局域網(wǎng)上網(wǎng)的安全防范與技巧

1、局域網(wǎng)上網(wǎng)的安全防范與技巧在計(jì)算機(jī)網(wǎng)絡(luò)日益成為生活中不可或缺的工具時(shí)，計(jì)算機(jī)網(wǎng)絡(luò)中的入侵活動(dòng)已經(jīng)引起了公眾的高度重視。非法入侵一直危害著網(wǎng)絡(luò)安全，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來(lái)自黑客攻擊、計(jì)算機(jī)病毒和拒絕服務(wù)攻擊三個(gè)方面。網(wǎng)絡(luò)的安全威脅方向也分為外部和內(nèi)部。黑客攻擊早在主機(jī)終端時(shí)代就已經(jīng)出現(xiàn)，隨著因特網(wǎng)的發(fā)展，現(xiàn)代黑客則從以系統(tǒng)為主的攻擊轉(zhuǎn)變到以網(wǎng)絡(luò)為主的攻擊。本文提供一些網(wǎng)絡(luò)安全防范的措施和技巧，希望能對(duì)網(wǎng)絡(luò)安全防范起一定的參考作用。 1.黑客攻擊類(lèi)型 任何系統(tǒng)的安全都是相對(duì)的，沒(méi)有一個(gè)網(wǎng)絡(luò)操作系統(tǒng)是絕對(duì)安全的。局域網(wǎng)上網(wǎng)即使有防火墻的保護(hù)，由于防火墻錯(cuò)誤配置等其他原因，仍很難保證其安全性。

2、 幾種網(wǎng)絡(luò)攻擊類(lèi)型： data diddling未經(jīng)授權(quán)刪除檔案，更改其資料（15.5%） scanner利用工具尋找暗門(mén)漏洞(15.8%) sniffer監(jiān)聽(tīng)加密之封包(11.2%) denial of service使其系統(tǒng)癱瘓（16.2%） ip spoofing冒充系統(tǒng)內(nèi)網(wǎng)絡(luò)的ip地址(12.4%) other其他(13.9%)2.防范黑客的措施選用安全的口令：據(jù)統(tǒng)計(jì)，大約80%的安全隱患是由于口令設(shè)置不當(dāng)引起的。 用戶(hù)口令應(yīng)包含大小寫(xiě)，最好能加上字符串和數(shù)字，一起使用以期達(dá)到最好的保密效果。 用戶(hù)口令不要太規(guī)則，不要用用戶(hù)姓名、生日和電話(huà)號(hào)碼作為口令。不要用常用單詞作為口令。 根據(jù)黑

3、客軟件的工作原理，參照口令破譯的難易程度,以破解需要的時(shí)間為排序指標(biāo)，口令長(zhǎng)度設(shè)置時(shí)應(yīng)遵循7位或14位的整數(shù)倍原則。 安裝某些系統(tǒng)服務(wù)功能模塊時(shí)有內(nèi)建帳號(hào)，應(yīng)及時(shí)修改操作系統(tǒng)內(nèi)部帳號(hào)口令的缺省設(shè)置。應(yīng)及時(shí)取消調(diào)離或停止工作的雇員的帳號(hào)以及無(wú)用的帳號(hào)。在通過(guò)網(wǎng)絡(luò)驗(yàn)證口令過(guò)程中，不要以明文方式傳輸，以免被監(jiān)聽(tīng)截取?？诹畈灰悦魑姆绞酱娣旁谙到y(tǒng)中，確保口令已加密。口令應(yīng)定期修改，應(yīng)避免重復(fù)使用舊口令，應(yīng)采用多套口令的命名規(guī)則。 建立帳號(hào)鎖定機(jī)制，一旦同一帳號(hào)密碼校驗(yàn)錯(cuò)誤若干次即斷開(kāi)連接并鎖定該帳號(hào)，至一段時(shí)間才解鎖再次開(kāi)放使用。 實(shí)施存取控制：主要是針對(duì)網(wǎng)絡(luò)操作系統(tǒng)的文件系統(tǒng)的存取控制。 存取控制是

