網路安全組合攻擊原理

㈠ 簡述網路安全策略的概念及制定安全策略的原則

網路的安全策略1.引言

隨著計算機網路的不斷發展，全球信息化已成為人類發展的大趨勢。但由於計算機網路具有聯結形式多樣性、終端分布不均勻性和網路的開放性、互連性等特徵，致使網路易受黑客、怪客、惡意軟體和其他不軌的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對於軍用的自動化指揮網路、C3I系統和銀行等傳輸敏感數據的計算機網路系統而言，其網上信息的安全和保密尤為重要。因此，上述的網路必須有足夠強的安全措施，否則該網路將是個無用、甚至會危及國家安全的網路。無論是在區域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網路的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網路信息的保密性、完整性和可用性。

2.計算網路面臨的威脅

計算機網路所面臨的威脅大體可分為兩種：一是對網路中信息的威脅；二是對網路中設備的威脅。影響計算機網路的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網路系統資源的非法使有，歸結起來，針對網路安全的威脅主要有三：

(1)人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。

(2)人為的惡意攻擊：這是計算機網路所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬於這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網路正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網路造成極大的危害，並導致機密數據的泄漏。

(3)網路軟體的漏洞和「後門」：網路軟體不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網路內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。另外，軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦「後門」洞開，其造成的後果將不堪設想。

3.計算機網路的安全策略

3.1 物理安全策略

物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用許可權、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

抑制和防止電磁泄漏（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，主要採取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是採用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽雜訊向空間輻射來掩蓋計算機系統的工作頻率和信息特徵。

3.2 訪問控制策略

訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網路安全最重要的核心策略之一。下面我們分述各種訪問控制策略。 3.2.1 入網訪問控制

入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源，控制准許用戶入網的時間和准許他們在哪台工作站入網。

用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網路。

對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，伺服器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸入的口令，否則，用戶將被拒之網路之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少於6個字元，口令字元最好是數字、字母和其他字元的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基於單向函數的口令加密，基於測試模式的口令加密，基於公鑰加密方案的口令加密，基於平方剩餘的口令加密，基於多項式共享的口令加密，基於數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統管理員也難以得到它。用戶還可採用一次性用戶口令，也可用攜帶型驗證器（如智能卡）來驗證用戶的身份。

網路管理員應該可以控制和限制普通用戶的帳號使用、訪問網路的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。

用戶名和口令驗證有效之後，再進一步履行用戶帳號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時，網路還應能對用戶的帳號加以限制，用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

3.2.2 網路的許可權控制

網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽（IRM）可作為其兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器，可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類：（1）特殊用戶（即系統管理員）；（2）一般用戶，系統管理員根據他們的實際需要為他們分配操作許可權；（3）審計用戶，負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。

3.2.3 目錄級安全控制

網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種：系統管理員許可權（Supervisor）、讀許可權（Read）、寫許可權（Write）、創建許可權（Create）、刪除許可權（Erase）、修改許可權（Modify）、文件查找許可權（File Scan）、存取控制許可權（Access Control）。用戶對文件或目標的有效許可權取決於以下二個因素：用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權，這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對伺服器資源的訪問 ，從而加強了網路和伺服器的安全性。

3.2.4 屬性安全控制

當用文件、目錄和網路設備時，網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表，用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網路的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。

3.2.5 網路伺服器安全控制

網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊，可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

3.2.6 網路監測和鎖定控制

網路管理員應對網路實施監控，伺服器應記錄用戶對網路資源的訪問，對非法的網路訪問，伺服器應以圖形或文字或聲音等形式報警，以引起網路管理員的注意。如果不法之徒試圖進入網路，網路伺服器應會自動記錄企圖嘗試進入網路的次數，如果非法訪問的次數達到設定數值，那麼該帳戶將被自動鎖定。

3.2.7 網路埠和節點的安全控制

網路中伺服器的埠往往使用自動回呼設備、靜默數據機加以保護，並以加密的形式來識別節點的身份。自動回呼設備用於防止假冒合法用戶，靜默數據機用以防範黑客的自動撥號程序對計算機進行攻擊。網路還常對伺服器端和用戶端採取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發生器）。在對用戶的身份進行驗證之後，才允許用戶進入用戶端。然後，用戶端和伺服器端再進行相互驗證。

