網路安全技術與黑客攻擊危脅

引言

企業網路安全的核心是企業資訊的安全。為防止非法使用者利用網路系統的安全缺陷進行資料的竊取、偽造和破壞，必須建立企業網路資訊系統的安全服務體系。關於計算機資訊系統安全性的定義到目前為止還沒有統一，國際標準化組織(iso)的定義為：「為資料處理系統建立和採用的技術和管理的安全保護，保護計算機硬體、軟體和資料不因偶然和惡意的原因遭到破壞、更改和洩露」。計算機安全包括物理安全和邏輯安全，其中物理安全指系統裝置及相關設施的物理保護以免於被破壞和丟失，邏輯安全是指資訊的可用性、完整性和保密性三要素。資訊保安的隱患存在於資訊的共享和傳遞過程中。目前，瀏覽器/伺服器技術已廣泛應用於企業網路資訊系統中，而其基礎協議就存在著不少的安全漏洞。一種基本的安全系統——網路安全系統，也稱為防火牆系統，可以設定在公用網路系統和企業內部網路之間，或者設定在內部網路的不同網段之間，用以保護企業的核心秘密並抵禦外來非法攻擊。隨著企業網上業務的不斷擴大和電子商務的發展，對網路的安全服務提出了新的要求。像使用者認證、資訊的加密存貯、資訊的加密傳輸、資訊的不可否認性、資訊的不可修改性等要求，要用密碼技術、數字簽名、數字郵戳、數字憑證和認證中心等技術和手段構成安全電子商務體系。

黑客攻擊企業資訊系統的手段

tcp/ip協議存在安全漏洞

目前使用最廣泛的網路協議是tcp/ip協議，而tcp/ip協議恰恰存在安全漏洞。如ip層協議就有許多安全缺陷。ip位址可以軟體設定，這就造成了位址假冒和位址欺騙兩類安全隱患;ip協議支援源路由方式，即源點可以指定資訊包傳送到目的節點的中間路由，這就提供了源路由攻擊的條件。再如應用層協議telnet、ftp、smtp等協議缺乏認證和保密措施，這就為否認、拒絕等欺瞞行為開了方便之門。對執行tcp/ip協議的網路系統，存在著如下五種型別的威脅和攻擊：欺騙攻擊、否認服務、拒絕服務、資料擷取和資料纂改。

黑客攻擊網路資訊系統的手段

黑客攻擊的目標不相同，有的黑客注意焦點是美國國防部五角大樓，有的關心是安全域性、銀行或者重要企業的資訊中心，但他們採用的攻擊方式和手段卻有一定的共同性。一般黑客的攻擊大體有如下三個步驟：

資訊收集→對系統的安全弱點探測與分析→實施攻擊。

資訊收集

資訊收集的目的是為了進入所要攻擊的目標網路的資料庫。黑客會利用下列的公開協議或工具，收集駐留在網路系統中的各個主機系統的相關資訊。

·snmp協議用來查閱網路系統路由器的路由表，從而了解目標主機所在網路的拓撲結構及其內部細節。

·traceroute程式能夠用該程式獲得到達目標主機所要經過的網路數和路由器數。

·whois協議該協議的服務資訊能提供所有有關的dns域和相關的管理引數。

·dns伺服器該伺服器提供了系統中可以訪問的主機的ip位址表和它們所對應的主機名。

·finger協議可以用finger來獲取乙個指定主機上的所有使用者的詳細資訊(如使用者註冊名、**號碼、最後

註冊時間以及他們有沒有讀郵件等等)。

·ping實用程式可以用來確定乙個指定的主機的位置。

·自動wardialing軟體可以向目標站點一次連續呼出大批**號碼，直到遇到某一正確的號碼使其modem響應。

系統安全弱點的探測

在收集到攻擊目標的一批網路資訊之後，黑客會探測網路上的每台主機，以尋求該系統的安全漏洞或安全弱點，黑客可能使用下列方式自動掃瞄駐留網路上的主機。

·自編程式對某些產品或者系統，已經發現了一些安全漏洞，該產品或系統的廠商或組織會提供一些「補丁」程式給予彌補。但是使用者並不一定及時使用這些「補丁」程式。黑客發現這些「補丁」程式的介面後會自己編寫程式，通過該介面進入目標系統，這時該目標系統對於黑客來講就變得一覽無餘了。

·利用公開的工具象internet的電子安全掃瞄程式iis(internetsecurity scanner)、審計網路用的安全分析工具satan(security analysis toolfor auditing network)等這樣的工具，可以對整個網路或子網進行掃瞄，尋找安全漏洞。這些工具有兩面性，就看是什麼人在使用它們。系統管理員可以使用它們，以幫助發現其管理的網路系統內部隱藏的安全漏洞，從而確定系統中那些主機需要用「補丁」程式去堵塞漏洞。而黑客也可以利用這些工具，收集目標系統的資訊，獲取攻擊目標系統的非法訪問權。

