1、江西理工大学应用科学学院网络攻击与防御课程作业论文题 目: 网络防御技术与安全管理 系 别:_信息工程系_ 班 级: 网络 091 姓 名:_王新宇_成 绩:_二一二年四月网络防御技术摘要:随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完
2、整性和可用性。关键字: 网络威胁 加密技术 网络防御 网络攻击 防火墙 Abstract:Along with the computer network unceasing development, the global information has become the development of the human race the major tendency. But because the computer network has joint form characteristics and so on multiplicity, terminal distribution no
3、n-uniformity and network openness, connectivity, cause network easily hacker, strange guest, malicious software and other illegal attacks, therefore on the net the information security and the security are a very important question.Regardless of is in the local area network or in WAN, all has the na
4、ture and artificial and so on many factor vulnerabilities and the latent threat. Therefore, the network security measure should be can Omni-directional in view of each kind of different threat and the vulnerability, like this can guarantee the network information the secrecy, the integrity and the u
5、sability.Keyword: Network threat Encryption technology Network defenseNetwork attack FirewallARP 协议即地址解析协议 Address Resolution Protocol,ARP 协议是将 IP 地址与网络物理地址一一对应的协议。负责 IP 地址和网卡实体地址(MAC)之间的转换。也就是将网络层(IP 层,也就是相当于ISO OSI 的第三层)地址解析为数据连接层( MAC 层,也就是相当于 ISO OSI 的第二层)的 MAC 地址。如果您对网路七层协定有比较清晰的理解的话应该知道各个层级之间都
6、使用其各自的协定。一张 ARP 的表,用来支持在 MAC 地址和 IP 地址之间的一一对应关系。它提供两者的相互转换。 1,ARP 协议欺骗技术 当我们设定一个目标进行 ARP 欺骗时,也就是把 MAC 地址通过一主机 A 发送到主机 B 上的数据包都变成发送给主机 C 的了,如果C 能够接收到 A 发送的数据包后,第一步属于嗅探成功了,而对于主机 A 来目前是不可能意识到这一点,主机 C 接收到主机 A 发送给主机 B 的数据包可没有转交给 B。当进行 ARP 重定向。打开主机C 的 IP 转发功能,A 发送过来的数据包,转发给 C,好比一个路由器一样。但是这就是 ARP 协议欺骗真正的一步
7、,假如主机 C 进行发送 ICMP 重定向的话就麻烦了,因为他可以直接进行整个包的修改转发,捕获到主机 A 发送给的数据包,全部进行修改后再转发给主机 B,而主机 B 接收到的数据包完全认为是从主机 A 发送来的。这样就是主机 C 进行 ARP 协议欺骗技术,对于网络安全来是很重要的。当然还可以通过 MAC 地址进行欺骗的。 2,ARP 协议欺骗技术相应对策 各种网络安全的对策都是相对的,主要要看网管平时对网络安全的重视性了。下面介始一些相应的对策: 1) 在系统中建立静态 ARP 表 ,建立后对本身自已系统影响不大的,对网络影响较大,破坏了动态 ARP 解析过程。静态 ARP 协议表不会过期
8、的,我们用“arp -d”命令清除 ARP 表,即手动删除。但是有的系统的静态 ARP 表项可以被动态刷新,如 Solaris 系统,那样的话依靠静态 ARP 表项并不能对抗 ARP 欺骗攻击,相反纵容了 ARP欺骗攻击,因为虚假的静态 ARP 表项不会自动超时消失。当然, 可以考虑利用 cron 机制补救之。( 增加一个 crontab) 为了对抗 ARP欺骗攻击,对于 Solaris 系统来说,应该结合“禁止相应网络接口做ARP 解 析“和“ 使用静态 ARP 表“的设置 2)在相对系统中禁止某个网络接口做 ARP 解析( 对抗 ARP 欺骗攻击) ,可以做静态 ARP 协议设置 (因为对
