常見(jiàn)網(wǎng)絡(luò)攻擊的手段與防范

1、常見(jiàn)網(wǎng)絡(luò)攻擊的手段與防范常見(jiàn)網(wǎng)絡(luò)攻擊的手段與防范 侯建兵赤峰學(xué)院計(jì)算機(jī)科學(xué)與技術(shù)系，赤峰024000 摘要：現(xiàn)在，intemet上的網(wǎng)絡(luò)攻擊越來(lái)越猖獗，攻擊手段也越來(lái)越先進(jìn)，一旦被攻破，導(dǎo)致的損失也會(huì)越來(lái)越嚴(yán)重。如何有效地防止網(wǎng)絡(luò)攻擊已成為一個(gè)全球性的研究課題，受到全世界網(wǎng)絡(luò)工作者的普遍重視，因此，針對(duì)黑客的網(wǎng)絡(luò)攻擊，提高網(wǎng)絡(luò)的防護(hù)能力，保證信息安全已成為當(dāng)務(wù)之急。為此關(guān)鍵詞：網(wǎng)絡(luò)安全；網(wǎng)絡(luò)攻擊；安全策略；手段；措施；黑客攻擊；防范技術(shù) 一 引言隨著intemet的發(fā)展高信息技術(shù)像一把雙刃劍，帶給我們無(wú)限益處的同時(shí)也帶給網(wǎng)絡(luò)更大的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全已成為重中之重，攻擊者無(wú)處不在。因此網(wǎng)絡(luò)管理人員應(yīng)

2、該對(duì)攻擊手段有一個(gè)全面深刻的認(rèn)識(shí)，制訂完善安全防護(hù)策略。孫子兵法上說(shuō)，知己知彼，百戰(zhàn)不殆。要想有效的防范黑客對(duì)我們電腦的入侵和破壞，僅僅被動(dòng)的安裝防火墻是顯然不夠的。我們必須對(duì)黑客的攻擊方法、攻擊原理、攻擊過(guò)程有深入的、詳細(xì)的了解，針對(duì)不同的方法采取不同的措施，做到有的放矢。只有這樣才能更有效、更具有針對(duì)性的進(jìn)行主動(dòng)防護(hù)。二 相關(guān)基本概念和網(wǎng)絡(luò)攻擊的特點(diǎn)1.計(jì)算機(jī)網(wǎng)絡(luò)安全的含義從本質(zhì)上來(lái)講網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)

3、絡(luò)安全面臨新的挑戰(zhàn)。2. 網(wǎng)絡(luò)攻擊概念性描述網(wǎng)絡(luò)攻擊是利用信息系統(tǒng)自身存在的安全漏洞，進(jìn)入對(duì)方網(wǎng)絡(luò)系統(tǒng)或者是摧毀其硬件設(shè)施。其目的就是破壞網(wǎng)絡(luò)安全的各項(xiàng)指標(biāo)，破壞擾亂對(duì)方信息系統(tǒng)的正常運(yùn)行，致使對(duì)方計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)崩潰、失效或錯(cuò)誤工作。3. 計(jì)算機(jī)網(wǎng)絡(luò)攻擊的特點(diǎn)計(jì)算機(jī)網(wǎng)絡(luò)攻擊具有下述特點(diǎn)：(1)損失巨大。由于攻擊和入侵的對(duì)象是網(wǎng)絡(luò)上的計(jì)算機(jī)。所以一旦他們?nèi)〉贸晒?，就?huì)使網(wǎng)絡(luò)中成千上萬(wàn)臺(tái)計(jì)算機(jī)處于癱瘓狀態(tài)，從而給計(jì)算機(jī)用戶(hù)造成巨大的經(jīng)濟(jì)損失。(2)威脅社會(huì)和國(guó)家安全。一些計(jì)算機(jī)網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府要害部門(mén)和軍事部門(mén)的計(jì)算機(jī)作為攻擊目標(biāo)，從而對(duì)社會(huì)和國(guó)家安全造成威脅。(3)手段多樣，手

4、法隱蔽。計(jì)算機(jī)攻擊的手段可以說(shuō)五花八門(mén)。網(wǎng)絡(luò)攻擊者既可以通過(guò)監(jiān)視網(wǎng)上數(shù)據(jù)來(lái)獲取別人的保密信息；也可以通過(guò)截取別人的帳號(hào)和口令堂而皇之地進(jìn)入別人的計(jì)算機(jī)系統(tǒng)；還可以通過(guò)一些特殊的方法繞過(guò)人們精心設(shè)計(jì)好的防火墻等等。這些過(guò)程都可以在很短的時(shí)間內(nèi)通過(guò)任何一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)完成。(4)以軟件攻擊為主。幾乎所有的網(wǎng)絡(luò)入侵都是通過(guò)對(duì)軟件的截取和攻擊從而破壞整個(gè)計(jì)算機(jī)系統(tǒng)的。它完全不同于人們?cè)谏钪兴?jiàn)到的對(duì)某些機(jī)器設(shè)備進(jìn)行物理上的摧毀。因此，這一方面導(dǎo)致了計(jì)算機(jī)犯罪的隱蔽性，另一方面又要求人們對(duì)計(jì)算機(jī)的各種軟件(包括計(jì)算機(jī)通信過(guò)程中的信息流)進(jìn)行嚴(yán)格的保護(hù)。三網(wǎng)絡(luò)攻擊的步驟進(jìn)行網(wǎng)絡(luò)攻擊是一件系統(tǒng)性很強(qiáng)的工作

5、，其主要工作流程是：收集情報(bào)遠(yuǎn)程攻擊遠(yuǎn)程登錄取得普通用戶(hù)的權(quán)限取得超級(jí)用戶(hù)的權(quán)限留下后門(mén)清除日志。主要內(nèi)容包括目標(biāo)分析、文檔獲取、破解密碼、日志清除等技術(shù)。第一步：隱藏自己的位置普通攻擊者都會(huì)利用別人的電腦隱藏他們真實(shí)的ip地址。第二步：尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)攻擊者首先要尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)。在intemet上能真正標(biāo)識(shí)主機(jī)的是ip地址，域名是為了便于記憶主機(jī)的ip地址而另起的名字，只要利用域名和ip地址就可以順利地找到目標(biāo)主機(jī)。當(dāng)然，知道要攻擊目標(biāo)的位置還是遠(yuǎn)遠(yuǎn)不夠的，還必須將主機(jī)的操作系統(tǒng)類(lèi)型及其所提供的服務(wù)等資料進(jìn)行全面的了解。此時(shí)，攻擊者會(huì)使用一些掃描工具，輕松獲取目標(biāo)主機(jī)運(yùn)

