网络攻击与防护论文.doc
《网络攻击与防护论文.doc》由会员分享,可在线阅读,更多相关《网络攻击与防护论文.doc(15页珍藏版)》请在冰豆网上搜索。
江西理工大学应用科学学院
《网络攻击与防御》课程作业论文
题目:
网络防御技术与安全管理
系别:
__信息工程系______
班级:
网络091
姓名:
_王新宇__________
成 绩:
_____________________
二〇一二年四月
网络防御技术
摘要:
随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。
但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安全和保密是一个至关重要的问题。
无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁。
故此,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
关键字:
网络威胁加密技术网络防御网络攻击防火墙
Abstract:
Alongwiththecomputernetworkunceasingdevelopment,theglobalinformationhasbecomethedevelopmentofthehumanracethemajortendency.Butbecausethecomputernetworkhasjointformcharacteristicsandsoonmultiplicity,terminaldistributionnon-uniformityandnetworkopenness,connectivity,causenetworkeasilyhacker,strangeguest,malicioussoftwareandotherillegalattacks,thereforeonthenettheinformationsecurityandthesecurityareaveryimportantquestion.
RegardlessofisinthelocalareanetworkorinWAN,allhasthenatureandartificialandsoonmanyfactorvulnerabilitiesandthelatentthreat.Therefore,thenetworksecuritymeasureshouldbecanOmni-directionalinviewofeachkindofdifferentthreatandthevulnerability,likethiscanguaranteethenetworkinformationthesecrecy,theintegrityandtheusability.
Keyword:
NetworkthreatEncryptiontechnologyNetworkdefense
NetworkattackFirewall
ARP协议即地址解析协议AddressResolutionProtocol,ARP协议是将IP地址与网络物理地址一一对应的协议。
负责IP地址和网卡实体地址(MAC)之间的转换。
也就是将网络层(IP层,也就是相当于ISOOSI的第三层)地址解析为数据连接层(MAC层,也就是相当于ISOOSI的第二层)的MAC地址。
如果您对网路七层协定有比较清晰的理解的话应该知道各个层级之间都使用其各自的协定。
一张ARP的表,用来支持在MAC地址和IP地址之间的一一对应关系。
它提供两者的相互转换。
1,ARP协议欺骗技术
当我们设定一个目标进行ARP欺骗时,也就是把MAC地址通过一主机A发送到主机B上的数据包都变成发送给主机C的了,如果C能够接收到A发送的数据包后,第一步属于嗅探成功了,而对于主机A来目前是不可能意识到这一点,主机C接收到主机A发送给主机B的数据包可没有转交给B。
当进行ARP重定向。
打开主机C的IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。
但是这就是ARP协议欺骗真正的一步,假如主机C进行发送ICMP重定向的话就麻烦了,因为他可以直接进行整个包的修改转发,捕获到主机A发送给的数据包,全部进行修改后再转发给主机B,而主机B接收到的数据包完全认为是从主机A发送来的。
这样就是主机C进行ARP协议欺骗技术,对于网络安全来是很重要的。
当然还可以通过MAC地址进行欺骗的。
2,ARP协议欺骗技术相应对策
各种网络安全的对策都是相对的,主要要看网管平时对网络安全的重视性了。
下面介始一些相应的对策:
1)在系统中建立静态ARP表,建立后对本身自已系统影响不大的,对网络影响较大,破坏了动态ARP解析过程。
静态ARP协议表不会过期的,我们用“arp-d”命令清除ARP表,即手动删除。
但是有的系统的静态ARP表项可以被动态刷新,如Solaris系统,那样的话依靠静态ARP表项并不能对抗ARP欺骗攻击,相反纵容了ARP欺骗攻击,因为虚假的静态ARP表项不会自动超时消失。
当然,可以考虑利用cron机制补救之。
(增加一个crontab)为了对抗ARP欺骗攻击,对于Solaris系统来说,应该结合"禁止相应网络接口做ARP解析"和"使用静态ARP表"的设置
2)在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击),可以做静态ARP协议设置(因为对方不会响应ARP请求报文)如:
arp-sXXX.XXX.XX.X08-00-20-a8-2e-ac
在绝大多数操作系统如:
Unix,BSD,NT等,都可以结合"禁止相应网络接口做ARP解析"和"使用静态ARP表"的设置来对抗ARP欺骗攻击。
