第一篇:浅谈电信网络环境下的DDOS攻击防护技术
数字技术
与应用安全技术
浅谈电信网络环境下的 DDOS 攻击防护技术
刘智宏 李宏昌 李东垣
(中华通信系统有限责任公司
北京
100070)
摘要:近年来,随着网络技术的快速发展及广泛普及,网络安全问题面临的形势愈加严重,网络攻击防护越来越受人们的重视,而电信运
营商网络几乎成为拒绝服务攻击(DDOS)的首选攻击对象。本文主要以中华通信系统研发的基于ISP网络的拒绝服务攻击防御系统为例简要分 析DDOS攻击以及在电信网络环境下的DDOS攻击防护技术。
关键词:DDOS 攻击
安全
防范 中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)07-0165-02
1、DDOS 攻击现状分析
1.1 运营商网络面临的 DDOS 攻击威胁
当前,运营商骨干网和各地市城域网,宽带用户多、网络结构复 杂、业务流量大,DDOS攻击导致的网络安全问题时有发生,导致IP 网络整体服务质量下降,已经严重威胁到运营商I P 网络的正常业 务;当3G 商用,智能化终端和宽带化3G网络与互联网接轨,无线网 络也将面对诸多互联网安全问题,这将会使缺乏固网DDOS 防范经 验的电信运营商面临巨大挑战。
中华通信系统有限责任公司研发的基于ISP网络的分布式拒绝 服务攻击防御系统(ChinaComm IDPS100)为软硬件结合产品,产 品包括流量检测组件和流量牵引清洗组件,根据ISP网络应用需求 和网络规模,系统可部署为流量检测设备或检测清洗一体化设备。产品能够实现电信级ISP网络的流量采集和流量分析,具有ISP网络 异常流量与拒绝服务攻击检测告警、网络异常流量与拒绝服务攻击 流量牵引、清洗防御、各类流量报表、系统安全日志审计、系统安全 管理控制等主要的功能。本产品属于分布式设计模式,即系统是由 探测器设备和流量牵引设备共同组成的防御系统。系统的流量探测 器在旁路方式外还提供串联接入方式,具备入侵检测、防火墙、流量 监控功能,流量牵引设备支持集群工作方式。1.2 电信运营商对 DDOS 攻击防护需求
目前各大电信运营商只部署有过滤垃圾短信这种传统无线业 务的网关设备,尚未对3 G 移动互联网的到来做好骨干流量和城域 网流量管控、清洗方面的准备,运营商急需使用高效、成熟DDOS防 御产品,能够实现对DDOS 攻击安全防护的高端网络安全产品市场 需求空间巨大,主要表现在如下方面:
(1)应用于全国各省、市级电信运营商IDC、增值业务部。(2)应用于移动、联通等移动运营商的3G网络接入,为3G网络 拒绝服务攻击防御提供可靠的防御工具。
(3)应用于大型企业及大型网络服务商,这些企业通常涉及跨 区域的网络通信及网上业务。
3、华通产品(ChinaComm IDPS100)技术性能
3.1 产品功能特点
3.1.1 流量探测器功能特点
(1)采用双子系统架构。为防止过大流量对系统的冲击造成系 统超载、运行缓慢甚至当机,系统采用独创的双子系统架构。该架构 将入侵检测模块和流量侦测模块分为两个完全独立的系统,通过总 线相连,在互不影响的同时又能够保证信息的共享及功能联动。
(2)采用针对拒绝服务攻击特别优化的入侵检测模块。入侵检 测模块采用中华通信自主研发的针对DDOS 攻击的入侵监测模块。能够对流量进行深层检测。能够发现并抵御多数D o S 攻击、以及蠕 虫、木马等恶意代码,并对流量侦测模块提交的可疑流量进行检测,进一步判断是否为攻击流量。
(3)采用先进的检测算法。流量探测器采用中华通信自主开发 的基于自相似性模型的动态异常流量监测算法,能够在DDOS 攻击 的初始阶段甄别攻击。
3.1.2 流量牵引器功能特点
(1)高速的攻击处理能力。流量牵引器接入运营商骨干网络,系 统能够有效鉴别攻击流量和正常流量,对异常攻击流量进行清洗,有效保证用户正常业务流量的传输。该流量牵引设备支持集群工作 模式,通过集群化部署可以有效地提高系统的处理能力,使系统能 够满足大型ISP网络的需要。
(2)高效的软硬件平台。在硬件方面,流量牵引器采用了嵌入式 系统设计,在系统核心实现拒绝服务攻击的防御算法,并且创造性 地将算法实现在网络协议栈的最底层,完全避免了T C P、U D P 和I P 等高层系统网络堆栈的处理,将整个运算代价大大降低,大大提高 了运算速率。2、主要厂家拒绝服务攻击防御产品介绍
2.1 主流厂家产品简介
2.1.1 JUNIPER NetScreen-5000 系列
Juniper主推一体化模块式解决方案,路由器、业务部署系统(SDX)和入侵检测与防护(IDP)产品结合在一起。
2.1.2 Nokia SC6600 信息安全网关
SC6600安装简易,管理方便。采用包括多重扫毒技术、宏摘除、层次式过滤的复合防护(Statistical ProtectionTM)技术,采用专用 安全操作系统。
2.1.3 CISCO Guard XT
