《斯琴(论文)综述》由会员分享,可在线阅读,更多相关《斯琴(论文)综述(18页珍藏版)》请在金锄头文库上搜索。
1、锡锡 林林 郭郭 勒勒 职职 业业 学学 院院 毕业设计毕业设计 题题 目目 网络安全问题及对策网络安全问题及对策 专专 业业 计算机网络技术计算机网络技术 年年 级级 20112011 级级 学生姓名学生姓名 斯琴斯琴 指导老师指导老师 白凤伟白凤伟 I 目录目录 摘要摘要 - - 1 1 - - 前言前言 - - 2 2 - - 1 1、网络安全基础概述、网络安全基础概述 - - 3 3 - - 1.11.1 计算机网络安全概述计算机网络安全概述.- 3 - 1.21.2 影响计算机网络安全的因素分析影响计算机网络安全的因素分析.- 3 - 2 2、计算机网络安全存在的隐患、计算机网络安全
2、存在的隐患 - - 4 4 - - 2.12.1 拒绝服务攻击拒绝服务攻击 - 4 - 2.22.2 电子邮件的攻击电子邮件的攻击 - 4 - 2.32.3 缓冲区溢出攻击缓冲区溢出攻击 - 6 - 2.42.4 公布式拒绝服务攻击公布式拒绝服务攻击 - 6 - 2.52.5 网络监听攻击技术网络监听攻击技术 - 7 - 2.62.6 IPIP 欺骗攻击欺骗攻击- 7 - 3 3、网络安全的策略、网络安全的策略 - - 9 9 - - 3.13.1 防火墙技术防火墙技术.- 9 - 3.23.2 物理安全策略物理安全策略.- 9 - 3.33.3 访问控制策略访问控制策略.- 9 - 3.43
3、.4 入网访问控制入网访问控制.- 9 - 3.53.5 网络的权限控制网络的权限控制- 10 - 4 4、网络安全的防范、网络安全的防范 - - 1111 - - 4.14.1 加强日常防护管理加强日常防护管理 .- 11 - II 4.1.14.1.1 不下载来路不明的软件及程序不下载来路不明的软件及程序 .- 11 - 4.1.24.1.2 防范电子邮件攻击防范电子邮件攻击 .- 11 - 4.1.34.1.3 保护好自己的保护好自己的 IPIP 地址地址- 11 - 4.24.2 信息加密信息加密- 12 - 4.34.3 物理安全策略物理安全策略 .- 12 - 结语结语 - - 1
4、313 - - 谢辞谢辞 - - 1414 - - 参考文献参考文献 - - 1515 - - - 1 - 摘要摘要 计算机网络技术的发展,使人们轻松享受到资源共享的便利,极大地 方便了工作和学习。提高了工作效率和生活水平。同时,由于网络安全直 接关系到国家、企业及个人等领域的相关利益,因此网络安全也成为人们 不可忽视的重要问题。该文分析了当前计算机网络安全中存在的问题,并 针对问题提出了相应的应对策略,力争将网络安全问题控制到最小的程度。 随着计算机和网络技术的广泛普及和快速发展,网络技术已经渗透到 了各行各业,使人们轻松享受到资源共享的便利,极大地方便了工作和学 习,提高了工作效率和生活水
5、平。同时,由于网络安全直接关系到国家、 企业及个人等领域的相关利益,因此网络安全也成为人们不可忽视的重要 问题。不断发生的网络安全事件,给人们敲响了警钟:一旦网络安全受到 破坏,将会给国家、企业或个人带来不可估量的经济损失,甚至泄露国家 机密,影响到国家安全。基于计算机网络是个开放的系统,给黑客攻击和 病毒的入侵提供了可乘之机,加之黑客的攻击方法越来越尖端,电脑病毒 网络化传播的速度越来越快,范围越来越广,而网络杀毒软件等安全工具 的更新速度甚至落后于黑客攻击网络手段的更新速度,这些因素使得计算 机网络应用中的安全问题日益突出,因此,当今网络工作者急需解决的问 题,就是加强网络安全管理,保障网
6、络信息资源的有效开发和利用。 关键词:计算机 网络安全 网络威胁 - 2 - 前言前言 随着计算机技术的迅速发展,在计算机上完成的工作已由基于单机的 文件处理、自动化办公,发展到今天的企业内部网、企业外部网和国际互 联网的世界范围内的信息共享和业务处理,也就是我们常说的局域网、城 域网和广域网。计算机网络的应用领域已从传统的小型业务系统逐渐向大 型业务系统扩展。计算机网络在为人们提供便利、带来效益的同时,也使 人类面临着信息安全的巨大挑战。 组织和单位的计算机网络是黑客攻击的主要目标。如果黑客组织能攻 破组织及单位的计算机网络防御系统,他就有访问成千上万计算机的可能 性。据统计,近年来因网络安
