《電子商務(wù)安全與支付》課件8

第8章電子商務(wù)網(wǎng)站常見的攻擊8.1TCP/IP協(xié)議簡介8.2IP欺騙技術(shù)8.3SNIFFER技術(shù)8.4PORTSCANNER技術(shù)8.5ORJANHORSE8.6DDOS技術(shù)8.7計算機病毒8.8WWW中的安全問題8.9移動安全8.1TCP/IP

協(xié)議簡介8.1.1傳輸控制協(xié)議8.1.2網(wǎng)際協(xié)議(IP)8.1.3差錯與控制報文協(xié)議（ICMP）8.1.4用戶數(shù)據(jù)報文協(xié)議（UDP）8.1TCP/IP

協(xié)議簡介TCP/IP是20世紀70年代中期美國國防部(DOD)為ARPANET廣域網(wǎng)制定的網(wǎng)絡(luò)體系結(jié)構(gòu)和體系標準.以TCP/IP為基礎(chǔ)的Internet成為了目前國際上規(guī)模最大的互聯(lián)網(wǎng)。目前，TCP/IP協(xié)議已經(jīng)成為公認的國際互聯(lián)網(wǎng)標準，世界上任何一臺計算機只要具有支持TCP/IP協(xié)議規(guī)范的軟件，就可以接入Internet網(wǎng)，享受Internet提供的各種服務(wù)。8.1.1

傳輸控制協(xié)議1、協(xié)議內(nèi)容

TCP協(xié)議規(guī)范了網(wǎng)絡(luò)上的所有通信設(shè)備.尤其是一個主機與另一個主機之間的數(shù)據(jù)往來格式以及傳輸方式.TCP連接是全雙工和點到點,采用三次握手方式連接的可靠性.當一臺計算機需要與另一臺遠程計算機連接時.TCP協(xié)議會讓它們建立一個連接、發(fā)送和接受以及終止連接2、TCP數(shù)據(jù)報文格式比特016

信源端口信宿端口連接序列號確認號頭部長度保留標志位窗口UDP校驗和緊急指針

選項填充字節(jié)數(shù)據(jù)……8.1.2網(wǎng)際協(xié)議(IP)1、協(xié)議內(nèi)容

IP協(xié)議負責(zé)數(shù)據(jù)不同網(wǎng)絡(luò)之間的通信。通常，當兩臺計算機之間建立了成功的連接之后，數(shù)據(jù)如何傳輸是由IP協(xié)議規(guī)定的。IP協(xié)議規(guī)定了IP分組的大小、格式，負責(zé)依據(jù)IP地址選擇不同的網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)各個分組。另外，網(wǎng)絡(luò)中的流量控制也是由IP協(xié)議規(guī)定的2、IP數(shù)據(jù)報文格式比特04816192431版本頭部長度服務(wù)類型報文總長度標識標志位段內(nèi)地址生存時間(TTL)協(xié)議頭部校驗和源主機IP地址目標主機IP地址可變字段數(shù)據(jù)……8.1.3差錯與控制報文協(xié)議（ICMP）1、協(xié)議內(nèi)容在IP數(shù)據(jù)報文傳輸系統(tǒng)中，IP網(wǎng)關(guān)完成路由和報文傳輸工作，無需源主機的參與。系統(tǒng)一旦發(fā)生傳輸錯誤。IP協(xié)議本身并沒有一種內(nèi)在的機制獲得差錯信息并進行相應(yīng)控制。為此，TCP/IP專門設(shè)計了ICMP（InternetControlMessageProtocol)協(xié)議。當中間網(wǎng)關(guān)發(fā)現(xiàn)錯誤時，立即向源主機發(fā)出ICMP報文，報告出錯情況，以便其采取相應(yīng)糾正措施。8.1.4用戶數(shù)據(jù)報文協(xié)議（UDP）1、協(xié)議內(nèi)容

UDP（UserDatagramProtocol）是與TCP協(xié)議并列于傳輸層的協(xié)議。一般情況下。UDP與TCP共存在一個互聯(lián)網(wǎng)中，TCP提供高可靠性服務(wù)，UDP提供高效率性服務(wù)。UDP直接建立在IP協(xié)議上，比TCP相對簡單些，UDP的特點是效率高，通信子網(wǎng)相當可靠，UDP將提供高可靠性低成本的服務(wù)。源端口號目的端口號報文長度頭部校驗和數(shù)據(jù)……2、UDP數(shù)據(jù)報文格式比特0168.2IP欺騙技術(shù)8.2.1IP欺騙原理8.2.2IP欺騙的防范8.2IP欺騙技術(shù)

