目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

当今的网络运营商正在经历一个令人振奋的信息爆炸时代，网络骨干带宽平均每六到九个月就要增加一倍。数据业务作为其中起主导作用的主要业务类型，要求并驱动网络结构开始发生根本性的改变。光互联网的出现为基于 IP 技术的网络应用奠定了新的基础。伴随网络的普及，信息网络技术的应用、关键业务系统扩展，电信部门业务系统安全成为影响网络效能的重要问题，而 Internet 所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。由于国际形势的变化，加剧了爆发“网络战争”的可能性，保障网络及信息安全直接关系到国家的经济安全甚至国家安全。因此如何使信息网络系统不受黑客和间谍的入侵，已成为国家电信基础网络健康发展所要考虑的重要问题。

由于电信部门的特殊性，传递重要信息、是整个国民通信系统的基础。它的安全性是尤其重要的。国内现有的或正在建设中的网络，采用的网络设备和网络安全产品几乎全是国外厂家的产品。而只有使用国内自主研制的信息安全产品、具有自主版权的安全产品，才能真正掌握信息战场上的主动权，才能从根本上防范来自各种非法的恶意攻击和破坏。现今大多数计算机网络都把安全机制建立在网络层安全机制上，认为网络安全就仅仅是防火墙、加密机等设备。随着网络的互联程度的扩大，具体应用的多元化，这种安全机制对于网络环境来讲是十分有限的。面对种种威胁，必须采取有力的措施来保证计算机网络的安全。必须对网络的情况做深入的了解，对安全要求做严 谨的分析，提出一个完善的安全解 决方案。本方案根据电信网络的具体网络环境和具体的应用， 介绍如何建立一套针对电信部门的完整的网络安全解 决方案。

（来源： http://www.win118.com, 由作者整理）

网络安全的定义

网络安全的定义

针对黑客攻击的防措

针对黑客攻击的防措

一

获取口令

二

电子邮件击

三

特洛伊木马攻击

五

寻找系统漏洞

四

诱入法

4.1 公开服务器应用

4.2 病毒传播

4.3 信息存储

4.4 管理的安全风险分析

网络安全风险分析

网络安全风险分析

黑客攻击的手段

黑客攻击的手段

引子引子

黑客帝国

网络安全地带

1

物理安全风险分析

2

网络安全风险分析

3

系统安全风险分析

4

应用安全风险分析

针对黑客攻击的预防措施

防止源IP

地址欺骗行为

防止拒绝服务器攻击

针对网络嗅探的预防措施

缓冲区溢出攻击和防措

主办单位：成都七中育才学校（东区）编辑出版： Internet World 报社

地址：成辉路 76 号邮编： 61000

编辑：初二 (13) 班 杨凌风国际标准刊号： ISSN 5434-8665

国内统一刊号： CN 00-01003邮发代码： 48-8996

出版日期： 2005 年 12 月

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

什么是计算机网络安全， 尽管现在这个词很火，但是真正对它有个正确认识的人并不多。事实上要正确定义计算机网络安全并不 容易，困难在于要形成一个足够去全面而有效的定义。通常的感觉下，安全就是 "避免冒险和危险 " 。在计算机科学中，安全就是防 止：

未授权的使用者访问信息

未授权而试图破坏或更改信息

这可以重述为“安全就是一个系统保 护信息和系统资源相应的机密性和完整性的能力 " 。注意第二个定义的范围包括系统资源，即 CPU 、硬盘、程序以及其他信息。

在电信行业中，网络安全的 含义包括：关键设备的可靠性；网络结构、 路由的安全性 ；具有网络 监控、分析和自动响应的功能；确保网络安全 相关的参数正常；能够保护电信网络的 公开服务器（如拨号接入服务器等）以及网络数据的安全性等各个 方面。其关键是在满足电信网络要求，不影响网络效 率的同时保障其安全性。

（来源 http://www.win118.com）

          

            

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

瞄准网络存在瞄准网络存在的安全漏洞，黑客们所制的安全漏洞，黑客们所制造的各类新型的风险将会造的各类新型的风险将会不断产生，这些风险由多不断产生，这些风险由多种因素引起，与网络系统种因素引起，与网络系统结构和系统的应用等因素结构和系统的应用等因素密切相关。下面从物理安密切相关。下面从物理安全、网络安全、系统安全、全、网络安全、系统安全、应用安全及管理安全进行应用安全及管理安全进行分类描述分类描述

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

1 、物理安全风险分析 我们认为网络物理安全是整个网络系统安全的前提。物理安全的风险主要有：地震、水灾、火灾等环境事故造成整个系统毁灭电源故障造成设备断电以至操作系统引导失败或数据库信息丢失电磁辐射可能造成数据信息被窃取或偷阅不能保证几个不同机密程度网络的物理隔离 .

