網(wǎng)絡(luò)攻擊與防御培訓(xùn)材料

1、1 11網(wǎng)絡(luò)安全攻擊與防御2011-12主講人：陳彪主講人：陳彪2 22一、網(wǎng)絡(luò)安全一、網(wǎng)絡(luò)安全 從本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全，通用定義是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的原因而遭到破壞、更改或泄密，系統(tǒng)聯(lián)系、可靠、正常的運(yùn)行，服務(wù)不中斷。 網(wǎng)絡(luò)安全簡單的說是在網(wǎng)絡(luò)環(huán)境下能夠識別和消除不安全的因素。1.1 1.1 網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全的定義3 331.21.2網(wǎng)絡(luò)安全的特征網(wǎng)絡(luò)安全的特征網(wǎng)絡(luò)安全應(yīng)具有以下四個方面的特征： 保密性：信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。 完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被

2、破壞和丟失的特性。 4 44可用性：可被授權(quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊； 可控性：對信息的傳播及內(nèi)容具有控制能力。 5 551.3 1.3 網(wǎng)絡(luò)安全的重要性網(wǎng)絡(luò)安全的重要性隨著網(wǎng)絡(luò)的快速普及和網(wǎng)絡(luò)的開放性、共享性出現(xiàn)，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大。信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。信息網(wǎng)絡(luò)涉及到國家政治、軍事、文教等諸多領(lǐng)域。近年，計(jì)算機(jī)犯罪案件急劇上升，已經(jīng)成為國際問題。我國信息化進(jìn)程雖然剛剛起步，但是發(fā)展迅速，計(jì)算機(jī)網(wǎng)絡(luò)在我國迅速普及。短短的幾年里，發(fā)生了多起針對、利用計(jì)算機(jī)

3、危害計(jì)算機(jī)網(wǎng)絡(luò)的種種威脅必須采取有力的措施來保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的安全。6 66據(jù)統(tǒng)計(jì)，網(wǎng)民中發(fā)生網(wǎng)絡(luò)安全問題的比率如下?lián)y(tǒng)計(jì)，網(wǎng)民中發(fā)生網(wǎng)絡(luò)安全問題的比率如下7 771.4 1.4 網(wǎng)絡(luò)安全的主要威脅因素網(wǎng)絡(luò)安全的主要威脅因素1、非人為的、自然力造成的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷；2、人為的，但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失；3、來自外部和內(nèi)部人員的惡意攻擊和入侵。前兩種威脅的預(yù)防應(yīng)該主要從系統(tǒng)硬件設(shè)施（包括物理環(huán)境、系統(tǒng)配置、系統(tǒng)維護(hù)等）以及人員培訓(xùn)、安全教育等方面入手，第三種是當(dāng)前互聯(lián)網(wǎng)所面臨的最大威脅，導(dǎo)致這種威脅的主要因素一般包括所使用的網(wǎng)絡(luò)協(xié)議存在某些安全問題、操作系統(tǒng)自身的漏洞、

4、系統(tǒng)的配置和安全管理、黑客主動發(fā)起的攻擊以及蓄意而為的網(wǎng)絡(luò)犯罪行為等。8 881.4.1 1.4.1 網(wǎng)絡(luò)目前主要存在如下安全問題網(wǎng)絡(luò)目前主要存在如下安全問題1、協(xié)議安全問題：如TCP協(xié)議、路由協(xié)議缺陷、應(yīng)用層協(xié)議等；2、操作系統(tǒng)與應(yīng)用程序漏洞；3、安全管理問題；4、黑客攻擊；5、網(wǎng)絡(luò)犯罪；9 99網(wǎng)絡(luò)安全主要威脅來源網(wǎng)絡(luò)安全主要威脅來源1010101.5 1.5 常用的防范措施常用的防范措施1、完善安全管理制度2、訪問控制3、數(shù)據(jù)加密4、網(wǎng)絡(luò)安全策略5、網(wǎng)絡(luò)安全體系設(shè)計(jì)111111二、黑客知識二、黑客知識2.12.1黑客的定義黑客的定義黑客最早源自英文hacker，早期在美國的電腦界是帶有褒

