計(jì)算機(jī)網(wǎng)絡(luò)安全期末復(fù)習(xí)

計(jì)算機(jī)網(wǎng)絡(luò)安全復(fù)習(xí)

陳鍶奇計(jì)算機(jī)與信息科學(xué)學(xué)院4.2基于密碼的身份認(rèn)證4.2.1密碼認(rèn)證的特點(diǎn)密碼是用戶與計(jì)算機(jī)之間以及計(jì)算機(jī)與計(jì)算機(jī)之間共享的一個(gè)秘密，在通信過程中其中一方向另一方提交密碼，表示自己知道該秘密，從而通過另一方的認(rèn)證。密碼通常由一組字符串來組成，為便于用戶記憶，一般用戶使用的密碼都有長(zhǎng)度的限制。但出于安全考慮，在使用密碼時(shí)需要注意以下幾點(diǎn)：（1）不使用默認(rèn)密碼、（2）設(shè)置足夠長(zhǎng)的密碼、（3）不要使用結(jié)構(gòu)簡(jiǎn)單的詞或數(shù)字組合、（4）增加密碼的組合復(fù)雜度、（5）使用加密、（6）避免共享密碼、（7）定期更換密碼

就密碼的安全使用來說，計(jì)算機(jī)系統(tǒng)應(yīng)該具備下列安全性：（1）入侵者即使取得儲(chǔ)存在系統(tǒng)中的密碼也無法達(dá)到登錄的目的。這需要在密碼認(rèn)證的基礎(chǔ)上再增加其他的認(rèn)證方式，如地址認(rèn)證。（2）通過監(jiān)聽網(wǎng)絡(luò)上傳送的信息而獲得的密碼是不能用的。最有效的方式是數(shù)據(jù)加密。（3）計(jì)算機(jī)系統(tǒng)必須能夠發(fā)現(xiàn)并防止各類密碼嘗試攻擊?？墒褂妹艽a安全策略。4.3基于地址的身份認(rèn)證4.3.1地址與身份認(rèn)證基于IP地址的身份認(rèn)證：不可靠，也不可取基于物理地址（如MAC地址）的身份認(rèn)證較為可靠，目前在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用較為廣泛。4.3.2智能卡認(rèn)證智能卡（SmartCard）也稱IC卡，是由一個(gè)或多個(gè)集成電路芯片（包括固化在芯片中的軟件）組成的設(shè)備，可以安全地存儲(chǔ)密鑰、證書和用戶數(shù)據(jù)等敏感信息，防止硬件級(jí)別的竄改。智能卡芯片在很多應(yīng)用中可以獨(dú)立完成加密、解密、身份認(rèn)證、數(shù)字簽名等對(duì)安全較為敏感的計(jì)算任務(wù)，從而能夠提高應(yīng)用系統(tǒng)抗病毒攻擊以及防止敏感信息的泄漏。

智能卡具有硬件加密功能，所以安全性性較高。智能卡認(rèn)證是基于“whatyouhave”的手段，通過智能卡硬件不可復(fù)制來保證用戶身份不會(huì)被仿冒。雙因素身份認(rèn)證，簡(jiǎn)單地講是指在身份認(rèn)證過程中至少提供兩個(gè)認(rèn)證因素，如“密碼+PIN”等。雙因素認(rèn)證與利用ATM（自動(dòng)柜員機(jī)）取款很相似：用戶必須利用持銀行卡（認(rèn)證設(shè)備），再輸入密碼，才能提取其賬戶中的款項(xiàng)。雙因素認(rèn)證提供了身份認(rèn)證的可靠性。4.4生物特征身份認(rèn)證4.4.1生物特征認(rèn)證的概念生物特征認(rèn)證又稱為“生物特征識(shí)別”，是指通過計(jì)算機(jī)利用人體固有的物理特征或行為特征鑒別個(gè)人身份。在信息安全領(lǐng)域，推動(dòng)基于生物特征認(rèn)證的主要?jiǎng)恿碜杂诨诿艽a認(rèn)證的不安全性，即利用生物特征認(rèn)證來替代密碼認(rèn)證。人的生理特征與生俱來，一般是先天性的。

滿足以下條件的生物特征才可以用來作為進(jìn)行身份認(rèn)證的依據(jù)：·普遍性。即每一個(gè)人都應(yīng)該具有這一特征?！のㄒ恍?。即每一個(gè)人在這一特征上有不同的表現(xiàn)?！し€(wěn)定性。即這一特征不會(huì)隨著年齡的增長(zhǎng)和生活環(huán)境的改變而改變?！ひ撞杉?。即這一特征應(yīng)該便于采集和保存?！た山邮苄浴＜慈藗兪欠衲軌蚪邮苓@種生物識(shí)別方式。4.4.2指紋認(rèn)證

利用人的生物特征可以實(shí)現(xiàn)“以人識(shí)人”，其中指紋是人的生物特征的一種重要的表現(xiàn)形式，具有“人人不同”和“終身不變”的特征，以及附屬于人的身體的便利性和不可偽造的安全性。指紋認(rèn)證的特點(diǎn)如下：

·獨(dú)特性。

·穩(wěn)定性

·方便性

圖4-2不同的指紋形狀

如圖4-3所示，指紋識(shí)別的過程包括2個(gè)子過程：指紋注冊(cè)過程和指紋比對(duì)過程。其中：①指紋采集。②圖像增強(qiáng)。③提取特征值。是指對(duì)指紋圖案上的特征信息進(jìn)行選擇（如圖4-4所示）、編碼和形成二進(jìn)制數(shù)據(jù)的過程。④特征值模板入庫。⑤比對(duì)匹配。圖4-4指紋圖案信息的選擇

4.4.3虹膜認(rèn)證

從理論上講，虹膜認(rèn)證是基于生物特征的認(rèn)證方式中最好的一種認(rèn)證方式。虹膜（眼睛中的彩色部分）是眼球中包圍瞳孔的部分（如圖4-5所示），上面布滿極其復(fù)雜的鋸齒網(wǎng)絡(luò)狀花紋，而每個(gè)人虹膜的花紋都是不同的。虹膜識(shí)別技術(shù)就是應(yīng)用計(jì)算機(jī)對(duì)虹膜花紋特征進(jìn)行量化數(shù)據(jù)分析，用以確認(rèn)被識(shí)別者的真實(shí)身份。圖4-5虹膜在眼球中的位置

如圖4-6所示，一個(gè)虹膜識(shí)別系統(tǒng)一般由4部分組成：虹膜圖像的采集、預(yù)處理、特征提取及模式匹配。圖4-6虹膜識(shí)別系統(tǒng)的組成其中：①虹膜圖像采集。虹膜圖像采集是虹膜識(shí)別系統(tǒng)一個(gè)重要的且困難的步驟。②虹膜圖像的預(yù)處理。這一操作分為虹膜定位和虹膜圖像的歸一化兩個(gè)步驟。③虹膜紋理的特征提取。采用轉(zhuǎn)換算法將虹膜的可視特征轉(zhuǎn)換成為固定字節(jié)長(zhǎng)度的虹膜代碼。④模式匹配。識(shí)別系統(tǒng)將生成的代碼與代碼數(shù)據(jù)庫中的虹膜代碼進(jìn)行逐一比較，當(dāng)相似率超過某一個(gè)預(yù)設(shè)置值時(shí)，系統(tǒng)判定檢測(cè)者的身份與某一個(gè)樣本相符。4.5零知識(shí)證明身份認(rèn)證4.5.1零知識(shí)證明身份認(rèn)證的概念零知識(shí)證明（zero-knowledgeproof）是由在20世紀(jì)80年代初出現(xiàn)的一種身份認(rèn)證技術(shù)。零知識(shí)證明是指證明者能夠在不向驗(yàn)證者提供任何有用信息的情況下，使驗(yàn)證者相信某個(gè)論斷是正確的。零知識(shí)證明實(shí)質(zhì)上是一種涉及兩方或多方的協(xié)議，即兩方或多方完成一項(xiàng)任務(wù)所需采取的一系列步驟。證明者向驗(yàn)證者證明并使驗(yàn)證者相信自己知道某一消息或擁有某一物品，但證明過程不需要（也不能夠）向驗(yàn)證者泄漏。零知識(shí)證明分為交互式零知識(shí)證明和非交互式零知識(shí)證明兩種類型。4.6身份認(rèn)證協(xié)議4.6.1Kerberos協(xié)議

1.Kerberos協(xié)議簡(jiǎn)介

Kerberos是為基于TCP/IP的Internet和Intranet設(shè)計(jì)的安全認(rèn)證協(xié)議，它工作在Client/Server模式下，以可信賴的第三方KDC（密鑰分配中心）實(shí)現(xiàn)用戶身份認(rèn)證。在認(rèn)證過程中，Kerberos使用對(duì)稱密鑰加密算法，提供了計(jì)算機(jī)網(wǎng)絡(luò)中通信雙方之間的身份認(rèn)證。

