信息系統(tǒng)安全課程設(shè)計(jì)(川大)

1、信息系統(tǒng)安全課程設(shè)計(jì)題 目 傳統(tǒng)網(wǎng)絡(luò)協(xié)議的安全性 學(xué) 院 計(jì)算機(jī)（軟件）學(xué)院 專 業(yè) 計(jì)算機(jī)科學(xué)與技術(shù) 學(xué)生姓名 劉佳玉 學(xué) 號(hào) 2012141461134 年級(jí) 大三 指導(dǎo)教師 馮子亮 二一五 年 六 月 九 日傳統(tǒng)網(wǎng)絡(luò)協(xié)議的安全性 計(jì)算機(jī)科學(xué)與技術(shù) 專業(yè)學(xué)生 劉佳玉 指導(dǎo)教師 馮子亮摘要隨著Internet的發(fā)展，電子商務(wù)已經(jīng)逐漸成為人們進(jìn)行商務(wù)活動(dòng)的新模式。越來越多的人通過Internet進(jìn)行商務(wù)活動(dòng)。電子商務(wù)的發(fā)展前景十分誘人，而其安全問題也變得越來越突出，如何建立一個(gè)安全、便捷的電子商務(wù)應(yīng)用環(huán)境，對(duì)信息提供足夠的保護(hù)，已經(jīng)成為商家和用戶都十分關(guān)心的話題。電子商務(wù)的一個(gè)重要技術(shù)特征是利

2、用IT技術(shù)來傳輸和處理商業(yè)信息。因此，電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)交易安全實(shí)際上是密不可分的，兩者相輔相成，缺一不可。沒有計(jì)算機(jī)網(wǎng)絡(luò)安全作為基礎(chǔ)，商務(wù)交易安全就猶如空中樓閣，無從談起。沒有商務(wù)交易

3、安全保障，即使計(jì)算機(jī)網(wǎng)絡(luò)本身再安全，仍然無法達(dá)到電子商務(wù)所特有的安全要求。關(guān)鍵詞：電子商務(wù)，計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)背景當(dāng)許多傳統(tǒng)的商務(wù)方式應(yīng)用在Internet上時(shí)，便會(huì)帶來許多源于安全方面的問題，如傳統(tǒng)的貸款和借款卡支付/保證方案及數(shù)據(jù)保護(hù)方法、電子數(shù)據(jù)交換系統(tǒng)、對(duì)日常信息安全的管理等。電子商務(wù)的大規(guī)模使用雖然只有幾年時(shí)間，但不少公司都已經(jīng)推出了相應(yīng)的軟、硬件產(chǎn)品。由于電子商務(wù)的形式多種多樣，涉及的安全問題各不相同，但在Internet上的電子商務(wù)交易過程中，最核心和最關(guān)鍵的問題就是交易的安全性。一般來說商務(wù)安全中普遍存在著以下幾種安全隱患：竊取信息由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形

4、式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。篡改信息當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。假冒由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶通常很難分辨。惡意破壞由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。因此，電子商務(wù)的安全交易主

5、要保證以下四個(gè)方面：信息保密性交易中的商務(wù)信息均有保密的要求。如信用卡的賬號(hào)和用戶名等不能被他人知悉，因此在信息傳播中一般均有加密的要求。交易者身份的確定性網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認(rèn)對(duì)方的身份，對(duì)商家要考慮客戶端不能是騙子，而客戶也會(huì)擔(dān)心網(wǎng)上的商店不是一個(gè)玩弄欺詐的黑店。因此能方便而可靠地確認(rèn)對(duì)方身份是交易的前提。不可否認(rèn)性由于商情的千變?nèi)f化，交易一旦達(dá)成是不能被否認(rèn)的。否則必然會(huì)損害一方的利益。因此電子交易通信過程的各個(gè)環(huán)節(jié)都必須是不可否認(rèn)的。不可修改性交易的文件是不可被修改的，否則也必然會(huì)損害一方的商業(yè)利益。因此電子交易文件也要能做到不可修改，以保障

6、商務(wù)交易的嚴(yán)肅和公正。概述很多傳統(tǒng)網(wǎng)絡(luò)協(xié)議是沒有考慮任何網(wǎng)絡(luò)安全因素的，其表現(xiàn)形式是用戶名和口令的明文傳輸。比如，ftp, telnet, pop3, smtp甚至不需要驗(yàn)證用戶很多網(wǎng)站的用戶名/密碼傳送，也用明文網(wǎng)絡(luò)分析工具嗅探器是常用的網(wǎng)絡(luò)分析工具在網(wǎng)絡(luò)編程中，把網(wǎng)卡綁定為混雜模式，就可以監(jiān)聽到本網(wǎng)段所有設(shè)備的上行和下行數(shù)據(jù)可針對(duì)無線路由器可針對(duì)集線器/HUB針對(duì)交換機(jī)通常情況下無效，除非早期最著名的網(wǎng)絡(luò)嗅探器包括：SnifferNet-XrayWindows平臺(tái)上可用的免費(fèi)/開源軟件WinPcap，抓包軟件WireShark，網(wǎng)絡(luò)分析軟件WinPcap介紹：winpcap(windows

