网络攻击方法及对策研究论文

摘要：众所周知，作为全球使用范围最大的信息网，Internet自身协议的开放性极大地方便了各种联网的计算机，拓宽了共享资源。但是，由于在早期网络协议设计上对安全问题的忽视，以及在管理和使用上的无政府状态，逐渐使Internet自身安全受到严重威胁，与它有关的安全事故屡有发生。对网络信息安全的威胁主要表现在：非授权访问，冒充合法用户，破坏数据完整性，干扰系统正常运行，利用网络传播病毒，线路窃听等方面。 本文主要介绍了有关网络信息安全的基础知识：网络信息安全的脆弱性体现、网络信息安全的关键技术、常见攻击方法及对策、安全网络的建设。并提出和具体阐述自己针对这些问题的对策。随着网络技术的不断发展，网络信息安全问题终究会得到解决。 关键词：网络信息安全 防火墙 数据加密 内部网 随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域，存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息，甚至是国家机密，所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。通常利用计算机犯罪很难留下犯罪证据，这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加，使各国的计算机系统特别是网络系统面临着很大的威胁，并成为严重的社会问题之一。 网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 本文从网络信息安全的脆弱性、网络安全的主要技术、常见网络攻击方法及对策、网络安全建设等方面剖析了当前网络信息安全存在的主要问题，并对常见网络攻击从技术层面提出了解决方案，希望通过网络安全建设逐步消除网络信息安全的隐患。 一、网络信息安全的脆弱性 因特网已遍及世界180多个国家，为亿万用户提供了多样化的网络与信息服务。在因特网上，除了原来的电子邮件、新闻论坛等文本信息的交流与传播之外，网络电话、网络传真、静态及视频等通信技术都在不断地发展与完善。在信息化社会中，网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统，使得秘密信息和财富高度集中于计算机中。另一方面，这些网络信息系统都依靠计算机网络接收和处理信息，实现相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作方式和生活方式，成为当今社会发展的一个主题。 然而，伴随着信息产业发展而产生的互联网和网络信息的安全问题，也已成为各国政府有关部门、各大行业和企事业领导人关注的热点问题。目前，全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升，安全问题日益严重。面对这种现实，各国政府有关部门和企业不得不重视网络安全的问题。 互联网安全问题为什么这么严重？这些安全问题是怎么产生的呢？综合技术和管理等多方面因素，我们可以归纳为四个方面：互联网的开放性、自身的脆弱性、攻击的普遍性、管理的困难性。 （一）互联网是一个开放的网络，TCP/IP是通用的协议 各种硬件和软件平台的计算机系统可以通过各种媒体接入进来，如果不加限制，世界各地均可以访问。于是各种安全威胁可以不受地理限制、不受平台约束，迅速通过互联网影响到世界的每一个角落。 （二）互联网的自身的安全缺陷是导致互联网脆弱性的根本原因 互联网的脆弱性体现在设计、实现、维护的各个环节。设计阶段，由于最初的互联网只是用于少数可信的用户群体，因此设计时没有充分考虑安全威胁，互联网和所连接的计算机系统在实现阶段也留下了大量的安全漏洞。一般认为，软件中的错误数量和软件的规模成正比，由于网络和相关软件越来越复杂，其中所包含的安全漏洞也越来越多。互联网和软件系统维护阶段的安全漏洞也是安全攻击的重要目标。尽管系统提供了某些安全机制，但是由于管理员或者用户的技术水平限制、维护管理工作量大等因素，这些安全机制并没有发挥有效作用。比如，系统的缺省安装和弱口令是大量攻击成功的原因之一。 （三）互联网威胁的普遍性是安全问题的另一个方面 随着互联网的发展，攻击互联网的手段也越来越简单、越来越普遍。目前攻击工具的功能却越来越强，而对攻击者的知识水平要求却越来越低，因此攻击者也更为普遍。 （四）管理方面的困难性也是互联网安全问题的重要原因 具体到一个企业内部的安全管理，受业务发展迅速、人员流动频繁、技术更新快等因素的影响，安全管理也非常复杂，经常出现人力投入不足、安全政策不明等现象。扩大到不同国家之间，虽然安全事件通常是不分国界的，但是安全管理却受国家、地理、政治、文化、语言等多种因素的限制。跨国界的安全事件的追踪就非常困难。 