矛与盾的较量——网络攻击和防火墙详解

矛与盾的较量——网络攻击和防火墙详解

 

随着网络的普及，网络安全已经成为我们每个与网络有关的人的日常生活中最为关心问题之一。如何维护自己的网络安全？如何将风险降到最小？我的信息是否被别人看见？我的电脑或者网络最近是不是被入侵了？我有了防火墙，是不是上网就安全了？等等一系列的问题，都成为我们要关注的问题。与上个世纪90年代中期相比，病毒技术随着计算机技术的发展已经有了很大的发展，从传统的恶搞，演变成为现在的信息窃取，从传统的技术挑战，到今天的非法目的。一切都与我们的信息相关。网络入侵随时都在你的身边……

一、“黑客”是如何进行网络入侵的

“黑客”入侵一个网络系统或者一台计算机，与一个高明的盗贼进行一次盗窃极其类似，只是所面对的世界是一个虚拟的网络世界，要想入侵一个网络上的系统所必须的几个阶段一般是：

1.信息收集阶段（踩点）

主要完成内容有：目标选定，收集基本信息，得到网络地址，锁定目标计算机，查看计算机的开放端口和入口点，获取目标计算机的操作系统信息，确定每个端口运行的是哪种服务。

2.攻击实施阶段（盗窃）

主要的攻击类型有：拒绝服务攻击，口令攻击，欺骗攻击，会话劫持攻击，安全漏洞攻击。

3.安装后门阶段（配钥匙）

在攻击成功后要保留以后的访问权限，所以要在目标计算机系统中安装后门或木马程序，方便以后信息的进一步获取。

4.收尾阶段（清除现场）

主要是清除入侵的信息，包括系统相关的日志文件及网络上的痕迹。

对于高明的攻击者，在上述阶段，还会通过代理，隐藏自己的IP地址。即便在被攻击者察觉后，也可以将代理归为替罪羊。

二、各入侵阶段黑客主要完成的任务

1.信息收集阶段

攻击者首先要寻找目标主机并分析目标主机。在互联网上能真正标识主机的是IP地址，域名是为了方便记忆主机的IP地址而另起的名字，域名解析类似于我们日常向114查询台查询某个公司的电话一样，通过域名查询就可以得到域名所对应的IP地址。

攻击者会通过网络收集目标主机的操作系统类型及其所提供服务等资料，如一些大的公司都会有相关的网站，网站上会有公司的联系人，联系方法及其它一些重要信息，这些信息在攻击者手里，都会成为第一手原始资料。攻击者还会使用扫描器工具，查看目标主机运行的是哪种操作系统的哪个版本，开放端口（如WWW服务开放的就是80端口），端口所对应的服务，系统中有哪些帐户等，通过分析这些资料，为入侵作好充分的准备。

2.攻击实施阶段

如果攻击者只是要将目标主机暂时摧毁，使其不能正常工作，常使用的方法是DDOS攻击，这种就是入侵者控制一些已经被控制的计算机向目标主机发送大量的连接请求，或者伪造一些无用的连接，而这些连接在一定时间上不会消失，大量的连接会使目标计算机的资源耗尽，不能对正常的连接进行响应。

口令攻击

口令攻击通常是在对方开放了远程邮件收取/发送服务（POP3/SMTP）或者开发了远程共享端口（NETBIOS）或者文件传送（FTP），那么攻击者就可以通过一些口令攻击软件，用各种方法，对已经存在或者其伪造的用户，进行登录测试，如果某一次的测试成功，那么攻击者就可以通过此次测试的用户名及口令登录到目标计算机系统。

欺骗攻击

欺骗攻击的方法很多，如攻击者可以将某台计算机模拟成一个正常的网站，让用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、资迅浏览、电子商务等。然而用户可能不会想到有这样问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的地址改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。这样，当用户与站点进行安全链接时，就会毫不防备地进入攻击者的服器，于是用户的所有信息便处于攻击者的监视之中。

