【文章內容簡介】 存儲、數據完整性的鑒別以及密鑰管理技術四種。 數據傳輸加密技術 目的是對傳輸中的數據流加密 , 常用的方針有線路加密和端對端加密兩種。前者側重在線路上而不考慮信源與信宿 , 是對保密信息通過各線路采用不同的加密密鑰提供安全保護。后者則指信息由發(fā)送者端通過專用的加密軟件，采用某種加密技術對所發(fā)送文件進行加密 ,把明文（也即原文）加 密成密文（加密后的文件，這些文件內容是一些看不懂的代碼）， 然后進入 TCP/IP 數據包封裝穿過互聯(lián)網 , 當這些信息一旦到達目的地 , 將由收件人運用相應的密鑰進行解密 , 使密文恢復成為可讀數據明文。目前最常用的加密技術有對稱加密技術和非對稱加密技術，對稱加密技術是指同時運用一個密鑰進行加密和解密，非對稱加密方式就是加密和解密所用的密鑰不一樣，它有一對密鑰，稱為“公鑰”和“私鑰”兩個，這兩上密鑰必須配對使用，也就是說用公鑰加密的文件必須用相應人的么鑰才能解密，反之亦然。 數據存儲加密技術 這 種加密技術的目的是防止在存儲環(huán)節(jié)上的數據失密 , 可分為密文存儲和存取控制兩種。前者一般是通過加密法轉換、附加密碼、加密模塊等方法實現。它不僅可西南林學院 2021屆本科畢業(yè)論文 9 以為互聯(lián)網上通信的文件進行加密和數字簽名，還可以對本地硬盤文件資料進行加密，防止非法訪問。這種加密方式不同于 OFFICE 文檔中的密碼保護，用加密軟件加密的文件在解密前內容都會作一下代碼轉換，把原來普通的數據轉變成一堆看不懂的代碼，這樣就保護了原文件不被非法閱讀、修改。后者則是對用戶資格、權限加以審查和限制 , 防止非法用戶存取數據或合法用戶越權存取數據，這種技術主要應用 于NT 系統(tǒng)和一些網絡操作系統(tǒng)中，在系統(tǒng)中可以對不同工作組的用戶賦予相應的權限以達到保護重要數據不被非法訪問 [13]。 數據完整性鑒別技術 數據完整性鑒別技術的目的是對介入信息的傳送、存取、處理的人的身份和相關數據內容進行驗證 , 達到保密的要求。 一般包括口令、密鑰、身份 、數據等項的鑒別 , 系統(tǒng)通過對比驗證對象輸入的特征值是否符合預先設定的參數 , 實現對數據的安全保護。這種鑒別技術主要應用于大型的數據庫管理系統(tǒng)中，因為一個單位的數據通常是一個單位的命脈，所以保護好公司數據庫的安全 通常是一個單位網管、甚至到領導的最重要的責任 [11]。數據庫系統(tǒng)會根據不同用戶設置不同訪問權限，并對其身份及權限的完整性進行嚴格識別。 密鑰管理技術 數據的加密技術通常是運用密鑰對數據進行加密，這就涉及了一個密鑰的管理問題。因為用加密軟件進行加密時所用的密鑰通常不是平常所用的密碼那么僅幾位，至多十幾位數字或字母，一般情況這種密鑰達 64bit，有的達到 128bit，一般不可能完全用腦來記住這些密鑰，只能保存在一個安全的地方，所以這就涉及到了密鑰的管理技術。密鑰的保存媒體通常有 : 磁卡、磁帶 、磁盤、半導體存儲器或 IC 卡中等，但這些都可能有損壞或丟失的危險。所以現在的主流加密軟件都采取第三方認證（這第三方可以是個人，也可以是公證機關）或采用隨機密鑰來彌補人們記憶上的不足，還是如 PGP 加密軟件，不過現在的 WIN2K 系統(tǒng)以及其它一些加密軟件都在慢慢地往這個方向發(fā)展。 殺毒軟件技術 殺毒軟件肯定是人們見的最多，也用得最為普遍的安全技術方案，因為這種技術實現起來最為簡單。但人們都知道殺毒軟件的主要功能就是殺毒，功能十分有限，不能完全滿足網絡安全的需要。這種方式對于個人用戶或小企業(yè)或許還能 滿足需要，但計算機網絡安全中防火墻技術和端口掃描技術 10 如果個人或企業(yè)有電子商務方面的需求，就不能完全滿足了?？上驳氖请S著殺毒軟件技術的不斷發(fā)展，現在的主流殺毒軟件同時對預防木馬及其它的一些黑客程序的入侵。還有的殺毒軟件開發(fā)商同時提供了軟件防火墻，具有了一定防火墻功能，在一定程度上能起到硬件防火墻的功效，如 KV300、金山防火墻、 Norton 防火墻等。 3 計算機網絡攻擊中端口掃描技術 端口掃描 根據計算機提供服務類型的不同，端口也分為了兩大類，一種是 TCP 端口，另一種是 UDP 端口。