1、论黑客的危害及其控制对策【摘要】黑客的活动,具有深刻的反社会性,已逐渐成为网络运行的一大公害,为应对黑客的肆虐蔓延,各国政府纷纷成立专门机构,增加经费,加紧培养网络安保人才,并相继出台了法律法规,加大对黑客的打击力度。 【关键词】黑客 危害 对策 一、黑客的定义和种类 黑客最早源自英文 hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。事实上,黑客可以分为 hacker 和 craker 两类,hacker 专注于研究技术,依靠自己掌握的知识帮助系统管理员找出系统中的漏洞并加以完善,而 crak
2、er 则是人们常说的黑客,专门以破坏计算机为目的的人。本文中所指的黑客,特指 craker,即即用其计算机技术,进行网络破坏的人。 二、黑客对社会的危害 1.危害国家安全。黑客凭借高超的黑客技术,非法闯入军事情报机关的内部网络,干扰军事指挥系统的正常工作,窃取、调阅和篡改有关军事资料,使高度敏感信息泄密,意图制造军事混乱或政治动荡。1990 年 4 月1991 年 5 月间,荷兰黑客进入美国国防部的 34 个站点,调出了所有包含“武器” 、 “导弹”等关键词的信息。1991 年的海湾战争中,美国首次将信息战用于实战,但黑客很快就攻击了美国军方的网络系统。同时。黑客们将窃取到的部分美军机密文件提
3、供给了伊拉克。2009 年 7 月 7 日,韩国遭受有史以来最猛烈的一次攻击。韩国总统府、国会、国情院和国防部等国家机关,以及金融界、媒体和防火墙企业网站进行了攻击。9 日韩国国家情报院和国民银行网站无法被访问,韩国国会、国防部、外交通商部等机构的网站一度无法打开,这是韩国遭遇的有史以来最强的一次黑客攻击。 2.破坏社会政策秩序。1996 年 9 月 18 日,美国中央情报局的网页被一名黑客破坏,“中央情报局”被篡改成“ 中央愚蠢局”, 严重影响了美国政府的形象。 2000 年 2 月 7 日,全球闻名的美国搜索引擎网站“雅虎”,由于受到黑客入侵,大部分服务陷于瘫痪。在随后的 3 天里,又有多
4、家美国网站先后被黑客袭击,导致服务中断。在情况最严重的 2 月 9 日,全美国因特网的运行性能下降了 26.8%。2006 年 10 月 16 日,中国黑客李俊发布了熊猫烧香木马,并在短短时间内,致使中国数百万用户受到感染,并波及到周边国家,该事件影响极其恶劣,被列为当年十大病毒之首。 3.造成经济损失,破坏社会稳定。1995 年,来自俄罗斯的黑客弗拉季米尔列宁在互联网上上演了精彩的偷天换日,他是历史上第一个通过入侵银行电脑系统来获利的黑客,1995 年,他侵入美国花旗银行并盗走一千万,他于 1995 年在英国被国际刑警逮捕,之后,他把帐户里的钱转移至美国、芬兰、荷兰、德国、爱尔兰等地。199
5、9 年,梅利莎病毒(Melissa)使世界上300 多家公司的电脑系统崩溃,该病毒造成的损失接近 4 亿美金,它是首个具有全球破坏力的病毒。2000 年 5 月,菲律宾学生奥内尔?古兹曼炮制的“爱虫”病毒造成高达 100 亿美元的损失。2008 年,一个全球性的黑客组织,利用 ATM 欺诈程序在一夜之间从世界 49 个城市的银行中盗走了 900w 美元。据 今日美国报报道,黑客每年给全球电脑网络带来的损失估计高达上百亿美元。 4.引发网络黑客混战。近年来,黑客活动开始染上政治色彩,中东危机、印巴冲突、美阿战争都曾成为不同政治立场的黑客在网上混战的理由。2000 年,日本右翼势力在大阪集会,公然
6、为南京大屠杀翻案,海内外的中国黑客联合起来发动网络攻击战,多次进攻日本网站,致使日本总务厅和科技厅的网站被迫关闭。2001 年 4 月 1 日,中美撞机事件发生后,国内掀起了一轮针对国外黑客肆无忌惮的攻势,据称在 5 月 4 日攻陷白宫网站的行动中有多家国内黑客组织、近八万名各地网民参与,事实上,这种以高科技手段为后盾的网络攻击战,极大地危害了网络的公共安全。三、控制黑客的对策 为应对黑客的肆虐蔓延,各国政府纷纷成立专门机构,增加经费,加紧培养网络安保人才,并相继出台了法律法规,加大对黑客的打击力度。 1.立法控制。早在 1997 年德国就通过了多媒体法案,规制虚拟空间,体现刑法保护机能。19
