第一篇：淺談電信網(wǎng)絡(luò)環(huán)境下的DDOS攻擊防護(hù)技術(shù)

數(shù)字技術(shù)

與應(yīng)用安全技術(shù)

淺談電信網(wǎng)絡(luò)環(huán)境下的 ＤＤＯＳ 攻擊防護(hù)技術(shù)

劉智宏 李宏昌 李東垣

（中華通信系統(tǒng)有限責(zé)任公司

北京

１０００７０）

摘要：近年來(lái)，隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展及廣泛普及，網(wǎng)絡(luò)安全問題面臨的形勢(shì)愈加嚴(yán)重，網(wǎng)絡(luò)攻擊防護(hù)越來(lái)越受人們的重視，而電信運(yùn)

營(yíng)商網(wǎng)絡(luò)幾乎成為拒絕服務(wù)攻擊（ＤＤＯＳ）的首選攻擊對(duì)象。本文主要以中華通信系統(tǒng)研發(fā)的基于ＩＳＰ網(wǎng)絡(luò)的拒絕服務(wù)攻擊防御系統(tǒng)為例簡(jiǎn)要分 析ＤＤＯＳ攻擊以及在電信網(wǎng)絡(luò)環(huán)境下的ＤＤＯＳ攻擊防護(hù)技術(shù)。

關(guān)鍵詞：ＤＤＯＳ 攻擊

安全

防范 中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416(2012)07-0165-02

１、ＤＤＯＳ 攻擊現(xiàn)狀分析

１．１ 運(yùn)營(yíng)商網(wǎng)絡(luò)面臨的 ＤＤＯＳ 攻擊威脅

當(dāng)前，運(yùn)營(yíng)商骨干網(wǎng)和各地市城域網(wǎng)，寬帶用戶多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù) 雜、業(yè)務(wù)流量大，ＤＤＯＳ攻擊導(dǎo)致的網(wǎng)絡(luò)安全問題時(shí)有發(fā)生，導(dǎo)致ＩＰ 網(wǎng)絡(luò)整體服務(wù)質(zhì)量下降，已經(jīng)嚴(yán)重威脅到運(yùn)營(yíng)商Ｉ Ｐ 網(wǎng)絡(luò)的正常業(yè) 務(wù)；當(dāng)３Ｇ 商用，智能化終端和寬帶化３Ｇ網(wǎng)絡(luò)與互聯(lián)網(wǎng)接軌，無(wú)線網(wǎng) 絡(luò)也將面對(duì)諸多互聯(lián)網(wǎng)安全問題，這將會(huì)使缺乏固網(wǎng)ＤＤＯＳ 防范經(jīng) 驗(yàn)的電信運(yùn)營(yíng)商面臨巨大挑戰(zhàn)。

中華通信系統(tǒng)有限責(zé)任公司研發(fā)的基于ＩＳＰ網(wǎng)絡(luò)的分布式拒絕 服務(wù)攻擊防御系統(tǒng)（ＣｈｉｎａＣｏｍｍ ＩＤＰＳ１００）為軟硬件結(jié)合產(chǎn)品，產(chǎn) 品包括流量檢測(cè)組件和流量牽引清洗組件，根據(jù)ＩＳＰ網(wǎng)絡(luò)應(yīng)用需求 和網(wǎng)絡(luò)規(guī)模，系統(tǒng)可部署為流量檢測(cè)設(shè)備或檢測(cè)清洗一體化設(shè)備。產(chǎn)品能夠?qū)崿F(xiàn)電信級(jí)ＩＳＰ網(wǎng)絡(luò)的流量采集和流量分析，具有ＩＳＰ網(wǎng)絡(luò) 異常流量與拒絕服務(wù)攻擊檢測(cè)告警、網(wǎng)絡(luò)異常流量與拒絕服務(wù)攻擊 流量牽引、清洗防御、各類流量報(bào)表、系統(tǒng)安全日志審計(jì)、系統(tǒng)安全 管理控制等主要的功能。本產(chǎn)品屬于分布式設(shè)計(jì)模式，即系統(tǒng)是由 探測(cè)器設(shè)備和流量牽引設(shè)備共同組成的防御系統(tǒng)。系統(tǒng)的流量探測(cè) 器在旁路方式外還提供串聯(lián)接入方式，具備入侵檢測(cè)、防火墻、流量 監(jiān)控功能，流量牽引設(shè)備支持集群工作方式。１．２ 電信運(yùn)營(yíng)商對(duì) ＤＤＯＳ 攻擊防護(hù)需求

目前各大電信運(yùn)營(yíng)商只部署有過濾垃圾短信這種傳統(tǒng)無(wú)線業(yè) 務(wù)的網(wǎng)關(guān)設(shè)備，尚未對(duì)３ Ｇ 移動(dòng)互聯(lián)網(wǎng)的到來(lái)做好骨干流量和城域 網(wǎng)流量管控、清洗方面的準(zhǔn)備，運(yùn)營(yíng)商急需使用高效、成熟ＤＤＯＳ防 御產(chǎn)品，能夠?qū)崿F(xiàn)對(duì)ＤＤＯＳ 攻擊安全防護(hù)的高端網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng) 需求空間巨大，主要表現(xiàn)在如下方面：

（１）應(yīng)用于全國(guó)各省、市級(jí)電信運(yùn)營(yíng)商ＩＤＣ、增值業(yè)務(wù)部。（２）應(yīng)用于移動(dòng)、聯(lián)通等移動(dòng)運(yùn)營(yíng)商的３Ｇ網(wǎng)絡(luò)接入，為３Ｇ網(wǎng)絡(luò) 拒絕服務(wù)攻擊防御提供可靠的防御工具。

（３）應(yīng)用于大型企業(yè)及大型網(wǎng)絡(luò)服務(wù)商，這些企業(yè)通常涉及跨 區(qū)域的網(wǎng)絡(luò)通信及網(wǎng)上業(yè)務(wù)。

３、華通產(chǎn)品（ＣｈｉｎａＣｏｍｍ ＩＤＰＳ１００）技術(shù)性能

３．１ 產(chǎn)品功能特點(diǎn)

３．１．１ 流量探測(cè)器功能特點(diǎn)

（１）采用雙子系統(tǒng)架構(gòu)。為防止過大流量對(duì)系統(tǒng)的沖擊造成系 統(tǒng)超載、運(yùn)行緩慢甚至當(dāng)機(jī)，系統(tǒng)采用獨(dú)創(chuàng)的雙子系統(tǒng)架構(gòu)。該架構(gòu) 將入侵檢測(cè)模塊和流量偵測(cè)模塊分為兩個(gè)完全獨(dú)立的系統(tǒng)，通過總 線相連，在互不影響的同時(shí)又能夠保證信息的共享及功能聯(lián)動(dòng)。

（２）采用針對(duì)拒絕服務(wù)攻擊特別優(yōu)化的入侵檢測(cè)模塊。入侵檢 測(cè)模塊采用中華通信自主研發(fā)的針對(duì)ＤＤＯＳ 攻擊的入侵監(jiān)測(cè)模塊。能夠?qū)α髁窟M(jìn)行深層檢測(cè)。能夠發(fā)現(xiàn)并抵御多數(shù)Ｄ ｏ Ｓ 攻擊、以及蠕 蟲、木馬等惡意代碼，并對(duì)流量偵測(cè)模塊提交的可疑流量進(jìn)行檢測(cè)，進(jìn)一步判斷是否為攻擊流量。

（３）采用先進(jìn)的檢測(cè)算法。流量探測(cè)器采用中華通信自主開發(fā) 的基于自相似性模型的動(dòng)態(tài)異常流量監(jiān)測(cè)算法，能夠在ＤＤＯＳ 攻擊 的初始階段甄別攻擊。

３．１．２ 流量牽引器功能特點(diǎn)

（１）高速的攻擊處理能力。流量牽引器接入運(yùn)營(yíng)商骨干網(wǎng)絡(luò)，系 統(tǒng)能夠有效鑒別攻擊流量和正常流量，對(duì)異常攻擊流量進(jìn)行清洗，有效保證用戶正常業(yè)務(wù)流量的傳輸。該流量牽引設(shè)備支持集群工作 模式，通過集群化部署可以有效地提高系統(tǒng)的處理能力，使系統(tǒng)能 夠滿足大型ＩＳＰ網(wǎng)絡(luò)的需要。

（２）高效的軟硬件平臺(tái)。在硬件方面，流量牽引器采用了嵌入式 系統(tǒng)設(shè)計(jì)，在系統(tǒng)核心實(shí)現(xiàn)拒絕服務(wù)攻擊的防御算法，并且創(chuàng)造性 地將算法實(shí)現(xiàn)在網(wǎng)絡(luò)協(xié)議棧的最底層，完全避免了Ｔ Ｃ Ｐ、Ｕ Ｄ Ｐ 和Ｉ Ｐ 等高層系統(tǒng)網(wǎng)絡(luò)堆棧的處理，將整個(gè)運(yùn)算代價(jià)大大降低，大大提高 了運(yùn)算速率。２、主要廠家拒絕服務(wù)攻擊防御產(chǎn)品介紹

