网络攻击的防范措施范文第1篇

关键词：黑客 拒绝服务 网络攻击 网络安全 缓冲区溢出

前言

随着计算机网络的发展，网络与人们的生活结合的越来越紧密，网络的普及，随之而来的网络安全是每个网络管理者必须面对的问题。网络攻击与防范永远是个此消彼长的过程，攻击方法的不断演进，防范措施必须与时俱进。黑客攻击方法主要分为以下几类：拒绝服务(DoS：Denial of Service)、缓冲区溢出、IP欺骗以及网络监听等，其中拒绝服务与缓冲区溢出是黑客常采用的攻击方法。

1 DoS机制

    外部网络中的黑客攻击威胁性非常大，比如，网络黑客蓄意发动针对网络设备的分布式拒绝服务攻击DDoS (Distributed Denial of Service)、蠕虫病毒等新的攻击方式,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击：带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法用户请求无法通过；连通性攻击是指用大量的连接请求冲击，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。这些攻击可以造成网络流量急速提高，最终导致网络设备的崩溃或者造成网络链路的不堪重负。另外，由于在宽带网络建设中只注重网络的可用性，而忽视了管理性，造成内部网用户的互相攻击。

    在DoS攻击中，灰洞攻击是比较特殊的一种，灰洞攻击是一种比较隐蔽的攻击方式，在开始的时候很难被发现，因为在攻击开始的时候，攻击者和其它正常网络节点表现并无差异：正常地参与路由发现过程，在取得其它网络节点的信任后，攻击者开始故意丢失部分或全部的转发数据包。转发数据包被丢失必然引起网络性能的下降，网络路由的建立也常常比干扰。

2、缓冲区溢出攻击

缓冲区是程序存放数据的地方，如果程序往缓冲区写入的数据超过其允许的长度，就会造成缓冲区溢出，如果是无意为之，则最多是程序或者系统崩溃，如果是有意为之，则往往是借助缓冲区的溢出来使程序转而执行其它指令，达到攻击的目的。

    缓冲区溢出攻击一般分为两步，首先是在程序的地址空间安排代码，在安排好代码后，下一步就是设法寻找没有边界或者其它弱点的缓冲区，造成缓冲区溢出，改变程序正常的执行顺序，使其跳转到攻击代码处执行。

3、 拒绝服务攻击防范

    为了防止拒绝服务攻击，首先是通过对系统的设置来调整限制Syn半开数据包的流量和个数，对于超时的Syn请求需强制复位；其次在路由器的前端做TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段；最后需要关闭可能产生无限序列的服务来防止信息淹没攻击。

    针对灰洞攻击的检测方法：灰洞攻击检测方案由以下三个相关算法组成。

  (1)证据产生算法

    所有参与路由的节点都要调用该算法，以产生数据包转发证据。转发证据基于Boneh 等人的聚合签名算法产生，用于证明节点接收了数据包。

  (2)审查算法

  源节点发现非正常丢包现象时，如目标节点告收到的数据包明显少于正常情况，调用该算法检测丢包节点。

    (3)诊断算法

源节点根据审查算法返回的转发证据，确定丢包节点。根据签名验证结果，有以下三种情况：①通过了验证，确定没有丢包节点。②如果节点Ni拒绝提供签名，则认为该节点是丢包节点。③Ni在源路由中签名但不是目标节点。综合考虑上述情况，若某节点被怀疑次数超过阈值，则被认为是丢包节点。

4、缓冲区溢出防范策略

    缓冲区溢出是较为常见的隐患之一，攻击者往往会利用系统或者是程序的溢出漏洞来获取对计算机的控制，因此其对网络安全的危害可想而知，对于缓冲区溢出，目前主要采用以下一些措施来进行防范。

4.1 检查程序指针的完整性

    缓冲区溢出攻击者往往通过改变程序指针的方法来达到改变程序流程的目的，因此在程序指针被引用前对其进行检测就显得非常有必要，这样的话，即使程序指针被攻击者改变，由于事先已经检测到，编程者可以采取合理的措施来处理这种情况。

