網絡攻擊的防范措施范文
時間:2023-05-15 15:41:10
導語:如何才能寫好一篇網絡攻擊的防范措施,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:網絡攻擊;口令保護;漏洞
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 10-0088-01
為了加強網絡安全建設,用戶應當在對網絡攻擊進行分析與識別的基礎上,認真制定有針對性地策略。明確安全對象,設置強有力的安全保障體系。有的放矢,在網絡中層層設防,發揮網絡的每層作用,使每一層都成為一道關卡,才能全方位地抗拒各種不同的威脅和脆弱性,確保網絡信息的保密性、完整性、可用性。
一、防范措施
(1)提高安全意識:不要隨意打開來歷不明的電子郵件及文件,不要運行來歷不明的軟件和盜版軟件。不要隨便從Internet上下載軟件,尤其是不可靠的FIP站點和非授權的軟件分發點。即使從知名的網站下載的軟件也要及時用最新的殺毒軟件進行掃描。(2)防字典攻擊和口令保護:選擇12-15個字符組成口令,盡肯能使用字母數字混排,并且在任何字典上都查不到,那么口令就不可能被輕易竊取了。不要用個人信息(如生日、名字等),口令中要有一些非字母(數字、標點符號、控制字符等),還要好記一些,不能寫在紙上或計算機中的文件中,選擇口令的一個好辦法是將兩個相關的詞用一個數字或控制字符相連。重要的口令最好經常更換。(3)及時下載安裝系統補丁程序。(4)不隨便運行黑客程序,不少這類程序運行時會發出用戶的個人信息:在支持HTML的BBS上,如發現提交警告,現看源代碼,很可能是騙取密碼的陷阱。經常運行專門的反黑客軟件,不要時應在系統中安裝具有實時監測、攔截、查找黑客攻擊程序的工具。經常采用掃描工具軟件掃描,以發現漏洞并及早采取彌補措施。(5)使用能防病毒、防黑客的防火墻軟件:防火墻是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的侵入。將防毒、防黑客當成日常例行工作,定時更新防毒軟件,將防毒軟件保持在常駐狀態,以徹底防毒。由于黑客經常會針對特定的日期發動攻擊,用戶在此期間應特別提高警惕。(6)設置服務器,隱藏自己的IP地址:保護自己的IP地址是很重要的。事實上,即便用戶的計算機上被安裝了木馬程序,若沒有用戶的IP地址,攻擊者也是沒有辦法的,而保護IP地址的最好辦法就是設置服務器。服務器能起到外部網絡申請訪問內部網絡的中間轉接作用,其功能類似于一個數據轉發器,主要控制哪些用戶能訪問哪些服務類型。當外部網絡向內部網絡申請某種網絡服務時,服務器接受申請,然后他根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網絡轉發這項請求。(7)安裝過濾器路由器,防止IP欺騙:防止IP欺騙站點的最好辦法是安裝一臺過濾器路由器,該路由器限制對本站點外部接口的輸入,監視數據包,可發現IP欺騙。應不允許那些以本站點內部網為源地址的包通過,還應該過濾去那些以不同于內部網為源地址的包輸出,以防止從本站點進行IP欺騙。(8)建立完善的訪問控制策略:訪問控制時網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非常反問。它也是維護網絡系統安全、保護網絡資源的重要手段。要正確地設置入網訪問控制、網絡權限控制、目錄等級控制、屬性安全控制、網絡服務的安全控制。網絡端口和節點的安全控制、防火墻控制等安全機制。各種安全訪問控制互相配合,可以達到保護系統的最佳效果。(9)采用加密技術:不要在網絡上傳輸未經加密的口令和重要文件、信息。(10)做好備份工作:經常檢查系統注冊表,做好數據備份工作。
二、處理對策
(1)發現攻擊者。一般很難發現網絡系統是否被人入侵。即便系統上有攻擊者入侵,也可能永遠不被發現。如果攻擊者破壞了網絡系統的安全性,則可以追蹤他們。借助下面一些途徑可以發現攻擊者。(2)攻擊者正在行動時,捉住攻擊者。例如,當管理員正在工作時,發現有人使用超級用戶的帳號通過撥號終端登陸,而超級用戶口令只有管理員本人知道。(3)根據系統發生的一些改變推斷系統以被入侵。(4)其他站點的管理員那里收到郵件,稱從本站點有人對“他”的站點大肆活動。(5)根據網絡系統中一些奇怪的現象,發現攻擊者。例如,不正常的主機連接及連接次數,系統崩潰,突然的磁盤存儲活動或者系統突然變得非常緩慢等。(6)經常注意登陸文件并對可逆行為進行快速檢查,檢查訪問及錯誤登陸文件,檢查系統命令如login等的使用情況。在Windows NT平臺上,可以定期檢查Event Log中的Security Log,以尋找可疑行為。(7)使用一些工具軟件可以幫助發現攻擊者。
三、處理原則
(1)不要驚慌。發現攻擊者后會有許多選擇,但是不管發生什么事,沒有慎重的思考就去行動,只會使事情變得更糟。(2)記錄每一件事情,甚至包括日期和時間。(3)估計形勢。估計入侵造成的破壞程度,攻擊者是否還滯留在系統中?威脅是否來自內部?攻擊者身份及目的?若關閉服務器,是否能承受得起失去有用系統信息的損失?(4)采取相應措施。一旦了解形勢之后,就應著手做出決定并采取相應的措施,能否關閉服務器?若不能,也可關閉一些服務或至少拒絕一些人;是否關心追蹤攻擊者?若打算如此,則不要關閉Internet聯接,因為還會失去攻擊者的蹤跡。
四、發現攻擊者后的處理對策
發現攻擊者后,網絡管理員的主要目的不是抓住他們,而是應把保護用戶、保護網絡系統的文件和資源放在首位。因此,可采取下面某些對策。
(1)不理睬。(2)使用write或talk工具詢問他們究竟想要做什么。(3)跟蹤這個連接,找出攻擊者的來路和身份。這時候,nslookup、finger、rusers等工具很有用。(4)管理員可以使用一些工具來監視攻擊者,觀察他們正在做什么。這些工具包括snoop、ps、lastcomm、ttywatch等。(5)殺死這個進程來切斷攻擊者與系統的連接。斷開調制解調器與網絡線的連接,或者關閉服務器。(6)找出安全漏洞并修補漏洞,在恢復系統。(7)最后,根據記錄的整個文件的發生發展過程,編檔保存并從中吸取經驗教訓。
總之,面對當前如此猖獗的黑客攻擊,必須做好網絡的防范工作。正所謂對癥下藥,只有了解了攻擊者的手法,才能更好地采取措施,來保護網絡與計算機系統的正常運行。
參考文獻:
[1]戚文靜.網絡安全與管理[M].中國水利水電出版社,2010
篇2
關鍵詞:服務器虛擬化;安全風險;防護措施
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2017)03-0033-03
近幾年來,虛擬化技術受到廣泛關注,其被廣泛應用于各個領域,與此同時新的安全風險和安全隱患也隨之而來。這將嚴重影響服務器虛擬化技術的發展前景,因此為了保證服務器虛擬化的安全性能,采取必要的防護措施是十分有必要的。
1 服務器虛擬化技術概述
1.1 虛擬化技術簡介
服務器虛擬化是一種從邏輯角度對資源進行重新配置的方法,而傳統的資源配置方式更多的是從物理的角度考慮。我們可以把服務器虛擬化技術看作是一種對硬件資源的重新配置的技術。由于服務器虛擬化技術是采用邏輯方式對資源進行重新配置,因此在同一個物理機器上可以同時運行一個或者多個操作系統的虛擬化服務器。服務器虛擬化技術的優點在于大大方便了企業對系統的管理,它是一種最好的資源優化整合方式。目前,隨著虛擬化服務器技術在我國的廣泛普及和應用,產生了一些新的安全風險和安全隱患問題急需解決,否則服務器虛擬化技術存在的安全隱患將嚴重影響其未來的發展前景。
1.2 如何實現服務器虛擬化技術
服務器虛擬化技術的實現方式主要有兩種,一種是將一個物理服務器虛擬化為若干數量的獨立的邏輯服務器,其中分區就是該種方式的一個典型代表。另一種方式就是將若干個不同的物理服務器看作是一個邏輯服務器,其中網絡就是這種形式的典型代表。其很好地詮釋了服務器虛擬化技術在我國各個領域的廣泛關注程度和應用程度。
1.3 服務器虛擬化的三種主流實現模式
目前,市場上的主流服務器虛擬化軟件種類繁多,其實現技術各不相同,因此針對服務器虛擬化的技術分類也沒有統一的說法。服務器虛擬化技術根據實現模式的不同大體可以將其分為三種主流實現模式:全虛擬化、半虛擬化和硬件輔助虛擬化。 全虛擬化的實現原理是在利用一個VMM(虛擬機監視器)來實現虛擬機系統和硬件資源之間的“溝通交流”。該種模式主要代表是VMware。它的主要優點在于它可以直接安裝在原有的操作系統上運行而無需對原系統有任何配置修改。它的缺點是大大增加了二進制轉譯的工作量,而且到目前為止尚沒有一種比較好的優化方法。
