网络攻击与防护论文Word格式.doc

1、关键字： 网络威胁 加密技术 网络防御 网络攻击 防火墙 Abstract:Along with the computer network unceasing development, the global information has become the development of the human race the major tendency. But because the computer network has joint form characteristics and so on multiplicity, terminal distribution non-unifo

2、rmity and network openness, connectivity, cause network easily hacker, strange guest, malicious software and other illegal attacks, therefore on the net the information security and the security are a very important question.Regardless of is in the local area network or in WAN, all has the nature an

3、d artificial and so on many factor vulnerabilities and the latent threat. Therefore, the network security measure should be can Omni-directional in view of each kind of different threat and the vulnerability, like this can guarantee the network information the secrecy, the integrity and the usabilit

4、y.Keyword: Network threat Encryption technology Network defense Network attack FirewallARP协议即地址解析协议Address Resolution Protocol，ARP协议是将IP地址与网络物理地址一一对应的协议。负责IP地址和网卡实体地址（MAC）之间的转换。也就是将网络层（IP层，也就是相当于ISO OSI 的第三层）地址解析为数据连接层（MAC层，也就是相当于ISO OSI的第二层）的MAC地址。如果您对网路七层协定有比较清晰的理解的话应该知道各个层级之间都使用其各自的协定。一张ARP的表，用来支

5、持在MAC地址和IP地址之间的一一对应关系。它提供两者的相互转换。 1，ARP协议欺骗技术 当我们设定一个目标进行ARP欺骗时，也就是把MAC地址通过一主机A发送到主机B上的数据包都变成发送给主机C的了，如果C能够接收到A发送的数据包后，第一步属于嗅探成功了，而对于主机A来目前是不可能意识到这一点，主机C接收到主机A发送给主机B的数据包可没有转交给B。当进行ARP重定向。打开主机C的IP转发功能，A发送过来的数据包，转发给C，好比一个路由器一样。但是这就是ARP协议欺骗真正的一步，假如主机C进行发送ICMP重定向的话就麻烦了，因为他可以直接进行整个包的修改转发，捕获到主机A发送给的数据包，全部

6、进行修改后再转发给主机B，而主机B接收到的数据包完全认为是从主机A发送来的。这样就是主机C进行ARP协议欺骗技术，对于网络安全来是很重要的。当然还可以通过MAC地址进行欺骗的。2，ARP协议欺骗技术相应对策 各种网络安全的对策都是相对的，主要要看网管平时对网络安全的重视性了。下面介始一些相应的对策：1） 在系统中建立静态ARP表 ,建立后对本身自已系统影响不大的，对网络影响较大，破坏了动态ARP解析过程。静态ARP协议表不会过期的，我们用“arp -d”命令清除ARP表，即手动删除。但是有的系统的静态ARP表项可以被动态刷新，如Solaris系统,那样的话依靠静态ARP表项并不能对抗ARP欺骗

7、攻击，相反纵容了ARP欺骗攻击，因为虚假的静态ARP表项不会自动超时消失。当然， 可以考虑利用cron机制补救之。（增加一个crontab） 为了对抗ARP欺骗攻击，对于Solaris系统来说，应该结合禁止相应网络接口做ARP解 析和使用静态ARP表的设置 2）在相对系统中禁止某个网络接口做ARP解析（对抗ARP欺骗攻击），可以做静态ARP协议设置（因为对方不会响应ARP请求报文） 如：arp -s XXX.XXX.XX.X 08-00-20-a8-2e-ac 在绝大多数操作系统如：Unix，BSD，NT等，都可以结合禁止相应网络 接口做ARP解析的设置来对抗ARP欺骗攻击。而Linux系统，

