科技信I 计管栅网络常用攻击手段盼护措胞 湖北省随州I市中心医院信息中心 张云 余涛 [摘要]本文从网络安全问题产生的因素、网络攻击常用手段和网络安全防护常用措施三个方面对计算机网络安全进行了分析思 考,提出了对策建议。 [关键词]计算机网络攻击手段 防护措施 网络安全问题是伴随着网络应用普及而出现的,网络在给我们带 来便捷的同时,也带来了各种问题与隐患。利用网络及计算机系统存 在的漏洞实施攻击,也从黑客的个体行为发展成为专用技术。近年来, 网络攻击的手段也呈多样化发展特征,攻防此消彼长。 网络安全问题产生的因素 网络安全问题的产生有着主观和客观的两方面因素。 主观因素主要包括:因规章制度不健全而造成的安全问题,如网络 一cO%2L./Winnt/system32/cmd.exe?/c+dir+c:命令实现对目标主机c盘目录 的窥探(“c0%2f”为符号“/”的Unicode编码);使用相同方法将cmd.exe 后的命令字符改为“c+del+c: etpuh、wwwm0t\default.asp”即可实现对目 标服务器的默认主页进行删除,从而破坏网站服务;相同方法键入“c+ 、copy+e:\winnt\system32\alg.exe”可以实现文件的复制,通过此类方法攻 击者可以实现放置木马、控制程序到目标计算机,对计算机实施进一步 攻击。随着系统漏洞的不断报出,攻击者一般会采取专门的方法或开 管理规章制度不严,重要文件保管不善等;因人为因素引发的安全问 题,如人为恶意破坏、违章操作,向无关人员泄露重要信息等;因网络安 全管理机制和人才缺乏引发的安全问题,如网络建设规划不合理、安全 系统配置不健全,管理人员缺乏责任心,不能有效履行安全管理职能等。 客观因素主要包括:因建设缺陷造成的安全问题,如机房防辐射设 施不完善,线路屏蔽不严而造成电磁泄露,导致信息被侦听、窃取。传 输线路保护措施不到位,被攻击者采用搭线窃听、非法接人、线路干扰 等手段对系统正常丁作进行攻击;因计算机系统本身的漏洞造成的安 全问题,如网络协议、网络设备、操作系统、应用服务等存在先天的同有 漏洞,这些漏洞被攻击者探测和利用,从而对网络造成破坏,造成无法 挽回的政治经济损失。 随着先进技术手段存各个领域应用的不断扩展,网络化设备日益 普及,了解网络攻击的常用方法,掌握网络防护的相关知识,具备网络 攻击、防护的基本能力,对增强信息应用安全意识、规范网络使用行为、 提高设备应用水平、卡十绝失泄密问题具有积极作用。 二、网络攻击的常用技术手段 (一)信息窃取攻击。信息窃取攻击是指攻击者利用技术手段截获 计算机系统的合法用户身份或其他验证信息,从而达到远程连接目标 计算机,进行文件操作、系统更改、信息盗取的过程。攻击过程一般包 括信息收集、漏洞扫描、数据操作等。信息收集是指获取目标计算机网 络系统、安全态势等方面的综合信息,是网络攻击的基础准备阶段,目 的是搜集目标攻击计算机的基本情况,以根据实际的情况来制定相应 的攻击策略与手段。目标包括:确定目标计算机网络的IP地址范围、 DNS服务配置信息、邮件服务器配置信息等。常用的信息收集方法有: 通过网络搜索引擎对网站、计算机网络进行信息收集;通过DNS查询、 信息区传送配置的缺陷,获取网络中的内部主机名及IP地址;漏洞扫描 是指在确定攻击对象的基本策略与目标地址后,利用扫捕工具对目标 IP地址段或主机进行漏洞查找,扫捕对象可以是丁作站、服务器、交换 机、路由器、数据库应用等。常用扫描手段有Ping扫描、端口扫描、弱口 令扫描、系统漏洞扫描、主机服务扫描等。例如端口扫捕通过发送信息 到需要扫描的计算机端口,然后根据返回的信息判断计算机端口的状 态,识别其正在运行的协议类型,判断目标计算机的操作系统,识别计 算机中某一特定服务的版本号,从而为网络攻击提供较为全面的基础 信息;信息盗取是指在掌握目标计算机安全态势信息的基础上,对目标 计算机登录信息、文件数据窃取的过程。常用的手段有网络监听、密码 破解、网络进程连接等。网络监听是指通过监听工具截获网络通信的 内容,对协议和数据包进行分析,从而达到信息盗取的过程。