1、计 算 机 网 络 安 全 毕 业 论 文课 题 名 称 : 计 算 机 网 络 安 全姓 名 : 吕 金 亮班 级 : 1031网 络专 业 : 计 算 机 应 用指 导 教 师 :完 成 日 期 :摘 要 :我 们 知 道 , 21 世 纪 的 一 些 重 要 特 征 就 是 数 字 化 , 网 络 化 和 信 息 化 , 它 是一 个 以 网 络 为 核 心 的 信 息 时 代 。 随 着 计 算 机 互 联 网 技 术 的 飞 速 发 展 , 网 络信 息 已 经 成 为 社 会 发 展 的 重 要 组 成 部 分 。 它 涉 及 到 政 府 、 经 济 、 文 化 、 军事 等 诸
2、多 领 域 。 由 于 计 算 机 网 络 组 成 形 式 多 样 性 、 终 端 分 布 广 和 网 络 的 开放 性 、 互 联 性 等 特 征 , 致 使 网 络 信 息 容 易 受 到 来 自 黑 客 窃 取 、 计 算 机 系 统容 易 受 恶 意 软 件 攻 击 , 因 此 , 网 络 信 息 资 源 的 安 全 及 管 理 维 护 成 为 当 今 信息 话 时 代 的 一 个 重 要 话 题 。文 中 首 先 论 述 了 信 息 网 络 安 全 内 涵 发 生 的 根 本 变 化 ,阐 述 了 我 国 发展 民 族 信 息 安 全 体 系 的 重 要 性 及 建 立 有 中 国
3、特 色 的 网 络 安 全 体 系 的 必 要性 ,以 及 网 络 面 临 的 安 全 性 威 胁 ( 黑 客 入 侵 ) 及 管 理 维 护 ( 防 火 墙 安 全 技术 ) 。 进 一 步 阐 述 了 网 络 拓 扑 结 构 的 安 全 设 计 , 包 括 对 网 络 拓 扑 结 构 的 分析 和 对 网 络 安 全 的 浅 析 。 然 后 具 体 讲 述 了 网 络 防 火 墙 安 全 技 术 的 分 类 及 其主 要 技 术 特 征 , 防 火 墙 部 署 原 则 , 并 从 防 火 墙 部 署 的 位 置 详 细 阐 述 了 防 火墙 的 选 择 标 准 。 同 时 就 信 息 交
4、换 加 密 技 术 的 分 类 及 RSA算 法 做 了 简 要 的 分析 , 论 述 了 其 安 全 体 系 的 构 成 。关 键 词 : 信 息 安 全 网 络 防 火 墙 数 据 加 密目 录首 页 1目 录 3第 一 章 引 言1.1 概 述 .41.2 网 络 安 全 技 术 的 研 究 目 的 意 义 和 背 景 41.3 计 算 机 网 络 安 全 的 含 义 .5第 二 章 网 络 安 全 初 步 分 析2.1 网 络 安 全 的 必 要 性 .62.2 网 络 的 安 全 管 理 .62.2.1 安 全 管 理 原 则 . 62.2.2 安 全 管 理 的 实 现 .72.3
5、 采 用 先 进 的 技 术 和 产 品2.3.1 防 火 墙 技 术 72.3.2 数 据 加 密 技 术 72.3.3 认 证 技 术 72.3.4 计 算 机 病 毒 的 防 范 72.4 常 见 的 网 络 攻 击 及 防 范 对 策 .82.4.1 特 洛 伊 木 马 82.4.4 淹 没 攻 击 8第 三 章 网 络 攻 击 分 析 及 特 点 9第 四 章 网 络 安 全 面 临 的 威 胁3.1自 然 灾 害3.2网 络 软 件 漏 洞3.3黑 客 的 威 胁 和 攻 击3.4计 算 机 病 毒3.5垃 圾 邮 件 和 间 谍 软 件3.6计 算 机 犯 罪第 4 章 计 算
6、机 网 络 安 全 防 范 策 略4.1 防 火 墙 技 术4.1.1 防 火 墙 的 主 要 功 能4.1.2 防 火 墙 的 主 要 优 点4.1.3 防 火 墙 的 主 要 缺 陷4.1.4 防 火 墙 的 分 类4.1.5 防 火 墙 的 部 署4.2 数 据 加 密 技 术4.3 系 统 容 灾 技 术4.4 入 侵 检 测 技 术4.4.1 入 侵 检 测 系 统 的 分 类4.4.2 目 前 入 侵 检 测 系 统 的 缺 陷4.4.3 防 火 墙 与 入 侵 检 测 系 统 的 相 互 联 动4.4.4 结 语4.5 漏 洞 扫 描 技 术4.6 物 理 安 全第 四 章 网
