第15章計算機網(wǎng)絡(luò)安全15.1概述15.2網(wǎng)絡(luò)黑客攻擊15.3網(wǎng)絡(luò)安全解決方案習題

3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述15.1.1計算機網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科。網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全，是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。如何更有效地保護重要的信息數(shù)據(jù)、提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計算機網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個重要問題。15.1.2網(wǎng)絡(luò)安全的內(nèi)容計算機網(wǎng)絡(luò)的安全性問題實際上包括兩方面的內(nèi)容：一是網(wǎng)絡(luò)的系統(tǒng)安全，二是網(wǎng)絡(luò)的信息安全。1．可靠性:可靠性是網(wǎng)絡(luò)系統(tǒng)安全最基本的要求，可靠性主要是指網(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運行的性能。2．可用性:可用性是指網(wǎng)絡(luò)信息可被授權(quán)用戶訪問的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時，能夠保證授權(quán)用戶使用。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述3．保密性:保密性是指網(wǎng)絡(luò)信息不被泄露的特性。保密性是在可靠性和可用性的基礎(chǔ)上保證網(wǎng)絡(luò)信息安全的非常重要的手段。4．完整性:完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性，即網(wǎng)絡(luò)信息在存儲和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保持信息的原樣。5．不可抵賴性:不可抵賴性也稱做不可否認性，主要用于網(wǎng)絡(luò)信息的交換過程，保證信息交換的參與者都不可能否認或抵賴曾進行的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程。概括起來講，網(wǎng)絡(luò)信息安全就是通過計算機技術(shù)、通信技術(shù)、密碼技術(shù)和安全技術(shù)保護在公用網(wǎng)絡(luò)中存儲、交換和傳輸信息的可靠性、可用性、保密性、完整性和不可抵賴性的技術(shù)。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述1．網(wǎng)絡(luò)實體安全:如機房的物理條件、物理環(huán)境及設(shè)施的安全標準，計算機硬件、附屬設(shè)備及網(wǎng)絡(luò)傳輸線路的的安裝及配置等。2．軟件安全:如保護網(wǎng)絡(luò)系統(tǒng)不被非法侵入，系統(tǒng)軟件與應(yīng)用軟件不被非法復(fù)制、篡改，不受病毒的侵害等。3．網(wǎng)絡(luò)數(shù)據(jù)安全:如保護網(wǎng)絡(luò)信息的數(shù)據(jù)不被非法存取，保護其完整一致等。4．網(wǎng)絡(luò)安全管理:如運行時突發(fā)事件的安全處理等，包括采取計算機安全技術(shù)，建立安全管理制度，開展安全審計，進行風險分析等內(nèi)容。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述15.1.3計算機網(wǎng)絡(luò)面臨的威脅計算機網(wǎng)絡(luò)上的通信面臨的威脅主要包括：①截獲，攻擊者從網(wǎng)絡(luò)上竊聽信息；②中斷，攻擊者有意中斷網(wǎng)絡(luò)上的通信；③篡改，攻擊者有意更改網(wǎng)絡(luò)上的信息；④偽造，攻擊者使假的信息在網(wǎng)絡(luò)上傳輸。上述的4種威脅可以分為兩類：即被動攻擊和主動攻擊。其中截獲信息被稱為被動攻擊，攻擊者只是被動地觀察和分析信息，而不干擾信息流，一般用于對網(wǎng)絡(luò)上傳輸?shù)男畔?nèi)容進行了解。中斷、篡改和偽造信息被稱為主動攻擊，主動攻擊對信息進行各種處理，如有選擇地更改、刪除或偽造等。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述15.1.4網(wǎng)絡(luò)不安全的原因網(wǎng)絡(luò)不安全的原因是多方面的，主要包括：①來自外部的不安全因素，即網(wǎng)絡(luò)上存在的攻擊。②來自網(wǎng)絡(luò)系統(tǒng)本身的，如網(wǎng)絡(luò)中存在著硬件、軟件、通信、操作系統(tǒng)或其他方面的缺陷與漏洞，給網(wǎng)絡(luò)攻擊者以可乘之機。③網(wǎng)絡(luò)應(yīng)用安全管理方面的原因，網(wǎng)絡(luò)管理者缺乏網(wǎng)絡(luò)安全的警惕性，忽視網(wǎng)絡(luò)安全，或?qū)W(wǎng)絡(luò)安全技術(shù)缺乏了解，沒有制定切實可行的網(wǎng)絡(luò)安全策略和措施。