第一篇:淺談電信網絡環境下的DDOS攻擊防護技術
數字技術
與應用安全技術
淺談電信網絡環境下的 DDOS 攻擊防護技術
劉智宏 李宏昌 李東垣
(中華通信系統有限責任公司
北京
100070)
摘要:近年來,隨著網絡技術的快速發展及廣泛普及,網絡安全問題面臨的形勢愈加嚴重,網絡攻擊防護越來越受人們的重視,而電信運
營商網絡幾乎成為拒絕服務攻擊(DDOS)的首選攻擊對象。本文主要以中華通信系統研發的基于ISP網絡的拒絕服務攻擊防御系統為例簡要分 析DDOS攻擊以及在電信網絡環境下的DDOS攻擊防護技術。
關鍵詞:DDOS 攻擊
安全
防范 中圖分類號:TP393 文獻標識碼:A 文章編號:1007-9416(2012)07-0165-02
1、DDOS 攻擊現狀分析
1.1 運營商網絡面臨的 DDOS 攻擊威脅
當前,運營商骨干網和各地市城域網,寬帶用戶多、網絡結構復 雜、業務流量大,DDOS攻擊導致的網絡安全問題時有發生,導致IP 網絡整體服務質量下降,已經嚴重威脅到運營商I P 網絡的正常業 務;當3G 商用,智能化終端和寬帶化3G網絡與互聯網接軌,無線網 絡也將面對諸多互聯網安全問題,這將會使缺乏固網DDOS 防范經 驗的電信運營商面臨巨大挑戰。
中華通信系統有限責任公司研發的基于ISP網絡的分布式拒絕 服務攻擊防御系統(ChinaComm IDPS100)為軟硬件結合產品,產 品包括流量檢測組件和流量牽引清洗組件,根據ISP網絡應用需求 和網絡規模,系統可部署為流量檢測設備或檢測清洗一體化設備。產品能夠實現電信級ISP網絡的流量采集和流量分析,具有ISP網絡 異常流量與拒絕服務攻擊檢測告警、網絡異常流量與拒絕服務攻擊 流量牽引、清洗防御、各類流量報表、系統安全日志審計、系統安全 管理控制等主要的功能。本產品屬于分布式設計模式,即系統是由 探測器設備和流量牽引設備共同組成的防御系統。系統的流量探測 器在旁路方式外還提供串聯接入方式,具備入侵檢測、防火墻、流量 監控功能,流量牽引設備支持集群工作方式。1.2 電信運營商對 DDOS 攻擊防護需求
目前各大電信運營商只部署有過濾垃圾短信這種傳統無線業 務的網關設備,尚未對3 G 移動互聯網的到來做好骨干流量和城域 網流量管控、清洗方面的準備,運營商急需使用高效、成熟DDOS防 御產品,能夠實現對DDOS 攻擊安全防護的高端網絡安全產品市場 需求空間巨大,主要表現在如下方面:
(1)應用于全國各省、市級電信運營商IDC、增值業務部。(2)應用于移動、聯通等移動運營商的3G網絡接入,為3G網絡 拒絕服務攻擊防御提供可靠的防御工具。
(3)應用于大型企業及大型網絡服務商,這些企業通常涉及跨 區域的網絡通信及網上業務。
3、華通產品(ChinaComm IDPS100)技術性能
3.1 產品功能特點
3.1.1 流量探測器功能特點
(1)采用雙子系統架構。為防止過大流量對系統的沖擊造成系 統超載、運行緩慢甚至當機,系統采用獨創的雙子系統架構。該架構 將入侵檢測模塊和流量偵測模塊分為兩個完全獨立的系統,通過總 線相連,在互不影響的同時又能夠保證信息的共享及功能聯動。
(2)采用針對拒絕服務攻擊特別優化的入侵檢測模塊。入侵檢 測模塊采用中華通信自主研發的針對DDOS 攻擊的入侵監測模塊。能夠對流量進行深層檢測。能夠發現并抵御多數D o S 攻擊、以及蠕 蟲、木馬等惡意代碼,并對流量偵測模塊提交的可疑流量進行檢測,進一步判斷是否為攻擊流量。
(3)采用先進的檢測算法。流量探測器采用中華通信自主開發 的基于自相似性模型的動態異常流量監測算法,能夠在DDOS 攻擊 的初始階段甄別攻擊。
3.1.2 流量牽引器功能特點
(1)高速的攻擊處理能力。流量牽引器接入運營商骨干網絡,系 統能夠有效鑒別攻擊流量和正常流量,對異常攻擊流量進行清洗,有效保證用戶正常業務流量的傳輸。該流量牽引設備支持集群工作 模式,通過集群化部署可以有效地提高系統的處理能力,使系統能 夠滿足大型ISP網絡的需要。
(2)高效的軟硬件平臺。在硬件方面,流量牽引器采用了嵌入式 系統設計,在系統核心實現拒絕服務攻擊的防御算法,并且創造性 地將算法實現在網絡協議棧的最底層,完全避免了T C P、U D P 和I P 等高層系統網絡堆棧的處理,將整個運算代價大大降低,大大提高 了運算速率。2、主要廠家拒絕服務攻擊防御產品介紹
2.1 主流廠家產品簡介
2.1.1 JUNIPER NetScreen-5000 系列
Juniper主推一體化模塊式解決方案,路由器、業務部署系統(SDX)和入侵檢測與防護(IDP)產品結合在一起。
2.1.2 Nokia SC6600 信息安全網關
SC6600安裝簡易,管理方便。采用包括多重掃毒技術、宏摘除、層次式過濾的復合防護(Statistical ProtectionTM)技術,采用專用 安全操作系統。
2.1.3 CISCO Guard XT
采用分布部署方式,多級檢測采用集成式動態過濾和主動核 查、殺手”技術等多種檢測技術,支持獨特的集群體系結構,多級監 控和報告。