6、行的是哪種操作系統(tǒng)的哪個(gè)版本，系統(tǒng)有哪些帳戶(hù)，www、ftp、telnet、smtp等服務(wù)器程序是何種版本等資料，為入侵作好充分的準(zhǔn)備。第三步：獲取帳號(hào)和密碼，登錄主機(jī)要想入侵一臺(tái)主機(jī)，首先必需要有該主機(jī)的一個(gè)帳號(hào)和密碼，否則連登錄都無(wú)法進(jìn)行。因此，攻擊者必須先設(shè)法盜竊帳戶(hù)文件并進(jìn)行破解，從中獲取某用戶(hù)的帳號(hào)和口令，然后尋找合適時(shí)機(jī)以此身份進(jìn)入主機(jī)。當(dāng)然，利用某些工具或系統(tǒng)漏洞登錄主機(jī)也是攻擊者常用的一種技法。第四步：獲得控制權(quán)攻擊者用ftp、telnet等工具利用系統(tǒng)漏洞進(jìn)入目標(biāo)主機(jī)系統(tǒng)獲得控制權(quán)之后，就會(huì)清除日志和留下后門(mén)，而且會(huì)更改某些系統(tǒng)設(shè)置、在系統(tǒng)中置入特洛伊木馬或其他一些遠(yuǎn)程操縱程

7、序，以便日后可以不被覺(jué)察地再次進(jìn)入系統(tǒng)。大多數(shù)后門(mén)程序是預(yù)先編譯好的，只需要想辦法修改時(shí)間和權(quán)限就可以使用了，甚至新文件的大小都和原文件一模一樣。攻擊者一般會(huì)使用rep傳遞這些文件，以便不留下ftp記錄。用清除日志、刪除拷貝的文件等手段來(lái)隱藏自己的蹤跡之后，攻擊者就開(kāi)始下一步的行動(dòng)。第五步：竊取網(wǎng)絡(luò)資源和特權(quán)攻擊者找到攻擊目標(biāo)后，會(huì)繼續(xù)下一步的攻擊，即實(shí)施真正的網(wǎng)絡(luò)攻擊。如：下載敏感信息；實(shí)施竊取帳號(hào)密碼、信用卡號(hào)等經(jīng)濟(jì)偷竊；使網(wǎng)絡(luò)癱瘓。三 網(wǎng)絡(luò)攻擊技術(shù)原理和常用手段1. dos拒絕服務(wù)攻擊internet最初的設(shè)計(jì)目標(biāo)是開(kāi)放性和靈活性，而不是安全性。目前internet網(wǎng)上各種入侵手段和攻擊

8、方式大量出現(xiàn)，成為網(wǎng)絡(luò)安全的主要威脅，拒絕服務(wù)(denial of service，dos)是一種簡(jiǎn)單但很有效的進(jìn)攻方式。其基本原理是利用合理的請(qǐng)求占用過(guò)多的服務(wù)資源，致使服務(wù)超載，無(wú)法響應(yīng)其他的請(qǐng)求，從而使合法用戶(hù)無(wú)法得到服務(wù)。dos的攻擊方式有很多種。最基本的dos攻擊就是利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源，致使服務(wù)超載，無(wú)法響應(yīng)其他的請(qǐng)求。這些服務(wù)資源包括網(wǎng)絡(luò)帶寬，文件系統(tǒng)空間容量，開(kāi)放的進(jìn)程或者向內(nèi)的連接。這種攻擊會(huì)導(dǎo)致資源的缺乏，無(wú)論計(jì)算機(jī)的處理速度多么快，內(nèi)存容量多么大，互連網(wǎng)的速度多么快都無(wú)法避免這種攻擊帶來(lái)的后果。因?yàn)槿魏问露加幸粋€(gè)極限。所以，總能找到一個(gè)方法使請(qǐng)求的值大于

9、該極限值，因此就會(huì)使所提供的服務(wù)資源缺乏，像是無(wú)法滿(mǎn)足需求。千萬(wàn)不要自認(rèn)為自己擁有了足夠?qū)挼膸捑蜁?huì)有一個(gè)高效率的網(wǎng)站，拒絕服務(wù)攻擊會(huì)使所有的資源交得非常渺小。典型拒絕服務(wù)攻擊有以下幾種：（1）ping of death根據(jù)tcpip的規(guī)范，一個(gè)包的長(zhǎng)度最大為65536字節(jié)。盡管一個(gè)包的長(zhǎng)度不能超過(guò)65536字節(jié)，但是一個(gè)包分成的多個(gè)片段的疊加卻能做到。當(dāng)一個(gè)主機(jī)收到了長(zhǎng)度大于65536字節(jié)的包時(shí)，就是受到了ping of death攻擊，該攻擊會(huì)造成主機(jī)的宕機(jī)。（2）syn floodsyn flood攻擊也是一種常用的拒絕服務(wù)攻擊。它的工作原理是，正常的一個(gè)tcp連接需要連接雙方進(jìn)行三個(gè)動(dòng)

10、作，即“三次握手”，其過(guò)程如下：請(qǐng)求連接的客戶(hù)機(jī)首先將一個(gè)帶syn標(biāo)志位的包發(fā)給服務(wù)器；服務(wù)器收到這個(gè)包后產(chǎn)生一個(gè)自己的syn標(biāo)志，并把收到包的syn+i作為ack標(biāo)志返回給客戶(hù)機(jī)：客戶(hù)機(jī)收到該包后，再發(fā)一個(gè)ack=syn+i的包給服務(wù)器。經(jīng)過(guò)這三次握手，連接才正式建立。在服務(wù)器向客戶(hù)機(jī)發(fā)返回包時(shí)，它會(huì)等待客戶(hù)機(jī)的ack確認(rèn)包，這時(shí)這個(gè)連接被加到未完成連接隊(duì)列中，直到收到ack應(yīng)答后或超時(shí)才從隊(duì)列中刪除。這個(gè)隊(duì)列是有限的，一些tcpip堆棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計(jì)算機(jī)發(fā)來(lái)的ack消息、，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這些緩沖區(qū)內(nèi)充滿(mǎn)了虛假連接的初始信息，該服務(wù)器就會(huì)對(duì)接下來(lái)

11、的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時(shí)。如果客戶(hù)機(jī)偽裝大量syn包進(jìn)行連接請(qǐng)求并且不進(jìn)行第三次握手，則服務(wù)器的未完成連接隊(duì)列就會(huì)被塞滿(mǎn)，正常的連接請(qǐng)求就會(huì)被拒絕，這樣就造成了拒絕服務(wù)。（3）緩沖區(qū)溢出攻擊緩沖區(qū)是程序運(yùn)行時(shí)計(jì)算機(jī)內(nèi)存中的一個(gè)連續(xù)塊。大多數(shù)情況下為了不占用太多的內(nèi)存，一個(gè)有動(dòng)態(tài)變量的程序在程序運(yùn)行時(shí)才決定給它們分配多少內(nèi)存。如果程序在動(dòng)態(tài)分配緩沖區(qū)放入超長(zhǎng)的數(shù)據(jù)，就會(huì)發(fā)生緩沖區(qū)的溢出。此時(shí)，子程序的返回地址就有可能被超出緩沖區(qū)的數(shù)據(jù)覆蓋，如果在溢出的緩存區(qū)中寫(xiě)入想執(zhí)行的代碼(shell-code)，并使返回地址指向其起始地址，cpu就會(huì)轉(zhuǎn)而執(zhí)行shell-code，達(dá)到運(yùn)行任

