網(wǎng)絡(luò)安全期中復(fù)習(xí)

1、期 中 復(fù) 習(xí)1前言互聯(lián)網(wǎng)安全問題為什么這么嚴(yán)重？這些安全問題是怎么產(chǎn)生的呢？綜合技術(shù)和管理等多方面因素，我們可以歸納為四個(gè)方面:互聯(lián)網(wǎng)的開放性、自身的脆弱性、攻擊的普遍性、管理的困難性。2互聯(lián)網(wǎng)的開放性互聯(lián)網(wǎng)是一個(gè)開放的網(wǎng)絡(luò)，TCP/IP是通用的協(xié)議。各種硬件和軟件平臺(tái)的計(jì)算機(jī)系統(tǒng)可以通過各種媒體接入進(jìn)來，如果不加限制，世界各地均可以訪問。于是各種安全威脅可以不受地理限制、不受平臺(tái)約束，可以迅速通過互聯(lián)網(wǎng)影響到世界的每一個(gè)角落。3攻擊的普遍性 互聯(lián)網(wǎng)威脅的普遍性是安全問題的另一個(gè)方面，而且隨著互聯(lián)網(wǎng)的發(fā)展，對(duì)互聯(lián)網(wǎng)攻擊的手段也越來越簡單、越來越普遍。目前攻擊工具的功能卻越來越強(qiáng)，而對(duì)攻擊者的

2、知識(shí)水平要求卻越來越低，因此攻擊者也更為普遍。 4自身的脆弱性 互聯(lián)網(wǎng)的自身的安全缺陷是導(dǎo)致互聯(lián)網(wǎng)脆弱性的根本原因。互聯(lián)網(wǎng)的脆弱性體現(xiàn)在設(shè)計(jì)、實(shí)現(xiàn)、維護(hù)的各個(gè)環(huán)節(jié)。設(shè)計(jì)階段，互聯(lián)網(wǎng)的設(shè)計(jì)之初沒有充分考慮安全威脅，因?yàn)樽畛醯幕ヂ?lián)網(wǎng)只是用于少數(shù)可信的用戶群體。許多的網(wǎng)絡(luò)協(xié)議和應(yīng)用沒有提供必要的安全服務(wù)，互聯(lián)網(wǎng)和所連接的計(jì)算機(jī)系統(tǒng)在實(shí)現(xiàn)階段也留下了大量安全漏洞。一般認(rèn)為，軟件中的錯(cuò)誤數(shù)量和軟件的規(guī)模成正比，由于網(wǎng)絡(luò)和相關(guān)軟件越來越復(fù)雜，其中所包含的安全漏洞也越來越多。盡管系統(tǒng)提供了某些安全機(jī)制，但是由于管理員或者用戶的技術(shù)水平限制、維護(hù)管理工作量大等因素，這些安全機(jī)制并沒有發(fā)揮有效作用。5管理的困難

3、性管理方面的困難性也是互聯(lián)網(wǎng)安全問題的重要原因。具體到一個(gè)企業(yè)內(nèi)部的安全管理，由于業(yè)務(wù)發(fā)展迅速、人員流動(dòng)頻繁、技術(shù)更新快等因素的影響，安全管理也非常復(fù)雜，人力投入不足、安全政策不明是常見的現(xiàn)象；擴(kuò)大到不同國家之間，由于安全事件通常是不分國界的，但是安全管理卻受國家、地理、政治、文化、語言等多種因素的限制，比如跨國界的安全事件的追蹤非常困難 6網(wǎng)絡(luò)安全的概念 網(wǎng)絡(luò)的安全是指通過采用各種技術(shù)和管理措施，使網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行，從而確保網(wǎng)絡(luò)數(shù)據(jù)的可用性、完整性和保密性。7通俗的網(wǎng)絡(luò)安全概念8信息安全的基本要求信息安全的目標(biāo)是保護(hù)信息的機(jī)密性、完整性、抗否認(rèn)性和可用性，也有的觀點(diǎn)認(rèn)為是機(jī)密性、完整性和可用

4、性，即CIA（Confidentiality Integrity Availability）。保密性Confidentiality機(jī)密性是指保證信息不能被非授權(quán)訪問，即使非授權(quán)用戶得到信息也無法知曉信息內(nèi)容，因而不能使用。通常通過訪問控制阻止非授權(quán)用戶獲得機(jī)密信息，通過加密變換阻止非授權(quán)用戶獲知信息內(nèi)容。9信息安全的基本要求完整性Integrity完整性是指維護(hù)信息的一致性，即信息在生成、傳輸、存儲(chǔ)和使用過程中不應(yīng)發(fā)生人為或非人為的非授權(quán)篡改。一般通過訪問控制阻止篡改行為，同時(shí)通過消息摘要算法來檢驗(yàn)信息是否被篡改。信息的完整性包括兩個(gè)方面：（1）數(shù)據(jù)完整性：數(shù)據(jù)沒有被未授權(quán)篡改或者損壞；（2）

