第八網(wǎng)絡(luò)安全技術(shù)課件

1、第 八 章網(wǎng)絡(luò)安全技術(shù)8.1網(wǎng)絡(luò)安全概念與任務(wù)8.2 加密技術(shù)與身份認(rèn)證技術(shù)8.3 網(wǎng)絡(luò)病毒及其防范技術(shù)8.4 黑客及其防范技術(shù)8.5 防火墻技術(shù)8.6 網(wǎng)絡(luò)管理基礎(chǔ)小結(jié)習(xí)題計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1 網(wǎng)絡(luò)安全概念與任務(wù)網(wǎng)絡(luò)安全是使用Internet時(shí)必備的知識(shí)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的日益普及，網(wǎng)絡(luò)在日常生活、工作中的作用也就越來越明顯。計(jì)算機(jī)網(wǎng)絡(luò)逐步改變了人們的生活方式，提高了人們的工作效率。但是，有時(shí)也會(huì)帶來災(zāi)難。黑客、病毒、網(wǎng)絡(luò)犯罪都是時(shí)刻在威脅者我們?cè)诰W(wǎng)絡(luò)上的信息安全。如何保證和解決這些問題，讓我們能安全自由的使用網(wǎng)絡(luò)資源，就是需要相關(guān)的網(wǎng)絡(luò)安全技術(shù)來解決。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1.

2、1網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全的含義是指通過各種計(jì)算機(jī)、網(wǎng)絡(luò)、密碼技術(shù)和信息安全技術(shù)，保護(hù)在公用通信網(wǎng)絡(luò)中傳輸、交換和存儲(chǔ)的信息的機(jī)密性、完整性和真實(shí)性，并對(duì)信息的傳播及內(nèi)容具有控制能力。網(wǎng)絡(luò)安全的結(jié)構(gòu)層次包括：物理安全、安全控制和安全服務(wù)。網(wǎng)絡(luò)安全首先要保障網(wǎng)絡(luò)上信息的物理安全，物理安全是指在物理介質(zhì)層次上對(duì)存儲(chǔ)和傳輸?shù)男畔⒌陌踩Ｗo(hù)，目前，物理安全中常見的不安全因素主要包括自然災(zāi)害、電磁泄漏、操作失誤和計(jì)算機(jī)系統(tǒng)機(jī)房環(huán)境的安全。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1.1網(wǎng)絡(luò)安全的概念安全控制是指在計(jì)算機(jī)操作系統(tǒng)上和網(wǎng)絡(luò)通信設(shè)備上對(duì)存儲(chǔ)和傳輸?shù)男畔⒌牟僮骱瓦M(jìn)程進(jìn)行控制和管理，主要是在信息處理和傳輸層次上對(duì)

3、信息進(jìn)行的初步安全保護(hù)。安全控制可以分為三個(gè)層次：計(jì)算機(jī)操作系統(tǒng)的安全控制，網(wǎng)絡(luò)接口模塊的安全控制和網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制。安全服務(wù)是指在應(yīng)用層次上對(duì)信息的保密性、安全性和來源真實(shí)性進(jìn)行保護(hù)和鑒別，滿足用戶的安全要求，防止和抵御各種安全威脅和攻擊手段，這是對(duì)現(xiàn)有操作系統(tǒng)和通信網(wǎng)絡(luò)的安全漏洞和問題的彌補(bǔ)和完善。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1.1網(wǎng)絡(luò)安全的概念從技術(shù)角度上講，網(wǎng)絡(luò)信息安全包括五個(gè)基本要素：機(jī)密性、完整性、可用性、可控性和可審查性。機(jī)密性是指確保信息不能泄密給非授權(quán)的用戶，保證信息只能提供給授權(quán)用戶在規(guī)定的權(quán)限內(nèi)使用的特征。完整性是指網(wǎng)絡(luò)中的信息在存儲(chǔ)和傳輸過程中不會(huì)被破壞或丟失，如修

4、改、刪除、偽造、亂序、重放、插入等。完整性使信息的生成、傳輸、存儲(chǔ)的過程中保持原樣，保證合法用戶能夠修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否被篡改。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1.1網(wǎng)絡(luò)安全的概念可用性指信息只可以給授權(quán)用戶在正常使用時(shí)間和使用權(quán)限內(nèi)有效使用，非授權(quán)用戶不能獲得有效的可用信息?？煽匦灾感畔⒌淖x取、流向、存儲(chǔ)等活動(dòng)能夠在規(guī)定范圍內(nèi)被控制，消除非授權(quán)用戶對(duì)信息的干擾。可審查性是指信息能夠接受授權(quán)用戶的審查，以便及時(shí)發(fā)現(xiàn)信息的流向、是非被破壞或丟失以及信息是非合法。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1.2網(wǎng)絡(luò)信息安全面臨的威脅計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，使信息在不同主體之間共享應(yīng)用，相互交流日益廣泛深入，但目

5、前在全球普遍存在信息安全意識(shí)欠缺的狀況，這導(dǎo)致大多數(shù)的信息系統(tǒng)和網(wǎng)絡(luò)存在著先天性的安全漏洞和安全威脅。 計(jì)算機(jī)網(wǎng)絡(luò)面臨的威脅：截獲：從網(wǎng)絡(luò)上竊聽他人的通信內(nèi)容。中斷：有意中斷他人在網(wǎng)絡(luò)上的通信。 篡改：故意修改網(wǎng)絡(luò)上傳送的報(bào)文。偽造：偽造信息在網(wǎng)絡(luò)上傳送。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1.2網(wǎng)絡(luò)信息安全面臨的威脅上述四種對(duì)網(wǎng)絡(luò)的威脅可劃分為兩大類，即被動(dòng)攻擊和主動(dòng)攻擊，如圖8.1所示。 截獲信息的攻擊稱為被動(dòng)攻擊，而更改信息和拒絕用戶使用資源的攻擊稱為主動(dòng)攻擊。 圖8.1 對(duì)網(wǎng)絡(luò)的被動(dòng)攻擊和主動(dòng)攻擊截獲篡改偽造中斷被動(dòng)攻擊主 動(dòng) 攻 擊目的站源站源站源站源站目的站目的站目的站計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章

6、8.1.2網(wǎng)絡(luò)信息安全面臨的威脅根據(jù)這些特點(diǎn)，可以得出計(jì)算機(jī)網(wǎng)絡(luò)通信安全的五個(gè)目標(biāo)如下：（1）防止分析出報(bào)文內(nèi)容（2）防止信息量分析（3）檢測(cè)更改報(bào)文流（4）檢測(cè)拒絕報(bào)文服務(wù)（5）檢測(cè)偽造初始化連接 還有一種特殊的主動(dòng)攻擊就是惡意程序的攻擊。惡意程序種類繁多，對(duì)網(wǎng)絡(luò)安全威脅較大的主要有以下幾種惡意程序： 計(jì)算機(jī)病毒、計(jì)算機(jī)蠕蟲、特洛伊木馬、邏輯炸彈等。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1.3網(wǎng)絡(luò)安全組件網(wǎng)絡(luò)信息安全是一個(gè)整體系統(tǒng)的安全，是由安全操作系統(tǒng)、應(yīng)用程序、防火墻、網(wǎng)絡(luò)監(jiān)控、安全掃描、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、網(wǎng)絡(luò)防病毒等多個(gè)安全組件共同組成的，每個(gè)組件各司其職，共同保障網(wǎng)絡(luò)的整體安全。每

7、一個(gè)單獨(dú)的組件只能完成其中部分功能，而不能完成全部功能。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1.3網(wǎng)絡(luò)安全組件(1)防火墻防火墻是內(nèi)部網(wǎng)絡(luò)安全的屏障，它使用安全規(guī)則，可以只允許授權(quán)的信息和操作進(jìn)出內(nèi)部網(wǎng)絡(luò)，它可以有效的應(yīng)對(duì)黑客等對(duì)于非法入侵者。但防火墻無法阻止和檢測(cè)基于數(shù)據(jù)內(nèi)容的病毒入侵，同時(shí)也無法控制內(nèi)部網(wǎng)絡(luò)之間的違規(guī)行為。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1.3網(wǎng)絡(luò)安全組件(2)漏洞掃描器漏洞掃描器主要用來發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備和主機(jī)的漏洞，通過定期的掃描與檢測(cè)，及時(shí)發(fā)現(xiàn)系統(tǒng)漏洞并予以補(bǔ)救，清除黑客和非法入侵的途徑，消除安全隱患。當(dāng)然，漏洞掃描器也有可能成為攻擊者的工具。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1.3

