论文部分内容阅读
摘要: 对近几年来的网络安全事件进行归纳,强调网络安全对计算机用户的影响。对常用的网络攻击与防御技术进行描述,对网络攻防的手段进行具体研究。
关键词: 网络安全;网络攻击;网络防御
中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)1220003-02
0 引言
在计算机网络日益普及的今天,网络安全对人们生活造成了越来越大的影响。要保证用户的信息安全,就必须认清网络安全形式,掌握一定的网络攻防常识,才能有效的保护个人的计算机。
1 近年的网络安全事件
1983年,美国人凯文·米特尼克因被发现使用一台大学里的电脑擅自进入今日互联网的前身ARPA网,并通过该网进入了美国五角大楼的电脑,成为了历史上第一个因网络犯罪而入狱的人,至此掀开了黑客网络攻击的序幕。1995年,来自俄罗斯的黑客“弗拉季米尔·列宁”通过互联网侵入美国花旗银行并盗走一千万元,成为历史上第一个通过入侵银行电脑系统来获利的黑客。1999年,戴维·史密斯编写的梅利莎病毒使世界上300多家公司的电脑系统崩溃,该病毒造成的损失接近4亿美金,是首个具有全球破坏力的病毒。2008年,一个全球性的黑客组织,利用ATM欺诈程序在一夜之间从世界49个城市的银行中盗走了900万美元。2010年1月12日上午7时,一个自称是“Iranian CyberArmy”的组织篡改了百度主页致使主页瘫痪,百度近6个小时无法提供正常服务,损失超过700万元。2010年9月,首个网络“超级武器”,一种名为Stuxnet的计算机病毒已经感染了全球超过45000个网络,伊朗遭到的攻击最为严重[1]。
2 常用的网络攻击工具与技术
网络攻击是指网络上任何非授权的行为。网络攻击的范围从简单的服务器无法提供正常的服务到完全破坏、控制服务器。目前的网络攻击行为主要是利用通信协议本身存在的缺陷,或是利用系统的网络安全配置不当而产生的漏洞进行攻击。攻击者会根据不同的网络结构和系统状况,采取不同的攻击手段。常见的网络攻击手段主要有以下几种:网络嗅探、口令破解、端口扫描、缓冲区溢出、拒绝服务攻击和恶意程序等[2]。
1)网络嗅探
网络嗅探器(Network Sniffer)是一种黑客工具,用于窃听流经网络接口的信息,从而获取用户协会化信息:如商业机密、认证信息。一般的计算机系统通常只能接收目的地址指向自己的网络包,其他的包被忽略。但当网络接口处于混杂模式时,一台计算机的网络接口可能收到目的地址并非指向自身的网络包。由于网络上的数据包遵循公开的网络协议,具有通用的数据结构,因此很容易从中解析出有用信息。
2)口令破解
计算机口令是访问计算机资源的第一道屏障,因此口令破解便成为攻击者面临的第一个问题。要进行口令破解,攻击者通常需要具备以下几方面的条件:高性能的计算机、大容量的在线字典或其他字符列表、已知的加密算法、口令文件、用户一般都选择使用弱口令等。
3)端口扫描
一个端口就是一个潜在的通信通道,也就是一个入侵通道。端口扫描通过选用远程TCP/IP不同的端口服务,并记录目标给予的回答,就可以搜集到很多关于目标主机的有用信息,例如,通过扫描可以发现目标主机开放的端口,进而得知主机上正在运行的网络服务,由此便可以测试这些服务是否存在已知的漏洞。扫描器并不是一个直接攻击网络漏洞的程序,它仅能帮助攻击者发现目标机的某些内在弱点。端口扫描技术包括完全连接扫描、SYN扫描、FIN扫描等等。
4)缓冲区溢出攻击
缓冲区溢出攻击是目前极为有效的一种攻击技术,在远程网络攻击行为中,缓冲区溢出攻击占了绝大多数。缓冲区溢出攻击可以使攻击者有机会获得一台主机的部分或全部的控制权。
缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序功能,这样可以使攻击者取得程序拥有的控制权。要实现缓冲区溢出攻击,要解决两方面的问题:一是要在缓冲区溢出程序的地址空间里安排适当的代码。二是要通过适当初始化寄存器和存储器,令程序跳转到攻击者所安排的地址空间执行攻击代码。
5)拒绝服务攻击
拒绝服务攻击是指攻击者利用系统的缺陷,通过执行一些恶意的操作使得合法的系统用户不能及时地得到应得的服务或资源,如CPU处理时间、存储器、网络带宽等。拒绝服务攻击的本质特征是延长服务等待时间,从而延迟或阻碍合法用户使用系统提供的服务,对关键性和实时性的服务造成影响。拒绝服务攻击的基本模式可分为以下四类:资源消耗型、配置修改型、基于系统缺陷型和物理实体破坏型。常见的拒绝服务攻击包括SYN Flood、IP欺骗DOS攻击、Ping洪流攻击、泪滴攻击、Land攻击、Smurf攻击等等。
6)恶意程序攻击
恶意程序通常是指带有攻击意图所编写的一段程序。这些威胁可以分成两个类别:需要宿主程序的威胁和彼此独立的威胁。前者基本上是不能独立于某个实际的应用程序、实用程序或系统程序的程序片段;后者是可以被操作系统调度和运行的自包含程序。恶意程序主要包括:病毒、蠕虫、特洛伊木马、逻辑炸弹、陷门、细菌等等[3]。
3 常用的网络防御设备与技术
