下载文档原格式
中州大学毕业论文网络交易安全风险源分析及解决对策学院:经济贸易学院专业 10级电子商务3班学号:************姓名程治民指导教师:(学生不填)成绩:(学生不填)提交时间:2012年一、网络交易风险识别网络昔销风险,是对网络交易整个运作过程的考察,确定交易流程中可能出现的各种风险,分析其危害性,旨在发现交易过程潜在的安全隐患和安全份洞.从而使网络交易安全管理有的放矢。
1.信息风险从技术上看.网络交易的信息风险主要来自三个方面:(1)冒名偷窃“黑客”为了获取重要的商业机密、资源和信息.常常采用源IP地址欺骗攻击。
人侵者伪装成一台内部主机的一个外部地点传送信息包(这些信息包包含有内部系统的IP地址).在E一mail服务器使用报文传输代理来冒充他人.窃取信息。
(2)篡改数据攻击者未经授权进人网络交易系统,使用非法手段,删除、修改、重发某些重要信息.造成网络营销中的信息风险。
(3)交易信息的丢失.可能有三种情况:一是因为线路问题造成信息丢失:二是安全措施不当而丢失信息;三是在不同的操作平台上转换操作而丢失信息。
从买卖双方自身的角度观察,网络交易中的信息风险来源于用户以合法的身份进入系统,买卖双方都可能在网上发布虚假的供求信息或以过去的信息日充现在的信息.以骗取对方的钱款或货物。
而对这些信息的鉴别,至少在现在还没有很好的解决办法。
2.信息传递过程中的风险信息在网上传递时.要经过多个环节和渠道。
由于计算机技术发展迅速,原有病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性.计算机病毒的侵袭、“黑客”非法人侵、线路窃听等很容易使主要的数据在传递过程中泄漏,威胁电子商务交易的安全。
各种外界的物理性干扰.如通信线路质量差、地理位置复杂、自然灾害等,都可能形响到数据的真实性和完整性。
3.信用风险信用风险来自三个方面:(1)来自买方的信用风险个人消费者可能在网络上进行恶意透支或使用伪造的信用卡骗取卖方的货物;集团购买者有拖延货款的可能。
局域网Web网页劫持与篡改案例分析贺思德 贺强(云南大学信息学院 sdhe@ 日期:2008年1月23日)目 录录1.前言2.以太网ARP欺骗与网页劫持攻击的基本概念2.1 以太网ARP欺骗的原理2.2 基于ARP欺骗的网页劫持与篡改3.HTTP客户端受到网页劫持与篡改的案例3.1 在受害客户机浏览器上看到的被篡改的网页3.2 本案例的网络结构图与相关主机参数的获取(1)获取受害客户机A 的网络参数(2)获取局域网出口网关的MAC 地址(3)将客户机的ARP 表中的网关IP-MAC 地址绑定(4)在客户机A 端获取Web 服务器的IP 地址(5)在客户机A 端获取“中间人”恶意主机B 的MAC 地址3.3 恶意主机对客户机访问Web 网页的篡改过程4.客户端浏览器收到的被篡改的网页内容分析5.结论6.参考文献与附件:本案例数据样本下载1.前 言对互联网Web网页的篡改和攻击是当前危害广泛的恶意网络行为之一,攻防对抗的双方都有多种不同的实施与对抗策略。
参考文献[1]对其中一种基于局域网ARP欺骗的网页恶意篡改行为作了很好的分析,本文在此基础上做了进一步的详细讨论,并提供了一个在校园网上捕获的真实的攻击网页的案例,此案例的捕获数据样本可从下载。
为了帮助读者和网络管理员能够从本案例中了解如何解决安全管理中遇到的同类问题,本文尽量写得详细和通俗易懂,以供仿效操作。
本案例分析所涉及到的各种背景知识在参考文献[2](即《计算机网络安全与应用》科学出版社,2007)中有全面的介绍。
为了叙述简洁,本文中将参考文献[2]简称为“教材”,并在文中各部分给出了相关基础知识在此教材中的页码索引。
因此本案例也可以作为《计算机网络安全与应用》课程教学的综合性研究训练课题。
建议读者将本文案例的原始数据与该教材相互参照分析、动手实践,在此基础上做进一步的深入研究。
