計算機(jī)網(wǎng)絡(luò)安全畢業(yè)論文

1、<p><b>　　目　　　　錄</b></p><p>　　1.計算機(jī)網(wǎng)絡(luò)安全的含義</p><p>　　1.1計算機(jī)網(wǎng)絡(luò)安全定義</p><p>　　國際標(biāo)準(zhǔn)化組織將“計算機(jī)安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和治理的安全保護(hù)，保護(hù)計算機(jī)硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機(jī)安全的定義包含

2、物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護(hù)，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護(hù)。計算機(jī)網(wǎng)絡(luò)安全的具體含義會隨著使用者的變化而變化，使用者不同，對網(wǎng)絡(luò)安全的熟悉和要求也就不同。從普通使用者的角度來說，可能僅僅希望個人隱私或機(jī)密信息在網(wǎng)絡(luò)上傳輸時受到保護(hù)，避免被竊聽、篡改和偽造；而網(wǎng)絡(luò)提供商除了關(guān)心這些網(wǎng)絡(luò)信息安全外

3、，還要考慮如何應(yīng)付突的自然災(zāi)難、軍事打擊等對網(wǎng)絡(luò)硬件的破壞，以及在網(wǎng)絡(luò)出現(xiàn)異常時如何恢復(fù)網(wǎng)絡(luò)通保持網(wǎng)絡(luò)通信的連續(xù)性。</p><p>　　從本質(zhì)上來講，網(wǎng)絡(luò)安全包括組成網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其在網(wǎng)絡(luò)上傳輸信息的安全性，使其不致因偶然的或者惡意的攻擊遭到破壞，網(wǎng)絡(luò)安全既有技術(shù)方面的，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。人為的網(wǎng)絡(luò)入侵和攻擊行為使得網(wǎng)絡(luò)安全面臨新的挑戰(zhàn)。</p><p&g

4、t;　　1.2計算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀</p><p>　　計算機(jī)網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機(jī)和網(wǎng)絡(luò)技術(shù)具有的復(fù)雜性和多樣性，使得計算機(jī)和網(wǎng)絡(luò)安全成為一個需要持續(xù)更新和提高的領(lǐng)域。目前黑客的攻擊方法已超過了計算機(jī)病毒的種類，而且許多攻擊都是致命的。在Internet網(wǎng)絡(luò)上，因互聯(lián)網(wǎng)本身沒有時空和地域

5、的限制，每當(dāng)有一種新的攻擊手段產(chǎn)生，就能在一周內(nèi)傳遍全世界，這些攻擊手段利用網(wǎng)絡(luò)和系統(tǒng)漏洞進(jìn)行攻擊從而造成計算機(jī)系統(tǒng)及網(wǎng)絡(luò)癱瘓。</p><p>　　2. 計算機(jī)網(wǎng)絡(luò)攻擊和入侵的主要途徑</p><p>　　2.1網(wǎng)絡(luò)入侵的定義</p><p>　　網(wǎng)絡(luò)入侵是指網(wǎng)絡(luò)攻擊者通過非法的手段（如破譯口令、電子欺騙等）獲得非法的權(quán)限，并通過使用這些非法的權(quán)限使網(wǎng)絡(luò)攻擊者能對

6、被攻擊的主機(jī)進(jìn)行非授權(quán)的操作。網(wǎng)絡(luò)入侵的主要途徑有：破譯口令、IP欺騙和DNS欺騙。 </p><p>　　2.2網(wǎng)絡(luò)攻擊的途徑</p><p>　　口令是計算機(jī)系統(tǒng)抵御入侵者的一種重要手段，所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機(jī)，然后再實施攻擊活動。這種方法的前提是必須先得到該主機(jī)上的某個合法用戶的帳號，然后再進(jìn)行合法用戶口令的破譯。獲得普通用戶帳號的方法很多，如：&

7、lt;/p><p>　　2.2.1利用目標(biāo)主機(jī)的Finger功能</p><p>　　當(dāng)用Finger命令查詢時，主機(jī)系統(tǒng)會將保存的用戶資料（如用戶名、登錄時間等）顯示在終端或計算機(jī)上；利用目標(biāo)主機(jī)的X.500服務(wù)：有些主機(jī)沒有關(guān)閉X.500的目錄查詢服務(wù)，也給攻擊者提供了獲得信息的一條簡易途徑；從電子郵件地址中收集：有些用戶電子郵件地址常會透露其在目標(biāo)主機(jī)上的帳號；查看主機(jī)是否有習(xí)慣性的帳號

