计算机网络攻击(共11篇)
计算机网络攻击 篇1
摘要:本文在对计算机网络战作用和对象分析的基础上, 探讨了信息战背景下计算机网络攻击系统的组成和作用, 提出了一个体系结构的完整解决方案和若干需要重点突破的关键技术和方向。
关键词:网络安全,网络攻击,体系架构
0 前言
随着计算机技术的迅猛发展, 社会活动和人类生活在各种计算机设备、计算机网络的支撑下步入了信息化时代, 现代战争的形式也发展到信息战阶段。随着各国军队大量信息化武器装备的研制、使用, 作为信息产生、传输、控制、处理主体的计算机网络也已经成为了军事信息系统 (如信息化武器平台、C4I系统等) 的神经中枢, 计算机网络的性能、状态直接关系到军队的战斗力, 影响到整个战争机器。作为信息对抗的一个重要组成部分, 计算机网络对抗已经成为了继陆、海、空、天、电之外的第六维敌我交战的主战场, 建立一个可靠、高效的计算机网络攻击系统, 选择性地打击敌庞大信息系统中的薄弱点, 使网络攻击成为对敌斗争中的一个不对称攻击的杀手锏, 已经显得日益迫切和重要。
近年来计算机网络攻防技术的进步可以说是日新月异, 越来越呈现出系统化、智能化的发展趋势, 所以要构建一个高效完整的计算机网络攻击系统, 就必须要建立一个综合的网络对抗模型, 在集成计算机软件、硬件的基础上, 全方位地覆盖了计算机技术、微电子技术、网络安全技术、电磁干扰技术、通信技术、信息处理技术、数据库技术等多学科技术, 从体系对抗的角度展开网络对抗研究。本文提出了一种计算机网络攻击架构的解决方案, 建立一个由网络侦察技术、网络攻击技术、网络对抗数据库三部分组成的网络战攻击系统, 其中网络侦察负责搜寻攻击目标、漏洞, 是网络战成功的前提条件;网络攻击技术是实施对抗行为的主体, 是网络战的作战手段;网络攻击数据库则为网络战提供资料、情报, 是网络战的技术支撑。系统体系构想的框图如图1。
1 计算机网络侦察技术
计算机网络侦察的目的就是收集和判断敌方网络系统的结构、软硬件配置、网络服务及应用的状况, 发现目标网络系统的薄弱节点, 掌握目标系统类型、服务种类、系统漏洞、安全隐患、用户口令及其它特征参数。网络侦察可以通过主动探测、被动窃听、密码技术、病毒投放、电磁泄露监视等技术手段来进行, 也可以采取一些非技术手段, 如拍照、拷贝、情报等获取目标系统的有关信息。
网络探测是网络侦察的一种主要技术侦察方式, 如通过对攻击目标端口扫描、服务扫描, 并对由此交互产生的信息序列进行协议分析, 从而达到检测到目标主机和网络的安全漏洞和隐患目的, 获得进一步的目标系统知识和通往目标的途径, 也可以利用TCP/IP协议的FIN探测分组、初始序号 (ISN) 采样、TCP初始窗口大小等协议栈特性来鉴别目标平台的操作系统等等, 都可以作为实现网络侦察战术功能的技术方法。
与主动探测方式不同, 由于目前绝大多数的计算机网络使用共享的通信信道, 如以太网、FDDI、令牌网, 这样的体制就决定了可以研制网络窃听工具在网关、路由、防火墙等关键节点或重要网段, 监听经过自己网络接口的所有信息包, 对监听接收到的口令、敏感数据、低级协议信息等再进行网络协议分析、密码破译。由于它不是主动行为, 不与其他主机信息交换, 因此是相对安全的一种探测侦察手段。
另外, 现在计算机网络中为保证信息安全所广泛采用的信息保密技术、身份认证技术、数字签名技术等都是在密码技术的基础上发展而来, 要达到网络侦察的目标, 就有必要加强密码分析和攻击技术, 通过密码分析和破译对加密信息安全系统进行突破, 找到加密系统的漏洞, 进而进行内容获取、情报欺骗、认证突破。
2 计算机网络攻击技术
计算机网络攻击的目的就是在网络侦察的基础上, 利用敌方计算机网络系统的安全漏洞, 综合使用各种网络攻击武器, 获取或影响敌方网络信息, 降低其网络使用效能。就计算机网络技术发展状况来看, 目前可以选择从网络防护系统突防、网络数据库攻击、计算机病毒、木马等若干个主要技术方向进行突破。
计算机网络攻击的前提就是能有效突破对方的网络防护系统, 而广泛用于构筑网络安全屏障的产品就是防火墙和入侵检测系统。对于防火墙的突破, 首先要着重研究防火墙的发现技术, 研制类似nmap、hping的能针对防火墙的扫描工具, 通过如路由追踪的IP数据包分析法来收集目标防火墙的ACL (访问控制列表) 规则信息, 探知目标的访问策略, 再视具体情况实施FTP-Bounce、ICMP/UDP隧道等技术进行突破。另外, 针对防火墙无法对以隧道方式传输的加密数据包进行分析, 研制伪装的含有恶意代码的隧道数据包绕过防火墙对目标系统进行攻击, 或者研究针对防火墙弱点的后门攻击、病毒攻击、拒绝服务攻击在技术上也是可行的。而网络入侵检测系统 (NIDS) 在目前的技术水平上来看, 它还存在着体制上的弱点:
(1) 其检测所使用的特征代码只能针对已知的攻击, 误报、漏报率高, 且不适应用户正常行为的改变;
(2) 其分布式特点会导致产生大量日志文件和数据记录, 使NIDS的运行开销增大;
(3) 此外NIDS与防火墙互动使用往往增加防火墙的规则使安全配置漏洞的概率增加, 造成防火墙的性能下降;
(4) NIDS本身的安全性还需要依赖它所运行的平台等等, 种种这些先天不足都为我们研究对NIDS的突破提供了工作方向。
计算机网络攻击的主要目标之一就是敌方的网络数据库。网络对抗的核心就是信息的争夺, 而信息的存储、分析、融合都离不开网络数据库, 直接对网络数据库的攻击以摧毁、窃取、篡改信息无疑可以起到事半功倍的效果。所以, 可以对网络数据库的访问控制、加密、审计等安全措施加以攻击, 从而破坏数据库信息的完整性、保密性和可用性。
结合计算机病毒的传染性、潜伏性、破坏性特点, 并利用进程隐藏、反杀毒外壳、HOOK机制等黑客技术研制的网络病毒, 无疑是计算机网络攻击系统的利器。一旦在计算机病毒的注入技术、跨平台传染技术、病毒智能化变异技术等能够有所突破, 就不仅可以提高产生的病毒成功突入敌方网络系统的成功率, 还能动态躲避基于特征检测、启发式搜索检测技术的病毒清除软件, 延长病毒的生存周期, 大大提高作战效益。
网络攻击技术发展到现在已经诞生了大量的攻击工具和原理, 如拒绝服务、欺骗攻击、缓冲区溢出、逻辑炸弹等等, 虽然在实战中有一定的效用, 但对应的防范技术也已经日渐完善和成熟, 所以我们需要不断开拓新的思路, 加紧新体制、新技术网络攻击武器的研制。例如随着目前无线网络的应用日益广泛, 对无线网络的攻击就可以成为我们的研究重点之一, 既可以针对无线局域网在身份认证、访问控制机制、WEP协议上存在的安全缺陷, 进行身份欺骗等逻辑层面的攻击, 也可以使用信号干扰机对无线局域网的工作频率实施电磁干扰等物理攻击。诸如此类, 在追踪网络新技术的同时结合其在军事领域应用的现状和前景, 找准切入点, 研制新体制的对抗技术和设备应该是我们发展网络攻击系统的一个努力方向。
3 网络攻击支持数据库的建立
网络攻击系统的建立也离不开资料的积累和情报的支持, 通过建立网络攻击支持数据库, 利用多种手段收集、积累、整理、分析、归纳出敌计算机网络系统的信息、结构、内容、属性、层次、分布等特征参数, 进行类比推理、数学统计、综合分析等方法处理基础上, 形成真实、有针对的网络目标和网络攻击信息, 就可以为明确重点攻击目标, 寻找技术突破口、确定攻击途径提供理论依据和技术支撑。同时, 对网络攻击数据库的内容还需要不断挖掘, 并结合网络技术的发展不断地修正, 使之成为网络攻击武器库的一个有机组成。
3.1 网络目标情报库
目标情报收集是开展网络战的必要准备条件, 如果没有平时的网络战情报储备, 网络战就可能无的放矢, 目标情报的收集可以包括文献资料、声像资料、侦察数据等等。对于攻击目标的信息知道的越多越好, 知道的越多就可能知道更多, 任何信息都可能会带来攻击契机, 所以情报库的内容应该尽可能广泛, 既包括技术方面的, 如目标的机器型号、功能特性、网络拓扑结构、通信介质特性、软件平台、网络协议、应用服务等, 也包括非技术方面的系统管理体制、隶属关系、与其他系统的通信、地理位置等。
3.2 安全缺陷资料库
由于网络设计的目的是开放和共享, 网络组成的多样性、异构性、复杂性也决定了网络系统的安全漏洞是不可避免的, 不仅成熟的计算机产品中仍然存在着未发现的隐患, 同时新技术、新产品、新服务、新业务导致的新漏洞也层出不穷, 从网络操作系统、网络拓扑结构、网络通信协议、网络数据库、各种网络设备、应用软件及流程、网络安全产品, 到系统安全配置、用户操作、安全管理、人员技术素质等各个方面都有可能存在或大或小、或多或少的安全缺陷, 掌握这些资料就可以为我们的网络攻击提供有力的技术支持, 另一方面, 通过多角度地积累网络弱点信息, 也有助于我们归纳总结掌握新漏洞的方法, 挖掘出计算机网络新的设计漏洞、实现漏洞、配置漏洞。
所以建立一个翔实的网络安全缺陷资料库, 并动态地跟踪这些缺陷的技术状态变化 (如对策、补丁的出现) 是必要和急迫的一项任务。
3.3 攻击模式知识库
网络攻击的技术复杂性决定了攻击模式的多样性、复杂性, 针对不同安全缺陷采取的攻击途径、攻击工具、可以达到的攻击效果、可能遭遇的防守技术也大相径庭, 为更有效地实施攻击手段和措施, 提高网络战的作战效率, 就需要规划攻击模式知识库来组织、索引我们网络攻击的研究成果。
另一方面, 在研究网络攻击技术, 实施网络攻击的同时, 我们也不可能不去研究、仿制、使用、关注已有的技术成果, 很多现有的计算机攻击工具被证实是行之有效的, 很多网络攻击机制在实践中也证明是可行的, 充分利用现有资源, 对缩短我们的研制周期, 吸取先进的网络攻击思想, 提高我们的技术含量大有裨益, 所以攻击模式库也应该把这方面的技术资料包含、充实进来。
4 计算机网络攻击模型
网络战技术的复杂性决定了网络战很难具有固定的作战流程, 只能根据目标的漏洞和缺陷、目标网络的结构、作战目的灵活地调整和改变攻击途径、攻击策略, 一般来说简单攻击包括以下的基本步骤:
首先选取或者组合使用网络侦察工具对目标系统进行扫描分析, 在反复尝试和探测的基础上确定目标的主要特征参数, 如网络协议、通信参数、平台结构等, 进而分析收集漏洞, 挖掘目标弱点, 或者在网络目标情报库的支持下通过索引、查询、融合等方法获取目标的相关知识。
然后根据作战任务 (信息的获取、摧毁、欺骗) 结合目标的结构、技术特征、功能, 在攻击模式知识库的支持下, 分析、确定攻击的途径、工具、技术手段, 评估可能的攻击效果, 从而确定攻击策略, 然后通过木马、病毒等对目标进行渗透, 或者根据情况直接对目标通过拒绝服务等手段展开攻击破坏敌网络。
在确定了目标、策略的基础上, 接着就可以使用帐号破解、IP欺骗、TCP会话劫持、缓冲区溢出等技术和工具取得攻击目标的最高管理控制权限, 然后从点到面, 利用其网络内部的信任关系逐步渗透与目标有连接的其他主机或者系统。
最后, 一旦攻破了目标的防护系统就可以根据作战目的进行病毒投放、埋藏逻辑炸弹、信息获取、实施欺骗、后门设置、系统破坏等攻击, 如果不是以摧毁为目的的网络攻击, 还需要对攻击过程的痕迹进行清除, 避免留下攻击证据, 如删除、修改系统的日志、审计信息等。
网络攻击路线图如图2。
5 网络攻击效果评估
任何武器系统的开发与研制, 都离不开对武器效能的有效性验证和评价, 计算机网络攻击武器也是如此。只有具备了对网络攻击效能指标进行真实的、客观的、可量化的检验能力, 才能有效判定系统的战技指标和战术功能的满足程度以及信息对抗的有效程度。
要实现对网络攻击效能评估, 选取合理的效能度量参数并确定不同指标参数的权重是个重要前提, 尽管目前对网络攻击方面的性能指标选取还缺乏一个统一的认识, 但传输延时、网络端口吞吐量、数据包错误率/丢失率、连接成功率等指标都还是可以先期作为指标因素来进行定量数据分析的, 使用这些参数建立起网络攻击评估系统的基础, 然后再逐步扩充完善, 建立指标量化的数学模型, 就可以逼近表达出系统的真实效能。同时, 鉴于实际网络环境的复杂、多样性, 在网络对抗系统的研究过程中, 可以使用仿真和模型解析来考量网络攻击实际效能的重要手段, 通过构造和设定一个仿真的网络环境, 使用网络攻击系统进行模拟攻击, 再利用事故树分析法FTA等对被攻击目标进行定性和定量分析, 也是评估网络攻击准确性、攻击成功概率、攻击效果的一个途径。
6 结束语
计算机网络对抗是一个复杂的信息反馈系统, 用一个简单的流程或者模型来描述几乎是不可能的, 面对网络战纷繁复杂、变幻多端的作战环境, 更需要因情施变, 灵活应对在对抗过程中的出现的新情况、新问题, 在这种情况下, 人的因素越来越凸显、越来越具有主导性, 网络对抗的实践已经证明, 计算机黑客本身就是一种最有力的网络战武器。因此, 培养一支高素质的网络对抗技术队伍对我们的计算机网络战水平的提高具有积极的促进作用。
同时, 计算机网络本身的技术复杂性决定了计算机网络对抗要走一种系统对抗的道路, 以往那种没有针对性、没有协调、没有体系的计算机攻击行为已经不能适应现代信息战的要求。通过大力加强我们的信息战尤其是网络战的作战能力, 建立和培养起能适应计算机网络战的人才队伍, 把网络攻击的理论体制、技术方向的研究和攻击工具的具体研制有机结合, 科学地组织涉及到网络对抗的程序、理论、工具、知识等, 构成一个完整的攻击工具和技术体系, 使计算机网络对抗由个人行为变成组织行为, 由点对点的攻防上升到综合对抗的层次, 就将能使计算机网络对抗更系统、有效地、更全面、更有威慑力。
参考文献
[1]王应泉, 肖治庭.计算机网络对抗技术.北京:军事科学出版社.2001.
