《計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)》-項(xiàng)目六 網(wǎng)絡(luò)安全及網(wǎng)絡(luò)故障

項(xiàng)目六

網(wǎng)絡(luò)安全及網(wǎng)絡(luò)故障任務(wù)1網(wǎng)絡(luò)安全的基本概念任務(wù)2網(wǎng)絡(luò)攻擊技術(shù)任務(wù)3網(wǎng)絡(luò)防御技術(shù)任務(wù)4網(wǎng)絡(luò)故障診斷任務(wù)5常用網(wǎng)絡(luò)故障測(cè)試命令工具任務(wù)1網(wǎng)絡(luò)安全的基本概念任務(wù)引入小白QQ號(hào)被盜了，來(lái)找小東幫忙找回來(lái)，網(wǎng)絡(luò)安全的研究?jī)?nèi)容分成兩大體系：攻擊和防御。作為網(wǎng)絡(luò)工程師，掌握網(wǎng)絡(luò)安全是必須具備的技能。那么網(wǎng)絡(luò)安全的概念是什么，網(wǎng)絡(luò)安全面臨的主要威脅及什么樣的計(jì)算機(jī)網(wǎng)絡(luò)才能成為安全的呢，或者說(shuō)它的安全級(jí)別是什么？知識(shí)準(zhǔn)備一、網(wǎng)絡(luò)安全概述在最初幾十年中，計(jì)算機(jī)網(wǎng)絡(luò)主要被大學(xué)的研究人員用于發(fā)送電子郵件，以及被公司的員工用于共享打印機(jī)。在這樣的條件下，安全問(wèn)題并沒(méi)有得到足夠的關(guān)注。但現(xiàn)在，成千上百萬(wàn)的普通市民利用網(wǎng)絡(luò)來(lái)完成銀行事務(wù)處理、購(gòu)物和填寫(xiě)納稅單等活動(dòng)，因此，網(wǎng)絡(luò)安全逐漸成為一個(gè)巨大的潛在問(wèn)題。在本章中，我們將從幾個(gè)角度來(lái)學(xué)習(xí)網(wǎng)絡(luò)的安全問(wèn)題，并指出大量的缺陷，以及討論許多能使網(wǎng)絡(luò)更加安全的算法和協(xié)議。安全性是一個(gè)范圍很廣闊的話題，同時(shí)也涉及到大量的違法犯罪活動(dòng)。在最簡(jiǎn)單的形式中，它關(guān)心的是如何保證好事者們不能讀取或者（更糟的是）悄悄地修改給其他人的消息。它也涉及到有人企圖訪問(wèn)未經(jīng)授權(quán)的遠(yuǎn)程服務(wù)。二、網(wǎng)絡(luò)安全的定義網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講主要就是網(wǎng)絡(luò)上的信息安全，即要保障網(wǎng)絡(luò)上信息的保密性、完整性、可用性、可控性和真實(shí)性。計(jì)算機(jī)網(wǎng)絡(luò)的安全性主要包括網(wǎng)絡(luò)服務(wù)的可用性（Availability）、網(wǎng)絡(luò)信息的保密性（Confidentiaity）和網(wǎng)絡(luò)信息的完整性（Integrity）。從層次體系上，可以將網(wǎng)絡(luò)安全分成4個(gè)層次上的安全：物理安全，邏輯安全，操作系統(tǒng)安全和聯(lián)網(wǎng)安全。1．物理安全物理安全主要包括5個(gè)方面：防盜、防火、防靜電、防雷擊和防電磁泄漏。2．邏輯安全3．操作系統(tǒng)安全4．聯(lián)網(wǎng)安全（1）訪問(wèn)控制服務(wù)：用來(lái)保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源不被非授權(quán)使用。（2）通信安全服務(wù)：用來(lái)認(rèn)證數(shù)據(jù)機(jī)要性與完整性，以及各通信的可信賴(lài)性。三、網(wǎng)絡(luò)安全面臨的主要威脅計(jì)算機(jī)網(wǎng)絡(luò)的通信面臨兩大類(lèi)威脅，即主動(dòng)攻擊和被動(dòng)攻擊（見(jiàn)圖）。主動(dòng)攻擊是具有攻擊破壞性的一種攻擊行為，攻擊者是在主動(dòng)地做一些不利于你或你的公司系統(tǒng)的事情，會(huì)對(duì)你造成直接的影響。主動(dòng)攻擊按照攻擊方法不同，可分為中斷、篡改和偽造。被動(dòng)攻擊是一種在不影響正常數(shù)據(jù)通信的情況下，獲取由原站發(fā)送的目的站的有效數(shù)據(jù)，通過(guò)監(jiān)聽(tīng)到的有效數(shù)據(jù)，從而對(duì)網(wǎng)絡(luò)造成間接的影響，影響所傳數(shù)據(jù)的保密性，泄露數(shù)據(jù)信息，如只是被動(dòng)攻擊，不會(huì)對(duì)其傳輸造成直接的影響，不易監(jiān)測(cè)。被動(dòng)攻擊又分為2類(lèi)：（1）被動(dòng)的獲取消息的內(nèi)容；（2）對(duì)業(yè)務(wù)數(shù)據(jù)流分析。網(wǎng)絡(luò)安全主要威脅四、安全的計(jì)算機(jī)網(wǎng)絡(luò)人們一直希望能設(shè)計(jì)出一種安全的計(jì)算機(jī)網(wǎng)絡(luò)，但不幸的是，網(wǎng)絡(luò)的安全性是不可判定的。目前在安全協(xié)議的設(shè)計(jì)方面，主要是針對(duì)具體的攻擊設(shè)計(jì)安全的通信協(xié)議。