ch9Internet安全

1、第9章 Internet安全,本章主要內(nèi)容 TCP/IP協(xié)議及其安全； Web站點(diǎn)安全； 黑客與網(wǎng)絡(luò)攻擊(攻擊的類(lèi)型、手段、工具及防范措施)； 電子郵件安全； Internet欺騙及防范。,本章要求 掌握TCP/IP協(xié)議及其安全 了解Web站點(diǎn)安全 了解黑客與網(wǎng)絡(luò)攻擊(攻擊的類(lèi)型、手段、工具及防范措施) 了解電子郵件安全 了解Internet欺騙及防范,本章分為五小節(jié)： 1. TCP/IP協(xié)議及其安全 2. Web站點(diǎn)安全 3. 黑客與網(wǎng)絡(luò)攻擊 4. 電子郵件安全 5. Internet欺騙及防范,91 TCP/IP協(xié)議及其安全,TCP/IP是美國(guó)DARPA為ARPANET制定的協(xié)議。國(guó)際互聯(lián)

2、網(wǎng)Internet上采用的就是TCP/IP協(xié)議。TCP/IP協(xié)議也可用于任何其它網(wǎng)絡(luò)。TCP/IP是一種異構(gòu)網(wǎng)絡(luò)互連的通信協(xié)議，通過(guò)它實(shí)現(xiàn)各種異構(gòu)網(wǎng)絡(luò)或異種機(jī)之間的互連通信。TCP/IP同樣適用在一個(gè)局域網(wǎng)中實(shí)現(xiàn)異種機(jī)的互連通信。運(yùn)行TCP/IP協(xié)議的網(wǎng)絡(luò)是一種采用包(或稱(chēng)分組)交換的網(wǎng)絡(luò)。,9.1.1 TCP/IP的層次結(jié)構(gòu) 網(wǎng)絡(luò)接口層與OSI模型中的數(shù)據(jù)鏈路層和物理層相對(duì)應(yīng)。物理層的安全主要保護(hù)物理線(xiàn)路的安全，如保護(hù)物理線(xiàn)路不被損壞，防止線(xiàn)路的搭線(xiàn)竊聽(tīng)，減少或避免對(duì)物理線(xiàn)路的干擾等。數(shù)據(jù)鏈路層的安全主要是保證鏈路上傳輸?shù)男畔⒉怀霈F(xiàn)差錯(cuò)，保護(hù)數(shù)據(jù)傳輸通路暢通，保護(hù)鏈路數(shù)據(jù)幀不被截收等。,IP

3、分組是一種面向協(xié)議的無(wú)連接的數(shù)據(jù)包，用戶(hù)間的數(shù)據(jù)在子網(wǎng)中要經(jīng)過(guò)很多節(jié)點(diǎn)進(jìn)行傳輸。網(wǎng)絡(luò)層安全主要考慮： 控制不同的訪(fǎng)問(wèn)者對(duì)網(wǎng)絡(luò)和設(shè)備的訪(fǎng)問(wèn) 劃分并隔離不同安全域； 防止內(nèi)部訪(fǎng)問(wèn)者對(duì)無(wú)權(quán)訪(fǎng)問(wèn)區(qū)域的訪(fǎng)問(wèn)和誤操作； IP數(shù)據(jù)包的封裝與加密。,由于TCP/IP協(xié)議沒(méi)有加密、身份驗(yàn)證等安全特性，因此必須在傳輸層建立安全通信機(jī)制為應(yīng)用層提供安全保護(hù)。常見(jiàn)的傳輸層安全技術(shù)有SSL、SOCKS和PCT等。 Internet應(yīng)用程序通常使用廣義的進(jìn)程間通信(IPC)機(jī)制來(lái)與不同層次的安全協(xié)議打交道。在Internet中提供安全服務(wù)的一個(gè)想法便是強(qiáng)化它的IPC界面。具體做法包括雙端實(shí)體的認(rèn)證，數(shù)據(jù)加密密鑰的交換等。

4、,網(wǎng)絡(luò)層安全協(xié)議為網(wǎng)絡(luò)連接建立安全的通信信道，傳輸層安全協(xié)議為進(jìn)程之間的數(shù)據(jù)通道增加安全屬性。本質(zhì)上真正的數(shù)據(jù)通道還是建立在主機(jī)(或進(jìn)程)之間，比如如果一個(gè)主機(jī)與另一個(gè)主機(jī)之間建立起一條安全的IP通道，那么所有在這條通道上傳輸?shù)腎P包就都要自動(dòng)地被加密。同樣如果一個(gè)進(jìn)程和另一個(gè)進(jìn)程之間通過(guò)傳輸層安全協(xié)議建立起了一條安全的數(shù)據(jù)通道，那么兩個(gè)進(jìn)程間傳輸?shù)南⒕投家詣?dòng)地被加密。,應(yīng)用層提供的安全服務(wù)，通常都是對(duì)每個(gè)應(yīng)用(包括應(yīng)用協(xié)議)分別進(jìn)行修改和擴(kuò)充，加入新的安全功能。已實(shí)現(xiàn)的TCP/IP應(yīng)用層的安全措施有：基于信用卡安全交易服務(wù)的安全電子交易協(xié)議(SET)，基于電子商務(wù)安全應(yīng)用的安全電子付費(fèi)協(xié)

5、議(SEPP)，基于SMTP提供安全電子郵件安全服務(wù)的私用強(qiáng)化郵件(PEM)，基于HTTP協(xié)議提供Web安全使用的安全性超文本傳輸協(xié)議(S-HTTP)等。,9.1.2 TCP/IP的主要協(xié)議及其功能 從名字上看TCP/IP似乎只包括了兩個(gè)協(xié)議，即TCP協(xié)議和IP協(xié)議，但事實(shí)上它遠(yuǎn)不只兩個(gè)協(xié)議，而是由100多個(gè)協(xié)議組成的協(xié)議集。TCP和IP是其中兩個(gè)最重要的協(xié)議，因此以此命名。TCP和IP兩個(gè)協(xié)議分別屬于傳輸層和網(wǎng)絡(luò)層，在Internet中起著不同的作用。,此外，TCP/IP協(xié)議集還包括一系列標(biāo)準(zhǔn)的協(xié)議和應(yīng)用程序，如在應(yīng)用層上有遠(yuǎn)程登錄(Telnet)協(xié)議、文件傳輸(FTP)協(xié)議和電子郵件(SM

6、TP)協(xié)議等，它們構(gòu)成TCP/IP的基本應(yīng)用程序。這些應(yīng)用層協(xié)議為任何連網(wǎng)的單機(jī)或網(wǎng)絡(luò)提供了互操作能力，滿(mǎn)足了用戶(hù)計(jì)算機(jī)入網(wǎng)共享資源所需的基本功能。,1IP協(xié)議 IP協(xié)議(Internet Protocol)是Internet中的基礎(chǔ)協(xié)議，由IP協(xié)議控制的協(xié)議單元稱(chēng)為IP數(shù)據(jù)報(bào)。IP協(xié)議提供不可靠的、盡最大努力的、無(wú)連接的數(shù)據(jù)報(bào)傳遞服務(wù)。IP協(xié)議的基本任務(wù)是通過(guò)互聯(lián)網(wǎng)傳輸數(shù)據(jù)報(bào)，各個(gè)IP數(shù)據(jù)報(bào)獨(dú)立傳輸。主機(jī)上的網(wǎng)絡(luò)層基于數(shù)據(jù)鏈路層向傳輸層提供傳輸服務(wù)，IP從源傳輸層實(shí)體獲得數(shù)據(jù)，再通過(guò)物理網(wǎng)絡(luò)傳送給目的主機(jī)的網(wǎng)絡(luò)層。,IP協(xié)議不保證傳送的可靠性，在主機(jī)資源不足的情況下，它可能丟棄某些數(shù)據(jù)報(bào)，同

7、時(shí)IP協(xié)議也不檢查被數(shù)據(jù)鏈路層丟棄的報(bào)文。在傳送時(shí)，高層協(xié)議將數(shù)據(jù)傳給網(wǎng)絡(luò)層，網(wǎng)絡(luò)層再將數(shù)據(jù)封裝成IP數(shù)據(jù)報(bào)后通過(guò)網(wǎng)絡(luò)接口發(fā)送出去。簡(jiǎn)單地說(shuō)，IP協(xié)議提供數(shù)據(jù)報(bào)服務(wù)，負(fù)責(zé)網(wǎng)際主機(jī)間無(wú)連接、不糾錯(cuò)的網(wǎng)際尋址及數(shù)據(jù)報(bào)傳輸。,2TCP協(xié)議 TCP協(xié)議是在IP協(xié)議提供的服務(wù)基礎(chǔ)上，支持面向連接的、可靠的、面向數(shù)據(jù)流的傳輸服務(wù)。TCP協(xié)議將應(yīng)用程序之間傳輸?shù)臄?shù)據(jù)視為無(wú)結(jié)構(gòu)的字節(jié)流；這些數(shù)據(jù)流傳輸之前，TCP收發(fā)模塊之間需建立連接(類(lèi)似虛電路)，其后的TCP報(bào)文在此連接基礎(chǔ)上傳輸。TCP連接報(bào)文通過(guò)IP數(shù)據(jù)報(bào)進(jìn)行傳輸，由于IP數(shù)據(jù)報(bào)的傳輸導(dǎo)致ARP地址映射表的產(chǎn)生，從而保證后繼的TCP報(bào)文可具有相同的路徑

