【文章內(nèi)容簡介】 存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。 數(shù)據(jù)傳輸加密技術(shù) 目的是對傳輸中的數(shù)據(jù)流加密 , 常用的方針有線路加密和端對端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿 , 是對保密信息通過各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端通過專用的加密軟件，采用某種加密技術(shù)對所發(fā)送文件進(jìn)行加密 ,把明文（也即原文）加 密成密文（加密后的文件，這些文件內(nèi)容是一些看不懂的代碼）， 然后進(jìn)入 TCP/IP 數(shù)據(jù)包封裝穿過互聯(lián)網(wǎng) , 當(dāng)這些信息一旦到達(dá)目的地 , 將由收件人運用相應(yīng)的密鑰進(jìn)行解密 , 使密文恢復(fù)成為可讀數(shù)據(jù)明文。目前最常用的加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)，對稱加密技術(shù)是指同時運用一個密鑰進(jìn)行加密和解密，非對稱加密方式就是加密和解密所用的密鑰不一樣，它有一對密鑰，稱為“公鑰”和“私鑰”兩個，這兩上密鑰必須配對使用，也就是說用公鑰加密的文件必須用相應(yīng)人的么鑰才能解密，反之亦然。 數(shù)據(jù)存儲加密技術(shù) 這 種加密技術(shù)的目的是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密 , 可分為密文存儲和存取控制兩種。前者一般是通過加密法轉(zhuǎn)換、附加密碼、加密模塊等方法實現(xiàn)。它不僅可西南林學(xué)院 2021屆本科畢業(yè)論文 9 以為互聯(lián)網(wǎng)上通信的文件進(jìn)行加密和數(shù)字簽名，還可以對本地硬盤文件資料進(jìn)行加密，防止非法訪問。這種加密方式不同于 OFFICE 文檔中的密碼保護(hù)，用加密軟件加密的文件在解密前內(nèi)容都會作一下代碼轉(zhuǎn)換，把原來普通的數(shù)據(jù)轉(zhuǎn)變成一堆看不懂的代碼，這樣就保護(hù)了原文件不被非法閱讀、修改。后者則是對用戶資格、權(quán)限加以審查和限制 , 防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)，這種技術(shù)主要應(yīng)用 于NT 系統(tǒng)和一些網(wǎng)絡(luò)操作系統(tǒng)中，在系統(tǒng)中可以對不同工作組的用戶賦予相應(yīng)的權(quán)限以達(dá)到保護(hù)重要數(shù)據(jù)不被非法訪問 [13]。 數(shù)據(jù)完整性鑒別技術(shù) 數(shù)據(jù)完整性鑒別技術(shù)的目的是對介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗證 , 達(dá)到保密的要求。 一般包括口令、密鑰、身份 、數(shù)據(jù)等項的鑒別 , 系統(tǒng)通過對比驗證對象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù) , 實現(xiàn)對數(shù)據(jù)的安全保護(hù)。這種鑒別技術(shù)主要應(yīng)用于大型的數(shù)據(jù)庫管理系統(tǒng)中，因為一個單位的數(shù)據(jù)通常是一個單位的命脈，所以保護(hù)好公司數(shù)據(jù)庫的安全 通常是一個單位網(wǎng)管、甚至到領(lǐng)導(dǎo)的最重要的責(zé)任 [11]。數(shù)據(jù)庫系統(tǒng)會根據(jù)不同用戶設(shè)置不同訪問權(quán)限，并對其身份及權(quán)限的完整性進(jìn)行嚴(yán)格識別。 密鑰管理技術(shù) 數(shù)據(jù)的加密技術(shù)通常是運用密鑰對數(shù)據(jù)進(jìn)行加密，這就涉及了一個密鑰的管理問題。因為用加密軟件進(jìn)行加密時所用的密鑰通常不是平常所用的密碼那么僅幾位，至多十幾位數(shù)字或字母，一般情況這種密鑰達(dá) 64bit，有的達(dá)到 128bit，一般不可能完全用腦來記住這些密鑰，只能保存在一個安全的地方，所以這就涉及到了密鑰的管理技術(shù)。