計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)課件 第7章 網(wǎng)絡(luò)站點(diǎn)的安全

THEBASISOFCOMPUTERNETWORKSECURITY第7章網(wǎng)絡(luò)站點(diǎn)的安全計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)1第7章網(wǎng)絡(luò)站點(diǎn)的安全習(xí)近平總書記在黨的二十大報(bào)告中指出“國家安全是民族復(fù)興的根基，社會(huì)穩(wěn)定是國家強(qiáng)盛的前提。必須堅(jiān)定不移貫徹總體國家安全觀，把維護(hù)國家安全貫穿黨和國家工作各方面全過程，確保國家安全和社會(huì)穩(wěn)定?！盬eb站點(diǎn)的安全關(guān)系到整個(gè)互聯(lián)網(wǎng)的安全。最主要的不安全因素是黑客入侵，黑客使用專用工具，采取各種入侵手段攻擊網(wǎng)絡(luò)。本章從互聯(lián)網(wǎng)的安全、Web站點(diǎn)的安全入手，介紹口令安全、無線網(wǎng)絡(luò)安全的基本概念，分析網(wǎng)絡(luò)監(jiān)聽、網(wǎng)絡(luò)掃描的原理，以及針對(duì)IP電子欺騙采取的應(yīng)對(duì)措施。2第7章網(wǎng)絡(luò)站點(diǎn)的安全●互聯(lián)網(wǎng)的安全 ●Web站點(diǎn)安全●口令安全 ●無線網(wǎng)絡(luò)安全●網(wǎng)絡(luò)監(jiān)聽 ●掃描器●E-mail的安全 ●IP電子欺騙3（第7章）7.1互聯(lián)網(wǎng)的安全47.1互聯(lián)網(wǎng)的安全51.互聯(lián)網(wǎng)服務(wù)的安全隱患（1）電子郵件。一個(gè)安全問題是郵件的溢出，即無休止的郵件耗盡用戶的存儲(chǔ)空間。而郵件系統(tǒng)，可以發(fā)送包含程序的電子郵件，這種程序如果在管理不嚴(yán)格的情況下運(yùn)行能產(chǎn)生“特洛伊木馬”。（2）文件傳輸（FTP）。匿名FTP正確的配置將嚴(yán)重威脅系統(tǒng)的安全。因此需要保證使用它的人不會(huì)申請(qǐng)系統(tǒng)上其它的區(qū)域或文件，也不能對(duì)系統(tǒng)做任意的修改。（3）遠(yuǎn)程登錄（Telnet）。Telnet是比較安全的，它需要用戶認(rèn)證。但Telnet送出的所有信息是不加密的，很容易被黑客攻擊?，F(xiàn)在Telnet被認(rèn)為是從遠(yuǎn)程系統(tǒng)訪問時(shí)最危險(xiǎn)的服務(wù)。7.1互聯(lián)網(wǎng)的安全6（4）用戶新聞。用戶新聞或新聞組是互聯(lián)網(wǎng)上的公告牌，提供了多對(duì)多的通信。網(wǎng)絡(luò)新聞傳輸協(xié)議NNTP是互聯(lián)網(wǎng)上轉(zhuǎn)換新聞的協(xié)議。很多站點(diǎn)建立了預(yù)定的本地新聞組以便于本地用戶間進(jìn)行討論。這些新聞組往往包含秘密的、有價(jià)值的或者是敏感的信息。（5）萬維網(wǎng)（WWW）。WWW是建立在HTTP上的全球信息庫，它是互聯(lián)網(wǎng)上HTTP服務(wù)器的集合。搜索Web文件的工具是瀏覽器，瀏覽器比FTP服務(wù)器更容易轉(zhuǎn)換和執(zhí)行，但也給惡意的侵入創(chuàng)造了機(jī)會(huì)。瀏覽器一般只能理解基本的數(shù)據(jù)格式如HTML、JPEG和GIF格式。對(duì)其它的數(shù)據(jù)格式，瀏覽器要通過外部程序來實(shí)現(xiàn)。要注意哪些外部程序是默認(rèn)的，不能允許那些危險(xiǎn)的外部程序進(jìn)入站點(diǎn)。用戶不要隨便的增加外部程序，隨便修改外部程序的配置。7.1互聯(lián)網(wǎng)的安全72.互聯(lián)網(wǎng)的脆弱性互聯(lián)網(wǎng)會(huì)受到嚴(yán)重的與安全有關(guān)的問題的損害。忽視這些問題的站點(diǎn)將面臨被攻擊的危險(xiǎn)，也可能給闖入者提供了攻擊其它網(wǎng)絡(luò)的基地。（1）認(rèn)證環(huán)節(jié)薄弱性。許多事故的起源是因?yàn)槭褂昧吮∪醯摹㈧o態(tài)的口令?；ヂ?lián)網(wǎng)上的口令可以通過許多方法破譯，其中最常用的兩種方法是把加密的口令解密和通過監(jiān)視信道竊取口令。一些TCP或UDP服務(wù)只能對(duì)主機(jī)地址進(jìn)行認(rèn)證，而不能對(duì)指定的用戶進(jìn)行認(rèn)證。（2）系統(tǒng)易被監(jiān)視性。當(dāng)用戶使用Telnet或FTP連接到遠(yuǎn)程主機(jī)上的賬戶時(shí)，在互聯(lián)網(wǎng)上傳輸?shù)目诹钍菦]有加密的。那么入侵系統(tǒng)的一個(gè)方法就是通過監(jiān)視攜帶用戶名和口令的IP包獲取，然后使用這些用戶名和口令通過正常渠道登錄到系統(tǒng)。7.1互聯(lián)網(wǎng)的安全83．易被欺騙性主機(jī)的IP地址被假定為是可用的，TCP和UDP服務(wù)相信這個(gè)地址，攻擊者的主機(jī)就可以冒充一個(gè)被信任的主機(jī)或客戶。①攻擊者使用被信任的客戶的IP地址取代自己的地址。②攻擊者構(gòu)造一條要攻擊的服務(wù)器和其主機(jī)間的直接路徑，把被信任的客戶作為通向服務(wù)器路徑的最后節(jié)點(diǎn)。③攻擊者用這條路徑向服務(wù)器發(fā)出客戶申請(qǐng)。④服務(wù)器接收客戶申請(qǐng)，就好像是從可信任客戶直接發(fā)出的一樣，然后返回響應(yīng)。⑤可信任客戶使用這條路徑將數(shù)據(jù)包傳送給攻擊者的主機(jī)。7.1互聯(lián)網(wǎng)的安全94．有缺陷的局域網(wǎng)服務(wù)一些系統(tǒng)出于方便用戶并加強(qiáng)系統(tǒng)和設(shè)備共享的目的，允許主機(jī)們互相“信任”。如果一個(gè)系統(tǒng)被侵入或欺騙，那么對(duì)于闖入者來說，獲取那些信任它的訪問權(quán)就很簡(jiǎn)單了。5．復(fù)雜的設(shè)備和控制對(duì)主機(jī)系統(tǒng)的訪問控制配置通常很復(fù)雜而且難以驗(yàn)證其正確性。因此，偶然的配置錯(cuò)誤會(huì)使闖入者獲取訪問權(quán)。許多互聯(lián)網(wǎng)上的安全事故的部分起因是由那些被闖入者發(fā)現(xiàn)的弱點(diǎn)造成的。6．主機(jī)的安全性無法估計(jì)主機(jī)系統(tǒng)的安全性無法估計(jì)，隨著每個(gè)站點(diǎn)的主機(jī)數(shù)量的增加，確保每臺(tái)主機(jī)的安全性都處于高水平的能力卻在下降。（第7章）7.2Web站點(diǎn)安全107.2Web站點(diǎn)安全11萬維網(wǎng)簡(jiǎn)稱Web。它的基本結(jié)構(gòu)是采用開放式的客戶/服務(wù)器結(jié)構(gòu)，分成服務(wù)器端、客戶接收機(jī)及通信協(xié)議3個(gè)部分。（1）服務(wù)器。服務(wù)器結(jié)構(gòu)中規(guī)定了服務(wù)器的傳輸設(shè)定、信息傳輸格式及服務(wù)器本身的基本開放結(jié)構(gòu)。Web服務(wù)器的作用是管理駐留在服務(wù)器上的軟件，按用戶的要求返回信息。（2）客戶機(jī)。客戶機(jī)系統(tǒng)稱為Web瀏覽器，用于向服務(wù)器發(fā)送資源索取請(qǐng)求，并將接收到的信息進(jìn)行解碼和顯示。Web瀏覽器是客戶端軟件，它從Web服務(wù)器上下載和獲取文件，翻譯下載文件中的HTML代碼，進(jìn)行格式化，根據(jù)HTML中的內(nèi)容在屏幕上顯示信息。（3）通信協(xié)議。Web瀏覽器與服務(wù)器之間遵循HTTP進(jìn)行通信傳輸。HTTP是分布式的Web應(yīng)用的核心技術(shù)協(xié)議，它定義了Web瀏覽器向Web服務(wù)器發(fā)送Web頁面請(qǐng)求的格式，以及Web頁面在互聯(lián)網(wǎng)上的傳輸方式。Web安全體系的建立12Web的安全體系結(jié)構(gòu)主要包括以下幾個(gè)方面：（1）客戶端軟件（既Web瀏覽器軟件）的安全；（2）運(yùn)行瀏覽器的計(jì)算機(jī)設(shè)備及其操作系統(tǒng)的安全（主機(jī)系統(tǒng)安全）；（3）客戶端的局域網(wǎng)；（4）互聯(lián)網(wǎng)；（5）服務(wù)器端的局域網(wǎng)；（6）運(yùn)行服務(wù)器的計(jì)算機(jī)設(shè)備及操作系統(tǒng)的安全（主機(jī)系統(tǒng)的安全）；（7）服務(wù)器上的Web服務(wù)器軟件。