5、義的。但在媒體報導(dǎo)中，黑客一詞往往指那些“軟件駭客”(software cracker)。黑客一詞，原指熱心于計(jì)算機(jī)技術(shù)，水平高超的電腦專家，尤其是程序設(shè)計(jì)人員。但到了今天，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡(luò)搞破壞或惡作劇的家伙。對這些人的正確英文叫法是Cracker，有人翻譯成“駭客”。1212122.2 2.2 黑客的區(qū)分黑客的區(qū)分白帽子黑客：包含紅客、藍(lán)客、灰客和白客黑帽子黑客：即傳統(tǒng)的駭客，未經(jīng)法律允許，闖入系統(tǒng)竊取信息，并造成一定經(jīng)濟(jì)損失 1、偶然黑客 2、堅(jiān)定黑客:目的、技術(shù)、資金，(企業(yè)間諜)1313131414141515152.3 黑客人物舉例黑客人物舉例凱文米特尼克（

6、Kevin David Mitnick，1964年美國洛杉磯出生），有評論稱他為世界上“頭號電腦駭客”。這位“著名人物”現(xiàn)年不過47歲，但其傳奇的黑客經(jīng)歷足以令全世界為之震驚。 16161613歲，小學(xué)，喜歡業(yè)余無線電活動15歲，闖入“北美空中防務(wù)指揮系統(tǒng)”主機(jī) 從做黑客到入獄，共15年，入侵過MOTOROLA、NOKIA、NOVELL、NEC、SUN等1995年2月被捕 2001年1月，認(rèn)罪，獲得監(jiān)視性釋放2002年年末，獲準(zhǔn)上網(wǎng)，著作欺騙的藝術(shù)1717171818182.4 2.4 黑客常用的手段黑客常用的手段1、網(wǎng)絡(luò)掃描-在Internet上進(jìn)行廣泛搜索，以找出特定計(jì)算機(jī)或軟件中的弱點(diǎn)。

7、 2、網(wǎng)絡(luò)嗅探程序-偷偷查看通過Internet的數(shù)據(jù)包，以捕獲口令或全部內(nèi)容。通過安裝偵聽器程序來監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流，從而獲取連接網(wǎng)絡(luò)系統(tǒng)時用戶鍵入的用戶名和口令。 3、拒絕服務(wù) -通過反復(fù)向某個Web站點(diǎn)的設(shè)備發(fā)送過多的信息請求，黑客可以有效地堵塞該站點(diǎn)上的系統(tǒng)，導(dǎo)致無法完成應(yīng)有的網(wǎng)絡(luò)服務(wù)項(xiàng)目(例如電子郵件系統(tǒng)或聯(lián)機(jī)功能)，稱為“拒絕服務(wù)”問題。 1919194、欺騙用戶-偽造電子郵件地址或Web頁地址，從用戶處騙得口令、信用卡號碼等。欺騙是用來騙取目標(biāo)系統(tǒng)，使之認(rèn)為信息是來自或發(fā)向其所相信的人的過程。欺騙可在IP層及之上發(fā)生（地址解析欺騙、IP源地址欺騙、電子郵件欺騙等）。當(dāng)一臺主機(jī)的IP地

8、址假定為有效，并為Tcp和Udp服務(wù)所相信。利用IP地址的源路由，一個攻擊者的主機(jī)可以被偽裝成一個被信任的主機(jī)或客戶。 5、特洛伊木馬-一種用戶察覺不到的程序，其中含有可利用一些軟件中已知弱點(diǎn)的指令。 2020206、后門-為防原來的進(jìn)入點(diǎn)被探測到，留幾個隱藏的路徑以方便再次進(jìn)入。 7、惡意小程序-微型程序，修改硬盤上的文件，發(fā)送虛假電子郵件或竊取口令。 8、競爭撥號程序-能自動撥成千上萬個電話號碼以尋找進(jìn)入調(diào)制解調(diào)器連接的路徑。邏輯炸彈計(jì)算機(jī)程序中的一條指令，能觸發(fā)惡意操作。 9、緩沖器溢出- 向計(jì)算機(jī)內(nèi)存緩沖器發(fā)送過多的數(shù)據(jù)，以摧毀計(jì)算機(jī)控制系統(tǒng)或獲得計(jì)算機(jī)控制權(quán)。 21212110、口令

