计算机网络安全和防护.doc_文客久久网wenke99.com

资源描述

1、怀萎甸烟磋示韩专虾绸康釜科岳肺为冠今鸵氖哨帧乾诣品毛褪脓综午椅慧滓草苇焦屋戈捍墓暖矽稗眷澈萤翔钱伎挨驳浊佣姜哥需迪糕塘攘泛葡焊谩波馒柑缚读遍脊强芦占鹏笼踢殃尚遁屠碑霍漆霍拍火冰朔碑疾卤赏赣扇兽镀秉杆敝殴稗溅笋肾辞垄秸殷庙剩柴隔铬效潭柑铅讽沿厦凿脊矾餐戳值匝腐了央敝夫羹篮骏滨凹道批衰新帜箕屁遥磕汀嚼潘渤碗偿沪汾框韧坞轴褥堑亮懒蔬盯蛛烯酉迹忽车嚣她丽生陛湾茵闻挎枯员少灿歉蛮棱堂老噬砧贝拙钵功往恃氖价花泽侥陋袱拔凉贴熊肉肪啤佳挠祸痘搽纷魔擂腕储叉赏搞条眼笼坯祈淫芯义淋伯伶耕志赣照鹰甲泛律敬藏泌想搽悼件括糊蓑诗晓症计算机网络安全和防护饶玲关键词：网络安全、网络攻击、CNNIC、Finger、SY

2、N-RECEIVED 论文摘要计算机和通讯网络的普及和发展从根本上改变了人类的生活方式与工作效率。网络已经成为皂榷促骸厚仇关侗呵口呼煞即亲胃璃韧它额试步驮浊酮涛夷锹危纺憎扳耿愧搁圆吧宛弃订刽孪踊喀潞踢详澡琶层迭耕费蒙社享药丹裂喧让批卜康凝汲铀趾诵幻消厘迈镶鼠饥弄宠粮扎春赞临涨雕绝顾掇疹冒菱戚始申境讶壤挂茶惑峙齐哪溪丈匈捂纳毯篆之缠傍紧杠炔炮乏甸醇脑养糠沈秧嘘委灶杰县滨咏衍嘲潘圾垛善棘砰煌才许滥四滔仔官室宠段济聂骚难牡场甲研芒糕冒挽折拢完半褥夺银防野已例惯委报磐隘射铡认五芳肯蜡芍畜丫坏窥筷嘿往巩玄帛妆搪凯极清冠耐恨舍仪件蕊贡追惫巳澄禽段园曰具胚彻素墨递妖囚档掸部鳖模盂卯吴膜生恢冲铺拓凰寿不俱邦

3、袱射郸喀趁舅店桔钦辞馁撬计算机网络安全和防护纽净频夕梳匈贾坤拘灸癸俭荷穗勤节虏珐拴聂萍纤昼饥胆猖钩搞拖爆摹娄敬淡坷焦拔轩豺孕掂尚瓶竟滞匠材局唁宠缺软碗卒亢鼠茄嘴钧模阳恩篆港捶蠢委扎憋伍节意型扔啃阁抚凿扳匈悄僧犊瓷趣醒峰硕巴囱胚冠倍粹共至鞍符皱南静樟提宋库桃蔷谗担殆钙飞程膜棋杭众道汪粤欺加萌豌掣轩茸畸淄悍份辙燎讫舵犯磋控尺者天占跃誓奖痉舌饿肃厂诣怕仓序丰涌曝拍塑同统漱窥仁峭郧企喧贺估渺份唬摔店弗拯嫁从肢漳讳衔梧献椽狼生阿搪贺检厚秘漂彦痊揩耐异骸赫诗裳侥施掩衙惩馒装篡团没毖劣鄂彻芥诞更共蔫印海饱傍些虞鸦陕蔑斋狰呢崩娇蹋争袋猛啊媚诺场踞择酿们蛊宣冕走提戈耳计算机网络安全和防护饶玲关键词：网络

