网络安全的相关技术文档格式.docx

网络安全的相关技术文档格式.docx

《网络安全的相关技术文档格式.docx》由会员分享，可在线阅读，更多相关《网络安全的相关技术文档格式.docx（14页珍藏版）》请在冰豆网上搜索。

1.2.1口令入侵........................................3

1.2.2通过木马程序进行入侵或发动攻击..................4

1.2.3开放端口漏洞攻击................................4

1.2.4社会工程学......................................5

1.2.5拒绝服务攻击....................................5

1.3网络安全策略........................................6

1.4网络安全防范措施6

2网络安全的相关技术.....................................6

2．1防火墙技术.........................................6

2.1.1防火墙..........................................6

2.1.2防火墙主要技术..................................6

2.2公开密钥密码技术.....................................7

2.3访问控制技术........................................8

2.3.1访问控制....................................8

2.3.2几种常用的访问控制模型..........................9

2.4入侵检测技术........................................9

2.5其它安全技术简介.................................11

3结束语....................................................11

4参考文献..................................................11

绪论

计算机网络是一个开放和自由的空间，它在大大增强信息服务灵活性的同时，也带来了众多安全隐患，黑客和反黑客、破坏和反破坏的斗争愈演愈烈，不仅影响了网络稳定运行和用户的正常使用，造成重大经济损失，而且还可能威胁到国家安全。

如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。

本文通过深入分析网络安全面临的挑战及攻击的主要方式，从技术这方面就加强计算机网络安全提出针对性建议。

1．计算机网络安全

1.1计算机网络安全概述

网络安全从其本质上来讲，就是网络上的信息安全。

从广义上说，凡是涉及到网络信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。

一般认为，网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常运行，网络服务不被中断。

随着网络安全技术不断发展，计算机网络安全的具体含义会随着使用者的变化而变化，使用者不同，对网络安全的认识和要求也就不同。

例如从普通使用者的角度来说，可能仅仅希望个人隐私或机密信息在网络上传输时受到保护，避免被窃听、篡改和伪造；

而网络提供商除了关心这些网络信息安全外，还要考虑如何应付突发的自然灾害、军事打击等对网络硬件的破坏，以及在网络出现异常时如何恢复网络通信，保持网络通信的连续性。

从本质上来讲，网络安全包括组成网络系统的硬件、软件及其在网络上传输信息的安全性，使其不致因偶然的或者恶意的攻击遭到破坏，网络安全既有技术方面的问题，也有管理方面的问题。

1.2常见的几种网络入侵方法

由于计算机网络的设计初衷是资源共享、分散控制、分组交换，这决定了互联网具有大跨度、分布式、无边界的特征。

这种开放性使黑客可以轻而易举地进入各级网络，并将破坏行为迅速地在网络中传播。

同时，计算机网络还有着自然社会中所不具有的隐蔽性：

由于互联网上信息以二进制数码，即数字化的形式存在，计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞，从而导致各种被攻击的潜在危险层出不穷，这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战，黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法：

1.2.1口令入侵

要入侵系统首先阻碍黑客的将是网络管理员的第一道安全防线－合法的用户名与口令，它决定乐你在该网站的权限，所以口令入法可以说是黑客的基础。

首先获得一个字典文件，它是一个单词表。

把这些单词用用户的加密程序进行加密，再然后把每个单词加密后的结果与目标加密后的结果进行比较如果匹配，则该单词就是加密关键字。

现在已经有了一些程序能帮助黑客完成上面的工作，使解密变的由其简单，而黑客要作的就是把加密后的口令文件抓回来，这些工具（如Carck 

） 

使得入侵电脑网络系统有时变得相当简单，一般不需要很深入了解系统的内部结构，是初学者的好方法。

1.2.2通过木马程序进行入侵或发动攻击

特洛伊木马是 

Trojan 

Horse 

的中译，是借自"

木马屠城记"

中那只木马的名字。

现今计算机术语借用其名，意思是"

一经进入，后患无穷"