密鑰的保存媒體通常有 : 磁卡、磁帶 、磁盤、半導(dǎo)體存儲器或 IC 卡中等，但這些都可能有損壞或丟失的危險。所以現(xiàn)在的主流加密軟件都采取第三方認(rèn)證（這第三方可以是個人，也可以是公證機關(guān)）或采用隨機密鑰來彌補人們記憶上的不足，還是如 PGP 加密軟件，不過現(xiàn)在的 WIN2K 系統(tǒng)以及其它一些加密軟件都在慢慢地往這個方向發(fā)展。 殺毒軟件技術(shù) 殺毒軟件肯定是人們見的最多，也用得最為普遍的安全技術(shù)方案，因為這種技術(shù)實現(xiàn)起來最為簡單。但人們都知道殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿足網(wǎng)絡(luò)安全的需要。這種方式對于個人用戶或小企業(yè)或許還能 滿足需要，但計算機網(wǎng)絡(luò)安全中防火墻技術(shù)和端口掃描技術(shù) 10 如果個人或企業(yè)有電子商務(wù)方面的需求，就不能完全滿足了?？上驳氖请S著殺毒軟件技術(shù)的不斷發(fā)展，現(xiàn)在的主流殺毒軟件同時對預(yù)防木馬及其它的一些黑客程序的入侵。還有的殺毒軟件開發(fā)商同時提供了軟件防火墻，具有了一定防火墻功能，在一定程度上能起到硬件防火墻的功效，如 KV300、金山防火墻、 Norton 防火墻等。 3 計算機網(wǎng)絡(luò)攻擊中端口掃描技術(shù) 端口掃描 根據(jù)計算機提供服務(wù)類型的不同，端口也分為了兩大類，一種是 TCP 端口，另一種是 UDP 端口。而計算機間相互通信也分為兩大類，一種是發(fā)送方發(fā)送信 息后需要接受方響應(yīng)這個信息并給與應(yīng)答，及有應(yīng)答方式；另一種則是發(fā)送方在發(fā)送信息后不去理會接受方是否收到信息，及無應(yīng)答方式。這兩種計算機通訊方式與上邊的兩大類端口一一對應(yīng)，即有應(yīng)答 (TCP 端口 )與無應(yīng)答 (UDP 端口 )。 而端口掃描有如下幾種方式： （ 1）對某一特定端口進(jìn)行指定 IP 段的檢測，以了解該端口在該域段的使用情況。通常使用這種掃描方式是在沒有指定目標(biāo)而針對某一已知存在漏洞的服務(wù)所進(jìn)行的整域段的搜索 。 （ 2） 對某一特定主機進(jìn)行全端口或指定端口區(qū)間的檢測以了解該主機的端口使用情況。通常使用這種掃描方式是在指 定目標(biāo)的前提下，對目標(biāo)主機服務(wù)開放情況進(jìn)行的檢測分析，這將有助于盡快了解目標(biāo)主機，并展開入侵。 （ 3）前兩者的綜合。通常進(jìn)行這種掃描也是盲目的，沒有具體攻擊目標(biāo)。 常用的端口掃描技術(shù)介紹 掃描器通過選用遠(yuǎn)程 TCP/IP 不同的端口的服務(wù)，并記錄目標(biāo)給予的回答，通過這種方法，可以搜集到很多關(guān)于目標(biāo)主機的各種有用的信息。 TCP/IP 相關(guān)問題 （ 1） 連接端及標(biāo)記 IP 地址和端口被稱作套接字，它代表一個 TCP 連接的一個連接端。為了獲得 TCP 服務(wù)，必須在發(fā)送機的一個端口上和接收機的 一個端口上建立連接。 TCP 連接用兩個連接端來區(qū)別，也就是（連接端 1，連接端 2）。連接端互相發(fā)送數(shù)據(jù)包。 一個 TCP西南林學(xué)院 2021屆本科畢業(yè)論文 11 數(shù)據(jù)包包括一個 TCP 頭，后面是選項和數(shù)據(jù)。一個 TCP 頭包含 6 個標(biāo)志位。它們的意義分別為： SYN：用來建立連接的標(biāo)志位，讓連接雙方同步序列號。如果 SYN＝ 1 而 ACK=0，則表示該數(shù)據(jù)包為連接請求，如果 SYN=1 而 ACK=1 則表示接受連接。 FIN：表示發(fā)送端已經(jīng)沒有數(shù)據(jù)要求傳輸了，希望釋放連接。 RST：用來復(fù)位一個連接。 RST 標(biāo)志置位的數(shù)據(jù)包稱為復(fù)位包。一般情況下，如果 TCP 收到的一個 分段明顯不是屬于該主機上的任何一個連接，則向遠(yuǎn)端發(fā)送一個復(fù)位包。 