２．１ 主流廠家產(chǎn)品簡(jiǎn)介

２．１．１ ＪＵＮＩＰＥＲ ＮｅｔＳｃｒｅｅｎ－５０００ 系列

Ｊｕｎｉｐｅｒ主推一體化模塊式解決方案，路由器、業(yè)務(wù)部署系統(tǒng)（ＳＤＸ）和入侵檢測(cè)與防護(hù)（ＩＤＰ）產(chǎn)品結(jié)合在一起。

２．１．２ Ｎｏｋｉａ ＳＣ６６００ 信息安全網(wǎng)關(guān)

ＳＣ６６００安裝簡(jiǎn)易，管理方便。采用包括多重掃毒技術(shù)、宏摘除、層次式過濾的復(fù)合防護(hù)（Ｓｔａｔｉｓｔｉｃａｌ ＰｒｏｔｅｃｔｉｏｎＴＭ）技術(shù)，采用專用 安全操作系統(tǒng)。

２．１．３ ＣＩＳＣＯ Ｇｕａｒｄ ＸＴ

采用分布部署方式，多級(jí)檢測(cè)采用集成式動(dòng)態(tài)過濾和主動(dòng)核 查、殺手”技術(shù)等多種檢測(cè)技術(shù)，支持獨(dú)特的集群體系結(jié)構(gòu)，多級(jí)監(jiān) 控和報(bào)告。

２．１．４ 綠盟Ｄｅｆｅｎｄｅｒ４０００

作為異常流量清洗設(shè)備，與監(jiān)測(cè)中心、監(jiān)控管理中心共同構(gòu)建 異常流量?jī)艋到y(tǒng)。采用了多個(gè)并行的專業(yè)高性能網(wǎng)絡(luò)處理器，高 “ 效處理Ｄ Ｄ Ｏ Ｓ 攻擊，通過集群部署，可以輕松應(yīng)對(duì)１ ０ Ｇ ＋ 海量拒絕服 務(wù)攻擊。

２．２ 華通產(chǎn)品說明 ??????下轉(zhuǎn)第１６７頁(yè)

165

數(shù)字技術(shù)

與應(yīng)用安全技術(shù) 統(tǒng)進(jìn)行傳遞，分析機(jī)子系統(tǒng)在完成數(shù)據(jù)的篩選和審核工作以后，攔 截并處理掉可疑信息，將正確的信息傳達(dá)給控制臺(tái)子系統(tǒng)，以保證 數(shù)據(jù)的有效傳遞。信息獲取子系統(tǒng)、分析機(jī)子系統(tǒng)、控制臺(tái)子系統(tǒng)三 者間通過特定的數(shù)據(jù)端口進(jìn)行數(shù)據(jù)的傳送，所有發(fā)送的數(shù)據(jù)都是進(jìn) 行了統(tǒng)一的格式換處理的，以固定的格式進(jìn)行傳送。

２．４．４ 終端信息的輸出

從信息獲取子系統(tǒng)，經(jīng)由分析機(jī)子系統(tǒng)，再到控制子系統(tǒng)這一 系列的信息傳遞過程中，不僅完成了數(shù)據(jù)的過濾、篩選、核實(shí)、攔截 和傳遞，還對(duì)具有威脅性的數(shù)據(jù)進(jìn)行了報(bào)警，切斷了可疑數(shù)據(jù)的進(jìn) 一步傳遞通道，最終準(zhǔn)確無(wú)誤地把需要的信息完整的從指定端口傳 出，完成了整個(gè)ＳＱＬ Ｓｅｒｖｅｒ數(shù)據(jù)庫(kù)的信息傳遞。但即使是這樣，也 不能完全保證數(shù)據(jù)輸出的絕對(duì)正確，還需要通過在輸出端口進(jìn)行再 次地過濾、篩選、核實(shí)與攔截等安全監(jiān)控系統(tǒng)的安全監(jiān)控措施，才能 更好的保證輸出的信息的可靠性和安全性。

現(xiàn)代的通信技術(shù)迅猛發(fā)展，為計(jì)算機(jī)網(wǎng)絡(luò)的智能化提供了新的 環(huán)境與新的機(jī)遇，但與此同時(shí)也帶來(lái)了新的問題，如何有效地維護(hù) 信息的安全與完整，已經(jīng)成為社會(huì)關(guān)注的熱點(diǎn)。本文著重對(duì)如何實(shí) 現(xiàn)Ｓ Ｑ Ｌ Ｓ ｅ ｒ ｖ ｅ ｒ數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)提出一些見解，闡述了Ｓ Ｑ Ｌ Ｓｅｒｖｅｒ數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)是如何構(gòu)建、如何運(yùn)作的，希望能夠?yàn)?數(shù)據(jù)庫(kù)的安全維護(hù)起到一些作用。參考文獻(xiàn)

［１］張穎．關(guān)于 ＳＱＬ Ｓｅｒｖｅｒ 數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)的設(shè)計(jì)的探討［Ｊ］．?dāng)?shù) 字技術(shù)與應(yīng)用，２０１１．（１１）．

［２］李殿勛．淺談 ＳＱＬ Ｓｅｒｖｅｒ 數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)結(jié)構(gòu)和工作原理 ［Ｊ］．科技信息，２０１１．（２４）．

［３］馬慧．基于 ＳＱＬ Ｓｅｒｖｅｒ 數(shù)據(jù)庫(kù)安全監(jiān)控系統(tǒng)的研究［Ｊ］．微計(jì)算機(jī) 信息，２００９．（１８）． 以在尋得攻擊模式或其他的違反規(guī)則的活動(dòng)時(shí)發(fā)出控制臺(tái)子系統(tǒng)

警告、記錄攻擊事件的數(shù)據(jù)、適時(shí)阻斷網(wǎng)絡(luò)的連接，還可以根據(jù)不同 的需要對(duì)系統(tǒng)進(jìn)行相應(yīng)的拓展，聯(lián)動(dòng)防火墻等其他的安全設(shè)備。信 息獲取子系統(tǒng)、分析機(jī)子系統(tǒng)子系統(tǒng)、控制臺(tái)子系統(tǒng)三者之間相互 配合完成整個(gè)工作過程：

２．４．１ 實(shí)現(xiàn)主機(jī)報(bào)警

當(dāng)程序啟動(dòng)后，其所在的主機(jī)數(shù)據(jù)庫(kù)的安全監(jiān)控也將啟動(dòng)，信 息獲取獲得與數(shù)據(jù)庫(kù)操作的相關(guān)數(shù)據(jù)（數(shù)據(jù)庫(kù)主機(jī)的名稱、操作的 ＳＱＬ 語(yǔ)言、登陸的用戶名、用戶登錄密碼、當(dāng)前的系統(tǒng)用戶、操作的 結(jié)果等）后，將所得信息格式化并傳送到分析機(jī)子系統(tǒng)。分析機(jī)子系 統(tǒng)通過自帶的信息安全規(guī)則對(duì)所收到的信息進(jìn)行分析、核實(shí)與篩 選，從中分離出對(duì)數(shù)據(jù)庫(kù)有威脅的操作信息并向控制臺(tái)子系統(tǒng)發(fā) 出警告?？刂婆_(tái)子系統(tǒng)在收到警告信息后，由管理員對(duì)攻擊源的ＩＰ 地址發(fā)出進(jìn)行阻斷的命令，并由分析機(jī)子系統(tǒng)傳達(dá)給探頭的部分，再由探頭所在主機(jī)系統(tǒng)調(diào)動(dòng)自帶的ＡＰＩ實(shí)現(xiàn)對(duì)指定ＩＰ 地址試行攔 截的操作命令，從而避免了被侵犯的可能，實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的安全性 的保護(hù)。

２．４．２ 命令的有效下達(dá)

處于數(shù)據(jù)庫(kù)最上層的控制臺(tái)子系統(tǒng)對(duì)分析機(jī)子系統(tǒng)與信息獲 取子系統(tǒng)進(jìn)行控制、維護(hù)更新，并經(jīng)由查詢以獲得它們的運(yùn)行狀態(tài) 的信息。命令從控制臺(tái)子系統(tǒng)發(fā)出以后迅速傳達(dá)至分析機(jī)子系統(tǒng)或 信息獲取部分，然后由它們的相應(yīng)模塊響應(yīng)指令，以實(shí)現(xiàn)命令的完 成。控制臺(tái)子系統(tǒng)下達(dá)的所有命令都將通過特定窗口進(jìn)行傳達(dá)，并 且分析機(jī)子系統(tǒng)與信息獲取部分接受命令與完成命令以后的反饋 信息也是經(jīng)由同一端口進(jìn)行傳遞的。

２．４．３ 數(shù)據(jù)的傳遞

從信息獲取子系統(tǒng)獲取的相關(guān)的信息數(shù)據(jù)，在經(jīng)過二次篩選過 濾后實(shí)現(xiàn)數(shù)據(jù)的完整性，然后根據(jù)數(shù)據(jù)的內(nèi)容向相應(yīng)的分析機(jī)子系

