计算机网络防御技术初探
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
_
技术和经验寻找安全漏洞 、 做出风险评估 , 显然
是不现实的。解决的方案是, 寻找一种能查找 网 络安全漏洞 、 评估并提出修改建议的网络安全扫 描工具 , 利用优化系纺配置和打补丁等各种方式 最大可能地弥补最新 的安全漏洞和消除安全隐 患。在要求安全程度不高的情况下, 可以利用各 种黑客工具 , 对网络模拟攻击 从而暴露出网络 的
要途径 ; 另一 种是 通过 对 操 作 系统和 应 用程 序 的 系统 日志 进行 分析 , 发 现 入侵 行 为和 系统 潜 在 的安 全 漏洞 。 来
关键词: 网络; 安全 ; 攻击 ; 测 检 l计算机网络攻击的主要方式。 根据对计算机系统原理、 软件结构 、 网络协 议等分析掌握 的不同,对计算机攻击的重点、 采 取的方式也多种多样 , 大部分情况下 , 攻击总是 利用系统的缺 陷、 操作系统的安全缺陷 、 应用软 件设计缺陷、通信协议的安全漏洞等来进行的 、 现在 , 已经发现的攻击方式超过几千种 , 大概 可 以划分为以下几类: 11 .拒绝服务攻击 : 主要对象通常是工作 站 或重要服务器 , 拒绝服务攻击是通过使被攻击对 象的系统主要资源过载 , 从而使被攻击对象停止 全部或部分服务, 陷于瘫痪状态 。拒绝服务攻击 方法就有几百种,它是最基本的入侵攻击手段 , 也是最难对付的人侵攻击手段之一 , 典型示例有 Ln ad攻 击 、ig Hod攻 击 、Y — l d攻 击 、 Pn _ o S N Fo o
wi n
—
Nk 攻击等。 ue Байду номын сангаас
1 非授权访问尝试 : . 2 是攻击者对被保护文 件进行读 、 写或执行 的尝试 , 也包括为获得被保 护访 问权限所做的尝试 , 通常采取猜测 , 枚举等 方式进行 。 1 臭探攻击: _ 3 在连续的非授权访问尝试过 程巾 , 攻击者为了挟得网络内部的信 息 及剐刚网 络周 围的信 息 , 常使用这种攻击 尝试 , 通 典型示 冽包括 S T N扫描、端 口扫描 和 I AA P半途扫描
漏洞 。
总之, 防火墙技术 、 入侵检测系统 、 漏洞扫描 系统等作为网络安全关键性测防系统 ,具有很多 值得进一步深入研究的方面,有待于我们进一步 完善。 为今后的网络发展提供有效的安全手段。
一
l — 02
科 黑江 投信思 — 龙— — —
信 息产 业 f f f
计算机 网络 防御 技术初探
张 莉
( 南省 公 安 边 防 总 队, 南 海 口 5 0 1) 海 海 728
摘 要: 计算机 网络 已普及至我们生活、 工作 、 学习等各方 面, 但在 实际使用 中, 经常会遇到一些安全问题, 了保护好 自己的 网络不受攻击 , 为 就必须对攻击方法、 攻击原理 、 攻击过程有 深入的、 详细的了解 , 只有这样 才能更有效、 更具有针对性的进行 主动 防护。防止网络被 攻击的关键是如 何截获所有的网络信 息。主要有两种途径 , 一种是通过 网络侦听的途径来获取所有的网络信息 . 这既是进行攻击的必然途径 . 也是进行 反攻击的 必
等。
1 疑 活 动 : 通 常定 义 的 “ 准 ” . 4可 是 标 网络 通 信茫畴之外的活动 , 也可以指网络上不希望有的
活 动 , 如 I_ n nw — rt o 和 PU konP o l o c c e I_ d r s at P A de 事件 等 。 s
_
D l ul —
1 . 5协议解码 : 协议解码可用于以上任何一 种 非 期望 的 方法 中 , 或安 全 管理 员 需要 进 行 网络 解码工作 , 并获得相应的结果, 解码后的协议信
