《网络攻击与防护论文11》由会员分享,可在线阅读,更多相关《网络攻击与防护论文11(16页珍藏版)》请在金锄头文库上搜索。
1、江西理工大学应用科学学院网络攻击与防御课程作业论文题 目:网络防御技术与安全管理 系另0:信息工程系班 级:网络091姓 名:一王新宇成 绩: 二二年四月网络防御技术摘要: 随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。但由于计 算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特 征,致使网络易受黑客、怪客、恶意软件和其他不轨的攻击,所以网上信息的安 全和保密是一个至关重要的问题。无论是在局域网还是在广域网中,都存在着自 然和人为等诸多因素的脆弱性和潜在威胁。故此,网络的安全措施应是能全方位 地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和
2、可 用性。关键字: 网络威胁 加密技术 网络防御 网络攻击 防火墙Abstract:Along with the computer network unceasing development, the global information has become the development of the human race the major tendency. But because the computer network has joint form characteristics and so on multiplicity, terminal distribution non-u
3、niformity and network openness, connectivity, cause network easily hacker, strange guest, malicious software and other illegal attacks, therefore on the net the information security and the security are a very important question. Regardless of is in the local area network or in WAN, all has the natu
4、re and artificial and so on many factor vulnerabilities and the latent threat. Therefore, the network security measure should be can Omni-directional in view of each kind of different threat and the vulnerability, like this can guarantee the network information the secrecy, the integrity and the usa
5、bility.Keyword: Network threatEncryption technology Network defenseNetwork attackFirewallARP 协议即地址解析协议 Address Resolution Protocol,ARP 协议是将 IP 地址与网络物理地址一一对应的协议。负责 IP 地址和网卡实体地 址(MAC)之间的转换。也就是将网络层(IP层,也就是相当于ISO OSI 的第三层)地址解析为数据连接层(MAC层,也就是相当于ISO OSI 的第二层)的 MAC 地址。如果您对网路七层协定有比较清晰的理解 的话应该知道各个层级之间都使用其各自的
6、协定。一张ARP的表, 用来支持在 MAC 地址和 IP 地址之间的一一对应关系。它提供两者 的相互转换。1,ARP协议欺骗技术当我们设定一个目标进行ARP欺骗时,也就是把MAC地址通过一 主机A发送到主机B上的数据包都变成发送给主机C的了,如果C 能够接收到 A 发送的数据包后,第一步属于嗅探成功了,而对于主 机A来目前是不可能意识到这一点,主机C接收到主机A发送给主 机B的数据包可没有转交给B。当进行ARP重定向。打开主机C的 IP转发功能,A发送过来的数据包,转发给C,好比一个路由器一样。 但是这就是ARP协议欺骗真正的一步,假如主机C进行发送ICMP 重定向的话就麻烦了,因为他可以直接
7、进行整个包的修改转发,捕获 到主机A发送给的数据包,全部进行修改后再转发给主机B,而主机 B 接收到的数据包完全认为是从主机 A 发送来的。这样就是主机 C 进行 ARP 协议欺骗技术,对于网络安全来是很重要的。当然还可以 通过 MAC 地址进行欺骗的。2,ARP 协议欺骗技术相应对策 各种网络安全的对策都是相对的,主要要看网管平时对网络安全的重 视性了。下面介始一些相应的对策:1) 在系统中建立静态 ARP 表 ,建立后对本身自已系统影响不大的, 对网络影响较大,破坏了动态ARP解析过程。静态ARP协议表不会 过期的,我们用“arp-d”命令清除ARP表,即手动删除。但是有的 系统的静态 A
8、RP 表项可以被动态刷新,如 Solaris 系统,那样的话依靠 静态 ARP 表项并不能对抗 ARP 欺骗攻击,相反纵容了 ARP 欺骗攻 击,因为虚假的静态ARP表项不会自动超时消失。当然,可以考虑 利用 cron 机制补救之。 (增加一个 crontab) 为了对抗 ARP 欺骗攻击, 对于 Solaris 系统来说,应该结合禁止相应网络接口做 ARP 解 析 和使用静态 ARP 表的设置2)在相对系统中禁止某个网络接口做ARP解析(对抗ARP欺骗攻击), 可以做静态ARP协议设置(因为对方不会响应ARP请求报文)如:arp -s XXX.XXX.XX.X 08-00-20-a8-2e-