。

木马程序不外乎也就是基于TCP／IP协议的客户端／服务端程序。

（当然现在也有很B/S（Browser/Server）发展的）。

C/S架构木马通常有两个可执行程序：

一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是“服务器”部分，（如VB中通过Winsock控件连接）很多人对木马和远程控制软件有点分不清，因为木马程序就要通过木马程序驻留目标机器后通过远程控制功能控制目标机器，有破坏性和隐蔽性，而远程控制则是经过服务端使用者允许，为良性。

木马程序通常依附于系统已有的程序，有些把服务器端和正常程序绑定成一个程序的软件,，甚至有个别木马程序能把它自身的exe文件和服务器端的图片文件绑定（常见于网马入侵服务器拿webshell）木马不会产生图标（这一点很简单，在VB设计视图中”Form”的“Visible”属性设置为“False”、把“ShowintaskBar”属性设置为“False”即可。

）现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。

（有些分别依附于两个程序，成为两个甚至多个线程的）木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件不是用来黑对方的机器的。

1.2.3开放端口漏洞攻击

如果把IP地址比作一间房子，端口就是出入这间房子的门。

如果门锁不牢固甚至根本没有锁，黑客便可以轻易进来。

常见的容易被黑客利用的端口：

25（SMTP服务），很多著名木马都通过它控制主机。

67、68：

Bootp服务常常会被黑客利用分配的一个IP地址作为局部路由器通过“中间人”（man-in-middle）方式攻击（少见）。

110（POP3协议）和143（IMAP协议）一样，存在缓冲溢出漏洞，通过该漏洞可以获取用户名和密码。

135（RPC和DCOM监听端口之一）：

前几年的135肉鸡（被控制的服务器）随处可见，RPC本身在处理通过TCP/IP的消息交换部分有一个漏洞，该漏洞是由于错误地处理格式不正确的消息造成的。

139（NetBIOSSession 

Service）为Windows提供文件及打印共享比如使用流光、SuperScan等端口扫描工具，可以扫描目标计算机的139端口，如果发现有漏洞，可以试图获取用户名和密码，这是非常危险的。

1433（SQLServer默认）某人曾经说过如果你看到一台电脑开放1433端口并且你扫到其口令，恭喜你发财了，这个端口一般是大型服务器开的，而且可以利用SA弱口令入侵，网上流传n多视频教程。

3389（远程桌面）如果3389弱口令被扫描到，你的电脑已经落到黑客手里了（原因不用解释）

1.2.4社会工程学

社会工程学总体上来说就是一门使人们顺从你的意愿，满足你的欲望的艺术与学问。

曾经有人说过，最安全的计算机往往是拔掉网线的那一台，但是，他忽略了网络安全中最薄弱的环节往往是人，通过社工，我们完全可以让人（使用者）重新插上网线，由此我们可以看出，社会工程学在网络安全中的重要性。

我觉得实现彻底的信息安全，几乎是不可能的事情。

建立基本的对信息的保护，可用的手段有防火墙技术，使用用户认证产品，数据库加密，虚拟专用网等，我们可以不断追求技术的完善，来抵制各种可能的威胁，在某种程度上看，这也许像是和电脑黑客的一场军备竞赛，没有谁会是最后的赢家，其产生的结果是技术的不断创新，不断向前推进。

但是计算机本身就少不了人的参与，实现计算机的用途还是需要人的操作，人作为信息安全防护上的软肋，很容易成为黑客攻击的目标，在他们眼中，几个简单的电话就会让大量时间和金钱构筑的安全网形同虚设。

很多时候，就算是对此处处小心谨慎的人也很容易落入圈套，不得不说社会工程构筑的信息安全问题必须引起人们足够的重视，我曾经通过一个比较弱的网站入侵了5台安全措施技术做得很好的服务器（前面花了好几个月都没办法），并不是我技术好，而是服务器管理员重复使用同一个口令管理他的服务器。

