對于現(xiàn)代計算機網(wǎng)絡安全缺陷的思考及建議

孫紅

[摘要]在當今社會人們的生活和工作因為有了計算機而發(fā)生了驚人的變化。很多商業(yè)機構(gòu)和個人都普遍開始使用計算機網(wǎng)絡來進行電子商務、購物、炒股和辦公，這給人們的生活帶來了前所未有的方便，而這一切都得益于網(wǎng)絡的開放性和匿名性，但是很多不法分子也正是利用了這些特點，利用計算機網(wǎng)絡的自身缺陷來對用戶進行攻擊。因此，本文將針對此現(xiàn)象，作出相應的解決措施，僅供業(yè)內(nèi)人士參考。

[關(guān)鍵詞]計算機網(wǎng)絡；安全缺陷；攻擊方式；防范措施

[中圖分類號]TD393 [文獻標識碼]A [文章編號]1672-5158（2013）05-0061-02

一、計算機網(wǎng)絡安全缺陷

1、計算機網(wǎng)絡一般采用的是TCP/IP協(xié)議，在制定該協(xié)議時，設計人員主要考慮的是方便性，對安全性的考慮不多，因而該協(xié)議本身具有很多安全漏洞。

2、計算機的操作系統(tǒng)在進行結(jié)構(gòu)設計和代碼設計時，也是主要考慮到用戶使用的方便性，但是在安全性上，比如計算機的遠程控制、權(quán)限控制等方面，存在缺陷。

3、計算機在數(shù)據(jù)庫管理上也存在一定的缺陷，不法分子可以在數(shù)據(jù)庫或者應用程序中安裝各種破壞程序來進行情報數(shù)據(jù)的收集。

二、計算機網(wǎng)絡攻擊的方式

1、漏洞攻擊。由于計算機在系統(tǒng)、程序、硬件、軟件等方面都存在一定的缺陷和漏洞，而不法分子可以利用這些漏洞進行攻擊。計算機網(wǎng)絡常見的安全漏洞主要有：盜取遠程、本地管理權(quán)限，遠程、本地拒絕服務，服務器信息的泄露等等。不法分子會利用漏洞探測工具來對用戶的系統(tǒng)進行檢測，然后在不經(jīng)授權(quán)的情況下針對這些漏洞來進行攻擊。

2、病毒攻擊。病毒攻擊是計算機網(wǎng)絡攻擊中最為普遍，也是最難處理的一種，它可以對計算機造成巨大的損壞。許多病毒會和木馬結(jié)合在一起，殺毒軟件不僅很難刪除，還可以迅速進行傳播。

3、電子郵件攻擊。由于電子郵箱已經(jīng)成為很多人進行溝通交流的方式，很多商務交際和公司貿(mào)易中，都采用了電子郵件的方式。不法分子會利用CGI等軟件向用戶郵箱發(fā)送大量的垃圾郵件，導致郵箱被撐爆而無法使用。此外，不法分子還會用郵箱來對用戶發(fā)送帶有病毒的郵件。

4、DOS攻擊。DOS攻擊又稱拒絕服務攻擊，這種系統(tǒng)漏洞在全世界都普遍存在，不法分子利用系統(tǒng)和設備的缺陷不斷地進行攻擊。不法分子采用這種攻擊手段，讓用戶的系統(tǒng)因為負荷過多而無法正常工作。攻擊者采用的方式—般是對計算機之間的鏈接或服務器進行破環(huán)，使其無法進行正常的網(wǎng)絡通訊。

5、緩沖區(qū)溢出攻擊。不法分子利用軟件自身的缺陷，向程序的緩沖區(qū)寫入過長的內(nèi)容，發(fā)生緩沖區(qū)溢出，對程序的堆棧進行破壞，達到執(zhí)行其他指令的目的。或者攻擊者在緩沖區(qū)內(nèi)寫入自己的代碼，將這個代碼的的地址覆蓋原函數(shù)的返回地址，當程序返回時，程序就開始執(zhí)行攻擊者的代碼。

6、TCP/IP欺騙攻擊。這種攻擊方式是通過偽造假冒的地址，冒充真實的身份來和其他主機來進行合法通訊，或者是向被攻擊者發(fā)送了錯誤的報文，讓被攻擊者執(zhí)行錯誤的指令。

7、ARP欺騙攻擊。ARP攻擊，是攻擊者通過對路由器的ARP表進行欺騙，或者是對網(wǎng)關(guān)進行欺騙的方式達成攻擊的目的。其中，針對路由器的ARP欺騙方式是，攻擊者截獲網(wǎng)關(guān)數(shù)據(jù)，偽造MAC地址，并向網(wǎng)關(guān)頻繁發(fā)送，造成路由器的ARP緩存信息得到修改，導致真正的IP地址無法與路由器進行通訊，這種攻擊的結(jié)果是導致用戶的網(wǎng)絡受到中斷。而對網(wǎng)關(guān)進行欺騙的方式是攻擊者通過偽造網(wǎng)關(guān)，使得被攻擊者向攻擊者的網(wǎng)關(guān)發(fā)送數(shù)據(jù)，這樣，攻擊者可以截獲用戶的網(wǎng)絡信息。

8、電磁輻射攻擊。電磁輻射攻擊主要是應用在現(xiàn)代戰(zhàn)爭中，攻擊者通過電磁輻射干擾對方的通訊，同時將對方的通訊信息進行截取，是獲取軍事情報的方式。

