网络攻击与防御基本技术_网络层的攻击预防

网络攻击无所不用其极，对于网络攻击我们应当如何预防？

面对网络攻击，我们应该要及时向有关部门报警。在日常生活当中，不应该随意点击陌生链接。

网络科技目前是非常先进的，而且网络已经离不开我们的生活。无论是普通的办公以及日常生活，我们都能够看到网络的身影。除此之外很多人也喜欢在网络的账号当中存储个人信息，究竟是有很多机密信息。但是网络也并不是我们想象当中那样安全，也会存在窃取个人信息的情况发生。要知道网络是一个开放世界，并没有绝对的私人空间。

网络攻击无所不用其极。

目前全世界的网络科技是非常发达的，尤其是全球网络都是处于同一个平台当中。每个国家的网络都是有联系的，因此这也直接导致网络攻击的手段频繁发生。每当某地区发生严重的以及相应的热点事件之后，那么相关网站以及个人用户都会遭受到很多网络攻击。会直接导致网站的瘫痪，以及大量的用户数据遭到泄露。

向有关部门报警。

虽然网络是开放世界，那么这也意味着任何人都能够通过违法手段窃取个人信息。如果我们在日常生活当中，遭遇到了网络攻击，一定要及时向有关的信息安全部门报警。网络安全是非常重要的，个人信息的安全与否，关乎每一个人的财产安全。很多情况之下，居民的财产发生损失，都是由于存储在网络当中的身份信息遭到泄露而造成的。

不要随意点击陌生链接。

要想应对网络攻击，首先必须要从公民自己做起。我们在网络上浏览或者与他人聊天的时候，对他人发送的相关陌生链接，千万不能够随意点击。很多木马病毒以及网络入侵手段，都是通过这种方法。当我们点击陌生链接的时候，那么将会为网络黑客打开了入侵的通道。个人的身份信息将会遭到泄露，所带来的后果是非常严重的。

简述针对操作系统层的网络攻击及防御

温州职业技术学院

2011/ 2012学年第一学期《网络攻防》试卷（A）卷

适用班级 网络0901/0902_（开）卷 总页数共_3_页

班级_网络0902_ 姓名___ 学号__ 成绩_____

一． 简述针对物理层的网络攻击及防御？（10分）

攻击：网络物理层最重要的攻击主要有直接攻击和间接攻击，直接攻击时指：直接对硬件进行攻击，间接攻击是指对间接的攻击物理介质，如复制或sinffer，把信息原样的传播开来

防御：物理层信息安全主要包括防止物理通路的损坏、通过物理通路窃听、对物理通路的攻击(干扰)等；

二．简述针对操作系统层的网络攻击及防御？（20分）

网络攻击的步骤一般可分为以下几步：

1． 收集目标的信息

2． 寻求目标计算机的漏洞和选择合适的入侵方法

3． 留下“后门”

4． 清除入侵记录

攻击：黑客、病毒、木马、系统漏洞

防御：打开防火墙，杀毒软件等，关闭远程登入、漏洞的修补，不明网站不打开。

三．简述针对网络层的网络攻击及防御？（20分）

攻击：网络层攻击的类型可以分：首部滥用、利用网络栈漏洞带宽饱和

IP地址欺骗、Nmap ICMP Ping扫描，Smurf攻击、Ddos攻击网络层过滤回应，伪造，篡改等

防御：网络层的安全需要保证网络只给授权的客户提供授权的服务，保证网络路由正确，避免被拦截或监听，设置防火墙；

四．简述针对应用层的网络攻击及防御？（20分）

攻击：在对应用层的攻击中，大部分时通过HTTP协议(80端口)进行。恶意脚本 还有Cookie投毒 隐藏域修改 缓存溢出 参数篡改 强制浏览 已知漏洞攻击

Ddos攻击

SQL注入

CSS攻击

防御：对应用层的防范通常比内网防范难度要更大，因为这些应用要允许外部的访问。防火墙的访问控制策略中必须开放应用服务对应的端口，如web的80端口。这样，黑客通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计，所以同样无法检测对相应协议漏洞的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足，对特定应用进行有效保护。

五、论述如何构建一个如图所示的企业安全内联网Intranet安全防御体系？（30分）

注意：安全防御体系包括总公司网络和分公司网络互联，远程拔号接入等

核心层采用快速以太网或以上类型组建全动态交换式网络。汇聚层采用100M或以上进行链接，接入层采用交换式10M进行链接。

以TCP/IP协议作为基础，以WEB为核心应用，构成统一和便利的信息交换平台在内网服务器上安装杀毒、防火墙软件辅以一定的访问控制策略并及时更新补丁等多项安全措施相结合的综合安全防护体系。

