《電子商務(wù)安全與支付》課件8

第8章電子商務(wù)網(wǎng)站常見(jiàn)的攻擊8.1TCP/IP協(xié)議簡(jiǎn)介8.2IP欺騙技術(shù)8.3SNIFFER技術(shù)8.4PORTSCANNER技術(shù)8.5ORJANHORSE8.6DDOS技術(shù)8.7計(jì)算機(jī)病毒8.8WWW中的安全問(wèn)題8.9移動(dòng)安全8.1TCP/IP

協(xié)議簡(jiǎn)介8.1.1傳輸控制協(xié)議8.1.2網(wǎng)際協(xié)議(IP)8.1.3差錯(cuò)與控制報(bào)文協(xié)議（ICMP）8.1.4用戶(hù)數(shù)據(jù)報(bào)文協(xié)議（UDP）8.1TCP/IP

協(xié)議簡(jiǎn)介T(mén)CP/IP是20世紀(jì)70年代中期美國(guó)國(guó)防部(DOD)為ARPANET廣域網(wǎng)制定的網(wǎng)絡(luò)體系結(jié)構(gòu)和體系標(biāo)準(zhǔn).以TCP/IP為基礎(chǔ)的Internet成為了目前國(guó)際上規(guī)模最大的互聯(lián)網(wǎng)。目前，TCP/IP協(xié)議已經(jīng)成為公認(rèn)的國(guó)際互聯(lián)網(wǎng)標(biāo)準(zhǔn)，世界上任何一臺(tái)計(jì)算機(jī)只要具有支持TCP/IP協(xié)議規(guī)范的軟件，就可以接入Internet網(wǎng)，享受Internet提供的各種服務(wù)。8.1.1

傳輸控制協(xié)議1、協(xié)議內(nèi)容

TCP協(xié)議規(guī)范了網(wǎng)絡(luò)上的所有通信設(shè)備.尤其是一個(gè)主機(jī)與另一個(gè)主機(jī)之間的數(shù)據(jù)往來(lái)格式以及傳輸方式.TCP連接是全雙工和點(diǎn)到點(diǎn),采用三次握手方式連接的可靠性.當(dāng)一臺(tái)計(jì)算機(jī)需要與另一臺(tái)遠(yuǎn)程計(jì)算機(jī)連接時(shí).TCP協(xié)議會(huì)讓它們建立一個(gè)連接、發(fā)送和接受以及終止連接2、TCP數(shù)據(jù)報(bào)文格式比特016

信源端口信宿端口連接序列號(hào)確認(rèn)號(hào)頭部長(zhǎng)度保留標(biāo)志位窗口UDP校驗(yàn)和緊急指針

選項(xiàng)填充字節(jié)數(shù)據(jù)……8.1.2網(wǎng)際協(xié)議(IP)1、協(xié)議內(nèi)容

IP協(xié)議負(fù)責(zé)數(shù)據(jù)不同網(wǎng)絡(luò)之間的通信。通常，當(dāng)兩臺(tái)計(jì)算機(jī)之間建立了成功的連接之后，數(shù)據(jù)如何傳輸是由IP協(xié)議規(guī)定的。IP協(xié)議規(guī)定了IP分組的大小、格式，負(fù)責(zé)依據(jù)IP地址選擇不同的網(wǎng)絡(luò)接口轉(zhuǎn)發(fā)各個(gè)分組。另外，網(wǎng)絡(luò)中的流量控制也是由IP協(xié)議規(guī)定的2、IP數(shù)據(jù)報(bào)文格式比特04816192431版本頭部長(zhǎng)度服務(wù)類(lèi)型報(bào)文總長(zhǎng)度標(biāo)識(shí)標(biāo)志位段內(nèi)地址生存時(shí)間(TTL)協(xié)議頭部校驗(yàn)和源主機(jī)IP地址目標(biāo)主機(jī)IP地址可變字段數(shù)據(jù)……8.1.3差錯(cuò)與控制報(bào)文協(xié)議（ICMP）1、協(xié)議內(nèi)容在IP數(shù)據(jù)報(bào)文傳輸系統(tǒng)中，IP網(wǎng)關(guān)完成路由和報(bào)文傳輸工作，無(wú)需源主機(jī)的參與。系統(tǒng)一旦發(fā)生傳輸錯(cuò)誤。IP協(xié)議本身并沒(méi)有一種內(nèi)在的機(jī)制獲得差錯(cuò)信息并進(jìn)行相應(yīng)控制。為此，TCP/IP專(zhuān)門(mén)設(shè)計(jì)了ICMP（InternetControlMessageProtocol)協(xié)議。當(dāng)中間網(wǎng)關(guān)發(fā)現(xiàn)錯(cuò)誤時(shí)，立即向源主機(jī)發(fā)出ICMP報(bào)文，報(bào)告出錯(cuò)情況，以便其采取相應(yīng)糾正措施。8.1.4用戶(hù)數(shù)據(jù)報(bào)文協(xié)議（UDP）1、協(xié)議內(nèi)容

