數(shù)據(jù)業(yè)務(wù)作為其中起主導(dǎo)作用的主要業(yè)務(wù)類型,要求并驅(qū)動(dòng)

1、,Internet World,——網(wǎng)絡(luò)安全篇,,當(dāng)今的網(wǎng)絡(luò)運(yùn)營(yíng)商正在經(jīng)歷一個(gè)令人振奮的信息爆炸時(shí)代，網(wǎng)絡(luò)骨干帶寬平均每六到九個(gè)月就要增加一倍。數(shù)據(jù)業(yè)務(wù)作為其中起主導(dǎo)作用的主要業(yè)務(wù)類型，要求并驅(qū)動(dòng)網(wǎng)絡(luò)結(jié)構(gòu)開始發(fā)生根本性的改變。光互聯(lián)網(wǎng)的出現(xiàn)為基于IP技術(shù)的網(wǎng)絡(luò)應(yīng)用奠定了新的基礎(chǔ)。伴隨網(wǎng)絡(luò)的普及，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，電信部門業(yè)務(wù)系統(tǒng)安全成為影響網(wǎng)絡(luò)效能的重要問(wèn)題，而Internet所具有的開放性、國(guó)際性和自由性在

2、增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。由于國(guó)際形勢(shì)的變化，加劇了爆發(fā)“網(wǎng)絡(luò)戰(zhàn)爭(zhēng)”的可能性，保障網(wǎng)絡(luò)及信息安全直接關(guān)系到國(guó)家的經(jīng)濟(jì)安全甚至國(guó)家安全。因此如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和間諜的入侵，已成為國(guó)家電信基礎(chǔ)網(wǎng)絡(luò)健康發(fā)展所要考慮的重要問(wèn)題。,前 言,由于電信部門的特殊性，傳遞重要信息、是整個(gè)國(guó)民通信系統(tǒng)的基礎(chǔ)。它的安全性是尤其重要的。國(guó)內(nèi)現(xiàn)有的或正在建設(shè)中的網(wǎng)絡(luò)，采用的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全產(chǎn)品幾乎全是國(guó)外廠家的產(chǎn)品。而只有

3、使用國(guó)內(nèi)自主研制的信息安全產(chǎn)品、具有自主版權(quán)的安全產(chǎn)品，才能真正掌握信息戰(zhàn)場(chǎng)上的主動(dòng)權(quán)，才能從根本上防范來(lái)自各種非法的惡意攻擊和破壞?，F(xiàn)今大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)都把安全機(jī)制建立在網(wǎng)絡(luò)層安全機(jī)制上，認(rèn)為網(wǎng)絡(luò)安全就僅僅是防火墻、加密機(jī)等設(shè)備。隨著網(wǎng)絡(luò)的互聯(lián)程度的擴(kuò)大，具體應(yīng)用的多元化，這種安全機(jī)制對(duì)于網(wǎng)絡(luò)環(huán)境來(lái)講是十分有限的。面對(duì)種種威脅，必須采取有力的措施來(lái)保證計(jì)算機(jī)網(wǎng)絡(luò)的安全。必須對(duì)網(wǎng)絡(luò)的情況做深入的了解，對(duì)安全要求做嚴(yán)謹(jǐn)?shù)姆治?，提出一個(gè)完善

4、的安全解決方案。本方案根據(jù)電信網(wǎng)絡(luò)的具體網(wǎng)絡(luò)環(huán)境和具體的應(yīng)用，介紹如何建立一套針對(duì)電信部門的完整的網(wǎng)絡(luò)安全解決方案。 （來(lái)源：http://www.win118.com,由作者整理）,,,,,,網(wǎng)絡(luò)安全的定義,針對(duì)黑客攻擊的防措,,目,一獲取口令,二電子郵件擊,三特洛伊木馬攻

