第2章網(wǎng)絡(luò)安全防護(hù)第一頁，共一百八十三頁。教學(xué)要求：網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。即最大限度向合法訪問者提供資源，最大限度限制非法訪問者訪問資源。網(wǎng)絡(luò)安全涉及的內(nèi)容有三個(gè)方面:包括安全管理、安全技術(shù)、安全設(shè)備。本章重點(diǎn)講述防火墻的相關(guān)知識(shí)以及網(wǎng)絡(luò)黑客攻防技術(shù)，目的是讓學(xué)生掌握防火墻的實(shí)用技術(shù)了解防火墻的管理與維護(hù)以及網(wǎng)絡(luò)黑客攻防知識(shí)等。2第二頁，共一百八十三頁。主要內(nèi)容：防火墻概述實(shí)用防火墻技術(shù)防火墻的管理和維護(hù)防火墻技術(shù)展望網(wǎng)絡(luò)黑客概述黑客攻防技術(shù)習(xí)題實(shí)訓(xùn)教學(xué)重點(diǎn)：防火墻技術(shù)的概述、實(shí)用技術(shù)、黑客攻防等。3第三頁，共一百八十三頁。網(wǎng)絡(luò)安全基礎(chǔ)訪問控制訪問控制技術(shù)就是通過不同的手段和策略實(shí)現(xiàn)網(wǎng)絡(luò)上主體對(duì)客體的訪問權(quán)限。第四頁，共一百八十三頁。訪問控制在訪問控制中，對(duì)其訪問必須進(jìn)行控制的資源稱為客體，同理，控制它對(duì)客體的訪問的活動(dòng)資源，稱為主體。主體即訪問的發(fā)起者，通常為進(jìn)程、程序或用戶?？腕w包括各種資源，如文件、設(shè)備、信號(hào)量等。訪問控制中第三個(gè)元素是保護(hù)規(guī)則，它定義了主體與客體可能的相互作用途徑。第五頁，共一百八十三頁。根據(jù)控制手段和目的的不同把控制訪問分類：入網(wǎng)訪問控制網(wǎng)絡(luò)權(quán)限控制目錄、文件、設(shè)備的訪問控制第六頁，共一百八十三頁。入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準(zhǔn)許用戶入網(wǎng)的時(shí)間和準(zhǔn)許他們在哪臺(tái)工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為三個(gè)步驟：用戶名的識(shí)別與驗(yàn)證、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查。

第七頁，共一百八十三頁。網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對(duì)網(wǎng)絡(luò)非法操作所提出的一種安全保護(hù)措施。用戶和用戶組被賦予一定的權(quán)限，網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，可以指定用戶對(duì)這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽（IRM）可作為兩種實(shí)現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個(gè)過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：特殊用戶（即系統(tǒng)管理員）；一般用戶，系統(tǒng)管理員根據(jù)他們的實(shí)際需要為他們分配操作權(quán)限；審計(jì)用戶，負(fù)責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計(jì)。用戶對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限可以用訪問控制表來描述。第八頁，共一百八十三頁。目錄、文件、設(shè)備的訪問控制網(wǎng)絡(luò)應(yīng)允許控制用戶對(duì)目錄、文件、設(shè)備的訪問。用戶在目錄一級(jí)指定的權(quán)限對(duì)所有文件和子目錄有效，用戶還可進(jìn)一步指定對(duì)目錄下的子目錄和文件的權(quán)限。對(duì)目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問控制權(quán)限。

第九頁，共一百八十三頁。根據(jù)安全級(jí)別可分為兩類：

自主訪問控制強(qiáng)制訪問控制第十頁，共一百八十三頁。自主訪問控制訪問控制分為“自主訪問控制”和“強(qiáng)制訪問控制”兩種。自主訪問控制（DAC：discretionaryaccesscontrol）是一種最為普遍的訪問控制手段，用戶可以按自己的意愿對(duì)系統(tǒng)的參數(shù)做適當(dāng)修改以決定哪些用戶可以訪問他們的文件，亦即一個(gè)用戶可以有選擇地與其他用戶共享他的文件，用戶有自主的決定權(quán)。自主訪問控制的一個(gè)最大問題是主體權(quán)限太大，無意間就可能泄露信息，而且不能防備特洛伊木馬的攻擊。

第十一頁，共一百八十三頁。強(qiáng)制訪問控制強(qiáng)制訪問控制（DMC：mandatoryaccesscontrol）就是指用戶與文件都有一個(gè)固定的安全屬性。系統(tǒng)用該安全屬性來決定一個(gè)用戶是否可以訪問某個(gè)文件。安全屬性是強(qiáng)制性的規(guī)定，它是由安全管理員，或者是操作系統(tǒng)根據(jù)限定的規(guī)則確定的，用戶或用戶的程序不能加以修改。強(qiáng)制訪問控制可以防范特洛伊木馬和用戶濫用權(quán)限，具有更高的安全性。

第十二頁，共一百八十三頁。訪問控制的目的訪問控制的目的是為了限制訪問主體（用戶、進(jìn)程、服務(wù)等）對(duì)訪問客體（文件、系統(tǒng)等）的訪問權(quán)限，從而使計(jì)算機(jī)系統(tǒng)在合法范圍內(nèi)使用，決定用戶能做什么，也決定代表一定用戶利益的程序能做什么。

第十三頁，共一百八十三頁。訪問控制的產(chǎn)品防火墻路由器專用訪問控制服務(wù)器第十四頁，共一百八十三頁。教學(xué)要求：網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。即最大限度向合法訪問者提供資源，最大限度限制非法訪問者訪問資源。網(wǎng)絡(luò)安全涉及的內(nèi)容有三個(gè)方面:包括安全管理、安全技術(shù)、安全設(shè)備。本章重點(diǎn)講述防火墻的相關(guān)知識(shí)以及網(wǎng)絡(luò)黑客攻防技術(shù)，目的是讓學(xué)生掌握防火墻的實(shí)用技術(shù)了解防火墻的管理與維護(hù)以及網(wǎng)絡(luò)黑客攻防知識(shí)等。15第十五頁，共一百八十三頁。主要內(nèi)容：防火墻概述實(shí)用防火墻技術(shù)防火墻的管理和維護(hù)防火墻技術(shù)展望網(wǎng)絡(luò)黑客概述黑客攻防技術(shù)習(xí)題實(shí)訓(xùn)教學(xué)重點(diǎn)：防火墻技術(shù)的概述、實(shí)用技術(shù)、黑客攻防等。16第十六頁，共一百八十三頁。2.1防火墻概述防火墻已經(jīng)成為了網(wǎng)絡(luò)安全的不可或缺的一部分，隨著網(wǎng)絡(luò)安全形式的日益嚴(yán)峻。防火墻也越發(fā)顯得重要，已經(jīng)成為網(wǎng)絡(luò)安全防護(hù)的代名詞，防火墻和入侵檢測技術(shù)、防病毒技術(shù)、加密技術(shù)已經(jīng)成為目前網(wǎng)絡(luò)安全的四大主流技術(shù)。17第十七頁，共一百八十三頁。2.1.1防火墻概念所謂“防火墻”，是指一種將內(nèi)部安全網(wǎng)絡(luò)和公眾訪問網(wǎng)(如Internet或者其它不安全的網(wǎng)絡(luò))分開的方法，實(shí)際上是一種隔離技術(shù)。防火墻是設(shè)置在被保護(hù)的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的軟件和硬件設(shè)備的組合，對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的通信進(jìn)行控制，通過監(jiān)測和限制經(jīng)過防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的結(jié)構(gòu)、信息和運(yùn)行情況，用于防止發(fā)生不可預(yù)測的、潛在破壞性的入侵或攻擊，這是一種行之有效的網(wǎng)絡(luò)安全防護(hù)技術(shù)。18第十八頁，共一百八十三頁。IT領(lǐng)域的防火墻概念：

一種高級(jí)訪問控制設(shè)備。置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道。能根據(jù)企業(yè)有關(guān)的安全策略控制（允許、拒絕、監(jiān)視、記錄）進(jìn)行網(wǎng)站訪問控制。第十九頁，共一百八十三頁。防火墻示意圖通常情況下，防火墻是運(yùn)行在計(jì)算機(jī)上的軟件，主要保護(hù)內(nèi)部網(wǎng)絡(luò)的重要信息不被非授權(quán)訪問、非法竊取或破壞，并記錄了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行通信的有關(guān)安全日志信息，如通信發(fā)生的時(shí)間和允許通過數(shù)據(jù)包和被過濾掉的數(shù)據(jù)包信息等。

第二十頁，共一百八十三頁。硬件防火墻示意圖：第二十一頁，共一百八十三頁。2.1.2防火墻的發(fā)展階段防火墻技術(shù)的發(fā)展

在防火墻產(chǎn)品的開發(fā)中，人們廣泛應(yīng)用網(wǎng)絡(luò)拓?fù)浼夹g(shù)、計(jì)算機(jī)操作系統(tǒng)技術(shù)、路由技術(shù)、加密技術(shù)、訪問控制技術(shù)、安全審計(jì)技術(shù)等成熟或先進(jìn)的手段，縱觀防火墻產(chǎn)品近年內(nèi)的發(fā)展，可將其分為四個(gè)階段：

第二十二頁，共一百八十三頁。基于路由器的防火墻用戶化的防火墻工具套建立在通用操作系統(tǒng)上的防火墻具有安全操作系統(tǒng)的防火墻第二十三頁，共一百八十三頁。第一階段：基于路由器的防火墻

由于多數(shù)路由器中本身就包含有分組過濾的功能，故網(wǎng)絡(luò)訪問控制功能可通過路由控制來實(shí)現(xiàn)，從而使具有分組過濾功能的路由器成為第一代防火墻產(chǎn)品。第一代防火墻產(chǎn)品的特點(diǎn)是：●利用路由器本身對(duì)分組的解析，以訪問控制表（accesslist）方式實(shí)現(xiàn)對(duì)分組的過濾；●過濾判決的依據(jù)可以是：地址、端口號(hào)、IP旗標(biāo)及其它網(wǎng)絡(luò)特征；第二十四頁，共一百八十三頁。●只有分組過濾的功能，且防火墻與路由器是一體的，對(duì)安全要求低的網(wǎng)絡(luò)采用路由器附帶防火墻功能的方法，對(duì)安全性要求高的網(wǎng)絡(luò)則可單獨(dú)利用一臺(tái)路由器作防火墻。

第一代防火墻產(chǎn)品的不足之處十分明顯：●路由協(xié)議十分靈活，本身具有安全漏洞，外部網(wǎng)絡(luò)要探尋內(nèi)部網(wǎng)絡(luò)十分容易。例如：在使用FTP協(xié)議時(shí)，外部服務(wù)器容易從20號(hào)端口上與內(nèi)部網(wǎng)相連，即使在路由器上設(shè)置了過濾規(guī)則，內(nèi)部網(wǎng)絡(luò)的20端口仍可由外部探尋。

第二十五頁，共一百八十三頁?！衤酚善魃系姆纸M過濾規(guī)則的設(shè)置和配置存在安全隱患。對(duì)路由器中過濾規(guī)則的設(shè)置和配置十分復(fù)雜，它涉及到規(guī)則的邏輯一致性，作用端口的有效性和規(guī)則集的正確性，一般的網(wǎng)絡(luò)系統(tǒng)管理員難于勝任，加之一旦出現(xiàn)新的協(xié)議，管理員就得加上更多的規(guī)則去限制，這往往會(huì)帶來很多錯(cuò)誤?！衤酚善鞣阑饓Φ淖畲箅[患是：攻擊者可以"假冒"地址，由于信息在網(wǎng)絡(luò)上是以明文傳送的，黑客可以在網(wǎng)絡(luò)上偽造假的路由信息欺騙防火墻。第二十六頁，共一百八十三頁。●路由器防火墻的本質(zhì)性缺陷是：由于路由器的主要功能是為網(wǎng)絡(luò)訪問提供動(dòng)態(tài)的、靈活的路由，而防火墻則要對(duì)訪問行為實(shí)施靜態(tài)的、固定的控制，這是一對(duì)難以調(diào)和的矛盾，防火墻的規(guī)則設(shè)置會(huì)大大降低路由器的性能?？梢哉f：基于路由器的防火墻只是網(wǎng)絡(luò)安全的一種應(yīng)急措施，用這種權(quán)宜之計(jì)去對(duì)付黑客的攻擊是十分危險(xiǎn)的。第二十七頁，共一百八十三頁。第二階段：用戶化的防火墻工具套

