版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
1、第3章 Internet安全,3.1 Internet安全概述3.2 防火墻技術(shù)3.3 黑客攻擊技術(shù)3.4 入侵檢測系統(tǒng)3.5 計算機(jī)病毒:課堂討論3.6 電子商務(wù)應(yīng)用安全協(xié)議,2,目錄,引例——萬事達(dá)系統(tǒng)遇襲事件,萬事達(dá)系統(tǒng)遇襲事件不是網(wǎng)絡(luò)時代的個案,網(wǎng)站遇襲時間早已不是新聞,難道Internet毫無安全可言嗎?,3,,3.1 Internet安全概述,3.1.1 網(wǎng)絡(luò)層安全3.1.2 應(yīng)用層安全3.1.3 系統(tǒng)安全,
2、4,,,3.1.1 網(wǎng)絡(luò)層安全 網(wǎng)絡(luò)層安全指的是對從一個網(wǎng)絡(luò)的終端系統(tǒng)傳送到另一個網(wǎng)絡(luò)的終端系統(tǒng)的通信數(shù)據(jù)的保護(hù)。典型的網(wǎng)絡(luò)層安全服務(wù)包括:認(rèn)證和完整性保密性訪問控制,5,3.1 Internet概述,3.1.2 應(yīng)用層安全 應(yīng)用層安全指的是建立在某個特定的應(yīng)用程序內(nèi)部,不依賴于任何網(wǎng)絡(luò)層安全措施而獨(dú)立運(yùn)行的安全措施。應(yīng)用層安全措施包括:認(rèn)證訪問控制保密性數(shù)據(jù)完整性不可否認(rèn)性與Web
3、、與信息傳送有關(guān)的安全措施,6,3.1 Internet概述,3.1.3 系統(tǒng)安全 系統(tǒng)安全是指對特定終端系統(tǒng)及其局部環(huán)境的保護(hù),而不考慮對網(wǎng)絡(luò)層安全或應(yīng)用層安全措施所承擔(dān)的通信保護(hù)。系統(tǒng)安全措施包括:確保在安裝的軟件中沒有已知的安全缺陷確保系統(tǒng)的配置能使入侵風(fēng)險降至最低確保所下載的軟件其來源是可信任的和可靠的確保系統(tǒng)能得到適當(dāng)管理以使侵入風(fēng)險最小確保采用合適的審計機(jī)制,以便能防止對系統(tǒng)的成功入侵和采取新的合適
4、的防御性措施,7,3.1 Internet概述,3.2 防火墻技術(shù),3.2.1 防火墻的基本概念3.2.2 防火墻的基本原理3.2.3 防火墻的實現(xiàn)方式,8,,3.2.1 防火墻的基本概念 防火墻(firewall)是在兩個網(wǎng)絡(luò)之間強(qiáng)制實施訪問控制策略的一個系統(tǒng)或一組系統(tǒng)。 狹義——指安裝了防火墻軟件的主機(jī)或路由器系統(tǒng)。,9,防火墻示意圖,防火墻的功能:過濾不安全的服務(wù)和非法用戶控制對特殊站點的訪問作
5、為網(wǎng)絡(luò)安全的集中監(jiān)視點防火墻的不足之處:不能防范不經(jīng)由防火墻的攻擊——e.g.撥號不能防止受到病毒感染的軟件或文件的傳輸不能防止數(shù)據(jù)驅(qū)動式攻擊,11,內(nèi)部提供撥號服務(wù)繞過防火墻,,防火墻的設(shè)計規(guī)則 (姿態(tài),安全策略)(1)拒絕每件未被特別許可的事情(限制政策)(凡是未被允許的都是禁止的)只支持那些仔細(xì)選擇的服務(wù), 建立一個非常安全的環(huán)境。其缺點是安全性的考慮優(yōu)于使用性的考慮,限制了提供給用戶的服務(wù)范圍。(2)允許未被特別
6、拒絕的每一件事情(寬松政策)(凡是未被禁止的都是允許的)建立一個非常靈活的使用環(huán)境,能為用戶提供更多的服務(wù)。缺點是使用性的考慮優(yōu)于安全性的考慮 .多數(shù)防火墻都在兩種之間采取折衷。,,3.2.2 防火墻的基本原理1.包過濾型防火墻P74,14,3.2 防火墻技術(shù),包過濾防火墻 實現(xiàn)原理,15,,優(yōu)點:P75缺點:,上海財經(jīng)大學(xué) 勞幗齡,16,包過濾型防火墻設(shè)置實例,按地址:拒絕某IP地址的連接,按服務(wù):拒絕外部地址訪問內(nèi)網(wǎng)的電
7、子郵件服務(wù),往外包的特性(用戶操作信息)IP源是內(nèi)部地址目標(biāo)地址為serverTCP協(xié)議,目標(biāo)端口23源端口>1023,往內(nèi)包的特性(顯示信息)IP源是server目標(biāo)地址為內(nèi)部地址TCP協(xié)議,源端口23目標(biāo)端口>1023,包過濾型防火墻設(shè)置實例,從內(nèi)往外的telnet服務(wù),包過濾防火墻的設(shè)置(2),從外往內(nèi)的telnet服務(wù),client,server,,內(nèi)部,外部,往內(nèi)包的特性(用戶操作信息)IP源是外
