隨著計算機網絡信息被公眾廣泛接受和認可,它在一定程度上給社會和生活帶來了極大的便利�����,因此人們對網絡虛擬生活的依賴性越來越大�����。那么怎樣才能防止這種情況呢�?在這里�����,給大家一個詳細的介紹�。
在我們討論安全問題之前,讓我們研究一下目前網絡上的一些安全威脅和攻擊����。然后,我們將了解安全問題的一些原因�����,以便對安全問題形成良好的理解。迄今為止�,網絡上有無數的安全威脅和攻擊,而且有不同的分類方法�����。我們可以根據攻擊的類型��、手段和結果�,初步將其分為幾類:機密攻擊、非法訪問���、惡意攻擊�����、社交工程�、計算機病毒���、不良信息源和信息戰(zhàn)�����。
一�、竊取機密攻擊
所謂竊密攻擊是指未經授權的攻擊者(黑客)非法進入網絡并竊取信息的情況,一般可以通過截獲在不安全的傳輸通道上傳輸的信息或利用協議或網絡的漏洞來實現����。常見的形式包括如下:
1)網絡踩點(Footprinting)
攻擊者事先收集目標的信息,通常使用Whois��、Finger和DNS�����、LDAP等工具和其他協議來獲取目標的一些信息�����,如域名�����、IP地址�、網絡拓撲結構����、相關用戶信息等,這往往是黑客攻擊前的第一步。
2) 掃描式攻擊
ping命令和各種端口掃描工具通常用于獲取目標計算機的有用信息�����,例如�����,計算機上哪些端口是開放的�,以了解哪些服務是開放的,從而為進一步入侵奠定基礎�����。
3) 協議指紋
由于各操作系統(tǒng)供應商的IP協議棧實現之間存在許多微妙的差異(即每個供應商在編寫自己的TCP/IP協議棧時���,往往對某些RFC政策有不同的解釋)�����,每個操作系統(tǒng)都有自己的響應方法���,黑客往往可以確定目標主機上運行的是哪個操作系統(tǒng)。常見的被利用的協議棧指紋包括:TTL值�、TCP窗口大小���、DF標志、TOS�����、IP碎片處理��、ICMP處理�、TCP選項處理等。
4)信息流監(jiān)測
這是在共享局域網環(huán)境中最常用的方法之一�����,當數據包在共享媒體網絡中穿越每個網絡節(jié)點時����,在正常情況下,網卡將只接受發(fā)送到本地地址或本地機器的廣播(或多播)地址的數據包����,如果網卡被設置為混雜模式��,網卡接受所有通過的數據包�����。基于這一原理����,黑客可以使用一種稱為嗅探器的設備(軟件或硬件)來監(jiān)測網絡上的信息流,以獲得他們感興趣的信息��,如密碼和其他秘密信息�。
5) 會話劫持
通過利用TCP協議本身的漏洞,攻擊者可以在合法連接建立后���,通過阻斷或破壞其中一個通信方來接管一個經過驗證的連接���,從而冒充接收方,與另一方進行通信���。
二���、非法訪問
1) 禁用口令
口令可以通過字典解鎖和暴力接觸獲得。
2) IP欺騙
例如����,攻擊者可以通過冒充受信任的IP地址來獲得目標的信任�����。這主要是針對防火墻和在LINUX/UNIX下設置了IP地址信任關系的主機進行的IP包過濾��。
3)DNS欺騙
由于DNS服務器在相互交換信息時不進行認證���,黑客可以利用虛假信息將用戶引向虛假主機。
4) 重放攻擊
攻擊者利用認證機制的漏洞��,首先記錄個人的有用信息����,然后在一段時間后發(fā)送。
5) 非法使用
系統(tǒng)資源被非法用戶以未經授權的方式使用�����。
6) 特洛伊木馬
幫助黑客執(zhí)行特定行動的程序附加在合法用戶的正常程序上���,其中合法用戶的程序代碼被修改�����,一旦用戶觸發(fā)程序�,黑客附加的命令代碼同時被激活��,往往完成黑客指定的任務����。
三、惡意攻擊
惡意攻擊�,尤其是拒絕服務(DoS)攻擊最為常見。拒絕服務攻擊通過擾亂計算機的功能或性能來組織提供服務�����。典型的拒絕服務攻擊有兩種形式��。資源枯竭和資源超載�,當對資源的合理要求遠遠超過了資源滿足它的能力時,就會發(fā)生拒絕服務攻擊�,常見的攻擊包括:
1) Ping of death
在早期版本中,許多操作系統(tǒng)對網絡數據包的最大尺寸有限制�,TCP/IP協議棧的實現為ICMP數據包規(guī)定了64KB。在讀取數據包頭后��,根據該頭中包含的信息�,為有效載荷創(chuàng)建一個緩沖區(qū)。如果一個PING請求包聲稱大于ICMP限制�����,即負載大小超過64KB,就會在PING請求的接收方造成內存分配錯誤���,導致TCP/IP堆棧崩潰���,接收方失敗。
2) 淚滴
淚滴攻擊利用了某些TCP/IP協議棧實現中對IP分段重組時的錯誤
3) UDP flood
使用簡單的TCP/IP服務創(chuàng)建高容量的數據流�,如chargen 和Echo來傳送無用的滿帶寬的數據。通過偽造與某一主機的chargen服務之間的一次UDP連接�����,回復地址指向提供ECHO服務的一臺主機�,這樣就生成了在2臺主機之間的足夠多的無用數據流,過多的數據流會導致帶寬耗盡���。
4) SYN flood
TCP/IP協議棧的一些實現只能等待來自有限數量的計算機的ACK消息�,因為它們建立連接的內存數量有限��。如果這一緩沖區(qū)充滿了虛假連接的初始信息���,該服務器就會對接下來的連接停止響應���,直到緩沖區(qū)的連接企圖超時。在一些創(chuàng)建連接不收限制的系統(tǒng)實現里����,SYN洪流具有類似的影響!