但如何保證所設(shè)計(jì)出的協(xié)議是安全的？這可以使用兩種方法。一種是用形式化方法來(lái)證明，另一種是用經(jīng)驗(yàn)來(lái)分析協(xié)議的安全性。一個(gè)安全的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)該設(shè)法達(dá)到以下四個(gè)目標(biāo)：保密性端點(diǎn)鑒別信息的完整性運(yùn)行的安全性保密性：只有信息的發(fā)送方和接收方才能懂得所發(fā)送信息的內(nèi)容。是網(wǎng)絡(luò)安全通信的最基本的內(nèi)容，也是對(duì)付被動(dòng)攻擊必須具備的功能。為了使網(wǎng)絡(luò)具有保密性，需要使用各種密碼技術(shù)。端點(diǎn)鑒別：鑒別信息的發(fā)送方和接收方的真實(shí)身份。在對(duì)付主動(dòng)攻擊中是非常重要的。信息的完整性：信息的內(nèi)容未被篡改過(guò)。在應(yīng)對(duì)主動(dòng)攻擊中是必不可少的。信息的完整性與端點(diǎn)鑒別往往是不可分割的。在談到“鑒別”時(shí)，也同時(shí)包含了端點(diǎn)鑒別和報(bào)文完整性。運(yùn)行的安全性：系統(tǒng)能正常運(yùn)行并提供服務(wù)。訪問(wèn)控制（accesscontrol）對(duì)計(jì)算機(jī)系統(tǒng)的安全性是非常重要的。必須對(duì)訪問(wèn)網(wǎng)絡(luò)的權(quán)限加以控制，并規(guī)定每個(gè)用戶(hù)的訪問(wèn)權(quán)限。五、網(wǎng)絡(luò)安全的評(píng)價(jià)標(biāo)準(zhǔn)網(wǎng)絡(luò)安全評(píng)價(jià)標(biāo)準(zhǔn)中比較流行的是1985美國(guó)國(guó)防部指定的可信任計(jì)算機(jī)標(biāo)準(zhǔn)評(píng)價(jià)準(zhǔn)則TrustedComputerStandardsEvaluationCriteria，TCSEC），各國(guó)根據(jù)自己的國(guó)情也都制定了相關(guān)的標(biāo)準(zhǔn)1．我國(guó)評(píng)價(jià)標(biāo)準(zhǔn)1999年10月經(jīng)過(guò)國(guó)家質(zhì)量技術(shù)監(jiān)督局批準(zhǔn)發(fā)布的《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》將計(jì)算機(jī)安全保護(hù)劃分為以下5個(gè)級(jí)別。第1級(jí)為用戶(hù)自主保護(hù)級(jí)（GB1安全級(jí)）：第2級(jí)為系統(tǒng)審計(jì)保護(hù)級(jí)（GB2安全級(jí)）：第3級(jí)為安全標(biāo)記保護(hù)級(jí)（GB3安全級(jí)）：第4級(jí)為結(jié)構(gòu)化保護(hù)級(jí)（GB4安全級(jí)）：第5級(jí)為訪問(wèn)驗(yàn)證保護(hù)級(jí)（GB5安全級(jí)）：2．國(guó)際評(píng)價(jià)標(biāo)準(zhǔn)自從1985年橙皮書(shū)成為美國(guó)國(guó)防部的標(biāo)準(zhǔn)以來(lái)，就一直沒(méi)有改變過(guò)，多年以來(lái)一直是評(píng)估多用戶(hù)主機(jī)和小型操作系統(tǒng)的主要方法。其他子系統(tǒng)（如數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)）也一直用橙皮書(shū)來(lái)解釋評(píng)估。橙皮書(shū)把安全的級(jí)別從低到高分成4個(gè)類(lèi)別：D類(lèi)、C類(lèi)、B類(lèi)和A類(lèi)，每類(lèi)又分幾個(gè)級(jí)別。D級(jí)是最低的安全級(jí)別C1是C類(lèi)的一個(gè)安全子級(jí)。C2級(jí)除了包含CI級(jí)的特征外，應(yīng)該具有訪問(wèn)控制環(huán)境（ControlledAccessEnvironment）權(quán)力B級(jí)中有三個(gè)級(jí)別，B1級(jí)即標(biāo)志安全保護(hù)（LabeledSecurityProtection）B2級(jí)，又叫作結(jié)構(gòu)化保護(hù)（StructuredProtection）級(jí)別B3級(jí)，又叫作安全區(qū)域（SecurityDomain）級(jí)別A級(jí)，又稱(chēng)驗(yàn)證設(shè)計(jì)（VerifiedDesign）級(jí)別，是當(dāng)前橙皮書(shū)的最高級(jí)別安全級(jí)別設(shè)計(jì)必須從數(shù)學(xué)角度上進(jìn)行驗(yàn)證，而且必須進(jìn)行秘密通道和可信任分布分析。任務(wù)2網(wǎng)絡(luò)攻擊技術(shù)任務(wù)引入小東分析了小白QQ被盜的過(guò)程，推理出他可能是因?yàn)橛?jì)算機(jī)里被注入了木馬程序，小白不明白木馬是什么，小東就跟他講解了一下網(wǎng)絡(luò)攻擊的一些常用方式及各自的特點(diǎn)。