探析網(wǎng)絡(luò)入侵的攻與防

魏鈺潼 陳奕州 張艷朵

摘要：計算機(jī)網(wǎng)絡(luò)與Internet在推動了各國的政治、經(jīng)濟(jì)、科學(xué)、文化、教育與產(chǎn)業(yè)的同時也給人們帶來了巨大的安全隱患。網(wǎng)絡(luò)安全是網(wǎng)絡(luò)技術(shù)研究中一個重要話題，涉及了技術(shù)、道德與法律法規(guī)，是一個系統(tǒng)的社會工程。本文從網(wǎng)絡(luò)攻擊的分類與主要類型出發(fā)對近年來網(wǎng)絡(luò)安全受到的威脅進(jìn)行了簡單的介紹，同時對當(dāng)前比較常用的應(yīng)用性安全技術(shù)方法進(jìn)行了闡述，例如安全過濾和隔離外網(wǎng)攻擊、入侵的防火墻技術(shù)。

關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò);網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊;防火墻技術(shù)

引言

由于計算機(jī)網(wǎng)絡(luò)與Internet的持續(xù)高速發(fā)展，人們的日常生活中對網(wǎng)絡(luò)安全越來越重視。受經(jīng)濟(jì)利益驅(qū)使，網(wǎng)絡(luò)攻擊從最初的惡作劇、尋求刺激等破壞性攻擊，發(fā)展成了利用漏洞竊取用戶個人信息，甚至逐步形成黑色產(chǎn)業(yè)鏈的網(wǎng)絡(luò)犯罪。要想保證信息在網(wǎng)絡(luò)環(huán)境中存儲、處理與傳輸?shù)陌踩裕仨毑粩鄬W(wǎng)絡(luò)攻擊技術(shù)與防火墻技術(shù)進(jìn)行深入探究。

1、網(wǎng)絡(luò)攻擊的分類

1.1主動攻擊與被動攻擊

主動攻擊是通過向網(wǎng)絡(luò)節(jié)點或者服務(wù)器發(fā)送大量虛假信息，從而達(dá)到將這些信息的后續(xù)訪問都指向受害者的攻擊效果。主動攻擊具有可控性較強(qiáng)、放大容易等特點。例如：拒絕服務(wù)、信息篡改、竊取信息、欺騙攻擊等。

被動攻擊是指通過修改客戶端或者服務(wù)器軟件，被動等待來自其他節(jié)點的查詢請求，通過返回虛假響應(yīng)來達(dá)到攻擊效果。通常情況下，會采取一些放大措施來增強(qiáng)攻擊效果，如部署多個攻擊節(jié)點、在一個響應(yīng)消息中多次包含目標(biāo)主機(jī)等。例如：嗅探、漏洞掃描、信息收集等。

1.2服務(wù)攻擊與非服務(wù)攻擊

服務(wù)攻擊是指攻擊者對E-mail、Web或者DNS服務(wù)器發(fā)起攻擊，造成服務(wù)器工作不正常，甚至造成服務(wù)器癱瘓。

非服務(wù)攻擊不針對某項具體應(yīng)用服務(wù)，而是針對網(wǎng)絡(luò)設(shè)備或者通信線路。攻擊者可能使用各種方法對網(wǎng)絡(luò)設(shè)備與通信線路發(fā)起攻擊，使得網(wǎng)絡(luò)設(shè)備出現(xiàn)嚴(yán)重阻塞甚至癱瘓，或者造成線路阻塞，最終使網(wǎng)絡(luò)通信中斷。

2、網(wǎng)絡(luò)攻擊技術(shù)

2.1網(wǎng)絡(luò)漏洞攻擊

網(wǎng)絡(luò)漏洞攻擊是指，網(wǎng)絡(luò)攻擊者通過網(wǎng)絡(luò)踩點、漏洞掃描等多種形式發(fā)現(xiàn)漏洞，利用網(wǎng)絡(luò)系統(tǒng)的漏洞，非法訪問網(wǎng)絡(luò)、竊取信息的現(xiàn)象。

2.1.1技術(shù)漏洞

技術(shù)漏洞主要是：網(wǎng)絡(luò)協(xié)議設(shè)計時存在的瑕疵、協(xié)議與應(yīng)用軟件的瑕疵，以及系統(tǒng)和網(wǎng)絡(luò)的配置錯誤。例如：IP協(xié)議最初是專門為ARPANET網(wǎng)絡(luò)設(shè)計的協(xié)議，缺乏對通信雙方身份的認(rèn)證，以及在IP網(wǎng)絡(luò)上傳輸數(shù)據(jù)的完整性與機(jī)密性的保護(hù)，使IP協(xié)議存在數(shù)據(jù)被監(jiān)聽、捕獲等漏洞。

2.1.2管理漏洞

管理漏洞包括網(wǎng)絡(luò)使用與管理權(quán)限、密碼保護(hù)措施的不足。黑客通過網(wǎng)絡(luò)踩點來發(fā)現(xiàn)目標(biāo)主機(jī)或網(wǎng)絡(luò);利用各種漏洞掃描工具，如ping、traceroute、tcpdump等常規(guī)網(wǎng)絡(luò)管理與測試軟件與專用的黑客工具，搜集和發(fā)現(xiàn)操作系統(tǒng)、網(wǎng)絡(luò)拓?fù)?、路由器與主機(jī)配置方面的漏洞，達(dá)到非法訪問網(wǎng)絡(luò)的目的。