??????上接第１６５頁(yè)

３．２ 產(chǎn)品技術(shù)創(chuàng)新

３．２．１ 實(shí)現(xiàn)基于自相似性模型的動(dòng)態(tài)異常流量監(jiān)測(cè)

自相似性（ｓｅｌｆ－ｓｉｍｉｌａｒｉｔｙ）是指一個(gè)隨機(jī)過程在各個(gè)時(shí)間規(guī)模 上具有相同的統(tǒng)計(jì)特性。系統(tǒng)在進(jìn)入防護(hù)Ｄ Ｄ Ｏ Ｓ 攻擊之前，要對(duì)網(wǎng) 絡(luò)中正常的流量進(jìn)行相應(yīng)的記錄，用以檢測(cè)攻擊的存在，尤其對(duì) ＤＤＯＳ攻擊所利用的報(bào)文進(jìn)行檢測(cè)和分析。系統(tǒng)分別對(duì)各個(gè)協(xié)議的 流量（或連接數(shù)）最大的ＩＰ地址（源ＩＰ和目的ＩＰ）的流量（或連接數(shù)）進(jìn)行記錄。而通常不同時(shí)間段網(wǎng)絡(luò)流量也相差很大，簡(jiǎn)單的計(jì)算平均流量無(wú)法做快速可靠地發(fā)現(xiàn)攻擊。因此需要按照時(shí)間段的不同對(duì) 流量生成表項(xiàng)。通過大量測(cè)試分析在表項(xiàng)細(xì)度和系統(tǒng)性能之間找到 一個(gè)平衡點(diǎn)。

３．２．２ 掃描檢測(cè)算法

掃描檢測(cè)模塊采用一個(gè)基于貝葉斯網(wǎng)絡(luò)進(jìn)行ＴＣＰ 包頭異常分 析的掃描檢測(cè)方法（Ｐ Ｓ Ｄ Ｂ）。貝葉斯網(wǎng)絡(luò)模塊學(xué)習(xí)Ｔ Ｃ Ｐ 報(bào)文到達(dá)每 個(gè)目的主機(jī)和相應(yīng)目的端口的概率。ＰＳＤＢ 使用貝葉斯網(wǎng)絡(luò)來(lái)學(xué)習(xí)保存被檢測(cè)子網(wǎng)內(nèi)主機(jī)端口的概率分布。然后概率異常檢測(cè)操作依 據(jù)ＴＣＰ Ｆｌａｇ和報(bào)文到達(dá)的概率計(jì)算每個(gè)報(bào)文的異常度，并針對(duì)個(gè) 別協(xié)議本身的特點(diǎn)對(duì)異常值計(jì)算進(jìn)行修正，將判別為異常報(bào)文的信 息發(fā)送到分析模塊。

隨著我國(guó)信息化的快速發(fā)展，各行業(yè)對(duì)提高整體信息系統(tǒng)的安 全防護(hù)水平和保障能力提出了更高的要求，對(duì)信息安全技術(shù)和產(chǎn)品 的需求越來(lái)越大?；冢桑樱芯W(wǎng)絡(luò)的拒絕服務(wù)攻擊防御系統(tǒng)產(chǎn)品的投 放市場(chǎng)，能夠填補(bǔ)運(yùn)營(yíng)商急需使用高效、成熟Ｄ Ｄ Ｏ Ｓ 防御產(chǎn)品的需 求空間；可以極大地提高電信運(yùn)營(yíng)商、Ｉ Ｓ Ｐ、政府的整體網(wǎng)絡(luò)Ｄ Ｄ Ｏ Ｓ 防御能力本文來(lái)源于http://taobaoxuexi.sinaapp.com/（ddos攻擊器）。

系統(tǒng)創(chuàng)新的技術(shù)實(shí)現(xiàn)模式可以為用戶提供更優(yōu)化的Ｄ Ｄ Ｏ Ｓ 防 御解決方案，通過建設(shè)更安全的Ｄ Ｄ Ｏ Ｓ 防御系統(tǒng)，用戶可有效降低 大規(guī)模ＤＤＯＳ 類攻擊所帶來(lái)的社會(huì)和經(jīng)濟(jì)風(fēng)險(xiǎn)，為我國(guó)經(jīng)濟(jì)高速發(fā) 展提供安全的網(wǎng)絡(luò)環(huán)境。參考文獻(xiàn)

［１］李德全《拒絕服務(wù)攻擊》．北京：電子工業(yè)出版社，２００７ 年 １ 月． ［ ２ ］ 陽(yáng)莉《電信網(wǎng)絡(luò)分析與設(shè)計(jì)》．西安： 西安電子科技大學(xué)出版，． ２００８ 年 １ 月．

［３］郝永清《網(wǎng)絡(luò)安全攻防實(shí)用技術(shù)深度案例分析》．北京：科學(xué)出 版社，２０１０ 年 １ 月．

［４］ 加拿大．克勞斯《網(wǎng)絡(luò)安全保護(hù)》．北京：科學(xué)出版社，２００９ 年 ３ 月．

［ ５ ］ 孫玉《電信網(wǎng)絡(luò)安全總體防衛(wèi)討論》．北京： 人民郵電出版社，． ２００８ 年 ８ 月．

［６］Ｓｔｅｖｅ Ｍａｎｚｕｉｋ《網(wǎng)絡(luò)安全評(píng)估：從漏洞到補(bǔ)丁》．北京：科學(xué) 出版社，２００９ 年 １ 月．

［７］王秀利《網(wǎng)絡(luò)擁塞控制及拒絕服務(wù)攻擊防范》．北京：北京郵電 大學(xué)出版社，２００９ 年 ６ 月．

［ ８ ］ 王夢(mèng)龍《網(wǎng)絡(luò)信息安全原理與技術(shù)》．北京： 中國(guó)鐵道出版社，． ２００９ 年 １１ 月． ３．３ 產(chǎn)品應(yīng)用

本產(chǎn)品通常布置于運(yùn)營(yíng)商網(wǎng)絡(luò)中高帶寬節(jié)點(diǎn)，如核心交換機(jī)等

高速轉(zhuǎn)發(fā)設(shè)備，通常采用網(wǎng)關(guān)接入模式或路接入模式。在大型網(wǎng)絡(luò) 應(yīng)用時(shí)，可采用牽引器集群工作方式，可通過部署牽引器集群增強(qiáng) 系統(tǒng)處理能力及可靠性。

４、結(jié)語(yǔ)

167

第二篇：安全案例：電信骨干網(wǎng)DDoS攻擊防護(hù)解決方案

近年來(lái)，電信數(shù)據(jù)業(yè)務(wù)迎來(lái)飛速發(fā)展，作為經(jīng)濟(jì)大省，某省近年來(lái)電信數(shù)據(jù)業(yè)務(wù)發(fā)展迅速，寬帶數(shù)據(jù)業(yè)務(wù)用戶快速增長(zhǎng)。然而，伴隨著用戶數(shù)量的增長(zhǎng)，電信網(wǎng)絡(luò)安全問題也頻繁發(fā)生，其中DDoS攻擊情況尤為嚴(yán)重。

該省電信運(yùn)營(yíng)商對(duì)2006年7月到12月的網(wǎng)絡(luò)安全事件統(tǒng)計(jì)后發(fā)現(xiàn)，幾個(gè)經(jīng)常受到網(wǎng)絡(luò)攻擊的地市，每月平均受到的網(wǎng)絡(luò)攻擊多達(dá)10次以上，2006年9月，某地市IDC受到嚴(yán)重DDoS攻擊，攻擊流量達(dá)到22G，造成城域網(wǎng)、IDC全阻15分鐘，對(duì)業(yè)務(wù)造成嚴(yán)重的影響。嘗試了多種解決辦法，仍然無(wú)法從根本上解決問題。

在這種情況下，該省電信迫切需要引入專業(yè)安全合作伙伴，建立一整套抵御DDoS流量攻擊的系統(tǒng)。為此，省電信研究院對(duì)眾多安全廠家的異常流量過濾設(shè)備進(jìn)行了評(píng)測(cè)對(duì)比，聯(lián)想網(wǎng)御的異常流量過濾設(shè)備在眾多廠家比拼中脫穎而出，性能和功能卓越。同時(shí)，聯(lián)想網(wǎng)御異常流量管理系統(tǒng)在多個(gè)省市電信行業(yè)的成功應(yīng)用也獲得信息化主管領(lǐng)導(dǎo)的認(rèn)可，經(jīng)過多次深入的技術(shù)交流，該省電信最終確定了聯(lián)想網(wǎng)御作為抵御DDoS流量攻擊系統(tǒng)建設(shè)的合作伙伴。

