全面防護(hù)Windows與網(wǎng)絡(luò)入侵(結(jié)課作業(yè)).doc

一、我對(duì)全面防護(hù)Windows與網(wǎng)絡(luò)入侵的認(rèn)識(shí)出于對(duì)計(jì)算機(jī)技術(shù)的興趣，我選修了全面防護(hù)Windows與網(wǎng)絡(luò)入侵這門課程，在近半個(gè)學(xué)期的學(xué)習(xí)中，我初步了解了有關(guān)無線網(wǎng)絡(luò)以及黑客常有攻擊步驟和方法的一些知識(shí)。無線網(wǎng)絡(luò)是指采用無線傳輸媒體如無線電波、紅外線等的網(wǎng)絡(luò)。與有線網(wǎng)絡(luò)的用途十分類似，最大的不同在于傳輸媒介的不同，利用無線電技術(shù)取代網(wǎng)線。無線網(wǎng)絡(luò)技術(shù)涵蓋的范圍很廣，既包括允許用戶建立遠(yuǎn)距離無線連接的全球語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)，也包括為近距離無線連接進(jìn)行優(yōu)化的紅外線技術(shù)及射頻技術(shù)。無線網(wǎng)絡(luò)可分為四種無線廣域網(wǎng)(WWAN)、無線局域網(wǎng)(WLAN) 、無線城域網(wǎng)(WMAN)無線個(gè)人網(wǎng)(WPAN)。WWAN技術(shù)中的3G網(wǎng)絡(luò)世界四大3G標(biāo)準(zhǔn)，它們分別是WCDMA、CDMA2000和TD-SCDMA和WiMAX。中國(guó)移動(dòng)的3G牌照基于TD-SCDMA技術(shù)制式并且TD-SCDMA為我國(guó)擁有自主產(chǎn)權(quán)的3G技術(shù)標(biāo)準(zhǔn) 中國(guó)電信的3G牌照是基于CDMA2000技術(shù)制式。中國(guó)聯(lián)通的3G牌照是基于WCDMA技術(shù)制式。無線上網(wǎng)卡、電腦、手機(jī)，通過這些設(shè)備以及藍(lán)牙等無線技術(shù)，我們可以很方便的應(yīng)用無線網(wǎng)絡(luò)，這大大地改變了我們的生活，給我們的生活帶來了極大的便利，但在我們享受這些的時(shí)候，網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)也因?yàn)闊o線網(wǎng)絡(luò)的普及而大大增加。而在各種黑客工具中，特洛伊木馬程序無疑是危害最大的。特洛伊木馬造成的危害可能是非常驚人的，由于它具有遠(yuǎn)程控制機(jī)器以及捕獲屏幕、鍵擊、音頻、視頻的能力，所以其危害程度要遠(yuǎn)遠(yuǎn)超過普通的病毒和蠕蟲。特洛伊木馬攻擊者既可以隨心所欲地查看已被入侵的機(jī)器，也可以用廣播方式發(fā)布命令，指示所有在他控制之下的特洛伊木馬一起行動(dòng)，或者向更廣泛的范圍傳播，或者做其他危險(xiǎn)的事情。自從世界上出現(xiàn)第一個(gè)木馬程序誕生到今天，木馬的發(fā)展已經(jīng)歷了五代，木馬技術(shù)越來越成熟，危害也越來越大，由第一代單純的竊取網(wǎng)絡(luò)密碼到第五代的利用操作系統(tǒng)漏洞，直接自動(dòng)啟動(dòng)、復(fù)制、感染傳播，泄露信息，攻擊、癱瘓系統(tǒng)等。并且因?yàn)闊o線網(wǎng)絡(luò)的應(yīng)用與普及，木馬攻擊者越來越難以被追蹤發(fā)現(xiàn)。不過，在黑客技術(shù)發(fā)展的同時(shí)，網(wǎng)絡(luò)防護(hù)也不斷向前，各種加密措施不斷出現(xiàn) 如：WEP安全技術(shù)、WPA、WPA2，在利用這些先進(jìn)技術(shù)的同時(shí)，只要我們提高警惕，及時(shí)升級(jí)殺毒軟件、修補(bǔ)漏洞，我們便可以有效地防范黑客的入侵。二、目前無線網(wǎng)絡(luò)存在的安全隱患（一）容易侵入 無線局域網(wǎng)非常容易被發(fā)現(xiàn)，為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在，網(wǎng)絡(luò)必須發(fā)送有特定參數(shù)的信標(biāo)幀，這樣就給攻擊者提供了必要的網(wǎng)絡(luò)信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對(duì)網(wǎng)絡(luò)發(fā)起攻擊而不需要任何物理方式的侵入。因?yàn)槿魏稳说挠?jì)算機(jī)都可以通過自己購(gòu)買的AP，不經(jīng)過授權(quán)而連入網(wǎng)絡(luò)。