網絡攻擊模式與防范的一些措施

張建生

【摘 要】進入二十一世紀以來，計算機發展更新迅速，人們對電腦的使用，已不再是簡單的數字計算，在日常生活和工作中，人們越來越離不開計算機網絡。因此網絡安全問題就成了人們在使用電腦過程中越來越凸顯重視的問題。網絡就其使用區域范圍分，可分為很多種，與我們日常生活工作最密切地當屬國際互聯網即因特網，所以因特網的安全問題就顯得尤為重要。

【關鍵詞】互聯網；攻擊；安全；防范措施

隨著網絡技術的不斷發展更新、普及推廣，網絡的安全性是已成為使用網絡用戶關心和非常重視的問題。人們希望自己使用的網絡可靠性高，安全無誤的運行，不受外來病毒的破壞干擾。因此防范病毒，解決好網絡安全問題，是保障正常工作生活的前提。

要想提高我們的網絡安全，充分防范各種各樣的病毒惡意攻擊，我們有必要去了解一下，病毒的種類及性質，病毒入侵網絡，攻擊網絡的一些手段，只有知已知彼才能對網絡上的遇到的各種難題有所了解，甚至達到迎刃而解的目的。

一、網絡攻擊的概念手段及入侵模式

（一）網絡攻擊的概念

網絡攻擊主要是通過信息的收集、分析、整理后，再找目標計算機系統的漏洞，有針對有目的的對系統進行資源的入侵與破壞。

網絡的設計是考慮到交流的便利和開放，因為對于信息的保障相關安全方面非常有限。伴隨著計算機的信息技術發展，網絡攻擊也隨之逐步遞升。再完美的系統也能被一個小小的漏洞帶來巨大的安全隱患。

（二）常見的攻擊手段和網絡入侵

1.IP欺騙

IP欺騙是利用傳輸控制及互聯網協議（TCP/IP協議）本身的安全缺陷進行攻擊的，它通過盜用合法的IP地址，獲取目標主機的信任，進而訪問目標主機上的資源。

目前，許多安全性解決方案都依賴于精準的IP地址，不論目標主機上運行何種操作系統，IP欺騙攻擊都是非常容易實現的，這些攻擊包括序列號欺騙、路由攻擊、源地址欺騙和授權欺騙。

2.監聽網絡

監聽網絡是主機的一種工作模式，在這種模式下，主機可以接收到本網段在同一條物理通道上傳輸的所有信息，而不管這些信息的發送方和接收方是誰。因為系統在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務器端，而攻擊者就能在兩端之間進行數據監聽。此時若兩臺主機進行通信的信息沒有加密，只要使用某些網絡監聽工具就可輕而易舉地截取各種信息包括口令和帳號在內的信息資料。雖然網絡監聽獲得的用戶帳號和口令具有一定的局限性，但監聽者往往能夠獲得其所在網段的所有用戶帳號以以及帳號密碼。

3.洛伊木馬

洛伊木馬（木馬）是可以直接侵入用戶的電腦并進行破壞，它通常被偽裝在一些應用程序或者游戲，用戶打開帶有木馬程序的郵件附件或在網上直接下載，用戶打開了這些郵件的附件或者執行了這些程序之后，在自己的計算機系統中隱藏一個可以在windows啟動時悄悄執行的程序。當您連接到因特網上時，這個程序就會告訴攻擊者，您的IP地址以及預先設定的端口。攻擊者在收到這些信息后，再利用這個潛伏的程序，任意地修改你的計算機的參數設定、復制文件、窺視你硬盤中的內容等，從而達到控制你的計算機的目的。

二、防范網絡入侵和攻擊

（一）Internet防范技術

Internet又稱廣域網，由于大多采用公網來進行數據傳輸，信息在廣域網上傳輸時被截取和利用的可能性就會比局域網要大得多。在沒有專用的軟件對數據進行控于制，只要使用Internet下載的“包檢測”工具軟件，就可以對通信數據進行截取和破譯。

