如何做好网络安全防范（一）

随着互联网的飞速发展，网络安全问题愈发突出，为此有效进行网络安全防范成为了保障信息安全的重要前提。要做好网络安全防范，首先需要对网络中可能面临的安全威胁，包括其对应的攻击手段和对网络的危害有所了解，才能针对性地选择有效的防范策略。

#安全

发布时间：2022-11-09
点击量：
点赞：

分享至

我想评论

1 背景

网络安全防范是保障信息安全的重要手段。随着互联网体量与业务的极速扩张，网络中承载了越来越多的重要信息。但随着网络设备遭受病毒攻击、用户隐私数据泄密等安全事件频发，用户的信息安全遭遇了严重的威胁，人们不禁对网络的可靠性和安全性提出了质疑。因此，如何保障网络安全性，有效识别网络中可能面临的安全威胁并加以防范，成为了个人用户、企业、行业乃至整个国家都需要考虑的重要课题。

2 什么是网络安全

网络安全指的是网络系统中的软、硬件以及系统中的数据信息受到保护，不因偶然或恶意原因受到破坏、更改或泄露，系统运行连续可靠，网络服务不中断。简而言之，维护网络安全就是要保障网络的可用性、完整性、保密性。

●可用性：保障网络服务和信息在需要时能被即时获取；

●完整性：在未经授权的情况下，数据在存储或传输的过程中不被修改、破坏或丢失；

●保密性：网络中的信息不被泄露给非授权实体。

3 常见的网络安全威胁

3.1 有害程序

有害程序引起的安全威胁指的是通过恶意程序，危害系统中数据、应用程序或操作系统安全，从而影响系统正常运行。有害程序包括计算机病毒、木马、蠕虫、僵尸网络、网页内嵌恶意代码等，以下对其中三类安全威胁进行详细介绍。

3.1.1 病毒

计算机病毒是人为制造的、能够破坏计算机系统、毁坏数据、影响计算机使用的一组指令或代码。计算机病毒能够实现自我复制和自我执行，并且具有破坏性、潜伏性、传染性等特点。

病毒常以隐藏文件或伪装为正常程序的形式存在，通常通过移动存储设备和网络进行传播，从而造成大面积的计算机受到影响。计算机感染病毒后，轻则导致程序无法正常运行、系统运行卡顿，重则导致部分重要数据丢失，更有甚者，硬盘内所有数据均被彻底抹除。

3.1.2 木马

木马是一种用于盗取用户信息的后门程序，其具有很强的隐蔽性和顽固性。顽固性强的木马即使被检测软件识别，也难以清除。与病毒不同，木马不具备传染性，且无法自我复制，其作用对象通常为用户在设备正在操作的资料和信息。

系统漏洞、邮件、软件下载过程均为木马入侵的重要途径。感染木马后，计算机中的重要文件和密码将被盗取，同时，计算机的控制权也可能被攻击者获取。

3.1.3 蠕虫

蠕虫是一种独立的恶意程序，具有极强的破坏性和传染性。与病毒不同，蠕虫无需寄宿于主程序即可独立地运行、复制和传播。而蠕虫和木马的差异在于，木马将信息窃取作为首要任务，蠕虫则是以破坏作为主要目的，并且会大量复制并传播，以求感染更多的设备。

蠕虫主要通过网络传播，可以感染网络上任何不受保护的设备。蠕虫攻击由于不断扫描IP地址，因此将占用大量的带宽资源，并且急剧消耗网络设备的CPU资源，导致设备无法正常提供网络服务。

3.2 网络攻击

网络攻击是指利用网络系统中的协议、配置、程序缺陷，对系统发起攻击，从而影响正常网络服务和系统运行。网络攻击的方式包括拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听等。

3.2.1 拒绝服务攻击

拒绝服务（DoS，Denial of Service）攻击是一种通过消耗网络带宽、设备CPU资源、内存空间或磁盘空间等方式，使得网络服务瘫痪的恶意攻击行为。

攻击的手段多样，最为常见且典型的就是泛洪攻击。泛洪即是发送大量的流量，由于垃圾流量抢占了网络带宽与系统资源，正常的数据报文将无法传输，导致网络服务瘫痪。泛洪攻击通常利用TCP/IP协议以及系统存在的漏洞进行，其产生的根本原因还是在于网络带宽和系统资源的有限性。常见的泛洪攻击有TCP-SYN Flood、DHCP Flood和ARP Flood等。

●TCP-SYN Flood是当前最普遍的泛洪攻击方式之一，其利用TCP连接三次握手的弱点实现。攻击者向被攻击设备发送大量包含SYN标志的TCP请求，被攻击设备收到后将回复SYN+ACK数据包，并将此半连接记录添加到队列中，等待对方回应ACK报文后再将此条目从队列中删除。此时，攻击者不再回应ACK确认报文，因此，被攻击设备将在超时时间到达前维持半连接，并持续发送SYN+ACK报文。队列中大量的半连接将急剧占用被攻击设备的系统资源，导致正常服务的请求信息无法被响应。

图3-1 TCP-SYN Flood攻击示意图

●DHCP Flood攻击中，攻击者使用大量伪造的MAC地址向DHCP服务器发送IP地址获取请求，从而使得DHCP服务器的地址池被伪造地址耗尽，合法设备无法通过该服务器获取IP地址。

