问题对人有帮助，内容完整，我也想知道答案
问题没有实际价值，缺少关键内容，没有改进余地
业务需求：某内网信息需对外提供部分信息查询，故有一台前置机，可内外网互联，内网电脑每天更新一次数据到前置机。关于数据更新现有2种方案：1、前置机安装程序连接内网服务器抽取数据(内网服务端提供用户开放相应视图)。2、内网服务器定期写入数据到前置机数据库。关于数据发布有3种方案：1、同步数据字段到数据库2、(防篡改)将数据生成图片或PDF保存到前置机硬盘3、(防篡改)将数据生成图片或PDF保存到前置机数据库
目前这2种方案的几种设计请问该如何好。
同步到新浪微博
分享到微博？
Hi，欢迎来到 SegmentFault 技术社区！⊙▽⊙ 在这里，你可以提出编程相关的疑惑，关注感兴趣的问题，对认可的回答投赞同票；大家会帮你解决编程的问题，和你探讨技术更新，为你的回答投上赞同票。
明天提醒我
关闭理由：
删除理由：
忽略理由：
推广（招聘、广告、SEO 等）方面的内容
与已有问题重复（请编辑该提问指向已有相同问题）
答非所问，不符合答题要求
宜作评论而非答案
带有人身攻击、辱骂、仇恨等违反条款的内容
无法获得确切结果的问题
非开发直接相关的问题
非技术提问的讨论型问题
其他原因（请补充说明）
我要该，理由是：
扫扫下载 App您还可以使用以下方式登录
当前位置：&>&&>& > 信息安全专业毕业论文
信息安全 信息安全专业毕业论文
中文摘要随着计算机网络的普及和发展，我们的生活和工作都越来越依赖于网络。与此相关的网络安全问题也随之凸现出来，通常利用计算机犯罪很难留下犯罪证据，这也大大刺激了计算机高技术犯罪案件的发生。利用非法手段获得的系统讯问权去闯入运程机器系统、破坏重要数据，网络黑客的攻击、网络病毒的泛滥和各种网络业务的安全威胁。 计算机犯罪率的迅速增加，使各国的计算机系统特别是网络系统面临着很大的威胁，并成为严重的社会问题之一，从而构成了对网络安全的迫切需求。本文就从“攻击”和“防范”这两个方面来对网络进行研究。阐述目前计算机网络中存在的安全问题及计算机网络安全的重要性。对现有网络安全的威胁以及表现形式做了分析与比较，对为加强安全应采取的应对措施做了较深入讨论，并描述了本研究领域的未来发展走向。让人们明白各种网络攻击的原理与防范的方法。从而减少因网络安全问题所产生的损失。以期能最大限度地减少计算机病毒所带来的危害。关键词：
计算机病毒 绪论1、课题背景随着计算机网络技术的飞速发展，网络的开放性、共享性、互连程度随之扩大。信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域，存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息，甚至是国家机密，所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。网络的安全性和可靠性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能够更加可靠地运行，不受外来入侵者干扰和破坏。所以解决好网络的安全性和可靠性问题，是保证网络正常运行的前提和保障。无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。所以， 计算机网络必须有足够强的安全防范措施。无论是在局域网还是在广域网中，网络的安全防范措施应是能全方位地针对各种不同的威胁和脆弱性，这样才能确保网络信息的保密性、完整性和可用性。所以本文就从网络的“攻击”与“防范”这两个方面来进行研究。让人们明白各种网络攻击的原理与防范的方法。从而减少因网络安全问题所产生的损失。2、计算机网络安全威胁及表现形式计算机网络具有组成形式多样性、终端分布广泛性、网络的开放性和互联性等特征，这使得网络容易受到来自黑客、恶意软件、病毒木马、钓鱼网站等的攻击。攻击者可以窃听网络上的信息，窃取用户的口令、数据库的信息；还可以篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，攻击者可以删除数据库内容，摧毁网络节点，释放计算机病毒等等。这致使数据的安全性和自身的利益受到了严重的威胁。3、常见的计算机网络安全威胁(1) 信息泄露信息被透漏给非授权的实体。它破坏了系统的保密性。能够导致信息泄露的威胁有网络监听、业务流分析、电磁、射频截获、人员的有意或无意、媒体清理、漏洞利用、授权侵弛、物理侵入、病毒、木马、后门、流氓软件、网络钓鱼等。(2) 完整性破坏通过漏洞利用、物理侵犯、授权侵犯、病毒、木马、漏洞等方式文现。(3) 拒绝服务攻击对信息或资源可以合法地访问，却被非法地拒绝或者推迟与时间密切相关的操作。(4) 网络滥用合法用户滥用网络，引入不必要的安全威胁，包括非法外联、非法内联、移动风险、设备滥用、业务滥用。4、常见的计算机网络安全威胁的表现形式（1）自然灾害计算机信息系统仅仅是一个智能的机器,易受自然灾害及环境(温度、湿度、振动、冲击、污染)的影响。目前,我们不少计算机房并没有防震、防火、防水、避雷、防电磁泄露或干扰等措施,接地系统也疏于周到考虑,抵御自然灾害和意外事故的能力较差。日常工作中因断电而设备损坏、数据丢失的现象时有发生。由于噪音和电磁辐射,导致网络信噪比下降,误码率增加,信息的安全性、完整性和可用性受到威胁。（2）网络软件的漏洞和“后门”网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所招致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,一旦“后门”洞开,其造成的后果将不堪设想。(3) 黑客的威胁和攻击这是计算机网络所面临的最大威胁。黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般是为了扰乱系统的运行,并不盗窃系统资料,通常采用拒绝服务攻击或信息炸弹;破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的数据为目的。黑客们常用的攻击手段有获取口令、电子邮件攻击、特洛伊木马攻击、钓鱼网站的欺骗技术和寻找系统漏洞等。(4) 垃圾邮件和间谍软件一些人利用电子邮件地址的“公开性”和系统的“可广播性”进行商业、宗教、政治等活动,把自己的电子邮件强行“推入”别人的电子邮箱,强迫他人接受垃圾邮件。与计算机病 毒不同,间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户信息。(5) 计算机犯罪计算机犯罪,通常是利用窃取口令等手段非法侵入计算机信息系统,传播有害信息,恶意破坏计算机系统,实施贪污、盗窃、诈骗和金融犯罪等活动。在一个开放的网络环境中,大量信息在网上流动,这为不法分子提供了攻击目标。