12、意指令從而進(jìn)行攻擊的目的。2. 程序攻擊（1）病毒a病毒的主要特征 隱蔽性：病毒的存在、傳染和對(duì)數(shù)據(jù)的破壞過(guò)程不易為計(jì)算機(jī)操作人員發(fā)現(xiàn)。 寄生性：計(jì)算機(jī)病毒通常是依附于其它文件而存在的。 傳染性：計(jì)算機(jī)病毒在一定條件下可以自我復(fù)制，能對(duì)其它文件或系統(tǒng)進(jìn)行一系列非法操作，并使之成為一個(gè)新的傳染源。 觸發(fā)性：病毒的發(fā)作一般都需要一個(gè)激發(fā)條件，可以是日期、時(shí)間、特定程序的運(yùn)行或程序的運(yùn)行次數(shù)等等。 破壞性：病毒在觸發(fā)條件滿(mǎn)足時(shí)，會(huì)立即對(duì)計(jì)算機(jī)系統(tǒng)的文件、資源等運(yùn)行進(jìn)行干擾破壞。 不可遇見(jiàn)性：病毒相對(duì)于防毒軟件永遠(yuǎn)是超前的，理論上講沒(méi)有任何殺毒軟件能將所有的病毒殺除。 針對(duì)性：針對(duì)特定的應(yīng)用程序或操作

13、系統(tǒng)，通過(guò)感染數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行傳播。b病毒采用的觸發(fā)條件主要有以下幾種： 日期觸發(fā)：許多病毒采用日期做觸發(fā)條件。日期觸發(fā)大體包括：特定日期觸發(fā)、月份觸發(fā)、前半年后半年觸發(fā)等。 時(shí)間觸發(fā)：時(shí)間觸發(fā)包括特定的時(shí)間觸發(fā)、染毒后累計(jì)工作時(shí)間觸發(fā)、文件最后寫(xiě)入時(shí)間觸發(fā)等。 鍵盤(pán)觸發(fā)：有些病毒監(jiān)視用戶(hù)的擊鍵動(dòng)作，當(dāng)發(fā)現(xiàn)病毒預(yù)定的鍵入時(shí)，病毒被激活，進(jìn)行某些特定操作。鍵盤(pán)觸發(fā)包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)、熱啟動(dòng)觸發(fā)等。 感染觸發(fā)：許多病毒的感染需要某些條件觸發(fā)，而且相當(dāng)數(shù)量的病毒又以與感染有關(guān)的信息反過(guò)來(lái)作為破壞行為的觸發(fā)條件，稱(chēng)為感染觸發(fā)。它包括：運(yùn)行感染文件個(gè)數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤(pán)數(shù)觸發(fā)、感染失

14、敗觸發(fā)等。 啟動(dòng)觸發(fā)：病毒對(duì)機(jī)器的啟動(dòng)次數(shù)計(jì)數(shù)，并將此值作為觸發(fā)條件稱(chēng)為啟動(dòng)觸發(fā)。 訪問(wèn)磁盤(pán)次數(shù)觸發(fā)：病毒對(duì)磁盤(pán)io訪問(wèn)的次數(shù)進(jìn)行計(jì)數(shù)，以預(yù)定次數(shù)做觸發(fā)條件叫訪問(wèn)磁盤(pán)次數(shù)觸發(fā)。 調(diào)用中斷功能觸發(fā)：病毒對(duì)中斷調(diào)用次數(shù)計(jì)數(shù)，以預(yù)定次數(shù)做觸發(fā)條件。 cpu型號(hào)主板型號(hào)觸發(fā)：病毒能識(shí)別運(yùn)行環(huán)境的cpu型號(hào)主板型號(hào)，以預(yù)定cpu型號(hào)主板型號(hào)做觸發(fā)條件，這種病毒的觸發(fā)方式奇特罕見(jiàn)。被計(jì)算機(jī)病毒使用的觸發(fā)條件是多種多樣的，而且往往不只是使用上面所述的某一個(gè)條件，而是使用由多個(gè)條件組合起來(lái)的觸發(fā)條件。大多數(shù)病毒的組合觸發(fā)條件是基于時(shí)間的，再輔以讀、寫(xiě)盤(pán)操作，按鍵操作以及其他條件等。（2）蠕蟲(chóng)a.蠕蟲(chóng)的工作原理

15、蠕蟲(chóng)程序的實(shí)體結(jié)構(gòu)：蠕蟲(chóng)程序相對(duì)于一般的應(yīng)用程序，在實(shí)體結(jié)構(gòu)方面體現(xiàn)更多的復(fù)雜性，通過(guò)對(duì)多個(gè)蠕蟲(chóng)程序的分析，可以粗略的把蠕蟲(chóng)程序的實(shí)體結(jié)構(gòu)分為如下的六大部分，具體的蠕蟲(chóng)可能是由其中的幾部分組成： 未編譯的源代碼：由于有的程序參數(shù)必須在編譯時(shí)確定，所以蠕蟲(chóng)程序可能包含一部分未編譯的程序源代碼； 已編譯的鏈接模塊：不同的系統(tǒng)(同族)可能需要不同的運(yùn)行模塊，例如不同的硬件廠商和不同的系統(tǒng)廠商采用不同的運(yùn)行庫(kù)，這在unix族的系統(tǒng)中非常常見(jiàn)； 可運(yùn)行代碼：整個(gè)蠕蟲(chóng)可能是由多個(gè)編譯好的程序組成； 腳本：利用腳本可以節(jié)省大量的代碼，充分利用系統(tǒng)shell的功能； 受感染系統(tǒng)上的可執(zhí)行程序：受感染系統(tǒng)上的可

16、執(zhí)行程序如文件傳輸?shù)瓤杀蝗湎x(chóng)作為自己的組成部分； 信息數(shù)據(jù)：包括已破解的口令、要攻擊的地址列表、蠕蟲(chóng)自身壓縮包。蠕蟲(chóng)程序的功能結(jié)構(gòu)：鑒于所有蠕蟲(chóng)都具有相似的功能結(jié)構(gòu)，一功能模型，統(tǒng)一功能模型將蠕蟲(chóng)程序分解為基本功能模塊和擴(kuò)展功能模塊。實(shí)現(xiàn)了基本功能模塊的蠕蟲(chóng)程序就能完成復(fù)制傳播流程，包含擴(kuò)展功能模塊的蠕蟲(chóng)程序則具有更強(qiáng)的生存能力和破壞能力?；竟δ苡晌鍌€(gè)功能模塊構(gòu)成： 搜索模塊：尋找下一臺(tái)要傳染的機(jī)器，為提高搜索效率，可以采用一系列的搜索算法。 攻擊模塊：在被感染的機(jī)器上建立傳輸通道(傳染途徑)，為減少第一次傳染數(shù)據(jù)傳輸量，可以采用引導(dǎo)式結(jié)構(gòu)。 傳輸模塊：計(jì)算機(jī)間的蠕蟲(chóng)程序復(fù)制。 信息搜集模塊

