《毕业设计(论文)关于网络防御与攻击论文.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)关于网络防御与攻击论文.doc(19页珍藏版)》请在三一办公上搜索。
1、关于网络防御与攻击论文班级:计算机网络1班指导老师: 日期:2012年4月14日目录摘要.2第一节 威胁网络安全的因素.2第二节 加密技术.42.1 对称加密算法.42.2 非对称加密算法.42.3 不可逆加密算法.52.4 PGP加密技术.6第三节 网络防御.93.1 防范SQL注入攻击.93.2 验证码技术.9第四节 网络攻击.104.1社会工程学攻击.104.2 Ping of death 攻击.104.3 Unicode漏洞攻击.11第五节 防火墙技术.135.1防火墙的定义.135.2 防火墙的功能.145.3防火墙的必要性.145.4防火墙的优缺点.14结论.16附录.16参考文献
2、.17摘要:随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。关键字: 网络威胁 加密技术 网络防御 网络攻击 防火墙 Abstract:Along with the computer network unceasing de
3、velopment, the global information has become the development of the human race the major tendency. But because the computer network has joint form characteristics and so on multiplicity, terminal distribution non-uniformity and network openness, connectivity, cause network easily hacker, strange gue
4、st, malicious software and other illegal attacks, therefore on the net the information security and the security are a very important question.Regardless of is in the local area network or in WAN, all has the nature and artificial and so on many factor vulnerabilities and the latent threat. Therefor
5、e, the network security measure should be can Omni-directional in view of each kind of different threat and the vulnerability, like this can guarantee the network information the secrecy, the integrity and the usability.Keyword: Network threat Encryption technology Network defense Network attack Fir
6、ewall一、威胁网络安全的因素威胁网络安全的因素从大类上主要分为2类:环境因素和人为因素。环境因素主要表现形式为:断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件或自然灾害,意外事故或软件、硬件、数据、通信线路方面的故障。而人为因素又可以分为两小类:恶意 和 非恶意。恶意人员:不满的或有预谋的内部人员对信息系统进行恶意破坏,采用自主或内外勾结的方式盗窃机密信息或进行篡改,以获取利益;外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力。非恶意人员:内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作
7、流程而导致故障或信息损坏;内部人员由于缺乏培训,专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击。环境因素自然界和人类活动对信息与通信网有意无意的侵犯、攻击与破坏。唐山市发生的地震对全国人民来说,是一件极其痛心的事,也是一次学会观测地震与抗震的大动员。唐山大地震时,包括政府、机关、电信局(站)以及商店民房全都变成瓦砾,对外一切联系中断。当时向外发出的第一个“救灾”请求的,是唐山郊外地下干线电缆通信站。该站虽在唐山郊外,但离市区仅几公里,由于是在地下就安然无恙,还可以肯定地下电缆也是完好的,否则求救电话怎能到达北京(需要补充说一下,远离唐山100km200km的天津市、北京郊区的老民房
8、却发生了不少倒塌)。因此,我们可以说,为了确保信息与通信网的安全,所建主要节点以上的局(站),要远离地震中心(包括理论的、调研的、曾经发生过大地震的),要提升建筑物防震的等级,一般局(站)也要执行防震等级。机房中的所有设备、系统都要防震加固。所有核心网的光缆,本地网的主干光缆,有一定容量的光/电缆都应走地下路由。笔者认为:在我国经济实力逐年提高的今天,在信息与通信网的建设中进一步强调抗震的力度,加强信息与通信网的安全一性是至关重要的。随着文明的不断进步和科技的发展,人类对于改善环境条件和防御自然灾害的能力会慢慢趋向成熟。人为因素一直都是威胁网络安全的最大因素,因为人是最不稳定的因素,任何事情只
