石河子大学计算机网络技术与应用结课论文题目名称:简述计算机网络安全威胁及防范措施专业:计算机科学与技术班级:计科132班学号:2013508063学生姓名:何意指导教师:王新亮简述计算机网络安全威胁及防范措施摘要:随着计算机网络技术的快速发展,网络安全日益成为人们关注的焦点。本文分析了影响网络安全的主要因素及攻击的主要方式,并给出了在交换LAN环境下的网络安全的漏洞分析和攻击演示,从管理和技术两方面就加强计算机网络安全提出了针对性的建议。关键词:计算机网络网络攻击演示安全管理技术防范计算机网络是一个开放和自由的空间,它在大大增强信息服务灵活性的同时,也带来了众多安全隐患,黑客和反黑客、破坏和反破坏的斗争愈演愈烈,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且还可能威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。本文通过深入分析网络安全面临的挑战及攻击的主要方式,从管理和技术两方面就加强计算机网络安全提出针对性建议。1.影响网络安全的主要因素计算机网络所面临的威胁是多方面的,既包括对网络中信息的威胁,也包括对网络中设备的威胁,但归结起来,主要有三点:一是人为的无意失误。如操作员安全配置不当造成系统存在安全漏洞,用户安全意识不强,口令选择不慎,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。二是人为的恶意攻击。这也是目前计算机网络所面临的最大威胁,比如敌手的攻击和计算机犯罪都属于这种情况,此类攻击又可以分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。三是网络软件的漏洞和“后门”。任何一款软件都或多或少存在漏洞,这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标。绝大部分网络入侵事件都是因为安全措施不完善,没有及时补上系统漏洞造成的。此外,软件公司的编程人员为便于维护而设置的软件“后门”也是不容忽视的巨大威胁,一旦“后门”洞开,别人就能随意进入系统,后果不堪设想。2.TCP/IP协议簇的四层、OSI参考模型和常用协议概述TCP/IP协议簇的四层、OSI参考模型和常用协议如图1-1所示:图1-1TCP/IP协议簇的四层、OSI参考模型和常用协议的对应关系图TCP/IP的整个数据报在数据链路层的结构如表1-1所示。以太网数据包头IP头TCP/UDP/ICMP/IGMP头数据表1-1TCP/IP数据报的结构从上表中可以看出:一条完整数据报由四部分组成,第三部分是该数据报采用的协议,第四部分是数据报传递的数据内容,其中IP头的结构如表1-2所示。版本(4位)头长度(4位)服务类型(8位)封包总长度(16位)封包标识(16位)标志(3位)片断偏移地址(13位)存活时间(8位)协议(8位)校验和(16位)来源IP地址(32位)目的IP地址(32位)选项(可选)填充(可选)数据表1-2IP头的结构IP头结构在所有协议中都是固定的,现对表1-2说明如下:(1)字节和数字的存储顺序是从右到左,依次是从低位到高位,而网络存储顺序是从左到右,依次从低位到高位。(2)版本:占第一个字节的高四位。头长度:占第一个字节的低四位。(3)服务类型:前3位为优先字段权,现在已经被忽略。接着4位用来表示最小延迟、最大吞吐量、最高可靠性和最小费用。(4)封包总长度:整个IP报的长度,单位为字节。(5)存活时间:就是封包的生存时间。通常用通过的路由器的个数来衡量,比如初始值设置为32,则每通过一个路由器处理就会被减一,当这个值为0的时候就会丢掉这个包,并用ICMP消息通知源主机。(6)协议:定义了数据的协议,分别为:TCP、UDP、ICMP和IGMP。定义为:#definePROTOCOL_TCP0x06#definePROTOCOL_UDP0x11#definePROTOCOL_ICMP0x06#definePROTOCOL_IGMP0x06(7)检验和:校验的首先将该字段设置为0,然后将IP头的每16位进行二进制取反求和,将结果保存在校验和字段。(8)来源IP地址:将IP地址看作是32位数值则需要将网络字节顺序转化位主机字节顺序。转化的方法是:将每4个字节首尾互换,将2、3字节互换。(9)目的IP地址:转换方法和来源IP地址一样。TCP数据报的格式如图1-2所示:图1-2TCP报文格式TCP头结构在所有协议中都是固定的,现对图1-2说明如下:(1)源端口和目的端口:各占2个字节,是运输层与应用层的服务接口。(2)序号:占4个字节。TCP连接传送的数据流中的每一个字节都被编上一个序号。首部中序号字段的值指的是本报文段所发送的数据的第一个字节的序号。(3)确认号:占4个字节,是期望收到对方下一个报文段的数据的第一个字节的序号。(4)数据偏移:占4bit,它指出报文段的数据起始处距离TCP报文段的起始处有多远。实际上就是TCP报文段首部的长度。(5)保留:占6bit,保留为今后使用。(6)紧急比特URG:当URG=1时,表明紧急指针有效。它告诉系统报文段中有紧急数据,应尽快传送。(7)确认比特ACK:ACK=1时确认号字段才有效,ACK=0时确认号字段无效。(8)推送比特PUSH:接收方接收到PUSH=1的报文段时会尽快的将其交付给接收应用进程,而不再等到整个接收缓存都填满后再向上交付。(9)复位比特RST:当RST=1时,表明TCP连接中出现严重差错,必须释放连接。