信息安全与网络防御毕业论文Word下载.doc

1、第一章 网络安全技术的根源11.2 计算机网络攻击的特点21.3 信息网络研究意义2第二章 计算机网络安全技术以及防范42.1 配置防火墙42.2 网络病毒的防范42.3 采用入侵检测系统4第三章 SQL注入攻击实例分析63.1 工具注入攻击63.2 SQL注入Access数据库实现过程103.3 MSSQL数据库的注入113.4 SQL注入攻击12第四章 以搜索引擎、云存储、地图服务为例来进行分析14第五章 结束语15致谢16参考文献17摘 要由于现今信息技术发展迅速，网络信息安全越来越成为虚拟网络中不可或缺的一部分。然而，因为各种Web服务器的漏洞与程序的非严密性，导致针对服务器的脚本攻击

2、时间日益增多，其大多数是通过ASP或者PHP等脚本主图作为主要攻击手段，加之Web站点迅速膨胀的今天，基于两者的SQL注入也慢慢成为目前攻击的主流方式。其应用方式主要集在利用服务端口接收用户输入的功能，将构造的语句传给数据库服务器，让其执行者开发者规定外的任务。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性本文针对SQL注入技术进行专题研究，进行工具注入和手动注入两种途径的实验分析。 关键词：SQL数据、SQL注入、权限、网络防御策略、信息安全、网络技术前 言由于Internet的普及与应用，通信技术和计算机网络技术得到了迅猛发展，特别是国

3、际互联网的出现，使得计算机以前所未有的速度应用于如政府、商务、企业、教育、医疗等社会的各个领域，这些都深刻地影响着人们的经济、工作和生活方式。而以计算机联网来交流信息的方式已经成为现代社会的主流趋势，信息化水平已经成为衡量一个国家现代化程度和综合国力的重要标志。随着计算机网络的发展，网络与人们的生活结合的越来越紧密，网络的普及，随之而来的网络安全是每个网络管理者必须面对的问题。网络攻击与防范永远是个此消彼长的过程，攻击方法的不断演进，防范措施必须与时俱进。网络攻击方法主要分为以下几类：拒绝服务（DoS：Denial of Service）、缓冲区溢出、IP欺骗以及网络监听等，其中拒绝服务与缓冲

4、区溢出是黑客常采用的攻击方法。与此同时，网络的发展与信息化技术的提高也促使着网络运行与网络内容的安全这一关键性问题渐渐得到了人们的关注，信息安全也从起初简单的设计扩展到了多领域多层次的研究阶段。第一章 网络安全技术的根源随着社会信息化的发展，现在不只是军事、政府、企业往来，甚至日常生活之间的信息交往都热切的需要信息安全技术的保障。（1） 网络开放性引发的攻击因为越来越多拥有不同企图、不同背景的网络终端客户介入到互联网环境中，互联网已经不再是当初以科技和教育为初衷的校园互信环境，加之网络用户可以轻易的获取核心技术资料，开放源代码的应用程序，由于其公开代码的特点也使得众多准攻击者有了用武之地。（2

5、）口令入侵口令入侵是指使用某些用户的账号以及口令登录主机，实施攻击活动，而这些用户都是合法的。这种方法是以得到该主机的合法账号为前提，然后对用户口令破译。 （3）欺骗技术在网上用户可以利用IE测览器进行Web站点的访问。如咨询产品价格、阅读新闻组、电子商务、订阅报纸等。然而一般的用户应该不会想到这些问题的存在，例如，正在访问的网页是被黑客篡改过的、网页t的信息是虚假的等。黑客将用户要浏览的网页的URL改写为指向黑客的服务器，当用户浏览目标网页的时候，新的安全漏洞义将不断涌现。网络攻击就是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。（4）安全意识 广大网络用户普遍安全意识淡薄，这也是导致了

6、黑客攻击层出不穷，利用计算机犯罪的案例与日俱增的主要原因之一。1.1 网络信息安全的定义 信息安全这个领域始于上个世纪60年代，起初只是对专用主机及其数据进行保护，本质上只是面向单机的。发展到80年代，由于微机的广泛出现促成了局域网的发展，此时信息安全的侧重点是依靠技术与网络约定来进行保护，实施的范围相对狭小，而到了90年代，互联网的蓬勃发展，把各个地区的终端计算机用网络连接起来，实现了全球范围的资源共享，但信息在处理、传输、存储等网络各个环节方面都存在着脆弱性，极易被劫获、监听、篡改、删除或添加隐藏恶意代码等。因此，可以说在进入21世纪后，信息安全才真正成为信息技术发展的核心任务。1.2 计

7、算机网络攻击的特点（1）威胁社会安全有些计算机网络攻击者将军事部门和政府部门的计算机作为主要的攻击目标，从而对社会和国家的安全造成巨大的威胁。（2）攻击损失很大由于攻击以及侵害的对象是网络上的计算机，每一次的成功攻击，都会给广大的计算机用户以及企业等带来很大灾难，严重的甚至会带来系统瘫痪、数据丢失甚至被窃。（3）攻击手段多样并且隐蔽计算机攻击者可以通过截取别人的订令和账号进入别人的计算机，还町以通过监视网络的数据获取另人的保密信息，即使人们精心设计了防火墙，攻击者也可以用一些特殊的方法绕过，这些过程可以在很短的时间内完成，攻击隐蔽性很强。1.3 信息网络研究意义基于它们的网络安全相关研究工作还

