網(wǎng)絡(luò)攻擊模式與防范的一些措施

張建生　張小紅

【摘 要】進(jìn)入二十一世紀(jì)以來，計(jì)算機(jī)發(fā)展更新迅速，人們對電腦的使用，已不再是簡單的數(shù)字計(jì)算，在日常生活和工作中，人們越來越離不開計(jì)算機(jī)網(wǎng)絡(luò)。因此網(wǎng)絡(luò)安全問題就成了人們在使用電腦過程中越來越凸顯重視的問題。網(wǎng)絡(luò)就其使用區(qū)域范圍分，可分為很多種，與我們?nèi)粘Ｉ罟ぷ髯蠲芮械禺?dāng)屬國際互聯(lián)網(wǎng)即因特網(wǎng)，所以因特網(wǎng)的安全問題就顯得尤為重要。

【關(guān)鍵詞】互聯(lián)網(wǎng)的攻擊;安全;防范措施

Network attack mode and some guarding measures

Zhang jiansheng? Zhang Xiaohong

（Jiangxi? University of Engineering，Xinyu 338029 China）

Astract：The development of computer has become rapid since twenty one century.People will have to depend on computer network more and more in our daily life and work..Therefore，the problem of network security has become more and more important issue during the use of computer.Network may include many items.However，internet is the one which is mostly related to our daily life.Needless to say，the security of Internet seems the most significant.

Key words：Network attack? security? guarding measure

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展更新、普及推廣，網(wǎng)絡(luò)的安全性是已成為使用網(wǎng)絡(luò)用戶關(guān)心和非常重視的問題。人們希望自己使用的網(wǎng)絡(luò)可靠性高，安全無誤的運(yùn)行，不受外來病毒的破壞干擾。因此防范病毒，解決好網(wǎng)絡(luò)安全問題，是保障正常工作生活的前提。

要想提高我們的網(wǎng)絡(luò)安全，充分防范各種各樣的病毒惡意攻擊，我們有必要去了解一下，病毒的種類及性質(zhì)，病毒入侵網(wǎng)絡(luò)，攻擊網(wǎng)絡(luò)的一些手段，只有知已知彼才能對網(wǎng)絡(luò)上的遇到的各種難題有所了解，甚至達(dá)到迎刃而解的目的。

一、網(wǎng)絡(luò)攻擊的概念手段及入侵模式

（一）網(wǎng)絡(luò)攻擊的概念

網(wǎng)絡(luò)攻擊主要是通過信息的收集、分析、整理后，再找目標(biāo)計(jì)算機(jī)系統(tǒng)的漏洞，有針對有目的的對系統(tǒng)進(jìn)行資源的入侵與破壞。

網(wǎng)絡(luò)的設(shè)計(jì)是考慮到交流的便利和開放，因?yàn)閷τ谛畔⒌谋Ｕ舷嚓P(guān)安全方面非常有限。伴隨著計(jì)算機(jī)的信息技術(shù)發(fā)展，網(wǎng)絡(luò)攻擊也隨之逐步遞升。再完美的系統(tǒng)也能被一個小小的漏洞帶來巨大的安全隱患。

（二）常見的攻擊手段和網(wǎng)絡(luò)入侵

1 IP欺騙

IP欺騙是利用傳輸控制及互聯(lián)網(wǎng)協(xié)議（TCP/IP協(xié)議）本身的安全缺陷進(jìn)行攻擊的，它通過盜用合法的IP地址，獲取目標(biāo)主機(jī)的信任，進(jìn)而訪問目標(biāo)主機(jī)上的資源。

目前，許多安全性解決方案都依賴于精準(zhǔn)的IP地址，不論目標(biāo)主機(jī)上運(yùn)行何種操作系統(tǒng)，IP欺騙攻擊都是非常容易實(shí)現(xiàn)的，這些攻擊包括序列號欺騙、路由攻擊、源地址欺騙和授權(quán)欺騙。