他们利用不同的攻击手段,获得访问或修改在网中流动的敏感信息,闯入用户或政府部门的计算机系统,进行窥视、窃取、篡改数据。不受时间、地点、条件限制的网络诈骗,其“低成本和高收益”又在一定程度上刺激了犯罪的增长。使得针对计算机信息系统的犯罪活动日益增多。(8) 计算机病毒20世纪90年代,出现了曾引起世界性恐慌的“计算机病毒”,其蔓延范围广,增长速度惊人,损失难以估计。它像灰色的幽灵将自己附在其他程序上,在这些程序运行时进入到系统中进行扩散。计算机感染上病毒后,轻则使系统工作效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机主板等部件的损坏。 第一章 网络攻击的原理和常见手法网络攻击有很多种方法，其原理也有很多，下面详细介绍几种网络攻击的原理以及攻击的手法。1.1 口令入侵的原理所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。获得普通用户账号的方法很多，如利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；利用目标主机的X.500服务。有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径，从电子邮件地址中收集。有些用户电子邮件地址常会透露其在目标主机上的账号，查看主机是否有习惯性的账号。有经验的用户都知道，很多系统会使用一些习惯性的账号，造成账号的泄露。以下是三种方法：(1)是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大。监听者往往采用中途截击的方法也是获取用户账户和密码的一条有效途径。当下，很多协议根本就没有采用任何加密或身份认证技术，如在Telnet、FTP、HTTP、SMTP等传输协议中，用户账户和密码信息都是以明文格式传输的，此时若攻击者利用数据包截取工具便可很容易收集到你的账户和密码。还有一种中途截击攻击方法更为厉害，它可以在你同服务器端完成“三次握手”建立连接之后，在通信过程中扮演“第三者”的角色，假冒服务器身份欺骗你，再假冒你向服务器发出恶意请求，其造成的后果不堪设想。另外，攻击者有时还会利用软件和硬件工具时刻监视系统主机的工作，等待记录用户登录信息，从而取得用户密码；或者编制有缓冲区溢出错误的SUID程序来获得超级用户权限。
(2)是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但攻击者要有足够的耐心和时间。如：采用字典穷举法（或称暴力法）来破解用户的密码。攻击者可以通过一些工具程序，自动地从电脑字典中取出一个单词，作为用户的口令，再输入给远端的主机，申请进入系统；若，口令错误，就按序取出下一个单词，进行下一个尝试，并一直循环下去，直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成，因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。(3)是利用系统管理员的失误。在现代的Unix操作系统中，用户的基本信息存放在passwd文件中，而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow的文件中。黑客们获取口令文件后，就会使用专门的破解DES加密法的程序来解口令。同时，由于为数不少的操作系统都存在许多安全漏洞、Bug或一些其他设计缺陷，这些缺陷一旦被找出，黑客就可以长驱直入。例如，让Windows95／98系统后门洞开的BO就是利用了Windows的基本设计缺陷。1.2 放置特洛伊木马程序特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古希腊人在特洛伊人城里留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知攻击者，来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。1.3 WWW的欺骗技术在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。一般Web欺骗使用两种技术手段，即URL地址重写技术和相关信关信息掩盖技术。利用URL地址，使这些地址都向攻击者的Web服务器，即攻击者可以将自己的Web地址加在所有URL地址的前面。这样，当用户与站点进行安全链接时，就会毫不防备地进入攻击者的服器，于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏，当浏览器与某个站点边接时，可以在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息，用户由此可以发现问题，所以攻击者往往在URL地址重写的同时，利用相关信息排盖技术，即一般用JavaScript程序来重写地址样，以达到其排盖欺骗的目的。1.4 电子邮件攻击电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。相对于其它的攻击手段来说，这种攻击方法具有简单、见效快等优点。
电子邮件攻击主要表现为两种方式：(1)是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪； (2)是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。1.5 通过一个节点来攻击其他节点攻击者在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如TCP／IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。它能破坏两台机器间通信链路上的数据，其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受，诱使其它机器向他发送据或允许它修改数据。TCP／IP欺骗可以发生TCP／IP系统的所有层次上，包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流，因而对底层的攻击更具有欺骗性。1.6 网络监听网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户账号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户账号及口令。1.7 利用黑客软件攻击利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马，它们可以非法地取得用户电脑的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。