學(xué)習(xí)啦>學(xué)習(xí)電腦>網(wǎng)絡(luò)知識(shí)>網(wǎng)絡(luò)技術(shù)>

怎樣應(yīng)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全的缺陷

時(shí)間: 廣達(dá)646 分享

  計(jì)算機(jī)網(wǎng)絡(luò)一般采用的是TCP/IP協(xié)議,在制定該協(xié)議時(shí),設(shè)計(jì)人員主要考慮的是方便性,對(duì)安全性的考慮不多,因而該協(xié)議本身具有很多安全漏洞接下來(lái)由學(xué)習(xí)啦小編為大家推薦計(jì)算機(jī)網(wǎng)絡(luò)安全缺陷的應(yīng)對(duì)方法,希望對(duì)你有所幫助!

  計(jì)算機(jī)網(wǎng)絡(luò)安全缺陷的應(yīng)對(duì)方法:

  一、計(jì)算機(jī)網(wǎng)絡(luò)安全缺陷

  1、計(jì)算機(jī)網(wǎng)絡(luò)一般采用的是TCP/IP協(xié)議,在制定該協(xié)議時(shí),設(shè)計(jì)人員主要考慮的是方便性,對(duì)安全性的考慮不多,因而該協(xié)議本身具有很多安全漏洞。

  2、計(jì)算機(jī)的操作系統(tǒng)在進(jìn)行結(jié)構(gòu)設(shè)計(jì)和代碼設(shè)計(jì)時(shí),也是主要考慮到用戶使用的方便性,但是在安全性上,比如計(jì)算機(jī)的遠(yuǎn)程控制、權(quán)限控制等方面,存在缺陷。

  3、計(jì)算機(jī)在數(shù)據(jù)庫(kù)管理上也存在一定的缺陷,不法分子可以在數(shù)據(jù)庫(kù)或者應(yīng)用程序中安裝各種破壞程序來(lái)進(jìn)行情報(bào)數(shù)據(jù)的收集。

  二、計(jì)算機(jī)網(wǎng)絡(luò)攻擊的方式

  1、漏洞攻擊。由于計(jì)算機(jī)在系統(tǒng)、程序、硬件、軟件等方面都存在一定的缺陷和漏洞,而不法分子可以利用這些漏洞進(jìn)行攻擊。計(jì)算機(jī)網(wǎng)絡(luò)常見(jiàn)的安全漏洞主要有:盜取遠(yuǎn)程、本地管理權(quán)限,遠(yuǎn)程、本地拒絕服務(wù),服務(wù)器信息的泄露等等。不法分子會(huì)利用漏洞探測(cè)工具來(lái)對(duì)用戶的系統(tǒng)進(jìn)行檢測(cè),然后在不經(jīng)授權(quán)的情況下針對(duì)這些漏洞來(lái)進(jìn)行攻擊。

  2、病毒攻擊。病毒攻擊是計(jì)算機(jī)網(wǎng)絡(luò)攻擊中最為普遍,也是最難處理的一種,它可以對(duì)計(jì)算機(jī)造成巨大的損壞。許多病毒會(huì)和木馬結(jié)合在一起,殺毒軟件不僅很難刪除,還可以迅速進(jìn)行傳播。

  3、電子郵件攻擊。由于電子郵箱已經(jīng)成為很多人進(jìn)行溝通交流的方式,很多商務(wù)交際和公司貿(mào)易中,都采用了電子郵件的方式。不法分子會(huì)利用CGI等軟件向用戶郵箱發(fā)送大量的垃圾郵件,導(dǎo)致郵箱被撐爆而無(wú)法使用。此外,不法分子還會(huì)用郵箱來(lái)對(duì)用戶發(fā)送帶有病毒的郵件。

  4、DOS攻擊。DOS攻擊又稱拒絕服務(wù)攻擊,這種系統(tǒng)漏洞在全世界都普遍存在,不法分子利用系統(tǒng)和設(shè)備的缺陷不斷地進(jìn)行攻擊。不法分子采用這種攻擊手段,讓用戶的系統(tǒng)因?yàn)樨?fù)荷過(guò)多而無(wú)法正常工作。攻擊者采用的方式—般是對(duì)計(jì)算機(jī)之間的鏈接或服務(wù)器進(jìn)行破環(huán),使其無(wú)法進(jìn)行正常的網(wǎng)絡(luò)通訊。