2 、网络安全风险分析 内部网络与外部网络间如果在没有采取一定的安全防护措施，内部网络容易遭到来自外网的攻击。包括来自 inte-rnet 上的风险和下级单位的风险。内部局网不同部门或用户之间如果没有采用相应一些访问控制，也可能造成信息泄漏或非法攻击。据调查统计，已发生的网络安全事件中， 70% 的攻击是来自内部。因此内部网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉，自已攻击或泄露重要信息内外勾结，都将可能成为导致系统受攻击的最致命安全威胁。

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

4 、应用的安全风险分析 应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。比如新增了一个新的应用程序，肯定会出现新的安全漏洞，必须在安全策略上做一些调整，不断完善。

这些项目做具体分析：

3 、系统的安全风险分析 所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是 Windows 还是其它任何商用 UNIX 操作系统以及其它厂商开发的应用系统，其开发厂商必然有其 Back-Door 。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐 患。因此应正确估价自己的网络风险 并根据自己的网络风险大 小作出相应的安全 解决方案。

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

4.1 公开服务器应用 电信省中心负责全省的汇接、网络 管理、业务管理和信息服务，所以设备较多包括全省用户管理、计费服务器、认证服务器、安全 服务器、网管服务器、 DNS服务器等公开服务器对外网提 供浏览、查录、 下载等服务。既然外部用户可以正常访问这些公开服务器，如果没有采取一些访问控制，恶意入侵者就可能利用这些公开服务器存在的安全 漏洞（开放的其它协议、端口号等）控制这些服务器，甚至利用公开服务器网络作 桥梁入侵到内部局域网， 盗取或破坏重要信息。这些服务器上记录的数据都是非常重要的，完成计费、认证等功能，他们的安全性应 得到 100% 的保证。

4.2 病毒传播 4.3 信息存储 4.4管理的安全风险分析

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

4.2 病毒传播 网络是 病毒传播的最好、最快的途径之一。病毒程序可以通过网上 下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在 极短的时间内迅速扩散，传播到网络上的所有主机，有 些病毒会在你的系统中自动打包一些文件自动从发件箱中发出。可能造成信息泄漏、文件丢失、机器死机等不安全因 素。

4.1 公开服务器应用 4.3 信息存储 4.4管理的安全风险分析

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

4.3 信息存储 由于天灾或其它意外事故，数据库服务器造到破坏，如果没有采用相应的安全备 份与恢复系统，则可能造成数据丢失后果，至少可能造成长时间的中断服务。

4.1 公开服务器应用 4.2 病毒传播 4.4管理的安全风险分析

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

4.4管理的安全风险分析 管理是网络中安全 最最重要的部分。责权不明，安全 管理制度不健全及 缺乏可操作性等都可能引起管理安全的 风险。

比如一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或 者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一 些安全威胁时 （如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击 行为的追踪线索及破案依据，即缺乏对网络的可 控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵 行为。

（来源： http://www.win118.com）

4.1 公开服务器应用 4.2 病毒传播 4.3 信息存储

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

随着互联网黑客技术的飞速发展，网络 世界的安全性不断受到挑战。对于黑客自身来说，要闯入大部分人的电 脑实在是太容易了。如果你要上网， 就免不了遇到黑客。所以必须知己知彼，才能在网上保 持安全。

引 子

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

一、获取口令

这种方式有三种方法：一是缺省的登录界面攻击法。在被

攻击主机上启动一个可执行程序，该程序显示一个伪造的登

录界面。当用户在这个伪装的界面上键入登录信息（用户名、

密码等）后，程序将用户输入的信息传送到攻击者主机，然

后关闭界面给出提示信息“

系统故障”