④網(wǎng)絡(luò)安全協(xié)議的原因。在互聯(lián)網(wǎng)上使用的協(xié)議是TCP/IP，其IPv4版在設(shè)計之初沒有考慮網(wǎng)絡(luò)安全問題，從協(xié)議的根本上缺乏安全的機制，這是互聯(lián)網(wǎng)存在安全威脅的主要原因。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述15.1.5網(wǎng)絡(luò)安全措施計算機網(wǎng)絡(luò)安全是一個涉及面非常廣的問題。在技術(shù)方面包括計算機技術(shù)、通信技術(shù)和安全技術(shù)，在安全基礎(chǔ)理論方面包括數(shù)學(xué)、密碼學(xué)等多個學(xué)科。除了技術(shù)和應(yīng)用層次之外，還包括管理和法律等方面。解決網(wǎng)絡(luò)安全問題必須進行全面的考慮，包括：采取安全的技術(shù)、加強安全檢測與評估、構(gòu)筑安全體系結(jié)構(gòu)、加強安全管理、制定網(wǎng)絡(luò)安全方面的法律和法規(guī)等。①在安全監(jiān)測和評估方面，包括網(wǎng)絡(luò)、保密性以及操作系統(tǒng)的檢測與評估。網(wǎng)絡(luò)操作系統(tǒng)的檢測與評估又是首要的，國際上目前主要參照美國計算機中心于1983年（后來多次修訂）發(fā)表的可信任計算機標準評價準則（簡稱TCSEC），把計算機操作系統(tǒng)分為4個等級（A、B、C、D）和8個級別，D級最低，A級最高。一般的操作系統(tǒng)的安全都處于D與A級之間，例如著名的UNIX操作系統(tǒng)屬于C1級。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述②在安全體系結(jié)構(gòu)方面目前主要參照ISO于1989年制定的OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)，包括安全服務(wù)和安全機制，主要解決網(wǎng)絡(luò)信息系統(tǒng)中的安全與保密問題。OSI安全服務(wù)主要包括對等實體鑒別服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)源鑒別服務(wù)和禁止否認服務(wù)等。OSI加密機制主要包括加密機制、數(shù)字簽名機制、訪問控制機制、數(shù)據(jù)完整性機制、交換鑒別機制、業(yè)務(wù)流量填充機制、路由控制機制和公證機制等。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述15.1.6網(wǎng)絡(luò)安全策略一般來說，安全策略包括兩個部分：一個總體的策略和具體的規(guī)則?？傮w的策略用于闡明公司安全政策的總體思想，而具體的規(guī)則用于說明什么活動是被允許的，什么活動是被禁止的。1．網(wǎng)絡(luò)安全策略的等級網(wǎng)絡(luò)安全策略可分為以下4個等級：①不把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連，因此一切都被禁止。②除那些被明確允許之外，一切都被禁止。③除那些被明確禁止之外，一切都被允許。④一切都被允許，當然也包括那些本來被禁止的。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述可以根據(jù)實際情況，在這4個等級之間找出符合自己的安全策略。當系統(tǒng)自身的情況發(fā)生變化時，必須注意及時修改相應(yīng)的安全策略。2．網(wǎng)絡(luò)安全策略的內(nèi)容一個好的網(wǎng)絡(luò)安全性策略應(yīng)包括如下內(nèi)容：（1）網(wǎng)絡(luò)用戶的安全責任（2）系統(tǒng)管理員的安全責任（3）正確利用網(wǎng)絡(luò)資源（4）檢測到網(wǎng)絡(luò)安全問題時的對策3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述3．網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全管理主要是配合行政手段，從技術(shù)上實現(xiàn)安全管理，從范疇上講，涉及4個方面：物理安全策略、訪問控制策略、信息加密策略、網(wǎng)絡(luò)安全管理策略。（1）物理安全策略物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。抑制和防止電磁泄漏是物理安全策略的一個主要問題。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述（2）訪問控制策略訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略。它的首要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常規(guī)訪問。訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。①入網(wǎng)訪問控制：入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準許用戶入網(wǎng)的時間和準許他們在哪臺工作站入網(wǎng)。用戶入網(wǎng)訪問控制可分為3個步驟：用戶名的識別與驗證、用戶口令的識別和驗證、用戶賬戶的默認限制檢查。