7、 packet capture)是windows平臺(tái)下一個(gè)免費(fèi)，公共的網(wǎng)絡(luò)訪問系統(tǒng)。開發(fā)winpcap這個(gè)項(xiàng)目的目的在于為win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。它用于windows系統(tǒng)下的直接的網(wǎng)絡(luò)編程。winpcap的主要功能在于獨(dú)立于主機(jī)協(xié)議（如TCP-IP)而發(fā)送和接收原始數(shù)據(jù)包。也就是說，winpcap不能阻塞，過濾或控制其他應(yīng)用程序數(shù)據(jù)包的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)包。因此，它不能用于QoS調(diào)度程序或個(gè)人防火墻。winpcap開發(fā)的主要對(duì)象是windows NT/2000/XP，這主要是因?yàn)樵谑褂脀inpcap的用戶中只有一小部分是僅使用windows 95/98/

8、Me，并且MS也已經(jīng)放棄了對(duì)win9x的開發(fā)。因此本文相關(guān)的程序T-ARP也是面向NT/2000/XP用戶的。其實(shí)winpcap中的面向9x系統(tǒng)的概念和NT系統(tǒng)的非常相似，只是在某些實(shí)現(xiàn)上有點(diǎn)差異，比如說9x只支持ANSI編碼，而NT系統(tǒng)則提倡使用Unicode編碼。有個(gè)軟件叫snifferpro.可以作網(wǎng)管軟件用，有很多功能，可監(jiān)視網(wǎng)絡(luò)運(yùn)行情況，每臺(tái)網(wǎng)內(nèi)機(jī)器的數(shù)據(jù)流量,實(shí)時(shí)反映每臺(tái)機(jī)器所訪問IP以及它們之間的數(shù)據(jù)流通情況，可以抓包，可對(duì)過濾器進(jìn)行設(shè)置,以便只抓取想要的包，比如POP3包,smtp包，ftp包等，并可從中找到郵箱用戶名和密碼,還有ftp用戶名和密碼。它還可以在使用交換機(jī)的網(wǎng)絡(luò)上

9、監(jiān)聽，不過要在交換機(jī)上裝它的一個(gè)軟件。還有一個(gè)簡單的監(jiān)聽軟件叫Passwordsniffer，可截獲郵箱用戶名和密碼，還有ftp用戶名和密碼，它只能用在HUB網(wǎng)絡(luò)上。著名軟件tcpdump及idssnort都是基于libpcap編寫的，此外Nmap掃描器也是基于libpcap來捕獲目標(biāo)主機(jī)返回的數(shù)據(jù)包的。WireShark介紹：Wireshark（前稱Ethereal）是一個(gè)網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。網(wǎng)絡(luò)封包分析軟件的功能 可想像成 "

10、;電工技師使用電表來量測(cè)電流、電壓、電阻" 的工作 - 只是將場景移植到網(wǎng)絡(luò)上，并將電線替換成網(wǎng)絡(luò)線。在過去，網(wǎng)絡(luò)封包分析軟件是非常昂貴，或是專門屬于營利用的軟件。Ethereal的出現(xiàn)改變了這一切。在GNUGPL通用許可證的保障范圍底下，使用者可以以免費(fèi)的代價(jià)取得軟件與其源代碼，并擁有針對(duì)其源代碼修改及客制化的權(quán)利。Ethereal是目前全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。pop3協(xié)議分析pop3簡介：POP3，全名為“Post Office Protocol - Version 3”，即“郵局協(xié)議版本3”。是TCP/IP協(xié)議族中的一員，由RFC1939 定義。本協(xié)議主要用于支持使