2.以太网以太网ARP ARP ARP欺骗与网页劫持欺骗与网页劫持欺骗与网页劫持攻击攻击攻击的基本概念的基本概念的基本概念2.1 以太网以太网ARP ARP ARP欺骗欺骗欺骗的原理的原理的原理因为IP(Internet Protocol)地址是用于TCP/IP互联网主机之间传输IP数据包的寻址,而MAC(Media Access Control)地址是用于以太网内主机之间传输数据帧的寻址,为了在以太局域网上传输互联网协议的IP包,必须利用地址解析协议ARP(Address Resolution Protocol)进行IP-MAC地址的映射查询。
虚假源地址网络攻击分析案例1.1. 故障描述1. 问题描述某政府用户求助,其网络正在遭遇不明问题。
由于该用户承担重要的业务系统运营,因此,该问题对其业务稳定性有较大影响,需要尽快定位问题原因并做出相应对策。
从业务操作层面来讲,无论是内部用户还是外部用户,在访问其Web或其他服务器时,感受较慢;从技术层面做简单的Ping测试,出现如下现象:从上面的内网Ping测试结果来看,访问目标确实存在间歇性丢包现象。
从丢包结果明显看到,这与常见的网络拥塞等情况下的丢包状况不太一样。
以上信息证明,该网络的确存在问题,需要进一步分析原因。
2. 网络与应用结构描述在进行分析前,通过与技术负责人简单的交流,得知其网络大致结构如下:上面的拓扑结构简明描述了用户的网络和应用部署结构,需要说明的几点有:⏹IPS没有过多的策略定制;⏹FW对所有流量均透明;⏹流控设备仅对内部用户启用NA T,外网用户访问DMZ或DMZ流向外网数据均未做NA T;⏹用户拥有103.16.80.0/129的公网IP地址,除了路由器和流控设备使用了2个外,其他的都用在DMZ区域。
3. 内网用户访问方式描述由于本次故障分析是在内网进行,所以有必要说明一下内网用户在访问DMZ区域的数据变化及流经过程。
如下图所示:假如用户A要访问OA服务器E,其访问途径为上图红色标记的1-4。
其中,流控设备作为A的NA T 设备,同时,A的数据会从流控B发送到C,然后再返回B到交换机D到E。
用户A在内网的访问IP地址变化如下:⏹发送数据包:A IP——>B:103.16.80.131——>E:103.16.80.189;⏹返回数据包:E:103.16.80.189——>B:103.16.80.131——> A IP;其中用户A的IP为私有IP地址(内网用户均使用私有IP)。
1.2. 分析方案及思路1. 基本分析思路无论是外网还是内网对DMZ区域的主机Ping操作都呈现相同现象,而内网用户区域相互Ping测试则不存在问题,所以,建议先在DMZ区域交换机D上设置端口镜像并采集和分析。
校园网ARP欺骗攻击分析及解决办法张志刚(作者单位:浙江省开化县实验小学邮编:324300)摘要:ARP攻击是当前校园网遇到的一个非常典型的安全威胁,受到ARP攻击后轻者校园网会出现大面积掉线,重者会窃取用户密码。
目前,网上有关ARP资料较多,但作者发现:网上资料虽多但大多逻辑性和指导性均不强,甚至有一些还自相矛盾,不能自圆其说。
该文来自于一线网管员的工作实践,具有较强的针对性和操作性。
关键词:校园网、ARP、原理、方法正文:ARP攻击是当前校园网遇到的一个非常典型的安全威胁,受到ARP攻击后校园网内各终端电脑会出现大面积掉线、ARP包爆增、拷贝文件无法完成,出现错误、无法ping通网关,但重启机器后又可恢复上网等情况。
欺骗木马发作时还会窃取用户密码,如盗取QQ密码、盗取各种网络游戏密码和账号,盗窃网上银行账号来做非法交易活动等。
在08年的暑期,我县的教育城域网就爆发了一次较大的ARP攻击事件,前后持续时间近一个月,给全县教育系统的暑期办公培训及新学期的准备工作带来了较大的影响,攻击源来自于乡下某学校的一台老师忘记关机并感染了ARP病毒的的办公电脑。
