網(wǎng)絡(luò)信息安全(畢業(yè)論文)

1、h網(wǎng)絡(luò)信息安全（畢業(yè)論文）目錄前言摘要第1章 計(jì)算機(jī)網(wǎng)絡(luò)的概述1.1 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的定義，功能，組成與主要用途第2章 網(wǎng)絡(luò)信息安全概述2.1 網(wǎng)絡(luò)信息安全的定義2.2 網(wǎng)絡(luò)信息安全問題的產(chǎn)生與網(wǎng)絡(luò)信息安全的威脅第3章 實(shí)例3.1 網(wǎng)絡(luò)信息應(yīng)用中字符引發(fā)的信息安全問題參考結(jié)束語前言隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為信息時(shí)代的重要特征，人們稱它為信息高速公路。網(wǎng)絡(luò)是計(jì)算機(jī)技術(shù)和通信技術(shù)的產(chǎn)物，是應(yīng)社會(huì)對(duì)信息共享和信息傳遞的要求發(fā)展起來的，各國(guó)都在建設(shè)自己的信息高速公路。我國(guó)近年來計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展的速度也很快，在國(guó)防、電信、銀行、廣播等方面都有廣泛的應(yīng)用。我相信在不長(zhǎng)的時(shí)間里，計(jì)算機(jī)網(wǎng)絡(luò)一

2、定會(huì)得到極大的發(fā)展，那時(shí)將全面進(jìn)入信息時(shí)代。 正因?yàn)榫W(wǎng)絡(luò)應(yīng)用的如此廣泛，又在生活中扮演很重要的角色，所以其安全性是不容忽視的，它是網(wǎng)絡(luò)能否經(jīng)歷考驗(yàn)的關(guān)鍵，如果安全性不好會(huì)給人們帶來很多麻煩。網(wǎng)絡(luò)信息交流現(xiàn)已是生活中必不可少的一個(gè)環(huán)節(jié)，然而信息安全卻得不到相應(yīng)的重視。本文就網(wǎng)絡(luò)信息的發(fā)展，組成，與安全問題的危害做一個(gè)簡(jiǎn)單的探討摘要本文就網(wǎng)絡(luò)信息安全這個(gè)課題進(jìn)行展開說明，特別針對(duì)字符引發(fā)的信息安全問題。第1章計(jì)算機(jī)網(wǎng)絡(luò)的概述簡(jiǎn)要說明計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)的功能，網(wǎng)絡(luò)的定義，網(wǎng)絡(luò)系統(tǒng)的組成以及網(wǎng)絡(luò)的主要用途。第2章 對(duì)網(wǎng)絡(luò)安全做一個(gè)概述。第3章 簡(jiǎn)單探討一下字符過濾不嚴(yán)而引發(fā)的網(wǎng)絡(luò)信息威脅第1章1.

3、1計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的定義，功能，組成與主要用途計(jì)算機(jī)網(wǎng)絡(luò)源于計(jì)算機(jī)與通信技術(shù)的結(jié)合，其發(fā)展歷史按年代劃分經(jīng)歷了以下幾個(gè)時(shí)期。50-60年代，出現(xiàn)了以批處理為運(yùn)行特征的主機(jī)系統(tǒng)和遠(yuǎn)程終端之間的數(shù)據(jù)通信。 60-70年代，出現(xiàn)分時(shí)系統(tǒng)。主機(jī)運(yùn)行分時(shí)操作系統(tǒng)，主機(jī)和主機(jī)之間、主機(jī)和遠(yuǎn)程終端之間通過前置機(jī)通信。美國(guó)國(guó)防高級(jí)計(jì)劃局開發(fā)的arpa網(wǎng)投入使用，計(jì)算機(jī)網(wǎng)處于興起時(shí)期。70-80年代是計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展最快的階段，網(wǎng)絡(luò)開始商品化和實(shí)用化，通信技術(shù)和計(jì)算機(jī)技術(shù)互相促進(jìn)，結(jié)合更加緊密。網(wǎng)絡(luò)技術(shù)飛速發(fā)展，特別是微型計(jì)算機(jī)局域網(wǎng)的發(fā)展和應(yīng)用十分廣泛。進(jìn)入90年代后，局域網(wǎng)成為計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)的基本單元。網(wǎng)絡(luò)間互

