第7章 Intenet安全技术及应用.ppt

管理与信息系 叶忠杰 第7章 Internet安全技术及应用 本章要点 在前面章节中我们学习了很多安全技术，这些在保证Internet的安全方面应用非常广泛。要保证Internet的安全应用需要多方面的努力，本章主要介绍Internet的安全应用技术。主要内容有： Internet安全概述 FTP安全 E-mail安全 Web安全 Proxy技术与应用 本章的重点是Internet应用的安全技术和应用代理技术。学员在学习本章内容后能利用各种安全技术实现Internet的安全冲浪，同时也在一定程度上熟悉代理应用。 7.1 Internet安全概述 7.1.1 Internet安全隐患 当今全世界的计算机都将通过Internet互连到一起，随着Internet的发展，网络丰富的信息资源给用户带来了极大的方便，但同时也给上网用户带来了安全问题。根据CSI（Computer Security Institute）、FBI（Federal Bureau of Investigation）对Internet安全问题调查研究的结果显示，随着Internet的发展，Internet安全事件持续增长。 Internet安全事件年平均增长率为16%，其中的48％属于非授权应用（44％来源于内部人员的非授权应用），25％定性为拒绝服务攻击（24％报告称由于被外部攻击所致），18％为盗用私秘信息（15％属于财务机密信息）；接入Internet机构所受攻击事件年平均增长率为7%。 7.1 Internet安全概述 由于Internet的开放性和超越组织与国界等特点，使它在安全性上存在隐患，Internet的安全隐患主要体现在下列几方面： ①Internet是一个开放的、无控制机构的网络，黑客（Hacker）经常会侵入网络中的计算机系统，或窃取机密数据和盗用特权，或破坏重要数据，或使系统功能得不到充分发挥直至瘫痪。 ②Internet的数据传输是基于TCP/IP通信协议进行的，这些协议缺乏使传输过程中的信息不被窃取的安全措施。 ③Internet上的通信业务多数使用Unix操作系统来支持，Unix操作系统中明显存在的安全脆弱性问题会直接影响安全服务。 7.1 Internet安全概述 ④在计算机上存储、传输和处理的电子信息，还没有像传统的邮件通信那样进行信封保护和签字盖章。信息的来源和去向是否真实，内容是否被改动，以及是否泄露等，在应用层支持的服务协议中是凭着君子协定来维系的。 ⑤电子邮件存在着被拆看、误投和伪造的可能性。使用电子邮件来传输重要机密信息会存在着很大的危险。 ⑥计算机病毒通过Internet的传播给上网用户带来极大的危害，病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失。在网络上传播病毒可以通过公共匿名FTP文件传送、也可以通过邮件和邮件的附加文件传播。 7.1 Internet安全概述 7.1.2 TCP/IP的安全威胁 TCP/IP协议已经成为是Internet上事实上的标准网络协议，因此研究TCP/IP协议的安全问题，是保障Internet安全的必然选择。由于TCP/IP协议的缺陷，可能造成的Internet安全威胁有： 7.1 Internet安全概述 1．SYN 泛洪攻击 SYN泛洪攻击发生在服务器接收到远远超出其处理能力的大量的请求时。正常情况下，主机之间使用TCP传输数据时必须通过三段握手（3-way handshake）来初始化连接，SYN泛洪攻击原理是阻止TCP三次握手的完成。攻击者向受攻击主机发送SYN报文请求建立连接，报文中的源地址为伪造的可路由但不可达地址。 受攻击主机向伪造的地址发送SYN/ACK回应请求，等待对方回应。与正常TCP连接不同的是，SYN泛洪攻击阻止了三次握手最后过程的ACK包的发送，导致服务器端口一直处于半开状态，每个TCP端口都有接收半开连接的上限值，当连接数达到这个上限值时，服务器不再接受连接请求，攻击者的目的达到了。 7.1 Internet安全概述 2．IP哄骗 IP哄骗其实很简单,攻击者所需要做的就是产生一个源地址是伪造的IP数据包。这可以使用RAW-socket原始套接字来完成受攻击主机没有办法判断该数据包是否是伪造的,因为它仅仅是根据源地址来判断除了IP哄骗外,攻击者还要结合TCP序列号预测等技术来完成攻击。 7.1 Internet安全概述 3．TCP 序列号预测 TCP序列号预测利用TCP是基于序列号（SNO）传输数据的特性攻击TCP会话。TCP协议使用序列号保证应用层接收数据的完整性，虽然这是一种保证数据完整的有效方法