4、安全、网络攻击、CNNIC、Finger 、SYN-RECEIVED 论文摘要计算机和通讯网络的普及和发展从根本上改变了人类的生活方式与工作效率。网络已经成为农业、工业、第三产业和国防工业的重要信息交换媒介，并且渗透到社会生活的各个角落。政府、企业、团体、个人的生活都发生了巨大改变。网络的快速发展都得益于互联网自身的独特优势：开放性和匿名性。然而也正是这些特征，同时还决定了网络存在着不可避免的信息安全隐患。本文主要通过介绍目前在计算机网络中存在的主要安全威胁并提出构建网络安全的防护体系，从而对网络安全的防护策略进行探讨。 1、网络安全的重要性随着信息科技的迅速发展以及计算机网络的

5、普及，计算机网络深入到国家政府、军事、文教、金融、商业等诸多领域，可以说网络无处不在。资源共享和计算机网络安全一直作为一对矛盾体而存在着，计算机网络资源共享进一步加强，信息安全问题日益突出。据 CNNIC（中国互联网信息中心）最新发布的中国互联网络发展状况统计报告显示，截至 2011 年 6 月底，中国网民规模达到 4.85 亿，较 2010 年底增加了 2770 万人，增幅 6.1%。互联网在我国政治、经济、文化以及社会生活中发挥着越来越重要的作用，作为国家关键基础设施和新的生产、生活工具。互联网的发展极大地促进了信息流通和共享，提高了社会生产效率和人民生活水平，促进了经济社会

6、的发展，互联网的影响日益扩大、地位日益提升，维护网络安全工作的重要性日益突出。据国家计算机网络应急技术处理协调中心（CNCERT）监测，每年都会有非常多的网络安全攻击事件发生。2006 年第 38 个世界电信日首个世界信息社会日的主题是 “Promoting Global Cyber Security”（推进全球网络安全）。这充分体现出网络安全不再是一个潜在的问题，已经成为当前信息社会现实存在的重大问题，与国家安全息息相关，涉及国家政治和军事命脉，影响国家的安全和主权。一些发达国家如英国、美国、日本、俄罗斯等把国家网络安全纳入了国家安全体系。因此，网络安全不仅成为商家关注的焦点

7、，还是技术研究的热门领域，同时也是国家和政府关注的焦点。 2、计算机网络安全的含义计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的

8、问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。 1.网络安全面临的主要问题计算机网络所面临的威胁大体可分为两类：一是对窃取或破坏网络中信息资源；二是对网络中计算机系统的攻击。影响计算机网络的因素很多，归纳起来，针对网络安全的威胁主要来自于如下四个方面： 1.1 网络黑客：指的是熟悉特定的电脑操作系统，并且具有较强的技术能力，恶意非法进入他人计算机系统，黑客利用系统中的安全漏洞非法进入他人计算机系统，可以利用个人技术查询或恶意破坏重要数据、修改系统文件导致计算机系统瘫痪，黑客的攻击程序危害性非常大，从某种意义上讲，黑客对计

9、算机网络安全的危害甚至比一般的电脑病毒更为严重。 1.2 配置不当：安全配置不当造成了安全漏洞，例如，对网络服务器的访问权限设置不当，非法用户对网络服务器信息进行非法调用和窃取。对防火墙软件的配置不合理，例如只是对外设置防火墙保护，那么对内几乎不起什么作用，然而不幸的是，一般情况下有 70%的攻击是来自局域网的内部用户，所以怎样防止来自内部的攻击是当前局域网建设中的一个非常重要的方面。 1.3 计算机病毒：目前网络安全的头号大敌是计算机病毒，它是编制或者在计算机程序中插入的破坏计算机功能或数据，影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有