4、連的要求越來越強(qiáng)，真正達(dá)到資源共享、數(shù)據(jù)通信和分布處理的目標(biāo)。迅速崛起的internet是人們向往的信息高速公路的一個(gè)雛形，從它目前發(fā)展的廣度和應(yīng)用的深度來看，其潛力還遠(yuǎn)遠(yuǎn)沒有發(fā)揮出來，隨著21世紀(jì)的到來，internet必將在人類的社會(huì)、政治和經(jīng)濟(jì)生活中扮演著越來越重要的角色。計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展過程是從簡(jiǎn)單到復(fù)雜，從單機(jī)到多機(jī)，從終端與計(jì)算機(jī)之間的通信發(fā)展到計(jì)算機(jī)與計(jì)算機(jī)之間的直接通信的演變過程。其發(fā)展經(jīng)歷了具有通信功能的批處理系統(tǒng)、具有通信功能的多機(jī)系統(tǒng)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)三個(gè)階段。1.具有通信功能的批處理系統(tǒng)在具有通信功能的批處理系統(tǒng)中，計(jì)算機(jī)既要進(jìn)行數(shù)據(jù)處理，又要承擔(dān)終端間的通信，主機(jī)負(fù)荷加

5、重，實(shí)際工作效率下降；分散的終端單獨(dú)占用一條通信線路，通信線路利用率低，費(fèi)用高。2.具有通信功能的多機(jī)系統(tǒng)具有通信功能的多機(jī)系統(tǒng)的主機(jī)前增設(shè)一個(gè)前端處理機(jī)，用來專門負(fù)責(zé)通信工作，而且在終端比較集中的地方設(shè)置集中器。集中器實(shí)際也是一臺(tái)計(jì)算機(jī)，它把終端發(fā)來的信息收集起來，裝配成用戶的作業(yè)信息，然后再用高速線路傳給前端處理機(jī)。當(dāng)主機(jī)把信息發(fā)給用戶時(shí)，集中器先接收由前端處理機(jī)傳來的信息，經(jīng)預(yù)處理分發(fā)給用戶，從而實(shí)現(xiàn)了數(shù)據(jù)處理與數(shù)據(jù)通信的分工。3.計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，服務(wù)器負(fù)責(zé)處理網(wǎng)絡(luò)上各主機(jī)（或稱為工作站）之間通信控制和通信處理的任務(wù)，網(wǎng)絡(luò)上各主機(jī)負(fù)責(zé)數(shù)據(jù)和用戶作業(yè)的處理，是計(jì)算機(jī)網(wǎng)絡(luò)的

6、資源擁有者。在網(wǎng)絡(luò)系統(tǒng)中，各主機(jī)之間沒有主次關(guān)系，它們各自相互獨(dú)立，但通過通信控制設(shè)備和通信介質(zhì)實(shí)現(xiàn)系統(tǒng)中各計(jì)算機(jī)之間的數(shù)據(jù)和系統(tǒng)軟、硬件資源的共享。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和完善，網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)系統(tǒng)日趨成熟，計(jì)算機(jī)網(wǎng)絡(luò)已逐步滲透到當(dāng)今信息社會(huì)的各個(gè)領(lǐng)域，其應(yīng)用前景是十分廣闊的。計(jì)算機(jī)網(wǎng)絡(luò)是把一定地理范圍內(nèi)的計(jì)算機(jī)通過通信線路互連起來，在相應(yīng)通信協(xié)議和網(wǎng)絡(luò)系統(tǒng)軟件的支持下，彼此互相通信并共享資源的系統(tǒng)。因此，可以把計(jì)算機(jī)網(wǎng)絡(luò)定義為：凡將地理位置不同，并具有獨(dú)立功能的多臺(tái)計(jì)算機(jī)系統(tǒng)通過通信設(shè)備和線路連接起來，以功能完善的網(wǎng)絡(luò)軟件實(shí)現(xiàn)在網(wǎng)絡(luò)中資源共享的系統(tǒng)，稱之為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)是由網(wǎng)絡(luò)操作

