网络攻击以及防范措施有哪些.docx
《网络攻击以及防范措施有哪些.docx》由会员分享,可在线阅读,更多相关《网络攻击以及防范措施有哪些.docx(7页珍藏版)》请在冰豆网上搜索。
网络攻击以及防范措施有哪些
网络攻击以及防范措施有哪些
今日我就要跟大家讲解下网络攻击以及防范措施~那么对此感爱好的网友可以多来理解理解下。
下面就是详细内容!
!
!
网络平安与网络攻击:
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在许多平安问题。
为理解决这些平安问题,各种平安机制、策略和工具被讨论和应用。
然而,即使在用法了现有的平安工具和机制的状况下,网络的平安仍旧存在很大隐患,这些平安隐患主要可以归结为以下几点:
(1)每一种平安机制都有肯定的应用范围和应用环境。
防火墙是一种有效的平安工具,它可以隐藏内部网络构造,限制外部网络到内部网络的访问。
但是对于内部网络之间的访问,防火墙往往是无能为力的。
因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难觉察和防范的。
(2)平安工具的用法受到人为因素的影响。
一个平安工具能不能实现期望的效果,在很大程度上取决于用法者,包括系统管理者和一般用户,不正值的设置就会产生担心全因素。
例如,NT在进展合理的设置后可以到达C2级的平安性,但很少有人可以对NT本身的平安策略进展合理的设置。
虽然在这方面,可以通过静态扫描工具来检测系统是否进展了合理的设置,但是这些扫描工具根本上也只是基于一种缺省的系统平安策略进展比拟,针对详细的应用环境和特地的应用需求就很难推断设置的正确性。
(3)系统的后门是传统平安工具难于考虑到的地方。
防火墙很难考虑到这类平安问题,多数状况下,这类入侵行为可以堂而皇之经过防火墙而很难被发觉;比方说,众所周知的ASP源码问题,这个问题在IIS效劳器4.0以前始终存在,它是IIS效劳的设计者留下的一个后门,任何人都可以用法扫瞄器从网络上便利地调出ASP程序的源码,从而可以搜集系统信息,进而对系统进展攻击。
对于这类入侵行为,防火墙是无法觉察的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相像的,唯一区分是入侵访问在恳求链接中多加了一个后缀。
(4)只要有程序,就存在BUG。
甚至连平安工具本身也可能存在平安的破绽。
几乎每天都有新的BUG被发觉和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。
系统的BUG常常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。
比方说如今许多程序都存在内存溢出的BUG,现有的平安工具对于利用这些BUG的攻击几乎无法防范。
(5)黑客的攻击手段在不断地更新,几乎每天都有不同系统平安问题出现。
然而平安工具的更新速度太慢,绝大多数状况需要人为的参加才能发觉以前未知的平安问题,这就使得它们对新出现的平安问题总是反响太慢。
当平安工具刚发觉并努力更正某方面的平安问题时,其他的平安问题又出现了。
因此,黑客总是可以用法先进的、平安工具不知道的手段进展攻击。
对网络入侵攻击来说,扫描是信息搜集的主要手段,所以通过对各种扫描原理进展分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包到达计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。
我们要做的是让IDS系统可以比拟精确地检测到系统患病了网络扫描。
考虑下面几种思路:
1.特征匹配。
找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。
如UDP端口扫描尝试:
content:
"sUDP'等等。
2.统计分析。
预先定义一个时间段,在这个时间段内如发觉了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析。
假设攻击者对同一主机用法缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽视,不按挨次扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异样,不导致日志系统快速增加记录,那么这种扫描将是比拟隐秘的。
这样的话,通过上面的简洁的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法肯定隐秘的,假设能对搜集到的长期数据进展系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照比照检查是常用的检测技术。
虚拟机技术是下一步我们要讨论的重点方向。