4、內(nèi)部網(wǎng)絡(luò)安全理論的重要方面，它包括人員權(quán)限、數(shù)據(jù)標(biāo)識(shí)、權(quán)限控制、控制類(lèi)型、風(fēng)險(xiǎn)分析等內(nèi)容。確保數(shù)據(jù)的安全：完整性是在數(shù)據(jù)處理過(guò)程中，在原來(lái)數(shù)據(jù)和現(xiàn)行數(shù)據(jù)之間保持完全一致的證明手段，一般常用數(shù)字簽名和數(shù)據(jù)加密算法來(lái)保證。請(qǐng)參照幾個(gè)加密站點(diǎn)： 規(guī)定公共密鑰加密: rsa加密專(zhuān)利公司:.faq使用安全的服務(wù)器系統(tǒng)：雖然沒(méi)有一種網(wǎng)絡(luò)操作系統(tǒng)是絕對(duì)安全的，但unix經(jīng)過(guò)幾十年來(lái)的發(fā)展已相當(dāng)成熟，以其穩(wěn)定性和安全性成為關(guān)鍵性應(yīng)用的首選。windows nt的安全問(wèn)題：例子：rdisk漏洞：rdisk是windows nt提供的緊急修復(fù)磁盤(pán)工具，雖然是很好的工具，但存在巨大的安全漏洞。用戶(hù)使用rdisk將所

5、有安全信息（包括口令和注冊(cè)信息）放入c:winntrepair，攻擊者很容易獲得口令。 unix的安全問(wèn)題： 例子：linux中的imapd coredump可以泄露隱蔽口令。 各大unix廠商的補(bǔ)丁站點(diǎn)： aix（ibm） freebsd/openbsd /pub/openbsd/patches hp-unix http:/us- sco ftp:/ sunos/solaris irix 謹(jǐn)慎開(kāi)放缺乏安全保障的應(yīng)用和端口：很多黑客攻擊程序是針對(duì)特定服務(wù)和特定服務(wù)端口的，所以關(guān)閉不必要的服務(wù)和服務(wù)端口，能大大降低遭受黑客攻擊的風(fēng)險(xiǎn)。nt server：將

6、缺省的nwlink ipx/spx傳輸協(xié)議去掉；在tcp/ip協(xié)議屬性里，啟用安全機(jī)制。如果沒(méi)有特別需求（如icq、real數(shù)據(jù)流傳輸?shù)龋┛蓪⑺衭dp端口關(guān)閉。具體方法：依次點(diǎn)擊“控制面板協(xié)議tcp/ip協(xié)議屬性高級(jí)啟用安全機(jī)制配置”即可。unix：最好關(guān)閉unix的rservices，如rlogin、rfingerd等。用戶(hù)不提供rservices，最好將/etc/hosts.equiv和rhosts文件刪除，修改/etc/services和/etc/inetd.conf文件，將不必要的服務(wù)去除。定期分析系統(tǒng)日志:日志文件不僅在調(diào)查網(wǎng)絡(luò)入侵時(shí)十分重要，它們也是用少量的代價(jià)來(lái)阻止攻擊的辦法之

7、一。這里提供給大家一些比較有用的日志文件分析工具： nestwatch能從所有主web服務(wù)器和許多防火墻中導(dǎo)入日志文件。它運(yùn)行在windows nt 機(jī)器上，能夠以html格式輸出報(bào)告，并將它們分發(fā)到選定的服務(wù)器上。（url：http:/www. logsurfer是一個(gè)綜合日志分析工具。根據(jù)它發(fā)現(xiàn)的內(nèi)容，它能執(zhí)行各種動(dòng)作，包括告警、執(zhí)行外部程序，甚至將日志文件數(shù)據(jù)分塊并將它們送給外部命令或進(jìn)程處理。（ftp:/ftp.cert.dfn.de/pub/tols/audit/logsurfer-1.41.tar.gz）要求有c編譯器。不斷完善服務(wù)器系統(tǒng)的安全性能:無(wú)論是unix還是nt的操作系統(tǒng)