2.1.4 綠盟Defender4000
作為異常流量清洗設備,與監測中心、監控管理中心共同構建 異常流量凈化系統。采用了多個并行的專業高性能網絡處理器,高 “ 效處理D D O S 攻擊,通過集群部署,可以輕松應對1 0 G + 海量拒絕服 務攻擊。
2.2 華通產品說明 ??????下轉第167頁
165
數字技術
與應用安全技術 統進行傳遞,分析機子系統在完成數據的篩選和審核工作以后,攔 截并處理掉可疑信息,將正確的信息傳達給控制臺子系統,以保證 數據的有效傳遞。信息獲取子系統、分析機子系統、控制臺子系統三 者間通過特定的數據端口進行數據的傳送,所有發送的數據都是進 行了統一的格式換處理的,以固定的格式進行傳送。
2.4.4 終端信息的輸出
從信息獲取子系統,經由分析機子系統,再到控制子系統這一 系列的信息傳遞過程中,不僅完成了數據的過濾、篩選、核實、攔截 和傳遞,還對具有威脅性的數據進行了報警,切斷了可疑數據的進 一步傳遞通道,最終準確無誤地把需要的信息完整的從指定端口傳 出,完成了整個SQL Server數據庫的信息傳遞。但即使是這樣,也 不能完全保證數據輸出的絕對正確,還需要通過在輸出端口進行再 次地過濾、篩選、核實與攔截等安全監控系統的安全監控措施,才能 更好的保證輸出的信息的可靠性和安全性。
現代的通信技術迅猛發展,為計算機網絡的智能化提供了新的 環境與新的機遇,但與此同時也帶來了新的問題,如何有效地維護 信息的安全與完整,已經成為社會關注的熱點。本文著重對如何實 現S Q L S e r v e r數據庫安全監控系統提出一些見解,闡述了S Q L Server數據庫安全監控系統是如何構建、如何運作的,希望能夠為 數據庫的安全維護起到一些作用。參考文獻
[1]張穎.關于 SQL Server 數據庫安全監控系統的設計的探討[J].數 字技術與應用,2011.(11).
[2]李殿勛.淺談 SQL Server 數據庫安全監控系統結構和工作原理 [J].科技信息,2011.(24).
[3]馬慧.基于 SQL Server 數據庫安全監控系統的研究[J].微計算機 信息,2009.(18). 以在尋得攻擊模式或其他的違反規則的活動時發出控制臺子系統
警告、記錄攻擊事件的數據、適時阻斷網絡的連接,還可以根據不同 的需要對系統進行相應的拓展,聯動防火墻等其他的安全設備。信 息獲取子系統、分析機子系統子系統、控制臺子系統三者之間相互 配合完成整個工作過程:
2.4.1 實現主機報警
當程序啟動后,其所在的主機數據庫的安全監控也將啟動,信 息獲取獲得與數據庫操作的相關數據(數據庫主機的名稱、操作的 SQL 語言、登陸的用戶名、用戶登錄密碼、當前的系統用戶、操作的 結果等)后,將所得信息格式化并傳送到分析機子系統。分析機子系 統通過自帶的信息安全規則對所收到的信息進行分析、核實與篩 選,從中分離出對數據庫有威脅的操作信息并向控制臺子系統發 出警告。控制臺子系統在收到警告信息后,由管理員對攻擊源的IP 地址發出進行阻斷的命令,并由分析機子系統傳達給探頭的部分,再由探頭所在主機系統調動自帶的API實現對指定IP 地址試行攔 截的操作命令,從而避免了被侵犯的可能,實現對數據庫的安全性 的保護。
2.4.2 命令的有效下達
處于數據庫最上層的控制臺子系統對分析機子系統與信息獲 取子系統進行控制、維護更新,并經由查詢以獲得它們的運行狀態 的信息。命令從控制臺子系統發出以后迅速傳達至分析機子系統或 信息獲取部分,然后由它們的相應模塊響應指令,以實現命令的完 成。控制臺子系統下達的所有命令都將通過特定窗口進行傳達,并 且分析機子系統與信息獲取部分接受命令與完成命令以后的反饋 信息也是經由同一端口進行傳遞的。
2.4.3 數據的傳遞
從信息獲取子系統獲取的相關的信息數據,在經過二次篩選過 濾后實現數據的完整性,然后根據數據的內容向相應的分析機子系
??????上接第165頁
3.2 產品技術創新
3.2.1 實現基于自相似性模型的動態異常流量監測
自相似性(self-similarity)是指一個隨機過程在各個時間規模 上具有相同的統計特性。系統在進入防護D D O S 攻擊之前,要對網 絡中正常的流量進行相應的記錄,用以檢測攻擊的存在,尤其對 DDOS攻擊所利用的報文進行檢測和分析。系統分別對各個協議的 流量(或連接數)最大的IP地址(源IP和目的IP)的流量(或連接數)進行記錄。而通常不同時間段網絡流量也相差很大,簡單的計算平均流量無法做快速可靠地發現攻擊。因此需要按照時間段的不同對 流量生成表項。通過大量測試分析在表項細度和系統性能之間找到 一個平衡點。
3.2.2 掃描檢測算法
掃描檢測模塊采用一個基于貝葉斯網絡進行TCP 包頭異常分 析的掃描檢測方法(P S D B)。貝葉斯網絡模塊學習T C P 報文到達每 個目的主機和相應目的端口的概率。PSDB 使用貝葉斯網絡來學習保存被檢測子網內主機端口的概率分布。然后概率異常檢測操作依 據TCP Flag和報文到達的概率計算每個報文的異常度,并針對個 別協議本身的特點對異常值計算進行修正,將判別為異常報文的信 息發送到分析模塊。
