以下是小编为大家收集的网络防火墙封阻攻击采用的八项技术,本文共9篇,希望对大家有所帮助。
篇1:网络防火墙封阻攻击采用的八项技术
正文:
你已经决心下大力气搞好应用安全吗?毕竟,例如金融交易、信用卡号码、机密资料、用户档案等信息,对于企业来说太重要了。不过这些应用实在太庞大、太复杂了,最困难的就是,这些应用在通过网络防火墙上的端口80(主要用于HTTP)和端口443(用于SSL)长驱直入的攻击面前暴露无遗。这时防火墙可以派上用场,应用防火墙发现及封阻应用攻击所采用的八项技术如下:
深度数据包处理
深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。
TCP/IP终止
应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式,
SSL终止
如今,几乎所有的安全应用都使用HTTPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输,你就需要在流量发送到Web服务器之前重新进行加密的解决方案。
URL过滤
一旦应用流量呈明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicode encoding)。对URL过滤采用基于特征的方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL,这是远远不够的。这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实,如果把应用响应考虑进来,可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作,可以阻止通常的脚本少年类型的攻击,但无力抵御大部分的应用层漏洞。
请求分析
全面的请求分析技术比单单采用URL过滤来得有效,可以防止Web服务器层的跨站脚本执行(cross-site scripting)漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步:可以确保请求符合要求、遵守标准的HTTP规范,同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而,请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样,记住以前的行为能够获得极有意义的分析,同时获得更深层的保护。
篇2:使用网络防火墙封阻攻击的八个方法
使用网络防火墙封阻攻击的八个方法
已经决心下大力气搞好应用安全吗?毕竟,例如金融交易、信用卡号码、机密资料、用户档案等信息,对于企业来说太重要了。不过这些应用实在太庞大、太复杂了,最困难的就是,这些应用在通过网络防火墙上的端口80(主要用于HTTP)和端口443(用于SSL)长驱直入的攻击面前暴露无遗。这时防火墙可以派上用场,应用防火墙发现及封阻应用攻击所采用的八项技术如下:
深度数据包处理
深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。
TCP/IP终止
应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流。流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。
SSL终止
如今,几乎所有的安全应用都使用HTTPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输,你就需要在流量发送到Web服务器之前重新进行加密的解决方案。
URL过滤
一旦应用流量呈明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicode encoding)。对URL过滤采用基于特征的.方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL,这是远远不够的。这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实,如果把应用响应考虑进来,可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作,可以阻止通常的脚本少年类型的攻击,但无力抵御大部分的应用层漏洞。
请求分析
