《物聯(lián)網(wǎng)系統(tǒng)安全》 課件 第9章 網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.1網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范概述國(guó)際互聯(lián)網(wǎng)或下一代網(wǎng)絡(luò)（IPv6）是物聯(lián)網(wǎng)網(wǎng)絡(luò)層的核心載體。在物聯(lián)網(wǎng)中，原來在國(guó)際互聯(lián)網(wǎng)遇到的各種攻擊問題依然存在，甚至更普遍，因此物聯(lián)網(wǎng)需要有更完善的安全防護(hù)機(jī)制。不同的物聯(lián)網(wǎng)終端設(shè)備的處理能力和網(wǎng)絡(luò)能力差異較大，抵御網(wǎng)絡(luò)攻擊的防護(hù)能力也在很大的差別，傳統(tǒng)的國(guó)際互聯(lián)網(wǎng)安全方案難以滿足需求，并且也很難通過通用的安全方案解決所有安全問題，必須針對(duì)物聯(lián)網(wǎng)的具體需求制定不同的安全方案。物聯(lián)網(wǎng)面臨著原來的TCP/IP網(wǎng)絡(luò)的所有安全問題，然而物聯(lián)網(wǎng)又有其本身獨(dú)有的特點(diǎn)。物聯(lián)網(wǎng)安全問題的主要特點(diǎn)是海量，即存在海量的節(jié)點(diǎn)和海量的數(shù)據(jù)，因此對(duì)核心網(wǎng)的安全提出了更高的要求。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.1網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范概述物聯(lián)網(wǎng)所面臨的常見的安全問題主要包括以下幾個(gè)方面：1.DDoS攻擊由于物聯(lián)網(wǎng)需要接收海量的、采用集群方式連接的物聯(lián)網(wǎng)終端節(jié)點(diǎn)的信息，很容易導(dǎo)致網(wǎng)絡(luò)擁塞，因此物聯(lián)網(wǎng)極易受到分布式拒絕服務(wù)攻擊（DistributedDenialofService，DDoS），這也是物聯(lián)網(wǎng)網(wǎng)絡(luò)層遇到的最常見的攻擊方式。因此，物聯(lián)網(wǎng)必須解決的安全問題之一是如何對(duì)物聯(lián)網(wǎng)脆弱節(jié)點(diǎn)受到的DDoS攻擊進(jìn)行防護(hù)。2.異構(gòu)網(wǎng)絡(luò)跨網(wǎng)認(rèn)證由于在物聯(lián)網(wǎng)網(wǎng)絡(luò)層存在不同架構(gòu)的網(wǎng)絡(luò)需要互相連通的問題，因此物聯(lián)網(wǎng)也面臨異構(gòu)網(wǎng)絡(luò)跨網(wǎng)認(rèn)證等安全問題。在異構(gòu)網(wǎng)絡(luò)傳輸中，需要解決密鑰和認(rèn)證機(jī)制的一致性和兼容性等問題，而且還需要具有抵御DoS攻擊、中間人攻擊、異步攻擊、合謀攻擊等惡意攻擊的能力。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.1網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范概述3.虛擬節(jié)點(diǎn)、虛擬路由信息攻擊由于物聯(lián)網(wǎng)中的某些節(jié)點(diǎn)可以自由漫游，與鄰近節(jié)點(diǎn)通信的關(guān)系在不斷改變，節(jié)點(diǎn)的加入和脫離也許比較頻繁，這樣就很難為節(jié)點(diǎn)建立信任關(guān)系，從而導(dǎo)致物聯(lián)網(wǎng)無基礎(chǔ)結(jié)構(gòu)，且拓?fù)浣Y(jié)構(gòu)不斷改變。因此入侵者可以通過虛擬節(jié)點(diǎn)、插入虛擬路由信息等方式對(duì)物聯(lián)網(wǎng)發(fā)起攻擊。物聯(lián)網(wǎng)安全防護(hù)系統(tǒng)可以為物聯(lián)網(wǎng)終端設(shè)備提供本地和網(wǎng)絡(luò)應(yīng)用的身份認(rèn)證、網(wǎng)絡(luò)過濾、訪問控制、授權(quán)管理等安全服務(wù)。物聯(lián)網(wǎng)的安全技術(shù)主要涉及網(wǎng)絡(luò)加密技術(shù)、防火墻技術(shù)、隧道技術(shù)、網(wǎng)絡(luò)虛擬化技術(shù)、黑客攻擊與防范、網(wǎng)絡(luò)病毒防護(hù)、入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)安全掃描技術(shù)等。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2網(wǎng)絡(luò)層防火墻技術(shù)9.2.1防火墻技術(shù)簡(jiǎn)介所謂防火墻（FireWall）指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的邊界上構(gòu)造的保護(hù)屏障。防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它通過在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻擋來自外部的網(wǎng)絡(luò)入侵。防火墻技術(shù)，最初是針對(duì)互聯(lián)網(wǎng)的不安全因素所采取的一種防御保護(hù)措施。顧名思義，防火墻就是用來阻擋網(wǎng)絡(luò)外部不安全因素影響的網(wǎng)絡(luò)屏障，其目的就是防止外部網(wǎng)絡(luò)用戶未經(jīng)授權(quán)的訪問。它是一種計(jì)算機(jī)軟件和硬件相互融合的技術(shù)，可使Internet與Internet之間建立起一個(gè)安全網(wǎng)關(guān)（SecurityGateway），從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2網(wǎng)絡(luò)層防火墻技術(shù)9.2.1防火墻技術(shù)簡(jiǎn)介防火墻主要由服務(wù)訪問政策、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)等4部分組成。防火墻是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件，流入或流出該計(jì)算機(jī)的所有網(wǎng)絡(luò)通信數(shù)據(jù)都要經(jīng)過防火墻的過濾。使用防火墻的好處有：保護(hù)脆弱的服務(wù)，控制對(duì)系統(tǒng)的訪問，集中地進(jìn)行安全管理，增強(qiáng)保密性，記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)情況。防火墻的設(shè)計(jì)通常有兩種基本設(shè)計(jì)策略：第一，允許任何服務(wù)除非被明確禁止；第二，禁止任何服務(wù)除非被明確允許。一般采用第二種策略。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.2防火墻的工作原理目前，防火墻技術(shù)已經(jīng)發(fā)展成為一種成熟的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)。它是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。