电子邮件攻击

电子邮件是互联网上应用十分广泛的通讯方式。攻击者可以使用一些邮件群发器，向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪。如果邮箱使用者开启了邮件转发功能，那么攻击者所产生的破坏就具有连锁效应。

攻击者还可以通过模拟电子邮件的内容，称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序，使邮箱使用者上当，轻者丢失一些重要口令，重者则可能在自己的计算机里植入攻击者的后门或者木马，将自己的计算机暴露给攻击者，使其为所欲为。

安全漏洞攻击

软件操作系统或者服务系统是由人设计的，设计者难免在程序设计时出错，虽然正常的使用方式不会出现错误，但是在提交非正常数据进行处理时，就有可能出现问题。许多系统都有这样那样的安全漏洞（我们称之为BUG）。这些BUG在攻击者手里可是一块不小的蛋糕，通过这些存在的BUG，攻击者可以轻松入侵目标计算机，或者将目标计算机的系统摧毁。通过安全漏洞攻击，是最直接最有效的攻击手段。安全漏洞也可以通过给系统及时打补丁来加以防范，但新的漏洞也可能在补丁中出现。

三、防火墙的原理及使用

1.什么是防火墙

防火墙是FireWall的中文意思，顾名思义，防火墙是内部系统与外部系统的一个屏障。它在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件，目的是保护网络不被他人侵扰。防火墙主要由服务访问策略、验证工具、包过滤和应用网关4个部分组成。形象一些，防火墙就是一个与互联网之间的一个检查机构，凡是没有通过身份验证的数据是不能通过防火墙的。此外，防火墙自身也应该有较强的抗攻击能力。从应用范围讲，防火墙又分为企业防火墙和个人防火墙，一般个人防火墙指的是一系列有特定功能的软件，而企业防火墙指的是一个（系列）网关设备。

2.防火墙的主要作用

防火墙的主要作用是网络安全的屏障、对网络存取和访问进行监控审计和防止内部信息的外泄。

3.防火墙的工作原理

任何在网络上传输的数据都有其固定的结构，只有符合结构的数据才能在网上进行相互传递，所传输的数据结构我们称之为数据包，在数据包中都会包含特定的信息，如原地址，目的地址，协议类型，目的端口等，防火墙正是通过对个数据包的内容与所制定的安全传输策略进行比较，来断定一个数据包是进行传送或者丢弃，如果防火墙丢弃了这个数据包，数据的传输随即终止，对用户来说就是禁止访问或连接出现异常，不能与目的网站或主机进行通信。对于一个非法的数据包，防火墙会根据使用者的设定，决定是不是记录这次数据异常记录，产生工作日志，以便使用者日后检查。

4.如何设定防火墙来防范外部的网络攻击

（1）了解防火墙后的主机系统对外部都提供了什么服务，然后根据服务设定要对外开放的端口。根据不同的内部服务及主机地址做好地址映射（NAT）。将提供服务的主机的某些端口映射到外部网络。

（2）设定允许访问某些服务的网络的地址范围。对于一些不希望访问该服务的IP地址坚决屏蔽连接。

（3）关闭没有服务端口，将访问除服务端口外的所有端口的数据包丢弃，并做好日志。

（4）对于外来数据包进行过滤，将不应该进入内部网络的数据包丢弃并记录日志。

（5）如果不希望本网络被外部主机扫描或探测，则应关闭ICMP和IGMP协议。

（6）要认真学习防火墙技术使用说明书，掌握防火墙的操作说明，设定报警方式（电子邮件、短信等）

四、总结

虽然我们了解了网络常攻击的方法，以及如何使用防火墙防范外部攻击，但是我们千万不能就掉以轻心，以为我们就可以安全了。因为网络安全技术不断发展，促进网络安全技术发展的动力就是网络入侵及攻击技术。网络攻击技术与安全防护技术是相对立而又统一的，网络攻击永远止境，网络安全也要无限发展，网络给我们带来方便的同时，也给我们的安全带来的威胁，某些人会始终以通过网络窃取信息作为兴趣或者职业。关注网络安全技术的发展，将最新的安全技术运用到实际应用中，才是作为一个技术人员的最终目的。