為了彌補(bǔ)路由器防火墻的不足，很多大型用戶紛紛要求以專門開發(fā)的防火墻系統(tǒng)來保護(hù)自己的網(wǎng)絡(luò)，從而推動(dòng)了用戶化防火墻工具套的出現(xiàn)。

作為第二代防火墻產(chǎn)品，用戶化的防火墻工具套具有以下特征：第二十八頁，共一百八十三頁?！駥⑦^濾功能從路由器中獨(dú)立出來，并加上審計(jì)和告警功能；●針對(duì)用戶需求，提供模塊化的軟件包；●軟件可通過網(wǎng)絡(luò)發(fā)送，用戶可自己動(dòng)手構(gòu)造防火墻；●與第一代防火墻相比，安全性提高了，價(jià)格降低了。第二十九頁，共一百八十三頁。由于是純軟件產(chǎn)品，第二代防火墻產(chǎn)品無論在實(shí)現(xiàn)還是在維護(hù)上都對(duì)系統(tǒng)管理員提出了相當(dāng)復(fù)雜的要求，并帶來以下問題：●配置和維護(hù)過程復(fù)雜、費(fèi)時(shí)；●對(duì)用戶的技術(shù)要求高；●全軟件實(shí)現(xiàn)、安全性和處理速度均有局限；●實(shí)踐表明，使用中出現(xiàn)差錯(cuò)的情況很多。第三十頁，共一百八十三頁。第三階段：建立在通用操作系統(tǒng)上的防火墻

基于軟件的防火墻在銷售、使用和維護(hù)上的問題迫使防火墻開發(fā)商很快推出了建立在通用操作系統(tǒng)上的商用防火墻產(chǎn)品，近年來在市場上廣泛可用的就是這一代產(chǎn)品，它具有以下特點(diǎn)：●是批量上市的專用防火墻產(chǎn)品；●包括分組過濾或者借用路由器的分組過濾功能；

第三十一頁，共一百八十三頁?！裱b有專用的代理系統(tǒng)，監(jiān)控所有協(xié)議的數(shù)據(jù)和指令；●保護(hù)用戶編程空間和用戶可配置內(nèi)核參數(shù)的設(shè)置；●安全性和速度大為提高。

第三代防火墻有以純軟件實(shí)現(xiàn)的，也有以硬件方式實(shí)現(xiàn)的，已得到廣大用戶的認(rèn)同。但隨著安全需求的變化和使用時(shí)間的推延，仍表現(xiàn)出不少問題，比如：第三十二頁，共一百八十三頁。●作為基礎(chǔ)的操作系統(tǒng)及其內(nèi)核往往不為防火墻管理者所知，由于原碼的保密，其安全性無從保證?！裼捎诖蠖鄶?shù)防火墻廠商并非通用操作系統(tǒng)的廠商，通用操作系統(tǒng)廠商不會(huì)對(duì)操作系統(tǒng)的安全性負(fù)責(zé)；●從本質(zhì)上看，第三代防火墻既要防止來自外部網(wǎng)絡(luò)的攻擊，還要防止來自操作系統(tǒng)廠商的攻擊。●用戶必須依賴兩方面的安全支持：一是防火墻廠商、一是操作系統(tǒng)廠商。第三十三頁，共一百八十三頁。第四階段：具有安全操作系統(tǒng)的防火墻

防火墻技術(shù)和產(chǎn)品隨著網(wǎng)絡(luò)攻擊和安全防護(hù)手段的發(fā)展而演進(jìn)，到1997年初，具有安全操作系統(tǒng)的防火墻產(chǎn)品面市，使防火墻產(chǎn)品步入了第四個(gè)發(fā)展階段。

具有安全操作系統(tǒng)的防火墻本身就是一個(gè)操作系統(tǒng)，因而在安全性上較之第三代防火墻有質(zhì)的提高。獲得安全操作系統(tǒng)的辦法有兩種：一種是通過許可證方式獲得操作系統(tǒng)的源碼；另一種是通過固化操作系統(tǒng)內(nèi)核來提高可靠性，由此建立的防火墻系統(tǒng)具有以下特點(diǎn)：第三十四頁，共一百八十三頁?！穹阑饓S商具有操作系統(tǒng)的源代碼，并可實(shí)現(xiàn)安全內(nèi)核；●對(duì)安全內(nèi)核實(shí)現(xiàn)加固處理：即去掉不必要的系統(tǒng)特性，加上內(nèi)核特性，強(qiáng)化安全保護(hù)；●對(duì)每個(gè)服務(wù)器、子系統(tǒng)都作了安全處理，一旦黑客攻破了一個(gè)服務(wù)器，它將會(huì)被隔離在此服務(wù)器內(nèi)，不會(huì)對(duì)網(wǎng)絡(luò)的其它部份構(gòu)成威脅；●在功能上包括了分組過濾、應(yīng)用網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)，且具有加密與鑒別功能；●透明性好，易于使用。第三十五頁，共一百八十三頁。防火墻的核心技術(shù)簡單包過濾技術(shù)包過濾工作在網(wǎng)絡(luò)層，對(duì)數(shù)據(jù)包的源及目地IP具有識(shí)別和控制用，對(duì)于傳輸層，也只能識(shí)別數(shù)據(jù)包是TCP還是UDP及所用的端口信息，由于只對(duì)數(shù)據(jù)包的IP地址、TCP/UDP協(xié)議和端口進(jìn)行分析.

包過濾防火墻的處理速度較快，并且易于配置。

第三十六頁，共一百八十三頁。

包過濾型防火墻中的包過濾器一般安裝在路由器上，工作在網(wǎng)絡(luò)層（IP）。它基于單個(gè)包實(shí)施網(wǎng)絡(luò)控制，根據(jù)所收到的數(shù)據(jù)包的源地址、目的地址、TCP/UDP、源端口號(hào)及目的端口號(hào)、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與用戶預(yù)定的訪問控制表進(jìn)行比較，決定數(shù)據(jù)是否符合預(yù)先制定的安全策略，決定數(shù)據(jù)包的轉(zhuǎn)發(fā)或丟棄，即實(shí)施信息過濾。實(shí)際上，它一般容許網(wǎng)絡(luò)內(nèi)部的主機(jī)直接訪問外部網(wǎng)絡(luò)，而外部網(wǎng)絡(luò)上的主機(jī)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問則要受到限制。包過濾防火墻的工作原理第三十七頁，共一百八十三頁。在互聯(lián)網(wǎng)上提供某些特定服務(wù)的服務(wù)器一般都使用相對(duì)固定的端口號(hào)。因此路由器在設(shè)置包過濾規(guī)則時(shí)指定：對(duì)于某些端口號(hào)允許數(shù)據(jù)包與該端口交換，或者阻斷數(shù)據(jù)包與它們的連接。第三十八頁，共一百八十三頁。過濾規(guī)則示例：

在上表中，規(guī)則1允許所有的IP訪問服務(wù)器的HTTP協(xié)議，規(guī)則2則允許所有的IP訪問服務(wù)器的域名解析服務(wù)。第三十九頁，共一百八十三頁。簡單包過濾防火墻的優(yōu)點(diǎn)：

1.處理包的速度比代理服務(wù)器快，過濾路由器為用戶提供了一種透明的服務(wù)，用戶不用改變客戶端程序活高便自己的行為。2.實(shí)現(xiàn)包過濾幾乎不在需要費(fèi)用（或極少的費(fèi)用），因?yàn)橐驗(yàn)檫@些特點(diǎn)都包含在標(biāo)準(zhǔn)的路由器軟件中。由于Internet訪問一般都是在WAN接口上提供，因此在流量始終并定義較少過濾器時(shí)對(duì)路由器的性能幾乎沒有影響。3.包過濾路由器對(duì)用戶和應(yīng)用來講是透明的，所以不必對(duì)用戶進(jìn)行特殊的培訓(xùn)和在每臺(tái)主機(jī)上安裝特定的軟件。第四十頁，共一百八十三頁。包過濾防火墻具有根本的缺陷：1．不能防范黑客攻擊。包過濾防火墻的工作基于一個(gè)前提，就是知道哪些IP是可信網(wǎng)絡(luò)，哪些是不可信網(wǎng)絡(luò)的IP地址。但是隨著遠(yuǎn)程辦公等新應(yīng)用的出現(xiàn)，不可能區(qū)分出可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)的界限，對(duì)于黑客來說，只需將源IP包改成合法IP即可輕松通過包過濾防火墻，進(jìn)入內(nèi)網(wǎng)，而任何一個(gè)初級(jí)水平的黑客都能進(jìn)行IP地址欺騙。即只能阻止一種類型的IP欺騙，外部主機(jī)偽裝內(nèi)部主機(jī)的IP，對(duì)于外部主機(jī)偽裝其他可信任的外部主機(jī)的IP卻不可阻止。

第四十一頁，共一百八十三頁。2．不支持應(yīng)用層協(xié)議。包過濾防火墻無能為力，因?yàn)樗徽J(rèn)識(shí)數(shù)據(jù)包中的應(yīng)用層協(xié)議，訪問控制粒度太粗糙。3.防火墻的維護(hù)比較困，定義數(shù)據(jù)包過濾器會(huì)比較復(fù)雜，因?yàn)榫W(wǎng)絡(luò)管理員需要對(duì)各種Internet服務(wù)、包頭格式以及每個(gè)域的意義有非常深入的理解，才能將過濾規(guī)則集盡量定義完善。第四十二頁，共一百八十三頁。4．不能處理新的安全威脅。它不能跟蹤TCP狀態(tài)，所以對(duì)TCP層的控制有漏洞。如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問時(shí)，一些以TCP應(yīng)答包的形式從外部對(duì)內(nèi)網(wǎng)進(jìn)行的攻擊仍可以穿透防火墻。等等。綜上可見，包過濾防火墻技術(shù)面太過初級(jí)，難以履行保護(hù)內(nèi)網(wǎng)安全的職責(zé)。第四十三頁，共一百八十三頁。防火墻的核心技術(shù)代理技術(shù)應(yīng)用代理徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪問變成防火墻對(duì)外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時(shí)候都不能與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會(huì)話過程必須符合代理的安全策略要求。優(yōu)點(diǎn)是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測能力比較強(qiáng)。第四十四頁，共一百八十三頁。缺點(diǎn)也非常突出，主要有：難于配置。由于每個(gè)應(yīng)用都要求單獨(dú)的代理進(jìn)程，這就要求網(wǎng)管能理解每項(xiàng)應(yīng)用協(xié)議的弱點(diǎn)，并能合理的配置安全策略，由于配置繁瑣，難于理解，容易出現(xiàn)配置失誤，最終影響內(nèi)網(wǎng)的安全防范能力。處理速度非常慢。斷掉所有的連接，由防火墻重新建立連接，理論上可以使應(yīng)用代理防火墻具有極高的安全性。但是實(shí)際應(yīng)用中并不可行，因?yàn)閷?duì)于內(nèi)網(wǎng)的每個(gè)Web訪問請(qǐng)求，應(yīng)用代理都需要開一個(gè)單獨(dú)的代理進(jìn)程，它要保護(hù)內(nèi)網(wǎng)的Web服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、郵件服務(wù)器，及業(yè)務(wù)程序等，就需要建立一個(gè)個(gè)的服務(wù)代理，以處理客戶端的訪問請(qǐng)求。這樣，應(yīng)用代理的處理延遲會(huì)很大，內(nèi)網(wǎng)用戶的正常Web訪問不能及時(shí)得到響應(yīng)。第四十五頁，共一百八十三頁。防火墻的核心技術(shù)狀態(tài)檢測包過濾技術(shù)狀態(tài)檢測摒棄了包過濾僅考查數(shù)據(jù)包的IP地址等幾個(gè)參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。狀態(tài)監(jiān)測對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，因此提供了完整的對(duì)傳輸層的控制能力。優(yōu)點(diǎn)：由于不需要對(duì)每個(gè)數(shù)據(jù)包進(jìn)行規(guī)則檢查，而是一個(gè)連接的后續(xù)數(shù)據(jù)包（通常是大量的數(shù)據(jù)包）通過散列算法，直接進(jìn)行狀態(tài)檢查，從而使得性能得到了較大提高；而且，由于狀態(tài)表是動(dòng)態(tài)的，因而可以有選擇地、動(dòng)態(tài)地開通1024號(hào)以上的端口，使得安全性得到進(jìn)一步地提高。第四十六頁，共一百八十三頁。復(fù)合型防火墻技術(shù)防火墻的核心技術(shù)