5、擊,五尋找系統(tǒng)漏洞,四誘入法,4.1 公開服務(wù)器應(yīng)用,4.2 病毒傳播,4.3 信息存儲(chǔ),4.4 管理的安全風(fēng)險(xiǎn)分析,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析,黑客攻擊的手段,引子,黑客帝國(guó),網(wǎng)絡(luò)安全地帶,1物理安全風(fēng)險(xiǎn)分析,2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析,3系統(tǒng)安全風(fēng)險(xiǎn)分析,4應(yīng)用安全風(fēng)險(xiǎn)分析,,錄,針對(duì)黑客攻擊的預(yù)防措施,防止源IP地址欺騙行為,防止拒絕服務(wù)器攻擊,針對(duì)網(wǎng)絡(luò)嗅探的預(yù)防措施,緩沖區(qū)溢出攻擊和防措,主辦單位：成都七中育才學(xué)校（東區(qū)）編輯出版：Inte

6、rnet World報(bào)社地址：成輝路76號(hào)郵編：61000編輯：初二(13)班 楊凌風(fēng)國(guó)際標(biāo)準(zhǔn)刊號(hào)：ISSN 5434-8665國(guó)內(nèi)統(tǒng)一刊號(hào)：CN 00-01003郵發(fā)代碼：48-8996出版日期：2005年12月,網(wǎng)絡(luò)安全地帶,,,,網(wǎng)絡(luò)安全的定義,什么是計(jì)算機(jī)網(wǎng)絡(luò)安全，盡管現(xiàn)在這個(gè)詞很火，但是真正對(duì)它有個(gè)正確認(rèn)識(shí)的人并不多。事實(shí)上要正確定義計(jì)算機(jī)網(wǎng)絡(luò)安全并不容易，困難在于要形成一個(gè)足夠去全面而有效的定義。通常的感覺(jué)下，

7、安全就是"避免冒險(xiǎn)和危險(xiǎn)"。在計(jì)算機(jī)科學(xué)中，安全就是防止：未授權(quán)的使用者訪問(wèn)信息未授權(quán)而試圖破壞或更改信息 這可以重述為“安全就是一個(gè)系統(tǒng)保護(hù)信息和系統(tǒng)資源相應(yīng)的機(jī)密性和完整性的能力"。注意第二個(gè)定義的范圍包括系統(tǒng)資源，即CPU、硬盤、程序以及其他信息。 在電信行業(yè)中，網(wǎng)絡(luò)安全的含義包括：關(guān)鍵設(shè)備的可靠性；網(wǎng)絡(luò)結(jié)構(gòu)、路由的安全性；具有網(wǎng)絡(luò)監(jiān)控、分析和自動(dòng)響應(yīng)的功能；確保

8、網(wǎng)絡(luò)安全相關(guān)的參數(shù)正常；能夠保護(hù)電信網(wǎng)絡(luò)的公開服務(wù)器（如撥號(hào)接入服務(wù)器等）以及網(wǎng)絡(luò)數(shù)據(jù)的安全性等各個(gè)方面。其關(guān)鍵是在滿足電信網(wǎng)絡(luò)要求，不影響網(wǎng)絡(luò)效率的同時(shí)保障其安全性。 （來(lái)源http://www.win118.com）,,,,,瞄準(zhǔn)網(wǎng)絡(luò)存在的安全漏洞，黑客們所制造的各類新型的風(fēng)險(xiǎn)將會(huì)不斷產(chǎn)生，這些風(fēng)險(xiǎn)由多種因素引起，與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素密切相關(guān)。下面從物理安全、網(wǎng)絡(luò)安

9、全、系統(tǒng)安全、應(yīng)用安全及管理安全進(jìn)行分類描述,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析,,,1、物理安全風(fēng)險(xiǎn)分析 我們認(rèn)為網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險(xiǎn)主要有：地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱不能保證幾個(gè)不同機(jī)密程度網(wǎng)絡(luò)的物理隔離.,2、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間如果在沒(méi)有采取一定的安全防護(hù)措施，內(nèi)部

