浅谈计算机网络安全漏洞及防范措施论文
分类号密级
U D C 编号
本科毕业论文
题目浅谈计算机网络安全漏洞及
防范措施
院(系)
专业
年级
学生姓名
学号
指导教师
二○一五年十月
华中师范大学
学位论文原创性声明
本人郑重声明:所呈交的学位论文是本人在导师指导下独立进行研究工作所取得的研究成果。除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。本人完全意识到本声明的法律后果由本人承担。
学位论文作者签名:日期:年月日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保障、使用学位论文的规定,同意学校保留并向有关学位论文管理部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权省级优秀学士学位论文评选机构将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
本学位论文属于
1、保密□,在_____年解密后适用本授权书。
2、不保密□。
(请在以上相应方框内打“√”)
学位论文作者签名:日期:年月日
导师签名:日期:年月日
内容摘要:计算机网络的发展加速了信息化时代的进程,但是计算机网络在服务人们生活的同时,网络的安全问题也日益突出。文章介绍了系统安全漏洞的基本概念,漏洞与不同安全级别操作系统之间的关系和环境相关特性与时效性以及安全漏洞与攻击者之间的关系。并通过实例,分析了计算机病毒问题与安全漏洞之间的联系,列举出了常见的安全漏洞,提出了相应的安全策略研究对于保障系统安全的积极意义。
关键词:网络安全安全策略安全漏洞计算机病毒
Abstract:The development of computer network accelerates the process of the information age, but in computer network service people living at the same time, network security issues are also increasingly prominent System are introduced in this paper the basic concept of security holes, holes and the relationship between the different level of security operating system and environment related features and timeliness, security vulnerabilities and the relationship between the attackers And through the example, this paper analyzes the computer virus problem with the connection between the security vulnerabilities, lists the common security vulnerabilities, puts forward the corresponding security policy research positive significance for ensuring system safety
Key wprds:network security security policy security hole computer virus
目录
内容摘要 (3)
关键词 (3)
Abstract (3)
Key words (3)
一、漏洞的概念 (5)
(一)什么是漏洞 (5)
(二)漏洞与系统环境的关系及特性 (5)
(三)漏洞问题与不同安全级别系统之间的关系 (5)
二、安全漏洞与系统的攻击之间的关系 (6)
