第一篇:网络信息安全的攻击与防护
目录
一网络攻击技术.....................................................错误!未定义书签。1.背景介绍...............................................................错误!未定义书签。2.常见的网络攻击技术..........................................错误!未定义书签。1.网络监听.........................................................错误!未定义书签。2.拒绝服务攻击...................................................................................2 3.缓冲区溢出.......................................................................................3
二、网络防御技术................................................................................4 1.常见的网络防御技术..........................................................................4 1.防火墙技术.......................................................................................4 2.访问控制技术...................................................................................4
三、总结...............................................................5错误!未定义书签。一.生活中黑客常用的攻击技术
黑客攻击其实质就是指利用被攻击方信息系统自身存在安全漏洞,通过使用网络命令和专用软件进入对方网络系统的攻击。目前总结出黑客网络攻击的类型主要有以下几种:
1.对应用层攻击。
应用层攻击能够使用多种不同的方法来实现,最常见的方法是使用服务器上通常可找到的应用软件(如SQL Server、PostScript和FTP)缺陷,通过使用这些缺陷,攻击者能够获得计算机的访问权,以及在该计算机上运行相应应用程序所需账户的许可权。
应用层攻击的一种最新形式是使用许多公开化的新技术,如HTML规范、Web浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序,包括Java applet和Active X控件等,并通过用户的浏览器调用它们,很容易达到入侵、攻击的目的。
2.拒绝服务攻击
拒绝服务(Denial of Service, DoS)攻击是目前最常见的一种攻击类型。从网络攻击的各种方法和所产生的破坏情况来看,DoS算是一种很简单,但又很有效的进攻方式。它的目的就是拒绝服务访问,破坏组织的正常运行,最终使网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。
攻击的基本过程如下:首先攻击者向服务器发送众多的带有虚假地址的请求,服务器发送回复信息后等待回传信息。由于地址是伪造的,所以服务器一直等不到回传的消息,然而服务器中分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽。
被DDoS攻击时出现的现象主要有如下几种。被攻击主机上有大量等待的TCP连接。网络中充斥着大量的无用的数据包,源地址为假。制造高流量无 用数据,造成网络拥塞,使受害主机无法正常和外界通信。利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求。严重时会造成系统死机。要避免系统遭受Do S攻击,网络管理员要积极谨慎地维护整个系统,确保无安全隐患和漏洞,而针对更加恶意的攻击方式则需要安装防火墙等安全设备过滤DOS攻击,同时建议网络管理员定期查看安全设备的日志,及时发现对系统构成安全威胁的行为。
3.缓冲区溢出
通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令。如果这些指令是放在有Root权限的内存中,那么一旦这些指令得到了运行,黑客就以Root权限控制了系统,达到入侵的目的;缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。
缓冲区溢出的一般攻击步骤为:在程序的地址空间里安排适当的代码——通过适当的地址初始化寄存器和存储器,让程序跳到黑客安排的地址空间中执行。缓冲区溢出对系统带来了巨大的危害,要有效地防止这种攻击,应该做到以下几点。必须及时发现缓冲区溢出这类漏洞:在一个系统中,比如UNIX操作系统,这类漏洞是非常多的,系统管理员应经常和系统供应商联系,及时对系统升级以堵塞缓冲区溢出漏洞。程序指针完整性检查:在程序指针被引用之前检测它是否改变。即便一个攻击者成功地改变了程序的指针,由于系统事先检测到了指针的改变,因此这个指针将不会被使用。数组边界检查:所有的对数组的读写操作都应当被检查以确保对数组的操作在正确的范围内。最直接的方法是检查所有的数组操作,通常可以采用一些优化的技术来减少检查的次数。目前主要有以下的几种检查方法:Compaq C编译器、Purify存储器存取检查等。
二. 生活中常见的网络防御技术
1.常见的网络防御技术
1.防火墙技术 网络安全中使用最广泛的技术就是防火墙技术,对于其网络用户来说,如果决定使用防火墙,那么首先需要由专家领导和网络系统管理员共同设定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本馆的安全策略,对外部网络与内部网络之间交流的数据进行检查,符合的予以放行,不符合的拒之门外。该技术主要完成以下具体任务:
通过源地址过滤,拒绝外部非法IP地址,有效的避免了与本馆信息服务无关的外部网络主机越权访问;防火墙可以只保留有用的服务,将其他不需要的服务关闭,这样做可以将系统受攻击的可能性降到最低限度,使黑客无机可乘;同样,防火墙可以制定访问策略,只有被授权的外部主机才可以访问内部网络上的有限IP地址,从而保证外部网络只能访问内部网络中的必要资源,使得与本馆信息服务无关的操作将被拒绝;由于外部网络对内部网络的所有访问都要经过防火墙,所以防火墙可以全面监视外部网络对内部网络的访问活动,并进行详细的记录,通过分析可以得出可疑的攻击行为。
