1、第9章 計(jì)算機(jī)網(wǎng)絡(luò)安全9.1 計(jì)算機(jī)網(wǎng)絡(luò)安全概述9.1.1安全基礎(chǔ)知識(shí)計(jì)算機(jī)網(wǎng)絡(luò)安全的基本要素機(jī)密性：網(wǎng)絡(luò)信息不泄露給未授權(quán)用戶。完整性：收到的數(shù)據(jù)與發(fā)送的數(shù)據(jù)應(yīng)相同，且僅被授權(quán)者才能修改數(shù)據(jù)?？捎眯裕罕皇跈?quán)者在需要時(shí)可以訪問相應(yīng)數(shù)據(jù)，但不能占用所有資源阻礙授權(quán)者的正常工作。可控性：可以控制被授權(quán)者使用的所有資源?？蓪彶樾裕簩?duì)網(wǎng)絡(luò)中的用戶和其他實(shí)體進(jìn)行審查和監(jiān)控，當(dāng)出現(xiàn)安全問題是可以提供調(diào)查依據(jù)和手段。計(jì)算機(jī)網(wǎng)絡(luò)安全策略法律：法律和法規(guī)手段是基礎(chǔ)技術(shù)：高技術(shù)管理是根本保障管理：加強(qiáng)內(nèi)部管理、建立設(shè)計(jì)和跟蹤體系。主要的網(wǎng)絡(luò)安全問題 1計(jì)算機(jī)系統(tǒng)安全 計(jì)算機(jī)作為一種信息社會(huì)中不可缺少的資源和財(cái)產(chǎn)應(yīng)

2、當(dāng)給予保護(hù)，以防止由于竊賊、侵入者和其他各種原因造成的損失。如何保護(hù)好計(jì)算機(jī)系統(tǒng)、設(shè)備以及數(shù)據(jù)的安全是一項(xiàng)長期艱巨的任務(wù)。 由于計(jì)算機(jī)和信息產(chǎn)業(yè)的快速成長以及對(duì)網(wǎng)絡(luò)和全球通信的日益重視，計(jì)算機(jī)安全正變得更為重要。然而，計(jì)算機(jī)的安全一般來說是較為脆弱的，不管是一個(gè)詭計(jì)多端的黑客還是一群聰明的學(xué)生，或者是一個(gè)不滿的雇員所造成的對(duì)計(jì)算機(jī)安全的損害帶來的損失往往是巨大的，影響是嚴(yán)重的。 計(jì)算機(jī)系統(tǒng)安全的主要目標(biāo)是保護(hù)計(jì)算機(jī)資源免受毀壞、替換、盜竊和丟失。這些計(jì)算機(jī)資源包括計(jì)算機(jī)設(shè)備、存儲(chǔ)介質(zhì)、軟件、計(jì)算機(jī)輸出材料和數(shù)據(jù)。 2數(shù)據(jù)庫系統(tǒng)安全 數(shù)據(jù)庫安全性是指數(shù)據(jù)庫的任何部分都不允許受到惡意侵害，或未經(jīng)授

3、權(quán)的存取與修改。數(shù)據(jù)庫是網(wǎng)絡(luò)系統(tǒng)的核心部分，有價(jià)值的數(shù)據(jù)資源都存放在其中，這些共享的數(shù)據(jù)資源既要面對(duì)必需的可用性需求，又要面對(duì)被篡改、損壞和被竊取的威脅。 通常，數(shù)據(jù)庫的破壞來自下列四個(gè)方面：系統(tǒng)故障；并發(fā)所引起的數(shù)據(jù)不一致；轉(zhuǎn)入或更新數(shù)據(jù)庫的數(shù)據(jù)有錯(cuò)誤，更新事務(wù)時(shí)未遵守保持?jǐn)?shù)據(jù)庫一致的原則；人為的破壞，例如數(shù)據(jù)被非法訪問，甚至被篡改或破壞。 3計(jì)算機(jī)病毒的防治 計(jì)算機(jī)病毒的防御對(duì)網(wǎng)絡(luò)管理員來說是一個(gè)望而生畏的任務(wù)。特別是隨著病毒出現(xiàn)和更新速度越來越快，形勢變得愈加嚴(yán)峻。目前，幾千種不同的病毒無時(shí)不對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)的安全構(gòu)成威脅。因此，了解和控制病毒威脅的需要顯得格外的重要，任何有關(guān)網(wǎng)絡(luò)數(shù)據(jù)完整

4、性和安全性的討論都應(yīng)考慮到病毒。 計(jì)算機(jī)病毒是一種“計(jì)算機(jī)程序”，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能夠傳播、感染到其他系統(tǒng)。它通常隱藏在其他看起來無害的程序中，能夠進(jìn)行自身復(fù)制并將其插入其他的程序中，執(zhí)行惡意的行動(dòng)。 檢測的原理主要是基于下列四種方法：將被檢測對(duì)象與原始備份進(jìn)行對(duì)照所使用的比較法、利用病毒特征代碼串的搜索法、病毒體內(nèi)特定位置的特征字識(shí)別法以及運(yùn)用反匯編技術(shù)分析被檢測對(duì)象，確認(rèn)是否為病毒的分析法。 4網(wǎng)絡(luò)站點(diǎn)的安全 影響網(wǎng)絡(luò)站點(diǎn)安全的主要因素包括： （1）認(rèn)證環(huán)節(jié)薄弱性。Internet的許多事故的起源是因?yàn)槭褂昧吮∪醯?、靜態(tài)的口令。（2）系統(tǒng)易被監(jiān)視性。當(dāng)用戶使用Telnet或文

5、件傳輸協(xié)議（File Transfer Protocol，簡稱FTP）連接到遠(yuǎn)程主機(jī)上的賬戶時(shí)，在Internet上傳輸?shù)目诹钍菦]有加密的。（3）易被欺騙性。主機(jī)的IP地址被假定為是可用的，TCP和UDP服務(wù)相信這個(gè)地址。問題在于，如果攻擊者的主機(jī)冒充一個(gè)被信任的主機(jī)或客戶就危險(xiǎn)了。 （4）有缺陷的局域網(wǎng)服務(wù)。一些數(shù)據(jù)庫（例如口令文件）以分布式管理，允許系統(tǒng)共享文件和數(shù)據(jù)。但這些服務(wù)帶來了不安全因素，可以被有經(jīng)驗(yàn)的闖入者利用以獲得訪問權(quán)。（5）復(fù)雜的設(shè)備和控制。對(duì)主機(jī)系統(tǒng)的訪問控制配置通常很復(fù)雜而且難以驗(yàn)證其正確性。因此，偶然的配置錯(cuò)誤會(huì)使闖入者獲取訪問權(quán)。 （6）主機(jī)的安全性無法估計(jì)。主機(jī)系

6、統(tǒng)的安全性無法很好地估計(jì)，隨著每個(gè)站點(diǎn)主機(jī)數(shù)量的增加，確保每臺(tái)主機(jī)的安全性都處于高水平的能力卻在下降。計(jì)算機(jī)網(wǎng)絡(luò)安全威脅信息泄漏與丟失重要和敏感數(shù)據(jù)泄漏丟失（泄漏：黑客、網(wǎng)絡(luò)偵聽、衛(wèi)星和手機(jī)等無線設(shè)備傳輸截留、內(nèi)嵌芯片竊聽和傳輸；外因造成丟失）非授權(quán)訪問冒用合法身份訪問資源、強(qiáng)行非授權(quán)訪問資源拒絕服務(wù)攻擊連續(xù)不斷對(duì)服務(wù)器干擾，執(zhí)行無關(guān)程序，造成網(wǎng)絡(luò)癱瘓破壞數(shù)據(jù)完整性對(duì)數(shù)據(jù)庫惡意添加、刪除和修改數(shù)據(jù)利用網(wǎng)絡(luò)傳播不良信息眾所周知（近期公安部嚴(yán)打手機(jī)傳播不良信息）計(jì)算機(jī)安全技術(shù)防火墻加密數(shù)字簽名審核監(jiān)督病毒防治Cookies網(wǎng)站服務(wù)器將少量數(shù)據(jù)保存到本地機(jī)硬盤，它可以記載用戶的ID和密碼，較快地登陸