网络攻击是利用系统等各方面的安全漏洞进行非法操作的行为。因此,充分、全面的对系统安全漏洞和安全威胁进行分析、评估和检测,从网络的各个层次进行技术防范是设计网络安全防御系统的必要条件。目前采取的安全防御措施与设备主要有以下几种:加密系统、入侵检测、漏洞扫描、身份认证、防火墙和杀毒软件等[4]。
1)密码技术
密码技术是网络安全最有效的技术之一,一个加密的网络,不但可以防止非授权用户的搭线窃听和入网,也是对付恶意软件的有效方法之一。用来完成加密过程的硬件设备称为加密机,用来加密的软件称为加密软件。一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。
对于在网络节点间的某一次通信链路,链路加密能为网上传输的数据提供安全保障。链路加密的所有消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。在到达目的地之前,一条消息可能要经过许多链路的传输。
节点加密能给网络数据提供较高的安全性,它在操作方式上与链路加密是类似的,即在通信链路上为传输的消息提供安全性;在中间节点先对消息进行解密,然后进行加密。但与链路加密不同的是,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程在节点上的一个安全模块中进行。
端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密,消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即便节点损坏也不会使消息泄露。
2)防火墙技术
防火墙是网络安全领域首要的、基础的设备,它对维护内部网络的安全起着重要的作用。利用防火墙可以有效地划分网络不同安全级别区域间的边界,并在边界上对不同区域间的访问实施访问控制、身份鉴别和审计等安全功能。根据实现方式的不同,防火墙的基本类型有包过滤型、应用网关级防火墙、代理服务型和状态检测型。
3)入侵检测
入侵检测系统(IDS)是一种主动保护网络资源的网络安全系统,它从计算机网络中的关键点收集信息,并进行分析,查看网络中是否有违反安全策略的行为和受到攻击的迹象。入侵检测是防火墙的合理补充,能帮助系统对付网络攻击,提高了信息安全基础结构的完整性。入侵检测的基本任务包括以下几个方面:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关认识报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
入侵检测系统一般通过四种技术手段进行分析:模式匹配、统计分析、协议分析和完整性分析。其中前三种方法主要用于实时的入侵检测,而完整性分析则用于事后分析。
4)漏洞扫描
在网络安全事件中,很大一部分都是由于网络系统存在系统漏洞造成的,因此发现和修补这些漏洞就成为了网络安全工作的重要部分。网络安全扫描系统就是针对系统漏洞而设计的。它能自动地对计算机系统或者网络设备的安全漏洞进行检测,并且为检测到的漏洞提供修补措施,从而预防被攻击的危险。
漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:一是在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;二是通过模拟黑客攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱口令等等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。
5)身份认证
在网络系统中,黑客可以轻易伪装成他人进行网络欺骗,非法访问保密信息,使用网络资源。因此,网络环境的身份认证成为了保证系统信息和资源被合法使用的关键。网络的分布性使得用户的身份认证方法不能再依赖传统的现场认证,因此需要提供网络环境下身份认证能力,确保网络资源、系统资源和重要数据被合法访问。身份认证的常用术有动态密码技术、PKI技术等。
6)杀毒软件
杀毒软件如今是计算机用户必备的软件,是用于消除病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统的重要组成部分。杀毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动。杀毒软件的任务是实时监控和扫描磁盘,以便及时的发现威胁并清除。
4 结束语
计算机技术的发展致使网络安全技术的不断更新,掌握必要的网络安全知识,对保护个人的信息与网络安全有重要意义。
参考文献:
[1]陈泌,对未来网络信息战的思考[J].湖北广播电视大学学报,2005,22(5):125~126.
[2]卿斯汉、蒋建春,网络攻防技术原理与实战[M].北京:科学出版社,2004.
[3]D.M.Nicoland,M.Liljenstam.Models and Analysis of Active Worm Defense MMM-ACNS 2005[R], LNCS 3685,2005.
[4]祝晓光,网络安全设备与技术[M].北京:清华大学出版社,2004.