防火墙可以进行地址转换工作,使外部网络用户不能看到内部网络的结构,使黑客失去攻击目标。
虽然防火墙技术是在内部网与外部网之间实施安全防范的最佳选择,但也存在一定的局限性:不能完全防范外部刻意的人为攻击;不能防范内部用户攻击;不能防止内部用户因误操作而造成口令失密受到的攻击;很难防止病毒或者受病毒感染的文件的传输。
2.访问控制技术
访问控制是网络安全防范和保护的主要技术,它的主要任务是保证网络资源不被非法使用和非法访问。
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过,该用户便不能进入该网络。对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证用户输入的口令,否则,用户将被拒之网络外。用户的口令是用户入网的关键所在。为保证口令的安全性,用户口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合。
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(Modify)、文件查找权限、存取控制权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
三.总结
计算机网络技术的日新月异,为现代人的生活提供了很大的方便。但网络安全威胁依然存在,网上经常报道一些明星的照片泄露,12306账号和密码泄露,一些邮箱的密码泄露,以及经常发生的QQ号被盗等等……这些都会给我们的生活带来麻烦,甚至让我们付出经济代价。因此现在人们对于网络安全的认识也越来越重视,在整体概念上了解黑客的攻击技术和常用工具方法,对于我们防范黑客攻击提供了基本的知识储备。而具体到平时的学习工作中,我们应该养成良好的上网习惯和培养良好的网络安全意识,在平时的工作中应该注意,不要运行陌生人发过来的不明文件,即使是非可执行文件,也要十分小心,不要在不安全的网站上登录一些重要账号,或者不要在网站上记录账号密码。以免造成密码泄露。只要我们在平时上网时多注意,就可以有效地防范网络攻击。
此外,经常使用杀毒软件扫描,及时发现木马的存在。我们应该时刻警惕黑客的网络攻击,从自我做起,构建起网络安全坚实防线,尽可能让网络黑客无孔可入。
第二篇:[Web系统安全性攻击与防护总结报告]信息安全课程设计
郑州轻工业学院本科
Web系统安全性攻击与防护总结报告
设计题目:学生姓名:系
别:国际教育学院专
业:互联网班
级:学
号:指导教师:
Web系统安全性攻击与防护(SQL注入与防护)XX
XX XX XX
2011 年
07 月 日
目录
一、课程设计的目的和意义........................................................................................3
二、sql注入分析........................................................................................................3 2.1 sql注入的原理.................................................................................................3 2.2 sql注入攻击的方式.........................................................................................3 2.2.1构造参数攻击.........................................................................................3 2.2.2转义字符类型的攻击.............................................................................4 2.2.3Union查询攻击.......................................................................................4 2.2.4注释符攻击.............................................................................................5
三、sql注入实例分析................................................................................................5 3.1系统核心代码...................................................................................................5 3.2注入测试和分析...............................................................................................6 3.2.1注入测试.................................................................................................6 3.2.2注入攻击过程及分析.............................................................................8
四、sql注入的防范措施............................................................................................10 4.1 防范措施1(对参数进行强制类型转换)......................................................10 4.2 防范措施2(类型判断).............................................................................12
