避免被恶意无线网络攻击正确操作_如何防范计算机网络攻击

‘壹’ 怎么在电脑上设置防蹭网

你家的无线宽带是否被人“蹭”过?如何赶跑恶意的“蹭网小偷”?很多人可能会认为，蹭网，不就是自己家的无线网络被别人用一下么?千万不要轻视“被蹭网”的危害。如果想要知道自己的无线网是否被别人蹭到，想知道别人是怎么破解无线密码的，想知道如何防止别人蹭wifi ，接下来是我为大家收集的在电脑上设置防蹭网方法，欢迎大家阅读。
在电脑上设置防蹭网方法步骤
1、采用WPA/WPA2-PSK加密：

蹭网一族一般用的都是傻瓜破解软件，只能破解WEP加密的无线信号;稍微高级点的蹭网族会用抓包工具分析数据包里面的内容，从而破解得到WEP的密钥。但是如果采用了WPA-PSK或者WPA2-PSK加密的话，一般情况下很难有人可以蹭到你的网。这是目前杜绝蹭网最有效的方法!设置方法也很简单，只要进到无线设置中，把加密模式改为WPA-PSK，再输入密钥就OK啦。

2、关闭SSID(网络名称)广播：

设置好无线加密后，我们就需要开始隐藏自己了。通过关闭无线路由/AP的SSID广播，“蹭网”者就很难在搜索无线时发现你的无线网络，这也就减少了你的无线网络被“蹭”的机会。当然，修改一个有个性的SSID也很重要，这样可以防止被“蹭网”者猜到。设置方法很简单，进入无线路由/AP的Web配置界面，然后找到“基本设置”菜单，在其中修改SSID名称，然后选择“停用SSID广播”，最后点击确定即可。

3、关闭DHCP功能：

关闭了SSID广播，我们还需要关闭DHCP功能，也就是让无线路由/AP无法自动给无线客户端分配IP地址。而为了进一步防止被“蹭网”，我们最好修改无线路由/AP的默认IP地址，例如默认IP地址为：192.168.1.1，我们可以修改为10.0.0.1，这样可以防止被“蹭网”者轻易猜到。设置方法同样简单，进入无线路由/AP的Web配置界面，找到“局域网设置”菜单，然后修改默认IP地址，并“停用DHCP服务器”，最后点击确定即可。

4、降低发射功率和升级固件：

目前有些无线路由/AP具有调节无线发射功率这个功能，通过调节无线发射功率，可以控制无线网络的覆盖范围，这样同样可以阻止“邻居”的“蹭网”，因为它很难搜索到你的无线信号。另外，升级无线路由/AP的固件同样重要，因为它不仅可以修复一些安全漏洞，还有可能增加额外的防护功能，从而获得更好的安全防护效果。

5、设置MAC地址过滤：

在防止“蹭网”的整体设置中，MAC地址过滤是非常关键的一步。我们利用网络设备MAC地址唯一性的特点，通过设置“允许MAC地址连接”的列表，仅允许列表中的客户端连接无线网络，这样即使无线密钥被破解，“蹭网”者依然无法连入你的无线网络。MAC地址过滤一般在无线路由/AP的“高级设置”菜单中，我们只需启用其中的MAC地址过滤功能，并将允许连接的客户端设备的MAC地址输入在列表中，最后点击确定即可。

6、修改内部IP设置：

如果你觉得还不够安全，那么可以继续设置。首先，关闭DHCP服务器。DHCP可以自动为无线网络分配IP，这也同时方便了蹭网一族破解了你的密钥以后接入你的路由器。关闭DHCP以后，自己的电脑无线网卡需要手动指定IP，别急，咱先把路由器的内部IP改掉。

一般路由器默认IP地址都是192.168.1.1，也就是网关地址，我们把该地址改为任意的一个内网地址，比如172.88.88.1，这样内部的电脑可以指定IP为172.88.88.X网段。如此一来，一般的蹭网族根本就摸不清你内网的IP设置，也无法下手给自己分配IP上网。

7、通过专门的网络准入控制系统来实现防止局域网蹭网

目前国内有很多专门的局域网网络准入控制系统，可以阻止某些电脑接入局域网，也就是阻止使用共同的路由器上网。例如有一款“大势至网络准入控制系统”(下载地址：http://www.grabsun.com/wailaidiannaokong.html)，只需要在公司局域网一台电脑部署，然后就可以实时监测接入到局域网的电脑、手机或平板，然后通过将其加入到黑名单，即可阻止其访问局域网其他电脑或服务器，并可以阻止其访问外网，也即实现了禁止其蹭网的功能。如下图所示：

