非法入侵方式及应对策略

罗金凤

摘要：本文通过对常见的网络非法入侵方式进行分析，阐述如何利用简单实用技术，对非法入侵进行查找与处理。

【关键词】网络安全 非法入侵 查找与处理

现代人的生活、工作、学习、娱乐和交往都己离不开计算机网络。因此，攻击者利用网络进行病毒传播、诈骗、窃密等制造的网络隐患，破坏了网络正常运行秩序。如何防止网络免受非法入侵，确保网络环境安全，成为当前需要研究并解决的问题。

1 非法入侵的危害

1.1 非法访问

非法访问的目的是恶意破系统并使其丧失服务能力，从而非法窃取用户的重要信息。

1.2 信息泄露或丢失

信息被透露给非授权的实体，破坏了系统的保密性。导致信息泄露或丢失的危害有网络监听、漏洞利用、物理侵入、病毒、网络钓鱼等。

1.3 拒绝网络服务

干扰网络服务，使作业流程发生改变或使网络系统瘫痪，最终使用户得不到相应的服务。

1.4 网络传播病毒

通过网络传播的病毒，破坏性大大高于单机。其危害有盗取用户的隐私信息，威胁用户虚拟财产的安全等。

2 非法入侵的常见方式

2.1 ARP攻击

局域网中各终端与外网进行通信，内网与外网之间的连接点是网关。利用网关的IP地址进行的ARP欺骗，攻击者可以控制用户主机向他所指定的MAC地址发送数据。造成不仅盗取用户隐私信息，还会将回传数据恶意篡改。

2.2 木马攻击

木马程序具有很大的破坏性，其入侵目标的途径主要有电子邮件、网络下载、网页浏览、基于DLL和远程线程插入的木马等。

2.3 拒绝服务攻击

拒绝服务攻击常用的有两种：

（1）产生无用数据，使网络拥堵；

（2）利用服务程序或传输协议的缺陷，发送错误数据，以至引发系统错误。

2.4 Web攻击

常见的Web攻击有：

（1）跨站请示截断攻击。用户执行了恶意HTTP指令，但Web应用程序却当成合法需求处理，使得恶意指令被正常执行。

（2） SQL注入攻击。Web应用程序执行时，对用户输入命令或查询语句的一部分没有做过滤处理。

3 非法入侵的查找与处理

3.1 ARP欺骗攻击

3.1.1 ARP查找

（1）主动定位。ARP攻击源的网卡往往处于混杂模式，采用Sniffer工具扫描机器，如果网卡处于混杂模式并显示为“Yes”，则这台机器可能就是入侵者。

（2）被动定位。在局域网发生ARP攻击时，查看交换机的动态ARP表中的内容，确定攻击源的MAC地址；也可以在局域网中部署Sniffer工具，定位ARP攻击源的MAC。

3.1.2 ARP的处理

（1）启动Sniffer程序，填入网关的IP地址，得到相关的MAC地址。选择“自动防护”，就可以使当前网卡与该网关的通信不会被监听。如出现ARP欺骗提示，点击“恢复默认”然后点击“防护地址冲突”即可。

（2）手工清除。进入MS-DOS窗口，运行arp-d命令，将arp缓存删空，使暂时能上网，随后拔掉网线，运行arp-a命令并记录下网关IP所对应的MAC地址。接下来把网关的IP和正确的MAC进行绑定，使其不再受到攻击。绑定命令：arp-s网关IP网关MAC。

3.2 木马攻击

3.2.1 木马攻击的查找

（1）检查注册表。查看以“Run”开头的键值名，如有可疑文件名，先删除相应的键值，再删除应用程序。

（2）启动组的检查。启动组通常是自动加载的场所，因此需经常检查。启动组文件夹为：C：＼windows＼startmenu＼programs＼startup。在注冊表中的位置是：

HKEY CURRENT USER＼Software＼Microso ft＼Windows＼CurrentVersion＼Explorer＼ShellFolders

Startup=”C：Ywindows＼startmenuYprograms＼startup”，。

（3） 常运行C：＼windows＼winstart.bat、C：＼windows＼wininit.ini、Autoexec.bat等命令，可以揪出隐藏的木马。

3.2.2 木马攻击的处理

（1）使用360安全卫士、瑞星、金山毒霸、天网防火墙、Norton防火墙等进行处理。

（2）可在注册表或系统启动文件中找到并删除木马文件。

3.3 拒绝服务攻击

3.3.1 拒绝服务攻击的查找

（1）冰盾防火墙工作在系统的最底层，可用于检测一些已知的拒绝服务，它既可扫描系统的内存进程，也可扫描系统的本地文件，甚至可找到拒绝服务攻击者的IP地址。

（2）在Web服务器与Internet之间建立一个滤波器防火墙，用来搜索spoofed信息包，一旦发现正在生成spoofed信息包，跟踪并找到源头。

3.3.2 对拒绝服务攻击的处理

（1）在网段的路由器上将配置进行调整，屏蔽拒绝服务攻击者的IP地址，对SYN数据包的流量和个数加以限制。

（2）对SYN数据包进行处理时，设置系统参数，完成对超时的SYN请求强行复位。另外缩短超时常数，加长等候队列，使系统加速处理无效的SYN数据包。

（3）在路由器前端做TCP拦截，当完成TCP三次握手后，数据包才可进入网段。

3.4 Web攻击

3.4.1 Web攻击的查找

（1）利用瑞星卡卡上网安全助手6.0。执行基于Web攻击的扫描系统，强制所有Web请求都转发到扫描设备，可以起到实时监控的作用。当发现病毒或非法软件试图入侵时，主动拦截并报警，并将恶意攻击的时间、种类、方式记录到数据库供查找。

（2）对于服务器而言，Web攻击需要使用管理员权限才能执行恶意代码。因此，可查找网络上是否存在普通用户具有管理员权限，即发现可疑之处了。

3.4.2 对Web攻击的处理

（1）打开瑞星卡卡上网安全助手6.0的上网防护功能，检查防病毒软件是否更新，服务是否运行，扫描任何通过互联网下载的程序。

（2）检查页面的源代码，警惕需要安装软件的网页。除非绝对信赖该网站以及软件的提供商，否则一定不要通过浏览器安装新软件。

4 总结

网络安全技术是复杂的系统工程，因此，工作中我们不仅要运用好各种网络安全技术，还应对网络设备自身安全加以防护，使构成完善的防御系统。

参考文献

[1]叶丹，网络安全实用技术[M].清华大学出版社，2002 （10）.

[2]刘宗田，计算机及网络安全[M]机械工业出版社，2006 （11）.endprint