信息安全与网络防御毕业论文
甘肃工业职业技术学院毕业设计(论文) 题目:浅谈信息安全与防御策略
学院电信学院
专业计算机应用技术
年级计算机1132 班
姓名任鹏飞
指导教师成思豪
2014年6月完成
目录
第一章网络安全技术的根源 (1)
1.2 计算机网络攻击的特点 (2)
1.3 信息网络研究意义 (2)
第二章计算机网络安全技术以及防范 (4)
2.1 配置防火墙 (4)
2.2 网络病毒的防范 (4)
2.3 采用入侵检测系统 (4)
第三章 SQL注入攻击实例分析 (6)
3.1 工具注入攻击 (6)
3.2 SQL注入Access数据库实现过程 (10)
3.3 MSSQL数据库的注入 (11)
3.4 SQL注入攻击 (12)
第四章以搜索引擎、云存储、地图服务为例来进行分析 (14)
第五章结束语 (15)
致谢 (16)
参考文献 (17)
摘要
由于现今信息技术发展迅速,网络信息安全越来越成为虚拟网络中不可或缺的一部分。然而,因为各种Web服务器的漏洞与程序的非严密性,导致针对服务器的脚本攻击时间日益增多,其大多数是通过ASP或者PHP等脚本主图作为主要攻击手段,加之Web站点迅速膨胀的今天,基于两者的SQL注入也慢慢成为目前攻击的主流方式。其应用方式主要集在利用服务端口接收用户输入的功能,将构造的语句传给数据库服务器,让其执行者开发者规定外的任务。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性
本文针对SQL注入技术进行专题研究,进行工具注入和手动注入两种途径的实验分析。
关键词:SQL数据、SQL注入、权限、网络防御策略、信息安全、网络技术
前言
由于Internet的普及与应用,通信技术和计算机网络技术得到了迅猛发展,特别是国际互联网的出现,使得计算机以前所未有的速度应用于如政府、商务、企业、教育、医疗等社会的各个领域,这些都深刻地影响着人们的经济、工作和生活方式。而以计算机联网来交流信息的方式已经成为现代社会的主流趋势,信息化水平已经成为衡量一个国家现代化程度和综合国力的重要标志。随着计算机网络的发展,网络与人们的生活结合的越来越紧密,网络的普及,随之而来的网络安全是每个网络管理者必须面对的问题。网络攻击与防范永远是个此消彼长的过程,攻击方法的不断演进,防范措施必须与时俱进。网络攻击方法主要分为以下几类:拒绝服务(DoS:Denial of Service)、缓冲区溢出、IP欺骗以及网络监听等,其中拒绝服务与缓冲区溢出是黑客常采用的攻击方法。与此同时,网络的发展与信息化技术的提高也促使着网络运行与网络内容的安全这一关键性问题渐渐得到了人们的关注,信息安全也从起初简单的设计扩展到了多领域多层次的研究阶段。
第一章网络安全技术的根源
随着社会信息化的发展,现在不只是军事、政府、企业往来,甚至日常生活之间的信息交往都热切的需要信息安全技术的保障。
(1)网络开放性引发的攻击
因为越来越多拥有不同企图、不同背景的网络终端客户介入到互联网环境中,互联网已经不再是当初以科技和教育为初衷的校园互信环境,加之网络用户可以轻易的获取核心技术资料,开放源代码的应用程序,由于其公开代码的特点也使得众多准攻击者有了用武之地。
(2)口令入侵
口令入侵是指使用某些用户的账号以及口令登录主机,实施攻击活动,而这些用户都是合法的。这种方法是以得到该主机的合法账号为前提,然后对用户口令破译。
(3)欺骗技术
在网上用户可以利用IE测览器进行Web站点的访问。如咨询产品价格、阅读新闻组、电子商务、订阅报纸等。然而一般的用户应该不会想到这些问题的存在,例如,正在访问的网页是被黑客篡改过的、网页t的信息是虚假的等。黑客将用户要浏览的网页的URL改写为指向黑客的服务器,当用户浏览目标网页的时候,新的安全漏洞义将不断涌现。网络攻击就是利用这些存在的漏洞和安全缺陷对系统和资源进行攻击。
(4)安全意识