隨著我國信息化的快速發展,各行業對提高整體信息系統的安 全防護水平和保障能力提出了更高的要求,對信息安全技術和產品 的需求越來越大。基于ISP網絡的拒絕服務攻擊防御系統產品的投 放市場,能夠填補運營商急需使用高效、成熟D D O S 防御產品的需 求空間;可以極大地提高電信運營商、I S P、政府的整體網絡D D O S 防御能力本文來源于http://taobaoxuexi.sinaapp.com/(ddos攻擊器)。
系統創新的技術實現模式可以為用戶提供更優化的D D O S 防 御解決方案,通過建設更安全的D D O S 防御系統,用戶可有效降低 大規模DDOS 類攻擊所帶來的社會和經濟風險,為我國經濟高速發 展提供安全的網絡環境。參考文獻
[1]李德全《拒絕服務攻擊》.北京:電子工業出版社,2007 年 1 月. [ 2 ] 陽莉《電信網絡分析與設計》.西安: 西安電子科技大學出版,. 2008 年 1 月.
[3]郝永清《網絡安全攻防實用技術深度案例分析》.北京:科學出 版社,2010 年 1 月.
[4] 加拿大.克勞斯《網絡安全保護》.北京:科學出版社,2009 年 3 月.
[ 5 ] 孫玉《電信網絡安全總體防衛討論》.北京: 人民郵電出版社,. 2008 年 8 月.
[6]Steve Manzuik《網絡安全評估:從漏洞到補丁》.北京:科學 出版社,2009 年 1 月.
[7]王秀利《網絡擁塞控制及拒絕服務攻擊防范》.北京:北京郵電 大學出版社,2009 年 6 月.
[ 8 ] 王夢龍《網絡信息安全原理與技術》.北京: 中國鐵道出版社,. 2009 年 11 月. 3.3 產品應用
本產品通常布置于運營商網絡中高帶寬節點,如核心交換機等
高速轉發設備,通常采用網關接入模式或路接入模式。在大型網絡 應用時,可采用牽引器集群工作方式,可通過部署牽引器集群增強 系統處理能力及可靠性。
4、結語
167
第二篇:安全案例:電信骨干網DDoS攻擊防護解決方案
近年來,電信數據業務迎來飛速發展,作為經濟大省,某省近年來電信數據業務發展迅速,寬帶數據業務用戶快速增長。然而,伴隨著用戶數量的增長,電信網絡安全問題也頻繁發生,其中DDoS攻擊情況尤為嚴重。
該省電信運營商對2006年7月到12月的網絡安全事件統計后發現,幾個經常受到網絡攻擊的地市,每月平均受到的網絡攻擊多達10次以上,2006年9月,某地市IDC受到嚴重DDoS攻擊,攻擊流量達到22G,造成城域網、IDC全阻15分鐘,對業務造成嚴重的影響。嘗試了多種解決辦法,仍然無法從根本上解決問題。
在這種情況下,該省電信迫切需要引入專業安全合作伙伴,建立一整套抵御DDoS流量攻擊的系統。為此,省電信研究院對眾多安全廠家的異常流量過濾設備進行了評測對比,聯想網御的異常流量過濾設備在眾多廠家比拼中脫穎而出,性能和功能卓越。同時,聯想網御異常流量管理系統在多個省市電信行業的成功應用也獲得信息化主管領導的認可,經過多次深入的技術交流,該省電信最終確定了聯想網御作為抵御DDoS流量攻擊系統建設的合作伙伴。
結合該省電信的安全需求和現網建設情況,充分考慮寬帶互聯網絡高帶寬、大流量、要求可靠性高的網絡特點,聯想網御的技術專家為電信運營商量身定制了異常流量清洗方案:結合電信IDC客戶遭受的DDoS攻擊情況和僵尸網絡發動攻擊的特點,技術專家分析認為攻擊流量主要來自國外和國內其他運營商網絡,另有少部分來自省網內部。因此,系統建設先期在省干出口位置集中式部署,重點防范經由省干入口向地市城域網的攻擊。考慮到省干出口鏈路帶寬大,網絡位置十分關鍵。聯想網御又為用戶設計、采取了目標保護策略——根據需要可以靈活地定義要保護的目標IP地址或者目標IP網段,進行重點檢測分析和過濾攻擊流量,實現了較強的針對性,同時有效節省了建設投資,同時,根據該省電信用戶的網絡使用特點,設計采用了8臺設備集群旁路部署方式(如圖所示),大流量攻擊處理能力達到16G,輕松滿足了15G大流量攻擊處理能力的設計要求,避免了改變正常網絡流量的網絡路徑,同時保證了網絡的高可靠性。
某省電信運營商骨干網聯想網御異常流量管理系統應用方案
聯想網御在用戶網絡中同時部署流量檢測分析設備和異常流量過濾系統,組成一套完整的異常流量管理系統。由流量檢測分析設備(Leadsec-Detector)進行采樣分析,對流經骨干網的數據流進行分析、統計、報警,確定受攻擊的目標IP范圍;由異常流量過濾系統(Leadsec-Guard)來牽引到達目標IP的網絡流量,過濾攻擊流量后將正常流量回注到網絡中,通過兩者的無縫配合,完成了網絡攻擊的分析、識別,以及自動清理。
LeadSec-Guard還可支持虛擬化,將單臺設備或者集群組虛擬為多個邏輯異常流量過濾系統。因此,系統管理員可以為每個邏輯系統分配相應的管理員進行策略配置、安全審計等獨立操作。這將有力地支撐寬帶網絡運營商拓展安全增值服務,推動安全運營。同時,系統中還配置了Leadsec-Manager管理系統,在實現集中設備配置和管理的同時,提供豐富的報表功能,全面幫助管理員深入掌控網絡安全運行情況。