9、要加入了人的因素就没有绝对的确定性。科技的进步也代表了人的进步所以,世界上没有完美的事物也就代表了没有完美的防御,也就是不管科技怎么发展也都还有突破口,那么黑客既有能力进入你的网络。即使在理论上虚拟网络中有完美的防御,而有人能在现实中拿到他想要的,那网络的安全几乎为零,社会工程学不管在虚拟网络还是现实中都是很危险的而掌握社会工程学的是人,因此人为因素是威胁网络安全的最大因素也是永久因素。二、加密技术加密技术:即是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解码)。加密技术的要点是加密算法,加密算法可以分为对称加密、非对称加密和不可逆加
10、密三类算法。2.1对称加密算法在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。如图所示:加密明文密钥密文解密密文密钥明文加密者解密者在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称加密算法的特点是:算法公开;计算量小;加密速度快;加密效率高。不足之处是:交易双方都使用同样的密钥,安全性得不到保证;每对用户每次使用对称加密算法时,都需要使用其
11、他人不知道的惟一密钥,这会使得发收信双方所拥有的密钥数量成几何级数增长,密钥管理成为用户的负担。对称算法的加密和解密表示为:EK (M) =CDK(C) =M2.2非对称加密算法(公开密钥算法) 非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙公钥和私钥。在使用非对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。公钥和私钥:公钥就是公布出来,所有人都知道的密钥,它的作用是供公众使用。私钥则是只有拥有者才知道的密钥。加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是惟一知道自己私钥的人。如下
12、图:加密明文加密(公钥Kpublic)密文解密密文解密(私钥Kprivate)明文加密者解密者非对称加密算法的基本原理是:(1)如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文。(2)收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用非对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。非对称算法的公开密钥K1加密表示为:EK1(M)=C。公开密钥和私人密钥是不同的,用相应的私人密钥K2解密可表示为:DK2(C)=M。广泛应用的非对称加密算法有RSA算法和美国国家标准局提出的数字
13、签名算法DSA。由于非对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。DES(Data Encryption Standard)算法,是一种用56位密钥来加密64位数据的方法。RSA算法是第一个能同时用于加密和数字签名的算法。根据RSA算法的原理,可以利用C语言实现其加密和解密算法。RSA算法比DES算法复杂,加解密的所需要的时间也比较长。2.3不可逆加密算法不可逆加密算法的特征是:加密过程中不需要使用密钥,输入明文后,由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真
14、正解密。 显然,在这类加密过程中,加密是自己,解密还得是自己,而所谓解密,实际上就是重新加一次密,所应用的“密码”也就是输入的明文。 不可逆加密算法不存在密钥保管和分发问题,非常适合在分布式网络系统上使用,但因加密计算复杂,工作量相当繁重,通常只在数据量有限的情形下使用,如广泛应用在计算机系统中的口令加密,利用的就是不可逆加密算法。2.4 PGP加密技术本例介绍目前常用的加密工具PGP,使用PGP产生密钥,加密文件和邮件。PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件,提出了公共钥匙或不对称文件的加密技术。由于RSA算法计算量极大,在速度上不适合加密大量数据,所以PGP实际上用来加密
15、的不是RSA本身,而是采用传统加密算法IDEA,IDEA加解密的速度比RSA快得多。PGP随机生成一个密钥,用IDEA算法对明文加密,然后用RSA算法对密钥加密。收件人同样是用RSA解出随机密钥,再用IEDA解出原文。2.4.1.使用PGP加密文件使用PGP可以加密本地文件,右击要加密的文件,选择PGP菜单项的菜单“Encrypt”,如下图所示:系统自动出现对话框,让用户选择要使用的加密密钥,选中一个密钥,点击按钮“OK”,如下图所示:目标文件被加密了,在当前目录下自动产生一个新的文件,如图所示:打开加密后的文件时,程序自动要求输入密码,输入建立该密钥时的密码。如图:2.4.2使用PGP加密邮
16、件PGP的主要功能是加密邮件,安装完毕后,PGP自动和Outlook或者Outlook Express关联。和Outlook Express关联如图所示:利用Outlook建立邮件,可以选择利用PGP进行加密和签名,如图所示:三、网络防御在当今网络系统开发中,不注意网络防范问题,就会遭到黑客的攻击,甚至会使整个系统崩溃。因此,在开发中我们注意网络攻击问题,以免让黑客有机可趁。虽然黑客攻击的手段防不胜防,但我们应该把所知道的防范措施做好,例如:防范SQL注入式攻击,验证码技术等。3.1防范SQL注入攻击Sql注入式攻击是指利用设计上的漏洞,在目标服务器上运行Sql 命令以及进行其他方式的攻击动态
17、生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。3.1.1 SQL的注入式攻击比如以在线书店为例,用户只有登陆后才能察看自己的帐户信息,这样做是无可置疑的,然而用户验证的代码如下/id和password直接来自用户的输入。未做处理string id = GetUserInput(UserID);string password = GetUserInput(UserPassword);tring script = select * from table_user where User_ID = + id? + and User_Password? = + passwo