結(jié)合該省電信的安全需求和現(xiàn)網(wǎng)建設(shè)情況，充分考慮寬帶互聯(lián)網(wǎng)絡(luò)高帶寬、大流量、要求可靠性高的網(wǎng)絡(luò)特點(diǎn)，聯(lián)想網(wǎng)御的技術(shù)專家為電信運(yùn)營(yíng)商量身定制了異常流量清洗方案：結(jié)合電信IDC客戶遭受的DDoS攻擊情況和僵尸網(wǎng)絡(luò)發(fā)動(dòng)攻擊的特點(diǎn)，技術(shù)專家分析認(rèn)為攻擊流量主要來(lái)自國(guó)外和國(guó)內(nèi)其他運(yùn)營(yíng)商網(wǎng)絡(luò)，另有少部分來(lái)自省網(wǎng)內(nèi)部。因此，系統(tǒng)建設(shè)先期在省干出口位置集中式部署，重點(diǎn)防范經(jīng)由省干入口向地市城域網(wǎng)的攻擊?？紤]到省干出口鏈路帶寬大，網(wǎng)絡(luò)位置十分關(guān)鍵。聯(lián)想網(wǎng)御又為用戶設(shè)計(jì)、采取了目標(biāo)保護(hù)策略——根據(jù)需要可以靈活地定義要保護(hù)的目標(biāo)IP地址或者目標(biāo)IP網(wǎng)段，進(jìn)行重點(diǎn)檢測(cè)分析和過濾攻擊流量，實(shí)現(xiàn)了較強(qiáng)的針對(duì)性，同時(shí)有效節(jié)省了建設(shè)投資，同時(shí)，根據(jù)該省電信用戶的網(wǎng)絡(luò)使用特點(diǎn)，設(shè)計(jì)采用了8臺(tái)設(shè)備集群旁路部署方式（如圖所示），大流量攻擊處理能力達(dá)到16G，輕松滿足了15G大流量攻擊處理能力的設(shè)計(jì)要求，避免了改變正常網(wǎng)絡(luò)流量的網(wǎng)絡(luò)路徑，同時(shí)保證了網(wǎng)絡(luò)的高可靠性。

某省電信運(yùn)營(yíng)商骨干網(wǎng)聯(lián)想網(wǎng)御異常流量管理系統(tǒng)應(yīng)用方案

聯(lián)想網(wǎng)御在用戶網(wǎng)絡(luò)中同時(shí)部署流量檢測(cè)分析設(shè)備和異常流量過濾系統(tǒng)，組成一套完整的異常流量管理系統(tǒng)。由流量檢測(cè)分析設(shè)備（Leadsec-Detector）進(jìn)行采樣分析，對(duì)流經(jīng)骨干網(wǎng)的數(shù)據(jù)流進(jìn)行分析、統(tǒng)計(jì)、報(bào)警，確定受攻擊的目標(biāo)IP范圍；由異常流量過濾系統(tǒng)(Leadsec-Guard)來(lái)牽引到達(dá)目標(biāo)IP的網(wǎng)絡(luò)流量，過濾攻擊流量后將正常流量回注到網(wǎng)絡(luò)中，通過兩者的無(wú)縫配合，完成了網(wǎng)絡(luò)攻擊的分析、識(shí)別，以及自動(dòng)清理。

LeadSec-Guard還可支持虛擬化，將單臺(tái)設(shè)備或者集群組虛擬為多個(gè)邏輯異常流量過濾系統(tǒng)。因此，系統(tǒng)管理員可以為每個(gè)邏輯系統(tǒng)分配相應(yīng)的管理員進(jìn)行策略配置、安全審計(jì)等獨(dú)立操作。這將有力地支撐寬帶網(wǎng)絡(luò)運(yùn)營(yíng)商拓展安全增值服務(wù)，推動(dòng)安全運(yùn)營(yíng)。同時(shí)，系統(tǒng)中還配置了Leadsec-Manager管理系統(tǒng)，在實(shí)現(xiàn)集中設(shè)備配置和管理的同時(shí)，提供豐富的報(bào)表功能，全面幫助管理員深入掌控網(wǎng)絡(luò)安全運(yùn)行情況。

項(xiàng)目完成后，該省干出口鏈路中異常流量所占用帶寬降至總擁有帶寬的5％以下，網(wǎng)絡(luò)安全事件發(fā)生概率大大降低，輕了異常流量對(duì)該省電信省干網(wǎng)絡(luò)平臺(tái)造成的壓力，提升了帶寬利用率，為IDC、網(wǎng)吧等寬帶業(yè)務(wù)大客戶提供了一條安全、暢通的互聯(lián)網(wǎng)鏈路，提升了品牌價(jià)值，為該省電信創(chuàng)造了競(jìng)爭(zhēng)優(yōu)勢(shì)。

第三篇：網(wǎng)絡(luò)信息安全的攻擊與防護(hù)

目錄

一網(wǎng)絡(luò)攻擊技術(shù).....................................................錯(cuò)誤！未定義書簽。1.背景介紹...............................................................錯(cuò)誤！未定義書簽。2.常見的網(wǎng)絡(luò)攻擊技術(shù)..........................................錯(cuò)誤！未定義書簽。1.網(wǎng)絡(luò)監(jiān)聽.........................................................錯(cuò)誤！未定義書簽。2.拒絕服務(wù)攻擊...................................................................................2 3.緩沖區(qū)溢出.......................................................................................3

二、網(wǎng)絡(luò)防御技術(shù)................................................................................4 1.常見的網(wǎng)絡(luò)防御技術(shù)..........................................................................4 1.防火墻技術(shù).......................................................................................4 2.訪問控制技術(shù)...................................................................................4

三、總結(jié)...............................................................5錯(cuò)誤！未定義書簽。一.生活中黑客常用的攻擊技術(shù)

黑客攻擊其實(shí)質(zhì)就是指利用被攻擊方信息系統(tǒng)自身存在安全漏洞，通過使用網(wǎng)絡(luò)命令和專用軟件進(jìn)入對(duì)方網(wǎng)絡(luò)系統(tǒng)的攻擊。目前總結(jié)出黑客網(wǎng)絡(luò)攻擊的類型主要有以下幾種：

1.對(duì)應(yīng)用層攻擊。

應(yīng)用層攻擊能夠使用多種不同的方法來(lái)實(shí)現(xiàn)，最常見的方法是使用服務(wù)器上通?？烧业降膽?yīng)用軟件（如SQL Server、PostScript和FTP）缺陷，通過使用這些缺陷，攻擊者能夠獲得計(jì)算機(jī)的訪問權(quán)，以及在該計(jì)算機(jī)上運(yùn)行相應(yīng)應(yīng)用程序所需賬戶的許可權(quán)。

應(yīng)用層攻擊的一種最新形式是使用許多公開化的新技術(shù)，如HTML規(guī)范、Web瀏覽器的操作性和HTTP協(xié)議等。這些攻擊通過網(wǎng)絡(luò)傳送有害的程序，包括Java applet和Active X控件等，并通過用戶的瀏覽器調(diào)用它們，很容易達(dá)到入侵、攻擊的目的。

2.拒絕服務(wù)攻擊

拒絕服務(wù)（Denial of Service, DoS）攻擊是目前最常見的一種攻擊類型。從網(wǎng)絡(luò)攻擊的各種方法和所產(chǎn)生的破壞情況來(lái)看，DoS算是一種很簡(jiǎn)單，但又很有效的進(jìn)攻方式。它的目的就是拒絕服務(wù)訪問，破壞組織的正常運(yùn)行，最終使網(wǎng)絡(luò)連接堵塞，或者服務(wù)器因疲于處理攻擊者發(fā)送的數(shù)據(jù)包而使服務(wù)器系統(tǒng)的相關(guān)服務(wù)崩潰、系統(tǒng)資源耗盡。

攻擊的基本過程如下：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請(qǐng)求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息。由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，然而服務(wù)器中分配給這次請(qǐng)求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時(shí)間后，連接會(huì)因超時(shí)而被切斷，攻擊者會(huì)再度傳送新的一批請(qǐng)求，在這種反復(fù)發(fā)送偽地址請(qǐng)求的情況下，服務(wù)器資源最終會(huì)被耗盡。

被DDoS攻擊時(shí)出現(xiàn)的現(xiàn)象主要有如下幾種。被攻擊主機(jī)上有大量等待的TCP連接。網(wǎng)絡(luò)中充斥著大量的無(wú)用的數(shù)據(jù)包，源地址為假。制造高流量無(wú) 用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通信。利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速地發(fā)出特定的服務(wù)請(qǐng)求，使受害主機(jī)無(wú)法及時(shí)處理所有正常請(qǐng)求。嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。要避免系統(tǒng)遭受Do S攻擊，網(wǎng)絡(luò)管理員要積極謹(jǐn)慎地維護(hù)整個(gè)系統(tǒng)，確保無(wú)安全隱患和漏洞，而針對(duì)更加惡意的攻擊方式則需要安裝防火墻等安全設(shè)備過濾DOS攻擊，同時(shí)建議網(wǎng)絡(luò)管理員定期查看安全設(shè)備的日志，及時(shí)發(fā)現(xiàn)對(duì)系統(tǒng)構(gòu)成安全威脅的行為。

