怎樣應對計算機網路安全的缺陷
計算機網路一般採用的是TCP/IP協議,在制定該協議時,設計人員主要考慮的是方便性,對安全性的考慮不多,因而該協議本身具有很多安全漏洞接下來由小編為大家推薦計算機網路安全缺陷的應對方法,希望對你有所幫助!
計算機網路安全缺陷的應對方法:
一、計算機網路安全缺陷
1、計算機網路一般採用的是TCP/IP協議,在制定該協議時,設計人員主要考慮的是方便性,對安全性的考慮不多,因而該協議本身具有很多安全漏洞。
2、計算機的作業系統在進行結構設計和程式碼設計時,也是主要考慮到使用者使用的方便性,但是在安全性上,比如計算機的遠端控制、許可權控制等方面,存在缺陷。
3、計算機在資料庫管理上也存在一定的缺陷,不法分子可以在資料庫或者應用程式中安裝各種破壞程式來進行情報資料的收集。
二、計算機網路攻擊的方式
1、漏洞攻擊。由於計算機在系統、程式、硬體、軟體等方面都存在一定的缺陷和漏洞,而不法分子可以利用這些漏洞進行攻擊。計算機網路常見的安全漏洞主要有:盜取遠端、本地管理許可權,遠端、本地拒絕服務,伺服器資訊的洩露等等。不法分子會利用漏洞探測工具來對使用者的系統進行檢測,然後在不經授權的情況下針對這些漏洞來進行攻擊。
2、病毒攻擊。病毒攻擊是計算機網路攻擊中最為普遍,也是最難處理的一種,它可以對計算機造成巨大的損壞。許多病毒會和木馬結合在一起,防毒軟體不僅很難刪除,還可以迅速進行傳播。
3、***攻擊。由於***已經成為很多人進行溝通交流的方式,很多商務交際和公司貿易中,都採用了***的方式。不法分子會利用CGI等軟體向用戶郵箱傳送大量的垃圾郵件,導致郵箱被撐爆而無法使用。此外,不法分子還會用郵箱來對使用者傳送帶有病毒的郵件。
4、DOS攻擊。DOS攻擊又稱拒絕服務攻擊,這種系統漏洞在全世界都普遍存在,不法分子利用系統和裝置的缺陷不斷地進行攻擊。不法分子採用這種攻擊手段,讓使用者的系統因為負荷過多而無法正常工作。攻擊者採用的方式—般是對計算機之間的連結或伺服器進行破環,使其無法進行正常的網路通訊。
5、緩衝區溢位攻擊。不法分子利用軟體自身的缺陷,向程式的緩衝區寫入過長的內容,發生緩衝區溢位,對程式的堆疊進行破壞,達到執行其他指令的目的。或者攻擊者在緩衝區內寫入自己的程式碼,將這個程式碼的的地址覆蓋原函式的返回地址,當程式返回時,程式就開始執行攻擊者的程式碼。
6、TCP/IP欺騙攻擊。這種攻擊方式是通過偽造假冒的地址,冒充真實的身份來和其他主機來進行合法通訊,或者是向被攻擊者傳送了錯誤的報文,讓被攻擊者執行錯誤的指令。
7、ARP欺騙攻擊。ARP攻擊,是攻擊者通過對路由器的ARP表進行欺騙,或者是對閘道器進行欺騙的方式達成攻擊的目的。其中,針對路由器的ARP欺騙方式是,攻擊者截獲閘道器資料,偽造MAC地址,並向閘道器頻繁傳送,造成路由器的ARP快取資訊得到修改,導致真正的IP地址無法與路由器進行通訊,這種攻擊的結果是導致使用者的網路受到中斷。而對閘道器進行欺騙的方式是攻擊者通過偽造閘道器,使得被攻擊者向攻擊者的閘道器傳送資料,這樣,攻擊者可以截獲使用者的網路資訊。
8、電磁輻射攻擊。電磁輻射攻擊主要是應用在現代戰爭中,攻擊者通過電磁輻射干擾對方的通訊,同時將對方的通訊資訊進行擷取,是獲取軍事情報的方式。
三、網路攻擊的防範技術
1、拒絕服務攻擊防範
1***使用者可以對不必要的服務進行關閉,對同時開啟的SYN半連線數目進行限制,並且對SYN的半連線的timeout時間進行縮短,並注意及時對系統更新補丁。