8、都存在安全漏洞，他們的站點(diǎn)會(huì)不定期發(fā)布系統(tǒng)補(bǔ)丁，系統(tǒng)管理員應(yīng)定期下載補(bǔ)丁，及時(shí)堵住系統(tǒng)漏洞。（微軟公司：排除人為因素：再完善的安全體制，沒(méi)有足夠的安全意識(shí)和技術(shù)人員經(jīng)常維護(hù)，安全性將大打折扣。要制定一整套完整的網(wǎng)絡(luò)安全管理操作規(guī)范。 進(jìn)行動(dòng)態(tài)站點(diǎn)監(jiān)控：利用網(wǎng)絡(luò)管理軟件對(duì)整個(gè)局域網(wǎng)進(jìn)行監(jiān)控，發(fā)現(xiàn)問(wèn)題及時(shí)防范。 掃描、攻擊自己的站點(diǎn)：網(wǎng)絡(luò)上有許多掃描軟件（例如satan），適用于各種平臺(tái)，它們是把雙刃劍。在網(wǎng)絡(luò)管理員手里可以成為簡(jiǎn)化安審計(jì)工作的利器，在有心人手里卻可成為網(wǎng)絡(luò)攻擊工具。 請(qǐng)第三方評(píng)估機(jī)構(gòu)或?qū)＜襾?lái)完成網(wǎng)絡(luò)安全的評(píng)估:一般能較系統(tǒng)地檢查局域網(wǎng)的各項(xiàng)安全指標(biāo)，但花費(fèi)較貴。謹(jǐn)慎利用共享軟件：

9、不應(yīng)隨意下載使用共享軟件，有些程序員為了調(diào)測(cè)軟件的方便都設(shè)有后門(mén)，這往往成為最好的攻擊后門(mén)。做好數(shù)據(jù)的備份工作：這是非常關(guān)鍵的一個(gè)步驟，有了完整的數(shù)據(jù)備份，我們?cè)谠獾焦艋蛳到y(tǒng)出現(xiàn)故障時(shí)才可能迅速恢復(fù)我們的系統(tǒng)。使用防火墻 防火墻是防止從網(wǎng)絡(luò)外部訪問(wèn)本地網(wǎng)絡(luò)的常用設(shè)備，它們?yōu)榉乐雇獠抗籼峁┝酥匾陌踩Ｕ?。但防火墻只是所有安全體系結(jié)構(gòu)中的一個(gè)部件，故不能完全依賴(lài)防火墻。 防火墻分為網(wǎng)絡(luò)級(jí)防火墻和應(yīng)用網(wǎng)關(guān)防火墻。 網(wǎng)絡(luò)級(jí)防火墻一般是具有很強(qiáng)報(bào)文過(guò)濾能力的路由器，可以改變參數(shù)來(lái)允許或拒絕外部環(huán)境對(duì)站點(diǎn)的訪問(wèn)，但對(duì)欺騙性攻擊的防護(hù)很脆弱。 應(yīng)用代理防火墻（應(yīng)用網(wǎng)關(guān)）的優(yōu)勢(shì)是它們能阻止ip報(bào)文無(wú)限制

10、地進(jìn)入網(wǎng)絡(luò)，缺點(diǎn)是它們的開(kāi)銷(xiāo)比較大且影響內(nèi)部網(wǎng)絡(luò)的工作。代理必須為一個(gè)網(wǎng)絡(luò)應(yīng)用進(jìn)行配置，包括http、ftp、telnet、電子郵件、新聞組等。（相關(guān)信息：.au/pub/docs/security/800-10/node52.html） 防火墻的安全問(wèn)題： cisco pix des漏洞：cisco private link使用一個(gè)48位des（date encryption standard）密碼,被認(rèn)為較容易被解密。（補(bǔ)丁： firewall-1保留關(guān)鍵字漏洞：firewall-1有許多保留關(guān)鍵字，當(dāng)用它們描述網(wǎng)絡(luò)對(duì)象時(shí)會(huì)打開(kāi)一個(gè)安全漏洞，使得已命名的對(duì)象成為“未定義”，可被任何地址訪問(wèn)

