《計(jì)算機(jī)網(wǎng)絡(luò)》課件第6章

6.1網(wǎng)絡(luò)安全概述6.2密碼技術(shù)6.3防火墻技術(shù)6.4WindowsServer2008的安全保護(hù)及模型*6.5常見(jiàn)的黑客工具及攻擊方法*6.6黑客攻擊的一般步驟和實(shí)例*6.7網(wǎng)絡(luò)病毒與防治6.8本章小結(jié)練習(xí)題第6章計(jì)算機(jī)網(wǎng)絡(luò)的安全性

6.1網(wǎng)絡(luò)安全概述

6.1.1計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)缺陷

計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)缺陷包括兩方面的內(nèi)容：

(1)物理結(jié)構(gòu)的設(shè)計(jì)缺陷。局域網(wǎng)采用廣播式網(wǎng)絡(luò)結(jié)構(gòu)，所有主機(jī)發(fā)送的信息可以被同一個(gè)網(wǎng)絡(luò)中的其他主機(jī)監(jiān)聽(tīng)；廣域網(wǎng)和Internet上的中繼設(shè)備(如路由器)可以監(jiān)聽(tīng)所有網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)的信息。

(2)網(wǎng)絡(luò)系統(tǒng)的漏洞、協(xié)議的缺陷與后門(mén)。一些網(wǎng)絡(luò)協(xié)議(如TCP/IP協(xié)議)在實(shí)現(xiàn)上力求實(shí)效，而沒(méi)有考慮安全因素。網(wǎng)絡(luò)操作系統(tǒng)過(guò)于龐大，存在致命的安全漏洞。有時(shí)網(wǎng)絡(luò)公司為了某些目的，在系統(tǒng)中設(shè)有安全后門(mén)，也造成了網(wǎng)絡(luò)安全隱患。

1．物理網(wǎng)絡(luò)結(jié)構(gòu)易被竊聽(tīng)

1)廣播式網(wǎng)絡(luò)的安全問(wèn)題

當(dāng)今大多數(shù)局域網(wǎng)采用以太網(wǎng)方式，以太網(wǎng)上的所有設(shè)備都連在以太網(wǎng)總線上，它們共享同一個(gè)通信通道。以太網(wǎng)采用的是廣播式通信，如圖6-1所示，廣播式通信網(wǎng)絡(luò)的特點(diǎn)是在通信子網(wǎng)中只有一個(gè)公共通信信道，為所有節(jié)點(diǎn)共享使用，任一時(shí)刻只允許一個(gè)節(jié)點(diǎn)使用公用信道。圖6-1廣播式網(wǎng)絡(luò)易被監(jiān)聽(tīng)

2)點(diǎn)?-?點(diǎn)網(wǎng)絡(luò)的安全問(wèn)題

Internet和大部分廣域網(wǎng)采用點(diǎn)?-?點(diǎn)方式通信，在這種網(wǎng)絡(luò)中，任何一段物理鏈路都惟一連接一對(duì)節(jié)點(diǎn)，如果不在同一段物理鏈路的一對(duì)節(jié)點(diǎn)要通信，必須通過(guò)其他節(jié)點(diǎn)進(jìn)行分組轉(zhuǎn)發(fā)。進(jìn)行分組轉(zhuǎn)發(fā)的節(jié)點(diǎn)就可以竊聽(tīng)網(wǎng)間傳送的數(shù)據(jù)，如圖6-2所示。圖6-2點(diǎn)?-?點(diǎn)式網(wǎng)絡(luò)轉(zhuǎn)節(jié)點(diǎn)上易被監(jiān)聽(tīng)

2．TCT/IP網(wǎng)絡(luò)協(xié)議的設(shè)計(jì)缺陷

下面是現(xiàn)存的TCP/IP協(xié)議的一些安全缺陷：

1)容易被竊聽(tīng)和欺騙

2)脆弱的TCP/IP服務(wù)

3)缺乏安全策略

4)配置的復(fù)雜性

6.1.2計(jì)算機(jī)網(wǎng)絡(luò)安全性概念

計(jì)算機(jī)網(wǎng)絡(luò)的重要功能是資源共享和通信。由于用戶共處在同一個(gè)大環(huán)境中，因此信息的安全和保密問(wèn)題也就十分重要，計(jì)算機(jī)網(wǎng)絡(luò)上的用戶對(duì)此也特別關(guān)注。

6.2密碼技術(shù)

密碼技術(shù)通過(guò)信息的變換或編碼，將機(jī)密的敏感消息變換成黑客難以讀懂的亂碼型文字，以此達(dá)到兩個(gè)目的：其一，使不知道如何解密的黑客不可能從其截獲的亂碼中得到任何有意義的信息；其二，使黑客不可能偽造任何亂碼型的信息。

密碼技術(shù)有五大基本要素：

(1)明文：信息的原始形式(Plaintext，通常記為P)。

(2)密文：明文經(jīng)過(guò)變換加密后的形式(Ciphertext，通常記為C)。

(3)加密：由明文變成密文的過(guò)程稱為加密(Enciphering，記為E)，加密通常由加密算法來(lái)實(shí)現(xiàn)的。

(4)解密：由密文還原成明文的過(guò)程稱為解密(Deciphering，記為D)，解密通常由解密算法來(lái)實(shí)現(xiàn)的。

(5)密鑰：為了有效地控制加密和解密算法實(shí)現(xiàn)，在其處理過(guò)程中要有通信雙方掌握的專門(mén)信息參與，這種專門(mén)信息稱為密鑰(Key，記為K)。

一般的加密與解密模型如圖6-3所示。圖6-3加密-解密模型6.2.1密碼技術(shù)的發(fā)展歷程

人類有記載的通信密碼始于公元前400多年，當(dāng)時(shí)的古希臘人發(fā)明了置換密碼。密碼技術(shù)從其發(fā)展來(lái)看，可分為傳統(tǒng)密碼技術(shù)和現(xiàn)代密碼技術(shù)。6.2.2傳統(tǒng)的加密方法

傳統(tǒng)的加密方法其密鑰是由簡(jiǎn)單的字符串組成的，它可選擇許多加密形式中的一種。只要有必要，就可經(jīng)常改變密鑰。因此，上述基本模型是穩(wěn)定的，是人所共知的。它的好處就在于可以秘密而又方便地變換密鑰，從而達(dá)到保密的目的，傳統(tǒng)的加密方法可分為兩大類：代換密碼法和轉(zhuǎn)換密碼法。

1．代換密碼法

在代換密碼(SubstitutionCipher)中，為了偽裝掩飾每一個(gè)字母或一組字母，通常都將字母用另一個(gè)字母或另一組字母代換。古老的愷撒密碼術(shù)就是如此，它把a(bǔ)變成D，b變成E，c變?yōu)镕……z變?yōu)镃，即將明文的字母移位若干字母而形成密文。例如，attack變成DWWDFN。本例中只移3個(gè)字母，實(shí)際上移幾位可由設(shè)計(jì)者來(lái)定。進(jìn)一步改進(jìn)的方法是：把明文的每一個(gè)字母一一映射到其他字母上。例如：

明文：abcdefghijklmnopqrstuvwxyz

密文：QWERTYUIOPASDFGHJKLZXCVBNM例如，COOKIEMONSTER。為把較長(zhǎng)明文譯成密碼，可重復(fù)地把密鑰寫(xiě)在明文上方，例如：

