1、第第8 8章章 电子商务网站常见的攻电子商务网站常见的攻击击8.18.1 TCP/IP 协议简介协议简介8.2 8.2 IP欺骗技术欺骗技术8.38.3 SNIFFER技术技术8.4 8.4 PORT SCANNER 技术技术8.58.5 ORJAN HORSE8.68.6 DDOS技术技术8.7 计算机病毒计算机病毒8.8 WWW中的安全问题中的安全问题8.9 移动安全移动安全8.1 TCP/IP8.1 TCP/IP 协议简介协议简介8.1.1传输控制协议8.1.2网际协议(IP)8.1.3差错与控制报文协议(ICMP)8.1.4用户数据报文协议(UDP)8.1 TCP/IP8.1 TCP/
2、IP 协议简介协议简介 TCP/IP是是20世纪世纪70年代中期美国国防部年代中期美国国防部(DOD)为为ARPANET广域网制定的网络体系结构和体系标广域网制定的网络体系结构和体系标准准.以以TCP/IP为基础的为基础的Internet成为了目前国际上规成为了目前国际上规模最大的互联网。目前,模最大的互联网。目前,TCP/IP协议已经成为公协议已经成为公认的国际互联网标准,世界上任何一台计算机只要认的国际互联网标准,世界上任何一台计算机只要具有支持具有支持TCP/IP协议规范的软件,就可以接入协议规范的软件,就可以接入Internet网,享受网,享受Internet提供的各种服务。提供的各种
3、服务。8.1.1 传输控制协议传输控制协议1 1、协议内容、协议内容 TCPTCP协议规范了网络上的所有通信设备协议规范了网络上的所有通信设备.尤其尤其是一个主机与另一个主机之间的数据往来格式以是一个主机与另一个主机之间的数据往来格式以及传输方式及传输方式.TCP.TCP连接是全双工和点到点连接是全双工和点到点,采用三次采用三次握手方式连接的可靠性握手方式连接的可靠性.当一台计算机需要与另一当一台计算机需要与另一台远程计算机连接时台远程计算机连接时.TCP.TCP协议会让它们建立一个协议会让它们建立一个连接、发送和接受以及终止连接连接、发送和接受以及终止连接2 2、TCPTCP数据报文格式数据
4、报文格式比特比特 0 0 1616 信源端口信源端口信宿端口信宿端口连接序列号连接序列号确认号确认号头部长度头部长度保留保留标志位标志位窗口窗口UDPUDP校验和校验和紧急指针紧急指针 选项选项填充字节填充字节数据数据8.1.2 网际协议际协议(IP)1、协议内容 IPIP协议负责数据不同网络之间的通信。通常,协议负责数据不同网络之间的通信。通常,当两台计算机之间建立了成功的连接之后,数据当两台计算机之间建立了成功的连接之后,数据如何传输是由如何传输是由IPIP协议规定的。协议规定的。IPIP协议规定了协议规定了IPIP分分组的大小、格式,负责依据组的大小、格式,负责依据IPIP地址选择不同的
5、网地址选择不同的网络接口转发各个分组。另外,网络中的流量控制络接口转发各个分组。另外,网络中的流量控制也是由也是由IPIP协议规定的协议规定的2 2、IPIP数据报文格式数据报文格式比特比特0 4 8 16 19 24 310 4 8 16 19 24 31版本版本头部头部长度长度服务类服务类型型报文总长度报文总长度标识标识标志位标志位段内地址段内地址生存时间生存时间(TTL)(TTL)协议协议头部校验和头部校验和源主机源主机IPIP地址地址目标主机目标主机IPIP地址地址可变字段可变字段数据数据8.1.3 8.1.3 差错与控制报文协议差错与控制报文协议(ICMPICMP)1 1、协议内容、
6、协议内容 在在IPIP数据报文传输系统中,数据报文传输系统中,IPIP网关完成路网关完成路由和报文传输工作,无需源主机的参与。系统一由和报文传输工作,无需源主机的参与。系统一旦发生传输错误。旦发生传输错误。IPIP协议本身并没有一种内在的协议本身并没有一种内在的机制获得差错信息并进行相应控制。为此,机制获得差错信息并进行相应控制。为此,TCP/IPTCP/IP专门设计了专门设计了ICMPICMP(Internet Control Internet Control Message Protocol)Message Protocol)协议。当中间网关发现错误协议。当中间网关发现错误时,立即向源主机
