第4章 电子交易网络安全 张冲杰20120815课件

1第4章电子交易网络安全

张冲杰高级工程师二○一二年八月十五日泉州信息职业技术学院商贸管理系

院级精品课程电子支付与交易安全

2

教学目标和重点难点第4章电子交易网络安全计划学时4课时，实训1知识目标网络安全的概念，网络安全防范策略，防火墙设计思想，常用防火墙的设置。能力目标掌握常用防火墙的设置操作。

知识点难点重点考点第1节网络安全概述

●●

第2节

网络信息安全防范策略●●第3节防火墙及其应用●●实训4常用防火墙的设置操作第4章电子交易网络安全

第1节

网络安全概述第2节

网络信息安全防范第3节

防火墙及其应用4

第1节网络安全概述1网络安全的概念2计算机网络系统的安全问题3计算机网络系统的不安全特性狭义：指计算机及其网络系统和信息资源不受自然和人为因素的威胁和危害；广义：涉及计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术的理论及其实践问题。1网络安全的概念ISO的定义：为数据处理系统建立和采用的技术与管理的安全保护，保护计算机硬件、软件和数据不受偶然和恶意的原因遭到破坏、更改和泄露。

2计算机网络系统的安全问题

Internet是一个开放的、无控制机构的网络，黑客（Hacker）容易入侵。

Internet传输信息是基于TCP/IP通信协议，协议不能保证信息不被窃取。

计算机操作系统多数使用Windows

，其安全漏洞比较多。用电子邮件来传输重要机密信息有很大的风险。计算机病毒容易通过Internet传播，给上网用户带来极大的危害。3计算机网络系统的不安全特性＊

操作系统的安全漏洞网络安全的脆弱性数据库系统的安全漏洞防火墙的局限性其他方面的原因第2节网络信息安全防范

1网络信息安全防范策略2常见的网络攻击3网络攻击防范1网络信息安全防范策略系统总体安全策略访问权限控制策略物理安全防范策略网络信息安全防范策略续＊信息加密策略黑客防范策略风险管理策略灾难恢复策略网络信息安全防范体系模型网络信息安全防范模型图2常见的网络攻击2.1

黑客攻击的三种类型探测攻击。探测在目标网络上安装的是何种防火墙系统，该系统允许哪些服务。地址欺骗和TCP序号攻击。以此绕过防火墙的认证体系。寻找并利用防火墙系统的安全漏洞。有针对性地发动攻击。典型攻击一般过程2.2常见的攻击

IP欺骗攻击DoS拒绝服务攻击分片攻击木马攻击IP欺骗攻击修改数据包的源、目的地址和端口；模仿合法的数据包来骗过防火墙的检测。例如，外部攻击者将他的数据报源地址改为内部网络地址，防火墙看到是合法地址就放行了。DoS拒绝服务攻击DoS（DenialofService）意思是“拒绝服务”。借助于网络系统或网络协议的缺陷和配置漏洞进行网络攻击。使网络拥塞、系统资源耗尽或者系统应用死锁。妨碍目标主机和网络系统对正常用户服务请求的及时响应，造成服务性能受损甚至导致服务中断。DoS拒绝服务攻击示例分布式拒绝服务攻击(DDoS)借助客户/服务器技术，联合多个计算机作为攻击平台，对一个或多个目标发动攻击，成倍提高拒绝服务攻击的威力。攻击者使用偷窃帐号将DDoS主控程序预装在计算机上，并设定时间让主控程序与大量代理程序通讯，代理程序也预装在Internet的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。DDoS分布式拒绝服务攻击示意图被攻击主机上有大量等待的TCP连接；网络中充斥着大量无用的数据包，源地址为假；制造高流量无用数据，造成网络拥塞，受害主机无法正常和外界通讯；利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出服务请求，使受害主机无法及时处理所有正常请求；严重时会造成系统死机。DDoS攻击现象

①IP分片的理解

IP协议在传输数据包时，将数据报文分为若干分片进行传输，并在目标系统中进行重组。这一过程称为分片。

IP分片发生在要传输的IP报文大小超过最大传输单位MTU的情况。比如说，在以太网环境中可传输最大IP报文大小（MTU）为1500字节。如果要传输的报文大小超过1500字节，则需要分片之后进行传输。