Kerberos設(shè)計(jì)的目的是解決在分布網(wǎng)絡(luò)環(huán)境中用戶訪問網(wǎng)絡(luò)資源時(shí)的安全問題。

由于Kerberos是基于對(duì)稱加密來實(shí)現(xiàn)認(rèn)證的，這就涉及到加密密鑰對(duì)的產(chǎn)生和管理問題。在Kerberos中會(huì)對(duì)每一個(gè)用戶分配一個(gè)密鑰對(duì)，如果網(wǎng)絡(luò)中存在N個(gè)用戶，則Kerberos系統(tǒng)會(huì)保存和維護(hù)N個(gè)密鑰對(duì)。同時(shí)，在Kerberos系統(tǒng)中只要求使用對(duì)稱密碼，而沒有對(duì)具體算法和標(biāo)準(zhǔn)作限定，這樣便于Kerberos協(xié)議的推廣和應(yīng)用。

Kerberos已廣泛應(yīng)用于Internet和Intranet服務(wù)的安全訪問，具有高度的安全性、可靠性、透明性和可伸縮性等優(yōu)點(diǎn)。目前廣泛使用的Kerberos的版本是第4版（v4）和第5版（v5），其中Kerberosv5彌補(bǔ)了v4中存在的一些安全漏洞。2．Ke盛rb爬er迫os系統(tǒng)五的組于成一個(gè)蘇完整搬的Ke勿rb詠er品os系統(tǒng)扎主要拼由以紡下幾詠個(gè)部洋分組姻成：（1）用獅戶端止（Cl綱ie稻nt）。（2）服剖務(wù)器纏端（Se請(qǐng)rv春er）。（3）密蒙鑰分嶼配中時(shí)心（Ke般y匹Di夸st給ri乘bu妹ti亡on光C統(tǒng)en屯te爭(zhēng)r，KD霧C）。（4）認(rèn)原證服挺務(wù)器侵（Au駐th姨en腥ti心ca咐ti倡on爭(zhēng)S紡er皆ve叮r，AS）。（5）票陶據(jù)分殼配服遼務(wù)器征（Ti需ck輕et堆G嘉ra態(tài)nt膚in鬧g而Se碑rv淡er，TG擺S）。（6）票掃據(jù)。（7）時(shí)碎間戳移。3．Ke謀rb贏er謙os的基私本認(rèn)靈證過羊程Ke逮rb路er弟os的基陳本認(rèn)損證過鄉(xiāng)豐程如避圖4-浴7所示蝴。圖4-制7乓Ke限r(nóng)b冷er追os系統(tǒng)就認(rèn)證宵過程喊示意鉗圖3．Ke垮rb另er鞠os的基溉本認(rèn)潑證過年程1.客戶棄端向AS發(fā)起基請(qǐng)求豎，請(qǐng)姻求內(nèi)逐容是另：我各是誰章（客殲戶端扣的pr沸in針ci欣pa球l），解我要床和票挺據(jù)授圍權(quán)服功務(wù)通霜信（TG國(guó)S的pr土in坦ci茶pa諷l）等2.冷A對(duì)S收到闊請(qǐng)求遲后，秋隨機(jī)湖生成舅一個(gè)錦密碼Se災(zāi)ss讀io笛n仆Ke桑y(彎Kc澇,t穗gs長(zhǎng))，并去生成狼以下倆兩個(gè)Ti羞ck節(jié)et返回誘給客憐戶端框：Tc注,t閉gs援={乖Kc眉,t它gs熊;休tg妙s_菜pr永in趨ci找pa老l;企.樓..鳳}廉Kc紡-該票該據(jù)是積給客注戶端寺的，球大括兩號(hào)里縣面為縱票據(jù)瘦中的懲內(nèi)容解，后顫面的Kc為客艘戶端泊的密桶碼，霜表示故該票寄據(jù)用雁客戶使端的怪密碼菌加密談了。Tt辭gs慮,c樣={尊Kc歐,t泰gs要;疫cl買ie析nt崗_p僚ri慎nc洽ip珍al帶;.扎..套}制Kt慣gs喇-該票諒據(jù)是搖給TG范S，大鋼括號(hào)端里面租為票絮據(jù)中殘的內(nèi)情容，剖后面所的Kt輛gs為TG秤S的密壩碼，添表示范該票扣據(jù)用TG貌S的密鐘碼加充密了葬，只灶有TG濱S能解平開。3.客戶膝端用倉自己炕的密律碼解趴開Tc填,t甜gs，得筋到Kc皆,t覽gs，生川成一奔個(gè)Au屑th章en暗ti謎ca恩to茶r，并照給TG紛S發(fā)起諸請(qǐng)求轟，請(qǐng)車求內(nèi)瀉容是鹿包括倚：Au被th水en諸ti糧ca吐to鉗r拼=蔥{t批im芒e_忍st惹am填p,績(jī)c承he普ck綠su倡m,煙.酬..久}K獲c,稍tg猜sTt瘦gs嚴(yán),c擦-第二綿步從AS返回蓮的票飯據(jù)se鉆rv評(píng)er喂_p糕ri葵nc口ip勵(lì)al號(hào),南..摸.在這熟個(gè)步詳驟中妻，Au沉th胖en脈ti池ca叢to洲r(nóng)和Tt筒gs宇,c是用腦于客這戶端王向TG步S證明捏自己唇身份勿的，se軌rv極er弊_p泥ri碼nc替ip裳a(bǔ)l是客彼戶端手需要女訪問親的服霞務(wù)器逼的名聯(lián)字。3．Ke雀rb壞er姜os的基惕本認(rèn)胡證過捧程4.漸TG牛S收到著客戶冤端發(fā)您送的Au私th給en剩ti辯ca咐to尼r和Tt減gs吹,c后，較先用撒自己燒的密姻碼解燈開Tt柔gs忙,c，得蚊到Se街ss攜io憶nK洞ey買K蝕c,頃tg小s，然酬后解圈開Au合th尖en梳t(yī)i時(shí)ca垮to臭r，對(duì)歡客戶降端進(jìn)舌行認(rèn)盟證。僻如果礙客戶墳端通稱過了瞞認(rèn)證當(dāng)，TG膜S生成疼一個(gè)殺客戶拆端和逆服務(wù)歡器的Se憶ss拼io冤nK蠶ey妥(K包c(diǎn),疑s)，同塘?xí)r將用組裝誰下面礙兩個(gè)挪票據(jù)殿返回柄給客鳥戶端穗：Tc眾,s普={肚Kc互,s頁,鞏se箭rv難er箱_p腫ri蓮nc殼ip悅al程,.虧..翠}K刷c,袋tg噴s鉛-這是樸給客爬戶端晚的票島據(jù)，Kc棉,s是客刮戶端科與服攔務(wù)器送之間麻的Se腐ss壓io沙nK朋ey，用今客戶課端和TG問S之間普的Se絲式ss至io侮nK塵ey也(K暗c,皆tg郵s)加密混。區(qū)嫂別就辭在這因里了槍，給級(jí)客戶太端的帝票據(jù)隙不再寺用客跪戶端延的密餅碼加忽密，朝而是華用客姿戶端晃和Tg鴿s之間騾的Se始ss按io珠nK愿ey加密習(xí)。Ts挨,c莊={始Kc件,s率,抵cl復(fù)ie柏nt崇_p講ri熊nc裕ip勿al龍,.闖..萍}K瘡s使-這是勵(lì)給服趙務(wù)器扣的票滅據(jù)，益用服侮務(wù)器榮的密商碼加京密。5.客戶牽端收死到上望述兩為個(gè)票材據(jù)后瞇，用Kc順,t滔gs解開Tc吼,s得到Kc陽,s，然省后生敗成一時(shí)個(gè)Au嫩th子en違ti濱ca攀to烘r并發(fā)謝送請(qǐng)?jiān)蠼o責(zé)服務(wù)榮器，檔內(nèi)容界包括釘：Au洲th桂en好ti蓮ca步to咸r=燦{t渾im售e_嬸st溜am胃p,賣T闖s,癥c_呢ch惱ec題ks魚um擦,.映..幅}K毅c,號(hào)sTs動(dòng),c錘={獻(xiàn)Kc海,s決,苦cl滔ie扶nt預(yù)_p壞ri滾nc爐ip塔al邀,.站..寨}K槍s。6.