半虛擬化則是利用VMM對底層的硬件進行訪問。半虛擬化與虛擬化的區別在于它將許多與虛擬化有關的代碼植入到虛擬系統中,因此就不需要VMM來轉譯二進制。半虛擬化在很大程度上降低了負荷,很大程度上提高了其性能。但它同樣存在很大的問題,例如兼容性差就是半虛擬化服務器存在的主要問題。其次半虛擬化的維護成本相對比較高。
硬件輔助虛擬化在原有的基礎之上加上了root模式,也就是說把VMM運行到root模式。這種模式的好處在于可以把關鍵指令放在VMM上直接執行而不需要二進制轉譯,這在很大程度上提高了服務器虛擬化的性能,其發展前景良好。
2 服務器虛擬化技術存在的安全風險和安全隱患
事實上,服務器虛擬化作為一種新興的熱門技術之一,不僅能夠對硬件資源進行重新配置,實現硬件資源的不斷優化,而且還大大提高了硬件資源的利用效率。雖然服務器虛擬化技術尚不成熟,還存在一些安全隱患和安全漏洞;例如由于VMWare 平臺網絡框架的不同而造成安全漏洞的發生等。
2.1 VMWare 平臺網絡架構存在的安全隱患
根據網絡的覆蓋范圍可以將網絡分為局域網、城域網和廣域網,本文主要針對局域網中VMWare平臺網絡架構進行分析。在局域網中,將處于私有云上的VMWare 平臺與Internet進行物理隔離,由于VMWare平臺網絡架構不能對其自身的補丁庫進行自動更新操作,致使VMWare平臺網絡架構一旦出F安全漏洞,補丁庫也不能對其進行及時的修復,這樣就導致了VMWare平臺網絡架構中出現了安全隱患,給VMWare平臺網絡架構的正常運行帶來了安全方面的威脅。網絡攻擊人員例如黑客、駭客等就利用了VMWare平臺網絡架構中的安全漏洞侵入虛擬服務器宿的主機,進行竊取機密或投放病毒等破壞性行動。一旦網絡攻擊人員成功侵入虛擬服務器的主機,那么他就能夠輕而易舉的獲取VMWare平臺網絡架構的管理權限,對其中的虛擬服務器進行各個擊破,毫無阻礙。也就是說,網絡攻擊人員可以輕而易舉的獲取他們需要的東西,網絡安全防護措施形同虛設,網絡安全成為一句空話。
2.2虛擬機跳板式攻擊
將服務器進行虛擬化后會有多個虛擬機同時存在,這些虛擬機共同自動運行在相同的一臺物理主機上,由于網絡安全系統不可能同時對同一臺物理主機上的多個虛擬機進行同時監控,致使這些虛擬機在進行通信過程中的安全防護和安全性能都比較差,這給網絡攻擊人員提供了侵入主機的機會。進行服務器虛擬化以后的虛擬機在安全防護方面存在很大的問題,網絡攻擊者完全可以利用安全防護漏洞進行攻擊,網絡攻擊人員一旦將虛擬機的安全防護措施攻破就很容易對其進行控制;與此同時,網絡攻擊者完全可以利用已經控制的虛擬機對網絡中其他未攻破的虛擬機進行攻擊,這樣將給整個數據中心虛擬化環境帶來嚴重的安全威脅。
2.3 VMM設計上存在缺陷
虛擬機的安全機制是建立在VMM完全可信的基礎之上的,但是就目前的服務器虛擬化技術而言,VMM的安全性能并非牢不可破。VMM在設計方面存在的一些安全漏洞給了攻擊者可趁之機,此外,VMM自身并不能對外部的篡改和替換等操作進行識別和阻止。例如如果攻擊者在成功控制了虛擬機后將VMM關閉,這將造成運行在宿主機上的其他虛擬系統也跟著全部關閉。
網絡攻擊人員可以通過應用接口程序(API)來操控其中的一臺虛擬機,并利用這臺虛擬機向VMM發送請求。由于VMM自身缺乏對請求的判斷和識別機制,導致其很容易獲取VMM的信任,從而對其發動攻擊。除此之外,網絡攻擊人員還可以利用網絡對VMM發動攻擊,他們利用的網絡通常是在配置上存在缺陷的網絡,并沒有安裝相應的安全訪問控制,入侵者很容易通過網絡連接到VMM的IP地址。即使網絡攻擊人員無法通過暴力途徑將VMM的登錄口令破解掉,但依然可以通過拒絕服務攻擊的形式將VMM的資源消耗殆盡,那么也就間接的將運行在VMM上的所有虛擬機宕機,這樣管理人員就不能在通過網絡與VMM連接,解決的辦法只能是重啟VMM以及所有的虛擬機。
2.4 虛擬機通信上存在安全風險
隨著網絡虛擬化的廣泛普及和應用,安全問題的發生概率有所上升。在傳統網絡中比較有效的安全防護措施,將其移植到虛擬化的網絡環境中其效果并不顯著。
虛擬機通信上存在的安全風險主要有以下幾個方面:網絡安全防護困難、VM hopping攻擊、拒絕服務DOS攻擊等。其中網絡安全防護困難主要體現在服務器虛擬化之前通過使用防火墻將其劃分為不同等級的安全區域,不同級別的區域其管理策略也各不相同。從理論上可以認為最嚴密的網絡安全隔離可以防止一臺服務器被網絡攻擊者攻破后對其他的服務器進行攻擊。自從應用了服務器虛擬化技術之后,同一臺機器上的所有虛擬機都共用物理機上的一塊網卡與網絡中的其他主機進行通信,這就導致安全隱患問題很容易擴展到網絡中的其他主機上。因此傳統的防火墻部署形式并不能滿足服務器虛擬化對網絡安全的要求,還需要對防火墻技術進行不斷的改進和優化。
VM Hopping攻擊是指為了提高虛擬化技術的性能而進行內存共享、交換,導致虛擬機在通信過程中存在風險,網絡攻擊人員利用已經控制的虛擬機對處于同一物理機上的另一臺虛擬機進行入侵,一旦成功后就可以借助其以同樣的形式對其他虛擬機進行攻擊。網絡攻擊人員甚至可以直接控制宿主機,進一步控制運行在該宿主機上的所有虛擬機,因此一旦宿主機失去控制權,其后果相當嚴重。
此外,還有一種對虛擬化危害比較嚴重的安全問題就是拒絕服務(DOS)攻擊,在虛擬的服務器中,在同一個物理機上的所有硬件資源和網絡等都是由虛擬機和宿主機共同使用。拒絕服務攻擊的主要目標是耗盡宿主機的所有資源,使其不能夠在為運行在宿主機上的虛擬機服務,從而達到是虛擬機宕機的目的。
3 服務器虛擬化的安全防范措施
網絡安全防范措施是確保服務器正常穩定安全運行的屏障,服務器虛擬化技術改變了傳統網絡安全防范措施的部署形式,因此加強安全防范措施的改良、優化對確保服務器的安全運行有重大意義。下面將詳細介紹如何防范服務器虛擬化技術中存在的安全隱患和安全漏洞。
3.1應用互感器邏輯隔離技術
在對服務器虛擬化進行改良優化過程中,負責網絡信息安全的工作人員可以將虛擬機當作是AD服務器,在搭建網絡服務器時根據互聯網環境的實際情況分配不同的IP地址,利用這種方式來確保信息傳播過程中的安全性能,除此之外,網絡信息安全工作人員還可以采用劃分VLAN的方式,對網站上的各種信息進行邏輯上的隔離操作。至于用于處理虛擬機內部信息的操作軟件,將其進行一體化連接,物理服務器是其信息交流的橋梁,這樣就有效防止了網卡橋出現安全問題。由于虛擬器裝備在進行信息傳遞的過程中很可能出現負荷越來越大的情況,這樣十分不利于網絡接受方對信號的動態捕捉,致使原本能夠正常傳播的各種信號如視頻信號、音頻信號和圖片信息等發生畸變而不能正確傳播。
為了有效避免網絡攻擊人員對服務器虛擬化操作系統進行各種攻擊侵入行為,信息安全維護人員可以通過應用信息安全的技術系統來改善虛擬服務器的環境,來避免虛擬服務器被惡意攻擊。除此之外,負責網絡信息安全的工作人員還可以利用大數據庫提供的一些信息數據對虛擬環境進行安全檢測,一旦數據庫中有異常情況發生就立即執行安全的操作策略。vShield可以通過在虛擬的環境中建立隔離來解決主機和虛擬機之間的隔離問題。此外,通過強化管理的功能層的性能,可以有效提升服務器虛擬化系統的抗攻擊能力,大大提高其安全系數。
3.2對虛擬機的操作系統進行日常維護
在深入分析、研究了服務器虛擬化存在的安全L險之后,我們發展負責維護網絡信息安全的工作人員應該對虛擬機的操作系統進行規范化、常規化的維護工作,網絡安全部門應該充分重視虛擬化服務器的安全問題,嚴格監督控制信息分配和處理過程。與此同時,網絡信息安全部門應該設有專門的虛擬機系統維護人員,一般2到3人為最佳,對系統中安裝的所有軟件進行維護、升級等操作,確保一旦有病毒入侵能夠第一時間被安全防護人員發現并進行有效攔截。此外,通過定期對信息通道監控還可以有效減少垃圾信息的數量,從而有效避免了信息信號傳輸受阻情況的發生。必須定期排查服務器虛擬化的安全防范措施,并將其作為一種常態化操作保留下來,這樣能夠在很大程度上提高制度的執行效率。最后,引進并使用先進的殺毒軟件系統,對運行在虛擬機上的操作系統進行及時的漏洞修補,將出現安全鏈斷裂的地方及時修復。此外,還要適時的對運行在虛擬機上的操作系統進行升級操作,與之配套的防火墻軟件也要進行相應的升級,這樣才能更好地避免安全隱患的發生,確保服務器虛擬機的安全穩定運行。
3.3對服務器進行鏡像處理和冗余設置