COOKIEMONSTERCOOKIEMQNSTERCOOKIEMONSTERCOOKIEMO

fourscoreandsevenyearsagoourmothersbroughtforth

2．轉(zhuǎn)換密碼方法

代換密碼法的實(shí)質(zhì)就是保持明文的次序，而把明文字符隱藏起來(lái)。轉(zhuǎn)換密碼法采用重新安排字母次序的方法，而不是隱藏它們。

下面舉一個(gè)進(jìn)行列轉(zhuǎn)換的例子：明文：

pleasetransferonemilliondo11arstomyswissbankaccountsixtwotwo

密文：

AFLLSKSOSELAWAIATOOSSCTCLNMOMANT

ESILYNTWRNNTSOWDPAEDOBUOERIRICXB*6.2.3數(shù)據(jù)加密標(biāo)準(zhǔn)

1．概述

在傳統(tǒng)的加密方法中，要求加密算法和密鑰保密，這不利于在密碼技術(shù)領(lǐng)域使用計(jì)算機(jī)，因?yàn)槊總€(gè)加密算法需要編寫(xiě)處理程序，并且該程序必須保密。為此提出了數(shù)據(jù)加密處理算法標(biāo)準(zhǔn)化的問(wèn)題。

1972年和1974年美國(guó)國(guó)家標(biāo)準(zhǔn)局(NBS)先后兩次向公眾發(fā)出了征求加密算法的公告。對(duì)加密算法要求達(dá)到以下幾點(diǎn)：

(1)必須提供高度的安全性。

(2)具有相當(dāng)高的復(fù)雜性，使得破譯的開(kāi)銷超過(guò)可能獲得的利益，同時(shí)又便于理解和掌握。

(3)安全性應(yīng)不依賴于算法的保密，其加密的安全性僅以加密密鑰的保密為基礎(chǔ)。

(4)必須適用于不同的用戶和不同的場(chǎng)合。

(5)實(shí)現(xiàn)經(jīng)濟(jì)，運(yùn)行有效。

(6)必須能夠驗(yàn)證，允許出口。

20世紀(jì)末，隨著差分密碼分析及線性密碼分析等技術(shù)的出現(xiàn)，破譯DES成為可能。1997年，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NITS)宣布舉行了一個(gè)高級(jí)加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard,AES)的競(jìng)賽，要求新參賽的加密算法具有以下功能：

(1)密鑰大小可變，能支持128位、192位和256位密鑰長(zhǎng)度。

(2)能同時(shí)支持軟件和硬件兩種實(shí)現(xiàn)方式。

(3)是對(duì)稱的加密算法。

2．?dāng)?shù)據(jù)加密標(biāo)準(zhǔn)DES

DES加密算法如圖6-4所示，64位數(shù)據(jù)經(jīng)初始變換后被置換。密鑰被去掉其第8，16，24，……，64位后減至56位(去掉的那些位被視為奇偶校驗(yàn)位，不含密鑰信息)，然后就開(kāi)始各輪的運(yùn)算。64位經(jīng)過(guò)初始置換的數(shù)據(jù)被分為左、右兩部分，56位密鑰經(jīng)過(guò)左移若干位和置換后取出48位密鑰子集供不同的圈使用，用作加密的密鑰比特子集記為K(1)，K(2)，…，K(16)。圖6-4DES加密算法在每一輪迭代過(guò)程中，如圖6-5所示，密鑰子集中的一個(gè)子密鑰K(i)與數(shù)據(jù)的右半部分相結(jié)合。為了將輸入數(shù)據(jù)的右半部分32位數(shù)據(jù)與56位的密鑰相結(jié)合，需要兩個(gè)變換：圖6-5DES加密原理一次迭代示意圖

3．高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)AES

AES每一次加密計(jì)算都包括以下4種操作：

(1)字節(jié)替換(ByteSub)：用一張稱為“S盒”的固定表來(lái)執(zhí)行字節(jié)到字節(jié)的替換。

(2)行移位置換(ShiftRow)：行與行之間進(jìn)行簡(jiǎn)單的置換。

(3)列混淆替換(MixColumn)：列中每一個(gè)字節(jié)替換成該列所有字節(jié)的一個(gè)函數(shù)。

(4)輪密鑰加(AddRoundKey)：用當(dāng)前的數(shù)據(jù)塊與擴(kuò)充密鑰的一部分進(jìn)行運(yùn)算。

圖6-6演示了一次加密計(jì)算。圖6-6Rijindael多次加密原理圖*6.2.4公開(kāi)密鑰加密算法

1．公開(kāi)密鑰加密算法的特點(diǎn)

此算法需有以下三個(gè)條件：

(1)?D(E(P))?=?P。

(2)由E來(lái)推斷D極其困難。

(3)用已選定的明文進(jìn)行分析，不能破譯E。現(xiàn)在考慮，A和B二者以前從未有過(guò)聯(lián)系，而今要想在A和B之間建立保密信道。A所確定的加密密鑰為PKA，B的加密密鑰為PKB，并將PKA和PKB放在網(wǎng)絡(luò)的公用可讀文件內(nèi)?，F(xiàn)在A欲發(fā)報(bào)文P給B，首先算得EPKB(P)，并把它發(fā)送給B，然后B使用其解密密鑰DSKB進(jìn)行解密，計(jì)算得到DSKB(EPKB(P))=P,而沒(méi)有其他人能讀懂密文EPKB(P)。這種密碼體制稱為公開(kāi)密鑰密碼體制，如圖6-7所示。圖6-7公開(kāi)密鑰密碼體制

2．使用公開(kāi)密鑰加密算法進(jìn)行數(shù)字簽名

書(shū)信或文件是根據(jù)親筆簽名或印章來(lái)證明其真實(shí)性的。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的文件又如何蓋章呢?這就是數(shù)字簽名所要解決的問(wèn)題。數(shù)字簽名必須保證以下三點(diǎn)：

(1)接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名。

(2)發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名。

(3)接收者不能偽造對(duì)報(bào)文的簽名。發(fā)送者A用其秘密解密密鑰SKA對(duì)報(bào)文P進(jìn)行運(yùn)算，將結(jié)果DSKA(P)傳送給接收者B。(讀者可能要問(wèn)：報(bào)文P還沒(méi)有加密，怎么能夠進(jìn)行解密呢?其實(shí)“解密”僅僅是一個(gè)數(shù)學(xué)運(yùn)算。發(fā)送者此時(shí)的運(yùn)算并非想將報(bào)文X加密，而是為了進(jìn)行數(shù)字簽名)。B用已知的A的公開(kāi)加密密鑰得出EPKA(DSKA(P))?=?P。因?yàn)槌鼳外沒(méi)有別人能具有A的解密密鑰SKA，所以除A外沒(méi)有別人能產(chǎn)生密文DSKA(P)。這樣，B就相信報(bào)文P是A簽名發(fā)送的。實(shí)現(xiàn)數(shù)字簽名的過(guò)程如圖6-8所示。圖6-8數(shù)字簽名的實(shí)現(xiàn)若A要抵賴曾發(fā)送報(bào)文給B，B可將P及DSKA(P)出示給第三者。第三者很容易用PKA去證實(shí)A確實(shí)發(fā)送P給B。反之，若B將P偽造成P‘，則B不能在第三者前出示DSKA(P’)。這樣就證明B偽造了報(bào)文?？梢?jiàn)實(shí)現(xiàn)數(shù)字簽名也同時(shí)實(shí)現(xiàn)了對(duì)報(bào)文來(lái)源的鑒別。