8、網(wǎng)絡(luò)安全組件(3)殺毒軟件殺毒軟件是最為常見的安全工具，它可以檢測(cè)，清除各種文件型病毒、郵件病毒和網(wǎng)絡(luò)病毒等，檢測(cè)系統(tǒng)工作狀態(tài)，及時(shí)發(fā)現(xiàn)異常活動(dòng)，它可以查殺特洛伊木馬和蠕蟲等病毒程序，防止病毒破壞和擴(kuò)散有積極作用。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.1.3網(wǎng)絡(luò)安全組件(4)入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)的主要功能包括檢測(cè)并分析用戶在網(wǎng)絡(luò)中的活動(dòng)，識(shí)別已知的攻擊行為，統(tǒng)計(jì)分析異常行為，檢查系統(tǒng)漏洞，評(píng)估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性，管理操作系統(tǒng)日志，識(shí)別違反安全策略的用戶活動(dòng)等。入侵檢測(cè)系統(tǒng)可以及時(shí)發(fā)現(xiàn)已經(jīng)進(jìn)入網(wǎng)絡(luò)的非法行為，是前三種組件的補(bǔ)充和完善。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.1 密碼學(xué)的基本概念研究

9、密碼技術(shù)的學(xué)科稱為密碼學(xué)。密碼學(xué)包括兩個(gè)分支，即密碼編碼學(xué)和密碼分析學(xué)。前者指在對(duì)信息進(jìn)行編碼實(shí)現(xiàn)信息隱蔽，后者研究分析破譯密碼的學(xué)問。兩者相互對(duì)立，又相互促進(jìn)。 采用密碼技術(shù)可以隱蔽和保護(hù)需要發(fā)送的消息，使未授權(quán)者不能提取信息。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.1 密碼學(xué)的基本概念發(fā)送方要發(fā)送的消息稱為明文。明文被變換成看似無意的隨機(jī)信息，稱為密文。這種由明文到密文的變換過程稱為加密。其逆過程，即由合法接受者從密文恢復(fù)出明文的過程成為解密。加密算法和解密算法是在一組僅有的合法用戶知道的秘密信息的控制下進(jìn)行的，該密碼信息稱為密鑰，加密和解密過程中使用的密鑰分別稱為加密密鑰和解密密鑰。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)

10、 第八章8.2.1 密碼學(xué)的基本概念數(shù)據(jù)加密的一般模型如圖8.2所示。在圖中，我們把未進(jìn)行加密調(diào)制的數(shù)據(jù)稱為明文數(shù)據(jù)或明文，用X表示，把經(jīng)過加密算法調(diào)制過的數(shù)據(jù)稱為密文數(shù)據(jù)，用Y表示。明文數(shù)據(jù)經(jīng)過加密算法E和加密密鑰Ke調(diào)制后得到密文數(shù)據(jù)YEke（X）。經(jīng)網(wǎng)絡(luò)傳輸后，接收端收到密文數(shù)據(jù)后，自由解密算法D與解密密鑰Kd解出明文數(shù)據(jù)XDKd（Y）DKd（Eke（X）。為了加密和解密的需要，有時(shí)還要把加密密鑰Ke和解密密鑰Kd傳送給對(duì)方。另外，除了接受者外，網(wǎng)絡(luò)中還可能出現(xiàn)其他非法接收密文信息的人，我們稱之為入侵者和攻擊者。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.1 密碼學(xué)的基本概念圖8.2 數(shù)據(jù)加密的通用

11、模型數(shù)據(jù)加密的目的是使得入侵者無論獲得多少密文數(shù)據(jù)的條件下，都無法唯一確定出對(duì)應(yīng)的明文數(shù)據(jù)。如果一個(gè)加密算法或加密機(jī)制能夠滿足這一條件，則我們稱該算法或機(jī)制是無條件安全的。這是衡量一個(gè)加密算法好壞的主要依據(jù)。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.1 密碼學(xué)的基本概念按照加密密鑰Ke和解密密鑰Kd是否相同，密碼體制分為了傳統(tǒng)密碼體制和公鑰密碼體制。傳統(tǒng)密碼體制所使用的加密密鑰Ke和解密密鑰Kd相同，或從一個(gè)可以推出另一個(gè)，被稱為單鑰或?qū)ΨQ密碼體制。單鑰密碼優(yōu)點(diǎn)是加、解密速度快，但有時(shí)存在密鑰管理困難的問題。若加密密鑰Ke和解密密鑰Kd不相同，從一個(gè)難于推出另一個(gè)，則稱為雙鑰或非對(duì)稱密碼體制。 計(jì)算機(jī)網(wǎng)絡(luò)

12、基礎(chǔ) 第八章8.2.2 傳統(tǒng)密碼體制傳統(tǒng)加密也稱為對(duì)稱加密或單鑰加密，是1976年公鑰密碼產(chǎn)生前唯一的一種加密技術(shù)，迄今為止，它仍然是兩種類型的加密中使用最廣泛的一種。重要的是要注意，常規(guī)加密的安全性取決于密鑰的保密性，而不是算法的保密性。也就是說，如果知道了密文和加密及解密算法的知識(shí)，解密消息也是不可能的。換句話說，我們不需要使算法是秘密的，而只需要對(duì)密鑰進(jìn)行保密即可。所以在常規(guī)加密的使用中，主要的安全問題就是保持密鑰的保密性。下面介紹一下傳統(tǒng)加密體制中的古典加密算法和現(xiàn)代加密算法的一些主要代表。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章（1）傳統(tǒng)加密算法替換加密： 例如，使用替換算法的Caesar密碼，采用的

13、是CharacterN的算法，假設(shè)明文為ATTACK BEGIN AT FIVE，采用N2的替換算法，即A用其ASCII碼值加2的字符來替代，字母Y和Z分別用字母A和B來替代。得到密文為CVVCEMDGIKPCVHKXV。這種替換加密方法簡便，實(shí)現(xiàn)容易但安全性較低。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章（1）傳統(tǒng)加密算法換位加密：換位加密就是通過一定的規(guī)律改變字母的排列順序?，F(xiàn)假設(shè)密鑰為WATCH，明文為THE SPY IS JAMES LI（加密時(shí)需要去除明文中的空格，故明文為THESPYISJAMESLI）。在英文26個(gè)字母中找出密鑰WATCH這5個(gè)字母，按其在字母表中的先后順序加上編號(hào)15，如圖8.3

14、。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章（1）傳統(tǒng)加密算法從左到右、從上到下按行填入明文。請(qǐng)注意，到現(xiàn)在為止，密鑰起作用只是確定了明文每行是5個(gè)字母。按照密鑰給出的字母順序，按列讀出，如圖8.4中標(biāo)出的順序。第一次讀出HIE，第二次讀出SJL，第三次讀出PAI，第四次讀出ESS，第五次讀出TYM。將所有讀出的結(jié)果連起來，得出密文為：HIESJLPAIESSTYM。ABCDEFGHIJKLMNOPQRSTUVWXYZ12345圖8.3 密鑰字母相對(duì)順序密鑰WATCH順序51423明文THESPYISJAMESLI圖8.3 換位加密計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章（2）現(xiàn)代加密算法數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）是迄今世界上最為廣泛

15、使用和流行的傳統(tǒng)加密體制，它的產(chǎn)生被認(rèn)為是20世紀(jì)70年代信息加密技術(shù)發(fā)展史上的兩大里程碑之一。DES是一種典型的按分組方式工作的密碼，即基本思想是將二進(jìn)制序列的明文分成每64位一組，用長為56位的密鑰（64位密鑰中有8位是用于奇偶校驗(yàn)）對(duì)其進(jìn)行16輪代換和換位加密，最后形成密文。DES的巧妙之處在于，除了密鑰輸入順序之外，其加密和解密的步驟完全相同，這就使得在制作DES芯片時(shí)，易于做到標(biāo)準(zhǔn)化和通用化，這一點(diǎn)尤其適合現(xiàn)代通信的需要，在DES出現(xiàn)以后經(jīng)過許多專家學(xué)者的分析認(rèn)證，證明它是一種性能良好的數(shù)據(jù)加密算法，不僅隨機(jī)性好線性復(fù)雜度高，而且易于實(shí)現(xiàn)。因此，DES在國際上得到了廣泛的應(yīng)用。采用D