Web安全體系的建立131．主機(jī)系統(tǒng)的安全需求網(wǎng)絡(luò)的攻擊者通常通過主機(jī)的訪問來獲取主機(jī)的訪問權(quán)限，一旦攻擊者突破了這個(gè)機(jī)制，就可以完成任意的操作。對(duì)某個(gè)計(jì)算機(jī)，通常是通過口令認(rèn)證機(jī)制來實(shí)現(xiàn)登錄計(jì)算機(jī)系統(tǒng)。所以，確保主機(jī)系統(tǒng)的認(rèn)證機(jī)制，嚴(yán)密地設(shè)置及管理訪問口令，是主機(jī)系統(tǒng)抵御威脅的有力保障。2．Web服務(wù)器的安全需求不同的Web網(wǎng)站有不同的安全需求。建立Web網(wǎng)站是為了更好地提供信息和服務(wù)，在一定程度上Web站點(diǎn)是其擁有者的代言人，為了滿足Web服務(wù)器的安全需求，維護(hù)擁有者的形象和聲譽(yù)，必須對(duì)各類用戶訪問Web資源的權(quán)限作嚴(yán)格管理；維持Web服務(wù)的可用性，采取積極主動(dòng)的預(yù)防、檢測(cè)措施，防止他人破壞，造成設(shè)備、操作系統(tǒng)停運(yùn)或服務(wù)癱瘓；確保Web服務(wù)器不被用作跳板來進(jìn)一步侵入內(nèi)部網(wǎng)絡(luò)和其他網(wǎng)，使內(nèi)部網(wǎng)免遭破壞。Web服務(wù)器設(shè)備和軟件安全14Web服務(wù)器的硬件設(shè)備和相關(guān)軟件的安全性是建立安全的Web站點(diǎn)的堅(jiān)實(shí)基礎(chǔ)。人們?cè)谶x擇Web服務(wù)器主機(jī)設(shè)備和相關(guān)軟件時(shí)，除了考慮價(jià)格、功能、性能和容量等因素外，還要考慮安全因素，因?yàn)橛行┓?wù)器用于提供某些網(wǎng)絡(luò)服務(wù)時(shí)存在安全漏洞。挑選Web服務(wù)器技術(shù)通常要在一系列有沖突的需求之間做出折中的選擇，要同時(shí)考慮建立網(wǎng)站典型的功能需求和安全要求。對(duì)于Web服務(wù)器，最基本的性能要求是響應(yīng)時(shí)間和吞吐量。響應(yīng)時(shí)間通常以服務(wù)器在單位時(shí)間內(nèi)最多允許的鏈接數(shù)來衡量，吞吐量則以單位時(shí)間內(nèi)服務(wù)器傳輸?shù)骄W(wǎng)絡(luò)上的字節(jié)數(shù)來計(jì)算。Web服務(wù)器設(shè)備和軟件安全151．配置Web服務(wù)器的安全特性①認(rèn)真配置服務(wù)器，使用它的訪問和安全特性。②可將Web服務(wù)器當(dāng)作無權(quán)的用戶運(yùn)行。③應(yīng)檢查驅(qū)動(dòng)器和共享的權(quán)限，將系統(tǒng)設(shè)為只讀狀態(tài)。④可將敏感文件放在基本系統(tǒng)中，再設(shè)定二級(jí)系統(tǒng)，所有的敏感數(shù)據(jù)都不向互聯(lián)網(wǎng)開放。⑤充分考慮最糟糕的情況后，配置自己的系統(tǒng)，即使黑客完全控制了系統(tǒng)，他還要面對(duì)一堵“高墻”。⑥最重要的是檢查HTTP服務(wù)器使用的Applet腳本，尤其是那些與客戶交互作用的CGI腳本。防止外部用戶執(zhí)行內(nèi)部指令。Web服務(wù)器設(shè)備和軟件安全162．排除站點(diǎn)中的安全漏洞①物理的漏洞由未授權(quán)人員訪問引起，由于他們能瀏覽那些不被允許的地方。一個(gè)很好的例子就是安置在公共場(chǎng)所的瀏覽器，它使得用戶不僅能瀏覽Web，而且可以改變?yōu)g覽器的配置并取得站點(diǎn)信息。②軟件漏洞是由“錯(cuò)誤授權(quán)”的應(yīng)用程序引起，如daemons，它會(huì)執(zhí)行不應(yīng)執(zhí)行的功能。不要輕易相信腳本和Applet。使用時(shí)，應(yīng)確信能掌握它們的功能。③不兼容問題漏洞是由不良系統(tǒng)集成引起。一個(gè)硬件或軟件運(yùn)行時(shí)可能工作良好，一旦和其他設(shè)備集成后，就可能會(huì)出現(xiàn)問題。這類問題很難確認(rèn)，所以對(duì)每一個(gè)部件在集成進(jìn)入系統(tǒng)之前，都必須進(jìn)行測(cè)試。④缺乏安全策略。必須有一個(gè)包含所有安全必備（如覆蓋阻止等）的安全策略。建立安全的Web網(wǎng)站171．配置主機(jī)操作系統(tǒng)（1）僅僅提供必要的服務(wù)。已經(jīng)安裝完畢的操作系統(tǒng)都有一系列常用的服務(wù)，系統(tǒng)在默認(rèn)的情況下自動(dòng)啟用這些服務(wù)，或提供簡(jiǎn)單易用的配置向?qū)?。這些配置簡(jiǎn)單的服務(wù)應(yīng)用在方便管理員而且增強(qiáng)系統(tǒng)功能的同時(shí)，也埋下了安全隱患。（2）使用必要的輔助工具，簡(jiǎn)化主機(jī)的安全管理。啟用系統(tǒng)的日志（系統(tǒng)賬戶日志和Web服務(wù)器日志）記錄功能。監(jiān)視并記錄訪問企圖是主機(jī)安全的一個(gè)重要機(jī)制，以利于提高主機(jī)的一致性以及其數(shù)據(jù)保密性。

建立安全的Web網(wǎng)站182．合理配置Web服務(wù)器①在Unix操作系統(tǒng)中，以非特權(quán)用戶而不是Root身份運(yùn)行Web服務(wù)器。②設(shè)置Web服務(wù)器訪問控制。通過IP地址控制、子網(wǎng)域名來控制，未被允許的IP地址、IP子網(wǎng)域發(fā)來的請(qǐng)求將被拒絕。③通過用戶名和口令限制。只有當(dāng)遠(yuǎn)程用戶輸入正確的用戶名和口令的時(shí)候，訪問才能被正確響應(yīng)。④用公用密鑰加密方法。對(duì)文件的訪問請(qǐng)求和文件本身都將加密，以便只有預(yù)計(jì)的用戶才能讀取文件內(nèi)容。建立安全的Web網(wǎng)站193．設(shè)置Web服務(wù)器有關(guān)目錄的權(quán)限為了安全起見，管理員應(yīng)對(duì)“文檔根目錄”（HTML文件存放的位置）和“服務(wù)器根目錄”（日志文件和配置文件存放的位置）做嚴(yán)格的訪問權(quán)限控制。①服務(wù)器根目錄下存放日志文件、配置文件等敏感信息，它們對(duì)系統(tǒng)的安全至關(guān)重要，不能讓用戶隨意讀取或刪改。②服務(wù)器根目錄下存放CGI腳本程序，用戶對(duì)這些程序有執(zhí)行權(quán)限，惡意用戶有可能利用其中的漏洞進(jìn)行越權(quán)操作，例如，增、刪、改。③服務(wù)器根目錄下的某些文件需要由Root來寫或者執(zhí)行，如Web服務(wù)器需要Root來啟動(dòng)，如果其他用戶對(duì)Web服務(wù)器的執(zhí)行程序有寫權(quán)限，則該用戶可以用其他代碼替換掉Web服務(wù)器的執(zhí)行程序，當(dāng)Root再次執(zhí)行這個(gè)程序時(shí)，用戶設(shè)定的代碼將以Root身份運(yùn)行。建立安全的Web網(wǎng)站204．網(wǎng)頁高效編程（1）輸入驗(yàn)證機(jī)制不足。 如果驗(yàn)證提供給特定腳本的輸入有效性上存在不足，攻擊者很有可能作為一個(gè)參數(shù)提交一個(gè)特殊字符和一個(gè)本地命令，讓W(xué)eb服務(wù)器在本地執(zhí)行。如果程序盲目地接受來自Web頁面的輸入并用外殼命令傳遞它，就可能為試圖攻入網(wǎng)絡(luò)的黑客提供訪問權(quán)。（2）不縝密的編程思路。網(wǎng)站設(shè)計(jì)考慮不周，常常會(huì)給Web站點(diǎn)留下后患。（3）客戶端執(zhí)行代碼亂用。新興的動(dòng)態(tài)編程技術(shù)允許把代碼轉(zhuǎn)移到客戶端執(zhí)行，以緩解服務(wù)器的壓力。Java腳本就能完成這一目的，它可以使Web頁面更加生動(dòng)，同時(shí)提高更多的控制。但在已發(fā)現(xiàn)的漏洞中，覆蓋面也很廣，如發(fā)送電子郵件、查看歷史文件記錄表、跟蹤用戶在線情況以及上傳客戶的文件，這樣很容易泄露用戶的個(gè)人隱私。建立安全的Web網(wǎng)站215．