广大网络用户普遍安全意识淡薄,这也是导致了黑客攻击层出不穷,利用计算机犯罪的案例与日俱增的主要原因之一。
1.1 网络信息安全的定义
信息安全这个领域始于上个世纪60年代,起初只是对专用主机及其数据进行保护,本质上只是面向单机的。发展到80年代,由于微机的广泛出现促成了局域网的发展,此时信息安全的侧重点是依靠技术与网络约定来进行保护,实施
的范围相对狭小,而到了90年代,互联网的蓬勃发展,把各个地区的终端计算机用网络连接起来,实现了全球范围的资源共享,但信息在处理、传输、存储等网络各个环节方面都存在着脆弱性,极易被劫获、监听、篡改、删除或添加隐藏恶意代码等。因此,可以说在进入21世纪后,信息安全才真正成为信息技术发展的核心任务。
1.2 计算机网络攻击的特点
(1)威胁社会安全
有些计算机网络攻击者将军事部门和政府部门的计算机作为主要的攻击目标,从而对社会和国家的安全造成巨大的威胁。
(2)攻击损失很大
由于攻击以及侵害的对象是网络上的计算机,每一次的成功攻击,都会给广大的计算机用户以及企业等带来很大灾难,严重的甚至会带来系统瘫痪、数据丢失甚至被窃。
(3)攻击手段多样并且隐蔽
计算机攻击者可以通过截取别人的订令和账号进入别人的计算机,还町以通过监视网络的数据获取另人的保密信息,即使人们精心设计了防火墙,攻击者也可以用一些特殊的方法绕过,这些过程可以在很短的时间内完成,攻击隐蔽性很强。
1.3 信息网络研究意义
基于它们的网络安全相关研究工作还远不能达到实际需求,其中很重要的原因就是由于前所未有的网络发展速度、攻击所涉及的技术也相对复杂、网络用户还没偶能力预测未来的攻击方式与途径,所以也就更没有能力在一个技术的高度上提出全面的解决方案。结合现状,本文从几个方面进行网络数据库与Web服务器安全的价值:
1)系统敏感信息的非法访问
尤其在代表着政府形象和企业形象的Web服务器和数据库服务器,都保存着重要的数据信息,如果与Web服务器的搭配不恰当会被攻击者蓄意输入恶意代码导致敏感信息如电子货币、信用卡卡号的泄露,造成极大的社会危害。
2)技术层面的挑战
网络安全技术层而而临的挑战是网络病毒的传播以及黑客的入侵。从网络病毒方面来讲,病毒可以按在网络条件中呈指数增长模式进行传染。在病毒侵入计算机网络以后,会导致计算机效率急剧地F降。系统资源遭到破坏,在短时间内造成网络系统瘫痪。因此网络环境下的病毒防治是计算机反病毒领域的研究重点。
3)网络安全技术
针对于众多的网络安全问题,在技术都提出了相应的解决方案。现今的网络安全技术有以下几个方面:(1)基于网络防火墙技术。防火墙是设置在两个或多个网络之间的安全阻隔,用于保证本地网络资源的安全,通常是包含软件部分和硬件部分的一个系统或多个系统的组合。防火墙技术是通过允许、拒绝或重新定向经过防火墙的数据流,防止不希望的、未经授权的通信进出被保护的内部网络,并对进、出内部网络的服务和访问进行审计和控制,本身具有较强的抗攻击能力,并且只有授权的管理员方可对防火墙进行管理,通过边界控制来强化内部网络的全。(2)基于VPN技术。VPN(Virtual Private Network,虚拟专用网络)是指利用公共网络建立私有专用网络。VPN利用公共网络基础设施为企业各部门提供安全的网络互联服务,能够使运行在VPN之上的商业应用享有几乎和专用网络同样的安全性、可靠性、优先级别和可管理性。(3)基于IDS(入侵检测系统)技术。入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。
第二章计算机网络安全技术以及防范
2.1 配置防火墙
利用防火墙,在网络通信时执行访问控制尺度,允许防火墙同意访问的人和数据进入自己的内部网络,将不允许的用户和数据拒之f-]#b,最大限度去阻止网络中黑客访问自己的网络,以防止黑客随意地更改、移动、删除网络上的重要信息。防火墙是一种行之有效日.应用广泛的网络安伞机制,防止互联网上的不安全因素蔓延到局域网的内部,所以,防火墙是网络安伞的很重要一环。