采用分布部署方式,多级检测采用集成式动态过滤和主动核 查、杀手”技术等多种检测技术,支持独特的集群体系结构,多级监 控和报告。
2.1.4 绿盟Defender4000
作为异常流量清洗设备,与监测中心、监控管理中心共同构建 异常流量净化系统。采用了多个并行的专业高性能网络处理器,高 “ 效处理D D O S 攻击,通过集群部署,可以轻松应对1 0 G + 海量拒绝服 务攻击。
2.2 华通产品说明 ・・・・・・下转第167页
165
数字技术
与应用安全技术 统进行传递,分析机子系统在完成数据的筛选和审核工作以后,拦 截并处理掉可疑信息,将正确的信息传达给控制台子系统,以保证 数据的有效传递。信息获取子系统、分析机子系统、控制台子系统三 者间通过特定的数据端口进行数据的传送,所有发送的数据都是进 行了统一的格式换处理的,以固定的格式进行传送。
2.4.4 终端信息的输出
从信息获取子系统,经由分析机子系统,再到控制子系统这一 系列的信息传递过程中,不仅完成了数据的过滤、筛选、核实、拦截 和传递,还对具有威胁性的数据进行了报警,切断了可疑数据的进 一步传递通道,最终准确无误地把需要的信息完整的从指定端口传 出,完成了整个SQL Server数据库的信息传递。但即使是这样,也 不能完全保证数据输出的绝对正确,还需要通过在输出端口进行再 次地过滤、筛选、核实与拦截等安全监控系统的安全监控措施,才能 更好的保证输出的信息的可靠性和安全性。
现代的通信技术迅猛发展,为计算机网络的智能化提供了新的 环境与新的机遇,但与此同时也带来了新的问题,如何有效地维护 信息的安全与完整,已经成为社会关注的热点。本文着重对如何实 现S Q L S e r v e r数据库安全监控系统提出一些见解,阐述了S Q L Server数据库安全监控系统是如何构建、如何运作的,希望能够为 数据库的安全维护起到一些作用。参考文献
[1]张颖.关于 SQL Server 数据库安全监控系统的设计的探讨[J].数 字技术与应用,2011.(11).
[2]李殿勋.浅谈 SQL Server 数据库安全监控系统结构和工作原理 [J].科技信息,2011.(24).
[3]马慧.基于 SQL Server 数据库安全监控系统的研究[J].微计算机 信息,2009.(18). 以在寻得攻击模式或其他的违反规则的活动时发出控制台子系统
警告、记录攻击事件的数据、适时阻断网络的连接,还可以根据不同 的需要对系统进行相应的拓展,联动防火墙等其他的安全设备。信 息获取子系统、分析机子系统子系统、控制台子系统三者之间相互 配合完成整个工作过程:
2.4.1 实现主机报警
当程序启动后,其所在的主机数据库的安全监控也将启动,信 息获取获得与数据库操作的相关数据(数据库主机的名称、操作的 SQL 语言、登陆的用户名、用户登录密码、当前的系统用户、操作的 结果等)后,将所得信息格式化并传送到分析机子系统。分析机子系 统通过自带的信息安全规则对所收到的信息进行分析、核实与筛 选,从中分离出对数据库有威胁的操作信息并向控制台子系统发 出警告。控制台子系统在收到警告信息后,由管理员对攻击源的IP 地址发出进行阻断的命令,并由分析机子系统传达给探头的部分,再由探头所在主机系统调动自带的API实现对指定IP 地址试行拦 截的操作命令,从而避免了被侵犯的可能,实现对数据库的安全性 的保护。
2.4.2 命令的有效下达
处于数据库最上层的控制台子系统对分析机子系统与信息获 取子系统进行控制、维护更新,并经由查询以获得它们的运行状态 的信息。命令从控制台子系统发出以后迅速传达至分析机子系统或 信息获取部分,然后由它们的相应模块响应指令,以实现命令的完 成。控制台子系统下达的所有命令都将通过特定窗口进行传达,并 且分析机子系统与信息获取部分接受命令与完成命令以后的反馈 信息也是经由同一端口进行传递的。
2.4.3 数据的传递
从信息获取子系统获取的相关的信息数据,在经过二次筛选过 滤后实现数据的完整性,然后根据数据的内容向相应的分析机子系
・・・・・・上接第165页
3.2 产品技术创新
3.2.1 实现基于自相似性模型的动态异常流量监测
自相似性(self-similarity)是指一个随机过程在各个时间规模 上具有相同的统计特性。系统在进入防护D D O S 攻击之前,要对网 络中正常的流量进行相应的记录,用以检测攻击的存在,尤其对 DDOS攻击所利用的报文进行检测和分析。系统分别对各个协议的 流量(或连接数)最大的IP地址(源IP和目的IP)的流量(或连接数)进行记录。而通常不同时间段网络流量也相差很大,简单的计算平均流量无法做快速可靠地发现攻击。因此需要按照时间段的不同对 流量生成表项。通过大量测试分析在表项细度和系统性能之间找到 一个平衡点。
3.2.2 扫描检测算法
