局域网监听系统的设计毕业论文

这么长。。。好像答非所问

相关资料：企业内网安全分析与策略一、背景分析提起网络信息安全，人们自然就会想到病毒破坏和黑客攻击。其实不然，政府和企业因信息被窃取所造成的损失远远超过病毒破坏和黑客攻击所造成的损失，据权威机构调查：三分之二以上的安全威胁来自泄密和内部人员犯罪，而非病毒和外来黑客引起。目前，政府、企业等社会组织在网络安全防护建设中，普遍采用传统的内网边界安全防护技术，即在组织网络的边缘设置网关型边界防火墙、AAA认证、入侵检测系统IDS等等网络边界安全防护技术，对网络入侵进行监控和防护，抵御来自组织外部攻击、防止组织网络资源、信息资源遭受损失，保证组织业务流程的有效进行。这种解决策略是针对外部入侵的防范，对于来自网络内部的对企业网络资源、信息资源的破坏和非法行为的安全防护却无任何作用。对于那些需要经常移动的终端设备在安全防护薄弱的外部网络环境的安全保障，企业基于网络边界的安全防护技术就更是鞭长莫及了，由此危及到内部网络的安全。一方面，企业中经常会有人私自以Modem拨号方式、手机或无线网卡等方式上网，而这些机器通常又置于企业内网中，这种情况的存在给企业网络带来了巨大的潜在威胁;另一方面，黑客利用虚拟专用网络VPN、无线局域网、操作系统以及网络应用程序的各种漏洞就可以绕过企业的边界防火墙侵入企业内部网络，发起攻击使内部网络瘫痪、重要服务器宕机以及破坏和窃取企业内部的重要数据。二、内网安全风险分析现代企业的网络环境是建立在当前飞速发展的开放网络环境中，顾名思义，开放的环境既为信息时代的企业提供与外界进行交互的窗口，同时也为企业外部提供了进入企业最核心地带——企业信息系统的便捷途径，使企业网络面临种种威胁和风险：病毒、蠕虫对系统的破坏；系统软件、应用软件自身的安全漏洞为不良企图者所利用来窃取企业的信息资源;企业终端用户由于安全意识、安全知识、安全技能的匮乏，导致企业安全策略不能真正的得到很好的落实，开放的网络给企业的信息安全带来巨大的威胁。1.病毒、蠕虫入侵目前，开放网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点，即使再先进的防病毒软件、入侵检测技术也不能独立有效地完成安全防护，特别是对新类型新变种的病毒、蠕虫，防护技术总要相对落后于新病毒新蠕虫的入侵。病毒、蠕虫很容易通过各种途径侵入企业的内部网络，除了利用企业网络安全防护措施的漏洞外，最大的威胁却是来自于内部网络用户的各种危险应用：不安装杀毒软件；安装杀毒软件但不及时升级；网络用户在安装完自己的办公桌面系统后，未采取任何有效防护措施就连接到危险的网络环境中，特别是Internet；移动用户计算机连接到各种情况不明网络环境，在没有采取任何防护措施的情况下又连入企业网络；桌面用户在终端使用各种数据介质、软件介质等等都可能将病毒、蠕虫在不知不觉中带入到企业网络中，给企业信息基础设施，企业业务带来无法估量的损失。2.软件漏洞隐患企业网络通常由数量庞大、种类繁多的软件系统组成，有系统软件、数据库系统、应用软件等等，尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂，每一个软件系统都有不可避免的、潜在的或已知的软件漏洞。无论哪一部分的漏洞被利用，都会给企业带来危害，轻者危及个别设备，重者成为攻击整个企业网络媒介，危及整个企业网络安全。3.系统安全配置薄弱企业网络建设中应用的各种软件系统都有各自默认的安全策略增强的安全配置设置，例如，账号策略、审核策略、屏保策略、匿名访问限制、建立拨号连接限制等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用，但在实际的企业网络环境中，这些安全配置却被忽视，尤其是那些网络的终端用户，导致软件系统的安全配置成为“软肋”、有时可能严重为配置漏洞，完全暴露给整个外部。例如某些软件系统攻击中采用的“口令强制攻击”就是利用了弱口令习惯性的使用安全隐患，黑客利用各种网络应用默认安装中向外部提供的有限信息获取攻击的必要信息等等。4.脆弱的网络接入安全防护传统的网络访问控制都是在企业网络边界进行的，或在不同的企业内网不同子网边界进行且在网络访问用户的身份被确认后，用户即可以对企业内网进行各种访问操作。在这样一个访问控制策略中存在无限的企业网络安全漏洞，例如，企业网络的合法移动用户在安全防护较差的外网环境中使用VPN连接、远程拨号、无线AP，以太网接入等等网络接入方式，在外网和企业内网之间建立一个安全通道。另一个传统网络访问控制问题来自企业网络内部，尤其对于大型企业网络拥有成千上万的用户终端，使用的网络应用层出不穷，目前对于企业网管很难准确的控制企业网络的应用，这样的现实导致安全隐患的产生：员工使用未经企业允许的网络应用，如邮件服务器收发邮件，这就可能使企业的保密数据外泄或感染邮件病毒；企业内部员工在终端上私自使用未经允许的网络应用程序，在此过程中就有可能下载到带有病毒、木马程序等恶意代码的软件，从而感染内部网络，进而造成内部网络中敏感数据的泄密或损毁。5.企业网络入侵现阶段黑客攻击技术细分下来共有8类，分别为入侵系统类攻击、缓冲区溢出攻击、欺类攻击、拒绝服务攻击、对防火墙的攻击、病毒攻击、伪装程序/木马程序攻击、后门攻击。对于采取各种传统安全防护措施的企业内网来说，都没有万无一失的把握;对于从企业内网走出到安全防护薄弱的外网环境的移动用户来说，安全保障就会严重恶化，当移动用户连接到企业内网，就会将各种网络入侵带入企业网络。6.终端用户计算机安全完整性缺失随着网络技术的普及和发展，越来越多的员工会在企业专网以外使用计算机办公，同时这些移动员工需要连接回企业的内部网络获取工作必须的数据。由于这些移动用户处于专网的保护之外，很有可能被黑客攻陷或感染网络病毒。同时，企业现有的安全投资（如：防病毒软件、各种补丁程序、安全配置等）若处于不正常运行状态，终端员工没有及时更新病毒特征库，或私自卸载安全软件等，将成为黑客攻击内部网络的跳板。三、内网安全实施策略1.多层次的病毒、蠕虫防护病毒、蠕虫破坏网络安全事件一直以来在网络安全领域就没有一个根本的解决办法，其中的原因是多方面的，有人为的原因，如不安装防杀病毒软件，病毒库未及时升级等等，也有技术上的原因，杀毒软件、入侵防范系统等安全技术对新类型、新变异的病毒、蠕虫的防护往往要落后一步。危害好像是无法避免的，但我们可以控制它的危害程度，只要我们针对不同的原因采取有针对性的切实有效的防护办法，就会使病毒、蠕虫对企业的危害减少到最低限度，甚至没有危害。这样，仅靠单一、简单的防护技术是难以防护病毒、蠕虫的威胁的。2.