网络安全技术研究》毕业论文
毕业设计(论文)中文摘要
网络安全技术研究摘要:近几年来,Internet技术日趋成熟,已经开始了从以提供和保证网络联通性为主要目标的第一代Internet技术向以提供网络数据信息服务为特征的第二代Internet技术的过渡。与此同时,数以万计的商业公司、政府机构在多年的犹豫、观望之后,意识到采用Internet技术并使企业数据通信网络成为Internet的延伸已成为发展趋势。这使得企业数据网络正迅速地从以封闭型的专线、专网为特征的第二代技术转向以Internet互联技术为基础的第三代企业信息网络。所有这些,都促使了计算机网络互联技术迅速的大规模使用。众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种计算机连网,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。对网络安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。这以要求我们与Internet互连所带来的安全性问题予以足够重视。关键词 网络、安全、VPN、加密技术、防火墙技术
毕业设计(论文)外文摘要
Title The Document Of Computer Network Security Abstract With the computer network development. Internet has already turned from the first generation the second. Meanwhile, thousands of company and governments realize the importance of Internet and take measures to build their own Network , so that extend the development of the Internet . This makes the Internet transfer from the second generation to the third which feature’s basis of Inter connecting. All of this above contributes to the large scale use of Interconnecting. As it is known to us all, Internet has the largest information net ,It is the openness of the protocol that convinent the link of variety nets and extend the sharing resources. However, because of the neglecting of Network security and the government management seriously threats the safety of Internet. The dangers appears: illegeal visiting, prentending the managerment , destroying the database, interrupting the setup of system, spreading the virus and so on . This asks us to pay more attention to the safety of Internet twister. Keywords Network 、Network security 、VPN 、Ipsec 、Firework
目 次
1 绪论 ………………………………………………………………5
2 方案目标 ……………………………………………………………5
3 安全需求 ……………………………………………………………6
4 风险分析 ……………………………………………………………6
5 解决方案 ……………………………………………………………7
5.1 设计原则 …………………………………………………………7
5.2 安全策略 ……………………………………………………………7
5.3 防御系统 …………………………………………………………8
5.3.1 物理安全 ………………………………………………………8
5.3.2 防火墙技术 ………………………………………………………8
5.3.3 VPN技术 ………………………………………………………10
5.3.4 网络加密技术(Ipsec) ……………………………………………11
5.3.5 身份认证 ………………………………………………………12
5.3.6 多层次多级别的防病毒系统 ……………………………………13
5.3.7 入侵检测 ……………………………………………………14
5.3.8 虚拟专用网技术虚拟专用网 …………………………………14