扫描检测模块采用一个基于贝叶斯网络进行TCP 包头异常分 析的扫描检测方法(P S D B)。贝叶斯网络模块学习T C P 报文到达每 个目的主机和相应目的端口的概率。PSDB 使用贝叶斯网络来学习保存被检测子网内主机端口的概率分布。然后概率异常检测操作依 据TCP Flag和报文到达的概率计算每个报文的异常度,并针对个 别协议本身的特点对异常值计算进行修正,将判别为异常报文的信 息发送到分析模块。
随着我国信息化的快速发展,各行业对提高整体信息系统的安 全防护水平和保障能力提出了更高的要求,对信息安全技术和产品 的需求越来越大。基于ISP网络的拒绝服务攻击防御系统产品的投 放市场,能够填补运营商急需使用高效、成熟D D O S 防御产品的需 求空间;可以极大地提高电信运营商、I S P、政府的整体网络D D O S 防御能力本文来源于http://taobaoxuexi.sinaapp.com/(ddos攻击器)。
系统创新的技术实现模式可以为用户提供更优化的D D O S 防 御解决方案,通过建设更安全的D D O S 防御系统,用户可有效降低 大规模DDOS 类攻击所带来的社会和经济风险,为我国经济高速发 展提供安全的网络环境。参考文献
[1]李德全《拒绝服务攻击》.北京:电子工业出版社,2007 年 1 月. [ 2 ] 阳莉《电信网络分析与设计》.西安: 西安电子科技大学出版,. 2008 年 1 月.
[3]郝永清《网络安全攻防实用技术深度案例分析》.北京:科学出 版社,2010 年 1 月.
[4] 加拿大.克劳斯《网络安全保护》.北京:科学出版社,2009 年 3 月.
[ 5 ] 孙玉《电信网络安全总体防卫讨论》.北京: 人民邮电出版社,. 2008 年 8 月.
[6]Steve Manzuik《网络安全评估:从漏洞到补丁》.北京:科学 出版社,2009 年 1 月.
[7]王秀利《网络拥塞控制及拒绝服务攻击防范》.北京:北京邮电 大学出版社,2009 年 6 月.
[ 8 ] 王梦龙《网络信息安全原理与技术》.北京: 中国铁道出版社,. 2009 年 11 月. 3.3 产品应用
本产品通常布置于运营商网络中高带宽节点,如核心交换机等
高速转发设备,通常采用网关接入模式或路接入模式。在大型网络 应用时,可采用牵引器集群工作方式,可通过部署牵引器集群增强 系统处理能力及可靠性。
4、结语
167
第二篇:安全案例:电信骨干网DDoS攻击防护解决方案
近年来,电信数据业务迎来飞速发展,作为经济大省,某省近年来电信数据业务发展迅速,宽带数据业务用户快速增长。然而,伴随着用户数量的增长,电信网络安全问题也频繁发生,其中DDoS攻击情况尤为严重。
该省电信运营商对2006年7月到12月的网络安全事件统计后发现,几个经常受到网络攻击的地市,每月平均受到的网络攻击多达10次以上,2006年9月,某地市IDC受到严重DDoS攻击,攻击流量达到22G,造成城域网、IDC全阻15分钟,对业务造成严重的影响。尝试了多种解决办法,仍然无法从根本上解决问题。
在这种情况下,该省电信迫切需要引入专业安全合作伙伴,建立一整套抵御DDoS流量攻击的系统。为此,省电信研究院对众多安全厂家的异常流量过滤设备进行了评测对比,联想网御的异常流量过滤设备在众多厂家比拼中脱颖而出,性能和功能卓越。同时,联想网御异常流量管理系统在多个省市电信行业的成功应用也获得信息化主管领导的认可,经过多次深入的技术交流,该省电信最终确定了联想网御作为抵御DDoS流量攻击系统建设的合作伙伴。
结合该省电信的安全需求和现网建设情况,充分考虑宽带互联网络高带宽、大流量、要求可靠性高的网络特点,联想网御的技术专家为电信运营商量身定制了异常流量清洗方案:结合电信IDC客户遭受的DDoS攻击情况和僵尸网络发动攻击的特点,技术专家分析认为攻击流量主要来自国外和国内其他运营商网络,另有少部分来自省网内部。因此,系统建设先期在省干出口位置集中式部署,重点防范经由省干入口向地市城域网的攻击。考虑到省干出口链路带宽大,网络位置十分关键。联想网御又为用户设计、采取了目标保护策略——根据需要可以灵活地定义要保护的目标IP地址或者目标IP网段,进行重点检测分析和过滤攻击流量,实现了较强的针对性,同时有效节省了建设投资,同时,根据该省电信用户的网络使用特点,设计采用了8台设备集群旁路部署方式(如图所示),大流量攻击处理能力达到16G,轻松满足了15G大流量攻击处理能力的设计要求,避免了改变正常网络流量的网络路径,同时保证了网络的高可靠性。
某省电信运营商骨干网联想网御异常流量管理系统应用方案
联想网御在用户网络中同时部署流量检测分析设备和异常流量过滤系统,组成一套完整的异常流量管理系统。由流量检测分析设备(Leadsec-Detector)进行采样分析,对流经骨干网的数据流进行分析、统计、报警,确定受攻击的目标IP范围;由异常流量过滤系统(Leadsec-Guard)来牵引到达目标IP的网络流量,过滤攻击流量后将正常流量回注到网络中,通过两者的无缝配合,完成了网络攻击的分析、识别,以及自动清理。