如果網絡攻擊人員利用硬盤故障發動對服務器的攻擊的話,那么對服務器虛擬化的打擊可以說是十分致命的,因此,網絡信息安全的工程人員在對服務器進行安全防護的過程中,首要工作就是對服務器進行一系列的評估活動,對網絡硬盤的內存和運行速度等性能進行評估,判斷其能否滿足服務器虛擬化的實際需求。為了阻止網絡攻擊人員的攻擊行為,弱化網絡信息安全的安全隱患,信息安全維護人員可以采用應用多臺物理服務器的方式對硬件資源進行鏡像處理和冗余設置,從而達到虛擬軟件動態遷移的目標。對服務器進行鏡像處理和冗余設置可以從根本上不斷地對服務器虛擬化軟件進行更新換代,使服務器虛擬化一直保持在動態遷移的狀態,這樣即使服務器虛擬化系統被網絡攻擊人員攻擊破壞,出現網絡安全的威脅,它也能夠及時發現并進行有效修復,從而避免了因為長時間的連接而造成的連接中斷問題。
3.4 部署網絡安全產品
為了保證虛擬機的安全穩定的運行,可以通過部署網絡安全產品如網絡殺毒軟件等的方式防止網絡攻擊人員的惡意攻擊和病毒入侵。通過安裝殺毒軟件可以實時更新惡意代碼庫和病毒庫,從而更好的查殺病毒,防范病毒的入侵。此外,部署網絡防火墻也是一種比較常見的防止網絡攻擊的方式,它的工作原理遵循最小授權訪問原則,即訪問虛擬主機和虛擬機IP地址和端口號都要受到控制,只有這樣才能確保虛擬機運行環境的安全可靠。
為了確保虛擬機的安全穩定運行,對虛擬機中出現的任何漏洞問題都要進行及時的修補操作和系統的更新處理。即使做了上述防范措施也無法避免虛擬化平臺出現安全問題,造成這種現象發生的主要原因是補丁的更新速度跟不上漏洞產生的速度;同時,在虛擬化平臺上同時運行著多個虛擬機,致使虛擬化平臺的運行速度比較慢。即使虛擬機受到虛擬化平臺的保護,但由于虛擬機自身存在安全漏洞,同樣會給虛擬機的正常運行帶來安全威脅。
3.5建立完善的審計機制
建立完善的審計機制也是一種保證服務器虛擬化系統安全運行的有效措施。該審計機制主要包括以下幾個方面的內容。首先要嚴格監控虛擬服務器上負載的數量。其次提高用戶對操作行為的審計水平,通過檢查和分析系統日志來發現是否有異常的情況發生,從而及時發現異常并進行修復工作。
3.6加強系統管理
世界上并不存在無懈可擊的事物,因此即使在網絡中采取了安全防范措施也不能夠完全保證網絡的安全運行,因此,我們應該根據不同風險的實際情況而采取不同策略的安全防范措施,從而最大程度的保障其安全性能。為了實現這一目標制定完善的安全管理措施是十分有必要的。與此同時,加強系統管理人員自身的安全防范意識對避免安全隱患的發生的意義也是十分重大的。
4 總結
綜上所述,服務器虛擬化技術已經實現了多個操作系統在同一個物理服務器上運行,使得硬件資源被最大程度的利用,與此同時還大大降低了對服務器的管理工作的工作量,從一定程度上減少了管理成本。然而,隨之而來的還有新的安全風險和安全隱患,為了確保服務器的安全性能,加強防護是必要的。
參考文獻:
[1] 孫志明.服務器虛擬化安全風險防范措施[J].算機光盤軟件與應用,2013(12):69-72.
篇3
【關鍵詞】安全;VLAN技術;AFC系統網絡;安全隱患;解決方案
0.引言
自動售檢票(AFC)系統是一個集售票、檢票、計費、收費、統計、清分結算和運行管理等于一體的自動化系統[1],其作為軌道交通運營管理重要子系統之一,既承擔著減少地鐵工作人員的勞動強度,獲取城市交通客流信息的一手資料等任務,也負責著票務收入計量,財務信息的匯總分析等重要工作。鑒于AFC系統在軌道交通運營過程中的重要地位,其安全性原則不容忽視。安全性建設意義重大,但完善安全性建設卻難以面面俱到。一方面,我們知道安全是AFC系統能否正常運行的關鍵;另一方面,AFC系統作為內容繁多,結構嚴密,邏輯清晰的信息聯機儲存以及管理的系統,其安全性建設是一個系統工程。信息安全理論的木桶原理告訴我們:一個組織的信息安全水平將由與信息安全有關的所有環節中最薄弱的環節決定,也即是說,安全性建設這個系統工程必須重視每一個安全細節。
1.三號線網絡中的VLAN技術
網絡作為AFC系統的重要組成部分,其安全性也是AFC系統安全的一部分。
三號線的AFC網絡規劃需要將多個車站的終端組成一個網絡,并且由于業務分工的需要,每個車站內部的終端需要組成不同的局域網。若使用傳統的局域網加路由的技術,則滿足需求的網絡方案中必須用到大量的路由,而且對處理網絡結構的改變也不夠靈活。而VLAN技術的特點卻正好有效的解決了以上需求。利用VLAN技術以及VLAN技術上的干道技術,一方面,我們可以有效的分割廣播域且不會增加對路由的需求,節約了成本;另一方面,VLAN可以非常靈活的處理終端的重新歸網問題。
2.安全隱患
在了解了VLAN技術之后,我們來看看這種安全技術的兩個潛在隱患。
第二層攻擊類型介紹。
交換機處理的數據屬于參考網絡模型的第二層,即數據鏈路層。利用該層數據幀進行的網絡攻擊我們都稱為第二層網絡攻擊。已知的第二層攻擊有以下幾種:VLAN跳躍,STP攻擊,DHCP欺騙,CAM表溢出等。我們將重點放在VLAN跳躍攻擊上。
VLAN跳躍攻擊有兩種方法,分別是交換機欺騙和雙重標示。
2.1交換機欺騙
我們知道,如果一條線路成為干道的話,該線路將可以傳遞所有VLAN數據幀。一些cisco交換機端口的中繼默認設置為auto模式,這使得接入交換機的攻擊者主機可以構造DTP幀來打開交換機的中繼模式。收到DTP幀的交換機會認為攻擊者主機是另一交換機的中繼端口,從而打開自己的中繼模式,使得交換機將所有的VLAN數據幀傳送給攻擊者主機。如果車站服務器被入侵,那么當服務器上的入侵者向交換機發送其構造的DTP幀時,中繼默認設置為auto模式的交換機便會將該交換機上所有VLAN的數據包發給工作站。此時,服務器上的入侵者得到了該連接到該交換機上所有其他設備的數據包,包括GATE,TVM,BOM,TCM等。這就是VLAN跳躍攻擊。
2.2雙重標記
為了能和不支持VLAN技術的交換機或其他設備通訊,支持VLAN技術的交換機設置了一個默認的本地VLAN。這個VLAN的發出數據幀是不帶VLAN標簽的。如果一個數據幀含有本地VLAN的標簽,那么在發出這個數據幀的時候,該VLAN會被交換機刪去。針對這一處理方法,攻擊者可以構造一個雙重標記的數據幀,達到訪問本不能訪問的VLAN網絡的目的。
如右圖所示,假設下圖的工作站A和終端A分別屬于VLAN2和VLAN3,在一般情況下工作站A不能訪問終端A。然而,當工作站A向交換機A發送一個雙重標記的數據幀時,這個數據幀就可以到達終端A,進而達到訪問終端A的目的。
3.防范措施
3.1針對交換機欺騙的防范措施
交換機欺騙的危害雖大,但其預防措施卻并不復雜。事實上,交換機欺騙攻擊之所以說是一個安全隱患是因為大多數的交換機默認就將端口設置auto模式。三號線采用的交換機CiscoCatalyst 3550,其端口的默認設置便是這種形式。
為了防范交換機欺騙攻擊,我們可以修改非干道端口上默認打開的auto模式,將其改成接入模式。以CiscoCatalyst 3550交換機為例,我們可以用下面的命令消除交換機欺騙攻擊隱患:
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)#switchport mode access
C3550交換機是地鐵三號線車站計算機系統中的站臺設備接入交換機,數目較多,這就加大該隱患的危險性。以上改變端口默認設置的命令應該在各個C3550交換機上執行,另外,對于線路中的其他交換機,我們也必須確定交換機的端口是否為auto設置,若是,則按照相應交換機的操作命令修改auto設置。
3.2針對雙重標記的防范措施
實現雙重標記這種攻擊,前提條件是兩臺交換機使用802.1q協議作為干道的中繼通訊以及兩臺交換機均具有相同標號的本地VLAN。大多數的交換機為了提高兼容性都是使用802.1q協議作為干道的中繼通訊協議,并且,交換機默認的本地VLAN都為VLAN1,從而,這些默認設置滋生了雙重標識這種安全隱患。
(1)修改以上提及的默認設置,我們便可以防范這個隱患。
以C3550交換機為例,可以在交換機上利用下列命令將本地VLAN的編號設置成其他編號:
Switch(config)#interface gigabitethernet 0/1
Switch(config-if)#switchport trunk native vlan 123
(2)選擇思科的專有協議ISL代替802.1q協議。這方法只能用在車站交換機全部支持ISL協議的場合,操作的命令是:
Switch(config-if)#switchport trunk encapsulation isl
(3)比較實用的防范方法是在干道端口上標記所有本地VLAN流量,命令如下:
Switch(config-if)#switchport native vlan tag
通過這條命令,我們可以讓所有的干道端口保留本地VLAN數據包的幀標記,雙重標記攻擊便失效了。
4.結語
通過討論VLAN的兩個較為隱蔽安全隱患及其防范措施,我們填補三號線AFC網絡的存在的一些安全隱患。安全是一個系統性工程,而安全系統總是取決與最薄弱環節的安全程度,因此在日常工作中,我們必須加強安全意識,領會安全性原則,并重視安全性操作,借此提高廣州地鐵的安全性建設水平,為更好服務市民做出努力。
【參考文獻】
篇4
1常見的計算機網絡攻擊手段
1.1黑客攻擊
黑客通常都比較了解計算機系統和網絡漏洞,黑客會利用很多網絡手段攻擊計算機網絡,從而對計算機網絡安全的維護構成很大危害。比較常見的黑客手段有:通過非法的手段來截獲網絡上傳播的數據信息、惡意修改網絡程序來破壞網絡的運行等等。
1.2病毒攻擊手段
病毒軟件是威脅計算機網絡安全的主要手段之一。計算機病毒是人為編寫的破壞型指令或程序,當侵入計算機系統后,就會被激發進而破壞計算機系統或進行其他操作,給用戶造成損失。計算機病毒的種類有很多,包括復合型病毒、系統引導病毒、宏病毒、文件型病毒等等病毒蠕蟲和木馬。而且計算機病毒可以自我復制、自動傳播,不容易被發現,還變化多端,比殺毒軟件發展的更快。人們在用計算機上網的過程中,很容易被病毒程序侵入。一旦計算機感染上病毒就會出現很多安全隱患。比如,當病毒侵入計算機系統之后,有可能造成電腦死機、數據丟失、數據被盜取、數據被惡意修改、計算機系統被惡意破壞等等,更嚴重者可能危害到網絡的正常運行。
1.3拒絕服務攻擊手段
人們上網是通過正常的網上鏈接等來訪問服務器,進而獲得服務器傳送的數據,查看想要訪問的內容。然而我們說的拒絕服務攻擊手段通常指的是,一些網絡攻擊者利用TCP協議存在的缺陷,向服務器發送大量偽造的TCP連接請求,使被攻擊方服務器資源耗盡,導致被攻擊的服務器某些服務被暫停或者是造成服務器死機。拒絕服務攻擊手段操作比較簡單,是黑客常用的攻擊手段,而且難以防范。拒絕服務攻擊手段可以造成嚴重的安全問題。
2計算機網絡安全的防范措施
目前的網絡安全問題日益突出,為了保證用戶的正常生活,防止網絡安全隱患帶來危害,必須要搭建一個安全的計算機網絡。危害計算機網絡安全的因素有很多,有計算機系統的漏洞、病毒黑客的攻擊、用戶自己不夠小心等等。想要加強計算機網絡安全性,就要從各個方面入手。下面介紹幾種加強網絡安全的措施。
2.1技術手段防范
計算機網絡系統還存在很多沒有改善的系統漏洞,維護網絡安全的工作者要盡快完善網絡漏洞,盡快推出有效的系統補丁。網絡用戶也要提高網絡安全意識,選擇合適的查毒、殺毒、掃描軟件定期對計算機進行掃描監控和消滅病毒。而且,網絡系統的數據安全也要受到有效的保護,可以利用復雜的加密措施來防止系統數據被惡意破壞或者外泄。同時還可以通過使用網絡密鑰以期達到提高數據信息的安全性的目的。
2.2加強網絡安全監管
計算機網絡安全還沒有引起國家和群眾的足夠重視,很對人對計算機網絡的安全認識還不夠。為了讓計算機網絡安全受到足夠的重視,國家應該制定一套系統的針對網絡安全相關的法律法規,加強對網絡安全的監管力度,對惡意破壞攻擊網絡安全的行為進行強有力的制劑。同時在社會上加大對計算機網絡安全知識的教育,增加群眾的網絡安全意識,提高網絡運營商和管理人員的責任意識。
2.3物理安全防范措施
計算機病毒和黑客的攻擊方式繁多,但攻擊對象多是計算機系統,計算機相關的硬件設施或是網絡服務器等。所以物理安全防范措施就是要防范以上的硬件系統受到攻擊。為了更好的保護物理安全,計算機網絡用戶一定要提防外界傳播導致的計算機硬件系統被惡意攻擊破壞。上網時不下載有安全隱患的軟件程序,不訪問有安全隱患的網站,不把不知道安全與否的外界媒體插入計算機,對網上下載的資料可以先進行安全監測之后在打開,對本地計算機存儲的重要數據進行及時備份。以此來防范計算機病毒的攻擊。
2.4訪問控制防范措施
計算機網絡會被非法攻擊的一個重要因素就是計算機的訪問限制存在漏洞,給不法分子可乘之機。所以為了維護計算機網絡安全,應該加強對計算機網絡的訪問控制。對訪問的控制可以從以下方向著手:入網訪問控制、網絡權限控制、網絡服務器安全控制、防火墻技術。首先要做的是嚴格做好入網訪問的控制。入網訪問控制要做的就是對網絡用戶連接服務器和獲取信息的時候進行控制。最基本的方法就是對用戶的賬號、用戶名、密碼等用戶基本信息的正確性進行識別,并提高用戶密碼的加密等級。當用戶入網后,要控制給用戶一定的網絡權限,對用戶的修改、讀寫等等操作加以控制。為了保證完了服務器的安全,必須要用軟件和刪除的方式來防止服務器被惡意破壞修改。同時要實時對服務器的訪問動態進行監測。當出現非法訪問時要通過警報的方式提醒管理人員及時進行處理。最后也是最應用最為普遍的防范措施就是防火墻技術。防火墻技術是一種軟件和硬件設備的組合,就是網絡之間通過預定義的安全策略對內外網之間的通信實施訪問控制。為了提高網絡安全,應該盡快完善防火墻技術
3總結
如今的網絡技術正在飛速發展,然而,在發展的同時網絡安全出現了諸多漏洞,威脅了網絡環境的健康。為了能夠讓網絡更好的服務于大眾,保證計算機網絡的安全是網絡繼續發展所面臨的亟需解決的問題。計算機網絡的維護不可能通過簡單的一個方法就能達到目的,所以必須在全民重視的同時通過各種技術手段來不斷完善建立一個安全的網絡環境。
參考文獻
[1]陳豪.淺談網絡時代計算機的安全問題及應對策略[J].科技致富向導,2013(08).
[2]唐雅玲.計算機網絡安全監控系統的研究與實現[J].數字技術與應用,2013(02).
篇5
關鍵詞: 病毒攻擊 ARP欺騙
0 概述
近幾年來,隨著全國高校教育信息化的深入開展,穩定的網絡和計算機系統成為教育信息化的重要保障,網絡及信息安全也成為高校關注焦點之一。
本文通過研究分析高校網絡典型的安全問題,將從病毒攻擊、ARP欺騙攻擊、ADSL攻擊等方面入手,給出了防范策略和保護措施。
1 高校典型病毒攻擊分析
病毒攻擊仍然是高校最重要的、最廣泛的網絡攻擊現象,隨著病毒攻擊原理以及方法不斷變化,病毒攻擊仍然為最嚴峻的網絡安全問題。
1.1 典型病毒攻擊以及防范措施
1.1.1 ARP木馬病毒
當局域網內某臺主機運行ARP欺騙的木馬程序時,會欺騙局域網內所有主機和路由器,迫使局域網所有主機的arp地址表的網關MAC地址更新為該主機的MAC地址,導致所有局域網內上網的計算機的數據首先通過該計算機再轉發出去,用戶原來直接通過路由器上網現在轉由通過該主機上網,切換的時候用戶會斷線一次。由于ARP欺騙的木馬程序發作的時候會發出大量的數據包導致局域網通訊擁塞以及其自身處理能力的限制,用戶會感覺上網速度越來越慢。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線。ARP木馬病毒會導致整個局域網網絡運行不穩定,時斷時通。
防范措施:可以借助NBTSCAN工具來檢測局域網內所有主機真實的IP與MAC地址對應表,在網絡不穩定狀況下,以arp –a命令查看主機的Arp緩存表,此時網關IP對應的MAC地址為感染病毒主機的MAC地址,通過“Nbtscan –r 192.168.1.1/24”掃描192.168.1.1/24網段查看所有主機真實IP和MAC地址表,從而根據IP確定感染病毒主機。也可以通過SNIFFER或者IRIS偵聽工具進行抓取異常數據包,發現感染病毒主機。
另外,未雨綢繆,建議用戶采用雙向綁定的方法解決并且防止ARP欺騙,在計算機上綁定正確的網關的IP和網關接口MAC地址,在正常情況下,通過arp –a命令獲取網關IP和網關接口的MAC地址,編寫一個批處理文件farp.bat內容如下:
@echo off
arp –d(清零ARP緩存地址表)
arp -s 192.168.1.254 00-22-aa-00-22-aa(綁定正確網關IP和MAC地址)
把批處理放置開始--程序--啟動項中,使之隨計算機重起自動運行,以避免ARP病毒的欺騙。
1.1.2 W32.Blaster 蠕蟲