终端用户透明、自动化的补丁管理，安全配置为了弥补和纠正运行在企业网络终端设备的系统软件、应用软件的安全漏洞，使整个企业网络安全不至由于个别软件系统的漏洞而受到危害，完全必要在企业的安全管理策略中加强对补丁升级、系统安全配置的管理。用户可通过管理控制台集中管理企业网络终端设备的软件系统的补丁升级、系统配置策略，定义终端补丁下载。将补丁升级策略、增强终端系统安全配置策略下发给运行于各终端设备上的安全代理，安全代理执行这些策略，以保证终端系统补丁升级、安全配置的完备有效，整个管理过程都是自动完成的，对终端用户来说完全透明，减少了终端用户的麻烦和企业网络的安全风险，提高企业网络整体的补丁升级、安全配置管理效率和效用，使企业网络的补丁及安全配置管理策略得到有效的落实。3.全面的网络准入控制为了解决传统的外网用户接入企业网络给企业网络带来的安全隐患，以及企业网络安全管理人员无法控制内部员工网络行为给企业网络带来的安全问题，除了有效的解决企业员工从企业内网、外网以各种网络接入方式接入企业网络的访问控制问题，同时对传统的网络边界访问控制没有解决的网络接入安全防护措施，而采用边界准入控制、接入层准入控制等技术进行全面的实现准入控制。当外网用户接入企业网络时，检查客户端的安全策略状态是否符合企业整体安全策略，对于符合的外网访问则放行。一个全面的网络准入检测系统。4.终端设备安全完整性保证主机完整性强制是确保企业网络安全的关键组件。主机完整性可确保连接到企业网的客户端正运行着所需的应用程序和数据文件。信息安全业界已经开发出了多种基于主机的安全产品，以确保企业网络和信息的安全，阻止利用网络连接技术、应用程序和操作系统的弱点和漏洞所发起的攻击。并已充分采用了在个人防火墙、入侵检测、防病毒、文件完整性、文件加密和安全补丁程序等方面的技术进步来有效地保护企业设备。然而，只有在充分保证这些安全技术的应用状态、更新级别和策略完整性之后，才能享受这些安全技术给企业网络安全带来的益处。如果企业端点设备不能实施主机完整性，也就不能将该设备看成企业网络受信设备。仅供参考，请自借鉴希望对您有帮助

一，设置权限以保证数据安全 为文件或者文件夹指定合适的权限，可极大地保证数据的安全。 1，只授予用户最低级别的权限。如某用户只需要读一个文件，那么仅给其授予对该文件的“读取”权限。这可以在一定程度上避免无意修改或删除重要文件的可能； 2，为个人数据和应用程序文件夹指定权限时，可以授予“读取及运行”权限，可以在一定程度上避免应用程序及数据被无意破坏； 二，用户安全设置 1，删除不必要的用户，去掉所有的Duplicate User 用户、测试用户、共享用户等等。用户组策略设置相应的权限，并且经常检查系统的用户，删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口； 2，把共享文件权限从everyone 组改成授权用户：任何时候都不要把共享文件的用户设置成“everyone”组，包括打印共享，默认的属性就是“everyone”组的，一定不要忘了改。 三，密码安全设置 1，使用安全密码：注意密码的复杂性，不要过于简单，还要记住经常修改密码； 2，设置屏幕保护密码：这是一个很简单也很有必要的操作。也是防止内部人员破坏服务器的一个屏障； 3，开启密码策略；注意应用密码策略，如启用密码复杂性要求，设置密码长度最小值为6位，设置强制密码历史为5次，时间为42天； 4，考虑使用智能卡来代替密码：对于密码，总是使管理员进退两难，密码设置简单容易收到黑客的攻击，设置太复杂又容易忘记。如果条件允许，用智能卡来代替复杂的密码是一个很好的解决方法。 四，系统安全设置 1，使用NTFS格式分区：最好把服务器的所有分区都改成NTFS格式，NTFS文件系统比FAT、FAT32的文件系统安全得多； 2，运行杀毒软件：杀毒软件不仅能杀掉一些著名的病毒，还能查杀大量木马和后门程序，要注意经常运行程序并升级病毒库； 3，到微软网站下载最新的补丁程序：很多网络管理员没有访问安全站点的习惯，以至于一些漏洞都出现很久了，还放着服务器的漏洞不补，给人家当靶子用。访问安全站点，下载最新的Service Park 和补丁漏洞是保障服务器的长久安全的唯一方法； 4，关闭默认共享：Windows XP系统安装好后系统会创建一些隐藏的共享，可以在Cmd下打“NetShare”查看它们。网上有很多关于IPC入侵的文章，都利用默认共享连接。要禁止这些共享，打开“管理工具计算机管理共享文件夹共享”在相应的共享文件夹上按右键，点“停止共享”； 5，禁止用户从软盘和光驱启动系统：一些第三方的工具能通过引导系统来绕过原有的安全机制。如果你的服务器对安全要求非常高，可以考虑使用可移动硬盘和光驱。当然，把机箱锁起来仍不失为一个好方法. 6，利用Windows XP 的安全设置工具来配置安全策略：微软提供了一套基于MMC（管理控制台）安全配置和分析工具，利用它们可以很方便地配置你的服务器以满足你的要求。 五，服务安全设置 1，关闭不必要的端口，用端口扫描器扫描系统已开放的端口，确定系统开放的哪些服务可能引起黑客的入侵。具体方法：打开“网上邻居――属性――本地连接――属性――Internet协议(TCP/IP)――属性――高级――选项――TCP/IP筛选――属性”打开“TCP/IP筛选”，添加需要的TCP、UDP协议即可； 2，设置好安全记录的访问权限；安全记录在默认情况下是没有保护的，把它设置成只有Administrators和系统帐户才有权访问； 3，把敏感文件存放在另外的文件服务器中：虽然现在服务器的硬盘容量都很大，还是应该考虑是否有必要把一些重要的用户数据（文件、数据表、项目文件等）存放在另外一个安全的服务器中，并且经常备份它们； 4，禁止建立空连接：默认情况下，任何用户都可以通过空连接连上服务器，进而枚举出帐号，猜测密码，可以通过修改注册表来禁止建立空连接：即把“HKEY_LOCAL_MACHINE\SYSTERM\CurrentControlSet/Control/Lsa”的RestrictAnonymous值改成“1”即可。 六，关闭缩略图的缓存 对于安全性至关重要的共享企业工作站或计算机，必须启用该设置以关闭缩略图视图缓存，因为缩略图缓存可以被任何人读取。打开注册表编辑器：找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\,在右侧窗口中新建或编辑名为“NoThumbnailCache”的DWORD值，将键值设置为“1”，关闭缩略图的缓存；如将键值设置为“0”，则打开缩略图的缓存。 七，设置用户对软驱及CD-ROM的访问权限 打开注册表编辑器，找到：HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右侧窗格中新建或编辑名为“AllocateCDRoms"的DOWORD值，将键值设为“1”，仅仅本地登录可以使用CDRom驱动器；如将键值设置为“0”，则只可以被域中的管理员所使用。 在右侧中窗格中新建或编辑名为“AllocateFloppies"的DWOED值，将键值设置为“1”，仅仅本地登录可以使用软盘驱动器；如将键值设置为“0”，则只可以被域中的管理员所使用。 八，设置其他用户对移动存储器的访问权限 打开注册表编辑器，找到：HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右侧窗格中新建或编辑名为“AllocateDASD”的DWOD值，如将键值设为“0”，只允许系统管理员可以访问；如将键值设置为“1”，则只允许系统管理员及有权限的用户可以访问；如将键值设置为“2”，则只允许系统管理员及交互式用户可以访问。