上述過(guò)程僅對(duì)報(bào)文進(jìn)行了簽名。對(duì)報(bào)文P本身卻未保密。因?yàn)榻氐矫芪腄SKA(P)并知道發(fā)送者身份的任何人，通過(guò)查閱手冊(cè)即可獲得發(fā)送者的公開(kāi)密鑰PKA，因而能理解電文內(nèi)容。若采用圖6-9所示的方法，則可同時(shí)實(shí)現(xiàn)秘密通信和數(shù)字簽名。圖中SKA和SKB分別為A和B的秘密密鑰，而PKA和PKB分別為A和B的公開(kāi)密鑰。圖6-9具有保密性的數(shù)字簽名*6.2.5報(bào)文鑒別

目前，大多使用報(bào)文摘要MD(MessageDigest)算法來(lái)進(jìn)行報(bào)文鑒別。其主要原理如圖6-10所示：

(1)發(fā)送方將待發(fā)送的可變長(zhǎng)報(bào)文m經(jīng)過(guò)MD算法運(yùn)算得出固定長(zhǎng)度的報(bào)文摘要H(m)；

(2)對(duì)H(m)加密生成密文EK(H(m))附加在報(bào)文m之后；

(3)接收端收到報(bào)文m和報(bào)文摘要密文EK(H(m))后，將報(bào)文摘要密文EK(H(m))解密還原成H(m)；

(4)同時(shí)在接收端將收到的報(bào)文m經(jīng)過(guò)MD算法運(yùn)算得出的報(bào)文摘要與H(m)比較，若不相同，則可斷定收到的報(bào)文不是發(fā)送端產(chǎn)生的。圖6-10報(bào)文鑒別原理要做到不可偽造，MD算法必須滿足以下兩個(gè)條件：

(1)任給一個(gè)報(bào)文摘要值x，若想找到一個(gè)報(bào)文y使得H(y)=x在計(jì)算上(不可計(jì)算是指從算法想得到結(jié)果，其時(shí)間代價(jià)之高是無(wú)法承受的)不可行；

(2)若想找到任意兩個(gè)報(bào)文x和y，使得H(x)=H(y)在計(jì)算上不可行。6.2.6密鑰管理與分配

假設(shè)有兩個(gè)用戶A和B都是KDC的注冊(cè)用戶，他們擁有與KDC通信的秘密密鑰SKA-KDC和SKB-KDC，現(xiàn)在A想與B通過(guò)對(duì)稱密鑰加密算法通信，要求KDC分配這次通信的臨時(shí)密鑰，則KDC分配密鑰的過(guò)程如圖6-11所示。圖6-11KDC分配一次對(duì)稱密鑰過(guò)程

6.3防?火?墻?技?術(shù)

6.3.1防火墻技術(shù)概述

1．防火墻的基本概念

如圖6-12所示，在網(wǎng)絡(luò)中，防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和鏈接方式按照一定的安全策略進(jìn)行檢查，來(lái)決定網(wǎng)絡(luò)之間的通信是否被允許。其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)，另一方則稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。它能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問(wèn)及數(shù)據(jù)傳送，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問(wèn)和過(guò)濾不良信息的目的。圖6-12防火墻一個(gè)好的防火墻系統(tǒng)應(yīng)具有三方面的特性：

(1)所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻。

(2)只有被授權(quán)的合法數(shù)據(jù)即防火墻系統(tǒng)中安全策略允許的數(shù)據(jù)可以通過(guò)防火墻。

(3)防火墻本身不受各種攻擊的影響。

2.防火墻的基本準(zhǔn)則

1)過(guò)濾不安全服務(wù)

2)過(guò)濾非法用戶和訪問(wèn)特殊站點(diǎn)

3．防火墻的分類

目前，根據(jù)防火墻在ISO/OSI模型中的邏輯位置和網(wǎng)絡(luò)中的物理位置及其所具備的功能，可以將其分為兩大類，基本型防火墻和復(fù)合型防火墻?；拘头阑饓τ邪^(guò)濾路由器和應(yīng)用型防火墻。復(fù)合防火墻將以上兩種基本型防火墻結(jié)合使用，主要包括主機(jī)屏蔽防火墻和子網(wǎng)屏蔽防火墻。下面對(duì)這四種常見(jiàn)的防火墻進(jìn)行論述。

1)包過(guò)濾路由器(PacketFilters)

2)應(yīng)用型防火墻(ApplicationGateway)

3)主機(jī)屏蔽防火墻(ScreenedHostFirewall)

4)子網(wǎng)屏蔽防火墻(ScreenedSubactFirewall)

4．防火墻的安全標(biāo)準(zhǔn)

防火墻技術(shù)發(fā)展很快，但是現(xiàn)在標(biāo)準(zhǔn)尚不健全，導(dǎo)致各大防火墻產(chǎn)品供應(yīng)商生產(chǎn)的防火墻產(chǎn)品兼容性差，給不同廠商防火墻產(chǎn)品的互連帶來(lái)了困難。為了解決這個(gè)問(wèn)題，目前已提出了兩個(gè)標(biāo)準(zhǔn)：

(1)RSA數(shù)據(jù)安全公司與一些防火墻生產(chǎn)廠商(如SunMicrosystem公司、Checkpoint公司、TIS公司等)以及一些TCP/IP協(xié)議開(kāi)發(fā)商(如FTP公司等)提出了Secure/WAN(S/WAN)標(biāo)準(zhǔn)。它能使在IP層上由支持?jǐn)?shù)據(jù)加密技術(shù)的不同廠家生產(chǎn)的防火墻和TCP/IP協(xié)議具有互操作性，從而解決了建立虛擬專用網(wǎng)(VPN)的一個(gè)主要障礙。

此標(biāo)準(zhǔn)包含兩個(gè)部分：

·防火墻中采用的信息加密技術(shù)一致，即加密算法、安全協(xié)議一致，使得遵循此標(biāo)準(zhǔn)生產(chǎn)的防火墻產(chǎn)品能夠?qū)崿F(xiàn)無(wú)縫互連，但又不失去加密功能；

·安全控制策略的規(guī)范性、邏輯上的正確合理性，避免了由于各大防火墻廠商推出的防火墻產(chǎn)品在安全策略上的漏洞而對(duì)整個(gè)內(nèi)部保護(hù)網(wǎng)絡(luò)產(chǎn)生的危害。

(2)美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)NCSA(NationalComputerSecurityAssociation)成立的防火墻開(kāi)發(fā)商FWPD(FirewallProductDeveloper)聯(lián)盟制訂的防火墻測(cè)試標(biāo)準(zhǔn)。

5．防火墻的發(fā)展趨勢(shì)

考慮到Internet發(fā)展的迅猛勢(shì)頭和防火墻產(chǎn)品的更新步伐，要全面展望防火墻技術(shù)的發(fā)展幾乎是不可能的。但是，從產(chǎn)品及功能上卻又可以看出一些動(dòng)向和趨勢(shì)，防火墻產(chǎn)品下一步的走向和選擇如下：

(1)防火墻將從目前對(duì)子網(wǎng)或內(nèi)部網(wǎng)管理的方式向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展。

(2)過(guò)濾深度不斷加強(qiáng)，從目前的地址、服務(wù)過(guò)濾，發(fā)展到URL(頁(yè)面)過(guò)濾，關(guān)鍵字過(guò)濾和對(duì)ActiveX、Java等的過(guò)濾，并逐漸具有病毒掃除功能。

