網(wǎng)絡(luò)安全問題的發(fā)生機制及解決路徑探析

唐斌1 張鈺釧2 張鄭武文3 西華師范大學(xué)計算機學(xué)院1 西華師范大學(xué)數(shù)學(xué)與信息學(xué)院2 西華師范大學(xué)新聞傳播學(xué)院3

1 引言

上世紀末，網(wǎng)絡(luò)技術(shù)由軍用逐漸過渡至民用，在多家公司的共同參與下迅速發(fā)展，并滲透到社會的各個領(lǐng)域。網(wǎng)絡(luò)技術(shù)的迅速發(fā)展得益于網(wǎng)絡(luò)的開放性、自由性、易理解性等特性，它允許每一位網(wǎng)民自由接入，并在短時間內(nèi)開始使用互聯(lián)網(wǎng)，網(wǎng)絡(luò)世界的匿名性、跨時空性也吸引著越來越多的公眾參與。但以上優(yōu)勢也留下一系列潛在的安全問題，網(wǎng)絡(luò)愛好者能夠快速掌握網(wǎng)絡(luò)傳輸協(xié)議并對其中的弱點進行攻擊和利用，同時實現(xiàn)對自己身份信息的隱藏。當今世界，各個國家和相關(guān)組織正在大力開展網(wǎng)絡(luò)安全建設(shè)，我國也正為實現(xiàn)網(wǎng)絡(luò)強國的偉大理想而添磚加瓦。

2 網(wǎng)絡(luò)安全問題的發(fā)生機制

2.1 部分網(wǎng)民的網(wǎng)絡(luò)安全意識不足

使用瀏覽器的賬號密碼記錄與保存cookie功能使得訪問常用網(wǎng)站變得更加方便，但也增加了受到網(wǎng)絡(luò)攻擊而造成賬號信息泄露的風(fēng)險。網(wǎng)絡(luò)實名制的推行實施使得每位網(wǎng)民的真實信息被網(wǎng)絡(luò)服務(wù)公司保留，在一定程度上規(guī)范了網(wǎng)民的道德規(guī)范，但大量的個人隱私生活分享，會給他人留下可用信息。社會工程學(xué)通過社會、自然、制度等途徑，利用人的心理弱點（本能、好奇、信任、貪婪等）及制度上的漏洞，在攻擊者和被攻擊者之間建立信任關(guān)系，獲取有價值的信息，最終通過未經(jīng)授權(quán)的路徑訪問某些重要數(shù)據(jù)[1]。此外，在不同網(wǎng)站中使用相同的賬號密碼會存在撞庫的風(fēng)險，在公共環(huán)境中使用網(wǎng)絡(luò)也存在網(wǎng)絡(luò)監(jiān)聽的風(fēng)險，以上都能導(dǎo)致系統(tǒng)被入侵與數(shù)據(jù)被竊取。

2.2 計算機網(wǎng)絡(luò)本身存在的缺陷

在實現(xiàn)網(wǎng)絡(luò)參數(shù)標準化方面，國際標準化組織在網(wǎng)絡(luò)技術(shù)發(fā)展初期提出了OSI七層模型，但真正投入使用的是當時由公司聯(lián)合提出的TCP/IP協(xié)議。我們以O(shè)SI七層模型入手，分析每層協(xié)議存在的安全隱患。

2.2.1 應(yīng)用層

應(yīng)用層負責(zé)直接與用戶和應(yīng)用程序建立聯(lián)系，提供遠程登陸、郵件傳遞、文件傳輸?shù)确?wù)。DNS負責(zé)將域名解析為IP地址，并且優(yōu)先查詢本地數(shù)據(jù)，如果對hosts文件進行篡改，就可以達到DNS欺騙的效果。FTP和TELNET服務(wù)允許用戶遠程訪問主機，在沒有登陸限制的情況下，攻擊者可以通過枚舉的形式對賬戶進行暴力破解。HTTP提供的WEB服務(wù)允許任何人訪問，一旦攻擊者通過SQL注入、文件上傳等方式拿到服務(wù)器權(quán)限，將造成不可估量的損失。