18、rd? + ;RunSql(script);如果用户输入的password为“ or = ”,那么生成的script就为select * from table_user where User_ID = UserID and User_Password? = or = 这样一来,即使不知道用户的密码也可以察看该用户的帐户信息了从上面的这些例子可以看出,使用SQL注入式攻击可以得到用户的账户信息,不过SQL注入式攻击不只是那么简单,黑客还可能利用其它系统设计漏洞。比如黑客设计一些SQL语句诱导系统程序把数据库返回的错误信息显示出来。还有对数据库访问权限的设计不当,给与每一个数据库连接太多的权限,甚
19、至dbo或sa的权限,也是sql注入式攻击利用的主要漏洞之一。3.1.2 防范sql注入式攻击第一点 最小权限原则特别是不要用dbo或者sa账户,为不同的类型的动作或者组建使用不同的账户,最小权限原则适用于所有与安全有关的场合。第二点 对用户输入进行检查对一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤;使用强数据类型,比如你需要用户输入一个整数,就要把用户输入的数据转换成整数形式;限制用户输入的长度等等。这些检查要放在server运行,client提交的任何东西都是不可信的。第三点 使用存储过程如果一定要使用sq语句,那么用标准的方式组建sql语句,比如可以利用p
20、arameters对象,避免用字符串直接拼sq命令。当sql运行出错时,不要把数据库返回的错误信息全部显示给用户,错误信息经常会透露一些数据库设计的细节针对常用的sql注入式攻击方式对症下药3.2 验证码技术 所谓验证码,就是将一串随机产生的数字或符号,生成一幅图片,图片里加上一些干扰象素,由用户肉眼识别其中的验证码信息,输入表单提交网站验证,验证成功后才能使用某项功能。3.2.1为什么使用验证码技术 防止不法用户用软件频繁注册,频繁发送不良信息。例如:普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,
21、频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证。3.2.2 测试验证码是否完善 必须保证所有客户端交互部分都输入验证码,测试提交信息时不输入验证码,或者故意输入错误的验证码,如果信息都不能交,说明验证码有效,同时在验证码输入正确下提交信息,如果能提交,说明验证码功能已完善。 上面仅介绍了两种必须注意的安全问题,在开发系统中无论你使用ASP、JSP或者其它技术,都要注意网络攻击问题,然后进行防御。四、网络攻击对网络信息系统的攻击来自很多方面,这些攻击可以宏观地为人为攻击和自然灾害攻击。他们都会对通信安全构成威
22、胁,但是精心设计的人为攻击威胁最大,也最难防备。4.1 社会工程学攻击社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。举个例子:一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。4.1.2 攻击方式(
23、1)打电话请求密码。尽管这个方式很普通,但打电话询问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。(2)伪造Email使用telnet,一个黑客可以截取任何一个身份证发送Email的全部信息,这样的Email消息是真,因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息,黑客就能实施他们的恶意阴谋。4.2. Ping of death 攻击 Ping是潜水艇人员的专用术语,表示回应的声纳脉冲,在网络中ping是一个十分好用的TCP/IP工具。它主要的功能是
24、用来检测网络的连通情况和分析网路速度。Ping有善的一面也有恶的一面。4.2.1攻击方式 对目标IP不停地Ping探测从而致使目标主机TCP/IP堆栈崩溃导致网络瘫痪。 Ping t l 655504.3 Unicode漏洞攻击4.3.1 Unicode漏洞描述 攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件,从而使该计算机的文件暴露,且可随意执行和更改文件。 Unicode标准被很多软件开发者所采用,无论何种平台、程序或开发语言,Unicode均为每个字符提供独一无二的序号,如向IIS服务器发出包括非法Unicode UTF-8序列的URL,攻击者可使服务器逐字“进入或退出”
25、目录并执行任意程序,该攻击即称为目录转换攻击。Unicode用“%2f”和“%5c”分别代表“/”和“”字符,但也可用“超长”序列来代替这些字符。“超长”序列是非法的Unicode表示符,如用“%c0%af”代表“/”字符。由于IIS不对超长序列进行检查,因此在URL中添加超长的Unicode序列后,可绕过微软的安全检查,如在一个标记为可执行的文件夹发出该请求,攻击者即可在服务器上运行可执行文件。4.3.2 利用Unicode漏洞进行攻击此漏洞从中文IIS4.0+SP6开始,还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1,台湾繁体中文也同样存在这样的漏洞。在N
26、T4中/编码为“%c1%9c”或者“%c1%9c”,WIN2000英文版是“%c0%af”。但从国外某些站点得来的资料显示,还有以下的编码可以实现对该漏洞的检测,该编码存在于日文版、韩文版等操作系统。n %c1%pcn %c0%9vn %c0%qfn %c1%8sn %e0%80%af4.3.3 利用Unicode漏洞读取系统盘目录利用该漏洞读取出计算机上目录列表,比如读取C盘的目录,只要在浏览器中输入n “http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:”4.3.4利用Unicode漏洞读取系统文件利用
