局域網(wǎng)安全問題及對策_(dá)論文(共19頁)

1、畢業(yè)(b y)論文(lnwn)局域網(wǎng)安全問題(wnt)及對策摘 要隨著(su zhe)計(jì)算機(jī)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的 HYPERLINK /fazhan/ 發(fā)展(fzhn),局域網(wǎng)安全越來越受到人們的重視和關(guān)注(gunzh)。無論是在局域網(wǎng)還是在廣域網(wǎng)中，都存在著 HYPERLINK /lixue/ 自然和人為等諸多因素的潛在威脅和網(wǎng)絡(luò)的脆弱性。故此，局域網(wǎng)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。為了確保信息的安全與暢通，研究局域網(wǎng)的安全以及防范措施已迫在眉睫。 關(guān)鍵詞： HYPERLINK /pc/ 計(jì)算機(jī) HYPERLINK /network

2、/ 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 局域網(wǎng)安全目 錄 TOC o 1-3 h z u HYPERLINK l _Toc258701205 1 .緒論(xln)1 HYPERLINK l _Toc258701206 1.1計(jì)算機(jī)網(wǎng)絡(luò)的定義(dngy)1 HYPERLINK l _Toc258701207 1.2網(wǎng)絡(luò)安全定義(dngy)1 HYPERLINK l _Toc258701208 1.3局域網(wǎng)安全1 HYPERLINK l _Toc258701209 1.3.1來自互聯(lián)網(wǎng)的安全威脅1 HYPERLINK l _Toc258701210 1.3.2來自局域網(wǎng)內(nèi)部的安全威脅1 HYPERLINK l _To

3、c258701211 1.4局域網(wǎng)當(dāng)前形勢及面臨的問題1 HYPERLINK l _Toc258701212 2.常用局域網(wǎng)的攻擊方法2 HYPERLINK l _Toc258701213 2.1ARP欺騙2 HYPERLINK l _Toc258701214 2.1.1ARP協(xié)議2 HYPERLINK l _Toc258701215 2.1.2ARP欺騙原理3 HYPERLINK l _Toc258701216 2.1.3ARP病毒清除3 HYPERLINK l _Toc258701217 2.2網(wǎng)絡(luò)監(jiān)聽4 HYPERLINK l _Toc258701218 2.2.1網(wǎng)絡(luò)監(jiān)聽的定義4 HY

4、PERLINK l _Toc258701219 2.2.2網(wǎng)絡(luò)監(jiān)聽的基本原理4 HYPERLINK l _Toc258701220 2.2.3網(wǎng)絡(luò)監(jiān)聽的檢測4 HYPERLINK l _Toc258701221 2.2.4網(wǎng)絡(luò)監(jiān)聽的防范措施5 HYPERLINK l _Toc258701222 3.無線局域網(wǎng)安全威脅5 HYPERLINK l _Toc258701223 3.1非授權(quán)訪問5 HYPERLINK l _Toc258701224 3.2敏感信息泄露6 HYPERLINK l _Toc258701225 3.3WEB缺陷威脅6 HYPERLINK l _Toc258701226 3.

5、4無線局域網(wǎng)的安全措施6 HYPERLINK l _Toc258701227 3.4.1阻止非法用戶的接入6 HYPERLINK l _Toc258701228 3.4.2實(shí)行動態(tài)加密6 HYPERLINK l _Toc258701229 3.4.3數(shù)據(jù)的訪問控制7 HYPERLINK l _Toc258701230 4.計(jì)算機(jī)局域網(wǎng)病毒及防治7 HYPERLINK l _Toc258701231 4.1局域網(wǎng)病毒(bngd)7 HYPERLINK l _Toc258701232 4.2計(jì)算機(jī)局域網(wǎng)病毒的防治(fngzh)措施7 HYPERLINK l _Toc258701233 4.3清除(

6、qngch)網(wǎng)絡(luò)病毒8 HYPERLINK l _Toc258701234 5.局域網(wǎng)安全防范系統(tǒng)8 HYPERLINK l _Toc258701235 5.1防火墻系統(tǒng)8 HYPERLINK l _Toc258701236 5.1.1防火墻概述8 HYPERLINK l _Toc258701237 5.1.2防火墻的體系結(jié)構(gòu)9 HYPERLINK l _Toc258701238 5.1.3防火墻的功能9 HYPERLINK l _Toc258701239 5.2入侵檢測系統(tǒng) PAGEREF _Toc258701239 h 10 HYPERLINK l _Toc258701240 5.2.1入

7、侵檢測系統(tǒng)概述 PAGEREF _Toc258701240 h 10 HYPERLINK l _Toc258701241 5.2.2入侵檢測原理 PAGEREF _Toc258701241 h 10 HYPERLINK l _Toc258701242 5.2.3局域網(wǎng)入侵檢測系統(tǒng)的構(gòu)建方法 PAGEREF _Toc258701242 h 10 HYPERLINK l _Toc258701243 6.局域網(wǎng)安全防范策略 PAGEREF _Toc258701243 h 11 HYPERLINK l _Toc258701244 6.1劃分VLAN防止網(wǎng)絡(luò)偵聽 PAGEREF _Toc25870124

8、4 h 11 HYPERLINK l _Toc258701245 6.2網(wǎng)絡(luò)分段 PAGEREF _Toc258701245 h 12 HYPERLINK l _Toc258701246 6.3以交換式集線器代替共享式集線器 PAGEREF _Toc258701246 h 12 HYPERLINK l _Toc258701247 6.4實(shí)施IP/MAC綁定 PAGEREF _Toc258701247 h 12 HYPERLINK l _Toc258701248 總結(jié) PAGEREF _Toc258701248 h 12 HYPERLINK l _Toc258701249 致 謝 PAGEREF

9、 _Toc258701249 h 13 HYPERLINK l _Toc258701250 參考文獻(xiàn) PAGEREF _Toc258701250 h 141 .緒論(xln)1.1計(jì)算機(jī)網(wǎng)絡(luò)的定義(dngy) 計(jì)算機(jī)網(wǎng)絡(luò),就是利用通信設(shè)備和線路將地理位置不同的、功能獨(dú)立(dl)的多個(gè)計(jì)算機(jī)系統(tǒng)互連起來,以功能完善的網(wǎng)絡(luò)軟件(即網(wǎng)絡(luò)通信協(xié)議、信息交換方式和網(wǎng)絡(luò)操作系統(tǒng)等)實(shí)現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)由通信子網(wǎng)和資源子網(wǎng)兩部分構(gòu)成。通信子網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)中負(fù)責(zé)數(shù)據(jù)通信的部分；資源子網(wǎng)是計(jì)算機(jī)網(wǎng)絡(luò)中面向用戶的部分，負(fù)責(zé)全網(wǎng)絡(luò)面向應(yīng)用的數(shù)據(jù)處理工作。就局域網(wǎng)而言，通信子網(wǎng)由網(wǎng)卡、線纜、

10、集線器、中繼器、網(wǎng)橋、路由器、交換機(jī)等設(shè)備和相關(guān)軟件組成。資源子網(wǎng)由連網(wǎng)的服務(wù)器、工作站、共享的打印機(jī)和其它設(shè)備及相關(guān)軟件所組成。 1.2網(wǎng)絡(luò)安全定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。1.3局域網(wǎng)安全局域網(wǎng)的安全主要包括物理安全與邏輯安全。物理安全主要指網(wǎng)絡(luò)硬件的維護(hù)、使用及管理等；邏輯安全是從軟件的角度提出的，主要指數(shù)據(jù)的保密性、完整性、可用性等。1.3.1來自互聯(lián)網(wǎng)的安全威脅局域網(wǎng)是與Inernet互連的。由于Internet的開放性