7、络 安 全 技 术4.1 防 火 墙 的 定 义 和 选 择 124.2 加 密 技 术 124.2.1 对 称 加 密 技 术 .124.2.2 非 对 称 加 密 /公 开 密 钥 加 密 12.4.2.3 RSA算 法 .124.3注 册 与 认 证 管 理 .134.3.1 认 证 机 构 .134.3.2 注 册 机 构 134.3.3 密 钥 备 份 和 恢 复 13第 五 章 安 全 技 术 的 研 究5.1 安 全 技 术 的 研 究 现 状 和 方 向 145.1.1 包 过 滤 型 145.1.2 代 理 型 14结 束 语 .15参 考 文 献 第 一 章 引 言1.1
8、概 述我 们 知 道 , 21 世 纪 的 一 些 重 要 特 征 就 是 数 字 化 ,网 络 化 和 信 息 化 ,它 是 一 个 以 网 络 为 核 心 的信 息 时 代 。 要 实 现 信 息 化 就 必 须 依 靠 完 善 的 网 络 , 因 为 网 络 可 以 非 常 迅 速 的 传 递 信 息 。 因 此 网 络现 在 已 成 为 信 息 社 会 的 命 脉 和 发 展 知 识 经 济 的 基 础 。随 着 计 算 机 网 络 的 发 展 , 网 络 中 的 安 全 问 题 也 日 趋 严 重 。 当 网 络 的 用 户 来 自 社 会 各 个 阶 层与 部 门 时 , 大 量
9、在 网 络 中 存 储 和 传 输 的 数 据 就 需 要 保 护 。 当 人 类 步 入 21 世 纪 这 一 信 息 社 会 、 网络 社 会 的 时 候 , 我 国 将 建 立 起 一 套 完 整 的 网 络 安 全 体 系 , 特 别 是 从 政 策 上 和 法 律 上 建 立 起 有 中 国特 色 的 网 络 安 全 体 系 。一 个 国 家 的 安 全 体 系 实 际 上 包 括 国 家 的 法 律 和 政 策 , 以 及 技 术 与 市 场 的 发 展 平 台 。 我 国 在构 建 信 息 信 息 防 卫 系 统 时 ,应 着 力 发 展 自 己 独 特 的 安 全 产 品 ,我
10、 国 要 想 真 正 解 决 网 络 安 全 问 题 ,最终 的 办 法 就 是 通 过 发 展 名 族 的 安 全 产 业 ,带 动 我 国 网 络 安 全 技 术 的 整 体 提 高 。网 络 安 全 产 品 有 以 下 几 个 特 点 : 第 一 , 网 络 安 全 来 源 于 安 全 策 略 与 技 术 的 多 样 化 , 如 果 采用 一 种 统 一 的 技 术 和 策 略 也 就 不 安 全 了 ; 第 二 , 网 络 的 安 全 机 制 与 技 术 要 不 断 的 变 化 ; 第 三 , 随着 网 络 在 社 会 各 个 方 面 的 延 伸 , 进 入 网 络 的 手 段 也 越
11、 来 越 多 , 因 此 , 网 络 安 全 技 术 是 一 个 十 分 复杂 的 系 统 工 程 。 为 此 建 立 有 中 国 特 色 的 网 络 安 全 体 系 , 需 要 国 家 政 策 和 法 规 的 支 持 及 集 团 联 合 开发 。 安 全 与 反 安 全 就 像 矛 盾 的 两 个 方 面 , 总 是 不 断 的 向 上 攀 升 , 所 以 安 全 产 业 将 来 也 是 一 个 随 着新 技 术 发 展 而 不 断 发 展 的 产 业 。信 息 安 全 是 国 家 发 展 所 面 临 的 一 个 重 要 问 题 , 对 于 这 个 问 题 , 我 们 还 没 有 从 系 统
12、 的 规 划 上去 考 虑 它 , 从 技 术 上 、 产 业 上 、 政 策 上 来 发 展 它 。 政 府 不 仅 应 该 看 见 信 息 安 全 的 发 展 是 我 国 高 科技 产 业 的 一 部 分 , 而 且 应 该 看 到 发 展 安 全 产 业 的 政 策 是 信 息 安 全 保 障 系 统 的 一 个 重 要 组 成 部 分 ,甚 至 应 该 看 到 它 对 我 国 未 来 数 字 化 、 网 络 化 、 信 息 化 的 发 展 将 起 到 非 常 重 要 的 作 用 。1.2 网 络 安 全 技 术 的 研 究 目 的 、 意 义 和 背 景目 前 计 算 机 网 络 面
13、临 着 很 大 的 威 胁 , 其 构 成 的 因 素 是 多 方 面 的 。 这 种 威 胁 将 不 断 给 社 会 带来 巨 大 的 损 失 。 网 络 安 全 已 被 信 息 社 会 的 各 个 领 域 所 重 视 。随 着 计 算 机 络 的 不 断 发 展 , 全 球 信 息 化 已 成 为 人 类 发 展 的 大 趋 势 ; 给 政 府 机 构 、 企 事 业 单位 带 来 了 革 命 性 的 改 革 。 但 由 于 计 算 机 网 络 具 有 联 结 形 式 多 样 性 、 终 端 分 布 不 均 匀 性 和 网 络 的开 放 性 、 互 联 性 等 特 征 , 致 使 网 络