7、系統(tǒng)和用以組成計(jì)算機(jī)網(wǎng)絡(luò)的多臺(tái)計(jì)算機(jī)，以及各種通信設(shè)備構(gòu)成的。在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中，每臺(tái)計(jì)算機(jī)是獨(dú)立的，任何一臺(tái)計(jì)算機(jī)都不能干預(yù)其它計(jì)算機(jī)的工作，任何兩臺(tái)計(jì)算機(jī)之間沒有主從關(guān)系。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)由網(wǎng)絡(luò)硬件和網(wǎng)絡(luò)軟件兩部分組成。在網(wǎng)絡(luò)系統(tǒng)中，硬件對(duì)網(wǎng)絡(luò)的性能起著決定的作用，是網(wǎng)絡(luò)運(yùn)行的實(shí)體，而網(wǎng)絡(luò)軟件則是支持網(wǎng)絡(luò)運(yùn)行、提高效益和開發(fā)網(wǎng)絡(luò)資源的工具。1.網(wǎng)絡(luò)硬件網(wǎng)絡(luò)硬件是計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的物質(zhì)基礎(chǔ)。構(gòu)成一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，首先要將計(jì)算機(jī)及其附屬硬件設(shè)備與網(wǎng)絡(luò)中的其它計(jì)算機(jī)系統(tǒng)連接起來，實(shí)現(xiàn)物理連接。常見的網(wǎng)絡(luò)硬件有：計(jì)算機(jī)、網(wǎng)絡(luò)接口卡、通信介質(zhì)以及各種網(wǎng)絡(luò)互連設(shè)備等。網(wǎng)絡(luò)中的計(jì)算機(jī)又分為服務(wù)器和網(wǎng)絡(luò)工作

8、站兩類。2.網(wǎng)絡(luò)軟件網(wǎng)絡(luò)軟件是實(shí)現(xiàn)網(wǎng)絡(luò)功能所不可缺少的軟環(huán)境。網(wǎng)絡(luò)軟件通常包括網(wǎng)絡(luò)操作系統(tǒng)（network operating system）和網(wǎng)絡(luò)協(xié)議軟件。網(wǎng)絡(luò)操作系統(tǒng)網(wǎng)絡(luò)操作系統(tǒng)是運(yùn)行在網(wǎng)絡(luò)硬件基礎(chǔ)之上的，為網(wǎng)絡(luò)用戶提供共享資源管理服務(wù)、基本通信服務(wù)、網(wǎng)絡(luò)系統(tǒng)安全服務(wù)及其他網(wǎng)絡(luò)服務(wù)的軟件系統(tǒng)。網(wǎng)絡(luò)操作系統(tǒng)是網(wǎng)絡(luò)的核心，其他應(yīng)用軟件系統(tǒng)需要網(wǎng)絡(luò)操作系統(tǒng)的支持才能運(yùn)行。在網(wǎng)絡(luò)系統(tǒng)中，每個(gè)用戶都可享用系統(tǒng)中的各種資源，所以，網(wǎng)絡(luò)操作系統(tǒng)必須對(duì)用戶進(jìn)行控制，否則，就會(huì)造成系統(tǒng)混亂，造成信息數(shù)據(jù)的破壞和丟失。為了協(xié)調(diào)系統(tǒng)資源，網(wǎng)絡(luò)操作系統(tǒng)需要通過軟件工具對(duì)網(wǎng)絡(luò)資源進(jìn)行全面的管理，進(jìn)行合理的調(diào)度和分配

9、。網(wǎng)絡(luò)協(xié)議連入網(wǎng)絡(luò)的計(jì)算機(jī)依*網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)互相通信，而網(wǎng)絡(luò)協(xié)議是*具體的網(wǎng)絡(luò)協(xié)議軟件的運(yùn)行支持才能工作。凡是連入計(jì)算機(jī)網(wǎng)絡(luò)的服務(wù)器和工作站上都運(yùn)行著相應(yīng)的網(wǎng)絡(luò)協(xié)議軟件，比如最常用的互聯(lián)網(wǎng)協(xié)議tcp/ip，網(wǎng)間互連協(xié)議ipx/netbois,等等隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，其應(yīng)用領(lǐng)域越來越廣泛。通過網(wǎng)絡(luò)系統(tǒng)，人們可以坐在家里預(yù)訂去世界各地的飛機(jī)票、火車票、船票，預(yù)訂客房等。通過遠(yuǎn)程通信可了解全世界各地證券、股市行情，在任何地方的銀行存取貨幣等。通過網(wǎng)絡(luò)信息系統(tǒng)對(duì)企業(yè)生產(chǎn)、銷售、財(cái)務(wù)、儲(chǔ)運(yùn)、固定資產(chǎn)等各方面進(jìn)行管理，還可以對(duì)企業(yè)進(jìn)行輔助計(jì)劃、輔助決策，對(duì)企業(yè)進(jìn)行宏觀控制。另外，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在信息咨詢業(yè)、

