⑴ 我要計算機畢業論文
計算機網路安全及防範技術
摘 要 主要闡述計算機信息網路攻擊和入侵的特點、方法以及其安全防範手段。
關鍵詞 計算機網路安全 防範技術
1 計算機網路安全的含義
計算機網路安全的具體含義會隨著使用者的變化而變化,使用者不同,對網路安全的認識和要求也就不同。例如從普通使用者的角度來說,可能僅僅希望個人隱私或機密信息在網路上傳輸時受到保護,避免被竊聽、篡改和偽造;而網路提供商除了關心這些網路信息安全外,還要考慮如何應付突發的自然災害、軍事打擊等對網路硬體的破壞,以及在網路出現異常時如何恢復網路通信,保持網路通信的連續性。
從本質上來講,網路安全包括組成網路系統的硬體、軟體及其在網路上傳輸信息的安全性,使其不致因偶然的或者惡意的攻擊遭到破壞,網路安全既有技術方面的問題,也有管理方面的問題,兩方面相互補充,缺一不可。人為的網路入侵和攻擊行為使得網路安全面臨新的挑戰。
2 計算機網路攻擊的特點
計算機網路攻擊具有下述特點:①損失巨大。由於攻擊和入侵的對象是網路上的計算機,所以一旦他們取得成功,就會使網路中成千上萬台計算機處於癱瘓狀態,從而給計算機用戶造成巨大的經濟損失。如美國每年因計算機犯罪而造成的經濟損失就達幾百億美元。平均一起計算機犯罪案件所造成的經濟損失是一般案件的幾十到幾百倍。②威脅社會和國家安全。一些計算機網路攻擊者出於各種目的經常把政府要害部門和軍事部門的計算機作為攻擊目標,從而對社會和國家安全造成威脅。③手段多樣,手法隱蔽。計算機攻擊的手段可以說五花八門。網路攻擊者既可以通過監視網上數據來獲取別人的保密信息;也可以通過截取別人的帳號和口令堂而皇之地進入別人的計算機系統;還可以通過一些特殊的方法繞過人們精心設計好的防火牆等等。這些過程都可以在很短的時間內通過任何一台聯網的計算機完成。因而犯罪不留痕跡,隱蔽性很強。④以軟體攻擊為主。幾乎所有的網路入侵都是通過對軟體的截取和攻擊從而破壞整個計算機系統的。它完全不同於人們在生活中所見到的對某些機器設備進行物理上的摧毀。因此,這一方面導致了計算機犯罪的隱蔽性,另一方面又要求人們對計算機的各種軟體(包括計算機通信過程中的信息流)進行嚴格的保護。
3 計算機網路中的安全缺陷及產生的原因
網路安全缺陷產生的原因主要有:
第一,TCP/IP的脆弱性。網際網路的基石是TCP/IP協議。但不幸的是該協議對於網路的安全性考慮得並不多。並且,由於TCP/IP協議是公布於眾的,如果人們對TCP/IP很熟悉,就可以利用它的安全缺陷來實施網路攻擊。
第二,網路結構的不安全性。網際網路是一種網間網技術。它是由無數個區域網所連成的一個巨大網路。當人們用一台主機和另一區域網的主機進行通信時,通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發,如果攻擊者利用一台處於用戶的數據流傳輸路徑上的主機,他就可以劫持用戶的數據包。
第三,易被竊聽。由於網際網路上大多數數據流都沒有加密,因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。
第四,缺乏安全意識。雖然網路中設置了許多安全保護屏障,但人們普遍缺乏安全意識,從而使這些保護措施形同虛設。如人們為了避開防火牆代理伺服器的額外認證,進行直接的PPP連接從而避開了防火牆的保護。
4 網路攻擊和入侵的主要途徑
網路入侵是指網路攻擊者通過非法的手段(如破譯口令、電子欺騙等)獲得非法的許可權,並通過使用這些非法的許可權使網路攻擊者能對被攻擊的主機進行非授權的操作。網路入侵的主要途徑有:破譯口令、IP欺騙和DNS欺騙。
口令是計算機系統抵禦入侵者的一種重要手段,所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機,然後再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號,然後再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多,如: 利用目標主機的Finger功能:當用Finger命令查詢時,主機系統會將保存的用戶資料(如用戶名、登錄時間等)顯示在終端或計算機上;利用目標主機的X.500服務:有些主機沒有關閉X.500的目錄查詢服務,也給攻擊者提供了獲得信息的一條簡易途徑;從電子郵件地址中收集:有些用戶電子郵件地址常會透露其在目標主機上的帳號;查看主機是否有習慣性的帳號:有經驗的用戶都知道,很多系統會使用一些習慣性的帳號,造成帳號的泄露。
IP欺騙是指攻擊者偽造別人的IP地址,讓一台計算機假冒另一台計算機以達到矇混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網路協議的脆弱性。在TCP的三次握手過程中,入侵者假冒被入侵主機的信任主機與被入侵主機進行連接,並對被入侵主機所信任的主機發起淹沒攻擊,使被信任的主機處於癱瘓狀態。當主機正在進行遠程服務時,網路入侵者最容易獲得目標網路的信任關系,從而進行IP欺騙。IP欺騙是建立在對目標網路的信任關系基礎之上的。同一網路的計算機彼此都知道對方的地址,它們之間互相信任。由於這種信任關系,這些計算機彼此可以不進行地址的認證而執行遠程操作。