这些黑客软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登陆上已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，黑客软件的服务器端就安装完成了，而且大部分黑客软件的重生能力比较强，给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法，表面看上去是一个TXT文本文件，但实际上却是一个附带黑客程序的可执行程序，另外有些程序也会伪装成图片和其他格式的文件。1.8 安全漏洞攻击许多系统都有这样那样的安全漏洞（Bugs）。其中一些是操作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况，就任意接受任意长度的数据输入，把溢出的数据放在堆栈里，系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令，系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符，他甚至可以访问根目录，从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击，破坏的根目录，从而获得超级用户的权限。又如，ICMP协议也经常被用于发动拒绝服务攻击。它的具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强，一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件，而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言，也有可能遭到大量数据包的攻击使其无法进行正常的网络操作。
1.9 端口扫描攻击所谓端口扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而得知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有：Connect()扫描。Fragmentation扫描。对入侵的攻击方法有了进一步的了解我们才可以进一步防御。 第二章 网络攻击的一般过程黑客常用的攻击步骤可以说变幻莫测，但纵观其整个攻击过程，还是有一定规律可循的，一般可以分：信息收集, 系统安全弱点的探测, 建立模拟环境，进行模拟攻击, 具体实施网络攻击几个过程。见下图2.0示： 图2.02.1 信息收集信息收集并不对目标本身造成危害，只是为进一步入侵提供有用的信息。黑客可能会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息：（1） SNMP协议：用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。（2） TraceRoute程序：能够用该程序获得到达目标主机所要经过的网络数和路由器数。（3） Whois协议：该协议的服务信息能提供所有有关的DNS域和相关的管理参数。（4） DNS服务器：该服务器提供了系统中可以访问的主机IP地址表和它们所对应的主机名。（5） Ping实用程序：可以用来确定一个指定的主机的位置。2.2 系统安全弱点的探测在收集到攻击目标的一批网络信息之后，黑客会探测目标网络上的每台主机，以寻求该系统的安全漏洞或安全弱点，其主要使用下列方式进行探测：（1）自编程序：对某些产品或者系统，已经发现了一些安全漏洞，但是用户并不一定及时使用对这些漏洞的“补丁”程序。因此入侵者可以自己编写程序，通过这些漏洞进入目标系统。（2）利用公开的工具：例如：Internet的电子安全扫描程序IIS、审计网络用的安全分析工具SATAN等这样的工具，可以对整个网络或子网进行扫描，寻找安全漏洞。（3）慢速扫描：由于一般扫描侦测器的实现是通过监视某个时间段里一台特定主机发起的连接的数目来决定是否在被扫描，这样黑客可以通过使用扫描速度慢一些的扫描软件进行扫描。（4）体系结构探测：黑客利用一些特定的数据包传送给目标主机，使其作出相应的响应。由于每种操作系统都有其独特的响应方式，将此独特的响应报与数据库中的已知响应进行匹配，经常能够确定出目标主机所运行的操作系统及其版本等信息。2.3 建立模拟环境，进行模拟攻击根据前两步所获得的信息，建立一个类似攻击对象的模拟环境，然后对模拟目标机进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具对攻击的反应等，可以了解攻击过程中留下的“痕迹”及被攻击方的状态，以此来制定一个系统的、周密的攻击策略。2.4 实施网络攻击
入侵者根据前几步所获得的信息，同时结合自身的水平及经验总结出相应的攻击方法，在进行模拟攻击的实践后，将等待时机，以备实施真正的网络攻击。网络攻击的方法和策略有很多种，下一章我们简单的介绍几种典型的网络攻击方法和防范策略。第三章 常见网络攻击的具体过程及防范的方法网络攻击行为主要分系统层面和网络层面。网络层面主要的攻击有 DOS类、欺骗、非法侦听、拦截并篡改通信数据、扫描、病毒引起的网络攻击行为，利用网络服务漏洞进行入侵等。攻击的目的一般有两种，一是破坏，二是入侵。3.1 DoS攻击原理及主要形式拒绝服务（Denial of Service，简称DoS）攻击是一种利用 TCP/IP协议的弱点和系统存在的漏洞，对网络设备进行攻击的行为。它以消耗网络带宽和系统资源为目的，对网络服务器发送大量“请求”信息，造成网络或服务器系统不堪重负，致使系统瘫痪而无法提供正常的网络服务。分布式拒绝服务（Distributed Denial of Service，简称DDoS）攻击是在拒绝服务攻击的基础上产生的一种分布式、协作式的大规模拒绝服务攻击方式。DoS攻击的方式主要是利用合理的服务请求，来占用过多的网络带宽和服务器资源，致使正常的连接请求无法得到响应。常见的 DoS攻击方法有：SYN Flood攻击、Land 攻击、Smurf攻击、UDP攻击等。下图3.1.1为DoS攻击的基本过程。 图3.1.1（1）SYN Flood攻击SYN Flood攻击是一种最常见的 DoS攻击手段，它利用TCP/IP连接的“三次握手”过程，通过虚假IP, 源地址发送大量 SYN 数据包，请求连接到被攻击方的一个或多个端口。当被攻击方按照约定向这些虚假IP,地址发送确认数据包后，等待对方连接，虚假的IP 源地址将不给予响应。这样，连接请求将一直保存在系统缓存中直到超时。如果系统资源被大量此类未完成的连接占用，系统性能自然会下降。后续正常的TCP 连接请求也会因等待队列填满而被丢弃，造成服务器拒绝服务的现象。