① 网络工程业论文答辩
网络工程业论文答辩范文
论文答辩前要熟悉自己所写论文的全文,尤其是要熟悉主体部分和结论部分的内容,明确论文的基本观点和主论的基本依据;弄懂弄通论文中所使用的主要概念的确切涵义,所运用的基本原理的主要内容;同时还要仔细审查、反复推敲文章中有无自相矛盾、谬误、片面或模糊不清的地方。以下是我和大家分享的网络工程业论文答辩范文,更多内容请关注(www.oh100.com/bylw)。
各位老师,下午好! 我叫,是xx班的学生,我的论文题目是《环保部门语义链网络图形化呈现系统》,论文是在xxx导师的悉心指点下完成的,在这里我向我的导师表示深深的谢意,向各位老师不辞辛苦参加我的论文答辩表示衷心的感谢,并对三年来我有机会聆听教诲的各位老师表示由衷的敬意。下面我将本论文设计的背景和主要内容向各位老师作一汇报,恳请各位老师批评指导。
首先,我想谈谈这个毕业论文设计的背景及现状。
移动终端的迅猛普及、光纤/4G 网络/WIFI 的覆盖面不断拓展,提供了空前便利的上网条件,随着公民对网络精神文明需求日益加深,互联网(Internet)上资源量急剧增长。原先的网络资源之间仅通过不含语义信息的地址链接联系起来,那么就只是一堆信息,没有结构,资源所描述的信息不利于检索,因此通过搜索引擎获得的信息并不完全满足用户需要。
语义网是未来网络的一种趋势,作为 Web3.0 时代的特征之一,语义网渐进式发展为 Web3.0 构建不断完善的内容及应用聚合平台。语义网不仅能理解资源,还能理解它们之间的逻辑关系,是一种使交流更有效率和价值的智能网络。
语义网的核心是:使用标准、置标语言(xml)、资源描述框架(RDF)及相关的处理工具,给 Internet 上的资源添加能够被计算机程序理解的语义“元数据”,通过发现资源之间的语义关系,有助于改善网络搜索质量。
语义链网络(Semantic Link Network,SLN)是中科院提出的一种基于语义链的语义网模型,通过为超链接添加语义关系而扩展原有超链接。SLN 模型中,两种最小单元为资源节点、资源之间的逻辑关系即语义链接。SLN 模型还包含一套逻辑规则,推理后可发现隐藏的语义链接并扩充 SLN.SLN 可以根据应用需求及行业标准手动或是智能构造。定义了资源节点的模式、链接的模式及模型中蕴含的逻辑规则后,手动添加或智能搜集组织实例数据,再通过推理机制自动地发现扩充。SLN 的模式定义方法论对于设计与构建语义网络、保证资源信息的规范管理和组织,具有重要指导意义。
国家重点基础研究发展计划(973)“语义网格的基础理论、模型与方法研究”项目研究内容涵盖知识网格领域的多方面技术。资源空间模型(ResourceSpace Model, RSM),该模型旨在解决互联网上多源异构的.分布式资源的规范、重构、存储、管理、定位问题,一个可视化三维 RSM 已在实际中运用至管理敦煌文化内容,模型中每个点坐标代表同类内容的各种类型的资源(书法、壁画、彩塑、音乐等)。
语义链网络,研究如何实现分布全球的各种资源在语义层上互联,消除语义孤岛:以较为简洁的方式将资源空间映射到基础语义空问,通过语义链网络与 RSM 两种技术结合,形成基本的语义模型,实现各种资源在该语义模型中的统一及互联。
智能聚融方面,研究如何动态地松耦合地组织各种资源,为应用提供智能服务,实现互联网环境下系统的自组织和优化,提出了自适应性知识流模型(描述知识在不同个体之间流动的过程,为发现新知识和研究知识的流动规律提供支持)、语义社区模型等多种解决方案。
其次,我想谈谈这篇论文的主要内容。
本文对语义链网络中资源与关系链的定义、构造、推理规则的定义、推理的执行、绘图语言绘图及布局的全过程进行了认真的研究、探索及实现。
通过简洁明晰的系统界面与用户交互,系统在接受用户自定义资源、关系、规则的模式及实例后,将整个语义链网络以 XML 文件形式存储。推理规则的执行借力于规则引擎,本文仔细分析了规则引擎工作流程及匹配阶段算法--RETE 优化算法,并通过在系统中调用规则引擎,完成推理的执行过程,扩展了语义链网络。图形化呈现的环节中,系统将存储语义链网络的 XML文件翻译成一种绘图语言,并利用绘图工具,生成图形对象后进行自动布局。