7、全事故造成的损失每年高达上千亿美元。计 算机系统的脆弱性已为各国政府与机构所认识。 - 3 - 1 1、网络安全基础概述、网络安全基础概述 1.11.1 计算机网络安全概述计算机网络安全概述 所谓计算机网络安全,是指根据计算机网络特性,通过相应的安全技 术和措施,对计算机网络的硬件、操作系统、应用软件和数据等加以保护, 防止遭到破坏或窃取,其实质就是要保护计算机通讯系统和通信网络中的 各种信息资源免受各种类型的威胁、干扰和破坏。计算机网络的安全是指 挥、控制信息安全的重要保证。 根据国家计算机网络应急技术处理协调中心的权威统计,通过分布式 密网捕获的新的漏洞攻击恶意代码数量平均每天 112 次
8、,每天捕获最多的 次数高达 4369 次。因此,随着网络一体化和互联互通,我们必须加强计 算机网络安全防范意思,提高防范手段。 1.21.2 影响计算机网络安全的因素分析影响计算机网络安全的因素分析 计算机网络的安全涉及到多种学科,包括计算机科学、网络技术、通 信技术、密码技术、信息安全技术、应用数学、数论、信息论等十数种, 这些技术各司其职,保护网络系统的硬件、软件以及系统中的数据免遭各 种因素的破坏、更改、泄露,保证系统连续可靠正常运行。 - 4 - 2 2、计算机网络安全存在的隐患、计算机网络安全存在的隐患 2.12.1 拒绝服务攻击拒绝服务攻击 拒绝服务攻击的分类方法有多种,不同的应用
9、场合采用不同的分类。 拒绝服务攻击可以是物理的(硬件的),也可以是逻辑的(logic attack,也称为软件的 software attack) 。物理形式的攻击如偷窃、破坏 物理设备,破坏电源等。物理攻击属于物理安全的范围,不在本文的讨论之 列。本文中只讨论后一种形式的攻击。 1)按攻击地点可以分为本地攻击和远程(网络)攻击,本地攻击是指 不通过网络,对本地主机的攻击,远程攻击则必须通过网络连接。按攻击的 目标又可分为节点型和网络连接型,前者旨在消耗节点(主机 host)资源, 后者旨在消耗网络连接和带宽。 2)按照攻击方式来分可以分为:资源消耗、服务中止和物理破坏。资 源消耗指攻击者试图
10、消耗目标的合法资源,例如网络带宽、内存和磁盘空 间、CPU 使用率等等。服务中止则是指攻击者利用服务中的某些缺陷导致 服务崩溃或中止。物理破坏则是指雷击、电流、水火等物理接触的方式导 致的拒绝服务攻击。 3)按攻击是否直接针对受害者,可以分为直接拒绝服务攻击和间接拒 绝服务攻击,如要对某个 Email 帐号实施拒绝服务攻击,直接对该帐号用邮 件炸弹攻击就属于直接攻击。为了使某个邮件帐号不可用,攻击邮件服务 器而使整个邮件服务器不可用就是间接攻击。 2.22.2 电子邮件的攻击电子邮件的攻击 电子邮件攻击,是目前商业应用最多的一种商业攻击,我们也将它称 为邮件炸弹攻击,就是对某个或多个邮箱发送大
11、量的邮件,使网络流量加 - 5 - 大占用处理器时间,消耗系统资源,从而使系统瘫痪。目前有许多邮件炸 弹软件,虽然它们的操作有所不同,成功率也不稳定,但是有一点就是他 们可以隐藏攻击者不被发现。 邮件攻击实现性电子邮件因为它的可实现性比较广泛,所以也使网络 面临着很大的安全危害,恶意的针对 25(缺省的 SMTP 端口)进行 SYN- Flooding 攻击等等都会是很可怕的事情。电子邮件攻击有很多种,主要表 现为: 第一、窃取、篡改数据:通过监听数据包或者截取正在传输的信息, 可以使攻击者读取或者修改数据。通过网络监听程序,在 Windows 系统中 可以使用 NetXRay 来实现。Lin