作为一名学校的网管员,在与多起ARP欺骗攻击的的斗争过程中,对ARP 病毒相关基础知识、危害认识也越来越深刻,对如何在校园网内及时发现、有效防范查杀攻击源的具体处理上也有了一定的心得,现作一整理,供兄弟学校的各网管员们参考借鉴。
1.要了解APR病毒需先掌握的几个概念1.1:IP地址IP地址是出现频率非常高的词。
它类似于电话通迅中的电话号码,在我们的校园网中,为了区别每一台不同的计算机,我们需要给每一台计算机都配臵一个号码,这个号码我们就将它叫做IP地址,有了这个IP地址我们在利用网络进行上网、传递文件,进行局域网聊天时才不会将发送给A计算机的信息错发到其它的计算机上。
一般情况下,在校园网内一台计算机只分配一个IP地址,IP地址采用十进制数字表示,如192.168.0.25。
网络安全:关于网络地址解析协议被攻击的解决方法/邮件群发【故障原因】局域网内有人使用ARP欺骗的木马程序(比如:传奇盗号的软件,某些传奇外挂中也被恶意加载了此程序)。
【故障原理】要了解故障原理,我们先来了解一下ARP协议。
在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。
ARP协议对网络安全具有重要的意义。
通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。
ARP协议是“AddressResolutionProtocol”(地址解析协议)的缩写。
在局域网中,网络中实际传输的是“帧”,帧里面是有目标主机的MAC地址的。
在以太网中,一个主机要和另一个主机进行直接通信,必须要知道目标主机的MAC地址。
但这个目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。
所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。
ARP 协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。
每台安装有TCP/IP协议的电脑里都有一个ARP缓存表,表里的IP地址与MAC 地址是一一对应的,如下表所示。
主机IP地址MAC地址A192.168.16.1aa-aa-aa-aa-aa-aaB192.168.16.2bb-bb-bb-bb-bb-bbC192.168.16.3clearcase/" target="_blank" >cc-cc-cc-cc-cc-ccD192.168.16.4dd-dd-dd-dd-dd-dd我们以主机A(192.168.16.1)向主机B(192.168.16.2)发送数据为例。
当发送数据时,主机A会在自己的ARP缓存表中寻找是否有目标IP地址。
如果找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的所有主机发出这样的询问:“192.168.16.2的MAC地址是什么?”网络上其他主机并不响应ARP 询问,只有主机B接收到这个帧时,才向主机A做出这样的回应:“192.168.16.2的MAC地址是bb-bb-bb-bb-bb-bb”。
ARP攻击防范与解决方案ARP(地址解析协议)攻击是一种常见的网络攻击手段,通过欺骗网络中的设备,使得攻击者可以窃取数据、篡改数据或者拒绝服务。
为了保护网络安全,我们需要了解ARP攻击的原理和解决方案。
一、ARP攻击的原理1.1 ARP欺骗:攻击者发送虚假ARP响应包,欺骗目标设备将攻击者的MAC 地址误认为是网关的MAC地址,导致数据流经攻击者设备。
1.2 中间人攻击:攻击者在网络中伪装成网关,截取目标设备与网关之间的通信,可以窃取敏感信息。
1.3 DOS攻击:攻击者发送大量虚假ARP请求,使得网络设备无法正常通信,造成网络拥堵。
二、ARP攻击的危害2.1 数据泄露:攻击者可以窃取目标设备的敏感信息,如账号、密码等。
2.2 数据篡改:攻击者可以篡改数据包,导致目标设备收到错误的数据。