知識(shí)準(zhǔn)備一、攻擊五部曲一次成功的攻擊，可以歸納成基本的五個(gè)步驟，但是根據(jù)實(shí)際情況可以隨時(shí)調(diào)整。歸納起來(lái)就是“黑客攻擊五部曲"。1．隱藏IP2．踩點(diǎn)掃描3．獲得系統(tǒng)或管理員權(quán)限4．種植后門(mén)5．在網(wǎng)絡(luò)中隱身二、網(wǎng)絡(luò)掃描掃描是進(jìn)行信息收集的一種必要工具，它可以完成大量的重復(fù)性工作，為使用者收集與系統(tǒng)相關(guān)的必要信息。對(duì)于黑客來(lái)講，掃描是攻擊系統(tǒng)時(shí)的有力助手；而對(duì)于管理員，掃描同樣具備檢查漏洞，提高安全性的重要作用。網(wǎng)絡(luò)掃描的原理是利用操作系統(tǒng)提供的Connect（）系統(tǒng)調(diào)用，與每一個(gè)感興趣的目標(biāo)計(jì)算機(jī)的端口進(jìn)行連接。如果端口處于工作狀態(tài)，那么Connect（）就能成功。這個(gè)技術(shù)的一個(gè)最大的優(yōu)點(diǎn)是，不需要任何權(quán)限，系統(tǒng)中的任何用戶(hù)都有權(quán)利使用這個(gè)調(diào)用。黑客攻擊五部曲中第2步踩點(diǎn)掃描中的掃描，一般分成兩種策略：一種是主動(dòng)式策略，另一種是被動(dòng)式策略。被動(dòng)式策略是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查。三、安全漏洞概述通常，網(wǎng)絡(luò)或主機(jī)中存在的安全漏洞是攻擊者成功地實(shí)施攻擊的關(guān)鍵。那么，什么是安全漏洞？安全漏洞產(chǎn)生的根源是什么？這些漏洞有哪些危害呢？1．安全漏洞的概念2．漏洞存在原因產(chǎn)品開(kāi)發(fā)周期短從技術(shù)角度來(lái)看，漏洞的來(lái)源主要有以下幾個(gè)方面：（1）軟件或協(xié)議設(shè)計(jì)時(shí)的瑕疵（2）軟件或協(xié)議實(shí)現(xiàn)中的弱點(diǎn)（3）軟件本身的瑕疵（4）系統(tǒng)和網(wǎng)絡(luò)的錯(cuò)誤配置3．漏洞的危害四、為什么進(jìn)行網(wǎng)絡(luò)掃描很多入侵者常常通過(guò)掃描來(lái)發(fā)現(xiàn)存活的目標(biāo)及其存在的安全漏洞，然后通過(guò)漏洞入侵目標(biāo)系統(tǒng)。為了解決安全問(wèn)題，網(wǎng)絡(luò)管理員也常借助掃描器對(duì)所管轄的網(wǎng)絡(luò)進(jìn)行掃描，以發(fā)現(xiàn)自身系統(tǒng)中的安全隱患和存在的棘手問(wèn)題，然后修補(bǔ)漏洞排除隱患。所以說(shuō)掃描是一把雙刃劍為了解決安全隱患和提高掃描效率，很多公司和開(kāi)發(fā)組織開(kāi)發(fā)了各種各樣的漏洞評(píng)估工具，這些漏洞評(píng)估工具也被稱(chēng)為掃描器，其種類(lèi)繁多、性能各異。掃描就是通過(guò)向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)報(bào)文、然后根據(jù)響應(yīng)獲得目標(biāo)主機(jī)的信息。根據(jù)掃描目的的不同，分類(lèi)：地址掃描、端口掃描、和漏洞掃描。四、為什么進(jìn)行網(wǎng)絡(luò)掃描很多入侵者常常通過(guò)掃描來(lái)發(fā)現(xiàn)存活的目標(biāo)及其存在的安全漏洞，然后通過(guò)漏洞入侵目標(biāo)系統(tǒng)。為了解決安全問(wèn)題，網(wǎng)絡(luò)管理員也常借助掃描器對(duì)所管轄的網(wǎng)絡(luò)進(jìn)行掃描，以發(fā)現(xiàn)自身系統(tǒng)中的安全隱患和存在的棘手問(wèn)題，然后修補(bǔ)漏洞排除隱患。所以說(shuō)掃描是一把雙刃劍為了解決安全隱患和提高掃描效率，很多公司和開(kāi)發(fā)組織開(kāi)發(fā)了各種各樣的漏洞評(píng)估工具，這些漏洞評(píng)估工具也被稱(chēng)為掃描器，其種類(lèi)繁多、性能各異。掃描就是通過(guò)向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)報(bào)文、然后根據(jù)響應(yīng)獲得目標(biāo)主機(jī)的信息。根據(jù)掃描目的的不同，分類(lèi)：地址掃描、端口掃描、和漏洞掃描。五、發(fā)現(xiàn)目標(biāo)的掃描如果將掃描比擬為收集情報(bào)的話，掃描目標(biāo)就是尋找突破口了。下面介紹基本的掃描技術(shù)和掃描技巧，利用這些技術(shù)和技巧可以確定目標(biāo)是否存活在網(wǎng)絡(luò)上，以及正在從事的工作類(lèi)型。該類(lèi)掃描目前主要有Ping掃描和ICMP查詢(xún)兩種。1．Ping掃描2．ICMP查詢(xún)3．TCP掃射和UDP掃射“開(kāi)始IP”和“結(jié)束IP”掃描完成查看主機(jī)存活情況六、探測(cè)開(kāi)放服務(wù)的端口掃描在找出網(wǎng)絡(luò)上存活的系統(tǒng)之后，入侵者下一步就是要得到目標(biāo)主機(jī)的操作系統(tǒng)信息和開(kāi)放的服務(wù)。