第5章-網(wǎng)絡(luò)安全知識(shí)與安全組網(wǎng)技術(shù)-李文媛

電子商務(wù)安全技術(shù)主講教師：李文媛第5章網(wǎng)絡(luò)安全知識(shí)與安全組網(wǎng)技術(shù)網(wǎng)絡(luò)安全即通過采用各種技術(shù)和管理措施保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件及其數(shù)據(jù)不因偶然或惡意原因而遭到破壞、更改和泄漏，保障系統(tǒng)可以連續(xù)可靠地正常運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。學(xué)習(xí)目標(biāo)3了解網(wǎng)絡(luò)通信威脅與信息傳輸安全了解網(wǎng)絡(luò)安全協(xié)議掌握防火墻技術(shù)掌握入侵檢測技術(shù)掌握網(wǎng)絡(luò)常見的攻防技術(shù)本章目錄5.1網(wǎng)絡(luò)安全問題概述5.2

網(wǎng)絡(luò)相關(guān)知識(shí)5.3防火墻技術(shù)5.4入侵檢測技術(shù)5.5網(wǎng)絡(luò)常見的攻防技術(shù)5.6案例分析5.1網(wǎng)絡(luò)安全問題概述5.1.1網(wǎng)絡(luò)通信的威脅威脅定義為對(duì)缺陷（Vulnerability）的潛在利用，這些缺陷可能導(dǎo)致非授權(quán)訪問、信息泄露、資源耗盡、資源被盜或被破壞等。計(jì)算機(jī)網(wǎng)絡(luò)上的通信存在威脅的原因：（1）資源共享是計(jì)算機(jī)網(wǎng)絡(luò)的重要特點(diǎn)（2）網(wǎng)絡(luò)協(xié)議(TCP/IP)的主要設(shè)計(jì)目標(biāo)不是安全（3）缺乏系統(tǒng)的安全標(biāo)準(zhǔn)55.1網(wǎng)絡(luò)安全問題概述5.1.2信息傳輸?shù)陌踩c目標(biāo)信息傳輸安全：就是指在信息傳輸過程中，保護(hù)信息免受各種類型的威脅、干擾和破壞，防止信息被竊聽、復(fù)制、篡改或插入偽數(shù)據(jù)。從內(nèi)容上說，信息傳輸安全包括：通信系統(tǒng)或通信網(wǎng)絡(luò)的安全信息自身的安全65.1網(wǎng)絡(luò)安全問題概述5.1.2信息傳輸?shù)陌踩c目標(biāo)為保障信息傳輸?shù)陌踩?，即?duì)付主動(dòng)攻擊和被動(dòng)攻擊，需采用數(shù)據(jù)傳輸加密和數(shù)據(jù)完整性鑒別等技術(shù)。①數(shù)據(jù)傳輸加密技術(shù)：鏈路加密、結(jié)點(diǎn)加密、和端到端加密技術(shù)。②數(shù)據(jù)完整性鑒別技術(shù)：報(bào)文鑒別、加密校驗(yàn)技術(shù)。③防抵賴技術(shù)：數(shù)字簽名技術(shù)。75.1網(wǎng)絡(luò)安全問題概述5.1.2信息傳輸?shù)陌踩c目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)信息傳輸安全的目標(biāo)：保密性完整性可用性可控性不可抵賴和不可否認(rèn)8本章目錄5.1網(wǎng)絡(luò)安全問題概述5.2

網(wǎng)絡(luò)相關(guān)知識(shí)5.3防火墻技術(shù)5.4入侵檢測技術(shù)5.5網(wǎng)絡(luò)常見的攻防技術(shù)5.6案例分析5.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.1ISO/OSI七層協(xié)議開放系統(tǒng)互聯(lián)參考模型OSI/RM（簡稱OSI）：國際標(biāo)準(zhǔn)化組織ISO于1984年提出的一種標(biāo)準(zhǔn)參考模型。OSI包括了體系結(jié)構(gòu)、服務(wù)定義和協(xié)議規(guī)范三級(jí)抽象。OSI/RM并非具體實(shí)現(xiàn)的描述，它只是一個(gè)為制定標(biāo)準(zhǔn)而提供的概念性框架。105.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.1ISO/OSI七層協(xié)議OSI/RM采用結(jié)構(gòu)描述方法，即分層描述的方法，將整個(gè)網(wǎng)絡(luò)的通信功能劃分成7個(gè)層次，由低層至高層分別稱為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。如下圖所示。115.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.1ISO/OSI七層協(xié)議12應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層鏈路層物理層應(yīng)用進(jìn)程A傳輸介質(zhì)應(yīng)用進(jìn)程B計(jì)算機(jī)A計(jì)算機(jī)BDATAAHPHDATAAHDATAPHDATAAHSHPHDATAAHSHTHPHDATAAHSHTHNHPHDATAAHSHTHNHDHDT比特流OSI參考模型及數(shù)據(jù)封裝過程5.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.1ISO/OSI七層協(xié)議1.OSI參考模型各層的功能（1）物理層物理層是OSI參考模型的第一層，它向下直接與傳輸介質(zhì)相連接，是開放系統(tǒng)和物理傳輸介質(zhì)的接口，向上相鄰且服務(wù)于數(shù)據(jù)鏈路層。概括起來說，物理層的功能就是實(shí)現(xiàn)在傳輸介質(zhì)上傳輸各種數(shù)據(jù)的比特流。物理層只能看見0和1，傳輸介質(zhì)是同軸電覽、光纜、雙絞線等。物理層可能受到的安全威脅是搭線竊聽和監(jiān)聽，可以利用數(shù)據(jù)加密、流量填充等方法保護(hù)物理層的安全。135.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.1ISO/OSI七層協(xié)議（2）數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層有兩個(gè)責(zé)任：發(fā)送和接收數(shù)據(jù)。它將網(wǎng)絡(luò)層交下來的IP數(shù)據(jù)報(bào)（也稱分組）組裝成幀（Frame），在兩個(gè)相鄰結(jié)點(diǎn)間的鏈路上傳送以幀為單位的數(shù)據(jù)。數(shù)據(jù)鏈路層提供數(shù)據(jù)鏈路的流量控制，檢測和校正物理鏈路產(chǎn)生的差錯(cuò)。145.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.1ISO/OSI七層協(xié)議（3）網(wǎng)絡(luò)層網(wǎng)絡(luò)層實(shí)現(xiàn)路由選擇、擁塞控制、網(wǎng)絡(luò)互連等功能，它的主要任務(wù)是負(fù)責(zé)：①為分組交換網(wǎng)上的不同主機(jī)提供通信；②選擇合適的路由，使源主機(jī)傳輸層所傳下來的分組能夠交付到目的主機(jī)。155.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.1ISO/OSI七層協(xié)議（4）傳輸層傳輸層的主要功能是完成網(wǎng)絡(luò)中不同主機(jī)上的用戶進(jìn)程之間的可靠的數(shù)據(jù)通信。傳輸層提供了端到端（最終用戶到最終用戶）的透明的、可靠的數(shù)據(jù)傳輸服務(wù)。所謂透明的傳輸是指在通信過程中傳輸層對(duì)上層屏蔽了通信傳輸系統(tǒng)的具體細(xì)節(jié)。165.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.1ISO/OSI七層協(xié)議（5）會(huì)話層會(huì)話層提供兩進(jìn)程間建立、維護(hù)和結(jié)束會(huì)話連接的功能，提供交互會(huì)話的管理功能，如允許信息同時(shí)雙向傳輸或任一時(shí)刻只能單向傳輸。175.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.1ISO/OSI七層協(xié)議（6）表示層下5層完成了數(shù)據(jù)的可靠的、無差錯(cuò)的傳送。但是傳送數(shù)據(jù)最終目的是要實(shí)現(xiàn)對(duì)數(shù)據(jù)的使用。由于各種系統(tǒng)對(duì)數(shù)據(jù)的定義并不完全相同,如鍵盤上的某些鍵的含義在許多系統(tǒng)中都有差異。這自然給利用其它系統(tǒng)的數(shù)據(jù)造成了障礙。表示層提供通信實(shí)體間數(shù)據(jù)交換的標(biāo)準(zhǔn)接口，完成對(duì)數(shù)據(jù)編碼格式進(jìn)行轉(zhuǎn)換、數(shù)據(jù)壓縮與解壓、建立數(shù)據(jù)交換格式、數(shù)據(jù)的安全與保密等特定功能。185.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.1ISO/OSI七層協(xié)議（7）應(yīng)用層應(yīng)用層提供給用戶網(wǎng)絡(luò)服務(wù)的應(yīng)用程序，如電子郵件、文件傳輸、遠(yuǎn)程登錄等，每個(gè)應(yīng)用程序必須使用自己的協(xié)議與下層協(xié)議進(jìn)行通信。應(yīng)用層是用戶應(yīng)用程序與網(wǎng)絡(luò)間的接口，它使得用戶的應(yīng)用程序能夠與網(wǎng)絡(luò)進(jìn)行交互式聯(lián)系。195.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.1ISO/OSI七層協(xié)議2.OSI參考模型中的數(shù)據(jù)流封裝物理通信邏輯通信20TCP/IP協(xié)議21應(yīng)用層UDPTCPIP物理層TCP/IP協(xié)議是Internet采用的協(xié)議標(biāo)準(zhǔn)，也是全世界采用的最廣泛的工業(yè)標(biāo)準(zhǔn)。它是一組協(xié)議的集合，用來將各種計(jì)算機(jī)和數(shù)據(jù)通信設(shè)備組成實(shí)際的計(jì)算機(jī)網(wǎng)絡(luò)。225.2.2IP協(xié)議IP（網(wǎng)際協(xié)議）提供了一種不可靠的、無連接的、盡力而為的數(shù)據(jù)報(bào)傳輸服務(wù)，其功能在于對(duì)主機(jī)進(jìn)行編址并以數(shù)據(jù)報(bào)的形式在主機(jī)間傳輸信息。5.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.2IP協(xié)議1.IP數(shù)據(jù)報(bào)格式235.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.2IP協(xié)議2.IP地址IP地址用于標(biāo)識(shí)IP網(wǎng)絡(luò)中的每臺(tái)計(jì)算機(jī)（或路由器）和一條鏈路的接口。IP地址現(xiàn)由因特網(wǎng)名字與號(hào)碼指派公司ICANN進(jìn)行分配。IP地址是一個(gè)32bit的二進(jìn)制序列。為了提高可讀性，采用點(diǎn)分十進(jìn)制記法，如某臺(tái)主機(jī)的IP地址為：。245.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.2IP協(xié)議(1)IP地址分類每一類地址都由網(wǎng)絡(luò)號(hào)net-id和主機(jī)號(hào)host-id兩部分組成。網(wǎng)絡(luò)號(hào)字段標(biāo)志主機(jī)（或路由器）所連接到的網(wǎng)絡(luò)；主機(jī)號(hào)字段表示該主機(jī)（或路由器）。五類IP地址如下圖所示：255.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.2IP協(xié)議(2)劃分子網(wǎng)為了解決IP地址空間利用率低且不夠靈活，于1985年提出了劃分子網(wǎng)。劃分子網(wǎng)是通過增加一個(gè)“子網(wǎng)號(hào)字段”，即從網(wǎng)絡(luò)的主機(jī)號(hào)借用若干比特作為子網(wǎng)號(hào)subnet-id，而主機(jī)號(hào)也就相應(yīng)減少了。子網(wǎng)掩碼是用來讓TCP/IP協(xié)議快速地判斷兩個(gè)IP地址是否屬于同一子網(wǎng)。265.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.2IP協(xié)議(3)專用IP地址有一些IP地址只能用于機(jī)構(gòu)的內(nèi)部通信，不能用于和因特網(wǎng)上的主機(jī)通信，這些地址稱為專用地址。如到55275.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.2IP協(xié)議3.IP協(xié)議安全問題IP協(xié)議的主要缺陷是缺乏有效的安全認(rèn)證和保密機(jī)制，其中最主要的因素就是IP地址的問題。當(dāng)前TCP/IP網(wǎng)絡(luò)的安全機(jī)制主要是基于IP地址的包過濾和認(rèn)證技術(shù)，它們的正確有效性依賴于IP包的源地址的真實(shí)性。然而IP地址存在許多問題，最大的缺點(diǎn)就是缺乏對(duì)IP地址的保護(hù)，缺乏對(duì)IP地址真實(shí)性的認(rèn)證與保密機(jī)制，這也是整個(gè)TCP/IP協(xié)議不安全的根本所在。285.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.2IP協(xié)議4.IPv6IPv4定義的有限地址空間將被耗盡，為了擴(kuò)大地址空間，通過IPv6重新進(jìn)行定義。295.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)5.2.3TCP協(xié)議TCP（傳輸控制協(xié)議）是一個(gè)面向連接的協(xié)議，它負(fù)責(zé)將數(shù)據(jù)從發(fā)送方正確地傳遞到接收方，是端到端的數(shù)據(jù)流傳送。在傳送數(shù)據(jù)前，需要建立連接。它提供可靠傳送機(jī)制以保證數(shù)據(jù)可靠、有序的傳遞。305.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)315.2.3TCP協(xié)議1.TCP報(bào)文段格式315.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)325.2.3TCP協(xié)議2.端口TCP協(xié)議和UDP協(xié)議通過使用“端口”來標(biāo)識(shí)源端和目標(biāo)端的應(yīng)用進(jìn)程。5.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)335.2.3TCP協(xié)議3.TCP的運(yùn)輸連接管理TCP是面向連接的協(xié)議，運(yùn)輸連接管理就是使運(yùn)輸連接的建立和釋放都能正常進(jìn)行。（1）TCP建立連接的三次握手過程：任何兩臺(tái)計(jì)算機(jī)Clients和Servers之間欲建立TCP連接，都需要一個(gè)兩方都確認(rèn)的過程，稱三次握手，可分解為下圖表示：(1)C向S發(fā)送SYN，表示想發(fā)起一次TCP連接，假定序列號(hào)是X；(2)S接到請(qǐng)求后，產(chǎn)生(SYN|ACK)響應(yīng)，包括：向C發(fā)送ACK，ACK的值為X+1，表示數(shù)據(jù)成功接收，并告知下一次希望接收到字節(jié)的序號(hào)是X+1；同時(shí)，S向C發(fā)送自己的序號(hào)，假定為值Y；(3)C向S發(fā)送ACK，表示接收到S的回應(yīng)。這次它的序號(hào)值為X+1，同時(shí)它的ACK值為Y+1。連接開放，C與S可以進(jìn)行數(shù)據(jù)傳輸。345.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)355.2.3TCP協(xié)議（2）TCP釋放連接的四次握手過程：FIN,SEQ=xACK,SEQ=y,ACK=x+1FIN,ACK,SEQ=yACK=x+1主機(jī)A主機(jī)BACK,SEQ=x+1ACK=y+15.2網(wǎng)絡(luò)相關(guān)知識(shí)與安全組網(wǎng)技術(shù)365.2.3TCP協(xié)議4.TCP的安全缺陷針對(duì)TCP連接建立時(shí)“三次握手”機(jī)制的攻擊；未加密的TCP連接被欺騙、被劫持、被操縱；現(xiàn)存的主要攻擊有TCPSYN淹沒攻擊、TCP序列號(hào)攻擊、TCP會(huì)話劫持、TCP連接不同步狀態(tài)攻擊、SYNSniping攻擊、TCP端口掃描等。本章目錄5.1網(wǎng)絡(luò)安全問題概述5.2

