【文章內(nèi)容簡(jiǎn)介】 存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。 數(shù)據(jù)傳輸加密技術(shù) 目的是對(duì)傳輸中的數(shù)據(jù)流加密 , 常用的方針有線路加密和端對(duì)端加密兩種。前者側(cè)重在線路上而不考慮信源與信宿 , 是對(duì)保密信息通過(guò)各線路采用不同的加密密鑰提供安全保護(hù)。后者則指信息由發(fā)送者端通過(guò)專用的加密軟件，采用某種加密技術(shù)對(duì)所發(fā)送文件進(jìn)行加密 ,把明文（也即原文）加 密成密文（加密后的文件，這些文件內(nèi)容是一些看不懂的代碼）， 然后進(jìn)入 TCP/IP 數(shù)據(jù)包封裝穿過(guò)互聯(lián)網(wǎng) , 當(dāng)這些信息一旦到達(dá)目的地 , 將由收件人運(yùn)用相應(yīng)的密鑰進(jìn)行解密 , 使密文恢復(fù)成為可讀數(shù)據(jù)明文。目前最常用的加密技術(shù)有對(duì)稱加密技術(shù)和非對(duì)稱加密技術(shù)，對(duì)稱加密技術(shù)是指同時(shí)運(yùn)用一個(gè)密鑰進(jìn)行加密和解密，非對(duì)稱加密方式就是加密和解密所用的密鑰不一樣，它有一對(duì)密鑰，稱為“公鑰”和“私鑰”兩個(gè)，這兩上密鑰必須配對(duì)使用，也就是說(shuō)用公鑰加密的文件必須用相應(yīng)人的么鑰才能解密，反之亦然。 數(shù)據(jù)存儲(chǔ)加密技術(shù) 這 種加密技術(shù)的目的是防止在存儲(chǔ)環(huán)節(jié)上的數(shù)據(jù)失密 , 可分為密文存儲(chǔ)和存取控制兩種。前者一般是通過(guò)加密法轉(zhuǎn)換、附加密碼、加密模塊等方法實(shí)現(xiàn)。它不僅可西南林學(xué)院 2021屆本科畢業(yè)論文 9 以為互聯(lián)網(wǎng)上通信的文件進(jìn)行加密和數(shù)字簽名，還可以對(duì)本地硬盤文件資料進(jìn)行加密，防止非法訪問(wèn)。這種加密方式不同于 OFFICE 文檔中的密碼保護(hù)，用加密軟件加密的文件在解密前內(nèi)容都會(huì)作一下代碼轉(zhuǎn)換，把原來(lái)普通的數(shù)據(jù)轉(zhuǎn)變成一堆看不懂的代碼，這樣就保護(hù)了原文件不被非法閱讀、修改。后者則是對(duì)用戶資格、權(quán)限加以審查和限制 , 防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)，這種技術(shù)主要應(yīng)用 于NT 系統(tǒng)和一些網(wǎng)絡(luò)操作系統(tǒng)中，在系統(tǒng)中可以對(duì)不同工作組的用戶賦予相應(yīng)的權(quán)限以達(dá)到保護(hù)重要數(shù)據(jù)不被非法訪問(wèn) [13]。 數(shù)據(jù)完整性鑒別技術(shù) 數(shù)據(jù)完整性鑒別技術(shù)的目的是對(duì)介入信息的傳送、存取、處理的人的身份和相關(guān)數(shù)據(jù)內(nèi)容進(jìn)行驗(yàn)證 , 達(dá)到保密的要求。 一般包括口令、密鑰、身份 、數(shù)據(jù)等項(xiàng)的鑒別 , 系統(tǒng)通過(guò)對(duì)比驗(yàn)證對(duì)象輸入的特征值是否符合預(yù)先設(shè)定的參數(shù) , 實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全保護(hù)。這種鑒別技術(shù)主要應(yīng)用于大型的數(shù)據(jù)庫(kù)管理系統(tǒng)中，因?yàn)橐粋€(gè)單位的數(shù)據(jù)通常是一個(gè)單位的命脈，所以保護(hù)好公司數(shù)據(jù)庫(kù)的安全 通常是一個(gè)單位網(wǎng)管、甚至到領(lǐng)導(dǎo)的最重要的責(zé)任 [11]。