谈计算机网络的防御技术.pdfVIP

信息产业 ·107· 谈计算机网络的防御技术 董桂荣 (黑河小多宝04~J,k有限公司，黑龙江 黑河 164300) 摘 要：要保护好 自己的网络不受攻击 就必须对攻击方法、攻击原理、攻击过程有深入的、详细的了解，只有这样才能更有效、更具有 针对性的进行主动防护 。下面就对攻击方法的特征进行分析，来研究如何对攻击行为进行检测与防御。 关键词 ：网络；攻击；防御；入侵检测系统 反攻击技术的核心问题是如何截获所有的网络信息。目前主要 大量的缓存来处理这些连接，并将 SYN ACK数据包发送回错误的 足通过两种途径来获取信息，一种是通过网络侦听的途径来获取所 IP地址，并一直等待ACK数据包的回应，最终导致缓存用完，不能再 有的舣『】络信息，这既是进行攻击的必然途径，也是进行反攻击的必要 处理其它合法的SYN连接，即不能对外提供正常服务。 途径；另一种是通过对操作系统和应用程序的系统 日志进行分析，米 检测方法：检查单位时间内收到的SYN连接否收超过系统设定 发现人侵行为和系统潜在的安全漏洞。 的值。 1攻击的主要方式 反攻击方法：当接收到大量的SYN数据包时，通知防火墙阻断连 对网络的攻击方式是多种多样的，一般来讲，攻击总是利用 “系 接请求或丢弃这些数据包，并进行系统审计。 统配置的缺陷”，“操作系统的安全漏洞”或 “通信协议的安全漏洞” 2．3TCP／UDP端 口扫描 来进行的。到 目前为止，已经发现的攻击方式超过 2000种，其中对绝 攻击类型：TCP／UDP端 口扫描是一种预探测攻击。 大部分攻击手段已经有相应的解决方法，这些攻击大概可以划分为 攻击特征：对被攻击主机的不同端 口发送TCP或UDP连接请 以下几类： 求探测被攻击对象运行的服务类型。 1．1拒绝服务攻击：一般情况下，拒绝服务攻击是通过使被攻击 检测方法：统计外界对系统端 [1的连接请求，特别是对21、23、 对象(通常是_丁作站或重要服务器)的系统关键资源过载，从而使被 25、53、80、8000、8080等以外的非常用端 口的连接请求。 攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有儿百 反攻击方法：当收到多个TCPU／DP数据包对异常端 口的连接请 种，它足最基本的入侵攻击手段，也是最难对付的入侵攻击之一，典 求时，通知防火墙阻断连接请求，并对攻击者的IP地址和 MAC地址 示例有 SYN Flood攻击 、PingFlood攻击、Land攻击 、WinNuke攻 进行审计。 击等。 对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不 1．2非授权访 问尝试：是攻击者对被保护文件进行读 、写或执行 但需要采用模式匹配的方法，还需要利用状态转移 、网络拓扑结构 的尝试，也包括为获得被保护访问权限所做的尝试。 等方法来进行入侵检测。 l-3预探测攻击：在连续的非授权访 问尝试过程中，攻击者为了 3入侵检测系统的几点思考 获得网络内部的信息及网络周围的信息，通常使用这种攻击尝试，典 入侵检测系统存在一些亟待解决的问题，主要表现在以下几个 型示例包括 SATAN扫描、端 口扫描和 IP半途扫描等。 方面 ： 1．4可疑活动：是通常定义的 “标准”网络通信范畴之外的活动， 3．1如何识别 “大规模的组合式、分布式的入侵攻击”目前还没 也町以指网络上不希望有 的活动，如 IPUnknownProtocol和 Dupli— 有较好的方法和成熟的解决方案。从Yahoo等著名 ICP的攻击事件 eateIPAddress事件等 。 中，我们了解到安全问题 13渐突出，攻击者的水平在不断地提高，加 1．5协议解码：协议解码可用于以上任何一种非期望的方法中，上Et趋成熟多样的