分析：如何做好网络安全防范（一）-!

垩摄冷光源

1背景

络安全防范是保障信息安全的重要手段。随着互联体量与业务的扩张，络中承载了越来越多的重要信息。但随着络设备遭受病攻击、用户隐私数据密等安全事件频发，用户的信息安全遭遇了严重的威胁，人们不禁对络的可靠性和安全性提出了质疑。因此，如何保障络安全性，有效识别络中可能面临的安全威胁并加以防范，成为了个人用户、企业、行业乃至整个都需要考虑的重要课题。

2什么是络安全

络安全指的是络系统中的软、硬件以及系统中的数据信息受到保护，不因偶然或恶意原因受到破坏、更改或露，系统运行连续可靠，络服务不中断。简而言之，维护络安全就是要保障络的可用性、完整性、保密性。

●可用性：保障络服务和信息在需要时能被即时获取；

●完整性：在未经授权的情况下，数据在存储或传输的过程中不被修改、破坏或丢失；

●保密性：络中的信息不被露给非授权体。

3常见的络安全威胁

31有害程序

有害程序引起的安全威胁指的是通过恶意程序，危害系统中数据、应用程序或操作系统安全，从而影响系统正常运行。有害程序包括计算机病、木马、蠕虫、僵尸络、页内嵌恶意代码等，以下对其中类安全威胁进行详细介绍。

311病

计算机病是人为制造的、能够破坏计算机系统、毁坏数据、影响计算机使用的一组指令或代码。计算机病能够现自我复制和自我执行，并且具有破坏性、潜伏性、传染性等特点。

病常以隐藏文件或伪装为正常程序的形式存在，通常通过移动存储设备和络进行传播，从而造成大面积的计算机受到影响。计算机感染病后，轻则导致程序法正常运行、系统运行卡顿，重则导致部分重要数据丢失，更有甚者，硬盘内所有数据均被彻底抹除。

312木马

木马是一种用于盗取用户信息的后门程序，其具有很强的隐蔽性和顽固性。顽固性强的木马即使被检测软件识别，也难以清除。与病不同，木马不具备传染性，且法自我复制，其作用对象通常为用户在设备正在操作的资料和信息。

系统漏洞、邮件、软件下载过程均为木马入侵的重要途径。感染木马后，计算机中的重要文件和密码将被盗取，同时，计算机的控制权也可能被攻击者获取。

313蠕虫

蠕虫是一种单独的恶意程序，具有极强的破坏性和传染性。与病不同，蠕虫需寄宿于主程序即可单独地运行、复制和传播。而蠕虫和木马的差异在于，木马将信息窃取作为首要任务，蠕虫则是以破坏作为主要目的，并且会大量复制并传播，以求感染更多的设备。

蠕虫主要通过络传播，可以感染络上任何不受保护的设备。蠕虫攻击由于不断扫描IP地址，因此将占用大量的带宽资源，并且急剧消耗络设备的CPU资源，导致设备法正常提供络服务。

32络攻击

络攻击是指利用络系统中的协议、配置、程序缺陷，对系统发起攻击，从而影响正常络服务和系统运行。络攻击的方式包括拒绝服务攻击、后门攻击、漏洞攻击、络扫描窃听等。

321拒绝服务攻击

拒绝服务（DoS，DenialofSerce）攻击是一种通过消耗络带宽、设备CPU资源、内存空间或磁盘空间等方式，使得络服务瘫痪的恶意攻击行为。

攻击的手段多样，比较为常见且典型的就是泛洪攻击。泛洪即是发送大量的流量，由于垃圾流量抢占了络带宽与系统资源，正常的数据报文将法传输，导致络服务瘫痪。泛洪攻击通常利用TCPIP协议以及系统存在的漏洞进行，其产生的根本原因还是在于络带宽和系统资源的有限性。常见的泛洪攻击有TCP-SYNFlood、DHCPFlood和ARPFlood等。

●TCP-SYNFlood是当前比较普遍的泛洪攻击方式之一，其利用TCP连接次握手的弱点现。攻击者向被攻击设备发送大量包含SYN标志的TCP请求，被攻击设备收到后将回复SYN+ACK数据包，并将此半连接记录添加到队列中，等待对方回应ACK报文后再将此条目从队列中删除。此时，攻击者不再回应ACK确认报文，因此，被攻击设备将在超时时间到达前维持半连接，并持续发送SYN+ACK报文。队列中大量的半连接将急剧占用被攻击设备的系统资源，导致正常服务的请求信息法被响应。

图3-1TCP-SYNFlood攻击示意图





●DHCPFlood攻击中，攻击者使用大量伪造的MAC地址向DHCP服务器发送IP地址获取请求，从而使得DHCP服务器的地址池被伪造地址耗尽，合法设备法通过该服务器获取IP地址。

●ARPFlood攻击则是通过大量发送包含伪造信息的ARP报文，从而占据ARP表资源，造成合法ARP请求法解析。

上述泛洪攻击能够成功主要利用了设备资源的有限性，通过大量的攻击数据包占据资源，导致正常的络服务请求法被响应。此类攻击需要攻击者持续发送大量数据包才能完成，并且只需要少量人为干预，即可恢复络性能。

