计算机网络安全与管理

摘要：该文简要分析了网络攻击的方式及应对网络安全的措施，并通过一个小型网络的例子分析安全设备的布署。

关键词：网络攻击方式；防范措施

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）24-5604-03

随着计算机网络技术的不断发展，计算机网络成为了重要信息交换手段和信息共享平台，并渗透到了社会各个领域。但由于计算机网络具有连接形式多样性、终端分布不均匀性及网络的开放性、共享性等特征，致使网络易受黑客、恶意软件和其他恶意攻击。因此，分析、认识网络的脆弱性和潜在威胁，采用强有力的安全策略，并全方位地针对各种不同的安全威胁和系统脆弱性采取相应的应对措施，才能让网络正常运转，更好地为我们服务。

1 网络安全的定义

国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。Internet 本身具有的开放性和共享性对计算机网络环境下的安全问题提出了严峻的挑战。在计算机网络环境中的通信通常面临以下的4种威胁：截获、中断、篡改和伪造。其中，截获属于被动攻击方式，在这种攻攻击方式中，攻击者保是观察和分析某些协议数据单元（PDU）而不干扰信息流，这种方式也称为通信量分析方式，而中断，篡改和伪造则是属于主动攻击方式，攻击者对某个连接中传输的协议数据单元进行各种处理，例如有选择地进更改、删除、延迟这些协议数据单元等。对安全通信的定义主要集中在对通信和网络资源的保护方面，实际上，网络安全不仅涉及保护，还包括对安全通信的破坏和对基础设施的攻击进行检测，并对这些攻击做出响应。网络安全是通过循环往复地保护、检测和响应来实现的。

2 网络安全的管理

针对影响网络安全的因素，简要介绍以下几种常见的网络攻击方式：

1） SYN Flood

SYN Flood（SYN洪泛）是最为有效和流行的一种网络攻击形式。它利用TCP三次握手协议的缺陷，向目标主机发送大量的伪造源IP地址的SYN连接请求。消耗目标主机的资源，使目标主机不能为正常用户提供服务。

在SYN Flood攻击中，攻击方主机向目标主机发送大量伪造IP地址的SYN Flood连接请求报文段，目标主机将根据这些TCP连接请求报文段分配必要的系统资源，然后向源IP地址返回SYN和ACK标志都置位的TCP连接应答报文段，并等待源主机返回ACK标志位的TCP连接确认报文段。由于源IP地址段是伪造的，因此源主机永远都不会返回ACK标志置位的TCP连接确认报文段，而目标主机则会继续发送SYN和ACK标志置位的TCP连接应答报文段，并将未完成的半连接放入相应端口的接收缓冲队列中进行等待。虽然TCP协议一般都有超时机制和默认的重传次数，但是由于端口连接的未完成队列的长度有限的，如果攻击方不断地向目标主机发送大量的SYN连接请求报文段，目标主机相应端口连接的未完成队列很快就会被填满，从而拒绝新的连接，这将导致该端口无法响应其他正常客户的连接请求，最终会耗尽目标主机的系统资源。

一般来说，如果一个主机系统的通信负荷突然升高甚至失去响应，使用Netstat命令行工具能看到大量处于SYS_RCVD状态的TCP半连接（半连接数量大于500个或半连接数量占到总连接数的10%以上），就基本上可以认定这个系统遭到了SYN Flood攻击。

2） Ping of Death

Ping of Death（死Ping）这种攻击的方法是一种IP碎片攻击。根据RFC 791 “Internet Protocol”规范，IP数据包的最大长度为64KB，即65 535字节，很多操作系统在处理IP数据包时将其最大值假定为该值。这样，若攻击者故意向目标主机发送一个长度超过65 535字节的IP数据包，则目标主机在重组IP数据包分片的时候会造成事先分配的65535字节大小的接收缓冲区溢出，系统通常会崩溃或挂起。攻击者通常可通过Ping程序发起简单的攻击，一般情况下IP数据包的首部为20字节，而ICMP首部为8字节，因此ICMP的回声请求报文中的数据部分的最大长度为65535-20-8=65 507字节。因此在不限制ping报文最大长度的操作系统中，可通过如下命令发起攻击：ping -1 65510 192.168.0.1。

