篇一：淺談網絡攻防

【摘要】

計算機網絡技術和信息技術的飛速發展已影響到各個領域，不斷改變著人們的生活和工作方式，然而威脅信息安全的各種入侵也隨之而來。信息安全與國家安全息息相關，事關社會和經濟發展，有必要且必須采取措施確保我國的信息安全。

【關鍵詞】

網絡 安全 攻防

對于信息系統的非法入侵和破壞活動正以驚人的速度在全世界蔓延，帶來巨大的經濟損失和安全威脅。面對不容樂觀的網絡環境，無論是國家，網絡管理人，乃至個人，都應該掌握基本的網絡攻防技術，了解網絡攻防的基礎技術，做好自身防范，增強抵御黑客攻擊的意識和能力。

一、認識網絡攻擊

1.網絡安全的定義

網絡安全的最終目標是通過各種技術與管理手段實現網絡信息系統的機密性、完整性、可用性、可靠性、可控性和拒絕否認性，其中前三項是網絡安全的基本屬性。保證網絡安全實質就是要保證網絡上各種信息的安全，涵蓋領域非常廣泛。但網絡安全具有動態性，其概念是相對的。任何一個系統都是具有潛在的危險和安全威脅，沒有絕對的安全，安全程度也是會隨著時間的變化而改變的。在一個特定的時期內，在一定的安全策略下，系統是相對安全的。但是隨著時間變化和環境演變，如攻擊技術的進步、新漏洞的暴露等，使得系統遭遇不同的威脅，系統就變得再不安全。

2.網絡攻擊的分類

人們在網絡攻擊的分類上已經做過不少研究，由于這些分類研究的出發點和目的不同，為此，分類著眼點一級原則、標準也不盡相同，分類的結果也存在很大差異。著名安全學家Amoroso對分類研究提出了一些有益的建議，他認為攻擊分類的理想結果應該具有六個特征：互斥性、完備性、無二義性、可重復性、可接受性、實用性。雖然分類研究中還沒有一個分類結果能夠真正滿足以上六個特征，但對于分類研究和安全防御方面都有一定的借鑒意義。目前已有的網絡攻擊分類方法大致可以分為以下幾類：

（1）基于經驗術語的分類方法

（2）基于單一屬性的分類方法

（3）基于多屬性的分類方法

（4）基于應用的分類方法

（5）基于攻擊方式的分類方法

在最高層次上，按照攻擊方式進行劃分，可以將網絡攻擊分為兩類：主動攻擊和被動攻擊。主動攻擊主要有竊取、篡改、假冒和破壞等攻擊方法。對付主動攻擊的主要措施是及時發現并及時恢復所造成的破壞。被動攻擊主要是收集信息，主要有嗅探、信息收集等攻擊方法。由于被動攻擊很難被發現，因此預防很重要，防止被動攻擊的主要手段是數據加密傳輸。

二、安全隱患

網絡具有開放性和自由性的特點，因此網絡安全存在很大的風險和脆弱性。越來越多的網絡攻擊使得網絡合法用戶的個人信息和重要數據被非法占用和利用。入侵者破壞網絡安全的屬性，從而獲得用戶甚至是超級用戶的權限，進行不許可的操作。入侵者（黑客）可能是友善的，只是為了試探一下，或者了解一下網絡戰其他機器上的內容;也可能是惡意的，企圖獲取未經授權的數據，或者破壞系統。但不管出于什么目的，都反應出當今網絡的安全隱患非常嚴重，面臨的網絡風險非常嚴峻，造成的損失和破壞性更是不可估量的。網絡具有的脆弱性是指系統中存在的漏洞，各種潛在的威脅通過利用這些漏洞給系統造成損失。脆弱性的存在將導致風險，而威脅主體利用脆弱性產生風險。產生這些安全隱患的因素有很多，沒有一個系統是絕對安全、無脆弱性的，我們只能盡量保證網絡的安全。

三、攻擊技術

1.絕服務攻擊

拒絕服務攻擊即DoS攻擊是目前黑客經常采用而難以防范的攻擊手段。其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量攻擊網絡，使得所有可用網絡資源被消耗殆盡，最終導致合法用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機，使得所有可用的操作系統資源被消耗殆盡，最終計算機無法再處理合法用戶的請求。