7、97 年 3 月 14 日第八届全国人民代表大会第五次会议通过中华人民共和国刑法,该法第 285 条至 287 条,分别对侵入有关计算机信息系统;删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重;利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪行为,以“扰乱公共秩序罪或依照本法有关规定定罪处罚。2000 年 1月,日本出台了反黑客对策行动计划,以防止黑客袭击,并于 2 月正式实施关于禁止不正当存取行为的法律,加重了对黑客犯罪的处罚力度。同年 10 月,美国国会通过了计算机安全加强法,把网络安全纳入了法制化管理的轨道。9 月,俄罗斯通过了信息安全构想,以确保
8、信息系统的安全。11 月,新西兰国提交了计算机网络安全法案提交并予以通过,此外,巴西等国也制定并颁布了针对网络黑客的相关法律。 2.成立专门应对机构。2000 年,美国政府成立了一个由联邦调查局、中央情报局、司法局和商务部联合组成的特别小组,处理计算机安全方面的咨询及法律问题,以保护美国的重要电脑系统不受恐怖分子的攻击。同年 2 月 14 日,德国宣布由内政部、信息安全局和刑事局共同组成一个特别行动部队,专门打击黑客犯罪。日本通产省和邮政省拨款 24 亿日元;日本防卫厅 2000 年度拨款为 13 亿日元,并派人到美国接受反黑客培训,以建立自己的反黑客队伍。此外,印度成立了由专家组成的全国电子
9、警察委员会,韩国也成立了专门的“网络犯罪对应中心”。 3.增加财政投入。2000 年,美国联邦调查局专门拨款 17.5 亿美元用于捉拿网络恐怖分子。并在 2001 年的财年预算中为网络安全和网络基础设施建设拨款 20 亿美元。11 月英国宣布,将每年拨款 2500 万英镑,建立一支由专家组成的专门机构,研究网络安全的对策与手段。 4.制定反黑公约,世界联合行动。黑客行为是跨国界的,因此,世界各国必须联合起来,共同对付黑客犯罪。2000 年 10 月,西方 8 国集团信息安全专家专门召开会议,讨论如何打击利用计算机和因特网的犯罪问题,包括美国在内的 40 多个国家将加入欧盟委员会制定的打击计算机
10、犯罪公约 。 参考文献: 1孙华国.浅析网络黑客J. 中国科技信息,2005,(20). 2佚名.黑客大事记EB/OL.黑客基地网,2007-09-05. 3郑智斌.黑客对互联网观念的影响 http:/ 4打击黑客任重道远N.科技日报,2000-12-28.IPv6 网络建设初探【摘 要】IPv6 作为新一代互联网的核心协议,必将取代 IPv4。本文通过对 IPv6 特点和发展现状的简要描述,提出并分析了几种 IPv4 向 IPv6 的过渡技术,结合欧亚校园网特点总结出欧亚校园网的 IPv6 迁移之路。 【关键词】协议翻译机制(Translation ) ;双协议栈机制( Dual stack
11、) ;隧道机制(Tunnel)【Abstract】IPv6 as the core of next-generation Internet protocol, will replace IPv4. In The article, the characteristics and development of IPv6 a brief description of the status quo, is proposed and analyzed several IPv4 to IPv6 transition technology, combined with Europe and Asia cam
12、pus network features summed up Europe and Asia campus network, IPv6 migration path.【Key words】 Protocol translation mechanism (Translation), Dual-stack mechanism (Dual stack), Tunnel mechanisms (Tunnel)1. 引言随着近年来互联网在各个领域内的空前发展,人们对信息资源的开发和利用进入了一个全新的阶段。然而越来越多的网络问题也同样暴露在我们面前,如 IPv4 地址的急剧消耗将要枯竭等。针对这些问题,