3.2.8 防火牆控制

防火牆是近期發展起來的一種保護計算機網路安全的技術性措施，它是一個用以阻止網路中的黑客訪問某個機構網路的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路，以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型；

(1)包過濾防火牆：包過濾防火牆設置在網路層，可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型（TCP、UDP、ICMP等）、協議源埠號、協議目的埠號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。這種防火牆可以用於禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。

(2)代理防火牆：代理防火牆又稱應用層網關級防火牆，它由代理伺服器和過濾路由器組成，是目前較流行的一種防火牆。它將過濾路由器和軟體代理技術結合在一起。過濾路由器負責網路互連，並對數據進行嚴格選擇，然後將篩選過的數據傳送給代理伺服器。代理伺服器起到外部網路申請訪問內部網路的中間轉接作用，其功能類似於一個數據轉發器，它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時，代理伺服器接受申請，然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內部網路轉發這項請求。代理防火牆無法快速支持一些新出現的業務（如多媒體）。現要較為流行的代理伺服器軟體是WinGate和Proxy Server。

(3)雙穴主機防火牆：該防火牆是用主機來執行安全控制功能。一台雙穴主機配有多個網卡，分別連接不同的網路。雙穴主機從一個網路收集數據，並且有選擇地把它發送到另一個網路上。網路服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據，從而保護了內部網路不被非法訪問。

4.信息加密策略

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數據提供保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。

信息加密過程是由形形 色色的加密演算法來具體實施，它以很小的代價提供很大的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類，可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。

在常規密碼中，收信方和發信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有：美國的DES及其各種變形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA；日本的FEAL－N、LOKI－91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。

常規密碼的優點是有很強的保密強度，且經受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統安全的重要因素。

在公鑰密碼中，收信方和發信方使用的密鑰互不相同，而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有：RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊。

公鑰密碼的優點是可以適應網路的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此，隨著現代電子技術和密碼技術的發展，公鑰密碼演算法將是一種很有前途的網路安全加密體制。

當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用，比如：利用DES或者IDEA來加密信息，而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組，每次處理一個組。 密碼技術是網路安全最有效的技術之一。一個加密網路，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟體的有效方法之一。

5. 網路安全管理策略

在網路安全中，除了採用上述技術措施之外，加強網路的安全管理，制定有關規章制度，對於確保網路的安全、可靠地運行，將起到十分有效的作用。

網路的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網路操作使用規程和人員出入機房管理制度；制定網路系統的維護制度和應急措施等。

6. 結束語

隨著計算機技術和通信技術的發展，計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網路的脆弱性和潛在威脅，採取強有力的安全策略，對於保障網路的安全性將變得十分重要。