項目完成后,該省干出口鏈路中異常流量所占用帶寬降至總擁有帶寬的5%以下,網絡安全事件發生概率大大降低,輕了異常流量對該省電信省干網絡平臺造成的壓力,提升了帶寬利用率,為IDC、網吧等寬帶業務大客戶提供了一條安全、暢通的互聯網鏈路,提升了品牌價值,為該省電信創造了競爭優勢。
第三篇:網絡信息安全的攻擊與防護
目錄
一網絡攻擊技術.....................................................錯誤!未定義書簽。1.背景介紹...............................................................錯誤!未定義書簽。2.常見的網絡攻擊技術..........................................錯誤!未定義書簽。1.網絡監聽.........................................................錯誤!未定義書簽。2.拒絕服務攻擊...................................................................................2 3.緩沖區溢出.......................................................................................3
二、網絡防御技術................................................................................4 1.常見的網絡防御技術..........................................................................4 1.防火墻技術.......................................................................................4 2.訪問控制技術...................................................................................4
三、總結...............................................................5錯誤!未定義書簽。一.生活中黑客常用的攻擊技術
黑客攻擊其實質就是指利用被攻擊方信息系統自身存在安全漏洞,通過使用網絡命令和專用軟件進入對方網絡系統的攻擊。目前總結出黑客網絡攻擊的類型主要有以下幾種:
1.對應用層攻擊。
應用層攻擊能夠使用多種不同的方法來實現,最常見的方法是使用服務器上通常可找到的應用軟件(如SQL Server、PostScript和FTP)缺陷,通過使用這些缺陷,攻擊者能夠獲得計算機的訪問權,以及在該計算機上運行相應應用程序所需賬戶的許可權。
應用層攻擊的一種最新形式是使用許多公開化的新技術,如HTML規范、Web瀏覽器的操作性和HTTP協議等。這些攻擊通過網絡傳送有害的程序,包括Java applet和Active X控件等,并通過用戶的瀏覽器調用它們,很容易達到入侵、攻擊的目的。
2.拒絕服務攻擊
拒絕服務(Denial of Service, DoS)攻擊是目前最常見的一種攻擊類型。從網絡攻擊的各種方法和所產生的破壞情況來看,DoS算是一種很簡單,但又很有效的進攻方式。它的目的就是拒絕服務訪問,破壞組織的正常運行,最終使網絡連接堵塞,或者服務器因疲于處理攻擊者發送的數據包而使服務器系統的相關服務崩潰、系統資源耗盡。
攻擊的基本過程如下:首先攻擊者向服務器發送眾多的帶有虛假地址的請求,服務器發送回復信息后等待回傳信息。由于地址是偽造的,所以服務器一直等不到回傳的消息,然而服務器中分配給這次請求的資源就始終沒有被釋放。當服務器等待一定的時間后,連接會因超時而被切斷,攻擊者會再度傳送新的一批請求,在這種反復發送偽地址請求的情況下,服務器資源最終會被耗盡。
被DDoS攻擊時出現的現象主要有如下幾種。被攻擊主機上有大量等待的TCP連接。網絡中充斥著大量的無用的數據包,源地址為假。制造高流量無 用數據,造成網絡擁塞,使受害主機無法正常和外界通信。利用受害主機提供的服務或傳輸協議上的缺陷,反復高速地發出特定的服務請求,使受害主機無法及時處理所有正常請求。嚴重時會造成系統死機。要避免系統遭受Do S攻擊,網絡管理員要積極謹慎地維護整個系統,確保無安全隱患和漏洞,而針對更加惡意的攻擊方式則需要安裝防火墻等安全設備過濾DOS攻擊,同時建議網絡管理員定期查看安全設備的日志,及時發現對系統構成安全威脅的行為。
3.緩沖區溢出