URG：為緊急數(shù)據(jù)標(biāo)志。如果它為 1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時緊急數(shù)據(jù)指針有效。 ACK：為確認(rèn)標(biāo)志位。如果為 1，表示包中的確認(rèn)號有效的。否則，包中的確認(rèn)號無效。 PSH：如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層。 （ 2） TCP 連接的建立 TCP 是一個面向連接的可靠傳輸協(xié)議。面向連接表示兩個應(yīng)用端在利用 TCP 傳送數(shù)據(jù)前必須先建立 TCP 連接。 TCP 的可靠性通過校驗和，定時器，數(shù)據(jù)序號和應(yīng)答來提供。通過給每個發(fā)送的字節(jié)分配一 個序號，接收端接收到數(shù)據(jù)后發(fā)送應(yīng)答， TCP協(xié)議保證了數(shù)據(jù)的可靠傳輸。數(shù)據(jù)序號用來保證數(shù)據(jù)的順序，剔除重復(fù)的數(shù)據(jù)。在一個 TCP 會話中，有兩個數(shù)據(jù)流（每個連接端從另外一端接收數(shù)據(jù)，同時向?qū)Ψ桨l(fā)送數(shù)據(jù)），因此在建立連接時，必須要為每一個數(shù)據(jù)流分配 ISN（初始序號）。為了了解實現(xiàn)過程，假設(shè)客戶端 C 希望跟服務(wù)器端 S 建立連接，然后分析連接建立的過程（通常稱作三階段握手）： ① ： C 發(fā)送一個 TCP 包（ SYN 請求）給 S，其中標(biāo)記 SYN（同步序號）要打開。SYN 請求指明了客戶端希望連接的服務(wù)器端端口號和客戶端的 ISN（ XX 是一個例子）。 ② ：服務(wù)器端發(fā)回應(yīng)答，包含自己的 SYN 信息 ISN（ YY）和對 C 的 SYN 應(yīng)答，應(yīng)答時返回下一個希望得到的字節(jié)序號（ YY+1）。 ③ ： C 對從 S 來的 SYN 進(jìn)行應(yīng)答，數(shù)據(jù)發(fā)送開始。 大部分 TCP/IP 實現(xiàn)遵循以下原則： 計算機網(wǎng)絡(luò)安全中防火墻技術(shù)和端口掃描技術(shù) 12 ① ：當(dāng)一個 SYN 或者 FIN 數(shù)據(jù)包到達(dá)一個關(guān)閉的端口， TCP 丟棄數(shù)據(jù)包同時發(fā)送一個 RST 數(shù)據(jù)包。 ② ：當(dāng)一個 RST 數(shù)據(jù)包到達(dá)一個監(jiān)聽端口， RST 被丟棄。 ③ ：當(dāng)一個 RST 數(shù)據(jù)包到達(dá)一個關(guān)閉的端口， RST 被丟棄。 ④ ：當(dāng)一個包含 ACK 的數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，數(shù)據(jù)包 被丟棄，同時發(fā)送一個 RST 數(shù)據(jù)包。 ⑤ ：當(dāng)一個 SYN 位關(guān)閉的數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，數(shù)據(jù)包被丟棄。 ⑥ ：當(dāng)一個 SYN 數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，正常的三階段握手繼續(xù)，回答一個 SYN|ACK 數(shù)據(jù)包。 ⑦ ：當(dāng)一個 FIN 數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，數(shù)據(jù)包被丟棄。 FIN 行為 （關(guān)閉的端口返回 RST，監(jiān)聽端口丟棄包），在 URG 和 PSH 標(biāo)志位置位時同樣要發(fā)生。所有的 URG， PSH 和 FIN，或者沒有任何標(biāo)記的 TCP 數(shù)據(jù)包都會引起 FIN 行為 。 TCP Connect() 掃描 這是最基本的 TCP 掃 描。利用操作系統(tǒng)提供的 Connect()系統(tǒng)調(diào)用，用來與每一個感興趣的目標(biāo)計算機的端口進(jìn)行連接。如果端口處于偵聽狀態(tài)，那么 Connect()就能成功。