[2]董争鸣, 史进.无线局域网安全性解析.网络安全技术与应用.2007.
[3]李雄伟, 王希武, 周希元.网络对抗效能评估的指标体系研究.信息系统与网络.2007.
计算机网络攻击 篇2
服务拒绝攻击企图通过使你的服务计算机崩溃或把它压跨来阻止你提供服务,服务拒绝攻击是最容易实施的攻击行为,主要包括:
死亡之ping (ping of death)
概览:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机,
防御:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后的windows,NT(service
pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
泪滴(teardrop)
概览:泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack 4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
防御:服务器应用最新的服务包,或者在设置防火墙时对分段进行重组,而不是转发它们。
UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据,
通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
防御:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。
SYN洪水(SYN flood)
概览:一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
防御:在防火墙上过滤来自同一主机的后续连接。 未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
Land攻击
概览:在Land攻击中,一个特别打造的SYN包它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
计算机网络攻击效果评估技术研究 篇3
关键词:信息系统安全;计算机网络攻击效果;技术研究
中图分类号:TP393 文献标识码:A 文章编号:1674-7712 (2014) 16-0000-01
由于社会经济和科学技术的不断发展,人类在工作和生活中对于信息产品和网络的依赖性越来越大,因此,信息安全也越来越受到更多人的关注;如何有效的解決网络安全和对计算机网络系统的安全特性进行评估也成为了亟待解决的问题。
一、信息系统安全评估技术概述
就目前来看,在信息系统安全评估这一块还没有形成较为系统的评估方法和理论;现在用的比较多的安全评估方式大致上可以归结为以下四大类:系统安全工程能力成熟度模型(SSE-CMM)、安全测评、风险分析和安全审计。
上述提到的四种安全评估类型,虽然运用的相对比较广泛,但是其针对的都是某一个方面,比如技术、管理、人员,而且它们的主观性偏强,其过程对于使用者的专业技术水平和网络系统的了解程度要求较高,并没有形成一个统一的、系统化的安全评估框架,这也导致很多指标和评估准则难以量化。
二、本文提出的网络攻击效果评估技术
(一)基于网络信息熵的攻击效果评估技术
为了更好的评价网络攻击效果,最主要的就是要选择合适的标准来对网络的安全性能进行更具形式化的描述。
从现有的资料和经验我们可以总结出,网络安全一般都会考虑到以下原则:完整性原则、可靠性原则、保密性原则、可用性原则四种。因此为了评价网络攻击效果,我们可以以攻击目标的完整性、可靠性、保密性和可用性作为一个度量尺,攻击前后的差异就可以作为一个相对客观的评价标准。
此外,网络熵的使用是由于上述指标在国际上没有一个较为统一的度量,因此,我们可以利用信息论中“熵”的概念。
网络熵的是一种对网络安全性能的描述,它的值越小,就说明该网络系统的稳定性越好,其大致类似于经济学中的“恩格尔”系数。
对于网络的其中一项指标我们可以表示为:Hi=log2Vi,Vi指的是此指标的性能参数,显然根据熵的含义,网络系统在攻击前后的熵值是由小到大的变化的,因此我们可以采用“熵差”=-log2(V2/V1)来对攻击效果进行一个简要概述;经过研究过后,我们可以看出对安全性能影响相对较大的指标主要包括:数据保密性、数据可靠性、数据完整性、延迟时间和网络数据的流量。
(二)基于系统安全层次分析的评估框架
通过前面我们可以看出,对于计算机网络系统攻击效果的评估说穿了就是对其攻击前后安全特性的变化进行评估和分析。
通过对安全机制的分析研究基本可以确定相应的准则。在每一项安全准则下面又可以细分为多条子准则,例如完整性准则下面就包括了多样性、隔离性和可审计性等。其中,我们可以通过Delphi法则来确定出指标的选取和量化,对于系统安全能力和单项指标我们往往都是通过层次分析法求得。
在算出单项指标的具体的得分后,我们就能够很轻易的得处系统安全能力的综合评估;其次,在计算机受到网络系统的攻击时,系统安全能力综合评估中的某些指标会有不同程度的降低,进而会影响到系统安全评估的综合得分;因此,我们可以通过网络系统安全的综合得分或者由安全等级的变化来对网络系统攻击的效果进行一个客观的定量和评估。
(三)基于指标分析的网络攻击效果综合评估技术
此外,为了更好的提高有效性,还应该有意识的遵循下列原则:
整体性原则:要对单个网络主机遭受攻击时的效能进行评估,首先就要估量整个网络在遭受攻击过后的大致变化情况。
节点和路由优选原则:当确定了攻击目标后,应该选择重要性更高的节点和使用概率更大的链路段。这样才能达到对整个信息系统最大化的降低其性能的目的。
时效性原则:当选择了攻击某一个节点时,应该选择这个节点到达数据包用时最多的时候,这样才能最显著的降低该节点的性能。
此外还可以考虑下述几个基于信息网的攻击效能的评估模型。
1.每个节点路由表的更换周期
路由表是为了保证可节点是可到达的,且每个路由器都能随其他路由器的状态而设置,例如:TCP/IP协议,它既定为每隔一段时间就播发一次,若超过了这一既定时间,就表明该路由器不可到达,而且很有可能意味着是由于攻击而造成的路由中断。
2.系统服务响应时间
系统服务响应时间指的是系统从收到指令到做出实质服务一共所要花费的时间;一般情况下网络的服务响应时间都会经过统计然后算其平均值;这个值的变化规律是随其系统负载变化而成正比例变化的。
3.网络延迟抖动
网络延迟抖动指的是网络平均延迟的变化时间,这一指标是具体是用来衡量多媒体通信网络的并且它对于网络服务质量有很大的影响。
三、结束语
计算机网络攻击效果评估技术的研究是网络安全技术评估当中一项非常重要的内容,本文结合国内外网络攻击效果评估研究的现状提出的包括基于网络信息熵的评估技术、基于系统安全层次分析的安全评估框架和基于指标分析的网络攻击效果综合评估技术三种方法,其具体优势在于其评估指标便于计算,实际操作能力相对较强,但是客观上来看,它仍然不具备系统、统一的特性。
因此,以发展的角度来看待计算机网络攻击效果评估技术的研究,要想将其统一化、系统化,我们还有很多的工作要做,比如更为精确的安全指标选取和测度,安全准则的客观分析等,这些都是我们亟待克服的难题。
参考文献:
[1]张义荣,鲜明,王国玉.一种基于网络熵的计算机网络攻击效果定量评估方法[J].通信学报,2011(11):158-165.
[2]王会梅,王永杰,张义荣.粗糙集理论在网络攻击效果评估中的应用研究[J].计算机应用研究,2010(06):118-120.
[3]王会梅,江亮,鲜明.计算机网络攻击效果灰色评估模型和算法[J].通信学报,2010(S2):17-22.
[4]王新安,周漫,万歆.基于网络熵的计算机网络攻击效果定量评估方法分析[J].科技资讯,2013(05):18.
[5]王永杰,鲜明,王国玉.计算机网络攻击效能评估研究[J].计算机工程与设计,2013(11):10-12+43.
计算机网络攻击的防范技巧 篇4
要保护好我们自己的网络环境不受侵犯, 就必须掌握网络攻击的各种防范技巧, 以便我们从容的应对外来的威胁。
一、了解攻击者入侵后的特征
我们如何知道自己的计算机可能被攻击者入侵了呢?黑客入侵用户的计算机总是为了达到某种目的, 比如盗窃用户的上网密码;取得用户计算机上的重要文件;控制用户的计算机等。但无论如何, 黑客总要有某些动作, 这样就会留下蛛丝马迹。
一般来说, 被黑客入侵后, 用户的计算机会在上网时出现以下特征。
(1) 计算机有时突然死机, 然后又重新启动 (这表明黑客控制了用户的程序) 。
(2) 在没有执行什么操作时, 计算机却拼命读写硬盘;系统莫名其妙地对软驱进行搜索 (这表明黑客正在检查用户的磁盘, 以找到他要的重要信息) 。
(3) 没有运行大程序, 而系统的速度越来越慢;查看“Windows任务管理器”, 其中“性能”中CPU占有率达到90%以上。
(4) 关闭所有的上网软件, 却发现调制解调器仍然闪烁不停 (说明电脑中仍然有数据在向外传递) 。
(5) 在打开了FTP、Telnet的计算机上发现某个用户在极短的时间内多次登录。
(6) 在使用Administrator身份登录到系统时后, 却发现多出来一个用户, 或者guest用户被他人激活且属于Administrator组。
上述情况如果发生, 用户就要小心了, 很可能就是黑客入侵了计算机, 当然, 有些特征在计算机被病毒感染时也会出现, 但这时用户必须采取相应的防范措施。
二、对付入侵者的应急方法
面对黑客的袭击, 首先应当考虑到这将会对网络或是用户产生什么影响, 然后再考虑如何能阻止黑客的进一步入侵。
(1) 如果黑客已经成功闯入, 我们首先必须保护好网络中的用户数据、文件和系统资源。
首先, 把Guest帐号禁用或是给它设置个密码;
其次, 取消文件夹隐藏共享。
(2) 停止一切有影响的服务, 如FTP、Gopher、Telnet和电子邮件等, 甚至可以关闭Internet连接。
(3) 修复安全漏洞并恢复系统。
三、个人用户防护策略
1、初级配置操作系统安全。
(1) 尽量不要安装来历不明的软件
许多个人用户的Windows、OFFICE及众多应用软件基本上都是盗版的。盗版软件缺乏技术支持, 因此安全性极低。甚至有些盗版的Windows操作系统和应用软件早已被植入病毒、木马或恶意软件。使用这种盗版操作系统, 就意味着计算机系统安全方面的先天不足。
(2) 帐号管理
第一, 停止Guest帐户, 或给Guest帐户设置一个非常复杂的密码。
第二, 创建一个一般用户权限的帐户, 用来处理电子邮件及日常事务。Administrator帐户只在需要的时候登录, 尽量减少Administrator帐户登录的次数和时间, 并且更改名称。
第三, 创建陷阱帐户, 创建一个名为“Administrator”的本地帐户, 权限设置成最低, 再为其设置一个超过10位的超级复杂密码。
(3) 开启屏幕保护程序。
(4) 设置NTFS分区, 该分区比FAT、FAT32文件系统安全得多。
(5) 关闭操作系统中不必要的服务, 诸如远程登录、自动更新等。
(6) 安装安全防护软件, 如杀毒软件、防火墙等。
(7) 将重要数据备份。
(8) 定期给系统打补丁, 也可以用360或QQ医生等工具软件对系统进行漏洞修补。
2、安全密码设置
密码是系统的第一道屏障。很多人为了方便记忆, 常常用吉利数字 (8或6) 、姓名拼音及拼音缩写或简单数字和字母作为密码, 或是帐号和密码相同。而且不同的地方都使用相同的密码, 如果某个帐号被破译, 所有的东西都变得毫无秘密可言。
我们应该如何设置一个安全的密码呢?
