全的理論與實(shí)踐第版美王杰高等教育出版

1、第1章網(wǎng)絡(luò)安全概論網(wǎng)絡(luò)安全的重要性因特網(wǎng) 公共網(wǎng)絡(luò) 基于TCP/IP 存儲(chǔ)轉(zhuǎn)發(fā)技術(shù)第1章 網(wǎng)絡(luò)安全概論1.1 網(wǎng)絡(luò)安全的任務(wù)1.2 基本攻擊類型和防范措施1.3 攻擊者類別1.4 網(wǎng)絡(luò)安全基本模型1.5 網(wǎng)絡(luò)安全信息資源網(wǎng)站網(wǎng)絡(luò)安全的任務(wù)什么是數(shù)據(jù)？任何可以被計(jì)算機(jī)處理和執(zhí)行的對(duì)象數(shù)據(jù)的兩種狀態(tài) 傳輸狀態(tài)存儲(chǔ)狀態(tài) 網(wǎng)絡(luò)安全的任務(wù)數(shù)據(jù)機(jī)密性包括數(shù)據(jù)的傳輸和存儲(chǔ)兩種狀態(tài)數(shù)據(jù)完整性 包括數(shù)據(jù)的傳輸和存儲(chǔ)兩種狀態(tài)數(shù)據(jù)的不可否認(rèn)性數(shù)據(jù)的可用性漏洞，瑕疵，缺陷 軟件協(xié)議設(shè)計(jì)系統(tǒng)配置被動(dòng)防御: 是什么人在何處發(fā)起的？ 多重防御機(jī)制信息安全的其他領(lǐng)域第1章 網(wǎng)絡(luò)安全概論1.1 網(wǎng)絡(luò)安全的任務(wù)1.2 基本攻擊類

2、型和防范措施1.3 攻擊者類別1.4 網(wǎng)絡(luò)安全基本模型1.5 網(wǎng)絡(luò)安全信息資源網(wǎng)站竊聽 常用的網(wǎng)包嗅探軟件: TCPdump, Wireshark解決途徑 - 數(shù)據(jù)加密密碼分析密碼分析從密文數(shù)據(jù)中尋找有用信息分析密文的統(tǒng)計(jì)特征防御措施用更長的密鑰和更安全的加密算法 盜竊登錄密碼盜竊登錄密碼密碼保護(hù)是第一道防御線也很有可能是系統(tǒng)唯一的防御竊取用戶密碼的方法： 密碼猜測社交工程字典攻擊密碼嗅探 密碼猜測最容易，特別是短小或缺省的密碼10 中最常見的密碼 (根據(jù)PC Magazine的統(tǒng)計(jì)): password123456qwerty (which are keys below 123456 on

3、standard keyboardabc123letmeinmonkey myspace1 Password1Blink182The users own first name社交工程用社交手段獲取私密信息 身份偽裝攻擊者偽裝成別人去欺騙受害者(見課本第六頁例子) 釣魚近些年最常見的一種大規(guī)模社交工程攻擊形式 偽造電子郵件或者網(wǎng)站進(jìn)行的攻擊 參見下一節(jié)課件一個(gè)真實(shí)的網(wǎng)絡(luò)釣魚事件(注意釣魚郵件中的不地道的英文表達(dá)), 郵件中的鏈接是陷阱 Date: Fri, 5 Oct 2007 16:11:46 -0700From: US Bank SCD-Subject: US Bank Internet O

4、nline Access is Locked October 5, 2007 at 12:23:05 PMDear US Bank Customer,Were sorry, but you reached the maximum number of attempts allowed to login into your US Bank account. For your protection, we have locked your account. Consequently, we placed a temporary restriction on your account. We did

5、this to protect your account from any fraudulent activity. Please click below and complete the steps to Remove Limitations. This allows us to confirm your identity and unlock your US Bank online account If we do no receive the appropriate account verification within 48 hours, then we will assume thi