2.2 网络病毒的防范
在网络环境中,病毒传播扩散很快,仅仅用单机来防病毒已经很难彻底地清除网络病毒,应该有适合局域网的全方位防病毒产品。例如,校园网络是内部局域网,就需要一个以服务器操作系统平台为基础的防病毒软件以及针对各种桌面操作系统的有效的防病毒软件。而且,如果与互联网相连,还需要网关防病毒软件,来加强卜网计算机的安全。如果是在网络的内部使用电子邮件来进行信息交换,还需要一套邮件服务器平台为基础的邮件防病毒软件,从而识别出隐藏在电子邮件以及附件中的病毒,所以最好用全方位防病毒产品,来针对网络中所有的病毒攻击点设置相对应的防病毒软件。通过伞方位和多层次的防病毒系统,并且通过定期或者不定期自动升级,来使网络免受病毒侵袭。
2.3 采用入侵检测系统
入侵检测技术是为了保证计算机系统安全而设计以及配置的一种能够比较及时地发现,并且报告系统中未授权或者
异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。如果在入侵检测系统中利用审计记录,那么入侵检测系统就能够识别出任何不希望发生的活动,从而达到限制这些活动的目的,用以保护系统的安全。如果是在校园网络中采用入侵检测技术,那么最好是采用混合入侵检测系统,同时采用基于网络以及主机的入侵检测系统,构架成一套完整的、立体的主动防御体系。
1.2 以上是网络信息防御技术
图1.3 网络安全防御检测
第三章SQL注入攻击实例分析
本次的SQL注入攻击实验主要分为工具注入和手动注入两种方式。下文将针对这个两种注入过程以图文结合的方式详细展示。
3.1 工具注入攻击
3.1.1打开网页判断是否可以攻击
将首页的地址复制到工具中如图
单机“开始扫描”如图:
检测失败并不代表不可以此网站不可以注入哦! 点击其他链接(尤其是网站内容链接),因为现在的网站绝大部分是都是以模板为基础的,所以导航栏的链接的URL一般是不可以注入的.
将网站的新闻链接的URL copy 到工具中
表示此网站可以注入。
3.1.2猜测数据库的表名
可以用工具知道数据库的名字,当前的权限SA (在下面我会讲讲SA权限的利用)得到账户admin admin9812 libo libo
3.1.3用工具检测网站管理员的登录后台
单击扫描后台地址,可以得到后台登录的地址如图:
3.1.4登录网站后台
然后你就可以添加用户,修改网页,添加内容了
修改首页
3.1.5 SA权限数据库的超级用户
单击“命令行”软件会提供一个具有管理员权限的shell界面
写入命令(dos命令)添加用户
将heike加入管理员组中,(当然也可加入其它组中)
在这里我觉得有必要写一下dos下关于账户的命令:
2 )得到本地主机的用户列表
net user
3 )显示本地某用户的帐户信息
net user 帐户名
4 )显示本地主机当前启动的服务
net start
5 )启动 / 关闭本地服务
net start服务名
net stop 服务名
6 )在本地添加帐户
net user帐户名密码/add
7 )激活禁用的用户
net uesr帐户名/active:yes
8 )加入管理员组
net localgroup administrators 帐户名/add
图1.3找到ip.txt文件
3.2SQL注入Access数据库实现过程
注入工具v2.32增强版工具扫描注入点扫描注入点。
它的主要功能包括:"跨库查询"、"注入点扫描"、"管理入口检测"、"目录查看"、"CMD命令"、"木马上传"、"注册表读取"、"旁注/上传"、"WebShell 管理"、"Cookies修改"等。
①用“穿山甲’工具扫描表名和字段名以及字段内容此过程也可得知该数据库类型。
由图可以清楚的看到猜解的结果。其中的PASSWORD为16为MD5加密的结果。数据库类型为ACCESS。