局域网内 的计算机在进行数据交换的时候,数据包采用广播的方式发送,接收方 以数据报头中的目标主机地址来辨别是否接收或丢弃数据包,当主机 T作在监听模式时,则可接收所有收到的数据包,通过对数据包进行分 析,就可能得到局域网中的通信数据。密码破解是指通过试探所有可 能组合的方式来破解用户登录密码。网络进程连接(IPC)是Windows 操作系统为两台计算机进程提供的一个通过平台,攻击者在获得目标 主机的管理员账号和密码情况下,就可以利用IPC¥连接,成功后在命 令行模式下键人c:knetuse d:\\23.141.158.233\c¥f23.141.158.233为假设 的目标主机IP地址,下同),即可实现映射目标主机的C盘到本地D盘, 对目标计算机文件进行文件拷贝、粘贴、删除等操作。 (二)系统漏洞攻击。系统漏洞攻击是基于计算机系统、网络服务 本身存在的安全漏洞与隐患,对目标计算机发起的攻击行为。由于操 作系统与应用服务不可避免的存在着漏洞与缺陷,这些漏洞被攻击者 所利用,轻则造成计算信息被窃取,重则可能导致服务器被远程控制。 例如IIs服务器中存在的Unicode漏洞,其影响Microsoft IIs 5.0+Micro— soft Windows2000系列版本应用服务,该漏洞的缺陷在于可以使用扩 展Unicode字符取代“/”和“\''符号,实现在浏览器的地址栏键人命令遍 历目标计算机目录的功能。例如通过漏洞扫描确定目标主机的IP地址 后,即可在本地主机的IE地址栏中键人http://23.141.158.233/scripts/一% 发专用的工具进行攻击,针对不同漏洞攻击采用的方法手段会根据漏 洞的特点有所不同。 (三)恶意代码攻击。恶意代码是指通过特定的程序与代码达到破 坏计算机数据、终止计算机服务、控制目标计算机等目的攻击行为,病 毒、蠕虫、木马都属于恶意代码。计算机病毒是指破坏计算机功能或数 据,影响计算机正常使用并且能够自我复制的计算机指令或代码。计 算机病毒具有自动执行和自我复制的特点,通常将自己置于另一个程 序的执行路径中,并用感染的病毒文件副本规制其它可执行文件。病 毒从其破坏效果可以分为良性和恶性,良性病毒不损坏计算机,只是进 行自我复制,占据计算机内存,引起合法程序操作异常,导致系统崩溃 或数据丢失。恶性病毒则会导致程序损坏、文件删除、硬盘格式化等破 坏结果。蠕虫也是病毒的一种,但它的攻击方式与普通病毒有着很大 的区别。蠕虫是一种通过网络传播的恶性病毒,其不使用驻留文件即 可在系统之间进行自我复制,普通病毒的传染能力主要是针对计算机 内的文件系统,而蠕虫的传染目标是网络内所在的计算机。它能控制 计算机上传输的文件或者信息,一旦系统感染蠕虫,蠕虫即可自行传 播,将自己从一台计算机复制到另一台计算机,并可以在短时问内蔓延 整个网络,造成网络瘫痪。局域网中的共享文件夹、电子邮件、网络中 的恶意网页、存在漏洞的服务器等,都是蠕虫传播的途径。此外,蠕虫 会消耗系统内存或网络带宽,从而导致计算机崩溃。由于其传播不必 通过“宿生”程序或文件,因此可潜入用户系统并允许其他人远程控制 用户的计算机。木马是一个通过端口进行通信的网络客户端朋艮务端 程序,它驻留在目标计算机中,随着计算机启动而自动运行并且在某一 端口进行侦听,在对接收的数据识别后,对目标计算机执行特定的操 作。木马攻击的建立必须满足两个条件:一是控制端、服务端都安装了 木马程序;二是控制端、服务端都要在线。在此基础上控制端可以通过 木马端口与服务端建立连接。木马连接建立后,控制端与服务端之间 形成一条通道,控制端的控制程序可以通过这条通道与服务端的木马 程序进行后台通信,并通过木马程序对服务端进行远程控制,如:对服 务端的文件进行操作、重启或关闭服务端操作系统,断开服务端的网络 连接、控制服务端的鼠标键盘、监视服务端桌面操作、查看服务端进程 等。 (四)拒绝服务攻击。拒绝服务攻击是一种阻止合法用户对正常网 络资源的访问,从而达到攻击目的的行为。Dos(Denial of Service,“拒 绝服务攻击”)攻击是指通过对主机漏洞攻击,导致网络瘫痪、系统崩 溃、主机死机从而造成对正常网络服务的拒绝。