因此，就應該采取相應手段，使得在廣域網上發送和接收信息時得到保證：

1.除了發送方和接收方外，其他人是不能知悉的（隱私性）；

2.傳輸過程中不被篡改（真實性）；

3.發送方能確知接收方不是假冒的（非偽裝性）；

4.發送方不能否認自己的發送行為（不可抵賴性）。

為了達到上述安全目的，廣域網通常采用以下安全解決辦法：

（1）加密技術

加密型網絡安全技術是不依賴于網絡中數據通道的安全性來實現網絡系統的安全，而是通過對網絡數據的加密來保障網絡的安全及可靠性。傳統的加密技術可以分為二類：即替代加密、換位加密。在替代加密中，用一組密文字母來代替一組明文字母以隱藏明文，但保持明文字母的位置不變；換位加密有時也稱為排列，它不對明文字母進行變換，只是將明文字母的順序重新排列。

（2）身份認證技術

通信雙方在進行重要的數據交換前，常常需要驗證對方的身份，這種稱為身份認證。在實際操作中，除了認證對方的身份外，同時還要在雙方間建立一個秘密的會話密鑰，該會話密鑰用于對其后的會話進行加密。每次連接都使用一個新的隨機選擇的會話密鑰，其目的在于減少用永久性密鑰加密數據量，以防網絡入侵者收集足夠數量的密文進行破譯；另一方面，當一個進程發生崩潰并且其內核落于他人之手時，最多只會暴露本次的會話密鑰，而永久性密鑰在會話建立后即被清除了。

（3）數字簽名

數字簽名有以下幾種：使用秘密密鑰算法的數字簽名；使用公開密鑰算法的數字簽名；報文摘要。

（二）訪問控制

訪問控制的主要目的是確保網絡資源不被非法訪問和非法利用，是網絡安全保護和防范的核心方法之一。訪問控制技術主要用于對靜態信息的保護，需要系統級別的支持，一般在操作系統中實現。目前，訪問控制主要以下幾種手段：

1、入網訪問控制通過對用戶名、用戶密碼和用戶帳號默認權限的綜合驗證、檢查來限制用戶對網絡的訪問，它能控制哪些用戶、在什么時間以及使用哪臺主機入網。入網訪問控制為網絡訪問提供了第一層訪問控制。

2、網絡用戶通常分為三類：系統管理員用戶，負責網絡系統的配置和管理；普通用戶，由系統管理員創建并根據他們的實際需要為其分配權限；審計用戶，負責網絡系統的安全控制和資源使用情況的審計。用戶入網后就可以根據自身的權限訪問網絡資源。權限控制通過訪問控制表來規范和限制用戶對網絡資源訪問，訪問控制表中規定了用戶可以訪問哪些目錄、子目錄、文件和其它資源，指定用戶對這些文件、目錄等資源能夠執行哪些操作。

3、系統管理員為用戶在目錄一級指定的權限對該目錄下的所有文件和子目錄均有效。如果用戶濫用權限，則會對這些目錄、文件或設備等網絡資源構成威脅。目錄級安全控制可以限制用戶對目錄和文件的訪問權限，進而保護目錄和文件的安全，防止用戶權限濫用。

4、屬性安全控制是通過給網絡資源設置安全屬性標記來實現的。它可以將目錄或文件隱藏、共享和設置成系統特性，可以限制用戶對文件進行讀、寫、刪除、運行等操作。屬性安全在權限安全的基礎上提供更進一步的安全性。

三、結論

網絡攻擊越來越嚴重，給網絡的安全帶來了很大的威脅。對于任何的攻擊，都是有辦法來防范的，只要清楚對方的手段，提高網絡知識，就可以抵制他們。提高網絡安全知識，對整體網絡的發展也是有著十分重要的意義，在每一個網絡用戶的努力下，相信我們的網絡環境將會更加的安全，更加的完善。

【參考文獻】

[1]宋乃平，文樺.Internet網絡安全管理[J] .天中學刊，2002（2）.

[2]陳浩.Internet上的網絡攻擊與防范[J] .電信技術.1998（4）.

[3]雷震甲.網絡工程師教程.[M].北京：清華大學出版社，2004.