8、其静态ARP表项不会被动态刷新，所以不需要禁止相应网络接口做ARP解析即可对抗ARP欺骗攻击。随着文明的不断进步和科技的发展，人类对于改善环境条件和防御自然灾害的能力会慢慢趋向成熟。人为因素一直都是威胁网络安全的最大因素，因为人是最不稳定的因素，任何事情只要加入了人的因素就没有绝对的确定性。科技的进步也代表了人的进步所以，世界上没有完美的事物也就代表了没有完美的防御，也就是不管科技怎么发展也都还有突破口，那么黑客既有能力进入你的网络。即使在理论上虚拟网络中有完美的防御，而有人能在现实中拿到他想要的，那网络的安全几乎为零，社会工程学不管在虚拟网络还是现实中都是很危险的而掌握社会工程学的是人，因此

9、人为因素是威胁网络安全的最大因素也是永久因素。二、加密技术加密技术：即是对信息进行编码和解码的技术,编码是把原来可读信息（又称明文）译成代码形式（又称密文）,其逆过程就是解码（解码）。加密技术的要点是加密算法，加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。2.1对称加密算法在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。如图所示：加密明文密钥密文解密加密者解密者在对称加密算法中，使用的密钥只有一个，发收

10、信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是：算法公开；计算量小；加密速度快；加密效率高。不足之处是：交易双方都使用同样的密钥，安全性得不到保证；每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一密钥，这会使得发收信双方所拥有的密钥数量成几何级数增长，密钥管理成为用户的负担。对称算法的加密和解密表示为：EK （M） =CDK（C） =M2.2非对称加密算法（公开密钥算法） 非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙公钥和私钥。在使用非对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。

11、公钥和私钥：公钥就是公布出来，所有人都知道的密钥，它的作用是供公众使用。私钥则是只有拥有者才知道的密钥。加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是惟一知道自己私钥的人。如下图：加密（公钥Kpublic）解密（私钥Kprivate）非对称加密算法的基本原理是：（1）如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文。（2）收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用非对称加密算法，收发信双方在通信之前，收信方必须将自己早已随机生成的公钥送给发信方，而自

12、己保留私钥。非对称算法的公开密钥K1加密表示为：EK1（M）=C。公开密钥和私人密钥是不同的，用相应的私人密钥K2解密可表示为：DK2（C）=M。广泛应用的非对称加密算法有RSA算法和美国国家标准局提出的数字签名算法DSA。由于非对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。DES（Data Encryption Standard）算法，是一种用56位密钥来加密64位数据的方法。RSA算法是第一个能同时用于加密和数字签名的算法。根据RSA算法的原理，可以利用C语言实现其加密和解密算法。RSA算法比DES算法复杂，加解密的所需要的时间也比较长。2.3不可逆加密算法不可逆加密算法的特

13、征是：加密过程中不需要使用密钥，输入明文后，由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。 显然，在这类加密过程中，加密是自己，解密还得是自己，而所谓解密，实际上就是重新加一次密，所应用的“密码”也就是输入的明文。 不可逆加密算法不存在密钥保管和分发问题，非常适合在分布式网络系统上使用，但因加密计算复杂，工作量相当繁重，通常只在数据量有限的情形下使用，如广泛应用在计算机系统中的口令加密，利用的就是不可逆加密算法。2.4 PGP加密技术本例介绍目前常用的加密工具PGP，使

14、用PGP产生密钥，加密文件和邮件。PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件，提出了公共钥匙或不对称文件的加密技术。由于RSA算法计算量极大，在速度上不适合加密大量数据，所以PGP实际上用来加密的不是RSA本身，而是采用传统加密算法IDEA，IDEA加解密的速度比RSA快得多。PGP随机生成一个密钥，用IDEA算法对明文加密，然后用RSA算法对密钥加密。收件人同样是用RSA解出随机密钥，再用IEDA解出原文。2.4.1.使用PGP加密文件使用PGP可以加密本地文件，右击要加密的文件，选择PGP菜单项的菜单“Encrypt”，如下图所示：系统自动出现对话框，让用户选择要使用的加密密