服務(wù)憂器收促到請(qǐng)奪求后勢(shì)，用耀自己緒的密牢碼解移開Ts得到Kc宿,s，然遷后用Kc肺,s解開Au埋th基en著ti所ca緩to第r對(duì)客咸戶端敲進(jìn)行洪認(rèn)證杯。服保務(wù)器聽也可切選擇勞性的很返回用如下摩信息梅給客擴(kuò)戶端崇來完歇成雙故向認(rèn)廊證：[p躬la衫in籍]螞vi竿ew卡p嗎la馬in五c膏op抖y在CO必DE上查如看代炎碼片自派生訴到我棒的代亂碼片{t猾im皆e_融st憲am例p}餃Kc豪,s這是足客戶拴端首諷次認(rèn)逮證的戀流程切，通炎?？凸菓舳藙儠?huì)在詞第2步的忙時(shí)候儉把相團(tuán)應(yīng)的冬票據(jù)領(lǐng)保存鳥下來產(chǎn)，在彈以后層客戶糊端需育要認(rèn)擁證別超的服寇務(wù)器燒的時(shí)汗候就杰不需毅要前銜面兩巴步，花直接光從第3步開核始。4.刮6.活2纏SS部L協(xié)議1、SS盡L協(xié)議吩概述SS渾L是一腿種點(diǎn)錫對(duì)點(diǎn)尺之間盞構(gòu)造涂的安微全通碌道中誦傳輸岡數(shù)據(jù)犧的協(xié)健議，醉它運(yùn)嫁行在壇傳輸督層之遺上、槍應(yīng)用膊層之寫下，耳是一紋種綜戶合利龍用對(duì)晉稱密兆鑰和果公開濱密鑰喊技術(shù)廣進(jìn)行身安全今通信女的工轎業(yè)標(biāo)沈準(zhǔn)。省在通饒信過姜程中圍，允掘許一術(shù)個(gè)支生持SS狐L協(xié)議央的服子務(wù)器晌在支淹持SS幫L協(xié)議條的客似戶端熄使協(xié)蛇議本怠身獲芽得信孔任，潛使客懶戶端訓(xùn)得到浩服務(wù)蒼器的足信任填，從橡而在無兩臺(tái)捆機(jī)器最間建騎立一載個(gè)可吩靠的頂傳輸咽連接猾。4.奴6.敞2遲SS肯L協(xié)議SS杏L協(xié)議托主要找提供昆了3個(gè)方齡面的薦安全好服務(wù)殼。·認(rèn)證跑。利膨用數(shù)檔字證偏書技筋術(shù)和嚴(yán)可信例任的營(yíng)第三植方認(rèn)畢證機(jī)組構(gòu)，峰為客京戶機(jī)交和服罪務(wù)器午之間滴的通禽信提待供身屑份認(rèn)鋒證功最能，廳以便濃于彼存此之銀間進(jìn)跨行身炒份識(shí)棗別。·機(jī)密廁性。元在SS廊L客戶潔機(jī)和瓶服務(wù)肚器之烈間傳框輸?shù)呐浪性贁?shù)據(jù)事都經(jīng)雞過了府加密那處理焰，以本防止顧非法租用戶揚(yáng)進(jìn)行機(jī)竊取材、篡茅改和吐冒充舍?！ね暾夹?。SS提L利用廊加密抱算法從和Ha遞sh函數(shù)醬來保海證客半戶機(jī)強(qiáng)和服緣瑞務(wù)器扶之間扇傳輸所的數(shù)瓦據(jù)的右完整叼性。如圖4-常8所示陡，SS漫L協(xié)議也分為詠上下慈兩部朱分：感上層憑為SS拿L握手經(jīng)協(xié)議云，下畢層為SS獄L記錄護(hù)協(xié)議林。其把中SS北L握手豆協(xié)議互主要李用來危建立荷客戶壁機(jī)與股服務(wù)俘器之綢間的守連接宏，并蜂協(xié)商柳密鑰口；而SS招L記錄巡壽協(xié)議間則定蓬義了鳳數(shù)據(jù)割的傳形輸格暢式。圖4-曾8都SS衰L協(xié)議鏡棧的胸組成2.價(jià)S報(bào)SL握手閱協(xié)議SS玻L握手缸協(xié)議猾提供漂了客炊戶機(jī)悲與服脂務(wù)器蘋之間倘的相押互認(rèn)尋證，火協(xié)商鏟加密旦算法甜，用如于保挑護(hù)在SS珍L記錄團(tuán)中發(fā)欣送的苦加密弓密鑰勵(lì)。握扭手協(xié)冤議在膜任何葵應(yīng)用琴程序懼的數(shù)服據(jù)傳晴輸之鄉(xiāng)豐前進(jìn)直行。鏡如圖4-士9描述政了SS剃L握手跳協(xié)議陵一次幼握手補(bǔ)的操薪作過芹程。圖4-傲9喇SS近L握手碎協(xié)議濕的操摟作過消程3.爆S算SL記錄熄協(xié)議SS梨L記錄點(diǎn)協(xié)議識(shí)建立隸在可欠靠的階傳輸瞇層協(xié)鄉(xiāng)豐議（裙如TC棵P）之折上，童為高偶層協(xié)端議（修如HT有TP、FT推P等）翁提供鹽數(shù)據(jù)閱封裝舊、壓淹縮、城加密友等基陷本功瞞能的令支持賢。如束圖4-伯10所示鋼描述木了SS伐L記錄獄協(xié)議纏的操期作過坊程。圖4-憤10紐奉S姨SL記錄逝協(xié)議崇的操戶作過墻程其中刃，該SS豈L記錄襯頭由扯如圖4-釘11所示槍的幾尖個(gè)字需段組島成。圖4-體11寄S第SL記錄汽協(xié)議癢字段4.栗S溪SL協(xié)議蝕的特矮點(diǎn)SS隆L是一氣個(gè)通夾信協(xié)趕議。雞為了關(guān)實(shí)現(xiàn)虎安全啞性，SS治L的協(xié)塌議描序述比纏較復(fù)乖雜，安具有累較完奮備的雹握手庭過程萍。這逝也決藍(lán)定了SS介L(zhǎng)不是話一個(gè)嘗輕量傷級(jí)的狡網(wǎng)絡(luò)顯協(xié)議約。另析外，SS剖L還涉務(wù)及到冒大量臉的計(jì)遭算密無集型蛛算法磨：非疼對(duì)稱米加密貨算法障，對(duì)每稱加惕密算傲法和跳數(shù)據(jù)底摘要稱算法州。IE丟TF將SS耳L進(jìn)行嶄了標(biāo)己準(zhǔn)化確，即RF倒C冊(cè)22遭46，并弟將其蓋稱為TL財(cái)S（Tr榮an羽sp雅or杯t姑La午ye須r爬Se許cu坡ri胳ty）。亞從技胡術(shù)上濱講，TL起Sv挽1.趙0與SS紫Lv赤3.硬0的差歪別非爬常小曲。TC芒P/押IP是一筍個(gè)協(xié)慚議簇率或協(xié)莊議棧否，它路是由末多個(gè)枯子協(xié)瀉議組征成的踢集合籠。圖5-愿3列出虧了TC訊P/陣IP體系光中包撒括的匆一些漏主要挪協(xié)議懇以及漫與TC瓦P/據(jù)IP體系灘的對(duì)闖應(yīng)關(guān)結(jié)系。圖5-懲3眼T呼CP箭/I夏P體系規(guī)中的熄主要境協(xié)議還及與豆各層親的對(duì)任應(yīng)關(guān)戰(zhàn)系5.劇1.賽2貪TC礦P/縮慧IP各層宵的主否要功楚能TC統(tǒng)P/恭IP體系蠶也稱畜為TC知P/牌IP參考損模型蛾，該值模型棍從下金到上闖共分落為網(wǎng)止絡(luò)接貌口層稠、網(wǎng)奴際層玩、傳綁輸層制和應(yīng)屠用層錦，共4個(gè)子泄層。桃各層絮的主益要功鋤能如荒下。1．斥網(wǎng)絡(luò)擊接口匹層在TC柄P/頂IP參考蹄模型烤中，籃網(wǎng)絡(luò)春接口驚層屬呼于最研低的河一層角，它岔負(fù)責(zé)格通過后網(wǎng)絡(luò)涌發(fā)送章和接據(jù)收分濁組。2．仿網(wǎng)際傾層網(wǎng)際溝層也思稱為趙“互乒聯(lián)網(wǎng)攻絡(luò)層便”，測(cè)它相忽當(dāng)于OS番I參考怎模型恥網(wǎng)絡(luò)佛層的讀無連逮接網(wǎng)禽絡(luò)服先務(wù)。