本文选取实际社会中环保部门语义关系网作为原型,详细介绍了系统涉及的各种概念及元素,帮助理解系统各个流程的原理及实现方式,构建出了环保部门语义链网络,经过执行各个流程,最终实现了环保部门语义链网络的图形化呈现。
最后,我想谈谈这篇论文和存在的不足。
这篇论文的写作过程,也是我越来越认识到自己知识与经验缺乏的过程。虽然,我尽可能地收集材料,竭尽所能运用自己所学的知识进行论文写作和系统开发,但论文还是存在许多不足之处,系统功能并不完备,有待改进。请各位评委老师多批评指正,让我在今后的学习中学到更多。
;
首先,答辩的时候老师比较会问的你用的关键技术,学校不一样,老师要求也不一样。
这些关键技术是你在论文里应用到的。
比如原理,设计思想,术语的解释等等吧,反正是跟你论文有关的。他会一边翻看你论文,一边向你提问。
③ 求一篇计算机网络论文
我的建议:1.计算机毕业设计可不能马虎,最好还是自己动动脑筋,好好的写一写。 2.网上那种免费的毕业设计千万不能采用,要么是论文不完整,要么是程序运行不了,最重要的是到处都是,老师随时都可以知道你是在网上随便下载的一套3.如果没有时间写,可以在网上找找付费的,我们毕业的时候也是为这个头疼了很长时间,最后在网上找了很久,终于购买了一套毕业设计,还算不错,开题报告+论文+程序+答辩演示都有,主要的都是他们技术做好的成品,保证论文的完整和程序的独立运行,可以先看了作品满意以后再付款,而且同一学校不重复,不存在欺骗的性质,那个网站的名字我记的不是太清楚了,你可以在网络或者GOOGLE上搜索------七七论文网,一定可以找到的你想要的东西的
④ 计算机网络安全论文答辩
一般老师问你的都很基础!你要是毕业答辩要做PPT文档,自己一定要挑重点的东西放到里面。
IDS体系结构 园区网络安全分析与设计(为什么做园区的 需求分析)
系统开发平台的选择 15
3.2.2.2.Winpeap概述 16
3.2.2.3数据包捕获模块的实现 18
3.2.2.4 实现技术 20
算法一般没人问!
⑤ 各位毕业的师兄师姐,小弟是计算机网络专业的一名学生,过几天要参加毕业答辩,在此有问题要请教各位前辈
一般就是问你一些你写的论文内容,比如什么是VLAN,你为啥这个方法而不是其他方法来研究等等,不会为难你的。一般问的不多,主要是针对你论文给你找哪里需要调整的比较多。
⑥ 计算机专业毕业设计答辩时需要带电脑演示系统吗
需要简单的演示是肯定的...但是不一定需要带电脑...因为计算机论文答辩的地方基本上都是学校的机房和多媒体教室...电脑网络什么的都没什么问题...(我答辩的时候是带的笔记本电脑...因为学校的计算机配置很低的...很容易就出现问题)
⑦ 我欲求一份计算机网络专业的毕业论文
免疫网络是企业信息网络的一种安全角式。
“免疫”是生物医学的名词,它指的是人体所具有的“生理防御、自身稳定与免疫监视”的特定功能。 就像我们耳熟能详的电脑病毒一样,在电脑行业,“病毒”就是对医学名词形象的借用。同样,“免疫”也被借用于说明计算机网络的一种能力和作用。免疫就是让企业的内部网络也像人体一样具备“防御、稳定、监视”的功能。这样的网络就称之为免疫网络。 免疫网络的主要理念是自主防御和管理,它通过源头抑制、群防群控、全网联动使网络内每一个节点都具有安全功能,在面临攻击时调动各种安全资源进行应对。 它具有安全和网络功能融合、全网设备联动、可信接入、深度防御和控制、精细带宽管理、业务感知、全网监测评估等主要特征。 它与防火墙、入侵检测系统、防病毒等“老三样”组成的安全网络相比,突破了被动防御、边界防护的局限,着重从内网的角度解决攻击问题,应对目前网络攻击复杂性、多样性、更多从内网发起的趋势,更有效地解决网络威胁。 同时,安全和管理密不可分。免疫网络对基于可信身份的带宽管理、业务感知和控制,以及对全网安全问题和工作效能的监测、分析、统计、评估,保证了企业网络的可管可控,大大提高了通信效率和可靠性。