4.2 保护堆栈

    这是一种提供程序指针完整性检查的编译器技术，通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了些附加的字节，而在函数返回时，首先检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击，那么这种攻击很容易在函数返回前被检测到。但是，如果攻击者预见到这些附加字节的存在，并且能在溢出过程中同样地制造它们，那么他就能成功地跳过堆栈保护的检测。

4.3 检查数组边界

    许多应用程序是用C语言编写的，而C语言不检查缓冲区的边界，因此在编程中使用数组时就必须格外谨慎，在对数组进行读写操作时都应当检查，以免对数组的操作超过数组的边界，显然如果每次操作都对数组直接检测会造成应用程序性能的下降，目前有些优化的技术来对数组进行检查，主要有Purify存储器存取检查以及Jones&Kely C数组边界检查等。

参考文献：

[1] 范建中．黑客社会工程学攻击．山东：齐鲁电子音像出版社，2008．

网络攻击的防范措施范文第2篇

关键词：大型机场；计算机网络；安全问题；防范措施

中图分类号：TN711 文献标识码：A 文章编号：

1、计算机网络安全的概念

计算机网络安全根据计算机的使用者不同而具有两层含义。一是从普通的使用者角度讲，计算机网络安全是指在网络传输中保障个人及商业信息的机密性、完整性和真实性，避免他人用非正常手段截取、窃取、破坏、篡改信息，以保障个人隐私和个人利益不受侵害。二是从网络运营商的角度讲，计算机网络安全是保护和控制本地网络信息的访问、读写等操作，避免出现病毒、非法存取、拒绝服务和非法占用、控制网络资源，防御黑客攻击。

2、计算机网络安全的特征计算机网络安全有很多特征，但是最主要的是下面的五个。

（1）完整性完整性是指计算机中的数据如果没有经过授权，就不能随意修改的特性。就是说数据在保存或是传输过程中要保持不被修改、不被破坏和不能丢失的特性。

（2）保密性保密性是指当计算机中的信息如果没有经过允许，就不能泄露给没有授权的用户，也不能以其他任何形式被非法用户进行利用。

（3）可控性可控性是指当网络中的数据在传输过程中，要时刻的对数据进行严格的控制，防止出现不必要的差错。

（4）可审查性可审查性是指当计算机网络出现了安全问题时，要有方法能检测出来，即出现网络安全问题时能够提供解决的对策。

（5）可用性可用性是指计算机中的信息能够被已授权的用户进行访问并按自己的需求使用的特性。即当用户需要时能否存取和使用自己所需要的信息。

3、计算机网络安全问题

(1)非人为的、自然力造成的数据丢失、设备失效、线路阻断。

(2)人因攻击：如社会工程、钓鱼等行为。主要指采取非计算机手段，转而使用其他方式（如人际关系、欺骗、威胁、恐吓）等非正常手段获取信息。钓鱼则使用假冒、欺骗性的网站，获得网络用户的敏感信息如账号、密码等。

(3)物理攻击：主要是指通过分析或调换硬件设备来窃取密码和加密算法。物理攻击比较难以防范，因为攻击者往往是来自能够接触到物理设备的用户。

(4)服务拒绝攻击：通过使被攻击对象（通常是服务器）的系统关键资源过载。从而使目标服务器崩溃或瘫痪，以致停止部分或全部服务。根据利用方法不同又分为资源耗尽和宽带耗尽两种方式，服务拒绝攻击时最容易实施的攻击行为，也是最难对付的入侵攻击之一，其中目前已知的服务拒绝攻击就有几百种，典型示例有死亡之ping、泪滴、UDPflood、SYNflood、Land攻击、Smurf攻击、电子邮件炸弹、畸形消息攻击等。

(5)非授权访问：对网络设备及信息资源进行非正常使用，如非法进行读、写或执行等。

(6)扫描攻击：在连续的非授权访问尝试过程中，攻击者为了获得网络内部的资源信息及网络周围的信息，通常使用SATAN扫描、端口扫描个IP半途扫描方式。由于互联网目前广泛使用的TCP/IP协议族中，各个层次不同的协议均存在一定程度的缺陷，可以利用操作系统和网络的漏洞进行攻击。