11、用客戶端遠(yuǎn)程管理在服務(wù)器上的電子郵件。提供了SSL加密的POP3協(xié)議被稱為POP3S。POP 協(xié)議支持“離線”郵件處理。其具體過程是：郵件發(fā)送到服務(wù)器上，電子郵件客戶端調(diào)用郵件客戶機(jī)程序以連接服務(wù)器，并下載所有未閱讀的電子郵件。這種離線訪問模式是一種存儲(chǔ)轉(zhuǎn)發(fā)服務(wù)，將郵件從郵件服務(wù)器端送到個(gè)人終端機(jī)器上，一般是PC機(jī)或 MAC。一旦郵件發(fā)送到 PC 機(jī)或MAC上，郵件服務(wù)器上的郵件將會(huì)被刪除。但目前的POP3郵件服務(wù)器大都可以“只下載郵件，服務(wù)器端并不刪除”，也就是改進(jìn)的POP3協(xié)議。分析步驟：安裝foxmail6.5設(shè)置郵件用戶名、pop3服務(wù)器、密碼注意不選擇SSL啟動(dòng)WireShark抓包

12、在foxmail中選擇收取郵件待登錄成功后停止抓包選擇pop協(xié)議過濾分析結(jié)果：用戶名和密碼都是明文ftp協(xié)議分析ftp協(xié)議簡介：FTP（File Transfer Protocol，文件傳輸協(xié)議） 是 TCP/IP 協(xié)議組中的協(xié)議之一。FTP協(xié)議包括兩個(gè)組成部分，其一為FTP服務(wù)器，其二為FTP客戶端。其中FTP服務(wù)器用來存儲(chǔ)文件，用戶可以使用FTP客戶端通過FTP協(xié)議訪問位于FTP服務(wù)器上的資源。在開發(fā)網(wǎng)站的時(shí)候，通常利用FTP協(xié)議把網(wǎng)頁或程序傳到Web服務(wù)器上。此外，由于FTP傳輸效率非常高，在網(wǎng)絡(luò)上傳輸大的文件時(shí)，一般也采用該協(xié)議。默認(rèn)情況下FTP協(xié)議使用TCP端口中的 20和21這兩個(gè)

13、端口，其中20用于傳輸數(shù)據(jù)，21用于傳輸控制信息。但是，是否使用20作為傳輸數(shù)據(jù)的端口與FTP使用的傳輸模式有關(guān)，如果采用主動(dòng)模式，那么數(shù)據(jù)傳輸端口就是20；如果采用被動(dòng)模式，則具體最終使用哪個(gè)端口要服務(wù)器端和客戶端協(xié)商決定。分析步驟：安裝ftp服務(wù)器Serv-U，設(shè)置服務(wù)器啟動(dòng)抓包使用ftp客戶端登錄停止抓包選擇ftp協(xié)議過濾器分析結(jié)果：用戶名和密碼都是明文HTTP協(xié)議分析http協(xié)議簡介：超文本傳輸協(xié)議（HTTP，HyperText Transfer Protocol)是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。所有的WWW文件都必須遵守這個(gè)標(biāo)準(zhǔn)。設(shè)計(jì)HTTP最初的目的是為了提供一種發(fā)布和接收H

14、TML頁面的方法。1960年美國人Ted Nelson構(gòu)思了一種通過計(jì)算機(jī)處理文本信息的方法，并稱之為超文本（hypertext）,這成為了HTTP超文本傳輸協(xié)議標(biāo)準(zhǔn)架構(gòu)的發(fā)展根基。Ted Nelson組織協(xié)調(diào)萬維網(wǎng)協(xié)會(huì)（World Wide Web Consortium）和互聯(lián)網(wǎng)工程工作小組（Internet Engineering Task Force ）共同合作研究，最終發(fā)布了一系列的RFC，其中著名的RFC 2616定義了HTTP 1.1。HTTP是一個(gè)客戶端和服務(wù)器端請(qǐng)求和應(yīng)答的標(biāo)準(zhǔn)（TCP）。客戶端是終端用戶，服務(wù)器端是網(wǎng)站。通過使用Web瀏覽器、網(wǎng)絡(luò)爬蟲或者其它的工具，客戶端發(fā)起一個(gè)到服務(wù)器上指定端口（默認(rèn)端口為80）的HTTP請(qǐng)求。（我們稱這個(gè)客戶端）叫用戶代理（user agent）。應(yīng)答的服務(wù)器上存儲(chǔ)著（一些）資源，比如HTML文件和圖像。（我們稱）這個(gè)應(yīng)答服務(wù)器為源服務(wù)器（origin server）。在用戶代理和源服務(wù)器中間可能存在多個(gè)中間層，比如代理，網(wǎng)關(guān)，或者隧道（tunnels）。盡管TCP/IP協(xié)議是互聯(lián)網(wǎng)上最流行的應(yīng)用，HTTP協(xié)議并沒有規(guī)定必須使用它和（基于）它支持的層。 事實(shí)上，HTTP可以在任何其他互聯(lián)網(wǎng)協(xié)議上，或者在其他網(wǎng)絡(luò)上實(shí)現(xiàn)。HT