三道關(guān)卡中只要任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡(luò)。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述②網(wǎng)絡(luò)的權(quán)限控制：網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限；網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源；可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。③目錄級安全限制：用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有8種：系統(tǒng)管理權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、存取控制權(quán)限。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述④屬性級安全控制：當用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。⑤網(wǎng)絡(luò)服務(wù)器安全控制：網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。⑥網(wǎng)絡(luò)監(jiān)測和鎖定控制：網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形、文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。⑦網(wǎng)絡(luò)端口和結(jié)點的安全控制：網(wǎng)絡(luò)中服務(wù)器的端口以加密的形式來識別結(jié)點的身份。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述⑧防火墻控制：防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個用于阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，在網(wǎng)絡(luò)邊界上通過建立起來的相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋外部網(wǎng)絡(luò)的侵入。（3）信息加密策略信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和結(jié)點加密3種。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.1概述（4）網(wǎng)絡(luò)安全管理策略在網(wǎng)絡(luò)安全中，加強網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠地運行，將起到十分有效的作用。網(wǎng)絡(luò)安全管理策略包括：確定安全管理等級和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度，制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。隨著計算機技術(shù)和通信技術(shù)的發(fā)展，計算機網(wǎng)絡(luò)將日益成為工業(yè)、農(nóng)業(yè)和國防等方面的重要信息交換手段，滲透到社會生活的各個領(lǐng)域。因此，認清網(wǎng)絡(luò)的脆弱性和潛在威脅，采取強有力的安全措施，對于保障網(wǎng)絡(luò)的安全性將變得十分重要。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.2網(wǎng)絡(luò)黑客攻擊15.2.1黑客攻擊者黑客是英文hacker的譯音，原意為熱衷于電腦程序的設(shè)計者，指對于任何計算機操作系統(tǒng)的奧秘都有強烈興趣的人。入侵者（攻擊者）指懷著不良的企圖，闖入遠程計算機系統(tǒng)甚至破壞遠程計算機系統(tǒng)完整性的人。入侵者利用獲得的非法訪問權(quán)，破壞重要數(shù)據(jù)，拒絕合法用戶的服務(wù)請求，或為了自己的目的故意制造麻煩。黑客攻擊的步驟如下。1．收集目標計算機的信息:信息收集的目的是為了進入所要攻擊的目標網(wǎng)絡(luò)的數(shù)據(jù)庫。黑客會利用下列的公開協(xié)議或工具，收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個主機系統(tǒng)的相關(guān)信息。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.2網(wǎng)絡(luò)黑客攻擊用到的工具是端口掃描器和一些常用的網(wǎng)絡(luò)命令。端口掃描在下一小節(jié)有詳細介紹。常用的網(wǎng)絡(luò)命令有：SNMP協(xié)議、TraceRoute程序、Whois協(xié)議、DNS服務(wù)器、Finger協(xié)議、Ping程序、自動Wardialing軟件等。2．尋求目標計算機的漏洞和選擇合適的入侵方法①通過發(fā)現(xiàn)目標計算機的漏洞進入系統(tǒng)或者利用口令猜測進入系統(tǒng)。②利用和發(fā)現(xiàn)目標計算機的漏洞，直接順利進入。