5.5.6网络攻击防护对策

5.5.6　网络攻击防护对策

网络攻击与防护就好比矛与盾一样针锋相对，在攻击手段层出不穷、攻击强度和密度成级数增长的今天，防护技术也随之不断推陈出新。虽然任何防护技术都不敢说百分之百保证从根本上杜绝侵害，但魔高一尺道高一丈，日益丰富的防范手段正切切实实地守卫着我们的信息安全。

1．防火墙技术

“防火墙”是一种形象的说法,其实它是一种由计算机硬件和软件的组合,使互联网与内部网之间建立起一个安全网关（security gateway）,从而保护内部网免受非法用户的侵入，简而言之，所谓防火墙就是一个把互联网与内部网隔开的屏障。

防火墙有两类，标准防火墙和双家网关。

（1）标准防火墙系统包括一个UNIX工作站，该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界，即公用网；另一个则连接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。

（2）双家网关（Dual home gateway）则是标准防火墙的扩充，又称堡垒主机（Bation host）或应用层网关（Applications layer gateway），它是一个单个的系统，但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立任何直接的边疆，可以确保数据包不能直接从外部网络到达内部网络；反之亦然。

随着防火墙技术的进步，在双家网关的基础上又演化出两种防火墙配置,一种是隐蔽主机网关,另一种是隐蔽智能网关（隐蔽子网）。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义，这种配置一方面将路由器进行隐蔽，另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上，通过路由器的配置,使该堡垒主机成为内部网与互联网之间进行通信的唯一系统。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关，它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问。同时阻止了外部未授权访问者对专用网络的非法访问。一般来说,这种防火墙是最不容易被破坏的。

2．数据加密技术

与防火墙配合使用的安全技术还有数据加密技术，它是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展,网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。

按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

（1）数据传输加密技术

目的是对传输中的数据流加密，常用的方针有线路加密和端端加密两种。前者侧重在线路上而不考虑信源与信宿，对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地,将被自动重组、解密，成为可读数据。

（2）数据存储加密技术

目的是防止在存储环节上的数据失密，分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

（3）数据完整性鉴别技术

目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证，起到保密的要求，一般包括口令、密钥、身份、数据等项的鉴别。系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。

（4）密钥管理技术

为了数据使用的方便，数据加密在许多场合集中表现为密钥的应用，因此密钥往往是保密与窃密的主要对象。密钥的媒体有：磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。

3．智能卡技术

与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋与它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时，智能卡的保密性能还是相当有效的。

网络安全和数据保护的防范措施都有一定的限度，并不是越安全就越可靠。因而，在看一个内部网是否安全时不仅要考察其手段，而更重要的是对该网络所采取的各种措施，其中不光是物理防范，还有人员的素质等其他“软”因素,进行综合评估，从而得出是否安全的结论。

4．防范针对IP地址的攻击

现在常见的这类攻击工具有：NKUE、WINNUKE、TEARDROP、SSIPING等。它们主要利用WIN 95\NT下微软网络协议NetBIOS的例行处理程序OOB的漏洞，将一个包以OOB的方式放在某个IP地址的某个开放的端口上（一般为139、138、138、131），就可能使你的电脑突然死机。遭受此类攻击的对象主要是WIN 95和NT，而WIN 98系统的这方面防御能力得到了加强，使其受攻击的概率减少。对于WIN 95可以通过在注册表/HKEY_LOCAL_MACHINE/System/CurrentCountro-lSet/Services/VxD/ MSTCP/中新建字符串“BSDUrgeNT”，键值为“0”，并将\windows\system中的vnbt.386更名为vnbt.bak来防范攻击。另外，我们还可以使用NOCRASH、ANTINUKE、NUKENAB等程序来防范攻击。

5．特洛伊木马的防范

“特洛伊木马”技术是黑客常用的攻击方法。它通过在你的电脑系统中隐藏一个会在Windows启动时悄悄执行的程序，用服务器/客户的手段，达到在你上网时控制你的电脑的目的。它对你的信息安全带来极大的危害。黑客可以利用它窃取你的密码、浏览你的硬盘、修改你的文件、修改你的注册表等等。对于它我们可以采用LOCKDOWN监视程序加以防范。

在此，要提醒大家注意以下几点：

（1）不要轻易运行来历不明和从网上下载的软件。即使通过一般杀毒软件的程序也不要轻易运行，对于此类软件，要用如CLEANER、SUDO99等专门的黑客程序清除软件检查。

（2）保持警惕性。不要轻易相信好友发来的E-mail就一定没有黑客程序，HAPPY99就会自己加在附件中。

（3）不要在聊天室内公布你的E-mail地址。对来历不明的E-mail应及时清除。

（4）不要随便下载软件（特别是不可靠的那些FTP站点）。

（5）不要将重要密码存放在计算机上。

上面的措施有些对于一般用户来说似乎并不容易做到。但我建议你至少养成定时检查你的微机系统的习惯。上面已经介绍了有CLEANER、SUDO99等软件可以利用。

下面就介绍一些“特洛伊木马”的手动检查及清楚方法：

（1）NETSPY

检查注册表：

HEKY_LOCAL_MACHINE\Sofware\Microsoft-Windo-ws\CurrentVersion\Run中有无键值SPYNOTIFY.E-XE和NETSPY.EXE。如有将其删除，重启计算机后将\windows\system中对应文件删除。

（2）HAPPY99

该程序首次运行时会在屏幕上打开一个名为HAPPY NEW YEAR 1999的窗口，显示有美丽的焰火，此时该程序把自身COPY到95/98的SYSTEM目录下命名为ska.exe，释放出文件ska.dll，并修改wsock32.dll，把修改前的文件备份为wsock32.ska，并修改注册表。

检查注册表：

HEKY_LOCAL_MACHINE\Sofware\Microsoft\Windows\CurrentVersion\RunOnce中有无键值ska.exa。如有将其删除，并删除\WINDOWS\SYSTEM中的ska.exe和ska.ddl两个文件，将wsock32.ska重命名为wscok32.dll。

（3）PICTURE

检查win.ini中的load项是否指向一个可疑程序，清除该项目。重启计算机，将该项的程序删除即可。

（4）NETBUS

用Netstat检查12345端口是否开放，在注册表对应位置是否有可疑文件，搜寻、清除注册表的NETBUS的主机，然后重新启动计算机，删除其运行的文件即可。