2監(jiān)聽網(wǎng)絡(luò)

監(jiān)聽網(wǎng)絡(luò)是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。此時若兩臺主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具就可輕而易舉地截取各種信息包括口令和帳號在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶帳號和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號以以及帳號密碼。

3洛伊木馬

洛伊木馬（木馬）是可以直接侵入用戶的電腦并進(jìn)行破壞，它通常被偽裝在一些應(yīng)用程序或者游戲，用戶打開帶有木馬程序的郵件附件或在網(wǎng)上直接下載，用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，在自己的計(jì)算機(jī)系統(tǒng)中隱藏一個可以在windows啟動時悄悄執(zhí)行的程序。當(dāng)您連接到因特網(wǎng)上時，這個程序就會告訴攻擊者，您的IP地址以及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用這個潛伏的程序，任意地修改你的計(jì)算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視你硬盤中的內(nèi)容等，從而達(dá)到控制你的計(jì)算機(jī)的目的。

二 防范網(wǎng)絡(luò)入侵和攻擊

（一）Internet防范技術(shù)

Internet又稱廣域網(wǎng)，由于大多采用公網(wǎng)來進(jìn)行數(shù)據(jù)傳輸，信息在廣域網(wǎng)上傳輸時被截取和利用的可能性就會比局域網(wǎng)要大得多。在沒有專用的軟件對數(shù)據(jù)進(jìn)行控于制，只要使用Internet下載的“包檢測”工具軟件，就可以對通信數(shù)據(jù)進(jìn)行截取和破譯。

因此，就應(yīng)該采取相應(yīng)手段，使得在廣域網(wǎng)上發(fā)送和接收信息時得到保證：

1.除了發(fā)送方和接收方外，其他人是不能知悉的（隱私性）;

2.傳輸過程中不被篡改（真實(shí)性）;

3.發(fā)送方能確知接收方不是假冒的（非偽裝性）;

4.發(fā)送方不能否認(rèn)自己的發(fā)送行為（不可抵賴性）。

為了達(dá)到上述安全目的，廣域網(wǎng)通常采用以下安全解決辦法：

（1）加密技術(shù)

加密型網(wǎng)絡(luò)安全技術(shù)是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道的安全性來實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過對網(wǎng)絡(luò)數(shù)據(jù)的加密來保障網(wǎng)絡(luò)的安全及可靠性。傳統(tǒng)的加密技術(shù)可以分為二類：即替代加密、換位加密。在替代加密中，用一組密文字母來代替一組明文字母以隱藏明文，但保持明文字母的位置不變;換位加密有時也稱為排列，它不對明文字母進(jìn)行變換，只是將明文字母的順序重新排列。

（2）身份認(rèn)證技術(shù)

通信雙方在進(jìn)行重要的數(shù)據(jù)交換前，常常需要驗(yàn)證對方的身份，這種稱為身份認(rèn)證。在實(shí)際操作中，除了認(rèn)證對方的身份外，同時還要在雙方間建立一個秘密的會話密鑰，該會話密鑰用于對其后的會話進(jìn)行加密。每次連接都使用一個新的隨機(jī)選擇的會話密鑰，其目的在于減少用永久性密鑰加密數(shù)據(jù)量，以防網(wǎng)絡(luò)入侵者收集足夠數(shù)量的密文進(jìn)行破譯;另一方面，當(dāng)一個進(jìn)程發(fā)生崩潰并且其內(nèi)核落于他人之手時，最多只會暴露本次的會話密鑰，而永久性密鑰在會話建立后即被清除了。

（3）數(shù)字簽名

數(shù)字簽名有以下幾種：使用秘密密鑰算法的數(shù)字簽名;使用公開密鑰算法的數(shù)字簽名;報文摘要。

（二）訪問控制

訪問控制的主要目的是確保網(wǎng)絡(luò)資源不被非法訪問和非法利用，是網(wǎng)絡(luò)安全保護(hù)和防范的核心方法之一。訪問控制技術(shù)主要用于對靜態(tài)信息的保護(hù)，需要系統(tǒng)級別的支持，一般在操作系統(tǒng)中實(shí)現(xiàn)。目前，訪問控制主要以下幾種手段：