在工业控制系统中，应用现场总线技术、以太网技术等，可实现系统的网络化，提高系统的性能和开放性，但是这些控制网络一般都是基于有线的网络。有线网络高速稳定，满足了大部分场合工业组网的需要。但是，有线网络只能沿着一维的线路传输数据，传输需要导体介质，因而带来规划布线、预设接口、线路检测、线路扩容等一系列和传输途径有关的工作，并且这些工作不可避免地具有破坏建筑、浪费接口、检修困难、扩展困难的弊病。在现代控制网络中，许多自动化设备要求具有更高的灵活性和可移动性，当工业设备处在不能布线的环境中或者是装载在车辆等运动机械的情况下，是难以使用有线网络的。与此相对应，无线网络向三维空间传送数据，中间无需传输介质，只要在组网区域安装接入点（Access Point）设备，就可以建立局域网；移动终端只要安装了无线网卡就可以在接收范围内自由接入网络。总之，在网络建设的灵活性、便捷性、扩展性方面，无线网络有独特的优势，因此无线局域网技术得到了发展和应用。随着微电子技术的不断发展，无线局域网技术将在工业控制网络中发挥越来越大的作用。一、无线局域网简介一般来说，凡是采用无线传输媒体的局域网都可称为无线局域网。这里的无线媒体可以是无线电波、红外线或激光。无线局域网（Wireless LAN）技术可以非常便捷地以无线方式连接网络设备，人们可随时、随地、随意地访问网络资源，是现代数据通信系统发展的重要方向。无线局域网可以在不采用网络电缆线的情况下，提供网络互联功能。1.无线协议简介无线局域网络协议标准建立至今已有较长时间，但由于无线局域网速度低、协议标准不统一、价格昂贵，用户为保护投资，不愿意使用无线网络，因此无线局域网并没有得到广泛应用。近几年来，随着速率较高的无线通讯协议开始推出，无线局域网得到快速发展。IEEE802.11是IEEE802标准委员会在1997年通过的第一个无线局域网的国际标准。1999年9月，该委员会又颁布了IEEE802.11b标准，包含了ISO／OSI模型的物理层和媒体访问控制层（MAC）。该标准工作在2.4 GHz，传输速率可达11 Mbps。 IEEE802.11b标准将节点设备分为基站和客户站，各客户站相互间可直接通信，也可在基站的统一管理下进行通信。一个基站与一组客户站的连接称为基本服务集BSS（Basic Service Set），两个或多个BSS构成扩展服务集。IEEE802.11b标准规定了物理层的三种实现方法，即跳频扩展频谱方式FHSS、直接序列扩展频谱方式DSSS和红外技术IR。在MAC层采用CSMA／CA（载波侦听多路访问／碰撞避免）技术进行通信介质访问。为了尽量减少冲突。802.11b设计了独特的MAC子层，如图1所示。下面的一层叫做分布协调功能DCF（Distributed Coordination Function）子层，该子层使各个节点采用竞争的方式使用信道，向上提供争用服务。这种信道接入方式可能会导致冲突的发生，但是对信道的利用率较高。上面的一层叫做点协调功能PCF（Point Coordination Function） 图1 IEEE802.11的MAC子层子层，该子层使用集中控制的接入算法，基站以轮询的方式将通信权轮流交给各个客户站，从而避免了冲突的发生。但是基站需要周期性的轮询所有客户站，需要占用大量的时间，因此适用于中、小型网络。无线局域网的技术还在不断发展。美国Radia－ta和Atheros公司分别宣布将推出IEEE802.11a芯片组。802.11a的数据传输速率为54 Mbps。Atheros公司宣称，他们的芯片组在“Turbomode”（强化模式）下，速率可以达到72 Mbps。对802.11a来说，不仅仅是传输速率的提高，它将工作在5 GHz的频率上，从而避开了拥挤的2.4 GHz频段。2001年11月15日，IEEE试验性地批准了一种新技术802.11g，该技术可以提升家庭、公司和公共场所的无线互联网接入速度，该技术使无线网络每秒传输速度也可达54 Mbps，比现在通用的802.11b要快5倍，并且和802.11b兼容。以上介绍的技术标准可通过下表1进行对比。表1 技术标准、频率分配及传输速率技术标准 制定年份 频率占用 最高速率 调制技术 802.11 1997 2.4GHz 2Mbps FHSS 802.11b 1999 2.4GHz 11Mbps DSSS 802.11a 1999 5GHz 54Mbps OFDM 802.11g 2000 2.4GHz 54Mbps DSSS说明：1.802.11、802.11b、802.11g都工作在2.4GHz的ISM（工业、科学、医疗）公共频段，无需向无委申请；而802.11a工作在5GHz频段，该频段目前暂不开放，需要申请。2.802.11a和802.11g物理层速率最高都可达54Mbps，传输层速率最高也可达25Mbps，但稳定性有待进一步改善，且成本也较高。而802.11b最高速率可达11Mbps，因为起步较早，技术较为成熟，成本也不高，将是未来最有前途的无线局域网标准，下面重点介绍802.11b标准。二、IEEE 802.11b无线网络标准1． 无线局域网的物理层无线局域网同传统有线局域网的区别，表现在物理层上就是无线局域网一般用无线电作为传输介质，而不是传统的电缆。对于IEEE 802.11b无线局域网，有三种可选物理层：跳频扩频（FHSS）物理层、直接序列扩频（DSSS）物理层和红外线（IR）物理层。物理层的选择取决于实际应用的要求。跳频扩频和直接序列扩频是通信技术中两种常用的扩展频谱技术，用以提高无线信道的利用率和数据通信的安全性。目前大多数基于IEEE 802.11b的无线局域网产品的物理层介质工作在2.4000～2.4835GHz的无线射频频段（ISM频段），采用直接序列扩展频谱技术以提供高达11Mbps的数据传输速率。2． 无线局域网的MAC协议原则上讲，无线局域网的MAC协议和有线局域网的MAC协议并无本质上的区别。