2.沖區溢出攻擊

緩沖區溢出是指向固定長度的緩沖區寫入超出其預先分配長度的內容，造成緩沖區中數據的溢出，從而覆蓋緩沖區相鄰的內存空間。就像個杯子只能盛一定量的水，如果倒入太多的水到杯子中，多余的水就會溢出到杯外。

3.b應用安全攻擊

Web應用呈現出快速增長的趨勢，越來越多的單位開始將傳統的Client/Server應用程序轉變為三層Brower/Server結構，即客戶端瀏覽器（表示層）/Web服務器（應用層）/數據庫（Brower/Server/Database）三層結構。三層結構的劃分，在傳統兩層模式的基礎上增加了應用服務這一級，使邏輯上更加獨立，每個功能模塊的任務更加清晰。在這種結構下，用戶工作界面通過WWW瀏覽器實現。然而，易于開發的Web應用卻有許多安全問題值得關注。

4.毒、蠕蟲與木馬

計算機病毒，指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些特征，同時具有自己的一些特征，如不需要宿主文件、自身觸發等。木馬專指表面上是有用、實際目的卻是危害計算機安全并導致嚴重破壞的計算機程序。

四、防御技術

主要的防御技術有PKI網絡安全協議;防火墻;入侵檢測系統。

1.網絡安全協議

目前廣泛采用公鑰基礎設施PKI技術。PKI是一種新的安全技術，主要功能是對秘鑰和公鑰進行管理。

2.火墻技術

防火墻技術是解決網絡安全問題的主要手段之一。是一種加強網絡之間訪問控制的網絡設備，它能夠保護內部網絡信息不被外部非法授權用戶訪問。但是防火墻技術只能防外不防內，不能防范網絡內部的攻擊，也不能防范病毒，且經偽裝通過了防火墻的入侵者可在內部網上橫行無阻。

3.侵檢測系統

入侵檢測是對入侵行為進行識別和判斷的處理過程，它通過從計算機網絡或計算機系統中的若干關鍵點手機信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略和危及系統安全的行為。

參考文獻：

[1]杜曄、張大偉、范艷芳.網絡攻防技術教程.2012，8

[2]姚永雷，馬利.計算機網絡安全.2011，12

篇二：計算機網絡攻擊與防御淺析

摘要：

主要闡述計算機網絡攻擊和入侵的特點、步驟及其安全防御策略。

關鍵詞：

計算機網絡;網絡攻擊;防御策略

在科學技術發展的今天，計算機網絡正在逐步改變著人們的工作和生活方式，隨著INTERNET/INTRANET的不斷發展，全球信息化已成為人類發展的大趨勢。但是，任何事務都象一把雙刃劍，計算機網絡在給人們帶來便利的同時卻面臨著巨大的威脅，這種威脅將不斷給社會帶來巨大的損失。雖然計算機網絡安全已被信息社會的各個領域所重視，但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和計算機網絡的開放性、互連性等特征;無論是在局域網還是在廣域網中，都存在著自然和人為等諸多因素的潛在威脅以及計算機網絡自身的脆弱性,致使計算機網絡易受黑客、病毒、惡意軟件和其他不軌行為的攻擊。 因此若要保證計算機網絡安全、可靠，則必須熟知計算機網絡攻擊的一般過程。只有這樣方可在被攻擊前做好必要的防備，從而確保計算機網絡運行的安全和可靠。

1 計算機網絡攻擊分析

1.1計算機網絡攻擊的特點

“攻擊”是指任何的非授權行為。攻擊的范圍從簡單的服務器無法提供正常的服務到完全破壞、控制服務器。目前的計算機網絡攻擊者主要是利用計算機網絡通信協議本身存在的缺陷或因安全配置不當而產生的安全漏洞進行計算機網絡攻擊。目標系統攻擊或者被入侵的程度依賴于攻擊者的攻擊思路和采用攻擊手段的不同而不同。可以從攻擊者的行為上將攻擊區分為以下兩類：

(1)被動攻擊：攻擊者簡單地監視所有信息流以獲得某些秘密。這種攻擊可以是基于計算機網絡或者基于系統的。這種攻擊是最難被檢測到的，對付這類攻擊的重點是預防，主要手段是數據加密。