汪網(wǎng)際疤層的苦任務(wù)桂是：仗允許糖位于辛同一男網(wǎng)絡(luò)賞或不壇同網(wǎng)朋絡(luò)中店的兩鏡臺(tái)主恩機(jī)之汽間以噴分組非的形單式進(jìn)吩行通姑信。3．所傳輸縫層在TC架P/羞IP參考征模型瘋中，勉傳輸科層位被于網(wǎng)嚇際層絮與應(yīng)瓜用層春之間件，其勸設(shè)計(jì)維目標(biāo)湊是：棉允許鎮(zhèn)在源途和目褲的主蛛機(jī)的烏對(duì)等趴體之梢間進(jìn)決行會(huì)葉話，祝負(fù)責(zé)掉會(huì)話旺對(duì)等栗體的張應(yīng)用睛進(jìn)程窮之間怕的通雹信。TC壯P/亂IP參考初模型惜的傳剃輸層夠功能漂類似段于OS微I參考猾模型忙傳輸圾層的斜功能計(jì)。4．洋應(yīng)用陷層應(yīng)用隊(duì)層屬偏于TC圾P/券IP參考妻模型暢的最床高層宅。應(yīng)斧用層瘡主要錄包括而根據(jù)偵應(yīng)用賀需要經(jīng)開發(fā)愉的一色些高蜻層協(xié)搞議，賢如te霧ln刺et、FT往P、SM芹TP、DN帳S、SN踢M(jìn)P、HT那TP等。盼而且給，隨陪著網(wǎng)折絡(luò)應(yīng)凳用的去不斷所發(fā)展富，新芹的應(yīng)悠用層遼協(xié)議訴還會(huì)追不斷新出現(xiàn)欠。5.件2.覺2宇A(yù)R燦P欺騙1．AR界P欺騙隸的概拌念和紐奉現(xiàn)狀由于AR副P協(xié)議俊在設(shè)壺計(jì)中浮存在倉的主迫動(dòng)發(fā)僻送AR翁P報(bào)文午的漏彩洞，逃使得恨主機(jī)稻可以紫發(fā)送愚虛假膝的AR城P請(qǐng)求靈報(bào)文喚或響鞋應(yīng)報(bào)屋文，片報(bào)文得中的夕源IP地址次和源MA受C地址妖均可例以進(jìn)訊行偽對(duì)造。危在局酒域網(wǎng)鉗中，箏即可請(qǐng)以偽槐造成器某一茫臺(tái)主繭機(jī)（退如服殖務(wù)器詢）的IP地址顛和MA踩C地址給的組菠合，唇也可盤以偽書造成找網(wǎng)關(guān)麗的IP地址傻和MA棒C地址茶的組嗽合，芝等等響。2．泥針對(duì)秧計(jì)算經(jīng)機(jī)的AR鳴P欺騙如圖5-氏8所示斥，假鄙設(shè)主語機(jī)A向主塘機(jī)B發(fā)送展數(shù)據(jù)撓。在攀主機(jī)A中，職當(dāng)應(yīng)京用程接序要匆發(fā)送密的數(shù)質(zhì)據(jù)到席了TC前P/趴IP參考絲式模型遲的網(wǎng)垃際層奶與網(wǎng)梨絡(luò)接能口層放之間畢時(shí)，撤主機(jī)A在AR雹P緩存孔表中清查找攪是否值有主嘗機(jī)B的MA詳C地址符（其挑實(shí)是遷主機(jī)B的IP地址機(jī)與MA棉C地址債的對(duì)杠應(yīng)關(guān)滋系）榮，如贊果有兵，則維直接遵將該MA扔C地址籃（22處-2橋2-模22漫-2饞2-鋪22件-2輪2）作圣為目屋的MA廟C地址層添加?jì)傻綌?shù)斤據(jù)單陰元的悠網(wǎng)絡(luò)閃首部絲式（位攀于網(wǎng)負(fù)絡(luò)接耽口層巴），臉成為涌數(shù)據(jù)申幀。亭在局少域網(wǎng)時(shí)（同哲一IP網(wǎng)段廉，如餅本例遣的19奔2.巨16蠟8.排1.廁x）中淋，主潮機(jī)利恩用MA搶C地址嫂作為狂尋址權(quán)的依殿據(jù)，英所以付主機(jī)A根據(jù)菜主機(jī)B的MA彎C地址大，將命數(shù)據(jù)膜幀發(fā)首送給將主機(jī)B。圖5-攪8主機(jī)挺中IP地址禾與MA搭C地址忙的對(duì)葬應(yīng)關(guān)撿系示醉意圖如果暮主機(jī)A在AR賀P緩存孝表中安沒有掌找到尚目標(biāo)語主機(jī)B的IP地址拆對(duì)應(yīng)助的MA踢C地址泡，主精機(jī)A就會(huì)使在網(wǎng)沫絡(luò)上握發(fā)送鄙一個(gè)衣廣播友幀，豪該廣譯播幀灘的目共的MA撥C地址急是“FF皆.F黃F.出FF少.F課F.咱FF具.F督F”，表歐示向鐵局域崗網(wǎng)內(nèi)伙的所杠有主壤機(jī)發(fā)他出這急樣的損詢問顆：IP地址油為19雹2.封16賤8.位1.固2的MA驢C地址將是什椅么？俗在局參域網(wǎng)洪中所累有的個(gè)主機(jī)懲都會(huì)泡接收景到該隙廣播處幀，柿但在慌正常演情況咸下因稿為只回有主散機(jī)B的IP地址皮是19僚2.奧16含8.厲1.盒2，所欄以主趟機(jī)B會(huì)對(duì)嶼該廣憤播幀劑進(jìn)行AR榨P響應(yīng)兼，即冊(cè)向主凡機(jī)A發(fā)送牧一個(gè)AR場(chǎng)P響應(yīng)宇幀：庸我（IP地址峰是19嗎2.肯16燥8.木1.潮2）的MA腫C地址疫是22什-2腫2-如22炭-2櫻2-盛22胖-2州2。如果猶現(xiàn)在鉗主機(jī)D要對(duì)辟主機(jī)A進(jìn)行AR害P欺騙烘，冒偏充自晨己是印主機(jī)C。具洽體實(shí)屯施中愿，當(dāng)愈主機(jī)A要與批主機(jī)C進(jìn)行停通信歪時(shí)，符主機(jī)D主動(dòng)租告訴勇主機(jī)A自己吐的IP地址仗和MA輪C地址墻的組腦合是敢“19商2.驗(yàn)16壟8.路1.栽3+揚(yáng)44屑-4瓣4-唐44獎(jiǎng)-4赤4-肺44峽-4漠4”，這瞞樣當(dāng)丸主機(jī)A要發(fā)愿送給使主機(jī)C數(shù)據(jù)橋時(shí)，冬會(huì)將王主機(jī)D的MA笛C地址44卸-4爽4-渾44礦-4鵝4-目44汁-4添4添加循到數(shù)碰據(jù)幀舞的目揪的MA剃C地址免中，悟從而屬將本知來要妹發(fā)給序主機(jī)C的數(shù)稅據(jù)發(fā)含給了擋主機(jī)D，實(shí)歐現(xiàn)了AR奸P欺騙戴。在睜整個(gè)AR女P欺騙督過程俊中，短主機(jī)D稱為運(yùn)“中皇間人理”（ma爛n愧in掠t地he坡m侄id魯dl秘e），銅對(duì)這漆一中選間人否的存途在主許機(jī)A根本桐沒有錫意識(shí)錢到。通過覺以上莊的AR撲P欺騙缺，使膠主機(jī)A與主寨機(jī)C之間擱斷開咐了聯(lián)碗系。當(dāng)如圖5-懼9所示王，現(xiàn)懸在假場(chǎng)設(shè)主藝機(jī)C是局潔域網(wǎng)來中的爐網(wǎng)關(guān)償，而抗主機(jī)D為AR趣P欺騙坐者。頁這樣叨，當(dāng)察局域葡網(wǎng)中改的計(jì)骨算機(jī)垮要與抄其他乒網(wǎng)絡(luò)脊進(jìn)行隨通信燭（如輛訪問In林te僚rn膚et）時(shí)號(hào)，所虜有發(fā)放往其趟他網(wǎng)猴絡(luò)的滋數(shù)據(jù)襯全部數(shù)發(fā)給飾了主惑機(jī)D，而知主機(jī)D并非凳真正犁的網(wǎng)哈關(guān)，稅這樣墾整個(gè)狡網(wǎng)絡(luò)徹將無距法與船其他稈網(wǎng)絡(luò)鮮進(jìn)行權(quán)通信者。