㈡ 網路安全中常見的黑客攻擊方式

1、後門程序
由於程序員設計一些功能復雜的程序時，一般採用模塊化的程序設計思想，將整個項目分割為多個功能模塊，分別進行設計、調試，這時的後門就是一個模塊的秘密入口。在程序開發階段，後門便於測試、更改和增強模塊功能。正常情況下，完成設計之後需要去掉各個模塊的後門，不過有時由於疏忽或者其他原因（如將其留在程序中，便於日後訪問、測試或維護）後門沒有去掉，一些別有用心的人會利用窮舉搜索法發現並利用這些後門，然後進入系統並發動攻擊。
2、信息炸彈
信息炸彈是指使用一些特殊工具軟體，短時間內向目標伺服器發送大量超出系統負荷的信息，造成目標伺服器超負荷、網路堵塞、系統崩潰的攻擊手段。比如向未打補丁的 Windows 95系統發送特定組合的 UDP 數據包，會導致目標系統死機或重啟；向某型號的路由器發送特定數據包致使路由器死機；向某人的電子郵件發送大量的垃圾郵件將此郵箱「撐爆」等。目前常見的信息炸彈有郵件炸彈、邏輯炸彈等。
3.DOS攻擊
分為DOS攻擊和DDOS攻擊。DOS攻擊它是使用超出被攻擊目標處理能力的大量數據包消耗系統可用系統、帶寬資源，最後致使網路服務癱瘓的一種攻擊手段。作為攻擊者，首先需要通過常規的黑客手段侵入並控制某個網站，然後在伺服器上安裝並啟動一個可由攻擊者發出的特殊指令來控制進程，攻擊者把攻擊對象的IP地址作為指令下達給進程的時候，這些進程就開始對目標主機發起攻擊。這種方式可以集中大量的網路伺服器帶寬，對某個特定目標實施攻擊，因而威力巨大，頃刻之間就可以使被攻擊目標帶寬資源耗盡，導致伺服器癱瘓。比如1999年美國明尼蘇達大學遭到的黑客攻擊就屬於這種方式。DDOS攻擊是黑客進入計算條件，一個磁碟操作系統（拒絕服務）或DDoS攻擊（分布式拒絕服務）攻擊包括努力中斷某一網路資源的服務，使其暫時無法使用。
這些攻擊通常是為了停止一個互聯網連接的主機，然而一些嘗試可能的目標一定機以及服務。DDOS沒有固定的地方，這些攻擊隨時都有可能發生；他們的目標行業全世界。分布式拒絕服務攻擊大多出現在伺服器被大量來自攻擊者或僵屍網路通信的要求。
伺服器無法控制超文本傳輸協議要求任何進一步的，最終關閉，使其服務的合法用戶的一致好評。這些攻擊通常不會引起任何的網站或伺服器損壞，但請暫時關閉。
這種方法的應用已經擴大了很多，現在用於更惡意的目的；喜歡掩蓋欺詐和威懾安防面板等。
4、網路監聽
網路監聽是一種監視網路狀態、數據流以及網路上傳輸信息的管理工具，它可以將網路介面設置在監聽模式，並且可以截獲網上傳輸的信息，也就是說，當黑客登錄網路主機並取得超級用戶許可權後，若要登錄其他主機，使用網路監聽可以有效地截獲網上的數據，這是黑客使用最多的方法，但是，網路監聽只能應用於物理上連接於同一網段的主機，通常被用做獲取用戶口令。
5.系統漏洞
許多系統都有這樣那樣的安全漏洞（Bugs），其中某些是操作系統或應用軟體本身具有的，如Sendmail漏洞，Windows98中的共享目錄密碼驗證漏洞和IE5漏洞等，這些漏洞在補丁未被開發出來之前一般很難防禦黑客的破壞，除非你不上網。還有就是有些程序員設計一些功能復雜的程序時，一般採用模塊化的程序設計思想，將整個項目分割為多個功能模塊，分別進行設計、調試，這時的後門就是一個模塊的秘密入口。在程序開發階段，後門便於測試、更改和增強模塊功能。正常情況下，完成設計之後需要去掉各個模塊的後門，不過有時由於疏忽或者其他原因（如將其留在程序中，便於日後訪問、測試或維護）後門沒有去掉，一些別有用心的人會利用專門的掃描工具發現並利用這些後門，然後進入系統並發動攻擊。
6、密碼破解當然也是黑客常用的攻擊手段之一。
7.誘入法
黑客編寫一些看起來「合法」的程序，上傳到一些FTP站點或是提供給某些個人主頁，誘導用戶下載。當一個用戶下載軟體時，黑客的軟體一起下載到用戶的機器上。該軟體會跟蹤用戶的電腦操作，它靜靜地記錄著用戶輸入的每個口令，然後把它們發送給黑客指定的Internet信箱。例如，有人發送給用戶電子郵件，聲稱為「確定我們的用戶需要」而進行調查。作為對填寫表格的回報，允許用戶免費使用多少小時。但是，該程序實際上卻是搜集用戶的口令，並把它們發送給某個遠方的「黑客」
8.病毒攻擊
計算機病毒可通過網頁、即時通信軟體、惡意軟體、系統漏洞、U盤、移動硬碟、電子郵件、BBS等傳播。