12、ux 系统可以使用 Tcpdump、Nfswatch(SGI Irix、HP/US、SunOS)来实现。而著名的 Sniffer 则是有硬件也有软件, 这就更为专业的了。 第二、伪造邮件:通过伪造的电子邮件地址可以用诈骗的方法进行攻 击。 第三、拒绝服务:让系统或者网络充斥了大量的垃圾邮件,从而没有 余力去处理其它的事情,造成系统邮件服务器或者网络的瘫痪病毒:在生 活中,很多病毒的广泛传播是通过电子邮件传播的。I love you 就是新千 年里最为鲜明的例子。 邮件发送过程对于保护电子邮件的安全来说,了解一下电子邮件的发 送过程是很有必要的。它的过程是这样的,当有用户将邮件写好之后首先 连接
13、到邮件服务器上,当邮件服务器有响应时便会启动邮件工具,调用路 由(这里指的是邮件的路由)程序 Sendmail 进行邮件路由,根据邮件所 附的接收地址中指定的接收主机, - 6 - 2.32.3 缓冲区溢出攻击缓冲区溢出攻击 缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击行动。缓冲区溢 出是一种非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛 存在。利用缓冲区溢出攻击,可以导致程序运行失败、系统关机、重新启 动等后果。 危害: 可以利用它执行非授权指令,甚至可以取得系统特权,进而 进行各种非法操作。 根据实现目标的不同,缓冲区溢出攻击分为和改变程序逻辑两类攻击。 目前出现利用缓冲区溢出
14、进行的攻击主要属于改变程序逻辑。与破坏敏感 数据的攻击相比,此类攻击的目标不是仅仅针对某个或者某些数据,而是 针对整个被攻击系统;虽然破坏的不是敏感数据,但是攻击者可以通过改 来变这些数据来改变原有的程序逻辑,以此获取对本地/远程被攻击系统 的控制权。 2.42.4 公布式拒绝服务攻击公布式拒绝服务攻击 在早期的 DDoS 攻击中,攻击者通过其控制下的控制台向攻击机器发送 命令,攻击机器然后向受害者发起攻击。攻击者与控制台之间的通信信道 通常是控制台能够监听攻击者发出的连接,然后控制台机器从这些连接中 接收命令。在控制台和攻击机器之间则有两条信道,控制台要能够监听攻 击机器发出的数据包以允许攻
15、击机器注册其 IP 地址,而攻击机器则监听控 制台的命令。通常,通信信道都是利用固定的没有标准服务的端口。有些 DDoS 工具如 Stacheldraht 还在通信中采用加密技术以掩盖 DDoS 攻击网络。 早期的 DDoS 网络工具使得其 DDoS 网络比较容易识别并予以破坏。因 - 7 - 为攻击机器会保存列有一个或多个控制台的列表,这个列表通常是通过在 攻击程序中固化的 IP 地址表,然后其向这些地址发送数据包注册到控制台。 因此,一旦发现一个攻击机器就可以找到控制台。同样,控制台也要维持一 个攻击机器的列表以便发送攻击命令,因此,发现一个控制台就可以识别出 并破坏掉整个 DDoS 网络
16、。由于攻击机器和控制台都在特定的端口进行监 听,使用网络扫描器或者入侵检测系统就可以找出控制台和攻击机。 2.52.5 网络监听攻击技术网络监听攻击技术 概述:网络监听在网络中的任何一个位置模式下都可实行。而黑客一 般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后, 那么他要再想进将战果扩大到这个主机所在的整个局域网话,监听往往是 他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者, 在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简的。 其实非也,进入了某主机再想转入它的内部网络里的其它机器也都不是一 件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝 对路径,当然了,这个路径的尽头必须是有写的权限了。在这个时候,运 行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事 情,而且还需要当事者有足够的耐心和应变能力。 2.62.6 IPIP 欺骗攻击欺骗攻击 IP 欺骗技术就是一种融合多种