防御Ping of Death攻击的方法：现在所有的标准TCP/IP协议栈的实现已经可以处理超大尺寸的报文，并且大多数防火墙能够自动过滤这些攻击，包括从Windows NT（Service Pack 3） 之后的操作系统，以及Linux、Solaris等操作系统都具有抵抗一般的Ping of Death攻击的能力。此外，对防火墙进行配置，阻断ICMP及任何未知协议，都可以防止此类攻击的发生。

3） Teardrop攻击

Teardrop（泪滴）攻击利用IP协议分片重组的漏洞来进行拒绝服务攻击。数据链路层协议帧所能封装的高层协议数据单元的长度通常有一个最大值，这个值我们称之为“最大传输单元”（MTU）。当数据链路层协议使用以太网协议时，它规定的MTU值为1500字节。这时，网络层的IP协议将IP数据包的大小与以太网的MTU值相比较，如果IP数据包的大小超出了以太网的MTU值所规定的1500字节，IP协议就将IP数据包进行分片。IP数据首部中，共有三个字段用来实现对数据包的分片的重组：标识字段、标志字段和分片偏移量字段。其中，标识字段是IP协议赋予每一个IP包数据包的标识，进行分片后，原属于同一个IP数据包的若干个IP数据包分片具有相同的标识，以便于在接收端重组经过分片的IP数据包；标志字段中有一位叫做MF（More Fragment）比特，MF置为0时，说明该分片是原IP数据包的最后一个分片，MF置为1时，说明该分片的后面还有原IP数据包的其他分片；分片偏移量字段指出本分片的第一个字节在初始IP数据包中的偏移值。

Teardrop攻击正是通过操控IP数据包分片的分片偏移量值，将前后IP数据包分片设置成重叠的，以造成接收方重组IP分片时出现异常和崩溃。一般情况下，攻击者为了发动Teardrop攻击通常会将IP数据包分为两个IP数据包分片，在第二个IP数据包分片中将分片偏移量值设置成一个比较的值，并且将第二个IP数据包分片中的数据负荷部分分配得很小，这样就造成了第二个IP数据包分片在重组时覆盖第一个IP数据包分片的一部分内容的现象，从而引起IP数据分片的重叠，于是当这两个IP数据包分片到达目标主机进行重组时，由于第一个IP数据包分片和第二个IP数据包分片之间出现了重叠现象，将会造成目标主机上的TCP/IP协议栈的崩溃。

4） Smurf攻击

Smurf攻击是以最初发起这种攻击的程序Smurf来命名的一种攻击。它结合利用了IP欺骗和ICMP的“回声请求”（echo request）报文和“回声应答”报文，被攻击的目标系统忙于处理大量的异常到达的ICMP“回声应答”报文，从而拒绝为正常用户的请求提供服务。

ICMP协议能够使Internet上的主机或路由器报告在转发IP数据包时发生的差错情况和传递控制或询问信息。ICMP报文中的回声请求报文和回声应答报文的功能之一是与主机联系。通过向目标主机发送一个ICMP“回场请求”报文，并根据是否收到目标主机的ICMP“回声应答”报文来判断目标主机是否处于活动状态。最常见的Ping程序就利用了ICMP协议的这个功能，而Smurf这种攻击方法使用一个伪造的源IP地址连续Ping一个或多个计算机网络的广播地址，导致每个网络中的所有计算机都必须向伪造的源IP地址所对应的主机返回ICMP

“回声应答”报文。这个伪造的源IP地址，实际上就是被攻击的目标，它将被巨大数量的ICMP“回声应答”报文所淹没。广播地址在这里起到了放大器的作用，而Smurf攻击正是利用了这种放大作用。

