計算機(jī)安全原理與實踐期末復(fù)習(xí)請說出敵手、攻擊、對策、風(fēng)險、安全策略、系統(tǒng)資源、威脅和脆弱性各個概念敵手：攻擊或威脅系統(tǒng)的實體攻擊：對系統(tǒng)安全的襲擊對策：用于降低威脅、減少系統(tǒng)脆弱性的操作、設(shè)備、技術(shù)風(fēng)險：特定威脅利用特定漏洞產(chǎn)生的可能損失的期望值請說出敵手、攻擊、對策、風(fēng)險、安全策略、系統(tǒng)資源、威脅和脆弱性各個概念安全策略：通過一系列規(guī)則和做法來說明和規(guī)定系統(tǒng)如何提供安全服務(wù)來保護(hù)資源威脅：潛在的安全侵犯脆弱性：系統(tǒng)設(shè)計、實現(xiàn)、運(yùn)行和管理中的弱點威脅和攻擊威脅和攻擊威脅和攻擊對稱加密

簡介：對稱加密(也叫私鑰加密)指加密和解密使用相同密鑰的加密算法。有時又叫傳統(tǒng)密碼算法，就是加密密鑰能夠從解密密鑰中推算出來，同時解密密鑰也可以從加密密鑰中推算出來。而在大多數(shù)的對稱算法中，加密密鑰和解密密鑰是相同的，所以也稱這種加密算法為秘密密鑰算法或單密鑰算法。它要求發(fā)送方和接收方在安全通信之前，商定一個密鑰。對稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都可以對他們發(fā)送或接收的消息解密，所以密鑰的保密性對通信性至關(guān)重要。特點：

對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。不足之處是，交易雙方都使用同樣鑰匙，安全性得不到保證。此外，每對用戶每次使用對稱加密算法時，都需要使用其他人不知道的惟一鑰匙，這會使得發(fā)收信雙方所擁有的鑰匙數(shù)量呈幾何級數(shù)增長，密鑰管理成為用戶的負(fù)擔(dān)。對稱加密算法在分布式網(wǎng)絡(luò)系統(tǒng)上使用較為困難，主要是因為密鑰管理困難，使用成本較高。而與公開密鑰加密算法比起來，對稱加密算法能夠提供加密和認(rèn)證卻缺乏了簽名功能，使得使用范圍有所縮小。在計算機(jī)專網(wǎng)系統(tǒng)中廣泛使用的對稱加密算法有DES和IDEA等。美國國家標(biāo)準(zhǔn)局倡導(dǎo)的AES即將作為新標(biāo)準(zhǔn)取代DES。具體算法：DES算法，3DES算法，TDEA算法，Blowfish算法，RC5算法，IDEA算法。原理應(yīng)用：對稱加密算法的優(yōu)點在于加解密的高速度和使用長密鑰時的難破解性。假設(shè)兩個用戶需要使用對稱加密方法加密然后交換數(shù)據(jù)，則用戶最少需要2個密鑰并交換使用，如果企業(yè)內(nèi)用戶有n個，則整個企業(yè)共需要n×(n-1)個密鑰，密鑰的生成和分發(fā)將成為企業(yè)信息部門的惡夢。對稱加密算法的安全性取決于加密密鑰的保存情況，但要求企業(yè)中每一個持有密鑰的人都保守秘密是不可能的，他們通常會有意無意的把密鑰泄漏出去--如果一個用戶使用的密鑰被入侵者所獲得，入侵者便可以讀取該用戶密鑰加密的所有文檔，如果整個企業(yè)共用一個加密密鑰，那整個企業(yè)文檔的保密性便無從談起。非對稱加密非對稱加密算法需要兩個密鑰:公開密鑰(publickey)和私有密鑰(privatekey)。公開密鑰與私有密鑰是一對，如果用公開密鑰對數(shù)據(jù)進(jìn)行加密，只有用對應(yīng)的私有密鑰才能解密;如果用私有密鑰對數(shù)據(jù)進(jìn)行加密，那么只有用對應(yīng)的公開密鑰才能解密。因為加密和解密使用的是兩個不同的密鑰，所以這種算法叫作非對稱加密算法。非對稱加密算法實現(xiàn)機(jī)密信息交換的基本過程是:甲方生成一對密鑰并將其中的一把作為公用密鑰向其它方公開;得到該公用密鑰的乙方使用該密鑰對機(jī)密信息進(jìn)行加密后再發(fā)送給甲方;甲方再用自己保存的另一把專用密鑰對加密后的信息進(jìn)行解密。非對稱加密體系不要求通信雙方事先傳遞密鑰或有任何約定就能完成保密通信，并且密鑰管理方便，可實現(xiàn)防止假冒和抵賴，因此，更適合網(wǎng)絡(luò)通信中的保密通信要求。

主要算法：RSA、Elgamal、背包算法、Rabin、HD,ECC（橢圓曲線加密算法）。使用最廣泛的是RSA算法，Elgamal是另一種常用的非對稱加密算法。分組密碼（blockcipher）一次處理輸入的一個元素分組，每個輸入分組產(chǎn)生一個輸出分組。流密碼（streamcipher）持續(xù)地處理輸入元素，隨著它的繼續(xù)，每次產(chǎn)生一個元素的輸出。公鑰密碼體制的應(yīng)用

公鑰密碼體制的應(yīng)用劃分為三類：數(shù)字簽名、對稱密鑰分發(fā)和密鑰加密。數(shù)字簽名數(shù)字簽名（又稱公鑰數(shù)字簽名、電子簽章）是一種類似寫在紙上的普通的物理簽名，但是使用了公鑰加密領(lǐng)域的技術(shù)實現(xiàn)，用于鑒別數(shù)字信息的方法。一套數(shù)字簽名通常定義兩種互補(bǔ)的運(yùn)算，一個用于簽名，另一個用于驗證。數(shù)字簽名，就是只有信息的發(fā)送者才能產(chǎn)生的別人無法偽造的一段數(shù)字串，這段數(shù)字串同時也是對信息的發(fā)送者發(fā)送信息真實性的一個有效證明。簡單地說,所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù),防止被人(例如接收者)進(jìn)行偽造Des3des2.4.2公鑰證書解決公鑰被偽造的問題公鑰證書：由公鑰加上公鑰所有者的用戶ID以及可信的第三方簽名的整個數(shù)據(jù)塊組成。通常第三方就是用戶團(tuán)體所信任的認(rèn)證機(jī)構(gòu)（CA），如政府機(jī)構(gòu)或金融機(jī)構(gòu)。詳見書P45圖2-7：公鑰證書的使用（下頁）Bob的ID信息Bob的公鑰CA信息簽名的證書H生成未簽名證書的散列碼EH接收者可以通過比較散列碼的值來驗證簽名D用CA的私鑰加密散列碼來構(gòu)成簽名用CA的公鑰來解密簽名以恢復(fù)散列碼創(chuàng)建簽名的數(shù)字證書利用證書來驗證Bob的公鑰圖2-7公鑰證書的使用MessageAuth

圖2-5利用單向散列函數(shù)進(jìn)行消息認(rèn)證秘密密鑰KH：消息摘要函數(shù)2.2.3安全散列函數(shù)單向散列函數(shù)或者安全散列函數(shù)在消息認(rèn)證和數(shù)字簽名中都是很重要的。對散列函數(shù)的要求：散列函數(shù)的目的就是要產(chǎn)生文件、消息或者其他數(shù)據(jù)塊的“指紋”。一個散列函數(shù)H要能夠用于消息認(rèn)證，必須具有下列性質(zhì)：H可應(yīng)用于任意大小的數(shù)據(jù)塊H產(chǎn)生固定長度的輸出對任意給定的X，計算H(X)比較容易，用硬件和軟件均可實現(xiàn)對任意給定的散列碼h，找到滿足H(x)=h的x在計算上是不可行的。2.2.3安全散列函數(shù)具有這種性質(zhì)的散列函數(shù)稱為單向的或抗原象的。對任意給定的分組x，找到滿足y不等x且H(y)=H(x)的y在計算上是不可行的。具有這種性質(zhì)的散列函數(shù)稱為第二抗原象的，有時也被稱為抗弱碰撞的。找到任何滿足H(x)=H(y)的偶對(x,y)在計算上是不可行的。具有這種性質(zhì)的散列函數(shù)稱為抗碰撞的，有時也稱為強(qiáng)抗碰撞的。安全散列函數(shù)算法SHA：由美國標(biāo)準(zhǔn)與技術(shù)研究所（NIST）設(shè)計并于1993年作為聯(lián)邦信息處理標(biāo)準(zhǔn)被發(fā)布修訂版與1995年發(fā)布，通常稱之為SHA-1，其產(chǎn)生160位的散列值2002年，

NIST提出了該標(biāo)準(zhǔn)的修訂版，定義了三種新的SHA版本，散列值的長度分別為256位、384位和512位，這些新的版本統(tǒng)稱為SHA-2鑒于SHA-2與SHA-1兩者結(jié)構(gòu)的相似性，NIST決定標(biāo)準(zhǔn)化一種與SHA-2和SHA-1截然不同的新的散列函數(shù)。這種被稱為SHA-3的新散列函數(shù)發(fā)布于2012年，而且現(xiàn)在已經(jīng)作為SHA-2的替代品二被廣泛使用。

密碼、口令和令牌的區(qū)別？

密碼：按特定法則編成，用以對通信雙方的信息進(jìn)行明、密變換的符號。換而言之，密碼是隱蔽了真實內(nèi)容的符號序列。就是把用公開的、標(biāo)準(zhǔn)的信息編碼表示的信息通過一種變換手段，將其變?yōu)槌ㄐ烹p方以外其他人所不能讀懂的信息編碼，這種獨(dú)特的信息編碼就是密碼。