Syn Flood原理——三次握手 ，Syn Flood利用了TCP/IP协议的固有漏洞。面向连接的TCP三次握手是Syn Flood存在的基础。 图3.1.2如图3.1.2，在第一步中，客户端向服务端提出连接请求。这时TCP SYN标志置位。客户端告诉服务端序列号区域合法，需要检查。客户端在TCP报头的序列号区中插入自己的ISN。服务端收到该TCP分段后，在第二步以自己的ISN回应(SYN标志置位)，同时确认收到客户端的第一个TCP分段(ACK标志置位)。在第三步中，客户端确认收到服务端的ISN(ACK标志置位)。到此为止建立完整的TCP连接，开始全双工模式的数据传输过程，而Syn Flood攻击者不会完成三次握手。 图3.1.3 Syn Flood恶意地不完成三次握手假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题， 但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们将其称为：服务器端受到了SYN Flood攻击（SYN洪水攻击）。（2） Land 攻击Land 攻击是利用向目标主机发送大量的源地址与目标地址相同的数据包，造成目标主机解析 Land包时占用大量系统资源，从而使网络功能完全瘫痪的攻击手段。其方法是将一个特别设计的SYN包中的源地址和目标地址都设置成某个被攻击服务器的地址，这样服务器接收到该数据包后会向自己发送一个SYN—ACK 回应包，SYN—ACK又引起一个发送给自己的ACK包，并创建一个空连接。每个这样的空连接到将暂存在服务器中，当队列足够长时，正常的连接请求将被丢弃，造成服务器拒绝服务的现象。（3） Smurf攻击Smurf攻击是一种放大效果的ICMP攻击方式，其方法是攻击者伪装成被攻击者向某个网络上的广播设备发送请求，该广播设备会将这个请求转发到该网络的其他广播设备，导致这些设备都向被攻击者发出回应，从而达到以较小代价引发大量攻击的目的。例如，攻击者冒充被攻击者的IP使用PING来对一个C类网络的广播地址发送ICMP包，该网络上的254台主机就会对被攻击者的IP发送ICMP回应包，这样攻击者的攻击行为就被放大了 254 倍。（4）UDP攻击UDP攻击是指通过发送UDP数据包来发动攻击的方式。在UDP Flood攻击中，攻击者发送大量虚假源IP的UDP数据包或畸形UDP数据包，从而使被攻击者不能提供正常的服务，甚至造成系统资源耗尽、系统死机。由于UDP协议是一种无连接的服务，只要被攻击者开放有一个UDP服务端口，即可针对该服务发动攻击。UDP攻击通常可分为UDP Flood 攻击、UDP攻击和DNS Query Flood攻击。DNS Query Flood攻击是一种针对DNS服务器的攻击行为。攻击者向DNS的UDP 53端口发送大量域名查询请求，占用大量系统资源，使服务器无法提供正常的查询请求。从以上 4种DoS攻击手段可以看出，DoS攻击的基本过程包括以下几个阶段：①攻击者向被攻击者发送众多的带有虚假地址的请求；②被攻击者发送响应信息后等待回传信息；③由于得不到回传信息，使系统待处理队列不断加长，直到资源耗尽，最终达到被攻击者出现拒绝服务的现象。3.2 DDOS攻击原理及攻击形式DoS攻击主要是采用一对一的攻击方式。当目标计算机的配置较低或网络带宽较小时，其攻击的效果较为明显。随着计算机及网络技术的发展，计算机的处理能力迅速增长，网络带宽也从百兆发展到了千兆、万兆，DoS攻击很难奏效。DDoS攻击是DoS攻击的一种演变，它改变了传统的一对一的攻击方式，利用网络调动大量傀儡机，同时向目标主机发起攻击，攻击效果极为明显。被DDOS攻击时通常会出现以下几中情况：①被攻击主机上有大量等待的TCP连接。②网络中充斥着大量的无用的数据包，源地址为假。③制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。④利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求。
⑤严重时会造成系统死机。1、DDOS攻击原理DDoS主要采用了比较特殊的3层客户机/服务器结构，即攻击端、主控端和代理端，这3者在攻击中各自扮演着不同的角色。攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击命令。主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击程序，接受和运行主控端发来的命令。代理端主机是攻击的执行者，真正向受害者主机发送攻击。攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。这种3层客户机/服务器结构，使DDos具有更强的攻击能力，并且能较好地隐藏攻击者的真实地址。 图4.2.1DDoS攻击一旦实施，攻击数据包就会像洪水般地从四面八方涌向被攻击主机，从而把合法用户的连接请求淹没掉，导致合法用户长时间无法使用网络资源。2、DDOS攻击的主要形式①通过大量伪造的IP 向某一固定目标发出高流量垃圾数据，造成网络拥塞，使被攻击主机无法与外界通信。②利用被攻击主机提供的服务或传输协议上的缺陷，反复高速地发送对某特定服务的连接请求，使被攻击主机无法及时处理正常业务。③利用被攻击主机所提供服务中数据处理上的缺陷，反复高速地发送畸形数据引发服务程序错误，大量占用系统资源，使被攻击主机处于假死状态，甚至导致系统崩溃。3.3 DoS 与DDoS攻击的检测与防范从 DoS 与DDoS攻击过程可以看出，其攻击的目的主要有：（1）对网络带宽的流量攻击；（2）对服务器某特定服务的攻击。攻击的手段主要是发送大量垃圾数据交由网络设备或服务器处理，导致资源占用超出允许上限，使网络中断或无法提供正常服务。由于DoS 、DDoS是利用网络协议的缺陷进行的攻击，所以要完全消除攻击的危害是非常困难的。从理论上说，只要是带宽或服务器资源有限的系统都会受到 DoS 或 DDoS攻击的威胁。对于暴力型DDoS攻击，即使是最先进的防火墙也无能为力。攻击者可能无法越过防火墙攻击内部网络中的服务器系统，但防火墙阻挡这些攻击数据包，必须付出高额的资源开支，这同样会造成网络性能下降，甚至网络中断。在实际应用中，我们可以通过一些方法检测到攻击现象的出现，并减缓攻击造成的危害。3.4 ARP攻击原理及其防范1、ARP攻击原理ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前，将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址， 查询目标设备的MAC地址，以保证通信的顺利进行。