全面的请求分析技术比单单采用URL过滤来得有效,可以防止Web服务器层的跨站脚本执行(cross-site scripting)漏洞和其它漏洞。全面的请求分析使URL过滤更进了一步:可以确保请求符合要求、遵守标准的HTTP规范,同时确保单个的请求部分在合理的大小限制范围之内。这项技术对防止缓冲器溢出攻击非常有效。然而,请求分析仍是一项无状态技术。它只能检测当前请求。正如我们所知道的那样,记住以前的行为能够获得极有意义的分析,同时获得更深层的保护。
用户会话跟踪
更先进的下一个技术就是用户会话跟踪。这是应用流量状态检测技术的最基本部分:跟踪用户会话,把单个用户的行为关联起来。这项功能通常借助于通过URL重写(URL rewriting)来使用会话信息块加以实现。只要跟踪单个用户的请求,就能够对信息块实行极其严格的检查。这样就能有效防御会话劫持(session-hijacking)及信息块中毒(cookie-poisoning)类型的漏洞。有效的会话跟踪不仅能够跟踪应用防火墙创建的信息块,还能对应用生成的信息块进行数字签名,以保护这些信息块不被人篡改。这需要能够跟踪每个请求的响应,并从中提取信息块信息。
响应模式匹配
响应模式匹配为应用提供了更全面的保护:它不仅检查提交至Web服务器的请求,还检查Web服务器生成的响应。它能极其有效地防止网站受毁损,或者更确切地说,防止已毁损网站被浏览。对响应里面的模式进行匹配相当于在请求端对URL进行过滤。响应模式匹配分三个级别。防毁损工作由应用防火墙来进行,它对站点上的静态内容进行数字签名。如果发现内容离开Web服务器后出现了改动,防火墙就会用原始内容取代已毁损页面。至于对付敏感信息泄露方面,应用防火墙会监控响应,寻找可能表明服务器有问题的模式,譬如一长串Java异常符。如果发现这类模式,防火墙就会把它们从响应当中剔除,或者干脆封阻响应。
篇3:网络防火墙技术论文
[论文关键词]
防火墙 网络安全
[论文摘要]
在当今的计算机世界,因特网无孔不入。为应付“不健全”的因特网,人们创建了几种安全机制,例如访问控制、认证表,以及最重要的方法之一:防火墙。
随着网络技术的发展,因特网已经走进千家万户,网络的安全成为人们最为关注的问题。目前,保护内部网免遭外部入侵比较有效的方法为防火墙技术。
一、防火墙的基本概念
防火墙是一个系统或一组系统,在内部网与因特网间执行一定的安全策略,它实际上是一种隔离技术。
一个有效的防火墙应该能够确保所有从因特网流入或流向因特网的信息都将经过防火墙,所有流经防火墙的信息都应接受检查。通过防火墙可以定义一个关键点以防止外来入侵;监控网络的安全并在异常情况下给出报警提示,尤其对于重大的信息量通过时除进行检查外,还应做日志登记;提供网络地址转换功能,有助于缓解IP地址资源紧张的问题,同时,可以避免当一个内部网更换ISP时需重新编号的麻烦;防火墙是为客户提供服务的理想位置,即在其上可以配置相应的WWW和FTP服务等。
二、防火墙的技术分类
现有的防火墙主要有:包过滤型、代理服务器型、复合型以及其他类型(双宿主主机、主机过滤以及加密路由器)防火墙。
包过滤(Packet Fliter)通常安装在路由器上,而且大多数商用路由器都提供了包过滤的功能。包过滤规则以IP包信息为基础,对IP源地址、目标地址、协议类型、端口号等进行筛选。包过滤在网络层进行。
代理服务器型(Proxy Service)防火墙通常由两部分构成,服务器端程序和客户端程序。客户端程序与中间节点连接,中间节点再与提供服务的服务器实际连接。
复合型(Hybfid)防火墙将包过滤和代理服务两种方法结合起来,形成新的防火墙,由堡垒主机提供代理服务。
各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙,主要有:双宿主主机防火墙,它是由堡垒主机充当网关,并在其上运行防火墙软件,内外网之间的通信必须经过堡垒主机;主机过滤防火墙是指一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的惟一节点,从而确保内部网不受外部非授权用户的攻击;加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。
三、防火墙的基本功能
典型的防火墙应包含如下模块中的一个或多个:包过滤路由器、应用层网关以及链路层网关。
(一)包过滤路由器
包过滤路由器将对每一个接收到的包进行允许/拒绝的决定。具体地,它对每一个数据报的包头,按照包过滤规则进行判定,与规则相匹配的包依据路由表信息继续转发,否则,则丢弃之。
与服务相关的过滤,是指基于特定的服务进行包过滤,由于绝大多数服务的监听都驻留在特定TCP/UDP端口,因此,阻塞所有进入特定服务的连接,路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。