DDos(Distributed De— nial of Service,“分布式拒绝服务”)攻击是指通过“僵尸主机”(被攻击 者侵入控制成为攻击“跳板”的计算机)向目标主机发送大量数据包,从 而造成网络阻塞或服务资源耗尽而导致拒绝服务。分布式拒绝服务攻 击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法 用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源。 因此,拒绝服务攻击又被称为“洪水式攻击”,DDos攻击的表现形式主 要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即大量攻击 包导致网络带宽被阻塞,合法网络包被虚假的攻击包淹没而无法到达 主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过 大量攻击包导致主机的内存被耗尽或系统资源被应用程序耗尽而造成 无法提供网络服务。如Script脚本攻击即是针对ASP、JSP、PHP、CGI等 脚本程序,不断提交数据查询、列表操作等大量耗费数据资源的调用, 数分钟就会把服务器资源耗尽导致拒绝服务。被攻击服务器通常会表 现为访问网站的速度变慢,ASP程序失效、PHP连接数据库失败,数据 库主程序CPU使用率上升等。 (五)电子欺骗攻击。电子欺骗攻击是指两台计算机之间存在着信 任关系时,第三台计算机冒充建立了相互信任的计算机中的一台对另 一台进行欺骗。常见的电子欺骗方式有:WEB欺骗、ARP欺骗、路由欺 骗、电子邮件欺骗等。WEB欺骗是指攻击者将用户浏览网页的URL改 写为黑客指定服务器的URL,当用户浏览目标网页进行信息交互时,实 际上是指向了黑客服务器,这样攻击者就可以通过WEB欺骗的手段, 实现用户信息的欺诈、盗取等行为。ARP欺骗是指攻击者向目标计算 机不断的发送伪造的ARP报文,使对方在回应报文时,由于IP和MAC 地址的映射关系错误而导致不能进行正常的网络通信。路由欺骗是指 攻击者冒充网络链路中某个可信节点的IP地址,构造一个通往目标服 务器的直接路径或返回路径,利用假冒的地址身份,向服务器发出请 求,对其进行攻击。电子邮件欺骗是指攻击者冒充管理员身份使用邮 件炸弹或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从 而导致目标邮箱的容量被耗尽而无法使用的攻击行为。 (六)SQL注入攻击。随着基于B/S结构网站模式的广泛应用,基于 WEB的数据交互越来越广泛。但是由于网站构建者的水平及经验参 差不齐,相当一部分网站的应用程序存在安全隐患。例如攻击者可以 提交一段数据库查询代码。根据程序返回的结果,获得网站的信息,这 就是SQL注入技术。一般来说,只要带有参数的动态网页访问数据库, 就可能存在SQL注入点。SQL注入一般存在于带有参数的ASP动态网 页中。SQL注入通过正常的www端口访问网络,表面看起来跟一般 的WEB页面访问没有什么区别。但是,通过精心构造的SQL语句,攻 击者往往能成功获取想要的网站信息,如发现SQL注入的位置、获得管 理员的权限、判断后台数据库的类型,并进行上传木马等操作。 三、网络安全防护的常用技术措施 面对多样化的网络攻击模式和不断丰富的网络攻击手段,网络安 全工作者从物理、法律和技术层面为网络安全构建了层层堡垒,以保障 网络运行的安全可靠。其中,物理措施主要是指从物理介质层面上保 障网络运行的安全,如采取通信线路防辐射、网络设备加固、容灾备份 等。法律措施则是从法律法规层面为网络安全提供保障,如制定网络 安全方面的相关法律体系,制定网络从业、应用人员的相关行为准则及 规章制度等。技术措施则是采用相应的技术手段,对用户访问、操作系 统、数据库、应用软件、值勤维护等问题提供具体安全措施。网络防护 应用的技术措施主要包括以下几个方面的内容。 (一)信息加密技术。