网络攻击防护对策

7.4.6　网络攻击防护对策

网络攻击与防护就好比矛与盾一样针锋相对，在攻击手段层出不穷、攻击强度和密度成级数增长的今天，防护技术也随之不断推陈出新。虽然任何防护技术都不敢说百分之百保证从根本上杜绝侵害，但是日益丰富的防范手段正切切实实地守卫着我们的信息安全。

1．防火墙技术

“防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关（Security Gateway）, 从而保护内部网免受非法用户的侵入，简而言之，所谓防火墙就是一个把互联网与内部网隔开的屏障。

防火墙有两类，标准防火墙和双家网关。

（1）标准防火墙

标准防火墙系统包括一个UNIX工作站， 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界， 即公用网； 另一个则连接内部网。标准防火墙使用专门的软件, 并要求较高的管理水平, 而且在信息传输上有一定的延迟。

（2）双家网关

双家网关 （dual home gateway）则是标准防火墙的扩充，又称堡垒主机（bation host） 或应用层网关（applications layer gateway）。它是一个单个的系统， 但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用，同时防止在互联网和内部系统之间建立的任何直接的边界，可以确保数据包不能直接从外部网络到达内部网络，反之亦然。

随着防火墙技术的进步，在双家网关的基础上又演化出两种防火墙配置, 一种是隐蔽主机网关, 另一种是隐蔽智能网关（隐蔽子网）。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义， 这种配置一方面将路由器进行隐蔽， 另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上，通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关，它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问。同时阻止了外部未授权访问者对专用网络的非法访问。一般来说, 这种防火墙是最不容易被破坏的。

2．数据加密技术

与防火墙配合使用的安全技术还有数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展, 网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施,推动着数据加密技术和物理防范技术的不断发展。

按作用不同， 数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。

（1）数据传输加密技术。

目的是对传输中的数据流加密，常用的方法有线路加密和端端加密两种。前者侧重在线路上而不考虑信源与信宿，对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地, 被将自动重组、解密，成为可读数据。

（2）数据存储加密技术。

目的是防止在存储环节上的数据失密，分为密文存储和存取控制两种。前者一般是通过加密算法转换、附加密码、加密模块等方法实现；后者则是对用户资格、权限加以审查和限制，防止非法用户存取数据或合法用户越权存取数据。

（3）数据完整性鉴别技术。

目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证，保密的要求，一般包括口令、密钥、身份、数据等项的鉴别，系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。

（4）密钥管理技术。

为了数据使用的方便，数据加密在许多场合集中表现为密钥的应用，因此密钥往往是保密与窃密的主要对象。密钥的媒体有：磁卡、磁带、磁盘、半导体存储器等。密钥的管理技术包括密钥的产生、分配保存、更换与销毁等各环节上的保密措施。

3．智能卡技术

与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体，一般就像信用卡一样，由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时，智能卡的保密性能还是相当有效的。

网络安全和数据保护这些防范措施都有一定的限度，并不是越安全就越可靠。因而， 在看一个内部网是否安全时不仅要考察其手段，而更重要的是对该网络所采取的各种措施，其中不光是物理防范，还有人员的素质等其他“软”因素, 进行综合评估，从而得出是否安全的结论。

4．防范针对IP地址的攻击

现在常见的这类攻击工具有：NKUE、WINNUKE、TEARDROP、SSIPING等。他们主要利用Windows95\NT下微软网络协议NetBIOS的例行处理程序OOB的漏洞，将一个包以OOB的方式放在某个IP地址的某个开放的端口上（一般为139、138、138、131），就可能使你的电脑突然死机。遭受此类攻击的对象主要是Windows 95和Windows NT，而Windows 98系统的这方面防御能力得到了加强，使其受攻击的概率减少。对于Windows 95可以通过在注册表HKEY_LOCAL_MACHINE/SYSTEM/ CurrentCountrolSet/Services/VxD/MSTCP/中新建字符串“BSDUrgeNT”，键值为“0”，并将C:\windows\ system中的vnbt.386更名为“vnbt.bak”来防范攻击。另外，我们还可以使用NOCRASH、ANTINUKE、NUKENAB等程序来防范攻击。

5．特洛伊木马的防范

“特洛伊木马”病毒是黑客常用的攻击手段。它通过在你的电脑系统中隐藏一个会在Windows启动时悄悄执行的程序，用服务器/客户的手段，而达到在你上网时控制你的电脑的目的。它对你信息的安全带来极大的危害。黑客可以利用它窃取你的密码、浏览你的硬盘、修改你的文件、修改你的注册表等。对于它我们可以采用LOCKDOWN监视程序加以防范。

在此要提醒大家注意以下几点：

（1）不要轻易运行来历不明和从网上下载的软件。即使通过一般杀毒软件的程序也不要轻易运行，对于此类软件，要用如CLEANER、SUDO99等专门的黑客程序清除软件检查。

（2）保持警惕性。不要轻易相信好友发来的E-mail就一定没有黑客程序，HAPPY99就会自己加在附件中。

（3）不要在聊天室内公布你的E-mail地址。对来历不明的E-mail应及时清除。

（4）不要随便下载软件（特别是不可靠的那些FTP站点）。

（5）不要将重要密码存放在电脑上。

上面的措施有些对于一般用户来说似乎并不容易做到。但建议你至少养成定时检查你的操作系统的习惯。上面已经介绍CLEANER、SUDO99等软件可以利用。

下面介绍一些“特洛伊木马”的手动检查及清除方法：

（1）NETSPY

检查注册表：

HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中有无键值SPYNOTIFY.EXE和NETSPY.EXE。如有将其删除，重启计算机后将\windows\system中对应文件删除。

（2）HAPPY99

该程序首次运行时会在屏幕上打开一个名位HAPPY NEW　YEAR1999的窗口，显示有美丽的焰火，此时该程序把自身copy到Windows 95/98的System目录下命名为ska.exe，释放出文件ska.dll，并修改wsock32.dll，把修改前的文件备份为wsock32.ska，并修改注册表。

检查注册表

HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中有无键值ska.exa。如有将其删除，并删除\WINDOWS\SYSTEM中的ska.exe和ska.ddl这两个文件，将wsock-32.ska重命名为“wscok32.dll”。

（3）PICTURE

检查win.ini中的load项是否指向一个可疑程序，清除该项目。重启计算机，将该项的程序删除即可。

（4）NETBUS

用Netstat-an检测是否12345端口开放，在注册表对应位置是否有可疑文件，搜寻清除注册表的NETBUS的主机，然后重新启动计算机，删除其运行的文件即可。