《浅谈计算机网络的防御技术》由会员分享,可在线阅读,更多相关《浅谈计算机网络的防御技术(3页珍藏版)》请在金锄头文库上搜索。
1、浅谈计算机网络的防御技术论文关键词:网络攻击防御入侵检测系统论文摘要:要保护好自己的网络不受攻击,就必须对攻击方法、攻击原理、攻击过程有深化的、详细的理解,只有这样才能更有效、更具有针对性的进展主动防护。下面就对攻击方法的特征进展分析,来研究如何对攻击行为进展检测与防御。反攻击技术的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息,一种是通过网络侦听的途径来获取所有的网络信息,这既是进展攻击的必然途径,也是进展反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进展分析,来发现入侵行为和系统潜在的平安破绽。一、攻击的主要方式对网络的攻击方式是多种多样的,一般来讲,攻击
2、总是利用“系统配置的缺陷,“操作系统的平安破绽或“通信协议的平安破绽来进展的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大局部攻击手段已经有相应的解决方法,这些攻击大概可以划分为以下几类:(一)回绝效劳攻击:一般情况下,回绝效劳攻击是通过使被攻击对象(通常是工作站或重要效劳器)的系统关键资源过载,从而使被攻击对象停顿局部或全部效劳。目前的回绝效劳攻击就有几百种,它是最根本的入侵攻击手段,也是最难对付的入侵攻击之一,典型例如有SYNFld攻击、PingFld攻击、Land攻击、inNuke攻击等。(二)非受权访问尝试:是攻击者对被保护文件进展读、写或执行的尝试,也包括为获得被保护访问
3、权限所做的尝试。(三)预探测攻击:在连续的非受权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型例如包括SATAN扫描、端口扫描和IP半途扫描等。(四)可疑活动:是通常定义的“标准网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IPUnknnPrtl和DupliateIPAddress事件等。(五)协议解码:协议解码可用于以上任何一种非期望的方法中,网络或平安管理员需要进展解码工作,并获得相应的结果,解码后的协议信息可能说明期望的活动,如FTUUser和PrtapperPrxy等解码方式。二、攻击行为的特征分析与反攻击技术入侵检测的最根本手段是采
4、用形式匹配的方法来发现入侵攻击行为,要有效的进反攻击首先必须理解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进展分析,并提出相应的对策。(一)Land攻击攻击类型:Land攻击是一种回绝效劳攻击。攻击特征:用于Land攻击的数据包中的源地址和目的地址是一样的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址一样的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。检测方法:判断网络数据包的源地址和目的地址是否一样。反攻击方法:适当配置防火墙设备或过滤路由器的
5、过滤规那么就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进展审计(记录事件发生的时间,源主机和目的主机的A地址和IP地址)。(二)TPSYN攻击攻击类型:TPSYN攻击是一种回绝效劳攻击。攻击特征:它是利用TP客户机与效劳器之间三次握手过程的缺陷来进展的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYNAK数据包发送回错误的IP地址,并一直等待AK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常效劳。检测方法:检查单位时间内收到的SYN连接否收超过系统设定
6、的值。反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接恳求或丢弃这些数据包,并进展系统审计。(三)TP/UDP端口扫描攻击类型:TP/UDP端口扫描是一种预探测攻击。攻击特征:对被攻击主机的不同端口发送TP或UDP连接恳求,探测被攻击对象运行的效劳类型。检测方法:统计外界对系统端口的连接恳求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接恳求。反攻击方法:当收到多个TP/UDP数据包对异常端口的连接恳求时,通知防火墙阻断连接恳求,并对攻击者的IP地址和A地址进展审计。对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用形式匹配的方法,
7、还需要利用状态转移、网络拓扑构造等方法来进展入侵检测。三、入侵检测系统的几点考虑入侵检测系统存在一些亟待解决的问题,主要表如今以下几个方面:(一)如何识别“大规模的组合式、分布式的入侵攻击目前还没有较好的方法和成熟的解决方案。从Yah等著名IP的攻击事件中,我们理解到平安问题日渐突出,攻击者的程度在不断地进步,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的平安技术。(二)网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就
8、显得无能为力。(三)网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。(四)对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的开展和对新攻击识别的增加,入侵检测系统需要不断的晋级才能保证网络的平安性。(五)采用不恰当的自动反响同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进展模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进展任何攻击的地址都过滤掉,于是造成新的回绝效劳访问。(六)对IDS自身的攻击。与其他系统一样,IDS本身也存在平安破绽,假设对IDS攻击成功,那么导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种平安防护手段。总之,入侵检测系统作为网络平安关键性测防系统,具有很多值得进一步深化研究的方面,有待于我们进一步完善,为今后的网络开展提供有效的平安手段。参考文献:1张耀南、安学敏、张旭,科技网兰州网络的平安分析与实现2022.10