在沒有與外部網(wǎng)絡(luò)連接的時候,局域網(wǎng)是很安全的,因為它的用戶范圍小,而且很固定.但一旦與外部網(wǎng)絡(luò)連接后,比如Internet網(wǎng)絡(luò),各種各樣的不明身份的用戶群體都對網(wǎng)絡(luò)資源的合法使用構(gòu)成威脅.由于IP地址對于每一個企業(yè)局域網(wǎng)是唯一的,為了對內(nèi)部用戶和外部用戶的訪問權(quán)限進行區(qū)分,系統(tǒng)管理員往往在路由器或其他相關(guān)網(wǎng)絡(luò)設(shè)備上對IP地址設(shè)置訪問控制列表,對訪問者的IP地址進行過濾,限制外部用戶對重要服務(wù)器的訪問.因此,惡意的攻擊要想獲得與內(nèi)部用戶相同的訪問權(quán)限,就必須隱瞞自己的真實IP地址,騙過路由器,進入內(nèi)部網(wǎng)絡(luò).8.2.1

IP欺騙原理1、原理偽造一個被主機信任的IP地址，從而獲得主機的信任而造成攻擊。所以IP欺騙能實現(xiàn)的關(guān)鍵就是能不能找到一個被主機信任的IP地址同時又能騙過路由器。能夠?qū)崿F(xiàn)這種攻擊的人必須對TCP/IP協(xié)議非常了解，一般都是高級黑客。2、必須要有的三個對象：（1）攻擊者（2）目標主機（3）受信任主機8.2.2IP欺騙的防范在外部路由器上制定相應(yīng)數(shù)據(jù)包過濾策略，禁止源地址為內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包進入外部路由器入口。在防火墻上修改檢查策略，使防火墻針對每一個數(shù)據(jù)分段的合法性都進行檢查。使用數(shù)據(jù)包監(jiān)控工具對通過外部網(wǎng)絡(luò)接口的數(shù)據(jù)包進行檢查。采用好的設(shè)計方案。8.3Sniffer技術(shù)8.3.1Sniffer工作原理8.3.2Sniffer的防范

在接到數(shù)據(jù)包時，網(wǎng)卡通過CPU產(chǎn)生一個硬件中斷，該中斷能引起操作系統(tǒng)響應(yīng)，響應(yīng)的網(wǎng)絡(luò)程序?qū)⒔邮盏綌?shù)據(jù)包。而Sniffer就是一個能將本地往卡狀態(tài)設(shè)成PROMISC狀態(tài)的技術(shù)，它對所有流經(jīng)它的數(shù)據(jù)包都會產(chǎn)生一個硬件中斷并使操作系統(tǒng)可以接收該數(shù)據(jù)包，因此，Sniffer工作在網(wǎng)絡(luò)環(huán)境的底層，它會攔截所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實時分析這些數(shù)據(jù)的內(nèi)容，進而分析所處的狀態(tài)。8.3.1Sniffer工作原理8.3.2Sniffer的防范（1）使用交換機分段（2）加密（3）入侵檢測（4）使用軟件進行監(jiān)控8.4PortScanner技術(shù)8.4.1常用的網(wǎng)絡(luò)相關(guān)命令8.4.2PortScanner定義8.4.3PortScanner工作原理和功能8.4.1常用的網(wǎng)絡(luò)相關(guān)命令（1）Ping命令（2）Netstat命令（3）Tracert命令（4）FTP命令（5）Telnet命令

8.4.2

PortScanner定義常用的Internet服務(wù)對應(yīng)的段口說明服務(wù)/協(xié)議名稱端口號說明WWW80萬維網(wǎng)服務(wù)FTP21文件傳輸服務(wù)Telnet23遠程登陸服務(wù)Snmp161簡單網(wǎng)絡(luò)管理協(xié)議smtp25簡單郵件傳輸協(xié)議

利用TCP數(shù)據(jù)包頭部的六個標志位建立一些不完整的TCP鏈接，從而騙過目標主機的檢測，常用的方法有TCPconnect()掃描、TCPSYN掃描、TCPFIN掃描。8.4.3

PortScanner工作原理和功能8.5TorjanHorse8.5.1TorjanHorse的概念8.5.2TorjanHorse的特點8.5.3TorjanHorse的實現(xiàn)8.5.4TorjanHorse的發(fā)現(xiàn)和清除8.5TorjanHorseTorjanHorse即特洛伊木馬。有一類網(wǎng)絡(luò)攻擊程序總是隱藏在正常的程序中，一旦通過某種方式激活，就運行在后臺實現(xiàn)攻擊者對服務(wù)器的控制，這類程序人們也稱它為特洛伊木馬程序。

特洛伊木馬實際上是一個遠程控制程序，屬于客戶機/服務(wù)器模式。它主要分為兩大部分，即客戶端程序和服務(wù)端程序。其原理是一臺主機提供服務(wù)（服務(wù)器），另一臺主機接受服務(wù)（客戶機），作為服務(wù)器的主機一般會打開一個設(shè)置好的端口進行監(jiān)聽。如果有客戶機向服務(wù)器的這端提出連接請求，服務(wù)器上的響應(yīng)程序就會自動運行，來應(yīng)答客戶機的請求?？蛻舳司涂梢酝ㄟ^這種方式實現(xiàn)對服務(wù)端的控制，進行一些非法操作，例如竊取口令、修改文件、修改注冊表等。8.5.1