安全管理Web服務(wù)器Web服務(wù)器的日常管理、維護(hù)工作包括Web服務(wù)器的內(nèi)容更新，日志文件的審計(jì)，安裝一些新的工具、軟件，更改服務(wù)器配置，對(duì)Web進(jìn)行安全檢查等。主要注意以下幾點(diǎn)。①以安全的方式更新Web服務(wù)器（盡量在服務(wù)器本地操作）。②經(jīng)常審查有關(guān)日志記錄。③進(jìn)行必要的數(shù)據(jù)備份。④定期對(duì)Web服務(wù)器進(jìn)行安全檢查。⑤冷靜處理意外事件。Web網(wǎng)站的安全管理22①建立安全的Web網(wǎng)站。全盤考慮Web服務(wù)器的安全設(shè)計(jì)和實(shí)施。②對(duì)Web系統(tǒng)進(jìn)行安全評(píng)估。權(quán)衡考慮各類安全資源的價(jià)值和對(duì)它們實(shí)施保護(hù)所需要的費(fèi)用。③制定安全策略的基本原則和管理規(guī)定。安全策略的基本原則和管理規(guī)定是指各類資源的基本安全要求以及為了達(dá)到這種安全要求應(yīng)該實(shí)施的事項(xiàng)。安全管理是由個(gè)人或組織針對(duì)為了達(dá)到特定的安全水平而制定的一整套要求有關(guān)部門人員必須遵守的規(guī)則和違規(guī)罰則。④對(duì)員工的安全培訓(xùn)。對(duì)員工進(jìn)行安全培訓(xùn)能增強(qiáng)員工主動(dòng)學(xué)習(xí)安全知識(shí)的意識(shí)和能力。網(wǎng)站的安全政策必須被每一個(gè)工作人員所理解，這樣才可能讓每一個(gè)員工自覺遵守、維護(hù)它。（第7章）7.3口令安全237.3口令安全24口令，又稱密碼。由于口令具有簡(jiǎn)單易用、低成本、易實(shí)現(xiàn)等特性，已經(jīng)成為當(dāng)前應(yīng)用最為廣泛的身份認(rèn)證方法之一，是各種信息系統(tǒng)安全的第一道防線。且絕大多數(shù)的賬號(hào)系統(tǒng)甚至是智能終端都是使用口令作為唯一的訪問控制的機(jī)制，一旦口令出現(xiàn)問題，如使用弱口令、沒有防暴力破解機(jī)制等，將會(huì)造成賬號(hào)內(nèi)財(cái)產(chǎn)被竊、個(gè)人隱私泄露等損失，如果大量的智能終端被攻擊者控制，將會(huì)引發(fā)了嚴(yán)重的安全問題?？诹羁梢苑譃?，靜態(tài)口令、動(dòng)態(tài)口令和認(rèn)知口令。靜態(tài)口令是用戶自己或者系統(tǒng)創(chuàng)建的可以重復(fù)使用的口令；動(dòng)態(tài)口令是由口令設(shè)備隨機(jī)產(chǎn)生的，一般情況下動(dòng)態(tài)口令只能使用一次；認(rèn)知口令是使用基于事實(shí)或者給予選項(xiàng)的認(rèn)知數(shù)據(jù)作為用戶認(rèn)證的基礎(chǔ)。7.3口令安全25口令認(rèn)證過程的威脅可以分為三類。第一類是針對(duì)用戶和口令輸入界面的威脅，稱之為用戶端威脅。第二類是從網(wǎng)絡(luò)上發(fā)起和針對(duì)網(wǎng)絡(luò)傳輸?shù)耐{，稱之為網(wǎng)絡(luò)威脅。第三類是針對(duì)設(shè)備上存儲(chǔ)的口令文件的威脅，稱之為設(shè)備端威脅。（1）用戶端威脅肩窺：指的是某人越過其他人的肩膀觀察其按鍵動(dòng)作或偷看計(jì)算機(jī)屏幕上顯示的數(shù)據(jù)。社會(huì)工程：攻擊者通過欺騙、誘導(dǎo)等社交手段來獲取設(shè)備口令。猜測(cè)：攻擊者通過已經(jīng)掌握的關(guān)于設(shè)備、用戶的信息來猜測(cè)設(shè)備的口令。使用設(shè)備默認(rèn)口令或個(gè)人信息衍生的口令都容易遭受猜測(cè)攻擊。7.3口令安全26（2）網(wǎng)絡(luò)威脅嗅探：通過偵聽網(wǎng)絡(luò)流量來捕獲用戶向系統(tǒng)設(shè)備中的認(rèn)證程序證發(fā)送的口令。重放攻擊：攻擊者復(fù)制認(rèn)證過程的數(shù)據(jù)，并在其他時(shí)候重復(fù)使用這些數(shù)據(jù)來認(rèn)證。暴力攻擊：使用工具，通過組合許多可能的字符、數(shù)字和符號(hào)來循環(huán)反復(fù)的嘗試登錄設(shè)備。字典攻擊：使用包含大量口令的字典文件與用戶的口令進(jìn)行比較，直至發(fā)現(xiàn)匹配的口令。（3）設(shè)備端威脅 彩虹表：攻擊者事先制作一張包含所有口令和對(duì)應(yīng)散列值的表，然后使用口令文件中的散列值反查這張表獲得口令。離線破解：攻擊者模擬口令認(rèn)證的過程，針對(duì)口令文件通過分析或者窮舉來找到口令。逆向固件：攻擊者通過反編譯設(shè)備固件中的口令認(rèn)證部分來找出可繞過認(rèn)證的漏洞或者硬編碼口令?？诹畹钠平?71．口令破解方法①字典破解。是指通過破解者對(duì)管理員的了解，猜測(cè)其可能使用某些信息作為密碼，例如其姓名、生日、電話號(hào)碼等，同時(shí)結(jié)合對(duì)密碼長(zhǎng)度的猜測(cè)，利用工具來生成密碼破解字典。如果相關(guān)信息設(shè)置準(zhǔn)確，字典破解的成功率很高，并且其速度快。②暴力破解。是指對(duì)密碼可能使用的字符和長(zhǎng)度進(jìn)行設(shè)定后（例如限定為所有英文字母和所有數(shù)字，長(zhǎng)度不超過8），對(duì)所有可能的密碼組合逐個(gè)實(shí)驗(yàn)。隨著可能字符和可能長(zhǎng)度的增加，存在的密碼組合數(shù)量也會(huì)變得非常龐大，因此暴力破解往往需要花費(fèi)很長(zhǎng)的時(shí)間，尤其是在密碼長(zhǎng)度大于10，并且包含各種字符（英文字母、數(shù)字和標(biāo)點(diǎn)符號(hào)）的情況下。口令的破解282.口令破解方式①離線破解。攻擊者得到目標(biāo)主機(jī)存放密碼的文件后，就可以脫離目標(biāo)主機(jī)，在其他計(jì)算機(jī)上通過口令破解程序窮舉各種可能的口令，如果計(jì)算出的新密碼與密碼文件存放的密碼相同，則口令已被破解。②在線破解。攻擊者可以使用一個(gè)程序連接到目標(biāo)主機(jī)，不斷地嘗試各種口令試圖登錄目標(biāo)主機(jī)。目標(biāo)主機(jī)系統(tǒng)中某些低等級(jí)的賬號(hào)的口令往往容易被嘗試成功，然后，攻擊者使用其賬號(hào)進(jìn)入系統(tǒng)獲取密碼存放文件（Windows系統(tǒng)是SAM文件，Linux系統(tǒng)是passwd等文件），再使用離線破解方法破解高權(quán)限的口令，如管理員口令等?？诹钇平廛浖?9L0phtCrack7是一款功能強(qiáng)大的密碼恢復(fù)工具，可以用來檢測(cè)Windows、Linux用戶是否使用了不安全的密碼，同樣也是最好、最快的Windows和Linux管理員帳號(hào)密碼破解工具。安全口令的設(shè)置30安全的口令是那些很難猜測(cè)的口令。難猜測(cè)的原因是因?yàn)橥瑫r(shí)有大小寫字符，不僅有字符，還有數(shù)字、標(biāo)點(diǎn)符號(hào)、控制字符和空格，另外，還要容易記憶，至少有7～8個(gè)字符長(zhǎng)和容易輸入。保持口令的安全有以下幾點(diǎn)建議。①不要將口令寫下來。②不要將口令存于計(jì)算機(jī)內(nèi)或手機(jī)內(nèi)。③不要選取顯而易見的信息作口令。④不要讓別人知道。⑤不要交替使用兩個(gè)口令。⑥不要在不同系統(tǒng)上使用同一口令。（第7章）7.4無線網(wǎng)絡(luò)安全317.4無線網(wǎng)絡(luò)安全32無線局域網(wǎng)（WirelessLocalAreaNetworks，WLAN）是利用無線通信技術(shù)在一定的局部范圍內(nèi)建立的網(wǎng)絡(luò)，是計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，它以無線多址信道作為傳輸媒介，提供傳統(tǒng)有線局域網(wǎng)的功能，能夠使用戶真正實(shí)現(xiàn)隨時(shí)、隨地、隨意的寬帶網(wǎng)絡(luò)接入。常見的無線網(wǎng)絡(luò)安全技術(shù)有以下幾種：（1）服務(wù)集標(biāo)識(shí)符（SSID）（2）物理地址(MAC)過濾（3）連線對(duì)等保密（WEP）（4）虛擬專用網(wǎng)絡(luò)（VPN）（5）端口訪問控制技術(shù)(802.1x)無線網(wǎng)絡(luò)的常見攻擊331．