數(shù)據(jù)庫(kù)系統(tǒng)會(huì)根據(jù)不同用戶設(shè)置不同訪問(wèn)權(quán)限，并對(duì)其身份及權(quán)限的完整性進(jìn)行嚴(yán)格識(shí)別。 密鑰管理技術(shù) 數(shù)據(jù)的加密技術(shù)通常是運(yùn)用密鑰對(duì)數(shù)據(jù)進(jìn)行加密，這就涉及了一個(gè)密鑰的管理問(wèn)題。因?yàn)橛眉用苘浖M(jìn)行加密時(shí)所用的密鑰通常不是平常所用的密碼那么僅幾位，至多十幾位數(shù)字或字母，一般情況這種密鑰達(dá) 64bit，有的達(dá)到 128bit，一般不可能完全用腦來(lái)記住這些密鑰，只能保存在一個(gè)安全的地方，所以這就涉及到了密鑰的管理技術(shù)。密鑰的保存媒體通常有 : 磁卡、磁帶 、磁盤、半導(dǎo)體存儲(chǔ)器或 IC 卡中等，但這些都可能有損壞或丟失的危險(xiǎn)。所以現(xiàn)在的主流加密軟件都采取第三方認(rèn)證（這第三方可以是個(gè)人，也可以是公證機(jī)關(guān)）或采用隨機(jī)密鑰來(lái)彌補(bǔ)人們記憶上的不足，還是如 PGP 加密軟件，不過(guò)現(xiàn)在的 WIN2K 系統(tǒng)以及其它一些加密軟件都在慢慢地往這個(gè)方向發(fā)展。 殺毒軟件技術(shù) 殺毒軟件肯定是人們見(jiàn)的最多，也用得最為普遍的安全技術(shù)方案，因?yàn)檫@種技術(shù)實(shí)現(xiàn)起來(lái)最為簡(jiǎn)單。但人們都知道殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿足網(wǎng)絡(luò)安全的需要。這種方式對(duì)于個(gè)人用戶或小企業(yè)或許還能 滿足需要，但計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)和端口掃描技術(shù) 10 如果個(gè)人或企業(yè)有電子商務(wù)方面的需求，就不能完全滿足了。可喜的是隨著殺毒軟件技術(shù)的不斷發(fā)展，現(xiàn)在的主流殺毒軟件同時(shí)對(duì)預(yù)防木馬及其它的一些黑客程序的入侵。還有的殺毒軟件開(kāi)發(fā)商同時(shí)提供了軟件防火墻，具有了一定防火墻功能，在一定程度上能起到硬件防火墻的功效，如 KV300、金山防火墻、 Norton 防火墻等。 3 計(jì)算機(jī)網(wǎng)絡(luò)攻擊中端口掃描技術(shù) 端口掃描 根據(jù)計(jì)算機(jī)提供服務(wù)類型的不同，端口也分為了兩大類，一種是 TCP 端口，另一種是 UDP 端口。而計(jì)算機(jī)間相互通信也分為兩大類，一種是發(fā)送方發(fā)送信 息后需要接受方響應(yīng)這個(gè)信息并給與應(yīng)答，及有應(yīng)答方式；另一種則是發(fā)送方在發(fā)送信息后不去理會(huì)接受方是否收到信息，及無(wú)應(yīng)答方式。這兩種計(jì)算機(jī)通訊方式與上邊的兩大類端口一一對(duì)應(yīng)，即有應(yīng)答 (TCP 端口 )與無(wú)應(yīng)答 (UDP 端口 )。 而端口掃描有如下幾種方式： （ 1）對(duì)某一特定端口進(jìn)行指定 IP 段的檢測(cè)，以了解該端口在該域段的使用情況。通常使用這種掃描方式是在沒(méi)有指定目標(biāo)而針對(duì)某一已知存在漏洞的服務(wù)所進(jìn)行的整域段的搜索 。 （ 2） 對(duì)某一特定主機(jī)進(jìn)行全端口或指定端口區(qū)間的檢測(cè)以了解該主機(jī)的端口使用情況。通常使用這種掃描方式是在指 定目標(biāo)的前提下，對(duì)目標(biāo)主機(jī)服務(wù)開(kāi)放情況進(jìn)行的檢測(cè)分析，這將有助于盡快了解目標(biāo)主機(jī)，并展開(kāi)入侵。 （ 3）前兩者的綜合。通常進(jìn)行這種掃描也是盲目的，沒(méi)有具體攻擊目標(biāo)。 