浅析计算机的安全漏洞与防范策略-计算机职称论文网
浅析计算机的安全漏洞与防范策略
张 杨
[摘要]:随着计算机技术及网络的不断发展,操作系统漏洞、应用软件漏洞、硬件漏洞甚至是用户不良操作习惯所造成的人为漏洞等,其实都是隐藏在病毒爆发、黑客攻击、网络钓鱼、网页挂马等安全现象背后的技术性根源。漏洞是实施网络攻击和加强网络防护的关键因素,本文简要介绍了计算机的安全漏洞,以及面对这些漏洞我们应该采取哪些防范策略。
[关键词]:网络攻击;安全漏洞;防范策略
在信息安全得到广泛关注的今天,计算机作为高科技工具得到大范围、全方位的应用。而计算机系统的安全稳定就是我们必须提前考虑的问题。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。目前来看,对计算机系统安全威胁最大的就是本身的漏洞。只要漏洞存在,黑客才有机会入侵我们的计算机系统,据统计证明。99%的黑客攻击事件都是利用计算机未修补的系统漏洞与错误的系统设定而引起的,当黑客探测到系统漏洞后,随之而来的是病毒传播,信息泄露,速度缓慢,乃至整个计算机系统瘫痪崩溃。那么究竟什么是计算机的安全漏洞,它们又从何而来呢?
1.计算机安全漏洞的概念与成因
计算机的安全漏洞是计算机系统在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷和不足,而被黑客用来获取信息、取得用户权限、取得系统管理权限或破坏系统。
下面谈谈计算机安全漏洞的成因,首先由于软件设计的复杂性,尽管包括操作系统在内的每一款商业软件在发布前,都要经过大量严格的各种测试,但仍难免或多或少地存在着一些设计缺陷。这些设计缺陷包括三类:
一是软件开发者出于某种目的人为地在软件中留下的后门。例如,为隐秘地收集用户信息,有的软件会留有不公开的后门。
二是软件开发者由于能力和经验所限,在软件中难免会有一些设计上的逻辑错误。
三是软件开发者无法弥补硬件的漏洞,从而使硬件的问题通过软件表现出来。
除此之外人为的无意失误也会造成计算机的安全漏洞,譬如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
以上这些设计缺陷都是产生漏洞的温床。只要不存在完美无缺的软件,漏洞就不可避免。
当然,并不是所有的设计缺陷都会成为漏洞,只有在软件实际使用过程中,被人发现后刻意进行利用,并威胁到系统安全的设计缺陷才是漏洞。黑客要对一个系统进行攻击,如果不能发现和利用系统中存在的安全漏洞是很难成功的,对于安全级别较高的系统尤其如此。
2.网络漏洞的分类
根据漏洞对系统安全造成的直接威胁可分为远程管理员权限,本地管理员权限,普通用户访问权限,权限提升,远程拒绝服务,本地拒绝服务,远程非授权文件存取,服务器信息泄露,读取受限文件,口令恢复,欺骗等。
2.1远程管理员权限
攻击者无须一个账号登录到本地直接获得远程系统的管理员权限,通常通过攻击以root身份执行的有缺陷的系统守护进程来完成。漏洞的绝大部分来源于缓冲区溢出,少部分来自守护进程本身的逻辑缺陷。
2.2本地管理员权限
攻击者在已有一个本地账号能够登录到系统的情况下,通过攻击本地某些有缺陷的suid程序等手段,得到系统的管理员权限。
2.3普通用户访问权限
攻击者利用服务器的漏洞,取得系统的普通用户存取权限,对UNIX系统通常是shell访问权限,对Windows系统通常是cmd.exe的访问权限,能够以一般用户的身份执行程序,存取文件。攻击者通常攻击以非root身份运行的守护进程,有缺陷的cgi程序等手段获得这种访问权限。
2.4权限提升
攻击者在本地通过攻击某些有缺陷的sgid程序,把自己的权限提升到某个非root用户的水平。获得管理员权限可以看做是一种特殊的权限提升,只是因为威胁的大小不同而把它独立出来。
2.5远程拒绝服务
攻击者利用这类漏洞,无须登录即可对系统发起拒绝服务攻击,使系统或相关的应用程序崩溃或失去响应能力。这类漏洞通常是系统本身或其守护进程有缺陷或设置不正确造成的。
2.6本地拒绝服务
在攻击者登录到系统后,利用这类漏洞,可以使系统本身或应用程序崩溃。这种漏洞主要是因为程序对意外情况的处理失误,如写临时文件之前不检查文件是否存在,盲目跟随链接等。
2.7远程非授权文件存取
利用这类漏洞,攻击可以不经授权地从远程存取系统的某些文件。这类漏洞主要是由一些有缺陷的cgi程序引起的,它们对用户输入没有做适当的合法性检查,使攻击者通过构造特别的输入获得对文件存取。
2.8服务器信息泄露
利用这类漏洞,攻击者可以收集到对于进一步攻击系统有用的信息。这类漏洞的产生主要是因为系统程序有缺陷,一般是对错误的不正确处理。
2.9读取受限文件
攻击者通过利用某些漏洞,读取系统中他应该没有权限的文件,这些文件通常是与安全相关的。这些漏洞的存在可能是文件设置权限不正确,或者是特权进程对文件的不正确处理和意外dump core使受限文件的一部份dump到了core文件中。
2.10口令恢复
由于采用了很弱的口令加密方式,所以攻击者可以很容易的分析出口令的加密方法,从而使攻击者通过某种方法得到密码后还原出明文来。
2.11欺骗
利用这类漏洞,攻击者可以对目标系统实施某种形式的欺骗。这通常是由于系统的实现上存在某些缺陷。
3.利用系统漏洞进行网络攻击的原理
下面介绍几种常见的利用系统漏洞进行攻击的方法。
3.1拒绝服务攻击原理