5、系統(tǒng)完整性：系統(tǒng)未被非法操縱，按既定的目標(biāo)運(yùn)行。10信息安全的基本要求可用性Availability可用性是指保障信息資源隨時(shí)可提供服務(wù)的能力特性，即授權(quán)用戶根據(jù)需要可以隨時(shí)訪問所需信息?？捎眯允切畔①Y源服務(wù)功能和性能可靠性的度量，涉及到物理、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、應(yīng)用和用戶等多方面的因素，是對(duì)信息網(wǎng)絡(luò)總體可靠性的要求。除了這三方面的要求，信息還要求真實(shí)性，即個(gè)體身份的認(rèn)證，適用于用戶、進(jìn)程、系統(tǒng)等；要求可說明性，即確保個(gè)體的活動(dòng)可被跟蹤；要求可靠性，即行為和結(jié)果的可靠性、一致性。11信息保障的結(jié)構(gòu) 利用4個(gè)單詞首字母表示為：PDRR其中：保護(hù)（Protect）指采用可能采取的手段保障信息的保密性

6、、完整性、可用性、可控性和不可否認(rèn)性。檢測（Detect）指提供工具檢查系統(tǒng)可能存在的黑客攻擊、白領(lǐng)犯罪和病毒泛濫等脆弱性。反應(yīng)（React）指對(duì)危及安全的事件、行為、過程及時(shí)做出響應(yīng)處理，杜絕危害的進(jìn)一步蔓延擴(kuò)大，力求系統(tǒng)尚能提供正常服務(wù)。恢復(fù)（Restore）指一旦系統(tǒng)遭到破壞，盡快恢復(fù)系統(tǒng)功能，盡早提供正常的服務(wù)。12網(wǎng)絡(luò)安全的攻防體系 13攻擊技術(shù)如果不知道如何攻擊，再好的防守也是經(jīng)不住考驗(yàn)的，攻擊技術(shù)主要包括五個(gè)方面：1、網(wǎng)絡(luò)監(jiān)聽：自己不主動(dòng)去攻擊別人，在計(jì)算機(jī)上設(shè)置一個(gè)程序去監(jiān)聽目標(biāo)計(jì)算機(jī)與其他計(jì)算機(jī)通信的數(shù)據(jù)。2、網(wǎng)絡(luò)掃描：利用程序去掃描目標(biāo)計(jì)算機(jī)開放的端口等，目的是發(fā)現(xiàn)漏洞，為

7、入侵該計(jì)算機(jī)做準(zhǔn)備。3、網(wǎng)絡(luò)入侵：當(dāng)探測發(fā)現(xiàn)對(duì)方存在漏洞以后，入侵到目標(biāo)計(jì)算機(jī)獲取信息。4、網(wǎng)絡(luò)后門：成功入侵目標(biāo)計(jì)算機(jī)后，為了對(duì)“戰(zhàn)利品”的長期控制，在目標(biāo)計(jì)算機(jī)中種植木馬等后門。5、網(wǎng)絡(luò)隱身：入侵完畢退出目標(biāo)計(jì)算機(jī)后，將自己入侵的痕跡清除，從而防止被對(duì)方管理員發(fā)現(xiàn)。14防御技術(shù)防御技術(shù)包括四大方面：1、操作系統(tǒng)的安全配置：操作系統(tǒng)的安全是整個(gè)網(wǎng)絡(luò)安全的關(guān)鍵。2、加密技術(shù)：為了防止被監(jiān)聽和盜取數(shù)據(jù)，將所有的數(shù)據(jù)進(jìn)行加密。3、防火墻技術(shù)：利用防火墻，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行限制，從而防止被入侵。4、入侵檢測：如果網(wǎng)絡(luò)防線最終被攻破了，需要及時(shí)發(fā)出被入侵的警報(bào)。 15國際評(píng)價(jià)標(biāo)準(zhǔn)根據(jù)美國國防部開發(fā)的計(jì)算

8、機(jī)安全標(biāo)準(zhǔn)可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則（Trusted Computer Standards Evaluation Criteria：TCSEC），也就是網(wǎng)絡(luò)安全橙皮書，一些計(jì)算機(jī)安全級(jí)別被用來評(píng)價(jià)一個(gè)計(jì)算機(jī)系統(tǒng)的安全性。自從1985年橙皮書成為美國國防部的標(biāo)準(zhǔn)以來，就一直沒有改變過，多年以來一直是評(píng)估多用戶主機(jī)和小型操作系統(tǒng)的主要方法。其他子系統(tǒng)（如數(shù)據(jù)庫和網(wǎng)絡(luò)）也一直用橙皮書來解釋評(píng)估。橙皮書把安全的級(jí)別從低到高分成4個(gè)類別：D類、C類、B類和A類，每類又分幾個(gè)級(jí)別， 16安全級(jí)別 類別級(jí)別名稱主要特征DD低級(jí)保護(hù)沒有安全保護(hù)CC1自主安全保護(hù)自主存儲(chǔ)控制C2受控存儲(chǔ)控制單獨(dú)的可查性，安全標(biāo)識(shí)

9、BB1標(biāo)識(shí)的安全保護(hù)強(qiáng)制存取控制，安全標(biāo)識(shí)B2結(jié)構(gòu)化保護(hù)面向安全的體系結(jié)構(gòu)，較好的抗?jié)B透能力B3安全區(qū)域存取監(jiān)控、高抗?jié)B透能力AA驗(yàn)證設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證17安全級(jí)別D級(jí)是最低的安全級(jí)別，擁有這個(gè)級(jí)別的操作系統(tǒng)就像一個(gè)門戶大開的房子，任何人都可以自由進(jìn)出，是完全不可信任的。對(duì)于硬件來說，是沒有任何保護(hù)措施的，操作系統(tǒng)容易受到損害，沒有系統(tǒng)訪問限制和數(shù)據(jù)訪問限制，任何人不需任何賬戶都可以進(jìn)入系統(tǒng)，不受任何限制可以訪問他人的數(shù)據(jù)文件。屬于這個(gè)級(jí)別的操作系統(tǒng)有：DOS和Windows98等。18安全級(jí)別C1是C類的一個(gè)安全子級(jí)。C1又稱選擇性安全保護(hù)（Discretionary Securi