常用的端口掃描技術(shù)介紹 掃描器通過(guò)選用遠(yuǎn)程 TCP/IP 不同的端口的服務(wù)，并記錄目標(biāo)給予的回答，通過(guò)這種方法，可以搜集到很多關(guān)于目標(biāo)主機(jī)的各種有用的信息。 TCP/IP 相關(guān)問(wèn)題 （ 1） 連接端及標(biāo)記 IP 地址和端口被稱作套接字，它代表一個(gè) TCP 連接的一個(gè)連接端。為了獲得 TCP 服務(wù)，必須在發(fā)送機(jī)的一個(gè)端口上和接收機(jī)的 一個(gè)端口上建立連接。 TCP 連接用兩個(gè)連接端來(lái)區(qū)別，也就是（連接端 1，連接端 2）。連接端互相發(fā)送數(shù)據(jù)包。 一個(gè) TCP西南林學(xué)院 2021屆本科畢業(yè)論文 11 數(shù)據(jù)包包括一個(gè) TCP 頭，后面是選項(xiàng)和數(shù)據(jù)。一個(gè) TCP 頭包含 6 個(gè)標(biāo)志位。它們的意義分別為： SYN：用來(lái)建立連接的標(biāo)志位，讓連接雙方同步序列號(hào)。如果 SYN＝ 1 而 ACK=0，則表示該數(shù)據(jù)包為連接請(qǐng)求，如果 SYN=1 而 ACK=1 則表示接受連接。 FIN：表示發(fā)送端已經(jīng)沒(méi)有數(shù)據(jù)要求傳輸了，希望釋放連接。 RST：用來(lái)復(fù)位一個(gè)連接。 RST 標(biāo)志置位的數(shù)據(jù)包稱為復(fù)位包。一般情況下，如果 TCP 收到的一個(gè) 分段明顯不是屬于該主機(jī)上的任何一個(gè)連接，則向遠(yuǎn)端發(fā)送一個(gè)復(fù)位包。 URG：為緊急數(shù)據(jù)標(biāo)志。如果它為 1，表示本數(shù)據(jù)包中包含緊急數(shù)據(jù)。此時(shí)緊急數(shù)據(jù)指針有效。 ACK：為確認(rèn)標(biāo)志位。如果為 1，表示包中的確認(rèn)號(hào)有效的。否則，包中的確認(rèn)號(hào)無(wú)效。 PSH：如果置位，接收端應(yīng)盡快把數(shù)據(jù)傳送給應(yīng)用層。 （ 2） TCP 連接的建立 TCP 是一個(gè)面向連接的可靠傳輸協(xié)議。面向連接表示兩個(gè)應(yīng)用端在利用 TCP 傳送數(shù)據(jù)前必須先建立 TCP 連接。 TCP 的可靠性通過(guò)校驗(yàn)和，定時(shí)器，數(shù)據(jù)序號(hào)和應(yīng)答來(lái)提供。通過(guò)給每個(gè)發(fā)送的字節(jié)分配一 個(gè)序號(hào)，接收端接收到數(shù)據(jù)后發(fā)送應(yīng)答， TCP協(xié)議保證了數(shù)據(jù)的可靠傳輸。數(shù)據(jù)序號(hào)用來(lái)保證數(shù)據(jù)的順序，剔除重復(fù)的數(shù)據(jù)。在一個(gè) TCP 會(huì)話中，有兩個(gè)數(shù)據(jù)流（每個(gè)連接端從另外一端接收數(shù)據(jù)，同時(shí)向?qū)Ψ桨l(fā)送數(shù)據(jù)），因此在建立連接時(shí)，必須要為每一個(gè)數(shù)據(jù)流分配 ISN（初始序號(hào)）。為了了解實(shí)現(xiàn)過(guò)程，假設(shè)客戶端 C 希望跟服務(wù)器端 S 建立連接，然后分析連接建立的過(guò)程（通常稱作三階段握手）： ① ： C 發(fā)送一個(gè) TCP 包（ SYN 請(qǐng)求）給 S，其中標(biāo)記 SYN（同步序號(hào)）要打開(kāi)。SYN 請(qǐng)求指明了客戶端希望連接的服務(wù)器端端口號(hào)和客戶端的 ISN（ XX 是一個(gè)例子）。 ② ：服務(wù)器端發(fā)回應(yīng)答，包含自己的 SYN 信息 ISN（ YY）和對(duì) C 的 SYN 應(yīng)答，應(yīng)答時(shí)返回下一個(gè)希望得到的字節(jié)序號(hào)（ YY+1）。 ③ ： C 對(duì)從 S 來(lái)的 SYN 進(jìn)行應(yīng)答，數(shù)據(jù)發(fā)送開(kāi)始。 