9、方不会响应 ARP 请求报文) 如:arp -s XXX.XXX.XX.X 08-00-20-a8-2e-ac 在绝大多数操作系统如:Unix,BSD,NT 等,都可以结合“禁止相应网络 接口做 ARP 解析“和“ 使用静态 ARP 表“的设置来对抗 ARP欺骗攻击。而 Linux 系统,其静态 ARP 表项不会被动态刷新,所以不需要“禁止相应网络接口做 ARP 解析“即可对抗 ARP 欺骗攻击。 随着文明的不断进步和科技的发展,人类对于改善环境条件和防御自然灾害的能力会慢慢趋向成熟。人为因素一直都是威胁网络安全的最大因素,因为人是最不稳定的因素,任何事情只要加入了人的因素就没有绝对的确定性。
10、科技的进步也代表了人的进步所以,世界上没有完美的事物也就代表了没有完美的防御,也就是不管科技怎么发展也都还有突破口,那么黑客既有能力进入你的网络。即使在理论上虚拟网络中有完美的防御,而有人能在现实中拿到他想要的,那网络的安全几乎为零,社会工程学不管在虚拟网络还是现实中都是很危险的而掌握社会工程学的是人,因此人为因素是威胁网络安全的最大因素也是永久因素。二、加密技术加密技术:即是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解码)。加密技术的要点是加密算法,加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。2.1 对称加密算法在对
11、称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。如图所示:在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。对称加密算法的特点是:算法公开;计算量小;加密速度快;加密效率高。不足之处是:交易双方都使用同样的密钥,安全性得不到保证;每对用户每次加密明文 密钥 密文解密密文 密钥 明文加密者解密者使用对称加密算法时,都需要使用其他人不知道的惟一密钥,这会
12、使得发收信双方所拥有的密钥数量成几何级数增长,密钥管理成为用户的负担。对称算法的加密和解密表示为:EK (M) =CDK(C) =M2.2 非对称加密算法(公开密钥算法)非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙公钥和私钥。在使用非对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。公钥和私钥:公钥就是公布出来,所有人都知道的密钥,它的作用是供公众使用。私钥则是只有拥有者才知道的密钥。加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是惟一知道自己私钥的人。如下图:非对称加密算法的基本原
13、理是:(1)如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文。(2)收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用非对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。非对称算法的公开密钥 K1 加密表示为:EK1(M)=C。公开密钥和私人密钥是不同的,用相应的私人密钥 K2 解密可表示为:DK2(C)=M。广泛应用的非对称加密算法有 RSA 算法和美国国家标准局提出的数字签名加密明文 加密(公钥 Kpublic) 密文解密密文 解密(私钥Kprivate)明文加密者解密者算
14、法 DSA。由于非对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。DES(Data Encryption Standard)算法,是一种用 56 位密钥来加密 64 位数据的方法。RSA 算法是第一个能同时用于加密和数字签名的算法。根据 RSA 算法的原理,可以利用 C 语言实现其加密和解密算法。RSA 算法比 DES 算法复杂,加解密的所需要的时间也比较长。2.3 不可逆加密算法不可逆加密算法的特征是:加密过程中不需要使用密钥,输入明文后,由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被
15、系统重新识别后,才能真正解密。显然,在这类加密过程中,加密是自己,解密还得是自己,而所谓解密,实际上就是重新加一次密,所应用的“密码”也就是输入的明文。不可逆加密算法不存在密钥保管和分发问题,非常适合在分布式网络系统上使用,但因加密计算复杂,工作量相当繁重,通常只在数据量有限的情形下使用,如广泛应用在计算机系统中的口令加密,利用的就是不可逆加密算法。2.4 PGP 加密技术本例介绍目前常用的加密工具 PGP,使用 PGP 产生密钥,加密文件和邮件。PGP 加密技术是一个基于 RSA 公钥加密体系的邮件加密软件,提出了公共钥匙或不对称文件的加密技术。由于 RSA 算法计算量极大,在速度上不适合加