16、ES算法的數(shù)據(jù)加密模型如圖8.5所示。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章（2）現(xiàn)代加密算法DES算法的工作原理是公開算法，包括加密和解密算法。然而，DES算法對(duì)密鑰進(jìn)行保密。只有掌握了和發(fā)送方相同密鑰的人才能解讀由DES算法加密的密文數(shù)據(jù)。因此，破譯DES算法實(shí)際上就是搜索密鑰的編碼。對(duì)于56位長度的密鑰來說，如果用窮舉法來進(jìn)行搜索的話，其運(yùn)算次數(shù)為256。對(duì)于當(dāng)前計(jì)算機(jī)的運(yùn)算能力來說，56位的密鑰已經(jīng)不能算是安全的，因此在DES的基礎(chǔ)上出現(xiàn)了3DES，采用128位的密鑰。圖8.5 DES算法的數(shù)據(jù)加密模型計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章（2）現(xiàn)代加密算法IEDA算法也是一個(gè)現(xiàn)代密鑰算法中被認(rèn)定是最好的最安全的分組

17、密碼算法之一。IEDA是以64位的明文塊進(jìn)行分組，密鑰是128位長，此算法可以用于加密和解密，IEDA主要采用了三種運(yùn)算：異或、模加、模乘，容易用軟件和硬件來實(shí)現(xiàn)，運(yùn)行速度也幾乎同DES一樣快。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.3 公鑰密碼體制公鑰加密算法是整個(gè)密碼學(xué)發(fā)展歷史中最偉大的一次革命，從密碼學(xué)產(chǎn)生至今，幾乎所有的傳統(tǒng)密碼體制包括都是基于替換和分組這種初等方法，公鑰密碼算法與以前的密碼學(xué)不同，它是基于數(shù)學(xué)函數(shù)的，更重要的是，與只使用一個(gè)密鑰的對(duì)稱密碼不同，公鑰密碼學(xué)是非對(duì)稱的，即它使用一個(gè)加密密鑰和一個(gè)與之相關(guān)的不同的解密密鑰。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.2 傳統(tǒng)密碼體制其主要步驟如下

18、：（1）每一個(gè)用戶產(chǎn)生一對(duì)密鑰，用于加密和解密消息。（2）每一個(gè)用戶將其中一個(gè)密鑰存于公開的寄存器或其他可以訪問的文件中，該密鑰稱為公鑰，另一個(gè)密鑰是私有的，稱為私鑰。每個(gè)用戶可以擁有若干其他用戶的公鑰。（3）若要發(fā)消息給B，則用的公鑰對(duì)信息加密。（4）收到消息后，用私鑰對(duì)消息解密。由于只有知道其自身的私鑰，所以其他的接受者均不能解密出消息。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.2 傳統(tǒng)密碼體制著名的公鑰密碼體制是RSA算法。RSA算法是一種分組密碼，利用數(shù)論來構(gòu)造算法，它是迄今為止理論上最為成熟完善的一種公鑰密碼體制，該體制已經(jīng)得到廣泛的應(yīng)用，它的安全性基于“大數(shù)分解和素性檢測(cè)”這一已知的著名數(shù)學(xué)理

19、論難題基礎(chǔ)，而體制的構(gòu)造則基于數(shù)學(xué)上的Euler定理。密鑰對(duì)的產(chǎn)生過程如下。（）選擇兩個(gè)大素?cái)?shù)p和q。（）計(jì)算npq。（）隨機(jī)選擇加密密鑰，要求和（）（）互質(zhì)。（）利用Euclid算法計(jì)算解密密鑰，滿足mod（）（）。其中和也要互質(zhì)。兩個(gè)素?cái)?shù)和不再需要，應(yīng)該丟棄，不要讓任何人知道。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.2 傳統(tǒng)密碼體制加密算法：若用整數(shù)X表示明文，用整數(shù)Y表示密文，X，Y均小于N，則加密、解密算法如下所示。加密： Y=Xe mod N 解密： X=Yd mod N 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.2 傳統(tǒng)密碼體制例： 設(shè)p7，q17。計(jì)算n。 npq717119 計(jì)算(n)。(n)(p1

20、)(q1)96。 選擇e。從0, 95中選擇一個(gè)與96互素的數(shù)5。 計(jì)算d。 5d 1 mod96 。D77 得出 公開密鑰(即加密密鑰)PK 5, 119 秘密密鑰(即解密密鑰)SK 77,119計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.2 傳統(tǒng)密碼體制公開密鑰(即加密密鑰)PK 5, 119秘密密鑰(即解密密鑰)SK 77,119例：加密：X19 加密過程：Y Xe mod n即Y 195 mod 11966解密：Y66解密過程： X Yd mod n 即X 6677 mod 11919計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.2 傳統(tǒng)密碼體制練習(xí)：選擇質(zhì)數(shù): p=17 q =11給定消息 M = 88對(duì)其進(jìn)行加

21、密、解密計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.2 傳統(tǒng)密碼體制計(jì)算 n = pq =1711=187計(jì)算 (n)=(p1)(q-1)=1610=160選擇 e : gcd(e,160)=1; choose e=7決定 d: de=1 mod 160 以及d 160 值為 d=23 因?yàn)?237=161= 10160+1發(fā)布公鑰 KU=7,187對(duì)私鑰保密 KR=23,187加密:C = 887 mod 187 = 11 解密:P = 1123 mod 187 = 88 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.2 傳統(tǒng)密碼體制RSA是被研究得最廣泛的公鑰加密算法，從提出到現(xiàn)在已近二十年，經(jīng)歷了各種攻擊的考驗(yàn)，逐漸

22、為人們接受，普遍認(rèn)為是目前最優(yōu)秀的公鑰加密算法之一。RSA的缺點(diǎn)主要有以下兩點(diǎn)：（1）產(chǎn)生密鑰很麻煩，受到素?cái)?shù)產(chǎn)生技術(shù)的限制，因而難以做到一次一密。（2）分組長度太大，為保證安全性，至少也要600比特以上，使運(yùn)算代價(jià)很高，尤其是速度較慢，較對(duì)稱密碼算法慢幾個(gè)數(shù)量級(jí)；且隨著大數(shù)分解技術(shù)的發(fā)展，這個(gè)長度還在增加，不利于數(shù)據(jù)格式的標(biāo)準(zhǔn)化。（3）由于RSA涉及高次冪運(yùn)算，用軟件實(shí)現(xiàn)速度較慢。尤其是在加密大量數(shù)據(jù)時(shí)。因此現(xiàn)在往往采用公鑰加密算法與傳統(tǒng)加密算法相結(jié)合的數(shù)據(jù)加密體制。用公鑰加密算法來進(jìn)行密鑰協(xié)商和身份認(rèn)證，用傳統(tǒng)加密算法進(jìn)行數(shù)據(jù)加密。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.4 認(rèn)證和數(shù)字簽名認(rèn)證是證實(shí)

23、某人或某個(gè)對(duì)象是否有效合法或名副其實(shí)的過程，在非保密計(jì)算機(jī)網(wǎng)絡(luò)中，驗(yàn)證遠(yuǎn)程用戶或?qū)嶓w是合法授權(quán)用戶還是惡意的入侵者就屬于認(rèn)證問題。在Internet中進(jìn)行數(shù)字簽名的目的是為了防止他人冒充進(jìn)行信息發(fā)送和接收，以及防止本人事后否認(rèn)已進(jìn)行過的發(fā)送和接收活動(dòng)。因此，數(shù)字簽名要能夠防止接收者偽造對(duì)接收?qǐng)?bào)文的簽名，以及接收者能夠核實(shí)發(fā)送者的簽名和經(jīng)接收者核實(shí)后，發(fā)送者不能否認(rèn)對(duì)報(bào)文的簽名。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.4 認(rèn)證和數(shù)字簽名人們采用公開密鑰算法實(shí)現(xiàn)數(shù)字簽名。與RSA算法用公鑰對(duì)報(bào)文進(jìn)行加密不同的是，實(shí)現(xiàn)數(shù)字簽名時(shí)，發(fā)送者用自己的私鑰對(duì)明文數(shù)據(jù)進(jìn)行加密運(yùn)算，得結(jié)果后，該結(jié)果被作為明文數(shù)據(jù)輸入到

