计算机网络安全及防范技术探析

【摘要】目计算机技术和网络技术已深入到我们工作和生活的方方面面，在给人们带来便利的同时，也使网络安全受到了较大的影响。网络安全不仅包括网络系统的硬件和软件的安全，还包括网络信息传输的安全，而且由于使用者的不同，对网络安全的认识和要求也具有较大的差异。加强对网络安全的防范，则需要从技术方向和管理方面的问题入手，对计算机网络安全缺陷的产生原因进行了分析，并进一步对网络攻击和入侵的途径、常见网络攻击及防范措施进行了具体的阐述。

【关键词】计算机网络安全；攻击；入侵；防范

随着全球经济一体的发展，计算机网络技术已成为当前全球信息基础设施的重要组成部分，在计算机网络快速的发展下，使人们的生活方式、工作方式和信息的传递、处理和利用都发生了较大的变化，使人们的生活和工作更加便利。但由于互联网具有开放性，这就给信息的保密性和系统的安全性带来了较大的影响。一旦有病毒侵入、黑客攻击和网络瘫痪等问题发生时，则会给计算机网络安全带来极大的威胁，而网络系统一旦崩溃，所带来的损失是无法估量的，提高计算机网络安全已成为当前业界人士急需解决的重要问题。

1.计算机网络安全的概念

对于计算机网络安全并没有一个统一的定义，因为在对计算机网络技术应用过程中，使用者不同，对网络安全的要求也有所不同。对于大多数普通用户来讲，网络安全即是其希望个人隐私或是机密信息在网络传递过程中受到破坏，以免被窃听、篡改和伪造，对信息的保密性的安全需求较高；而对于网络提供商来讲，其除了对信息保密性的安全有一定的要求外，还要对各种突发的自然灾难、军事打击等网络硬件的破坏及网络出现异常时网络通信的恢复、网络通信的连续性等安全问题进行充分的考虑，所以通常情况下可以将网络安全分为系统安全、网络运行安全和内部网络安全等三个方面。

2.计算机网络安全缺陷产生的原因

2.1 TCP/IP的脆弱性

因特网是以TCP/IP协议为其运行的基础，但由于该协议是公开性的，而且对网络的安全性缺乏必要的考虑，所以对于熟知TCP/IP协议的人，就可以利用该协调的缺陷来实施对网络的攻击。

2.2 网络结构的不安全

因特网是一个巨大的网络，其利用网间网技术来将无数个局域网连接在一起，所以当一台主机与另一局域网内的主机进行通信时，攻击者则可以利用处于同一数据传输路径上的主机采取攻击，从而实现劫取用户数据包的目的。

2.3 数据容易被窃取

英特网具有开放性，而且大多数的数据流都没有进行加密，而且目前网上还会提供一些免费的工具，窃取者利用这些工具则会实现对网上的电子邮件、口令和传输文件进行窃听，从而导致数据被窃取。

2.4 缺乏安全意识

网络中设置了许多安全保护屏障，但由于人们普遍缺乏安全意识，所以这些保护措施许多时候等同于虚设。

3.网络攻击和入侵的主要途径

网络攻击和入侵是指网络攻击者通过非法的手段来获取被攻击主机上的非法权限，通过对这些非法权限的利用来对被攻击主机进行操作，从而实现获取数据和信息的目的。目前在进行网络入侵时其主要途径有破译口令、IP欺骗和DNS欺骗。

目前在计算机系统安全防控中，利用口令是抵御入侵者的重要手段，所以当入侵者利用口令来进行入侵时，其首先需要取得某些合法用户的账户和口令，再对其进行破译，利用这些合法的账户和口令来登录于目的主机展开攻击活动。

IP欺骗是指攻击者利用一台计算机来假冒另一台计算机，从而达到蒙混过关的目的，这种入侵方式充分的利用了TCP/IP网络协议的脆弱性，使假冒被入侵的主机取得信任，主机与被入侵主机实现连接，对被入侵主机所信任的主机发起攻击，从而导致被信任的主机处于瘫痪状态。

