网络攻击的常见手法及其防范措施(2)

网络攻击的常见手法及其防范措施

　　下面是某一网络级防火墙的访问控制规则：

　　(1)允许网络123.1.0使用FTP(21口)访问主机150.0.0.1;

　　(2)允许IP地址为202.103.1.18和202.103.1.14的用户Telnet (23口)到主机150.0.0.2上;

　　(3)允许任何地址的E-mail(25口)进入主机150.0.0.3;

　　(4)允许任何WWW数据(80口)通过;

　　(5)不允许其它数据包进入。

　　网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。

　　2.规则检查防火墙

　　该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样， 规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样， 可以在OSI应用层上检查资料包的内容，查看这些内容是否能符合公司网络的安全规则。规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务机模式来分析应用层的数据， 它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

　　目前在市场上流行的防火墙大多属于规则检查防火墙，因为该防火墙对于用户透明，在OSI最高层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增加一个代理。如现在最流行的防火墙之一OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是一种规则检查防火墙。

　　从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送资料。

　　(四)防火墙的配置

　　防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。 这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。 在公共网络和私有网络之间构成了一个隔离网，称之为"停火区"(DMZ，即DemilitarizedZone),Bastionhost放置在"停火区"内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

　　(五)防火墙的安全措施

　　各种防火墙的安全性能不尽相同。这里仅介绍一些一般防火墙的常用安全措施：

　　1.防电子欺骗术

　　防电子欺骗术功能是保证数据包的IP地址与网关接口相符，防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别，并向网络管理员报警。

　　2.网络地址转移

　　地址转移是对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映像成合法地址，就可以对Internet进行访问。

　　3.开放式结构设计

　　开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易，典型的应用程序连接如财务软件包、病毒扫描、登录分析等。

　　4.路由器安全管理程序

　　它为Bay和Cisco的路由器提供集中管理和访问列表控制。

　　(六)传统防火墙的五大不足

　　1.无法检测加密的Web流量

　　如果你正在部署一个光键的门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求，对于传统的网络防火墙而言，是个大问题。

　　由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。

　　2、普通应用程序加密后，也能轻易躲过防火墙的检测

　　网络防火墙无法看到的，不仅仅是SSL加密的资料。对于应用程序加密的数据，同样也不可见。在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统(IDS，Intrusion Detect System)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击资料。

　　但如今，采用常见的编码技术，就能够地将恶意代码和其它攻击命令隐藏起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器中执行。这种加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。

　　3、对于Web应用程序，防范能力不足

　　网络防火墙于1990年发明，而商用的Web服务器，则在一年以后才面世。基于状态检测的防火墙，其设计原理，是基于网络层TCP和IP地址，来设置与加强状态访问控制列表(ACLs，Access Control Lists)。在这一方面，网络防火墙表现确实十分出色。

　　近年来，实际应用过程中，HTTP是主要的传输协议。主流的平台供货商和大的应用程序供货商，均已转移到基于Web的体系结构，安全防护的目标，不再只是重要的业务数据。网络防火墙的防护范围，发生了变化。

　　对于常规的企业局域网的防范，通用的网络防火墙仍占有很高的市场份额，继续发挥重要作用，但对于新近出现的上层协议，如XML和SOAP等应用的防范，网络防火墙就显得有些力不从心。

　　由于体系结构的原因，即使是最先进的网络防火墙，在防范Web应用程序时，由于无法全面控制网络、应用程序和数据流，也无法截获应用层的攻击。由于对于整体的应用数据流，缺乏完整的、基于会话(Session)级别的监控能力，因此很难预防新的未知的攻击。

　　4、应用防护特性，只适用于简单情况

　　目前的资料中心服务器，时常会发生变动，比如：

　　★ 定期需要部署新的应用程序;

　　★ 经常需要增加或更新软件模块;

　　★ QA们经常会发现代码中的bug，已部署的系统需要定期打补丁。

　　在这样动态复杂的环境中，安全专家们需要采用灵活的、粗粒度的方法，实施有效的防护策略。

　　虽然一些先进的网络防火墙供货商，提出了应用防护的特性，但只适用于简单的环境中。细看就会发现，对于实际的企业应用来说，这些特征存在着局限性。在多数情况下，弹性概念(proof-of-concept)的特征无法应用于现实生活中的数据中心上。