总之，局域网防止蹭网的方法很多，但大体不外乎通过设置无效路由器和通过专门的网络准入控制软件两种方式，具体采用哪种方式，企事业单位可以根据自己的需要进行抉择。

看了“怎么在电脑上设置防蹭网”还想看：

1. 电脑怎么防蹭网

2. win7怎么设置防止蹭网

3. 电脑怎么样防止别人蹭网上网

4. 怎么设置无线网络防蹭网

‘贰’ 如何防止wifi被盗用

防止他人盗用WiFi的方法

1、设置复杂的WiFi密码。

在无线路由器的设置界面，打开“安全”或“选项卡”，选择WPA-PSK或WPA2-PSK密码，尽量选择后者，因为更加的安全。然后设置一个较为复杂的WiFi密码。

回答仅供参考，更多安徽电信套餐，业务资讯可以关注安徽电信公众号。

‘叁’ 怎样防止自家的无线网络被蹭网

路由器系统构成了基于TCP/IP 的国际互联网络Internet 的主体脉络，也可以说，路由器构成了Internet的骨架。有些员工不负责把无线使用WIFI万能钥匙分享出去，这样附近人的手机只要有安装WIFI万能钥匙就可以连接上这我的这台无线路由器。那么怎样防止自家的无线网络被蹭网呢，来看看吧

第一种，设置无线密码

1、首先将电脑和路由器(我的是Tp-link)连接，然后打开浏览器输入：192.168.1.1(路由器品牌不同，进入路由器管理ip也会有所不同)具体的可以看路由器背面的系统参数.

2.输入帐号密码(默认的都在路由器背面)，登录路由器管理界面

3.进入管理界面之后，如果你是第一次使用路由器，则找到设置向导，然后一步一步的设置参数。等到无线设置的时候选择WPA-PSK/WPA2-PSK加密方式密码尽量设置的复杂一点，可以是字母数字标点符号等等，这样就算是一些解除工具也需要很长时间才能解除

4、这样设置完毕，感觉还不安全的话，可以增加第二种安全模式

第二种，限制mac的方法

1.这种方式相对第一种设置密码的方式相对安全一点，但是结合第一种可以最大程度降低被蹭网的系数，也能降低路由器的负荷。

2.首先，怎样查找mac呢，windows系统，按住键盘上的Win+R，打开运行，然后输入命令cmd回车。

3.然后看到一个黑色的框框，在框框里输入ipconfig /all,查看网络配置。然后找到以太网适配器本地链接：列表里物理地址就是你这台电脑的，MAC地址，注意保存下来，等下要去路由器里面绑定用。

4、还有好多人对输入命令的方式不习惯，那么还有一种更直观的。找到电脑右下角有个网络标识，右键，打开网络适配中心，右键本地连接->状态->详细信息，如图所示，也能找到mac

5、安卓苹果手机mac，基本都在系统设置->关于本机->状态信息：WLANMAC地址那一栏，(个别手机品牌可能会有不同，是具体情况而定)

6、接下来就是到路由器设置部分了。进入路由的方法和上面相同。进入之后找到无线设置->无线MAC地址过滤->添加新条目。然后把已经保存下来的mac输入到路由器里面

7、输入完成需要过滤的mac地址之后，按图片上的设置，完成最后的配置。配置完成之后。重启路由器。

8、路由器重启完毕，大功告成，接下来你就可以体验，强大的路由器防蹭网功能了。如果觉得不安全，可以找一台米有绑定的手机连接上去看能不恩那个上网。哈哈答案是肯定的。不能上网哈o(∩_∩)o

相关阅读：路由器安全特性关键点

由于路由器是网络中比较关键的设备，针对网络存在的各种安全隐患，路由器必须具有如下的安全特性：

(1)可靠性与线路安全可靠性要求是针对故障恢复和负载能力而提出来的。对于路由器来说，可靠性主要体现在接口故障和网络流量增大两种情况下，为此，备份是路由器不可或缺的手段之一。当主接口出现故障时，备份接口自动投入工作，保证网络的正常运行。当网络流量增大时，备份接口又可承当负载分担的任务。

(2)身份认证路由器中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。

(3)访问控制对于路由器的访问控制，需要进行口令的分级保护。有基于IP地址的访问控制和基于用户的访问控制。

(4)信息隐藏与对端通信时，不一定需要用真实身份进行通信。通过地址转换，可以做到隐藏网内地址，只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接，网外用户不能通过地址转换直接访问网内资源。

(5)数据加密

为了避免因为数据窃听而造成的信息泄漏，有必要对所传输的信息进行加密，只有与之通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密，即使在Internet上进行传输，也能保证数据的私有性、完整性以及报文内容的真实性。

(6)攻击探测和防范

路由器作为一个内部网络对外的接口设备，是攻击者进入内部网络的第一个目标。如果路由器不提供攻击检测和防范，则也是攻击者进入内部网络的一个桥梁。在路由器上提供攻击检测，可以防止一部分的攻击。

(7)安全管理

内部网络与外部网络之间的每一个数据报文都会通过路由器，在路由器上进行报文的审计可以提供网络运行的必要信息，有助于分析网络的运行情况。

怎样防止自家的无线网络被蹭网相关文章：

1. 怎么防止家里的无线WiFi被他人蹭网

2. wifi怎么防止别人蹭网

3. 家里无线网怎么设置不让别人蹭网

4. 无线路由器怎样防止别人蹭网

5. 路由器防止他人蹭网的设置方法步骤

‘肆’ 怎样防止网络黑客攻击呢

一、取消文件夹隐藏共享

如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择共享，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢？

原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给网络安全带来了极大的隐患。

怎么来消除默认共享呢？方法很简单，打开注册表编辑器，进入“HKEY_LOCAL_”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。

二、拒绝恶意代码

恶意网页成了宽带的最大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。

一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。

运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

三、封死黑客的“后门”

俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧！

1.删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS.