  5、緩沖區(qū)溢出攻擊。不法分子利用軟件自身的缺陷,向程序的緩沖區(qū)寫入過(guò)長(zhǎng)的內(nèi)容,發(fā)生緩沖區(qū)溢出,對(duì)程序的堆棧進(jìn)行破壞,達(dá)到執(zhí)行其他指令的目的?;蛘吖粽咴诰彌_區(qū)內(nèi)寫入自己的代碼,將這個(gè)代碼的的地址覆蓋原函數(shù)的返回地址,當(dāng)程序返回時(shí),程序就開(kāi)始執(zhí)行攻擊者的代碼。

  6、TCP/IP欺騙攻擊。這種攻擊方式是通過(guò)偽造假冒的地址,冒充真實(shí)的身份來(lái)和其他主機(jī)來(lái)進(jìn)行合法通訊,或者是向被攻擊者發(fā)送了錯(cuò)誤的報(bào)文,讓被攻擊者執(zhí)行錯(cuò)誤的指令。

  7、ARP欺騙攻擊。ARP攻擊,是攻擊者通過(guò)對(duì)路由器的ARP表進(jìn)行欺騙,或者是對(duì)網(wǎng)關(guān)進(jìn)行欺騙的方式達(dá)成攻擊的目的。其中,針對(duì)路由器的ARP欺騙方式是,攻擊者截獲網(wǎng)關(guān)數(shù)據(jù),偽造MAC地址,并向網(wǎng)關(guān)頻繁發(fā)送,造成路由器的ARP緩存信息得到修改,導(dǎo)致真正的IP地址無(wú)法與路由器進(jìn)行通訊,這種攻擊的結(jié)果是導(dǎo)致用戶的網(wǎng)絡(luò)受到中斷。而對(duì)網(wǎng)關(guān)進(jìn)行欺騙的方式是攻擊者通過(guò)偽造網(wǎng)關(guān),使得被攻擊者向攻擊者的網(wǎng)關(guān)發(fā)送數(shù)據(jù),這樣,攻擊者可以截獲用戶的網(wǎng)絡(luò)信息。

  8、電磁輻射攻擊。電磁輻射攻擊主要是應(yīng)用在現(xiàn)代戰(zhàn)爭(zhēng)中,攻擊者通過(guò)電磁輻射干擾對(duì)方的通訊,同時(shí)將對(duì)方的通訊信息進(jìn)行截取,是獲取軍事情報(bào)的方式。

  三、網(wǎng)絡(luò)攻擊的防范技術(shù)

  1、拒絕服務(wù)攻擊防范

  1)用戶可以對(duì)不必要的服務(wù)進(jìn)行關(guān)閉,對(duì)同時(shí)打開(kāi)的SYN半連接數(shù)目進(jìn)行限制,并且對(duì)SYN的半連接的timeout時(shí)間進(jìn)行縮短,并注意及時(shí)對(duì)系統(tǒng)更新補(bǔ)丁。

  2)在防火墻的設(shè)置上,嚴(yán)禁對(duì)計(jì)算機(jī)的非開(kāi)放項(xiàng)目進(jìn)行訪問(wèn),對(duì)同時(shí)打開(kāi)的SYN最大連接數(shù)進(jìn)行限制。對(duì)特定的IP設(shè)置訪問(wèn)限制,并且將防火墻的DDOS的屬性啟動(dòng)。

  3)在路由器的設(shè)置上,對(duì)訪問(wèn)控制列表要進(jìn)行過(guò)濾,同時(shí)對(duì)SYN的數(shù)據(jù)包的流量速率進(jìn)行設(shè)置,對(duì)版本過(guò)低的ISO進(jìn)行升級(jí),并為路由器建立logserver。

  2、緩沖區(qū)溢出攻擊防范

  1)程序指針完整性檢測(cè)。即用戶需要對(duì)程序指針進(jìn)行檢測(cè),防止被攻擊者進(jìn)行改變并被引用。

  2)堆砌保護(hù)。這是一種編譯器技術(shù),用來(lái)對(duì)程序指針完整性進(jìn)行檢測(cè),其檢測(cè)方式是通過(guò)對(duì)函數(shù)活動(dòng)記錄中的返回地址進(jìn)行檢測(cè)來(lái)實(shí)現(xiàn)的。即,首先將一些附加的字節(jié)添加在堆棧中函數(shù)返回地址后,當(dāng)函數(shù)返回時(shí),會(huì)先對(duì)這些附加字節(jié)進(jìn)行檢查,看是否被改動(dòng)過(guò),查看是否發(fā)生了緩沖區(qū)溢出攻擊。

  3)數(shù)組邊界檢查。即對(duì)所有的數(shù)組操作進(jìn)行檢查,確保數(shù)組操作在正確的范圍內(nèi)。

  3、掃描型攻擊的防范

  1)地址掃描的防護(hù)。用戶可以采用Ping程序進(jìn)行探索,如果存在地址掃描攻擊,則其會(huì)對(duì)此程序作出反映,此時(shí)就可以在防火墻中將ICMP應(yīng)笞消息過(guò)濾掉。