每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下所示：主机 IP地址 MAC地址A 192.168.16.1 aa-aa-aa-aa-aa-aaB 192.168.16.2 bb-bb-bb-bb-bb-bbC 192.168.16.3 cc-cc-cc-cc-cc-ccD 192.168.16.4 dd-dd-dd-dd-dd-dd我们以主机A（192.168.16.1）向主机B（192.168.16.2）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标MAC地址，直接把目标MAC地址写入数据帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，目标MAC地址是“FF.FF.FF.FF.FF.FF”，这表示向同一网段内的所有主机发出这样的询问：“192.168.16.2的MAC地址是什么？”网络上其他主机并不响应ARP询问，只有主机B接收到这个帧时，才向主机A做出这样的回应：“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。这样，主机A就知道了主机B的MAC地址，它就可以向主机B发送信息了。同时它还更新了自己的ARP缓存表，下次再向主机B发送信息时，直接从ARP缓存表里查找就可以了。ARP缓存表采用了老化机制，在一段时间内如果表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。从上面可以看出，在局域网中，通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞。受到ARP攻击后的一些现象：
①能PING通网内其它客户机，但PING不通路由，上不了网（连接到INTERNET)。
②能PING通网内其它客户机，同样PING不通路由，但能上网（能连接到INTERNET）。
③当中毒的机器向网关路由发出请求时，网关路由的ARP缓存还未到刷新时间，网关路由内的ARP缓存表中保存的是客户机还未中毒前的MAC地址。而这个MAC地址，与客户机当前请求的MAC（被病毒修改过）不一致，客户机的连接请求被网关拒绝。即发生与网关断流。④当中毒的源头机器向局域网发出假MAC广播时，网关路由也接收到了此消息，并将这些假MAC地址与其IP相对应，并建立新的ARP缓存。导致客户机与服务器断开连接。2、ARP攻击的主要方式①简单的欺骗攻击 ：这是比较常见的攻击,通过发送伪造的ARP包来欺骗路由和目标主机,让目标主机认为这是一个合法的主机.便完成了欺骗.这种欺骗多发生在同一网段内,因为路由不会把本网段的包向外转发,当然实现不同网段的攻击也有方法,便要通过ICMP协议来告诉路由器重新选择路由.②交换环境的嗅探 ：在最初的小型局域网中我们使用HUB来进行互连,这是一种广播的方式,每个包都会经过网内的每台主机,通过使用软件,就可以嗅谈到整个局域网的数据。现在的网络多是交换环境,网络内数据的传输被锁定的特定目标.既已确定的目标通信主机。在ARP欺骗的基础之上,可以把自己的主机伪造成一个中间转发站来监听两台主机之间的通信。③MAC Flooding ：这是一个比较危险的攻击,可以溢出交换机的ARP表,使整个网络不能正常通信④基于ARP的DOS ：这是新出现的一种攻击方式,D.O.S又称拒绝服务攻击,当大量的连接请求被发送到一台主机时,由于主机的处理能力有限,不能为正常用户提供服务,便出现拒绝服务.这个过程中如果使用ARP来隐藏自己,在被攻击主机的日志上就不会出现真实的IP.攻 击的同时,也不会影响到本机.3、ARP攻击的防范措施（1）不要把你的网络安全信任关系建立在IP基础上或MAC基础上，（rarp同样存在欺骗的问题），理想的关系应该建立在IP+MAC基础上。（2）设置静态的MAC--&IP对应表，不要让主机刷新你设定好的转换表。 在网关路由上对客户机使用静态MAC绑定。用防火墙封堵常见病毒端口：134-139，445，500，，，，，6129 以及P2P下载。（3）除非很有必要，否则停止使用ARP，将ARP作为永久条目保存在对应表中。（4）使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。（5）使用"proxy"代理IP的传输。（6）使用硬件屏蔽主机。设置好你的路由，确保IP地址能到达合法的路径。（静态配置路由ARP条目），注意，使用交换集线器和网桥无法阻止ARP欺骗。（7）管理员定期用响应的IP包中获得一个arp请求，然后检查ARP响应的真实性。（8）管理员定期轮询，检查主机上的ARP缓存。（9）使用防火墙连续监控网络。注意有使用SNMP的情况下，ARP的欺骗有可能导致陷阱包丢失。（10）在客户机上进行网关IP及其MAC静态绑定，并修改导入如下注册① 禁止ICMP重定向报文。ICMP的重定向报文控制着Windows是否会改变路由表从而响应网络设备发送给它的ICMP重定向消息，这样虽然方便了用户，但是有时也会被他人利用来进行网络攻击，这对于一个计算机网络管理员来说是一件非常麻烦的事情。通过修改注册表可禁止响应ICMP的重定向报文，从而使网络更为安全。
② 禁止响应ICMP路由通告报文。“ICMP路由公告”功能可以使他人的计算机的网络连接异常、数据被窃听、计算机被用于流量攻击等，因此建议关闭响应ICMP路由通告报文。3.5 端口防御概述1、端口攻击风险主要原因在我们平时上网或用其它软件时我们就必须打个相应对应的端口这样攻击者就会利用这些软件存在的漏洞而进行端口攻击，进而攻击我们的电脑。也许有人会对网络安全抱着无所谓的态度，认为最多不过是被攻击者盗用账号，造不成多大的危害。他们往往会认为“安全”只是针对那些大中型企事业单位和网站而言。其实，单从技术上说，黑客入侵的动机是成为目标主机的主人。只要他们获得了一台网络主机的超级用户权限后他们就有可能在该主机上修改资源配置、安置“特洛伊”程序、隐藏行踪、执行任意进程等等。我们谁又愿意别人在我们的机器上肆无忌惮地拥有这些特权呢？更何况这些攻击者的动机也不都是那么单纯。因此，我们每一个人都有可能面临着安全威胁，都有必要对网络安全有所了解，并能够处理一些安全方面的问题。那么在攻击中端口攻击又是最常见的一种攻击方式，所以我们不得不了解一下了。2、端口防御的概念端口防御就是不让攻击者通过自己电脑已打开的端口进行入侵活动，从而达到他想要的目的。3、端口防御的步骤（1）通过sniffer进行检测可疑IP（其中有的IP自己并没有访问但有链接）。（2）寻找目标主机并分析目标主机我们可以通过IP跟踪器对可疑IP进行跟踪进一步查出是那里的电脑再攻击自己，当然这里我们可能找到是攻击者利用的肉机的地址位置当然也有可能是攻击者用了代理服务器，从 而改了自己IP。如果我们真找到了攻击者地址那怕不是攻击者的真实IP那么我们至少也可以做到防范攻击，我们可以在安全设置里禁止与此IP地址建立连接。