8、部地址目標(biāo)地址為本地serverTCP協(xié)議,目標(biāo)端口23源端口>1023,往外包的特性(顯示信息)IP源是本地server目標(biāo)地址為外部地址TCP協(xié)議,源端口23目標(biāo)端口>1023,針對telnet服務(wù)的防火墻規(guī)則,不允許外網(wǎng)電腦訪問內(nèi)部網(wǎng)絡(luò)的TELNET服務(wù),如果設(shè)置?,2.應(yīng)用網(wǎng)關(guān)型防火墻P76,21,應(yīng)用網(wǎng)關(guān)型防火墻 實現(xiàn)原理,22,3.代理服務(wù)型防火墻,23,3.2.3 防火墻的實現(xiàn)方式,堡壘主機(jī)(
9、Bastion Host):指一個計算機(jī)系統(tǒng),它對外部網(wǎng)絡(luò)暴露,同時又是內(nèi)部網(wǎng)絡(luò)用戶的主要連接點。,幾個相關(guān)概念,雙宿主主機(jī)(Dual-homed Host):至少有兩個網(wǎng)絡(luò)接口的通用計算機(jī)系統(tǒng)。,DMZ(Demilitarized Zone,非軍事區(qū)或者停火區(qū)):在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間增加的一個子網(wǎng),也稱為參數(shù)網(wǎng)絡(luò)。,包過濾路由器,P77,26,雙宿主主機(jī)結(jié)構(gòu)(雙穴防范網(wǎng)關(guān)),,——擁有兩個或多個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口,通常用一
10、臺裝有兩塊或多塊網(wǎng)卡的堡壘主機(jī)做防火墻,分別與受保護(hù)網(wǎng)和外部網(wǎng)相連。,雙宿主主機(jī)結(jié)構(gòu),,優(yōu)點:結(jié)構(gòu)簡單可以提供很高的網(wǎng)絡(luò)控制,缺點:需要用戶認(rèn)證,使用不方便,主機(jī)過濾結(jié)構(gòu)(過濾主機(jī)網(wǎng)關(guān)),,——主機(jī)過濾結(jié)構(gòu)由包過濾路由器和堡壘主機(jī)組成,堡壘主機(jī)僅僅與內(nèi)部網(wǎng)相連。任何外部網(wǎng)的主機(jī)都只能與內(nèi)部網(wǎng)的堡壘主機(jī)建立連接,任何外部系統(tǒng)對內(nèi)部網(wǎng)絡(luò)的操作都必須經(jīng)過堡壘主機(jī)。,,主機(jī)過濾結(jié)構(gòu),,優(yōu)點:兩層保護(hù):包過濾+應(yīng)用層網(wǎng)關(guān);比單獨(dú)的包過濾
11、或應(yīng)用網(wǎng)關(guān)代理更安全;可以進(jìn)行靈活配置。,缺點:一旦包過濾路由器被攻破,堡壘主機(jī)就可能被越過,使內(nèi)部網(wǎng)絡(luò)完全暴露。,子網(wǎng)過濾結(jié)構(gòu)(過濾子網(wǎng)防火墻),,——采用了兩個包過濾路由器和一個堡壘主機(jī),在內(nèi)外網(wǎng)絡(luò)之間建立了一個被隔離的子網(wǎng),定義為“非軍事區(qū)”(DMZ),使得內(nèi)部網(wǎng)與外部網(wǎng)之間有三層防護(hù)。,,子網(wǎng)過濾結(jié)構(gòu),,優(yōu)點:三層防護(hù),安全性高外部路由器只向Internet暴露子網(wǎng)中的主機(jī)內(nèi)部路由器只向內(nèi)部網(wǎng)暴露子網(wǎng)中的主機(jī)即使堡壘
12、主機(jī)被入侵者控制,內(nèi)部網(wǎng)仍受到內(nèi)部包過濾路由器的保護(hù),3.3 網(wǎng)絡(luò)安全的攻防研究體系----黑客技術(shù),,34,,35,,36,,37,,38,,39,,40,,41,,42,,43,,44,,45,,46,,47,,48,,49,,50,,黑客技術(shù),踩點->掃描->攻擊->離開,黑客攻擊的四部曲,踩點——信息收集,攻擊之前的準(zhǔn)備,利用whois nsloolup, ping、tracert等獲取信息;掃描——安全