11、。網(wǎng)絡(luò)安全知識(shí)拒絕服務(wù)攻擊入侵攻擊 可以說(shuō)當(dāng)前是一個(gè)進(jìn)行攻擊的黃金時(shí)期，很多的系統(tǒng)都很脆弱并且很容易受到攻擊，所以這是一個(gè)成為黑客的大好時(shí)代，可讓他們利用的方法和工具是如此之多！在此我們僅對(duì)經(jīng)常被使用的入侵攻擊手段做一討論。 【拒絕服務(wù)攻擊 】 拒絕服務(wù)攻擊（denial of service, dos）是一種最悠久也是最常見(jiàn)的攻擊形式。嚴(yán)格來(lái)說(shuō)，拒絕服務(wù)攻擊并不是某一種具體的攻擊方式，而是攻擊所表現(xiàn)出來(lái)的結(jié)果，最終使得目標(biāo)系統(tǒng)因遭受某種程度的破壞而不能繼續(xù)提供正常的服務(wù)，甚至導(dǎo)致物理上的癱瘓或崩潰。具體的操作方法可以是多種多樣的，可以是單一的手段，也可以是多種方式的組合利用，其結(jié)果都是一樣的

12、，即合法的用戶(hù)無(wú)法訪問(wèn)所需信息。 通常拒絕服務(wù)攻擊可分為兩種類(lèi)型。 第一種是使一個(gè)系統(tǒng)或網(wǎng)絡(luò)癱瘓。如果攻擊者發(fā)送一些非法的數(shù)據(jù)或數(shù)據(jù)包，就可以使得系統(tǒng)死機(jī)或重新啟動(dòng)。本質(zhì)上是攻擊者進(jìn)行了一次拒絕服務(wù)攻擊，因?yàn)闆](méi)有人能夠使用資源。以攻擊者的角度來(lái)看，攻擊的刺激之處在于可以只發(fā)送少量的數(shù)據(jù)包就使一個(gè)系統(tǒng)無(wú)法訪問(wèn)。在大多數(shù)情況下，系統(tǒng)重新上線需要管理員的干預(yù)，重新啟動(dòng)或關(guān)閉系統(tǒng)。所以這種攻擊是最具破壞力的，因?yàn)樽鲆稽c(diǎn)點(diǎn)就可以破壞，而修復(fù)卻需要人的干預(yù)。 第二種攻擊是向系統(tǒng)或網(wǎng)絡(luò)發(fā)送大量信息，使系統(tǒng)或網(wǎng)絡(luò)不能響應(yīng)。例如，如果一個(gè)系統(tǒng)無(wú)法在一分鐘之內(nèi)處理100個(gè)數(shù)據(jù)包，攻擊者卻每分鐘向他發(fā)送1000個(gè)數(shù)

13、據(jù)包，這時(shí)，當(dāng)合法用戶(hù)要連接系統(tǒng)時(shí)，用戶(hù)將得不到訪問(wèn)權(quán)，因?yàn)橄到y(tǒng)資源已經(jīng)不足。進(jìn)行這種攻擊時(shí)，攻擊者必須連續(xù)地向系統(tǒng)發(fā)送數(shù)據(jù)包。當(dāng)攻擊者不向系統(tǒng)發(fā)送數(shù)據(jù)包時(shí)，攻擊停止，系統(tǒng)也就恢復(fù)正常了。此攻擊方法攻擊者要耗費(fèi)很多精力，因?yàn)樗仨毑粩嗟匕l(fā)送數(shù)據(jù)。有時(shí)，這種攻擊會(huì)使系統(tǒng)癱瘓，然而大多多數(shù)情況下，恢復(fù)系統(tǒng)只需要少量人為干預(yù)。 這兩種攻擊既可以在本地機(jī)上進(jìn)行也可以通過(guò)網(wǎng)絡(luò)進(jìn)行。 拒絕服務(wù)攻擊類(lèi)型1 ping of death 根據(jù)tcp/ip的規(guī)范，一個(gè)包的長(zhǎng)度最大為65536字節(jié)。盡管一個(gè)包的長(zhǎng)度不能超過(guò)65536字節(jié)，但是一個(gè)包分成的多個(gè)片段的疊加卻能做到。當(dāng)一個(gè)主機(jī)收到了長(zhǎng)度大于65536字節(jié)