11、、國際性與自由性，局域網(wǎng)將面臨更加嚴(yán)重的安全威脅。如果局域網(wǎng)與外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，很容易遭到來自Internet黑客的各種攻擊。他們可以通過嗅探程序來探測、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放的TCP端口號、系統(tǒng)用來保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序進(jìn)行攻擊。他們還可以通過網(wǎng)絡(luò)監(jiān)聽等手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)絡(luò)中重要信息。還能通過發(fā)送大量數(shù)據(jù)包對網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作導(dǎo)致拒絕服務(wù)，甚至使系統(tǒng)癱瘓。1.3.2來自局域網(wǎng)內(nèi)部的安全威脅內(nèi)部管理人

12、員把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏；內(nèi)部職工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)，利用網(wǎng)絡(luò)開些小玩笑，甚至搞破壞。如，泄漏至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等，這些都將給網(wǎng)絡(luò)造成極大的安全威脅。1.4局域網(wǎng)當(dāng)前形勢及面臨的問題 隨著局域網(wǎng)絡(luò)技術(shù)的發(fā)展和社會信息化進(jìn)程的加快,現(xiàn)在人們的生活、工作、學(xué)習(xí)、娛樂和交往都已離不開計(jì)算機(jī)網(wǎng)絡(luò)?，F(xiàn)今，全球網(wǎng)民數(shù)量已接近7億，網(wǎng)絡(luò)已經(jīng)成為生活離不開的工具，經(jīng)濟(jì)、文化、軍事和社會活動都強(qiáng)烈地依賴于網(wǎng)絡(luò)。網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性、開放性和易受攻擊性，決定了網(wǎng)絡(luò)安全威脅的客觀存在。盡管計(jì)算機(jī)

13、網(wǎng)絡(luò)為人們提供了巨大的方便，但是受技術(shù)和社會因素的各種影響，計(jì)算機(jī)網(wǎng)絡(luò)一直存在著多種安全缺陷。攻擊者經(jīng)常利用這些缺陷，實(shí)施攻擊和入侵，給計(jì)算機(jī)網(wǎng)絡(luò)造成極大的損害網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長，利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序，嚴(yán)重?fù)p害了網(wǎng)民的利益；網(wǎng)上色情、暴力等不良和有害信息的傳播，嚴(yán)重危害了青少年的身心健康。網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性正在成為世界各國共同關(guān)注的焦點(diǎn)。 根據(jù)中國互聯(lián)網(wǎng)信息中心2006年初發(fā)布的統(tǒng)計(jì)報(bào)告顯示：我國互聯(lián)網(wǎng)網(wǎng)站近百萬家，上網(wǎng)用戶1億多，網(wǎng)民數(shù)和寬帶上網(wǎng)人數(shù)均居全球第二。同時(shí)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也無處不在，各種網(wǎng)絡(luò)安全漏洞

14、大量存在和不斷被發(fā)現(xiàn)，計(jì)算機(jī)系統(tǒng)遭受病毒感染和破壞的情況相當(dāng)嚴(yán)重，計(jì)算機(jī)病毒呈現(xiàn)出異常活躍的態(tài)勢。面對網(wǎng)絡(luò)安全的嚴(yán)峻形勢，我國的網(wǎng)絡(luò)安全保障工作尚處于起步階段，基礎(chǔ)薄弱，水平不高，網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié)，安全防護(hù)能力不僅大大低于美國、俄羅斯和以色列等信息安全強(qiáng)國，而且(r qi)排在印度、韓國之后。在監(jiān)督管理方面缺乏依據(jù)和標(biāo)準(zhǔn)，監(jiān)管措施不到位，監(jiān)管體系尚待完善，網(wǎng)絡(luò)信息安全保障制度不健全、責(zé)任不落實(shí)、管理不到位。網(wǎng)絡(luò)信息安全法律法規(guī)不夠完善，關(guān)鍵技術(shù)和產(chǎn)品受制于人，網(wǎng)絡(luò)信息安全服務(wù)機(jī)構(gòu)專業(yè)化程度不高，行為不規(guī)范，網(wǎng)絡(luò)安全技術(shù)與管理人才缺乏。面對網(wǎng)絡(luò)安全的嚴(yán)

15、峻形勢，如何建設(shè)高質(zhì)量、高穩(wěn)定性、高可靠性的安全網(wǎng)絡(luò)成為通信行業(yè)(hngy)乃至整個(gè)社會發(fā)展所要面臨和解決的重大課題。2.常用(chn yn)局域網(wǎng)的攻擊方法2.1ARP欺騙2.1.1ARP協(xié)議ARP（AddressResolutionProtocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。ARP具體說來就是將網(wǎng)絡(luò)層（IP層，也就是相當(dāng)于OSI的第三層）地址解析為數(shù)據(jù)連接層（MAC層，也就是相當(dāng)于OSI的第二層）的MAC地址。ARP原理：某機(jī)器A要向主機(jī)B發(fā)送報(bào)文，會查詢本地的ARP緩存表，找到B的IP地址對應(yīng)的MAC地址后，就會進(jìn)行數(shù)據(jù)傳輸。如果未找到，則廣播A一個(gè)ARP請求

16、報(bào)文（攜帶主機(jī)A的IP地址IA物理地址PA），請求IP地址為IB的主機(jī)B回答物理地址PB。網(wǎng)上所有主機(jī)包括B都收到ARP請求，但只有主機(jī)B識別自己的IP地址，于是向A主機(jī)發(fā)回一個(gè)ARP響應(yīng)報(bào)文。其中就包含有B的MAC地址，A接收到B的應(yīng)答后，就會更新本地的ARP緩存。接著使用這個(gè)MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個(gè)ARP表是本地網(wǎng)絡(luò)流通的基礎(chǔ)，而且這個(gè)緩存是動態(tài)的。假如我們有兩個(gè)網(wǎng)段、三臺主機(jī)、兩個(gè)網(wǎng)關(guān)、分別是：主機(jī)名IP地址MAC地址 網(wǎng)關(guān)101-01-01-01-01-01 主機(jī)A02-02-02-02-02-02 主機(jī)B03-03-03-03-03-03網(wǎng)

17、關(guān)204-04-04-04-04-04 主機(jī)C05-05-05-05-05-05假如主機(jī)A要與主機(jī)B通訊，它首先會通過網(wǎng)絡(luò)掩碼比對，確認(rèn)出主機(jī)B是否在自己同一網(wǎng)段內(nèi)，如果在它就會檢查自己的ARP緩存中是否有這個(gè)地址對應(yīng)的MAC地址，如果沒有它就會向局域網(wǎng)的廣播地址發(fā)送ARP請求包，即目的MAC地址是全1的廣播詢問幀，0 xffffffffffffH02-02-02-02-02-02；如果B存在的話，必須作出應(yīng)答，回答“B的MAC地址是”的單播應(yīng)答幀，02-02-02-02-02-0203-03-03-03-03-03；A收到應(yīng)答幀后，把“03-03-03-03-03-03動態(tài)”寫入ARP表。這

18、樣的話主機(jī)A就得到了主機(jī)B的MAC地址，并且它會把這個(gè)對應(yīng)的關(guān)系存在自己的ARP緩存表中。之后主機(jī)A與主機(jī)B之間的通訊就依靠兩者緩存表里的MAC地址來通訊了，直到通訊停止后兩分鐘，這個(gè)對應(yīng)關(guān)系才會被從表中刪除。如果是非局域網(wǎng)內(nèi)部的通訊過程，假如主機(jī)A需要和主機(jī)C進(jìn)行通訊，它首先(shuxin)會通過比對掩碼發(fā)現(xiàn)這個(gè)主機(jī)C的IP地址并不是自己同一個(gè)網(wǎng)段內(nèi)的，因此需要通過網(wǎng)關(guān)來轉(zhuǎn)發(fā)，這樣的話它會檢查自己的ARP緩存表里是否有網(wǎng)關(guān)1()對應(yīng)的MAC地址，如果沒有就通過ARP請求獲得，如果有就直接與網(wǎng)關(guān)通訊，然后再由網(wǎng)關(guān)1通過路由將數(shù)據(jù)包送到網(wǎng)關(guān)2，網(wǎng)關(guān)2收到這個(gè)數(shù)據(jù)包后發(fā)現(xiàn)是送給主機(jī)C（）的，它就會