端口掃播就是發(fā)送信息到目標(biāo)計(jì)算機(jī)的所需要掃描的端口，然后根據(jù)返回端口狀態(tài)來(lái)分析目標(biāo)計(jì)算機(jī)的端口是否打開(kāi)。（1）端口：80（HTTP）、21（FTP），25（SMTP）；標(biāo)準(zhǔn)端口：0-1023；非標(biāo)準(zhǔn)端口：1024-65535（木馬入侵端口）（2）端口掃描原理：向目標(biāo)主機(jī)的服務(wù)端口發(fā)送探測(cè)數(shù)居包、并記錄目標(biāo)主機(jī)的響應(yīng)。據(jù)此判斷端口是打開(kāi)還是關(guān)閉；（3）常見(jiàn)的端口掃描技術(shù)：TCPconnect（全連接掃描）、TCPSYN（半連接掃描）、秘密掃描等。如圖所示為端口掃描的分類(lèi)七、漏洞掃描漏洞掃描是使用漏洞掃描程序?qū)δ繕?biāo)系統(tǒng)進(jìn)行信息查詢(xún)，通過(guò)漏洞掃描，可以發(fā)現(xiàn)系統(tǒng)中存在的不安全的地方。針對(duì)各種服務(wù)的漏洞是一個(gè)龐大的數(shù)字，在2001年一年中，僅微軟就針對(duì)自己的產(chǎn)品一共發(fā)布了上百個(gè)安全漏洞，而其中接近一半都是11S漏洞。這些龐天的漏洞全部由手工檢測(cè)是非常困難的。（1）漏洞掃描技術(shù)的原理漏洞掃描主要通過(guò)以下兩種方法來(lái)檢查目標(biāo)主機(jī)是否存在漏洞：在端口掃描后得知目標(biāo)主機(jī)開(kāi)啟的端口以及端口上的網(wǎng)絡(luò)服務(wù)，將這些相關(guān)信息與網(wǎng)絡(luò)漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，查看是否有滿(mǎn)足匹配條件的漏洞存在；通過(guò)模擬黑客的攻擊手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱勢(shì)口令等。若模擬攻擊成功，則表明目標(biāo)主機(jī)系統(tǒng)存在安全漏洞。（2）漏洞掃描技術(shù)的分類(lèi)和實(shí)現(xiàn)方法基于網(wǎng)絡(luò)系統(tǒng)漏洞庫(kù)，漏洞掃描大體包括：CG1漏洞掃描、POP3漏洞掃描、FTP漏洞掃描、SSH漏洞掃描、HTTP漏洞掃描等，這些漏洞掃描基于漏洞庫(kù)，將掃描結(jié)果與漏洞庫(kù)相關(guān)數(shù)據(jù)匹配比較得到漏洞信息。漏洞掃描還包括沒(méi)有相應(yīng)漏洞庫(kù)的各種掃描，比如Unicode遍歷目錄漏洞探測(cè)、FTP弱勢(shì)密碼探測(cè)、OPENRelay郵件轉(zhuǎn)發(fā)漏洞探測(cè)等，這些掃描通過(guò)使用插件（功能模塊技術(shù)）進(jìn)行模擬攻擊，測(cè)試出目標(biāo)主機(jī)的漏洞信息。九、Hub和網(wǎng)卡的工作原理以太網(wǎng)等很多網(wǎng)絡(luò)是基于總線方式的，物理上是廣播的，就是當(dāng)一臺(tái)機(jī)器向另一臺(tái)機(jī)器發(fā)送數(shù)據(jù)時(shí)，共享Hub先接收數(shù)據(jù)，然后再把它接收到的數(shù)據(jù)轉(zhuǎn)發(fā)給Hub上的其它每一個(gè)接口，所以在共享Hub所連接的同一網(wǎng)段的所有機(jī)器的網(wǎng)卡都能接收到數(shù)據(jù)。而對(duì)于交換機(jī)，其內(nèi)部程序能夠記住每個(gè)接口的MAC地址，能夠?qū)⒔邮盏降臄?shù)據(jù)直接轉(zhuǎn)發(fā)到相應(yīng)接口上的計(jì)算機(jī)，不像共享Hub那樣發(fā)給所有的接口，所以交換式網(wǎng)絡(luò)環(huán)境下只有相應(yīng)的機(jī)器能夠接收到數(shù)據(jù)（除了廣播包）。十、網(wǎng)絡(luò)監(jiān)聽(tīng)的工作原理計(jì)算機(jī)網(wǎng)絡(luò)與電話電路不同，計(jì)算機(jī)網(wǎng)絡(luò)是共享通信通道。共享意味著計(jì)算機(jī)能夠接收到發(fā)送給其它計(jì)算機(jī)的信息。通常情況下，用戶(hù)并不直接和網(wǎng)絡(luò)底層打交道，一般用戶(hù)不能直接把網(wǎng)卡設(shè)成混雜模式，只有超級(jí)用戶(hù)才有這個(gè)權(quán)限。十一、網(wǎng)絡(luò)監(jiān)聽(tīng)的預(yù)防和檢測(cè)為了達(dá)到良好的嗅探效果，入侵者一般將嗅探器放置在被攻擊機(jī)器或網(wǎng)絡(luò)附近，這樣才能捕獲到很多口令，還有一個(gè)常見(jiàn)的方法就是放在網(wǎng)關(guān)上。如果嗅探器運(yùn)行在路由器上，或有路由功能的主機(jī)上，這樣就能捕獲到更多的口令。通常是入侵者進(jìn)入目標(biāo)系統(tǒng)后，使用嗅探這種攻擊手段來(lái)獲得更多信息。十二、網(wǎng)絡(luò)入侵1．社會(huì)工程學(xué)攻擊目前社會(huì)工程學(xué)攻擊主要包括兩種方式：打電話請(qǐng)求密碼和偽造E-mail.（1）打電話請(qǐng)求密碼。（2）偽造E-mail。2．