計算機網(wǎng)絡安全畢業(yè)論文

1、<p><b>　　目　　　　錄</b></p><p>　　1.計算機網(wǎng)絡安全的含義</p><p>　　1.1計算機網(wǎng)絡安全定義</p><p>　　國際標準化組織將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術和治理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含

2、物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡安全性的含義是信息安全的引申，即網(wǎng)絡安全是對網(wǎng)絡信息保密性、完整性和可用性的保護。計算機網(wǎng)絡安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡安全的熟悉和要求也就不同。從普通使用者的角度來說，可能僅僅希望個人隱私或機密信息在網(wǎng)絡上傳輸時受到保護，避免被竊聽、篡改和偽造；而網(wǎng)絡提供商除了關心這些網(wǎng)絡信息安全外

3、，還要考慮如何應付突的自然災難、軍事打擊等對網(wǎng)絡硬件的破壞，以及在網(wǎng)絡出現(xiàn)異常時如何恢復網(wǎng)絡通保持網(wǎng)絡通信的連續(xù)性。</p><p>　　從本質上來講，網(wǎng)絡安全包括組成網(wǎng)絡系統(tǒng)的硬件、軟件及其在網(wǎng)絡上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡安全既有技術方面的，也有管理方面的問題，兩方面相互補充，缺一不可。人為的網(wǎng)絡入侵和攻擊行為使得網(wǎng)絡安全面臨新的挑戰(zhàn)。</p><p&g

4、t;　　1.2計算機網(wǎng)絡安全的現(xiàn)狀</p><p>　　計算機網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷。計算機和網(wǎng)絡技術具有的復雜性和多樣性，使得計算機和網(wǎng)絡安全成為一個需要持續(xù)更新和提高的領域。目前黑客的攻擊方法已超過了計算機病毒的種類，而且許多攻擊都是致命的。在Internet網(wǎng)絡上，因互聯(lián)網(wǎng)本身沒有時空和地域

5、的限制，每當有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡和系統(tǒng)漏洞進行攻擊從而造成計算機系統(tǒng)及網(wǎng)絡癱瘓。</p><p>　　2. 計算機網(wǎng)絡攻擊和入侵的主要途徑</p><p>　　2.1網(wǎng)絡入侵的定義</p><p>　　網(wǎng)絡入侵是指網(wǎng)絡攻擊者通過非法的手段（如破譯口令、電子欺騙等）獲得非法的權限，并通過使用這些非法的權限使網(wǎng)絡攻擊者能對

6、被攻擊的主機進行非授權的操作。網(wǎng)絡入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。 </p><p>　　2.2網(wǎng)絡攻擊的途徑</p><p>　　口令是計算機系統(tǒng)抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機，然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法很多，如：&

7、lt;/p><p>　　2.2.1利用目標主機的Finger功能</p><p>　　當用Finger命令查詢時，主機系統(tǒng)會將保存的用戶資料（如用戶名、登錄時間等）顯示在終端或計算機上；利用目標主機的X.500服務：有些主機沒有關閉X.500的目錄查詢服務，也給攻擊者提供了獲得信息的一條簡易途徑；從電子郵件地址中收集：有些用戶電子郵件地址常會透露其在目標主機上的帳號；查看主機是否有習慣性的帳號

8、：有經(jīng)驗的用戶都知道，很多系統(tǒng)會使用一些習慣性的帳號，造成帳號的泄露。</p><p>　　2.2.2 IP欺騙　</p><p>　　IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機假冒另一臺計算機以達到蒙混過關的目的。它只能對某些特定的運行TCP/IP的計算機進行入侵。IP欺騙利用了TCP/IP網(wǎng)絡協(xié)議的脆弱性。在TCP的三次握手過程中，入侵者假冒被入侵主機的信任主機與被入侵主機進行

9、連接，并對被入侵主機所信任的主機發(fā)起淹沒攻擊，使被信任的主機處于癱瘓狀態(tài)。當主機正在進行遠程服務時，網(wǎng)絡入侵者最容易獲得目標網(wǎng)絡的信任關系，從而進行IP欺騙。IP欺騙是建立在對目標網(wǎng)絡的信任關系基礎之上的。同一網(wǎng)絡的計算機彼此都知道對方的地址，它們之間互相信任。由于這種信任關系，這些計算機彼此可以不進行地址的認證而執(zhí)行遠程操作。</p><p>　　2.2.3 域名系統(tǒng)（DNS）</p><p

10、>　　域名系統(tǒng)（DNS）是一種用于TCP/IP程序的分布式數(shù)據(jù)庫，它提供主機名字和IP地址之間的轉換信息。通常，用戶通過UDP協(xié)議和DNS服務器進行通信，而服務器在特定的53端口監(jiān)聽，并返回用戶所需的相關信息。DNS協(xié)議不對轉換或信息性的更新進行身份認證，這使得該協(xié)議被人以一些不同的方式加以利用。當攻擊者危害DNS服務器并明確地更改主機名—IP地址映射表時,DNS欺騙就會發(fā)生。這些改變被寫入DNS服務器上的轉換表。因而,當一個客戶