在另一类DOS攻击中，攻击者利用协议或软件漏洞，只需要发送少量的攻击数据包，即可使得被攻击者系统崩溃。此类攻击在大多数情况下需要通过重新启动系统才可恢复，具有更大的安全威胁。常见的攻击方式有TearDrop泪滴攻击、Land攻击和Smurf攻击等。

●TearDrop通过发送异常的数据分片进行攻击。数据包在路由器间进行传输时，大小若超过MTU值，则会被分片，直至到达目的主机后才会被重新组装。攻击者利用此特点，向受害主机发送含有重叠偏移的伪造IP分片，受害者主机在在收到数据时法处理分片，从而导致系统崩溃、设备死机。

●Land攻击通过发送源、目地址和源、目端口号均为受害者主机地址或端口号的TCP-SYN数据包，使得自身形成环路，导致系统崩溃。

●Smurf攻击中，攻击者将源地址伪装成受害者主机地址、将受害络的广播地址作为目的地址发送ICMP请求，络中的所有设备收到广播请求后，将应答信息发送给受害者主机，从而导致其崩溃。

322后门攻击

后门指的是在系统中的非公开访问控制途径，攻击者通过该途径能够绕过检查，隐蔽地获取设备的控制权或受保护信息。设备上后门的来源一般为以下两种形式：

●在软件开发或硬件设计过程中，开发者留下后门，且未在软件发布或产品上市前关闭。

●攻击者攻陷主机后在设备上植入木马程序，或用户通过邮件或主机打开了藏有木马的文件，此时木马程序将会在设备上自动创建后门。

由于多数安全软件在检测时会忽略系统中的后门，因此一旦攻击者通过后门入侵设备，就难以被发现。

323漏洞攻击

漏洞攻击是指攻击者利用协议、软件、硬件或安全策略上存在的缺陷，对设备或络发起攻击。通过漏洞攻击，攻击者能够在未授权的情况下访问或破坏系统。

漏洞存在于络中的任何软硬件设备上，即使是一些安全工具本身也不可避免地存在漏洞。上文提到开发者为了便于测试，常常会留下后门，这些后门在产品发布之后，自然而然便成了攻击者可以利用的漏洞。同时，络协议也是漏洞产生的温床。此外，随着软硬件运行环境的更新和用户使用的过程，新的漏洞会不断出现。一旦设备缺少络安全防范机制，攻击者很容易通过系统漏洞获取控制权限。

324络扫描窃听

络扫描是一种基于TCPIP协议的信息探测手段，适用于主机、路由器、防火墙等多种络设备，用于发现络的远程服务和系统脆弱点。通过络扫描，可以获悉络中正在运行的设备的信息。对络中的合法用户而言，扫描有利于了解络的运行情况，辅助络安全评估；而对攻击者而言，络扫描则是了解和选择攻击目标的有效途径。因此，络扫描常常作为络攻击的首步，是攻击者在施具体攻击前，用于搜索络情报的一个重要步骤。

施络扫描获取络情报后，攻击者通常会采用络窃听作为下一步攻击手段。络窃听又称为络嗅探，是攻击者用于截获数据的重要方法。攻击者通过寻找端到端通信之间未加密的弱连接，拦截穿越络的数据包，从而窃听跨越主机、服务器、络设备、智能手机等络组件的对话，此时任何未经加密的流量都可以被攻击者读取。窃听行为不会对络设备造成质性的损害，但对用户数据的漏是不可估量的。窃听行为往往不容易被发现，因此想要检测和防范络窃听攻击是极为困难的。

33信息破坏

信息篡改、信息假冒、信息露、信息窃取等均属于信息破坏的范畴，是络中比较为普遍的安全威胁之一。攻击行为除了满足一部分黑客的好奇心与好胜心，更多则是为了获取利益，而用户信息就是攻击者获取利益的比较佳途径。大多数有害程序和络攻击会导致信息受到破坏。攻击者通过木马程序或漏洞攻击，在授权的情况下获取用户设备的访问权限。此时，系统中保密、敏感的信息自然便暴露在了攻击者眼前，攻击者可以通过窃取、篡改或删除操作对信息造成破坏。

4总结

络环境日渐复杂，而用户对于数据、应用的安全性要求又在逐步提升，为了避免络中处不在的安全威胁，做好络安全防范工作是至关重要的。而在通过络设计、安全功能配置或是安全策略执行等方式提升络应对攻击的能力之前，了解当前络环境下可能遇到的安全问题是必不可少的步骤。只有了解络中可能会面临哪些安全威胁，以及安全威胁的来源以及带来的影响，才能采取有效举措进行针对性防范。而对于上述安全问题的具体防范措施，将在下期揭晓。

相关链接络安全隐患之：挖矿木马介绍




据国产数据库行业资深人士表示，其发展还会处于很好的态势。OceanBase 完全自主研发，已连续 10 余年稳定支撑双 11 ，创新推出“三地五中心”城市级容灾新标准，是全球唯一在 TPC-C 和 TPC-H 测试上都刷新了世界纪录的原生分布式数据库。https://www.oceanbase.com/topic/techwiki-guochanshujuku