UDP（UserDatagramProtocol）是與TCP協(xié)議并列于傳輸層的協(xié)議。一般情況下。UDP與TCP共存在一個(gè)互聯(lián)網(wǎng)中，TCP提供高可靠性服務(wù)，UDP提供高效率性服務(wù)。UDP直接建立在IP協(xié)議上，比TCP相對(duì)簡(jiǎn)單些，UDP的特點(diǎn)是效率高，通信子網(wǎng)相當(dāng)可靠，UDP將提供高可靠性低成本的服務(wù)。源端口號(hào)目的端口號(hào)報(bào)文長(zhǎng)度頭部校驗(yàn)和數(shù)據(jù)……2、UDP數(shù)據(jù)報(bào)文格式比特0168.2IP欺騙技術(shù)8.2.1IP欺騙原理8.2.2IP欺騙的防范8.2IP欺騙技術(shù)

在沒(méi)有與外部網(wǎng)絡(luò)連接的時(shí)候,局域網(wǎng)是很安全的,因?yàn)樗挠脩?hù)范圍小,而且很固定.但一旦與外部網(wǎng)絡(luò)連接后,比如Internet網(wǎng)絡(luò),各種各樣的不明身份的用戶(hù)群體都對(duì)網(wǎng)絡(luò)資源的合法使用構(gòu)成威脅.由于IP地址對(duì)于每一個(gè)企業(yè)局域網(wǎng)是唯一的,為了對(duì)內(nèi)部用戶(hù)和外部用戶(hù)的訪問(wèn)權(quán)限進(jìn)行區(qū)分,系統(tǒng)管理員往往在路由器或其他相關(guān)網(wǎng)絡(luò)設(shè)備上對(duì)IP地址設(shè)置訪問(wèn)控制列表,對(duì)訪問(wèn)者的IP地址進(jìn)行過(guò)濾,限制外部用戶(hù)對(duì)重要服務(wù)器的訪問(wèn).因此,惡意的攻擊要想獲得與內(nèi)部用戶(hù)相同的訪問(wèn)權(quán)限,就必須隱瞞自己的真實(shí)IP地址,騙過(guò)路由器,進(jìn)入內(nèi)部網(wǎng)絡(luò).8.2.1

IP欺騙原理1、原理偽造一個(gè)被主機(jī)信任的IP地址，從而獲得主機(jī)的信任而造成攻擊。所以IP欺騙能實(shí)現(xiàn)的關(guān)鍵就是能不能找到一個(gè)被主機(jī)信任的IP地址同時(shí)又能騙過(guò)路由器。能夠?qū)崿F(xiàn)這種攻擊的人必須對(duì)TCP/IP協(xié)議非常了解，一般都是高級(jí)黑客。2、必須要有的三個(gè)對(duì)象：（1）攻擊者（2）目標(biāo)主機(jī)（3）受信任主機(jī)8.2.2IP欺騙的防范在外部路由器上制定相應(yīng)數(shù)據(jù)包過(guò)濾策略，禁止源地址為內(nèi)部網(wǎng)絡(luò)地址的數(shù)據(jù)包進(jìn)入外部路由器入口。在防火墻上修改檢查策略，使防火墻針對(duì)每一個(gè)數(shù)據(jù)分段的合法性都進(jìn)行檢查。使用數(shù)據(jù)包監(jiān)控工具對(duì)通過(guò)外部網(wǎng)絡(luò)接口的數(shù)據(jù)包進(jìn)行檢查。采用好的設(shè)計(jì)方案。8.3Sniffer技術(shù)8.3.1Sniffer工作原理8.3.2Sniffer的防范

