段,既损耗了路由器的资源,更可能造成因某个数据分段丢失,而导致宿主机在组装分段数据报时超时,丢弃整个数据报,造成带宽的浪费。测试路径MTU的方法类似路由跟踪。源发端发送一定长度、且不允许分段的IP数据报,并根据路由器返回的主机不可达ICMP报文,逐步缩短测试IP数据报的长度。
三.Internet应用
1.FTP--文件传输协议(File Transfer Protocol)
FTP实现计算机之间的文件传输。使用FTP时,用户无需关心对应计算机的位置,以及使用的文件系统。FTP使用TCP连接和TCP端口;在进行通信时,FTP需要建立两个TCP连接,一个用于控制信息(如命令和响应,TCP端口号缺省值为21),另一个是数据信息(端口号缺省值为20)的传输。
使用FTP命令时,要求用户在两台计算机上都具有自己的(或者可用的)帐号。 1)命令格式: ftp [ -dgintv][host] [-dgintv]:FTP命令选项
[host]:主机名或者主机对应的IP地址 例:ftp 202.119.2.197 2)FTP工作原理
(1)FTP服务器运行FTPd守护进程,等待用户的FTP请求。 (2)用户运行FTP命令,请求FTP服务器为其服务。 例:FTP 202.119.2.197
(3)FTPd守护进程收到用户的FTP请求后,派生出子进程FTP与用户进程FTP交互,建立文件传输控制连接,使用TCP端口21。
(4)用户输入FTP子命令,服务器接收子命令,如果命令正确,双方各派生一个数据传输进程FTP-DATA,建立数据连接,使用TCP端口20,进行数据传输。
(5)本次子命令的数据传输完,拆除数据连接,结束FTP-DATA进程。
(6)用户继续输入FTP子命令,重复(4)、(5)的过程,直至用户输入quit命令,双方拆除控制连接,结束文件传输,结束FTP进程
2.WWW服务
浏览器与WEB服务器工作过程举例 用户通过“浏览器”访问因特网上的WEB服务器,浏览器和服务器之间的信息交换使用超文本传输协议(HTTP--HyperText Transfer Protocol)。 例:用户访问主页Http://www.sina.com/welcome.htm ,浏览器与服务器的信息交互过程如下:
(1) 浏览器向DNS获取web服务器www.sina.com的IP地址:x.x.x.x (2) 浏览器与IP地址为x.x.x.x 的服务器进行TCP连接,端口为80;
(3) 浏览器执行HTTP协议,发送GET /welcome.htm 命令,请求读取该文件; (4) www.sina.com服务器返回/welcome.htm 文件到客户端; (5) 释放TCP连接;
(6) 浏览器解释/welcome.htm 文件内容,并显示该文件表示的页面。
附:
一.TCP/IP服务
1、TCP/IP应用服务原理
TCP/IP应用服务采用客户机/服务器工作模式,服务器端启动守护进程,等待客户端的请求;服务器对应客户端的请求,派生子进程与客户进程进行数据通信,提供服务。
(1)服务器(HostA)首先要启动应用程序服务进程(守护进程Server),等待客户端的请求。 (2)当服务进程Server接收到客户端HostB的请求时,派生一个子进程(Child1)与HostB进行交互,实现数据通信,同时守护进程Server继续等待客户端的请求。
(3)当服务进程Server接收到客户端HostC的请求时,派生一个子进程(Child2)与HostC进行交互,实现数据通信,同时守护进程Server继续等待客户端的请求。 二 .TCP/IP应用编程接口(API)
为了支持用户开发面向应用的通信程序,大部分系统都提供了一组基于TCP或者UDP的应用程序编程接口(API),该接口通常以一组函数的形式出现,称为套接字(Socket)。TCP/IP应用程序之间的通信通过Socket进行。服务器拥有全局公认的Socket,任何客户端都可以向它发出连接请求和信息请求。客户端向操作系统随机申请一个Socket,系统为之分配一个Socket号。
