身为计算机网络安全的日常管理者的网管员，在日常的网络管理工作中，除了要预防计算机病毒的感染，还要重点阻止非法访问者的入侵。

在日常的网络管理中，如何判断网络是否被入侵？如果发现正被入侵，该如何处理呢？怎么才能防止再次被非法入侵呢？结合几年网管工作经历，笔者浅谈几点个人看法，供大家参考。

非法入侵的检测

当系统出现主机响应速度极慢、访问主机的流量异常、自动运行一些非常见的进程、自动查找局域网内开放某些端口的主机、使用非常见端口向其它主机发送数据包、主机会在某些时间段向某些地址发送大量数据包、系统自动重启或关机、网络中经常出现丢包等情况时，就表示系统有了被入侵的可能。

发现计算机网络是否被入侵有很多方法，常用的有：

（1）检查通信设备是否工作正常

作为网管员，熟悉各种网络设备的正常工作状态（如指示灯的亮/灭、提示声的响铃声等）是基本的工作要求。当通信设备出现异常的工作状态时，除非能断定属硬件故障，否则就要将“非法访问者”的入侵行为作为重要因素考虑。

（2）查看计算机系统或网络是否运行异常

非法访问者侵入网络后，无论进行任何操作都会产生大量的数据交换，因此可能会影响到网络中各种数据的传输。特别的是，非法访问者一般会完全控制网络中某一台计算机（很多情况下是网络的核心部件——服务器），当前台用户向该计算机读写数据时，会使得此计算机处理速度异常缓慢。当出现以上情况时，需将“非法访问者”的入侵列入影响因素中。

（3）检查关键数据是否准确、完整

有些非法访问者入侵计算机网络只是展示他们“高超”的计算机技术，一般不会对网络中的关键数据进行破坏。但是，其余的则不然，他们就是为了窃取修改网络中的关键数据。因此，这些入侵者会肆意篡改网络中的关键数据，破坏其完整性和准确性。所以，当网络中的关键数据出现差异时，需要考虑“非法访问者”的入侵方面的因素。

（4）分析系统进程是否正常

清楚系统的进程和连接情况是发现入侵的必要条件。当主机出现上述情况时，可立即查看主机正在使用的进程，在Windows系统主机上，利用任务管理器查看主机正在使用的进程，使用netstat-an命令查看主机的连接情况；在Linux/Unix系统主机上，使用ps auxw命　　　令查看进程，使用netstat -ln命令查看主机的连接情况。通过以上操作，即可确定出某些可能引起网络入侵的进程及连接。

针对可疑的进程及连接进行数据包检测分析。使用协议分析软件对主机的数据包连接进行检测，记录下此时的连接情况和认为可疑的数据包的源地址及目的地址；关闭上面找到的可疑进程，再对主机进行数据包检测，再次记录下此时的连接情况，并确定网络中是否仍然存在上述的可疑数据包。如此时工作正常，表示当前的进程即为入侵者种植的木马程序，或其正在运行，从而可以确定出主机已被入侵。

（5）借助安全监控工具的帮助

当然，一些计算机网络还安装了安全监控方面的工具软件（如入侵检测系统等）来辅助对网络的监控。此类工具软件不但拥有分析计算机网络的流量、监控对计算机的操作、监视访问计算机的用户等功能，而且还能将一些异常情况动态地显示出来，提醒管理员进行分析、判断。

处理入侵的步骤

一旦发现计算机网络中存在疑似非法入侵行为，身为网络安全的核心负责人的网管员应该：

切断网络

立即切断自身网络与外界的通信联系（可采用关闭通信设备、切断通信线路等方法），以切断入侵行为的继续发生，中止非法访问者对计算机网络的操作。

收集各种信息

可能详细地收集各类信息（主要有以下四类），仔细判断，以确定此疑似行为是否真正属于非法入侵。

◆ 计算机系统和网络的日志文件

日志文件记录着计算机系统中发生的所有重要事件，包括发生在计算机系统和网络上的不寻常或不期望的活动等。所以，仔细查看系统和网络的日志文件，就能够发现可疑的信息。

◆ 对文件和文件夹的异常更改

任何一个计算机网络中都有包含重要数据的关键文件和文件夹，这些文件和文件夹是非法访问者的主攻目标。如果这些文件或文件夹（特别是那些在正常情况下都被严格限制访问的）发生了不期望的改动（包括创建、修改和删除等），很可能就是一种入侵行为产生的指示和信号。对关键文件和文件夹进行定期检查，以防被擅自改动。