LeadSec-Guard还可支持虚拟化,将单台设备或者集群组虚拟为多个逻辑异常流量过滤系统。因此,系统管理员可以为每个逻辑系统分配相应的管理员进行策略配置、安全审计等独立操作。这将有力地支撑宽带网络运营商拓展安全增值服务,推动安全运营。同时,系统中还配置了Leadsec-Manager管理系统,在实现集中设备配置和管理的同时,提供丰富的报表功能,全面帮助管理员深入掌控网络安全运行情况。
项目完成后,该省干出口链路中异常流量所占用带宽降至总拥有带宽的5%以下,网络安全事件发生概率大大降低,轻了异常流量对该省电信省干网络平台造成的压力,提升了带宽利用率,为IDC、网吧等宽带业务大客户提供了一条安全、畅通的互联网链路,提升了品牌价值,为该省电信创造了竞争优势。
第三篇:网络信息安全的攻击与防护
目录
一网络攻击技术.....................................................错误!未定义书签。1.背景介绍...............................................................错误!未定义书签。2.常见的网络攻击技术..........................................错误!未定义书签。1.网络监听.........................................................错误!未定义书签。2.拒绝服务攻击...................................................................................2 3.缓冲区溢出.......................................................................................3
二、网络防御技术................................................................................4 1.常见的网络防御技术..........................................................................4 1.防火墙技术.......................................................................................4 2.访问控制技术...................................................................................4
三、总结...............................................................5错误!未定义书签。一.生活中黑客常用的攻击技术
黑客攻击其实质就是指利用被攻击方信息系统自身存在安全漏洞,通过使用网络命令和专用软件进入对方网络系统的攻击。目前总结出黑客网络攻击的类型主要有以下几种:
1.对应用层攻击。
应用层攻击能够使用多种不同的方法来实现,最常见的方法是使用服务器上通常可找到的应用软件(如SQL Server、PostScript和FTP)缺陷,通过使用这些缺陷,攻击者能够获得计算机的访问权,以及在该计算机上运行相应应用程序所需账户的许可权。
应用层攻击的一种最新形式是使用许多公开化的新技术,如HTML规范、Web浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序,包括Java applet和Active X控件等,并通过用户的浏览器调用它们,很容易达到入侵、攻击的目的。
2.拒绝服务攻击
拒绝服务(Denial of Service, DoS)攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单,但又很有效的进攻方式。它的目的就是拒绝服务访问,破坏组织的正常运行,最终使网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。
攻击的基本过程如下:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。由于地址是伪造的,所以服务器一直等不到回传的消息,然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。