，要求用户重新登录。

此后，才会出现真正的登录界面。二是通过网络监听非法得

到用户口令，这类方法有一定的局限性，但危害性极大，监

听者往往能够获得其所在网段的所有用户账号和口令，对局

域网安全威胁巨大；三是在知道用户的账号后（如电子邮件

“

＠”

前面的部分）利用一些专门软件强行破解用户口令，

这种方法不受网段限制，但黑客要有足够的耐心和时间；尤

其对那些口令安全系数极低的用户，只要短短的一两分钟，

甚至几十秒内就可以将其破解。

黑客攻击的手段 :二、电子邮件击 三、特洛伊木马攻击 四、诱入法 五、寻找系统漏洞

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

二、电子邮件攻击

这种方式一般是采用电子邮件炸弹（E

－m

ailBomb

），是黑客常用的一种攻击

手段。指的是用伪造的IP

地址和电子邮件

地址向同一信箱发送数以千计、万计甚至

无穷多次的内容相同的恶意邮件，也可称

之为大容量的垃圾邮件。由于每个人的邮

件信箱是有限的，当庞大的邮件垃圾到达

信箱的时候，就会挤满信箱，把正常的邮

件给冲掉。同时，因为它占用了大量的网

络资源，常常导致网络塞车，使用户不能

正常地工作，严重者可能会给电子邮件服

务器操作系统带来危险，甚至瘫痪。

黑客攻击的手段 : 一、获取口令 三、特洛伊木马攻击 四、诱入法 五、寻找系统漏洞

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

三、特洛伊木马攻击

“特洛伊木马程序”

技术是黑客常用的攻击手段。它通过在

你的电脑系统隐藏一个会在W

indows

启动时运行的程序，采用

服务器／客户机的运行方式，从而达到在上网时控制你电脑的目

的。黑客利用它窃取你的口令、浏览你的驱动器、修改你的文件、

登录注册表等等，如流传极广的冰河木马，现在流行的很多病毒

也都带有黑客性质，如影响面极广的“

Nimda”

、“

求职信”

和“

红色代码”

及“红色代码II”

等。攻击者可以佯称自己为系

统管理员（邮件地址和系统管理员完全相同），将这些东西通过

电子邮件的方式发送给你。如某些单位的网络管理员会定期给用

户免费发送防火墙升级程序，这些程序多为可执行程序，这就为

黑客提供了可乘之机，很多用户稍不注意就可能在不知不觉中遗

失重要信息。

黑客攻击的手段 :一、获取口令 二、电子邮件击 四、诱入法 五、寻找系统漏洞

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

四、诱入法

黑客编写一些看起来“

合法”

的程序，上传到一些FTP

站

点或是提供给某些个人主页，诱导用户下载。当一个用户下载

软件时，黑客的软件一起下载到用户的机器上。该软件会跟踪

用户的电脑操作，它静静地记录着用户输入的每个口令，然后

把它们发送给黑客指定的Internet

信箱。例如，有人发送给用

户电子邮件，声称为“确定我们的用户需要”

而进行调查。作

为对填写表格的回报，允许用户免费使用多少小时。但是，该

程序实际上却是搜集用户的口令，并把它们发送给某个远方的

“

黑客”

。

                                                                                                                                         

                                           

黑客攻击的手段 :一、获取口令 二、电子邮件击 三、特洛伊木马攻击 五、寻找系统漏洞

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

五、寻找系统漏洞

许多系统都有这样那样的安全漏洞（Bugs

），其中某

些是操作系统或应用软件本身具有的，如Sendm

ail

漏洞，

Window

s98

中的共享目录密码验证漏洞和IE5

漏洞等，这

些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，

除非你不上网。还有就是有些程序员设计一些功能复杂的

程序时，一般采用模块化的程序设计思想，将整个项目分

割为多个功能模块，分别进行设计、调试，这时的后门就

是一个模块的秘密入口。在程序开发阶段，后门便于测试、

更改和增强模块功能。正常情况下，完成设计之后需要去

掉各个模块的后门，不过有时由于疏忽或者其他原因（如

将其留在程序中，便于日后访问、测试或维护）后门没有

去掉，一些别有用心的人会利用专门的扫描工具发现并利

用这些后门，然后进入系统并发动攻击。

黑客攻击的手段 :一、获取口令 二、电子邮件击 三、特洛伊木马攻击 四、诱入法

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

现在，你该知道黑客惯用的一些攻击手

段了吧？当我们对黑客们的这些行为有所了解

后，就能做到“

知己知彼，百战不殆”，从而

更有效地防患于未然，拒黑客于“

机”