口令：是與用戶名對應(yīng)的，用來驗證是否擁有該用戶名對應(yīng)的權(quán)限。

密碼是指為了保護(hù)某種文本或口令,采用特定的加密算法,產(chǎn)生新的文本或字符串。

區(qū)別：從它們的定義上容易看出；

當(dāng)前，無論是計算機(jī)用戶，還是一個銀行的戶頭，都是用口令保護(hù)的，通過口令來驗證

用戶的身份。在網(wǎng)絡(luò)上，使用戶口令來驗證用戶的身份成了一種基本的手段。

令牌：令牌環(huán)上傳輸?shù)男〉臄?shù)據(jù)（幀）叫為令牌。簡單理解：持有令牌者具有傳輸權(quán)限。如果環(huán)上的某個工作站收到令牌并且有信息發(fā)送，它就改變令牌中的一位（該操作將令牌變成一個幀開始序列），并添加想傳輸?shù)男畔?，然后將整個信息發(fā)往環(huán)中的下一工作站。當(dāng)這個信息幀在環(huán)上傳輸時，網(wǎng)絡(luò)中沒有令牌，這就意味著其它工作站想傳輸數(shù)據(jù)就必須等待。因此令牌環(huán)網(wǎng)絡(luò)中不會發(fā)生傳輸沖突。

密碼、口令和令牌的區(qū)別？口令場景，站住，來者報口令！天王蓋地虎！進(jìn)去吧。這個場景如果換成密碼來說，站住，來者報密碼?。?？什么密碼，哪個賬號的？卒。密碼場景，保險箱的密碼忘了，找到備忘錄后順利打開。換成口令就很別扭了，保險箱的口令忘了，找到備忘錄后順利打開了。看到區(qū)別了嗎口令和密碼的共同點都是指某一種憑證。兩者區(qū)別是口令是捆綁某個事務(wù)流程的，密碼是捆綁某個賬戶的3.2基于口令的認(rèn)證用戶ID通過以下幾種方法來保證安全性：用戶ID決定了用戶是否被授權(quán)訪問系統(tǒng)用戶ID決定了該用戶所擁有的訪問權(quán)限用戶ID還可以應(yīng)用在自主訪問控制機(jī)制中3.2.1口令的脆弱性通常，基于口令認(rèn)證的系統(tǒng)中都會維護(hù)著一個以用戶ID作為索引的口令文件?？诹罟舨呗砸约皩Σ唠x線字典攻擊：攻擊者獲取到系統(tǒng)的口令文件并將其中的口令散列值與通常所用口令的散列值進(jìn)行比較，如果找到了相匹配的結(jié)果，那么攻擊者就可以通過用戶ID和口令的組合獲得訪問權(quán)。對策：防止非授權(quán)訪問口令文件，使用入侵檢測技術(shù)對危及安全的行為進(jìn)行識別，盡快對不安全的口令文件中的口令進(jìn)行重新設(shè)置等。3.2.1口令的脆弱性口令攻擊策略以及對策離線字典攻擊特定賬戶攻擊：攻擊者把目標(biāo)鎖定為特定用戶，并不斷地猜測口令，直到發(fā)現(xiàn)正確的口令。對策：使用賬戶鎖定機(jī)制，當(dāng)?shù)卿浭〉拇螖?shù)超過一定數(shù)量時就將用戶鎖定。常用口令攻擊：用常用口令對大量的用戶ID進(jìn)行嘗試。對策：禁止用戶選擇常用的口令、對認(rèn)證請求者的IP地址和用戶提交模式的cookie進(jìn)行掃描。3.2.1口令的脆弱性口令攻擊策略以及對策離線字典攻擊特定賬戶攻擊常用口令攻擊單用戶口令猜測：攻擊者試圖獲得賬戶擁有者信息和系統(tǒng)口令保護(hù)策略，并使用這些信息來猜測用戶口令。對策：訓(xùn)練并加強(qiáng)口令保護(hù)策略以使口令難于猜測。工作站劫持：攻擊者確認(rèn)工作站管理員已經(jīng)登錄，在管理員不注意的情況下進(jìn)行入侵，并占領(lǐng)工作站。對策：在工作站處于非活動狀態(tài)時采用自動注銷機(jī)制，同時也可以使用入侵檢測方案對用戶行為的變化進(jìn)行檢測。3.2.1口令的脆弱性口令攻擊策略以及對策離線字典攻擊特定賬戶攻擊常用口令攻擊單用戶口令猜測工作站劫持利用用戶疏漏：用戶將口令記錄在本子等地方。對策：用戶培訓(xùn)、入侵檢測、使用口令與其他認(rèn)證機(jī)制進(jìn)行組合認(rèn)證等。利用口令重用：一個指定用戶對不同的網(wǎng)絡(luò)設(shè)備使用相同或相近的口令，那么攻擊者就會變得效率高、破壞性更強(qiáng)。對策：禁止為特定的網(wǎng)絡(luò)設(shè)備設(shè)置相同或近似的口令。3.2.1口令的脆弱性口令攻擊策略以及對策離線字典攻擊特定賬戶攻擊常用口令攻擊單用戶口令猜測工作站劫持利用用戶疏漏利用口令重用電子監(jiān)視：用戶通過網(wǎng)絡(luò)遠(yuǎn)程登錄系統(tǒng)，口令被竊聽。3.2.2散列口令的使用口令安全技術(shù)廣泛使用了散列函數(shù)和“鹽值”。為了加載系統(tǒng)設(shè)置的一個新口令，用戶需要選擇或被分配一個口令。這個口令與一個固定長度的鹽值組合起來?？诹詈望}值作為散列算法的輸入數(shù)據(jù)，最終生成一個定長的散列碼。散列編碼后的口令將和鹽值的明文拷貝一起保存在相應(yīng)用戶的口令文件中。彩虹表彩虹表是一個用于加密散列函數(shù)逆運(yùn)算的預(yù)先計算好的表,為破解密碼的散列值（或稱哈希值、微縮圖、摘要、指紋、哈希密文）而準(zhǔn)備。一般主流的彩虹表都在100G以上。這樣的表常常用于恢復(fù)由有限集字符組成的固定長度的純文本密碼。這是空間/時間替換的典型實踐,比每一次嘗試都計算哈希的暴力破解處理時間少而儲存空間多，但卻比簡單的對每條輸入散列翻查表的破解方式儲存空間少而處理時間多。使用加salt的KDF函數(shù)可以使這種攻擊難以實現(xiàn)。彩虹表MD5Password（長度無限制）48位隨機(jī)值（鹽值）MD5128位散列值3.3.3電子身份證電子身份證的功能（詳見表3-3）：ePass功能：該功能存儲表示持有者身份的數(shù)字信息，專為政府部門保留使用。該功能類似于一個電子護(hù)照。離線功能，不通過網(wǎng)絡(luò)使用。eID功能：該功能在政府和商業(yè)的各種應(yīng)用中通用?？杀挥糜谠诰€和離線服務(wù)。eSign功能：該功能是可選的，其作用是存儲私鑰和用于驗證私鑰的證書，它用于生成持有人的數(shù)字簽名。證書由一個私有可信中心發(fā)布。用戶認(rèn)證是一個很好的eID在線應(yīng)用的例子（學(xué)習(xí)圖3-6）

Q:舉例說明哪些是靜態(tài)特征？哪些是動態(tài)特征？

靜態(tài)：指紋、手形、面部特征、視網(wǎng)膜、虹膜動態(tài)：聲紋、簽名虹膜解決辦法：滴眼藥水訪問控制策略訪問控制策略一般分成：自主訪問控制（discretionaryaccesscontrol，DAC）：基于請求者的身份和訪問控制規(guī)則（授權(quán)）控制訪問，規(guī)定請求者可以（或不可以）做什么。強(qiáng)制訪問控制（mandatoryaccesscontrol，MAC）：通過比較具有安全許可（表明系統(tǒng)實體有資格訪問某種資源）的安全標(biāo)記（表明系統(tǒng)資源的敏感或關(guān)鍵程度）來控制訪問。基于角色的訪問控制（role-basedaccesscontrol，RBAC）：基于系統(tǒng)中用戶具有的角色和規(guī)定屬于一定角色的用戶的訪問權(quán)的規(guī)則來控制訪問?；趯傩缘脑L問控制（Attribute-BasedAccessControl，ABAC）：基于用戶、被訪問資源及當(dāng)前環(huán)境條件來控制訪問。圖4.24.5基于角色的訪問控制傳統(tǒng)的DAC（自主訪問控制）系統(tǒng)定義了單獨(dú)的用戶和用戶組的訪問權(quán)。與之相反，RBAC（基于角色的訪問控制）基于用戶在系統(tǒng)中設(shè)定的角色而不是用戶的身份。RBAC系統(tǒng)給角色而不是單獨(dú)的用戶分配訪問權(quán)。反過來，用戶根據(jù)他們的職責(zé)被靜態(tài)或動態(tài)地分配給不同的角色。Q：舉例說明什么是基于角色的訪問控制。管理員、訪客、普通會員Role-BasedAccessControl