19、檢查自己的ARP緩存（沒錯(cuò)，網(wǎng)關(guān)一樣有自己的ARP緩存），看看里面是否有對應(yīng)的MAC地址(dzh)，如果沒有就使用ARP協(xié)議獲得，如果有就是用該MAC地址將數(shù)據(jù)轉(zhuǎn)發(fā)給主機(jī)C。2.1.2ARP欺騙(qpin)原理在以太局域網(wǎng)內(nèi)數(shù)據(jù)包傳輸依靠的是MAC地址，IP地址與MAC對應(yīng)的關(guān)系依靠ARP表，每臺主機(jī)（包括網(wǎng)關(guān)）都有一個(gè)ARP緩存表。在正常情況下這個(gè)緩存表能夠有效的保證數(shù)據(jù)傳輸?shù)囊粚σ恍?，也就是說主機(jī)A與主機(jī)C之間的通訊只通過網(wǎng)關(guān)1和網(wǎng)關(guān)2，像主機(jī)B之類的是無法截獲A與C之間的通訊信息的。但是在ARP緩存表的實(shí)現(xiàn)機(jī)制中存在一個(gè)不完善的地方，當(dāng)主機(jī)收到一個(gè)ARP的應(yīng)答包后，它并不會去驗(yàn)證自己是否

20、發(fā)送過這個(gè)ARP請求，而是直接將應(yīng)答包里的MAC地址與IP對應(yīng)的關(guān)系替換掉原有的ARP緩存表里的相應(yīng)信息。這就導(dǎo)致主機(jī)B截取主機(jī)A與主機(jī)C之間的數(shù)據(jù)通信成為可能。首先主機(jī)B向主機(jī)A發(fā)送一個(gè)ARP應(yīng)答包說的MAC地址是03-03-03-03-03-03，主機(jī)A收到這個(gè)包后并沒有去驗(yàn)證包的真實(shí)性而是直接將自己ARP列表中的的MAC地址替換成03-03-03-03-03-03，同時(shí)主機(jī)B向網(wǎng)關(guān)1發(fā)送一個(gè)ARP響應(yīng)包說的MAC是03-03-03-03-03-03，同樣網(wǎng)關(guān)1也沒有去驗(yàn)證這個(gè)包的真實(shí)性就把自己ARP表中的的MAC地址替換成03-03-03-03-03-03。當(dāng)主機(jī)A想要與主機(jī)C通訊時(shí)，它

21、直接把應(yīng)該發(fā)送給網(wǎng)關(guān)1()的數(shù)據(jù)包發(fā)送到03-03-03-03-03-03這個(gè)MAC地址，也就是發(fā)給了主機(jī)B，主機(jī)B在收到這個(gè)包后經(jīng)過修改再轉(zhuǎn)發(fā)給真正的網(wǎng)關(guān)1，當(dāng)從主機(jī)C返回的數(shù)據(jù)包到達(dá)網(wǎng)關(guān)1后，網(wǎng)關(guān)1也使用自己ARP表中的MAC，將發(fā)往這個(gè)IP地址的數(shù)據(jù)發(fā)往03-03-03-03-03-03這個(gè)MAC地址也就是主機(jī)B，主機(jī)B在收到這個(gè)包后再轉(zhuǎn)發(fā)給主機(jī)A完成一次完整的數(shù)據(jù)通訊，這樣就成功的實(shí)現(xiàn)了一次ARP欺騙攻擊。因此簡單點(diǎn)說ARP欺騙的目的就是為了實(shí)現(xiàn)全交換環(huán)境下的數(shù)據(jù)監(jiān)聽與篡改。也就是說欺騙者必須同時(shí)對網(wǎng)關(guān)和主機(jī)進(jìn)行欺騙。2.1.3ARP病毒清除 感染病毒后，需要立即斷開網(wǎng)絡(luò)，以免影響其他

22、電腦使用。重新啟動到DOS模式下，用殺毒軟件進(jìn)行全面殺毒。臨時(shí)處理對策：步驟一、能上網(wǎng)情況下，輸入命令arpa，查看網(wǎng)關(guān)IP對應(yīng)的正確MAC地址，將其記錄下來。如果已經(jīng)不能上網(wǎng)，則運(yùn)行一次命令arpd將arp緩存中的內(nèi)容刪空，計(jì)算機(jī)可暫時(shí)恢復(fù)上網(wǎng)（攻擊如果不停止的話），一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運(yùn)行arpa。步驟二、如果已經(jīng)有網(wǎng)關(guān)的正確MAC地址，在不能上網(wǎng)時(shí)，手工將網(wǎng)關(guān)IP和正確MAC綁定，可確保計(jì)算機(jī)不再(b zi)被攻擊影響。輸入命令：arps，網(wǎng)關(guān)IP網(wǎng)關(guān)MAC手工綁定在計(jì)算機(jī)關(guān)機(jī)重開機(jī)后就會失效，需要再綁定。可以把該命令放在autoexec.bat中，每次開

23、機(jī)即自動運(yùn)行。2.2網(wǎng)絡(luò)(wnglu)監(jiān)聽2.2.1網(wǎng)絡(luò)監(jiān)聽(jin tn)的定義眾所周知，電話可以進(jìn)行監(jiān)聽，無線電通訊可以監(jiān)聽，而計(jì)算機(jī)網(wǎng)絡(luò)使用的數(shù)字信號在線路上傳輸時(shí)，同樣也可以監(jiān)聽。網(wǎng)絡(luò)監(jiān)聽也叫嗅探器，其英文名是Sniffer，即將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)捕獲并進(jìn)行分析的行為。網(wǎng)絡(luò)監(jiān)聽，在網(wǎng)絡(luò)安全上一直是一個(gè)比較敏感的話題，作為一種發(fā)展比較成熟的技術(shù)，監(jiān)聽在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測網(wǎng)絡(luò)傳輸數(shù)據(jù)，排除網(wǎng)絡(luò)故障等方面具有不可替代的作用，因而一直備受網(wǎng)絡(luò)管理員的青睞。然而，在另一方面網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò)安全帶來了極大的隱患，許多的網(wǎng)絡(luò)入侵往往都伴隨著網(wǎng)絡(luò)監(jiān)聽行為，從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件

24、。2.2.2網(wǎng)絡(luò)監(jiān)聽的基本原理局域網(wǎng)中的數(shù)據(jù)是以廣播方式發(fā)送的，局域網(wǎng)中的每臺主機(jī)都時(shí)刻在監(jiān)聽網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，主機(jī)中的網(wǎng)卡將監(jiān)聽到的數(shù)據(jù)幀中的MAC地址與自己的MAC地址進(jìn)行比較，如果兩者相同就接收該幀，否則就丟掉該幀。如果把對網(wǎng)卡進(jìn)行適當(dāng)?shù)脑O(shè)置和修改，將它設(shè)置為混雜模式，在這種狀態(tài)下它就能接收網(wǎng)絡(luò)中的每一個(gè)信息包。網(wǎng)絡(luò)監(jiān)聽就是依據(jù)這種原理來監(jiān)測網(wǎng)絡(luò)中流動的數(shù)據(jù)。2.2.3網(wǎng)絡(luò)監(jiān)聽的檢測 在本地計(jì)算機(jī)上進(jìn)行檢測 （1）檢查網(wǎng)卡是否處于混雜模式?？梢岳靡恍┈F(xiàn)成的工具軟件來發(fā)現(xiàn)，例如：AntiSniff，ARP探測技術(shù)。也可以編寫一些程序來實(shí)現(xiàn)。在Linux下，有現(xiàn)成的函數(shù)，比較容易實(shí)現(xiàn)，而在