2.3 网络拒绝服务:攻击者可以通过ARP攻击使得网络设备无法正常通信,造成网络拥堵。
三、ARP攻击的防范方法3.1 ARP绑定:在网络设备中配置ARP绑定表,将IP地址和MAC地址进行绑定,减少ARP欺骗的可能性。
3.2 安全路由器:使用具有ARP防护功能的安全路由器,可以检测和阻挠虚假ARP响应包。
3.3 网络监控:定期监控网络流量和ARP表,及时发现异常情况并采取相应措施。
四、ARP攻击的解决方案4.1 使用静态ARP表:在网络设备中手动配置ARP表,避免自动学习带来的风险。
4.2 ARP检测工具:使用专门的ARP检测工具,可以检测网络中是否存在ARP攻击,并及时采取应对措施。
4.3 更新网络设备:及时更新网络设备的固件和软件,修复已知的ARP攻击漏洞,提高网络安全性。
五、ARP攻击的应急响应5.1 断开网络连接:一旦发现ARP攻击,即将断开受影响设备的网络连接,阻挠攻击继续扩散。
5.2 修改密码:及时修改受影响设备的账号密码,避免敏感信息泄露。
5.3 报警通知:向网络管理员或者安全团队报告ARP攻击事件,协助进行应急响应和网络恢复。
计算机网络攻击及解决方案引言概述:
计算机网络攻击是指利用计算机网络进行非法入侵、破坏或者窃取信息等行为。
随着互联网的普及和发展,网络攻击的威胁日益增加。
本文将从五个大点出发,详细阐述计算机网络攻击的种类及其解决方案。
正文内容:
1. 网络钓鱼攻击
1.1 伪装成合法机构
1.2 发送虚假邮件或者信息
1.3 防范措施:加强用户教育,提高警惕,不轻易点击可疑链接,使用防钓鱼工具和安全软件。
2. 拒绝服务攻击
2.1 大量请求占用资源
2.2 防范措施:使用防火墙和入侵检测系统,限制连接数量,增强系统的容错能力。
3. 病毒和恶意软件攻击
3.1 通过邮件、下载或者共享文件传播
3.2 破坏系统文件或者窃取个人信息
3.3 防范措施:定期更新操作系统和软件,使用杀毒软件,不随便下载和安装未知来源的软件。
4. 数据泄露和窃取
4.1 通过网络入侵获取敏感信息
4.2 窃取银行卡信息或者个人账户密码
4.3 防范措施:加密敏感数据,使用安全协议和加密技术,定期备份数据,加强访问控制。
5. 嗅探和监听攻击
5.1 监听网络通信获取敏感信息
5.2 窃取账号密码或者传输数据
5.3 防范措施:使用加密协议和虚拟专用网络(VPN),定期更改密码,进行网络流量监测。
总结:
综上所述,计算机网络攻击种类繁多,但我们可以通过加强用户教育、使用安全软件、更新系统和软件、加密数据、强化访问控制等多种措施来提高网络安全。
同时,网络安全是一个不断演变的领域,我们需要保持警惕,及时了解最新的网络攻击方式和解决方案,以保护个人和组织的信息安全。
计算机网络攻击及解决方案简介:计算机网络攻击是指对计算机网络系统的恶意入侵和破坏行为。
随着互联网的普及和应用的广泛,网络攻击也日益增多,给个人、企业和国家带来了巨大的安全风险。
为了保护网络系统的安全,我们需要采取一系列的解决方案来应对各种网络攻击。
一、计算机网络攻击类型1. 电子邮件欺诈:通过发送虚假电子邮件来欺骗用户,获取其个人信息或者进行钓鱼攻击。
2. 病毒和蠕虫攻击:通过植入恶意代码或者程序来感染计算机系统,破坏或者窃取数据。
3. DoS和DDoS攻击:通过向目标服务器发送大量请求,使其超负荷运行,导致服务不可用。
4. SQL注入攻击:通过在Web应用程序的输入字段中插入恶意SQL代码,获取数据库信息。
5. 社交工程攻击:通过伪装成可信任的个人或者机构来获取用户的敏感信息。
6. 网络钓鱼攻击:通过伪造网站或者电子邮件,诱使用户输入敏感信息。
7. 拒绝服务攻击:通过发送大量无效请求,使目标系统无法正常工作。
二、计算机网络攻击解决方案1. 防火墙和入侵检测系统(IDS):建立网络防火墙,限制对网络的非授权访问,并使用IDS监测和阻挠潜在的入侵行为。