5.4 安全服务 ………………………………………………………15
5.5 安全技术的研究现状和动向 ………………………………………16
结论 ……………………………………………………………………18
致谢 …………………………………………………………………19
参考文献 …………………………………………………………20
1 绪论
随着互联网的飞速发展,网络安全逐渐成为一个潜在的巨大问题。网络安全性是一个涉及面很广泛的问题,其中也会涉及到是否构成犯罪行为的问题。在其最简单的形式中,它主要关心的是确保无关人员不能读取,更不能修改传送给其他接收者的信息。此时,它关心的对象是那些无权使用,但却试图获得远程服务的人。安全性也处理合法消息被截获和重播的问题,以及发送者是否曾发送过该条消息的问题。
大多数安全性问题的出现都是由于有恶意的人试图获得某种好处或损害某些人而故意引起的。可以看出保证网络安全不仅仅是使它没有编程错误。它包括要防范那些聪明的,通常也是狡猾的、专业的,并且在时间和金钱上是很充足、富有的人。同时,必须清楚地认识到,能够制止偶然实施破坏行为的敌人的方法对那些惯于作案的老手来说,收效甚微。
网络安全性可以被粗略地分为4个相互交织的部分:保密、鉴别、反拒认以及完整性控制。保密是保护信息不被未授权者访问,这是人们提到的网络安全性时最常想到的内容。鉴别主要指在揭示敏感信息或进行事务处理之前先确认对方的身份。反拒认主要与签名有关。保密和完整性通过使用注册过的邮件和文件锁来实现。
2 方案目标
本方案主要从网络层次考虑,将网络系统设计成一个支持各级别用户或用户群的安全网络,该网在保证系统内部网络安全的同时,还实现与Internet或国内其它网络的安全互连。本方案在保证网络安全可以满足各种用户的需求,比如:可以满足个人的通话保密性,也可以满足企业客户的计算机系统的安全保障,数据库不被非法访问和破坏,系统不被病毒侵犯,同时也可以防止诸如反动淫秽等有害信息在网上传播等。
需要明确的是,安全技术并不能杜绝所有的对网络的侵扰和破坏,它的作用仅在于最大限度地防范,以及在受到侵扰的破坏后将损失尽旦降低。具体地说,网络安全技术主要作用有以下几点:
1.采用多层防卫手段,将受到侵扰和破坏的概率降到最低;
2.提供迅速检测非法使用和非法初始进入点的手段,核查跟踪侵入者的活动;
3.提供恢复被破坏的数据和系统的手段,尽量降低损失;
4.提供查获侵入者的手段。
网络安全技术是实现安全管理的基础,近年来,网络安全技术得到了迅猛发展,已经产生了十分丰富的理论和实际内容。
3 安全需求
通过对网络系统的风险分析及需要解决的安全问题,我们需要制定合理的安全策略及安全方案来确保网络系统的机密性、完整性、可用性、可控性与可审查性。即,
可用性: 授权实体有权访问数据
机密性: 信息不暴露给未授权实体或进程
完整性: 保证数据不被未授权修改
可控性: 控制授权范围内的信息流向及操作方式
可审查性:对出现的安全问题提供依据与手段
访问控制:需要由防火墙将内部网络与外部不可信任的网络隔离,对与外部网络交换数据的内部网络及其主机、所交换的数据进行严格的访问控制。同样,对内部网络,由于不同的应用业务以及不同的安全级别,也需要使用防火墙将不同的LAN或网段进行隔离,并实现相互的访问控制。
数据加密:数据加密是在数据传输、存储过程中防止非法窃取、篡改信息的有效手段。
安全审计: 是识别与防止网络攻击行为、追查网络泄密行为的重要措施之一。具体包括两方面的内容,一是采用网络监控与入侵防范系统,识别网络各种违规操作与攻击行为,即时响应(如报警)并进行阻断;二是对信息内容的审计,可以防止内部机密或敏感信息的非法泄漏
4 风险分析
网络安全是网络正常运行的前提。网络安全不单是单点的安全,而是整个信息网的安全,需要从物理、网络、系统、应用和管理方面进行立体的防护。要知道如何防护,首先需要了解安全风险来自于何处。网络安全系统必须包括技术和管理两方面,涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。无论哪个层面上的安全措施不到位,都会存在很大的安全隐患,都有可能造成网络的中断。根据国内网络系统的网络结构和应用情况,应当从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。
风险分析是网络安全技术需要提供的一个重要功能。它要连续不断地对网络中的消息和事件进行检测,对系统受到侵扰和破坏的风险进行分析。风险分析必须包括网络中所有有关的成分。
5 解决方案
5.1 设计原则
针对网络系统实际情况,解决网络的安全保密问题是当务之急,考虑技术难度及经费等因素,设计时应遵循如下思想:
1.大幅度地提高系统的安全性和保密性;
2.保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全与密码产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分步实施原则:分级管理 分步实施。
5.2 安全策略
针对上述分析,我们采取以下安全策略:
1.采用漏洞扫描技术,对重要网络设备进行风险评估,保证信息系统尽量在最优的状况下运行。