（3）这一步很关键那就是做到我们如何防御端口攻击了。（4）对入侵IP进行禁止连接，在本地安全策略里可以设置。3.6 网络防范技术日这一天被成为“黑色星期四”，一个美国年轻人Robert Morris 把一个“蠕虫”病毒程序放到了Internet上，导致了上千台网上计算机瘫痪。这个称为“Morris 蠕虫”程序的出现改变了许多人对Internet安全性的看法，引起了人们对计算机网络安全防范问题的重视。而该事件之前，人们的网络安全防范概念主要是数据加密，重点是保护存储在各种介质上和传输过程中的数据。20世纪90年代以后，Internet走向商业化，上网计算机每年以成倍的速度增加，网络“黑客”与“入侵者”的非法活动呈猖獗趋势。人们发现网络安全防范问题无法仅用数据加密技术完全加以解决，还需要解决硬件系统、操作系统、网络、数据库系统和应用系统的整体安全问题。网络安全防范问题也就进入了网络安全阶段。网络安全阶段的主要特征是被动防御，采取各种措施（如防火墙、入侵检测等）来防范各种可能的入侵。1、局域网防范技术目前的局域网基本上都采用以广播为技术基础的以太网，任何两个节点之间的通信数据包，不仅为这两个节点的网卡所接收，也同时为处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接入以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息，这就是以太网所固有的安全隐患。事实上，Internet上许多免费的黑客工具，如SATAN、ISS、NETCAT等等，都把以太网侦听作为其最基本的手段。当前，局域网安全的解决办法有以下几种：（1）网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项重要措施。其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听，网络分段可分为物理分段和逻辑分段两种方式。目前，局域网大多采用以交换机为中心、路由器为边界的网络格局，应重点挖掘中心交换机的访问控制功能和三层交换功能，综合应用物理分段与逻辑分段两种方法，来实现对局域网的安全控制。其实就是一种基于MAC地址的访问控制，也就是上述的基于数据链路层的物理分段。（2）以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后，以太网侦听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包（称为单播包）还是会被同一台集线器上的其他用户所侦听。一种很危险的情况是：用户TELNET到一台主机上，由于TELNET程序本身缺乏加密功能，用户所键入的每一个字符（包括用户名、密码等重要信息），都将被明文发送，这就给黑客提供了机会。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法侦听。当然，交换式集线器只能控制单播包而无法控制广播包（Broadcast Packet）和多播包（Multicast Packet）。所幸的是，广播包和多播包内的关键信息，要远远少于单播包。（3）VLAN的划分为了克服以太网的广播问题，除了上述方法外，还可以运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，防止大部分基于网络侦听的入侵。目前的VLAN技术主要有三种：基于交换机端口的VLAN、基于节点MAC地址的VLAN 和基于应用协议的VLAN。基于端口的VLAN虽然稍欠灵活，但却比较成熟，在实际应用中效果显著，广受欢迎。基于MAC地址的VLAN为移动计算提供了可能性，但同时也潜藏着遭受MAC欺诈攻击的隐患。而基于协议的VLAN，理论上非常理想，但实际应用却尚不成熟。
在集中式网络环境下，我们通常将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，我们可以按机构或部门的设置来划分VLAN。各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。VLAN内部的连接采用交换实现，而VLAN与VLAN之间的连接则采用路由实现。目前，大多数的交换机都支持RIP和OSPF这两种国际标准的路由协议。如果有特殊需要，必须使用其他路由协议（如CISCO公司的EIGRP或支持DECnet的IS－IS），也可以用外接的多以太网口路由器来代替交换机，实现VLAN之间的路由功能。当然，这种情况下，路由转发的效率会有所下降。无论是交换式集线器还是VLAN交换机，都是以交换技术为核心，它们在控制广播、防止黑客上相当有效，但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来了麻烦。因此，如果局域网内存在这样的入侵监控设备或协议分析设备，就必须选用特殊的带有SPAN（Switch Port Analyzer）功能的交换机。这种交换机允许系统管理员将全部或某些交换端口的数据包映射到指定的端口上，提供给接在这一端口上的入侵监控设备或协议分析设备。2、广域网防范技术由于广域网大多采用公网来进行数据传输，信息在广域网上传输时被截取和利用的可能性就比局域网要大得多。如果没有专用的软件对数据进行控制，只要使用Internet上免费下载的“包检测”工具软件，就可以很容易地对通信数据进行截取和破译。因此，必须采取手段，使得在广域网上发送和接收信息时能够保证：①除了发送方和接收方外，其他人是无法知悉的（隐私性）；②传输过程中不被篡改（真实性）；③发送方能确知接收方不是假冒的（非伪装性）；④发送方不能否认自己的发送行为（不可抵赖性）。为了达到以上安全目的，广域网通常采用以下安全解决办法：（1）加密技术加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全，而是通过对网络数据的加密来保障网络的安全可靠性。数据加密技术可以分为三类，即对称型加密、不对称型加密和不可逆加密。其中不可逆加密算法不存在密钥保管和分发问题，适用于分布式网络系统，但是其加密计算量相当可观，所以通常用于数据量有限的情形下使用。计算机系统中的口令就是利用不可逆加密算法加密的。近年来，随着计算机系统性能的不断提高，不可逆加密算法的应用逐渐增加，常用的如RSA公司的MD5和美国国家标准局的SHS。现在广泛使用的Cisco路由器，有两种口令加密方式：Enable Secret和Enable Password。其中，Enable Secret就采用了MD5不可逆加密算法，因而目前尚未发现破解方法（除非使用字典攻击法）。而Enable Password则采用了非常脆弱的加密算法（即简单地将口令与一个常数进行XOR与或运算），目前至少已有两种破解软件。