14、容 易 受 黑 客 、 病 毒 、 恶 意 软 件 和 其 他 不 轨 行 为 的 攻 击 , 所 以网 上 信 息 的 安 全 和 保 密 是 一 个 至 关 重 要 的 问 题 。 对 于 军 用 的 自 动 化 指 挥 网 络 、 C3I 系 统 、 银 行和 政 府 等 传 输 铭 感 数 据 的 计 算 机 网 络 系 统 而 言 , 其 网 上 信 息 的 安 全 性 和 保 密 性 尤 为 重 要 。 因 此 ,上 述 的 网 络 必 须 要 有 足 够 强 的 安 全 措 施 , 否 则 该 网 络 将 是 个 无 用 、 甚 至 会 危 机 国 家 安 全 的 网 络 。无
15、论 是 在 局 域 网 中 还 是 在 广 域 网 中 , 都 存 在 着 自 然 和 人 为 等 诸 多 因 素 的 潜 在 威 胁 和 网 络 的 脆 弱性 , 故 此 , 网 络 的 安 全 措 施 应 是 能 全 方 位 的 针 对 各 种 不 同 的 威 胁 和 网 络 的 脆 弱 性 , 这 样 才 能 确保 网 络 信 息 的 保 密 性 、 完 整 性 、 和 可 行 。 为 了 确 保 信 息 安 的 安 全 与 畅 通 , 研 究 计 算 机 网 络 的 安全 以 及 防 范 措 施 已 迫 在 眉 睫 。 本 文 就 进 行 初 步 探 讨 计 算 机 网 络 安 全 的
16、 管 理 及 技 术 措 施 。认 真 分 析 网 络 面 临 的 威 胁 , 我 认 为 计 算 机 网 络 系 统 的 安 全 防 范 工 作 是 一 个 极 为 复 杂 的 系 统工 程 , 是 一 个 安 全 管 理 和 技 术 防 范 相 结 合 的 工 程 。 在 目 前 法 律 法 规 尚 不 完 善 的 情 况 下 , 首 先 是各 计 算 机 网 络 应 用 部 门 领 导 的 重 视 , 加 强 工 作 人 员 的 责 任 心 和 防 范 意 识 , 自 觉 执 行 各 项 安 全 制度 , 在 此 基 础 上 , 再 采 用 现 金 的 技 术 和 产 品 , 构 造 全
17、 防 卫 的 防 御 机 制 , 使 系 统 在 理 想 的 状 态 下运 行 。1.3 计 算 机 网 络 安 全 的 含 义计 算 机 网 络 安 全 的 具 体 含 义 会 随 着 使 用 者 的 变 化 而 变 化 , 使 用 者 的 不 同 , 对 网 络 安 全 的 认识 和 要 求 也 就 不 同 。 例 如 从 普 通 使 用 者 的 角 度 来 说 , 可 能 仅 仅 希 望 个 人 隐 私 或 机 密 信 息 在 网 络上 传 输 时 受 到 保 护 , 避 免 被 窃 听 、 篡 改 和 伪 造 ; 而 网 络 提 供 商 除 了 关 心 这 些 网 络 信 息 安 全
18、外 ,还 要 考 虑 如 何 应 付 突 发 的 灾 害 , 军 事 打 击 等 对 网 络 硬 件 的 破 坏 , 以 及 在 网 络 出 现 异 常 时 如 何 恢复 网 络 通 信 , 保 持 网 络 通 信 的 连 续 性 。从 本 质 上 来 讲 , 网 络 安 全 包 括 组 成 网 络 系 统 的 硬 件 、 软 件 极 其 在 网 络 上 传 输 信 息 的 安 全 性 ,使 其 不 致 因 偶 然 的 或 者 恶 意 的 攻 击 遭 到 破 坏 , 网 络 安 全 既 有 技 术 方 面 的 , 也 有 管 理 方 面 的 问 题 ,两 方 面 相 互 补 充 , 缺 一 不
19、 可 。 人 为 的 网 络 入 侵 和 攻 击 行 为 使 得 网 络 安 全 面 临 新 的 挑 战 。第 二 章 网 络 安 全 初 步 分 析2.1 网 络 安 全 的 必 要 性随 着 计 算 机 技 术 的 不 断 发 展 , 计 算 机 网 络 已 经 成 为 信 息 时 代 的 重 要 特 征 。 人 们 称 它 为 信 息高 速 公 路 。 网 络 是 计 算 机 技 术 和 通 信 技 术 的 产 物 , 适 应 社 会 对 信 息 共 享 和 信 息 传 递 的 要 求 发 展起 来 的 , 各 国 都 在 建 设 自 己 的 信 息 高 速 公 路 。 我 国 近 年
