网络时代 黑客攻击的主要方式及防范手段

　　四、Dos类型攻击

　　Dos（Denial of service，拒绝服务攻击）攻击是通过发送大量报文导致网络资源和带宽被消耗，从而达到阻止合法用户对资源的访问。另外一种DDos是它的扩展类型，即分布式拒绝服务攻击许多大型网站都曾被黑客用该种方法攻击过且造成了较大的损失。

　　如何防范：

　　1、BAN IP地址法： 使用简单的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效，因为DOS往往来自少量IP地址，而且这些IP地址都是虚构的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦，需要我们对IP地址分析，将真正攻击的IP地址屏蔽。 不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙，然后根据防火墙的日志分析来访者的IP，发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了，当然直接在服务器上过滤会耗费服务器的一定系统资源，所以目前比较有效的方法是在服务器上通过防火墙日志定位非法IP段，然后将过滤条目添加到路由器上。

　　2、增加SYN缓存法，上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击，但由于使用了屏蔽IP功能，自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。

　　五、窃听报文

　　攻击者使用网络报文获取工具，从网络传输的数据流中复制数据，并从这些数据中获取一些诸如用户名 /口令等敏感信息。通过网络尤其是Internet来传输数据，不仅需要跨越不同的地理位置，而且存在时间上的延迟，在这种情况下，要避免数据不被窃听几乎是不可能的。

　　防范手段： 最基本的是及对报文要进行加密，基本加密算法有两种：对称密钥加密、非对称密钥加密，用于保证数据的保密性、完整性、真实性和非抵赖服务。

　　六、应用层攻击

　　有多种形式，包括大部分的计算机病毒，利用已知应用软件的漏洞，“特洛依木马”等。另外，网络本身的可靠性和线路的安全性也对网络安全起着重要的影响。随着网络应用的逐渐普及，尤其是在一些敏感场合（如电子商务），网络安全成为日益迫切的需求。按物理位置来分，网络安全可分为两个部分，一是内部局域网的安全，二是和外部网络进行数据交换时的安全。路由器作为内部网络和外部网络之间的关键通信设备，应该提供充分的安全功

　　防范方法：

　　1、避免下载可疑程序并拒绝执行，运用网络扫描软件定期监视内部主机并监听TCP服务。

　　2、多方防御保障安全，对电脑硬盘进行加密保护，对硬盘进行高强度保护，目前的这种保护强度，不会被攻破，大大降低了机密数据泄露的风险；双因素认证功能是为了防止非授权者入侵操作系统存取机密数据。采用双因素身份认证的方式，身份认证可以通过智能卡、一次性口令，或者是USB令牌的方式进行，具有更高可靠性。通过数据加密和双因素认证来保护数字资产，是防止未经授权泄漏重要电子信息的终极手段。

　　七、利用信息服务

　　1、DNS域转换——DNS协议不对转换或信息性的更新进行身份认证，这使得该协议被人以一些不同的方式加以利用。

　　2、Finger服务——别有用心的人使用finger命令来刺探一台finger服务器以获取关于该系统的用户的信息。

　　3、LDAP服务——主要是通过LDAP协议的使用，窥探网络内部的系统和它们的用户的信息。

　　防范手段：对于DNS只要在防火墙处过滤掉域转换请求；对于Finger只要关闭finger服务并记录尝试连接该服务的对方IP地址，或者在防火墙上进行过滤。对于刺探内部网络的LDAP进行阻断并记录，如果在公共机器上提供LDAP服务，那么应把LDAP服务器放入DMZ。