因此，最好不用Enable Password。（2 ）VPN技术VPN（虚拟专网）技术的核心是采用隧道技术，将企业专网的数据加密封装后，透过虚拟的公网隧道进行传输，从而防止敏感数据的被窃。VPN可以在Internet、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN，就如同通过自己的专用网建立内部网一样，享有较高的安全性、优先性、可靠性和可管理性，而其建立周期、投入资金和维护费用却大 大降低，同时还为移动计算提供了可能。因此，VPN技术一经推出，便红遍全球。但应该指出的是，目前VPN技术的许多核心协议，如L2TP、IPSec等，都还未形成通用标准。这就使得不同的VPN服务提供商之间、VPN设备之间的互操作性成为问题。因此，企业在VPN建网选型时，一定要慎重选择VPN服务提供商和VPN设备。（3）身份认证技术对于从外部拨号访问总部内部网的用户，由于使用公共电话网进行数据传输所带来的风险，必须更加严格控制其安全性。一种常见的做法是采用身份认证技术，对拨号用户的身份进行验证并记录完备的登录日志。较常用的身份认证技术，有Cisco公司提出的TACACS＋以及业界标准的RADIUS。3、外部网防范技术外部网建设，通常指与Internet的互联及与外部企业用户的互联两种。无论哪一种外部网，都普遍采用基于TCP／IP的Internet协议族。Internet协议族自身的开放性极大地方便了各种计算机的组网和互联，并直接推动了网络技术的迅猛发展。但是，由于在早期网络协议设计上对安全问题的忽视，以及Internet在使用和管理上的无政府状态，逐渐使Internet自身的安全受到威胁，黑客事件频频发生。对外部网安全的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。外部网安全解决办法主要依靠防火墙技术、入侵检测技术和网络防病毒技术。在实际的外部网安全设计中，往往采取上述三种技术（即防火墙、入侵检测、网络防病毒）相结合的方法。如NAI公司最新版本的三宿主自适应动态防火墙Gauntlet Active Firewall。该防火墙产品集成了Gauntlet Firewall等套件，将防火墙技术、入侵检测技术与网络防病毒技术融为一体，紧密结合，相得益彰，性价比比较高。4、防火墙在网络安全领域中，防火墙是指在内部网络和外部网络的接口处专门建立的系统，用于对进出内部网络的数据进行检查和控制，根据事先制定的安全策略决定为内部用户和外部用户提供或拒绝哪些服务，隔离来自外部网络的安全威胁，保护内部网络和内部资源的安全。 控制外部网络用户对内部资源的访问，是多数防火墙的功能，当然完整的安全策略不仅应该包括对外部访问的控制，还应包括对内部网络用户行为的控制，例如对内部用户实施严格的访问控制，仅授予应有的权限，使其不能对未经授权的其他内部资源进行访问。防火墙的主要功能有：①访问控制。访问控制是防火墙最典型的功能，可以监测数据包的内容并控制连接的类型、地址、协议和端口号，并且可以根据防火墙的规则允许或拒绝该网络上的数据包。②审计功能。利用审计和日志记录，可以提前发现不安全的迹象，这对于维护网络安全十分重要；它可以记录入侵尝试者的地址，对于入侵防御和加固防火墙是十分有用的。③地址翻译。防火墙的地址翻译功能使得外部网络用户不能了解内部网络的结构，这大大降低了非法入侵的可能性。另外，网络地址翻译为内部网络中具有无效ＩＰ的主机提供了访问互联网的功能。5、入侵检测系统入侵检测是系统安全的重要组成部分，它扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，了解网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供针对内部攻击、外部攻击和误操作的实时保护。计算机安全的三个中心目标是机密性、完整性和有效性。为了达到这三个目标，计算机操作系统采用一个安全内核来实现对系统资源的访问控制。但是，由于现代操作系统和应 用软件变得越来越复杂，设计者很难准确预料程序运行时的系统状态，更无法精确预测在不同系统状态下会发生什么结果。所以，系统存在着大量的安全漏洞，这给黑客提供了机会。为了增强系统安全性，传统的安全模型采用了三个补救方法，即识别与验证、访问控制和扫描器。这些不同类型的安全产品在各自的领域都能发挥很好的作用，但同时他们也有缺点，例如：一些访问控制手段(如防火墙)很难防范某些类型的ＷＷＷ攻击，而扫描器不能实现实时监测和响应。为了解决这些问题，通过研究机构的不断探讨，入侵检测系统逐步发展和成熟。入侵检测系统的一个独有特征就是具有一个基于规则的参考引擎，系统通过这个引擎来匹配所有已知的攻击方法。入侵检测系统支持的攻击模式是根据国内外许多安全专家的宝贵经验得到的，为了保证检测的有效性，需要在第一时间更新模式数据库。6、身份鉴别机制传统的身份鉴别通常是靠用户的登录密码对用户身份进行认证。但是，用户密码在登录时是以明文方式在网络上传输的，很容易被攻击者截获，进而可以假冒用户身份。这样，身份认证机制就会被攻破。在可靠的互联网商务系统中，用户的身份认证依靠基于“ＲＳＡ公钥密码体系”的加密机制、数字签名机制和用户登录密码的多重保证。服务方对用户的数字签名信息和登录密码进行验证，全部通过后才确认该用户的身份。用户的惟一身份就是数字证书。用户的登录密码以密文方式进行传输，确保了身份认证的安全可靠。数字证书是各实体在网上进行信息交流及从事商务活动的身份证明，具有惟一性。证书基于公钥密码体系，它将用户的公开密钥与用户本身的属性联系在一起。这就意味着应该有一个网上各方都信任的机构专门负责对各个实体的身份进行审核，并签发和管理数据证书，该机构通常称为认证机构(ＣＡ)。ＣＡ在可靠电子商务系统(如网上银行系统)中，占有举足轻重的地位。每个网上银行系统的用户和银行的安全代理服务器都需要一张由ＣＡ签发的数字证书，作为在网上银行系统中处理业务、进行交易的身份凭证。7、访问控制机制在电子商务系统中，Ｗｅｂ服务器中的所有资源都经过分级管理。在安全系统中建立安全等级标签，只允许符合安全等级的用户进行访问。同时，对用户进行分级授权，每个用户只能在授权范围内进行操作，从而实现了对资源的访问控制。8、数据加密机制系统互联采用ＳＳＬ加密传输的方式，用户登录并通过身份验证以后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且，每次会话所使用的加密密钥都是随机产生的，这样攻击者就不可能从数据流中得到任何有用的信息。9、数据完整性机制数据传输的完整性采用数字签名进行保护。一旦数据信息遭到任何形式的篡改，篡改后的数据必然与数字签名不符，从而可以立即检验出原始的数据信息被他人篡改过，这样就确保了数据的完整性。10、不可否认机制用户每次操作的信息均由用户的私人密钥进行数字签名。因为私人密钥只由用户拥有，所以数字签名就如同用户实际的签名和印鉴一样，可以作为用户操作的证据。交易发送方不能对自己的数字签名进行否认，这保证了服务商的利益不受损害。这样，就实现了对交易的不可否认性。11、审计机制在可靠系统中，对用户每次登录、退出及用户的每次交易都会产生一个完整的审计信息，并记录到审计数据库中备案，方便了日后的查询、核对等各项工作。