17、：搜集和建立被傳染機(jī)器上的信息。 繁殖模塊：建立自身的多個(gè)副本，在同一臺(tái)機(jī)器上提高傳染效率、判斷避免重復(fù)傳染。b.蠕蟲(chóng)的工作流程：蠕蟲(chóng)程序的工作流程可以分為掃描、攻擊、現(xiàn)場(chǎng)處理、復(fù)制四部分，當(dāng)掃描到有漏洞的計(jì)算機(jī)系統(tǒng)后，進(jìn)行攻擊，攻擊部分完成蠕蟲(chóng)主體的遷移工作；進(jìn)入被感染的系統(tǒng)后，要做現(xiàn)場(chǎng)處理工作，現(xiàn)場(chǎng)處理部分工作包括隱藏、信息搜集等；生成多個(gè)副本后，重復(fù)上述流程。（3）木馬攻擊a.木馬的結(jié)構(gòu)木馬程序一般包含兩個(gè)部分：外殼程序和內(nèi)核程序。外殼程序：一般是公開(kāi)的，誰(shuí)都可以看得到。往往具有足夠的吸引力，使人在下載或拷貝時(shí)運(yùn)行。內(nèi)核程序：隱藏在外殼程序之后，可以做各種對(duì)系統(tǒng)造成破壞的事情，如：發(fā)動(dòng)攻

18、擊、破壞設(shè)備、安裝后門(mén)等。b.木馬攻擊原理一般的木馬程序都包括客戶(hù)端和服務(wù)端兩個(gè)程序，其中客戶(hù)端是用于攻擊者遠(yuǎn)程控制植入木馬的機(jī)器，服務(wù)器端程序即是木馬程序，他所做的第一步是要把木馬的服務(wù)器端程序植入到目標(biāo)的電腦里面。攻擊者要通過(guò)木馬攻擊目標(biāo)系統(tǒng)，當(dāng)植入成功以后，攻擊者就對(duì)目標(biāo)電腦進(jìn)行非法操作。c.木馬具有的特性由于木馬所從事的是”地下工作”，因此它必須隱藏起來(lái)，它會(huì)想盡一切辦法不讓你發(fā)現(xiàn)它。它的特性主要體現(xiàn)在以下幾個(gè)方面： 隱蔽性：當(dāng)木馬植入到目標(biāo)電腦中，不產(chǎn)生任何圖標(biāo)，并以”系統(tǒng)服務(wù)”的方式欺騙操作系統(tǒng)。 具有自動(dòng)運(yùn)行性：木馬為了控制服務(wù)端。它必須在系統(tǒng)啟動(dòng)時(shí)即跟隨啟動(dòng)，所以它必須潛人在你

19、的啟動(dòng)配置文件中，如winini、systemini、winstartbat以及啟動(dòng)組等文件之中。 包含具有未公開(kāi)并且可能產(chǎn)生危險(xiǎn)后果的功能的程序。 具備自動(dòng)恢復(fù)功能，木馬程序中的功能模塊具有多重備份，可以相互恢復(fù)。當(dāng)你刪除了其中的一個(gè)，隨后馬上有會(huì)出現(xiàn)。 能自動(dòng)打開(kāi)特別的端口，當(dāng)木馬程序植入后，攻擊者利用該程序，開(kāi)啟系統(tǒng)中別的端口，以便進(jìn)行下一次非法操作。 通常的木馬功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache中的口令、設(shè)置口令、掃描目標(biāo)機(jī)器人的ip地址進(jìn)行鍵盤(pán)記錄、遠(yuǎn)程注冊(cè)表的操作以及鎖定鼠標(biāo)等功能。3. 電子欺騙攻擊（1）ip電子欺騙攻擊ip欺騙有兩種基本方式

20、，一種是使用寬松的源路由選擇截取數(shù)據(jù)包，另一種是利用unix機(jī)器上的信任關(guān)系。使用寬松的源路由選擇時(shí)，發(fā)送端指明了流量或者數(shù)據(jù)包必須經(jīng)過(guò)的ip地址清單，但如果有需要，也可以經(jīng)過(guò)一些其它的地址。由于采用單向的ip欺騙時(shí)，被盜用的地址會(huì)收到返回的信息流，而黑客的機(jī)器卻不能收到這樣的信息流，所以黑客就在使用假冒的地址向目的地發(fā)送數(shù)據(jù)包時(shí)指定寬松的源路由選擇，并把它的ip地址填入地址清單中，最終截取目的機(jī)器返回到源機(jī)器的流量。在unix系統(tǒng)中，為了操作方便，通常在主機(jī)a和主機(jī)b中建立起兩個(gè)相互信任的賬戶(hù)。黑客為了進(jìn)行ip欺騙，首先會(huì)使被信任的主機(jī)喪失工作能力，同時(shí)采樣目標(biāo)主機(jī)向被信任的主機(jī)發(fā)出的tcp

21、序列號(hào)，猜測(cè)出它的數(shù)據(jù)序列號(hào)，然后偽裝成被信任的主機(jī)，同時(shí)建立起與目標(biāo)主機(jī)基于地址驗(yàn)證的應(yīng)用連接，以便進(jìn)行非授權(quán)操作。（2）dns電子欺騙攻擊主機(jī)域名與ip地址的映射關(guān)系是由域名系統(tǒng)dns來(lái)實(shí)現(xiàn)的，現(xiàn)在internet上主要使用bind域名服務(wù)器程序。dns協(xié)議具有以下特點(diǎn)： nds報(bào)文只使用一個(gè)序列號(hào)來(lái)進(jìn)行有效性鑒別，序列號(hào)由客戶(hù)程序設(shè)置并由服務(wù)器返回結(jié)果，客戶(hù)程序通過(guò)它來(lái)確定響應(yīng)與查詢(xún)是否匹配，這就引入了序列號(hào)攻擊的危險(xiǎn)； 在dns應(yīng)答報(bào)文中可以附加信息，該信息可以和所請(qǐng)求的信息沒(méi)有直接關(guān)系，這樣，攻擊這就可以在應(yīng)答中隨意添加某些信息，指示某域的權(quán)威域名服務(wù)器的域名和ip，導(dǎo)致在被影響的域