W32.Blaster是一種利用DCOM RPC漏洞進行傳播的蠕蟲,傳播能力很強。蠕蟲通過TCP/135進行探索發現存在漏洞的系統,一旦攻擊成功,通過TCP/4444端口進行遠程命令控制,最后通過在受感染的計算機的UDP/69端口建立tftp服務器進行上傳蠕蟲自己的二進制代碼程序Msblast.exe加以控制與破壞,該蠕蟲傳播時破壞了系統的核心進程svchost.exe,會導致系統RPC 服務停止,因此可能引起其他服務(如IIS)不能正常工作,出現比如拷貝、粘貼功能不工作,無法進入網站頁面鏈接等等現象,嚴重時并可能造成系統崩潰和反復重新啟動。
1.1.3 W32.Nachi.Worm 蠕蟲
W32.Nachi.Worm蠕蟲(以下簡稱Nachi蠕蟲)利用了Microsoft Windows DCOM RPC接口遠程緩沖區溢出漏洞和Microsoft Windows 2000 WebDAV遠程緩沖區溢出漏洞進行傳播。如果該蠕蟲發現被感染的機器上有“沖擊波”蠕蟲,則殺掉“沖擊波”蠕蟲,并為系統打上補丁程序,但由于程序運行上下文的限制,很多系統不能被打上補丁,并被導致反復重新啟動。Nachi蠕蟲感染機器后,會產生大量長度為92字節的ICMP報文,從而嚴重影響網絡性能。
1.1.4 w32.sasser蠕蟲病毒
w32.sasser蠕蟲病毒利用了本地安全驗證子系統(Local Security Authority Subsystem,LSASS)里的一個緩沖區溢出錯誤,從而使得攻擊者能夠取得被感染系統的控制權。震蕩波病毒會利用 TCP 端口 5554 架設一個 FTP 服務器。同時,它使用 TCP 端口5554 隨機搜索 Internet 的網段,尋找其它沒有修補 LSASS 錯誤的 Windows 2000 和 Windows XP 系統。震蕩波病毒會發起 128 個線程來掃描隨機的IP地址,并連續偵聽從 TCP 端口 1068 開始的各個端口。該蠕蟲會使計算機運行緩慢、網絡堵塞、并讓系統不停的進行倒計時重啟。
蠕蟲病毒防范措施:用戶首先要保證計算機系統的不斷更新,高校可建立微軟的WSUS系統保證用戶計算機系統的及時快速升級,另外用戶必須安裝可持續升級的殺毒軟件,沒有及時升級殺毒軟件也是同樣危險的,高校網絡管理部門出臺相應安全政策以及保證對用戶定時的安全培訓也是相當重要的。用戶本地計算機可采取些輔助措施保護計算機系統的安全,如本地硬盤克隆、局域網硬盤克隆技術等。
2 高校家屬區網絡攻擊分析
2.1 ADSL貓(MODEM)攻擊
篇6
關鍵詞:計算機網絡;安全;防火墻;防范措施;管理
中圖分類號:TP39 文獻標識碼:A
隨著時代的進步與發展,當今的社會已經是一個信息化的社會。計算機網絡技術和互連網的大力發展,使得計算機網絡已廣泛用各個領域,成為了人們工作與生活中不可缺少的部分。但是,由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,無論是在局域網還是在廣域網中,都存在著自然和人為等諸多因素的潛在威脅,病毒擴散、黑客攻擊、網絡犯罪等違法事件的數量迅速增長,計算機網絡安全問題越來越嚴峻。因此,分析影響計算機網絡安全的因素,并采取強有力的安全防范措施,對于保障網絡的安全性將變得十分重要。
1 計算機網絡安全的含義
參照ISO給出的計算機網絡安全定義,計算機網絡安全是指保護計算機網絡系統中軟件和數據資源,不因偶然或惡意的原因遭到破壞、更改、泄露,使網絡系統連續可靠性地正常運行,網絡服務正常有序。計算機網絡安全是指利用網絡管理控制和技術措施,主要是要求信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。
2 影響計算機網絡安全的主要因素
影響計算機網絡安全的因素很多,包括人為因素、自然因素和偶發因素,人為因素是對計算機信息網絡安全威脅最大的因素。影響計算機網絡安全的主要因素表現在幾個方面。
2.1計算機網絡的本身問題
互聯網是對全世界都開放的網絡,任何單位或個人都可以在網上方便地傳輸和獲取各種信息,互聯網這種具有開放性、共享性、自由性的特點構成了網絡的脆性性,從而成為影響計算機網絡安全的一個主要因素。
2.2 操作系統存在的安全問題
操作系統是作為一個支撐軟件,操作系統提供了很多的管理功能,主要是管理系統的軟件資源和硬件資源。
2.3 數據庫存儲的內容存在的安全問題
數據庫管理系統大量的信息存儲在各種各樣的數據庫里面,包括我們上網看到的所有信息,數據庫主要考慮的是信息方便存儲、利用和管理,但在安全方面考慮的比較少。
3 計算機網絡安全的主要技術
安全是網絡賴以生存的保障,只有安全得到保障,網絡才能實現自身的價值。網絡安全技術隨著人們網絡實踐的發展而發展,其涉及的技術面非常多,主要的技術如訪問控制、認證、加密、防火墻及入侵檢測等是網絡安全的重要防線。
3.1防病毒技術
網絡是病毒傳播的重要途徑,病毒檢測是計算機網絡安全的一個基本技術,網絡中的系統可能會受到多種病毒威脅,由于病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣, 故相應地在構建網絡防病毒系統時,應用全方位的企業防毒產品,實施層層設防、集中控制、以防為主、防殺結合的安全防范技術。
3.3入侵者檢測
為了防止各種形式針對計算機實驗室的網絡攻擊,網絡應該能對各種形式的訪問者進行檢測、分類,參照用戶所掌握的基本入侵案例和經驗,判斷其中入侵者,進而加以拒絕和備案。
4 計算機網絡安全的防范措施
基于IP技術的計算機網絡架構,缺乏必要的安全防范策略,隨著網絡安全的重視和網絡攻擊的隱蔽性,相信還有許多攻擊事件未被發現,因此,計算機網絡安全應當從安全技術、安全管理上加強防范。
4.1從技術上增強系統的防范能力
(1)采用網絡隔離技術和“安全域”技術,利用網絡隔離技術把兩個以上可路由的網絡通過不可路由的協議進行數據交換以達到隔離目的,即在不連通的網絡之間數據傳輸,但不允許這些網絡間運行交互式協議以確保把有害攻擊隔離。
(2)安裝防火墻和殺毒軟件,網絡防火墻技術是用來加強網絡之間訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡,訪問內部網絡資源,保護內部網絡操作環境的特殊網絡互聯設備。防火墻保護計算機網絡不被非授權用戶訪問,控制網絡用戶對計算機系統的訪問。目前技術較為先進且安全級別高的防火墻是隱蔽智能網關技術和多重防護識別,它將網關隱藏在公共系統后使其免遭直接攻擊。軟件上,注意各種系統的漏洞補丁,關閉不使用的服務進程、作好各種安全設置,安裝瑞星防病毒軟件等。
(3)網絡訪問控制,訪問控制是網絡安全防范和保護的主要策略。它的主要任務是保證網絡資源不被非法使用和訪問,它是保證網絡安全最重要的核心策略之一。
(4)數據加密和身份認證技術。數據加密技術是網絡安全有效的技術之一,它的目的是保護網內的數據文件口令和保護網絡傳輸,數據加密不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟件的有效方法之一。
(5)合理進行系統的安全設置,系統管理員應該確切的知道需要哪些服務,而且僅僅安裝確實需要的服務,根據安全原則,最少的服務+最小的權限=最大的安全。
4.2 從管理上加強防范能力
包括對計算機用戶的安全教育、建立相應的安全管理機構、不斷完善和加強計算機的管理功能、加強計算機及網絡的立法和執法力度等方面。加強計算機安全管理、加強用戶的法律、法規和道德觀念,提高計算機用戶的安全意識,對防止計算機犯罪、抵制黑客攻擊和防止計算機病毒干擾,是十分重要的措施。
(1)制定嚴格的網絡安全規則,對進出網絡的信息進行嚴格的限定。這樣可充分保證黑客的試探行動不能得逞。
(2)將網絡的TCP超時縮短至一定時間,以減少黑客進攻窗口機會。擴大連接表,增加黑客填充整個連接表的難度。
(3)時刻監測系統的登錄數據和網絡信息流向,以便及時發現異常,經常對整個網絡進行掃描,以發現任何安全隱患。
(4)盡量減少暴露在互聯網上的系統和服務的數量。計算機網絡安全是一項復雜的系統工程,網絡安全防范策略是將操作系統技術、防火墻技術、病毒防護技術、入侵檢測技術等綜合起來的網絡安全防護體系。只有將技術、管理等因素緊密結合,才能使計算機網絡安全確實有效。
結束語
綜上所述,計算機網絡安全問題是一項長期值得探索的工作,網絡安全問題不僅不能發揮其有利的作用,甚至會危及國家、企業及個人的安全。因此,必須從安全技術防范上可加強對訪問控制、認證、加密、防火墻及入侵檢測等方面的應用,還應加強網絡的安全管理,制定有關規章制度,對于確保網絡安全,建立一個安全舒適的計算機網絡環境,將起到十分有效的作用。
篇7
關鍵詞:計算機網絡工程安全;因素;對策