針對(duì)WEP協(xié)議的攻擊WEP協(xié)議使用了一個(gè)24位的初始化向量來擴(kuò)展密鑰，以增加密鑰的長(zhǎng)度，從而增強(qiáng)加密強(qiáng)度。WEP協(xié)議的安全漏洞主要有以下幾個(gè)方面：（1）密鑰長(zhǎng)度過短。WEP協(xié)議使用的密鑰長(zhǎng)度只有40位或104位，這使得黑客可以使用暴力破解的方法輕易地破解密鑰。此外，WEP協(xié)議使用的密鑰是靜態(tài)的，不會(huì)隨時(shí)間變化，這也增加了黑客攻擊的難度。（2）初始化向量重用。WEP協(xié)議使用的初始化向量只有24位，這意味著在數(shù)據(jù)傳輸過程中，初始化向量會(huì)被重復(fù)使用。這使得黑客可以通過分析數(shù)據(jù)包的初始化向量，推斷出密鑰流的一部分，從而破解密鑰。（3）RC4算法的弱點(diǎn)。RC4算法本身存在一些弱點(diǎn)，例如密鑰流的偏差和密鑰流的重復(fù)。黑客可以通過分析數(shù)據(jù)包的密文，推斷出密鑰流的一部分，從而破解密鑰。無線網(wǎng)絡(luò)的常見攻擊34針對(duì)WEP協(xié)議的攻擊方法主要有以下幾種：（1）基于字典的攻擊?；谧值涞墓羰且环N暴力破解的方法，它使用一個(gè)預(yù)先準(zhǔn)備好的字典來嘗試破解密鑰。字典中包含了常用的密碼和單詞，黑客可以通過嘗試字典中的每個(gè)密碼來破解密鑰。（2）基于流量的攻擊?；诹髁康墓羰且环N被動(dòng)攻擊的方法，它通過監(jiān)聽數(shù)據(jù)包的流量來分析密鑰流的模式，從而推斷出密鑰。黑客可以使用一些工具進(jìn)行基于流量的攻擊。（3）基于重放攻擊?；谥胤殴羰且环N主動(dòng)攻擊的方法，它通過重放已經(jīng)捕獲的數(shù)據(jù)包來破解密鑰。黑客可以使用一些工具進(jìn)行基于重放的攻擊。（4）基于偽造數(shù)據(jù)包的攻擊?；趥卧鞌?shù)據(jù)包的攻擊是一種主動(dòng)攻擊的方法，它通過偽造數(shù)據(jù)包來破解密鑰。黑客可以使用一些工具進(jìn)行基于偽造數(shù)據(jù)包的攻擊。無線網(wǎng)絡(luò)的常見攻擊352．搜索攻擊通過借助工具大規(guī)模發(fā)現(xiàn)不具有加密功能的無線網(wǎng)絡(luò)，對(duì)這些網(wǎng)絡(luò)的AP廣播信息進(jìn)行解密來獲取信息，目前AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息，如網(wǎng)絡(luò)名稱、安全集標(biāo)識(shí)符等等，還是很危險(xiǎn)。3．竊聽、截取和監(jiān)聽竊聽是指偷聽流經(jīng)網(wǎng)絡(luò)的計(jì)算機(jī)通信的電子形式。它是以被動(dòng)和無法覺察的方式入侵檢測(cè)設(shè)備的。即使網(wǎng)絡(luò)不對(duì)外廣播網(wǎng)絡(luò)信息，只要能夠發(fā)現(xiàn)任何明文信息，攻擊者仍然可以使用一些網(wǎng)絡(luò)工具，從而識(shí)別出可以破壞的信息。使用虛擬專用網(wǎng)、安全套接字層（SecureSocketsLave，SSL）和SSH（SecureShel1）有助于防止無線攔截。無線網(wǎng)絡(luò)的常見攻擊364．欺騙和非授權(quán)訪問因?yàn)門CP/IP設(shè)計(jì)的原因，幾乎無法防止MAC地址欺騙。只有通過靜態(tài)定義MAC地址表才能防止這種類型的攻擊。但是，因?yàn)榫薮蟮墓芾碡?fù)擔(dān)，這種方案很少被采用。只有通過智能事件記錄和監(jiān)控日志才可以對(duì)付已經(jīng)出現(xiàn)過的欺騙。5．網(wǎng)絡(luò)接管與篡改同樣因?yàn)門CP/IP設(shè)計(jì)的原因，某些技術(shù)可供攻擊者接管與其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個(gè)AP，那么所有來自無線網(wǎng)的通信量都會(huì)傳到攻擊者的機(jī)器上，包括其他用戶試圖訪問合法網(wǎng)絡(luò)主機(jī)時(shí)需要使用的密碼和其他信息。無線網(wǎng)絡(luò)的常見攻擊376．拒絕服務(wù)攻擊無線信號(hào)傳輸?shù)奶匦院蛯ｉT使用擴(kuò)頻技術(shù)，使得無線網(wǎng)絡(luò)特別容易受到拒絕服務(wù)攻擊的威脅。拒絕服務(wù)是指攻擊者惡意占用主機(jī)或網(wǎng)絡(luò)幾乎所有的資源，使得合法用戶無法獲得這些資源。要造成這類的攻擊，最簡(jiǎn)單的辦法是通過讓不同的設(shè)備使用相同的頻率，從而造成無線頻譜內(nèi)出現(xiàn)沖突。7．惡意軟件憑借技巧定制的應(yīng)用程序，攻擊者可以直接到終端用戶上查找訪問信息，例如訪問用戶系統(tǒng)的注冊(cè)表或其他存儲(chǔ)位置，以便獲取WEP密鑰并把它發(fā)送回到攻擊者的機(jī)器上。注意讓軟件保持更新，并且遏制攻擊的可能來源，這是唯一可以獲得的保護(hù)措施。8．偷竊用戶設(shè)備用一塊無線網(wǎng)網(wǎng)卡，攻擊者就可以擁有一個(gè)無線網(wǎng)使用的合法MAC地址。也就是說，如果終端用戶的筆記本電腦被盜，他丟失的不僅是電腦本身，還包括設(shè)備上的身份驗(yàn)證信息，如網(wǎng)絡(luò)的SSID及密鑰。無線網(wǎng)絡(luò)安全設(shè)置381．修改用戶名和密碼很多家庭用戶購買這些設(shè)備回來之后，都不會(huì)去認(rèn)真修改設(shè)備的默認(rèn)的用戶名和密碼。這就使得黑客們有機(jī)可乘。2．使用無線加密協(xié)議許多無線設(shè)備廠商為了使產(chǎn)品安裝簡(jiǎn)單易行，都把他們產(chǎn)品的出廠配置設(shè)置成禁止WEP模式，這樣做最大的弊端是數(shù)據(jù)可以被直接從無線網(wǎng)絡(luò)上讀取，因此黑客就能輕而易舉地從無線網(wǎng)絡(luò)中獲取想要的信息。3．修改默認(rèn)的服務(wù)區(qū)標(biāo)志符（SSID）通常路由器設(shè)備制造商都在他們的產(chǎn)品中設(shè)了一個(gè)默認(rèn)的相同的SSID。如果一個(gè)網(wǎng)絡(luò)，不為其指定一個(gè)SSID或者只使用默認(rèn)SSID的話，那么任何無線客戶端都可以進(jìn)入該網(wǎng)絡(luò)。無疑這為黑客的入侵網(wǎng)絡(luò)打開了方便之門。無線網(wǎng)絡(luò)安全設(shè)置394．禁止SSID廣播SSID廣播即服務(wù)區(qū)標(biāo)志符廣播。開啟了SSID廣播的無線網(wǎng)絡(luò)，其路由設(shè)備會(huì)自動(dòng)向其有效范圍內(nèi)的無線網(wǎng)絡(luò)客戶端廣播自己的SSID號(hào)，這個(gè)功能卻存在極大的安全隱患，就好像它自動(dòng)地為想進(jìn)入該網(wǎng)絡(luò)的黑客打開了門戶。5．設(shè)置MAC地址過濾每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備都有一個(gè)MAC地址，我們可以建立自己的MAC地址列表，來防止非法設(shè)備（主機(jī)等）接入網(wǎng)絡(luò)。6．分配靜態(tài)IP地址由于DHCP服務(wù)越來越容易建立，很多家庭無線網(wǎng)絡(luò)都使用DHCP服務(wù)來為網(wǎng)絡(luò)中的客戶端動(dòng)態(tài)分配IP地址。這導(dǎo)致了另外一個(gè)安全隱患，那就是接入網(wǎng)絡(luò)的攻擊端很容易就通過DHCP服務(wù)來得到一個(gè)合法的IP地址。我們可以通過為網(wǎng)絡(luò)成員設(shè)備分配固定的IP地址，可以有效地防止非法入侵，保護(hù)自己的網(wǎng)絡(luò)。移動(dòng)互聯(lián)網(wǎng)安全401．移動(dòng)終端的安全（1）終端私密性強(qiáng)，與資費(fèi)緊耦合，攻擊危害更大。（2）終端號(hào)碼廣泛公開，更易被惡意鎖定。（3）手機(jī)安全防護(hù)體系還不成熟，用戶安全意識(shí)薄弱。2．互聯(lián)網(wǎng)絡(luò)的安全（1）隨時(shí)隨地的移動(dòng)接入導(dǎo)致監(jiān)管難。（2）無線頻率資源有限導(dǎo)致服務(wù)保障難。（3）空中接口開放式傳輸導(dǎo)致數(shù)據(jù)保密難。（4）私網(wǎng)地址廣泛應(yīng)用導(dǎo)致溯源難。