五、密码用MD5加密存储和验证...........................................................................14 5.1加密的必要性分析.........................................................................................14 5.2加密核心代码,登录验证核心代码.............................................................14 5.2.1加密核心代码.......................................................................................14 5.2.2登录验证核心代码...............................................................................15
六、服务器目录权限配置..........................................................................................16 6.1、权限分配原则分析......................................................................................16 6.2、具体权限分配过程......................................................................................16
七、总结......................................................................................................................18
一、课程设计的目的和意义
网络技术随着信息化技术的发展,网络技术得到了广泛的应用,其中Web成为主流的网络和应用技术,但随之而来的就是网络安全问题的出现。网络安全问题目前已成为世界范围内不容忽视的问题。在研究与实践的基础上,详细总结网络攻击方法的原理及其有针对性的防护技术,对加强网络安全,实现web服务器安全有重要意义。
二、sql注入分析
2.1 sql注入的原理
SQL 注入是一种攻击方式,在这种攻击方式中,恶意代码被插入到字符串中,然后将该字符串传递到程序执行的SQL 语句中构成攻击者想执行的任意SQL语句,分析服务器返回的信息获得有关网站或服务器的敏感信息,进一步获得非法的信息和权限。
利用WEB应用对用户输入验证设计上的疏忽,或验证的不严格,从而使用户输入的数据中包含对某些数据库系统有特殊意义的符号或命令,让WEB应用用户有机会直接对后台数据库系统下达指令,实施入侵行为。SQL注入的产生主要是由动态字符串构建和不安全的数据库配置产生,其中动态字符串构建主要是由不正确的处理转义字符、不正确的处理类型、不正确的处理联合查询、不正确的处理错误和不正确的处理多次提交构成。不安全的数据库配置产生主要是由默认预先安装的用户、以root,SYSTEM或者Administrator权限系统用户来运行和默认允许很多系统函数(如xp_cmdshell,OPENROWSET等)构成。
2.2 sql注入攻击的方式
2.2.1构造参数攻击
如果一个恶意用户提供的字段并非一个强制类型,或者没有实施类型强制,就会发生这种形式的攻击。当在一个SQL语句中使用一个数字字段时,如果程序员没有检查用户输入的合法性(是否为数字型)就会发生这种攻击。例如: Statement:=“SELECT*FROM data WHERE id=”+a_variable+“;”
从这个语句可以看出,作者希望a_variable是一个与“id”字段有关的数字。不过,如果终端用户选择一个字符串,就绕过了对转义字符的需要。
2.2.2转义字符类型的攻击
Web应用程序开发时没有对用户的输入进行转义字符过滤时,就会发生这种形式的注入式攻击,它会被传递给一个SQL语句.这样就会导致恶意用户对数据库上的语句实施操纵。例如,下面的这行代码就会演示这种漏洞:
Statement:=“SELECT*FROM users WHERE name='”+userName+“';”
此段代码的设计目的是将一个特定的用户从其用户表中取出,但是,如果用户名被一个恶意的用户用一种特定的方式伪造,这个语句所执行的操作可能就不仅仅是应用程序开发者所期望的那样例如,将用户名变量(即username)设置为:
a′or′1′=1′,此时原始语句发生了变化:
SELECT*FROM users WHERE name=′a′OR′1′=′1′;
如果这种代码被用于一个认证过程,那么这个例子就能够强迫选择一个合法的用户名,因为赋值
′1′=′1永远是真。
在一些特定的SQL服务器上,如在SQL Server中,任何一个SQL命令都可以通过这种方法被注入,包括执行多个语句。
2.2.3Union查询攻击
Union查询动机是绕过验证或者提取数据。攻击者在查询语句中注入Union SELECT语句,并且因为用户控制“SELECT语句”的内容,攻击者可以得到想要的信息。Union查询SQL注入测试。
假设我们有如下的查询:
SELEC Name,Psw,Tel FROM Users WHERE Id=$id然后我们设置id的值为:
$id=1UNION ALL SELECT bank CardNumber,1,1 FROM BankCardTable
那么整体的查询就变为:
SELECT Name,Psw,Tel FROM Users WHERE Id=1 UNION ALL SELECT bankCardNumber,1,FROM BankCarTable
显然这样就能得到所有银行卡用户的信息。
2.2.4注释符攻击
使用注释通常可以使攻击者绕过验证。SQL在查询中支持注释,如,--、#等。通过注入注释符,恶意用户或者攻击者可以毫不费力的截断SQL查询语句。例如,对于查询语句SELECT*FROM users WHERE usermame=uname and Password=psw,如果恶意用户输入参数uname的值为admin--,Password的值为空,那么查询语句变为SELECT*FROM users WHERE usermame=admin and Password=,也就SELECT*FROM users WHERE usermame=admin。这就使得恶意用户不用提供密码就可以通过验证。
三、sql注入实例分析
3.1系统核心代码
显示文章内容的主要代码:
<%'
#####查询数据模块开始
###%> <%function query()id=request.QueryString(“id”)'为了测试此处没有对参数进行任何过滤和合法性分析 set rs=conn.execute(“select * from news where id=”&id)while not rs.eof response.Write(“发布者:”&rs(“adder”)&“