作為Internet網(wǎng)的安全性保護(hù)軟件，防火墻已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和Internet間設(shè)立防火墻軟件。企業(yè)信息系統(tǒng)對(duì)于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。如果在某一臺(tái)IP主機(jī)上有需要禁止的信息或危險(xiǎn)的用戶，則可以通過設(shè)置使用防火墻過濾掉從該主機(jī)發(fā)出的數(shù)據(jù)包。如果一個(gè)企業(yè)只是使用Internet的電子郵件和WWW服務(wù)器向外部提供信息，那么就可以在防火墻上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這對(duì)于路由器來說，就要不僅分析IP層的信息，而且還要進(jìn)一步了解TCP傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍。防火墻一般安裝在路由器上以保護(hù)一個(gè)子網(wǎng)，也可以安裝在一臺(tái)主機(jī)上，保護(hù)這臺(tái)主機(jī)不受侵犯。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.3防火墻的分類從應(yīng)用角度來分類，防火墻可以分為兩大類，即網(wǎng)絡(luò)防火墻和計(jì)算機(jī)防火墻。網(wǎng)絡(luò)防火墻的系統(tǒng)結(jié)構(gòu)如圖9-1所示。圖9-1網(wǎng)絡(luò)防火墻的的系統(tǒng)結(jié)構(gòu)第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.3防火墻的分類網(wǎng)絡(luò)防火墻是指在外部網(wǎng)絡(luò)和企業(yè)內(nèi)部網(wǎng)絡(luò)之間設(shè)置網(wǎng)絡(luò)防火墻。這種防火墻又稱篩選路由器。網(wǎng)絡(luò)防火墻檢測(cè)進(jìn)入信息的協(xié)議、目的地址、端口（網(wǎng)絡(luò)層）及被傳輸?shù)男畔⑿问剑☉?yīng)用層）等，過濾并清除不符合規(guī)定的外來信息。網(wǎng)絡(luò)防火墻也對(duì)用戶內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)出的信息進(jìn)行檢測(cè)。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.3防火墻的分類計(jì)算機(jī)防火墻的系統(tǒng)結(jié)構(gòu)如圖9-2所示。計(jì)算機(jī)防火墻是指在外部網(wǎng)絡(luò)和用戶計(jì)算機(jī)之間設(shè)置防火墻。計(jì)算機(jī)防火墻也可以是用戶計(jì)算機(jī)的一部分。計(jì)算機(jī)防火墻檢測(cè)接口規(guī)程、傳輸協(xié)議、目的地址及/或被傳輸?shù)男畔⒔Y(jié)構(gòu)等，將不符合規(guī)定的進(jìn)入信息剔除。計(jì)算機(jī)防火墻對(duì)用戶計(jì)算機(jī)輸出的信息進(jìn)行檢查，并加上相應(yīng)協(xié)議層的標(biāo)志，用以將信息傳送到接收用戶計(jì)算機(jī)（或網(wǎng)絡(luò)）中去。圖9-2計(jì)算機(jī)防火墻的系統(tǒng)結(jié)構(gòu)第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.3防火墻的分類從工作原理來分類，防火墻可以分為四大類：網(wǎng)絡(luò)級(jí)防火墻（也稱為包過濾型防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。它們之間各有所長(zhǎng)，具體使用哪一種或是否混合使用，則要由企業(yè)的實(shí)際需求來確定。1.網(wǎng)絡(luò)級(jí)防火墻網(wǎng)絡(luò)級(jí)防火墻一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個(gè)IP包的端口來作出通過與否的判斷。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級(jí)防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個(gè)IP包來自何方，去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號(hào)，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.3防火墻的分類2.應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細(xì)的注冊(cè)和稽核。它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對(duì)某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制，以防有價(jià)值的程序和數(shù)據(jù)被竊取。在實(shí)際工作中，應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò)級(jí)防火墻。應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時(shí)，經(jīng)常會(huì)發(fā)現(xiàn)存在延遲并且必須進(jìn)行多次登錄（Login）才能訪問Internet或Intranet。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.3防火墻的分類3.電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會(huì)話（Session）是否合法,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能：代理服務(wù)器（ProxyServer）。代理服務(wù)器是設(shè)置在Internet防火墻網(wǎng)關(guān)的專用應(yīng)用級(jí)代碼。這種代理服務(wù)準(zhǔn)許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個(gè)應(yīng)用的特定功能。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便“暴露”在外來用戶面前，這就引入了代理服務(wù)的概念，即防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)應(yīng)用層的“鏈接”由兩個(gè)終止于代理服務(wù)的“鏈接”來實(shí)現(xiàn)，這就成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。同時(shí)，代理服務(wù)還可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。代理服務(wù)技術(shù)主要通過專用計(jì)算機(jī)硬件（如工作站）來承擔(dān)。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.3防火墻的分類4.規(guī)則檢查防火墻規(guī)則檢查防火墻綜合了包過濾防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的優(yōu)點(diǎn)。