网络漏洞

?????? 较为通俗的网络漏洞的描述性定义是：存在于计算机网络系统中的、可能对系统中的组成和数据造成损害的一切因素。网络漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。具体举例来说，比如在IntelPentium芯片中存在的逻辑错误，在Sendmail早期版本中的编程错误，在NFS协议中认证方式上的弱点，在Unix系统管理员设置匿名Ftp服务时配置不当的问题都可能被攻击者使用，威胁到系统的安全。因而这些都可以认为是系统中存在的安全漏洞。

????? 关于网络漏洞，目前还没有一个准确统一的定义。有学者从访问控制的角度出发，认为：当对系统的各种操作与系统的安全策略发生冲突时，就产生了安全漏洞。也有专家认为：计算机系统是由若干描述实体配置的当前状态所组成，可分为授权状态和非授权状态、易受攻击状态和不易受攻击状态，漏洞就是状态转变过程中能导致系统受损的易受攻击状态的特征。以上两种观点，都是从各自的专业角度对网络漏洞进行描述，并没有给出一个全面的准确的定义。 在商业世界，漏洞主要是因为设计和实施中出现错误所致，造成信息完整性、可获得性和保密性受损。错误通常在软件中，也存在于各个信息系统层，从协议规格到设计到物理硬件。网络漏洞还可能是恶意用户或自动恶意代码故意为之。重要系统或网络中单个漏洞可能会严重破坏一个机构的安全态势。美国国防部对"漏洞"一词的定义是易受攻击性或"利用信息安全系统设计、程序、实施或内部控制中的弱点不经授权获得信息或进入信息系统。"这里的关键词是"弱点"。任何系统或网络中的弱点都是可防的。

但是，系统或网络中的弱点表明解决方案是已知的，能够实施的。有许多系统和网络漏洞分析器，包括自动漏洞检测系统和TIGER系统。网络攻击向量是对某一或多个具体目标实施攻击的明确的路径。自动漏洞检测系统和TIGER系统利用模拟网络攻击分析网络的整个态势，常规失败概率很低。网络专家利用的其他类似工具有安全管理员网络集成工具(SAINT)和网络映射器（NMAP）——基于漏洞的评估工具，既快又可靠。由于NMAP携带方便、操作简单，黑客也常常使用。它有用于Linux, UniX和微软Windows平台的多种版本，能轻松扫描包含成百上千个系统和服务器的巨型网络。SAINT和NMAP能对网络的端口或服务系统进行扫描，显然也能被恶意和非恶意者利用。攻击特征和地址性质决定了新的攻击或攻击向量能躲过大多数漏洞评估工具。

网络漏洞的广泛存为网络攻击提供了机会，但在一般情况下，普通的网络用户不易受到恶意攻击。相比而言，由于网络服务器在网络中的重要作用，而且其安装的软件和开放的端口更多，也就更容易招致网络攻击。但无论对于接受服务的个人用户还是提供服务的服务器用户，都不能对网络中的漏洞掉以轻心，必须充分认识网络漏洞的危害，并对利用漏洞发动网络攻击的原理有一定的了解。

通过对网络漏洞攻击原理和攻击步骤的分析，可以知道：要防止或减少网络漏洞的攻击，最好的方法是尽力避免主机端口被扫描和监听，先于攻击者发现网络漏洞，并采取有效措施。提高网络系统安全的方法主要有：

　　1） 在安装操作系统和应用软件之后及时安装补丁程序，并密切关注国内外著名的安全站点，及时获得最新的网络漏洞信息。在使用网络系统时，要设置和保管好账号、密码和系统中的日志文件，并尽可能的做好备份工作。

　　2）及时安装防火墙，建立安全屏障。防火墙可以尽可能屏蔽内部网络的信息和结构，降低来自外部网络的攻击。对个人用户而言，现在的个人防火墙还有探测扫描、攻击，并自动防御和追踪的功能。例如金山毒霸和瑞星防火墙就具有扫描网络漏洞的功能，而蓝盾防火墙则设计了自动反扫描的机制，外部的扫描将找不到任何端口。

　　3）利用系统工具和专用工具防止端口扫描。要利用网络漏洞攻击，必须通过主机开放的端口。因此，黑客常利用Satan、Netbrute、SuperScan等工具进行端口扫描。防止端口扫描的方法：一是在系统中将特定的端口关闭，如利用Win系统中的TCP/IP属性设置功能，在"高级TCP/IP设置"的"选项"面板中，关闭TCP/IP协议使用的端口；二是利用PortMapping等专用软件，对端口进行限制或是转向。

　　4） 通过加密、网络分段、划分虚拟局域网等技术防止网络监听。

　　5） 利用密罐技术，使网络攻击的目标转移到预设的虚假对象，从而保护系统的安全。