　　比如，有些防火墙供货商，曾经声称能够阻止缓存溢出：当黑客在浏览器的URL中输入太长数据，试图使后台服务崩溃或使试图非法访问的时候，网络防火墙能够检测并制止这种情况。

　　细看就会发现，这些供货商采用对80埠数据流中，针对URL长度进行控制的方法，来实现这个功能的。

　　如果使用这个规则，将对所有的应用程序生效。如果一个程序或者是一个简单的Web网页，确实需要涉及到很长的URL时，就要屏蔽该规则。

　　网络防火墙的体系结构，决定了网络防火墙是针对网络端口和网络层进行操作的，因此很难对应用层进行防护，除非是一些很简单的应用程序。

　　5、无法扩展带深度检测功能

　　基于状态检测的网络防火墙，如果希望只扩展深度检测(deep inspection)功能，而没有相应增加网络性能，这是不行的。

　　真正的针对所有网络和应用程序流量的深度检测功能，需要空前的处理能力，来完成大量的计算任务，包括以下几个方面：

　　★ SSL加密/解密功能;

　　★ 完全的双向有效负载检测;

　　★ 确保所有合法流量的正常化;

　　★ 广泛的协议性能;

　　这些任务，在基于标准PC硬件上，是无法高效运行的，虽然一些网络防火墙供货商采用的是基于ASIC的平台，但进一步研究，就能发现：旧的基于网络的ASIC平台对于新的深度检测功能是无法支持的。

　　什么是网络钓鱼？

　　网络钓鱼攻击是攻击者用来获取敏感信息（例如用户凭据和信用卡信息）的最常见攻击之一。攻击者通常通过电子邮件、社交媒体、电话或任何其他形式的通信来访问此类敏感信息，从而窃取有价值的数据。这是一个广泛的术语，用于从人们那里收集敏感信息，但存在多种类型的网络钓鱼攻击。

　　必须实施安全意识计划来教员工了解不同类型的网络钓鱼攻击。但是，如下所述，有不同的方法可以避免每种类型的网络钓鱼攻击。

　　如何识别网络钓鱼攻击：简单方法

　　拼写和语法错误：如果有任何拼写和语法错误，您可以轻松识别是否收到了网络钓鱼电子邮件。信誉良好的公司不会在电子邮件中出错。

　　电子邮件正文要求提供个人信息

　　如果您收到一封来自公司的电子邮件，要求您提供个人信息，例如银行帐号或您的登录凭据。

　　网址不匹配

　　如果您将鼠标悬停在 URL 链接上而不点击它，您可以看到完整地址，如果 URL 与悬停的链接不匹配，则它可能是一个假地址。

　　意外的电子邮件

　　如果收到一封电子邮件，说您赢得了一场从未参加过的比赛，或要求您点击链接领取奖品。

　　网络钓鱼攻击的常见类型和技术

　　1. 鱼叉式网络钓鱼

　　鱼叉式网络钓鱼通过电子邮件发送，针对特定组织、个人或企业。电子邮件的正文可能包含要下载的链接或附件。攻击者的目标是让用户提供一些关于他们自己的信息（即相关的个人身份）。鱼叉式网络钓鱼攻击之所以有效，是因为电子邮件对最终用户来说看起来合法且可信。攻击者通常会关注特定的个人，以最终获取关键数据，例如银行账户、工作凭证、登录凭证等。

　　如何防止鱼叉式网络钓鱼攻击

　　安全团队应培训所有员工如何识别和举报可疑电子邮件。他们应该确保他们拥有必要的技术和流程来预防、检测和应对这些类型的威胁。安全团队应通过研究和了解更新的威胁情报，努力领先于攻击者。需要注意的是，通过孤立分析不可能发现新的鱼叉式网络钓鱼攻击。