(3)利用防火墻建立專用網(wǎng)(VPN是較長(zhǎng)一段時(shí)間內(nèi)用戶使用的主流)，IP加密需求越來(lái)越強(qiáng)，安全協(xié)議的開(kāi)發(fā)是一大熱點(diǎn)。

(4)單向防火墻(又叫網(wǎng)絡(luò)二極管)將作為一種產(chǎn)品門(mén)類而出現(xiàn)。

(5)對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和各地告警將成為防火墻的重要功能。

(6)安全管理工具不斷完善，特別是可疑活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分。6.3.2深度檢測(cè)防火墻

深度檢測(cè)防火墻深入分析了TCP或UDP數(shù)據(jù)包的內(nèi)容，以便對(duì)負(fù)載有一個(gè)總體認(rèn)識(shí)。新的深度檢測(cè)技術(shù)仍在不斷出現(xiàn)，以實(shí)現(xiàn)不同的深度檢測(cè)功能。高級(jí)深度檢測(cè)技術(shù)一般具有以下四個(gè)方面的特征：

(1)應(yīng)用層加密/解密。

(2)正?；?。

(3)協(xié)議一致性。

(4)雙向負(fù)載檢測(cè)。6.4WindowsServer2008的安全保護(hù)及模型

6.4.1WindowsServer2008系統(tǒng)安全模型

1.WindowsServer2008的用戶登錄管理

WindowsServer2008要求每個(gè)用戶使用惟一的用戶名和口令登錄到計(jì)算機(jī)上，這種登錄過(guò)程不能關(guān)閉。在沒(méi)有用戶登錄時(shí)，可以看到屏幕上顯示一個(gè)對(duì)話框，提示用戶登錄WindowsServer2008系統(tǒng)。實(shí)際上，WindowsServer2008系統(tǒng)中有一個(gè)登錄進(jìn)程，它保存在\WINNT\

SYSTEM32\Winlogon.exe文件中。當(dāng)用戶開(kāi)始登錄時(shí)，按下Ctrl?+?Alt?+?Del鍵，系統(tǒng)啟動(dòng)登錄進(jìn)程執(zhí)行Winlogon.exe文件，彈出登錄對(duì)話框(如圖6-13所示)，要求用戶輸入用戶名及口令。按下Ctrl?+?Alt?+?Del鍵時(shí)，系統(tǒng)保證彈出的登錄對(duì)話框是系統(tǒng)本身的，而不是一個(gè)貌似登錄對(duì)話框的應(yīng)用程序，以防止被非法竊取用戶名及口令。圖6-13WindowsServer2008的登錄窗口存取標(biāo)識(shí)中的主要內(nèi)容有：

(1)用戶名以及SID。

(2)用戶所屬的組及組SID。

(3)用戶對(duì)系統(tǒng)所具有的權(quán)力。

2.WindowsServer2008的資源訪問(wèn)控制機(jī)制

根據(jù)需要選擇的存取控制，使資源擁有者可以控制網(wǎng)絡(luò)用戶存取他們的資源以及能存取的權(quán)限。通過(guò)對(duì)程序控制列表(ACL)的控制，能確定授予用戶和組的存取權(quán)限。系統(tǒng)資源包括系統(tǒng)本身、文件、目錄和打印機(jī)等網(wǎng)絡(luò)共享資源以及其他對(duì)象。6.4.2WindowsServer2008安全漏洞

沒(méi)有絕對(duì)安全且沒(méi)有漏洞的操作系統(tǒng)，WindowsServer2008系統(tǒng)也是一樣。盡管WindowsServer2008系統(tǒng)的安全性能已經(jīng)很好了，但這并不意味著其自身已經(jīng)沒(méi)有任何安全漏洞。這里舉幾個(gè)帶來(lái)嚴(yán)重問(wèn)題的安全漏洞：

(1)虛擬內(nèi)存漏洞。

(2)系統(tǒng)日志漏洞。

(3)應(yīng)用程序漏洞。

(4)系統(tǒng)轉(zhuǎn)存漏洞。

(5)網(wǎng)絡(luò)發(fā)現(xiàn)漏洞。

(6)特權(quán)賬號(hào)漏洞。6.4.3WindowsServer2008的安全管理

1．組策略

2．網(wǎng)絡(luò)策略和訪問(wèn)服務(wù)

3．網(wǎng)絡(luò)訪問(wèn)保護(hù)

4．帶高級(jí)安全的Windows防火墻

*6.5常見(jiàn)的黑客工具及攻擊方法

6.5.1網(wǎng)絡(luò)監(jiān)聽(tīng)

網(wǎng)絡(luò)監(jiān)聽(tīng)是黑客在局域網(wǎng)或路由器上進(jìn)行的一項(xiàng)黑客技術(shù)，可以很容易地獲得用戶的密碼和賬號(hào)。

網(wǎng)絡(luò)監(jiān)聽(tīng)原本是網(wǎng)絡(luò)管理員使用的一個(gè)工具，主要用來(lái)監(jiān)視網(wǎng)絡(luò)的流量、狀態(tài)、數(shù)據(jù)等信息。它對(duì)網(wǎng)絡(luò)上流經(jīng)自己網(wǎng)段的所有數(shù)據(jù)進(jìn)行接收，從中發(fā)現(xiàn)用戶的有用信息。

1．什么是以太網(wǎng)Sniffing

以太網(wǎng)Sniffing是指對(duì)以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進(jìn)行偵聽(tīng)，發(fā)現(xiàn)感興趣的包。如果發(fā)現(xiàn)符合條件的包，就把它存到一個(gè)log文件中去。通常設(shè)置的這些條件是包含字“username”或“password”的包。它的目的是將網(wǎng)絡(luò)層放到Promiscuous模式。Promiscuous模式是指網(wǎng)絡(luò)上的所有設(shè)備都對(duì)總線上傳送的數(shù)據(jù)進(jìn)行偵聽(tīng)，而不僅僅偵聽(tīng)自己的數(shù)據(jù)。

2.怎樣在網(wǎng)絡(luò)上發(fā)現(xiàn)一個(gè)Sniffer

網(wǎng)絡(luò)監(jiān)聽(tīng)采用被動(dòng)的方式，它不與其他主機(jī)交換信息，也不修改密碼，這就使對(duì)監(jiān)聽(tīng)者的追蹤變得十分困難，因?yàn)樗麄兏緵](méi)有留下任何痕跡。一個(gè)主要的辦法是看看計(jì)算機(jī)上當(dāng)前正在運(yùn)行的所有程序，這通常并不可靠，但用戶能控制哪個(gè)程序可以在計(jì)算機(jī)上運(yùn)行。

3．怎樣防止Sniffer

要防止Sniffer并不困難，有許多可以選用的方法，但關(guān)鍵是需要增加開(kāi)銷。用戶最關(guān)心的是一些比較敏感的數(shù)據(jù)的安全，如用戶ID或口令等。有些數(shù)據(jù)是沒(méi)有經(jīng)過(guò)處理的，一旦被Sniffer，對(duì)方就能獲得這些信息。解決這些問(wèn)題的辦法是加密。加密一般采用SSH，SSH又稱SecureShell，是一個(gè)在應(yīng)用程序中提供安全通信的協(xié)議。它是建立在客戶機(jī)/服務(wù)器模型上。SSH服務(wù)器分配的端口是22。連接是通過(guò)使用一種來(lái)自RSA的算法建立的。在授權(quán)完成后，接下來(lái)的通信數(shù)據(jù)是用IDEA技術(shù)來(lái)加密的，加密功能較強(qiáng)，適合于任何非秘密和非經(jīng)典的通信。6.5.2端口掃描