(一)常见的攻击方法 (6)
(二)系统攻击手段与系统漏洞分类 (7)
三、XP系统的常见漏洞 (7)
四、安全策略漏洞防范 (9)
(一)物理安全策略 (9)
(二)访问控制安全策略 (9)
(三)网络协议策略 (9)
参考文献 (11)
致谢 (12)
一、漏洞的概念
(一)什么是漏洞
漏洞是指应用软件或操作系统软件在逻辑设计上的缺陷或在编写时产生的错误,这个缺陷或错误可以被不法者或者电脑黑客利用,通过植入木马、病毒等方式攻击或控制整个电脑,从而窃取电脑中的重要资料和信息,甚至破坏整个系统。
(二)漏洞与系统环境的关系及特性
漏洞会影响到很大范围的软硬件设备,包括操作系统本身及支撑软件、路由器、防火墙等。在不同的软件硬件设备中,不同系统,或同种系统在不同的设置条件下,等会存在各自不同的漏洞问题。
漏洞问题有其时效性。一个系统从发布的那一天起,随着用户的使用,系统中存在的漏洞会被不断暴露出来,也会不断被相应的补丁软件修补,或在随后发布的新版系统中纠正。而在系统中旧的漏洞被纠正的同时,往往也会因人一些新的漏洞和错误。因而随着时间的推移,旧的漏洞会不断的消失,新的漏洞会不断的出现。漏洞问题也会长期的存在。
脱离具体的时间和具体的系统环境来讨论漏洞问题是毫无意义的。只能针对目标系统的实际环境来讨论其中可能存在的漏洞及其可行的解决办法。
应该看到,对漏洞问题的研究必须跟踪当前最新的计算机系统及其安全问题的最新发展动态。这一点与对计算机病毒发展问题的研究相似。
(三)漏洞问题与不同安全级别系统之间的关系
目前计算机系统安全的分级标准一般都是依据“受信任计算机系统评估标准”(Trusted Computer System Evaluation Criteria),即“橘皮书”中的定义,将计算机系统的安全性能由高而低划分为四个等级。其中:
D级--最低保护(Minimal protection),凡没有通过其他安全等级测试项目的系统即属于该级,如Dos,Windows个人计算机系统。
C级—自主访问控制(Discretion Protection),该等级的安全特点在于系统的客体(如文件、目录)可由该系统主体(如系统管理员、用户、应用程序)自主定义访问权。例如:管理员可以决定系统中任意文件的权限。当前Unix、Linux、Windows NT等操作系统都属此安全等级。
B--级强制访问控制(Mandatory Protection),该级的安全特点在于由系统强制对客体进行安全保护,在该级安全系统中,每个系统客体及主体都有自己的安全标签,系统依据用户的安全等级赋予其对各个对象的访问权限。
A级—可验证访问控制(Verified Protection),其特点在于系统拥有正式的分析及数学式方法可完全证明该系统的安全策略及安全规格的完整性与一致性。
根据定义,系统所属安全级别越高,理论上该系统也越健全。可以说,系
统安全级别是一种理论上的安全保证机制。是指在某个系统根据理论得以正确实现时,系统应该可以达到的安全程度。
安全漏洞的出现,是安全机制理论具体实现时出现的非正常情况。比如建立安全机制规划时,在考虑上存在的缺陷,软件编程中的错误,以及在实际使用时认为的配置错误等。而在一切由人类实现的系统中都会不同程度的存在各种潜在错误。因而可以说在所有系统中必定存在着某些安全漏洞,不管这些漏洞是否已被发现,也不管该系统的理论安全级别如何。
可以认为,在一定程度上,安全漏洞问题是独立于操作系统本身的理论安全级别而存在的。并不是说,系统所属的安全级别越高,该系统中存在的安全漏洞就越少。
安全与不安全只是一个相对的概念。可以这样理解,当系统中存在的某些漏洞被入侵者利用,是入侵者得以绕过系统中的一部分安全机制并获得对系统一定程度的访问权限后,在安全性较高的系统当中,入侵者如果希望获得特权或对系统造成较大的破坏,必须要克制更大的障碍。
二、安全漏洞与系统攻击之间的关系