網路攻擊

黑客使用上述方法，收集或探測到一些「有用」資訊之後，就可能會對目標系統實施攻擊。黑客一旦獲得了對攻擊的目標系統的訪問權後，又可能有下述多種選擇：

·該黑客可能試圖毀掉攻擊入侵的痕跡，並在受到損害的系統上建立另外的新的安全漏洞或後門，以便在先前的攻擊點被發現之後，繼續訪問這個系統。

·該黑客可能在目標系統中安裝探測器軟體，包括特洛伊木馬程式，用來窺探所在系統的活動，收集黑客感興趣的一切資訊，如telnet和ftp的帳號名和口令等等。

·該黑客可能進一步發現受損系統在網路中的信任等級，這樣黑客就可以通過該系統信任級展開對整個系統的攻擊。

·如果該黑客在這台受損系統上獲得了特許訪問權，那麼它就可以讀取郵件，搜尋私人檔案，毀壞重要資料，破壞整個系統的資訊，造成不堪設想的後果。

防火牆的基本思想

如果網路在沒有防火牆的環境中，網路安全性完全依賴主系統的安全性。在一定意義上，所有主系統必須通力協作來實現均勻一致的高階安全性。子網越大，把所有主系統保持在相同的安全性水平上的可管理能力就越小，隨著安全性的失策和失誤越來越普遍，入侵就時有發生。防火牆有助於提高主系統總體安全性。防火牆的基本思想——不是對每台主機系統進行保護，而是讓所有對系統的訪問通過某一點，並且保護這一點，並盡可能地對外界遮蔽保護網路的資訊和結構。它是設定在可信任的內部網路和不可信任的外界之間的一道屏障，它可以實施比較廣泛的安全政策來控制資訊流，防止不可預料的潛在的入侵破壞。防火牆系統可以是路由器，也可以是個人機、主系統或者是一批主系統，專門用於把網點或子網同那些可能被子網外的主系統濫用的協議和服務隔絕。防火牆可以從通訊協議的各個層次以及應用中獲取、儲存並管理相關的資訊，以便實施系統的訪問安全決策控制。防火牆的技術已經經歷了三個階段，即包過濾技術、**技術和狀態監視技術。

包過濾技術

包過濾防火牆的安全性是基於對包的ip位址的校驗。在internet上，所有資訊都是以包的形式傳輸的，資訊包中包含傳送方的ip位址和接收方的ip位址。包過濾防火牆將所有通過的資訊包中傳送方ip位址、接收方ip位址、tcp埠、tcp鏈路狀態等資訊讀出，並按照預先設定的過濾原則過濾資訊包。那些不符合規定的ip位址的資訊包會被防火牆過濾掉，以保證網路系統的安全。這是一種基於網路層的安全技術，對於應用層的黑客行為是無能為力的。

**技術

**伺服器接收客戶請求後會檢查驗證其合法性，如其合法，**伺服器象一台客戶機一樣取回所需的資訊再**給客戶。它將內部系統與外界隔離開來，從外面只能看到**伺服器而看不到任何內部資源。**伺服器只允許有**的服務通過，而其他所有服務都完全被封鎖住。這一點對系統安全是很重要的，只有那些被認為「可信賴的」服務才允許通過防火牆。另外**服務還可以過濾協議，如可以過濾ftp連線，拒絕使用ftp put(放置)命令，以保證使用者不能將檔案寫到匿名伺服器。 **服務具有資訊隱蔽、保證有效的認證和登入、簡化了過濾規則等優點。網路位址轉換服務(nat?network address translation)可以遮蔽內部網路的ip位址，使網路結構對外部來講是不可見的。

狀態監視技術

這是第三代網路安全技術。狀態監視服務的監視模組在不影響網路安全正常工作的前提下，採用抽取相關資料的方法對網路通訊的各個層次實行監測，並作安全決策的依據。監視模組支援多種網路協議和應用協議，可以方便地實現應用和服務的擴充。狀態監視服務可以監視rpc(遠端過程呼叫)和udp(使用者資料報)埠資訊，而包過濾和**服務則都無法做到。

防火牆的型別

按實現的網路層次分

internet採用tcp/ip協議，設定在不同網路層次上的電子屏障構成了不同型別的防火牆：

安全策略是防火牆的靈魂和基礎。在建立防火牆之前要在安全現狀、風險評估和商業需求的基礎上提出乙個完備的總體安全策略，這是配製防火牆的關鍵。安全策略可以按如下兩個邏輯來制訂：

·准許訪問除明確拒絕以外的全部訪問——所有未被禁止的都允許訪問。

·拒絕訪問除明確准許的全部訪問——所有未被允許的都禁止訪問。

可以看出後一邏輯限制性大，前一邏輯比較寬鬆。

包過濾防火牆

(1)包過濾防火牆實施步驟

包過濾防火牆是基於路由器來實現的。它利用資料報的頭資訊(源ip位址、封裝協議、埠號等)判定與過濾規則相匹配與否來決定捨取。建立這類防火牆需按如下步驟去做。

網路安全技術與黑客攻擊危脅

網路管理與網路安全技術

網路管理與網路安全技術

網路安全理論與技術概述帶你了解網路安全

網路安全技術與黑客攻擊危脅

網路管理與網路安全技術

網路管理與網路安全技術

網路安全理論與技術概述 帶你了解網路安全

相關推薦

網路安全理論與技術概述帶你了解網路安全