這落種現(xiàn)樂象在AR宮P欺騙壇中非嚼常普垮遍。圖5-吳9債AR恩P欺騙委的實(shí)趴現(xiàn)過震程3．仍針對(duì)么交換尼機(jī)的AR般P欺騙交換巧機(jī)的陽工作毯原理姻是通努過主房誠(chéng)動(dòng)學(xué)盼習(xí)下蓄連設(shè)典備的MA香C地址兩，并悉建立奪和維媽護(hù)端起口和MA檔C地址教的對(duì)牛應(yīng)表勵(lì)，即歐交換界機(jī)中擔(dān)的MA南C地址隊(duì)表。甲通過MA索C地址乏表，觸實(shí)現(xiàn)袖下連亭設(shè)備遭之間翠的通狹信?；榻粨Q示機(jī)中廣的MA祥C地址浪表也使稱為CA扣M（Co卷nt火en旨t泉Ad按dr歡es崗sa盞bl熟e撐Me唐mo嗎ry，內(nèi)媽容可盛尋址馳存儲(chǔ)煮器）陵，如亂圖5-盆10所示扇。圖5-臟10交換塊機(jī)中蟲的MA姐C地址質(zhì)表在進(jìn)礎(chǔ)行AR名P欺騙襪時(shí)，AR拋P欺騙啄者利非用工火具產(chǎn)陷生欺繩騙MA雪C，并著快速抵填滿CA劑M表。嬸交換蔽機(jī)的CA您M表被挎填滿創(chuàng)后，害交換猛機(jī)便墾以廣歷播方羅式處倘理通慘過交速換機(jī)物的數(shù)呼據(jù)幀開，這染時(shí)AR跌P欺騙娃者可型以利心用各聞種嗅趟探攻竟擊獲乳取網(wǎng)惕絡(luò)信閥息。CA獲M表被脾填滿鞏后，叢流量幻玉便以森洪泛泰（Fl旅oo袋d）方且式發(fā)趴送到禽所端答口，桿其中華交換販機(jī)上倦連端酒口（Tr參un捏k端口疊）上轟的流鐘量也欲會(huì)發(fā)叮送給租所有何端口慶和鄰莖接交蘭換機(jī)厭。這瘋時(shí)的剪交換撕機(jī)其墳實(shí)已買成為螺一臺(tái)犁集線談器。濾與集豬線器免不同介，由追于交球換機(jī)廟上有CP戴U和內(nèi)痛存，散大量柳的AR話P欺騙偏流量典會(huì)給獨(dú)交換效機(jī)產(chǎn)悉生流彈量過胖載，扔其結(jié)期果是父下連麥主機(jī)石的網(wǎng)歇絡(luò)速碑度變輝慢，傷并造厚成數(shù)被據(jù)包儲(chǔ)丟失桌，甚膚至產(chǎn)待生網(wǎng)芝絡(luò)癱戚瘓。5.剩3躺DH閣CP安全DH嚼CP（Dy櫻na貌mi去c卻Ho炮st穴C踐on專fi邪gu夕ra熟ti確on降P壺ro蹦to這co衛(wèi)l，動(dòng)弓態(tài)主扮機(jī)配宇置協(xié)于議）霞是一馳個(gè)客工戶機(jī)/服務(wù)朵器協(xié)線議，背在TC蛾P(guān)/溫IP網(wǎng)絡(luò)偷中對(duì)鴿客戶御機(jī)動(dòng)慈態(tài)分磚配和孕管理IP地址系等配厲置信朱息，微以簡(jiǎn)悅化網(wǎng)悲絡(luò)配革置，蹦方便罩用戶廣使用于及管祝理員勝的管擠理。5.捏3.枯1甲DH柔CP概述一臺(tái)DH爆CP服務(wù)罰器可塌以是謝一臺(tái)扯運(yùn)行Wi糖nd曲ow漂s弦20研00剝S恒er跑ve侮r、UN子IX或Li礦nu鍛x的計(jì)澇算機(jī)并，也給可以去是一緒臺(tái)路沾由器廊或交夢(mèng)換機(jī)融。DH敢CP的工駐作過憐程如頓圖5-乒13所示利。圖5-錯(cuò)13后DH鏟CP的工命作過報(bào)程5.禿3.鍵2頃DH河CP的安篩全問銜題在通妥過DH逝CP提供?？蛻粝鸲薎P地址鄙等信紹息分鑄配的零網(wǎng)絡(luò)匠中存著在著輕一個(gè)疑非常棄大的勝安全淺隱患忙：當(dāng)驅(qū)一臺(tái)曲運(yùn)行廟有DH散CP客戶懇端程盈序的柴計(jì)算道機(jī)連配接到蹦網(wǎng)絡(luò)譜中時(shí)忌，即瘦使是品一個(gè)貸沒有墓權(quán)限園使用啟網(wǎng)絡(luò)敲的非休法用司戶也結(jié)能很監(jiān)容易津地從DH風(fēng)CP服務(wù)藝器獲骨得一斬個(gè)IP地址肺及網(wǎng)辮關(guān)、DN腰S等信仇息，宮成為除網(wǎng)絡(luò)估的合流法使若用者轉(zhuǎn)。由于DH幫CP客戶熔端在刮獲得DH粥CP服務(wù)宮器的IP地址倉等信兼息時(shí)儀，系訊統(tǒng)沒幟有提角供對(duì)遞合法DH炎CP服務(wù)胳器的冶認(rèn)證飽，所洲以DH臘CP客戶知端從挖首先啞得到DH轎CP響應(yīng)蚊（DH傭CP添OF儲(chǔ)FE懼R）的DH淋CP服務(wù)眼器處描獲得IP地址纖等信予息。如圖5-船14所示還，一浪臺(tái)非廟法DH銜CP服務(wù)需器接妙入到牽了網(wǎng)功絡(luò)中齒，并鑰“冒馬充”圣為一石這個(gè)構(gòu)網(wǎng)段吩中的它合法DH館CP服務(wù)淺器。圖5-霜14非法DH悉CP服務(wù)睬器的寧工作通原理5.碼5逆DN響S安全為了據(jù)解決膨主機(jī)IP地址龍與主乳機(jī)名真之間灰的對(duì)臥應(yīng)關(guān)膏系，In瓦te哲rN急IC（In還te笑rn完et滿N砌et慰wo鄉(xiāng)豐rk奇I饅nf翁or標(biāo)ma攪ti芳o(jì)n川C脖en刮te扒r，In效te舟rn稱et網(wǎng)絡(luò)調(diào)信息始中心工）制何定了爺一套娛稱為嘉域名影系統(tǒng)事（Do烘ma趴in球N伯a(chǎn)m勺e亮Sy重st柔em，DN梁S）的保分層具名字棋解析看方案宗，當(dāng)DN蘋S用戶扁提出IP地址鼠查詢遙請(qǐng)求影時(shí)，宇就可薪以由DN副S服務(wù)銳器中敘的數(shù)喇據(jù)庫蘆提供舊所需剝的數(shù)舍據(jù)。DN頂S技術(shù)塑目前越已廣撿泛地循應(yīng)用闊于In請(qǐng)te脅rn田et和In余tr總an嫌et中。5.擁5.碰1朝DN先S概述1．DN聯(lián)S的功爺能及齒組成簡(jiǎn)單陡地講派，DN匪S協(xié)議起的最領(lǐng)基本覽的功虧能是捕對(duì)主纏機(jī)名烈與對(duì)叨應(yīng)的IP地址機(jī)之間植建立埋映射育關(guān)系旺。例崇如，故新浪挎網(wǎng)站工的一除個(gè)IP地址訂是20姥2.豆10哥6.追18職4.就20劈燕0，幾族乎所蒸有瀏性覽該與網(wǎng)站植的用勵(lì)戶都訊是使億用ww平w.察si南na寒.c討om摘.c售n，而獲并非傍使用IP地址洗來訪諸問。釀使用囑主機(jī)血名（桑域名拘）比股直接奇使用IP地址本具有瓦以下躲兩點(diǎn)魔好處舊：·主機(jī)執(zhí)名便惕于記融憶，懂如si噴na吹.c滅om容.c遞n?！?shù)字原形式幟的IP地址有可能澆會(huì)由罩于各稼種原淡因而朵改變久，而凱主機(jī)橫名可套以保昌持不乒變。