10、網(wǎng)絡(luò)容易遭到來(lái)自外網(wǎng)的攻擊。包括來(lái)自inte-rnet上的風(fēng)險(xiǎn)和下級(jí)單位的風(fēng)險(xiǎn)。內(nèi)部局網(wǎng)不同部門或用戶之間如果沒(méi)有采用相應(yīng)一些訪問(wèn)控制，也可能造成信息泄漏或非法攻擊。據(jù)調(diào)查統(tǒng)計(jì)，已發(fā)生的網(wǎng)絡(luò)安全事件中，70%的攻擊是來(lái)自內(nèi)部。因此內(nèi)部網(wǎng)的安全風(fēng)險(xiǎn)更嚴(yán)重。內(nèi)部員工對(duì)自身企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用比較熟悉，自已攻擊或泄露重要信息內(nèi)外勾結(jié)，都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命安全威脅。,,,,,4、應(yīng)用的安全風(fēng)險(xiǎn)分析 應(yīng)用系統(tǒng)的安全涉及

11、很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也是動(dòng)態(tài)的。比如新增了一個(gè)新的應(yīng)用程序，肯定會(huì)出現(xiàn)新的安全漏洞，必須在安全策略上做一些調(diào)整，不斷完善。 這些項(xiàng)目做具體分析：,3、系統(tǒng)的安全風(fēng)險(xiǎn)分析 所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無(wú)論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door。而且系統(tǒng)本身必定存在安全漏洞。這些

12、“后門”或安全漏洞都將存在重大安全隱患。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小作出相應(yīng)的安全解決方案。,,,,4.1 公開服務(wù)器應(yīng)用 電信省中心負(fù)責(zé)全省的匯接、網(wǎng)絡(luò)管理、業(yè)務(wù)管理和信息服務(wù)，所以設(shè)備較多包括全省用戶管理、計(jì)費(fèi)服務(wù)器、認(rèn)證服務(wù)器、安全服務(wù)器、網(wǎng)管服務(wù)器、DNS服務(wù)器等公開服務(wù)器對(duì)外網(wǎng)提供瀏覽、查錄、下載等服務(wù)。既然外部用戶可以正常訪問(wèn)這些公開服務(wù)器，如果沒(méi)有采取一些訪問(wèn)控制，惡意入侵者就可能利用這些

13、公開服務(wù)器存在的安全漏洞（開放的其它協(xié)議、端口號(hào)等）控制這些服務(wù)器，甚至利用公開服務(wù)器網(wǎng)絡(luò)作橋梁入侵到內(nèi)部局域網(wǎng)，盜取或破壞重要信息。這些服務(wù)器上記錄的數(shù)據(jù)都是非常重要的，完成計(jì)費(fèi)、認(rèn)證等功能，他們的安全性應(yīng)得到100%的保證。,,4.2 病毒傳播,4.3信息存儲(chǔ),4.4管理的安全風(fēng)險(xiǎn)分析,,,,,4.2 病毒傳播 網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過(guò)網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳

14、播途徑潛入內(nèi)部網(wǎng)。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，有些病毒會(huì)在你的系統(tǒng)中自動(dòng)打包一些文件自動(dòng)從發(fā)件箱中發(fā)出。可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。,,4.1 公開服務(wù)器應(yīng)用,4.3信息存儲(chǔ),4.4管理的安全風(fēng)險(xiǎn)分析,,4.3信息存儲(chǔ) 由于天災(zāi)或其它意外事故，數(shù)據(jù)庫(kù)服務(wù)器造到破壞，如果沒(méi)有采用相應(yīng)的安全備份與恢復(fù)系統(tǒng)，則可能造成數(shù)據(jù)丟失后果，至少可能