6、s US Bank account is fraudulent and will be suspented. US Bank, Member FDIC. 2007 US Bank Corporation. All Rights Reserved. 一般而言，任何釣魚郵件都包括一個(gè)超級(jí)鏈接到一個(gè)假冒網(wǎng)站，稱之為釣魚網(wǎng)站 其他形式收集垃圾廢紙，找到有用信息在用戶上網(wǎng)時(shí)彈出新窗口，誘使用戶登錄 防御措施 瀏覽器抗釣附載模塊新技術(shù)可用來檢測和阻止用戶進(jìn)入誘餌網(wǎng)頁 字典攻擊登錄密碼經(jīng)過加密后存儲(chǔ)在主機(jī)系統(tǒng)中 UNIX/Linux: 用戶登錄密碼存儲(chǔ)在/etc文件夾下一個(gè)叫 shadows的系統(tǒng)文件中Wi

7、ndows XP: 用戶登錄密碼存儲(chǔ)在系統(tǒng)的注冊(cè)表中一個(gè)叫SAM的文件中一個(gè)典型的字典攻擊過程如下： 收集、獲取用戶名信息和對(duì)應(yīng)的加密密碼用散列算法逐一加密所有單詞、日期、人名等 將盜取的密文和上一步驟計(jì)算出的密文逐一比較，找出相同者，則得到對(duì)應(yīng)的明文即是登錄密碼 構(gòu)造一個(gè)彩虹表幫助節(jié)約存儲(chǔ)空間，節(jié)省計(jì)算成本令r 是一個(gè)縮減函數(shù)令h 是一個(gè)加密哈希函數(shù)W11是一個(gè)給定的登錄密碼. 交替使用函數(shù) h和 r ，生成如下互不相同的密碼鏈：有, w1i = r(h(w1,i-1 ), i = 2,3,n1 得到(w11, h(w1n1)，即彩虹表的第一行選一個(gè)之前鏈中未出現(xiàn)的 wj1 Password

8、Hash valuew11w21wk1h(w1 n1)h(w2 n2)h(wk nk)重復(fù)這一過程k次在彩虹表中產(chǎn)生 k行 彩虹表 假設(shè)兩個(gè)函數(shù) f: AB ， g: BA. 令 y B and i 0. 定義: 令 Q0 值為對(duì)密碼 w加密后的值. 即 Q0 = h(w). 如果對(duì)一些 i 0 和 j 有 1 j k 并且i j, 那么 w 有可能出現(xiàn)在 wj1,wj,nj 密碼鏈的第 j項(xiàng) . 在彩虹表中找到 w 的算法：令 Q1 Q0 ，t 0. 令 n = maxn1,nk檢查是否有一個(gè) 1 j k 使得 Q1 = h(wj,nj) 并且 t n. 如果有，執(zhí)行步驟3；否則，執(zhí)行步驟

9、4 對(duì)wj1 交替使用r和h ，使用i次， 0 i j ，直到 wj,ni = (r h)i(wj1) 產(chǎn)生出了h(wj,ni) = Q0 如果找到了這樣的一個(gè)wj,ni，返回 w = wj,ni；否則，執(zhí)行步驟4 令 Q1 h(r(Q1) ， t t + 1. 如果 t n 那么跳轉(zhuǎn)到步驟2，否則，返回 “未找到登錄密碼?！?(彩虹表不可能包含哈希值為Q0 的登錄密碼)密碼嗅探 密碼嗅探是一種軟件，用來獲取遠(yuǎn)程登錄信息，比如用戶名和密碼 防御方法 加密所有信息，包括登錄信息，使用遠(yuǎn)程登錄軟件，比如，SSH 和HTTPS Cain & Abel, 就是這樣的一個(gè)網(wǎng)絡(luò)嗅探軟件，能捕獲、破解使用W

10、indows操作系統(tǒng)的用戶登錄密碼密碼保護(hù)保護(hù)密碼不被竊取的準(zhǔn)則：用長密碼，用字母，大寫字母，特殊符號(hào)的組合做密碼，不要使用常用單詞，普通姓名和日期。不要輕易告訴他人你的密碼，不要把密碼提供給盡管看起來可信的人，如果一定要給密碼，請(qǐng)當(dāng)面交給可信者。不定期的更改密碼，如要重復(fù)使用舊密碼。 不同的賬戶不要使用相同的密碼。不要使用不加密登錄信息和個(gè)人重要信息的遠(yuǎn)程軟件。用切碎機(jī)切碎丟棄的有個(gè)人信息的紙張。避免進(jìn)入任何彈出窗口，避免在可疑郵件中點(diǎn)擊任何鏈接。其他的用戶認(rèn)證方法生物識(shí)別技術(shù)，利用生物個(gè)體的唯一性連接生物特征識(shí)別裝置到計(jì)算機(jī)，比如指紋讀寫器或者視網(wǎng)膜掃描器。用身份認(rèn)證技術(shù) 發(fā)行方給予電子認(rèn)