1、 对终端身份的严格管理。终端MAC取自物理网卡而非系统,有效防范了MAC克隆和假冒;将真实MAC与真实IP一一对应;再通过免疫驱动对本机数据进行免疫封装;真实MAC、真实IP、免疫标记三者合一,这个技术手段其他方案少有做到。所以,巡路免疫方案能解决二级路由下的终端侦测和管理、IP-MAC完全克隆、对终端身份控制从系统到封包等其他解决不了或解决不彻底的问题。 2、 终端驱动实现的是双向的控制。他不仅仅抵御外部对本机的威胁,更重要的是抑制从本机发起的攻击。这和个人防火墙桌面系统的理念显着不同。在受到ARP欺骗、骷髅头、CAM攻击、IP欺骗、虚假IP、虚假MAC、IP分片、DDoS攻击、超大Ping包、格式错误数据、发包频率超标等协议病毒攻击时,能起到主动干预的作用,使其不能发作。
3、 群防群控是明显针对内网的功能。每一个免疫驱动都具有感知同一个网段内其他主机非法接入、发生攻击行为的能力,并告知可能不在同一个广播域内的免疫运营中心和网关,从而由免疫网络对该行为进行相应处理。
4、 提供的2-7层的全面保护,还能够对各层协议过程的监控和策略控制。深入到2层协议的控制,是巡路免疫网络解决方案的特有功能。而能够对各层协议过程的监控和策略控制,更是它的独到之处。现在普遍的解决方案,基本上是路由器负责 3层转发,防火墙、UTM等进行3层以上的管理,唯独缺少对“局域网至关重要的二层管理”,免疫驱动恰恰在这个位置发挥作用。而上网行为管理这类的软硬件,在应用层进行工作,对2、3层的协议攻击更是无能为力。
5、 对未知的协议攻击,能够有效发挥作用,是真正的主动防御。
6、 免疫接入网关在NAT过程中,采取了专用算法,摒弃了其他接入路由器、网关产品需要IP-MAC映射的NAT转发算法,将安全技术融于网络处理过程,使ARP对免疫接入网关的欺骗不起作用。这叫做ARP先天免疫,这样的技术融合还很多。
7、 具有完善的全网监控手段,对内网所有终端的病毒攻击、异常行为及时告警,对内外网带宽的流量即时显示、统计和状况评估。监控中心可以做到远程操作。
LZ完全可以 网络 免疫网络这个新技术 概念~ 保证你的论文 让教授门 耳目一新
⑧ 毕业论文答辩时应该要注意的问题
导语:针对以下问题,在答辩场上还要析事明理、针对性强、谦虚谨慎、态度平和、冷静思考、不忙不乱,灵活机动、变被动为主动。掌握这些方法和对策,就能获得最佳答辩效果。答辩中应采取如下对策:调整心态,作好心理准备:熟悉论文及相关资料,作好应答准备:预测论题,作好答辩准备。
毕业论文答辩时应该要注意的问题
1.准备不足,仓促上阵
答辩以前的准备包括熟悉论文、预测答辩论题,还有必要的心理准备。在这三个环节中,熟悉论文、分析预测答辩论题是基础,它们会直接影响到后者。不熟悉论文的内容,不对论文涉及的基本概念、原理、大意、结构、提要作深入的了解和分析,抱着投机和侥幸的心理,势必造成被动的局面。如果答辩老师的问题再有些难度,那必然会有提问而无回应,有设疑而无解惑,尴尬的场面也就在所难免了。“知己知彼,百战不殆。”在论文答辩中,熟悉了解自己论文的各个环节,包括立意、定义、概念、要点、逻辑关系、结构,明确哪些是自己的观点,哪些是引用、借鉴别人的观点,自己的论文在当前学术研究中的定位是什么。在此基础上,还要对论文中的问题作一些深入的思考和必要的延伸。比如一名学生的毕业论文为《论计算机在现代生活中的作用》,老师提出问题:什么是“千年虫问题”?这个问题是怎么解决的?学生答道:“千年虫问题”是一种病毒,用杀毒软件就可以解决这个问题。显然,这样的回答是不正确的。所以,通过延伸可以丰富自己的思考,扩充论文的内容,增强论文的厚度,为预测答辩论题奠定良好基础。
2.缺少锻炼自信不足
答辩对于学生来说是经历不多的,甚至是从来没有经历过的,严肃的考场、威严的答辩委员更加重了自我表现的心理负担。有许多毕业生在答辩场上脸红心跳、口齿不清,许多记忆中原有的信息都遗忘了,大脑一片空白。在回答问题时也总是顾虑重重,这种顾虑实际上已成了强大的难以逾越的心理障碍。答辩者要有自信心,懂得“答辩是一次锻炼的机会,对于自己是一次新的尝试,要尝试就允许有失败”。带着这份信念,就会克服自己的紧张心理,在可能的情况下取得最好的效果。未来社会,我们要面临的竞争和挑战是多方面的,自信、从容的心理素质是获胜的基础,自我包装、自我设计、自我推销越来越成为未来社会发展选择的主流。到公司应聘需要参加面试答辩,竞争上岗需要答辩,竞聘某个职务也需要答辩,这种考核形式在将来的生存竞争中会经常遇到,所以要学会从容面对。
为此,答辩前可作些准备,如在走上答辩席前作一些深呼吸练习,缓解心理紧张情绪:进行积极的心理暗示,告诉自己一定能行:答辩前不必再翻阅资料,甚至有意识地控制自己不去多思考与论文答辩有关的问题,使自己尽可能地放松。
