|
目录 第一章 绪论... 1 http://www.paper51.com 1.1 研究的意义.... 1 copyright paper51.com 1.2 目前网络系统中存在的安全漏洞.... 1 内容来自www.paper51.com 1.3 本文工作.... 2 http://www.paper51.com 第二章 防火墙概论... 3 内容来自www.paper51.com 2.1 防火墙的定义.... 3 内容来自www.paper51.com
2.2 防火墙的发展史.... 3 内容来自www.paper51.com
2.3 防火墙的作用.... 3 内容来自论文无忧网 www.paper51.com 2.4 防火墙的网络策略.... 4 内容来自论文无忧网 www.paper51.com 2.4.1 服务访问策略... 4 copyright paper51.com 2.4.2 防火墙设计策略... 4 copyright paper51.com 2.5两种主流防火墙技术的工作原理.... 4 http://www.paper51.com 2.5.1 包过滤防火墙... 4 内容来自论文无忧网 www.paper51.com 2.5.2 应用代理防火墙... 6 内容来自www.paper51.com 2.5.3 改进意见... 6 内容来自www.paper51.com
第三章 基于防火墙的安全隐患... 8 copyright paper51.com 3.1 网络攻击的概念.... 8 内容来自www.paper51.com
3.2 网络攻击的一般步骤.... 8 http://www.paper51.com 3.2.1 攻击的准备阶段... 8 http://www.paper51.com 3.2.2 攻击的实施阶段... 9 内容来自论文无忧网 www.paper51.com 3.2.3 攻击的善后工作... 9 内容来自论文无忧网 www.paper51.com 3.3 网络攻击类型及防御.... 10 内容来自www.paper51.com
3.3.1拒绝服务攻击... 10 内容来自论文无忧网 www.paper51.com 3.3.2 缓冲区溢出型攻击... 11 paper51.com 3.3.3源IP地址欺骗攻击... 11 copyright paper51.com 3.4 结论.... 12 copyright paper51.com 第四章 绕过防火墙的网络攻击行为... 13 内容来自论文无忧网 www.paper51.com 4.1 TCP/IP的原理.... 13 内容来自论文无忧网 www.paper51.com
4.1.1 TCP/IP的基础知识... 13 内容来自论文无忧网 www.paper51.com
4.1.2 TCP/IP 协议的分层... 13 内容来自www.paper51.com
4.1.3 正常TCP的连接步骤... 13 paper51.com 4.2 TCP/IP协议的安全问题.... 14 copyright paper51.com 4.3 没有防火墙的网络攻击的实现.... 14 paper51.com 4.3.1 模拟环境... 14 内容来自论文无忧网 www.paper51.com 4.3.1 攻击流程如下... 15 内容来自论文无忧网 www.paper51.com 4.3.3 程序框架... 15 copyright paper51.com 4.4 有防火墙保护的网络攻击的实现.... 16 copyright paper51.com 4.4.1模拟环境... 16 内容来自www.paper51.com 4.4.2 攻击流程如下... 16 copyright paper51.com 4.4.3 程序框架... 17 内容来自论文无忧网 www.paper51.com 4.5 结论.... 17 内容来自论文无忧网 www.paper51.com
第五章 发展趋势... 18 paper51.com
5.1 防火墙的发展趋势.... 18 paper51.com 5.2 网络攻击的发展趋势.... 18 内容来自论文无忧网 www.paper51.com 第六章 结束语... 19 内容来自论文无忧网 www.paper51.com 致谢... 20 内容来自www.paper51.com 参考文献... 21 copyright paper51.com 第一章 绪论 内容来自www.paper51.com 1.1 研究的意义 内容来自www.paper51.com 在过去的几十年里,计算机网络技术的发展与广泛应用,对人类社会的文明进步起了巨大的推动作用,其影响已经渗透到人类社会的每一个角落。由于现有的技术网络系统在最初设计的时候没有充分考虑安全问题,因此,在人类社会越来越以来计算机网络的同时,其潜在的安全隐患也随着其规模的不断扩大在逐渐的增加,并可能给人类社会造成灾难。在我们日常运用电脑的过程中,相信也已经深切的体会到计算机网络的安全漏洞给我们带来的种种不便。 copyright paper51.com 96年初,据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计,有53%的企业受到过计算机病毒的侵害,42%的企业的计算机系统在过去的12个月被非法使用过。而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。 94年末,俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转帐方式,从CITYBANK银行在纽约的计算机主机里窃取1100万美元。 96年8月17日,美国司法部的网络服务器遭到黑客入侵,并将“美国司法部”的主页改为“ 美国不公正部”,将司法部部长的照片换成了阿道夫希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。 