设定有限的网络管理即制定一套对计算机网络进行规划、设计、操作运行、管理、监控、分析等手段，充分应用资源提供可靠地服务。

对边缘交换机进行地址转换。采用3A认证、VPN通道加密、LAN技术隔离、备份线路、数据备份、带有网管系统，有个标准的通信协议，有防火墙，在非军事化区

放置对外的服务器。

如何防止局域网内的网络攻击

网络攻击是近来常发生的问题，可以分为遭受外网攻击及内网攻击。以下分别说明:

1、外部来的DoS攻击会造成网络掉线，判别方法是从路由器的系统日志文件中可以看出，Qno侠诺的路由器会显示遭受攻击，而且路由器持续在工作。其它品牌的路由器，有些也有相关的功能，用户可以查看使用手册。DoS病毒攻击，如SYN攻击，因为发出大量数据包导致系统资源占用过多，使路由器损耗效能造成网络壅塞，达到瘫痪网吧网络对于广域网来的攻击，路由器能作的不多，也无法反击。此时，网吧管理者或网管应直接联系对应的运营商，请求更换WAN IP。

2、内网遭受DoS攻击时，也会造成掉线或壅塞。网吧管理者或网管可以从被激活的告警日志中，查找到内网攻击源头的中毒机器，第一时间先拔除PC机网络线，阻止DoS攻击影响扩大，并进行杀毒或重新安装系统。

3、内网遭受冲击波攻击是另一个原因，冲击波攻击，是针对网络特定服务端口(TCP/UDP 135~139，445)发出大量数据包导致系统资源占用过多，使路由器损耗效能造成网络壅塞，以达到瘫痪网吧网络的目的。同样网吧管理者或网管可以从Qno侠诺被激活的告警日志中，发现问题。 网吧管理者或网管可以针对特定服务端口(TCP/UDP 135~139，445)设置网络存取条例，并从被激活的防火墙日志中，查找到内网攻击源头的中毒机器，第一时间先拔除PC机网络线，阻止冲击波攻击影响扩大，并进行杀毒或重新安装系统。

4、内网遭受ARP攻击是最近常发生的原因，ARP病毒攻击以窜改内网PC机或路由器 IP或MAC地址，来达到盗取用户账号/密码，进一步进行网络盗宝等犯罪行为，或是恶意瘫痪网吧网络。ARP病毒攻击会造成内网IP或MAC冲突，出现短时间内部份断线。网吧要确定网吧已做好Qno侠诺路由器及内网PC机端双向绑定IP/MAC地址的防制工作，内网所有的PC机与路由器IP/MAC地址对应关系都被保存到路由器的ARP缓存表中，不能被轻易更改。此时ARP攻击虽然并不会扩及其它PC机，但网吧管理者或网管还是必须立即查找出内网攻击源头的中毒机器，进行杀毒或重新安装系统。路由器内建ARP病毒来源自动检测工具，系统日志中可提供攻击源的IP或MAC地址，帮助网吧进行查找攻击源机器。有些高阶路由器也都有相仿的设计。

网络遭受攻击，可从路由器相关功能找出遭受攻击类型，网吧管理者或网管查找、直击攻击源加以隔离与排除，在攻击发起时即能迅速加以解决，无需等到客人反应受到影响。

另外网络的雍堵也可能造成掉线.

1、短暂网络壅塞，有可能是网吧内突发的带宽高峰，网吧管理员或网管应关注路由器的带宽统计，可先持续关注状况。若是尖峰时段，网吧客人较多，带宽也会比较吃紧，或是有用户使用BT、P2P软件做大量上传，占用大量带宽，造成网络卡。网吧管理员或网管此时应设置QoS流量管理规范内网用户最大使用带宽，才能让网络联机恢复正常，解决壅塞情况。

2、尖峰时段持续性壅塞，是有用户使用BT、P2P 软件进行大量下载，或在线观看电影、视讯等占用大量带宽行为。若是用户观看电影人数很多，网吧应考虑于内网安装电影服务器供用户使用，才不致因观看影片人多占用对外带宽。对于大量下载，则应考虑建置内部私服加以改善。

3、若是长时间从路由器看到带宽占用率高，有可能表示网吧根本带宽不足，线路带宽过小，不足以提供目前在线众多人数使用，应考虑加大线路带宽。这时就可利用多WAN口特性进行带宽的升级，解决带宽不足的问题。

措施:基于路由器的防范方法

一．内部PC基于IP地址限速

现在网络应用众多，BT、电驴、迅雷、FTP、在线视频等，都是非常占用带宽，以一个200台规模的网吧为例，出口带宽为10M，每台内部PC的平均带宽为50K左右，如果有几个人在疯狂的下载，把带宽都占用了，就会影响其他人的网络速度了，另外，下载的都是大文件，IP报文最大可以达到1518个BYTE，也就是1.5k，下载应用都是大报文，在网络传输中，一般都是以数据包为单位进行传输，如果几个人在同时下载，占用大量带宽，如果这时有人在玩网络游戏，就可能会出现卡的现象。

