常见网络攻击的手段与防范

1、精选优质文档-倾情为你奉上常见网络攻击的手段与防范侯建兵赤峰学院计算机科学与技术系，赤峰摘要：现在，Intemet上的网络攻击越来越猖獗，攻击手段也越来越先进，一旦被攻破，导致的损失也会越来越严重。如何有效地防止网络攻击已成为一个全球性的研究课题，受到全世界网络工作者的普遍重视，因此，针对黑客的网络攻击，提高网络的防护能力，保证信息安全已成为当务之急。为此本文列举了一些典型的网络攻击，将它们进行了分类，在分析其攻击原理的基础上，针对网络攻击的具体防御措施进行了讨论和分析。关键词：网络安全；网络攻击；安全策略；手段；措施；黑客攻击；防范技术一 引言随着Intemet的发展高信息技术像一把双刃剑有

2、抄袭痕迹，可以引用，但请用自己的语言描述，带给我们无限益处的同时也带给网络更大的风险。网络安全已成为重中之重，攻击者无处不在。因此网络管理人员应该对攻击手段有一个全面深刻的认识，制订完善安全防护策略。孙子兵法上说，知己知彼，百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏，仅仅被动的安装防火墙是显然不够的。我们必须对黑客的攻击方法、攻击原理、攻击过程有深入的、详细的了解，针对不同的方法采取不同的措施，做到有的放矢。只有这样才能更有效、更具有针对性的进行主动防护。二 相关基本概念和网络攻击的特点1.计算机网络安全的含义从本质上来讲网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性

3、使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。2. 网络攻击概念性描述网络攻击是利用信息系统自身存在的安全漏洞，进入对方网络系统或者是摧毁其硬件设施。其目的就是破坏网络安全的各项指标，破坏扰乱对方信息系统的正常运行，致使对方计算机网络和系统崩溃、失效或错误工作。3. 计算机网络攻击的特点此段可以考虑删除计算机网络攻击具有下述特点：(1)损失巨大。由于攻击和入侵的对象是网络上的计算机。所以一旦他们取得成功，就会使网络中成千上万台计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损

4、失。(2)威胁社会和国家安全。一些计算机网络攻击者出于各种目的经常把政府要害部门和军事部门的计算机作为攻击目标，从而对社会和国家安全造成威胁。(3)手段多样，手法隐蔽。计算机攻击的手段可以说五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息；也可以通过截取别人的帐号和口令堂而皇之地进入别人的计算机系统；还可以通过一些特殊的方法绕过人们精心设计好的防火墙等等。这些过程都可以在很短的时间内通过任何一台联网的计算机完成。(4)以软件攻击为主。几乎所有的网络入侵都是通过对软件的截取和攻击从而破坏整个计算机系统的。它完全不同于人们在生活中所见到的对某些机器设备进行物理上的摧毁。因此，这一方面

5、导致了计算机犯罪的隐蔽性，另一方面又要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。三网络攻击的步骤此段也可删除，本文主要探讨攻击与防范，这里最好说一下攻击类型有哪些，下面就某几种攻击展开论述进行网络攻击是一件系统性很强的工作，其主要工作流程是：收集情报远程攻击远程登录取得普通用户的权限取得超级用户的权限留下后门清除日志。主要内容包括目标分析、文档获取、破解密码、日志清除等技术。第一步：隐藏自己的位置普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。第二步：寻找目标主机并分析目标主机攻击者首先要寻找目标主机并分析目标主机。在Intemet上能真正标识主机的是IP地址

6、，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和IP地址就可以顺利地找到目标主机。当然，知道要攻击目标的位置还是远远不够的，还必须将主机的操作系统类型及其所提供的服务等资料进行全面的了解。此时，攻击者会使用一些扫描工具，轻松获取目标主机运行的是哪种操作系统的哪个版本，系统有哪些帐户，WWW、FTP、Telnet、SMTP等服务器程序是何种版本等资料，为入侵作好充分的准备。第三步：获取帐号和密码，登录主机要想入侵一台主机，首先必需要有该主机的一个帐号和密码，否则连登录都无法进行。因此，攻击者必须先设法盗窃帐户文件并进行破解，从中获取某用户的帐号和口令，然后寻找合适时机以此身份进入主