发布时间:”&rs(“time”)&“
标题:”&rs(“title”)&“
[内容:]
”&rs(“content”))rs.movenext wend call first()end function%> <%'
#####查询数据模块结束
###%>
3.2注入测试和分析
3.2.1注入测试
现在进行注入测试: 首先看正常显示文章截图:
图(1)
1、在地址后面加一个单引号 ' 看返回结果是否正常
图(2)
返回系统查询报错,说明可能存在注入漏洞。
2、继续测试以确认是否真正存在注入漏洞,在地址后面加上and 1=1 查看返回结果是正常。
图(3)
显示正常没有异常。再接着把and 1=1 改为 and 1=2 看返回结果是否异常。
图(4)
返回空白出现异常。
3、通过上面的注入测试,可以确定该网站一定存在SQL注入漏洞。
3.2.2注入攻击过程及分析
下面使用构造参数攻击:
构造语句:
?action=query&id=54 and exists(select * from _admin)发现返回正常,那么可以确定数据库一定存在表 _admin
下面构造:(猜测字段)
?action=query&id=54 and exists(select un,pw from _admin)返回结果造成说明sql执行正确,那么数据表_admin里一定存在 un pw 两个字段
下面继续构造语句:(猜测字用户名)?action=query&id=54 and exists(select * from _admin where un ='admin')返回结果正常,至此已经获得了一个管理员用户名admin
下面构造:(猜测密码)?action=query&id=54 and exists(select * from _admin where pw='admin')返回结果正常,至此经获得了一个管理员用户名admin 密码是 admin 下面点击首页的登录:
图(5)
用得到的用户名 admin 和密码 admin登录
图(6)
图(7)
成功进入网站后台管理:
图(8)
到这里一个成功的注入过程就完成了,成功的到了网站管理员的用户名和密码。
四、sql注入的防范措施
4.1 防范措施1(对参数进行强制类型转换)核心代码:
<%'
#####查询数据模块开始
###%> <%function query()id=cint(request.QueryString(“id”))'使用cint函数把接收的值强制转为整型 set rs=conn.execute(“select * from news where id=”&id)while not rs.eof 下面通过再次注入检测看效果: 1.在链接后加单引号 '
图(9)
提示类型转换失败。
2.在链接后面加 and 1=1
图(10)
仍然提示类型转换失败。3.在链接后面加 and 1=2
图(11)
还是提示类型转换失败。
从此看来是不能注入的。说明实施强制类型转换成功的防治了SQL注入。
4.2 防范措施2(类型判断)
核心代码:
<%'
#####查询数据模块开始
###%> <%function query()if isnumeric(request.QueryString(“id”))then '这里判断参数是否是一个数字如果不是提示非法 id=request.QueryString(“id”)else response.write(“参数非法”)response.end()end if set rs=conn.execute(“select * from news where id=”&id)while not rs.eof 下面通过再次注入检测看效果: 1.在链接后加单引号 '
图(12)
提示参数非法。
4.在链接后面加 and 1=1
图(13)
仍然提示参数非法。5.在链接后面加 and 1=2
图(14)
还是提示参数非法。
从此看来是不能注入的。说明实施强类型判断成功的防治了SQL注入。
五、密码用MD5加密存储和验证
5.1加密的必要性分析
从上面可以看到通过SQL注入攻击者很容易就得到用户的密码,如果密码没有经过加密那么攻击者就可以使用该密码登录,如果密码是加密保存在数据库的,而且登录验证是也是加密验证,那么攻击者得到的就是加密的字符串,如果攻击者不能破解该字符串那么攻击者是无法登陆的。这样给网站安全又加上了一道防护。
5.2加密核心代码,登录验证核心代码
5.2.1加密核心代码
<%'
######添加用户模块开始
######%> <%function adduser()if request.QueryString(“level”)=“" then exit function username=request.Form(”username“)password=md5(trim(request.Form(”password“)))'添加用户时将用户的密码md5加密后保存到数据库
level=cint(request.QueryString(”level“))if level=0 then set rs=conn.execute(”select username from _user where username='“&username&”'“)set rs2=conn.execute(”select un from _admin where un='“&username&”'“)if(rs.eof and rs.bof)and(rs2.eof and rs2.bof)then conn.execute(”insert into _user(username,password)values('“&username&”' ,'“&password&”')“)response.Write(”“)rs.close else
5.2.2登录验证核心代码
<%'
#####验证登录据模块开始
###%> <%function checklogon()username=request.Form(”username“)password=md5(trim(request.Form(”password“)))'登录时先将用户的密码md5加密后与数据库里面的对比 set rs=conn.execute(”select * from _user where username='“&username&”' and password='“&password&”'“)set rs2=conn.execute(”select * from _admin where un='“&username&”' and pw='“&password&”'“)if(rs.eof and rs.bof)and(rs2.eof and rs2.bof)then