2.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“网络邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

3.把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

4.禁止建立空连接

在默认的情况下，任何用户都可以通过空连接连上服务器，枚举账号并猜测密码。因此，我们必须禁止建立空连接。方法有以下两种：

方法一是修改注册表：打开注册表“HKEY_LOCAL_”，将DWORD值“RestrictAnonymous”的键值改为“1”即可。

最后建议大家给自己的系统打上补丁，微软那些没完没了的补丁还是很有用的！

四、隐藏IP地址

黑客经常利用一些网络探测技术来查看我们的主机信息，主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念，如果攻击者知道了你的IP地址，等于为他的攻击准备好了目标，他可以向这个IP发动各种进攻，如DoS（拒绝服务）攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。

与直接连接到Internet相比，使用代理服务器能保护上网用户的IP地址，从而保障上网安全。代理服务器的原理是在客户机（用户上网的计算机）和远程服务器（如用户想访问远端WWW服务器）之间架设一个“中转站”，当客户机向远程服务器提出服务要求后，代理服务器首先截取用户的请求，然后代理服务器将服务请求转交远程服务器，从而实现客户机和远程服务器之间的联系。很显然，使用代理服务器后，其它用户只能探测到代理服务器的IP地址而不是用户的IP地址，这就实现了隐藏用户IP地址的目的，保障了用户上网安全。提供免费代理服务器的网站有很多，你也可以自己用代理猎手等工具来查找。

五、关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口，如果安装了端口监视程序（比如Netwatch），该监视程序则会有警告提示。如果遇到这种入侵，可用工具软件关闭用不到的端口，比如，用“Norton Internet Security”关闭用来提供网页服务的80和443端口，其他一些不常用的端口也可关闭。

六、更换管理员帐户

Administrator帐户拥有最高的系统权限，一旦该帐户被人利用，后果不堪设想。黑客入侵的常用手段之一就是试图获得Administrator帐户的密码，所以我们要重新配置Administrator帐号。

首先是为Administrator帐户设置一个强大复杂的密码，然后我们重命名Administrator帐户，再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来，入侵者就很难搞清哪个帐户真正拥有管理员权限，也就在一定程度上减少了危险性。

七、杜绝Guest帐户的入侵

Guest帐户即所谓的来宾帐户，它可以访问计算机，但受到限制。不幸的是，Guest也为黑客入侵打开了方便之门！网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法，所以要杜绝基于Guest帐户的系统入侵。

禁用或彻底删除Guest帐户是最好的办法，但在某些必须使用到Guest帐户的情况下，就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码，然后详细设置Guest帐户对物理路径的访问权限。举例来说，如果你要防止Guest用户可以访问tool文件夹，可以右击该文件夹，在弹出菜单中选择“安全”标签，从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限，比方说只能“列出文件夹目录”和“读取”等，这样就安全多了。

八、安装必要的安全软件

我们还应在电脑中安装并使用必要的防黑软件，杀毒软件和防火墙都是必备的。在上网时打开它们，这样即便有黑客进攻我们的安全也是有保证的。

九、防范木马程序

木马程序会窃取所植入电脑中的有用信息，因此我们也要防止被黑客植入木马程序，常用的办法有：

● 在下载文件时先放到自己新建的文件夹里，再用杀毒软件来检测，起到提前预防的作用。

● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目，如果有，删除即可。

● 将注册表里 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的所有以“Run”为前缀的可疑程序全部删除

‘伍’ 教你保护无线网络安全连接九大方法

无线网络系统如果没有采取适当的安全措施，无论这个无线系统是安装在家中还是办公室里，都可能引发严重的安全问题。事实上，一些针对住宅区提供互联网服务的提供商已经在他们的服务协议中禁止用户和其它非授权人共享联网服务。一个不安全的无线网络可能造成服务丢失或是被利用来对其他网络发起攻击。为了避免类似的一些无线网络安全漏洞，这里我们介绍几种便捷的无线网络安全技巧。

使用无线加密协议

无线加密协议(WEP)是无线网络上信息加密的一种标准方法。现在出产的无线路由器几乎都向用户提供加密数据的选择，妥善使用此功能就可以避免自己的银行账户的细节信息(包括口令等)不会被居心叵测的人截获。不过，需要注意，Wi-Fi保护访问技术(WPA和WPA2)要比WEP协议更加强健，因此在保障无线通信安全方面作用更大。