11、證 使用用戶的密碼認(rèn)證是最簡單的方法身份詐騙身份詐騙攻擊，冒充受害者身份，不用受害者密碼即可實(shí)施攻擊。中間人攻擊 重放攻擊網(wǎng)絡(luò)詐騙軟件剝削中間人攻擊 攻擊者在通信的二人之間或多人之間安裝網(wǎng)絡(luò)設(shè)備或竊聽軟件（或者在他自己的機(jī)器上裝），用這些設(shè)備去解釋、修改、偽造數(shù)據(jù)在通信者之間傳輸。防御措施編碼或驗(yàn)證IP包A認(rèn)為自己在和B通信B認(rèn)為自己在和A通信攻擊者解釋修改了AB之間的通信重放攻擊 攻擊者首次攔截了一個(gè)合法的信息，經(jīng)過一段時(shí)間后，原封不動(dòng)地將此消息發(fā)給最初的接受者。 例如，攻擊者可能攔截了合法用戶的認(rèn)證消息，并用此消息去偽造用戶身份得到系統(tǒng)的服務(wù)。 防御機(jī)制 給消息附上一個(gè)隨機(jī)數(shù)，用于代表某個(gè)

12、特定信息。給消息附上時(shí)間戳最佳方法是同時(shí)使用隨機(jī)數(shù)和時(shí)間戳網(wǎng)絡(luò)詐騙IP詐騙是一種最主要的網(wǎng)絡(luò)詐騙技術(shù) SYN 充斥攻擊者向攻擊目標(biāo)主機(jī)TCP緩沖區(qū)發(fā)送大量SYN 控制包目的：使目標(biāo)計(jì)算機(jī)不能與其他計(jì)算機(jī)建立通信連接 (也就是成為啞巴計(jì)算機(jī))ARP 充斥，也稱之為APR投毒SYN充斥攻擊者向攻擊目標(biāo)計(jì)算機(jī)TCP緩沖區(qū)發(fā)送大量SYN控制包，使被攻擊的計(jì)算機(jī)不能與其他計(jì)算機(jī)通信。攻擊者給目標(biāo)計(jì)算機(jī)發(fā)送大量詭詐SYN 控制包，目標(biāo)計(jì)算機(jī)被迫給包含在SYN 控制包內(nèi)的IP地址發(fā)送 ACK控制包因?yàn)镾YN控制包將其封裝的IP包首部所含的起始網(wǎng)址換成了另外一個(gè)IP地址，而此網(wǎng)址不可達(dá)，所以受害者計(jì)算機(jī)不可能

13、收到他要等待的ACK包，因此詭詐SYN控制包繼續(xù)停留在目標(biāo)主機(jī)的TCP緩沖區(qū)中。目標(biāo)機(jī)的 TCP 緩沖區(qū)完全被欺詐的SYN包所充斥TCP劫持V 是公司主機(jī)Alice是公司的一名雇員，準(zhǔn)備要遠(yuǎn)程登錄到公司主機(jī) V她和V的 TCP連接有可能被TCP劫持，過程如下:Alice 向主機(jī)V發(fā)了SYN包請(qǐng)求遠(yuǎn)程登錄攻擊者劫持了這個(gè)包，用SYN充斥的方法使V成為了啞巴機(jī)，使得V無法完成三次握手攻擊者預(yù)測出正確的V的ACK回應(yīng)控制包該用的回應(yīng)號(hào)碼，偽裝成V發(fā)給Alice，用正確的序列號(hào)和ACK號(hào)碼以V的名義發(fā)給AliceAlice 證實(shí)ACK包并且發(fā)送ACK包回應(yīng)給攻擊者，至此，攻擊者與Alice完成TCP握