15、造成長(zhǎng)時(shí)間的中斷服務(wù)。,,,4.1 公開服務(wù)器應(yīng)用,4.2 病毒傳播,4.4管理的安全風(fēng)險(xiǎn)分析,,,4.4管理的安全風(fēng)險(xiǎn)分析 管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。 比如一些員工或管理員隨便讓一些非本地員工甚至外來(lái)人員進(jìn)入機(jī)房重地，或者員工有意無(wú)意泄漏他們所知道的一些重要信息，而管理上卻沒(méi)有相應(yīng)制度來(lái)約束。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)（

16、如內(nèi)部人員的違規(guī)操作等），無(wú)法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對(duì)站點(diǎn)的訪問(wèn)活動(dòng)進(jìn)行多層次的記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。,（來(lái)源：http://www.win118.com）,,4.1 公開服務(wù)器應(yīng)用,4.2 病毒傳播,4.3信息存儲(chǔ),黑客帝國(guó),——反黑進(jìn)行時(shí),,,隨著互聯(lián)網(wǎng)黑客技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)世界的安全性不斷受到挑戰(zhàn)。對(duì)

17、于黑客自身來(lái)說(shuō)，要闖入大部分人的電腦實(shí)在是太容易了。如果你要上網(wǎng)，就免不了遇到黑客。所以必須知己知彼，才能在網(wǎng)上保持安全。,引 子,,,,一、獲取口令     這種方式有三種方法：一是缺省的登錄界面攻擊法。在被攻擊主機(jī)上啟動(dòng)一個(gè)可執(zhí)行程序，該程序顯示一個(gè)偽造的登錄界面。當(dāng)用戶在這個(gè)偽裝的界面上鍵入登錄信息（用戶名、密碼等）后，程序?qū)⒂脩糨斎氲男畔魉偷焦粽咧鳈C(jī)，然后關(guān)閉界面給出提示信息“系統(tǒng)故障”，要求

18、用戶重新登錄。此后，才會(huì)出現(xiàn)真正的登錄界面。二是通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)非法得到用戶口令，這類方法有一定的局限性，但危害性極大，監(jiān)聽(tīng)者往往能夠獲得其所在網(wǎng)段的所有用戶賬號(hào)和口令，對(duì)局域網(wǎng)安全威脅巨大；三是在知道用戶的賬號(hào)后（如電子郵件“＠”前面的部分）利用一些專門軟件強(qiáng)行破解用戶口令，這種方法不受網(wǎng)段限制，但黑客要有足夠的耐心和時(shí)間；尤其對(duì)那些口令安全系數(shù)極低的用戶，只要短短的一兩分鐘，甚至幾十秒內(nèi)就可以將其破解。,黑客攻擊的手段:,二、電子郵件擊

19、,三、特洛伊木馬攻擊,四、誘入法,五、尋找系統(tǒng)漏洞,黑客攻擊的手段,,,,二、電子郵件攻擊     這種方式一般是采用電子郵件炸彈（E－mailBomb），是黑客常用的一種攻擊手段。指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)、萬(wàn)計(jì)甚至無(wú)窮多次的內(nèi)容相同的惡意郵件，也可稱之為大容量的垃圾郵件。由于每個(gè)人的郵件信箱是有限的，當(dāng)龐大的郵件垃圾到達(dá)信箱的時(shí)候，就會(huì)擠滿信箱，把正常的郵件給沖掉。同時(shí)

20、，因?yàn)樗加昧舜罅康木W(wǎng)絡(luò)資源，常常導(dǎo)致網(wǎng)絡(luò)塞車，使用戶不能正常地工作，嚴(yán)重者可能會(huì)給電子郵件服務(wù)器操作系統(tǒng)帶來(lái)危險(xiǎn)，甚至癱瘓。,,黑客攻擊的手段:,一、獲取口令,三、特洛伊木馬攻擊,四、誘入法,五、尋找系統(tǒng)漏洞,,三、特洛伊木馬攻擊     “特洛伊木馬程序”技術(shù)是黑客常用的攻擊手段。它通過(guò)在你的電腦系統(tǒng)隱藏一個(gè)會(huì)在Windows啟動(dòng)時(shí)運(yùn)行的程序，采用服務(wù)器／客戶機(jī)的運(yùn)行方式，從而達(dá)到在上網(wǎng)時(shí)控制你電腦的