②扫描出来的登录点如上图所示,右击即可打开。打开后的网页如下图所示。
图3.1.2(5)打开网页
用刚才得到的用户名和密码登陆后结果如下图:
3.3 MSSQL数据库的注入
与ACCESS数据库的注入一样,MSSQL数据库也是可以通过猜解的方式进行注入攻击,而且MSSQL数据库还可以进行暴库攻击。这里的“暴库”攻击主要是利用了MSSQL不同类型值的比较会报错,错误信息会暴露表名的漏洞来进
行攻击。下图是猜解一个MSSQL数据库网站的猜解数据库名的其中一步:由图可以清楚地看到注入的语句,虽然比较复杂,但是工具就是不停地进行这样的测试从而得到最终结果的。
3.4 SQL注入攻击
1)定义随着网络的迅速发展,基于B/S模式(即浏览器/服务器模式)的网络应用愈来愈来普及,这些Web的应用大多数使用脚本语言加后台数据库系统(如MSSQL、Access、MySQL等)开发。很多程序员在编写表单代码时,将用户输入的代码直接用来构造动态SQL命令或作为存储过程的输入参数,攻击者可以通过提交精心构造的数据库查询代码,然后根据网页的返回结果来获取网站的敏感信息,进而利用获得信息进行网络攻击,这就是所谓的SQL注入(SQL Injection)攻击。
(2)SQL注入攻击原理:①SQL命令可执行查询、插入、更新、删除等操作,以分号字符作为不同命令的区别;
②SQL命令对于传入的字符串参数是用单引号字符所包起来的;③SQL命令中,可以注入注释。(连续两个减号字符“--,’后为注释,或者“?/’’和“/.”中间所包起来的);④所以,如果在组合SQL的命令字符串时,未针对单引号字符作取代处理的话,将导致该字符变量在填入命令字符串时,会被恶意篡改原本的SQL语法的作用。
例如某个网站的登陆验证的SQL查询代码为:
strSQL=??SELECT+FROM USers WHERE(name=…??;userName+”?)and(pw=”?+passWord+”?);”
恶意填入
userName=“1?OR…1?=?1”;与passWord=“1'OR…1?=?1”;时,将导致原本的SQL 字符串被填为
strSQL=“SELECT+FROMu sers
WHERE(name=…1?OR…1?=?1?)and(pw=…1?OR…1?=?1?);”
也就是实际上运行的SQL命令会变成
StrSQL=……SELECT+FROM users;??
因此这就造成即使无账号密码,也可登录该网站。(3)SQL注入攻击的一般过程:①寻找可能的SQL注入点:②测试SQL注入漏洞的存在;③判断后台数据库类型;④确定可执行情况:⑤发现WEB虚拟目录:⑥上传ASP木马;⑦获得管理员权限。
(4)SQL注入攻击方的防范首先要对用户提交的数据和输入参数进行过滤,一般用isNumeric()函数来过滤数值型的参数。另一可行方法就是摒弃动态SQL 语句。
3.5 拒绝服务(DOS)攻击与分布式拒绝服务(DDoS)攻击
(1)基本概念与攻击原理DoS攻击通常利用传输协议的漏洞、系统存在的漏洞、服务的漏洞,对目标系统发起大规模的进攻,用超出目标处理能力的海量数据包消耗可用资源、带宽资源等或造成程序缓冲区溢出错误,导致其无法处理合法用户的正常请求,无法提供正常服务,并最终导致网络服务瘫痪,甚至引起系统死机。但随着计算机网络的发展,拒绝服务攻击逐渐进化成了分布式拒绝服务攻击。其攻击原理如下图:
(2)DDoS攻击的防御①安装入侵检测系统;②与因特网服务供应商合作;③优化网络和路由结构:④保护主机系统安全;⑤使用扫描工具。
图DDoS拒绝服务示意图
第四章以搜索引擎、云存储、地图服务为例来进行分析
(1)搜索引擎