22、名服務(wù)器上查詢(xún)?cè)撚虻恼?qǐng)求都會(huì)被轉(zhuǎn)向攻擊這所指定的域名服務(wù)器上，從而對(duì)網(wǎng)絡(luò)的完整性造成威脅。 dns的高速緩存機(jī)制，當(dāng)一個(gè)域名服務(wù)器收到有關(guān)域名和ip的映射信息時(shí)，它會(huì)將該信息存放在高速緩存中，當(dāng)再次遇到對(duì)此域名的查詢(xún)請(qǐng)求時(shí)就直接使用緩存中的結(jié)果而無(wú)需重新查詢(xún)。針對(duì)dns協(xié)議存在的安全缺陷，目前可采用的dns欺騙技術(shù)有：a.內(nèi)應(yīng)攻擊。攻擊者在非法或合法地控制一臺(tái)dns服務(wù)器后，可以直接操作域名數(shù)據(jù)庫(kù)，修改指定域名所對(duì)應(yīng)的ip為自己所控制的主機(jī)ip。于是，當(dāng)客戶(hù)發(fā)出對(duì)指定域名的查詢(xún)請(qǐng)求后，將得到偽造的ip地址。b.序列號(hào)攻擊。dns協(xié)議格式中定義了序列號(hào)id，用來(lái)匹配請(qǐng)求數(shù)據(jù)包和響應(yīng)數(shù)據(jù)包，客戶(hù)端

23、首先以特定的id向dns服務(wù)器發(fā)送域名查詢(xún)數(shù)據(jù)包，在dns服務(wù)器查詢(xún)之后以相同的id號(hào)給客戶(hù)端發(fā)送域名響應(yīng)數(shù)據(jù)包。這時(shí)，客戶(hù)端將收到的dns響應(yīng)數(shù)據(jù)包的id和自己發(fā)送出去的查詢(xún)數(shù)據(jù)包的id比較，如果匹配，則使用之， 否則，丟棄。利用序列號(hào)進(jìn)行dns欺騙的關(guān)鍵是偽裝成dns服務(wù)器向客戶(hù)端發(fā)送dns響應(yīng)數(shù)據(jù)包，而且要在dns服務(wù)器發(fā)送的真實(shí)dns響應(yīng)數(shù)據(jù)包之前到達(dá)客戶(hù)端，從而是客戶(hù)端dns緩存中查詢(xún)域名所對(duì)應(yīng)的ip就是攻擊者偽造的ip。其欺騙的前提條件是攻擊者發(fā)送的dns響應(yīng)數(shù)據(jù)包id必須匹配客戶(hù)的dns查詢(xún)數(shù)據(jù)包id。利用序列號(hào)進(jìn)行dns欺騙有兩種情況：第一，當(dāng)攻擊者與dns服務(wù)器，客戶(hù)端均不在

24、同一個(gè)局域網(wǎng)內(nèi)時(shí)，攻擊者可以向客戶(hù)端發(fā)送大量的攜有隨機(jī)id序列號(hào)的dns響應(yīng)數(shù)據(jù)包，其中包內(nèi)含有攻擊者偽造的ip，但id匹配的幾率很低，所以攻擊的效率不高。第二，當(dāng)攻擊者至少與dns服務(wù)器或者客戶(hù)端某一個(gè)處在同一個(gè)局域網(wǎng)內(nèi)時(shí)，攻擊者可以通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)得到dns查詢(xún)包的序列號(hào)id，這時(shí)，攻擊者就可以發(fā)送自己偽造好的dns響應(yīng)包給客戶(hù)端，這種方式攻擊更高效。4. 對(duì)網(wǎng)絡(luò)協(xié)議（tcp/ip）弱點(diǎn)的攻擊（1） 網(wǎng)絡(luò)監(jiān)聽(tīng)網(wǎng)絡(luò)監(jiān)聽(tīng)的原理：網(wǎng)絡(luò)中傳輸?shù)拿總€(gè)數(shù)據(jù)包都包含有目的mac地址，局域網(wǎng)中數(shù)據(jù)包以廣播的形式發(fā)送。假設(shè)接收端計(jì)算機(jī)的網(wǎng)卡工作在正常模式下，網(wǎng)卡會(huì)比較收到數(shù)據(jù)包中的目的mac地址是否為本計(jì)算機(jī)m

25、ac地址或?yàn)閺V播地址，是，數(shù)據(jù)包將被接收，如果不是，網(wǎng)卡直接將其丟棄。假設(shè)網(wǎng)卡被設(shè)置為混雜模式，那么它就可以接收所有經(jīng)過(guò)的數(shù)據(jù)包了。也就是說(shuō)，只要是發(fā)送到局域網(wǎng)內(nèi)的數(shù)據(jù)包，都會(huì)被設(shè)置成混雜模式的網(wǎng)卡所接收?，F(xiàn)在局域網(wǎng)都是交換式局域網(wǎng)，以前廣播式局域網(wǎng)中的監(jiān)聽(tīng)不再有效。但監(jiān)聽(tīng)者仍然可以通過(guò)其他途徑來(lái)監(jiān)聽(tīng)交換式局域網(wǎng)中的通信。攻擊手段：網(wǎng)絡(luò)監(jiān)聽(tīng)是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰(shuí)。因?yàn)橄到y(tǒng)在進(jìn)行密碼校驗(yàn)時(shí)，用戶(hù)輸人的密碼需要從用戶(hù)端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽(tīng)。此時(shí)若兩臺(tái)主機(jī)進(jìn)行通信的信息

26、沒(méi)有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽(tīng)工具(如netxray forwindows9598nt、sniffit for linux、solaries等)就可輕而易舉地截取包括口令和賬號(hào)在內(nèi)的信息資料。（2） 電子郵件攻擊電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。攻擊者使用一些郵件炸彈軟件或cgi程序向目的郵箱發(fā)送大量?jī)?nèi)容重復(fù)、無(wú)用的垃圾郵件。從而使目的郵箱被撐爆而無(wú)法使用。攻擊者還可以佯裝系統(tǒng)管理員，給用戶(hù)發(fā)送郵件要求用戶(hù)修改口令或在貌似正常的附件中加載病毒或其他木馬程序。四 網(wǎng)絡(luò)攻擊的防范措施在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行深入分析與識(shí)別的基礎(chǔ)上，網(wǎng)絡(luò)管理人員或用戶(hù)應(yīng)認(rèn)真制定有針對(duì)性的防范策略，明確安全對(duì)象，

27、設(shè)置強(qiáng)有力的安全保障體系，有的放矢，在網(wǎng)絡(luò)中層層設(shè)防，發(fā)揮網(wǎng)絡(luò)每一層的作用，使每層都成為一道關(guān)卡，從而讓攻擊者無(wú)縫可鉆、無(wú)計(jì)可施。當(dāng)然，還必須做到預(yù)防為主，對(duì)重要的數(shù)據(jù)及時(shí)進(jìn)行備份并時(shí)刻關(guān)注系統(tǒng)的運(yùn)行狀況。1.拒絕服務(wù)攻擊的防范由于dos攻擊主要利用網(wǎng)絡(luò)協(xié)議的特征和漏洞進(jìn)行攻擊，所以在防御dos攻擊時(shí)也要與之對(duì)應(yīng)，分別提出相應(yīng)的解決方案。防范dos攻擊可以采用以下的技術(shù)手段： (1)syncookie(主機(jī))syngate(網(wǎng)關(guān))在服務(wù)器和外部網(wǎng)絡(luò)之間部署代理服務(wù)器，通過(guò)代理服務(wù)器發(fā)送synack報(bào)文，在收到客戶(hù)端的syn包后，防火墻代替服務(wù)器向客戶(hù)端發(fā)送synack包，如果客戶(hù)端在一段時(shí)間內(nèi)