網(wǎng)絡(luò)相關(guān)知識(shí)5.3防火墻技術(shù)5.4入侵檢測技術(shù)5.5網(wǎng)絡(luò)常見的攻防技術(shù)5.6案例分析5.3防火墻技術(shù)自從1986年美國Digital公司在Internet上安裝了全球第一個(gè)商用防火墻系統(tǒng)后，防火墻技術(shù)得到了飛速的發(fā)展，先后出現(xiàn)了包過濾防火墻、代理防火墻等防火墻技術(shù)，目前的防火墻已經(jīng)演變成一個(gè)全方位的安全技術(shù)集成系統(tǒng)。385.3防火墻技術(shù)防火墻(Firewall)的本義：古代人們房屋之間修建的墻，這道墻可以防止火災(zāi)發(fā)生的時(shí)候蔓延到別的房屋。在計(jì)算機(jī)世界中，防火墻是一種形象的說法，它是一種得到廣泛使用的網(wǎng)絡(luò)安全技術(shù)。防火墻的概念：防火墻是一種由計(jì)算機(jī)軟件或/和硬件的組合，它定義了接入訪問控制策略以保護(hù)內(nèi)部網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)免受非法用戶的侵入。395.3防火墻技術(shù)防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間實(shí)施訪問控制策略的一個(gè)或一組系統(tǒng)。40防火墻訪問控制策略允許TCP端口80訪問，拒絕TCP端口440TCPPort440被保護(hù)的網(wǎng)絡(luò)未被保護(hù)的網(wǎng)絡(luò)TCPPort80基于網(wǎng)絡(luò)的防火墻基于網(wǎng)絡(luò)的防火墻5.3防火墻技術(shù)簡言之，防火墻將網(wǎng)絡(luò)分隔為不同的物理子網(wǎng)，限制威脅從一個(gè)子網(wǎng)擴(kuò)散到另一個(gè)子網(wǎng)；防火墻用于保護(hù)可信網(wǎng)絡(luò)免受非可信網(wǎng)絡(luò)的威脅，同時(shí)仍有限制地允許雙方通信。防火墻已經(jīng)成為將內(nèi)部網(wǎng)接入外部網(wǎng)時(shí)所必需的安全措施，是提供信息安全服務(wù)、實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。415.3防火墻技術(shù)基于主機(jī)的防火墻在系統(tǒng)本身內(nèi)部實(shí)施，如微軟的因特網(wǎng)連接防火墻ICF。425.3防火墻技術(shù)防火墻具有的屬性：防火墻是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，如圖所示。它能夠根據(jù)安全策略（允許、拒絕、監(jiān)測）控制出入網(wǎng)絡(luò)的信息流；本身具有較強(qiáng)的抗攻擊能力。435.3.1防火墻基本功能1.防火墻是網(wǎng)絡(luò)安全的屏障防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心控制點(diǎn)來防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，從而能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)，抗擊來自各種線路的攻擊。445.3.1防火墻基本功能2.防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略防火墻能強(qiáng)化安全管理，網(wǎng)絡(luò)安全性在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將安全方案分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。455.3.1防火墻基本功能3.對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)對(duì)一個(gè)內(nèi)部網(wǎng)絡(luò)已經(jīng)連接到互聯(lián)網(wǎng)上的機(jī)構(gòu)來說，檢測到何時(shí)會(huì)受到攻擊十分重要。如果所有的訪問都經(jīng)過防火墻，那么防火墻就能記錄下這些訪問并做出日志記錄，當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)報(bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。防火墻同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)，查出潛在的帶寬瓶頸的位置，并能根據(jù)機(jī)構(gòu)的核算模式提供部門級(jí)的計(jì)費(fèi)。465.3.1防火墻基本功能4.防止內(nèi)部信息外泄對(duì)于一些內(nèi)部網(wǎng)絡(luò)結(jié)點(diǎn)來說，保密性非常重要。因?yàn)橐粋€(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊的興趣，甚至因此暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻可以阻塞那些透漏內(nèi)部細(xì)節(jié)的服務(wù)。475.3.1防火墻基本功能5.向客戶發(fā)布信息防火墻作為部署Web服務(wù)器和FTP服務(wù)器的地點(diǎn)非常理想，還可以對(duì)防火墻進(jìn)行配置，允許互聯(lián)網(wǎng)訪問上述服務(wù)，而禁止外部對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)其他系統(tǒng)的訪問。485.3.1防火墻基本功能6.防火墻的抗攻擊能力作為一種安全的防護(hù)設(shè)備，防火墻在網(wǎng)絡(luò)中自然是眾多網(wǎng)絡(luò)攻擊者的目標(biāo)，因而抗攻擊能力也是防火墻的必備功能。除了安全作用，防火墻還支持具有因特網(wǎng)服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)有機(jī)地連成一個(gè)整體，不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。495.3.1防火墻基本功能要注意的是：防火墻只是能提高網(wǎng)絡(luò)的安全性，不能保證網(wǎng)絡(luò)絕對(duì)的安全。事實(shí)上，仍然存在一些防火墻不能防范的安全威脅，如防火墻無法防范不經(jīng)過防火墻的攻擊。防火墻很難防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊以及病毒的威脅。505.3.2防火墻常見體系結(jié)構(gòu)安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對(duì)阻止網(wǎng)絡(luò)攻擊有很大幫助，并能夠使網(wǎng)絡(luò)安全設(shè)備的安全特性得到最有效地發(fā)揮。防火墻在網(wǎng)絡(luò)中的放置方式稱為防火墻的體系結(jié)構(gòu)。只有正確合理地配置防火墻在整個(gè)網(wǎng)絡(luò)中的拓?fù)湮恢茫拍芡耆l(fā)揮其作用。防火墻可以分為三種體系結(jié)構(gòu)，分別是：雙宿/多宿主主機(jī)體系結(jié)構(gòu)；主機(jī)屏蔽體系結(jié)構(gòu)；子網(wǎng)屏蔽體系結(jié)構(gòu)。515.3.2防火墻常見體系結(jié)構(gòu)幾個(gè)概念①非軍事區(qū)（DMZ）為了配置和管理的方便，通常將內(nèi)網(wǎng)中需要向外提供服務(wù)的服務(wù)器設(shè)置在單獨(dú)地網(wǎng)段，這個(gè)網(wǎng)段被稱為非軍事區(qū)。非軍事區(qū)位于內(nèi)網(wǎng)之外，使用與內(nèi)網(wǎng)不同的網(wǎng)絡(luò)號(hào)連接到防火墻，并對(duì)外提供服務(wù)。525.3.2防火墻常見體系結(jié)構(gòu)②堡壘主機(jī)即經(jīng)過加固，安裝了防火墻軟件，但沒有IP轉(zhuǎn)發(fā)功能的計(jì)算機(jī)。該主機(jī)對(duì)外提供一些必要的服務(wù)，也可以被內(nèi)部用戶訪問。堡壘主機(jī)一般位于非軍事區(qū)。535.3.2防火墻常見體系結(jié)構(gòu)堡壘主機(jī)的類型：單宿主堡壘主機(jī)。具有一塊網(wǎng)卡的堡壘主機(jī)做防火墻，通常用于應(yīng)用級(jí)網(wǎng)關(guān)防火墻。雙宿主堡壘主機(jī)。具有兩塊網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊網(wǎng)卡分別與內(nèi)網(wǎng)和外網(wǎng)相連。內(nèi)網(wǎng)和外網(wǎng)之間不能直接通信，兩網(wǎng)之間的數(shù)據(jù)流被雙宿主堡壘主機(jī)完全切斷。內(nèi)部堡壘主機(jī)。堡壘主機(jī)與內(nèi)網(wǎng)通信，轉(zhuǎn)發(fā)從外網(wǎng)獲得的信息。外部堡壘主機(jī)。通過開放有限的端口來為互聯(lián)網(wǎng)提供有限的公共服務(wù)，不向內(nèi)部網(wǎng)轉(zhuǎn)發(fā)任何請(qǐng)求，而是自己處理請(qǐng)求。545.3.2防火墻常見體系結(jié)構(gòu)③屏蔽路由器在路由器上安裝包過濾軟件，實(shí)現(xiàn)包過濾功能，由此可以實(shí)現(xiàn)一部分防火墻的功能，因此，有人把屏蔽路由器也稱為防火墻的一種。屏蔽路由器放置在內(nèi)網(wǎng)和外網(wǎng)之間，用于執(zhí)行包過濾功能。該路由器作為內(nèi)外連接的唯一通道，所有經(jīng)過的數(shù)據(jù)包都必須檢查。555.3.2防火墻常見體系結(jié)構(gòu)(1)雙宿/多宿主主機(jī)體系結(jié)構(gòu)雙宿/多宿主機(jī)防火墻是一種擁有兩個(gè)或多個(gè)連接到不同網(wǎng)絡(luò)的網(wǎng)絡(luò)接口的防火墻，通常是一臺(tái)裝有兩塊或多塊網(wǎng)卡的堡壘主機(jī)，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)相連。56網(wǎng)絡(luò)接口板