8、；,發(fā)送方TCP模塊在形成TCP報(bào)文的同時(shí)形成一個(gè)“累計(jì)核對(duì)”，隨TCP報(bào)文一同傳輸。接收方TCP模塊據(jù)此判斷傳輸?shù)恼_性；若不正確則接收方丟棄該TCP報(bào)文，否則進(jìn)行應(yīng)答。發(fā)送方若在規(guī)定時(shí)間內(nèi)未獲得應(yīng)答則自動(dòng)重傳。兩個(gè)使用TCP協(xié)議進(jìn)行通信的對(duì)等實(shí)體間的一次通信一般都要經(jīng)歷建立連接、數(shù)據(jù)傳輸和終止連接階段。TCP協(xié)議內(nèi)部通過(guò)一套完整狀態(tài)轉(zhuǎn)換機(jī)制來(lái)保證各個(gè)階段的正確執(zhí)行，為上層應(yīng)用程序提供雙向、可靠、順序及無(wú)重復(fù)的數(shù)據(jù)流傳輸服務(wù)。,3UDP協(xié)議 UDP(User Data Protocol)協(xié)議是TCP/IP協(xié)議集中與TCP協(xié)議同處于傳輸層的通信協(xié)議。與TCP協(xié)議不同，UDP是直接利用IP協(xié)議進(jìn)

9、行UDP數(shù)據(jù)報(bào)的傳輸，因此UDP協(xié)議提供的是無(wú)連接、不保證數(shù)據(jù)完整到達(dá)目的地的傳輸服務(wù)。由于在網(wǎng)絡(luò)環(huán)境下的C/S模式應(yīng)用常常采用簡(jiǎn)單的請(qǐng)求/響應(yīng)通信方式，在這些應(yīng)用中，若每次請(qǐng)求都建立連接，通信完成后再釋放連接，額外開(kāi)銷(xiāo)太大。這時(shí)無(wú)連接的UDP就比TCP顯得更合適?？傊?，由于UDP比TCP簡(jiǎn)單得多，又不使用很繁瑣的流控制或錯(cuò)誤恢復(fù)機(jī)制，只充當(dāng)數(shù)據(jù)報(bào)的發(fā)送者和接收者，因此開(kāi)銷(xiāo)小，效率高，適合于高可靠性、低延遲的LAN。在多媒體應(yīng)用中，視頻與音頻數(shù)據(jù)流傳輸采用UDP協(xié)議，在不需要TCP全部服務(wù)的情況下，可用UDP替代TCP。采用UDP協(xié)議支持的高層應(yīng)用主要有網(wǎng)絡(luò)文件系統(tǒng)NFS、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SN

10、MP等。,4ARP協(xié)議和RARP協(xié)議 在局域網(wǎng)中所有站點(diǎn)共享通信信道，使用MAC地址來(lái)確定報(bào)文的發(fā)往目的地，而在Internet中目的地地址是靠IP地址來(lái)確定的。由于MAC地址與IP地址之間沒(méi)有直接的對(duì)應(yīng)關(guān)系，因此需要通過(guò)TCP/IP中的兩個(gè)協(xié)議動(dòng)態(tài)地發(fā)現(xiàn)MAC地址和IP地址的關(guān)系。這兩個(gè)協(xié)議是地址解析協(xié)議ARP和逆向地址解析協(xié)議RARP。利用ARP協(xié)議可求出已知IP地址主機(jī)的MAC地址，而RARP協(xié)議的功能是由已知主機(jī)的MAC地址解析出其IP地址。,5ICMP協(xié)議 由于IP協(xié)議提供了無(wú)連接的數(shù)據(jù)報(bào)傳送服務(wù)，在傳送過(guò)程中若發(fā)生差錯(cuò)或意外情況就無(wú)法處理數(shù)據(jù)報(bào)，這就需要一種通信機(jī)制來(lái)向源節(jié)點(diǎn)報(bào)告差

11、錯(cuò)情況，以便源節(jié)點(diǎn)對(duì)此做出相應(yīng)的處理。ICMP就是一種面向連接的協(xié)議，用于傳輸錯(cuò)誤報(bào)告控制信息。大多數(shù)情況下，ICMP發(fā)送的錯(cuò)誤報(bào)文返回到發(fā)送原數(shù)據(jù)的設(shè)備，因?yàn)橹挥邪l(fā)送設(shè)備才是錯(cuò)誤報(bào)文的邏輯接受者。發(fā)送設(shè)備隨后可根據(jù)ICMP報(bào)文確定發(fā)生錯(cuò)誤的類(lèi)型，并確定如何才能更好地重發(fā)失敗的數(shù)據(jù)報(bào)。,9.1.3 TCP/IP層次安全 TCP/IP的層次不同提供的安全性也不同，例如，在網(wǎng)絡(luò)層提供虛擬專(zhuān)用網(wǎng)絡(luò)，在傳輸層提供安全套接層服務(wù)等。,1網(wǎng)絡(luò)接口層的安全 網(wǎng)絡(luò)接口層與OSI模型中的數(shù)據(jù)鏈路層和物理層相對(duì)應(yīng)。物理層的安全主要保護(hù)物理線(xiàn)路的安全，如保護(hù)物理線(xiàn)路不被損壞，防止線(xiàn)路的搭線(xiàn)竊聽(tīng)，減少或避免對(duì)物理線(xiàn)路

12、的干擾等。數(shù)據(jù)鏈路層的安全主要是保證鏈路上傳輸?shù)男畔⒉怀霈F(xiàn)差錯(cuò)，保護(hù)數(shù)據(jù)傳輸通路暢通，保護(hù)鏈路數(shù)據(jù)幀不被截收等。,網(wǎng)絡(luò)接口層安全一般可以達(dá)到點(diǎn)對(duì)點(diǎn)間較強(qiáng)的身份驗(yàn)證、保密性和連續(xù)的信道認(rèn)證，在大多數(shù)情況下也可以保證數(shù)據(jù)流的安全。有些安全服務(wù)可以提供數(shù)據(jù)的完整性或至少具有防止欺騙的能力。,2網(wǎng)絡(luò)層的安全 網(wǎng)絡(luò)層安全主要是基于以下幾點(diǎn)考慮： 控制不同的訪(fǎng)問(wèn)者對(duì)網(wǎng)絡(luò)和設(shè)備的訪(fǎng)問(wèn)； 劃分并隔離不同安全域； 防止內(nèi)部訪(fǎng)問(wèn)者對(duì)無(wú)權(quán)訪(fǎng)問(wèn)區(qū)域的訪(fǎng)問(wèn)和誤操作。,3傳輸層的安全 由于TCP/IP協(xié)議本身很簡(jiǎn)單，沒(méi)有加密、身份驗(yàn)證等安全特性，因此必須在傳輸層建立安全通信機(jī)制為應(yīng)用層提供安全保護(hù)。傳輸層網(wǎng)關(guān)在兩個(gè)節(jié)點(diǎn)之

13、間代為傳遞TCP連接并進(jìn)行控制。常見(jiàn)的傳輸層安全技術(shù)有SSL、SOCKS和PCT等。,在Internet中提供安全服務(wù)的一個(gè)想法，便是強(qiáng)化它的IPC界面，如BSD Sockets。具體做法包括雙端實(shí)體的認(rèn)證，數(shù)據(jù)加密密鑰的交換等。Netscape通信公司遵循了這個(gè)思路，制定了建立在可靠的傳輸服務(wù)(如TCP/IP所提供)基礎(chǔ)上的安全套接層協(xié)議(SSL)。,4應(yīng)用層的安全 應(yīng)用層提供的安全服務(wù)，通常都是對(duì)每個(gè)應(yīng)用(包括應(yīng)用協(xié)議)分別進(jìn)行修改和擴(kuò)充，加入新的安全功能。現(xiàn)已實(shí)現(xiàn)的TCP/IP應(yīng)用層的安全措施有：基于信用卡安全交易服務(wù)的安全電子交易協(xié)議(SET)，基于信用卡提供電子商務(wù)安全應(yīng)用的安全電子

14、付費(fèi)協(xié)議(SEPP)，基于SMTP提供安全電子郵件安全服務(wù)的私用強(qiáng)化郵件(PEM)，基于HTTP協(xié)議提供Web安全使用的安全性超文本傳輸協(xié)議(S-HTTP)等。,9.2.1 Web概述 1Web Web就像一張附著在Internet上的覆蓋全球的信息“蜘蛛網(wǎng)”，鑲嵌著無(wú)數(shù)以超文本形式存在的信息。它把Internet上現(xiàn)有資源統(tǒng)統(tǒng)連接起來(lái)，使用戶(hù)能在Internet上已經(jīng)建立Web服務(wù)器的所有站點(diǎn)提供超文本媒體資源文檔。Web能把各種類(lèi)型的信息(靜止圖像、文本聲音和音像)緊密地集成在一起，不僅提供圖形界面的快速信息查找，還可通過(guò)同樣的 GUI與Internet的其它服務(wù)器對(duì)接。,92 Web站點(diǎn)

15、安全,2HTTP協(xié)議 HTTP是一種無(wú)狀態(tài)協(xié)議，即服務(wù)器不保留與客戶(hù)交易時(shí)的任何狀態(tài)。這可大大減輕服務(wù)器的存儲(chǔ)負(fù)擔(dān)，從而保持較快的響應(yīng)速度。HTTP又是一種面向?qū)ο蟮膮f(xié)議，允許傳送任意類(lèi)型的數(shù)據(jù)對(duì)象。它通過(guò)數(shù)據(jù)類(lèi)型和長(zhǎng)度來(lái)標(biāo)識(shí)所傳送的數(shù)據(jù)內(nèi)容和大小，并允許對(duì)數(shù)據(jù)進(jìn)行壓縮傳送。瀏覽器軟件配置于用戶(hù)端計(jì)算機(jī)上，用戶(hù)發(fā)出的請(qǐng)求通過(guò)瀏覽器分析后，按HTTP規(guī)范送給服務(wù)器，服務(wù)器按用戶(hù)需求，將HTML文檔送回給用戶(hù)。,3超文本標(biāo)記語(yǔ)言(HTML) HTML是Web的描述語(yǔ)言。設(shè)計(jì)HTML語(yǔ)言的目的是為了能把存放在一臺(tái)電腦中的文本或圖形與另一臺(tái)電腦中的文本或圖形方便地聯(lián)系在一起，形成有機(jī)的整體。這樣用戶(hù)只