14、的包時(shí)，就是受到了ping of death攻擊，該攻擊會(huì)造成主機(jī)的宕機(jī)。 2 teardrop ip數(shù)據(jù)包在網(wǎng)絡(luò)傳遞時(shí)，數(shù)據(jù)包可以分成更小的片段。攻擊者可以通過(guò)發(fā)送兩段(或者更多)數(shù)據(jù)包來(lái)實(shí)現(xiàn)teardrop攻擊。第一個(gè)包的偏移量為0，長(zhǎng)度為n，第二個(gè)包的偏移量小于n。為了合并這些數(shù)據(jù)段，tcp/ip堆棧會(huì)分配超乎尋常的巨大資源，從而造成系統(tǒng)資源的缺乏甚至機(jī)器的重新啟動(dòng)。 3 land 攻擊者將一個(gè)包的源地址和目的地址都設(shè)置為目標(biāo)主機(jī)的地址，然后將該包通過(guò)ip欺騙的方式發(fā)送給被攻擊主機(jī)，這種包可以造成被攻擊主機(jī)因試圖與自己建立連接而陷入死循環(huán)，從而很大程度地降低了系統(tǒng)性能。 4 smurf

15、該攻擊向一個(gè)子網(wǎng)的廣播地址發(fā)一個(gè)帶有特定請(qǐng)求(如icmp回應(yīng)請(qǐng)求)的包，并且將源地址偽裝成想要攻擊的主機(jī)地址。子網(wǎng)上所有主機(jī)都回應(yīng)廣播包請(qǐng)求而向被攻擊主機(jī)發(fā)包，使該主機(jī)受到攻擊。 5 syn flood 該攻擊以多個(gè)隨機(jī)的源主機(jī)地址向目的主機(jī)發(fā)送syn包，而在收到目的主機(jī)的syn ack后并不回應(yīng)，這樣，目的主機(jī)就為這些源主機(jī)建立了大量的連接隊(duì)列，而且由于沒(méi)有收到ack一直維護(hù)著這些隊(duì)列，造成了資源的大量消耗而不能向正常請(qǐng)求提供服務(wù)。 6 cpu hog 一種通過(guò)耗盡系統(tǒng)資源使運(yùn)行nt的計(jì)算機(jī)癱瘓的拒絕服務(wù)攻擊，利用windows nt排定當(dāng)前運(yùn)行程序的方式所進(jìn)行的攻擊。 7 win nuke

16、 是以拒絕目的主機(jī)服務(wù)為目標(biāo)的網(wǎng)絡(luò)層次的攻擊。攻擊者向受害主機(jī)的端口139，即netbios發(fā)送大量的數(shù)據(jù)。因?yàn)檫@些數(shù)據(jù)并不是目的主機(jī)所需要的，所以會(huì)導(dǎo)致目的主機(jī)的死機(jī)。 8 rpc locator 攻擊者通過(guò)telnet連接到受害者機(jī)器的端口135上，發(fā)送數(shù)據(jù)，導(dǎo)致cpu資源完全耗盡。依照程序設(shè)置和是否有其他程序運(yùn)行，這種攻擊可以使受害計(jì)算機(jī)運(yùn)行緩慢或者停止響應(yīng)。無(wú)論哪種情況，要使計(jì)算機(jī)恢復(fù)正常運(yùn)行速度必須重新啟動(dòng)。 分布式拒絕服務(wù)攻擊 分布式拒絕服務(wù)攻擊（ddos）是攻擊者經(jīng)常采用而且難以防范的攻擊手段。ddos攻擊是在傳統(tǒng)的dos攻擊基礎(chǔ)之上產(chǎn)生的一類(lèi)攻擊方式。單一的dos攻擊一般是采用