信息加密技术是通过一定的加密算法将明文 信息加密为不可读的密文信息,是网络中采用的最基本的安全技术之 信息加密的关键在于加密算法的选择和密钥的编制,同时需注意 加密方式、实现加密的网络协议层、密钥的分配及管理。网络中的数据 加密方式有链路加密、节点加密和端对端加密等,数据加密可以在OSU RM参考模型的多个层次上实现。常用的数据加密算法有DES、AES、 MD5、SH一1、IDEA、RSA和PGP等。在传输重要信息的过程中,加密技 术一般与其他技术结合使用,如通过信息隐藏、数字水印、数据嵌入、指 纹等技术将重要资料先隐藏到一般的文件中,然后通过网络传递。 (二)虚拟专网技术。在网络传输过程中,由于TCPhP协议数据流 采用明文传输,安全性差,缺少必要的信息源认证和完整性验证,攻击 者很容易伪造IP数据包、拦截传输中的IP数据包。因此,不能保证数 据在传输过程中没有被第三方窃取或篡改过。为避免以上问题,通过 拨号与单位内部专用网络建立虚拟专网VPN(Virtual Private Network) 为用户提供了一种通过公用网络对单位内部专用网络进行远程访问的 安全连接方式。一个网络连接通常由三个部分组成:客户端、传输介质 和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道 作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的。 VPN通常采用加密、签名、认证等安全手段来保证通信的安全性,保证 数据在不信任通道上的安全可靠传输,从而解决了网络传输过程中不 安全因素的威胁,提高了网络数据传输的保密性、可靠性和完整性,在 定程度上提高了系统的安全防护和抵抗外界攻击能力。 (三)防火墙技术。防火墙技术综合采用了包过滤技术、代理技术、 计算机病毒检测、内容过滤等多种手段,形成了一个全方位的安全技术 集成系统。通常,防火墙是建立在安全操作系统基础之上的,而且各种 一新的信息安全技术被广泛应用在防火墙系统中,比如,用户身份鉴别技 术、数据加密、完整性保护等。但是,防火墙作为被动防御系统,仍然存 在一些不足,如网络信息的明文传输、操作系统、协议本身的漏洞等,攻 击者可以通过监听、拒绝服务等多种手段获取系统权限,从而达到攻击 系统的目的。因此,为了实现在可信任通道上的数据安全传输,在使用 防火墙的同时,还需要采取其他网络安全防护技术。 (四)防病毒技术。防病毒技术主要研究计算机病毒的结构、破坏 机理和传播过程,以提供相应的手段对病毒的破坏行为进行控制,对病 毒进行清除。目前主要采取的是基于单个终端的防病毒系统或者建立 全网联防病毒体系的方法来实现病毒的查杀,防病毒系统的关键在于 具备完备的病毒特征模型库及高性能的病毒查杀内核。目前防病毒系 统有较多的成熟产品可供选择,用户可以根据需要选择安全性高、技术 成熟的产品。 (五)入侵检测技术。入侵检测是指对企图入侵、正在进行入侵或 已经发生入侵的行为进行识别的过程。人侵检测系统是指通过对计算 机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中 发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵 检测系统能检测并发现网络攻击行为以及系统中可以被利用的漏洞。 网络中的入侵检测系统就如同一个房间中安装的防盗报警器,能够发 现网络中的非法入侵行为,并对入侵行为进行警告或者报警。网络入 侵检测系统是一种动态的入侵检测与响应系统。它全面侦听网上信息 流,对网络上流过的所有数据包,进行检测和实时分析,从而提前发现 非法或异常行为,并且根据系统策略对网络访问行为进行告警、阻断连 接、记录事件日志等操作。入侵检测作为动态安全技术的核心技术之 是防火墙的合理补充,能帮助系统应对网络攻击,扩展了系统管理 员的安全管理能力,提高了信息安全基础结构的完整性。 (六)安全隔离技术。安全隔离技术是指采用专有隔离交换硬件通 道和专用通道的隔离交换协议,阻止两个网络间直接的物理连接。网 络隔离的不同区域,根据其安全可信程度划分为不同的安全级别。如 高级别、低级别;或者将一个网络分为高级别安全域、低级别安全域。 