二、网络安全的主要技术 （一）防火墙技术 “防火墙”是一种形象的说法，其实它是一种由计算机硬件和软件的组合，使互联网与内部网之间建立起一个安全网关（securitygateway），从而保护内部网免受非法用户的侵入，它其实就是一个把互联网与内部网（通常指局域网或城域网）隔开的屏障。 1．防火墙的技术实现 防火墙的技术实现通常是基于所谓“包过滤”技术，而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中，包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单中设定。访问控制一般基于的标准有：包的源地址、包的目的地址、连接请求的方向（连入或连出）、数据包协议（如TCP/IP等）以及服务请求的类型（如ftp、www等）等。 防火墙还可以利用代理服务器软件实现。早期的防火墙主要起屏蔽主机和加强访问控制的作用，现在的防火墙则逐渐集成了信息安全技术中的最新研究成果，一般都具有加密、解密和压缩、解压等功能，这些技术增加了信息在互联网上的安全性。现在，防火墙技术的研究已经成为网络信息安全技术的主导研究方向。 2．防火墙的特性 从物理上说，防火墙就是放在两个网络之间的各种系统的集合，这些组建具有以下特性： （1）所有从内到外和从外到内的数据包都要经过防火墙； （2）只有安全策略允许的数据包才能通过防火墙； （3）防火墙本身应具有预防侵入的功能，防火墙主要用来保护安全网络免受来自不安全的侵入。 3．防火墙的使用 网络的安全性通常是以网络服务的开放性、便利性、灵活性为代价的，对防火墙的设置也不例外。防火墙的隔断作用一方面加强了内部网络的安全，一方面却使内部网络与外部网络的信息系统交流受到阻碍，因此必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流，这样不仅增大了网络管理开销，而且减慢了信息传递速率。针对这个问题，近期，美国网屏（NetScreen）技术公司推出了第三代防火墙，其内置的专用ASIC处理器用于提供硬件的防火墙访问策略和数据加密算法的处理，使防火墙的性能大大提高。 需要说明的是，并不是所有网络用户都需要安装防火墙。一般而言，只有对个体网络安全有特别要求，而又需要和Internet联网的企业网、公司网，才建议使用防火墙。另外，防火墙只能阻截来自外部网络的侵扰，而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。 （二）数据加密技术 1．数据加密技术的含义 所谓数据加密技术就是使用数字方法来重新组织数据，使得除了合法受者外，任何其他人想要恢复原先的“消息”是非常困难的。这种技术的目的是对传输中的数据流加密，常用的方式有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件，采用某种加密技术对所发送文件进行加密，把明文（也即原文）加密成密文（加密后的文件，这些文件内容是一些看不懂的代码），然后进入TCP/IP数据包封装穿过互联网，当这些信息一旦到达目的地，将由收件人运用相应的密钥进行解密，使密文恢复成为可读数据明文。 2．常用的数据加密技术 目前最常用的加密技术有对称加密技术和非对称加密技术。对称加密技术是指同时运用一个密钥进行加密和解密，非对称加密技术就是加密和解密所用的密钥不一样，它有一对密钥，分别称为“公钥”和“私钥”，这两个密钥必须配对使用，也就是说用公钥加密的文件必须用相应人的私钥才能解密，反之亦然。3．数据加密技术的发展现状 在网络传输中，加密技术是一种效率高而又灵活的安全手段，值得在企业网络中加以推广。目前，加密算法有多种，大多源于美国，但是会受到美国出口管制法的限制。现在金融系统和商界普遍使用的算法是美国的数据加密标准DES。近几年来我国对加密算法的研究主要集中在密码强度分析和实用化研究上。 （三）访问控制 1．身份验证 身份验证是一致性验证的一种，验证是建立一致性证明的一种手段。身份验证主要包括验证依据、验证系统和安全要求。身份验证技术是在计算机中最早应用的安全技术，现在也仍在广泛应用，它是互联网信息安全的第一道屏障。 2．存取控制 存取控制规定何种主体对何种客体具有何种操作权力。存取控制是网络安全理论的重要方面，主要包括人员限制、数据标识、权限控制、类型控制和风险分析。存取控制也是最早采用的安全技术之一，它一般与身份验证技术一起使用，赋予不同身份的用户以不同的操作权限，以实现不同安全级别的信息分级管理。 三、常见网络攻击方法及对策 网络中的安全漏洞无处不在。即便旧的安全漏洞补上了，新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。 （一）网络攻击的步骤 1．隐藏自己的位置 普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP，然后再盗用他人的帐号上网。 2．寻找目标主机并分析目标主机 攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址，域名是为了便于记忆主机的IP地址而另起的名字，只要利用域名和IP地址就可以顺利地找到目标主机。此时，攻击者们会使用一些扫描器工具，轻松获取目标主机运行的是哪种操作系统的哪个版本，系统有哪些帐户，WWW、FTP、Telnet、SMTP等服务器程序是何种版本等资料，为入侵作好充分的准备。 3．获取帐号和密码，登录主机攻击者要想入侵一台主机，首先要有该主机的一个帐号和密码，否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件，进行破解，从中获取某用户的帐户和口令，再寻觅合适时机以此身份进入主机。当然，利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。4．获得控制权攻击者们用FTP、Telnet等工具利用系统漏洞进入目标主机系统获得控制权之后，就会做两件事：清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序，以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的，只需要想办法修改时间和权限就可以使用了，甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件，以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者就开始下一步的行动。5．窃取网络资源和特权攻击者找到攻击目标后，会继续下一步的攻击。如：下载敏感信息；实施窃取帐号密码、信用卡号等经济偷窃；使网络瘫痪。（二）网络攻击的常见方法1．口令入侵所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。2．放置特洛伊木马程序特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知攻击者，来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。3．WWW的欺技术在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺的目的了。

网络暴力是一种区别于传统暴力概念界定的暴力行为，“网络”二字恰恰说明了这一暴力行为发生的重要途径，即网络虚拟世界平台。网络暴力这类信息通常具有恶意、攻击性、残忍凶暴等特性，违反了社会道德价值观，也超出了公共行为的基本约束底线。尽管这类信息往往是针对某一事件而言，但其信息内容已经超出了事件客观评价的合理限度。一、网络暴力概述（一）网络暴力特征1.形式特征人有七情六欲，心情不佳是我们每个人在日常生活中都会出现的情况，进行负面情绪宣泄也是合理的。但是负面情绪的宣泄往往受到来自于社会法规、道德准则和人际交往习惯的约束。而网络虚拟世界给了网民平等的话语权，并且除去了人们在现实生活中的许多行为约束，因此人们更容易在网络虚拟环境中进行负面情绪释放，语言文字的暴力就是其中极为常见的一种形式。必须承认，目前这一暴力形式在国内网络上几乎随处可见，尤其是各类浏览量较高的网站论坛，语言文字暴力屡见不鲜，事实上，它往往也是各类网络暴力事件的重要组成，它对于网络暴力影响的扩大和危害程度的加强有着不可忽视的影响。2.性质特征谣言是一种子虚乌有的言论，但不得不承认，往往谣言的编造者能够抓住网民的关注焦点，使得谣言迅速铺开，造成严重的影响。网民在这一过程中既是加害者，也是受害者。谣言的泛滥导致了网民信任感的减退，民众在谣言泛滥的环境中极易出现规模性的恐慌，甚至产生社会动荡。网络暴力多种多样，并非所有都源自于谣言。但与谣言相关的网络暴力则基本都沿循了，“谣言制造者散布谣言，吸引网民进行盲目传播，谋取不法利益”这一规律。不少网络暴力尽管初始与谣言并不相关，但在事件持续发酵的过程中，谣言不断涌现导致事件真相反而被模糊了。当某一事件所引发的矛盾变得十分显著时，网民关注的焦点已经不再是事件的本来面貌，而是实施暴力行为的过程。因此网络暴力事件常常并非仅有一种网络暴力形式，多半是多种形式综合性出现。二、案例分析以“上海地铁凤爪女”事件为例（一）“上海地铁凤爪女”事件中网络暴力概述事件开端是2016年1月2日网友上传的一则视频，网友对视频内容进行了基本概述，大意就是，当日下午，某时尚女郎在上海地铁的一车厢内，拆食泡椒凤爪的零食，并将零食残渣肆意扔向地铁内。周围乘客上前制止其行为，但却遭到对方辱骂，并否认自身行为。