  2)端口掃描的防護(hù)。用戶需要將閑置的端口或者存在風(fēng)險(xiǎn)的端口關(guān)閉,用戶還可以通過(guò)防火墻來(lái)檢測(cè)其是否被掃描,因此,良好的防護(hù)墻是預(yù)防端口掃描的關(guān)鍵因素。

  3)畸形消息攻擊。由于計(jì)算機(jī)的操作系統(tǒng)本身存在漏洞,系統(tǒng)在處理信息時(shí),如果不能進(jìn)行錯(cuò)誤校驗(yàn),在接受到畸形攻擊時(shí)就可能會(huì)導(dǎo)致系統(tǒng)崩潰。要預(yù)防畸形消息攻擊就需要及時(shí)更新安裝補(bǔ)丁。

  4、IP地址欺騙防范

  1)拋棄基于地址的信任策略:用戶為了實(shí)現(xiàn)對(duì)此類攻擊的阻止,需要拋棄以地址為基礎(chǔ)的驗(yàn)證。比如,禁用r類遠(yuǎn)程調(diào)用命令,或者刪除rhosts文件,對(duì)/etc/hosts.equjy文件進(jìn)行清空。

  2)使用加密方法:用戶可以采用對(duì)將要發(fā)送的數(shù)據(jù)包進(jìn)行加密,在加密的過(guò)程中需要對(duì)當(dāng)前的網(wǎng)絡(luò)環(huán)境進(jìn)行改變,通過(guò)加密可以保證數(shù)據(jù)的真實(shí)性和完整性。

  3)進(jìn)行包過(guò)濾。通過(guò)對(duì)路由器進(jìn)行設(shè)置,如果發(fā)現(xiàn)網(wǎng)外的鏈接請(qǐng)求的IP地址與本網(wǎng)內(nèi)IP地址相同,則對(duì)其進(jìn)行禁止。如果數(shù)據(jù)包的IP地址并不在本網(wǎng)內(nèi),則禁止將本網(wǎng)主機(jī)的數(shù)據(jù)包發(fā)送出去。包過(guò)濾技術(shù)只能過(guò)濾聲稱來(lái)自內(nèi)部網(wǎng)絡(luò)的外來(lái)包,所以最好關(guān)閉網(wǎng)絡(luò)中的外部可信任主機(jī),避免不法分子冒充這些主機(jī)進(jìn)行IP欺騙。

  5、ARP攻擊防范

  1)將網(wǎng)關(guān)MAC地址和對(duì)應(yīng)的IP地址進(jìn)行綁定;在交換機(jī)上將計(jì)算機(jī)端口和MAc地址進(jìn)行綁定,同時(shí)對(duì)ACL進(jìn)行配置,對(duì)非法IP或MAc地址進(jìn)行過(guò)濾。

  2)通過(guò)使用ARP服務(wù)器,查找自己的ARP轉(zhuǎn)換表,從而對(duì)其他設(shè)備的ARP廣播進(jìn)行響應(yīng)。在一些特殊的網(wǎng)絡(luò)環(huán)境中,可以考慮使用ARP代理或者是對(duì)網(wǎng)絡(luò)接口的ARP解析禁止執(zhí)行。

  3)使用反ARP軟件、防火墻等監(jiān)控網(wǎng)絡(luò),應(yīng)當(dāng)避免使用集線器等設(shè)備,并且定期檢查ARP的緩存列表。

  4)因?yàn)锳RP攻擊一般發(fā)生在園區(qū)內(nèi),因此,網(wǎng)絡(luò)管理員可以根據(jù)在局域網(wǎng)中制定出一個(gè)網(wǎng)絡(luò)拓?fù)鋱D,劃出VLAN區(qū)域,如果有用戶感染了ARP病毒,為了防止ARP病毒的擴(kuò)散,就需要立即找到感染病毒用戶的交換機(jī)端口,將這個(gè)端口列進(jìn)VLAN區(qū),并且可以運(yùn)用端口中的disable對(duì)其進(jìn)行屏蔽。

  四、結(jié)束語(yǔ)

  因此需要用戶和技術(shù)人員提高網(wǎng)絡(luò)安全防范的意識(shí),提高應(yīng)對(duì)攻擊的處理能力,同時(shí)要不斷加強(qiáng)學(xué)習(xí)和研究,從而更好地應(yīng)對(duì)現(xiàn)在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境。

328547