(1) 必须是8位以上长度。
(2) 必须包括大小写、数字字母, 如果有控制符那么更好。
(3) 不要太常见。例如e8B3Z6v0或fOOL6mAN, 这样的密码都是比较安全的。
(4) 密码不应是自己的名字或是名字的一部分, 也不应是名字+数字的形式。
(5) 不要用自己的电话号码不要用自己或爱人的生日。
(6) 不要用单个英文单词也不要用单词+数字的形式。
(7) 不要使用身份证号码的一部分。
(8) 不要将密码存于计算机文件和电子邮件中。
(9) 不要选取显而易见的信息。
(10) 不要在不同系统上使用同一密码。
3、保护电脑安全, 养成良好的习惯
(1) 不去访问含有不健康信息的网站。
病毒并不一定是以一个可执行文件的形式出现的, 它完全有可能是一段网页程序脚本或是恶意代码。当计算机访问到含有这类脚本或代码的网页时, 其就会潜入进计算机并激活。
(2) 尽量去权威的大型下载站点下载软件。
很多不知名的下载站点在软件下载页都提供了眼花缭乱、以假乱真的下载链接, 而事实上这些链接都是流氓软件的链接, 并不是真正的程序下载地址。
(3) 尽量避免将U盘、内存卡、移动硬盘插入不安全的计算机中。
这些移动存储设备也是计算机之间传播病毒的桥梁, 所以避免将这些设备与可能带有病毒的计算机连接是重要的防护措施。假如不得不与外界设备相连接, 那必须关闭磁盘的自动运行功能, 这样, 即使有病毒, 它也会处于被动地位。
(4) 定期清理电脑中的垃圾。
定期清理电脑中的垃圾可以优化操作系统的运行速度, 也可以起到一定的杜绝安全隐患的作用。
(5) 检测并清除木马程序。
查看注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun是否有类似Netspy.exe、空格.exe或其他可疑的文件名, 有则尽快闪出相应的键值, 再查找到住在机内的相应的程序, 并把它删除。
(6) 屏蔽ActiveX控件
由于ActiveX控件可以被嵌入到HTML页面中, 并下载到浏览器端并加以执行, 因此会给浏览器造成一定程度上的安全威胁。所以, 用户如果要保证自己在Internet上的信息安全, 可以屏蔽掉这些可能对计算机安全构成威胁的ActiveX控件。
4、安装安全防护软件
杀毒软件选择的基本原则是:杀毒效果好、界面友好、速度快、占用系统资源少。
但是, 任何一款杀毒软件都无法保证你100%的安全。当前的杀毒软件都是以特征码技术来检测和查杀病毒的。因此, 杀毒软件需要不断地升级才能够查杀最新、最流行的病毒。
杀毒软件使用的是后期服务, 只要是正版的杀毒软件, 都能得到持续不断地升级和售后服务。当然, 一些优秀的完全免费的杀毒软件也是非常不错的选择。比如:国外的杀毒软件有:诺顿、卡巴斯基、NOD32;国内的杀毒软件有:江民、瑞星、金山、360。
但要说明的是, 杀毒软件的实现原理都是相似或相同的。同时开启多个杀毒软件的实时监控程序很可能会产生冲突, 因此, 安装有多种杀毒软件的计算机往往运行速度缓慢, 而且很不稳定。我们并不推荐一般用户安装多个杀毒软件, 即使真的要同时安装, 也不要同时开启它们的实时监控程序。
总之, 不存在绝对安全的系统, 也不存在绝对安全的网络, 成熟的安全技术总是需要硬件与软件的结合。建立高度安全的防护机制, 不仅仅是一个技术问题, 同时也是一个管理的问题。在当今计算机网络化社会中, 重视信息安全, 采用多种有效的安全技术, 不断提高安全技术水平和管理水平, 保证网络信息的安全已成为一个越来越重要的问题。
参考文献
[1]袁家政:《计算机网络安全与应用技术》, 清华出版社。
境外对华网络攻击报告 篇5
来自中国国家计算机网络应急技术处理协调中心(CNCERT/ CC)的报告显示,在中国遭受的境外网络攻击中,无论木马或僵尸网络控制服务器控制境内主机数量,还是网站后门、网络钓鱼等,来自美国地址的攻击均名列第一。
作为国家公共互联网网络安全应急体系的核心技术协调机构,CNCERT/ CC最近发布的《2012年中国互联网网络安全报告》认为,针对中国网络基础设施的探测、渗透和攻击事件时有发生,虽尚未造成大规模严重危害,但高水平、有组织的网络攻击,给中国的网络基础设施安全保障带来严峻挑战。
仅2013年上半年,CNCERT/ CC共向国际网络安全应急组织和其他相关组织投诉1760起,其中向美国相关组织投诉1110起。
CNCERT/ CC运行部主任、《2012年中国互联网网络安全报告》编委会执行委员王明华在接受《瞭望东方周刊》采访时表示,互信是进一步推进国际网络安全合作的关键环节。避免用“有色眼镜”看待网络安全问题,是促进国际合作、缓解各国网络安全威胁的前提。
千万台境内电脑“失陷”
根据《2012年中国互联网网络安全报告》,2012年中国境内有1419. 7万余台主机受到境外木马或僵尸网络控制,较2011年增长59. 6%。
其中,被来自美国IP地址的木马或僵尸网络控制的服务器和主机数量,占全部的17. 6%和74%,均名列第一。
僵尸网络是指攻击者通过各种途径传播“僵尸”程序,感染互联网上的大量主机,而被感染的主机将通过接收攻击者的指令,组成一个僵尸网络。
如果从中国境内服务器被控制的比例来看,来自日本和中国台湾的IP地址紧随美国之后,分列第二、三位,分别占9. 6%和7. 6%;从控制的中国境内主机数量来看,来自韩国和德国的IP地址分列第二、三位,分别控制78. 5万和77. 8万台主机。
在网站后门攻击方面,境外有3. 2万台主机通过植入后门,对境内3. 8万个网站实施远程控制,美国、韩国和中国香港位于前三位。
在网络钓鱼攻击方面,针对中国的钓鱼站点有96. 2%位于境外。其中位于美国的占83. 2%,仍然位居第一。
王明华告诉本刊记者,截至2013年6月30日的数据表明,从控制服务器所占比例来看,美国继续排名第一,中国香港变成了第二位,韩国位列第三;从所控制的中国境内主机数量来看,美国第一,葡萄牙和中国香港分列第二、三位。
中国香港虽然IP地址、主机、人口数量都不多,但是“现在互联网跳板非常多,香港的排列次序变化,只能说与其网络安全形势、政策、策略、防护机制等有一定关系”。他解释说,国家和地区次序的变化,与当地互联网管理的策略有多种关系。
比如韩国互联网比较发达,人均带宽位居世界第一,并且存在互联网近邻效应。它与中国的交流多、流量大,网络安全事件就可能多一些。
“美国IP地址最多、机器也多,排第一位,我们不感到意外。”他认为。
根据CNCERT/ CC数据,自2010年以来,来自美国、日本、韩国的攻击始终对中国境内的网络安全造成较大威胁,印度、土耳其等也成为重要的攻击源头。3年来,对中国境内实施网页挂马、网络钓鱼等不法行为,所利用的恶意域名半数以上在境外注册,而且境外注册比例不断提高。
CNCERT/ CC工程师、《2012年中国互联网网络安全报告》编委会委员徐原对《瞭望东方周刊》说,CNCERT/ CC只能监测到大部分发起攻击的IP地址位于美国,但并不能确认其来自政府还是民间。同时,发起攻击的IP地址可能受别人控制。而追究这些根源,都需要外国政府和相关机构、企业的配合。
“冷战思维”的国际黑客
虽然确定攻击源头存在一定难度,但“匿名者”、“反共黑客”、“阿尔及利亚BarbarosDZ”等境外黑客组织已经浮出水面。
徐原向本刊详细介绍说,CNCERT/ CC从2010年就开始重点关注“匿名者”。这是一个比较松散的黑客组织,理念是“互联网自由”,只要认可这一理念的黑客,都可以“匿名者”的名义从事黑客活动。
由于这种组织架构,据称其成员高达数百万人,遍及世界各地。他们主要在网上论坛集结,经常对各个国家政府网站发动攻击,篡改网页内容。
也有信息显示,“匿名者”目前已成为全球最大的黑客组织。它于2003年成立,由一个网络信息论坛里喜欢恶作剧的黑客和游戏玩家发展而成。
自2008年开始,“匿名者”表现出比较明显的政治倾向,对“自由之敌”开战:参与中东动荡、“占领华尔街”、“维基解密”、阿桑奇等事件。甚至当网络支付平台PayPal拒绝为“维基解密”提供转账服务时,也受到了“匿名者”的攻击。
“匿名者”明显表现出西方精英阶层某部分人惯有的歧视和偏见。目前被美国联邦调查局逮捕的“匿名者”负责人也都符合西方黑客的典型特征:年轻、白人、男性。
“匿名者”在政治事件上最著名的案例是,他们对2011年突尼斯的国内政治动荡起到一定助推作用。“匿名者”当时不仅攻破了突尼斯证券交易所和众多政府网站,而且还教授不同政见者如何摆脱政府的网络管理。
CNCERT/ CC发现,“匿名者”针对中国的攻击者主要来自自称为“Anonymous China”的ID。
它主要关注中国境内政府网站以及一些存储有大量用户信息的重要行业网站,通常利用文件上传等漏洞进行渗透,窃取大量网站用户账号和私密信息。据不完全统计,其关注的中国境内目标网站超过600个,其中包括上百个政府部门网站。
nlc202309031657
根据“匿名者”的传统,在攻击中国境内网站成功后,该组织成员会通过网络社交工具、网络聊天室等网络媒介展示其攻击成果。
2012年3月、4月、11月,“匿名者”多次宣称攻击了中国政府和大型企业网站。4月至7月,CNCERT/ CC监测发现并报告了“匿名者”对最高人民法院、国家自然科学基金委、水利部、商务部等网站的攻击事件。
另一个经常对中国境内网络进行攻击的典型组织是“反共黑客”,它具有很强的意识形态色彩和“冷战思维”。
王明华说,该组织的攻击主要针对党务系统的网站,以及部分高校与社会组织网站。攻击成功后,它篡改网页,在网页上显示一些反共口号,发布的言论经常与当前一些时事热点结合,有较强的煽动性。同时,它也会在谷歌地图上做标记,注明攻陷网站名称和具体时间,然后通过网络媒介迅速扩大影响。
截至2012年12月31日,CNCERT/ CC共监测到涉及90个部门的142个网站被该组织篡改。
王明华进一步介绍,“反共黑客”的活动很有周期性,每周都要攻击两三个网站。根据初步研判,“反共黑客”能持续发布攻击案例,说明其已经掌握了中国境内大量网站的漏洞,可能采用了预先植入后门等手段,控制了一些网站服务器以备使用。
而自2012年3月到12月31日,中国境内超过1250个政府网站页面被“阿尔及利亚Barbaros- DZ”篡改。
王明华说,至2013年三四月,他们通过搜集“阿尔及利亚Barbaros- DZ”在网络上建立的账号、帖子、博客,以及在各处的留言,分析出他其实就是具有较强宗教倾向的个人。
“是一个黑客,而不是一个组织。”徐原说,CNCERT/ CC还找到了他的照片。
背景复杂的APT攻击
2013年1月1日至6月30日,CNCERT/ CC共接收并协调处置国际应急组织和其他网络安全组织投诉拒绝服务攻击、恶意程序、网络钓鱼等事件339起,其中来自美国的组织投诉事件191起,来自欧洲的组织投诉事件62起。
同期, CNCERT/ CC共向国际网络安全应急组织和其他相关组织投诉达1760起,其中向美国相关组织投诉1110起。
在此期间,CNCERT/ CC还组织开展了3次木马和僵尸网络专项打击行动,成功处置了899个控制规模较大的木马和僵尸网络控制端与恶意程序传播源,切断了黑客对近152万台感染主机的远程操控。
对于网络攻击的“工具”- - -病毒,中国受到攻击较多的是能够实施APT攻击的“火焰”病毒、“高斯”病毒、“红色十月”病毒等。
APT即高级持续性威胁,是黑客以窃取核心资料为目的发动的网络攻击和侵袭行为,通常是一种蓄谋已久的网络攻击。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。