(7)远程控制：通过操作系统本身的漏洞或安装木马客户端软件直接对用户的及其进行控制的攻击，主要通过口令猜测、特洛伊木马、缓冲区溢出等方式。

(8)身份窃取：指用户的身份或服务器的身份被他人非法截取，典型的有网络钓鱼、DNS转换、MAC地址转换、IP假冒技术等。

(9)假消息攻击：通过在网络中发送目标配置不正确的消息，主要包括DNS高速缓存污染、伪造电子邮件等。

(10)窃听：攻击者通过监听网络数据获得敏感信息，如通过抓包软件等。

(11)重传：攻击者实现获得部分或全部信息，然后将此信息重新发送给接受者。攻击者一般通过协议解码方式，如FTUUser等，完成重传。解码后的协议信息可表明期望的活动，然后重新发送出去。

(12)伪造和篡改：攻击者对合法用户之间的通信信息进行修改、删除、插入，再发送给接收者。

4、计算机网络安全问题的防范措施基本的网络安全措施应包括这个网络的安全传播过程。首先应设置安全的行政人事管理，设立安全管理机构，制定完善的人事安全管理、系统安全管理和行政安全管理规则制度。其次是技术方面的措施，主要的技术手段有以下6种。

(1)物理措施：采取具备优良性能的传输工具，制定严密的安全规制，保护交换机和大型计算机等关键硬件设施。

(2)访问控制：严格把关用户访问权限，确保严格控制陌生用户的访问可能造成的侵袭。可以选用安全稳定的网络操作系统，对用户的身份证进行设置，设置加密的口令并进行定期的更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等。

(3)数据加密技术：数据加密是保障信息安全的最基本、最核心的技术措施之一，是保护数据安全的重要手段。可以在整个网络过程中加以应用。加密的作用是保障信息被人截获后不能直接被利用，能在用户的数据被截取之后减少用户的损失，用很小的代价即可为信息提供相当大的保护。按作用不同，数据加密技术一般可以分为数据传输、数据存储、数据完整性鉴别以及密钥管理技术四种。

(4)隔离技术：通过防火墙划分VLAN、VPN等方式分隔成独立区域，将重要的子网络与其他网络隔开，可以更好的使重要的数据得到保护，不会轻易的就被截取。

(5)备份措施：可以避免因硬盘损坏。偶然或者而已的数据破坏、病毒入侵、网络攻击等带来的影响，同时也确保了数据的完整性。

(6)防火墙：主要指的是一种对计算机及其网络流经的通信数据进行扫描的一种软件技术。通过对相关数据的扫描和过滤，避免计算机被黑客侵入，造成数据和程序纵和控制。

(7)其他措施：其他安全技术包括数字签名、认证技术、智能卡技术和访问控制等。

（8）改善计算机应用环境，规范人员操作流程。为了实现计算机网络的安全、高速运行，需要不断改善计算机应用环境，增强使用人员的网络安全意识，提高网络管理人员的技术手段和安全意识，规范使用人员的操作流程，避免出人为因素造成的网络安全问题。

结语：总之，计算机网络出现安全问题是无法避免的。只要我们永不懈怠，及时解决出现的安全问题，同时高度重视对大型机场计算机网络安全的预防。采用先进的技术去建立严密的安全防范体系，加强防范意识，构造全方位的防范策略，给大型机场计算机网络正常的运行以保证，使计算机网络更加健康的发展。

参考文献

[1]钮炎.计算机网络技术与应用.北京:清华大学出版社,2010.2.

[2]马小青.浅析网络安全问题及其防范措施[J].电脑知识与技术,2009,5

网络攻击的防范措施范文第3篇

关键词：计算机；网络；安全；防范

 

在信息时代，信息可以帮助团体或个人，使他们受益，同样，信息也可以用来对他们构成威胁，造成破坏。因此网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。

一、计算机网络安全的概念

国际标准化组织将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。上述计算机安全的定义包含物理安全和逻辑安全两方面的内容，其逻辑安全的内容可理解为我们常说的信息安全，是指对信息的保密性、完整性和可用性的保护，而网络安全性的含义是信息安全的引申，即网络安全是对网络信息保密性、完整性和可用性的保护。计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。