四.网络安全
随着人类社会生活对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展的关键问题,特别是1993年以后Internet开始商用化,通过Internet进行的各种电子商务业务日益增多,加之Internet/Intranet技术日趋成熟,很多组织和企业都建立了自己的内部网络并将之与Internet联通。上述上电子商务应用和企业网络中的商业秘密均成为攻击者的目标。据统计,目前网络攻击手段有数千种之多,使网络安全问题变得极其严峻,据美国商业杂志《信息周刊》公布的一项调查报告称,黑客攻击和病毒等安全问题在2000年造成了上万亿美元的经济损失,在全球范围内每数秒钟就发生一起网络攻击事件。
一. 网络常见的攻击类型
1. 后门攻击
BO、SATANZ、Portal of DOOM、Silencer、NetBus、Netspy、GirlFriend、冰河等。 2. 拒绝服务攻击 SYN Flood、UDP Flood、winnuke、Kiss of Death、Wingate DoS、Land、concon、ARP Spool等。
3. 分布式拒绝服务攻击
Tfn2k、trinoo、stachel、mstream等。 4. 扫描攻击
ISS扫描、Nessus扫描、nmap扫描、Superscan扫描、whisker扫描、Webtrends扫描、L3retriever扫描、ipe-syn-scan扫描等。 5. Web-cgi攻击
Test-cgi、handler、count.cgi、phf、PHP、Webgais、Websendmail、Webdist等。 6. Web-IIS攻击:NewDSN等。
7. Web-FrontPage攻击:Fpcount等。
8. Web-ColdFusion攻击:Openfile等。 9. 缓冲区溢出攻击
包括IMAP、Named、Qpop、FTP、mountd、Telnet等服务程序的缓冲区溢出攻击。 10. RPC攻击
包括对sadmind、ttdbserver、nisd、amd等RPC攻击。 11. ICMP攻击
主要包括利用大量ICMP Redirect包修改系统路由表的攻击和使用ICMP协议实施的拒绝服务攻击。
12. SMTP攻击(邮件攻击)
E-mail Debug等,以及利用SMTP协议实现HELO、RCPT TO、VRFY等缓冲区漏洞实施攻击。
13. 前奏攻击:SourceRoute等。
14. 病毒攻击:Happy 99、爱虫病毒、WinimDa等。 15. 口令攻击:telnet口令攻击、FTP口令攻击。 其他:IE5&ACCESS97等。
二. 数据加密技术
电子商务安全规范可分为安全、认证两方面的规范。 1安全规范
当前电子商务的安全规范包括加密算法、报文摘要算法、安全通信协议等方面的规范。 (1)加密算法
基本加密算法有两种:对称密钥加密、非对称密钥加密,用于保证电子商务中数据的保密性、完整性、真实性和非抵赖服务。 ①对称密钥加密
对称密钥加密也叫秘密/专用密钥加密(Secret Key Encryption),即发送和接收数据的双方必须使用相同的/对称的密钥对明文进行加密和解密运算。最著名的对称密钥加密标准是数据加密标准(DataEncryptionStandard,简称DES)。目前已有一些比DES算法更安全的对称密钥加密算法,如:IDEA算法,RC2、RC4算法,Skipjack算法等。 ②非对称密钥加密