9、破譯-用軟件猜出口令。通常的做法是通過監(jiān)視通信信道上的口令數(shù)據(jù)包，破解口令的加密形式。 11、社交工程-與公司雇員談話，套出有價值的信息。 12、垃圾桶潛水-仔細(xì)檢查公司的垃圾，以發(fā)現(xiàn)能幫助進(jìn)入公司計(jì)算機(jī)的信息。 2222222323232.6 2.6 黑客攻擊方法黑客攻擊方法偵察偵察鞏固訪問權(quán)限鞏固訪問權(quán)限清除罪證清除罪證掃描掃描獲取訪問權(quán)獲取訪問權(quán)242424三、遠(yuǎn)程攻擊的步驟三、遠(yuǎn)程攻擊的步驟3.1 3.1 遠(yuǎn)程攻擊準(zhǔn)備階段遠(yuǎn)程攻擊準(zhǔn)備階段攻擊之前需要做很多準(zhǔn)備工作，包括確定攻擊目標(biāo)信息，攻擊目標(biāo)網(wǎng)絡(luò)地址，目標(biāo)機(jī)器所采用的操作系統(tǒng)，目標(biāo)機(jī)器所提供的服務(wù)及端口信息等。1、確定攻擊的目的首先

10、要確定攻擊要達(dá)到什么樣的目的，即給入侵者造成什么樣的后果，常用的攻擊目的有破壞性型和入侵性兩種2525252、信息收集在確定攻擊目標(biāo)之后，攻擊前最主要的工作就是收集盡量多的關(guān)于攻擊目標(biāo)的信息。這些信息主要包括目標(biāo)的操作系統(tǒng)類型及版本、相關(guān)軟件的類型、版本及相關(guān)的社會信息。黑客用來收集目標(biāo)系統(tǒng)相關(guān)信息的協(xié)議和攻擊有以下幾種：1、Ping2、SNMP協(xié)議3、TraceRoute程序4、Whois協(xié)議5、DNS服務(wù)器6、Finger協(xié)議2626263、服務(wù)分析獲知目標(biāo)提供哪些服務(wù)及各服務(wù)所使用的軟件的版本類型至關(guān)重要。因?yàn)橐恢钡穆┒匆话愣际轻槍δ骋环?wù)的，每個服務(wù)通常都對應(yīng)一個或多個端口，有一些系統(tǒng)

11、服務(wù)或較常用的應(yīng)用服務(wù)所使用的端口是相對固定的，因此可以根據(jù)目標(biāo)系統(tǒng)所開放的端口號來推測它所開放的服務(wù)?？梢允褂胻elnet命令來探測，更簡單的方法是使用一些像SuperScan、Nmap這樣的工具。2727274、系統(tǒng)分析當(dāng)知道了目標(biāo)主機(jī)處于在線狀態(tài)，而且也知道了目標(biāo)主機(jī)開放了哪些服務(wù)之后，就可以根據(jù)這些服務(wù)對目標(biāo)操作系統(tǒng)進(jìn)行分析，同樣可以使用Nmap工具進(jìn)行掃描5、漏洞分析可以采用類似Nessus、X-Scan等綜合型漏洞檢測工具;也可以采用專用型漏洞檢測工具，如用于檢測震蕩波蠕蟲漏洞的工具RetinaSasser,它們只能檢測某種特定的漏洞2828283.2 3.2 遠(yuǎn)程攻擊的實(shí)施階段遠(yuǎn)