在OSI/RM模型的傳輸層上，計(jì)算機(jī)通過(guò)端口進(jìn)行通信和提供服務(wù)，一個(gè)端口就是一個(gè)潛在的通信通道，也就是一個(gè)入侵通道。對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描，能得到許多有用的信息。進(jìn)行掃描的方法很多，可以手工掃描，也可以用端口掃描軟件進(jìn)行。

1．Ping命令

Ping命令經(jīng)常用來(lái)對(duì)TCP/IP網(wǎng)絡(luò)進(jìn)行診斷。通過(guò)目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)數(shù)據(jù)包，讓它將這個(gè)數(shù)據(jù)包反送回來(lái)。如果返回的數(shù)據(jù)包和發(fā)送的數(shù)據(jù)包一致，那就是說(shuō)Ping命令成功了。通過(guò)這樣對(duì)返回的數(shù)據(jù)進(jìn)行分析，就能判斷計(jì)算機(jī)是否開(kāi)機(jī)，或者這個(gè)數(shù)據(jù)包從發(fā)送到返回需要多少時(shí)間。Ping命令的基本格式：

pinghostname

其中，hostname是目標(biāo)計(jì)算機(jī)的地址。Ping命令還有許多高級(jí)使用，下面就是一個(gè)例子：

C:>ping-fhostname這條命令給目標(biāo)機(jī)器發(fā)送了大量的數(shù)據(jù)，從而使目標(biāo)計(jì)算機(jī)忙于回應(yīng)。在Windows計(jì)算機(jī)上，可使用下面的方法：

C:\windows\ping-l65510

這樣做了之后，目標(biāo)計(jì)算機(jī)有可能會(huì)掛起或重新啟動(dòng)。由于使用-l65510選項(xiàng)會(huì)產(chǎn)生一個(gè)巨大的數(shù)據(jù)包，同時(shí)要求對(duì)方的機(jī)器返回一個(gè)同樣大小的數(shù)據(jù)包，因而會(huì)使目標(biāo)計(jì)算機(jī)反應(yīng)不過(guò)來(lái)。

2．Tracert命令

Tracert命令用來(lái)跟蹤一個(gè)消息從一臺(tái)計(jì)算機(jī)到另一臺(tái)計(jì)算機(jī)所走的路徑。在DOS窗口中，Tracert命令舉例如下：

3．Host命令

Host是一個(gè)UNIX命令，它的功能和標(biāo)準(zhǔn)的nslookup查詢一樣。惟一的區(qū)別是Host命令比較容易理解。Host命令的危險(xiǎn)性相當(dāng)大，下面舉實(shí)例演示一次對(duì)的Host查詢。

host-l-v-tany該命令的執(zhí)行結(jié)果所得到的信息很多，包括操作系統(tǒng)、機(jī)器和網(wǎng)絡(luò)的數(shù)據(jù)。先看一下基本信息：這些信息本身并沒(méi)有危險(xiǎn)，只是一些機(jī)器和它們的DNS服務(wù)器的名字。這些信息可以用WHOIS或在注冊(cè)域名的站點(diǎn)中檢索到。但看看下面幾行信息：

86400INHINFOSUN-SPARCSTATION-10/41UNIX

...............

ODIE.86400INHINFODEC-ALPHA-3000/300LXOSF1從這里，我們馬上就發(fā)現(xiàn)一臺(tái)DECAlpha運(yùn)行的是OSF1操作系統(tǒng)。再看看：6.5.3口令破解

1．用戶的登錄口令認(rèn)證機(jī)制

一般比較安全的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)要求每個(gè)用戶使用惟一的用戶名和口令登錄到計(jì)算機(jī)上，這種登錄過(guò)程不能關(guān)閉。

2．口令破解的方法

黑客攻擊網(wǎng)絡(luò)時(shí)常常把破譯普通用戶的口令作為攻擊的開(kāi)始。他先用掃描工具如“Finger”協(xié)議找出網(wǎng)絡(luò)中主機(jī)上的用戶賬號(hào)，然后采用字典窮舉法生成大量的隨機(jī)密碼，一種方法是利用這些密碼登錄用戶的系統(tǒng)，如果密碼不對(duì)，就使用下一個(gè)隨機(jī)密碼，直到密碼被查出為止；另外一種方法是利用系統(tǒng)的漏洞獲取系統(tǒng)安全賬戶文件，采用口令破解器進(jìn)行破解。

3．什么是口令破解器

口令破解器是一個(gè)程序，它能將口令解譯出來(lái)，或者讓口令保護(hù)失效?？诹钇平馄饕话悴⒉皇钦嬲厝ソ獯a，因?yàn)槭聦?shí)上很多加密算法是不可逆的。也就是說(shuō)，僅僅利用被加密的數(shù)據(jù)和加密算法，不可能反解出原來(lái)未加密的數(shù)據(jù)。其實(shí)大多數(shù)口令破解器是通過(guò)嘗試一個(gè)一個(gè)的單詞，用已知的加密算法來(lái)加密這些單詞，直到發(fā)現(xiàn)一個(gè)單詞經(jīng)過(guò)加密后的結(jié)果和要解密的數(shù)據(jù)一樣，就認(rèn)為這個(gè)單詞就是要找的密碼了。

4．口令破解器是怎樣工作的

要知道口令破解器是如何工作的，主要還是要知道加密算法。正如上面所說(shuō)的，許多口令破解器是對(duì)某些單詞進(jìn)行加密，然后再比較。

5.注冊(cè)碼破解實(shí)例

破解WinZip6.3SR-1(32-bit)：

(1)在Windows95/98/2000環(huán)境下，先運(yùn)行WinICE，然后運(yùn)行WinZip，在WinZip中，選擇“Agree”→“HELP”，選擇AboutWinZip,按R，出現(xiàn)：

Username: 輸入：WinterLee

Registercode: 輸入：48319840(隨機(jī)輸入)

(2)使用Ctrl+D鍵切換到WinICE，設(shè)斷點(diǎn)，輸入：

BPXHMEMCPY，

按F5返回到WinZip中。

(3)按OK,立即被WinICE中斷。

(4)取消斷點(diǎn),輸入BD*。

(5)按F12鍵多次,按F8鍵跟蹤進(jìn)CALL004096EA中。

(6)按F10鍵多次,運(yùn)行完CALL004098C3后,輸入指令:

DAX

顯示一個(gè)字符串:45260FF8。

(7)繼續(xù)按F10鍵運(yùn)行完CALL004099E6后,輸入指令:

DAX

又顯示一個(gè)字符串:49041381。

(8)懷疑上述兩個(gè)字符串即為正確的注冊(cè)碼,重新輸入:

Username:WinerLee

Registernumber:49041381

注冊(cè)成功!用45260FF8同樣成功。

6．防止口令的破解

前面講過(guò)，口令破解的方法有兩種：一種是使用字典窮舉法利用隨機(jī)密碼登錄用戶的系統(tǒng)來(lái)查找密碼，直到密碼被查出為止；另外一種是利用系統(tǒng)的漏洞獲取系統(tǒng)安全賬號(hào)文件，采用口令破解器進(jìn)行破解。在學(xué)習(xí)選擇安全口令之前，我們根據(jù)黑客軟件產(chǎn)生隨機(jī)口令破解口令的工作原理，按照口令破譯的難易程度，即以破解需要的時(shí)間為指標(biāo)先后列出了各種危險(xiǎn)口令：