使用MAC地址过滤

在正常情况下，无线路由器和访问点都拥有防止未知的无线设备连接到网络的能力。这种功能是通过比较试图连接到路由器的设备MAC地址和路由器所保存设备的MAC地址而实现的。不过，不幸的是，在路由器出厂时这种特性通常是关闭的，因为这需要用户的一些努力才能使其正确工作，否则反而无法连接网络。因此，通过启用这种特性，并且只告诉路由器本单位或家庭中无线设备的MAC地址，我们就可以防止他人盗用自己的互联网连接，从而提升安全性。

但不要完全依赖这条措施，也可以这样说，使用MAC地址过滤并不是对付死心塌地地克隆MAC地址并试图连接到用户无线网络的黑客们的救命良药，但你确实应当采用这项措施来减少网络风险。

设置安全口令

为无线的互联网访问设置一个口令至关重要。选择一个强口令有助于无线网络的安全，但不要使用伴随无线路由器的默认口令，也不要使用可从字典上轻易查出的单词或家人的生日等作为口令。

在不使用网络时将其关闭

如果用户的无线网络并不需要每周的24小时都提供服务，可以通过关闭它而减少被黑客们利用的机会。虽然许多企业并不能离开网络，而且将这条建议付诸实施可能不太现实。但对一个系统安全性的最重大改进措施之一就是直接关闭它。因为没有任何人可以访问一种并不存在或打开的服务。

监视网络入侵者

用户应当一直监视网络活动，并保障跟踪其趋势。用户特别是管理员对恶意的黑客活动了解得越多，就越容易找到应对策略。网管员应当收集有关扫描和访问企图的日志，并利用现有的大量统计数字生成工具，以便于将这些日志变为更有用的信息。还要设置日志服务器，使其在发现确实有恶意活动发生时能够向管理员发送警告或电子邮件。笔者认为，了解危险相当于赢得了斗争胜利的一半。

改变服务集标识符并且禁止SSID广播

服务集标识符(SSID)是无线接入的身份标识符，用户用它来建立与接入点之间的连接。这个身份标识符是由通信设备制造商设置的，并且每个厂商都用自己的缺省值。例如，3COM的设备都用“101”。因此，知道这些标识符的黑客可以很容易不经过授权就享受你的无线服务。你需要给你的每个无线接入点设置一个唯一并且难以推测的SSID。

如果可能的话，还应该禁止你的SSID向外广播。这样，你的无线网络就不能够通过广播的方式来吸纳更多用户，当然这并不是说你的网络不可用，只是它不会出现在可使用网络的名单中。

仅在某些时段允许互联网访问

现在出产的一些最新无线路由器允许用户将对互联网的访问限制在一天的某些时段。例如，如果你不需要从周一到周五的上午8点到下午6点之间访问互联网，那么干脆打开你的路由器设置来禁用这些时段的访问!

使用无线加密协议

使用MAC地址过滤

设置安全口令

在不使用网络时将其关闭

监视网络入侵者

改变服务集标识符并且禁止SSID广播

仅在某些时段允许互联网访问

禁用动态主机配置协议

这好象是一个奇怪的安全策略，但是对于无线网络，它是有道理的。通过这个策略，你将迫使黑客去解除你的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。

禁用或修改SNMP设置

如果你的无线接入点支持SNMP, 那么你需要禁用它或者修改默认的公共和私有的标识符。你如果不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。是对于无线网络，它是有道理的。通过这个策略，你将迫使黑客去解除你的IP地址，子网掩码，和其它必需的TCP/IP参数。因为即使黑客可以使用你的无线接入点，他还必需要知道你的IP地址。

禁用或修改SNMP设置

如果你的无线接入点支持SNMP, 那么你需要禁用它或者修改默认的公共和私有的标识符。你如果不这么做的话，黑客将可以利用SNMP获取关于你网络的重要信息。

‘陆’ 如何防范计算机网络攻击

一、计算机网络攻击的常见手法

互联网发展至今，除了它表面的繁荣外，也出现了一些不良现象，其中黑客攻击是最令广大网民头痛的事情，它是计算机网络安全的主要威胁。下面着重分析黑客进行网络攻击的几种常见手法及其防范措施。

（一）利用网络系统漏洞进行攻击

许多网络系统都存在着这样那样的漏洞，这些漏洞有可能是系统本身所有的，如WindowsNT、UNIX等都有数量不等的漏洞，也有可能是由于网管的疏忽而造成的。黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。

对于系统本身的漏洞，可以安装软件补丁；另外网管也需要仔细工作，尽量避免因疏忽而使他人有机可乘。

（二）通过电子邮件进行攻击

电子邮件是互联网上运用得十分广泛的一种通讯方式。黑客可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件，从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时，还有可能造成邮件系统对于正常的工作反映缓慢，甚至瘫痪，这一点和后面要讲到的“拒绝服务攻击（DDoS）比较相似。