16、要使用鼠標(biāo)在某一文檔中點(diǎn)擊一個(gè)圖標(biāo)，Internet就會(huì)馬上轉(zhuǎn)到與此圖標(biāo)相關(guān)的內(nèi)容上去，而這些信息可能存放在網(wǎng)絡(luò)的另一臺(tái)電腦中。,4Web服務(wù)器和瀏覽器 Internet上有大量的Web服務(wù)器，這些Web服務(wù)器上匯集了大量的信息。Web服務(wù)器就是管理這些信息，并與Web瀏覽器打交道。Web服務(wù)器處理來(lái)自Web瀏覽器的用戶(hù)請(qǐng)求，將滿(mǎn)足用戶(hù)要求的信息返回給客戶(hù)。,5Web服務(wù)的基本過(guò)程 Web的工作也是C/S模式，分為四個(gè)基本階段：連接、請(qǐng)求、響應(yīng)和關(guān)閉。信息資源以網(wǎng)頁(yè)形式存儲(chǔ)在Web服務(wù)器中，當(dāng)用戶(hù)希望得到某種信息時(shí)，先與Internet溝通連接；然后用戶(hù)通過(guò)Web客戶(hù)端程序(瀏覽器)向Web服

17、務(wù)器發(fā)出請(qǐng)求；Web服務(wù)器根據(jù)客戶(hù)的請(qǐng)求給予響應(yīng)，將在Web服務(wù)器中符合用戶(hù)要求的某個(gè)網(wǎng)頁(yè)發(fā)給客戶(hù)端，瀏覽器在收到該頁(yè)面后對(duì)其進(jìn)行解釋?zhuān)罱K將圖文等信息呈現(xiàn)給客戶(hù)；一次Web服務(wù)操作結(jié)束后關(guān)閉此次連接，或再進(jìn)行下一次的請(qǐng)求。,9.2.2 Web的安全需求 Web應(yīng)用的威脅：Web服務(wù)在為人們帶來(lái)大量信息的同時(shí)，也接受了嚴(yán)峻的考驗(yàn)，即Web應(yīng)用的安全性受到了極大的威脅。Web應(yīng)用面臨的主要威脅有：,信息泄露。攻擊者可通過(guò)各種手段，非法訪(fǎng)問(wèn)Web服務(wù)器或?yàn)g覽器，獲取敏感信息；或中途截獲Web服務(wù)器和瀏覽器之間傳輸?shù)拿舾行畔?；或由于系統(tǒng)配置、軟件等原因無(wú)意泄露敏感信息。,拒絕服務(wù)。攻擊者可在短時(shí)間內(nèi)

18、向目標(biāo)機(jī)器發(fā)送大量的正常的請(qǐng)求包，并使目標(biāo)機(jī)器維持相應(yīng)的連接；或發(fā)送需要目標(biāo)機(jī)器解析的大量無(wú)用的數(shù)據(jù)包，使得目標(biāo)機(jī)器的資源耗盡，根本無(wú)法響應(yīng)正常的服務(wù)。 系統(tǒng)崩潰。攻擊者可通過(guò)Web篡改、毀壞信息，甚至篡改、刪除關(guān)鍵性文件、格式化磁盤(pán)等使得Web服務(wù)器或?yàn)g覽器崩潰。,Web服務(wù)器的安全需求 維護(hù)公布信息的真實(shí)性和完整性。 維護(hù)Web服務(wù)的安全可用。 保護(hù)Web訪(fǎng)問(wèn)者的隱私。 保護(hù)Web服務(wù)器不被攻擊者作為“跳板”。,Web服務(wù)器的安全防護(hù)措施： 限制在Web服務(wù)器開(kāi)賬戶(hù)； 對(duì)已開(kāi)的賬戶(hù)的口令長(zhǎng)度及定期更改方面作出要求，防止被盜用； 盡量與FTP服務(wù)器、E-mail服務(wù)器等分開(kāi)，去掉無(wú)關(guān)的應(yīng)用；

19、,在Web服務(wù)器上將那些絕對(duì)不用的系統(tǒng)刪除掉； 定期查看服務(wù)器中的日志logs文件，分析一切可疑事件。 設(shè)置好Web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性，對(duì)允許訪(fǎng)問(wèn)的文檔分配一個(gè)公用的組，并只分配它“只讀”權(quán)限。,Web瀏覽器的安全要求：使用Web瀏覽器的客戶(hù)可能隨時(shí)遇到安全問(wèn)題。因此，一般對(duì)Web瀏覽器也有如下安全要求： 確保運(yùn)行瀏覽器的系統(tǒng)不被病毒或其它惡意程序侵害而被破壞。 確?？蛻?hù)個(gè)人安全信息不外泄。 確保交互的站點(diǎn)的真實(shí)性，以免被欺騙，遭受損失。,Web傳輸?shù)陌踩螅涸贗nternet上Web服務(wù)器和Web瀏覽器之間的信息交換是通過(guò)數(shù)據(jù)包在Internet中傳輸實(shí)現(xiàn)的。這些傳輸過(guò)程的安全要

20、求是很重要的。因?yàn)閃eb數(shù)據(jù)的傳輸過(guò)程直接影響著Web應(yīng)用的安全。不同的Web應(yīng)用對(duì)安全傳輸有不同的要求有：保證傳輸信息的真實(shí)性、完整性、保密性和不可否認(rèn)性、不可重用性。,Web安全： 如果用戶(hù)和公司要通過(guò)Web進(jìn)行一些商業(yè)交易，交易中出現(xiàn)的安全問(wèn)題可能有： 詐騙。建立網(wǎng)站是一件很容易且花錢(qián)不多的事，有人甚至直接拷貝別人的頁(yè)面。因此偽裝一個(gè)商業(yè)機(jī)構(gòu)非常簡(jiǎn)單，然后它就可以讓訪(fǎng)問(wèn)者填一份詳細(xì)的注冊(cè)資料，還假裝保證個(gè)人隱私，而實(shí)際上就是為了獲得訪(fǎng)問(wèn)者的隱私。調(diào)查顯示，郵件地址和信用卡號(hào)的泄漏大多是這樣的。,泄漏。當(dāng)交易的信息在Internet上明碼傳播時(shí)，竊聽(tīng)者可以很容易地截取并提取其中的敏感信息。

21、 篡改。攻擊者截取了信息后還可以將其中某些域的值替換成自己所需要的信息，如姓名、信用卡號(hào)、金額，以達(dá)到自己的目的。 攻擊。主要是對(duì)Web服務(wù)器的攻擊，例如著名的DDoS。攻擊的發(fā)起者可以是心懷惡意的個(gè)人，也可以是同行的競(jìng)爭(zhēng)者。,93 黑客與網(wǎng)絡(luò)攻擊,9.3.1 黑客與入侵者 黑客原意為電腦程序設(shè)計(jì)愛(ài)好者，他們對(duì)于計(jì)算機(jī)操作系統(tǒng)的奧秘有強(qiáng)烈興趣。 黑客大都是程序員，具有操作系統(tǒng)和編程語(yǔ)言方面的高級(jí)知識(shí)，了解系統(tǒng)的漏洞及其原因所在，他們不斷對(duì)這些漏洞進(jìn)行研究，并公開(kāi)他們的發(fā)現(xiàn)，與其它人分享，原本并沒(méi)有破壞數(shù)據(jù)的企圖。,黑客在微觀(guān)的層次上考察系統(tǒng)，發(fā)現(xiàn)軟件漏洞和邏輯缺陷，然后編程去檢查軟件的完整性。

22、 黑客出于改進(jìn)的愿望，編寫(xiě)程序去檢查遠(yuǎn)程機(jī)器的安全體系，這種分析過(guò)程是創(chuàng)造和提高的過(guò)程。,入侵者是指懷著不良企圖，闖入遠(yuǎn)程計(jì)算機(jī)系統(tǒng)甚至破壞遠(yuǎn)程計(jì)算機(jī)系統(tǒng)可靠性的人。入侵者利用獲得的非法訪(fǎng)問(wèn)權(quán)，破壞重要數(shù)據(jù)，拒絕合法用戶(hù)的服務(wù)請(qǐng)求，或?yàn)榱俗约旱哪康墓室庵圃炻闊?入侵者的行為是惡意的，他們的技術(shù)水平可能很高，也可能是個(gè)初學(xué)者。有些人既是黑客，又是入侵者。 現(xiàn)在，在大多數(shù)人眼里，黑客就是入侵者。就是利用通信軟件通過(guò)網(wǎng)絡(luò)非法進(jìn)入他人系統(tǒng)，截獲或篡改計(jì)算機(jī)數(shù)據(jù)，危害信息安全的電腦入侵者。,黑客們可通過(guò)猜測(cè)程序?qū)孬@的用戶(hù)賬號(hào)和口令進(jìn)行破譯，以便進(jìn)入系統(tǒng)后做更進(jìn)一步的操作； 或利用服務(wù)器對(duì)外提供某些服