然而，由于无线传输媒体固有的特性以及移动性的影响，无线局域网的MAC协议不能沿用原有的局域网协议。例如，IEEE 802.3的MAC层采用CSMA/CD来使各个不同的站点共享同一物理信道。而实现CSMA/CD的一个重要前提是，各站点能够非常容易地实现冲突检测功能。在有线局域网（如以太网）的情况下，可根据检测电缆线上直流分量的变化容易地实现冲突检测。然而在使用无线传输媒体时，由于以下的原因，很难实现冲突检测。1） 冲突检测的能力要求各站能同时发送（发送自己的信号）和接收（决定其他站的传输是否干扰自己的传输），这将增加信道的花费。2） 更重要的是，由于隐藏终端问题的存在，即使一个站有冲突检测的能力，并已经在发送时检测到冲突，在接收端仍然会有冲突发生。鉴于以上原因，无线局域网协议标准IEEE 802.11b采用了一种具有冲突避免的载波监听多路访问（CSMA/CA）协议实现无线信道的共享。一种简单的CSMA/CA可实现如下：在数据包传输之前，无线设备将先进行监听，看是否有其他无线设备正在传输。若传输正在进行，该设备将等待一段随机决定的时间，然后再监听，若没有其他设备正在使用介质，该设备开始传输数据；因为很有可能在一个设备传输数据的同时，另一个设备也开始传输数据，为了避免此类冲突造成的数据丢失，接收设备检测所收到的分组的CRC，如果正确，则向发送设备传输一个确认信息（acknowledgement）以指示没有冲突发生。否则，发送设备将重复上述CSMA/CA过程。为了使两个无线设备同时进行传输（这将导致冲突）的可能性减到最小，802.11设计者使用称为发送请求/清除以发送（RTS/CTS）的机制。例如：若数据到达无线节点指定的无线访问点（AP），该AP将给那个无线节点发送一个RTS帧，请求一定量的时间向它传输数据，无线节点将用CTS帧进行回应，表示它将阻止任何其他的通信，直到AP发送完数据为止。其他无线节点也能听到正在发生的数据传输，并把它们的传输延迟到那段时间之后。在这种方式下，数据在节点之间进行传递时，由设备导致的在介质上产生冲突的可能性最小。这种传输机制同时解决了无线局域网中的隐藏终端问题。为了确保数据在传输中不丢失，CSMA/CA还引入了确认（ACK）机制，接收者在收到数据后，向发送单元发一个确认通知ACK。若发送者没有收到ACK，表明数据丢失，将再次传输该数据。3． 无线局域网实时性性能分析IEEE 802.11b无线局域网标准在媒体访问控制层采用CSMA/CA协议以实现无线信道的共享。在网络负荷较轻的情况下，发生冲突的机会很少，再加上一些无线网络产品采取了一些附加的措施，甚至可以完全避免冲突的发生。如Wi-LAN的无线产品AWE 120-24无线网络桥接器利用动态时间分配轮询的方式：当有多个无线远端设备要与基站通信时，基站会根据远端站的ID依次询问各个远端站是否有数据要发送，如果有数据要发送，就给其分配时间片，如果没有，则会继续向下询问，周而复始。这里的所谓动态轮询是指用户可以设置基站的轮询方式，对于非活动站减少对其询问的次数，这样可以保证时间片不会被浪费。动态时间分配轮询技术完全避免了冲突的发生，可以获得比CSMA/CA更好的实时性。这使得无线技术在工业控制网络中的应用成为可能。三、基于无线技术的网络化智能传感器介绍计算机网络技术、无线技术以及智能传感器技术的结合，产生了“基于无线技术的网络化智能传感器”的全新概念。这种智能传感器集成了数据采集、数据处理和无线网络接口模块，无线网络接口模块底层网络接口（硬件接口）采用基于IEEE 802.11b的网络接口芯片，高层网络接口（软件接口）采用TCP/IP协议，把TCP/IP协议作为一种嵌入式应用，即把TCP/IP协议固化到智能传感器的ROM中，使得现场数据的收发都以TCP/IP协议进行。这种基于无线技术的网络化智能传感器使得工业现场的数据能够通过无线链路直接在网络上传输、发布和共享。无线局域网可以在普通局域网基础上通过无线Hub、无线接入站(AP)、无线网桥、无线Modem及无线网卡等来实现。在工业自动化领域，有成千上万的感应器，检测器，计算机，PLC，读卡器等设备，需要互相连接形成一个控制网络，通常这些设备提供的通信接口是RS- 232或RS-485。无线局域网设备使用隔离型信号转换器，将工业设备的RS-232串口信号与无线局域网及以太网络信号相互转换，符合无线局域网IEEE802.11b和以太网络IEEE 802.3标准，支持标准的TCP/IP网络通信协议，有效的扩展了工业设备的联网通信能力。四、无线局域网在工业控制网络中的应用工业控制系统的网络化为无线技术在工业控制系统中的应用提供了基础和可能。近几年很多研究人员也展开了这方面的研究工作。中国科学院沈阳自动化所的曾鹏等人以FF（现场总线基金会）颁布的FFHSE（高速以太网）为蓝本，结合无线以太网标准IEEE802.11b，构造了现场级无线通信协议栈。该协议栈保持了基金会现场总线的通信模型，能够完成无线设备间的时间同步和实时通信。韩国釜山国立大学的Kyung Chang Lee等人设计了协议转换模型，实现了Profibus－DP网络和IEEE802.11无线局域网的互连。Mario Alves等人对基于广播方式的现场总线／无线网络的混合网络报文传送延迟时间进行了估算。C．Koulamas等人研究了Profibus现场总线与基于IEEE802.11b的DSSS物理层相结合的性能。除了在理论上的研究工作外，在一些工业控制网络中，无线通信技术已获得了应用。如美国罗克威尔公司在基于DeviceNet、Control－net、Ethernet／IP的三层控制网络体系中，加入了无线以太网部分，可以实现无线通信。德国西门子公司在基于Profibus－DP、Profinet的控制网络中结合无线以太网技术，使控制网络具有了无线通信功能。由于无线网络无可比拟的优越性，它可以免去大量的线路连接，节省系统的构建费用和维护成本，还可以满足一些特殊场合的需要，与此同时，大大增强了系统构成的灵活性。加之无线通信技术自身的不断改进，无线通信技术在工业控制领域中必将具有广阔的发展空间和应用前景。五、无线技术在工控网络中的应用方案及使用设备1.无线工业控制的方法通过使用基于无线技术的网络化智能传感器，结合目前市场上出现的各种基于IEEE 802.11b的无线局域网网桥，就可以实现无线局域网技术在工业控制网络中的一种应用方案。无线局域网网桥用作无线访问点（AP），基于无线技术的网络化智能传感器采集现场数据、处理，并以TCP/IP协议对数据进行打包，通过无线链路发送到AP，由于无线链路和有线以太网高层均采用TCP/IP协议，且低层协议对高层协议是透明的，就实现了无线网络和有线网络的无缝连接。通过Internet，就可以实现远程监控。2．