收藏 分销(赏)

计算机网络防御策略模型和方法研究.doc

上传人:w****g 文档编号:2279457 上传时间:2024-05-24 格式:DOC 页数:47 大小:850.04KB 下载积分:12 金币
下载 相关 举报
计算机网络防御策略模型和方法研究.doc_第1页
第1页 / 共47页
计算机网络防御策略模型和方法研究.doc_第2页
第2页 / 共47页


点击查看更多>>
资源描述
个人收集整理 勿做商业用途 本科毕业设计论文 题目:计算机网络防御策略模型和方法研究 专业名称 计算机科学与技术 学生姓名 乔骞 指导教师 江火平 毕业时间 2011-7—1 设计 论文 毕业 任务书 一、题目 计算机网络防御策略模型和方法研究 二、指导思想和目的要求 基于计算机网络防御策略模型和方法的题目设置,目的是掌握计算机网络防御相关知识体系结构并对其中应用有具体了解,了解网络攻击手段,学会防御策略和方法.将所学专业理论知识与实际应用相结合。通过本课题的设计明确计算机网络安全策略和方法在今后的研究方向与发展趋势。 三、主要研究内容 1。 网络安全问题 2. 网络防御策略 3。 网络防御方法 4. 应用中的网络防御策略 四、进度和要求 第 2 周:确定毕业论文指导老师和论文题目; 第 3 周:与老师讨论交流论文资料的收集和论文提纲的构思; 第 4 – 7 周:查阅资料;提交论文提纲;老师对论文构思和写作进行指导; 第 8 -12 周:撰写论文; 第 13-15 周:演示文稿制作、论文定稿、答辩准备; 第 16 周:毕业答辩. 五、主要参考书及参考资料 [1] 谢希仁,计算机网络(第四版)大连理工大学出版社,2004—2 [2] 孙长华、刘斌 ,分布式拒绝服务攻击研究新进展综述,电子学报 2009 38期 [3] 周虹,计算机网络技术与应用,清华大学出版社,2006-11 [4] 胡征兵,入侵检测技术综述 ,计算机与信息技术,2005 01期 [10] [5] 杨泽州,VPN技术在高校数字图书馆中的应用 ,科技信息 200710期 学生 乔骞 指导教师 江火平 系主任 李伟华 目 录 摘 要 1 Abstract 2 第一章 绪论 3 1.1 计算机网络的发展 3 1.2 网络安全问题及原因 4 1.3 造成如今网络安全问题的原因 6 1。4 论文的组织结构 7 第二章 计算机网络防御策略和技术简介 8 2.1 网络防御策略 8 2。2 常见的安全技术 9 2。3网络安全的设计原则 10 第三章 常用网络防御策略及方法 13 3.1身份认证技术 13 3.1.1 基于密码的身份认证 14 3.1.2 数字签名 15 3。2 VPN技术 17 3。2.1 现VPN的基本技术要求 18 3.2.2 两种链路层隧道协议 19 3.3 ARP欺骗的攻防 20 3.4 分布式拒绝服务的攻防 22 3.5防火墙 27 3.6反病毒 29 第四章 应用中的防御策略模型 32 第五章 总 结 37 致 谢 39 参考文献 40 毕业设计小结 42 Ⅰ 摘 要 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 计算机网络防御策略是指为了实现特定的安全目标,计算机网络和信息系统根据进攻方式来特定防御措施。计算机网络防御必须使用大量的措施来应对网络攻击. 本文主要讨论了几种常见的网络防御方法给予分析讨论,从进攻和防御的角度说明了网络防御的现状,趋势,还有未来发展,并给出了针对几种进攻手段的防御方法的使用和安全性,最后分析结果,给出最优的防御方法. 关键词:网络, 安全问题, 防御技术, 防御方法 Abstract Network security is defined as the network system hardware, software and its system of data protection, do not suffer accidental or malicious reasons and destroyed, modify, leak, the system a continuous and reliable in normal operation, the network services do not interrupt。 