計算機網(wǎng)絡(luò)安全基礎(chǔ)課件 第6章 網(wǎng)絡(luò)安全技術(shù)

THEBASISOFCOMPUTERNETWORKSECURITY第6章網(wǎng)絡(luò)安全技術(shù)計算機網(wǎng)絡(luò)安全基礎(chǔ)1第6章網(wǎng)絡(luò)安全技術(shù)按照網(wǎng)絡(luò)安全技術(shù)的理論可分為：攻擊技術(shù)和防御技術(shù)。攻擊技術(shù)包括網(wǎng)絡(luò)監(jiān)聽、網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)后門等；防御技術(shù)包括加密技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)等。本章主要介紹網(wǎng)絡(luò)安全協(xié)議、網(wǎng)絡(luò)攻擊方法及對策、網(wǎng)絡(luò)加密技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)、虛擬專用網(wǎng)技術(shù)、網(wǎng)絡(luò)證技術(shù)和網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)。2第6章網(wǎng)絡(luò)安全技術(shù)●網(wǎng)絡(luò)安全協(xié)議及傳輸技術(shù)●網(wǎng)絡(luò)加密技術(shù)●防火墻技術(shù)●網(wǎng)絡(luò)攻擊類型及對策●入侵檢測技術(shù)●虛擬專用網(wǎng)技術(shù)●計算機網(wǎng)絡(luò)取證技術(shù)●網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)3（第6章）6.1網(wǎng)絡(luò)安全協(xié)議及傳輸技術(shù)46.1網(wǎng)絡(luò)安全協(xié)議及傳輸技術(shù)5在信息網(wǎng)絡(luò)中，可以在OSI七層協(xié)議中的任何一層采取安全措施。圖中給出了每一層可以利用的安全機制。大部分安全措施都采用特定的協(xié)議來實現(xiàn)，如在網(wǎng)絡(luò)層加密和認證采用IPSec（IPSecurity）協(xié)議、在傳輸層加密和認證采用SSL協(xié)議等。安全協(xié)議本質(zhì)上是關(guān)于某種應(yīng)用的一系列規(guī)定，包括功能、參數(shù)、格式和模式等，連通的各方只有共同遵守協(xié)議，才能相互操作。應(yīng)用層安全協(xié)議6（1）安全Shell（SSH）協(xié)議。是一種建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議，通過對密碼進行加密傳輸驗證，可以在不安全的網(wǎng)絡(luò)中對網(wǎng)絡(luò)服務(wù)提供安全地傳輸環(huán)境，實現(xiàn)SSH客戶端和SSH服務(wù)器的連接，所以SSH是基于客戶端-服務(wù)器模式。（2）安全電子交易（SET）協(xié)議。是基于信用卡在線支付的電子商務(wù)安全協(xié)議，它定義了交易數(shù)據(jù)在卡用戶、商家、發(fā)卡行和收單行之間的流通過程，以及支持這些交易的各種安全功能（數(shù)字簽名、Hash算法和加密等）。SET協(xié)議提供了消費者、商家和銀行之間的認證，確保了交易數(shù)據(jù)的安全性、完整可靠性和交易的不可否認性。應(yīng)用層安全協(xié)議7（3）S-HTTP協(xié)議。是一種面向安全信息通信的協(xié)議，S-HTTP協(xié)議工作在應(yīng)用層，同時對HTML進行了擴展，服務(wù)器方可以在需要進行安全保護的文檔中加入加密選項，控制對該文檔的訪問以及協(xié)商加密、解密和簽名算法等。（4）PGP協(xié)議。PGP協(xié)議主要用于安全電子郵件，它可以對通過網(wǎng)絡(luò)進行傳輸?shù)臄?shù)據(jù)創(chuàng)建和檢驗數(shù)字簽名、加密、解密以及壓縮。（5）S/MIME協(xié)議。S/MIME是一種互聯(lián)網(wǎng)標準，它在安全方面對MIME協(xié)議進行了擴展，可以將MIME實體（比如數(shù)字簽名和加密信息等）封裝成安全對象，為電子郵件應(yīng)用增添了消息真實性、完整性和保密性服務(wù)。傳輸層安全協(xié)議8（1）SSL協(xié)議。安全套接層SSL協(xié)議是Netscape開發(fā)的安全協(xié)議，它工作在傳輸層，獨立于上層應(yīng)用，為應(yīng)用提供一個安全的點—點通信隧道。SSL機制由協(xié)商過程和通信過程組成，協(xié)商過程用于確定加密機制、加密算法、交換會話密鑰服務(wù)器認證以及可選的客戶端認證，通信過程秘密傳送上層數(shù)據(jù)。（2）PCT協(xié)議。私密通信技術(shù)協(xié)議PCT是Microsoft開發(fā)的傳輸層安全協(xié)議，它與SSL協(xié)議有很多相似之處?，F(xiàn)在PCT協(xié)議已經(jīng)同SSL協(xié)議合并為TLS（傳輸層安全）協(xié)議，只是習(xí)慣上仍然把TLS協(xié)議稱為SSL協(xié)議。網(wǎng)絡(luò)層安全協(xié)議9網(wǎng)絡(luò)層安全協(xié)議通常是對網(wǎng)絡(luò)層協(xié)議的安全性增強，即在網(wǎng)絡(luò)層協(xié)議的基礎(chǔ)上增加了數(shù)據(jù)加密和認證等安全機制。IPSec協(xié)議是在IP協(xié)議的基礎(chǔ)上提供了數(shù)據(jù)保密性、數(shù)據(jù)完整性、以及抗重播等安全機制和服務(wù)，保證IP協(xié)議及上層協(xié)議能夠安全地交換數(shù)據(jù)。IPSec提供了三種不同的形式來保護通過公有或私有IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。①認證②數(shù)據(jù)完整性驗證③保密鏈路層安全協(xié)議10PPTP（點對點隧道協(xié)議）是在PPP協(xié)議的基礎(chǔ)上發(fā)展起來的一種新的增強型安全協(xié)議。它支持多協(xié)議虛擬專用網(wǎng)（VPN），可以使用密碼認證協(xié)議（PAP）、可擴展認證協(xié)議（EAP）等方式。L2TP（二層隧道協(xié)議）是一種國際標準的隧道協(xié)議。它結(jié)合了PPTP協(xié)議和二層轉(zhuǎn)發(fā)L2F協(xié)議的優(yōu)點。它可以通過各種網(wǎng)絡(luò)協(xié)議對PPP數(shù)據(jù)包進行隧道傳輸，包括ATM、SONET和幀中繼。但是L2TP沒有任何加密措施，多與IPSec協(xié)議配合使用，提供隧道認證。網(wǎng)絡(luò)安全傳輸技術(shù)11網(wǎng)絡(luò)安全傳輸通道應(yīng)該提供以下功能和特性。①機密性。通過對信息加密保證只有預(yù)期的接收者才能讀出數(shù)據(jù)。②完整性。保護信息在傳輸過程中免遭未經(jīng)授權(quán)的修改，從而保證接收到的信息與發(fā)送的信息完全相同。③對數(shù)據(jù)源的身份驗證。通過保證每個計算機的真實身份來檢查信息的來源以及完整性。④反重發(fā)攻擊。通過保證每個數(shù)據(jù)包的唯一性來確保攻擊者捕獲的數(shù)據(jù)包不能重發(fā)或重用。網(wǎng)絡(luò)層安全協(xié)議IPSec12IPSec是一個工業(yè)標準網(wǎng)絡(luò)安全協(xié)議，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護TCP/IP通信免遭竊聽和篡改，可以有效抵御網(wǎng)絡(luò)攻擊，同時保持易用性。IPSec有兩個基本目標：保護IP數(shù)據(jù)包安全；為抵御網(wǎng)絡(luò)攻擊提供防護措施。IPSec是基于一種端對端的安全模式。這種模式有一個基本前提假設(shè)，就是假定數(shù)據(jù)通信的傳輸媒介是不安全的，因此通信數(shù)據(jù)必須經(jīng)過加密，而掌握加、解密方法的只有數(shù)據(jù)流的發(fā)送端和接收端，兩者各自負責(zé)相應(yīng)的數(shù)據(jù)加、解密處理，而網(wǎng)絡(luò)中其他只負責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)的路由器或主機無需支持IPSec。網(wǎng)絡(luò)層安全協(xié)議IPSec13IPSec提供了以下3種不同的形式來保護通過公有或私有IP網(wǎng)絡(luò)傳送的私有數(shù)據(jù)。①認證。通過認證可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是否一致，同時可以確定申請發(fā)送者在實際上是真實的，還是偽裝的發(fā)送者。②數(shù)據(jù)完整驗證。通過驗證，保證數(shù)據(jù)在從原發(fā)地到目的地的傳送過程中沒有發(fā)生任何無法檢測的丟失與改變。③保密。使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無關(guān)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。IPSec通過使用兩種通信安全協(xié)議：認證頭（AuthenticationHeader，AH）協(xié)議、封裝安全載荷（EncryptionServicePayload，ESP）協(xié)議，并使用像Internet密鑰交換（InternetKeyExchange，IKE）協(xié)議之類的協(xié)議來共同實現(xiàn)安全性。認證頭（AH）協(xié)議14設(shè)計認證頭（AH）協(xié)議的目的是用來增加IP數(shù)據(jù)報的安全性。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認證和防重放保護服務(wù)。