从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。人为的网络入侵和攻击行为使得网络安全面临新的挑战。

二、计算机网络安全现状

计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续、可靠、正常地运行，网络服务不中断。计算机和网络技术具有的复杂性和多样性，使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是致命的。在Internet网络上，因互联网本身没有时空和地域的限制，每当有一种新的攻击手段产生，就能在一周内传遍全世界，这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、Rootkits、DOS(DenialofServices)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力，时至今日，有愈演愈烈之势。这几类攻击手段的新变种，与以前出现的攻击方法相比，更加智能化，攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新，向用户的信息安全防范能力不断发起挑战。

三、计算机网络安全的防范措施1、加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。

在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防御措施。当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。

2、网络防火墙技术

是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网络运行状态。虽然防火墙是目前保护网络免遭黑客袭击的有效手段，但也有明显不足：无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部变节者和不经心的用户们带来的威胁，也不能完全防止传送已感染病毒的软件或文件，以及无法防范数据驱动型的攻击。

3、安全加密技术

加密技术的出现为全球电子商务提供了保证，从而使基于Internet上的电子交易系统成为了可能，因此完善的对称加密和非对称加密技术仍是21世纪的主流。对称加密是常规的以口令为基础的技术，加密运算与解密运算使用同样的密钥。不对称加密，即加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，解密密钥只有解密人自己知道。

4、网络主机的操作系统安全和物理安全措施

防火墙作为网络的第一道防线并不能完全保护内部网络，必须结合其他措施才能提高系统的安全水平。在防火墙之后是基于网络主机的操作系统安全和物理安全措施。按照级别从低到高，分别是主机系统的物理安全、操作系统的内核安全、系统服务安全、应用服务安全和文件系统安全;同时主机安全检查和漏洞修补以及系统备份安全作为辅助安全措施。这些构成整个网络系统的第二道安全防线，主要防范部分突破防火墙以及从内部发起的攻击。系统备份是网络系统的最后防线，用来遭受攻击之后进行系统恢复。在防火墙和主机安全措施之后，是全局性的由系统安全审计、入侵检测和应急处理机构成的整体安全检查和反应措施。它从网络系统中的防火墙、网络主机甚至直接从网络链路层上提取网络状态信息，作为输人提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生，如果有入侵发生，则启动应急处理措施，并产生警告信息。而且，系统的安全审计还可以作为以后对攻击行为和后果进行处理、对系统安全策略进行改进的信息来源。

     总之，网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，既包括信息系统本身的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面的问题，而不是万能的。为此建立有中国特色的网络安全体系，需要国家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两个方面，总是不断地向上攀升，所以安全产业将来也是一个随着新技术发展而不断发展的产业。

 

参考文献：

[1]黄怡强,等.浅谈软件开发需求分析阶段的主要任务.中山大学学报论丛,2002(01).

[2]胡道元.计算机局域网[M].北京:清华大学出版社,2001.

网络攻击的防范措施范文第4篇

关键词：ARP欺骗攻击；DNS欺骗攻击；IP欺骗攻击；防御攻击

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2016）11-0036-02

1 引言

伴随着网络应用的不断发展，网络安全问题层出不穷。正是由网络本身具有的开放性、互联性、多样性以及不均匀性等特征，使其极易受到各种攻击；因此，如何保障网络的安全是当前面临的首要问题。

网络欺骗攻击就是利用网络存在的安全缺陷进行攻击。在实施攻击的过程中，攻击方会极力想办法得到网络的信任，其原因是网络操作都是倾向于可信系统[1]。一旦建立乐信任关系，受信系统的管理员就能够实施工作并维护相应的系统安全级别。通常，如果一个系统A是受到另一个系统B的信任的，此时若有一个系统C假装成B，则C就轻易地获得B的一些权力。