8、：有經(jīng)驗的用戶都知道，很多系統(tǒng)會使用一些習(xí)慣性的帳號，造成帳號的泄露。</p><p>　　2.2.2 IP欺騙　</p><p>　　IP欺騙是指攻擊者偽造別人的IP地址，讓一臺計算機(jī)假冒另一臺計算機(jī)以達(dá)到蒙混過關(guān)的目的。它只能對某些特定的運行TCP/IP的計算機(jī)進(jìn)行入侵。IP欺騙利用了TCP/IP網(wǎng)絡(luò)協(xié)議的脆弱性。在TCP的三次握手過程中，入侵者假冒被入侵主機(jī)的信任主機(jī)與被入侵主機(jī)進(jìn)行

9、連接，并對被入侵主機(jī)所信任的主機(jī)發(fā)起淹沒攻擊，使被信任的主機(jī)處于癱瘓狀態(tài)。當(dāng)主機(jī)正在進(jìn)行遠(yuǎn)程服務(wù)時，網(wǎng)絡(luò)入侵者最容易獲得目標(biāo)網(wǎng)絡(luò)的信任關(guān)系，從而進(jìn)行IP欺騙。IP欺騙是建立在對目標(biāo)網(wǎng)絡(luò)的信任關(guān)系基礎(chǔ)之上的。同一網(wǎng)絡(luò)的計算機(jī)彼此都知道對方的地址，它們之間互相信任。由于這種信任關(guān)系，這些計算機(jī)彼此可以不進(jìn)行地址的認(rèn)證而執(zhí)行遠(yuǎn)程操作。</p><p>　　2.2.3 域名系統(tǒng)（DNS）</p><p

10、>　　域名系統(tǒng)（DNS）是一種用于TCP/IP程序的分布式數(shù)據(jù)庫，它提供主機(jī)名字和IP地址之間的轉(zhuǎn)換信息。通常，用戶通過UDP協(xié)議和DNS服務(wù)器進(jìn)行通信，而服務(wù)器在特定的53端口監(jiān)聽，并返回用戶所需的相關(guān)信息。DNS協(xié)議不對轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議被人以一些不同的方式加以利用。當(dāng)攻擊者危害DNS服務(wù)器并明確地更改主機(jī)名—IP地址映射表時,DNS欺騙就會發(fā)生。這些改變被寫入DNS服務(wù)器上的轉(zhuǎn)換表。因而,當(dāng)一個客戶

11、機(jī)請求查詢時,用戶只能得到這個偽造的地址,該地址是一個完全處于攻擊者控制下的機(jī)器的IP地址。因為網(wǎng)絡(luò)上的主機(jī)都信任DNS服務(wù)器,所以一個被破壞的DNS服務(wù)器可以將客戶引導(dǎo)到非法的服務(wù)器,也可以欺騙服務(wù)器相信一個IP地址確實屬于一個被信任客戶。</p><p>　　3. 計算機(jī)網(wǎng)絡(luò)攻擊的特點</p><p>　　3.1計算機(jī)網(wǎng)絡(luò)攻擊具體特點</p><p><b

12、>　　3.1.1損失巨大</b></p><p>　　由于攻擊和入侵的對象是網(wǎng)絡(luò)上的計算機(jī)，所以一旦他們?nèi)〉贸晒?，就會使網(wǎng)絡(luò)中成千上萬臺計算機(jī)處于癱瘓狀態(tài)，從而給計算機(jī)用戶造成巨大的損失。如美國每年因計算機(jī)犯罪而造成的經(jīng)濟(jì)損失就達(dá)幾百億美元。平均一起計算機(jī)犯罪案件所造成的經(jīng)濟(jì)損失是一般案件的幾十到幾百倍。</p><p>　　3.1.2威脅和國家安全</p>

13、<p>　　一些計算機(jī)網(wǎng)絡(luò)攻擊者出于各種目的經(jīng)常把政府要害部門和軍事部門的計算機(jī)作為攻擊目標(biāo)，從而對社會和國家安全造成威脅。</p><p>　　3.1.3手段多樣，手法隱蔽</p><p>　　計算機(jī)攻擊的手段可以說五花八門。網(wǎng)絡(luò)攻擊者既可以通過監(jiān)視網(wǎng)上數(shù)據(jù)來獲取別人的保密信息；也可以通過截取別人的帳號和口令堂而皇之地進(jìn)入別人的計算機(jī)系統(tǒng)；還可以通過一些特殊的方法繞過人們精心