系统安全漏洞是在系统的实现和使用中产生的,在某些条件下可能威胁到系统安全的错误。用户会在使用中发现系统中存在的错误,而入侵者都会设法利用其中的某些错误来破坏系统安全,系统供应商则会尽快发布纠正这些错误的补丁。这就是系统安全漏洞从被发现到纠正的一般过程。
攻击者往往是安全漏洞的发现者和使用者,要对一个系统进行攻击,如果不能发现和使用系统中存在的安全漏洞是不可能成功的。对于理论安全级别较高的系统尤其如此。
系统安全漏洞与系统攻击活动之间有着紧密的联系。因而不该脱离系统攻击活动来谈安全漏洞问题。了解常见的系统攻击方法,对于有针对性地理解系统漏洞问题,以及找到相应的补救方法是十分必要的。
(一)常见的攻击方法
通常可以根据攻击手段,把攻击活动大致分为远程攻击和内部攻击两种。随着网络的发展,远程攻击技术威胁越来越大,而其所涉及的系统漏洞以及相关的知识也较多,因而有更重要的研究价值。
1.远程攻击
远程攻击是指通过Internet或其他网络,对连接的网络上的任意一台机器的攻击活动。一般可根据攻击者的目的分为入侵与破坏性攻击两部分。
破坏性攻击的目的是对系统进行的骚扰,使其丧失一部分或全部服务功能,或对数据造成破坏。像邮件炸弹、基于网络的拒绝服务攻击,及著名的蠕虫病毒等都属于此类。与破坏性攻击不同,远程入侵的目的是非法获得对目标系统资源的使用权。两种攻击都需要用到系统中存在的安全漏洞。从难度上来看,系统入侵可能更困难,也更具有代表性。
2.内部攻击
攻击者可以利用本地系统各组成部件中存在的安全漏洞,对系统进行破坏,如破坏数据,非法提升权限等。在实际情况下,内部攻击许多都是利用系统管理员配置上的错误和程序中存在的缓冲区溢出错误来实施的。
虽然可以简单地将攻击分为以上两类,但在实际的攻击活动中,对两种攻击方法的使用并无界限。
(二)系统攻击手段与系统漏洞分类
系统攻击之所以能够成功,主要是因为在系统中存在着各种类型的安全漏洞。安全漏洞和系统攻击之间有紧密的联系。脱离攻击过程单独看待漏洞问题是没有意义的。而研究安全漏洞的目的,正是为了防范对系统的攻击活动。因而可以通过对常见的系统攻击手段的研究,分析其所涉及的安全漏洞,这样在解决安全问题时才有针对性,防范系统攻击才可以取得较好的效果。下面将举例说明几种常见的攻击手段和其中所涉及到的安全漏洞。
1.远程攻击手段举例
(1)电子欺骗攻击
电子欺骗是指利用网络协议中的缺陷,通过伪造数据包等手段,来欺骗某一系统,从而制造错误认证的攻击技术。
“电子欺骗攻击”是利用了目前系统安全认证方式上的问题,或是在某些网络协议设计时存在的安全缺陷来实现的。比如NFS最初鉴别对一个文件的写请求时是通过发请求的机器而不是用户来鉴别的,因而易受到此种方式的攻击。(2)拒绝服务器攻击
拒绝服务器攻击的目的非常简单和直接,即:使受害系统失去一部分或全部服务功能。包括暂时失去响应网络服务请求的能力,甚至于彻底破坏整个系统。
不同的拒绝服务器攻击利用了不同的系统安全漏洞。比如对邮件系统的攻击是利用了当前邮件系统缺少必要的安全机制,易被滥用的特点。对网络协议实现核心的攻击是利用了系统在具体实现TCP/IP协议栈时的问题。
2.内部攻击手段举例
特洛伊木马指任何看起来象是执行用户希望和需要的功能,但实际上却执行不为用户所知的,并通是有害功能的程序。
一般来说,攻击者都会设法通过某些手段在系统中放置特洛伊程序,并骗取用户执行改程序以达到破坏系统安全的目的。利用特洛伊木马出了可以攻击系统外,攻击者往往也会利用该技术来设置后门。
可以说特洛伊木马攻击手段主要是利用了人类所犯的错误,即:在未能完成确认某个程序的真正功能时,在系统中运行了该程序。
三、XP系统的常见漏洞
XP系统可以说已经很完善了,但是没有完美的系统,任何系统任何时候都会或多或少的存在一些漏洞,这些漏洞成为系统的安全隐患,很容易被不法分子利用,下面就让我们来看看windows XP的几个典型漏洞,以及怎样补上这些漏洞。
(一)远程桌面漏洞
建立网络连接时,WinXP远程桌面会把用户名以明文形式发送到连接它的客户端。发送的用户名可以是远端主机的用户名,也可能是客户端常用的用户名,网络上的嗅探程序可能会捕获到这些账户信息。