一个基于IP地址限速的功能，可以给整个网吧内部的所有PC进行速度限制，可以分别限制上传和下载速度，既可以统一限制内部所有PC的速度，也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢？和具体的出口带宽和网吧规模有关系，不过最低不要小于40K的带宽，可以设置在100-400K比较合适。

二：内部PC限制NAT的链接数量

NAT功能是在网吧中应用最广的功能，由于IP地址不足的原因，运营商提供给网吧的一般就是1个IP地址，而网吧内部有大量的PC，这么多的PC都要通过这唯一的一个IP地址进行上网，如何做到这点呢？

答案就是NAT（网络IP地址转换）。内部PC访问外网的时候，在路由器内部建立一个对应列表，列表中包含内部PCIP地址、访问的外部IP地址，内部的IP端口，访问目的IP端口等信息，所以每次的ping、QQ、下载、WEB访问，都有在路由器上建立对应关系列表，如果该列表对应的网络链接有数据通讯，这些列表会一直保留在路由器中，如果没有数据通讯了，也需要20-150秒才会消失掉。（对于RG-NBR系列路由器来说，这些时间都是可以设置的）

现在有几种网络病毒，会在很短时间内，发出数以万计连续的针对不同IP的链接请求，这样路由器内部便要为这台PC建立万个以上的NAT的链接。

由于路由器上的NAT的链接是有限的，如果都被这些病毒给占用了，其他人访问网络，由于没有NAT链接的资源了，就会无法访问网络了，造成断线的现象，其实这是被网络病毒把所有的NAT资源给占用了。

针对这种情况，不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能，可以统一的对内部的PC进行设置最大的NAT的链接数量设置，也可以给每台PC进行单独限制。

同时，这些路由器还可以查看所有的NAT链接的内容，看看到底哪台PC占用的NAT链接数量最多，同时网络病毒也有一些特殊的端口，可以通过查看NAT链接具体内容，把到底哪台PC中毒了给揪出来。

三：ACL防网络病毒

网络病毒层出不穷，但是道高一尺，魔高一丈，所有的网络病毒都是通过网络传输的，网络病毒的数据报文也一定遵循TCP/IP协议，一定有源IP地址，目的IP地址，源TCP/IP端口，目的TCP/IP端口，同一种网络病毒，一般目的IP端口是相同的，比如冲击波病毒的端口是135，震荡波病毒的端口是445,只要把这些端口在路由器上给限制了，那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了，内部的网络病毒发起的报文，由于在路由器上作了限制，路由器不加以处理，则可以降低病毒报文占据大量的网络带宽。

优秀的网吧路由器应该提供功能强大的ACL功能，可以在内部网接口上限制网络报文，也可以在外部王接口上限制病毒网络报文，既可以现在出去的报文，也可以限制进来的网络报文。

四：WAN口防ping功能

以前有一个帖子，为了搞跨某个网站，只要有大量的人去ping这个网站，这个网站就会跨了，这个就是所谓的拒绝服务的攻击，用大量的无用的数据请求，让他无暇顾及正常的网络请求。

网络上的黑客在发起攻击前，都要对网络上的各个IP地址进行扫描，其中一个常见的扫描方法就是ping，如果有应答，则说明这个ip地址是活动的，就是可以攻击的，这样就会暴露了目标，同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求，也会把网吧的RG-NBR系列路由器拖跨掉。

现在多数网吧路由器都设计了一个WAN口防止ping的功能，可以简单方便的开启，所有外面过来的ping的数据报文请求，都装聋作哑，这样既不会暴露自己的目标，同时对于外部的ping攻击也是一个防范。

五：防ARP地址欺骗功能

大家都知道，内部PC要上网，则要设置PC的IP地址，还有网关地址，这里的网关地址就是NBR路由器的内部网接口IP地址，内部PC是如何访问外部网络呢？就是把访问外部网的报文发送给NBR的内部网，由NBR路由器进行NAT地址转发后，再把报文发送到外部网络上，同时又把外部回来的报文，去查询路由器内部的NAT链接，回送给相关的内部PC，完成一次网络的访问。

在网络上，存在两个地址，一个是IP地址，一个是MAC地址，MAC地址就是网络物理地址，内部PC要把报文发送到网关上，首先根据网关的IP地址，通过ARP去查询NBR的MAC地址，然后把报文发送到该MAC地址上，MAC地址是物理层的地址，所有报文要发送，最终都是发送到相关的MAC地址上的。