(2)主動攻擊：攻擊者試圖突破計算機網絡的安全防線。這種攻擊涉及到數據流的修改或創建錯誤信息流，主要攻擊形式有假冒、重放、欺騙、消息篡改、拒絕服務等。這類攻擊無法預防但容易檢測，所以，對付這種攻擊的重點是“測”而不是“防”，主要手段有：防火墻、入侵檢測系統等。

入侵者對目標進行攻擊或入侵的目的大致有兩種：第一種是使目標系統數據的完整性失效或者服務的可用性降低。為達到此目的，入侵者一般采用主動攻擊手段入侵并影響目標信息基礎設施;第二種是監視、觀察所有信息流以獲得某些秘密。入侵者采用被動手段，通過計算機網絡設備對開放的計算機網絡產生影響。因此，入侵者可以主動入侵并觀察，也可以被動手段觀察、建模、推理達到其目的。無論入侵者采用什么手段，其行為的最終目的是干擾目標系統的正常工作、欺騙目標主機、拒絕目標主機上合法用戶的服務，直至摧毀整個目標系統。

1.2計算機網絡中的安全缺陷及其產生的原因

第一，TCP/IP的脆弱性。 因特網的基礎是TCP/IP協議。但不幸的是該協議對于網絡的安全性考慮得并不多。并且，由于TCP/IP協議是公布于眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網絡攻擊。

第二，網絡結構的不安全性。因特網是一種網間網技術。它是由無數個局域網所連成的一個巨大網絡。當人們用一臺主機和另一局域網的主機進行通信時，通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發，如果攻擊者利用一臺處于用戶的數據流傳輸路徑上的主機，他就可以劫持用戶的數據包。

第三，缺乏安全意識。雖然網絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。如人們為了避開防火墻代理服務器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。

1.3網絡攻擊和入侵的主要途徑

網絡入侵是指網絡攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的權限，并通過使用這些非法的權限使網絡攻擊者能對被攻擊的主機進行非授權的操作。網絡入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。

口令是計算機系統抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯。

IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網絡協議的脆弱性。在TCP的三次握手過程中，入侵者假冒被入侵主機的信任主機與被入侵主機進行連接，并對被入侵主機所信任的主機發起淹沒攻擊，使被信任的主機處于癱瘓狀態。當主機正在進行遠程服務時，網絡入侵者最容易獲得目標網絡的信任關系，從而進行IP欺騙。IP欺騙是建立在對目標網絡的信任關系基礎之上的。同一網絡的計算機彼此都知道對方的地址，它們之間互相信任。由于這種信任關系，這些計算機彼此可以不進行地址的認證而執行遠程操作。

域名系統(DNS)是一種用于TCP/IP應用程序的分布式數據庫，它提供主機名字和IP地址之間的轉換信息。通常，網絡用戶通過UDP協議和DNS服務器進行通信，而服務器在特定的53端口監聽，并返回用戶所需的相關信息。DNS協議不對轉換或信息性的更新進行身份認證，這使得該協議被人以一些不同的方式加以利用。當攻擊者危害DNS服務器并明確地更改主機名―IP地址映射表時,DNS欺騙就會發生。這些改變被寫入DNS服務器上的轉換表。因而,當一個客戶機請求查詢時,用戶只能得到這個偽造的地址,該地址是一個完全處于攻擊者控制下的機器的IP地址。因為網絡上的主機都信任DNS服務器,所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器,也可以欺騙服務器相信一個IP地址確實屬于一個被信任客戶。

1.4常見的計算機網絡攻擊方式

(1)計算機網絡監聽攻擊：計算機網絡監聽是一種監視計算機網絡狀態、數據流以及計算機網絡上傳輸信息的管理工具，它可以將計算機網絡接口設置在監聽模式，并且可以截獲計算機網絡上傳輸的信息，取得目標主機的超級用戶權限。作為一種發展比較成熟的技術，監聽在協助計算機網絡管理員監測計算機網絡傳輸數據、排除計算機網絡故障等方面具有不可替代的作用。然而，在另一方面計算機網絡監聽也給計算機網絡安全帶來了極大的隱患，當信息傳播的時候，只要利用工具將計算機網絡接口設置在監聽的模式，就可以將計算機網絡中正在傳播的信息截獲，從而進行攻擊。計算機網絡監聽在計算機網絡中的任何一個位置模式下都可實施進行。而入侵者一般都是利用了計算機網絡監聽工具來截獲用戶口令的。