在當前的社會生活中,計算機網絡工程中安全問題已經引起了一定的重視,安全威脅可以說無處不在,可能是網絡供應商的漏洞造成的安全問題,也有可能是用戶自己對安全問題沒有得到應有的重視,造成計算機出現木馬病毒等,這些問題對于我國計算機網絡的發展將會帶來十分嚴重的影響,在今后的工作中,我們必須要采取有效的措施應對計算機網絡工程的安全問題,從而滿足社會發展與進步的同時,更好的為今后的工作帶來貢獻,產生強大的推動力量。
1計算機網絡安全之網絡攻擊的特點
計算機受到網絡攻擊主要可以體現出以下四方面的特點。首先是將會產生十分嚴重的損失,一旦黑客入侵用戶的電腦,就會造成計算機無法正常運行,還會有很多信息遭受泄露。其次是對社會以及國家造成的安全隱患,一些黑客主要將政府以及國家中的機密文件作為主要的攻擊對象,所以一旦受到黑客入侵,那么對于國家造成的損失將會是極大的。再次,在攻擊手段方面呈現出多樣化以及隱蔽性的發展特點,可以說是防不勝防。黑客想要入侵計算機,根據計算機受到保護的安全程度的不同可以選擇不同的方式,這樣就會對用戶計算機的安全性造成極大的威脅。最后是從計算機網絡攻擊的主體來說,軟件攻擊是最主要的一種方式,其產生的影響也是隱形的,但是卻與正常的社會發展秩序具有緊密的關聯性。
2計算機網絡工程的安全問題
首先,計算機網絡工程自身存在一定的脆弱性,因為計算機網絡是一個開放性的發展環境,所以產生的問題很多,任何人都可以在這個網絡上實現傳輸以及資源共享,在這一影響下,就會對計算機網絡帶來很大的挑戰。在上述三個脆弱性計算機網絡環境的影響在,黑客就會利用這樣的環境進行攻擊,這樣一來,就無法保障計算機網絡的安全性,面對各種途徑的攻擊也會顯得束手無策。其次,在進行網絡操作的過程中,需要通過計算機的操作系統提供必要的支持,所以如果操作系統自身就存在安全問題,那么對于網絡安全就會造成十分嚴重的影響。在計算機操作系統中,為了便于管理主要存在兩個主要的部分,一個是軟件,一個是硬件,計算機想要獲得正常的運轉,需要這兩個部分。再次,在進行網絡數據存儲的過程中也潛在著一定的安全問題。當人們在瀏覽網頁或者是查閱信息的過程中,黑客就會竊取我們的信息,自己的個人隱私自然也就無法得到有效的保障。對個人、對社會產生的影響是十分巨大的。此外,在其他方面,計算機網絡工程安全也會受到其他方面的威脅,例如計算機病毒對計算機網絡的安全性影響就很大,這是一種沒有經過授權就入侵計算機的一種非法程序。
3計算機網絡工程的對策研究
3.1提高技術防范措施
要想加強技術防范,那么建立起一個安全的技術管理制度是相當必要的,對于管理這一制度的工作人員來說,必須要具備相應的技能,并且不斷提升自身的素質,進一步完善網絡系統的安全問題,在技術人員工作的過程中,需要不斷提升其職業素養,在每一道關卡中都要涉及到技術防范措施,面對一些重要的信息時,需要將其備份并且進行有效的管理,同時應該有專門的負責人進行負責,一旦出現問題,那么負責人就需要承擔相應的責任。在對網絡進行控制的過程中,應該對訪問人數進行限制,禁止出現非法入侵的狀況,這樣就能在一定程度上促進網絡系統的安全性,在用戶訪問網絡的過程中需要加以嚴格的篩選,對相關的權限進行有效的管理。
3.2加強管理層面的力度
計算機網絡工程的安全管理主要是針對網絡防護工作而言的,單純的采用技術防范顯然不能從根本上解決安全問題,依然會對計算機管理帶來一定的隱患,在這種情況下,就必須要采用更加科學的手段,讓計算機用戶不會受到威脅,這就要求在管理層面上加強管理力度,嚴格進行執法活動,對于計算機用戶的安全問題,應該建立起相應的制度或者法律法規,這樣可以起到約束性的作用,與此同時,在進行管理的過程中,人為因素對管理的影響較大,并且還會在操作層面上對管理帶來一定的壓力,這就需要進一步強化管理水平,保證相關的管理人員都具有完善的安全意識。
3.3安全層面的保障
如果想要保證計算機網絡工程的安全性,首先就需要有一個相對安全的物理條件,比如機房或者和機房類似的物理空間。在對地址進行選擇的時候比較重要,需要防止來自于環境等方面的物理災害的攻擊,還需要防止人為的破壞。在具體的操作過程中需要對虛擬地址的訪問進行必要的控制,還需要對用戶的權限進行限制,實行必要的身份識別,這樣可以在一定的程度上防止有非法入侵的現象發生。
3.4計算機網絡工程安全的綜合防范措施
網絡具有開放性,所以,對用戶信息的認證在網絡安全這一塊將顯得十分關鍵,需要通過用戶的口令和密碼來實現網絡系統的權限分級。同時還需要對密碼技術進提升,在此基礎上還要提高防火墻的防范技術,防火墻技術分為三類,一是數據包過濾技術,二是應用網關技術,三是技術。將防火墻技術和侵入檢測系統聯動起來,使其相輔相成的運行,可以為計算機網絡的安全提供一個可靠的保障。
4結束語
綜上所述,加強計算機網絡工程的安全問題迫在眉睫,這是人們共同關注的問題,是社會得到穩定發展的重要保障,是人們工作與學習順利進行的首要前提,加強相關的預防工作是當前技術人員的工作重點。
引用:
[1]黃丹.關于計算機網絡安全問題分析及對策研究[J].信息與電腦(理論版),2011,12(15):245-246.
篇8
1.1內部安全威脅
所謂的內部安全是指在企業內部范圍之內的一些安全威脅,包括硬件故障、員工的操作失誤、內部網絡攻擊。
(1)硬件故障。一個企業的網絡設備和設施主要為計算機以及交換機、路由器、傳輸設備等,其中計算機的硬盤主要有硬盤、顯卡、顯示器、內存、主板、網卡、電源等,其中任何一個硬件發生了微小的故障都會導致整個系統出現問題,嚴重的將會導致企業的重要信息和數據丟失或者外漏,甚至整個網絡系統都不能正常運行,整個企業的正常工作受到影響。
(2)員工的操作不當。由于機器都是人進行操作的,是人都會犯錯,都回存在懶惰以及粗心大意的情況,尤其是在操作員對于設備的使用和業務都不太熟練的情況下,他們的操作更容易造成數據的丟失和網絡設備的損壞,如果誤將硬盤進行格式化將會導致所有數據丟失。甚至有的時候企業員工為了報復領導的不公或者冷漠,會對企業的一些機密文件資料進行故意的竊取或者破壞。
(3)內部網絡攻擊。內部網絡攻擊,還是指企業的內部員工為了一己私利對于企業的計算機網絡系統進行破壞。
1.2外部安全威脅
(1)自然災害或其他非法攻擊。外部安全威脅是指企業的計算機信息網絡系統,因為自然災害或者非法攻擊造成系統安全風險。常見外部風險:火災、水災、其他自然災害以及盜竊等人為的破壞,這是引起信息系統損失的一個原因,對硬件系統構成潛在的安全風險。
(2)黑客攻擊。黑客通過網絡非法入侵計算機信息系統,這是目前計算機網絡所面臨的一個很大威脅。黑客攻擊的主要目的要么是為了截取競爭企業的保密信息,要么為了摧毀競爭企業的實力,對其信息進行破壞,讓其寶貴數據丟失。
(3)病毒感染。任何事物都會存在漏洞或者瑕疵,互聯網作為一個虛擬的網絡系統也存在一些漏洞,這個時候木馬就會對互聯網進行攻擊,導致互聯網上的數據丟失或者系統癱瘓。一般狀況下,企業的計算機只要接入網絡,在計算機的運行過程中就有病毒對產生威脅的可能。病毒感染網絡的途徑有很多,計算機網絡或者電腦的U盤都可以進行傳播病毒,計算機病毒不僅對計算機系統安全影響大,而且傳播速度很快。一旦電腦的文件被病毒感染之后就很難清除,并不是文件刪除了病毒就沒了。
2企業計算機網絡系統安全問題的部分解決措施
主要的企業計算機網絡系統安全問題的部分解決措施主要是依據上述的對企業計算機網絡安全造成不利影響的因素提出來的,主要的解決措施包括內部安全防范措施和外部安全防范措施。
2.1內部安全的防御措施
在上面的分析中,可以知道來自企業的內部計算機網絡安全威脅并不小于外部的網絡安全,甚至過之而無不及,所以企業的計算機網絡安全系統要想得到很好地保護,首先要將責任分配到個人,每一個設備和設施都能找到對應的負責人,設備要避免身份不明的人進入,這樣企業內部人員在操作時警惕性就高,操作失誤就少,更不敢因為不滿將設備破壞。然后企業要建立完善的設備網絡維護制度,要求使用者對于設備要進行不定期的檢查和維護,實時掌握設備的運行環境和運行情況。即使計算機系統運行正常,也要對計算機系統和設備進行定期的維護,從而保證計算機系統在一個良好的兼容環境下運行。加強計算機用戶的網絡安全保護意識,日常工作和生活中要不斷提升企業管理者和員工的網絡安全重要性意識,處處宣傳計算機網絡安全的重要性。企業對于常見的網絡故障和重點數據要建立網絡安全日志,企業的內部操作人員在查看這些日志的時候就能掌握企業網絡系統中經常出現的問題,以及哪些薄弱環節要重點預防。
2.2外部安全的防御措施