Network security is a foreign involving computer science, network technology and communication technology, password technology, information security technology, applied mathematics and number theory, information theory etc。 Various disciplines of integrated disciplines。本文为互联网收集,请勿用作商业用途个人收集整理,勿做商业用途 The computer network defense strategy is to point to to accomplish a specific security objectives, computer network and information system based on offensive way to specific defense measures. Computer networks must use a lot of measures to cope with cyber attacks。 This article mainly discussed several common network defense gives analyses, discussions, from the Angle of attack and defense network defenses that status, trends, and the future development, and gives several offensive means the use of the defense and security, in the final analysis, results, optimal defense method. Keywords: internet , security problem, defense technology, strategy model - 42 - 第一章 绪论 1.1 计算机网络的发展 世界上公认的、最成功的第一个远程计算机网络是在1969年,由美国高级研究计划署(Advanced Research Projects Agency,ARPA)组织研制成功的。该网络称为ARPANET,它就是现在Internet的前身.随着计算机网络技术的蓬勃发展,计算机网络的发展大致可划分为4个阶段。 第一阶段:计算机技术与通信技术相结合(诞生阶段) 20世纪60年代末,计算机网络发展的萌芽阶段.该系统又称终端——计算机网络,是早期计算机网络的主要形式,它是将一台计算机经通信线路与若干终端直接相连。终端是一台计算机的外部设备包括显示器和键盘,无CPU和内存。其示意图如图1-1所示。其主要特征是:为了增加系统的计算能力和资源共享,把小型计算机连成实验性的网络。 图1.1 计算机网络系统示意图 第二阶段:计算机网络具有通信功能(形成阶段) 第二代计算机网络是以多个主机通过通信线路互联起来,为用户提供服务,主机之间不是直接用线路相连,而是由接口报文处理机(IMP)转接后互联的。IMP和它们之间互联的通信线路一起负责主机间的通信任务,构成了通信子网。通信子网互联的主机负责运行程序,提供资源共享,组成了资源子网.这个时期,网络概念为“以能够相互共享资源为目的互联起来的具有独立功能的计算机之集合体” ,形成了计算机网络的基本概念 图1。2 计算机网络系统结构图 1.2 网络安全问题及原因 人们在享受网络带来巨大便利的同时,网络安全也正收到前所未有的考验。网络安全是个百说不厌的话题。黑客的入侵行为对于国家安全、经济、社会生活造成了极大的威胁.1988年莫里斯蠕虫事件发生以来,有关网络安全事件的报道便不绝于耳,电脑病毒在中国造成的重大疫情也时有发生。蠕虫网病毒出现的那一天,我国有80%的网络服务供应商先后遭到了攻击。据统计,2010年平均每天有30个病毒出现,全球平均20秒就发生一起网络入侵时间。