計(jì)算機(jī)網(wǎng)絡(luò)一般采用的是TCP/IP協(xié)議，在制定該協(xié)議時(shí)，設(shè)計(jì)人員主要考慮的是方便性，對(duì)安全性的考慮不多，因而該協(xié)議本身具有很多安全漏洞接下來(lái)由學(xué)習(xí)啦小編為大家推薦計(jì)算機(jī)網(wǎng)絡(luò)安全缺陷的應(yīng)對(duì)方法，希望對(duì)你有所幫助!

　　計(jì)算機(jī)網(wǎng)絡(luò)安全缺陷的應(yīng)對(duì)方法：

　　一、計(jì)算機(jī)網(wǎng)絡(luò)安全缺陷

　　1、計(jì)算機(jī)網(wǎng)絡(luò)一般采用的是TCP/IP協(xié)議，在制定該協(xié)議時(shí)，設(shè)計(jì)人員主要考慮的是方便性，對(duì)安全性的考慮不多，因而該協(xié)議本身具有很多安全漏洞。

　　2、計(jì)算機(jī)的操作系統(tǒng)在進(jìn)行結(jié)構(gòu)設(shè)計(jì)和代碼設(shè)計(jì)時(shí)，也是主要考慮到用戶使用的方便性，但是在安全性上，比如計(jì)算機(jī)的遠(yuǎn)程控制、權(quán)限控制等方面，存在缺陷。

　　3、計(jì)算機(jī)在數(shù)據(jù)庫(kù)管理上也存在一定的缺陷，不法分子可以在數(shù)據(jù)庫(kù)或者應(yīng)用程序中安裝各種破壞程序來(lái)進(jìn)行情報(bào)數(shù)據(jù)的收集。

　　二、計(jì)算機(jī)網(wǎng)絡(luò)攻擊的方式

　　1、漏洞攻擊。由于計(jì)算機(jī)在系統(tǒng)、程序、硬件、軟件等方面都存在一定的缺陷和漏洞，而不法分子可以利用這些漏洞進(jìn)行攻擊。計(jì)算機(jī)網(wǎng)絡(luò)常見(jiàn)的安全漏洞主要有：盜取遠(yuǎn)程、本地管理權(quán)限，遠(yuǎn)程、本地拒絕服務(wù)，服務(wù)器信息的泄露等等。不法分子會(huì)利用漏洞探測(cè)工具來(lái)對(duì)用戶的系統(tǒng)進(jìn)行檢測(cè)，然后在不經(jīng)授權(quán)的情況下針對(duì)這些漏洞來(lái)進(jìn)行攻擊。

　　2、病毒攻擊。病毒攻擊是計(jì)算機(jī)網(wǎng)絡(luò)攻擊中最為普遍，也是最難處理的一種，它可以對(duì)計(jì)算機(jī)造成巨大的損壞。許多病毒會(huì)和木馬結(jié)合在一起，殺毒軟件不僅很難刪除，還可以迅速進(jìn)行傳播。

　　3、電子郵件攻擊。由于電子郵箱已經(jīng)成為很多人進(jìn)行溝通交流的方式，很多商務(wù)交際和公司貿(mào)易中，都采用了電子郵件的方式。不法分子會(huì)利用CGI等軟件向用戶郵箱發(fā)送大量的垃圾郵件，導(dǎo)致郵箱被撐爆而無(wú)法使用。此外，不法分子還會(huì)用郵箱來(lái)對(duì)用戶發(fā)送帶有病毒的郵件。

　　4、DOS攻擊。DOS攻擊又稱拒絕服務(wù)攻擊，這種系統(tǒng)漏洞在全世界都普遍存在，不法分子利用系統(tǒng)和設(shè)備的缺陷不斷地進(jìn)行攻擊。不法分子采用這種攻擊手段，讓用戶的系統(tǒng)因?yàn)樨?fù)荷過(guò)多而無(wú)法正常工作。攻擊者采用的方式—般是對(duì)計(jì)算機(jī)之間的鏈接或服務(wù)器進(jìn)行破環(huán)，使其無(wú)法進(jìn)行正常的網(wǎng)絡(luò)通訊。

　　5、緩沖區(qū)溢出攻擊。不法分子利用軟件自身的缺陷，向程序的緩沖區(qū)寫(xiě)入過(guò)長(zhǎng)的內(nèi)容，發(fā)生緩沖區(qū)溢出，對(duì)程序的堆棧進(jìn)行破壞，達(dá)到執(zhí)行其他指令的目的?；蛘吖粽咴诰彌_區(qū)內(nèi)寫(xiě)入自己的代碼，將這個(gè)代碼的的地址覆蓋原函數(shù)的返回地址，當(dāng)程序返回時(shí)，程序就開(kāi)始執(zhí)行攻擊者的代碼。

