對于現(xiàn)代計算機(jī)網(wǎng)絡(luò)安全缺陷的思考及建議_第1頁
對于現(xiàn)代計算機(jī)網(wǎng)絡(luò)安全缺陷的思考及建議_第2頁
對于現(xiàn)代計算機(jī)網(wǎng)絡(luò)安全缺陷的思考及建議_第3頁
對于現(xiàn)代計算機(jī)網(wǎng)絡(luò)安全缺陷的思考及建議_第4頁
對于現(xiàn)代計算機(jī)網(wǎng)絡(luò)安全缺陷的思考及建議_第5頁
免費預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、    對于現(xiàn)代計算機(jī)網(wǎng)絡(luò)安全缺陷的思考及建議    孫紅摘要在當(dāng)今社會人們的生活和工作因為有了計算機(jī)而發(fā)生了驚人的變化。很多商業(yè)機(jī)構(gòu)和個人都普遍開始使用計算機(jī)網(wǎng)絡(luò)來進(jìn)行電子商務(wù)、購物、炒股和辦公,這給人們的生活帶來了前所未有的方便,而這一切都得益于網(wǎng)絡(luò)的開放性和匿名性,但是很多不法分子也正是利用了這些特點,利用計算機(jī)網(wǎng)絡(luò)的自身缺陷來對用戶進(jìn)行攻擊。因此,本文將針對此現(xiàn)象,作出相應(yīng)的解決措施,僅供業(yè)內(nèi)人士參考。關(guān)鍵詞計算機(jī)網(wǎng)絡(luò);安全缺陷;攻擊方式;防范措施中圖分類號td393 文獻(xiàn)標(biāo)識碼a 文章編號1672-5158(2013)05-0061-02一、計

2、算機(jī)網(wǎng)絡(luò)安全缺陷1、計算機(jī)網(wǎng)絡(luò)一般采用的是tcp/ip協(xié)議,在制定該協(xié)議時,設(shè)計人員主要考慮的是方便性,對安全性的考慮不多,因而該協(xié)議本身具有很多安全漏洞。2、計算機(jī)的操作系統(tǒng)在進(jìn)行結(jié)構(gòu)設(shè)計和代碼設(shè)計時,也是主要考慮到用戶使用的方便性,但是在安全性上,比如計算機(jī)的遠(yuǎn)程控制、權(quán)限控制等方面,存在缺陷。3、計算機(jī)在數(shù)據(jù)庫管理上也存在一定的缺陷,不法分子可以在數(shù)據(jù)庫或者應(yīng)用程序中安裝各種破壞程序來進(jìn)行情報數(shù)據(jù)的收集。二、計算機(jī)網(wǎng)絡(luò)攻擊的方式1、漏洞攻擊。由于計算機(jī)在系統(tǒng)、程序、硬件、軟件等方面都存在一定的缺陷和漏洞,而不法分子可以利用這些漏洞進(jìn)行攻擊。計算機(jī)網(wǎng)絡(luò)常見的安全漏洞主要有:盜取遠(yuǎn)程、本地管

3、理權(quán)限,遠(yuǎn)程、本地拒絕服務(wù),服務(wù)器信息的泄露等等。不法分子會利用漏洞探測工具來對用戶的系統(tǒng)進(jìn)行檢測,然后在不經(jīng)授權(quán)的情況下針對這些漏洞來進(jìn)行攻擊。2、病毒攻擊。病毒攻擊是計算機(jī)網(wǎng)絡(luò)攻擊中最為普遍,也是最難處理的一種,它可以對計算機(jī)造成巨大的損壞。許多病毒會和木馬結(jié)合在一起,殺毒軟件不僅很難刪除,還可以迅速進(jìn)行傳播。3、電子郵件攻擊。由于電子郵箱已經(jīng)成為很多人進(jìn)行溝通交流的方式,很多商務(wù)交際和公司貿(mào)易中,都采用了電子郵件的方式。不法分子會利用cgi等軟件向用戶郵箱發(fā)送大量的垃圾郵件,導(dǎo)致郵箱被撐爆而無法使用。此外,不法分子還會用郵箱來對用戶發(fā)送帶有病毒的郵件。4、dos攻擊。dos攻擊又稱拒絕服