TorjanHorse的概念（1）隱蔽性（2）功能特殊性8.5.2

TorjanHorse的特點（1）配置木馬（2）傳播木馬（3）自動激活木馬（4）遠程控制 8.5.3

TorjanHorse的實現(xiàn)（1）掃描端口（2）觀察異常連接（3）觀察易潛伏木馬程序的目錄（4）檢查注冊表（5）使用殺毒軟件掃描系統(tǒng)（6）提高防范意識 8.5.4

TorjanHorse的發(fā)現(xiàn)和清除8.6DDOS技術(shù)8.6.1DDOS的原理8.6.2DDOS的防范8.6.3電子商務(wù)網(wǎng)站是DDOS的主要攻擊目標8.6DDOS技術(shù)DDOS源于DOS，即分布式拒絕服務(wù)攻擊，通常是以消耗服務(wù)器端資源為目標，通過偽造超過服務(wù)器處理能力的請求數(shù)據(jù)造成服務(wù)器響應(yīng)阻塞，從而使正常的用戶請求得不到應(yīng)答，實現(xiàn)攻擊目的。8.6.1

DDOS的原理①探測掃描大量主機以尋找可入侵主機目標②入侵有安全漏洞的主機并獲取控制權(quán)③在每臺入侵主機中安裝攻擊程序④利用已入侵主機繼續(xù)進行掃描和入侵

目前并沒有防范分布式拒絕服務(wù)攻擊的最有效的方法，所幸的是，DDOS攻擊的對象通常是一些有名的政府、教育機構(gòu)、商業(yè)機構(gòu)的網(wǎng)站，所以一般的網(wǎng)站不用杞人憂天。但如果你的網(wǎng)站確實存在DDOS攻擊的危險，那么有一種網(wǎng)站是可行的，就是請求你的ISP對主干路由進行限流。

8.6.2

DDOS的防范

由于電子商務(wù)網(wǎng)站的開放性，極易成為DDOS攻擊的對象：（1）一個電子商務(wù)網(wǎng)站的用戶群巨大，理論上是所有Internet使用者。（2）潛在的商業(yè)競爭者。（3）惡意的詐騙者。

8.6.3

DDOS的防范電子商務(wù)網(wǎng)站是DDOS的主要攻擊目標8.7計算機病毒

8.7.1病毒的定義8.7.2病毒的危害8.7.3病毒的分類8.7.4病毒的傳播途徑8.7.1病毒的定義

計算機病毒是一個程序，一段可執(zhí)行碼，對計算機的正常使用進行破壞，使得計算機無法正常使用甚至整個操作系統(tǒng)或者計算機硬盤損壞。8.7.2病毒的危害

（1）系統(tǒng)速度變慢甚至資源耗盡而死機。（2）硬盤容量減少。（3）網(wǎng)絡(luò)系統(tǒng)崩潰。（4）數(shù)據(jù)破壞和硬件損壞。8.7.3病毒的分類

（1）文件型病毒。（2）引導(dǎo)扇區(qū)病毒。（3）混合型病毒。（4）宏病毒。（5）木馬病毒。（6）蠕蟲病毒。（7）網(wǎng)頁病毒。8.7.4病毒的傳播途徑

1．軟盤或光盤傳播2．網(wǎng)絡(luò)傳播8.8WWW中的安全問題

8.8.1現(xiàn)代惡意代碼8.8.2ActiveX的安全性8.8.3URL破壞8.8.4Cookies8.8.5DNS安全8.8.1現(xiàn)代惡意代碼惡意代碼是指具有攻擊性的HTML語句。有些網(wǎng)頁中常包含JavaScript或VBScript語句，當你打開這種網(wǎng)頁的時候，這些語句能夠執(zhí)行。輕則是一個死循環(huán)，連續(xù)打開無數(shù)個廣告窗口，最后導(dǎo)致系統(tǒng)資源不足，系統(tǒng)癱瘓；重則修改注冊表和IE配置信息，給系統(tǒng)造成根本性的破壞；更甚的是高級黑客設(shè)計的木馬程序或病毒，給系統(tǒng)入侵留下潛在的隱患。8.8.2ActiveX的安全性

ActiveX是Microsoft公司開發(fā)的用來在Internet上分發(fā)軟件的產(chǎn)品。ActiveX控件能直接嵌入到網(wǎng)頁里面進行瀏覽，典型的表現(xiàn)是一個漂亮的可交互的圖形。ActiveX控件是可執(zhí)行的二進制代碼，功能強到能夠直接調(diào)用Windows系統(tǒng)的接口函數(shù)直接對系統(tǒng)進行修改，但只在IE瀏覽器中被支持。8.8.3URL破壞

URL也叫統(tǒng)一資源定位器，用于讓訪問者找到Web資源的位置。通常情況下，端口號默認值是80，不用我們輸入。URL破壞帶來的后果是多方面的。8.8.4Cooki