17、一對(duì)一方式的，當(dāng)攻擊目標(biāo)cpu速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高它的效果是明顯的。隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長(zhǎng)，內(nèi)存大大增加，同時(shí)也出現(xiàn)了千兆級(jí)別的網(wǎng)絡(luò)，這使得dos攻擊的困難程度加大了 目標(biāo)對(duì)惡意攻擊包的消化能力加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送3,000個(gè)攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個(gè)攻擊包，這樣一來(lái)攻擊就不會(huì)產(chǎn)生什么效果。所以分布式的拒絕服務(wù)攻擊手段（ddos）就應(yīng)運(yùn)而生了。如果用一臺(tái)攻擊機(jī)來(lái)攻擊不再能起作用的話(huà)，攻擊者就使用10臺(tái)、100臺(tái)攻擊機(jī)同時(shí)攻擊。ddos就是利用更多的傀儡機(jī)來(lái)發(fā)起進(jìn)攻，以比從前更大的規(guī)模來(lái)

18、進(jìn)攻受害者。 高速?gòu)V泛連接的網(wǎng)絡(luò)也為ddos攻擊創(chuàng)造了極為有利的條件。在低速網(wǎng)絡(luò)時(shí)代時(shí)，黑客占領(lǐng)攻擊用的傀儡機(jī)時(shí)，總是會(huì)優(yōu)先考慮離目標(biāo)網(wǎng)絡(luò)距離近的機(jī)器，因?yàn)榻?jīng)過(guò)路由器的跳數(shù)少，效果好。而現(xiàn)在電信骨干節(jié)點(diǎn)之間的連接都是以g為級(jí)別的，大城市之間更可以達(dá)到2.5g的連接，這使得攻擊可以從更遠(yuǎn)的地方或者其他城市發(fā)起，攻擊者的傀儡機(jī)位置可以在分布在更大的范圍，選擇起來(lái)更靈活了。 一個(gè)比較完善的ddos攻擊體系分成四大部分： 攻擊者所在機(jī) 控制機(jī)（用來(lái)控制傀儡機(jī)） 傀儡機(jī) 受害者 先來(lái)看一下最重要的控制機(jī)和傀儡機(jī)：它們分別用做控制和實(shí)際發(fā)起攻擊。請(qǐng)注意控制機(jī)與攻擊機(jī)的區(qū)別，對(duì)受害者來(lái)說(shuō)，ddos的實(shí)際攻擊

19、包是從攻擊傀儡機(jī)上發(fā)出的，控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對(duì)控制機(jī)和傀儡機(jī)，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的ddos程序上傳到這些平臺(tái)上，這些程序與正常的程序一樣運(yùn)行并等待來(lái)自黑客的指令，通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí)，這些傀儡機(jī)器并沒(méi)有什么異常，只是一旦黑客連接到它們進(jìn)行控制，并發(fā)出指令的時(shí)候，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。 為什么黑客不直接去控制攻擊傀儡機(jī)，而要從控制傀儡機(jī)上轉(zhuǎn)一下呢？。這就是導(dǎo)致ddos攻擊難以追查的原因之一了。做為攻擊者的角度來(lái)說(shuō)，肯定不愿意被捉到，而攻擊者使用的傀儡機(jī)越多，他實(shí)際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺(tái)機(jī)器后，高水平的攻擊者會(huì)首先做兩件事：1.考慮如何留好后門(mén)，2. 如何清理日志。這就是擦掉腳印，不讓自己做的事被別人查覺(jué)到。比較初級(jí)的黑客會(huì)不管三七二十一把日志全都刪掉，但這樣的話(huà)網(wǎng)管員發(fā)現(xiàn)日志都沒(méi)了就會(huì)知道有人干了壞事了，頂多無(wú)法再?gòu)娜罩景l(fā)現(xiàn)是誰(shuí)干的而已。相反，真正的好手會(huì)挑有關(guān)自己的日志項(xiàng)目刪掉，讓人看不到異常的情況。這樣