13、偵測,利用自制或?qū)S脪呙韫ぞ撸还簟獙嵤┕?,建立帳戶、獲取特權(quán)、安裝木馬、全面攻擊、系統(tǒng)入侵等等。離開——安全撤離,實施完攻擊以后,清除腳印,消除入侵痕跡,3.3.1 信息收集技術(shù)(踩點),信息收集技術(shù)是一把雙刃劍黑客在攻擊之前需要收集信息,才能實施有效的攻擊管理員用信息收集技術(shù)來發(fā)現(xiàn)系統(tǒng)的弱點,,攻擊工具攻擊命令,攻擊機(jī)制,,目標(biāo)網(wǎng)絡(luò),,,目標(biāo)系統(tǒng),黑客,,,漏洞掃描評估,攻擊過程,實時入侵檢測,信息收集過程,,
14、,信息收集是一個綜合過程從一些社會信息入手找到網(wǎng)絡(luò)地址范圍找到關(guān)鍵的機(jī)器地址找到開放端口和入口點找到系統(tǒng)的制造商和版本,信息搜集小結(jié),網(wǎng)絡(luò)技術(shù)網(wǎng)絡(luò)實名、新聞報道、網(wǎng)站信息、搜索引擎查詢命令(Ping、tracert)、查詢工具等非網(wǎng)絡(luò)技術(shù)社交工程、垃圾搜集、身份偽裝等,,3.3.2 安全掃描技術(shù),掃描器(Scanner) 掃描器是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的軟件,通過與目標(biāo)主機(jī)TCP/IP端口建立連接并請求某些服
15、務(wù),記錄目標(biāo)主機(jī)的應(yīng)答,搜集目標(biāo)主機(jī)相關(guān)信息,從而發(fā)現(xiàn)目標(biāo)主機(jī)存在的安全漏洞。,掃描技術(shù)——雙刃劍安全評估工具:管理員用來確保系統(tǒng)的安全性黑客攻擊工具:黑客用來探查系統(tǒng)的入侵點,掃描器的基本工作原理 掃描器采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項檢查。 掃描器測試TCP/IP端口和服務(wù),并記錄目標(biāo)的回答。通過這種方法,可以搜集到關(guān)于目標(biāo)主機(jī)的有用信息。掃描器并不是一個直接攻擊網(wǎng)絡(luò)漏洞的程序,它僅僅能幫助我們
16、發(fā)現(xiàn)目標(biāo)機(jī)的某些存在的弱點,掃描器的功能 發(fā)現(xiàn)一個主機(jī)和網(wǎng)絡(luò)的能力發(fā)現(xiàn)系統(tǒng)運(yùn)行的服務(wù)通過測試這些服務(wù),發(fā)現(xiàn)漏洞的能力 進(jìn)一步的功能:如操作系統(tǒng)辨識、應(yīng)用系統(tǒng)識別,,3.3.3 黑客攻擊技術(shù),按照攻擊的性質(zhì)及其手段,可將網(wǎng)絡(luò)攻擊分為以下四個類型:(1) 口令攻擊(2) 拒絕服務(wù)攻擊(3) 利用型攻擊(4) 假消息攻擊,(1) 口令攻擊,,口令攻擊是指通過猜測破解或獲取口令文件等方式獲得系統(tǒng)認(rèn)證口令從而進(jìn)入系統(tǒng)。,攻
17、擊者攻擊目標(biāo)時常常把破譯用戶的口令作為攻擊的開始。只要攻擊者能猜測或者確定用戶的口令,他就能獲得機(jī)器或者網(wǎng)絡(luò)的訪問權(quán),并能訪問到用戶能訪問到的任何資源。,字典攻擊(Dictionary Attack),口令攻擊的方法,暴力攻擊(Brute Force Attack),混合攻擊(Hybrid Attack),指將可能用作口令的英文單詞或者字符組合制作成一個字典,利用逐個試探的方式進(jìn)行破解。,指利用窮舉搜索法在所有的組合方式中試探口令的攻擊
18、方式。,是指將數(shù)字和符號添加到單詞的前綴或后綴組成口令來試探密碼。又稱半字典半暴力攻擊。,特點:字典是破解的基礎(chǔ) ,成功的概率與字庫的大小成正比。,特點:最全面的攻擊方式;靈活設(shè)定搜索范圍;需要時間長。,特點:大大縮小排列組合空間;破解速度比暴力攻擊快。,口令破解工具舉例------—L0pht Crack(簡稱LC),常用的不安全的口令有哪些?(討論)如何提高口令的安全性?(討論),(2)拒絕服務(wù)攻擊(Denial of Se
19、rvice,DoS),信息安全的三個基本屬性保密性、完整性、可用性(availability)DoS是針對可用性發(fā)起的攻擊什么是拒絕服務(wù)攻擊?通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù)。DoS的動機(jī)受挫折,無法攻入目標(biāo)系統(tǒng),最后一招----DoS強(qiáng)行對方重啟機(jī)器惡意的破壞、或者報復(fù)網(wǎng)絡(luò)恐怖主義……DoS的危害使得網(wǎng)絡(luò)或系統(tǒng)不能提供正常的服務(wù),,消耗帶寬:,拒絕服務(wù)的攻擊方式,侵占資源:,使系統(tǒng)和應(yīng)用崩潰:
20、,指以極大的通信量沖擊網(wǎng)絡(luò),使得所有可用網(wǎng)絡(luò)資源都被消耗殆盡,最后導(dǎo)致合法的用戶請求無法通過。,指用大量的連接請求沖擊計算機(jī),使得所有可用的操作系統(tǒng)資源都被消耗殆盡,最終計算機(jī)無法再處理合法用戶的請求。,指利用程序本身的漏洞使系統(tǒng)崩潰。,一些典型的拒絕服務(wù)攻擊:,死亡之ping(ping of death) SYN洪水攻擊(SYN flood) Smurf攻擊 分布式拒絕服務(wù)攻擊(DDoS),死亡之 ping (Ping o
21、f Death),原理:直接利用ping包,即ICMP Echo包,有些系統(tǒng)在收到比TCP/IP協(xié)議規(guī)定的最大包(65536字節(jié))還要長的數(shù)據(jù)包時,就會出現(xiàn)內(nèi)存分配錯誤,導(dǎo)致TCP/IP堆棧崩潰,造成掛起或者死機(jī)。攻擊做法直接利用ping工具,發(fā)送超大的ping數(shù)據(jù)包預(yù)防措施及時打補(bǔ)丁通過正確設(shè)置防火墻來過濾掉這樣的ping數(shù)據(jù)包,SYN 洪水攻擊(SYN Flood),原理:利用TCP連接三次握手過程,打開大量的半開TCP連
22、接,使得目標(biāo)機(jī)器不能進(jìn)一步接受TCP連接。每個機(jī)器都需要為這種半開連接分配一定的資源,并且,這種半開連接的數(shù)量是有限制的,達(dá)到最大數(shù)量時,機(jī)器就不再接受進(jìn)來的連接請求。攻擊特征目標(biāo)主機(jī)的網(wǎng)絡(luò)上出現(xiàn)大量的SYN包,而沒有相應(yīng)的應(yīng)答包SYN包的源地址可能是偽造的,甚至無規(guī)律可循防止措施針對網(wǎng)絡(luò)配置防火墻或者路由器,在給定時間內(nèi)只允許有限數(shù)量的半開連接利用入侵檢測系統(tǒng)進(jìn)行異常檢測及時打補(bǔ)丁,正常的三次握手,SYN Flood
23、惡意不完成第三次握手,SYN 洪水攻擊示意圖,Smurf攻擊,原理:攻擊者向一個廣播地址發(fā)送ICMP Echo請求,并且用受害者的IP地址作為源地址,于是,廣播地址網(wǎng)絡(luò)上的每臺機(jī)器響應(yīng)這些Echo請求,同時向受害者主機(jī)發(fā)送ICMP Echo-Reply應(yīng)答。于是,受害者主機(jī)會被這些大量的應(yīng)答包淹沒。受影響的系統(tǒng):大多數(shù)的操作系統(tǒng)和路由器防御:關(guān)閉外來的廣播消息配置操作系統(tǒng),對廣播地址的ICMP數(shù)據(jù)包不響應(yīng)。屏蔽ICMP數(shù)據(jù)
24、包。,Smurf攻擊示意圖,,分布式拒絕服務(wù)攻擊(DDoS),分布式拒絕服務(wù)攻擊(DDoS, distributed Denial of Service)采用與普通的DoS同樣的方法,但發(fā)起攻擊的源是多個,利用多臺計算機(jī)同時向目標(biāo)網(wǎng)站發(fā)送大量信息從而達(dá)到使對方拒絕服務(wù)的目的。,DDoS圖示,攻擊分兩個階段:第一階段:控制大量主機(jī)第二階段:發(fā)起攻擊DDoS防范:很難防范網(wǎng)絡(luò)中所有的系統(tǒng)都要安全的配置,不使之成為DDoS的源;路由
25、器/防火墻配置,過濾偽造源地址的IP包。,總結(jié):如何防止DoS攻擊?,對于網(wǎng)絡(luò)路由器和防火墻配置得當(dāng),可以減少受DoS攻擊的危險比如,禁止IP欺騙可以避免許多DoS攻擊入侵檢測系統(tǒng),檢測異常行為對于系統(tǒng)升級系統(tǒng)內(nèi)核,打上必要的補(bǔ)丁,特別是一些簡單的DoS攻擊,例如SYN Flooding關(guān)掉不必要的服務(wù)和網(wǎng)絡(luò)組件如果有配額功能的話,正確地設(shè)置這些配額監(jiān)視系統(tǒng)的運(yùn)行檢測系統(tǒng)配置信息的變化情況建立備份和恢復(fù)機(jī)制,(3)
26、 利用型攻擊,,常見的利用型攻擊:,利用型攻擊,利用型攻擊是一類試圖直接對主機(jī)進(jìn)行控制的攻擊。,特洛伊木馬,緩沖區(qū)溢出,,概述:特洛伊木馬是一種或是直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限,安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。,特洛伊木馬(Trojan Horse),特點:隱蔽性,難以察覺客戶端/服務(wù)器模式,,防御:用網(wǎng)絡(luò)掃描軟件定期監(jiān)視內(nèi)部主機(jī)上的TCP服務(wù),定期檢查