3.緩沖區(qū)溢出

通過往程序的緩沖區(qū)寫超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令。如果這些指令是放在有Root權(quán)限的內(nèi)存中，那么一旦這些指令得到了運(yùn)行，黑客就以Root權(quán)限控制了系統(tǒng)，達(dá)到入侵的目的；緩沖區(qū)攻擊的目的在于擾亂某些以特權(quán)身份運(yùn)行的程序的功能，使攻擊者獲得程序的控制權(quán)。

緩沖區(qū)溢出的一般攻擊步驟為：在程序的地址空間里安排適當(dāng)?shù)拇a——通過適當(dāng)?shù)牡刂烦跏蓟拇嫫骱痛鎯?chǔ)器，讓程序跳到黑客安排的地址空間中執(zhí)行。緩沖區(qū)溢出對(duì)系統(tǒng)帶來(lái)了巨大的危害，要有效地防止這種攻擊，應(yīng)該做到以下幾點(diǎn)。必須及時(shí)發(fā)現(xiàn)緩沖區(qū)溢出這類漏洞：在一個(gè)系統(tǒng)中，比如UNIX操作系統(tǒng)，這類漏洞是非常多的，系統(tǒng)管理員應(yīng)經(jīng)常和系統(tǒng)供應(yīng)商聯(lián)系，及時(shí)對(duì)系統(tǒng)升級(jí)以堵塞緩沖區(qū)溢出漏洞。程序指針完整性檢查：在程序指針被引用之前檢測(cè)它是否改變。即便一個(gè)攻擊者成功地改變了程序的指針，由于系統(tǒng)事先檢測(cè)到了指針的改變，因此這個(gè)指針將不會(huì)被使用。數(shù)組邊界檢查：所有的對(duì)數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對(duì)數(shù)組的操作在正確的范圍內(nèi)。最直接的方法是檢查所有的數(shù)組操作，通?？梢圆捎靡恍﹥?yōu)化的技術(shù)來(lái)減少檢查的次數(shù)。目前主要有以下的幾種檢查方法：Compaq C編譯器、Purify存儲(chǔ)器存取檢查等。

二． 生活中常見的網(wǎng)絡(luò)防御技術(shù)

1.常見的網(wǎng)絡(luò)防御技術(shù)

1.防火墻技術(shù) 網(wǎng)絡(luò)安全中使用最廣泛的技術(shù)就是防火墻技術(shù)，對(duì)于其網(wǎng)絡(luò)用戶來(lái)說，如果決定使用防火墻，那么首先需要由專家領(lǐng)導(dǎo)和網(wǎng)絡(luò)系統(tǒng)管理員共同設(shè)定本網(wǎng)絡(luò)的安全策略，即確定什么類型的信息允許通過防火墻，什么類型的信息不允許通過防火墻。防火墻的職責(zé)就是根據(jù)本館的安全策略，對(duì)外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間交流的數(shù)據(jù)進(jìn)行檢查，符合的予以放行，不符合的拒之門外。該技術(shù)主要完成以下具體任務(wù)：

通過源地址過濾，拒絕外部非法IP地址，有效的避免了與本館信息服務(wù)無(wú)關(guān)的外部網(wǎng)絡(luò)主機(jī)越權(quán)訪問；防火墻可以只保留有用的服務(wù)，將其他不需要的服務(wù)關(guān)閉，這樣做可以將系統(tǒng)受攻擊的可能性降到最低限度，使黑客無(wú)機(jī)可乘；同樣，防火墻可以制定訪問策略，只有被授權(quán)的外部主機(jī)才可以訪問內(nèi)部網(wǎng)絡(luò)上的有限IP地址，從而保證外部網(wǎng)絡(luò)只能訪問內(nèi)部網(wǎng)絡(luò)中的必要資源，使得與本館信息服務(wù)無(wú)關(guān)的操作將被拒絕；由于外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的所有訪問都要經(jīng)過防火墻，所以防火墻可以全面監(jiān)視外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問活動(dòng)，并進(jìn)行詳細(xì)的記錄，通過分析可以得出可疑的攻擊行為。

防火墻可以進(jìn)行地址轉(zhuǎn)換工作，使外部網(wǎng)絡(luò)用戶不能看到內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使黑客失去攻擊目標(biāo)。

雖然防火墻技術(shù)是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范的最佳選擇，但也存在一定的局限性：不能完全防范外部刻意的人為攻擊；不能防范內(nèi)部用戶攻擊；不能防止內(nèi)部用戶因誤操作而造成口令失密受到的攻擊；很難防止病毒或者受病毒感染的文件的傳輸。

2.訪問控制技術(shù)

訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要技術(shù)，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。

入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們?cè)谀呐_(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進(jìn)入該網(wǎng)絡(luò)。對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問的第一道防線。用戶注冊(cè)時(shí)首先輸入用戶名和口令，服務(wù)器將驗(yàn)證所輸入的用戶名是否合法。如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸入的口令，否則，用戶將被拒之網(wǎng)絡(luò)外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長(zhǎng)度應(yīng)不少于6個(gè)字符，口令字符最好是數(shù)字、字母和其他字符的混合。

網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源?？梢灾付ㄓ脩魧?duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：（1）特殊用戶（即系統(tǒng)管理員）；（2）一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；（3）審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個(gè)訪問控制表來(lái)描述。

網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）、讀權(quán)限（Read）、寫權(quán)限（Write）、創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）、修改權(quán)限（Modify）、文件查找權(quán)限、存取控制權(quán)限。一個(gè)網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對(duì)服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時(shí)又能有效地控制用戶對(duì)服務(wù)器資源的訪問，從而加強(qiáng)了網(wǎng)絡(luò)和服務(wù)器的安全性。

三．總結(jié)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的日新月異，為現(xiàn)代人的生活提供了很大的方便。但網(wǎng)絡(luò)安全威脅依然存在，網(wǎng)上經(jīng)常報(bào)道一些明星的照片泄露，12306賬號(hào)和密碼泄露，一些郵箱的密碼泄露，以及經(jīng)常發(fā)生的QQ號(hào)被盜等等……這些都會(huì)給我們的生活帶來(lái)麻煩，甚至讓我們付出經(jīng)濟(jì)代價(jià)。因此現(xiàn)在人們對(duì)于網(wǎng)絡(luò)安全的認(rèn)識(shí)也越來(lái)越重視，在整體概念上了解黑客的攻擊技術(shù)和常用工具方法，對(duì)于我們防范黑客攻擊提供了基本的知識(shí)儲(chǔ)備。而具體到平時(shí)的學(xué)習(xí)工作中，我們應(yīng)該養(yǎng)成良好的上網(wǎng)習(xí)慣和培養(yǎng)良好的網(wǎng)絡(luò)安全意識(shí)，在平時(shí)的工作中應(yīng)該注意，不要運(yùn)行陌生人發(fā)過來(lái)的不明文件，即使是非可執(zhí)行文件，也要十分小心，不要在不安全的網(wǎng)站上登錄一些重要賬號(hào)，或者不要在網(wǎng)站上記錄賬號(hào)密碼。以免造成密碼泄露。只要我們?cè)谄綍r(shí)上網(wǎng)時(shí)多注意，就可以有效地防范網(wǎng)絡(luò)攻擊。

此外，經(jīng)常使用殺毒軟件掃描，及時(shí)發(fā)現(xiàn)木馬的存在。我們應(yīng)該時(shí)刻警惕黑客的網(wǎng)絡(luò)攻擊，從自我做起，構(gòu)建起網(wǎng)絡(luò)安全堅(jiān)實(shí)防線，盡可能讓網(wǎng)絡(luò)黑客無(wú)孔可入。

第四篇：網(wǎng)絡(luò)環(huán)境下

以網(wǎng)絡(luò)的名義

――淺談網(wǎng)絡(luò)環(huán)境下的教學(xué)設(shè)計(jì)

摘要：

當(dāng)今世界，個(gè)體的學(xué)習(xí)能力已成為一項(xiàng)最基本的生存能力。隨著信息時(shí)代的降臨，多媒體和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，人們的生存方式和學(xué)習(xí)方式正在經(jīng)歷著一場(chǎng)歷史性的巨大變革。聯(lián)合國(guó)教科文組織向國(guó)際21世紀(jì)教育委員會(huì)提出的經(jīng)典報(bào)告《學(xué)習(xí)---內(nèi)在的財(cái)富》。該報(bào)告指出：21世紀(jì)的教育應(yīng)圍繞四種學(xué)習(xí)加以安排，即學(xué)會(huì)求知(學(xué)習(xí))(learn to know)----掌握認(rèn)識(shí)世界的工具；學(xué)會(huì)做事(learn to do)---學(xué)會(huì)在一定的環(huán)境中工作；學(xué)會(huì)共處(learn to go together)---培養(yǎng)在人類活動(dòng)中的參與和合作精神；學(xué)會(huì)做人(learn to be)---以適應(yīng)和改變自己的環(huán)境。以雅克·德洛爾任主席的國(guó)際21世紀(jì)教育委員會(huì)認(rèn)為，這四種學(xué)習(xí)既是21世紀(jì)教育的四大支柱，也是每個(gè)人一生中的知識(shí)支柱。而網(wǎng)絡(luò)環(huán)境下的學(xué)習(xí)，需在一定的環(huán)境中開展，需和學(xué)習(xí)同伴結(jié)成伙伴關(guān)系合作共事，可見，開展在網(wǎng)絡(luò)環(huán)境下的學(xué)習(xí)活動(dòng)有助于以上幾種能力的培養(yǎng)和提高。[1] 關(guān)鍵詞：網(wǎng)絡(luò)教學(xué) 教學(xué)設(shè)計(jì)