●ARP Flood攻击则是通过大量发送包含伪造信息的ARP报文，从而占据ARP表资源，造成合法ARP请求无法解析。

上述泛洪攻击能够成功主要利用了设备资源的有限性，通过大量的攻击数据包占据资源，导致正常的网络服务请求无法被响应。此类攻击需要攻击者持续发送大量数据包才能完成，并且只需要少量人为干预，即可恢复网络性能。

在另一类DOS攻击中，攻击者利用协议或软件漏洞，只需要发送少量的攻击数据包，即可使得被攻击者系统崩溃。此类攻击在大多数情况下需要通过重新启动系统才可恢复，具有更大的安全威胁。常见的攻击方式有TearDrop泪滴攻击、Land攻击和Smurf攻击等。

●TearDrop通过发送异常的数据分片进行攻击。数据包在路由器间进行传输时，大小若超过MTU值，则会被分片，直至到达目的主机后才会被重新组装。攻击者利用此特点，向受害主机发送含有重叠偏移的伪造IP分片，受害者主机在在收到数据时无法处理分片，从而导致系统崩溃、设备死机。

●Land攻击通过发送源、目地址和源、目端口号均为受害者主机地址或端口号的TCP-SYN数据包，使得自身形成环路，导致系统崩溃。

●Smurf攻击中，攻击者将源地址伪装成受害者主机地址、将受害网络的广播地址作为目的地址发送ICMP请求，网络中的所有设备收到广播请求后，将应答信息发送给受害者主机，从而导致其崩溃。

3.2.2 后门攻击

后门指的是在系统中的非公开访问控制途径，攻击者通过该途径能够绕过检查，隐蔽地获取设备的控制权或受保护信息。设备上后门的来源一般为以下两种形式：

●在软件开发或硬件设计过程中，开发者留下后门，且未在软件发布或产品上市前关闭。

●攻击者攻陷主机后在设备上植入木马程序，或用户通过邮件或主机打开了藏有木马的文件，此时木马程序将会在设备上自动创建后门。

由于多数安全软件在检测时会忽略系统中的后门，因此一旦攻击者通过后门入侵设备，就难以被发现。

3.2.3 漏洞攻击

漏洞攻击是指攻击者利用协议、软件、硬件或安全策略上存在的缺陷，对设备或网络发起攻击。通过漏洞攻击，攻击者能够在未授权的情况下访问或破坏系统。

漏洞存在于网络中的任何软硬件设备上，即使是一些安全工具本身也不可避免地存在漏洞。上文提到开发者为了便于测试，常常会留下后门，这些后门在产品发布之后，自然而然便成了攻击者可以利用的漏洞。同时，网络协议也是漏洞产生的温床。此外，随着软硬件运行环境的更新和用户使用的过程，新的漏洞会不断出现。一旦设备缺少网络安全防范机制，攻击者很容易通过系统漏洞获取控制权限。

3.2.4 网络扫描窃听

网络扫描是一种基于TCP/IP协议的信息探测手段，适用于主机、路由器、防火墙等多种网络设备，用于发现网络的远程服务和系统脆弱点。通过网络扫描，可以获悉网络中正在运行的设备的信息。对网络中的合法用户而言，扫描有利于了解网络的运行情况，辅助网络安全评估；而对攻击者而言，网络扫描则是了解和选择攻击目标的有效途径。因此，网络扫描常常作为网络攻击的第一步，是攻击者在实施具体攻击前，用于搜索网络情报的一个重要步骤。

实施网络扫描获取网络情报后，攻击者通常会采用网络窃听作为下一步攻击手段。网络窃听又称为网络嗅探，是攻击者用于截获数据的重要方法。攻击者通过寻找端到端通信之间未加密的弱连接，拦截穿越网络的数据包，从而窃听跨越主机、服务器、网络设备、智能手机等网络组件的对话，此时任何未经加密的流量都可以被攻击者读取。窃听行为不会对网络设备造成实质性的损害，但对用户数据的泄漏是不可估量的。窃听行为往往不容易被发现，因此想要检测和防范网络窃听攻击是极为困难的。

3.3 信息破坏

信息篡改、信息假冒、信息泄露、信息窃取等均属于信息破坏的范畴，是网络中最为普遍的安全威胁之一。攻击行为除了满足一部分黑客的好奇心与好胜心，更多则是为了获取利益，而用户信息就是攻击者获取利益的最佳途径。大多数有害程序和网络攻击会导致信息受到破坏。攻击者通过木马程序或漏洞攻击，在无授权的情况下获取用户设备的访问权限。此时，系统中保密、敏感的信息自然便暴露在了攻击者眼前，攻击者可以通过窃取、篡改或删除操作对信息造成破坏。

4 总结

网络环境日渐复杂，而用户对于数据、应用的安全性要求又在逐步提升，为了避免网络中无处不在的安全威胁，做好网络安全防范工作是至关重要的。而在通过网络设计、安全功能配置或是安全策略执行等方式提升网络应对攻击的能力之前，了解当前网络环境下可能遇到的安全问题是必不可少的步骤。只有了解网络中可能会面临哪些安全威胁，以及安全威胁的来源以及带来的影响，才能采取有效举措进行针对性防范。而对于上述安全问题的具体防范措施，将在下期揭晓。

相关链接
网络安全隐患之：“挖矿木马”介绍