2.采用各种安全技术,构筑防御系统,主要有:
(1) 防火墙技术:在网络的对外接口,采用防火墙技术,在网络层进行访问控制。
(2) NAT技术:隐藏内部网络信息。
(3) VPN:虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来,构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在,仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用,而事实上并非如此。
(4)网络加密技术(Ipsec) :采用网络加密技术,对公网中传输的IP包进行加密和封装,实现数据传输的保密性、完整性。它可解决网络在公网的数据传输安全性问题,也可解决远程用户访问内网的安全问题。
(5) 认证:提供基于身份的认证,并在各种认证机制中可选择使用。
(6) 多层次多级别的企业级的防病毒系统:采用多层次多级别的企业级的防病毒系统,对病毒实现全面的防护。
(7)网络的实时监测:采用入侵检测系统,对主机和网络进行监测和预警,进一步提高网络防御外来攻击的能力。
3.实时响应与恢复:制定和完善安全管理制度,提高对网络攻击等实时响应与恢复能力。
4.建立分层管理和各级安全管理中心。
5.3 防御系统
我们采用防火墙技术、NAT技术、VPN技术、网络加密技术(Ipsec)、身份认证技术、多层次多级别的防病毒系统、入侵检测技术,构成网络安全的防御系统。
Delphi
1. 局域网监控程序的设计
2. 基于Delphi的小型超市进存销管理系统
3. 分布式网络考试系统原型分析及实现
4. 图片浏览系统的设计与实现
5. 教学信息管理系统的设计与实现
6. 基于局域网的文件传输系统的设计与实现
7. 基于USB KEY文件加密工具——USB key管理系统
8. 基于局域网的信息收发系统的设计与实现
9. 物流管理系统——仓储管理子系统的实现
10. 某高等学校教务排课系统的设计与实现
11. 会计电算化系统的设计与实现——财务管理子系统
12. 基于USB KEY的文件加密工具—-客户端的实现
13. 基于FTP协议的文件访问控制系统的设计与实现
14. 基于C/S结构的个人理财系统的设计
15. 局域网的聊天程序的实现
16. 中小型企业财务票据管理系统-票据管理系统
17. 基于角色访问控制的OA系统的设计与实现
18. 某医院医疗B超图像处理系统的设计与实现
19. 基于Delphi的公司人事管理系统的设计与实现
20. 某物资存储管理系统设计与实现
21. 人事工资管理系统
22. 图书馆光盘管理系统
23. 图片浏览系统的设计与实现论文
24. 设备保养管理系统
25. 工资管理系统
26. 人力资源管理系统
27. 图形识别和编辑
28. 汽车零件销售管理系统
29. 教学信息管理系统
30. 超市销售系统
31. 中学图书馆管理系统设计与实现
32. 煤气站管理系统
33. 高校教务排课系统
34. 题库系统与试卷生成(Delph代码+论文全套)
35. 银行学生助学贷款管理系统
36. 计算机全套设计Delphi语言所有设计
ASP
1. 《软件工程》精品课程教学网站的设计与实现
2. 学生公寓管理系统的设计与实现
3. 网上商品销售系统的设计与实现
4. 网上报名及在线考试系统的设计与实现
5. 考试成绩分析系统的设计与实现
6. 计算机实验室教学管理系统的设计与实现
7. 基于ASP的网络聊天室的设计和实现
8. 基于ASP的企业人事管理系统的设计与实现
9. 基于ASP的某学校校园BBS的设计与实现
10. 基于ASP的公交查询系统的设计与实现
11. 基于ASP的房屋租售信息管理系统的设计
12. 仓库货物管理系统的设计与实现
13. 计算机学院图书管理系统的设计与实现
14. 企业员工信息管理系统的设计与实现
15. 绵阳南山中学图书管理系统的设计与实现
16. 政府采购管理信息系统
17. 医疗器械公司论坛的设计与实现
18. 学科建设系统
19. 网络实验教学网站
20. 外观专利图像检索平台
21. 同校二手电子产品交易网
22. 旅游咨询网
23. 科研项目网上申报管理系统
24. 多媒体课程答疑系统
25. 人才网内容管理系统
26. “食全食美”预定系统设计与实现
27. Asp+Access网上同学录
28. 基于ASP作业提交与批改系统
29. 校园在线考试系统
30. 网上书店
31. 员工信息管理系统
32. 医药连锁店管理系统
33. 学生信息管理系统
34. 新闻管理系统
35. 校友录系统
36. 基于WEB的物资管理信息系统的设计与实现
37. 物流系统设计
38. ASP网上贴吧系统的设计与实现
39. 网上书店的实现
40. 基于ASP技术的网上人才管理系统
41. ASP网上考试系统
42. 网络硬盘文件资源管理系统
43. 监理网络办公系统的设计与实现
44. ASP网络办公系统
45. 图书管理系统设计
46. 在线投票系统
47. 售后服务管理系统
48. ASP求职招聘网站设计