21、目的。黑客利用它竊取你的口令、瀏覽你的驅(qū)動(dòng)器、修改你的文件、登錄注冊(cè)表等等，如流傳極廣的冰河木馬，現(xiàn)在流行的很多病毒也都帶有黑客性質(zhì)，如影響面極廣的“Nimda”、“求職信”和“紅色代碼”及“紅色代碼II”等。攻擊者可以佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），將這些東西通過(guò)電子郵件的方式發(fā)送給你。如某些單位的網(wǎng)絡(luò)管理員會(huì)定期給用戶免費(fèi)發(fā)送防火墻升級(jí)程序，這些程序多為可執(zhí)行程序，這就為黑客提供了可乘之機(jī)，很多用戶稍不注意就可

22、能在不知不覺(jué)中遺失重要信息。,,黑客攻擊的手段:,一、獲取口令,二、電子郵件擊,四、誘入法,五、尋找系統(tǒng)漏洞,,,四、誘入法     黑客編寫一些看起來(lái)“合法”的程序，上傳到一些FTP站點(diǎn)或是提供給某些個(gè)人主頁(yè)，誘導(dǎo)用戶下載。當(dāng)一個(gè)用戶下載軟件時(shí)，黑客的軟件一起下載到用戶的機(jī)器上。該軟件會(huì)跟蹤用戶的電腦操作，它靜靜地記錄著用戶輸入的每個(gè)口令，然后把它們發(fā)送給黑客指定的Internet信箱。例如，有人發(fā)送給

23、用戶電子郵件，聲稱為“確定我們的用戶需要”而進(jìn)行調(diào)查。作為對(duì)填寫表格的回報(bào)，允許用戶免費(fèi)使用多少小時(shí)。但是，該程序?qū)嶋H上卻是搜集用戶的口令，并把它們發(fā)送給某個(gè)遠(yuǎn)方的“黑客”。,,,黑客攻擊的手段:,一、獲取口令,二、電子郵件擊,三、特洛伊木馬攻擊,五、尋找系統(tǒng)漏洞,,,,五、尋找系統(tǒng)漏洞     許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs），其中某些是操作系統(tǒng)或應(yīng)用軟件本身具有的，如Sendmail漏洞，W

24、indows98中的共享目錄密碼驗(yàn)證漏洞和IE5漏洞等，這些漏洞在補(bǔ)丁未被開發(fā)出來(lái)之前一般很難防御黑客的破壞，除非你不上網(wǎng)。還有就是有些程序員設(shè)計(jì)一些功能復(fù)雜的程序時(shí)，一般采用模塊化的程序設(shè)計(jì)思想，將整個(gè)項(xiàng)目分割為多個(gè)功能模塊，分別進(jìn)行設(shè)計(jì)、調(diào)試，這時(shí)的后門就是一個(gè)模塊的秘密入口。在程序開發(fā)階段，后門便于測(cè)試、更改和增強(qiáng)模塊功能。正常情況下，完成設(shè)計(jì)之后需要去掉各個(gè)模塊的后門，不過(guò)有時(shí)由于疏忽或者其他原因（如將其留在程序中，便于日后訪問(wèn)

25、、測(cè)試或維護(hù)）后門沒(méi)有去掉，一些別有用心的人會(huì)利用專門的掃描工具發(fā)現(xiàn)并利用這些后門，然后進(jìn)入系統(tǒng)并發(fā)動(dòng)攻擊。,,,黑客攻擊的手段:,一、獲取口令,二、電子郵件擊,三、特洛伊木馬攻擊,四、誘入法,,,,現(xiàn)在，你該知道黑客慣用的一些攻擊手段了吧？當(dāng)我們對(duì)黑客們的這些行為有所了解后，就能做到“知己知彼，百戰(zhàn)不殆”，從而更有效地防患于未然，拒黑客于“機(jī)”外。網(wǎng)絡(luò)的開放性決定了它的復(fù)雜性和多樣性，隨著技術(shù)的不斷進(jìn)步，各種各樣高明的黑客還會(huì)不斷誕生