13、1990 年 IETF 开始着手开发 IP 的新版本 IPv6。新的版本在协议优化上做了很大的改变,使其在可扩展性、QOS 和安全性等方面都有卓越的表现。目前,IPv6 的已经得到了很大的发展。在国外,如美国和欧洲对 IPv6 的发展以研究和实验为主体,亚洲国家则以商用及业务开展为中心,而我国的 IPv6 的发展,以研究和实验为主。西安欧亚学院为了给在校师生提供良好的科研及教育环境,在 IPv6 成为必然趋势得前提下,应考虑接入 IPv6 网络。在仍以 IPv4 为主的今天,我们要清楚地认识到 IPv4和 IPv6 必将长期并存,所以如何选择适当的过渡方式完成向 IPv6 的迁移是一个值得深究
14、的问题2. IPv4 到 IPv6 的几种过渡策略IPv4/IPv6 过渡方案,一般来说可以分为三类:协议翻译机制(Translation)即双协议栈机制(Dual stack) ,隧道机制(Tunnel) ,以及。下面就这三种过渡技术作简要的介绍。2.1 协议翻译技术。目前网络中存在很多只支持 IPv6 或只支持 IPv4 的主机,这些主机之间要通信时就要采用协议翻译技术。协议翻译对应了多种实现技术。其中 NAT-PT 和 BIS 应用于网络层,TRT 主要应用于汇聚层,应用层翻译代表技术有 Socks 和 BIA。BIA 和 BIS 主要是针对主机终端通信提出的,这里我们重点介绍 NAT-
15、PT 技术。NAT-PT 就是在做 IPv4/IPv6 地址转换(NAT)的同时在 IPv4 分组和 IPv6 分组之间进行报头和语义的翻译(PT)。适用于纯 IPv4 站点和纯 IPv6 站点之间的通信。对于一些内嵌地址信息的高层协议(如 FTP) ,NAT-PT 需要和应用层的网关协作来完成翻译。实现了只安装 IPv6 的主机和只安装了 IPv4 主机的大部分应用的相互通信。图一说明, NAT-PT 技术结合 DNS-ALG 是如何实现 IPv4 和 IPv6 主机之间的通信的。 (1)当主机 A 向主机 B 发送数据之前,NAT-PT 网关向 IPv6 网络通告一个 96 位的地址前缀如
16、 2:,这样主机 B 被标识为 2:2.2.2.2,该地址主机 A 就可以识别了,当数据到达网关时,网关根据地址映射的规则,再将目的地为 2:2.2.2.2 的地址对应为主机 B 的 IP 地址,这样数据就被成功送往主机 B。但是当主机 B 要发送数据到主机 A 时,它因为不能识别 IPv6 的地址格式,这时是就要借助 DNS-ALG 来完成。假设主机 A 对应的域名为 www.A.com,IPv6 网络中的 DNS 服务器对应的 IPV4 地址为 3.3.3.3。(2)主机 B 以域名的形式访问主机 A 时,它会先向 IPv6 网络 的 DNS 发出请求,对主机 A进行域名解析。请求到达网关
17、后,网关会将该请求转发给 IPv6 网络中的 DNS 服务器,该过程包括对报文地址类型的转换。DNS 会回应网关该域名对应的 IPv6 地址为 1:1。网关收到该回应后会在 IPv4 地址池中选择一个 IPv4 地址如 2.2.2.3 来替换 1:1,并将 2.2.2.3 和www.A.com 这样的对应关系告诉主机 B。如此以来主机 B 知道了 www.A.com 对应的 IPv4地址,网关也知道了 2.2.2.3 和 1:1 的对应关系,主机 B 向主机 A 发送的数据报就可以成功地被接收了。协议翻译技术适用场合:IPv6 小岛与 IPv4 海洋之间的通信,该技术在拓扑结构上要求一次会话中
18、双向数据包的转换都在同一个路由器上完成,所以它只能应用于一个路由器出口的网络。他的优点是不需要进行 IPv4、IPv6 终端的升级改造,但是一些协议字段在转换时不能完全保持原有的含义 ,协议转换方法缺乏端到端安全性,而且它对网关的性能要求比较高,一般不建议采用。2.2 隧道技术。隧道策略是 IPv4/v6 综合组网技术中经常使用到的一种机制。所谓“隧道”,简单地讲就是利用一种协议来传输另一种协议的数据技术。隧道包括隧道入口和隧道出口(隧道终点) ,这些隧道端点通常都是双栈节点。在隧道入口以一种协议的形式来对另外一种协议数据进行封装,并发送。在隧道出口对接受到的协议数据解封装,并做相应的处理。根
19、据应用环境的不同,其实现技术多种多样,如 ISATAP 隧道,6to4 隧道,6over4 隧道等。ISATAP 隧道通过将 IPv4 地址嵌入到 IPv6 地址当中,并将 IPv6 封包封装在 IPv4 中传送,在主机相互通信中抽出 IPv4 地址建立 tunnel。双栈主机支持 ISATAP 后会自动在该隧道接口上生成本地链路的前缀(fe80:开头)和 64 位的接口标识符:0:5EFE:X.X.X.X(这里的 X.X.X.X 是双栈主机的 IPv4 单播地址),这样就可以和同一子网内其他 ISATAP 客户机进行 IPv6 通讯了;如果需要和其他网络的 ISATAP 客户机或者 IPv6
