10网络安全

网络安全网络安全概述网络攻击案例常用攻击手段和工具网络安全的目标加密数字签名防火墙网络安全概述网络有很多不安全因素：路由器转发从任何地方来的包。攻击者可以在任何一台联网计算机进行攻击。攻击手法不断更新，没有一个网络是绝对安全的。每个组织对安全的理解不一样，首先要制定合理的安全策略。哪些需要保护，保护的规则。必须覆盖数据的存储、传输和处理，覆盖计算机系统、局域网和其他互连设备。必须进行性能价格的权衡。几个网络攻击案例2000/02/09：雅虎遭到黑客攻击，导致用户在几个小时内无法连接到YAHOO网站；94年末，俄罗斯黑客弗拉基米尔·利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元。1999年5月8日美国驻华大使馆网站被黑。网站内容显示“打倒野蛮人”9日凌晨，美国白宫的主页被黑，主页上美国旗被换成了骷髅旗。然后美国立法委员会主页，美国能源部主页，美国内政部，美国国家公园，另外，美国海军通信中心华盛顿站也被黑，是黑客攻击美国网站以来级别最高的、最具意义的被黑网站。常用攻击手段和工具电子邮件炸弹特洛伊木马拒绝服务攻击IP欺骗攻击病毒扫描器，网络分析器口令攻击电子邮件炸弹所谓的电子邮件炸弹，其工作过程与炸弹也是一样的，只不过是用电子邮件来代替炸弹而已，具体指的是电子邮件的发送者，利用某些特殊的电子邮件软件，在很短时间内连续不断地将大容量的电子邮件邮寄给同一个收信人，而一般收信人的邮箱容量是有限的，在这些数以千计的大容量信件面前肯定是不堪重负，而最终“爆炸身亡”。这种攻击手段不仅会干扰用户的电子邮件系统的正常使用，甚至它还能影响到邮件系统所在的服务器系统的安全，造成整个网络系统全部瘫痪，所以电子邮件炸弹是一种杀伤力极其强大的网络武器。特洛伊木马“木马”全称是“特洛伊木马(TrojanHorse)”，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，“特洛伊木马”指一些程序设计人员在其可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。IP欺骗攻击方法IP欺骗的理论根据每一个黑客都会想到：既然hosta和hostb之间的信任关系是基于IP址而建立起来的，那么假如能够冒充hostb的IP，就可以使用login登录到hosta，而不需任何口令验证。这，就是IP欺骗的最根本的理论依据。所以如果要冒充hostb，首先要让hostb失去工作能力。也就是所谓的拒绝服务攻击，让hostb瘫痪。扫描器扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器你可一不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务！和它们的软件版本！这就能让我们间接的或直观的了解到远程主机所存在的安全问题。扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息（比如：是否能用匿名登陆！是否有可写的FTP目录，是否能用TELNET，HTTP是用ROOT还是nobody在跑！）拒绝服务攻击-SynFloodingTCP三次握手AsynBackack,syn建立多个连接耗尽被攻击计算机资源拒绝服务攻击-SynFloodingA机发出SYN有错误的原地址和端口号，被攻击机B建立多个无用连接拒绝服务攻击-Smurf是根据一个攻击工具“smurf”而命名的。攻击者发送一个ICMP回应请求（ECHOREQUEST）报文,目的地址为广播地址，源地址为伪造的攻击目标的地址，将导致广播子网内的所有主机向攻击目标发送应答报文，大量的报文会导致目标主机无法正常工作。Smurf攻击原理AttackerBACVsrc=Vdst=SubNetdst=V,src=Adst=V,src=Bdst=V,src=CSubNet口令攻击攻击者攻击目标时常常把破译用户的口令作为攻击的开始。只要攻击者能猜测或者确定用户的口令，他就能获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。如果这个用户有域管理员或root用户权限，这是极其危险的。这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。口令攻击获得普通用户帐号的方法很多，如：利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；是通过网络监听非法得到用户口令，口令攻击是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令，这种方法不受网段限制，但攻击者要有足够的耐心和时间。如：采用字典穷举法（或称暴力法）来破解用户的密码。攻击者可以通过一些工具程序，自动地从电脑字典中取出一个单词，作为用户的口令，再输入给远端的主机，申请进入系统；若口令错误，就按序取出下一个单词，进行下一个尝试，并一直循环下去，直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成，因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。