网络安全的攻防方法与技术

  • 格式:pdf
  • 大小:209.01 KB
  • 文档页数:2

T技术 旦: SCIENCE&1。ECHNOI O0Y INFORMA『ION 

网络安全的攻防方法与技术 杨志 (浙江水利水电高等专科学校31 001 8) 

摘要:本文介绍当前常见的各种 络攻击方法和安全防护技术,包括各种常见的攻击方式(如泄露、假冒、篡改、恶意攻击、 漏洞和阻断服务)和各种常见的网络安会防护技术。 关键词:安全攻击 防护 中图分类号:TP393.08 文献标识码:A 

Intemet的迅速发展的越来越深刻的影响着人们的生活和工作, 信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领 域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型 的如政府的业务系统、企业的商务系统、银行证券的业务系统等。 而与其飞速发展相伴的是日益增长的网络安全的威胁。瞄 准网络系统可能存在的安全漏洞,黑客们所制造的各类新型的风 险不断产生,当今网上“黑客”数和安全相关的事件数的增长是 相当惊人的。严峻的形势促使我们去探索网络的安全保护问题。 如何使信息网络系统不受黑客和工业间谍的入侵。已成为政府机 构、企事业单位信息化健康发展所要考虑的重要事情之一。 1.常见的网络攻击方式 网络中大量存储和传输的数据都有_日『能被盗用、暴露或者 篡改,网络黑客攻击通常分为以下集中种典型的方式: 1.1监听 当通信各方通过网络进行交谈时,如果不采用任何保密措 施,别人就有可能“偷听”列通信的内容。这种攻击通过监 听电脑系统或网络信息包以捩取信息。监听实质上并没有进行 真正的破坏性攻击或入侵,但却通常是攻击前的准备动作,黑 客利用监听来获取他想攻击对象的信息,如网址、用户帐号、 用户密码,造成重要保密的信息的泄漏。 1.2扫描 入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统 存在的安全漏洞,如IP地址、应用操作系统的类型、开放哪 些TCP端口号、系统保存用户名和口令等安全信息的关键文件 等,并通过相应攻击程序对内网进行攻击。 

CTMR包括32为的二选…选通器,八个一位的二选一选通器 和四个D触发器。其中32位二选一选通器具有IuA和IUB数 据的功能,选通后对于CTMR取第56 第59位送到四个以为的 =选一选通器。 四个一位的 选一选通器主要是在控制信号的作用下使(屏 蔽中断或允许中断信号)内部寄存器DPTR(56 59位)输出,作为 屏蔽或不屏蔽中断源的I;}计。 后续四个一位二选一选通器和四个D触发器的作用和原理和 NMIR完全一致,均是为了避免在未采集到D触发器输出信号输 出就已改变,再加四个选通器把D触发器的输出和选通器的输入 连接,在未对它进行读操作前保持不变。 3.4.2 CTMR的程序设计及清单 Module Ctmr2(ctmr[3:0l,enir,ldctmr,iurst,dtra[63;32],dtrb[63:32, clk】i input enir,ldctmr,iurst,clk; 输入信号说明 input[63:321 dtra,dtrb; output[3:0】 ctmr; 输出信号说明 reg[3:01 ctmr; 中间信号说明 always@(posedge clk) if(iusrt=一1) ctmr[3:01-4’b0000Ielse begin if(enir--=1) begin if(1dctmr==1) ctmr[3:0]=dtra[59:56 J; else ctmr[3:o1=ctmr[3:0J endendend I"1dmod1l1e 4 CTMR的仿真测试 CTMR的仿真测试,是通过复位时序、导通时序 封闭 时序和数据装入操作时序来进行的,看如下操作时序及寄存器状 态的变化: 

. 『_1 n『_] _-j U U L 

复位孵础厂]铋孵嘲 厂—] 嘲

—j L uLl-^—J L一 在复位控制中,当复他信号IUREST=I,在M clk时钟信号的上 

升沿,则寄存器内容为“0”。当IUREST 0,寄存器内容保持不变。 在LDCTMR为低电平且在M clk时钟信号的上升沿,数 据装入寄存器;在LDCTMR下降后,寄存器内容保持 变。 在LDCTMR=0,不管M clk如何翻转,寄存器内容不 变,数据锁存 广1 n厂] __f1』_l_j1一 