20、 网络通信,必须通过ISATAP 路由器拿到全球单播地址前缀,通过路由器与其他 IPv6 主机和网络通信。对于校园网中部分希望接入 IPv6 的终端来讲,他要借助校园网并通过隧道技术连接到 IPv6 网络,汇聚层或出口设备(如路由器)首先升级至双栈的模式,再采用 ISATAP 主机-路由器的隧道部署方式。隧道技术可以有效地实现 IPv4 向 IPv6 的演进,他的优点在于隧道的透明性,可以降低网络的投资。但是配置非常复杂,而且隧道技术只能实现 IPv6 主机之间的通信,对于IPv4 和 IPv6 设备之间的通信则无能为力。2.3 双栈技术。双栈策略是指在网元中同时具有 IPv4 和 IPv6
21、两个协议栈,它既可以接收、处理、收发 IPv4 的分组,也可以接收、处理、收发 IPv6 的分组。对于主机来讲, “双栈”是指其可以根据需要来对业务产生的数据进行 IPv4 封装或者 IPv6 封装。对于路由器来讲, “双栈”是指在一个路由器设备中维护 IPv6 和 IPv4 两套路由协议栈,使得路由器既能与 IPv4 主机也能与 IPv6 主机通信,分别支持独立的 IPv6 和 IPv4 路由协议,IPv4 和 IPv6 路由信息按照各自的路由协议进行计算,维护不同的路由表。如果要实现全网双栈,则需要在所有的三层设备上启用双栈,如我们学校的出口路由器,核心路由交换机,防火墙都需要升级为可以支
22、持双栈功能。对于终端需要安装相应的IPv6 协议组,并配置有 IPv6 地址即可。双协议栈主机可以通过对域名系统 DNS 的查询知道目的地主机是采用哪一种地址。若 DNS 返回的是 IPv4 地址,源主机就使用 IPv4 地址。但当 DNS 返回的是 IPv6 地址时,源主机就使用 IPv6 地址。如图三,所示全双栈方式的组网方式。而常用的双栈迁移方式是从核心向边缘的迁移。这涉及在出口路由器上实现两个TCP/IP 协议栈,接着是其他三层设备和防火墙,然后是服务器群,路由器,最终是桌面接入路由器。在网络支持 IPv6 和 IPv4 协议后,这一过程将实现服务器上的双栈,然后是边缘计算机系统。在完
23、全过渡到 IPv6 之前,使一部分主机或路由LL器装有两个协议栈,一个 IPv4 和一个 IPv6。双协议栈主机或路由器既能够和 IPv6 的系统通信,又能够和 IPv4的系统通信。这种方式对网络架构上不需要做很多的调整,可以根据建设进度及预算情况逐渐向 IPv6 过渡,是一种比较稳妥的方式。3. 基于欧亚学院校园网的过渡方案到目前为止,过渡方案还都没有脱离以上三种过渡技术的范畴。然而,这些方案都是针对某些特定情况,为满足特定需求所制定的。在实际应用中还要结合实际的组网情况和需求差异选择最合适的过渡技术和方案。我校在考虑过渡 IPv4 至 IPv6 的过渡方案时,遵循如下一般性原则:(1)保证
24、已有的 IPv4 应用在新的综合组网环境中不会受到影响。(2)最大程度的保护已有投资,能通过升级实现的,尽量不要更换新的设备。(3)灵活组网,在资金允许的情况下使网络渐进升级,不要求一步到位。(4)新的组网应当能充分体现出 IPv6 的优势。我们不是为了接入 IPv6 而接入,而是希望能体验到 IPv6 带给我们在安全以及应用方面的新感受;(5)保证 IPv4 和 IPv6 主机互通。因为只有网络层面互通才谈得上业务层面互通。欧亚学院于 2004 年建成了覆盖全院的校园网,用于学校教学、办公以及学生上网娱乐。因目前 IPv4 仍可以满足正常的教学和办公,没有大规模的 IPv6 应用,所以前期先
25、以建设实验室出发,在不破坏现有的组网模式的前提下,小范围的接入 IPv6 网络,来满足科研需求。日后随着 IPv6 应用的逐渐普及再慢慢扩大建设规模。欧亚学院校园网络核心和汇聚层设备分别采用了华为和神州数码的中高端路由交换机,大多数网段的网关都由这三台设备来承担,方便我们日后逐步升级为双栈。出口采用华为的 NE 路由器做 NAT 和出口路由选择。这里我们计划采用双栈技术做 IPv6 接入,首先我们要将出口路由器升级为双栈,并将其接入到 IPv6 网。新建的 IPv6 实验室采用二层交换机将所有设备汇接到出口路由器上,同时实验室的所有终端设备需要安装双栈协议。这样当实验室的设备需要访问 IPv6