28、沒(méi)有應(yīng)答或中間的網(wǎng)絡(luò)設(shè)備發(fā)回了icmp錯(cuò)誤消息，防火墻則丟棄此狀態(tài)信息；如果客戶(hù)端的ack到達(dá)，防火墻代替客戶(hù)端向服務(wù)器發(fā)送syn包，并完成后續(xù)的握手，最終建立客戶(hù)端到服務(wù)器的連接。通過(guò)這種syncookie技術(shù)，保證每個(gè)syn包源的真實(shí)有效性，確保服務(wù)器不被虛假請(qǐng)求浪費(fèi)資源，從而徹底防范對(duì)服務(wù)器的synflood攻擊。(2)應(yīng)用負(fù)載均衡技術(shù)負(fù)載均衡技術(shù)基于現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，提供了一種擴(kuò)展服務(wù)器帶寬和增加服務(wù)器吞吐量的廉價(jià)有效的方法，增強(qiáng)了網(wǎng)絡(luò)數(shù)據(jù)處理能力。負(fù)載均衡的應(yīng)用，能夠有效地解決網(wǎng)絡(luò)擁塞問(wèn)題，能夠就近提供服務(wù)，同時(shí)，還能提高服務(wù)器的響應(yīng)速度，提高服務(wù)器及其它資源的利用效率，從而為用戶(hù)提供更

29、好的訪問(wèn)質(zhì)量。負(fù)載均衡技術(shù)不是專(zhuān)門(mén)用來(lái)解決dos問(wèn)題，但它在應(yīng)對(duì)拒絕服務(wù)攻擊方面卻起到了重大的作用。(3)包過(guò)濾及路由設(shè)置應(yīng)用包過(guò)濾技術(shù)過(guò)濾對(duì)外開(kāi)放的端口，是防止假冒地址的攻擊，使得外部機(jī)器無(wú)法假冒內(nèi)部機(jī)器的地址來(lái)對(duì)內(nèi)部機(jī)器發(fā)動(dòng)攻擊的有效方法。(4)運(yùn)行盡可能少的服務(wù)運(yùn)行盡可能少的服務(wù)可以減少被成功攻擊的機(jī)會(huì)。如果一臺(tái)計(jì)算機(jī)開(kāi)了20個(gè)端口，這就使得攻擊者可以在較大的范圍內(nèi)嘗試對(duì)每個(gè)端口進(jìn)行不同的攻擊。相反，如果系統(tǒng)只開(kāi)了很少的端口，這就限制了攻擊者攻擊站點(diǎn)的類(lèi)型，而且，當(dāng)運(yùn)行的服務(wù)和開(kāi)放的端口都很少時(shí)，管理員可以很容易地進(jìn)行安全設(shè)置。(5)防患于未然由于現(xiàn)有的技術(shù)還沒(méi)有一項(xiàng)針對(duì)dos攻擊的非常

30、有效的解決辦法，所以，防止dos攻擊的最佳方法就是防患于未然。也就是說(shuō)，首先要保證一般的外圍主機(jī)和服務(wù)器的安全，使攻擊者無(wú)法獲得大量的無(wú)關(guān)主機(jī)，從而無(wú)法發(fā)動(dòng)有效攻擊。一旦內(nèi)部或臨近網(wǎng)絡(luò)的主機(jī)被黑客侵入，那么其他的主機(jī)被侵入的危險(xiǎn)將會(huì)很大，而且，如果網(wǎng)絡(luò)內(nèi)部或鄰近的主機(jī)被用來(lái)對(duì)本機(jī)進(jìn)行dos攻擊，攻擊效果會(huì)更加明顯，因此，必須保證外圍主機(jī)和網(wǎng)絡(luò)的安全，尤其是那些擁有高帶寬和高性能服務(wù)器的網(wǎng)絡(luò)。保護(hù)這些主機(jī)最好的辦法就是及時(shí)了解有關(guān)本操作系統(tǒng)的安全漏洞以及相應(yīng)的安全措施，及時(shí)安裝補(bǔ)丁程序并注意定期升級(jí)系統(tǒng)軟件，以免給黑客以可乘之機(jī)。2.網(wǎng)絡(luò)監(jiān)聽(tīng)的防范現(xiàn)在網(wǎng)絡(luò)中使用的大部分協(xié)議都是很早就設(shè)計(jì)的，沒(méi)有

31、充分考慮到網(wǎng)絡(luò)安全問(wèn)題，許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好的、通信雙方充分信任的基礎(chǔ)之上，而且許多信息以明文形式發(fā)送，因此給黑客的網(wǎng)絡(luò)監(jiān)聽(tīng)有了可乘之機(jī)。網(wǎng)絡(luò)監(jiān)聽(tīng)是很難被發(fā)現(xiàn)的，因?yàn)檫\(yùn)行網(wǎng)絡(luò)監(jiān)聽(tīng)的主機(jī)只是被動(dòng)地接收在局域網(wǎng)上傳輸?shù)男畔?，不主?dòng)的與其他主機(jī)交換信息，也沒(méi)有修改在網(wǎng)上傳輸?shù)臄?shù)據(jù)包，但可以采用以下措施來(lái)有效防止網(wǎng)絡(luò)監(jiān)聽(tīng)：(1)劃分vlan為了克服以太網(wǎng)的廣播問(wèn)題，可以運(yùn)用vlan(虛擬局域網(wǎng))技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)監(jiān)聽(tīng)的入侵。交換機(jī)的每一個(gè)端口配置成獨(dú)立的vlan，享有獨(dú)立的vid。將每個(gè)用戶(hù)端口配置成獨(dú)立的vlan，利用支持vlan的交換機(jī)進(jìn)行信息的隔離

32、，把用戶(hù)的ip地址綁定在端口的vlan號(hào)上，以保證正確的路由選擇。在集中式網(wǎng)絡(luò)環(huán)境下，將中心的所有主機(jī)系統(tǒng)集中到一個(gè)vlan里，在這個(gè)vlan里不允許有任何用戶(hù)節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，可以按機(jī)構(gòu)或部門(mén)的設(shè)置來(lái)劃分vlan，各部門(mén)內(nèi)部的所有服務(wù)器和用戶(hù)節(jié)點(diǎn)都在各自的vlan內(nèi)，互不侵?jǐn)_。通過(guò)劃分vlan，有效地控制了廣播風(fēng)暴，降低了通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)手段竊取諸如網(wǎng)絡(luò)管理員等高級(jí)用戶(hù)口令的風(fēng)險(xiǎn)，有效保障網(wǎng)絡(luò)的正常運(yùn)行和網(wǎng)絡(luò)信息的安全。(2)以交換式集線器代替共享式集線器對(duì)局域網(wǎng)的中心交換機(jī)雖然可以進(jìn)行網(wǎng)絡(luò)分段，但以太網(wǎng)監(jiān)聽(tīng)的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶(hù)的接入往往是通