27、注冊表,定期用防病毒軟件查殺等。,警惕:不要輕易打開陌生人的信件附件不要輕易接收網(wǎng)友的小程序或打開網(wǎng)址不要到一些小的網(wǎng)站或者黑客網(wǎng)站下載軟件,緩沖區(qū)溢出(Buffer Overflows),基本的思想通過修改某些內(nèi)存區(qū)域,把一段惡意代碼存儲到一個buffer中,并且使這個buffer被溢出,以便當(dāng)前進(jìn)程被非法利用(執(zhí)行這段惡意的代碼)危害性可以上載并執(zhí)行任何的代碼溢出漏洞發(fā)掘起來需要較高的技巧和知識背景,但是,一旦有人編寫
28、出溢出代碼,則用起來非常簡單與其他的攻擊類型相比,緩沖區(qū)溢出攻擊不需要太多的先決條件殺傷力很強(qiáng)技術(shù)性強(qiáng)在Buffer Overflows攻擊面前,防火墻往往顯得很無奈,如何防范緩沖區(qū)溢出?,緩沖區(qū)溢出是代碼中固有的漏洞,除了在開發(fā)階段要注意編寫正確的代碼之外,可采取如下措施:關(guān)閉端口或服務(wù)。管理員應(yīng)該知道自己的系統(tǒng)上安裝了什么,并且哪些服務(wù)正在運(yùn)行安裝軟件廠商的補(bǔ)丁漏洞一公布,大的廠商就會及時提供補(bǔ)丁在防火墻上過濾特殊
29、的流量無法阻止內(nèi)部人員的溢出攻擊自己檢查關(guān)鍵的服務(wù)程序,看看是否有可怕的漏洞以所需要的最小權(quán)限運(yùn)行軟件,(4) 假消息攻擊,,假消息攻擊 ——用于攻擊目標(biāo)配置不正確的消息。常見的假消息攻擊:DNS高速緩存污染偽造電子郵件,DNS調(diào)整緩存污染,由于DNS服務(wù)器相互交換信息的時候并不進(jìn)行身份驗證,就使得黑客可以使用錯誤信息將用戶引向設(shè)定的主機(jī)。 防御在防火墻上過濾入站的DNS更新,在DNS服務(wù)器上設(shè)置安全認(rèn)證服務(wù)
30、。,偽造電子郵件,概述:由于SMTP并不對郵件的發(fā)送者的身份進(jìn)行簽定,因此黑客可以對內(nèi)部客戶發(fā)送電子郵件,聲稱是來自某個客戶認(rèn)識并相信的人,并附帶上可以安裝的木馬程序,或是一個引向惡意網(wǎng)站的鏈接。防御:使用e-mail安全工具并安裝電子郵件證書。,,3.3.4 后門技術(shù)與掩蓋蹤跡,實施完攻擊以后,離開被攻擊的系統(tǒng)前,往往還要為下一次的攻擊和逃避追查做一些工作,創(chuàng)建后門,清除腳印以消除入侵痕跡。,創(chuàng)建后門:,掩蓋蹤跡:,在受分割的系統(tǒng)上
31、創(chuàng)建一些機(jī)會以便日后再次進(jìn)入系統(tǒng),并希望能以管理員的身份再次控制系統(tǒng),后門種類很多,包括網(wǎng)頁后門,TELNET后門,賬號后門,木馬,系統(tǒng)后門等。,清除事件查看器日志,清除終端服務(wù)日志,隱藏文件,或?qū)θ罩咀髌茐男圆僮鳌?,,詳細(xì)闡述黑客攻擊的詳細(xì)過程。,,85,四部曲:踩點->掃描->攻擊->離開?1)踩點——信息收集,攻擊之前的準(zhǔn)備,利用whois nsloolup, ping、tracert等獲取信息;
32、 信息技術(shù)包括:網(wǎng)絡(luò)技術(shù)(網(wǎng)絡(luò)實名、新聞報道、網(wǎng)站信息、搜索引擎;查詢命令(Ping、tracert)、查詢工具等)和非網(wǎng)絡(luò)技術(shù)(社交工程、垃圾搜集、身份偽裝等)?2)掃描——安全偵測,利用自制或?qū)S脪呙韫ぞ撸?掃描器是檢測遠(yuǎn)程或本地系統(tǒng)安全脆弱性的軟件,通過與目標(biāo)主機(jī)TCP/IP端口建立連接和并請求某些服務(wù),記錄目標(biāo)主機(jī)的應(yīng)答,搜集目標(biāo)主機(jī)相關(guān)信息,從而發(fā)現(xiàn)目標(biāo)主機(jī)存在的安全漏洞。
33、 掃描器采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項檢查。 掃描器測試TCP/IP端口和服務(wù),并記錄目標(biāo)的回答。通過這種方法,可以搜集到關(guān)于目標(biāo)主機(jī)的有用信息。 ?3)攻擊——實施攻擊,建立帳戶、獲取特權(quán)、安裝木馬、全面攻擊、系統(tǒng)入侵等等。 按照攻擊的性質(zhì)及其手段,可將通常的網(wǎng)絡(luò)攻擊分為以下四個類型:口令攻擊、拒絕服務(wù)攻擊、利用型