26、 资源时,就通过出口路由器向外做连接。要访问 IPv4 资源时,可通过出口路由选择 IPv4 的出口,这样的组网同样满足 IPv6 实验室的终端对内网资源的访问。当 IPv6 的接入需求逐渐增加时,我们可以将相应的核心及其对应的网关设备逐步升级为双栈。参考文献1 Postel, “Internet Protocol”, RFC 0791, September2 何涛等. IPv6 试验床的实践与研究.计算机应用,2001.123 余冬梅,廖永刚,张秋余.基于 IPv4 网络的 IPv6 隧道传输技术的研究 J .计算机工程与设计浅谈基于校园网拒绝服务攻击的分析及防范校园网络的建设和普及,给学校
27、的教学和管理、学生的学习生活等多方面带来了极大的方便,并担负着支持全校教学和科研工作的重要职责,然而校园网在网络安全方面并非一方“净土”,从黑客的发展历史看,黑客(入侵者)和校园网络有很深的渊源。 1 拒绝服务(DoS)攻击在校园网内频繁发生的原因 拒绝服务 DoS(DenialofService)攻击顾名思义就是使 Internet 中的受攻击对象(主机、服务器、路由器等网络设备)无法提供或者接受正常服务的一种攻击,典型的 DoS 攻击中,攻击者向受害者发送大量的数据从而消耗其资源(网络带宽,路由器上的包缓冲区,目标机器的CPU 和内存 ),从而使用户无法访问所需信息。因此可以说 DoS 是
28、一种损人不利已的攻击行为。 从拒绝服务攻击的原理可以看出,不管是拒绝服务攻击阶段还是分布式拒绝服务攻击的攻击阶段,都需要很高的网络带宽。而校园网络的宽带和大量主机资源,以及学生的好奇,想在教育网络中进行入侵实验的诸多特点,正好满足拒绝服务攻击的要求,这就是校园网成为拒绝服务攻击的“一方乐土”的重要原因。在比较严重的网络攻击事件中,以校园网为“基地”发起的拒绝服务攻击事件令人印象深刻。最著名的是 2002 年黑客对 Yaho 和 Ebay等网站发起的拒绝服务攻击,使这些网站的服务一度关闭,据调查,这些攻击就是从校园网络中发起的。 拒绝服务攻击不仅可以利用校园网络为“基地”发起,攻击校园网以外的目
29、标,更多的是攻击校园网内部的目标,特别是在攻击者“练手”的实验阶段。通过调查发现,校园网的入侵方式中拒绝服务攻击最多,危害也最大。由于校园网具有开放、高带宽、多主机等特点,校园网内部网络入侵一般具有以下特征: 大规模。所谓大规模,一方面是指发动入侵所涉及的网络范围大或者主机数量多,引起的网络流量大,另一方面指入侵形式不是一对一,而是多对一或多对多。 分布式。所谓分布式入侵是指从多个地点、多台主机发起甚至是联合发起的。 通过上述对校园网络安全特点的分析,我们可以看出校园网具有拒绝服务攻击存在的种种“优势”。古语云“ 知己知彼,百战不殆 ”,因此研究拒绝服务攻击对于校园网的安全,具有非常现实 l
30、的意义。 2 常见的几种拒绝服务拒绝攻击(DoS) 服务拒绝攻击是最容易实施的攻击行为之一,攻击操作方法多种多样,可能是单一的手段,也可能是多种方式的组合利用,DoS:c 击主要包括: (1) 死亡之 ping 由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对 TCPIP 栈的实现在 ICMP 包上都是规定 64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过 ICMP 上限的包也就是加载的尺寸超过 64KB 上限时,就会出现内存分配错误,导致 TCPIP 堆栈崩溃,致使接收方死机。 防御方法:现在所有的标准
31、 TCPIP都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从 wind0ws98 之后的 windowsNT(servicepack3 之后)、Linux、Solaris 和 MacOS 都具有抵抗一般死亡之 ping 攻击的能力。此外,对防火墙进行配置,阻断 ICMP 以及任何未知协议,都能防止此类攻击。 (2)泪滴攻击 泪滴攻击是利用在 TCPIP 堆栈中实现信任 lP 碎片中的包的标题头所包含的信息来实现自己的攻击。对于一些大的 lP 包,需要对其进行分片传送,这是为了迎合链路层的MTU(最大传输单元) 的要求。比如,一个 4500 字节的 lP 包,在 MTU