7、網(wǎng)絡(luò)（跳過ID和PassWord）查看Cookies。C:/document and settings/用戶名/CookiesCookies設(shè)置IE/工具/Internet選項(xiàng)/隱私。調(diào)整安全級(jí)別即可相應(yīng)調(diào)整Cookies設(shè)置通過“Internet選項(xiàng)/設(shè)置”可以設(shè)置和查看Cookies文件1防火墻 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)系統(tǒng)的安全政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。9.3.1 防火墻防火墻主要包括五部分：安全操作系統(tǒng)；過濾器；網(wǎng)關(guān)；域

8、名服務(wù)；E-mail處理(如圖所示)。有的防火墻可能在網(wǎng)關(guān)兩側(cè)設(shè)置兩個(gè)內(nèi)、外過濾器。外過濾器保護(hù)網(wǎng)關(guān)不受攻擊，網(wǎng)關(guān)提供中繼服務(wù)，輔助過濾器控制業(yè)務(wù)流，而內(nèi)過濾器在網(wǎng)關(guān)被攻破后提供對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)。 2防火墻的功能（1）對(duì)出入網(wǎng)絡(luò)的訪問行為進(jìn)行管理和控制 （2）過濾出入網(wǎng)絡(luò)的數(shù)據(jù)，強(qiáng)化安全策略 （3）對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì) （4）對(duì)不安全的服務(wù)進(jìn)行限制或者攔截，防止內(nèi)部信息的外泄 (1)網(wǎng)絡(luò)級(jí)防火墻 網(wǎng)絡(luò)級(jí)防火墻又稱為包過濾防火墻，一般是基于源地址和目的地址、應(yīng)用或協(xié)議以及每個(gè)IP包的端口來做出網(wǎng)絡(luò)包通過與否的判斷。 (2)應(yīng)用級(jí)網(wǎng)關(guān) 應(yīng)用級(jí)網(wǎng)關(guān)就是常說的“代理服務(wù)器”，它能夠檢查進(jìn)出的數(shù)

9、據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。 3防火墻的分類 1包過濾原理 包過濾在IP層實(shí)現(xiàn)，由路由器來完成，它根據(jù)包(報(bào)文)的源IP地址、目的IP地址、協(xié)議類型(TCP包、UDP包、ICMP包)、源端口、目的端口及包傳遞方向等包頭信息來判斷是否允許包通過，并形成一套包過濾規(guī)則。9.3.2 防火墻的工作原理包過濾是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)系統(tǒng)事先設(shè)定好的過濾邏輯，檢查數(shù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址以及數(shù)據(jù)包所使用的端口，確定是否允許該類數(shù)據(jù)包通過。 在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡(luò)上，所有往來的信息都被分割成許許多多一

10、定長度的信息包，包中包括發(fā)送者的IP地址和接收者的IP地址。當(dāng)這些包被送上互聯(lián)網(wǎng)時(shí)，路由器會(huì)讀取接收者的IP，并選擇一條物理線路發(fā)送出去，信息包可能以不同的路線抵達(dá)目的地，當(dāng)所有的包抵達(dá)后，會(huì)在目的地重新組裝還原。包過濾式的防火墻會(huì)檢查所有通過信息包里的IP地址，并按照系統(tǒng)管理員所給定的過濾規(guī)則過濾信息包。如果防火墻設(shè)定某一IP為危險(xiǎn)的話，從這個(gè)地址而來的所有信息都會(huì)被防火墻屏蔽掉。 過濾數(shù)據(jù)包的類型 （1）ICMP消息：網(wǎng)絡(luò)層的IP控制和狀態(tài)消息，它的包頭包含了源IP地址、目的IP地址、ICMP協(xié)議標(biāo)識(shí)符和ICMP消息類型。 （2）UDP消息：UDP是一個(gè)無狀態(tài)不可靠的傳輸發(fā)送協(xié)議。它的包頭

11、包含了源IP地址、目的IP地址、UDP協(xié)議類型以及源和目的服務(wù)端口號(hào)。 （3）TCP消息：TCP是一種面向連接的可靠的傳輸發(fā)送協(xié)議，它的包頭包含了源IP地址、目的IP地址、TCP協(xié)議消息類型、源和目的服務(wù)端口、序列號(hào)和應(yīng)答號(hào)以及用來產(chǎn)生和維護(hù)可靠連接的控制標(biāo)志。 這類防火墻的缺點(diǎn)是不能對(duì)數(shù)據(jù)內(nèi)容進(jìn)行控制；很難準(zhǔn)確地設(shè)置包過濾器，缺乏用戶級(jí)的授權(quán)；數(shù)據(jù)包的源地址、目的地址以及IP端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被冒充或竊取，而非法訪問一旦突破防火墻，即可對(duì)主機(jī)上的系統(tǒng)和配置進(jìn)行攻擊；可能還有其他方法繞過防火墻進(jìn)入網(wǎng)絡(luò)，例如撥入連接。但這個(gè)并不是防火墻自身的缺點(diǎn)，而是不應(yīng)該在網(wǎng)絡(luò)安全上單純依賴防火

12、墻的原因。 (1) 應(yīng)用代理服務(wù)器 應(yīng)用代理服務(wù)器在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。(2) 回路級(jí)代理服務(wù)器回路層代理是建立在傳輸層上的一種代理方法。通常在建立連接之前，由代理服務(wù)器先檢查連接會(huì)話請(qǐng)求，再建立連接，并一直監(jiān)控連接狀態(tài)。當(dāng)連接打開時(shí)，回路層代理會(huì)將IP包在用戶應(yīng)用程序和Internet服務(wù)之間進(jìn)行轉(zhuǎn)發(fā)。如果符合安全規(guī)則，則正常轉(zhuǎn)發(fā)；否則，IP包數(shù)據(jù)不得通過 2網(wǎng)關(guān)原理代理技術(shù)與包過濾技術(shù)完全不同，包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對(duì)每一個(gè)特定應(yīng)用都有一個(gè)程序。代理是企圖在應(yīng)用層實(shí)現(xiàn)防火墻的功能。代理的主要特點(diǎn)是有狀態(tài)性。代理能提供部分與傳輸有關(guān)的狀態(tài)，能完全提供

13、與應(yīng)用相關(guān)的狀態(tài)和部分傳輸方面的信息，代理也能自理和管理信息。 應(yīng)用代理防火墻的缺點(diǎn)主要體現(xiàn)在： （1）代理速度比包過濾防火墻慢（2）代理對(duì)用戶不透明。（3）對(duì)于每項(xiàng)服務(wù)代理可能要求不同的服務(wù)器。（4）明顯的性能下降。（5）代理不能改進(jìn)底層協(xié)議的安全性1屏蔽路由器 這是防火墻最基本的構(gòu)件。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查。 2雙穴主機(jī)網(wǎng)關(guān) 用一臺(tái)裝有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連。3參數(shù)子網(wǎng) 在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。9.3.3 防火墻的體系結(jié)構(gòu) 加

14、密技術(shù)數(shù)據(jù)加密的基本概念明文變?yōu)槊芪牡倪^程稱為加密，由密文還原為明文的過程稱為解密，加密和解密的規(guī)則稱為密碼算法。 我們用M、C分別表示明文、密文，用K1、K2表示加、解密密鑰，加、解密算法分別用E、D來代表。于是加密/解密過程可以表示如下： 加密是通過特定的算法把可讀或可處理的信息轉(zhuǎn)換為不可讀信息的技術(shù)。加密技術(shù)可以有效的保護(hù)存儲(chǔ)在存儲(chǔ)媒體上或在不可信通訊路線上傳輸?shù)拿舾袛?shù)據(jù)，同時(shí)，它也可以保護(hù)敏感數(shù)據(jù)不被未經(jīng)授權(quán)者訪問。當(dāng)然，任何技術(shù)都有其局限性，加密技術(shù)也一樣，只要有足夠時(shí)間、足夠資源和充分決心，攻擊者可以破解大部分的加密算法，還原出加密過的信息。因此，我們應(yīng)該認(rèn)識(shí)到，要使加密過的信息不

15、可破解是不現(xiàn)實(shí)的，使用加密技術(shù)是為了使破解加密信息所需的資源和時(shí)效性遠(yuǎn)遠(yuǎn)超過被加密信息本身的價(jià)值。加密系統(tǒng)常用的加密算法：常見的加密算法可以分成三類，對(duì)稱加密算法，非對(duì)稱加密算法和Hash算法對(duì)稱加密，指加密和解密使用相同密鑰的加密算法。對(duì)稱加密算法的優(yōu)點(diǎn)在于加解密的高速度和使用長密鑰時(shí)的難破解性。假設(shè)兩個(gè)用戶需要使用對(duì)稱加密方法加密然后交換數(shù)據(jù)，則用戶最少需要2個(gè)密鑰并交換使用，如果企業(yè)內(nèi)用戶有n個(gè)，則整個(gè)企業(yè)共需要n(n-1) 個(gè)密鑰，密鑰的生成和分發(fā)將成為企業(yè)信息部門的惡夢。對(duì)稱加密算法的安全性取決于加密密鑰的保存情況，但要求企業(yè)中每一個(gè)持有密鑰的人都保守秘密是不可能的，他們通常會(huì)有意無

