关键词:黑客防火墙网络安全策略
1、网络威胁现状
1.1人为的无意失误
人为的无意失误:如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
1.2为的恶意失误
人为的恶意攻击:这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。
1.3黑客(hacker)
源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中,“黑客”则有“恶作剧”之意,尤指手法巧妙、技术高明的恶作剧。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。
黑客攻击的目的:
取目标系统的非法访问---获得不该获得的访问权限b、获取所需资料---获得黑客想要获得的相关资料,包括科技情报、个人资料、金融帐户、技术成果、系统信息等等c、篡改有关数据---篡改以上资料,达到非法目的d、利用有关资源---利用这台机器的资源对其它目标进行攻击,虚假信息,占用存储空间黑客攻击的方式:远程攻击---远程攻击指外部黑客通过各种手段,从该子网以外的地方向该子网或者该子网内的系统发动攻击。远程攻击的时间一般发生在目标系统当地时间的晚上或者凌晨时分,远程攻击发起者一般不会用自己的机器直接发动攻击,而是通过跳板的方式,对目标进行迂回攻击,以迷惑系统管理员,防止暴露真实身份。
1.4网络软件的漏洞和“后门
无论多么优秀的网络软件,都可能存在这样那样的缺陷和漏洞,而那些水平较高的黑客就将这些漏洞和缺陷作为网络攻击的首选目标。在曾经出现过的黑客攻击事件中,大部分都是因为软件安全措施不完善所招致的苦果。一般,软件的“后门”都是软件公司的设计和编程人员为了为方便设计而设置的,很少为外人所知。不过,一旦“后门”公开或被发现,其后果将不堪设想。
后门是一种登录系统的方法,它不仅绕过系统已有的安全设置,而且还能挫败系统上各种增强的安全设置。
2、网络安全的技术和措施
2.1物理安全策略
物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
2.2访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。
2.3信息加密策略
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
2.4网络安全管理策略
所谓网络安全管理策略是指一个网络中关于安全问题采取的原则,对安全使用的要求,以及如何保护网络的安全运行。
制定网络安全管理策略首先要确定网络安全管理要保护什么,在这一问题上一般有两种截然不同的描述原则。一个是“没有明确表述为允许的都被认为是被禁止的”,另一个是“一切没有明确表述为禁止的都被认为是允许的”。对于网络安全策略,一般采用第一种原则,来加强对网络安全的限制。对于少数公开的试验性网络可能会采用第二种较宽松的原则,这种情况下一般不把安全问题作为网络的一个重要问题来处理。
网络安全策略还应说明网络使用的类型限制。定义可接受的网络应用或不可接受的网络应用,要考虑对不同级别的人员给予不同级别的限制。但一般的网络安全策略都会声明每个用户都要对他们在网络上的言行负责。所有违反安全策略、破环系统安全的行为都是禁止的。具体涉及到如下类似的一些问题:
(1)如果用户碰巧发现他对一个不属于他的文件具有写权限,是否允许用户修改该文件?
(2)是否允许用户共享帐号?
一般网络安全策略对上述问题的回答都是否定的。
在大型网络的安全管理中,还要确定是否要为特殊情况制定安全策略。例如是否允许某些组织如CERT安全组来试图寻找你的系统的安全弱点。对于此问题,对来自网络本身之外的请求,一般回答是否定的。
网络安全对策最终一定是要送至网络的每一个使用者手中。对付安全问题最有效的手段是教育,提高每个使用者的安全意识,从而提高整体网络的安全免疫力。网络安全策略作为向所有使用者发放的手册,应注明其解释权归属何方,以免出现不必要的争端。
参考文献
[1]齐德显,胡铮.网络与信息资源管理[M].北京:北京兵器工业出版社,北京:北京希望电子出版社,2005.