对于遭受此类攻击的邮箱，可以使用一些垃圾邮件清除软件来解决，其中常见的有SpamEater、Spamkiller等，Outlook等收信软件同样也能达到此目的。

（三）解密攻击

在互联网上，使用密码是最常见并且最重要的安全保护方法，用户时时刻刻都需要输入密码进行身份校验。而现在的密码保护手段大都认密码不认人，只要有密码，系统就会认为你是经过授权的正常用户，因此，取得密码也是黑客进行攻击的一重要手法。

取得密码也还有好几种方法，一种是对网络上的数据进行监听。因为系统在进行密码校验时，用户输入的密码需要从用户端传送到服务器端，而黑客就能在两端之间进行数据监听。

但一般系统在传送密码时都进行了加密处理，即黑客所得到的数据中不会存在明文的密码，这给黑客进行破解又提了一道难题。这种手法一般运用于局域网，一旦成功攻击者将会得到很大的操作权益。

另一种解密方法就是使用穷举法对已知用户名的密码进行暴力解密。这种解密软件对尝试所有可能字符所组成的密码，但这项工作十分地费时，不过如果用户的密码设置得比较简单，如“12345”、“ABC”等那有可能只需一眨眼的功夫就可搞定。

为了防止受到这种攻击的危害，用户在进行密码设置时一定要将其设置得复杂，也可使用多层密码，或者变换思路使用中文密码，并且不要以自己的生日和电话甚至用户名作为密码，因为一些密码破解软件可以让破解者输入与被破解用户相关的信息，如生日等，然后对这些数据构成的密码进行优先尝试。另外应该经常更换密码，这样使其被破解的可能性又下降了不少。

（四）后门软件攻击

后门软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较着名的特洛伊木马，它们可以非法地取得用户电脑的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。

这些后门软件分为服务器端和用户端，当黑客进行攻击时，会使用用户端程序登陆上已安装好服务器端程序的电脑，这些服务器端程序都比较小，一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时，后门软件的服务器端就安装完成了，而且大部分后门软件的重生能力比较强，给用户进行清除造成一定的麻烦。

当在网上下载数据时，一定要在其运行之前进行病毒扫描，并使用一定的反编译软件，查看来源数据是否有其他可疑的应用程序，从而杜绝这些后门软件。

（五）拒绝服务攻击

互联网上许多大网站都遭受过此类攻击。实施拒绝服务攻击（DDoS）的难度比较小，但它的破坏性却很大。它的具体手法就是向目的服务器发送大量的数据包，几乎占取该服务器所有的网络宽带，从而使其无法对正常的服务请求进行处理，而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。

现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强，一般通过Microsoft的Outlook软件向众多邮箱发出带有病毒的邮件，而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。

对于个人上网用户而言，也有可能遭到大量数据包的攻击使其无法进行正常的网络操作，所以大家在上网时一定要安装好防火墙软件，同时也可以安装一些可以隐藏IP地址的程序，怎样能大大降低受到攻击的可能性。
-----------------------------------------------------------------------------
二、计算机网络安全的防火墙技术

计算机网络安全是指利用网络管理控制和技术措施，保证在一个网络环境里，信息数据的保密性、完整性和可使用性受到保护。网络安全防护的根本目的，就是防止计算机网络存储、传输的信息被非法使用、破坏和篡改。防火墙技术正是实现上述目的一种常用的计算机网络安全技术。

（一）防火墙的含义

所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。

（二）防火墙的安全性分析

防火墙对网络的安全起到了一定的保护作用，但并非万无一失。通过对防火墙的基本原理和实现方式进行分析和研究，作者对防火墙的安全性有如下几点认识：

1．只有正确选用、合理配置防火墙，才能有效发挥其安全防护作用

防火墙作为网络安全的一种防护手段，有多种实现方式。建立合理的防护系统，配置有效的防火墙应遵循这样四个基本步骤：

a.风险分析；

b.需求分析；

c.确立安全政策；

d.选择准确的防护手段，并使之与安全政策保持一致。

然而，多数防火墙的设立没有或很少进行充分的风险分析和需求分析，而只是根据不很完备的安全政策选择了一种似乎能“满足”需要的防火墙，这样的防火墙能否“防火”还是个问题。

2．应正确评估防火墙的失效状态

评价防火墙性能如何，及能否起到安全防护作用，不仅要看它工作是否正常，能否阻挡或捕捉到恶意攻击和非法访问的蛛丝马迹，而且要看到一旦防火墙被攻破，它的状态如何? 按级别来分，它应有这样四种状态：

a.未受伤害能够继续正常工作；

b.关闭并重新启动，同时恢复到正常工作状态；

c.关闭并禁止所有的数据通行；

d. 关闭并允许所有的数据通行。

前两种状态比较理想，而第四种最不安全。但是许多防火墙由于没有条件进行失效状态测试和验证，无法确定其失效状态等级，因此网络必然存在安全隐患。

3.防火墙必须进行动态维护

防火墙安装和投入使用后，并非万事大吉。要想充分发挥它的安全防护作用，必须对它进行跟踪和维护，要与商家保持密切的联系，时刻注视商家的动态。因为商家一旦发现其产品存在安全漏洞，就会尽快发布补救(Patch) 产品，此时应尽快确认真伪(防止特洛伊木马等病毒)，并对防火墙软件进行更新。