㈢ 網路安全的技術原理

網路安全性問題關繫到未來網路應用的深入發展，它涉及安全策略、移動代碼、指令保護、密碼學、操作系統、軟體工程和網路安全管理等內容。一般專用的內部網與公用的互聯網的隔離主要使用「防火牆」技 術。
「防火牆」是一種形象的說法，其實它是一種計算機硬體和軟體的組合，使互聯網與內部網之間建立起 一個安全網關，從而保護內部網免受非法用戶的侵入。
能夠完成「防火牆」工作的可以是簡單的隱蔽路由器，這種「防火牆」如果是一台普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在互聯網協議埠級上阻止網間或主機間通信，起到一定的過濾作用。 由於隱蔽路由器僅僅是對路由器的參數做些修改，因而也有人不把它歸入「防火牆」一級的措施。
真正意義的「防火牆」有兩類，一類被稱為標准「防火牆」；一類叫雙家網關。標准」防火牆」系統包括一個Unix工作站，該工作站的兩端各有一個路由器進行緩沖。其中一個路由器的介面是外部世界，即公用網；而另一個則聯接內部網。標准「防火牆」使用專門的軟體，並要求較高的管理水平，而且在信息傳輸上有一定的延遲。而雙家網關則是對標准「防火牆」的擴充。雙家網關又稱堡壘主機或應用層網關，它是一個單個的系統，但卻能同時完成標准「防火牆」的所有功能。其優點是能運行更復雜的應用，同時防止在互聯網和內部系統之間建立的任何直接的連接，可以確保數據包不能直接從外部網路到達內部網路，反之亦然。
隨著「防火牆」技術的進步，在雙家網關的基礎上又演化出兩種「防火牆」配置，一種是隱蔽主機網關，另一種是隱蔽智能網關(隱蔽子網)。隱蔽主機網關當前也許是一種常見的「防火牆」配置。顧名思義，這種配置一方面將路由器進行隱藏，另一方面在互聯網和內部網之間安裝堡壘主機。堡壘主機裝在內部網上，通過路由器的配置，使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為復雜而且安全級別最高的」防火牆」當屬隱蔽智能網關。所謂隱蔽智能網關是將網關隱藏在公共系統之後，它是互聯網用戶唯一能見到的系統。所有互聯網功能則是經過這個隱藏在公共系統之後的保護軟體來進行的。一般來說，這種「防火牆」是最不容易被破壞的。
與「防火牆」配合使用的安全技術還有數據加密技術。數據加密技術是為提高信息系統及數據的安全性和保密性，防止秘密數據被外部破壞所採用的主要技術手段之一。隨著信息技術的發展，網路安全與信息保密日益引起人們的關注。各國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟體和硬體兩方面採取措施，推動著數據加密技術和物理防範技術的不斷發展。按作用不同，數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術4種。
與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權用戶所持有並由該用戶賦予它一個口令或密碼字。該密碼字與內部網路伺服器上注冊的密碼一致。當口令與身份特徵共同使用時，智能卡的保密性能還是相當有效的。
這些網路安全和數據保護的防範措施都有一定的限度，並不是越安全就越可靠。因而，看一個內部網是否安全時不僅要考慮其手段，而更重要的是對該網路所採取的各種措施，其中不僅是物理防範，而且還有人員素質等其他「軟」因素，進行綜合評估，從而得出是否安全的結論。
安全服務
對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制

㈣ 請問網路安全的攻擊主要有哪些

網路安全攻擊形式
一般入侵 網路攻擊 掃描技術 拒絕服務攻擊技術 緩沖區溢出 後門技術 Sniffer技術 病毒木馬
網路安全技術，從代理伺服器、網路地址轉換、包過濾到數據加密 防攻擊，防病毒木馬等等。
實際工作中我們的結論，10%數據配置錯誤，30%線路質量差或者用戶把斷線自己接駁了。60%是路由惹的事兒，師傅哼哧哼哧上門了，去掉路由一試都是正常的。
主要是造成個人隱私泄露、失泄密、垃圾郵件和大規模拒絕服務攻擊等，為了我們能順利的遨遊網路，才有了360、kav等殺軟。人不裸跑，機不裸奔。

㈤ 網路安全威脅有哪些

第一、網路監聽
網路監聽是一種監視網路狀態、數據流程以及網路上信息傳輸的技術。黑客可以通過偵聽，發現有興趣的信息，比如用戶賬戶、密碼等敏感信息。
第二、口令破解
是指黑客在不知道密鑰的情況之下，恢復出密文件中隱藏的明文信息的過程，常見的破解方式包括字典攻擊、強制攻擊、組合攻擊，通過這種破解方式，理論上可以實現任何口令的破解。
第三、拒絕服務攻擊
拒絕服務攻擊，即攻擊者想辦法讓目標設備停止提供服務或者資源訪問，造成系統無法向用戶提供正常服務。
第四、漏洞攻擊
漏洞是在硬體、軟體、協議的具體實現或者系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統，比如利用程序的緩沖區溢出漏洞執行非法操作、利用操作系統漏洞攻擊等。
第五、網站安全威脅
網站安全威脅主要指黑客利用網站設計的安全隱患實施網站攻擊，常見的網站安全威脅包括：SQL注入、跨站攻擊、旁註攻擊、失效的身份認證和會話管理等。
第六、社會工程學攻擊
利用社會科學並結合常識，將其有效地利用，最終達到獲取機密信息的目的。