而計算機間相互通信也分為兩大類，一種是發(fā)送方發(fā)送信 息后需要接受方響應這個信息并給與應答，及有應答方式；另一種則是發(fā)送方在發(fā)送信息后不去理會接受方是否收到信息，及無應答方式。這兩種計算機通訊方式與上邊的兩大類端口一一對應，即有應答 (TCP 端口 )與無應答 (UDP 端口 )。 而端口掃描有如下幾種方式： （ 1）對某一特定端口進行指定 IP 段的檢測，以了解該端口在該域段的使用情況。通常使用這種掃描方式是在沒有指定目標而針對某一已知存在漏洞的服務所進行的整域段的搜索 。 （ 2） 對某一特定主機進行全端口或指定端口區(qū)間的檢測以了解該主機的端口使用情況。通常使用這種掃描方式是在指 定目標的前提下，對目標主機服務開放情況進行的檢測分析，這將有助于盡快了解目標主機，并展開入侵。 （ 3）前兩者的綜合。通常進行這種掃描也是盲目的，沒有具體攻擊目標。 常用的端口掃描技術介紹 掃描器通過選用遠程 TCP/IP 不同的端口的服務，并記錄目標給予的回答，通過這種方法，可以搜集到很多關于目標主機的各種有用的信息。 TCP/IP 相關問題 （ 1） 連接端及標記 IP 地址和端口被稱作套接字，它代表一個 TCP 連接的一個連接端。為了獲得 TCP 服務，必須在發(fā)送機的一個端口上和接收機的 一個端口上建立連接。 TCP 連接用兩個連接端來區(qū)別，也就是（連接端 1，連接端 2）。連接端互相發(fā)送數據包。 一個 TCP西南林學院 2021屆本科畢業(yè)論文 11 數據包包括一個 TCP 頭，后面是選項和數據。一個 TCP 頭包含 6 個標志位。它們的意義分別為： SYN：用來建立連接的標志位，讓連接雙方同步序列號。如果 SYN＝ 1 而 ACK=0，則表示該數據包為連接請求，如果 SYN=1 而 ACK=1 則表示接受連接。 FIN：表示發(fā)送端已經沒有數據要求傳輸了，希望釋放連接。 RST：用來復位一個連接。 RST 標志置位的數據包稱為復位包。一般情況下，如果 TCP 收到的一個 分段明顯不是屬于該主機上的任何一個連接，則向遠端發(fā)送一個復位包。 URG：為緊急數據標志。如果它為 1，表示本數據包中包含緊急數據。此時緊急數據指針有效。 ACK：為確認標志位。如果為 1，表示包中的確認號有效的。否則，包中的確認號無效。 PSH：如果置位，接收端應盡快把數據傳送給應用層。 （ 2） TCP 連接的建立 TCP 是一個面向連接的可靠傳輸協(xié)議。面向連接表示兩個應用端在利用 TCP 傳送數據前必須先建立 TCP 連接。 TCP 的可靠性通過校驗和，定時器，數據序號和應答來提供。通過給每個發(fā)送的字節(jié)分配一 個序號，接收端接收到數據后發(fā)送應答， TCP協(xié)議保證了數據的可靠傳輸。數據序號用來保證數據的順序，剔除重復的數據。在一個 TCP 會話中，有兩個數據流（每個連接端從另外一端接收數據，同時向對方發(fā)送數據），因此在建立連接時，必須要為每一個數據流分配 ISN（初始序號）。為了了解實現過程，假設客戶端 C 希望跟服務器端 S 建立連接，然后分析連接建立的過程（通常稱作三階段握手）： ① ： C 發(fā)送一個 TCP 包（ SYN 請求）給 S，其中標記 SYN（同步序號）要打開。SYN 請求指明了客戶端希望連接的服務器端端口號和客戶端的 ISN（ XX 是一個例子）。 ② ：服務器端發(fā)回應答，包含自己的 SYN 信息 ISN（ YY）和對 C 的 SYN 應答，應答時返回下一個希望得到的字節(jié)序號（ YY+1）。 ③ ： C 對從 S 來的 SYN 進行應答，數據發(fā)送開始。 大部分 TCP/IP 實現遵循以下原則： 計算機網絡安全中防火墻技術和端口掃描技術 12 ① ：當一個 SYN 或者 FIN 數據包到達一個關閉的端口， TCP 丟棄數據包同時發(fā)送一個 RST 數據包。 ② ：當一個 RST 數據包到達一個監(jiān)聽端口， RST 被丟棄。 ③ ：當一個 RST 數據包到達一個關閉的端口， RST 被丟棄。 ④ ：當一個包含 ACK 的數據包到達一個監(jiān)聽端口時，數據包 被丟棄，同時發(fā)送一個 RST 數據包。 ⑤ ：當一個 SYN 位關閉的數據包到達一個監(jiān)聽端口時，數據包被丟棄。 ⑥ ：當一個 SYN 數據包到達一個監(jiān)聽端口時，正常的三階段握手繼續(xù)，回答一個 SYN|ACK 數據包。 ⑦ ：當一個 FIN 數據包到達一個監(jiān)聽端口時，數據包被丟棄。 FIN 行為 （關閉的端口返回 RST，監(jiān)聽端口丟棄包），在 URG 和 PSH 標志位置位時同樣要發(fā)生。所有的 URG， PSH 和 FIN，或者沒有任何標記的 TCP 數據包都會引起 FIN 行為 。 TCP Connect() 掃描 這是最基本的 TCP 掃 描。利用操作系統(tǒng)提供的 Connect()系統(tǒng)調用，用來與每一個感興趣的目標計算機的端口進行連接。如果端口處于偵聽狀態(tài)，那么 Connect()就能成功。否則，這個端口是不能用的，即沒有提供服務。這個技術的一個最大的優(yōu)點是，你不需要任何權限。系統(tǒng)中的任何用戶都有權利使用這個調用。另一個好處就是速度。如果對每個目標端口以線性的方式，使用單獨的 Connect()調用，那么將會花費相當長的時間，你可以通過同時打開多個套接字，從而加速掃描。使用非阻塞 I/O允許你設置一個低的時間用盡周期，同時觀察多個套接字。但這種方法的 缺點是很容易被發(fā)覺，并且被過濾掉。目標計算機的 Logs 文件會顯示一連串的連接和連接是出錯的服務消息，并且能很快的使它關閉。 TCP SYN 掃描 這種技術通常認為是“半開放”掃描，這是因為掃描程序不必要打開一個完全的TCP 連接。掃描程序發(fā)送的是一個 SYN 數據包，好象準備打開一個實際的連接并等待反應一樣。一個 Synlack 的返回信息表示端口處于偵聽狀態(tài)。一個 RST 返回，表示端口沒有處于偵聽態(tài)。如果收到一個 Synlack，則掃描程序必須再發(fā)送一個 RST 信號，來關閉這個連接過程。這種掃描技術的優(yōu)點 在于一般不會在目標計算機上留下記錄。但這種方法的一個缺點是，必須要有 Root 權限才能建立自己的 SYN 數據包。 西南林學院 2021屆本科畢業(yè)論文 13 TCP FIN 掃描 有的時候有可能 SYN 掃描都不夠秘密。一些防火墻和包過濾器會對一些指定的端口進行監(jiān)視，有的程序能檢測到這些掃描。相反， FIN 數據包可能會沒有任何麻煩的通過。這種掃描方法的思想是關閉的端口會用適當的 RST 來回復 FIN 數據包。另一方面，打開的端口會忽略對 FIN 數據包的回復 [6]。這種方法和系統(tǒng)的實現有一定的關系。有的系統(tǒng)不管端口是否打開，都回復 RST，這樣，這種掃描方 法就不適用了。并且這種方法在區(qū)分 Unix 和 NT 時，是十分有用的。 IP 段掃描 這種不能算是新方法，只是其它技術的變化。它并不是直接發(fā)送 TCP 探測數據包，是將數據包分成兩個較小的 IP 段。這樣就將一個 TCP 包頭分成好幾個數據包，從而過濾器就很難探測到。但必須小心，一些程序在處理這些小數據包時會有些麻煩。 TCP 反向 Ident 掃描 Ident 協(xié)議允許看到通過 TCP 連接的任何進程的擁有者的用戶名，即使這個連接不是由這個進程開始的。舉個例子，連接到 HTTP 端口，然后用 Identd 來發(fā)現 服務器是否正在以 Root 權限運行。這種方法只能在和目標端口建立了一個完整的 TCP 連接后才能看到。 UDP ICMP 端口不能到達掃描，這種方法與上面幾種方法的不同之處在于使用的是 UDP 協(xié)議 [8]。由于這個協(xié)議很簡單，所以掃描變得相對比較困難。這是由于打開的端口對掃描探測并不發(fā)送一個“確認”，關閉的端口也并不需要發(fā)送一個錯誤數據包。幸運的是，許多主機在你向一個未打開的 UDP 端口發(fā)送一個數據包時，會返回一個“ ICMP_PORT_UNRE ACH”錯誤 [9]。這樣你就能發(fā)現哪個端口是關閉的。 UDP 和 ICMP 錯誤都不保 證能到達，因此這種掃描器必須還實現在一個包看上去是丟失的時候才能重新傳輸。這種掃描方法是很慢的，因為 RFC 對 ICMP 錯誤消息的產生速率做了規(guī)定。同樣，這種掃描方法需要具有 Root 權限。 認證掃描和代理掃描 到目前為止，分析的掃描器在設計時都只有一個目的：判斷一個主機中哪個端口上有進程在監(jiān)聽。然而，最新掃描器增加了其它