12、程攻擊的實(shí)施階段當(dāng)收集到足夠的信息之后，攻擊者就要開始實(shí)施攻擊行動。作為破壞性攻擊，只需要利用工具發(fā)動攻擊即可；而作為入侵性攻擊，往往需要利用收集到的信息，找到其系統(tǒng)漏洞，然后利用漏洞獲取一定的權(quán)限，一般攻擊者會試圖獲取盡可能高的權(quán)限，以執(zhí)行更多可能的操作。能夠被攻擊者利用的漏洞不僅包括系統(tǒng)軟件設(shè)計(jì)上的安全漏洞，也包括由于管理員配置不當(dāng)而造成的漏洞。292929系統(tǒng)漏洞分為遠(yuǎn)程漏洞和本地漏洞兩種，遠(yuǎn)程漏洞是指黑客可以在別的機(jī)器上直接利用該漏洞進(jìn)行攻擊獲取一定的權(quán)限，這種漏洞的威脅性相當(dāng)大。黑客遠(yuǎn)程攻擊的一般從遠(yuǎn)程漏洞開始的，但是利用遠(yuǎn)程漏洞獲取的不一定是最高權(quán)限，很多時候只是一普通用戶權(quán)限，這

13、樣就需要提升權(quán)限，常常提升到管理員權(quán)限。只有獲得了管理員權(quán)限，才可以做諸如網(wǎng)絡(luò)監(jiān)聽、清除痕跡之類的事情。除了可以利用已獲得權(quán)限在系統(tǒng)上執(zhí)行本地漏洞提高權(quán)限外，還可以放一些木馬之類的欺騙工具來套取管理員密碼。3030303.3 遠(yuǎn)程攻擊的善后階段攻擊者利用種種手段進(jìn)入目標(biāo)主機(jī)系統(tǒng)并獲得控制權(quán)之后，絕不僅僅滿足于進(jìn)行破壞活動。一般入侵成功后，攻擊者為了能長時間保留和鞏固他對系統(tǒng)的控制全，不被管理員發(fā)現(xiàn)，他會做兩件事，留下后門和擦除蹤跡。眾所周知，所有的網(wǎng)絡(luò)操作系統(tǒng)一般都提供日志記錄功能，該功能吧系統(tǒng)上發(fā)生的動作記錄下來。因此，為了自身的隱蔽性，攻擊者都會抹掉自己在日志中留下的痕跡。313131最簡

14、單的辦法就是直接刪除日志文件，但這樣明確告訴了系統(tǒng)管理員系統(tǒng)被入侵過，最有效的方法就是修改日志，可以利用zap、wipe等工具，主要是清除Utmp、Wtmp、Lastlog和Pacct等日志文件中某一用戶的信息，使得當(dāng)使用who、last等命令查看日志文件是，隱藏此用戶的信息。安裝了后門程序，運(yùn)行后很有可能 被管理員發(fā)現(xiàn)，所以黑客一般通過替換系統(tǒng)程序來進(jìn)一步隱藏蹤跡，可以采用rootkit工具。323232四、木馬、病毒與蠕蟲四、木馬、病毒與蠕蟲4.1 4.1 木馬木馬木馬(Trojan Horse)，是從希臘神話里面的木馬屠城記得名的 ，指那些表面上是有用的軟件、實(shí)際目的卻是危害計(jì)算機(jī)安全并

15、導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序 。它是具有欺騙性的文件(宣稱是良性的，但事實(shí)上是惡意的)，是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。333333所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，也難以確定其具體位置;所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將竊取到服務(wù)端的很多操作權(quán)限，如修改文件，修改注冊表，控制鼠標(biāo)，鍵盤，竊取信息等等。一旦中了木馬，你的系統(tǒng)可能就會門戶大開，毫無秘密可言。 343434特洛伊木馬與病毒的重大區(qū)別是特洛伊木馬不具傳染性，它并不能像病毒那樣復(fù)制自身，也并不“刻意”地去感染其他文件，它主要通過將自

16、身偽裝起來，吸引用戶下載執(zhí)行。特洛伊木馬中包含能夠在觸發(fā)時導(dǎo)致數(shù)據(jù)丟失甚至被竊的惡意代碼，要使特洛伊木馬傳播，必須在計(jì)算機(jī)上有效地啟用這些程序，例如打開電子郵件附件或者將木馬捆綁在軟件中放到網(wǎng)絡(luò)吸引人下載執(zhí)行等 。3535353636364.2 4.2 病毒病毒計(jì)算機(jī)病毒(Computer Virus),根據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，病毒的明確定義是“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。病毒必須滿足兩個條件:1、它必須能自行執(zhí)行。它通常將自己的代碼置于另一個程序的執(zhí)行路徑中。3737372、它必