I-d ==J u L_I三 时砰mm广—] 封闭斛 .1 r_- … 一 

城I眈L———__j 二[>C!)C[ CTMR在装入数据A前,为不定态X; LDCTMR为高电平时在M—clk时钟信号的上升沿,CTMR 寄存器装入数据A; LDCTMR为低电平时,CTMR寄存器保持数据A。 

5.结束语 中断作为计算机系统中的重要环节,设计的好坏,直接影响 着系统本身、系统与外设的运行速度及效率。而本设l十具有结构 简堆、与系统协调性好的优点,通过使用Cadence和Verifault— XL故障仿真模拟器的测试,该中断模块在结构、功能和逻辑等 方面完全满足要求。 

参考文献 fllCtf算机导论))宫云战主编2002年O2月第2版 [2】《计算机组成与结构》刘卫东等编著2003年09月第1版 [3】 计算机组成原理》 谢树煜编著2003年09月第1版 

科技资讯SCIENCE&TECHNOLOGY INFOHMA I ION 7 5 

维普资讯 http://www.cqvip.com ScIENCE&ll-CHNOLO0Y IN O14MA1 ION 1.3{陧冒 利用假冒的身份,伪造业务应用等行为。假冒分内部和外 部假冒两种,如仅拥有低权限的合法实体可利用伪装的手法假 冒高权限的实体以便获得更多的访问权限。假冒和伪造是金融 系统中常见的攻击手段。如伪造各类业务信息,篡改数据,改 变业务信息流的次序、时序、流向,破坏金融信息的完整性, 假冒合法用户肆意篡改信息,假冒合法用户实施金融欺诈等。 1.4篡改 常见的方式有,数据在公网J二传输,容易被人截获,截 获后篡改部分数据,然后重新发送给系统进行处理;住交易过 程中或在交易完成后,信息存储在数据库中,攻击者通过改变 数据库中的信息来攻击系统。 1.5恶意攻击 除了上述通信中的信息安全问题之外,网络本身也容易遭受 到一些恶意程序(rogue program)的攻击,如computer virus, computer worm,Trojan horse,logic bomb等。入侵者通过 发送大量PING包对内部网重要服务器进行攻击,使得服务器超负 荷工作以至拒绝服务甚至系统瘫痪。内部不怀好意员工,通过 上传一些破坏程序,也可能危机内部网络的安全。入侵者通过 发电子邮件或内部人员自已投放病毒软件,感染某主机,进而 通过网络传播,影响整个网络的正常运行,并可能破坏网络系统。 1.6阻断服务 这种攻击方式是通过阻断被害主机的某种眼务,使得正常用 户无法接受网络主机所提供的服务。这种攻击有很大部分是从 系统漏洞这个攻击类型中独立出来的,它是把稀少的资源用 尽,让服务无法继续。例如TCP同步信号洪泛攻击(TCP SYN flood attack)是把被害主机的等待队列填满。阻断服务攻击的 模式当前流行的是分布式阻断服务攻击(DDoS,Distributed DoS)。黑客从client端控制handler,而每个handier控制许多 agent,因此黑客可以同时命令多个agent来对被害者做大量的 攻击。而且client与handier间的沟通是经过加密的。 2 常见的网络安全防护技术 常见的网络安全防护技术有如下几种: 2.1数据流加密 为了保证网络的安全性,可以考虑的方法之一就是对传输的 数据进行加密,目前比较流行的密钥加密算法主要有D E S、 RsA等,根据实际情况,可以选用网络中的一对路由器作为 Peers,对其中通过的某些数据进行加密/解密。 对于十分重要的数据,系统可采用RSA算法进行数据加密, RSA属于公开密钥算法,每个人有两个密钥,即公开密钥和秘 密密钥。为了提高效率,我们将RsA和DEs结合起来使用。 加密时,系统随机选择一个DES密钥,并用DES算法加密 原文信息。然后,利用公开密钥加密DEs密钥。将用DES加 密的信息和用RsA加密DEs密钥合在一起,构成密文。 解密时,首先依据私有密钥解密DES密钥。然后再用DES 密钥解密I)ES加密信启..得到最终的解密信息。 2.2访问控制 显然,只使用加密是不能解决所有问题的。对于采用动态自 适应路由的网络,一个被攻击者掌握的节点可以被发法更改路 由,这样将导致大量信息的泄漏或网络瘫痪。 我们可以征用户登录上任何一个I)(=i1络节点的时候就实现初步 的安全性控制,如对用户的身份和权限进行确认等;根据我们所 采用的具体方式,这种安全控制又可以分为集中式的安全控制 方式和分散式的安全控制方式。 如果有任何人企图登录到网络中的任何节点,都必须先得 到一台专用的安全服务器的认可,从而保证了网络中的节点的安 全性;如果考虑到服务器的可靠性等冈素,可以配置・砦备用 的安全性服务器,以保证在主安全服务器出现故障时维护人员 76 科技资讯SCICNOE&TEC;tNOLOOY INFORMATION T技术 对例络:肯点的登录能够正常进行。 2.3数据流过滤 我们还可以通过对流经主千网络的数据流进行过滤来进一步 实现网络的安全性,根据过滤的层次不同,可以将其分为基于 MA c地址的数据流过滤、基于网络层的数据流过滤、基于高 层的数据流过滤三种。 比如说,如何实现基于IP流的安全性控制呢?我们先看一下 1P分组的格式: 分组的第四、五字节 分别是源站IP地址和目的站 IP地址,我们在进行IP流 限制的时候是通过对源IP地 址的过滤来实现。 另外的一种安全控制机 制是基于MAC地址的。在 我们的网络中,并不是每一 