49. 企业物流平台的设计与实现
50. 教学互动系统
51. 教师信息管理系统
52. 基于WEB的办公自动化管理系统
53. ASP服装销售系统
54. ASP电子政务档案管理系统
55. ASP电子商务系统
56. 自动化测试工具的开发
57. 毕业设计选题管理系统
58. 内部办公系统
59. 学生论坛的设计与实现
60. 软件信息发布系统的设计与实现
61. 玉林旅游资源及线路管理系统
62. ASP+SQL图书管理系统
63. 精品在线试题库设计
64. 基于Web的C语言教学系统的研究与实现
65. 基于WEB的小型公司人事管理系统的设计
66. 《信息论与编码》在线考试系统的设计与实现
67. 局域网文件共享及检索系统的设计与开发
68. 网络房产信息超市的设计与实现
69. 音像销售系统的设计与实现
70. 一个动态文学网站的设计与实现
71. 网络文件管理系统的设计与实现
72. 一个小型搜索引擎的设计与实现
73. 电子论坛系统的设计与实现
74. 工资管理系统的设计与实现
75. 玩具交换网站的设计与实现
76. 基于B/S结构的一种安全物流管理系统的设计与实现
77. 某书店图书销售管理系统的设计与实现
78. 网络商城的设计与实现
79. 基于ASP的搜索引擎的开发
80. 基于B/S的家教交流平台的实现
81. 基于B/S结构的学生在线选课系统的实现
82. 精品课程网站的设计与实现
83. 淘宝店主交易管理系统的设计与实现
84. 体育城场地预约系统的设计与实现
85. Web Mail 收发系统设计与开发
86. 一种网上交易平台的设计和实现
87. 网络考试系统的设计与实现——考试子系统
88. 基于ASP网站的安全性研究与实现
89. 网上办公系统—公文流程管理设计与实现
90. 网上订餐系统的设计与实现
91. 网络考试系统的设计与实现——阅卷子系统
92. 网上二手商品交易管理系统的设计与实现
93. 基于B/S结构的工厂设备管理系统的设计与实现
94. 简易网络存储系统的设计与实现
95. 玩友交流网站的设计与实现
96. 医院信息管理系统
97. 民航售票管理系统的设计与实现
98. 某高校工资管理系统的设计与实现
99. 企业公告及资料发布系统的设计与实现
100. 基于B/S结构的旅游网站的开发与设计
101. 基于网络环境的库存管理系统的设计与实现
102. 住宅小区网络化物业管理系统——住户管理子系统的实现
103. 基于B/S结构的学生交流论坛的设计与开发
104. 网络社区服务与管理系统的设计与实现
105. 基于B/S结构的工艺品销售系统的实现
106. 网上求职招聘系统的设计与实现
107. 某企业网络公寓管理系统的设计与实现
108. 某小型数字图书馆的设计与实现
109. 基于WEB的商场管理系统的设计与实现
110. 网络求职招聘系统的设计与实现
111. 班级学生管理系统的设计与开发
112. 基于B/S的工艺品展示系统的设计与实现
113. 《计算机专业英语》网上教学系统的设计与实现
114. 一个物流商品运输系统的设计与实现
115. 企业员工管理系统的设计与实现
116. 基于ASP的旅游网站的设计与实现
117. 网络旅游信息系统的设计与实现
118. 基于ASP的反垃圾邮件管理系统的设计
119. 个人日志系统的设计与实现
120. 具有动态口令认证机制的网上投票系统的设计
121. BBS系统开发与账户安全保护的实现
122. 医院管理系统—病历管理系统的设计与实现
123. 基于B/S结构的二手交易系统的设计与实现
124. 基于ASP的网上考试系统
125. 华夏文化交流平台的设计与实现
126. 销售供应链管理系统的设计与开发
127. 网上家电销售管理系统的设计与实现
128. 集成CRM系统的企业网站的设计与开发
129. 库存管理系统的设计与实现
130. 二手交易系统的设计与实现
131. 毕业论文管理系统的设计
132. 档案管理系统的设计与实现
133. 音乐网站的设计与实现
134. 网上购物系统的设计与实现
135. 小型企业网上订单系统的设计与实现
136. “辅导员之家”网站设计与开发
137. 人事工资管理系统
138. 基于B/S模式的中小企业人事管理系统的设计与实现
139. 基于ASP的学生信息管理系统的设计与实现
140. 在线考试制卷系统的设计与实现
141. 网上书店的设计与实现
142. 一个简单的网上教务系统模型的设计与实现
143. 某公司进销存信息管理系统的设计与实现
144. 连锁影音产品租售管理系统的设计与实现
145. 基于B/S的人才交流网站的设计与实现
146. 新利公司pos维修管理系统的设计与实现
147. 基于ASP的笔记本销售网站的设计与实现
148. 网络教学平台
149. 软件下载管理系统
150. 动态网站设计与制作
151. 毕业设计论坛
152. 办公系统
153. 车辆管理系统
154. 网上答疑系统
155. 论坛程序设计
156. 计算机组成原理教学网站的设计与实现
157. 网页设计辅导系统
158. 出租车管理系统
159. 网络教学评判系统
160. 交友网站