16、意的把密鑰泄漏出去如果一個(gè)用戶使用的密鑰被入侵者所獲得，入侵者便可以讀取該用戶密鑰加密的所有文檔，如果整個(gè)企業(yè)共用一個(gè)加密密鑰，那整個(gè)企業(yè)文檔的保密性便無從談起。 常見的對(duì)稱加密算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES非對(duì)稱加密，指加密和解密使用不同密鑰的加密算法，也稱為公私鑰加密。假設(shè)兩個(gè)用戶要加密交換數(shù)據(jù)，雙方交換公鑰，使用時(shí)一方用對(duì)方的公鑰加密，另一方即可用自己的私鑰解密。如果企業(yè)中有n個(gè)用戶，企業(yè)需要生成n對(duì)密鑰，并分發(fā)n個(gè)公鑰。由于公鑰是可以公開的，用戶只要保管好自己的私鑰即可，因此加密密鑰的分發(fā)將變得十分簡單。同時(shí)，由于每個(gè)用戶的私鑰是唯一

17、的，其他用戶除了可以可以通過信息發(fā)送者的公鑰來驗(yàn)證信息的來源是否真實(shí)，還可以確保發(fā)送者無法否認(rèn)曾發(fā)送過該信息。非對(duì)稱加密的缺點(diǎn)是加解密速度要遠(yuǎn)遠(yuǎn)慢于對(duì)稱加密，在某些極端情況下，甚至能比對(duì)稱加密慢上1000倍。 常見的非對(duì)稱加密算法有：RSA、ECC（移動(dòng)設(shè)備用）、Diffie-Hellman、El Gamal、DSA（數(shù)字簽名用）Hash算法。Hash算法特別的地方在于它是一種單向算法，用戶可以通過Hash算法對(duì)目標(biāo)信息生成一段特定長度的唯一的Hash值，卻不能通過這個(gè)Hash值重新獲得目標(biāo)信息。因此Hash算法常用在不可還原的密碼存儲(chǔ)、信息完整性校驗(yàn)等。 常見的Hash算法有MD2、MD4、

18、MD5、HAVAL、SHA 加密系統(tǒng)在企業(yè)中有三個(gè)基本的部署方向分別是存儲(chǔ)、傳輸和認(rèn)證。 存儲(chǔ)方面，加密系統(tǒng)的主要作用是通過加密來保證敏感數(shù)據(jù)不被未授權(quán)者訪問和通過Hash算法保證數(shù)據(jù)的完整性，加密常用的算法是3DES/Blowfish/AES，在操作的數(shù)據(jù)量比較小時(shí)，也常常采用RSA等分對(duì)稱加密算法，校驗(yàn)常用的算法是MD5。 目前市場上常見的產(chǎn)品包括軟件實(shí)現(xiàn)的對(duì)特定目標(biāo)（文件、文件夾、數(shù)據(jù)庫等）和全盤加密，如商業(yè)的PGP、開源的TrueCrypt、GPG等，及集成加密芯片的加密存儲(chǔ)設(shè)備，如Seagate等廠商的產(chǎn)品。 傳輸加密系統(tǒng)的主要作用是保證用戶傳輸?shù)臄?shù)據(jù)在非可信傳輸渠道傳輸時(shí)不受攻擊者

19、的威脅，并保證傳輸數(shù)據(jù)的完整性和真實(shí)性。應(yīng)用在這方面的加密系統(tǒng)比用在存儲(chǔ)方面的更復(fù)雜一些，還需要考慮密鑰的分發(fā)問題，所以傳輸方面的加密系統(tǒng)的一種常見形式是同時(shí)使用對(duì)稱加密和非對(duì)稱加密算法，先通過非對(duì)稱加密來加密分發(fā)對(duì)稱加密的密鑰，再用對(duì)稱加密的方法來保證數(shù)據(jù)處理和傳輸?shù)乃俣?。在傳輸方面的加密系統(tǒng)還按連接加密的網(wǎng)絡(luò)層次分為連接加密和端對(duì)端加密，連接加密會(huì)把特定數(shù)據(jù)連接的所有數(shù)據(jù)進(jìn)行加密，通常用在有較高安全級(jí)別的通訊中，端對(duì)端加密則只加密數(shù)據(jù)本身，包括路由信息等網(wǎng)絡(luò)數(shù)據(jù)并不進(jìn)行加密加密系統(tǒng)包括軟件實(shí)現(xiàn)的各種加密隧道如SSH、IPsec、VPN等應(yīng)用級(jí)別的端對(duì)端加密如PGP、HTTPS、SMIME、

20、PEM等硬件方面則有各種帶VPN功能的防火墻、帶加密功能的網(wǎng)卡等。認(rèn)證方面，加密系統(tǒng)的主要作用是確認(rèn)信息發(fā)送者的身份、校驗(yàn)收到信息的完整性以及提供不可否認(rèn)性。這些功能的實(shí)現(xiàn)依賴于非對(duì)稱加密和Hash算法的結(jié)合使用，以公鑰對(duì)比對(duì)方私鑰的簽名來確認(rèn)信息發(fā)送者的身份，用Hash算法對(duì)信息進(jìn)行校驗(yàn)。目前認(rèn)證方面的加密系統(tǒng)以軟件實(shí)現(xiàn)為主，如各種PKI、PGP、GPG等，少量的加密系統(tǒng)實(shí)現(xiàn)中還使用寫入私鑰或安全證書的智能卡、閃存等來增加加密系統(tǒng)的安全性。數(shù)字簽名的工作原理如圖所示，其基本過程是：（1）發(fā)送方通過對(duì)原始消息進(jìn)行散列運(yùn)算，生成一個(gè)消息摘要A。 （2）發(fā)送方使用自己的私鑰對(duì)原始數(shù)據(jù)的消息摘要進(jìn)行

21、加密，得到數(shù)字簽名，并將這個(gè)簽名與原始信息一起傳送給接收方。 （3）接收方首先從接收到的原始消息中計(jì)算出的消息摘要B。 （4）接收方使用發(fā)送方的公鑰對(duì)數(shù)字簽名解密后得到消息摘要A，然后將其與自己計(jì)算出來的消息摘要B進(jìn)行對(duì)比，如果兩者相同，表示信息確實(shí)是該發(fā)送方發(fā)出的，而且在傳輸中未被修改，以此來確認(rèn)原始信息在傳輸過程中是否發(fā)生變化。 數(shù)字簽名與書面簽名有相同之處。它們都可以確認(rèn)信息是否由簽名者發(fā)送的，且能夠判定信息在傳輸過程中是否做過任何修改。它們的區(qū)別在于：書面簽名是模擬的，且因人而異；數(shù)字簽名是不僅與簽名者的私鑰有關(guān)，而且與報(bào)文的內(nèi)容有關(guān)，它是0和1的字符串，因消息而異，不能將簽名者對(duì)一份

22、報(bào)文的簽名復(fù)制到另一份報(bào)文上。這樣，數(shù)字簽名既可以用來防止待傳輸信息因易于修改而被未授權(quán)第三方隨意處理，又可以杜絕假冒他人身份發(fā)送信息。 數(shù)字簽名與消息認(rèn)證的共同點(diǎn)包括：都能使收方驗(yàn)證消息發(fā)送方及所發(fā)消息內(nèi)容的完整性。當(dāng)收發(fā)雙方之間無爭議時(shí)，都能防止無關(guān)第三方對(duì)機(jī)密信息的破壞。它們的區(qū)別在于：當(dāng)收發(fā)雙方之間發(fā)生糾紛時(shí)，單純用消息認(rèn)證技術(shù)無法解決，必須借助于數(shù)字簽名技術(shù)。 公鑰基礎(chǔ)設(shè)施 在網(wǎng)絡(luò)通信中，為保證傳送信息和交互活動(dòng)的真實(shí)可靠，需要有一種機(jī)制來驗(yàn)證參與各方身份的合法性。同時(shí)，對(duì)于數(shù)字簽名和非對(duì)稱密鑰加密技術(shù)來說，面臨著公開密鑰的分發(fā)問題，公鑰基礎(chǔ)設(shè)施（Public Key Infrast