被DDoS攻击时出现的现象主要有如下几种。被攻击主机上有大量等待的TCP连接。网络中充斥着大量的无用的数据包,源地址为假。制造高流量无 用数据,造成网络拥塞,使受害主机无法正常和外界通信。利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。严重时会造成系统死机。要避免系统遭受Do S攻击,网络管理员要积极谨慎地维护整个系统,确保无安全隐患和漏洞,而针对更加恶意的攻击方式则需要安装防火墙等安全设备过滤DOS攻击,同时建议网络管理员定期查看安全设备的日志,及时发现对系统构成安全威胁的行为。
3.缓冲区溢出
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令。如果这些指令是放在有Root权限的内存中,那么一旦这些指令得到了运行,黑客就以Root权限控制了系统,达到入侵的目的;缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。
缓冲区溢出的一般攻击步骤为:在程序的地址空间里安排适当的代码——通过适当的地址初始化寄存器和存储器,让程序跳到黑客安排的地址空间中执行。缓冲区溢出对系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点。必须及时发现缓冲区溢出这类漏洞:在一个系统中,比如UNIX操作系统,这类漏洞是非常多的,系统管理员应经常和系统供应商联系,及时对系统升级以堵塞缓冲区溢出漏洞。程序指针完整性检查:在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。数组边界检查:所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所有的数组操作,通常可以采用一些优化的技术来减少检查的次数。目前主要有以下的几种检查方法:Compaq C编译器、Purify存储器存取检查等。
二. 生活中常见的网络防御技术
1.常见的网络防御技术
1.防火墙技术 网络安全中使用最广泛的技术就是防火墙技术,对于其网络用户来说,如果决定使用防火墙,那么首先需要由专家领导和网络系统管理员共同设定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本馆的安全策略,对外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。该技术主要完成以下具体任务:
通过源地址过滤,拒绝外部非法IP地址,有效的避免了与本馆信息服务无关的外部网络主机越权访问;防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降到最低限度,使黑客无机可乘;同样,防火墙可以制定访问策略,只有被授权的外部主机才可以访问内部网络上的有限IP地址,从而保证外部网络只能访问内部网络中的必要资源,使得与本馆信息服务无关的操作将被拒绝;由于外部网络对内部网络的所有访问都要经过防火墙,所以防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为。
防火墙可以进行地址转换工作,使外部网络用户不能看到内部网络的结构,使黑客失去攻击目标。
虽然防火墙技术是在内部网与外部网之间实施安全防范的最佳选择,但也存在一定的局限性:不能完全防范外部刻意的人为攻击;不能防范内部用户攻击;不能防止内部用户因误操作而造成口令失密受到的攻击;很难防止病毒或者受病毒感染的文件的传输。
2.访问控制技术
访问控制是网络安全防范和保护的主要技术,它的主要任务是保证网络资源不被非法使用和非法访问。
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合。
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限、存取控制权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
三.总结
计算机网络技术的日新月异,为现代人的生活提供了很大的方便。但网络安全威胁依然存在,网上经常报道一些明星的照片泄露,12306账号和密码泄露,一些邮箱的密码泄露,以及经常发生的QQ号被盗等等……这些都会给我们的生活带来麻烦,甚至让我们付出经济代价。因此现在人们对于网络安全的认识也越来越重视,在整体概念上了解黑客的攻击技术和常用工具方法,对于我们防范黑客攻击提供了基本的知识储备。而具体到平时的学习工作中,我们应该养成良好的上网习惯和培养良好的网络安全意识,在平时的工作中应该注意,不要运行陌生人发过来的不明文件,即使是非可执行文件,也要十分小心,不要在不安全的网站上登录一些重要账号,或者不要在网站上记录账号密码。以免造成密码泄露。只要我们在平时上网时多注意,就可以有效地防范网络攻击。
此外,经常使用杀毒软件扫描,及时发现木马的存在。我们应该时刻警惕黑客的网络攻击,从自我做起,构建起网络安全坚实防线,尽可能让网络黑客无孔可入。
第四篇:网络环境下
以网络的名义
――浅谈网络环境下的教学设计