27、语句得到对方计算机上装了几个操作系统以及操作系统的类型,只要读取C盘下的boot.ini文件就可以了。使用的语句是:http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+type+c:boot.ini执行的结果如图所示:4.3.5 利用Unicode漏洞拷贝文件为了是使用方便,利用语句将cmd.exe文件拷贝到scripts目录,并改名为c.exe,使用的语句是:http:/172.18.25.109/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+copy+C:winntsystem
28、32cmd.exe+c.exe执行结果如图所示:五、防火墙技术5.1防火墙的定义在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问,网络防火墙结构如图所示。5.2 防火墙的功能根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。(1)可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户(2)防止入侵者接近网络防御设施(3)限制内部用户访问特殊站点由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络
29、。Internet上的Web网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。5.3 防火墙的必要性随着世界各国信息基础设施的逐渐形成,国与国之间变得“近在咫尺”。Internet已经成为信息化社会发展的重要保证。已深入到国家的政治、军事、经济、文教等诸多领域。许多重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。因此,难免会遭遇各种主动或被动的攻击。例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。因此,网络安全已经成为迫在眉睫的重要问题,没有网络安全就没有社会信息化.5
30、.4 防火墙的分类 常见的放火墙有三种类型:1、分组过滤防火墙;2、应用代理防火墙;3、状态检测防火墙。分组过滤(Packet Filtering):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。应用代理(Application Proxy):也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实
31、现。状态检测(Status Detection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。应用代理防火墙 应用代理(Application Proxy)是运行在防火墙上的一种服务器程序,防火墙主机可以是一个具有两个网络接口的双重宿主主机,也可以是一个堡垒主机。代理服务器被放置在内部服务器和外部服务器之间,用于转接内外主机之间的通信,它可以根据安全策略来决定是否为用户进行代理服务。代理服务器运行在应用层,因此又被称为“应用网关”。5.4 防火墙的优缺点防火墙的优点:(1) 防火墙能强化安全策略 因为因特网上每天都有上百万人在那里收集信息。交换
32、信息,不可避免的会发生个别品的不良的人,或违反规则的人,防火墙就是为了防止不良现象发生的“交通警察”,他执行站点的安全策略,仅仅容许“认可”和符合规则的请求通过。(2) 防火墙能有效的记录因特网上的活动 因为所有进出信息都必须通过防火墙,所以防火墙非常适用于收集关于系统和网络使用和误用的信息。作为唯一的访问点,防火墙能在被保护的网络和外部网络之间进行记录。(3) 防火墙限制暴露用户点防火墙能够用来隔开网络中一个网段。这样,能够防止影响一个网段问题通过整个网络转播。(4) 防火墙是一个安全策略的检查站 所有进出的信息必须通过防火墙,防火墙便成为安全问题的检查点,使可疑的访问被拒绝与门外。防火墙的
33、缺点: (1) 不能防范恶意的知情者 防火墙可以禁止系统用户经过网络连接发送专有的信息,但用户可以将数据复制到磁盘,放在公文包中带出去。如果入侵者已经在防火墙内部,防火墙就变得无能为力。内部用户可以偷窃数据。破坏硬件和软件,并且巧妙的修改程序而不接近防火墙。(2) 不能防范不通过它的连接 防火墙能够有效的防止通过它进行传输的信息的功绩,然而不能防止不通过它而传输的信息的功绩。(3) 不能防备全部的威胁 防火墙被用来防备已知的威胁,如果是一个很好的防火墙涉及方案,可以防备新的威胁,但没有一个防火墙能自动防御所有的威胁。(4) 防火墙不能防范病毒 防火墙不能消除网络上的pc机的病毒。结论本论文从多
34、方面描述了网络安全的解决方案,目的在于为用户提供信息的保密,认证和完整性保护机制,使网络中的服务,数据以及系统免受侵扰和破坏。比如防火墙,加密技术等都是当今常用的方法,本论文从这些方法入手深入研究各个方面的网络安全问题的解决,可以使读者有对网络安全技术的更深刻的了解。附录 由于本文作者众多,各节作者如下: 贝伟杰.第一节 陈秀娟.第二节 蔡警锋.第三节 冼 威.第四节韦希旋.第五节参考文献1.张千里,陈光英.网络安全新技术M.人民邮电出版社,20032.赵安军,曾应员,除邦海.网络安全技术与应用M.人民邮电出版社, 2007(11)3.石志国,薛为名.计算机网络安全教程M.北京交通大学出版社,2007(2)4.余长春.网站建设之程序安全问题OL. 2008(1)5.防范SQL注入式攻击OL.