7、机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。第四步：获得控制权攻击者用FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后，就会清除日志和留下后门，而且会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序，以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的，只需要想办法修改时间和权限就可以使用了，甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件，以便不留下FTP记录。用清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步的行动。第五步：窃取网络资源和特权攻击者找到攻击目标后，会继续下一步的攻

8、击，即实施真正的网络攻击。如：下载敏感信息；实施窃取帐号密码、信用卡号等经济偷窃；使网络瘫痪。三 网络攻击技术原理和常用手段上下文参照，标题序号都不对1. Dos拒绝服务攻击Internet最初的设计目标是开放性和灵活性，而不是安全性。目前Internet网上各种入侵手段和攻击方式大量出现，成为网络安全的主要威胁，拒绝服务(Denial of Service，DoS)是一种简单但很有效的进攻方式。其基本原理是利用合理的请求占用过多的服务资源，致使服务超载，无法响应其他的请求，从而使合法用户无法得到服务。DoS的攻击方式有很多种。最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，致使

9、服务超载，无法响应其他的请求。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者向内的连接。这种攻击会导致资源的缺乏，无论计算机的处理速度多么快，内存容量多么大，互连网的速度多么快都无法避免这种攻击带来的后果。因为任何事都有一个极限。所以，总能找到一个方法使请求的值大于该极限值，因此就会使所提供的服务资源缺乏，像是无法满足需求。千万不要自认为自己拥有了足够宽的带宽就会有一个高效率的网站，拒绝服务攻击会使所有的资源交得非常渺小。典型拒绝服务攻击有以下几种：（1）Ping of Death根据TCPIP的规范，一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节，但是一

10、个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时，就是受到了Ping of Death攻击，该攻击会造成主机的宕机。（2）SYN floodSYN flood攻击也是一种常用的拒绝服务攻击。它的工作原理是，正常的一个TCP连接需要连接双方进行三个动作，即“三次握手”，其过程如下：请求连接的客户机首先将一个带SYN标志位的包发给服务器；服务器收到这个包后产生一个自己的SYN标志，并把收到包的SYN+I作为ACK标志返回给客户机：客户机收到该包后，再发一个ACK=SYN+I的包给服务器。经过这三次握手，连接才正式建立。在服务器向客户机发返回包时，它会等待客户机的ACK

11、确认包，这时这个连接被加到未完成连接队列中，直到收到ACK应答后或超时才从队列中删除。这个队列是有限的，一些TCPIP堆栈的实现只能等待从有限数量的计算机发来的ACK消息、，因为他们只有有限的内存缓冲区用于创建连接，如果这些缓冲区内充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。如果客户机伪装大量SYN包进行连接请求并且不进行第三次握手，则服务器的未完成连接队列就会被塞满，正常的连接请求就会被拒绝，这样就造成了拒绝服务。（3）缓冲区溢出攻击缓冲区是程序运行时计算机内存中的一个连续块。大多数情况下为了不占用太多的内存，一个有动态变量的程序在程序运行时才决

12、定给它们分配多少内存。如果程序在动态分配缓冲区放入超长的数据，就会发生缓冲区的溢出。此时，子程序的返回地址就有可能被超出缓冲区的数据覆盖，如果在溢出的缓存区中写入想执行的代码(SHELL-CODE)，并使返回地址指向其起始地址，CPU就会转而执行SHELL-CODE，达到运行任意指令从而进行攻击的目的。2. 程序攻击（1）病毒A病毒的主要特征适当精简，太冗长，有重点的说明1-2个攻击方式Ø 隐蔽性：病毒的存在、传染和对数据的破坏过程不易为计算机操作人员发现。Ø 寄生性：计算机病毒通常是依附于其它文件而存在的。Ø 传染性：计算机病毒在一定条件下可以自我复制，能对其它