161. 铁观音销售网站设计与实现
162. 基于ASP的小区物业管理之业主服务子系统的设计与实现
163. 远程教育网
164. 新闻自动化管理网站
165. 投票系统
166. 基于BS的考试报名信息处理系统
167. 基于web 的信息处理系统
168. 公司网站建设
169. 客户管理信息系统
170. 网上售房管理系统
171. 网上作业提交系统
172. 网上选课管理系统SQL
173. 网上人才信息管理系统(带源码ASP+ACCESS)
174. 园林设计
175. 电脑配机
176. 学生排课管理系统ASP+SQL
177. 学生成绩查询系统ASP+ACCESS
178. 酒店预定管理系统
179. 办公自动化系统
180. 实验室设备管理系统ACCESS
181. 网上评教系统
182. 房产信息管理系统
183. 网上图书销售系
184. 新闻发布系统2
185. 网上服装销售系统(ASP+access论文全套)
186. 网上英语考试asp+sql
187. 留言板ASP+access
188. 音乐网站
189. 个人网站
190. 仓库即时查询系统ASP+ACCESS
191. 毕业设计ASP+ACCESS聊天室
192. 期刊系统(期刊稿件处理系统)
193. 网上人才信息管理系统
194. 学生管理系统 ASP+ACCESS
195. 网络考试系统的开发与设计ASP
196. 楼宇专业网站毕业设计
197. 在线人才网(招聘网)
198. 在线教育系统
199. 新闻发布系统1
200. 网上盆景系统
201. 网上动态同学录系统
202. 人才网站的设计与实现毕业设计及论文
203. 红旗汽车修理厂物资流通管理系统
204. 公交查询系统
205. 博客网站的设计与实现
206. 毕业设计选题管理系统(asp+sql)
207. 网上购物系统 花店
208. 校园新闻发布管理系统(ASP+ACCESS)
209. 文章在线发布系统
210. 网上购物系统2
211. 购物系统1
212. 基于WEB的旅游网站建设
213. 手机销售网站
214. 在线手机销售系统
215. 基于ASP的论坛的设计与实现
备管理系统及源码
计算机网络安全及防范技术
摘 要 主要阐述计算机信息网络攻击和入侵的特点、方法以及其安全防范手段。
关键词 计算机网络安全 防范技术
1 计算机网络安全的含义
计算机网络安全的具体含义会随着使用者的变化而变化,使用者不同,对网络安全的认识和要求也就不同。例如从普通使用者的角度来说,可能仅仅希望个人隐私或机密信息在网络上传输时受到保护,避免被窃听、篡改和伪造;而网络提供商除了关心这些网络信息安全外,还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏,以及在网络出现异常时如何恢复网络通信,保持网络通信的连续性。
从本质上来讲,网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性,使其不致因偶然的或者恶意的攻击遭到破坏,网络安全既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。
2 计算机网络攻击的特点
计算机网络攻击具有下述特点:①损失巨大。由于攻击和入侵的对象是网络上的计算机,所以一旦他们取得成功,就会使网络中成千上万台计算机处于瘫痪状态,从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。②威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标,从而对社会和国家安全造成威胁。③手段多样,手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息;也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统;还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。因而犯罪不留痕迹,隐蔽性很强。④以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此,这一方面导致了计算机犯罪的隐蔽性,另一方面又要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。
3 计算机网络中的安全缺陷及产生的原因
网络安全缺陷产生的原因主要有:
第一,TCP/IP的脆弱性。因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
第二,网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
第三,易被窃听。由于因特网上大多数数据流都没有加密,因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。
第四,缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。