大部分 TCP/IP 實(shí)現(xiàn)遵循以下原則： 計(jì)算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)和端口掃描技術(shù) 12 ① ：當(dāng)一個(gè) SYN 或者 FIN 數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口， TCP 丟棄數(shù)據(jù)包同時(shí)發(fā)送一個(gè) RST 數(shù)據(jù)包。 ② ：當(dāng)一個(gè) RST 數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口， RST 被丟棄。 ③ ：當(dāng)一個(gè) RST 數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口， RST 被丟棄。 ④ ：當(dāng)一個(gè)包含 ACK 的數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，數(shù)據(jù)包 被丟棄，同時(shí)發(fā)送一個(gè) RST 數(shù)據(jù)包。 ⑤ ：當(dāng)一個(gè) SYN 位關(guān)閉的數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，數(shù)據(jù)包被丟棄。 ⑥ ：當(dāng)一個(gè) SYN 數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，正常的三階段握手繼續(xù)，回答一個(gè) SYN|ACK 數(shù)據(jù)包。 ⑦ ：當(dāng)一個(gè) FIN 數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，數(shù)據(jù)包被丟棄。 FIN 行為 （關(guān)閉的端口返回 RST，監(jiān)聽(tīng)端口丟棄包），在 URG 和 PSH 標(biāo)志位置位時(shí)同樣要發(fā)生。所有的 URG， PSH 和 FIN，或者沒(méi)有任何標(biāo)記的 TCP 數(shù)據(jù)包都會(huì)引起 FIN 行為 。 TCP Connect() 掃描 這是最基本的 TCP 掃 描。利用操作系統(tǒng)提供的 Connect()系統(tǒng)調(diào)用，用來(lái)與每一個(gè)感興趣的目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于偵聽(tīng)狀態(tài)，那么 Connect()就能成功。否則，這個(gè)端口是不能用的，即沒(méi)有提供服務(wù)。這個(gè)技術(shù)的一個(gè)最大的優(yōu)點(diǎn)是，你不需要任何權(quán)限。系統(tǒng)中的任何用戶都有權(quán)利使用這個(gè)調(diào)用。另一個(gè)好處就是速度。如果對(duì)每個(gè)目標(biāo)端口以線性的方式，使用單獨(dú)的 Connect()調(diào)用，那么將會(huì)花費(fèi)相當(dāng)長(zhǎng)的時(shí)間，你可以通過(guò)同時(shí)打開(kāi)多個(gè)套接字，從而加速掃描。使用非阻塞 I/O允許你設(shè)置一個(gè)低的時(shí)間用盡周期，同時(shí)觀察多個(gè)套接字。但這種方法的 缺點(diǎn)是很容易被發(fā)覺(jué)，并且被過(guò)濾掉。目標(biāo)計(jì)算機(jī)的 Logs 文件會(huì)顯示一連串的連接和連接是出錯(cuò)的服務(wù)消息，并且能很快的使它關(guān)閉。 TCP SYN 掃描 這種技術(shù)通常認(rèn)為是“半開(kāi)放”掃描，這是因?yàn)閽呙璩绦虿槐匾蜷_(kāi)一個(gè)完全的TCP 連接。掃描程序發(fā)送的是一個(gè) SYN 數(shù)據(jù)包，好象準(zhǔn)備打開(kāi)一個(gè)實(shí)際的連接并等待反應(yīng)一樣。