摘要：本文詳細(xì)描述了常見(jiàn)的網(wǎng)絡(luò)攻擊手段和攻擊原理，針對(duì)這些攻擊手段設(shè)置網(wǎng)絡(luò)安全防護(hù)策略。

關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；安全策略

1 引言

隨著Internet的發(fā)展，高信息技術(shù)像一把雙刃劍，帶給我們無(wú)限益處的同時(shí)也帶給網(wǎng)絡(luò)更大的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全已成為重中之重，攻擊者無(wú)處不在。因此網(wǎng)絡(luò)管理人員應(yīng)該對(duì)攻擊手段有一個(gè)全面深刻的認(rèn)識(shí)，制訂完善安全防護(hù)策略。

2 常見(jiàn)網(wǎng)絡(luò)攻擊的原理和手段

2.1 口令入侵

所謂口令入侵是指使用某些合法用戶的賬號(hào)和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動(dòng)。獲得用戶賬號(hào)的方法很多，如利用目標(biāo)主機(jī)的Finger功能、X.500服務(wù)、從電子郵件地址中收集、查看習(xí)慣性賬號(hào)。獲取用戶的賬號(hào)后，利用一些專門(mén)軟件強(qiáng)行破解用戶口令。

2.2 放置特洛伊木馬程序 [1]

特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開(kāi)或下載，一旦用戶打開(kāi)或者執(zhí)行了這些程序，它們就會(huì)像古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，并在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在windows啟動(dòng)時(shí)悄悄執(zhí)行的程序。當(dāng)你連接到因特網(wǎng)上時(shí)，這個(gè)程序就會(huì)通知攻擊者，來(lái)報(bào)告你的IP地址以及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用預(yù)先潛伏的程序，就可以任意地修改你的計(jì)算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你整個(gè)硬盤(pán)中的內(nèi)容等，從而達(dá)到控制你的計(jì)算機(jī)的目的。

2.4 電子郵件攻擊

電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。攻擊者使用一些郵件炸彈軟件或CGI程序向目的郵箱發(fā)送大量?jī)?nèi)容重復(fù)、無(wú)用的垃圾郵件，從而使目的郵箱被撐爆而無(wú)法使用。攻擊者還可以佯裝系統(tǒng)管理員，給用戶發(fā)送郵件要求用戶修改口令或在貌似正常的附件中加載病毒或其他木馬程序。

2.5 網(wǎng)絡(luò)監(jiān)聽(tīng) [2]

網(wǎng)絡(luò)監(jiān)聽(tīng)是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接收方是誰(shuí)。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽(tīng)。此時(shí)若兩臺(tái)主機(jī)進(jìn)行通信的信息沒(méi)有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽(tīng)工具(如NetXRay for Windows95／98／NT、Sniffit for Linux、Solaries等)就可輕而易舉地截取包括口令和賬號(hào)在內(nèi)的信息資料。

2.6 安全漏洞攻擊[2]

許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。如緩沖區(qū)溢出攻擊。由于很多系統(tǒng)在不檢查程序與緩沖之間變化的情況，就任意接受任意長(zhǎng)度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里，系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長(zhǎng)度的指令，系統(tǒng)便進(jìn)入不穩(wěn)定狀態(tài)。若攻擊者特別配置一串準(zhǔn)備用作攻擊的字符，他甚至可以訪問(wèn)根目錄，從而擁有對(duì)整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。

3 網(wǎng)絡(luò)攻擊應(yīng)對(duì)策略

在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行上述分析與識(shí)別的基礎(chǔ)上，認(rèn)真制定有針對(duì)性的策略。明確安全對(duì)象，設(shè)置強(qiáng)有力的安全保障體系。同時(shí)還必須做到未雨綢繆，預(yù)防為主，將重要的數(shù)據(jù)備份并時(shí)刻注意系統(tǒng)運(yùn)行狀況。

3.1 利用安全防范技術(shù)

正因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題，復(fù)雜多樣，所以出現(xiàn)了一些技術(shù)來(lái)幫助管理員來(lái)加強(qiáng)網(wǎng)絡(luò)安全。其中主要分為，加密技術(shù)，身份認(rèn)證技術(shù)，防火墻技術(shù)等等。管理員可以利用這些技術(shù)組合使用來(lái)保證網(wǎng)絡(luò)主機(jī)的安全。

3.1.1 加密技術(shù)

加密技術(shù)主要分為公開(kāi)算法和私有算法兩種，私有算法是運(yùn)用起來(lái)是比較簡(jiǎn)單和運(yùn)算速度比較快的，但缺點(diǎn)是一旦被解密者追蹤到算法，那么算法就徹底廢了。公開(kāi)算法的算法是公開(kāi)的，有的是不可逆，有用公鑰，私鑰的。優(yōu)點(diǎn)是非常難破解，可廣泛用于各種應(yīng)用。缺點(diǎn)是運(yùn)算速度較慢。使用時(shí)很不方便。