AH協(xié)議不提供任何保密性服務(wù)，它不加密所保護的數(shù)據(jù)包。AH協(xié)議的作用是為IP數(shù)據(jù)流提供高強度的密碼認證，以確保被修改過的數(shù)據(jù)包可以被檢查出來。AH協(xié)議的工作步驟如下。①IP報頭和數(shù)據(jù)負載用來生成MAC。②MAC被用來建立一個新的AH報頭，并添加到原始的數(shù)據(jù)包上。③新的數(shù)據(jù)包被傳送到IPSec對端路由器上。④對端路由器對IP報頭和數(shù)據(jù)負載生成MAC，并從AH報頭中提取出發(fā)送過來的MAC信息，且對兩個信息進行比較。封裝安全載荷（ESP）協(xié)議15封裝安全載荷（ESP）協(xié)議可以被用來提供保密性、數(shù)據(jù)來源認證（鑒別）、無連接完整性、防重放服務(wù)，以及通過防止數(shù)據(jù)流分析來提供有限的數(shù)據(jù)流加密保護。ESP協(xié)議同時支持驗證和加密功能。ESP協(xié)議在每一個數(shù)據(jù)包的標準IP報頭后方添加一個ESP報文頭，并在數(shù)據(jù)包后方追加一個ESP尾。與AH協(xié)議不同的是，ESP協(xié)議是將數(shù)據(jù)中的有效載荷進行加密后再封裝到數(shù)據(jù)包中，以此保證數(shù)據(jù)的機密性，但ESP沒有對IP頭的內(nèi)容進行保護，除非IP頭被封裝在ESP內(nèi)部。Internet密鑰交換（IKE）協(xié)議16IKE主要完成如下3各方面的任務(wù)：（1）對建立IPSec的雙方進行認證（需要預(yù)先協(xié)商認證方式）；（2）通過密鑰交換，產(chǎn)生用于加密和HMAC的隨機密鑰；（3）協(xié)商協(xié)議參數(shù)（加密協(xié)議、散列函數(shù)、封裝協(xié)議、封裝模式和密鑰有效期）。IKE協(xié)議是一種混合協(xié)議，它為IPSec提供實用服務(wù)（IPSec雙方的鑒別、IKE協(xié)議和IPSec安全關(guān)聯(lián)的協(xié)商），以及為IPSec所用的加密算法建立密鑰。它使用了3個不同協(xié)議的相關(guān)部分：（1）SKEME。決定IKE的密鑰交換方式，IKE主要使用DH來實現(xiàn)密鑰交換。（2）Oakley。決定IPSec的框架設(shè)計，讓IPSec能夠支持更多的協(xié)議。（3）ISAKMP。IKE的本質(zhì)協(xié)議，它決定了IKE協(xié)商包的封裝格式，交換過程和模式的切換。

IPSec安全傳輸技術(shù)17IPsec既可以用來直接加密主機之間的網(wǎng)絡(luò)通信（也就是傳輸模式)；也可以用來在兩個子網(wǎng)之間建造“虛擬隧道”用于兩個網(wǎng)絡(luò)之間的安全通信(也就是隧道模式)。后一種更多的被稱為是虛擬專用網(wǎng)(VPN)。IPSec提供三種形式來保護傳送的數(shù)據(jù)：①認證?？梢源_定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的。②數(shù)據(jù)完整。保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。③機密性。使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無意獲取數(shù)據(jù)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容安全協(xié)議18安全協(xié)議包括認證頭協(xié)議（AH）和安全負載封裝（ESP）。它們既可用來保護一個完整的IP載荷，也可用來保護某個IP載荷的上層協(xié)議。這兩方面的保護分別是由IPSec兩種不同的實現(xiàn)模式來提供的。安全協(xié)議19封裝安全載荷（EncapsulatingSecurityPayload，ESP）：屬于IPSec的一種安全協(xié)議，它可確保IP數(shù)據(jù)報的機密性、數(shù)據(jù)的完整性以及對數(shù)據(jù)源的身份驗證。此外，它也能負責(zé)對重放攻擊的抵抗。

驗證頭（AuthenticationHeader，AH）：與ESP類似，AH也提供了數(shù)據(jù)完整性、數(shù)據(jù)源驗證以及抗重放攻擊的能力。密鑰管理20密鑰管理包括密鑰確定和密鑰分發(fā)兩個方面，最多需要4個密鑰：AH和ESP各兩個發(fā)送和接收密鑰。密鑰本身是一個二進制字符串，通常用十六進制表示。密鑰管理包括手工和自動兩種方式。人工手動管理方式是指管理員使用自己的密鑰及其他系統(tǒng)的密鑰手工設(shè)置每個系統(tǒng)，這種方法在小型網(wǎng)絡(luò)環(huán)境中使用比較實際。自動管理系統(tǒng)能滿足其他所有的應(yīng)用要求，使用自動管理系統(tǒng)，可以動態(tài)地確定和分發(fā)密鑰，自動管理系統(tǒng)具有一個中央控制點，集中的密鑰管理者可以令自己更加安全，最大限度地發(fā)揮IPSec的效用。IPSec的實現(xiàn)方式21●傳輸模式通常在ESP一臺主機（客戶機或服務(wù)器）上實現(xiàn)時使用，傳輸模式使用原始明文IP頭，并且只加密數(shù)據(jù)，包括它的TCP和UDP頭?！袼淼滥Ｊ酵ǔ．擡SP在關(guān)聯(lián)到多臺主機的網(wǎng)絡(luò)訪問介入裝置實現(xiàn)時使用，隧道模式處理整個IP數(shù)據(jù)包：包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，它用自己的地址作為源地址加入新的IP頭。當隧道模式用在用戶終端設(shè)置時，它可以提供更多的便利來隱藏內(nèi)部服務(wù)器主機和客戶機的地址。隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有IPSec的路由器或防火墻。傳輸層安全協(xié)議22安全套接層（SecureSocketsLayer，SSL）協(xié)議是由Netscape公司開發(fā)的一套Internet數(shù)據(jù)安全協(xié)議，目前已廣泛用于Web瀏覽器與服務(wù)器之間的身份認證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通信提供安全支持。1．SSL協(xié)議體系結(jié)構(gòu)SSLVPN通過SSL協(xié)議，利用PKI的證書體系，在傳輸過程中使用DES、3DES、AES、RSA、MD5、SHA1等多種密碼算法保證數(shù)據(jù)的機密性、完整性、不可否認性而完成秘密傳輸，實現(xiàn)在Internet上安全地進行信息交換。安全套接層SSL協(xié)議23SSL協(xié)議使用TCP來提供一種可靠的端到端的安全服務(wù)。SSL協(xié)議分為兩層，其中SSL握手協(xié)議、修改密文協(xié)議和告警協(xié)議位于上層，SSL記錄協(xié)議為不同的更高層協(xié)議提供了基本的安全服務(wù)，可以看到HTTP可以在SSL協(xié)議上運行。①SSL連接。SSL連接是點對點的關(guān)系，每一個連接與一個會話相聯(lián)系。②SSL會話。SSL會話是客戶和服務(wù)器之間的關(guān)聯(lián)，會話通過握手協(xié)議來創(chuàng)建。會話定義了加密安全參數(shù)的一個集合，該集合可以被多個連接所共享。安全套接層SSL協(xié)議24（1）SSL記錄協(xié)議。為SSL連接提供以下兩種服務(wù)。機密性。握手協(xié)議定義了共享的、可以用于對SSL協(xié)議有效載荷進行常規(guī)加密的密鑰。報文完整性。握手協(xié)議定義了共享的、可以用來形成報文的MAC碼和密鑰。（2）SSL修改密文規(guī)約協(xié)議。由單個報文構(gòu)成，該報文由值為1的單個字節(jié)組成。這個報文的唯一目的就是使掛起狀態(tài)被復(fù)制到當前狀態(tài)，從而改變這個連接將要使用的密文簇。（3）SSL告警協(xié)議。告警協(xié)議用來將SSL協(xié)議有關(guān)的警告?zhèn)魉徒o對方實體。它由兩個字節(jié)組成，第一個字節(jié)的值用來表明警告的嚴重級別，第二個字節(jié)表示特定告警的代碼。安全套接層SSL協(xié)議25（4）SSL握手協(xié)議。使得服務(wù)器和客戶能相互鑒別對方的身份、協(xié)商加密和MAC算法以及用來保護在SSL記錄中發(fā)送數(shù)據(jù)的加密密鑰。在傳輸任何應(yīng)用數(shù)據(jù)前，都必須使用握手協(xié)議。階段1：建立安全能力，包括協(xié)議版本、會話ID、密文簇、壓縮方法和初始隨機數(shù)。這個階段將開始邏輯連接并且建立和這個連接相關(guān)聯(lián)的安全能力。階段2：服務(wù)器鑒別和密鑰交換。這個階段服務(wù)器可以發(fā)送證書、密鑰交換和證書請求。服務(wù)器發(fā)出結(jié)束hello報文階段的信號。階段3：客戶鑒別和密鑰交換。如果請求的話，客戶發(fā)送證書和密鑰交換，客戶可以發(fā)送證書驗證報文。階段4：結(jié)束，這個階段完成安全連接的建立、修改密文簇并結(jié)束握手協(xié)議。SSL安全傳輸技術(shù)26首先我們構(gòu)建一個認證中心CA，這個認證中心專門存放每一位使用者之公鑰及私鑰，并且每一位使用者必須自行建置資料于認證中心。當A用戶端要傳送信息給B用戶端，并且希望傳送的過程之間必須加以保密，則A用戶端和B用戶端都必須向認證中心申請一對加解密專用鍵值（Key），之后A用戶端再傳送信息給B用戶端時先向認證中心索取B用戶端的公鑰及私鑰，然后利用加密算法將信息與B用戶端的私鑰作重新組合。當信息一旦送到B用戶端時，B用戶端也會以同樣的方式到認證中心取得B用戶端自己的鍵值（Key），然后利用解密算法將收到的資料與自己的私鑰作重新組合，則最后產(chǎn)生的就是A用戶端傳送過來給B用戶端的原始資料。SSLVPN特點27SSLVPN控制功能強大，能方便公司實現(xiàn)更多遠程用戶在不同地點遠程接入，實現(xiàn)更多網(wǎng)絡(luò)資源訪問，且對客戶端設(shè)備要求低，因而降低了配置和運行支撐成本。