分片攻击（IP分片攻击）各IP分片基于IP分片识别号进行重组，识别号相同的重组为相同的IP报文。IP分片识别号长度为16位。各分片具有从原始报文进行分片之前的分片偏移量以确定其位置。各分片具有分片数据长度，其中20字节IP包头不包含在该数据长度中。即传输1500字节的数据时，实际数据长度为1480(1500-20)字节。当每个分片之后还存在后续的分片时，该分片的ME标志位为1。分片报文重组信息分片攻击的原理IP分片包用一个分片偏移字段标志分片包的顺序，但是只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时，防火墙检测第一个分片包的TCP信息，后面的不检测。攻击者可以通过先发送第一个合法的IP分片，骗过防火墙的检测，后续分片包就可以直接穿透防火墙。木马攻击包过滤防火墙一般只过滤低端口（1～1024），木马专门攻击高端口。木马可以完成一些非授权用户不能直接完成的功能。包括破坏数据,盗取文件等。木马病毒前缀是Trojan。例如QQ消息尾巴木马Trojan.QQ3344。木马很会伪装，例如exp1orer.exe，把字母“l”换成数字“1”。①木马攻击的技术特点附录：卡巴斯杀毒软件应用实录1

附录：卡巴斯杀毒软件应用实录2

附录：卡巴斯杀毒软件应用实录3

②手工查杀木马

木马攻击的前提是必须先上传，然后运行。由于杀毒软件的升级多数情况下慢于木马的出现，因此学会手工查杀非常必要。方法之一：检查注册表看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrenVersion和

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion下，所有以“Run”开头的键值名，其下有没有可疑的文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。②手工查杀木马

方法之二：检查启动组

启动组对应的文件夹为：C:＼windows＼startmenu＼programs＼startup，在注册表中的位置：

HKEY_CURRENT_USER＼

Software＼Microsoft＼Windows＼

CurrentVersion＼Explorer＼Shell

FoldersStartup="C:＼windows＼startmenu＼programs＼startup"。③查杀盗号木马trojan.win32.agent.ph问题：杀毒软件查到但是杀不了。解决：查出来就一定能杀。所谓杀不了，是因为病毒在运行，正在运行的程序不能修改或删除的。重新启动，按F8，进入安全模式，再从安全模式中启动杀毒软件就可以轻松杀毒了。另外，可清理临时文件夹，建议使用超级兔子清理系统，因为有很多病毒主程序隐藏在临时文件夹里面,杀毒的时候不能完全删除。协议隧道攻击

协议隧道的攻击思想类似于VPN的实现原理，攻击者将攻击数据包隐藏在协议分组的头部，穿透防火墙系统对内部网络进行攻击。反弹木马攻击攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机，由于连接是从内部发起的，任何的防火墙都会认为是一个合法的连接。防火墙不能区分木马的连接和合法的连接。这种攻击的关键是必须先安装木马。攻击代理以代理防火墙软件Wingate为例，简单介绍攻击代理。wingate最早的基于Windows平台的代理服务器软件，网络连接共享的标准。还能够提供高级用户管理和综合的电子邮件服务器的低成本安全解决方案。局域网内部用户可以通过一台安装有WinGate的主机访问Internet。由于WinGate自身存安全漏洞，攻击者可利用这些漏洞伪装成WinGate主机身份，对其它计算机发动攻击。非授权Web访问

某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下，允许外部主机完全匿名地访问因特网。因此，外部攻击者就可以利用WinGate主机来对Web服务器发动各种Web攻击，同时由于Web攻击的所有报文都是从80号TCP端口穿过的，因此，很难追踪到攻击者的来源。

非授权Socks访问

在WinGate的缺省配置中，Socks代理(1080号TCP端口)同样是存在安全漏洞。与打开的Web代理(80号TCP端口)一样，外部攻击者可以利用Socks代理访问因特网。非授权Telnet访问

它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的inGate服务器的Telnet服务，攻击者可以使用别人的主机隐藏自己的踪迹，随意地发动攻击。

网络上的攻击代理广告2010年4月22日搜索百度/s?wd=%B4%FA%C0%ED%B9%A5%BB%F7&ch=&tn=site888_pg&bar=&oq=dailigongji&rsp=0&f=3会话劫持攻击