(1)使用用戶名(賬號(hào))作為口令。盡管這種方法便于記憶，可是在安全上幾乎不堪一擊。幾乎所有以破解口令為手段的黑客軟件，都首先會(huì)將用戶名作為口令的突破口，而破解這種口令幾乎不需要時(shí)間。不要以為沒(méi)有人會(huì)采用這種愚蠢的辦法，根據(jù)有經(jīng)驗(yàn)的黑客反映，在一個(gè)用戶數(shù)超過(guò)1000的計(jì)算機(jī)網(wǎng)絡(luò)中，一般可以找到10至20個(gè)這樣的用戶，而他們則成為了黑客入侵的最佳途徑。

(2)使用用戶名(賬號(hào))的變換形式作為口令。使用這種方法的用戶自以為很聰明，將用戶名顛倒或者加前后綴作為口令，既容易記憶也可以防止許多黑客軟件。不錯(cuò)，這種方法的確使相當(dāng)一部分黑客軟件無(wú)用武之地，不過(guò)那只是一些初級(jí)的軟件。一個(gè)真正優(yōu)秀的黑客軟件是完全有辦法對(duì)付的，比如，若用戶名是Yuan，那么優(yōu)秀的黑客軟件在嘗試使用Yuan作為口令之后，還會(huì)試著使用諸如Yuan123、Yuan1、Nyuaf、Nauy、Nauy123等作為口令，只要是用戶能想到的變換方法，黑客軟件也會(huì)想到，它破解這種口令只需要幾秒鐘的時(shí)間。

(3)使用自己或者親友的生日作為口令。這種口令有著很大的欺騙性，因?yàn)檫@樣往往可以得到一個(gè)6位或者8位的口令，從數(shù)學(xué)理論上來(lái)說(shuō)分別有1000000和100000000種可能，很難得到破解。其實(shí)，由于口令中表示月份的兩位數(shù)字只有1～12可以使用，表示日期的兩位數(shù)字也只有l(wèi)～31可以使用，而8位數(shù)的口令其中作為年份的4位數(shù)鐵定是19xx年，經(jīng)過(guò)這樣推理，使用生日作為口令盡管有6位甚至8位，但實(shí)際上可能的表達(dá)方式只有100?×?12?×?31?=?37200種，即使再考慮到年月日共有6種排列順序，一共也只有37200?×?6=223200種，僅僅是原來(lái)100000000的1/448，而一臺(tái)普通的P200計(jì)算機(jī)每秒可以搜索三、四萬(wàn)種排序，僅僅需要5.58秒就可以搜索完所有可能的口令。

(4)使用常用的英文單詞作為口令。這種方法比前幾種方法要安全一些。前幾種只需要時(shí)間就一定能破解，而這一種則未必。如果選用的單詞是十分偏僻的，那么黑客軟件就可能無(wú)能為力了。不過(guò)不要高興得太早，黑客一般有一個(gè)很大的字典庫(kù)，一般含10～20萬(wàn)的英文單詞以及相應(yīng)的組合，如果你不是研究英語(yǔ)的專家，那么你選擇的英文單詞恐怕十之八九可以在黑客的字典庫(kù)中找到。如果是那樣的話，以20萬(wàn)單詞的字典庫(kù)計(jì)算，再考慮到一些DES(數(shù)據(jù)加密算法)的加密運(yùn)算，每秒1800個(gè)單詞的搜索速度也不過(guò)只需要110秒。

(5)使用5位或5位以下的字符作為口令。從理論上來(lái)說(shuō)，一個(gè)系統(tǒng)包括大小寫(xiě)字母、控制符等可以作為口令的一共有95個(gè)，5位就是955?=?7?737?809?375種可能性，使用P200破解口令雖說(shuō)要多花些時(shí)間，最多也不過(guò)53個(gè)小時(shí)，如果考慮到許多用戶喜歡使用字母加數(shù)字，那么就只有625?=?916?132?832種可能性，只需要6.23小時(shí)就可以破解，再考慮到還有更多的用戶只喜歡使用小寫(xiě)字母加數(shù)字作為口令，那么就只有365?=?60?466?176種可能性，只需要25分鐘就可以破解?？梢?jiàn)5位的口令是很不可靠的，而6位口令也不過(guò)將破解的時(shí)間延長(zhǎng)到一周左右。那么，什么樣的口令才是安全的呢?選擇安全口令的原則如下：

(1)必須是8位以上。

(2)必須包括大小寫(xiě)、數(shù)字、字母，如果有控制符則更好。

(3)不要太常見(jiàn)。例如，e8B3Z6v0或者fOOL6mAN這樣的密碼都是比較安全的。

(4)密碼不應(yīng)是自己的名字、名字的一部分或者名字?+?數(shù)字的形式。

(5)不要用自己的電話號(hào)碼。

(6)不要用自己或者愛(ài)人的生日。

(7)不要用單個(gè)英文單詞。

(8)不要使用身份證號(hào)碼的一部分。

(9)不要用單詞?+?數(shù)字的形式。

(10)不要將口令寫(xiě)下來(lái)。

(11)不要將口令存于計(jì)算機(jī)文件中。

(12)不要選取顯而易見(jiàn)的信息作口令。

(13)不要在不同系統(tǒng)上使用同一口令。

(14)為防止眼明手快的人竊取口令，在輸入口令時(shí)應(yīng)確認(rèn)無(wú)人在旁邊。

(15)如果用戶的計(jì)算機(jī)是WindowsServer2008操作系統(tǒng)，那么就應(yīng)該做到：

·采用WindowsNTFS的文件管理系統(tǒng)；

·正確設(shè)置C：\Winnt\repair\的權(quán)限，務(wù)必使只有Administrators組的用戶才能訪問(wèn)；

·取消普通用戶訪問(wèn)注冊(cè)表的權(quán)限。6.5.4特洛伊木馬

1．什么是特洛伊木馬

特洛伊木馬是一個(gè)程序，它駐留在目標(biāo)計(jì)算機(jī)里。當(dāng)目標(biāo)計(jì)算機(jī)系統(tǒng)啟動(dòng)時(shí)，特洛伊木馬自動(dòng)啟動(dòng)，然后在某一端口進(jìn)行偵聽(tīng)。如果在該端口收到數(shù)據(jù)，則木馬程序?qū)@些數(shù)據(jù)進(jìn)行識(shí)別，然后按識(shí)別后的命令在目標(biāo)計(jì)算機(jī)上執(zhí)行一些操作。如竊取口令、拷貝或刪除文件、重新啟動(dòng)計(jì)算機(jī)等。

2．BackOrifice2000

1)?BO2000的特征

BackOriffice采用典型的Client/Server結(jié)構(gòu)，它的服務(wù)器在目標(biāo)計(jì)算機(jī)上運(yùn)行時(shí)，用戶幾乎感覺(jué)不到其存在。它的默認(rèn)端口是31337(一個(gè)沒(méi)有任何意義的數(shù)字)，幾乎可以控制目標(biāo)計(jì)算機(jī)的任何操作。它一共有三個(gè)程序，分別是：

(1)?bo2k.exe：BO的服務(wù)端程序，在目標(biāo)計(jì)算機(jī)上運(yùn)行，在沒(méi)有加入插件之前只有112KB，比BO1.2的122KB還要小，很容易夾在別的程序中。