25、Windows平臺上，并沒有現(xiàn)成的函數(shù)來實(shí)現(xiàn)這個(gè)功能，要自己編寫程序來實(shí)現(xiàn)?？梢岳靡恍┈F(xiàn)成的工具軟件來發(fā)現(xiàn)，例如：AntiSniff，ARP探測技術(shù)。也可以編寫一些程序來實(shí)現(xiàn)。在Linux下，有現(xiàn)成的函數(shù)，比較容易實(shí)現(xiàn)，而在Windows平臺上，并沒有現(xiàn)成的函數(shù)來實(shí)現(xiàn)這個(gè)功能，要自己編寫程序來實(shí)現(xiàn)。（2）搜索法。在本地主機(jī)上搜索所有運(yùn)行的進(jìn)程，就可以知道是否有人在進(jìn)行網(wǎng)絡(luò)監(jiān)聽。在Windows系統(tǒng)下，按下Ctrl+Alt+Del可以得到任務(wù)列表，查看是否有監(jiān)聽程序在運(yùn)行。如果有不熟悉的進(jìn)程，或者通過跟另外一臺機(jī)器比較，看哪些進(jìn)程是有可能是監(jiān)聽進(jìn)程。在其它計(jì)算機(jī)上進(jìn)行檢測。（1）觀察法。如果某

26、臺電腦沒有監(jiān)聽的話，無論是信息的傳送還是電腦對信息的響應(yīng)時(shí)間等方面都是正常的，如果被監(jiān)聽的話，就會出現(xiàn)異常情況。我們可以通過觀察一些異常情況來判斷電腦是否有被監(jiān)聽。 網(wǎng)絡(luò)通訊掉包率是否反常地高。例如ping命令會顯示掉了百分幾的信息包。如果網(wǎng)絡(luò)中有人在監(jiān)聽，就會攔截每個(gè)信息包，從而導(dǎo)致信息包丟包率提高。網(wǎng)絡(luò)帶寬是否出現(xiàn)反常。如果某臺計(jì)算機(jī)長時(shí)間的占用了較大的帶寬，對外界的響應(yīng)很慢，這臺計(jì)算機(jī)就有可能被監(jiān)聽。 機(jī)器性能是否下降。向網(wǎng)上發(fā)大量不存在的物理地址的包，而監(jiān)聽程序往往就會將這些包進(jìn)行處理，這樣就會導(dǎo)致機(jī)器性能下降，可以用icmpechodelay來判斷和比較它。（2）PING法。這種檢測

27、原理基于以太網(wǎng)的數(shù)據(jù)(shj)鏈路層和TCP/IP網(wǎng)絡(luò)層的實(shí)現(xiàn)，是一種非常有效的測試方法。ping法的原理：如果一個(gè)(y )以太網(wǎng)的數(shù)據(jù)包的目的MAC地址不屬于本機(jī)，該包會在以太網(wǎng)的數(shù)據(jù)鏈路層上被拋棄，無法進(jìn)入TCP/IP網(wǎng)絡(luò)層；進(jìn)入TCP/IP網(wǎng)絡(luò)層的數(shù)據(jù)包，如果解析該包后，發(fā)現(xiàn)這是一個(gè)包含本機(jī)ICMP回應(yīng)請示的TCP包(PING包)，則網(wǎng)絡(luò)層向該包的發(fā)送主機(jī)發(fā)送ICMP回應(yīng)。 我們可以構(gòu)造一個(gè)PING包，包含正確的IP地址(dzh)和錯(cuò)誤的MAC地址，其中IP地址是可疑主機(jī)的IP地址，MAC地址是偽造的，這樣如果可疑主機(jī)的網(wǎng)卡工作在正常模式，則該包將在可疑主機(jī)的以太網(wǎng)的數(shù)據(jù)鏈路層上被丟棄，

28、TCP/IP網(wǎng)絡(luò)層接收不到數(shù)據(jù)因而也不會有什么反應(yīng)。如果可疑主機(jī)的網(wǎng)卡工作在混雜模式，它就能接收錯(cuò)誤的MAC地址，該非法包會被數(shù)據(jù)鏈路層接收而進(jìn)入上層的TCP/IP網(wǎng)絡(luò)層，TCP/IP網(wǎng)絡(luò)層將對這個(gè)非法的PING包產(chǎn)生回應(yīng)，從而暴露其工作模式。使用PING方法的具體步驟及結(jié)論如下：假設(shè)可疑主機(jī)的IP地址為1，MAC地址是00-E0-4C-3A-4B-A5，檢測者和可疑主機(jī)位于同一網(wǎng)段。 稍微修改可疑主機(jī)的MAC地址，假設(shè)改成00-E0-4C-3A-4B-A4。向可疑主機(jī)發(fā)送一個(gè)PING包，包含它的IP和改動后的MAC地址。沒有被監(jiān)聽的主機(jī)不能夠看到發(fā)送的數(shù)據(jù)包，因?yàn)檎５闹鳈C(jī)檢查這個(gè)數(shù)據(jù)包，比

29、較數(shù)據(jù)包的MAC地址與自己的MAC地址不相符，則丟棄這個(gè)數(shù)據(jù)包，不產(chǎn)生回應(yīng)。如果看到回應(yīng)，說明數(shù)據(jù)包沒有被丟棄，也就是說，可疑主機(jī)被監(jiān)聽了。（3）ARP法。除了使用PING進(jìn)行監(jiān)測外，還可以利用ARP方式進(jìn)行監(jiān)測的。這種模式使用ARP數(shù)據(jù)包替代了上述的ICMP數(shù)據(jù)包。向局域網(wǎng)內(nèi)的主機(jī)發(fā)送非廣播方式的ARP包，如果局域網(wǎng)內(nèi)的某個(gè)主機(jī)以自己的IP地址響應(yīng)了這個(gè)ARP請求，那么就可以判斷它很可能就處于網(wǎng)絡(luò)監(jiān)聽模式了。（4）響應(yīng)時(shí)間測試法。這種檢測已被證明是最有效的。它能夠發(fā)現(xiàn)網(wǎng)絡(luò)中處于監(jiān)聽模式的機(jī)器，而不管其操作系統(tǒng)是什么。非監(jiān)聽模式的機(jī)器的響應(yīng)時(shí)間變化量會很小，而監(jiān)聽模式的機(jī)器的響應(yīng)時(shí)間變化量則通

30、常會較大。 2.2.4網(wǎng)絡(luò)監(jiān)聽的防范措施 為了防止網(wǎng)絡(luò)上的主機(jī)被監(jiān)聽，有多種技術(shù)手段，可以歸納為以下三類。第一種是預(yù)防，監(jiān)聽行為要想發(fā)生，一個(gè)重要的前提條件就是網(wǎng)絡(luò)內(nèi)部的一臺有漏洞的主機(jī)被攻破，只有利用被攻破的主機(jī)，才能進(jìn)行監(jiān)聽，從而收集以網(wǎng)絡(luò)內(nèi)重要的數(shù)據(jù)。因此，要預(yù)防網(wǎng)絡(luò)中的主機(jī)被攻破。這就要求我們養(yǎng)成良好的使用計(jì)算機(jī)的習(xí)慣，不隨意下載和使用來歷不明的軟件，及時(shí)給計(jì)算機(jī)打上補(bǔ)丁程序，安裝防火墻等措施，涉及到國家安全的部門還應(yīng)該有防電輻射技術(shù)，干擾技術(shù)等等，防止數(shù)據(jù)被監(jiān)聽。 二是被動防御，主要是采取數(shù)據(jù)加密技術(shù)，數(shù)據(jù)加密是對付監(jiān)聽的最有效的辦法。網(wǎng)上的信息絕大多數(shù)都是以明文的形式傳輸，容易辨認(rèn)