24、加密算法中，并用接收方的公鑰對(duì)其進(jìn)行加密，得到密文數(shù)據(jù)。接收方收到密文數(shù)據(jù)之后，首先用自己的私鑰和解密算法解讀出具有加密簽名的數(shù)據(jù)，緊接著，接收方還要用加密算法和發(fā)送方的公鑰對(duì)其進(jìn)行另一次運(yùn)算，以獲得發(fā)送者的簽名。具體實(shí)現(xiàn)過程如圖8.6所示。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.4 認(rèn)證和數(shù)字簽名圖8.6 具有保密性的數(shù)字簽名計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.5 鏈路加密和端到端加密從網(wǎng)絡(luò)傳輸?shù)慕嵌?，通常有兩種不同的加密策略，即鏈路加密與端到端加密。 （1）鏈路加密 在采用鏈路加密的網(wǎng)絡(luò)中，每條通信鏈路上的加密是獨(dú)立實(shí)現(xiàn)的。通常對(duì)每條鏈路使用不同的加密密鑰 ，如圖8.7。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.5

25、 鏈路加密和端到端加密在采用鏈路加密的網(wǎng)絡(luò)中，每條通信鏈路上的加密是獨(dú)立實(shí)現(xiàn)的。通常對(duì)每條鏈路使用不同的加密密鑰。 D1E2明文 X結(jié)點(diǎn) 1D2E3明文 X結(jié)點(diǎn) 2Dn明文 X用戶 BE1明文 X用戶 A E1(X)鏈路 1 E2(X)鏈路 2 En(X)鏈路 n E3(X)密文密文密文密文相鄰結(jié)點(diǎn)之間具有相同的密鑰，因而密鑰管理易于實(shí)現(xiàn)。鏈路加密對(duì)用戶來說是透明的，因?yàn)榧用艿墓δ苁怯赏ㄐ抛泳W(wǎng)提供的。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.5 鏈路加密和端到端加密端到端加密是在源結(jié)點(diǎn)和目的結(jié)點(diǎn)中對(duì)傳送的 PDU 進(jìn)行加密和解密，報(bào)文的安全性不會(huì)因中間結(jié)點(diǎn)的不可靠而受到影響。 結(jié)點(diǎn) 1結(jié)點(diǎn) 2DK明文

26、X結(jié)點(diǎn) nEK明文 X結(jié)點(diǎn) 0 EK(X)鏈路 1 EK(X)鏈路 2 EK(X) 鏈路 n端到端鏈路傳送的都是密文在端到端加密的情況下，PDU 的控制信息部分(如源結(jié)點(diǎn)地址、目的結(jié)點(diǎn)地址、路由信息等)不能被加密，否則中間結(jié)點(diǎn)就不能正確選擇路由。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.2.5 鏈路加密和端到端加密（3）兩種策略的結(jié)合 為了獲得更好的安全性，可將鏈路加密與端到端加密結(jié)合在一起使用 (如圖8.9 所示)。鏈路加密用來對(duì) PDU 的目的地址 B 進(jìn)行加密，而端到端加密則提供了對(duì)端到端的數(shù)據(jù) (X) 進(jìn)行保護(hù)。 圖8.9 綜合使用鏈路加密和端到端加密計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.1 網(wǎng)絡(luò)病毒的定義

27、計(jì)算機(jī)病毒（Computer Virus）是指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。病毒可以通過電子郵件發(fā)送附件，通過磁盤傳遞程序，或者將文件復(fù)制到文件服務(wù)器中。當(dāng)下一位用戶收到已被病毒感染的文件或磁盤時(shí)，同時(shí)也就將病毒傳播到自己的計(jì)算機(jī)中。而當(dāng)用戶運(yùn)行感染病毒的軟件時(shí)，或者從感染病毒的磁盤啟動(dòng)計(jì)算機(jī)時(shí)，病毒程序也就同時(shí)被運(yùn)行了。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.1 網(wǎng)絡(luò)病毒的定義計(jì)算機(jī)病毒主要分為：（1）程 序 型 病 毒 ： 文 件 型 病 毒 主 要 以 感 染 文 件 擴(kuò) 展 名 為.COM 、.EXE和.

28、OVL 等可執(zhí)行程序?yàn)橹?。它的安裝必須借助于病毒的載體程序，即要運(yùn)行病毒的載體程序，方能把文件型病毒引人內(nèi)存。已感染病毒的文件執(zhí)行速度會(huì)減緩，甚至完全無法執(zhí)行。有些文件遭感染后，一但執(zhí)行就會(huì)遭到刪除。（2）引導(dǎo)型病毒：以硬盤和軟盤的非文件區(qū)域（系統(tǒng)區(qū)域）為感染對(duì)象。引導(dǎo)型病毒會(huì)去改寫磁盤上的引導(dǎo)扇區(qū)（BOOT SECTOR）的內(nèi)容，軟盤或硬盤都有可能 感染病毒。再不然就是改寫硬盤上的分區(qū)表（FAT ）。如果用已感染病毒的軟盤來啟動(dòng)的話，則會(huì)感染硬盤。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.1 網(wǎng)絡(luò)病毒的定義（3）宏病毒：以具有宏功能的數(shù)據(jù)文件為感染對(duì)象。Microsoft Word或Excel文檔和模板

29、文件極容易遭受攻擊。由于被感染文件通常會(huì)通過網(wǎng)絡(luò)共享或下載，因此宏病毒的傳播速度相當(dāng)驚人。（4）特洛伊木馬型程序：木馬本身并不會(huì)自我復(fù)制，被廣義歸類成病毒。木馬病毒是指在用戶的機(jī)器里運(yùn)行服務(wù)端程序，一旦發(fā)作，就可設(shè)置后門，定時(shí)地發(fā)送該用戶的隱私到木馬程序的控制端，并可任意控制此計(jì)算機(jī)，進(jìn)行文件刪除、拷貝、改密碼等非法操作。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.1 網(wǎng)絡(luò)病毒的定義（5）有危害的移動(dòng)編碼：基于ASP 等技術(shù)的瀏覽Internet 網(wǎng)頁動(dòng)態(tài)下載的程序代碼，也稱為“腳本”。此類正常代碼不歸類為病毒，但惡意代碼一樣會(huì)對(duì)數(shù)據(jù)和系統(tǒng)造成危害，因此也廣義歸類為病毒。通常以VB 或Java 結(jié)合HTML

30、語言形成。（6）網(wǎng)絡(luò)蠕蟲病毒：蠕蟲是一種通過網(wǎng)絡(luò)傳播的病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等等，同時(shí)具有自己的一些特征，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。在產(chǎn)生的破壞性上，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短短的時(shí)間內(nèi)蔓延世界，造成網(wǎng)絡(luò)癱瘓。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.1 網(wǎng)絡(luò)病毒的定義病毒入侵后，面對(duì)的將是敏銳的管理員和防火墻殺毒軟件入侵檢測(cè)系統(tǒng)諸如此類的東西，一個(gè)小小的閃失都有可能造成被查殺的命運(yùn)。因此它必須進(jìn)行偽裝和隱藏：（1）端口隱藏潛伏：使用IP協(xié)議族中的其它協(xié)議而非TCP/UDP來進(jìn)行通訊，從而瞞過Netstat 和端口掃描軟件。一種比較常見的潛伏手段是使用IC

31、MP協(xié)議。寄生：找一個(gè)已經(jīng)打開的端口，寄生其上，平時(shí)只是監(jiān)聽，遇到特殊的指令就進(jìn)行解釋執(zhí)行，如指令是不可辨認(rèn)的，則交給系統(tǒng)正常處理，如符合特征，則木馬激活運(yùn)行，執(zhí)行完畢后再度隱藏。因?yàn)槟抉R實(shí)際上是寄生在已有的系統(tǒng)服務(wù)之上的，因此，在掃描或查看系統(tǒng)端口的時(shí)候是沒有任何異常的。 當(dāng)然，僅僅隱藏端口是不夠的，想要不被發(fā)覺，關(guān)鍵還需要隱藏進(jìn)程。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.1 網(wǎng)絡(luò)病毒的定義（2）進(jìn)程欺騙如果我們能夠欺騙用戶或入侵檢測(cè)軟件用來查看進(jìn)程的函數(shù)（例如截獲相應(yīng)的API調(diào)用，替換返回的數(shù)據(jù)），我們就完全能實(shí)現(xiàn)進(jìn)程隱藏 （3）不使用進(jìn)程 編寫一個(gè)木馬DLL，并且通過別的進(jìn)程來運(yùn)行它，那么無論是入