移動(dòng)互聯(lián)網(wǎng)安全413．業(yè)務(wù)應(yīng)用的安全（1）業(yè)務(wù)涉及環(huán)節(jié)更多，攻擊防護(hù)范圍更廣。（2）應(yīng)用涉及隱私信息，信息安全風(fēng)險(xiǎn)更大。（3）移動(dòng)應(yīng)用商店的監(jiān)管和審核機(jī)制相對(duì)缺失。（4）應(yīng)用中的私有協(xié)議和加密傳輸進(jìn)行交互，使有效監(jiān)管更難。（5）多種業(yè)務(wù)信息傳播模式，使準(zhǔn)確監(jiān)管更難。（第7章）7.5網(wǎng)絡(luò)監(jiān)聽427.5網(wǎng)絡(luò)監(jiān)聽43網(wǎng)絡(luò)監(jiān)聽也稱為網(wǎng)絡(luò)嗅探，是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口監(jiān)視并查看網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包的一種技術(shù)。它工作在網(wǎng)絡(luò)的底層，能夠把網(wǎng)絡(luò)中傳輸?shù)娜繑?shù)據(jù)記錄下來。監(jiān)聽器不僅可以幫助網(wǎng)絡(luò)管理員查找網(wǎng)絡(luò)漏洞和檢測(cè)網(wǎng)絡(luò)性能，還可以分析網(wǎng)絡(luò)的流量，以便找出網(wǎng)絡(luò)中存在的潛在問題。不同傳輸介質(zhì)的網(wǎng)絡(luò)，其可監(jiān)聽性是不同的。一般認(rèn)為網(wǎng)絡(luò)監(jiān)聽是指在運(yùn)行以太網(wǎng)協(xié)議、TCP/IP協(xié)議、IPX協(xié)議或者其他協(xié)議的網(wǎng)絡(luò)上，可以獲取網(wǎng)絡(luò)信息流的軟件或硬件。網(wǎng)絡(luò)監(jiān)聽目的是分析網(wǎng)絡(luò)的流量，以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。網(wǎng)絡(luò)系統(tǒng)管理員通過網(wǎng)絡(luò)監(jiān)聽可以診斷出大量的不可見模糊問題，監(jiān)視網(wǎng)絡(luò)活動(dòng)，完善網(wǎng)絡(luò)安全策略，進(jìn)行行之有效的網(wǎng)絡(luò)管理。監(jiān)聽的原理44以太網(wǎng)中，所有的通信都是“廣播”式的，也就是說同一個(gè)網(wǎng)段的所有網(wǎng)絡(luò)接口都可以接收到在信道上傳輸?shù)臄?shù)據(jù)。在一個(gè)實(shí)際系統(tǒng)中，數(shù)據(jù)的收發(fā)是由網(wǎng)卡來完成，每個(gè)網(wǎng)卡都有一個(gè)唯一的MAC地址。網(wǎng)卡接收到傳輸來的數(shù)據(jù)以后，檢查數(shù)據(jù)幀的目的MAC地址，并根據(jù)計(jì)算機(jī)上的網(wǎng)卡驅(qū)動(dòng)程序設(shè)置的接收模式來判斷該不該接收該幀。若認(rèn)為應(yīng)該接收，則接收后產(chǎn)生中斷信號(hào)通知CPU，若認(rèn)為不該接收則丟棄。正常情況下，網(wǎng)卡應(yīng)該只是接收發(fā)往自身的數(shù)據(jù)包，或者廣播和組播報(bào)文，對(duì)不屬于自己的報(bào)文則不予響應(yīng)?？扇绻W(wǎng)卡處于監(jiān)聽模式，那么它就能接收一切流經(jīng)它的數(shù)據(jù)，而不管該數(shù)據(jù)幀的目的地址是否是該網(wǎng)卡。只要將網(wǎng)卡設(shè)置成監(jiān)聽模式，那么它就可以捕獲網(wǎng)絡(luò)上所有的報(bào)文和數(shù)據(jù)幀，這樣也就達(dá)到了網(wǎng)絡(luò)監(jiān)聽的目的。監(jiān)聽的工具45（1）NetXray。NetXray是一款極好的網(wǎng)絡(luò)監(jiān)聽工具，其功能強(qiáng)大而繁多，它能夠監(jiān)多個(gè)網(wǎng)段，并且允許在多監(jiān)控實(shí)例同時(shí)捕獲到你想要捕獲的任何類型的報(bào)文。它還可以查QQ用戶的IP，能夠在線破解Email等。（2）SmartSniff。是一個(gè)對(duì)IP監(jiān)聽的工具，支持TCP/IP、POP3、FTP、UDP、ICMP，提供ASCII和hexdump兩種查看方式。SmartSniff支持IP過濾設(shè)置，可以不顯示自己的和認(rèn)為不需要顯示出來的IP?；静恍枰膶懴到y(tǒng)注冊(cè)表，是個(gè)綠色的免費(fèi)工具。（3）Snort。是一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，它可以分析網(wǎng)絡(luò)上的數(shù)據(jù)包，用以決定一個(gè)系統(tǒng)是否被遠(yuǎn)程攻擊了。多數(shù)Linux發(fā)行版本都有Snort程序。監(jiān)聽的工具46（4）SnifferPro。SnifferPro是NAI公司出品的一款網(wǎng)絡(luò)抓包工具。它擁有強(qiáng)大的網(wǎng)絡(luò)抓包和協(xié)議分析能力。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰ．?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)監(jiān)聽的方式來進(jìn)行攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽模式，便可以將網(wǎng)上傳輸?shù)脑丛床粩嗟男畔⒔孬@。（5）Windump。Windump是一款經(jīng)典的網(wǎng)絡(luò)協(xié)議分析軟件，其Unix版本名稱為Tcpdump。它可以捕捉網(wǎng)絡(luò)上兩臺(tái)電腦之間所有的數(shù)據(jù)包，供網(wǎng)絡(luò)管理員做進(jìn)一步流量分析和入侵檢測(cè)。監(jiān)聽的實(shí)現(xiàn)47在以太網(wǎng)中，數(shù)據(jù)包的發(fā)送是以廣播的方式進(jìn)行傳送，聯(lián)網(wǎng)的所有主機(jī)都能接收到發(fā)送的數(shù)據(jù)包，但是真正接受這個(gè)數(shù)據(jù)包計(jì)算機(jī)的物理地址必須與發(fā)送的數(shù)據(jù)包中所包含的物理地址一致。因此，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收數(shù)據(jù)包。但是，當(dāng)主機(jī)工作在監(jiān)聽模式下，無論數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機(jī)都將接收。數(shù)字信號(hào)到達(dá)一臺(tái)主機(jī)的網(wǎng)絡(luò)接口時(shí)，網(wǎng)絡(luò)接口讀入數(shù)據(jù)幀，然后進(jìn)行檢查，如果數(shù)據(jù)幀中攜帶的物理地址是自己的，或者物理地址是廣播地址，將把讀入的數(shù)據(jù)幀交給上層協(xié)議軟件，也就是IP層軟件，否則就將這個(gè)幀丟棄。對(duì)于每一個(gè)到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀，都要進(jìn)行這個(gè)過程。當(dāng)主機(jī)工作在監(jiān)聽模式下，則所有的數(shù)據(jù)幀都將交給上層協(xié)議軟件處理。監(jiān)聽的實(shí)現(xiàn)481.共享式局域網(wǎng)中監(jiān)聽共享式局域網(wǎng)的每一臺(tái)主機(jī)都共享一條網(wǎng)絡(luò)總線，這說明總線上的數(shù)據(jù)包可以讓每臺(tái)計(jì)算機(jī)都能接收到。每臺(tái)主機(jī)上都會(huì)有一個(gè)MAC地址，當(dāng)主機(jī)接收數(shù)據(jù)包時(shí)，與配置的MAC地址相同時(shí)，就會(huì)接收數(shù)據(jù)包，如果與配置的MAC地址不相符合時(shí)，就會(huì)拒絕接收數(shù)據(jù)包。2.交換式局域網(wǎng)中監(jiān)聽在局域網(wǎng)內(nèi)所有的主機(jī)都是通過ARP表來確立MAC地址與IP地址之間關(guān)系的，ARP會(huì)定時(shí)刷新，但是在刷新之前黑客可能會(huì)修改ARP表。