20、来 计 算 机 网 络 发 展 的 速 度 也 很 快 , 在 国防 、 电 信 、 银 行 、 广 播 等 方 面 都 有 广 泛 的 应 用 。 我 相 信 在 不 长 的 时 间 里 , 计 算 机 网 络 一 定 会 得到 极 大 的 发 展 , 那 时 将 全 面 进 入 信 息 时 代 。 正 因 为 网 络 应 用 的 如 此 广 泛 , 又 在 生 活 中 扮 演 很 重要 的 角 色 , 所 以 其 安 全 性 是 不 容 忽 视 的 。2.2 网 络 的 安 全 管 理面 对 网 络 安 全 的 脆 弱 性 , 除 了 在 网 络 设 计 上 增 加 安 全 服 务 功 能
21、 , 完 善 系 统 的 安 全 保 密 措施 外 , 还 必 须 花 大 力 气 加 强 网 络 安 全 的 安 全 管 理 , 因 为 诸 多 的 不 安 全 因 素 恰 恰 反 映 在 组 织 管理 和 人 员 录 用 等 方 面 , 而 这 又 是 计 算 机 网 络 安 全 所 必 须 考 虑 的 基 本 问 题 。2.2.1 安 全 管 理 原 则网 络 信 息 系 统 的 安 全 管 理 主 要 基 于 3 个 原 则 :1 多 人 负 责 原 则每 一 项 与 安 全 有 关 的 活 动 , 都 必 须 有 两 人 或 多 人 在 场 。 这 些 人 应 是 系 统 主 管 领
22、 导 指 派 的 ,他 们 忠 诚 可 靠 , 能 胜 任 此 项 工 作 ; 他 们 应 该 签 署 工 作 情 况 记 录 以 证 明 安 全 工 作 以 得 到 保 障 。与 安 全 有 关 的 活 动 有 : 访 问 控 制 使 用 证 件 的 发 放 与 回 收 , 信 息 处 理 系 统 使 用 的 媒 介 发 放 与 回收 , 处 理 保 密 信 息 , 硬 件 与 软 件 的 维 护 , 系 统 软 件 的 设 计 、 实 现 和 修 改 , 重 要 数 据 的 删 除 和销 毁 等 。2 任 期 有 限 原 则一 般 来 讲 , 任 何 人 最 好 不 要 长 期 担 任 与
23、 安 全 有 关 的 职 务 , 以 免 使 他 认 为 这 个 职 务 是 专有 的 或 永 久 性 的 。 为 遵 循 任 期 有 限 原 则 , 工 作 人 员 应 不 定 期 的 循 环 任 职 , 强 制 实 行 休 假 制 度 ,并 规 定 对 工 作 人 员 进 行 轮 流 培 训 , 以 使 任 期 有 限 制 度 切 实 可 行 。3 职 责 分 离 原 则除 非 经 系 统 主 管 领 导 批 准 , 在 信 息 处 理 系 统 工 作 的 人 员 不 要 打 听 、 了 解 或 参 与 职 责 以外 的 任 何 与 安 全 有 关 的 事 情 。 出 于 对 安 全 的
24、考 虑 , 下 面 每 组 内 的 两 项 信 息 处 理 工 作 应 当 分 开 :计 算 机 操 作 与 计 算 机 编 程 、 机 密 资 料 的 接 收 与 传 送 、 安 全 管 理 与 系 统 管 理 、 应 用 程 序 和 系 统程 序 的 编 制 、 访 问 证 件 的 管 理 与 其 他 工 作 、 计 算 机 操 作 与 信 息 处 理 系 统 使 用 媒 介 的 保 管 等 。2.2.2 安 全 管 理 的 实 现信 息 系 统 的 安 全 管 理 部 门 应 根 据 管 理 原 则 和 该 系 统 处 理 数 据 的 保 密 性 , 制 定 相 应 的 管 理 制 度或
25、 采 用 相 应 的 规 范 。 具 体 工 作 是 :1 根 据 工 作 的 重 要 程 度 , 确 定 该 系 统 的 安 全 等 级 。2 根 据 确 定 的 安 全 等 级 , 确 定 安 全 管 理 范 围 。3 制 定 相 应 的 机 房 出 入 管 理 制 度 , 对 于 安 全 等 级 要 求 较 高 的 系 统 , 要 实 行 分 区 控 制 , 限制 工 作 人 员 出 入 与 己 无 关 的 区 域 。 出 入 管 理 可 采 用 证 件 识 别 或 安 装 自 动 识 别 系 统 , 采 用此 卡 、 身 份 卡 等 手 段 , 对 人 员 进 行 识 别 , 登 记
26、管 理 。2.3 采 用 先 进 的 技 术 和 产 品要 保 证 计 算 机 网 络 安 全 的 安 全 性 , 还 要 采 用 一 些 先 进 的 技 术 和 产 品 。 目 前 主 要 采 用 的 相 关技 术 和 产 品 有 以 下 几 种 。2.3.1 防 火 墙 技 术为 保 证 网 络 安 全 , 防 止 外 部 网 对 内 部 网 的 非 法 入 侵 , 在 被 保 护 的 网 络 和 外 部 公 共 网 络 之 间 设置 一 道 屏 障 这 就 称 为 防 火 墙 。 它 是 一 个 或 一 组 系 统 , 该 系 统 可 以 设 定 哪 些 内 部 服 务 可 以 被 外