SSLVPN提供安全、可代理連接，只有經(jīng)認證的用戶才能對資源進行訪問，這就安全多了。SSLVPN能對加密隧道進行細分，從而使得終端用戶能夠同時接入Internet和訪問內(nèi)部企業(yè)網(wǎng)資源，也就是說它具備可控功能。SSLVPN通信基于標準TCP/UDP協(xié)議傳輸，因而能遍歷所有NAT設(shè)備、基于代理的防火墻和狀態(tài)檢測防火墻。這使得用戶能夠從任何地方接入，無論是處于其他公司網(wǎng)絡(luò)中基于代理的防火墻之后，或是寬帶連接中。隨著遠程接入需求的不斷增長，SSLVPN是實現(xiàn)任意位置的遠程安全接入的理想選擇。（第6章）6.2網(wǎng)絡(luò)加密技術(shù)286.2網(wǎng)絡(luò)加密技術(shù)29在計算機網(wǎng)絡(luò)中加密分為端—端加密方式和數(shù)據(jù)鏈路層加密方式?！穸恕思用堋Ｓ绍浖?qū)ｉT硬件在表示層或應(yīng)用層實現(xiàn)變換。這種方法給用戶提供了一定的靈活性，但增加了主機負擔(dān)，更不太適合于一般終端?！駭?shù)據(jù)鏈路層加密。數(shù)據(jù)和報頭都被加密，采用硬件加密方式時不影響現(xiàn)有的軟件。目前數(shù)據(jù)加密方式有：鏈路加密、端—端加密、節(jié)點加密。鏈路加密30鏈路加密是目前最常用的一種加密方法，通常用硬件在網(wǎng)絡(luò)層以下的物理層和數(shù)據(jù)鏈路層中實現(xiàn)，它用于保護通信節(jié)點間傳輸?shù)臄?shù)據(jù)。這種加密方式比較簡單，實現(xiàn)起來也比較容易，只要把一對密碼設(shè)備安裝在兩個節(jié)點間的線路上，即把密碼設(shè)備安裝在節(jié)點和調(diào)制解調(diào)器之間，使用相同的密鑰即可。異步通信加密31鏈路加密分為異步通信加密和同步通信加密兩種，而同步通信根據(jù)字節(jié)同步和位同步，又可分為兩種。1．異步通信加密異步通信時，發(fā)送字符中的各位都是按發(fā)送方數(shù)據(jù)加密設(shè)備DEE（DataEncryptingEquipment）的時鐘所確定的不同時間間隔來發(fā)送的。接收方的數(shù)據(jù)終端設(shè)備DTE（DataTerminalEquipment）產(chǎn)生一個頻率與發(fā)送方時鐘脈沖相同，且具有一定相位關(guān)系的同步脈沖，并以此同步脈沖為時間基準接收發(fā)送過來的字符，從而實現(xiàn)收發(fā)雙方的通信同步。對異步通信的加密，一般起始位不加密，數(shù)據(jù)位和奇偶校驗位加密，終止位不加密。同步通信加密32字節(jié)同步通信利用專用同步字符SYN建立最初的同步。傳輸開始后，接收方從接收到的信息序列中提取同步信息。為了區(qū)別不同性質(zhì)的報文以及標志報文的開始、結(jié)束等格式，各種基于字節(jié)同步的通信協(xié)議均提供一組控制字符，并規(guī)定了報文的格式。信息報文由SOH，STX，ETX和BCC4個傳輸控制字符構(gòu)成?？刂谱址鸖OH表示信息報文的報頭開始；STX表示報頭結(jié)束和正文開始；ETX表示正文結(jié)束；BCC表示檢驗字符。對字節(jié)同步通信信息報文的加密，一般只加密報頭、報文正文和檢驗字符，而對控制字符不加密。同步通信加密33基于位同步通信協(xié)議有HDLC。HDLC以幀作為信息傳輸?shù)幕締挝?，無論是信息報文還是監(jiān)控報文，都按幀的格式進行傳輸。

其中F為標志，表示每幀的頭和尾；A為站地址；C為控制命令和響應(yīng)類別；I為數(shù)據(jù)；FCS為幀校驗序列。HDLC采用循環(huán)冗余校驗。對位同步通信進行加密時，除標志F以外全部加密。鏈路加密方式有兩個缺點：一是全部報文都以明文形式通過各節(jié)點的計算機中央處理機，在這些節(jié)點上數(shù)據(jù)容易受到非法存取的危害；二是由于每條鏈路都要有一對加密/解密設(shè)備和一個獨立的密鑰，維護節(jié)點的安全性費用較高，因此成本也較高。節(jié)點加密34節(jié)點加密是鏈路加密的改進，其目的是克服鏈路加密在節(jié)點處易遭非法存取的缺點。在協(xié)議運輸層上進行加密，是對源點和目標節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保護。它與鏈路加密類似，只是加密算法要組合在依附于節(jié)點的加密模件中。端—端加密35網(wǎng)絡(luò)層以上的加密，通常稱為端—端加密。端—端加密是面向網(wǎng)絡(luò)高層主體進行的加密，即在協(xié)議表示層上對傳輸?shù)臄?shù)據(jù)進行加密，而不對下層協(xié)議信息加密。協(xié)議信息以明文形式傳輸，用戶數(shù)據(jù)在中間節(jié)點不需要加密。端—端加密往往以軟件的形式實現(xiàn)，并在應(yīng)用層或表示層上完成。這種加密方式，數(shù)據(jù)在通過各節(jié)點傳輸時一直對數(shù)據(jù)進行保護，數(shù)據(jù)只是在終點才進行解密。在數(shù)據(jù)傳輸?shù)恼麄€過程中，以一個不確定的密鑰和算法進行加密。在中間節(jié)點和有關(guān)安全模塊內(nèi)永遠不會出現(xiàn)明文。端—端加密或節(jié)點加密時，只加密報文，不加密報頭。端—端加密優(yōu)點：成本低、比鏈路加密更安全、加密方式比較靈活。（第6章）6.3防火墻技術(shù)366.3防火墻技術(shù)37防火墻是在兩個網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，目的是保護網(wǎng)絡(luò)不被他人侵擾。本質(zhì)上，它遵循的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。防火墻遵循的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。6.3防火墻技術(shù)38防火墻技術(shù)的功能主要在于及時發(fā)現(xiàn)并處理計算機網(wǎng)絡(luò)運行時可能存在的安全風(fēng)險、數(shù)據(jù)傳輸?shù)葐栴}，其中處理措施包括隔離與保護，同時可對計算機網(wǎng)絡(luò)安全當中的各項操作實施記錄與檢測，以確保計算機網(wǎng)絡(luò)運行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計算機網(wǎng)絡(luò)使用體驗。防火墻是由軟件和硬件組成的，具有以下的功能。①所有進出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻。②所有穿過防火墻的通信流都必須有安全策略和計劃的確認和授權(quán)。③理論上說，防火墻是穿不透的。6.3防火墻技術(shù)39內(nèi)部網(wǎng)需要防范的三種攻擊有：●

間諜。試圖偷走敏感信息的黑客、入侵者和闖入者?！癖I竊。盜竊對象包括數(shù)據(jù)、Web表格、磁盤空間和CPU資源等?！衿茐南到y(tǒng)。通過路由器或主機／服務(wù)器蓄意破壞文件系統(tǒng)或阻止授權(quán)用戶訪問內(nèi)部網(wǎng)（外部網(wǎng)）和服務(wù)器。這里，防火墻的作用是保護Web站點和公司的內(nèi)部網(wǎng)，使之免遭因特網(wǎng)上各種危險的侵犯。6.3防火墻技術(shù)40典型的防火墻建立在一個服務(wù)器或主機的機器上，亦稱“堡壘主機”，它是一個多邊協(xié)議路由器。這個堡壘主機連接兩個網(wǎng)絡(luò)：一邊與內(nèi)部網(wǎng)相連，另一邊與互聯(lián)網(wǎng)相連。它的主要作用除了防止未經(jīng)授權(quán)的來自或?qū)ヂ?lián)網(wǎng)的訪問外，還包括為安全管理提供詳細的系統(tǒng)活動的記錄。在有的配置中，這個堡壘主機經(jīng)常作為一個公共Web服務(wù)器或一個FTP或E-mail服務(wù)器使用。防火墻的基本目的之一就是防止黑客侵擾站點。站點暴露于無數(shù)威脅之中，而防火墻可以幫助防止外部連接。因此，還應(yīng)小心局域網(wǎng)內(nèi)的非法的連接，特別是當Web服務(wù)器在受保護的區(qū)域內(nèi)時。防火墻在互聯(lián)網(wǎng)與內(nèi)部網(wǎng)中的位置41通常防火墻是一組硬件設(shè)備，即路由器、主計算機或者是路由器、計算機和配有適當軟件的網(wǎng)絡(luò)的多種組合。所有來自互聯(lián)網(wǎng)的傳輸信息或從內(nèi)部網(wǎng)絡(luò)發(fā)出的信息都必須穿過防火墻。因此，防火墻能夠確保各系統(tǒng)間信息交換的安全。從邏輯上講，防火墻是分離器、限制器和分析器。從物理角度看，各站點防火墻物理實現(xiàn)的方式有所不同。防火墻的基本功能42（1）防火墻能夠強化安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。防火墻執(zhí)行站點的安全策略，僅僅容許“認可的”和符合規(guī)則的請求通過。（2）防火墻能有效地記錄互聯(lián)網(wǎng)上的活動。所有進出信息都必須通過防火墻，所以防火墻非常適用收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。（3）防火墻限制暴露用戶點。防火墻能夠用來隔開網(wǎng)絡(luò)中的一個網(wǎng)段與另一個網(wǎng)段。這樣，就能夠有效控制影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。（4）防火墻是一個安全策略的檢查站。所有進出網(wǎng)絡(luò)的信息都必須通過防火墻，防火墻便成為一個安全檢查點，使可疑的訪問被拒絕于門外。防火墻的不足之處43（1）不能防范惡意的知情者。防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送專有的信息，但不能防止內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件。