这种攻击的前提是，路由器在接收到这个目的地址为IP广播地址（如192.168.1.255） 的分组后，会认为这就是广播分组，并且把这个IP广播地址映射为以太网广播地址FF：FF：FF：FF：FF：FF，然后在本地网段中对所有主机进行广播。

3 网络安全的具体措施

计算机网络安全是一个整体意义上的安全，它包括很多方面的应采取的防范策略。目前主机采用的方法有：布署防火墙、入侵检测系统、网络监控、网络防病毒系统等。现在有很多单位，为了加强连入互联网的管理，还采用了行为管理设备。

3.1 防火墙

防火墙是软硬件的结合体，通常安装在内部网络和外部网络的连接点上。防火墙技术属于网络控制技术的一种，其主要目的是在内部网络和外部网络之间建立一个安全控制点，检查流向Internet或是从Internet流入内部的网络数据流，通过允许、拒绝或是重定向经过防火墙的数据流等策略的实施，达到防止未经授权的通信进出被保护的内部网络的目的，从而实现对出入内部网络的服务和访问的审计和控制。防火墙技术是实现网络安全策略的重要组成部分之一，当前较为成熟的实现技术分别是分组过滤技术、应用代理技术等。

1）分组过滤技术

分组过滤（Packet Filter）是指根据系统设置的规则，对经过防火墙的数据分组进行过滤操作，只有满足条件的分组才能通过防火墙，其余的数据分组则被删除。分组过滤防火墙一般工作在网络层和传输层，也被称为网络层防火墙。它对单个分组实施控制，根据数据分组内部的源IP地址、目的IP地址、协议类型、源端口号、目的端口号、各个标志位的取值及ICMP消息类型等参数与事先设定的过滤规则进行比对，从而决定数据分组的转发或丢弃。分组过滤防火墙技术的发展经历了两个阶段：静态分组过滤和动态分组过滤。

2） 应用代理技术

应用代理技术（Application Proxy）技术是指在Web服务器上或某一台单主

机上运行代理服务器软件，对网络上的信息进行监听和检测，并对访问的内网数据进行过滤，从而起到隔断内网和外网的直接通信的作用，保护内网不受破坏。在代理方式下，内部网络的数据包不能进入外网。同样，外部网络的数据也不能直接进入内网，而是要经过代理的处理之后才能到达内部网络。所有通信都必须经应用层代理软件转发，应用层的协议会话过程必须符合代理的安全策略要求，因此在代理上就可以实现访问控制、网络地址转换（NAT）等功能。

3.2 入侵检测技术

防火墙技术及其他的一些保护计算机网络安全的技术，如加密技术、访问控制技术、身份认证技术等的一个共同特征就是关注的是系统自身的加固和防护上，它们属于静态的安全防御技术，对于网络环境下日新月异的攻击手段缺乏主动反应的能力。针对日益严重的网络安全问题和越来越突出的安全需求，动态安全防御技术和动态安全模型应运而生。其中，典型的就是P2DR模型。P2DR模型在整体安全策略的控制下，在综合运用保护手段（如防火墙技术、加密、数字签名等技术）的同时，利用检测工具（如入侵检测系统等）了解和评估系统的安全状态，通过适当的响应系统将系统调整到安全状态。

入侵检测技术是近年来迅速发展起来的一项网络安全技术。作为动态安全技术的核心技术之一，入侵检测技术是对防火墙隔离技术等静态安全防御技术的合理补充。入侵检测就是通过对计算机网络或计算机系统中的某些关键点收集信息并进行分析，对企图入侵，正在进行的入侵或者已经发生的入侵进行识别并做出响应的过程。其基本任务包括：