非对称密钥加密也叫公开密钥加密(Public Key Encryption),由美国斯坦福大学赫尔曼教授于1977年提出。它主要指每个人都有一对唯一对应的密钥:公开密钥和私有密钥,公钥对外公开,私钥由个人秘密保存;用其中一把密钥来加密,就只能用另一把密钥来解密。商户可以公开其公钥,而保留其私钥;客户可以用商家的公钥对发送的信息进行加密,安全地传送到商户,然后由商户用自己的私钥进行解密。公开密钥加密技术解决了密钥的发布和管理问题,是目前商业密码的核心。使用公开密钥技术,进行数据通信的双方可以安全地确认对方身份和公开密钥,提供通信的可鉴别性。由此,公开密钥体制的建设是开展电子商务的前提。非对称加密算法主要有RSA、DSA、DiffieHellman、PKCS、PGP等。 (2)报文摘要算法
报文摘要算法(Message Digest Algorithms)即采用单向HASH算法将需要加密的明文进行摘要,而产生的具有固定长度的单向散列(HASH)值。其中,散列函数(HashFunctions)是将一个不同长度的报文转换成一个数字串(即报文摘要)的公式,该函数不需要密钥,公式决定了报文摘要的长度。报文摘要和非对称加密一起,提供数字签名的方法。 报文摘要算法主要有安全散列标准、MD2系列标准。
(3)加密通信协议(SSL)
安全套接层协议(Secure Socket Layer)是一种保护WEB通讯的工业标准,主要目的是提供INTERNET上的安全通信服务,是基于强公钥加密技术以及RSA的专用密钥序列密码,能够对信用卡和个人信息、电子商务提供较强的加密保护。SSL在建立连接过程上采用公开密钥,在会话过程中使用专有密钥。SSL的缺陷是只能保证传输过程的安全,无法知道在传输过程中是否受到窃听,黑客可以此破译SSL的加密数据,破坏和盗窃WEB信息。新的SSL协议被命名为TLS(Transport Layer Security),安全可靠性可有所提高,但仍不能消除原有技术上的基本缺陷。 2认证规范 (1)数字签名
数字签名(Digital Signature)是公开密钥加密技术的一种应用,是指用发送方的私有密钥加密报文摘要,然后将其与原始的信息附加在一起,合称为数字签名。其使用方式是:报文的发送方从报文文本中生成一个128位或160位的单向散列值(或报文摘要),并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出128位的散列值(或报文摘要),接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别与验证,保证报文的完整性、权威性和发送者对所发报文的不可抵赖性。数字签名机制提供了一种鉴别方法,普遍用于银行、电子贸易等,以解决伪造、抵赖、冒充、篡改等问题。 (2)数字证书
“数字证书”是一个经证书认证中心(CA)数字签名的、包含证书申请者(公开密钥拥有者)个人信息及其公开密钥的文件。基于公开密钥体制(PKI)的数字证书是电子商务安全体系的核心,用途是利用公共密钥加密系统来保护与验证公众的密钥。CA对申请者所提供的信息进行验证,然后通过向电子商务各参与方签发数字证书,来确认各方的身份,保证网上支付的安全性。
证书的格式遵循X.509标准。X.509证书包括有关证书拥有的个人或实体的信息及证书颁发机构的可选信息。实体信息包括实体名称、公用密钥、公用密钥运算法和可选的唯一主体id。目前,X.509标准已在编排公共密钥格式方面被广泛接受,已用于许多网络安全应用程序,其中包括IP安全(Ipsec)、安全套接层(SSL)、安全电子交易(SET)、安全多媒体INTERNET邮件扩展(S/MIME)等。 (3)密钥管理机制(PKI)
密钥管理是数据加密技术中的重要一环,密钥管理的目的是确保密钥的安全性(真实性和有效性)。
三. 防火墙技术
尽管近年来各种网络安全技术在不断涌现,但到目前为止防火墙仍是网络系统安全保护中最常用的技术。据公安部计算机信息安全产品质量监督检验中心对2000年所检测的网络安全产品的统计,在数量方面,防火墙产品占第一位,其次为网络安全扫描和入侵检测产品。 防火墙系统是一种网络安全部件,它可以是硬件,也可以是软件,也可能是硬件和软件的结合,这种安全部件处于被保护网络和其它网络的边界,接收进出被保护网络的数据流,并根据防火墙所配置的访问控制策略进行过滤或作出其它操作,防火墙系统不仅能够保护网络资源不受外部的侵入,而且还能够拦截从被保护网络向外传送有价值的信息。防火墙系统