安全对策:单击控制面板/系统/远程,取消“允许用户远程连接到这台计算机”,以便停止远程桌面使用。
(二)快速用户切换漏洞
WindowsXP快速用户切换功能存在漏洞,当你单击“开始”/“注销”/“切换用户”启动快速用户切换功能,在传统登录方法下重试登录一个用户名时,系统会误认为有暴力猜解攻击,因而会锁定全部非管理员账号。
安全对策:单击控制面板/用户账户/更改用户登录或注销的方式,取消“使用快速用户切换”,以便禁用用户快速切换功能。
(三)“自注销”漏洞
热键功能是WinXP的系统服务之一,一旦用户登录WinXP,热键功能也就随之启动,于是你就可以使用系统默认的或者自己设置的热键了。假如你的电脑没有设置屏幕保护程序和密码,你离开电脑一段时间到别处去了,WinXP就会很聪明地进行自动注销,不过这种“注销”并没有真正注销,所有的后台程序都还在运行(热键功能当然也没有关闭),因此其他人虽然进不了你的桌面,看不到你的电脑里放了些什么,但是却可以继续使用热键。此时如果有人在你的机器上用热键启动一些与网络相关的敏感程序(或服务),用热键删除机器中的重要文件,或者用热键干其他的坏事,后果也是挺严重的!因此这个漏洞也蛮可怕的,希望微软能及时推出补丁,以便WinXP进行“自注销”时热键服务也能随之停止。
安全对策:在离开计算机的时候,按下Windows键+L键,锁定计算机;或者打开屏幕保护程序并设置密码;或者检查可能会带来危害的程序和服务的热键,取消这些热键。
(四)UPnP服务漏洞
UPnp眼下算是比较先进的技术,已经包含在WindowsXP中,这本是件好事,但却惹出了麻烦,因为UPnp会带来一些安全漏洞。黑客利用这类漏洞可以取得其他PC的完全控制权,或者发动DOS攻击。如果他知道某一PC的IP地址,就可以通过互联网控制该PC,甚至在同一网络中,即使不知道PC的IP地址,也能够控制该PC。具体来讲,UPnP服务可以导致以下两个安全漏洞:
1.缓冲溢出漏洞
UPnP存在缓冲区溢出问题。当处理NOTIFY命令中的Location字段时,如果IP地址、端口和文件名部分超长,就会发生缓冲区溢出。该安全漏洞是eEye 数字安全公司发现并通知微软的,这是Windows有史以来最严重的缓冲溢出漏洞。由于UPnP服务运行在系统的上下文,因此利用该漏洞,黑客可以进行Dos 攻击,水平高的黑客甚至可以一举控制他人的电脑,接管用户的计算机,查阅或删除文件。更为严重的是服务器程序监听广播和多播接口,这样攻击者即可同时攻击多个机器而不需要知道单个主机的IP地址。
安全对策:由于WindowsXP打开了UPnP(通用即插即用)功能,因此所有WinXP 用户都应该立即安装该补丁;而 WinME的用户,只有在运行了UPnP的情况下才需要该补丁,因为WindowsME的UPnP功能在安装时是关闭的;至于Win98,由于其中并没有UPnP,只有当用户自己安装了UPnP的情况下,才需要使用该补丁。
你可以从微软的网站下载该补丁程序。
2.UDP漏洞
UDP和UDP欺骗攻击运行了UPnP服务的系统也很容易,只要向该系统的1900端口发送一个UDP包,其中“LOCA-TION”域的地址指向另一个系统的Chargen 端口,就可能使系统进入一个无限的连接循环,由此会导致系统CPU被100%占用,无法提供正常服务。另外,攻击者只要向某个拥有众多XP主机的网络发送一个伪造的UDP报文,也可能会强迫这些XP主机对指定主机进行攻击。
安全对策:单击XP的控制面板/管理工具/服务,双击“universalplugandpl- ayDeviceHost”服务,在启动类型中选择“已禁用”,关闭UPnP服务。
如果你不想关闭UPnP服务堵住此类安全漏洞,可以到微软的网站下载安装对应的补丁;或者设置防火墙,禁止网络外部数据包对1900端口的连接。
四、安全策略漏洞防范
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性终端分布不均匀性和网络的开放性等特性,致使网络受到偶然或者恶意的原因而遭到破坏、更改、泄露。下面将分别在硬件、软件、协议方面的阐述常见漏洞。
