摘要：目前，許多安全性解決方案都依賴于精確的IP地址，所以不論目標主機上運行的是何種操作系統，IP欺騙攻擊都是容易實現的，這些攻擊包括序列號欺騙、路由攻擊、源地址欺騙和授權欺騙。

　　關鍵詞：網絡安全,網絡技術,科技發展

　　防范網絡入侵和攻擊的主要技術 在網絡環境下，由于種種原因，網絡被入侵和攻擊是難免的。但是，通過加強管理和采用必要的技術手段可以減少入侵和攻擊行為，避免因入侵和攻擊造成的各種損失。下面就介紹幾種主要的防范入侵和攻擊的技術措施。

　　論文選自：《網絡安全技術與應用》雜志成立于2003年，先由中華人民共和國公安部主管、中國人民公安大學出版社主辦。從2009年起，本刊改由中華人民教育部主管，北京大學出版社主辦，是國內網絡安全技術與應用領域行業指導性科技月刊，國內外公開發行。本刊系“三高兩強”刊物，即信息量高、學術水平高、技術含量高;專業性強、應用性強。

　　訪問控制的主要目的是確保網絡資源不被非法訪問和非法利用，是網絡安全保護和防范的核心策略之一。訪問控制技術主要用于對靜態信息的保護，需要系統級別的支持，一般在操作系統中實現。目前，訪問控制主要涉及入網訪問控制、權限控制、目錄級安全控制以及屬性安全控制等多種手段。

　　入網訪問控制通過對用戶名、用戶密碼和用戶帳號默認權限的綜合驗證、檢查來限制用戶對網絡的訪問，它能控制哪些用戶、在什么時間以及使用哪臺主機入網。入網訪問控制為網絡訪問提供了第一層訪問控制。

　　網絡用戶一般分為三類：系統管理員用戶，負責網絡系統的配置和管理;普通用戶，由系統管理員創建并根據他們的實際需要為其分配權限;審計用戶，負責網絡系統的安全控制和資源使用情況的審計。用戶入網后就可以根據自身的權限訪問網絡資源。權限控制通過訪問控制表來規范和限制用戶對網絡資源訪問，訪問控制表中規定了用戶可以訪問哪些目錄、子目錄、文件和其它資源，指定用戶對這些文件、目錄等資源能夠執行哪些操作。

　　特洛伊木馬 特洛伊木馬(簡稱木馬)是一種C/S結構的網絡應用程序，木馬程序一般由服務器端程序和控制器端程序組成。“中了木馬”就是指目標主機中被安裝了木馬的服務器端程序。若主機“中了木馬”，則攻擊者就可以利用木馬的控制器端程序與駐留在目標主機上的服務器端程序進行通信，進而達到獲取目標主機上的各種信息的目的。

　　緩沖區溢出 緩沖區是指計算機程序運行時在內存中開辟的臨時存儲數據的區域。理想情況是，程序檢查數據長度并且不允許輸入超過緩沖區長度的內容，但是很多程序都不做這種檢查，這就為緩沖區溢出埋下隱患。通過向緩沖區寫入超出其長度的內容，造成緩沖區的溢出，緩沖區溢出可能會帶來兩種結果：一是過長的內容覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴重的可導致系統崩潰;二是破壞程序的堆棧，使程序轉而執行其它的指令，由此而引發多種攻擊方法。

　　拒絕服務攻擊 拒絕服務攻擊是利用合理的服務請求來占用過多的服務資源，致使目標主機服務超載，停止提供服務或資源訪問。這些服務資源包括網絡帶寬、磁盤容量、內存、進程等。拒絕服務攻擊是由于網絡協議本身的安全缺陷造成的，這種攻擊會導致資源的匱乏，無論目標主機速度多快、容量多大、網絡環境多好都無法避免這種攻擊。拒絕服務攻擊能實現兩種效果：一是迫使目標主機的緩沖區滿，不接收新的請求;二是使用IP欺騙，迫使目標主機把合法用戶的連接復位，影響合法用戶的連接。

　　以太網協議的工作方式是把要發送的數據包發往同一網段內的所有主機，在包頭中含有目的主機的地址，正常情況下，只有地址與數據包的目標地址相同的主機才能接收數據包，但是當主機工作在監聽模式下，不管數據包中的目標地址是什么，它都可以接收。網絡監聽就是利用這一原理，將主機設置在監聽模式下從網上截獲各種信息。

　　網絡監聽需要進入到目標主機所在的局域網內部，選擇一臺主機實施，監聽效果最好的地方是在網關、路由器、防火墻上，能捕獲更多的信息。

　　IP欺騙是利用TCP/IP協議本身的安全缺陷實現攻擊的，它通過盜用合法的IP地址，獲取目標主機的信任，進而訪問目標主機上的資源。

　　系統管理員為用戶在目錄一級指定的權限對該目錄下的所有文件和子目錄均有效。如果用戶濫用權限，則會對這些目錄、文件或設備等網絡資源構成威脅。目錄級安全控制可以限制用戶對目錄和文件的訪問權限，進而保護目錄和文件的安全，防止用戶權限濫用。

　　屬性安全控制是通過給網絡資源設置安全屬性標記來實現的。它可以將目錄或文件隱藏、共享和設置成系統特性，可以限制用戶對文件進行讀、寫、刪除、運行等操作等。屬性安全在權限安全的基礎上提供更進一步的安全性。

　　防火墻是一種高級訪問控制設備，是置于不同網絡安全域之間的一系列部件的組合，是不同網絡安全域間通信流的惟一通道，它能根據有關的安全策略控制(允許、拒絕、監視、記錄)進出網絡的訪問行為。防火墻是網絡安全的屏障，是提供安全信息服務、實現網絡安全的基礎設施之一。