14、設(shè)計好的防火墻等等。這些過程都可以在很短的時間內(nèi)通過任何一臺聯(lián)網(wǎng)的計算機(jī)完成。因而犯罪不留痕跡，隱蔽性很強(qiáng)。</p><p>　　3.1.4以軟件攻擊為主</p><p>　　幾乎所有的網(wǎng)絡(luò)入侵都是通過對軟件的截取和攻擊從而破壞整個計算機(jī)系統(tǒng)的。它完全不同于人們在生活中所見到的對某些機(jī)器設(shè)備進(jìn)行物理上的摧毀。因此，這一方面導(dǎo)致了計算機(jī)犯罪的隱蔽性，另一方面又要求人們對計算機(jī)的各種軟件（包括

15、計算機(jī)通信過程中的信息流）進(jìn)行嚴(yán)格的保護(hù)。</p><p>　　4. 計算機(jī)網(wǎng)絡(luò)中的安全缺陷及產(chǎn)生的原因</p><p>　　4.1網(wǎng)絡(luò)安全缺陷產(chǎn)生的主要原因</p><p>　　4.1.1TCP/IP的脆弱性</p><p>　　因特網(wǎng)的基石是TCP/IP協(xié)議。但不幸的是該協(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。并且，由于TCP/IP協(xié)議是公布于

16、眾的，如果人們對TCP/IP很熟悉，就可以利用它的安全缺陷來實施網(wǎng)絡(luò)攻擊。</p><p>　　4.1.2網(wǎng)絡(luò)結(jié)構(gòu)的不安全性</p><p>　　因特網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)。它是由無數(shù)個局域網(wǎng)所連成的一個巨大網(wǎng)絡(luò)。當(dāng)人們用一臺主機(jī)和另一局域網(wǎng)的主機(jī)進(jìn)行通信時，通常情況下它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機(jī)器重重轉(zhuǎn)發(fā)，如果攻擊者利用一臺處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)，他就可以劫持用戶的數(shù)據(jù)包。

17、</p><p><b>　　4.1.3易被竊聽</b></p><p>　　由于因特網(wǎng)上大多數(shù)數(shù)據(jù)流都沒有加密，因此人們利用網(wǎng)上免費提供的工具就很容易對網(wǎng)上的郵件、口令和傳輸?shù)奈募M(jìn)行竊聽。</p><p>　　4.1.4缺乏安全意識</p><p>　　雖然網(wǎng)絡(luò)中設(shè)置了許多安全保護(hù)屏障，但人們普遍缺乏安全意識，從而使

18、這些保護(hù)措施形同虛設(shè)。如人們?yōu)榱吮荛_防火墻代理服務(wù)器的額外認(rèn)證，進(jìn)行直接的PPP連接從而避開了防火墻的保護(hù)。</p><p>　　5. 常見的網(wǎng)絡(luò)攻擊及其防范對策</p><p>　　隨著INTERNET的進(jìn)一步發(fā)展，各種網(wǎng)上活動日益頻繁，尤其網(wǎng)上辦公、交易越來越普及，使得網(wǎng)絡(luò)安全問題日益突出，各種各樣的網(wǎng)絡(luò)攻擊層出不窮，如何防止網(wǎng)絡(luò)攻擊，為廣大用戶提供一個安全的網(wǎng)絡(luò)環(huán)境變得尤為重要。蠕蟲

19、、后門、Rootkits、DOS和Sniffer是大家熟悉的幾種黑客攻擊手段。但這些攻擊手段卻都體現(xiàn)了它們驚人的威力，時至今日，有愈演愈烈之勢。這幾類攻擊手段的新變種，與以前出現(xiàn)的攻擊方法相比，更加智能化，攻擊目標(biāo)直指互聯(lián)網(wǎng)基礎(chǔ)協(xié)議和操作系統(tǒng)層次。從Web程序的控制程序到內(nèi)核級Rootlets。黑客的攻擊手法不斷升級翻新，向用戶的信息安全防范能力不斷發(fā)起挑戰(zhàn)。</p><p><b>　　5.1 密碼攻