10、辦公自動(dòng)化、軍事、航天航空、教育、氣象、圖書館管理等方面都有廣泛的應(yīng)用。計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用領(lǐng)域十分廣泛，主要有以下幾種用途。1.共享資源建立計(jì)算機(jī)網(wǎng)絡(luò)的主要目的在于實(shí)現(xiàn)資源共享，所以其功能主要體現(xiàn)在通過資源共享而實(shí)現(xiàn)。利用計(jì)算機(jī)網(wǎng)絡(luò)可以共享主機(jī)設(shè)備，如，中型機(jī)、小型機(jī)、工作站等；也可以共享較高級(jí)和昂貴的外部設(shè)備，如：激光打印機(jī)、繪圖儀、數(shù)字化儀、掃描儀等。使不擁有大型計(jì)算機(jī)的用戶也可以通過網(wǎng)絡(luò)使用大型機(jī)資源，分享到擁有大型機(jī)的優(yōu)勢(shì)，避免系統(tǒng)建設(shè)中的重復(fù)勞動(dòng)和投資。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)可將分散在各地的計(jì)算機(jī)中的數(shù)據(jù)信息收集起來，進(jìn)行綜合分析處理。并把分析結(jié)果反饋給相關(guān)的各個(gè)計(jì)算機(jī)中，使數(shù)據(jù)信息得到充分的

11、共享。更重要的是，利用計(jì)算機(jī)網(wǎng)絡(luò)共享軟件、數(shù)據(jù)等信息資源，以最大限度地降低成本，提高效率。通過計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)可以緩解用戶資源缺乏的矛盾，并可對(duì)各資源的忙與閑進(jìn)行合理調(diào)節(jié)。2.數(shù)據(jù)通信利用計(jì)算機(jī)網(wǎng)絡(luò)可以實(shí)現(xiàn)計(jì)算機(jī)用戶相互間的通信。通過網(wǎng)絡(luò)上的文件服務(wù)器交換信息和報(bào)文、收發(fā)電子郵件、相互協(xié)同工作等。這些對(duì)辦公室自動(dòng)化、提高生產(chǎn)率起著十分重要的作用。隨著internet在世界各地的風(fēng)行，傳統(tǒng)的電話、電報(bào)、郵遞等通信方式受到很大沖擊，電子郵件、bbs已為世人廣泛接受，ip電話、視頻會(huì)議等各種通信方式. 第2章網(wǎng)絡(luò)安全概述2.1網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的具體含義會(huì)隨著角度的變化而變化。比如：從用戶（個(gè)人、

12、企業(yè)等）的角度來說，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱，同時(shí)也避免其它用戶的非授權(quán)訪問和破壞。從網(wǎng)絡(luò)運(yùn)行和管理者角度說，他們希望對(duì)本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制，避免出現(xiàn)陷門、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅，制止和防御網(wǎng)絡(luò)黑客的攻擊。對(duì)安全保密部門來說，他們希望對(duì)非法的、有害的或涉及國(guó)家機(jī)密的信息進(jìn)行過濾和防堵，避免機(jī)要信息泄露，避免對(duì)社會(huì)產(chǎn)生危害，對(duì)國(guó)家造成巨大損失。從社會(huì)教育和意識(shí)形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會(huì)對(duì)社會(huì)的穩(wěn)定和人類

13、的發(fā)展造成阻礙，必須對(duì)其進(jìn)行控制。從本質(zhì)上來講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可*正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個(gè)

14、重要問題。不同環(huán)境和應(yīng)用中的網(wǎng)絡(luò)安全運(yùn)行系統(tǒng)安全:即保證信息處理和傳輸系統(tǒng)的安全。它側(cè)重于保證系統(tǒng)正常運(yùn)行，避免因?yàn)橄到y(tǒng)的崩潰和損壞而對(duì)系統(tǒng)存貯、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失，避免由于電磁泄漏，產(chǎn)生信息泄露，干擾他人，受他人干擾。網(wǎng)絡(luò)上系統(tǒng)信息的安全:包括用戶口令鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限、方式控制，安全審計(jì)，安全問題跟蹤，計(jì)算機(jī)病毒防治，數(shù)據(jù)加密。網(wǎng)絡(luò)上信息傳播安全:即信息傳播后果的安全。包括信息過濾等。它側(cè)重于防止和控制非法、有害的信息進(jìn)行傳播后的后果。避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э?。網(wǎng)絡(luò)上信息內(nèi)容的安全:它側(cè)重于保護(hù)信息的保密性、真實(shí)性和完整性。避免攻擊者利用系統(tǒng)的安全