15、钥，选中一个密钥，点击按钮“OK”，如下图所示：目标文件被加密了，在当前目录下自动产生一个新的文件，如图所示：打开加密后的文件时，程序自动要求输入密码，输入建立该密钥时的密码。如图：2.4.2使用PGP加密邮件PGP的主要功能是加密邮件，安装完毕后，PGP自动和Outlook或者Outlook Express关联。和Outlook Express关联如图所示：利用Outlook建立邮件，可以选择利用PGP进行加密和签名，如图所示：三、网络防御在当今网络系统开发中，不注意网络防范问题，就会遭到黑客的攻击，甚至会使整个系统崩溃。因此，在开发中我们注意网络攻击问题，以免让黑客有机可趁。虽然黑客攻击的

16、手段防不胜防，但我们应该把所知道的防范措施做好，例如：防范SQL注入式攻击，验证码技术等。3.1防范SQL注入攻击Sql注入式攻击是指利用设计上的漏洞，在目标服务器上运行Sql 命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。3.1.1 SQL的注入式攻击比如以在线书店为例，用户只有登陆后才能察看自己的帐户信息，这样做是无可置疑的，然而用户验证的代码如下/id和password直接来自用户的输入。未做处理string id = GetUserInput（UserID）;string password = GetUserInput（Use

17、rPasswordtring script = select * from table_user where User_ID = + id? + and User_Password? = + password? ;RunSql（script）;网络安全管理一、网络安全管理的目的和意义在信息时代，信息安全问题越来越重要，而现在大部分信息都是通过网络来传播，网络安全已成21世纪世界十大热门课题之一。网络安全在IT业内可分为：网络安全硬件、网络安全软件、网络安全服务。其中包括：防火墙技术、认证令牌环卡、数据加密技术、安全认证、反病毒和黑客等安全管理。计算机网络安全认证技术主要包括数字签名技术、身份验

18、证技术以及数字证明技术。网络管理与安全是计算机网络建设的重要组成部分，是网络可靠、安全、高速运行的保障。网络管理是保障网络畅通无阻的传输数据，以及防止网络故障产生。网络安全是机密性、完整性和可用性的集合。二、目前该选题的研究现状当前，网络安全的话题炙手可热，人们从来没有你今天这样来关心自己的网络存在的安全问题。“黑客”活动日益猖獗，病毒的活泛滥，WINDOWS的漏洞百出，技术手段的不完备，加上国家对电子政务信息安全的关注，使大家的安全意识有了空前的提高。人们不在仅仅于满足网络平台的搭建，而是把更多的精力放在如何确保让网络安全，可靠，高效的运行上。三、设计思路分析 网络安全风险有五个层次,即物理

19、层安全风险、系统层安全风险、网络层安全风险、应用层安全风险和安全管理风险。不同的安全风险产生了不同的安全需求,归纳起来包括:物理安全需术、访问控制需术、加密需术、人侵检测需术、安全风险评估需术、防病毒需术、安全管理体制需术等。所以特别是像个人电脑，一定要装备杀素软件，例如大家常用的360，瑞星等。四、设计过程描述 本论文在设计之初，考虑一些常见网络安全问题，然后找出对应该的解决方案，以及后期类似安全问题的防御。以电脑安全的主要因素为突破口，重点防范各种不利于计算机网络正常运行的措施，从不同角度全面了解影响计算机网络安全的情况，做到心中有数，将不利因素解决在萌芽状态，确保计算机网络的安全管理与有

20、效运行。在信息保障技术框架（IATF）中,提出了通过人员、规范、技术的综合使用,才能够保证有效的网络安全.现有的各种网络安全技术,其功能、特点都各不相同,因此,如何使这些不同的安全技术结合在一起使用,从而发挥更大的整体防范作用,就非常重要.论文提出了一种将不同的安全技术统一管理起来的框架,并实现了其中的入侵检测系统和防火墙的联动响应.同时,论文还对联动安全响应标准化方面的工作进行了研究,包括基于XML的入侵事件通用描述格式、防火墙响应规则的统一定义等.通过安全联动与响应,可以提高网络安全管理的效率以及对攻击的整体防护能力。五、设计成果展示一、 网络不安全的主要因素二、常见攻击手段三、常见攻击手段举例四、网络安全的目标五、网络安全关键技术