息 可 能 表 明 期 望 的 活 动 ,如 I _ st和 吓u Ue P r aprPoy 解码 方 式 。 ot p e_ rx 等 m . 2 攻击行为的特征分析与反攻击技术 为了防止有效的攻击 ,就必须了解人侵系 统的原理和工作机理 , 只有这样才 能做到知 己知 彼, 从而有效 的防止入侵攻击行为 的发生 , 入侵 检测是防止有效手段 , 其最基本原理是采用模式 来进行入侵检测。 3安 全防 御 措施 匹配的方法束发现入侵攻击行为。 下面我们针对 31防火墙设置 . 几种典型的入侵攻击进行分析 。 防火墙是设置在不同网络之问的一系列 软 21L n . ad攻 击 硬件的组合 , 它在校园网与 Itre 网络之 间执 n nt e 类型 : 种拒绝服务攻击。 决定哪些内部站点允许外界访 特征 :攻击的数据包巾的源地址 和目标地 行访问控制策略, 从而保护内部网免受外部 非 址是相同的 , 因为当操作系统接收到这类数据包 问和允许访问外界 , 设计防火墙 的目的是不t 些来 时, 不知道该 如何堆栈 中通信源地址和 目的地址 法用户的人侵。 不受保护的网络如 因特网上的多余 的未授 权 相同的这种情况 , 从而使系统循环发送和接收该 自 如 A N 而仍有 数据包 , 消耗大量的系统资源 , 着重堆栈溢 出, 造 的信 息进入专用 网络 , L N或 WA , 允许本地 网络上的你 以及其他用户访 问因特 网 成系统崩溃或死机等现象。 它们根据 测试 方 法 :判 断 网络 数据 包 的 源 地址 和 目 服务 。大多数防火墙就是一些路由器 ,
标地址是否相同。 数据包的源地址 、 目的地址、 更高级的协议, 专用 反攻击手段 :配置防火墙设备及其相应 的 标准或安全策 略来过滤进入网络的数据包 。 过滤规则是防止这类攻击的有效手段 , 一般处理 3 . 2采用人侵检测系统 是丢弃这类数据包 , 同时 , 对这种攻击进行审计 , 入侵检测技术是为保证计算机系统 的安全 记录事件发 生的 时间 ,源 主机 和 目标 主机 的 而设计与配嚣的一种能够及 时发现并报告系统 MA C地 址 和 I P地址 。 中未授权或异常现象的技术 , 是一种用于检测计 22 T . CP S N攻 击 Y 算机闲络中违反安全策略行为的技术。 在入侵检 类型: 拒绝服务攻击 。 测系统 中利用审计记录 , 人侵检测系统能够识别 特征 : 利用 T P客户机与服务器之间三次 出任何不希望有的活动 ,从而达到限制这些 活 C 以保护系统的安全、 采用人侵检测技术 , 最好 握手过程的缺陷来进行 的。攻击者伪造源 I 地 动 , P 址 ( 错误的) ,并不断地向被攻 击者发送大量 的 采用混合入侵检测, 在网络 中同时采用基于网络 S N数据包 ,当被攻击主机接收到大量的 S N 和基于主机的入侵检测系统 , Y Y 则会构架成一套 完 数据包时 , 提取出伪造的源 I 地址 , P 需要使用大 整立体 的主动防御体 系, 但是 , 检测系统也 入侵 量的缓存来处理这些连接 , 并将 S N A K数据 存在一定的不足 : Y —C 包发送 回错误的 I P地址, 并一直等待 A K数据 C 网络人侵检测系统通过匹配网络数据包 发 入侵检测系统往往假设攻击信息是 包的回应 , 最终导致缓存溢出, 不能再处理其它 现攻击行为, 合法 的 S N连接, Y 即不能对外提供正常服务。 明文传输的, 因此对信 息的改变或重新编码就 可 测试 方 法 :制定 相应 的 策 略 ,对 收 到 S N 能骗 过 入侵 检 测 系统 的检 测 , Y 因此 字符 串 匹配 的 连接进行检查 ,测其单位时间内收到的 S YN连 方法 对 于加 密 过 的数 据包 就 显得 无 能为 力 。 接否收超过系统设定的值。 对入 侵检测 系统的评价 还没有 客观的标 反攻击手段 :当测试 到大量 的同类 型的 准, 标准的不统一使得入侵检测系统之间不易互 入 S N数据包 时 ,通知防火墙 阻断与该地址的连 联。