31、。一旦口令被截獲，入侵者就可以非常容易地登錄到另一臺主機(jī)。對在網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密后，監(jiān)聽器依然可以捕獲傳送的信息，但顯示的是亂碼。使用加密技術(shù)，不但可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，而且也是對付惡意軟件的有效方法之一，但是它的缺點(diǎn)是速度問題。幾乎所有的加密技術(shù)都將導(dǎo)致網(wǎng)絡(luò)的延遲，加密技術(shù)越強(qiáng)，網(wǎng)絡(luò)速度就越慢。只有很重要的信息才采用加密技術(shù)進(jìn)行保護(hù)。三是主動防御，主要是使用安全的拓?fù)浣Y(jié)構(gòu)和利用交換機(jī)劃分VLAN，這也是限制網(wǎng)絡(luò)監(jiān)聽的有效方法，這樣的監(jiān)聽行為只能發(fā)生在一個(gè)虛擬網(wǎng)中，最大限度地降低了監(jiān)聽的危害，但需要增加硬件設(shè)備的開支，實(shí)現(xiàn)起來要花費(fèi)不少的錢。3.無線局域網(wǎng)安全(nqun)威

32、脅3.1非授權(quán)(shuqun)訪問無線網(wǎng)絡(luò)中每個(gè)AP覆蓋的范圍都形成了通向網(wǎng)絡(luò)的一個(gè)新的入口。所以，未授權(quán)實(shí)體可以從外部或內(nèi)部進(jìn)入網(wǎng)絡(luò)，瀏覽存放在網(wǎng)絡(luò)上的信息；另外，也可以利用該網(wǎng)絡(luò)作為攻擊第三方的出發(fā)點(diǎn)，對移動終端發(fā)動攻擊。而且(r qi)，IEEE802.11標(biāo)準(zhǔn)采用單向認(rèn)證機(jī)制，只要求STA向AP進(jìn)行認(rèn)證，不要求AP向STA進(jìn)行認(rèn)證。入侵者可以通過這種協(xié)議上的缺陷對AP進(jìn)行認(rèn)證進(jìn)行攻擊，向AP發(fā)送大量的認(rèn)證請求幀，從而導(dǎo)致AP拒絕服務(wù)。3.2敏感信息泄露 WLAN物理層的信號是無線、全方位的空中傳播，開放傳輸使得其物理層的保密性無法保證。WLAN無線信號的覆蓋范圍一般都會超過實(shí)際需求，只

33、要在信號覆蓋范圍內(nèi)入侵者就可以利用無線監(jiān)聽技術(shù)捕獲無線網(wǎng)絡(luò)的數(shù)據(jù)包，對網(wǎng)絡(luò)通信進(jìn)行分析，從而獲取有用信息。目前竊聽已經(jīng)成為無線局域網(wǎng)面臨的最大問題之一。 3.3WEB缺陷威脅有線等效保密WEP是IEEE802.11無線局域網(wǎng)標(biāo)準(zhǔn)的一部分，它的主要作用是為無線網(wǎng)絡(luò)上的信息提供和有線網(wǎng)絡(luò)同一等級的機(jī)密性。IEEE選擇在數(shù)據(jù)鏈路層用RC4算法加密來防止對網(wǎng)絡(luò)進(jìn)行竊聽。WEP在每一個(gè)數(shù)據(jù)包中使用完整性校驗(yàn)字段來保證數(shù)據(jù)在傳輸過程中不被竄改，它使用了CRC-32校驗(yàn)。在WEP中明文通過和密鑰流進(jìn)行異或產(chǎn)生密文，為了加密，WEP要求所有無線網(wǎng)絡(luò)連接共享一個(gè)密鑰。實(shí)際上，網(wǎng)絡(luò)只使用一個(gè)或幾個(gè)密鑰，也很少更換

34、。WEP算法根據(jù)密鑰和初始化向量IV產(chǎn)生密鑰流，確保后續(xù)的數(shù)據(jù)包用不同的密鑰流加密。但I(xiàn)V在一個(gè)相當(dāng)短的時(shí)間內(nèi)重用，使用24位的IV并不能滿足要求。一個(gè)24位的字段包含16777216個(gè)可能值,假設(shè)網(wǎng)絡(luò)流量是11M,傳輸2000字節(jié)的包，在7個(gè)小時(shí)左右,IV就會重用。CRC-32不是一個(gè)很適合WEP的完整性校驗(yàn),即使部分?jǐn)?shù)據(jù)以及CRC-32校驗(yàn)碼同時(shí)被修改也無法校驗(yàn)出來。3.4無線局域網(wǎng)的安全措施 3.4.1阻止非法用戶的接入 （1）基于服務(wù)設(shè)置標(biāo)識符(SSID)防止非法用戶接入 服務(wù)設(shè)置標(biāo)識符SSID是用來標(biāo)識一個(gè)網(wǎng)絡(luò)的名稱，以此來區(qū)分不同的網(wǎng)絡(luò)，最多可以有32個(gè)字符。無線工作站設(shè)置了不同的

35、SSID就可以進(jìn)入不同網(wǎng)絡(luò)。無線工作站必須提供正確的SSID與無線訪問點(diǎn)AP的SSID相同，才能訪問AP；如果出示的SSID與AP的SSID不同，那么AP將拒絕它通過本服務(wù)區(qū)上網(wǎng)。因此可以認(rèn)為SSID是一個(gè)簡單的口令，從而提供口令認(rèn)證機(jī)制，阻止非法用戶的接入，保障無線局域網(wǎng)的安全。SSID通常由AP廣播出來，例如通過windowsXP自帶的掃描功能可以查看當(dāng)前區(qū)域內(nèi)的SSID。出于安全考慮，可禁止AP廣播其SSID號，這樣無線工作站端就必須主動提供正確的SSID號才能與AP進(jìn)行關(guān)聯(lián)。（2）基于無線網(wǎng)卡物理地址過濾防止非法用戶接入 由于每個(gè)無線工作站的網(wǎng)卡都有惟一的物理地址，利用MAC地址阻止未

36、經(jīng)授權(quán)的無限工作站接入。為AP設(shè)置基于MAC地址的AccessControl（訪問控制表），確保只有經(jīng)過注冊的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。但是MAC地址在理論上可以偽造，因此這也是較低級別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新，目前都是手工操作。如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。3.4.2實(shí)行動態(tài)(dngti)加密動態(tài)加密技術(shù)是基于對稱加密和非對稱加密的結(jié)合，能有效地保證網(wǎng)絡(luò)傳輸?shù)陌踩討B(tài)加密著眼于無線網(wǎng)絡(luò)架構(gòu)中通信雙方本身，認(rèn)為每個(gè)通信方都應(yīng)承擔(dān)

37、起會話中網(wǎng)絡(luò)信息傳輸?shù)陌踩?zé)任。會話建立階段，身份驗(yàn)證的安全需要非對稱加密以及對PKI的改進(jìn)來防止非授權(quán)訪問，同時(shí)完成初始密鑰的動態(tài)部署和管理工作，會話建立后，大量的數(shù)據(jù)安全傳輸必須通過對稱加密方式，但該系統(tǒng)通過一種動態(tài)加密的模式，摒棄了現(xiàn)有機(jī)制下靜態(tài)加密的若干(rugn)缺陷，從而使通信雙方的每次“通信回合”都有安全保證。在一個(gè)通信回合中，雙方將使用相同的對稱加密密鑰，是每個(gè)通信方經(jīng)過共同了解的信息計(jì)算而得到的，在通信回合之間，所使用的密鑰將實(shí)時(shí)改變，雖然與上次回合的密鑰有一定聯(lián)系，但外界無法推算出來。 3.4.3數(shù)據(jù)(shj)的訪問控制訪問控制的目標(biāo)是防止任何資源（如計(jì)算資源、通信資源或信

38、息資源）進(jìn)行非授權(quán)的訪問,所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認(rèn)證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡(luò)資源，授權(quán)主要是通過訪問控制機(jī)制來實(shí)現(xiàn)。訪問控制也是一種安全機(jī)制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術(shù)實(shí)現(xiàn)對用戶訪問網(wǎng)絡(luò)資源的限制。訪問控制可以基于下列屬性進(jìn)行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時(shí)長等。 4.計(jì)算機(jī)局域網(wǎng)病毒及防治雖然局域網(wǎng)采用的是專網(wǎng)形式，但因管理及使用方面等多種原因，計(jì)算機(jī)病毒也開始在局域網(wǎng)出現(xiàn)并迅速泛濫，給