23、ructure，簡稱PKI）可以有效地解決這個(gè)問題，它通過對(duì)數(shù)字證書的使用和管理，來提供全面的公鑰加密和數(shù)字簽名服務(wù)。通過PKI，可以將公鑰與合法擁有者的身份綁定起來，從而建立并維護(hù)一個(gè)可信的網(wǎng)絡(luò)環(huán)境，并在不同的應(yīng)用中使用加密和簽名服務(wù)。 PKI的基本組成 PKI的主要用途是通過自動(dòng)管理密鑰和證書，為用戶建立起一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便地使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性。 一個(gè)完整的PKI系統(tǒng)的組成如圖所示，它應(yīng)當(dāng)具備權(quán)威認(rèn)證中心、數(shù)字證書庫、密鑰備份和恢復(fù)系統(tǒng)、證書撤銷系統(tǒng)和應(yīng)用程序接口（Application Programm

24、ing Interface，簡稱API）系統(tǒng)等基本構(gòu)成部分，構(gòu)建PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建。 認(rèn)證中心（CA）也稱證書中心.它是PKI的核心，也是PKI的信任基礎(chǔ)。它承擔(dān)著網(wǎng)上安全交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，并能確認(rèn)用戶身份。認(rèn)證中心通常是企業(yè)性的服務(wù)機(jī)構(gòu)，它提供公鑰加密和數(shù)字簽名服務(wù)的平臺(tái)，采用PKI框架管理密鑰和證書。任何想發(fā)放自己公鑰的用戶，可以去認(rèn)證中心申請(qǐng)自己的證書。數(shù)字證書如同現(xiàn)實(shí)生活中的身份證一樣，可以在網(wǎng)絡(luò)環(huán)境中確認(rèn)組織或個(gè)人的身份。認(rèn)證中心在驗(yàn)證用戶的真實(shí)身份后，頒發(fā)包含用戶公鑰的數(shù)字證書，它包含用戶的真實(shí)身份，并證實(shí)用戶公鑰的有效期和作用范圍（用于交換密鑰還是數(shù)

25、字簽名）。其他用戶只要能驗(yàn)證證書是真實(shí)的，并且信任頒發(fā)證書的CA，就可以確認(rèn)用戶的公鑰，實(shí)現(xiàn)合法用戶的身份認(rèn)證。 2數(shù)字證書庫數(shù)字證書庫是開放網(wǎng)絡(luò)上的一種分布式公共信息庫，用于存放和檢索認(rèn)證中心已簽發(fā)的數(shù)字證書和CRL。用戶可由此獲得其他用戶的證書和公鑰。構(gòu)造數(shù)字證書庫可采用支持輕量級(jí)目錄訪問協(xié)議（Lightweight Directory Access Protocol，簡稱LDAP）的目錄系統(tǒng)，用戶通過LDAP來訪問證書庫。目錄系統(tǒng)必須確保數(shù)字證書庫的完整性，防止偽造和篡改證書。 證書庫也可由Web、FTP或X.500目錄來實(shí)現(xiàn)。由于證書庫中存取對(duì)象是證書和CRL，其完整性由數(shù)字簽名保證，

26、因此對(duì)證書庫的操作可在無特殊安全保護(hù)的信道上傳輸。 3密鑰備份和恢復(fù)系統(tǒng)如果用戶丟失了解密密鑰，則無法對(duì)接收到的報(bào)文進(jìn)行解密，這會(huì)造成交易信息的丟失。為解決這個(gè)問題，PKI中的密鑰備份和恢復(fù)系統(tǒng)提供了這種對(duì)密鑰的處理機(jī)制。但密鑰的備份與恢復(fù)必須由可信的機(jī)構(gòu)（例如認(rèn)證中心CA）來完成，且密鑰的備份與恢復(fù)只能針對(duì)解密密鑰，簽名私鑰為確保其惟一性不能夠做備份。 4證書撤銷系統(tǒng) 證書撤銷處理系統(tǒng)是PKI的一個(gè)重要組件。與日常生活中的各種身份證件一樣，數(shù)字證書也存在有效期，且在有效期以內(nèi)也可能被撤銷，如用戶密鑰介質(zhì)丟失或用戶身份變更等。為實(shí)現(xiàn)這一點(diǎn)，PKI必須提供撤銷證書的一系列機(jī)制。撤銷證書有三種方法

27、：撤銷一個(gè)或多個(gè)主體的證書；撤銷由某個(gè)認(rèn)證中心簽發(fā)的所有證書；撤銷由某一對(duì)密鑰簽發(fā)的所有證書。 撤銷證書一般通過將證書加入證書撤銷列表（CRL）來完成。通常情況下，系統(tǒng)由認(rèn)證中心CA負(fù)責(zé)創(chuàng)建并維護(hù)一張及時(shí)更新的CRL，用戶在驗(yàn)證數(shù)字證書時(shí)首先檢查該證書是否在CRL之列。CRL一般存放在目錄系統(tǒng)中。證書的撤銷處理必須在安全且可驗(yàn)證的情況下進(jìn)行，系統(tǒng)要維護(hù)CRL的完整性。 5應(yīng)用程序接口系統(tǒng)公鑰基礎(chǔ)設(shè)施的功能在于能夠?yàn)橛脩籼峁┓奖愕男畔⒓用芎蛿?shù)字簽名等安全服務(wù)，因此一個(gè)完善的公鑰基礎(chǔ)設(shè)施必須提供良好的應(yīng)用接口系統(tǒng)，從而使得各種各樣的應(yīng)用在與PKI交互時(shí)能夠達(dá)到安全、可信的目標(biāo)，確保開放網(wǎng)絡(luò)環(huán)境的安

28、全性、完整性和易用性。9.4.1計(jì)算機(jī)病毒的概念 1何謂計(jì)算機(jī)病毒 計(jì)算機(jī)病毒是一種通過外存儲(chǔ)器和網(wǎng)絡(luò)等作為媒介進(jìn)行傳播擴(kuò)散，能“傳染”其他程序的程序。 計(jì)算機(jī)病毒具有潛伏性、傳染性和破壞作用。 2計(jì)算機(jī)病毒的分類 (1)外殼病毒：病毒將它們自己包裹在主程序的四周，對(duì)原來的程序不做修改。 (2)入侵病毒：就是把病毒程序的一部分插入到主程序，級(jí)別比較高。 (3)操作系統(tǒng)病毒：工作時(shí)把它們自己的一部分來代替操作系統(tǒng)的部分功能，屬于高級(jí)別的。 (4)源碼病毒：最高級(jí)，專門針對(duì)某一種編程語言而寫的，在這種語言寫出來的程序被編譯之前將它的代碼加入進(jìn)去。 3網(wǎng)絡(luò)病毒 網(wǎng)絡(luò)病毒就是在網(wǎng)絡(luò)環(huán)境下生存的病毒，通

29、過E-mail、文件下載等方式傳播，新的特點(diǎn)： (1)感染速度快。 (2)擴(kuò)散面廣。 (3)傳播的形式復(fù)雜多樣。 (4)難于徹底清除。 (5)破壞性大。 4感染病毒后的癥狀 (1)機(jī)器不能正常啟動(dòng)。 (2)程序運(yùn)行速度變慢。 (3)內(nèi)存空間迅速變小。 (4)改變文件內(nèi)容和長度。 (5)文件莫名其妙的出現(xiàn)和消失，文件名字忽然無故被更改。 (6)發(fā)出“奇怪的”顯示和聲音效果。 (7)經(jīng)常出現(xiàn)“死機(jī)”現(xiàn)象。 (8)外部設(shè)備工作異常。9.4.2 網(wǎng)絡(luò)病毒分析 1特洛伊木馬病毒(Trojans) 特洛伊木馬(簡稱木馬病毒)，也叫黑客程序或后門病毒。屬于文件型病毒的一種，他們一般由服務(wù)端病毒程序和客戶端控