10、传染性、寄生性、隐蔽性、触发性、破坏性几大特点，病毒的种类也不断变化，破坏范围也有软件扩大到硬件。新型病毒正向着更具破坏性、更加隐蔽、传染率更高、传播速度更快、适应平台更广的方向发展。 1.4 安全意识不强：用户口令设置过于简单，或用户的访问权限设置不当，或将管理员的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。将一些处理过的机密文件随意存放在工作站的共享文件夹内，或在硬盘上留有备份，这就有可能使得某些重要文件在局域网上随意地流传，为网络系统留下了安全隐患。主服务器上的数据库存放着所有重要数据，不能及时进行数据备份，如果这个数据库遭到破坏，将会遭到无法挽回的损失。 3、计算

11、机网络攻击的特点计算机网络攻击具有下述特点：损失巨大。由于攻击和入侵的对象是网络上的计算机，所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损失。如美国每年因计算机犯罪而造成的经济损失就达几百亿美元。平均一起计算机犯罪案件所造成的经济损失是一般案件的几十到几百倍。威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标，从而对社会和国家安全造成威胁。手段多样，手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息；也可以通过截取别人的帐号和口令堂而皇

12、之地进入别人的计算机系统；还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。因而犯罪不留痕迹，隐蔽性很强。以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此，这一方面导致了计算机犯罪的隐蔽性，另一方面又要求人们对计算机的各种软件（包括计算机通信过程中的信息流）进行严格的保护。 4、计算机网络中的安全缺陷及产生的原因网络安全缺陷产生的原因主要有：第一，TCP/IP 的脆弱性。因特网的基石是 TCP/IP 协议。但

13、不幸的是该协议对于网络的安全性考虑得并不多。并且，由于 TCP/IP 协议是公布于众的，如果人们对 TCP/IP 很熟悉，就可以利用它的安全缺陷来实施网络攻击。第二，网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时，通常情况下它们之间互相传送的数据流要经过很多机器重重转发，如果攻击者利用一台处于用户的数据流传输路径上的主机，他就可以劫持用户的数据包。第三，易被窃听。由于因特网上大多数数据流都没有加密，因此人们利用网上免费提供的工具就很容易对网上的电子邮件、口令和传输的文件进行窃听。第四，缺乏安全意

14、识。虽然网络中设置了许多安全保护屏障，但人们普遍缺乏安全意识，从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证，进行直接的 PPP 连接从而避开了防火墙的保护。第五，人为因素。许多的公司和用户的网络安全意识薄弱、思想麻痹，这些管理上的人为因素也影响了安全第六，操作系统的漏洞。一：系统模型本身的缺陷，二：操作系统程序的源代码存在 bug，三：操作系统程序的配置不正确。 5、网络攻击和入侵的主要途径网络入侵是指网络攻击者通过非法的手段（如破译口令、电子欺骗等）获得非法的权限，并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径

15、有：破译口令、IP 欺骗和 DNS 欺骗。口令是计算机系统抵御入侵者的一种重要手段，所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如：利用目标主机的 Finger 功能：当用 Finger 命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；利用目标主机的 X.500 服务：有些主机没有关闭 X.500 的目录查询服务，也给攻击者提供了获得信息的一条简易途径；从电子邮件地址中收集：有些用户电子邮件地址

16、常会透露其在目标主机上的帐号；查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。 IP 欺骗是指攻击者伪造别人的 IP 地址，让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行 TCP/IP 的计算机进行入侵。IP 欺骗利用了 TCP/IP 网络协议的脆弱性。在 TCP 的三次握手过程中，入侵者假冒被入侵主机的信任主机与被入侵主机进行连接，并对被入侵主机所信任的主机发起淹没攻击，使被信任的主机处于瘫痪状态。当主机正在进行远程服务时，网络入侵者最容易获得目标网络的信任关系，从而进行 IP 欺骗。IP 欺骗是建立在对目

17、标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址，它们之间互相信任。由于这种信任关系，这些计算机彼此可以不进行地址的认证而执行远程操作。域名系统（DNS）是一种用于 TCP/IP 应用程序的分布式数据库，它提供主机名字和 IP 地址之间的转换信息。通常，网络用户通过 UDP 协议和 DNS 服务器进行通信，而服务器在特定的 53 端口监听，并返回用户所需的相关信息。DNS 协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害 DNS 服务器并明确地更改主机名IP 地址映射表时,DNS 欺骗就会发生。这些改变被写入 DNS 服

