信息系统安全课程设计.docx
《信息系统安全课程设计.docx》由会员分享,可在线阅读,更多相关《信息系统安全课程设计.docx(10页珍藏版)》请在冰豆网上搜索。
信息系统安全课程设计
-CAL-FENGHAI.-(YICAI)-CompanyOne1-CAL-本页仅作为文档封面,使用请直接删除
信息系统安全课程设计(川大)(总11页)
信息系统安全课程设计
题目传统网络协议的安全性
学院计算机(软件)学院
专业计算机科学与技术
学生姓名 刘佳玉
学号20年级大三
指导教师冯子亮
二Ο一五年六月九日
传统网络协议的安全性
计算机科学与技术专业
学生刘佳玉指导教师冯子亮
摘要
随着Internet的发展,电子商务已经逐渐成为人们进行商务活动的新模式。
越来越多的人通过Internet进行商务活动。
电子商务的发展前景十分诱人,而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。
电子商务的一个重要技术特征是利用IT技术来传输和处理商业信息。
因此,电子商务安全从整体上可分为两大部分:
计算机网络安全和商务交易安全。
计算机网络设备安全、计算机网络系统安全、数据库安全等。
其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络的基础上,如何保障电子商务过程的顺利进行。
即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。
没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。
没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。
关键词:
电子商务,计算机网络安全和商务
背景
当许多传统的商务方式应用在Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。
电子商务的大规模使用虽然只有几年时间,但不少公司都已经推出了相应的软、硬件产品。
由于电子商务的形式多种多样,涉及的安全问题各不相同,但在Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。
一般来说商务安全中普遍存在着以下几种安全隐患:
窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。
通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
这种方法并不新鲜,在路由器或网关上都可以做此类工作。
假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
因此,电子商务的安全交易主要保证以下四个方面:
信息保密性
交易中的商务信息均有保密的要求。
如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。
交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。
要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。
因此能方便而可靠地确认对方身份是交易的前提。
不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。
否则必然会损害一方的利益。
因此电子交易通信过程的各个环节都必须是不可否认的。
不可修改性
交易的文件是不可被修改的,否则也必然会损害一方的商业利益。
因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。
概述
很多传统网络协议是没有考虑任何网络安全因素的,其表现形式是用户名和口令的明文传输。
比如,ftp,telnet,pop3,smtp甚至不需要验证用户
很多网站的用户名/密码传送,也用明文
网络分析工具
嗅探器是常用的网络分析工具
在网络编程中,把网卡绑定为混杂模式,就可以监听到本网段所有设备的上行和下行数据
可针对无线路由器
可针对集线器/HUB
针对交换机通常情况下无效,除非…
早期最著名的网络嗅探器包括:
Sniffer
Net-Xray
Windows平台上可用的免费/开源软件
WinPcap,抓包软件
WireShark,网络分析软件
WinPcap介绍:
winpcap(windowspacketcapture)是windows平台下一个免费,公共的网络访问系统。
开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。
它用于windows系统下的直接的网络编程。
winpcap的主要功能在于独立于主机协议(如TCP-IP)而发送和接收原始数据包。
也就是说,winpcap不能阻塞,过滤或控制其他应用程序数据包的发收,它仅仅只是监听共享网络上传送的数据包。
因此,它不能用于QoS调度程序或个人防火墙。
winpcap开发的主要对象是windowsNT/2000/XP,这主要是因为在使用winpcap的用户中只有一小部分是仅使用windows95/98/Me,并且MS也已经放弃了对win9x的开发。
因此本文相关的程序T-ARP也是面向NT/2000/XP用户的。
其实winpcap中的面向9x系统的概念和NT系统的非常相似,只是在某些实现上有点差异,比如说9x只支持ANSI编码,而NT系统则提倡使用Unicode编码。