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號(hào)，過濾進(jìn)出的數(shù)據(jù)包。它也如同電路級(jí)網(wǎng)關(guān)一樣，能夠檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。當(dāng)然，它也如同應(yīng)用級(jí)網(wǎng)關(guān)一樣，可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn)，但是不同于一個(gè)應(yīng)用級(jí)網(wǎng)關(guān)的是，它并不打破客戶機(jī)/服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過濾數(shù)據(jù)包上更有效。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.4防火墻的功能防火墻對(duì)流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。1.網(wǎng)絡(luò)安全的屏障一個(gè)防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時(shí)可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報(bào)文并通知防火墻管理員。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.4防火墻的功能2.強(qiáng)化網(wǎng)絡(luò)安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件（如密碼、加密、身份認(rèn)證、審計(jì)等）配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個(gè)主機(jī)上相比，防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時(shí)，一次一密密碼系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個(gè)主機(jī)上，而集中在防火墻一身上。3.監(jiān)控審計(jì)如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測(cè)和攻擊的詳細(xì)信息。另外，收集一個(gè)網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.4防火墻的功能4.防止內(nèi)部信息的外泄通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。再者，隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger，DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊(cè)名、真名，最后登錄時(shí)間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)，這個(gè)系統(tǒng)是否在被攻擊時(shí)引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息，這樣一臺(tái)主機(jī)的域名和IP地址就不會(huì)被外界所了解。除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN（虛擬專用網(wǎng)）。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.4防火墻的功能5.數(shù)據(jù)包過濾網(wǎng)絡(luò)上的數(shù)據(jù)都是以包為單位進(jìn)行傳輸?shù)模恳粋€(gè)數(shù)據(jù)包中都會(huì)包含一些特定的信息，如數(shù)據(jù)的源地址、目標(biāo)地址、源端口號(hào)和目標(biāo)端口號(hào)等。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些包是否來自可信任的網(wǎng)絡(luò)，并與預(yù)先設(shè)定的訪問控制規(guī)則進(jìn)行比較，進(jìn)而確定是否需對(duì)數(shù)據(jù)包進(jìn)行處理和操作。數(shù)據(jù)包過濾可以防止外部不合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問，但由于不能檢測(cè)數(shù)據(jù)包的具體內(nèi)容，所以不能識(shí)別具有非法內(nèi)容的數(shù)據(jù)包，無法實(shí)施對(duì)應(yīng)用層協(xié)議的安全處理。6.網(wǎng)絡(luò)IP地址轉(zhuǎn)換網(wǎng)絡(luò)IP地址轉(zhuǎn)換是一種將私有IP地址轉(zhuǎn)化為公網(wǎng)IP地址的技術(shù)，它被廣泛應(yīng)用于各種類型的網(wǎng)絡(luò)和互聯(lián)網(wǎng)的接人中。網(wǎng)絡(luò)IP地址轉(zhuǎn)換一方面可隱藏內(nèi)部網(wǎng)絡(luò)的真實(shí)IP地址，使內(nèi)部網(wǎng)絡(luò)免受黑客的直接攻擊，另一方面由于內(nèi)部網(wǎng)絡(luò)使用了私有IP地址，從而有效解決了公網(wǎng)IP地址不足的問題。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.4防火墻的功能7.虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)將分布在不同地域上的局域網(wǎng)或計(jì)算機(jī)通過加密通信，虛擬出專用的傳輸通道，從而將它們從邏輯上連成一個(gè)整體，不僅省去了建設(shè)專用通信線路的費(fèi)用，還有效地保證了網(wǎng)絡(luò)通信的安全。8.日志記錄與事件通知進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)都必須經(jīng)過防火墻，防火墻通過日志對(duì)其進(jìn)行記錄，能提供網(wǎng)絡(luò)使用的詳細(xì)統(tǒng)計(jì)信息。當(dāng)發(fā)生可疑事件時(shí)，防火墻更能根據(jù)機(jī)制進(jìn)行報(bào)警和通知，提供網(wǎng)絡(luò)是否受到威脅的信息。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.5防火墻技術(shù)的應(yīng)用防火墻技術(shù)對(duì)物聯(lián)網(wǎng)具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級(jí)別。高級(jí)別的保護(hù)可能會(huì)禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。在應(yīng)用防火墻技術(shù)時(shí)，還應(yīng)當(dāng)注意以下兩個(gè)方面：①防火墻是不能防御病毒的，盡管有不少的防火墻產(chǎn)品聲稱自己具有防病毒功能。②防火墻技術(shù)的另外一個(gè)缺點(diǎn)是在防火墻之間的數(shù)據(jù)難以更新，如果數(shù)據(jù)更新需要延遲太長(zhǎng)的時(shí)間，將無法響應(yīng)實(shí)時(shí)服務(wù)請(qǐng)求。