26、，同時(shí)，他們使用的手段也會(huì)越來(lái)越先進(jìn)。我們惟有不斷提高個(gè)人的安全意識(shí)，再加上必要的防護(hù)手段，斬?cái)嗪诳偷暮谑帧Ｏ嘈磐ㄟ^(guò)大家的努力，黑客們的舞臺(tái)將會(huì)越來(lái)越小，個(gè)人用戶可以高枕無(wú)憂地上網(wǎng)沖浪，還我們一片寧?kù)o的天空。(來(lái)源:瑞星反病毒資訊網(wǎng),由作者編輯),,黑客攻擊的手段:,一、獲取口令,二、電子郵件擊,三、特洛伊木馬攻擊,四、誘入法,五、尋找系統(tǒng)漏洞,,,,,針對(duì)黒客攻擊的預(yù)防措施,目前造成網(wǎng)絡(luò)不安全的主要因素是系統(tǒng)、協(xié)議及數(shù)據(jù)庫(kù)等的設(shè)計(jì)上

27、存在缺陷。由于當(dāng)今的計(jì)算機(jī)網(wǎng)絡(luò)操作系統(tǒng)在本身結(jié)構(gòu)設(shè)計(jì)和代碼設(shè)計(jì)時(shí)偏重考慮系統(tǒng)使用時(shí)的方便性，導(dǎo)致了系統(tǒng)在遠(yuǎn)程訪問(wèn)、權(quán)限控制和口令管理等許多方面存在安全漏洞。網(wǎng)絡(luò)互連一般采用TCP/IP協(xié)議，它是一個(gè)工業(yè)標(biāo)準(zhǔn)的協(xié)議簇，但該協(xié)議簇在制訂之初，對(duì)安全問(wèn)題考慮不多，協(xié)議中有很多的安全漏洞。同樣，數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)也存在數(shù)據(jù)的安全性、權(quán)限管理及遠(yuǎn)程訪問(wèn)等方面問(wèn)題，在DBMS 或應(yīng)用程序中可以預(yù)先安置從事情報(bào)收集、受控激發(fā)、定時(shí)發(fā)作等破壞程

28、序?！　∮纱丝梢?jiàn)，針對(duì)系統(tǒng)、網(wǎng)絡(luò)協(xié)議及數(shù)據(jù)庫(kù)等，無(wú)論是其自身的設(shè)計(jì)缺陷，還是由于人為的因素產(chǎn)生的各種安全漏洞，都可能被一些另有圖謀的黑客所利用并發(fā)起攻擊。因此若要保證網(wǎng)絡(luò)安全、可靠，則必須熟知黑客網(wǎng)絡(luò)攻擊的一般過(guò)程。只有這樣方可在黒客攻擊前做好必要的防備，從而確保網(wǎng)絡(luò)運(yùn)行的安全和可靠。,,,,,要防止源IP地址欺騙行為，可以采取以下措施來(lái)盡可能地保護(hù)系統(tǒng)免受這類攻擊:　　(1)拋棄基于地址的信任策略 阻止這類攻擊的一種十分容易的辦法

29、就是放棄以地址為基礎(chǔ)的驗(yàn)證。不允許r類遠(yuǎn)程調(diào)用命令的使用;刪除.rhosts 文件;清空/etc/hosts.equiv 文件。這將迫使所有用戶使用其它遠(yuǎn)程通信手段，如telnet、ssh、skey等等?！　?2)使用加密方法 在包發(fā)送到 網(wǎng)絡(luò)上之前，我們可以對(duì)它進(jìn)行加密。雖然加密過(guò)程要求適當(dāng)改變目前的網(wǎng)絡(luò)環(huán)境，但它將保證數(shù)據(jù)的完整性、真實(shí)性和保密性。　　(3)進(jìn)行包過(guò)濾 可以配置路由器使其能夠拒絕網(wǎng)絡(luò)外部與本網(wǎng)內(nèi)具有相同IP地址的

