信息系統(tǒng)安全課程設計(川大)

1、信息系統(tǒng)安全課程設計題 目 傳統(tǒng)網(wǎng)絡協(xié)議的安全性 學 院 計算機（軟件）學院 專 業(yè) 計算機科學與技術 學生姓名 劉佳玉 學 號 2012141461134 年級 大三 指導教師 馮子亮 二一五 年 六 月 九 日傳統(tǒng)網(wǎng)絡協(xié)議的安全性 計算機科學與技術 專業(yè)學生 劉佳玉 指導教師 馮子亮摘要隨著Internet的發(fā)展，電子商務已經(jīng)逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的發(fā)展前景十分誘人，而其安全問題也變得越來越突出，如何建立一個安全、便捷的電子商務應用環(huán)境，對信息提供足夠的保護，已經(jīng)成為商家和用戶都十分關心的話題。電子商務的一個重要技術特征是利

2、用IT技術來傳輸和處理商業(yè)信息。因此，電子商務安全從整體上可分為兩大部分：計算機網(wǎng)絡安全和商務交易安全。計算機網(wǎng)絡設備安全、計算機網(wǎng)絡系統(tǒng)安全、數(shù)據(jù)庫安全等。其特征是針對計算機網(wǎng)絡本身可能存在的安全問題，實施網(wǎng)絡安全增強方案，以保證計算機網(wǎng)絡自身的安全性為目標。商務交易安全則緊緊圍繞傳統(tǒng)商務在互聯(lián)網(wǎng)絡上應用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡的基礎上，如何保障電子商務過程的順利進行。即實現(xiàn)電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。計算機網(wǎng)絡安全與商務交易安全實際上是密不可分的，兩者相輔相成，缺一不可。沒有計算機網(wǎng)絡安全作為基礎，商務交易安全就猶如空中樓閣，無從談起。沒有商務交易

3、安全保障，即使計算機網(wǎng)絡本身再安全，仍然無法達到電子商務所特有的安全要求。關鍵詞：電子商務，計算機網(wǎng)絡安全和商務背景當許多傳統(tǒng)的商務方式應用在Internet上時，便會帶來許多源于安全方面的問題，如傳統(tǒng)的貸款和借款卡支付/保證方案及數(shù)據(jù)保護方法、電子數(shù)據(jù)交換系統(tǒng)、對日常信息安全的管理等。電子商務的大規(guī)模使用雖然只有幾年時間，但不少公司都已經(jīng)推出了相應的軟、硬件產(chǎn)品。由于電子商務的形式多種多樣，涉及的安全問題各不相同，但在Internet上的電子商務交易過程中，最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患：竊取信息由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡上以明文形

4、式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。篡改信息當入侵者掌握了信息的格式和規(guī)律后，通過各種技術手段和方法，將網(wǎng)絡上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關上都可以做此類工作。假冒由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。惡意破壞由于攻擊者可以接入網(wǎng)絡，則可能對網(wǎng)絡中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡內(nèi)部，其后果是非常嚴重的。因此，電子商務的安全交易主

5、要保證以下四個方面：信息保密性交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉，因此在信息傳播中一般均有加密的要求。交易者身份的確定性網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功，首先要能確認對方的身份，對商家要考慮客戶端不能是騙子，而客戶也會擔心網(wǎng)上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。不可否認性由于商情的千變?nèi)f化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認的。不可修改性交易的文件是不可被修改的，否則也必然會損害一方的商業(yè)利益。因此電子交易文件也要能做到不可修改，以保障

6、商務交易的嚴肅和公正。概述很多傳統(tǒng)網(wǎng)絡協(xié)議是沒有考慮任何網(wǎng)絡安全因素的，其表現(xiàn)形式是用戶名和口令的明文傳輸。比如，ftp, telnet, pop3, smtp甚至不需要驗證用戶很多網(wǎng)站的用戶名/密碼傳送，也用明文網(wǎng)絡分析工具嗅探器是常用的網(wǎng)絡分析工具在網(wǎng)絡編程中，把網(wǎng)卡綁定為混雜模式，就可以監(jiān)聽到本網(wǎng)段所有設備的上行和下行數(shù)據(jù)可針對無線路由器可針對集線器/HUB針對交換機通常情況下無效，除非早期最著名的網(wǎng)絡嗅探器包括：SnifferNet-XrayWindows平臺上可用的免費/開源軟件WinPcap，抓包軟件WireShark，網(wǎng)絡分析軟件WinPcap介紹：winpcap(windows