上述几种APT病毒非常复杂,幕后操作者目的性极强,需要进行前期数据收集,有很长的潜伏期。“有些病毒一直潜伏着,在不断增加它的感染量,版本也在持续更新。”徐原说。
据CNCERT/ CC监测,2012年中国境内至少有4. 1万余台主机感染具有APT特征的木马程序,涉及多个政府机构、重要信息系统部门以及高新技术企事业单位,这类木马的控制服务器绝大多数位于境外。
至于以APT为主的病毒,“需要很大的精力和财力,一般黑客不会做这件事情,可能会有政府在幕后操作。做这类病毒的人都很专业,并且坚持不懈,防范是个很大的难题。”王明华说,国际上通常认为发起这种攻击的源头具有更高、更复杂的背景。
他建议,个人必须具有防范意识,收到未知邮件、链接、程序不要随便点击。而从企业、网管的角度,要加强安全防护,配置好合适的防火墙。
对国家层面来说,政府的网络安全管理部门要提高高危病毒的重视程度,要加大宣传力度,对国家重点企业、重要信息系统进行重点防护。
就最近爆发的“棱镜门”事件,王明华认为,国家重要的信息系统尽量不要使用国外厂商的服务器产品。譬如现在中国的骨干网络上,还有一些思科的产品。而斯诺登首先曝光的就是思科与美国政府有相关合作。
“可以远程改变路由器配置,获知一些信息。这是很容易做到的。”王明华说。
在2012年,中国境内政府网站被篡改数量为1802个,较2011年的1484个增长21. 4%。王明华认为,省部级层面对网络安全的认识比较到位,但地市级及以下网站安全防护确实不理想。
通常情况下,地方政府只是侧重于建立一个网站,对网站的维护重视程度远远不够。“黑客攻击政府网站,主要是针对应用系统本身的缺陷。网管发现漏洞,要及时修复,如果反应不够快,网站承载的信息就可能很快被黑客窃取。”他说。
另一方面,对于个人用户而言,移动互联网的安全威胁日益严重,而安卓手机平台逐渐成为安全重灾区。
王明华解释说,安卓系统代码是开放的。另外,安卓系统的用户基数较大,导致受灾较为严重。
合作消除误解
随着境外对华网络攻击日益严重,推进国际合作成为当务之急。在这方面,中韩两国的网络安全合作可以作为案例。2013年,为了共同维护双方的互联网网络安全,中韩两国还签订了新的合作协议。
2012年,来自韩国的木马或僵尸网络控制服务器控制中国境内78. 5万台主机,紧随美国之后,位列第二。在网站后门攻击方面,韩国远程控制中国大陆7931个网站,同样位于第二位。
2012年2月7日下午,CNCERT/ CC接到境内“乌云”网站的求助电话,称其网站正在遭受网络攻击,已不能提供正常的访问服务。
nlc202309031657
CNCERT/ CC立即对攻击事件进行技术验证和数据分析,发现该网站位于吉林省的网站服务器从当日早7时开始遭受严重攻击。
进一步分析发现,在1800多个攻击源IP地址中有1400多个位于韩国。为此,按照与韩国方面建立的工作机制,CNCERT/ CC于7日下午紧急联系了韩国互联网应急中心(KrCERT),请其协助处理此次攻击事件。
KrCERT迅速完成了攻击源IP定位验证、恶意程序分析、攻击源IP处理和防病毒软件病毒库升级等工作。7日晚,“乌云”恢复正常。
王明华解释说,根据分析,这起事件的源头是:韩国有一个网站wuyun. com,该国黑客可能本来要攻击这个网站,在输入域名时出现错误,把com输入成了org,转而错误地对“乌云”网站展开攻击。
最近一次涉及两国互联网安全的事件发生在2013年3月20日,韩国主要广播电台KBS、MBC、YTN,以及韩国新韩银行、农协银行等部分金融机构遭受大规模网络攻击。
黑客通过向这些机构所使用的杀毒软件管理服务器植入恶意程序,使3. 2万台电脑出现故障,导致自动取款机无法取款、电视节目无法制作,相关网络与信息系统完全陷入瘫痪。为此,KrCERT上级领导部门、韩国广播电台主管部门、韩国军方联合成立了“民官军联合应对小组”。
徐原对本刊记者说,事件发生后,韩国媒体称发起攻击的IP来自中国,而且在文中特别说,“由于朝鲜多次通过中国的互联网对韩国机构进行网络攻击,故此次事件有可能是朝鲜所为。”
CNCERT/ CC看到这条新闻后,主动联系韩国的KrCERT,获知攻击韩国的IP地址。
CNCERT/ CC随后从境内运营商了解到,此IP自2012年8月就已经停止使用。CNCERT/ CC在22日中午向KrCERT反馈了这个情况,并要求韩国进一步提供分析报告及相关证据线索。
随着韩国“民官军联合应对小组”进一步调查,发现是韩国农协银行的网管没有使用预留的标准私有IP,导致其IP地址落入中国的网址范围。
到25日,韩国发布消息说,据韩国警察厅调查发现,导致此次网络瘫痪的恶意代码来自美国和欧洲地区的4个国家。
与美合作清除僵尸网络
中国境内互联网遭受美国攻击最多,双方最近一次重要合作发生在2013年6月24日。当时CNCERT/ CC接到美国计算机网络应急技术处理协调中心(US- CERT)投诉,称来自中国境内的8个IP地址对美国实施了APT攻击。
CNCERT/ CC对美国提供的IP地址进行技术分析,结果显示这些IP地址没有对外发起攻击的迹象,但会定期链接22个境外IP地址。这22个境外IP中有10个IP地址位于美国,它们疑似被其他人控制。
CNCERT/ CC将技术分析结果反馈给US- CERT,请他们对这10个可疑IP地址进一步核查。截至目前,还没有收到USCERT的进一步反馈。
US- CERT隶属于美国国土安全部。除了和美国政府的下属组织合作,CNCERT/ CC与美国公司、欧美网络安全机构也有紧密协作。
2013年6月,CNCERT/ CC接到微软公司举报,请求协助联合打击名为Citadel的全球大型僵尸网络。
Citadel恶意程序会监视并记录受害者的信息,并将信息发给黑客,后者可直接登录受害者的银行账户或其他网上账户,轻松盗取资金、窃取个人身份信息。
据监测,全球至少有500万台个人电脑受到Citadel感染。它问世以来,超过90个国家和地区遭受了攻击,共损失了5亿多美元的财富。
微软公司请求CNCERT/ CC协助清理该僵尸网络在中国境内的IP地址,以及在中国注册的域名。CNCERT/ CC协调国内相关企业和域名注册机构,快速处置了微软提供的全部恶意IP地址和域名。
自2011年以来,CNCERT/ CC与微软公司还联手清除了Rustock、Nitol等多个大型僵尸网络。2010年2月底,CNCERT/ CC还参与了中美欧网络安全组织清除Waledac大型僵尸网络的行动。
而在官方合作方面,2011年,CNCERT/ CC圆满完成了与美国东西方研究所(EWI)开展的为期两年的中美网络安全对话机制反垃圾邮件专题研讨,并在英国伦敦和中国大连举办的国际会议上正式发布了其成果报告“抵御垃圾邮件 建立互信机制”中英两版,增进了中美双方在网络安全问题上的相互了解,为进一步合作打下基础。
2012年起,CNCERT/ CC正在与美国东西方研究所就“反黑客攻击”专题开展对话,中美双方专家就研究黑客定义、攻击方式、最佳实践、应对措施等问题交流了意见。
“通过网络安全事件处理机制,中国发现来自美国IP的攻击,可以向US- CERT投诉,他们会协助处理。他们把来自中国的攻击投诉给CNCERT/ CC,我们也会协助处理。”徐原说。
信任至关重要
徐原介绍,CNCERT/ CC的主要工作是对中国互联网进行整体监测。比如,哪里的流量发生异常、哪里的木马或僵尸数量变多、哪里的网页被恶意篡改,等等。“在对黑客的监测方面,他们在对某个网站发起攻击之前我们是不知道的。在我们监测到网页篡改等攻击后,我们会马上协调网站管理员,或者网站所属的运营商,及时弥补漏洞,把影响减至最小。”
上世纪80年代末,美国出现了全球最早的互联网应急机构。后来,全世界几十个国家和地区都成立了CERT或类似的组织。
1990年11月,一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”,即FIRST,其亚太地区应急响应工作组称为APCERT。
CNCERT/ CC是FIRST正式成员,也是APCERT的发起人之一。
作为中国互联网网络安全应急体系对外合作窗口,CNCERT/ CC目前也正在继续实施“国际合作伙伴计划”。
到2012年底,CNCERT/ CC已与51个国家和地区的91个组织建立联系机制,与其中的12个组织正式签订网络安全合作备忘录或达成一致,进一步完善和加强跨境网络安全事件处置的协作机制。
这样,在2012年,CNCERT/ CC全年共协调境外安全组织处理涉及境内的网络安全事件4063起,较2011年增长近3倍;协助境外机构处理跨境事件961起,较2011年增长69. 2%。
王明华说,跨国合作是CNCERT/ CC这几年最主要工作内容。其中,重点是增强双边互信,在共同构建互信的基础上,进行网络安全合作。
然而,一些国家却总愿意用非“技术”视角来看待这些问题。他说,比如美国总是指责中国,总想在政治上确立一种影响中国的方式,而不是寻找一种力求解决问题的途径,“指责、谩骂,无助于问题的解决。”
在王明华看来,国际间共同应对网络安全的问题依然面临很大挑战,其中信任问题至关重要,“建立互信就需要交流,即便发邮件、打电话,这种信任还是非常脆弱。主要途径还是双方的见面交谈。尤其是在双边和多边的组织里面进行交流合作。”
另外,还要借助日常事件的处理来加强双方关系,多进行技术上的沟通、保持畅通的联系。“关于事件处置,我们在国内、国际上有三句比较通俗的话:找得到人、说得上话、办得成事。”他说。
对于未来国际合作的方向,王明华建议,首先要有一个明确的机制,由政府牵头、在明确的框架下,落实到具体的单位,这样,在处理网络安全问题时会更加畅通。
计算机网络攻击效果评估技术研究 篇6
关键词:计算机,网络攻击,效果评估
随着我国经济的发展, 目前我国的计算机网络技术也得到了普及, 而我国的社会也进入到了信息化的进程中。在我国的各种企业以及政府机关, 事业单位中的工作人员几乎都在使用计算机作为工具, 进行高效率的工作。但是在使用计算机进行工作的过程中, 计算机网络是必须的。在使用计算机网络的过程中, 一些不法分子会使用计算机网络进行攻击, 从而让计算机的使用者的个人信息被窃取, 造成一些威胁。为了防止这类现象的发生, 我国已经相当关注计算机网络安全的问题, 对计算机网络攻击的预防以及治理工作目前已经取得了较大的进展。而文章主要讨论了对计算机网络攻击效果评估的技术的研究。
1 计算机网络攻击内容的评估以及分析
1.1 对目标计算机网络信息获取的评估方法
对于计算机而言, 网络信息是一项至关重要的因素, 计算机使用者的各种重要内容都可以通过计算机网络信息而表现出来。因此计算机的网络信息一直是计算机网络攻击的重要目标, 许多计算机的使用者在遭受到计算机网络攻击后就会出现网络信息丢失等情况。通过掌握了计算机的网络信息, 攻击者可以明确计算机等各项参数, 从而对计算机的信息掌握程度也会相应的加深, 从而在日后进行网络攻击的过程中能够更加准确的确定计算机的情况, 让计算机网络攻击的成功率得到提升。
1.2 对计算机网络进行破坏效果评估
计算机网络被破坏的概念是指计算机网络的整体环境遭到了改变, 从而让使用者无法按照原有的状态以及方法来进行计算机网络的使用。通过计算机网络攻击来让计算机的网络环境遭到改变, 而计算机网络攻击破坏计算机网络环境的效果就是让计算机遭受到攻击前后的计算机网络特点发生了变化, 进一步改变了计算机网络环境。