另外一種情況是，黑客可以通過MAC地址復(fù)制進(jìn)行監(jiān)聽，正是因?yàn)楹芏嗑W(wǎng)卡是允許修改MAC地址的，這樣就可以使黑客的計(jì)算機(jī)和監(jiān)聽主機(jī)的計(jì)算機(jī)MAC地址相同，通過這種方式破壞主機(jī)ARP緩存而達(dá)到監(jiān)聽目的。監(jiān)聽的檢測(cè)與防范49網(wǎng)絡(luò)監(jiān)聽本來是為了管理網(wǎng)絡(luò)，監(jiān)視網(wǎng)絡(luò)的狀態(tài)和數(shù)據(jù)流動(dòng)情況。但是由于它能有效地截獲網(wǎng)上的數(shù)據(jù)，因此也成了網(wǎng)上黑客使用得最多的方法。監(jiān)聽只能是同一網(wǎng)段的主機(jī)。這里同一網(wǎng)段是指物理上的連接，因?yàn)椴皇峭痪W(wǎng)段的數(shù)據(jù)包，在網(wǎng)關(guān)就被濾掉，傳不到該網(wǎng)段來。否則一個(gè)互聯(lián)網(wǎng)上的一臺(tái)主機(jī)，便可以監(jiān)視整個(gè)互聯(lián)網(wǎng)了。網(wǎng)絡(luò)監(jiān)聽最有用的是獲得用戶口令。當(dāng)前，網(wǎng)上的數(shù)據(jù)絕大多數(shù)是以明文的形式傳輸。而且口令通常很短且容易辨認(rèn)。當(dāng)口令被截獲后，則可以非常容易地登上另一臺(tái)主機(jī)。監(jiān)聽的檢測(cè)方法50當(dāng)系統(tǒng)運(yùn)行網(wǎng)絡(luò)監(jiān)聽軟件時(shí)，系統(tǒng)因?yàn)樨?fù)荷過重，會(huì)對(duì)外界的響應(yīng)很慢。以下幾種方法可以檢測(cè)系統(tǒng)是否在運(yùn)行網(wǎng)絡(luò)監(jiān)聽軟件。（1）對(duì)于懷疑運(yùn)行監(jiān)聽程序的機(jī)器，用正確的IP地址和錯(cuò)誤的物理地址去ping，運(yùn)行監(jiān)聽程序的機(jī)器會(huì)有響應(yīng)。這是因?yàn)檎５臋C(jī)器不接收錯(cuò)誤的物理地址，處于監(jiān)聽狀態(tài)的機(jī)器能接收。（2）向懷疑有網(wǎng)絡(luò)監(jiān)聽行為的網(wǎng)絡(luò)發(fā)送大量垃圾數(shù)據(jù)包，根據(jù)各個(gè)主機(jī)回應(yīng)的情況進(jìn)行判斷，正常的系統(tǒng)回應(yīng)的時(shí)間應(yīng)該沒有太明顯的變化，而處于混雜模式的系統(tǒng)由于對(duì)大量的垃圾信息照單全收，所以很有可能回應(yīng)時(shí)間會(huì)發(fā)生較大的變化。監(jiān)聽的檢測(cè)方法51（3）許多的網(wǎng)絡(luò)監(jiān)聽軟件都會(huì)嘗試進(jìn)行地址反向解析，在懷疑有網(wǎng)絡(luò)監(jiān)聽發(fā)生時(shí)可以在DNS系統(tǒng)上觀測(cè)有沒有明顯增多的解析請(qǐng)求。（4）搜索監(jiān)聽程序。入侵者很可能使用的是一個(gè)免費(fèi)軟件，管理員就可以檢查目錄，找出監(jiān)聽程序，但這比較困難而且很費(fèi)時(shí)間。擊敗監(jiān)聽程序的攻擊，用戶有多種選擇。而最終采用哪一種要取決于用戶真正想做什么和運(yùn)行時(shí)的開銷。監(jiān)聽的防范措施52（1）從邏輯或物理上對(duì)網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)措施。其目的是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法監(jiān)聽。（2）以交換式集線器代替共享式集線器。對(duì)局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，局域網(wǎng)監(jiān)聽的危險(xiǎn)仍然存在。應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法監(jiān)聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包和多播包。但廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)遠(yuǎn)少于單播包。監(jiān)聽的防范措施53（3）使用加密技術(shù)。數(shù)據(jù)經(jīng)過加密后，通過監(jiān)聽仍然可以得到傳送的信息，但顯示的是亂碼。使用加密技術(shù)的缺點(diǎn)是影響數(shù)據(jù)傳輸速度以及使用一個(gè)弱加密術(shù)比較容易被攻破。系統(tǒng)管理員和用戶需要在網(wǎng)絡(luò)速度和安全性上進(jìn)行折中。（4）劃分VLAN。運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，可以防止大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵。（5）使用管理工具。網(wǎng)絡(luò)監(jiān)聽是網(wǎng)絡(luò)管理很重要的一個(gè)環(huán)節(jié)，同時(shí)也是黑客們常用的一種方法。許多的網(wǎng)絡(luò)管理軟件都具有監(jiān)聽這一功能，使用網(wǎng)絡(luò)監(jiān)聽工具能達(dá)到預(yù)期的效果。（第7章）7.6掃描器547.6掃描器55掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全脆弱點(diǎn)的程序。通過使用掃描器可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的分配及提供的服務(wù)和它們的軟件版本，這就可以間接地或直觀地了解到遠(yuǎn)程主機(jī)所存在的安全問題。掃描器有三項(xiàng)功能：發(fā)現(xiàn)一個(gè)主機(jī)和網(wǎng)絡(luò)、發(fā)現(xiàn)在這臺(tái)主機(jī)上運(yùn)行什么服務(wù)、以及發(fā)現(xiàn)這臺(tái)主機(jī)漏洞。常用的掃描器是TCP端口掃描器，掃描器可以搜集到有關(guān)目標(biāo)主機(jī)的有用信息。掃描器能夠發(fā)現(xiàn)目標(biāo)主機(jī)某些內(nèi)在的弱點(diǎn)，這些弱點(diǎn)可能是破壞目標(biāo)主機(jī)安全性的關(guān)鍵性因素。端口掃描56（1）端口。許多TCP/IP程序是面向客戶/服務(wù)器的程序。當(dāng)主機(jī)接收到一個(gè)連接請(qǐng)求時(shí)，它便啟動(dòng)一個(gè)服務(wù)，與請(qǐng)求客戶服務(wù)的機(jī)器通信。為簡(jiǎn)化這一過程，每個(gè)應(yīng)用程序被賦予一個(gè)唯一的地址，這個(gè)地址稱為端口。（2）端口掃描技術(shù)。常用的端口掃描技術(shù)有：●TCPconnect()掃描

●TCPSYN掃描●TCPFIN掃描

●IP段掃描●TCP反向ident掃描

●FTP返回攻擊●UDPrecvfrom()和write()掃描