摘要:
当今世界,个体的学习能力已成为一项最基本的生存能力。随着信息时代的降临,多媒体和网络技术的迅猛发展,人们的生存方式和学习方式正在经历着一场历史性的巨大变革。联合国教科文组织向国际21世纪教育委员会提出的经典报告《学习---内在的财富》。该报告指出:21世纪的教育应围绕四种学习加以安排,即学会求知(学习)(learn to know)----掌握认识世界的工具;学会做事(learn to do)---学会在一定的环境中工作;学会共处(learn to go together)---培养在人类活动中的参与和合作精神;学会做人(learn to be)---以适应和改变自己的环境。以雅克·德洛尔任主席的国际21世纪教育委员会认为,这四种学习既是21世纪教育的四大支柱,也是每个人一生中的知识支柱。而网络环境下的学习,需在一定的环境中开展,需和学习同伴结成伙伴关系合作共事,可见,开展在网络环境下的学习活动有助于以上几种能力的培养和提高。[1] 关键词:网络教学 教学设计
教育要面向现代化,首先应该是教育思想的现代化。那么,网络教育作为现代教育模式的一种手段,应该是有利于学生主动参与自主学习。有利于揭示教学内容的实质,有利于教师与学生、学生与生之间的相互交流协作学习,有利于学生思维和技能的训练,有利于创新能力的培养等。[2]
1.教学内容的变化。网络教学丰富了书本中原有的知识。多媒体技术的运用将过去静态的、二维的教材转变为由声音、文字、图像构成的动态的。网络教学的运用,又将教学内容从书本扩展到社会的方方面面。这样,丰富和扩展了书本的知识,学生在规定的教学时间内可以学得更多、更快、更好。例如,在网络课《珍稀动物》[3]的教学设计。专题网页所呈现的珍稀动物不仅仅局限于书中所介绍的大熊猫、白暨豚、金丝猴三种,而且对于这三种珍稀动物的介绍的内容远远多于书本中所介绍的。教师的设计中,又增加了江浙地区所熟悉的一些珍稀动物,扬子鳄、丹顶鹤。教师的设计是颇具匠心的,书本中的珍稀动物尽管耳熟能详,但是真正能见到的不多。教师增加江浙地区能见到的珍稀动物,大大提高了学生对保护珍稀动物的认同感。
2.教学过程的变化。网络教学中,教学过程由传统的知识归纳、逻辑演绎式的讲解式教学过程转变为创设情境、协作学习、自主学习、讨论学习等新的教学过程。在小学六年级的音乐网络课《秋诗、秋画、秋乐》[4]中,教师设计一个环节,分别展示4段音乐,8幅图片。让学生自己选择,哪四张和前面四段音乐相符合图片吗?。这在传统的教学中是不能实现,也无法想像的。
3.学生学习方式的变化。在网络教学中,学生自己利用搜索引擎(BAIDU、GOOGLE„„)来学习。去搜索所需要的知识是大量被采用的学习方式。学生由被动地接受知识,转变为主动地学习知识,通过信息技术,利用各种学习资源,去主动建构知识。学生不仅要学习知识,还要掌握“如何学”的能力。学生必须有独立学习能力、创造能力、创新能力、自主学习能力、自我管理能力、协作能力、协调能力等。学生将成为知识的探索者和学习过程中真正的认知主体。
4.教师角色的变化。教师由传统的知识讲解者、传递者、灌输者变成了学生学习的指导者、帮助者、促进者。在网络教学环境中,教师不再是唯一的知识源,教师不能再把传递知识作为自己的主要任务和目的,而是要把精力放在如何教学生“学”的方法上,为建构学生的知识体系创设有利的情境,使学生“学会学习”。指导学生懂得“从哪里”和“怎么样”获取自己所需要的知识,掌握获得知识的工具和根据认识的需要处理信息的方法。
但是基于网络的教学设计,要真正体现现代教育思想 也不是轻而易举的事情,这需要我们根据新的教学与学习理论,比较传统教育与现代教育中的教学模式,了解现代教育技术的特点与优势。基于网络环境下的教学资源具有信息资源开放、跨越时空限制、传递系统是多媒体的、传播媒介可多向交流等特点,这就决定了网络环境下的学习过程的开放性、全球性、可交流性,学习者对学习内容选择的自主性和个例化,内容形式的多媒体化等。网络环境下的教学真正达到了因材施教、发展个性的目的,学生是按照自己的认知水平来学习和提高的,学习是学生主动参与完成的,这种学习使学生获得的不仅仅是知识,还有自己主动建构知识及意义的能力,这正是传统教学所不能比拟的,基于Web的教学设计具有超链接功能,可以使学生用多种方式探索同一专题,有利于实现认知的灵活性,同时给予了学生较大的自由度,学习者可以完全控制自己的学习,可以任意选择学习内容、学习方式以及各种工具,最大程度地支持了学生的主动学习,实现了真正的个别化学习。
网络环境下的教学能够综合各个学科内在知识体系,必须要有跨学科的知识与能力,这就调动了学生纵向与横向学科学习的兴趣,使学生开阔了眼界。扩大了知识面,这对于开发人力资源很有益处,这也是传统教学所不能比拟的。多媒体和网络技术增添了动态演示性的内容,增强了交互性。使得学生“不仅仅通过接收信息而学习。还可以通过资料的展示过程以及交互加深理解。在学习过程中,学生与学生、学生与教师之间 适当的交流通常可以达到事半功倍的学习效果,因此,交互性便成为学生有效学习过程中的一个重要组成部分。基于wed的教学设计中,可以充分利用在线讨论、在线答疑等实时交互,照顾个别学生的需要,增强学生学习兴趣,同时使学习者可以协作学习。