2 几种主要的网络欺骗攻击

2.1 ARP欺骗攻击

ARP协议的主要功能是将IP地址转换成对应的MAC地址，依靠在内存中保存的转换表让IP能够在网络中获得目标主机的响应。在ARP协议中，为了减少数据的通信的数据量，主机会将收到的ARP应答包插入到自己的ARP缓存表中，不论这个包是否是自己所请求的，如此便使ARP欺骗实施成为可能[2]。如图1所示，若攻击者想获知网络中两个用户间的通信，向两个用户主机发送一个 ARP 应答包，此时两个用户都会将攻击者的主机MAC地址误以为是对方的 MAC地址。如此一来，攻击者便可以获知双方通信的内容，通信双方看似直接通信的过程，中间实际都是通过攻击者的主机来间接实施的[3]。

2.2 DNS欺骗攻击

域名系统（DNS）是一种分布式数据库，主要用于实现主机名和 IP地址的转换，是广大网络应用的基础。然而协议本身存在的设计缺陷且没有适当的信息保护和认证机制，导致DNS极易受到攻击[4]。在DNS解析过程中，客户端先向DNS服务器发送查询数据包，随后服务器将查询结果用相同的ID号发回给客户端。客户端将响应数据包的ID与之前发送的查询包的ID进行比较，若一致，则说明此响应数据包正是自己的。在此过程中，若攻击者假冒DNS服务器提前给客户端发送响应数据包，客户端收到的域名对应的IP地址就可由攻击者指定了，当客户端访问所需网站时实际上访问到的是攻击者指定的网站[5]。攻击过程如图2所示。

2.3 IP欺骗攻击

IP欺骗是一种伪造数据包源IP地址的攻击，即是向目标主机发送源地址非本机IP地址的数据包。攻击的简要过程如图3所示，攻击方X对目标B实施拒绝服务攻击使其崩溃无法应答，随后向A发送源地址为B的数据包，尝试与A建立连接，从而达到欺骗的目的。

3 网络欺骗攻击的防御

3.1 ARP欺骗攻击的防御及测试

在ARP欺骗攻击过程中需同时欺骗网络中的其他主机和网关交换机，从而实施“中间人攻击”。可以从以下方面进行控制：

（1）将网管的ARP表项绑定到用户的主机上，防止中间攻击者的arp relay报文更新用户的网管ARP表。

（2）将用户主机的ARP表绑定到网关交换机，防止中间攻击者的arp relay报文更新网关交换机的ARP表。

防御ARP攻击的方法很多，例如：

（1）在交换机上阻止“中间人攻击”。通常，在支持网管的交换机上都能绑定用户的 ARP，通过端口的 port security将端口上的可学习 MAC 数及用户主机的 MAC 地址进行绑定，或使用 dhcp snooping 将用户主机的 IP 地址和 MAC 地址进行绑定。

（2）在用户主机上控制“中间人攻击”。 在接入交换机上启用 pvlan 或者port-isolated 功能隔离不同用户，从而使被攻击主机的 arp relay 不能发给网络上其他主机。

（3）在端口开启 802.1x 认证，利用 802.1x 客户端实现二层网络的用户认证，将帐号、端口及MAC 等信息和用户终端绑定，从而防止中毒的主机侵入内部网络。

实验测试环境如图4，在网络中用户主机上不能ping通公网地址，有的主机甚至ping不通自己的网关。

在核心交换机上抓取的数据包如下：

从故障的表现及抓包的情况可以判定是受到ARP攻击；随后，将连接发送大量ARP数据包主机的交换机断电，网络上其他用户能够正常上网。为了防止再次受到类似攻击，可以采取如下措施：

1）在每个接入交换机上进行MAC绑定，对端口的接入主机数进行设定。

2）在核心交换机上实施IP与MAC绑定，阻止虚假arp数据进入网络；同时，开启抑制广播风暴功能，防止核心交换机因内存或CPU占用过高影响接入交换机工作。

3）在防火墙上布置安全策略。

4）在有访问权限的主机上做一个批处理，将本机 IP 与MAC进行绑定，同时将本机网关的IP 与MAC绑定。设置开机启动该批处理程序。

3.2 DNS欺骗攻击的防御

DNS欺骗攻击的实现主要包括中间人攻击和缓存投毒攻击两种形式，其中中间人攻击主要针对的对象是DNS查询客户端。防御DNS欺骗攻击，必须要同时保护DNS客户端和DNS服务器。由此，给出防御DNS欺骗的解决方法如下：