32、为 1500 的链路上传输的时候,就需要分成三个 lP 包。在 lP 报头中有一个偏移字段和一个分片标志(MF),如果 MF 标志设置为 1,则表明这个 lP 包是一个大 lP 包的片断,其中偏移字段指出了这个片断在整个 lP 包中的位置。例如,对一个 4500 字节的 IP 包进行分片 (MTL 为 1500),则三个片断中偏移字段的值依次为:0,1500,3000。这样接收端就可以根据这些信息成功地组装该 lP 包。 如果一个攻击者打破这种正常情况,把偏移字段设置成不正确的值,即可能出现重合或断开的情况,就可能导致目标操作系统崩溃。这就是所谓的泪滴攻击。防御方法:服务器应用最新的服务包,或
33、者在设置防火墙时对分段进行重组,而不是转发它们。 (3)UDP 洪水 各种各样的假冒攻击利用简单的 TCPlP 服务,如 Chargen 和 Echo 来传送毫无用处的占满带宽的数据。通过伪造与某一主机的 ChargenL 务之间的一次的 UDP 连接,回复地址指向开着 Echo。服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。 防御方法:关掉不必要的 TCPIPL 务,或者对防火墙进行配置阻断来自 Internet 的这些服务的 UDP 请求。 (4)SYN 洪水 在 TCPIP 的连接建立过程中,正常情况下连接双方需要完成从客户向服务
34、器发送的一个SYN 请求消息(第一次握手),服务器同意响应的 SYNACK(第二次握手) ,当客户收到SYNACK 后,再向服务器发送一个 ACK 消息(第三次握手)的 3 次握手过程,一个 TCP连接才被建立,在 3 次握手过程中,服务器需要保持所有未完成的握手信息在有限的内存缓冲区中,如果攻击者不停地向该服务器发送 SYN 连接请求,而又不向服务器回复 ACK信息,内存缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应。防御方法:在防火墙上过滤来自同一主机的后续连接。但是,未来的 SYN 洪水令人担忧,由于释放洪水并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。(5
35、)LAND 攻击 LAND 攻击利用了 TCP 连接建立的三次握手过程,通过向一个目标计算机发送一个TCPsYN 报文(连接建立请求报文) 而完成对目标计算机的攻击。与正常的 TCPsYN 报文不同的是,LAND 攻击报文的源 lP 地址和目的 lP 地址是相同的,都是目标计算机的 lP 地址。这样目标计算机接收到这个 sYN 报文后,就会向该报文的源地址发送一个 AcK 报文,并建立一个 TcP 连接控制结构(TCB),而该报文的源地址就是自己,因此,这个 AcK 报文就发给了自己。这样如果攻击者发送了足够多的 SYN 报文,则目标计算机的 TCB 可能会耗尽,最终不能正常服务。防御方法:打
36、最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有内部源地址滤掉。 (6)smurf 攻击 ICMPECHO 请求包用来对网络进行诊断,当一台计算机接收到这样一个报文后,会向报文的源地址回应一个 ICMPECHOREPLY。一般情况下,计算机是不检查该 ECHO 请求的源地址的,因此,如果一个恶意的攻击者把 ECHO 的源地址设置为一个广播地址,这样计算机在回复 REPLY 的时候 ,就会以广播地址为目的地址,这样本地网络上所有的计算机都必须处理这些广播报文。如果攻击者发送的 ECHO 请求报文足够多,产生的 REPLY 广播报文就可能把整个网络淹没。这就是所谓的 smurf 攻击
37、。除了把 EcHO 报文的源地址设置为广播地址外,攻击者还可能把源地址设置为一个子网广播地址,这样,该子网所在的计算机就可能受到影响。防御方法:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉 ICMP 包。 (7)Fraggle 攻击 Fraggle 攻击是对 Smurf 攻击作了简单的修改,使用的是 UDP 应答消息而-ICMP防御方法:在防火墙上过滤掉 UDP 应答消息。 (8)电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。防御方法:对邮