教育要面向現(xiàn)代化，首先應(yīng)該是教育思想的現(xiàn)代化。那么，網(wǎng)絡(luò)教育作為現(xiàn)代教育模式的一種手段，應(yīng)該是有利于學(xué)生主動(dòng)參與自主學(xué)習(xí)。有利于揭示教學(xué)內(nèi)容的實(shí)質(zhì)，有利于教師與學(xué)生、學(xué)生與生之間的相互交流協(xié)作學(xué)習(xí)，有利于學(xué)生思維和技能的訓(xùn)練，有利于創(chuàng)新能力的培養(yǎng)等。[2]

1．教學(xué)內(nèi)容的變化。網(wǎng)絡(luò)教學(xué)豐富了書本中原有的知識(shí)。多媒體技術(shù)的運(yùn)用將過去靜態(tài)的、二維的教材轉(zhuǎn)變?yōu)橛陕曇簟⑽淖?、圖像構(gòu)成的動(dòng)態(tài)的。網(wǎng)絡(luò)教學(xué)的運(yùn)用，又將教學(xué)內(nèi)容從書本擴(kuò)展到社會(huì)的方方面面。這樣，豐富和擴(kuò)展了書本的知識(shí)，學(xué)生在規(guī)定的教學(xué)時(shí)間內(nèi)可以學(xué)得更多、更快、更好。例如，在網(wǎng)絡(luò)課《珍稀動(dòng)物》[3]的教學(xué)設(shè)計(jì)。專題網(wǎng)頁(yè)所呈現(xiàn)的珍稀動(dòng)物不僅僅局限于書中所介紹的大熊貓、白暨豚、金絲猴三種，而且對(duì)于這三種珍稀動(dòng)物的介紹的內(nèi)容遠(yuǎn)遠(yuǎn)多于書本中所介紹的。教師的設(shè)計(jì)中，又增加了江浙地區(qū)所熟悉的一些珍稀動(dòng)物，揚(yáng)子鱷、丹頂鶴。教師的設(shè)計(jì)是頗具匠心的，書本中的珍稀動(dòng)物盡管耳熟能詳，但是真正能見到的不多。教師增加江浙地區(qū)能見到的珍稀動(dòng)物，大大提高了學(xué)生對(duì)保護(hù)珍稀動(dòng)物的認(rèn)同感。

２．教學(xué)過程的變化。網(wǎng)絡(luò)教學(xué)中，教學(xué)過程由傳統(tǒng)的知識(shí)歸納、邏輯演繹式的講解式教學(xué)過程轉(zhuǎn)變?yōu)閯?chuàng)設(shè)情境、協(xié)作學(xué)習(xí)、自主學(xué)習(xí)、討論學(xué)習(xí)等新的教學(xué)過程。在小學(xué)六年級(jí)的音樂網(wǎng)絡(luò)課《秋詩(shī)、秋畫、秋樂》[4]中，教師設(shè)計(jì)一個(gè)環(huán)節(jié)，分別展示4段音樂，8幅圖片。讓學(xué)生自己選擇，哪四張和前面四段音樂相符合圖片嗎？。這在傳統(tǒng)的教學(xué)中是不能實(shí)現(xiàn)，也無(wú)法想像的。

３．學(xué)生學(xué)習(xí)方式的變化。在網(wǎng)絡(luò)教學(xué)中，學(xué)生自己利用搜索引擎（BAIDU、GOOGLE??）來(lái)學(xué)習(xí)。去搜索所需要的知識(shí)是大量被采用的學(xué)習(xí)方式。學(xué)生由被動(dòng)地接受知識(shí)，轉(zhuǎn)變?yōu)橹鲃?dòng)地學(xué)習(xí)知識(shí)，通過信息技術(shù)，利用各種學(xué)習(xí)資源，去主動(dòng)建構(gòu)知識(shí)。學(xué)生不僅要學(xué)習(xí)知識(shí)，還要掌握“如何學(xué)”的能力。學(xué)生必須有獨(dú)立學(xué)習(xí)能力、創(chuàng)造能力、創(chuàng)新能力、自主學(xué)習(xí)能力、自我管理能力、協(xié)作能力、協(xié)調(diào)能力等。學(xué)生將成為知識(shí)的探索者和學(xué)習(xí)過程中真正的認(rèn)知主體。

４．教師角色的變化。教師由傳統(tǒng)的知識(shí)講解者、傳遞者、灌輸者變成了學(xué)生學(xué)習(xí)的指導(dǎo)者、幫助者、促進(jìn)者。在網(wǎng)絡(luò)教學(xué)環(huán)境中，教師不再是唯一的知識(shí)源，教師不能再把傳遞知識(shí)作為自己的主要任務(wù)和目的，而是要把精力放在如何教學(xué)生“學(xué)”的方法上，為建構(gòu)學(xué)生的知識(shí)體系創(chuàng)設(shè)有利的情境，使學(xué)生“學(xué)會(huì)學(xué)習(xí)”。指導(dǎo)學(xué)生懂得“從哪里”和“怎么樣”獲取自己所需要的知識(shí)，掌握獲得知識(shí)的工具和根據(jù)認(rèn)識(shí)的需要處理信息的方法。

但是基于網(wǎng)絡(luò)的教學(xué)設(shè)計(jì)，要真正體現(xiàn)現(xiàn)代教育思想 也不是輕而易舉的事情，這需要我們根據(jù)新的教學(xué)與學(xué)習(xí)理論，比較傳統(tǒng)教育與現(xiàn)代教育中的教學(xué)模式，了解現(xiàn)代教育技術(shù)的特點(diǎn)與優(yōu)勢(shì)?；诰W(wǎng)絡(luò)環(huán)境下的教學(xué)資源具有信息資源開放、跨越時(shí)空限制、傳遞系統(tǒng)是多媒體的、傳播媒介可多向交流等特點(diǎn)，這就決定了網(wǎng)絡(luò)環(huán)境下的學(xué)習(xí)過程的開放性、全球性、可交流性，學(xué)習(xí)者對(duì)學(xué)習(xí)內(nèi)容選擇的自主性和個(gè)例化，內(nèi)容形式的多媒體化等。網(wǎng)絡(luò)環(huán)境下的教學(xué)真正達(dá)到了因材施教、發(fā)展個(gè)性的目的，學(xué)生是按照自己的認(rèn)知水平來(lái)學(xué)習(xí)和提高的，學(xué)習(xí)是學(xué)生主動(dòng)參與完成的，這種學(xué)習(xí)使學(xué)生獲得的不僅僅是知識(shí)，還有自己主動(dòng)建構(gòu)知識(shí)及意義的能力，這正是傳統(tǒng)教學(xué)所不能比擬的，基于Web的教學(xué)設(shè)計(jì)具有超鏈接功能，可以使學(xué)生用多種方式探索同一專題，有利于實(shí)現(xiàn)認(rèn)知的靈活性，同時(shí)給予了學(xué)生較大的自由度，學(xué)習(xí)者可以完全控制自己的學(xué)習(xí)，可以任意選擇學(xué)習(xí)內(nèi)容、學(xué)習(xí)方式以及各種工具，最大程度地支持了學(xué)生的主動(dòng)學(xué)習(xí)，實(shí)現(xiàn)了真正的個(gè)別化學(xué)習(xí)。

網(wǎng)絡(luò)環(huán)境下的教學(xué)能夠綜合各個(gè)學(xué)科內(nèi)在知識(shí)體系，必須要有跨學(xué)科的知識(shí)與能力，這就調(diào)動(dòng)了學(xué)生縱向與橫向?qū)W科學(xué)習(xí)的興趣，使學(xué)生開闊了眼界。擴(kuò)大了知識(shí)面，這對(duì)于開發(fā)人力資源很有益處，這也是傳統(tǒng)教學(xué)所不能比擬的。多媒體和網(wǎng)絡(luò)技術(shù)增添了動(dòng)態(tài)演示性的內(nèi)容，增強(qiáng)了交互性。使得學(xué)生“不僅僅通過接收信息而學(xué)習(xí)。還可以通過資料的展示過程以及交互加深理解。在學(xué)習(xí)過程中，學(xué)生與學(xué)生、學(xué)生與教師之間 適當(dāng)?shù)慕涣魍ǔ？梢赃_(dá)到事半功倍的學(xué)習(xí)效果，因此，交互性便成為學(xué)生有效學(xué)習(xí)過程中的一個(gè)重要組成部分?；趙ed的教學(xué)設(shè)計(jì)中，可以充分利用在線討論、在線答疑等實(shí)時(shí)交互，照顧個(gè)別學(xué)生的需要，增強(qiáng)學(xué)生學(xué)習(xí)興趣，同時(shí)使學(xué)習(xí)者可以協(xié)作學(xué)習(xí)。