30、連接請(qǐng)求。而且，當(dāng)包的IP地址不在本網(wǎng)內(nèi)時(shí)，路由器不應(yīng)該把本網(wǎng)主機(jī)的包發(fā)送出去。有一點(diǎn)要注意，路由器雖然可以封鎖試圖到達(dá)內(nèi)部網(wǎng)絡(luò)的特定類型的包。但它們也是通過(guò)分析測(cè)試源地址來(lái)實(shí)現(xiàn)操作的。因此，它們僅能對(duì)聲稱是來(lái)自于內(nèi)部網(wǎng)絡(luò)的外來(lái)包進(jìn)行過(guò)濾，若你的網(wǎng)絡(luò)存在外部可信任主機(jī)，那么路由器將無(wú)法防止別人冒充這些主機(jī)進(jìn)行IP欺騙。,防止源IP地址欺騙行為,,,為了防止拒絕服務(wù)攻擊，我們可以采取以下的預(yù)防措施:　　(1) 建議在該網(wǎng)段的路由器上做些

31、配置的調(diào)整，這些調(diào)整包括限制Syn半開數(shù)據(jù)包的流量和個(gè)數(shù)?！　?2)要防止SYN數(shù)據(jù)段攻擊，我們應(yīng)對(duì)系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使得系統(tǒng)強(qiáng)制對(duì)超時(shí)的Syn請(qǐng)求連接數(shù)據(jù)包復(fù)位，同時(shí)通過(guò)縮短超時(shí)常數(shù)和加長(zhǎng)等候隊(duì)列使得系統(tǒng)能迅速處理無(wú)效的Syn請(qǐng)求數(shù)據(jù)包?！　?3)建議在路由器的前端做必要的TCP攔截，使得只有完成TCP三次握手過(guò)程的數(shù)據(jù)包才可進(jìn)入該網(wǎng)段，這樣可以有效地保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類攻擊?！　?4)對(duì)于信息淹沒(méi)攻擊，我們應(yīng)關(guān)掉

32、可能產(chǎn)生無(wú)限序列的服務(wù)來(lái)防止這種攻擊。比如我們可以在服務(wù)器端拒絕所有的ICMP包，或者在該網(wǎng)段路由器上對(duì)ICMP包進(jìn)行帶寬方面的限制，控制其在一定的范圍內(nèi)?！　】傊?，要徹底杜絕拒絕服務(wù)攻擊，最好的辦法是惟有追根溯源去找到正在進(jìn)行攻擊的機(jī)器和攻擊者。要追蹤攻擊者可不是一件容易的事情，一旦其停止了攻擊行為，很難將其發(fā)現(xiàn)。惟一可行的方法是在其進(jìn)行攻擊的時(shí)候，根據(jù)路由器的信息和攻擊數(shù)據(jù)包的特征，采用逐級(jí)回溯的方法來(lái)查找其攻擊源頭。這時(shí)需要各級(jí)

33、部門的協(xié)同配合方可有效果。,防止拒絕服務(wù)攻擊,,,,,網(wǎng)絡(luò)嗅探就是使網(wǎng)絡(luò)接口接收不屬于本主機(jī)的數(shù)據(jù)。。一個(gè)能接收所有數(shù)據(jù)包的機(jī)器被稱為雜錯(cuò)節(jié)點(diǎn)。通常賬戶和口令等信息都以明文的形式在以太網(wǎng)上傳輸，一旦被黑客在雜錯(cuò)節(jié)點(diǎn)上嗅探到，用戶就可能會(huì)遭到損害。　　對(duì)于網(wǎng)絡(luò)嗅探攻擊，我們可以采取以下措施進(jìn)行防范:　　(1)網(wǎng)絡(luò)分段 一個(gè)網(wǎng)絡(luò)段包括一組共享低層設(shè)備和線路的機(jī)器，如交換機(jī)，動(dòng)態(tài)集線器和網(wǎng)橋等設(shè)備，可以對(duì)數(shù)據(jù)流進(jìn)行限制，從而達(dá)到防止嗅探的