复位比特还用来拒绝一个非法的报文段或拒绝打开一个连接。(10)同步比特SYN:在连接建立时用来同步序号。当SYN=1而ACK=0时,表明这是一个连接请求报文段。对方若同意建立连接,应在响应的报文段中使SYN=1和ACK=1。因此,SYN=1就表示这是一个连接请求或连接接收报文。(11)终止比特FIN:当FIN=1时,表明此报文段的发送端的数据已发送完毕,并要求释放运输连接。(12)窗口:占2个字节,用来控制对方发送的数据量,单位是字节,指明对方发送窗口的上限。(13)校验和:占2个字节,校验的范围包括首部和数据两个部分,计算校验和时需要在报文段前加上12字节的伪首部。(14)紧急指针:占2个字节,指出本报文段中紧急数据最后一个字节的序号。只有当紧急比特URG=1时才有效。(15)选项:长度可变。TCP只规定了一种选项,即最大报文段长度MSS(MaximumSegmentSize)。3.ARP协议简介地址解析协议,即ARP(AddressResolutionProtocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。工作原理:主机A的IP地址为192.168.1.1,MAC地址为0A-11-22-33-44-01;主机B的IP地址为192.168.1.2,MAC地址为0A-11-22-33-44-02;当主机A要与主机B通信时,地址解析协议可以将主机B的IP地址(192.168.1.2)解析成主机B的MAC地址,以下为工作流程:第1步:根据主机A上的路由表内容,IP确定用于访问主机B的转发IP地址是192.168.1.2。然后A主机在自己的本地ARP缓存中检查主机B的匹配MAC地址。第2步:如果主机A在ARP缓存中没有找到映射,它将询问192.168.1.2的硬件地址,从而将ARP请求帧广播到本地网络上的所有主机。源主机A的IP地址和MAC地址都包括在ARP请求中。本地网络上的每台主机都接收到ARP请求并且检查是否与自己的IP地址匹配。如果主机发现请求的IP地址与自己的IP地址不匹配,它将丢弃ARP请求。第3步:主机B确定ARP请求中的IP地址与自己的IP地址匹配,则将主机A的IP地址和MAC地址映射添加到本地ARP缓存中。第4步:主机B将包含其MAC地址的ARP回复消息直接发送回主机A。第5步:当主机A收到从主机B发来的ARP回复消息时,会用主机B的IP和MAC地址映射更新ARP缓存。本机缓存是有生存期的,生存期结束后,将再次重复上面的过程。主机B的MAC地址一旦确定,主机A就能向主机B发送IP通信了。4.计算机网络受攻击的主要形式计算机网络被攻击,主要有六种形式。①内部窃密和破坏。内部人员有意或无意的泄密、更改记录信息或者破坏网络系统。②截收信息。攻击者可能通过搭线或在电磁辐射的范围内安装截收装置等方式,截获机密信息或通过对信息流和流向、通信频度和长度等参数的分析,推出有用的信息。③非法访问。指未经授权使用网络资源或以未授权的方式使用网络资源,主要包括非法用户进入网络或系统进行违法操作和合法用户以未授权的方式进行操作。④利用TCP/IP协议上的某些不安全因素。目前广泛使用TCP/IP协议存在大量安全漏洞,如通过伪造数据包进行,指定源路由(源点可以指定信息包传送到目的节点的中间路由)等方式,进行APR欺骗和IP欺骗攻击。⑤病毒破坏。利用病毒占用带宽,堵塞网络,瘫痪服务器,造成系统崩溃或让服务器充斥大量垃圾信息,导致数据性能降低。⑥其它网络攻击方式。包括破坏网络系统的可用性,使合法用户不能正常访问网络资源,拒绝服务甚至摧毁系统,破坏系统信息的完整性,还可能冒充主机欺骗合法用户,非法占用系统资源等。5.加强计算机网络安全的对策措施5.1加强网络安全教育和管理:对工作人员结合机房、硬件、软件、数据和网络等各个方面安全问题,进行安全教育,提高工作人员的安全观念和责任心;加强业务、技术的培训,提高操作技能;教育工作人员严格遵守操作规程和各项保密规定,防止人为事故的发生。同时,要保护传输线路安全。对于传输线路,应有露天保护措施或埋于地下,并要求远离各种辐射源,以减少各种辐__射引起的数据错误;线缆铺设应当尽可能使用光纤,以减少各种辐射引起的电磁泄漏和对发送线路的干扰。要定期检查连接情况,以检测是否有搭线窃听、非法外连或破坏行为。5.2运用网络加密技术:网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密数据传输主要有三种:①链接加密。在网络节点间加密,在节点间传输加密的信息,传送到节点后解密,不同节点间用不同的密码。②节点加密。与链接加密类似,不同的只是当数据在节点间传送时,不用明码格式传送,而是用特殊的加密硬件进行解密和重加密,这种专用硬件通常放置在安全保险箱中。③首尾加密。对进入网络的数据加密,然后待数据从网络传送出后再进行解密。网络的加密技术很多,在实际应用中,人们通常根据各种加密算法结合在一起使用,这样可以更加有效地加强网络的完全性。网络加密技术也是网络安全最有效的技术之一。既可以对付恶意软件攻击,又可以防止非授权用户的访问。5.3加强计算机网络访问控制:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非正常访问,也是维护网络系统安全、保护网络资源的重要手段。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制。根据网络安全的等级、网络空间的环境不同,可灵活地设置访问控制的种类和数量。