㈥ 網路攻擊是怎麼回事啊

由於在早期的階段，路由器對包的最大尺寸都有限制，許多操作系統對TCP/IP棧的實現在ICMP包上都是規定64KB，並且在對包的標題頭進行讀取之後，要根據該標題頭里包含的信息來為有效載荷生成緩沖區，當產生畸形的，聲稱自己的尺寸超過ICMP上限的包也就是載入的尺寸超過64K上限時，就會出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方當機。
防禦：現在所有的標准TCP/IP實現都已實現對付超大尺寸的包，並且大多數防火牆能夠自動過濾這些攻擊，包括：從windows98之後的windows,NT(service pack 3之後)，linux、Solaris、和Mac OS都具有抵抗一般ping of death攻擊的能力。此外，對防火牆進行配置，阻斷ICMP以及任何未知協議，都講防止此類攻擊。
淚滴（teardrop）
概覽：淚滴攻擊利用那些在TCP/IP堆棧實現中信任IP碎片中的包的標題頭所包含的信息來實現自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重疊偏移的偽造分段時將崩潰。
防禦：伺服器應用最新的服務包，或者在設置防火牆時對分段進行重組，而不是轉發它們。

UDP洪水（UDP flood）
概覽：各種各樣的假冒攻擊利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數據。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一台主機，這樣就生成在兩台主機之間的足夠多的無用數據流，如果足夠多的數據流就會導致帶寬的服務攻擊。
防禦：關掉不必要的TCP/IP服務，或者對防火牆進行配置阻斷來自Internet的請求這些服務的UDP請求。

SYN洪水（SYN flood）
概覽：一些TCP/IP棧的實現只能等待從有限數量的計算機發來的ACK消息，因為他們只有有限的內存緩沖區用於創建連接，如果這一緩沖區充滿了虛假連接的初始信息，該伺服器就會對接下來的連接停止響應，直到緩沖區里的連接企圖超時。在一些創建連接不受限制的實現里，SYN洪水具有類似的影響。
防禦：在防火牆上過濾來自同一主機的後續連接。
未來的SYN洪水令人擔憂，由於釋放洪水的並不尋求響應，所以無法從一個簡單高容量的傳輸中鑒別出來。

Land攻擊
概覽：在Land攻擊中，一個特別打造的SYN包它的原地址和目標地址都被設置成某一個伺服器地址，此舉將導致接受伺服器向它自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息並創建一個空連接，每一個這樣的連接都將保留直到超時掉，對Land攻擊反應不同，許多UNIX實現將崩潰，NT變的極其緩慢（大約持續五分鍾）。
防禦：打最新的補丁，或者在防火牆進行配置，將那些在外部介面上入站的含有內部源地址濾掉。（包括 10域、127域、192.168域、172.16到172.31域）

Smurf攻擊
概覽：一個簡單的smurf攻擊通過使用將回復地址設置成受害網路的廣播地址的ICMP應答請求（ping）數據包來淹沒受害主機的方式進行，最終導致該網路的所有主機都對此ICMP應答請求作出答復，導致網路阻塞，比ping of death洪水的流量高出一或兩個數量級。更加復雜的Smurf將源地址改為第三方的受害者，最終導致第三方雪崩。
防禦：為了防止黑客利用你的網路攻擊他人，關閉外部路由器或防火牆的廣播地址特性。為防止被攻擊，在防火牆上設置規則，丟棄掉ICMP包。

Fraggle攻擊
概覽：Fraggle攻擊對Smurf攻擊作了簡單的修改，使用的是UDP應答消息而非ICMP
防禦：在防火牆上過濾掉UDP應答消息

電子郵件炸彈
概覽：電子郵件炸彈是最古老的匿名攻擊之一，通過設置一台機器不斷的大量的向同一地址發送電子郵件，攻擊者能夠耗盡接受者網路的帶寬。
防禦：對郵件地址進行配置，自動刪除來自同一主機的過量或重復的消息。