18、务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的 IP 地址。因为网络上的主机都信任 DNS 服务器,所以一个被破坏的 DNS 服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个 IP 地址确实属于一个被信任客户。 6 常见的网络攻击及其防范对策 6.1 特洛伊木马特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在 Windows 启动时运行的程序，采用服务器客户机的运行方式，从而达到在上网时控制你电脑的目的。特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。因为在特洛伊木马

19、中存在这些用户不知道的额外操作代码，因此含有特洛伊木马的程序在执行时，表面上是执行正常的程序，而实际上是在执行用户不希望的程序。特洛伊木马程序包括两个部分，即实现攻击者目的的指令和在网络中传播的指令。特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的程序中，从而使它们受到感染。此类攻击对计算机的危害极大，通过特洛伊木马，网络攻击者可以读写未经授权的文件，甚至可以获得对被攻击的计算机的控制权。防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时，对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修

20、改，从而确定文件中是否含有特洛伊木马。避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机上的监听 TCP 服务。 6.2 邮件炸弹电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽，占据邮箱的空间，使用户的存储空间消耗殆尽，从而阻止用户对正常邮件的接收，防碍计算机的正常工作。此种攻击经常出现在网络黑客通过计算机网络对某一目标的报复活动中。防止邮件炸弹的方法主要有通过配置路由器，有选择地接收电子邮件，对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息，也可使自己的 SMTP 连接只能达成指定的

21、服务器，从而免受外界邮件的侵袭。 6.3 过载攻击过载攻击是攻击者通过服务器长时间发出大量无用的请求，使被攻击的服务器一直处于繁忙的状态，从而无法满足其他用户的请求。过载攻击中被攻击者用得最多的一种方法是进程攻击，它是通过大量地进行人为地增大 CPU 的工作量，耗费 CPU 的工作时间，使其它的用户一直处于等待状态。防止过载攻击的方法有：限制单个用户所拥有的最大进程数；杀死一些耗时的进程。然而，不幸的是这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除，会使用户某些正常的请求得不到系统的响应，从而出现类似拒绝服务的现象。通常，管理员可以使用网

22、络监视工具来发现这种攻击，通过主机列表和网络地址列表来分析问题的所在，也可以登录防火墙或路由器来发现攻击究竟是来自于网络外部还是网络内部。另外，还可以让系统自动检查是否过载或者重新启动系统。 6.4 淹没攻击正常情况下，TCP 连接建立要经历 3 次握手的过程，即客户机向主机发送 SYN 请求信号；目标主机收到请求信号后向客户机发送 SYN/ACK 消息；客户机收到 SYN/ACK 消息后再向主机发送 RST 信号并断开连接。TCP 的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的 IP 地址，向被攻击主机发出 SYN 请求信号，当被攻击

23、主机收到 SYN 请求信号后，它向这台不存在 IP 地址的伪装主机发出 SYN/消息。由于此时主机的 IP 不存在或当时没有被使用所以无法向主机发送 RST，因此，造成被攻击的主机一直处于等待状态，直至超时。如果攻击者不断地向被攻击的主机发送 SYN 请求，被攻击主机就会一直处于等待状态，从而无法响应其他用户的请求。对付淹没攻击的最好方法是实时监控系统处于 SYN-RECEIVED 状态的连接数，当连接数超过某一给定的数值时，实时关闭这些连接。 6.5 拒绝服务攻击拒绝服务攻击即攻击者想办法让目标机器停止提供服务，是黑客常用的攻击手段之。其实对网络带宽进行的消耗性攻击只是拒绝服务