独立于服务的过滤,有些类型的攻击是与服务无关的,比如:带有欺骗性的源IP地址攻击、源路由攻击、细小碎片攻击等。由此可见此类网上攻击仅仅借助包头信息是难以识别的,此时,需要路由器在原过滤规则的基础附上另外的条件,这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。
(二)应用层网关
应用层网关允许网络管理员实施一个较包过滤路由器更为严格的安全策略,为每一个期望的应用服务在其网关上安装专用的代码,同时,代理代码也可以配置成支持一个应用服务的某些特定的特性。对应用服务的访问都是通过访问相应的代理服务实现的,而不允许用户直接登录到应用层网关。
应用层网关安全性的提高是以购买相关硬件平台的费用为代价,网关的配置将降低对用户的服务水平,但增加了安全配置上的灵活性。
(三)链路层网关
链路层网关是可由应用层网关实现的特殊功能。它仅仅替代TCP连接而无需执行任何附加的包处理和过滤。
四、防火墙的安全构建
在进行防火墙设计构建中,网络管理员应考虑防火墙的基本准则;整个企业网的安全策略;以及防火墙的财务费用预算等。
(一)基本准则
可以采取如下两种理念中的一种来定义防火墙应遵循的准则:第一,未经说明许可的就是拒绝。防火墙阻塞所有流经的信息,每一个服务请求或应用的实现都基于逐项审查的.基础上。这是一个值得推荐的方法,它将创建一个非常安全的环境。当然,该理念的不足在于过于强调安全而减弱了可用性,限制了用户可以申请的服务的数量。第二,未说明拒绝的均为许可的。约定防火墙总是传递所有的信息,此方式认定每一个潜在的危害总是可以基于逐项审查而被杜绝。当然,该理念的不足在于它将可用性置于比安全更为重要的地位,增加了保证企业网安全性的难度。
(二)安全策略
在一个企业网中,防火墙应该是全局安全策略的一部分,构建防火墙时首先要考虑其保护的范围。企业网的安全策略应该在细致的安全分析、全面的风险假设以及商务需求分析基础上来制定。
(三)构建费用
简单的包过滤防火墙所需费用最少,实际上任何企业网与因特网的连接都需要一个路由器,而包过滤是标准路由器的一个基本特性。对于一台商用防火墙随着其复杂性和被保护系统数目的增加,其费用也随之增加。
至于采用自行构造防火墙方式,虽然费用低一些,但仍需要时间和经费开发、配置防火墙系统,需要不断地为管理、总体维护、软件更新、安全修补以及一些附带的操作提供支持。
五、防火墙的局限性
尽管利用防火墙可以保护内部网免受外部黑客的攻击,但其只能提高网络的安全性,不可能保证网络的绝对安全。事实上仍然存在着一些防火墙不能防范的安全威胁,如防火墙不能防范不经过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet的直接连接。另外,防火墙很难防范来自于网络内部的攻击以及病毒的威胁。所以在一个实际的网络运行环境中,仅仅依靠防火墙来保证网络的安全显然是不够,此时,应根据实际需求采取其他相应的安全策略。
篇4:网络攻击技术论文
【摘要】
计算机网络技术和信息技术的飞速发展已影响到各个领域,不断改变着人们的生活和工作方式,然而威胁信息安全的各种入侵也随之而来。信息安全与国家安全息息相关,事关社会和经济发展,有必要且必须采取措施确保我国的信息安全。
【关键词】
网络 安全 攻防
对于信息系统的非法入侵和破坏活动正以惊人的速度在全世界蔓延,带来巨大的经济损失和安全威胁。面对不容乐观的网络环境,无论是国家,网络管理人,乃至个人,都应该掌握基本的网络攻防技术,了解网络攻防的基础技术,做好自身防范,增强抵御黑客攻击的意识和能力。
一、认识网络攻击
1.网络安全的定义
网络安全的最终目标是通过各种技术与管理手段实现网络信息系统的机密性、完整性、可用性、可靠性、可控性和拒绝否认性,其中前三项是网络安全的基本属性。保证网络安全实质就是要保证网络上各种信息的安全,涵盖领域非常广泛。但网络安全具有动态性,其概念是相对的。任何一个系统都是具有潜在的危险和安全威胁,没有绝对的安全,安全程度也是会随着时间的变化而改变的。在一个特定的时期内,在一定的安全策略下,系统是相对安全的。但是随着时间变化和环境演变,如攻击技术的进步、新漏洞的暴露等,使得系统遭遇不同的威胁,系统就变得再不安全。
2.网络攻击的分类
人们在网络攻击的分类上已经做过不少研究,由于这些分类研究的出发点和目的不同,为此,分类着眼点一级原则、标准也不尽相同,分类的结果也存在很大差异。著名安全学家Amoroso对分类研究提出了一些有益的建议,他认为攻击分类的理想结果应该具有六个特征:互斥性、完备性、无二义性、可重复性、可接受性、实用性。虽然分类研究中还没有一个分类结果能够真正满足以上六个特征,但对于分类研究和安全防御方面都有一定的借鉴意义。目前已有的网络攻击分类方法大致可以分为以下几类:
(1)基于经验术语的分类方法
(2)基于单一属性的分类方法
(3)基于多属性的分类方法
(4)基于应用的分类方法
(5)基于攻击方式的分类方法
在最高层次上,按照攻击方式进行划分,可以将网络攻击分为两类:主动攻击和被动攻击。主动攻击主要有窃取、篡改、假冒和破坏等攻击方法。对付主动攻击的主要措施是及时发现并及时恢复所造成的破坏。被动攻击主要是收集信息,主要有嗅探、信息收集等攻击方法。由于被动攻击很难被发现,因此预防很重要,防止被动攻击的主要手段是数据加密传输。
二、安全隐患
网络具有开放性和自由性的特点,因此网络安全存在很大的风险和脆弱性。越来越多的网络攻击使得网络合法用户的个人信息和重要数据被非法占用和利用。入侵者破坏网络安全的属性,从而获得用户甚至是超级用户的权限,进行不许可的操作。入侵者(黑客)可能是友善的,只是为了试探一下,或者了解一下网络战其他机器上的内容;也可能是恶意的,企图获取未经授权的数据,或者破坏系统。但不管出于什么目的,都反应出当今网络的安全隐患非常严重,面临的网络风险非常严峻,造成的损失和破坏性更是不可估量的。网络具有的脆弱性是指系统中存在的漏洞,各种潜在的威胁通过利用这些漏洞给系统造成损失。脆弱性的存在将导致风险,而威胁主体利用脆弱性产生风险。产生这些安全隐患的因素有很多,没有一个系统是绝对安全、无脆弱性的,我们只能尽量保证网络的安全。
三、攻击技术
1.绝服务攻击
拒绝服务攻击即DoS攻击是目前黑客经常采用而难以防范的攻击手段。其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量攻击网络,使得所有可用网络资源被消耗殆尽,最终导致合法用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源被消耗殆尽,最终计算机无法再处理合法用户的请求。
2.冲区溢出攻击
缓冲区溢出是指向固定长度的缓冲区写入超出其预先分配长度的内容,造成缓冲区中数据的溢出,从而覆盖缓冲区相邻的内存空间。就像个杯子只能盛一定量的水,如果倒入太多的水到杯子中,多余的水就会溢出到杯外。
3.b应用安全攻击
Web应用呈现出快速增长的趋势,越来越多的单位开始将传统的Client/Server应用程序转变为三层Brower/Server结构,即客户端浏览器(表示层)/Web服务器(应用层)/数据库(Brower/Server/Database)三层结构。三层结构的划分,在传统两层模式的基础上增加了应用服务这一级,使逻辑上更加独立,每个功能模块的任务更加清晰。在这种结构下,用户工作界面通过WWW浏览器实现。然而,易于开发的Web应用却有许多安全问题值得关注。
4.毒、蠕虫与木马
计算机病毒,指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些特征,同时具有自己的一些特征,如不需要宿主文件、自身触发等。木马专指表面上是有用、实际目的却是危害计算机安全并导致严重破坏的计算机程序。
四、防御技术
主要的防御技术有PKI网络安全协议;防火墙;入侵检测系统。
1.网络安全协议
目前广泛采用公钥基础设施PKI技术。PKI是一种新的安全技术,主要功能是对秘钥和公钥进行管理。
2.火墙技术
防火墙技术是解决网络安全问题的主要手段之一。是一种加强网络之间访问控制的网络设备,它能够保护内部网络信息不被外部非法授权用户访问。但是防火墙技术只能防外不防内,不能防范网络内部的攻击,也不能防范病毒,且经伪装通过了防火墙的入侵者可在内部网上横行无阻。
3.侵检测系统
入侵检测是对入侵行为进行识别和判断的处理过程,它通过从计算机网络或计算机系统中的若干关键点手机信息并对其进行分析,从中发现网络或系统中是否有违反安全策略和危及系统安全的行为。
参考文献:
[1]杜晔、张大伟、范艳芳.网络攻防技术教程.,8
[2]姚永雷,马利.计算机网络安全.,12
篇5:网络攻击技术论文
摘要:
主要阐述计算机网络攻击和入侵的特点、步骤及其安全防御策略。
关键词:
计算机网络;网络攻击;防御策略
在科学技术发展的今天,计算机网络正在逐步改变着人们的工作和生活方式,随着INTERNET/INTRANET的不断发展,全球信息化已成为人类发展的大趋势。但是,任何事务都象一把双刃剑,计算机网络在给人们带来便利的同时却面临着巨大的威胁,这种威胁将不断给社会带来巨大的损失。虽然计算机网络安全已被信息社会的各个领域所重视,但由于计算机网络具有联结形式多样性、终端分布不均匀性和计算机网络的开放性、互连性等特征;无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的潜在威胁以及计算机网络自身的`脆弱性,致使计算机网络易受黑客、病毒、恶意软件和其他不轨行为的攻击。 因此若要保证计算机网络安全、可靠,则必须熟知计算机网络攻击的一般过程。只有这样方可在被攻击前做好必要的防备,从而确保计算机网络运行的安全和可靠。