畸形消息攻擊
概覽：各類操作系統上的許多服務都存在此類問題，由於這些服務在處理信息之前沒有進行適當正確的錯誤校驗，在收到畸形的信息可能會崩潰。
防禦：打最新的服務補丁。

利用型攻擊是一類試圖直接對你的機器進行控制的攻擊，最常見的有三種：

口令猜測
概覽：一旦黑客識別了一台主機而且發現了基於NetBIOS、Telnet或NFS這樣的服務的可利用的用戶帳號，成功的口令猜測能提供對機器的控制。
防禦：要選用難以猜測的口令，比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略，就進行鎖定。

特洛伊木馬
概覽：特洛伊木馬是一種或是直接由一個黑客，或是通過一個不令人起疑的用戶秘密安裝到目標系統的程序。一旦安裝成功並取得管理員許可權，安裝此程序的人就可以直接遠程式控制制目標系統。最有效的一種叫做後門程序，惡意程序包括：NetBus、BackOrifice和BO2k,用於控制系統的良性程序如：netcat、VNC、pcAnywhere。理想的後門程序透明運行。
防禦：避免下載可疑程序並拒絕執行，運用網路掃描軟體定期監視內部主機上的監聽TCP服務。

緩沖區溢出
概覽：由於在很多的服務程序中大意的程序員使用象strcpy(),strcat()類似的不進行有效位檢查的函數，最終可能導致惡意用戶編寫一小段利用程序來進一步打開安全豁口然後將該代碼綴在緩沖區有效載荷末尾，這樣當發生緩沖區溢出時，返回指針指向惡意代碼，這樣系統的控制權就會被奪取。
防禦：利用SafeLib、tripwire這樣的程序保護系統，或者瀏覽最新的安全公告不斷更新操作系統。

信息收集型攻擊並不對目標本身造成危害，如名所示這類攻擊被用來為進一步入侵提供有用的信息。主要包括：掃描技術、體系結構刺探、利用信息服務

掃描技術

地址掃描
概覽：運用ping這樣的程序探測目標地址，對此作出響應的表示其存在。
防禦：在防火牆上過濾掉ICMP應答消息。

埠掃描
概覽：通常使用一些軟體，向大范圍的主機連接一系列的TCP埠，掃描軟體報告它成功的建立了連接的主機所開的埠。
防禦：許多防火牆能檢測到是否被掃描，並自動阻斷掃描企圖。

反響映射
概覽：黑客向主機發送虛假消息，然後根據返回「host unreachable」這一消息特徵判斷出哪些主機是存在的。目前由於正常的掃描活動容易被防火牆偵測到，黑客轉而使用不會觸發防火牆規則的常見消息類型，這些類型包括：RESET消息、SYN-ACK消息、DNS響應包。
防禦：NAT和非路由代理伺服器能夠自動抵禦此類攻擊，也可以在防火牆上過濾「host unreachable」ICMP應答。

㈦ 常見網路安全攻擊有哪些

由於計算機網路信息被大眾廣泛接受、認可，在一定程度上給社會、生活帶來了極大的便利，使得人們也就越來越依賴網路的虛擬生活，那麼，常見網路攻擊方式有哪些?應該怎麼防範?我在這里給大家詳細介紹。

在了解安全問題之前，我們先來研究一下目前網路上存在的一些安全威脅和攻擊手段。然後我們再來了解一些出現安全問題的根源，這樣我們就可以對安全問題有一個很好的認識。迄今為止，網路上存在上無數的安全威脅和攻擊，對於他們也存在著不同的分類 方法 。我們可以按照攻擊的性質、手段、結果等暫且將其分為機密攻擊、非法訪問、惡意攻擊、社交工程、計算機病毒、不良信息資源和信息戰幾類。

竊取機密攻擊：

所謂竊取機密攻擊是指未經授權的攻擊者(黑客)非法訪問網路、竊取信息的情況，一般可以通過在不安全的傳輸通道上截取正在傳輸的信息或利用協議或網路的弱點來實現的。常見的形式可以有以下幾種：

1) 網路踩點(Footprinting)

