病毒是黑客实施网络攻击的有效手段之一,它具有传染性、隐蔽性、寄生性、繁殖性、潜伏性、针对性、衍生性、不可预见性和破坏性等特性,而且在网络中其危害更加可怕,目前可通过网络进行传播的病毒已有数万种,可通过注入技术进行破坏和攻击。
2.2.5 软件漏洞
随着软件系统规模的不断增大,系统中的安全漏洞也不可避免的存在而且也在不断增多。比如常用的操作系统,无论是Windows还是UNIX几乎都存在或多或少的安全漏洞,众多的各类服务器、浏览器及其它常用的软件等也都不同程度的存在着安全隐患。
2.2.6 恶意攻击
当今最突出的就是拒绝服务攻击DoS(Denial of Service)。它通过使计算机功能或性能崩溃来阻止提供服务。典型拒绝服务攻击有资源耗尽和资源过载两种。
2.3 网络安全防御技术
2.3.1 防火墙技术
防火墙是建立在两个网络边界上的实现安全策略和网络通信监控的系统或系统集,它强制执行对内部网络(如校园网)和外部网络(如Internet)的访问控制。通过建立一整套规则和策略来监测、限制、转换跨越防火墙的数据流,从而达到保护内部网络的目的。防火墙的功能主要有访问控制、授权认证、地址转换、均衡负载等。它已经成为目前保护内部网络最重要的安全技术之一。
2.3.2 漏洞检测技术
漏洞检测就是对重要计算机系统或网络系统进行检查,发现其中存在的薄弱环节和所具有的攻击性特征。通常采用两种策略,即被动式策略和主动式策略。被动式策略基于主机检测,对系统中不合适的设置、口令以及其他同安全规则相背的对象进行检查;主动式策略基于网络检测,通过执行一些脚本文件对系统进行攻击,并记录它的反应,从而发现其中的漏洞。
2.3.3 入侵检测技术
入侵检测技术用来对各种入侵行为进行检测,它通过对(网络)系统的运行状态进行监视,以发现各种攻击企图、攻击行为或者攻击结果,然后及时的发出报警或做出相应的响应,以保证系统资源的机密性、完整性与可用性。
2.3.4 防病毒技术
防病毒技术主要是通过自身常驻系统内存,通过监视、判断系统是否存在病毒来阻止计算机病毒进行计算机系统,防止病毒对系统进行破坏,从而可以有效防止计算机病毒对系统造成的危害,
3 防火墙技术
对于连接到网络上的Linux系统来说,防火墙是必不可少的防御机制,它只允许合法的网络流量进出系统,而禁止其它任何网络流量。为了确定网络流量是否合法,防火墙依靠它所包含的由网络或系统管理员预定义的一组规则。这些规则告诉防火墙某个流量是否合法以及对于来自某个源、至某个目的地或具有某种协议类型的网络流量要做些什么。术语“配置防火墙”是指添加、修改和除去这些规则。
网络流量由IP信息包(或简称信息包)——以流的形式从源系统传输到目的地系统的一些小块数据 ——组成。这些信息包有头,即在每个包前面所附带的一些数据位,它们包含有关信息包的源、目的地和协议类型的信息。防火墙根据一组规则检查这些头,以确定接受哪个信息包以及拒绝哪个信息包。我们将该过程称为信息包过滤。
4.2.2 Netfilter/Iptables的工作原理
Netfilter/Iptables IP信息包过滤系统是一种功能强大的工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。
通过使用用户空间的Iptables工具,可以构建自己的定制规则,这些规则存储在内核空间Netfilter的信息包过滤表中。这些规则具有目标,它们告诉内核对来自某些源、前往某些目的地或具有某些协议类型的信息包做些什么。如果某个信息包与规则匹配,那么使用目标ACCEPT允许该信息包通过。还可以使用目标DROP或REJECT来阻塞并杀死信息包。对于可对信息包执行的其它操作,还有许多其它目标。
根据规则所处理的信息包的类型,可以将规则分组在链中。处理入站信息包的规则被添加到INPUT链中。处理出站信息包的规则被添加到OUTPUT链中。处理正在转发的信息包的规则被添加到FORWARD链中。这三个链是基本信息包过滤表中内置的缺省主链。另外,还有其它许多可用的链的类型(如PREROUTING和POSTROUTING),以及提供用户定义的链。每个链都可以有一个策略,它定义“缺省目标”,也就是要执行的缺省操作,当信息包与链中的任何规则都不匹配时,执行此操作。
建立规则并将链放在适当的位置之后,就可以开始进行真正的信息包过滤工作了。这时内核空间从用户空间接管工作。当信息包到达防火墙时,内核先检查信息包的头信息,尤其是信息包的目的地。我们将这个过程称为路由。
内核根据信息包的来源和目的地是属于内部系统或者是外部系统,将信息包发往不同的规则链:
(1)如果信息包源自外界并前往系统,而且防火墙是打开的,那么内核将它传递到内核空间信息包过滤表的INPUT链。
(2)如果信息包源自系统内部或系统所连接的内部网上的其它源,并且此信息包要前往另一个外部系统,那么信息包被传递到OUTPUT链。