通過往程序的緩沖區寫超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其他的指令。如果這些指令是放在有Root權限的內存中,那么一旦這些指令得到了運行,黑客就以Root權限控制了系統,達到入侵的目的;緩沖區攻擊的目的在于擾亂某些以特權身份運行的程序的功能,使攻擊者獲得程序的控制權。
緩沖區溢出的一般攻擊步驟為:在程序的地址空間里安排適當的代碼——通過適當的地址初始化寄存器和存儲器,讓程序跳到黑客安排的地址空間中執行。緩沖區溢出對系統帶來了巨大的危害,要有效地防止這種攻擊,應該做到以下幾點。必須及時發現緩沖區溢出這類漏洞:在一個系統中,比如UNIX操作系統,這類漏洞是非常多的,系統管理員應經常和系統供應商聯系,及時對系統升級以堵塞緩沖區溢出漏洞。程序指針完整性檢查:在程序指針被引用之前檢測它是否改變。即便一個攻擊者成功地改變了程序的指針,由于系統事先檢測到了指針的改變,因此這個指針將不會被使用。數組邊界檢查:所有的對數組的讀寫操作都應當被檢查以確保對數組的操作在正確的范圍內。最直接的方法是檢查所有的數組操作,通常可以采用一些優化的技術來減少檢查的次數。目前主要有以下的幾種檢查方法:Compaq C編譯器、Purify存儲器存取檢查等。
二. 生活中常見的網絡防御技術
1.常見的網絡防御技術
1.防火墻技術 網絡安全中使用最廣泛的技術就是防火墻技術,對于其網絡用戶來說,如果決定使用防火墻,那么首先需要由專家領導和網絡系統管理員共同設定本網絡的安全策略,即確定什么類型的信息允許通過防火墻,什么類型的信息不允許通過防火墻。防火墻的職責就是根據本館的安全策略,對外部網絡與內部網絡之間交流的數據進行檢查,符合的予以放行,不符合的拒之門外。該技術主要完成以下具體任務:
通過源地址過濾,拒絕外部非法IP地址,有效的避免了與本館信息服務無關的外部網絡主機越權訪問;防火墻可以只保留有用的服務,將其他不需要的服務關閉,這樣做可以將系統受攻擊的可能性降到最低限度,使黑客無機可乘;同樣,防火墻可以制定訪問策略,只有被授權的外部主機才可以訪問內部網絡上的有限IP地址,從而保證外部網絡只能訪問內部網絡中的必要資源,使得與本館信息服務無關的操作將被拒絕;由于外部網絡對內部網絡的所有訪問都要經過防火墻,所以防火墻可以全面監視外部網絡對內部網絡的訪問活動,并進行詳細的記錄,通過分析可以得出可疑的攻擊行為。
防火墻可以進行地址轉換工作,使外部網絡用戶不能看到內部網絡的結構,使黑客失去攻擊目標。
雖然防火墻技術是在內部網與外部網之間實施安全防范的最佳選擇,但也存在一定的局限性:不能完全防范外部刻意的人為攻擊;不能防范內部用戶攻擊;不能防止內部用戶因誤操作而造成口令失密受到的攻擊;很難防止病毒或者受病毒感染的文件的傳輸。
2.訪問控制技術
訪問控制是網絡安全防范和保護的主要技術,它的主要任務是保證網絡資源不被非法使用和非法訪問。
入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網絡外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少于6個字符,口令字符最好是數字、字母和其他字符的混合。
網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。我們可以根據訪問權限將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作權限;(3)審計用戶,負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用一個訪問控制表來描述。
網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種:系統管理員權限(Supervisor)、讀權限(Read)、寫權限(Write)、創建權限(Create)、刪除權限(Erase)、修改權限(Modify)、文件查找權限、存取控制權限。一個網絡系統管理員應當為用戶指定適當的訪問權限,這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對服務器資源的訪問,從而加強了網絡和服務器的安全性。
三.總結
計算機網絡技術的日新月異,為現代人的生活提供了很大的方便。但網絡安全威脅依然存在,網上經常報道一些明星的照片泄露,12306賬號和密碼泄露,一些郵箱的密碼泄露,以及經常發生的QQ號被盜等等……這些都會給我們的生活帶來麻煩,甚至讓我們付出經濟代價。因此現在人們對于網絡安全的認識也越來越重視,在整體概念上了解黑客的攻擊技術和常用工具方法,對于我們防范黑客攻擊提供了基本的知識儲備。而具體到平時的學習工作中,我們應該養成良好的上網習慣和培養良好的網絡安全意識,在平時的工作中應該注意,不要運行陌生人發過來的不明文件,即使是非可執行文件,也要十分小心,不要在不安全的網站上登錄一些重要賬號,或者不要在網站上記錄賬號密碼。以免造成密碼泄露。只要我們在平時上網時多注意,就可以有效地防范網絡攻擊。