可以用于内部网络与Internet之间的隔离,也可用于内部网络不同网段的隔离,后者通常称为Intranet防火墙。
目前的防火墙系统根据其实现的方式大致可分为两种,即包过滤防火墙和应用层网关。包过滤防火墙的主要功能是接收被保护网络和外部网络之间的数据包,根据防火墙的访问控制策略对数据包进行过滤,只准许授权的数据包通行。防火墙管理员在配置防火墙时根据安全控制策略建立包过滤的准则,也可以在建立防火墙之后,根据安全策略的变化对这些准则进行相应的修改、增加或者删除。每条包过滤的准则包括两个部分:执行动作和选择准则,执行动作包括拒绝和准许,分别表示拒绝或者允许数据包通行;选择准则包括数据包的源地址和目的地址、源端口和目的端口、协议和传输方向等。建立包过滤准则之后,防火墙在接收到一个数据包之后,就根据所建立的准则,决定丢弃或者继续传送该数据包。这样就通过包过滤实现了防火墙的安全访问控制策略。
应用层网关位于TCP/IP协议的应用层,实现对用户身份的验证,接收被保护网络和外部之间的数据流并对之进行检查。在防火墙技术中,应用层网关通常由代理服务器来实现。通过代理服务器访问Internet网络服务的内部网络用户时,在访问Internet之前首先应登录到代理服务器,代理服务器对该用户进行身份验证检查,决定其是否允许访问Internet,如果验证通过,用户就可以登录到Internet上的远程服务器。同样,从Internet到内部网络的数据流也由代理服务器代为接收,在检查之后再发送到相应的用户。由于代理服务器工作于Internet应用层,因此对不同的Internet服务应有相应的代理服务器,常见的代理服务器有Web、Ftp、Telnet代理等。除代理服务器外,Socks服务器也是一种应用层网关,通过定制客户端软件的方法来提供代理服务。 防火墙通过上述方法,实现内部网络的访问控制及其它安全策略,从而降低内部网络的安全风险,保护内部网络的安全。但防火墙自身的特点,使其无法避免某些安全风险,例如网络内部的攻击,内部网络与Internet的直接连接等。由于防火墙处于被保护网络和外部的交界,网络内部的攻击并不通过防火墙,因而防火墙对这种攻击无能为力;而网络内部和外部的直接连接,如内部用户直接拨号连接到外部网络,也能越过防火墙而使防火墙失效。 四. 网络入侵检测技术
网络入侵检测技术也叫网络实时监控技术,它通过硬件或软件对网络上的数据流进行实时检查,并与系统中的入侵特征数据库进行比较,一旦发现有被攻击的迹象,立刻根据用户所定义的动作做出反应,如切断网络连接,或通知防火墙系统对访问控制策略进行调整,将入侵的数据包过滤掉等。
网络入侵检测技术的特点是利用网络监控软件或者硬件对网络流量进行监控并分析,及时发现网络攻击的迹象并做出反应。入侵检测部件可以直接部署于受监控网络的广播网段,或者直接接收受监控网络旁路过来的数据流。为了更有效地发现网络受攻击的迹象,网络入侵检测部件应能够分析网络上使用的各种网络协议,识别各种网络攻击行为。网络入侵检测部件对网络攻击行为的识别通常是通过网络入侵特征库来实现的,这种方法有利于在出现了新的网络攻击手段时方便地对入侵特征库加以更新,提高入侵检测部件对网络攻击行为的识别能力。
利用网络入侵检测技术可以实现网络安全检测和实时攻击识别,但它只能作为网络安全的一个重要的安全组件,网络系统的实际安全实现应该结合使用防火墙等技术来组成一个完整的网络安全解决方案,其原因在于网络入侵检测技术虽然也能对网络攻击进行识别并做出反应,但其侧重点还是在于发现,而不能代替防火墙系统执行整个网络的访问控制策略。防火墙系统能够将一些预期的网络攻击阻挡于网络外面,而网络入侵检测技术除了减小网络系统的安全风险之外,还能对一些非预期的攻击进行识别并做出反应,切断攻击连接或通知防火墙系统修改控制准则,将下一次的类似攻击阻挡于网络外部。因此通过网络安全检测技术