4 网络攻击和入侵的主要途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。
口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如: 利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;查看主机是否有习惯性的帐号:有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。
IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。
域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名—IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。
5 常见的网络攻击及其防范对策
5.1 特洛伊木马
特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序,采用服务器/客户机的运行方式,从而达到在上网时控制你电脑的目的。
特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码,因此含有特洛伊木马的程序在执行时,表面上是执行正常的程序,而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分,即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力,在网络中当人们执行一个含有特洛伊木马的程序时,它能把自己插入一些未被感染的程序中,从而使它们受到感染。此类攻击对计算机的危害极大,通过特洛伊木马,网络攻击者可以读写未经授权的文件,甚至可以获得对被攻击的计算机的控制权。
防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时,对每一个文件进行数字签名,而在运行文件时通过对数字签名的检查来判断文件是否被修改,从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行,运用网络扫描软件定期监视内部主机上的监听TCP服务。
5.2 邮件炸弹
电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽,占据邮箱的空间,使用户的存储空间消耗殆尽,从而阻止用户对正常邮件的接收,防碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。
防止邮件炸弹的方法主要有通过配置路由器,有选择地接收电子邮件,对邮件地址进行配置,自动删除来自同一主机的过量或重复的消息,也可使自己的SMTP连接只能达成指定的服务器,从而免受外界邮件的侵袭。5.3 过载攻击
过载攻击是攻击者通过服务器长时间发出大量无用的请求,使被攻击的服务器一直处于繁忙的状态,从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击,它是通过大量地进行人为地增大CPU的工作量,耗费CPU的工作时间,使其它的用户一直处于等待状态。
防止过载攻击的方法有:限制单个用户所拥有的最大进程数;杀死一些耗时的进程。然而,不幸的是这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除,会使用户某些正常的请求得不到系统的响应,从而出现类似拒绝服务的现象。通常,管理员可以使用网络监视工具来发现这种攻击,通过主机列表和网络地址列表来分析问题的所在,也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外,还可以让系统自动检查是否过载或者重新启动系统。
5.4 淹没攻击
正常情况下,TCP连接建立要经历3次握手的过程,即客户机向主机发送SYN请求信号;目标主机收到请求信号后向客户机发送SYN/ACK消息;客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址,向被攻击主机发出SYN请求信号,当被攻击主机收到SYN请求信号后,它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时主机的IP不存在或当时没有被使用所以无法向主机发送RST,因此,造成被攻击的主机一直处于等待状态,直至超时。如果攻击者不断地向被攻击的主机发送SYN请求,被攻击主机就会一直处于等待状态,从而无法响应其他用户的请求。
对付淹没攻击的最好方法是实时监控系统处于SYN-RECEIVED状态的连接数,当连接数超过某一给定的数值时,实时关闭这些连接。
参考文献
1 胡道元.计算机局域网〔M〕.北京:清华大学出版社,2001
2 朱理森,张守连.计算机网络应用技术〔M〕.北京:专利文献出版社,2001
3 刘占全.网络管理与防火墙〔M〕.北京:人民邮电出版社,1999