圖5-澤32顯示口了頂傳級(jí)域蔥的名諷字空罰間及暈下一暗級(jí)子膛域之瞎間的肚樹型鍛結(jié)構(gòu)低關(guān)系邪，圖促中的棍每一座個(gè)節(jié)漢點(diǎn)以壺及其鉛下的猜所有獵節(jié)點(diǎn)傍叫做舞一個(gè)肉域。懲域可劃以有庸主機(jī)謝（計(jì)間算機(jī)糾）和封其他偽域（顧子域刊）。鵲例如久，在沖圖5-狗32中，pc誤1.掘sd梁.c褲ni溝nf估o.教ne冷t就是魚一個(gè)辯主機(jī)喊，而sd顏.c顫ni聚nf暢o.痕ne戶t則是蠶一個(gè)德子域湖。一梢般在葡子域釣中含休有多躍個(gè)主鞋機(jī)，避例如映，ah遲.c賢ni替nf趣o.拼ne殊t子域遞下就擁含有pc并1.帶ah禮.c雹ni森nf漫o.貸ne骨t和pc貫30疑.a院h.嶄cn童in休fo乓.n瘦et兩臺(tái)晨主機(jī)堪。圖5-歷32置In叢te形rn巖et的域惹名結(jié)豬構(gòu)2．DN淺S的解允析過駛程現(xiàn)在皆假設(shè)裹客戶枕端We道b瀏覽班器要營(yíng)訪問巷網(wǎng)站ww費(fèi)w.禽si吉na壺.c四om，整摸個(gè)訪車問過昂程如穿圖5-脖33所示攪。圖5-營(yíng)33留I仗nt策er哀ne砌t上對(duì)ww事w.肯si繩na逐.c馳om的訪緩問過硬程5.棟5.逝2寫DN沒S的安抖全問魄題1．緩騾存中品毒DN互S緩存剖中毒面利用咐了DN斤S緩存欲機(jī)制透，在DN輪S服務(wù)擱器的飲緩存忍中存犁入大蟻量錯(cuò)稿誤的圓數(shù)據(jù)孟記錄有主動(dòng)催供用粘戶查株詢。漢由于爪緩存寒中大鋸量錯(cuò)秋誤的礦記錄啞是攻響擊者舊偽造拿的，均而偽讀造者島可能寶會(huì)根冊(cè)據(jù)不珠同的迷意圖貨偽造淋不同頑的記害錄，冰例如屯將查暮詢指晴向某籌一個(gè)腿特定琴的服勺務(wù)器鍋，使鍵所有昂通過飄該DN懂S查詢殼的用框戶都離訪問軍某一趙個(gè)網(wǎng)艷站的艱主頁遭；或炎將所孫有的鼻郵件床指向抄某一土臺(tái)郵激件服市務(wù)器次，攔牢截利嗓用該DN案S進(jìn)行播解析弊的郵滿件，王等等梯。由于DN游S服務(wù)墻器之將間會(huì)晝進(jìn)行調(diào)記錄欲的同少步復(fù)踢制，將所以誘在TT賴L內(nèi)，圣緩存壤中毒止的DN鐘S服務(wù)奏器有幟可能醉將錯(cuò)沃誤的品記錄權(quán)發(fā)送備給其佩他的DN臂S服務(wù)假器，豪導(dǎo)致版更多斜的DN覽S服務(wù)晶器中圈毒。常正如DN找S的發(fā)鼻明者Pa居ul齒M宴oc秘ka各pe額tr遷is所說渴：中附毒的遲緩存任就像箏是“飲使人義們走牌錯(cuò)方技向的懂假冒扁路牌起”。2．謠拒絕畫服務(wù)任攻擊DN濤S服務(wù)裂器在腔互聯(lián)蜜網(wǎng)中錢的關(guān)勝鍵作耍用使駱?biāo)茴嵢菀谆殖蔀榫毓艉檎哌M(jìn)秀行攻廉擊的丈目標(biāo)堅(jiān)，加沖上DN局S服務(wù)征器對(duì)帶大量半的攻難擊沒潑有相勿應(yīng)的持防御平能力識(shí)，所怕以攻摧擊過隨程很惡容易把實(shí)現(xiàn)箏，且拉造成獄的后仔果非巾常嚴(yán)礙重。姨現(xiàn)在沿使用驚的DN冶S采用泉了樹謎型結(jié)著構(gòu)，下一旦DN束S服務(wù)德器不它能提酒供服搭務(wù)，蔬其所格轄的患子域獲都將沾無法描解析猴客戶侍端的涼域名蕩查詢斯請(qǐng)求陳。3．溫域名裂劫持域名嫩劫持絲式通常教是指蘋通過廢采用捆非法失手段澡獲得啊某一硬個(gè)域徑名管婦理員附的賬亦戶和躲密碼簡(jiǎn)，或載者域饑名管田理郵羊箱，陰然后負(fù)將該預(yù)域名頑的IP地址鋤指向吧其他碗的主影機(jī)（懇該主培機(jī)的IP地址配有可蝦能不潑存在刑）。制域名午被劫望持后礦，不口僅有枕關(guān)該衰域名剩的記曾錄會(huì)具被改批變，故甚至鵲該域扁名的義所有彩權(quán)可歪能會(huì)寺落到優(yōu)其他福人的兩手里倦。5.茫5.拌3策DN勉S安全加擴(kuò)展鹿（DN副SS念EC）1．DN腥SS惹EC的基斑本原縱理域名詢系統(tǒng)地安全揮擴(kuò)展預(yù)（DN位SS跳EC）是潤(rùn)在原枕有的播域名壩系統(tǒng)竊（DN膝S）上兵通過瓜公鑰埋技術(shù)圓，對(duì)DN記S中的養(yǎng)信息夫進(jìn)行梅數(shù)字竿簽名灘，從戒而提桐供DN杏S的安戲全認(rèn)請(qǐng)證和辰信息半完整致性檢活驗(yàn)。號(hào)具體昨原理耗為：發(fā)送酬方：首滋先使寧用Ha怒sh函數(shù)愈對(duì)要遲發(fā)送席的DN潔S信息良進(jìn)行師計(jì)算拜，得棵到固數(shù)定長(zhǎng)羊度的學(xué)“信出息摘趕要”旺；然辯后對(duì)惑“信栽息摘國(guó)要”棄用私螺鑰進(jìn)洪行加野密，判此過默程實(shí)作現(xiàn)了公對(duì)“雖信息誰摘要章”的川數(shù)字減簽名僚；最岸后將題要發(fā)凡送的DN渡S信息犬、該DN默S信息假的“桿信息棒摘要撿”以孔及該彎“信下息摘厚要”素的數(shù)峰字簽魄名，虜一起據(jù)發(fā)送唇出來跪。接收志方：首疤先采嗓用公高鑰系除統(tǒng)中抽的對(duì)浸應(yīng)公程鑰對(duì)抬接收脾到的耐“信違息摘爛要”流的數(shù)黎字簽異名進(jìn)隨行解林密，濕得到貴解密蒼后的昂“信氧息摘囑要”婆；接嫂著用蒜與發(fā)據(jù)送方孫相同冰的Ha輝sh函數(shù)塊對(duì)接碎收到尿的DN狂S信息腦進(jìn)行爭(zhēng)運(yùn)算鉛，得益到運(yùn)繩算后滅的“缸信息殼摘要逝”；凈最后希，對(duì)控解密當(dāng)后的賞“宣信息岸摘要詞”和度運(yùn)算腦后的倆“信響息摘療要”適進(jìn)行槐比較悠，如肉果兩獄者的救值相挪同，便就可吊以確商認(rèn)接仔收到煙的DN河S信息剪是完暢整的顏，即效是由列正確女的DN贊S服務(wù)盾器得疾到的符響應(yīng)蓬。2．DN郵SS襲EC的工遲作機(jī)造制如圖5-左34所示鍵的是怨一個(gè)DN膏SS拼EC系統(tǒng)泛的查環(huán)詢和窄應(yīng)答址過程向。其唉中，飲系統(tǒng)揉中的裙所有大客戶航端和饅服務(wù)追器都秋支持DN待SS普EC，區(qū)緣瑞域ab程c.隊(duì)cn的權(quán)般威名絕字服裙務(wù)器繞為au某th凳.a音bc姨.c青n，區(qū)桐域xy棚z.性ne很t的權(quán)賭威名乘字服散務(wù)器為為au貨th蠅.x秧yz矮.n潔et。圖5-技34秋D店NS的SE皺C(jī)系統(tǒng)倒的查縮慧詢和解應(yīng)答堆過程3．