近期热点
·企业网络安全的规划设计与实践
·网络安全之我见
·制造执行系统(MES)的应用与发展
·基于PDM的工作流程管理
·<连载>Protel二次开发从入门到精通
·PDM选型决策支持系统的研究与实现
 相关文章
·基于TCP/IP的以太网LCD电子标签系统设计
·网络扫描技术及其安全防御策略研究
·基于TCP/IP的自动化
·基于Web的嵌入式DSP测控系统设计
·OSI七层网络模型与TCP/IP四层网络模型
·基于DataSocket技术的LabVIEW远程测控
 相关博客
·三巨头携手加强企业网络保护
·2007年产品创新数字化技术的应用趋势
·信息安全运营中心如何运用在大中型企业中
·网络安全铿锵三人行
·关于在技术部开展模块化工作的可行性报告
·RFID技术在肉食品生产安全管理中的最新应用
 相关新闻
 相关热贴
·TTCP/IP协议安全
·tcp/ip与HTTP,SS2,XML是怎样一个关系?
·【招聘】《TCP/IP技术》作者
·【招聘】《TCP/IP技术》作者
·益诚讯供应TCP/IP芯片和无线数传终端(GPRS/CDMA DTU)
·大家一起研究siemensPLCDE的tcp/ip协议
 相关商城商品
 
 
当前位置:基础信息化 -> 信息安全
 
TCP/IP网络的信息安全与防火墙技术
发表时间:2007-9-23 佚名   来源:网界网
关键字:TCP/IP 网络 信息安全 防火墙 技术 
本文向大家介绍TCP/IP网络的信息安全与防火墙技术

    2) 系统安全弱点的探测

    在收集到攻击目标的一批网络信息之后,黑客会探测网络上的每台主机,以寻求该系统的安全漏洞或安全弱点,黑客可能使用下列方式自动扫描驻留网络上的主机。

◆ 自编程序对某些产品或者系统,已经发现了一些安全漏洞,该产品或系统的厂商或组织会提供一些“补丁”程序给予弥补。但是用户并不一定及时使用这些“补丁”程序。黑客发现这些“补丁”程序的接口后会自己编写程序,通过该接口进入目标系统,这时该目标系统对于黑客来讲就变得一览无余了。

◆ 利用公开的工具象INTERNET的电子安全扫描程序IIS(INTERNET Security Scanner)、审计网络用的安全分析工具SATAN(Security Analysis Toolfor Auditing Network)等这样的工具,可以对整个网络或子网进行扫描,寻找安全漏洞。这些工具有两面性,就看是什么人在使用它们。系统管理员可以使用它们,以帮助发现其管理的网络系统内部隐藏的安全漏洞,从而确定系统中那些主机需要用“补丁”程序去堵塞漏洞。而黑客也可以利用这些工具,收集目标系统的信息,获取攻击目标系统的非法访问权。

    3) 网络攻击

    黑客使用上述方法,收集或探测到一些“有用”信息之后,就可能会对目标系统实施攻击。黑客一旦获得了对攻击的目标系统的访问权后,又可能有下述多种选择:

◆ 该黑客可能试图毁掉攻击入侵的痕迹,并在受到损害的系统上建立另外的新的安全漏洞或后门,以便在先前的攻击点被发现之后,继续访问这个系统。

◆ 该黑客可能在目标系统中安装探测器软件,包括特洛伊木马程序,用来窥探所在系统的活动,收集黑客感兴趣的一切信息,如Telnet和FTP的帐号名和口令等等。

◆黑客可能进一步发现受损系统在网络中的信任等级,这样黑客就可以通过该系统信任级展开对整个系统的攻击。

◆如果该黑客在这台受损系统上获得了特许访问权,那么它就可以读取邮件,搜索和盗窃私人文件,毁坏重要数据,破坏整个系统的信息,造成不堪设想的后果。

    3 拒绝服务攻击

    和上述的系统信息隐患所不同的是,INTERNET上还存在这一类恶意攻击,称之为拒绝服务攻击(Dos),这种攻击所造成的后果,虽不同于信息失窃,但会造成网络严重瘫痪,无法提供正常的服务。

    DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,无法响应其他的请求。这些服务资源包括网络带宽、文件系统空间容量、开放的进程或者向内的连接等等。这种攻击会导致资源的匮乏,多数的DoS攻击需要相当大的带宽的,恶意的攻击者为了利用较小的个人带宽去消耗大量的带宽而开发了分布式的攻击,他们可以利用工具集合许多的网络带宽来对同一个目标发送大量的请求。

    较为常见的基于网络的拒绝服务攻击有:

◆Smurf (directed broadcast) 这是基于ICMP的拒绝服务攻击,ICMP是一个在主机和网关之间消息控制和差错报告协议,IP并非设计为绝对可靠,这个协议的目的是为了当网络出现问题的时候返回控制信息,它并不保证数据报或控制信息能够返回,一些数据报仍将在没有任何报告的情况下丢失。上层协议必须使用自己的差错控制程序来判断通信是否正确,ICMP信息通常会报告在处理数据报过程中的错误。当网络中的某台机器使用广播地址发送一个ICMP echo请求包时(例如PING),处于该广播网段的主机均会回应一个ICMP echo回应包,也就是说,发送一个包会收到许多的响应包。Smurf攻击就是使用这个原理来进行的,如果在网络中发送源地址为被攻击主机的地址、目的地址为广播地址的包,被攻击主机就会被这些大量的回应所淹没(因为他的地址被攻击者假冒了)。这些smurf工具可以在www.netscan.org网站上获得,许多网站至今仍有很多的这种漏洞。

◆ SYN flooding 在TCP层的标准的TCP握手需要三次包交换来建立。一台服务器一旦接收到客户机的SYN包后必须回应一个SYN/ACK包,然后等待该客户机回应给它一个ACK包来确认,才真正建立连接。然而,如果此时只发送初始化的SYN包,而不发送确认服务器的ACK包会导致服务器一直等待ACK包。由于服务器在有限的时间内只能响应有限数量的连接,这就会导致服务器一直等待回应而无法响应其他机器进行的连接请求。

◆ Slashdot effect 这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载,一般这些网络流量是针对某一个页面或一个链接而产生的。当然这种现象也会在访问量较大的网站上正常发生,因为正常情况下一个服务器承受过多的用户服务请求也会同样过载。

◆分布式攻击 有些程序如Tribe Flood Network (tfn) 和tfn2k,可以使得分散在互连网各处的机器共同完成对一台主机攻击的操作,从而使主机看起来好象是遭到了不同位置的许多主机的攻击。这些分散的机器由几台主控制机操作进行诸如UDP flood, SYN flood攻击。

 
<<首页 <上一页  1  2  3  4  下一页>  末页>>  
4页,当前第2
责任编辑:郑兆丰