傳統(tǒng)教學(xué)設(shè)計(jì)采用自下而上的設(shè)計(jì)方法，即教學(xué)是從基本子概念、子技能的學(xué)習(xí)出發(fā)，逐級(jí)向上，逐漸學(xué)習(xí)到高級(jí)的知識(shí)技能。因而進(jìn)行教學(xué)設(shè)計(jì)時(shí)，首先要進(jìn)行任務(wù)分析，逐級(jí)找到應(yīng)該提前掌握的知識(shí)，而后分析學(xué)習(xí)者既有的水平，確定合適的起點(diǎn)、設(shè)計(jì)出向?qū)W習(xí)者傳遞知識(shí)的方案。建構(gòu)主義的教學(xué)設(shè)計(jì)是采用自上而下的設(shè)計(jì)路線，即首先呈現(xiàn)整體性的任務(wù)，讓學(xué)習(xí)者嘗試解決問題，在此過程中，學(xué)習(xí)者要自己發(fā)現(xiàn)完成整體任務(wù)所需首先完成的子任務(wù)，以及完成各級(jí)任務(wù)所需的各級(jí)知識(shí)技能，基于wed 測(cè)覽方式的超鏈接，很容易實(shí)現(xiàn)自上而下的教學(xué)設(shè)計(jì)。

在教學(xué)設(shè)計(jì)中教學(xué)目標(biāo)與學(xué)習(xí)目標(biāo)的區(qū)別也是容易被忽略的問題，教學(xué)目標(biāo)代表教師期望學(xué)習(xí)者在學(xué)習(xí)環(huán)境中掌握的知識(shí)，學(xué)習(xí)目標(biāo)則是學(xué)習(xí)者在自主學(xué)習(xí)過程中自定的目標(biāo)。傳統(tǒng)的教育中主要關(guān)心預(yù)定教學(xué)目標(biāo)，而現(xiàn)代教育的設(shè)計(jì)思想認(rèn)為學(xué)習(xí)者目標(biāo)是第一位的。因此，基于Web 的學(xué)習(xí)環(huán)境的設(shè)計(jì)較靈活，能夠支持和幫助學(xué)習(xí)者達(dá)到他們的學(xué)習(xí)目標(biāo)。

在設(shè)計(jì)時(shí)，可以采用有指導(dǎo)路徑的方法引導(dǎo)學(xué)習(xí)者，有指導(dǎo)不等于強(qiáng)制，仍然要給學(xué)習(xí)者留有自由選擇的空間，由學(xué)習(xí)者自己生成學(xué)習(xí)目標(biāo)的內(nèi)容，即允許學(xué)習(xí)者自己控制學(xué)習(xí)路徑，而不需要設(shè)計(jì)者預(yù)先確定學(xué)習(xí)路徑，系統(tǒng)必須提供適當(dāng)?shù)膶W(xué)習(xí)資源、認(rèn)知工具和相應(yīng)策略的支持，在學(xué)習(xí)者需要幫助的時(shí)候可以通過某種策略影響學(xué)習(xí)者決策，如通過合作學(xué)習(xí)策略等。

現(xiàn)代教育思想、教學(xué)模式等，使教師和學(xué)生的地位與傳統(tǒng)教學(xué)相比發(fā)生了很大改變。因?yàn)榻虒W(xué)不再是單純的知識(shí)傳授與灌輸。教師的角色主要是教學(xué)信息資源的設(shè)計(jì)者、學(xué)生學(xué)習(xí)促進(jìn)者，教師從前臺(tái)走到了后臺(tái)。教師的地位受到了挑戰(zhàn)，但是教師在教學(xué)當(dāng)中不可能被計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)所取代，相反教師在這種模式下的重要性更大了，計(jì)算機(jī)只是一種信息加工和呈現(xiàn)的工具，教師惟一選擇是需要不斷地更新知識(shí)和擴(kuò)大知識(shí)面，教學(xué)組織者需要跨學(xué)科的知識(shí)結(jié)構(gòu)，需要教師的群體協(xié)作。網(wǎng)絡(luò)化的教學(xué)設(shè)計(jì)需要解決的重大課題是如何制作教學(xué)課件、如何把它們組織成為符合教學(xué)要求的教學(xué)資源形式。

計(jì)算機(jī)及網(wǎng)絡(luò)固然是先進(jìn)的工具，但是任何一個(gè)工具如果使用得當(dāng)，都可以成為認(rèn)知工具，判斷一個(gè)工具是否成為認(rèn)知工具的惟一標(biāo)準(zhǔn)是看這個(gè)工具是否能幫助學(xué)習(xí)者完成認(rèn)知操作、促進(jìn)學(xué)習(xí)者進(jìn)行思考，因而建構(gòu)工具的設(shè)計(jì)關(guān)鍵僅在于工具種類的選擇，更重要的是工具使用方式的設(shè)計(jì)。

總之，網(wǎng)絡(luò)教學(xué)可以培養(yǎng)學(xué)生的自我建構(gòu)能力，來(lái)自各方面的不同的知識(shí)和信息往往集中在一起；學(xué)生需要通過對(duì)這些知識(shí)和信息的整合，發(fā)現(xiàn)和獲得其中的價(jià)值和意義，并進(jìn)行新的意義建構(gòu)，網(wǎng)絡(luò)教學(xué)可以培養(yǎng)學(xué)生獲取信息和選擇信息的能力，而這恰恰是信息社會(huì)中非常重要的知識(shí)和技能，網(wǎng)絡(luò)教學(xué)可以培養(yǎng)學(xué)生的網(wǎng)絡(luò)能力，在現(xiàn)代社會(huì)中網(wǎng)絡(luò)是一種現(xiàn)實(shí)的生存空間，學(xué)生要想學(xué)會(huì)生存，就應(yīng)該包括學(xué)會(huì)在網(wǎng)絡(luò)空間中生存，因此，網(wǎng)絡(luò)能力也就意味著現(xiàn)實(shí)生活的能力，但是最主要的是網(wǎng)絡(luò)教學(xué)設(shè)計(jì)要適當(dāng)。

參考文獻(xiàn)：

[1]http://61.144.60.222:8080/0518/jxms1/pages/p1-4.htm 網(wǎng)絡(luò)環(huán)境下協(xié)作學(xué)習(xí)活動(dòng)的設(shè)計(jì)

[2] 網(wǎng)絡(luò)對(duì)教學(xué)模式的沖擊——談基于網(wǎng)絡(luò)的教學(xué)設(shè)計(jì) 北京四中 錢曉菁

[3]專題網(wǎng)頁(yè)http://dw.zslxx.net 此課曾獲江蘇省信息技術(shù)與課程整合一等獎(jiǎng)。[4]此網(wǎng)頁(yè)在http://www.zslxx.net 中山路小學(xué)瑞博網(wǎng)絡(luò)平臺(tái)上

第五篇：網(wǎng)絡(luò)攻擊技術(shù)與攻擊工具六大趨勢(shì)

最近幾年，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢(shì)，使借助Internet運(yùn)行業(yè)務(wù)的機(jī)構(gòu)面臨著前所未有的風(fēng)險(xiǎn)，本文將對(duì)網(wǎng)絡(luò)攻擊的新動(dòng)向進(jìn)行分析，使讀者能夠認(rèn)識(shí)、評(píng)估，并減小這些風(fēng)險(xiǎn)。

趨勢(shì)一：自動(dòng)化程度和攻擊速度提高

攻擊工具的自動(dòng)化水平不斷提高。自動(dòng)攻擊一般涉及四個(gè)階段，在每個(gè)階段都出現(xiàn)了新變化。掃描可能的受害者。自1997年起，廣泛的掃描變見慣。目前，掃描工具利用更先進(jìn)的掃描模式來(lái)改善掃描效果和提高掃描速度。損害脆弱的系統(tǒng)。以前，安全漏洞只在廣泛的掃描完成后才被加以利用。而現(xiàn)在攻擊工具利用這些安全漏洞作為掃描活動(dòng)的一部分，從而加快了攻擊的傳播速度。傳播攻擊。在2000年之前，攻擊工具需要人來(lái)發(fā)動(dòng)新一輪攻擊。目前，攻擊工具可以自己發(fā)動(dòng)新一輪攻擊。像紅色代碼和尼姆達(dá)這類工具能夠自我傳播，在不到18個(gè)小時(shí)內(nèi)就達(dá)到全球飽和點(diǎn)。攻擊工具的協(xié)調(diào)管理。隨著分布式攻擊工具的出現(xiàn)，攻擊者可以管理和協(xié)調(diào)分布在許多Internet系統(tǒng)上的大量已部署的攻擊工具。目前，分布式攻擊工具能夠更有效地發(fā)動(dòng)拒絕服務(wù)攻擊，掃描潛在的受害者，危害存在安全隱患的系統(tǒng)。