10、ty Protection）系統(tǒng)，它描述了一個(gè)典型的用在Unix系統(tǒng)上安全級(jí)別這種級(jí)別的系統(tǒng)對(duì)硬件又有某種程度的保護(hù)，如用戶擁有注冊(cè)賬號(hào)和口令，系統(tǒng)通過賬號(hào)和口令來識(shí)別用戶是否合法，并決定用戶對(duì)程序和信息擁有什么樣的訪問權(quán)，但硬件受到損害的可能性仍然存在。用戶擁有的訪問權(quán)是指對(duì)文件和目標(biāo)的訪問權(quán)。文件的擁有者和超級(jí)用戶可以改變文件的訪問屬性，從而對(duì)不同的用戶授予不通的訪問權(quán)限。19安全級(jí)別使用附加身份驗(yàn)證就可以讓一個(gè)C2級(jí)系統(tǒng)用戶在不是超級(jí)用戶的情況下有權(quán)執(zhí)行系統(tǒng)管理任務(wù)。授權(quán)分級(jí)使系統(tǒng)管理員能夠給用戶分組，授予他們?cè)L問某些程序的權(quán)限或訪問特定的目錄。能夠達(dá)到C2級(jí)別的常見操作系統(tǒng)有：Unix

11、系統(tǒng)Novell 3.X或者更高版本W(wǎng)indows NT、Windows 2000和Windows 200320安全級(jí)別B級(jí)中有三個(gè)級(jí)別，B1級(jí)即標(biāo)志安全保護(hù)（Labeled Security Protection），是支持多級(jí)安全（例如：秘密和絕密）的第一個(gè)級(jí)別，這個(gè)級(jí)別說明處于強(qiáng)制性訪問控制之下的對(duì)象，系統(tǒng)不允許文件的擁有者改變其許可權(quán)限。安全級(jí)別存在保密、絕密級(jí)別，這種安全級(jí)別的計(jì)算機(jī)系統(tǒng)一般在政府機(jī)構(gòu)中，比如國防部和國家安全局的計(jì)算機(jī)系統(tǒng)。21安全級(jí)別B2級(jí)，又叫結(jié)構(gòu)保護(hù)級(jí)別（Structured Protection），它要求計(jì)算機(jī)系統(tǒng)中所有的對(duì)象都要加上標(biāo)簽，而且給設(shè)備（磁盤、磁帶

12、和終端）分配單個(gè)或者多個(gè)安全級(jí)別。B3級(jí)，又叫做安全域級(jí)別（Security Domain），使用安裝硬件的方式來加強(qiáng)域的安全，例如，內(nèi)存管理硬件用于保護(hù)安全域免遭無授權(quán)訪問或更改其他安全域的對(duì)象。該級(jí)別也要求用戶通過一條可信任途徑連接到系統(tǒng)上。22安全級(jí)別A級(jí)，又稱驗(yàn)證設(shè)計(jì)級(jí)別（Verified Design），是當(dāng)前橙皮書的最高級(jí)別，它包含了一個(gè)嚴(yán)格的設(shè)計(jì)、控制和驗(yàn)證過程。該級(jí)別包含了較低級(jí)別的所有的安全特性設(shè)計(jì)必須從數(shù)學(xué)角度上進(jìn)行驗(yàn)證，而且必須進(jìn)行秘密通道和可信任分布分析?？尚湃畏植迹═rusted Distribution）的含義是：硬件和軟件在物理傳輸過程中已經(jīng)受到保護(hù)，以防止破壞安

13、全系統(tǒng)。橙皮書也存在不足。TCSEC是針對(duì)孤立計(jì)算機(jī)系統(tǒng)，特別是小型機(jī)和主機(jī)系統(tǒng)。假設(shè)有一定的物理保障，該標(biāo)準(zhǔn)適合政府和軍隊(duì)，不適合企業(yè)，這個(gè)模型是靜態(tài)的。23常用的網(wǎng)絡(luò)服務(wù)端口 端口協(xié)議服務(wù)21TCPFTP服務(wù)25TCPSMTP服務(wù)53 TCP/UDPDNS服務(wù)80TCPWeb服務(wù)135TCPRPC服務(wù)137UDPNetBIOS域名服務(wù)138UDPNetBIOS數(shù)據(jù)報(bào)服務(wù)139TCPNetBIOS會(huì)話服務(wù)443TCP基于SSL的HTTP服務(wù)445TCP/UDPMicrosoft SMB服務(wù)3389TCPWindows終端服務(wù)24常用的網(wǎng)絡(luò)命令 判斷主機(jī)是否連通的ping指令(-t -n)tr