網(wǎng)絡(luò)1網(wǎng)絡(luò)2網(wǎng)絡(luò)3可選路由功能多宿主機(jī)網(wǎng)絡(luò)接口板網(wǎng)絡(luò)接口板典型的多宿主機(jī)5.3.2防火墻常見體系結(jié)構(gòu)由于堡壘主機(jī)具有兩個(gè)以上的網(wǎng)卡，可以連接兩個(gè)以上的網(wǎng)絡(luò)，所以計(jì)算機(jī)系統(tǒng)可以充當(dāng)這些網(wǎng)絡(luò)之間的防火墻，從一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)發(fā)送的IP數(shù)據(jù)包必須經(jīng)過雙宿主機(jī)的檢查。雙宿主機(jī)檢查通過的數(shù)據(jù)包，并根據(jù)安全策略進(jìn)行處理。575.3.2防火墻常見體系結(jié)構(gòu)雙宿主堡壘主機(jī)通過代理服務(wù)的方式提供安全控制服務(wù)。建立雙宿主堡壘主機(jī)防火墻的關(guān)鍵是要禁止路由功能，網(wǎng)絡(luò)之間通信的唯一途徑是通過應(yīng)用層的代理軟件。5.3.2防火墻常見體系結(jié)構(gòu)(1)雙宿/多宿主主機(jī)體系結(jié)構(gòu)59主機(jī)A主機(jī)B