15、漏洞進(jìn)行竊聽、冒充、詐騙等有損于合法用戶的行為。本質(zhì)上是保護(hù)用戶的利益和隱私2.2 網(wǎng)絡(luò)信息安全問題的產(chǎn)生與網(wǎng)絡(luò)信息安全的威脅可以從不同角度對(duì)網(wǎng)絡(luò)安全作出不同的解釋。一般意義上，網(wǎng)絡(luò)安全是指信息安全和控制安全兩部分。國(guó)際標(biāo)準(zhǔn)化組織把信息安全定義為信息的完整性、可用性、保密性和可*性；控制安全則指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制?；ヂ?lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡(luò)環(huán)境為信息共享、信息交流、信息服務(wù)創(chuàng)造了理想空間，網(wǎng)絡(luò)技術(shù)的迅速發(fā)展和廣泛應(yīng)用，為人類社會(huì)的進(jìn)步提供了巨大推動(dòng)力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題

16、：a）信息泄漏、信息污染、信息不易受控。例如，資源未授權(quán)侵用、未授權(quán)信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認(rèn)等，這些都是信息安全的技術(shù)難點(diǎn)。b）在網(wǎng)絡(luò)環(huán)境中，一些組織或個(gè)人出于某種特殊目的，進(jìn)行信息泄密、信息破壞、信息侵權(quán)和意識(shí)形態(tài)的信息滲透，甚至通過網(wǎng)絡(luò)進(jìn)行政治顛覆等活動(dòng)，使國(guó)家利益、社會(huì)公共利益和各類主體的合法權(quán)益受到威脅。c）網(wǎng)絡(luò)運(yùn)用的趨勢(shì)是全社會(huì)廣泛參與，隨之而來的是控制權(quán)分散的管理問題。由于人們利益、目標(biāo)、價(jià)值的分歧，使信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復(fù)雜。d）隨著社會(huì)重要基礎(chǔ)設(shè)施的高度信息化，社會(huì)的命脈和核心控制系統(tǒng)有可能面臨惡意攻擊而導(dǎo)致?lián)p壞和癱瘓，包

17、括國(guó)防通信設(shè)施、動(dòng)力控制網(wǎng)、金融系統(tǒng)和政府網(wǎng)站等。隨著人類社會(huì)生活對(duì)internet需求的日益增長(zhǎng)，網(wǎng)絡(luò)安全逐漸成為internet及各項(xiàng)網(wǎng)絡(luò)服務(wù)和應(yīng)用進(jìn)一步發(fā)展的關(guān)鍵問題，特別是1993年以后 internet開始商用化，通過internet進(jìn)行的各種電子商務(wù)業(yè)務(wù)日益增多，加之internet/intranet技術(shù)日趨成熟，很多組織和企業(yè)都建立了自己的內(nèi)部網(wǎng)絡(luò)并將之與internet聯(lián)通。上述上電子商務(wù)應(yīng)用和企業(yè)網(wǎng)絡(luò)中的商業(yè)秘密均成為攻擊者的目標(biāo)。據(jù)統(tǒng)計(jì)，目前網(wǎng)絡(luò)攻擊手段有數(shù)千種之多，使網(wǎng)絡(luò)安全問題變得極其嚴(yán)峻，據(jù)美國(guó)商業(yè)雜志信息周刊公布的一項(xiàng)調(diào)查報(bào)告稱，黑客攻擊和病毒等安全問題在2000年

18、造成了上萬億美元的經(jīng)濟(jì)損失，在全球范圍內(nèi)每數(shù)秒鐘就發(fā)生一起網(wǎng)絡(luò)攻擊事件。隨著internet的發(fā)展，網(wǎng)絡(luò)安全技術(shù)也在與網(wǎng)絡(luò)攻擊的對(duì)抗中不斷發(fā)展。從總體上看，經(jīng)歷了從靜態(tài)到動(dòng)態(tài)、從被動(dòng)防范到主動(dòng)防范的發(fā)展過程當(dāng)人們?cè)L問他們不應(yīng)訪問的信息時(shí)，或他們企圖對(duì)網(wǎng)絡(luò)或其資源作希望做的事時(shí)，我們成這樣的企圖為攻擊。攻擊是一種你不想遇到的行為或一種企圖的行為。第3章 實(shí)例3.1 網(wǎng)絡(luò)信息應(yīng)用中字符引發(fā)的信息安全問題說到字符，很多用戶也許會(huì)不以為然：小小的字符，不過是個(gè)非?；A(chǔ)的人機(jī)交互表達(dá)形式，它能產(chǎn)生什么威脅？但是，威脅偏偏就來自最原始的方面，并且這種威脅往往是最危險(xiǎn)的，也是最難以防范的。正如世界上有各種表