（1）对于网络中有设定的DNS服务器，要及时更新服务器的版本，将动态更新和区域传输范围进行限制。

（2）对用户主机来说，防御DNS的主要措施有如下几点：1）禁用主机DNS缓存；2）给主机指定DNS服务器和本地UDP端口号。通过指定UDP端口号，防火墙的设置更加精确，从而能够进一步提高整体安全性。

3.3 IP欺骗攻击的防御

IP欺骗攻击的原理比较简单，但实际实施却很困难，需要进行序列号猜测和建立信任关系等过程。然而要成功实施IP欺骗也不无可能，因此，也要对IP欺骗攻击进行防范，主要方法有：

1）尽量不要使用源地址认证的服务系统以及基于IP的认证机制，对于远程Telnet服务考虑由SSH替代。

2）在边界路由器上采取源地址过滤措施，检查进入本网数据包的源IP，防止使用本地IP的外部数据进入本网络，从而防御IP欺骗攻击。

4 总结

对网络来说，除了满足功能性需求外，还要保证网络的安全，防止网络受到各种安全性攻击。在网络安全中协议漏洞是最严重的安全漏洞，给攻击者创造了成功机会。ARP欺骗攻击正是利用了 ARP 协议自身的安全漏洞，通过专用攻击工具让攻击极易成功。IP欺骗攻击也是利用TCP/IP协议存在的漏洞来实施的。对于类似网络攻击，用户除了做好网络和终端设备等硬件的安全防范工作外，还要不断提高安全意识，不断了解防范欺骗类攻击的最新技术，真正做到防患于未然。

参考文献：

[1] 谢希仁.计算机网络（第五版）[M].北京：电子工业出版社，2008.

[2] 李浩.ARP.病毒攻击分析及其防御措施[J].宁波广播电视大学学报，2007.

[3] 李成友，韩昧华.互联网协议中地址解析的欺骗问题研究[J].网络安全技术与应用，2010.

网络攻击的防范措施范文第5篇

关键词：计算机　网络　安全　防范

中图分类号：TP31　文献标识码：A　文章编号：1672-3791(2012)02(a)-0012-01

1　计算机网络安全的概念

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面，即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护，免于破坏、丢失等。逻辑安安全包括信息的完整性、保密性和可用性。

2　计算机网络攻击的特点

2.1　损失巨大

由于攻击和入侵的对象是网络上的计算机，因此攻击一旦成功，就会使网络中的计算机处于瘫痪状态，从而给计算机用户造成巨大的经济损失。例如2009年5月19日21时50分始，江苏、安徽、广西、海南、甘肃、浙江六省(区)用户访问网站速度变慢或干脆断网。直到20日1时20分，受影响地区的互联网服务才基本恢复正常，后查明是一个团队发动的DNS攻击所致。

2.2　威胁社会和国家安全

一些计算机网络攻击者出于各种目的经常把政府部门和军事部门的计算机作为攻击目标，从而对社会和国家安全造成威胁。

2.3　手段多样，手法隐蔽

计算机攻击的手段五花八门。网络攻击者既可以通过监视网上数据来获取别人的保密信息，又可以通过截取别人的帐号和口令进入别人的计算机系统，还可以通过一些特殊的方法绕过人们精心设计的防火墙。这些过程都可以在很短的时间内通过计算机完成，因而犯罪不留痕迹，隐蔽性很强。

2.4　以软件攻击为主

几乎所有的网络入侵都是通过对软件的截取和攻击进而破坏整个计算机系统的。因此，计算机犯罪具有隐蔽性，这要求人们对计算机的各种软件(包括计算机通信过程中的信息流)进行严格的保护。

3　影响计算机网络安全的主要因素

3.1　操作系统的漏洞及网络设计的问题

目前流行的许多操作系统均存在网络安全漏洞，黑客利用这些操作系统本身所存在的安全漏洞侵入系统。由于设计的网络系统不规范、不合理以及缺乏安全性考虑，使其受到影响。网络安全管理缺少认证，容易被其他人员滥用，人为因素造成的网络安全的隐患。

