第4章 電子交易網(wǎng)絡(luò)安全 張沖杰20120815

1第4章電子交易網(wǎng)絡(luò)安全

張沖杰高級(jí)工程師二○一二年八月十五日泉州信息職業(yè)技術(shù)學(xué)院商貿(mào)管理系

院級(jí)精品課程電子支付與交易安全

2

教學(xué)目標(biāo)和重點(diǎn)難點(diǎn)第4章電子交易網(wǎng)絡(luò)安全計(jì)劃學(xué)時(shí)4課時(shí)，實(shí)訓(xùn)1知識(shí)目標(biāo)網(wǎng)絡(luò)安全的概念，網(wǎng)絡(luò)安全防范策略，防火墻設(shè)計(jì)思想，常用防火墻的設(shè)置。能力目標(biāo)掌握常用防火墻的設(shè)置操作。

知識(shí)點(diǎn)難點(diǎn)重點(diǎn)考點(diǎn)第1節(jié)網(wǎng)絡(luò)安全概述

●●

第2節(jié)

網(wǎng)絡(luò)信息安全防范策略●●第3節(jié)防火墻及其應(yīng)用●●實(shí)訓(xùn)4常用防火墻的設(shè)置操作第4章電子交易網(wǎng)絡(luò)安全

第1節(jié)

網(wǎng)絡(luò)安全概述第2節(jié)

網(wǎng)絡(luò)信息安全防范第3節(jié)

防火墻及其應(yīng)用4

第1節(jié)網(wǎng)絡(luò)安全概述1網(wǎng)絡(luò)安全的概念2計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全問題3計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的不安全特性狹義：指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)和信息資源不受自然和人為因素的威脅和危害；廣義：涉及計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)的理論及其實(shí)踐問題。1網(wǎng)絡(luò)安全的概念I(lǐng)SO的定義：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)與管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不受偶然和惡意的原因遭到破壞、更改和泄露。

2計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全問題

Internet是一個(gè)開放的、無控制機(jī)構(gòu)的網(wǎng)絡(luò)，黑客（Hacker）容易入侵。

Internet傳輸信息是基于TCP/IP通信協(xié)議，協(xié)議不能保證信息不被竊取。

計(jì)算機(jī)操作系統(tǒng)多數(shù)使用Windows

，其安全漏洞比較多。用電子郵件來傳輸重要機(jī)密信息有很大的風(fēng)險(xiǎn)。計(jì)算機(jī)病毒容易通過Internet傳播，給上網(wǎng)用戶帶來極大的危害。3計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的不安全特性＊

操作系統(tǒng)的安全漏洞網(wǎng)絡(luò)安全的脆弱性數(shù)據(jù)庫系統(tǒng)的安全漏洞防火墻的局限性其他方面的原因第2節(jié)網(wǎng)絡(luò)信息安全防范

1網(wǎng)絡(luò)信息安全防范策略2常見的網(wǎng)絡(luò)攻擊3網(wǎng)絡(luò)攻擊防范1網(wǎng)絡(luò)信息安全防范策略系統(tǒng)總體安全策略訪問權(quán)限控制策略物理安全防范策略網(wǎng)絡(luò)信息安全防范策略續(xù)＊信息加密策略黑客防范策略風(fēng)險(xiǎn)管理策略災(zāi)難恢復(fù)策略網(wǎng)絡(luò)信息安全防范體系模型網(wǎng)絡(luò)信息安全防范模型圖2常見的網(wǎng)絡(luò)攻擊2.1

黑客攻擊的三種類型探測攻擊。探測在目標(biāo)網(wǎng)絡(luò)上安裝的是何種防火墻系統(tǒng)，該系統(tǒng)允許哪些服務(wù)。地址欺騙和TCP序號(hào)攻擊。以此繞過防火墻的認(rèn)證體系。尋找并利用防火墻系統(tǒng)的安全漏洞。有針對(duì)性地發(fā)動(dòng)攻擊。典型攻擊一般過程2.2常見的攻擊

