計算機網(wǎng)絡(luò)一般采用的是TCP/IP協(xié)議，在制定該協(xié)議時，設(shè)計人員主要考慮的是方便性，對安全性的考慮不多，因而該協(xié)議本身具有很多安全漏洞接下來由學習啦小編為大家推薦計算機網(wǎng)絡(luò)安全缺陷的應(yīng)對方法，希望對你有所幫助!

　　計算機網(wǎng)絡(luò)安全缺陷的應(yīng)對方法：

　　一、計算機網(wǎng)絡(luò)安全缺陷

　　1、計算機網(wǎng)絡(luò)一般采用的是TCP/IP協(xié)議，在制定該協(xié)議時，設(shè)計人員主要考慮的是方便性，對安全性的考慮不多，因而該協(xié)議本身具有很多安全漏洞。

　　2、計算機的操作系統(tǒng)在進行結(jié)構(gòu)設(shè)計和代碼設(shè)計時，也是主要考慮到用戶使用的方便性，但是在安全性上，比如計算機的遠程控制、權(quán)限控制等方面，存在缺陷。

　　3、計算機在數(shù)據(jù)庫管理上也存在一定的缺陷，不法分子可以在數(shù)據(jù)庫或者應(yīng)用程序中安裝各種破壞程序來進行情報數(shù)據(jù)的收集。

　　二、計算機網(wǎng)絡(luò)攻擊的方式

　　1、漏洞攻擊。由于計算機在系統(tǒng)、程序、硬件、軟件等方面都存在一定的缺陷和漏洞，而不法分子可以利用這些漏洞進行攻擊。計算機網(wǎng)絡(luò)常見的安全漏洞主要有：盜取遠程、本地管理權(quán)限，遠程、本地拒絕服務(wù)，服務(wù)器信息的泄露等等。不法分子會利用漏洞探測工具來對用戶的系統(tǒng)進行檢測，然后在不經(jīng)授權(quán)的情況下針對這些漏洞來進行攻擊。

　　2、病毒攻擊。病毒攻擊是計算機網(wǎng)絡(luò)攻擊中最為普遍，也是最難處理的一種，它可以對計算機造成巨大的損壞。許多病毒會和木馬結(jié)合在一起，殺毒軟件不僅很難刪除，還可以迅速進行傳播。

　　3、電子郵件攻擊。由于電子郵箱已經(jīng)成為很多人進行溝通交流的方式，很多商務(wù)交際和公司貿(mào)易中，都采用了電子郵件的方式。不法分子會利用CGI等軟件向用戶郵箱發(fā)送大量的垃圾郵件，導(dǎo)致郵箱被撐爆而無法使用。此外，不法分子還會用郵箱來對用戶發(fā)送帶有病毒的郵件。

　　4、DOS攻擊。DOS攻擊又稱拒絕服務(wù)攻擊，這種系統(tǒng)漏洞在全世界都普遍存在，不法分子利用系統(tǒng)和設(shè)備的缺陷不斷地進行攻擊。不法分子采用這種攻擊手段，讓用戶的系統(tǒng)因為負荷過多而無法正常工作。攻擊者采用的方式—般是對計算機之間的鏈接或服務(wù)器進行破環(huán)，使其無法進行正常的網(wǎng)絡(luò)通訊。

　　5、緩沖區(qū)溢出攻擊。不法分子利用軟件自身的缺陷，向程序的緩沖區(qū)寫入過長的內(nèi)容，發(fā)生緩沖區(qū)溢出，對程序的堆棧進行破壞，達到執(zhí)行其他指令的目的?；蛘吖粽咴诰彌_區(qū)內(nèi)寫入自己的代碼，將這個代碼的的地址覆蓋原函數(shù)的返回地址，當程序返回時，程序就開始執(zhí)行攻擊者的代碼。

　　6、TCP/IP欺騙攻擊。這種攻擊方式是通過偽造假冒的地址，冒充真實的身份來和其他主機來進行合法通訊，或者是向被攻擊者發(fā)送了錯誤的報文，讓被攻擊者執(zhí)行錯誤的指令。

　　7、ARP欺騙攻擊。ARP攻擊，是攻擊者通過對路由器的ARP表進行欺騙，或者是對網(wǎng)關(guān)進行欺騙的方式達成攻擊的目的。其中，針對路由器的ARP欺騙方式是，攻擊者截獲網(wǎng)關(guān)數(shù)據(jù)，偽造MAC地址，并向網(wǎng)關(guān)頻繁發(fā)送，造成路由器的ARP緩存信息得到修改，導(dǎo)致真正的IP地址無法與路由器進行通訊，這種攻擊的結(jié)果是導(dǎo)致用戶的網(wǎng)絡(luò)受到中斷。而對網(wǎng)關(guān)進行欺騙的方式是攻擊者通過偽造網(wǎng)關(guān)，使得被攻擊者向攻擊者的網(wǎng)關(guān)發(fā)送數(shù)據(jù)，這樣，攻擊者可以截獲用戶的網(wǎng)絡(luò)信息。

　　8、電磁輻射攻擊。電磁輻射攻擊主要是應(yīng)用在現(xiàn)代戰(zhàn)爭中，攻擊者通過電磁輻射干擾對方的通訊，同時將對方的通訊信息進行截取，是獲取軍事情報的方式。

　　三、網(wǎng)絡(luò)攻擊的防范技術(shù)