23、務(wù)進(jìn)程的漏洞，以獲取信息、進(jìn)入系統(tǒng)；,或利用網(wǎng)絡(luò)和系統(tǒng)本身存在的錯(cuò)誤導(dǎo)致的薄弱和安全漏洞，以獲取進(jìn)一步的有用信息； 或通過(guò)系統(tǒng)應(yīng)用程序漏洞獲取口令，侵入系統(tǒng)，或繞過(guò)防火墻進(jìn)入內(nèi)部網(wǎng)。,9.3.2 黑客攻擊的類(lèi)型 任何以干擾、破壞網(wǎng)絡(luò)系統(tǒng)為目的的非授權(quán)行為都稱(chēng)之為網(wǎng)絡(luò)攻擊。對(duì)網(wǎng)絡(luò)攻擊有兩種定義：一是指攻擊僅僅發(fā)生在入侵行為完成，且入侵者已在目標(biāo)網(wǎng)絡(luò)中；二是指可能使一個(gè)網(wǎng)絡(luò)受到破壞的所有行為。 黑客進(jìn)行的網(wǎng)絡(luò)攻擊通?？蓺w納為四大類(lèi)型：拒絕服務(wù)型攻擊、利用型攻擊、信息收集型攻擊和虛假信息型攻擊。,1. 拒絕服務(wù)型攻擊 拒絕服務(wù)(DoS)攻擊是攻擊者通過(guò)各種手段來(lái)消耗網(wǎng)絡(luò)帶寬或服務(wù)器的系統(tǒng)資源，最終導(dǎo)

24、致被攻擊服務(wù)器資源耗盡或系統(tǒng)崩潰而無(wú)法提供正常的網(wǎng)絡(luò)服務(wù)。這種攻擊對(duì)服務(wù)器來(lái)說(shuō)，可能并沒(méi)有造成損害，但可以使人們對(duì)被攻擊服務(wù)器所提供服務(wù)的信任度下降，影響公司聲譽(yù)以及用戶(hù)對(duì)網(wǎng)絡(luò)的使用。,DoS攻擊主要是攻擊者利用TCP/IP協(xié)議本身的漏洞或網(wǎng)絡(luò)中各個(gè)操作系統(tǒng)IP協(xié)議的漏洞實(shí)現(xiàn)的。攻擊者通過(guò)發(fā)送大量無(wú)效的請(qǐng)求數(shù)據(jù)包造成服務(wù)器進(jìn)程無(wú)法短期釋放，大量積累耗盡系統(tǒng)資源，使得服務(wù)器無(wú)法對(duì)正常請(qǐng)求進(jìn)行響應(yīng)，造成服務(wù)器癱瘓。這種攻擊主要是用來(lái)攻擊域名服務(wù)器、路由器以及其它網(wǎng)絡(luò)操作服務(wù)，攻擊之后造成被攻擊者無(wú)法正常工作和提供服務(wù)。,DoS攻擊會(huì)降低系統(tǒng)資源的可用性，這些資源可以是CPU時(shí)間、磁盤(pán)空間、打印機(jī)，

25、甚至是系統(tǒng)管理員時(shí)間，結(jié)果往往是被攻擊目標(biāo)的效率大大降低，甚至不能提供相應(yīng)的服務(wù)。由于DoS攻擊工具的技術(shù)要求不高，效果卻比較明顯，因此成為當(dāng)今網(wǎng)絡(luò)中被黑客廣為使用的一種十分流行的攻擊手段。,TCP是一個(gè)面向連接的協(xié)議，在網(wǎng)絡(luò)中廣泛應(yīng)用。因此，黑客也會(huì)利用TCP協(xié)議自身的漏洞進(jìn)行攻擊，影響網(wǎng)絡(luò)中運(yùn)行的絕大多數(shù)服務(wù)器。 DoS攻擊以其操作性和實(shí)效性成為黑客常利用的攻擊形式。從黑客的攻擊目標(biāo)看，DoS攻擊主要有以下幾種類(lèi)型：,帶寬耗用型DoS攻擊：是一種最陰險(xiǎn)的攻擊，它的目的就是消耗掉網(wǎng)絡(luò)的所有可用帶寬。 資源耗竭型DoS攻擊：與帶寬耗用型攻擊的差異在于，它集中于系統(tǒng)資源而不是網(wǎng)絡(luò)帶寬的消耗。一般

26、來(lái)說(shuō)，這種攻擊涉及諸如CPU利用率、內(nèi)存、文件系統(tǒng)和系統(tǒng)進(jìn)程總數(shù)等系統(tǒng)資源的消耗。,編程缺陷DoS攻擊：是利用應(yīng)用程序、操作系統(tǒng)等在處理異常情況時(shí)的邏輯錯(cuò)誤而實(shí)施的DoS攻擊。攻擊者通常向目標(biāo)系統(tǒng)發(fā)送精心設(shè)計(jì)的畸形分組來(lái)試圖導(dǎo)致服務(wù)的失效和系統(tǒng)崩潰。,基于路由的DoS攻擊：攻擊者操縱路由表項(xiàng)以拒絕向合法系統(tǒng)或網(wǎng)絡(luò)提供服務(wù)。 基于DNS的DoS攻擊：與基于路由的DoS攻擊類(lèi)似。大多數(shù)DNS攻擊涉及欺騙受害者的域名服務(wù)器，高速緩存虛假的地址信息。這樣，當(dāng)用戶(hù)請(qǐng)求某DNS服務(wù)器執(zhí)行查找請(qǐng)求時(shí)，攻擊者就達(dá)到了把它們重定向到自己喜歡的站點(diǎn)上的效果,2. 利用型攻擊 利用型攻擊是一類(lèi)試圖直接對(duì)用戶(hù)機(jī)器進(jìn)行

27、控制的攻擊。最常見(jiàn)的利用型攻擊有三種： 口令猜測(cè) 特洛伊木馬 緩沖區(qū)溢出,3. 信息收集型攻擊 信息收集型攻擊是被用來(lái)為進(jìn)一步入侵系統(tǒng)提供有用的信息。這類(lèi)攻擊主要包括掃描技術(shù)和利用信息服務(wù)技術(shù)等，其具體實(shí)現(xiàn)為： 地址掃描(運(yùn)用ping程序探測(cè)目標(biāo)地址) 端口掃描 DNS域轉(zhuǎn)換 Finger服務(wù),4. 虛假信息型攻擊 虛假信息型攻擊用于攻擊目標(biāo)配置不正確的消息，主要包括高速緩存污染和偽造電子郵件攻擊。,9.3.3 黑客攻擊的目的、手段和工具 黑客攻擊網(wǎng)絡(luò)系統(tǒng)的目的通常有以下幾種： 對(duì)系統(tǒng)的非法訪(fǎng)問(wèn) 獲取所需信息 篡改、刪除或暴露數(shù)據(jù)資料 獲取超級(jí)用戶(hù)權(quán)限 利用系統(tǒng)資源，對(duì)其他目標(biāo)進(jìn)行攻擊 拒絕服

28、務(wù),黑客進(jìn)行網(wǎng)絡(luò)攻擊總要使用一定的手段，我們來(lái)了解和研究一下黑客的攻擊手段。 獲取口令：黑客獲取口令通常有三種方法：一是通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)，非法得到用戶(hù)口令；二是在知道用戶(hù)的賬號(hào)后利用一些專(zhuān)門(mén)軟件強(qiáng)行破解用戶(hù)口令；三是在獲得一個(gè)服務(wù)器上的用戶(hù)口令文件后，用暴力破解程序破解用戶(hù)口令。,放置木馬程序：木馬程序可以直接侵入用戶(hù)的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲程序，誘使用戶(hù)打開(kāi)帶有木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶(hù)打開(kāi)了這些郵件的附件或者執(zhí)行了這些程序之后，木馬就會(huì)留在計(jì)算機(jī)中，并在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在Windows啟動(dòng)時(shí)悄悄執(zhí)行的程序。當(dāng)用戶(hù)連接到Internet時(shí)，這個(gè)程序

29、就會(huì)通知黑客，報(bào)告用戶(hù)的IP地址以及預(yù)先設(shè)定的端口。,電子郵件攻擊：主要表現(xiàn)為兩種方式：一是電子郵件轟炸，也就是通常所說(shuō)的郵件炸彈(指用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)、萬(wàn)計(jì)甚至無(wú)窮多次的內(nèi)容相同的郵件)；二是電子郵件欺騙，攻擊者佯稱(chēng)自己為系統(tǒng)管理員(郵件地址和系統(tǒng)管理員完全相同)給用戶(hù)發(fā)送郵件，要求用戶(hù)修改口令，或在看似正常的附件中加載病毒或其他木馬程序。,利用一個(gè)節(jié)點(diǎn)攻擊其他節(jié)點(diǎn)：黑客在突破一臺(tái)主機(jī)后，往往以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)(隱蔽其入侵路徑，避免留下蛛絲馬跡)。他們可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)方法，嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)；也可以通過(guò)IP欺騙和主機(jī)信任關(guān)系，攻擊其他

30、主機(jī)。這類(lèi)攻擊很狡猾，但由于某些技術(shù)很難掌握，如IP欺騙，因此較少被黑客使用,網(wǎng)絡(luò)監(jiān)聽(tīng)：是主機(jī)的一種工作模式，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰(shuí)。此時(shí)，如果兩臺(tái)主機(jī)進(jìn)行通信的信息沒(méi)有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽(tīng)工具，例如NetXray、Sniffit等就可以輕而易舉地截取包括口令和賬號(hào)在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽(tīng)獲得的用戶(hù)賬號(hào)和口令具有一定的局限性，但監(jiān)聽(tīng)者往往能夠獲得其所在網(wǎng)段的所有用戶(hù)的賬號(hào)及口令。,利用賬號(hào)進(jìn)行攻擊：有些黑客會(huì)利用操作系統(tǒng)提供的缺省賬號(hào)和密碼進(jìn)行攻擊，例如許多Unix主機(jī)都有FTP和Guest等缺省賬戶(hù)(其密碼和賬戶(hù)名同