14、acert命令用來顯示數(shù)據(jù)包到達(dá)目標(biāo)主機(jī)所經(jīng)過的路徑，并顯示到達(dá)每個(gè)節(jié)點(diǎn)的時(shí)間。 查看IP地址配置情況的ipconfig指令查看網(wǎng)絡(luò)連接狀態(tài)的netstat指令(-a -r)進(jìn)行網(wǎng)絡(luò)操作的net指令(share accounts user view)25黑客精神 要成為一名好的黑客，需要具備四種基本素質(zhì)：“Free”精神、探索與創(chuàng)新精神、反傳統(tǒng)精神和合作精神。1、“Free”(自由、免費(fèi))的精神需要在網(wǎng)絡(luò)上和本國以及國際上一些高手進(jìn)行廣泛的交流，并有一種奉獻(xiàn)精神，將自己的心得和編寫的工具和其他黑客共享。2、探索與創(chuàng)新的精神所有的黑客都是喜歡探索軟件程序奧秘的人。他們探索程序與系統(tǒng)的漏洞，在發(fā)現(xiàn)

15、問題的同時(shí)會(huì)提出解決問題的方法。3、反傳統(tǒng)的精神找出系統(tǒng)漏洞，并策劃相關(guān)的手段利用該漏洞進(jìn)行攻擊，這是黑客永恒的工作主題，而所有的系統(tǒng)在沒有發(fā)現(xiàn)漏洞之前，都號(hào)稱是安全的。4、合作的精神成功的一次入侵和攻擊，在目前的形式下，單靠一個(gè)人的力量已經(jīng)沒有辦法完成了，通常需要數(shù)人，數(shù)百人的通力協(xié)作才能完成任務(wù)，互聯(lián)網(wǎng)提供了不同國家黑客交流合作的平臺(tái)。26黑客守則任何職業(yè)都有相關(guān)的職業(yè)道德，一名黑客同樣有職業(yè)道德，一些守則是必須遵守的，不讓會(huì)給自己招來麻煩。歸納起來就是“黑客十二條守則”。1、不要惡意破壞任何的系統(tǒng)，這樣做只會(huì)給你帶來麻煩。2、不要破壞別人的軟件和資料。3、不要修改任何系統(tǒng)文件，如果是因?yàn)?/p>

16、進(jìn)入系統(tǒng)的需要而修改了系統(tǒng)文件，請(qǐng)?jiān)谀康倪_(dá)到后將他改回原狀。4、不要輕易的將你要黑的或者黑過的站點(diǎn)告訴你不信任的朋友。5、在發(fā)表黑客文章時(shí)不要用你的真實(shí)名字。6、正在入侵的時(shí)候，不要隨意離開你的電腦。7、不要入侵或破壞政府機(jī)關(guān)的主機(jī)。8、將你的筆記放在安全的地方。9、已侵入的電腦中的賬號(hào)不得清除或修改。10、可以為隱藏自己的侵入而作一些修改，但要盡量保持原系統(tǒng)的安全性，不能因?yàn)榈玫较到y(tǒng)的控制權(quán)而將門戶大開。11、不要做一些無聊、單調(diào)并且愚蠢的重復(fù)性工作。12、做真正的黑客，讀遍所有有關(guān)系統(tǒng)安全或系統(tǒng)漏洞的書。27攻擊五部曲一次成功的攻擊，都可以歸納成基本的五步驟，但是根據(jù)實(shí)際情況可以隨時(shí)調(diào)整。

17、歸納起來就是“黑客攻擊五部曲” 1、隱藏IP2、踩點(diǎn)掃描3、獲得系統(tǒng)或管理員權(quán)限4、種植后門5、在網(wǎng)絡(luò)中隱身281、隱藏IP這一步必須做，因?yàn)槿绻约旱娜肭值暮圹E被發(fā)現(xiàn)了，當(dāng)FBI找上門的時(shí)候就一切都晚了。通常有兩種方法實(shí)現(xiàn)自己IP的隱藏：第一種方法是首先入侵互聯(lián)網(wǎng)上的一臺(tái)電腦（俗稱“肉雞”），利用這臺(tái)電腦進(jìn)行攻擊，這樣即使被發(fā)現(xiàn)了，也是“肉雞”的IP地址。第二種方式是做多極跳板“Sock代理”，這樣在入侵的電腦上留下的是代理計(jì)算機(jī)的IP地址。比如攻擊A國的站點(diǎn)，一般選擇離A國很遠(yuǎn)的B國計(jì)算機(jī)作為“肉雞”或者“代理”，這樣跨國度的攻擊，一般很難被偵破。292、踩點(diǎn)掃描踩點(diǎn)就是通過各種途徑對(duì)所要

18、攻擊的目標(biāo)進(jìn)行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確），確定攻擊的時(shí)間和地點(diǎn)。掃描的目的是利用各種工具在攻擊目標(biāo)的IP地址或地址段的主機(jī)上尋找漏洞。掃描分成兩種策略：被動(dòng)式策略和主動(dòng)式策略。303、獲得系統(tǒng)或管理員權(quán)限得到管理員權(quán)限的目的是連接到遠(yuǎn)程計(jì)算機(jī)，對(duì)其進(jìn)行控制，達(dá)到自己攻擊目的。獲得系統(tǒng)及管理員權(quán)限的方法有：通過系統(tǒng)漏洞獲得系統(tǒng)權(quán)限通過管理漏洞獲得管理員權(quán)限通過軟件漏洞得到系統(tǒng)權(quán)限通過監(jiān)聽獲得敏感信息進(jìn)一步獲得相應(yīng)權(quán)限通過弱口令獲得遠(yuǎn)程管理員的用戶密碼通過窮舉法獲得遠(yuǎn)程管理員的用戶密碼通過攻破與目標(biāo)機(jī)有信任關(guān)系另一臺(tái)機(jī)器進(jìn)而得到目標(biāo)機(jī)的控制權(quán)通過欺騙獲得權(quán)限以及其