　　6、TCP/IP欺騙攻擊。這種攻擊方式是通過(guò)偽造假冒的地址，冒充真實(shí)的身份來(lái)和其他主機(jī)來(lái)進(jìn)行合法通訊，或者是向被攻擊者發(fā)送了錯(cuò)誤的報(bào)文，讓被攻擊者執(zhí)行錯(cuò)誤的指令。

　　7、ARP欺騙攻擊。ARP攻擊，是攻擊者通過(guò)對(duì)路由器的ARP表進(jìn)行欺騙，或者是對(duì)網(wǎng)關(guān)進(jìn)行欺騙的方式達(dá)成攻擊的目的。其中，針對(duì)路由器的ARP欺騙方式是，攻擊者截獲網(wǎng)關(guān)數(shù)據(jù)，偽造MAC地址，并向網(wǎng)關(guān)頻繁發(fā)送，造成路由器的ARP緩存信息得到修改，導(dǎo)致真正的IP地址無(wú)法與路由器進(jìn)行通訊，這種攻擊的結(jié)果是導(dǎo)致用戶的網(wǎng)絡(luò)受到中斷。而對(duì)網(wǎng)關(guān)進(jìn)行欺騙的方式是攻擊者通過(guò)偽造網(wǎng)關(guān)，使得被攻擊者向攻擊者的網(wǎng)關(guān)發(fā)送數(shù)據(jù)，這樣，攻擊者可以截獲用戶的網(wǎng)絡(luò)信息。

　　8、電磁輻射攻擊。電磁輻射攻擊主要是應(yīng)用在現(xiàn)代戰(zhàn)爭(zhēng)中，攻擊者通過(guò)電磁輻射干擾對(duì)方的通訊，同時(shí)將對(duì)方的通訊信息進(jìn)行截取，是獲取軍事情報(bào)的方式。

　　三、網(wǎng)絡(luò)攻擊的防范技術(shù)

　　1、拒絕服務(wù)攻擊防范

　　1)用戶可以對(duì)不必要的服務(wù)進(jìn)行關(guān)閉，對(duì)同時(shí)打開(kāi)的SYN半連接數(shù)目進(jìn)行限制，并且對(duì)SYN的半連接的timeout時(shí)間進(jìn)行縮短，并注意及時(shí)對(duì)系統(tǒng)更新補(bǔ)丁。

　　2)在防火墻的設(shè)置上，嚴(yán)禁對(duì)計(jì)算機(jī)的非開(kāi)放項(xiàng)目進(jìn)行訪問(wèn)，對(duì)同時(shí)打開(kāi)的SYN最大連接數(shù)進(jìn)行限制。對(duì)特定的IP設(shè)置訪問(wèn)限制，并且將防火墻的DDOS的屬性啟動(dòng)。

　　3)在路由器的設(shè)置上，對(duì)訪問(wèn)控制列表要進(jìn)行過(guò)濾，同時(shí)對(duì)SYN的數(shù)據(jù)包的流量速率進(jìn)行設(shè)置，對(duì)版本過(guò)低的ISO進(jìn)行升級(jí)，并為路由器建立logserver。

　　2、緩沖區(qū)溢出攻擊防范

　　1)程序指針完整性檢測(cè)。即用戶需要對(duì)程序指針進(jìn)行檢測(cè)，防止被攻擊者進(jìn)行改變并被引用。

　　2)堆砌保護(hù)。這是一種編譯器技術(shù)，用來(lái)對(duì)程序指針完整性進(jìn)行檢測(cè)，其檢測(cè)方式是通過(guò)對(duì)函數(shù)活動(dòng)記錄中的返回地址進(jìn)行檢測(cè)來(lái)實(shí)現(xiàn)的。即，首先將一些附加的字節(jié)添加在堆棧中函數(shù)返回地址后，當(dāng)函數(shù)返回時(shí)，會(huì)先對(duì)這些附加字節(jié)進(jìn)行檢查，看是否被改動(dòng)過(guò)，查看是否發(fā)生了緩沖區(qū)溢出攻擊。

　　3)數(shù)組邊界檢查。即對(duì)所有的數(shù)組操作進(jìn)行檢查，確保數(shù)組操作在正確的范圍內(nèi)。

　　3、掃描型攻擊的防范

　　1)地址掃描的防護(hù)。用戶可以采用Ping程序進(jìn)行探索，如果存在地址掃描攻擊，則其會(huì)對(duì)此程序作出反映，此時(shí)就可以在防火墻中將ICMP應(yīng)笞消息過(guò)濾掉。