而Linux系统,其静态ARP表项不会被动态刷新,所以不需要"禁止相应网络接口做ARP解析"即可对抗ARP欺骗攻击。
随着文明的不断进步和科技的发展,人类对于改善环境条件和防御自然灾害的能力会慢慢趋向成熟。
人为因素一直都是威胁网络安全的最大因素,因为人是最不稳定的因素,任何事情只要加入了人的因素就没有绝对的确定性。
科技的进步也代表了人的进步所以,世界上没有完美的事物也就代表了没有完美的防御,也就是不管科技怎么发展也都还有突破口,那么黑客既有能力进入你的网络。
即使在理论上虚拟网络中有完美的防御,而有人能在现实中拿到他想要的,那网络的安全几乎为零,社会工程学不管在虚拟网络还是现实中都是很危险的而掌握社会工程学的是人,因此人为因素是威胁网络安全的最大因素也是永久因素。
二、加密技术
加密技术:
即是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文)译成代码形式(又称密文),其逆过程就是解码(解码)。
加密技术的要点是加密算法,加密算法可以分为对称加密、非对称加密和不可逆加密三类算法。
2.1对称加密算法
在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特殊加密算法处理后,使其变成复杂的加密密文发送出去。
收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才能使其恢复成可读明文。
如图所示:
加密
明文
密钥
密文
解密
密文
密钥
明文
加密者
解密者
在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就要求解密方事先必须知道加密密钥。
对称加密算法的特点是:
算法公开;计算量小;加密速度快;加密效率高。
不足之处是:
交易双方都使用同样的密钥,安全性得不到保证;每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一密钥,这会使得发收信双方所拥有的密钥数量成几何级数增长,密钥管理成为用户的负担。
对称算法的加密和解密表示为:
EK(M)=C
DK(C)=M
2.2非对称加密算法(公开密钥算法)
非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙——公钥和私钥。
在使用非对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能完成对明文的加密和解密过程。
公钥和私钥:
公钥就是公布出来,所有人都知道的密钥,它的作用是供公众使用。
私钥则是只有拥有者才知道的密钥。
加密明文时采用公钥加密,解密密文时使用私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是惟一知道自己私钥的人。
如下图:
加密
明文
加密(公钥Kpublic)
密文
解密
密文
解密(私钥Kprivate)
明文
加密者
解密者
非对称加密算法的基本原理是:
(1)如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文。
(2)收信方收到加密密文后,使用自己的私钥才能解密密文。
显然,采用非对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥。
非对称算法的公开密钥K1加密表示为:
EK1(M)=C。
公开密钥和私人密钥是不同的,用相应的私人密钥K2解密可表示为:
DK2(C)=M。
广泛应用的非对称加密算法有RSA算法和美国国家标准局提出的数字签名算法DSA。
由于非对称算法拥有两个密钥,因而特别适用于分布式系统中的数据加密。
DES(DataEncryptionStandard)算法,是一种用56位密钥来加密64位数据的方法。
RSA算法是第一个能同时用于加密和数字签名的算法。
根据RSA算法的原理,可以利用C语言实现其加密和解密算法。
RSA算法比DES算法复杂,加解密的所需要的时间也比较长。
2.3不可逆加密算法
不可逆加密算法的特征是:
加密过程中不需要使用密钥,输入明文后,由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密。
显然,在这类加密过程中,加密是自己,解密还得是自己,而所谓解密,实际上就是重新加一次密,所应用的“密码”也就是输入的明文。
不可逆加密算法不存在密钥保管和分发问题,非常适合在分布式网络系统上使用,但因加密计算复杂,工作量相当繁重,通常只在数据量有限的情形下使用,如广泛应用在计算机系统中的口令加密,利用的就是不可逆加密算法。
2.4PGP加密技术
本例介绍目前常用的加密工具PGP,使用PGP产生密钥,加密文件和邮件。
PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件,提出了公共钥匙或不对称文件的加密技术。
由于RSA算法计算量极大,在速度上不适合加密大量数据,所以PGP实际上用来加密的不是RSA本身,而是采用传统加密算法IDEA,IDEA加解密的速度比RSA快得多。
PGP随机生成一个密钥,用IDEA算法对明文加密,然后用RSA算法对密钥加密。
收件人同样是用RSA解出随机密钥,再用IEDA解出原文。
2.4.1.使用PGP加密文件
使用PGP可以加密本地文件,右击要加密的文件,选择PGP菜单项的菜单“Encrypt”,如下图所示:
系统自动出现对话框,让用户选择要使用的加密密钥,选中一个密钥,点击按钮“OK”,如下图所示:
目标文件被加密了,在当前目录下自动产生一个新的文件,如图所示:
打开加密后的文件时,程序自动要求输入密码,输入建立该密钥时的密码
升级会员 