31、名)，有的甚至沒(méi)有口令。黑客用Unix操作系統(tǒng)提供的命令收集信息，不斷提高自己的攻擊能力。只要系統(tǒng)管理員提高警惕，將系統(tǒng)提供的缺省賬戶(hù)關(guān)掉或提醒無(wú)口令用戶(hù)增加口令，一般這類(lèi)攻擊都能克服。,獲取超級(jí)用戶(hù)權(quán)限：黑客可利用各種木馬程序或自己編寫(xiě)的導(dǎo)致緩沖區(qū)溢出的程序?qū)ο到y(tǒng)進(jìn)行攻擊。這樣可使黑客非法獲得對(duì)用戶(hù)機(jī)器的完全控制權(quán)，或可使黑客獲得超級(jí)用戶(hù)的權(quán)限。這樣，黑客就可以隱藏自己的行蹤，在系統(tǒng)中留下一個(gè)便利的“后門(mén)”，從而可以修改資源配置，擁有對(duì)整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。這種攻擊手段，一旦奏效，危害性極大。,黑客常用的攻擊工具：黑客通常使用的工具有掃描器、嗅探器、破解器、木馬和炸彈等。 掃描器：掃描器是檢

32、測(cè)本地或遠(yuǎn)程系統(tǒng)安全脆弱性的軟件。掃描器有IP跟蹤類(lèi)、IP掃描類(lèi)、端口掃描類(lèi)和漏洞掃描類(lèi)。每類(lèi)掃描器都有多種掃描程序，好多都可在網(wǎng)上免費(fèi)得到。,嗅探器：是一種常用的收集有用數(shù)據(jù)的工具，它收集的數(shù)據(jù)可以是用戶(hù)的賬號(hào)和密碼，或是一些商業(yè)性機(jī)密數(shù)據(jù)。黑客使用嗅探器可暗中監(jiān)視用戶(hù)的網(wǎng)絡(luò)狀況并獲取用戶(hù)賬戶(hù)、信用卡號(hào)碼及私人信息等機(jī)密性數(shù)據(jù)。常用的嗅探器有Sniffit、Snoop等。,木馬工具：著名的木馬工具軟件，如冰河木馬、BO2000、NetSpy、廣外女生等，功能都很強(qiáng)大，被黑客廣泛利用。 炸彈工具：被黑客常用的炸彈工具有郵件類(lèi)炸彈、IP類(lèi)炸彈和ICQ類(lèi)炸彈等。,9.3.4 黑客的攻擊及防范措施

33、1. 網(wǎng)絡(luò)攻擊的過(guò)程 網(wǎng)絡(luò)攻擊是一個(gè)系統(tǒng)性很強(qiáng)的工作，其主要過(guò)程有：確定攻擊目的，收集信息，遠(yuǎn)程登錄，掃描和檢測(cè)漏洞，進(jìn)行模擬攻擊，留下后門(mén)和清除日志等。,確定攻擊目的：攻擊者在進(jìn)行一次完整的攻擊之前，首先要確定攻擊要達(dá)到的目的，即要給對(duì)方造成什么傷害。常見(jiàn)的攻擊目的有“破壞”和“入侵”兩種。 破壞攻擊只是破壞攻擊目標(biāo)，使其不能正常工作，而不隨意控制目標(biāo)的系統(tǒng)運(yùn)行。要達(dá)到破壞性攻擊的目的，主要的手段是拒絕服務(wù)(DoS)攻擊。,另一類(lèi)常見(jiàn)的攻擊目的是入侵攻擊目標(biāo)，這種攻擊是以獲得一定的權(quán)限、控制攻擊目標(biāo)為目的。入侵型攻擊比破壞型攻擊更為普遍，威脅也更大。因?yàn)楹诳鸵坏┇@得目標(biāo)的管理員權(quán)限，就可以對(duì)

34、服務(wù)器做任何操作，包括破壞性攻擊。該類(lèi)攻擊一般也是利用服務(wù)器操作系統(tǒng)、應(yīng)用軟件或網(wǎng)絡(luò)協(xié)議存在的漏洞進(jìn)行的。,信息收集：黑客收集信息的目的是為了進(jìn)入所要攻擊的目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)庫(kù)。黑客會(huì)利用下列的公開(kāi)協(xié)議或工具，收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個(gè)主機(jī)系統(tǒng)的相關(guān)信息：,SNMP協(xié)議：用來(lái)查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，從而了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其內(nèi)部細(xì)節(jié)。 TraceRoute程序：用該程序獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過(guò)的網(wǎng)絡(luò)數(shù)和路由器數(shù)。,Whois協(xié)議：該協(xié)議的服務(wù)信息能提供所有有關(guān)的DNS域和相關(guān)的管理參數(shù)。 DNS服務(wù)器：該服務(wù)器提供系統(tǒng)中可以訪(fǎng)問(wèn)的主機(jī)的IP地址表及其對(duì)應(yīng)的主機(jī)名。,Finger協(xié)議

35、：用來(lái)獲取一個(gè)指定主機(jī)上的所有用戶(hù)的詳細(xì)信息。 Ping程序：可以用來(lái)確定一個(gè)指定主機(jī)的位置。 自動(dòng)Wardialing軟件：可以向目標(biāo)站點(diǎn)一次連續(xù)撥出大批電話(huà)號(hào)碼，直到遇到某一正確的號(hào)碼使其MODEM響應(yīng)。,系統(tǒng)安全弱點(diǎn)的探測(cè)：在收集到攻擊目標(biāo)的一批系統(tǒng)信息之后，黑客會(huì)探測(cè)網(wǎng)絡(luò)上的每臺(tái)主機(jī)，以尋求該系統(tǒng)的安全漏洞或弱點(diǎn)，黑客可能使用下列方式自動(dòng)掃描駐留在網(wǎng)絡(luò)上的主機(jī)。,自編程序。黑客發(fā)現(xiàn) “補(bǔ)丁”程序的接口后會(huì)自己編寫(xiě)程序，通過(guò)該接口進(jìn)入目標(biāo)系統(tǒng)。 利用公開(kāi)的工具。利用象ISS(網(wǎng)絡(luò)安全掃描程序)和SATAN這些工具可以對(duì)整個(gè)網(wǎng)絡(luò)或子網(wǎng)進(jìn)行掃描，尋找安全漏洞。收集目標(biāo)系統(tǒng)信息，獲取攻擊目標(biāo)系

36、統(tǒng)的非法訪(fǎng)問(wèn)權(quán)。,建立模擬環(huán)境進(jìn)行模擬攻擊：黑客根據(jù)前幾步所獲得的信息，建立一個(gè)類(lèi)似攻擊對(duì)象的模擬環(huán)境，然后對(duì)模擬目標(biāo)機(jī)進(jìn)行一系列的攻擊。在此期間，通過(guò)檢查被攻擊方的日志，觀(guān)察檢測(cè)工具對(duì)攻擊的反應(yīng)等，可以了解攻擊過(guò)程中留下的“痕跡”及被攻擊方的狀態(tài)，這樣攻擊者就知道需要?jiǎng)h除哪些文件來(lái)毀滅其入侵證據(jù)，以此又可制定一個(gè)系統(tǒng)的、周密的攻擊策略。,實(shí)施網(wǎng)絡(luò)攻擊：入侵者根據(jù)前幾步所獲得的信息，同時(shí)結(jié)合自身的水平及經(jīng)驗(yàn)總結(jié)出相應(yīng)的攻擊方法，在進(jìn)行模擬攻擊的實(shí)踐后，將等待時(shí)機(jī)，以備實(shí)施真正的網(wǎng)絡(luò)攻擊。 黑客在獲得對(duì)目標(biāo)系統(tǒng)的訪(fǎng)問(wèn)權(quán)后，可進(jìn)行如下攻擊選擇：,試圖毀掉攻擊入侵的痕跡，并在受到損害的系統(tǒng)上建立另外

37、新的安全漏洞或后門(mén)，以便在先前的攻擊點(diǎn)被發(fā)現(xiàn)之后，繼續(xù)訪(fǎng)問(wèn)這個(gè)系統(tǒng)； 在目標(biāo)系統(tǒng)中安裝探測(cè)器軟件，用來(lái)窺探系統(tǒng)的活動(dòng)，收集感興趣的一切信息，如Telnet和FTP的賬號(hào)名和口令等；,進(jìn)一步發(fā)現(xiàn)受損系統(tǒng)在網(wǎng)絡(luò)中的信任等級(jí)，這樣黑客就可以通過(guò)該系統(tǒng)信任級(jí)展開(kāi)對(duì)整個(gè)系統(tǒng)的攻擊； 通過(guò)猜測(cè)程序可對(duì)截獲的用戶(hù)賬號(hào)和口令進(jìn)行破譯； 利用破譯程序可對(duì)截獲的系統(tǒng)密碼文件進(jìn)行破譯；,通過(guò)得到的用戶(hù)口令和系統(tǒng)密碼遠(yuǎn)程登錄網(wǎng)絡(luò)，以此獲得用戶(hù)的工作權(quán)限； 利用本地漏洞獲取管理員權(quán)限； 利用網(wǎng)絡(luò)和系統(tǒng)本身的薄弱環(huán)節(jié)和安全漏洞實(shí)施電子引誘等；,修改網(wǎng)頁(yè)進(jìn)行惡作劇，或破壞系統(tǒng)程序，或放置病毒使系統(tǒng)陷入癱瘓，或竊取政治、軍事

38、、商業(yè)秘密，或進(jìn)行電子郵件騷擾，或轉(zhuǎn)移資金賬戶(hù)，竊取金錢(qián)等。 如果黑客在某系統(tǒng)上獲得特許訪(fǎng)問(wèn)權(quán)，那么他就可以讀取郵件、搜索和盜竊私人文件、毀壞數(shù)據(jù)，從而破壞整個(gè)系統(tǒng)的信息，造成嚴(yán)重后果。,2. DoS的攻擊及防范 具體的DoS攻擊方式有SYN Flood(SYN洪泛)攻擊、IP碎片攻擊、Smurf攻擊、死亡之ping攻擊、淚滴(teardrop)攻擊、 UDP Flood(UDP洪泛)攻擊、 Land攻擊、Fraggle攻擊、電子郵件炸彈等。,在DoS攻擊中，攻擊者加載過(guò)多的服務(wù)將對(duì)方資源全部使用，使得沒(méi)有多余資源供其他用戶(hù)使用。SYN Flood攻擊是典型的DoS攻擊。 SYN Flood常