口令攻击病毒蠕虫蠕虫的基本程序结构为：1、传播模块：负责蠕虫的传播。2、隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。3、目的功能模块：实现对计算机的控制、监视或破坏等功能。传播模块由可以分为三个基本模块：扫描模块、攻击模块和复制模块。网络安全的目标数据完整性资源可用性用户身份认证数据保密性不可否认性数据完整性完整性指维护信息的一致性，防止非法用户对系统数据的篡改。实现方法：采用数据加密及校验和技术。资源可用性保证合法用户在任何时候都能使用、访问资源，阻止非法用户使用系统资源。实现方法：访问控制、防火墙、入侵检测等。用户身份认证保证通信对方的身份是真实的。实现方法：帐号-口令，电子证书等。数据保密性数据只能为合法用户所使用，让非法用户无法接触或读懂数据。实现方法：授权和访问控制、数据加密技术。不可否认性参与网络通讯过程的各方（用户、实体或者进程）无法否认其过去的参与活动；实现方法：数字签名等。加密明文：原始数据（P）密文：加密后的数据（C）加密：明文经算法到密文C=E（P）解密：密文经算法到明文D（E（P））=P，E与D互为逆变换密钥：控制算法实现的关键值：Ke、Kd对称密钥又叫单密钥、秘密密钥。加密和解密采用相同的密钥，即Ke=Kd。加密、解密速度快。通信双方需要预先协商密钥。一般采用集中管理和分发密钥。一旦密钥泄密，安全就不能得到保障。对称密钥加密方法移位密码，使明文变位不变形COMPUTERC=CPEOURMT密钥d=3替代密码，使明文换字不换形COMPUTERC=FRPSXWHU密钥k=3乘积密码，移位密码和替代密码的有限次组合数据加密标准DES，使用移位、替代、分组、迭代等方法，明文64位、密钥64位、密文64位非对称密钥加密和解密使用不同的密码Kpub,Kpriv。Kpub公开，Kpriv由密钥持有人保密。公钥加密算法有RSA算法等：用公钥加密，用私钥解密。加密强度很高，适合在网络环境中使用。加密、解密速度慢。一般用于协商、加密共享密钥，数字签名等。非对称密钥加密法RSA原理：数学上的单向陷门函数，一个方向求解容易，逆向计算非常困难“大数分解和素性检测”数论难题：两个大素数相乘，计算结果容易，但将结果分解成两个大素数因子却非常困难公钥应用示例：电子证书数字证书是经证书管理中心数字签名的文件。通常包含以下内容：证书的版本信息；证书的序列号；证书所使用的签名算法；证书的发行机构名称；证书的有效期；证书所有人的名称；证书所有人的公开密钥对；证书发行者对证书的签名数字签名张三拥有公钥Kpub,Kpriv;将Kpub公开〈电子证书〉；张三用Kpriv对数据DATA进行加密，然后发送给李四；李四用Kpub〈电子证书〉对数据DATA进行解密，确认数据来自张三；数字签名实际就是用私钥对一段数据进行加密。在实际中，由于公钥加密速度很慢，所以只对报文摘要进行加密，而不是对整个报文进行加密。数字签名和数据安全数字签名只保证数据确由发方发出并不能保证数据的安全传输。要保证数据的私有性，还需要进行数据加密。加密的应用信息确由发方发出：数字签名RSA，私钥加密，公钥解密。信息传输加密：DES加密明文，RSA加密DES密钥。信息只传给对方：RSA加密，公钥加密，私钥解密确认信息未被篡改：文摘MD加密防火墙防火墙内部网络因特网防火墙是在本地网与外部网之间的界面上构筑的保护层，保护内部网不受外部非法用户的攻击，是一个或一组网络设备。包过滤技术建立在网络层及传输层上，按源IP、目的IP、协议类型、端口号进行过滤。容许符合安全规则的数据包通过，阻止非法数据包。外部合法数据与内部网络近似直接通信，速度快、费用小、安全性低。安全规则：没有被列为容许访问的都是被禁止的，保守，但安全。没有被列为禁止访问的都是被容许的，开放，不安全。防火墙配置示例拒绝：202.114.*.*202.120.1.1:Telnet允许：202.114.*.*202.120.*.*允许：*202.120.*.*:缺省：全部拒绝交大徐汇校区202.120.*.*防火墙交大闵行校区202.114.*.*因特网包过滤技术的缺点不检测应用层数据内容无法防止对应用层协议的攻击无法防止对特定应用程序的攻击无法防止来自网络内部的攻击统计表明，大多数攻击来自网络内部应用网关和代理技术应用网关技术：建立在应用层上的协议过滤，针对特定的应用及过滤规则进行工作。代理服务器技术：上述两个技术中一旦外部数据流满足规则，则与内部的计算机网络建立起直接联系，存在危险。代理服务器是将跨越防火墙的通信分为两段，内、外计算机网络的连接由两个终止于代理服务器上的“连接”来实现，真正实现内、外隔离。安全性高，实现复杂，速度低。屏蔽主机型防火墙包过滤与代理技术相结合过滤规则是外部网只能到达代理或公开服务器，由主机代理完成与内部网的连接内部网可通过主机代理或直接经包过滤器与外部连接物理连接上，内部网仍存在危险外部......内部ProxyServer双穴网关型防火墙代理主机有两个网络接口物理上将内、外网络分开，外部网只能通过主机代理完成与内部网的连接内部网也只能通过主机代理与外部连接外部......内部ProxyServer