1） 检测对计算机系统的非授权访问并管理操作系统日志；

2） 对整个网络进行监控，并判定各种攻击方式；

3） 监视并分析用户的活动，识别针对计算机系统和网络系统的非法攻击；

4） 统计分析异常行为；

5） 检查系统配置和漏洞。

通过以上分析，整个入侵检测的过程图1所示。

图1

3.3 网络监控

绝大多数现代操作系统都提供了捕获底层网络数据包的机制，在捕获机制之上可以建立网络监控应用软件。网络监控工具也常常被称为分组嗅探器，其最初的目的在于对网络通信情况进行监听和监控，以对网络的一些异常情况进行调试和处理。但随着Internet快速普及和网络攻击行为的频繁出现，保护网络的运行安全也成为网络监控的另一个重要目的。在网络分析和测试技术中，嗅探器软件是最常见也是最重要的技术之一。对于网络管理管理人员来说，使用嗅探器工具可以随时掌握网络的实际情况，在网络性能急剧下降的时候，可以通过嗅探器工具来分析原因，找出造成网络阻塞的来源。

3.4 网络防病毒系统

网络感染病毒最好采用网络版杀毒软件，及时更新杀软病毒特征码数据库，并设定好杀软扫描病毒的周期，打好系统漏洞的补丁，让病毒无懈可击。

4 网络基础设施的管理

机房要注意防雷击、防水、防火、防震、防电磁辐射干扰（网络信噪比下降、误码率增加）、防老鼠咬断网线。机房防雷是个重要的基础工作，要求所有电源都要提供接地，机柜、机壳均要接地，接地电阻要小于4欧母，采用建筑体结构钢引出的接地点是理想的接地体，接地电阻小而且稳定。由于电网停电跳闸、线路电压波动、设备故障等原因造成意外停电时，会让数据丢失，严重的可能导致计算机硬件损伤，因此在整个网络中配备UPS显得极为重要。

5 企业中、小型网络的构架示例

如图2所示，这是一个典型小型企业网络的拓扑图，同时它又很容易和其它网络组成一个大型网络。

本网络中核心防火墙主要实现各方向的访问策略设置，性能要求相对比较高。核心防火墙以下，为两个交换机，根据实际情况可以扩展，可容纳数十到数百台PC，应根据需要划分多个VLAN，减少广播风暴，防病毒服务器为全网PC提供病毒库升级服务、病毒安全策略的设置和分发。核心防火墙左边为一个外网防火墙和一个行为管理设备，访问外网的安全策略全部在这里实现，如果企业有对外服务器，可选择两个地方安装，分别是外网防火墙和核心防火墙的DMZ口。核心防火墙上面是三个路由器，本端路由器在自己这一端，其它网络路由器可能在数百米、数公里、数十公里甚至是更远的地方的本公司和其它网络。由于路由器价格昂贵，目前以有一种低成本的广域网连接方式，就是取消路由器，直接通过光电转换为RJ45接口，接到相应的网络设备，由这些设备来完成路由（三层交换机、防火墙等）。对于小型网络这也是一个可以考虑的方面，并且通过网络优化后安全性也相当不错。

6 结束语

计算机网络的安全问题越来越受到人们的重视，该文简要地分析了网络安全的层次，并分析了主要的安全设备和应用。网络安全简单来说包括技术安全和管理安全，技术安全是基础，管理安全是保障。 在管理层面上的，需制定相应配套的网络管理制度实施并执行，也不仅是个人行为，更是整体行为，只有每个人都有网络安全的意识，才能让计算机网络更安全更稳定地运行。相信计算机网络安全防范技术会随着计算机网络地发展而不断发展！

参考文献：

[1] 黄传河.网络规划设计师教程[M].北京：清华大学出版社，2009.

[2] 徐锋.网络工程师考试题型精解[M]. 北京：电子工业出版社，2006.

[3] 王达.网络安全[M]. 北京：电子工业出版社，2005.

[4] 王群.非常网管—网络管理[M]. 北京：人民邮电出版社，2006.