27、界 访问 , 外 界 的 哪 些 人 可 以 访 问 内 部 的 哪 些 服 务 , 以 及 哪 些 外 部 服 务 可 以 被 内 部 人 员 访 问 。 它 可 以 监测 、 限 制 、 更 改 跨 越 防 火 墙 的 数 据 流 , 确 认 其 来 源 及 去 处 , 检 查 数 据 的 格 式 及 内 容 , 并 依 照 用 户的 规 则 传 送 或 阻 止 数 据 。 其 主 要 有 : 应 用 层 网 关 、 数 据 包 过 滤 、 代 理 服 务 器 等 几 大 类 型 。2.3.2 数 据 加 密 技 术与 防 火 墙 配 合 使 用 的 安 全 技 术 还 有 数 据 加 密
28、 技 术 , 是 为 了 提 高 信 息 系 统 及 数 据 的 安 全 性 和 保密 性 , 防 止 秘 密 数 据 被 外 部 破 析 所 采 用 的 主 要 技 术 手 段 之 一 。 随 着 信 息 技 术 的 发 展 , 网 络 安 全 与信 息 保 密 日 益 引 起 人 们 的 关 注 。 目 前 各 国 除 了 从 法 律 上 、 管 理 上 加 强 数 据 的 安 全 保 护 外 , 从 技 术上 分 别 在 软 件 和 硬 件 两 方 面 采 取 措 施 , 推 动 着 数 据 加 密 技 术 和 物 理 防 范 技 术 的 不 断 发 展 。 按 作 用的 不 同 , 数
29、 据 加 密 技 术 主 要 分 为 数 据 传 输 、 数 据 存 储 、 数 据 完 整 性 的 鉴 别 以 及 密 钥 管 理 技 术 四 种 。2.3.3 认 证 技 术认 证 技 术 是 防 止 主 动 攻 击 的 重 要 手 段 , 它 对 于 开 放 环 境 中 的 各 种 信 息 的 安 全 有 重 要 作 用 。 认证 是 指 验 证 一 个 最 终 用 户 或 设 备 的 身 份 过 程 , 即 认 证 建 立 信 息 的 发 送 者 或 接 受 者 的 身 份 。 认 证 的主 要 目 的 有 两 个 : 第 一 , 验 证 信 息 的 发 送 者 是 真 正 的 , 而
30、 不 是 冒 充 的 , 这 称 为 信 号 源 识 别 ; 第 二 ,验 证 信 息 的 完 整 性 , 保 证 信 息 在 传 送 过 程 中 未 被 篡 改 或 延 迟 等 。 目 前 使 用 的 认 证 技 术 主 要 有 : 消息 认 证 、 身 份 认 证 、 数 字 签 名 。2.3.4 计 算 机 病 毒 的 防 范首 先 要 加 强 工 作 人 员 防 病 毒 的 意 识 , 其 次 是 安 装 好 的 杀 毒 软 件 。 合 格 的 防 病 毒 软 件 应 该 具 备以 下 条 件 : 较 强 的 查 毒 、 杀 毒 能 力 。 在 当 前 全 球 计 算 机 网 络 上
31、流 行 的 计 算 机 病 毒 有 4 万 多 种 , 在 各种 操 作 系 统 中 包 括 Windows 、 UNIX 和 Netware 系 统 都 有 大 量 能 够 造 成 危 害 的 计 算 机 病 毒 , 这就 要 求 安 装 的 防 病 毒 软 件 能 够 查 杀 多 种 系 统 环 境 下 的 病 毒 , 具 有 查 杀 、 杀 毒 范 围 广 、 能 力 强 的 特点 。 完 善 的 升 级 服 务 。 与 其 他 软 件 相 比 , 防 病 毒 软 件 更 需 要 不 断 的 更 新 升 级 , 以 查 杀 层 出 不穷 的 计 算 机 病 毒 。2.4 常 见 的 网
32、络 攻 击 和 防 范 对 策2.4.1 特 洛 伊 木 马特 洛 伊 木 马 是 夹 带 在 执 行 正 常 功 能 的 程 序 中 的 一 段 额 外 操 作 代 码 。 因 为 在 特 洛 伊 木 马 中 存 在这 些 用 户 不 知 道 的 额 外 操 作 代 码 , 因 此 含 有 特 洛 伊 木 马 的 程 序 在 执 行 时 , 表 面 上 是 执 行 正 常 的 程序 , 而 实 际 上 是 在 执 行 用 户 不 希 望 的 程 序 。 特 洛 伊 木 马 的 程 序 包 括 两 部 分 , 即 实 现 攻 击 者 目 的 的指 令 和 在 网 络 中 传 播 的 指 令 。