30、制程序等兩個(gè)部分組成。 木馬病毒工作包括以下六個(gè)環(huán)節(jié)：配置木馬、傳播木馬、運(yùn)行木馬、信息泄露、建立連接、遠(yuǎn)程控制。9.4防計(jì)算機(jī)病毒技術(shù) 2電子郵件病毒 通過電子郵件形式傳播的計(jì)算機(jī)病毒，稱之為“電子郵件病毒”。電子郵件病毒和一般病毒一樣可以感染一般的系統(tǒng)文件和通過一般的途徑傳播，但電子郵件病毒還可感染電子郵件程序的通訊簿，并自動(dòng)向通訊簿中的其他人發(fā)送含病毒的郵件。9.4防計(jì)算機(jī)病毒技術(shù) 3蠕蟲病毒 蠕蟲病毒通過網(wǎng)絡(luò)上的各種手段進(jìn)行傳播，并以受感染的主機(jī)作為基地進(jìn)行自我復(fù)制和擴(kuò)散，消耗主機(jī)資源，最后可導(dǎo)致主機(jī)的癱瘓。 4惡意代碼與流氓軟件(插件) 一類是惡意廣告軟件。 一類是間諜軟件。 另一類

31、就是IE插件的形式強(qiáng)制安裝，9.4防計(jì)算機(jī)病毒技術(shù)9.2.1 計(jì)算機(jī)病毒預(yù)防和清除方法對(duì)付計(jì)算機(jī)病毒首先要預(yù)防，其次就是要有一套功能完善的殺毒軟件。病毒預(yù)防常見預(yù)防方式（P.165）計(jì)算機(jī)病毒檢測與刪除人工消除法專業(yè)技術(shù)人員所為。如對(duì)引導(dǎo)扇區(qū)感染病毒可用正常的引導(dǎo)程序覆蓋它。僅當(dāng)一種病毒剛出現(xiàn)時(shí)，沒有可以殺毒的軟件時(shí)采取的方法軟件自動(dòng)消除法及殺毒軟件。種類繁多9.2.2 常用殺毒軟件瑞星金山諾頓NOD等所有殺毒軟件要及時(shí)升級(jí) 9.4防計(jì)算機(jī)病毒技術(shù)黑客攻擊網(wǎng)絡(luò)系統(tǒng)的方法主要包括以下幾種：基于口令的攻擊、網(wǎng)絡(luò)偷窺報(bào)文劫持攻擊利用受托訪問攻擊IP欺騙攻擊等9.6防黑客攻擊技術(shù)8.6.1黑客攻擊過程

32、 黑客對(duì)網(wǎng)絡(luò)系統(tǒng)的攻擊可分為三個(gè)階段：收集系統(tǒng)信息、探測系統(tǒng)安全弱點(diǎn)、實(shí)施攻擊。 1收集信息 收集信息主要是收集待攻擊目標(biāo)的數(shù)據(jù)庫及駐留在目標(biāo)主機(jī)系統(tǒng)上的相關(guān)資料。 黑客收集信息常用到一些公開協(xié)議和工具軟件。 2探測安全弱點(diǎn) 探測安全弱點(diǎn)就是尋求目標(biāo)系統(tǒng)的安全漏洞，以便于下一步的攻擊。 黑客常使用程序自動(dòng)掃描連接在網(wǎng)絡(luò)上的目標(biāo)主機(jī)。 3實(shí)施攻擊 實(shí)施攻擊的目的是獲取目標(biāo)系統(tǒng)的重要信息，或從暗中控制目標(biāo)系統(tǒng)，或?qū)δ繕?biāo)系統(tǒng)進(jìn)行短暫或長期的騷擾。9.6防黑客攻擊技術(shù)網(wǎng)絡(luò)入侵的對(duì)象 1網(wǎng)絡(luò)資源 網(wǎng)絡(luò)上的系統(tǒng)常常是攻擊的主要目標(biāo)，對(duì)這些資源的攻擊通常分為幾大類： （1）數(shù)據(jù)操縱或訪問。網(wǎng)絡(luò)上的很多系統(tǒng)都

33、存在著共享目錄（由系統(tǒng)或用戶所創(chuàng)建），它們?yōu)楣粽咛峁┝巳肟邳c(diǎn)。（2）賬號(hào)訪問。如果攻擊者能得到網(wǎng)絡(luò)中的一個(gè)有效賬號(hào)，他就極大地增加了獲得特權(quán)訪問并最終攻破整個(gè)網(wǎng)絡(luò)的可能性。（3）權(quán)限提升。權(quán)限提升攻擊是指從非特權(quán)用戶獲得提升了的特權(quán)。（4）信任關(guān)系。信任關(guān)系在一個(gè)網(wǎng)絡(luò)內(nèi)的特定主機(jī)間建立了一種特權(quán)訪問級(jí)別。這種信任通常是基于IP地址或系統(tǒng)名稱，這兩種機(jī)制都容易被攻擊者所利用。2網(wǎng)絡(luò)協(xié)議除了攻擊網(wǎng)絡(luò)資源之外，攻擊者有時(shí)會(huì)攻擊網(wǎng)絡(luò)協(xié)議的完整性。網(wǎng)絡(luò)協(xié)議使網(wǎng)絡(luò)上的資源能相互共享。通過操縱網(wǎng)絡(luò)協(xié)議，一個(gè)攻擊者希望獲得對(duì)網(wǎng)絡(luò)中某些資源的訪問權(quán)。協(xié)議的攻擊歸為兩類：中間攻擊和欺騙攻擊。（1）中間攻擊。中間

34、攻擊是指攻擊者劫持使用某種協(xié)議通信的兩臺(tái)主機(jī)間會(huì)話的一種攻擊。這種攻擊可能完全接管了整個(gè)會(huì)話，或者只是扮演篡改或僅傳遞來自真實(shí)主機(jī)的某些特定數(shù)據(jù)的中繼。（2）欺騙攻擊。很多攻擊依賴于攻擊者偽裝成其他用戶的能力，用其他系統(tǒng)的源IP地址發(fā)送數(shù)據(jù)包被稱作欺騙。 口 令 攻 擊 所謂口令攻擊是指使用某些合法用戶的賬號(hào)和口令登錄到目的主機(jī)，然后再實(shí)施攻擊活動(dòng)。這種方法的前提是必須先得到該主機(jī)上的某個(gè)合法用戶的賬號(hào)，然后再進(jìn)行合法用戶口令的破譯。 破解口令的方法 1強(qiáng)力破解法獲取口令 字典搜索法：計(jì)算機(jī)就會(huì)自動(dòng)地從字典中取一個(gè)詞作為用戶口令進(jìn)行嘗試，逐個(gè)詞循環(huán)進(jìn)行，直至找到正確的口令蠻力窮舉法，即將口令可

35、能的字符數(shù)從小到大，將所有可能的字符進(jìn)行組合，以此為口令進(jìn)行搜索，進(jìn)而得到正確的口令。分布式破解法：可以把任務(wù)分成多塊，由多臺(tái)計(jì)算機(jī)來執(zhí)行。2通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令 以太網(wǎng)是廣播式的，一臺(tái)機(jī)器發(fā)送，其余機(jī)器收聽，并根據(jù)其目的地址來決定是否接收。以太網(wǎng)卡一般工作在只接收本身地址包的模式，然而也可以工作在收聽所有包的模式，因而決定權(quán)是在接收方，這就為竊聽創(chuàng)造了條件。對(duì)于許多傳統(tǒng)網(wǎng)絡(luò)應(yīng)用來說，口令在網(wǎng)絡(luò)上傳播的時(shí)候，完全是以明文發(fā)送的，例如POP3郵局協(xié)議、Telnet遠(yuǎn)程登錄、FTP文件傳輸?shù)?。而一般的瀏覽器向Web發(fā)送消息時(shí)也是明文。3通過木馬攻擊非法得到用戶口令 所謂木馬攻擊，也就是黑客

36、在用戶不知道的情況下，在用戶機(jī)器上安裝特殊程序。這可以通過網(wǎng)絡(luò)電子郵件、免費(fèi)下載程序等方式，讓用戶無意中執(zhí)行木馬程序。一旦駐進(jìn)了木馬程序，用戶的口令就非常危險(xiǎn)了。因?yàn)檫@種程序可以記錄用戶所有的擊鍵信息并自動(dòng)通過網(wǎng)絡(luò)發(fā)送出去，或存在硬盤上某個(gè)地方，留待攻擊者取走。也可以從內(nèi)存或磁盤讀取記錄的口令發(fā)送出去IP 欺 騙 所謂IP欺騙，就是偽造他人的IP地址。IP欺騙在某些以IP地址作身份認(rèn)證的服務(wù)中，偽裝成合法用戶，取得一般用戶甚至超級(jí)用戶的權(quán)限；或在已建立的TCP連接中接管連接以取得相應(yīng)的權(quán)限（又被稱為IP劫持），從而冒充合法用戶給服務(wù)器發(fā)送非法命令，或冒充服務(wù)器給用戶發(fā)回虛假信息，給用戶和服務(wù)器