39、常是源IP地址欺騙攻擊的前奏，又稱(chēng)“半連接”式攻擊。每當(dāng)我們進(jìn)行一次標(biāo)準(zhǔn)的TCP連接就會(huì)有一個(gè)三次握手的過(guò)程。,對(duì)于DoS攻擊，可采取的一些具體措施可有： 對(duì)于信息淹沒(méi)攻擊，應(yīng)關(guān)掉可能產(chǎn)生無(wú)限序列的服務(wù)來(lái)防止這種攻擊。 建議在該網(wǎng)段的路由器上做些配置的調(diào)整，這些調(diào)整包括限制SYN半開(kāi)數(shù)據(jù)包的流量和個(gè)數(shù)。,可在路由器的前端做必要的TCP攔截，使得只有完成TCP三次握手過(guò)程的數(shù)據(jù)包才可進(jìn)入該網(wǎng)段，這樣可以有效地保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類(lèi)攻擊。,對(duì)于正在實(shí)施的DoS攻擊，只有追根溯源去找到正在進(jìn)行攻擊的機(jī)器和攻擊者。要追蹤攻擊者不是一件容易的事情，一旦其停止了攻擊行為，很難將其發(fā)現(xiàn)。唯一可行的方法

40、就是在其進(jìn)行攻擊的時(shí)候，根據(jù)路由器的信息和攻擊數(shù)據(jù)包的特征，采用逐級(jí)回溯的方法來(lái)查找其攻擊源頭。,3. 分布式拒絕服務(wù)(DDoS)攻擊及防范 DDoS攻擊就是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類(lèi)攻擊方式。試想如果計(jì)算機(jī)與網(wǎng)絡(luò)的處理能力加大了10倍，用一臺(tái)攻擊機(jī)來(lái)攻擊不會(huì)起作用，但攻擊者要使用10臺(tái)、100臺(tái)攻擊機(jī)同時(shí)攻擊呢？這就是DDoS攻擊的思路，它就是利用更多的被控制機(jī)發(fā)起進(jìn)攻。,為完成DDoS攻擊，黑客首先需要擁有和控制三種類(lèi)型的計(jì)算機(jī)：攻擊者計(jì)算機(jī)(黑客本人使用，黑客通過(guò)它發(fā)布實(shí)施DDoS的指令)、控制傀儡機(jī)(一般不屬黑客所有，黑客在這些計(jì)算機(jī)上安裝上特定的主控制軟件)和攻擊傀儡機(jī)。每

41、個(gè)攻擊傀儡機(jī)也是一臺(tái)已被入侵并運(yùn)行代理程序的系統(tǒng)主機(jī)，每個(gè)響應(yīng)攻擊命令的攻擊傀儡機(jī)會(huì)向被攻擊目標(biāo)主機(jī)發(fā)送拒絕DoS數(shù)據(jù)包)。,DDoS攻擊包是從攻擊傀儡機(jī)上發(fā)出的，控制傀儡機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。黑客對(duì)這兩類(lèi)計(jì)算機(jī)有控制權(quán)或部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上，這些程序與正常的程序一樣運(yùn)行并等待來(lái)自黑客的指令。平時(shí)這些傀儡機(jī)并沒(méi)有什么異常，只是一旦被黑客控制并接收到指令，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。,一般來(lái)說(shuō)，黑客的DDoS攻擊分為以下幾個(gè)階段： 準(zhǔn)備階段 占領(lǐng)傀儡機(jī) 植入程序 實(shí)施攻擊,DDoS攻擊的防范：對(duì)DDoS攻擊的防御還是比較困難的，因?yàn)樗昧薚CP

42、/IP協(xié)議的漏洞。但實(shí)際上防止DDoS并不是絕對(duì)不可行的事情。必須在以下幾個(gè)方面防范DDoS：,主機(jī)上的防范 使用網(wǎng)絡(luò)和主機(jī)掃描工具檢測(cè)脆弱性：安全掃描工具能夠檢測(cè)并刪除主機(jī)上被黑客安裝的進(jìn)行DDoS攻擊的軟件 及時(shí)更新系統(tǒng)補(bǔ)?。翰僮飨到y(tǒng)都有很多漏洞，很容易讓黑客找到后門(mén)，及時(shí)下載和更新系統(tǒng)補(bǔ)丁也是抵御黑客攻擊的重要一點(diǎn)。,采用NIDS和嗅探器：當(dāng)系統(tǒng)收到未知地址的可疑信息流時(shí)，NIDS(網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng))會(huì)發(fā)出報(bào)警信號(hào)，提醒系統(tǒng)管理員及時(shí)采取應(yīng)對(duì)措施，如切斷連接或反向跟蹤等。嗅探器(sniffer)可用來(lái)在網(wǎng)絡(luò)級(jí)識(shí)別網(wǎng)絡(luò)攻擊行為并成為NIDS原始檢測(cè)信息的來(lái)源。,網(wǎng)絡(luò)上的防范：在網(wǎng)絡(luò)上主要考

43、慮防火墻與路由器的設(shè)置，因?yàn)閮烧呤桥c外界的接口。 防火墻可采用的方法： 禁止對(duì)主機(jī)的非開(kāi)放服務(wù)的訪(fǎng)問(wèn)。 限制同時(shí)打開(kāi)的SYN最大連接數(shù)。 限制特定IP地址的訪(fǎng)問(wèn)。 嚴(yán)格限制開(kāi)放的服務(wù)器對(duì)外訪(fǎng)問(wèn)等設(shè)置。,路由器是網(wǎng)絡(luò)的核心設(shè)備，在路由器上采取防范措施是抵御DDoS的關(guān)鍵，這里以Cisco為例分析阻止攻擊的方法： 檢查每一個(gè)經(jīng)過(guò)路由器的數(shù)據(jù)包。 設(shè)置SYN數(shù)據(jù)包流量速率。 在邊界路由器上部署策略。 使用CAR限制ICMP數(shù)據(jù)包流量速率。 用ACL過(guò)濾RFC 1918中列出的所有地址。,DDoS攻擊憑借著它的隱蔽性、破壞性、廣域性給Internet帶來(lái)了很大的傷害。對(duì)付DDoS的方法一直在研究中，但

44、目前網(wǎng)絡(luò)管理員至少可以做到把自己的網(wǎng)絡(luò)與主機(jī)維護(hù)好，首先讓自己的主機(jī)不成為別人利用的對(duì)象去攻擊別人；其次在受到攻擊的時(shí)候，要盡量保存證據(jù)，以便事后追查。,4. 緩沖區(qū)溢出攻擊及防范 緩沖區(qū)溢出是指通過(guò)向程序的緩沖區(qū)寫(xiě)入超出其長(zhǎng)度的內(nèi)容，造成緩沖區(qū)的溢出，從而破壞程序的堆棧，使程序轉(zhuǎn)而執(zhí)行其他的指令，以達(dá)到攻擊的目的。緩沖區(qū)溢出攻擊是一種常見(jiàn)且危害很大的系統(tǒng)攻擊手段，這種攻擊可以使得一個(gè)匿名的Internet用戶(hù)有機(jī)會(huì)獲得一臺(tái)主機(jī)的部分或全部的控制權(quán)。,緩沖區(qū)溢出攻擊使任何人都有可能取得主機(jī)的控制權(quán)，所以它代表了一類(lèi)極其嚴(yán)重的安全威脅。它是最為常見(jiàn)的一種攻擊形式，占據(jù)遠(yuǎn)程網(wǎng)絡(luò)攻擊的絕大多數(shù)。有資

45、料顯示，80%的攻擊事件與緩沖區(qū)溢出漏洞有關(guān)。目前公開(kāi)的安全漏洞也有相當(dāng)一部分屬于緩沖區(qū)溢出漏洞。,緩沖區(qū)溢出攻擊的工作原理：向一個(gè)有限空間的緩沖區(qū)中拷貝過(guò)長(zhǎng)的字符串，這將帶來(lái)兩種后果：一是過(guò)長(zhǎng)的字符串覆蓋了相鄰的存儲(chǔ)單元而造成程序癱瘓，甚至造成宕機(jī)、系統(tǒng)或進(jìn)程重啟等；二是可讓攻擊者運(yùn)行惡意代碼，執(zhí)行任意指令，甚至獲得超級(jí)權(quán)限等。,緩沖區(qū)溢出攻擊的目的在于擾亂具有某些特權(quán)運(yùn)行的程序功能，使攻擊者取得程序的控制權(quán)，如果該程序具有足夠的權(quán)限，那么整個(gè)主機(jī)就被控制了。為了達(dá)到這個(gè)目的，攻擊者必須達(dá)到如下兩個(gè)目標(biāo)： 一是在程序的地址空間里安排適當(dāng)?shù)拇a； 二是通過(guò)適當(dāng)?shù)爻跏蓟拇嫫骱痛鎯?chǔ)器，讓程序跳轉(zhuǎn)