路由功能被禁止的雙宿主機(jī)若意外地配置了路由，且允許轉(zhuǎn)發(fā)IP包，那么雙宿主防火墻的應(yīng)用層功能就可能被越過。5.3.2防火墻常見體系結(jié)構(gòu)(2)屏蔽主機(jī)體系結(jié)構(gòu)屏蔽主機(jī)體系結(jié)構(gòu)由堡壘主機(jī)和屏蔽(過濾)路由器組成。即堡壘主機(jī)并不直接與因特網(wǎng)相連。堡壘主機(jī)位于內(nèi)部網(wǎng)中，路由器則放置在堡壘主機(jī)和Internet之間。過濾規(guī)則配置在屏蔽路由器上，使得屏蔽路由器強(qiáng)迫所有到達(dá)路由器的數(shù)據(jù)包被發(fā)送到堡壘主機(jī)。所以，入侵者在破壞內(nèi)部網(wǎng)絡(luò)的安全性之前，必須首先滲透兩種不同的安全系統(tǒng)。它的結(jié)構(gòu)如圖所示。605.3.2防火墻常見體系結(jié)構(gòu)615.3.2防火墻常見體系結(jié)構(gòu)此系統(tǒng)結(jié)構(gòu)的第一個(gè)安全設(shè)施是過濾路由器，它阻塞外部網(wǎng)絡(luò)進(jìn)來的除了通向堡壘主機(jī)的所有其他信息流。對(duì)于到來的信息流，首先要經(jīng)過過濾路由器的過濾，過濾后的信息流被轉(zhuǎn)發(fā)到堡壘主機(jī)上，然后由堡壘主機(jī)上的應(yīng)用服務(wù)代理對(duì)這些信息流進(jìn)行分析，并將合法的信息流轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)的主機(jī)上。625.3.2防火墻常見體系結(jié)構(gòu)63當(dāng)然，并不是所有服務(wù)的入站連接都會(huì)被路由到堡壘主機(jī)上，屏蔽路由器根據(jù)安全策略允許或禁止某種服務(wù)的入站連接(外部到內(nèi)部的主動(dòng)連接)。對(duì)于外出的信息流，首先經(jīng)過堡壘主機(jī)上的應(yīng)用服務(wù)代理的檢查，然后被轉(zhuǎn)發(fā)到過濾路由器，由過濾路由器將其轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)上。5.3.2防火墻常見體系結(jié)構(gòu)64過濾路由器是否正確配置是這種防火墻安全與否的關(guān)鍵，過濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，否則，如果路由表被攻擊者破壞掉，數(shù)據(jù)包就不能被路由到堡壘主機(jī)上，導(dǎo)致堡壘主機(jī)被越過，從而導(dǎo)致嚴(yán)重后果。5.3.2防火墻常見體系結(jié)構(gòu)65(3)屏蔽子網(wǎng)體系結(jié)構(gòu)在被屏蔽主機(jī)結(jié)構(gòu)中，堡壘主機(jī)最容易受到攻擊。而且內(nèi)部網(wǎng)對(duì)堡壘主機(jī)是完全公開的，入侵者只要破壞了這一層保護(hù)，那么內(nèi)部網(wǎng)就暴露在入侵的攻擊之下。5.3.2防火墻常見體系結(jié)構(gòu)66屏蔽子網(wǎng)的結(jié)構(gòu)本質(zhì)上和屏蔽主機(jī)是一樣的，它是在屏蔽主機(jī)結(jié)構(gòu)中再增加一臺(tái)路由器，它的作用在于在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)筑出一個(gè)安全子網(wǎng)。從而給內(nèi)部網(wǎng)絡(luò)增加了一層保護(hù)體系——非軍事區(qū)。非軍事區(qū)(DMZ)是一個(gè)安全層，是在外部網(wǎng)絡(luò)與被保護(hù)的內(nèi)部網(wǎng)絡(luò)之間的附加的網(wǎng)絡(luò)。這種結(jié)構(gòu)使得非軍事區(qū)和內(nèi)部網(wǎng)的通信被內(nèi)部屏蔽路由器分開，非軍事區(qū)和外部網(wǎng)的通信被外部屏蔽路由器隔開，這樣內(nèi)部網(wǎng)和外部網(wǎng)之間有兩層保護(hù)體系。5.3.2防火墻常見體系結(jié)構(gòu)堡壘主機(jī)位于非軍事區(qū)中，用于給外部網(wǎng)的用戶提供應(yīng)用服務(wù)。它是內(nèi)、外網(wǎng)的連接點(diǎn)，這樣增加了內(nèi)部網(wǎng)的安全性。非軍事區(qū)5.3.2防火墻常見體系結(jié)構(gòu)用兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)，在內(nèi)部網(wǎng)絡(luò)與Internet之間形成一個(gè)小型的獨(dú)立網(wǎng)絡(luò)，即通過添加非軍事區(qū)更進(jìn)一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離開。非軍事區(qū)5.3.2防火墻常見體系結(jié)構(gòu)兩個(gè)屏蔽路由器放在DMZ網(wǎng)絡(luò)的兩端，將DMZ網(wǎng)絡(luò)分別與外網(wǎng)和內(nèi)網(wǎng)分開，在DMZ網(wǎng)絡(luò)構(gòu)成一個(gè)“緩沖地帶”。兩個(gè)路由器一個(gè)控制內(nèi)網(wǎng)數(shù)據(jù)，另一個(gè)控制外網(wǎng)數(shù)據(jù)，內(nèi)網(wǎng)和外網(wǎng)均可訪問DMZ網(wǎng)絡(luò)，而通過DMZ網(wǎng)絡(luò)直接進(jìn)行傳輸是嚴(yán)格禁止的。DMZ網(wǎng)絡(luò)中安裝的堡壘主機(jī)是為內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互相訪問提供代理服務(wù)，但是來自兩個(gè)網(wǎng)絡(luò)的訪問都必須通過兩個(gè)屏蔽路由器的檢查。5.3.2防火墻常見體系結(jié)構(gòu)70對(duì)于到來的信息流：外層的路由器用于防范通常的外部攻擊并管理外部網(wǎng)絡(luò)到DMZ網(wǎng)絡(luò)的訪問。它只允許外部系統(tǒng)訪問堡壘主機(jī)。內(nèi)層的路由器提供第二層防御，只接收源于堡壘主機(jī)的數(shù)據(jù)包，負(fù)責(zé)的是管理DMZ網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。對(duì)于外出的信息流：內(nèi)層的路由器管理內(nèi)部網(wǎng)絡(luò)到DMZ網(wǎng)絡(luò)的訪問，它允許內(nèi)部系統(tǒng)只訪問堡壘主機(jī)。外層的路由器的過濾規(guī)則要求只接收來自堡壘主機(jī)的去往外部網(wǎng)絡(luò)的數(shù)據(jù)。5.3.2防火墻常見體系結(jié)構(gòu)71對(duì)于此結(jié)構(gòu)的防火墻，入侵者必須突破三個(gè)不同的設(shè)備都能侵襲內(nèi)部網(wǎng)絡(luò)：外部路由器、堡壘主機(jī)和內(nèi)部路由器。由于外部路由器只能向外部網(wǎng)絡(luò)通告DMZ網(wǎng)絡(luò)的存在，這樣保證了內(nèi)部網(wǎng)絡(luò)的“不可見”。由于內(nèi)部路由器只向內(nèi)部網(wǎng)絡(luò)通告DMZ網(wǎng)絡(luò)的存在，內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往外部網(wǎng)絡(luò)，這樣保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過駐留在堡壘主機(jī)上的代理服務(wù)才能訪問外部網(wǎng)絡(luò)。5.3.3防火墻技術(shù)分類72防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同分為很多種類型，但總體來講可分為包過濾、應(yīng)用層網(wǎng)關(guān)、狀態(tài)檢測等幾大類。1.包過濾技術(shù)包是網(wǎng)絡(luò)上信息流動(dòng)的基本單位，數(shù)據(jù)包過濾技術(shù)是在網(wǎng)絡(luò)中的適當(dāng)位置(網(wǎng)絡(luò)層)對(duì)數(shù)據(jù)包實(shí)施有選擇的通過的技術(shù)--即制定過濾規(guī)則。5.3.3防火墻技術(shù)分類選擇好過濾規(guī)則后，只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應(yīng)的網(wǎng)絡(luò)接口，而其余數(shù)據(jù)包則從數(shù)據(jù)流中被丟棄。5.3.3防火墻技術(shù)分類包過濾一般要檢查下面幾項(xiàng)：(1)IP源地址(2)IP目的地址；(3)協(xié)議類型(TCP包、UDP包、ICMP包)；(4)TCP或UDP的源端口；(5)TCP或UDP的目的端口；(6)ICMP消息類型；(7)TCP報(bào)頭中的ACK位。另外，TCP的序列號(hào)、確認(rèn)號(hào)，IP校驗(yàn)以及分段偏移也往往是要檢查的選項(xiàng)。5.3.3防火墻技術(shù)分類數(shù)據(jù)包過濾可以控制站點(diǎn)與站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問，但不能控制傳輸?shù)臄?shù)據(jù)內(nèi)容，因?yàn)閮?nèi)容是應(yīng)用層數(shù)據(jù)。5.3.3防火墻技術(shù)分類包過濾防火墻對(duì)接收的數(shù)據(jù)包進(jìn)行審查以便確定其是否與某一條包過濾規(guī)則匹配，進(jìn)而來做允許或拒絕的決定。不管是否符合過濾規(guī)則，防火墻一般要記錄數(shù)據(jù)包情況。不符合規(guī)則的包要報(bào)警或通知管理員。對(duì)于丟棄的數(shù)據(jù)包防火墻可以給發(fā)送方一個(gè)消息，也可以不發(fā)送，這取決于包過濾規(guī)則。如果返回一個(gè)消息，攻擊者可能會(huì)根據(jù)拒絕包的類型猜測包過濾規(guī)則的大致情況。5.3.3防火墻技術(shù)分類數(shù)據(jù)包過濾技術(shù)是防火墻中最常用的技術(shù)。對(duì)于一個(gè)充滿危險(xiǎn)的網(wǎng)絡(luò)，過濾路由器提供了一種方法，用這種方法可以阻塞某些主機(jī)和網(wǎng)絡(luò)連入內(nèi)部網(wǎng)絡(luò)，也可以限制內(nèi)部人員對(duì)一些站點(diǎn)的訪問。優(yōu)點(diǎn)：簡單實(shí)用、成本低、一定程度上保證系統(tǒng)安全。缺點(diǎn)：首先，無法識(shí)別應(yīng)用層的入侵，并且數(shù)據(jù)包信息很容易被竊聽；其次，過濾規(guī)則受到過濾器的限制，且規(guī)則數(shù)目過多，會(huì)影響網(wǎng)絡(luò)傳輸?shù)男阅?；再次，要求管理員的水平比較高。5.3.3防火墻技術(shù)分類2.應(yīng)用層網(wǎng)關(guān)技術(shù)應(yīng)用層網(wǎng)關(guān)技術(shù)也稱為代理技術(shù)，它與包過濾技術(shù)完全不同，包過濾技術(shù)是在網(wǎng)絡(luò)層攔截所有的信息流，代理技術(shù)是針對(duì)每一個(gè)特定應(yīng)用都有的一個(gè)程序，是在應(yīng)用層實(shí)現(xiàn)防火墻的功能。代理服務(wù)是在防火墻主機(jī)上運(yùn)行的專門的應(yīng)用程序或服務(wù)器程序，這些程序根據(jù)安全策略處理用戶對(duì)網(wǎng)絡(luò)服務(wù)的請(qǐng)求。代理服務(wù)具有兩個(gè)部件：一個(gè)是服務(wù)器端代理，一個(gè)是客戶端代理，其工作原理如下圖所示。5.3.3防火墻技術(shù)分類代理客戶代理服務(wù)器5.3.3防火墻技術(shù)分類代理使得網(wǎng)絡(luò)管理員能夠?qū)崿F(xiàn)比包過濾路由器更嚴(yán)格的安全策略，它能夠?qū)?yīng)用程序的數(shù)據(jù)進(jìn)行校驗(yàn)以確保數(shù)據(jù)格式可以接受。應(yīng)用層網(wǎng)關(guān)不用依賴包過濾工具來管理Internet服務(wù)在防火墻系統(tǒng)中的進(jìn)出，而是采用為每種所需服務(wù)在網(wǎng)關(guān)上安裝特殊代碼（代理服務(wù)）的方式來管理Internet服務(wù)，即進(jìn)行協(xié)議過濾。應(yīng)用層網(wǎng)關(guān)能夠讓網(wǎng)絡(luò)管理員進(jìn)行全面的控制。如果網(wǎng)絡(luò)管理員沒有為某種應(yīng)用安裝代理編碼，那么該項(xiàng)服務(wù)就不支持并且不能通過防火墻系統(tǒng)來轉(zhuǎn)發(fā)。5.3.3防火墻技術(shù)分類3.電路層網(wǎng)關(guān)技術(shù)電路層網(wǎng)關(guān)也稱回路層代理，工作原理與組成結(jié)構(gòu)和應(yīng)用層網(wǎng)關(guān)相似。電路層網(wǎng)關(guān)并不針對(duì)專門的應(yīng)用協(xié)議，它用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會(huì)話是否合法。