37、造成巨大危害。 Internet 的網(wǎng)絡(luò)層協(xié)議IP 只是發(fā)送數(shù)據(jù)包，并且保證它的完整性。如果不能收到完整的IP 數(shù)據(jù)包，IP 會(huì)向源地址發(fā)送一個(gè)ICMP 錯(cuò)誤信息，希望重新處理。然而這個(gè)ICMP 包也可能丟失。由于IP 是無連接的，所以不保持任何連接狀態(tài)的信息。每個(gè)IP 數(shù)據(jù)包被發(fā)送出去，不關(guān)心前一個(gè)和后一個(gè)數(shù)據(jù)包的情況。由此看出，可以對(duì)IP 堆棧進(jìn)行修改，在源地址和目的地址中放入任意滿足要求的IP 地址，也就是說，提供虛假的IP 地址。TCP 提供可靠傳輸。通常TCP 連接建立一個(gè)包括3 次握手的序列。客戶選擇和傳輸一個(gè)初始的序列號(hào)（SEQ），并設(shè)置標(biāo)志位SYN=，告訴服務(wù)器它需要建立連接。

38、服務(wù)器確認(rèn)這個(gè)傳輸，并發(fā)送它本身的序列號(hào)，并設(shè)置標(biāo)志位ACK，同時(shí)告知下一個(gè)期待獲得的數(shù)據(jù)序列號(hào)。客戶再確認(rèn)它。經(jīng)過三次確認(rèn)后，雙方開始傳輸數(shù)據(jù)。當(dāng)用戶的主機(jī)A 要與某個(gè)網(wǎng)站服務(wù)器B建立連接時(shí)，A 先發(fā)一個(gè)SYN 包告訴對(duì)方主機(jī)B，說“我要和你通信了”，當(dāng)B 收到時(shí)，就回復(fù)一個(gè)ACK/SYN 確認(rèn)請(qǐng)求包給A 主機(jī)。如果A 是合法地址，就會(huì)再回復(fù)一個(gè)ACK 包給B 主機(jī)，然后兩臺(tái)主機(jī)就可以建立一個(gè)通信渠道了?？墒枪粽邫C(jī)器A 發(fā)出包的源地址是一個(gè)虛假的IP 地址，或者實(shí)際上不存在的一個(gè)地址，則B 發(fā)出的那個(gè)ACK/SYN 包當(dāng)然無法找到目標(biāo)地址。如果這個(gè)ACK/SYN 包一直沒有找到目標(biāo)地址，那

39、么也就無法獲得對(duì)方回復(fù)的ACK 包。而在缺省超時(shí)的時(shí)間范圍以內(nèi)，主機(jī)B 的一部分資源要花在等待這個(gè)ACK 包的響應(yīng)上，假如短時(shí)間內(nèi)主機(jī)B 接到大量來自虛假IP 地址的SYN 包，它就要占用大量的資源來處理這些錯(cuò)誤的等待。大量發(fā)送這類欺騙型的請(qǐng)求，最后的結(jié)果就是主機(jī)B 上的系統(tǒng)資源耗盡以至癱瘓。IP 欺騙由若干步驟組成首先假定：（1）目標(biāo)主機(jī)已經(jīng)選定；（2）信任模式已被發(fā)現(xiàn)，并找到了一個(gè)被目標(biāo)主機(jī)信任的主機(jī)。攻擊者為了進(jìn)行IP 欺騙，采取如下步驟：（1）使得被信任的主機(jī)喪失工作能力，同時(shí)采樣目標(biāo)主機(jī)發(fā)出的TCP 序列號(hào)，猜測出它的數(shù)據(jù)序列號(hào)；（2）偽裝成被信任的主機(jī)，同時(shí)建立起與目標(biāo)主機(jī)基于地址

40、驗(yàn)證的應(yīng)用連接。如果連接成功，攻擊者可以使用一種簡單的命令放置一個(gè)系統(tǒng)后門，以進(jìn)行非授權(quán)操作。IP 欺騙的防范（1）改變間隔。 IP 欺騙的關(guān)鍵在于現(xiàn)有系統(tǒng)中初始序列號(hào)變量的產(chǎn)生方法相對(duì)粗糙，不能借助一次合法連接推算出當(dāng)前的序號(hào)，也就不能順利實(shí)施攻擊。（2）禁止基于IP 地址的驗(yàn)證 IP 欺騙的原理是冒充被信任的主機(jī)，而這種信任是建立在基于IP 地址的驗(yàn)證上。（3）使用包過濾（4）使用加密方法（5）使用隨機(jī)化的初始序列號(hào)端 口 掃 描 所謂端口掃描，就是利用Socket編程與目標(biāo)主機(jī)的某些端口建立TCP連接、進(jìn)行傳輸協(xié)議的驗(yàn)證等，從而偵知目標(biāo)主機(jī)的掃描端口是否處于激活狀態(tài)、主機(jī)提供了哪些服務(wù)、

41、提供的服務(wù)中是否含有某些缺陷等等。 端口就是一個(gè)潛在的通信通道，也可能成為一個(gè)入侵通道。對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描，能得到許多有用的信息（如該服務(wù)是否已經(jīng)啟動(dòng)？），從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。進(jìn)行掃描的方法很多，可以是手工進(jìn)行掃描，也可以用端口掃描軟件進(jìn)行。在掃描目標(biāo)主機(jī)的服務(wù)端口之前，首先得搞清楚該主機(jī)是否已經(jīng)在運(yùn)行。如果發(fā)現(xiàn)該主機(jī)是活的（alive），那么，下面可以對(duì)該主機(jī)提供的各種服務(wù)端口進(jìn)行掃描，從而找出活著的服務(wù)。掃描手段PingTracert掃描器通過選用遠(yuǎn)程TCP/IP 不同的端口的服務(wù)，并記錄目標(biāo)給予的回答來實(shí)現(xiàn)，采用這種方法，可以搜集到很多關(guān)于目標(biāo)主機(jī)的各種有用的信息，如：（1）是

42、否能用匿名（anonymous）登錄？（2）是否有可寫的FTP 目錄？（3）是否能用Telnet？（4）HTTPD 是用ROOT 還是nobody 在運(yùn)行？掃描器一般具有三項(xiàng)功能：（1）發(fā)現(xiàn)一個(gè)主機(jī)或網(wǎng)絡(luò)；（2）一旦發(fā)現(xiàn)一臺(tái)主機(jī)，能夠發(fā)現(xiàn)該主機(jī)正在運(yùn)行何種服務(wù)；（3）通過測試這些服務(wù)，發(fā)現(xiàn)內(nèi)在的漏洞1）TCP connect()掃描 這是最基本的TCP 掃描。connect()用來與每一個(gè)感興趣的目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于偵聽狀態(tài)，那么connect()就能成功，否則，這個(gè)端口不能使用，即沒有提供服務(wù)。（2）TCP SYN 掃描 TCP connect()掃描需要建立一個(gè)完整的TC

43、P 連接，很容易被目的方發(fā)現(xiàn)。而TCP SYN 技術(shù)通常認(rèn)為是“半開放”掃描，這是因?yàn)閽呙璩绦虿槐卮蜷_一個(gè)完全的TCP 連接。（3）TCP FIN 掃描 通常情況下，一些防火墻和包過濾器會(huì)對(duì)一些指定的端口進(jìn)行監(jiān)視，并能檢測和過濾掉TCP SYN 掃描。（4）IP 段掃描 它并不直接發(fā)送TCP 探測數(shù)據(jù)包，而是將數(shù)據(jù)包分成兩個(gè)較小的IP 段。網(wǎng) 絡(luò) 監(jiān) 聽 當(dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)監(jiān)聽的方式進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式便可以源源不斷地截獲網(wǎng)上信息。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個(gè)位置實(shí)施。網(wǎng)絡(luò)監(jiān)聽主要用于局域網(wǎng)絡(luò)，在廣域網(wǎng)里也可以監(jiān)聽和截獲到一些用戶信息，但更多信息的截