1.3 对目标计算机进行控制的效果评估
计算机网络攻击的一个目标是对目标计算机进行控制。在进行计算机网络攻击的过程中, 进行攻击的一方会通过自身的各项攻击技术来对目标计算机进行攻击, 并且在攻击的过程中获取目标计算机的各种信息, 在获取到目标计算机的这些信息后, 就可以利用计算机网络的漏洞等特点来进行目标计算机网络情况的获取, 从而达到控制目标计算机的效果。而控制目标计算机也分为了几个阶段, 首先攻击者是获取目标计算机的网络控制权限, 再进一步的通过自己的计算机网络攻击手段来让自身的控制权限不断提升, 在最后就可以将目标计算机进行完全控制, 造成严重后果。
2 计算机网络攻击效果评估的相关标准
2.1 计算机网络攻击效果的相关评估标准
对于计算机网络攻击效果的评估时能够进行计算机网络整体攻击效果评估的前提条件。但是由于计算机网络攻击的方式十分繁多, 因此进行计算机网络攻击效果的评估过程也十分繁琐。在对计算机网络攻击效果的评估过程中, 应该首先对计算机网络攻击的目标以及进行攻击的具体目的进行科学的分析, 从而能够了解到攻击者进行计算机网络攻击的目的。并且也需要根据计算机网络的类型以及计算机的系统类型进行正确的评估。在评估的体系中, 应该建立起相应的权重分配, 从而能够科学的对计算机网络攻击的效果进行分析, 并且得出评估效果的结果, 让计算机网络攻击效果的评估客观而准确。
2.2 计算机网络攻击方式的评估标准
计算机网络由于自身的特点, 在进行计算机网络攻击的过程中是存在着一定成功率的, 使用不同的攻击方式进行计算机网络攻击, 最终的成功率也不同。根据这一特点, 可以再进行网络攻击的效果评估之前先进行计算机网络攻击方式的评估工作, 并且也需要对攻击后的效果进行预测以及分析, 从而得出在遭受到了计算机网络攻击后会造成什么样的后果。在对计算机网络攻击的成功率进行分析的过程中, 主要可以从网络的流量情况, 网络的畅通情况等来进行分析。而在计算机网络攻击进行的过程中, 由于不确定因素较多, 因此通过计算机网络攻击造成的后果往往具有较大的随机性, 因此如果是在计算机网络攻击发生之前进行的预测不能够作为计算机网络攻击造成的后果的参考标准, 只能通过数学模型进行计算机网络攻击后各种参数的预测工作, 通过数学模型的计算来给出数学期望值, 从而能够较为准确的来进行计算机网络攻击的各项预测工作。
3 结语
我国的经济发展目前的速度已经较为快速, 因此我国的计算机网络也得到了长足的发展。在这样的情况下, 我国人民已经大多数开始使用计算机来进行工作和学习。而在此过程中, 计算机网络攻击一直是让计算机网络不稳定的因素之一。而为了保护计算机网络的使用者, 就需要对计算机网络攻击的效果进行相应的评估。通过对计算机网络攻击效果的评估, 能够明确计算机网络在进行攻击后造成的后果, 从而能够在计算机使用之前就做好预测工作, 放置在遭受到攻击之后的后果的发生。
参考文献
[1]吴志毅, 茅晓红.网络攻击建模实践算法相关问题研究[J].计算机光盘软件与应用, 2013, (24) :179-180.
[2]王新安, 周漫, 万歆等.基于网络熵的计算机网络攻击效果定量评估方法分析[J].科技资讯, 2013, (5) :18.
[3]邵钊.计算机网络攻击效果评估分析[J].电脑与电信, 2013, (3) :46-47, 52.
迎战网络恶意攻击 篇7
被攻击后的计算机现象:被攻击主机上有大量等待的TCP连接, 网络中充斥着大量的无用的数据包, 源地址为假, 制造高流量无用数据, 造成网络拥塞, 使受害主机无法正常和外界通讯, 利用受害主机提供的服务或传输协议上的缺陷, 反复高速地发出特定的服务请求, 使受害主机无法及时处理所有正常请求, 严重时会造成系统死机。
如何对付恶意攻击?除了日常要正确安装和使用杀毒软件和及时升级防火墙外, 我们还可以应用更多的方法来防御。
第一个方面:从共享和端口着手
1、查看本地共享资源。运行CMD输入net share, 如果看到有异常的共享, 那么应该关闭。但是有时你关闭共享下次开机的时候又出现了, 那么你应该考虑一下, 你的机器是否已经被黑客所控制了, 或者中了病毒。
删除共享 (每次输入一个)
net share admin$/delete
net share c$/delete
net share d$/delete (如果有e, f, ……可以继续删除)
删除ipc$空连接, 在运行内输入regedit, 在注册表中找到HKEY-LO-CAL_MACHINESYSTEMCurrentControSetControlLSA项里数值名称RestrictAnonymous的数值数据由0改为1。
2、关闭自己的139端口, i pc和RPC漏洞存在于此。关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议 (TCP/IP) ”属性, 进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”, 打勾就关闭了139端口。
防止rpc漏洞, 打开管理工具———服务———找到RPC (Remote Procedure Call (RPC) Locator) 服务———将故障恢复中的第一次失败、第二次失败、后续失败, 都设置为不操作。
3、445端口的关闭。修改注册表, 添加一个键值HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetBTParameters在右面的窗口建立一个SMBDeviceEnabled为REG_DWORD类型键值为0, 这样就可以了。
4、4899的防范。网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口, 由于这些控制软件功能强大, 所以经常被黑客用来控制自己的肉鸡, 而且这类软件一般不会被杀毒软件查杀, 比后门还要安全。4899不像3389那样, 是系统自带的服务。需要自己安装, 而且需要将服务端上传到入侵的电脑并运行服务, 才能达到控制的目的。所以, 只要你的电脑做了基本的安全配置, 黑客是很难通过4899来控制的。
第二个方面:从系统服务入手。禁用网络攻击可能利用的服务。打开控制面板, 进入管理工具———服务, 关闭以下服务:Alerter[通知选定的用户和计算机管理警报];ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享];Distributed File System[将分散的文件共享合并成一个逻辑名称, 共享出去, 关闭后远程计算机无法访问共享];Distributed Link Tracking Server[适用局域网分布式链接];Human Interface Device Access[启用对人体学接口设备 (HID) 的通用输入访问];IMAPI CD-Burning COM Service[管理CD录制];Indexing Service[提供本地或远程计算机上文件的索引内容和属性, 泄露信息];Kerberos Key Distribution Center[授权协议登录网络];License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止];Messenger[警报];NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集];Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换];Network DDE DSDM[管理动态数据交换 (DDE) 网络共享];Print Spooler[打印机服务, 没有打印机就禁止吧];Remote Desktop Help Session Manager[管理并控制远程协助];Remote Registry[使远程计算机用户修改本地注册表];Routing and Remote Access[在局域网和广域往提供路由服务, 黑客理由路由服务刺探注册信息];Server[支持此计算机通过网络的文件、打印和命名管道共享];Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符];TCP/IPNetBIOS Helper[提供TCP/IP服务上的NetBIOS和网络上客户端的NetBIOS名称解析的支持而使用户能够共享文件、打印和登录到网络];Telnet[允许远程用户登录到此计算机并运行程序];Terminal Services[允许用户以交互方式连接到远程计算机];Window s Image Acquisition (WIA) [照相服务, 应用与数码摄像机]。
如果发现机器开启了一些很奇怪的服务, 如r_server这样的服务, 必须马上停止该服务, 因为这完全有可能是黑客使用控制程序的服务端。
第三个方面:从本地安全策略入手
本地策略:这个很重要, 可以帮助我们发现那些居心叵测人的一举一动, 还可以帮助我们将来追查黑客。虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹, 不过也有例外的。
打开管理工具, 然后再到管理工具找到事件查看器:三个方面应用程序、安全性、系统的日志可同样设置:右键→属性→设置日志大小上限, 一般设置了50MB, 选择不覆盖事件。
本地安全策略:打开管理工具, 找到本地安全设置→本地策略→安全选项:
1、交互式登陆:不需要按Ctrl+Alt+Del启用[根据个人需要]
2、网络访问:不允许SAM账户的匿名枚举启用
3、网络访问:可匿名的共享将后面的值删除
4、网络访问:可匿名的命名管道将后面的值删除
5、网络访问:可远程访问的注册表路径将后面的值删除
6、网络访问:可远程访问的注册表的子路径将后面的值删除
7、网络访问:限制匿名访问命名管道和共享
还可以自己动手设置本地策略中的安全选项:当登陆时间用完时自动注销用户 (本地) 防止黑客密码渗透;登陆屏幕上不显示上次登录名 (远程) , 如果开放3389服务, 别人登陆时, 就不会残留有你登陆的用户名, 让他去猜你的用户名去吧;对匿名连接的额外限制;禁止按Alt+Crtl+Del;允许在未登陆前关机[防止远程关机/启动、强制关机/启动];只有本地登录用户才能访问cd-rom;只有本地登录用户才能访问软驱;取消关机原因的提示;禁止关机事件跟踪。开始“Start→”运行“Run→”输入“gpedit.msc”, 在出现的窗口的左边部分, 选择“计算机配置” (Computer Configuration) →“管理模板” (Administrative Templates) →“系统” (System) , 在右边窗口双击“Shutdown Event Tracker”, 在出现的对话框中选择“禁止” (Disabled) 点击, 然后“确定” (OK) 保存后退出。
没有绝对安全的网络系统, 安全问题是多种多样, 且随着时间技术的变化而变化, 所以安全防护也是非常重要的, 保持清醒正确的认识, 同时掌握最新的安全问题情况, 再加上完善有效的安全策略, 是可以阻止大部分安全事件的发生, 保持最小程度的损失。
参考文献
[1]仇多利.ARP攻击及防御策略[J].电脑知识与技术 (学术交流) , 2007.17.