版本、舀邮}£=度、服务类 ,总 度 标识、标志、段偏穆 寿命、协议、茸部校验和 滁 IP地址 目的站ll,地址 仃选字段 他输 数据 

个用户都是直接连接在路由模块上的,因此如果不对网络上的 数据流进行更低层的限制,用户有可能冒充其它主机的IP地址 对网络进行非法的访问。在网络交换机中,一般都支持基于源 MAC地址的数据流过滤功能,可以确保只有有限的被确认的合 法主机访问本网络。我们还可以通过对传输层的数据进行过滤 来实现更高层的安全性。 2.4入侵检测技术 入侵检测技术是近年出现的新型网络安全技术,通常采用 实时检测方式,其同的是提供实时的入侵检测及采取相应的防护 手段,如记录证据用于跟踪和恢复、断开网络连接等。这种技 术能够对付来自内部网络的攻击,且能够缩短黑客入侵系统的 时间。采取的入侵检测系统可分为两类: 基于主机:入侵检测系统用于保护关键应用的服务器,实时监视 可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型 应用的监视如web服务器应用。这种方式比较占用系统资源,但它 日J以比较准确的判断入侵行为,并针对入侵立即进行反应。 基于网络:入侵检测系统用于监视本网段的任何活动,且实 时的监视网络,但是其精确度较差,因此防入侵欺骗能力较差, 但相对与防火墙来说监控得更细致。 2.5安全扫描技术 网络安全技术中,另一类重要技术为安全扫描技术。安全扫 描技术与防火墙、安l垒监控系统互相配合能够提供很高安全性 的网络。安全扫描工具源于黑客住入侵网络系统时采用的工 具。商品化的安全扫描 具为 络安全漏洞的发现提供了强大 的支持。对网络设备、操作系统、数据库等等进行安全漏洞 检测和分析,对整个网络实施实时监控。 安全扫描工具通常也分为基干服务器和基于网络的扫描器: 基于服务器的扫描器主要扫描服务器相关的安全漏洞,如 passwd文件,目录和文件权限,共享文件系统,敏感服务,软 件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服 务器操作系统紧密相关。 基于网络的安全扫描器主要扫描设定网络内的服务器、路 由器、网桥、交换机、访问服务器、防火墙等设备的安全漏 洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描 器限制使用范围(I P地址或路由器跳数)。