防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入,可有效地保证网络安全。防火墙系统是一个静态的网络攻击防御,同时由于其对新协议和新服务的支持不能动态的扩展,所以很难提供个性化的服务。入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,从而能够在网络系统受到危害之前拦截和响应入侵。入侵检测技术可以弥补单纯的防火墙技术暴露出明显的不足和弱点,为网络安全提供实时的入侵检测及采取相应的防护手段。入侵检测是对防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。由些可见,它们在功能上可以形成互补关系。
下面将建立入侵特征库和入侵检测与防火墙的接口问题分别进行讲述。我们经过将基于异常的IDS和基于误用的IDS系统相比较之后,最后选择使用基于误用的入侵检测系统,不仅因为这种方法的误报警率低,而且对一些已知的常用的攻击行为特别有效。当有外来入侵者的时候,一部分入侵由于没有获得防火墙的信任,首先就被防火墙隔离在外,而另一部分骗过防火墙的攻击,或者干脆是内部攻击没经过防火墙的,再一次受到了入侵检测系统的盘查,受到怀疑的数据包经预处理模块分检后,送到相应的模块里去进一步检查,当对规则树进行扫描后,发现某些数据包与规则库中的某些攻击特征相符,立即切断这个IP的访问请求,或者报警。建立入侵特征库。
1.编写规则
根据前面所说的该入侵检测系统所期望实现的作用,因此要将一些规则编写至特征库中。规则模块包括解析规则文件、建立规则语法树、实现规则匹配的算法等。
2.入侵检测流程
单个数据报的检测流程详细的分析如下:首先对收集到的数据报进行解码,然后调用预处理函数对解码后的报文进行预处理,再利用规则树对数据报进行匹配。在规则树匹配的过程中,IDS要从上到下依次对规则树进行判断,从链首、链表到规则头节点,一直到规则选项节点。基于规则的模式匹配是入侵检测系统的核心检测机制。入侵检测流程分成两大步:第一步是规则的解析流程,包括从规则文件中读取规则和在内存中组织规则;第二步是使用这些规则进行匹配的入侵流程。
3.规则匹配流程
一个采用模式匹配技术的IDS在从网络中读取一个数据包后大致按照下面方式进行攻击检测:
(1)从数据包的第一个字节开始提取与特征库中第一个攻击特征串等长的一组字节与第一个攻击特征串比对,如果两组字节相同,则视为检测到一次攻击;如果两组字节不同,则从数据包的第二个字节开始提取与攻击特征串等长的一组字节与攻击特征串比对。
(2)接着比对过程重复进行,每次后移一个字节直到数据包的每个字节都比对完毕,最后将数据包与特征库中下一个攻击特征串进行匹配。
(3)重复进行直到匹配成功或者匹配到特征库中最后一个攻击特征依然没有结果为止,然后整体模型从网络中读取下一个数据包进行另一次检测。规则匹配的过程就是对从网络上捕获的每一条数据报文和上面描述的规则树进行匹配的过程。如果发现存在一条规则匹配的报文,就表示检测到一个攻击,然后按照规指定的行为进行处理(如发送警告等),如果搜索完所有的规则都没有找到匹配的规则,就表示报文是正常的报文。
所有的规则被组织成规则树,然后分类存放在规则类列表中。总体的检测过程归根结底到对规则树进行匹配扫描,并找到报文所对应的规则。对规则树的匹配过程则是先根据报文的IP地址和端口号,在规则头链表中找到相对应的规则头,找到后再接着匹配此规则头附带的规则选项链表。
4.规则语法树的生成
IDS采用链表的方式构建规则的语法树,规则语法所用到的数据结构主要都在rules.h文件中,其中最为要的数据结构形式有以下一些:规则头函数指针列表、规则选项函数指针列表、响应函数指针列表、规则选项结构体、IP地址结构体、表头、规则列表结构体、变量体等。当防火墙和入侵检测系统互动时,所有的数据通信是通过认证和加密来确保传输信息的可靠性和保密性。通信双方可以事先约定并设定通信端口,并且相互正确配置对方IP地址,防火墙以服务器(Server)的模式来运行,IDS以客户端(Client)的模式来运行。将防火墙与IDS结合起来互动运行,防火墙便可通过IDS及时发现其策略之外的攻击行为,IDS也可以通过防火墙对来自外部网络的攻击行为进行阻断。IDS与防火墙有效互动就可以实现一个较为有效的安全防护体系,可以大大提高整体防护性能,解决了传统信息安全技术的弊端、解决了原先防火墙的粗颗粒防御和检测系统只发现难响应的问题。
防火墙与IDS结合是将动态安全技术的实时、快速、自适应的特点成为静态技术的有效补充,将静态技术的包过滤、信任检查、访问控制成为动态技术的有力保障。二者结合使用可以很好的将对方的弱点淡化,而将自己的优点补充上去,使防御系统成为一个更加坚固的围墙。在未来的网络安全技术领域中,将动态技术与静态技术的互动使用,将有很大的发展市场和空间。参考文献:
[1]张兴东,胡华平,况晓辉,陈辉忠.防火墙与入侵检测系统联动的研究与实现[J].计算机工程与科学
[2]杨琼,杨建华,王习平,马斌,基于防火墙与入侵检测联动技术的系统设计《武汉理工大学学报》2005年07期.