同样乘坐该地铁的一位老人旁观后挺身而出，作证女子的不雅行为，反遭到女子的辱骂，态度极为恶劣。视频拍摄者系华东师范大学数学系张某，通过一些渠道联系到本人，对于拍摄视频曝光在网上之后对于视频主人公未来的生活造成的不良影响一开始是没有意识到的。出发点只是想让更多的人了解这件事情，去评价并且让更多的人关注地铁文明。可是后来其他网友的人肉搜索以及对其造成的谩骂等一系列行为其实并没有在原先臆想之中，在这里还是要对于这件事情进行道歉。（二）“上海地铁凤爪女”事件中网络暴力诱因1.网络的虚拟性和匿名性导致网民滥用言论自由 网络世界是建立在信息技术之上的虚拟世界，因此对于网民行为的约束能力本就不强。而网络又向网民提供了匿名身份和平等的话语权，导致了对于公民而言，现实生活和网络虚拟生活可以分离开来。社会责任的减弱，话语权的滥用也就越来越严重，最终催生了网络暴力。再者，网络信息技术的超高信息传播效率还带来了“群体极化”的问题，这一种由于某些团体成员的意见倾向，导致相当多的团体成员开始出现意见倾斜，乃至出现极端观点的行为，对于网络暴力的产生是十分关键点。往往是具有一定影响力的网民针对事件进行意见发表，将大部分网民的情绪和舆论导向了消极层面，诱发了网络暴力。2．乌合之众：集合行为带来的“围攻”现象 正如美国的社会学家戴维·波普诺所言，“集合行为本质是一种自发式、缺乏合理组织、没有稳定基础结构和难以预判的针对某一刺激或事件的行为，一般都是通过集群、规模性恐慌和时尚等等形式出现。”在他的理念中，网络暴力就是网民在虚拟世界中对于某一事件的集体反应的后果。按照相关理论，舆论被定义为“社会合意”，舆论的产生本质就是社会成员对于某一问题进行广泛探讨最终形成主流意见（即合意）。那么回归到这一案例中，事件酝酿的过程就是微博中的一个人对此进行转发，并引起了网民的关注和参与，在影响范围越来越广泛时，对事件的意见也在悄然形成。三、网络暴力防治对策（一）推行网络实名制 网络实名制并非一个新兴概念，事实上，早已有国家提出并推行这一制度。当前国内的某些网站也开始尝试自主实行实名制，然而却颇受质疑。争论的焦点归纳而言就是，个人信息的安保、民意反馈的限制、全面监管难度以及基层网吧对于上网身份核对把控的严格度。 第一是对于“网络实名制”的准确理解问题。有的人误以为网络实名制就是必须在网络虚拟世界中应用真实姓名，而实际并非如此。这一想法应当归属于“前台实名”的种类，但应用更为广泛的一种模式是“后台实名”，即网民可以自定义自身的网络虚拟世界用户名，但是网络技术后台可以查阅到该用户的真实姓名和身份信息，这与写作中的笔名有所类似，但与其不同的是还附带了技术和法律限制。这是为了保证个人信息的安全性，确保只有在合理合法手段的背景下，个人信息才能被查阅。 第二是民意反馈受限的问题。首先应该正视的一点是，真实的民意所向并不畏惧公开表达，实名制恰恰能够预防借由民意达到不法目的的情况出现。目前国内已有关于政府职能履行和官员贪腐的民意监管反馈渠道，但进一步完善来说，还可以建立非实名的网络举报论坛，以保障舆论监督的质量和举报主体的安全，这一构想无论是技术支持还是相关法规而言，都是可以实现的。第三，网络实名制的监管问题，就当前的技术水平而言，实现监管的难度并不大，譬如通过技术手段将上网门槛调整为实名制申请，否则无法进行浏览之外的网络活动。（二）实施有效监督机制对于网络暴力问题，有的学者错估了其严重性，导致出现了一种当前立法已经足以应对网络暴力问题的论调。事实上，网络暴力的法律约束是一个十分复杂的问题，解决方式也并不只局限在如何进行暴力发生后的救济。而是应当建成一套完善的预防网络暴力、控制其暴力行为和暴力行为后救济的法律体系。由此纵观当前的国内立法，不难发现，绝大部分的落脚点都在于暴力行为后救济上，对于预防和控制的法规设置尚属空白。解决问题的最优模式应当是进行足够的预防和事态控制，而非在发生后进行补救。（三）加强网络道德教育不得不承认，网络暴力的预防离不开公民道德培养。网络暴力的产生来源一般是心理问题，常常是日常生活中的消极情绪累积而导致的。因此，必须要开展道德，特别是网络道德的针对性教育，全面提升我国公民素质水平。第一，必须要打造符合科学的网络道德教育体系，网络道德教育不是机械化的生搬硬套道德理念，而是应当结合网络实际现状和社会环境，进行针对性的道德评判，以建立较为科学合理的网络道德教育体系。 第二，综合社会各界力量，推行全面的道德教育。道德教育不能脱离社会实际存在，因此，社会必须要形成较为良好的道德风尚，进一步形成良好的网络法制环境和道德氛围，助力网络道德教育。 第三，打造网络教育社区。网络虚拟世界是一把双刃剑，网络暴力的本质就是一种个人依附于群体进行情绪宣泄的后果，消极情绪的集合会带来难以想象的破坏效果，因此，个体乃至群体的理性意识提升是对于网络暴力进行预防和控制的重要手段。这对于网民自身而言，也是大有裨益的。本文来源：《视听》：