33、 特 洛 伊 木 马 具 有 很 强 的 生 命 力 , 在 网 络 中 当 人 们 执 行 一 个 含 有 特 洛伊 木 马 的 程 序 时 , 它 能 把 自 己 插 入 一 些 未 被 感 染 的 过 程 中 , 从 而 使 它 们 受 到 感 染 。 此 类 攻 击 对 计算 机 的 危 害 极 大 , 通 过 特 洛 伊 木 马 , 网 络 攻 击 者 可 以 读 写 未 经 授 权 的 文 件 , 甚 至 可 以 获 得 对 被 攻击 的 计 算 机 的 控 制 权 。防 止 在 正 常 程 序 中 隐 藏 特 洛 伊 木 马 的 主 要 是 人 们 在 生 成 文 件 时 , 对
34、 每 一 个 文 件 进 行 数 字 签名 , 而 在 运 行 文 件 时 通 过 对 数 字 签 名 的 检 查 来 判 断 文 件 是 否 被 修 改 , 从 而 确 定 文 件 中 是 否 含 有 特洛 伊 木 马 。 避 免 下 载 可 疑 程 序 并 拒 绝 执 行 , 运 用 网 络 扫 描 软 件 定 期 监 视 内 部 主 机 上 的 监 听 TCP服 务 。2.4.2 邮 件 炸 弹邮 件 炸 弹 是 最 古 老 的 匿 名 攻 击 之 一 , 通 过 设 置 一 台 机 器 不 断 的 大 量 的 向 同 以 地 址 发 送 电 子邮 件 , 攻 击 者 能 够 耗 尽 接
35、 受 者 网 络 的 带 宽 , 占 据 邮 箱 的 空 间 , 使 用 户 的 存 储 空 间 消 耗 殆 尽 , 从 而阻 止 用 户 对 正 常 邮 件 的 接 收 , 妨 碍 计 算 机 的 正 常 工 作 。 此 种 攻 击 经 常 出 现 在 网 络 黑 客 通 过 计 算 机网 络 对 某 一 目 标 的 报 复 活 动 中 。防 止 邮 件 炸 弹 的 方 法 主 要 有 通 过 配 置 路 由 器 , 有 选 择 地 接 收 电 子 邮 件 , 对 邮 件 地 址 进 行 配置 , 自 动 删 除 来 自 同 一 主 机 的 过 量 或 重 复 消 息 , 也 可 以 使 自
36、 己 的 SMTP连 接 只 能 达 成 指 定 的 服 务 器 ,从 而 免 受 外 界 邮 件 的 侵 袭 。2.4.3 过 载 攻 击过 载 攻 击 是 攻 击 者 通 过 服 务 器 长 时 间 发 出 大 量 无 用 的 请 求 , 使 被 攻 击 的 服 务 器 一 直 处 于 繁忙 的 状 态 , 从 而 无 法 满 足 其 他 用 户 的 请 求 。 过 载 攻 击 中 被 攻 击 者 用 的 最 多 的 一 种 方 法 是 进 程 攻 击 ,它 是 通 过 大 量 地 进 行 人 为 的 增 大 CPU 的 工 作 量 , 耗 费 CPU的 工 作 时 间 , 使 其 它 的
37、 用 户 一 直 处 于 等待 状 态 。防 止 过 载 攻 击 的 方 法 有 : 限 制 单 个 用 户 所 拥 有 的 最 大 进 程 数 ; 杀 死 一 些 耗 时 的 进 程 。 然 而 ,不 幸 的 是 这 两 种 方 法 都 存 在 着 一 定 的 负 面 效 应 。 通 过 对 单 个 用 户 所 拥 有 的 最 大 进 程 数 的 限 制 和 耗时 进 程 的 删 除 , 会 使 用 户 某 些 正 常 的 请 求 得 不 到 系 统 的 响 应 , 从 而 出 现 类 似 拒 绝 服 务 的 现 象 。 通常 , 管 理 员 可 以 使 用 网 络 监 视 工 具 来 发
38、现 这 种 攻 击 , 通 过 主 机 列 表 和 网 络 地 址 列 表 来 的 所 在 , 也可 以 登 录 防 火 墙 或 路 由 器 来 发 现 攻 击 究 竟 是 来 自 于 网 络 内 部 还 是 网 络 外 部 。 另 外 , 还 可 以 让 系 统自 动 检 查 是 否 过 载 或 者 重 新 启 动 系 统 。2.4.4 淹 没 攻 击正 常 情 况 下 , TCP连 接 建 立 要 经 过 3次 握 手 的 过 程 , 即 客 户 机 向 客 户 机 发 送 SYN请 求 信 号 ;目 标 主 机 收 到 请 求 信 号 后 向 客 户 机 发 送 SYN/ACK消 息 ;
39、 客 户 机 收 到 SYN/ACK消 息 后 再 向 主 机 发 送RST信 号 并 断 开 连 接 。 TCP 的 这 三 次 握 手 过 程 为 人 们 提 供 了 攻 击 网 络 的 机 会 。 攻 击 者 可 以 使 用 一 个不 存 在 或 当 时 没 有 被 使 用 的 主 机 的 IP地 址 , 向 被 攻 击 主 机 发 出 SYN请 求 信 号 , 当 被 攻 击 主 机 收 到SYN请 求 信 号 后 , 它 向 这 台 不 存 在 IP 地 址 的 伪 装 主 机 发 出 SYN/消 息 。 由 于 此 时 的 主 机 IP不 存 在或 当 时 没 有 被 使 用 所