此外,經常使用殺毒軟件掃描,及時發現木馬的存在。我們應該時刻警惕黑客的網絡攻擊,從自我做起,構建起網絡安全堅實防線,盡可能讓網絡黑客無孔可入。
第四篇:網絡環境下
以網絡的名義
――淺談網絡環境下的教學設計
摘要:
當今世界,個體的學習能力已成為一項最基本的生存能力。隨著信息時代的降臨,多媒體和網絡技術的迅猛發展,人們的生存方式和學習方式正在經歷著一場歷史性的巨大變革。聯合國教科文組織向國際21世紀教育委員會提出的經典報告《學習---內在的財富》。該報告指出:21世紀的教育應圍繞四種學習加以安排,即學會求知(學習)(learn to know)----掌握認識世界的工具;學會做事(learn to do)---學會在一定的環境中工作;學會共處(learn to go together)---培養在人類活動中的參與和合作精神;學會做人(learn to be)---以適應和改變自己的環境。以雅克·德洛爾任主席的國際21世紀教育委員會認為,這四種學習既是21世紀教育的四大支柱,也是每個人一生中的知識支柱。而網絡環境下的學習,需在一定的環境中開展,需和學習同伴結成伙伴關系合作共事,可見,開展在網絡環境下的學習活動有助于以上幾種能力的培養和提高。[1] 關鍵詞:網絡教學 教學設計
教育要面向現代化,首先應該是教育思想的現代化。那么,網絡教育作為現代教育模式的一種手段,應該是有利于學生主動參與自主學習。有利于揭示教學內容的實質,有利于教師與學生、學生與生之間的相互交流協作學習,有利于學生思維和技能的訓練,有利于創新能力的培養等。[2]
1.教學內容的變化。網絡教學豐富了書本中原有的知識。多媒體技術的運用將過去靜態的、二維的教材轉變為由聲音、文字、圖像構成的動態的。網絡教學的運用,又將教學內容從書本擴展到社會的方方面面。這樣,豐富和擴展了書本的知識,學生在規定的教學時間內可以學得更多、更快、更好。例如,在網絡課《珍稀動物》[3]的教學設計。專題網頁所呈現的珍稀動物不僅僅局限于書中所介紹的大熊貓、白暨豚、金絲猴三種,而且對于這三種珍稀動物的介紹的內容遠遠多于書本中所介紹的。教師的設計中,又增加了江浙地區所熟悉的一些珍稀動物,揚子鱷、丹頂鶴。教師的設計是頗具匠心的,書本中的珍稀動物盡管耳熟能詳,但是真正能見到的不多。教師增加江浙地區能見到的珍稀動物,大大提高了學生對保護珍稀動物的認同感。
2.教學過程的變化。網絡教學中,教學過程由傳統的知識歸納、邏輯演繹式的講解式教學過程轉變為創設情境、協作學習、自主學習、討論學習等新的教學過程。在小學六年級的音樂網絡課《秋詩、秋畫、秋樂》[4]中,教師設計一個環節,分別展示4段音樂,8幅圖片。讓學生自己選擇,哪四張和前面四段音樂相符合圖片嗎?。這在傳統的教學中是不能實現,也無法想像的。
3.學生學習方式的變化。在網絡教學中,學生自己利用搜索引擎(BAIDU、GOOGLE??)來學習。去搜索所需要的知識是大量被采用的學習方式。學生由被動地接受知識,轉變為主動地學習知識,通過信息技術,利用各種學習資源,去主動建構知識。學生不僅要學習知識,還要掌握“如何學”的能力。學生必須有獨立學習能力、創造能力、創新能力、自主學習能力、自我管理能力、協作能力、協調能力等。學生將成為知識的探索者和學習過程中真正的認知主體。
4.教師角色的變化。教師由傳統的知識講解者、傳遞者、灌輸者變成了學生學習的指導者、幫助者、促進者。在網絡教學環境中,教師不再是唯一的知識源,教師不能再把傳遞知識作為自己的主要任務和目的,而是要把精力放在如何教學生“學”的方法上,為建構學生的知識體系創設有利的情境,使學生“學會學習”。指導學生懂得“從哪里”和“怎么樣”獲取自己所需要的知識,掌握獲得知識的工具和根據認識的需要處理信息的方法。
但是基于網絡的教學設計,要真正體現現代教育思想 也不是輕而易舉的事情,這需要我們根據新的教學與學習理論,比較傳統教育與現代教育中的教學模式,了解現代教育技術的特點與優勢。基于網絡環境下的教學資源具有信息資源開放、跨越時空限制、傳遞系統是多媒體的、傳播媒介可多向交流等特點,這就決定了網絡環境下的學習過程的開放性、全球性、可交流性,學習者對學習內容選擇的自主性和個例化,內容形式的多媒體化等。網絡環境下的教學真正達到了因材施教、發展個性的目的,學生是按照自己的認知水平來學習和提高的,學習是學生主動參與完成的,這種學習使學生獲得的不僅僅是知識,還有自己主動建構知識及意義的能力,這正是傳統教學所不能比擬的,基于Web的教學設計具有超鏈接功能,可以使學生用多種方式探索同一專題,有利于實現認知的靈活性,同時給予了學生較大的自由度,學習者可以完全控制自己的學習,可以任意選擇學習內容、學習方式以及各種工具,最大程度地支持了學生的主動學習,實現了真正的個別化學習。