2. 加密技术:使用加密算法对敏感数据进行加密,保护数据传输过程中的机密性。
3. 强密码策略:制定密码复杂性要求,鼓励用户定期更换密码,并禁止使用弱密码。
4. 定期更新和补丁管理:及时更新操作系统和应用程序的补丁,修复已知的漏洞。
5. 多因素身份验证:采用多种身份验证方式,如密码、指纹、声纹等,提高身份验证的安全性。
6. 安全培训和教育:对员工进行网络安全培训,提高他们的网络安全意识和应对能力。
7. 数据备份和恢复:定期备份重要数据,并建立完善的数据恢复机制,以防止数据丢失。
8. 安全审计和监控:建立安全审计系统,监控网络流量和事件,及时发现和应对潜在的攻击行为。
9. 网络流量分析:使用网络流量分析工具,检测和分析网络中的异常流量,发现潜在的攻击行为。
虚假源地址网络攻击分析案例
1.1. 故障描述
1. 问题描述
某政府用户求助,其网络正在遭遇不明问题。
由于该用户承担重要的业务系统运营,因此,该问题对其业务稳定性有较大影响,需要尽快定位问题原因并做出相应对策。
从业务操作层面来讲,无论是内部用户还是外部用户,在访问其Web或其他服务器时,感受较慢;从技术层面做简单的Ping测试,出现如下现象:
从上面的内网Ping测试结果来看,访问目标确实存在间歇性丢包现象。
从丢包结果明显看到,这与常见的网络拥塞等情况下的丢包状况不太一样。
以上信息证明,该网络的确存在问题,需要进一步分析原因。
2. 网络与应用结构描述
在进行分析前,通过与技术负责人简单的交流,得知其网络大致结构如下:
上面的拓扑结构简明描述了用户的网络和应用部署结构,需要说明的几点有:
⏹IPS没有过多的策略定制;
⏹FW对所有流量均透明;
⏹流控设备仅对内部用户启用NA T,外网用户访问DMZ或DMZ流向外网数据均未做NA T;
⏹用户拥有103.16.80.0/129的公网IP地址,除了路由器和流控设备使用了2个外,其他的都用在
DMZ区域。
3. 内网用户访问方式描述
由于本次故障分析是在内网进行,所以有必要说明一下内网用户在访问DMZ区域的数据变化及流经过程。
如下图所示:
假如用户A要访问OA服务器E,其访问途径为上图红色标记的1-4。
其中,流控设备作为A的NA T 设备,同时,A的数据会从流控B发送到C,然后再返回B到交换机D到E。
用户A在内网的访问IP地址变化如下:
⏹发送数据包:A IP——>B:103.16.80.131——>E:103.16.80.189;
⏹返回数据包:E:103.16.80.189——>B:103.16.80.131——> A IP;
其中用户A的IP为私有IP地址(内网用户均使用私有IP)。
1.2. 分析方案及思路
1. 基本分析思路
无论是外网还是内网对DMZ区域的主机Ping操作都呈现相同现象,而内网用户区域相互Ping测试则不存在问题,所以,建议先在DMZ区域交换机D上设置端口镜像并采集和分析。
如果在D设备上流量可以分析到相关问题原因或有所新的发现,则根据发现再进一步部署分析策略。
2. 分析设备部署
如下图,将科来网络分析系统接入到交换机D的流量镜像端口。
由于未知丢包原因或目标(几乎所有DMZ主机都丢包),建议不设置任何过滤器,即捕获所有数据包。
3. 分析档案与方案选择
在使用科来网络分析系统前,选择正确的分析档案和分析方案,这对分析效率及数据处理性能方面都有极大的优化作用。
这一步不可忽视。
根据用户的实际网络情况,以及对应问题特性,在进行数据捕获时,采用如下网络档案和分析方案,且不进行任何过滤器设置。
1.3. 分析过程
分析过程包括数据捕获后的总体分析,异常发现和分析。
此部分对DMZ区域交换机D上捕获的数据进行分析。
1. 总体分析
⏹数据包基本信息
如下图,采集时间约55.5秒的数据包,包含25,003个数据包,未设置任何过滤器。
⏹统计信息
从下图的统计信息可以查看到,流量分布基本正常;数据包大小分布中,64-127字节的数据包数约为