32、侵檢測(cè)軟件還是進(jìn)程列表中，都只會(huì)出現(xiàn)那個(gè)進(jìn)程而并不會(huì)出現(xiàn)木馬DLL。如：遠(yuǎn)程線程技術(shù)和掛接API。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.2 網(wǎng)絡(luò)病毒的特點(diǎn)針對(duì)網(wǎng)絡(luò)的特殊環(huán)境，網(wǎng)絡(luò)病毒一般有如下特點(diǎn)：（1）傳播速度快計(jì)算機(jī)網(wǎng)絡(luò)給網(wǎng)絡(luò)病毒帶來了更為便利的生存和傳播的環(huán)境。在網(wǎng)絡(luò)環(huán)境下，病毒可以按指數(shù)增長模式進(jìn)行傳染，并且擴(kuò)散范圍很大，能夠迅速傳染到局域網(wǎng)的所有計(jì)算機(jī)，還能通過電子郵件等方式在一瞬間傳播到千里之外。（2）傳播途徑多網(wǎng)絡(luò)病毒入侵網(wǎng)絡(luò)的途徑可以是通過計(jì)算機(jī)傳播到服務(wù)器中，再由服務(wù)器傳播到其他計(jì)算機(jī)中，也可以直接廣播到與自己相連的局域網(wǎng)計(jì)算機(jī)中，有的病毒則利用操作系統(tǒng)或的漏洞進(jìn)行遠(yuǎn)程擴(kuò)散。總之，

33、網(wǎng)絡(luò)病毒的傳播方式比較復(fù)雜，難于控制。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.2 網(wǎng)絡(luò)病毒的特點(diǎn)（3）清除困難在網(wǎng)絡(luò)系統(tǒng)中不可能使用低格硬盤來完全清除病毒，網(wǎng)絡(luò)中只要有一臺(tái)計(jì)算機(jī)未能清除干凈病毒就可以迅速整個(gè)網(wǎng)絡(luò)重新被感染，甚至出現(xiàn)剛完成殺毒工作的一臺(tái)計(jì)算機(jī)馬上被另一臺(tái)染毒計(jì)算機(jī)所感染，因此，清除網(wǎng)絡(luò)病毒需要全網(wǎng)絡(luò)的整體解決方案。（4）破壞性強(qiáng)網(wǎng)絡(luò)病毒會(huì)直接影響網(wǎng)絡(luò)的工作狀態(tài)，輕則降低網(wǎng)絡(luò)速度，影響工作效率，重則造成網(wǎng)絡(luò)癱瘓，泄漏賬號(hào)密碼，破壞系統(tǒng)資源等嚴(yán)重后果。尤其是病毒技術(shù)與黑客技術(shù)相結(jié)合，產(chǎn)生的威脅和損失更大。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.2 網(wǎng)絡(luò)病毒的特點(diǎn)（5）病毒制作技術(shù)新網(wǎng)絡(luò)病毒的制作者會(huì)

34、利用網(wǎng)絡(luò)平臺(tái)相互學(xué)習(xí)，共同提高，他們會(huì)用最新的編程語言與編程技術(shù)來制作病毒，使的病毒易于修改而產(chǎn)生新的變種，從而逃避反病毒軟件的查殺。（6）防范難度大網(wǎng)絡(luò)病毒可以利用Java、ActiveX、VBScript等技術(shù)，可以潛伏在網(wǎng)頁中，在上網(wǎng)瀏覽時(shí)觸發(fā)并感染病毒。另外很多計(jì)算機(jī)用戶安全防范意識(shí)差，極容易被感染病毒，而且常常用戶還不知道自己的計(jì)算機(jī)已經(jīng)成為病毒的擴(kuò)散源。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.3 網(wǎng)絡(luò)病毒的防范與清除網(wǎng)絡(luò)病毒防范是指通過建立合理的網(wǎng)絡(luò)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)病毒入侵，并采取有效的手段阻止網(wǎng)絡(luò)病毒的傳播和破壞，恢復(fù)受影響的網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)。積極防范是對(duì)付網(wǎng)絡(luò)病毒最有效的措

35、施，如果能采取有效的防范措施，就能夠有效的保護(hù)網(wǎng)絡(luò)系統(tǒng)不染毒、少染毒，或者染毒后能最大限度地減少損失。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.3 網(wǎng)絡(luò)病毒的防范與清除網(wǎng)絡(luò)病毒防范最常用、最有效的方法是使用網(wǎng)絡(luò)防病毒軟件，目前的網(wǎng)絡(luò)防病毒軟件不僅能夠識(shí)別已知的網(wǎng)絡(luò)病毒，在網(wǎng)絡(luò)病毒運(yùn)行前發(fā)出警報(bào)，還能屏蔽掉網(wǎng)絡(luò)病毒程序的傳染功能和破壞功能。同時(shí)還能利用網(wǎng)絡(luò)病毒的行為特征，防范未知網(wǎng)絡(luò)病毒的侵?jǐn)_和破壞。另外，有的網(wǎng)絡(luò)防病毒軟件還能實(shí)現(xiàn)超前防御，將系統(tǒng)中可能被病毒利用的資源加以保護(hù)，不給病毒可乘之機(jī)。針對(duì)網(wǎng)絡(luò)病毒，我們可以采取以下防范措施：（1）安裝殺毒軟件（2）重要數(shù)據(jù)文件必須備份（3）注意郵件中附件情況（

36、4）安裝防火墻（5）及時(shí)更新操作系統(tǒng)的漏洞補(bǔ)丁計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.3.3 網(wǎng)絡(luò)病毒的防范與清除遇到網(wǎng)絡(luò)病毒攻擊首先不必驚惶失措，從實(shí)際工作看，采取一些簡單的措施就可以清除大多數(shù)的網(wǎng)絡(luò)病毒，恢復(fù)被網(wǎng)絡(luò)系統(tǒng)的正常工作。下面介紹網(wǎng)絡(luò)感染病毒后的一些處理措施。(1)首先要對(duì)系統(tǒng)的破壞程度有一個(gè)全面的了解，并根據(jù)破壞的程度來決定采用有效的計(jì)算機(jī)病毒清除方法和對(duì)策。 (2)修復(fù)前，盡可能再次備份重要的文件。 (3)啟動(dòng)殺毒軟件對(duì)整個(gè)硬盤系統(tǒng)進(jìn)行掃描。 (4)對(duì)于不能清除的可執(zhí)行文件中的病毒，可以先將其完全刪除，然后重新安裝相應(yīng)的系統(tǒng)來恢復(fù)。(5)合理使用專殺工具。針對(duì)某些病毒，殺毒廠商會(huì)免費(fèi)提供專門

37、針對(duì)性殺毒小軟件，在必要的時(shí)候可以考慮使用。(6)對(duì)于殺毒軟件無法清除的病毒，可以將病毒樣本送交殺毒軟件廠商的研制中心，以供詳細(xì)的分析。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.1黑客的概念黑客(hacker)一般是指那些未經(jīng)過管理員授權(quán)或者利用系統(tǒng)漏洞等方式進(jìn)入計(jì)算機(jī)系統(tǒng)的非法入侵者。他們可以查看我們的資料，竊取我們的信息，偷窺我們的隱私，破壞我們的數(shù)據(jù)，甚至獲取計(jì)算機(jī)系統(tǒng)的最高控制權(quán)，將我們使用的計(jì)算機(jī)變成他們的傀儡，成為破壞活動(dòng)的幫兇。有的觀點(diǎn)認(rèn)為，對(duì)于誤入計(jì)算機(jī)系統(tǒng)或被挾持進(jìn)入計(jì)算機(jī)系統(tǒng)的非法進(jìn)入者不算是黑客，但是，對(duì)于有意或嘗試非法進(jìn)入計(jì)算機(jī)系統(tǒng)，不管其從主觀上是否要對(duì)我們的系統(tǒng)進(jìn)行破壞，都應(yīng)

