if((mingma>=?A?)&&(mingma<=?Z?)) mima=?A?+(mingma-?A?+key)&; if((mingma>=?a?)&&(mingma<=?z?)) mima=?a?+(mingma-?a?+key)&; printf(“\\n the output is:%C”,mima); }
其结果如图4-4所示。
图4-4 加密程序
其实现的功能是:对密码字符按规律进行移位:如:明码“a”若“key=2”的密码实际上是“c”。
(2)解密算法
#include “stdio.h” main( ) { int key;
char mingma,mima;
printf(“\\n please input the character: “); scanf(“%c”,&mima);
printf(“\\n please input the key: “); scanf(“%d”,&key);
if((mima>=?A?)&&(mima<=?Z?)) mingma=?A?+(mima-?A?+26-key)&; if((mima>=?a?)&&(mima<=?z?)) mingma=?a?+(mima-?a?+26-key)&; printf(“\\n the mingma is:%c”,mingma); }
30
其结果如图4-5所示。
图4-5 解密程序
其实现的功能是:对密码字符按规律进行移位得到真实密码:如:明码“g”,若“key=4”,得到密码是“c”。
4.8 其它网络攻击与防范措施 4.8.1 源IP地址欺骗攻击
许多应用程序认为如果数据包能使其自身沿着路由到达目的地,而且应答包也可以回到源地,那么源IP地址一定是有效的,而这正是使源IP地址欺骗攻击成为可能的前提。
要防止源IP地址的欺骗行为,可以采取以下措施来尽可能地保护系统免受这类攻击:(1)抛弃基于地址的信任策略。(2)使用加密方法。(3)进行包过滤。
4.8.2 源路由欺骗攻击
在通常情况下,信息包从起点到终点走过的路径是由位于此两点间的路由器决定的,数据包本身只知道去行何处,但不知道该如何去源路由可使信息包的发送者将此数据包要经过胡路径写在数据包里,使数据包循着一个对方不可预料的路径到达目的主机
[21]
。
为了防范源路由欺骗攻击,一般采用下面两种措施:
(1)对付这种攻击最好的办法是配置好路由器使它抛弃那些由外部网进来的却声称是内部主机的报文。
(2)在路由器上关闭源路由,用命令 no ip source-route。
4.8.3 拒绝服务攻击及预防措施
在拒绝服务攻击中,攻击中加载过多的服务将对方资源全部耗尽,使得没有多余资
源供其他用户使用,SYN Flood攻击是典型的拒绝服务攻击。为了防止拒绝服务攻击,
31
我们可以采取以下预防措施。
(1)对方信息淹没攻击,我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包,或者在该网段路由器上对ICMP进行带宽限制,控制其在一定的范围内。
(2)防止SYN数据段攻击,我们应对系统设定相应的内核参数,使得系统强制对超时的SYN请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的SYN请求数据包。
(3)建议在网段的路由器上做起配置的调整,这些调整包括限制SYN半公开数据包的流量和广数。
(4)建议在路由器的前端做必要胡TCP拦截,使得只有完成TCP三次握手过程的数据包才可进入网段。
32
第5章 校园网络安全体系
通过以上对网络攻击分析和防范的设计,校园网络也会面临同样的威胁,所以我们在知道网络功防基础上应该构筑校园网络安全体系,要从两个方面着手:一是采用一定的技术;二是不断改进管理方法。
从技术角度看,目前常用的安全手段有内外网隔离技术、加密技术、身份认证、访问控制、安全路由等,这些技术对防止非法入侵系统起到了一定的防御作用。防火墙作为一种将内外网隔离的技术,普遍运用于校园网安全建设中
[24]
。
5.1 校园网络安全规范
在校园网的需求来讲,校园的网络安全是指利用各种网络监控和管理技术措施,对
网络系统的硬件、软件及系统中的数据资源实施保护,使其不会因为一些不利因素而遭到破坏,从而保证网络系统连续、安全、可靠地运行。
校园网分为内部网和互联网两部分,技术上采用虚拟网管理。一般用户不提供与internet直接相连,需要直接连接的用户应向校园网管理委员会提出申请,获准后由网络中心分配IP地址并提供相应的入网软硬件,具有直接连接权限的用户应与校园网管中心签定保密协议书,并自觉接受网络安全员的检查。
学校网络中心负责网络设备的运行管理,信息中心负责网络资源,用户帐户肯安全管理,系统管理员口令绝对保密,根据用户需求严格控制,合理分配用户权限。网络用户口令应经常更新,防杀病毒软件本身无毒,向学生开放的教学实验室应禁止使用软驱和光驱,以杜绝病毒的传播。
校园网络信息系统以自行开发为主,系统软件应对访问权限严格限制,对不同操作人员,不同信息的内容需按等级分设口令。
学校信息系统采用客户/服务器结构,数据由网络信息中心及网络管理部门进行定期备份,对备份后的数据应有专人保管,确保发生意外情况时能及时恢复系统运行,加强监督管理工作,使用过程中的重要信息记录要保存到事故文件中,以便掌握使用情况,发生可疑现象,及时追查安全事故责任。
5.2 安全方案建议 5.2.1 校园网络状况分析
(1)资源分布和应用服务体系
校园网络可向网络用户提供:域名服务(DNS),电子邮件服务(E-mail),远程登
33
录(telnet),文件传输服务(ftp),电子广告牌,BBS,电子新闻,WWW以及信息收集,存储,交换,检索等服务。 (2)网络结构的划分
整个网络是由各网络中心,和园区内部网络通过各种通信方式互联而成的,所有网络可归纳为由连接子网、公共子网、服务子网、内部网四个部分组成。这四部分组成一个独立单位的局域网,然后通过广域连接与其他网络连接。
5.2.2 网络安全目标
为了增加网络胡安全性,必须对信息资源加以保护,对服务资源加以控制肯管理。 (1)信息资源
a:公众信息;即不需要访问控制。
b:内部信息;即需要身份验证以及根据根据身份进行访问控制。 C:敏感信息;即需要验证身份和传输加密。 (2)服务资源包括:内部服务资源、公众服务资源
内部服务资源:面向已知客户,管理和控制内部用户对信息资源的访问。 公众服务资源:面向匿名客户,防止和抵御外来的攻击。
5.3 校园网络安全技术的应用 5.3.1网络攻击的概念
校园网的网络攻击主要来自internet中,所以对网络的攻击可以分为两种基本的类型,即服务攻击与非服务攻击。 (1)服务攻击
指对为网络提供某种服务的服务器发起攻击,遭成该网络的“拒绝服务”,使网络工作部正常。拒绝服务攻击将会带来消耗带宽、消耗计算资源、使系统和应用崩溃等后果,它是阻止针对某种服务的合法使用者访问他有权的服务。 (2)非服务攻击
非服务攻击是针对网络层等低层协议进行的,攻击者可能使用各种方法对网络通信设备发起攻击,使得网络通信设备工作严重阻塞或瘫痪,导致一个局域网或更多的网布能正常工作。与服务攻击相比,非服务攻击与特定服务无关,它往往利用协议或操作系统实现协议时的漏洞来达到目的。
34