由于希望防火墻在功能上能進(jìn)行融合，保證完善的應(yīng)用。許多廠家提出了混合型飯防火請(qǐng)的概念。他們認(rèn)為混合型防火墻應(yīng)該是動(dòng)態(tài)包過濾和透明代理的有機(jī)結(jié)合，可以做到用戶無需知道給他提供服務(wù)的到底是用了哪些技術(shù)，而防火墻根據(jù)不同的服務(wù)要求提供用戶的使用要求和安全策略。而且為了保證性能只有必須使用應(yīng)用代理才能實(shí)現(xiàn)的功能才使用代理。第四十七頁，共一百八十三頁。該防火墻結(jié)合了包過濾防火墻和應(yīng)用級(jí)防火墻的特點(diǎn)。它同包過濾防火墻一樣能夠通過ip地址和端口號(hào)，過濾進(jìn)出的數(shù)據(jù)包，也能夠檢查syn和ack標(biāo)記和序列數(shù)字是否邏輯有序。另一方面，它也能象應(yīng)用級(jí)防火墻一樣，在應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合既定的網(wǎng)絡(luò)安全規(guī)則。目前在市場上技術(shù)領(lǐng)先的防火墻大多屬于混合型防火墻，因?yàn)樵摲阑饓?duì)于用戶透明，在應(yīng)用層上加密數(shù)據(jù)，不需要修改客戶端的程序，也不需對(duì)每個(gè)需要在防火墻上打開的服務(wù)額外增加代理。

第四十八頁，共一百八十三頁。核檢測防火墻技術(shù)防火墻的核心技術(shù)第四十九頁，共一百八十三頁。包過濾防火墻工作原理圖第五十頁，共一百八十三頁。狀態(tài)檢測防火墻工作原理圖第五十一頁，共一百八十三頁。代理防火墻工作原理圖第五十二頁，共一百八十三頁。復(fù)/混合型防火墻工作原理圖第五十三頁，共一百八十三頁。核檢測防火墻工作原理圖檢查整個(gè)會(huì)話第五十四頁，共一百八十三頁。第五十五頁，共一百八十三頁。第六代-智能防火墻的特點(diǎn)1、智能訪問控制技術(shù)2、安全防御內(nèi)核3、三維訪問控制技術(shù)4、高可用性技術(shù)5、廣泛的應(yīng)用支持6、自主可控的安全操作系統(tǒng)7、強(qiáng)大的管理、健康和審計(jì)功能

第五十六頁，共一百八十三頁。2.1.3防火墻的功能防火墻是網(wǎng)絡(luò)安全的屏障防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略

對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)防止內(nèi)部信息的外泄57第五十七頁，共一百八十三頁。2.1.5防火墻的局限性防火墻防外不防內(nèi)防火墻難以管理和配置，容易造成安全漏洞防火墻不能防范繞過防火墻的攻擊防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊58第五十八頁，共一百八十三頁。2.2實(shí)用防火墻技術(shù)2.2.1網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）NAT英文全稱是NetworkAddressTranslation，它是一個(gè)IETF標(biāo)準(zhǔn)，是用于將一個(gè)地址域（如：專用Intranet）映射到另一個(gè)地址域（如：Internet）的標(biāo)準(zhǔn)方法。

59第五十九頁，共一百八十三頁。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）NAT功能通常被集成到路由器、Modem、防火墻、ISDN路由器或者單獨(dú)的NAT設(shè)備中，當(dāng)然，現(xiàn)在比較流行的操作系統(tǒng)或其他軟件（主要是代理軟件，如WINROUTE），大多也有著NAT的功能。NAT有三種類型：靜態(tài)NAT(StaticNAT)、NAT池(PooledNAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（Port－LevelNAT）。靜態(tài)NAT設(shè)置起來最為簡單和最容易實(shí)現(xiàn)的一種，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址;NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò);NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IP地址的不同端口上。60第六十頁，共一百八十三頁。網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）第六十一頁，共一百八十三頁。2.2.2應(yīng)用代理服務(wù)器即應(yīng)用網(wǎng)關(guān)技術(shù)當(dāng)外部某臺(tái)主機(jī)試圖訪問受保護(hù)網(wǎng)絡(luò)時(shí)，必須先在防火墻上經(jīng)過身份認(rèn)證。通過身份認(rèn)證后，防火墻運(yùn)行一個(gè)專門為該網(wǎng)絡(luò)設(shè)計(jì)的程序，把外部主機(jī)與內(nèi)部主機(jī)連接。在這個(gè)過程中，防火墻可以限制用戶訪問的主機(jī)、訪問時(shí)間及訪問的方式。同樣，受保護(hù)網(wǎng)絡(luò)內(nèi)部用戶訪問外部網(wǎng)時(shí)也需先登錄到防火墻上，通過驗(yàn)證后，才可訪問。62第六十二頁，共一百八十三頁。2.2.3回路級(jí)代理服務(wù)器回路級(jí)代理服務(wù)器即通常意義的代理服務(wù)器，它適用于多個(gè)協(xié)議，但不能解釋應(yīng)用協(xié)議，需要通過其他方式來獲得信息，所以，回路級(jí)代理服務(wù)器通常要求修改過的用戶程序。套接字服務(wù)器（SocketsServer）就是回路級(jí)代理服務(wù)器。套接字(Sockets)是一種網(wǎng)絡(luò)應(yīng)用層的國際標(biāo)準(zhǔn)。當(dāng)受保護(hù)網(wǎng)絡(luò)客戶機(jī)需要與外部網(wǎng)交互信息時(shí)，在防火墻上的套服務(wù)器檢查客戶的UserID、IP源地址和IP目的地址，經(jīng)過確認(rèn)后，套服務(wù)器才與外部的服務(wù)器建立連接。對(duì)用戶來說，受保護(hù)網(wǎng)與外部網(wǎng)的信息交換是透明的，感覺不到防火墻的存在，那是因?yàn)榫W(wǎng)絡(luò)用戶不需要登錄到防火墻上。但是客戶端的應(yīng)用軟件必須支持“SocketsifiedAPI”，受保護(hù)網(wǎng)絡(luò)用戶訪問公共網(wǎng)所使用的IP地址也都是防火墻的IP地址。63第六十三頁，共一百八十三頁。2.2.4IP通道（IPTunnels）如果一個(gè)公司的多個(gè)子公司之間距離比較遠(yuǎn)，為了互相之間能夠通過Internet通信，這時(shí)，可以在他們之間建立IPTunnels來防止信息被黑客截取，同時(shí)一旦通道建立，所有在這個(gè)通道上傳輸?shù)臄?shù)據(jù)包都被自動(dòng)的加密，從而在Internet上形成一個(gè)虛擬的企業(yè)網(wǎng)。這實(shí)際是VPN的一種應(yīng)用，用于構(gòu)建extranet。64第六十四頁，共一百八十三頁。2.2.5隔離域名服務(wù)器這種技術(shù)是通過防火墻將受保護(hù)網(wǎng)絡(luò)的域名服務(wù)器與外部網(wǎng)的域名服務(wù)器隔離，使外部網(wǎng)的域名服務(wù)器只能看到防火墻的IP地址，無法了解內(nèi)部受保護(hù)網(wǎng)絡(luò)的具體情況，這樣可以保證受保護(hù)網(wǎng)絡(luò)的IP地址不被外部網(wǎng)絡(luò)獲悉。65第六十五頁，共一百八十三頁。2.2.6電子郵件轉(zhuǎn)發(fā)技術(shù)當(dāng)防火墻采用上面所提到的幾種技術(shù)使得外部網(wǎng)絡(luò)只知道防火墻的IP地址和域名時(shí)，從外部網(wǎng)絡(luò)發(fā)來的郵件，就只能送到防火墻上。這時(shí)防火墻對(duì)郵件進(jìn)行檢查，只有當(dāng)發(fā)送郵件的源主機(jī)是被允許通過的，防火墻才對(duì)郵件的目的地址進(jìn)行轉(zhuǎn)換，送到內(nèi)部的郵件服務(wù)器，由其進(jìn)行轉(zhuǎn)發(fā)。66第六十六頁，共一百八十三頁。2.3防火墻的選購和配置企業(yè)防火墻的選購企業(yè)防火墻的配置個(gè)人防火墻的選購個(gè)人防火墻的配置67第六十七頁，共一百八十三頁。防火墻產(chǎn)品的選擇：靈活的訪問控制功能（是否具備基于IP報(bào)頭，TCP報(bào)頭、基于用戶、基于時(shí)間、基于流量的訪問控制功能）完善的應(yīng)用代理功能（是否是有HTTP、FTP、ＳＭＴＰ等常用協(xié)議的代理功能）狀態(tài)檢測功能（對(duì)異常行為進(jìn)行檢測）多種附加功能（ＮＡＴ，身份驗(yàn)證、計(jì)費(fèi)、入侵檢測、審計(jì)、VPN等功能）靈活的組網(wǎng)方式（透明模式、路由模式、混合模式）靈活的安全策略等等第六十八頁，共一百八十三頁。2．企業(yè)的特殊要求網(wǎng)絡(luò)地址轉(zhuǎn)換功能(NAT)雙重DNS虛擬專用網(wǎng)絡(luò)(VPN)：VPN可以在防火墻與防火墻或移動(dòng)的客戶端之間對(duì)所有網(wǎng)絡(luò)傳輸?shù)膬?nèi)容加密，建立一個(gè)虛擬通道，讓兩者感覺是在同一個(gè)網(wǎng)絡(luò)上，可以安全且不受拘束地互相存取。掃毒功能特殊控制需求：如限制特定使用者才能發(fā)送E-mail，F(xiàn)TP只能下載文件不能上傳文件，限制同時(shí)上網(wǎng)人數(shù)，限制使用時(shí)間或阻塞Java、ActiveX控件等，依需求不同而定。第六十九頁，共一百八十三頁。3．與用戶網(wǎng)絡(luò)結(jié)合管理的難易度--不能達(dá)到完全的控制之外，設(shè)定工作困難、須具備完整的知識(shí)以及不易除錯(cuò)等管理問題，更是一般企業(yè)不愿意使用的主要原因。自身的安全性--防火墻也是網(wǎng)絡(luò)上的主機(jī)之一，防火墻如果不能確保自身安全，則防火墻的控制功能再強(qiáng)，也終究不能完全保護(hù)內(nèi)部網(wǎng)絡(luò)。完整的安全檢查—防火墻還應(yīng)該向使用者提供相對(duì)完整的安全檢查功能結(jié)合用戶情況網(wǎng)絡(luò)受威脅的程度；若入侵者闖入網(wǎng)絡(luò)，將要受到的潛在的損失；其他已經(jīng)用來保護(hù)網(wǎng)絡(luò)及其資源的安全措施；由于硬件或軟件失效，或防火墻遭到“拒絕服務(wù)攻擊”，而導(dǎo)致用戶不能訪問Internet，造成的整個(gè)機(jī)構(gòu)的損失；機(jī)構(gòu)所希望提供給Internet的服務(wù)，希望能從Internet得到的服務(wù)以及可以同時(shí)通過防火墻的用戶數(shù)目；網(wǎng)絡(luò)是否有經(jīng)驗(yàn)豐富的管理員；今后可能的要求，如要求增加通過防火墻的網(wǎng)絡(luò)活動(dòng)或要求新的Internet服務(wù)。