除了传统的病毒、垃圾邮件外,危害更大的间谍软件、广告软件、钓鱼网站等纷纷加入了互联网安全威胁的行列,间谍软件的危害甚至超过了传统病毒,成为互联网最大安全威胁、同时,有关病毒专家预测.2011年,间谍软件对网络安全危害的发展势头将会表现的更为猛烈。对计算机网络的入侵、威胁和攻击,大致可以分为一下几类: 1)网络入侵。指具有熟练的编程和调试计算机程序的技巧,并使用这些技巧来获得非法或未授权的网络或文件访问,入侵进入受害网络内部的行为。网络入侵的主要墓地是取得使用系统的存储权限、读写访问权限;或者作为进一步取得其他系统权限的跳板,甚至恶意破坏这个系统,使其无法正常运行。 2)后门和木马程序。从最早的计算机被入侵开始,黑客们就已经发明了后门程序,利用这种技术,他们可以再次进入被入侵系统。木马,又称特洛伊木马,是一类特殊的后门程序,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 3)计算机病毒和蠕虫。计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或膊淮数据,影响计算机使用并能够自我复制传播的一组计算机指令或程序代码.与传统的病毒不同,蠕虫病毒能以计算机为载体,利用操作系统和应用程序的漏洞主动进行攻击,是一种通过网络传播的恶性病毒。它具有病毒的一些共性,如传播性,隐蔽性,破坏性等,同时具有自己的一些特征,如不利用文件寄生(存在于内存),对网络造成拒绝服务,以及和黑客技术结合等。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫病毒可以在短时间内蔓延整个网络,造成网络瘫痪。 4)拒绝服务攻击。拒绝服务攻击是一种简单但有效的进攻方式,这种进攻方式没有什么有效方法能够阻止。它的墓地是拒绝服务访问,破坏阻止的正常运作,最终使部分网络连接和服务失效。除此之外,还有对WWW服务、FTP服务、TFTP服务等的拒绝服务攻击.拒绝服务攻击由于操作简单、攻击者易于隐藏、攻击效果明显等优点,得到了广泛应用和快速发展,今年来又出现了分布式拒绝服务攻击,从而大大提高了攻击效果。 5)对加密算法的攻击。一般来说破译者可以对密码进行密文攻击、已知明文攻击、选择密文攻击和选择明文攻击以及穷举攻击.对特定算法还有特定攻击方法,如对DES这类迭代分组密码可选择差分密码分析、能量攻击法。 6)端口扫描。端口扫描是一种获取主机信息的方法.利用端口扫描程序扫描网络上的一台主机,可以从扫描段偶数目和端口号判断该主机运行的操作系统,结合其他扫描信息进而掌握一个局域网的构造。 7)垃圾邮件。随着网络的快速发展,通过电子邮件进行商品虚假宣传等不法手段不仅损害了消费者合法权益,占用大量网络资源,而且严重扰乱了市场经济秩序,造成了极大的损失。 目前,如何保护好自身的网络信息不收侵犯和如何防范网络非法入侵已经成了一个国内外关注的热点话题,并且发展成了一个产业。 1.3 造成如今网络安全问题的原因 造成如今网络安全问题的因素有很多,总结起来如下: 1)设计思想导致的缺陷。计算机网络最初的设计思路是当作军事指挥系统,保证信息的传输。在这种情况下,网络的可靠性、可用性是优先于安全性的。网络早起是作为研究人员使用,是完全非营利也不是与商业挂钩的,所以几乎所有网络协议都很少考虑到安全机制。TCP/IP是一个建立在可信环境下的网络互联模式,安全设计欠佳,存在先天不足。这就直接导致了扫描、监听、欺诈等多种网络攻击。系统通信协议和应用服务协议存在缺陷,可被恶意利用来攻击网络。 2)硬件安全缺陷和操作系统软件漏洞。此类缺陷包括网络硬件可靠性差,计算机的许多核心技术关键安全性问题,其参数是否设置错误还需经过校验.每一个操作系统或网络软件的出现都会伴随许多漏洞,目前流行的许多操作系统都存在网络安全漏洞,如Windows,Unix等。若防火墙软件配置不合理,其作用微乎甚微,而且可能成为攻击突破口.所以一旦接入网络,就会成为众矢之的. 3)结构隐患。包括网络拓扑结构和网络设备。实际网络拓扑结构是集中总线型、星型等的混合结构.存在这相应的安全隐患。网络设备、主机、操作系统的多样化,再加上拓扑结构的复杂性也的网络安全管理工作变得困难。攻击者可以利用这些复杂因素来隐藏自己,发起致命的攻击。