攻擊者事先匯集目標的信息，通常採用whois、Finger等工具和DNS、LDAP等協議獲取目標的一些信息，如域名、IP地址、網路拓撲結構、相關的用戶信息等，這往往是黑客入侵之前所做的第一步工作。

2) 掃描攻擊

掃描攻擊包括地址掃描和埠掃描等，通常採用ping命令和各種埠掃描工具，可以獲得目標計算機的一些有用信息，例如機器上打開了哪些埠，這樣就知道開設了哪些服務，從而為進一步的入侵打下基礎。

3) 協議指紋

黑客對目標主機發出探測包，由於不同 操作系統 廠商的IP協議棧實現之間存在許多細微的差別(也就是說各個廠家在編寫自己的TCP/IP協議棧時，通常對特定的RFC指南做出不同的解釋)，因此各個操作系統都有其獨特的響應方法，黑客經常能確定出目標主機所運行的操作系統。常常被利用的一些協議棧指紋包括：TTL值、TCP窗口大小、DF標志、TOS、IP碎片處理、ICMP處理、TCP選項處理等。

4) 信息流監視

這是一個在共享型區域網環境中最常採用的方法。由於在共享介質的網路上數據包會經過每個網路節點，網卡在一般情況下只會接受發往本機地址或本機所在廣播(或多播)地址的數據包，但如果將網卡設置為混雜模式(Promiscuous)，網卡就會接受所有經過的數據包。基於這樣的原理，黑客使用一個叫sniffer的嗅探器裝置，可以是軟體，也可以是硬體)就可以對網路的信息流進行監視，從而獲得他們感興趣的內容，例如口令以及其他秘密的信息。

5) 會話劫持(session hijacking)

利用TCP協議本身的不足，在合法的通信連接建立後攻擊者可以通過阻塞或摧毀通信的一方來接管已經過認證建立起來的連接，從而假冒被接管方與對方通信。

非法訪問

1) 口令解除

可以採用字典解除和暴力解除來獲得口令。

2) IP欺騙

攻擊者可以通過偽裝成被信任的IP地址等方式來獲取目標的信任。這主要是針對防火牆的IP包過濾以及LINUX/UNIX下建立的IP地址信任關系的主機實施欺騙。

3) DNS欺騙

由於DNS伺服器相互交換信息的時候並不建立身份驗證，這就使得黑客可以使用錯誤的信息將用戶引向錯誤主機。

4) 重放攻擊

攻擊者利用身份認證機制中的漏洞先把別人有用的信息記錄下來，過一段時間後再發送出去。

5) 非法使用

系統資源被某個非法用戶以未授權的方式使用

6) 特洛伊木馬

把一個能幫助黑客完成某個特定動作的程序依附在某一合法用戶的正常程序中，這時合法用戶的程序代碼已經被改變，而一旦用戶觸發該程序，那麼依附在內的黑客指令代碼同時被激活，這些代碼往往能完成黑客早已指定的任務。

惡意攻擊

惡意攻擊，在當今最為特出的就是拒絕服務攻擊DoS(Denial of Server)了。拒絕服務攻擊通過使計算機功能或性能崩潰來組織提供服務，典型的拒絕服務攻擊有如下2種形式：資源耗盡和資源過載。當一個對資源的合理請求大大超過資源的支付能力時，就會造成拒絕服務攻擊。常見的攻擊行為主要包括Ping of death、淚滴(Teardrop)、UDP flood、SYN flood、Land 攻擊、Smurf攻擊、Fraggle 攻擊、電子郵件炸彈、畸形信息攻擊等

1) Ping of death

在早期版本中，許多操作系統對網路數據包的最大尺寸有限制，對TCP/IP棧的實現在ICMP包上規定為64KB。在讀取包的報頭後，要根據該報頭中包含的信息來為有效載荷生成緩沖區。當PING請求的數據包聲稱自己的尺寸超過ICMP上限，也就是載入的尺寸超過64KB時，就會使PING請求接受方出現內存分配錯誤，導致TCP/IP堆棧崩潰，致使接受方 死機 。

2) 淚滴

淚滴攻擊利用了某些TCP/IP協議棧實現中對IP分段重組時的錯誤

3) UDP flood

利用簡單的TCP/IP服務建立大流量數據流，如chargen 和Echo來傳送無用的滿帶寬的數據。通過偽造與某一主機的chargen服務之間的一次UDP連接，回復地址指向提供ECHO服務的一台主機，這樣就生成了在2台主機之間的足夠多的無用數據流，過多的數據流會導致帶寬耗盡。

4) SYN flood

一些TCP/IP協議棧的實現只能等待從有限數量的計算機發來的ACK消息，因為他們只有有限的內存空間用於創建連接，如果這一緩沖區充滿了虛假連接的初始信息，該伺服器就會對接下來的連接停止響應，直到緩沖區的連接企圖超時。在一些創建連接不收限制的系統實現里，SYN洪流具有類似的影響!