19、他有效的方法。314、種植后門 為了保持長期對(duì)自己勝利果實(shí)的訪問權(quán),在已經(jīng)攻破的計(jì)算機(jī)上種植一些供自己訪問的后門。325、在網(wǎng)絡(luò)中隱身一次成功入侵之后，一般在對(duì)方的計(jì)算機(jī)上已經(jīng)存儲(chǔ)了相關(guān)的登錄日志，這樣就容易被管理員發(fā)現(xiàn)。在入侵完畢后需要清除登錄日志已經(jīng)其他相關(guān)的日志。33網(wǎng)絡(luò)踩點(diǎn) 踩點(diǎn)就是通過各種途徑對(duì)所要攻擊的目標(biāo)進(jìn)行多方面的了解（包括任何可得到的蛛絲馬跡，但要確保信息的準(zhǔn)確）。常見的踩點(diǎn)方法包括：在域名及其注冊(cè)機(jī)構(gòu)的查詢公司性質(zhì)的了解對(duì)主頁進(jìn)行分析郵件地址的搜集目標(biāo)IP地址范圍查詢。踩點(diǎn)的目的就是探察對(duì)方的各方面情況，確定攻擊的時(shí)機(jī)。模清除對(duì)方最薄弱的環(huán)節(jié)和守衛(wèi)最松散的時(shí)刻，為下一步的入

20、侵提供良好的策略。34網(wǎng)絡(luò)掃描 一般分成兩種策略:一種是主動(dòng)式策略另一種是被動(dòng)式策略。被動(dòng)式策略就是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置，脆弱的口令以及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查。主動(dòng)式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。掃描的目的就是利用各種工具對(duì)攻擊目標(biāo)的IP地址或地址段的主機(jī)查找漏洞。掃描采取模擬攻擊的形式對(duì)目標(biāo)可能存在的已知安全漏洞逐項(xiàng)進(jìn)行檢查，目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、路由器和數(shù)據(jù)庫應(yīng)用等。根據(jù)掃描結(jié)果向掃描者或管理員提供周密可靠的分析報(bào)告。35網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽的目的是截獲通信的內(nèi)容，監(jiān)聽的手段是對(duì)協(xié)議進(jìn)

21、行分析。Sniffer pro就是一個(gè)完善的網(wǎng)絡(luò)監(jiān)聽工具。監(jiān)聽器Sniffer的原理：在局域網(wǎng)中與其他計(jì)算機(jī)進(jìn)行數(shù)據(jù)交換的時(shí)候，發(fā)送的數(shù)據(jù)包發(fā)往所有的連在一起的主機(jī)，也就是廣播，在報(bào)頭中包含目標(biāo)機(jī)的正確地址。因此只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才會(huì)接收數(shù)據(jù)包，其他的機(jī)器都會(huì)將包丟棄。但是，當(dāng)主機(jī)工作在監(jiān)聽模式下時(shí)，無論接收到的數(shù)據(jù)包中目標(biāo)地址是什么，主機(jī)都將其接收下來。然后對(duì)數(shù)據(jù)包進(jìn)行分析，就得到了局域網(wǎng)中通信的數(shù)據(jù)。一臺(tái)計(jì)算機(jī)可以監(jiān)聽同一網(wǎng)段所有的數(shù)據(jù)包，不能監(jiān)聽不同網(wǎng)段的計(jì)算機(jī)傳輸?shù)男畔ⅰ?6社會(huì)工程學(xué)攻擊 社交工程是使用計(jì)謀和假情報(bào)去獲得密碼和其他敏感信息的科學(xué)，研究一個(gè)站點(diǎn)的策略其

22、中之一就是盡可能多的了解這個(gè)組織的個(gè)體，因此黑客不斷試圖尋找更加精妙的方法從他們希望滲透的組織那里獲得信息。舉個(gè)例子：一組高中學(xué)生曾經(jīng)想要進(jìn)入一個(gè)當(dāng)?shù)氐墓镜挠?jì)算機(jī)網(wǎng)絡(luò)，他們擬定了一個(gè)表格，調(diào)查看上去顯得是無害的個(gè)人信息，例如所有秘書和行政人員和他們的配偶、孩子的名字，這些從學(xué)生轉(zhuǎn)變成的黑客說這種簡單的調(diào)查是他們社會(huì)研究工作的一部分。利用這份表格這些學(xué)生能夠快速的進(jìn)入系統(tǒng)，因?yàn)榫W(wǎng)絡(luò)上的大多數(shù)人是使用寵物和他們配偶名字作為密碼。37暴力攻擊暴力攻擊的一個(gè)具體例子是，一個(gè)黑客試圖使用計(jì)算機(jī)和信息去破解一個(gè)密碼。一個(gè)黑客需要破解段單一的被用非對(duì)稱密鑰加密的信息，為了破解這種算法，一個(gè)黑客需要求助于非

23、常精密復(fù)雜的方法，它使用120個(gè)工作站，兩個(gè)超級(jí)計(jì)算機(jī)利用從三個(gè)主要的研究中心獲得的信息，即使擁有這種配備，它也將花掉八天的時(shí)間去破解加密算法，實(shí)際上破解加密過程八天已是非常短暫的時(shí)間了。38相關(guān)概念服務(wù)：系統(tǒng)提供的，用戶在對(duì)其使用中會(huì)受益的功能。拒絕服務(wù)：任何對(duì)服務(wù)的干涉，如果使其可用性降低或者失去可用性均稱為拒絕服務(wù)。拒絕服務(wù)攻擊：是指攻擊者通過某種手段，有意地造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)，從而不能向合法用戶提供所需要的服務(wù)或者使得服務(wù)質(zhì)量降低。39一. 拒絕服務(wù)攻擊DoS拒絕服務(wù)攻擊有的利用了網(wǎng)絡(luò)協(xié)議的缺陷，有的則搶占網(wǎng)絡(luò)或者設(shè)備有限的處理能力。最常見的DoS攻擊是資源型風(fēng)暴攻擊，如：計(jì)