无线设备的选择要实现无线网络，需要选择的设备一般为两种。一种为无线局域网网桥，可将多个无线站点连入已有的局域网之中；另一种为无线通讯装置，例如无线网卡、无线Modem等。下面介绍一下研华公司的无线装置。A．WLAN-9200系列11Mbps工业无线局域网接入器WLAN-9200是一款用于室外的增强11Mbps无线局域网网桥。它能够在无须任何物理布线的情况下，将多个远程站连接到局域网中。特点: ·支持IEEE 802.1lb标准2.4GHz ISM频段 ·支持高级用户验证，提供坚固的安全性WEP128，MAC地址控制 ·带符合IP 66/NEMA 4x标准的防水锈外壳，保护系统不被损坏 ·提供冷却风扇和加热器，防止系统过热和过冷 ·提供按钮和LED显示，可方便的设置温度 ·采用IP66防水接口，保护电源、LAN和无线接口 ·提供各种天线，用于增大传输距离 WLAN-9200是一款用于室外的增强11Mbps无线局域网网桥。它能够在无须任何物理布线的情况下，将多个远程站连接到局域网中。这样就节省了大量维护及组建相应电缆网络的成本。WLAN-9200带有一个坚固的外壳，可以防止水、酸、闪电、低温及高温对系统的破坏。由于这些特点，WLAN-9200工作极为稳定和可靠，是室外应用的理想选择。因此，WLAN-9200非常适合在布线困难的恶劣场所使用，如水库和建筑物。WLAN-9200与IEEE 802.1lb标准兼容，具有各种强大功能。在提供高度安全保护（WEP：128位），DHCP客户、SNMP代理等的同时，能够提供11Mbps的高传输速度。此外，为了满足室外恶劣环境下的使用要求，WLAN-9200还提供了先进的系统保护功能：发光保护、冷却风扇、加热器、防水接口、工业设备箱、电源/LAN同轴电缆等。 成本低，安装简便 WLAN-9200可以将不同的分布式站点连接在一起，组成一个更宽范围的无线网络。它能够节省到远程地点的布线成本。WLAN-9200采用了专门的设计，用户可以方便快捷的将其装上或拆下。此外，WLAN-9200还提供了按钮和LED显示，用于显示和设置高/低温度。用户可以使用它快速组建自己的无线网络。为了能够在更远的范围内使用，WLAN-9200还提供了各种天线，用于延长传输距离。 可靠稳定的坚固设计 WLAN-9200采用了先进的设计，带有一个不生锈的防水外壳，能够对系统起到有效的保护。它符合IP 66/NEMA 4x标准，具有耐腐蚀、防紫外线、安全和自动灭火的特点。为了防止WLAN-9200内部过热或过冷，研华还在它的内部设计了一个冷却风扇和一个加热器，用户可以设置高/低温度设置。当工作温度高于或低于用户指定的温度时，冷却风扇或加热器就会开始工作。此外，WLAN-9200还提供了防水接口和防闪电保护，可以对电源，局域网和天线接口起到保护的作用。 远程站点之间的快速数据传输 WLAN-9200与高速无线局域网标准IEEE 802.1 lb完全兼容，它提供11Mbps（在空气中）的速度，可以进行更快的数据传输。WLAN-9200在2.4GHz ISM频段采用了DSSS技术，不会被噪声所干扰，使数据的传输更加安全和可靠。 保持通信的私有性 WLAN-9200采用了多种安全功能对您的无线网络进行保护（WEP128加密，MAC地址控制及口令安全）。通过采用先进的WEP128加密，您可以选择WEP密匙来保护您的数据，防止未授权的无线用户查看这些数据，只有接入点和无线适配器的可接入性，多种安全机制协同工作，能够有效防止对有线及无线网络的未授权访问。 B.ADAM-4550系列2.4GHz无线调制解调器（RS-232/485接口）ADAM-4550是一款直序扩频无线调制解调器。它工作在2.4GHz的ISM波段上，该波段在全球都可以无需申请即可使用。通过RS-232或RS-485串口，ADAM- 4550可以以高达115.2Kbps的速度与计算机或其它设备进行通信。ADAM-4550以半双工的方式工作，并以1Mbps的速率进行无线数据传输。它具有100mW的输出功率，并且如果使用自带的小型天线，它的传输距离可达150米，如果使用研华的高增益室外天线，其传输距离可以超过20公里（视距）。 RS-485标准支持半双工通信。这意味着使用一对双绞线即可进行数据的发送和接收。通常由握手信号RTS（请求发送）来控制数据流的方向。但在ADAM-4550中带有一个专门的I/O电路，它可以用来侦测数据流向，在不需要握手信号的情况下自动切换传输方向。 ADAM-4550无线调制解调器提供了可靠的“点到点”或“点到多点”的网络无线连接。一个典型应用是将一个ADAM-4550模块通过RS-232与主计算机相连，将其它ADAM-4550模块放置在远程现场。每个ADAM-4550模块都可以通过RS- 4550网络与远程设备相连接。远程ADAM-4550模块将远程数据传送到主ADAM- 4550模块，而主ADAM-4550模块会通过无线传输向远程ADAM-4550模块发送控制命令。 规格 ·RS-232/RS-485传输速率（bps）：1200，2400，4800，9600，19.2K，38.4K，57.6K，115.2K ·RS-232接口接头：孔型DB-9 ·RS-485接口接头：插入式螺丝端子 支持AWG1-#12或2-#14-#22（0.5到2.5mm2线径）电缆 ·无线传输速率：1Mbps ·无线传输频率：2.45GHz（标称值） ·无线传输功率：100mW（标称值） ·无线调制：直序扩频PSK ·无线收发器地址：可软件配置为254个不同的地址 ·通信距离：550英尺有效距离（在开阔地使用2dBi全向天线的情况下），实际距离取决于环境条件、天线类型及位置 ·工作温度：-10º到70℃（14º到158℉） ·电源要求：+10~+30VDC ·功耗：4W ·尺寸：60mm×120mm（2.36”×4.41”） 特点 ·可软件配置RS-232或RS-485，数据传输速率可达115.2Kbps ·在有外部天线及放大器的情况下，传输半径可超过20公里 ·内置看门狗定时器及自动RS-485数据流控制 ·扩频无线调制 ·工作在全球通用、无需申请的波段（2.4GHz） ·模块间的1Mbps无线数据传输速率 ·可软件配置无线收发器地址 ·方便的DIN导轨、面板或堆叠安装 ·带有存储通信设置的EEPROM ·支持点到点或点到多点的应用 ·透明的IEEE802.1协议及用于确保数据完整性的10K缓存 ·用于故障诊断的电源及数据流指示灯 ·带无线连接测试的诊断软件 ·符合FCC Part15及ETSI 3000.683/300.328标准六、结论通过无线局域网对工业设备进行控制简单易行，但是成本稍高。目前，绝大多数无线控制如前所述采用的是IEEE802.11系列协议，它与我们大多局域网所采用的以太网可以无缝连接，所以，对于用户层测控程序没有任何影响，只需对原有方案的物理层设备作简单的配置即可。例如选用上述的研华的无线产品替代原有的有线通讯装置，其它硬件及软件配置均不受影响。