一、背景分析
(一)环境分析
从宏观环境来说,商务英语培训的出现是社会发展的必然结果,也是英语语言学自身发展的必然趋势。随着外资企业的不断增多,越来越多的中国人开始在外企里工作,外资企业对商务英语人才需求极大。同时,国内民营企业对商务英语人才需求也增大。总的来说,商务英语培训的宏观营销环境是处于一个较好的状态之中,整个国家的各个方面都正朝着健康、积极的方向在发展。
(二)市场分析
美联国际英语的主要竞争对手有戴尔、华尔街、英孚、剑桥、长春藤、昂立、韦博、新东方等多家商务英语培训机构。这些培训机构都是经验丰富、资金雄厚,具有强劲的竞争力,占有了很大一部分市场,因此拓展市场并不是一件容易的事情。
(三)美联教学特色:
1.不超过4人的小班授课
不超过4人的个性化外教小班,针对学员真实水平的授课。
2.高雅舒适的学习氛围
高档、舒适的学习环境,星级的服务加现代化教学设备,为学员的学习提供了可靠的保证。
3.置身海外的教学环境
一个纯正的英文环境,全英文的教学氛围,使学员感受到真实的英语。
4.flexibletimetable自由灵活的学习时间
早上9点到晚上9点,中心全天开放,学员可以依据自己的时间,安排自己的个性学习计划随时学习。
5.精细化水平分级和目标设置
对英语语言知识和技能要求进行精确估量与合理设计,细化教与学的目标,帮学员获得真正高效的学习成果。
6.个性化的课程设置
通过科学测定水平级别,学员选择适合自己水平的课程,依据自己的学习需求与特点,精心设计个人学习内容。
7全球知名的ellis多媒体课程
为母语非英语的学员量身定做的专业多媒体实境课程,加拿大超过60%的公立英语培训课程的首选课程,为英国政府移民项目提供全部的英文培训支持。
8.学习进度自我掌控
自己的学习进度,完全自己控制,工作忙的时候可以放慢进度,工作闲的时候可以加快学习进度。
9.个性化的教学支持与跟踪
专业学习顾问依据学员的个人基础、学习时间,为学员量身定做个性化学习计划,并在学习时间内高频率地跟踪,辅助学员成功地完成在校的学习。
10.精英社交俱乐部
全英文社交俱乐部,由外籍人士组织,各类聚会、踏青、购物等实境活动,在真实生活中感受西方文化,学以致用。
11.素质拓展与英语学习共成长
现代社会竞争激烈,英文素质拓展训练与英语学习并行的独特设计,为学员的成功增加竞争力。
(四)营销现状
市场营销做的不够,开发不到位,市场定位不稳。商务英语是在英语语言学习的基础上附加了商务部分。以高级商务人士作为商务英语培训的主要群体不太现实,一来他们已具有较强的英语运用能力,二来出于工作限制,他们也不可能抽出专门的时间去上英语课。所以高端商务英语培训这个市场从一开始就失去了长期阵地。
同时戴尔、华尔街、新东方等培训机构占据很大部分市场,美联国际英语必须做的更好,才可以在争取新客源的同时也与他们争夺原有的顾客。
l目标
旨提升美联国际英语的知名度,从而促进其市场拓展,增加客源,提高经济效益。2012年顾客占有率提高5%,在同类产品中建立更加巩固、突出的位置。
l营销战略
1.产品策略
我们跟随着国际上商务英语培训产品的发展,从国外引进,应该在这方面进行不断的创新和改造,使培训方式更加符合中国人的特点,走出一条符合中国文化特点的道路,才能不断提高市场占有率。
2.价格策略
运用价格策略,分别对公司整体培训,社会团队以及个人等采取不同的价格策略方法,不能被动地跟随竞争者的价格走,要主动出击才能掌握全局。