　　2. 捕鲸

　　捕鲸攻击以组织的高级管理人员为目标；通常，这些攻击包括攻击者向高层管理人员发送一封电子邮件，说明公司正在被起诉，他们需要单击 URL 链接以接收更多信息。捕鲸攻击有效的唯一原因是人为的。

　　如何防止捕鲸攻击

　　对电子邮件帐户使用双因素身份验证

　　对员工进行模拟捕鲸攻击，以证明被欺骗的难易程度

　　建立某种验证流程，例如面对面或通过电话验证银行相关问题

　　教育员工并实施适当的安全措施将有助于减少发生捕鲸袭击的机会

　　3. Vishing

　　它是一种使用电话系统或 VOIP 的网络钓鱼攻击。常见的 Vishing 攻击是自动呼叫用户，说明他们的信用卡帐户存在问题。鼓励用户验证他们的信用卡信息（信用卡号、有效期日期和卡安全代码）。 Vishing 的目标是窃取一个人的身份或金钱。

　　如何防止 Vishing 攻击

　　不要拿起电话，尤其是在您不认识来电显示的情况下

　　怀疑来电可疑就挂断电话

　　不要回复要求您按按钮或回复提示的短信

　　通过在网络上搜索电话号码来验证来电者的身份，以确定它是否是垃圾电话号码。

　　直到今天，我仍然看到人们陷入网络钓鱼攻击，并在没有意识到的情况下向攻击者提供信息。因此，组织教育和培训其员工以了解什么是网络钓鱼攻击以及如何识别它们非常重要。必须定期提醒和讨论此类网络攻击。

　　常见的网络安全威胁及防范措施

　　1 在计算机网络中，常见的安全性威胁障碍

　　袭击方式为什么会发生网络安全威胁事件呢?

　　一般情况下都是有目的性地实施的。这些威胁可能存在于网络中的每一个角落，即使有的袭击必须要经由特定的相关网络系统来进行，可只要袭击者一展开攻击，最终的破坏结果损失都很惨重。目前主要的袭击网络信息的方式一般有几下几种：

　　(1)扫描。换句话讲，扫描其实就是利用智能化的设备展开大范围嗅探活动，并对协议数据加以观察、分析。通常用的扫描形式一般有协议扫描跟端口扫描这两种。扫描一般都是袭击的初期阶段，主要就是攻击者在寻找、识别想要攻击的目标对象。

　　(2)嗅探。它原先是利用在网络中捕获到得数据信息，将之供给给网络管理员来利用、分析以及查看网络状态、环境的管理手法。攻击人利用嗅探器来获取到众多的数据信息，这些数据信息也许是一些用户名、密码或者特定的需要身份验证的资料。这样的话，攻击者就能有针对性地去展开袭击。其实嗅探器是极容易获取的，在计算机网络中一搜索，就会出现成千上万的嗅探器软件。

　　(3)拒绝网络服务。袭击人一般是往网络上传输一些没用的数据信息或者大量浪费那些很稀缺、稀有的资源，就比如说网络带宽型攻击，还有延续攻击。在一定程度上干扰到了数据信息正常的传输、利用，就算是那些加密的数据文件，也保障不了数据传输的安全性。它的目的其实根本就不是想要获取那些数据，而是想让别的用户得不到这些数据，享受不到正规的网络技术服务。

　　(4)伪装。在计算机信息网络中，互相间都有着一定的信任性。有时候必须要在特定的信任度下，才可以确立起合法的宽带网络连接机制，如果袭击网络者克隆了合法登入者的身份，就使得其可以有信任度地和网络连接起来。

　　(5)恶意代码。它其实就是一种计算机的程序。每当按照程序执行的时候，就会使得计算机不能正常的运作。有些用户根本就想不到是自己的电脑被植入了恶意代码程序，一直到自己的计算机程序真的被破坏了，才会全面地去检查、杀毒。常见的恶意代码有特洛伊木马 普通病毒以及蠕虫等。计算机被这些恶意代码侵入之后，就会使得自身数据丢失，网络系统也会出现混乱状况。