第七十頁，共一百八十三頁。2.3.2個(gè)人防火墻的選購什么是個(gè)人防火墻個(gè)人版防火墻是安裝在你的PC機(jī)系統(tǒng)里的一段"代碼墻"把你的電腦和internet分隔開。它檢查到達(dá)防火墻兩端的所有數(shù)據(jù)包，無論是進(jìn)入還是發(fā)出，從而決定該攔截這個(gè)包還是將其放行。也就是說，在不妨礙你正常上網(wǎng)瀏覽的同時(shí)，阻止INTERNET上的其他用戶對(duì)你的計(jì)算機(jī)進(jìn)行的非法訪問。第七十一頁，共一百八十三頁。天網(wǎng)個(gè)人防火墻天網(wǎng)個(gè)人防火墻用戶也可以到免費(fèi)下載測試版。該網(wǎng)站提供安全檢測服務(wù)，免費(fèi)為用戶檢測計(jì)算機(jī)系統(tǒng)的安全情況，并做出相應(yīng)的指導(dǎo)。提供的幫助文件與在線使用手冊內(nèi)容豐富。特點(diǎn)：軟件提供多種預(yù)先設(shè)置的安全策略，用戶可以自行選擇安全級(jí)別，也支持用戶自定義應(yīng)用程序的安全規(guī)則、系統(tǒng)的安全策略，或自行對(duì)內(nèi)部網(wǎng)絡(luò)指定另外的安全策略。優(yōu)點(diǎn)：軟件運(yùn)行時(shí)占用的系統(tǒng)資源較少，提供特洛伊木馬和入侵檢測功能。缺點(diǎn)：軟件的可升級(jí)性較差，穩(wěn)定性也一般。第七十二頁，共一百八十三頁。藍(lán)盾防火墻個(gè)人版藍(lán)盾曾在2001年中美網(wǎng)絡(luò)攻擊事件中揚(yáng)名，當(dāng)時(shí)有網(wǎng)站報(bào)稱使用該品牌的網(wǎng)站防火墻后，未受黑客攻擊。特點(diǎn)：“藍(lán)盾防火墻個(gè)人版”使用智能防御系統(tǒng)，可以有效地?cái)r截各種探測、攻擊手段，支持用戶自定義安全規(guī)則，具有強(qiáng)大的反追蹤功能。當(dāng)受到攻擊和探測時(shí)，能追蹤攻擊方計(jì)算機(jī)名、用戶名、MACIP地址等。缺點(diǎn)：軟件的使用界面一般，設(shè)置與管理功能較少，不具備擴(kuò)展性與升級(jí)能力，幫助文件和使用手冊也不夠詳細(xì)。

第七十三頁，共一百八十三頁。諾頓個(gè)人防火墻“諾頓個(gè)人防火墻”是“諾頓互連網(wǎng)特警”的一個(gè)部分，它曾在國外的評(píng)比中獲得最佳個(gè)人安全防護(hù)系統(tǒng)的榮譽(yù)。特點(diǎn)：該軟件性能穩(wěn)定，提供自動(dòng)識(shí)別程序，幫助用戶設(shè)置計(jì)算機(jī)系統(tǒng)上應(yīng)用程序的安全規(guī)則，允許用戶為不同的網(wǎng)絡(luò)區(qū)域指定安全策略，方便的在線升級(jí)功能，可以使諾頓個(gè)人防火墻更好地檢測特洛伊木馬和黑客入侵。優(yōu)點(diǎn):軟件的設(shè)置與管理方便，警報(bào)與幫助文件以及使用手冊內(nèi)容詳細(xì)。一旦受到某個(gè)IP地址的攻擊，會(huì)在30分鐘內(nèi)自動(dòng)禁止所有來自該地址的連接請(qǐng)求，使對(duì)方無法試圖使用其他方式攻擊。缺點(diǎn)：軟件占用的系統(tǒng)資源較大，而且由于需要對(duì)應(yīng)用程序逐一指定安全規(guī)則，容易對(duì)用戶造成困擾。第七十四頁，共一百八十三頁。CheckItCheckIt是一個(gè)專業(yè)防火墻，基于規(guī)則定義，通過應(yīng)用程序安全規(guī)則與計(jì)算機(jī)系統(tǒng)安全策略、端口防護(hù)、信任IP防護(hù)和協(xié)議防護(hù)等多種方式，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全。特點(diǎn)：該軟件性能高、功能多，可以通過電子郵件向用戶發(fā)送安全警報(bào)，可以查看計(jì)算機(jī)系統(tǒng)上所運(yùn)行的服務(wù)。優(yōu)點(diǎn)：軟件的網(wǎng)站提供一個(gè)系統(tǒng)測試服務(wù)，可以從多方面測試計(jì)算機(jī)系統(tǒng)的安全情況。軟件的穩(wěn)定性強(qiáng)，占用的系統(tǒng)資源也不多。缺點(diǎn)：應(yīng)用程序的安全規(guī)則定義起來比較麻煩，不支持自動(dòng)識(shí)別功能，軟件使用界面的友好性也較差。第七十五頁，共一百八十三頁。BlackICEDefender“BlackICEDefender”是國外有名的防火墻，特點(diǎn)：軟件使用智能防御系統(tǒng)，集成有非常強(qiáng)大的入侵檢測和分析引擎，可以識(shí)別多種入侵技巧。通過監(jiān)測網(wǎng)絡(luò)端口和TCP/IP協(xié)議，可以攔截可疑的網(wǎng)絡(luò)入侵。優(yōu)點(diǎn)：該軟件的穩(wěn)定強(qiáng)，警報(bào)的靈敏度和準(zhǔn)確率非常高，系統(tǒng)資源占用率極少，支持在線更新。缺點(diǎn)：由于使用智能防御系統(tǒng)，用戶設(shè)置與管理的功能較少。不具備應(yīng)用程序安全規(guī)則等安全防護(hù)手段。第七十六頁，共一百八十三頁。個(gè)人防火墻一般情況下，用戶應(yīng)該選擇智能化程度較高，能夠自動(dòng)識(shí)別可信任的網(wǎng)絡(luò)應(yīng)用程序，能夠更新特洛伊木馬和入侵檢測功能資料庫的防火墻，以避免頻繁地設(shè)置安全規(guī)則，處理安全警報(bào)。在選擇一個(gè)合適的個(gè)人防火墻以后，一般需要進(jìn)行設(shè)置，才能夠起到安全防保作用。這需要用戶具備一定的網(wǎng)絡(luò)知識(shí)，如TCP/IP協(xié)議的基礎(chǔ)知識(shí)等。只有在對(duì)各種協(xié)議所提供的服務(wù)有一定了解之后，才能判斷出應(yīng)用程序或網(wǎng)絡(luò)連接請(qǐng)求的危險(xiǎn)程度，從而正確處理，正確設(shè)置安全規(guī)則。要知道，即使您使用的是智能化較高、支持自動(dòng)識(shí)別應(yīng)用程序或智能防御系統(tǒng)的防火墻，也避免不了自定義安全規(guī)則的工作。用戶還需要了解一些黑客知識(shí)，如各種常見的攻擊手段和名詞，才能夠正確的理解警報(bào)信息所報(bào)告的事件。而且，在處理安全警報(bào)時(shí)要有足夠的耐心，仔細(xì)查看有關(guān)的事件內(nèi)容，做出正確的判斷。如果不加以了解，就允許應(yīng)用程序訪問網(wǎng)絡(luò)或允許他人訪問，也就失去了安裝防火墻的意義。第七十七頁，共一百八十三頁。個(gè)人防火墻為了使您的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)足夠安全，在使用裝防火墻時(shí)，還需要配合病毒防護(hù)軟件，以保護(hù)自己的計(jì)算機(jī)系統(tǒng)，不受到類似惡意修改注冊表之類防火墻較難發(fā)現(xiàn)的攻擊。另外還可以阻止蠕蟲之類的網(wǎng)絡(luò)病毒入侵。經(jīng)常閱讀分析日志文件也是保證網(wǎng)絡(luò)安全的重要方面。通過檢查日志文件，可以確定是否有人在探測您，或使用一定規(guī)則的掃描器，在您的計(jì)算機(jī)系統(tǒng)上尋找安全漏洞。然后再?zèng)Q定是否則需要采用更嚴(yán)格的防火墻安全規(guī)則，以便過濾或是追蹤這些探測行為，并采取相應(yīng)的行動(dòng)。第七十八頁，共一百八十三頁。閱讀內(nèi)容2.3.3常見防火墻產(chǎn)品介紹(企業(yè)級(jí)防火墻,略)2.3.4防火墻配置范例(略)第七十九頁，共一百八十三頁。天網(wǎng)防火墻天網(wǎng)防火墻的設(shè)置包含四個(gè)方面：系統(tǒng)設(shè)置、安全級(jí)別設(shè)置、IP規(guī)則管理和應(yīng)用程序規(guī)則管理。其中，前兩個(gè)設(shè)置比較簡單，重點(diǎn)講述后兩種。第八十頁，共一百八十三頁。天網(wǎng)防火墻的IP規(guī)則IP規(guī)則是針對(duì)整個(gè)系統(tǒng)的網(wǎng)絡(luò)層數(shù)據(jù)包監(jiān)控而設(shè)置的。利用自定義IP規(guī)則，用戶可針對(duì)個(gè)人不同的網(wǎng)絡(luò)狀態(tài)，設(shè)置自己的IP安全規(guī)則，使防御手段更周到、更實(shí)用。用戶可以點(diǎn)擊“自定義IP規(guī)則”鍵或者在“安全級(jí)別”中點(diǎn)擊進(jìn)入IP規(guī)則設(shè)置界面。“天網(wǎng)防火墻個(gè)人版”本身已經(jīng)默認(rèn)設(shè)置了相當(dāng)好的缺省規(guī)則，一般用戶并不需要做任何IP規(guī)則修改，就可以直接使用。如果你不熟悉IP規(guī)則，最好不要調(diào)整它，可以直接使用缺省的規(guī)則。如果你熟悉IP規(guī)則，就可以非常靈活的設(shè)計(jì)合適自己使用的規(guī)則。

第八十一頁，共一百八十三頁。天網(wǎng)防火墻的IP規(guī)則自定義IP規(guī)則簡單的說，規(guī)則是一系列的比較條件和一個(gè)對(duì)數(shù)據(jù)包的動(dòng)作，就是根據(jù)數(shù)據(jù)包的每一個(gè)部分來與設(shè)置的條件比較，當(dāng)符合條件時(shí)，就可以確定對(duì)該包放行或者阻擋。通過合理的設(shè)置規(guī)則就可以把有害的數(shù)據(jù)包擋在你的機(jī)器之外。圖中自定義IP規(guī)則界面點(diǎn)擊“增加”按鈕或選擇一條規(guī)則后按“修改”按鈕，就會(huì)激活編輯窗口。第八十二頁，共一百八十三頁。天網(wǎng)防火墻應(yīng)用程序配置應(yīng)用程序規(guī)則管理天網(wǎng)防火墻個(gè)人版增加對(duì)應(yīng)用程序數(shù)據(jù)傳輸封包進(jìn)行底層分析攔截功能，它可以控制應(yīng)用程序發(fā)送和接收數(shù)據(jù)傳輸包的類型、通訊端口，并且決定攔截還是通過，這是目前其它很多軟件防火墻不具備的功能。在天網(wǎng)防火墻個(gè)人版打開的情況下，激活的任何應(yīng)用程序只要有通訊傳輸數(shù)據(jù)包發(fā)送和接收存在，都會(huì)被天網(wǎng)防火墻個(gè)人版先截獲分析，并彈出窗口，詢問你是通過還是禁止，如圖：這時(shí)用戶可以根據(jù)需要來決定是否允許應(yīng)用程序訪問網(wǎng)絡(luò)。