發(fā)現(xiàn)計算機漏洞的方法用得最多的就是緩沖區(qū)溢出法。發(fā)現(xiàn)系統(tǒng)漏洞的第二個方法是平時參加一些網(wǎng)絡(luò)安全列表。還有一些入侵的方法是采用IP地址欺騙等手段。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.2網(wǎng)絡(luò)黑客攻擊3．留下“后門”后門一般是一個特洛伊木馬程序，它在系統(tǒng)運行的同時運行，而且能在系統(tǒng)以后的重新啟動時自動運行這個程序。4．清除入侵記錄清除入侵記錄是把入侵系統(tǒng)時的各種登錄信息都刪除，以防被目標系統(tǒng)的管理員發(fā)現(xiàn)。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.2網(wǎng)絡(luò)黑客攻擊15.2.2掃描掃描是網(wǎng)絡(luò)攻擊的第一步，通過掃描可以直接截獲數(shù)據(jù)報進行信息分析、密碼分析或流量分析等。通過掃描查找漏洞如開放端口、注冊用戶及口令、系統(tǒng)漏洞等。掃描有手工掃描和利用端口掃描軟件。手工掃描是利用各種命令，如Ping、Tracert、Host等；使用端口掃描軟件是利用掃描器進行掃描。掃描器是自動檢測遠程或本地主機安全性弱點的程序。通過使用掃描器可以不留痕跡地發(fā)現(xiàn)遠程服務(wù)器的各種TCP端口的分配、提供的服務(wù)和軟件版本，這就能間接或直觀地了解到遠程主機所存在的安全問題。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.2網(wǎng)絡(luò)黑客攻擊15.2.3SnifferSniffer，中文可以翻譯為嗅探器，是一種威脅性極大的被動攻擊工具。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ．斝畔⒁悦魑牡男问皆诰W(wǎng)絡(luò)上傳輸時，便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。黑客們常常用它來截獲用戶的口令，據(jù)說某個骨干網(wǎng)絡(luò)的路由器曾經(jīng)被黑客攻擊，并嗅探到大量的用戶口令。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.2網(wǎng)絡(luò)黑客攻擊Sniffor程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡（NIC，一般為以太網(wǎng)卡）置為混雜（promiscuous）模式狀態(tài)的工具，一旦網(wǎng)卡設(shè)置為這種模式，它就能接收傳輸在網(wǎng)絡(luò)上的每一個信息包。普通的情況下，網(wǎng)卡只接收和自己的地址有關(guān)的信息包，即傳輸?shù)奖镜刂鳈C的信息包。要使Sniffer能接收并處理這種方式的信息，系統(tǒng)需要支持BPF，Linux下需要支持SOCKET一PACKET。但一般情況下，網(wǎng)絡(luò)硬件和TCP／IP協(xié)議棧不支持接收或者發(fā)送與本地計算機無關(guān)的數(shù)據(jù)報，所以，為了繞過標準的TCP／IP協(xié)議棧，網(wǎng)卡就必須設(shè)置為我們剛開始講的混雜模式。一般情況下，要激活這種方式，內(nèi)核必須支持這種偽設(shè)備Bpfilter，而且需要root權(quán)限來運行這種程序，所以Sniffer需要root身份安裝，如果只是以本地用戶的身份進入了系統(tǒng)，那么不可能嗅探到root的密碼，因為不能運行Sniffer。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.2網(wǎng)絡(luò)黑客攻擊15.2.4特洛伊木馬“特洛伊木馬”（trojanhorse）簡稱“木馬”，是一種計算機程序，它駐留在目標計算機里。在目標計算機系統(tǒng)啟動的時候，自然啟動，然后在某一端口進行監(jiān)聽。如果在該端口收到數(shù)據(jù)，對這些數(shù)據(jù)進行識別，然后按識別后的命令，在目標計算機上執(zhí)行一些操作，比如，竊取口令，復(fù)制或刪除文件或重新啟動計算機，特洛伊木馬隱藏著可以控制用戶計算機系統(tǒng)、危害系統(tǒng)安全的功能，它可能造成用戶資料泄露，破壞或使整個系統(tǒng)崩潰。完整的木馬程序一般由兩部分組成，一是服務(wù)器程序，二是控制器程序?！爸辛四抉R”就是指安裝了木馬的服務(wù)器程序，若你的電腦被安裝了服務(wù)器程序，則擁有控制器程序的人就可以通過網(wǎng)絡(luò)控制你的電腦，為所欲為，這時你電腦上的各種文件、程序，以及在你電腦上使用的賬戶、密碼就無安全可言了。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.2網(wǎng)絡(luò)黑客攻擊15.2.5常見的黑客攻擊方法信息收集是突破網(wǎng)絡(luò)系統(tǒng)的第一步，有了第一步的信息搜集，黑客就可以采取進一步的攻擊步驟。1．口令攻擊:對付口令攻擊的有效手段是加強口令管理，選取特殊的不容易猜測的口令，口令長度不要少于8個字符。2．拒絕服務(wù)的攻擊:一個拒絕服務(wù)的攻擊是指占據(jù)了大量的系統(tǒng)資源，沒有剩余的資源給其他用戶，系統(tǒng)不能為其他用戶提供正常的服務(wù)。有兩種類型的拒絕服務(wù)的攻擊，第一種攻擊試圖去破壞或者毀壞資源，使得無人可以使用這個資源。