3.1.2 身份認(rèn)證技術(shù)

身份認(rèn)證技術(shù)在電子商務(wù)應(yīng)用中是極為重要的核心安全技術(shù)之一，主要在數(shù)字簽名是用公鑰私鑰的方式保證文件是由使用者發(fā)出的和保證數(shù)據(jù)的安全。在網(wǎng)絡(luò)應(yīng)用中有第三方認(rèn)證技術(shù)Kerberos，它可以使用戶使用的密碼在網(wǎng)絡(luò)傳送中，每次均不一樣，可以有效的保證數(shù)據(jù)安全和方便用戶在網(wǎng)絡(luò)登入其它機(jī)器的過(guò)程中不需要重復(fù)輸入密碼。

3.1.3 防火墻 [3]

防火墻技術(shù)是比較重要的一個(gè)橋梁，以用來(lái)過(guò)濾內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)環(huán)境，在網(wǎng)絡(luò)安全方面，它的核心技術(shù)就是包過(guò)濾，高級(jí)防火墻還具有地址轉(zhuǎn)換，虛擬私網(wǎng)等功能。

3.2 制訂安全策略

系統(tǒng)管理員應(yīng)提高認(rèn)識(shí)，并分析做出解決辦法和提出具體防范方法。更應(yīng)該在保證好機(jī)器設(shè)備正常運(yùn)轉(zhuǎn)的同時(shí)，積極研究各種安全問(wèn)題，制訂安全策略。雖然沒(méi)有絕對(duì)的把握阻止任何侵入，但是一個(gè)好的安全策略可以最少的機(jī)會(huì)發(fā)生入侵情況，即使發(fā)生了也可以最快的做出正確反應(yīng)，最大程度減少經(jīng)濟(jì)損失。

3.2.1 提高安全意識(shí)

(1)不隨意打開(kāi)來(lái)歷不明的電子郵件及文件，不隨意運(yùn)行不明程序。

(2)盡量避免從Internet下載不明軟件。一旦下載軟件及時(shí)用最新的病毒和木馬查殺軟件進(jìn)行掃描。

(3)密碼設(shè)置盡可能使用字母數(shù)字混排，不容易窮舉。重要密碼最好經(jīng)常更換。

(4)及時(shí)下載安裝系統(tǒng)補(bǔ)丁程序。

3.2.2 使用防毒、防黑等防火墻

防火墻是用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進(jìn)/出兩個(gè)方向通信的門(mén)檻。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。

3.2.3 設(shè)置代理服務(wù)器，隱藏自己的IP地址。

事實(shí)上，即便你的機(jī)器上被安裝了木馬程序，若沒(méi)有你的IP地址，攻擊者也是沒(méi)有辦法的，而保護(hù)IP地址的最好方法就是設(shè)置代理服務(wù)器。代理服務(wù)器能起到外部網(wǎng)絡(luò)申請(qǐng)?jiān)L問(wèn)內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)某種網(wǎng)絡(luò)服務(wù)時(shí)，代理服務(wù)器接受申請(qǐng)，然后它根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)的對(duì)象、服務(wù)者申請(qǐng)的時(shí)間、申請(qǐng)者的域名范圍等來(lái)決定是否接受此項(xiàng)服務(wù)。

3.2.4 將防毒、防黑當(dāng)成日常例性工作，定時(shí)更新防毒組件，將防毒軟件保持在常駐狀態(tài)，以徹底防毒。

3.2.5 對(duì)于重要的資料做好嚴(yán)密的保護(hù)，并養(yǎng)成資料備份的習(xí)慣。

4 結(jié)束語(yǔ)

沒(méi)有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，安全問(wèn)題是多種多樣，且隨著時(shí)間技術(shù)的變化而變化，所以安全防護(hù)也是非常重要的，保持清醒正確的認(rèn)識(shí)，同時(shí)掌握最新的安全問(wèn)題情況，再加上完善有效的安全策略，是可以阻止大部分安全事件的發(fā)生，保持最小程度的損失。

參考文獻(xiàn)：

[1]耿杰，方風(fēng)波.計(jì)算機(jī)網(wǎng)絡(luò)安全與實(shí)訓(xùn)[M].北京:科學(xué)出版社出版，2006，155-158.

[2]劉遠(yuǎn)生，等.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社出版，2006.229-244.

[3]姜文紅.網(wǎng)絡(luò)安全與管理[M].北京:清華大學(xué)出版社出版，2007.100-113.

收稿日期：2008-01-06

作者簡(jiǎn)介：郭正紅（1977-），女，河北懷來(lái)人，河北北方學(xué)院信息中心助教，學(xué)士。