(一)物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器和打印机等,硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户身份和使用权限,防止用户越权操作;确保计算机系统有一个良好的电磁兼容环境。抑制和防止电磁泄漏是物理安全策略的一个主要问题,除此之外还有自然威胁,可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的。
(二)访问控制安全策略
访问控制安全策略的任务是保证网络资源不被非法使用和非法访问,访问控制是计算机网络安全中最重要的核心策略之一。当前,入网访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、防火墙控制等都是访问控制的主要策略,安全策略存在着安全问题。
(三)网络协议策略
针对TCP/IP网络提出www 、snmp、ftp等协议,但此协议有诸多脆弱之处,snmp(简单网络管理协议)管理工作站在解析和处理trap消息及snmp代理和在处理请求消息时具有某些缺陷,主要原因是对SNMP消息的检查不充分,当数据包中含有异常的字段值或过长的对象识别时,会引起内存耗尽,堆栈耗尽以及缓冲区溢出等致命错误,而导致修改目标系统和执行其他代码。后果因具体设备而异,形成拒绝服务器攻击条件,设备不能正常工作,产生大量日志记录、系统崩溃或挂起和设备自动启动等。SNMP主要采用VDPC传输,很容易进行IP源地址假冒。所以,仅仅使用访问控制列表有时不足以防范。大多数snmp 设备接受来自网络广播地址的snmp消息,攻击者甚至可以不必知道目标设备的IP地址,通过发送广播snmp数据包达到目的。
ftp(文件传输协议)是一种脆弱而且漏洞较多的协议。ftp有两个通道,
一个控制通道,一个传输通道。在passive模式下服务器并不检查客户端的地址,因此,在文件传输发生的情况下,传输的数据可以被第三个用户劫持。在日常工作中,预防计算机病毒,保证网络安全,应主要做到以下几点:
1.机器专人管理负责;
2.不要从A盘引导系统;
3.对所有系统软件、工具软件、程序软件要进行写保护;
4.对于外来的机器和软件进行病毒检查;
5.对游戏程序要严格控制;
6.网络上的计算机用户,要遵守网络的使用;
7.安装一个具备实时拦截电子邮件病毒和恶意代码病毒的防火墙,并且要经常及时更新病毒库,至少一周应进行一次更新升级;
8.收到陌生邮件时要慎之又慎,尤其是对于带有附件的陌生电子邮件。
总之,只有掌握较完备的安全策略和养成良好的网络操作习惯,才能真正安全地游弋于网络世界。
参考文献
[1]田丰:《现代计算机网络实用技术》,冶金工业出版社2003年版。
[2]张金峰:《对当前计算机信息网络安全问题的几点思考》,《网络安全技术与应用》2001年第01期。
[3]陈立新:《计算机病毒防治百事通》,北京清华学出版社2002年版。
[4]丁久荣、张玉梅:《计算机网络安全项目化教程》,西北工业大学出版社2015年版。
[5]张秀生:《计算机网络技术与实训》,中国物资出版社2015年版。
致谢
历时将近两个月的时间终于将这篇论文写完,在论文的写作过程中遇到了无数的困难和障碍,都在同学和老师的帮助下度过了。尤其要强烈感谢我的论文指导老师,她对我进行了无私的指导和帮助,不厌其烦的帮助进行论文的修改和改进。另外,在校图书馆查找资料的时候,图书馆的老师也给我提供了很多方面的支持与帮助。在此向帮助和指导过我的各位老师表示最中心的感谢!
感谢这篇论文所涉及到的各位学者。本文引用了数位学者的研究文献,如果没有各位学者的研究成果的帮助和启发,我将很难完成本篇论文的写作。
感谢我的同学和朋友,在我写论文的过程中给予我了很多你问素材,还在论文的撰写和排版灯过程中提供热情的帮助。
由于我的学术水平有限,所写论文难免有不足之处,恳请各位老师和学友批评和指正!