7、发出时,立即向源主机发出ICMPICMP报文,报告出错情况,报文,报告出错情况,以便其采取相应纠正措施。以便其采取相应纠正措施。8.1.4 8.1.4 用户数据报文协议(用户数据报文协议(UDPUDP)1 1、协议内容、协议内容 UDPUDP(User Datagram ProtocolUser Datagram Protocol)是与)是与TCPTCP协议并列于传输层的协议。一般情况下。协议并列于传输层的协议。一般情况下。UDPUDP与与TCPTCP共存在一个互联网中,共存在一个互联网中,TCPTCP提供高可靠性服提供高可靠性服务,务,UDPUDP提供高效率性服务。提供高效率性服务。UDPU
8、DP直接建立在直接建立在IPIP协议上,比协议上,比TCPTCP相对简单些,相对简单些,UDPUDP的特点是效的特点是效率高,通信子网相当可靠,率高,通信子网相当可靠,UDPUDP将提供高可靠性将提供高可靠性低成本的服务。低成本的服务。源端口号目的端口号报文长度头部校验和数据2、UDP数据报文格式数据报文格式比特0 168.2 IP8.2 IP欺骗技术欺骗技术8.2.1 IP欺骗原理8.2.2 IP欺骗的防范8.2 IP8.2 IP欺骗技术欺骗技术 在没有与外部网络连接的时候在没有与外部网络连接的时候,局域网是很安全局域网是很安全的的,因为它的用户范围小因为它的用户范围小,而且很固定而且很固定
9、.但一旦与外部但一旦与外部网络连接后网络连接后,比如比如InternetInternet网络网络,各种各样的不明身各种各样的不明身份的用户群体都对网络资源的合法使用构成威胁份的用户群体都对网络资源的合法使用构成威胁.由由于于IPIP地址对于每一个企业局域网是唯一的地址对于每一个企业局域网是唯一的,为了对内为了对内部用户和外部用户的访问权限进行区分部用户和外部用户的访问权限进行区分,系统管理员系统管理员往往在路由器或其他相关网络设备上对往往在路由器或其他相关网络设备上对IPIP地址设置地址设置访问控制列表访问控制列表,对访问者的对访问者的IPIP地址进行过滤地址进行过滤,限制外限制外部用户对重要
10、服务器的访问部用户对重要服务器的访问.因此因此,恶意的攻击要想恶意的攻击要想获得与内部用户相同的访问权限获得与内部用户相同的访问权限,就必须隐瞒自己的就必须隐瞒自己的真实真实IPIP地址地址,骗过路由器骗过路由器,进入内部网络进入内部网络.8.2.18.2.1 IPIP欺骗原理欺骗原理1 1、原理、原理 伪造一个被主机信任的伪造一个被主机信任的IPIP地址,从而获得主地址,从而获得主机的信任而造成攻击。所以机的信任而造成攻击。所以IPIP欺骗能实现的关键欺骗能实现的关键就是能不能找到一个被主机信任的就是能不能找到一个被主机信任的IPIP地址同时又地址同时又能骗过路由器。能够实现这种攻击的人必须
11、对能骗过路由器。能够实现这种攻击的人必须对TCP/IPTCP/IP协议非常了解,一般都是高级黑客。协议非常了解,一般都是高级黑客。2 2、必须要有的三个对象:、必须要有的三个对象:(1 1)攻击者)攻击者(2 2)目标主机)目标主机(3 3)受信任主机)受信任主机8.2.2 IP欺骗的防范欺骗的防范(1)在外部路由器上制定相应数据包过滤策略,禁止在外部路由器上制定相应数据包过滤策略,禁止源地址为内部网络地址的数据包进入外部路由器源地址为内部网络地址的数据包进入外部路由器入口。入口。(2)在防火墙上修改检查策略,使防火墙针对每一个在防火墙上修改检查策略,使防火墙针对每一个数据分段的合法性都进行检
12、查。数据分段的合法性都进行检查。(3)使用数据包监控工具对通过外部网络接口的数据使用数据包监控工具对通过外部网络接口的数据包进行检查。包进行检查。(4)采用好的设计方案。采用好的设计方案。8.3 Sniffer8.3 Sniffer技术技术8.3.1 Sniffer8.3.1 Sniffer工作原理工作原理8.3.2 Sniffer8.3.2 Sniffer的防范的防范 在接到数据包时,网卡通过在接到数据包时,网卡通过CPUCPU产生一个硬件产生一个硬件中断,该中断能引起操作系统响应,响应的网络中断,该中断能引起操作系统响应,响应的网络程序将接收到数据包。而程序将接收到数据包。而Sniffer
13、Sniffer就是一个能将本就是一个能将本地往卡状态设成地往卡状态设成PROMISCPROMISC状态的技术,它对所有流状态的技术,它对所有流经它的数据包都会产生一个硬件中断并使操作系经它的数据包都会产生一个硬件中断并使操作系统可以接收该数据包,因此,统可以接收该数据包,因此,SnifferSniffer工作在网络工作在网络环境的底层,它会拦截所有正在网络上传送的数环境的底层,它会拦截所有正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的状态。些数据的内容,进而分析所处的状态。8.3.1 Sniffer工作原理8.