14、手，建立連接TCP 連接就此在Alice和攻擊者之間建立，而非Alice和V ARP 詐騙 攻擊者改變合法的連網(wǎng)計(jì)算機(jī)的 MAC 地址為一個(gè)其指定的 MAC地址防御方法 檢查 MAC地址和域名 緩沖區(qū)溢出攻擊緩沖區(qū)溢出攻擊 緩沖區(qū)溢出，又名緩沖區(qū)超限，是一種常見的軟件漏洞。即程序進(jìn)程給該緩沖區(qū)寫入多過其容量的內(nèi)容，則緩沖區(qū)溢出。 有可能利用緩沖區(qū)溢出，重定向受害者的程序去執(zhí)行攻擊者自己的代碼 ，這類攻擊常常利用了某些函數(shù)，數(shù)據(jù)放在堆，函數(shù)調(diào)用的返回地址放在棧內(nèi)。緩沖區(qū)溢出的攻擊步驟：找到一個(gè)允許緩沖區(qū)溢出的程序（例如，找到一個(gè)程序使用了是不檢查邊界的函數(shù)）將攻擊者的可執(zhí)行代碼存入內(nèi)存算出需拷貝

15、的足夠長的字符串到緩沖區(qū)使緩沖區(qū)溢出，數(shù)據(jù)跨堆入棧，修改函數(shù)返回地址，使其執(zhí)行攻擊者程序防御措施 堅(jiān)持進(jìn)行語句檢查并檢查要寫入緩沖區(qū)的內(nèi)容的界限抵賴有些情況下，數(shù)據(jù)所有者可能會(huì)否認(rèn)數(shù)據(jù)為自己所有或逃避法律后果他可能爭辯說他從未發(fā)送或收到有問題的數(shù)據(jù)防御途徑 加密和身份認(rèn)證 入侵未授權(quán)用戶進(jìn)入他人計(jì)算機(jī)系統(tǒng)，利用系統(tǒng)配置漏洞、通信協(xié)議缺陷和軟件漏洞實(shí)現(xiàn)非法入侵他人系統(tǒng)入侵檢測是一種探測入侵行為的技術(shù)，關(guān)閉TCP 和UDP 可能被入侵者利用的端口，也可有效降低入侵IP掃描和端口掃描是常用的攻擊工具，同時(shí)，也可以來幫助用戶發(fā)現(xiàn)自身系統(tǒng)哪些端口開啟了，哪些開啟的端口可能會(huì)遭受攻擊流量分析目的在于依靠分

16、析IP包發(fā)現(xiàn)通話的雙方及其通信量，盡管IP包已經(jīng)加密，入侵者仍舊可以分析IP頭文件獲得有用的信息 防御措施 加密 IP包文件，但是一個(gè)IP頭文件加密后的IP包不能送達(dá)目的地，因此，需要網(wǎng)關(guān)網(wǎng)關(guān)也可以保護(hù)內(nèi)部網(wǎng)絡(luò)拓?fù)?1) 發(fā) IP包到網(wǎng)關(guān)A. (2) 網(wǎng)關(guān) A加密了發(fā)送者的IP包并傳往下一個(gè)路由器 (3) IP包 經(jīng)由網(wǎng)關(guān) A 傳送到網(wǎng)關(guān)B. (4)網(wǎng)關(guān)B去掉頭文件，解密發(fā)送者的IP包,并且將其發(fā)送給接受者。服務(wù)阻斷攻擊阻止合法用戶得到正常通信和資源DoS 由單臺(tái)計(jì)算機(jī)發(fā)起攻擊DDoS 操作多臺(tái)計(jì)算機(jī)發(fā)起攻擊DoSSYN 充斥是一種典型和有效的 DoS 攻擊， smurf 攻擊是另一種典型的

17、DoS攻擊攻擊者在一個(gè)很短的時(shí)間段內(nèi)向網(wǎng)上的一組計(jì)算機(jī)發(fā)送大量ping指令， 并使得這些指令看起來出自其選取的受攻擊的目標(biāo)主機(jī)，因此這些計(jì)算機(jī)會(huì)向其回送pong消息。DDoS 典型的 DDoS 攻擊過程如下：利用操作主機(jī)掃描盡可能多的連網(wǎng)計(jì)算機(jī)安裝一個(gè)特殊的攻擊軟件，然后命令所有被控制計(jì)算機(jī)發(fā)起DoS攻擊，這些機(jī)器成為占比機(jī)操縱主機(jī)命令所有占比機(jī)同時(shí)向同一目標(biāo)發(fā)起DoS攻擊垃圾郵件垃圾郵件是不請(qǐng)自來的信息，多是商業(yè)信息，或釣魚信息其目的雖然不是危害用戶主機(jī)工作，但仍然消耗了計(jì)算資源 垃圾郵件也出現(xiàn)在萬維網(wǎng)搜索引擎、即時(shí)消息、博客、手機(jī)等各種網(wǎng)絡(luò)應(yīng)用中 防御措施 垃圾過濾軟件能夠檢測和阻止垃圾郵