一個(gè) Synlack 的返回信息表示端口處于偵聽(tīng)狀態(tài)。一個(gè) RST 返回，表示端口沒(méi)有處于偵聽(tīng)?wèi)B(tài)。如果收到一個(gè) Synlack，則掃描程序必須再發(fā)送一個(gè) RST 信號(hào)，來(lái)關(guān)閉這個(gè)連接過(guò)程。這種掃描技術(shù)的優(yōu)點(diǎn) 在于一般不會(huì)在目標(biāo)計(jì)算機(jī)上留下記錄。但這種方法的一個(gè)缺點(diǎn)是，必須要有 Root 權(quán)限才能建立自己的 SYN 數(shù)據(jù)包。 西南林學(xué)院 2021屆本科畢業(yè)論文 13 TCP FIN 掃描 有的時(shí)候有可能 SYN 掃描都不夠秘密。一些防火墻和包過(guò)濾器會(huì)對(duì)一些指定的端口進(jìn)行監(jiān)視，有的程序能檢測(cè)到這些掃描。相反， FIN 數(shù)據(jù)包可能會(huì)沒(méi)有任何麻煩的通過(guò)。這種掃描方法的思想是關(guān)閉的端口會(huì)用適當(dāng)?shù)?RST 來(lái)回復(fù) FIN 數(shù)據(jù)包。另一方面，打開(kāi)的端口會(huì)忽略對(duì) FIN 數(shù)據(jù)包的回復(fù) [6]。這種方法和系統(tǒng)的實(shí)現(xiàn)有一定的關(guān)系。有的系統(tǒng)不管端口是否打開(kāi)，都回復(fù) RST，這樣，這種掃描方 法就不適用了。并且這種方法在區(qū)分 Unix 和 NT 時(shí)，是十分有用的。 IP 段掃描 這種不能算是新方法，只是其它技術(shù)的變化。它并不是直接發(fā)送 TCP 探測(cè)數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個(gè)較小的 IP 段。這樣就將一個(gè) TCP 包頭分成好幾個(gè)數(shù)據(jù)包，從而過(guò)濾器就很難探測(cè)到。但必須小心，一些程序在處理這些小數(shù)據(jù)包時(shí)會(huì)有些麻煩。 TCP 反向 Ident 掃描 Ident 協(xié)議允許看到通過(guò) TCP 連接的任何進(jìn)程的擁有者的用戶名，即使這個(gè)連接不是由這個(gè)進(jìn)程開(kāi)始的。舉個(gè)例子，連接到 HTTP 端口，然后用 Identd 來(lái)發(fā)現(xiàn) 服務(wù)器是否正在以 Root 權(quán)限運(yùn)行。這種方法只能在和目標(biāo)端口建立了一個(gè)完整的 TCP 連接后才能看到。 UDP ICMP 端口不能到達(dá)掃描，這種方法與上面幾種方法的不同之處在于使用的是 UDP 協(xié)議 [8]。由于這個(gè)協(xié)議很簡(jiǎn)單，所以掃描變得相對(duì)比較困難。這是由于打開(kāi)的端口對(duì)掃描探測(cè)并不發(fā)送一個(gè)“確認(rèn)”，關(guān)閉的端口也并不需要發(fā)送一個(gè)錯(cuò)誤數(shù)據(jù)包。幸運(yùn)的是，許多主機(jī)在你向一個(gè)未打開(kāi)的 UDP 端口發(fā)送一個(gè)數(shù)據(jù)包時(shí)，會(huì)返回一個(gè)“ ICMP_PORT_UNRE ACH”錯(cuò)誤 [9]。這樣你就能發(fā)現(xiàn)哪個(gè)端口是關(guān)閉的。 UDP 和 ICMP 錯(cuò)誤都不保 證能到達(dá)，因此這種掃描器必須還實(shí)現(xiàn)在一個(gè)包看上去是丟失的時(shí)候才能重新傳輸。這種掃描方法是很慢的，因?yàn)?RFC 對(duì) ICMP 錯(cuò)誤消息的產(chǎn)生速率做了規(guī)定。同樣，這種掃描方法需要具有 Root 權(quán)限。 認(rèn)證掃描和代理掃描 到目前為止，分析的掃描器在設(shè)計(jì)時(shí)都只有一個(gè)目的：判斷一個(gè)主機(jī)中哪個(gè)端口上有進(jìn)程在監(jiān)聽(tīng)。然而，最新掃描器增加了其它