13、文件或系统进行一系列非法操作，并使之成为一个新的传染源。Ø 触发性：病毒的发作一般都需要一个激发条件，可以是日期、时间、特定程序的运行或程序的运行次数等等。Ø 破坏性：病毒在触发条件满足时，会立即对计算机系统的文件、资源等运行进行干扰破坏。Ø 不可遇见性：病毒相对于防毒软件永远是超前的，理论上讲没有任何杀毒软件能将所有的病毒杀除。Ø 针对性：针对特定的应用程序或操作系统，通过感染数据库服务器进行传播。B病毒采用的触发条件主要有以下几种：Ø 日期触发：许多病毒采用日期做触发条件。日期触发大体包括：特定日期触发、月份触发、前半年后半年触发等。

14、16; 时间触发：时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。Ø 键盘触发：有些病毒监视用户的击键动作，当发现病毒预定的键入时，病毒被激活，进行某些特定操作。键盘触发包括击键次数触发、组合键触发、热启动触发等。Ø 感染触发：许多病毒的感染需要某些条件触发，而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。Ø 启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。Ø 访问磁盘次数触发：病毒对磁盘IO访问

15、的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。Ø 调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。Ø CPU型号主板型号触发：病毒能识别运行环境的CPU型号主板型号，以预定CPU型号主板型号做触发条件，这种病毒的触发方式奇特罕见。被计算机病毒使用的触发条件是多种多样的，而且往往不只是使用上面所述的某一个条件，而是使用由多个条件组合起来的触发条件。大多数病毒的组合触发条件是基于时间的，再辅以读、写盘操作，按键操作以及其他条件等。（2）蠕虫A.蠕虫的工作原理蠕虫程序的实体结构：蠕虫程序相对于一般的应用程序，在实体结构方面体现更多的复杂性，通过对多个蠕虫

16、程序的分析，可以粗略的把蠕虫程序的实体结构分为如下的六大部分，具体的蠕虫可能是由其中的几部分组成：Ø 未编译的源代码：由于有的程序参数必须在编译时确定，所以蠕虫程序可能包含一部分未编译的程序源代码；Ø 已编译的链接模块：不同的系统(同族)可能需要不同的运行模块，例如不同的硬件厂商和不同的系统厂商采用不同的运行库，这在UNIX族的系统中非常常见；Ø 可运行代码：整个蠕虫可能是由多个编译好的程序组成；Ø 脚本：利用脚本可以节省大量的代码，充分利用系统shell的功能；Ø 受感染系统上的可执行程序：受感染系统上的可执行程序如文件传输等可被蠕虫作为自己

17、的组成部分；Ø 信息数据：包括已破解的口令、要攻击的地址列表、蠕虫自身压缩包。蠕虫程序的功能结构：鉴于所有蠕虫都具有相似的功能结构，本文给出了蠕虫程序的统一功能模型，统一功能模型将蠕虫程序分解为基本功能模块和扩展功能模块。实现了基本功能模块的蠕虫程序就能完成复制传播流程，包含扩展功能模块的蠕虫程序则具有更强的生存能力和破坏能力。基本功能由五个功能模块构成：Ø 搜索模块：寻找下一台要传染的机器，为提高搜索效率，可以采用一系列的搜索算法。Ø 攻击模块：在被感染的机器上建立传输通道(传染途径)，为减少第一次传染数据传输量，可以采用引导式结构。Ø 传输模块：计算

18、机间的蠕虫程序复制。Ø 信息搜集模块：搜集和建立被传染机器上的信息。Ø 繁殖模块：建立自身的多个副本，在同一台机器上提高传染效率、判断避免重复传染。B.蠕虫的工作流程：蠕虫程序的工作流程可以分为扫描、攻击、现场处理、复制四部分，当扫描到有漏洞的计算机系统后，进行攻击，攻击部分完成蠕虫主体的迁移工作；进入被感染的系统后，要做现场处理工作，现场处理部分工作包括隐藏、信息搜集等；生成多个副本后，重复上述流程。（3）木马攻击A.木马的结构木马程序一般包含两个部分：外壳程序和内核程序。外壳程序：一般是公开的，谁都可以看得到。往往具有足够的吸引力，使人在下载或拷贝时运行。内核程序：隐藏