（圖4-6用戶、角色與資源）4.6基于屬性的訪問控制訪問控制技術(shù)的一項較新的進(jìn)展是基于屬性的訪問控制（Attribute-BasedAccessControl，ABAC）模型。ABAC模型能夠定義表達(dá)資源和主體二者屬性條件的授權(quán)。ABAC方法的優(yōu)勢在于它的靈活性和表達(dá)能力。ABAC應(yīng)用于Web服務(wù)和云計算的綜合應(yīng)用。4.6基于屬性的訪問控制ABAC模型有三個關(guān)鍵要素：屬性：為配置中的實體而定義策略模型：定義ABAC策略架構(gòu)模型：應(yīng)用于實施訪問控制的策略4.6.1屬性ABAC模型中屬性的三種類型：主體屬性：主體是一個主動的實體，能夠引起客體間的信息流動或者系統(tǒng)狀態(tài)的改變。每個主體都有能夠定義其身份和特征的關(guān)聯(lián)屬性。客體屬性：也被稱為資源，是一個被動的包含或接收信息的與信息系統(tǒng)相關(guān)的實體。與主體一樣，客體具有可以用來制定訪問控制決策的屬性。環(huán)境屬性：信息訪問發(fā)生時所處的運(yùn)行的、技術(shù)的甚至態(tài)勢的環(huán)境或情景。ABAC例子：電影評級將電影分級，同時將用戶年齡分層不同的級別可以提供給不同年齡層的用戶年齡和評級分別是主體和客體的屬性與RBAC（基于用戶的訪問控制）相比，如果當(dāng)我們需要更加細(xì)化策略時，會需要很多的用戶數(shù)量5.4SQL注入攻擊5.4.1一種典型的SQLi攻擊5.4.2注入技術(shù)5.4.3SQLi攻擊途徑和類型5.4.4SQLi應(yīng)對措施5.4.1一種典型的SQLi攻擊SQLi是一種利用數(shù)據(jù)庫層應(yīng)用（例如查詢）中存在的安全漏洞而發(fā)起的攻擊。使用SQL注入，攻擊者可以提取或操縱Web應(yīng)用的數(shù)據(jù)。用戶的輸入被當(dāng)作嵌入在SQL語句中的字符串轉(zhuǎn)義字符而被錯誤地過濾或者用戶輸入不是強(qiáng)類型而被意外執(zhí)行。Q:借助圖5-5理解SQLi的過程。Internet路由器防火墻交換機(jī)無線接入點Web服務(wù)器Web應(yīng)用服務(wù)器數(shù)據(jù)庫服務(wù)器5.4.2注入技術(shù)Q:通過115頁的例子理解SQL注入技術(shù)。Varshipcity;Shipcity=Request.form(“shipcity”);Varsql=“select*fromOrdersTablewhereshipcity=‘”+shipcity+”’”;如果用戶輸入Redmond，那將生成如下SQL查詢語句：select*fromOrdersTablewhereshipcity=‘Redmond’然而如果用戶輸入Boston’;droptableOrderstable--，那將生成如下SQL查詢語句：select*fromOrdersTablewhereshipcity=‘Boston’;droptableOrderstable5.4.3SQLi攻擊途徑和類型攻擊途徑用戶輸入：采用這一方式的攻擊者，通過精心構(gòu)造用戶輸入來注入SQL命令。服務(wù)器變量：服務(wù)器變量是包含HTTP頭部、網(wǎng)絡(luò)協(xié)議頭部、環(huán)境變量等數(shù)據(jù)的變量集合。Web應(yīng)用程序使用服務(wù)器變量的場景很多，例如日志統(tǒng)計和瀏覽器趨勢識別。如果這些變量不經(jīng)過處理就直接記錄在數(shù)據(jù)庫中，則可能會產(chǎn)生SQL注入漏洞。攻擊者能夠構(gòu)造HTTP和網(wǎng)絡(luò)報頭來利用這一漏洞，將數(shù)據(jù)直接安排在報頭中，當(dāng)在數(shù)據(jù)庫中執(zhí)行對服務(wù)器變量的查詢語句時，報頭中的關(guān)鍵語句將會被觸發(fā)。二階注入Cookie物理用戶輸入5.4.3SQLi攻擊途徑和類型攻擊途徑二階注入：在二階注入中，惡意用戶可以利用系統(tǒng)或數(shù)據(jù)庫中已存在的數(shù)據(jù)來觸發(fā)一個SQL注入攻擊，因此當(dāng)這種攻擊出現(xiàn)時，引發(fā)攻擊的輸入并不來自于用戶，而是來自于系統(tǒng)自身。Cookie：當(dāng)用戶再次訪問之前已經(jīng)訪問過的Web應(yīng)用程序時，

Cookie被用于存儲用戶的狀態(tài)信息。由于Cookie數(shù)據(jù)是在客戶端控制的，在應(yīng)用服務(wù)器利用Cookie構(gòu)造SQL查詢時，攻擊者可以通過更改Cookie的值來實現(xiàn)SQL查詢語句的構(gòu)造和進(jìn)行查詢功能的修改。物理用戶輸入：除了Web頁面請求，還有其它可以被用于SQL注入的用戶輸入。5.4.3SQLi攻擊途徑和類型攻擊方式大體上可以劃分為三類：帶內(nèi)、推理、帶外。帶內(nèi)：使用同樣的通信信道來完成注入SQL碼和結(jié)果返回。包括：重言式：這種形式的攻擊是將代碼注入一個或多個永真的條件表達(dá)式中?！啊痮r1=1--’”行尾注釋：在注入代碼到特定字段之后的合法代碼會被注釋標(biāo)記為空字段。捎帶查詢：攻擊者在原本查詢語句之外還插入附加的查詢，這種技術(shù)依賴于服務(wù)器的配置是否允許在同一個字符串中含有多個查詢語句。5.4.3SQLi攻擊途徑和類型推理：沒有實際的數(shù)據(jù)傳輸，但攻擊能夠通過發(fā)送特定的請求和觀測網(wǎng)站和數(shù)據(jù)服務(wù)器的響應(yīng)規(guī)律來重新構(gòu)造信息。包括：非法/邏輯錯誤查詢：攻擊者將關(guān)于Web應(yīng)用程序數(shù)據(jù)庫后端的類型和結(jié)構(gòu)等重要信息收集起來，這是為其他攻擊的信息收集做準(zhǔn)備工作。這種攻擊暴露的一個典型漏洞是應(yīng)用服務(wù)器返回的默認(rèn)錯誤頁面通常描述了過多的細(xì)節(jié)內(nèi)容。盲SQL注入：盲SQL注入允許攻擊者推測數(shù)據(jù)庫系統(tǒng)中的數(shù)據(jù)，即使系統(tǒng)出于安全考慮不將錯誤查詢信息展示給攻擊者。攻擊者發(fā)送大量請求，當(dāng)注入表達(dá)式為真時，網(wǎng)站正常運(yùn)行；當(dāng)注入表達(dá)式為假時，雖然沒有描述性的錯誤語句，錯誤頁面和正常頁面還是有明顯區(qū)別的。5.4.3SQLi攻擊途徑和類型帶外：返回數(shù)據(jù)使用不同的通信頻道。這一方式可以用于信息檢索有限制但數(shù)據(jù)庫服務(wù)器帶外連接不嚴(yán)格的情況。Q:怎樣理解P116的例子，回答為什么會使得口令驗證失效？5.4.4SQLi應(yīng)對措施應(yīng)對措施分為三類：防御性編碼手動防御性編碼實踐：SQLi攻擊利用的弱點是不充分的輸入驗證。參數(shù)化查詢插入：這種方法嘗試運(yùn)行開發(fā)人員制定更為準(zhǔn)確地指定SQL查詢結(jié)構(gòu)，分離傳遞值參數(shù)以便不允許任何不良的用戶輸入被允許修改查詢結(jié)構(gòu)策略，以實現(xiàn)避免SQL攻擊的目的。SQLDOM：是一組保證自動數(shù)據(jù)有效和轉(zhuǎn)義的類。這種方法為訪問數(shù)據(jù)庫提供一種安全可靠的方式，圖將查詢建立過程由使用字符串拼接的不規(guī)范過程轉(zhuǎn)變?yōu)榫哂蓄愋蜋z查API的語義構(gòu)建過程。Q:舉例說明什么是手動防御性編碼實踐、參數(shù)化查詢插入和SQLDOM？5.4.4SQLi應(yīng)對措施應(yīng)對措施分為三類：檢測：基于特征：這項技術(shù)匹配特定的攻擊模式?；诋惓＃哼@種方式定義了正常行為模式。代碼分析：包括一個測試套件用于監(jiān)測SQLi的漏洞。運(yùn)行時阻斷Q:怎樣理解基于特征、基于異常、代碼分析這三種檢測方法？5.6推理

（圖5-7經(jīng)由推理通道的間接信息訪問）元數(shù)據(jù)非敏感數(shù)據(jù)敏感數(shù)據(jù)5.6

推理獲得非授權(quán)數(shù)據(jù)的信息傳送路徑稱為——推理通道。一般來說，可以利用兩種推理技術(shù)推導(dǎo)出額外信息：分析一個表或多個表的屬性之間的函數(shù)依賴；合并具有相同約束的視圖。Q:結(jié)合圖5-8的實例理解推理的思想。InferenceExample