5)Land攻擊
在LAND攻擊中,如果SYN數據包的源地址和目的地址都被設置為同一個服務器地址��,那么接收服務器就會向自己的地址發(fā)送SYN ACK消息��,而自己的地址又會發(fā)回一個ACK消息并建立一個空連接����,每一個這樣的連接都將保持直到超時。對LAND攻擊反應不同���,許多UNIX實現將崩潰�,NT則變得極其緩慢���。
6) Smurf攻擊
一個簡單Smurf攻擊會發(fā)送ICMP回復請求包�,目標地址設置為受害者網絡的廣播地址�,并最終導致該網絡的所有主機回復ICMP回復請求,從而阻塞網絡。如果源地址被改變?yōu)榈谌绞芎φ?����,這將最終導致第三方崩潰�。
7) fraggle攻擊
該攻擊對Smurf攻擊做了簡單修改,使用的是UDP應答消息而非ICMP����。
8) 電子郵件炸彈
這是最古老的匿名攻擊之一,通過設置機器向同一地址反復發(fā)送電子郵件��,攻擊者可以耗盡收件人的郵箱�。
9) 畸形信息攻擊
不同操作系統(tǒng)上的許多服務都存在這類問題,在面對畸形信息時可能會崩潰�����,因為這些服務在處理信息之前沒有進行適當和正確的錯誤檢查�。
10) DdoS攻擊
DdoS攻擊(Distributed Denial of Server,分布式拒絕服務)是一種基于DOS的特殊形式的拒絕服務攻擊,是一種分布協作的大規(guī)模攻擊方式�,主要瞄準比較大的站點,像商業(yè)公司��、搜索引擎和政府部門的站點�。他利用一批受控制的機器向一臺目標機器發(fā)起攻擊�,這樣來勢迅猛的攻擊令人難以防備��,因此具有很大的破壞性�����。
除了這些拒絕服務攻擊外�����,還有其他常見的惡意攻擊����,如緩沖區(qū)溢出��、硬件設備損壞和網站篡改:
11) 緩沖區(qū)溢出攻擊
通過往程序的緩沖區(qū)寫超過其長度的內容�����,造成緩沖區(qū)的溢出����,從而破壞程序的堆棧,使程序轉而執(zhí)行其他指令����,以達到攻擊的目的���。緩沖區(qū)溢出是一種非常普遍、非常危險的漏洞���,在各種操作系統(tǒng)�����、應用軟件中廣泛存在�,根據統(tǒng)計:通過緩沖區(qū)溢出進行的攻擊占所有系統(tǒng)攻擊總數的80%以上�����。利用緩沖區(qū)溢出攻擊可以導致程序運行失敗�、系統(tǒng)死機、重新啟動等后果�,更嚴重的是,可以利用他執(zhí)行非授權的指令�����,甚至可以取得系統(tǒng)特權�,進而進行各種非法操作���。由于他歷史悠久、危害巨大�����,被稱為數十年來攻擊和防衛(wèi)的弱點�。
四、社交工程(Social Engineering)
使用勸說或欺騙的方式讓網絡內的人提供必要的信息����,以獲得對信息系統(tǒng)的訪問���。
五����、計算機病毒
病毒是對軟件���、計算機和網絡系統(tǒng)的最大威脅之一�。所謂病毒����,是指一段可執(zhí)行的程序代碼��,通過對其他程序進行修改���,可以感染這些程序,使他們成為含有該病毒程序的一個拷貝����。
六、不良信息資源
在互聯網如此發(fā)達的今天�����,互聯網上有很多不同類型的信息����,包括暴力、色情�、反動信息等等。
七�、信息戰(zhàn)
計算機和網絡技術的發(fā)展,使我們進入了信息時代���。信息技術是當前國際發(fā)展的趨勢����,對經濟和社會發(fā)展具有重要意義。美國著名的未來學家托爾說:"誰控制了信息���,控制了網絡���,誰就擁有了整個世界"。美國前總統(tǒng)克林頓也說:"在未來的時代���,統(tǒng)治世界的國家將不依靠其軍隊�,而是依靠在信息能力方面領先的國家"���。美國陸軍前參謀長沙利文上將甚至一言以蔽之:"信息時代的到來將從根本上改變戰(zhàn)爭的方式�����。