3.顾此失彼,漏洞百出
由于学生知识积累的局限,所以只知其一、不知其二,只知其然、不知其所以然,经不起答辩教师的追问。有的学生由于不能融会贯通,许多知识虽然学过,但是不能运用自如。还有的学生由于知识之间的衔接和转化能力差,只要涉及到比较分析就不知所措。例如,一名学生的毕业论文设计题目为《计算机网络实验系统的设计》,答辩老师的问题是:你如何评价计算机网络加速了社会的`发展?在你的系统中为什么采用B/S结构?学生不知从什么地方下手来分析这个问题。实际上,这个问题在他论文中已经阐述,论文对于这种态度无疑是肯定的。老师又问:如果将你的系统改用C/S结构怎么样?学生只能从教科书出发,从老师所讲的有限的知识出发,而不能全面、辩证地去说明自己的观点,到头来答辩只能顾此失彼,被动挨打。
4.答非所问,牵强附会
运用联系的方法分析问题需要有一定的条件。前面分析的情况是一种极端,“答非所问,牵强附会”是另一种极端。
一名学生写了《文件加密技术研究》,老师问:RSA文件加密方法依据的原理是什么?学生回答说:RSA是一种简单易懂的文件加密方法,可以用多种程序设计语言实现。实际上,在回答问题时,只针对提问展开就行了,不必谈RSA加方法的特点。除了这种答非所问之外,更多的是一种牵强附会。一学生的论文是《论<雷雨>的人物形象》,老师问:如何看待周家老爷的虚伪性?学生答:他戴着金丝眼镜,喝着普洱茶,所以他具有资产阶级的情调,具有资产阶级情调的人就具有虚伪性。老师问:戴着金丝眼镜、喝着普洱茶的人就一定具有资产阶级情调吗?有资产阶级情调和虚伪有什么必然联系?这个学生难以回答。
⑨ 计算机网络专业毕业论文怎么写
通常是先和导师沟通,确定方向,然后确定题目,之后就开写吧。
通常导师对那些偏点理论性的更感冒,但写的难度也大,不过理论性的能虚一点。
定题后要搜集资料,着手编写,工程性的题目要与实践紧密联系。都是自己写下来的话,通常不用担心答辩问题,因为老师一般不会刁难,他针对论文的提问应该难不住你。
论文格式可以参照这个:
“论文格式
1、论文格式的论文题目:(下附署名)要求准确、简练、醒目、新颖。
2、论文格式的目录
目录是论文中主要段落的简表。(短篇论文不必列目录)
3、论文格式的内容提要:
是文章主要内容的摘录,要求短、精、完整。字数少可几十字,多不超过三百字为宜。
4、论文格式的关键词或主题词
关键词是从论文的题名、提要和正文中选取出来的,是对表述论文的中心内容有实质意义的词汇。关键词是用作计算机系统标引论文内容特征的词语,便于信息系统汇集,以供读者检索。每篇论文一般选取3-8个词汇作为关键词,另起一行,排在“提要”的左下方。
主题词是经过规范化的词,在确定主题词时,要对论文进行主题分析,依照标引和组配规则转换成主题词表中的规范词语。(参见《汉语主题词表》和《世界汉语主题词表》)。
5、论文格式的论文正文:
(1)引言:引言又称前言、序言和导言,用在论文的开头。引言一般要概括地写出作者意图,说明选题的目的和意义, 并指出论文写作的范围。引言要短小精悍、紧扣主题。
〈2)论文正文:正文是论文的主体,正文应包括论点、论据、论证过程和结论。主体部分包括以下内容:
a.提出问题-论点;
b.分析问题-论据和论证;
c.解决问题-论证方法与步骤;
d.结论。
6、论文格式的参考文献
一篇论文的参考文献是将论文在研究和写作中可参考或引证的主要文献资料,列于论文的末尾。参考文献应另起一页,标注方式按《GB7714-87文后参考文献着录规则》进行。
中文:标题--作者--出版物信息(版地、版者、版期)
英文:作者--标题--出版物信息
所列参考文献的要求是:
(1)所列参考文献应是正式出版物,以便读者考证。
(2)所列举的参考文献要标明序号、着作或文章的标题、作者、出版物信息。”
⑩ 跪求计算机科学与技术本科毕业论文\源程序\答辩稿\幻灯片
计算机科学与技术专业本科生毕业论文2007年11月10日 星期六 21:43xxxxxx大学本科生毕业论文
密码技术研究—密码破解
院 系:计信系
专 业:计算机科学与技术专业
学生班级:2005级(函授本科)
姓 名:
学 号:
指导教师姓名:xx
目 录