一旦網(wǎng)關(guān)認(rèn)為會(huì)話是合法的，就為雙方建立連接，并維護(hù)一張合法會(huì)話連接表，當(dāng)會(huì)話信息與表中的條目匹配時(shí)，才允許數(shù)據(jù)通過，會(huì)話結(jié)束后表中的條目就被刪除。5.3.3防火墻技術(shù)分類連接的發(fā)起方不直接與響應(yīng)方建立連接，而是與電路層網(wǎng)關(guān)交互，由它再與響應(yīng)方建立連接。這樣，電路層網(wǎng)關(guān)將建立兩個(gè)TCP連接，一個(gè)是在電路層網(wǎng)關(guān)和內(nèi)部主機(jī)上一個(gè)TCP用戶之間；另一個(gè)是在電路層網(wǎng)關(guān)和外部主機(jī)上一個(gè)TCP用戶之間。5.3.3防火墻技術(shù)分類優(yōu)點(diǎn)：能夠提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能，在使用內(nèi)部網(wǎng)絡(luò)地址機(jī)制時(shí)為網(wǎng)絡(luò)管理員實(shí)現(xiàn)安全提供了很大的靈活性。缺點(diǎn)：要求終端用戶通過身份認(rèn)證；不能很好地區(qū)分包的真實(shí)意圖，容易受到諸如IP欺騙等攻擊。5.3.3防火墻技術(shù)分類4.狀態(tài)檢測技術(shù)狀態(tài)檢測技術(shù)采用的是一種基于連接的狀態(tài)檢測機(jī)制，將屬于同一連接的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成連接狀態(tài)表，通過規(guī)則表與狀態(tài)表的共同配合，對(duì)表中的各個(gè)連接狀態(tài)因素加以識(shí)別。本章目錄5.1網(wǎng)絡(luò)安全問題概述5.2

網(wǎng)絡(luò)相關(guān)知識(shí)5.3防火墻技術(shù)5.4入侵檢測技術(shù)5.5網(wǎng)絡(luò)常見的攻防技術(shù)5.6案例分析5.4入侵檢測技術(shù)入侵檢測(IntrusionDetection)是對(duì)入侵行為的發(fā)覺，它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，并在不影響網(wǎng)絡(luò)性能的情況下，對(duì)網(wǎng)絡(luò)進(jìn)行檢測，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。5.4入侵檢測技術(shù)入侵檢測系統(tǒng)（IDS）：進(jìn)行入侵檢測的軟件與硬件的組合。入侵檢測技術(shù)是動(dòng)態(tài)安全技術(shù)的最核心技術(shù)之一，它是防火墻的合理補(bǔ)充，被認(rèn)為是防火墻的第二道安全防線。入侵檢測技術(shù)能夠：幫助系統(tǒng)主動(dòng)對(duì)付網(wǎng)絡(luò)攻擊；擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、安全監(jiān)視和檢測、入侵識(shí)別、入侵取證和響應(yīng)）。5.4.1入侵檢測技術(shù)的分類1.根據(jù)數(shù)據(jù)來源（信息源）分類(1)基于主機(jī)的入侵檢測系統(tǒng)（HIDS）HIDS為早期的入侵檢測系統(tǒng)結(jié)構(gòu)，其檢測目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。如圖所示。89報(bào)警攻擊模式庫配置系統(tǒng)庫入侵分析引擎

響應(yīng)處理

數(shù)據(jù)采集安全控制主機(jī)系統(tǒng)系統(tǒng)操作審計(jì)記錄/協(xié)議數(shù)據(jù)簡單的入侵檢測系統(tǒng)示意圖檢測原理：在每一個(gè)需要保護(hù)的主機(jī)（端系統(tǒng)）上運(yùn)行代理程序，根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，從而實(shí)現(xiàn)監(jiān)控。因此：HIDS依賴于審計(jì)數(shù)據(jù)或系統(tǒng)日志的準(zhǔn)確性和完整性，以及安全事件的定義。5.4.1入侵檢測技術(shù)的分類5.4.1入侵檢測技術(shù)的分類HIDS的優(yōu)勢：⑴能夠精確地判斷入侵行為，并及時(shí)響應(yīng)；⑵監(jiān)控主機(jī)上特定用戶活動(dòng)、系統(tǒng)運(yùn)行情況；⑶能夠檢測到NIDS無法檢測的攻擊；⑷適用加密和交換的環(huán)境；⑸檢測和響應(yīng)接近實(shí)時(shí)性；⑹沒有帶寬的限制、不需要額外的硬件設(shè)備。5.4.1入侵檢測技術(shù)的分類HIDS的局限：⑴對(duì)被保護(hù)主機(jī)的性能和安全性會(huì)帶來影響；⑵依賴宿主OS的可靠性，它要求系統(tǒng)本身應(yīng)該具備基本的安全功能并具有合理的設(shè)置；⑶HIDS的數(shù)據(jù)源受到審計(jì)系統(tǒng)的限制；⑷通用性較差，維護(hù)/升級(jí)不方便。5.4.1入侵檢測技術(shù)的分類(2)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)通過在共享網(wǎng)段上對(duì)通信數(shù)據(jù)進(jìn)行偵聽采集數(shù)據(jù)，分析可疑現(xiàn)象。這類系統(tǒng)不需要主機(jī)提供嚴(yán)格的審計(jì)，因而對(duì)主機(jī)資源消耗少，并且由于網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的，它可以提供對(duì)網(wǎng)絡(luò)通用的保護(hù)，而無需顧及異構(gòu)主機(jī)的不同架構(gòu)。NIDS的優(yōu)勢：⑴檢測的范圍是整個(gè)網(wǎng)段，而不僅僅是被保護(hù)的主機(jī)。采用集中管理的分布工作方式，能遠(yuǎn)程監(jiān)控。⑵實(shí)時(shí)檢測和應(yīng)答。⑶隱蔽性好。不需要在每個(gè)主機(jī)上安裝，不易被發(fā)現(xiàn)。⑷不需要任何特殊的審計(jì)和登錄機(jī)制，只要配置網(wǎng)絡(luò)接口就可以了，不會(huì)影響其他數(shù)據(jù)源。⑸操作系統(tǒng)獨(dú)立。NIDS系統(tǒng)單獨(dú)架設(shè)，不占用其它計(jì)算機(jī)系統(tǒng)的任何資源。⑹NIDS不會(huì)成為系統(tǒng)中的關(guān)鍵路徑，所以系統(tǒng)發(fā)生故障不會(huì)影響正常業(yè)務(wù)的運(yùn)行。NIDS的局限：⑴網(wǎng)絡(luò)局限。只能檢測經(jīng)過本網(wǎng)段的活動(dòng)，且精確度較差。在交換式網(wǎng)絡(luò)環(huán)境下會(huì)出現(xiàn)監(jiān)測范圍的局限且難以配置，防入侵欺騙的能力也比較差。無法知道主機(jī)內(nèi)部的安全情況。⑵檢測方法局限。難以審查處理加密數(shù)據(jù)流的內(nèi)容，對(duì)主機(jī)上執(zhí)行的命令也難以檢測。對(duì)重放攻擊無能為力。對(duì)DoS攻擊也沒有有效的辦法。因此，一個(gè)完備的IDS系統(tǒng)一定是HIDS和NIDS兩種方式兼?zhèn)涞姆植际较到y(tǒng)。5.4.1入侵檢測技術(shù)的分類(3)分布式入侵檢測系統(tǒng)分布式IDS系統(tǒng)是指具有分布式布置、分布式檢測和分布式管理能力的IDS系統(tǒng)。它的目標(biāo)是既能檢測網(wǎng)絡(luò)入侵行為，又能檢測主機(jī)的入侵行為。優(yōu)勢：對(duì)大型網(wǎng)絡(luò)的安全是有幫助的，它能夠?qū)IDS和NIDS的系統(tǒng)結(jié)構(gòu)結(jié)合起來，檢測所用到的數(shù)據(jù)源豐富，可克服前兩者的弱點(diǎn)。局限：首先，可擴(kuò)展性比較差。其次，統(tǒng)一數(shù)據(jù)格式的建立還需要進(jìn)一步的研究，才能使系統(tǒng)具有更廣泛的應(yīng)用范圍，更好的兼容性和可擴(kuò)展性。再次，增加了網(wǎng)絡(luò)管理復(fù)雜度。5.4.1入侵檢測技術(shù)的分類2.根據(jù)分析方法分類(1)異常檢測（AnomalyDetection）異常檢測系統(tǒng)通過運(yùn)行在系統(tǒng)或應(yīng)用層的監(jiān)控程序監(jiān)控用戶的行為，將當(dāng)前主體的活動(dòng)情況和用戶輪廓進(jìn)行比較。用戶輪廓通常定義為各種行為參數(shù)及其閾值的集合，用于描述正常行為范圍。當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。異常檢測系統(tǒng)的效率取決于用戶輪廓的完備性和監(jiān)控的頻率。5.4.1入侵檢測技術(shù)的分類(2)誤用檢測（MisuseDetection）進(jìn)行誤用檢測的前提是所有的入侵行為都有可被檢測到的特征。誤用檢測系統(tǒng)提供攻擊特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)，系統(tǒng)就認(rèn)為這種行為是入侵。如果正常的用戶行為與入侵特征相匹配