　　1、拒絕服務(wù)攻擊防范

　　1)用戶可以對不必要的服務(wù)進行關(guān)閉，對同時打開的SYN半連接數(shù)目進行限制，并且對SYN的半連接的timeout時間進行縮短，并注意及時對系統(tǒng)更新補丁。

　　2)在防火墻的設(shè)置上，嚴禁對計算機的非開放項目進行訪問，對同時打開的SYN最大連接數(shù)進行限制。對特定的IP設(shè)置訪問限制，并且將防火墻的DDOS的屬性啟動。

　　3)在路由器的設(shè)置上，對訪問控制列表要進行過濾，同時對SYN的數(shù)據(jù)包的流量速率進行設(shè)置，對版本過低的ISO進行升級，并為路由器建立logserver。

　　2、緩沖區(qū)溢出攻擊防范

　　1)程序指針完整性檢測。即用戶需要對程序指針進行檢測，防止被攻擊者進行改變并被引用。

　　2)堆砌保護。這是一種編譯器技術(shù)，用來對程序指針完整性進行檢測，其檢測方式是通過對函數(shù)活動記錄中的返回地址進行檢測來實現(xiàn)的。即，首先將一些附加的字節(jié)添加在堆棧中函數(shù)返回地址后，當函數(shù)返回時，會先對這些附加字節(jié)進行檢查，看是否被改動過，查看是否發(fā)生了緩沖區(qū)溢出攻擊。

　　3)數(shù)組邊界檢查。即對所有的數(shù)組操作進行檢查，確保數(shù)組操作在正確的范圍內(nèi)。

　　3、掃描型攻擊的防范

　　1)地址掃描的防護。用戶可以采用Ping程序進行探索，如果存在地址掃描攻擊，則其會對此程序作出反映，此時就可以在防火墻中將ICMP應(yīng)笞消息過濾掉。

　　2)端口掃描的防護。用戶需要將閑置的端口或者存在風險的端口關(guān)閉，用戶還可以通過防火墻來檢測其是否被掃描，因此，良好的防護墻是預(yù)防端口掃描的關(guān)鍵因素。

　　3)畸形消息攻擊。由于計算機的操作系統(tǒng)本身存在漏洞，系統(tǒng)在處理信息時，如果不能進行錯誤校驗，在接受到畸形攻擊時就可能會導(dǎo)致系統(tǒng)崩潰。要預(yù)防畸形消息攻擊就需要及時更新安裝補丁。

　　4、IP地址欺騙防范

　　1)拋棄基于地址的信任策略：用戶為了實現(xiàn)對此類攻擊的阻止，需要拋棄以地址為基礎(chǔ)的驗證。比如，禁用r類遠程調(diào)用命令，或者刪除rhosts文件，對/etc/hosts.equjy文件進行清空。

　　2)使用加密方法：用戶可以采用對將要發(fā)送的數(shù)據(jù)包進行加密，在加密的過程中需要對當前的網(wǎng)絡(luò)環(huán)境進行改變，通過加密可以保證數(shù)據(jù)的真實性和完整性。

　　3)進行包過濾。通過對路由器進行設(shè)置，如果發(fā)現(xiàn)網(wǎng)外的鏈接請求的IP地址與本網(wǎng)內(nèi)IP地址相同，則對其進行禁止。如果數(shù)據(jù)包的IP地址并不在本網(wǎng)內(nèi)，則禁止將本網(wǎng)主機的數(shù)據(jù)包發(fā)送出去。包過濾技術(shù)只能過濾聲稱來自內(nèi)部網(wǎng)絡(luò)的外來包，所以最好關(guān)閉網(wǎng)絡(luò)中的外部可信任主機，避免不法分子冒充這些主機進行IP欺騙。

　　5、ARP攻擊防范

　　1)將網(wǎng)關(guān)MAC地址和對應(yīng)的IP地址進行綁定;在交換機上將計算機端口和MAc地址進行綁定，同時對ACL進行配置，對非法IP或MAc地址進行過濾。

　　2)通過使用ARP服務(wù)器，查找自己的ARP轉(zhuǎn)換表，從而對其他設(shè)備的ARP廣播進行響應(yīng)。在一些特殊的網(wǎng)絡(luò)環(huán)境中，可以考慮使用ARP代理或者是對網(wǎng)絡(luò)接口的ARP解析禁止執(zhí)行。

　　3)使用反ARP軟件、防火墻等監(jiān)控網(wǎng)絡(luò)，應(yīng)當避免使用集線器等設(shè)備，并且定期檢查ARP的緩存列表。

　　4)因為ARP攻擊一般發(fā)生在園區(qū)內(nèi)，因此，網(wǎng)絡(luò)管理員可以根據(jù)在局域網(wǎng)中制定出一個網(wǎng)絡(luò)拓撲圖，劃出VLAN區(qū)域，如果有用戶感染了ARP病毒，為了防止ARP病毒的擴散，就需要立即找到感染病毒用戶的交換機端口，將這個端口列進VLAN區(qū)，并且可以運用端口中的disable對其進行屏蔽。

　　四、結(jié)束語

　　因此需要用戶和技術(shù)人員提高網(wǎng)絡(luò)安全防范的意識，提高應(yīng)對攻擊的處理能力，同時要不斷加強學習和研究，從而更好地應(yīng)對現(xiàn)在復(fù)雜多變的網(wǎng)絡(luò)環(huán)境。