19、達(dá)形式和書寫格式不同的語言一樣，在計(jì)算機(jī)的世界里同樣存在類似的問題：在計(jì)算機(jī)發(fā)展初期，不同的計(jì)算機(jī)系統(tǒng)對(duì)字符的處理方式不同，這導(dǎo)致了各個(gè)系統(tǒng)之間不能互相交流。為了解決這個(gè)問題，人們制訂了多種標(biāo)準(zhǔn)以便不同系統(tǒng)之間也能正確進(jìn)行字符交互，這就是字符編碼的由來。由于字符可以通過多種途徑進(jìn)行表達(dá)，所以它們的編碼也多種多樣，常見的英文字符編碼有ascii、ansi、unicode、utf、iso等，對(duì)于非英文字符，常見的字符編碼有g(shù)bk、big5、jis等。可能有的讀者已經(jīng)開始不耐煩了：說了半天編碼，到底什么才是編碼？！這里，我們用一個(gè)小例子幫助大家理解什么是編碼。我們可以這樣理解：一杯水無論放進(jìn)什么形狀

20、的杯子里都還是水，而不會(huì)變成老虎之類的，這個(gè)道理很簡(jiǎn)單，對(duì)不對(duì)？那么同樣的法則也適用于字符。對(duì)一個(gè)字符來說，無論系統(tǒng)內(nèi)部怎么處理，只要最終顯示出來的是原來的字符，那就沒錯(cuò)。例如小字，unicode 編碼把它作為%d0%a1存放，而ascii編碼里，它可以用-12127來表示，但是無論它怎么變，只要還能還原回小字，系統(tǒng)的處理工作就不會(huì)出問題多種編碼的產(chǎn)生本來是為了解決字符信息的交互問題，然而正是這些多種多樣的編碼導(dǎo)致了讓人意想不到的后果。字符，這個(gè)不起眼的小東西在編碼的世界里舉起了大刀，這使得上面提到的水變成老虎成為可能。字符威脅實(shí)錄在接觸計(jì)算機(jī)不久的時(shí)候你聽說了一個(gè)詞ascii；到了windo

21、ws 2000開始流行的時(shí)候，你知道unicode幫你解決了不少亂碼問題；當(dāng)你成為計(jì)算機(jī)高手以后，你常常會(huì)跟sql玩?zhèn)€不亦樂乎，可是你知道嗎？在這些你所熟知的字符或編碼背后，隱藏著什么樣的危險(xiǎn)嗎？你知道這樣的危險(xiǎn)就在你身邊嗎？控制符：想說愛你不容易ascii 全稱american standard code for information interchange（美國(guó)信息互換標(biāo)準(zhǔn)代碼），是最基礎(chǔ)的字符表達(dá)方式，它能完整表示26個(gè)英文字母、10個(gè)數(shù)字以及通用的格式符號(hào)等。ascii又分為控制字符和可顯示字符（也稱為printable，即可打印字符），通常情況下，控制字符只能由特殊按鍵和系統(tǒng)自己產(chǎn)

22、生，而且這些字符中的大部分是我們看不見的。但是你千萬不要以為看不見即不存在，恰恰相反，它們時(shí)刻存在！例如，在你保存一個(gè)文本的時(shí)候，系統(tǒng)就會(huì)自動(dòng)在文件結(jié)尾添加一個(gè)你看不見的結(jié)束符號(hào)，這個(gè)符號(hào)的作用就是用來告訴處理程序，讀取到這里的時(shí)候：停！專業(yè)說法可以稱之為文件結(jié)束符。不幸的是，上面提到，ascii控制編碼并非只有系統(tǒng)自身可以產(chǎn)生，用戶也可以通過特殊的輸入方式成功地輸出一個(gè)鍵盤上打不出來的特殊字符，這就可能會(huì)造成極其嚴(yán)重的后果。老一輩的論壇管理員也許還記得國(guó)內(nèi)那次恐怖論壇攻擊事件：很多論壇的帖子在一夜之間全部丟失！可是論壇卻沒有被入侵過的痕跡，服務(wù)器也完好無損，難道見鬼了？！后來，有人仔細(xì)查看了