7、 packet capture)是windows平臺下一個免費，公共的網(wǎng)絡訪問系統(tǒng)。開發(fā)winpcap這個項目的目的在于為win32應用程序提供訪問網(wǎng)絡底層的能力。它用于windows系統(tǒng)下的直接的網(wǎng)絡編程。winpcap的主要功能在于獨立于主機協(xié)議（如TCP-IP)而發(fā)送和接收原始數(shù)據(jù)包。也就是說，winpcap不能阻塞，過濾或控制其他應用程序數(shù)據(jù)包的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡上傳送的數(shù)據(jù)包。因此，它不能用于QoS調度程序或個人防火墻。winpcap開發(fā)的主要對象是windows NT/2000/XP，這主要是因為在使用winpcap的用戶中只有一小部分是僅使用windows 95/98/

8、Me，并且MS也已經(jīng)放棄了對win9x的開發(fā)。因此本文相關的程序T-ARP也是面向NT/2000/XP用戶的。其實winpcap中的面向9x系統(tǒng)的概念和NT系統(tǒng)的非常相似，只是在某些實現(xiàn)上有點差異，比如說9x只支持ANSI編碼，而NT系統(tǒng)則提倡使用Unicode編碼。有個軟件叫snifferpro.可以作網(wǎng)管軟件用，有很多功能，可監(jiān)視網(wǎng)絡運行情況，每臺網(wǎng)內(nèi)機器的數(shù)據(jù)流量,實時反映每臺機器所訪問IP以及它們之間的數(shù)據(jù)流通情況，可以抓包，可對過濾器進行設置,以便只抓取想要的包，比如POP3包,smtp包，ftp包等，并可從中找到郵箱用戶名和密碼,還有ftp用戶名和密碼。它還可以在使用交換機的網(wǎng)絡上

9、監(jiān)聽，不過要在交換機上裝它的一個軟件。還有一個簡單的監(jiān)聽軟件叫Passwordsniffer，可截獲郵箱用戶名和密碼，還有ftp用戶名和密碼，它只能用在HUB網(wǎng)絡上。著名軟件tcpdump及idssnort都是基于libpcap編寫的，此外Nmap掃描器也是基于libpcap來捕獲目標主機返回的數(shù)據(jù)包的。WireShark介紹：Wireshark（前稱Ethereal）是一個網(wǎng)絡封包分析軟件。網(wǎng)絡封包分析軟件的功能是擷取網(wǎng)絡封包，并盡可能顯示出最為詳細的網(wǎng)絡封包資料。Wireshark使用WinPCAP作為接口，直接與網(wǎng)卡進行數(shù)據(jù)報文交換。網(wǎng)絡封包分析軟件的功能 可想像成 "

10、;電工技師使用電表來量測電流、電壓、電阻" 的工作 - 只是將場景移植到網(wǎng)絡上，并將電線替換成網(wǎng)絡線。在過去，網(wǎng)絡封包分析軟件是非常昂貴，或是專門屬于營利用的軟件。Ethereal的出現(xiàn)改變了這一切。在GNUGPL通用許可證的保障范圍底下，使用者可以以免費的代價取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權利。Ethereal是目前全世界最廣泛的網(wǎng)絡封包分析軟件之一。pop3協(xié)議分析pop3簡介：POP3，全名為“Post Office Protocol - Version 3”，即“郵局協(xié)議版本3”。是TCP/IP協(xié)議族中的一員，由RFC1939 定義。本協(xié)議主要用于支持使