11、機請求查詢時,用戶只能得到這個偽造的地址,該地址是一個完全處于攻擊者控制下的機器的IP地址。因為網(wǎng)絡上的主機都信任DNS服務器,所以一個被破壞的DNS服務器可以將客戶引導到非法的服務器,也可以欺騙服務器相信一個IP地址確實屬于一個被信任客戶。</p><p>　　3. 計算機網(wǎng)絡攻擊的特點</p><p>　　3.1計算機網(wǎng)絡攻擊具體特點</p><p><b

12、>　　3.1.1損失巨大</b></p><p>　　由于攻擊和入侵的對象是網(wǎng)絡上的計算機，所以一旦他們?nèi)〉贸晒?，就會使網(wǎng)絡中成千上萬臺計算機處于癱瘓狀態(tài)，從而給計算機用戶造成巨大的損失。如美國每年因計算機犯罪而造成的經(jīng)濟損失就達幾百億美元。平均一起計算機犯罪案件所造成的經(jīng)濟損失是一般案件的幾十到幾百倍。</p><p>　　3.1.2威脅和國家安全</p>

13、<p>　　一些計算機網(wǎng)絡攻擊者出于各種目的經(jīng)常把政府要害部門和軍事部門的計算機作為攻擊目標，從而對社會和國家安全造成威脅。</p><p>　　3.1.3手段多樣，手法隱蔽</p><p>　　計算機攻擊的手段可以說五花八門。網(wǎng)絡攻擊者既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取別人的保密信息；也可以通過截取別人的帳號和口令堂而皇之地進入別人的計算機系統(tǒng)；還可以通過一些特殊的方法繞過人們精心

14、設計好的防火墻等等。這些過程都可以在很短的時間內(nèi)通過任何一臺聯(lián)網(wǎng)的計算機完成。因而犯罪不留痕跡，隱蔽性很強。</p><p>　　3.1.4以軟件攻擊為主</p><p>　　幾乎所有的網(wǎng)絡入侵都是通過對軟件的截取和攻擊從而破壞整個計算機系統(tǒng)的。它完全不同于人們在生活中所見到的對某些機器設備進行物理上的摧毀。因此，這一方面導致了計算機犯罪的隱蔽性，另一方面又要求人們對計算機的各種軟件（包括

15、計算機通信過程中的信息流）進行嚴格的保護。</p><p>　　4. 計算機網(wǎng)絡中的安全缺陷及產(chǎn)生的原因</p><p>　　4.1網(wǎng)絡安全缺陷產(chǎn)生的主要原因</p><p>　　4.1.1TCP/IP的脆弱性</p><p>　　因特網(wǎng)的基石是TCP/IP協(xié)議。但不幸的是該協(xié)議對于網(wǎng)絡的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于

16、眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡攻擊。</p><p>　　4.1.2網(wǎng)絡結構的不安全性</p><p>　　因特網(wǎng)是一種網(wǎng)間網(wǎng)技術。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡。當人們用一臺主機和另一局域網(wǎng)的主機進行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機器重重轉發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機，他就可以劫持用戶的數(shù)據(jù)包。

17、</p><p><b>　　4.1.3易被竊聽</b></p><p>　　由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的郵件、口令和傳輸?shù)奈募M行竊聽。</p><p>　　4.1.4缺乏安全意識</p><p>　　雖然網(wǎng)絡中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使

18、這些保護措施形同虛設。如人們?yōu)榱吮荛_防火墻代理服務器的額外認證，進行直接的PPP連接從而避開了防火墻的保護。</p><p>　　5. 常見的網(wǎng)絡攻擊及其防范對策</p><p>　　隨著INTERNET的進一步發(fā)展，各種網(wǎng)上活動日益頻繁，尤其網(wǎng)上辦公、交易越來越普及，使得網(wǎng)絡安全問題日益突出，各種各樣的網(wǎng)絡攻擊層出不窮，如何防止網(wǎng)絡攻擊，為廣大用戶提供一個安全的網(wǎng)絡環(huán)境變得尤為重要。蠕蟲

19、、后門、Rootkits、DOS和Sniffer是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標直指互聯(lián)網(wǎng)基礎協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。</p><p><b>　　5.1 密碼攻

20、擊 </b></p><p>　　用戶在撥號上網(wǎng)時，如果選擇了“保存密碼”的功能，則上網(wǎng)密碼將被儲存在windows目錄中，以“username.pwl”的形式存放。如果不小心被別人看到這個文件，那就麻煩了，因為從網(wǎng)上可以很輕松地找到諸如pwlview這樣的軟件來觀看其中的內(nèi)容，那上網(wǎng)密碼就泄漏了。 </p><p>　　有的人使用名字、生日、電話號碼等來做密碼，更有的人的密碼