response.Write(”")rs.close rs2.close else
六、服务器目录权限配置
6.1、权限分配原则分析
对一个网站来说除了上传文件的目录能写入文件以外其它的所有目录均不能写入文件,而且上传文件的目录不能有网页程序的执行权限,这样可以保证即使黑客成功上传程序到上传目录那么也是不执行的。
6.2、具体权限分配过程
利用NTFS文件系统的权限分配功能:
1、首先在文件夹安全选项里面把iis帐号加到网站根目录中。然后指定其只能读取,不能写入文件,那么整个网站里面的所有目录都不能写入文件了。
2、下面接着给上传文件目录加上写人的权限。
至此已经完成了除了上传文件目录可以写入文件其它目录均不能写入文件。
3、接着配置上传目录的运行权限使其不能运行网页程序。
至此完成了权限分析中的所有需求。
七、总结
本次课程设计对网站SQL注入攻击及网站安全技术进行了比较详细地分析,通过本次课程设计使我掌握了对SQL注入攻击漏洞的检测技术和预防SQL注入的手段,而且学会了在IIS和NTFS文件系统环境下安全配置网站的目录权限的技能,了解到信息系统网站中存在的普遍安全漏洞。网站的安全稳定运行,应侧重于预防,不断增强安全意识,采取各种预防措施,才能及时有效地排除安全隐患。
第三篇:浅谈网络信息安全的防护对策[范文模版]
浅谈网络信息安全的防护对策
计科1201 张晓杨 201209010127 摘要:随着科学技术的高速发展,计算机网络已经成为新时期知识经济社会运行的必要条件和社会的基础设施。本文针对现代网络威胁,针对各种安全隐患进行归纳分析,并针对各种不安全因素提示相应的防护措施。计算机网络的安全性对国家乃至世界经济及人文发展起着至关重要的决定,因此,研究计算机网络信息安全有着直接的现实的重大的意义。
关键字:计算机网络
信息安全 防护策略
1、目前网络中存在的主要安全威胁种类 1.1特洛伊木马
它是一种具有隐藏性的、自发性的可被用来进行恶意行为的程序,之所以被称为特诺伊木马是因为它多不会直接对电脑产生危害,而是以控制为主,从而利用计算机程序漏洞侵入后窃取文件的程序。我们常常遇到的聊天软件的盗号问题往往跟电脑被木马植入有关。
1.2拒绝服务攻击
黑客的常用手段之一就是使目标的电脑停止提供服务,我们常遇到的对网络带宽进行的消耗性攻击就是其中攻击的一部分,而有时的主机无故死机,电脑网速的不正常延迟都属于这种。这种攻击会严重干扰到正常的信息交换与沟通。
1.3恶意攻击
恶意攻击对计算机的网络安全具有很大的潜在危害。一般来说,其可以分为两种:被动攻击以及主动攻击。第一种被动攻击指的是:在不被用户察觉的情况下,窃取和破译重要的信息;第二种主动攻击指的是:攻击者对用户的信息进行破坏以及窃取。无论是哪一种情况都是我们不愿意看到的,因为都会对用户带来很大的威胁以及困扰。网络不可避免地具有一些漏洞,黑客们正是利用这些漏洞对用户进行攻击,对国家和人民的生活和财产都会造成极大的损失。
1.4软件自身的漏洞 作为由人编制的操作系统和相应软件,那么当系统或应用的设计和结构出现问题,应该是理所当然的,而一旦有人利用上这些漏洞和问题时,计算机的信息安全就处于一个非常危险的境地,一旦连入复杂的互联网中,被人攻击就不可避免,据美国《财富》杂志2月24日报道,一名以为华盛顿邮报分析斯诺登有关美国国家安全局爆料而闻名的计算机安全专家发布了一系列运行于MacOSX10.9系统的应用软件清单,称这些应用软件同样面临着电脑操作系统安全漏洞问题。
1.5自然灾害
自然灾害也是威胁计算机网络信息安全的一个因素。这是因为雷电、电磁干扰、水灾、火灾甚至是潮湿都有可能对计算机网络信息造成重大影响。在防护的过程中,要充分考虑到计算机信息系统所处的环境,同时要对不可抗力进行充分防护,尽量将损失降到最低。
1.6操作失误
操作失误主要针对的主体是用户自身。有些用户的安全意识很差,所用的密码并不复杂。这就有可能造成用户信息泄露,进而对网络信息安全造成影响。
2、网络信息和网络安全的防护对策 2.1技术方面上的安全防护对策
(1)安装病杀毒软件。现今的主流软件都是通过防病毒服务器在网络上更新病毒库以防病毒,并强制所有局域网中已开机的终端用以及时更新病毒库软件。主流的瑞星杀毒软件和防火墙、卡巴斯基网络安全套装、诺顿网络安全套装、麦咖啡网络安全套装、NOD32网络安全套装等都能很好的保护个人的电脑安全,而病毒主要就是通过数据破坏和删除、后门攻击、拒绝服务等几种传播方式对网络进行破坏和传播。而针对病毒的几种破坏形式,形成的对计算机统一的整体网络病毒的防范体系,将有效的解决这些问题。
(2)升级操作系统补丁。操作系统是管理计算机硬件资源,控制其他程序运行并为用户提供交互操作界面的系统软件的集合。操作系统是计算机系统的关键组成部分,负责管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作网络与管理文件系统等基本任务,操作系统自身的复杂性和对网络的需求的适应性,都决定着其需要及时进行升级和更新,包括各种网络设备,均需要及时升级并打上最新的系统补丁。(3)安装入侵检测系统。入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术,常用的有DCN、安氏领信等品牌。都能很好的对电脑安全起到防护作用。
(4)数据加密技术。就是我们所说的密码技术,就是信息安全的核似数据的保密,通常我们遇到的对网络数据的保护形式就是对其加密,很好的防止了网络数据的篡改、泄露和破坏。我们常用的加密形式包括链路加密、节点加密和混合加密形式。在两个相邻节点之间的数据加密并用以防止搭线窃听的方式就是链路加密。对目标节点和源节点的链路提供保护就是节点加密。而将上述几点组合在一起就是混合加密,这样可以获得更高的安全,随着时放代的进步,密码学也伴着计算机的迅猛发展而活跃在各个领域。
(5)配备网络安全设备或系统。随着各种防护软件和加密系统的渐渐跟不上层出不穷的新型病毒时,人们开始把眼光投向软件以外的硬件系统,于是各种网络安全设备开始应用,学校的校园网首当其冲,当通过网络安全设备的过滤将一些来自网络的不健康数据都阻挡门外时,这种能大大提高校园网信息安全级别,并帮助网络管理员发现网络故障时定位的设备迅速占领市场。
(6)防火墙技术。防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。
2.2管理体制上的安全防护策略
(1)网络管理制度的修订。其目的是为了进一步规范安全管理制度、操作规程定期评价修订管理,确保网络安全的先进性和适用性。
(2)做好物理安全防护。一种网络安全防护物理隔离装置,包括核心数据服务器、多个数据发布服务器和路由器,多个数据发布服务器和核心数据服务器之间接有交换机,其特征在于:每个数据发布服务器和路由器之间均接有一定时继电器;每个数据发布服务器和对应的定时继电器之间、每个定时继电器和路由器之间均通过网线连接。做到这些就必须加强网络监管人员的信息安全意识等。