如果您不選中“以后按照這次的操作進(jìn)行”，那么天網(wǎng)防火墻個(gè)人版在以后會(huì)繼續(xù)截獲該應(yīng)用程序的數(shù)據(jù)傳輸數(shù)據(jù)包，并且彈出警告窗口。如果您如果選中“以后按照這次的操作進(jìn)行”選項(xiàng)，該應(yīng)用程序?qū)⒆约尤氲綉?yīng)用程序列表中，您可以通過應(yīng)用程序設(shè)置來設(shè)置更為詳盡的數(shù)據(jù)傳輸封包過濾方式。第八十三頁，共一百八十三頁。天網(wǎng)防火墻應(yīng)用程序高級(jí)配置高級(jí)應(yīng)用程序規(guī)則設(shè)置點(diǎn)擊規(guī)則面板中的“選項(xiàng)”即可激活應(yīng)用程序規(guī)則高級(jí)設(shè)置頁面，如圖：應(yīng)用程序規(guī)則高級(jí)設(shè)置頁面另外特洛依木馬也是一樣的，天網(wǎng)防火墻個(gè)人版可以察覺到攻擊者對(duì)特洛依木馬的控制通訊，這也是新版天網(wǎng)防火墻個(gè)人版根據(jù)廣大用戶建議所添加的最強(qiáng)大功能之一。第八十四頁，共一百八十三頁。天網(wǎng)防火墻配置界面第八十五頁，共一百八十三頁。天網(wǎng)防火墻日志/網(wǎng)絡(luò)狀態(tài)第八十六頁，共一百八十三頁。2.4防火墻技術(shù)展望2.4.1優(yōu)良的性能新一代防火墻系統(tǒng)不僅應(yīng)該能更好地保護(hù)防火墻后面內(nèi)部網(wǎng)絡(luò)的安全，而且應(yīng)該具有更為優(yōu)良的整體性能。傳統(tǒng)的代理型防火墻雖然可以提供較高級(jí)別的安全保護(hù)，但是同時(shí)它也成為限制網(wǎng)絡(luò)帶寬的瓶頸，這極大地制約了在網(wǎng)絡(luò)中的實(shí)際應(yīng)用。數(shù)據(jù)通過率是表示防火墻性能的參數(shù)，由于不同防火墻的不同功能具有不同的工作量和系統(tǒng)資源要求，因此數(shù)據(jù)在通過防火墻時(shí)會(huì)產(chǎn)生延時(shí)。數(shù)據(jù)通過率越高，防火墻性能越好。大多數(shù)的防火墻產(chǎn)品都支持NAT功能，它可以讓受防火墻保護(hù)的一邊的IP地址不至于暴露在沒有保護(hù)的另一邊，但啟用NAT后，勢必會(huì)對(duì)防火墻系統(tǒng)性能有所影響，目前如何盡量減少這種影響也成為防火墻產(chǎn)品的賣點(diǎn)之一。防火墻系統(tǒng)中集成的VPN（虛擬專用網(wǎng)）解決方案必須是真正的線速運(yùn)行，否則將成為網(wǎng)絡(luò)通信的瓶頸。

特別是采用復(fù)雜的加密算法時(shí)，防火墻性能尤為重要。總之，未來的防火墻系統(tǒng)將會(huì)把高速的性能和最大限度的安全性有機(jī)結(jié)合在一起，有效地消除制約傳統(tǒng)防火墻的性能瓶頸第八十七頁，共一百八十三頁。2.4.2可擴(kuò)展的結(jié)構(gòu)和功能對(duì)于一個(gè)好的防火墻系統(tǒng)而言，它的規(guī)模和功能應(yīng)該能適應(yīng)內(nèi)部網(wǎng)絡(luò)的規(guī)模和安全策略的變化。選擇哪種防火墻，除了應(yīng)考慮它基本性能外，毫無疑問，還應(yīng)考慮用戶的實(shí)際需求與未來網(wǎng)絡(luò)的升級(jí)。

防火墻除了具有保護(hù)網(wǎng)絡(luò)安全的基本功能外提供對(duì)VPN的支持，應(yīng)該具有可擴(kuò)展的內(nèi)駐應(yīng)用層代理。支持常見的網(wǎng)絡(luò)服務(wù)以外，還應(yīng)該能夠按照用戶的需求提供相應(yīng)的代理服務(wù)，例如，如果用戶需要NNTP、X-Window、HTTP和Gopher等服務(wù)，防火墻就應(yīng)該包含相應(yīng)的代理服務(wù)程序。未來的防火墻系統(tǒng)應(yīng)是一個(gè)可隨意伸縮的模塊化解決方案，從最為基本的包過濾器到帶加密功能的VPN型包過濾器，直至一個(gè)獨(dú)立的應(yīng)用網(wǎng)關(guān)，使用戶有充分的余地構(gòu)建自己所需要的防火墻體系。

第八十八頁，共一百八十三頁。網(wǎng)絡(luò)消息傳輸協(xié)議NNTP（網(wǎng)絡(luò)新聞傳輸協(xié)議）用于向Internet上NNTP服務(wù)器或NNTP客戶（新聞閱讀器）發(fā)布網(wǎng)絡(luò)新聞郵件的協(xié)議。NNTP提供通過Internet使用可靠的基于流的新聞傳輸，NNTP提供新聞的分發(fā)、查詢、檢索和投遞。NNTP專門設(shè)計(jì)用于將新聞文章保存在中心數(shù)據(jù)庫的服務(wù)器上，這樣用戶可以選擇要閱讀的特定條目。還提供過期新聞的索引、交叉引用和終止。該協(xié)議在RFC977中定義。NNTP使用TCP端口號(hào)119協(xié)議結(jié)構(gòu)NNTP使用命令和響應(yīng)實(shí)現(xiàn)通信。其中命令由命令字構(gòu)成，在有些情況下帶有參數(shù)。第八十九頁，共一百八十三頁。X-WindowX-Window是UNIX中功能強(qiáng)大的圖形用戶接口(GUI),是基于客戶-服務(wù)器的一種應(yīng)用技術(shù).表現(xiàn)為應(yīng)用可運(yùn)行在一個(gè)功能強(qiáng)大,易與維護(hù)的服務(wù)器上,而屏幕的輸出則顯示在另一個(gè)工作站上.X-window技術(shù)包括兩個(gè)成員:X-server和WindowManager.X-server控制圖像和窗口的顯示,跟蹤鼠標(biāo)和鍵盤的操作.一個(gè)X-server可控制多個(gè)窗口.WindowManager則用于顯示窗口的菜單和邊界,提供窗口的移動(dòng),轉(zhuǎn)換,最大,最小化操作.)第九十頁，共一百八十三頁。2.4.3簡化的安裝與管理防火墻產(chǎn)品配置和管理的難易程度是防火墻能否達(dá)到目的的主要考慮因素之一。實(shí)踐證明，許多防火墻產(chǎn)品并未起到預(yù)期作用的一個(gè)不容忽視的原因在于配置和實(shí)現(xiàn)上的錯(cuò)誤。同時(shí)，若防火墻的管理過于困難，則可能會(huì)造成設(shè)定上的錯(cuò)誤，反而不能達(dá)到其功能。未來的防火墻將具有非常易于進(jìn)行配置的圖形用戶界面，NT防火墻市場的發(fā)展證明了這種趨勢。WindowsNT提供了一種易于安裝和易于管理的基礎(chǔ)。盡管基于NT的防火墻通常落后于基于Unix的防火墻，但NT平臺(tái)的簡單性以及它方便的可用性大大推動(dòng)了基于NT的防火墻的銷售。同時(shí)，像DNS這類一直難于與防火墻恰當(dāng)使用的關(guān)鍵應(yīng)用程序正引起有意簡化操作的廠商越來越多的關(guān)注。第九十一頁，共一百八十三頁。2.4.4主動(dòng)過濾Internet數(shù)據(jù)流的簡化和優(yōu)化使網(wǎng)絡(luò)管理員將注意力集中在這一點(diǎn)上：在Web數(shù)據(jù)流進(jìn)入他們的網(wǎng)絡(luò)之前需要在數(shù)據(jù)流上完成更多的事務(wù)。

防火墻開發(fā)商通過建立功能更強(qiáng)大的Web代理對(duì)這種需要做出了回應(yīng)。例如，許多防火墻具有內(nèi)置病毒和內(nèi)容掃描功能或允許用戶將病毒與內(nèi)容掃描程序進(jìn)行集成。今天，許多防火墻都包括對(duì)過濾產(chǎn)品的支持，并可以與第三方過濾服務(wù)連接，這些服務(wù)提供了不受歡迎的Internet站點(diǎn)的分類清單。防火墻還在它們的Web代理中包括時(shí)間限制功能，允許非工作時(shí)間的沖浪和登錄，并提供沖浪活動(dòng)的報(bào)告。

第九十二頁，共一百八十三頁。2.4.4防病毒與防黑客盡管防火墻在防止不良分子進(jìn)入上發(fā)揮了很好的作用，但TCP／IP協(xié)議套件中存在的脆弱性使Internet對(duì)拒絕服務(wù)攻擊敞開了大門。在拒絕服務(wù)攻擊中，攻擊者試圖使企業(yè)Internet服務(wù)器飽和或使與它連接的系統(tǒng)崩潰，使Internet無法供企業(yè)使用。防火墻市場已經(jīng)對(duì)此做出了反應(yīng)。雖然沒有防火墻可以防止所有的拒絕服務(wù)攻擊，但防火墻廠商一直在盡其可能阻止拒絕服務(wù)攻擊。像對(duì)付序列號(hào)預(yù)測和IP欺騙這類簡單攻擊，這些年來已經(jīng)成為了防火墻工具箱的一部分。像“SYN泛濫”這類更復(fù)雜的拒絕服務(wù)攻擊需要廠商部署更先進(jìn)的檢測和避免方案來對(duì)付。SYN泛濫可以鎖死Web和郵件服務(wù)，這樣沒有數(shù)據(jù)流可以進(jìn)入。綜上所述，未來防火墻技術(shù)會(huì)全面考慮網(wǎng)絡(luò)的安全、操作系統(tǒng)的安全、應(yīng)用程序的安全、用戶的安全、數(shù)據(jù)的安全，五者綜合應(yīng)用。此外，網(wǎng)絡(luò)的防火墻產(chǎn)品還將把網(wǎng)絡(luò)前沿技術(shù)，如Web頁面超高速緩存、虛擬網(wǎng)絡(luò)和帶寬管理等與其自身結(jié)合起來。

第九十三頁，共一百八十三頁。SYN包(synchronize)TCP連接的第一個(gè)包，非常小的一種數(shù)據(jù)包。SYN攻擊包括大量此類的包，由于這些包看上去來自實(shí)際不存在的站點(diǎn)，因此無法有效進(jìn)行處理。每個(gè)機(jī)器的欺騙包都要花幾秒鐘進(jìn)行嘗試方可放棄提供正常響應(yīng)。在黑客攻擊事件中，SYN攻擊是最常見又最容易被利用的一種攻擊手法。