第二種類型是過載一些系統(tǒng)服務(wù)，或者消耗一些資源，這樣阻止其他用戶使用這些服務(wù)。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.2網(wǎng)絡(luò)黑客攻擊3．網(wǎng)絡(luò)監(jiān)聽:網(wǎng)絡(luò)監(jiān)聽工具是黑客們常用的一類工具。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置，如局域網(wǎng)中的一臺主機、網(wǎng)關(guān)上，路由設(shè)備或交換設(shè)備上或遠程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是通過監(jiān)聽截獲用戶的口令。4．緩沖區(qū)溢出:緩沖區(qū)溢出是一個非常普遍、非常危險的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。產(chǎn)生緩沖區(qū)溢出的根本原因在于，將一個超過緩沖區(qū)長度的字串復(fù)制到緩沖區(qū)。溢出帶了兩種后果，一是過長的字串覆蓋了相鄰的存儲單元，引起程序運行失敗，嚴重的可引起宕機、系統(tǒng)重新啟動等后果；二是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)特權(quán)，在UNIX系統(tǒng)中，利用SUID程序中存在的這種錯誤，使用一類精心編寫的程序，可以很輕易地取得系統(tǒng)的超級用戶權(quán)限。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.2網(wǎng)絡(luò)黑客攻擊5．電子郵件攻擊電子郵件系統(tǒng)面臨著巨大的安全風險，它不但要遭受前面所述的許多攻擊，如惡意入侵者破壞系統(tǒng)文件，或者對端口25（默認SMTP口）進行SYN-Flood攻擊，它們還容易成為某些專門面向郵件攻擊的目標。①竊?。鄹臄?shù)據(jù):通過監(jiān)聽數(shù)據(jù)報或者截取正在傳輸?shù)男畔?，攻擊者能夠讀取，甚至修改數(shù)據(jù)。②偽造郵件：發(fā)送方黑客偽造電子郵件，使它們看起來似乎發(fā)自某人／某地。③拒絕服務(wù)（DenialofServiceAttack）：黑客可以讓你的系統(tǒng)或者網(wǎng)絡(luò)充斥郵件信息（即郵件炸彈攻擊）而癱瘓。這些郵件信息塞滿隊列，占用寶貴的CPU資源和網(wǎng)絡(luò)帶寬，甚至讓郵件服務(wù)器完全癱瘓。④病毒：現(xiàn)代電子郵件可以使得傳輸文件附件更加容易。如果用戶毫不提防地去執(zhí)行文件附件，病毒就會感染他們的系統(tǒng)。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.2網(wǎng)絡(luò)黑客攻擊6．其他攻擊方法其他的攻擊方法主要是利用一些程序進行攻擊，比如后門、程序中有邏輯炸彈和時間炸彈、病毒、蠕蟲、特洛伊木馬程序等。陷門（Trapdoor）和后門（backdoor）是一段非法的操作系統(tǒng)程序，其目的是為闖入者提供后門。邏輯炸彈和時間炸彈是當滿足某個條件或到預(yù)定的時間時發(fā)作，破壞計算機系統(tǒng)。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.3網(wǎng)絡(luò)安全解決方案物理層的安全防護：在物理層上主要通過制訂物理層面的管理規(guī)范和措施來提供安全解決方案。鏈路層安全保護：主要是鏈路加密設(shè)備對數(shù)據(jù)加密保護。它對所有用戶數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一結(jié)點后解密。網(wǎng)絡(luò)層和安全防護：網(wǎng)絡(luò)層的安全防護是面向IP包的。網(wǎng)絡(luò)層主要采用防火墻作為安全防護手段，實現(xiàn)初級的安全防護；在網(wǎng)絡(luò)層也可以根據(jù)一些安全協(xié)議實施加密保護；在網(wǎng)絡(luò)層也可實施相應(yīng)的入侵檢測。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.3網(wǎng)絡(luò)安全解決方案傳輸層的安全防護：傳輸層處于通信子網(wǎng)和資源子網(wǎng)之間，起著承上啟下的作用。傳輸層也支持多種安全服務(wù)：對等實體認證服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)源點認證服務(wù)等。應(yīng)用層的安全防護：原則上講所有安全服務(wù)均可在應(yīng)用層提供。在應(yīng)用層可以實施強大的基于用戶的身份認證；在應(yīng)用層也是實施數(shù)據(jù)加密、訪問控制的理想位置；在應(yīng)用層還可加強數(shù)據(jù)的備份和恢復(fù)措施；應(yīng)用層可以對資源的有效性進行控制，資源包括各種數(shù)據(jù)和服務(wù)。應(yīng)用層的安全防護是面向用戶和應(yīng)用程序的，因此可以實施細粒度的安全控制。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.3網(wǎng)絡(luò)安全解決方案15.3.1操作系統(tǒng)安全使用操作系統(tǒng)是網(wǎng)絡(luò)管理與控制的系統(tǒng)軟件，是使用網(wǎng)絡(luò)的入口點，因此操作系統(tǒng)的安全使用對于網(wǎng)絡(luò)安全來說是至關(guān)重要的。