随着技术的发展和对新攻击识别的增加, Y 接请求 , 并丢弃这些数据包 , 并进行系统审计。 侵检测 系统需要不断的升级才能保证 网络 的安 23T PU P端 口扫描 . C/D 全胜。 类 型 :C /D T PU P端 口扫描 是 一 种溴 探 攻击 。 3 漏 洞 扫描 系 统 . 3 基于网络系统漏洞库 ,漏洞扫描大体包括 特征 :对被攻击主机的不同端 口发送 T P C 或 UD P连接请求,探测被攻击对象运行的服务 c 漏 洞 扫描 、 O 3漏 洞 扫 描 、 F 洞 扫 描 、 PP T P漏 SH 漏 洞 扫描 、 TF 洞 扫 描 等 。这 些 漏 洞 扫 S H P漏 类型 。 将扫描结果与漏洞库相关数据 测试方法:统计外界对系统端 口的连接请 描是基于漏洞库, 求,特别是对 2 、32 、3 8 、00 8 8 l2 、5 5 、0 80 、0 0等以 匹配 比较得到漏洞信息; 漏洞扫描还包括没有相 应漏洞库的各种扫描 , 比如 U i d nc e遍历 目录漏 o 外的非常用端 口的连接请求。 反攻击方法: 当收到多个 T PU P数据包 洞 探 测 、T C /D F P弱 势 密 码 探 测 、 P NR l O E e y邮 件 转 a 这些扫描通过使用插件( 功能模 对异常端口的连接请求时, 通知防火墙 阻断连接 发漏洞探测等 , 请求 , 并对攻击者 的 I P地址和 M AC地址进行审 块 技 术 ) 模 拟 攻 击 , 试 出 目标 主 机 的 漏 洞 进行 测 计。 信息 。 解决网络层安全问题 ,首先要清楚网络 中 对于某些较复杂的入侵攻击行 为 ( 如分布 脆 式攻击 、 组合攻击 ) 不但 需要采用模式 匹配的方 存在哪些安全隐患 、 弱点。面对大型网络的复 仅仅依靠网络管理员的 法, 还需要利用状态转移 、 网络拓扑结构等方法 杂性和不断变化 的情况,
技术和经验寻找安全漏洞 、 做出风险评估 , 显然
是不现实的。解决的方案是, 寻找一种能查找 网 络安全漏洞 、 评估并提出修改建议的网络安全扫 描工具 , 利用优化系纺配置和打补丁等各种方式 最大可能地弥补最新 的安全漏洞和消除安全隐 患。在要求安全程度不高的情况下, 可以利用各 种黑客工具 , 对网络模拟攻击 从而暴露出网络 的
要途径 ; 另一 种是 通过 对 操 作 系统和 应 用程 序 的 系统 日志 进行 分析 , 发 现 入侵 行 为和 系统 潜 在 的安 全 漏洞 。 来
关键词: 网络; 安全 ; 攻击 ; 测 检 l计算机网络攻击的主要方式。 根据对计算机系统原理、 软件结构 、 网络协 议等分析掌握 的不同,对计算机攻击的重点、 采 取的方式也多种多样 , 大部分情况下 , 攻击总是 利用系统的缺 陷、 操作系统的安全缺陷 、 应用软 件设计缺陷、通信协议的安全漏洞等来进行的 、 现在 , 已经发现的攻击方式超过几千种 , 大概 可 以划分为以下几类: 11 .拒绝服务攻击 : 主要对象通常是工作 站 或重要服务器 , 拒绝服务攻击是通过使被攻击对 象的系统主要资源过载 , 从而使被攻击对象停止 全部或部分服务, 陷于瘫痪状态 。拒绝服务攻击 方法就有几百种,它是最基本的入侵攻击手段 , 也是最难对付的人侵攻击手段之一 , 典型示例有 Ln ad攻 击 、ig Hod攻 击 、Y — l d攻 击 、 Pn _ o S N Fo o
wi n
—
Nk 攻击等。 ue Байду номын сангаас
1 非授权访问尝试 : . 2 是攻击者对被保护文 件进行读 、 写或执行 的尝试 , 也包括为获得被保 护访 问权限所做的尝试 , 通常采取猜测 , 枚举等 方式进行 。 1 臭探攻击: _ 3 在连续的非授权访问尝试过 程巾 , 攻击者为了挟得网络内部的信 息 及剐刚网 络周 围的信 息 , 常使用这种攻击 尝试 , 通 典型示 冽包括 S T N扫描、端 口扫描 和 I AA P半途扫描