网络攻击技术研究 篇8
黑客对世界信息安全的威胁已经是显而易见的了,最为人知的便是中国Google 2009年12月时遭黑客入侵,导致后来Google移出中国的事件,近日更有新闻指出Google的密码系统也遭黑客窃走,虽然似乎没有影响到Gmail等服务的运作,也宣称没有任何账号遭入侵,但对于Google的商誉已经有些影响,强如Google都会被黑客入侵,国内各企业和国安单位必须更为注意这方面消息,才能够防御来自未知的网络攻击。
1 网络攻击趋势
网络攻击有许多面向,我们以较具有公信力的OWASP、X-Force和McAfee所公布的报告分别分析Web攻击与其它方面的各式攻击手法与趋势。
1.1 Web攻击
OWASP组织是一研究Web应用程序安全的组织,目标是增进Web的安全性,因此每三年OWASP组织都会发布OWASP Top10,列入前十名的威胁不代表是最常见的,而是衡量其发生的可能性与对于系统的影响程度而做出的报告书。
1.1.1 Injection攻击
今年的第一名为相当著名的Injection攻击,像是SQL Injection、LDAP Injection、OS Commands等等诸如此类型的攻击都被于此类,最常见的当然还是被大量使用的SQL Injection攻击。一般来说,此类型攻击都发生于程序未检验使用者的输入,攻击者利用程序的缺失执行指令,如此的手法可能造成后端数据库的数据损失和泄漏,甚至可能夺取数据库的控制权,利用一些原始码扫描仪或是Fuzzer应该可以找出程序内的漏洞,但是单纯利用测试技巧则很难发现这些威胁,而Injection攻击流行的主因便是容易发起,在短暂时间内便可已达到大量的网站攻击事件。
安全人员可将使用者输入经过处理而减少这类型漏洞,像是将使用者输入中类似SQL指令与SQL Query指令会用到的一些符号滤掉,这样便可减少被入侵的可能性。例如,我们常常利用admin’这类型的字符串来跳过账号登入时的检查,安全人员应该在使用者输入的窗体中将“’”与这个符号之后的内容都过滤掉,以免被攻击者恶意入侵。
1.1.2 Cross-Site Scripting攻击
通常简称为XSS,XSS攻击已经流行相当一阵子了,大抵上就是在一个可信任的网站上插入一段恶意的程序代码,有阵子黑客非常喜欢利用XSS攻击偷取使用者的cookie,利用cookie做账号窃取,进而以被害者的帐号登入,尤其针对银行网站的账号攻击。和Injection攻击类似,这两种攻击都是没有对使用者的输入作验证和检查所导致的问题,实际上已经有一些解决方法,但是有许多网站仍然有此问题,Web 2.0常使用的AJAX,也会造成XSS侦测的困难。最简单的漏洞像是使用者输入的资料会成为网页的一部分,这就必须要小心谨慎处理。
1.1.3 Broken Authentication and Session Management
Web网站常常有自己的身份验证方式,这部份的身份认证模块和Session管理如果有问题,则可能导致攻击者冒用其它使用者的身份,这部份的错误和缺失很难发觉,像是将Session ID显露在URL上,看似没什么特别,却可能造成此类漏洞,一旦这样的漏洞被发现,对于网站的安全性、信誉都是相当严重的。
1.1.4 Insecure Direct Object References
此种威胁也属于未验证使用者输入的一种攻击,利用网站未验证使用者输入的漏洞,更改网页参数的值,存取原本不允许使用者存取的档案或对象,像是/etc/passwd文件等等秘密数据。
1.1.5 Cross-Site Request Forgery攻击
通常简称为CSRF攻击,可以算是XSS的一种,也常常搭配XSS的手法发起攻击,目前是非常常见的一种攻击。在网页中插入一段恶意的CSRF攻击,然后利用登入的使用者执行这段攻击,对网站发出伪造的请求,而造成伤害。
1.1.6 Security Misconfiguration
此类威胁来自于管理的问题,不算是应用程序的漏洞,大都是网站设定上的问题:没有定期更新系统、default账号没有移除、Access Control没有做好等等,网管人员必须对这样的漏洞特别小心,针对使用的系统和其必须的设定要有相当程度的了解,也要随时注意是否发布了安全性更新。
1.1.7 Insecure Cryptographic Storage
应用程序没有对机密数据做加密,或是用很容易破解的加密算法,其实有许多加密算法较为安全,例如:RSA、AES、SHA-256等等,当然一般攻击者比较不喜欢直接针对加密算法做攻击,因为需要花掉大量时间,通常都是直接攻击数据库,以取得想要的数据,如此一来只要将后端数据做加密处理,攻击者就很难取得有用的数据。但目前仍然有许多网站以明码做存取,个人资料外泄的问题日益严重的情况下,资料势必以加密形式储存。
1.1.8 Failure to Restrict URL Access
一般来说网站后台管理系统不应该让一般使用者存取,不过有许多网站仍然让管理系统暴露在外,或只是保护连向管理系统的按钮或连结,这可能为潜在的威胁,黑客可能猜到或是使用Google搜寻直接伪造管理后台的request,因此针对管理系统网页做存取的限制是必须的手段。
1.1.9 Insufficient Transport Layer Protection
网络应用程序常常不会对网络流量做保护,像是常用的Windows Live Messenger就没有对传送出去的信息做加密,因此很多信息很可能在传送的过程中被窃听,尤其是在输入一些机密数据,如信用卡号码、电话号码之类的,这些东西就需要用SSL/TLS做认证,只要监听自己的网络流量就可以知道是否有这样的弱点。
1.1.10 Unvalidated Redirects and Forwards
有些网站会提供网页导向的功能,或是利用参数来指定跳转之后的页面,而攻击者可以利用更改参数的方式让网页跳转到恶意网站,藉此让使用者安装其它恶意软件,或是跳到钓鱼网站,让使用者输入账号密码,这样的技巧很容易突破使用者心理的防御,而造成许多伤害。
1.2 其它攻击
许多报告和研究的统计数字告诉我们,除了Web攻击外,还有许多活跃于地下的网络攻击活动,这些攻击混和了各种面向,参杂了许多攻击技巧来达成完整攻击,在后面的章节我们将会讨论这些攻击。
1.2.1 PDF漏洞攻击
PDF全名为Portable Document Format,是由Adobe公司(
1.2.2 USB病毒/蠕虫
在网军对抗中,各国为了对付军网实体隔离政策而发展出USB病毒/蠕虫,USB蠕虫的原理来自于过去Windows设计的Autorun机制,Autorun机制是为了让设计多媒体CD/DVD的公司可以在使用者将光盘放入光驱中即可自动执行,免去使用者学习如何使用光盘的麻烦,但是这个机制也沿用到了可擦写的USB随身碟,因此攻击者便利用这个技巧,也在USB随身碟中放入一个autorun.inf,在里面加入执行档的路径,当USB插入计算机的时候,就会自动执行该执行档了,其中最有名的病毒便是Kavo,据信Conficker的变种病毒也利用了类似技巧来增加散播的管道。由于此攻击手法不容易被一般使用者察觉,而且使用USB来交换数据的情形相当多,所以利用USB来传染的效果非常好,最后Microsoft公司在2009年8月提供了KB971029的修补方案,将USB的Autorun机制关掉,以减缓此攻击的散布,但是有许多计算机还没有安装这个修补方案,而且使用Windows XP的计算机还是占多数,因此目前USB病毒仍然活跃于各种入侵活动中。
1.2.3 僵尸网络攻击
僵尸网络(Botnet)最近几年活动相当频繁,甚至取代了蠕虫(Worm)的威胁性,近年来,过去为非作歹的蠕虫渐渐消失,例如:Code Red、Slapper与Blast,而僵尸网路不像过去蠕虫总是利用缓冲区溢位攻击(Buffer Overflow Attack)来做快速传染,攻击者更谨慎的拓展僵尸网络的大小,并小心不让整个僵尸网络被发现,因为僵尸网络对攻击者来说具有相当大的经济价值,攻击者利用僵尸网络来进行网络犯罪,例如:发垃圾、广告邮件(Spam Mail)或钓鱼信件(Phishing Mail)、发起分布式阻断服务攻击(Distributed Denial of Service Attack)与假造点击广告(Click-Fraud)。
僵尸网络的散布管道实在太多样化,像是透过Web弱点造成的Drive-bydownload、Heap Spray,甚至有透过PDF漏洞、Flash漏洞、USB蠕虫和传统缓冲区溢位,或是Peer-to-Peer软件分享的假造档案,一般来说,针对僵尸网络的研究大都专注于Command&Control Channel的讨论上,过去大部分都是以IRC当作沟通管道,但是后来慢慢发展成各种不同的僵尸网络形式,以结构式、MSN、Peer-to-Peer方式、Skype来当作C&C Channel的僵尸网络越来越多,而隐蔽性也越来越高,因此要将僵尸网络一网打尽的可能性变得越来越低,大多时候仍利用Honeypot诱饵来想办法加入僵尸网络中,并想办法从中破坏或找到攻击者本人,但想要达到这样的功效并不容易,需要得到国家单位或是ISP帮助,2009年时,美国举办的ACMCCS研讨会就有研究人员发表了他们利用更改Domain Name对应的IP地址夺下一个僵尸网络的方式
1.2.4 其它各式攻击
攻击使用者计算机中的软件成为一种潮流,因为有很多软件是每个人的计算机几乎都会使用的,像是过去针对Microsoft Office的恶意文件、上述提到的PDF漏洞,还有Flash漏洞和针对浏览器来攻击的Heap Spray攻击,大都是跟Memory Corruption有关的攻击,但是每个漏洞所使用的方法迥异,Heap Spray攻击所着重的在于将注入的程序码在Heap段重复放入多个,以增加攻击成功率,目前在Internet Explorer和FireFox都有听过这样的漏洞。
其它各式攻击相当多样化,像近来攻击趋势除了针对一般个人计算机或是服务器外,现在攻击者的目标已经慢慢转移到智能型手机上,智能型手机上保有的个人隐私信息比个人计算机上还要多,而且更有价值,许多人利用手机买股票、上银行、收发E-mail与简讯,因此像是FlexiSpy这类的间谍软件便趁机兴起,而且成为商业软件,活跃于各式各样的手机平台,例如:Windows Mobile、Symbian、BlackBerry和Android等作业系统。未来的攻防战场会更贴近人们生活,甚至就在你/妳的口袋里。
2 结论与讨论
在黑客对强烈的网络攻击之下,政府单位更应该加强信息管理和信息战的能力,虽然政府已有各级安全部门、网监部门,但是各单位的程度不一,又没有统一建设,而是各自为政,对于人员的管理和信息安全教育是相当重要的,若能经由训练达成一定的信息安全观念,那么许多网络攻击威胁并不能真正影响我们。在本文中我们介绍了Web应用程序的漏洞与攻击,和几个近年常见的攻击手法,这些技巧和攻击手法都是每天的确发生在网路上的,像最严重的SQL Injection、XSS攻击,或者是配合钓鱼信件的PDF恶意文件,我们必须了解这些攻击可能造成的伤害与严重性,并了解攻击形成的方式和原因,尽量避免浏览不知名的网页、开启不知名的来信,更要针对所有电子邮件或MSN夹带文件案进行病毒扫描,养成良好的使用习惯才更能阻止黑客入侵。
摘要:该文将介绍目前最常见的网络攻击型态与黑客的攻击活动。随着计算机的普及、网络的发达、与黑客技术的提升,信息安全已经成一越来越不可轻忽的问题。随着攻击技术的提升,黑客对于网站的攻击亦更加频繁,信息安全成为不容忽视的问题。
关键词:黑客,信息安全,网络攻击
参考文献
[1]Kim H,Kang I,Ballk S.Realtime visualization of network attacks on high—speed links[J].IEEE Network,2004,18(5):30-39.
[2]鲍姆.计算机网络[M].4版.潘爱民,译.北京:清华大学出版社,2004.
[3]谢冬青,冷健,熊伟.计算机网络安全技术教程[M].北京:机械工业出版社,2007.