1.行为监测法。
由于溢出程序有些行为在正常程序中比拟罕见,因此可以依据溢出程序的共同行为制定规章条件,假如符合现有的条件规章就认为是溢出程序。
2.文件完备性检查。
对系统文件和常用库文件做定期的完备性检查。
可以采纳checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件掩盖攻击和欺骗攻击。
3.系统快照比照检查。
对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术。
通过构造虚拟x86计算机的存放器表、指令对比表和虚拟内存,可以让具有溢出敏感特征的程序在虚拟机中运行一段时间。
三、后门留置检测的常用技术
1.比照检测法。
检测后门时,重要的是要检测木马的可疑踪迹和异样行为。
因为木马程序在目的网络的主机上驻留时,为了不被用户轻易发觉,往往会实行各种各样的隐藏措施,因此检测木马程序时必需考虑到木马可能实行的隐藏技术并进展有效地躲避,才能发觉木马引起的异样现象从而使隐身的木马"现形'。
常用的检测木马可疑踪迹和异样行为的方法包括比照检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法。
文件防篡改法是指用户在翻开新文件前,首先对该文件的身份信息进展检验以确保没有被第三方修改。
文件的身份信息是用于惟一标识文件的指纹信息,可以采纳数字签名或者md5检验和的方式进展生成。
3.系统资源监测法。
系统资源监测法是指采纳监控主机系统资源的方式来检测木马程序异样行为的技术。
由于黑客需要利用木马程序进展信息搜集,以及浸透攻击,木马程序必定会用法主机的一局部资源,因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进展监控将可以发觉和拦截可疑的木马行为。
4.协议分析法。
协议分析法是指参照某种标准的网络协议对所监听的网络会话进展比照分析,从而推断该网络会话是否为非法木马会话的技术。
利用协议分析法可以检测出实行了端口复用技术进展端口隐藏的木马。
网络平安防范措施一:
专业管理人才队伍的建立。
制定健全的平安管理体制是计算机网络平安的重要保证,通过网络管理人员与用法人员的共同努力,尽可能地把担心全的因素降到最低。
同时,不断地加强计算机信息网络的平安标准化管理力度,大力加强平安技术建立,强化用法人员和管理人员的平安防范意识。
对于有意造成灾难的入员必需根据制度严厉 处理,使计算机网络的平安牢靠得到保障,从而使广阔用户的利益得到保障。
平安加密技术。
加密技术的出现为全球电子商务供应了保证,从而使基于网络上的电子交易系统成为了可能,因此完善的对称加密和非对称加密技术仍是21世纪的主流。
对称加密是常规的以口令为根底的技术,加密运算与解密运算用法同样的密钥。
不对称加密,即加密密钥不同于解密密钥,加密密钥公之于众,谁都可以用,解密密钥只有解密人自己知道。
建立平安意识。
加强网络管理人员以及用法人员的平安意识,加强常用口令的冗杂性,这是防病毒进程中,最轻易和最经济的方法之一。
网络管理员和终端操作员依据自己的职责权限,选择不同的口令,对应用程序数据进展合法操作,防止用户越权访问数据和用法网络资源。
网络防火墙技术。
这是一种用来加强网络之间访问掌握,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,爱护内部网络操作环境的非凡网络互联设备。
它对两个或多个网络之间传输的数据包如链接方式根据肯定的平安策略来施行检查,以打算网络之间的通信是否被容许,并监视网络运行状态。
虽然防火墙是目前爱护网络免遭黑客攻击的有效手段,但也有明显缺乏:
无法防范通过防火墙以外的其它途径的攻击,不能防止来自内部变节者和不经心的用户们带来的威逼,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。
扫描系统破绽,给破绽打上补丁。
解决系统BUG、网络层平安问题要清晰网络中存在哪些隐患、需要修正多少BUG。
用法一种能查找网络平安破绽的扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的平安破绽和消退平安隐患。
如大家可以用法"360平安卫士'查杀木马,扫描破绽并挺直进展补丁下载,能便利地解决此类问题。
当然现流行的很多杀毒软件也有类似功能。
有新的程序就有新的BUG,只有常常性的更新优化系统才能让黑客无从下手。
综上所述,网络平安是一个综合性课题,涉及技术、治理、用法等很多方面,既包括信息系统本身的平安问题,也有物理的和规律的技术措施,不能依靠防火墙等单个的系统,而需要认真考虑系统的平安需求,综合用法各种平安技术,才能生成一个高效、平安的网络系统。
与此同时,网络平安还是一个冗杂的社会问题。