网络拓扑的不断膨胀,给网络安全带来了越来越多的压力,如果配置不当,也可能产生安全漏洞. 4)人为因素和外界因素。用户安全意识不高,特别是对计算机不是很了解的用户,他们对网络攻防知之甚少,导致安全管理意识缺乏,疏于防范,往往在遭到入侵后毫不知情,造成损失后才追悔莫及。外界因素如电磁辐射,辐射能破坏网络中传输的数据,甚至可以将这些数据接受下来并破译,造成用户泄密. 来自计算机内部用户的安全威胁 5)网络的管理制度不健全,缺乏管理。缺少管理者日常维护、数据备份管理、用户权限设置管理以及应用软件维护等。没有正视黑客、病毒和计算机犯罪所造成的严重后果,没有花费必要的人力、财力和物力来加强网络的安全性。 1.4 论文的组织结构 本论文共五章: 第一章:绪论。介绍了网络的发展,应用.介绍了网络安全存在的问题和原因。简单介绍了论文研究背景和意义。介绍了论文研究目的,最后说明了文章组织结构. 第二章:介绍了常见的网络防御策略和技术。常用网络安全策略介绍了环境策略和安全条目还有设备策略这几方面;网络安全技术则提出了防火墙、VPN、加密认证等技术,种将在下文做详细介绍. 第三章:网络安全技术的详细介绍。介绍了防火墙,VPN,DDOS的防御,入侵检测,反病毒等方法。 第四章:网络防御策略在实际中的应用.由于是学生,本文以校园网为例,做出了整体规划,并从理论上研究了网络安全策略在校园网中的实际应用。 第五章:结论.对本文做了概括性总结,并提出了下一步工作和展望. 其中第三章和第四章是本文的重点. 第二章 计算机网络防御策略和技术简介 网络防御策略指网络系统的硬件、软件和其中的数据收到保护,不因偶然因素或恶意破坏遭损失,系统可连续正常运行。网络防御包括技术领域和非技术领域:技术领域包括防火墙、入侵检测、访问控制、VPN等;非技术领域包括一些制度、政策、管理、安全意识等。而一个有效安全的防御体系应该是以策略为核心,技术为支撑,管理为落实的。本章主要介绍常用网络防御策略和安全方法。 2.1 网络防御策略 环境安全策略主要从制度和物理保护两方面讨论。 一 政治制度。 有效的制度环境,是保障网络安全、促进网络健康发展的重要基础。 1) 政策方面。政策是政府经济管理职能的体现,包括政策的制定和执行两 方面。网络安全需要政府综合运用管理手段,解决诸如结构、布局、组织等一系列发展需要问题。政府要针对各种网络安全问题,采取切实有效的对策,不断提高防范保障能力,为人民穿创造一个安全可靠的网络环境。 2) 法律方面.法律制度的建立是依法行政所必须的,也是政府行使各项职 能的基础。网络安全已成为国家安全的一个重要组成部分。必须强化网络安全意识,规范安全行为,加快健全法律法规,对网上行为做到有法可依,为保障网络安全提供良好的法律环境。 3) 研究机构方面.研究机构是国家前瞻性研究和基础性研究的主要力量, 在大多数制造商关注应用技术的情况下,科学机构应结合国家战略和产业需要,在网络安全方面开展基础性研究和前瞻性研究。 二 物理保护 保障计算机系统各种设备的物理安全,是整个计算机信息系统安全的前提条件。物力安全对应体系层次模型的物理层,用以保护计算机网络设备、设施以及其媒介免受地震、火灾、水灾等环境事故,以及操作错误和各种计算机犯罪行为导致的损坏,电缆、终端、路由交换和其他系统硬件容易收到物理损害。为防止这种问题,应规划网络物理安装,网络服务器、路由器、通信线缆等应放置在安全可靠处。 2。2 常见的安全技术 1)虚拟网技术   虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器 2)防火墙技术   网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备.它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态.    3)病毒防护技术   病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。 4)入侵检测技术   利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险.