攻擊探索
     下面介紹下網絡攻擊的主要方式及如何防范：ip地址欺騙、源路由攻擊、端口掃描、DoS拒絕服務、竊聽報文、應用層攻擊等。
     一、IP地址偽裝
     攻擊者通過改變自己的 IP地址來偽裝成內部網用戶或可信的外部網用戶，以合法用戶身份登錄那些只以IP地址作為驗證的主機；或者發(fā)送特定的報文以干擾正常的網絡數據傳輸；或者偽造可接收的路由報文（如發(fā)送ICMP報文）來更改路由信息，來非法竊取信息。
     防范方法：
     1、當每一個連接局域網的網關或路由器在決定是否允許外部的IP數據包進入局域網之前，先對來自外部的IP數據包進行檢驗，如果該IP包的IP源地址是其要進入的局域網內的IP地址，該IP包就被網關或路由器拒絕，不允許進入該局域網。雖然這種方法能夠很好的解決問題，但是考慮到一些以太網卡接收它們自己發(fā)出的數據包，并且在實際應用中局域網與局域網之間也常常需要有相互的信任關系以共享資源，因此這種方案不具備較好的實際價值。
     2、另外一種防御這種攻擊的較為理想的方法是當IP數據包出局域網時檢驗其IP源地址。即每一個連接局域網的網關或路由器在決定是否允許本局域網內部的IP數據包發(fā)出局域網之前，先對來自該IP數據包的IP源地址進行檢驗。如果該IP包的IP源地址不是其所在局域網內部的IP地址，該IP包就被網關或路由器拒絕，不允許該包離開局域網,因此建議每一個ISP或局域網的網關路由器都對出去的IP數據包進行IP源地址的檢驗和過濾。如果每一個網關路由器都做到了這一點，IP源地址欺騙將基本上無法奏效。
     二、源路由攻擊
     路由器作為一個內部網絡對外的接口設備，是攻擊者進入內部網絡的第一個目標。如果路由器不提供攻擊檢測和防范，則也是攻擊者進入內部網絡的一個橋梁。
     防范方法：
     1、可靠性與線路安全。
     2、對端路由器的身份認證和路由信息的身份認證。
     3.、訪問控制對于路由器的訪問控制，需要進行口令的分級保護；基于IP地址的訪問控制； 基于用戶的訪問控制。
     4、信息隱藏 ：與對端通信時，不一定需要用真實身份進行通信。通過地址轉換，可以做到隱藏網內地址、只以公共地址的方式訪問外部網絡。除了由內部網絡首先發(fā)起的連接，網外用戶不能通過地址轉換直接訪問網內資源。
     5、數據加密。
     6、在路由器上提供攻擊檢測，可以防止一部分的攻擊。
     三、端口掃描
     利用一些端口掃描工具來探測系統(tǒng)正在偵聽的端口，來發(fā)現(xiàn)該系統(tǒng)的漏洞；或者是事先知道某個系統(tǒng)存在漏洞，而后通過查詢特定的端口，來確定是否存在漏洞，最后利用這些漏洞來對系統(tǒng)進行攻擊，導致系統(tǒng)的癱瘓。
     防范方法：
     1、關閉閑置和有潛在危險的端口，它的本質是——將所有用戶需要用到的正常計算機端口外的其他端口都關閉掉。因為就黑客而言，所有的端口都可能成為攻擊的目標。換句話說“計算機的所有對外通訊的端口都存在潛在的危險”，而一些系統(tǒng)必要的通訊端口，如訪問網頁需要的HTTP（80端口）；QQ（4000端口）等不能被關閉。 在Windows NT核心系統(tǒng)（Windows 2000/XP/ 2003）中要關閉掉一些閑置端口是比較方便的，可以采用“定向關閉指定服務的端口”和“只開放允許端口的方式”。計算機的一些網絡服務會有系統(tǒng)分配默認的端口，將一些閑置的服務關閉掉，其對應的端口也會被關閉了進入“控制面板”、“管理工具”、“服務”項內，關閉掉計算機的一些沒有使用的服務（如FTP服務、DNS服務、IIS Admin服務等等），它們對應的端口也被停用了。至于“只開放允許端口的方式”，可以利用系統(tǒng)的“TCP/IP篩選”功能實現(xiàn)，設置的時候，“只允許”系統(tǒng)的一些基本網絡通訊需要的端口即可。
     2.檢查各端口，有端口掃描的癥狀時，立即屏蔽該端口。這種預防端口掃描的方式顯然用戶自己手工是不可能完成的，或者說完成起來相當困難，需要借助軟件。這些軟件就是我們常用的網絡防火墻。