44、獲要依賴于配備專用接口的專用工具。 一個(gè)比較好的檢測工具是Antisniff，它運(yùn)行在本地以太網(wǎng)的一個(gè)網(wǎng)段上，用以檢測本地以太網(wǎng)是否有機(jī)器處于混雜模式。Sniffer 通常運(yùn)行在路由器，或有路由器功能的主機(jī)上。這樣就能對(duì)大量的數(shù)據(jù)進(jìn)行監(jiān)控。Sniffer 屬第二層次（數(shù)據(jù)鏈路層）的攻擊。通常是攻擊者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng)，留下了后門，安裝Sniffer 工具，然后運(yùn)行Sniffer，以便得到更多的信息。Sniffer 除了能得到口令或用戶名外，還能得到更多的其他信息，比如登錄用戶的銀行卡號(hào)、公司賬號(hào)、網(wǎng)上傳送的金融信息等等。Sniffer 幾乎能得到以太網(wǎng)上傳送的任何數(shù)據(jù)包。加密是對(duì)付Sniffe

45、r 比較安全的方法，要求在傳送前加密數(shù)據(jù)，對(duì)方收到后解密。使用安全拓?fù)浣Y(jié)構(gòu)。使用安全拓?fù)浣Y(jié)構(gòu)一般需要遵循下列規(guī)則：一個(gè)網(wǎng)絡(luò)段必須有足夠的理由才能相信另一網(wǎng)絡(luò)段。網(wǎng)絡(luò)段應(yīng)該在考慮數(shù)據(jù)之間的信任關(guān)系上來設(shè)計(jì)，而不是硬件需要。拒絕服務(wù)式攻擊拒絕服務(wù)方式攻擊的英文意思是Denial of Service，簡稱DoS。這種攻擊行動(dòng)使網(wǎng)站服務(wù)器充斥大量要求回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。拒絕服務(wù)攻擊也是電子政務(wù)系統(tǒng)中非常常見的一種攻擊手段。拒絕服務(wù)式攻擊的防范措施從目前來看，沒有絕對(duì)有效的方法來對(duì)付拒絕服務(wù)攻擊。因此，在系統(tǒng)中也只能有采取一些防

46、范措施，主要是避免成為被利用的工具或者成為被攻擊的對(duì)象。無線網(wǎng)絡(luò)安全對(duì)于一般的以無線AP或無線路由器為中心的無線網(wǎng)絡(luò)來說，其一般以一臺(tái)符合IEEE802.11b/g模式的AP或無線帶路由器做為控制中心，所有通信都是通過AP或無線寬帶路由器作連接，AP或無線路由器相當(dāng)于有線網(wǎng)絡(luò)中的集線器，可連接1-254臺(tái)計(jì)算機(jī)。并且多數(shù)AP或無線路由器在一般情況下，其內(nèi)置的DHCP服務(wù)器都采用了動(dòng)態(tài)分配方式，可為網(wǎng)絡(luò)客戶機(jī)分配動(dòng)態(tài)的IP地址。這樣就不需要對(duì)接入電腦設(shè)置固定的IP地址，家庭用戶使用起來輕松方便，但也讓非法電腦加入該無線網(wǎng)絡(luò)提供了便利。而Windows XP中所包含的無線零配置（WZC）服務(wù)也是同

47、樣的功能，其能夠讓配備無線網(wǎng)卡的電腦根據(jù)您的個(gè)人喜好或某種缺省設(shè)置動(dòng)態(tài)選擇嘗試進(jìn)行連接的無線網(wǎng)絡(luò)。這項(xiàng)服務(wù)也能夠自動(dòng)選擇并連接最佳可用無線網(wǎng)絡(luò)。無線零配置界面其深層因素都是因?yàn)闊o線網(wǎng)卡及其網(wǎng)絡(luò)驅(qū)動(dòng)程序接口規(guī)范（NDIS），支持用以查詢并設(shè)置設(shè)備與驅(qū)動(dòng)程序運(yùn)行方式的NDIS對(duì)象標(biāo)識(shí)符（OID）。在無線信號(hào)覆蓋范圍內(nèi)，無線網(wǎng)卡將掃描可用無線網(wǎng)絡(luò)，并將其網(wǎng)絡(luò)名稱（也稱作服務(wù)設(shè)置標(biāo)識(shí)符或SSID）傳遞至WZC服務(wù)。 接入有一定限制的無線網(wǎng)絡(luò)具備無線網(wǎng)卡的筆記本電腦或PDA、智能手機(jī)接入無任何限制的無線網(wǎng)絡(luò)輕而易舉，所以無線用戶發(fā)現(xiàn)有人非請(qǐng)自入他們的網(wǎng)絡(luò)之后，其便會(huì)通過以些安全設(shè)置來阻止你的接入。安全策

48、略1、不廣播SSID，雖然對(duì)于多用戶無線系統(tǒng)，非凡是公用無線系統(tǒng)而言，不廣播SSID其安全性同樣難以完全保證，但其仍是簡單易行的一種方法。對(duì)于沒有廣播SSID的無線網(wǎng)絡(luò)，可用Kismet或Ethereal等工具軟件試試（需先安裝任一種Linux操作系統(tǒng)）。Kismet是一個(gè)非常不錯(cuò)無線網(wǎng)絡(luò)探測器，它依靠無線網(wǎng)卡來報(bào)告數(shù)據(jù)包，而大多數(shù)主流網(wǎng)卡都支持。WEP2、對(duì)無線系統(tǒng)進(jìn)行常見的WEP加密，WEP（Wired Equivalent Privacy）加密技術(shù)源自于名為RC4的RSA數(shù)據(jù)加密技術(shù)，可滿足用戶較高層次的網(wǎng)絡(luò)安全需求。WEP使用了共享秘鑰RC4加密算法，密鑰長度最初為64位（5個(gè)字符），

49、后來增加到128位（13個(gè)字符）。使用靜態(tài)WEP加密可以設(shè)置4個(gè)WEP Key，使用動(dòng)態(tài)（Dynamic）WEP加密時(shí)，WEP Key會(huì)隨時(shí)間變化而變化。當(dāng)加密機(jī)制功能啟用，客戶端要嘗試連接上AP或無線路由器時(shí)，AP或無線路由器會(huì)發(fā)出一個(gè)Challenge Packet給客戶端，客戶端再利用共享密鑰將此值加密后送回AP或無線路由器以進(jìn)行認(rèn)證比對(duì)，只有正確無誤，才能接入網(wǎng)絡(luò)。但RC4算法和共享密鑰認(rèn)證也存在弱點(diǎn)，假如攻擊者監(jiān)聽到認(rèn)證應(yīng)答，則可以破解WEP。破解WEP而假如想要破解WEP加密，可用Airsnort這款工具軟件。這個(gè)工具非常好用，可以用來嗅探并破解WEP密鑰。它可捕捉大量抓來的數(shù)據(jù)包

50、，來破解WEP密鑰。 AirSnort圖形化的操作界面讓這個(gè)工具變得相當(dāng)輕易使用。使用AirSnort并不會(huì)對(duì)目前的無線網(wǎng)絡(luò)產(chǎn)生任何影響，因?yàn)锳irSnort只是單純的將無線網(wǎng)卡轉(zhuǎn)成Monitor模式，被動(dòng)的監(jiān)聽收集封包，當(dāng)收集到足夠的封包時(shí)，就可以計(jì)算出WEP密鑰。更先進(jìn)的WPA-PSK加密，則可試試CowPatty這款工具軟件。該工具主要用于破解WPA-PSK，它通過簡單地嘗試一個(gè)文章中各種不同的選項(xiàng)，來看是否某一個(gè)剛好和預(yù)共享的密鑰相符。無線安全方法盡量使用最新的WPA2加密，可進(jìn)行MAC地址過濾，只允許合法的MAC地址接入網(wǎng)絡(luò)，或訪問internet使用IP地址綁定通過設(shè)置復(fù)雜的密碼來

51、避免入侵，因?yàn)槠平庵饕€是字典窮舉法。還要經(jīng)常更換密碼。這些方案的聯(lián)合應(yīng)用對(duì)普通黑客來說其還是難于被破解的。9.6.2 防黑客入侵 1發(fā)現(xiàn)黑客的蛛絲馬跡 首先定時(shí)檢查操作系統(tǒng)的系統(tǒng)文件和配置文件是否被修改，一旦發(fā)現(xiàn)有被修改的痕跡，應(yīng)懷疑黑客入侵。 其次對(duì)可疑行為進(jìn)行快速檢查，檢查訪問及錯(cuò)誤登錄文件，系統(tǒng)命令的使用情況。 最后，密切注視那些屢次失敗的訪問口令或企圖訪問受口令保護(hù)的資源行為。 2應(yīng)急措施 當(dāng)發(fā)現(xiàn)黑客入侵時(shí)，應(yīng)首先考慮這將對(duì)系統(tǒng)和用戶產(chǎn)生什么影響，然后考慮如何阻止黑客的進(jìn)一步入侵。 (1)估計(jì)入侵造成的破壞程度，迅速采取行動(dòng)，保護(hù)系統(tǒng)的用戶、文件和資源免遭嚴(yán)重破壞。 (2)切斷連接，