錯(cuò)報(bào);如果沒有特征能與某種新的攻擊行為匹配

漏報(bào)。此模式降低錯(cuò)報(bào)率，但增加了漏報(bào)率，因?yàn)楣籼卣鞯募?xì)微變化，就會(huì)使錯(cuò)誤檢測無能為力。5.4.1入侵檢測技術(shù)的分類3.根據(jù)時(shí)效性分類(1)脫機(jī)檢測是非實(shí)時(shí)工作的系統(tǒng)，在行為發(fā)生后，對(duì)產(chǎn)生的數(shù)據(jù)進(jìn)行分析。(2)聯(lián)機(jī)檢測在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時(shí)對(duì)其進(jìn)行檢查，以發(fā)現(xiàn)攻擊行為5.4.1入侵檢測技術(shù)的分類4.根據(jù)分布性分類(1)集中式系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)模塊都集中在一臺(tái)主機(jī)上運(yùn)行(2)分布式系統(tǒng)的各個(gè)模塊分布在網(wǎng)絡(luò)中不同的計(jì)算機(jī)、設(shè)備上，一般來說分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上5.4.2入侵檢測的基本工作原理101下圖所示是一個(gè)通用的入侵檢測系統(tǒng)結(jié)構(gòu)數(shù)據(jù)數(shù)據(jù)采集數(shù)據(jù)數(shù)據(jù)預(yù)處理事件數(shù)據(jù)分析事件結(jié)果處理數(shù)據(jù)事件可以被分析模塊識(shí)別和處理的數(shù)據(jù)稱為事件。5.4.3NIDS入侵檢測的工作原理102基于網(wǎng)絡(luò)的入侵檢測通過監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包來獲得必要的數(shù)據(jù)來源，并通過協(xié)議分析、特征匹配、統(tǒng)計(jì)分析等手段發(fā)現(xiàn)當(dāng)前的攻擊行為。1.網(wǎng)絡(luò)數(shù)據(jù)包的截獲共享以太網(wǎng)環(huán)境下的數(shù)據(jù)截獲—要截獲流經(jīng)網(wǎng)卡的不屬于本主機(jī)的數(shù)據(jù)，必須繞過系統(tǒng)正常的處理機(jī)制，直接訪問網(wǎng)絡(luò)底層。首先將網(wǎng)卡的工作模式設(shè)置為混雜模式，使之可以接收不是發(fā)往本機(jī)的數(shù)據(jù)包，然后直接訪問數(shù)據(jù)鏈路層，截獲相關(guān)數(shù)據(jù)，由應(yīng)用程序?qū)?shù)據(jù)進(jìn)行過濾處理，這樣可以截獲流經(jīng)網(wǎng)卡的所有數(shù)據(jù)。5.4.3NIDS入侵檢測的工作原理1032.檢測引擎的設(shè)計(jì)從實(shí)現(xiàn)機(jī)制來看，檢測引擎分為兩大類：嵌入式規(guī)則檢測引擎和可編程的檢測引擎。檢測技術(shù)可有兩種：特征（Signature）分析技術(shù)和協(xié)議（protocol）分析技術(shù)。5.4.4HIDS入侵檢測的工作原理104典型的HIDS入侵檢測系統(tǒng)結(jié)構(gòu)如下圖所示。目標(biāo)系統(tǒng)審計(jì)數(shù)據(jù)收集審計(jì)數(shù)據(jù)預(yù)處理數(shù)據(jù)分析管理員接口審計(jì)數(shù)據(jù)歸檔/查詢

審計(jì)

記錄數(shù)據(jù)庫首先要考慮審計(jì)數(shù)據(jù)的來源，其次要考慮審計(jì)數(shù)據(jù)的獲取方式。預(yù)處理的主要任務(wù)是形成標(biāo)準(zhǔn)記錄格式，這將有利于不同目標(biāo)平臺(tái)系統(tǒng)之間的移植。本章目錄5.1網(wǎng)絡(luò)安全問題概述5.2

網(wǎng)絡(luò)相關(guān)知識(shí)5.3防火墻技術(shù)5.4入侵檢測技術(shù)5.5網(wǎng)絡(luò)常見的攻防技術(shù)5.6案例分析5.5網(wǎng)絡(luò)常見的攻防技術(shù)緩沖區(qū)溢出蠕蟲IP欺騙拒絕服務(wù)DoS攻擊網(wǎng)絡(luò)偵聽Sniffer攻擊端口掃描技術(shù)特洛伊木馬口令破譯5.5.1緩沖區(qū)溢出緩沖區(qū)是系統(tǒng)為運(yùn)行程序中的變量分配的內(nèi)存空間。緩沖區(qū)溢出是指數(shù)據(jù)被添加到分配給該緩沖區(qū)的內(nèi)存塊之外，原因是系統(tǒng)程序沒有檢測輸入的參數(shù)，也就是沒有檢測為變量輸入的值的長度是否符合要求。緩沖區(qū)溢出是非常普遍和危險(xiǎn)的漏洞，在各種操作系統(tǒng)、應(yīng)用軟件中廣泛存在。溢出造成了兩種后果：一是過長的字串覆蓋了相鄰的存儲(chǔ)單元，引起程序運(yùn)行失敗，嚴(yán)重的可引起死機(jī)、系統(tǒng)重新啟動(dòng)等后果；二是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)特權(quán)，使用一類精心編寫的程序，可以很輕易地取得系統(tǒng)的超級(jí)用戶權(quán)限。