38、該認(rèn)為是黑客攻擊行為。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.1黑客的概念黑客具有隱蔽性和非授權(quán)性的特點(diǎn)，所謂隱蔽性是黑客犯罪通常利用系統(tǒng)漏洞和缺陷，采用不易察覺的手段進(jìn)入系統(tǒng)從事破壞活動(dòng)，即使在破壞活動(dòng)中，黑客仍然不忘采取隱蔽手法，盡量在不影響用戶使用的情況下竊取數(shù)據(jù)。所謂非授權(quán)性是指黑客沒有用戶的授權(quán)就占有用戶資源，它首先攫取對(duì)資源的控制權(quán)，然后使用這種特權(quán)來逃避檢查和訪問控制。有時(shí)黑客雖然是合法用戶，但訪問未經(jīng)授權(quán)的數(shù)據(jù)、程序或其他資源，或者雖然授權(quán)訪問這些資源，但卻濫用了這些特權(quán)，造成安全問題 .計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.1黑客的概念黑客的攻擊步驟可以說變幻莫測(cè)，但縱觀其整個(gè)攻擊過程，還是

39、有一定規(guī)律可循的，一般可以分：攻擊前奏、實(shí)施攻擊、鞏固控制、繼續(xù)深入幾個(gè)過程。見圖8.10所示： 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.2黑客常用的攻擊方法(1)獲取口令密碼獲取口令常有種方法：一是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令；二是在知道用戶的賬號(hào)后利用一些專門軟件強(qiáng)行破解用戶口令；三是在獲得一個(gè)服務(wù)器上的用戶口令文件（此文件為shadow文件）后，用暴力破解程序用戶口令。黑客程序強(qiáng)行破解口令密碼大致有以下種方法：猜測(cè)法：這種方法的確使用得很普遍，因?yàn)椴聹y(cè)法依靠的是經(jīng)驗(yàn)和對(duì)目標(biāo)用戶的熟悉程度。字典法：由于網(wǎng)絡(luò)用戶通常采用某些英文單詞或者自己姓名的縮寫作為口令密碼，所以就先建立一個(gè)包含巨量英語詞匯和短語

40、、短句的口令密碼詞匯字典，然后使用破解軟件去一一嘗試，如此循環(huán)往復(fù)，直到找出正確的口令密碼，或者將口令密碼詞匯字典里的所有單詞試完一遍為止。窮舉法：窮舉法的原理是把具有固定位數(shù)的數(shù)字口令密碼的所有可能性都排列出來，逐一嘗試，因?yàn)樵谶@些所有的組合中，一定有一個(gè)就是正確的口令密碼。這種方法雖然效率最低，但很可靠。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.2黑客常用的攻擊方法(2)WWW的欺騙技術(shù)在網(wǎng)上用戶可以利用IE等瀏覽器進(jìn)行各種各樣的Web站點(diǎn)的訪問，如閱讀新聞組、咨詢產(chǎn)品價(jià)格、訂閱報(bào)紙、從事電子商務(wù)等。然而一般的用戶恐怕不會(huì)想到有這些問題存在：正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過，網(wǎng)頁上的信息是虛假的！例如

41、黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務(wù)器，當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時(shí)候，實(shí)際上是向黑客服務(wù)發(fā)出請(qǐng)求，那么黑客就可以達(dá)到欺騙的目的了。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.2黑客常用的攻擊方法（3）通過一個(gè)結(jié)點(diǎn)來攻擊其他結(jié)點(diǎn)黑客在突破一臺(tái)主機(jī)后，往往以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)，以隱蔽其入侵路徑。他們可以使用網(wǎng)絡(luò)監(jiān)聽方法，嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)；也可以通過IP欺騙和主機(jī)信任關(guān)系，攻擊其他主機(jī)。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.2黑客常用的攻擊方法（4）網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)絡(luò)段在同一條物理信道上傳輸?shù)乃行畔ⅲ还苓@些信息的發(fā)送方和接

42、收方是誰。此時(shí)，如果兩臺(tái)主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具，例如NetXray for Windows 95/98/NT，Sniff it for Linux、Solaries等就可以輕而易舉地截取包括口令和賬號(hào)在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽獲得用戶賬號(hào)和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)絡(luò)段的所有用戶賬號(hào)及口令。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.2黑客常用的攻擊方法(5)端口掃描所謂端口掃描，就是利用Socket編程與目標(biāo)主機(jī)的某些端口建立TCP連接、進(jìn)行協(xié)議驗(yàn)證等，以偵查主機(jī)是否在該端口進(jìn)行監(jiān)聽（該端口是否是“活”的）、主機(jī)提供什么樣的服務(wù)、該服務(wù)是否有缺陷等。

43、常用的端口掃描方式有：Connect( )掃描：最基本的掃描方式，使用系統(tǒng)的Connect( )調(diào)用進(jìn)行，速度快，但容易被目標(biāo)主機(jī)檢測(cè)、被防火墻過濾掉。半開掃描：向目標(biāo)主機(jī)發(fā)送SYN數(shù)據(jù)包，當(dāng)收到連接請(qǐng)求被接受的應(yīng)答后，發(fā)送RST強(qiáng)行關(guān)閉連接。這種情況下目標(biāo)主機(jī)不會(huì)加以記錄，但需要使用超級(jí)用戶權(quán)限才可進(jìn)行半開掃描。Fragmention掃描：將要發(fā)送的TCP數(shù)據(jù)包拆分成小IP包進(jìn)行隱秘掃描。常用的掃描工具有PortScan、Ogre for Windows 95/98/NT等。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.2黑客常用的攻擊方法（6）尋找系統(tǒng)漏洞許多系統(tǒng)都有這樣那樣的安全漏洞，其中某些漏洞是操作

44、系統(tǒng)或應(yīng)用軟件本身具有的，如SendMail漏洞，Windows 98中的共享目錄口令密碼驗(yàn)證漏洞和最新發(fā)現(xiàn)微軟IE瀏覽器的一個(gè)存在重大安全隱患的漏洞等，這些漏洞在補(bǔ)丁未被開發(fā)出來之前一般很難防御黑客的破壞，除非將網(wǎng)線拔掉；還有一些漏洞是由于系統(tǒng)管理員配置錯(cuò)誤引起的，如在網(wǎng)絡(luò)文件系統(tǒng)中，將目錄和文件以可寫的方式調(diào)出，將未加shadow的用戶口令密碼文件以明碼方式存放在某一目錄下，這都會(huì)給黑客帶來可乘之機(jī)，應(yīng)及時(shí)加以修正。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.2黑客常用的攻擊方法(7)后門程序“后門”的存在，本是為了便于測(cè)試、更改和增強(qiáng)模塊的功能。當(dāng)一個(gè)訓(xùn)練有素的程序員設(shè)計(jì)一個(gè)功能較復(fù)雜的軟件時(shí)，都習(xí)慣

45、于先將整個(gè)軟件分割為若干模塊，然后再對(duì)各模塊單獨(dú)設(shè)計(jì)、調(diào)度，而后門則是一個(gè)模塊的秘密入口。在程序開發(fā)期間，當(dāng)然，程序員一般不會(huì)把后門記入軟件的說明文檔，因此用戶通常無法了解后門的存在。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.2黑客常用的攻擊方法(8)利用賬號(hào)進(jìn)行攻擊有的黑客會(huì)利用操作系統(tǒng)提供的默認(rèn)賬戶和口令密碼進(jìn)行攻擊，例如UNIX主機(jī)有FTP和Guest等默認(rèn)賬戶（其口令密碼和賬戶名同名），有的甚至沒有口令。黑客用UNIX操作系統(tǒng)提供的命令如Finger和Ruser等收集信息，不斷提高自己的攻擊能力。這類攻擊只要將系統(tǒng)提供的默認(rèn)賬戶關(guān)掉或提醒無口令用戶增加口令一般都能克服。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4