SYN攻擊屬于DOS攻擊的一種，它利用TCP協(xié)議缺陷，通過發(fā)送大量的半連接請(qǐng)求，耗費(fèi)CPU和內(nèi)存資源。SYN攻擊除了能影響主機(jī)外，還可以危害路由器、防火墻等網(wǎng)絡(luò)系統(tǒng)，事實(shí)上SYN攻擊并不管目標(biāo)是什么系統(tǒng)，只要這些系統(tǒng)打開TCP服務(wù)就可以實(shí)施。服務(wù)器接收到連接請(qǐng)求（syn=j），將此信息加入未連接隊(duì)列，并發(fā)送請(qǐng)求包給客戶（syn=k,ack=j+1），此時(shí)進(jìn)入SYN_RECV狀態(tài)。當(dāng)服務(wù)器未收到客戶端的確認(rèn)包時(shí)，重發(fā)請(qǐng)求包，一直到超時(shí)，才將此條目從未連接隊(duì)列刪除。配合IP欺騙，SYN攻擊能達(dá)到很好的效果，通常，客戶端在短時(shí)間內(nèi)偽造大量不存在的IP地址，向服務(wù)器不斷地發(fā)送syn包，服務(wù)器回復(fù)確認(rèn)包，并等待客戶的確認(rèn)，由于源地址是不存在的，服務(wù)器需要不斷的重發(fā)直至超時(shí)，這些偽造的SYN包將長時(shí)間占用未連接隊(duì)列，正常的SYN請(qǐng)求被丟棄，目標(biāo)系統(tǒng)運(yùn)行緩慢，嚴(yán)重者引起網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。

關(guān)于SYN攻擊防范技術(shù)，人們研究得比較早。歸納起來，主要有兩大類，一類是通過防火墻、路由器等過濾網(wǎng)關(guān)防護(hù)，另一類是通過加固TCP/IP協(xié)議棧防范.但必須清楚的是，SYN攻擊不能完全被阻止，我們所做的是盡可能的減輕SYN攻擊的危害，除非將TCP協(xié)議重新設(shè)計(jì)。第九十四頁，共一百八十三頁。2.5網(wǎng)絡(luò)黑客概述

黑客（hacker），源于英語動(dòng)詞hack，意為“劈，砍”，引申為“干了一件非常漂亮的工作”。在早期麻省理工學(xué)院的校園俚語中，“黑客”則有“惡作劇”之意，尤指手法巧妙、技術(shù)高明的惡作劇。在日本《新黑客詞典》中，對(duì)黑客的定義是“喜歡探索軟件程序奧秘，并從中增長了其個(gè)人才干的人。他們不象絕大多數(shù)電腦使用者那樣，只規(guī)規(guī)矩矩地了解別人指定了解的狹小部分知識(shí)?！庇蛇@些定義中，我們還看不出太貶義的意味。他們通常具有硬件和軟件的高級(jí)知識(shí)，并有能力通過創(chuàng)新的方法剖析系統(tǒng)。95第九十五頁，共一百八十三頁。目前將黑客的分成三類：第一類：網(wǎng)絡(luò)黑客（紅客）；第二類：計(jì)算機(jī)朋客（破壞者）；第三類：網(wǎng)絡(luò)駭客（間諜）；第九十六頁，共一百八十三頁。網(wǎng)絡(luò)攻擊概述一個(gè)網(wǎng)絡(luò)攻擊的組成網(wǎng)絡(luò)攻擊攻擊者工具訪問結(jié)果目標(biāo)駭客黑客計(jì)算機(jī)朋客分布式工具程序自治代理工具集用戶命令信息破壞信息暴露服務(wù)偷竊服務(wù)拒絕破壞配置的脆弱點(diǎn)實(shí)現(xiàn)的漏洞黑客用戶命令配置的脆弱點(diǎn)信息破壞破壞第九十七頁，共一百八十三頁。網(wǎng)絡(luò)安全的背景經(jīng)常有網(wǎng)站遭受黑客攻擊第九十八頁，共一百八十三頁。網(wǎng)絡(luò)安全的背景用戶數(shù)據(jù)的泄漏第九十九頁，共一百八十三頁。網(wǎng)絡(luò)安全的背景黑客攻擊技術(shù)與網(wǎng)絡(luò)病毒日趨融合第一百頁，共一百八十三頁。2.6黑客攻防技術(shù)2.6.1黑客攻擊的工具2.6.2黑客攻擊的常用技術(shù)第一類是服務(wù)拒絕攻擊，第二類是利用型攻擊第三類是信息收集型攻擊第四類是假消息攻擊101第一百零一頁，共一百八十三頁。2.6黑客攻防技術(shù)2.6.3黑客攻擊步驟1．溢出攻擊法攻擊步驟2．嗅探偵聽法（sniffer）攻擊步驟3．DOS和DDOS攻擊步驟2.6.4黑客攻擊的防護(hù)步驟1．溢出攻擊法防護(hù)2．嗅探偵聽法（sniffer）攻擊防護(hù)3．拒絕服務(wù)攻擊的防護(hù)4．計(jì)算機(jī)病毒攻擊防護(hù)102第一百零二頁，共一百八十三頁。2.6黑客攻防技術(shù)2.6.1黑客攻擊的工具1．PasswordCrackersPasswordCrackers因其用途廣泛而成為黑客使用的主流工具。實(shí)施口令破譯攻擊分為兩步，第一步：攻擊者首先從被攻擊對(duì)象的計(jì)算機(jī)里讀出一個(gè)加密口令檔案(大部分系統(tǒng)，包括WindowsNT及UNIX，他們把口令加密后儲(chǔ)存在檔案系統(tǒng)內(nèi)，以便當(dāng)用戶登錄時(shí)認(rèn)證)；第二步：攻擊者以字典為輔助工具，用PasswordCrackers開始嘗試去破譯口令。其辦法是把字典的每一項(xiàng)進(jìn)行加密，然后兩者進(jìn)行比較。假若兩個(gè)加密口令相符，黑客就會(huì)知道該口令；假若兩者不符，此工具繼續(xù)重復(fù)工作，直到字典最后一項(xiàng)。有時(shí)，黑客們甚至?xí)嚤槊恳环N字母的組合。使用該種方法，口令破譯的速度與加密及比較的速度有關(guān)。第一百零三頁，共一百八十三頁。2．L0phtCrackL0phtCrack由黑客組L0phtHeavyIndustries撰寫，它專門用于破譯WindowsNT口令。此工具性能強(qiáng)大，又很容易使用,軟件性能也隨之提高(比舊版本快450%)。據(jù)稱，一臺(tái)450MHzPentiumII計(jì)算機(jī)一天內(nèi)就可破譯所有字母數(shù)字混合的口令。L0phtCrack可通過多種渠道得到加密的口令檔案。只要黑客運(yùn)行一個(gè)包含L0phtCrack的程序，或從windowNT系統(tǒng)管理員的備份軟盤里拷貝一個(gè)程序，就可以得到WindowsNT系統(tǒng)里的SAM數(shù)據(jù)庫。L0phtCrack最新版的GUI可以從網(wǎng)絡(luò)中得到加密的Windows口令。當(dāng)你登錄到NT域，你的口令會(huì)被用哈希算法送到網(wǎng)絡(luò)上。L0phtCrack的內(nèi)置嗅探器很容易找到這個(gè)加密值并破譯它。第一百零四頁，共一百八十三頁。3．WarDialers防火墻這個(gè)堅(jiān)固的防線只封住了網(wǎng)絡(luò)的前門，但內(nèi)部網(wǎng)中不注冊的調(diào)制解調(diào)器卻向入侵者敞開了“后門”。WarDialers能迅速地找出這些調(diào)制解調(diào)器，隨即攻入網(wǎng)絡(luò)。它的攻擊原理非常簡單：不斷以順序或亂序撥打電話號(hào)碼，尋找調(diào)制解調(diào)器接通后熟悉的回應(yīng)音。一旦WarDialers找到一大堆能接通的調(diào)制解調(diào)器后，黑客們便撥號(hào)入網(wǎng)繼續(xù)尋找系統(tǒng)內(nèi)未加保護(hù)的登錄或容易猜測的口令。WarDialers首選攻擊對(duì)象是“沒有口令”的PC遠(yuǎn)程管理軟件。這些軟件通常是由最終用戶安裝用來遠(yuǎn)程訪問公司內(nèi)部系統(tǒng)的。這些PC遠(yuǎn)程控制程序當(dāng)用到不安全的調(diào)制解調(diào)器時(shí)是異常脆弱的。THC-Scan是TheHacker’sChoice(THC)Scanner的縮寫。這個(gè)WarDialers工具是由“vanHauser”撰寫的。它的功能非常齊全。THC-Scan與其他普通WarDialers工具不同，它能自動(dòng)檢測調(diào)制解調(diào)器的速度、數(shù)據(jù)位、校驗(yàn)位及停止位。此工具也嘗試去判斷被發(fā)現(xiàn)的計(jì)算機(jī)所使用的操作系統(tǒng)。而且，THC-Scan有能力確認(rèn)什么時(shí)候能再有撥號(hào)音，這樣，黑客們便可以不經(jīng)過你的PBX就可以撥打免費(fèi)電話。第一百零五頁，共一百八十三頁。聲明由于這些工具可以在網(wǎng)上免費(fèi)下載，并且它可能會(huì)損害你的系統(tǒng)，因此，教師在文中論述某一工具時(shí)，并不表示他默許或是推薦你使用。當(dāng)然，對(duì)于黑客的攻擊，我們也有一系列的應(yīng)對(duì)措施，具體內(nèi)容見2.6.4節(jié)。第一百零六頁，共一百八十三頁。2.6.2黑客攻擊的常用技術(shù)網(wǎng)絡(luò)攻擊的方式一般分為四類：第一類是服務(wù)拒絕攻擊，包括死亡之ping(pingofdeath)、淚滴(teardrop)、UDP洪水(UDPflood)、SYN洪水（SYNflood）、Land攻擊、Smurf攻擊、Fraggle攻擊、電子郵件炸彈、畸形消息攻擊等。第二類是利用型攻擊，包括口令猜測、特洛伊木馬、緩沖區(qū)溢出。第三類是信息收集型攻擊，包括地址掃描、端口掃描、反響映射、慢速掃描、體系結(jié)構(gòu)探測、DNS域轉(zhuǎn)換、Finger服務(wù)、LDAP服務(wù)等。第四類是假消息攻擊，主要包括：DNS高速緩存污染、偽造電子郵件。第一百零七頁，共一百八十三頁。1．溢出攻擊法原理：當(dāng)某個(gè)數(shù)據(jù)，超過了處理程序限制的范圍時(shí)，該數(shù)據(jù)就會(huì)造成程序的執(zhí)行溢出(overflow)。通常一個(gè)服務(wù)進(jìn)程在接收一個(gè)用戶請(qǐng)求時(shí)，會(huì)創(chuàng)建一個(gè)子進(jìn)程去進(jìn)行應(yīng)答和服務(wù)，如果這個(gè)子進(jìn)程接收了一些無特別含義的超過限制的數(shù)據(jù)，通常會(huì)終止，而服務(wù)的父進(jìn)程和其他子進(jìn)程并不受影響，因此對(duì)系統(tǒng)的危害實(shí)際上并不大。但是如果這個(gè)數(shù)據(jù)包是被精心構(gòu)造的，那么在溢出點(diǎn)后面的就可能是精心策劃的代碼，從而進(jìn)行服務(wù)端的代碼執(zhí)行，進(jìn)而有可能控制系統(tǒng)。溢出攻擊法的特點(diǎn)是，只要用足夠的技術(shù)，對(duì)系統(tǒng)有足夠的認(rèn)識(shí)和分析，就能夠通過溢出攻擊獲得對(duì)系統(tǒng)的控制，從而達(dá)到攻擊的最高目標(biāo)，而這個(gè)過程中，不需要依賴于密碼的破解，嗅探，偵聽等手段，也不需要任何非技術(shù)的手段和騙局，事實(shí)上，如果能夠成功實(shí)施溢出攻擊，即便是面對(duì)一個(gè)已知的漏洞，在沒有特別傻瓜化的工具情況下，也需要非常高的系統(tǒng)認(rèn)識(shí)能力和低層編程素質(zhì)，一些精深的老黑客樂于此道而不思其余，是很有道理的。第一百零八頁，共一百八十三頁。2．嗅探偵聽法（sniffer）也被稱為報(bào)文截獲法，原理：網(wǎng)絡(luò)的一個(gè)特點(diǎn)就是數(shù)據(jù)總在流動(dòng)中，而互聯(lián)網(wǎng)由錯(cuò)綜復(fù)雜的各種網(wǎng)絡(luò)交匯而成的。當(dāng)你的數(shù)據(jù)從網(wǎng)絡(luò)的一臺(tái)電腦到另一臺(tái)電腦的時(shí)候，通常會(huì)經(jīng)過大量不同的網(wǎng)絡(luò)設(shè)備，用tracert命令就可以看到這種路徑是如何進(jìn)行的。嗅探偵聽主要有兩種途徑，一種是將偵聽工具軟件放到網(wǎng)絡(luò)連接的設(shè)備或者放到可以控制網(wǎng)絡(luò)連接設(shè)備的電腦上，這里的網(wǎng)絡(luò)連接設(shè)備，比如網(wǎng)關(guān)服務(wù)器，比如路由器。另外一種是針對(duì)不安全的局域網(wǎng)（采用交換hub實(shí)現(xiàn)），放到個(gè)人電腦上就可以實(shí)現(xiàn)對(duì)整個(gè)局域網(wǎng)的偵聽，這里的原理是這樣的，共享hub獲得一個(gè)子網(wǎng)內(nèi)需要接收的數(shù)據(jù)時(shí)，并不是直接發(fā)送到指定主機(jī)，而是通過廣播方式發(fā)送到每個(gè)電腦，對(duì)于處于接受者地位的電腦就會(huì)處理該數(shù)據(jù)，而其他非接受者的電腦就會(huì)過濾這些數(shù)據(jù)。第一百零九頁，共一百八十三頁。3．拒絕服務(wù)攻擊（DenialofService）拒絕服務(wù)攻擊是指一個(gè)用戶占據(jù)了大量的共享資源，使系統(tǒng)沒剩余的資源給其他用戶提供服務(wù)的一種攻擊方式。這種攻擊主要是用來攻擊域名服務(wù)器、路由器以及其他網(wǎng)絡(luò)操作系統(tǒng)，攻擊之后被攻擊者無法正常運(yùn)行和工作，嚴(yán)重的可以使網(wǎng)絡(luò)一度癱瘓。拒絕服務(wù)類型一般有兩種。一種是使用IP欺騙，迫使服務(wù)器把合法用戶的鏈接復(fù)位，影響合法用戶的鏈接；第二是過載一些系統(tǒng)服務(wù)或者消耗一些資源，但這種情況有時(shí)候是攻擊者攻擊所造成的，也有時(shí)候是因?yàn)橄到y(tǒng)錯(cuò)誤造成的。第一百一十頁，共一百八十三頁。DDOS（DistributedDenialOfService）DDOS（DistributedDenialOfService）即分布式拒絕服務(wù)攻擊，這種分布式拒絕服務(wù)攻擊是黑客利用在已經(jīng)侵入并已控制的不同的高帶寬主機(jī)（上安裝大量的DoS服務(wù)程序，它們等待來自中央攻擊控制中心的命令，中央攻擊控制中心在適時(shí)啟動(dòng)全體受控主機(jī)的DoS服務(wù)進(jìn)程，讓它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請(qǐng)求，形成一股DoS洪流沖擊目標(biāo)系統(tǒng)，猛烈的DoS攻擊同一個(gè)網(wǎng)站。在寡不敵眾的力量抗衡下，被攻擊的目標(biāo)網(wǎng)站會(huì)很快失去反應(yīng)而不能及時(shí)處理正常的訪問甚至系統(tǒng)癱瘓崩潰?？梢姡珼oS是一臺(tái)機(jī)器攻擊目標(biāo)，DDoS是被中央攻擊中心控制的很多臺(tái)機(jī)器利用他們的高帶寬攻擊目標(biāo)，可更容易地將目標(biāo)網(wǎng)站攻下。另外，DDoS攻擊方式較為自動(dòng)化，攻擊者可以把他的程序安裝到網(wǎng)絡(luò)中的多臺(tái)機(jī)器上，所采用的這種攻擊方式很難被攻擊對(duì)象察覺，直到攻擊者發(fā)下統(tǒng)一的攻擊命令，這些機(jī)器才同時(shí)發(fā)起進(jìn)攻?？梢哉fDDoS攻擊是由黑客集中控制發(fā)動(dòng)的一組DoS攻擊的集合，現(xiàn)在這種方式被認(rèn)為是最有效的攻擊形式，并且非常難以抵擋。