（2）防火墻不能防范不通過它的連接。（3）防火墻不能防備全部的威脅。目前沒有一個防火墻能自動防御所有的新威脅。（4）防火墻不能防范病毒。防火墻不能消除網(wǎng)絡(luò)上的病毒。雖然許多防火墻掃描所有通過的信息，以決定是否允許它通過內(nèi)部網(wǎng)絡(luò)，但掃描是針對源、目標地址和端口號的，而不掃描數(shù)據(jù)的確切內(nèi)容。即使是先進的數(shù)據(jù)包過濾，在病毒防范上也是不實用的。包過濾路由器44包（又稱為分組）是網(wǎng)絡(luò)上信息流動的單位。傳輸文件時，在發(fā)送端該文件被劃分成若干個數(shù)據(jù)包，這些數(shù)據(jù)包經(jīng)過網(wǎng)上的中間站點，最終到達目的地，接收端又將這些數(shù)據(jù)包重新組合成原來的文件。每個包有兩個部分：數(shù)據(jù)部分和包頭。包頭中含有源地址和目標地址等信息。包過濾器又稱為包過濾路由器，它通過將包頭信息和管理員設(shè)定的規(guī)則表比較，如果有一條規(guī)則不允許發(fā)送某個包，路由器將它丟棄。包過濾一直是一種簡單而有效的方法。通過攔截數(shù)據(jù)包，讀出并拒絕那些不符合標準的包頭，過濾掉不應(yīng)入站的信息。包過濾路由器的優(yōu)缺點45優(yōu)點：僅用一個放置在重要位置上的包過濾路由器就可保護整個網(wǎng)絡(luò)。如果站點與因特網(wǎng)間只有一臺路由器，那么不管站點規(guī)模有多大，只要在這臺路由器上設(shè)置合適的包過濾，站點就可獲得很好的網(wǎng)絡(luò)安全保護。包過濾不需要用戶軟件的支持，也不要求對客戶機作特別的設(shè)置，也沒有必要對用戶作任何培訓(xùn)。缺點：在機器中配置包過濾規(guī)則比較困難；對系統(tǒng)中的包過濾規(guī)則的配置進行測試也較麻煩；許多產(chǎn)品的包過濾功都有這樣或那樣的局限性，要找一個比較完整的包過濾產(chǎn)品比較困難。包過濾路由器的配置46①協(xié)議的雙向性。協(xié)議總是雙向的，協(xié)議包括一方發(fā)送一個請求而另一方返回一個應(yīng)答。在制訂包過濾規(guī)則時，要注意包是從兩個方向來到路由器的。②“往內(nèi)”與“往外”的含義。一個往外的服務(wù)（如Telnet）同時包含往外的包（發(fā)送的信息）和往內(nèi)的包（返回的信息）。雖然大多數(shù)人習(xí)慣于用“服務(wù)”來定義規(guī)定，但在制訂包過濾規(guī)則時，一定要具體到每一種類型的包。③“默認允許”與“默認拒絕”。默認拒絕指沒有明確地被允許就應(yīng)被拒絕，默認允許指沒有明確地被拒絕就應(yīng)被允許。從安全角度來看，用默認拒絕應(yīng)該更合適。首先應(yīng)從拒絕任何傳輸來開始設(shè)置包過濾規(guī)則，然后對某些應(yīng)被允許傳輸?shù)膮f(xié)議設(shè)置允許標志。這樣做會使系統(tǒng)的安全性更好一些。包過濾設(shè)計47假設(shè)網(wǎng)絡(luò)策略安全規(guī)則確定：從外部主機發(fā)來的互聯(lián)網(wǎng)郵件在某一特定網(wǎng)關(guān)被接收，并且想拒絕從不信任的名為THEHOST的主機發(fā)來的數(shù)據(jù)流（一個可能的原因是該主機發(fā)送郵件系統(tǒng)不能處理的大量的報文，另一個可能的原因是懷疑這臺主機會給網(wǎng)絡(luò)安全帶來極大的威脅）。在這個例子中，SMTP使用的網(wǎng)絡(luò)安全策略必須翻譯成包過濾規(guī)則。在此可以把網(wǎng)絡(luò)安全規(guī)則翻譯成下列中文規(guī)則。過濾器規(guī)則1：我們不相信從THEHOST來的連接。過濾器規(guī)則2：我們允許與我們的郵件網(wǎng)關(guān)的連接。過濾規(guī)則號動作內(nèi)部主機內(nèi)部主機端口外部主機外部路由器的端口說明1阻塞**THEHOST*阻塞來自THEHOST流量2允許Mail-GW25**允許我們的郵件網(wǎng)關(guān)的連接3允許***25允許輸出SMTP至遠程郵件網(wǎng)關(guān)包過濾設(shè)計48對于過濾器規(guī)則1：可以翻譯為：阻塞任何從（*）THEHOST端口來的到我們?nèi)我猓?）主機的任意（*）端口的連接。對于過濾器規(guī)則2：可以翻譯為：允許任意（*）外部主機從其任意（*）端口到我們的Mail-GW主機端口的連接。使用端口25是因為這個TCP端口是保留給SMTP的。這些規(guī)則應(yīng)用的順序與它們在表中的順序相同。如果一個包不與任何規(guī)則匹配，它就會遭到拒絕。過濾規(guī)則規(guī)定：允許任何外部機器從端口25產(chǎn)生一個請求。端口25應(yīng)該保留SMTP，但一個外部主機可能用這個端口做其他用途。第三個規(guī)則表示了一個內(nèi)部主機如何發(fā)送SMTP郵件到外部主機端口25，以使內(nèi)部主機完成發(fā)送郵件到外部站點的任務(wù)。如果外部站點對SMTP不使用端口25，那么SMTP發(fā)送者便不能發(fā)送郵件。包過濾設(shè)計49TCP是全雙工連接，信息流是雙向的。所有的TCP連接都要發(fā)送ACK包。當ACK包被發(fā)送出去時，其發(fā)送方向相反，且包過濾規(guī)則應(yīng)考慮那些確認控制包或ACK包。過濾

規(guī)則號動作源主機或網(wǎng)絡(luò)源主機

端口目的主機或網(wǎng)絡(luò)目的

主機端口TCP標志或IP選項說明1允許**25*包從網(wǎng)絡(luò)至目的主機端口252允許Mail-GW25*ACK允許返回確認過濾規(guī)則1：允許任何從網(wǎng)絡(luò)的任一端口（*）產(chǎn)生的到具有任何TCP標志或IP選項設(shè)置的、任一目的主機（*）的端口25的連接。過濾規(guī)則2：允許任何來自任一網(wǎng)絡(luò)的發(fā)自于端口25的、具有TCPACK標志設(shè)置的、到網(wǎng)（）的任一（*）端口的連接被繼續(xù)設(shè)置。堡壘主機50堡壘主機是一種被強化的可以防御進攻的計算機，作為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點，以達到把整個網(wǎng)絡(luò)的安全問題集中在某個主機上解決，從而達到省時省力，不用考慮其它主機的安全的目的。堡壘主機是網(wǎng)絡(luò)中最容易受到侵害的主機，所以堡壘主機也必須是自身保護最完善的主機。一個堡壘主機使用兩塊網(wǎng)卡，每個網(wǎng)卡連接不同的網(wǎng)絡(luò)。一塊網(wǎng)卡連接內(nèi)部網(wǎng)絡(luò)用來管理、控制和保護，而另一塊連接外部網(wǎng)絡(luò)，通常是互聯(lián)網(wǎng)。堡壘主機在防火墻的建立過程中起著至關(guān)重要的作用。建立堡壘主機的原則51設(shè)計和建立堡壘主機的基本原則有兩條：最簡化原則和預(yù)防原則。（1）最簡化原則。堡壘主機越簡單，對它進行保護就越方便。堡壘主機提供的任何網(wǎng)絡(luò)服務(wù)都有可能在軟件上存在缺陷或在配置上存在錯誤，而這些差錯就可能使堡壘主機的安全保障出問題。（2）預(yù)防原則。盡管已對堡壘主機嚴加保護，但還有可能被入侵者破壞。對此應(yīng)有所準備，只有充分地對最壞的情況加以準備，并設(shè)計好對策，才可有備無患。一旦堡壘主機被破壞，我們還必須讓內(nèi)部網(wǎng)絡(luò)處于安全保障中。要做到這一點，必須讓內(nèi)部網(wǎng)絡(luò)只有在堡壘主機正常工作時才信任堡壘主機。堡壘主機的分類52堡壘主機目前一般有3種類型：無路由雙宿主主機、犧牲品主機和內(nèi)部堡壘主機。無路由雙重宿主主機有多個網(wǎng)絡(luò)接口，但這些接口間沒有信息流，這種主機本身就可以作為一個防火墻，也可以作為一個更復(fù)雜的防火墻的一部分。犧牲品主機是一種上面沒有任何需要保護信息的主機，同時它又不與任何入侵者想要利用的主機相連。用戶只有在使用某種特殊服務(wù)時才需要用到它。內(nèi)部堡壘主機是標準的單堡壘或多堡壘主機存在于內(nèi)部網(wǎng)絡(luò)中，它們一般用作應(yīng)用級網(wǎng)關(guān)接收所有從外部堡壘主機進來的流量。內(nèi)部堡壘主機可與某些內(nèi)部主機進行交互。堡壘主機提供的服務(wù)53①無風(fēng)險服務(wù)，僅僅通過包過濾便可實施的服務(wù)。②低風(fēng)險服務(wù)，在有些情況下這些服務(wù)運行時有安全隱患，但加一些安全控制措施便可消除安全問題，這類服務(wù)只能由堡壘主機提供。③高風(fēng)險服務(wù)，在使用這些服務(wù)時無法徹底消除安全隱患；這類服務(wù)一般應(yīng)被禁用，特別需要時也只能放置在主機上使用。④禁用服務(wù)，應(yīng)被徹底禁止使用的服務(wù)。代理服務(wù)54代理服務(wù)是網(wǎng)絡(luò)服務(wù)，它通過中介將客戶端與互聯(lián)網(wǎng)服務(wù)器連接，具有緩存、保護隱私、過濾控制流量和加速網(wǎng)絡(luò)的功能。代理服務(wù)位于內(nèi)部用戶（在內(nèi)部的網(wǎng)絡(luò)上）和外部服務(wù)（在互聯(lián)網(wǎng)上）之間。代理在幕后處理所有用戶和互聯(lián)網(wǎng)服務(wù)之間的通信以代替相互間的直接交談。代理服務(wù)是運行在防火墻主機上的一些特定的應(yīng)用程序。防火墻主機可以是有一個內(nèi)部網(wǎng)絡(luò)接口和一個外部網(wǎng)絡(luò)接口的雙重宿主主機，也可以是一些可以訪問互聯(lián)網(wǎng)并可被內(nèi)部主機訪問的堡壘主機。這些程序接受用戶對互聯(lián)網(wǎng)服務(wù)的請求（諸如文件傳輸FTP和遠程登錄Telnet等），并按照安全策略轉(zhuǎn)發(fā)它們到實際的服務(wù)。代理的作用就是一個提供替代連接并且充當服務(wù)的網(wǎng)關(guān)，代理也被稱為應(yīng)用級網(wǎng)關(guān)。