　　防火墻能極大地提高一個內部網絡的安全性，防止來自被保護區域外部的攻擊，并通過過濾不安全的服務而降低風險;能防止內部信息外泄和屏蔽有害信息，利用防火墻對內部網絡的劃分，可以實現內部網絡重點網段的隔離，限制安全問題擴散，從而降低了局部重點或敏感網絡安全問題對全局網絡造成的影響;能強化網絡安全策略，將局域網的安全管理集中在一起，便于統一管理和執行安全策略;能嚴格監控和審計進出網絡的信息，如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。

　　數據加密能防止入侵者查看、篡改機密的數據文件，使入侵者不能輕易地查找一個系統的文件。數據加密技術是網絡中最基本的安全技術，主要是通過對網絡中傳輸的信息進行加密來保障其安全性，是一種主動的安全防御策略。

　　數據加密實質上是對以符號為基礎的數據進行移位和置換的變換算法，這種變換受“密鑰”控制。常用的數據加密技術有私用密鑰加密技術和公開密鑰加密技術。私用密鑰加密技術利用同一個密鑰對數據進行加密和解密，這個密鑰必須秘密保管，只能為授權用戶所知，授權用戶既可以用該密鑰加密信息，也可以用該密鑰解密信息。DES是私用密鑰加密技術中最具代表性的算法。公開密鑰加密技術采用兩個不同的密鑰進行加密和解密，這兩個密鑰是公鑰和私鑰。如果用公鑰對數據進行加密，只有用對應的私鑰才能進行解密;如果用私鑰對數據進行加密，則只有用對應的公鑰才能解密。公鑰是公開的，任何人可以用公鑰加密信息，再將密文發送給私鑰擁有者。私鑰是保密的，用于解密其接收的用公鑰加密過的信息。目前比較安全的采用公開密鑰加密技術的算法主要有RSA算法及其變種Rabin算法等。

　　入侵檢測是對入侵行為的檢測，它通過收集和分析網絡行為、安全日志、審計數據、其它網絡上可以獲得的信息以及計算機系統中若干關鍵點的信息，檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。

　　用于入侵檢測的軟件與硬件的組合便是入侵檢測系統，入侵檢測系統被認為是防火墻之后的第二道安全閘門，它能監視分析用戶及系統活動，查找用戶的非法操作，評估重要系統和數據文件的完整性，檢測系統配置的正確性，提示管理員修補系統漏洞;能實時地對檢測到的入侵行為進行反應，在入侵攻擊對系統發生危害前利用報警與防護系統驅逐入侵攻擊，在入侵攻擊過程中減少入侵攻擊所造成的損失，在被入侵攻擊后收集入侵攻擊的相關信息，作為防范系統的知識，添加入侵策略集中，增強系統的防范能力，避免系統再次受到同類型的入侵攻擊。

　　入侵檢測作為一動態安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵，它與靜態安全防御技術(防火墻)相互配合可構成堅固的網絡安全防御體系。

　　安全掃描就是對計算機系統或者其它網絡設備進行安全相關的檢測，以找出安全隱患和可能被攻擊者利用的漏洞。安全掃描是把雙刃劍，攻擊者利用它可以入侵系統，而管理員利用它可以有效地防范攻擊者入侵。

　　安全掃描常采用基于網絡的主動式策略和基于主機的被動式策略。主動式策略就是通過執行一些腳本文件模擬對系統進行攻擊的行為并記錄系統的反應，從而發現其中的漏洞;而被動式策略就是對系統中不合適的設置，脆弱的口令以及其它同安全規則抵觸的對象進行檢查。利用被動式策略掃描稱為系統安全掃描，利用主動式策略掃描稱為網絡安全掃描。

　　目前，安全掃描主要涉及四種檢測技術：基于應用的檢測技術、基于主機的檢測技術、基于目標的漏洞檢測技術、基于網絡的檢測技術。

　　網絡安全是動態的，對已經建立的系統，如果沒有實時的、集中的可視化審計，就不能及時評估系統的安全性和發現系統中存在的安全隱患。網絡安全審計就是在一個特定的網絡環境下，為了保障網絡和數據不受來自外網和內網用戶的入侵和破壞，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件，以便集中報警、分析、處理的一種技術手段，它是一種積極、主動的安全防御技術。

　　計算機網絡安全審計主要包括對操作系統、數據庫、Web、郵件系統、網絡設備和防火墻等項目的安全審計，以及加強安全教育，增強安全責任意識。目前，網絡安全審計系統主要包含以下幾種功能：采集多種類型的日志數據、日志管理、日志查詢、入侵檢測、自動生成安全分析報告、網絡狀態實時監視、事件響應機制、集中管理。

　　安全管理就是指為實現信息安全的目標而采取的一系列管理制度和技術手段，包括安全檢測、監控、響應和調整的全部控制過程。需要指出的是，不論多么先進的安全技術，都只是實現信息安全管理的手段而已，信息安全源于有效地管理，要使先進的安全技術發揮較好的效果，就必須建立良好的信息安全管理體系，制定切合實際的網絡安全管理制度，加強網絡安全的規范化管理力度，強化網絡管理人員和使用人員的安全防范意識。只有網絡管理人員與使用人員共同努力，才能有效防御網絡入侵和攻擊，才能使信息安全得到保障。

　　計算機網絡信息安全是一項復雜的系統工程，防御網絡入侵與攻擊只是保障網絡信息安全的一部分。隨著計算機網絡的快速應用和普及，網絡信息安全的不確定因素也越來越多，我們必須綜合考慮各種安全因素，認真分析各種可能的入侵和攻擊形式，采取有效的技術措施，制定合理的網絡安全策略和配套的管理辦法，防止各種可能的入侵和攻擊行為，避免因入侵和攻擊造成的各種損失。