此外，防火墻采用濾波技術(shù)，濾波通常會(huì)使網(wǎng)絡(luò)的傳輸性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購(gòu)置高速防火墻，又會(huì)大大增加網(wǎng)絡(luò)設(shè)備的經(jīng)費(fèi)。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.5防火墻技術(shù)的應(yīng)用總之，防火墻技術(shù)是物聯(lián)網(wǎng)安全的一種可行技術(shù)，它可以把公共數(shù)據(jù)和服務(wù)置于防火墻外，使其對(duì)防火墻內(nèi)部資源的訪問受到限制。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.6防火墻的選購(gòu)防火墻是目前使用最為廣泛的網(wǎng)絡(luò)安全產(chǎn)品之一，運(yùn)營(yíng)商在構(gòu)建物聯(lián)網(wǎng)應(yīng)用系統(tǒng)時(shí)通應(yīng)該采購(gòu)防火墻作為網(wǎng)絡(luò)安全的重要防護(hù)手段，在選購(gòu)防火墻時(shí)應(yīng)該注意以下幾點(diǎn)：1.自身的安全性防火墻自身的安全性主要體現(xiàn)在自身設(shè)計(jì)和管理兩個(gè)方面。設(shè)計(jì)的安全性關(guān)鍵在于操作系統(tǒng)，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。而應(yīng)用系統(tǒng)的安全是以操作系統(tǒng)的安全為基礎(chǔ)的，同時(shí)防火墻自身的安全實(shí)現(xiàn)也直接影響整體系統(tǒng)的安全性。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.6防火墻的選購(gòu)2.系統(tǒng)的穩(wěn)定性目前，由于種種原因，有些防火墻尚未最后定型或經(jīng)過嚴(yán)格的大量測(cè)試就被推向了市場(chǎng)，其穩(wěn)定性可想而知。防火墻的穩(wěn)定性可以通過幾種方法判斷：①?gòu)臋?quán)威的測(cè)評(píng)認(rèn)證機(jī)構(gòu)獲得。例如，可以通過與其他產(chǎn)品相比，考察某種產(chǎn)品是否獲得更多的國(guó)家權(quán)威機(jī)構(gòu)的認(rèn)證、推薦和入網(wǎng)證明（書），來間接了解其穩(wěn)定性。②實(shí)際調(diào)查，這是最有效的辦法，要考察這種防火墻產(chǎn)品已經(jīng)有多少實(shí)際使用單位、特別是用戶們對(duì)于該防火墻的評(píng)價(jià)如何。③自己試用。在自己的網(wǎng)絡(luò)上進(jìn)行一段時(shí)間的試用（一個(gè)月左右）。④生產(chǎn)商的研發(fā)歷史。一般來說，如果沒有兩年以上的開發(fā)經(jīng)歷，很難保證產(chǎn)品的穩(wěn)定性。⑤

生產(chǎn)商的實(shí)力，如資金、技術(shù)開發(fā)人員、市場(chǎng)銷售人員和技術(shù)支持人員多少等。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.6防火墻的選購(gòu)3.高效適用性高性能是防火墻的一個(gè)重要指標(biāo)，它直接體現(xiàn)了防火墻的可用性。如果由于使用防火墻而帶來了網(wǎng)絡(luò)性能較大幅度的下降，就意味著安全代價(jià)過高。一般來說，防火墻加載上百條規(guī)則，其性能下降不應(yīng)超過5%（指包過濾防火墻）。4.可靠性可靠性對(duì)防火墻類訪問控制設(shè)備來說尤為重要，直接影響受控網(wǎng)絡(luò)的可用性。從系統(tǒng)設(shè)計(jì)上，提高可靠性的措施一般是提高本身部件的強(qiáng)健性、增大設(shè)計(jì)闕值和增加冗余部件，這要求有較高的生產(chǎn)標(biāo)準(zhǔn)和設(shè)計(jì)冗余度。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.6防火墻的選購(gòu)5.控制靈活對(duì)通信行為的有效控制，要求防火墻設(shè)備有一系列不同級(jí)別，滿足不同用戶的各類安全控制需求的控制注意。例如對(duì)普通用戶，只要對(duì)IP地址進(jìn)行過濾即可：如果是內(nèi)部有不同安全級(jí)別的子網(wǎng)，有時(shí)則必須允許高級(jí)別子網(wǎng)對(duì)低級(jí)別子網(wǎng)進(jìn)行單向訪問。6.配置便利在網(wǎng)絡(luò)入口和出口處安裝新的網(wǎng)絡(luò)設(shè)備是每個(gè)網(wǎng)管員的噩夢(mèng)，因?yàn)檫@意味著必須修改幾乎全部現(xiàn)有設(shè)備的配置。支持透明通信的防火墻，在安裝時(shí)不需要對(duì)原網(wǎng)絡(luò)配置作任何改動(dòng)，所做的工作只相當(dāng)于接一個(gè)網(wǎng)橋或HUB。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.6防火墻的選購(gòu)7.管理簡(jiǎn)便網(wǎng)絡(luò)技術(shù)發(fā)展很快，各種安全事件不斷出現(xiàn)，這就要求安全管理員經(jīng)常調(diào)整網(wǎng)絡(luò)安全注意，對(duì)于防火墻類訪問控制設(shè)備，除安全控制注意的不斷調(diào)整外，業(yè)務(wù)系統(tǒng)訪問控制的調(diào)整也很頻繁，這些都要求防火墻的管理在充分考忠安全需要的前提下，必須提供方便靈活的管理方式和方法，這通常體現(xiàn)為管理途徑、管理工具和管理權(quán)限。8.拒絕服務(wù)攻擊的抵抗能力在當(dāng)前的網(wǎng)絡(luò)攻擊中，拒絕服務(wù)攻擊是使用頻率最高的方法。抵抗拒絕服務(wù)攻擊應(yīng)該是防火端的基本功能之一。目前有很多防火墻號(hào)稱可以抵御拒絕服務(wù)政擊，但嚴(yán)格地說，它應(yīng)是可以降低拒絕服務(wù)攻擊的危害而不是抵御這種攻擊。在采購(gòu)防火墻時(shí)，網(wǎng)管人員應(yīng)該詳細(xì)考察這一功能的真實(shí)性和有效性。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.2.6防火墻的選購(gòu)9.報(bào)文過濾能力防火墻過濾報(bào)文，需要一個(gè)針對(duì)用戶身份而不是IP地址進(jìn)行過濾的辦法。目前常用的是一次性口令驗(yàn)證機(jī)制，保證用戶在登錄防火墻時(shí)，口令不會(huì)在網(wǎng)絡(luò)上泄漏，這樣，防火等就可以確認(rèn)登錄上來的用戶確實(shí)和他所聲稱的一致。10.可擴(kuò)展性用戶的網(wǎng)絡(luò)不是一成不變的，和防病毒產(chǎn)品類似，防火墻也必須不斷地進(jìn)行升級(jí)，此時(shí)支持軟件升級(jí)就很重要了。如果不支持軟件升級(jí)的話，為了抵御新的攻擊手段，用戶就必須進(jìn)行硬件上的更換，而在更換期間網(wǎng)絡(luò)是不設(shè)防的，同時(shí)用戶也要為此花費(fèi)更多的錢。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3網(wǎng)絡(luò)虛擬化技術(shù)9.3.1網(wǎng)絡(luò)虛擬化技術(shù)概述網(wǎng)絡(luò)虛擬化一般指虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）。