3、结束语
本文分析了当前国内外计算机网络信息安全的现状,接着介绍和分析了当前最主要的几种信息安全技术的原理,特别重点分析了他们的优缺点,指出了计算机网络信息安全的可能发展趋势。我们必须认真学习网络信息安全方面的知识,做到防患于未然,才能更好的让计算机网络安全、有效、可靠地运行下去,最大化的发挥它的价值。
参考文献:
[1]原莉.如何确保计算机网络安全[J].职大学报,2008,4.[2]谢浩浩.计算机网络安全综述[J].科技广场,2009,11.[3]李建霞.计算机网络安全与防范[J].中国西部科技,200
第四篇:网络与信息安全
《网络与信息安全》复习资料
信息安全特征:完整性、保密性、可用性、不可否认性、可控性。保密学是研究信息系统安全保密的科学。
网络信息安全体系结构框架:安全控制单元、安全服务层面、协议层次。公钥密码:由两个密码组成,每个用户拥有一对选择密钥:加密密钥与解密密钥。公钥密码特点:(1)加密密钥和解密密钥在本质上是不同的,即使知道一个密钥,也不存在可以轻易地推导出另一个密钥的有效算法。(2)不需要增加分发密钥的额外信道。公布公钥空间,不影响公钥系统的保密性,因为保密的仅是解密密钥。公钥密码系统应具备两个条件:(1)加密和解密交换必须满足在计算上是容易的。(2)密码分析必须满足在计算机上是困难的。协议:两个或两个以上的主体为完成某一特定任务共同发起的某种协约或采取的一系列步骤。协议的特征:(1)至始至终有序进行。(2)协议成立至少要有两个主体。(3)协议执行要通过实体操作来实现。数字签名与手写签名的区别:(1)签名实体对象不同。(2)认证方式不同。(3)拷贝形式不同。
签名算法的三个条件:(1)签名者事后不能否认自己的签名。(2)任何其他人都不能伪造签名,接收者能验证签名。(3)当签名双方发生争执时,可由公正的第三方通过验证辨别真伪。
不可否认数字签名:没有签名者的合作,接收者就无法验证签名,某种程度上保护了签名者的利益,从而可防止复制或散布签名文件的滥用。
不可否认数字签名方案由三部分组成:数字签名算法、验证协议、否认协议。
散列函数:一种将任意长度的消息压缩为某一固定长度的消息摘要的函数。消息认证码:满足某种安全性质带有密钥功能的单向散列函数。身份证明分两大娄:身份证实、身份识别。信息隐藏:把一个有含义的信息隐藏在另一个载体信息中得到隐密载体的一种新型加密方式。
信息隐藏的两种主要技术:信息隐秘术、数字水印术。数字水印技术:指用信号处理的方法在数字化的多媒体数据中嵌入隐藏标识的技术。
三种数字水印:(1)稳健的不可见的水印。(2)不稳健的不可见的水印。(3)可见的水印。
数字水印三个特征:(1)稳健性。(2)不可感知性。(3)安全可靠性。
数字水印三个部分:(1)水印生成。(2)水印嵌入。(3)水印提取(检测)。
密钥管理的基本原则:(1)脱离密码设备的密钥数据应绝对保密。(2)密码设备内部的密钥数据绝对不外泄。(3)密钥使命完成,应彻底销毁、更换。常用密钥种类:(1)工作密钥。(2)会话密钥。(3)密钥加密密钥。(4)主机主密钥。
公开密钥分发:(1)广播式密钥分发。(2)目录式密钥分发。(3)公开密钥机构分发。(4)公开密钥证书分发。密钥保护方法:(1)终端密钥保护。(2)主机密钥保护。(3)密钥分级保护管理。
秘密共享方案:将一个密钥K分成n个共享密钥K1、K2……Kn,并秘密分配给n个对象保管。密钥托管技术:为用户提供更好的安全通信方式,同时允许授权者为了国家等安全利益,监听某些通信和解密有关密文。密钥托管加密体制由三部分组成:用户安全分量、密钥托管分量、数据恢复分量。密钥管理:指对于网络中信息加密所需要的各种密钥在产生、分配、注入、存储、传送及使用过程中的技术和管理体制。
保密通信的基本要求:保密性、实时性、可用性、可控性。密码保护技术:密码校验、数字签名、公证消息。通信保密技术:(1)语音保密通信(模拟置乱技术、数字加密技术)。(2)数据保密通信。(3)图像保密通信(模拟置乱、数字化图象信号加密)。网络通信加密的形式:(1)链路加密。(2)端-端加密。(3)混合加密。网络通信访问基本控制方式:(1)连接访问控制。(2)网络数据访问控制。(3)访问控制转发。(4)自主访问控制与强制访问控制。接入控制功能:(1)阻止非法用户进入系统。(2)允许合法用户进入系统。(3)使合法用户按其权限进行活动。接入控制策略:(1)最小权限策略。(2)最小泄漏策略。(3)多级安全策略。接入控制技术方法:(1)用户标识与认证。(2)身份认证特征(口令认证方式、协议验证身份)。
PGP的五种功能:认证性、机密性、压缩、Email兼容性、分段与重组。IP层安全功能:鉴别服务、机密性、密钥管理。
安全套接层SSL提供的安全服务:信息保密、信息完整性、相互认证。
PPDR-A模型五要素:安全策略、安全监测、安全反应、安全防御、安全对抗。操作系统安全访问控制:测试程序访问控制、操作系统的访问权限控制、保护机制的访问控制、用户认证访问控制。
安全操作系统设计四环节:安全模型、安全设计、安全确认、正确实施。安全网络平台种类:Windows NT、UNIX、Linux。(Linux兼容性好、源代码开放、安全透明)。
数据库安全条件:数据独立性、数据安全性、数据完整性、数据使用性、备份与恢复。
VPN(虚拟专用网)核心技术:隧道技术、密码技术、管理技术。
政务网的特点:信息公众化、信息机关化、信息存储量大、保密程度高、访问密级多样化。
政务网建设的三个安全域:(1)涉密域。(2)非涉密域。(3)公共服务域。
黑客攻击:指黑客利用系统漏洞和非常规手段,进行非授权的访问行为和非法运行系统或非法操作数据。
防黑客攻击几种防范技术:安全性设计保护、先进的认证技术、扫描检测审计技术。
常规网络扫描工具:SATAN扫描工具、Nessus安全扫描器、nmap扫描器、strobe扫描器。网络监听工具:NetXRay、Sniffit。防火墙:在网络安全边界控制中,用来阻止从外网想进入给定网络的非法访问对象的安全设备。包括网络级包过滤防火墙和应用级代理防火墙。
密罐:用来观察黑客如何入侵计算机网络系统的一个软件“陷阱”,通常称为诱骗系统。
计算机病毒:指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒检测方法:比较法、搜索法、辨别法、分析法。
电子商务安全要求:可靠性、真实性、机密性、完整性、有效性、不可抵赖性、可控性。
电子商务安全服务:鉴别服务、访问控制服务、机密性服务、不可否认服务。电子商务基本密码协议:密钥安全协议、认证安全协议、认证的密钥安全协议。国际通用电子商务安全协议:SSL安全协议、SET安全协议、S-HTTP安全协议、STT安全协议。
电子商务实体要素:持卡人、发卡机构、商家、银行、支付网关、认证机构。
第五篇:浅谈电信网络环境下的DDOS攻击防护技术