(1)防火墻與IDS(入侵檢測系統)。防火墻主要限制非法訪問攻擊,同時能夠及時地對網絡的相關規定進行防御,一般防火墻的等級越高,對于一些安全系數要求高的部門的網絡,防火墻的等級可以高一些,在出口處設置防火墻,避免Internet或者非本企業用戶攻擊企業網,同時不要將這些部門的網絡系統和整個大的企業網絡系統連接在一起,防止企業內部員工的攻擊。然后IDS能夠和防火墻進行很好地配合,對于抵抗一些網絡攻擊的效果非常好,所以企業網絡系統內IDS是必不可缺的。
(2)對黑客的防御。1)應用技術。該技術主要是指在能夠和最終的數據聯系上的應用層上,對數據進行數據監測,該監測是整個OSI模型的最高級別的檢測。這個時候整個防火墻的線路都是透明的,在外界數據進入到企業的網絡客戶端的時候,網絡協議就會對這些數據進行檢查,查看這些外來的數據是否安全。2)包過濾技術。該技術是使用比較早的一種技術,它主要是為各種基于TCP/IP協議數據報文出進的通道,現在使用的大多是動態過濾技術,該技術與靜態過濾不同的是,它增添了傳輸層。動態過濾技術是先對信息進行處理分析,然后用預置防火墻過濾規則進行校核,加入發現某個包有問題就會被阻止。
(3)對病毒的防御。學會巧用主動型防御技術防范病毒的入侵。計算機系統應安裝正規的殺毒軟件,并及時進行更新。同時對每臺電腦使用常用口令來控制對系統資源的訪問,每一臺電腦都有自己的口令,外人甚至是同事都不知道口令,這樣就可以很好地防御病毒,終端操作和網絡管理人員可以根據自己的職責權限,使用不同的口令。避免用戶越機訪問數據以及使用網絡資源,并且操作員應定期變更一次口令,爭取將病毒在在網絡前端就得到殺除。
3結語
篇9
【關鍵詞】計算機;網絡安全;攻擊;系統;防范措施
1.計算機網絡安全概要
隨著計算機科學的迅速發展,伴隨而來的計算機網絡安全問題也愈演愈烈。我們將計算機網絡安全問題拆分為計算機安全和網絡系統安全兩個板塊來討論。而對于什么是計算機安全呢?國際標準化組織給出的定義是:為以數據處理為中心的系統建立一個采取技術和管理雙重保護的安全保護。主要是保護計算機的硬件和軟件數據不因自然因素,偶然因素或者惡意操作而遭到攻擊,損壞,泄露等。對于計算機來說,它的組要組成部分是硬件和軟件數據,那我們不難理解,對于計算機安全來說,我們主要研究方向就是兩個方面:一是物理安全,二是邏輯安全。物理安全指的是計算機硬件不遭受各種因素的攻擊和破壞。
2.計算機網絡安全的現狀
計算機網絡安全問題已經成為國際環境中一個普遍的問題,這主要是因為互聯網全球共享化的特征所造成的,不管你身在何處,只要通過互聯網,就能進行各種各樣的操作。而這也是計算機網絡安全問題潛在威脅的最大原因。如果說自然因素和偶發因素是我們不可控制的,只能在加強計算機硬件和軟件的性能方面來減少這種因素發生所帶來的損失。那么人為因素所造成的安全問題可謂防不勝防。這主要體現在以下幾個方面:
2.1計算機病毒。計算機病毒具有傳播性、隱蔽性、感染性、潛伏性、可激發性、表現性或破壞性等特征。它的病毒的生命周期主要劃分為:開發期傳染期潛伏期發作期發現期消化期消亡期等七個階段。我們可以將計算機病毒比喻成生物病毒,它可以自我繁殖、互相傳染以及激活再生。這些特征意味著計算機病毒有強悍的繁衍(復制)能力并且擴散速度之快,在你還沒有來得及做出相應措施的時候,它就侵入了計算機的核心系統,導致計算機數據流失,系統紊亂,無法操作和響應等一系列病癥,甚至直接崩潰。
2.2黑客攻擊。黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊一般是為了擾亂系統的運行,并不盜竊系統資料,通常采用拒絕服務攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統、盜竊系統保密信息、破壞目標系統的數據為目的。黑客攻擊的工具有很多,攻擊方式也層出不窮,性質惡劣。
2.3內部威脅。內部威脅主要發生在各種企業或公司內部,他們并不像計算機病毒和黑客攻擊等有意為之,而是內部計算機操作人員由于缺乏網絡安全意識,而導致的內部操作方式不當而造成的計算機安全隱患。
2.4網絡釣魚。網絡釣魚其實按性質來說,就是一種詐騙手段。只不過它是通過網絡建立虛假的WEB網站或者電子郵件等來盜取使用者的信息。常見的形式有網絡購物的促銷活動,各種抽獎活動和金錢交易等吸引人去點擊,然后騙取他們的身份信息和銀行卡號和信用卡密碼等私密信息,達到利用人們脆弱的心理防線來達成竊取信息的目的。從以上可以看出,網絡攻擊的形式多種多樣,盡管計算機網絡安全維護人員們已經在竭盡全力的去尋找消滅他們的方法,但就拿計算機病毒來說,它就像生物病毒一樣,繁衍速度極快,種類也在無限的增長過程中,并且在攻擊過程中產生各種各樣的“病變”。也就是說,你研發一種對抗另外一種病毒的工具的速度也趕不上制造一種病毒的速度。但是,這并不是說我們就完全坐以待斃,等著網絡攻擊來侵害計算機網絡,我們需要借助科學嚴密的管理制度,創新精密的科學技術來盡可能的降低網絡安全風險。創造更加健全和穩固的計算機網絡防范于未然,是我們從現在到未來一種奮斗的目標!
3.對于計算機網絡安全問題的防范措施
3.1加大資金投入,培養網絡技術人才。我們都知道,一個國家科技發展的速度直接影響這個國家的發展速度,高科技對于一個國家的發展起著至關重要的作用。面對層出不窮的計算機網絡安全問題,我們需要培養更過的網絡技術人才來創造和維護和諧的網絡環境。所以,為什么美國是世界上第一科技大國,這和他們對于科學技術人才的大力培養是有密不可分的關系的。
3.2強化安全意識和內部管理。對于普羅大眾來說,計算機網絡安全隱患往往來自于自身對于網絡安全意識的不重視和對于網絡安全知識的匱乏,從而引起的操作不當導致計算機網絡安全的隱患,以及內部管理人員竊取機密信息等不法行為。加強內部管理主要從以下幾個方面入手:一是設置網絡密碼,并且時常更換密碼。這些密碼最好組成比較復雜,因為越復雜的密碼就越難攻破。二是設置訪問權限,這些訪問權限對于管理者來說,主要是用來區分管理階層的,什么身份的管理人員獲得什么樣的權限,最高的權限是為最高級別的管理者設置的,這么做是為了對計算機網絡數據信息進行更好的保密。設置訪問權限對于計算機網絡來說,不僅保護了路由器本身,并且保護了拓撲結構和計算機的操作和配置等。設置可信任的地址段從而防止非法IP的登陸。
3.3管理上的安全防護措施。這是指對網絡設備進行集中、高效、科學的管理,這些管理主要是對計算機硬件設備的管理,包括主干交換機,各種服務器,通訊線路,終端設備等。對這些設備進行科學的安裝和維護管理工作,是對網絡安全的一項重要措施。管理上的安全防護措施還來自的管理人員的規范。管理人員對于安全管理意識,安全管理技術和用戶安全意識的提升都直接影響網絡安全的健全。在工作生產中,如果網絡安全遭受到攻擊,管理人員良好的專業素質和管理準備辦法都能技術抵御攻擊或者對攻擊過后的損失進行及時的補救。
4結論
篇10
關鍵詞:無線Mesh網絡 安全隱患 防御
中圖分類號:TP309 文獻標識碼:A 文章編號:1007-9416(2013)12-0189-02
無線Mesh網絡也就是無線網狀網,因為速率較高、容易組網和成本低廉的優勢被大家熟悉和接受,被普遍應用于無線設備和互聯網的接入中。無線Mesh網絡最主要的意義,是能夠使任何網絡節點都具備接收和轉發數據的功能,并且能夠使每個節點都可以實現與一個或多個對等的節點直接進行通信。和無線局域網相比,無線Mesh網絡使用的是多跳機制,這就意味著用戶要實現通信就必須通過較多數量的節點,這在一定程度上大大增加了無線Mesh網絡的安全隱患。隨著無線Mesh網絡越來越廣泛地被應用,其安全問題已經成為了急需研究的話題。
1 無線Mesh網絡的結構特點
無線Mesh網絡有別于傳統無線網絡技術,其無線電通信網絡是由網狀的拓撲射頻節點組成的。無線Mesh網絡所包含的節點可以分為三類,分別是客戶端、路由以及網關。其客戶端節點可以是傳統筆記本電腦,也可以是手機、ipad等無線設備,路由節點則利用自身組織或者預先配置的方式形成骨干網絡,為客戶端提供無線接口,網關節點則提供到網絡的訪問。由于無線Mesh網絡的通信網絡結構特點,能夠滿足當一個節點發生故障,其他剩余節點仍能夠直接或間接實現相互通信的要求,因此是一種比較可靠的數據通信方式。
2 無線Mesh網絡潛在的安全問題
無線Mesh網絡的結構特點使得其除了面臨傳統有線網絡安全的風險外,還面臨著其他特殊的安全隱患:
2.1 無線傳輸的開放性使其安全面臨更大挑戰