38、件地址进行配置,自动删除来自同一主机的过量或重复的消息。 (9)畸形消息攻击 各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息时可能会崩溃。防御方法:打上最新的服务补丁。 (10)分布式拒绝服务攻击(distributed denialofservice,DDoS) DDoS 攻击是网络攻击中最有害的攻击之一,它是在传统的 DoS 攻击基础之上产生的一类攻击方式,单一的 DoS 攻击一般采用一对一的方式,如果用一台攻击机不能起到作用的话,攻击者就使用 10 台、1OO 台攻击机同时产生攻击,最终导致被攻击的机器无法及时处理请求。 一
39、个比较完善的 DDoS 攻击体系可分成四部分:黑客、控制机、代理攻击机、被攻击目标。在攻击时先由黑客入侵并控制大量的主机从而取得控制权,使他们成为控制机和攻击机,然后在这些被入侵的主机中安装 DDos 攻击程序,并利用这些被控制的代理攻击机对攻击目标发起 DDoS 攻击,从而成倍地增加了攻击的威力。 3结语 虽然拒绝服务攻击是一种技术含量低、容易实施的攻击行为,但是它的攻击效果明显而且相当难以防范,因此防范工作至关重要,总的来说应从合理配置路由器的控制流量、科学部署防火墙保护内部网络、及时升级系统软件和应用软件、安装 NIDS、建立与防火墙联动体系等多方面入手,将拒绝服务攻击的危害降到最低。关
40、于网络称谓的使用及特征分析论文关键词 网络称谓 社会心理 文化特征 论文摘要通过对网络称谓的姓名称谓、职称与职务称谓和人称代词称谓形式的分析研究,解读了网络环境下的称谓使用者对自然和 生活的热爱、对名人的崇拜、对新奇事物的追求、对平 民生活 的向往和对传 统的挑战等社会心理,探讨了网络称谓听体 现出的时代性与非传统性、易变性与随意性 、隐匿性与无定位性、社群 性与地域 性等文化特征。 从社会语言学和文化语言学的观点看,称谓语是一种特殊的语言符号,也是一种重要的社会语言学现象,含有浓厚的文化特色和语用特点。它和社会发展相互映照,揭示社会发展的轨迹。近年来,随着信息交流的全球化,互联网雨后春笋般迅
41、速崛起,网络给人们带来的影响也不再局限于经济、技术等领域。社会、文化、伦理道德、人类生活的方方面面都因网络而急剧变化。网络文化逐渐作为单一的社会文化分支而独立存在,网络语言是网络媒体广泛运用下所产生的新事物和新文化现象,其中的网络称谓反映了社会的发展和变化。由于网络称谓主要用于网络世界,传统意义上的“面称”几乎没有,主要以“自称”、“背称”和“互称 ”的形式出现,因此我们通过对使用中的具体称谓形式的研究,来分析使用者的社会心理以及文化意识。 一、网络称谓的主要形式 (一) 姓名称谓 网络环境下,姓名称谓主要以网名的形式出现。网名主要用于交流时的自称和互称。网络环境是虚拟的空间,人们不再过多关注
42、交际双方地位的高低、年龄的大小,传统因素对其影响减弱 ,网名成为网络交流中的广泛使用的称谓形式。从功能上看,网名与普通姓名一样,是用来指称、识别人 的身份的;从意义上看,绝大多数 网名不仅有理性义,而且有丰富的联想义和文化义,这一点正是人名区别于普通 代码符的重要特征;从使用数量和价值来看,网名已超过了笔名、小名、教名、艺名、爱称 、简称等人名现象 ,且极具发展潜力。但网名与传统名字相比,具有极大的随意性 ,通常是不假思索,信手拈来,完全突破了传统取字命名的模式。很多网名跟普通用语没有什么两样,形式上看不出是个名字 ,如“你好”、 “我是谁 ”、 “嘻嘻哈哈”、 “挤车上班”、 “要玩就玩个痛
43、快”等。这种不受传统取名约束的随意性,为命名提供了广阔的创造空间,网民可以根据 自己的爱好和特点,调动自身的生活积累和文化知识,自由地驰骋想像,不拘一格地取字命名,因而极大地丰富了网络称谓中的姓名称谓 。 由于受命名形式 随意性的影响,网络 自称或互称称谓 的构成 方 式 也 比较 随意 和 反传 统 。BBSIcQ、聊天室中的网民 自称称谓 中最常见 的方式就是词。在 BBS、1CQ 和聊天室 中,网民的互称和 留名大多也是以词 的形式出现 的。如 :简单 、伤心 、清逸 、飘然 、等待 、牵手 、逍遥 、喜叹等等。网络中最 常见、使 用最频 繁,恐怕要 数短语 名称了。从 “棒棒糖” 、