46、到事先安排的地址去執(zhí)行。,攻擊者可通過(guò)在程序的地址空間里安排適當(dāng)?shù)拇a、控制程序轉(zhuǎn)移到攻擊代碼 和綜合代碼植入和流程控制技術(shù)實(shí)現(xiàn)緩沖區(qū)溢出攻擊。 在一個(gè)緩沖區(qū)內(nèi)放置代碼不能溢出緩沖區(qū)，但攻擊者通過(guò)溢出另外一個(gè)緩沖區(qū)來(lái)轉(zhuǎn)移程序的指針，利用另一個(gè)緩沖區(qū)溢出使程序指針指向特定的代碼段,緩沖區(qū)溢出是當(dāng)今流行的一種網(wǎng)絡(luò)攻擊方法，它易于實(shí)現(xiàn)且危害嚴(yán)重，給系統(tǒng)的安全帶來(lái)了極大的隱患。防火墻對(duì)這種攻擊方式無(wú)能為力，因?yàn)楣粽邆鬏數(shù)臄?shù)據(jù)分組并無(wú)異常特征，沒(méi)有任何欺騙。另外可以用來(lái)實(shí)施緩沖區(qū)溢出攻擊的字符串非常多樣化，無(wú)法與正常數(shù)據(jù)有效進(jìn)行區(qū)分。緩沖區(qū)溢出攻擊不是一種竊密和欺騙的手段，而是從計(jì)算機(jī)系統(tǒng)的最底層發(fā)起

47、攻擊，因此在它的攻擊下系統(tǒng)的身份驗(yàn)證和訪(fǎng)問(wèn)權(quán)限等安全策略形同虛設(shè)。,可以采用以下幾種基本的方法保護(hù)緩沖區(qū)免受溢出攻擊： 編寫(xiě)正確的代碼 非執(zhí)行緩沖區(qū)保護(hù) 數(shù)組邊界檢查 程序指針完整性檢查,9.3.5 系統(tǒng)被入侵后的恢復(fù) “被入侵”指網(wǎng)絡(luò)遭受到非法闖入。這種情況分為不同的程度： 入侵者只獲得訪(fǎng)問(wèn)權(quán)； 入侵者獲得訪(fǎng)問(wèn)權(quán)，并毀壞、侵襲或改變數(shù)據(jù)；,入侵者獲得訪(fǎng)問(wèn)權(quán)，并獲得對(duì)部分系統(tǒng)或整個(gè)系統(tǒng)控制權(quán)，拒絕擁有特權(quán)用戶(hù)的訪(fǎng)問(wèn)； 入侵者沒(méi)有獲得訪(fǎng)問(wèn)權(quán)，而是用不良程序，引起網(wǎng)絡(luò)運(yùn)行失敗、重新啟動(dòng)或其它非法操作。,1. 發(fā)現(xiàn)黑客 可以用一些工具跟蹤和發(fā)現(xiàn)破壞站點(diǎn)安全性的黑客。如Unix平臺(tái)的一些系統(tǒng)命令可以定

48、時(shí)檢查系統(tǒng)文件或程序是否被修改，但不能阻止黑客入侵。在Windows NT平臺(tái)上可對(duì)可疑行為進(jìn)行快速檢查，檢查訪(fǎng)問(wèn)及錯(cuò)誤登錄文件。,2. 應(yīng)急操作 面對(duì)黑客的攻擊，先要考慮這會(huì)對(duì)站點(diǎn)和用戶(hù)產(chǎn)生什么影響，采取應(yīng)急補(bǔ)救措施；再考慮如何阻止黑客的再次入侵。 萬(wàn)一出現(xiàn)黑客入侵情況，應(yīng)按如下步驟進(jìn)行：,分析情況和破壞程度：如果黑客闖入站點(diǎn)，要設(shè)法保護(hù)用戶(hù)、文件和系統(tǒng)資源； 切斷連接：了解情況后，要切斷連接，關(guān)閉服務(wù)器，或關(guān)閉系統(tǒng)，或停止有影響的服務(wù)(FTP、Gopher、Telnet等)，甚至可能需要關(guān)閉Internet網(wǎng)連接；,使用專(zhuān)用手段或工具檢查系統(tǒng)中是否有sniffer正在運(yùn)行。在對(duì)系統(tǒng)進(jìn)行恢復(fù)

49、過(guò)程中，系統(tǒng)處于單用戶(hù)或本地管理模式，會(huì)阻止其他用戶(hù)、入侵者和入侵進(jìn)程對(duì)系統(tǒng)的訪(fǎng)問(wèn)，也不允許切換主機(jī)的運(yùn)行狀態(tài)。如果在恢復(fù)過(guò)程中，系統(tǒng)沒(méi)有斷開(kāi)與網(wǎng)絡(luò)的連接，入侵者可能再次連接到用戶(hù)主機(jī)，破壞正在進(jìn)行的恢復(fù)工作。,復(fù)制被入侵系統(tǒng)的拷貝。在進(jìn)行入侵分析之前，用戶(hù)應(yīng)備份被入侵的系統(tǒng)，以便以后使用。 分析問(wèn)題：當(dāng)系統(tǒng)已被入侵時(shí)，要識(shí)別出安全漏洞并將進(jìn)行修補(bǔ)，并保證修補(bǔ)不會(huì)引起另一個(gè)安全漏洞； 采取行動(dòng)：采取緊急安全對(duì)策，修復(fù)安全漏洞和恢復(fù)系統(tǒng)。,3. 恢復(fù)系統(tǒng) 重裝安全的操作系統(tǒng)； 取消不必要的服務(wù)； 安裝供應(yīng)商提供的補(bǔ)丁程序； 謹(jǐn)慎使用備份數(shù)據(jù)； 修改密碼。,4. 加強(qiáng)系統(tǒng)與網(wǎng)絡(luò)的安全 根據(jù)CERT

50、(計(jì)算機(jī)緊急響應(yīng)小組)的配置指南檢查系統(tǒng)的安全性； 安裝安全工具； 啟動(dòng)日志檢查程序，并將其設(shè)置到準(zhǔn)確的級(jí)別； 重新連接Internet。,5. 預(yù)防措施 注意經(jīng)常定期檢查登錄文件，特別是那些由系統(tǒng)登錄服務(wù)生成的內(nèi)容。 注意不尋常的主機(jī)連接及連接次數(shù)。 注意原不經(jīng)常使用卻突然活躍的賬戶(hù)。 判斷黑客經(jīng)常光顧的時(shí)段，記錄其所有的過(guò)程及網(wǎng)絡(luò)聯(lián)接。,94 電子郵件安全,9.4.1 電子郵件的安全漏洞 電子郵件服務(wù)十分脆弱，因?yàn)镋-mail服務(wù)器向全球開(kāi)放，它們很容易受到黑客的襲擊。Web提供的閱讀器也容易受到類(lèi)似的侵襲。Internet像一個(gè)蜘蛛網(wǎng)，E-mail到達(dá)收件人之前，會(huì)經(jīng)過(guò)很多機(jī)構(gòu)和ISP，

51、因此任何人，只要可以訪(fǎng)問(wèn)這些服務(wù)器，或訪(fǎng)問(wèn)E-mail經(jīng)過(guò)的路徑，就可以閱讀這些信息。E-mail上存在如下一些安全漏洞。,1Web信箱的漏洞 Web信箱是通過(guò)瀏覽器訪(fǎng)問(wèn)的，部分技術(shù)水平不高的站點(diǎn)存在著嚴(yán)重的安全漏洞。比如你在公共場(chǎng)所(例如網(wǎng)吧)上網(wǎng)瀏覽了一些你的郵件，那么在你關(guān)掉當(dāng)前瀏覽頁(yè)面離開(kāi)后，別人即可利用瀏覽器做簡(jiǎn)單操作后就可看到你剛才瀏覽過(guò)的郵件。如果你在該機(jī)器上注冊(cè)了新的信箱，你的個(gè)人資料就會(huì)很容易地泄密。,2密碼問(wèn)題 很多人都在強(qiáng)調(diào)密碼的重要性，然而事實(shí)上很多用戶(hù)名設(shè)置的密碼都是很簡(jiǎn)單的。如果要想設(shè)置一個(gè)好的密碼，就要站在一個(gè)破解者的角度去思考。破解者最容易想到的就是生日、用戶(hù)名

52、、電話(huà)號(hào)碼、信用卡號(hào)碼、執(zhí)照或證書(shū)號(hào)碼等，雖然這些是我們生活中最容易記住的，但也是最容易被別人猜到的。,保持密碼安全的建議：不要將密碼寫(xiě)下來(lái)，不要將密碼存于終端功能鍵或存儲(chǔ)器中，不要選取顯而易見(jiàn)的信息，不要讓別人知道，不要交替使用兩個(gè)密碼，不要在不同系統(tǒng)上使用同一密碼，不要讓人看見(jiàn)自己在輸入密碼等。,3監(jiān)聽(tīng)問(wèn)題 郵件監(jiān)聽(tīng)可分為兩種監(jiān)聽(tīng)方式：一種是局域網(wǎng)內(nèi)的監(jiān)聽(tīng)。一般，使用嗅探器可對(duì)局域網(wǎng)內(nèi)傳輸?shù)臄?shù)據(jù)進(jìn)行監(jiān)聽(tīng)。因?yàn)镻OP3協(xié)議通常都是明文傳輸，所以很容易就被嗅探器嗅探到你的郵箱密碼。而使用瀏覽器進(jìn)行收發(fā)郵件就顯得相對(duì)安全一些。另一種監(jiān)聽(tīng)就是來(lái)自信箱內(nèi)部的監(jiān)聽(tīng)。,當(dāng)用戶(hù)密碼被破解之后，攻擊者并沒(méi)有