但是,仅仅使用防火墙、网络安全还远远不够 5)安全扫描技术   网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络. 6)认证和数字签名技术   认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。 7)VPN技术 企业总部和各分支机构之间采用internet网络进行连接,由于internet是公用网络,因此,必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网。 2。3网络安全的设计原则 网络系统是一个复杂的环境。所以在设计方面得遵循一下原则: 1.网络信息安全的木桶原则 网络信息安全的木桶原则是指对信息均衡、全面的进行保护。“木桶的最大容积取决于最短的一块木板”.网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防.攻击者使用的“最易渗透原则",必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析,评估和检测(包括模拟攻击)是设计信息安全系统的必要前提条件.安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的"安全最低点”的安全性能。 2.网络信息安全的整体性原则 要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制.安全防护机制是根据具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击.安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。 3.安全性评价与平衡原则 对任何网络,绝对安全难以达到,也不一定是必要的,所以需要建立合理的实用安全性与用户需求评价与平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。 4.标准化与一致性原则 系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享. 5.技术与管理相结合原则 安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 6.统筹规划,分步实施原则 由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必须的安全性.随着今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。 7.等级性原则 等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。 8.动态发展原则 要根据网络安全的变化不断调整安全措施,适应新的网络环境,满足新的网络安全需求。 9.易操作性原则 首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行. 第三章 常用网络防御策略及方法 3。1身份认证技术 身份认证是对通信方进行身份确认的过程,用户向系统请求服务时要出示自己的身份证明。身份认证一般以电子技术、生物技术或电子技术与生物技术相结合来阻止非授权用户进入。常用的身份认证方法有口令认证法、基于“可信任的第三方”的认证机制和智能卡技术等。在真实世界中,验证一个用户的身份主要通过三种方式:所知道的:根据用户所知道的信息来证明用户身份;所拥有的:根据用户所拥有的东西来证明用户身份;本身的特征:直接根据用户独一无二的体态特征来证明用户的身份,如视网膜,DNA,指纹等特殊标志。 图3。1 身份认证与资源访问的关系 3。1。1 基于密码的身份认证 密码是用户于计算机之间以及计算机与计算机之间共享的一个秘密,在通信过程中其中一方向另一方提交密码,表示自己已得到授权,从而通过另一方的认证。密码通常由一段字符串来组成,为便于用户使用和考虑到安全性,密码的长度都有规定. 什么是密码系统呢?以摩斯码为例。摩尔斯电码(又译为摩斯电码)是一种时通时断的信号代码,这种信号代码通过不同的排列顺序来表达不同的英文字母、数字和标点符号等.最早的摩尔斯电码是一些表示数字的点和划.