很多部門未通過公司IT中心授權(quán)就自建無線局域網(wǎng)，用戶通過非法AP接入給網(wǎng)絡(luò)帶來很大安全隱患。如果你能買到Y(jié)agi外置天線和3-dB磁性HyperGain漫射天線硬盤，拿著它到各大寫字樓里走一圈，你也許就能進(jìn)入那些大公司的無線局域網(wǎng)絡(luò)里，做你想要做的一切?；蛘咴俸?jiǎn)單一點(diǎn)，對(duì)于那些防范手段差的公司來說，用一塊802.11b無線網(wǎng)卡也可以進(jìn)入他們的網(wǎng)絡(luò)這種事時(shí)常在美國(guó)發(fā)生。 還有的部分設(shè)備、技術(shù)不完善，導(dǎo)致網(wǎng)絡(luò)安全性受到挑戰(zhàn)。如Cisco于2002年12月才發(fā)布的 Aironet AP1100無線設(shè)備，最近被發(fā)現(xiàn)存在安全漏洞，當(dāng)該設(shè)備受到暴力破解行為攻擊時(shí)很可能導(dǎo)致用戶信息的泄露。 （二）根據(jù)RSA Security在英國(guó)的調(diào)查發(fā)現(xiàn)，67%的WLAN都沒有采取安全措施。而要保護(hù)無線網(wǎng)絡(luò)，必須要做到三點(diǎn)：信息加密、身份驗(yàn)證和訪問控制。WEP存在的問題由兩個(gè)方面造成：一個(gè)是接入點(diǎn)和客戶端使用相同的加密密鑰。如果在家庭或者小企業(yè)內(nèi)部，一個(gè)訪問節(jié)點(diǎn)只連接幾臺(tái)PC的話還可以，但如果在不確定的客戶環(huán)境下則無法使用。讓全部客戶都知道密鑰的做法，無疑在宣告WLAN根本沒有加密。二是基于WEP的加密信息容易被破譯。美國(guó)某些大學(xué)甚至已經(jīng)公開了解密WEP的論文，這些都是WEP在設(shè)計(jì)上存在問題，是人們?cè)谑褂肐EEE 802.11b時(shí)心頭無法抹去的陰影。802.11無法防止攻擊者采用被動(dòng)方式監(jiān)聽網(wǎng)絡(luò)流量，而任何無線網(wǎng)絡(luò)分析儀都可以不受阻礙地截獲未進(jìn)行加密的網(wǎng)絡(luò)流量。目前，WEP有漏洞可以被攻擊者利用，它僅能保護(hù)用戶和網(wǎng)絡(luò)通信的初始數(shù)據(jù)，并且管理和控制幀是不能被WEP加密和認(rèn)證的，這樣就給攻擊者以欺騙幀中止網(wǎng)絡(luò)通信提供了機(jī)會(huì)。不同的制造商提供了兩種WEP級(jí)別，一種建立在40位密鑰和24位初始向量基礎(chǔ)上，被稱作64位密碼；另一種是建立在104位密碼加上24位初始向量基礎(chǔ)上的，被稱作128位密碼。高水平的黑客，要竊取通過40位密鑰加密的傳輸資料并非難事，40位的長(zhǎng)度就擁有2的40次方的排列組合，而RSA的破解速度，每秒就能列出2.45109種排列組合，幾分鐘之內(nèi)就可以破解出來。所以128位的密鑰是以后采用的標(biāo)準(zhǔn)。 雖然WEP有著種種的不安全，但是很多情況下，許多訪問節(jié)點(diǎn)甚至在沒有激活WEP的情況下就開始使用網(wǎng)絡(luò)了，這好像在敞開大門迎接敵人一樣。用NetStumbler等工具掃描一下網(wǎng)絡(luò)就能輕易記下MAC地址、網(wǎng)絡(luò)名、服務(wù)設(shè)置標(biāo)識(shí)符、制造商、信道、信號(hào)強(qiáng)度、信噪比的情況。作為防護(hù)功能的擴(kuò)展，最新的無線局域網(wǎng)產(chǎn)品的防護(hù)功能更進(jìn)了一步，利用密鑰管理協(xié)議實(shí)現(xiàn)每15分鐘更換一次WEP密鑰，即使最繁忙的網(wǎng)絡(luò)也不會(huì)在這么短的時(shí)間內(nèi)產(chǎn)生足夠的數(shù)據(jù)證實(shí)攻擊者破獲密鑰。然而，一半以上的用戶在使用AP時(shí)只是在其默認(rèn)的配置基礎(chǔ)上進(jìn)行很少的修改，幾乎所有的AP都按照默認(rèn)配置來開啟WEP進(jìn)行加密或者使用原廠提供的默認(rèn)密鑰。 （三）由于802.11無線局域網(wǎng)對(duì)數(shù)據(jù)幀不進(jìn)行認(rèn)證操作，攻擊者可以通過非常簡(jiǎn)單的方法輕易獲得網(wǎng)絡(luò)中站點(diǎn)的MAC地址，這些地址可以被用來惡意攻擊時(shí)使用。 除通過欺騙幀進(jìn)行攻擊外，攻擊者還可以通過截獲會(huì)話幀發(fā)現(xiàn)AP中存在的認(rèn)證缺陷，通過監(jiān)測(cè)AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在。