9、ac在绝大多数操作系统如: Unix, BSD, NT 等,都可以结合禁止相应 网络 接口做ARP解析和使用静态ARP表的设置来对抗ARP欺骗 攻击。而 Linux 系统,其静态 ARP 表项不会被动态刷新,所以不需 要禁止相应网络接口做ARP解析即可对抗ARP欺骗攻击O随着文明的不断进步和科技的发展,人类对于改善环境条件和防御自然灾害的能 力会慢慢趋向成熟。人为因素一直都是威胁网络安全的最大因素,因为人是最不稳定的因素,任何事 情只要加入了人的因素就没有绝对的确定性。科技的进步也代表了人的进步所 以,世界上没有完美的事物也就代表了没有完美的防御,也就是不管科技怎么发 展也都还有突破口,那么黑
10、客既有能力进入你的网络。即使在理论上虚拟网络中 有完美的防御,而有人能在现实中拿到他想要的,那网络的安全几乎为零,社会 工程学不管在虚拟网络还是现实中都是很危险的而掌握社会工程学的是人,因此 人为因素是威胁网络安全的最大因素也是永久因素。二、加密技术加密技术:即是对信息进行编码和解码的技术,编码是把原来可读信息(又称明文) 译成代码形式(又称密文),其逆过程就是解码(解码)。加密技术的要点是加密算法,加密算法可以分为对称加密、非对称加密和不可逆 加密三类算法。2.1 对称加密算法 在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起经过特 殊加密算法处理后,使其变成复杂的加密密文发送出
11、去。收信方收到密文后,若 想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密, 才能使其恢复成可读明文。如图所示:在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数 据进行加密和解密,这就要求解密方事先必须知道加密密钥。 对称加密算法的特点是:算法公开;计算量小;加密速度快;加密效率高。 不足之处是:交易双方都使用同样的密钥,安全性得不到保证;每对用户每次使 用对称加密算法时,都需要使用其他人不知道的惟一密钥,这会使得发收信双方 所拥有的密钥数量成几何级数增长,密钥管理成为用户的负担。对称算法的加密和解密表示为:EK (M) =CDK(C) =M2.2 非对称
12、加密算法(公开密钥算法)非对称加密算法使用两把完全不同但又是完全匹配的一对钥匙公钥和私 钥。在使用非对称加密算法加密文件时,只有使用匹配的一对公钥和私钥,才能 完成对明文的加密和解密过程。 公钥和私钥:公钥就是公布出来,所有人都知道的密钥,它的作用是供公众使用。 私钥则是只有拥有者才知道的密钥。加密明文时采用公钥加密,解密密文时使用 私钥才能完成,而且发信方(加密者)知道收信方的公钥,只有收信方(解密者)密文解密(私钥 Kprivate)明文private非对称加密算法的基本原理是:(1)如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道 收信方的公钥,然后利用收信方的公钥来加密
13、原文。(2)收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用非对 称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送 给发信方,而自己保留私钥。非对称算法的公开密钥K1加密表示为:EK1 (M) =C。公开密钥和私人密钥是不 同的,用相应的私人密钥 K2 解密可表示为: DK2(C) =M。广泛应用的非对称加密算法有 RSA 算法和美国国家标准局提出的数字签名 算法DSA。由于非对称算法拥有两个密钥,因而特别适用于分布式系统中的数据 加密。DES(Data Encryption Standard)算法,是一种用56位密钥来加密64位数据的 方法。RSA算法是第一
14、个能同时用于加密和数字签名的算法。根据RSA算法的原 理,可以利用C语言实现其加密和解密算法。RSA算法比DES算法复杂,加解密 的所需要的时间也比较长。2.3 不可逆加密算法不可逆加密算法的特征是:加密过程中不需要使用密钥,输入明文后,由系 统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,只有重新 输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系 统重新识别后,才能真正解密。显然,在这类加密过程中,加密是自己,解密还得是自己,而所谓解密,实 际上就是重新加一次密,所应用的“密码”也就是输入的明文。不可逆加密算法不存在密钥保管和分发问题,非常适合在分布式网络
15、系统上 使用,但因加密计算复杂,工作量相当繁重,通常只在数据量有限的情形下使用, 如广泛应用在计算机系统中的口令加密,利用的就是不可逆加密算法。2.4 PGP 加密技术本例介绍目前常用的加密工具PGP,使用PGP产生密钥,加密文件和邮件。PGP加密技术是一个基于RSA公钥加密体系的邮件加密软件,提出了公共钥匙或 不对称文件的加密技术。由于RSA算法计算量极大,在速度上不适合加密大量数 据,所以 PGP 实际上用来加密的不是 RSA 本身,而是采用传统加密算法 IDEA, IDEA加解密的速度比RSA快得多。PGP随机生成一个密钥,用IDEA算法对明文 加密,然后用 RSA 算法对密钥加密。收件人同样是用 RSA 解出随机密钥,再用 IEDA解出原文。2.4.1.使用 PGP 加密文件使用 PGP 可以加密本地文件,右击要加密的文件,选择 PGP 菜单项的菜单“Encryp t,如下图所示:S3E打开(Q) 打印(E) 扌卄方式(也发送到(阻卜PGP聖切 复制QEncrypt5ignEncrypt & Sign系统自动出现对话框,让用户选择要使用的加密密钥,选中一个密钥,点击按钮“OK”,如下图所示:目标文件被加密了,在当前目录下自动产生一个新的文件,如图所示:test .txttest, txt .pgp打开加密后的文件时,程序自动要求输入密码,输入建立该密钥时的密码。如图:
