唐斌1 张钰钏2 张郑武文3 西华师范大学计算机学院1 西华师范大学数学与信息学院2 西华师范大学新闻传播学院3

1 引言

上世纪末，网络技术由军用逐渐过渡至民用，在多家公司的共同参与下迅速发展，并渗透到社会的各个领域。网络技术的迅速发展得益于网络的开放性、自由性、易理解性等特性，它允许每一位网民自由接入，并在短时间内开始使用互联网，网络世界的匿名性、跨时空性也吸引着越来越多的公众参与。但以上优势也留下一系列潜在的安全问题，网络爱好者能够快速掌握网络传输协议并对其中的弱点进行攻击和利用，同时实现对自己身份信息的隐藏。当今世界，各个国家和相关组织正在大力开展网络安全建设，我国也正为实现网络强国的伟大理想而添砖加瓦。

2 网络安全问题的发生机制

2.1 部分网民的网络安全意识不足

使用浏览器的账号密码记录与保存cookie功能使得访问常用网站变得更加方便，但也增加了受到网络攻击而造成账号信息泄露的风险。网络实名制的推行实施使得每位网民的真实信息被网络服务公司保留，在一定程度上规范了网民的道德规范，但大量的个人隐私生活分享，会给他人留下可用信息。社会工程学通过社会、自然、制度等途径，利用人的心理弱点（本能、好奇、信任、贪婪等）及制度上的漏洞，在攻击者和被攻击者之间建立信任关系，获取有价值的信息，最终通过未经授权的路径访问某些重要数据[1]。此外，在不同网站中使用相同的账号密码会存在撞库的风险，在公共环境中使用网络也存在网络监听的风险，以上都能导致系统被入侵与数据被窃取。

2.2 计算机网络本身存在的缺陷

在实现网络参数标准化方面，国际标准化组织在网络技术发展初期提出了OSI七层模型，但真正投入使用的是当时由公司联合提出的TCP/IP协议。我们以OSI七层模型入手，分析每层协议存在的安全隐患。

2.2.1 应用层

应用层负责直接与用户和应用程序建立联系，提供远程登陆、邮件传递、文件传输等服务。DNS负责将域名解析为IP地址，并且优先查询本地数据，如果对hosts文件进行篡改，就可以达到DNS欺骗的效果。FTP和TELNET服务允许用户远程访问主机，在没有登陆限制的情况下，攻击者可以通过枚举的形式对账户进行暴力破解。HTTP提供的WEB服务允许任何人访问，一旦攻击者通过SQL注入、文件上传等方式拿到服务器权限，将造成不可估量的损失。

2.2.2 表示层

表示层负责数据编码，实现不同系统之间的数据兼容，同时提供加密解密服务。在数据包被截取后，攻击者可以对数据包进行解密与解码，从而造成信息泄露。

2.2.3 会话层

会话层负责数据同步，通过数据偏移量等参数，保证一个被正确接受之后再传输下一个数据包。利用会话层的特性，攻击者可以伪造数据包序列号来接管真实客户端进行通信，从而达到会话劫持的效果。

2.2.4 传输层

传输层负责数据的完整传输，在数据包接收失败后进行数据重传。在网络攻击中，经常利用TCP三次握手原理存在的漏洞进行信息收集。此外，如果同时与服务器建立大量空连接，服务器会因资源被耗尽而拒绝正常服务。

2.2.5 网络层

网络层负责在源主机和目标主机之间建立路由，目前应用最广泛的是IP协议。每个IP报文中会保存数据的源IP地址与目的IP地址，攻击者可以通过伪造源IP的方式来实现IP欺骗。在局域网中，路由器通过IP地址与MAC地址的映射关系找到真实主机，攻击者可以通过伪造ARP请求来修改路由器ARP数据，实现ARP欺骗。

2.2.6 数据链路层

数据链路层负责数据的发送与接收，源节点通过目的节点回传的响应报文来保证数据包安全到达。攻击者可以通过故意传输错误数据的方式，使目的主机耗费大量资源进行数据校验。

2.2.7 物理层

物理层负责将数据链路层数据转化成物理信号，并在物理线路上进行传输。无线网络允许每位信号范围内的客户端接入，攻击者经常通过免费WIFI和伪基站的方式诱导被攻击者接入局域网，以便进行内网攻击。此外，电信号在传输过程会形成感应电流，利用特殊设备可以根据电流变化生成二进制数据，达到数据窃取的目的。

2.3 匿名访问技术的出现

“暗网”又称深层网络，主要包括建立在封包交换方式基础上的I2P匿名网络、建立在P2P分布式技术上的Tor等匿名网络以及建立在自组织机制上的Firechat等自组织匿名网络[2]。“暗网”能够实现匿名访问互联网，使得用户IP难以被追踪。这种技术常被攻击者用来隐藏身份信息。

3 网络安全问题的解决路径

3.1 与时俱进，提升公民的信息安全意识

科技发展日新月异，网络安全面临的挑战与困难越来越多。网络安全部门需保持与时俱进的态度，不断学习新的理论和技术以面对新的问题与挑战。同时，还需从国家层面进一步加强安全建设，从源头上杜绝问题的发生，提升网络安全宣传力度，增强公民网络安全意识。

3.2 建设国际网络犯罪破案合作机制，降低跨国办案的成本

在攻击的实施过程中，攻击者通常通过使用多个海外服务器为跳板的方式来实现IP地址欺骗，以达到隐藏自己身份信息的目的。在网络犯罪的取证过程中，需要联系服务器所在国家的通信部门以获取上一跳服务器IP地址，最终取得攻击者的真实IP地址。为了构建网络空间命运共同体，我国应积极主张、加快推进，提出国际网络犯罪破案合作机制，形成一套方便快捷、覆盖全面的国际网络犯罪取证查询系统。

3.3 结合区块链原理，提出新的网络协议

3.3.1 区块链技术

区块链技术源于比特币，它能在不可信的环境中实现可信通信[3]。区块链使用去中心化机制，加入区块链的所有计算机上都储存着每位用户的操作记录，以保证用户操作不可否认。区块链分为私有链、联盟链、公共链。其中，联盟链是一种中心化机制与去中心化机制结合的技术。

3.3.2 全新网络协议构想

在原有的中心化管理机制下，引入区块链技术，两者结合既能实现统一管理，又能快速、准确地对用户操作进行溯源。这也要求全球合作的快速推进，让每个国家使用一台高性能服务器加入区块链，以实现网络操作日志记录账本全球共享，有利于各国执法部门快速追查跨国网络犯罪活动。

4 结束语

自从网络技术产生以来，人类对于网络安全的研究与探索就从未停歇。在不断发展的技术面前，网络安全面临的挑战越来越多，无论是国家、组织还是个人，只有通过不断学习、积极创新，在面对网络安全问题时才能胸有成竹。当前，关于网络协议本身缺陷的研究内容纷繁复杂，但都是在已有问题上进行控制。如果要从根本上解决网络安全问题，还需结合不断发展的新技术，对协议内容进行改进或提出新的网络传输协议加以应对。

[1]Kevin Mitnick. The Art of Deception : ontrolling the Human Element of Security[M]. New York : Wiley, 005

[2]伍劲峰.OSI七层参考模型解析[J].软件导刊,2006(17):46-47.

[3]骆慧勇.区块链技术原理与应用价值[J].金融纵,2016(07):33-37+76.