摘要 ……………………………………………………………… 1
关键词 …………………………………………………………… 1
第一章 引言 …………………………………………………… 1
第二章 攻击者如何及为何进行攻击 ………………………… 1
第三章 攻击者闯入系统的利器 ……………………………… 2
第四章 攻击者如何攻击及停止或预防 ……………………… 3
第五章 结束语 ………………………………………………… 6
参考文献 ……………………………………………………… 7
Summary
The valid exploitation of the password and the customer bank account is one of the biggest problems of the network safety.Will study the password to break the solution in this thesis:How carry on some break the solution and why carry on the password to break the solution.
The attack that wants to carry on to the calculator system of the company or organization contain various form, for example:The electronics cheat, the brush-off service( DoS) attack of the smurf attack and other types.These attacks were design break or break off the usage of your luck camp system.This text discuss a kind of widely for the attack form that spread, be called the password to break the solution.
In addition return to permeate elucidation the network is how simple, aggressor how enter its method of tool and the anti- shots that network, they use.
Keyword: Password Break the solution attack Safety Permeate Network Protection
摘 要
密码与用户帐户的有效利用是网络安全性的最大问题之一。在本论文将研究密码破解:如何进行一些破解以及为何进行密码破解。
要对公司或组织的计算机系统进行的攻击有各种形式,例如:电子欺骗、smurf 攻击以及其它类型的拒绝服务(DoS)攻击。这些攻击被设计成破坏或中断您的运营系统的使用。本文讨论一种广为流传的攻击形式,称为密码破解。
此外还将说明渗透网络是多么简单,攻击者如何进入网络、他们使用的工具以及抗击它的方法。
关键词:密码 破解 攻击 安全性 渗透 网络 防护
第一章 引言
密码破解是用以描述在使用或不使用工具的情况下渗透网络、系统或资源以解锁用密码保护的资源的一个术语。本文将研究什么是密码破解、为什么攻击者会这样做、他们如何达到目的,以及如何保护自己免受攻击。我将简要研究攻击者自身:他们的习性和动机。通过对几种方案的研究,我将描述他们部署的一些技术、帮助他们攻击的工具以及密码破解者是如何从内部和外部侵犯公司基础结构的。
在研究这样做的一些方法之前,让我们首先了解攻击者的想法并研究他们为什么想访问您的网络和系统。
第二章 攻击者如何及为何进行攻击
关于黑客的定义仍然争论不休。黑客可以是任何对基于计算机的技术有浓厚兴趣的人;它未必定义想进行伤害的人。词汇攻击者可用来描述恶意黑客。攻击者的另一个词汇是黑帽。安全分析师通常称为白帽,白帽分析是为防御目的而使用的密码破解。攻击者的动机差别很大。有些声明狼籍的黑客是高中生,他们在地下室里的电脑前寻找利用计算机系统的漏洞的方法。其它攻击者是寻求报复公司的心怀不满的雇员。还有另外一些攻击者完全出于寻求刺激性的挑战目的,想渗透保护良好的系统。