18、件進(jìn)入用戶郵箱惡意軟件危害用戶計(jì)算機(jī)的軟件稱之為惡意軟件 病毒蠕蟲特洛伊木馬邏輯炸彈后門程序間諜軟件 病毒和蠕蟲病毒軟件是可以自我復(fù)制的軟件 它不是一種孤立的程序，它必須依附一個(gè)主程序或文件中一個(gè)包含病毒的主程序或文件叫做受感染宿主蠕蟲可以自我復(fù)制的，但不同于病毒，蠕蟲可以單獨(dú)生存，不必依附載體防御方法 不要從非信任源下載軟件不要運(yùn)行來路不明的程序確保即時(shí)安裝、更新補(bǔ)丁軟件 特洛伊木馬 特洛伊木馬是一種軟件，表面上看在在做一件事，實(shí)際上在做另一件事 特洛伊木馬常常將自己偽裝成具有誘惑力而無害的軟件，誘使人們下載 防御方法 如同對(duì)付病毒和蠕蟲一樣，運(yùn)用殺毒軟件可以檢測、隔離和刪除它邏輯炸彈邏輯炸

19、彈是植入在程序內(nèi)的子程序或指令，當(dāng)一定的條件滿足后，會(huì)觸發(fā)執(zhí)行防御措施 雇主需關(guān)照你的職員，使他們不至于植入邏輯炸彈危害公司項(xiàng)目管理者應(yīng)該雇傭外面的公司或者組建專門的團(tuán)隊(duì)而不是讓源代碼開發(fā)者去檢查源程序必須建立相關(guān)的法律條款使有意植入邏輯炸彈的雇員面對(duì)法律的嚴(yán)懲后門程序后門程序有進(jìn)入軟件的密碼通道他們可能由程序開發(fā)者加在軟件內(nèi)，得以無需登錄密碼便可快速進(jìn)入程序，修改和調(diào)試代碼防御方法 專門的團(tuán)隊(duì)來檢查源代碼 間諜軟件間諜軟件是一種將自己安裝在用戶電腦上的軟件間諜軟件常用于監(jiān)視用戶瀏覽習(xí)慣并且時(shí)常彈出商業(yè)廣告騷擾用戶瀏覽器劫持 篡改用戶瀏覽器設(shè)置僵尸軟件 一種軟件可以接管用戶的計(jì)算機(jī)并且把其變?yōu)?/p>

20、占比機(jī)，用來實(shí)施DDoS 攻擊或者變?yōu)橐粋€(gè)病毒傳播者，比如發(fā)送垃圾郵件或者傳播病毒間諜軟件還可以做的事包括： 瀏覽監(jiān)視 監(jiān)視用戶瀏覽習(xí)慣，發(fā)送報(bào)告給網(wǎng)頁服務(wù)器或攻擊者主機(jī)，告知用戶的網(wǎng)購習(xí)慣和模式密碼竊取 通過擊鍵記錄軟件記錄用戶敲擊的按鍵來竊取用戶的登錄信息廣告軟件 在用戶的網(wǎng)頁上自動(dòng)顯示廣告窗口防御方法 使用抗間諜軟件來檢測和消除間諜軟件帶來的危害第1章 網(wǎng)絡(luò)安全概論1.1 網(wǎng)絡(luò)安全的任務(wù)1.2 基本攻擊類型和防范措施1.3 攻擊者類別1.4 網(wǎng)絡(luò)安全基本模型1.5 網(wǎng)絡(luò)安全信息資源網(wǎng)站黑客 黑客 駭客是指那些對(duì)計(jì)算機(jī)系統(tǒng)知識(shí)有特別鉆研，對(duì)軟件，算法，計(jì)算機(jī)配置的精巧細(xì)節(jié)有深入了解的一群人黑頂駭客 為了他們自身的利益專門