44、“老顽童”、 “蓝月儿”的清纯率 真 ,到“ 楚 菡一叶”、 “晓风残月”、 “灯火阑珊处”的耐人寻味,各具特色。小句称谓形式似乎更能展示出署名者的个性特征。如:老妇冷眼观聊 、人到 中年、女人今年 28、明月别枝 、天若有情 、我 自轻狂;还有一些 以疑 问句 出现的小句称谓 ,诸如 :爱需要名分吗?戒烟如何?我快乐吗?;以祈使句出现的也不乏其例 ,如 :不要嫁给我 !别惹我 !请别 自寻烦恼 !;非主谓句式 如:找到啦。别看我 !不顺眼。另外还有紧缩 句式 如:一见你就笑 、越聊越没劲儿、有泪却无痕等等。英文、拼音 网络名称也是上网者 自称 的捷径使用全名的有 ,使用缩略的也有 ,如For
45、ever、RosyLAT(Lovely And Talented ,漂亮 而又有才华 的女性) 、Cz(姓名拼音字头缩写)。数字、符号形式也是不可缺少的,诸如 :168(一路发) 、 555(呜呜呜,大哭的人)、59420( 我就 是爱你 )、 (小 猪)、8:一)(小女孩)、B 一)(蝙蝠侠 ),还 有一些英文、汉字、拼音数字乃至符号的杂合称谓 ,诸如:e 龙、yefeng801299G1、O451 女士、不管 3721XX 我想我是海 ;最让人匪夷所思 的是那些不 成词句 的网络称 谓 ,诸如:冷帅 、恬可 、无?、临风一?、觅觅何 、行色匆等。姓名称谓类型之多,形式之丰富,难以胜举。 (
46、二) 职称、职务称谓 职称、职务称谓,主要是对 网站管理者的称呼一般只出现在论坛和 BBs 内。汉语文化受其差序格局的社会结构 的影响,其称谓行为偏 向“权势性”关系,用职务职称相称,体现对受话人尊重。由于系统的管理者享有一定的管理权 限,在汉语系统 中就选择了具有一定职衔色彩的称谓词 ,称 呼其为“站长”或“ 总管”、 “主管”,称呼每一个版 面的管理者为“斑竹或斑猪(版主)”及“ 板 斧( 版副)”,对话题发起人 ,称之为“帖主”,又因为帖子由上至下的排列似楼状,又被称作“楼主” ;其余 的人则称为“ 一楼 的”(指第一个跟帖的作者)、 “二楼 的”等等称谓;对前面帖子的发表者则称为“楼上
47、 的”,其余人皆为“网友”。职称、职务称谓还包括汉字表示的:网民、网虫、网迷 、大虾(大侠) 、美眉、菜鸟、恐龙、青蛙、黑客等。由于网络环境的特殊性,职称 、职务一类的称谓已不像传统称谓那样发挥其体现交 际参与者的身份、地位、社会关系等定位功能。 (三) 人称代词称谓 人称代词称谓主要指第二人称代词“你”和“ 您”的指示功能的使用。在西方文化和语言中有比较明显的区别 , “你 (T)”“您(V)”使用的选择是根据交际对象变化的。即便 网络交际人与人之间等级差异界线模糊,网络称谓存在较强的自主性、随意性,但网络称谓语在称呼代词“你”与“ 您”的选择上,某些情况下 、某种程度上仍遵循着与现 实社会
48、一脉相承的规则。人称代词由于能直接表示说话 人之 间的关系,所以在不同场合,它具有非常丰富、多样的表情与感情意味。在网络言语交际环境下,同样体现着细致的礼貌差异,网民在使用第二人称代词时同样可以根据不同的语境加以选择。这种现象在法语、俄语和德语中比较常见。一般聊天室里交谈者多以“你”相称,而在论坛和 BBs 里,较多使用“您”来表示礼貌、尊敬的态度。受汉语语言习惯 的影响,无论是在话题比较轻松,交谈信息往复传递的速度很快的聊天室,还是就某一话题开展讨论 的论坛或 BBS 里,汉语 网民相互间一般用“你”称 呼。但在网络邮件的传递时,交际双方对这点的考虑还是比较明显的,也存在着“你”“您”选择上
49、的区别。 二、网络称谓使用者的社会心理分析 网络称谓,较之历史上任何 时期 的称谓都更显丰富而杂乱。然而,深入其中我们可以发现丰富多彩的网络称谓主要从以下几个方面折射出其使用者丰富的社会文化心理。 (一) 对自然、生活的热爱 当今社会,人们学习、工作 、生活的压力比比皆是,而年轻人对生活 的热爱,对无拘无束、回归 自然的生活的向往从网络称谓中得到了体现。诸如“露珠”、 “海天一色”、 “梦里水乡”、 “半边忧郁王子” 、 “天外来客”、 “浪漫真好” 、 “渴望情感”等自称便大量涌现 出来 。自然对人有着双重的意义,它不仅是人的物质生活的源泉 ,也是人的精神家园,现代文明对自然的掠夺和破坏 ,使得失去了精神家园的人们 只好选择各种各样的符号 ,在 网络世界中重建一个精神家园。这一点可以从 网络的姓名称谓 中窥见一斑 。有的人用纯粹 的自然事物来给 自己命名 ,如“大海” 、 “大森林”、 “蔷薇”、 “山植树”、 “风 中百合”、 “孤雁”等;有的是将自己的喜好与 自然事物结合起