攻击方法中密码破解不一定涉及复杂的工具。它可能与找一张写有密码的贴纸一样简单,而这张纸就贴在显示器上或者藏在键盘底下。另一种蛮力技术称为“垃圾搜寻”,它基本上就是一个攻击者把垃圾搜寻一遍以找出可能含有密码的废弃文档。当然,攻击者可以涉及更高级的复杂技术。这里是一些在密码破解中使用的更常见的技术:
字典攻击(Dictionary attack) :到目前为止,一个简单的字典攻击是闯入机器的最快方法。字典文件被装入破解应用程序,它是根据由应用程序定位的用户帐户运行的。因为大多数密码通常是简单的,所以运行字典攻击通常足以实现目的了。
混合攻击(Hybrid attack) :另一个众所周知的攻击形式是混合攻击。混合攻击将数字和符号添加到文件名以成功破解密码。许多人只通过在当前密码后加一个数字来更改密码。其模式通常采用这一形式:第一月的密码是“cat”;第二个月的密码是“cat1”;第三个月的密码是“cat2”,依次类推。
蛮力攻击(Brute force attack):蛮力攻击是最全面的攻击形式,虽然它通常需要很长的时间工作,这取决于密码的复杂程度。根据密码的复杂程度,某些蛮力攻击可能花费一个星期的时间。在蛮力攻击中还可以使用 L0phtcrack。
第三章 攻击者闯入系统的利器
最常用的工具之一是 L0phtCrack(现在称为 LC5)。L0phtCrack 是允许攻击者获取加密的 Windows NT/2000 密码并将它们转换成纯文本的一种工具。NT/2000 密码是密码散列格式,如果没有诸如 L0phtCrack 之类的工具就无法读取。它的工作方式是通过尝试每个可能的字母数字组合试图破解密码。这也一款网络管理员的必备的工具,它可以用来检测Windows、UNIX 用户是否使用了不安全的密码,同样也是最好、最快的Win NT/2000/XP/UNIX 管理员帐号密码破解工具。事实证明,简单的或容易遭受破解的管理员密码是最大的安全威胁之一,因为攻击者往往以合法的身份登陆计算机系统而不被察觉。
另一个常用的工具是协议分析器(最好称为网络嗅探器,如 Sniffer Pro 或 Etherpeek),它能够捕获它所连接的网段上的每块数据。当以混杂方式运行这种工具时,它可以“嗅探出”该网段上发生的每件事,如登录和数据传输。这可能严重地损害网络安全性,使攻击者捕获密码和敏感数据。
第四章 攻击者如何攻击及停止或预防
我将首先描述两种涉及内部攻击的方案(即,在组织内部发起的攻击),然后研究涉及外部攻击的两种方案。
内部攻击:内部攻击者是解密攻击最常见的来源,因为攻击者具有对组织系统的直接访问权。
第一种是攻击者是心怀不满的雇员的情况。攻击者,一名经验丰富的系统管理员,在工作中遇到了问题,而拿自己管理、保护的系统发泄。
示例:心怀不满的雇员JaneSmith是一名经验丰富的且在技术上有完善的记录证明的系统管理员,她被公司雇佣在深夜运行备份磁带。公司,作为一家 ISP,拥有非常庞大的数据中心,大约4000多个系统都由一个网络运营中心监控。Jane和另外两名技术人员一起工作以监控通宵备份,并且在早班之前倒完磁带。他们彼此独立工作:一名技术员负责UNIX服务器,一名技术员负责全部Novell服务器,而Jane负责Windows服务器。Jane已经工作了六个月并且是一名后起之秀。她来得很早,走得很晚,并且曾请求转到公司的另一个部门。问题是那时没有空位子。在上个月,安全分析师发现Cisco路由器和UNIX服务器上的登录尝试的数量有大幅增加。由于实现了CiscoSecureACS,所以可以对尝试进行审计,发现它们大部分出现在早上 3 点钟。怀疑产生了,但作为一名安全分析师,不能在没有证据的情况下到处指证。一名优秀的安全分析师从深入研究问题着手。您发现攻击出自高手,并且出现在Jane当班期间,正好在她完成倒带任务之后,在日班小组到来之前,她有一个小时的时间学习和阅读。所以公司决定请夜班经理夜晚监督Jane。三个星期的严密监督之后,发现攻击已经停止了。怀疑是正确的,正是Jane试图登录到Cisco路由器和UNIX服务器中。