　　2)端口掃描的防護(hù)。用戶需要將閑置的端口或者存在風(fēng)險(xiǎn)的端口關(guān)閉，用戶還可以通過(guò)防火墻來(lái)檢測(cè)其是否被掃描，因此，良好的防護(hù)墻是預(yù)防端口掃描的關(guān)鍵因素。

　　3)畸形消息攻擊。由于計(jì)算機(jī)的操作系統(tǒng)本身存在漏洞，系統(tǒng)在處理信息時(shí)，如果不能進(jìn)行錯(cuò)誤校驗(yàn)，在接受到畸形攻擊時(shí)就可能會(huì)導(dǎo)致系統(tǒng)崩潰。要預(yù)防畸形消息攻擊就需要及時(shí)更新安裝補(bǔ)丁。

　　4、IP地址欺騙防范

　　1)拋棄基于地址的信任策略：用戶為了實(shí)現(xiàn)對(duì)此類攻擊的阻止，需要拋棄以地址為基礎(chǔ)的驗(yàn)證。比如，禁用r類遠(yuǎn)程調(diào)用命令，或者刪除rhosts文件，對(duì)/etc/hosts.equjy文件進(jìn)行清空。

　　2)使用加密方法：用戶可以采用對(duì)將要發(fā)送的數(shù)據(jù)包進(jìn)行加密，在加密的過(guò)程中需要對(duì)當(dāng)前的網(wǎng)絡(luò)環(huán)境進(jìn)行改變，通過(guò)加密可以保證數(shù)據(jù)的真實(shí)性和完整性。

　　3)進(jìn)行包過(guò)濾。通過(guò)對(duì)路由器進(jìn)行設(shè)置，如果發(fā)現(xiàn)網(wǎng)外的鏈接請(qǐng)求的IP地址與本網(wǎng)內(nèi)IP地址相同，則對(duì)其進(jìn)行禁止。如果數(shù)據(jù)包的IP地址并不在本網(wǎng)內(nèi)，則禁止將本網(wǎng)主機(jī)的數(shù)據(jù)包發(fā)送出去。包過(guò)濾技術(shù)只能過(guò)濾聲稱來(lái)自內(nèi)部網(wǎng)絡(luò)的外來(lái)包，所以最好關(guān)閉網(wǎng)絡(luò)中的外部可信任主機(jī)，避免不法分子冒充這些主機(jī)進(jìn)行IP欺騙。

　　5、ARP攻擊防范

　　1)將網(wǎng)關(guān)MAC地址和對(duì)應(yīng)的IP地址進(jìn)行綁定;在交換機(jī)上將計(jì)算機(jī)端口和MAc地址進(jìn)行綁定，同時(shí)對(duì)ACL進(jìn)行配置，對(duì)非法IP或MAc地址進(jìn)行過(guò)濾。

　　2)通過(guò)使用ARP服務(wù)器，查找自己的ARP轉(zhuǎn)換表，從而對(duì)其他設(shè)備的ARP廣播進(jìn)行響應(yīng)。在一些特殊的網(wǎng)絡(luò)環(huán)境中，可以考慮使用ARP代理或者是對(duì)網(wǎng)絡(luò)接口的ARP解析禁止執(zhí)行。

　　3)使用反ARP軟件、防火墻等監(jiān)控網(wǎng)絡(luò)，應(yīng)當(dāng)避免使用集線器等設(shè)備，并且定期檢查ARP的緩存列表。

　　4)因?yàn)锳RP攻擊一般發(fā)生在園區(qū)內(nèi)，因此，網(wǎng)絡(luò)管理員可以根據(jù)在局域網(wǎng)中制定出一個(gè)網(wǎng)絡(luò)拓?fù)鋱D，劃出VLAN區(qū)域，如果有用戶感染了ARP病毒，為了防止ARP病毒的擴(kuò)散，就需要立即找到感染病毒用戶的交換機(jī)端口，將這個(gè)端口列進(jìn)VLAN區(qū)，并且可以運(yùn)用端口中的disable對(duì)其進(jìn)行屏蔽。

　　四、結(jié)束語(yǔ)

　　因此需要用戶和技術(shù)人員提高網(wǎng)絡(luò)安全防范的意識(shí)，提高應(yīng)對(duì)攻擊的處理能力，同時(shí)要不斷加強(qiáng)學(xué)習(xí)和研究，從而更好地應(yīng)對(duì)現(xiàn)在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境。