Asp:ASP001基于ASP的论坛的设计与实现ASP002在线手机销售系统ASP003基于WEB的旅游网站建设ASP004购物系统1ASP005购物系统2ASP006文章在线发布系统ASP007校园新闻发布管理系统(ASP+ACCESS)ASP008毕业设计花店ASP009毕业设计选题管理系统(asp+sql)ASP010博客网站的设计与实现ASP011公交查询系统ASP012红旗汽车修理厂物资流通管理系统ASP013人才网站的设计与实现毕业设计及论文ASP014网上动态同学录系统ASP015网上盆景系统ASP016新闻发布系统(1)ASP017在线教育系统ASP018在线人才网ASP019楼宇专业网站毕业设计ASP020网络考试系统的开发与设计ASPASP021学生管理系统 ASP+ACCESSASP022网上人才信息管理系统asp+accessASP023期刊系统(期刊稿件处理系统) ACCESSASP024毕业设计ASP+ACCESS聊天室ASP025仓库即时查询系统ASP＋ACCESSASP026个人网站.rarASP027音乐网站ASP028留言板ASP+accessASP029网上英语考试asp+sqlASP030网上服装销售系统（ASP+access论文全套）ASP031新闻发布系统(2)ASP032网上图书销售系统ASP033房产信息管理系统ASP034教学评估系统ASP035网上评教系统ASP036实验室设备管理系统ACCESSASP037办公自动化系统ASP038酒店预定管理系统ASP039学生成绩查询系统ASP+ACCESSASP040学生排课管理系统ASP+SQLASP041电脑配机ASP042园林设计ASP043网上人才信息管理系统ASP044学生排课管理系统SQLASP045助学贷款管理系统ASP046视频点播系统ASP047网上选课管理系统SQLASP048团员管理ASP049网上作业提交系统ASP050网上售房管理系统ASP051客户管理信息系统ASP052+SQL客户管理系统ASP053公司网站建设ASP054基于web 的信息处理系统ASP055考试报名信息处理系统ASP056投票系统ASP057新闻自动化管理网站ASP058远程教育网ASP059车辆调度管理系统ASP060基于ASP的小区物业管理之业主服务子系统的设计与实现ASP061铁观音销售网站设计与实现ASP062医药网站ASP063交友网站ASP064网络教学评判系统ASP065出租车管理系统ASP066课程教学网站信息交流与发布系统ASP067网页设计辅导系统ASP068计算机组成原理教学网站ASP069论坛程序设计ASP070网上答疑系统ASP071网上日记本ASP072教师档案管理系统ASP073车辆管理系统ASP074校园网物品交易平台ASP075办公系统ASP076企业人力资源管理系统的设计ACCESSASP077毕业设计论坛ASP078酒店房间预约系统.rarASP079动态网站设计与制作ASP080办公信息管理系统ASP081网络招聘系统ASP082软件下载管理系统ASP083客户关系管理ASP084网络教学平台VbVB001 AC售楼管理系统VB002无纸化考试系统VB003小区物业管理系统VB004航空公司管理信息系统VB005计算机机房管理系统VB006房地产评估系统VB+SQL2000VB007光盘信息管理系统VB+SQLVB008火车售票系统VB009计算机等级考试管理系统VB6.0+ACECSSVB010酒店客房管理VB+SQLVB011期刊信息管理系统VB+SQLVB012书店管理系统(vb+access)VB013图书借阅管理系统VB014合同管理系统VB015学生公寓管理系统VB016学生管理系统1(vb+sql)VB017医院门诊管理系统VB018银行设备管理(vb+sql)VB019大学社团管理系统VB020餐饮管理系统(SQL)VB021报警系统VB022用VB开发交互式cad系统VB023用Visual Basic 开发交互式CAD系统VB024音像管理系统VB025自动排课系统VB026图书管理系统源程序（论文+代码）vb+accessVB027宿舍管理系统VB028车辆管理系统VB029户籍管理系统VB030人事考勤管理系统VB031自动点歌系统VB032教材管理系统VB033电脑销售系统VB034房屋租凭管理系统VB035光盘管理系统VB036学生档案毕业设计原代码和论文VB037身份证管理系统VB038个人邮件处理系统VB039车辆管理系统VB040计算机维修管理系统VB041汽车美容管理系统VB042大型机房学生上机管理系统VB043干部档案管理系统ACVB044固定资产管理系统ACVB045兼职中介管理系统ACVB046考试分析评价系统ACVB047失业保险管理信息系统ACVB048水费管理系统ACVB049网吧计费系统ACVB050物流管理系统ACVB051学生成绩管理系统VCVB052药品公司进销售存管理系统VCVB053住院处信息管理系统VCVB054超市管理系统VCVB055科研项目管理系统VC.VB056人口登记管理系统VCVB057设备管理信息系统VCVB058学校用电收费管理系统ACVB059招生管理系统VB060流动资金贷款业务系统VB061社会福利保障系统VB062机动车租赁管理系统VB063自动出题题库系统VB064全套建材管理销售系统VB065 IC卡管理系统VB066超市配送运输管理系统VB067校园一卡通VB068银行代扣代发工资系统VB069工资管理系统VB070停车场管理VB071医院血库管理系统VB072文档管理信息系统VB073企业人事管理系统VB074学校田径运动会管理系统ACCESSVB075电脑租赁系统VB076珠宝首饰店管理系统ACCESSVB076学生交费管理系统VB077毕业论文管理系统VB078服装专卖店管理系统ACCESSVB079点对点聊天文件传输系统 