網絡環境下的教學能夠綜合各個學科內在知識體系,必須要有跨學科的知識與能力,這就調動了學生縱向與橫向學科學習的興趣,使學生開闊了眼界。擴大了知識面,這對于開發人力資源很有益處,這也是傳統教學所不能比擬的。多媒體和網絡技術增添了動態演示性的內容,增強了交互性。使得學生“不僅僅通過接收信息而學習。還可以通過資料的展示過程以及交互加深理解。在學習過程中,學生與學生、學生與教師之間 適當的交流通常可以達到事半功倍的學習效果,因此,交互性便成為學生有效學習過程中的一個重要組成部分。基于wed的教學設計中,可以充分利用在線討論、在線答疑等實時交互,照顧個別學生的需要,增強學生學習興趣,同時使學習者可以協作學習。
傳統教學設計采用自下而上的設計方法,即教學是從基本子概念、子技能的學習出發,逐級向上,逐漸學習到高級的知識技能。因而進行教學設計時,首先要進行任務分析,逐級找到應該提前掌握的知識,而后分析學習者既有的水平,確定合適的起點、設計出向學習者傳遞知識的方案。建構主義的教學設計是采用自上而下的設計路線,即首先呈現整體性的任務,讓學習者嘗試解決問題,在此過程中,學習者要自己發現完成整體任務所需首先完成的子任務,以及完成各級任務所需的各級知識技能,基于wed 測覽方式的超鏈接,很容易實現自上而下的教學設計。
在教學設計中教學目標與學習目標的區別也是容易被忽略的問題,教學目標代表教師期望學習者在學習環境中掌握的知識,學習目標則是學習者在自主學習過程中自定的目標。傳統的教育中主要關心預定教學目標,而現代教育的設計思想認為學習者目標是第一位的。因此,基于Web 的學習環境的設計較靈活,能夠支持和幫助學習者達到他們的學習目標。
在設計時,可以采用有指導路徑的方法引導學習者,有指導不等于強制,仍然要給學習者留有自由選擇的空間,由學習者自己生成學習目標的內容,即允許學習者自己控制學習路徑,而不需要設計者預先確定學習路徑,系統必須提供適當的學習資源、認知工具和相應策略的支持,在學習者需要幫助的時候可以通過某種策略影響學習者決策,如通過合作學習策略等。
現代教育思想、教學模式等,使教師和學生的地位與傳統教學相比發生了很大改變。因為教學不再是單純的知識傳授與灌輸。教師的角色主要是教學信息資源的設計者、學生學習促進者,教師從前臺走到了后臺。教師的地位受到了挑戰,但是教師在教學當中不可能被計算機或計算機網絡所取代,相反教師在這種模式下的重要性更大了,計算機只是一種信息加工和呈現的工具,教師惟一選擇是需要不斷地更新知識和擴大知識面,教學組織者需要跨學科的知識結構,需要教師的群體協作。網絡化的教學設計需要解決的重大課題是如何制作教學課件、如何把它們組織成為符合教學要求的教學資源形式。
計算機及網絡固然是先進的工具,但是任何一個工具如果使用得當,都可以成為認知工具,判斷一個工具是否成為認知工具的惟一標準是看這個工具是否能幫助學習者完成認知操作、促進學習者進行思考,因而建構工具的設計關鍵僅在于工具種類的選擇,更重要的是工具使用方式的設計。
總之,網絡教學可以培養學生的自我建構能力,來自各方面的不同的知識和信息往往集中在一起;學生需要通過對這些知識和信息的整合,發現和獲得其中的價值和意義,并進行新的意義建構,網絡教學可以培養學生獲取信息和選擇信息的能力,而這恰恰是信息社會中非常重要的知識和技能,網絡教學可以培養學生的網絡能力,在現代社會中網絡是一種現實的生存空間,學生要想學會生存,就應該包括學會在網絡空間中生存,因此,網絡能力也就意味著現實生活的能力,但是最主要的是網絡教學設計要適當。
參考文獻:
[1]http://61.144.60.222:8080/0518/jxms1/pages/p1-4.htm 網絡環境下協作學習活動的設計
[2] 網絡對教學模式的沖擊——談基于網絡的教學設計 北京四中 錢曉菁
[3]專題網頁http://dw.zslxx.net 此課曾獲江蘇省信息技術與課程整合一等獎。[4]此網頁在http://www.zslxx.net 中山路小學瑞博網絡平臺上
第五篇:網絡攻擊技術與攻擊工具六大趨勢
最近幾年,網絡攻擊技術和攻擊工具有了新的發展趨勢,使借助Internet運行業務的機構面臨著前所未有的風險,本文將對網絡攻擊的新動向進行分析,使讀者能夠認識、評估,并減小這些風險。
趨勢一:自動化程度和攻擊速度提高
攻擊工具的自動化水平不斷提高。自動攻擊一般涉及四個階段,在每個階段都出現了新變化。掃描可能的受害者。自1997年起,廣泛的掃描變見慣。目前,掃描工具利用更先進的掃描模式來改善掃描效果和提高掃描速度。損害脆弱的系統。以前,安全漏洞只在廣泛的掃描完成后才被加以利用。而現在攻擊工具利用這些安全漏洞作為掃描活動的一部分,從而加快了攻擊的傳播速度。傳播攻擊。在2000年之前,攻擊工具需要人來發動新一輪攻擊。目前,攻擊工具可以自己發動新一輪攻擊。像紅色代碼和尼姆達這類工具能夠自我傳播,在不到18個小時內就達到全球飽和點。攻擊工具的協調管理。隨著分布式攻擊工具的出現,攻擊者可以管理和協調分布在許多Internet系統上的大量已部署的攻擊工具。目前,分布式攻擊工具能夠更有效地發動拒絕服務攻擊,掃描潛在的受害者,危害存在安全隱患的系統。
趨勢二:攻擊工具越來越復雜