域名系统（DNS）是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换信息。通常网络用户通过UDP协议和DNS服务器进行通讯，而服务器在特定端进行监听，并返回用户所需的相关信息。DNS协议转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。当攻击者危害DNS服务器并明确的更改主机名――IP地址映射表时，DNS欺骗就会发生。这些改变被写入DNS服务器上的转换表。因而，当一个客户机请求查询时，用户只能得到这个伪造的地址，该地址是一个完全处于攻击者控制下的机器IP地址。。

4.常见的网络攻击及其防范对策

4.1 特洛伊木马

特洛伊木马程序技术是黑客常用的攻击手段。它通过在你的电脑系统隐藏一个会在windows启动时运行的程序.采用服务器/客户机的运行方式，从而达到在上网是控制你电脑的目的。特洛伊木马是夹带在执行正常功能的程序中的一段额外操作代码。特洛伊木马程序包括两个部分。即实现攻击者目的的指令和在网络中转播的指令。特洛伊木马具有很强的生命力，在网络中当人们执行一个含有特洛伊木马的程序时，它能把自己插入一些未被感染的程序中.从而使它们受到感染。防止在正常程序中隐藏特洛伊木马的主要方法是人们在生成文件时.对每一个文件进行数字签名，而在运行文件时通过对数字签名的检查来判断文件是否被修改，从而确定文件中是否含有特洛伊木马。

4.2 邮件炸弹

电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断地大量的向同一地址发送电子邮件。攻击者能够耗尽接收者网络的带宽，占据邮箱空间。使用户储存空间消耗殆尽，从而阻止用户对正常邮件的接收，妨碍计算机的正常工作。防止邮件炸弹的方法主要有通过配置路由器，有选择的接受电子邮件。对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息，也可使自己的SMTP连接只能达到指定的服务器，从而免受外界邮件的侵袭。

4.3 过载攻击

过载攻击是攻击者通过服务器长时间发出大量无用请求。使被攻击的服务器一直处于繁忙的状态。从而无法满足其他用户的请求。防止过载攻击的方法有限制单个用户所拥有的最大进程数；杀死一些耗时的进程。然而，不幸的是这两种方法都存在一定的负面效应。通过对单个用户所拥有的最大进程数的限制和耗时进程的删除.会使用户某些正常的请求得不到系统的响应，从而出现类是拒绝服务的现象。

4.4 淹没攻击

正常情况下，TCP连接建立要经历3次握手的过程及客户机向主机发送SYN请求信号；目标主机收到请求信号后向客户机发送SYN/ACK消息后再向主机发送RST信号并断开连接。TCP的这三次握手过程为人们提供了攻击网络的机会。攻击者可以使用一个不存在或当时没有被使用的主机的IP地址，向被攻击主机发出SYN请求信号，当被攻击主机收到SYN请求信号后，它向这台不存在IP地址的伪装主机发出SYN消息。由于此时主机的IP不存在或当时没有被使用，所以无法向主机发送RST，造成被攻击的主机一直处于等待状态，直至超时。对付淹没攻击的最好方法是实时监控系统处于SYN―REECEIVED状态的连接数，当连接数超过某一给定的数值时，实时关闭这些链接。

5.结束语

计算机网络安全的防范并不是单一的，这是一个系统工程，涉及多方面的因素，所以需要从管理和技术等方面来制定整体的管理策略，并对其进行认真实施，从而确保计算机网络的安全。

参考文献

[1]赵伟霞.浅析计算机网络安全与防范策略[J].中国科技纵横，2010（7）.

[2]马国泰.新形势下网络信息安全防护体系的构建.黑龙江科技信息，2012（11）.

[3]李焱伶.医院网络安全状况及其防范措施[J].医疗装备，2010（7）.