所以在每台PC上，都有ARP的对应关系，就是IP地址和MAC地址的对应表，这些对应关系就是通过ARP和RARP报文进行更新的。

目前在网络上有一种病毒，会发送假冒的ARP报文，比如发送网关IP地址的ARP报文，把网关的IP对应到自己的MAC上，或者一个不存在的MAC地址上去，同时把这假冒的ARP报文在网络中广播，所有的内部PC就会更新了这个IP和MAC的对应表，下次上网的时候，就会把本来发送给网关的MAC的报文，发送到一个不存在或者错误的MAC地址上去，这样就会造成断线了。

这就是ARM地址欺骗，这就是造成内部PC和外部网的断线，该病毒在前一段时间特别的猖獗。针对这种情况，防ARP地址欺骗的功能也相继出现在一些专业路由器产品上。

六：负载均衡和线路备份

举例来说，如锐捷RG-NBR系列路由器全部支持VRRP热备份协议，最多可以设定2-255台的NBR路由器，同时链接2-255条宽带线路，这些NBR和宽带线路之间，实现负载均衡和线路备份，万一线路断线或者网络设备损坏，可以自动实现的备份，在线路和网络设备都正常的情况下，便可以实现负载均衡。该功能在锐捷的所有的路由器上都支持。

而RG-NBR系列路由器中的RG-NBR1000E，更是提供了2个WAN口，如果有需要，还有一个模块扩展插槽，可以插上电口或者光接口模块，同时链接3条宽带线路，这3条宽带线路之间，可以实现负载均衡和线路备份，可以基于带宽的负载均衡，也可以对内部PC进行分组的负载均衡，还可以设置访问网通资源走网通线路，访问电信资源走电信线路的负载均衡。

有谁知道网络攻击的种类和预防？

随着INTERNET的进一步发展，各种网上活动日益频繁，尤其网上办公、交易越来越普及，使得网络安全问题日益突出，各种各样的网络攻击层出不穷，如何防止网络攻击，为广大用户提供一个安全的网络环境变得尤为重要。

1 网络攻击概述

网络安全是一个永恒的话题，因为计算机只要与网络连接就不可能彻底安全，网络中的安全漏洞无时不在，随着各种程序的升级换代，往往是旧的安全漏洞补上了，又存在新的安全隐患，网络攻击的本质实际上就是寻找一切可能存在的网络安全缺陷来达到对系统及资源的损害。

网络攻击一般分为三个阶段：

第一阶段：获取一个登录账号

对UNLX系统进行攻击的首要目标是设法获取登录账号及口令，攻击者一般先试图获取存在于/etc/passwd或NIS映射中的加密口令文件，得到该口令文件之后，就对其运行Crack，借助于口令字典，Crack甚至可以在几分钟内破译一个账号。

第二阶段：获取根访问权

进入系统后，入侵者就会收集各种信息，寻找系统中的种种漏洞，利用网络本身存在的一些缺陷，设法获取根访问权，例如未加限制的NFS允许根对其读和写。利用NFS协议，客户给与服务器的安装守护程序先交换信息，信息交换后，生成对NFS守护程序的请求，客户通过这些请求对服务器上的文件进行读或写操作。因此，当客户机安装文件系统并打开某个文件时，如果入侵者发出适当各式的UDP数据报，服务器就将处理NFS请求，同时将结果回送客户，如果请求是写操作，入侵者旧可以把信息写入服务器中的磁盘。如果是读操作，入侵者就可以利用其设置于服务器和客户机之间的窥探器了解服务器磁盘中的信息，从而获得根访问权。

第三阶段：扩展访问权

一旦入侵者拥有根访问权，则该系统即可被用来供给网络上的其他系统。例如：可以对登录守护程序作修改以便获取口令：增加包窥探仪可获取网络通信口令：或者利用一些独立软件工具动态地修改UNLX内核，以系统中任何用户的身份截击某个终端及某个连接，获得远程主机的访问权。