物理攻擊與防范物理安全的目的是保護(hù)一些比較重要的設(shè)備不被接觸。物理安全比較難防，因?yàn)楣敉鶃?lái)自能夠接觸到物理設(shè)備的用戶(hù)。3．獲取管理員密碼系統(tǒng)管理員登錄系統(tǒng)以后，離開(kāi)計(jì)算機(jī)時(shí)沒(méi)有鎖定計(jì)算機(jī)，或者直接以自己的賬號(hào)登錄，然后讓別人使用，這是非常危險(xiǎn)的，因?yàn)榭梢暂p易獲取管理員密碼。4．權(quán)限提升有時(shí)管理員為了安全，給其他用戶(hù)建立一個(gè)普通用戶(hù)賬號(hào)，認(rèn)為這樣就安全了。5．暴力攻擊暴力攻擊的一個(gè)具體例子是，一個(gè)黑客試圖使用計(jì)算機(jī)和信息去破解一個(gè)密碼。6．字典文件一次字典攻擊能否成功，很大因素上決定于字典文件。十三、拒絕服務(wù)攻擊DDoS（DistributedDenialofService）攻擊稱(chēng)為分布式拒絕服務(wù)，攻擊者利用已經(jīng)侵入并控制的主機(jī)，對(duì)某一單機(jī)發(fā)起攻擊，被攻擊者控制著的計(jì)算機(jī)有可能是數(shù)百臺(tái)機(jī)器。在懸殊的帶寬力量對(duì)比下，被攻擊的主機(jī)會(huì)很快失去反應(yīng)，無(wú)法提供服務(wù)，從而達(dá)到攻擊的目的。實(shí)踐證明，這種攻擊方式是非常有效的，而且難以抵擋。1．DDos的特點(diǎn)一個(gè)簡(jiǎn)單的字典文件2．攻擊手段攻擊過(guò)程實(shí)施的順序?yàn)椋汗粽咭恢骺囟朔植级艘荒繕?biāo)主機(jī)。發(fā)動(dòng)DDoS攻擊分為兩個(gè)階段。（1）初始的大規(guī)模入侵階段：（2）大規(guī)模DDos攻擊階段：3．DDos的著名攻擊工具（1）trin001999年6月trin00工具出現(xiàn)trin00由三部分組成：（1）客戶(hù)端/攻擊者（Client），（2）主控端Master），（3）分布端/代理端（Agent）。（2）TFN（3）Stacheldraht

DDos攻擊的結(jié)構(gòu)4．TFN2K（1）主控端和代理端之間進(jìn)行加密傳輸，其間還混雜一些發(fā)往任意地址的無(wú)關(guān)的包從而達(dá)到迷惑的目的，增加了分析和監(jiān)視的難度。（2）主控端和代理端之間的通信可以隨機(jī)地選擇不同協(xié)議完成（TCP，UDP，ICMP），代理端也可以隨機(jī)選擇不同的攻擊手段（TCP/SYN，UDP，ICMP/PING，BROADCASTPING/SMURF等）來(lái)攻擊目標(biāo)受害主機(jī)。（3）所有從主控端或代理端發(fā)送出的包都使用IP地址欺騙來(lái)隱藏源地址。（4）與TFN不同，TFN2K的代理端是完全沉默的，它不響應(yīng)來(lái)自主控端的命令。（5）與TFN和Stacheldraht不同，TFN2K的命令不是基于字符串的。（6）使用Base64編碼所有加密數(shù)據(jù)，代理端在解碼前會(huì)進(jìn)行完整性檢查。（7）代理端會(huì)針對(duì)每個(gè)目標(biāo)主機(jī)的每一次攻擊產(chǎn)生一個(gè)進(jìn)程。（8）代理端通過(guò)改變argy10]來(lái)改變進(jìn)程名，從而掩蓋自己的存在。（9）TFN2K可以很容易地在各個(gè)不同的平臺(tái)上移植。十四、木馬1．木馬概述木馬全稱(chēng)為特洛伊木馬（TrojanHorse，簡(jiǎn)稱(chēng)Trojan）。2．木馬的特征（1）不需要得到服務(wù)端用戶(hù)的允許就能獲得系統(tǒng)的使用權(quán)（2）程序體積十分?。ㄈ鐕?guó)產(chǎn)的冰河400K左右），執(zhí)行時(shí)不會(huì)占太多的資源（3）很難停止它的活動(dòng)（4）執(zhí)行時(shí)不會(huì)在系統(tǒng)中顯示出來(lái)（5）一次啟動(dòng)后就會(huì)自動(dòng)登錄在系統(tǒng)的啟動(dòng)區(qū)，在每次系統(tǒng)的啟動(dòng)中都能自動(dòng)運(yùn)行（6）一次執(zhí)行后會(huì)自動(dòng)更換文件名，使之難以發(fā)現(xiàn)（7）一次執(zhí)行后會(huì)自動(dòng)復(fù)制到其他的文件夾中（8）服務(wù)端用戶(hù)無(wú)法顯示其執(zhí)行的動(dòng)作3．木馬的工作原理木馬一般由兩部分組成，服務(wù)器端和客戶(hù)端。4．木馬的工作原理客戶(hù)端/服務(wù)端之間采用TCP/UDP的通信方式，攻擊者控制的是相應(yīng)的客戶(hù)端程序，服務(wù)器端程序是木馬程序，木馬程序被植人到毫不知情的用戶(hù)的計(jì)算機(jī)中。5．木馬攻擊步驟（1）配置木馬1）木馬偽裝：2）信息反饋：（2）傳播木馬（3）啟動(dòng)木馬（4）建立連接（5）遠(yuǎn)程控制十五、惡意代碼代碼是指計(jì)算機(jī)程序代碼，可以被執(zhí)行完成特定功能。任何事物都有正反兩面，人類(lèi)發(fā)明的所有工具既可造福也可作孽，這完全取決于使用工具的人。