40、以 无 法 向 主 机 发 送 RST, 因 此 , 造 成 被 攻 击 的 主 机 一 直 处 于 等 待 状 态 , 直 至超 时 。 如 果 攻 击 者 不 断 的 向 被 攻 击 的 主 机 发 送 SYN 请 求 , 被 攻 击 主 机 就 一 直 处 于 等 待 状 态 , 从 而无 法 响 应 其 他 用 户 请 求 。对 付 淹 没 攻 击 的 最 好 方 法 就 是 实 时 监 控 系 统 处 于 SYN-RECEIVED状 态 的 连 接 数 , 当 连 接 数 超过 某 一 给 定 的 数 值 时 , 实 时 关 闭 这 些 连 接 。第 三 章 网 络 攻 击 分 析
41、及 特 点攻 击 是 指 非 授 权 行 为 。 攻 击 的 范 围 从 简 单 的 使 服 务 器 无 法 提 供 正 常 的 服 务 到 安 全 破 坏 、 控 制 服务 器 。 在 网 络 上 成 功 实 施 的 攻 击 级 别 以 来 于 拥 护 采 取 的 安 全 措 施 。在 此 先 分 析 下 比 较 流 行 的 攻 击 Dodos 分 布 式 拒 绝 服 务 攻 击 : Does是 Denial of Service的 简称 , 即 拒 绝 服 务 , 造 成 Does的 攻 击 行 为 被 称 为 Does攻 击 , 其 目 的 是 使 计 算 机 或 网 络 无 法 提 供
42、 正常 的 服 务 。 最 常 见 的 Does 攻 击 有 计 算 机 网 络 带 宽 攻 击 和 连 通 性 攻 击 。 带 宽 攻 击 指 以 极 大 的 通 信 量冲 击 网 络 , 使 得 所 有 可 用 网 络 资 源 都 被 消 耗 殆 尽 , 最 后 导 致 合 法 的 用 户 请 求 就 无 法 通 过 。 连 通 性攻 击 是 指 用 大 量 的 连 接 请 求 冲 击 计 算 机 , 使 得 所 有 可 用 的 操 作 系 统 资 源 都 被 消 耗 殆 尽 , 最 终 计 算机 无 法 再 处 理 合 法 用 户 的 请 求 。 而 分 布 式 拒 绝 服 务 ( DD
43、oS:Distributed Denial of Service) 攻击 是 借 助 于 客 户 /服 务 器 技 术 , 将 多 个 计 算 机 联 合 起 来 作 为 攻 击 平 台 , 对 一 个 或 多 个 目 标 发 动 DoS攻 击 , 从 而 成 倍 地 提 高 拒 绝 服 务 攻 击 的 威 力 。 通 常 , 攻 击 者 使 用 一 个 偷 窃 账 号 将 DDoS主 控 程 序 安装 在 一 个 计 算 机 上 , 在 一 个 设 定 的 时 间 主 控 程 序 将 与 大 量 代 理 程 序 通 讯 , 代 理 程 序 已 经 被 安 装 在Internet 上 的 许
44、多 计 算 机 上 。 代 理 程 序 收 到 指 令 时 就 发 动 攻 击 。 利 用 客 户 /服 务 器 技 术 , 主 控 程序 能 在 几 秒 钟 内 激 活 成 百 上 千 次 代 理 程 序 的 运 行 。 而 且 现 在 没 有 有 限 的 方 法 来 避 免 这 样 的 攻 击 。因 为 此 攻 击 基 于 TCP/IP 协 议 的 漏 洞 , 要 想 避 免 除 非 不 使 用 此 协 议 , 显 然 这 是 很 难 做 到 的 那我 们 要 如 何 放 置 呢 ?1. 确 保 所 有 服 务 器 采 用 最 新 系 统 , 并 打 上 安 全 补 丁 。 计 算 机 紧
45、 急 响 应 协 调 中 心 发 现 , 几 乎 每个 受 到 DDoS攻 击 的 系 统 都 没 有 及 时 打 上 补 丁 。2. 确 保 管 理 员 对 所 有 主 机 进 行 检 查 , 而 不 仅 针 对 关 键 主 机 。 这 是 为 了 确 保 管 理 员 知 道 每 个 主机 系 统 在 运 行 什 么 ? 谁 在 使 用 主 机 ? 哪 些 人 可 以 访 问 主 机 ? 不 然 , 即 使 黑 客 侵 犯 了 系 统 , 也很 难 查 明 。3. 确 保 从 服 务 器 相 应 的 目 录 或 文 件 数 据 库 中 删 除 未 使 用 的 服 务 如 FTP 或 NFS.