23、論壇日志文件，原來是入侵者用一個(gè)特殊符號(hào)發(fā)了一個(gè)帖子，這個(gè)符號(hào)讓處理程序讀取文件時(shí)誤認(rèn)為文件到這里就結(jié)束了，而控制符號(hào)是不會(huì)顯示出來的，所以論壇程序只能認(rèn)為這惟一的帖子格式不對(duì)，于是論壇停止了文件讀取，在我們看來，即很多論壇帖子被刪除了。但是事情僅僅是這樣就結(jié)束了嗎？入侵者只是發(fā)了一個(gè)控制符號(hào)導(dǎo)致了論壇讀取錯(cuò)誤，然而數(shù)據(jù)還是在的，只要去掉這個(gè)字符就可以恢復(fù)了。有人會(huì)笑了：小兒科的把戲！不過，別急著下結(jié)論，如果那么輕易就結(jié)束游戲，管理員就不會(huì)哭了：由于這個(gè)控制符號(hào)的存在，一旦有人寫入新的數(shù)據(jù)，那么在這個(gè)帖子后面的所有數(shù)據(jù)將被清空！因?yàn)橄到y(tǒng)認(rèn)為文件到這里已經(jīng)結(jié)束了，那么后面的數(shù)據(jù)將會(huì)怎么樣？結(jié)局只

24、有一個(gè)：被全部清空！這時(shí)候，破壞論壇的就不再是入侵者了，而是那些熱心過頭急著發(fā)帖問??！論壇被黑了！的成員們了，這個(gè)游戲好玩嗎？一個(gè)字符，殲滅論壇unicode：管理員的噩夢(mèng)許多人對(duì)unicode的認(rèn)識(shí)是從著名的iis unicode二次編碼漏洞開始的。但是具體什么是unicode，這就不是所有人都知道的了。unicode常常被翻譯為萬國(guó)碼或者唯獨(dú)碼，后者也許是來自u(píng)nicode發(fā)明者的宗旨：推進(jìn)多文種的統(tǒng)一編碼。unicode同現(xiàn)在流行的代碼頁(yè)最顯著不同點(diǎn)在于：unicode是兩字節(jié)的全編碼，對(duì)于ascii字符它也使用兩字節(jié)表示。普通代碼頁(yè)是通過高字節(jié)的取值范圍來確定字符是ascii碼，還是漢

25、字的高字節(jié)。如果發(fā)生數(shù)據(jù)損壞，當(dāng)整篇文字某處內(nèi)容被破壞，則會(huì)引起其后漢字的混亂。unicode則一律使用兩個(gè)字節(jié)表示一個(gè)字符，最明顯的好處是它簡(jiǎn)化了漢字的處理過程。unicode編碼標(biāo)準(zhǔn)的出現(xiàn)讓各種系統(tǒng)之間的交流變得簡(jiǎn)單，然而正如愛情是把雙刃劍那樣，unicode也會(huì)傷人的。問題出在unicode對(duì)字符的解碼上，它的算法讓一個(gè)字符可以通過多種編碼格式產(chǎn)生，于是入侵者可以采用旁門左道產(chǎn)生一個(gè)非標(biāo)準(zhǔn)編碼的路徑符號(hào)。例如 %c1%1c，通過unicode解碼公式解析出來的字串為：%c1%1c-(0xc1-0xc0)*0x40+0x1c=0x5c= /。我們知道，iis在打開文件時(shí)，如果該文件名包含u

26、nicode字符，它會(huì)對(duì)其進(jìn)行解碼，如果用戶提供一些特殊的編碼，將可能導(dǎo)致iis錯(cuò)誤地打開或者執(zhí)行web根目錄以外的文件。在這里，iis并不知道這個(gè)是路徑符，就直接發(fā)出了處理請(qǐng)求。于是，入侵者攻擊者利用這個(gè)漏洞繞過了iis的路徑檢查，進(jìn)入了系統(tǒng)（圖3），這就是著名的iis unicode二次編碼漏洞攻擊原理。論壇：天生和字符有仇如果有人專門去閱讀一些論壇的文件內(nèi)容，會(huì)發(fā)現(xiàn)它們里面都會(huì)有一些代碼專門用來處理字符，這部分代碼的工作叫做字符過濾。為什么呢？因?yàn)橛刑嘧址寄軐?duì)論壇造成傷害，這些字符不一定需要特殊編碼，甚至我們正常敲出的文字里都有可能包含被論壇作者定義為危險(xiǎn)的字符。究其原因，就是因?yàn)檎?/p>

27、壇程序的特殊性，因?yàn)樗鼈児ぷ髟诜?wù)器和外界的接口處，而且自身也是由純字符組成的，但是一些看似正常的字符會(huì)不小心改變了它們的邏輯，這是連論壇作者自己可能都沒想到的。例如，一些論壇的功能設(shè)置部分會(huì)涉及文件讀寫，因此有必要加上權(quán)限盤查。但是如果作者編寫的權(quán)限檢查代碼忽略了某些特殊字符的輸入，結(jié)果就會(huì)讓入侵者成功地往系統(tǒng)中寫入一個(gè)文件。lb5000論壇就曾經(jīng)出現(xiàn)過一個(gè)重大漏洞：它的界面設(shè)置模塊對(duì)用戶權(quán)限的盤查不嚴(yán)謹(jǐn)，其中一個(gè)字符輸入沒有經(jīng)過身份驗(yàn)證，而這個(gè)設(shè)置會(huì)產(chǎn)生一個(gè)可以讓論壇程序執(zhí)行的文件用于臨時(shí)保存界面配置數(shù)據(jù)，于是入侵者通過以下格式寫入一個(gè)簡(jiǎn)單的內(nèi)容：setskin.cgi? memberco