趨勢(shì)二：攻擊工具越來(lái)越復(fù)雜

攻擊工具開發(fā)者正在利用更先進(jìn)的技術(shù)武裝攻擊工具。與以前相比，攻擊工具的特征更難發(fā)現(xiàn)，更難利用特征進(jìn)行檢測(cè)。攻擊工具具有三個(gè)特點(diǎn)：反偵破，攻擊者采用隱蔽攻擊工具特性的技術(shù)，這使安全專家分析新攻擊工具和了解新攻擊行為所耗費(fèi)的時(shí)間增多;動(dòng)態(tài)行為，早期的攻擊工具是以單一確定的順序執(zhí)行攻擊步驟，今天的自動(dòng)攻擊工具可以根據(jù)隨機(jī)選擇、預(yù)先定義的決策路徑或通過入侵者直接管理，來(lái)變化它們的模式和行為;攻擊工具的成熟性，與早期的攻擊工具不同，目前攻擊工具可以通過升級(jí)或更換工具的一部分迅速變化，發(fā)動(dòng)迅速變化的攻擊，且在每一次攻擊中會(huì)出現(xiàn)多種不同形態(tài)的攻擊工具。

此外，攻擊工具越來(lái)越普遍地被開發(fā)為可在多種操作系統(tǒng)平臺(tái)上執(zhí)行。許多常見攻擊工具使用IRC或HTTP(超文本傳輸協(xié)議)等協(xié)議，從入侵者那里向受攻擊的計(jì)算機(jī)發(fā)送數(shù)據(jù)或命令，使得人們將攻擊特性與正常、合法的網(wǎng)絡(luò)傳輸流區(qū)別開變得越來(lái)越困難。

趨勢(shì)三：發(fā)現(xiàn)安全漏洞越來(lái)越快

新發(fā)現(xiàn)的安全漏洞每年都要增加一倍，管理人員不斷用最新的補(bǔ)丁修補(bǔ)這些漏洞，而且每年都會(huì)發(fā)現(xiàn)安全漏洞的新類型。入侵者經(jīng)常能夠在廠商修補(bǔ)這些漏洞前發(fā)現(xiàn)攻擊目標(biāo)。

趨勢(shì)四：防火墻滲透率越來(lái)越高

防火墻是人們用來(lái)防范入侵者的主要保護(hù)措施。但是越來(lái)越多的攻擊技術(shù)可以繞過防火墻，例如，IPP(Internet打印協(xié)議)和WebDAV(基于Web的分布式創(chuàng)作與翻譯)都可以被攻擊者利用來(lái)繞過防火墻。

趨勢(shì)五：威脅越來(lái)越不對(duì)稱

Internet上的安全是相互依賴的。每個(gè)Internet系統(tǒng)遭受攻擊的可能性取決于連接到

全球Internet上其他系統(tǒng)的安全狀態(tài)。由于攻擊技術(shù)的進(jìn)步，一個(gè)攻擊者可以比較容易地利用分布式系統(tǒng)，對(duì)一個(gè)受害者發(fā)動(dòng)破壞性的攻擊。隨著部署自動(dòng)化程度和攻擊工具管理技巧的提高，威脅的將繼續(xù)增加。

趨勢(shì)六：對(duì)基礎(chǔ)設(shè)施將形成的威脅越來(lái)越大

基礎(chǔ)設(shè)施攻擊是大面積影響Internet關(guān)鍵組成部分的攻擊。由于用戶越來(lái)越多地依賴Internet完成日常業(yè)務(wù)，基礎(chǔ)設(shè)施攻擊引起人們?cè)絹?lái)越大的擔(dān)心?；A(chǔ)設(shè)施面臨分布式拒絕服務(wù)攻擊、蠕蟲病毒、對(duì)Internet域名系統(tǒng)(DNS)的攻擊和對(duì)路由器攻擊或利用路由器的攻擊。

拒絕服務(wù)攻擊利用多個(gè)系統(tǒng)攻擊一個(gè)或多個(gè)受害系統(tǒng)，使受攻擊系統(tǒng)拒絕向其合法用戶提供服務(wù)。攻擊工具的自動(dòng)化程度使得一個(gè)攻擊者可以安裝他們的工具并控制幾萬(wàn)個(gè)受損害的系統(tǒng)發(fā)動(dòng)攻擊。入侵者經(jīng)常搜索已知包含大量具有高速連接的易受攻擊系統(tǒng)的地址塊，電纜調(diào)制解調(diào)器、DSL和大學(xué)地址塊越來(lái)越成為計(jì)劃安裝攻擊工具的入侵者的目標(biāo)。由于Internet是由有限而可消耗的資源組成，并且Internet的安全性是高度相互依賴的，因此拒絕服務(wù)攻擊十分有效。

蠕蟲病毒是一種自我繁殖的惡意代碼。與需要用戶做某種事才能繼續(xù)繁殖的病毒不同，蠕蟲病毒可以自我繁殖。再加上它們可以利用大量安全漏洞，會(huì)使大量的系統(tǒng)在幾個(gè)小時(shí)內(nèi)受到攻擊。一些蠕蟲病毒包括內(nèi)置的拒絕服務(wù)攻擊載荷或Web站點(diǎn)損毀載荷，另一些蠕蟲病毒則具有動(dòng)態(tài)配置功能。但是，這些蠕蟲病毒的最大影響力是，由于它們傳播時(shí)生成海量的掃描傳輸流，它們的傳播實(shí)際上在Internet上生成了拒絕攻擊，造成大量間接的破壞(這樣的例子包括：DSL路由器癱瘓;并非掃描本身造成的而是掃描引發(fā)的基礎(chǔ)網(wǎng)絡(luò)管理(ARP)傳輸流激增造成的電纜調(diào)制解制器ISP網(wǎng)絡(luò)全面超載)。

DNS是一種將名字翻譯為數(shù)字IP地址的分布式分級(jí)全球目錄。這種目錄結(jié)構(gòu)最上面的兩層對(duì)于Internet運(yùn)行至關(guān)重要。在頂層中有13個(gè)“根”名服務(wù)器。下一層為頂級(jí)域名(TLD)服務(wù)器，這些服務(wù)器負(fù)責(zé)管理“.com”、“.net”等域名以及國(guó)家代碼頂級(jí)域名。DNS面臨的威脅包括：緩存區(qū)中毒，如果使DNS緩存?zhèn)卧煨畔⒌脑挘粽呖梢愿淖儼l(fā)向合法站點(diǎn)的傳輸流方向，使它傳送到攻擊者控制的站點(diǎn)上;破壞數(shù)據(jù)，攻擊者攻擊脆弱的DNS服務(wù)器，獲得修改提供給用戶的數(shù)據(jù)的能力;拒絕服務(wù)，對(duì)某些TLD域名服務(wù)器的大規(guī)模拒絕服務(wù)攻擊會(huì)造成Internet速度普遍下降或停止運(yùn)行;域劫持，通過利用客戶升級(jí)自己的域注冊(cè)信息所使用的不安全機(jī)制，攻擊者可以接管域注冊(cè)過程來(lái)控制合法的域。

路由器是一種指揮Internet上傳輸流方向的專用計(jì)算機(jī)。路由器面臨的威脅有：將路由器作為攻擊平臺(tái)，入侵者利用不安全的路由器作為生成對(duì)其他站點(diǎn)的掃描或偵察的平臺(tái);拒絕服務(wù)，盡管路由器在設(shè)計(jì)上可以傳送大量的傳輸流，但是它常常不能處理傳送給它的同樣數(shù)量的傳輸流，入侵者利用這種特性攻擊連接到網(wǎng)絡(luò)上的路由器，而不是直接攻擊網(wǎng)絡(luò)上的系統(tǒng);利用路由器之間的信賴關(guān)系，路由器若要完成任務(wù)，就必須知道向哪里發(fā)送接收到的傳輸流，路由器通過共享它們之間的路由信息來(lái)做到這點(diǎn)，而這要求路由器信賴其收到的來(lái)自其他路由器的信息，因此攻擊者可以比較容易地修改、刪除全球Internet路由表或?qū)⒙酚奢斎氲饺騃nternet路由表中，將發(fā)送到一個(gè)網(wǎng)絡(luò)的傳輸流改向傳送到另一個(gè)網(wǎng)絡(luò)，從而造成對(duì)兩個(gè)網(wǎng)絡(luò)的拒絕服務(wù)攻擊。盡管路由器保護(hù)技術(shù)早已可供廣泛使用，但是許多用戶沒有利用

路由器提供的加密和認(rèn)證特性來(lái)保護(hù)自己的安全。