19、在外壳程序之后，可以做各种对系统造成破坏的事情，如：发动攻击、破坏设备、安装后门等。B.木马攻击原理一般的木马程序都包括客户端和服务端两个程序，其中客户端是用于攻击者远程控制植入木马的机器，服务器端程序即是木马程序，他所做的第一步是要把木马的服务器端程序植入到目标的电脑里面。攻击者要通过木马攻击目标系统，当植入成功以后，攻击者就对目标电脑进行非法操作。C.木马具有的特性由于木马所从事的是”地下工作”，因此它必须隐藏起来，它会想尽一切办法不让你发现它。它的特性主要体现在以下几个方面：Ø 隐蔽性：当木马植入到目标电脑中，不产生任何图标，并以”系统服务”的方式欺骗操作系统。Ø 具

20、有自动运行性：木马为了控制服务端。它必须在系统启动时即跟随启动，所以它必须潜人在你的启动配置文件中，如winini、systemini、winstartbat以及启动组等文件之中。Ø 包含具有未公开并且可能产生危险后果的功能的程序。Ø 具备自动恢复功能，木马程序中的功能模块具有多重备份，可以相互恢复。当你删除了其中的一个，随后马上有会出现。Ø 能自动打开特别的端口，当木马程序植入后，攻击者利用该程序，开启系统中别的端口，以便进行下一次非法操作。Ø 通常的木马功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目

21、标机器人的IP地址进行键盘记录、远程注册表的操作以及锁定鼠标等功能。3. 电子欺骗攻击（1）IP电子欺骗攻击IP欺骗有两种基本方式，一种是使用宽松的源路由选择截取数据包，另一种是利用UNIX机器上的信任关系。使用宽松的源路由选择时，发送端指明了流量或者数据包必须经过的IP地址清单，但如果有需要，也可以经过一些其它的地址。由于采用单向的IP欺骗时，被盗用的地址会收到返回的信息流，而黑客的机器却不能收到这样的信息流，所以黑客就在使用假冒的地址向目的地发送数据包时指定宽松的源路由选择，并把它的IP地址填入地址清单中，最终截取目的机器返回到源机器的流量。在UNIX系统中，为了操作方便，通常在主机A和主

22、机B中建立起两个相互信任的账户。黑客为了进行IP欺骗，首先会使被信任的主机丧失工作能力，同时采样目标主机向被信任的主机发出的TCP序列号，猜测出它的数据序列号，然后伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接，以便进行非授权操作。（2）DNS电子欺骗攻击主机域名与IP地址的映射关系是由域名系统DNS来实现的，现在Internet上主要使用Bind域名服务器程序。DNS协议具有以下特点：Ø NDS报文只使用一个序列号来进行有效性鉴别，序列号由客户程序设置并由服务器返回结果，客户程序通过它来确定响应与查询是否匹配，这就引入了序列号攻击的危险；Ø 在DNS应答报

23、文中可以附加信息，该信息可以和所请求的信息没有直接关系，这样，攻击这就可以在应答中随意添加某些信息，指示某域的权威域名服务器的域名和IP，导致在被影响的域名服务器上查询该域的请求都会被转向攻击这所指定的域名服务器上，从而对网络的完整性造成威胁。Ø DNS的高速缓存机制，当一个域名服务器收到有关域名和IP的映射信息时，它会将该信息存放在高速缓存中，当再次遇到对此域名的查询请求时就直接使用缓存中的结果而无需重新查询。针对DNS协议存在的安全缺陷，目前可采用的DNS欺骗技术有：A.内应攻击。攻击者在非法或合法地控制一台DNS服务器后，可以直接操作域名数据库，修改指定域名所对应的IP为自己所

24、控制的主机IP。于是，当客户发出对指定域名的查询请求后，将得到伪造的IP地址。B.序列号攻击。DNS协议格式中定义了序列号ID，用来匹配请求数据包和响应数据包，客户端首先以特定的ID向DNS服务器发送域名查询数据包，在DNS服务器查询之后以相同的ID号给客户端发送域名响应数据包。这时，客户端将收到的DNS响应数据包的ID和自己发送出去的查询数据包的ID比较，如果匹配，则使用之， 否则，丢弃。利用序列号进行DNS欺骗的关键是伪装成DNS服务器向客户端发送DNS响应数据包，而且要在DNS服务器发送的真实DNs响应数据包之前到达客户端，从而是客户端DNS缓存中查询域名所对应的IP就是攻击者伪造的IP