VPN對(duì)網(wǎng)絡(luò)連接的概念進(jìn)行了抽象，允許用戶遠(yuǎn)程地訪問企業(yè)或組織的內(nèi)部網(wǎng)絡(luò)，就像物理上連接到該網(wǎng)絡(luò)一樣。網(wǎng)絡(luò)虛擬化可以幫助保護(hù)IT環(huán)境，防止來自Internet的威脅，同時(shí)使用戶能夠快速地、安全地訪問企業(yè)內(nèi)部的應(yīng)用程序和數(shù)據(jù)。虛擬專用網(wǎng)絡(luò)是通過公用網(wǎng)絡(luò)（通常是國(guó)際互聯(lián)網(wǎng)）建立的臨時(shí)的、安全的特殊網(wǎng)絡(luò)，是一條穿過公用網(wǎng)絡(luò)的、安全的、穩(wěn)定的加密隧道。使用這條隧道可以對(duì)數(shù)據(jù)進(jìn)行加密，以達(dá)到安全使用互聯(lián)網(wǎng)的目的。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3網(wǎng)絡(luò)虛擬化技術(shù)9.3.1網(wǎng)絡(luò)虛擬化技術(shù)概述虛擬專用網(wǎng)絡(luò)可以實(shí)現(xiàn)不同網(wǎng)絡(luò)的組件和資源之間的相互連接。虛擬專用網(wǎng)絡(luò)能夠利用Internet或其它公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。虛擬專用網(wǎng)絡(luò)的結(jié)構(gòu)如圖9-3所示。圖9-3虛擬專用網(wǎng)絡(luò)的結(jié)構(gòu)第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3網(wǎng)絡(luò)虛擬化技術(shù)9.3.1網(wǎng)絡(luò)虛擬化技術(shù)概述在企業(yè)的內(nèi)部網(wǎng)絡(luò)中，考慮到一些部門可能存儲(chǔ)有重要數(shù)據(jù)，為確保數(shù)據(jù)的安全性，傳統(tǒng)的方式只能是把這些部門同整個(gè)企業(yè)網(wǎng)絡(luò)斷開形成孤立的小網(wǎng)絡(luò)。這樣做雖然保護(hù)了部門的重要信息，但是由于物理上的中斷，使其他部門的用戶無法訪問，造成通訊上的困難。采用VPN方案，通過使用一臺(tái)VPN服務(wù)器既能夠?qū)崿F(xiàn)與整個(gè)企業(yè)網(wǎng)絡(luò)的連接，又可以保證保密數(shù)據(jù)的安全性。路由器雖然也能夠?qū)崿F(xiàn)網(wǎng)絡(luò)之間的互聯(lián)，但是并不能對(duì)流向敏感網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行限制。使用VPN服務(wù)器，但是企業(yè)網(wǎng)絡(luò)管理人員通過使用VPN服務(wù)器，指定只有符合特定身份要求的用戶才能連接VPN服務(wù)器獲得訪問敏感信息的權(quán)利。此外，可以對(duì)所有VPN數(shù)據(jù)進(jìn)行加密，從而確保數(shù)據(jù)的安全性。沒有訪問權(quán)利的用戶無法看到部門的局域網(wǎng)絡(luò)。虛擬專用網(wǎng)絡(luò)允許遠(yuǎn)程通訊方，銷售人員或企業(yè)分支機(jī)構(gòu)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)施以安全的方式與位于企業(yè)局域網(wǎng)端的企業(yè)服務(wù)器建立連接。虛擬專用網(wǎng)絡(luò)對(duì)用戶端透明，用戶好象使用一條專用線路在客戶計(jì)算機(jī)和企業(yè)服務(wù)器之間建立點(diǎn)對(duì)點(diǎn)連接，進(jìn)行數(shù)據(jù)的傳輸。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3網(wǎng)絡(luò)虛擬化技術(shù)9.3.1網(wǎng)絡(luò)虛擬化技術(shù)概述

虛擬專用網(wǎng)絡(luò)技術(shù)同樣支持企業(yè)通過Internet等公共互聯(lián)網(wǎng)絡(luò)與分支機(jī)構(gòu)或其它公司建立連接，進(jìn)行安全的通訊。這種跨越Internet建立的VPN連接邏輯上等同于兩地之間使用廣域網(wǎng)建立的連接。雖然VPN通訊建立在公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)上，但是用戶在使用VPN時(shí)感覺如同在使用專用網(wǎng)絡(luò)進(jìn)行通訊，所以得名虛擬專用網(wǎng)絡(luò)。使用VPN技術(shù)可以解決在當(dāng)今遠(yuǎn)程通訊量日益增大，企業(yè)全球運(yùn)作廣泛分布的情況下，員工需要訪問中央資源，企業(yè)相互之間必須進(jìn)行及時(shí)和有效的通訊的問題。虛擬專用網(wǎng)絡(luò)支持以安全的方式通過公共互聯(lián)網(wǎng)絡(luò)遠(yuǎn)程訪問企業(yè)資源。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3網(wǎng)絡(luò)虛擬化技術(shù)9.3.1網(wǎng)絡(luò)虛擬化技術(shù)概述在選擇VPN技術(shù)時(shí)，一定要考慮到管理上的要求。一些大型網(wǎng)絡(luò)都需要把每個(gè)用戶的目錄信息存放在一臺(tái)中央數(shù)據(jù)存儲(chǔ)設(shè)備（目錄服務(wù)器）中，以便于管理人員和應(yīng)用程序?qū)π畔⑦M(jìn)行添加，修改和查詢。每一臺(tái)接入或隧道服務(wù)器都應(yīng)當(dāng)能夠維護(hù)自己的內(nèi)部數(shù)據(jù)庫(kù)，存儲(chǔ)每一個(gè)用戶的帳戶信息，包括用戶名、密碼以及撥號(hào)接入的屬性等。但是，這種由多臺(tái)服務(wù)器維護(hù)多個(gè)用戶帳戶的做法，很難實(shí)現(xiàn)及時(shí)的同步更新，這給管理帶來很大的困難。因此，大多數(shù)的網(wǎng)絡(luò)管理員采用在目錄服務(wù)器、主域控制器或RADIUS服務(wù)器上，建立一個(gè)主帳號(hào)數(shù)據(jù)庫(kù)的方法，來進(jìn)行統(tǒng)一的、有效的管理。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.2虛擬專用網(wǎng)絡(luò)的連接方式通?？梢圆捎靡韵聝煞N方式來實(shí)現(xiàn)遠(yuǎn)程企業(yè)內(nèi)部網(wǎng)絡(luò)的連接。1.使用專線連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)專線方式不需要使用價(jià)格昂貴的長(zhǎng)距離專用電路，分支機(jī)構(gòu)和企業(yè)端的路由器可以使用各自本地的專用線路，通過本地的ISP連通Internet。通過VPN軟件與本地ISP建立連接的方式，在Internet與分支機(jī)構(gòu)和企業(yè)端的路由器之間建立一個(gè)虛擬專用網(wǎng)絡(luò)。2.使用撥打本地ISP號(hào)碼的方式連接分支機(jī)構(gòu)和企業(yè)內(nèi)部網(wǎng)區(qū)別于傳統(tǒng)的連接分支機(jī)構(gòu)路由器的撥打長(zhǎng)途電話的方式，分支機(jī)構(gòu)端的路由器可以通過撥號(hào)方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接，在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)跨越Internet的虛擬專用網(wǎng)絡(luò)。值得注意的是，在上述兩種方式中，是通過使用本地設(shè)備在分支機(jī)構(gòu)和企業(yè)部門與Internet之間建立連接。無論是在客戶端還是服務(wù)器端，都是通過撥打本地接入電話建立連接，因此VPN可以大大節(jié)省連接的費(fèi)用。建議將VPN服務(wù)器的企業(yè)端路由器以專線方式連接本地ISP。VPN服務(wù)器必須一天24小時(shí)對(duì)VPN數(shù)據(jù)流進(jìn)行監(jiān)聽。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.3VPN系統(tǒng)的安全需求