数字对应单词,需要查找一本代码表才能知道每个词对应的数。用一个电键可以敲击出点、划以及中间的停顿. 图3。2 摩斯码工作示意图 图3。3 摩斯码字母对应表 我们最熟悉的S。O。S求救信号就是国际莫尔斯电码救难信号,并非任何单字的缩写.鉴于当时海难事件频繁发生,往往由于不能及时发出求救信号和最快组织施救,结果造成很大的人员伤亡和财产损失,国际无线电报公约组织于1908年正式将它确定为国际通用海难求救信号。这三个字母组合没有任何实际意义,只是因为它的电码 。.。---..。(三个圆点,三个破折号,然后再加三个圆点)在电报中是发报方最容易发出,接报方最容易辨识的电码. 一个密码系统包含明文字母空间,密文字母空间,密钥空间和算法。密码系统的两个基本单元是算法和密钥。算法使一些公式,法则或程序,规定铭文和密文之间的变换方法:密钥可以看成是算法中的参数。 就密码的安全性来说:入侵者即使取得存储在系统中的密码也无法登录。这需要在密码认证的基础上在加入其他认证方式,比如地址认证。通过坚挺网络上传送的信息而获取的密码是不能使用的.最有效的方法就是数据加密.计算机系统必须能发现和防止各种密码尝试攻击。可使用密码安全策略. 3.1.2 数字签名 数字签名具有公开可验证性和可转移性等特点。所谓公开验证性指任何知道验证算法的人都能够验证签名的真伪性,无需别人帮助,可成为自认证性。所谓可转移性指知道验证算法的人都可将验证算法和签名转移给第三方,并可使第三方认证其真实性。普通数字签名方案的这些特点十分适用于许多别的应用,因为他具有太多的“验证”,如对商业活动或私人敏感信息的签名,签名的扩散有助商业间谍商业欺诈。这就需要开发别的数字签名方案,以便适应于这些具体的要求. “可信任的第三方”一般被称为 CA(Certification Authority).CA 负责为用户注册证书和颁发证书,并保证其颁发的数字证书的有效性,以及当证书过期时宣布其不再有效。CA执行用户或网络服务的安全确认.智能卡技术是密钥的一种形式,由授权用户所持有并由该用户赋予它一个口令或密码,该密码与网络服务器上注册的密码一致。一般来讲,身份认证往往和授权机制联系在一起,提供服务的一方,对申请服务的客户身份确认之后就需要向他授予相应的访问权限,规定客户可以访问的服务范围. 图3.4 CA生成证书示意图 身份认证会受到的攻击主要有以下几类: 仅知道密文的攻击:密码分析员仅仅收集到了若干密文信息。这些密文都是用同一加密算法和密钥加密的.密码分析员的任务就是尽可能多的恢复铭文或推算出密钥,有点类似暴力破解,找出密钥就可以一劳永逸的解密出其他加密信息. 已知明文的攻击:密码分析员搜集到某些明文和与之对应的密文信息.密码分析员利用它来推出用来加密的密钥或导出加密算法。显然有更强的攻击力,掌握的关于该密码的信息也越多。 选择铭文的攻击:密码分析员不仅获得若干的密文及密文对应的明文,而且掌握的明文还加以挑选。此种攻击方法比前两种攻击的条件更苛刻。明文是经过挑选的,必然提供了更多的可供破译的信息,攻击更犀利.密码分析者利用推导到的加密密钥或算法.一般来说好的加密算法是可以公开的,公开也不会非常利于攻击。只要攻击者手中没有密钥,就无法有效的算出明文。 实际上所有加密算法都是可以破译的,如果破译所需的计算能力和时间是完全不可能实现,则我们称它相对安全的。 3。2 VPN技术 VPN(虚拟专网)技术是指在公共网络中建立专用网络,数据通过安全的“加密管道"在公共网络中传播。VPN 技术的核心是隧道技术,将专用网络的数据加密后,透过虚拟的公用网络隧道进行传输,建立一个虚拟通道,让两者感觉是在同一个网络上,可以安全且不受拘束地互相存取,从而防止敏感数据被窃。 图3.5 Vpn通道示意图 3。2.1 现VPN的基本技术要求 实际应用中,虽然各VPN供应商采取多种不同的实现技术,但一个高效成功的VPN必须满足以下基本要求: 1)安全保障 所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性.在安全性方面,由于VPN直接构建在公用网上,实现简单方便灵活,但同时其安全问题也更突出。VPN用户必须确保其传送的数据不被攻击者窥视和篡改,冰洁要防止非法用户对网络资源或私有信息的访问。