数字技术
与应用安全技术
浅谈电信网络环境下的 DDOS 攻击防护技术
刘智宏 李宏昌 李东垣
(中华通信系统有限责任公司
北京
100070)
摘要:近年来,随着网络技术的快速发展及广泛普及,网络安全问题面临的形势愈加严重,网络攻击防护越来越受人们的重视,而电信运
营商网络几乎成为拒绝服务攻击(DDOS)的首选攻击对象。本文主要以中华通信系统研发的基于ISP网络的拒绝服务攻击防御系统为例简要分 析DDOS攻击以及在电信网络环境下的DDOS攻击防护技术。
关键词:DDOS 攻击
安全
防范 中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2012)07-0165-02
1、DDOS 攻击现状分析
1.1 运营商网络面临的 DDOS 攻击威胁
当前,运营商骨干网和各地市城域网,宽带用户多、网络结构复 杂、业务流量大,DDOS攻击导致的网络安全问题时有发生,导致IP 网络整体服务质量下降,已经严重威胁到运营商I P 网络的正常业 务;当3G 商用,智能化终端和宽带化3G网络与互联网接轨,无线网 络也将面对诸多互联网安全问题,这将会使缺乏固网DDOS 防范经 验的电信运营商面临巨大挑战。
中华通信系统有限责任公司研发的基于ISP网络的分布式拒绝 服务攻击防御系统(ChinaComm IDPS100)为软硬件结合产品,产 品包括流量检测组件和流量牵引清洗组件,根据ISP网络应用需求 和网络规模,系统可部署为流量检测设备或检测清洗一体化设备。产品能够实现电信级ISP网络的流量采集和流量分析,具有ISP网络 异常流量与拒绝服务攻击检测告警、网络异常流量与拒绝服务攻击 流量牵引、清洗防御、各类流量报表、系统安全日志审计、系统安全 管理控制等主要的功能。本产品属于分布式设计模式,即系统是由 探测器设备和流量牵引设备共同组成的防御系统。系统的流量探测 器在旁路方式外还提供串联接入方式,具备入侵检测、防火墙、流量 监控功能,流量牵引设备支持集群工作方式。1.2 电信运营商对 DDOS 攻击防护需求
目前各大电信运营商只部署有过滤垃圾短信这种传统无线业 务的网关设备,尚未对3 G 移动互联网的到来做好骨干流量和城域 网流量管控、清洗方面的准备,运营商急需使用高效、成熟DDOS防 御产品,能够实现对DDOS 攻击安全防护的高端网络安全产品市场 需求空间巨大,主要表现在如下方面:
(1)应用于全国各省、市级电信运营商IDC、增值业务部。(2)应用于移动、联通等移动运营商的3G网络接入,为3G网络 拒绝服务攻击防御提供可靠的防御工具。
(3)应用于大型企业及大型网络服务商,这些企业通常涉及跨 区域的网络通信及网上业务。
3、华通产品(ChinaComm IDPS100)技术性能
3.1 产品功能特点
3.1.1 流量探测器功能特点
(1)采用双子系统架构。为防止过大流量对系统的冲击造成系 统超载、运行缓慢甚至当机,系统采用独创的双子系统架构。该架构 将入侵检测模块和流量侦测模块分为两个完全独立的系统,通过总 线相连,在互不影响的同时又能够保证信息的共享及功能联动。
(2)采用针对拒绝服务攻击特别优化的入侵检测模块。入侵检 测模块采用中华通信自主研发的针对DDOS 攻击的入侵监测模块。能够对流量进行深层检测。能够发现并抵御多数D o S 攻击、以及蠕 虫、木马等恶意代码,并对流量侦测模块提交的可疑流量进行检测,进一步判断是否为攻击流量。
(3)采用先进的检测算法。流量探测器采用中华通信自主开发 的基于自相似性模型的动态异常流量监测算法,能够在DDOS 攻击 的初始阶段甄别攻击。
3.1.2 流量牵引器功能特点
(1)高速的攻击处理能力。流量牵引器接入运营商骨干网络,系 统能够有效鉴别攻击流量和正常流量,对异常攻击流量进行清洗,有效保证用户正常业务流量的传输。该流量牵引设备支持集群工作 模式,通过集群化部署可以有效地提高系统的处理能力,使系统能 够满足大型ISP网络的需要。
(2)高效的软硬件平台。在硬件方面,流量牵引器采用了嵌入式 系统设计,在系统核心实现拒绝服务攻击的防御算法,并且创造性 地将算法实现在网络协议栈的最底层,完全避免了T C P、U D P 和I P 等高层系统网络堆栈的处理,将整个运算代价大大降低,大大提高 了运算速率。2、主要厂家拒绝服务攻击防御产品介绍
2.1 主流厂家产品简介
2.1.1 JUNIPER NetScreen-5000 系列
Juniper主推一体化模块式解决方案,路由器、业务部署系统(SDX)和入侵检测与防护(IDP)产品结合在一起。
2.1.2 Nokia SC6600 信息安全网关
SC6600安装简易,管理方便。采用包括多重扫毒技术、宏摘除、层次式过滤的复合防护(Statistical ProtectionTM)技术,采用专用 安全操作系统。
2.1.3 CISCO Guard XT
采用分布部署方式,多级检测采用集成式动态过滤和主动核 查、杀手”技术等多种检测技术,支持独特的集群体系结构,多级监 控和报告。
2.1.4 绿盟Defender4000
作为异常流量清洗设备,与监测中心、监控管理中心共同构建 异常流量净化系统。采用了多个并行的专业高性能网络处理器,高 “ 效处理D D O S 攻击,通过集群部署,可以轻松应对1 0 G + 海量拒绝服 务攻击。
2.2 华通产品说明 ・・・・・・下转第167页
165
数字技术
与应用安全技术 统进行传递,分析机子系统在完成数据的筛选和审核工作以后,拦 截并处理掉可疑信息,将正确的信息传达给控制台子系统,以保证 数据的有效传递。信息获取子系统、分析机子系统、控制台子系统三 者间通过特定的数据端口进行数据的传送,所有发送的数据都是进 行了统一的格式换处理的,以固定的格式进行传送。
2.4.4 终端信息的输出
从信息获取子系统,经由分析机子系统,再到控制子系统这一 系列的信息传递过程中,不仅完成了数据的过滤、筛选、核实、拦截 和传递,还对具有威胁性的数据进行了报警,切断了可疑数据的进 一步传递通道,最终准确无误地把需要的信息完整的从指定端口传 出,完成了整个SQL Server数据库的信息传递。但即使是这样,也 不能完全保证数据输出的绝对正确,还需要通过在输出端口进行再 次地过滤、筛选、核实与拦截等安全监控系统的安全监控措施,才能 更好的保证输出的信息的可靠性和安全性。
现代的通信技术迅猛发展,为计算机网络的智能化提供了新的 环境与新的机遇,但与此同时也带来了新的问题,如何有效地维护 信息的安全与完整,已经成为社会关注的热点。本文着重对如何实 现S Q L S e r v e r数据库安全监控系统提出一些见解,阐述了S Q L Server数据库安全监控系统是如何构建、如何运作的,希望能够为 数据库的安全维护起到一些作用。参考文献
[1]张颖.关于 SQL Server 数据库安全监控系统的设计的探讨[J].数 字技术与应用,2011.(11).