無論是DoS攻擊還是DDoS攻擊，簡單的看，都只是一種破壞網(wǎng)絡(luò)服務(wù)的黑客方式，都有一個(gè)共同點(diǎn)，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)無法及時(shí)接收并處理外界請(qǐng)求，或無法及時(shí)回應(yīng)外界請(qǐng)求。第一百一十一頁，共一百八十三頁。4．計(jì)算機(jī)病毒通過某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)(或程序)里,當(dāng)達(dá)到某種條件時(shí)即被激活,它用修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染它們，對(duì)電腦資源進(jìn)行破壞的這樣一組程序或指令集合。企業(yè)局域網(wǎng)接入Internet，內(nèi)部的文件很容易受到病毒的感染，這些帶毒的文件被執(zhí)行后，整個(gè)的網(wǎng)絡(luò)很快也會(huì)受到株連，從而導(dǎo)致數(shù)據(jù)丟失，甚至造成網(wǎng)絡(luò)癱瘓。第一百一十二頁，共一百八十三頁。5．口令攻擊口令攻擊一般有三種方法：一是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令，這類方法有一定的局限性，但危害性極大，監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號(hào)和口令，對(duì)局域網(wǎng)安全威脅巨大；二是知道用戶賬號(hào)后利用一些專門軟件強(qiáng)行破解用戶口令；三是在獲得一個(gè)服務(wù)器上的用戶口令（Shadow）文件后，用暴力破解程序用戶口令，該方法的使用前提是黑客獲得口令的Shadow文件。此方法在所有方法中危害最大。強(qiáng)行破解口令的方法是采用逐個(gè)試口令直到成功為止，一般把這種方法叫做“字典攻擊”。所謂“字典攻擊”就是黑客用專門的破解軟件對(duì)系統(tǒng)的用戶名和口令進(jìn)行猜測性的攻擊。一般的弱口令可以很快地被破解。第一百一十三頁，共一百八十三頁。6．端口掃描一個(gè)端口就是一個(gè)潛在的通信通道，也就是一個(gè)可能的入侵通道。對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描，能得到許多有用的信息，從而發(fā)現(xiàn)系統(tǒng)的安全漏洞。掃描大致可分為端口掃描、系統(tǒng)信息掃描、漏洞掃描幾種。第一百一十四頁，共一百八十三頁。案例4-1系統(tǒng)用戶掃描可以使用工具軟件：GetNTUser，該工具可以在Winnt4以及Win2000操作系統(tǒng)上使用，主要功能包括：（1）掃描出NT主機(jī)上存在的用戶名。（2）自動(dòng)猜測空密碼和與用戶名相同的密碼。（3）可以使用指定密碼字典猜測密碼。（4）可以使用指定字符來窮舉猜測密碼。第一百一十五頁，共一百八十三頁。掃描對(duì)IP為09的計(jì)算機(jī)進(jìn)行掃描，首先將該計(jì)算機(jī)添加到掃描列表中，選擇菜單File下的菜單項(xiàng)“添加主機(jī)”，輸入目標(biāo)計(jì)算機(jī)的IP地址，如圖4-3所示。可以得到對(duì)方的用戶列表了。點(diǎn)擊工具欄上的圖標(biāo)，得到的用戶列表如圖4-4所示。第一百一十六頁，共一百八十三頁。密碼破解利用該工具可以對(duì)計(jì)算機(jī)上用戶進(jìn)行密碼破解，首先設(shè)置密碼字典，設(shè)置完密碼字典以后，將會(huì)用密碼字典里的每一個(gè)密碼對(duì)目標(biāo)用戶進(jìn)行測試，如果用戶的密碼在密碼字典中就可以得到該密碼。一個(gè)典型的密碼字典如圖下圖所示。第一百一十七頁，共一百八十三頁。設(shè)置密碼字典選擇菜單欄工具下的菜單項(xiàng)“設(shè)置”，設(shè)置密碼字典為一個(gè)文本文件，如圖所示。第一百一十八頁，共一百八十三頁。進(jìn)行系統(tǒng)破解利用密碼字典中的密碼進(jìn)行系統(tǒng)破解，選擇菜單欄工具下的菜單項(xiàng)“字典測試”，程序?qū)凑兆值涞脑O(shè)置進(jìn)行逐一的匹配，如圖所示。第一百一十九頁，共一百八十三頁。案例4-2開放端口掃描得到對(duì)方開放了哪些端口也是掃描的重要一步。使用工具軟件PortScan可以到得到對(duì)方計(jì)算機(jī)都開放了哪些端口，主界面如圖4-8所示。