而且網(wǎng)絡(luò)的漏洞大多數(shù)都是因為操作系統(tǒng)引起的，網(wǎng)絡(luò)的安全問題也大都是因為操作系統(tǒng)沒有正確地配置和使用引起的，因此，安全地使用操作系統(tǒng)是一個不容忽視的問題。1．安全使用2．消除漏洞3．安全策略配置3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.3網(wǎng)絡(luò)安全解決方案15.3.2防火墻在網(wǎng)絡(luò)中，防火墻是一種用來加強網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互連設(shè)備，如路由器、網(wǎng)關(guān)等。如圖15.1所示，它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)報和連接方式按照一定的安全策略進行檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許。其中被保護的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)，另一方則稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。它能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及數(shù)據(jù)傳輸，從而達到保護內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.3網(wǎng)絡(luò)安全解決方案1．防火墻的功能防火墻是由管理員為保護自己的網(wǎng)絡(luò)免遭外界非授權(quán)訪問但又允許與Internet連接而發(fā)展起來的。從網(wǎng)際角度看，防火墻可以看成是安裝在兩個網(wǎng)絡(luò)之間的一道柵欄，根據(jù)安全計劃和安全策略中的定義來保護其后面的網(wǎng)絡(luò)。由軟件和硬件組成的防火墻應(yīng)該具有以下功能：①所有進出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻；②所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權(quán)；③理論上說，防火墻是穿不透的。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.3網(wǎng)絡(luò)安全解決方案2．防火墻的分類（1）包過濾路由器包過濾路由器（PacketFilters）在一般路由器的基礎(chǔ)上增加了一些新的安全控制功能，是一個檢查通過它的數(shù)據(jù)報的路由器，包過濾路由器的標準由網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)訪問控制表（AccessControlList）中設(shè)定，以檢查數(shù)據(jù)報的源地址、目的地址及每個IP數(shù)據(jù)報的端口。它是在OSI參考協(xié)議的下3層中實現(xiàn)的，數(shù)據(jù)報的類型可以攔截和登錄，因此，此類防火墻易于實現(xiàn)對用戶透明的訪問，且費用較低。但包過濾路由器無法有效地區(qū)分同一IP地址的不同用戶，因此安全性較差。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.3網(wǎng)絡(luò)安全解決方案（2）應(yīng)用型防火墻應(yīng)用型防火墻（ApplicationGateway，又稱雙宿主網(wǎng)關(guān)或應(yīng)用層網(wǎng)關(guān)）的物理位置與包過濾路由器一樣，但它的邏輯位置在OSI參考協(xié)議的應(yīng)用層上，所以主要采用協(xié)議代理服務(wù)（ProxyServices）。就是在運行防火墻軟件的堡壘主機（BastionHost）上運行代理服務(wù)程序Proxy。應(yīng)用型防火墻不允許網(wǎng)絡(luò)間的直接業(yè)務(wù)聯(lián)系，而是以堡壘主機作為數(shù)據(jù)轉(zhuǎn)發(fā)的中轉(zhuǎn)站。堡壘主機是一個具有兩個網(wǎng)絡(luò)界面的主機，每一個網(wǎng)絡(luò)界面與它所對應(yīng)的網(wǎng)絡(luò)進行通信。它既能作為服務(wù)器接收外來請求，又能作為客戶轉(zhuǎn)發(fā)請求。3/9/2023計算機網(wǎng)絡(luò)技術(shù)實用教程(第3版)

15.3網(wǎng)絡(luò)安全解決方案（3）主機屏蔽防火墻主機屏蔽防火墻由一個只需單個網(wǎng)絡(luò)端口的應(yīng)用型防火墻和一個包過濾路由器組成。將它物理地址連接在網(wǎng)絡(luò)總線上，它的邏輯功能仍工作在應(yīng)用層上，所有業(yè)務(wù)通過它進行代理服務(wù)。Intranet不能直接通過路由器和Internet相聯(lián)系，數(shù)據(jù)報要通過路由器和堡壘主機兩道防線。這個系統(tǒng)的第一個安全設(shè)施是過濾路由器，對到來的數(shù)據(jù)報而言，首先要經(jīng)過包過濾路由器的過濾，過濾后的數(shù)據(jù)報被轉(zhuǎn)發(fā)到堡壘主機上，然后由堡壘主機上應(yīng)用服務(wù)代理對這些數(shù)據(jù)報進行分析，將