有个软件叫snifferpro.可以作网管软件用,有很多功能,可监视网络运行情况,每台网内机器的数据流量,实时反映每台机器所访问IP以及它们之间的数据流通情况,可以抓包,可对过滤器进行设置,以便只抓取想要的包,比如POP3包,smtp包,ftp包等,并可从中找到邮箱用户名和密码,还有ftp用户名和密码。
它还可以在使用交换机的网络上监听,不过要在交换机上装它的一个软件。
还有一个简单的监听软件叫Passwordsniffer,可截获邮箱用户名和密码,还有ftp用户名和密码,它只能用在HUB网络上。
著名软件tcpdump及idssnort都是基于libpcap编写的,此外Nmap扫描器也是基于libpcap来捕获目标主机返回的数据包的。
WireShark介绍:
Wireshark(前称Ethereal)是一个网络封包分析软件。
网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
网络封包分析软件的功能可想像成"电工技师使用电表来量测电流、电压、电阻"的工作-只是将场景移植到网络上,并将电线替换成网络线。
在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。
Ethereal的出现改变了这一切。
在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。
Ethereal是目前全世界最广泛的网络封包分析软件之一。
pop3协议分析
pop3简介:
POP3,全名为“PostOfficeProtocol-Version3”,即“邮局协议版本3”。
是TCP/IP协议族中的一员,由RFC1939定义。
本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。
提供了SSL加密的POP3协议被称为POP3S。
POP协议支持“离线”邮件处理。
其具体过程是:
邮件发送到服务器上,电子邮件客户端调用邮件客户机程序以连接服务器,并下载所有未阅读的电子邮件。
这种离线访问模式是一种存储转发服务,将邮件从邮件服务器端送到个人终端机器上,一般是PC机或MAC。
一旦邮件发送到PC机或MAC上,邮件服务器上的邮件将会被删除。
但目前的POP3邮件服务器大都可以“只下载邮件,服务器端并不删除”,也就是改进的POP3协议。
分析步骤:
安装
设置邮件用户名、pop3服务器、密码
注意不选择SSL
启动WireShark抓包
在foxmail中选择收取邮件
待登录成功后停止抓包
选择pop协议过滤
分析结果:
用户名和密码都是明文
ftp协议分析
ftp协议简介:
FTP(FileTransferProtocol,文件传输协议)是TCP/IP协议组中的协议之一。
FTP协议包括两个组成部分,其一为FTP服务器,其二为FTP客户端。
其中FTP服务器用来存储文件,用户可以使用FTP客户端通过FTP协议访问位于FTP服务器上的资源。
在开发网站的时候,通常利用FTP协议把网页或程序传到Web服务器上。
此外,由于FTP传输效率非常高,在网络上传输大的文件时,一般也采用该协议。
默认情况下FTP协议使用TCP端口中的20和21这两个端口,其中20用于传输数据,21用于传输控制信息。
但是,是否使用20作为传输数据的端口与FTP使用的传输模式有关,如果采用主动模式,那么数据传输端口就是20;如果采用被动模式,则具体最终使用哪个端口要服务器端和客户端协商决定。
分析步骤:
安装ftp服务器Serv-U,设置服务器
启动抓包
使用ftp客户端登录
停止抓包
选择ftp协议过滤器
分析结果:
用户名和密码都是明文
HTTP协议分析
http协议简介:
超文本传输协议(HTTP,HyperTextTransferProtocol)是互联网上应用最为广泛的一种网络协议。
所有的WWW文件都必须遵守这个标准。
设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。
1960年美国人TedNelson构思了一种通过计算机处理文本信息的方法,并称之为超文本(hypertext),这成为了HTTP超文本传输协议标准架构的发展根基。
TedNelson组织协调万维网协会(WorldWideWebConsortium)和互联网工程工作小组(InternetEngineeringTaskForce)共同合作研究,最终发布了一系列的RFC,其中著名的RFC2616定义了HTTP。
HTTP是一个客户端和服务器端请求和应答的标准(TCP)。
客户端是终端用户,服务器端是网站。
通过使用Web浏览器、网络爬虫或者其它的工具,客户端发起一个到服务器上指定端口(默认端口为80)的HTTP请求。
(我们称这个客户端)叫用户代理(useragent)。
应答的服务器上存储着(一些)资源,比如HTML文件和图像。
(我们称)这个应答服务器为源服务器(originserver)。
在用户代理和源服务器中间可能存在多个中间层,比如代理,网关,或者隧道(tunnels)。
尽管TCP/IP协议是互联网上最流行的应用,HTTP协议并没有规定必须使用它和(基于)它支持的层。
事实上,HTTP可以在任何其他互联网协议上,或者在其他网络上实现。
HTTP只假定(其下层协议提供)可靠的传输,任何能够提供这种保证的协议都可以被其使用。
分析步骤与前面相似
分析结果:
用户名与密码相同
实验收获
从实验本身来讲,我了解了一些网络协议的相关内容,学会了使用抓包软件对不同协议的包进行截获并进行简单的分析
从更高层次的角度来讲,每种事物都具有两面性,网络也是如此,网络在给我带来巨大的便捷的同时,也会给我们带来一些安全隐患,这些安全隐患可能会对我们私人财产甚至人身安全造成不可估计的损失,所以我们在享受网络的方便的同时尽量避免网络的危害
升级会员 