2.2.2 表示層

表示層負責(zé)數(shù)據(jù)編碼，實現(xiàn)不同系統(tǒng)之間的數(shù)據(jù)兼容，同時提供加密解密服務(wù)。在數(shù)據(jù)包被截取后，攻擊者可以對數(shù)據(jù)包進行解密與解碼，從而造成信息泄露。

2.2.3 會話層

會話層負責(zé)數(shù)據(jù)同步，通過數(shù)據(jù)偏移量等參數(shù)，保證一個被正確接受之后再傳輸下一個數(shù)據(jù)包。利用會話層的特性，攻擊者可以偽造數(shù)據(jù)包序列號來接管真實客戶端進行通信，從而達到會話劫持的效果。

2.2.4 傳輸層

傳輸層負責(zé)數(shù)據(jù)的完整傳輸，在數(shù)據(jù)包接收失敗后進行數(shù)據(jù)重傳。在網(wǎng)絡(luò)攻擊中，經(jīng)常利用TCP三次握手原理存在的漏洞進行信息收集。此外，如果同時與服務(wù)器建立大量空連接，服務(wù)器會因資源被耗盡而拒絕正常服務(wù)。

2.2.5 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層負責(zé)在源主機和目標主機之間建立路由，目前應(yīng)用最廣泛的是IP協(xié)議。每個IP報文中會保存數(shù)據(jù)的源IP地址與目的IP地址，攻擊者可以通過偽造源IP的方式來實現(xiàn)IP欺騙。在局域網(wǎng)中，路由器通過IP地址與MAC地址的映射關(guān)系找到真實主機，攻擊者可以通過偽造ARP請求來修改路由器ARP數(shù)據(jù)，實現(xiàn)ARP欺騙。

2.2.6 數(shù)據(jù)鏈路層

數(shù)據(jù)鏈路層負責(zé)數(shù)據(jù)的發(fā)送與接收，源節(jié)點通過目的節(jié)點回傳的響應(yīng)報文來保證數(shù)據(jù)包安全到達。攻擊者可以通過故意傳輸錯誤數(shù)據(jù)的方式，使目的主機耗費大量資源進行數(shù)據(jù)校驗。

2.2.7 物理層

物理層負責(zé)將數(shù)據(jù)鏈路層數(shù)據(jù)轉(zhuǎn)化成物理信號，并在物理線路上進行傳輸。無線網(wǎng)絡(luò)允許每位信號范圍內(nèi)的客戶端接入，攻擊者經(jīng)常通過免費WIFI和偽基站的方式誘導(dǎo)被攻擊者接入局域網(wǎng)，以便進行內(nèi)網(wǎng)攻擊。此外，電信號在傳輸過程會形成感應(yīng)電流，利用特殊設(shè)備可以根據(jù)電流變化生成二進制數(shù)據(jù)，達到數(shù)據(jù)竊取的目的。

2.3 匿名訪問技術(shù)的出現(xiàn)

“暗網(wǎng)”又稱深層網(wǎng)絡(luò)，主要包括建立在封包交換方式基礎(chǔ)上的I2P匿名網(wǎng)絡(luò)、建立在P2P分布式技術(shù)上的Tor等匿名網(wǎng)絡(luò)以及建立在自組織機制上的Firechat等自組織匿名網(wǎng)絡(luò)[2]?！鞍稻W(wǎng)”能夠?qū)崿F(xiàn)匿名訪問互聯(lián)網(wǎng)，使得用戶IP難以被追蹤。這種技術(shù)常被攻擊者用來隱藏身份信息。