（圖5-8推理的實例）5.6推理一般來說，有兩種方法處理由推理造成的信息泄露威脅：數(shù)據(jù)庫設(shè)計時的推理檢測：這種方法通過修改數(shù)據(jù)庫結(jié)構(gòu)或改變訪問控制機(jī)制等手段消除推理通道來防止推理。查詢時的推理檢測：這種方法尋求在一個查詢或一系列查詢執(zhí)行期間消除推理通道違例。如果發(fā)現(xiàn)了推理通道，查詢就被拒絕或修改。對于上面的任何一種方法，都需要推理檢測算法。5.6推理以上例子的安全問題：職工和工資之間的關(guān)系可能被推理出?？紤]一個包含人事信息的數(shù)據(jù)庫，其中：單獨(dú)的姓名、地址和工資信息可以被下級角色訪問，但姓名和工資之間的聯(lián)系則被限制僅能由上級角色訪問。針對以上例子存在問題的解決方案是構(gòu)造包含如下信息的三個表：Employees(Emp#,Name,Address)Salaries(S#,Salary)Emp-Salary(Emp#,S#)Q:這樣設(shè)計有什么優(yōu)勢？5.6推理假如添加一個新的不敏感屬性——職工開始工作日期：Employees(Emp#,Name,Address)Salaries(S#,Salary,Start-Date)Emp-Salary(Emp#,S#)然而，職工的開始工作日期是一個易于觀察或發(fā)現(xiàn)的屬性。Employees(Emp#,Name,Address,Start-Date)Salaries(S#,Salary)Emp-Salary(Emp#,S#)Q：這樣做可能會導(dǎo)致什么新的問題？泄漏了職工與工資的關(guān)系5.8云計算云計算：是一種可提供普適的、便捷的、按需的網(wǎng)絡(luò)訪問以進(jìn)入可配置的資源共享池（如網(wǎng)絡(luò)、服務(wù)器、存儲器、應(yīng)用和服務(wù)）的模型，而且只需投入很少的管理工作或與服務(wù)提供商進(jìn)行很少的交互，這些資源就可以被迅速地提供和釋放。該云模式由五種基本特征、三種服務(wù)模型及四種部署模型組成，提高了資源的可用性。Q:舉例說明現(xiàn)在生活中的云計算都有哪些？5.8.1云計算要素Q:依據(jù)圖5-11簡述云計算的各個要素。三種服務(wù)模型：軟件即服務(wù)（SaaS）：以軟件特別是應(yīng)用程序的形式將服務(wù)提高給消費(fèi)者，可接入且運(yùn)行在云端。平臺即服務(wù)（PaaS）：以平臺的形式將服務(wù)提供給消費(fèi)者，消費(fèi)者的應(yīng)用程序可以運(yùn)行在該平臺上?；A(chǔ)設(shè)施即服務(wù)（IaaS）：準(zhǔn)許消費(fèi)者訪問底層的云端基礎(chǔ)設(shè)施。Q:以上三種服務(wù)模型各有哪些例子？依據(jù)圖5-12區(qū)分三種服務(wù)模型的不同。5.8.1云計算要素四種部署模型：公有云私有云社區(qū)云混合云5.11云安全即服務(wù)安全集服務(wù)的概念指的是由服務(wù)提供商提供的一序列安全服務(wù)，這些服務(wù)是的安全服務(wù)提供商分擔(dān)了企業(yè)承擔(dān)的大部分的安全職責(zé)。安全服務(wù)一般包括：認(rèn)證、病毒防范、惡意軟件和間諜軟件防范、入侵檢測以及安全事務(wù)管理。云安全聯(lián)盟定義了如下的云安全即服務(wù)（SecaaS）服務(wù)分類：身份和訪問管理數(shù)據(jù)丟失防范Web安全5.11云安全即服務(wù)云安全聯(lián)盟定義了如下的云安全即服務(wù)（SecaaS）服務(wù)分類：身份和訪問管理：包括用于管理企業(yè)資源訪問的人力、進(jìn)程和系統(tǒng)，它確保訪問實體的身份都經(jīng)過驗證，并授予了該實體相應(yīng)的訪問權(quán)限。數(shù)據(jù)丟失防范：是在數(shù)據(jù)空閑、傳輸和使用時對數(shù)據(jù)進(jìn)行監(jiān)控和保護(hù)，并驗證其安全性。Web安全：是一種實時保護(hù)，這種保護(hù)通過軟件和應(yīng)用的安裝或?qū)eb流量代理或重定位至云服務(wù)提供者來提供。電子郵件安全……5.11云安全即服務(wù)云安全聯(lián)盟定義了如下的云安全即服務(wù)（SecaaS）服務(wù)分類：……電子郵件安全安全性評估：是第三方對云服務(wù)的審計。入侵管理：包括入侵檢測、防御和響應(yīng)。安全信息與事件管理：從虛擬或現(xiàn)實的網(wǎng)絡(luò)、應(yīng)用和系統(tǒng)中統(tǒng)計日志和事件數(shù)據(jù)。加密業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)網(wǎng)絡(luò)安全5.11云安全即服務(wù)云安全聯(lián)盟定義了如下的云安全即服務(wù)（SecaaS）服務(wù)分類：安全信息與事件管理加密：是一種很普遍的服務(wù)方式，時常被用于云端空閑數(shù)據(jù)、電子郵件流量、客戶特定的網(wǎng)絡(luò)管理信息以及身份信息等。業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)：包括一些措施和機(jī)制，它們確保了在服務(wù)中斷時的操作彈性。網(wǎng)絡(luò)安全：包括配置訪問、分配、監(jiān)管以及保護(hù)底層資源等安全服務(wù)。Q:逐個理解云安全聯(lián)盟定義的云安全及服務(wù)（SaaS）的服務(wù)分類內(nèi)容。表6-1高級持續(xù)性威脅：國家支持的組織Auto-rooter：遠(yuǎn)程入侵夾帶式攻擊：嵌入網(wǎng)站的惡意代碼邏輯炸彈：植入正常軟件，預(yù)定條件觸發(fā)，其他時間休眠間諜軟件：監(jiān)聽鍵盤輸入僵尸：感染的計算機(jī)中運(yùn)行，激活后向其他計算機(jī)發(fā)動攻擊勒索病毒：勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進(jìn)行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解6.4.8客戶端漏洞和夾帶式下載另一種攻擊軟件漏洞的方式是利用應(yīng)用程序中的缺陷來安裝惡意軟件。Q:了解什么是夾帶式下載？水坑式攻擊？惡意廣告？客戶端漏洞1*和夾帶式2*下載1*利用應(yīng)用程序的缺陷，比如瀏覽器2*水坑式攻擊：去攻擊哪些目標(biāo)用戶經(jīng)常訪問的網(wǎng)站，植入病毒6.5.2特洛伊木馬特洛伊木馬是一個有用的或者表面上看起來有用的程序或命令過程，但其內(nèi)部藏有惡意代碼。當(dāng)其被調(diào)用時，就會執(zhí)行非預(yù)期的或有害的功能。特洛伊木馬程序可以間接完成一些未授權(quán)用戶無法直接完成的功能。木馬程序的另一個主要動機(jī)是破壞數(shù)據(jù)。特洛伊木馬一般屬于下面三種模型中的一種：繼續(xù)執(zhí)行源程序的功能的同時，執(zhí)行獨(dú)立的惡意行為繼續(xù)執(zhí)行源程序的功能，但是會對其進(jìn)行修改，以執(zhí)行惡意行為用惡意功能完全替代原程序的功能Q:特洛伊木馬的三種模式分別是？6.6.1數(shù)據(jù)損壞CIH病毒是一個早期的例子，首次發(fā)現(xiàn)于1998年，它是一個有破壞性的、寄生性的、內(nèi)存駐留性質(zhì)的病毒，運(yùn)行于Windows95和98系統(tǒng)上。Q:CIH病毒是如何損壞磁盤數(shù)據(jù)的？求職信病毒又是什么樣的病毒？勒索軟件？1.重寫硬盤第一個M字節(jié)的數(shù)據(jù)，破壞數(shù)據(jù)2.發(fā)作日期，清空本地硬盤的文件3.加密用戶數(shù)據(jù)，向用戶勒索贖金6.6.2物理損壞CIH病毒不僅毀壞數(shù)據(jù)，還會試圖重寫用于引導(dǎo)計算機(jī)啟動的BIOS代碼。