3.掌握好消费者的消费心理。
本文以“三十六计”中应用频率较高的第六计“声东击西”为分析入口,将“声东击西”之计的“发动佯攻,避强击弱”的内涵与战略思维应用于专利之道,希望能够帮助我国企业进一步强化知识产权创造、运用、保护、管理能力。
俗话说“商场如战场”,作战中成败的铁律同样适用于专利战。运用“声东击西”之计在专利战中取得胜利最常用的战术,就是“明攻无市之技术,暗袭有用之专利”。或瞒天过海、混淆视听,迷惑专利战略布局,从而避开竞争对手的注意力;或故布疑兵,增加竞争对手的顾虑,牵制、分散专利力量,松懈主动进攻的意愿,然后出其不意、攻其不备地发动专利进攻。
从专利战略上看,笔者将“声东击西”之计分为两个层次和步骤进行:专利佯攻和专利主攻。佯攻的战术核心是真假难辨、以假乱真,主攻的战术核心是稳、准、快。
首先是专利佯攻,这是指为了掩护专利主攻力量而进行的虚假攻击。企业在从事产品研发、专利申请、专利运用、技术秘密保护或市场推广等与专利相关的活动时,通过发警告函、提起专利侵权诉讼、申请专利行政执法援助等手段发动专利佯攻,能够兼具专利防御和专利进攻的双重作用。
专利佯攻的防御作用在于通过专利佯攻迫使或诱使竞争对手暴露真实的专利布局和专利进攻战略,从而能使我方集中优势专利力量以逸待劳地防守主要专利阵地。专利佯攻的进攻作用在于,发动专利战时,派出部分专利力量作为疑兵向对手发起攻击,令对手无法准确判断我方的具体攻击方向、位置和力量,从而达到分敌之势、掩护我方主攻力量夺取专利战胜利的目的。
专利佯攻要采取“侦-算-瞒-试”四步骤相结合的方式,方能侦查敌情,并最大限度地为专利主攻做好铺垫。侦,就是指专利竞争情报信息的检索、收集和运用,这是专利佯攻的基础。算,就是专利分析和专利预警,这是专利佯攻的有效保障。瞒,就是指用“瞒天过海”之计进行合理隐瞒,这是专利佯攻的战术核心。试,就是指测试对手专利布局之虚实,这是专利佯攻的关键步骤。
通过专利佯攻时采取的“侦-算-瞒-试”,已经能够明晰竞争对手的专利布局态势、专利市场推广以及敌我双方的力量对比情况。通过专利佯攻,能够发现对手专利壁垒中相对薄弱的重要专利,厘清对手产业链布局中的关键专利空隙,探明对手专利联盟中实力相对较弱又不可或缺的一方等。在此基础上,需要避实就虚地发动真正的专利主攻。
进行专利主攻时,需要与专利佯攻同时同步进行,需要集中优势专利力量稳、准、快地行动。利用己方的拳头专利和尖刀专利,或迅速无效对手的重要专利,或着重打击其专利布局漏洞的专利软肋,或在其产业链和供应链的重要位置设置专利壁垒,或通过专利许可抢占对手市场,或逼迫对手完成重要技术的交叉许可,或通过人才挖角打击专利研发命脉,这样才能釜底抽薪,然后一击致命。
一般而言,往往将虚、小、快的轻资产专利作为专利佯攻力量,将重、大、慢的重资产专利作为专利主攻中坚。但是在专利战中,应注意虚虚实实、虚实结合、以实击虚,这才是“声东击西”之计灵活运用的真谛。正如《孙子兵法・虚实篇》所言:“故兵无常势,水无常形,能因敌变化而取胜者,谓之神。”
需要明确的是,在专利战中应用“声东击西”之计,在战略上可分佯攻和主攻,在战术布置和具体执行时都需要当成主攻目标来做,不能有轻重主次缓急之分,甚至在大多数情况下,专利佯攻应占据更大的比重。强调佯攻主攻不分家,一是能够以正隐奇,令专利佯攻最大程度地真实化,使竞争对手无法识别我方真正目的,从而分敌之势;二是一旦对手识破我方计谋,则从佯攻目标“顺手牵羊”,以便微利必取。