17、須能自我復(fù)制。例如，它可能用受病毒感染的文件副本替換其他可執(zhí)行文件。病毒既可以感染桌面計(jì)算機(jī)也可以感染網(wǎng)絡(luò)服務(wù)器。此外，病毒往往還具有很強(qiáng)的感染性，一定的潛伏性，特定的觸發(fā)性和很大的破壞性等，由于計(jì)算機(jī)所具有的這些特點(diǎn)與生物學(xué)上的病毒有相似之處，因些人們才將這種惡意程序代碼稱之為“計(jì)算機(jī)病毒”。一些病毒被設(shè)計(jì)為通過損壞程序、刪除文件或重新格式化硬盤來損壞計(jì)算機(jī)。有些病毒不損壞計(jì)算機(jī)，而只是復(fù)制自身，并通過顯示文本、視頻和音頻消息表明它們的存在。 383838即使是這些良性病毒也會給計(jì)算機(jī)用戶帶來問題。通常它們會占據(jù)合法程序使用的計(jì)算機(jī)內(nèi)存。結(jié)果，會引起操作異常，甚至導(dǎo)致系統(tǒng)崩潰。另外，許多病毒

18、包含大量錯誤，這些錯誤可能導(dǎo)致系統(tǒng)崩潰和數(shù)據(jù)丟失。令人欣慰的是，在沒有人員操作的情況下，一般的病毒不會自我傳播，必須通過某個人共享文件或者發(fā)送電子郵件等方式才能將它一起移動。典型的病毒有黑色星期五、熊貓燒香等。3939394.3 4.3 蠕蟲蠕蟲蠕蟲(worm)也可以算是病毒中的一種，但是它與普通病毒之間有著很大的區(qū)別。一般認(rèn)為:蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時具有自己的一些特征，如不利用文件寄生(有的只存在于內(nèi)存中)，對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合，等等。404040普通病毒需要傳播受感染的駐留文件來進(jìn)行復(fù)制，而蠕蟲不使用駐

19、留文件即可在系統(tǒng)之間進(jìn)行自我復(fù)制， 普通病毒的傳染能力主要是針對計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言，而蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī)。它能控制計(jì)算機(jī)上可以傳輸文件或信息的功能，一旦您的系統(tǒng)感染蠕蟲，蠕蟲即可自行傳播，將自己從一臺計(jì)算機(jī)復(fù)制到另一臺計(jì)算機(jī)，更危險的是，它還可大量復(fù)制。 414141蠕蟲病毒產(chǎn)生的破壞性上，也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓!局域網(wǎng)條件下的共享文件夾、電子郵件Email、網(wǎng)絡(luò)中的惡意網(wǎng)頁、大量存在著漏洞的服務(wù)器等，都成為蠕蟲傳播的良好途徑，蠕蟲病毒可以在幾個小時內(nèi)蔓延全球，而且蠕蟲的主動攻擊性和突然爆發(fā)性將使得人們

20、手足無措。此外，蠕蟲會消耗內(nèi)存或網(wǎng)絡(luò)帶寬，從而可能導(dǎo)致計(jì)算機(jī)崩潰。424242它的傳播不必通過“宿主”程序或文件，因此可潛入您的系統(tǒng)并允許其他人遠(yuǎn)程控制您的計(jì)算機(jī)，這也使它的危害遠(yuǎn)較普通病毒為大。典型的蠕蟲病毒有沖擊波、震蕩波等。434343444444五、網(wǎng)絡(luò)監(jiān)聽五、網(wǎng)絡(luò)監(jiān)聽5.1 5.1 網(wǎng)絡(luò)監(jiān)聽的概念網(wǎng)絡(luò)監(jiān)聽的概念網(wǎng)絡(luò)監(jiān)聽技術(shù)又叫做網(wǎng)絡(luò)嗅探技術(shù)，顧名思義，這是一種在他方未察覺的情況下捕獲其通信報文或通信內(nèi)容的技術(shù)。在網(wǎng)絡(luò)安全領(lǐng)域，網(wǎng)絡(luò)監(jiān)聽技術(shù)對于網(wǎng)絡(luò)攻擊與防范雙方都有著重要的意義，是一把雙刃劍。網(wǎng)絡(luò)監(jiān)聽技術(shù)的能力范圍目前只限于局域網(wǎng)，它是主機(jī)的一種工作模式，主機(jī)可以接收到本網(wǎng)段在同一條物