33、過(guò)分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶(hù)與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包(稱(chēng)為單播包)還是會(huì)被同一臺(tái)集線器上的其他用戶(hù)所監(jiān)聽(tīng)。因此，應(yīng)該以交換式集線器代替共享式集線器(近年來(lái)，由于交換機(jī)價(jià)格的下降，使交換機(jī)的應(yīng)用越來(lái)越廣泛，而集線器則逐漸退出了歷史舞臺(tái))，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽(tīng)。(3)vlan+ip+mac捆綁來(lái)確保網(wǎng)絡(luò)的安全性在所有的用戶(hù)間采用vlan隔離，從而最大限度地保護(hù)了網(wǎng)絡(luò)和用戶(hù)信息的安全，但是用戶(hù)的ip地址或mac地址可能被盜用或被仿冒，因此采用vlan+ip+mac捆綁的方式來(lái)認(rèn)證和保證網(wǎng)絡(luò)的安全，這

34、意味著只有正確分配的ip地址、正確的網(wǎng)絡(luò)接口卡并且連到特定端口的用戶(hù)才能獲取服務(wù)。(4)信息加密對(duì)一些重要數(shù)據(jù)進(jìn)行加密，即使被截獲，信息也不易泄露。確認(rèn)所進(jìn)行的請(qǐng)求和數(shù)據(jù)傳遞是處于明文還是密文的狀態(tài)(如：在telnet、ftp、http、smtp等傳輸協(xié)議中，用戶(hù)帳號(hào)和密碼信息都是以明文格式傳輸)，是明文傳輸?shù)膽?yīng)盡可能改用密文方式來(lái)傳輸。例如：由于telnet協(xié)議是明文傳輸?shù)模鴖sh是密文傳輸?shù)模詰?yīng)該用ssh取代telnet實(shí)現(xiàn)對(duì)主機(jī)的遠(yuǎn)程管理。對(duì)網(wǎng)絡(luò)安全要求不是很高的交易或認(rèn)證，可以使用ssl(secure sockets layer：安全套接層通訊協(xié)議)安全機(jī)制，為iis提供一種在其

35、服務(wù)協(xié)議(htit)和tcpip之間提供分層數(shù)據(jù)安全性的協(xié)議，為tcpip連接提供數(shù)據(jù)加密、服務(wù)器身份驗(yàn)證和消息完整性，從而防止資料竊取者直接看到傳輸中的信息。3.緩沖區(qū)溢出攻擊的防范近年來(lái)所發(fā)現(xiàn)的重大安全漏洞中有半數(shù)屬于緩沖區(qū)溢出漏洞，因此，要完全避免緩沖區(qū)溢出漏洞造成的安全威脅是不可能的，但我們可以構(gòu)建完善的防范體系來(lái)降低緩沖區(qū)溢出攻擊的威脅。(1)編寫(xiě)正確的代碼避免使用gets、sprintf等未限定邊界溢出的危險(xiǎn)函數(shù)或者使用具有類(lèi)型安全的java等語(yǔ)言以避免c語(yǔ)言的缺陷，防止緩沖區(qū)溢出的發(fā)生，同時(shí)，使用高級(jí)查錯(cuò)工具尋找代碼中的緩沖區(qū)溢出安全漏洞，確保程序員開(kāi)發(fā)出更安全的程序。(2)非執(zhí)

36、行的緩沖區(qū)通過(guò)使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行被植入到被攻擊程序輸入緩沖區(qū)中的代碼，這種技術(shù)稱(chēng)為非執(zhí)行的緩沖區(qū)技術(shù)。事實(shí)上，很多老的unix系統(tǒng)都是這樣設(shè)計(jì)的，但是近來(lái)的unix和mswindows系統(tǒng)為實(shí)現(xiàn)更好的性能和功能，往往在數(shù)據(jù)段中動(dòng)態(tài)地放人可執(zhí)行的代碼。所以為了保持程序的兼容性不可能使得所有程序的數(shù)據(jù)段不可執(zhí)行。但是我們可以設(shè)定堆棧數(shù)據(jù)段不可執(zhí)行，這樣就可以最大限度地保證了程序的兼容性。(3)數(shù)組邊界檢查不像非執(zhí)行緩沖區(qū)保護(hù)，數(shù)組邊界檢查完全沒(méi)有了緩沖區(qū)溢出的產(chǎn)生和攻擊。這樣，只要數(shù)組不能被溢出，溢出攻擊也就無(wú)從談起。為實(shí)現(xiàn)數(shù)組邊界檢查，則所有對(duì)數(shù)組的讀

37、寫(xiě)操作都應(yīng)當(dāng)被檢查以確保對(duì)數(shù)組的操作在正確的范圍內(nèi)。通?？梢杂胏ompaq c編譯器、類(lèi)型安全語(yǔ)言等優(yōu)化技術(shù)來(lái)減少檢查的次數(shù)。(4)程序指針完整性檢查程序指針完整性檢查和邊界檢查有略微的不同。與防止程序指針被改變不同，程序指針完整性檢查在程序指針被引用之前檢測(cè)到它的改變。因此，即便一個(gè)攻擊者成功地改變程序的指針，由于系統(tǒng)事先檢測(cè)到了指針的改變，因此這個(gè)指針將不會(huì)被使用。與數(shù)組邊界檢查相比，這種方法不能解決所有的緩沖區(qū)溢出問(wèn)題，采用其他的緩沖區(qū)溢出方法就可以避免這種檢測(cè)，但是這種方法在性能上有很大的優(yōu)勢(shì)，而且兼容性也很好。(5)作為普通用戶(hù)或系統(tǒng)管理員，確保及時(shí)對(duì)自己的操作系統(tǒng)和應(yīng)用程序進(jìn)行升級(jí)

38、更新，以修補(bǔ)公開(kāi)的漏洞，減少不必要的開(kāi)放服務(wù)端口。五網(wǎng)絡(luò)安全防范措施以上這幾種防范措施是針對(duì)具體的網(wǎng)絡(luò)攻擊來(lái)設(shè)計(jì)的。我們都知道，現(xiàn)在的網(wǎng)絡(luò)攻擊手段紛繁復(fù)雜，多的數(shù)不勝數(shù)，而且攻擊的手段越來(lái)越高級(jí)，就靠這幾種防范措施是遠(yuǎn)遠(yuǎn)不夠得，是不能解決現(xiàn)實(shí)問(wèn)題的。所以下面給大家從總體上強(qiáng)調(diào)幾點(diǎn)防范措施：1.利用安全防范技術(shù)正因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題復(fù)雜多樣，所以出現(xiàn)了一些技術(shù)來(lái)幫助管理員來(lái)加強(qiáng)網(wǎng)絡(luò)安全。其中主要分為。加密技術(shù)，身份認(rèn)證技術(shù)，防火墻技術(shù)等等。管理員可以利用這些技術(shù)組合使用來(lái)保證網(wǎng)絡(luò)主機(jī)的安全。（1）加密技術(shù)加密技術(shù)主要分為公開(kāi)算法和私有算法兩種。私有算法是運(yùn)用起來(lái)是比較簡(jiǎn)單和運(yùn)算速度比較快的，但缺點(diǎn)是