VB080多层防火墙技术的研究-状态检测VB081计算机高级语言多媒体教学演示系统VB082供应链管理系统---销售子系统VB083健身中心会员管理系统VB084连锁店信息管理系统VB085医疗纠纷检索系统VB086食品公司进销存管理系统VB087AC城市公交查询系统VB88AC烟花爆竹经销管理VB089商场管理系统VB090ACCTI电话语音应答系统VB091AC自动组卷系统VB092酒店服务管理系统VB092人事管理系统VB093车间调度系统VB094保单VB095绩效评价系统VB096旅游资源及线路管理系统VB097企业投资价值分析系统VB098网吧管理系统=网络计时管理系统VB099计算机高级语言多媒体教学演示系统VB100通讯录系统VB101试题库系统VB102汽车训练场收费系统VB103打字系统VB104教材管理系统VB105简单小游戏设计VB106工作备忘录VB107药品供销存贮系统VB108汽车销售系统ACCESSVB109社区人口资源管理系统设计与实现VfVFP001学籍管理系统VFP002超市售货管理系统VF6.0.VFP003工资管理系统VFP004某医疗部门总务信息管理系统VFVFP005企业人事档案管理系统VFP006基于VFP6职员信息管理系统VF007教师信息管理系统VFP008党员管理系统VFP009企业考勤管理系统VFP010汽车销售系统VFP011人力资源系统VFP012现代物流企业管理系统CVFP013学生办证管理系统VFP014学生管理系统VFP015学生综合素质管理系统VFP016员工培训管理系统VFP017小说租阅管理系统VFP018药品销售系统 VFP019航空售票模拟系统的设计与实现VFP020学生档案管理6.0VFP021商业汇票(支票管理)VFP022家政服务管理系统VFP023成本费用计算系统VFP024航班信息查询系统VFP025房屋按揭贷款管理系统VFP026成绩计算VFP027银行帐目管理系统VFP028病房管理系统VFP029工程预算系统VFP030客房收费VFP031模拟电话资费系统VFP032空调售后服务系统VFP033教学设备管理系统VFP034邮政编码系统VFP035个人理财系统VFP036图书租赁管理系统VFP037工资查询系统VFP038资料信息管理系统VFP039电脑公司财务管理系统VCVC001游戏程序设计(五子棋)VC002题库管理系统VC003局域网即时聊天程序的设计与实现VC004人脸识别系统设计VC005指纹识别系统VC00624点游戏的开发和实现VC007中国象棋软件VC008可视化图像处理系统C#.net网络办公助理网上选课系统C#.NET.SQL2000网上选课系统C#+SQL用socket实现局域网办公助理asp.netASP.NET001通用作业批改系统设计ASP.NET002企业投资价值分析系统ASP.NET003学生信息管理系统ASP.NET004课件发布系统ASP.NET005中图像的检索技术毕业设计ASP.NET006房地产管理系统sql.rarASP.NET007基于WEB的选课系统ASP.NET008校友录sqlASP.NET009车辆档案管理ASP.NET010电子购物商城系统＋论文ASP.NET011图书馆管理信息系统ASP.NET012基于.NET的城市公交查询系统的设计与实现DelphiDelphi001银行学生助学贷款管理系统Delphi002题库系统与试卷生成Delphi003商品销售管理系统Delphi004高校教务排课系统Delphi005人事管理系统Dephi006房产中介管理系统Delphi007题库Delphi008煤气站管理系统Delphi009图书馆Delphi010超市销售系统Delphi011教学信息管理系统Delphi012汽车零件销售管理系统Delphi013超市管理信息系统Delphi014教学排课及学生学籍管理Delphi015图形识别和编辑Delphi016物业管理系统Delphi017人力资源管理系统Delphi018工资管理系统Delphi019列车时刻查询决策系统Delphi020设备保养管理系统Delphi021图片浏览系统的设计与实现Delphi022试卷生成系统delphi023考试系统delphi源代码+可执行文件+论文+外文翻译+开题报告+答辩Dreamver公共课平时成绩管理系统网上作业管理系统JavaJAVA001班主任管理系统JAVA002打飞机游戏毕业设计JAVA003+access做的毕业设计 综合测评系统JAVA004+SQL离散数学题库管理系统JAVAS005办公自动化系统SQLJAVA006办公自动化系统JAVA007物业管理JAVA008在线考试JAVA0093D的网络三维技术的设计与实现JAVA010J2ME贪吃蛇游戏的设计PbPB001科研管理系统pb6.0SQL2000PB002理工学院考试成绩分析PB+SQL2000PB003学生成绩管理系统PBPB004图书管理系统PB005客房管理信息系统PB006自动组卷系统PB007糖尿病专家系统开发PB008财务管理系统PB009电子词典设计与开发vb.net房地产评估系统VB.NET SQL2000房地产评估系统VB.NETJSPJSP001网上拍卖平台系统JSP002学生考试成绩分析（带饼状态图，柱状图）019.rarJSP003网站流量统计JSP004计算机等级考试查询系统JSP+JDBC.JSP005网络远程作业处理系统JSP006网上书店售书系统JSP007房屋租赁管理信息系统JDBCJSP008基于JSP的学生信息管理系统JSP009教师档案管理系统JSP010办公自动化管理系统JSP011机房上机收费管理系统JSP012网上选课系统JSP013企业人事管理系统JSP014CD销售管理系统JSP015小区物业管理JSP016自动排课系统JSP017学生学籍管理系统JSP018网上论坛杂：考勤系统安全性实现PHP+SQLRSA文件加密软件的设计与实现电量监视系统JB6.0+SQL电量监视系统Jbuilder公共课平时成绩查询系统PHP计算机等级考试查询系统JSP+JDBC.局域网信息发布程序的设计与实现VC+SQL楼宇专业智能写字楼综合布线投标方案的设计用VLISP与DCL整合实现绘制抛物线软件项目开发管理系统VCASP设计ASP C语言教学系统+论文ASP（交友录）asp+SQLServer网上书店系统＋论文ASP+sql精品在线试题库设计+论文ASP+SQL图书管理系统＋论文