VPN可以利用加密技术对经过隧道传输的数据进行加密,以保证数据仅被指定的发送者和接收者了解,从而保证数据的私有性和安全性. 2)服务质量(QoS)保证 不通的用户和业务对服务质量保证的要求差别很大,VPN应当为它们提供不同等级的服务质量保证.如移动办公用户,提供广泛的连接和覆盖性是保证VPN服务的一个主要因素:而对于拥有众多分支机构的专线VPN网络,交互式的内部企业网应用则要求网络能提供良好的稳定性.在网络优化方面,QoS通过流量预测与流量控制策略,可以按照优先级分配宽带资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。 3)可扩展性和灵活性 VPN必须能够支持通过Intranet和Extranet的任何类型的数据流,方便增加新的节点,支持多种类型的传输媒介,可以满足同时传输语音,图像和数据等新应用对高质量传输以及带宽增加的要求。 4)可管理性 VPN的管理主要包括安全管理,设备管理,配置管理,访问控制列表管理,QoS管理等内容。VPN用户虽然可以将一些次要的网络管理任务交给服务提供商去完成,但自己仍需要完成许多网络管理任务。所以,一个完善的VPN管理系统是必不可少的。VPN管理的目标为:减小网络风险,具有高扩展性,经济性,高可靠性等优点。VPN采用的安全技术是其所有技术中最关键的。目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术,加密技术,密钥管理技术和身份认证技术。 5)隧道技术 隧道技术是VPN的基本技术,累死于点对点连接技术,他是在公共网络中建立一条数据通道,让数据包在其中发送。隧道实质上并不是开创了一条通道,而是一种封装,他把一种协议A封装在另一种协议B中,实现协议A对公网透明,而B只对隧道用户可见。 隧道技术在VPN中实现以下作用: 1.一个IP隧道可以调整任何形式的有效负载,使远程用户能透明的拨号上网; 2.隧道能利用封装技术同时调整多个用户或者多个不同形式的有效负载; 3。使用隧道技术访问企业网络时,企业网不会向公网报告他IP网络地址; 4。隧道技术允许接受者过滤或报告个人的隧道连接。 3。2.2 两种链路层隧道协议 1 )点对点隧道协议(PPTP) PPTP由美国微软公司设计,用于将PPP数据帧封装在IP数据报内通过IP网络传送.PPTP还可用于专用局域网之间的链接。 PPTP使用一个TCP连接对隧道进行维护,可以先对负载数据进行加密活压缩,再使用通用路由封装技术把数据封装成PPP数据帧,通过隧道传送。PPTP在逻辑上延伸了PPP会话,从而形成了虚拟的远程拨号. PPP协议属于链路层,因此PPTP是作用在数据链路层的封装.封装后的分组被装入IP分组中,在IP网络上发送。下面的图描述了PPTP协议在协议栈中的位置。 图3。6 PPTP封装示意图 第二层隧道协议(L2TP) L2TP的设计者结合PPTP和L2F协议,希望它能够综合二者的优势。L2TP支持封装的PPP帧在LP,X。25,帧中继或ATM等的网络上进行传送.当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAM媒介上使用而不需要使用IP传输层。 TP网上的L2TP使用UDP和一系列的L2TP消息对隧道进行维护。L2TP同样使用UDP将L2TP协议封装的PPP通过隧道发送,可以对封装的PPP帧中的负载数据进行加密或压缩。L2TP在协议栈中的位置如图所示. 图3。7 L2TP封装示意图 VPN在未来的市场中有广阔的前景,VPN产品将进入告诉增长期。未来80%以上的企业都会用VPN来实现宽带互联,几乎所有的ISP都会利用VPN产品为企业提供VPN服务.产品多样化和大量的市场需求会促使VPN产品的进一步发展。 3。3 ARP欺骗的攻防 Address resolution protocol--地址解析协议即ARP协议,是网络层的一个重要协议。地址解析是指在IP地址和采用不同网络技术硬件地址之间提供动态映射。在以太网中,当一台主机A想与另一台主机B通信时,要获取B的MAC地址,获取流程如图. 