关键词: 网络安全;网络攻击;网络防御
中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)1220003-02
0 引言
在计算机网络日益普及的今天,网络安全对人们生活造成了越来越大的影响。要保证用户的信息安全,就必须认清网络安全形式,掌握一定的网络攻防常识,才能有效的保护个人的计算机。
1 近年的网络安全事件
1983年,美国人凯文·米特尼克因被发现使用一台大学里的电脑擅自进入今日互联网的前身ARPA网,并通过该网进入了美国五角大楼的电脑,成为了历史上第一个因网络犯罪而入狱的人,至此掀开了黑客网络攻击的序幕。1995年,来自俄罗斯的黑客“弗拉季米尔·列宁”通过互联网侵入美国花旗银行并盗走一千万元,成为历史上第一个通过入侵银行电脑系统来获利的黑客。1999年,戴维·史密斯编写的梅利莎病毒使世界上300多家公司的电脑系统崩溃,该病毒造成的损失接近4亿美金,是首个具有全球破坏力的病毒。2008年,一个全球性的黑客组织,利用ATM欺诈程序在一夜之间从世界49个城市的银行中盗走了900万美元。2010年1月12日上午7时,一个自称是“Iranian CyberArmy”的组织篡改了百度主页致使主页瘫痪,百度近6个小时无法提供正常服务,损失超过700万元。2010年9月,首个网络“超级武器”,一种名为Stuxnet的计算机病毒已经感染了全球超过45000个网络,伊朗遭到的攻击最为严重[1]。
2 常用的网络攻击工具与技术
网络攻击是指网络上任何非授权的行为。网络攻击的范围从简单的服务器无法提供正常的服务到完全破坏、控制服务器。目前的网络攻击行为主要是利用通信协议本身存在的缺陷,或是利用系统的网络安全配置不当而产生的漏洞进行攻击。攻击者会根据不同的网络结构和系统状况,采取不同的攻击手段。常见的网络攻击手段主要有以下几种:网络嗅探、口令破解、端口扫描、缓冲区溢出、拒绝服务攻击和恶意程序等[2]。
1)网络嗅探
网络嗅探器(Network Sniffer)是一种黑客工具,用于窃听流经网络接口的信息,从而获取用户协会化信息:如商业机密、认证信息。一般的计算机系统通常只能接收目的地址指向自己的网络包,其他的包被忽略。但当网络接口处于混杂模式时,一台计算机的网络接口可能收到目的地址并非指向自身的网络包。由于网络上的数据包遵循公开的网络协议,具有通用的数据结构,因此很容易从中解析出有用信息。
2)口令破解
计算机口令是访问计算机资源的第一道屏障,因此口令破解便成为攻击者面临的第一个问题。要进行口令破解,攻击者通常需要具备以下几方面的条件:高性能的计算机、大容量的在线字典或其他字符列表、已知的加密算法、口令文件、用户一般都选择使用弱口令等。
3)端口扫描
一个端口就是一个潜在的通信通道,也就是一个入侵通道。端口扫描通过选用远程TCP/IP不同的端口服务,并记录目标给予的回答,就可以搜集到很多关于目标主机的有用信息,例如,通过扫描可以发现目标主机开放的端口,进而得知主机上正在运行的网络服务,由此便可以测试这些服务是否存在已知的漏洞。扫描器并不是一个直接攻击网络漏洞的程序,它仅能帮助攻击者发现目标机的某些内在弱点。端口扫描技术包括完全连接扫描、SYN扫描、FIN扫描等等。
4)缓冲区溢出攻击
缓冲区溢出攻击是目前极为有效的一种攻击技术,在远程网络攻击行为中,缓冲区溢出攻击占了绝大多数。缓冲区溢出攻击可以使攻击者有机会获得一台主机的部分或全部的控制权。
缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序功能,这样可以使攻击者取得程序拥有的控制权。要实现缓冲区溢出攻击,要解决两方面的问题:一是要在缓冲区溢出程序的地址空间里安排适当的代码。二是要通过适当初始化寄存器和存储器,令程序跳转到攻击者所安排的地址空间执行攻击代码。
5)拒绝服务攻击
拒绝服务攻击是指攻击者利用系统的缺陷,通过执行一些恶意的操作使得合法的系统用户不能及时地得到应得的服务或资源,如CPU处理时间、存储器、网络带宽等。拒绝服务攻击的本质特征是延长服务等待时间,从而延迟或阻碍合法用户使用系统提供的服务,对关键性和实时性的服务造成影响。拒绝服务攻击的基本模式可分为以下四类:资源消耗型、配置修改型、基于系统缺陷型和物理实体破坏型。常见的拒绝服务攻击包括SYN Flood、IP欺骗DOS攻击、Ping洪流攻击、泪滴攻击、Land攻击、Smurf攻击等等。
6)恶意程序攻击
恶意程序通常是指带有攻击意图所编写的一段程序。这些威胁可以分成两个类别:需要宿主程序的威胁和彼此独立的威胁。前者基本上是不能独立于某个实际的应用程序、实用程序或系统程序的程序片段;后者是可以被操作系统调度和运行的自包含程序。恶意程序主要包括:病毒、蠕虫、特洛伊木马、逻辑炸弹、陷门、细菌等等[3]。
3 常用的网络防御设备与技术