14、3.2 SnifferSniffer的防范的防范(1 1)使用交换机分段)使用交换机分段(2 2)加密)加密(3 3)入侵检测)入侵检测(4 4)使用软件进行监控)使用软件进行监控8.4 Port Scanner技术8.4.1 常用的网络相关命令8.4.2 Port Scanner定义8.4.3 Port Scanner工作原理和功能8.4.1 常用的网络相关命令(1)Ping命令(2)Netstat命令(3)Tracert命令(4)FTP命令(5)Telnet命令 8.4.28.4.2 Port ScannerPort Scanner定义定义常用的常用的InternetInternet服务对
15、应的段口说明服务对应的段口说明服务/协议名称端口号说明WWW80万维网服务FTP21文件传输服务Telnet23远程登陆服务Snmp161简单网络管理协议smtp25简单邮件传输协议 利用利用TCPTCP数据包头部的六个标志位建数据包头部的六个标志位建立一些不完整的立一些不完整的TCPTCP链接,从而骗过目标链接,从而骗过目标主机的检测,常用的方法有主机的检测,常用的方法有TCP TCP connect()connect()扫描、扫描、TCP SYNTCP SYN扫描、扫描、TCP TCP FINFIN扫描。扫描。8.4.3 Port ScannerPort Scanner工作原工作原理和功能
16、理和功能8.5 Torjan Horse8.5 Torjan Horse8.5.1 Torjan Horse8.5.1 Torjan Horse的概念的概念8.5.2 Torjan Horse8.5.2 Torjan Horse的特点的特点8.5.3 Torjan Horse8.5.3 Torjan Horse的实现的实现8.5.4 Torjan Horse8.5.4 Torjan Horse的发现和清的发现和清除除8.5 Torjan Horse8.5 Torjan Horse Torjan Horse Torjan Horse即特洛伊木马。即特洛伊木马。有一类网络攻击程序总是隐藏在正有一类
17、网络攻击程序总是隐藏在正常的程序中,一旦通过某种方式激常的程序中,一旦通过某种方式激活,就运行在后台实现攻击者对服活,就运行在后台实现攻击者对服务器的控制,这类程序人们也称它务器的控制,这类程序人们也称它为特洛伊木马程序。为特洛伊木马程序。特洛伊木马实际上是一个远程控制程序,属特洛伊木马实际上是一个远程控制程序,属于客户机于客户机/服务器模式。它主要分为两大部分,即服务器模式。它主要分为两大部分,即客户端程序和服务端程序。其原理是一台主机提客户端程序和服务端程序。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打
18、开一个设置好机),作为服务器的主机一般会打开一个设置好的端口进行监听。如果有客户机向服务器的这端的端口进行监听。如果有客户机向服务器的这端提出连接请求,服务器上的响应程序就会自动运提出连接请求,服务器上的响应程序就会自动运行,来应答客户机的请求。客户端就可以通过这行,来应答客户机的请求。客户端就可以通过这种方式实现对服务端的控制,进行一些非法操作,种方式实现对服务端的控制,进行一些非法操作,例如窃取口令、修改文件、修改注册表等。例如窃取口令、修改文件、修改注册表等。8.5.1 8.5.1 Torjan HorseTorjan Horse的概念的概念(1 1)隐蔽性)隐蔽性(2 2)功能特殊性)
19、功能特殊性8.5.28.5.2 Torjan Horse的特点的特点(1 1)配置木马)配置木马(2 2)传播木马)传播木马(3 3)自动激活木马)自动激活木马(4 4)远程控制)远程控制8.5.38.5.3 Torjan HorseTorjan Horse的实现的实现(1 1)扫描端口)扫描端口(2 2)观察异常连接)观察异常连接(3 3)观察易潜伏木马程序的目录)观察易潜伏木马程序的目录(4 4)检查注册表)检查注册表(5 5)使用杀毒软件扫描系统)使用杀毒软件扫描系统(6 6)提高防范意识)提高防范意识8.5.48.5.4 Torjan HorseTorjan Horse的发现和的发现和