39、網(wǎng)絡(luò)工程安全帶來一定的隱患，對數(shù)據(jù)安全造成極大威脅，妨礙了機(jī)器的正常運(yùn)行，影響了工作的正常開展。如何防范計(jì)算機(jī)病毒侵入計(jì)算機(jī)局域網(wǎng)和確保網(wǎng)絡(luò)的安全己成為當(dāng)前面臨的一個(gè)重要且緊迫的任務(wù)。4.1局域網(wǎng)病毒 局域網(wǎng)病毒的入侵主要來自蠕蟲病毒，同時(shí)集病毒、黑客、木馬等功能于一身綜合型病毒不斷涌現(xiàn)。計(jì)算機(jī)病毒表現(xiàn)出以下特點(diǎn)：傳播方式和途徑多樣化；病毒的欺騙性日益增強(qiáng)病毒的傳播速度極快；病毒的制作成本降低；病毒變種增多；病毒難以控制和根治；病毒傳播更具有不確定性和跳躍性；病毒版本自動在線升級和自我保護(hù)能力；病毒編制采用了集成方式等。局域網(wǎng)病毒的傳播速度快，傳播范圍廣，危害也大。局域網(wǎng)病毒還特別難以清除，只

40、要有一臺工作站的病毒未被徹底清除，整個(gè)網(wǎng)絡(luò)就有可能重新感染。當(dāng)計(jì)算機(jī)感染上病毒出現(xiàn)異常時(shí)，人們首先想到的是用殺毒軟件來清除病毒。但令人擔(dān)擾的是殺毒工具軟件被廣泛使用的今天，病毒的種類和數(shù)量以及所造成的損失不是逐年減少，反而是逐年增加。這表明殺毒工具軟件作為病毒防范的最主要工具，已顯露出重大缺陷對病毒的防范始終滯后于病毒的出現(xiàn)。如何加強(qiáng)局域網(wǎng)病毒防護(hù)是保障網(wǎng)絡(luò)信息安全的關(guān)鍵。 4.2計(jì)算機(jī)局域網(wǎng)病毒的防治(fngzh)措施 計(jì)算機(jī)局域網(wǎng)中最主要的軟硬件就是服務(wù)器和工作站，所以防治(fngzh)計(jì)算機(jī)網(wǎng)絡(luò)病毒應(yīng)該首先考慮這兩個(gè)部分，另外要加強(qiáng)各級人員的管理教育及各項(xiàng)制度的督促落實(shí)。（1）基于工作站

41、的防治技術(shù)。局域網(wǎng)中的每個(gè)工作站就像是計(jì)算機(jī)網(wǎng)絡(luò)的大門，只有把好這道大門，才能有效防止病毒的侵入。工作站防治病毒的方法有三種：一、是軟件防治，即定期不定期地用反病毒軟件檢測工作站的病毒感染情況。二、是在工作站上插防病毒卡，防病毒卡可以達(dá)到實(shí)時(shí)檢測的目的，但防病毒卡的升級不方便，從實(shí)際應(yīng)用的效果看，對工作站的運(yùn)行速度有一定的影響。三、是在網(wǎng)絡(luò)接口卡上安裝(nzhung)防病病毒芯片它將工作站存取控制與病毒防護(hù)合二為一，可以更加實(shí)時(shí)有效地保護(hù)工作站及通向服務(wù)器的橋梁。但這種方法同樣也存在芯片上的軟件版本升級不便的問題，而且對網(wǎng)絡(luò)的傳輸速度也會產(chǎn)生一定的影響。上述三種方法都是防病毒的有效手段，應(yīng)根據(jù)

42、網(wǎng)絡(luò)的規(guī)模、數(shù)據(jù)傳輸負(fù)荷等具體情況確定使用哪一種方法。 （2）基于服務(wù)器的防治技術(shù)。服務(wù)器是網(wǎng)絡(luò)的核心，是網(wǎng)絡(luò)的支柱，服務(wù)器一旦被病毒感染，便無法啟動，整個(gè)網(wǎng)絡(luò)都將陷入癱瘓狀態(tài)，造成的損失是災(zāi)難性的。難以挽回和無法估量的，目前市場上基于服務(wù)器的病毒防治采用NLM方法，它以NLM模塊方式進(jìn)行程序設(shè)計(jì)，以服務(wù)器為基礎(chǔ)，提供實(shí)時(shí)掃描病毒的能力，從而保證服務(wù)器不被病毒感染，消除了病毒傳播的路徑，從根本上杜絕了病毒在網(wǎng)絡(luò)上的蔓延。（3）加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的管理。計(jì)算機(jī)局域網(wǎng)病毒的防治，單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的，只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來，才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安

43、全運(yùn)行。一、從硬件設(shè)備及軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個(gè)環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度，對網(wǎng)絡(luò)系統(tǒng)的管理員及用戶加強(qiáng)法制教育和職業(yè)道德教育，不損人，不犯法，規(guī)范工作程序和操作規(guī)程，嚴(yán)懲從事非法活動的集體和個(gè)人。二、加強(qiáng)各級網(wǎng)絡(luò)管理人員的專業(yè)技能學(xué)習(xí)，提高工作能力，并能及時(shí)檢查網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)病毒的癥狀。匯報(bào)出現(xiàn)的新問題、新情況，做到及時(shí)發(fā)現(xiàn)問題解決問題，同時(shí)在網(wǎng)絡(luò)工作站上經(jīng)常做好病毒檢測的工作，把好網(wǎng)絡(luò)的第一道大門。4.3清除網(wǎng)絡(luò)病毒 一旦在局域網(wǎng)上發(fā)現(xiàn)病毒，應(yīng)盡快加以清除，以防網(wǎng)絡(luò)病毒的擴(kuò)散給整個(gè)系統(tǒng)造成更大的損失，具體過程為: （1）立即停止使用受感染的電腦，并停止電腦與網(wǎng)絡(luò)的聯(lián)接,因?yàn)椴《?/p>

44、會隨時(shí)發(fā)作，繼續(xù)使用受感染的電腦，只會加速該病毒的擴(kuò)散,用broadcast命令通知包括系統(tǒng)管理員在內(nèi)的所有用戶退網(wǎng),關(guān)閉文件服務(wù)器。（2）用干凈的系統(tǒng)盤啟動系統(tǒng)管理員工作站，并立即清除本機(jī)工作站中含有的病毒。 （3）用干凈的系統(tǒng)盤啟動文件服務(wù)器，系統(tǒng)管理員登錄后，使用disablelongin禁止其他用戶登錄。 （4）用防病毒軟件掃描服務(wù)器上所有卷的文件，恢復(fù)或刪除被感染的文件，重新安裝被刪除的文件。 （5）若沒有最新的備份文件，可嘗試使用殺毒軟件把病毒清除，對在已染毒網(wǎng)絡(luò)上存取過的軟盤進(jìn)行消毒。 （6）確信網(wǎng)絡(luò)病毒已全部徹底清除后，重新啟動網(wǎng)絡(luò)及各工作站。 5.局域網(wǎng)安全防范(fngfn)

45、系統(tǒng)5.1防火墻系統(tǒng)(xtng)5.1.1防火墻概述(i sh)防火墻是一種用來增強(qiáng)內(nèi)部網(wǎng)絡(luò)安全性的系統(tǒng)，它將網(wǎng)絡(luò)隔離為內(nèi)部網(wǎng)和外部網(wǎng)，從某種程度上來說，防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的橋梁和檢查站，它一般由一臺和多臺計(jì)算機(jī)構(gòu)成，它對內(nèi)部網(wǎng)和外部網(wǎng)的數(shù)據(jù)流量進(jìn)行分析、檢測、管理和控制，通過對數(shù)據(jù)的篩選和過濾，來防止未授權(quán)的訪問進(jìn)出內(nèi)部計(jì)算機(jī)網(wǎng)，從而達(dá)到保護(hù)內(nèi)部網(wǎng)資源和信息的目的。 防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流，且本身具