4.目前很难对防火墙进行测试验证

防火墙能否起到防护作用，最根本、最有效的证明方法是对其进行测试，甚至站在“黑客”的角度采用各种手段对防火墙进行攻击。然而具体执行时难度较大，主要原因是：

a.防火墙性能测试目前还是一种很新的技术，尚无正式出版刊物，可用的工具和软件更是寥寥无几。据了解目前只有美国ISS公司提供有防火墙性能测试的工具软件。

b.防火墙测试技术尚不先进，与防火墙设计并非完全吻合，使得测试工作难以达到既定的效果。

c.选择“谁”进行公正的测试也是一个问题。

可见，防火墙的性能测试决不是一件简单的事情，但这种测试又相当必要，进而提出这样一个问题：不进行测试，何以证明防火墙安全？

5.非法攻击防火墙的基本“招数”

a. IP地址欺骗攻击。许多防火墙软件无法识别数据包到底来自哪个网络接口，因此攻击者无需表明进攻数据包的真正来源，只需伪装IP地址，取得目标的信任，使其认为来自网络内部即可。IP地址欺骗攻击正是基于这类防火墙对IP地址缺乏识别和验证的机制而得成的。

b.破坏防火墙的另一种方式是攻击与干扰相结合。也就是在攻击期间使防火墙始终处于繁忙的状态。防火墙过分的繁忙有时会导致它忘记履行安全防护的职能，处于失效状态。

c.防火墙也可能被内部攻击。因为安装了防火墙后，随意访问被严格禁止了，这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息，个别人会对防火墙不满进而可能攻击它、破坏它，期望回到从前的状态。这里，攻击的目标常常是防火墙或防火墙运行的操作系统，因此不仅涉及网络安全，还涉及主机安全问题。
----------------------------------------------------------------------------
（三）防火墙的基本类型

实现防火墙的技术包括四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。

1.网络级防火墙

一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。

先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。

如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。

下面是某一网络级防火墙的访问控制规则：

(1)允许网络123.1.0使用FTP(21口)访问主机；

(2)允许IP地址为和的用户Telnet (23口)到主机上；

(3)允许任何地址的E-mail(25口)进入主机；

(4)允许任何WWW数据（80口）通过；

(5)不允许其他数据包进入。

网络级防火墙简洁、速度快、费用低，并且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络更高协议层的信息无理解能力。

2.规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也象电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。

当然它也象应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务机模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。

规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

目前在市场上流行的防火墙大多属于规则检查防火墙，因为该防火墙对于用户透明，在OSI最高层上加密数据，不需要你去修改客户端的程序，也不需对每个需要在防火墙上运行的服务额外增加一个代理。

如现在最流行的防火墙之一OnTechnology软件公司生产的OnGuard和CheckPoint软件公司生产的FireWall-1防火墙都是一种规则检查防火墙。

从趋势上看，未来的防火墙将位于网络级防火墙和应用级防火墙之间，也就是说，网络级防火墙将变得更加能够识别通过的信息，而应用级防火墙在目前的功能上则向“透明”、“低级”方面发展。最终防火墙将成为一个快速注册稽查系统，可保护数据以加密方式通过，使所有组织可以放心地在节点间传送数据。

（四）防火墙的配置

防火墙配置有三种：Dual-homed方式、Screened-host方式和Screened-subnet方式。Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。

这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。

Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。

这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为”停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在”停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。
----------------------------------------------------------------------------
（四）防火墙的安全措施

各种防火墙的安全性能不尽相同。这里仅介绍一些一般防火墙的常用安全措施：

1.防电子欺骗术

防电子欺骗术功能是保证数据包的IP地址与网关接口相符，防止通过修改IP地址的方法进行非授权访问。还应对可疑信息进行鉴别，并向网络管理员报警。

2.网络地址转移

地址转移是对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册IP地址映射成合法地址，就可以对Internet进行访问。

3.开放式结构设计

开放式结构设计使得防火墙与相关应用程序和外部用户数据库的连接相当容易，典型的应用程序连接如财务软件包、病毒扫描、登录分析等。

4.路由器安全管理程序

它为Bay和Cisco的路由器提供集中管理和访问列表控制。

（六）传统防火墙的五大不足

1．无法检测加密的Web流量

如果你正在部署一个光键的门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求，对于传统的网络防火墙而言，是个大问题。

由于网络防火墙对于加密的SSL流中的数据是不可见的，防火墙无法迅速截获SSL数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。