20、擊 </b></p><p>　　用戶在撥號上網(wǎng)時，如果選擇了“保存密碼”的功能，則上網(wǎng)密碼將被儲存在windows目錄中，以“username.pwl”的形式存放。如果不小心被別人看到這個文件，那就麻煩了，因為從網(wǎng)上可以很輕松地找到諸如pwlview這樣的軟件來觀看其中的內(nèi)容，那上網(wǎng)密碼就泄漏了。 </p><p>　　有的人使用名字、生日、電話號碼等來做密碼，更有的人的密碼

21、干脆和用戶名一樣，這樣的密碼，在黑客攻擊軟件龐大的字典文件面前簡直是不堪一擊。 </p><p>　　那么該如何防范密碼不被攻擊呢？應(yīng)從以下方面入手：（1）不用生日、電話號碼、名字等易于猜到的字符做密碼。（2）上網(wǎng)時盡量不選擇保存密碼。（3）每隔半個月左右更換一次密碼，不要怕麻煩。</p><p><b>　　5.2　特洛伊木馬</b></p><

22、p>　　特洛伊木馬程序技術(shù)是黑客常用的攻擊手段。它通過在你的電腦系統(tǒng)隱藏一個會在Windows啟動時運行的程序，采用服務(wù)器／客戶機(jī)的運行方式，從而達(dá)到在上網(wǎng)時控制你電腦的目的。</p><p>　　特洛伊木馬是夾帶在執(zhí)行正常功能的程序中的一段額外操作代碼。因為在特洛伊木馬中存在這些用戶不知道的額外操作代碼，因此含有特洛伊木馬的程序在執(zhí)行時，表面上是執(zhí)行正常的程序，而實際上是在執(zhí)行用戶不希望的程序。特洛伊木馬

23、程序包括兩個部分，即實現(xiàn)攻擊者目的的指令和在網(wǎng)絡(luò)中傳播的指令。特洛伊木馬具有很強(qiáng)的生命力，在網(wǎng)絡(luò)中當(dāng)人們執(zhí)行一個含有特洛伊木馬的程序時，它能把自己插入一些未被感染的程序中，從而使它們受到感染。此類攻擊對機(jī)的危害極大，通過特洛伊木馬，網(wǎng)絡(luò)攻擊者可以讀寫未經(jīng)授權(quán)的文件，甚至可以獲得對被攻擊的計算機(jī)的控制權(quán)。 </p><p>　　防止在正常程序中隱藏特洛伊木馬的主要是人們在生成文件時，對每一個文件進(jìn)行數(shù)字簽名，而在運

24、行文件時通過對數(shù)字簽名的檢查來判斷文件是否被修改，從而確定文件中是否含有特洛伊木馬。避免下載可疑程序并拒絕執(zhí)行，運用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的監(jiān)聽TCP服務(wù)。</p><p><b>　　5.3　郵件炸彈</b></p><p>　　郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺機(jī)器不斷的大量的向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬，占據(jù)郵箱的空間

25、，使用戶的存儲空間消耗殆盡，從而阻止用戶對正常郵件的接收，防礙計算機(jī)的正常工作。此種攻擊經(jīng)常出現(xiàn)在網(wǎng)絡(luò)黑客通過計算機(jī)網(wǎng)絡(luò)對某一目標(biāo)的報復(fù)活動中。</p><p>　　防止郵件炸彈的方法主要有通過配置路由器，有選擇地接收電子郵件，對郵件地址進(jìn)行配置，自動刪除來自同一主機(jī)的過量或重復(fù)的消息，也可使自己的SMTP連接只能達(dá)成指定的服務(wù)器，從而免受外界郵件的侵襲。</p><p><b>

26、;　　5.4　過載攻擊</b></p><p>　　過載攻擊是攻擊者通過服務(wù)器長時間發(fā)出大量無用的請求，使被攻擊的服務(wù)器一直處于繁忙的狀態(tài)，從而無法滿足其他用戶的請求。過載攻擊中被攻擊者用得最多的一種方法是進(jìn)程攻擊，它是通過大量地進(jìn)行人為地增大CPU的工作量，耗費CPU的工作時間，使其它的用戶一直處于等待狀態(tài)。 </p><p>　　防止過載攻擊的方法有：限制單個用戶所擁有的最