第一百二十頁，共一百八十三頁。端口掃描對(duì)09的計(jì)算機(jī)進(jìn)行端口掃描，在Scan文本框中輸入IP地址，點(diǎn)擊按鈕“START”，開始掃描如圖4-9所示。第一百二十一頁，共一百八十三頁。案例4-3共享目錄掃描通過工具軟件Shed來掃描對(duì)方主機(jī)，得到對(duì)方計(jì)算機(jī)提供了哪些目錄共享。工具軟件的主界面如圖4-10所示。第一百二十二頁，共一百八十三頁。掃描一個(gè)IP地址段該軟件可以掃描一個(gè)IP地址段的共享信息，這里只掃描IP為09的目錄共享情況。在起始IP框和終止IP框中都輸入09，點(diǎn)擊按鈕“開始”就可以得到對(duì)方的共享目錄了，如圖4-11所示。第一百二十三頁，共一百八十三頁。案例4-4利用TCP協(xié)議實(shí)現(xiàn)端口掃描實(shí)現(xiàn)端口掃描的程序可以使用TCP協(xié)議和UDP協(xié)議，原理是利用Socket連接對(duì)方的計(jì)算機(jī)的某端口，試圖和該端口建立連接如果建立成功，就說明對(duì)方開放了該端口，如果失敗了，就說明對(duì)方?jīng)]有開放該端口，具體實(shí)現(xiàn)程序proj4_4.cpp所示。第一百二十四頁，共一百八十三頁。案例4-5漏洞掃描使用工具軟件X-Scan-v2.3該軟件的系統(tǒng)要求為：Windows9x/NT4/2000。該軟件采用多線程方式對(duì)指定IP地址段(（或單機(jī)）進(jìn)行安全漏洞檢測，支持插件功能，提供了圖形界面和命令行兩種操作方式掃描內(nèi)容包括：遠(yuǎn)程操作系統(tǒng)類型及版本標(biāo)準(zhǔn)端口狀態(tài)及端口Banner信息SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用戶，NT服務(wù)器NETBIOS信息注冊表信息等。第一百二十五頁，共一百八十三頁。主界面掃描結(jié)果保存在/log/目錄中，index_*.htm為掃描結(jié)果索引文件。主界面如圖4-14所示。第一百二十六頁，共一百八十三頁。掃描參數(shù)可以利用該軟件對(duì)系統(tǒng)存在的一些漏洞進(jìn)行掃描，選擇菜單欄設(shè)置下的菜單項(xiàng)“掃描參數(shù)”，掃描參數(shù)的設(shè)置如圖4-15所示。第一百二十七頁，共一百八十三頁。掃描參數(shù)可以看出該軟件可以對(duì)常用的網(wǎng)絡(luò)以及系統(tǒng)的漏洞進(jìn)行全面的掃描，選中幾個(gè)復(fù)選框，點(diǎn)擊按鈕“確定”。下面需要確定要掃描主機(jī)的IP地址或者IP地址段，選擇菜單欄設(shè)置下的菜單項(xiàng)“掃描參數(shù)”，掃描一臺(tái)主機(jī)，在指定IP范圍框中輸入：09-09，如圖4-16所示。第一百二十八頁，共一百八十三頁。漏洞掃描設(shè)置完畢后，進(jìn)行漏洞掃描，點(diǎn)擊工具欄上的圖標(biāo)“開始”，開始對(duì)目標(biāo)主機(jī)進(jìn)行掃描，如圖4-17所示。第一百二十九頁，共一百八十三頁。網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽的目的是截獲通信的內(nèi)容，監(jiān)聽的手段是對(duì)協(xié)議進(jìn)行分析。Snifferpro就是一個(gè)完善的網(wǎng)絡(luò)監(jiān)聽工具。監(jiān)聽器Sniffer的原理：在局域網(wǎng)中與其他計(jì)算機(jī)進(jìn)行數(shù)據(jù)交換的時(shí)候，發(fā)送的數(shù)據(jù)包發(fā)往所有的連在一起的主機(jī)，也就是廣播，在報(bào)頭中包含目標(biāo)機(jī)的正確地址。因此只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才會(huì)接收數(shù)據(jù)包，其他的機(jī)器都會(huì)將包丟棄。但是，當(dāng)主機(jī)工作在監(jiān)聽模式下時(shí)，無論接收到的數(shù)據(jù)包中目標(biāo)地址是什么，主機(jī)都將其接收下來。然后對(duì)數(shù)據(jù)包進(jìn)行分析，就得到了局域網(wǎng)中通信的數(shù)據(jù)。一臺(tái)計(jì)算機(jī)可以監(jiān)聽同一網(wǎng)段所有的數(shù)據(jù)包，不能監(jiān)聽不同網(wǎng)段的計(jì)算機(jī)傳輸?shù)男畔?。第一百三十頁，共一百八十三頁。監(jiān)聽軟件防止監(jiān)聽的手段是：建設(shè)交換網(wǎng)絡(luò)、使用加密技術(shù)和使用一次性口令技術(shù)。除了非常著名的監(jiān)聽軟件SnifferPro以外，還有一些常用的監(jiān)聽軟件：嗅探經(jīng)典－－Iris密碼監(jiān)聽工具－－WinSniffer密碼監(jiān)聽工具－－pswmonitor和非交換環(huán)境局域網(wǎng)的fssniffer等等SnifferPro是一款非常著名監(jiān)聽的工具，但是SnifferPro不能有效的提取有效的信息。第一百三十一頁，共一百八十三頁。監(jiān)聽工具-WinSnifferWinSniffer專門用來截取局域網(wǎng)內(nèi)的密碼，比如登錄FTP，登錄Email等的密碼。主界面如圖4-19所示。第一百三十二頁，共一百八十三頁。設(shè)置只要做簡單的設(shè)置就可以進(jìn)行密碼抓取了，點(diǎn)擊工具欄圖標(biāo)“Adapter”，設(shè)置網(wǎng)卡，這里設(shè)置為本機(jī)的物理網(wǎng)卡就可以，如圖4-20所示。第一百三十三頁，共一百八十三頁。抓取密碼這樣就可以抓取密碼了，使用DOS命令行連接遠(yuǎn)程的FTP服務(wù)，如圖4-21所示。第一百三十四頁，共一百八十三頁。會(huì)話過程打開WinSniffer，看到剛才的會(huì)話過程已經(jīng)被記錄下來了，顯示了會(huì)話的一些基本信息，如圖4-22所示。第一百三十五頁，共一百八十三頁。監(jiān)聽工具-pswmonitor監(jiān)聽器pswmonitor用于監(jiān)聽基于WEB的郵箱密碼、POP3收信密碼和FTP登錄密碼等等，只需在一臺(tái)電腦上運(yùn)行，就可以監(jiān)聽局域網(wǎng)內(nèi)任意一臺(tái)電腦登錄的用戶名和密碼，并將密碼顯示、保存，或發(fā)送到用戶指定的郵箱，主界面如圖4-23所示。第一百三十六頁，共一百八十三頁。監(jiān)聽工具-pswmonitor該工具軟件功能比較強(qiáng)大，可以監(jiān)聽的一個(gè)網(wǎng)段所有的用戶名和密碼，而且還可以指定發(fā)送的郵箱，設(shè)置的界面如圖4-24所示。第一百三十七頁，共一百八十三頁。

7．電子郵件攻擊電子郵件攻擊指通過發(fā)送電子郵件進(jìn)行的網(wǎng)絡(luò)攻擊。有兩種形式：一是通常所說的郵件炸彈，指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)、萬計(jì)甚至無窮多次的內(nèi)容相同的垃圾郵件，嚴(yán)重者可能會(huì)給電子郵件服務(wù)器操作系統(tǒng)帶來危險(xiǎn)，甚至癱瘓；二是電子郵件欺騙，攻擊者佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），給用戶發(fā)送郵件要求用戶修改口令（口令可能為指定符串）或在貌似正常的附件中加載病毒或其他木馬程序。第一百三十八頁，共一百八十三頁。8．網(wǎng)頁攻擊8．網(wǎng)頁攻擊網(wǎng)頁攻擊指一些惡意網(wǎng)頁利用軟件或系統(tǒng)操作平臺(tái)等的安全等的安全漏洞，通過執(zhí)行嵌入在網(wǎng)頁HTML超文本標(biāo)記語言內(nèi)的JavaApplet小應(yīng)用程序、Javascript腳本語言程序、ActiveX軟件部件交互技術(shù)支持可自動(dòng)執(zhí)行的代碼程序，強(qiáng)行修改用戶操作系統(tǒng)的注冊表及系統(tǒng)實(shí)用配置程序，從而達(dá)到非法控制系統(tǒng)資源、破壞數(shù)據(jù)、格式化硬盤、感染木馬程序目的。常見的網(wǎng)頁攻擊現(xiàn)象有IE標(biāo)題欄被修改、IE默認(rèn)首頁被修改并且鎖定設(shè)置項(xiàng)、IE右鍵菜單被修改或禁用、系統(tǒng)啟動(dòng)直接開啟IE并打開莫名其妙的網(wǎng)頁、將網(wǎng)址添加到桌面和開始菜單，刪除后開機(jī)又恢復(fù)、禁止使用注冊表編輯器、在系統(tǒng)時(shí)間前面加上網(wǎng)頁廣告、更改“我的電腦”下的系統(tǒng)文件夾名稱、禁止“關(guān)閉系統(tǒng)”、禁止“運(yùn)行”，禁止DOS、隱藏C盤令C盤從系統(tǒng)中“消失”等。第一百三十九頁，共一百八十三頁。2.6.3攻擊五部曲一次成功的攻擊，都可以歸納成基本的五步驟，但是根據(jù)實(shí)際情況可以隨時(shí)調(diào)整。歸納起來就是“黑客攻擊五部曲”1、隱藏IP2、踩點(diǎn)掃描3、獲得系統(tǒng)或管理員權(quán)限4、種植后門5、在網(wǎng)絡(luò)中隱身第一百四十頁，共一百八十三頁。1、隱藏IP這一步必須做，因?yàn)槿绻约旱娜肭值暮圹E被發(fā)現(xiàn)了，當(dāng)FBI找上門的時(shí)候就一切都晚了。通常有兩種方法實(shí)現(xiàn)自己IP的隱藏：第一種方法是首先入侵互聯(lián)網(wǎng)上的一臺(tái)電腦（俗稱“肉雞”），利用這臺(tái)電腦進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。第二種方式是做多極跳板“Sock代理”，這樣在入侵的電腦上留下的是代理計(jì)算機(jī)的IP地址。比如攻擊A國的站點(diǎn)，一般選擇離A國很遠(yuǎn)的B國計(jì)算機(jī)作為“肉雞”或者“代理”，這樣跨國度的攻擊，一般很難被偵破。第一百四十一頁，共一百八十三頁。2、踩點(diǎn)掃描踩點(diǎn)就是通過各種途徑對(duì)所要攻擊的目標(biāo)進(jìn)行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確），確定攻擊的時(shí)間和地點(diǎn)。掃描的目的是利用各種工具在攻擊目標(biāo)的IP地址或地址段的主機(jī)上尋找漏洞。掃描分成兩種策略：被動(dòng)式策略和主動(dòng)式策略。第一百四十二頁，共一百八十三頁。3、獲得系統(tǒng)或管理員權(quán)限得到管理員權(quán)限的目的是連接到遠(yuǎn)程計(jì)算機(jī)，對(duì)其進(jìn)行控制，達(dá)到自己攻擊目的。獲得系統(tǒng)及管理員權(quán)限的方法有：通過系統(tǒng)漏洞獲得系統(tǒng)權(quán)限通過管理漏洞獲得管理員權(quán)限通過軟件漏洞得到系統(tǒng)權(quán)限通過監(jiān)聽獲得敏感信息進(jìn)一步獲得相應(yīng)權(quán)限通過弱口令獲得遠(yuǎn)程管理員的用戶密碼通過窮舉法獲得遠(yuǎn)程管理員的用戶密碼通過攻破與目標(biāo)機(jī)有信任關(guān)系另一臺(tái)機(jī)器進(jìn)而得到目標(biāo)機(jī)的控制權(quán)通過欺騙獲得權(quán)限以及其他有效的方法。第一百四十三頁，共一百八十三頁。4、種植后門為了保持長期對(duì)自己勝利果實(shí)的訪問權(quán),在已經(jīng)攻破的計(jì)算機(jī)上種植一些供自己訪問的后門。第一百四十四頁，共一百八十三頁。5、在網(wǎng)絡(luò)中隱身一次成功入侵之后，一般在對(duì)方的計(jì)算機(jī)上已經(jīng)存儲(chǔ)了相關(guān)的登錄日志，這樣就容易被管理員發(fā)現(xiàn)。在入侵完畢后需要清除登錄日志已經(jīng)其他相關(guān)的日志。第一百四十五頁，共一百八十三頁。2.6.3黑客攻擊步驟1．溢出攻擊法攻擊步驟（1）測試溢出點(diǎn)具體溢出點(diǎn)（也就是可以放置攻擊代碼的臨界點(diǎn)，如果放置錯(cuò)了哪怕一個(gè)位置，都不可能被系統(tǒng)執(zhí)行，這種放在內(nèi)存里的匯編和用開發(fā)工具寫原程序?qū)Ω袷降囊?，位置的要求都是極高的）。

（2）構(gòu)造攻擊代碼第一是代碼格式和規(guī)范必須與受攻擊系統(tǒng)的相關(guān)匯編指令完全一致，第二是代碼結(jié)束要干凈，比如中斷進(jìn)程，如果結(jié)束不干凈，又和原來系統(tǒng)的代碼攪在一起，執(zhí)行過程就可能會(huì)偏離攻擊者的意圖。

（3）進(jìn)行控制和入侵如果相關(guān)攻擊代碼加載了后門，開辟了專門的shell，那么攻擊者就可以方便的進(jìn)出該系統(tǒng)，實(shí)現(xiàn)更方便的控制。第一百四十六頁，共一百八十三頁。緩沖區(qū)溢出攻擊目前最流行的一種攻擊技術(shù)就是緩沖區(qū)溢出攻擊。當(dāng)目標(biāo)操作系統(tǒng)收到了超過了它的最大能接收的信息量的時(shí)候，將發(fā)生緩沖區(qū)溢出。這些多余的數(shù)據(jù)將使程序的緩沖區(qū)溢出，然后覆蓋了實(shí)際的程序數(shù)據(jù)，緩沖區(qū)溢出使目標(biāo)系統(tǒng)的程序被修改，經(jīng)過這種修改的結(jié)果使在系統(tǒng)上產(chǎn)生一個(gè)后門。這項(xiàng)攻擊對(duì)技術(shù)要求比較高，但是攻擊的過程卻非常簡單。緩沖區(qū)溢出原理很簡單，比如程序：第一百四十七頁，共一百八十三頁。緩沖區(qū)溢出攻擊voidfunction(char*szPara1){ charbuff[16];