如何做好網絡安全防范（一）

隨著互聯網的飛速發展，網絡安全問題愈發突出，為此有效進行網絡安全防范成為了保障信息安全的重要前提。要做好網絡安全防范，首先需要對網絡中可能面臨的安全威脅，包括其對應的攻擊手段和對網絡的危害有所了解，才能針對性地選擇有效的防范策略。

#安全

發布時間：2022-11-09
點擊量：
點贊：

分享至

我想評論

1 背景

網絡安全防范是保障信息安全的重要手段。隨著互聯網體量與業務的極速擴張，網絡中承載了越來越多的重要信息。但隨著網絡設備遭受病毒攻擊、用戶隱私數據泄密等安全事件頻發，用戶的信息安全遭遇了嚴重的威脅，人們不禁對網絡的可靠性和安全性提出了質疑。因此，如何保障網絡安全性，有效識別網絡中可能面臨的安全威脅并加以防范，成為了個人用戶、企業、行業乃至整個國家都需要考慮的重要課題。

2 什么是網絡安全

網絡安全指的是網絡系統中的軟、硬件以及系統中的數據信息受到保護，不因偶然或惡意原因受到破壞、更改或泄露，系統運行連續可靠，網絡服務不中斷。簡而言之，維護網絡安全就是要保障網絡的可用性、完整性、保密性。

●可用性：保障網絡服務和信息在需要時能被即時獲??；

●完整性：在未經授權的情況下，數據在存儲或傳輸的過程中不被修改、破壞或丟失；

●保密性：網絡中的信息不被泄露給非授權實體。

3 常見的網絡安全威脅

3.1 有害程序

有害程序引起的安全威脅指的是通過惡意程序，危害系統中數據、應用程序或操作系統安全，從而影響系統正常運行。有害程序包括計算機病毒、木馬、蠕蟲、僵尸網絡、網頁內嵌惡意代碼等，以下對其中三類安全威脅進行詳細介紹。

3.1.1 病毒

計算機病毒是人為制造的、能夠破壞計算機系統、毀壞數據、影響計算機使用的一組指令或代碼。計算機病毒能夠實現自我復制和自我執行，并且具有破壞性、潛伏性、傳染性等特點。

病毒常以隱藏文件或偽裝為正常程序的形式存在，通常通過移動存儲設備和網絡進行傳播，從而造成大面積的計算機受到影響。計算機感染病毒后，輕則導致程序無法正常運行、系統運行卡頓，重則導致部分重要數據丟失，更有甚者，硬盤內所有數據均被徹底抹除。

3.1.2 木馬

木馬是一種用于盜取用戶信息的后門程序，其具有很強的隱蔽性和頑固性。頑固性強的木馬即使被檢測軟件識別，也難以清除。與病毒不同，木馬不具備傳染性，且無法自我復制，其作用對象通常為用戶在設備正在操作的資料和信息。

系統漏洞、郵件、軟件下載過程均為木馬入侵的重要途徑。感染木馬后，計算機中的重要文件和密碼將被盜取，同時，計算機的控制權也可能被攻擊者獲取。

3.1.3 蠕蟲

蠕蟲是一種獨立的惡意程序，具有極強的破壞性和傳染性。與病毒不同，蠕蟲無需寄宿于主程序即可獨立地運行、復制和傳播。而蠕蟲和木馬的差異在于，木馬將信息竊取作為首要任務，蠕蟲則是以破壞作為主要目的，并且會大量復制并傳播，以求感染更多的設備。

蠕蟲主要通過網絡傳播，可以感染網絡上任何不受保護的設備。蠕蟲攻擊由于不斷掃描IP地址，因此將占用大量的帶寬資源，并且急劇消耗網絡設備的CPU資源，導致設備無法正常提供網絡服務。

3.2 網絡攻擊

網絡攻擊是指利用網絡系統中的協議、配置、程序缺陷，對系統發起攻擊，從而影響正常網絡服務和系統運行。網絡攻擊的方式包括拒絕服務攻擊、后門攻擊、漏洞攻擊、網絡掃描竊聽等。

3.2.1 拒絕服務攻擊

拒絕服務（DoS，Denial of Service）攻擊是一種通過消耗網絡帶寬、設備CPU資源、內存空間或磁盤空間等方式，使得網絡服務癱瘓的惡意攻擊行為。

攻擊的手段多樣，最為常見且典型的就是泛洪攻擊。泛洪即是發送大量的流量，由于垃圾流量搶占了網絡帶寬與系統資源，正常的數據報文將無法傳輸，導致網絡服務癱瘓。泛洪攻擊通常利用TCP/IP協議以及系統存在的漏洞進行，其產生的根本原因還是在于網絡帶寬和系統資源的有限性。常見的泛洪攻擊有TCP-SYN Flood、DHCP Flood和ARP Flood等。

●TCP-SYN Flood是當前最普遍的泛洪攻擊方式之一，其利用TCP連接三次握手的弱點實現。攻擊者向被攻擊設備發送大量包含SYN標志的TCP請求，被攻擊設備收到后將回復SYN+ACK數據包，并將此半連接記錄添加到隊列中，等待對方回應ACK報文后再將此條目從隊列中刪除。此時，攻擊者不再回應ACK確認報文，因此，被攻擊設備將在超時時間到達前維持半連接，并持續發送SYN+ACK報文。隊列中大量的半連接將急劇占用被攻擊設備的系統資源，導致正常服務的請求信息無法被響應。

圖3-1 TCP-SYN Flood攻擊示意圖

●DHCP Flood攻擊中，攻擊者使用大量偽造的MAC地址向DHCP服務器發送IP地址獲取請求，從而使得DHCP服務器的地址池被偽造地址耗盡，合法設備無法通過該服務器獲取IP地址。