2 攻击的种类及其分析

普通的攻击一般可分以下几种：

2.1 拒绝服务攻击

拒绝服务攻击不损坏数据，而是拒绝为用户服务，它往往通过大量不相关的信息来阻断系统或通过向系统发出会，毁灭性的命令来实现。例如入侵者非法侵入某系统后，可向与 之相关连的其他系统发出大量信息，最终导致接收系统过载，造成系统误操作甚至瘫痪。这种供给的主要目的是降低目标服务器的速度，填满可用的磁盘空间，用大量的无用信息消耗系统资源，是服务器不能及时响应，并同时试图登录到工作站上的授权账户。例如，工作站向北供给服务器请求NISpasswd信息时，攻击者服务器则利用被攻击服务器不能及时响应这一特点，替代被攻击服务器做出响应并提供虚假信息，如没有口令的纪录。由于被攻击服务器不能接收或及时接收软件包，它就无法及时响应，工作站将把虚假的响应当成正确的来处 理，从而使带有假的passwd条目的攻击者登录成功。2.2 同步（SYN）攻击 同步供给与拒绝服务攻击相似，它摧毁正常通信握手关系。在SYN供给发生时，攻击者的计算机不回应其它计算机的ACK，而是向他发送大量的SYN ACK信息。通常计算机有一缺省值，允许它持特定树木的SYN ACK信息，一旦达到这个数目后，其他人将不能初始化握手，这就意味着其他人将不能进入系统，因此最终有可能导致网络的崩溃。2.3 Web欺骗攻击Web欺骗的关键是要将攻击者伪造的Web服务器在逻辑上置于用户与目的Web服务器之间，使用户的所有信息都在攻击者的监视之下。一般Web欺骗使用两种技术：URL地址重写技术和相关信息掩盖技术。　利用URL地址重写技术，攻击者重写某些重要的Web站点上的所有URL地址，使这些地质均指向攻击者的Web服务器，即攻击者可以将自己的Web站点的URL地址加到所有URL地址的前面。例如，设攻击者的Web站点的URL地址为： ,合法Web站点上的URL地址为 ,经重写后，该地址可以被加到合法URL地址 之前，即 .当用户与站点进行安全链接时，则会毫无防备地进入攻击者服务器。此时用户浏览器首先向攻击者服务器请求访问，然后由攻击者服务器向真正的目标服务器请求访问，目标服务器向攻击服务器传回相关信息，攻击者服务器重写传回页面后再传给用户。此时浏览器呈现给用户的的确是一个安全链接，但连接的对象却是攻击者服务器。用户向真正Web服务器所提交的信息和真正Web服务器传给用户的所有信息均要经过攻击者服务器，并受制于它，攻击者可以对所有信息进行记录和修改。由于浏览器一般均设有地址栏和状态栏，当浏览器与某个站点连接时，可以在地址栏中和状态栏中获取连接中的Web站点地址及相关的传输信息，用户可由此发现问题，所以一般攻击者往往在URL地址重写的同时，利用相关信息掩盖技术即一般用的JavaScript程序来地址栏和状态栏信息，以达到其掩盖欺骗的目的。

2.4 TCP/IP欺骗攻击

IP欺骗可发生在IP系统的所有层次上，包括硬件数据链路层、IP层、传输层及应用层均容易受到影响。如果底层受到损害，则应用层的所有协议都将处于危险之中。另外，由于用户本身不直接与底层结构相互交流，有时甚至根本没有意识到这些结构的存在，因而对底层的攻击更具欺骗性。

IP欺骗供给通常是通过外部计算机伪装成另一台合法机器来实现的。他能破坏两台机器间通信链路上的正常数据流，也可以在通信链路上插入数据，其伪装的目的在于哄骗网络中的其他机器误将攻击者作为合法机器而加以接受，诱使其他机器向它发送数据或允许它修改数据。

由于许多应用程序最初设计时就是把信任建立于发送方IP地址的薄，即如果包能够使其置身沿着陆由到达目的地，并且应答包也可以回到原地，则可以肯定源IP地址是有效的。因此一个攻击者可以通过发送有效IP源地址属于另一台机器的IP数据报来实施欺骗。

一方面现有路由器的某些配置使得网络更容易受到IP欺骗攻击。例如有些路由器不保护IP包端口源的信息，来自端口的所有IP包被装入同一个队列然后逐个处理。假如包指示IP源地址来自内部网络，则该包可转发。因此利用这一点网络外不用户只要设法表明是一种内部IP地址即可绕过路由器法送报。

另一方面，攻击者使用伪造的IP地址发送数据报，不仅可以获取数据报特有的有效请求，还可以通过预测TCP字节顺序号迫使接收方相信其合法而与之进行连接，从而达到TCP欺骗连接。

一个TCp连接包括三个阶段：（１）建立连接：（２）数据交换：（３）断开连接。其中最关键的就是数据交换。TCP协议为每个数据字节分配自己的顺序号，每个TCP头包含一个顺序域。TCP数据交换中客户方以发送带有SYN标志的TCP头为开始，发送一个或多个TCP/IP数据包，接受方回送包含SYN及ACK标志的头答复送方的ＳＹＮ头。