46、有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。5.1.2防火墻的體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)雙重宿主主機(jī)體系結(jié)構(gòu)圍繞雙重宿主主機(jī)構(gòu)筑。雙重宿主主機(jī)至少有兩個(gè)網(wǎng)絡(luò)接口。這樣的主機(jī)可以充當(dāng)與這些接口相連的網(wǎng)絡(luò)之間的路由器；它能夠從一個(gè)網(wǎng)絡(luò)到另外一個(gè)網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。然而雙重宿主主機(jī)的防火墻體系結(jié)構(gòu)禁止這種發(fā)送。因此IP數(shù)據(jù)包并不是從一個(gè)網(wǎng)絡(luò)（如外部網(wǎng)絡(luò)）直接發(fā)送到另一個(gè)網(wǎng)絡(luò)（如內(nèi)部網(wǎng)絡(luò)）。外部網(wǎng)絡(luò)能與雙重宿主主機(jī)通信，內(nèi)部網(wǎng)絡(luò)也能與雙重宿主

47、主機(jī)通信。但是外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)不能直接通信，它們之間的通信必須經(jīng)過雙重宿主主機(jī)的過濾和控制。 被屏蔽主機(jī)體系結(jié)構(gòu) 雙重宿主主機(jī)體系結(jié)構(gòu)防火墻沒有使用路由器。而被屏蔽主機(jī)體系結(jié)構(gòu)防火墻則使用一個(gè)路由器把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開，如圖4所示。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供（例如，數(shù)據(jù)包過濾用于防止人們繞過代理服務(wù)器直接相連）。這種體系結(jié)構(gòu)涉及到堡壘主機(jī)。堡壘主機(jī)是因特網(wǎng)上的主機(jī)能連接到的唯一的內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)。任何外部的系統(tǒng)要訪問內(nèi)部的系統(tǒng)或服務(wù)都必須先連接到這臺主機(jī)。因此堡壘主機(jī)要保持更高等級的主機(jī)安全。數(shù)據(jù)包過濾容許堡壘主機(jī)開放可允許的連接（什么是可允許連接將由你的站點(diǎn)的特殊的

48、安全策略決定）到外部世界。在屏蔽的路由器中數(shù)據(jù)包過濾配置可以按下列方案之一執(zhí)行：(1)允許其它的內(nèi)部主機(jī)為了某些服務(wù)開放到Internet上的主機(jī)連接（允許那些經(jīng)由數(shù)據(jù)包過濾的服務(wù)）；(2)不允許來自內(nèi)部主機(jī)的所有連接（強(qiáng)迫那些主機(jī)經(jīng)由堡壘主機(jī)使用代理服務(wù)）。被屏蔽子網(wǎng)體系結(jié)構(gòu) 被屏蔽子網(wǎng)體系結(jié)構(gòu)添加額外的安全層到被屏蔽主機(jī)體系結(jié)構(gòu)，即通過添加周邊網(wǎng)絡(luò)更進(jìn)一步的把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)隔離開。被屏蔽子網(wǎng)體系結(jié)構(gòu)的最簡單的形式為，兩個(gè)屏蔽路由器，每一個(gè)都連接到周邊網(wǎng)。一個(gè)位于周邊網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個(gè)位于周邊網(wǎng)與外部網(wǎng)絡(luò)之間。這樣就在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間形成了一個(gè)“隔離帶”。為了侵入用這種體系結(jié)

49、構(gòu)構(gòu)筑的內(nèi)部網(wǎng)絡(luò)，侵襲者必須通過兩個(gè)路由器。即使侵襲者侵入堡壘主機(jī)，他將仍然必須通過內(nèi)部路由器。 5.1.3防火墻的功能 數(shù)據(jù)包過濾技術(shù) 數(shù)據(jù)包過慮技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)(shdng)位置對數(shù)據(jù)包實(shí)施有選擇的通過的技術(shù).選擇好依據(jù)系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則后,只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。對于一個(gè)危險(xiǎn)的網(wǎng)絡(luò)，用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可限制內(nèi)部人員對一些站點(diǎn)的訪問。包過濾型防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層,它根據(jù)數(shù)據(jù)包頭源地址,目的地址,端口號和協(xié)議類型等標(biāo)志確定是否允許通過,只有

50、滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)目的地,其余數(shù)據(jù)包則被數(shù)據(jù)流中阻擋丟棄。網(wǎng)絡(luò)地址轉(zhuǎn)換(zhunhun)技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換是一種用于把IP地址轉(zhuǎn)換成臨時(shí)的外部的、注冊的IP的地址標(biāo)準(zhǔn),用戶必須要為網(wǎng)絡(luò)中每一臺機(jī)器(j q)取得注冊的IP地址7。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時(shí),系統(tǒng)將外出的源地址和源端口映射為一個(gè)偽裝的地址和端口與外部連接,這樣對外就隱藏了真實(shí)的內(nèi)部網(wǎng)絡(luò)地址。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時(shí),它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個(gè)開放的IP地址和端口來請求訪問7。防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個(gè)訪問是否安全和接受與否。網(wǎng)絡(luò)地址轉(zhuǎn)換過程對于用戶來說是透明的,

51、不需要用戶進(jìn)行設(shè)置,用戶只要進(jìn)行常規(guī)操作即可。 代理技術(shù) 代理技術(shù)是在應(yīng)用層實(shí)現(xiàn)防火墻功能,代理服務(wù)器執(zhí)行內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)申請時(shí)的中轉(zhuǎn)連接作用。代理偵聽網(wǎng)絡(luò)內(nèi)部客戶的服務(wù)請求,當(dāng)一個(gè)連接到來時(shí),首先進(jìn)行身份驗(yàn)證,并根據(jù)安全策略決定是否中轉(zhuǎn)連接。當(dāng)決定轉(zhuǎn)發(fā)時(shí),代理服務(wù)器上的客戶進(jìn)程向真正的服務(wù)器發(fā)出請求,服務(wù)器返回代理服務(wù)器轉(zhuǎn)發(fā)客戶機(jī)的數(shù)據(jù)。 另一種情況是,外部網(wǎng)通過代理訪問內(nèi)部網(wǎng),當(dāng)外部網(wǎng)絡(luò)節(jié)點(diǎn)提出服務(wù)請求時(shí),代理服務(wù)器首先對該用戶身份進(jìn)行驗(yàn)證。若為合法用戶,則把該請求轉(zhuǎn)發(fā)給真正的某個(gè)內(nèi)部網(wǎng)絡(luò)的主機(jī)。而在整個(gè)服務(wù)過程中,應(yīng)用代理一直監(jiān)控著用戶的操作,一旦用戶進(jìn)行非法操作,就可以進(jìn)行干涉,并對

52、每一個(gè)操作進(jìn)行記錄。若為不合法用語,則拒絕訪問。 全狀態(tài)檢測技術(shù)全狀態(tài)檢測防火墻在包過濾的同時(shí)，檢測數(shù)據(jù)包之間的關(guān)聯(lián)性，數(shù)據(jù)包中動態(tài)變化的狀態(tài)碼。它有一個(gè)檢測引擎，在網(wǎng)關(guān)上執(zhí)行網(wǎng)絡(luò)安全策略。監(jiān)測引擎采用抽取有關(guān)數(shù)據(jù)的方法對網(wǎng)絡(luò)通信的各層實(shí)施監(jiān)督測，抽取狀態(tài)信息，并動態(tài)地保存起來，作為以后執(zhí)行安全策略的參考。當(dāng)用戶訪問請求到達(dá)網(wǎng)關(guān)是操作系統(tǒng)前，狀態(tài)監(jiān)測器要抽取有關(guān)數(shù)據(jù)進(jìn)行分析，結(jié)合網(wǎng)絡(luò)配置和安全規(guī)定作出接納、拒絕、身份認(rèn)證、報(bào)警或給該通信加密處理動作。5.2入侵檢測系統(tǒng) 5.2.1入侵檢測系統(tǒng)概述 入侵檢測是指通過對行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操作，檢測到對系統(tǒng)的闖入或