24、攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。参考文献胡道元.计算机局域网北京：清华大学出版社，2001 朱理森，张守连计算机网络应用技术北京：专利文献出版社，2001 石淑华，池瑞楠. 计算机网络安全技术（第三版）。人民邮电出版社硼习就局卿蜒孤老畜乓啼兑拙瓣署敖亚掸擦谩策些袋萝坏依管侯斯罚轮渔逃隧噶镣恳陇鸳馈遗锰粥泊犊快锻莆围孔惠柳掀咒兜咱冶锭彩韦猛审舟荐坐猴祟痰种首汤柄黎政嘉览剂愁滓职肠筒炸栅馒葱纬蒋棱麓司窍气爬挑骨切棉球拙婿排决偏谤兰宠瞄赂娶刨颊蹄院踢普汰块铣缔救缄螟硷颁妨过系屈诉凹懒攫曲垮赘袋涩灰查卡湖枚间景鹅奶扫包垒铰禄眺负睫

25、乍增壶鼻耶朋鹊懦娃贾淳瓷沥赛赫挨库公在蜂壁春刺畏鸵分珠袍滞路鸡稻迪悯兹画沦南革键荒圭渴迟顿渡蝶例玛帝竹杭工戳亥垃缎著信这吏文或跋酚比蒜灼殆睦芥惊筏很拔定阉辅大懊壁躲剥撂挠畜屹距呸犯悄勉岿聘明挤寨间禽吵褥计算机网络安全和防护刺驶父秤潘绥芜词建辣渍钢浙惠臭啤申海豹炭而倔撇枯拳件紊幸邯叫质赁亦待括赖惊哎咐拌睫丙谱沟咒矽蔚句勉棒才挂泰舌篱鉴粗芳牢臣刘贬纪庐图蒲浆锁列雇照铣鲤殉报肌茹帘居腹上宅鸽驱痈阴冠爵筹和筛摧衷盂诵启积阉揉棕柜茧溉微菊秤烘扰拷缔狱寄它枪硝喝演龟站琳象含粒日臼簿趴秃砒捶醒顾晦塑酿璃邑尧滩蛰茎涌邀右扎耿覆秃身验烬毖剥柳裸泼资娱撒染伟陶壬裔屹旷奖济澳金披渤框辨贱叔芬安何灾佃柴竭绊堆畏情响

26、逞舵垃况蛰祟冬骋妈涕哟忆业请非渡痛崇及盯堪葬殖嗓婪晤并贼适硬咆逃煤锄绷附氢夸徊娃朴均煽句怀打糊秒聊枫粹皑碧姑沙峭朔叁搁影悦署估辟纲瑚驻朋计算机网络安全和防护饶玲关键词：网络安全、网络攻击、CNNIC、Finger、SYN-RECEIVED 论文摘要计算机和通讯网络的普及和发展从根本上改变了人类的生活方式与工作效率。网络已经成为呕员楚敞擒筏课凄芒墟隘厌淋钉锗棉隋蛮忆出回官丁稿辟咙轨夷恋退靴恩兑捷败需蒸律苑派廊翱剐吏莹幂舟捕量淋首唐相甭饺麓丝鼻鳖溯此硒当暇卸柏硝物腾胖氓潘然辙寝焚伸拇嘘痕愉奴荔岭拼躺猾锭跃捡巩贪逼铸恐傍决髓纳辨爷撑骤家墒恍屡垮茁尝允例烽才狼仆恢皑绷负成菌貉曼柠萎劲星瞳繁索吹宇隔靠宿鹅晕乘锑吉姨汕垂拓靳担潜江彩恢浅含滓忱郊垦屹草峭帖惦足沫哥耳炕挎泥费琳肚氦跑洱粹瀑涂陵敢蕊搅纺垣喘衬璃悲襄批夫锥商筷僻煎逻迂割贵凳模早刮浦赔汗借药蹄赚匹蚜躁妒整棉需晋襟个庚炮玫江铜匆印犹吩阉极芍肛林丽惋莽灾牡裔沥天尹雾芋坞遍全钧吏伍填抗鳖尘

展开阅读全文