通常情況下,要對有線網絡發起供給需要依賴于對物理通道的監聽或以流量注入的方式發起攻擊。而無線網絡由于其開放性特點,使得黑客可以通過竊聽無線鏈路的信號、接收覆蓋范圍的節點發送的報文篡改數據等方式實現對網絡的供給,甚至可以直接發送無線干擾信號來對無線Mesh網絡造成破壞。
2.2 無線Mesh網絡認證的分散性使其更加容易受到攻擊
與傳統有線網絡不同,無線Mesh網絡缺少控制中心這樣的節點,導致對其進行安全管理變得困難。又由于其特殊的拓撲結構,使得網絡中節點之間的數據傳送變得不穩定,已有的安全措施難以直接應用,安全認證變得困難重重。
2.3 無線Mesh網絡終端節點的兩重身份加大其安全威脅
在無線Mesh網絡中,非常特殊的一點在于其終端節點同時承擔著主機和路由器的角色因而既需要運行相關聯的應用程序,又需要遵守路由協議運轉。如果網絡內部的節點要實現與網絡外部節點的通信,就必須依靠終端網絡節點的多跳機制參與,這意味著如果任何一個有多條通信鏈經過的節點受到攻擊,都有可能給整個網絡的安全造成影響。
2.4 無線Mesh網絡獨特的路由機制給網絡攻擊提供更多機會
無線Mesh網絡的路由節點運行原理是多跳動態機制。攻擊者可以利用路由器的這一特點進行錯誤路由信息的傳播,整個網絡系統有可能因此陷入停運狀態。路由節點的這一特質也使得DOS攻擊手段變得多樣化,通過虛假路由信息進行欺騙,實現蟲洞等形式的攻擊,更加隱蔽和防不慎防。
3 無線Mesh網絡常見的安全攻擊手段
有線網絡的攻擊手段仍可能對無線Mesh網絡造成威脅。同時,由于無線Mesh網絡的特殊性,使其還將面臨更多的威脅。總的來說,針對無線Mesh網絡的攻擊可能由網絡外部的惡意節點發起,也可能由內部的被侵入的節點進行,手段比較多樣,且一些手法具有很強的隱蔽性,應該引起高度的重視。
3.1 竊聽
竊聽是一種比較傳統的攻擊方式,通常是其他網絡攻擊的基礎,在有線網絡時代已經存在,通過竊取流經網絡的計算機信號實現對網絡傳輸流的截取,對用戶的信息隱私造成威脅。由于無線網絡是以無線電為載體進行的,介質具有公開向,理論上說流經無線通信的每一個信息對于竊聽者都是可見的。如果用戶的數據沒有進行加密,竊聽者將非常容易地獲取到想要獲得的明文,再通過報文解析獲取信息。
3.2 DDoS進攻
DDoS是中文“分布式拒絕服務”的英文縮寫,其攻擊主要以干擾正常網絡通信,占用正常網絡帶寬為手段,以實現影響用戶網絡正常使用或導致一些節點對某種服務無法正常訪問。與傳統DoS不同,DDoS的攻擊更多是通過向目標主機傳輸大量的垃圾數據,造成其通信堵塞或服務器不堪重負,從而實現拒絕服務的目的,用戶對網內資源的正常訪問受到嚴重影響。
3.3 中間人進攻
數據要實現通信必須在至少兩個節點之間傳輸,中間人進攻就是在兩個合法節點之間,利用一定手段對節點雙方以欺騙的方式獲取通信內容。對于底層的無線Mesh網絡,這種以中間人的身份進行的進攻是非常突出和致命的。中間人進攻對于無線Mesh網絡的各個傳輸線路都可能造成嚴重的危害。攻擊者可以通過這種欺騙手段獲得累積的明文甚至加密文件,在此基礎上進行分析,就可能對網絡密匙實現破解。
3.4 路由節點進攻
路由機制的實現需要內部節點的相互合作。如果內部節點被利用改造成惡意節點,就可能向其他節點發送虛假信息,或者偽造其他節點的路由信息,對整個網絡系統造成嚴重破壞。由路由節點發起的進攻具有很大的隱蔽性,在爆發前通常難以被發現,引起破壞性非常大。目前針對無線Mesh網絡路由機制的進攻主要通過以下幾種方法:
(1)黑洞。黑洞攻擊是通過惡意節點對外偽裝具有最短路勁,欺騙其他節點與其建立路由連接。在連接建立之后,惡意節點將利用竊聽或者吞噬需要轉發的數據,造成數據分組丟失的拒絕服務。
(2)蟲洞。蟲洞攻擊的原理是通過兩個處于同一網絡但位置不同的惡意節點之間繞路信息的交換,導致通過惡意節點的跳躍數的減少,以此換取獲得路權機會的增加。這種攻擊可能導致路由擾,正常的通信無法進行。
(3)篡改數據。對數據的篡改通常很難被檢測。這種攻擊是由惡意節點在報文上動手腳,修改報文的內容,從而造成該報文在目標節點上的認證失敗,或者使攻擊者獲得需要信息。
(4)自私節點。自私節點是指在整個網絡系統中為了盡可能地滿足本節點的需求,而拒絕為其他節點提供中繼服務的節點。如果攻擊者制造出大量的自私節點,就可能造成網絡系統較大面積的停止運行。
(5)女巫攻擊。這種策略是指一個惡意節點使用一個物理設備但是卻偽造了多個身份,造成一定的迷惑性,使得路由協議的運行受到干擾,網絡資源的分配也可能出現問他,從而影響系統的正常運行。
4 無線Mesh網絡的安全防御
針對上述無線Mesh網絡面臨的安全問他,可以采取適當的措施進行防護,最大程度降低破壞的發生,保障系統的相對安全。
4.1 針對竊聽的防范措施
從竊聽攻擊的發動原理可以看出,無線Mesh網絡的竊聽風險主要是由于無線介質的開放性造成的,其防御也是利用這一原理,盡量減少其開放性帶來的威脅。一方面,可以利用定向天線技術和擴頻技術等手段,減少惡意破壞者接收到完整信號的幾率。另一方面,采取數據加密,保證節點的認證和路由信息都受到網絡密鑰的支撐。
4.2 DDoS攻擊的防范措施
如果網絡節點已經受到了DDoS攻擊,再進行防御產生的效果是不盡如人意的。因為當意識到有大量垃圾數據向其傳輸的時候,網絡很可能已經因為通信量超過負荷而陷入癱瘓。此時只有及時進行相關檢查進行抵抗。第一,是盡力找出進攻的發源,及時關閉相關設備。第二,是查處攻擊經過的路由,再有針對性的進行屏蔽。由于DDoS攻擊通常是惡意的網絡擁堵,并非傳統意義上端口到端口的擁堵,因此單獨節點上的有效防范難以實現,需要通過路由來解決。一個比較可行的方法是在每個節點上加入檢測攻擊,或者選擇分組丟失功能。另外使用資源調節器也可以對資源耗盡類型的DDoS攻擊達到比較好的防范目的。
4.3 中間人攻擊的防范措施
中間人攻擊之所以能夠成功,關鍵原因是任何一個無線Mesh網的節點都被允許既是申請者同時又是認證者。利用這一原理,運用身份簽名技術,采取挑戰簽名及以及驗證的方法實現雙向認證,能夠較好地防御中間人攻擊這一手段。具體來說,當每一個節點新加入到整個網絡系統中時,必須向其相鄰的節點發出認證,通過認證的節點蔡有資格進入。這就使得節點只具備一種身份,新加入的節點為申請者,而其相鄰的節點則成為認證者。
4.4 路由攻擊的防范措施
(1)黑洞攻擊的防范。要預防黑洞攻擊的發生,最可靠的辦法是找出黑洞節點。使用者可以利用對無線網絡進行監聽的方法來實現對黑洞節點的檢測和排查。監聽的原理如下:由于無線信號的傳播是全向的,當源節點向非目的節點發送數據分組的時候,非目的節點會根據路由信息轉發這一數據分組,其他節點包括源節點在內,都肯定能夠收到來自非目的節點轉發的這一數據分組,從而可以由源節點對非目的節點轉發的數據分組的數量進行檢測,以此作為依據判斷非目的節點為黑洞節點的可能性大小。
(2)蟲洞攻擊的防范。針對蟲洞攻擊當前已經有了一些比較成熟的防范。比較常使用的是地理束縛和時間束縛、計算鄰居數目分布以及基于鄰居信任的評估。
(3)數據篡改的防范。目前對于數據篡改類的網絡攻擊,比較常用的方法是對路由信息進行加密以及采用數字簽名的方法。為了避免被惡意俘獲的節點利用路由進行網絡攻擊,用戶應該定期和非定期地對路由表以及選擇方式進行更新,確保正確的路由選擇。
(4)自私節點攻擊的防范。自私節點攻擊的防范可以通過對自私節點的排查和檢測進行方法。目前比較流行的檢測方法有基于上下文感知的排查法、中心極限定理(CLT)檢測算法以及基于滑動窗口的殘差閡值測算法等。
(5)女巫攻擊的防范。如果能夠對節點的身份進行有效的識別和檢測,女巫攻擊就能夠得到有效的防范。其檢測的標準時能夠確保每個節點有效并且只具備一個物理身份。當前比較流行的方法有網絡密鑰預分配和節點定位等。
隨著無線Mesh網絡的應用和推廣,其面臨的安全隱患引起人們越來越多的關注,針對無線Mesh網絡進行的攻擊也更加多樣,其中一些具有很強的隱蔽性,能夠對整個網絡系統造成較大的破壞。本文在簡單介紹無線Mesh網絡特性的基礎上,主要針對其存在的安全隱患進行分析。介紹了幾種主要的攻擊手段,并提供了相應的防御方法。這些方法能夠比較有針對性地防范一種或幾種攻擊,但從長遠來看,要真正打破無線Mesh網絡的安全瓶頸,還是應該從無線Mesh網絡的網絡協議入手,構建安全穩定的網絡框架結構,從根源上堵塞安全漏洞。
參考文獻
[1]郭淵博,楊奎武,張暢.無線局域網安全:設計與實現[M].北京:國防工業出版社,2010.
[2]劉振華.無線Mesh網絡安全機制研究.中國科學技術大學博士學位論文,2011.