1 计算机网络攻击分析
1.1计算机网络攻击的特点
“攻击”是指任何的非授权行为。攻击的范围从简单的服务器无法提供正常的服务到完全破坏、控制服务器。目前的计算机网络攻击者主要是利用计算机网络通信协议本身存在的缺陷或因安全配置不当而产生的安全漏洞进行计算机网络攻击。目标系统攻击或者被入侵的程度依赖于攻击者的攻击思路和采用攻击手段的不同而不同。可以从攻击者的行为上将攻击区分为以下两类:
(1)被动攻击:攻击者简单地监视所有信息流以获得某些秘密。这种攻击可以是基于计算机网络或者基于系统的。这种攻击是最难被检测到的,对付这类攻击的重点是预防,主要手段是数据加密。
(2)主动攻击:攻击者试图突破计算机网络的安全防线。这种攻击涉及到数据流的修改或创建错误信息流,主要攻击形式有假冒、重放、欺骗、消息篡改、拒绝服务等。这类攻击无法预防但容易检测,所以,对付这种攻击的重点是“测”而不是“防”,主要手段有:防火墙、入侵检测系统等。
入侵者对目标进行攻击或入侵的目的大致有两种:第一种是使目标系统数据的完整性失效或者服务的可用性降低。为达到此目的,入侵者一般采用主动攻击手段入侵并影响目标信息基础设施;第二种是监视、观察所有信息流以获得某些秘密。入侵者采用被动手段,通过计算机网络设备对开放的计算机网络产生影响。因此,入侵者可以主动入侵并观察,也可以被动手段观察、建模、推理达到其目的。无论入侵者采用什么手段,其行为的最终目的是干扰目标系统的正常工作、欺骗目标主机、拒绝目标主机上合法用户的服务,直至摧毁整个目标系统。
1.2计算机网络中的安全缺陷及其产生的原因
第一,TCP/IP的脆弱性。 因特网的基础是TCP/IP协议。但不幸的是该协议对于网络的安全性考虑得并不多。并且,由于TCP/IP协议是公布于众的,如果人们对TCP/IP很熟悉,就可以利用它的安全缺陷来实施网络攻击。
第二,网络结构的不安全性。因特网是一种网间网技术。它是由无数个局域网所连成的一个巨大网络。当人们用一台主机和另一局域网的主机进行通信时,通常情况下它们之间互相传送的数据流要经过很多机器重重转发,如果攻击者利用一台处于用户的数据流传输路径上的主机,他就可以劫持用户的数据包。
第三,缺乏安全意识。虽然网络中设置了许多安全保护屏障,但人们普遍缺乏安全意识,从而使这些保护措施形同虚设。如人们为了避开防火墙代理服务器的额外认证,进行直接的PPP连接从而避开了防火墙的保护。
1.3网络攻击和入侵的主要途径
网络入侵是指网络攻击者通过非法的手段(如破译口令、电子欺骗等)获得非法的权限,并通过使用这些非法的权限使网络攻击者能对被攻击的主机进行非授权的操作。网络入侵的主要途径有:破译口令、IP欺骗和DNS欺骗。
口令是计算机系统抵御入侵者的一种重要手段,所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。
IP欺骗是指攻击者伪造别人的IP地址,让一台计算机假冒另一台计算机以达到蒙混过关的目的。它只能对某些特定的运行TCP/IP的计算机进行入侵。IP欺骗利用了TCP/IP网络协议的脆弱性。在TCP的三次握手过程中,入侵者假冒被入侵主机的信任主机与被入侵主机进行连接,并对被入侵主机所信任的主机发起淹没攻击,使被信任的主机处于瘫痪状态。当主机正在进行远程服务时,网络入侵者最容易获得目标网络的信任关系,从而进行IP欺骗。IP欺骗是建立在对目标网络的信任关系基础之上的。同一网络的计算机彼此都知道对方的地址,它们之间互相信任。由于这种信任关系,这些计算机彼此可以不进行地址的认证而执行远程操作。
域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库,它提供主机名字和IP地址之间的转换信息。通常,网络用户通过UDP协议和DNS服务器进行通信,而服务器在特定的53端口监听,并返回用户所需的相关信息。DNS协议不对转换或信息性的更新进行身份认证,这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确地更改主机名―IP地址映射表时,DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而,当一个客户机请求查询时,用户只能得到这个伪造的地址,该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器,所以一个被破坏的DNS服务器可以将客户引导到非法的服务器,也可以欺骗服务器相信一个IP地址确实属于一个被信任客户。