由此可以看出社会工程学的重要。

1.2.5拒绝服务攻击

拒绝服务攻击即攻击者想办法让目标机器停止提供服务或资源访问（通常是出于得不到对方就毁灭之的想法）。

常见的方式如

SYN（Three-wayHandshake）FloodYNflood是一种黑客通过向服务端发送虚假的包以欺骗服务器的做法。

具体说，就是将包中的原IP地址设置为不存在或不合法的值。

服务器一旦接受到该包便会返回接受请求包，但实际上这个包永远返回不到来源处的计算机。

这种做法使服务器必需开启自己的监听端口不断等待，这种情况就称作：

服务器端受到了SYNFlood攻击（SYN洪水攻击）.。

DDOS（分布式拒绝服务攻击）DoS攻击通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。

攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。

通常，将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。

代理程序收到指令时就发动攻击。

利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。

　CC攻击模拟多个用户（多少线程就是多少用户）不停的进行访问（访问那些需要大量数据操作，就是需要大量CPU时间的网站页面）。

1.3网络安全策略

（1）物理安全策略：

物理安全策略的目的是保护计算机系统、网络服务器和打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。

（2）访问控制策略：

访问控制策略是网络安全防范和保护的主要策略，包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制，以及防火墙控制等，主要任务是保证网络资源不被非法使用和非正常访问。

（3）信息加密策略：

信息加密策略的目的是保护网络中的数据、文件、密码和控制信息，保护网上传输的数据。

信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。

（4）网络安全管理策略：

在网络安全中，除了采用上述技术措施之外，加强网络的安全管理，制定有关规章制度，对于确保网络安全可靠地运行将起到十分有效的作用。

1.4网络安全防范措施

（1）选择性能优良的服务器。

服务器是网络的核心；

它的故障意味着整个网络的瘫痪，因此，要求的服务应具有：

容错能力，带电热插拔技术，智能I／O技术，以及具有良好的扩展性。

（2）采用服务器备份。

服务器备份方式分为冷备份与热备份二种，热备份方式由于实时性好，可以保证数据的完整性和连续性，得以广泛采用的一种备份方式。

（3）对重要网络设备、通信线路备份。

通信故障就意味着正常工作无法进行。

所以，对于交换机、路由器以及通信线路最好都要有相应的备份措施。

2.网络安全的相关技术

2.1防火墙技术

2．1．1防火墙

防火墙是一种将内部网和外部网分开的技术方法或手段，是内部网与外部网之间的第一道屏障，实际上是一种隔离技术，是在两个网络通信的时候执行的一种访问控制手段，它能容许用户同意的人或数据进入网络，同时将用户不同意的人和数据拒之门外，最大限度地阻止网络中不明身份的人或数据访问受保护的网络，防止发生更改、复制和毁坏受保护网络中的数据。

