电子商务安全技术-第0章-WWW与Web服务安全.ppt

第六章 TCP/IP服务与WWW安全 6.1 TCP/IP协议及服务 从IP协议看 IP地址是由四个8位二进制数字域组成的,总长度为4个字节的32位二进制数(理论上可组成232≈40多亿个不同的IP地址，实际上少得多) 从用户使用看 IP地址是由四个用小数点隔开的十进制数字域组成，其中每个域的十进制取值在0~255之间 “点分法” IP地址可以分为5类：A、B、C、D、E A类地址 B类地址 C类地址 D类地址 E类地址 TCP是一个端到端的传输协议 三次握手 为确保连接的建立和终止都是可靠的，TCP使用三次握手（3-way handshake）的方式来建立连接。 端口号的分配机制 TCP/IP协议采用了全局分配（静态分配）和本地分配（动态分配）相结合的分配方法。对于TCP，或者UDP，将它们的全部65535个端口号分为保留端口号和自由端口号两部分。 保留端口的范围是0—1023，又称为众所周知的端口或熟知端口（well-known port），只占少数，采用全局分配或集中控制的方式，由一个公认的中央机构根据需要进行统一分配，静态地分配给因特网上著名的众所周知的服务器进程，并将结果公布于众。 总之，TCP或UDP端口的分配规则是： 端口0：不使用，或者作为特殊的使用； 端口1-255：保留给特定的服务，TCP和UDP均规定，小于256的端口号才能分配给网上著名的服务； 端口256-1023：保留给其他的服务，如路由； 端口1024-4999：可以用作任意客户的端口； 端口5000-65535：可以用作用户的服务器端口。 客户机与服务器的第一次通信 传输层的用户数据报协议（User Datagram Protocol，UDP）是一种尽力传送的无连接的不保障可靠的传输服务，是一种保护消息边界的数据的传输。 Telnet远程登录 FTP文件传输 HTTP网页浏览 DNS域名服务 DNS的安全性 可能泄露内部机器主机信息 如操作系统等信息 为保证安全的服务，可使用认证用户而不是主机名或IP地址来验证 6.2 WWW的安全性 Web安全性威胁与对策 网络层——IP 安全性(IPSec) 传输层—— SSL / TLS 应用层——S/MIME,PGP,SET,Kerberos 参考书籍 DNS域名服务 WWW面临的四种风险 存放于Web服务器文件系统上的机密文件被非法用户窃取 由远程用户发送给Web服务器的私人或保密信息被截获 有关Web服务器主机的详细信息泄露，使侵入者得以分析，找出漏洞并闯入系统 服务器存在允许外来者在Web服务器主机上执行命令的漏洞，使他们得以改动或破坏系统 WWW服务器的主要安全漏洞 物理路径泄露 源代码泄露 目录遍历 执行任意命令 缓冲区溢出 拒绝服务（DoS） WWW服务器的安全漏洞 端口——端口是一个软件结构，被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口。 TCP协议——端口 端口的分类 保留端口：0——1023 动态端口：1024——49151 私有端口：49152——65535 端口是TCP/IP协议族中，应用层进程与传输层协议实体间的通信接口，类似于文件描述符，每个端口都拥有一个叫作端口号（port number）的整数型标识符。 TCP协议——端口 110 POP3 53 DNS 4000 QQ客户端 1863 MSN客户端 161 SNMP 80 HTTP 25 SMTP 23 TELNET 21 FTP 端口 服务 常用端口表： TCP协议——端口 WIN2000中的端口描述文件： 系统目录下的/drivers/etc/services文件 netstat命令： netstat命令的功能是显示网络连接、网络端口信息，可以让用户得知目前都有哪些网络连接正在进行。 该命令的一般格式为： netstat [选项] 例如： -a 显示所有连接，包括正在监听的。-n 以网络IP地址代替名称，显示出网络连接情形。 UDP（User Datagram Protocol） 用户数据报协议为应用层提供一种非常简单的服务。它只是把称作数据报的分组从一台主机发送到另一台主机，但并不保证该数据报能到达另一端。任何必需的可靠性必须由应用层来提供。 UDP协议 类比 TCP: 电话服务 UDP: 邮政服务 定义—— 应用层负责处理特定的应用程序细节。 应用层 作用—— 应用程序进入网络的通道。在应用层有许多TCP/IP工具和服务，如： Telnet、FTP、HTTP、SMTP、POP3等等。 常用TCP/IP服务及安全性 Telnet远程登录 帐号和口令 Telnet协议 服务器 INTERNET Telnet