IP欺騙攻擊DoS拒絕服務(wù)攻擊分片攻擊木馬攻擊IP欺騙攻擊修改數(shù)據(jù)包的源、目的地址和端口；模仿合法的數(shù)據(jù)包來騙過防火墻的檢測。例如，外部攻擊者將他的數(shù)據(jù)報(bào)源地址改為內(nèi)部網(wǎng)絡(luò)地址，防火墻看到是合法地址就放行了。DoS拒絕服務(wù)攻擊DoS（DenialofService）意思是“拒絕服務(wù)”。借助于網(wǎng)絡(luò)系統(tǒng)或網(wǎng)絡(luò)協(xié)議的缺陷和配置漏洞進(jìn)行網(wǎng)絡(luò)攻擊。使網(wǎng)絡(luò)擁塞、系統(tǒng)資源耗盡或者系統(tǒng)應(yīng)用死鎖。妨礙目標(biāo)主機(jī)和網(wǎng)絡(luò)系統(tǒng)對(duì)正常用戶服務(wù)請(qǐng)求的及時(shí)響應(yīng)，造成服務(wù)性能受損甚至導(dǎo)致服務(wù)中斷。DoS拒絕服務(wù)攻擊示例分布式拒絕服務(wù)攻擊(DDoS)借助客戶/服務(wù)器技術(shù)，聯(lián)合多個(gè)計(jì)算機(jī)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)攻擊，成倍提高拒絕服務(wù)攻擊的威力。攻擊者使用偷竊帳號(hào)將DDoS主控程序預(yù)裝在計(jì)算機(jī)上，并設(shè)定時(shí)間讓主控程序與大量代理程序通訊，代理程序也預(yù)裝在Internet的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù)，主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。DDoS分布式拒絕服務(wù)攻擊示意圖被攻擊主機(jī)上有大量等待的TCP連接；網(wǎng)絡(luò)中充斥著大量無用的數(shù)據(jù)包，源地址為假；制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，受害主機(jī)無法正常和外界通訊；利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷，反復(fù)高速的發(fā)出服務(wù)請(qǐng)求，使受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求；嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。DDoS攻擊現(xiàn)象

①IP分片的理解

IP協(xié)議在傳輸數(shù)據(jù)包時(shí)，將數(shù)據(jù)報(bào)文分為若干分片進(jìn)行傳輸，并在目標(biāo)系統(tǒng)中進(jìn)行重組。這一過程稱為分片。

IP分片發(fā)生在要傳輸?shù)腎P報(bào)文大小超過最大傳輸單位MTU的情況。比如說，在以太網(wǎng)環(huán)境中可傳輸最大IP報(bào)文大?。∕TU）為1500字節(jié)。如果要傳輸?shù)膱?bào)文大小超過1500字節(jié)，則需要分片之后進(jìn)行傳輸。

分片攻擊（IP分片攻擊）各IP分片基于IP分片識(shí)別號(hào)進(jìn)行重組，識(shí)別號(hào)相同的重組為相同的IP報(bào)文。IP分片識(shí)別號(hào)長度為16位。各分片具有從原始報(bào)文進(jìn)行分片之前的分片偏移量以確定其位置。各分片具有分片數(shù)據(jù)長度，其中20字節(jié)IP包頭不包含在該數(shù)據(jù)長度中。即傳輸1500字節(jié)的數(shù)據(jù)時(shí)，實(shí)際數(shù)據(jù)長度為1480(1500-20)字節(jié)。當(dāng)每個(gè)分片之后還存在后續(xù)的分片時(shí)，該分片的ME標(biāo)志位為1。分片報(bào)文重組信息分片攻擊的原理IP分片包用一個(gè)分片偏移字段標(biāo)志分片包的順序，但是只有第一個(gè)分片包含有TCP端口號(hào)的信息。當(dāng)IP分片包通過分組過濾防火墻時(shí)，防火墻檢測第一個(gè)分片包的TCP信息，后面的不檢測。攻擊者可以通過先發(fā)送第一個(gè)合法的IP分片，騙過防火墻的檢測，后續(xù)分片包就可以直接穿透防火墻。木馬攻擊包過濾防火墻一般只過濾低端口（1～1024），木馬專門攻擊高端口。木馬可以完成一些非授權(quán)用戶不能直接完成的功能。包括破壞數(shù)據(jù),盜取文件等。木馬病毒前綴是Trojan。例如QQ消息尾巴木馬Trojan.QQ3344。木馬很會(huì)偽裝，例如exp1orer.exe，把字母“l(fā)”換成數(shù)字“1”。①木馬攻擊的技術(shù)特點(diǎn)附錄：卡巴斯殺毒軟件應(yīng)用實(shí)錄1

附錄：卡巴斯殺毒軟件應(yīng)用實(shí)錄2

附錄：卡巴斯殺毒軟件應(yīng)用實(shí)錄3

②手工查殺木馬

木馬攻擊的前提是必須先上傳，然后運(yùn)行。由于殺毒軟件的升級(jí)多數(shù)情況下慢于木馬的出現(xiàn)，因此學(xué)會(huì)手工查殺非常必要。方法之一：檢查注冊表看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrenVersion和

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”開頭的鍵值名，其下有沒有可疑的文件名。如果有，就需要?jiǎng)h除相應(yīng)的鍵值，再刪除相應(yīng)的應(yīng)用程序。②手工查殺木馬

方法之二：檢查啟動(dòng)組

啟動(dòng)組對(duì)應(yīng)的文件夾為：C:＼windows＼startmenu＼programs＼startup，在注冊表中的位置：

HKEY_CURRENT_USER＼

Software＼Microsoft＼Windows＼

CurrentVersion＼Explorer＼Shell

FoldersStartup="C:＼windows＼startmenu＼programs＼startup"。③查殺盜號(hào)木馬trojan.win32.agent.ph問題：殺毒軟件查到但是殺不了。解決：查出來就一定能殺。所謂殺不了，是因?yàn)椴《驹谶\(yùn)行，正在運(yùn)行的程序不能修改或刪除的。重新啟動(dòng)，按F8，進(jìn)入安全模式，再從安全模式中啟動(dòng)殺毒軟件就可以輕松殺毒了。另外，可清理臨時(shí)文件夾，建議使用超級(jí)兔子清理系統(tǒng)，因?yàn)橛泻芏嗖《局鞒绦螂[藏在臨時(shí)文件夾里面,殺毒的時(shí)候不能完全刪除。協(xié)議隧道攻擊

協(xié)議隧道的攻擊思想類似于VPN的實(shí)現(xiàn)原理，攻擊者將攻擊數(shù)據(jù)包隱藏在協(xié)議分組的頭部，穿透防火墻系統(tǒng)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行攻擊。反彈木馬攻擊攻擊者在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時(shí)地連接外部攻擊者控制的主機(jī)，由于連接是從內(nèi)部發(fā)起的，任何的防火墻都會(huì)認(rèn)為是一個(gè)合法的連接。防火墻不能區(qū)分木馬的連接和合法的連接。這種攻擊的關(guān)鍵是必須先安裝木馬。攻擊代理以代理防火墻軟件Wingate為例，簡單介紹攻擊代理。wingate最早的基于Windows平臺(tái)的代理服務(wù)器軟件，網(wǎng)絡(luò)連接共享的標(biāo)準(zhǔn)。還能夠提供高級(jí)用戶管理和綜合的電子郵件服務(wù)器的低成本安全解決方案。局域網(wǎng)內(nèi)部用戶可以通過一臺(tái)安裝有WinGate的主機(jī)訪問Internet。由于WinGate自身存安全漏洞，攻擊者可利用這些漏洞偽裝成WinGate主機(jī)身份，對(duì)其它計(jì)算機(jī)發(fā)動(dòng)攻擊。非授權(quán)Web訪問