5.5.1緩沖區(qū)溢出緩沖區(qū)溢出是由于軟件的開發(fā)者在編寫軟件時(shí)缺乏全面的考慮，對(duì)一些函數(shù)參數(shù)的長度及范圍沒有過細(xì)地限制。當(dāng)程序做成軟件產(chǎn)品以后，用戶可以關(guān)閉軟件受影響部分的功能，另一方面可以向軟件的發(fā)行商求助，索取補(bǔ)丁程序。這就要求軟件的作者編寫補(bǔ)丁程序來完善軟件，以提高自己的服務(wù)。軟件的開發(fā)者應(yīng)在編寫原代碼時(shí)應(yīng)從這些方面考慮：1.編寫正確的代碼2.非執(zhí)行的緩沖區(qū)3.數(shù)組邊界檢查4.程序指針完整性檢查5.5.2蠕蟲1091.蠕蟲的定義：計(jì)算機(jī)蠕蟲是可以獨(dú)立運(yùn)行，并能把一個(gè)包含其自身所有功能的版本傳播到另外的計(jì)算機(jī)上。計(jì)算機(jī)蠕蟲是一種可以通過網(wǎng)絡(luò)（永久性網(wǎng)絡(luò)連接或撥號(hào)網(wǎng)絡(luò)）進(jìn)行自身復(fù)制的病毒程序。一旦在系統(tǒng)中激活，蠕蟲可以表現(xiàn)得像計(jì)算機(jī)病毒。蠕蟲是一個(gè)獨(dú)立運(yùn)行的程序，自身不改變其他的程序，但可攜帶一個(gè)具有改變其他程序功能的病毒。5.5.2蠕蟲2.基本原理蠕蟲程序的工作流程可以分為漏洞掃描、攻擊、復(fù)制三個(gè)階段。漏洞掃描當(dāng)程序向某個(gè)主機(jī)發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個(gè)可攻擊（傳播）的對(duì)象。按蠕蟲對(duì)目標(biāo)地址空間的選擇方式進(jìn)行分類。復(fù)制蠕蟲通過原主機(jī)和新主機(jī)之間的交互，將蠕蟲程序復(fù)制到新主機(jī)并啟動(dòng)5.5.3IP欺騙IP欺騙即IPspoof，是指一臺(tái)主機(jī)設(shè)備冒充另外一臺(tái)主機(jī)的IP地址，與其他設(shè)備進(jìn)行通信，從而達(dá)到某種目的技術(shù)。實(shí)際上，IP欺騙不是黑客想要進(jìn)攻的結(jié)果，而是他們利用它來達(dá)到其他目的。幾乎所有的欺騙都是基于計(jì)算機(jī)之間的相互信任關(guān)系的，例如在NT域之間的信任，最簡單的如Windows共享信任，它可以不需要密碼就能對(duì)網(wǎng)絡(luò)鄰居進(jìn)行訪問。IP欺騙實(shí)際上是計(jì)算機(jī)主機(jī)之間信任關(guān)系的破壞。5.5.3IP欺騙1.IP欺騙原理假如在一個(gè)網(wǎng)絡(luò)內(nèi)部有這樣的信任關(guān)系：計(jì)算機(jī)A信任計(jì)算機(jī)B，計(jì)算機(jī)B又信任計(jì)算機(jī)C。黑客為了對(duì)網(wǎng)絡(luò)進(jìn)行入侵，可以假冒計(jì)算機(jī)B來欺騙計(jì)算機(jī)A和C，也可以假冒計(jì)算機(jī)A或C來欺騙計(jì)算機(jī)B。ABCH為了假冒計(jì)算機(jī)B去欺騙計(jì)算機(jī)A，首先就要使計(jì)算機(jī)B的網(wǎng)絡(luò)功能失去作用，這可以通過拒絕服務(wù)攻擊來實(shí)現(xiàn)。5.5.3IP欺騙2.IP欺騙攻擊過程黑客為了進(jìn)行IP欺騙，需要進(jìn)行以下工作：使得被信任的主機(jī)喪失工作能力，同時(shí)采樣目標(biāo)主機(jī)發(fā)出的TCP序列號(hào)，猜測出它的數(shù)據(jù)序列號(hào)。然后，偽裝成被信任的主機(jī)，同時(shí)建立起與目標(biāo)主機(jī)基于地址驗(yàn)證的應(yīng)用鏈接。5.5.3IP欺騙3.IP欺騙的預(yù)防拋棄基于地址的信任策略。放棄以地址為基礎(chǔ)的驗(yàn)證;不允許遠(yuǎn)程調(diào)用命令的使用。進(jìn)行包過濾。如果網(wǎng)絡(luò)是通過路由器接入Internet的，那么可以利用路由器來進(jìn)行包過濾。確信只有內(nèi)部LAN可以使用信任關(guān)系，而內(nèi)部LAN上的主機(jī)對(duì)于LAN以外的主機(jī)的信任關(guān)系要慎重處理。路由器可以過濾掉所有來自于外部而希望與內(nèi)部建立連接的請(qǐng)求。使用加密方法。阻止IP欺騙的另一種明顯的方法是在通信時(shí)要求加密傳輸和驗(yàn)證。當(dāng)有多種手段并存時(shí)，可能加密方法最為適用。使用隨機(jī)化的初始序列號(hào)。5.5.4拒絕服務(wù)DoS攻擊1.概述拒絕服務(wù)攻擊(DenialofService,DoS)是一種簡單的破壞性攻擊，它的技術(shù)含量低，攻擊效果明顯。通常黑客利用TCP/IP中的某種漏洞，或者系統(tǒng)存在的某些漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模地攻擊，使得攻擊目標(biāo)失去工作能力，使得系統(tǒng)不可訪問因而合法用戶不能及時(shí)得到應(yīng)得的服務(wù)或系統(tǒng)資源，如CPU處理時(shí)間與網(wǎng)絡(luò)帶寬等。它最本質(zhì)的特征是延長正常的應(yīng)用服務(wù)的等待時(shí)間。拒絕服務(wù)攻擊的目的不在于闖入一個(gè)站點(diǎn)或更改數(shù)據(jù)，而在于使站點(diǎn)無法服務(wù)于合法的請(qǐng)求。入侵者并不單純?yōu)榱诉M(jìn)行拒絕服務(wù)而入侵，往往是為了完成其他的入侵而必須的前提。5.5.4拒絕服務(wù)DoS攻擊根據(jù)TCP/IP協(xié)議的原理，當(dāng)客戶端要和服務(wù)器進(jìn)行通信時(shí)，會(huì)經(jīng)過請(qǐng)求/確認(rèn)的方式進(jìn)行聯(lián)系，如用戶登錄服務(wù)器時(shí)，首先是用戶傳送信息要求服務(wù)器確認(rèn)，服務(wù)器給予響應(yīng)回復(fù)客戶端請(qǐng)求，當(dāng)被確認(rèn)后客戶端才能正式和服務(wù)器交流信息。在拒絕服務(wù)攻擊情況下，黑客憑借虛假地址向服務(wù)器提交連接請(qǐng)求，當(dāng)然服務(wù)器回復(fù)信息時(shí)就送給這個(gè)虛假地址，但是服務(wù)器回傳時(shí)卻無法找到這個(gè)地址，根據(jù)TCP/IP連接原理，此時(shí)服務(wù)器會(huì)進(jìn)行等待，達(dá)到超時(shí)設(shè)置時(shí)才會(huì)斷開這個(gè)連接。5.5.4拒絕服務(wù)DoS攻擊如果攻擊者傳送多個(gè)這樣的請(qǐng)求或利用多個(gè)站點(diǎn)同時(shí)傳送這樣的請(qǐng)求，那么服務(wù)器就會(huì)等待更長的時(shí)間，這個(gè)過程周而復(fù)始，最終會(huì)導(dǎo)致服務(wù)器資源用盡，網(wǎng)絡(luò)帶寬用完，正常的服務(wù)請(qǐng)求不能被服務(wù)器處理及回復(fù)而形成服務(wù)器的拒絕服務(wù)。拒絕服務(wù)并不是服務(wù)器不接受服務(wù)，而是服務(wù)器太忙，不能及時(shí)地響應(yīng)請(qǐng)求，相對(duì)于客戶來說就認(rèn)為是服務(wù)器拒絕給予服務(wù)，它嚴(yán)重時(shí)會(huì)造成服務(wù)器死機(jī)，甚至導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。5.5.4拒絕服務(wù)DoS攻擊2.拒絕服務(wù)攻擊分類(1)Ping攻擊通過Ping命令向被攻擊者發(fā)送大量超大字節(jié)的ICMP報(bào)文來攻擊。(2)SYNFlood以假IP發(fā)送偽造數(shù)據(jù)卻不接收響應(yīng)請(qǐng)求—半開連接。(3)Land攻擊將一個(gè)特別定制的SYN包中的源地址和目標(biāo)地址都設(shè)置成某一個(gè)服務(wù)器地址，這時(shí)將導(dǎo)致接收服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)。5.5.4拒絕服務(wù)DoS攻擊3.分布式拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊（DDoS）是在傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。它和傳統(tǒng)的DoS攻擊不同的是采用多點(diǎn)對(duì)一點(diǎn)的攻擊策略，它是目前黑客經(jīng)常采用而難以防范的攻擊手段，當(dāng)今尚無有效手段進(jìn)行防范。分布式拒絕服務(wù)攻擊的原理很簡單，如果計(jì)算機(jī)服務(wù)器與網(wǎng)絡(luò)的處理能力提高了2倍，用一臺(tái)攻擊機(jī)來攻擊不再起作用了，但是攻擊者使用10臺(tái)、100臺(tái)攻擊機(jī)同時(shí)攻擊則后果就可想而知了，DDoS就是利用更多的傀儡機(jī)來發(fā)起進(jìn)攻，用比從前更大的規(guī)模來攻擊受害者。5.5.4拒絕服務(wù)DoS攻擊一個(gè)完善的DDoS攻擊體系可由攻擊者、主控端、代理端和被攻擊者四部分組成，如下圖所示。攻擊者主控端代理端被攻擊者主控端代理端代理端代理端……5.5.4拒絕服務(wù)DoS攻擊一般來說，DDoS攻擊的典型過程可以分為3個(gè)階段，即信息收集、占領(lǐng)傀儡計(jì)算機(jī)和攻擊實(shí)施。信息收集(踩點(diǎn))：目標(biāo)主機(jī)的數(shù)目、配置、性能等?？軝C(jī)：傀儡機(jī)有兩個(gè)作用：一是攻擊者為了掩蔽自己不被發(fā)現(xiàn)，二是為了達(dá)到需要的攻擊力度。攻擊實(shí)施：5.5.5網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽，通常也稱為網(wǎng)絡(luò)嗅探，即監(jiān)視探聽。黑客利用它，就有可能在信息以明文方式傳輸時(shí)，利用網(wǎng)絡(luò)監(jiān)聽來進(jìn)行攻擊。因?yàn)樵诰W(wǎng)絡(luò)上，監(jiān)聽的設(shè)置可以在任何一個(gè)位置，但比較理想的地方是在網(wǎng)關(guān)、路由器、防火墻之類的設(shè)備處。所以，當(dāng)黑客將網(wǎng)絡(luò)接口設(shè)置為監(jiān)聽模式時(shí)，就很容易截獲網(wǎng)上的信息。如果黑客截獲用戶的口令，它就有可能登錄某主機(jī)系統(tǒng)，并竊取超級(jí)用戶的權(quán)限，獲得重要信息。5.5.5網(wǎng)絡(luò)監(jiān)聽嗅探器的英文名稱是Sniff，可以理解為一個(gè)安裝在計(jì)算機(jī)上的竊聽設(shè)備，它可以用來竊聽計(jì)算機(jī)在網(wǎng)絡(luò)上所傳送的信息。