34、攻擊、假消息攻擊?4)離開——安全撤離,實施完攻擊以后,清除腳印,消除入侵痕跡。 為下一次進(jìn)入系統(tǒng)和逃避追查做一些工作:包括創(chuàng)建后門和掩蓋蹤跡。,電子商務(wù)安全第3章 2005級本科適用,3.5 網(wǎng)絡(luò)入侵檢測,入侵檢測是繼防火墻之后的又一道防線。防火墻只能對黑客的攻擊實施被動防御,一旦黑客攻入系統(tǒng)內(nèi)部,則沒有切實的防護(hù)策略,而入侵檢測系統(tǒng)則是針對這種情況而提出的又一道防線。,,入侵檢測系統(tǒng)(intrusi
35、on detection system,IDS)是對計算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識別的系統(tǒng);它的目的是監(jiān)測和發(fā)現(xiàn)可能存在的攻擊行為,包括來自系統(tǒng)外部的入侵行為和來自內(nèi)部用戶的非授權(quán)行為,并且采取相應(yīng)的防護(hù)手段。,,88,3.4.1 網(wǎng)絡(luò)入侵檢測的原理檢測策略基于主機(jī)的檢測基于應(yīng)用程序的檢測基于目標(biāo)的檢測基于網(wǎng)絡(luò)的檢測3.4.2 網(wǎng)絡(luò)入侵檢測的主要方法異常檢測誤用檢測,89,,電子商務(wù)安全第3章 2005級本科適用
36、,基于主機(jī)入侵檢測系統(tǒng)HIDS工作原理,電子商務(wù)安全第3章 2005級本科適用,,,,,Internet,NIDS,,,,,,,基于網(wǎng)絡(luò)入侵檢測系統(tǒng)工作原理,網(wǎng)絡(luò)服務(wù)器1,,,,數(shù)據(jù)包=包頭信息+有效數(shù)據(jù)部分,客戶端,網(wǎng)絡(luò)服務(wù)器2,檢測內(nèi)容: 包頭信息+有效數(shù)據(jù)部分,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.1 增強(qiáng)的私密電子郵件(PEM)3.6.2 安全多用途網(wǎng)際郵件擴(kuò)充協(xié)議(S/MIME)3.6.3 安全超
37、文本傳輸協(xié)議(S-HTTP)3.6.4 安全套接層協(xié)議(SSL)3.6.5 安全電子交易協(xié)議(SET),92,,3.6.1 增強(qiáng)的私密電子郵件(PEM)PEM規(guī)范缺點:與同期的多用途網(wǎng)際郵件擴(kuò)充協(xié)議MIME不兼容,93,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.2 安全多用途網(wǎng)際郵件擴(kuò)充協(xié)議S/MIME電子郵件內(nèi)容的安全問題發(fā)送者身份認(rèn)證不可否認(rèn)郵件的完整性郵件的保密性S/MIME標(biāo)準(zhǔn)(Secure/Multipu
38、rpose Internet Mail Extension)設(shè)計目標(biāo):使自己能較易加入到已有的Email產(chǎn)品之中安全標(biāo)準(zhǔn):信息格式:繼承了MIME規(guī)格信息加密標(biāo)準(zhǔn):包括DES、三重DES、RC4數(shù)字簽名標(biāo)準(zhǔn):PKCS數(shù)字證書格式:X.509MIME和S/MIME,94,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.3 安全超文本傳輸協(xié)議(S-HTTP) S-HTTP 是致力于促進(jìn)以因特網(wǎng)為基礎(chǔ)的電子商務(wù)技
39、術(shù)發(fā)展的國際財團(tuán) CommerceNet協(xié)會提出的安全傳輸協(xié)議,主要利用密鑰對加密的方法來保障 Web 站點上的信息安全。,95,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.4 安全套接層協(xié)議(Secure Sockets Layer,SSL)SSL協(xié)議概述 SSL建立在TCP協(xié)議之上,它的優(yōu)勢在于與應(yīng)用層協(xié)議獨(dú)立無關(guān),應(yīng)用層協(xié)議能透明地建立于SSL協(xié)議之上。 e.g.HTTP over SSL(HTTPS),96,3.