27、大進(jìn)程數(shù)；殺死一些耗時的進(jìn)程。然而，不幸的是這兩種方法都存在一定的負(fù)面效應(yīng)。通過對單個用戶所擁有的最大進(jìn)程數(shù)的限制和耗時進(jìn)程的刪除，會使用戶某些正常的請求得不到系統(tǒng)的響應(yīng)，從而出現(xiàn)類似拒絕服務(wù)的現(xiàn)象。通常，管理員可以使用網(wǎng)絡(luò)監(jiān)視工具來發(fā)現(xiàn)這種攻擊，通過主機(jī)列表和網(wǎng)絡(luò)地址列表來的所在，也可以登錄防火墻或路由器來發(fā)現(xiàn)攻擊究竟是來自于網(wǎng)絡(luò)外部還是網(wǎng)絡(luò)內(nèi)部。另外，還可以讓系統(tǒng)自動檢查是否過載或者重新啟動系統(tǒng)。</p><p&

28、gt;<b>　　5.5　淹沒攻擊</b></p><p>　　正常情況下，TCP連接建立要經(jīng)歷3次握手的過程，即客戶機(jī)向主機(jī)發(fā)送SYN請求信號；目標(biāo)主機(jī)收到請求信號后向客戶機(jī)發(fā)送SYN/ACK消息；客戶機(jī)收到SYN/ACK消息后再向主機(jī)發(fā)送RST信號并斷開連接。TCP的這三次握手過程為人們提供了攻擊網(wǎng)絡(luò)的機(jī)會。攻擊者可以使用一個不存在或當(dāng)時沒有被使用的主機(jī)的IP地址，向被攻擊主機(jī)發(fā)出SYN

29、請求信號，當(dāng)被攻擊主機(jī)收到SYN請求信號后，它向這臺不存在IP地址的偽裝主機(jī)發(fā)出SYN/消息。由于此時主機(jī)的IP不存在或當(dāng)時沒有被使用所以無法向主機(jī)發(fā)送RST，因此，造成被攻擊的主機(jī)一直處于等待狀態(tài)，直至超時。如果攻擊者不斷地向被攻擊的主機(jī)發(fā)送SYN請求，被攻擊主機(jī)就會一直處于等待狀態(tài)，從而無法響應(yīng)其他用戶的請求。 </p><p>　　對付淹沒攻擊的最好方法是實時監(jiān)控系統(tǒng)處于SYN-RECEIVED狀態(tài)的連接數(shù)

30、，當(dāng)連接數(shù)超過某一給定的數(shù)值時，實時關(guān)閉這些連接。</p><p><b>　　結(jié) 論</b></p><p>　　總之，計算機(jī)網(wǎng)絡(luò)安全是一個綜合性的課題，涉及技術(shù)、治理、使用等許多方面，既包括信息系統(tǒng)本身的安全問題，也有物理的和邏輯的技術(shù)措施，一種技術(shù)只能解決一方面的問題，而不是萬能的。為此建立有中國特色的網(wǎng)絡(luò)安全體系，需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。

31、安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　尚曉航，陳強(qiáng)．計算機(jī)局域網(wǎng)與windows使用教程，清華大學(xué)出版社，2000</p><p>　　沈志星，馬金彪．計算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)［Ｍ］,清華大學(xué)出版社，2010<

32、;/p><p>　　劉占全，網(wǎng)絡(luò)管理與防火墻［M］，人民郵電出版社，1999</p><p>　　闞曉初， 計算機(jī)網(wǎng)絡(luò)基礎(chǔ)應(yīng)用，北京大學(xué)出版社，2006.8</p><p>　　葉忠杰，計算機(jī)網(wǎng)絡(luò)安全技術(shù)，科學(xué)出版社，2003.8</p><p><b>　　致 謝</b></p><p>　　

33、感謝我的指導(dǎo)老師**老師，他嚴(yán)謹(jǐn)細(xì)致、一絲不茍的作風(fēng)一直是我工作、學(xué)習(xí)中的榜樣；他循循善誘的教導(dǎo)和不拘一格的思路給予我無盡的啟迪。從最初的定題，到資料收集，到寫作、修改，到論文定稿，她們給了我耐心的指導(dǎo)和無私的幫助。每一次老師都及時的指點出我論文中的不足，在此我向她們表示我誠摯的謝意。同時，感謝所有任課老師和所有同學(xué)在這三年來給自己的指導(dǎo)和幫助，是他們教會了我專業(yè)知識，教會了我如何學(xué)習(xí)，教會了我如何做人。正是由于他們，我才能在各方面取得