三、網(wǎng)絡攻擊的防范技術(shù)

1、拒絕服務攻擊防范

1）用戶可以對不必要的服務進行關(guān)閉，對同時打開的SYN半連接數(shù)目進行限制，并且對SYN的半連接的timeout時間進行縮短，并注意及時對系統(tǒng)更新補丁。

2）在防火墻的設置上，嚴禁對計算機的非開放項目進行訪問，對同時打開的SYN最大連接數(shù)進行限制。對特定的IP設置訪問限制，并且將防火墻的DDOS的屬性啟動。

3）在路由器的設置上，對訪問控制列表要進行過濾，同時對SYN的數(shù)據(jù)包的流量速率進行設置，對版本過低的ISO進行升級，并為路由器建立logserver。

2、緩沖區(qū)溢出攻擊防范

1）程序指針完整性檢測。即用戶需要對程序指針進行檢測，防止被攻擊者進行改變并被引用。

2）堆砌保護。這是一種編譯器技術(shù)，用來對程序指針完整性進行檢測，其檢測方式是通過對函數(shù)活動記錄中的返回地址進行檢測來實現(xiàn)的。即，首先將一些附加的字節(jié)添加在堆棧中函數(shù)返回地址后，當函數(shù)返回時，會先對這些附加字節(jié)進行檢查，看是否被改動過，查看是否發(fā)生了緩沖區(qū)溢出攻擊。

3）數(shù)組邊界檢查。即對所有的數(shù)組操作進行檢查，確保數(shù)組操作在正確的范圍內(nèi)。

3、掃描型攻擊的防范

1）地址掃描的防護。用戶可以采用Ping程序進行探索，如果存在地址掃描攻擊，則其會對此程序作出反映，此時就可以在防火墻中將ICMP應笞消息過濾掉。

2）端口掃描的防護。用戶需要將閑置的端口或者存在風險的端口關(guān)閉，用戶還可以通過防火墻來檢測其是否被掃描，因此，良好的防護墻是預防端口掃描的關(guān)鍵因素。

3）畸形消息攻擊。由于計算機的操作系統(tǒng)本身存在漏洞，系統(tǒng)在處理信息時，如果不能進行錯誤校驗，在接受到畸形攻擊時就可能會導致系統(tǒng)崩潰。要預防畸形消息攻擊就需要及時更新安裝補丁。

4、IP地址欺騙防范

1）拋棄基于地址的信任策略：用戶為了實現(xiàn)對此類攻擊的阻止，需要拋棄以地址為基礎的驗證。比如，禁用r類遠程調(diào)用命令，或者刪除rhosts文件，對/etc/hosts.equjy文件進行清空。

2）使用加密方法：用戶可以采用對將要發(fā)送的數(shù)據(jù)包進行加密，在加密的過程中需要對當前的網(wǎng)絡環(huán)境進行改變，通過加密可以保證數(shù)據(jù)的真實性和完整性。

3）進行包過濾。通過對路由器進行設置，如果發(fā)現(xiàn)網(wǎng)外的鏈接請求的IP地址與本網(wǎng)內(nèi)IP地址相同，則對其進行禁止。如果數(shù)據(jù)包的IP地址并不在本網(wǎng)內(nèi)，則禁止將本網(wǎng)主機的數(shù)據(jù)包發(fā)送出去。包過濾技術(shù)只能過濾聲稱來自內(nèi)部網(wǎng)絡的外來包，所以最好關(guān)閉網(wǎng)絡中的外部可信任主機，避免不法分子冒充這些主機進行IP欺騙。

5、ARP攻擊防范

1）將網(wǎng)關(guān)MAC地址和對應的IP地址進行綁定；在交換機上將計算機端口和MAc地址進行綁定，同時對ACL進行配置，對非法IP或MAc地址進行過濾。

2）通過使用ARP服務器，查找自己的ARP轉(zhuǎn)換表，從而對其他設備的ARP廣播進行響應。在一些特殊的網(wǎng)絡環(huán)境中，可以考慮使用ARP代理或者是對網(wǎng)絡接口的ARP解析禁止執(zhí)行。

3）使用反ARP軟件、防火墻等監(jiān)控網(wǎng)絡，應當避免使用集線器等設備，并且定期檢查ARP的緩存列表。

4）因為ARP攻擊一般發(fā)生在園區(qū)內(nèi)，因此，網(wǎng)絡管理員可以根據(jù)在局域網(wǎng)中制定出一個網(wǎng)絡拓撲圖，劃出VLAN區(qū)域，如果有用戶感染了ARP病毒，為了防止ARP病毒的擴散，就需要立即找到感染病毒用戶的交換機端口，將這個端口列進VLAN區(qū)，并且可以運用端口中的disable對其進行屏蔽。

四、結(jié)束語

因此需要用戶和技術(shù)人員提高網(wǎng)絡安全防范的意識，提高應對攻擊的處理能力，同時要不斷加強學習和研究，從而更好地應對現(xiàn)在復雜多變的網(wǎng)絡環(huán)境。

參考文獻

[1]宋開旭.網(wǎng)絡攻擊與網(wǎng)絡安全分析[J]電腦編程技巧與維護，2009（10）：25-28

[2]王永健.網(wǎng)絡攻擊行為與安全防御[J]硅谷，2009（09）：37-39