52、如停止有影響的服務(wù)(FTP，TELNET，3W等)，根據(jù)入侵的程度確定是否需要關(guān)閉服務(wù)器。 3阻止入侵者 采取一些必要措施阻止黑客的入侵。9.6防黑客攻擊技術(shù)9.7.1配置服務(wù)器 1定制Windows Server 2003 定制Windows Server 2003主要完成兩項(xiàng)工作，一是選擇合適的Windows Server 2003版本，二是安裝組件的確定，系統(tǒng)安全的原則是：最少的服務(wù)最小的權(quán)限最大的安全。 2. 創(chuàng)建活動(dòng)目錄 活動(dòng)目錄(Active Directory)以目錄的形式唯一標(biāo)識(shí)域管理相關(guān)的對(duì)象，包括網(wǎng)絡(luò)中的所有實(shí)體，如計(jì)算機(jī)、用戶、打印機(jī)、文件等等。用戶登錄到相應(yīng)的域，則擁有

53、該域管理所設(shè)定的相應(yīng)權(quán)限。9.7網(wǎng)絡(luò)服務(wù)器安全技術(shù) 3配置Windows Server 2003賬戶 (1) 更改系統(tǒng)管理員賬戶 服務(wù)器默認(rèn)管理員賬戶名為Administrator，該賬戶具有最高操作權(quán)限，它不能刪除，只能改名。 (2) 設(shè)置陷阱帳號(hào) 新建一個(gè)名為Administrator的陷阱帳號(hào)，為其設(shè)置最小的權(quán)限，隨意輸入不少于20位的密碼。 (3) 設(shè)置Guest賬戶 將Guest賬戶禁用并更改名稱和描述。 (4) 設(shè)定用戶登錄次數(shù)鎖定8.7網(wǎng)絡(luò)服務(wù)器安全技術(shù) 4禁止C$、D$、ADMIN$一類的缺省共享 打開“注冊(cè)表編輯器”,找到鍵值HKEY_LOCAL_MACHINE/ SYSTE

54、M/CurrentControlSet/Services/lanmanserver/parameters，在對(duì)應(yīng)的右邊窗口中右擊鼠標(biāo)，新建DWORD值，名稱設(shè)為AutoShareServer，雙擊該名稱，將“數(shù)值數(shù)據(jù)”設(shè)為0，則可禁止C$、D$共享；新建DWORD值A(chǔ)utoShareWks，取值為0，可禁止 ADMIN$共享。 禁止這些共享后，外部非法用戶直接對(duì)服務(wù)器進(jìn)行操作的可能性就降低了很多。9.7網(wǎng)絡(luò)服務(wù)器安全技術(shù)9.7.2 使用安全配置向?qū)О踩渲孟驅(qū)?(Security Configuration Wizard，簡稱 SCW) 是Windows 2003的一個(gè)組件，利用它能確定服務(wù)器

55、的一個(gè)或多個(gè)角色所需的最少功能，并禁用不必要的功能，從而縮小服務(wù)器的受攻擊面，提高服務(wù)器的安全性。SCW可以完成下列操作：禁用不需要的服務(wù)。 阻止未使用的端口。 允許對(duì)打開的端口進(jìn)一步實(shí)施地址或安全限制。 禁止不需要的 IIS web 擴(kuò)展。 減少對(duì)服務(wù)器消息塊 (SMB)、LanMan 和輕型目錄訪問協(xié)議 (LDAP) 的協(xié)議公開。 定義強(qiáng)的信號(hào)到噪音審核策略。9.7網(wǎng)絡(luò)服務(wù)器安全技術(shù)Ipc 攻擊1. C:net use IPC$ /user:admintitrators 這是用流光掃到的用戶名是administrators，密碼為空的IP地址(空口令?哇,運(yùn)氣好到家了)，如果是打算攻擊的話

56、，就可以用這樣的命令來與建立一個(gè)連接，因?yàn)槊艽a為空，所以第一個(gè)引號(hào)處就不用輸入，后面一個(gè)雙引號(hào)里的是用戶名，輸入administrators，命令即可成功完成。 2. C:copy srv.exe admin$ 先復(fù)制srv.exe（這個(gè)是反響連接的木馬）上去，這里的$是指admin用戶的c:winntsystem32，大家還可以使用c$、d$，意思是C盤與D盤，這看你要復(fù)制到什么地方去了。 3. C:net time 查查時(shí)間，發(fā)現(xiàn) 的當(dāng)前時(shí)間是 2002/3/19 上午 11:00，命令成功完成。 4. C:at 11:05 srv.exe 用at命令啟動(dòng)srv.exe吧 實(shí) 驗(yàn)最少的服務(wù)

57、最少的端口開放最安全的系統(tǒng)1、必須安裝防火墻和殺毒軟件雖然在面對(duì)新病毒時(shí)，殺毒軟件會(huì)變得手足無措，倒不如自己上網(wǎng)找殺毒辦法。但有一個(gè)殺毒軟件就是多了一道屏障，不管這道屏障有多高或多矮，始終是利大于弊的。防火墻也是必須要安裝的，同時(shí)最好還安裝一些監(jiān)測網(wǎng)絡(luò)進(jìn)程的程序，時(shí)刻監(jiān)視有無惡意程序在進(jìn)行非法操作。2、為Administrator用戶降權(quán)在Windows操作系統(tǒng)里，Administrator是最高級(jí)的用戶，在正常的登陸模式是無法看到的，因此很容易忽略由Administrator用戶帶來的安全問題。Administrator用戶的初始密碼是空的，如果沒用安裝防火墻，黑客很容易通過Administ

58、rator帳戶進(jìn)入你的電腦。這時(shí)做什么都已經(jīng)為時(shí)已晚了。事實(shí)上，這并不是降權(quán)，是創(chuàng)建一個(gè)偽造的，無實(shí)際權(quán)利的Administrator用戶。具體操作如下，先以一個(gè)非Administrator的管理員帳戶登陸windows，然后打開：控制面板-管理工具-計(jì)算機(jī)管理-本地用戶和組-用戶，刪除Administrator用戶，再創(chuàng)建一個(gè)新的Administrator用戶，右擊設(shè)置密碼，密碼有多復(fù)雜就多復(fù)雜，讓其隸屬于最低級(jí)別的用戶組，并在屬性里勾選帳戶已停用。這樣，即使別人破解了你的Administrator帳戶，進(jìn)入后也發(fā)現(xiàn)只是一個(gè)沒用實(shí)權(quán)的帳戶。其實(shí)直接刪除掉這個(gè)用戶就行了。網(wǎng)上都出這種方法，浪費(fèi)

59、感情和時(shí)間。3、禁止所有磁盤自動(dòng)運(yùn)行如今U盤病毒盛行，稍不小心就會(huì)導(dǎo)致“格盤”。U盤病毒一般的運(yùn)行機(jī)制是通過雙擊盤符自動(dòng)運(yùn)行，因此，禁用所有磁盤的自動(dòng)運(yùn)行是一種相當(dāng)有效的預(yù)防手段。具體的操作過程是：運(yùn)行輸入gpedIT.msc-用戶配置-管理模板-系統(tǒng)，雙擊右側(cè)列表里的【關(guān)閉自動(dòng)播放】，選擇“所有驅(qū)動(dòng)器”，然后選擇“已啟動(dòng)”。確定退出。關(guān)掉自動(dòng)播放所用到的一個(gè)服務(wù)運(yùn)行-services.msc-Shell Hardware Detection服務(wù)-啟動(dòng)類型-禁用4、不雙擊U盤如果你沒用禁止所有磁盤自動(dòng)運(yùn)行，又或者你在別人的計(jì)算機(jī)上使用U盤，最好不要雙擊U盤。這很容易觸發(fā)U盤病毒，最好的方法是先用殺毒軟件掃描。U盤里的病毒一般清除方法是，通過資源管理器進(jìn)