一般來說，企業(yè)在選用一種遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)方案時(shí)，都希望能夠?qū)υL問企業(yè)資源和信息的要求加以控制，所選用的方案應(yīng)當(dāng)既能夠?qū)崿F(xiàn)授權(quán)用戶與企業(yè)局域網(wǎng)資源的自由連接，不同分支機(jī)構(gòu)之間的資源共享；又能夠確保企業(yè)數(shù)據(jù)在公共互聯(lián)網(wǎng)絡(luò)或企業(yè)內(nèi)部網(wǎng)絡(luò)上傳輸時(shí)安全性不受破壞。因此，一個(gè)成熟的VPN系統(tǒng)應(yīng)當(dāng)能夠同時(shí)滿足以下幾個(gè)方面的安全需求：1.身份認(rèn)證VPN系統(tǒng)必須能夠認(rèn)證用戶的身份，并且嚴(yán)格控制只有授權(quán)用戶才能訪問VPN。此外，方案還必須能夠提供審計(jì)和記費(fèi)功能，能夠追蹤到什么人、在什么時(shí)候訪問了VPN。2.地址管理VPN系統(tǒng)必須能夠?yàn)橛脩舴峙鋵Ｓ镁W(wǎng)絡(luò)上的地址并確保地址的安全性。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.3VPN系統(tǒng)的安全需求

3.數(shù)據(jù)加密對(duì)通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無法讀取該信息。4.密鑰管理VPN系統(tǒng)必須能夠生成并更新客戶端和服務(wù)器的加密密鑰。5.多協(xié)議支持VPN系統(tǒng)必須支持公共互聯(lián)網(wǎng)絡(luò)上普遍使用的基本協(xié)議，包括IP、IPX協(xié)議等。以點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）或第2層隧道協(xié)議（L2TP）為基礎(chǔ)的VPN方案，既能夠滿足以上所有的基本要求，又能夠充分利用遍及世界各地的Internet互聯(lián)網(wǎng)絡(luò)的優(yōu)勢(shì)。其它方案，包括安全I(xiàn)P協(xié)議（IPSec)，雖然不能滿足上述全部要求，但是仍然適用于在特定的環(huán)境。以下將主要集中討論有關(guān)VPN的概念、協(xié)議和部件（Component）。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.4隧道技術(shù)隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)楨（此字不正確）或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)楨或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程。隧道所使用的傳輸網(wǎng)絡(luò)可以是任何類型的公共互聯(lián)網(wǎng)絡(luò)，本節(jié)主要以目前廣泛使用Internet為例進(jìn)行說明。此外，在企業(yè)網(wǎng)絡(luò)同樣可以創(chuàng)建隧道。隧道技術(shù)在經(jīng)過一段時(shí)間的研究、發(fā)展和完善之后，已經(jīng)逐漸成熟。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.4隧道技術(shù)常用的隧道技術(shù)主要包括：1.IP網(wǎng)絡(luò)上的SNA隧道技術(shù)當(dāng)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（SystemNetworkArchitecture，SNA）的數(shù)據(jù)流通過企業(yè)IP網(wǎng)絡(luò)傳送時(shí)，SNA數(shù)據(jù)楨將被封裝在UDP和IP協(xié)議包頭中。2.IP網(wǎng)絡(luò)上的NovellNetWareIPX隧道技術(shù)當(dāng)一個(gè)IPX數(shù)據(jù)包被發(fā)送到NetWare服務(wù)器或IPX路由器時(shí)，服務(wù)器或路由器用UDP和IP包頭封裝IPX數(shù)據(jù)包后通過IP網(wǎng)絡(luò)發(fā)送。另一端的IP-TO-IPX路由器在去除UDP和IP包頭之后，把數(shù)據(jù)包轉(zhuǎn)發(fā)到IPX目的地。3.點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）PPTP協(xié)議允許對(duì)IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)發(fā)送。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.4隧道技術(shù)常用的隧道技術(shù)主要包括：4.第2層隧道協(xié)議（L2TP）L2TP協(xié)議允許對(duì)IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過支持點(diǎn)對(duì)點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP、X.25、幀中繼或ATM。5.安全I(xiàn)P（IPSec）隧道模式IPSec隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如Internet發(fā)送。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.5隧道協(xié)議分析為了創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方都必須遵守相同的隧道協(xié)議。隧道技術(shù)可以分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。上述分層按照開放系統(tǒng)互聯(lián)（OSI）的參考模型劃分。第2層隧道協(xié)議對(duì)應(yīng)OSI模型中的數(shù)據(jù)鏈路層，使用楨作為數(shù)據(jù)交換單位。PPTP，L2TP和L2F（第2層轉(zhuǎn)發(fā)）都屬于第2層隧道協(xié)議，都是將數(shù)據(jù)封裝在點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）楨中通過互聯(lián)網(wǎng)絡(luò)發(fā)送。第3層隧道協(xié)議對(duì)應(yīng)OSI模型中的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。