漏洞 。
总之, 防火墙技术 、 入侵检测系统 、 漏洞扫描 系统等作为网络安全关键性测防系统 ,具有很多 值得进一步深入研究的方面,有待于我们进一步 完善。 为今后的网络发展提供有效的安全手段。
一
l — 02
科 黑江 投信思 — 龙— — —
信 息产 业 f f f
计算机 网络 防御 技术初探
张 莉
( 南省 公 安 边 防 总 队, 南 海 口 5 0 1) 海 海 728
摘 要: 计算机 网络 已普及至我们生活、 工作 、 学习等各方 面, 但在 实际使用 中, 经常会遇到一些安全问题, 了保护好 自己的 网络不受攻击 , 为 就必须对攻击方法、 攻击原理 、 攻击过程有 深入的、 详细的了解 , 只有这样 才能更有效、 更具有针对性的进行 主动 防护。防止网络被 攻击的关键是如 何截获所有的网络信 息。主要有两种途径 , 一种是通过 网络侦听的途径来获取所有的网络信息 . 这既是进行攻击的必然途径 . 也是进行 反攻击的 必
等。
1 疑 活 动 : 通 常定 义 的 “ 准 ” . 4可 是 标 网络 通 信茫畴之外的活动 , 也可以指网络上不希望有的
活 动 , 如 I_ n nw — rt o 和 PU konP o l o c c e I_ d r s at P A de 事件 等 。 s
_
D l ul —
1 . 5协议解码 : 协议解码可用于以上任何一 种 非 期望 的 方法 中 , 或安 全 管理 员 需要 进 行 网络 解码工作 , 并获得相应的结果, 解码后的协议信
息 可 能 表 明 期 望 的 活 动 ,如 I _ st和 吓u Ue P r aprPoy 解码 方 式 。 ot p e_ rx 等 m . 2 攻击行为的特征分析与反攻击技术 为了防止有效的攻击 ,就必须了解人侵系 统的原理和工作机理 , 只有这样才 能做到知 己知 彼, 从而有效 的防止入侵攻击行为 的发生 , 入侵 检测是防止有效手段 , 其最基本原理是采用模式 来进行入侵检测。 3安 全防 御 措施 匹配的方法束发现入侵攻击行为。 下面我们针对 31防火墙设置 . 几种典型的入侵攻击进行分析 。 防火墙是设置在不同网络之问的一系列 软 21L n . ad攻 击 硬件的组合 , 它在校园网与 Itre 网络之 间执 n nt e 类型 : 种拒绝服务攻击。 决定哪些内部站点允许外界访 特征 :攻击的数据包巾的源地址 和目标地 行访问控制策略, 从而保护内部网免受外部 非 址是相同的 , 因为当操作系统接收到这类数据包 问和允许访问外界 , 设计防火墙 的目的是不t 些来 时, 不知道该 如何堆栈 中通信源地址和 目的地址 法用户的人侵。 不受保护的网络如 因特网上的多余 的未授 权 相同的这种情况 , 从而使系统循环发送和接收该 自 如 A N 而仍有 数据包 , 消耗大量的系统资源 , 着重堆栈溢 出, 造 的信 息进入专用 网络 , L N或 WA , 允许本地 网络上的你 以及其他用户访 问因特 网 成系统崩溃或死机等现象。 它们根据 测试 方 法 :判 断 网络 数据 包 的 源 地址 和 目 服务 。大多数防火墙就是一些路由器 ,
