- 相关推荐
网络存在的安全隐患如何防范
【IT168 专稿】黑客、没有安全意识和心怀不满的员工可谓你网络敌人;病毒、特洛伊木马程序、攻击、恶意程序、数据监听等,都是危害企业网络安全的。危害网络的方式多种多样,联网的计算机都不可能幸免。那么网络安全存在哪些方面的问题。
一. 网络病毒
传统病毒只是要破坏它们感染的设备,但是现代的病毒通常会通过
Internet 上进行传播,复制并破坏其他计算机。现在的网络病毒具有明显的功利性,不再是显耀技术。很多这样的病毒都会在感染的设备上安装一个特洛伊木马程序,特洛伊 木马程序可能不会进行任何直接的损坏,但是会将用户的信息从它安装的电脑上通过 Internet 发送到黑客那里,然后这个黑客了解它正在运行什么软件以及哪些位置易于攻击,就可以对该设备发起一个有目标的攻击了。更甚者是盗取客户的银行帐户信息、股票帐户信息、QQ信息、游戏帐户信息、重要商业秘密等,进而进行实际的盗窃活动,造成客户严重的资金损失。 案例:
近几年相继发生无数起网上银行、股票的账号、密码被盗案例,多数是由于用户的电脑在上网的过程中中盗号木马病毒(网银大盗,证券大盗)。如:2004年12月1日,江民(促销产品 主营产品)科技反病毒中心发布病毒紧急通报,一名为“证券大盗”的病毒被加载在一地址为http://cankao.gcw818.com网站上,该网址与北京首放公司网站(http://cankao.gcw818.com)相似。
股民只要点击或误入该网站就会中毒,病毒运行后,修改注册表自启动项,以使自己随系统同时运行,随后潜伏在系统中,不对系统产生任何破坏,系统亦无任何异常症状。一旦病毒自动监测到包含多家券商名称的标题窗口,就开始使用键盘钩子程序自动记录用户登陆信息,包括用户名和密码,同时,病毒还通过屏幕快照将用户登陆时窗口画面保存为图片,在记录达到一定次数后,将记录的信息和图片通过电子邮件发送给病毒作者。随后病毒开始“自杀”,删除自己在电脑中留下的所有文件,让受害者找不到任何线索。
二. 网络入侵
1. 数据包嗅探器
最普遍的安全威 胁来自内部,同时这些威胁通常都是致命的。其中网络嗅探对于安全防护一般的网络来说威胁巨大,很多黑客也使用嗅探器进行网络入侵的渗透。网络嗅探器对信息 安全的威胁来自其被动性和非干扰性,使得其具有很强的隐蔽性,往往使信息泄密不易被发现。数据包嗅探器指的是与局域网相连并从以太网帧获取信息的应用程序软件或硬件设备。这些系统的最初意图在于对以太网通信进行故障排除和分析,或者深入了解帧以检查单个的 IP 数据包。嗅探器以混合模式运行,即它们侦听物理线路上的每个数据包。
很多应用程序(如 Telnet)都会以明文形式发送用户名和密码信息,这些内容可以被嗅探器读取,因此使用数据包嗅探器的黑客就可能会得到很多应用程序的访问权限,这种情 况主要是通过确保使用强加密的密码。黑客可能在客户的系统中安装完特洛伊木马程序后安装sniffer(嗅探器),让sniffer监听局域网内的 TCP/IP数据包,并将监听到的信息形成一个文件,再由洛伊木马程序发送到外部的互联网的指定地址。
案例:
Sniffer是黑客们最常用的入侵手段之一,由于在一个普通的局域网络环境中,帐号和口令信息以明文方式在以太网中传输,一旦入侵者获得其中一台主机的超级用户权限,并将其网卡置于混杂模式以窃-听网络数据,从而有可能入侵网络中的所有计算机。许多用户很放心在网上使用自己的信用卡,然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码等信息。
2. IP 欺骗
IP 欺骗是指对 IP 数据包的源地址进行更改以隐藏发送方的身份。因为 Internet 中的路由操作只使用目标地址将数据包发送到它的路径上,而会忽略源地址,所以黑客可能会伪装这个源地址向您的系统发送破坏性的数据包,而您不了解它来自何 处。欺骗不一定具有破坏性,但是它表明入侵随时会出现。该地址可能位于您的网络之外(来隐藏入侵者的身份),也可能是一个具有特许权限的受信任内部地址。
案例:
每一个黑客都会想到:如果A主机和B主机之间的信任关系是基于IP址而建立起来的,那么假如能够冒充A主机的IP,就可以使用rlogin登录到B主机,而不需任何口令验证。另外,IP欺骗也被黑客用于进行拒绝服务攻击的手段。
3. 拒绝服务攻击