传统教学设计采用自下而上的设计方法,即教学是从基本子概念、子技能的学习出发,逐级向上,逐渐学习到高级的知识技能。因而进行教学设计时,首先要进行任务分析,逐级找到应该提前掌握的知识,而后分析学习者既有的水平,确定合适的起点、设计出向学习者传递知识的方案。建构主义的教学设计是采用自上而下的设计路线,即首先呈现整体性的任务,让学习者尝试解决问题,在此过程中,学习者要自己发现完成整体任务所需首先完成的子任务,以及完成各级任务所需的各级知识技能,基于wed 测览方式的超链接,很容易实现自上而下的教学设计。
在教学设计中教学目标与学习目标的区别也是容易被忽略的问题,教学目标代表教师期望学习者在学习环境中掌握的知识,学习目标则是学习者在自主学习过程中自定的目标。传统的教育中主要关心预定教学目标,而现代教育的设计思想认为学习者目标是第一位的。因此,基于Web 的学习环境的设计较灵活,能够支持和帮助学习者达到他们的学习目标。
在设计时,可以采用有指导路径的方法引导学习者,有指导不等于强制,仍然要给学习者留有自由选择的空间,由学习者自己生成学习目标的内容,即允许学习者自己控制学习路径,而不需要设计者预先确定学习路径,系统必须提供适当的学习资源、认知工具和相应策略的支持,在学习者需要帮助的时候可以通过某种策略影响学习者决策,如通过合作学习策略等。
现代教育思想、教学模式等,使教师和学生的地位与传统教学相比发生了很大改变。因为教学不再是单纯的知识传授与灌输。教师的角色主要是教学信息资源的设计者、学生学习促进者,教师从前台走到了后台。教师的地位受到了挑战,但是教师在教学当中不可能被计算机或计算机网络所取代,相反教师在这种模式下的重要性更大了,计算机只是一种信息加工和呈现的工具,教师惟一选择是需要不断地更新知识和扩大知识面,教学组织者需要跨学科的知识结构,需要教师的群体协作。网络化的教学设计需要解决的重大课题是如何制作教学课件、如何把它们组织成为符合教学要求的教学资源形式。
计算机及网络固然是先进的工具,但是任何一个工具如果使用得当,都可以成为认知工具,判断一个工具是否成为认知工具的惟一标准是看这个工具是否能帮助学习者完成认知操作、促进学习者进行思考,因而建构工具的设计关键仅在于工具种类的选择,更重要的是工具使用方式的设计。
总之,网络教学可以培养学生的自我建构能力,来自各方面的不同的知识和信息往往集中在一起;学生需要通过对这些知识和信息的整合,发现和获得其中的价值和意义,并进行新的意义建构,网络教学可以培养学生获取信息和选择信息的能力,而这恰恰是信息社会中非常重要的知识和技能,网络教学可以培养学生的网络能力,在现代社会中网络是一种现实的生存空间,学生要想学会生存,就应该包括学会在网络空间中生存,因此,网络能力也就意味着现实生活的能力,但是最主要的是网络教学设计要适当。
参考文献:
[1]http://61.144.60.222:8080/0518/jxms1/pages/p1-4.htm 网络环境下协作学习活动的设计
[2] 网络对教学模式的冲击——谈基于网络的教学设计 北京四中 钱晓菁
[3]专题网页http://dw.zslxx.net 此课曾获江苏省信息技术与课程整合一等奖。[4]此网页在http://www.zslxx.net 中山路小学瑞博网络平台上
第五篇:网络攻击技术与攻击工具六大趋势
最近几年,网络攻击技术和攻击工具有了新的发展趋势,使借助Internet运行业务的机构面临着前所未有的风险,本文将对网络攻击的新动向进行分析,使读者能够认识、评估,并减小这些风险。
趋势一:自动化程度和攻击速度提高
攻击工具的自动化水平不断提高。自动攻击一般涉及四个阶段,在每个阶段都出现了新变化。扫描可能的受害者。自1997年起,广泛的扫描变见惯。目前,扫描工具利用更先进的扫描模式来改善扫描效果和提高扫描速度。损害脆弱的系统。以前,安全漏洞只在广泛的扫描完成后才被加以利用。而现在攻击工具利用这些安全漏洞作为扫描活动的一部分,从而加快了攻击的传播速度。传播攻击。在2000年之前,攻击工具需要人来发动新一轮攻击。目前,攻击工具可以自己发动新一轮攻击。像红色代码和尼姆达这类工具能够自我传播,在不到18个小时内就达到全球饱和点。攻击工具的协调管理。随着分布式攻击工具的出现,攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。目前,分布式攻击工具能够更有效地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。
趋势二:攻击工具越来越复杂