[2]李殿勋.浅谈 SQL Server 数据库安全监控系统结构和工作原理 [J].科技信息,2011.(24).
[3]马慧.基于 SQL Server 数据库安全监控系统的研究[J].微计算机 信息,2009.(18). 以在寻得攻击模式或其他的违反规则的活动时发出控制台子系统
警告、记录攻击事件的数据、适时阻断网络的连接,还可以根据不同 的需要对系统进行相应的拓展,联动防火墙等其他的安全设备。信 息获取子系统、分析机子系统子系统、控制台子系统三者之间相互 配合完成整个工作过程:
2.4.1 实现主机报警
当程序启动后,其所在的主机数据库的安全监控也将启动,信 息获取获得与数据库操作的相关数据(数据库主机的名称、操作的 SQL 语言、登陆的用户名、用户登录密码、当前的系统用户、操作的 结果等)后,将所得信息格式化并传送到分析机子系统。分析机子系 统通过自带的信息安全规则对所收到的信息进行分析、核实与筛 选,从中分离出对数据库有威胁的操作信息并向控制台子系统发 出警告。控制台子系统在收到警告信息后,由管理员对攻击源的IP 地址发出进行阻断的命令,并由分析机子系统传达给探头的部分,再由探头所在主机系统调动自带的API实现对指定IP 地址试行拦 截的操作命令,从而避免了被侵犯的可能,实现对数据库的安全性 的保护。
2.4.2 命令的有效下达
处于数据库最上层的控制台子系统对分析机子系统与信息获 取子系统进行控制、维护更新,并经由查询以获得它们的运行状态 的信息。命令从控制台子系统发出以后迅速传达至分析机子系统或 信息获取部分,然后由它们的相应模块响应指令,以实现命令的完 成。控制台子系统下达的所有命令都将通过特定窗口进行传达,并 且分析机子系统与信息获取部分接受命令与完成命令以后的反馈 信息也是经由同一端口进行传递的。
2.4.3 数据的传递
从信息获取子系统获取的相关的信息数据,在经过二次筛选过 滤后实现数据的完整性,然后根据数据的内容向相应的分析机子系
・・・・・・上接第165页
3.2 产品技术创新
3.2.1 实现基于自相似性模型的动态异常流量监测
自相似性(self-similarity)是指一个随机过程在各个时间规模 上具有相同的统计特性。系统在进入防护D D O S 攻击之前,要对网 络中正常的流量进行相应的记录,用以检测攻击的存在,尤其对 DDOS攻击所利用的报文进行检测和分析。系统分别对各个协议的 流量(或连接数)最大的IP地址(源IP和目的IP)的流量(或连接数)进行记录。而通常不同时间段网络流量也相差很大,简单的计算平均流量无法做快速可靠地发现攻击。因此需要按照时间段的不同对 流量生成表项。通过大量测试分析在表项细度和系统性能之间找到 一个平衡点。
3.2.2 扫描检测算法
扫描检测模块采用一个基于贝叶斯网络进行TCP 包头异常分 析的扫描检测方法(P S D B)。贝叶斯网络模块学习T C P 报文到达每 个目的主机和相应目的端口的概率。PSDB 使用贝叶斯网络来学习保存被检测子网内主机端口的概率分布。然后概率异常检测操作依 据TCP Flag和报文到达的概率计算每个报文的异常度,并针对个 别协议本身的特点对异常值计算进行修正,将判别为异常报文的信 息发送到分析模块。
随着我国信息化的快速发展,各行业对提高整体信息系统的安 全防护水平和保障能力提出了更高的要求,对信息安全技术和产品 的需求越来越大。基于ISP网络的拒绝服务攻击防御系统产品的投 放市场,能够填补运营商急需使用高效、成熟D D O S 防御产品的需 求空间;可以极大地提高电信运营商、I S P、政府的整体网络D D O S 防御能力本文来源于http://taobaoxuexi.sinaapp.com/(ddos攻击器)。
系统创新的技术实现模式可以为用户提供更优化的D D O S 防 御解决方案,通过建设更安全的D D O S 防御系统,用户可有效降低 大规模DDOS 类攻击所带来的社会和经济风险,为我国经济高速发 展提供安全的网络环境。参考文献
[1]李德全《拒绝服务攻击》.北京:电子工业出版社,2007 年 1 月. [ 2 ] 阳莉《电信网络分析与设计》.西安: 西安电子科技大学出版,. 2008 年 1 月.
[3]郝永清《网络安全攻防实用技术深度案例分析》.北京:科学出 版社,2010 年 1 月.
[4] 加拿大.克劳斯《网络安全保护》.北京:科学出版社,2009 年 3 月.
[ 5 ] 孙玉《电信网络安全总体防卫讨论》.北京: 人民邮电出版社,. 2008 年 8 月.
[6]Steve Manzuik《网络安全评估:从漏洞到补丁》.北京:科学 出版社,2009 年 1 月.
[7]王秀利《网络拥塞控制及拒绝服务攻击防范》.北京:北京邮电 大学出版社,2009 年 6 月.
[ 8 ] 王梦龙《网络信息安全原理与技术》.北京: 中国铁道出版社,. 2009 年 11 月. 3.3 产品应用
本产品通常布置于运营商网络中高带宽节点,如核心交换机等
高速转发设备,通常采用网关接入模式或路接入模式。在大型网络 应用时,可采用牵引器集群工作方式,可通过部署牵引器集群增强 系统处理能力及可靠性。
4、结语
167