第2章 信息系统安全防范技术.pptVIP

.3　拒绝服务攻击 对于某台服务器来说,可用的TCP连接是有限的,如果恶意攻击方在短时间内快速连续地向一台服务器大量发出连接请求,该服务器可用的TCP连接队列将很快被阻塞,系统可用资源急剧减少,网络可用带宽迅速缩小,从而没有能力为其他用户服务。这就是拒绝服务攻击(DoS, Denial of Service)。若动用网络上的大量计算机同时对一台服务器发起DoS攻击,就是分布式拒绝服务攻击(Distributed Denial of Service,DDoS)。 拒绝服务攻击会降低资源的可用性,这些资源可以是处理器、磁盘空间、CPU使用的时间、打印机、调制解调器,甚至是系统管理员的时间。攻击的结果是降低服务效率甚至中止服务。 对拒绝服务攻击,目前还没有好的解决办法。限制使用系统资源,可以部分防止拒绝服务。管理员还可以使用网络监视工具来发现这种类型的攻击,甚至发现攻击的来源。这时候可以通过网络管理软件设置网络设备丢弃这种类型的数据包。 .4　网络监听 网络监听工具是黑客们常用的一类工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。网络监听可以在网上的任何一个位置进行,如局域网中的一台主机、网关上,路由设备或交换设备上,或远程网的调制解调器之间等。黑客们用得最多的是通过监听截获用户的口令。当前,网上的数据绝大多数都是以明文的形式传输,而且口令通常都很短,容易辨认。若口令被截获,黑客则可以非常容易地用此口令登录到口令所有者的主机。对付监听的最有效的办法是采取加密手段传输数据。 .5　缓冲区溢出 缓冲区溢出是一个非常普遍、非常危险的漏洞,在各种操作系统、应用软件中广泛存在。产生缓冲区溢出的根本原因在于,将一个超过缓冲区长度的字串被拷贝到缓冲区。溢出带来了两种后果:一是过长的字串覆盖了相邻的存储单元,引起程序运行失败,严重的可引起死机、系统重新启动等后果。二是利用这种漏洞可以执行任意指令,甚至可以取得系统特权。在Unix系统中,利用SUID程序中存在的缓冲区溢出错误,使用一类精心编写的程序,可以很轻易地取得系统的超级用户权限。 .6　电子邮件攻击 电子邮件系统面临着巨大的安全风险,它不但要遭受前面所述的许多攻击,而且容易成为某些专门面向邮件的攻击的目标。这些专门针对邮件的攻击有: (1)窃取/篡改数据。 (2)拒绝服务。 (3)病毒。 .7　其他攻击方式 其他的攻击方法主要是指利用一些程序进行攻击,比如陷门、后门、程序中的逻辑炸弹和时间炸弹、病毒、特洛伊木马程序等。陷门(Trap Door)和后门(Back Door)是一段非法的操作系统程序,其目的是为闯入者提供方便的入口。逻辑炸弹和时间炸弹会在满足某个条件时或到预定的时间时发作,破坏计算机系统。特洛伊木马程序通常会做一些用户不希望发生的事,诸如在用户不知情的情况下拷贝文件或窃取密码。 2.4防火墙技术 我们知道,企业的电子商务系统是基于Internet上的,这方便了企业内部之间以及企业与外部的信息交流,提高了工作效率。然而,与Internet这样一个世界范围的开放网络连接,在获得利益的同时也要付出安全性代价。一旦企业内部网连入Internet,就意味着Internet上的每个用户都有可能访问企业内部网。如果没有安全保护措施,黑客们可能会在企业毫无觉察的情况下进入企业内部网,非法访问企业的资源。安装防火墙就是保护企业内部网中信息安全的一项重要措施。 2.4.1　防火墙的基础知识(略) 2.4.2　防火墙的优缺点 防火墙具有以下优点: (1)保护那些易受攻击的服务。 (2)控制对特殊站点的访问。 (3)集中化的安全管理。 (4)对网络访问进行记录和统计。 2.4.3　防火墙的构成 2.4.4　防火墙的类型 目前虽然已经出现多种防火墙,但大体上可以将之划分为下述两类。 　包过滤防火墙 包过滤防火墙是最简单的防火墙,通常只对源地址和目的地址及端口进行检查。其工作原理如下图所示。 　代理服务器防火墙 代理服务器技术是防火墙技术中最受推崇的一种,它的优点在于可以将被保护的网络内部结构屏蔽起来,增强网络的安全性能,同时可实施数据流监控、过滤、记录和报告等增强功能。其缺点在于需要为每个网络服务专门设计、开发代理服务器软件及相应的监控过滤功能,并且由于代理服务器具有相当的工作量,需专门的工作站来承担。它的特点是将所有跨越防火墙的网络通信链路分为两段,外部计算 机的网络链路只能到达代理服务器上