39、一旦被解密者追蹤到算法，那么算法就徹底廢了。公開(kāi)算法的算法是公開(kāi)的，有的是不可逆。有用公鑰，私鑰的。優(yōu)點(diǎn)是非常難破解。可廣泛用于各種應(yīng)用。缺點(diǎn)是運(yùn)算速度較慢。使用時(shí)很不方便。（2）身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)在電子商務(wù)應(yīng)用中是極為重要的核心安全技術(shù)之一。主要在數(shù)字簽名是用公鑰私鑰的方式保證文件是由使用者發(fā)出的和保證數(shù)據(jù)的安全。在網(wǎng)絡(luò)應(yīng)用中有第三方認(rèn)證技術(shù)kerberos，它可以使用戶(hù)使用的密碼在網(wǎng)絡(luò)傳送中。每次均不一樣，可以有效的保證數(shù)據(jù)安全和方便用戶(hù)在網(wǎng)絡(luò)登入其它機(jī)器的過(guò)程中不需要重復(fù)輸入密碼。（3）防火墻防火墻技術(shù)是比較重要的一個(gè)橋梁。以用來(lái)過(guò)濾內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)環(huán)境，在網(wǎng)絡(luò)安全方面，它的核心

40、技術(shù)就是包過(guò)濾，高級(jí)防火墻還具有地址轉(zhuǎn)換。虛擬私網(wǎng)等功能。2.制訂安全策略系統(tǒng)管理員應(yīng)提高認(rèn)識(shí)，并分析做出解決辦法和提出具體防范方法。更應(yīng)該在保證好機(jī)器設(shè)備正常運(yùn)轉(zhuǎn)的同時(shí)，積極研究各種安全問(wèn)題，制訂安全策略。雖然沒(méi)有絕對(duì)的把握阻止任何侵入，但是一個(gè)好的安全策略可以最少的機(jī)會(huì)發(fā)生入侵情況，即使發(fā)生了也可以最快的做出正確反應(yīng)，最大程度減少經(jīng)濟(jì)損失。（1）提高安全意識(shí) 不隨意打開(kāi)來(lái)歷不明的電子郵件及文件，不隨意運(yùn)行不明程序。 盡量避免從intemet下載不明軟件。一旦下載軟件及時(shí)用最新的病毒和木馬查殺軟件進(jìn)行掃描。 密碼設(shè)置盡可能使用字母數(shù)字混排，不容易窮舉。重要密碼最好經(jīng)常更換。 及時(shí)下載安裝系統(tǒng)

41、補(bǔ)丁程序。（2）使用防毒、防黑等防火墻防火墻是用以阻止網(wǎng)絡(luò)中的黑客訪問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，也可稱(chēng)之為控制進(jìn)出兩個(gè)方向通信的門(mén)檻。在網(wǎng)絡(luò)邊界上通過(guò)建立起來(lái)的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋外部網(wǎng)絡(luò)的侵入。（3）設(shè)置代理服務(wù)器，隱藏自己的ip地址。事實(shí)上，即便你的機(jī)器上被安裝了木馬程序，若沒(méi)有你的ip地址，攻擊者也是沒(méi)有辦法的，而保護(hù)ip地址的最好方法就是設(shè)置代理服務(wù)器。代理服務(wù)器能起到外部網(wǎng)絡(luò)申請(qǐng)?jiān)L問(wèn)內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用。當(dāng)外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)某種網(wǎng)絡(luò)服務(wù)時(shí)，代理服務(wù)器接受申請(qǐng)，然后它根據(jù)其服務(wù)類(lèi)型、服務(wù)內(nèi)容、被服務(wù)的對(duì)象、服務(wù)者申請(qǐng)的時(shí)間、申請(qǐng)者的域名范圍等來(lái)決定是否接受此

42、項(xiàng)服務(wù)。（4）將防毒、防黑當(dāng)成日常例性工作。定時(shí)更新防毒組件，將防毒軟件保持在常駐狀態(tài)，以徹底防毒。（5）對(duì)于重要的資料做好嚴(yán)密的保護(hù)，并養(yǎng)成資料備份的習(xí)慣。六結(jié)束語(yǔ)沒(méi)有絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，安全問(wèn)題是多種多樣，且隨著時(shí)間技術(shù)的變化而變化，所以安全防護(hù)也是非常重要的，保持清醒正確的認(rèn)識(shí)，同時(shí)掌握最新的安全問(wèn)題情況，再加上完善有效的安全策略，是可以阻止大部分安全事件的發(fā)生，保持最小程度的損失。 參考文獻(xiàn)：1張興虎黑客攻防技術(shù)內(nèi)幕清華大學(xué)出版社，2002122【美eric cole著，蘇雷等譯黑客攻擊透析與防范電子工業(yè)出版社。200233美cathy cronkhite jack mcculloug

43、h著，紀(jì)新元，譚保東譯拒絕惡意訪問(wèn)人民郵電出版社。200264http：grccomdosdrdoshtm5余偉建防守反擊一一黑客攻擊手段分析與防范，北京：人民郵電出版社，200186張瑋網(wǎng)絡(luò)攻擊防范技術(shù)研究與實(shí)現(xiàn)學(xué)位論文重慶大學(xué)20077劉遠(yuǎn)生，等計(jì)算機(jī)網(wǎng)絡(luò)安全m北京：清華大學(xué)出版社出版。20062292448姜文紅網(wǎng)絡(luò)安全與管理m北京：清華大學(xué)出版社出版。2007100113 批注： 膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀

44、袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈

45、羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿

46、羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇

47、肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇

48、聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈

49、肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆

50、膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆

51、膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇

52、螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅

53、襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆

54、袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆

55、衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄

56、羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅

57、羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊

58、肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆膂莆蒅蚆袁腿莁螅羄莄芇螄肆膇薆螃螆莂薂螂羈芅蒈螁肀蒁莃螀膃芃螞螀袂肆薈蝿羅節(jié)蒄袈肇肅莀袇螆芀芆袆衿肅蚅裊肁莈薁襖膃膁蕆襖袃莇莃袃羅腿蟻袂肈蒞薇羈膀膈蒃羀袀莃荿薇肂膆蒞薆膄蒁蚄薅襖芄薀薄羆蒀蒆薃聿芃莂薂膁肅蝕螞袀芁薆蟻羃肄蒂蝕膅艿蒈蠆裊膂莄蚈羇莇蚃蚇聿膀蕿蚆