IPoverIP以及IPSec隧道模式都屬于第3層隧道協(xié)議，都是將IP包封裝在附加的IP包頭中通過IP網(wǎng)絡(luò)傳送的。對(duì)于象PPTP和L2TP這樣的第2層隧道協(xié)議，創(chuàng)建隧道的過程類似于在雙方之間建立會(huì)話；隧道的兩個(gè)端點(diǎn)必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量，如地址分配，加密或壓縮等參數(shù)。絕大多數(shù)情況下，通過隧道傳輸?shù)臄?shù)據(jù)都使用基于數(shù)據(jù)報(bào)的協(xié)議發(fā)送。隧道維護(hù)協(xié)議被用來作為管理隧道的機(jī)制。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.5隧道協(xié)議分析第3層隧道技術(shù)通常假定所有配置問題已經(jīng)通過手工過程完成。這些協(xié)議不對(duì)隧道進(jìn)行維護(hù)。與第3層隧道協(xié)議不同，第2層隧道協(xié)議（PPTP和L2TP）必須包括對(duì)隧道的創(chuàng)建，維護(hù)和終止。隧道客戶端和服務(wù)器使用隧道數(shù)據(jù)傳輸協(xié)議傳輸數(shù)據(jù)。隧道一旦建立，數(shù)據(jù)就可以通過隧道傳輸。當(dāng)隧道客戶端向服務(wù)器端發(fā)送數(shù)據(jù)時(shí)，客戶端首先給負(fù)載數(shù)據(jù)加上一個(gè)隧道數(shù)據(jù)傳送協(xié)議包頭，然后把封裝好的數(shù)據(jù)通過互聯(lián)網(wǎng)絡(luò)發(fā)送，并由互聯(lián)網(wǎng)絡(luò)將數(shù)據(jù)轉(zhuǎn)發(fā)到隧道的服務(wù)器端。隧道的服務(wù)器端收到數(shù)據(jù)包之后，會(huì)刪除隧道數(shù)據(jù)傳輸協(xié)議包頭，然后將負(fù)載數(shù)據(jù)轉(zhuǎn)發(fā)到目標(biāo)網(wǎng)絡(luò)。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.5隧道協(xié)議分析1.第2層隧道協(xié)議的特點(diǎn)

第2層隧道協(xié)議（PPTP和L2TP）以完善的PPP協(xié)議為基礎(chǔ)，它繼承了PPP協(xié)議的特性。①用戶驗(yàn)證第2層隧道協(xié)議繼承了PPP協(xié)議的用戶驗(yàn)證方式。許多第3層隧道技術(shù)都假定在創(chuàng)建隧道之前，隧道的兩個(gè)端點(diǎn)相互之間已經(jīng)了解或已經(jīng)經(jīng)過驗(yàn)證。一個(gè)例外情況是IPSec協(xié)議的ISAKMP協(xié)商提供了隧道端點(diǎn)之間進(jìn)行的相互驗(yàn)證。②令牌卡（TokenCard）支持通過使用擴(kuò)展驗(yàn)證協(xié)議（EAP），第2層隧道協(xié)議能夠支持多種驗(yàn)證方法，包括一次性密碼（one-timepassword)，加密計(jì)算器（cryptographiccalculator）和智能卡等。第3層隧道協(xié)議也支持使用類似的方法，例如，IPSec協(xié)議通過ISAKMP/Oakley協(xié)商確定公共密鑰證書驗(yàn)證。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.5隧道協(xié)議分析1.第2層隧道協(xié)議的特點(diǎn)

③動(dòng)態(tài)地址分配第2層隧道協(xié)議支持在網(wǎng)絡(luò)控制協(xié)議（NCP）協(xié)商機(jī)制的基礎(chǔ)上動(dòng)態(tài)分配客戶地址。第3層隧道協(xié)議通常假定隧道建立之前已經(jīng)進(jìn)行了地址分配。目前IPSec隧道模式下的地址分配方案仍在開發(fā)之中。④數(shù)據(jù)壓縮第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)壓縮方式。例如，微軟的PPTP和L2TP方案使用微軟點(diǎn)對(duì)點(diǎn)加密協(xié)議（MPPE）。IETP正在開發(fā)應(yīng)用于第3層隧道協(xié)議的類似數(shù)據(jù)壓縮機(jī)制。⑤數(shù)據(jù)加密第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)加密機(jī)制。微軟的PPTP方案支持在RSA/RC4算法的基礎(chǔ)上選擇使用MPPE。第3層隧道協(xié)議可以使用類似方法，例如，IPSec通過ISAKMP/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密方法。微軟的L2TP協(xié)議使用IPSec加密保障隧道客戶端和服務(wù)器之間數(shù)據(jù)流的安全。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.5隧道協(xié)議分析1.第2層隧道協(xié)議的特點(diǎn)

⑥密鑰管理作為第2層協(xié)議的MPPE依靠驗(yàn)證用戶時(shí)生成的密鑰，定期對(duì)其更新。IPSec在ISAKMP交換過程中公開協(xié)商公用密鑰，同樣對(duì)其進(jìn)行定期更新。⑦多協(xié)議支持第2層隧道協(xié)議支持多種負(fù)載數(shù)據(jù)協(xié)議，從而使隧道客戶能夠訪問使用IP，IPX，或NetBEUI等多種協(xié)議企業(yè)網(wǎng)絡(luò)。相反，第3層隧道協(xié)議，如IPSec隧道模式只能支持使用IP協(xié)議的目標(biāo)網(wǎng)絡(luò)。

一旦完成了協(xié)商，PPP就開始在連接對(duì)等雙方之間轉(zhuǎn)發(fā)數(shù)據(jù)。每個(gè)被傳送的數(shù)據(jù)報(bào)都被封裝在PPP包頭內(nèi)，該包頭將會(huì)在到達(dá)接收方之后被去除。如果在階段1選擇使用數(shù)據(jù)壓縮并且在階段4完成了協(xié)商，數(shù)據(jù)將會(huì)在被傳送之間進(jìn)行壓縮。類似地，如果已經(jīng)選擇使用數(shù)據(jù)加密并完成了協(xié)商，數(shù)據(jù)（或被壓縮數(shù)據(jù)）將會(huì)在傳送之前進(jìn)行加密。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.5隧道協(xié)議分析2.點(diǎn)對(duì)點(diǎn)隧道協(xié)議點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）是一個(gè)第2層的協(xié)議，將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報(bào)內(nèi)通過IP網(wǎng)絡(luò)，如Internet傳送。PPTP還可用于專用局域網(wǎng)絡(luò)之間的連接。RFC草案“點(diǎn)對(duì)點(diǎn)隧道協(xié)議”對(duì)PPTP協(xié)議進(jìn)行了說明和介紹。該草案由PPTP論壇的成員公司，包括微軟，Ascend，3Com，和ECI等公司在1996年6月提交至IETF。PPTP使用一個(gè)TCP連接對(duì)隧道進(jìn)行維護(hù)，使用通用路由封裝（GRE）技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過隧道傳送?？梢詫?duì)封裝PPP楨中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.5隧道協(xié)議分析3.