40、6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.4 安全套接層協(xié)議(Secure Sockets Layer,SSL)SSL協(xié)議的功能SSL服務(wù)器認(rèn)證確認(rèn)用戶身份保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性SSL的體系結(jié)構(gòu)基于SSL的銀行卡支付過程,97,3.6 電子商務(wù)應(yīng)用安全協(xié)議,電子商務(wù)安全第5章 2005級本科適用,SSL提供的安全服務(wù)與實現(xiàn)步驟,SSL提供的安全服務(wù)用戶和服務(wù)器的合法性認(rèn)證using X.509v3 digital cert
41、ificates傳輸數(shù)據(jù)的機(jī)密性using one of DES, Triple DES, IDEA, RC2, RC4, …傳輸數(shù)據(jù)的完整性using MAC with MD5 or SHA-1,SSL協(xié)議實現(xiàn)的六步驟,⑴接通階段:客戶機(jī)通過網(wǎng)絡(luò)向服務(wù)器打招呼,服務(wù)器回應(yīng); ⑵密碼交換階段:客戶機(jī)與服務(wù)器之間交換雙方認(rèn)可的密碼,一般選用RSA密碼算法;⑶會談密碼階段:客戶機(jī)器與服務(wù)器間產(chǎn)生彼此交談的會談密碼; ⑷檢驗階段
42、:客戶機(jī)檢驗服務(wù)器取得的密碼; ⑸客戶認(rèn)證階段:服務(wù)器驗證客戶機(jī)的可信度; ⑹結(jié)束階段:客戶機(jī)與服務(wù)器之間相互交換結(jié)束的信息。,SSL協(xié)議與電子商務(wù),SSL 提供了用于啟動 TCP/IP 連接的安全性“信號交換”。這種信號交換導(dǎo)致客戶和服務(wù)器同意將使用的安全性級別,并履行連接的任何身份驗證要求。通過數(shù)字簽名和數(shù)字證書可實現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗證。在用數(shù)字證書對雙方的身份驗證后,雙方就可以用保密密鑰進(jìn)行安全的會話了。
43、,SSL證書保障在線服務(wù)器的安全,服務(wù)器身份驗證 —— 防假冒網(wǎng)絡(luò)信息發(fā)送內(nèi)容加密 —— 防偷窺網(wǎng)絡(luò)信息發(fā)送完整性檢測 —— 防刪節(jié)網(wǎng)絡(luò)信息發(fā)送內(nèi)容修改提醒 —— 防篡改,,應(yīng)用數(shù)據(jù),,改變密碼套,結(jié)束握手,,送出客戶端證書,,送出服務(wù)器證書,請求客戶端證書,,SSL流程,,,瀏覽器,Web服務(wù)器,SSL安全通道,客戶端證書,服務(wù)器證書,Client hello,,Server helloServer
44、 CertificateCertificate RequestServerKeyExchange,,Client CertificateClientKeyExchangeCertificate VerifyChangeCipherSpecFinished,,ChangeCipherSpecFinished,,,Application Data,Application Data,建立協(xié)議版本、會話ID、交換隨機(jī)數(shù),電子商務(wù)安
45、全第5章 2005級本科適用,SSL服務(wù)器證書工作原理介紹,第一步:身份驗證,,發(fā)證機(jī)構(gòu) — CA,,,你 是 誰?,,我是卓越服務(wù)器,身份驗證,???服務(wù)器,卓越服務(wù)器,電子商務(wù)安全第5章 2005級本科適用,SSL服務(wù)器證書工作原理介紹,第二步:發(fā)明密語規(guī)則,,密語規(guī)則,發(fā) 明,,,,原 文,密語,電子商務(wù)安全第5章 2005級本科適用,SSL服務(wù)器證書工作原理介紹,第三步:密語規(guī)則共享,,,信息保險箱,,打開保險箱,,,獲得規(guī)則,
46、電子商務(wù)安全第5章 2005級本科適用,SSL服務(wù)器證書工作原理介紹,第四步:進(jìn)行安全通信,,,,,SSL在電子商務(wù)系統(tǒng)的應(yīng)用中存在很多弊端:,SSL并不是面向電子商務(wù)而設(shè)計的,所以有很多弊端:SSL是一個面向連接的協(xié)議,在涉及多方的電子交易中,只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證,而電子商務(wù)往往是客戶、網(wǎng)站、銀行三家協(xié)作完成, SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系;購貨時客戶要輸入通信地址,這樣將可能使得客戶收到大量垃