1.4常见的计算机网络攻击方式
(1)计算机网络监听攻击:计算机网络监听是一种监视计算机网络状态、数据流以及计算机网络上传输信息的管理工具,它可以将计算机网络接口设置在监听模式,并且可以截获计算机网络上传输的信息,取得目标主机的超级用户权限。作为一种发展比较成熟的技术,监听在协助计算机网络管理员监测计算机网络传输数据、排除计算机网络故障等方面具有不可替代的作用。然而,在另一方面计算机网络监听也给计算机网络安全带来了极大的隐患,当信息传播的时候,只要利用工具将计算机网络接口设置在监听的模式,就可以将计算机网络中正在传播的信息截获,从而进行攻击。计算机网络监听在计算机网络中的任何一个位置模式下都可实施进行。而入侵者一般都是利用了计算机网络监听工具来截获用户口令的。
(2)缓冲区溢出攻击:简单地说就是程序对接受的输入数据没有进行有效检测导致的错误,后果可能造成程序崩溃或者是执行攻击者的命令。UNIX和Windows本身以及在这两个系统上运行的许多应用程序都是C语言编写的,C、C++语言对数组下标访问越界不做检查,是引起缓冲区溢出的根本原因。在某些情况下,如果用户输入的数据长度超过应用程序给定的缓冲区,就会覆盖其他数据区。这就称“缓冲区溢出”。
(3)拒绝服务攻击:拒绝服务攻击,即攻击者想办法让目标机器停止提供服务或资源访问。这些资源包括磁盘空间、内存、进程甚至计算机网络带宽,从而阻止正常用户的访问。最常见的拒绝服务攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指极大的通信量冲击计算机网络,使得所有的计算机网络资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。这是由计算机网络协议本身的安全缺陷造成的,从而拒绝服务攻击也成为了攻击者的终极手法。攻击者进行拒绝服务攻击,实际上让服务器实现两种效果:一是迫使服务器缓冲区满负荷,不接受新的请求;二是使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接。
2 计算机网络安全防御策略
计算机网络技术本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户计算机网络系统自身的复杂性、资源共享性使得多种技术组合应用变得非常必要。攻击者使用的是“最易渗透原则”,必然在最有利的时间地点,从系统最薄弱的地方进行攻击。因此,充分、全面、完整地对系统安全漏洞和安全威胁进行分析、评估和检测,从计算机网络的各个层次进行技术防范是设计计算机网络安全防御系统的必要条件。目前采用的技术要主要有加密、认证、访问控制、防火墙技术、入侵检测、安全协议、漏洞扫描、病毒防治、数据备份和硬件冗余等。
2.1建立安全实时响应和应急恢复的整体防御
没有百分之百安全和保密的计算机网络信息,因此要求计算机网络在被攻击和破坏时能够及时发现,及时反映,尽可能快地恢复计算机网络信息中心的服务,减少损失。所以,计算机网络安全系统应该包括:安全防护机制、安全监测机制、安全反应机制和安全恢复机制。
安全防护机制是指根据系统具体存在的各种安全漏洞和安全威胁采取相应的防护措施,避免非法攻击的进行;
安全监测机制是指检测系统的运行情况,及时发现对系统进行的各种攻击;
安全反应机制,能对攻击作出及时的反映,有效制止攻击的进行,防止损失扩大;
安全恢复机制,能在安全防护机制失效的情况下,进行应急处理和尽量及时地恢复信息,降低攻击的破坏程度。
2.2建立分层管理和各级安全管理中心
建立多级安全层次和安全级别。将计算机网络安全系统应用分为不同的级别。包括:对信息保密程度的分级(绝密、机密、秘密、普密);对用户操作权限分级;对计算机网络安全程度分级;对系统实现结构的分级等。从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足计算机网络中不同层次的各种实际需求。
3 结束语
保证网络安全和保密涉及的问题是十分复杂的,网络安全不是单一的技术问题,而是一个集技术、管理、法规综合作用为一体的、长期的、复杂的系统工程。在实施过程中尽可能采取多种技术的融合和相关的管理措施,防止网络安全问题的发生。
参考文献:
[1]刘占全.网络管理与防火墙[M].北京:人民邮电出版社,.
[2](美)Kevin D.Mitnick,William L.Simon.入侵的艺术.清华大学出版社,1月.
[3]张仁斌.网络安全技术. 清华大学出版社,8月.
[4]卿斯汉.安全协议.清华大学出版社,3月.