1024-1518字节数据包个数的3倍,这说明网络中小包数据过多。
从会话及应用信息的统计中看到,在55.5秒时间内,DNS查询和响应次数分别超过1400个,从数量来说较偏大。
故障信息统计
采用分析系统默认诊断定义,提示共有6658个诊断,分布在应用层到物理层不等,其中最多的是传输层的数据包重传和重复确认,超过了6000个,这说明网络质量情况不佳。
另外,系统提示存在ARP请求风暴,通过分析,确认所有的ARP请求数据包均为正常数据包,且频率不高,不会对网络内主机造成影响或欺骗。
2. 问题分析
问题分析部分,主要针对发现的异常现象进行分析和验证。
异常发现
在进行内部用户访问方式描述时曾提到,网关103.16.80.129的MAC地址为00:13:7F:71:DD:91,这个MAC只有当数据流经路由器时才会使用到。
见下图:
然而,在进行诊断分析时发现,DMZ内部服务器发送给应在DMZ区域内的IP的流量,竟发送到了00:13:7F:71:DD:91,甚至对有些不存在的103.16.80.0段地址的流量也发送到了这个MAC。
这与分析前了解到的情况并不一样。
上图高亮部分证明了上面提到的MAC问题。
另外,高亮部分只是从诊断发生地址中随机选择的一个地址的2个事件,该事件说明,103.16.80.130(DNS服务器)发向103.16.80.107的流量被发送到00:13:7F:71:DD:91。
同理分析得到,上图红色矩形框选的地址都存在这种问题。
⏹数据包分析
对事件深入分析,双击上图高亮事件,查看相关数据解码信息。
通过下图分析到,103.16.80.107向DNS服务器103.16.80.130发送域名解析请求,后者对前者响应,内容为“查询错误”。
且不管DNS应答错误原因,单从源IP MAC来看,说明其来源于广域网。
而经过确认,某些属于DMZ 区域的IP也同样存在这种问题,其作为源IP地址从广域网来连接内部DNS服务器,且DNS服务器全部做了应答。
⏹DNS访问行为分析
上面的分析发现,存在疑问的IP地址基本都向内部DNS发起域名解析请求,这里对DNS服务器的访问情况进行分析。
如下图,5.5秒时间,共有与DNS服务器同段的224个IP向DNS服务器发起解析请求,而这些IP
地址都是从广域网发送过来。
1.4. 分析总结
1. 分析结论
从上面的分析看到,客户遇到的网络问题其实是正在遭遇虚假源地址攻击,大量的假冒地址对内部DNS发起大量的请求。
然而,这并不能解释客户网络慢,Ping包丢失的原因,即这种网络攻击为什么会造成故障存在?
这里对可能的问题原因进行说明。
假设用户A正在对DMZ服务器103.16.80.189进行Ping操作,这时,虚假地址103.16.80.189经过Router和FW访问DNS 103.16.80.130,同时DNS服务器对该虚假地址做出响应。
造成的影响为,防火墙会在其接口地址列表中记录:103.16.80.189地址是从源MAC地址为00:13:7F:71:DD:91的接口转发过来。
这时,发往103.16.80.189的ICMP数据包被转发到了路由器,接着转发到广域网,结果石沉大海。
如下图所示:
当Ping包无法到达目的地时(会返回来错误的ICMP协议报文),路由器更新新的路由信息后,则再发往路由器的Ping包会被重定向到正确位置,防火墙更新新的端口地址列表信息,Ping操作成功。
2. 问题验证
为了进一步验证分析结果,以及确认问题是由虚假源IP访问内部DNS带来的网络攻击。
在IPS和FW 之间串接一个Hub,从以下位置捕获数据进行分析。
通过分析捕获到的数据,发现实际结果与分析得到的答案一致,如下图,内网用户对DMZ区域主机的Ping被发送到了Router。
3. 解决方法
分析到问题的原因后,解决方法则变的较为简单。
在IPS上设置策略,禁止DMZ区域的IP作为源IP访问DNS服务器的流量通过IPS,问题解决。