25、。其欺骗的前提条件是攻击者发送的DNS响应数据包ID必须匹配客户的DNS查询数据包ID。利用序列号进行DNS欺骗有两种情况：第一，当攻击者与DNS服务器，客户端均不在同一个局域网内时，攻击者可以向客户端发送大量的携有随机ID序列号的DNS响应数据包，其中包内含有攻击者伪造的IP，但ID匹配的几率很低，所以攻击的效率不高。第二，当攻击者至少与DNS服务器或者客户端某一个处在同一个局域网内时，攻击者可以通过网络监听得到DNS查询包的序列号ID，这时，攻击者就可以发送自己伪造好的DNS响应包给客户端，这种方式攻击更高效。4. 对网络协议（TCP/IP）弱点的攻击（1） 网络监听网络监听的原理：网络中

26、传输的每个数据包都包含有目的MAC地址，局域网中数据包以广播的形式发送。假设接收端计算机的网卡工作在正常模式下，网卡会比较收到数据包中的目的MAC地址是否为本计算机MAC地址或为广播地址，是，数据包将被接收，如果不是，网卡直接将其丢弃。假设网卡被设置为混杂模式，那么它就可以接收所有经过的数据包了。也就是说，只要是发送到局域网内的数据包，都会被设置成混杂模式的网卡所接收。现在局域网都是交换式局域网，以前广播式局域网中的监听不再有效。但监听者仍然可以通过其他途径来监听交换式局域网中的通信。攻击手段：网络监听是主机的一种工作模式，在这种模式下，主机可以接收到本网段在同一条物理通道上传输的所有信息，而

27、不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时，用户输人的密码需要从用户端传送到服务器端，而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密，只要使用某些网络监听工具(如NetXRay forWindows9598NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和账号在内的信息资料。（2） 电子邮件攻击电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件。从而使目的邮箱被撑爆而无法使用。攻击者还可以佯装系统管理员，给用户发送邮件要求用户修改口令或

28、在貌似正常的附件中加载病毒或其他木马程序。四 网络攻击的防范措施在对网络攻击进行深入分析与识别的基础上，网络管理人员或用户应认真制定有针对性的防范策略，明确安全对象，设置强有力的安全保障体系，有的放矢，在网络中层层设防，发挥网络每一层的作用，使每层都成为一道关卡，从而让攻击者无缝可钻、无计可施。当然，还必须做到预防为主，对重要的数据及时进行备份并时刻关注系统的运行状况。1.拒绝服务攻击的防范由于DoS攻击主要利用网络协议的特征和漏洞进行攻击，所以在防御DoS攻击时也要与之对应，分别提出相应的解决方案。防范DoS攻击可以采用以下的技术手段： (1)SynCookie(主机)SynGate(网关)

29、在服务器和外部网络之间部署代理服务器，通过代理服务器发送SynAck报文，在收到客户端的Syn包后，防火墙代替服务器向客户端发送SynAck包，如果客户端在一段时间内没有应答或中间的网络设备发回了ICMP错误消息，防火墙则丢弃此状态信息；如果客户端的Ack到达，防火墙代替客户端向服务器发送Syn包，并完成后续的握手，最终建立客户端到服务器的连接。通过这种SynCookie技术，保证每个Syn包源的真实有效性，确保服务器不被虚假请求浪费资源，从而彻底防范对服务器的SynFlood攻击。(2)应用负载均衡技术负载均衡技术基于现有网络结构，提供了一种扩展服务器带宽和增加服务器吞吐量的廉价有效的方法，