在接到數(shù)據(jù)包時(shí)，網(wǎng)卡通過(guò)CPU產(chǎn)生一個(gè)硬件中斷，該中斷能引起操作系統(tǒng)響應(yīng)，響應(yīng)的網(wǎng)絡(luò)程序?qū)⒔邮盏綌?shù)據(jù)包。而Sniffer就是一個(gè)能將本地往卡狀態(tài)設(shè)成PROMISC狀態(tài)的技術(shù)，它對(duì)所有流經(jīng)它的數(shù)據(jù)包都會(huì)產(chǎn)生一個(gè)硬件中斷并使操作系統(tǒng)可以接收該數(shù)據(jù)包，因此，Sniffer工作在網(wǎng)絡(luò)環(huán)境的底層，它會(huì)攔截所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，并且通過(guò)相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處的狀態(tài)。8.3.1Sniffer工作原理8.3.2Sniffer的防范（1）使用交換機(jī)分段（2）加密（3）入侵檢測(cè)（4）使用軟件進(jìn)行監(jiān)控8.4PortScanner技術(shù)8.4.1常用的網(wǎng)絡(luò)相關(guān)命令8.4.2PortScanner定義8.4.3PortScanner工作原理和功能8.4.1常用的網(wǎng)絡(luò)相關(guān)命令（1）Ping命令（2）Netstat命令（3）Tracert命令（4）FTP命令（5）Telnet命令

8.4.2

PortScanner定義常用的Internet服務(wù)對(duì)應(yīng)的段口說(shuō)明服務(wù)/協(xié)議名稱(chēng)端口號(hào)說(shuō)明WWW80萬(wàn)維網(wǎng)服務(wù)FTP21文件傳輸服務(wù)Telnet23遠(yuǎn)程登陸服務(wù)Snmp161簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議smtp25簡(jiǎn)單郵件傳輸協(xié)議

利用TCP數(shù)據(jù)包頭部的六個(gè)標(biāo)志位建立一些不完整的TCP鏈接，從而騙過(guò)目標(biāo)主機(jī)的檢測(cè)，常用的方法有TCPconnect()掃描、TCPSYN掃描、TCPFIN掃描。8.4.3

PortScanner工作原理和功能8.5TorjanHorse8.5.1TorjanHorse的概念8.5.2TorjanHorse的特點(diǎn)8.5.3TorjanHorse的實(shí)現(xiàn)8.5.4TorjanHorse的發(fā)現(xiàn)和清除8.5TorjanHorseTorjanHorse即特洛伊木馬。有一類(lèi)網(wǎng)絡(luò)攻擊程序總是隱藏在正常的程序中，一旦通過(guò)某種方式激活，就運(yùn)行在后臺(tái)實(shí)現(xiàn)攻擊者對(duì)服務(wù)器的控制，這類(lèi)程序人們也稱(chēng)它為特洛伊木馬程序。

特洛伊木馬實(shí)際上是一個(gè)遠(yuǎn)程控制程序，屬于客戶(hù)機(jī)/服務(wù)器模式。它主要分為兩大部分，即客戶(hù)端程序和服務(wù)端程序。其原理是一臺(tái)主機(jī)提供服務(wù)（服務(wù)器），另一臺(tái)主機(jī)接受服務(wù)（客戶(hù)機(jī)），作為服務(wù)器的主機(jī)一般會(huì)打開(kāi)一個(gè)設(shè)置好的端口進(jìn)行監(jiān)聽(tīng)。如果有客戶(hù)機(jī)向服務(wù)器的這端提出連接請(qǐng)求，服務(wù)器上的響應(yīng)程序就會(huì)自動(dòng)運(yùn)行，來(lái)應(yīng)答客戶(hù)機(jī)的請(qǐng)求?？蛻?hù)端就可以通過(guò)這種方式實(shí)現(xiàn)對(duì)服務(wù)端的控制，進(jìn)行一些非法操作，例如竊取口令、修改文件、修改注冊(cè)表等。8.5.1

TorjanHorse的概念（1）隱蔽性（2）功能特殊性8.5.2

TorjanHorse的特點(diǎn)（1）配置木馬（2）傳播木馬（3）自動(dòng)激活木馬（4）遠(yuǎn)程控制 8.5.3

TorjanHorse的實(shí)現(xiàn)（1）掃描端口（2）觀察異常連接（3）觀察易潛伏木馬程序的目錄（4）檢查注冊(cè)表（5）使用殺毒軟件掃描系統(tǒng)（6）提高防范意識(shí) 8.5.4

TorjanHorse的發(fā)現(xiàn)和清除8.6DDOS技術(shù)8.6.1DDOS的原理8.6.2DDOS的防范8.6.3電子商務(wù)網(wǎng)站是DDOS的主要攻擊目標(biāo)8.6DDOS技術(shù)DDOS源于DOS，即分布式拒絕服務(wù)攻擊，通常是以消耗服務(wù)器端資源為目標(biāo)，通過(guò)偽造超過(guò)服務(wù)器處理能力的請(qǐng)求數(shù)據(jù)造成服務(wù)器響應(yīng)阻塞，從而使正常的用戶(hù)請(qǐng)求得不到應(yīng)答，實(shí)現(xiàn)攻擊目的。8.6.1