6.6.3邏輯炸彈數(shù)據(jù)損壞型惡意軟件一個重要的組成部分是邏輯炸彈。邏輯炸彈是嵌入到正常程序中的一段代碼，當(dāng)滿足特定條件是就會“爆炸”。6.8.2網(wǎng)絡(luò)釣魚和身份盜竊另一種用于獲取用戶登錄名和口令憑證的方法是在垃圾郵件中包含指向被攻擊者控制的虛假網(wǎng)站URL，并讓這個虛假網(wǎng)站模仿一些銀行、游戲或其它類似網(wǎng)站的登錄界面。此類虛假網(wǎng)站讓用戶填寫某些表格并回復(fù)或提交給攻擊者，攻擊者根據(jù)信息“猜測”用戶的身份，從而獲得訪問權(quán)限。釣魚攻擊：利用社會工程學(xué)，偽裝成可信來源的通信取得用戶的信任。Q:什么是魚叉式網(wǎng)絡(luò)釣魚？其與普通的網(wǎng)絡(luò)釣魚有什么不同？6.7.1bot的用途Bot的用途：分布式拒絕服務(wù)攻擊（DDoS）發(fā)送垃圾郵件嗅探通信流量記錄鍵盤解決方法：改變輸入順序、使用動態(tài)鍵盤傳播新的惡意軟件安裝廣告插件和瀏覽器輔助插件操縱在線投票或游戲6.6rootkitRootkit是安裝在系統(tǒng)中用來支持以管理員（或root）權(quán)限對系統(tǒng)進(jìn)行訪問的一組程序。管理員的權(quán)限可以使用操作系統(tǒng)的所有功能和服務(wù)。Rootkit以惡意且隱藏的方式更改主機(jī)的標(biāo)準(zhǔn)功能。Rootkit是通過破壞系統(tǒng)對進(jìn)程、文件、注冊表的監(jiān)控和報告機(jī)制而實現(xiàn)隱藏的。解決方法：重裝系統(tǒng)6.10.1針對惡意軟件的對抗措施文獻(xiàn)[SOUP13]提出惡意軟件預(yù)防措施的4個主要元素：規(guī)則、警惕性、彌補(bǔ)弱點和緩解威脅。如果預(yù)防措施失敗，采取以下手段可以緩解：檢測：一旦被感染，就馬上確定惡意軟件的存在并對其定位。識別：一旦檢測到惡意軟件，立即識別出是何種惡意軟件感染了系統(tǒng)。清除：一旦識別出惡意軟件類型，立即清除惡意代碼在被感染的系統(tǒng)中的所有痕跡，以阻止其繼續(xù)擴(kuò)散。6.10.1針對惡意軟件的對抗措施惡意軟件的檢測可以部署在許多不同的位置：運(yùn)行于受感染系統(tǒng)中、監(jiān)視進(jìn)入系統(tǒng)的數(shù)據(jù)和系統(tǒng)中程序的運(yùn)行和行為的反病毒程序。可以是某個組織的網(wǎng)絡(luò)防火墻或入侵檢測系統(tǒng)所維護(hù)的邊界安全機(jī)制的一部分。也可以分布式第同時從主機(jī)和邊界傳感器收集數(shù)據(jù)以便能夠以最大的視野了解惡意軟件的活動情況。6.10.2間諜軟件的檢測和移除Rootkit的檢測和清除是非常困難的，特別是內(nèi)核級的rootkit。防范rootkit需要多種網(wǎng)絡(luò)級和計算機(jī)級的安全工具。另一種解決方法是對某類文件做完整性校驗。rootkitRevealer就是這樣的一個例子，它是SysInternals公司發(fā)布的免費(fèi)軟件。Q:如果檢測到一個系統(tǒng)級的Rootkit，唯一安全可靠的解決辦法是什么？重裝系統(tǒng)6.5邏輯炸彈、后門6.12釣魚攻擊群發(fā)郵件、使用僵尸向有關(guān)機(jī)構(gòu)正確電話咨詢賬戶信息7.1.1拒絕服務(wù)攻擊簡介拒絕服務(wù)（Deial-of-Service，DOS）攻擊是一種針對某些服務(wù)可用性的攻擊。拒絕服務(wù)是一種通過耗盡CPU、內(nèi)存、帶寬以及磁盤空間等系統(tǒng)資源，來阻止或削弱對網(wǎng)絡(luò)、系統(tǒng)或應(yīng)用程序的授權(quán)使用的行為。可作為DOS攻擊對象的資源有下面幾類：網(wǎng)絡(luò)帶寬系統(tǒng)資源應(yīng)用資源7.1.1拒絕服務(wù)攻擊簡介網(wǎng)絡(luò)帶寬：與連接服務(wù)器和因特網(wǎng)的網(wǎng)絡(luò)鏈路的容量相關(guān)。例如：洪泛攻擊系統(tǒng)資源：相比于通過消耗網(wǎng)絡(luò)帶寬的DoS攻擊來說，這種攻擊更勝一籌，利用特殊類型的數(shù)據(jù)包耗盡服務(wù)器上有限的可用系統(tǒng)資源，從而達(dá)到攻擊目的。漏洞例如：SYN欺騙攻擊應(yīng)用資源：通過使用某些特殊數(shù)據(jù)包來觸發(fā)系統(tǒng)的網(wǎng)絡(luò)處理軟件的缺陷，從而導(dǎo)致系統(tǒng)崩潰。例如：有毒數(shù)據(jù)包、死亡之Ping、淚滴攻擊7.1.2經(jīng)典的拒絕服務(wù)攻擊最簡單的經(jīng)典DoS攻擊就是洪范攻擊（floodingattack）。洪范攻擊的目標(biāo)就是占據(jù)所有到目標(biāo)機(jī)構(gòu)的網(wǎng)絡(luò)連接的容量。在圖7-1所示的網(wǎng)絡(luò)中，攻擊者可以利用大型公司的Web服務(wù)器來攻擊那些小容量網(wǎng)絡(luò)連接的中型公司的Web服務(wù)器。從高性能網(wǎng)絡(luò)到低性能網(wǎng)絡(luò)數(shù)據(jù)包丟失，剩余的數(shù)據(jù)包耗盡帶寬容量Q:洪泛攻擊的目標(biāo)是什么？7.1.2經(jīng)典的拒絕服務(wù)攻擊在經(jīng)典的ping洪范攻擊中，ICMP回送請求數(shù)據(jù)包的源地址使用的是攻擊者的真實IP地址，攻擊的源很容易被識別。那么從攻擊者的角度就會存在兩個問題：由于攻擊源很容易被明確地識別，因此被發(fā)現(xiàn)和受到法律追究的可能性大大增加。目標(biāo)系統(tǒng)會盡可能地響應(yīng)請求。每當(dāng)服務(wù)器接收到一個ICMP回送請求數(shù)據(jù)包時，就會發(fā)送一個ICMP回送響應(yīng)數(shù)據(jù)包給攻擊者，這會將攻擊反射給攻擊源——反Ping死。Q:為什么會被反Ping死？7.1.3源地址欺騙應(yīng)用進(jìn)程、傳輸層接口與套接字之間的關(guān)系7.1.3源地址欺騙在很多類型的DoS攻擊中，所使用數(shù)據(jù)包的一個共同特征是采用偽造的源地址，也就是所謂的源地址欺騙。偽造數(shù)據(jù)包往往是通過許多操作系統(tǒng)上的原始套接字接口（rawsocketinterface）來實現(xiàn)。操作系統(tǒng)設(shè)計者是為了進(jìn)行某些自定義的網(wǎng)絡(luò)測試或網(wǎng)絡(luò)協(xié)議的研究而將原始套接字接口引入的，并不是用于正常的網(wǎng)絡(luò)操作。攻擊者利用這些可用的標(biāo)準(zhǔn)接口就可以相當(dāng)輕松地制造出具有偽造屬性的數(shù)據(jù)包。由于擁有了對網(wǎng)絡(luò)接口的硬件級訪問權(quán)限，攻擊者可以制造出大量的目的地址指向目標(biāo)系統(tǒng)的數(shù)據(jù)包，但這些數(shù)據(jù)包的源地址是隨機(jī)選擇的，通常各不相同。7.1.3源地址欺騙特點：偽造源地址通過許多操作系統(tǒng)上的原始套接字接口（rawsocketinterface）來實現(xiàn)容易產(chǎn)生產(chǎn)生大量的偽造數(shù)據(jù)包直接攻擊目標(biāo)源地址是不同的、隨機(jī)的引起擁塞請求被分散地穿透因特網(wǎng)真正的源更難確定Q:源地址欺騙攻擊的目標(biāo)是什么？7.1.4SYN欺騙SYN欺騙攻擊通過造成服務(wù)器上用于管理TCP連接的連接表溢出，從而攻擊網(wǎng)絡(luò)服務(wù)器響應(yīng)TCP連接請求的能力。SYN欺騙攻擊是針對系統(tǒng)資源的DoS攻擊，具體地說就是針對操作系統(tǒng)上網(wǎng)絡(luò)處理程序的攻擊?；仡橳CP用來建立連接的三次握手：TCPConnectionHandshake