代理的實現(xiàn)過程55①客戶端向代理服務(wù)器發(fā)出請求。②代理服務(wù)器接收到請求后，檢查是否有緩存副本。如果有，代理服務(wù)器將緩存副本返回給客戶端。如果沒有，代理服務(wù)器繼續(xù)執(zhí)行下一步。③代理服務(wù)器向目標服務(wù)器發(fā)出請求。這個請求與客戶端的請求相似，但是目標服務(wù)器會認為這個請求是從代理服務(wù)器來的。④目標服務(wù)器收到請求后，將響應(yīng)發(fā)送給代理服務(wù)器。目標服務(wù)器的響應(yīng)也會認為是發(fā)送給代理服務(wù)器的。⑤代理服務(wù)器將響應(yīng)發(fā)送給客戶端?？蛻舳苏J為響應(yīng)是從代理服務(wù)器返回的，而不是目標服務(wù)器返回的。防火墻體系結(jié)構(gòu)56防火墻的體系結(jié)構(gòu)一般有3種：雙重宿主主機體系結(jié)構(gòu)、主機過濾體系結(jié)構(gòu)和子網(wǎng)過濾體系結(jié)構(gòu)。1．雙重宿主主機體系結(jié)構(gòu)雙重宿主主機體系結(jié)構(gòu)是圍繞具有雙重宿主的主體計算機而構(gòu)筑的。該計算機至少有兩個網(wǎng)絡(luò)接口，這樣的主機可以充當與這些接口相連的網(wǎng)絡(luò)之間的路由器，并能夠從一個網(wǎng)絡(luò)向另一個網(wǎng)絡(luò)發(fā)送IP數(shù)據(jù)包。防火墻內(nèi)部的網(wǎng)絡(luò)系統(tǒng)能與雙重宿主主機通信，同時防火墻外部的網(wǎng)絡(luò)系統(tǒng)（在互聯(lián)網(wǎng)上）也能與雙重宿主主機通信。通過雙重宿主主機，防火墻內(nèi)外的計算機便可進行通信了。防火墻體系結(jié)構(gòu)572．主機過濾體系結(jié)構(gòu)主機過濾體系結(jié)構(gòu)中提供安全保護的主機僅僅與內(nèi)部網(wǎng)絡(luò)相連。另外，主機過濾體系結(jié)構(gòu)還有一臺單獨的路由器（過濾路由器）。在這種體系結(jié)構(gòu)中，主要的安全由數(shù)據(jù)包過濾提供，任何外部的訪問都必須連接到這臺堡壘主機上。數(shù)據(jù)包過濾配置可以按下列方法執(zhí)行：①允許其他的內(nèi)部主機為了某些服務(wù)與互聯(lián)網(wǎng)上的主機連接。②不允許來自內(nèi)部主機的所有連接。防火墻體系結(jié)構(gòu)583．子網(wǎng)過濾體系結(jié)構(gòu)子網(wǎng)過濾體系結(jié)構(gòu)添加了額外的安全層到主機過濾體系結(jié)構(gòu)中，即通過添加參數(shù)網(wǎng)絡(luò)，更進一步地把內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔離開。子網(wǎng)過濾體系結(jié)構(gòu)的最簡單的形式為兩個過濾路由器，每一個都連接到參數(shù)網(wǎng)，一個位于參數(shù)網(wǎng)與內(nèi)部網(wǎng)絡(luò)之間，另一個位于參數(shù)網(wǎng)與外部網(wǎng)絡(luò)之間。在這種結(jié)構(gòu)里所采用的組件：參數(shù)網(wǎng)絡(luò)、堡壘主機、內(nèi)部路由器、外部路由器。（第6章）6.4網(wǎng)絡(luò)攻擊類型及對策596.4網(wǎng)絡(luò)攻擊類型及對策60網(wǎng)絡(luò)攻擊通?？煞譃?大類型：拒絕服務(wù)型攻擊、利用型攻擊、信息收集型攻擊和虛假信息型攻擊。1．拒絕服務(wù)型攻擊拒絕服務(wù)（DenialofService，DoS）攻擊是目前最常見的一種攻擊類型。首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息。由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，然而服務(wù)器中分配給這次請求的資源就始終沒有被釋放。當服務(wù)器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。死亡之ping（PingofDeath）攻擊61ICMP協(xié)議在互聯(lián)網(wǎng)上主要用于傳遞控制信息和錯誤的處理。它的功能之一是與主機聯(lián)系，通過發(fā)送一個“回送請求”（EchoRequest）信息包看看主機目標是否“存在”。最普通的ping程序就是這個功能。而在TCP/IP協(xié)議中對包的最大尺寸都有嚴格限制規(guī)定，許多操作系統(tǒng)的TCP/IP協(xié)議棧都規(guī)定ICMP包大小為64KB，且在對包的標題頭進行讀取之后，要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)。PingofDeath就是故意產(chǎn)生畸形的測試Ping（PacketInternetGroper）包，聲稱自己的尺寸超過ICMP上限，也就是加載的尺寸超過64KB上限，使未采取保護措施的網(wǎng)絡(luò)系統(tǒng)出現(xiàn)內(nèi)存分配錯誤，導(dǎo)致TCP/IP協(xié)議棧崩潰，最終使接收方死機。淚滴（Teardrop）攻擊62淚滴攻擊是拒絕服務(wù)攻擊的一種。淚滴是一個特殊構(gòu)造的應(yīng)用程序，通過發(fā)送偽造的相互重疊的IP分組數(shù)據(jù)包，使其難以被接收主機重新組合。他們通常會導(dǎo)致目標主機內(nèi)核失措。淚滴攻擊利用IP分組數(shù)據(jù)包重疊造成TCP/IP分片重組代碼不能恰當處理IP包。淚滴攻擊不被認為是一個嚴重的DoS攻擊，不會對主機系統(tǒng)造成重大損失。在大多數(shù)情況下，一次簡單的重新啟動是最好的解決辦法，但重新啟動操作系統(tǒng)可能導(dǎo)致正在運行的應(yīng)用程序中未保存的數(shù)據(jù)丟失。UDP洪水（UDPflood）攻擊63用戶數(shù)據(jù)報協(xié)議（UDP）在互聯(lián)網(wǎng)上的應(yīng)用比較廣泛，很多提供WWW和Mail等服務(wù)設(shè)備通常是使用Unix的服務(wù)器，它們默認打開一些被黑客惡意利用的UDP服務(wù)。如Echo服務(wù)會顯示接收到的每一個數(shù)據(jù)包，而原本作為測試功能的chargen服務(wù)會在收到每一個數(shù)據(jù)包時隨機反饋一些字符。UDPflood假冒攻擊就是利用這兩個簡單的TCP/IP服務(wù)的漏洞進行惡意攻擊，通過偽造與某一主機的Chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開著Echo服務(wù)的一臺主機，通過將Chargen和Echo服務(wù)互指，來回傳送毫無用處且占滿帶寬的垃圾數(shù)據(jù)，在兩臺主機之間生成足夠多的無用數(shù)據(jù)流，這一拒絕服務(wù)攻擊飛快地導(dǎo)致網(wǎng)絡(luò)可用帶寬耗盡。SYN洪水（SYNflood）攻擊64當用戶進行一次標準的TCP連接時，會有一個3次握手過程。首先是請求服務(wù)方發(fā)送一個SYN消息，服務(wù)方收到SYN后，會向請求方回送一個SYN-ACK表示確認，當請求方收到SYN-ACK后，再次向服務(wù)方發(fā)送一個ACK消息，這樣一次TCP連接建立成功。SYNFlooding則專門針對TCP協(xié)議棧在兩臺主機間初始化連接握手的過程進行DoS攻擊，其在實現(xiàn)過程中只進行前兩個步驟：當服務(wù)方收到請求方的SYN-ACK確認消息后，請求方由于采用源地址欺騙等手段使得服務(wù)方收不到ACK回應(yīng)，于是服務(wù)方會在一定時間處于等待接收請求方ACK消息的狀態(tài)。對于服務(wù)器來說，使用有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會對接下來的連接停止響應(yīng)，服務(wù)器將無法向用戶提供正常的合法服務(wù)。Land（LandAttack）攻擊65在Land攻擊中，黑客利用一個特別打造的SYN包（它的原地址和目標地址都被設(shè)置成某一個服務(wù)器地址）進行攻擊。這樣將導(dǎo)致目標主機向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接，這個空連接會一直持續(xù)，直到超時。當目標機被這樣大量欺騙，建立大量空連接，消耗大量的系統(tǒng)資源，導(dǎo)致系統(tǒng)運行緩慢，甚至崩潰。IP欺騙DoS攻擊66這種攻擊利用TCP協(xié)議棧的RST位來實現(xiàn)，使用IP欺騙，偽裝真實IP地址，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。假設(shè)現(xiàn)在有一個合法用戶（9）已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為9，并向服務(wù)器發(fā)送一個帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認為從9發(fā)送的連接有錯誤，就會清空緩沖區(qū)中已建立好的連接。這時，合法用戶9再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒有這樣的連接了，該用戶就被拒絕服務(wù)而只能重新開始建立新的連接。電子郵件炸彈攻擊67電子郵件炸彈是最古老的匿名攻擊之一，通過設(shè)置一臺機器不斷地大量地向同一地址發(fā)送電子郵件，攻擊者能夠耗盡接受者網(wǎng)絡(luò)的帶寬。這種攻擊不僅會干擾用戶的電子郵件系統(tǒng)的正常使用，甚至它還能影響到郵件系統(tǒng)所在的服務(wù)器系統(tǒng)的安全，造成整個網(wǎng)絡(luò)系統(tǒng)全部癱瘓。有些電子郵件炸彈甚至?xí)谖谋靖郊刑砑硬《?，或者通過HTML代碼等將附件上傳至被攻擊者的FTP服務(wù)器上，進而擴大攻擊范圍。攻擊者可以使用各種手段來隱藏自己的身份，使其更難以被追蹤定位。