53、闖入的企圖。入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)。5.2.2入侵檢測原理 入侵檢測跟其他檢測技術(shù)有同樣的原理。從一組數(shù)據(jù)中，檢測出符合某一特點(diǎn)的數(shù)據(jù)。攻擊者進(jìn)行攻擊的時(shí)候會留下痕跡，這些痕跡和系統(tǒng)正常運(yùn)行的時(shí)候產(chǎn)生的數(shù)據(jù)混在一起。入侵檢測系統(tǒng)的任務(wù)是從這些混合的數(shù)據(jù)中找出是否有入侵的痕跡，并給出相關(guān)的提示和警告。 入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)(xtng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。由放置在不同網(wǎng)段的傳感器或不同

54、主機(jī)的代理來收集信息，包括系統(tǒng)和網(wǎng)絡(luò)日志文件、網(wǎng)絡(luò)流量、非正常的目錄和文件改變、非正常的程序執(zhí)行。第二步是信息分析，收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)(wnglu)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，被送到檢測引擎，檢測引擎駐留在傳感器中，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。當(dāng)檢測到某種誤用模式時(shí)，產(chǎn)生一個(gè)告警并發(fā)送給控制臺。 第三步是結(jié)果處理，控制臺按照告警產(chǎn)生預(yù)先定義的響應(yīng)采取相應(yīng)措施，可以是重新配置路由器或防火墻、終止進(jìn)程、切斷(qi dun)連接、改變文件屬性，也可以只是簡單的告警。5.2.3局域網(wǎng)入侵檢測系統(tǒng)的構(gòu)建方法 根據(jù)CIDF規(guī)范，從功能上將IDS劃分為四個(gè)基本部

55、分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)。具體實(shí)現(xiàn)起來，一般都將數(shù)據(jù)采集子系統(tǒng)和數(shù)據(jù)分析子系統(tǒng)在Linux或Unix平臺上實(shí)現(xiàn)，稱之為數(shù)據(jù)采集分析中心；將控制臺子系統(tǒng)在WindowsNT或2000上實(shí)現(xiàn)，數(shù)據(jù)庫管理子系統(tǒng)基于Access或其他功能更強(qiáng)大的數(shù)據(jù)庫如SQL等，多跟控制臺子系統(tǒng)結(jié)合在一起，稱之為控制管理中心。構(gòu)建一個(gè)基本的IDS,具體需考慮以下幾個(gè)方面的內(nèi)容。 首先，數(shù)據(jù)采集機(jī)制是實(shí)現(xiàn)IDS的基礎(chǔ)，數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層，其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件，并向其他部分提供事件。這就需要使用網(wǎng)絡(luò)監(jiān)聽來實(shí)現(xiàn)審計(jì)數(shù)據(jù)的獲取，可以通過對網(wǎng)卡工作模式的設(shè)置為

56、“混雜”模式實(shí)現(xiàn)對某一段網(wǎng)絡(luò)上所有數(shù)據(jù)包的捕獲。然后，需要構(gòu)建并配置探測器，實(shí)現(xiàn)數(shù)據(jù)采集功能。應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況，選用合適的軟件及硬件設(shè)備，如果網(wǎng)絡(luò)數(shù)據(jù)流量很小，用一般的PC機(jī)安裝Linux即可，如果所監(jiān)控的網(wǎng)絡(luò)流量非常大，則需要用一臺性能較高的機(jī)器；在服務(wù)器上開出一個(gè)日志分區(qū)，用于采集數(shù)據(jù)的存儲；接著應(yīng)進(jìn)行有關(guān)軟件的安裝與配置，至此系統(tǒng)已經(jīng)能夠收集到網(wǎng)絡(luò)數(shù)據(jù)流了。其次，應(yīng)建立數(shù)據(jù)分析模塊。數(shù)據(jù)分析模塊相當(dāng)于IDS的大腦，它必須具備高度的“智慧”和“判斷能力”,所以，在設(shè)計(jì)此模塊之前，需要對各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個(gè)很清晰、深入地研究，然后制訂相應(yīng)的安全規(guī)則庫和安

57、全策略，再分別建立濫用檢測模型和異常檢測模型，讓機(jī)器模擬自己的分析過程，識別確知特征的攻擊和異常行為，最后將分析結(jié)果形成報(bào)警消息，發(fā)送給控制管理中心。設(shè)計(jì)數(shù)據(jù)分析模塊的工作量浩大，需要不斷地更新、升級、完善。在這里需要特別注意3個(gè)問題。應(yīng)優(yōu)化檢測模型和算法的設(shè)計(jì)，確保系統(tǒng)的執(zhí)行效率；安全規(guī)則的制訂要充分考慮包容性和可擴(kuò)展性，以提高系統(tǒng)的伸縮性；報(bào)警消息要遵循特定的標(biāo)準(zhǔn)格式，增強(qiáng)其共享與互操作能力，切忌隨意制訂消息格式的不規(guī)范做法。第三，需要構(gòu)建控制臺子系統(tǒng)?？刂婆_子系統(tǒng)負(fù)責(zé)向網(wǎng)絡(luò)管理員匯報(bào)各種網(wǎng)絡(luò)違規(guī)行為，并由管理員對一些惡意行為采取行動（如阻斷、跟蹤等）?？刂婆_子系統(tǒng)的主要任務(wù)有：管理數(shù)據(jù)采

58、集分析中心，以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報(bào)消息；根據(jù)安全策略進(jìn)行一系列的響應(yīng)動作，以阻止非法行為，確保網(wǎng)絡(luò)的安全。控制臺子系統(tǒng)的設(shè)計(jì)重點(diǎn)是：警報(bào)信息查詢、探測器管理、規(guī)則管理及用戶管理。第四，需要構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)。一個(gè)好的入侵檢測系統(tǒng)不僅僅應(yīng)當(dāng)為管理員提供實(shí)時(shí)、豐富的警報(bào)信息，還應(yīng)詳細(xì)地記錄現(xiàn)場數(shù)據(jù)，以便于日后需要取證時(shí)重建某些網(wǎng)絡(luò)事件。數(shù)據(jù)庫管理子系統(tǒng)的前端程序通常與控制臺子系統(tǒng)集成在一起，用Access或其他數(shù)據(jù)庫存儲警報(bào)信息和其他數(shù)據(jù)。第五，完成綜合調(diào)試。以上幾步完成之后，一個(gè)IDS的最基本框架已被實(shí)現(xiàn)。但要使這個(gè)IDS順利地運(yùn)轉(zhuǎn)起來，還需要保持各個(gè)部分之間

59、安全、順暢地通信和交互，這就是綜合調(diào)試工作所要解決的問題，主要包括要實(shí)現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的雙向通信及保證通信的安全性，最好對通信數(shù)據(jù)流進(jìn)行加密操作，以防止被竊聽或篡改。同時(shí)，控制管理中心的控制臺子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間也有大量的交互操作，如警報(bào)信息查詢、網(wǎng)絡(luò)事件重建等。經(jīng)過綜合調(diào)試后，一個(gè)基本的IDS就構(gòu)建完成了，但是此時(shí)還不能放松警惕，因?yàn)樵谝院蟮膽?yīng)用中要不斷地對它進(jìn)行維護(hù)，特別是其檢測能力的提高；同時(shí)還要注意與防火墻等其它系統(tǒng)安全方面的軟件相配合，以期從整體性能上提高局域網(wǎng)的安全能力。6.局域網(wǎng)安全(nqun)防范策略一個(gè)網(wǎng)絡(luò)的防病毒體系是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的，應(yīng)該根據(jù)每個(gè)局域網(wǎng)的防病毒要求，建立局域網(wǎng)防病毒控制系統(tǒng)，分別(fnbi)設(shè)置有針對性的防病毒策略。6.1劃分(hu fn)VLAN防止網(wǎng)絡(luò)偵聽運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)