拒绝服务攻击(Dos:Denai of Service) 是网络攻击最常见的一种。这种攻击行为通过发送一定数量一定序列的报文,使网络服务器中充斥了大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务停止响应甚至崩溃,而在此攻击中并不入侵目标服务器或目标网络设备。这些服务资源包括网络宽带、系统堆栈、开放的进程。或者允许的连接。这种攻击会导致资源耗尽,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。任何资源都有一个极限,所以总能找到一个方法使请求的值大于该极限值,导致所提供的服务资源耗尽。DoS攻击有许多种类,主要有Land攻击、死亡之ping、泪滴、Smurf攻击及SYN洪水等。
3.2缓冲区溢出攻击原理
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它的指令,如果这些指令是放在有root权限的内存中,那么一旦这些指令得到了运行,黑客就以root权限控制了系统,达到入侵的目的。缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。
缓冲区溢出的一般攻击步骤为:在程序的地址空间里安排适当的代码(植入法或利用已存在的代码),然后,通过适当的地址初始化寄存器和存储器,让程序跳到黑客安排的地址空间中执行(如激活纪录、函数指针或长跳转缓冲区等)。
3.3欺骗类攻击的原理
TCP/IP协议本身的一些缺陷可以被利用,使攻击者可以对TCP/IP网络进行攻击,网络欺骗的技术主要有:HoneyPot和分布式HoneyPot、欺骗空间技术等。主要方式有:IP欺骗;ARP欺骗;DNS欺骗;Web欺骗;电子邮件欺骗;源路由欺骗(通过指定路由,以假冒身份与其它主机进行合法通信、或发送假报文,使受攻击主机出现错误动作;地址欺骗(包括伪造源地址和伪造中间站点)等。 以IP欺骗攻击为例说明如下,其的实施步骤为:选定目标主机——发现主机间的信任模式——使被信任主机葬失工作能力——TCP序列号的取样和预测——冒充被信任主机进入系统,并留下后门供以后使用。
对于解决欺骗类攻击的方法,最好是充分了解主机的系统状况,只启用必用的应用程序和只开放提供服务所用到的端口。
3.4后门攻击原理
通常网络攻击者在获得一台主机的控制权后,会在主机上建立后门,以便下一次入侵时使用。后门和种类很多,有登录后门、服务后门、库后门、口令破解后门等。这些后门多数存在于Windows或Unix系统中。目前,建立后门常有的方法是在主机中安装木马程序。攻击者利用欺骗的手段,通过向主机发送电子邮件或是文件,并诱使主机的操作员打开或运行藏有木马程序的邮件或是文件;或者是攻击者获得控制权后,自己安装木马程序。对付后门攻击的方法是经常检测系统的程序运行情况,及时发现在运行中的不明程序,并用木马专杀工具进行查杀工具进行查杀木马。
4.对安全漏洞的防范策略
通过对对安全漏洞攻击原理的分析,我们应尽早采取有效措施,以防范入侵者对安全漏洞的攻击,主要方法有:
4.1及时安装系统补丁程序,一旦发现新的系统漏洞,一些系统官方网站会及时发布新的补丁程序,但是有的补丁程序要求正版认证(例如微软的Windows操作系统),这让许多非版权用户很是苦恼,这时可以通过第三方软件如:系统优化大师(Windows优化大师),360度安全卫士,金山杀毒软件等软件扫描系统漏洞并自动安装补丁程序。
4.2配置防病毒软件,并做到及时升级病毒库,每周要对电脑进行一次全面的杀毒、扫描工作,以便发现并清除隐藏在系统中的病毒。当用户不慎感染上病毒时,应该立即将杀毒软件升级到最新版本,然后对整个硬盘进行扫描操作,清除一切可以查杀的病毒。以使网络免受病毒、恶意程序及插件的侵袭。
4.3配置防火墙,它对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。是很有必要的漏洞防范措施。
4.4分类设置密码并使密码设置尽可能复杂,在不同的场合使用不同的密码。网上需要设置密码的地方很多,如网上银行、上网账户、E-Mail、聊天室以及一些网站的会员等。应尽可能使用不同的密码,以免因一个密码泄露导致所有资料外泄。对于重要的密码(如网上银行的密码)一定要单独设置,并且不要与其他密码相同。定期地修改自己的上网密码,至少一个月更改一次,这样可以确保即使原密码泄露,也能将损失减小到最少。
4.5定期备份重要数据,数据备份的重要性毋庸讳言,无论你的防范措施做得多么严密,也无法完全防止“道高一尺,魔高一丈”的情况出现。如果遭到致命的漏洞攻击,操作系统和应用软件可以重装,而重要的数据就只能靠你日常的备份了。所以,无论你采取了多么严密的防范措施,也不要忘了随时备份你的重要数据,做到有备无患!
5.小结
总之,在互联网信息发达的年代,每一台运行的计算机背后总有计算机系统漏洞时时刻刻在威胁着计算机系统的安全运行。作为一名网络用户,当在你浏览网页,观看视频、图片及传送文件资料的同时一定要把计算机系统的安全因素提前考虑,查漏补缺,防患未然。 转贴
参考文献
[1] 汪贵生,夏阳,计算机安全漏洞分类研究,计算机安全,2008年
[2] 张玉清,网络安全漏洞研究,信息网络安全,2008年
[3] 白兆辉,浅析计算机网络安全防范的几种关键技术,科技信息,2009年
作者简介
张杨,男,出生于1982年1月,助工,本科,就职于银川供电局调度通信所,从事科技信息工作,网信班程序员。