DN晌SS慰EC的應(yīng)掩用現(xiàn)鞠狀DN界SS論EC作為慕對(duì)目秋前DN賺S的安即全擴(kuò)泰展，漢可有招效地德防范DN暈S存在捎的各際種攻功擊，秒保證六客戶版端收尊到的DN貝S記錄謹(jǐn)?shù)恼骐`實(shí)性醉和完勇整性減。此底外，DN嘩SS孕EC與原暑有的DN散S具有火向下楚的兼油容性束，在到實(shí)現(xiàn)腦上具榴有可還行性植。但釣是，喬由于In梢te昨rn富et的特德殊性價(jià)，就孕像從IP充v4到IP殼v6的遷拴移一經(jīng)樣，滅從DN炭S到DN壤SS州EC的轉(zhuǎn)陷換不頑可能霧在短需期內(nèi)讓完成區(qū)，需節(jié)要一外個(gè)漸己進(jìn)的瞎過程套。可污以先陵有針賓對(duì)性御地建丈立一罩些安臨全區(qū)海域，稅如.c謙n、.n按et等，啦然后距再向裝其他提區(qū)域魂擴(kuò)展匠。當(dāng)搶整個(gè)In造te堆rn蠟et部署都了DN姥SS剝EC后，閣所有足的信草任將稿集中卵到根碎域下蠶。目前森在推林廣DN微SS漫EC上存撕在許秧多問駁題或鵲困難鄭：一繁是由蠟于整貪個(gè)In漏te劈燕rn飼et上的DN蜘S記錄士非常鳥龐大笛，如跡果要策部署瞧適用觀于整籮個(gè)In及te吼rn陽et的DN漢SS詳EC，需撕要投需入大撥量時(shí)疫間和董設(shè)備返投入織，同齊時(shí)還禁要得臂到所隔有區(qū)姿域服基務(wù)器英提供討商的奔支持筐；二望是DN痛SS灰EC只是同提供扛了對(duì)DN哀S記錄析真實(shí)巷性的輝驗(yàn)證團(tuán)，只稀是有投限的任程度洪上為存用戶爺通信狹的安耳全提寺供了享保證隔；三充是DN歇SS兄EC在DN反S請(qǐng)求惡和應(yīng)爭(zhēng)答中露添加冊(cè)了數(shù)裕字簽抗名，寸一方四面增絞加了虛通信凝的流錦量和稠復(fù)雜困性，染另一歸方面滅安全綱性主稼要依勞賴于掙公鑰證技術(shù)樓的安還全性廟，所齡以對(duì)婆于DN薄SS眨EC系統(tǒng)醋來說艙是否則會(huì)存擾在新監(jiān)的安準(zhǔn)全問鵝題也率是一校個(gè)未輝知數(shù)麗。6.鉛1計(jì)算亞機(jī)病蘇毒概嬸述6.揚(yáng)1.疫1計(jì)算炎機(jī)病捷毒的什概念計(jì)算擾機(jī)病岔毒（vi勤ru秒s）的漠傳統(tǒng)誦定義鄙是指欺人為惱編制弱或在鄰計(jì)算場(chǎng)機(jī)程問序中宏插入役的破旅壞計(jì)蜜算機(jī)輪功能膨或者回毀壞捉數(shù)據(jù)萬、影肯響計(jì)賀算機(jī)凳使用萌、并曉能自騰我復(fù)隙制的雹一組母計(jì)算升機(jī)指余令或父者程斬序代汽碼。悶現(xiàn)在賊計(jì)算旋機(jī)病閣毒的渴定義春已遠(yuǎn)豬遠(yuǎn)超金出了攤以上慰的定密義，涉其中露破壞偵的對(duì)暮象不嚇僅僅適是計(jì)刑算機(jī)愚，同罵時(shí)還倘包括耐交換洞機(jī)、運(yùn)路由播器等燃網(wǎng)絡(luò)管設(shè)備誰；影賀響的桿不僅鵲僅是成計(jì)算譜機(jī)的凝使用呢，同槍時(shí)還氧包括枯網(wǎng)絡(luò)責(zé)的運(yùn)夾行性系能。潮就像票許多嘴生物端病毒撐具有騰傳染畏性一霉樣，融絕大誤多數(shù)吸計(jì)算朵機(jī)病礙毒具袍有獨(dú)焦特的平復(fù)制爛能力逝和感填染良盆性程書序的脾特性愛。6.墾1.擊2計(jì)算激機(jī)病振毒的腦特征1．椒非授西權(quán)可算執(zhí)行疤性由于疊計(jì)算雁機(jī)病哥毒具飛有正浸常程便序的撲一切獵特性腐：可霉存儲(chǔ)扇性和聚可執(zhí)嘗行性翁，當(dāng)魂計(jì)算剖機(jī)病遼毒隱暢藏在信合法女的程角序或量數(shù)據(jù)抄中，喘在用鹿戶運(yùn)越行正改常程贏序時(shí)殖，病短毒便驢會(huì)伺尸機(jī)竊淺取到紀(jì)系統(tǒng)暗的控刺制權(quán)畫，并追得以滋搶先澇運(yùn)行挖。2．揚(yáng)隱蔽酒性計(jì)算籍機(jī)病盈毒是雖一種拜由編簡(jiǎn)程人英員編糠寫的淘短小婆精悍周的可鹽執(zhí)行狗程序觀。它箱通常莊附著尺在正蠅常程邀序或階磁盤鎖的引江導(dǎo)扇廢區(qū)中精，同測(cè)時(shí)也伏會(huì)存怕儲(chǔ)在稍表面都上看大似損鋤壞的片磁盤疊扇區(qū)撓中，揚(yáng)因此湯計(jì)算許機(jī)病庫毒具艦有非否法可頂存儲(chǔ)金性。3．傳宴染性傳染碗性是填計(jì)算括機(jī)病題毒最獄重要斃的特您征，么也是安各類怪查病揮毒軟口件判贊斷一軋段程研序代再碼是淹否為跑計(jì)算業(yè)機(jī)病鋸毒的冒一個(gè)返重要濟(jì)依據(jù)僑。病厘毒程佩序一主旦侵揮入計(jì)良算機(jī)核系統(tǒng)拳就開鵲始搜膽索可械以傳豪染的奶程序甜或者濫磁介乳質(zhì)，蜓然后慢通過遭自我孫復(fù)制租迅速蟻進(jìn)行亭傳播骨。4．墨潛伏仇性計(jì)算提機(jī)病珍毒具創(chuàng)有依潮附于系其他味程序蝦的能旦力，口所以鼻計(jì)算掏機(jī)病柳毒具朱有寄居生能模力。剩將用棗于寄拳生計(jì)丑算機(jī)喇病毒盲的程昨序（幕良性霸程序習(xí)）稱疫之為西計(jì)算坦機(jī)病致毒的琴宿主擴(kuò)。5．駁破壞呈性無論僚是何厚種病新毒程渣序，蠟一旦等侵入意計(jì)算紐奉機(jī)系作統(tǒng)都授會(huì)對(duì)衫操作似系統(tǒng)斃的運(yùn)沃行造謊成不龜同程占度的擦影響枝。即湊使不緒直接杏產(chǎn)生粒破壞如作用勢(shì)的病傭毒程膊序也揪要占辱用系蝦統(tǒng)的景資源恒（如粱內(nèi)存瞧空間少、磁嫌盤存粥儲(chǔ)空串間等肢）。6．遷可觸咳發(fā)性計(jì)算羊機(jī)病逼毒一室般都選有一確個(gè)或鈔者幾坐個(gè)觸瀉發(fā)條警件，幻玉當(dāng)滿暮足該害觸發(fā)刪條件仔后計(jì)跨算機(jī)帖病毒援便會(huì)獵開始罰發(fā)作比。6.漁1.丹3計(jì)算主機(jī)病危毒的丙分類1．杯文件獨(dú)傳染回源病全毒文件騎傳染政源病猾毒感要染程謎序文詠件。環(huán)這些麻病毒阻通常播感染政可執(zhí)些行代碰碼，觸例如.c橫om和.e賺xe文件晴等。2．板引導(dǎo)悶扇區(qū)昌病毒引導(dǎo)栽扇區(qū)析病毒催感染撇磁盤己的系椒統(tǒng)區(qū)舍域，月即軟聲盤、U盤和行硬盤蓮的引眾導(dǎo)記托錄。3．構(gòu)主引誦導(dǎo)記過錄病臭毒主引蓄導(dǎo)記勉錄病賀毒是螞內(nèi)存野駐留粒型病箏毒，冊(cè)它感萌染磁柔盤的谷方式師與引息導(dǎo)扇朗區(qū)病真毒相痕同。腔這兩泊種病什毒類思型的除區(qū)別持在于碑病毒努代碼助的位填置。4．隸復(fù)合版型病守毒復(fù)合帆型病滴毒同歉時(shí)感蒙染引火導(dǎo)記郊錄和擁程序殿文件淺，并婆且被債感染怪的記礎(chǔ)錄和泳程序嶄較難懶修復(fù)備。5．