因此,一名优秀的安全分析师还需要使用一种好的审计工具(如 Tacacs+)来记录攻击。Tacacs+是由诸如CiscoSecureACS之类的应用程序所使用的协议,该协议强制授权、可计帐性和认证(简称 AAA)。如果具有授权,则需要对请求访问的人进行授权以访问系统。如果具有认证,则需要对访问资源的用户进行认证以验证他们是否有访问的权利和权限。如果同时被授权和认证会发生什么呢?必须具有可计帐的。单独计算登录数通过强制攻击者保持可计帐的、被认证及被授权,从而解决了许多密码破解问题。
接下来,将给出一个仍广泛使用的攻击示例,它就在网下嗅探密码。可以研究一下网络主管的 Cisco 路由器和交换机是如何被公司中的 Help Desk 技术人员破解的。
示例:HelpDesk技术人员Tommy 被雇佣担任 Help Desk 技术员,他和下班后的 Help Desk 人员一起工作。下班后的 Help Desk 人员由大约 10 名技术员组成,他们负责公司需要在下班期间支持的 8 个远程站点。Tommy 总是带着他的笔记本电脑上班。当经理问及此事时,Tommy 解释说他用其休息时间准备一个认证考试。这似乎是无害的并得到了批准,尽管公司对在未经公司安全检查就从外部将机器带入公司网络的行为有一条公司内的安全制度。最终,一个监视器捕获了 Tommy 在离开一间小配线房时在手臂下藏着某些东西。但由于无人报告丢失任何东西,无法证明 Tommy 犯了什么错。当 Help Desk 经理询问 Tommy 为什么出现在配线房时,他说误把配线房当成了休息室。公司安全经理 Erika 看到了由负责大楼安全的门卫提交的报告。她想知道 Tommy 在配线房干什么,并且对 Tommy 向 Help Desk 经理的回答感到怀疑。检查配线房时,她发现从其中一个配线板上垂下一根被拔下的接线电缆以及一个空的集线器端口。当她将电缆插回去时,链路灯还是不亮,这意味着这是一个死端口。电缆管理员 Velcro 将所有其它电缆都整齐地捆绑在一起。凭着 Erika 多年经验以及对安全利用的敏锐意识,她确切地知道发生了什么。Erika 假设 Tommy 在未被发现的情况下将其笔记本电脑带入了配线房。他很有可能寻找集线器上的一个死端口,然后插上安装了包嗅探器的笔记本电脑,该嗅探器可以不加选择地拾取网段上的通信量。稍后他返回取走了电脑(被监视器捕捉到),在保存捕捉文件后拿回家进行分析。使用公司的安全制度,她找到 Tommy 并说明了所有非法进入公司的个人财产(如笔记本电脑和掌上电脑)都需要进行检查。由于 Tommy 本不该带入他的笔记本电脑,所以将它交给了 Erika。经过仔细检查,Erika 发现了跟踪译码。经过对 Sniffer Pro 分析器十六进制窗格的严格检查,在窗格的右边清晰地显示了 ASCII 数据。当连接到配线房的交换机时,Tommy 通过 telnet 会话连接在运行配置。由于 telnet 协议是不安全的且通过明文发送,所以很容易看到密码“cisco”。
这是最基本的安全性原则之一:不要使用产品名称作为密码。
外部攻击:外部攻击者是那些必须透过您的“深度防御”试图闯入您系统的人。他们做起来并不象内部攻击者那样容易。
第一种是一种很常见的外部攻击形式,称为网站涂改。这一攻击使用密码破解来渗透攻击者想破坏的系统。另一个可能的密码破解攻击是攻击者尝试通过社交工程(Social Engineering)获取密码。社交工程是哄骗一个毫无疑虑的管理员向攻击者说出帐户标识和密码的欺骗方法。让我们对这两种方案都研究一下。
示例一:网站主页涂改。通常只要通过利用未正确设置其权限的 Internet Information Server (IIS) 就可以完成。攻击者只要转至工作站并尝试使用 HTML 编辑工具攻击 IIS 服务器。当试图通过因特网连接到该站点时,攻击者使用一个密码发生器工具(如 L0phtCrack),它启动对服务器的蛮力攻击。