标地址是否相同。 数据包的源地址 、 目的地址、 更高级的协议, 专用 反攻击手段 :配置防火墙设备及其相应 的 标准或安全策 略来过滤进入网络的数据包 。 过滤规则是防止这类攻击的有效手段 , 一般处理 3 . 2采用人侵检测系统 是丢弃这类数据包 , 同时 , 对这种攻击进行审计 , 入侵检测技术是为保证计算机系统 的安全 记录事件发 生的 时间 ,源 主机 和 目标 主机 的 而设计与配嚣的一种能够及 时发现并报告系统 MA C地 址 和 I P地址 。 中未授权或异常现象的技术 , 是一种用于检测计 22 T . CP S N攻 击 Y 算机闲络中违反安全策略行为的技术。 在入侵检 类型: 拒绝服务攻击 。 测系统 中利用审计记录 , 人侵检测系统能够识别 特征 : 利用 T P客户机与服务器之间三次 出任何不希望有的活动 ,从而达到限制这些 活 C 以保护系统的安全、 采用人侵检测技术 , 最好 握手过程的缺陷来进行 的。攻击者伪造源 I 地 动 , P 址 ( 错误的) ,并不断地向被攻 击者发送大量 的 采用混合入侵检测, 在网络 中同时采用基于网络 S N数据包 ,当被攻击主机接收到大量的 S N 和基于主机的入侵检测系统 , Y Y 则会构架成一套 完 数据包时 , 提取出伪造的源 I 地址 , P 需要使用大 整立体 的主动防御体 系, 但是 , 检测系统也 入侵 量的缓存来处理这些连接 , 并将 S N A K数据 存在一定的不足 : Y —C 包发送 回错误的 I P地址, 并一直等待 A K数据 C 网络人侵检测系统通过匹配网络数据包 发 入侵检测系统往往假设攻击信息是 包的回应 , 最终导致缓存溢出, 不能再处理其它 现攻击行为, 合法 的 S N连接, Y 即不能对外提供正常服务。 明文传输的, 因此对信 息的改变或重新编码就 可 测试 方 法 :制定 相应 的 策 略 ,对 收 到 S N 能骗 过 入侵 检 测 系统 的检 测 , Y 因此 字符 串 匹配 的 连接进行检查 ,测其单位时间内收到的 S YN连 方法 对 于加 密 过 的数 据包 就 显得 无 能为 力 。 接否收超过系统设定的值。 对入 侵检测 系统的评价 还没有 客观的标 反攻击手段 :当测试 到大量 的同类 型的 准, 标准的不统一使得入侵检测系统之间不易互 入 S N数据包 时 ,通知防火墙 阻断与该地址的连 联。随着技术的发展和对新攻击识别的增加, Y 接请求 , 并丢弃这些数据包 , 并进行系统审计。 侵检测 系统需要不断的升级才能保证 网络 的安 23T PU P端 口扫描 . C/D 全胜。 类 型 :C /D T PU P端 口扫描 是 一 种溴 探 攻击 。 3 漏 洞 扫描 系 统 . 3 基于网络系统漏洞库 ,漏洞扫描大体包括 特征 :对被攻击主机的不同端 口发送 T P C 或 UD P连接请求,探测被攻击对象运行的服务 c 漏 洞 扫描 、 O 3漏 洞 扫 描 、 F 洞 扫 描 、 PP T P漏 SH 漏 洞 扫描 、 TF 洞 扫 描 等 。这 些 漏 洞 扫 S H P漏 类型 。 将扫描结果与漏洞库相关数据 测试方法:统计外界对系统端 口的连接请 描是基于漏洞库, 求,特别是对 2 、32 、3 8 、00 8 8 l2 、5 5 、0 80 、0 0等以 匹配 比较得到漏洞信息; 漏洞扫描还包括没有相 应漏洞库的各种扫描 , 比如 U i d nc e遍历 目录漏 o 外的非常用端 口的连接请求。 反攻击方法: 当收到多个 T PU P数据包 洞 探 测 、T C /D F P弱 势 密 码 探 测 、 P NR l O E e y邮 件 转 a 这些扫描通过使用插件( 功能模 对异常端口的连接请求时, 通知防火墙 阻断连接 发漏洞探测等 , 请求 , 并对攻击者 的 I P地址和 M AC地址进行审 块 技 术 ) 模 拟 攻 击 , 试 出 目标 主 机 的 漏 洞 进行 测 计。 信息 。 解决网络层安全问题 ,首先要清楚网络 中 对于某些较复杂的入侵攻击行 为 ( 如分布 脆 式攻击 、 组合攻击 ) 不但 需要采用模式 匹配的方 存在哪些安全隐患 、 弱点。面对大型网络的复 仅仅依靠网络管理员的 法, 还需要利用状态转移 、 网络拓扑结构等方法 杂性和不断变化 的情况,