DDOS的原理①探測(cè)掃描大量主機(jī)以尋找可入侵主機(jī)目標(biāo)②入侵有安全漏洞的主機(jī)并獲取控制權(quán)③在每臺(tái)入侵主機(jī)中安裝攻擊程序④利用已入侵主機(jī)繼續(xù)進(jìn)行掃描和入侵

目前并沒(méi)有防范分布式拒絕服務(wù)攻擊的最有效的方法，所幸的是，DDOS攻擊的對(duì)象通常是一些有名的政府、教育機(jī)構(gòu)、商業(yè)機(jī)構(gòu)的網(wǎng)站，所以一般的網(wǎng)站不用杞人憂(yōu)天。但如果你的網(wǎng)站確實(shí)存在DDOS攻擊的危險(xiǎn)，那么有一種網(wǎng)站是可行的，就是請(qǐng)求你的ISP對(duì)主干路由進(jìn)行限流。

8.6.2

DDOS的防范

由于電子商務(wù)網(wǎng)站的開(kāi)放性，極易成為DDOS攻擊的對(duì)象：（1）一個(gè)電子商務(wù)網(wǎng)站的用戶(hù)群巨大，理論上是所有Internet使用者。（2）潛在的商業(yè)競(jìng)爭(zhēng)者。（3）惡意的詐騙者。

8.6.3

DDOS的防范電子商務(wù)網(wǎng)站是DDOS的主要攻擊目標(biāo)8.7計(jì)算機(jī)病毒

8.7.1病毒的定義8.7.2病毒的危害8.7.3病毒的分類(lèi)8.7.4病毒的傳播途徑8.7.1病毒的定義

計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼，對(duì)計(jì)算機(jī)的正常使用進(jìn)行破壞，使得計(jì)算機(jī)無(wú)法正常使用甚至整個(gè)操作系統(tǒng)或者計(jì)算機(jī)硬盤(pán)損壞。8.7.2病毒的危害

（1）系統(tǒng)速度變慢甚至資源耗盡而死機(jī)。（2）硬盤(pán)容量減少。（3）網(wǎng)絡(luò)系統(tǒng)崩潰。（4）數(shù)據(jù)破壞和硬件損壞。8.7.3病毒的分類(lèi)

（1）文件型病毒。（2）引導(dǎo)扇區(qū)病毒。（3）混合型病毒。（4）宏病毒。（5）木馬病毒。（6）蠕蟲(chóng)病毒。（7）網(wǎng)頁(yè)病毒。8.7.4病毒的傳播途徑

1．軟盤(pán)或光盤(pán)傳播2．網(wǎng)絡(luò)傳播8.8WWW中的安全問(wèn)題

8.8.1現(xiàn)代惡意代碼8.8.2ActiveX的安全性8.8.3URL破壞8.8.4Cookies8.8.5DNS安全8.8.1現(xiàn)代惡意代碼惡意代碼是指具有攻擊性的HTML語(yǔ)句。有些網(wǎng)頁(yè)中常包含JavaScript或VBScript語(yǔ)句，當(dāng)你打開(kāi)這種網(wǎng)頁(yè)的時(shí)候，這些語(yǔ)句能夠執(zhí)行。輕則是一個(gè)死循環(huán)，連續(xù)打開(kāi)無(wú)數(shù)個(gè)廣告窗口，最后導(dǎo)致系統(tǒng)資源不足，系統(tǒng)癱瘓；重則修改注冊(cè)表和IE配置信息，給系統(tǒng)造成根本性的破壞；更甚的是高級(jí)黑客設(shè)計(jì)的木馬程序或病毒，給系統(tǒng)入侵留下潛在的隱患。8.8.2ActiveX的安全性

ActiveX是Microsoft公司開(kāi)發(fā)的用來(lái)在Internet上分發(fā)軟件的產(chǎn)品。ActiveX控件能直接嵌入到網(wǎng)頁(yè)里面進(jìn)行瀏覽，典型的表現(xiàn)是一個(gè)漂亮的可交互的圖形。ActiveX控件是可執(zhí)行的二進(jìn)制代碼，功能強(qiáng)到能夠直接調(diào)用Windows系統(tǒng)的接口函數(shù)直接對(duì)系統(tǒng)進(jìn)行修改，但只在IE瀏覽器中被支持。8.8.3URL破壞

URL也叫統(tǒng)一資源定位器，用于讓訪問(wèn)者找到Web資源的位置。通常情況下，端口號(hào)默認(rèn)值是80，不用我們輸入。URL破壞帶來(lái)的后果是多方面的。8.8.4Cooki