46、.2黑客常用的攻擊方法(9)偷取特權(quán)利用各種特洛伊木馬程序、后門程序和黑客自己編寫的導(dǎo)致緩沖區(qū)溢出的程序進(jìn)行攻擊，前者可使黑客非法獲得對(duì)用戶機(jī)器的完全控制權(quán)，后者可使黑客獲得超級(jí)用戶的權(quán)限，從而擁有對(duì)整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。這種攻擊手段，一旦奏效，危害性極大。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.2黑客常用的攻擊方法(10)放置特洛伊木馬程序特洛伊木馬程序可以直接侵入用戶的計(jì)算機(jī)并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等，誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會(huì)像古代希臘人在敵人城外留下的藏滿士兵的木馬一樣留在用戶的計(jì)算機(jī)中，

47、并在計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在Windows啟動(dòng)時(shí)悄悄執(zhí)行的程序，在后臺(tái)監(jiān)視系統(tǒng)運(yùn)行。當(dāng)連接到Internet上時(shí)，這個(gè)程序就會(huì)通知黑客，報(bào)告用戶的IP地址以及預(yù)先設(shè)定的端口。黑客在收到這些信息后，再利用這個(gè)潛伏在其中的程序，就可以任意地修改這個(gè)用戶的計(jì)算機(jī)的設(shè)定參數(shù)、復(fù)制文件、窺視整個(gè)硬盤中的內(nèi)容等，從而達(dá)到控制這個(gè)用戶計(jì)算機(jī)的目的。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.2黑客常用的攻擊方法(11)D.O.S攻擊D.O.S攻擊也叫分布式拒絕服務(wù)攻擊DDOS（Distributed denial of Service），就是用超出被攻擊目標(biāo)處理能力的海量數(shù)據(jù)包消耗可用系統(tǒng)、帶寬資源，致使網(wǎng)絡(luò)服務(wù)癱瘓，

48、導(dǎo)致拒絕提供新的服務(wù)的一種攻擊手段。它的攻擊原理是這樣的：攻擊者首先通過比較常規(guī)的黑客手段侵入并控制某個(gè)網(wǎng)站之后，在該網(wǎng)站的服務(wù)器上安裝并啟動(dòng)一個(gè)可由攻擊者發(fā)出的特殊指令來進(jìn)行控制的進(jìn)程。當(dāng)攻擊者把攻擊對(duì)象的IP地址作為指令下達(dá)給這些進(jìn)程的時(shí)候，這些進(jìn)程就開始對(duì)目標(biāo)主機(jī)發(fā)起攻擊。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.2黑客常用的攻擊方法12）網(wǎng)絡(luò)釣魚這是前不久流行起來的一種攻擊方式，或許稱為網(wǎng)絡(luò)欺騙更為恰當(dāng)?！熬W(wǎng)絡(luò)釣魚”攻擊者利用欺騙性的電子郵件和偽造的Web站點(diǎn)來進(jìn)行詐騙活動(dòng)，受騙者往往會(huì)泄露自己的財(cái)務(wù)數(shù)據(jù)，如信用卡號(hào)、賬戶用和口令、社保編號(hào)等內(nèi)容?！熬W(wǎng)絡(luò)釣魚”攻擊者常采用具有迷惑性的網(wǎng)站地址和網(wǎng)

49、站頁面進(jìn)行欺騙，比如把字母“o”用數(shù)字“0”代替，字母“l(fā)”用數(shù)字“1”代替，并把帶有欺騙性質(zhì)的網(wǎng)頁制作的與合法的網(wǎng)站頁面相似或者完全相同。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.3黑客的防范措施網(wǎng)絡(luò)攻擊越來越猖獗，對(duì)網(wǎng)絡(luò)安全造成了很大的威脅。對(duì)于任何黑客的惡意攻擊，都有辦法來防御，只要了解了他們的攻擊手段，具有豐富的網(wǎng)絡(luò)知識(shí)，就可以抵御黑客們的瘋狂攻擊。下面介紹一些常用的防范措施： 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.3黑客的防范措施(1)Windows系統(tǒng)入侵的防范要防止Windows系統(tǒng)入侵可以采用如下措施：安裝完操作系統(tǒng)后馬上關(guān)閉所有分區(qū)的共享屬性。不要泄漏計(jì)算機(jī)的IP地址。及時(shí)關(guān)閉不必要的共享服務(wù)，

50、對(duì)必須的共享要設(shè)置密碼和登錄權(quán)限。為計(jì)算機(jī)設(shè)置系統(tǒng)密碼，且密碼的強(qiáng)度要高，不易被黑客攻破。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.3黑客的防范措施(2)木馬入侵的防范防木馬入侵可以采用如下措施：使用殺毒軟件并定時(shí)升級(jí)病毒庫，現(xiàn)在很多殺毒軟件都集成了防范某些木馬的功能。不要打開來路不明的郵件或運(yùn)行不熟悉的軟件程序，這些很有可能隱藏有木馬程序。檢測(cè)系統(tǒng)文件和注冊(cè)表的變化，對(duì)于異?；顒?dòng)要及時(shí)采取措施。備份系統(tǒng)文件和注冊(cè)表，防止系統(tǒng)崩潰。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.3黑客的防范措施(3)拒絕服務(wù)攻擊的防范措施為了防止拒絕服務(wù)攻擊，我們可以采取以下的預(yù)防措施：建議在該網(wǎng)段的路由器上做些配置的調(diào)整，限制SYN半開

51、數(shù)據(jù)包的流量和個(gè)數(shù)。對(duì)系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，強(qiáng)制復(fù)位超時(shí)的SYN請(qǐng)求連接，同時(shí)縮短超時(shí)常數(shù)和加長等候隊(duì)列使得系統(tǒng)能迅速處理無效的SYN請(qǐng)求數(shù)據(jù)包。在路由器做必要的TCP攔截，使得只有完成TCP三次握手過程的數(shù)據(jù)包才可進(jìn)入該網(wǎng)段，這樣可以有效地保護(hù)本網(wǎng)段內(nèi)的服務(wù)器不受此類攻擊。應(yīng)盡可能關(guān)掉產(chǎn)生無限序列的服務(wù)。比如在路由器上對(duì)ICMP包進(jìn)行帶寬方面的限制，將其控制在一定的范圍內(nèi)。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.4.3黑客的防范措施（4）針對(duì)網(wǎng)絡(luò)嗅探的防范措施對(duì)于網(wǎng)絡(luò)嗅探攻擊，我們可以采取以下措施進(jìn)行防范：網(wǎng)絡(luò)分段:利用嗅探不容易跨網(wǎng)段的特點(diǎn)，使用交換設(shè)備對(duì)數(shù)據(jù)流進(jìn)行限制，從而達(dá)到防止嗅探的目的。加密:

52、對(duì)數(shù)據(jù)流中的部分重要信息進(jìn)行加密，將敏感信息使用密文傳輸。采用一次性口令:每次登錄結(jié)束后，客戶端和服務(wù)器可以利用相同的算法對(duì)口令進(jìn)行變換，進(jìn)行重新匹配，使原口令只能使用一次。禁用雜錯(cuò)節(jié)點(diǎn):安裝不支持雜錯(cuò)的網(wǎng)卡，通?？梢苑乐估秒s錯(cuò)節(jié)點(diǎn)進(jìn)行嗅探。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.5.1防火墻的概述在網(wǎng)絡(luò)中，防火墻是一種用來加強(qiáng)網(wǎng)絡(luò)之間訪問控制的特殊網(wǎng)絡(luò)互連設(shè)備，如路由器、網(wǎng)關(guān)等。如圖8.11所示，它對(duì)兩個(gè)或多個(gè)網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包和連接方式按照一定的安全策略進(jìn)行檢查，以決定網(wǎng)絡(luò)之間的通信是否被允許。其中被保護(hù)的網(wǎng)絡(luò)稱為內(nèi)部網(wǎng)絡(luò)，另一方則稱為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。它能有效地控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的訪問及

53、數(shù)據(jù)傳送，從而達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的信息不受外部非授權(quán)用戶的訪問和過濾不良信息的目的。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.5.1防火墻的概述圖8.11 防火墻 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.5.1防火墻的概述防火墻是一個(gè)或一組在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的系統(tǒng)，包括硬件和軟件，目的是保護(hù)網(wǎng)絡(luò)不被可疑人侵?jǐn)_。本質(zhì)上，它遵從的是一種允許或阻止業(yè)務(wù)來往的網(wǎng)絡(luò)通信安全機(jī)制，也就是提供可控的過濾網(wǎng)絡(luò)通信，只允許授權(quán)的通信。通常，防火墻就是位于內(nèi)部網(wǎng)或Web站點(diǎn)與Internet之間的一個(gè)路由器或一臺(tái)計(jì)算機(jī)，又稱為堡壘主機(jī)。它如同一個(gè)安全門，為門內(nèi)的部門提供安全，控制那些可被允許出入該受保護(hù)環(huán)境的人或物。就像工作在前門的