外。网

络的开放性决定了它的复杂性和多样性，随着

技术的不断进步，各种各样高明的黑客还会不

断诞生，同时，他们使用的手段也会越来越先

进。我们惟有不断提高个人的安全意识，再加

上必要的防护手段，斩断黑客的黑手。相信通

过大家的努力，黑客们的舞台将会越来越小，

个人用户可以高枕无忧地上网冲浪，还我们一

片宁静的天空。

(

来源:

瑞星反病毒资讯网,

由作者编辑)

黑客攻击的手段 :一、获取口令二、电子邮件击 三、特洛伊木马攻击 四、诱入法 五、寻找系统漏洞

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

目前造成网络不安全的主要因 素是系统、协议及数据库等的设计上存在缺陷。由于当 今的计 算机网络操作系统在本身结构设计和 代码设计时偏重考虑系统使用时的方 便性，导致了系统在远程访问、权限控制和口令管 理等许多方面存在安全漏洞。网络 互连一般采用 TCP/IP协议，它是一个工业标准的协议簇，但该 协议簇在制订之初，对安全问 题考虑不多，协议中有很多的安全漏洞。同 样，数据库管理系统(DBMS) 也存在数据的安全性、 权限管 理及远程访问等方面问题，在DBMS 或应用程序中可以预先安置从事情报收集、受控激发、定时发作等破坏程序。

　　由此可见，针对系统、网络 协议及数据库等，无论是其自身的设计缺陷，还是由于人 为的因 素产生的各种安全漏洞，都可能被一些 另有图谋的黑客所利用并发起攻击。因此若要保证网络安全、可 靠，则必须熟知黑客网络攻击的一 般过 程。只有这样方可在黒客攻击前做好必要的防备， 从而确保网络 运行 的安全和可 靠。

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

要防止源 IP地址欺骗行为，可以采取以下措施来尽可能地保护系统免受这类攻击 :

　　 (1) 抛弃基于地址的信任策略 阻止这类攻击的一 种十 分容易的办法就是放弃 以地址为基础的验证。不允许 r类远 程调用命令的使用 ; 删除 .rhosts 文件 ; 清空 /etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如 telnet 、 ssh、 skey等等。

　　 (2)使用加密方法 在包发送到 网络上之前，我们可以对它 进行加密。虽然加密过程要求适当改 变目前的网络环境， 但它将保证数据的完整性、 真实 性和保密性。

　　 (3)进行 包过滤 可以配置路由器使 其能够拒绝 网络外部与本网内具有相同 IP地址的连接请求。而且，当包的 IP地址不在本网内时，路由器 不应该把 本网主机的包发 送出去。有一点要注意 ，路由器 虽然可以封锁试图 到达内部网络的 特定类型的包。 但它们也是通过分析 测试 源地址来实现操作的。因此，它们 仅能对声称是来自于内部网络的外来包 进行过 滤，若你的网络存在外部可信任主机，那么路由器 将无法防止别人冒充这些主机进行 IP欺骗。

防止源防止源 IPIP 地址欺骗行地址欺骗行为为

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

为了防止拒绝 服务攻击，我们可以采取以下的预防措施 :

　　 (1) 建议在该网段的路由器 上做些配置的调整，这些调整包括 限制 Syn半开数据包的流量 和个数。

　　 (2)要防止 SYN 数据段攻击，我们应对系统设定相应的内 核参数，使得 系统强制对超时的 Syn请求连接数据包复位，同时通过缩短超时常数和加长 等候队列使得 系统能迅速处理无效的 Syn请求数据包。

　　 (3) 建议在路由器 的前 端做必要的 TCP拦截，使得只 有完成 TCP三次 握手过程的数据包才可进入该 网段，这样可以有效地保护本网段内的服务器不受此类攻击。

　　 (4)对于信息淹没攻击，我们应关掉 可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝 所有的 ICMP包，或者在该网段路由器 上对 ICMP包进行带 宽方面的限制，控制其在一定的 范围内。