篇6:防火墙应用安全八项技术服务器教程
什么是应用安全呢?应用安全就是对网络应用的安全保障,这些应用包括:信用卡号码、机密资料、用户档案等信息,那么什么是保护这些应用不受恶意攻击的困难所在呢?,在我们看来这些应用最薄弱的环节是通过网络防火墙上的端口80(主要用于HTTP)和端口443(用于SSL)时受到的攻击。那么防火墙怎么对这些攻击进行发现及封阻呢?下文总结了八项应用安全技术,全文如下:
深度数据包处理
深度数据包处理有时被称为深度数据包检测或者语义检测,它就是把多个数据包关联到一个数据流当中,在寻找攻击异常行为的同时,保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量,以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。
TCP/IP终止
应用层攻击涉及多种数据包,并且常常涉及多种请求,即不同的数据流,
流量分析系统要发挥功效,就必须在用户与应用保持互动的整个会话期间,能够检测数据包和请求,以寻找攻击行为。至少,这需要能够终止传输层协议,并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。
SSL终止
如今,几乎所有的安全应用都使用HTTPS确保通信的保密性。然而,SSL数据流采用了端到端加密,因而对被动探测器如入侵检测系统(IDS)产品来说是不透明的。为了阻止恶意流量,应用防火墙必须终止SSL,对数据流进行解码,以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允许敏感信息在未加密的前提下通过网络传输,你就需要在流量发送到Web服务器之前重新进行加密的解决方案。
URL过滤
一旦应用流量呈明文格式,就必须检测HTTP请求的URL部分,寻找恶意攻击的迹象,譬如可疑的统一代码编码(unicode encoding)。对URL过滤采用基于特征的方案,仅仅寻找匹配定期更新的特征、过滤掉与已知攻击如红色代码和尼姆达有关的URL,这是远远不够的。这就需要一种方案不仅能检查RUL,还能检查请求的其余部分。其实,如果把应用响应考虑进来,可以大大提高检测攻击的准确性。虽然URL过滤是一项重要的操作,可以阻止通常的脚本少年类型的攻击,但无力抵御大部分的应用层漏洞。
篇7:Win10如何使用自带防火墙以阻止网络恶意攻击
Win10防火墙设置得好,能阻止网络恶意攻击,设置不好会阻挡用户正常访问互联网,下面为大家介绍下其具体的使用,感兴趣的朋友不要错过
Win10中防火墙和Windows Defender共同保护系统的安全,有了这两个,就不必舍近求远下载第三方软件。Win10防火墙设置得好,能阻止网络恶意攻击,设置不好会阻挡用户正常访问互联网。那它应该如何使用呢?
1、设置允许应用通过Windows防火墙进行通信
2、在高级设置中,可以接出站、入站两个方向进行更细颗粒的安全策略定义,
如果不了解的话,不要随意更改预设策略。不然正常应用通讯可能会出问题。
3、不要说win防火墙不支持端口类的安全策略,在入站或出站选择新建规则,如下图,支持端口和协议。
Win10防火墙防火墙firewall更注重防守,它依照特定的规则允许或是限制传输的数据通过,对Win10自带程序如IE是不加干预的。
篇8:不可忽视:谈网络防火墙和安全问题防火墙技术
internet防火墙
internet防火墙是这样的系统(或一组系统),它能增强机构内部网络的安全性,防火墙系统决定了那些内部服务可以被外界访问;外界的那些人可以访问内部的那些可以访问的服务,以及那些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往internet的信息都必须经过防火墙,接受防火墙的检查(图1)。防火墙必须只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。但不幸的是,防火墙系统一旦被攻击者突破或迂回,就不能提供任何的保护了。
图1安全策略建立的防御范围。
应给予特别注意的是,internet防火墙不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,它是安全策略的一个部分。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策略应包括在出版的安全指南中,告诉用户们他们应有的责任,公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及雇员培训等。所有有可能受到网络攻击的地方都必须以同样安全级别加以保护。仅设立防火墙系统,而没有全面的安全策略,那么防火墙就形同虚设。
internet防火墙负责管理internet和机构内部网络之间的访问(图2)。在没有防火墙时,内部网络上的每个节点都暴露给internet上的其它主机,极易受到攻击。这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统。
图2 internet防火墙的好处
internet防火墙的好处:
・ 集中的网络安全
・ 可作为中心“扼制点”
・ 产生安全报警
・ 监视并记录internet的使用
・ nat的理想位置
・ www和ftp服务器的理想位置
internet防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户,如 、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。internet防火墙能够简化安全管理,网络安全性是在防火墙系统上得到加固,而不是分布在内部网络的所有主机上。