計(jì)算機(jī)程序也不例外，軟件工程師們編寫(xiě)了大量的有用的軟件（操作系統(tǒng)，應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)等）的同時(shí)，黑客們?cè)诰帉?xiě)擾亂社會(huì)和他人的計(jì)算機(jī)程序，這些代碼統(tǒng)稱(chēng)為惡意代碼（MaliciousCodes）。1．研究惡意代碼的必要性2．惡意代碼長(zhǎng)期存在的原因（1）系統(tǒng)漏洞層出不窮（2）利益驅(qū)使3．惡意代碼的定義4．惡意代碼攻擊機(jī)制（1）侵入系統(tǒng)。（2）維持或提升現(xiàn)有特權(quán)。（3）隱蔽策略。（4）潛伏。（5）破壞。（6）重復(fù)（1）至（5）對(duì)新的目標(biāo)實(shí)施攻擊過(guò)程。惡意代碼的攻擊模型任務(wù)3網(wǎng)絡(luò)防御技術(shù)任務(wù)引入現(xiàn)在小白了解了網(wǎng)絡(luò)攻擊的幾種方式，小東接下給他介紹針對(duì)各種方式，應(yīng)該如何防范呢，也就是網(wǎng)絡(luò)防御技術(shù)。網(wǎng)絡(luò)防御技術(shù)分為本身操作系統(tǒng)安全，防火墻及未雨綢繆的入侵檢測(cè)。知識(shí)準(zhǔn)備一、操作系統(tǒng)安全基礎(chǔ)1．常用操作系統(tǒng)概述目前服務(wù)器常用的操作系統(tǒng)有Linux和Window，這些操作系統(tǒng)都是符合C2以上安全級(jí)別的操作系統(tǒng)，但是都存在少漏洞，如果對(duì)這些漏洞不了解，不采取相應(yīng)的安全措施，就會(huì)使操作系統(tǒng)完全暴露給入侵者。（1）Linux操作系統(tǒng)（2）Windows操作系統(tǒng)1）支持多種網(wǎng)絡(luò)協(xié)議。2）內(nèi)置Internet功能。3）支持NTFS文件系統(tǒng)。2．安全操作系統(tǒng)的基本概念安全操作系統(tǒng)涉及很多概念，如主體和客體、安全策略和安全模型、訪問(wèn)監(jiān)控器和安全內(nèi)核及可信計(jì)算基。（1）主體和客體（2）安全策略和安全模型（3）訪問(wèn)監(jiān)控器和安全內(nèi)核引用驗(yàn)證機(jī)制需要同時(shí)滿(mǎn)足以下三個(gè)原則：1）必須具有自我保護(hù)能力；2）必須總是處于活躍狀態(tài)：3）必須設(shè)計(jì)得足夠小，以利于分析和測(cè)試，從而能夠證明它的實(shí)現(xiàn)是正確的。3．安全操作系統(tǒng)的機(jī)制安全操作系統(tǒng)的機(jī)制包括：硬件安全機(jī)制，操作系統(tǒng)的安全標(biāo)識(shí)與鑒別，訪問(wèn)控制、最小特權(quán)管理、可信通路和安全審計(jì)。（1）存儲(chǔ)保護(hù)（2）運(yùn)行保護(hù)（3）I/O保護(hù)訪問(wèn)監(jiān)控器的控制思想4．代表性的安全模型安全模型就是對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單、抽象和無(wú)歧義的描述，它為安全策略和它的實(shí)現(xiàn)機(jī)制之間的關(guān)聯(lián)提供了一種框架。安全模型描述了對(duì)某個(gè)安全策略需要用哪種機(jī)制來(lái)滿(mǎn)足。5．操作系統(tǒng)安全體系結(jié)構(gòu)建立一個(gè)計(jì)算機(jī)系統(tǒng)往往需要滿(mǎn)足許多要求，如安全性要求、性能要求、可擴(kuò)展性要求、容量要求、使用的方便性要求和成本要求等，這些要求往往是有沖突的，為了把它們協(xié)調(diào)地納入一個(gè)系統(tǒng)中并有效實(shí)現(xiàn)，對(duì)所有的要求都予以最大可能滿(mǎn)足通常是很困難的，有時(shí)也是不可能的。一個(gè)計(jì)算機(jī)系統(tǒng)的安全體系結(jié)構(gòu)，特別是安全操作系統(tǒng)，主要包含如下4方面的內(nèi)容。（1）詳細(xì)描述系統(tǒng)中安全相關(guān)的所有方面，包括系統(tǒng)可能提供的所有安全服務(wù)及保護(hù)系統(tǒng)自身安全的所有安全措施，描述方式可以用自然語(yǔ)言，也可以用形式語(yǔ)言。（2）在一定的抽象層次上描述各個(gè)安全相關(guān)模塊之間的關(guān)系。（3）提出指導(dǎo)設(shè)計(jì)的基本原理。根據(jù)系統(tǒng)設(shè)計(jì)的要求及工程設(shè)計(jì)的理論和方法，明確系統(tǒng)設(shè)計(jì)的各方面的基本原則。（4）提出開(kāi)發(fā)過(guò)程的基本框架及對(duì)應(yīng)于該框架體系的層次結(jié)構(gòu)。二、防火墻1．防火墻的概念及作用網(wǎng)絡(luò)防火墻簡(jiǎn)稱(chēng)防火墻，當(dāng)然，既然打算由淺入深的來(lái)了解，就要先看看防火墻的概念了。防火墻是汽車(chē)中一個(gè)部件的名稱(chēng)。在汽車(chē)中，利用防火墻把乘客和引擎隔開(kāi)，以便汽車(chē)引擎一旦著火，防火墻不但能保護(hù)乘客安全，而同時(shí)還能讓司機(jī)繼續(xù)控制引擎。