21、理通道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接收方是誰。4545454646464747475.2 5.2 監(jiān)聽的防御監(jiān)聽的防御由于嗅探器是一種被動攻擊技術(shù)，因此非常難以被發(fā)現(xiàn)。我們可以采用安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和數(shù)據(jù)加密技術(shù)兩方面。1 1、安全的拓?fù)浣Y(jié)構(gòu)、安全的拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)分段越細(xì)，嗅探器能夠收集的信息就越少。網(wǎng)絡(luò)分段：將網(wǎng)絡(luò)分成一些小的網(wǎng)絡(luò)，每一個網(wǎng)段的集線器被連接到一個交換器(Switch) (Switch) 上，所以數(shù)據(jù)包只能在該網(wǎng)段的內(nèi)部被網(wǎng)絡(luò)監(jiān)聽器截獲，這樣網(wǎng)絡(luò)的剩余部分（不在同一網(wǎng)段）便被保護(hù)了。網(wǎng)絡(luò)有三種網(wǎng)絡(luò)設(shè)備是嗅探器不可能跨過的：交換機(jī)、路由器、網(wǎng)橋。我們可以通過靈活的運(yùn)用

22、這些設(shè)備來進(jìn)行網(wǎng)絡(luò)分段。484848劃分VLANVLAN：使得網(wǎng)絡(luò)隔離不必要的數(shù)據(jù)傳送，一般可以采用2020個工作站為一組，這是一個比較合理的數(shù)字。網(wǎng)絡(luò)分段只適應(yīng)于中小的網(wǎng)絡(luò)。網(wǎng)絡(luò)分段需要昂貴的硬件設(shè)備。2 2、數(shù)據(jù)加密、數(shù)據(jù)加密一種是建立各種數(shù)據(jù)傳輸加密通道：正常的數(shù)據(jù)都是通過事先建立的通道進(jìn)行傳輸?shù)?，以往許多應(yīng)用協(xié)議中明文傳輸?shù)馁~號、口令的敏感信息將受到嚴(yán)密保護(hù)。目前的數(shù)據(jù)加密通道方式主要有SSH SSH 、SSL(Secure SSL(Secure Socket LayerSocket Layer，安全套接字應(yīng)用層) )和VPNVPN。494949另一種是對于數(shù)據(jù)內(nèi)容的加密：主要采用的是

23、將目前被證實(shí)的較為可靠的加密機(jī)制對對互聯(lián)網(wǎng)上傳輸?shù)泥]件和文件進(jìn)行加密。5050505.3 5.3 共享網(wǎng)絡(luò)下的防監(jiān)聽共享網(wǎng)絡(luò)下的防監(jiān)聽雖然共享式局域網(wǎng)中的嗅探很隱蔽，但是可以通過以下兩個特征來檢測網(wǎng)絡(luò)中是否有人在進(jìn)行嗅探： 網(wǎng)絡(luò)通訊丟包率非常高 網(wǎng)絡(luò)帶寬出現(xiàn)反常檢測技術(shù)： 網(wǎng)絡(luò)和主機(jī)響應(yīng)時間測試 ARP檢測（如AntiSniff 工具）515151嗅探器為了能夠截獲網(wǎng)絡(luò)上所有的分組，必須把網(wǎng)絡(luò)接口卡設(shè)置為混雜模式。在混雜模式下，網(wǎng)卡不會阻塞目的地址不是自己的分組，而是照單全收，并將其傳送給系統(tǒng)內(nèi)核。然后，系統(tǒng)內(nèi)核會返回包含錯誤信息的報文?；谶@種機(jī)制，我們可以假造一些ARPARP請求報文發(fā)送到