攻击工具开发者正在利用更先进的技术武装攻击工具。与以前相比,攻击工具的特征更难发现,更难利用特征进行检测。攻击工具具有三个特点:反侦破,攻击者采用隐蔽攻击工具特性的技术,这使安全专家分析新攻击工具和了解新攻击行为所耗费的时间增多;动态行为,早期的攻击工具是以单一确定的顺序执行攻击步骤,今天的自动攻击工具可以根据随机选择、预先定义的决策路径或通过入侵者直接管理,来变化它们的模式和行为;攻击工具的成熟性,与早期的攻击工具不同,目前攻击工具可以通过升级或更换工具的一部分迅速变化,发动迅速变化的攻击,且在每一次攻击中会出现多种不同形态的攻击工具。
此外,攻击工具越来越普遍地被开发为可在多种操作系统平台上执行。许多常见攻击工具使用IRC或HTTP(超文本传输协议)等协议,从入侵者那里向受攻击的计算机发送数据或命令,使得人们将攻击特性与正常、合法的网络传输流区别开变得越来越困难。
趋势三:发现安全漏洞越来越快
新发现的安全漏洞每年都要增加一倍,管理人员不断用最新的补丁修补这些漏洞,而且每年都会发现安全漏洞的新类型。入侵者经常能够在厂商修补这些漏洞前发现攻击目标。
趋势四:防火墙渗透率越来越高
防火墙是人们用来防范入侵者的主要保护措施。但是越来越多的攻击技术可以绕过防火墙,例如,IPP(Internet打印协议)和WebDAV(基于Web的分布式创作与翻译)都可以被攻击者利用来绕过防火墙。
趋势五:威胁越来越不对称
Internet上的安全是相互依赖的。每个Internet系统遭受攻击的可能性取决于连接到
全球Internet上其他系统的安全状态。由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高,威胁的将继续增加。
趋势六:对基础设施将形成的威胁越来越大
基础设施攻击是大面积影响Internet关键组成部分的攻击。由于用户越来越多地依赖Internet完成日常业务,基础设施攻击引起人们越来越大的担心。基础设施面临分布式拒绝服务攻击、蠕虫病毒、对Internet域名系统(DNS)的攻击和对路由器攻击或利用路由器的攻击。
拒绝服务攻击利用多个系统攻击一个或多个受害系统,使受攻击系统拒绝向其合法用户提供服务。攻击工具的自动化程度使得一个攻击者可以安装他们的工具并控制几万个受损害的系统发动攻击。入侵者经常搜索已知包含大量具有高速连接的易受攻击系统的地址块,电缆调制解调器、DSL和大学地址块越来越成为计划安装攻击工具的入侵者的目标。由于Internet是由有限而可消耗的资源组成,并且Internet的安全性是高度相互依赖的,因此拒绝服务攻击十分有效。
蠕虫病毒是一种自我繁殖的恶意代码。与需要用户做某种事才能继续繁殖的病毒不同,蠕虫病毒可以自我繁殖。再加上它们可以利用大量安全漏洞,会使大量的系统在几个小时内受到攻击。一些蠕虫病毒包括内置的拒绝服务攻击载荷或Web站点损毁载荷,另一些蠕虫病毒则具有动态配置功能。但是,这些蠕虫病毒的最大影响力是,由于它们传播时生成海量的扫描传输流,它们的传播实际上在Internet上生成了拒绝攻击,造成大量间接的破坏(这样的例子包括:DSL路由器瘫痪;并非扫描本身造成的而是扫描引发的基础网络管理(ARP)传输流激增造成的电缆调制解制器ISP网络全面超载)。
DNS是一种将名字翻译为数字IP地址的分布式分级全球目录。这种目录结构最上面的两层对于Internet运行至关重要。在顶层中有13个“根”名服务器。下一层为顶级域名(TLD)服务器,这些服务器负责管理“.com”、“.net”等域名以及国家代码顶级域名。DNS面临的威胁包括:缓存区中毒,如果使DNS缓存伪造信息的话,攻击者可以改变发向合法站点的传输流方向,使它传送到攻击者控制的站点上;破坏数据,攻击者攻击脆弱的DNS服务器,获得修改提供给用户的数据的能力;拒绝服务,对某些TLD域名服务器的大规模拒绝服务攻击会造成Internet速度普遍下降或停止运行;域劫持,通过利用客户升级自己的域注册信息所使用的不安全机制,攻击者可以接管域注册过程来控制合法的域。
路由器是一种指挥Internet上传输流方向的专用计算机。路由器面临的威胁有:将路由器作为攻击平台,入侵者利用不安全的路由器作为生成对其他站点的扫描或侦察的平台;拒绝服务,尽管路由器在设计上可以传送大量的传输流,但是它常常不能处理传送给它的同样数量的传输流,入侵者利用这种特性攻击连接到网络上的路由器,而不是直接攻击网络上的系统;利用路由器之间的信赖关系,路由器若要完成任务,就必须知道向哪里发送接收到的传输流,路由器通过共享它们之间的路由信息来做到这点,而这要求路由器信赖其收到的来自其他路由器的信息,因此攻击者可以比较容易地修改、删除全球Internet路由表或将路由输入到全球Internet路由表中,将发送到一个网络的传输流改向传送到另一个网络,从而造成对两个网络的拒绝服务攻击。尽管路由器保护技术早已可供广泛使用,但是许多用户没有利用
路由器提供的加密和认证特性来保护自己的安全。
点击咨询 