第四章 攻击方式的四种趋势从1988年开始，位于美国卡内基梅隆大学的CERT CC（计算机紧急响应小组协调中心）就开始调查入侵者的活动。CERT CC给出一些关于最新入侵者攻击方式的趋势。1、攻击过程的自动化与攻击工具的快速更新攻击工具的自动化程度继续不断增强。自动化攻击涉及到的四个阶段都发生了变化。（1）扫描潜在的受害者。从1997年起开始出现大量的扫描活动。目前，新的扫描工具利用更先进的扫描技术，变得更加有威力，并且提高了速度。（2）入侵具有漏洞的系统。以前，对具有漏洞的系统的攻击是发生在大范围的扫描之后的。现在，攻击工具已经将对漏洞的入侵设计成为扫描活动的一部分，这样大大加快了入侵的速度。（3）攻击扩散。2000年之前，攻击工具需要一个人来发起其余的攻击过程。现在，攻击工具能够自动发起新的攻击过程。例如红色代码和Nimda病毒这些工具就在18个小时之内传遍了全球。（4）攻击工具的协同管理。自从1999年起，随着分布式攻击工具的产生，攻击者能够对大量分布在Internet之上的攻击工具发起攻击。现在，攻击者能够更加有效地发起一个分布式拒绝服务攻击。协同功能利用了大量大众化的协议如IRC（Internet Relay Chat）、IR（Instant Message）等的功能。2、攻击工具的不断复杂化攻击工具的编写者采用了比以前更加先进的技术。攻击工具的特征码越来越难以通过分析来发现，并且越来越难以通过基于特征码的检测系统发现，例如防病毒软件和入侵检测系统。当今攻击工具的三个重要特点是反检测功能，动态行为特点以及攻击工具的模块化。（1）反检测。攻击者采用了能够隐藏攻击工具的技术。这使得安全专家想要通过各种分析方法来判断新的攻击的过程变得更加困难和耗时。（2）动态行为。以前的攻击工具按照预定的单一步骤发起进攻。现在的自动攻击工具能够按照不同的方法更改它们的特征，如随机选择、预定的决策路径或者通过入侵者直接的控制。（3）攻击工具的模块化。和以前攻击工具仅仅实现一种攻击相比，新的攻击工具能够通过升级或者对部分模块的替换完成快速更改。而且，攻击工具能够在越来越多的平台上运行。例如，许多攻击工具采用了标准的协议如IRC和HTTP进行数据和命令的传输，这样，想要从正常的网络流量中分析出攻击特征就更加困难了。3、 漏洞发现得更快每一年报告给CERT/CC的漏洞数量都成倍增长。CERT/CC公布的漏洞数据2000年为1090个，2001年为2437个，2002年已经增加至4129个，就是说每天都有十几个新的漏洞被发现。可以想象，对于管理员来说想要跟上补丁的步伐是很困难的。而且，入侵者往往能够在软件厂商修补这些漏洞之前首先发现这些漏洞。随着发现漏洞的工具的自动化趋势，留给用户打补丁的时间越来越短。尤其是缓冲区溢出类型的漏洞，其危害性非常大而又无处不在，是计算机安全的最大的威胁。在CERT和其它国际性网络安全机构的调查中，这种类型的漏洞是对服务器造成后果最严重的。
4、渗透防火墙我们常常依赖防火墙提供一个安全的主要边界保护。但是情况是:已经存在一些绕过典型防火墙配置的技术，如IPP（the Internet Printing Protocol）和WebDAV（Web-based Distributed Authoring and Versioning），一些标榜是“防火墙适用”的协议实际上设计为能够绕过典型防火墙的配置。特定特征的“移动代码”（如ActiveX控件，Java和JavaScript）使得保护存在漏洞的系统以及发现恶意的软件更加困难。另外，随着Internet网络上计算机的不断增长，所有计算机之间存在很强的依存性。一旦某些计算机遭到了入侵，它就有可能成为入侵者的栖息地和跳板，作为进一步攻击的工具。对于网络基础架构如DNS系统、路由器的攻击也越来越成为严重的安全威胁。 结 论计算机网络信息安全是一项复杂的系统工程，防御网络入侵与攻击只是保障网络信息安全的一部分。随着计算机网络的快速应用和普及，网络信息安全的不确定因素也越来越多，我们必须综合考虑各种安全因素，认真分析各种可能的入侵和攻击形式，采取有效的技术措施，严格从攻与防两个方面层层考虑网络安全，保证数据在传输过程中的安全和存储过程中的安全。制定合理的网络安全策略和配套的管理办法，防止各种可能的入侵和攻击行为，避免因入侵和攻击造成的各种损失。 。 结束语总的来说,网络安全不仅仅是技术问题,同时也是一个安全管理问题。网络攻击的日益猖 獗已经对网络安全造成了很大的威胁。我们必须综合考虑安全因素,制定合理的目标、技术方案和相关的配套法规等。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。计算机病毒形式以及传播途径日趋多样化，计算机安全问题日益复杂话，我们必须正确认识、感知、防范计算机病毒的攻击，以保护计算机数据安全，使得计算机网络发挥其积极的作用，只要对其有充分的认识，就能筑起心理上和技术防范措施上的防线。对于任何黑客的恶意攻击，只要了解了他们的攻击手段，具有丰富的网络知识，就可以抵御黑客们的疯狂攻击。减少因网络安全引起的不必要的损失。因此，加强计算机技术和技能的学习，掌握各种基础软件的使用技巧，已经刻不容缓。 致
谢经过三年的大学生活和近期忙碌的工作，本次毕业论文已经接近尾声，大学生活也即将结束。作为一个网络系专科毕业生的论文，由于经验的匮乏，难免有许多考虑不周全的地方，如果没有周围老师同学的督促指导，以及一起工作的同事们的支持，想要完成这篇论文是难以想象的。在这里首先要感谢我的同事们。平日里工作繁多，但在我做毕业论文的每个阶段，从外出实习到查阅资料，提纲以及开题报告的确定和修改，初稿的中期检查及修改，后期的详细定稿等，整个过程中他们都给予了我耐心悉心的指导。我的论文初稿结构较为复杂烦琐，但是他们仍然细心地纠正文章中的错误。再次还要感谢大学三年来所有的老师，为我打下了坚实的信息安全专业知识的基础；同时还要感谢我的父母，感谢他们对我的培养和教育，最后要感谢所有的同学们，正是因为有了你们的支持和鼓励，此次毕业设计才会顺利完成。最后感谢我的母校三年来对我的大力栽培！
参考文献[1]《黑客防线》: http：//[2]程胜利.《计算机病毒及其防治技术》.清华大学出版社.2005年9月.[3]张小磊.《计算机病毒诊断与防治》.北京希望电子出版社.2003年8月.[4]彭国军等编著.《计算机病毒分析与对抗》.武汉大学出版社.2004年4月.
欢迎转载：
推荐：