再電腦術(shù)語(yǔ)中，當(dāng)然就不是這個(gè)意思了，我們可以類(lèi)比來(lái)理解，在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)（如Internet）分開(kāi)的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時(shí)將你“不同意”的人和數(shù)據(jù)拒之門(mén)外，最大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò)。（1）防火墻的功能（2）什么是防火墻（3）ICF工作原理（4）防火墻的種類(lèi)2．防火墻主要類(lèi)型（1）網(wǎng)絡(luò)層防火墻（2）應(yīng)用層防火墻（3）數(shù)據(jù)庫(kù)防火墻2．防火墻主要類(lèi)型（1）網(wǎng)絡(luò)層防火墻（2）應(yīng)用層防火墻（3）數(shù)據(jù)庫(kù)防火墻三、入侵檢測(cè)入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對(duì)系統(tǒng)資源的非授權(quán)使用能夠做出及時(shí)的判斷、記錄和報(bào)警。入侵者可分為兩類(lèi)：外部入侵者和內(nèi)部入侵者。外部入侵者一般指來(lái)自局域網(wǎng)外的非法用戶(hù)和訪問(wèn)受限制資源的內(nèi)部用戶(hù)：內(nèi)部入侵者指假扮或其他有權(quán)訪問(wèn)敏感數(shù)據(jù)的內(nèi)部用戶(hù)或者是能夠關(guān)閉系統(tǒng)審計(jì)的內(nèi)部用戶(hù)，內(nèi)部入侵者不僅難以發(fā)現(xiàn)而且更具有危險(xiǎn)性。入侵檢測(cè)是一種增強(qiáng)系統(tǒng)安全的有效方法，能檢測(cè)出系統(tǒng)中違背系統(tǒng)安全性規(guī)則或者威脅到系統(tǒng)安全的活動(dòng)。1．入侵檢測(cè)系統(tǒng)面臨的挑戰(zhàn)沒(méi)有一個(gè)入侵檢測(cè)能避免誤報(bào)，因?yàn)闆](méi)有一個(gè)應(yīng)用系統(tǒng)不會(huì)發(fā)生錯(cuò)誤，原因主要有4個(gè)方面。（1）缺乏共享數(shù)據(jù)的機(jī)制。（2）缺乏集中協(xié)調(diào)的機(jī)制。（3）缺乏揣摩數(shù)據(jù)在一段時(shí)間內(nèi)變化的能力。（4）缺乏有效的跟蹤分析。2．入侵檢測(cè)的方法（1）靜態(tài)配置分析（2）異常性檢測(cè)方法（3）基于行為的檢測(cè)方法3．入侵檢測(cè)的步驟（1）信息收集（2）數(shù)據(jù)分析1）異常入侵檢測(cè)

2）濫用入侵檢測(cè)3）異常入侵檢測(cè)與濫用入侵檢測(cè)的優(yōu)缺點(diǎn)4．響應(yīng)（1）將分析結(jié)果記錄在日志文件中，并產(chǎn)生相應(yīng)的報(bào)告。（2）觸發(fā)警報(bào)，如在系統(tǒng)管理員的桌面上產(chǎn)生一個(gè)告警標(biāo)志位，向系統(tǒng)管理員發(fā)送傳呼或電子郵件，等等。（3）修改入侵檢測(cè)系統(tǒng)或目標(biāo)系統(tǒng)，如終止進(jìn)程、切斷攻擊者的網(wǎng)絡(luò)連接或更改防火墻配置等。任務(wù)4網(wǎng)絡(luò)故障診斷任務(wù)引入小白近期上網(wǎng)時(shí)網(wǎng)絡(luò)經(jīng)常時(shí)斷時(shí)續(xù)，有時(shí)卡的不行，宿舍同學(xué)也是這種情況，于是過(guò)來(lái)找小東看是不是自己電腦又被攻擊了。小東過(guò)去檢查了一下，發(fā)現(xiàn)是僅僅是網(wǎng)絡(luò)故障。那么一般故障排除的流程是什么？故障排除的工具又有哪些呢？知識(shí)準(zhǔn)備一、網(wǎng)絡(luò)故障診斷在排除網(wǎng)絡(luò)中出現(xiàn)的故障時(shí)，使用非系統(tǒng)化的方法可能會(huì)浪費(fèi)大量寶貴的時(shí)間及資源，事倍功半，使用系統(tǒng)化的方法往往更為有效。系統(tǒng)化的方法流程如下：定義特定的故障現(xiàn)象，根據(jù)特定現(xiàn)象推斷出可能發(fā)生故障的所有潛在問(wèn)題，直到故障現(xiàn)象不再出現(xiàn)為止。圖給出了一般故障排除模型的處理流程。這一流程并不是解決網(wǎng)絡(luò)故障時(shí)必須嚴(yán)格遵守的步驟，只是為建立特定網(wǎng)絡(luò)環(huán)境中故障排除的流程提供了基礎(chǔ)。

一般性故障問(wèn)題的解決模型（1）在分析網(wǎng)絡(luò)故障時(shí)，要對(duì)網(wǎng)絡(luò)故障有個(gè)清晰的描述，并根據(jù)故障的一系列現(xiàn)象以及潛在的癥結(jié)來(lái)對(duì)其進(jìn)行準(zhǔn)確的定義。（2）收集有助于確定故障癥結(jié)的各種信息。（3）依據(jù)所收集到的各種信息考慮可能引發(fā)故障的癥結(jié)。（4）根據(jù)剩余的潛在癥結(jié)制定故障的排查計(jì)劃。（5）實(shí)施制定好的故障排除計(jì)劃，認(rèn)真執(zhí)行每一步驟，同時(shí)進(jìn)行測(cè)試，查看相應(yīng)的現(xiàn)象是否消失。（6）當(dāng)做出一處改動(dòng)時(shí)，要注意收集相應(yīng)操作的反饋信息。