计算机网络安全及防范技术摘 要 主要阐述计算机信息网络攻击和入侵的特点、方法以及其安全防范手段。关键词 计算机网络安全 防范技术1 计算机网络安全的含义计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。2 计算机网络攻击的特点计算机网络攻击具有下述特点：①损失巨大。由于攻击和入侵的对象是网络上的计算机，所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。②威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标，从而对社会和国家安全造成威胁。③手段多样，手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息；也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统；还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。因而犯罪不留痕迹，隐蔽性很强。④以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此，这一方面导致了计算机犯罪的隐蔽性，另一方面又要求人们对计算机的各种软件（包括计算机通信过程中的信息流）进行严格的保护。3 计算机网络中的安全缺陷及产生的原因网络安全缺陷产生的原因主要有：第一，TCP/IP的脆弱性。因特网的基石是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且，由于TCP/IP协议是公布于众的，如果人们对TCP/IP很熟悉，就可以利用它的安全缺陷来实施网络攻击。第二，网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。第三，易被窃听。由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。第四，缺乏安全意识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的PPP连接从而避开了防火墙的保护。4 网络攻击和入侵的主要途径网络入侵是指网络攻击者通过非法的手段（如破译口令、电子欺等）获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有：破译口令、IP欺和DNS欺。口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如： 利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。IP欺是指攻击者伪造别人的IP地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中，入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，从而进行IP欺。IP欺是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址，它们之间互相信任。由于这种信任关系，这些计算机彼此可以不进行地址的认证而执行远程操作。域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常，网络用户通过UDP协议和DNS服务器进行通信，而服务器在特定的53端口监听，并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名—IP地址映射表时,DNS欺就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺服务器相信一个IP地址确实属于一个被信任客户。5 常见的网络攻击及其防范对策5.1 特洛伊木马特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在Windows启动时运行的程序，采用服务器／客户机的运行方式，从而达到在上网时控制你电脑的目的。特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分，即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的程序中，从而使它们受到感染。此类攻击对计算机的危害极大，通过特洛伊木马，网络攻击者可以读写未经授权的文件，甚至可以获得对被攻击的计算机的控制权。防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听TCP服务。5.2 邮件炸弹电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间消耗殆尽，从而阻止用户对正常邮件的接收，防碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。防止邮件炸弹的方法主要有通过配置路由器，有选择地接收电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息，也可使自己的SMTP连接只能达成指定的服务器，从而免受外界邮件的侵袭。5.3 过载攻击过载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处于繁忙的状态，从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击，它是通过大量地进行人为地增大CPU的工作量，耗费CPU的工作时间，使其它的用户一直处于等待状态。防止过载攻击的方法有：限制单个用户所拥有的最大进程数；杀死一些耗时的进程。然而，不幸的是这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求得不到系统的响应，从而出现类似拒绝服务的现象。通常，管理员可以使用网络监视工具来发现这种攻击，通过主机列表和网络地址列表来分析问题的所在，也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外，还可以让系统自动检查是否过载或者重新启动系统。5.4 淹没攻击正常情况下，TCP连接建立要经历3次握手的过程，即客户机向主机发送SYN请求信号；目标主机收到请求信号后向客户机发送SYN/ACK消息；客户机收到SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址，向被攻击主机发出SYN请求信号，当被攻击主机收到SYN请求信号后，它向这台不存在IP地址的伪装主机发出SYN/消息。由于此时主机的IP不存在或当时没有被使用所以无法向主机发送RST，因此，造成被攻击的主机一直处于等待状态，直至超时。如果攻击者不断地向被攻击的主机发送SYN请求，被攻击主机就会一直处于等待状态，从而无法响应其他用户的请求。对付淹没攻击的最好方法是实时监控系统处于SYN-RECEIVED状态的连接数，当连接数超过某一给定的数值时，实时关闭这些连接。参考文献1 胡道元.计算机局域网〔M〕．北京：清华大学出版社，20012 朱理森，张守连．计算机网络应用技术〔M〕．北京：专利文献出版社，20013 刘占全．网络管理与防火墙〔M〕．北京：人民邮电出版社，1999