4、務(wù)攻擊,這種系統(tǒng)漏洞在全世界都普遍存在,不法分子利用系統(tǒng)和設(shè)備的缺陷不斷地進(jìn)行攻擊。不法分子采用這種攻擊手段,讓用戶的系統(tǒng)因為負(fù)荷過多而無法正常工作。攻擊者采用的方式般是對計算機(jī)之間的鏈接或服務(wù)器進(jìn)行破環(huán),使其無法進(jìn)行正常的網(wǎng)絡(luò)通訊。5、緩沖區(qū)溢出攻擊。不法分子利用軟件自身的缺陷,向程序的緩沖區(qū)寫入過長的內(nèi)容,發(fā)生緩沖區(qū)溢出,對程序的堆棧進(jìn)行破壞,達(dá)到執(zhí)行其他指令的目的?;蛘吖粽咴诰彌_區(qū)內(nèi)寫入自己的代碼,將這個代碼的的地址覆蓋原函數(shù)的返回地址,當(dāng)程序返回時,程序就開始執(zhí)行攻擊者的代碼。6、tcp/ip欺騙攻擊。這種攻擊方式是通過偽造假冒的地址,冒充真實的身份來和其他主機(jī)來進(jìn)行合法通訊,或者是

5、向被攻擊者發(fā)送了錯誤的報文,讓被攻擊者執(zhí)行錯誤的指令。7、arp欺騙攻擊。arp攻擊,是攻擊者通過對路由器的arp表進(jìn)行欺騙,或者是對網(wǎng)關(guān)進(jìn)行欺騙的方式達(dá)成攻擊的目的。其中,針對路由器的arp欺騙方式是,攻擊者截獲網(wǎng)關(guān)數(shù)據(jù),偽造mac地址,并向網(wǎng)關(guān)頻繁發(fā)送,造成路由器的arp緩存信息得到修改,導(dǎo)致真正的ip地址無法與路由器進(jìn)行通訊,這種攻擊的結(jié)果是導(dǎo)致用戶的網(wǎng)絡(luò)受到中斷。而對網(wǎng)關(guān)進(jìn)行欺騙的方式是攻擊者通過偽造網(wǎng)關(guān),使得被攻擊者向攻擊者的網(wǎng)關(guān)發(fā)送數(shù)據(jù),這樣,攻擊者可以截獲用戶的網(wǎng)絡(luò)信息。8、電磁輻射攻擊。電磁輻射攻擊主要是應(yīng)用在現(xiàn)代戰(zhàn)爭中,攻擊者通過電磁輻射干擾對方的通訊,同時將對方的通訊信息進(jìn)

6、行截取,是獲取軍事情報的方式。三、網(wǎng)絡(luò)攻擊的防范技術(shù)1、拒絕服務(wù)攻擊防范1)用戶可以對不必要的服務(wù)進(jìn)行關(guān)閉,對同時打開的syn半連接數(shù)目進(jìn)行限制,并且對syn的半連接的timeout時間進(jìn)行縮短,并注意及時對系統(tǒng)更新補丁。2)在防火墻的設(shè)置上,嚴(yán)禁對計算機(jī)的非開放項目進(jìn)行訪問,對同時打開的syn最大連接數(shù)進(jìn)行限制。對特定的ip設(shè)置訪問限制,并且將防火墻的ddos的屬性啟動。3)在路由器的設(shè)置上,對訪問控制列表要進(jìn)行過濾,同時對syn的數(shù)據(jù)包的流量速率進(jìn)行設(shè)置,對版本過低的iso進(jìn)行升級,并為路由器建立logserver。2、緩沖區(qū)溢出攻擊防范1)程序指針完整性檢測。即用戶需要對程序指針進(jìn)行檢測