初始的顺序号是随机的，当接受方接收到客户的序列号后首先要进行确认，如果确认号域有效，它就对应于下一个期望数据字节的顺序号，并设置ACK标志。攻击者利用伪造的IP地址成功地发送数据报后，只是获得这些数据报特有的有效请求，要获得些请求的答复还必须预测到TCP顺序号。攻击者对顺序号的预测是一个估计与猜测的过程。攻击者可以在客户与服务器之间设置窥探仪来确定初始顺序号，一旦攻击者获取了连接的初始顺序号，就可以通过估算发送者发送给接收者的TCP/IP数据量计算出下一个期望的顺序号，即下一个期望的顺序号为：数据量＋初始顺序号。而事实上，一些TCP/IP实现并不完全采用随机方式分配初始顺序号，而是由一个简单的随机数生成器产生。这种生成器按某种固定的次序产生数据，因此实际上可能的初始顺序号只能在一个有限的范围内，这样预测起来就会更加方便。预测获得的顺序号只是一个估计值，它一般可分为三种情况考虑。

第一种情况：预测值正好等于下一顺序号

若伪造的数据保迟于合法数据报到达，且其包含的数据报少于合法数据报，则接收方将完全丢弃伪造的数据报；如果伪造数据包包含的数据多于合法数据报，则接收方将接收伪造数据报中顺序号大于合法数据报的那部分内容，同时丢弃顺序号与合法数据报重叠部分的内容；若伪造的数据报早于合法数据报到达，则接收方将丢弃合法数据报内容。

第二种情况：预测值大于下一个顺序号

在这种情况下，接收方将丢弃其中超过窗口域（即输入缓冲区）中的部分内容，而将前面部分内容放入缓冲区中，待下一期望顺序号与第一个伪造数据报字节顺序号间的空当被合法数据填满之后，再未接收方接收。

第三种情况：预测值小于下一个顺序号

在这种情况下，伪造数据报中的前面部分内容肯定会被丢弃，但是如果伪造数据报内容足够多，则接收方有可能接受其后面的内容。

3 网络上常见的几种攻击方式及其防范

3.1 密码攻击

用户在拨号上网时，如果选择了“保存密码”的功能，则上网密码将被储存在windows目录中，以“username.pwl”的形式存放。如果不小心被别人看到这个文件，那就麻烦了，因为从网上可以很轻松地找到诸如pwlview这样的软件来观看其中的内容，那上网密码就泄漏了。

有的人使用名字、生日、电话号码等来做密码，更有的人的密码干脆和用户名一样，这样的密码，在黑客攻击软件庞大的字典文件面前简直是不堪一击。

那么该如何防范密码不被攻击呢？应从以下方面入手：（1）不用生日、电话号码、名字等易于猜到的字符做密码。（2）上网时尽量不选择保存密码。（3）每隔半个月左右更换一次密码，不要怕麻烦。

3.2 木马程序攻击

木马程序是一种特殊的病毒，它通过修改注册表等手段使自己悄悄地潜伏在系统中，在用户上网后，种植木马的黑客就可以通过服务器端木马程序控制你的计算机，获取你的口令等重要信息，其危害性非常大。

预防木马程序应从以下几方面入手：（1）加载反病毒防火墙。（2）对于不明来历的电子邮件要谨慎对待，不要轻易打开其附件文件。（3）不要随便从网络上的一些小站点下载软件，应从大的网站上下载。

3.3 垃圾邮件攻击

垃圾邮件是指向他人电子信箱发送未经许可的，难以拒绝的电子邮件或电子邮件列表，其内容包括广告信息、电子杂志、网站信息等。用户的电子信箱被这些垃圾邮件充斥后，会大大占用网络资源，导致网络阻塞，严重的还会使用户的邮箱被“炸”掉，使邮箱不能正常工作。

防范垃圾邮件应从以下方面入手：（1）申请一个免费的电子信箱，用于对外联系。这样就算信箱被垃圾邮件轰炸，也可以随时抛弃。（2）申请一个转信信箱，经过转信信箱的过滤，基本上可以清除垃圾邮件。（3）对于垃圾邮件切勿应答。（4）禁用Cookie。Cookie是指写到硬盘中一个名为cookies.txt文件的一个字符串，任何服务器都可以读取该文件内容。黑客也可以通过Cookie来跟踪你的上网信息，获取你的电子信箱地址。为避免出现这种情况，可将IE浏览器中的Cookie设置为“禁止”。

3.4 通过聊天软件攻击

用户在用聊天软件聊天时，黑客用一些小软件就可查出对方聊天者的IP地址，然后通过IP炸弹阮家对用户的机器进行轰炸，使之蓝屏或死机。防范聊天软件供给应从以下方面入手：（1）利用代理服务器上网，这样可以隐藏自己的IP地址。（2）安装防火墙软件，利用防火墙阻挡对方的攻击。（3）升级操作系统，如升级到win2000等，其安全性会比win95/98系统有很大的提高。

4 网络攻击的六大趋势

4.1 自动化程度和攻击速度提高

攻击工具的自动化水平不断提高。自动化攻击涉及四个阶段，每个阶段都出新变化。

扫描可能的受害者。自1997年起，广泛的扫描变得司空见惯。目前，扫描工具利用更先进的扫描模式来改善扫描效果和提尕澳扫描速度。

损害脆弱的系统。以前，安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分，从而加快了攻击的传播速度。

传播攻击。在2000年之前，攻击工具需要人来发动新一轮攻击。目前，攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播，在不到18个小时内就达到全球饱和点。