某些WinGate版本(如運(yùn)行在NT系統(tǒng)下的2.1d版本)在誤配置情況下，允許外部主機(jī)完全匿名地訪問因特網(wǎng)。因此，外部攻擊者就可以利用WinGate主機(jī)來對(duì)Web服務(wù)器發(fā)動(dòng)各種Web攻擊，同時(shí)由于Web攻擊的所有報(bào)文都是從80號(hào)TCP端口穿過的，因此，很難追蹤到攻擊者的來源。

非授權(quán)Socks訪問

在WinGate的缺省配置中，Socks代理(1080號(hào)TCP端口)同樣是存在安全漏洞。與打開的Web代理(80號(hào)TCP端口)一樣，外部攻擊者可以利用Socks代理訪問因特網(wǎng)。非授權(quán)Telnet訪問

它是WinGate最具威脅的安全漏洞。通過連接到一個(gè)誤配置的inGate服務(wù)器的Telnet服務(wù)，攻擊者可以使用別人的主機(jī)隱藏自己的蹤跡，隨意地發(fā)動(dòng)攻擊。

網(wǎng)絡(luò)上的攻擊代理廣告2010年4月22日搜索百度/s?wd=%B4%FA%C0%ED%B9%A5%BB%F7&ch=&tn=site888_pg&bar=&oq=dailigongji&rsp=0&f=3會(huì)話劫持攻擊

會(huì)話劫持（SessionHijack）是一種結(jié)合了嗅探和欺騙技術(shù)在內(nèi)的攻擊手段。從廣義上講，會(huì)話劫持就是在一次正常的通信過程中，黑客作為第三方參與到其中，或者是在數(shù)據(jù)流（例如基于TCP的會(huì)話）里注射額外的信息，或者是將雙方的通信模式暗中改變，即從直接聯(lián)系變成有黑客聯(lián)系。會(huì)話劫持攻擊的形式①被動(dòng)劫持：是將會(huì)話當(dāng)中的某一臺(tái)主機(jī)“踢”下線，然后由攻擊者取代并接管會(huì)話。②主動(dòng)劫持：就是在后臺(tái)監(jiān)視雙方會(huì)話的數(shù)據(jù)流，叢中獲得敏感數(shù)據(jù)。會(huì)話劫持攻擊的原理會(huì)話劫持利用了TCP/IP工作原理來設(shè)計(jì)攻擊。

TCP使用端到端的連接，即TCP用源IP、源TCP端口號(hào)、目的IP、目的TCP端號(hào)來唯一標(biāo)識(shí)每一條已經(jīng)建立連接的TCP鏈路。會(huì)話劫持攻擊工具（1）Juggernaut，一個(gè)可以被用來進(jìn)行TCP會(huì)話攻擊的網(wǎng)絡(luò)sniffer程序。（2）Hunt，一個(gè)用來聽取、截取和劫持網(wǎng)絡(luò)上的活動(dòng)會(huì)話的程序。（3）TTYWatcher，一個(gè)免費(fèi)的程序，允許人們監(jiān)視并且劫持一臺(tái)單一主機(jī)上的連接。

（4）IPWatcher，一個(gè)商用的會(huì)話劫持工具，它允許監(jiān)視會(huì)話并且獲得積極的反會(huì)話劫持方法。（5）Ettercap，一款以太網(wǎng)環(huán)境下的網(wǎng)絡(luò)監(jiān)視、攔截和記錄工具。會(huì)話劫持防范使用交換式網(wǎng)絡(luò)替代共享式網(wǎng)絡(luò)采用加密通信，使用SSH代替Telnet使用SSL代替HTTP使用IPSec/VPN監(jiān)視網(wǎng)絡(luò)流量，如發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)大量的ACK包，則有可能已被進(jìn)行了會(huì)話劫持攻擊。安全套接層（SecureSocketsLayer，SSL）及其繼任者傳輸層安全（TransportLayerSecurity，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。參考資料：服務(wù)使用的默認(rèn)端口

（判斷題）FTP的端口是21SSH(SecureShell)服務(wù)使用tcp22端口TELNET23端口DHCPserver的端口號(hào)是67MAIL的端口號(hào)是25\110pop3\smtp的端口號(hào)是110/25DNS的端口號(hào)是53HTTP通信用的