云计算机应用无处不在,搜索引擎就是其的应用之一。用户在利用手机软件使用搜索引擎的时候,从未考虑过搜索引擎的数据中心在哪里。是什么样子。从搜索引擎设计的数据量来说,搜索引擎的数据中心规模是相当庞大的,而对于用户来说。搜索引擎的数据中心是无从感知的。所以,搜索引擎就是公共云的一种应用方式。搜索引擎如何改变你的生活方式呢?搜索引擎是指根据一定的策略、运用特定的计算机程序搜集互联网上的信息,在对信息进行组织和处理后,并将处理后的信息显示给用户,是为用户提供检索服务的系统。但在Webl.0时代,搜索引擎是否是用户的常用工具呢?在Webl.0时代。各种门户网站和类似ha0123那样的入口网站是用户的最常用工具,因为彼时互联网.卜的信息没有现在这么多,用户需要被人引导去选择查看而不是自己主动去查看。而在经过互联网多年的发展,积累了足够量的信息后,基于云计算基础的搜索引擎也才能派上用场,而也正是爆炸的信息量让搜索引擎只能选择云计算这样一种承载方式。
(2)地图服务
在没有GPS的时代,每到一个地方,都需要一个新的当地地图。以前经常可见路人拿着地图问路的情景。而现在,只需要一部手机,就可以拥有一张全世界的地图。甚至还能够得到地图卜得不到的信息,例如交通路况,天气状况等等。正是基于云计算技术的GPS带给了这一切。地图,路况这些复杂的信息,并不需要预先装在手机中,而是储存在服务提供商的“云”中,只需在手机上按一个键,就町以很快地找到所要找的地方。最后,要说的就是以C.o,,gle map手机版为代表的地图服务。这类地图服务符合云计算的特点,用户只需要安装一个接入程序,其他的不需要准备任何东西。各种地图卫星图都可以通过在线下载来搞定。进行导航通过终端上内置的GPS就町以解决。而导航路线的计算则是通过手机终端发出指令,通过地图服务商的服务器集群进行计算,得出结果后返回到终端上。这样的功能不需要终端自身有什么强大的性能。完全依靠瓦联网和云服务商来完成。可以说是解放了硬件,解放了性能。
第五章结束语
由于SQL注入攻击时针对应用开发过程中的编程漏洞,因此对于绝大多数防火墙来说,这种攻击是可以绕过的。虽然数据库服务器的版本一直在更新,各种脚本语言本身的漏洞也越来越少,可是随着SQL注入技术的不断提高,只要Web 应用系统或源代码中仍然存在此类漏洞,就会潜伏着这种隐患,特别是当SQL注入攻击与其他一些攻击工具结合时,对服务器乃至系统都是巨大的威胁。因此,研究SQL注入攻击方法、如何正确的对服务器进行安全配置、如何做好代码的安全编写与用户输入的过滤检查,对于开发安全的Web应用程序有着重要的意义。
网络的开放性决定了网络的复杂性、多样性,任何安全的防范措施不是单一存在的,任何网络的入侵也不是单一技术或技术的简单组合。本文就现今主流的网络攻击方式进行了简要的介绍与分析,并提出了与之相对应的安全防御策略。但我们应该清楚的认识到随着技术的不断进步,网络的不断发展,各种新型的网络攻击还会不断涌现,这就要求我们对网络攻击有更深入的认识,对防御策略有更完善的研究,以此来建立一个安全的、高效的、全面的网络安全体系。
通过本次专题研究,我更加深刻地理解《信息安全与防御策略》在实践中的意义所在,在一步一步的时间探索过程中,将理论知识用于具体实践,对SQL 注入攻击这一知识块有更深一步的理解与掌握。
致谢
本论文最终能顺利完成,首先应感谢我的导师自始至终给予的关心和指导。无论是在论文选题、开题、写作阶段还是在项目的实践过程中,成老师都加以悉心的指导。导师严谨的治学作风和求实的工作态度都深深地影响着我。
忠心感谢各位老师,在我上学期间的时间里,在物质和精神上给我提供的巨大支持,使我顺利完成了学业。
在论文的写作过程中,很多同学为我提供了很多帮助,值此机会向他们表示诚挚的谢意。
本论文的写作参考、引用了很多书籍及文献,在此向这些文章的作者表示深深的谢意。
这几个月以来,成老师不仅在学业上给我以精心指导,同时还在思想给我以无微不至的关怀,在此谨向成老师致以诚挚的谢意和崇高的敬意。
感谢在百忙之中抽出时间、精心审阅本论文的指导导师成老师!
感谢我的父母和亲人,正是有了他们的关心和支持,我的学业才得以顺利完成。
最后,再次感谢所有关心和爱护过我的老师、亲人、同学和朋友!