（7）分析相應(yīng)操作的結(jié)果，并確定故障是否已被排除。（8）如果故障依然存在，就得針對(duì)剩余的潛在癥結(jié)中最可能的一個(gè)制定相應(yīng)的故障排除計(jì)劃。二、網(wǎng)絡(luò)故障排除工具排除網(wǎng)絡(luò)故障的常用工具有多種，總的來(lái)說(shuō)可以分為三類(lèi)：設(shè)備或系統(tǒng)診斷命令、網(wǎng)絡(luò)管理工具以及專(zhuān)用故障排除工具。1．設(shè)備或系統(tǒng)診斷命令Show：可以用于監(jiān)測(cè)系統(tǒng)的安裝情況與網(wǎng)絡(luò)的正常運(yùn)行狀況，也可以用于對(duì)故障區(qū)域的定位。debug：幫助分離協(xié)議和配置問(wèn)題。ping：用于檢測(cè)網(wǎng)絡(luò)上不同設(shè)備之間的連通性。trace：可以用于確定數(shù)據(jù)包在從一個(gè)設(shè)備到另一個(gè)設(shè)備直至目的地的過(guò)程中所經(jīng)過(guò)的路徑。2．網(wǎng)絡(luò)管理工具一些廠商推出的網(wǎng)絡(luò)管理工具（如CiscoWorks，HPOpenView等）都含有監(jiān)測(cè)以及故障排除功能，這有助于對(duì)網(wǎng)絡(luò)互聯(lián)環(huán)境的管理和故障的及時(shí)排除。3．專(zhuān)用故障排除工具在許多情況下，專(zhuān)用故障排除工具可能比設(shè)備或系統(tǒng)中集成的命令更有效。（1）歐姆表、數(shù)字萬(wàn)用表及電纜測(cè)試器（2）時(shí)域反射計(jì)與光時(shí)域反射計(jì)（3）斷接盒、智能測(cè)試盤(pán)和位/數(shù)據(jù)塊錯(cuò)誤測(cè)試器（4）網(wǎng)絡(luò)監(jiān)測(cè)器

（5）網(wǎng)絡(luò)分析儀大多數(shù)的網(wǎng)絡(luò)分析儀能夠?qū)崿F(xiàn)以下功能。

按照特定的標(biāo)準(zhǔn)對(duì)通信數(shù)據(jù)進(jìn)行過(guò)濾，例如，可以截獲發(fā)送給特定設(shè)備及特定設(shè)備發(fā)出所有信息。為截獲的數(shù)據(jù)加上時(shí)間標(biāo)簽。以便于閱讀的方式展示協(xié)議層數(shù)據(jù)信息。生成數(shù)據(jù)幀，并將其發(fā)送到網(wǎng)絡(luò)中。與某些系統(tǒng)配合使用，系統(tǒng)為網(wǎng)絡(luò)分析儀提供一套規(guī)則，并結(jié)合網(wǎng)絡(luò)的配置信息及具體操作，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)故障的診斷與排除，或者為網(wǎng)絡(luò)故障提供潛在的排除方案。三、網(wǎng)絡(luò)故障分層診斷1．物理層及其診斷物理層是OSI分層結(jié)構(gòu)體系中最基礎(chǔ)的一層，它建立在通信媒體的基礎(chǔ)上，實(shí)現(xiàn)系統(tǒng)和通信媒體的物理接口，為數(shù)據(jù)鏈路實(shí)體之間進(jìn)行透明傳輸，為建立、保持和拆除計(jì)算機(jī)和網(wǎng)絡(luò)之間的物理連接提供服務(wù)。2．?dāng)?shù)據(jù)鏈路層及其診斷數(shù)據(jù)鏈路層的主要任務(wù)是使網(wǎng)絡(luò)層無(wú)須了解物理層的特征而獲得可靠的傳輸。數(shù)據(jù)鏈路層為通過(guò)鏈路層的數(shù)據(jù)進(jìn)行打包和解包、差錯(cuò)檢測(cè)和一定的校正能力，并協(xié)調(diào)共享介質(zhì)。在數(shù)據(jù)鏈路層交換數(shù)據(jù)之前，協(xié)議關(guān)注的是形成幀和同步設(shè)備。查找和排除數(shù)據(jù)鏈路層的故障，需要查看路由器的配置，檢查連接端口的共享同一數(shù)據(jù)鏈路層的封裝情況。3．網(wǎng)絡(luò)層及其診斷網(wǎng)絡(luò)層提供建立、保持和釋放網(wǎng)絡(luò)層連接的手段，包括路由選擇、流量控制、傳輸確認(rèn)、中斷、差錯(cuò)及故障恢復(fù)等。排除網(wǎng)絡(luò)層故障的基本方法是沿著從源到目標(biāo)的路徑查看路由器路由表，同時(shí)檢查路由器接口的IP地址。4．應(yīng)用層及其診斷應(yīng)用層提供最終用戶(hù)服務(wù)，如文件傳輸、電子信息、電子郵件和虛擬終端接入等。排除網(wǎng)絡(luò)層故障的基本方法是首先在服務(wù)器上檢查配置，測(cè)試服務(wù)器是否正常運(yùn)行，如果服務(wù)器沒(méi)有問(wèn)題再檢查應(yīng)用客戶(hù)端是否正確配置。任務(wù)5常用網(wǎng)絡(luò)故障測(cè)試命令工具任務(wù)引入小東在排查小白網(wǎng)絡(luò)故障問(wèn)題時(shí)用到一些命令，小白覺(jué)得很酷啊，這些命令都是什么呢？小白要學(xué)習(xí)一下，這些常用的命令ping指令、ipconfig指令、netstat指令及net指令都如何使用呢？知識(shí)準(zhǔn)備一、ping指令ping指令通過(guò)發(fā)送ICMP包來(lái)