计算机网络攻击 篇9
由于计算机网络技术本身存在着诸多的安全弱点和软件漏洞等缺陷,加上一些人为制造的因素,使得网络信息的安全性受到很大威胁。
首先,TCP/IP的协议集就存在先天性的安全缺陷。比如:大部分的低层协议在局域网中都是使用广播方式进行数据传输,于是在局域网上的任何一台机器都有可能窃听到广播方式发送的数据包;从而很轻易的从系统的“后门”进行攻击和入侵。
其次,由于信息安全还处在发展的初级阶段,当计算机网络系统安全受到威胁或入侵时,系统管理人员缺少应有的安全管理和正确的安全对策。这也形成了计算机网络的诸多安全隐患。
2 计算机网络安全面临的威胁
通常对计算机网络安全构成威胁的主要因素有以下三个方面:(1)自然因素。主要指由于地震、雷击、洪水等其他不可抗拒的自然灾害造成的损害,以及因计算机硬件和网络设备的自然磨损或老化造成的损失。主要破坏了信息的完整性及可用性。(2)操作失误。由于管理人员或操作员的操作失误,导致文件被删除,磁盘被格式化,或因为网络管理员对网络的设置不够严谨造成的安全漏洞,用户的安全意识不够等,都会给计算机网络的安全带来威胁。(3)外部攻击。一般可分为两种,一种是对网络进行攻击:利用操作系统或应用软件的漏洞进行攻击以破坏对方信息的有效性或完整性;另一种是网络侦察:在不影响网络正常工作的情况下,进行截获、破译、窃取以获得重要的机密信息。
3 网络攻击的方式及发展趋势
(1)拒绝服务攻击。拒绝服务攻击的主要目的是使计算机及网络无法提供正常的服务。它会破坏计算机网络的各种配置,消耗计算机及网络中各种有限资源等。(2)欺骗式攻击。欺骗式攻击不是利用软件的漏洞进行攻击,而是重点诱骗终端用户进行攻击。T C P/I P协议存在着很多缺陷和漏洞,攻击者利用这些漏洞进行攻击,或者进行DNS欺骗和Web欺骗。(3)通过协同工具进行攻击。各种协同工具的使用,可能导致泄漏机密商业数据。(4)对手机等移动设备的攻击。近年来,手机、P D A及其他无线设备感染恶意软件的数量在激增,但因为其使用和传播的一些特点还没有导致大规模爆发。但随着W A P网和无线上网的发展,此类攻击也会越来越普遍。(5)电子邮件攻击。随着电子邮件在工作和生活中的普遍使用,利用电子邮件进行的攻击也越来越多。这些攻击常常针对政府部门、军事机构及其他大型组织。
4 网络信息安全的技术保障策略
存在安全隐患的网络一旦遭到黑客的恶意攻击,将可能造成巨大的损失。网络信息安全是一项系统工程,需要从法律制度、管理、技术上采取综合措施,才能取得较好的安全效果。目前,技术仍是最直接有效的的措施。主要的安全技术保障策略主要有以下几种:
(1)加密与解密技术。信息加密是网络与信息安全保密的重要基础。它是将原文用某种特定方式或规则进行重新编排,使其变为一般人无法阅读理解的密文。当前比较成熟的加密方法有:替换加密、移位加密、序列密码、一次性密码本加密等。加密可以有效地对抗信息泄露、黑客非法访问等威胁。
(2)身份鉴别。对实体声称的身份进行惟一性识别,以便验证其访问请求,或保证信息来源以验证消息的完整性,有效地对抗非法入侵访问、冒充、重演等威胁。鉴别的方式很多;利用通行字、密钥、访问控制机制等鉴别用户身份,防止冒充、非法访问等,当今最佳的身份鉴别方法是数字签名。
(3)网络访问控制策略。访问控制策略是网络安全防范和保护的主要措施,是保证网络安全最重要的核心策略之一。其主要任务是保证网络资源不被非法使用和非法访问。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理以及网络签证等技术来实现。目前进行网络访问控制的主要方法主要有:M A C地址过滤、VLAN隔离、IEEE802.1Q身份验证、基于IP地址访问控制列表和防火墙控制等。
(4)物理安全策略。保护路由器、交换机、工作站、网络服务器等硬件实体和通信链路免受非人为及人为因素的破坏和攻击。
5 主要防范措施
目前网络安全系统常用的防范措施主要有:防火墙技术、病毒防治技术、安全入侵检测与预警技术、路由器技术等。
(1)防火墙技术。网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。作为内部网络与外部公共网络之间的第一道屏障,防火墙是最先受到人们重视的网络安全产品之一。通常来说,防火墙的许多配置仍然需要网络管理员进行手工修改,如果管理员对防火墙不是特别熟悉,就有可能在配置过程中存在的安全漏洞。
(2)修补系统安全漏洞。Windows提供了很多服务,但是由于一些网络服务或协议自身存在的许多安全漏洞。Telnet就是一个非常典型的例子!在Windows2000操作系统中是这样解释Telnet服务的:“允许远程用户登录到系统并且使用命令行运行控制台程序”。也就是说Telnet可以被用于进行各种各样的入侵活动。平时应该禁止这类服务,需要时才打开它。W i n d o w s还有许多服务,可以根据自己实际情况禁用一些不必要的服务,除了可以减少安全隐患,还可以增加Windows运行速度。
(3)注意防病毒监控。网络病毒无处不在,一旦被感染,就会严重影响网络正常使用,甚至带来巨大损失。在互联网环境下,必须选择一个全方位防病毒产品,一个基于服务器操作系统平台的防病毒软件和针对各种操作系统的防病毒软件,针对网络中所有可能存在的病毒攻击点设置对应防病毒软件,通过全方位多层次防病毒系统的配置,通过定期或不定期自动升级,使网络免受病毒的侵袭。
6 结语
浅谈网络攻击的防范 篇10
一、常见网络攻击类型
1、口令窃取
登录一台计算机最容易的方法就是采用口令进入。口令窃取一直是网络安全上的一个重要问题, 口令的泄露往往意味这个系统的防护已经被瓦解。
2、病毒和木马攻击
病毒和大马攻击是最原始的网络攻击的一种,但也是最普遍、最厉害的一种。病毒的攻击可以对计算机造成毁灭性的破坏。特别是当前许多病毒与木马相互配合,不仅具有难查杀、难删除的特点,而且还可以瞬间繁殖、快速传播。
3、电子邮件攻击
电子邮件已经成为了 21 世纪不可或缺的一种通讯方式,越来越多的商务交际、公司贸易都应用到了电子邮件。黑客通过使用邮件炸弹软件或 CGI 程序向攻击对象的邮箱不断重复发送大量、无用的垃圾邮件,从而使该邮箱被撑爆而导致无法使用。或佯装管理员,给用户发送附带病毒或木马程序的邮件。
4、拒绝服务攻击
DoS 攻击,全称为 Deni al of Servi ce,又称拒绝服务攻击。简单地说,就是攻击者强行占用对方系统资源,让系统超载而无法正常工作,直至该系统崩溃。常见的 DoS攻击有以下几种方式:① 破坏计算机之间的连接,阻止其访问服务。② 阻止特殊用户的访问服务。③ 试图 HDOD服务器,阻止合法网络通讯。④ 破坏服务器的服务、导致服务器死机。
5、利用漏洞攻击
漏洞是在程序、数据、硬件、软件的具体实现或者系统的安全策略上所存在的缺陷。常见安全漏洞有:获得远程管理员权限、获得本地管理员权限、权限提升、远程拒绝服务、本地拒绝服务、服务器信息的泄露、远程未授权文件存取、普通用户访问权限等等。通常,黑客首先利用一些专业的漏洞探测工具来检测目标系统的各种漏洞,然后借助漏洞在未授权的情况下访问或进行有针对性的攻击、破坏。尤其是一些未公布的漏洞,是黑客攻击的首选。
6、TCP/IP 欺骗攻击
IP 欺骗攻击是通过路由伪造假地址,以假冒身份跟其他主机进行合法的通信、或向其发送假报文,让对方主机做出错误指令的攻击行为。具体来说,IP欺骗攻击一般是由多个过程进行分工组合的,攻击者首先利用基于 IP的信任关系,选择一台远程信任主机,并提取主机的 TCP syn,用来预测下步连接序列号,从而可以成功伪装被信任的远程计算机,然后建立起与目标主机基于地址验证的应用连接,一旦连接成功,攻击者便可以取代被信任主机的角色,达到其不可告人的目的。
7、放置后门程序
不仅如此,攻击者利用伪造的 IP地址发送数据报的同时,还可以预测 TCP 字节顺序号,从而迫使接收方相信其合法而与之连接,以达到 TCP欺骗连接。
8、缓冲区溢出攻击
缓冲区溢出攻击主要是利用软件自身的缺陷来进行的攻击,黑客们利用软件漏洞向程序的缓冲区写入超出其长度要求的内容,导致缓冲区溢出,并破坏程序的堆栈,使程序转而执行其他指令,从而达到攻击的目的;或者是在该程序的缓冲区中加入一段自己的代码,并以该代码的起始地址覆盖原函数的返回地址,这样当函数返回时,程序就转而开始执行攻击者自编的代码了。
二、应对网络攻击的防范措施
1、、设置安全密码
密码是系统的第一道屏障。可利用不同的加密技术对信息进行交换, 实现信息的隐藏, 从而保护信息的安全。数字签名是在公钥密码体制下很容易获得的一种服务, 它的机制与手写签名类似, 单个实体在数据上签名, 而其他的实体能够读取这个签名并能验证其正确性, 它可以解决否认、伪造、篡改及冒充等问题。常用的数字签名技术是 DSS 和 RSA 签名。身份认证是指计算机及网络系统确认操作者身份的过程。
2、安装防火墙
防火墙技术是建立在现代通信网络技术和信息安全技术基础之上的应用性安全技术, 它越来越多地应用于专用网络与公用网络的互联环境之中, 尤其以接入 Internet 为甚。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口, 能根据企业的安全政策控制( 允许、拒绝、监测) 出入网络的信息流, 且本身具有较强的抗攻击能力。它是提供信息安全服务, 实现网络和信息安全的基础设施。在逻辑上, 防火墙是一个分离器, 一个限制器, 也是一个分析器, 有效地监控了内部网和 Internet 之间的任何活动, 保证了内部网络的安全。
3、安装安全防护软件
杀毒软件选择的基本原则是:杀毒效果好、界面友好、速度快、占用系统资源少。但是,任何一款杀毒软件都无法保证你 100% 的安全。当前的杀毒软件都是以特征码技术来检测和查杀病毒的。因此,杀毒软件需要不断地升级才能够查杀最新、最流行的病毒。杀毒软件使用的是后期服务,只要是正版的杀毒软件,都能得到持续不断地升级和售后服务。当然,一些优秀的完全免费的杀毒软件也是非常不错的选择。
4、安全扫描技术
安全扫描技术是为系统管理员能够及时了解系统中存在的安全漏洞, 并采取相应防范措施, 从而降低系统的安全风险而发展起来的一种安全技术。能够有效地检测网络和主机中存在的薄弱点, 提醒用户打上相应的补丁, 有效地防止攻击者利用已知的漏洞实施入侵, 但是无法防御攻击者利用脚本漏洞和未知漏洞入侵。扫描技术主要体现在对安全扫描器的使用方面。
5、入侵检测技术
入侵检测系统( Intrusion Detection System,IDS) 通过对网络中的数据包或者主机的日志等信息进行提取、分析, 发现入侵和攻击行为, 并对入侵或攻击作出响应, 是一种主动防御技术。
6、蜜罐与蜜网技术
基于主动防御理论而提出的蜜罐技术日益受到网络安全领域的重视。蜜罐主要是通过精心布置的诱骗环境来吸引和容忍入侵, 进而了解攻击思路、攻击工具和攻击目的等行为信息, 特别是对各种未知攻击行为信息的学习。蜜网作为蜜罐技术的高级学习工具, 不同于蜜罐技术的低级形式――单机蜜罐, 一般是由防火墙、路由器、入侵检测系统以及一台或多台蜜罐主机组成的网络系统。这种多元化系统能够更多地揭示网络攻击特征, 极大地提高了蜜网系统检测、分析、响应和恢复受侵害系统的能力。
7、养成良好上网习惯
一是不去访问含有不健康信息的网站。病毒并不一定是以一个可执行文件的形式出现的,它完全有可能是一段网页程序脚本或是恶意代码。当计算机访问到含有这类脚本或代码的网页时其就会潜入进计算机并激活。二是尽量去权威的大型下载站点下载软件。很多不知名的下载站点在软件下载页都提供了眼花缭乱、以假乱真的下载链接,而事实上这些链接都是流氓软件的链接,并不是真正的程序下载地址。三要尽量避免将 U 盘、内存卡、移动硬盘插入不安全的计算机中。这些移动存储设备也是计算机之间传播病毒的桥梁,所以避免将这些设备与可能带有病毒的计算机连接是重要的防护措施。
三、结论
计算机网络攻击 篇11
1 网络攻击
由于系统开发者的疏忽或自留后门导致漏洞无处不在。补丁的速度远远跟不上漏洞的出现速度, 黑客们正是攻击安全漏洞和系统缺陷来达到目的。
1.1 网络攻击的概念
在网络环境中, 攻击者都是基于IP地址进行攻击, 例如扫描你的端口, Ping你的IP, 查找你的系统漏洞等等, 这些都是属于网络攻击。