46、等 守 护 程 序 存在 一 些 已 知 的 漏 洞 , 黑 客 通 过 根 攻 击 就 能 获 得 访 问 特 权 系 统 的 权 限 , 并 能 访 问 其 他 系 统 甚 至 是受 防 火 墙 保 护 的 系 统 。4. 确 保 运 行 在 Unix上 的 所 有 服 务 都 有 TCP封 装 程 序 , 限 制 对 主 机 的 访 问 权 。5. 禁 止 内 部 网 通 过 Modem连 接 至 PSTN 系 统 。 否 则 , 黑 客 能 通 过 电 话 线 发 现 未 受 保 护 的 主 机 ,即 刻 就 能 访 问 极 为 机 密 的 数 据 。6. 禁 止 使 用 网 络 访
47、问 程 序 如 Telnet、 Ftp、 Rsh 、 Rlogin 和 Rcp, 以 基 于 PKI 的 访 问 程序 如 SSH取 代 。 SSH不 会 在 网 上 以 明 文 格 式 传 递 口 令 , 而 Telnet 和 Rlogin 则 正 好 相 反 , 黑 客 能搜 寻 到 这 些 口 令 , 从 而 立 即 访 问 网 络 上 的 重 要 服 务 器 。 此 外 , 在 Unix 上 应 该 将 . rhost 和hosts.equiv 文 件 删 除 ,因 为 不 用 猜 口 令 ,这 些 文 件 就 会 提 供 登 录 访 问 !7. 限 制 在 防 火 墙 外 与 网 络
48、 文 件 共 享 。 这 会 使 黑 客 有 机 会 截 获 系 统 文 件 , 并 以 特 洛 伊 木 马 替 换他 , 文 件 传 输 功 能 无 异 将 陷 入 瘫 痪 。8. 确 保 手 头 上 有 一 张 最 新 的 网 络 拓 扑 图 。 这 张 图 应 该 详 细 标 明 TCP/IP地 址 、 主 机 、 路 由 器及 其 他 网 络 设 备 , 还 应 该 包 括 网 络 边 界 、 非 军 事 区 ( DMZ) 及 网 络 的 内 部 保 密 部 分 。9. 在 防 火 墙 上 运 行 端 口 映 射 程 序 或 端 口 扫 描 程 序 。 大 多 数 时 间 是 由 于
49、防 火 墙 配 置 不 当 造 成的 , 使 DoS/ DDoS攻 击 成 功 率 很 高 , 所 以 一 定 要 认 真 检 查 特 权 端 口 和 非 特 权 端 口 。10. 检 查 所 有 网 络 设 备 和 主 机 /服 务 器 系 统 的 日 志 。 只 要 日 志 出 现 纰 漏 或 时 间 出 现 变 更 , 几 乎可 以 坑 定 : 相 关 的 主 机 安 全 收 到 了 威 胁 。计 算 机 网 络 的 攻 击 特1 损 失 巨 大由 于 攻 击 和 入 侵 的 对 象 是 网 络 上 的 计 算 机 ,因 此 攻 击 一 旦 成 功 ,就 会 使 网 络 中 的 计 算 机 处 于 瘫痪 状 态 ,从 而 给 计 算 机 用 户 造 成 巨 大 的 经 济 损 失 。 如 美 国 每 年 因 计 算 机 犯 罪 而 造 成 的 经 济 损 失 就 达几 百 亿 美 元 。 平 均 每 起 计 算 机 犯 罪 案 件 所 成 的 经 济 损 失 是 一 般 案 件 的 几 十 到 几 百 倍 。2 威 胁 社 会 和 国 家 安 全一 些 计 算 机 网 络 攻 击 者 出 于 各 种 目 的 经 常 把 政 府 部 门 和 军 事 部 门 的 计 算 机 作 为 攻 击 目 标 ,从而 对 社 会 和 国 家 安 全 造 成 威 胁 。3 手