96年9月18日,黑客又光顾美国中央情报局的网络服务器,将其主页由“中央情报局” 改为“中央愚蠢局”。 96年12月29日,黑客侵入美国空军的全球网网址并将其主页肆意改动,其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象,且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址。 内容来自论文无忧网 www.paper51.com 计算机网络的安全如此的令人不安,为了解决种种网络攻击的问题,最有效的方法是采用防火墙技术,但是不管是何种类型的防火墙,还是无法阻止无孔不入的网络攻击者们的脚步。 copyright paper51.com 1.2 目前网络系统中存在的安全漏洞 内容来自论文无忧网 www.paper51.com
2001年,SANS研究所和国家基础设施保护中心(NIPC)发布了一份文档,总结了10个最严重的网络安全漏洞。数以千计的组织利用这份文档来安排他们工作的先后次序,以便能够首先关掉最危险的漏洞。 内容来自论文无忧网 www.paper51.com 2001年10月1日发布的这份新的列表更新并扩展了以前的TOP10列表,增加为20个最危险的安全漏洞,大多数通过Internet对计算机系统的入侵均可以追溯到这20个安全漏洞。 内容来自www.paper51.com 简单的说,这20个漏洞包括:操作系统和应用软件的缺省安装;没有口令或使用弱口令的帐号;没有备份或者备份不完整;大量打开的端口;没有过滤地址的不正确的包;不存在或不完整的日志;易被攻击的CGI程序;;Unicode漏洞;ISAPI 缓冲区扩展溢出;IIS RDS的使用;NETBIOS – 未保护的Windows网络共享;通过空对话连接造成的信息泄露;Weak hashingin SAM (LM hash);RPC 服务缓冲区溢出;Sendmail 漏洞;Bind 脆弱性;R 命令;LPD (remote print protocol daemon);sadmind and mountd;缺省 SNMP 字串。 paper51.com 1.3 本文工作 http://www.paper51.com 目前网络安全的这种现状,给无孔不入的黑客们提供了攻击的种种渠道。他们利用操作系统的漏洞,利用TCP/IP的固有特性,利用网络的安全性问题,成功地突破了防火墙的保护,进入计算机网络的内部。 内容来自论文无忧网 www.paper51.com
本文主要讨论和分析了目前突破防火墙保护的网络攻击的种种类型,并且根据这些类型提出了相关的防御措施。防火墙攻击主要包括拒绝服务型攻击,缓冲区溢出型攻击,源IP地址欺骗攻击,对于着三种攻击,在本文中都一一提出了相关防御措施。 内容来自论文无忧网 www.paper51.com
最后本文介绍了没有防火墙保护和有防火墙保护的网络攻击的实现。对于没有防火墙保护的网络,无所谓身份的验证问题,所以要让网络内的主机和网络外的主机进行通信,其实就是建立两台主机之间的通信即可,要作到这一点需要利用TCP Socket数据转发。对于有防火墙保护的网络,为了让要让网络内的主机和网络外的主机进行通信,就要想办法让目标网关相信我们的机器是“合法”的,这样它才会为攻击者自己的机器和网络内的主机之间进行数据转发。这里就需要利用TCP/IP的TCP端口反弹特性来实现。然后结合没有防火墙保护的网络的突破,就可以实现进入有防火墙保护的内部网络。 paper51.com 第二章 防火墙概论 paper51.com 2.1 防火墙的定义 http://www.paper51.com 防火墙[1],是一类防范措施的总称,是一种非常有效的安全模型,其核心思想是在不安全的网络环境中构造一个相对安全的自网环境。在网络上,它是指一种将要保护的内部网络和公众访问网络分开的方法,是内部网络和外部网络之间的第一道屏障。防火墙所作用的是流进或流出网络的数据包,它能允许你“同意”的数据包进入你的网络,同时将你“不同意”的数据包拒之门外。换句话说,如果不通过防火墙,内部网络中的人就无法访问外部网络,外部网络上的人也无法和内部网络中的人进行通信。 http://www.paper51.com 防火墙既可以是一台路由器、一台个人电脑或是一台主机,也可以是多台主机构成的体系。它们被配置为专门保护一个私有的网络,使之免受外部网络的攻击。 paper51.com 2.2 防火墙的发展史 内容来自论文无忧网 www.paper51.com 在防火墙发展的历史上,一般可以划分为五个阶段。 内容来自论文无忧网 www.paper51.com 第一代防火墙:该技术几乎与路由器同时出现,采用了包过滤技术。 内容来自论文无忧网 www.paper51.com
第二、三代防火墙 :1989年,贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙——应用层防火墙(代理防火墙)的初步结构。 copyright paper51.com
第四代防火墙:1992年,USC信息科学院的BobBraden开发出了基于动态包过滤(Dynamic packet filter)技术的第四代防火墙,后来演变为目前所说的状态监视(Statefulinspection)技术。1994年,以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。 内容来自论文无忧网 www.paper51.com
第五代防火墙 :1998年,NAI公司推出了一种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。 内容来自www.paper51.com
2.3 防火墙的作用 copyright paper51.com |