3.2　缺乏有效的手段评估网络系统的安全性

缺少使用硬件设备对整个网络的安全防护性能作出科学、准确的分析评估，并保障实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。

3.3　黑客的攻击手段在不断地更新

目前黑客的攻击方法已超过了计算机病毒的种类，而且许多攻击都是致命的。攻击源相对集中，攻击手段更加灵活。黑客手段和计算机病毒技术结合日渐紧密，病毒可以进入黑客无法到达的企业私有网络空间，盗取机密信息或为黑客安装后门，在攻击方法上，混合攻击出现次数越来越多，攻击效果更为显著。黑客总是可以使用先进的、安全工具不知道的手段进行攻击。

3.4　计算机病毒

计算机病毒将导致计算机系统瘫痪，程序和数据严重破坏甚至被盗取，使网络的效率降低，使许多功能无法使用或不敢使用。层出不穷的各种各样的计算机病毒活跃在计算机网络的每个角落，给我们的正常工作已经造成过严重威胁。

4　确保计算机网络安全的防范措施

4.1　计算机病毒的防御

防御计算机病毒应该加强内部网络管理人员以及使用人员的安全意识，使他们能养成正确上网、安全上网的好习惯。另外，应该加强技术上的防范措施，比如使用高技术防火墙、使用防毒杀毒工具等。具体做法如下。

(1)权限设置，口令控制。

很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。网络管理员和终端操作员根据自己的职责权限，选择不同的口令，对应用程序数据进行合法操作，防止用户越权访问数据和使用网络资源。不过，在网络系统中，由于认证信息要通过网递，口令很容易被攻击者从网络传输线路上窃取，所以网络环境中，使用口令控制并不是很安全的方法。

(2)简易安装，集中管理。

在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件能在几分钟内轻松地安装到组织里的每一个NT服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防御措施。

(3)实时杀毒，报警隔离。

当计算机病毒对网上资源的应用程序进行攻击时，这样的病毒存在于信息共享的网络介质上，因此就要在网关上设防，在网络前端进行杀毒。基于网络的病毒特点，应该着眼于网络整体来设计防范手段。在计算机硬件和软件，LAN服务器，服务器上的网关，Internet层层设防，对每种病毒都实行隔离、过滤，而且完全在后台操作。例如：某一终端机如果通过软盘感染了计算机病毒，势必会在LAN上蔓延，而服务器具有了防毒功能，病毒在由终端机向服务器转移的进程中就会被杀掉。为了引起普觉，当在网络中任何一台工作站或服务器上发现病毒时，它都会立即报警通知网络管理员。

(4)以网为本，多层防御。

网络防毒不同于单机防毒。计算机网络是一个开放的系统，它是同时运行多程序、多数据流向和各种数据业务的服务。单机版的杀毒软件虽然可以暂时查杀终端机上的病毒，一旦上网仍会被病毒感染，它是不能在网络上彻底有效地查杀病毒，确保系统安全的。所以网络防毒一定要以网为本，从网络系统和角度重新设计防毒解决方案，只有这样才能有效地查杀网络上的计算机病毒。

4.2　对黑客攻击的防御

对黑客的防御策略应该是对整个网络系统实施的分层次、多级别的包括检测、报警和修复等应急功能的实时系统策略，方法如下。

防火墙构成了系统对外防御的第一道防线。在这里，防火墙是一个小型的防御系统，用来隔离被保护的内部网络，明确定义网络的边界和服务，同时完成授权、访问控制以及安全审计的功能。基本的防火墙技术有：包过滤路由器、双宿网关、过滤主机网关。

5　结语

计算机网络的安全与我们自己的利益息息相关，一个安全的计算机网络系统的保护不仅和系统管理员的系统安全知识有关，而且和每个使用者的安全操作等都有关系。网络安全是动态的，新的Internet黑客站点、病毒与安全技术每日剧增，网络管理人员要掌握最先进的技术，把握住计算机网络安全的大门。

参考文献

[1]顾巧论.计算机网络安全[M].北京：清华大学出版社，2008

[2]李军义.计算机网络技术与应用[M].北京：北方大学出版社，2006