(2)緩沖區溢出攻擊：簡單地說就是程序對接受的輸入數據沒有進行有效檢測導致的錯誤，后果可能造成程序崩潰或者是執行攻擊者的命令。UNIX和Windows本身以及在這兩個系統上運行的許多應用程序都是C語言編寫的，C、C++語言對數組下標訪問越界不做檢查，是引起緩沖區溢出的根本原因。在某些情況下，如果用戶輸入的數據長度超過應用程序給定的緩沖區，就會覆蓋其他數據區。這就稱“緩沖區溢出”。

(3)拒絕服務攻擊：拒絕服務攻擊，即攻擊者想辦法讓目標機器停止提供服務或資源訪問。這些資源包括磁盤空間、內存、進程甚至計算機網絡帶寬，從而阻止正常用戶的訪問。最常見的拒絕服務攻擊有計算機網絡帶寬攻擊和連通性攻擊。帶寬攻擊指極大的通信量沖擊計算機網絡，使得所有的計算機網絡資源都被消耗殆盡，最終計算機無法再處理合法用戶的請求。這是由計算機網絡協議本身的安全缺陷造成的，從而拒絕服務攻擊也成為了攻擊者的終極手法。攻擊者進行拒絕服務攻擊，實際上讓服務器實現兩種效果：一是迫使服務器緩沖區滿負荷，不接受新的請求;二是使用IP欺騙，迫使服務器把合法用戶的連接復位，影響合法用戶的連接。

2 計算機網絡安全防御策略

計算機網絡技術本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性，尤其是多用戶計算機網絡系統自身的復雜性、資源共享性使得多種技術組合應用變得非常必要。攻擊者使用的是“最易滲透原則”，必然在最有利的時間地點，從系統最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統安全漏洞和安全威脅進行分析、評估和檢測，從計算機網絡的各個層次進行技術防范是設計計算機網絡安全防御系統的必要條件。目前采用的技術要主要有加密、認證、訪問控制、防火墻技術、入侵檢測、安全協議、漏洞掃描、病毒防治、數據備份和硬件冗余等。

2.1建立安全實時響應和應急恢復的整體防御

沒有百分之百安全和保密的計算機網絡信息，因此要求計算機網絡在被攻擊和破壞時能夠及時發現，及時反映，盡可能快地恢復計算機網絡信息中心的服務，減少損失。所以，計算機網絡安全系統應該包括：安全防護機制、安全監測機制、安全反應機制和安全恢復機制。

安全防護機制是指根據系統具體存在的各種安全漏洞和安全威脅采取相應的防護措施，避免非法攻擊的進行;

安全監測機制是指檢測系統的運行情況，及時發現對系統進行的各種攻擊;

安全反應機制，能對攻擊作出及時的反映，有效制止攻擊的進行，防止損失擴大;

安全恢復機制，能在安全防護機制失效的情況下，進行應急處理和盡量及時地恢復信息，降低攻擊的破壞程度。

2.2建立分層管理和各級安全管理中心

建立多級安全層次和安全級別。將計算機網絡安全系統應用分為不同的級別。包括：對信息保密程度的分級(絕密、機密、秘密、普密);對用戶操作權限分級;對計算機網絡安全程度分級;對系統實現結構的分級等。從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足計算機網絡中不同層次的各種實際需求。

3 結束語

保證網絡安全和保密涉及的問題是十分復雜的，網絡安全不是單一的技術問題，而是一個集技術、管理、法規綜合作用為一體的、長期的、復雜的系統工程。在實施過程中盡可能采取多種技術的融合和相關的管理措施，防止網絡安全問題的發生。

參考文獻：

[1]劉占全.網絡管理與防火墻[M].北京:人民郵電出版社,1999.

[2](美)Kevin D.Mitnick,William L.Simon.入侵的藝術.清華大學出版社,2007年1月.