21、干脆和用戶名一樣，這樣的密碼，在黑客攻擊軟件龐大的字典文件面前簡直是不堪一擊。 </p><p>　　那么該如何防范密碼不被攻擊呢？應從以下方面入手：（1）不用生日、電話號碼、名字等易于猜到的字符做密碼。（2）上網(wǎng)時盡量不選擇保存密碼。（3）每隔半個月左右更換一次密碼，不要怕麻煩。</p><p><b>　　5.2　特洛伊木馬</b></p><

22、p>　　特洛伊木馬程序技術是黑客常用的攻擊手段。它通過在你的電腦系統(tǒng)隱藏一個會在Windows啟動時運行的程序，采用服務器／客戶機的運行方式，從而達到在上網(wǎng)時控制你電腦的目的。</p><p>　　特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬

23、程序包括兩個部分，即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡中傳播的指令。特洛伊木馬具有很強的生命力，在網(wǎng)絡中當人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的程序中，從而使它們受到感染。此類攻擊對機的危害極大，通過特洛伊木馬，網(wǎng)絡攻擊者可以讀寫未經(jīng)授權的文件，甚至可以獲得對被攻擊的計算機的控制權。 </p><p>　　防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進行數(shù)字簽名，而在運

24、行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網(wǎng)絡掃描軟件定期監(jiān)視內(nèi)部主機上的監(jiān)聽TCP服務。</p><p><b>　　5.3　郵件炸彈</b></p><p>　　郵件炸彈是最古老的匿名攻擊之一，通過設置一臺機器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡的帶寬，占據(jù)郵箱的空間

25、，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，防礙計算機的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡黑客通過計算機網(wǎng)絡對某一目標的報復活動中。</p><p>　　防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息，也可使自己的SMTP連接只能達成指定的服務器，從而免受外界郵件的侵襲。</p><p><b>

26、;　　5.4　過載攻擊</b></p><p>　　過載攻擊是攻擊者通過服務器長時間發(fā)出大量無用的請求，使被攻擊的服務器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進程攻擊，它是通過大量地進行人為地增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。 </p><p>　　防止過載攻擊的方法有：限制單個用戶所擁有的最

27、大進程數(shù)；殺死一些耗時的進程。然而，不幸的是這兩種方法都存在一定的負面效應。通過對單個用戶所擁有的最大進程數(shù)的限制和耗時進程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應，從而出現(xiàn)類似拒絕服務的現(xiàn)象。通常，管理員可以使用網(wǎng)絡監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機列表和網(wǎng)絡地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡外部還是網(wǎng)絡內(nèi)部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。</p><p&

28、gt;<b>　　5.5　淹沒攻擊</b></p><p>　　正常情況下，TCP連接建立要經(jīng)歷3次握手的過程，即客戶機向主機發(fā)送SYN請求信號；目標主機收到請求信號后向客戶機發(fā)送SYN/ACK消息；客戶機收到SYN/ACK消息后再向主機發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡的機會。攻擊者可以使用一個不存在或當時沒有被使用的主機的IP地址，向被攻擊主機發(fā)出SYN

29、請求信號，當被攻擊主機收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機發(fā)出SYN/消息。由于此時主機的IP不存在或當時沒有被使用所以無法向主機發(fā)送RST，因此，造成被攻擊的主機一直處于等待狀態(tài)，直至超時。如果攻擊者不斷地向被攻擊的主機發(fā)送SYN請求，被攻擊主機就會一直處于等待狀態(tài)，從而無法響應其他用戶的請求。 </p><p>　　對付淹沒攻擊的最好方法是實時監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數(shù)

30、，當連接數(shù)超過某一給定的數(shù)值時，實時關閉這些連接。</p><p><b>　　結 論</b></p><p>　　總之，計算機網(wǎng)絡安全是一個綜合性的課題，涉及技術、治理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術措施，一種技術只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網(wǎng)絡安全體系，需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā)。

31、安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。</p><p><b>　　參考文獻</b></p><p>　　尚曉航，陳強．計算機局域網(wǎng)與windows使用教程，清華大學出版社，2000</p><p>　　沈志星，馬金彪．計算機網(wǎng)絡應用技術［Ｍ］,清華大學出版社，2010<

32、;/p><p>　　劉占全，網(wǎng)絡管理與防火墻［M］，人民郵電出版社，1999</p><p>　　闞曉初， 計算機網(wǎng)絡基礎應用，北京大學出版社，2006.8</p><p>　　葉忠杰，計算機網(wǎng)絡安全技術，科學出版社，2003.8</p><p><b>　　致 謝</b></p><p>　　

33、感謝我的指導老師**老師，他嚴謹細致、一絲不茍的作風一直是我工作、學習中的榜樣；他循循善誘的教導和不拘一格的思路給予我無盡的啟迪。從最初的定題，到資料收集，到寫作、修改，到論文定稿，她們給了我耐心的指導和無私的幫助。每一次老師都及時的指點出我論文中的不足，在此我向她們表示我誠摯的謝意。同時，感謝所有任課老師和所有同學在這三年來給自己的指導和幫助，是他們教會了我專業(yè)知識，教會了我如何學習，教會了我如何做人。正是由于他們，我才能在各方面取得