国家要建立健全法律法规,技术也要相应进步才能进步网络平安性,这不是短期可以进展起来的,与此同时,网络的进展必将带来许多以前没有过的问题,具有肯定的前瞻性预备,可以避开届时遇到问题措手不及。
网络平安防范措施二:
当前可进步计算机网络平安的技术
(一)网络平安的审计和跟踪技术
审计和跟踪这种机制一般状况下并不干预和挺直影响主业务流程,而是通过对主业务进展记录、检查、监控等来完成以审计、完好性等要求为主的平安功能。
审计和跟踪所包括的典型技术有:
入侵检测系统(IDS)、破绽扫描系统、平安审计系统,等等。
我们以IDS为例,IDS是作为防火墙的合理补充,可以关心系统应付网络攻击,扩展了系统管理员的平安管理力量(包括平安审计、监视、攻击识别和响应),进步了信息平安根底构造的完好性。
入侵检测是一种主动爱护网络和系统平安的技术,它从计算机系统或网络中采集、分析数据,查看网络或主机系统中是否有违背平安策略的行为和遭到攻击的迹象,并实行适当的响应措施来阻挡攻击,降低可能的损失。
它能供应对内部攻击、外部攻击和误操作的爱护。
入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两类。
(二)运用防火墙技术
防火墙是目前最为流行、用法最广泛的一种网络平安技术,它的核心思想是在担心全的网络环境中构造一个相对平安的子网环境。
防火墙的最大优势就在于可以对两个网络之间的访问策略进展掌握,限制被爱护的网络与互联网络之间,或者与其他网络之间进展的信息存取、传递操作。
它具有以下特性:
全部的从内部到外部或从外部到内部的通信都必需经过它;只有内部访问策略受权的通信才允许通过;系统本身具有高牢靠性。
不仅如此,防火墙作为网络平安的监视点,它还可以记录全部通过它的访问,并供应统计数据,供应预警和审计功能。
防火墙的体系构造有三种:
(1)双重宿主主机体系构造。
它是围绕具有双重宿主功能的主机而构筑的,是最根本的防火墙构造。
主机充当路由器,是内外网络的接口,可以从一个网络向另一个网络发送IP数据包。
这种类型的防火墙完全依靠于主机,因此该主机的负载一般较大,简单成为网络瓶颈。
对于只进展IP层过滤的平安要求来说,只需在两块网卡之间转发的模块上插入对IP包的ACL掌握即可。
但是假如要对应用层进展代理掌握,其代理就要设置到这台双宿主主机上,全部的应用要先于这个主机进展连接。
这样每个人都需要有一个登录账号,增加了联网的冗杂性。
(2)屏蔽主机体系构造,又称主机过滤构造,它用法一个单独的路由器来供应内部网络主机之间的效劳,在这种体系构造中,主要的平安机制由数据包过滤系统来供应。
相对于双重宿主主机体系构造,这种构造允许数据包从Internet上进入内部网络,因此对路由器的配置要求较高。
(三)数据加密技术
数据加密技术就是对信息进展重新编码,从而隐藏信息内容,使非法用户无法猎取信息的真实内容的一种技术手段。
数据加密技术是为进步信息系统及数据的平安性和保密性,防止隐秘数据被外部破析所采纳的主要手段之一。
数据加密技术按作用不同可分为数据存储,数据传输、数据完好性的鉴别,以及密钥的管理技术。
数据存储加密技术是防止在存储环节上的数据丧失为目的,可分为密文存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密。
数据完好性鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进展验证,到达保密的要求,系统通过比照验证对输入的特征值是否符合预先设定的参数,实现对数据的平安爱护。
(四)网络病毒的防范
在网络环境下,病毒传播扩大快,仅用单机防病毒产品已经很难彻底去除网络病毒,必需有合适于局域网的全方位防病毒产品。
于是,局域网就需要一个基于效劳器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。
假如与互联网相连,就需要网关的防病毒软件,加强上网计算机的平安。
假如在网络内部用法电子邮件进展信息交换,还需要一套基于邮件效劳器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。
所以最好用法全方位的防病毒产品,针对网络中全部可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动晋级,准时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。
(五)进步网络工作人员的素养,强化网络平安责任
为了强化网络平安的责任,还有一项重要任务――进步网络工作人员的管理素养。
要结合数据、软件、硬件等网络系统各方面对工作人员进展平安训练,进步责任心,并通过相关业务技术培训,进步工作人员的操作技能,网络系统的平安管理要加以重视,避开人为事故的发生。
总之,认清网络的脆弱性和潜在威逼,实行强有力的平安防范,对于保障网络的平安性将变得非常重要。
升级会员 