16、密大量数据,所以 PGP 实际上用来加密的不是 RSA 本身,而是采用传统加密算法IDEA,IDEA 加解密的速度比 RSA 快得多。PGP 随机生成一个密钥,用 IDEA 算法对明文加密,然后用 RSA 算法对密钥加密。收件人同样是用 RSA 解出随机密钥,再用 IEDA 解出原文。2.4.1.使用 PGP 加密文件使用 PGP 可以加密本地文件,右击要加密的文件,选择 PGP 菜单项的菜单“Encrypt”,如下图所示:系统自动出现对话框,让用户选择要使用的加密密钥,选中一个密钥,点击按钮“OK” ,如下图所示:目标文件被加密了,在当前目录下自动产生一个新的文件,如图所示:打开加密后的文件
17、时,程序自动要求输入密码,输入建立该密钥时的密码。如图:2.4.2 使用 PGP 加密邮件PGP 的主要功能是加密邮件,安装完毕后,PGP 自动和 Outlook 或者 Outlook Express 关联。和 Outlook Express 关联如图所示:利用 Outlook 建立邮件,可以选择利用 PGP 进行加密和签名,如图所示:三、网络防御在当今网络系统开发中,不注意网络防范问题,就会遭到黑客的攻击,甚至会使整个系统崩溃。因此,在开发中我们注意网络攻击问题,以免让黑客有机可趁。虽然黑客攻击的手段防不胜防,但我们应该把所知道的防范措施做好,例如:防范 SQL 注入式攻击,验证码技术等。3
18、.1 防范 SQL 注入攻击Sql 注入式攻击是指利用设计上的漏洞,在目标服务器上运行 Sql 命令以及进行其他方式的攻击动态生成 Sql 命令时没有对用户输入的数据进行验证是 Sql注入攻击得逞的主要原因。3.1.1 SQL 的注入式攻击比如以在线书店为例,用户只有登陆后才能察看自己的帐户信息,这样做是无可置疑的,然而用户验证的代码如下/id 和 password 直接来自用户的输入。未做处理string id = GetUserInput(“UserID“);string password = GetUserInput(“UserPassword“);tring script = “sel
19、ect * from table_user where User_ID = “ + id? + “ and User_Password? = “ + password? + “ “;RunSql(script);网络安全管理一、网络安全管理的目的和意义在信息时代,信息安全问题越来越重要,而现在大部分信息都是通过网络来传播,网络安全已成 21 世纪世界十大热门课题之一。网络安全在 IT 业内可分为:网络安全硬件、网络安全软件、网络安全服务。其中包括:防火墙技术、认证令牌环卡、数据加密技术、安全认证、反病毒和黑客等安全管理。计算机网络安全认证技术主要包括数字签名技术、身份验证技术以及数字证明技术。
20、网络管理与安全是计算机网络建设的重要组成部分,是网络可靠、安全、高速运行的保障。网络管理是保障网络畅通无阻的传输数据,以及防止网络故障产生。网络安全是机密性、完整性和可用性的集合。二、目前该选题的研究现状当前,网络安全的话题炙手可热,人们从来没有你今天这样来关心自己的网络存在的安全问题。 “黑客”活动日益猖獗,病毒的活泛滥,WINDOWS 的漏洞百出,技术手段的不完备,加上国家对电子政务信息安全的关注,使大家的安全意识有了空前的提高。人们不在仅仅于满足网络平台的搭建,而是把更多的精力放在如何确保让网络安全,可靠,高效的运行上。三、设计思路分析网络安全风险有五个层次,即物理层安全风险、系统层安全
21、风险、网络层安全风险、应用层安全风险和安全管理风险。不同的安全风险产生了不同的安全需求,归纳起来包括:物理安全需术、访问控制需术、加密需术、人侵检测需术、安全风险评估需术、防病毒需术、安全管理体制需术等。所以特别是像个人电脑,一定要装备杀素软件,例如大家常用的 360,瑞星等。四、设计过程描述本论文在设计之初,考虑一些常见网络安全问题,然后找出对应该的解决方案,以及后期类似安全问题的防御。以电脑安全的主要因素为突破口,重点防范各种不利于计算机网络正常运行的措施,从不同角度全面了解影响计算机网络安全的情况,做到心中有数,将不利因素解决在萌芽状态,确保计算机网络的安全管理与有效运行。在信息保障技术
22、框架(IATF)中,提出了通过“人员、规范、技术“的综合使用,才能够保证有效的网络安全.现有的各种网络安全技术,其功能、特点都各不相同,因此,如何使这些不同的安全技术结合在一起使用,从而发挥更大的整体防范作用,就非常重要.论文提出了一种将不同的安全技术统一管理起来的框架,并实现了其中的入侵检测系统和防火墙的联动响应.同时,论文还对联动安全响应标准化方面的工作进行了研究,包括基于 XML 的入侵事件通用描述格式、防火墙响应规则的统一定义等.通过安全联动与响应,可以提高网络安全管理的效率以及对攻击的整体防护能力。五、设计成果展示一、 网络不安全的主要因素二、常见攻击手段三、常见攻击手段举例四、网络安全的目标五、网络安全关键技术