示例二:社交工程骗局。不需要工具而破解密码的骗局称为社交工程攻击。Jon 是一家大公司的新任安全分析师。他的首要工作是测试公司的安全状态。他当然要让管理层知道他将要做什么(这样,他自己就不会被当成攻击者)。他想知道要闯入网络而不使用任何工具的难度如何。他尝试两个单独但破坏性相同的攻击。作为大公司的新雇员,很多人还不认识 Jon,这使他能容易地完成第一个社交工程攻击。他的第一个目标是 Help Desk。Jon 给 Help Desk 打了一个常规电话,作为假想的远程用户要求密码重设。由于 Jon 知道公司的命名约定是用户的名字加上其姓的第一个字母,他已经有了他需要的一半信息。CIO 的名字是 Jeff,他的姓是 Ronald,因此他的登录标识是 JeffR。这条信息可以从公司的电话目录中轻易地得到。Jon 假装成 CIO 打电话给 Help Desk 并要求密码重设,因为忘记了密码。Help Desk 技术人员每天都要重设上百次被遗忘的密码,然后回电让请求者知道其新密码,这对于他们来说是常规工作。5 分钟后,Help Desk 技术人员给 Jon 回电话,告诉他新的密码是“friday”,因为恰好是星期五。5 分钟之内,Jon 就进入了服务器上 CIO 的共享文件及其电子邮件了。Jon 的下一个社交工程攻击涉及他的一个好朋友,此人为当地电话公司工作。Jon 在他休假时借了他的衣服、皮带和徽章。Jon 穿着他的新衣服进入公司存放所有灾难恢复路由器和服务器的另一部分场地。这个硬件包含公司的所有当前数据的有效副本并且认为是机密。Jon 穿着他的电信制服走入场地安全办公室,然后说明他是由本地交换运营商(Local Exchange Carrier (LEC))派来的,因为看来电路从电话公司形成了回路。他需要被允许进入数据中心,这样他可以检查在 Smart Jack 上是否有任何警报。现场管理员陪同 Jon 到数据中心,甚至没有检查他的标识。一旦进入,管理员明智地站在一边,这样 Jon 开始了他的测试。几分钟后,Jon 通知管理员他必须打电话给办公室并请他们再运行一些测试,以便能断开到 Smart Jack 的回路并尝试故障诊断。Jon 让管理员知道这将花费 45 分钟,因此管理员向 Jon 提供了他的呼机号,并请在 Jon 完成时呼他以让他出来。Jon 现在成功地排除了他和数据中心沿墙的机架上排列的 30 台服务器之间的唯一障碍。Jon 现在有几个不同的机会。他可以转至每个服务器,然后查找未加锁的控制台或者他可以将其笔记本电脑插入开放端口并开始嗅探。由于他确实想知道自己能走多远,所以决定查找开放的控制台。花 5 分钟查看所有 KVM 槽后,他发现 Windows NT 服务器是作为域的备份域控制器(Backup Domain Controller)运行的。Jon 从包中拿出一张 CD,然后将它放入服务器的 CD 托盘。他将 L0phtCrack 安装到公司域的 BDC 上,然后运行字典攻击。5 分钟之内,产生了如下密码:Yankees。它表明首席管理员是一个纽约 Yankee 迷。他现在已经有了对公司最重要的信息的访问权。
如何预防攻击:依照下列方法进行检查,可以使密码破解更加困难。
1、进行审查。确保没有将密码贴在监视器或键盘底下。
2、设置哑帐户。除去 administrator(或 admin)帐户,或将其设置为陷阱并对其尝试进行审查。
3、使用难以猜测的密码,永远不要让控制台处于解锁状态。
4、备份是必需的以防不测。也要保护备份,否则也可能遭到损坏。
5、防止垃圾搜寻。不要乱扔敏感信息;撕碎它或把它锁起来。
6、检查标识并讯问不认识的人。
7、加强认识。确保不受社交工程的侵害。
8、安装可靠的防火墙及杀毒软件。
第五章 结束语
本论文中,我描述了攻击者动机之后的某些心理以及用来破解密码的一些低技术和高技术方法。看到了几种攻击方案,包括由经验丰富的管理员、技术人员和外部故意破坏者对大公司发起的攻击。了解了密码破解者如何在内部和外部使用技术攻击您的基础结构。最后,提供了有关如何适当保护自己和系统避免可能受到密码破解攻击的一些想法。
参考文献
[1] 《电脑报2003年合订本》;西南师范大学出版社
[2] 《电脑报2004年合订本》;西南师范大学出版社
[3] 《电脑报2005年合订本》;西南师范大学出版社
[4] 《电脑报2006年合订本》;西南师范大学出版社
[5] 《电脑迷2004年合订版》;西南交通大学出版社
[6] 《电脑迷2005年合订版》;西南交通大学出版社
[7] 《电脑迷2006年合订版》;西南交通大学出版社
[8] 《黑客奇技赢巧大搜捕》;电脑报社发行部