20、清除清除8.6 DDOS8.6 DDOS技术技术8.6.1 DDOS8.6.1 DDOS的原理的原理8.6.2 DDOS8.6.2 DDOS的防范的防范8.6.38.6.3电子商务网站是电子商务网站是DDOSDDOS的主要的主要攻击目标攻击目标8.6 DDOS8.6 DDOS技术技术 DDOS DDOS源于源于DOSDOS,即分布式拒绝服务攻,即分布式拒绝服务攻击,通常是以消耗服务器端资源为目标,击,通常是以消耗服务器端资源为目标,通过伪造超过服务器处理能力的请求数据通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户造成服务器响应阻塞,从而使正常的用户请求得不到应答,实现
21、攻击目的。请求得不到应答,实现攻击目的。8.6.1 DDOS的原理的原理探测扫描大量主机以寻找可入侵主探测扫描大量主机以寻找可入侵主机目标机目标入侵有安全漏洞的主机并获取控制入侵有安全漏洞的主机并获取控制权权在每台入侵主机中安装攻击程序在每台入侵主机中安装攻击程序利用已入侵主机继续进行扫描和入利用已入侵主机继续进行扫描和入侵侵 目前并没有防范分布式拒绝服务攻击的目前并没有防范分布式拒绝服务攻击的最有效的方法,所幸的是,最有效的方法,所幸的是,DDOS攻击的对攻击的对象通常是一些有名的政府、教育机构、商业象通常是一些有名的政府、教育机构、商业机构的网站,所以一般的网站不用杞人忧天。机构的网站,所
22、以一般的网站不用杞人忧天。但如果你的网站确实存在但如果你的网站确实存在DDOS攻击的危险,攻击的危险,那么有一种网站是可行的,就是请求你的那么有一种网站是可行的,就是请求你的ISP对主干路由进行限流。对主干路由进行限流。8.6.2 DDOS的防范的防范 由于电子商务网站的开放性,极易成为由于电子商务网站的开放性,极易成为DDOS攻击的对象:攻击的对象:(1)一个电子商务网站的用户群巨大,理论上)一个电子商务网站的用户群巨大,理论上是所有是所有Internet使用者。使用者。(2)潜在的商业竞争者。)潜在的商业竞争者。(3)恶意的诈骗者。)恶意的诈骗者。8.6.3 DDOS的防范电子商务网的防范
23、电子商务网站是站是DDOS的主要攻击目标的主要攻击目标8.7 计算机病毒8.7.1 病毒的定义8.7.2 病毒的危害8.7.3 病毒的分类8.7.4 病毒的传播途径8.7.1 病毒的定义计算机病毒是一个程序,一段可执行码,对计算机的正常使用进行破坏,使得计算机无法正常使用甚至整个操作系统或者计算机硬盘损坏。8.7.2 病毒的危害(1)系统速度变慢甚至资源耗尽而死机。(2)硬盘容量减少。(3)网络系统崩溃。(4)数据破坏和硬件损坏。8.7.3 病毒的分类(1)文件型病毒。(2)引导扇区病毒。(3)混合型病毒。(4)宏病毒。(5)木马病毒。(6)蠕虫病毒。(7)网页病毒。8.7.4 病毒的传播途径
24、1软盘或光盘传播2网络传播8.8 WWW中的安全问题8.8.1 现代恶意代码 8.8.2 ActiveX的安全性8.8.3 URL破坏8.8.4 Cookies8.8.5 DNS安全8.8.1 现代恶意代码 恶意代码是指具有攻击性的HTML语句。有些网页中常包含JavaScript或VBScript语句,当你打开这种网页的时候,这些语句能够执行。轻则是一个死循环,连续打开无数个广告窗口,最后导致系统资源不足,系统瘫痪;重则修改注册表和IE配置信息,给系统造成根本性的破坏;更甚的是高级黑客设计的木马程序或病毒,给系统入侵留下潜在的隐患。8.8.2 ActiveX的安全性ActiveX是Micro
25、soft公司开发的用来在Internet上分发软件的产品。ActiveX控件能直接嵌入到网页里面进行浏览,典型的表现是一个漂亮的可交互的图形。ActiveX控件是可执行的二进制代码,功能强到能够直接调用Windows系统的接口函数直接对系统进行修改,但只在IE浏览器中被支持。8.8.3 URL破坏URL也叫统一资源定位器,用于让访问者找到Web资源的位置。通常情况下,端口号默认值是80,不用我们输入。URL破坏带来的后果是多方面的。8.8.4 CookiesCookies不能用来窃取用户或用户的计算机系统的信息。它们只能用在某种程度上存储用户提供的信息,电子商务网站通常利用这个特点为用户制定他喜好的进入界面。8.8.5 DNS安全Internet网络中采用域名服务系统(DNS)来实现不好记的IP地址与好记的域名符号之间的映射。有了域名服务机制之后,用户要访问网络中的一台计算机,既可以使用IP地址,又可以使用域名。使用域名的时候,要通过域名服务器对域名进行解析,将域名翻译成IP地址。8.9 移动安全(1)保护丢失的设备上的数据。(2)对数据传送加密。