2011年8月15日,谷歌公司以每股40美元现金收购摩托罗拉移动控股公司,收购资金总额约125亿美元。该消息极具爆炸性,为何谷歌公司的竞争对手苹果公司和微软公司会轻易地放弃收购摩托罗拉移动,成为一大谜团。
在笔者看来,谷歌公司收购摩托罗拉移动,极有可能是谷歌公司的CEO拉里・佩奇玩了一个漂亮的“声东击西”战术:他先在Novell公司和北电公司的专利争夺战中虚晃一枪进行佯攻,故意抬高专利收购底价,让苹果公司和微软公司等咬牙出血,无力再参与大宗的专利并购,而暗地里却把主攻目标锁定在专利数量和专利质量更高的摩托罗拉移动上,并一举拿下,把竞争对手都耍了。
一部智能手机可能涉及25万项专利,专利的重要性在智能手机的市场竞争中毋庸置疑。2010年底收购Novell公司的数百项专利(其中有涉及Unix的重要专利),实际上是微软公司、苹果公司、甲骨文公司和易安信公司组成的财团击败谷歌公司的成果。到了2011年7月1日,又是苹果公司、微软公司、索尼公司、RIM公司、易安信公司等6个公司组成的财团以45亿美元击败谷歌公司,成功拿下北电公司的6000多项专利。现在看来,谷歌公司参与这两笔专利收购,实际上有可能是即打即离的专利收购佯攻。
摩托罗拉移动业务一直在亏损,市场排名和份额不断下滑,被收购是迟早的事情,摩托罗拉移动才是谷歌公司真正的收购目标!通过收购摩托罗拉移动,一是能获取大宗有价值的专利,应付竞争对手发起的专利诉讼,保护自身产业链;二是能进行资源配置的垂直整合,提供更有竞争力的用户体验。谷歌公司通过“声东击西”的专利收购战术收购摩托罗拉移动后,最直接的战果是收获与手机相关的17000项专利权,还有7500项在申请中的专利,更具体的是一家有80多年历史、与自己有巨大差异的老牌硬件制造商,以及以电子、硬件工程师和底层嵌入式开发人员为主的研发团队等人才宝库。谷歌公司的这笔收购交易,对于安卓平台成长为全球最大的移动平台功不可没。
虽然谷歌公司在收购摩托罗拉移动的专利战中通过“声东击西”之计获得了胜利,但事后的情况证明,谷歌公司的此次收购也是风险很高的无奈之举。2014年1月30日,联想集团以29.1亿美元收购谷歌公司旗下的子公司摩托罗拉移动,包括品牌与商标、3500名员工、2000项专利以及全球50多家运营商合作伙伴。谷歌的现实、摩托罗拉的无奈、联想的接盘背后,反映的是目前大变革时代的一些逆流,但涉及收购摩托罗拉移动的专利战对手机市场的竞争格局产生了重大影响,则是不争的事实。
关键词计算机网络安全ARP安全策略
中图分类号:TP393.08文献标识码:A
1ARP攻击的基本原理
1.1ARP攻击的理论依据
ARP攻击,是针对以太网ARP协议的一种攻击技术,通过伪造IP地址和MAC地址实现ARP欺骗,在计算机网络中产生大量的ARP通信量使网络阻塞。盗用IP地址实现对目标MAC地址的攻击,出现多个地址对应一个MAC地址的现象,从而达到对计算机网络进行攻击的目的。
1.2ARP攻击的特点
(1)隐蔽性:传统的防御手段,人们可以通过IP地址冲突进行判断,并采取防御措施,但是ARP攻击不会造成计算机系统的任何明显变化这就给防御技术带来了很大难度,具有很强的隐蔽性。(2)网络阻塞性:ARP攻击通过伪造IP地址和MAC地址,能够在网络中产生大量的ARP通信量使网络阻塞,通讯能力被严重破坏。(3)不易消除性:ARP攻击的危害是非常难于对付和消除,这样就增加了计算机网络管理员维护计算机网络安全的难度。