（圖7-2TCP三次連接握手）7.1.4SYN欺騙攻擊者構(gòu)造出一定數(shù)量的具有偽造源地址的SYN連接請求數(shù)據(jù)包并發(fā)送給目標(biāo)系統(tǒng)。對其中的每個數(shù)據(jù)包，服務(wù)器都要記錄該TCP連接請求的詳細(xì)信息，并發(fā)送SYN-ACK響應(yīng)包到請求數(shù)據(jù)包中聲稱的源地址。如果的確存在一個與源地址匹配的主機(jī)，那么源地址所對應(yīng)的主機(jī)將會發(fā)送一個RST包給服務(wù)器，讓服務(wù)器取消這個莫名其妙的連接請求。服務(wù)器接收到RST包后會取消這個連接請求并刪除TCP連接表中的相關(guān)信息。但是，如果源地址的主機(jī)繁忙或者根本就沒有主機(jī)使用這個源地址，直到最終認(rèn)定連接請求已經(jīng)失敗的這段時間內(nèi)，服務(wù)器使用TCP連接表中的一個表項來存儲相關(guān)信息。而連接表的大小是有限的。SYNSpoofingAttack

（圖8-3TCPSYN欺騙攻擊）7.1.4SYN欺騙攻擊者常常使用以下之一：隨機(jī)的源地址超負(fù)荷服務(wù)大容量的響應(yīng)包SYN欺騙攻擊和基本的洪范攻擊有明顯的差別：SYN攻擊所形成的網(wǎng)絡(luò)流量相對來說比較小，更不會接近于服務(wù)器相連的鏈路的最大容量Q:根據(jù)圖7-3敘述TCPSYN欺騙攻擊的原因和過程。SYN欺騙攻擊的目標(biāo)是什么？7.2洪范攻擊根據(jù)攻擊所使用的網(wǎng)絡(luò)協(xié)議不同，洪范攻擊可以劃分為不同類型通常的洪范攻擊所使用的攻擊數(shù)據(jù)包類型ICMP數(shù)據(jù)包UDP數(shù)據(jù)包TCPSYN數(shù)據(jù)包其他的IP數(shù)據(jù)包7.2.1ICMP洪范利用ICMP回送請求數(shù)據(jù)包的ping洪范攻擊是一種經(jīng)典的ICMP洪范攻擊如果過濾掉某些關(guān)鍵的ICMP數(shù)據(jù)包類型，就有可能降低或破壞正常的TCP/IP網(wǎng)絡(luò)行為ICMP目的不可到達(dá)和超時數(shù)據(jù)包都是這種關(guān)鍵數(shù)據(jù)包類型的實例7.2.2UDP洪范UDP包被發(fā)送到目標(biāo)系統(tǒng)提供服務(wù)的端口上。攻擊者通常會將UDP數(shù)據(jù)包發(fā)送給診斷回送服務(wù)，因為該服務(wù)在服務(wù)器系統(tǒng)上一般是默認(rèn)運(yùn)行的。幾乎任何UDP端口號都可以作為目標(biāo)。當(dāng)攻擊者利用單一系統(tǒng)進(jìn)行UDP洪范攻擊時，與ICMP洪范攻擊一樣，攻擊者一般會使用帶有虛假源地址的數(shù)據(jù)包。當(dāng)攻擊者使用多個系統(tǒng)進(jìn)行UDP洪范攻擊時，一般會使用受控的僵尸機(jī)的真實地址作為數(shù)據(jù)包源地址。7.2.3TCPSYN洪范另一種洪范攻擊就是通過發(fā)送TCP數(shù)據(jù)包給目標(biāo)系統(tǒng)其實在TCPSYN洪范攻擊中，攻擊的對象是數(shù)據(jù)包的總量而不是目標(biāo)系統(tǒng)上的網(wǎng)絡(luò)處理程序。這也是SYN欺騙攻擊與TCPSYN洪范攻擊之間的區(qū)別。7.2.3TCPSYN洪范如果攻擊者采用單一主機(jī)攻擊，那么這種洪范攻擊的任何變種的攻擊效果會受攻擊系統(tǒng)上所產(chǎn)生的網(wǎng)絡(luò)流量總量的限制。使用多機(jī)系統(tǒng)的間接攻擊包括：分布式拒絕服務(wù)攻擊反射攻擊放大攻擊7.3分布式拒絕服務(wù)攻擊被入侵的主機(jī)系統(tǒng)叫僵尸機(jī)。攻擊者控制的大量僵尸機(jī)組合在一起就形成一個僵尸網(wǎng)絡(luò)。最早的、著名的DDoS攻擊工具是部落洪范網(wǎng)絡(luò)（TribeFloodNetwork，TFN），它是由黑客Mixter編寫的，可以運(yùn)行在Solaris上。后來被重寫成部落洪范網(wǎng)絡(luò)2000（TFN2K），可以運(yùn)行在UNIX、Solaris和WindowsNT上。TFN和TFN2K使用兩層的等級控制模式。代理系統(tǒng)就是一個木馬程序，這個木馬程序可以在受控的僵尸系統(tǒng)上進(jìn)行自我復(fù)制和運(yùn)行，而且可以進(jìn)行ICMP洪范攻擊、SYN洪范攻擊、UDP洪范攻擊以及ICMP放大攻擊等形式的DoS攻擊。執(zhí)行者與代理系統(tǒng)之間的通信是經(jīng)過加密的，而且會伴隨著一些誘騙數(shù)據(jù)包來迷惑網(wǎng)絡(luò)管理員，防止被監(jiān)控或進(jìn)行控制流量分析。7.5.1反射攻擊反射攻擊是一種直接實現(xiàn)。攻擊者將其想攻擊的目標(biāo)系統(tǒng)地址作為數(shù)據(jù)包的源地址，并將這些數(shù)據(jù)包發(fā)送給中間媒介上的已知網(wǎng)絡(luò)服務(wù)。當(dāng)中間媒介響應(yīng)時，大量的響應(yīng)數(shù)據(jù)包會被發(fā)送給源地址所指向的目標(biāo)系統(tǒng)。它能有效地使攻擊從中間媒介反射出去（稱為反射器），這也就是這種攻擊被稱為反射攻擊的原因。7.5.1反射攻擊通常UDP服務(wù)可以達(dá)到這種目的。作為反射攻擊的中間系統(tǒng)往往是擁有較高系統(tǒng)性能的網(wǎng)絡(luò)服務(wù)器或者良好網(wǎng)絡(luò)連接性能的路由器。另外一種反射攻擊利用TCPSYN數(shù)據(jù)包和建立TCP連接的三次握手進(jìn)行攻擊。目標(biāo)系統(tǒng)接收SYN-ACK數(shù)據(jù)包后，由于本機(jī)根本沒有提出TCP請求，因此對于每個SYN-ACK數(shù)據(jù)包會返回一個RST包。另外一種改進(jìn)型的反射攻擊在中間媒介和目標(biāo)系統(tǒng)之間建立一條自包含的回路（死循環(huán)）。這種感覺相當(dāng)有效，但很容易被過濾掉，因為在正常的網(wǎng)絡(luò)通信操作中不會使用這類服務(wù)端口。7.5.2放大攻擊放大攻擊是反射攻擊的一個變種，同樣是發(fā)送帶有虛假源地址的數(shù)據(jù)包給中間媒介。不同的是中間媒介對每個來自攻擊者的初始數(shù)據(jù)包會產(chǎn)生多個響應(yīng)數(shù)據(jù)包。攻擊者可以發(fā)送初始請求數(shù)據(jù)包到某些網(wǎng)絡(luò)的廣播地址，那么這個網(wǎng)絡(luò)上的所有主機(jī)都可能會對數(shù)據(jù)包中源地址所指向的主機(jī)進(jìn)行響應(yīng)，也就是說這些主機(jī)將會形成一個如圖7-7所描述的響應(yīng)數(shù)據(jù)包洪范流。著名的SmurfDoS程序就采用這種機(jī)制并風(fēng)靡一時。另一種可能的選擇是適當(dāng)?shù)腢DP服務(wù)，如回送服務(wù)等。Fraggle程序就是這種模式的攻擊。AmplificationAttacks

（圖7-7放大攻擊）7.5.2放大攻擊抵御放大攻擊的最好的補(bǔ)充措施就是不允許定向廣播由外部進(jìn)入網(wǎng)絡(luò)，而且這也是一種長久的安全建議。另一種抵御放大攻擊的措施是限制回送或ping等網(wǎng)絡(luò)服務(wù)被機(jī)構(gòu)外部訪問。然而限制這里服務(wù)的代價就是無法進(jìn)行正常的網(wǎng)絡(luò)故障分析。7.5.3DNS放大攻擊反射和放大攻擊的另一個變種將DNS服務(wù)器作為中間媒介系統(tǒng)，使用了直接指向合法DNS服務(wù)器的數(shù)據(jù)包進(jìn)行攻擊。攻擊者利用DNS協(xié)議將較小的請求數(shù)據(jù)包轉(zhuǎn)化為較大的響應(yīng)數(shù)據(jù)包而達(dá)到攻擊效果。Q:較小是多少？較大是多大？僅僅需要一個有著足夠大數(shù)量的DNS記錄的域名服務(wù)器就可以完成其攻擊過程。這種攻擊的更進(jìn)一步變種則利用了遞歸的域名服務(wù)器。8.9實例系統(tǒng)：snortSnort是開源、高度可配置且可移植的基于主機(jī)或基于網(wǎng)絡(luò)的IDS。Snort被稱為是輕量級IDS，它具有以下特征：可以在大多數(shù)網(wǎng)絡(luò)節(jié)點（主機(jī)、服務(wù)器和路由器）輕松地部署使用少量的內(nèi)存和處理器時間進(jìn)行高效操作系統(tǒng)管理員可以容易地進(jìn)行配置，以便在較短時間內(nèi)實現(xiàn)特定的安全解決方案。Snort可以進(jìn)行實時數(shù)據(jù)包的捕獲、協(xié)議分析以及內(nèi)容搜索與匹配。根據(jù)一組由系統(tǒng)管理員配置的規(guī)則，snort能夠檢測到很多種攻擊和探測。8.9.1snort體系結(jié)構(gòu)一個snort安裝包括以下四個邏輯組件：數(shù)據(jù)包解碼器：處理每個捕獲的數(shù)據(jù)包，在數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層識別和隔離協(xié)議首部。檢測引擎：完成入侵檢測的實際工作。記錄器：對于每個與規(guī)則匹配的數(shù)據(jù)包，該規(guī)則指導(dǎo)什么日志和報警選項是要執(zhí)行的。報警器：對于每個檢測到的數(shù)據(jù)包，發(fā)送一個報警。圖8-9snort體系結(jié)構(gòu)8.9.2Snort規(guī)則Snort使用一種簡單、靈活的規(guī)則來定義生產(chǎn)檢測引擎使用的規(guī)則的語言。盡管規(guī)則非常簡單，可以直接編寫，但它們的功能足可以檢測各種惡意或可疑的網(wǎng)絡(luò)流量。動作協(xié)議源IP地址源端口方向目的IP地址目的端口A）規(guī)則報頭選項關(guān)鍵字選項參數(shù)b）選項8.9.2Snort規(guī)則每個規(guī)則包括一個固定的首部和零個或多個選項。首部包含以下元素：動作：告訴Snort當(dāng)它找到符合規(guī)則條件的數(shù)據(jù)包時應(yīng)如何去做。協(xié)議：Snort繼續(xù)分析數(shù)據(jù)包協(xié)議是否匹配這個字段。源IP地址：指明數(shù)據(jù)包的源。源端口：該字段指出用于指定協(xié)議的源端口。方向：該字段采用以下兩個值中的一個：單向（->）或雙向（<->）。目的IP地址：指明數(shù)據(jù)包的目的地。目的端口：指明目的端口。Q:根據(jù)表8-3靈活構(gòu)造各種Snort規(guī)則。8.9.2Snort規(guī)則在規(guī)則首部之后可以有一個或多個規(guī)則選項，有以下四個主要類型的規(guī)則選項：元數(shù)據(jù)：提供有關(guān)規(guī)則的信息，但在檢測期間不起任何作用。有效載荷：查找有效載荷數(shù)據(jù)包中的數(shù)據(jù)，可以是相關(guān)的。非有效載荷：查找非有效載荷數(shù)據(jù)。后檢測：當(dāng)規(guī)則匹配一個數(shù)據(jù)包后引發(fā)的特定規(guī)則。Q:請說出P212Snort規(guī)則的含義。8.8蜜罐蜜罐是障人耳目的系統(tǒng)，是為引誘潛在的攻擊者遠(yuǎn)離關(guān)鍵系統(tǒng)而設(shè)計的。蜜罐的功能包括：轉(zhuǎn)移攻擊者對重要系統(tǒng)的訪問收集有關(guān)攻擊者活動的信息鼓勵攻擊者在系統(tǒng)中逗留足夠長的時間，以便管理員對此攻擊做出響應(yīng)蜜罐系統(tǒng)裝備了敏感的監(jiān)控器和事件記錄器，用于檢測這些訪問并收集有關(guān)攻擊者的活動信息。蜜罐是一種沒有產(chǎn)出的資源。蜜罐可以部署在各種位置。8.8蜜罐蜜罐通常分為：低交互蜜罐：由能夠模擬特定IT服務(wù)或系統(tǒng)的軟件包構(gòu)成，它足以提供一種真實的初級交互，但是卻無法提供所模擬服務(wù)或系統(tǒng)的全部功能。高交互蜜罐：是一個帶有完整操作系統(tǒng)、服務(wù)以及應(yīng)用程序的真實系統(tǒng)，被部署在攻擊者能夠訪問的地方。HoneypotDeployment