●ICMPecho掃描端口掃描技術(shù)57（1）TCPconnect()掃描。這是最基本的TCP掃描。操作系統(tǒng)提供的connect()系統(tǒng)調(diào)用，用來與每一個(gè)目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于偵聽狀態(tài)，那么connect()就能成功。否則，這個(gè)端口是不能用的，即沒有提供服務(wù)。這個(gè)技術(shù)的最大優(yōu)點(diǎn)是，不需要任何權(quán)限，系統(tǒng)中的任何用戶都有權(quán)利使用這個(gè)調(diào)用。另一個(gè)優(yōu)勢(shì)就是速度。（2）TCPSYN掃描。這種技術(shù)為“半開放”掃描，這是因?yàn)閽呙璩绦虿槐匾蜷_一個(gè)完全的TCP連接。掃描程序發(fā)送的是一個(gè)SYN數(shù)據(jù)包，好像準(zhǔn)備打開一個(gè)實(shí)際的連接并等待反應(yīng)一樣（與TCP的3次握手建立一個(gè)TCP連接的過程類似）。一個(gè)SYN|ACK的返回信息表示端口處于偵聽狀態(tài)。一個(gè)RST返回，表示端口沒有處于偵聽?wèi)B(tài)。如果收到一個(gè)SYN|ACK，則掃描程序必須再發(fā)送一個(gè)RST信號(hào)，來關(guān)閉這個(gè)連接過程。端口掃描技術(shù)58（3）TCPFIN掃描。當(dāng)申請(qǐng)方主機(jī)向目標(biāo)主機(jī)一個(gè)端口發(fā)送的TCP標(biāo)志位FIN置位的數(shù)據(jù)包，如果目標(biāo)主機(jī)該端口是“關(guān)”狀態(tài)，則返回一個(gè)TCPRST數(shù)據(jù)包；否則不回復(fù)。根據(jù)這一原理可以判斷對(duì)方端口是處于“開”還是“關(guān)”狀態(tài)。（4）IP地址掃描。這種方法不直接發(fā)送TCP探測(cè)數(shù)據(jù)包，是將數(shù)據(jù)包分成兩個(gè)較小的IP地址段。這樣就將一個(gè)TCP頭分成好幾個(gè)數(shù)據(jù)包，從而過濾器就很難探測(cè)到。（5）TCP反向ident掃描。ident協(xié)議允許使用者看到通過TCP連接的計(jì)算機(jī)的用戶名，即使這個(gè)連接不是由這個(gè)進(jìn)程開始的。例如，連接到http端口，然后用ident來發(fā)現(xiàn)服務(wù)器是否正在以root權(quán)限運(yùn)行。這種方法只能在和目標(biāo)端口建立了一個(gè)完整的TCP連接后才能看到。端口掃描技術(shù)59（6）FTP返回攻擊。這種方法是從一個(gè)代理的FTP服務(wù)器來掃描TCP端口，如果FTP服務(wù)器允許從一個(gè)目錄讀寫數(shù)據(jù)的話，使用者就能發(fā)送任意的數(shù)據(jù)到發(fā)現(xiàn)的打開的端口。（7）UDPICMP端口不能到達(dá)掃描。這種方案的原理是當(dāng)一個(gè)UDP端口接收到一個(gè)UDP數(shù)據(jù)報(bào)時(shí)，如果它是關(guān)閉的，就會(huì)給源端發(fā)回一個(gè)ICMP端口不可達(dá)數(shù)據(jù)報(bào)；如果它是開放的，那么就會(huì)忽略這個(gè)數(shù)據(jù)報(bào)，也就是將它丟棄而不返回任何的信息。優(yōu)點(diǎn)是可以完成對(duì)UDP端口的探測(cè)。缺點(diǎn)是需要系統(tǒng)管理員的權(quán)限并且掃描的速度很慢。端口掃描技術(shù)60（8）UDPrecvfrom()和write()掃描。這個(gè)方案是對(duì)前一個(gè)方案的改進(jìn)，由于只有具備系統(tǒng)管理員的權(quán)限才可以查看ICMP錯(cuò)誤報(bào)文，那么在不具備系統(tǒng)管理員權(quán)限的時(shí)候可以通過使用recvfrom()和write()這兩個(gè)系統(tǒng)調(diào)用來間接獲得對(duì)方端口的狀態(tài)。對(duì)一個(gè)關(guān)閉的端口第二次調(diào)用write()的時(shí)候通常會(huì)得到出錯(cuò)信息。而對(duì)一個(gè)UDP端口使用recvfrom調(diào)用的時(shí)候，如果系統(tǒng)沒有收到ICMP的錯(cuò)誤報(bào)文通常會(huì)返回一個(gè)EAGAIN錯(cuò)誤，錯(cuò)誤類型碼13，含義是“再試一次”；如果系統(tǒng)收到了ICMP的錯(cuò)誤報(bào)文則通常會(huì)返回一個(gè)ECONNREFUSED錯(cuò)誤，錯(cuò)誤類型碼111，含義是“連接被拒絕”。通過這些區(qū)別，就可以判斷出對(duì)方的端口狀態(tài)如何。（9）ICMPEcho掃描。發(fā)送一個(gè)Echo請(qǐng)求數(shù)據(jù)包，如果目標(biāo)主機(jī)正常，則會(huì)返回一個(gè)Echo響應(yīng)數(shù)據(jù)包，如果目標(biāo)主機(jī)不可達(dá)，則會(huì)返回一個(gè)ICMPDestinationUnreachable響應(yīng)數(shù)據(jù)包。掃描工具61使用端口掃描工具是獲取主機(jī)信息方法。端口掃描程序是一個(gè)非常簡(jiǎn)便實(shí)用的工具它可以幫助系統(tǒng)管理員更好地管理系統(tǒng)與外界的交互。

1．Nmap掃描工具Nmap是主動(dòng)掃描工具，用于對(duì)指定的主機(jī)進(jìn)行掃描。Nmap能夠輕松掃描確定哪些服務(wù)運(yùn)行在哪些連接端，并且推斷計(jì)算機(jī)運(yùn)行哪個(gè)操作系統(tǒng)，從而幫助用戶管理網(wǎng)絡(luò)以及評(píng)估網(wǎng)絡(luò)系統(tǒng)安全，堪稱系統(tǒng)漏洞掃描之王。掃描工具622．Masscan掃描工具M(jìn)asscan是以互聯(lián)網(wǎng)全端口掃描而誕生，掃描速度極快，它的核心思想是異步掃描，與Nmap的同步掃描相反，異步掃描可以同時(shí)發(fā)送和處理多個(gè)網(wǎng)絡(luò)連接。理論上一次最多可以處理1000萬個(gè)數(shù)據(jù)包，限制在于TCP/IP的堆棧處理能力，以及運(yùn)行掃描工作的主機(jī)系統(tǒng)能力。Masscan下載地址：/robertdavidg。3．Naabu掃描工具Naabu是一款比較新的掃描器，是由一家開源軟件公司開發(fā)，其專注于Web應(yīng)用程序安全和漏洞狩獵。Naabu是用GO語言編寫，畢竟Go工具往往擁有運(yùn)行速度快和出色的穩(wěn)定性。該工具的特點(diǎn)是其設(shè)計(jì)考慮到了功能，他的目標(biāo)在于與ProjectDiscovery庫中的其他工具以及Nmap等常用工具結(jié)合使用，所以輸出的結(jié)果非常靈活。Naabu下載地址：/projectdisco。掃描工具634.IPScan掃描工具IPScan在靜態(tài)IP地址環(huán)境下或者DHCP環(huán)境下，都提供完善的IP地址管理。用戶也可以使用IPScanProbe自帶的DHCP服務(wù)器，它能提供更高的安全和靈活的DHCP環(huán)境。掃描工具645．SuperScan掃描工具SuperScan是一個(gè)集“端口掃描”、“ping”、“主機(jī)名解析”于一體的掃描器。該工具可以完成：檢測(cè)主機(jī)是否在線、IP和主機(jī)名之間的相互轉(zhuǎn)換、通過TCP連接試探目標(biāo)主機(jī)運(yùn)行的服務(wù)和掃描指定范圍的主機(jī)端口等功能。（第7章）7.7E-mail的安全657.7E-mail的安全66E-mail十分脆弱，從瀏覽器向互聯(lián)網(wǎng)上的另一個(gè)人發(fā)送E-mail時(shí)，不僅信件像明信片一樣是公開的，而且也無法知道在到達(dá)其最終目的之前，信件經(jīng)過了多少機(jī)器?；ヂ?lián)網(wǎng)像一個(gè)蜘蛛網(wǎng)，E-mail到達(dá)收件人之前，會(huì)經(jīng)過大學(xué)、政府機(jī)構(gòu)和服務(wù)提供商。因?yàn)猷]件服務(wù)器可接收來自任意地點(diǎn)的任意數(shù)據(jù)，所以，任何人，只要可以訪問這些服務(wù)器，或訪問E-mail經(jīng)過的路徑，就可以閱讀這些信息。唯一的安全性取決于人們對(duì)郵件有多大興趣。E-mail工作原理及安全漏洞67郵件系統(tǒng)的傳輸包含了用戶代理（UserAgent）、傳輸代理（TransferAgent）及接受代理（DeliveryAgent）3部分。用戶代理是一個(gè)用戶端發(fā)信和收信的程序，負(fù)責(zé)將信按照一定的標(biāo)準(zhǔn)包裝，然后送至郵件服務(wù)器，將信件發(fā)出或由郵件服務(wù)器收回。傳輸代理則負(fù)責(zé)信件的交換和傳輸，將信件傳送至適當(dāng)?shù)泥]件主機(jī)，再由接受代理將信件分發(fā)至不同的郵件信箱。傳輸代理必須能夠接受用戶郵件程序送來的信件，解讀收信人的地址，根據(jù)簡(jiǎn)單郵件傳輸協(xié)議（SimpleMailTransportProtocol，SMTP）將它正確無誤地傳遞到目的地?，F(xiàn)在一般的傳輸代理已采用Sendmail程序完成工作，到達(dá)郵件主機(jī)后經(jīng)接收代理程序使用郵局協(xié)議（PostOfficeProtocol，POP）將郵件下載到自己的主機(jī)上。E-mail工作原理及安全漏洞68E-mail服務(wù)器有一個(gè)“路由表”，在那里列出了其他E-mail服務(wù)器的目的地的地址。