◆ 是否存在程序执行了不期望的操作

计算机网络系统中会运行操作系统、网络服务、应用软件等程序。而每个运行的程序都会调用若干个系统进程。在不同操作权限的系统环境中，每个进程可访问的系统资源存在差异。如果某个系统进程出现了不期望的行为，则表明可能存在非法入侵行为。关注系统进程的运行是否健康，有助于判断是否被非法入侵。

◆ 物理形式的入侵信息

这包括两个方面的内容：一方面是出现了未经授权的对网络硬件（如Modem、路由器等）的连接，另一方面是对物理资源的未经授权的访问。一旦非法访问者能够突破计算机网络的周边防卫——物理设备，就能利用这些设备轻而易举地入侵到计算机网络中。关注物理设备的“健康”状况，能在第一时间阻止非法入侵的发生。

分析收集到的信息

如果确认为非法访问者入侵，则应该对收集到的所有信息继续认真分析，了解此次入侵事件的前因后果：

◆ 入侵什么时候发生的？了解到发现为止非法访问者入侵网络到底有多长时间,不仅有利于估算出已经产生的损失，还能为日后的计算机网络管理“对症下药”。

◆ 非法访问者通过什么途径进入的？找出计算机系统和网络仍然存在什么样的安全漏洞,就有利于“防漏补缺”。

◆ 非法访问者进行了哪些破坏性行为？了解非法访问者入侵计算机网络的目的，是为了显示自身实力，还是为了窃取数据？在网络中到底进行了什么操作，是否篡改了核心数据、删除了关键数据、复制了机密数据、添加了垃圾数据？。

◆ 这些破坏行为给公司造成什么后果？评估此次入侵行为给公司带来了何种损失,是资金上的还是技术上的,损失是否能够弥补。

上述问题应最终形成书面材料，这样既是事故处理的依据，又能作为日后网络管理的借鉴。

找出解决办法

之后就是根据网络当前存在的漏洞和问题，制定出具体的解决办法，并立即实施。在所有漏洞和问题没有得到彻底解决之前，不宜重新启用计算机网络与外界的连接。

查缺补漏，防止再次入侵

众所周知，只要计算机系统和网络存在漏洞，就会有被非法入侵的可能。所以，对计算机系统和网络定期进行查缺补漏，才能有效防止非法入侵的再次发生。

直接入侵防范

如果发生了“直接入侵”，则说明拥有计算机网络的公司在人员和安全管理上存在漏洞。因此要：

⑴加强人员的管理。组建计算机网络的目的是为了优化资源，共享信息。所以，允许操作网络中各客户端PC的用户基本上是“定岗定员”的。因此，一定要制定相关的规章制度，规范PC的操作。

⑵加强安全的管理。很多公司都会将计算机网络中的某些关键设备（如服务器、路由器等）集中安放在一个场所，这样方便了管理。对于这个场所安装必要的安全监控设备（如红外报警器等），能起到增强防盗的功能。

间接入侵防范

导致发生“间接入侵”的因素有很多，因此除了上述两点外，还需加强以下方面的管理：

⑶必须安装防火墙。虽然防火墙无法完全阻止非法入侵的发生，但是它能隐藏企业内部资源、减少企业网络暴露的危机，从而减少受非法入侵的可能。

⑷安装专用的入侵检测系统。安装专用的入侵检测系统，能在不影响网络性能的前提下对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

⑸及时升级操作系统和应用软件补丁

任何软件都存在漏洞，这点是勿需置疑的。为了防止这些漏洞成为非法入侵的“跳板”，及时安装补丁程序非常重要。

只要计算机网络存在，非法入侵与反非法入侵之间的战斗就会永远存在下去。对付非法入侵还有很多很多方法，对网管员而言，应该善于学习、勤于实践，才能更多地积累各种反非法入侵的技能，才能更好地确保计算机网络的安全。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=1603&categ_code=10041003