攻击工具的协调管理。随着分布式攻击工具的出现，攻击者可以管理和协调公布在许多Internet系统上的大量一部书的攻击工具。目前，分布式攻击工具能够更有效地发动拒绝服务攻击，扫描潜在的受害者，危害存在安全隐患的系统。

4.2 攻击工具越来越复杂

攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比，攻击工具的特征更难发现，更难利用特征进行检测。攻击工具有三个特点：反侦破，攻击者采用隐蔽攻击工具特性的技术，这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多；动态行为，早期的攻击工具是以但已确定的顺序执行攻击步骤，今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理，来变化它们的模式和行为；攻击工具的成熟性，与早期的攻击工具不同，目前攻击工具可以通过升级或更换工具的一部分迅速变化，发动迅速变化的功绩，且在每一次攻击中会出现多种不同形态的攻击工具。

4.3 发现安全漏洞越来越快

新发现的安全漏洞每年都要增加一倍，管理人员不断用最新的补丁修复这些漏洞，而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。

4.4 越来越高的防火墙渗透率

防火墙使人们牙防反入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙。例如，(IPP Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。

4.5 越来越不对称的威胁

Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的阿安全状态。由于攻击技术的进步，一个攻击者可以比较容易地利用分布式系统，对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技术的提高，威胁的不对称性将继续增加。

4.6 对基础设施将形成越来越大的威胁

基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务，基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统DNS的攻击和对路由器攻击或利用路由器的攻击。

5 个人用户防护策略

针对一些常用的攻击方法、手段，个人用户有必要采取一些安全的防范措施，下面介绍一些可行的防范实例。

5.1 经常检查系统信息

上网过程中，如果感觉计算机有异常状态，如运行速度变慢，某些软件运行出错，不受控制等情况，应停下来检查一下系统运行状况。一是观看系统资源的使用状态，二是按“Ctrl+Alt+Del”复合键来查看系统正在运行的程序，看是否有其他程序在运行。如有自己部熟悉或自己并没有运行的程序在列表里面，应立即终止其运行，以防后患。

5.2 检测并清除木马程序

如果你的电脑一旦被人为诸如木马程序，就会被人操纵，以致出现死机，数据文件被删除等现象。这时候可以通过查看注册表，看注册表中\HKEY LOCAL MACHINE\HKEY.LOCAL_MACHINE\Softwere\Microsoft\Windows\CurrenVersion\kun下面类似Netspy.exe或空格.exe或其他可疑的文件名，如果有，则尽快闪出相应的键值，在查找到住在机内的相应的程序，并把它删除。

5.3 保护入网账号和口令

在Windows目录下经常有一些以“.pwl”为后追名的文件，这些文件作为密码保存之用，如开启Exchange电子信箱的密码、开机口令等信息就保存在以“.pwl”为后缀名的文件中。有些黑客可以运用一些专用软件来破解Windows95/98种的pwl文件，以很快的速度便可以直接读出pwl中的开机口令、用户名等加密数据信息。对于这种情况，最安全的方法是不用Windows95/98自动即以密码功能这一项，这样pwl文件中就没有任何加密信息流下，破解软件也无从下手。另外，对付这种情况也有较为直接的方法，就是经常删除这些以”.pwl”为后缀名的文件，以免将密码留在硬盘上。

5.4 保护好自己的IP地址

国内用户很多是通过163电话拨号的方式上网的，某些恶意破坏者往往通过跟踪上网账号并从用户信息中找IP，或者等待BBS、聊天室纪录的IP或者通过ICQ获取IP。为防止用户非法获取个人用户的IP地址信息，最好采用如下两种安全措施：一是使用代理服务器进行中转，这样用户上网是不需要真实的IP地址，别人也就无法获取自己的IP地址信息。二是注意避免在某些会显示IP的BBS和聊天室上暴露自己的IP地址。

5.5 屏蔽ActiveX控件

由于ActiveX控件可以被嵌入到HTML页面中，并下再到浏览器端加以执行，因此会给浏览器造成一定程度上的安全威胁。所以，用户如果要保证自己在因特网上的信息绝对安全，可以屏蔽掉这些可能对计算机安全构成威胁的ActiveX控件，具体操作步骤为：首先用鼠标单击菜单栏中的“工具”菜单项，并从下拉菜单中选择“Internet选项”：接着在选项设置框中选中“安全”标签，并单击标签中的“自定义级别”按钮：同时在打开的“安全设置”对话框中找到关于ActiveX控件的设置，然后选择“禁用”或“提示”。