3 網(wǎng)絡(luò)安全問題的解決路徑

3.1 與時俱進，提升公民的信息安全意識

科技發(fā)展日新月異，網(wǎng)絡(luò)安全面臨的挑戰(zhàn)與困難越來越多。網(wǎng)絡(luò)安全部門需保持與時俱進的態(tài)度，不斷學(xué)習(xí)新的理論和技術(shù)以面對新的問題與挑戰(zhàn)。同時，還需從國家層面進一步加強安全建設(shè)，從源頭上杜絕問題的發(fā)生，提升網(wǎng)絡(luò)安全宣傳力度，增強公民網(wǎng)絡(luò)安全意識。

3.2 建設(shè)國際網(wǎng)絡(luò)犯罪破案合作機制，降低跨國辦案的成本

在攻擊的實施過程中，攻擊者通常通過使用多個海外服務(wù)器為跳板的方式來實現(xiàn)IP地址欺騙，以達到隱藏自己身份信息的目的。在網(wǎng)絡(luò)犯罪的取證過程中，需要聯(lián)系服務(wù)器所在國家的通信部門以獲取上一跳服務(wù)器IP地址，最終取得攻擊者的真實IP地址。為了構(gòu)建網(wǎng)絡(luò)空間命運共同體，我國應(yīng)積極主張、加快推進，提出國際網(wǎng)絡(luò)犯罪破案合作機制，形成一套方便快捷、覆蓋全面的國際網(wǎng)絡(luò)犯罪取證查詢系統(tǒng)。

3.3 結(jié)合區(qū)塊鏈原理，提出新的網(wǎng)絡(luò)協(xié)議

3.3.1 區(qū)塊鏈技術(shù)

區(qū)塊鏈技術(shù)源于比特幣，它能在不可信的環(huán)境中實現(xiàn)可信通信[3]。區(qū)塊鏈使用去中心化機制，加入?yún)^(qū)塊鏈的所有計算機上都儲存著每位用戶的操作記錄，以保證用戶操作不可否認。區(qū)塊鏈分為私有鏈、聯(lián)盟鏈、公共鏈。其中，聯(lián)盟鏈是一種中心化機制與去中心化機制結(jié)合的技術(shù)。

3.3.2 全新網(wǎng)絡(luò)協(xié)議構(gòu)想

在原有的中心化管理機制下，引入?yún)^(qū)塊鏈技術(shù)，兩者結(jié)合既能實現(xiàn)統(tǒng)一管理，又能快速、準確地對用戶操作進行溯源。這也要求全球合作的快速推進，讓每個國家使用一臺高性能服務(wù)器加入?yún)^(qū)塊鏈，以實現(xiàn)網(wǎng)絡(luò)操作日志記錄賬本全球共享，有利于各國執(zhí)法部門快速追查跨國網(wǎng)絡(luò)犯罪活動。

4 結(jié)束語

自從網(wǎng)絡(luò)技術(shù)產(chǎn)生以來，人類對于網(wǎng)絡(luò)安全的研究與探索就從未停歇。在不斷發(fā)展的技術(shù)面前，網(wǎng)絡(luò)安全面臨的挑戰(zhàn)越來越多，無論是國家、組織還是個人，只有通過不斷學(xué)習(xí)、積極創(chuàng)新，在面對網(wǎng)絡(luò)安全問題時才能胸有成竹。當前，關(guān)于網(wǎng)絡(luò)協(xié)議本身缺陷的研究內(nèi)容紛繁復(fù)雜，但都是在已有問題上進行控制。如果要從根本上解決網(wǎng)絡(luò)安全問題，還需結(jié)合不斷發(fā)展的新技術(shù)，對協(xié)議內(nèi)容進行改進或提出新的網(wǎng)絡(luò)傳輸協(xié)議加以應(yīng)對。

[1]Kevin Mitnick. The Art of Deception : ontrolling the Human Element of Security[M]. New York : Wiley, 005

[2]伍勁峰.OSI七層參考模型解析[J].軟件導(dǎo)刊,2006(17):46-47.

[3]駱慧勇.區(qū)塊鏈技術(shù)原理與應(yīng)用價值[J].金融縱,2016(07):33-37+76.