24、算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。帶寬攻擊是以極大的通信量沖擊網(wǎng)絡(luò)，使網(wǎng)絡(luò)所有可用的帶寬都被消耗掉，最后導(dǎo)致合法用戶的請(qǐng)求無法通過。連通性攻擊指用大量的連接請(qǐng)求沖擊計(jì)算機(jī)，最終導(dǎo)致計(jì)算機(jī)無法再處理合法用戶的請(qǐng)求。40二. 分布式拒絕服務(wù)攻擊DDoSDDoS攻擊手段是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。單一的DoS攻擊一般是采用一對(duì)一方式的，當(dāng)攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項(xiàng)性能指標(biāo)不高時(shí)，它的效果是明顯的。隨著計(jì)算機(jī)的處理能力迅速增長，內(nèi)存和網(wǎng)絡(luò)帶寬大大增加，這使得DoS攻擊的困難程度加大了- 目標(biāo)對(duì)惡意攻擊包的“消化能力”加強(qiáng)了不少， DoS攻擊效果不明顯。 41攻擊

25、運(yùn)行原理 DDoS攻擊體系結(jié)構(gòu)42攻擊運(yùn)行原理個(gè)比較完善的DDoS攻擊體系分成四大部分， 黑客 控制傀儡機(jī) 攻擊傀儡機(jī) 受害者對(duì)受害者來說，DDoS的實(shí)際攻擊包是從攻擊傀儡機(jī)上發(fā)出的，控制機(jī)只發(fā)布命令而不參與實(shí)際的攻擊。對(duì)第2和第3部分計(jì)算機(jī)，黑客有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上，這些程序與正常的程序一樣運(yùn)行并等待來自黑客的指令，通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí)，這些傀儡機(jī)器并沒有什么異常，只是一旦黑客連接到它們進(jìn)行控制，并發(fā)出指令的時(shí)候，攻擊傀儡機(jī)就成為害人者去發(fā)起攻擊了。43攻擊運(yùn)行原理44被DoS/DDos攻擊時(shí)的現(xiàn)象網(wǎng)絡(luò)中充斥著大量的

26、無用的數(shù)據(jù)包，源地址為假。 制造高流量無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無法正常和外界通訊。 受害主機(jī)無法及時(shí)處理所有正常請(qǐng)求。 受害主機(jī)響應(yīng)緩慢，嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)。 45按照攻擊機(jī)制將拒絕服務(wù)攻擊分為3類第一類是風(fēng)暴型（Flood Type）攻擊，攻擊者通過大量的無用數(shù)據(jù)包（非正常用戶的正常請(qǐng)求，這些數(shù)據(jù)包是旨在攻擊受害者，由攻擊者發(fā)出的或者由攻擊主機(jī)響應(yīng)攻擊者的指令而發(fā)出的，因此有時(shí)也稱之為攻擊性數(shù)據(jù)包）占用過多的資源以達(dá)到拒絕服務(wù)的目的。這種攻擊有時(shí)也稱為帶寬攻擊（Bandwidth Attack），原因是其常常占用大量的帶寬，即使有時(shí)攻擊的最終目的是占用系統(tǒng)資源，但在客觀上也會(huì)占用

27、大量帶寬。攻擊類型46攻擊類型在這類攻擊中，攻擊數(shù)據(jù)包可以是各種類型的（TCP, IP, UDP, ICMP等），數(shù)據(jù)包中的數(shù)據(jù)也可以是多種多樣的，這些數(shù)據(jù)包與正常服務(wù)的數(shù)據(jù)包是難以區(qū)分的。風(fēng)暴攻擊的效果完全依賴于數(shù)據(jù)包的數(shù)量，僅當(dāng)大量的數(shù)據(jù)包傳到目標(biāo)系統(tǒng)（受害者）時(shí)，攻擊方才有效。分布式拒絕服務(wù)攻擊表明，即使是擁有大量資源的網(wǎng)絡(luò)在風(fēng)暴型攻擊下也難以幸免。47攻擊類型第二類是劇毒包（Killer Packet）型攻擊，它主要是利用協(xié)議本身或者其軟件實(shí)現(xiàn)中的漏洞，通過一些非正常的（畸形的）數(shù)據(jù)包使得受害者系統(tǒng)在處理時(shí)出現(xiàn)異常，導(dǎo)致受害者系統(tǒng)崩潰。由于這類攻擊主要是利用協(xié)議或軟件漏洞來達(dá)到攻擊效果