●ARP Flood攻擊則是通過大量發送包含偽造信息的ARP報文，從而占據ARP表資源，造成合法ARP請求無法解析。

上述泛洪攻擊能夠成功主要利用了設備資源的有限性，通過大量的攻擊數據包占據資源，導致正常的網絡服務請求無法被響應。此類攻擊需要攻擊者持續發送大量數據包才能完成，并且只需要少量人為干預，即可恢復網絡性能。

在另一類DOS攻擊中，攻擊者利用協議或軟件漏洞，只需要發送少量的攻擊數據包，即可使得被攻擊者系統崩潰。此類攻擊在大多數情況下需要通過重新啟動系統才可恢復，具有更大的安全威脅。常見的攻擊方式有TearDrop淚滴攻擊、Land攻擊和Smurf攻擊等。

●TearDrop通過發送異常的數據分片進行攻擊。數據包在路由器間進行傳輸時，大小若超過MTU值，則會被分片，直至到達目的主機后才會被重新組裝。攻擊者利用此特點，向受害主機發送含有重疊偏移的偽造IP分片，受害者主機在在收到數據時無法處理分片，從而導致系統崩潰、設備死機。

●Land攻擊通過發送源、目地址和源、目端口號均為受害者主機地址或端口號的TCP-SYN數據包，使得自身形成環路，導致系統崩潰。

●Smurf攻擊中，攻擊者將源地址偽裝成受害者主機地址、將受害網絡的廣播地址作為目的地址發送ICMP請求，網絡中的所有設備收到廣播請求后，將應答信息發送給受害者主機，從而導致其崩潰。

3.2.2 后門攻擊

后門指的是在系統中的非公開訪問控制途徑，攻擊者通過該途徑能夠繞過檢查，隱蔽地獲取設備的控制權或受保護信息。設備上后門的來源一般為以下兩種形式：

●在軟件開發或硬件設計過程中，開發者留下后門，且未在軟件發布或產品上市前關閉。

●攻擊者攻陷主機后在設備上植入木馬程序，或用戶通過郵件或主機打開了藏有木馬的文件，此時木馬程序將會在設備上自動創建后門。

由于多數安全軟件在檢測時會忽略系統中的后門，因此一旦攻擊者通過后門入侵設備，就難以被發現。

3.2.3 漏洞攻擊

漏洞攻擊是指攻擊者利用協議、軟件、硬件或安全策略上存在的缺陷，對設備或網絡發起攻擊。通過漏洞攻擊，攻擊者能夠在未授權的情況下訪問或破壞系統。

漏洞存在于網絡中的任何軟硬件設備上，即使是一些安全工具本身也不可避免地存在漏洞。上文提到開發者為了便于測試，常常會留下后門，這些后門在產品發布之后，自然而然便成了攻擊者可以利用的漏洞。同時，網絡協議也是漏洞產生的溫床。此外，隨著軟硬件運行環境的更新和用戶使用的過程，新的漏洞會不斷出現。一旦設備缺少網絡安全防范機制，攻擊者很容易通過系統漏洞獲取控制權限。

3.2.4 網絡掃描竊聽

網絡掃描是一種基于TCP/IP協議的信息探測手段，適用于主機、路由器、防火墻等多種網絡設備，用于發現網絡的遠程服務和系統脆弱點。通過網絡掃描，可以獲悉網絡中正在運行的設備的信息。對網絡中的合法用戶而言，掃描有利于了解網絡的運行情況，輔助網絡安全評估；而對攻擊者而言，網絡掃描則是了解和選擇攻擊目標的有效途徑。因此，網絡掃描常常作為網絡攻擊的第一步，是攻擊者在實施具體攻擊前，用于搜索網絡情報的一個重要步驟。

實施網絡掃描獲取網絡情報后，攻擊者通常會采用網絡竊聽作為下一步攻擊手段。網絡竊聽又稱為網絡嗅探，是攻擊者用于截獲數據的重要方法。攻擊者通過尋找端到端通信之間未加密的弱連接，攔截穿越網絡的數據包，從而竊聽跨越主機、服務器、網絡設備、智能手機等網絡組件的對話，此時任何未經加密的流量都可以被攻擊者讀取。竊聽行為不會對網絡設備造成實質性的損害，但對用戶數據的泄漏是不可估量的。竊聽行為往往不容易被發現，因此想要檢測和防范網絡竊聽攻擊是極為困難的。

3.3 信息破壞

信息篡改、信息假冒、信息泄露、信息竊取等均屬于信息破壞的范疇，是網絡中最為普遍的安全威脅之一。攻擊行為除了滿足一部分黑客的好奇心與好勝心，更多則是為了獲取利益，而用戶信息就是攻擊者獲取利益的最佳途徑。大多數有害程序和網絡攻擊會導致信息受到破壞。攻擊者通過木馬程序或漏洞攻擊，在無授權的情況下獲取用戶設備的訪問權限。此時，系統中保密、敏感的信息自然便暴露在了攻擊者眼前，攻擊者可以通過竊取、篡改或刪除操作對信息造成破壞。

4 總結

網絡環境日漸復雜，而用戶對于數據、應用的安全性要求又在逐步提升，為了避免網絡中無處不在的安全威脅，做好網絡安全防范工作是至關重要的。而在通過網絡設計、安全功能配置或是安全策略執行等方式提升網絡應對攻擊的能力之前，了解當前網絡環境下可能遇到的安全問題是必不可少的步驟。只有了解網絡中可能會面臨哪些安全威脅，以及安全威脅的來源以及帶來的影響，才能采取有效舉措進行針對性防范。而對于上述安全問題的具體防范措施，將在下期揭曉。

相關鏈接
網絡安全隱患之：“挖礦木馬”介紹

相關標簽：