然而，由于802.11沒有要求AP必須證明自己真是一個(gè)AP，攻擊者很容易裝扮成AP進(jìn)入網(wǎng)絡(luò)，通過這樣的AP，攻擊者可以進(jìn)一步獲取認(rèn)證身份信息從而進(jìn)入網(wǎng)絡(luò)。在沒有采用802.11i對(duì)每一個(gè)802.11 MAC幀進(jìn)行認(rèn)證的技術(shù)前，通過會(huì)話攔截實(shí)現(xiàn)的網(wǎng)絡(luò)入侵是無法避免的。三、計(jì)算機(jī)網(wǎng)絡(luò)和無線網(wǎng)絡(luò)防范采取的措施 （一） 正確放置網(wǎng)絡(luò)的接入點(diǎn)設(shè)備 從基礎(chǔ)做起：在網(wǎng)絡(luò)配置中，要確保無線接入點(diǎn)放置在防火墻范圍之外。 （二） 利用MAC阻止黑客攻擊 利用基于MAC地址的ACLs（訪問控制表）確保只有經(jīng)過注冊(cè)的設(shè)備才能進(jìn)入網(wǎng)絡(luò)。MAC過濾技術(shù)就如同給系統(tǒng)的前門再加一把鎖，設(shè)置的障礙越多，越會(huì)使黑客知難而退，不得不轉(zhuǎn)而尋求其他低安全性的網(wǎng)絡(luò)。 （三） WEP協(xié)議的重要性 WEP是802.11b無線局域網(wǎng)的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全協(xié)議。在傳輸信息時(shí)，WEP可以通過加密無線傳輸數(shù)據(jù)來提供類似有線傳輸?shù)谋Ｗo(hù)。在簡(jiǎn)便的安裝和啟動(dòng)之后，應(yīng)立即更改WEP密鑰的缺省值。最理想的方式是WEP的密鑰能夠在用戶登錄后進(jìn)行動(dòng)態(tài)改變，這樣，黑客想要獲得無線網(wǎng)絡(luò)的數(shù)據(jù)就需要不斷跟蹤這種變化?；跁?huì)話和用戶的WEP密鑰管理技術(shù)能夠?qū)崿F(xiàn)最優(yōu)保護(hù)，為網(wǎng)絡(luò)增加另外一層防范。 （四） WEP協(xié)議不是萬能的 不能將加密保障都寄希望于WEP協(xié)議。WEP只是多層網(wǎng)絡(luò)安全措施中的一層，雖然這項(xiàng)技術(shù)在數(shù)據(jù)加密中具有相當(dāng)重要的作用，但整個(gè)網(wǎng)絡(luò)的安全不應(yīng)只依賴這一層的安全性能。而且，如前所述，由于 WEP協(xié)議加密機(jī)制的缺陷，會(huì)導(dǎo)致加密信息被破解。也正是由于認(rèn)識(shí)到了這一點(diǎn)，中國(guó)國(guó)家質(zhì)檢總局、國(guó)家標(biāo)準(zhǔn)委于2003年11月26日發(fā)布了關(guān)于無限局域網(wǎng)強(qiáng)制性國(guó)家標(biāo)準(zhǔn)實(shí)施的公告，要求強(qiáng)制執(zhí)行中國(guó)Wi-Fi的國(guó)家標(biāo)準(zhǔn)WAPI（WLAN Authentication and Privacy Infrastructure，無限局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)），即國(guó)家標(biāo)準(zhǔn)GB15629.112003，采用有別于IEEE（美國(guó)電子與電氣工程師協(xié)會(huì)）的802.11無線網(wǎng)絡(luò)標(biāo)準(zhǔn)的公開密鑰體制，用于實(shí)現(xiàn)WLAN設(shè)備的身份鑒別、鏈路驗(yàn)證、訪問控制和用戶信息在無線傳輸狀態(tài)下的加密保護(hù)等。 （五）簡(jiǎn)化網(wǎng)絡(luò)安全管理：集成無線和有線網(wǎng)絡(luò)安全策略 無線網(wǎng)絡(luò)安全不是單獨(dú)的網(wǎng)絡(luò)架構(gòu)，它需要各種不同的程序和協(xié)議。制定結(jié)合有線和無線網(wǎng)絡(luò)安全的策略能夠提高管理水平，降低管理成本。例如，不論用戶是通過有線還是無線方式進(jìn)入網(wǎng)絡(luò)時(shí)，都采用集成化的單一用戶ID和密碼。 所有無線局域網(wǎng)都有一個(gè)缺省的SSID（服務(wù)標(biāo)識(shí)符）或網(wǎng)絡(luò)名，立即更改這個(gè)名字，用文字和數(shù)字符號(hào)來表示。如果企業(yè)具有網(wǎng)絡(luò)管理能力，應(yīng)該定期更改S