2、普通应用程序加密后，也能轻易躲过防火墙的检测

网络防火墙无法看到的，不仅仅是SSL加密的数据。对于应用程序加密的数据，同样也不可见。在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统（IDS，Intrusion Detect System）的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。

但如今，采用常见的编码技术，就能够地将恶意代码和其他攻击命令隐藏起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器中执行。这种加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。

3、对于Web应用程序，防范能力不足

网络防火墙于1990年发明，而商用的Web服务器，则在一年以后才面世。基于状态检测的防火墙，其设计原理，是基于网络层TCP和IP地址，来设置与加强状态访问控制列表（ACLs，Access Control Lists）。在这一方面，网络防火墙表现确实十分出色。

近年来，实际应用过程中，HTTP是主要的传输协议。主流的平台供应商和大的应用程序供应商，均已转移到基于Web的体系结构，安全防护的目标，不再只是重要的业务数据。网络防火墙的防护范围，发生了变化。

对于常规的企业局域网的防范，通用的网络防火墙仍占有很高的市场份额，继续发挥重要作用，但对于新近出现的上层协议，如XML和SOAP等应用的防范，网络防火墙就显得有些力不从心。

由于体系结构的原因，即使是最先进的网络防火墙，在防范Web应用程序时，由于无法全面控制网络、应用程序和数据流，也无法截获应用层的攻击。由于对于整体的应用数据流，缺乏完整的、基于会话（Session）级别的监控能力，因此很难预防新的未知的攻击。

4、应用防护特性，只适用于简单情况

目前的数据中心服务器，时常会发生变动，比如：

★ 定期需要部署新的应用程序；

★ 经常需要增加或更新软件模块；

★ QA们经常会发现代码中的bug，已部署的系统需要定期打补丁。

在这样动态复杂的环境中，安全专家们需要采用灵活的、粗粒度的方法，实施有效的防护策略。

虽然一些先进的网络防火墙供应商，提出了应用防护的特性，但只适用于简单的环境中。细看就会发现，对于实际的企业应用来说，这些特征存在着局限性。在多数情况下，弹性概念（proof-of-concept）的特征无法应用于现实生活中的数据中心上。

比如，有些防火墙供应商，曾经声称能够阻止缓存溢出：当黑客在浏览器的URL中输入太长数据，试图使后台服务崩溃或使试图非法访问的时候，网络防火墙能够检测并制止这种情况。

细看就会发现，这些供应商采用对80端口数据流中，针对URL长度进行控制的方法，来实现这个功能的。

如果使用这个规则，将对所有的应用程序生效。如果一个程序或者是一个简单的Web网页，确实需要涉及到很长的URL时，就要屏蔽该规则。

网络防火墙的体系结构，决定了网络防火墙是针对网络端口和网络层进行操作的，因此很难对应用层进行防护，除非是一些很简单的应用程序。

5、无法扩展带深度检测功能

基于状态检测的网络防火墙，如果希望只扩展深度检测（deep inspection）功能，而没有相应增加网络性能，这是不行的。

真正的针对所有网络和应用程序流量的深度检测功能，需要空前的处理能力，来完成大量的计算任务，包括以下几个方面：

★ SSL加密/解密功能；

★ 完全的双向有效负载检测；

★ 确保所有合法流量的正常化；

★ 广泛的协议性能；

这些任务，在基于标准PC硬件上，是无法高效运行的，虽然一些网络防火墙供应商采用的是基于ASIC的平台，但进一步研究，就能发现：旧的基于网络的ASIC平台对于新的深度检测功能是无法支持的。

三、结束语

由于互联网络的开放性和通信协议的安全缺陷，以及在网络环境中数据信息存储和对其访问与处理的分布性特点，网上传输的数据信息很容易泄露和被破坏，网络受到的安全攻击非常严重，因此建立有效的网。

‘柒’ 如何有效的维护网络安全

你好，很高兴为你解答：
1、采用强力的密码。一个足够强大的密码可以让暴力破解成为不可能实现的情况。相反的，如果密码强度不够，几乎可以肯定会让你的系统受到损害；
2、对介质访问控制(MAC)地址进行控制。隐藏无线网络的服务集合标识符、限制介质访问控制(MAC)地址对网络的访问，可以确保网络不会被初级的恶意攻击者骚扰的；
3、在网络不使用的时间，将其关闭。这个建议的采用与否，取决于网络的具体情况。如果你并不是需要一天二十四小时每周七天都使用网络，那就可以采用这个措施。毕竟，在网络关闭的时间，安全性是最高的，没人能够连接不存在的网络；
4、关闭无线网络接口。如果你使用笔记本电脑之类的移动终端的话，应该将无线网络接口在默认情况下给予关闭。只有确实需要连接到一个无线网络的时间才打开相关的功能。其余的时间，关闭的无线网络接口让你不会成为恶意攻击的目标；
5、确保核心的安全。在你离开的时间，务必确保无线路由器或连接到无线网络上正在使用的笔记本电脑上运行了有效的防火墙；
6、务必关闭无必要的服务，特别是在微软Windows操作系统下不需要的服务，因为在默认情况下它们活动的后果可能会出乎意料。