在防火墙上可以很方便的监视网络的安全性,并产生报警。应该注意的是:对一个内部网络已经连接到internet上的机构来说,重要的问题并不是网络是否会受到攻击,而是何时会受到攻击络管理员必须审计并记录所有通过防火墙的重要信息。如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设。在这种情况下,网络管理员永远不会知道防火墙是否受到攻击。
过去的几年里,internet经历了地址空间的危机,使得ip地址越来越少。这意味着想进入internet的机构可能申请不到足够的ip地址来满足其内部网络上用户的需要。internet防火墙可以作为部署nat(network address translator,网络地址变换)的逻辑地址。因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换isp时带来的重新编址的麻烦。
internet防火墙是审计和记录internet使用量的一个最佳地方络管理员可以在此向管理部门提供internet连接的费用情况,查出潜在的带宽瓶颈的位置,并能够根据机构的核算模式提供部门级的记费。
internet防火墙也可以成为向客户发布信息的地点。internet防火墙作为部署
关 键 字:防火墙
篇9:借助网络解析技术定位DDOS攻击
引言:
最近,网络遭遇DDOS攻击的事件时有发生,比如最近的韩国网站遭受的攻击就属于DDOS攻击,后果非常严重,引起了全球网民的高度关注,但是,如何发现并检测到DDOS攻击呢?传统的网络安全类工具并不凑效,在此,笔者简单介绍一下网络遭遇DDOS攻击的症状以及如何借助网络分析技术定位DDOS攻击。
一、什么是DDOS攻击
DDOS(Distributed Denial of Service),即分布式拒绝服务攻击,这是当今流行的网络攻击方式之一,利用合法的服务请求来占用过多的资源或带宽,从而使服务器不能对正常、合法的用户提供服务。更通俗的说,只要导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。这也就说明拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达到其攻击目的。
DDOS的攻击通过众多的“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包, 从而造成网络阻塞或服务器资源耗尽而导致不能提供正常的服务(拒绝服务)。在分布式拒绝服务攻击的实施中,大量攻击主机发送的网络数据包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝服务攻击又被称之为“洪水攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、、Script. Flood、Proxy Flood等多种方式。 下面我们将介绍如何通过网络分析技术手段来检测DDOS攻击。
二、遭遇攻击的症状
DDOS的目的非常明确,表现形式主要有两种,一种主要是针对网络带宽的攻击,即大量攻击包占用网络带宽,导致网络被阻塞,从而无法完成正常、合法响应;另一种则为资源耗尽攻击,主要是针对服务器的攻击,即通过大量攻击包导致服务器的内存或CPU资源被耗尽,从而造成服务器当机或无法提供正常的网络服务。
三、如何检测DDOS攻击
由于对DDOS攻击的防御较为困难,目前没有任何一种产品或方法能够防御DDOS攻击入侵,因此,对于如何检测DDOS攻击就显得至关重要,
本文,我们将介绍通过网络分析的手段来检测DDOS攻击(此处用到的产品为科来网络通讯分析系统技术交流版6.9)。
利用网络分析技术的检测手段,通过对网络通讯数据包进行实时的捕获,能够快速的分析和检测到网络中是否发生了DDOS攻击。如果网络中已经发生了此类攻击,那么,我们借助网络分析技术就可以快速的查找和解决问题。下面我们通过一个实例来讲解用科来网络通讯分析系统查找DDOS攻击的方法。
首先,打开概要统计视图,查看网络中的TCP的连接信息,如图1所示: (图1 概要统计视图)
从上图中我们看到,网络中存在大量的TCP同步数据包(2,249,352个),而成功建立TCP连接数太少,根据TCP三次握手的原理,我们知道,这是一种不正常的现象,网络肯定存在问题。我们再通过矩阵视图来查看具体的网络通信情况,如图2: (图2 矩阵连接视图)
在矩阵连接视图中,大量的主机同时与125.91.13.124连接通讯,并且向其发送大量的数据包,我们怎样来确定这些数据包的类型呢?为了进一步确定发送了怎样的数据包,我们再查看数据包解码就能够看到,如图3所示: (图3 数据包解码视图)
从上图中我们看到,当前的通讯全是使用了TCP进行通讯,查看TCP的标志,发送所有的数据包均为SYN置1,即TCP同步请求数据包,这些数据包全都向125.91.13.124请求同步,至此我们可以判断125.91.13.124这台主机进行遭受DDOS攻击, 而攻击的方式为SYN Flood攻击。
SYN Flood攻击是一种经典和常用的DDOS方法,主要是通过向受害主机发送大量的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,对各种系统的网络服务、网络资源等都会造成巨大的影响。
检测DDOS攻击还可以用到一些常规方法,如Ping命令、NETSTAT命令等,但是,这些方法相对简单并且较为繁琐,通过网络分析技术进行分析,能起到事半功倍的效果,极大节约了故障查找的时间,提高了日常网络管理的效率。
更多推荐
网络防火墙封阻攻击采用的八项技术
发布评论