2.2欺騙攻擊

口令攻擊是一種典型的滲入攻擊，入侵者通過系統(tǒng)常用服務(wù)或?qū)W(wǎng)絡(luò)通信進(jìn)行監(jiān)聽來搜集賬號。當(dāng)找到主機(jī)上的有效賬號后，通過各種方法獲取password文件，然后用口令猜測程序，破譯用戶賬號和密碼，或者就采用字典窮舉法進(jìn)行攻擊。

同時網(wǎng)絡(luò)攻擊者還可以通過IP欺騙、ARP欺騙、DNS欺騙、Web欺騙、電子郵件欺騙、源路由欺騙、重發(fā)攻擊、中間人攻擊與陷門攻擊等攻擊方法達(dá)到非法訪問的目的。

2.3 DoS與DDoS

2.3.1 DoS的特征

拒絕服務(wù)攻擊（DoS）利用合理的請求，通過發(fā)送一定數(shù)量、一定序列的報文，使網(wǎng)絡(luò)服務(wù)器中充斥大量需要回復(fù)的信息，從而達(dá)到消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致服務(wù)器不能夠正常工作，甚至癱瘓的目的。

2.3.2 DDoS攻擊的特征

分布式拒絕服務(wù)攻擊（DDoS）是目前最流行的一類DoS攻擊。典型的DDoS攻擊采用的是三層結(jié)構(gòu)：攻擊控制層、攻擊服務(wù)器層、攻擊執(zhí)行器層。

DDoS攻擊的特征主要有以下幾點：

（1）被攻擊主機(jī)上可能有大量等待應(yīng)答的TCP連接。

（2）網(wǎng)絡(luò)中充斥著大量的無用數(shù)據(jù)包，并且數(shù)據(jù)包的源地址是偽造的。

（3）大量無用數(shù)據(jù)包造成網(wǎng)絡(luò)擁堵，使得網(wǎng)絡(luò)工作不正常，甚至癱瘓。

（4）被攻擊主機(jī)可能在攻擊發(fā)起之后的的短短幾秒鐘后就處于癱瘓狀態(tài)。

（5）攻擊服務(wù)器與傀儡機(jī)都是在不知情的情況下參與攻擊行動，而真正的攻擊者早已消失。

3、防火墻技術(shù)

3.1防火墻的功能

防火墻包括硬件和軟件是在網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng)。防火墻保護(hù)內(nèi)部可信任網(wǎng)絡(luò)的資源不被外部非授權(quán)不可信任網(wǎng)絡(luò)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。

防火墻的功能包括：檢查所有從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包以及所有從內(nèi)部網(wǎng)絡(luò)流出到外部網(wǎng)絡(luò)的數(shù)據(jù)包;執(zhí)行安全策略，防止所有不符合安全策略要求的數(shù)據(jù)包通過;具有防攻擊能力以保證自身安全性。

3.2防火墻系統(tǒng)結(jié)構(gòu)

防火墻可以是一個包過濾路由器或應(yīng)用級網(wǎng)關(guān)，但實際通常將包過濾路由器與應(yīng)用級網(wǎng)關(guān)作為基本單元，采用多級結(jié)構(gòu)和多種組態(tài)。

雙歸屬主機(jī)作為應(yīng)用級網(wǎng)關(guān)可以起到防火墻作用，但在這種結(jié)構(gòu)中，應(yīng)用級網(wǎng)關(guān)會完全暴露在外部網(wǎng)絡(luò)中，應(yīng)用級網(wǎng)關(guān)的自身安全會影響整個系統(tǒng)的工作。堡壘主機(jī)處于防火墻關(guān)鍵部位用來運行應(yīng)用級網(wǎng)關(guān)軟件的計算機(jī)系統(tǒng)。不同網(wǎng)絡(luò)的安全策略與防護(hù)要求不同，防火墻系統(tǒng)的配置與結(jié)構(gòu)有很大區(qū)別。對于安全要求較高的應(yīng)用領(lǐng)域可以采用兩個過濾路由器與兩個堡壘主機(jī)組成的S-B1-S-B1防火墻系統(tǒng)。

結(jié)束語

習(xí)近平總書記在2014年提出，“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”。隨著社會越來越依賴于網(wǎng)絡(luò)，網(wǎng)絡(luò)安全儼然已經(jīng)成為影響社會穩(wěn)定、國家安全的重要因素。因此網(wǎng)絡(luò)安全問題應(yīng)該像每家每戶的防火防盜問題一樣，做到防患于未然，避免造成極大的損失。

參考文獻(xiàn)：

[1]王洪斌.防火墻技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究[J].電腦知識與技術(shù)，2021，（21）：44-45.

[2]張健.現(xiàn)階段網(wǎng)絡(luò)攻擊技術(shù)及網(wǎng)絡(luò)安全探析[J].電腦知識與技術(shù)，2021，（18）：70-71.

[3]劉敏霞;余杰;李強(qiáng);陳志新.基于P2P系統(tǒng)的DDoS攻擊及其防御技術(shù)研究綜述[J].計算機(jī)應(yīng)用研究，2011，28（05）：1609-1613.