拒绝服务攻击是最难阻止的攻击,这些攻击与其他类型的攻击不同,因为它们不会对网络产生永久性破坏,而是通过对某个特定的计算机或者网络设备发起攻击,或 者将网络链路的吞吐量降低到足以造成客户厌烦和业务损失的程度,从而停止网络的运行。拒绝服务攻击利用TCP/IP协议的缺陷,有些DoS攻击是消耗带 宽,有些是消耗网络设备的CPU和内存。
《网络存在的安全隐患如何防范》全文内容当前网页未完全显示,剩余内容请访问下一页查看。
其中,具有代表性的攻击手段包括SYN flood、ICMP flood、UDP flood等,其原理是使用大量伪造的连接请求报文攻击网络服务所使用的端口,从而造成服务器的 CPU、内存资源耗尽,系统停止响应甚至崩溃。而连接耗尽攻击,则使用真实的IP地址,发起针对网络服务的大量的真实连接来抢占带宽,也可以造成网络设备 资源耗尽,导致服务中止。最严重的拒绝服务攻击是分布式 DoS (DDoS) 攻击,它从很多其他计算机发起,集中攻击某个特定服务器或网络系统。
承担攻击任务的计算机本身不一定主动发起了这个攻击,但是由于它们自身的安全漏洞,使得它们自身被黑客渗透,黑客指示它们向网络发送大量数据,从而造成ISP 拥塞或者某个设备拥塞。
案例:
2017年5月,北京市公安局网监处接到了网络游戏运营商联众(促销产品 主营产品)公司的报案,该公司托管在北京、上海、石家庄的多台服务器遭受到200万 个不同程度的大流量DDOS拒绝服务攻击包,长达近一个月,公司经济损失达数百万元。由于该公司电脑服务器瘫痪,玩家无法登录网站玩网络游戏。公司工程师 曾经试图修改被攻击服务器的IP地址以躲避攻击,但5分钟后攻击随即转向更改IP后的服务器。民-警勘察发现这些攻击包,IP来源是伪造的 218.X.X.X和219.X.X.X段。
民-警了解到,今年4月末,就在联众公司受到不明攻击后,上海一家科技公司负责人罗某主动与联众取得联系,销售其研发的价格百万元的防火墙设备。随后民-警开 始着手调查,一组侦查员还远赴上海调查取证,最终将罗某、黑客高手李某等4人抓获。 据了解,除了联众公司,他们还对北京、杭州的多家网络游戏运营公司的电脑服务器发动网络攻击。一旦攻击成功,就向被攻击公司销售自己的设备
4. 应用程序层攻击
应用程序层攻击通常是最引人注意的攻击,通常利用应用程序(如 Web 服务器和数据库服务器)中众所周知的弱点。这些应用程序的问题在于它们被设计为供公共用户访问,这些用户是未知的并且不可信任,尤其对于 Web 服务器来说更是这样。大多数攻击是针对应用程序产品中的已知缺陷的,因此最好的防护是安装软件生产商提供的最新更新。
案例:
应用程序层攻击的例子是——结构化查询语言 (SQL) Slammer 蠕虫病毒,它曾经在 2003 年 1 月份爆发,很短时间内影响了 35,000 个SQL服务器系统,造成全世界的主干互联网络出现持续多日的拥堵。这个蠕虫病毒就是利用了 Microsoft SQL Server 2000 中的一个已知问题,对于这个问题,Microsoft 早在Slammer 蠕虫病毒爆发四个月前,即 2002 年 8 月份就已经发布了一个补丁程序,因此它利用了很多管-理-员既没有应用推荐的更新也没有安装适当的防火墙的失误来进行攻击(防火墙本来可以阻止数据包发送到该 蠕虫病毒所使用的端口)这一事实。软件生产商建议对于所有产品都应该及时应用升级,尤其用来防止应用程序层的攻击。
5. 网络侦察(或称网络扫描)
网络侦察指的是对网络进行扫描以发现有效的 IP 地址、域名系统 (DNS) 名称和服务端口,然后发起攻击。虽然网络侦察本身没有什么害处,但是可以发现哪些地址正在使用可能会帮助某些人发起恶意的攻击。实际上,如果查看防火墙的 日志,则会发现大多数入侵都具有这种特征;典型的探询包括扫描传输控
制协议 (TCP) 和用户数据报协议 (UDP) 侦听端口,以及一些其他的已知侦听端口所有这样的探询都会寻求一个响应,该响应将告知黑客服务器的存在并且在运行这些服务中的一种(聪明的黑客知道端口对 应某个特定服务)。
案例:
下面两个端口容易受黑客青睐。
3899端口入侵:众所周知,远程终端服务基于端口3389。通过3389端口入侵系统是黑客的最爱,因为通过图形界面,可以像操作本地计算机一样来控制 远程计算机。入侵者一般先扫描主机开放端口,一旦发现其开放了3389端口,就会进行下一步的入侵。所需的软件是S扫描器和WINDOWS自带的远程登录 器。我们用S扫描器扫一下3389端口,会出来许多开放3389端口主机,接着你就一个一个去试了哦,像XP系统可以用NEW或者是 administrator作为用户名,密码空,大多数你就能够进入别人的电脑。
