计算机网络系统由网络硬件、软件及网络系统中的共享数据组成。网络安全从本质上讲是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不会因偶然的或恶意的原因而遭到破坏、更改,系统连续正常的运行,网络服务不会中断。
随着网络的普及,网络安全已成为影响网络效能的重要问题。目前网络上的黑客软件数量之多,下载之方便已经使得稍有电脑知识的网民就能完成基本的黑客攻击了。很多用户在不设防的情况下就可能成为黑客攻击的目标。这就迫使人们不得不加强对自身计算机网络系统的安全防护。
网络入侵和安全防范实际上就是指网络攻防技术。
网络攻击技术包括目标网络信息收集技术、目标网络权限提升技术、目标网络渗透技术、目标网络摧毁技术4大类,每一类技术都在不断更新。
网络安全防护技术具体包括攻击检测、攻击防范、攻击后的恢复3个方向。每个方向都有代表性的产品:入侵检测系统负责进行攻击检测,防火墙和强制访问系统负责攻击防范,攻击后的恢复则由自动恢复系统来解决。这三大方向就说明了在网络安全防护上的多层安全防护措施
一般黑客的攻击分为以下三个步骤。
信息收集是为了了解所要攻击目标的详细信息,通常黑客利用相关的网络协议或实用程序来收集,例如,用SNMP协议来查看路由器的路由表,了解目标主机内部拓扑结构的细节,用TraceRoute程序可获得到达目标之际所要经过的网络数和路由数,用Ping程序可以检测一个指定主机的位置并确定是否可以到达等。
在收集到目标主机的相关信息后,黑客会探测网络上每一台主机,以寻找系统的安全漏洞或安全弱点,黑客一般会使用Telnet、FTP等软件向目标主机申请服务,如果目标主机有应答就说明开放了这些端口的服务。其次使用一些公开的工具软件,如Internet安全扫描程序ISS(Internet Security Scanner)、网络安全分析工具ASATAN等来对整个网络或子网进行扫描,寻找系统的安全漏洞,获取攻击目标系统的非法访问权。
在获得了目标系统的非法访问权之后,黑客一般会实施以下的攻击。
(1)试图毁掉入侵的痕迹,并在受到攻击的目标系统中建立新的安全漏洞或后门,以便在先前的攻击点被发现以后能继续访问该系统。
(2)在目标系统安装探测器软件,如特洛伊木马程序,用来窥探目标系统的活动,继续收集黑客感兴趣的一切信息,如账号与口令等敏感数据。
(3)进一步发现目标系统的信任等级,以便展开对整个网络的攻击。
(4)如果黑客在被攻击的目标系统上获得了特许访问权,那么他就可以读取邮件,搜索和盗取私人文件,毁坏重要数据以致破坏整个网络系统,其后果将不堪设想。
获取口令又有三种方法:一是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大,监听者往往能够获得其所在网段的所有用户账号和口令,对局域网安全威胁巨大;二是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但黑客要有足够的耐心和时间;三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后,用暴力破解程序破解用户口令,该方法的使用前提是黑客获得口令的Shadow文件。第三种方法在所有方法中危害最大,因为它不需要像第二种方法那样一遍又一遍地尝试登录服务器,而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码。
特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知黑客,来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改用户的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。
许多系统都有这样那样的安全漏洞(Bugs),其中某些是操作系统或应用软件本身具有的,如Sendmail漏洞,Win98中的共享目录密码验证漏洞和IE5漏洞等,这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏,除非你将网线拔掉;还有一些漏洞是由于系统管理员配置错误引起的,如在网络文件系统中,将目录和文件以可写的方式调出,将未加Shadow的用户密码文件以明码方式存放在某一目录下,这都会给黑客带来可乘之机,应及时加以修正。
有的黑客会利用操作系统提供的默认账户和密码进行攻击,例如许多UNIX主机都有FTP和Guest等默认账户(其密码和账户名同名),有的甚至没有口令。黑客用UNIX操作系统提供的命令如Finger和Ruser等收集信息,不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕,将系统提供的默认账户关掉或提醒无口令用户增加口令,一般都能克服。
电子邮件攻击主要表现为两种方式:一是电子邮件轰炸和电子邮件“滚雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器操作系统带来危险,甚至瘫痪;二是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(例如,某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务,这为黑客成功地利用该方法提供了可乘之机),这类欺骗只要用户提高警惕,一般危害性不是太大。
在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。
加密的目的是保护信息系统的数据、文件、口令和控制信息等,同时也可以提高网上传输数据的可靠性,这样即使黑客截取了网上传输的信息包一般也无法得到正确的信息。
通过密码和特征信息等来确认用户身份的真实性,只对确认了的用户给予相应的访问权限。
系统应当设置入网访问权限、网络共享资源的访问权限、目录安全等级控制、网络端口和节点的安全控制、防火墙的安全控制等,只有通过各种安全控制机制的相互配合,才能最大限度地保护系统免受黑客的攻击。
把系统中和安全有关的事件记录下来,保存在相应的日志文件中,例如记录网络上用户的注册信息,如注册来源、注册失败的次数等,记录用户访问的网络资源等各种相关信息,当遭到黑客攻击时,这些数据可以用来帮助调查黑客的来源,并作为证据来追踪黑客,也可以通过对这些数据的分析来了解黑客攻击的手段以找出应对的策略。
入侵检测技术是近年来出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,例如,记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要,首先是因为它能够对付来自内部网络的攻击,其次是它能够减少被黑客入侵的时间。