47、圾信件。 SSL協(xié)議運(yùn)行的基點是商家對客戶信息保密的承諾。但在上述流程中SSL協(xié)議有利于商家而不利于客戶??蛻舻男畔⑹紫葌鞯缴碳?,商家閱讀后再傳到銀行,這樣,客戶資料的安全性便受到威脅。,隨著電子商務(wù)參與方的迅速增加,認(rèn)證問題越來越突出,SSL協(xié)議的缺點完全暴露出來。SSL協(xié)議逐漸被新的SET協(xié)議所取代。目前我國開發(fā)的電子支付系統(tǒng),無論是中國銀行的長城卡電子支付系統(tǒng),還是上海長途電信局的網(wǎng)上支付系統(tǒng),均沒有采用SSL協(xié)議,主要原
48、因就是無法保證客戶資金的安全性。,電子商務(wù)安全第5章 2005級本科適用,3.6.5 安全電子交易協(xié)議—— Secure Electronic Transaction,SETSET協(xié)議概述 SET是一種應(yīng)用于因特網(wǎng)環(huán)境下,以信用卡為基礎(chǔ)的安全電子支付協(xié)議。 通過SET可以實現(xiàn)電子商務(wù)交易中的加密、認(rèn)證、密鑰管理等機(jī)制,保證在開放網(wǎng)絡(luò)上使用信用卡進(jìn)行在線購物的安全。,110,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6
49、.5 安全電子交易協(xié)議——Secure Electronic Transaction,SETSET交易參與方,111,3.6 電子商務(wù)應(yīng)用安全協(xié)議,安全電子支付系統(tǒng),,持卡人,特約商店,發(fā)卡銀行,收單銀行,認(rèn)證中心,支付網(wǎng)關(guān),3.6.5 安全電子交易協(xié)議——Secure Electronic Transaction,SETSET購物流程,113,3.6 電子商務(wù)應(yīng)用安全協(xié)議,3.6.5 安全電子交易協(xié)議——Secure Ele
50、ctronic Transaction,SETSET支付信息支付發(fā)起請求/支付發(fā)起應(yīng)答(PinitReq/PinitRes)購買請求/購買應(yīng)答(Preq/Pres)授權(quán)請求/授權(quán)應(yīng)答(AuthReq/AuthRes)支付請求/支付應(yīng)答(CapReq/CapRes)SET交易流程與傳統(tǒng)銀行卡交易流程的比較SET與SSL的比較,114,3.6 電子商務(wù)應(yīng)用安全協(xié)議,實驗4:,1、網(wǎng)絡(luò)抓包軟件sniffer2、使用IE瀏覽器阻
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- Internet網(wǎng)絡(luò)安全技術(shù)研討.pdf
- internet網(wǎng)絡(luò)安全與防護(hù)措施
- Internet安全及相關(guān)技術(shù)的研究.pdf
- 基于安全標(biāo)記的Internet防范系統(tǒng).pdf
- INTERNET考試系統(tǒng)的安全策略實現(xiàn).pdf
- 通過Internet進(jìn)行電信帳單安全支付研究.pdf
- internet
- 嵌入式Internet的安全性研究.pdf
- Internet網(wǎng)絡(luò)安全與防火墻技術(shù).pdf
- explorer中internet區(qū)域web內(nèi)容指定安全設(shè)置
- internet基礎(chǔ)
- 《internet技術(shù)》第9章internet的應(yīng)用
- 基于公鑰基礎(chǔ)結(jié)構(gòu)(PKI)的Internet安全研究.pdf
- 《網(wǎng)絡(luò)協(xié)議與網(wǎng)絡(luò)安全》第04講 internet協(xié)議
- Internet安全網(wǎng)關(guān)蠕蟲過濾技術(shù)的研究.pdf
- 基于Internet的電子政務(wù)安全解決方案.pdf
- internet入門
- the internet age
- 15 第五模塊 internet應(yīng)用 internet概況 內(nèi)容
- internet應(yīng)用基礎(chǔ)
評論
0/150
提交評論