(2)?bokcfg.exe：BO的設(shè)置程序，可以設(shè)置服務(wù)程序的各個(gè)方面。

(3)?bo2gui.exe：BO的客戶端程序，給黑客用的界面。

2)刪除BO2000的方法

明白了BO2000的原理和它在Windows系統(tǒng)中的位置后，手工刪除BO2000也就不是一件難事了，用戶只要按以下步驟操作即可。

(1)通過(guò)注冊(cè)表刪除。

首先用我們前面介紹的“regedit.exe”打開(kāi)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices。在此查找可疑項(xiàng)，默認(rèn)為UMGR32.EXE。有時(shí)候BO2000的服務(wù)器名字是可以變化的，用戶只有憑自己的經(jīng)驗(yàn)去判斷了。刪除有兩種方法，一種是直接刪除，另一種是在“開(kāi)始”中選擇“運(yùn)行”，啟動(dòng)msconfig，在啟動(dòng)項(xiàng)下禁用BO2000(即用戶判斷是BO2000的那個(gè)名字)，然后重啟計(jì)算機(jī)，再到C：\Windows\system下刪除該程序。

在WindowsServer2008中，用同樣的方法到注冊(cè)表中查看可疑服務(wù)然后刪除該服務(wù)，或者再到\Winnt\system32中查找可疑程序并刪除。

(2)利用BO2000客戶端程序刪除。

用戶還可以使用BO2000客戶端程序bo2kgui.exe來(lái)刪除BO2000。首先用上面的方法找到\Winnt\system32(或\Windows\system)下的BO2000程序，用ultraedit32打開(kāi)并查看BO2000所用端口及密碼(都以明文形式存儲(chǔ)在文件中)，然后用該端口密碼與服務(wù)端程序連接，使用DELETE(刪除)參數(shù)下達(dá)ShutdownServer命令，“刪除”BO服務(wù)器(這時(shí)已刪除注冊(cè)表中內(nèi)容)，重啟動(dòng)后再刪除\Winnt\system32(或\Window\system)中的BO2000。

3．NetBus

NetBus是一個(gè)類似于BackOrifice的黑客軟件，但NetBus的能力要強(qiáng)出很多。NetBus通過(guò)TCP/IP協(xié)議可以遠(yuǎn)程將應(yīng)用程序指派到某一端口來(lái)運(yùn)行。這就相當(dāng)于可以遠(yuǎn)程運(yùn)行目標(biāo)機(jī)器上的cmd.exe，想想這是多么危險(xiǎn)的事情！6.5.5電子郵件攻擊

1．電子郵件攻擊的特點(diǎn)

電子郵件的可實(shí)現(xiàn)性比較廣泛，所以使網(wǎng)絡(luò)面臨著很大的安全風(fēng)險(xiǎn)，如惡意入侵者破壞系統(tǒng)文件，或者對(duì)端口25(缺省SMTP端口)進(jìn)行SYN-Flood攻擊。電子郵件攻擊有很多種，主要表現(xiàn)為：

(1)竊取/篡改數(shù)據(jù)：通過(guò)監(jiān)聽(tīng)數(shù)據(jù)包或者截取正在傳輸?shù)男畔?，攻擊者能夠讀取或者修改數(shù)據(jù)。

(2)偽造郵件：因?yàn)镾MTP本身對(duì)發(fā)送方黑客偽造電子郵件，使他們看起來(lái)似乎發(fā)自某人/某地。

(3)拒絕服務(wù)：黑客使用戶的系統(tǒng)或者網(wǎng)絡(luò)充斥了大量的垃圾郵件而癱瘓。這些郵件信息塞滿隊(duì)列，占用寶貴的CPU資源和網(wǎng)絡(luò)帶寬，甚至讓郵件服務(wù)器完全癱瘓。

(4)病毒：現(xiàn)代電子郵件已經(jīng)使得傳送文件附件更加容易。如果用戶毫不提防地去執(zhí)行文件附件，病毒就會(huì)感染其系統(tǒng)。

2．電子郵件攻擊防范

要想保證電子郵件的安全，需要從郵件服務(wù)器和電子郵件信息安全兩方面著手。

1)郵件服務(wù)器

用戶收到的所有郵件都會(huì)經(jīng)過(guò)郵件服務(wù)器。在用戶收到病毒郵件、垃圾郵件或者受到其他網(wǎng)絡(luò)攻擊之前，把危險(xiǎn)都攔截在郵件服務(wù)器上，這樣可以極大地提高電子郵件的安全。

2)電子郵件消息的安全

除了在郵件服務(wù)器上保證郵件的安全，在郵件消息傳輸?shù)倪^(guò)程中，安全性也極其重要。一些黑客會(huì)在郵件傳輸?shù)倪^(guò)程中對(duì)郵件消息進(jìn)行竊取、更改、攻擊等。其中，保障電子郵件安全的一個(gè)有效手段就是采取加密技術(shù)，即將外發(fā)的消息變?yōu)橐环N非授權(quán)人員不可閱讀的形式。

TurboMail基于先進(jìn)的PKI-CA安全機(jī)制，采用標(biāo)準(zhǔn)的SMTP/SSL、POP3/SSL、S/MIME協(xié)議，滿足企業(yè)、個(gè)人在Internet上安全收發(fā)電子郵件的需求，保證信息傳遞的安全。TurboMail郵件的加密安全性能特點(diǎn)：

·數(shù)據(jù)加密功能：對(duì)郵件進(jìn)行高強(qiáng)度的加密和解密以實(shí)現(xiàn)數(shù)據(jù)的保密。

·抗抵賴功能：郵件的數(shù)字簽名(鑒別)實(shí)現(xiàn)發(fā)件人認(rèn)證并返回帶數(shù)字簽名的回執(zhí)，實(shí)現(xiàn)收件人不可抵賴。

·防篡改功能：完整性校驗(yàn)功能防止信息傳輸過(guò)程中被篡改。

·訪問(wèn)控制功能：通過(guò)安全郵件代理和證書(shū)來(lái)實(shí)現(xiàn)用戶強(qiáng)身份認(rèn)證，給用戶劃分不同權(quán)限。

·規(guī)則檢驗(yàn)功能：通過(guò)安全郵件代理對(duì)郵件進(jìn)行過(guò)濾。

·日志和審計(jì)功能：通過(guò)分級(jí)日志系統(tǒng)來(lái)記錄系統(tǒng)日志，并進(jìn)行審計(jì)。

·證書(shū)管理功能：提供用戶管理、更新聯(lián)系人和證書(shū)功能，用RSA密鑰算法，支持標(biāo)準(zhǔn)PKI-CA系統(tǒng)，支持國(guó)密辦批準(zhǔn)認(rèn)可的加密算法。

·支持多種硬件密碼平臺(tái)：采用公開(kāi)密鑰和對(duì)稱密鑰相結(jié)合的密鑰體系。6.5.6緩沖區(qū)溢出及其攻擊

緩沖區(qū)是內(nèi)存中存放數(shù)據(jù)的地方。在程序試圖將數(shù)據(jù)放到計(jì)算機(jī)內(nèi)存中的某一位置但沒(méi)有足夠空間時(shí)，會(huì)發(fā)生緩沖區(qū)溢出。*6.6黑客攻擊的一般步驟和實(shí)例