2．1．2防火墙的主要技术

（1）包过滤技术（PacketFiltering）是在网络层依据系统的过滤规则，对数据包进行选择和过滤，这种规则又称为访问控制表（ACLs）。

包括两种基本类型：

无状态检查的包过滤和有状态检查的包过滤，其区别在于后者通过记住防火墙的所有通信状态，并根据状态信息来过滤整个通信流，而不仅仅是包。

（2）应用级代理开发代理的最初目的是对Web进行缓存，减少冗余访问，但现在主要用于防火墙。

代理服务器通过侦听网络内部客户的服务请求，检查并验证其合法性，若合法，它将作为一台客户机一样向真正的服务器发出请求并取回所需信息，最后再转发给客户。

（3）网络地址翻译（NAT，NetworkAddressTranslation）最初的设计目的是增加在专用网络中可使用的IP地址数，但现在则用于屏蔽内部主机。

NAT防火墙包括静态翻译,动态翻译,负载平衡翻译,网络冗余翻译等基本的翻译模式。

2．2公开密钥密码技术

数据加密技术通常使用一组密码与被加密的数据进行混合运算。

未加密的数据称为明文，将明文映射成不可读、但仍不失其原信息的密文的过程称为加密，而相反过程即为解密。

对数据信息的加解密，密钥是安全的关键。

通常有两种方法，即私人密钥法和公用密钥法。

私人密钥法也称对称加密法，加密和解密信息使用相同的密钥。

70年代中期，出现了公共密钥技术，又称非对称加密法。

通过公共密钥加密，每个人可有一对密钥，一个是公共的，一个是私人的。

每人的公共密钥将对外发行，而私人密钥被秘密保管。

当A想要送给B一个秘密报文时，他就使用B的公共密钥将它加密发送。

当B得到该报文时，他用自己的私人密钥进行解密。

这样，发送者和接收者在进行秘密通信时，就不必非得共同拥有秘密密钥。

2.3访问控制技术

2.3.1访问控制

访问控制是指为了限制访问主体对访问客体的访问权限。

访问主体也称为发起者，是一个主动的实体,如用户、进程、服务等。

访问客体是指需要保护的资源，如信息资源、处理资源、通信资源和物理资源等。

访问控制的一般模型

用一个简单的命题来描述的话，可以表示为：

“谁（Who）对哪些资源（What）能进行怎样的权限（How）操作”。

2.3.2几种常用的访问控制模型

⑴自主访问控制（Discretionaryaccesscontrol，简称DAC）允许对象的属主来制定针对该对象的保护策略

⑵强制访问控制模型（MandatoryaccesscontrolModel,简称MAC）是一种等级访问控制策略，它们主要特点是系统对主机和客体实行强制访问控制，在实施访问控制时，系统先对主体和客体的用户不能改变他们的安全级别或对象的安全属性。

⑶基于角色的访问控制模型（Role-basedAccessModel，简称RBAC）的基本思想是将权限分配给一定的角色，用户通过不同的角色获得角色所拥有的权限。

2.4入侵检测技术

入侵检测系统（IDS）是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。

它通过监视受保护系统的状态和活动采用异常检测或误用检测的方式，发现非授权或恶意的系统及网络行为，为防范入侵行为提供有效手段。

是由硬件和软件组成，用来检测系统或网络以发现可能的入侵或攻击的行为。

入侵检测系统的分类

⑴基于网络的入侵检测系统NIDS（NetworkIntrusionDetectionSystem）

⑵基于主机的入侵检测系统（HostIntrusionDetectionSystem）

⑶分布式入侵检测系统（DistributedIntrusionDetectionSystem）

2.5其它安全技术简介

备份与恢复:

备份简单地说就是保留一套后备系统，保存数据的副本，做到有备无患。

数据的恢复就是将数据恢复到事故之前的状态。

数据恢复总是与备份相对应，实际上可以看成备份操作的逆过程。

备份是恢复的前提，恢复是备份的目的，无法恢复的备份是没有意义的。

VPN技术:

VPN（VirtualPrivateNetwork）是采用隧道技术以及加密、身份认证等方法，在公共网络上构建企业网络的技术。

隧道技术是VPN的核心。

隧道是基于网络协议在两点或两端建立的通信，隧道由隧道开通器和隧道终端器建立。

隧道开通器的任务是在公用网络中开出一条隧道。

隧道交换的优点：

（1）隧道交换可以将访问导向相应的隧道终端器，使不同的网络用户进入不同的网段，实现网络虚拟工作组和权限控制；

（2）隧道交换根据RADIUS服务器的用户信息，开通到企业内部服务器的隧道，避免了在企业内外部防火墙之间设置应用服务器的麻烦，既不影响防火墙的安全性，又方便了数据访问；

（3）隧道到达企业内部网络后，可以使用企业内部地址，提高了网络的安全性；

（4）隧道交换可以平衡企业服务器的工作负载；

（5）隧道交换可以在不同ISP之间开通隧道，使隧道灵活拓展。

因此在VPN领域，网络服务商之间的合作前景十分广阔。

结束语

总而言之，网络安全是一个复杂的问题并且与网络的发展戚戚相关。

网络安全是一个系统的工程，不能仅依靠、杀毒软件、防火墙、漏洞检测等等硬件设备的防护，还要意识到计算机网络系统是一个人机系统，安全保护的对象是计算机,而安全保护的主体则是人，应重视对计算机网络安全的硬件产品开发及软件研制，建立一个好的计算机网络安全系统，也应注重树立人的计算机安全意识，才可能防微杜渐。

把可能出现的损失降低到最低点，才能生成一个高效、通用、安全的网络系统。

参考文献

[1]刘云生.计算机网络教程.清华大学出版社,2007.6

[2]赵小林.网络安全技术教程.国防工业出版社，2002.10

[3]杨云江.计算机网络管理.清华大学出版社，2006

[4]吴钰锋，刘泉，李方敏.网络安全中的密码技术研究及其应用［J］.真空电子技术，2004.

[5]李学诗.计算机系统安全技术［M］.华中理工大学出版社，2003.

[6]杨义先.网络安全理论与技术［M］.人民邮电出版社，2003