挺宏病示毒宏病沙毒是侮目前罪最常計(jì)見的甚病毒漏類型頭，它游主要滲感染稿數(shù)據(jù)嗎文件帝。隨看著Mi殃cr夸os矩of杜t明Of傲fi努ce攀9鞏7中Vi慌su鬧al渡B毫as敘ic的出霧現(xiàn)，李編寫兵的宏副病毒隊(duì)不僅滾可以統(tǒng)感染液數(shù)據(jù)陸文件煉，還浴可以淡感染裳其他切文件鹽。宏截病毒潛可以因感染Mi海cr派os紀(jì)of編t健Of婚fi昆ce參W幟or拋d、Ex療ce洲l、Po把we境rP害oi常nt和Ac扁ce獄ss文件救?，F(xiàn)楊在，遣這類者新威塑脅也石出現(xiàn)熟在其膨他程淋序中性。6.與4.紡2木馬巷的隱成藏方嚇式1．拍在“層任務(wù)鼠欄”清里隱臟藏這是狹木馬圖最常汪采用軟的隱攪藏方政式。歇為此迫，如毛果用蜘戶在Wi魯nd航ow喉s的“壟任務(wù)號(hào)欄”謎里發(fā)虧現(xiàn)莫竿名其疼妙的坊圖標(biāo)制，應(yīng)駝懷疑勸可能給是木鈔馬程擊序在車運(yùn)行冶。但溉現(xiàn)在課的許蜻多木渣馬程寄序已鋒實(shí)現(xiàn)哭了在相任務(wù)增欄中策的隱右藏，廁當(dāng)木冰馬運(yùn)顯行時(shí)腸已不贏會(huì)在哪任務(wù)雹欄中云顯示摸其程曉序圖采標(biāo)。2．在南“任民務(wù)管贈(zèng)理器撿”里扔隱藏在任魔務(wù)欄圾的空狠白位仙置單踏擊鼠薦標(biāo)右岡鍵，煙在出暖現(xiàn)的姓快捷供菜單根中選正擇“懸任務(wù)置管理斬器”薄，打筐開其彩“進(jìn)拍程”坐列表碎，就修可以肉查看衰正在獨(dú)運(yùn)行桶的進(jìn)聾程。3．隱輩藏通君信方嫁式隱藏屬通信裝也是導(dǎo)木馬抗經(jīng)常柳采用完的手鼻段之踩一。年這種脾連接倚一般區(qū)有直衫接連砍接和編間接買連接棉兩種玻方式躁，其損中“良直接嗎連接毀”是岸指攻膀擊者戚通過困客戶截端直阿接接陵人植惠有木爬馬的找主機(jī)深（服錦務(wù)器鴨端）慮；而且“間草接連店接”權(quán)即是睛如通普過電誓子郵斧件、貸文件蘋下載化等方鹽式，醒木馬島把侵崇入主延機(jī)的靈敏感妙信息救送給漏攻擊渣者。4．寇隱藏距加載混方式木馬嘉在植圾入主蔥機(jī)后紹如果正不采夠取一叛定的烤方式終運(yùn)行妨也就疫等于描在用宜戶的碰計(jì)算衛(wèi)機(jī)上半拷入排了一白個(gè)無酒用的羅文件郵，為透此在暢木馬愧值入誰主機(jī)夏后需塑要司豪機(jī)運(yùn)戴行。5．通波過修呼改系賺統(tǒng)配雙置文副件來魔隱藏木馬蟻可以逼通過榜修改VX圓D（虛隆擬設(shè)費(fèi)備驅(qū)貿(mào)動(dòng)程幻玉序）但或DL宣L（動(dòng)帶態(tài)鏈巷接庫舟）文君件來掩加載爭(zhēng)木馬輔。6．彼具有怠多重近備份萄功能現(xiàn)在賭許多掩木馬衡程序圖已實(shí)饅現(xiàn)了熱模塊批化，謠其中搏一些拜功能舌模塊烘已不畝再由撇單一躬的文擴(kuò)件組窩成，媽而是齡具有導(dǎo)多重趣備份疫，可撈以相撈互恢鬼復(fù)。嗚當(dāng)用緞戶刪正除了醬其中撤的一恒個(gè)模范塊文清件時(shí)腿，其哲他的暗備份泛文件擇就會(huì)蜓立即告運(yùn)行鼠。這搶類木仍馬很盼難防捧治。6.蒜4.獻(xiàn)3木馬忘的種擺類1．烏遠(yuǎn)程這控制白型木班馬遠(yuǎn)程柜控制鉛型木允馬一尼般集射成了悔其他水木馬僅和遠(yuǎn)遼程控倒制軟弄件的答功能雅，實(shí)題現(xiàn)對(duì)狗遠(yuǎn)程笑主機(jī)籠的入飽侵和戰(zhàn)控制趙，包種括訪估問系貝統(tǒng)的威文件模，截失取主認(rèn)機(jī)用掘戶的將私人遣信息息（包蠶括系吳統(tǒng)帳唉號(hào)、籠銀行懇賬號(hào)屯等）枯。2．且密碼訪發(fā)送要型木煉?cǎi)R密碼亡發(fā)送擊型木梅馬是狡專門織為了生竊取衰別人墊計(jì)算晌機(jī)上臭的密竹碼而魔編寫吵的，蛇木馬躍一旦分被執(zhí)糊行，規(guī)就會(huì)侮自動(dòng)械搜索渠內(nèi)存凱、Ca縱ch秧e、臨教時(shí)文的件夾頸以及處其他孔各種客包含酸有密宰碼的璃文件傳。3．鍵茄盤記斗錄型武木馬鍵盤裹記錄沖型木敢馬的晉設(shè)計(jì)橫目的我主要激是用包于記靈錄用秧戶的阿鍵盤測(cè)敲擊嚴(yán)，并榨且在咱日志傾文件糞（lo構(gòu)g文件羞）中異查找神密碼父。該嶺類木福馬分隊(duì)別記拖錄用禿戶在宮線和誼離線筒狀態(tài)遙下敲己擊鍵養(yǎng)盤時(shí)膏的按坦鍵信輸息。4．朗破壞嘴型木付馬破壞辮型木駛馬的真功能銷比較故單一印，即者破壞映已植工入木溪馬的閑計(jì)算期機(jī)上券的文返件系泛統(tǒng)，個(gè)輕則捉使重梁要數(shù)渠據(jù)被環(huán)刪除稈，重炮則使稅系統(tǒng)痕崩潰辦。5．Do繞S攻擊叛型木五馬隨著Do千S（De瘦ni逐al焰o暮f狂Se健rv替ic圈e，拒苗絕服飛務(wù)）側(cè)和DD您oS（Di飄st益ri戰(zhàn)bu陽te恐d震De日ni億al恭o渾f竹Se啊rv撿ic樹e，分窯布式肅拒絕愿服務(wù)款）攻嫁擊越爬來越復(fù)廣泛第的應(yīng)心用，幸與之米相伴驗(yàn)的Do舞S攻擊姑型木猶馬也鉛越來織越流超行。捉當(dāng)黑健客入柱侵了唯一臺(tái)霸主機(jī)番并植攀入了Do插S攻擊談型木臉馬，韻那么宏這臺(tái)躺主機(jī)崖就成幣為黑殖客進(jìn)欲行Do漂S攻擊愚的最擋得力顧助手諒。黑伙客控辰制的雅主機(jī)元越多紀(jì)，發(fā)舉起的Do肅S攻擊祥也就張?jiān)骄邠в衅普諌男运ァ?．?dāng)r代理擴(kuò)型木店馬代理孫型木叉馬被霧植入喪主機(jī)行后，黑像Do臭S攻擊記型木礎(chǔ)馬一悶樣，評(píng)該主暫機(jī)本壯身不倍會(huì)遭航到破須壞。7．FT壓P木馬FT皮P木馬糊使用梯了網(wǎng)另上廣炕泛使姻用的FT糊P功能車，通糧過FT蹈P使用各的TC恢P尸21端口類來實(shí)奸現(xiàn)主祥機(jī)之守間的趴連接新?，F(xiàn)咸在新巾型的FT啟P木馬足還加爐上了驢密碼將功能桂，這芒樣只斗有攻抖擊者塌本人瞇才知孝道正庫確的應(yīng)密碼供，從符而進(jìn)號(hào)入對(duì)予方的念計(jì)算柄機(jī)。8．豪程序錢殺手骨木馬程序釀殺手革木馬俗的功臺(tái)能就潛是關(guān)任閉對(duì)端方計(jì)非算機(jī)渣上運(yùn)畫行的丹某些流程序醒（多半為專桐門的先防病旅毒或松防木吩馬程帖序）松，讓甘其他叨的木呼馬安市全進(jìn)千入，軋實(shí)現(xiàn)蒜對(duì)主凳機(jī)的獲攻擊旗。9．童反彈逝端口稍型木遮馬反彈賀端口坐型木叼馬主存要是鞠針對(duì)議防火釣墻而尊設(shè)計(jì)拴的。頌反彈劍端口伯型木材馬的張服務(wù)耐端使械用主盤動(dòng)端元口，廈客戶其端使電用被傳動(dòng)端