53、修改密碼，而是把信箱設(shè)置成轉(zhuǎn)發(fā)郵件到攻擊者的信箱；然后再在他的信箱中設(shè)置轉(zhuǎn)發(fā)郵件到這個(gè)被破解密碼的信箱，同時(shí)設(shè)置“保留備份”。這樣攻擊者就可以完全控制該信箱的流量了，因?yàn)楫?dāng)他想讓你收郵件的時(shí)候就轉(zhuǎn)發(fā)給你，不想讓你收就取消轉(zhuǎn)發(fā)，這種方法相當(dāng)隱蔽。,4緩存的危險(xiǎn) 用IE瀏覽器在瀏覽網(wǎng)頁(yè)的時(shí)候，會(huì)在硬盤(pán)上開(kāi)一個(gè)臨時(shí)交換空間，這叫做緩存。緩存可能成為攻擊者的目標(biāo)，因?yàn)橛行┬畔涫褂胏ookie程序(瀏覽器中一種用來(lái)記錄訪(fǎng)問(wèn)者信息的文件)并以明文形式保存密碼，同時(shí)瀏覽過(guò)的所有的網(wǎng)頁(yè)都在這個(gè)緩存內(nèi)，如果緩存被拷貝，你的私人信息就不存在秘密了。,5冒名頂替 由于普通的電子郵件缺乏安全認(rèn)證，所以冒充別人發(fā)送郵件

54、并不是難事。曾幾何時(shí)，假借某某公司發(fā)送中獎(jiǎng)信息的電子郵件就不知道害了多少人。如果你不想讓別人冒充你的名義發(fā)送郵件，你可以采用數(shù)字證書(shū)發(fā)送簽名加密郵件，這種方式已經(jīng)被證明是解決郵件安全問(wèn)題的好辦法,9.4.2 電子郵件欺騙 1. 匿名轉(zhuǎn)發(fā) 正常的情況下，發(fā)送的電子郵件都會(huì)將發(fā)送者的名字和地址包括于郵件的附加信息。但有時(shí)侯發(fā)信者希望將郵件發(fā)送出去而不希望收件者知道是誰(shuí)發(fā)的。這種發(fā)送郵件的方法被稱(chēng)為匿名郵件。,實(shí)現(xiàn)匿名發(fā)送的最簡(jiǎn)單的方法，是改變電子郵件軟件里的發(fā)送者名字。但這是一種表面現(xiàn)象，因?yàn)橥ㄟ^(guò)信息表頭中的其它信息，仍能跟蹤發(fā)送者。 使發(fā)送地址完全不出現(xiàn)在郵件中的唯一的方法是讓其他人轉(zhuǎn)發(fā)郵件，郵

55、件中的發(fā)信地址就變成了代轉(zhuǎn)發(fā)者的地址了。,Internet上有大量的匿名轉(zhuǎn)發(fā)者，發(fā)信者將郵件發(fā)給匿名轉(zhuǎn)發(fā)者，并告知該郵件希望發(fā)給誰(shuí)。該匿名轉(zhuǎn)發(fā)者刪去所有的返回地址信息，將郵件轉(zhuǎn)發(fā)給收信人，并將自己的地址作為返回地址插入郵件中。,匿名轉(zhuǎn)發(fā)的郵件可能是非法的、不健康的信息，也可能是一些合法的信息。 匿名轉(zhuǎn)發(fā)對(duì)保證郵件安全有利。隱藏發(fā)送敏感信息的發(fā)送者的信息，可使窺竊者得不到真正發(fā)信者，或不知道該信息是否有用。,2. 垃圾郵件 垃圾郵件，顧名思義就是不請(qǐng)自來(lái)的、大量散發(fā)的、對(duì)接收者無(wú)用的郵件。垃圾郵件是未經(jīng)收件者同意，即大量散發(fā)的郵件，信件內(nèi)容多半以促銷(xiāo)商品為目的。它們可能是某些有商業(yè)企圖的人想利用

56、Internet散播廣告或色情的媒介。,傳送 Mail 者只需花極少的代價(jià)，即可造成收件者的重大損失。假設(shè)一個(gè)人在每星期收到幾十封垃圾郵件，個(gè)人用戶(hù)的損失并非立即顯現(xiàn)，但若企業(yè)內(nèi)每個(gè)人都收到此類(lèi)信件時(shí)，這對(duì)企業(yè)網(wǎng)絡(luò)環(huán)境的影響就不僅僅是一件麻煩事了。這些垃圾郵件對(duì)企業(yè)無(wú)任何益處，但是SMTP服務(wù)器卻得承擔(dān)這些郵件的處理和轉(zhuǎn)發(fā)工作。CPU、服務(wù)器硬盤(pán)空間、終端機(jī)用戶(hù)硬盤(pán)空間都因此而影響了速度和空間。,垃圾郵件除了浪費(fèi)網(wǎng)絡(luò)資源外，更令人擔(dān)心的是其附件文件可能夾帶病毒，這些病毒將會(huì)危害企業(yè)網(wǎng)絡(luò)；附件網(wǎng)址可能附加Java或ActiveX 等惡性程序，許多木馬病毒就會(huì)借此大量擴(kuò)散?？梢韵胂?，如果讓這些未經(jīng)

57、許可的垃圾郵件繼續(xù)為所欲為，將造成企業(yè)大的損失。,雖然垃圾郵件可能以任何形式出現(xiàn)，但是還是有跡可尋，它們有以下特點(diǎn)： 發(fā)信者本身的郵件地址也是假冒的。當(dāng)你收到各項(xiàng)難以置信的中獎(jiǎng)通知、特價(jià)優(yōu)惠等好消息時(shí)需要提高警覺(jué)。 郵件內(nèi)容的文法或錯(cuò)字百出。 頻繁使用大寫(xiě)字體和驚嘆語(yǔ)詞。 大部分的內(nèi)容為廣告或電話(huà)服務(wù)。,3. 電子郵件欺騙 欺騙性E-mail會(huì)制造安全漏洞。E-mail欺騙行為的跡象是：E-mail假稱(chēng)來(lái)自系統(tǒng)管理員，要求用戶(hù)將他們的口令改變?yōu)樘囟ǖ淖执?，并威脅如果用戶(hù)不照此辦理，將關(guān)閉用戶(hù)的賬戶(hù)。,由于簡(jiǎn)單郵件傳輸協(xié)議沒(méi)有驗(yàn)證系統(tǒng)，偽造E-mail十分方便。如果站點(diǎn)允許與SMTP端口聯(lián)系，任

58、何人都可以與該端口聯(lián)系，并可以虛構(gòu)的人的名義發(fā)出E-mail。,4. 電子郵件炸彈 電子郵件炸彈是指發(fā)送者以來(lái)歷不明的郵件地址，重復(fù)地將電子郵件郵寄給同一個(gè)收信人。由于這就像戰(zhàn)爭(zhēng)中利用某種戰(zhàn)爭(zhēng)工具對(duì)同一個(gè)地方進(jìn)行的大轟炸一樣，因此稱(chēng)為電子郵件炸彈。電子郵件炸彈是最古老的匿名攻擊之一。這種以重復(fù)的信息不斷地進(jìn)行的電子郵件轟炸操作，可以消耗大量的網(wǎng)絡(luò)資源。,用戶(hù)可能會(huì)想到利用電子郵件的回復(fù)和轉(zhuǎn)發(fā)功能還擊，將整個(gè)炸彈“回復(fù)”給發(fā)送者。但如果對(duì)方將郵件的“from”和“to”都改為用戶(hù)的電子郵件地址，這就可想而知這種“回復(fù)”的后果，所還擊的“炸彈”都會(huì)“反彈”回來(lái)炸著了自己。如果郵件服務(wù)器接收到大量的

59、重復(fù)信息和“反彈”信息，郵件總?cè)萘垦杆倥蛎?，有可能?dǎo)致郵件服務(wù)器脫網(wǎng)，系統(tǒng)可能崩潰。,可采取以下方法防范電子郵件炸彈： 使用Outlook或Foxmail等系統(tǒng)的POP3收信工具接收郵件。 當(dāng)郵箱被不停地攻擊時(shí)，可在收件工具的過(guò)濾器中選擇不再接收來(lái)自該地址的信件，而是將其直接從電子郵件服務(wù)器上刪除。,接收郵件時(shí)，一旦發(fā)現(xiàn)郵件列表的數(shù)量大大超過(guò)平時(shí)郵件的數(shù)量時(shí)，應(yīng)立即停止下載郵件，然后刪除這些郵件炸彈。 對(duì)郵件地址進(jìn)行配置，自動(dòng)刪除來(lái)自同一主機(jī)的過(guò)量或重復(fù)的消息。,9.4.3 電子郵件病毒 電子郵件病毒實(shí)際上與普通病毒一樣，只是傳播途徑主要是通過(guò)電子郵件。郵件病毒通常是被附加在郵件的附件中，當(dāng)用

60、戶(hù)打開(kāi)郵件附件時(shí)，它就侵入了用戶(hù)計(jì)算機(jī)。由于惡意者可同時(shí)向多個(gè)用戶(hù)或整個(gè)計(jì)算機(jī)系統(tǒng)群發(fā)電子郵件，病毒郵件就會(huì)在短時(shí)間內(nèi)大規(guī)模地復(fù)制和傳播，因此整個(gè)系統(tǒng)就會(huì)迅速被感染，從而可能導(dǎo)致郵件服務(wù)器資源耗盡，并嚴(yán)重影響網(wǎng)絡(luò)運(yùn)行。,對(duì)電子郵件系統(tǒng)進(jìn)行病毒防護(hù)可從以下幾個(gè)方面著手： 思想上要有防病毒意識(shí) 使用優(yōu)秀的防病毒軟件對(duì)電子郵件進(jìn)行專(zhuān)門(mén)的保護(hù) 使用防病毒軟件同時(shí)保護(hù)客戶(hù)機(jī)和服務(wù)器,9.4.4 電子郵件加密 保證電子郵件安全的方法就是對(duì)郵件進(jìn)行加密和數(shù)字簽名處理，使攻擊者即使得到郵件數(shù)據(jù)包后也無(wú)法閱讀它。作為Internet標(biāo)準(zhǔn)而提出的增強(qiáng)型加密郵件PEM和PGP軟件是實(shí)現(xiàn)文件和郵件加密的兩個(gè)具有代表性