　　总之，要彻底杜绝拒绝 服务攻击，最好的办法是惟有追根溯源去找 到正在进行 攻击的机 器和攻击者。要追踪攻击者可不是一件容易的事 情，一旦其停止了攻击行为，很难将其发现。惟一可行的方法是在其 进行 攻击的时候 ，根据路由器 的信息和攻击数据包的特征，采用逐级回溯的方法来查 找其攻击源头。这时需 要各级部门的协同配合方可有效果。

防止拒绝 服务攻击防止拒绝 服务攻击

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

网络 嗅探就是使网络 接口接收不属于本主机的数据。。一个能接收所有数据包的机 器被称为杂错节 点。通常账户和口令 等信息都以明文的形式在以太网上 传输，一旦被黑客在杂错节 点上嗅探到，用户就可能会遭到损害。

　　对于网络 嗅探攻击，我们可以采取以下措施进行 防范 :

　　 (1)网络分 段 一个网络 段包括一组共享 低层设备和线路的机 器，如交换机，动态集线器和网桥等设备，可以对数据流进行限 制，从而达到防止嗅探的目的。

　　 (2) 加密 一方面可以对数据流中的部分重要信息 进行 加密，另一方面也可只对应用层加密，然而后者将使大部分与网络和操作系统有 关的敏感信息失去保护。选择何种加密方式这就取决于信息的安全级 别及网络的安全程度。

　　 (3)一次性口令技术 口令并 不在网络上 传输而是在两端进行 字符串匹配，客户端利用从服务器 上得到的 Challenge

针对网络 嗅探的防 范措施针对网络 嗅探的防 范措施

和自身的口令 计算出一个新字符串并将之返回给服务器 。在服务器上利用比较算法进行 匹配，如果匹配，连接就允许 建立，所有的 Challenge 和字符串都只使 用一次。

　　 (4) 禁用杂错节 点 安装不支持杂错 的网 卡，通常可以防止 IBM兼容机进行 嗅探。

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

缓冲区溢出攻击是属于系统攻击的手段，通过往 程序的缓冲区写超出其长度的内容，造成 缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行 其它指令，以达到攻击的目的。

　　缓冲区溢出对网络系统 带来了巨大的危害 ，要有效地防止这种攻击，应该做到以下几点 :

　　 (1)程序指针完整性检查 在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针，由于 系统事先检测 到了指针的改变，因此这个指针将不会被使用。

　　 (2) 堆栈的保护 这是一 种提供程序指针完整性检查的编译器技术，通过检查函数活动记录 中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节，而在函数返回时 ，首先检 查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击， 那么这种攻击很容易在函数返回前被检测到。但是，如果攻击者预见到这些附加字节 的存在， 并且能在溢出过程中同样地制造他们，那么他就能成功地跳过堆栈保护的检测。

　　 (3)数组边界检查 所有的对数 组的读写操作都应当被检查以确保对数组的操作在 正确的范围内进行 。最直接的方法是 检查所有的数 组操作，通常可以采用一些优化技术来减少检查次数。目前主要有这几种检查方法 :Compaq C编译器、 Jones & Kelly C数组边界检查、 Purify存储器存取检查等。

缓冲区溢出攻击及其防范措施缓冲区溢出攻击及其防范措施

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

未来的竞争是信息竞争，而网络信息是未来的竞争是信息竞争，而网络信息是竞争的重要组成部分。其实质是人与人的对竞争的重要组成部分。其实质是人与人的对抗，它具体体现在安全 策略与攻击策略的交抗，它具体体现在安全 策略与攻击策略的交锋上。为了不断增强信息系统的安全防 御能锋上。为了不断增强信息系统的安全防 御能力，必须充分理解系统内核及网络 协议的实力，必须充分理解系统内核及网络 协议的实现，真正做到洞察对方网络系统的“ 细枝末现，真正做到洞察对方网络系统的“ 细枝末节”，同时应该熟知针对各种攻击手段的预节”，同时应该熟知针对各种攻击手段的预防措施，只有这样才能尽最大可能保证网络防措施，只有这样才能尽最大可能保证网络的安全。的安全。 （来源： IT 专家网，本作 者编 辑）

目录目录网络安全地带

网络安全地带

黑客帝国

黑客帝国

抵制非法入侵抵制非法入侵享受健康生活享受健康生活

定价： 5.00

出版日期 :2005年 12月