[3]張仁斌.網絡安全技術. 清華大學出版社,2004年8月.

[4]卿斯漢.安全協議.清華大學出版社,2005年3月.

篇三：計算機網絡安全防范技術

1軟件漏洞和后門帶來的安全問題

用戶只要使用計算機網絡就會多多少少存在一些網絡漏洞，一些不法分子就是利用這些漏洞在設計計算機軟件設計之前就設定一些后門，有了后門不法分子就會通過后門對用戶的計算機進行攻擊，從而威脅用戶的計算機網絡安全。

2計算機網絡安全防范技術的意義

其實所謂的網絡安全一般情況下指的就是網絡的信息安全，計算機在受到不法分子的攻擊時，會致使用戶的重要信息外泄或者計算機數據被破損。隨著科學技術的不斷發展變更，網絡攻擊的手段也在不斷地更新換代，攻擊的方式也越來越復雜。怎樣能更好地預防計算機網絡安全隱患是迫在眉睫的問題。如今的網絡攻擊都是有組織有預謀的，一些木馬病毒也日益猖獗泛濫。網絡安全預防工作受到嚴重的威脅。現在的網絡發展還不夠成熟，黑客很容易實施網絡攻擊，網絡結構不緊密也造成網絡信息傳遞嚴重受到威脅，與此同時計算機軟件的不成熟也大大加深了計算機網絡管理的難度。針對這些問題加強計算機網絡安全，提高計算機網絡安全預防能力刻不容緩。

3計算機網絡安全防范技術的建立

3.1防火墻和防毒墻技術的建立

作為一種網絡隔離技術，防火墻是所有安全策略中的根本基礎，防火墻會對外部網絡與內部網絡實施強制性的主動控制，它一般分為三種技術手段：過濾技術、狀態檢測技術、網關技術。所謂的過濾技術是指運用網絡層對數據包進行過濾與篩選，就是通過先前預訂的過濾邏輯，檢測每一個通過數據的源地址、目標地址和其適用的端口來確定是否通過；所謂狀態檢測技術就是防火墻通過一個網關執行網絡安全策略的檢測引擎而獲得非常好的安全檢測，狀態檢測技術中一經出現鏈接失誤就會停止整個運行操作；所謂應用網絡信息技術，是指系統利用數據安全查殺工作站將用戶的網站給隔離保護鏈接，通過這種保護以便實現網絡安全。防火墻技術一般來講是指過濾用戶網絡的入口與整個網絡的傳輸過程。防火墻技術被廣泛應用于企業局域網與互聯網的交接地，防火墻雖然可以清除網絡病毒，對用戶信息實施安全保護，但是在一定程度上卻嚴重影響了用戶的網絡速度，為用戶帶來了不便。

3.2身份認證和訪問控制技術的建立

目前來講計算機網絡安全的最重要組成部分就是身份認證與訪問控制，計算機網絡會通過對使用者身份的辨別來確定使用者的身份。這種技術在計算機使用中被頻繁運用，不同的操作權限設定不一樣登陸口令，以避免不法分子非法使用相關重要的權限實施不正當的網絡攻擊。一般情況下登錄口令是由字母與數字共同組成的，用戶定期地對口令進行更改與保密以便對口令進行正當的維護。用戶應當避免在郵件或者傳遞信息中將口令泄露，一旦被黑客得到相應的信息，就會帶來一定網絡安全隱患。由此看來，口令認證并不是絕對安全的，黑客有可能通過網絡傳播與其他途徑對口令進行竊取，從而危害網絡安全。這時我們可以運用訪問控制來有效阻止黑客，這種控制根據用戶本人進行身份限定，確定其權限，按照確定的規則來確認訪問者的身份是否合法，通過注冊口令、對用戶分組、控制文件權限來實現。

4結語

現階段，隨著科技的迅猛發展，各種技術不停地更新換代，計算機網絡安全受到日益嚴重的威脅，計算機安全防范技術面臨著日益嚴重的考驗，我們應當通過技術手段不斷提升自身防范技術，以保證用戶網絡安全不受侵害，使得信息可以在更加安全的狀態下進行傳遞，用戶可以更加便捷地使用網絡資源。