攻擊工具開發者正在利用更先進的技術武裝攻擊工具。與以前相比,攻擊工具的特征更難發現,更難利用特征進行檢測。攻擊工具具有三個特點:反偵破,攻擊者采用隱蔽攻擊工具特性的技術,這使安全專家分析新攻擊工具和了解新攻擊行為所耗費的時間增多;動態行為,早期的攻擊工具是以單一確定的順序執行攻擊步驟,今天的自動攻擊工具可以根據隨機選擇、預先定義的決策路徑或通過入侵者直接管理,來變化它們的模式和行為;攻擊工具的成熟性,與早期的攻擊工具不同,目前攻擊工具可以通過升級或更換工具的一部分迅速變化,發動迅速變化的攻擊,且在每一次攻擊中會出現多種不同形態的攻擊工具。
此外,攻擊工具越來越普遍地被開發為可在多種操作系統平臺上執行。許多常見攻擊工具使用IRC或HTTP(超文本傳輸協議)等協議,從入侵者那里向受攻擊的計算機發送數據或命令,使得人們將攻擊特性與正常、合法的網絡傳輸流區別開變得越來越困難。
趨勢三:發現安全漏洞越來越快
新發現的安全漏洞每年都要增加一倍,管理人員不斷用最新的補丁修補這些漏洞,而且每年都會發現安全漏洞的新類型。入侵者經常能夠在廠商修補這些漏洞前發現攻擊目標。
趨勢四:防火墻滲透率越來越高
防火墻是人們用來防范入侵者的主要保護措施。但是越來越多的攻擊技術可以繞過防火墻,例如,IPP(Internet打印協議)和WebDAV(基于Web的分布式創作與翻譯)都可以被攻擊者利用來繞過防火墻。
趨勢五:威脅越來越不對稱
Internet上的安全是相互依賴的。每個Internet系統遭受攻擊的可能性取決于連接到
全球Internet上其他系統的安全狀態。由于攻擊技術的進步,一個攻擊者可以比較容易地利用分布式系統,對一個受害者發動破壞性的攻擊。隨著部署自動化程度和攻擊工具管理技巧的提高,威脅的將繼續增加。
趨勢六:對基礎設施將形成的威脅越來越大
基礎設施攻擊是大面積影響Internet關鍵組成部分的攻擊。由于用戶越來越多地依賴Internet完成日常業務,基礎設施攻擊引起人們越來越大的擔心。基礎設施面臨分布式拒絕服務攻擊、蠕蟲病毒、對Internet域名系統(DNS)的攻擊和對路由器攻擊或利用路由器的攻擊。
拒絕服務攻擊利用多個系統攻擊一個或多個受害系統,使受攻擊系統拒絕向其合法用戶提供服務。攻擊工具的自動化程度使得一個攻擊者可以安裝他們的工具并控制幾萬個受損害的系統發動攻擊。入侵者經常搜索已知包含大量具有高速連接的易受攻擊系統的地址塊,電纜調制解調器、DSL和大學地址塊越來越成為計劃安裝攻擊工具的入侵者的目標。由于Internet是由有限而可消耗的資源組成,并且Internet的安全性是高度相互依賴的,因此拒絕服務攻擊十分有效。
蠕蟲病毒是一種自我繁殖的惡意代碼。與需要用戶做某種事才能繼續繁殖的病毒不同,蠕蟲病毒可以自我繁殖。再加上它們可以利用大量安全漏洞,會使大量的系統在幾個小時內受到攻擊。一些蠕蟲病毒包括內置的拒絕服務攻擊載荷或Web站點損毀載荷,另一些蠕蟲病毒則具有動態配置功能。但是,這些蠕蟲病毒的最大影響力是,由于它們傳播時生成海量的掃描傳輸流,它們的傳播實際上在Internet上生成了拒絕攻擊,造成大量間接的破壞(這樣的例子包括:DSL路由器癱瘓;并非掃描本身造成的而是掃描引發的基礎網絡管理(ARP)傳輸流激增造成的電纜調制解制器ISP網絡全面超載)。
DNS是一種將名字翻譯為數字IP地址的分布式分級全球目錄。這種目錄結構最上面的兩層對于Internet運行至關重要。在頂層中有13個“根”名服務器。下一層為頂級域名(TLD)服務器,這些服務器負責管理“.com”、“.net”等域名以及國家代碼頂級域名。DNS面臨的威脅包括:緩存區中毒,如果使DNS緩存偽造信息的話,攻擊者可以改變發向合法站點的傳輸流方向,使它傳送到攻擊者控制的站點上;破壞數據,攻擊者攻擊脆弱的DNS服務器,獲得修改提供給用戶的數據的能力;拒絕服務,對某些TLD域名服務器的大規模拒絕服務攻擊會造成Internet速度普遍下降或停止運行;域劫持,通過利用客戶升級自己的域注冊信息所使用的不安全機制,攻擊者可以接管域注冊過程來控制合法的域。
路由器是一種指揮Internet上傳輸流方向的專用計算機。路由器面臨的威脅有:將路由器作為攻擊平臺,入侵者利用不安全的路由器作為生成對其他站點的掃描或偵察的平臺;拒絕服務,盡管路由器在設計上可以傳送大量的傳輸流,但是它常常不能處理傳送給它的同樣數量的傳輸流,入侵者利用這種特性攻擊連接到網絡上的路由器,而不是直接攻擊網絡上的系統;利用路由器之間的信賴關系,路由器若要完成任務,就必須知道向哪里發送接收到的傳輸流,路由器通過共享它們之間的路由信息來做到這點,而這要求路由器信賴其收到的來自其他路由器的信息,因此攻擊者可以比較容易地修改、刪除全球Internet路由表或將路由輸入到全球Internet路由表中,將發送到一個網絡的傳輸流改向傳送到另一個網絡,從而造成對兩個網絡的拒絕服務攻擊。盡管路由器保護技術早已可供廣泛使用,但是許多用戶沒有利用
路由器提供的加密和認證特性來保護自己的安全。
點擊咨詢 