     四、Dos類型攻擊
     Dos（Denial of service，拒絕服務攻擊）攻擊是通過發(fā)送大量報文導致網絡資源和帶寬被消耗，從而達到阻止合法用戶對資源的訪問。另外一種DDos是它的擴展類型，即分布式拒絕服務攻擊許多大型網站都曾被黑客用該種方法攻擊過且造成了較大的損失。
     如何防范：
     1、BAN IP地址法： 使用簡單的屏蔽IP的方法將DOS攻擊化解。對于DOS攻擊來說這種方法非常有效，因為DOS往往來自少量IP地址，而且這些IP地址都是虛構的偽裝的。在服務器或路由器上屏蔽攻擊者IP后就可以有效的防范DOS的攻擊。不過對于DDOS來說則比較麻煩，需要我們對IP地址分析，將真正攻擊的IP地址屏蔽。 不論是對付DOS還是DDOS都需要我們在服務器上安裝相應的防火墻，然后根據防火墻的日志分析來訪者的IP，發(fā)現(xiàn)訪問量大的異常IP段就可以添加相應的規(guī)則到防火墻中實施過濾了，當然直接在服務器上過濾會耗費服務器的一定系統(tǒng)資源，所以目前比較有效的方法是在服務器上通過防火墻日志定位非法IP段，然后將過濾條目添加到路由器上。
     2、增加SYN緩存法，上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊，但由于使用了屏蔽IP功能，自然會誤將某些正常訪問的IP也過濾掉。所以在遇到小型攻擊時不建議大家使用上面介紹的BAN IP法。我們可以通過修改SYN緩存的方法防御小型DOS與DDOS的攻擊。
     五、竊聽報文
     攻擊者使用網絡報文獲取工具，從網絡傳輸的數據流中復制數據，并從這些數據中獲取一些諸如用戶名 /口令等敏感信息。通過網絡尤其是Internet來傳輸數據，不僅需要跨越不同的地理位置，而且存在時間上的延遲，在這種情況下，要避免數據不被竊聽幾乎是不可能的。
     防范手段： 最基本的是及對報文要進行加密，基本加密算法有兩種：對稱密鑰加密、非對稱密鑰加密，用于保證數據的保密性、完整性、真實性和非抵賴服務。
     六、應用層攻擊
     有多種形式，包括大部分的計算機病毒，利用已知應用軟件的漏洞，“特洛依木馬”等。另外，網絡本身的可靠性和線路的安全性也對網絡安全起著重要的影響。隨著網絡應用的逐漸普及，尤其是在一些敏感場合（如電子商務），網絡安全成為日益迫切的需求。按物理位置來分，網絡安全可分為兩個部分，一是內部局域網的安全，二是和外部網絡進行數據交換時的安全。路由器作為內部網絡和外部網絡之間的關鍵通信設備，應該提供充分的安全功
     防范方法：
     1、避免下載可疑程序并拒絕執(zhí)行，運用網絡掃描軟件定期監(jiān)視內部主機并監(jiān)聽TCP服務。
     2、多方防御保障安全，對電腦硬盤進行加密保護，對硬盤進行高強度保護，目前的這種保護強度，不會被攻破，大大降低了機密數據泄露的風險；雙因素認證功能是為了防止非授權者入侵操作系統(tǒng)存取機密數據。采用雙因素身份認證的方式，身份認證可以通過智能卡、一次性口令，或者是USB令牌的方式進行，具有更高可靠性。通過數據加密和雙因素認證來保護數字資產，是防止未經授權泄漏重要電子信息的終極手段。
     七、利用信息服務
     1、DNS域轉換——DNS協(xié)議不對轉換或信息性的更新進行身份認證，這使得該協(xié)議被人以一些不同的方式加以利用。
     2、Finger服務——別有用心的人使用finger命令來刺探一臺finger服務器以獲取關于該系統(tǒng)的用戶的信息。
     3、LDAP服務——主要是通過LDAP協(xié)議的使用，窺探網絡內部的系統(tǒng)和它們的用戶的信息。
     防范手段：對于DNS只要在防火墻處過濾掉域轉換請求；對于Finger只要關閉finger服務并記錄嘗試連接該服務的對方IP地址，或者在防火墻上進行過濾。對于刺探內部網絡的LDAP進行阻斷并記錄，如果在公共機器上提供LDAP服務，那么應把LDAP服務器放入DMZ。