否則，這個端口是不能用的，即沒有提供服務(wù)。這個技術(shù)的一個最大的優(yōu)點是，你不需要任何權(quán)限。系統(tǒng)中的任何用戶都有權(quán)利使用這個調(diào)用。另一個好處就是速度。如果對每個目標(biāo)端口以線性的方式，使用單獨的 Connect()調(diào)用，那么將會花費相當(dāng)長的時間，你可以通過同時打開多個套接字，從而加速掃描。使用非阻塞 I/O允許你設(shè)置一個低的時間用盡周期，同時觀察多個套接字。但這種方法的 缺點是很容易被發(fā)覺，并且被過濾掉。目標(biāo)計算機的 Logs 文件會顯示一連串的連接和連接是出錯的服務(wù)消息，并且能很快的使它關(guān)閉。 TCP SYN 掃描 這種技術(shù)通常認(rèn)為是“半開放”掃描，這是因為掃描程序不必要打開一個完全的TCP 連接。掃描程序發(fā)送的是一個 SYN 數(shù)據(jù)包，好象準(zhǔn)備打開一個實際的連接并等待反應(yīng)一樣。一個 Synlack 的返回信息表示端口處于偵聽狀態(tài)。一個 RST 返回，表示端口沒有處于偵聽?wèi)B(tài)。如果收到一個 Synlack，則掃描程序必須再發(fā)送一個 RST 信號，來關(guān)閉這個連接過程。這種掃描技術(shù)的優(yōu)點 在于一般不會在目標(biāo)計算機上留下記錄。但這種方法的一個缺點是，必須要有 Root 權(quán)限才能建立自己的 SYN 數(shù)據(jù)包。 西南林學(xué)院 2021屆本科畢業(yè)論文 13 TCP FIN 掃描 有的時候有可能 SYN 掃描都不夠秘密。一些防火墻和包過濾器會對一些指定的端口進(jìn)行監(jiān)視，有的程序能檢測到這些掃描。相反， FIN 數(shù)據(jù)包可能會沒有任何麻煩的通過。這種掃描方法的思想是關(guān)閉的端口會用適當(dāng)?shù)?RST 來回復(fù) FIN 數(shù)據(jù)包。另一方面，打開的端口會忽略對 FIN 數(shù)據(jù)包的回復(fù) [6]。這種方法和系統(tǒng)的實現(xiàn)有一定的關(guān)系。有的系統(tǒng)不管端口是否打開，都回復(fù) RST，這樣，這種掃描方 法就不適用了。并且這種方法在區(qū)分 Unix 和 NT 時，是十分有用的。 IP 段掃描 這種不能算是新方法，只是其它技術(shù)的變化。它并不是直接發(fā)送 TCP 探測數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個較小的 IP 段。這樣就將一個 TCP 包頭分成好幾個數(shù)據(jù)包，從而過濾器就很難探測到。但必須小心，一些程序在處理這些小數(shù)據(jù)包時會有些麻煩。 TCP 反向 Ident 掃描 Ident 協(xié)議允許看到通過 TCP 連接的任何進(jìn)程的擁有者的用戶名，即使這個連接不是由這個進(jìn)程開始的。舉個例子，連接到 HTTP 端口，然后用 Identd 來發(fā)現(xiàn) 服務(wù)器是否正在以 Root 權(quán)限運行。這種方法只能在和目標(biāo)端口建立了一個完整的 TCP 連接后才能看到。 UDP ICMP 端口不能到達(dá)掃描，這種方法與上面幾種方法的不同之處在于使用的是 UDP 協(xié)議 [8]。由于這個協(xié)議很簡單，所以掃描變得相對比較困難。這是由于打開的端口對掃描探測并不發(fā)送一個“確認(rèn)”，關(guān)閉的端口也并不需要發(fā)送一個錯誤數(shù)據(jù)包。幸運的是，許多主機在你向一個未打開的 UDP 端口發(fā)送一個數(shù)據(jù)包時，會返回一個“ ICMP_PORT_UNRE ACH”錯誤 [9]。這樣你就能發(fā)現(xiàn)哪個端口是關(guān)閉的。 UDP 和 ICMP 錯誤都不保 證能到達(dá)，因此這種掃描器必須還實現(xiàn)在一個包看上去是丟失的時候才能重新傳輸。這種掃描方法是很慢的，因為 RFC 對 ICMP 錯誤消息的產(chǎn)生速率做了規(guī)定。同樣，這種掃描方法需要具有 Root 權(quán)限。 認(rèn)證掃描和代理掃描 到目前為止，分析的掃描器在設(shè)計時都只有一個目的：判斷一個主機中哪個端口上有進(jìn)程在監(jiān)聽。然而，最新掃描器增加了其它