4899端口入侵:首先说明4899端口是一个远程控制软件(remote
《网络存在的安全隐患如何防范》全文内容当前网页未完全显示,剩余内容请访问下一页查看。
administrator)服务端监听的端口,他不能算是一个木马程序,但是具有远程控制功能,通常杀毒软件是无法查出它来的。所需要的软件是NTscan和Radmin。首先你用NTscan扫描4489端口,然后就可以用Radmin做你自己想做的事情了。 另外,默认情况下,Windows有很多端口是开放的,在你上网的时候,网络病毒和黑客可以通过这些端口连上你的电脑。主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。 三.无线安全
无线网络的通信链路通过无线信号开放在空气当中的建立的,它没有隐蔽性可言。一个不争事实就是绝大多数的无线网络都是不安全的。对于无线网络用户来说,很重要的一点就是应该懂得:无论使用了多么安全的无线网络,除非已经部署了端到端的加密技术,否则都没有所谓的真正的安全。
案例:
无线AP直接入内网交换机带来的安全隐患。没有经过防火墙的世哲学防护,一旦无线网遭到破解,黑客就可以直接从内网攻击。
过度“爆光”无线网带来的安全隐患。无线网有一定的覆盖范围,过度追求覆盖范围,会过分“爆光”我们的无线网,让我们的无线网增加受攻击的机会。 不设防闯入的安全隐患。客户在购买回无线AP以后,对设备安全方面的出厂初始设置没有做任何改变,没有重设无线AP的管-理-员登录密码、SSID、没有设置WEP秘钥。
破解普通无线安全设置导致设备身份被冒用的安全隐患。即使是对无线AP采取了加密措施,无线网仍然不是绝对安全的。使用以下软件:Network
Stumbler、WildPackets AiroPeek NX 、OmniPeek 4.1和WinAircrack等,只要有足够长的时间来抓取正在通信中的无线网络通信信号所含的数据包,就可以破解包括WEP加密、WPA加密、MAC 过滤、SSID隐藏等无线网安全设置。 四.网络的架构和管理的问题
网络的架构如果设计不当,为给企业网带来最大的安全隐患,比如不重视网络边界的防火墙和内网重要工作组防火墙的设置等。常规的网络安全防御手段往往局限于网络边界的防御,但是实际情况是,很多安全问题出自网络内部,企业因信息自内部被窃取所造成的损失远远超过黑客攻击和病毒破坏所造成的损失。 防火墙、入侵检测、入侵防御、物理隔离等网络安全保护对于防止外部入侵有着不可替代的作用,但对于网络内部由于管理不善所造成的安全隐患却无可奈何,因此,内部网络的安全管理必须作为整个网络安全防范的重要组成部分。 案例:
企业网络的内部管理存在的隐患,如:(1)身份共用。很多电脑系统没有给具体使用建立帐户,全部使用高级用户身份登录,甚至服务器上也是这样;(2)身份盗用。密码管理不善或密码过于简单,没有定期更新;(3)身份级别设计不清析。使用保密网络或服务器的用户身份存太多的超级用户或普通用户被错误分配拥有超级用户身份;(4)网络机房或服务器机房疏于防范。重点保护的机房没上锁,没有电视监控,没有操作记录。 五.网络灾难
网络灾难是指重要的网络设备,如路由器、防火墙、代理服务器、核心交换机等网络的重要节点由于系统故障引起的网络停工事件。一个很建全的标准企业网络架构设计会在这些重要节点设置双机冗余,以求在一机宕机时,另一机还能工作,平时则实现负载平衡。
总 结:
现在最重要的网络安全隐 患是网络入侵,网络入侵所带来的经济损失越来越占据很大比重,此外,经济间谍也会通过网络入侵来盗窃企业的重要商业机密。我们企业要未雨绸缪,思想上认清 网络危害无处不在,我们要早作准备。首先设计好自己的安全网络架构并实施;再则经常对系统或应用程序打补丁;三是跟踪网络上有关最新病毒和新攻击的有关信 息,及早做出防范。
【网络存在的安全隐患如何防范】相关文章:
如何防范网络钓鱼09-23
如何防范网络攻击09-23
如何防范网络信息窃取09-23
如何防范网络恐怖主义09-23
如何防范诈骗11-28
如何防范邪教09-23
网络骗局需防范05-19
如何防范非法集资02-27
如何防范传销陷阱06-15