域名系統(DNS)是一種用於TCP/IP應用程序的分布式資料庫,它提供主機名字和IP地址之間的轉換信息。通常,網路用戶通過UDP協議和DNS伺服器進行通信,而伺服器在特定的53埠監聽,並返回用戶所需的相關信息。DNS協議不對轉換或信息性的更新進行身份認證,這使得該協議被人以一些不同的方式加以利用。當攻擊者危害DNS伺服器並明確地更改主機名—IP地址映射表時,DNS欺騙就會發生。這些改變被寫入DNS伺服器上的轉換表。因而,當一個客戶機請求查詢時,用戶只能得到這個偽造的地址,該地址是一個完全處於攻擊者控制下的機器的IP地址。因為網路上的主機都信任DNS伺服器,所以一個被破壞的DNS伺服器可以將客戶引導到非法的伺服器,也可以欺騙伺服器相信一個IP地址確實屬於一個被信任客戶。
5 常見的網路攻擊及其防範對策
5.1 特洛伊木馬
特洛伊木馬程序技術是黑客常用的攻擊手段。它通過在你的電腦系統隱藏一個會在Windows啟動時運行的程序,採用伺服器/客戶機的運行方式,從而達到在上網時控制你電腦的目的。
特洛伊木馬是夾帶在執行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼,因此含有特洛伊木馬的程序在執行時,表面上是執行正常的程序,而實際上是在執行用戶不希望的程序。特洛伊木馬程序包括兩個部分,即實現攻擊者目的的指令和在網路中傳播的指令。特洛伊木馬具有很強的生命力,在網路中當人們執行一個含有特洛伊木馬的程序時,它能把自己插入一些未被感染的程序中,從而使它們受到感染。此類攻擊對計算機的危害極大,通過特洛伊木馬,網路攻擊者可以讀寫未經授權的文件,甚至可以獲得對被攻擊的計算機的控制權。
防止在正常程序中隱藏特洛伊木馬的主要方法是人們在生成文件時,對每一個文件進行數字簽名,而在運行文件時通過對數字簽名的檢查來判斷文件是否被修改,從而確定文件中是否含有特洛伊木馬。避免下載可疑程序並拒絕執行,運用網路掃描軟體定期監視內部主機上的監聽TCP服務。
5.2 郵件炸彈
電子郵件炸彈是最古老的匿名攻擊之一,通過設置一台機器不斷的大量的向同一地址發送電子郵件,攻擊者能夠耗盡接受者網路的帶寬,占據郵箱的空間,使用戶的存儲空間消耗殆盡,從而阻止用戶對正常郵件的接收,防礙計算機的正常工作。此種攻擊經常出現在網路黑客通過計算機網路對某一目標的報復活動中。
防止郵件炸彈的方法主要有通過配置路由器,有選擇地接收電子郵件,對郵件地址進行配置,自動刪除來自同一主機的過量或重復的消息,也可使自己的SMTP連接只能達成指定的伺服器,從而免受外界郵件的侵襲。5.3 過載攻擊
過載攻擊是攻擊者通過伺服器長時間發出大量無用的請求,使被攻擊的伺服器一直處於繁忙的狀態,從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊,它是通過大量地進行人為地增大CPU的工作量,耗費CPU的工作時間,使其它的用戶一直處於等待狀態。
防止過載攻擊的方法有:限制單個用戶所擁有的最大進程數;殺死一些耗時的進程。然而,不幸的是這兩種方法都存在一定的負面效應。通過對單個用戶所擁有的最大進程數的限制和耗時進程的刪除,會使用戶某些正常的請求得不到系統的響應,從而出現類似拒絕服務的現象。通常,管理員可以使用網路監視工具來發現這種攻擊,通過主機列表和網路地址列表來分析問題的所在,也可以登錄防火牆或路由器來發現攻擊究竟是來自於網路外部還是網路內部。另外,還可以讓系統自動檢查是否過載或者重新啟動系統。
5.4 淹沒攻擊
正常情況下,TCP連接建立要經歷3次握手的過程,即客戶機向主機發送SYN請求信號;目標主機收到請求信號後向客戶機發送SYN/ACK消息;客戶機收到SYN/ACK消息後再向主機發送RST信號並斷開連接。TCP的這三次握手過程為人們提供了攻擊網路的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址,向被攻擊主機發出SYN請求信號,當被攻擊主機收到SYN請求信號後,它向這台不存在IP地址的偽裝主機發出SYN/消息。由於此時主機的IP不存在或當時沒有被使用所以無法向主機發送RST,因此,造成被攻擊的主機一直處於等待狀態,直至超時。如果攻擊者不斷地向被攻擊的主機發送SYN請求,被攻擊主機就會一直處於等待狀態,從而無法響應其他用戶的請求。
對付淹沒攻擊的最好方法是實時監控系統處於SYN-RECEIVED狀態的連接數,當連接數超過某一給定的數值時,實時關閉這些連接。
參考文獻
1 胡道元.計算機區域網〔M〕.北京:清華大學出版社,2001
2 朱理森,張守連.計算機網路應用技術〔M〕.北京:專利文獻出版社,2001
3 劉佔全.網路管理與防火牆〔M〕.北京:人民郵電出版社,1999