24、網(wǎng)絡(luò)上的各個節(jié)點(diǎn)，沒有處于混雜模式的網(wǎng)卡會阻塞這些報文，但是如果某些節(jié)點(diǎn)有回應(yīng)，就表示這些節(jié)點(diǎn)的網(wǎng)卡處于混雜模式下。這些處于混雜模式的節(jié)點(diǎn)就可能運(yùn)行嗅探器程序。525252六、六、WEBWEB攻擊與防御攻擊與防御6.1 WEB6.1 WEB安全概述安全概述在InternetInternet大眾化及WebWeb技術(shù)飛速演變的今天，在線安全所面臨的挑戰(zhàn)日益嚴(yán)峻。伴隨著在線信息和服務(wù)的可用性的提升，以及基于WebWeb的攻擊和破壞的增長，安全風(fēng)險達(dá)到了前所未有的高度。 WebWeb安全可以從以下三個方面進(jìn)行考慮： Web服務(wù)器的安全 Web客戶端的安全 Web通信信道的安全5353531 1、WEB

25、WEB服務(wù)器安全服務(wù)器安全（1）服務(wù)器程序編寫不當(dāng)導(dǎo)致的緩沖區(qū)溢出（Buffer Overflow）并由此導(dǎo)致遠(yuǎn)程代碼執(zhí)行。（2）腳本程序編寫不當(dāng)、過濾不嚴(yán)格造成的數(shù)據(jù)庫查詢語句注入（SQL Injection），可能引起信息泄漏、文件越權(quán)下載、驗(yàn)證繞過、遠(yuǎn)程代碼執(zhí)行等。（3）樂觀相信用戶輸入、過濾不嚴(yán)導(dǎo)致跨站腳本攻擊（Cross SiteScript），在欺騙管理員的前提下，通過精心設(shè)計(jì)的腳本獲得服務(wù)端Shell。（4）針對服務(wù)器系統(tǒng)的拒絕服務(wù)攻擊（Denial of Service）5454542 2、WEBWEB客戶端的安全：客戶端的安全：WebWeb應(yīng)用的迅速普及，客戶端交互能力獲得了

26、極為充分的發(fā)揮，客戶端的安全也成為WebWeb安全的焦點(diǎn)問題。Java AppletJava Applet、ActiveXActiveX、CookieCookie等技術(shù)大量被使用，當(dāng)用戶使用瀏覽器查看、編輯網(wǎng)絡(luò)內(nèi)容時，采用了這些技術(shù)的應(yīng)用程序會自動下載并在客戶機(jī)上運(yùn)行，如果這些程序被惡意使用，可以竊取、改變或刪除客戶機(jī)上的信息。瀏覽網(wǎng)頁所使用的瀏覽器存在眾多已知或者未知的漏洞，攻擊者可以寫一個利用某個漏洞的網(wǎng)頁，并掛上木馬，當(dāng)用戶訪問了這個網(wǎng)頁之后，就中了木馬。這就是網(wǎng)頁木馬，簡稱網(wǎng)馬。555555同時，跨站腳本攻擊(XSS)(XSS)對于客戶端的安全威脅同樣無法忽視，利用XSSXSS的Web

27、Web蠕蟲已經(jīng)在網(wǎng)絡(luò)中肆虐過。3 3、WebWeb通信信道的安全 和其他的InternetInternet應(yīng)用一樣，WebWeb信道同樣面臨著網(wǎng)絡(luò)嗅探(Sniffer)(Sniffer)和以擁塞信道、耗費(fèi)資源為目的的拒絕服務(wù)攻擊(Denial of Service)(Denial of Service)的威脅。5656566.26.2跨站攻擊（跨站攻擊（XSSXSS）1 1、定義：、定義：XSSXSS是跨站腳本攻擊(Cross Site Script) (Cross Site Script) 。它指的是惡意攻擊者往WebWeb頁面里插入惡意htmlhtml代碼，當(dāng)用戶瀏覽該網(wǎng)頁時，嵌入其中WebWeb里面的htmlhtml代碼會被執(zhí)行，從而達(dá)到惡意攻擊用戶的特殊目的。2 2、危害：、危害：XSSXSS攻擊可以搜集用戶信息，攻擊者通常會在有漏洞的程序中插入JavaScriptJavaScript、VBScriptVBScript、ActiveXActiveX或Flash