1、入網(wǎng)訪問控制通過對用戶名、用戶密碼和用戶帳號默認(rèn)權(quán)限的綜合驗(yàn)證、檢查來限制用戶對網(wǎng)絡(luò)的訪問，它能控制哪些用戶、在什么時間以及使用哪臺主機(jī)入網(wǎng)。入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。

2、網(wǎng)絡(luò)用戶通常分為三類：系統(tǒng)管理員用戶，負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的配置和管理;普通用戶，由系統(tǒng)管理員創(chuàng)建并 根據(jù)他們的實(shí)際需要為其分配權(quán)限;審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)系統(tǒng)的安全控制和資源使用情況的審計(jì)。用戶入網(wǎng)后就可以根據(jù)自身的權(quán)限訪問網(wǎng)絡(luò)資源。權(quán)限控制通過訪 問控制表來規(guī)范和限制用戶對網(wǎng)絡(luò)資源訪問，訪問控制表中規(guī)定了用戶可以訪問哪些目錄、子目錄、文件和其它資源，指定用戶對這些文件、目錄等資源能夠執(zhí)行哪些操作。

3、系統(tǒng)管理員為用戶在目錄一級指定的權(quán)限對該目錄下的所有文件和子目錄均有效。如果用戶濫用權(quán)限，則會對這些目錄、文件或設(shè)備等網(wǎng)絡(luò)資源構(gòu)成威脅。目錄級安全控制可以限制用戶對目錄和文件的訪問權(quán)限，進(jìn)而保護(hù)目錄和文件的安全，防止用戶權(quán)限濫用。

4、屬性安全控制是通過給網(wǎng)絡(luò)資源設(shè)置安全屬性標(biāo)記來實(shí)現(xiàn)的。它可以將目錄或文件隱藏、共享和設(shè)置成系統(tǒng)特性，可以限制用戶對文件進(jìn)行讀、寫、刪除、運(yùn)行等操作。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進(jìn)一步的安全性。

結(jié)論

網(wǎng)絡(luò)攻擊越來越嚴(yán)重，給網(wǎng)絡(luò)的安全帶來了很大的威脅。對于任何的攻擊，都是有辦法來防范的，只要清楚對方的手段，提高網(wǎng)絡(luò)知識，就可以抵制他們。提高網(wǎng)絡(luò)安全知識，對整體網(wǎng)絡(luò)的發(fā)展也是有著十分重要的意義，在每一個網(wǎng)絡(luò)用戶的努力下，相信我們的網(wǎng)絡(luò)環(huán)境將會更加的安全，更加的完善。

參考文獻(xiàn)

[1]宋乃平、文樺.Internet網(wǎng)絡(luò)安全管理[J].天中學(xué)刊.2002.（2）

[2]陳浩.Internet上的網(wǎng)絡(luò)攻擊與防范[J].電信技術(shù).1998.（4）

[3]雷震甲.網(wǎng)絡(luò)工程師教程.[M].北京：清華大學(xué)出版社，2004

作者簡介：

張建生（1973～），男，江西峽江人，副教授，軟件工程碩士，研究方向：計(jì)算機(jī)編程。張小紅（1974～），男，江西新余人，副教授，研究方面：計(jì)算機(jī)軟件

基金項(xiàng)目：本文系江西工程學(xué)院科學(xué)技術(shù)研究課題“基于大數(shù)據(jù)的高校家庭經(jīng)濟(jì)困難生精準(zhǔn)認(rèn)定模型研究”（立項(xiàng)編號：2019-JGKJ-06）;江西工程學(xué)院文科綜合類研究課題“基于“翻轉(zhuǎn)課堂”的Java語言課程教學(xué)模式研究”（編號：2019-JGZH-07）階段性研究成果。