1.3ARP攻击的危害
按照ARP欺骗带来的危害性质可分为四大类:网络异常、数据窃取、数据篡改、非法控制。具体表现如下:网络异常,计算机网络的网速时快时慢,极其不稳定,导致网络的通讯质量不稳定,具体表现为频繁的掉线、IP冲突;数据窃取,经常引起的后果是个人隐私泄露、账号被盗;数据篡改,则是访问的内容被添加恶意内容,比如木马等;非法控制,主要表现为网络速度、网络访问,受到第三方非法控制或者限制。
2防ARP攻击的网络安全策略
2.1判断是否受到ARP攻击的方法
及时、有效、正确的判断出局域网内部是否存在ARP攻击,是降低ARP对网络攻击的有效途径。要求计算机网络管理员定时对局域网进行检测,一旦发现网络状态异常,就必须进入MS-DOS窗口并输入ARP-a命令,检验局域网内所有IP地址中的MAC地址的内容,通过比对找出局域网内部受到攻击的计算机,并将其锁定。
2.2个人用户防ARP攻击办法
对于个人用户而言,要养成良好的上网习惯,并具备一定的安全意识。给个人电脑选择安装一个有效的杀毒软件和防火墙。在使用U盘、光盘、软盘等移动存储器前先进行病毒扫描,并且定期给个人电脑进行杀毒,以及打系统补丁,关闭不必要的端口等。
2.2.1简单防ARP攻击安全策略
这种策略对计算机水平要求不是很高,可以暂时消除故障,但不能持久,适合计算机技术水平不高的人员,具体方法如下:(1)重启计算机:由于计算机的重启使ARP攻击失去了环境。(2)网络设备复位:使设备恢复到出厂时的配置。(3)禁用网卡:ARP攻击也就没了目标,攻击失败。
2.2.2ARP防火墙防ARP攻击安全策略
ARP防火墙技术的主要功能是:(1)计算机获取的网关MAC地址是合法的、网关获取的计算机MAC地址是合法的,即在计算机被动的防ARP攻击而不受假的ARP数据包影响,过滤假的ARP数据包,保证本计算机获取的网关MAC地址是正确的。(2)主动防御功能,向网关通告本计算机的正确MAC地址,保证网关获取到的本主机MAC是正确的。
2.3管理员防ARP攻击方法
对于网吧经营者,小区局域网维护人员等网络管理人员而言,防范ARP攻击,目前主要的办法有以下几种:(1)设置静态的MAC--IP对应表,不让主机刷新设定好的转换表;停止使用ARP,将ARP做为永久条目保存在对应表中。(2)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被攻击。(3)在主机数目较大的情况下,多采用各类ARP防护软件,例如Antiarp等。它们除了本身能检测出ARP攻击外,还能在一定频率向网络广播正确的ARP信息。这些软件,一般都有ARP欺骗检测、IP/MAC清单、主动维护、路由器日志、抓包等功能。(4)目前大多数路由器,都具备防ARP攻击功能。在网络组建初期,选用思科等防ARP攻击能力强的路由器,也能起到很好的防护作用。
3结束语
计算机网络在给我们工作带来方便的同时也带来了安全隐患,如何在安全的环境下使用计算机网络已成为社会需求的必然趋势。本文从目前计算机网络安全的ARP攻击现状进行分析,提出了防御ARP攻击常用的办法,为解决计算机网络安全方面的问题提供一些解决思路。
参考文献