5.6 使用“拨号后出现终端窗口”要小心

选中某一连接，单击鼠标右键，选“属性-常规-配置-选项-拨号后出现终端窗口”,然后拨号时,在拨号界面上不要填入用户名和密码（更不能选中“保存密码”项），在出现拨号终端口后再进行相应的输入，这可以避免用户名和密码被记录到硬盘上的密码文件中，同时，也可以避免某些黑客程序捕获用户名和密码。

5.7 拒绝“饼干”信息

许多网站会用不易觉察的技术，暗中搜集你填写的表格中的电子邮件地址信息，最常见的就是利用饼干程序（cookie）记录访客上网的浏览行为和习惯。如果你不想随便让饼干程序（cookie）来记录你个人的隐私信息，可以在浏览器中作一些必要的设置，要求浏览器在接受cookie之前提醒你，或者干脆拒绝它们。屏蔽cookie的操作步骤为：首先用鼠标单击菜单栏中的“工具”菜单项，并从下拉菜单中选择“Internet选项”：接着在选项设置框中选中“安全”标签，并单击标签中的“自定义级别”按钮：同时在打开的“安全设置”对话框中找到关于cookie的设置，然后选择“禁用：或“提示”即可。

5.8 不使用“MYDocuments”文件夹存放Word、Excel文件

Word、Excel默认的文件存放路径是根目录下的“MYDocuments”文件夹，在特洛伊木马把用户硬盘变成共享硬盘后，入侵者从这个目录中的文件名一眼就能看出这个用户是干什么的，这个目录几乎就是用户的特征标示，所以为安全起见应把工作路径改成别的目录，并且参差越深越好。

5.9 加密保护电子邮件

由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息，而且随着互联网的发展，这类应用会更加频繁。因此保证邮件的真实性和不被其他人截取和偷阅也变得越来越重要。所以，对于包含敏感信息的邮件，最好利用数字标示对你原写的邮件进行数字签名后再发送。所谓数字标示是指由独立的授权机构发放的证明你在Internet上的身份的证件，是你在因特网上的身份证。这些发证的商业机构将发放给你这个身份证并不断地效验其有效性。你首先向这些公司申请标示，然后就可以利用这个数字标示对自己的邮件进行数字签名，如果你获得了别人的数字标示，那么，你还可以跟他发送加密邮件。你通过对发送的邮件进行数字签名可以把你的数字标示发送给他人，这是他们收到的实际上是公用密钥，以后他们就可以通过这个公用密钥对发给你的邮件进行加密，你在使用私人密钥对加密邮件进行解密和阅读。在Outlook Eepress中可以通过数字签名来证明你的邮件身份，即让对方确信该有见是由你的机器发送的，它同时提供邮件加密功能使得你的邮件只有预定的接收者才能接收并阅读。但前提是你必须先获得对方的数字标示。数字标示的数字签名部分是你原电子身份卡，数字签名可使收件人确信又见是你发的，并且未被伪造或篡改过。

基于网络协议的攻击方式有哪些？如何防范

典型的互联网协议参考模型是OSI模型，把互联网通信功能划分为7个层次：物理层、数据链路层、网络层、传输层、会话层和应用层。

基于网络协议的攻击类型分为四类：

①针对数据链路层的攻击 如arp欺骗

②针对网络层的攻击 如Smurf攻击、ICMP路由欺骗

③针对传输层的攻击 如SYN洪水攻击、会话劫持

④ 针对应用层的攻击 如 DNS欺骗和窃取

网络攻击的应对策略

在对网络攻击进行上述分析和识别的基础上，我们应当认真制定有针对性的策略。明确安全对象，设置强有力的安全保障体系。有的放矢，在网络中层层设防，发挥网络的每层作用，使每一层都成为一道关卡，从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪，预防为主 ，将重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网络安全问题，提出的几点建议 (1)不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程式，比如“特洛伊”类黑客程式就需要骗你运行。 中国.网管联盟

(2)尽量避免从Internet下载不知名的软件、游戏程式。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。

(3)密码设置尽可能使用字母数字混排，单纯的英文或数字非常容易穷举。将常用的密码设置不同，防止被人查出一个，连带到重要密码。重要密码最佳经常更换。

(4)及时下载安装系统补丁程式。

(5)不随便运行黑客程式，不少这类程式运行时会发出你的个人信息。

(6)在支持HTML的BBS上，如发现提交警告，先看原始码，非常可能是骗取密码的陷阱。 将防毒、防黑当成日常例性工作，定时更新防毒组件，将防毒软件保持在常驻状态，以完全防毒；

由于黑客经常会针对特定的日期发动攻击，计算机用户在此期间应特别提高警戒；

对于重要的个人资料做好严密的保护，并养成资料备份的习惯。