5) Land攻擊

在Land攻擊中，將一個SYN包的源地址和目標地址均設成同一個伺服器地址，導致接受伺服器向自己的地址發送SYN-ACK消息，結果這個地址又發回ACK消息並創建一個空連接，每一個這樣的連接都將保持直到超時。對LAND攻擊反應不同，許多UNIX實現將崩潰，NT則變得極其緩慢。

6) Smurf攻擊

簡單的Smurf攻擊發送ICMP應答請求包，目的地址設為受害網路的廣播地址，最終導致該網路的所有主機都對此ICMP應答請求做出答復，導致網路阻塞。如果將源地址改為第三方的受害者，最終將導致第三方崩潰。

7) fraggle攻擊

該攻擊對Smurf攻擊做了簡單修改，使用的是UDP應答消息而非ICMP。

8) 電子郵件炸彈

這是最古老的匿名攻擊之一，通過設置一台機器不斷的向同一地址發送電子郵件，攻擊者能耗盡接受者的郵箱

9) 畸形信息攻擊

各類操作系統的許多服務均存在這類問題，由於這些服務在處理消息之前沒有進行適當正確的錯誤校驗，受到畸形信息可能會崩潰。

10) DdoS攻擊

DdoS攻擊(Distributed Denial of Server,分布式拒絕服務)是一種基於DOS的特殊形式的拒絕服務攻擊，是一種分布協作的大規模攻擊方式，主要瞄準比較大的站點，像商業公司、搜索引擎和政府部門的站點。他利用一批受控制的機器向一台目標機器發起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有很大的破壞性。

除了以上的這些拒絕服務攻擊外，一些常見的惡意攻擊還包括緩沖區溢出攻擊、硬體設備破壞性攻擊以及網頁篡改等。

11) 緩沖區溢出攻擊(buffer overflow)

通過往程序的緩沖區寫超過其長度的內容，造成緩沖區的溢出，從而破壞程序的堆棧，使程序轉而執行其他指令，以達到攻擊的目的。緩沖區溢出是一種非常普遍、非常危險的漏洞，在各種操作系統、應用軟體中廣泛存在，根據統計：通過緩沖區溢出進行的攻擊占所有系統攻擊總數的80%以上。利用緩沖區溢出攻擊可以導致程序運行失敗、系統死機、重新啟動等後果，更嚴重的是，可以利用他執行非授權的指令，甚至可以取得系統特權，進而進行各種非法操作。由於他歷史悠久、危害巨大，被稱為數十年來攻擊和防衛的弱點。

社交工程(Social Engineering)

採用說服或欺騙的手段，讓網路內部的人來提供必要的信息，從而獲得對信息系統的訪問許可權。

計算機病毒

病毒是對軟體、計算機和網路系統的最大威脅之一。所謂病毒，是指一段可執行的程序代碼，通過對其他程序進行修改，可以感染這些程序，使他們成為含有該病毒程序的一個拷貝。

不良信息資源

在互聯網如此發達的今天，真可謂「林子大了，什麼鳥都有」，網路上面充斥了各種各樣的信息，其中不乏一些暴力、色情、反動等不良信息。

信息戰

計算機技術和 網路技術 的發展，使我們處與信息時代。信息化是目前國際社會發展的趨勢，他對於經濟、社會的發展都有著重大意義。美國著名未來學家托爾勒說過：「誰掌握了信息、控制了網路，誰將擁有整個世界」。美國前總統柯林頓也說：「今後的時代，控制世界的國家將不是靠軍事，而是信息能力走在前面的國家。」美國前陸軍參謀長沙爾文上將更是一語道破：「信息時代的出現，將從根本上改變戰爭的進行方式」