图3.8 ARP工作原理示意图 A首先会检索ARP缓存表中是否有B的主机地址几率,如果没有就会想局域网发出ARP请求广播:寻找B主机,“知道的告诉A主机(MAC)”,局域网内所有主机都会收到这个ARP请求,但只有主机B才会响应这个请求,他会回应一个单播的ARP应打包内容大致意思是:“我是B主机,MAC地址是@#¥#"。这样A主机就会将B主机的(IP,MAC)地址映射存储在ARP缓存表中,之后A主机于B主机之间的通信就依靠这个缓存表中的数据的地址来进行,知道地址映射超时,这是A主机会重新发起ARP解析请求。 图3.9 ARP解析 ARP协议是建立在信任局域网内所有借点的基础上,虽然高校但不安全。ARP协议是一种无状态的协议,他不会检测自己是否发送过请求报文,也不知道是否是合法应答,只要接受到目标MAC是自己的ARP广播报文,都会接受并更新缓存,这就为ARP欺骗提供了可能.、 ARP欺骗指局域网内的恶意节点发送伪造的ARP报文以更新其他主机ARP缓存表来达到影响网络通信的墓地。由于局域网内的每台主机都有ARP缓存表,ARP攻击者将发送大量的ARP欺骗报文以淹没正常的ARP报文,使得主机的ARP缓存表内记录错误的MAC信息,从而达到ARP欺骗的目的。根据呗欺骗的对象不同,ARP欺骗可分为欺骗主机,欺骗网管,双向欺骗三种类型.攻击者可以利用ARP欺骗进行DOS攻击,MAC伪装,中间人攻击等攻击类型,在局域网中造成网络通信异常,敏感数据泄漏,数据篡改,网页劫持,非法控制等严重后果。 那我们要如何来防范ARP攻击呢: (1)快速确定ARP病毒攻击源:根据网络病毒的特征,通过查看PC和设备状态,过滤豹纹,网络抓包或网管工具分析,发现源头立即杀毒; (2)切断ARP病毒攻击的传播途径:可以通过切断病毒传播途径而控制感染范围,大大降低病毒危害程度。 (3)保护PC和设备不收ARP病毒感染:确保PC的杀毒软件更新,提高网络设备抵抗攻击能力,可以提高网络设备对ARP攻击的防范效果. 目前利用ARP欺骗的木马病毒在局域网中广泛传播,给网络安全运行带来巨大隐患,是局域网安全的首要威胁。如何有效地监测和防范ARP欺骗攻击成为当前网络管理者所面临的严峻挑战。 3。4 分布式拒绝服务的攻防 分布式拒绝服务(DDOS)。是Distributed Denial of Service的缩写,俗称洪水攻击.此攻击来源于1999年7月份左右。微软公司的视窗操作系统的二一个bug被人发现和利用,并且进行了多次攻击,其方式就是使用多台已经被攻击者所控制的机器对某一台服务器发起攻击,在如此带宽相比之下被攻击的主机很容易失去反应能力的.DDOS攻击方式就是将传统的DOS攻击改进而形成的一类新的攻击方式。DOS攻击有多种形式。所有的DOS攻击都是用合法的服务请求大最地侵占网络上的服务资源,让合法用户得不到服务的响应。 图3.10 三次握手示意图 上图显示了TCP通过三次握手协议建立连接和通过文雅释放来结束通讯的过程。TCP SYN FLOOD攻击就是利用三次握手协议来耗尽服务器资源,从而导致拒绝服务。设想一下客户端A向服务器S发送一个SYN请求包,其中SYN包的源地址是一个伪造的TP地址D,服务器将为该SYN请求分配TCP Control Block资源,设置状态为SYN_RCVD状态,发送SYN/ACK包给D,然后等待客户端D的ACK包以建立连接。由于D是一个伪造的IP地址,S发送给D的SYN/ACK后得不到相应,经过一定的时间后,S发现D仍然没有回应,于是释放该TCP Control Block 资源。犹豫可能存在包的延迟和丢失重传,为了保证正常的通讯,S等待D回复的时间必须足够长。在这个必须等待足够长的时间段内,如果A发送足够多的伪造源地址的SYN请求包给S,那么在S释放这些资源前,将没有能力处理正常的合法访问,最终导致拒绝服务.由于服务器资源毕竟是有限的,如果多个客户端向服务器同时发送SYN请求,即使不使用伪造的IP地址,那么也可能造成服务器资源耗尽,导致拒绝服务。 DDOS攻击原理: DDOS攻击原理是使用大量的傀儡机发起进攻,以此轰炸被攻击的计算机或服务器。况且现在的网络其广泛性、连接程度为DDOS的攻击创造了极佳的
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 考试专区 > 中考

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服