當(dāng)服務(wù)器讀完信頭，意識(shí)到信息不是發(fā)給自己時(shí)，它會(huì)迅速將信息送到目的地服務(wù)器或離目的地最近的服務(wù)器。E-mail服務(wù)器向全球開放，它們很容易受到黑客的襲擊。信息中可能攜帶會(huì)損害服務(wù)器的指令。例如，Morrisbug內(nèi)有一種會(huì)損壞Sendmail的指令，這個(gè)指令可使其執(zhí)行黑客發(fā)出的命令。Web提供的閱讀器更容易受到這類侵?jǐn)_。因?yàn)椋c標(biāo)準(zhǔn)的基于文本的互聯(lián)網(wǎng)郵件不同，Web上的圖形接口需要執(zhí)行腳本或Applet才能顯示信息。防火墻不可能識(shí)別所有惡意的Applet和腳本。最多，也只能濾去郵件地址中有風(fēng)險(xiǎn)的字符，這些字符還應(yīng)是防火墻識(shí)別得出來的。匿名轉(zhuǎn)發(fā)69在正常的情況下，發(fā)送電子郵件會(huì)盡量將發(fā)送者的名字和地址包括進(jìn)郵件的附加信息中。但是，有時(shí)候，發(fā)送者希望將郵件發(fā)送出去而不希望收件者知道是誰發(fā)的。這種發(fā)送郵件的方法被稱為匿名郵件。實(shí)現(xiàn)匿名的一種最簡(jiǎn)單的方法，是簡(jiǎn)單地改變電子郵件軟件里的發(fā)送者的名字。但這是一種表面現(xiàn)象，因?yàn)橥ㄟ^信息表頭中的其他信息。仍能夠跟蹤發(fā)送者。而讓自己的地址完全不出現(xiàn)在郵件中的唯一方法是讓其他人發(fā)送這個(gè)郵件，郵件中的發(fā)信地址就變成了轉(zhuǎn)發(fā)者的地址了。E-mail欺騙70電子郵件欺騙就是在電子郵件中改變發(fā)信者的名字使之看起來是從某地或者某人發(fā)來的實(shí)際行為。垃圾郵件的發(fā)布者通常使用欺騙和懇求的方法嘗試打開收件人打開郵件，并很有可能讓其回復(fù)，可以合法地使用欺騙。Email欺騙行為表現(xiàn)形式可能各異，但原理相同：通常是欺騙用戶進(jìn)行一個(gè)毀壞性或暴露敏感信息（例如口令）。欺騙性Email會(huì)制造安全漏洞。Email宣稱會(huì)來自系統(tǒng)管理員，要求用戶將他們的口令改變?yōu)樘囟ǖ淖执?，并威脅如果用戶不照此辦理，將關(guān)閉用戶的賬戶。由于簡(jiǎn)單的郵件傳輸協(xié)議（SMTP）沒有驗(yàn)證系統(tǒng)，偽造Email十分方便。如果站點(diǎn)允許與SMTP端口聯(lián)系，任何人都可以與該端口聯(lián)系，甚至虛構(gòu)的某人的名義發(fā)出Email。E-mail轟炸和炸彈71E-mail轟炸可被描述為不停地接到大量同一內(nèi)容的E-mail。這里，主要的風(fēng)險(xiǎn)來自E-mail服務(wù)器。如果服務(wù)器接到很多的E-mail，服務(wù)器就會(huì)脫網(wǎng)，系統(tǒng)甚至可能崩潰。不能服務(wù)，可由不同原因引起，可能由于網(wǎng)絡(luò)連接超載，也可能由于缺少系統(tǒng)資源。因此，如果系統(tǒng)突然變得遲鈍，或E-mail速度大幅減慢，或不能收發(fā)E-mail，就應(yīng)該小心。E-mail服務(wù)器可能正忙于處理極大數(shù)量的信息。如果感到站點(diǎn)正受侵襲，試著找出轟炸的來源，然后設(shè)置防火墻或路由器，濾去來自那個(gè)地址的郵包。防止E-mail的轟炸的辦法是使用防火墻。防火墻可以阻止惡意信息的產(chǎn)生，可以確保所有外部的SMTP都只連接到E-mail服務(wù)器上，而不連接到站點(diǎn)的其他系統(tǒng)。這樣做的目的不能阻止入侵，但可以將E-mail轟炸的影響減到最少。E-mail轟炸和炸彈72UPYours是最流行的炸彈程序，它使用最少的資源，做了超量的工作，有簡(jiǎn)單的用戶界面以及嘗試著去隱蔽攻擊者的地址源頭。KaBoom與UPYours有著明顯的不同。其中一點(diǎn)，就是KaBoom增強(qiáng)了功能。例如，從開始界面到主程序可以發(fā)現(xiàn)一個(gè)用來鏈接列表的工具。使用這個(gè)功能，就可以把目標(biāo)加入到上百個(gè)E-mail列表中去。防止E-mail炸彈的辦法是刪除文件或進(jìn)入一種排斥模式。排斥模式需要檢查收到的郵件的源地址并讀取Mail中的信息。另一種防止E-mail炸彈的辦法方法是在路由的層次上，限制網(wǎng)絡(luò)的傳輸。或者編寫一個(gè)Script程序，每當(dāng)E-mail連接到自己的郵件服務(wù)器的時(shí)候，它就“捕捉到”E-mail的地址。保護(hù)E-mail73最有效的保護(hù)E-mail的方法是使用加密簽字，如“PrettyGoodPrivacy（PGP）”，來驗(yàn)證E-mail信息。通過驗(yàn)證E-mail信息，可以保證信息確實(shí)來自發(fā)信人，并保證在傳送過程中信息沒有被修改。PGP運(yùn)用了復(fù)雜的算法，操作結(jié)果產(chǎn)生了高水平的加密，系統(tǒng)采用公鑰/私鑰配合方案，在這種方案中，每個(gè)報(bào)文只有在用戶提供了一個(gè)密碼后才被加密。加密的密文可用電子郵件發(fā)送給具有相應(yīng)私鑰的收信人，也可以作為文件，存儲(chǔ)在本地主機(jī)中。用公鑰加密后的信息，沒有相應(yīng)的私鑰，即使是加密者本人，也不能從密文得到明文。另外，還要配置電子郵件服務(wù)器，不允許SMTP端口的直接連接，并防止來自其他站點(diǎn)的假郵件。如果配置防火墻，使它將外來的郵件定向到郵件服務(wù)器，就可以對(duì)郵件進(jìn)行集中記錄，便于跟蹤和檢測(cè)異常郵件活動(dòng)。（第7章）7.8IP電子欺騙747.8IP電子欺騙75IP欺騙是指創(chuàng)建源地址經(jīng)過修改的IP數(shù)據(jù)包，目的是隱藏發(fā)送方的身份，冒充另外一臺(tái)主機(jī)的IP地址，與其它設(shè)備通信，從而達(dá)到某種目的技術(shù)。惡意用戶往往采用這項(xiàng)技術(shù)對(duì)目標(biāo)設(shè)備或周邊基礎(chǔ)設(shè)施發(fā)動(dòng)DDoS攻擊。攻擊者創(chuàng)建一個(gè)IP數(shù)據(jù)包并將其發(fā)送到服務(wù)器，這稱為SYN（同步）請(qǐng)求。然后將自己的源地址作為另一臺(tái)計(jì)算機(jī)的IP地址放入新創(chuàng)建的IP數(shù)據(jù)包中。服務(wù)器以SYNACK響應(yīng)返回，該響應(yīng)傳輸?shù)絺卧斓腎P地址。攻擊者收到服務(wù)器發(fā)送的這個(gè)SYNACK響應(yīng)并確認(rèn)，從而完成與服務(wù)器的連接。完成此操作后，攻擊者可以在服務(wù)器計(jì)算機(jī)上嘗試各種命令。最常見的方法包括IP地址欺騙攻擊、ARP欺騙攻擊和DNS服務(wù)器欺騙攻擊。企業(yè)可以采取的防止欺騙攻擊的常見措施包括數(shù)據(jù)包過濾、使用欺騙檢測(cè)軟件和加密網(wǎng)絡(luò)協(xié)議。IP電子欺騙的方式和特征76入侵者可以利用IP欺騙技術(shù)獲得對(duì)主機(jī)未授權(quán)的訪問，因?yàn)樗梢园l(fā)出這樣的來自內(nèi)部地址的IP包。當(dāng)目標(biāo)主機(jī)利用基于IP地址的驗(yàn)證來控制對(duì)目標(biāo)系統(tǒng)中的用戶訪問時(shí)，這些小詭計(jì)甚至可以獲得特權(quán)或普通用戶的權(quán)限。即使設(shè)置了防火墻，如果沒有配置對(duì)本地區(qū)域中資源IP包地址的過濾，這種欺騙技術(shù)依然可以奏效。IP欺騙技術(shù)有以下3個(gè)特征：（1）只有少數(shù)平臺(tái)能夠被這種技術(shù)攻擊，也就是說很多平臺(tái)都不具有這方面的缺陷。（2）這種技術(shù)出現(xiàn)的可能性比較小，因?yàn)檫@種技術(shù)不好理解，也不好操作，只有一些真正的網(wǎng)絡(luò)高手才能做到這點(diǎn)。（3）很容易防備這種攻擊方法，如可以使用防火墻等。

IP欺騙的對(duì)象及實(shí)施771．IP欺騙的對(duì)象IP欺騙只能攻擊那些運(yùn)行真正的TCP/IP的機(jī)器，真正的TCP/IP指的是完全實(shí)現(xiàn)了TCP/IP，包括所有的端口和服務(wù)。下面一些是肯定可以被攻擊的。①運(yùn)行SUNRPC的機(jī)器。SUNRPC指的是遠(yuǎn)程過程調(diào)用的SUNMicroSystem公司的標(biāo)準(zhǔn)，它規(guī)定了