11、用客戶端遠程管理在服務器上的電子郵件。提供了SSL加密的POP3協(xié)議被稱為POP3S。POP 協(xié)議支持“離線”郵件處理。其具體過程是：郵件發(fā)送到服務器上，電子郵件客戶端調用郵件客戶機程序以連接服務器，并下載所有未閱讀的電子郵件。這種離線訪問模式是一種存儲轉發(fā)服務，將郵件從郵件服務器端送到個人終端機器上，一般是PC機或 MAC。一旦郵件發(fā)送到 PC 機或MAC上，郵件服務器上的郵件將會被刪除。但目前的POP3郵件服務器大都可以“只下載郵件，服務器端并不刪除”，也就是改進的POP3協(xié)議。分析步驟：安裝foxmail6.5設置郵件用戶名、pop3服務器、密碼注意不選擇SSL啟動WireShark抓包

12、在foxmail中選擇收取郵件待登錄成功后停止抓包選擇pop協(xié)議過濾分析結果：用戶名和密碼都是明文ftp協(xié)議分析ftp協(xié)議簡介：FTP（File Transfer Protocol，文件傳輸協(xié)議） 是 TCP/IP 協(xié)議組中的協(xié)議之一。FTP協(xié)議包括兩個組成部分，其一為FTP服務器，其二為FTP客戶端。其中FTP服務器用來存儲文件，用戶可以使用FTP客戶端通過FTP協(xié)議訪問位于FTP服務器上的資源。在開發(fā)網(wǎng)站的時候，通常利用FTP協(xié)議把網(wǎng)頁或程序傳到Web服務器上。此外，由于FTP傳輸效率非常高，在網(wǎng)絡上傳輸大的文件時，一般也采用該協(xié)議。默認情況下FTP協(xié)議使用TCP端口中的 20和21這兩個

13、端口，其中20用于傳輸數(shù)據(jù)，21用于傳輸控制信息。但是，是否使用20作為傳輸數(shù)據(jù)的端口與FTP使用的傳輸模式有關，如果采用主動模式，那么數(shù)據(jù)傳輸端口就是20；如果采用被動模式，則具體最終使用哪個端口要服務器端和客戶端協(xié)商決定。分析步驟：安裝ftp服務器Serv-U，設置服務器啟動抓包使用ftp客戶端登錄停止抓包選擇ftp協(xié)議過濾器分析結果：用戶名和密碼都是明文HTTP協(xié)議分析http協(xié)議簡介：超文本傳輸協(xié)議（HTTP，HyperText Transfer Protocol)是互聯(lián)網(wǎng)上應用最為廣泛的一種網(wǎng)絡協(xié)議。所有的WWW文件都必須遵守這個標準。設計HTTP最初的目的是為了提供一種發(fā)布和接收H

14、TML頁面的方法。1960年美國人Ted Nelson構思了一種通過計算機處理文本信息的方法，并稱之為超文本（hypertext）,這成為了HTTP超文本傳輸協(xié)議標準架構的發(fā)展根基。Ted Nelson組織協(xié)調萬維網(wǎng)協(xié)會（World Wide Web Consortium）和互聯(lián)網(wǎng)工程工作小組（Internet Engineering Task Force ）共同合作研究，最終發(fā)布了一系列的RFC，其中著名的RFC 2616定義了HTTP 1.1。HTTP是一個客戶端和服務器端請求和應答的標準（TCP）。客戶端是終端用戶，服務器端是網(wǎng)站。通過使用Web瀏覽器、網(wǎng)絡爬蟲或者其它的工具，客戶端發(fā)起一個到服務器上指定端口（默認端口為80）的HTTP請求。（我們稱這個客戶端）叫用戶代理（user agent）。應答的服務器上存儲著（一些）資源，比如HTML文件和圖像。（我們稱）這個應答服務器為源服務器（origin server）。在用戶代理和源服務器中間可能存在多個中間層，比如代理，網(wǎng)關，或者隧道（tunnels）。盡管TCP/IP協(xié)議是互聯(lián)網(wǎng)上最流行的應用，HTTP協(xié)議并沒有規(guī)定必須使用它和（基于）它支持的層。 事實上，HTTP可以在任何其他互聯(lián)網(wǎng)協(xié)議上，或者在其他網(wǎng)絡上實現(xiàn)。HT