計(jì)算機(jī)網(wǎng)絡(luò)嗅探器則可以竊聽計(jì)算機(jī)程序在網(wǎng)絡(luò)上發(fā)送和接收到的數(shù)據(jù)，不過這些數(shù)據(jù)是大量無意義的二進(jìn)制數(shù)據(jù)。必須使用特定的網(wǎng)絡(luò)協(xié)議來分析嗅探到的數(shù)據(jù)，只有這樣才能夠進(jìn)行正確的解碼5.5.5網(wǎng)絡(luò)監(jiān)聽防范：加密入侵檢測使用antisniffer軟件5.5.6端口掃描技術(shù)計(jì)算機(jī)在進(jìn)行網(wǎng)絡(luò)通信時(shí)開放一定的網(wǎng)絡(luò)端口，不同的服務(wù)以不同的端口進(jìn)行通信。計(jì)算機(jī)提供的端口共有65536個(gè)，以供各種網(wǎng)絡(luò)應(yīng)用程序使用，如FTP使用21端口，WWW使用80端口。Internet使用的TCP/IP協(xié)議規(guī)定在網(wǎng)絡(luò)的傳輸層有兩種協(xié)議TCP和UDP。端口就是這兩個(gè)協(xié)議打開的，是TCP和UDP協(xié)議與上層應(yīng)用程序之間的接口點(diǎn)。當(dāng)裝好網(wǎng)絡(luò)操作系統(tǒng)后默認(rèn)狀態(tài)下就開了很多服務(wù)端口，黑客要攻擊目標(biāo)系統(tǒng)就可以利用端口作為入侵系統(tǒng)的通道，但是前提是必須知道是哪些端口在提供服務(wù)，一個(gè)最好的辦法就是利用端口掃描技術(shù)來對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行端口掃描。5.5.6端口掃描技術(shù)1.端口掃描原理端口掃描就是通過向目標(biāo)主機(jī)的指定端口發(fā)送數(shù)據(jù)包，根據(jù)目標(biāo)端口的反應(yīng)確定哪些端口是開放的。此外，還可以根據(jù)端口返回的旗標(biāo)(Banners)信息進(jìn)一步判斷端口上運(yùn)行的服務(wù)類型，以及對(duì)應(yīng)軟件版本甚至操作系統(tǒng)類型。掃描器是一種自動(dòng)檢測遠(yuǎn)程或本地主機(jī)系統(tǒng)安全性缺陷或漏洞的專用程序。它不是直接攻擊網(wǎng)絡(luò)漏洞的程序，而是用來幫助用戶（包括合法和非法的用戶）發(fā)現(xiàn)目標(biāo)的某些內(nèi)在的弱點(diǎn)。5.5.6端口掃描技術(shù)2.端口掃描技術(shù)(1)TCPconnect()掃描攻擊者試圖與目標(biāo)主機(jī)的一個(gè)端口建立TCP連接，如果目標(biāo)主機(jī)未開放該端口，則connect操作失敗。使用這種方法可以檢測到目標(biāo)主機(jī)開放了哪些端口，在執(zhí)行這種掃描方式時(shí)，攻擊者不需要對(duì)目標(biāo)主機(jī)擁有任何權(quán)限，只需要連通網(wǎng)絡(luò)即可。但是這種方法很容易被目標(biāo)主機(jī)記錄。5.5.6端口掃描技術(shù)(2)TCPSYN掃描這種技術(shù)不用掃描程序打開一個(gè)完全的TCP連接，常稱為半開放掃描。因?yàn)?，掃描主機(jī)向目標(biāo)主機(jī)的端口發(fā)送一個(gè)請(qǐng)求連接的SYN報(bào)文，似乎準(zhǔn)備打開一個(gè)真正的連接并等待反應(yīng)。如果目標(biāo)主機(jī)返回SYN/ACK，表示端口處于偵聽狀態(tài)；若返回RST數(shù)據(jù)包，則表示端口沒有處于偵聽狀態(tài)，從而可以判斷端口是否開放。如果收到SYN/ACK，則掃描程序必須再發(fā)送一個(gè)RST信號(hào)來關(guān)閉這個(gè)連接過程。這樣，TCP的3次握手并沒有完成，正常的TCP連接無法建立，因此這個(gè)掃描信息不會(huì)進(jìn)入目標(biāo)主機(jī)的系統(tǒng)日志，一般不會(huì)在目標(biāo)計(jì)算機(jī)上留下痕跡。5.5.6端口掃描技術(shù)(3)TCPFIN掃描多數(shù)過濾器能過濾SYN報(bào)文，但是允許FIN報(bào)文通過，而且日志系統(tǒng)一般不會(huì)記錄FIN報(bào)文，利用這一特點(diǎn)的掃描就是TCPFIN掃描。TCPFIN的掃描過程是：掃描主機(jī)向目標(biāo)主機(jī)的端口發(fā)送一個(gè)請(qǐng)求連接的FIN報(bào)文，如果FIN數(shù)據(jù)包到達(dá)一個(gè)開放的端口，則數(shù)據(jù)包將被丟棄，不返回任何信息；相反，如果到達(dá)一個(gè)未開放的端口，TCP就會(huì)認(rèn)為是錯(cuò)誤的，數(shù)據(jù)包被丟掉，并返回一個(gè)RST數(shù)據(jù)包，以此判斷出目標(biāo)端口是否開放。5.5.6端口掃描技術(shù)(4)IP段掃描這種方法不直接發(fā)送TCP探測數(shù)據(jù)包，而是預(yù)先將數(shù)據(jù)包分成兩個(gè)較小的IP數(shù)據(jù)包傳送給目的主機(jī)，目標(biāo)主機(jī)收到這些IP分片后會(huì)把它們組合還原為原先TCP探測數(shù)據(jù)包。將數(shù)據(jù)包分片的目的是使之能夠通過防火墻和包過濾器，因?yàn)橛行┓阑饓桶^濾器對(duì)分片單個(gè)檢查，發(fā)現(xiàn)不了分片重組之后的數(shù)據(jù)包所具有的掃描功能。5.5.6端口掃描技術(shù)防范技術(shù)(1)關(guān)閉閑置和有潛在危險(xiǎn)的端口可以采用“定向關(guān)閉指定服務(wù)的端口”和“只開放允許端口”的方式，在操作系統(tǒng)中關(guān)閉掉一些閑置端口?！岸ㄏ蜿P(guān)閉指定服務(wù)的端口”是將計(jì)算機(jī)的一些閑置的“服務(wù)”關(guān)閉掉，其對(duì)應(yīng)的端口也就被關(guān)閉了?！爸婚_放允許端口的方式”，可以利用系統(tǒng)的“TCP/IP篩選”功能實(shí)現(xiàn)，設(shè)置的時(shí)候只允許系統(tǒng)的一些基本網(wǎng)絡(luò)通信需要的端口即可。(2)檢查各端口，有端口掃描的癥狀時(shí)，立即屏蔽該端口借助軟件及網(wǎng)絡(luò)防火墻來抵御端口掃描，并設(shè)定好防火墻攔截端口掃描的規(guī)則，有端口掃描的癥狀時(shí)，立即屏蔽該端口。5.5.7特洛伊木馬1.定義特洛伊木馬(TrojanHorse)簡稱木馬，是指隱藏在正常程序中的一段具有特殊功能的惡意代碼。它不是病毒，因?yàn)樗痪邆洳《镜目蓚魅拘浴⒆晕覐?fù)制能力等特性，但它是一種具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤及其他特殊功能的后門程序。如在用戶不知情的情況下拷貝文件或竊取密碼。隨著互聯(lián)網(wǎng)的迅速發(fā)展，特洛伊木馬的攻擊、危害性越來越大。5.5.7特洛伊木馬特性：1.隱蔽性：（1）不產(chǎn)生圖標(biāo)：木馬雖然在系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)運(yùn)行，但它不會(huì)在任務(wù)欄中產(chǎn)生圖標(biāo)。（2）木馬程序以系統(tǒng)服務(wù)的方式欺騙操作系統(tǒng)，能夠自動(dòng)在任務(wù)管理器中隱藏。2.自動(dòng)運(yùn)行性：木馬為了控制服務(wù)器端，必須在系統(tǒng)啟動(dòng)時(shí)同時(shí)啟動(dòng)，所以必須潛入啟動(dòng)配置文件中，如Win.ini、System.ini、Winstart.bat等文件。3.功能的特殊性：搜索緩存中的密碼、設(shè)置密碼、掃描目標(biāo)機(jī)器IP、進(jìn)行鍵盤記錄、鎖定IP等。4.自動(dòng)恢復(fù)功能：刪除木馬中的一個(gè)程序后，其他程序會(huì)對(duì)它進(jìn)行恢復(fù)。5.能自動(dòng)打開特別的端口6.體積小5.5.7特洛伊木馬2.原理特洛伊木馬程序采用C/S模式工作，它包括服務(wù)端和客戶端兩個(gè)程序，缺掉其中任何一個(gè)都很難發(fā)生攻擊，因?yàn)槟抉R不具有傳染性，所以服務(wù)器端程序是以其他方式進(jìn)入被入侵的計(jì)算機(jī)，當(dāng)服務(wù)器端置入被攻擊機(jī)后，會(huì)在一定情況下開始運(yùn)行（如用戶主動(dòng)運(yùn)行或重新啟動(dòng)電腦，因?yàn)楹芏嗄抉R程序會(huì)自動(dòng)加入到啟動(dòng)信息中），這時(shí)它就在被攻擊主機(jī)上打開一個(gè)1024以上端口，并一直監(jiān)聽這個(gè)端口，等待客戶機(jī)端連結(jié)。5.5.7特洛伊木馬配置程序木馬程序控制程序木馬服務(wù)器端木馬控制端(客戶端)配置控制響應(yīng)5.5.7特洛伊木馬木馬的客戶端一般運(yùn)行在攻擊機(jī)上，當(dāng)攻擊機(jī)上的客戶端向被攻擊機(jī)上的這一端口提出連接請(qǐng)求時(shí)，被攻擊機(jī)上的服務(wù)端就會(huì)自動(dòng)運(yùn)行，來應(yīng)答攻擊機(jī)的請(qǐng)求，如果服務(wù)端在該端口收到數(shù)據(jù)，就對(duì)這些數(shù)據(jù)進(jìn)行分析，然后按識(shí)別后的命令在被攻擊機(jī)上執(zhí)行相應(yīng)的操作，如竊取用戶名和口令、復(fù)制或刪除文件、重新啟動(dòng)或關(guān)閉計(jì)算機(jī)等。木馬隱藏著可以控制被攻擊的系統(tǒng)危害系統(tǒng)安全的功能，可能造成對(duì)方資料和信息的泄漏、破壞，甚至使整個(gè)系統(tǒng)崩潰。5.5.8口令破譯口令認(rèn)證是計(jì)算機(jī)網(wǎng)絡(luò)中安全管理的重要組成部分，目前很多網(wǎng)絡(luò)環(huán)境都利用口令認(rèn)證機(jī)制來管理用戶入網(wǎng)，口令是用來確認(rèn)用戶身份的一種最常用方法，由于它的輸入和管理方式簡單，一直廣泛應(yīng)用于網(wǎng)絡(luò)安全。但是它有脆弱性，一旦入侵者或黑客獲得了一個(gè)用戶尤其是管理員的帳號(hào)及口令，就可以非法闖入網(wǎng)絡(luò)系統(tǒng)，進(jìn)行肆意地破壞，給整個(gè)網(wǎng)絡(luò)系統(tǒng)帶來不可估量的損失。因此口令破譯成了黑客常用的一種入侵手段。5.5.8口令破譯口令破解是一個(gè)程序，它能將口令解譯出來，或是讓口令保護(hù)失效。與信息的加/解密不同，口令破解器一般不是對(duì)加密后的口令執(zhí)行解密操作以獲取口令，因?yàn)?/p>