间的空白期,只有遭受到攻击后,这些漏洞才会被发现和公布(已知漏洞),然后由软件商提供补丁。相对于已知漏洞,未知漏洞可能当前没有人知道,黑客也在努力寻找。当黑客找到漏洞后便试图隐瞒,以达到尽可能久地利用这些漏洞,不让其他人知道和修补,本文提到2014年最著名的SSL心脏滴血漏洞就属于被利用了很久而网络用户完全不知情的严重漏洞。
模糊测试几乎涵盖所有的软硬件产品和设备,不管是应用系统还是软件产品,不管是服务器、交换机、路由器还是防火墙都是其测试对象,如果防火墙都被异常输入“模糊”了,那就说明它们需要增强自身的“健壮性”。
4 结束语
对于任何恶意攻击,只要了解其攻击方式和手段,都可以采取相应的解决办法。本文通过对网络攻击类型及其特征的分析,并逐一阐述Nmap、Xcap、Snort和Fuzzing等网络安全工具及其检测方法,提出了可采用的、有针对性的防护技术,这对于提高网络安全性能是非常重要的。
参考文献
[1]鲍旭华,洪海,曹志华.破坏之王——DDoS攻击与防范深度剖析.机械工业出版社,2014.4
[2]李明.僵尸网络(Botnet)的演变与防御.计算机安全2010(02):81-83
【网络端口的安全与防范】推荐阅读:
系统网络端口安全防护06-01
端口安全09-27
窍门 提高交换机端口的安全性06-02
网络安全与防范06-30
网络安全技术与防范08-19
网络安全与防范措施11-03
端口入侵的知识总结10-05
交换机的端口工作模式10-15
端口配置09-23
控制端口11-02