28、的，因此，有的也稱這類攻擊為漏洞攻擊，也有稱之為協(xié)議攻擊的。48攻擊類型由于這類攻擊對(duì)攻擊者的運(yùn)算能力或帶寬沒有要求，一個(gè)通過Modem連接的低檔的PC機(jī)就可以攻破一個(gè)具有高帶寬的大型系統(tǒng)。因此，這類攻擊也是一種非對(duì)稱DoS攻擊。此類攻擊一般可以通過打補(bǔ)丁或者在防火墻處過濾特定的畸形數(shù)據(jù)包達(dá)到對(duì)受害者的保護(hù)目的。49攻擊類型第三類攻擊稱為重定向攻擊，它既不是利用劇毒包，也不是利用風(fēng)暴來攻擊受害者。它是通過修改網(wǎng)絡(luò)中的一些參數(shù)如ARP表、DNS緩存，使得從受害者發(fā)出的或者發(fā)向受害者的數(shù)據(jù)包被重定向到了其他的地方。很多人不把它當(dāng)成拒絕服務(wù)攻擊。但如果數(shù)據(jù)包被重定向到不存在的主機(jī)或者存在但不將數(shù)據(jù)包

29、轉(zhuǎn)發(fā)到其真正目的地的主機(jī)，則構(gòu)成實(shí)際的拒絕服務(wù)。50防護(hù)策略無論哪種防護(hù)策略都只針對(duì)一種特定的攻擊，不能針對(duì)各類攻擊。無論哪種防護(hù)策略單獨(dú)使用收效都不會(huì)理想，必須配合使用。無論哪種防護(hù)策略都必須根據(jù)攻擊的不斷變化而不斷發(fā)展，才能起效。51拒絕服務(wù)攻擊發(fā)展趨勢所有拒絕服務(wù)攻擊歸根到底源于協(xié)議的缺陷。攻擊方法將會(huì)更加隱蔽。更加智能化和復(fù)合化。針對(duì)路由器的攻擊將是新熱點(diǎn)。52網(wǎng)絡(luò)后門 網(wǎng)絡(luò)后門是保持對(duì)目標(biāo)主機(jī)長久控制的關(guān)鍵策略?？梢酝ㄟ^建立服務(wù)端口和克隆管理員帳號(hào)來實(shí)現(xiàn)。留后門的藝術(shù) 只要能不通過正常登錄進(jìn)入系統(tǒng)的途徑都稱之為網(wǎng)絡(luò)后門。后門的好壞取決于被管理員發(fā)現(xiàn)的概率。只要是不容易被發(fā)現(xiàn)的后門都是

30、好后門。留后門的原理和選間諜是一樣的，讓管理員看了感覺沒有任何特別的。53木馬木馬是一種可以駐留在對(duì)方系統(tǒng)中的一種程序。木馬一般由兩部分組成：服務(wù)器端和客戶端。駐留在對(duì)方服務(wù)器的稱之為木馬的服務(wù)器端，遠(yuǎn)程的可以連到木馬服務(wù)器的程序稱之為客戶端。木馬的功能是通過客戶端可以操縱服務(wù)器，進(jìn)而操縱對(duì)方的主機(jī)。54木馬和后門的區(qū)別木馬程序在表面上看上去沒有任何的損害，實(shí)際上隱藏著可以控制用戶整個(gè)計(jì)算機(jī)系統(tǒng)、打開后門等危害系統(tǒng)安全的功能。55清除日志 電影中通常會(huì)出現(xiàn)這樣的場景，當(dāng)有黑客入侵計(jì)算機(jī)系統(tǒng)的時(shí)候，需要全樓停電來捉住黑客，為什么停電就可以逮住黑客呢？這是因?yàn)楫?dāng)黑客入侵系統(tǒng)并在退出系統(tǒng)之前都會(huì)清除

31、系統(tǒng)的日志，如果突然停電，黑客將沒有機(jī)會(huì)刪除自己入侵的痕跡，所以就可以抓住黑客了。清除日志是黑客入侵的最后的一步，黑客能做到來無蹤去無影，這一步起到?jīng)Q定性的作用。清除IIS日志清除主機(jī)日志56惡意代碼概述代碼是指計(jì)算機(jī)程序代碼，可以被執(zhí)行完成特定功能。軟件工程師們編寫了大量的有用的軟件（操作系統(tǒng)，應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等）的同時(shí)，黑客們?cè)诰帉懢帉憯_亂社會(huì)和他人的計(jì)算機(jī)程序，這些代碼統(tǒng)稱為惡意代碼（Malicious Codes）。在Internet安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。惡意代碼主要包括計(jì)算機(jī)病毒（Virus）、蠕蟲（Worm）、木馬程序（Trojan Horse）、后

32、門程序（Backdoor）、邏輯炸彈（Logic Bomb）等等。與此同時(shí)，惡意代碼成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問題，不僅使企業(yè)及用戶蒙受了巨大經(jīng)濟(jì)損失，而且使國家的安全面臨著嚴(yán)重威脅。57研究惡意代碼的必要性惡意代碼問題，不僅使企業(yè)和用戶蒙受了巨大的經(jīng)濟(jì)損失，而且使國家的安全面臨著嚴(yán)重威脅。目前國際上一些發(fā)達(dá)國家(如美國，德國，日本等國)均已在該領(lǐng)域投入大量資金和人力進(jìn)行了長期的研究，并取得了一定的技術(shù)成果。惡意代碼攻擊成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)最重要的入侵手段之一。惡意代碼問題無論從政治上、經(jīng)濟(jì)上，還是軍事上，都成為信息安全面臨的首要問題。惡意代碼的機(jī)理研究成為解決惡意代碼問題