54、安全衛(wèi)士，控制并檢查站點(diǎn)的訪問者。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.5.2防火墻的功能防火墻是由管理員為保護(hù)自己的網(wǎng)絡(luò)免遭外界非授權(quán)訪問但又允許與Internet連接而發(fā)展起來的。從網(wǎng)際角度，防火墻可以看成是安裝在兩個(gè)網(wǎng)絡(luò)之間的一道柵欄，根據(jù)安全計(jì)劃和安全策略中的定義來保護(hù)其后面的網(wǎng)絡(luò)。由軟件和硬件組成的防火墻應(yīng)該具有以下功能：所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過防火墻；所有穿過防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)；理論上說，防火墻是穿不透的。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.5.2防火墻的功能利用防火墻能保護(hù)站點(diǎn)不被任意連接，甚至能建立跟蹤工具，幫助總結(jié)并記錄有關(guān)正在進(jìn)行的連接資源、服務(wù)器提供的通信量

55、以及試圖闖入者的任何企圖?？傊?，防火墻是阻止外面的人對(duì)用戶的網(wǎng)絡(luò)進(jìn)行訪問的任何設(shè)備，此設(shè)備通常是軟件和硬件的組合體，它通常根據(jù)一些規(guī)則來挑選想要或不想要的地址。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.5.3防火墻的分類作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品。根據(jù)防火墻所采用的技術(shù)不同，我們可以將防火墻分為四種基本類型：包過濾型防火墻、代理型防火墻、狀態(tài)檢測(cè)型防火墻和綜合型防火墻。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.5.3防火墻的分類1包過濾路由器包過濾型產(chǎn)品是防火墻的初級(jí)產(chǎn)品，其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分組（包）傳輸技術(shù)。現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)都是以“包”為單位進(jìn)行傳輸，每一個(gè)數(shù)

56、據(jù)包中都會(huì)包含一些特定信息，如數(shù)據(jù)的源地址、目標(biāo)地址、TCP或UDP源端口和目標(biāo)端口等。防火墻通過讀取數(shù)據(jù)包中的相關(guān)信息，可以獲得其基本情況，并據(jù)此對(duì)其做出相應(yīng)的處理。例如通過讀取地址信息，防火墻可以判斷一個(gè)“包”是否來自可信任的安全站點(diǎn)，一旦發(fā)現(xiàn)來自危險(xiǎn)站點(diǎn)的數(shù)據(jù)包，防火墻便會(huì)將這些數(shù)據(jù)拒之“墻”外。網(wǎng)絡(luò)管理人員也可以根據(jù)實(shí)際情況靈活制訂判斷規(guī)則。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.5.3防火墻的分類2代理型防火墻代理型防火墻以代理服務(wù)器的模式工作，它的安全性要高于包過濾型防火墻。代理服務(wù)器位于客戶機(jī)與服務(wù)器之間，完全阻擋了二者間的數(shù)據(jù)交流。從客戶機(jī)來看，代理服務(wù)器相當(dāng)于一臺(tái)真正的服務(wù)器；而從服務(wù)器

57、來看，代理服務(wù)器僅是一臺(tái)客戶機(jī)。當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器再根據(jù)這一請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的惡意攻擊也就很難觸及內(nèi)部網(wǎng)絡(luò)系統(tǒng)。代理型防火墻的工作方式如圖8.12所示。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.5.3防火墻的分類圖8.12 代理型防火墻的工作方式 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.5.3防火墻的分類3 狀態(tài)檢測(cè)型防火墻狀態(tài)檢測(cè)型防火墻檢測(cè)每一個(gè)有效連接的狀態(tài)，并根據(jù)檢測(cè)結(jié)果決定數(shù)據(jù)包是否通過防火墻。由于一般不對(duì)數(shù)據(jù)包的上層協(xié)議封裝內(nèi)容進(jìn)行處理，所以狀態(tài)檢測(cè)型防火墻的

58、包處理效率要比代理型防火墻高；同時(shí)，必要時(shí)可以對(duì)數(shù)據(jù)包的應(yīng)用層信息進(jìn)行提取，所以狀態(tài)檢測(cè)型防火墻又具有了代理型防火墻的安全性特征。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.5.3防火墻的分類4 綜合型防火墻新一代綜合型防火墻在綜合了上述幾種防火墻技術(shù)特點(diǎn)的基礎(chǔ)之上，還增加了加密技術(shù)、入侵檢測(cè)技術(shù)、病毒檢測(cè)技術(shù)、內(nèi)容過濾等一系列信息安全技術(shù)，可全方位地解決網(wǎng)絡(luò)傳輸所面臨的安全威脅。 綜合型防火墻應(yīng)用于網(wǎng)絡(luò)邊緣安全的防范。針對(duì)影響網(wǎng)絡(luò)邊緣安全的病毒破壞、黑客入侵、黃色站點(diǎn)、非法郵件、數(shù)據(jù)竊聽等不安全因素，提供集成的防病毒網(wǎng)關(guān)、入侵檢測(cè)、內(nèi)容過濾以及VPN（虛擬專用網(wǎng)）等功能，已經(jīng)遠(yuǎn)遠(yuǎn)超越了最初定義的防火墻功能范疇

59、，形成動(dòng)態(tài)立體的網(wǎng)絡(luò)邊界安全解決方案。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.6 網(wǎng)絡(luò)管理基礎(chǔ)當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展特點(diǎn)是規(guī)模不斷擴(kuò)大，復(fù)雜性不斷增加，異構(gòu)性越來越高。一個(gè)網(wǎng)絡(luò)往往由若干個(gè)大大小小的子網(wǎng)組成，集成了多種網(wǎng)絡(luò)操作系統(tǒng)平臺(tái)，并且包括了不同廠家、公司的網(wǎng)絡(luò)設(shè)備和通信設(shè)備等。同時(shí)，網(wǎng)絡(luò)中還有許多網(wǎng)絡(luò)軟件提供各種服務(wù)。隨著用戶對(duì)網(wǎng)絡(luò)性能要求的提高，如果沒有一個(gè)高效的管理系統(tǒng)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理，那么就很難保證向用戶提供令人滿意的服務(wù)。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.6.1 網(wǎng)絡(luò)管理功能ISO認(rèn)為OSI網(wǎng)絡(luò)管理是指控制、協(xié)調(diào)和監(jiān)督OSI環(huán)境下的網(wǎng)絡(luò)通信服務(wù)和信息處理活動(dòng)。網(wǎng)絡(luò)管理的目標(biāo)是確保網(wǎng)絡(luò)的正常運(yùn)行，或者

60、當(dāng)網(wǎng)絡(luò)運(yùn)行出現(xiàn)異常時(shí)能及時(shí)響應(yīng)和排除故障。在OSI網(wǎng)絡(luò)管理框架模型中，基本的網(wǎng)絡(luò)管理功能被分成五個(gè)功能域：故障管理、配置管理、性能管理、安全管理和計(jì)費(fèi)管理。這五個(gè)功能域通過與其他開放系統(tǒng)交換管理信息，分別完成不同的網(wǎng)絡(luò)管理功能。 計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.6.1 網(wǎng)絡(luò)管理功能（）故障管理故障管理是最基本的網(wǎng)絡(luò)管理功能。故障管理的主要任務(wù)是發(fā)現(xiàn)和排除網(wǎng)絡(luò)故障。典型功能包括：維護(hù)并檢查錯(cuò)誤日志；接受錯(cuò)誤檢測(cè)報(bào)告并做出響應(yīng)；跟蹤、辨認(rèn)錯(cuò)誤；執(zhí)行診斷測(cè)試；糾正錯(cuò)誤。計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ) 第八章8.6.1 網(wǎng)絡(luò)管理功能（）配置管理配置管理也是最基本的網(wǎng)絡(luò)管理功能。配置管理的功能包括：設(shè)置開放系統(tǒng)中有關(guān)路由操作