DDoS攻擊68分布式拒絕服務(wù)攻擊（DistributedDenialofService，DDoS）是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機器并利用這些機器對攻擊目標同時實施攻擊。由于攻擊的發(fā)出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊，其中的攻擊者可以有多個。一個完整的DDoS攻擊體系由攻擊者、主控端、代理端和攻擊目標四部分組成。其中主控端只發(fā)布命令，代理端發(fā)出DDoS的實際攻擊包。利用型攻擊69利用型攻擊是一類試圖直接對用戶的機器進行控制的攻擊，最常見的有3種。①口令猜測攻擊。一旦黑客識別了一臺主機而且發(fā)現(xiàn)了可利用的用戶賬號，成功的口令猜測能提供對機器的控制。②特洛伊木馬攻擊。特洛伊木馬是一種直接由黑客或通過一個不令人起疑的用戶秘密安裝到目標系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠程控制目標系統(tǒng)。③緩沖區(qū)溢出攻擊。緩沖區(qū)溢出是指當計算機向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。信息收集型攻擊70信息收集型攻擊并不對目標本身造成危害，這類攻擊被用來為進一步入侵提供有用的信息。主要包括：掃描技術(shù)、體系結(jié)構(gòu)刺探、利用信息服務(wù)等。掃描技術(shù)。一般分為網(wǎng)絡(luò)掃描和主機掃描。通過漏洞掃描，掃描者能夠發(fā)現(xiàn)遠端網(wǎng)絡(luò)或主機的配置信息、TCP/UDP端口的分配、提供的網(wǎng)絡(luò)服務(wù)、服務(wù)器的具體信息等。體系結(jié)構(gòu)刺探。使用已知響應(yīng)類型的數(shù)據(jù)庫的自動工具，對來自目標主機的、對壞數(shù)據(jù)包傳送所做出的響應(yīng)進行檢查。由于每種操作系統(tǒng)都有其獨特的響應(yīng)方法，通過將此獨特的響應(yīng)與數(shù)據(jù)庫中的已知響應(yīng)進行對比，黑客經(jīng)常能夠確定出目標主機所運行的操作系統(tǒng)。虛假消息攻擊71虛假消息攻擊是指利用網(wǎng)絡(luò)協(xié)議設(shè)計中的安全缺陷，通過發(fā)送偽裝的數(shù)據(jù)包達到欺騙目標、從中獲利的目的。是一種內(nèi)網(wǎng)滲透方法。虛假消息攻擊主要包括DNS高速緩存污染和偽造電子郵件攻擊。（1）DNS高速緩存污染。由于DNS服務(wù)器與其他名稱服務(wù)器交換信息的時候并不進行身份驗證，這就使得黑客可以將不正確的信息摻進來并把用戶引向黑客自己的主機。防御的方法：可在防火墻上過濾入站的DNS更新，外部DNS服務(wù)器不能更改內(nèi)部服務(wù)器對內(nèi)部機器的識別等措施預(yù)防該攻擊。（2）偽造電子郵件。由于SMTP并不對郵件的發(fā)送者的身份進行鑒定，因此黑客可以對網(wǎng)絡(luò)內(nèi)部客戶偽造電子郵件，聲稱是來自某個客戶認識并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網(wǎng)站的連接。防御的方法：使用PGP等安全工具并安裝電子郵件證書。物理層的攻擊及對策72物理層位于OSI參考模型的最底層，它直接面向?qū)嶋H承擔(dān)數(shù)據(jù)傳輸?shù)奈锢砻襟w（即通信通道），物理層的傳輸單位為比特（bit）。實際的比特傳輸必須依賴于傳輸設(shè)備和物理媒體。物理層最重要的攻擊主要有直接攻擊和間接攻擊，直接攻擊是直接對硬件進行攻擊，間接攻擊是對物理介質(zhì)的攻擊。物理層上的安全措施不多，如果黑客可以訪問物理介質(zhì)，如搭線竊聽和Sniffer，將可以復(fù)制所有傳送的信息。唯一有效的保護是使用加密、流量填充等。1．物理層安全風(fēng)險73網(wǎng)絡(luò)的物理安全風(fēng)險主要指由于網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用，而造成網(wǎng)絡(luò)系統(tǒng)的不可用。例如，設(shè)備被盜、設(shè)備老化、意外故障、無線電磁輻射泄密等。如果局域網(wǎng)采用廣播方式，那么本廣播域中的所有信息都可以被偵聽。因此，最主要的安全威脅來自搭線竊聽和電磁泄露竊聽。最簡單的安全漏洞可能導(dǎo)致最嚴重的網(wǎng)絡(luò)故障。比如因為施工的不規(guī)范導(dǎo)致光纜被破壞，雷擊事故，網(wǎng)絡(luò)設(shè)備沒有保護措施被損壞，甚至中心機房因為不小心導(dǎo)致外來人員蓄意或無心的破壞。2.物理攻擊74物理攻擊是來自能夠接觸到物理設(shè)備的用戶的攻擊。主要有兩種攻擊：獲取管理員密碼攻擊、提升權(quán)限攻擊。（1）獲取管理員密碼攻擊。網(wǎng)站管理員賬戶密碼是網(wǎng)站管理員的身份憑證，是網(wǎng)站安全的重要組成部分，因此必須保護好賬戶密碼，避免被惡意入侵。發(fā)生入侵網(wǎng)站管理員賬戶密碼的情況，主要是由于網(wǎng)站管理員賬戶密碼不夠安全，惡意攻擊者可以利用暴力破解、社會工程學(xué)攻擊等方式破解賬戶密碼，從而獲取網(wǎng)站管理員賬戶密碼。（2）提升用戶權(quán)限攻擊。較低的權(quán)限將使攻擊者訪問活動受到很多的限制，攻擊者往往會先進行權(quán)限提升攻擊，在獲取更高的訪問權(quán)限后，在開展更具破壞性的其他攻擊。物理層防范措施75（1）屏蔽。用金屬網(wǎng)或金屬板將信號源包圍，阻止外部信號進入金屬層內(nèi)部。（2）物理隔離。物理隔離技術(shù)就是一種將內(nèi)外網(wǎng)絡(luò)從物理上斷開，但保持邏輯連接的信息安全技術(shù)。（3）設(shè)備和線路冗余。主要有：網(wǎng)絡(luò)設(shè)備部件冗余、網(wǎng)絡(luò)設(shè)備整機冗余、網(wǎng)絡(luò)線路冗余。（4）機房和賬戶安全管理。（5）網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段是將非法用戶與網(wǎng)絡(luò)資源互相隔離，從而達到限制用戶非法訪問的目的。數(shù)據(jù)鏈路層的攻擊及對策76數(shù)據(jù)鏈路層的最基本的功能是向該層用戶提供透明的和可靠的數(shù)據(jù)傳送基本服務(wù)。透明性是指該層上傳輸?shù)臄?shù)據(jù)的內(nèi)容、格式及編碼沒有限制，也沒有必要解釋信息結(jié)構(gòu)的意義；可靠的傳輸使用戶免去對丟失信息、干擾信息及順序不正確等的擔(dān)心。由于數(shù)據(jù)鏈路層的安全協(xié)議比較少，因此容易受到各種攻擊，常見的攻擊有：MAC地址欺騙、內(nèi)容尋址存儲器（CAM）表格淹沒攻擊、VLAN中繼攻擊、操縱生成樹協(xié)議、地址解析協(xié)議（ARP）攻擊等。（1）MAC地址欺騙。MAC地址欺騙攻擊主要是利用了局域網(wǎng)內(nèi)交換機的轉(zhuǎn)發(fā)特性和MAC地址學(xué)習(xí)特性，一般情況下，交換機不會對接收到的數(shù)據(jù)包進行檢查和驗證，并且其MAC地址表的學(xué)習(xí)也容易被攻擊者所利用。因此，攻擊者往往發(fā)送含有其他人MAC地址的數(shù)據(jù)包，讓交換機誤認為自己是網(wǎng)絡(luò)中的另一臺機器，從而將本來屬于該臺機器的數(shù)據(jù)包轉(zhuǎn)發(fā)給攻擊者。數(shù)據(jù)鏈路層的攻擊及對策77（2）內(nèi)容尋址存儲器（CAM）表格淹沒攻擊。交換機中的CAM表格包含了諸如在指定交換機的物理端口所提供的MAC地址和相關(guān)的VLAN參數(shù)之類的信息。網(wǎng)絡(luò)攻擊者會向該交換機提供大量的無效MAC源地址，直到CAM表格被填滿。此時，交換機不能夠從CAM表格中查找出特定的MAC地址的端口號，只能將傳輸進來的信息向所有的端口發(fā)送。（3）VLAN中繼攻擊。VLAN中繼威脅攻擊充分利用了動態(tài)中繼協(xié)議（DynamicTrunkProtocol，DTP），攻擊者利用DTP冒充是由網(wǎng)絡(luò)交換機所發(fā)送的正常報文進而攻擊此臺計算機所連接的交換機。因此，如果網(wǎng)絡(luò)交換機啟動了中繼功能，就會導(dǎo)致異常報文發(fā)送到被攻擊的機器上，從而在不同的VLAN中進行網(wǎng)絡(luò)攻擊。數(shù)據(jù)鏈路層的攻擊及對策78（4）操縱生成樹協(xié)議。生成樹協(xié)議可用于交換網(wǎng)絡(luò)中，以防止在以太網(wǎng)拓撲結(jié)構(gòu)中產(chǎn)生橋接循環(huán)。通過攻擊生成樹協(xié)議，網(wǎng)絡(luò)攻擊者希望將自己的系統(tǒng)偽裝成該拓撲結(jié)構(gòu)中的根網(wǎng)橋。要達到此目的，網(wǎng)絡(luò)攻擊者需要向外廣播生成樹協(xié)議配置/拓撲結(jié)構(gòu)改變網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU），企圖迫使生成樹進行重新計算。網(wǎng)絡(luò)攻擊者系統(tǒng)發(fā)出的BPDU聲稱發(fā)出攻擊的網(wǎng)橋優(yōu)先權(quán)較低。如果獲得成功，該網(wǎng)絡(luò)攻擊者能夠獲得各種各樣的數(shù)據(jù)幀。（5）地址解析協(xié)議（ARP）攻擊。ARP協(xié)議的作用是在處于同一個子網(wǎng)中的主機所構(gòu)成的局域網(wǎng)部分中將IP地址映射到MAC地址。當有人在未獲得授權(quán)時就企圖更改MAC和IP地址的ARP表格中的信息時，就發(fā)生了ARP攻擊。通過這種方式，黑客們可以偽造MAC或IP地址，以便實施如下兩種攻擊：服務(wù)拒絕和中間人攻擊。安全對策79使用端口安全命令可以防止MAC欺騙攻擊。端口安全命令能夠提供指定系統(tǒng)MAC地址連接到特定端口的功能。該命令在端口的安全遭到破壞時，還能夠提供指定需要采取何種措施的能力。在交換機上配置端口安全選項可以防止CAM表淹沒攻擊。