33、的必需途徑，只有掌握當(dāng)前惡意代碼的實(shí)現(xiàn)機(jī)理，加強(qiáng)對(duì)未來惡意代碼趨勢的研究，才能在惡意代碼問題上取得先決之機(jī)。58惡意代碼長期存在的原因 系統(tǒng)漏洞層出不窮 AT&T 實(shí)驗(yàn)室的S. Bellovin曾經(jīng)對(duì)美國CERT（Computer Emergency Response Team）提供的安全報(bào)告進(jìn)行過分析，分析結(jié)果表明，大約50%的計(jì)算機(jī)網(wǎng)絡(luò)安全問題是由軟件工程中產(chǎn)生的安全缺陷引起的很多問題的根源都來自于操作系統(tǒng)的安全脆弱性利益驅(qū)使59惡意代碼攻擊機(jī)制 60常見的惡意代碼 PE病毒腳本病毒宏病毒瀏覽器惡意代碼U盤病毒和網(wǎng)絡(luò)蠕蟲。61加密的基本概念通過使用加密，可以提供的安全服務(wù)保密性完整性不可否

34、認(rèn)性可以將這些需 求通俗地描述 為右側(cè)的現(xiàn)象：進(jìn)不來看不懂保密性拿不走改不了完整性跑不掉不可否認(rèn)性62基本的加密操作加密算法解密算法明文密文明文63基本的加密思想置換：按照規(guī)則改變內(nèi)容的排列順序移位：打亂字母的排列順序移位和置換都是可逆的操作，容易恢復(fù)信息移位、置換應(yīng)用于現(xiàn)代密碼算法中加密的實(shí)現(xiàn)，不只是依賴以上這些基本的思想，同時(shí)也依賴于很多巧妙的設(shè)計(jì)。如軍事應(yīng)用中的加密電報(bào)，除了使用安全性很高的編碼規(guī)則以外，解密還涉及到收發(fā)報(bào)文雙方的約定。64加密算法分類密碼設(shè)計(jì)的基本公理和前提是算法公開系統(tǒng)的安全性僅依賴于密鑰的保密性加密算法分類對(duì)稱密鑰密碼算法（又稱私有密鑰算法）非對(duì)稱密鑰密碼算法（又稱

35、公鑰密碼算法）65對(duì)稱加密算法的原理對(duì)稱加密傳統(tǒng)密碼加密私鑰算法加密對(duì)稱加密要保存很多密鑰而變得很復(fù)雜密鑰傳送非常重要加密密鑰解密密鑰加密密鑰解密密鑰兩者相等可相互推導(dǎo)66網(wǎng)絡(luò)傳輸明文私鑰 A密文明文同一私鑰 A密文67著名的對(duì)稱加密算法對(duì)稱加密的密鑰長度從40bits到168bits著名加密算法：DES/3DES 數(shù)據(jù)加密標(biāo)準(zhǔn)IDEA 國際數(shù)據(jù)加密算法RC系列（RC2、RC4、RC5）CAST Blowfish /TwofishAES 高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn) 等等68公鑰加密技術(shù)=非對(duì)稱加密技術(shù)公鑰加密比私鑰加密出現(xiàn)晚私鑰加密使用同一個(gè)密鑰來加密和解密信息公鑰加密使用兩個(gè)密鑰，一個(gè)密鑰用于加密信息

36、，另一個(gè)密鑰用于解密信息網(wǎng)絡(luò)傳輸明文Bob的公鑰 B密文AliceBobBob的私鑰 B密文69公鑰加密私鑰需要安全保存公鑰公開加密速度慢可以與對(duì)稱加密相結(jié)合公鑰私鑰 公鑰私鑰不可相互推導(dǎo)不相等70著名的非對(duì)稱加密算法RSA、Elgamal、背包算法、Rabin、D-H、ECC。使用最廣泛的是RSA算法，Elgamal是另一種常用的非對(duì)稱加密算法。Elgamal由Taher Elgamal于1985年發(fā)明，其基礎(chǔ)是D-H密鑰交換算法，后者使通信雙方能通過公開通信來推導(dǎo)出只有他們知道的秘密密鑰值。D-H是Whitfield Diffie和Martin Hellman于1976年發(fā)明的，被視為第一

37、種 非對(duì)稱加密算法，D-H 與RSA的不同之處在于，D-H不是加密算法，它只是生成可用作對(duì)稱密鑰的秘密數(shù)值。在D-H密鑰交換過程中，發(fā)送方和接收方分別生成一個(gè)秘密的隨機(jī)數(shù)，并根據(jù)隨機(jī)數(shù)推導(dǎo)出公開值，然后，雙方再交換公開值。D-H算法的基礎(chǔ)是具備生成共享密鑰的能力。只要交換了公開值，雙方就能使用自己的私有數(shù)和對(duì)方的公開值來生成對(duì)稱密鑰，稱為共享密鑰，對(duì)雙方來說，該對(duì)稱密鑰是相同的，可以用于使用對(duì)稱加密算法加密數(shù)據(jù)。與RSA相比，D-H的優(yōu)勢之一是每次交換密鑰時(shí)都使用一組新值，而使用RSA算法時(shí)，如果攻擊者獲得了私鑰，那么他不僅能解密之前截獲的消息，還能解密之后的所有消息。然而，RSA可以通過認(rèn)證（如使用X.509數(shù)字證書）來防止中間人攻擊，但D-H在應(yīng)對(duì)中間人攻擊時(shí)非常脆弱。71CA電子商務(wù)網(wǎng)絡(luò)示意圖72什么是CACA(CertificateAuthority)是數(shù)字證書認(rèn)證中心的簡稱，是指發(fā)放、管理、廢