8、远不能达到实际需求，其中很重要的原因就是由于前所未有的网络发展速度、攻击所涉及的技术也相对复杂、网络用户还没偶能力预测未来的攻击方式与途径，所以也就更没有能力在一个技术的高度上提出全面的解决方案。结合现状，本文从几个方面进行网络数据库与Web服务器安全的价值：1） 系统敏感信息的非法访问尤其在代表着政府形象和企业形象的Web服务器和数据库服务器，都保存着重要的数据信息，如果与Web服务器的搭配不恰当会被攻击者蓄意输入恶意代码导致敏感信息如电子货币、信用卡卡号的泄露，造成极大的社会危害。2） 技术层面的挑战网络安全技术层而而临的挑战是网络病毒的传播以及黑客的入侵。从网络病毒方面来讲，病毒可以按在

9、网络条件中呈指数增长模式进行传染。在病毒侵入计算机网络以后，会导致计算机效率急剧地F降。系统资源遭到破坏，在短时间内造成网络系统瘫痪。因此网络环境下的病毒防治是计算机反病毒领域的研究重点。3）网络安全技术针对于众多的网络安全问题,在技术都提出了相应的解决方案。现今的网络安全技术有以下几个方面:（1）基于网络防火墙技术。防火墙是设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,通常是包含软件部分和硬件部分的一个系统或多个系统的组合。防火墙技术是通过允许、拒绝或重新定向经过防火墙的数据流,防止不希望的、未经授权的通信进出被保护的内部网络,并对进、出内部网络的服务和访问进行审计和控制,

10、本身具有较强的抗攻击能力,并且只有授权的管理员方可对防火墙进行管理,通过边界控制来强化内部网络的全。（2）基于VPN技术。VPN（VirtualPrivateNetwork,虚拟专用网络）是指利用公共网络建立私有专用网络。VPN利用公共网络基础设施为企业各部门提供安全的网络互联服务,能够使运行在VPN之上的商业应用享有几乎和专用网络同样的安全性、可靠性、优先级别和可管理性。（3）基于IDS（入侵检测系统）技术。入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。第二章 计算机网络安全技术以及防范2.1 配

11、置防火墙利用防火墙，在网络通信时执行访问控制尺度，允许防火墙同意访问的人和数据进入自己的内部网络，将不允许的用户和数据拒之f-#b，最大限度去阻止网络中黑客访问自己的网络，以防止黑客随意地更改、移动、删除网络上的重要信息。防火墙是一种行之有效日应用广泛的网络安伞机制，防止互联网上的不安全因素蔓延到局域网的内部，所以，防火墙是网络安伞的很重要一环。2.2 网络病毒的防范在网络环境中，病毒传播扩散很快，仅仅用单机来防病毒已经很难彻底地清除网络病毒，应该有适合局域网的全方位防病毒产品。例如，校园网络是内部局域网，就需要一个以服务器操作系统平台为基础的防病毒软件以及针对各种桌面操作系统的有效的防病毒软

12、件。而且，如果与互联网相连，还需要网关防病毒软件，来加强卜网计算机的安全。如果是在网络的内部使用电子邮件来进行信息交换，还需要一套邮件服务器平台为基础的邮件防病毒软件，从而识别出隐藏在电子邮件以及附件中的病毒，所以最好用全方位防病毒产品，来针对网络中所有的病毒攻击点设置相对应的防病毒软件。通过伞方位和多层次的防病毒系统，并且通过定期或者不定期自动升级，来使网络免受病毒侵袭。2.3 采用入侵检测系统入侵检测技术是为了保证计算机系统安全而设计以及配置的一种能够比较及时地发现，并且报告系统中未授权或者异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。如果在入侵检测系统中利用审计记录，

13、那么入侵检测系统就能够识别出任何不希望发生的活动，从而达到限制这些活动的目的，用以保护系统的安全。如果是在校园网络中采用入侵检测技术，那么最好是采用混合入侵检测系统，同时采用基于网络以及主机的入侵检测系统，构架成一套完整的、立体的主动防御体系。1.2 以上是网络信息防御技术图1.3 网络安全防御检测第三章 SQL注入攻击实例分析本次的SQL注入攻击实验主要分为工具注入和手动注入两种方式。下文将针对这个两种注入过程以图文结合的方式详细展示。3.1 工具注入攻击3.1.1打开网页判断是否可以攻击 将首页的地址复制到工具中如图单机“开始扫描” 如图 ：检测失败并不代表不可以此网站不可以注入哦! 点击

14、其他链接 （尤其是网站内容链接） ，因为现在的网站绝大部分是都是以模板为基础的，所以导航栏的链接的URL一般是不可以注入的.将网站的新闻链接的URL copy 到工具中表示此网站可以注入。3.1.2猜测 数据库的表名可以用工具知道数据库的名字，当前的权限SA （在下面我会讲讲SA权限的利用）得到 账户 admin admin9812 libo libo 3.1.3用工具检测网站管理员的登录后台 单击扫描后台地址，可以得到后台登录的地址 如图：3.1.4登录网站后台然后你就可以添加用户， 修改网页 ，添加内容了修改首页3.1.5 SA权限数据库的超级用户单击“命令行”软件会提供一个具有管理员权限的shell界面写入命令（dos命令） 添加用户将heike 加入管理员组中，（当然也可加入其它组中）在这里我觉得有必要写一下dos下关于账户的命令： 2 ）得到本地主机的用户列表 net user 3 ）显示本地某用户的帐户信息 net user 帐户名 4 ）显示本地主机当前启动的服务 net start 5 ）启动 / 关闭本地服务 net start 服务名 net stop 服