并且在不同安全等级的信息网络之间、同一信息网络的不同安全域之 间,配置网络安全隔离控制设备,解决信息系统中不同安全等级网络的 互联或者不同安全域的主机互联时信息的安全传输问题,网络安全隔 离技术的运用一般可以起到安全隔离、透明接人、信息交换、访问控制、 内容检查、系统管理、日志审查、自身安全、异常处理等作用。 (七)入侵防御系统(IPS)。IPS是指位于防火墙和网络设备之间, 依靠对数据包的检测,确定其行为和意图,然后决定是否允许数据包进 入用户网络防御系统。如果检测到攻击、IPS会在这种攻击扩散到网络 的其他地方之前对攻击进行阻止。IPS可以分为基于主机的IPS(HIPS) 和基于网络的IPS(NIPS)。HIPS系统以进程为核心,可以对进程产生 的行为,如运行、访问网络、访问注册表、访问文件、注册驱动、进程注 入、组件调用等进行监控,并对进程的危险行为向用户发出告警。同 时,HIPS还可以通过类似的监控手段对文件、注册表、网络等资源进行 保护,防止未授权进程对其读写或扫描。NIPS设备可以通过该设备上 的数据包进行检测,能有效的阻止恶意数据包通过,起到对内网的安全 防护。 (八)安全审计。安全审计是指依据相关安全管理法规和安全策 略,对网络交换设备、安全防护设备、信息服务设备、终端用户设备以及 各类系统和应用软件的安全规则设置、操作使用记录进行分析与审 查。安全审计的内容主要有:各种网络交换设备的访问控制规则;防火墙、 入侵检测等各类网络安全防护、监察设备(系统)的访问、控制、过滤和配 置规则;操作系统日志、历史记录;各类应用服务器的系统配置规则和系 统日志;文电终端以及其它上网终端的防护系统配置规则;各类应用软 件的系统日志、历史记录;各种安全管理规定和安全策略的挂靠情况。 一,。一(上接第306页) 置备服务器在虚拟化基础架构上为虚拟桌面实例 提供了操作系统镜像。桌面虚拟化机房整体架构图如图2所示。 3-2桌面虚拟化方案的部署 (1)服务器端10台服务器安装XenServer实现服务器虚拟化,并在 虚拟化的服务器上根据需要创建虚拟角色服务器和客户端。 (2)在Dc域控制器服务器上安装Active Directory活动目录,使用 dcpromo命令创建具有单一域控制器的名为njrtsxd.1ocal的Active Di— rectory域,并集成DNS服务。让所有服务器和虚拟机置于该域当中。 (3)在DDC服务器上安装DDC组件,创建新场指定名称njrts— Farm。默认集成安装了Weblnterface组件,以供客户端通过web页面访 问服务器端虚拟机。 (4)安装配置PVS服务器,在PVS服务器上创建Vitrual Disk虚拟磁 盘,通过Citrix VDI制作镜像构建虚拟桌面,让虚拟机从带有镜像的 vdisk磁盘启动。使用XenDesktop安装向导从单一VM映像创建多个 桌面VM。 (5)瘦客户端需要的设置是安装Citrix联机插件Web(CitrixOnline— PluginWeb.exe),基于Web浏览器访问已发布资源和虚拟桌面,使用 HDX技术,DDC服务器通过ICA网络协议提交桌拟桌面给最终用户。 3.3虚拟桌面交付的整个运作流程 (1)使用机房瘦客户机,以Web方式登录CitrixDDC服务器。 (2)Citrix DDC服务器提交用户的认证请求至域控制器。 (3)认证成功后,就会按需从Citrix PVS服务器获取标准的Windows 桌面、应用软件。 4.结束语 基于桌面虚拟化机房的应用提高了资源利用率,统一管理后台数 据中心资源,并统一进行调度管理,将资源的利用率最大化;数据存放 安全可靠,传输使用加密协议,保证数据传输安全;维护便利,成本大大 降低,实现了机房的高效使用和管理。 参考文献 [1]刘义良,曲蕴惠.基于硬盘保护卡技术的分析与研究[1].现代电 子技术,2010,(4m11—113 [2]王庆波,金漳,何乐,赵阳.虚拟化与云计算[M].北京:电子工业 出版社,2009:72 [3]刘昌,冯炎桌面虚拟化及其在知识型企业的应用方案[J]中国 信息界,2011,(8):58—61 308--——