王永健

[摘要]在信息时代，信息安全问题越来越重要，而现在大部分信息都是通过互联网来传播的，因此互联网安全就显得尤为重要。对常见的网络攻击行为以及安全防御系统的实现进行探讨。

[关键词]网络攻击 安全防御 黑客

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0510066－01

一、常见的网络攻击行为

（一）利用恶意软件

1．逻辑炸弹。它是一种程序，在特定的条件下（通常是由于漏洞）会对目标系统产生破坏作。2．后门。它是一种程序，允许黑客远程执行任意命令。3．蠕虫。它是一种独立的程序，可以直接破坏数据，或者因消耗系统资源而减低系统性能，甚至使整个网络瘫痪。4．病毒。它是一种程序或代码（但并不是独立的程序），能够在当前的应用中自我复制，并且可以附着在其他程序上。5．特洛伊木马。特洛伊木马往往能够执行某种有用的功能，而这种看似有用的功能却能够隐藏在其中的非法程序。当合法用户使用这样合法的功能时，特洛伊木马也同时执行了非授权的功能，而且通常篡夺了用户权限。

（二）利用电脑脆弱性

1．访问权限。黑客利用系统文件的读/写等访问控制权限配置不当造成的弱点，获取系统的访问权。2．蛮力攻击。黑客通过多次尝试主机上默认或安全性极弱的登录/口令，试登录到某个帐号。还有一种形式是采用口令破解程序，对用户加密后的口令文件进行破解。3．缓冲区溢出。一种形式的缓冲区溢出攻击是黑客本人编写并存放在缓冲区后任意的代码，然后执行这些代码。另一种形式的缓冲区溢出攻击是程序代码编写时欠考虑。典型的一种形式是对用户输入的边界检查问题。4．信息流泄露。黑客利用在某个程序执行时所产生的某些暂时的不安全条件，例如在执行SUID时执行用户具有同被执行程序的属主同等权限，这样执行用户就可以获得对某些敏感数据的访问权。

（三）操纵IP包

1．端口欺骗。利用常用服务的端口，如20/53/80/1024等，避开包过滤防火墙的过滤规则。2．化整为零。黑客将正常长度的数据包分解为若干小字节的数据包，从而避开防火墙过滤规则。3．盲1P欺骗。即改变源IP地址进行欺骗，盲IP欺骗可能造成严重的后果，基于IP源地址欺骗的攻击可穿过过滤路由器（防火墙），并可能获得受到保护的主机的root权限。4. 序列号预测。某些主机产生的随机序列号不够随机，这也就意味着不安全。黑客通过分析和发现随机序列的产生规律，计算出该主机与服务器连接时的TCPSEQ/ACK序列号，即可欺骗服务器并与之建立“合法”的连接。

（四）拒绝服务DoS

1．Smurfing拒绝服务攻击。如果黑客将发送的ICMP请求包的源地址伪造为被攻击者的地址，则该网络上所有主机的工CMPECHOREPLY包都要发往被攻击的主机，不仅造成被攻击者的主机出现流量过载，减慢甚至停止正常的服务，而且发出ICMP回应包的中间受害网络也会出现流量拥塞甚至网络瘫痪。2．分片攻击。这种攻击方法利用了TCP/IP协议的弱点，被攻击的目标主机要么处于蓝屏幕的停机状态，要么死机或重新启动。类似这样的黑客攻击工具有：Teardrop New Tear Bonk和Boink等。3．带外数据包攻击。向一个用户Windows系统的NetBIOS的端口，发送带外数据包。OOB（垃圾数据），windows不知如何处理这些OOB，可以远程造成该用户系统运行异常。对方用户只有重新启动才能正常工作。4．分布式拒绝服务攻击DDOS。DDOS隐蔽性更强。通过间接操纵因特网上“无辜”的计算机实施攻击，突破了传统攻击方式从本地攻击的局限性和不安全性。攻击的规模可以根据情况做得很大，使目标系统完全失去提供服务的功能。

二、网络安全防御系统实现策略

（一）网络安全

1．安全网络拓扑。整个网络拓扑设计为双网结构，即内部LAN网中的所有主机对服务器的访问与INTERNET用户对服务器的访问是通过两条不同的信道进行，体现了其安全性。2．防火墙。防火墙对各种带有攻击嫌疑的数据包进行过滤:源IP地址；目的IP地址；协议类型(IP，ICMP，TCP，UDP)；源TCP/UDP端口；目的TCP/UDP端口；TCP报文标志域；ICMP报文类型域和代码域；包通信的日期和时间，包括起始时间、终止时间，区间从年、月、周、日直至小时、分钟。提供内部IP地址与MAC地址的绑定，防止IP地址盗用。防止IP地址欺骗，拒绝所有来自外部网络而源地址为内部地址的数据包。防止DOS攻击，通过对保护目标主机的通信状态跟踪，判断DOS/DDOS攻击，并作出反应，保证服务器的正常运行。3．实时入侵检测。该网络防御系统通过网络安全监测仪提供了强大的实时入侵检测功能，能够通过对网络数据的收集和分析，与入侵行为的规则集进行匹配，判断入侵行为的发生，并提供实时报警功能，并切断非法连接。

（二）数据安全

1．保密性：（1）SSL加密通道。网站开通SSL的加密通道，SSL中使用了RSA的加密机制，这样就能够保证在客户浏览器与网站的交互过程中，所有交互信息均通过加密通道传输。安全邮件系统SSL通道保证了用户浏览器与网站的交互信息的保密性。（2）内容监控软件。考虑到不同的公司和组织对内部信息向外传输的控制程度不同，且可能牵涉到员工隐私权的问题，所以需要根据客户要求选择，在网络出口处设置内容监控软件，其目的是对进出网络的网络数据内容实施监控，这样通过内容监控，确保了内部敏感信息的保密性。（3）可靠性。该服务器具有以下特点:大容量存储介质。在没有备份工作时应该切断所有网络连接。确保备份介质的物理安全。确保该服务器的专用性。确保该服务器中用户信息和口令的安全保密。这样通过该服务器的工作，将使整个系统可以在出现事故后得到及时的恢复，以保证其工作正常。

（三）系统安全

1．鉴别认证。利用了安全操作系统提供的鉴别机制，采用了IC卡的方式对所有内部用户进行身份鉴别，所有内部用户的IC卡均通过统一的发卡中心发放，只有持卡用户才能够进入服务器，而网络用户是无法通过普通的远程登录进入服务器的，从而保证了服务器的登录安全。2．安全扫描。安全扫描的基本工作原理就是模拟攻击，一旦攻击成功，就意味存在漏洞。安全扫描的另一部分就是病毒防治功能。通过定期或是非定期的病毒扫描，防止病毒的进入和漫延。通过实时网上病毒扫描和防病毒软件的定期升级功能，防止引入新的病毒。

三、结语

综上所述，由于计算机信息有共享和易于扩散等特性，它在处理、存储、传输和使用上有着严重的脆弱性，很容易被干扰、滥用、遗漏和丢失，甚至被泄露、窃取、篡改、冒充和破坏，还有可能受到计算机病毒的感染。因此如何打造一套网络安全防御系统显得尤为重要。

参考文献：

[1]中国互联网络信息中心，《中国互联网络发展状况统计报告》，2008.1.

[2]许润国，基于数据挖掘的入侵检测系统研究与设计[J].网络安全，2006.10.