34、目的?！　?2)加密 一方面可以對(duì)數(shù)據(jù)流中的部分重要信息進(jìn)行加密，另一方面也可只對(duì)應(yīng)用層加密，然而后者將使大部分與網(wǎng)絡(luò)和操作系統(tǒng)有關(guān)的敏感信息失去保護(hù)。選擇何種加密方式這就取決于信息的安全級(jí)別及網(wǎng)絡(luò)的安全程度。　　(3)一次性口令技術(shù) 口令并不在網(wǎng)絡(luò)上傳輸而是在兩端進(jìn)行字符串匹配，客戶端利用從服務(wù)器上得到的Challenge,針對(duì)網(wǎng)絡(luò)嗅探的防范措施,和自身的口令計(jì)算出一個(gè)新字符串并將之返回給服務(wù)器。在服務(wù)器上利用比較算法進(jìn)行匹配，如

35、果匹配，連接就允許建立，所有的Challenge和字符串都只使用一次。　　(4)禁用雜錯(cuò)節(jié)點(diǎn) 安裝不支持雜錯(cuò)的網(wǎng)卡，通?？梢苑乐笽BM兼容機(jī)進(jìn)行嗅探。,,,,,緩沖區(qū)溢出攻擊是屬于系統(tǒng)攻擊的手段，通過(guò)往程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其它指令，以達(dá)到攻擊的目的。　　緩沖區(qū)溢出對(duì)網(wǎng)絡(luò)系統(tǒng)帶來(lái)了巨大的危害，要有效地防止這種攻擊，應(yīng)該做到以下幾點(diǎn):　　(1)程序指針完整性檢查 在程序指

36、針被引用之前檢測(cè)它是否改變。即便一個(gè)攻擊者成功地改變了程序的指針，由于系統(tǒng)事先檢測(cè)到了指針的改變，因此這個(gè)指針將不會(huì)被使用?！　?2)堆棧的保護(hù) 這是一種提供程序指針完整性檢查的編譯器技術(shù)，通過(guò)檢查函數(shù)活動(dòng)記錄中的返回地址來(lái),,實(shí)現(xiàn)。在堆棧中函數(shù)返回地址后面加了一些附加的字節(jié)，而在函數(shù)返回時(shí)，首先檢查這個(gè)附加的字節(jié)是否被改動(dòng)過(guò)。如果發(fā)生過(guò)緩沖區(qū)溢出的攻擊，那么這種攻擊很容易在函數(shù)返回前被檢測(cè)到。但是，如果攻擊者預(yù)見(jiàn)到這些附加字節(jié)的存在

37、，并且能在溢出過(guò)程中同樣地制造他們，那么他就能成功地跳過(guò)堆棧保護(hù)的檢測(cè)。　　(3)數(shù)組邊界檢查 所有的對(duì)數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對(duì)數(shù)組的操作在正確的范圍內(nèi)進(jìn)行。最直接的方法是檢查所有的數(shù)組操作，通?？梢圆捎靡恍﹥?yōu)化技術(shù)來(lái)減少檢查次數(shù)。目前主要有這幾種檢查方法:Compaq C編譯器、Jones & Kelly C數(shù)組邊界檢查、Purify存儲(chǔ)器存取檢查等。,緩沖區(qū)溢出攻擊及其防范措施,未來(lái)的競(jìng)爭(zhēng)是信息競(jìng)爭(zhēng)，而網(wǎng)絡(luò)信息是