（圖8-8蜜罐部署的例子）8.5.1網(wǎng)絡(luò)傳感器的類型傳感器可以部署為兩種模式之一內(nèi)嵌式傳感器（inlinesensor）內(nèi)嵌傳感器將被插入網(wǎng)絡(luò)段，以使正在監(jiān)控的流量必須通過傳感器。被動式傳感器（passivesensor）被動傳感器監(jiān)控網(wǎng)絡(luò)流量的備份，實際的流量并沒有通過這個設(shè)備。Q：內(nèi)嵌式傳感器與被動式傳感器的區(qū)別是什么？各自的優(yōu)缺點是什么？8.5.2NIDS傳感器部署

Q:采用審計（日志文件）記錄作為數(shù)據(jù)源存在什么缺點？

優(yōu)點不需要額外的信息搜集軟件缺點審計信息并不包含所需信息信息不會以一個便利的方式給出入侵者可能會修改日志8.3分析方法IDS通常使用以下幾種方法之一來分析傳感器得到的數(shù)據(jù)進(jìn)而檢測入侵：異常檢測：采集有關(guān)合法用戶在某段時間內(nèi)的行為數(shù)據(jù)，然后統(tǒng)計檢驗被監(jiān)測的行為，以較高的置信度確定該行為是否不是合法用戶的行為。特征或啟發(fā)式檢測：使用一組已知惡意數(shù)據(jù)模式（特征）或者攻擊規(guī)則（啟發(fā)式）組成的集合來與當(dāng)前的行為進(jìn)行比較，最終確定這是否是一個入侵者。這種方法也被稱為誤用檢測，事實上，它僅僅可以被用來識別有模式或者有規(guī)則的已知攻擊。Q：異常檢測方法試圖定義的是什么行為？而基于特征的檢測方法則試圖定義什么行為？8.3.2異常檢測異常檢測的分類方法很多，其中：統(tǒng)計法：對被觀測行為的分析使用單因素、多因素或者觀察指標(biāo)的時序模型。統(tǒng)計方法使用捕獲的傳感器數(shù)據(jù)生成一個觀測指標(biāo)的統(tǒng)計曲線。基于知識法：使用專家系統(tǒng)根據(jù)合法行為的規(guī)則集對被觀測行為進(jìn)行分類?；谥R的方法是采用規(guī)則集對觀測數(shù)據(jù)進(jìn)行分類。機(jī)器學(xué)習(xí)法：運(yùn)用數(shù)據(jù)挖掘技術(shù)，自動化地根據(jù)由訓(xùn)練數(shù)據(jù)生成的模型，給被觀測行為確定一個做合適的分類。機(jī)器學(xué)習(xí)方法是采用規(guī)則集對觀測數(shù)據(jù)進(jìn)行分類。Q:以上各種方法的核心思想或是核心技術(shù)分別是什么？各自的優(yōu)點和缺點是什么？8.3.2異常檢測以下幾種機(jī)器學(xué)習(xí)方法都曾被成功地嘗試過：貝葉斯網(wǎng)絡(luò)：編碼觀測指標(biāo)之間的概率聯(lián)系。馬爾科夫模型：建立一套各種狀態(tài)間的轉(zhuǎn)移概率模型，這些狀態(tài)可能也包括一些隱藏的、內(nèi)聯(lián)的狀態(tài)。神經(jīng)網(wǎng)絡(luò)：模仿人類大腦中的神經(jīng)元和突觸操作，對觀測數(shù)據(jù)進(jìn)行分類。模糊邏輯：使用模糊集理論，該理論中推理是近似的，能夠適應(yīng)不確定性。遺傳算法：這是根據(jù)進(jìn)化生物學(xué)而產(chǎn)生的技術(shù)，使用遺傳、突變、選擇、重組等方法形成分類規(guī)則。聚類和離群檢測：基于相似性或者距離向量對觀測數(shù)據(jù)進(jìn)行分組，將其歸入不同的集群中，進(jìn)而對隨后的數(shù)據(jù)進(jìn)行識別，確認(rèn)其究竟是屬于某一個集群，還是一個離群數(shù)據(jù)。8.2入侵檢測安全入侵一個安全事件或多個安全事件的組合構(gòu)成一個安全事故，在安全事故中入侵者在未經(jīng)授權(quán)的情況下獲取或嘗試獲取一個系統(tǒng)的訪問權(quán)。入侵檢測一種監(jiān)控并分析系統(tǒng)事件的安全服務(wù)，目標(biāo)是發(fā)現(xiàn)未經(jīng)授權(quán)而訪問系統(tǒng)資源的嘗試活動，并提供實時或近似實時的報警。8.2入侵檢測IDS包括如下3個邏輯組件：傳感器（sensor）：傳感器負(fù)責(zé)收集數(shù)據(jù)。傳感器輸入的類型包括網(wǎng)絡(luò)數(shù)據(jù)包、日志文件和系統(tǒng)調(diào)用跡。傳感器收集并向分析器轉(zhuǎn)發(fā)這些信息。分析器（analyzer）：分析器從一個或多個傳感器或者其他分析器接收輸入。分析器負(fù)責(zé)確定是否發(fā)生了入侵。用戶接口（userinterface）：利用IDS的用戶接口，用戶可以查看系統(tǒng)輸出或控制系統(tǒng)的行為。8.2入侵檢測IDS可為為如下幾類：基于主機(jī)的IDS：監(jiān)測一臺主機(jī)的特征和該主機(jī)發(fā)生的與可疑活動相關(guān)的事件。例如進(jìn)程識別器、進(jìn)程產(chǎn)生的系統(tǒng)調(diào)用等，用作可疑活動的證據(jù)?；诰W(wǎng)絡(luò)的IDS：監(jiān)測特定的網(wǎng)段或設(shè)備的流量并分析網(wǎng)絡(luò)、傳輸和應(yīng)用協(xié)議，用以識別可疑的活動。分布式或混合式IDS：通常是將主機(jī)的傳感器和網(wǎng)絡(luò)的傳感器收集到的信息相結(jié)合，并匯總到一個中央分析器中，這樣能夠更好第識別入侵活動并做出響應(yīng)。8.1入侵者入侵者：通常黑客或者破解者。賽門鐵克和威瑞森給出入侵者的粗略分類：網(wǎng)絡(luò)罪犯：是個人或者以金錢回報為目的的犯罪組織的成員。他們的行為可能包括：身份竊取、金融憑證竊取、公司間諜、數(shù)據(jù)竊取或者數(shù)據(jù)勒索?；顒蛹遥和ǔＪ枪ぷ髟趦?nèi)部的個人，或者更大的外部攻擊者組織的一員。常用手段是破壞網(wǎng)站、拒絕服務(wù)攻擊、竊取和散布能導(dǎo)致攻擊目標(biāo)妥協(xié)或者對其進(jìn)行負(fù)面宣傳的數(shù)據(jù)等。國家資助的組織其他Q:舉例說明哪些是我熟知的活動家？斯諾登、曼寧8.1入侵者入侵者：通常黑客或者破解者。賽門鐵克和威瑞森給出入侵者的粗略分類：網(wǎng)絡(luò)罪犯活動家國家資助的組織：由政府資助的黑客組織，目的是進(jìn)行諜報或者破壞活動。這類活動就是人們熟知的高級持續(xù)威脅（APT）活動，隱蔽性和長期的持續(xù)性是許多這類攻擊的重要特征。其他：是以上未列出的以其他目的為動機(jī)的黑客，包括用技術(shù)挑戰(zhàn)同行以獲取尊敬和名聲為目的的典型黑客。8.1入侵者入侵實例遠(yuǎn)程獲得電子郵件服務(wù)器超級用戶（root）權(quán)限破壞Web服務(wù)器猜測和破解密碼復(fù)制一個存有信用卡賬號等信息的數(shù)據(jù)庫在未授權(quán)的情況下，查看敏感數(shù)據(jù)運(yùn)行數(shù)據(jù)包嗅探器（sniffer），以捕獲工作站上授權(quán)用戶的用戶名和口令8.1入侵者入侵實例運(yùn)行數(shù)據(jù)包嗅探器（sniffer），以捕獲工作站上授權(quán)用戶的用戶名和口令利用匿名FTP服務(wù)器的權(quán)限錯誤發(fā)送盜版的軟件和音樂文件撥號到一個不安全的調(diào)制解調(diào)器并獲取內(nèi)部網(wǎng)絡(luò)訪問權(quán)喬裝成一個執(zhí)行者，調(diào)用幫助平臺，重新設(shè)置該執(zhí)行者的電子郵件口令并學(xué)習(xí)新的口令在未被注意的情況下，未經(jīng)許可而登錄工作站等Q:入侵者都有哪些入侵行為？搜集目標(biāo)信息獲取訪問權(quán)限安裝惡意軟件8.1.1入侵者行為入侵者通常采取的步驟及相關(guān)活動：鎖定目標(biāo)和收集信息：攻擊者利用公開的可用信息，通過技術(shù)和非技術(shù)手段，發(fā)現(xiàn)待攻擊的目標(biāo)系統(tǒng)，歸納其特征，并且利用網(wǎng)絡(luò)探測工具確定目標(biāo)資源的位置。獲取訪問權(quán)限權(quán)限升級：利用一個本地的訪問漏洞來提升攻擊者的權(quán)限，進(jìn)而使其可以在目標(biāo)系統(tǒng)上完成他們想做的攻擊。信息收集或者系統(tǒng)漏洞利用維持訪問權(quán)限覆蓋痕跡8.1.1入侵者行為入侵者通常采取的步驟及相關(guān)活動：鎖定目標(biāo)和收集信息獲取訪問權(quán)限權(quán)限升級信息收集或者系統(tǒng)漏洞利用：訪問或者修改目標(biāo)系統(tǒng)中的信息或者資源，或者從目標(biāo)系統(tǒng)導(dǎo)航到另一個目標(biāo)系統(tǒng)。維持訪問權(quán)限：安裝后門或者其他惡意軟件，或者改變認(rèn)證證書，或者改變系統(tǒng)的其他配置，從而使攻擊者在首次獲得訪問權(quán)限后，可以保證其擁有后續(xù)的長期的訪問權(quán)限。覆蓋痕跡8.1.1入侵者行為Q:入侵者的入侵行為中都喜歡采用哪些工具？哪些方法和手段？查詢dns工具dig、hostNMAP掃描網(wǎng)絡(luò)遠(yuǎn)程管理工具、后門rootkit9.3防火墻類型Q:對照右圖，分析四種不同類型防火墻的異同。包過濾防火墻檢查每個發(fā)送和接受的ip包狀態(tài)檢測防火墻包+上下文信息應(yīng)用代理防火墻應(yīng)用級的流量中繼器電路級代理防火墻電路級網(wǎng)關(guān)9.3.1包過濾防火墻包過濾防火墻對每個進(jìn)入和離開的IP包應(yīng)用一些規(guī)則，然后決定轉(zhuǎn)發(fā)或者丟棄此包。過濾規(guī)則基于網(wǎng)絡(luò)包中所包含的信息，包括：源IP地址：發(fā)送IP包的系統(tǒng)的IP地址目的IP地址：包要到達(dá)的系統(tǒng)的IP地址源和目的端傳輸層地址：指傳輸層端口號，不同的端口號定義了不同的應(yīng)用程序IP協(xié)議域：用于定義傳輸協(xié)議接口：對于有三個或者更多接口的防火墻來說，定義哪個接口用于包的出站，哪個接口用于包的入站9.3.1包過濾防火墻包過濾防火墻規(guī)則有2種可能的默認(rèn)策略：默認(rèn)丟棄：沒有明確準(zhǔn)許的將被阻止默認(rèn)轉(zhuǎn)發(fā)：沒有明確阻止的將被允許包過濾規(guī)則的例子見P219中表9-1Q:在理解表9-1的包過濾防火墻規(guī)則的基礎(chǔ)上，回答：規(guī)則的執(zhí)行順序是什么？其存在哪些問題？怎樣改進(jìn)？PacketFilterRules