30、增强了网络数据处理能力。负载均衡的应用，能够有效地解决网络拥塞问题，能够就近提供服务，同时，还能提高服务器的响应速度，提高服务器及其它资源的利用效率，从而为用户提供更好的访问质量。负载均衡技术不是专门用来解决DoS问题，但它在应对拒绝服务攻击方面却起到了重大的作用。(3)包过滤及路由设置应用包过滤技术过滤对外开放的端口，是防止假冒地址的攻击，使得外部机器无法假冒内部机器的地址来对内部机器发动攻击的有效方法。 (4)运行尽可能少的服务运行尽可能少的服务可以减少被成功攻击的机会。如果一台计算机开了20个端口，这就使得攻击者可以在较大的范围内尝试对每个端口进行不同的攻击。相反，如果系统只开了很少的端

31、口，这就限制了攻击者攻击站点的类型，而且，当运行的服务和开放的端口都很少时，管理员可以很容易地进行安全设置。(5)防患于未然由于现有的技术还没有一项针对DoS攻击的非常有效的解决办法，所以，防止DoS攻击的最佳方法就是防患于未然。也就是说，首先要保证一般的外围主机和服务器的安全，使攻击者无法获得大量的无关主机，从而无法发动有效攻击。一旦内部或临近网络的主机被黑客侵入，那么其他的主机被侵入的危险将会很大，而且，如果网络内部或邻近的主机被用来对本机进行DoS攻击，攻击效果会更加明显，因此，必须保证外围主机和网络的安全，尤其是那些拥有高带宽和高性能服务器的网络。保护这些主机最好的办法就是及时了解有关

32、本操作系统的安全漏洞以及相应的安全措施，及时安装补丁程序并注意定期升级系统软件，以免给黑客以可乘之机。2.网络监听的防范现在网络中使用的大部分协议都是很早就设计的，没有充分考虑到网络安全问题，许多协议的实现都是基于一种非常友好的、通信双方充分信任的基础之上，而且许多信息以明文形式发送，因此给黑客的网络监听有了可乘之机。网络监听是很难被发现的，因为运行网络监听的主机只是被动地接收在局域网上传输的信息，不主动的与其他主机交换信息，也没有修改在网上传输的数据包，但可以采用以下措施来有效防止网络监听：(1)划分VLAN出现新名词，要有解释为了克服以太网的广播问题，可以运用VLAN(虚拟局域网)技术，将

33、以太网通信变为点到点通信，防止大部分基于网络监听的入侵。交换机的每一个端口配置成独立的VLAN，享有独立的VID。将每个用户端口配置成独立的VLAN，利用支持VLAN的交换机进行信息的隔离，把用户的IP地址绑定在端口的VLAN号上，以保证正确的路由选择。在集中式网络环境下，将中心的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有任何用户节点，从而较好地保护敏感的主机资源。在分布式网络环境下，可以按机构或部门的设置来划分VLAN，各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰。通过划分VLAN，有效地控制了广播风暴，降低了通过网络监听手段窃取诸如网络管理员等高级用户口令

34、的风险，有效保障网络的正常运行和网络信息的安全。(2)以交换式集线器代替共享式集线器对局域网的中心交换机虽然可以进行网络分段，但以太网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(称为单播包)还是会被同一台集线器上的其他用户所监听。因此，应该以交换式集线器代替共享式集线器(近年来，由于交换机价格的下降，使交换机的应用越来越广泛，而集线器则逐渐退出了历史舞台)，使单播包仅在两个节点之间传送，从而防止非法监听。(3)VLAN+IP+MAC捆绑来确保网络的安全性在

35、所有的用户间采用VLAN隔离，从而最大限度地保护了网络和用户信息的安全，但是用户的IP地址或MAC地址可能被盗用或被仿冒，因此采用VLAN+IP+MAC捆绑的方式来认证和保证网络的安全，这意味着只有正确分配的IP地址、正确的网络接口卡并且连到特定端口的用户才能获取服务。(4)信息加密对一些重要数据进行加密，即使被截获，信息也不易泄露。确认所进行的请求和数据传递是处于明文还是密文的状态(如：在Telnet、FTP、HTTP、SMTP等传输协议中，用户帐号和密码信息都是以明文格式传输)，是明文传输的应尽可能改用密文方式来传输。例如：由于Telnet协议是明文传输的，而ssh是密文传输的，所以应该用