當無效的MAC地址在該端口被檢測出來之后，該交換機要么可以阻止所提供的MAC地址，要么可以關(guān)閉該端口。對VLAN的設(shè)置要在所有中繼端口上使用專門的VLANID。關(guān)閉掉所有用戶端口上的DTP，可以將所有端口設(shè)置成非中繼模式。防止操縱生成樹協(xié)議的攻擊，需要使用根目錄保護和BPDU保護加強命令來保持網(wǎng)絡(luò)中主網(wǎng)橋的位置不發(fā)生改變，同時也可以強化生成樹協(xié)議的域邊界。網(wǎng)絡(luò)層的攻擊及對策80網(wǎng)絡(luò)層常見的攻擊主要有：IP地址欺騙攻擊和ICMP攻擊。網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶提供授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽。（1）IP地址欺騙攻擊。IP地址欺騙主要有兩種：一種是攻擊者偽造的IP地址不可達或者根本不存在，這種形式的IP地址欺騙，主要用于迷惑目標主機上的入侵檢測系統(tǒng)，或者是對目標主機進行DoS攻擊；另一種則著眼于目標主機和其他主機之間的信任關(guān)系。攻擊者通過在自己發(fā)出的IP包中填入被目標主機所信任的主機的IP地址來進行冒充。一旦攻擊者和目標主機之間建立了一條TCP連接，攻擊者就可以獲得對目標主機的訪問權(quán)，并可以進一步進行攻擊。網(wǎng)絡(luò)層的攻擊及對策81（2）ICMP攻擊。ICMP攻擊是一種利用ICMP協(xié)議進行網(wǎng)絡(luò)攻擊的方式。主要包括以下幾種類型：①ICMP洪水攻擊。攻擊者向目標主機發(fā)送大量的ICMP請求消息，使目標主機的網(wǎng)絡(luò)資源（如帶寬、CPU、內(nèi)存等）耗盡，導(dǎo)致服務(wù)不可用。②ICMP回顯請求攻擊。攻擊者發(fā)送大量的ICMP回顯請求消息（也稱為Ping請求），使目標主機不斷回復(fù)這些請求，消耗目標主機的網(wǎng)絡(luò)資源和處理能力。③ICMP分片攻擊。攻擊者發(fā)送經(jīng)過特殊處理的ICMP分片消息，目的是使目標主機的IP堆棧產(chǎn)生異常行為，如崩潰或拒絕服務(wù)。④ICMP重定向攻擊。攻擊者發(fā)送偽造的ICMP重定向消息，使目標主機誤導(dǎo)路由表，導(dǎo)致流量被重定向到攻擊者控制的惡意主機。安全對策82（1）邏輯網(wǎng)絡(luò)分段。將整個網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)層上進行分段。例如，對于TCP/IP網(wǎng)絡(luò)，可以把網(wǎng)絡(luò)分成若干IP子網(wǎng)，各子網(wǎng)必須通過中間設(shè)備進行連接，利用這些中間設(shè)備的安全機制來控制各子網(wǎng)之間的訪問。（2）VLAN的實施?；贛AC的VLAN不能防止MAC欺騙攻擊。因此，VLAN劃分最好基于交換機端口。（3）防火墻服務(wù)。防火墻的主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通信。從應(yīng)用上分類：包過濾、代理服務(wù)器；從實現(xiàn)上分類：軟件防火墻、硬件防火墻。安全對策83（4）加密技術(shù)。加密技術(shù)用于網(wǎng)絡(luò)安全通常有兩種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。前者通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過加密的數(shù)據(jù)包傳送、認證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性不受損壞。（5）數(shù)字簽名和認證技術(shù)。認證技術(shù)主要解決網(wǎng)絡(luò)通信過程中通信雙方的身份認可，數(shù)字簽名是身份認證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。（6）VPN技術(shù)。通過一個公用網(wǎng)絡(luò)建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN采用了多種安全機制，如隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、身份認證技術(shù)等，通過上述的各項網(wǎng)絡(luò)安全技術(shù)，確保資料在公用網(wǎng)絡(luò)中傳輸時不被竊取。傳輸層的攻擊及對策84傳輸層存在兩個協(xié)議：傳輸控制協(xié)議（TCP）和用戶數(shù)據(jù)報協(xié)議（UDP）。傳輸層安全，主要指在客戶端和服務(wù)端的通信信道中提供安全。這個層次的安全可以包含加密和認證。傳輸層也支持多種安全服務(wù)：對等實體認證服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)和數(shù)據(jù)源點認證服務(wù)。傳輸層常見的攻擊方法有：TCP掃描攻擊、UDP掃描攻擊、SYNFlooding攻擊。TCP掃描攻擊85根據(jù)TCP協(xié)議規(guī)定：當連接一個沒有打開的TCP端口時，服務(wù)器會返回RST包；連接打開的TCP端口時，服務(wù)器會返回SYN+ACK包。常見的TCP掃描攻擊如下。①connect掃描：如果是打開的端口，攻擊機調(diào)用connect函數(shù)完成3次握手后再主動斷開。②SYN掃描：攻擊機只發(fā)送SYN包，如果打開的端口服務(wù)器會返回SYN+ACK，攻擊機可能會再發(fā)送RST斷開；關(guān)閉的端口返回RST。③FIN掃描：攻擊機發(fā)送FIN標志包，Windows系統(tǒng)不論端口是否打開都回復(fù)RST；但Unix系統(tǒng)端口關(guān)閉時會回復(fù)RST，打開時會忽略該包；可以用來區(qū)別Windows和Unix系統(tǒng)。④ACK掃描：攻擊機發(fā)送ACK標志包，目標系統(tǒng)雖然都會返回RST包，但兩種RST包有差異。UDP掃描攻擊86當連接一個沒有打開的UDP端口時，大部分類型的服務(wù)器可能會返回一個ICMP的端口不可達包，但也可能無任何回應(yīng)，由系統(tǒng)具體實現(xiàn)決定；對于打開的端口，服務(wù)器可能會有包返回，如DNS，但也可能沒有任何響應(yīng)。UDP掃描是可以越過防火墻的狀態(tài)檢測的，由于UDP是非連接的，防火墻會把UDP掃描包作為連接的第一個包而允許通過，所以防火墻只能通過統(tǒng)計的方式來判斷是否有UDP掃描。UDPflooding利用了UDP傳輸?shù)臒o狀態(tài)性，通過發(fā)送大量擁有偽裝IP地址的UDP數(shù)據(jù)包，填滿網(wǎng)絡(luò)設(shè)備（主要是路由器或防火墻）的連接狀態(tài)表，造成服務(wù)被拒絕。由于UDP是非連接協(xié)議，因此只能通過統(tǒng)計的方法來判斷，很難通過狀態(tài)檢測來發(fā)現(xiàn)，只能通過流量限制和統(tǒng)計的方法緩解。SYNFlooding攻擊87SYNFlooding是當前最流行的DoS與DDoS的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡的攻擊方式。一個正常的TCP連接需要3次握手的過程來建立一個TCP連接。假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的（第三次握手無法完成），這種情況下服務(wù)器端一般會重試（再次發(fā)送SYN+ACK給客戶端）并等待一段時間后丟棄這個未完成的連接。但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護一個非常大的半連接列表而消耗大量的資源，最后的結(jié)果往往是堆棧溢出崩潰。安全對策88（1）安全設(shè)置防火墻。首先在防火墻上限制TCPSYN的突發(fā)上限，因為防火墻不能識別正常的SYN和惡意的SYN，一般把TCPSYN的突發(fā)量調(diào)整到內(nèi)部主機可以承受的連接量，當超過這個預(yù)設(shè)的突發(fā)量的時候就自動清理或者阻止。（2）防御DoS攻擊。首先，利用防火墻可以阻止外網(wǎng)的ICMP包；其次，利用工具時常檢查一下網(wǎng)絡(luò)內(nèi)是否SYN_RECEIVED狀態(tài)的半連接。（3）漏洞掃描技術(shù)。通過兩種方法來檢查目標主機是否存在漏洞：在端口掃描后得知目標主機開啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，查看是否有滿足匹配條件的漏洞存在；通過模擬黑客的攻擊手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱勢口令等，若模擬攻擊成功，則表明目標主機系統(tǒng)存在安全漏洞。應(yīng)用層的攻擊及對策89常見應(yīng)用層攻擊模式主要有：帶寬攻擊、缺陷攻擊和控制目標機。帶寬攻擊。是用大量數(shù)據(jù)包填滿目標機的數(shù)據(jù)帶寬，使任何機器都無法再訪問該機。缺陷攻擊。是根據(jù)目標機系統(tǒng)的缺陷，發(fā)送少量特殊包使其崩潰；也有的根據(jù)服務(wù)器的缺陷，發(fā)送特殊請求來達到破壞服務(wù)器數(shù)據(jù)的目的?？刂颇繕藱C。是網(wǎng)絡(luò)入侵的最高目標，也就是獲取目標機的ROOT權(quán)限而不被目標機管理員發(fā)現(xiàn)。為實現(xiàn)此目標，需經(jīng)過以下步驟：端口掃描，了解目標機開了哪些端口，使用是哪種服務(wù)器；檢索服務(wù)器的漏洞；獲取普通用戶權(quán)限；以普通用戶權(quán)限查找系統(tǒng)中是否有可能的漏洞程序，并用相應(yīng)shellcode獲取ROOT權(quán)限；建立自己的后門方便以后再來。應(yīng)用層的攻擊方法90（1）應(yīng)用層協(xié)議攻擊。