　　1.2整体发展趋向现时代的攻击者会喜欢将自己的攻击实战经验跟一些破坏程序放在论坛上跟其他的一些同行进行交流，分享经验。他们检测网络数据的源代码，并从其中的某些程序里面找到缺陷，有针对性地制定相关袭击策略。大多数专业攻击人都可以咋袭击一些网络数据时遮掩掉自己的非法行为。就算有的受害者能及时发现嗅探日志，都很难辨别哪些数据被袭击者改写过。

　　同时网络技术正不断成熟、完善，攻击的手段、技术也变得更加智能化，可以同一时间内快速地获取大量网络主机内部存在的信息资源。这些技术、手段在对整个网络扫描时，识别网络中存在的一些漏洞。针对漏洞，攻击者就能借一些特殊的工具来获取到网络客户的真实信息，或者分享于其他人，或者立即攻击网络客户。由此可知，攻击者根本就不需要过硬的网络知识就可以对网络客户实施突袭。

　　2 针对上述存在的威胁，提出相应的防范措施

　　安全管理

　　(1)安全管理程序。安全管理程序通常是在计算机安全准则的基础上制定出来的，在一定程度上可以给用户和网络管理员提供有关安全管理方面的依据。安全准则通常是由各国组织围绕计算机信息安全性而制定的提纲要领文件。随着网络技术不断前进，安全准则也在不断更新，进而避免涉及范围过于狭小。

　　(2)安全管理实践作业。安全管理实践作业是不可或缺的，是国家公认的解决方案。就比如：保障账户需要密码设置、验证，所设置的密码避免太容易解除;针对安全级别较高的网络系统，普遍采用一次性的安全密码;用特定工具使得系统保证其完整度;设计安全的计算机程序;定期杀毒、检测、对网络的安全系数进行评定。

　　安全技术

　　安全操作信息技术。想要保证数据信息的安全度，我们就必须及时地对那些可疑的网络活动进行评估、监测，并找到合理的响应方案加以处置。

　　(1)防火墙网络技术。攻击者一般都是使用欺诈形式来连接网络的认证系统，并凭借“拒绝服务”来对目标对象进行攻击。而防火墙其实就是最重要的第一道安全防线。形式最简单的防火墙通常由过滤路由器组织形成的，淘汰那些从未授权网址或服务端口出现过的数据信息，实现信息的过滤目的。而相对复杂的一种防火墙技术则是代理机制来运行的，经代理机制确认核实请求之后，将经授权的信息请求输送给合法的网络用户。

　　(2)监控管理工具。对于虚拟的网络来说，监控管理工具是必备的。它一般是安装在网络计算机里面专门用来获取数据和检测可疑活动行为的。当可疑活动一出现的时候，就会自动报警，然后管理员得到通知就对此加以处理。监控管理工具通常是有针对性地监控网络各类应用，在一定程度上还能阻隔可疑的网络行为。

　　(3)安全解析作业。科技的更新，网络攻击程序逐渐成熟，所以对网络安全定期进行评估是不可缺少的。目前很多分析漏洞的工具都是可以直接从网站上得到的，网络系统管理工作者可以凭借这些工具来识别网络安全存在的漏洞。由此可知，安全分析工具在一定程度上不仅能强化安全力度，还能阻隔安全危害。

　　密码编码科学。密码编码科学在密码学中其实就是一门分支的科目，重点研究领域就是加密。

　　(1)安全保密性：提供那些被授权的用户访问网络和获取信息的服务，而非授权的网络用户通常都不理解具体信息。袭击者捕获、揭示数据信息都是很简单的。那么想要防止他们违法利用这些数据，通常可以对这些数据信息进行加密。

　　(2)完整全面性：给予保证数据信息在存储跟输送进程里不被未经授权就加以修改的一项服务。就拿下面例子来讲，用MD5校对并检测数据信息的完整全面性。校对的信息都是从文件里面提取、精炼出的，确定数据信息是否全面。攻击人也许是还能改数据信息再进行信息的伪造校对，如果是被保护的话，一般的修改都是不会被察觉的。

　　(3)不可否决性：给予阻止用户否决先前活动的一系列服务。一般分为对称性加密或者非对称性加密等。