（包過濾規(guī)則）9.5防火墻的部署和配置（圖9-3防火墻配置實例）9.5.1DMZ網(wǎng)絡(luò)在外部防火墻和內(nèi)部防火墻之間是由一個或更多設(shè)備聯(lián)網(wǎng)形成的稱為“非軍事區(qū)”（demilitarizedzone，DMZ）的網(wǎng)絡(luò)區(qū)域。那些可以從外部訪問但是需要一定保護(hù)措施的系統(tǒng)通常被設(shè)置在DMZ網(wǎng)絡(luò)中。9.5.1DMZ網(wǎng)絡(luò)外部防火墻為DMZ系統(tǒng)提供符合其需要并同時保證其外部連通性的訪問控制和保護(hù)措施，同時也為內(nèi)部網(wǎng)的其他部分提供基本的安全保護(hù)。在這種布局中，內(nèi)部防火墻有如下3個服務(wù)目的：與外部防火墻相比，內(nèi)部防火墻增加了更嚴(yán)格的過濾能力，以保護(hù)內(nèi)部網(wǎng)絡(luò)服務(wù)器和工作站免遭外部攻擊。對于DMZ網(wǎng)絡(luò)，內(nèi)部防火墻提供雙重的保護(hù)功能。多重內(nèi)部防火墻可以分別用來保護(hù)內(nèi)部網(wǎng)的每個部分不受其他部分的攻擊。9.5.2虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)（virtualprivatenetwork，VPN）為網(wǎng)絡(luò)管理員提供了一個頗具吸引力的解決方案。從本質(zhì)上講，一個VPN是這樣的一組計算機(jī)：它們依靠一個相對不安全的網(wǎng)絡(luò)相互連接，并利用加密技術(shù)和特殊的協(xié)議來提供安全性。事實上，VPN在底層協(xié)議上使用加密技術(shù)和身份認(rèn)證技術(shù)，通過不安全的網(wǎng)絡(luò)環(huán)境（如Internet）建立了一個安全的連接。VPN網(wǎng)絡(luò)比真正使用專用線路的專用網(wǎng)便宜，但是通信兩端必須使用相同的加密技術(shù)和身份認(rèn)證技術(shù)來實現(xiàn)。加密軟件可能是由防火墻或者路由器來提供的。最常見的協(xié)議機(jī)制是在IP層，即IPSec協(xié)議。（主要在網(wǎng)絡(luò)層提供服務(wù)）實現(xiàn)IPSec的邏輯方法是在防火墻中，如圖9-4所示。VirtualPrivateNetworks

（圖9-4一個VPN安全系統(tǒng)情景）9.6.4SnortInlineSnortInline是Snort的改進(jìn)版，它使得Snort具有入侵防護(hù)功能。SnortInline加入了三種新的規(guī)則，并提供了入侵防護(hù)的特征：丟棄：Snort依據(jù)定義的規(guī)則拒絕數(shù)據(jù)包，并將結(jié)果記錄下來。拒絕：Snort拒絕一個數(shù)據(jù)包并記錄結(jié)果。另外，還返回一個錯誤消息。簡單丟棄：入侵檢測系統(tǒng)拒絕一個數(shù)據(jù)包，但是并不記錄。21.0.1網(wǎng)絡(luò)層安全性傳統(tǒng)的安全體系一般都建立在應(yīng)用層上。這些安全體系雖然具有一定的可行性，但也存在著巨大的安全隱患，因為IP包本身不具備任何安全特性，很容易被修改、偽造、查看和重播。IPSec可提供端到端的安全性機(jī)制，可在網(wǎng)絡(luò)層上對數(shù)據(jù)包進(jìn)行安全處理。IPSec可以在路由器、防火墻、主機(jī)和通信鏈路上配置，實現(xiàn)端到端的安全、虛擬專用網(wǎng)絡(luò)和安全隧道技術(shù)等?；诰W(wǎng)絡(luò)層使用IPSec來實現(xiàn)Web安全的模型21.0.2傳輸層安全性在TCP傳輸層之上實現(xiàn)數(shù)據(jù)的安全傳輸是另一種安全解決方案，安全套接層SSL和TLS（TransportLayerSecurity）通常工作在TCP層之上，可以為更高層協(xié)議提供安全服務(wù)。結(jié)構(gòu)如圖21.0.3應(yīng)用層安全性將安全服務(wù)直接嵌入在應(yīng)用程序中，從而在應(yīng)用層實現(xiàn)通信安全，如圖11-9所示。SET（SecureElectronicTransaction，安全電子交易）是一種安全交易協(xié)議，S/MIME、PGP是用于安全電子郵件的一種標(biāo)準(zhǔn)。它們都可以在相應(yīng)的應(yīng)用中提供機(jī)密性、完整性和不可抵賴性等安全服務(wù)21.1安全套接層（SSL）和傳輸層安全（TLS）應(yīng)用最廣泛的一個安全服務(wù)就是安全套接層（SSL）和隨后出現(xiàn)的Internet標(biāo)準(zhǔn)傳輸層安全（TLS）。SSL是以一組協(xié)議的方式實現(xiàn)的一個通用服務(wù)，其中的協(xié)議依賴于TCP。在這一級別上有兩種實現(xiàn)方案可供選擇：為保證充分的通用性，SSL（或TLS）可以作為基礎(chǔ)協(xié)議組的一部分，因此對應(yīng)用來說是透明的。SSL也可以嵌入在特定的軟件包中。例如：Netscape或IE瀏覽器就應(yīng)用了SSL協(xié)議，并且多數(shù)Web服務(wù)器也實現(xiàn)了這個協(xié)議。21.1.1SSL體系結(jié)構(gòu)SSL協(xié)議中的兩個重要概念：SSL會話：是一個客戶端和一個服務(wù)器之間的一種關(guān)聯(lián)。SSL連接：是一種能夠提供合適服務(wù)類型的傳輸。在任何一對實體之間（例如，客戶端和服務(wù)器上HTTP應(yīng)用程序），可以有多個安全連接。在理論上，也允許一