‘捌’ 如何防范无线网络安全威胁

针对网络安全中的各种问题，我们应该怎样去解决，这里就告诉我们一个真理，要从安全方面入手，这才是解决问题的关键。公司无线网络的一个突出的问题是安全性。随着越来越多的企业部署无线网络，从而将雇员、专业的合伙人、一般公众连接到公司的系统和互联网。人们对增强无线网络安全的需要变得日益迫切。幸运的是，随着越来越多的公司也越来越清楚无线网络面临的威胁和对付这些威胁的方法，有线网络和无线网络面临的威胁差距越来越小。无线网络威胁无线网络安全并不是一个独立的问题，企业需要认识到应该在几条战线上对付攻击者，但有许多威胁是无线网络所独有的，这包括： 1、插入攻击：插入攻击以部署非授权的设备或创建新的无线网络为基础，这种部署或创建往往没有经过安全过程或安全检查。可对接入点进行配置，要求客户端接入时输入口令。如果没有口令，入侵者就可以通过启用一个无线客户端与接入点通信，从而连接到内部网络。但有些接入点要求的所有客户端的访问口令竟然完全相同。这是很危险的。 2、漫游攻击者：攻击者没有必要在物理上位于企业建筑物内部，他们可以使用网络扫描器，如Netstumbler等工具。可以在移动的交通工具上用笔记本电脑或其它移动设备嗅探出无线网络，这种活动称为“wardriving ” ; 走在大街上或通过企业网站执行同样的任务，这称为“warwalking”。 3、欺诈性接入点：所谓欺诈性接入点是指在未获得无线网络所有者的许可或知晓的情况下，就设置或存在的接入点。一些雇员有时安装欺诈性接入点，其目的是为了避开公司已安装的安全手段，创建隐蔽的无线网络。这种秘密网络虽然基本上无害，但它却可以构造出一个无保护措施的网络，并进而充当了入侵者进入企业网络的开放门户。当然，还有其它一些威胁，如客户端对客户端的攻击(包括拒绝服务攻击)、干扰、对加密系统的攻击、错误的配置等，这都属于可给无线网络带来风险的因素。实现无线网络安全的三大途径和六大方法关于封闭网络，如一些家用网络和单位的网络，最常见的方法是在网络接入中配置接入限制。这种限制可包括加密和对MAC地址的检查。正因为无线网络为攻击者提供了许多进入并危害企业网络的机会，所以也就有许多安全工具和技术可以帮助企业保护其网络的安全性：具体来说，有如下几种保护方法： 1、防火墙:一个强健的防火墙可以有效地阻止入侵者通过无线设备进入企业网络的企图。 2、安全标准：最早的安全标准WEP已经被证明是极端不安全的，并易于受到安全攻击。而更新的规范，如WPA、WPA2及IEEE802.11i是更加强健的安全工具。采用无线网络的企业应当充分利用这两种技术中的某一种。 3、加密和身份验证：WPA、WPA2及IEEE802.11i支持内置的高级加密和身份验证技术。WPA2和802.11i都提供了对AES(高级加密标准)的支持，这项规范已为许多政府机构所采用。 4、漏洞扫描：许多攻击者利用网络扫描器不断地发送探查邻近接入点的消息，如探查其SSID、MAC等信息。而企业可以利用同样的方法来找出其无线网络中可被攻击者利用的漏洞，如可以找出一些不安全的接入点等。 5、降低功率：一些无线路由器和接入点准许用户降低发射器的功率，从而减少设备的覆盖范围。这是一个限制非法用户访问的实用方法。同时，仔细地调整天线的位置也可有助于防止信号落于贼手。 6、教育用户：企业要教育雇员正确使用无线设备，要求雇员报告其检测到或发现的任何不正常或可疑的活动。

‘玖’ 如何防止服务器被恶意网络攻击

1.在各个地区部署代理ip的节点，使访问者能够迅速连接到附近的节点，使访问者能够更快地访问网站，CDN缓存能够进一步提高网站的访问速度，减轻对网站服务器的压力，提高网站服务器的稳定性。
2.代理ip的防御机制并非一种固定的防御策略。针对各种攻击类型，可以更好的阻断清理攻击，针对网站的攻击类型，采取针对性的防御策略。
3.网站服务器隐藏在后端，代理ip节点部署在前端，访问者访问或攻击与代理ip节点连接，代理ip的防御机制自动识别是否为攻击，如果有，则自动清洗过滤。
4.将网站域名分析为代理ip自动生成的CNAME记录值，并修改网站域名分析，网站域名未分析为网站服务器IP，从而使网站服务器IP地址隐藏在公共网络中。

避免被恶意无线网络攻击正确操作

与避免被恶意无线网络攻击正确操作相关的内容