网络攻击是利用系统等各方面的安全漏洞进行非法操作的行为。因此,充分、全面的对系统安全漏洞和安全威胁进行分析、评估和检测,从网络的各个层次进行技术防范是设计网络安全防御系统的必要条件。目前采取的安全防御措施与设备主要有以下几种:加密系统、入侵检测、漏洞扫描、身份认证、防火墙和杀毒软件等[4]。
1)密码技术
密码技术是网络安全最有效的技术之一,一个加密的网络,不但可以防止非授权用户的搭线窃听和入网,也是对付恶意软件的有效方法之一。用来完成加密过程的硬件设备称为加密机,用来加密的软件称为加密软件。一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。
对于在网络节点间的某一次通信链路,链路加密能为网上传输的数据提供安全保障。链路加密的所有消息在被传输之前进行加密,在每一个节点对接收到的消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。在到达目的地之前,一条消息可能要经过许多链路的传输。
节点加密能给网络数据提供较高的安全性,它在操作方式上与链路加密是类似的,即在通信链路上为传输的消息提供安全性;在中间节点先对消息进行解密,然后进行加密。但与链路加密不同的是,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程在节点上的一个安全模块中进行。
端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密,消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即便节点损坏也不会使消息泄露。
2)防火墙技术
防火墙是网络安全领域首要的、基础的设备,它对维护内部网络的安全起着重要的作用。利用防火墙可以有效地划分网络不同安全级别区域间的边界,并在边界上对不同区域间的访问实施访问控制、身份鉴别和审计等安全功能。根据实现方式的不同,防火墙的基本类型有包过滤型、应用网关级防火墙、代理服务型和状态检测型。
3)入侵检测
入侵检测系统(IDS)是一种主动保护网络资源的网络安全系统,它从计算机网络中的关键点收集信息,并进行分析,查看网络中是否有违反安全策略的行为和受到攻击的迹象。入侵检测是防火墙的合理补充,能帮助系统对付网络攻击,提高了信息安全基础结构的完整性。入侵检测的基本任务包括以下几个方面:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关认识报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
入侵检测系统一般通过四种技术手段进行分析:模式匹配、统计分析、协议分析和完整性分析。其中前三种方法主要用于实时的入侵检测,而完整性分析则用于事后分析。
4)漏洞扫描
在网络安全事件中,很大一部分都是由于网络系统存在系统漏洞造成的,因此发现和修补这些漏洞就成为了网络安全工作的重要部分。网络安全扫描系统就是针对系统漏洞而设计的。它能自动地对计算机系统或者网络设备的安全漏洞进行检测,并且为检测到的漏洞提供修补措施,从而预防被攻击的危险。
漏洞扫描主要通过以下两种方法来检查目标主机是否存在漏洞:一是在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;二是通过模拟黑客攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱口令等等。若模拟攻击成功,则表明目标主机系统存在安全漏洞。
5)身份认证
在网络系统中,黑客可以轻易伪装成他人进行网络欺骗,非法访问保密信息,使用网络资源。因此,网络环境的身份认证成为了保证系统信息和资源被合法使用的关键。网络的分布性使得用户的身份认证方法不能再依赖传统的现场认证,因此需要提供网络环境下身份认证能力,确保网络资源、系统资源和重要数据被合法访问。身份认证的常用术有动态密码技术、PKI技术等。
6)杀毒软件
杀毒软件如今是计算机用户必备的软件,是用于消除病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的杀毒软件还带有数据恢复等功能,是计算机防御系统的重要组成部分。杀毒软件通过在系统添加驱动程序的方式,进驻系统,并且随操作系统启动。杀毒软件的任务是实时监控和扫描磁盘,以便及时的发现威胁并清除。
4 结束语
计算机技术的发展致使网络安全技术的不断更新,掌握必要的网络安全知识,对保护个人的信息与网络安全有重要意义。
参考文献:
[1]陈泌,对未来网络信息战的思考[J].湖北广播电视大学学报,2005,22(5):125~126.
[2]卿斯汉、蒋建春,网络攻防技术原理与实战[M].北京:科学出版社,2004.
[3]D.M.Nicoland,M.Liljenstam.Models and Analysis of Active Worm Defense MMM-ACNS 2005[R], LNCS 3685,2005.
[4]祝晓光,网络安全设备与技术[M].北京:清华大学出版社,2004.