28、de= ad&action=process&printme=use%20cgi%20qw(:standard)%3bopen(hbu,param (a)%3bprint%20hbu%20param(b)%3b，這樣就能完成對(duì)論壇的寫操作。讓我們簡(jiǎn)單地看看這段代碼。這個(gè)代碼產(chǎn)生了一個(gè)包含以下有用內(nèi)容的leoskin.cgi文件：use cgi qw(:standard);open(hbu,param(a);print hbu param(b);懂perl語法的用戶一眼就能看出來，這是一段簡(jiǎn)單的寫入文件代碼，入侵者只要用leoskin.cgi?a=文件名&b=內(nèi)容格式的語句就可以向論壇寫入文件。到

29、這里也許有人還不明白：寫個(gè)文件有什么了不起？別忘了，lb5000論壇是基于文件的，它的所有東西都是文件，包括管理員賬號(hào)。既然我們能寫文件，那么只要想辦法寫入一個(gè)管理員賬號(hào)文件，這下了不起沒有？利用這一點(diǎn)，入侵者還可以寫入一個(gè)執(zhí)行命令的文件webshell，進(jìn)而控制整個(gè)服務(wù)器！近期dvbbs論壇最熱的一個(gè)漏洞就是upfile漏洞，這個(gè)漏洞為什么得以成功呢？是簡(jiǎn)單的字符起的作用！有誰不能用十六進(jìn)制處理工具把里面那個(gè)關(guān)鍵的空格改為結(jié)束符而成功入侵這類論壇呢？！這又是一個(gè)小字符摧跨大堤壩的典型案例。sql：你的針管在哪里說到字符就不能不提一下大名鼎鼎的sql了，其實(shí)很多論壇過濾字符最大的原因也是因?yàn)閟

30、ql，這個(gè)不能稱之為漏洞的結(jié)構(gòu)化查詢語言讓and、or等最為簡(jiǎn)單的字符成了危險(xiǎn)的代號(hào)。由于asp的特性，入侵者在一個(gè)連接數(shù)據(jù)庫(kù)操作的url里加入 and sql語句會(huì)讓iis執(zhí)行這個(gè)url里的sql語句，于是服務(wù)器的噩夢(mèng)又來了。通過sql能做什么呢？最簡(jiǎn)單的是猜測(cè)密碼（比如免費(fèi)下載電影或者享用付費(fèi)用戶才擁有的服務(wù)），如果服務(wù)器的權(quán)限設(shè)置不好，入侵者能直接用sql執(zhí)行任何系統(tǒng)命令！包括清空整個(gè)數(shù)據(jù)庫(kù)的全部資料。奇怪的編碼：格式化字符如今，溢出攻擊已經(jīng)成為攻擊的主要方式之一，廣大用戶或多或少都會(huì)聽說過shell這個(gè)名詞，有興趣的人可能還看過一些溢出程序的代碼。很多人都會(huì)產(chǎn)生出這樣的疑問：每個(gè)溢出程

31、序代碼里都會(huì)發(fā)現(xiàn)的那一串甚至幾串用路徑符和類似十六進(jìn)制代碼表示的字符串，那是什么？要說明這個(gè)問題，必須先知道c語言對(duì)字符的處理方法。在c語言中，寫一行代碼向屏幕打印字符并不是簡(jiǎn)單地向屏幕輸出字符串，能在屏幕顯示的字符實(shí)際上是經(jīng)過函數(shù)轉(zhuǎn)換的打印格式字符，c語言提供了一種格式化字符，它允許程序員控制顯示文本的樣式，我們可以通過代替特殊的格式字符來顯示值或數(shù)據(jù)。例如 printf(the value is %s,sval)，其中%s就是格式化字符，它自身不能用做顯示，而是告訴系統(tǒng)，按照字符串的格式把sval的值放進(jìn)整個(gè)字符串，這就像一個(gè)蛋糕模子，它固定了一種樣式，你做出的蛋糕就只能是這種樣式了。然而問題又來了，格式化字符的存在，讓溢出攻擊