7、,防止被攻擊者進(jìn)行改變并被引用。2)堆砌保護(hù)。這是一種編譯器技術(shù),用來對程序指針完整性進(jìn)行檢測,其檢測方式是通過對函數(shù)活動記錄中的返回地址進(jìn)行檢測來實現(xiàn)的。即,首先將一些附加的字節(jié)添加在堆棧中函數(shù)返回地址后,當(dāng)函數(shù)返回時,會先對這些附加字節(jié)進(jìn)行檢查,看是否被改動過,查看是否發(fā)生了緩沖區(qū)溢出攻擊。3)數(shù)組邊界檢查。即對所有的數(shù)組操作進(jìn)行檢查,確保數(shù)組操作在正確的范圍內(nèi)。3、掃描型攻擊的防范1)地址掃描的防護(hù)。用戶可以采用ping程序進(jìn)行探索,如果存在地址掃描攻擊,則其會對此程序作出反映,此時就可以在防火墻中將icmp應(yīng)笞消息過濾掉。2)端口掃描的防護(hù)。用戶需要將閑置的端口或者存在風(fēng)險的端口關(guān)閉,

8、用戶還可以通過防火墻來檢測其是否被掃描,因此,良好的防護(hù)墻是預(yù)防端口掃描的關(guān)鍵因素。3)畸形消息攻擊。由于計算機(jī)的操作系統(tǒng)本身存在漏洞,系統(tǒng)在處理信息時,如果不能進(jìn)行錯誤校驗,在接受到畸形攻擊時就可能會導(dǎo)致系統(tǒng)崩潰。要預(yù)防畸形消息攻擊就需要及時更新安裝補丁。4、ip地址欺騙防范1)拋棄基于地址的信任策略:用戶為了實現(xiàn)對此類攻擊的阻止,需要拋棄以地址為基礎(chǔ)的驗證。比如,禁用r類遠(yuǎn)程調(diào)用命令,或者刪除rhosts文件,對/etc/hosts.equjy文件進(jìn)行清空。2)使用加密方法:用戶可以采用對將要發(fā)送的數(shù)據(jù)包進(jìn)行加密,在加密的過程中需要對當(dāng)前的網(wǎng)絡(luò)環(huán)境進(jìn)行改變,通過加密可以保證數(shù)據(jù)的真實性和完

9、整性。3)進(jìn)行包過濾。通過對路由器進(jìn)行設(shè)置,如果發(fā)現(xiàn)網(wǎng)外的鏈接請求的ip地址與本網(wǎng)內(nèi)ip地址相同,則對其進(jìn)行禁止。如果數(shù)據(jù)包的ip地址并不在本網(wǎng)內(nèi),則禁止將本網(wǎng)主機(jī)的數(shù)據(jù)包發(fā)送出去。包過濾技術(shù)只能過濾聲稱來自內(nèi)部網(wǎng)絡(luò)的外來包,所以最好關(guān)閉網(wǎng)絡(luò)中的外部可信任主機(jī),避免不法分子冒充這些主機(jī)進(jìn)行ip欺騙。5、arp攻擊防范1)將網(wǎng)關(guān)mac地址和對應(yīng)的ip地址進(jìn)行綁定;在交換機(jī)上將計算機(jī)端口和mac地址進(jìn)行綁定,同時對acl進(jìn)行配置,對非法ip或mac地址進(jìn)行過濾。2)通過使用arp服務(wù)器,查找自己的arp轉(zhuǎn)換表,從而對其他設(shè)備的arp廣播進(jìn)行響應(yīng)。在一些特殊的網(wǎng)絡(luò)環(huán)境中,可以考慮使用arp代理或者是對網(wǎng)絡(luò)接口的arp解析禁止執(zhí)行。3)使用反arp軟件、防火墻等監(jiān)控網(wǎng)絡(luò),應(yīng)當(dāng)避免使用集線器等設(shè)備,并且定期檢查arp的緩存列表。4)因為arp攻擊一般發(fā)生在園區(qū)內(nèi),因此,網(wǎng)絡(luò)管理員可以根據(jù)在局域網(wǎng)中制定出一個網(wǎng)絡(luò)拓?fù)鋱D,劃出vlan區(qū)域,如果有用戶感染了arp病毒,為了防止arp病毒的擴(kuò)散,就需要立即找到感染病毒用戶的交換機(jī)端口,將這個端口列進(jìn)vlan區(qū),并且可以運用端口中的disable對其進(jìn)行屏蔽。四、結(jié)束語因此需要用

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論