2***在防火牆的設定上,嚴禁對計算機的非開放專案進行訪問,對同時開啟的SYN最大連線數進行限制。對特定的IP設定訪問限制,並且將防火牆的DDOS的屬性啟動。
3***在路由器的設定上,對訪問控制列表要進行過濾,同時對SYN的資料包的流量速率進行設定,對版本過低的ISO進行升級,併為路由器建立logserver。
2、緩衝區溢位攻擊防範
1***程式指標完整性檢測。即使用者需要對程式指標進行檢測,防止被攻擊者進行改變並被引用。
2***堆砌保護。這是一種編譯器技術,用來對程式指標完整性進行檢測,其檢測方式是通過對函式活動記錄中的返回地址進行檢測來實現的。即,首先將一些附加的位元組新增在堆疊中函式返回地址後,當函式返回時,會先對這些附加位元組進行檢查,看是否被改動過,檢視是否發生了緩衝區溢位攻擊。
3***陣列邊界檢查。即對所有的陣列操作進行檢查,確保陣列操作在正確的範圍內。
3、掃描型攻擊的防範
1***地址掃描的防護。使用者可以採用Ping程式進行探索,如果存在地址掃描攻擊,則其會對此程式作出反映,此時就可以在防火牆中將ICMP應笞訊息過濾掉。
2***埠掃描的防護。使用者需要將閒置的埠或者存在風險的埠關閉,使用者還可以通過防火牆來檢測其是否被掃描,因此,良好的防護牆是預防埠掃描的關鍵因素。
3***畸形訊息攻擊。由於計算機的作業系統本身存在漏洞,系統在處理資訊時,如果不能進行錯誤校驗,在接受到畸形攻擊時就可能會導致系統崩潰。要預防畸形訊息攻擊就需要及時更新安裝補丁。
4、IP地址欺騙防範
1***拋棄基於地址的信任策略:使用者為了實現對此類攻擊的阻止,需要拋棄以地址為基礎的驗證。比如,禁用r類遠端呼叫命令,或者刪除rhosts檔案,對/etc/hosts.equjy檔案進行清空。
2***使用加密方法:使用者可以採用對將要傳送的資料包進行加密,在加密的過程中需要對當前的網路環境進行改變,通過加密可以保證資料的真實性和完整性。
3***進行包過濾。通過對路由器進行設定,如果發現網外的連結請求的IP地址與本網內IP地址相同,則對其進行禁止。如果資料包的IP地址並不在本網內,則禁止將本網主機的資料包傳送出去。包過濾技術只能過濾聲稱來自內部網路的外來包,所以最好關閉網路中的外部可信任主機,避免不法分子冒充這些主機進行IP欺騙。
5、ARP攻擊防範
1***將閘道器MAC地址和對應的IP地址進行繫結;在交換機上將計算機埠和MAc地址進行繫結,同時對ACL進行配置,對非法IP或MAc地址進行過濾。
2***通過使用ARP伺服器,查詢自己的ARP轉換表,從而對其他裝置的ARP廣播進行響應。在一些特殊的網路環境中,可以考慮使用ARP代理或者是對網路介面的ARP解析禁止執行。
3***使用反ARP軟體、防火牆等監控網路,應當避免使用集線器等裝置,並且定期檢查ARP的快取列表。
4***因為ARP攻擊一般發生在園區內,因此,網路管理員可以根據在區域網中制定出一個網路拓撲圖,劃出VLAN區域,如果有使用者感染了ARP病毒,為了防止ARP病毒的擴散,就需要立即找到感染病毒使用者的交換機埠,將這個埠列進VLAN區,並且可以運用埠中的disable對其進行遮蔽。
四、結束語
因此需要使用者和技術人員提高網路安全防範的意識,提高應對攻擊的處理能力,同時要不斷加強學習和研究,從而更好地應對現在複雜多變的網路環境。