36、ssh取代Telnet实现对主机的远程管理。对网络安全要求不是很高的交易或认证，可以使用SSL(Secure Sockets Layer：安全套接层通讯协议)安全机制，为IIS提供一种在其服务协议(HTIT)和TCPIP之间提供分层数据安全性的协议，为TCPIP连接提供数据加密、服务器身份验证和消息完整性，从而防止资料窃取者直接看到传输中的信息。3.缓冲区溢出攻击的防范近年来所发现的重大安全漏洞中有半数属于缓冲区溢出漏洞，因此，要完全避免缓冲区溢出漏洞造成的安全威胁是不可能的，但我们可以构建完善的防范体系来降低缓冲区溢出攻击的威胁。(1)编写正确的代码避免使用Gets、Sprintf等未限定边

37、界溢出的危险函数或者使用具有类型安全的Java等语言以避免C语言的缺陷，防止缓冲区溢出的发生，同时，使用高级查错工具寻找代码中的缓冲区溢出安全漏洞，确保程序员开发出更安全的程序。(2)非执行的缓冲区通过使被攻击程序的数据段地址空间不可执行，从而使得攻击者不可能执行被植入到被攻击程序输入缓冲区中的代码，这种技术称为非执行的缓冲区技术。事实上，很多老的Unix系统都是这样设计的，但是近来的Unix和MSWindows系统为实现更好的性能和功能，往往在数据段中动态地放人可执行的代码。所以为了保持程序的兼容性不可能使得所有程序的数据段不可执行。但是我们可以设定堆栈数据段不可执行，这样就可以最大限度地保

38、证了程序的兼容性。(3)数组边界检查不像非执行缓冲区保护，数组边界检查完全没有了缓冲区溢出的产生和攻击。这样，只要数组不能被溢出，溢出攻击也就无从谈起。为实现数组边界检查，则所有对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。通常可以用Compaq C编译器、类型安全语言等优化技术来减少检查的次数。(4)程序指针完整性检查程序指针完整性检查和边界检查有略微的不同。与防止程序指针被改变不同，程序指针完整性检查在程序指针被引用之前检测到它的改变。因此，即便一个攻击者成功地改变程序的指针，由于系统事先检测到了指针的改变，因此这个指针将不会被使用。与数组边界检查相比，这种方法不能解决所有

39、的缓冲区溢出问题，采用其他的缓冲区溢出方法就可以避免这种检测，但是这种方法在性能上有很大的优势，而且兼容性也很好。(5)作为普通用户或系统管理员，确保及时对自己的操作系统和应用程序进行升级更新，以修补公开的漏洞，减少不必要的开放服务端口。以上的论述可以考虑提到某种攻击，马上论述其防范措施，不要一股脑儿说完攻击再说防范，这样就没有针对性，还能跟其他论文有区分，以避抄袭之嫌五网络安全防范措施以上这几种防范措施是针对具体的网络攻击来设计的。我们都知道，现在的网络攻击手段纷繁复杂，多的数不胜数，而且攻击的手段越来越高级，就靠这几种防范措施是远远不够得，是不能解决现实问题的。所以下面给大家从总体上强调几

40、点防范措施：1.利用安全防范技术正因为网络安全问题复杂多样，所以出现了一些技术来帮助管理员来加强网络安全。其中主要分为。加密技术，身份认证技术，防火墙技术等等。管理员可以利用这些技术组合使用来保证网络主机的安全。（1）加密技术加密技术主要分为公开算法和私有算法两种。私有算法是运用起来是比较简单和运算速度比较快的，但缺点是一旦被解密者追踪到算法，那么算法就彻底废了。公开算法的算法是公开的，有的是不可逆。有用公钥，私钥的。优点是非常难破解。可广泛用于各种应用。缺点是运算速度较慢。使用时很不方便。（2）身份认证技术身份认证技术在电子商务应用中是极为重要的核心安全技术之一。主要在数字签名是用公钥私钥的方式保证文件是由使用者发出的和保证数