非法入侵方式及應對策略

羅金鳳

摘要：本文通過對常見的網絡非法入侵方式進行分析，闡述如何利用簡單實用技術，對非法入侵進行查找與處理。

【關鍵詞】網絡安全 非法入侵 查找與處理

現代人的生活、工作、學習、娛樂和交往都己離不開計算機網絡。因此，攻擊者利用網絡進行病毒傳播、詐騙、竊密等制造的網絡隱患，破壞了網絡正常運行秩序。如何防止網絡免受非法入侵，確保網絡環境安全，成為當前需要研究并解決的問題。

1 非法入侵的危害

1.1 非法訪問

非法訪問的目的是惡意破系統并使其喪失服務能力，從而非法竊取用戶的重要信息。

1.2 信息泄露或丟失

信息被透露給非授權的實體，破壞了系統的保密性。導致信息泄露或丟失的危害有網絡監聽、漏洞利用、物理侵入、病毒、網絡釣魚等。

1.3 拒絕網絡服務

干擾網絡服務，使作業流程發生改變或使網絡系統癱瘓，最終使用戶得不到相應的服務。

1.4 網絡傳播病毒

通過網絡傳播的病毒，破壞性大大高于單機。其危害有盜取用戶的隱私信息，威脅用戶虛擬財產的安全等。

2 非法入侵的常見方式

2.1 ARP攻擊

局域網中各終端與外網進行通信，內網與外網之間的連接點是網關。利用網關的IP地址進行的ARP欺騙，攻擊者可以控制用戶主機向他所指定的MAC地址發送數據。造成不僅盜取用戶隱私信息，還會將回傳數據惡意篡改。

2.2 木馬攻擊

木馬程序具有很大的破壞性，其入侵目標的途徑主要有電子郵件、網絡下載、網頁瀏覽、基于DLL和遠程線程插入的木馬等。

2.3 拒絕服務攻擊

拒絕服務攻擊常用的有兩種：

（1）產生無用數據，使網絡擁堵；

（2）利用服務程序或傳輸協議的缺陷，發送錯誤數據，以至引發系統錯誤。

2.4 Web攻擊

常見的Web攻擊有：

（1）跨站請示截斷攻擊。用戶執行了惡意HTTP指令，但Web應用程序卻當成合法需求處理，使得惡意指令被正常執行。

（2） SQL注入攻擊。Web應用程序執行時，對用戶輸入命令或查詢語句的一部分沒有做過濾處理。

3 非法入侵的查找與處理

3.1 ARP欺騙攻擊

3.1.1 ARP查找

（1）主動定位。ARP攻擊源的網卡往往處于混雜模式，采用Sniffer工具掃描機器，如果網卡處于混雜模式并顯示為“Yes”，則這臺機器可能就是入侵者。

（2）被動定位。在局域網發生ARP攻擊時，查看交換機的動態ARP表中的內容，確定攻擊源的MAC地址；也可以在局域網中部署Sniffer工具，定位ARP攻擊源的MAC。

3.1.2 ARP的處理

（1）啟動Sniffer程序，填入網關的IP地址，得到相關的MAC地址。選擇“自動防護”，就可以使當前網卡與該網關的通信不會被監聽。如出現ARP欺騙提示，點擊“恢復默認”然后點擊“防護地址沖突”即可。

（2）手工清除。進入MS-DOS窗口，運行arp-d命令，將arp緩存刪空，使暫時能上網，隨后拔掉網線，運行arp-a命令并記錄下網關IP所對應的MAC地址。接下來把網關的IP和正確的MAC進行綁定，使其不再受到攻擊。綁定命令：arp-s網關IP網關MAC。

3.2 木馬攻擊

3.2.1 木馬攻擊的查找

（1）檢查注冊表。查看以“Run”開頭的鍵值名，如有可疑文件名，先刪除相應的鍵值，再刪除應用程序。

（2）啟動組的檢查。啟動組通常是自動加載的場所，因此需經常檢查。啟動組文件夾為：C：＼windows＼startmenu＼programs＼startup。在注冊表中的位置是：

HKEY CURRENT USER＼Software＼Microso ft＼Windows＼CurrentVersion＼Explorer＼ShellFolders

Startup=”C：Ywindows＼startmenuYprograms＼startup”，。

（3） 常運行C：＼windows＼winstart.bat、C：＼windows＼wininit.ini、Autoexec.bat等命令，可以揪出隱藏的木馬。

3.2.2 木馬攻擊的處理

（1）使用360安全衛士、瑞星、金山毒霸、天網防火墻、Norton防火墻等進行處理。

（2）可在注冊表或系統啟動文件中找到并刪除木馬文件。

3.3 拒絕服務攻擊

3.3.1 拒絕服務攻擊的查找

（1）冰盾防火墻工作在系統的最底層，可用于檢測一些已知的拒絕服務，它既可掃描系統的內存進程，也可掃描系統的本地文件，甚至可找到拒絕服務攻擊者的IP地址。

（2）在Web服務器與Internet之間建立一個濾波器防火墻，用來搜索spoofed信息包，一旦發現正在生成spoofed信息包，跟蹤并找到源頭。

3.3.2 對拒絕服務攻擊的處理

（1）在網段的路由器上將配置進行調整，屏蔽拒絕服務攻擊者的IP地址，對SYN數據包的流量和個數加以限制。

（2）對SYN數據包進行處理時，設置系統參數，完成對超時的SYN請求強行復位。另外縮短超時常數，加長等候隊列，使系統加速處理無效的SYN數據包。

（3）在路由器前端做TCP攔截，當完成TCP三次握手后，數據包才可進入網段。

3.4 Web攻擊

3.4.1 Web攻擊的查找

（1）利用瑞星卡卡上網安全助手6.0。執行基于Web攻擊的掃描系統，強制所有Web請求都轉發到掃描設備，可以起到實時監控的作用。當發現病毒或非法軟件試圖入侵時，主動攔截并報警，并將惡意攻擊的時間、種類、方式記錄到數據庫供查找。

（2）對于服務器而言，Web攻擊需要使用管理員權限才能執行惡意代碼。因此，可查找網絡上是否存在普通用戶具有管理員權限，即發現可疑之處了。

3.4.2 對Web攻擊的處理

（1）打開瑞星卡卡上網安全助手6.0的上網防護功能，檢查防病毒軟件是否更新，服務是否運行，掃描任何通過互聯網下載的程序。

（2）檢查頁面的源代碼，警惕需要安裝軟件的網頁。除非絕對信賴該網站以及軟件的提供商，否則一定不要通過瀏覽器安裝新軟件。

4 總結

網絡安全技術是復雜的系統工程，因此，工作中我們不僅要運用好各種網絡安全技術，還應對網絡設備自身安全加以防護，使構成完善的防御系統。

參考文獻

[1]葉丹，網絡安全實用技術[M].清華大學出版社，2002 （10）.

[2]劉宗田，計算機及網絡安全[M]機械工業出版社，2006 （11）.endprint