(1) Internet是一个开放的、无控制机构的网络, 黑客 (Hacker) 经常会侵入网络中的计算机系统, 或窃取机密数据和盗用特权, 或破坏重要数据, 或使系统功能得不到充分发挥直至瘫痪。
(2) Internet的数据传输是基于TCP/IP通信协议进行的, 这些协议缺乏传输过程中的信息不被窃取的安全措施。
(3) Internet上的通信业务多数使用Unix操作系统来支持, Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。
(4) 在计算机上存储、传输和处理的电子信息。信息的来源和去向是否真实, 内容是否被改动, 以及是否泄露等, 在应用层支持的服务协议中是凭着君子协定来维系的。
(5) 电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。
(6) 计算机病毒通过Internet的传播给上网用户带来极大的危害, 病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。
1.2 网络攻击的步骤
1.2.1 隐藏自己的IP
网络攻击属于不正当行为, 严重者属于违法, 所以攻击者大多会利用他人电脑或是公用服务电话来隐藏自己的IP。
1.2.2 寻找目标主机并分析目标主机
使用一些扫描工具或嗅探工具, 在网络上利用IP地址或是域名来锁定目标主机, 并着手分析目标的系统版本, 开放的端口和服务有哪些, 为进一步入侵做好准备。
1.2.3 获取帐号和密码, 登录主机
攻击者想要实施攻击, 目标的登录名和口令不可或缺, 所以利用某些工具或系统漏洞登录主机是常用方法。
1.2.4 获得控制权
FTP、Telnet等工具帮助攻击者登录并获得目标主机控制权, 然后攻击者会留下后门程序, 并清除自己的入侵痕迹, 为日后的长期入侵做好掩护。
1.2.5 窃取网络资源和特权
当一切就绪, 攻击者就会开始实施他们的最终目标, 譬如窃取或删改信息, 盗取对方电子银行账号密码, 或是让对方主机瘫痪或是整个网络瘫痪。
2 网络攻击的常见方法
2.1 拒绝服务攻击
dos是denial of service的简称, 即拒绝服务, 造成Dos的攻击行为被称为Do S攻击, 其目的是使计算机或网络无法提供正常的服务。最常见的Do S攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络, 使得所有可用网络资源都被消耗殆尽, 最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机, 使得所有可用的操作系统资源都被消耗殆尽, 最终计算机无法再处理合法用户的请求。
分布式拒绝服务 (Distributed Denial of Service) 攻击指借助于客户/服务器技术, 将多个计算机联合起来作为攻击平台, 对一个或多个目标发动Dos攻击, 从而成倍地提高拒绝服务攻击的威力。通常, 攻击者使用一个偷窃帐号将DDOS主控程序安装在一个计算机上, 在一个设定的时间主控程序将与大量代理程序通讯, 代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术, 主控程序能在几秒钟内激活成百上千次代理程序的运行。
2.2 利用型攻击
利用型攻击是一类试图直接对你的机器进行控制的攻击, 下面介绍常见的三种攻击的防御手段:
(1) 口令猜测:设置难以猜测的口令比如多种符号组合。
(2) 特洛伊木马:不下载、不执行可疑程序, 安装木马防火墙。
(3) 缓冲区溢出:利用Safe Lib、tripwir这样的程序保护系统。
2.3 信息收集型攻击
信息收集型攻击是一个为进一步入侵收集信息的攻击。主要包括:扫描技术、体系结构刺探、利用信息服务。
2.3.1 扫描技术
(1) 地址扫描:运用ping这样的程序探测目标地址, 记录下对此作出响应的地址。防御手段是在防火墙上过滤掉ICMP应答消息。
(2) 端口扫描:使用软件向大范围的主机建立连接TCP端口, 显示成功连接的主机所开放的端口。防御手段是安装防火墙自动阻断扫描企图。
(3) 反响映射:向主机发送虚假消息然后根据返回“hostunreaehable”这一消息特征判断出哪些主机是存在的。NAT和非路由代理服务器能够自动抵御此类攻击, 也可以在防火墙上过滤“hostunreaehable”ICMP应答。
2.3.2 体系结构探测
使用具有己知响应类型的数据库的自动工具, 对来自目标主机的、对坏数据包传送所作出的响应进行检查。通过将不同系统回应的响应与数据库中的已知响应进行对比, 就可以确定出目标主机所运行的操作系统。防御方法是去掉或修改各种Banner, 包括操作系统和各种应用服务的, 阻断用于识别的端口扰乱对方的攻击计划。
2.3.3 利用信息服务
(1) DNS域转换:实施一次域转换操作就能得到你所有主机的名称以及内部IP地址。防御手段是在防火墙处过滤掉域转换请求进行防御。
(2) Finger服务:finger命令可以用来刺探一台finger服务器以获取关于该系统的用户的信息。防御手法是关闭finger服务并记录尝试连接该服务的对方IP地址, 然后在在防火墙上过滤此地址。
(3) LDAP服务:此协议可以窥探网络内部的系统和它们的用户信息。防御手段是对于刺探内部网络的LDAP进行阻断并记录。
2.4 假消息攻击
用于攻击目标配置不正确的消息, 有以下两种手段:
(1) DNS高速缓存污染:DNS服务器与其他名称服务器交换信息的时候并不进行身份验证, 这就使得攻击者可以将不正确的信息掺进来并把用户引向他自己的主机。防御方法是在防火墙上过滤入站的DNS更新, 外部DNS服务器不应能更改你的内部服务器对内部机器的认识。
(2) 伪造电子邮件:由于SMTP并不对邮件的发送者的身份进行鉴定, 因此攻击者可以对你的内部客户伪造电子邮件, 声称是某个客户认识并相信的人, 附带上可安装的特洛伊木马程序, 或恶意网站的连接。我们可以使用PGP等安全工具进行防御。
3 网络攻击应对策略
3.1 防范网络病毒
3.1.1 发挥Novell网自身的安全体系
网络自身具备一套完善的网络安全体系, 它可控的操作有目录登录限制、目录最大权限、信任者权限、文件属性等, 以上操作均能提高数据的安全性。采取以下措施来防止或限制网络病毒:
(1) 硬盘使用Netware分区。采用软盘启动网络服务器, 安全性大大提高。
(2) 采用无盘工作站。无盘工作站使得用户只能读不能写, 大大减少病毒植入的几率。
(3) 限制用户访问的权限。尽量不要用超级用户登录系统, 一般也不允许多用户对同一目录或文件的访问, 以防止网络病毒的交叉感染。如属必须, 则通告用户在组目录下不可上载可执行文件, 组目录只允许存放数据资源。
(4) 加强系统管理。对于共享目录里的文件设置为只读属性, 避免被删改;系统程序目录不赋予修改权限, 这样病毒就不能感染系统文件, 也不会传染至其他用户。
(5) 加强工作站的管理。工作站是网络的入口, 在工作站上安装固化了杀毒软件的硬件或芯片, 这样就可以对必经路径加强检查和过滤, 达到提前拦截病毒的效果。
3.1.2 采用Station Lock网络防毒方法
我们对于病毒的防范概念是“病毒必须执行有限数量的程序之后, 才会产生感染力”。Station Lock就是根据这一特点和病毒活动特点, 辨别可能的病毒攻击意图, 并在病毒未造成任何破坏之前一予以拦截。Station Lock是在系统启动之前就控制了工作站上的硬件和软件, 所以病毒攻击Station Lock是很困难的。在网络环境下, 目前Station Lock是防治病毒较为有效的方法。
3.1.3 加强服务器防毒, 配备可靠的防杀毒软件
服务器是整个网络的核心, 一旦服务器被感染而崩溃, 整个网络会立即瘫痪, 那么所谓的网络服务也不将存在。我们应该以服务器的防毒为重心, 为它提供实时扫描病毒的软件, 并加大服务器权限的管理力度, 杜绝病毒在网络上的蔓延。
3.1.4 清除网络病毒的步骤
网络病毒一经发现, 应立即加以清除, 避免造成整个网络的感染。我们可以用以下方法:
(1) 用broadcast命令通告全网用户, 立即关闭文件服务器并断开网络;
(2) 用确保无毒的引导盘引导进入管理员系统, 在管理员模式下清理病毒;
(3) 用确保无毒的引导盘启动文件服务器, 系统管理员登录后, 使用Disable login禁止其他用户登录;
(4) 用杀毒软件扫描全盘, 删除已感染的文件并重新安装必须的系统文件;
(5) 对在已经染毒的网络上使用过的外部存储介质进行消毒处理;
(6) 确信网络病毒已全部彻底清除后, 重新启动网络及各工作站。
3.2 备份与恢复
计算机用户迟早会发现偶尔会丢失文件。丢失文件的原因有很多:用户会意外地删除文件, 硬件出错会损坏整个磁盘, 如此等等。由文件丢失而引起的损坏可大可小, 并且修复非常耗时间。为了确保不丢失文件, 系统管理员的基本责任就是把系统中的所有文件复制到其他位置。管理员还要保证备份及时进行, 并且备份磁带需要被安全地保存。组合使用正常备份和增量备份来备份数据, 需要最少的存储空间, 并且是最快的备份方法。然而, 恢复文件是耗时的, 因为备份集可能存储在几个磁盘或磁带上, 而组合使用正常备份和差异备份来备份数据更加耗时, 尤其当数据经常更改时, 但是它更容易还原数据, 因为备份集通常只存储在少量磁盘和磁带上。与备份完全相逆的就是恢复了, 在文件缺失或是系统遭受攻击而瘫痪的情况下, 我们就可以利用前面的备份数据进行数据恢复, 来达到保持信息安全的目的。
3.3 提高个人信息安全意识
系统是以用户为中心的, 合法用户可以在系统上进行一系列合法的操作圈。如何限制用户的不合法操作, 这就需要系统管理员对用户权限加以控制, 以避免故意或无意的破坏。但是更多的安全措施必须由用户自己来完成, 譬如:
3.3.1 密码控制
用户应该有良好的口令保密意识, 一个用户对应着一个口令, 口令是用户登录或使用资源的合法通路, 用户必须对自己的口令负责, 尤其是不能随意泄露自己的口令, 避免被他人使用而造成系统破坏。
3.3.2 文件管理
用户对自己的文件必须负责。文件的创建者对于该文件具有完全控制权, 文件的其他属性或权限由用户决定, 一些敏感的文件确保没有不合法的用户可以进行访问。
3.3.3 运行安全的程序
在系统这一层面上, 暂时对病毒还没有很好的控制办法。这就要求用户在运行程序的时候必须进行安全扫描。
3.3.4 安装杀毒软件和防火墙并随时更新病毒库
防火墙是保护自己, 阻止外部攻击的必备软件, 杀毒软件是用来扫描来往文件, 辨别病毒和查杀病毒的工具, 我们应该及时更新他们的特征库, 以尽可能少的遭受未知病毒的攻击。
3.3.5 保持警惕
病毒的更新换代也是非常快的, 防护软件不可能应对所有的病毒, 使用系统或进入网络的时候, 要求我们提高防范意识, 随时保持警惕。
摘要:计算机技术发展迅速, 使得当今社会的发展已经离不开信息网络。由于计算机网络传递的信息中涉及到国民经济的各个领域, 所以少不了来自各方各面的网络攻击, 网络攻击的表现形式也是多种多样, 譬如病毒感染、窃取数据、信息的篡改删添等等。本文从常见网络攻击方法及防范对策, 剖析了当前网络信息安全存在的主要问题, 并对常见网络攻击从技术层面提出了解决方案, 希望通过网络安全建设逐步消除网络信息安全的隐患。
关键词:网络,攻击,防范,技术
参考文献
[l]许宝如.对计算机网络安全问题的思考[J].江西科技师范学院学报, 2004.
[2]网络信息安全_行业百科全书[J].网络, 2010.
[3]李海强.网络安全及网络安全评估的脆弱性分析[J].硅谷, 2008.
[4]王宇, 卢星.信息网络安全脆弱性分析[J].计算机研究与发展, 2006.
[5]网络安全-业务保障[J].中国计算机用户, 2001.
【计算机网络攻击】推荐阅读:
计算机计算06-11
计算思维计算机基础06-13
计算机云计算技术05-16
并行计算、网格计算09-15
计算机类:计算机相关简历09-01
云计算环境下的计算机网络安全07-06
计算机及网络09-05
计算机07-20
计算机网络课程06-08