1．收集目標(biāo)計(jì)算機(jī)的信息

首先確認(rèn)攻擊目標(biāo)，其主要任務(wù)是收集有關(guān)要攻擊目標(biāo)的有用信息。這些信息包括目標(biāo)計(jì)算機(jī)的硬件信息、運(yùn)行的操作系統(tǒng)信息、運(yùn)行的應(yīng)用程序(服務(wù))的信息、目標(biāo)計(jì)算機(jī)所在網(wǎng)絡(luò)的信息、目標(biāo)計(jì)算機(jī)的用戶信息、存在的漏洞等。

2．尋找目標(biāo)計(jì)算機(jī)的漏洞和選擇合適的入侵方法

有兩種方法入侵目標(biāo)計(jì)算機(jī)：通過(guò)發(fā)現(xiàn)目標(biāo)計(jì)算機(jī)的漏洞進(jìn)入系統(tǒng)，或者是利用口令猜測(cè)進(jìn)入系統(tǒng)。利用口令猜測(cè)就是試圖重復(fù)登錄，直至找到一個(gè)合法的登錄口令。這種方法往往會(huì)消耗大量的時(shí)間，而且，每次登錄無(wú)論是否成功都會(huì)在目標(biāo)計(jì)算機(jī)上留下記錄，會(huì)引起注意。

3．留下“后門(mén)”

在侵入目標(biāo)計(jì)算機(jī)后留下后門(mén)的目的是為以后進(jìn)入該系統(tǒng)提供方便。后門(mén)一般都是一個(gè)特洛伊木馬程序，它在系統(tǒng)運(yùn)行的同時(shí)運(yùn)行，而且能在系統(tǒng)以后的重啟動(dòng)時(shí)自動(dòng)運(yùn)行這個(gè)程序。

4．清除入侵記錄

刪除入侵記錄是把在入侵系統(tǒng)時(shí)的各種登錄信息都刪除。以防被目標(biāo)系統(tǒng)的管理員發(fā)現(xiàn)。繼續(xù)收集信息應(yīng)該是入侵系統(tǒng)的目的。采取的手法很多，比如通過(guò)sniffer程序來(lái)收集目標(biāo)系統(tǒng)網(wǎng)絡(luò)的重要數(shù)據(jù)。還可以通過(guò)后門(mén)，即一個(gè)特洛伊木馬程序收集信息，比如發(fā)送一個(gè)文件拷貝命令，把目標(biāo)計(jì)算機(jī)上的有用文件拷貝過(guò)來(lái)。*6.7網(wǎng)絡(luò)病毒與防治

6.7.1計(jì)算機(jī)病毒的工作原理

計(jì)算機(jī)病毒是指人工編制的用于破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。6.7.2病毒分類

病毒按傳染方式分為引導(dǎo)型病毒、文件型病毒和混合型

病毒。6.7.3電腦病毒的新趨勢(shì)

傳統(tǒng)型病毒的特點(diǎn)之一是一定有一個(gè)“寄主”程序，病毒就隱藏在這些程序里。最常見(jiàn)的“寄主”程序就是一些可執(zhí)行文件，如擴(kuò)展名為.exe及.com的文件。但是由于微軟的Word愈來(lái)愈流行，且Word所提供的宏命令功能又很強(qiáng),使用Word宏命令寫(xiě)出來(lái)的病毒也愈來(lái)愈多，于是就出現(xiàn)了以.doc文件為“寄主”的宏病毒。6.7.4計(jì)算機(jī)病毒防范

一臺(tái)計(jì)算機(jī)染上病毒之后，會(huì)有許多明顯或不明顯的特征。例如文件的長(zhǎng)度和日期忽然改變，系統(tǒng)執(zhí)行速度下降，出現(xiàn)一些奇怪的信息或無(wú)故死機(jī)，更為嚴(yán)重的是硬盤(pán)被格式化。反病毒軟件常用以下6種技術(shù)來(lái)查找病毒。

(1)病毒碼掃描法。

(2)加總對(duì)比法(Check-sum)。

(3)人工智能陷阱。

(4)軟件模擬掃描法。

(5)?VICE(VirusInstructionCodeEmulation)——先知掃描法。

(6)實(shí)時(shí)I/O掃描(RealtimeI/OScan)。6.7.5特洛伊木馬——灰鴿子的防御與清除

灰鴿子是國(guó)內(nèi)的一款著名后門(mén)軟件，在合法情況下使用時(shí)，灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟件，但如果用它做一些非法的事，灰鴿子就成了很強(qiáng)大的黑客工具。

灰鴿子木馬分兩部分：客戶端和服務(wù)端。黑客利用客戶端程序配置出服務(wù)端程序，包括上線類型(如等待連接還是主動(dòng)連接)、主動(dòng)連接時(shí)使用的公網(wǎng)IP(域名)、連接密碼、使用的端口、啟動(dòng)項(xiàng)名稱、服務(wù)名稱、進(jìn)程隱藏方式、使用的殼、代理、圖標(biāo)等。攻擊者操縱著客戶端，利用客戶端配置生成一個(gè)服務(wù)端程序(如圖6-14所示)。圖6-14灰鴿子客戶端程序服務(wù)端對(duì)客戶端連接方式有多種，使得處于各種網(wǎng)絡(luò)環(huán)境的用戶都可能中毒，包括局域網(wǎng)用戶(通過(guò)代理上網(wǎng))、公網(wǎng)用戶和ADSL撥號(hào)用戶等。

服務(wù)端文件的名字默認(rèn)為G_Server.exe，黑客通過(guò)各種渠道傳播這個(gè)木馬。傳播木馬的手段有很多，比如，可以建立一個(gè)個(gè)人網(wǎng)頁(yè)，誘騙用戶單擊，利用IE漏洞把木馬下載到用戶的計(jì)算機(jī)上并運(yùn)行；還可以將文件上傳到某個(gè)軟件下載站點(diǎn)，冒充成一個(gè)有趣的軟件誘騙用戶下載等。

G_Server.exe運(yùn)行后將自己復(fù)制到Windows目錄下(XP下為系統(tǒng)盤(pán)的Windows目錄，2000/NT下為系統(tǒng)盤(pán)的Winnt目錄)，然后再?gòu)捏w內(nèi)釋放G_Server.dll和G_Server_Hook.dll到Windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個(gè)文件相互配合組成了灰鴿子服務(wù)端，有些灰鴿子會(huì)多釋放出一個(gè)名為G_ServerKey.dll的文件用來(lái)記錄鍵盤(pán)操作。由于正常模式下灰鴿子會(huì)隱藏自身，因此檢測(cè)灰鴿子的操作一定要在安全模式下進(jìn)行。進(jìn)入安全模式的方法是：?jiǎn)?dòng)計(jì)算機(jī)，在系統(tǒng)進(jìn)入Windows啟動(dòng)畫(huà)面前，按下F8鍵(或者在啟動(dòng)計(jì)算機(jī)時(shí)按住Ctrl鍵不放)，在出現(xiàn)的啟動(dòng)選項(xiàng)菜單中，選擇“SafeMode”或“安全模式”。然后按以下步驟清除：

(1)由于灰鴿子的文件本身具有隱藏屬性，因此首先要設(shè)置Windows顯示所有文件。打開(kāi)“我的計(jì)算機(jī)”，選擇菜單“工具”→“文件夾選項(xiàng)”，單擊“查看”，取消“隱藏受保護(hù)的操作系統(tǒng)文件”前的對(duì)勾，并在“隱藏文件和文件夾”項(xiàng)中選擇“顯示所有文件和文件夾”，然后單擊“確定”。