会话劫持（SessionHijack）是一种结合了嗅探和欺骗技术在内的攻击手段。从广义上讲，会话劫持就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流（例如基于TCP的会话）里注射额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成有黑客联系。会话劫持攻击的形式①被动劫持：是将会话当中的某一台主机“踢”下线，然后由攻击者取代并接管会话。②主动劫持：就是在后台监视双方会话的数据流，丛中获得敏感数据。会话劫持攻击的原理会话劫持利用了TCP/IP工作原理来设计攻击。

TCP使用端到端的连接，即TCP用源IP、源TCP端口号、目的IP、目的TCP端号来唯一标识每一条已经建立连接的TCP链路。会话劫持攻击工具（1）Juggernaut，一个可以被用来进行TCP会话攻击的网络sniffer程序。（2）Hunt，一个用来听取、截取和劫持网络上的活动会话的程序。（3）TTYWatcher，一个免费的程序，允许人们监视并且劫持一台单一主机上的连接。

（4）IPWatcher，一个商用的会话劫持工具，它允许监视会话并且获得积极的反会话劫持方法。（5）Ettercap，一款以太网环境下的网络监视、拦截和记录工具。会话劫持防范使用交换式网络替代共享式网络采用加密通信，使用SSH代替Telnet使用SSL代替HTTP使用IPSec/VPN监视网络流量，如发现网络中出现大量的ACK包，则有可能已被进行了会话劫持攻击。安全套接层（SecureSocketsLayer，SSL）及其继任者传输层安全（TransportLayerSecurity，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。参考资料：服务使用的默认端口

（判断题）FTP的端口是21SSH(SecureShell)服务使用tcp22端口TELNET23端口DHCPserver的端口号是67MAIL的端口号是25\110pop3\smtp的端口号是110/25DNS的端口号是53HTTP通信用的端口号是80SMMP:性能测试标准方法mysql默认端口是3306Sql服务的默认端口.3389tomcat默认端口是8080windows远程终端的端口号是3389ORACLE默认端口1521、15263常见的网络攻击防范3.1网络攻击防范策略3.2黑客攻击防范方法3.3物理安全防范3.1网络攻击防范策略提高安全意识，防毒、防黑日常化。使用防毒、防黑等防火墙软件。设置代理服务器，隐藏本机的IP地址。重要资料严密保护，养成备份习惯。特别警戒黑客对特定日期发动的攻击。3.2黑客攻击防范选用安全的口令；防范针对IP地址的攻击；特洛伊木马程序的防范；电子邮件安全准则。3.3物理安全防范机房环境安全电磁防护硬件防护第3节防火墙及其应用1什么是防火墙2防火墙的特性和功能3防火墙的部署1什么是防火墙？1.1防火墙的定义从技术角度来讲，防火墙是采用综合的网络技术（包过滤技术等）设置在被保护网络和外部网络（或公用网络）之间的一道屏障，用以分隔被保护网络与外部网络系统防止发生不可预测的、潜在破坏性的入侵。什么是防火墙？图1-1防火墙结构防火墙的硬件防火墙实际配置模式所有的内部网络和外部网络之间传输的数据必须通过防火墙。只有被授权的合法数据及防火墙系统中安全策略允许的数据可以通过防火墙。防火墙本身不受各种攻击的影响。使用目前新的信息安全技术，比如现代密码技术等。人机界面良好，用户配置使用方便，易管理。2防火墙系统的特性和功能2.1防火墙系统的特性和功能扫描网络通讯，过滤不良信息。能够关闭不使用的端口。能够禁止特定端口的流出通信（封锁特洛伊木马）。可以禁止来自特殊站点的访问（防止不明入侵）。2.2防火墙的功能＊1.3防火墙部署局域网内的VLAN之间控制信息流向处。Intranet与Internet之间连接处（企业单位与外网连接时的应用网关）在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网ChinaPac，ChinaDDN，FrameRelay等连接）在总部的局域网和各分支机构连接处采用防火墙隔离，并利用VPN构成虚拟专网。防火墙部署

总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用VPN组成虚拟专网。在远程用户拨号访问时，加入