漏洞主要是來自協(xié)議的具體實現(xiàn)，比如說同樣的HTTP服務(wù)器，雖然都根據(jù)相同的RFC來實現(xiàn)，但Apache的漏洞和IIS的漏洞就是不同的。應(yīng)用層協(xié)議本身的漏洞包括：①明文密碼，如FTP、SMTP、POP3、TELNET等，容易被sniffer監(jiān)聽到，但可以通過使用SSH、SSL等來進行協(xié)議包裝。②多連接協(xié)議漏洞，由于子連接需要打開動態(tài)端口，就有可能被惡意利用，如FTP的PASV命令可能會使異常連接通過防火墻。③缺乏客戶端有效認證，如SMTP，HTTP等，導(dǎo)致服務(wù)器資源能力被惡意使用。④服務(wù)器信息泄露，如HTTP、SMTP等都會在頭部字段中說明服務(wù)器的類型和版本信息。⑤協(xié)議中一些字段非法參數(shù)的使用，如果具體實現(xiàn)時沒注意這些字段的合法性可能會造成問題。應(yīng)用層的攻擊方法91（2）緩沖溢出攻擊。緩沖區(qū)溢出攻擊是利用緩沖區(qū)溢出漏洞所進行的攻擊行動。緩沖區(qū)溢出是指當計算機向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。利用緩沖區(qū)溢出攻擊，可以導(dǎo)致程序運行失敗、系統(tǒng)關(guān)機、重新啟動等后果。（3）口令猜測/破解?？诹畈聹y往往也是很有效的攻擊模式，或者根據(jù)加密口令文件進行破解。（4）后門、木馬和病毒。這類病毒會修改注冊表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機加載附帶的木馬。木馬病毒的發(fā)作要在用戶的機器里運行客戶端程序，一旦發(fā)作，就可設(shè)置后門，定時地發(fā)送該用戶的隱私到木馬程序指定的地址，一般同時內(nèi)置可進入該用戶電腦的端口，并可任意控制此計算機，進行文件刪除、復(fù)制、改密碼等非法操作。應(yīng)用層的攻擊方法92（5）間諜軟件。駐留在計算機的系統(tǒng)中，收集有關(guān)用戶操作習(xí)慣的信息，并將這些信息通過互聯(lián)網(wǎng)悄無聲息地發(fā)送給軟件的發(fā)布者。由于間諜軟件主要通過80端口進入計算機，也通過80端口向外發(fā)起連接，因此傳統(tǒng)的防火墻無法有效抵御，必須通過應(yīng)用層內(nèi)容的識別采取相關(guān)措施。（6）DNS欺騙。DNS欺騙就是攻擊者冒充域名服務(wù)器的一種欺騙行為。DNS欺騙的基本原理是：如果可以冒充域名服務(wù)器，然后把查詢的IP地址設(shè)為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了。（7）網(wǎng)絡(luò)釣魚。攻擊利用欺騙性的電子郵件和偽造的Web站點來進行詐騙活動，受騙者往往會泄露自己的財務(wù)數(shù)據(jù)，如信用卡號、賬戶用戶名、口令和社保編號等內(nèi)容。安全對策93（1）訪問控制策略。訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。（2）信息加密策略。信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端—端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。（3）網(wǎng)絡(luò)安全管理策略。制定安全管理體制，加強網(wǎng)絡(luò)的安全管理。（4）網(wǎng)絡(luò)防火墻技術(shù)。是一種用來加強網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部進入網(wǎng)絡(luò)內(nèi)部，保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊互聯(lián)設(shè)備。它對多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包，按照一定的安全策略來實施檢查，決定網(wǎng)絡(luò)間通信是否被允許，并監(jiān)視網(wǎng)絡(luò)的運行狀態(tài)。安全對策94（5）入侵檢測技術(shù)。網(wǎng)絡(luò)入侵檢測技術(shù)通過硬件或軟件對網(wǎng)絡(luò)上的數(shù)據(jù)流進行實時檢查，并與系統(tǒng)中的入侵特征數(shù)據(jù)庫進行比較，一旦發(fā)現(xiàn)有被攻擊的跡象，立刻根據(jù)用戶所定義的動作做出反應(yīng)。入侵檢測系統(tǒng)（IntrusionDetectionSystem，IDS）是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。它通過監(jiān)視受保護系統(tǒng)的狀態(tài)和活動來識別針對計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)，包括檢測外界非法入侵者的惡意攻擊或試探，以及內(nèi)部合法用戶的超越使用權(quán)限的非法活動。入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS）則是一種主動的、積極的入侵防范、阻止系統(tǒng)。IPS是基于IDS的、建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全技術(shù)，IPS的檢測功能類似于IDS，防御功能類似于防火墻。黑客攻擊的3個階段95黑客是英文Hacker的音譯，通常是指對計算機科學(xué)、編程和設(shè)計方面具高度理解的人。入侵者（攻擊者）指懷著惡意企圖，闖入遠程計算機系統(tǒng)甚至破壞遠程計算機系統(tǒng)完整性的人。（1）信息收集。信息收集的目的是為了進入所要攻擊的目標網(wǎng)絡(luò)的數(shù)據(jù)庫。黑客會利用下列的公開協(xié)議或工具，收集駐留在網(wǎng)絡(luò)系統(tǒng)中的各個主機系統(tǒng)的相關(guān)信息。（2）系統(tǒng)安全弱點的探測。在收集到攻擊目標的一批網(wǎng)絡(luò)信息之后，黑客會探測網(wǎng)絡(luò)上的每臺主機，以尋求該系統(tǒng)的安全漏洞或安全弱點，黑客可能使用下列方式自動掃描駐留在網(wǎng)絡(luò)上的主機。（3）網(wǎng)絡(luò)攻擊。黑客使用上述方法，收集或探測到一些“有用”信息之后，就可能會對目標系統(tǒng)實施攻擊。黑客攻擊的3個階段96黑客一旦獲得了對攻擊的目標系統(tǒng)的訪問權(quán)后，又可能有下述多種選擇。①該黑客可能試圖毀掉攻擊入侵的痕跡，并在受到損害的系統(tǒng)上建立另外的新的安全漏洞或后門，以便在先前的攻擊點被發(fā)現(xiàn)之后，繼續(xù)訪問這個系統(tǒng)。②該黑客可能在目標系統(tǒng)中安裝探測器軟件，包括特洛伊木馬程序，用來窺探所在系統(tǒng)的活動，收集黑客感興趣的一切信息，如Telnet和FTP的賬號名和口令等。③該黑客可能進一步發(fā)現(xiàn)受損系統(tǒng)在網(wǎng)絡(luò)中的信任等級，這樣黑客就可以通過該系統(tǒng)信任級展開對整個系統(tǒng)的攻擊。對付黑客入侵971．發(fā)現(xiàn)黑客（1）進程異常。在windows任務(wù)管理器中出現(xiàn)一些異常現(xiàn)象，發(fā)現(xiàn)一些可疑的進程，我們應(yīng)該及時將其結(jié)束。（2）可疑啟動項。在入侵之后黑客一般會添加一個啟動項隨計算機啟動而啟動。（3）注冊表異常。運行Regedit命令，查看相應(yīng)的鍵和值是否正常，如果有異常，則可能是被黑客侵入。（4）開放可疑的窗口。在入侵后，黑客有可能留下后門程序以監(jiān)聽客戶端的請求。用戶可以通過命令查看計算機是否開啟了可疑端口。（5）日志文件的異常?？梢圆榭慈罩疚募卿浻涗浭欠裼泻诳腿肭帧＃?）存在陌生用戶。在入侵用戶電腦之后，黑客會創(chuàng)建有管理員權(quán)限的用戶，以便使用該用戶賬戶遠程登錄電腦或啟動程序和服務(wù)。對付黑客入侵982．應(yīng)急操作（1）估計形勢。當遭到入侵時，采取的第一步行動是盡可能快地估計入侵造成的破壞程度。判斷黑客是否已成功闖入站點、黑客是否還滯留在系統(tǒng)中、能控制當前形勢最好的方法是什么、入侵是否有來自內(nèi)部的威脅、是否了解入侵者身份？（2）切斷連接。一旦了解形勢之后，就應(yīng)立即采取行動：首先應(yīng)切斷連接，并判斷：能否關(guān)閉服務(wù)器、能否追蹤黑客？（3）分析問題。當系統(tǒng)已被入侵時，應(yīng)全面考慮新近發(fā)生的事情，當已識別安全漏洞并將進行修補時，要保證修補不會引起另一個安全漏洞。（4）采取行動。實施緊急反應(yīng)計劃并及時修復(fù)安全漏洞和恢復(fù)系統(tǒng)。對付黑客入侵993．抓住入侵者抓住入侵者是很困難的，特別是當他們故意隱藏行跡的時候。成功與否在于是否能準確把握黑客的攻擊。盡管抓住黑客的可能性不高，但遵循如下原則會大有幫助。①注意經(jīng)常定期檢查登錄文件。②注意不尋常的主機連接及連接次數(shù)通知用戶，將使消除入侵變得更為容易。③注意那些原不經(jīng)常使用卻突然變得活躍的賬戶。應(yīng)該禁止或干脆刪去這些不用的賬戶。④預(yù)計黑客經(jīng)常在周六、周日和節(jié)假日下午6點至上午8點之間光顧。但他們也可能隨時光顧。在這些時段里，每隔10分鐘運行一次shellscript文件，記錄所有的過程及網(wǎng)絡(luò)連接。（第6章）6.5入侵檢測技術(shù)1006.5入侵檢測技術(shù)101入侵定義為任何試圖破壞信息系統(tǒng)的完整性、保密性或有效性的活動的集合。入侵檢測就是通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術(shù)。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?，F(xiàn)象的技術(shù)，是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的