第2層轉(zhuǎn)發(fā)協(xié)議第2層轉(zhuǎn)發(fā)協(xié)議（L2F）是Cisco公司提出的一種隧道技術(shù)。作為一種傳輸協(xié)議，L2F支持撥號(hào)接入服務(wù)器將撥號(hào)數(shù)據(jù)流封裝在PPP幀內(nèi)，并通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器（路由器）。L2F服務(wù)器把數(shù)據(jù)包解壓后，重新轉(zhuǎn)發(fā)到網(wǎng)絡(luò)。與PPTP和L2TP不同，L2F沒有確定的客戶端。應(yīng)當(dāng)注意，L2F隧道技術(shù)僅僅在強(qiáng)制隧道中有效。4.第2層隧道協(xié)議（L2TP）第2層隧道協(xié)議綜合了PPTP和L2F協(xié)議的優(yōu)點(diǎn)。設(shè)計(jì)者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢(shì)。L2TP是一種網(wǎng)絡(luò)層協(xié)議，支持封裝的PPP楨在IP，X.25，楨中繼或ATM等的網(wǎng)絡(luò)上進(jìn)行傳送。當(dāng)使用IP作為L(zhǎng)2TP的數(shù)據(jù)報(bào)傳輸協(xié)議時(shí)，可以使用L2TP作為Internet網(wǎng)絡(luò)上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。IP網(wǎng)上的L2TP使用UDP和一系列的L2TP消息對(duì)隧道進(jìn)行維護(hù)。L2TP同樣使用UDP將L2TP協(xié)議封裝的PPP楨通過隧道發(fā)送?？梢詫?duì)封裝PPP楨中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.5隧道協(xié)議分析PPTP和L2TP都使用PPP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。盡管這兩個(gè)協(xié)議非常相似，但是兩者仍然存在以下區(qū)別：①PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)的連接。L2TP可以在IP（使用UDP）、幀中繼永久虛擬電路（PVCs)、X.25虛擬電路（VCs）或ATMVCs網(wǎng)絡(luò)上使用。②PPTP只能在兩端點(diǎn)間建立單一隧道L2TP支持在兩端點(diǎn)間使用多隧道。使用L2TP，用戶可以針對(duì)不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。③L2TP可以提供包頭壓縮當(dāng)壓縮包頭時(shí)，系統(tǒng)開銷（overhead）占用4個(gè)字節(jié)，而PPTP協(xié)議下要占用6個(gè)字節(jié)。④隧道驗(yàn)證L2TP可以提供隧道驗(yàn)證，而PPTP則不支持隧道驗(yàn)證。但是當(dāng)L2TP或PPTP與IPSec共同使用時(shí)，可以由IPSec提供隧道驗(yàn)證，不需要在第2層協(xié)議上驗(yàn)證隧道。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.6IPSec隧道技術(shù)6.IPSec協(xié)議IPSec協(xié)議是一種工作在網(wǎng)絡(luò)層的網(wǎng)絡(luò)協(xié)議，支持IP網(wǎng)絡(luò)上數(shù)據(jù)的安全傳輸。除了對(duì)IP數(shù)據(jù)流的加密機(jī)制進(jìn)行了規(guī)定之外，IPSec協(xié)議還定義了IPoverIP隧道模式的數(shù)據(jù)包格式，一般被稱作IPSec隧道模式。一個(gè)IPSec隧道由一個(gè)隧道客戶和隧道服務(wù)器組成，兩端都配置使用IPSec隧道技術(shù)，采用協(xié)商加密機(jī)制。為實(shí)現(xiàn)在專用或公共IP網(wǎng)絡(luò)上的安全傳輸，IPSec隧道模式使用的安全方式封裝和加密整個(gè)IP包。然后對(duì)加密的負(fù)載再次封裝在明文IP包頭內(nèi)通過網(wǎng)絡(luò)發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對(duì)收到的數(shù)據(jù)報(bào)進(jìn)行處理，在去除明文IP包頭，對(duì)內(nèi)容進(jìn)行解密之后，獲得最初的負(fù)載IP包。負(fù)載IP包在經(jīng)過正常處理之后被路由到位于目標(biāo)網(wǎng)絡(luò)的目的地。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.6IPSec隧道技術(shù)IPSec隧道模式具有以下特點(diǎn)：①只能支持IP數(shù)據(jù)流②工作在IP棧（IPStack）的底層，因此，應(yīng)用程序和高層協(xié)議可以繼承IPSec的行為。③由一個(gè)安全策略（一整套過濾機(jī)制）進(jìn)行控制。安全策略按照優(yōu)先級(jí)的先后順序創(chuàng)建可供使用的加密和隧道機(jī)制以及驗(yàn)證方式。當(dāng)需要建立通訊時(shí)，雙方機(jī)器執(zhí)行相互驗(yàn)證，然后協(xié)商使用何種加密方式。此后的所有數(shù)據(jù)流都將使用雙方協(xié)商的加密機(jī)制進(jìn)行加密，然后封裝在隧道包頭內(nèi)。IPSec隧道技術(shù)是一種由國(guó)際互聯(lián)網(wǎng)工程任務(wù)組（InternetEngineeringTaskForce，IETF）定義的、端到端的、確?；贗P通訊的數(shù)據(jù)安全性的機(jī)制。IPSec支持對(duì)數(shù)據(jù)加密，同時(shí)確保數(shù)據(jù)的完整性。按照IETF的規(guī)定，不采用數(shù)據(jù)加密時(shí)，IPSec使用驗(yàn)證包頭（AH）提供驗(yàn)證來源驗(yàn)證（SourceAuthentication)，確保數(shù)據(jù)的完整性；IPSec使用封裝安全負(fù)載（ESP）與加密一道提供來源驗(yàn)證，確保數(shù)據(jù)完整性。IPSec協(xié)議下，只有發(fā)送方和接受方知道秘密密鑰。如果驗(yàn)證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來自發(fā)送方，并且在傳輸過程中沒有受到破壞。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.6IPSec隧道技術(shù)我們可以把IPSec協(xié)議理解為位于TCP/IP協(xié)議棧的下層協(xié)議。該層由每臺(tái)機(jī)器上的安全策略和發(fā)送、接受方協(xié)商的安全關(guān)聯(lián)（SecurityAssociation)進(jìn)行控制。安全策略由一套過濾機(jī)制和關(guān)聯(lián)的安全行為組成。如果一個(gè)數(shù)據(jù)包的IP地址、協(xié)議和端口號(hào)滿足過濾機(jī)制，那么這個(gè)數(shù)據(jù)包將要遵守關(guān)聯(lián)的安全行為。第一個(gè)滿足過濾機(jī)制的數(shù)據(jù)包將會(huì)引發(fā)發(fā)送和接收方對(duì)安全關(guān)聯(lián)進(jìn)行協(xié)商。ISAKMP/OAKLEY是這種協(xié)商采用的標(biāo)準(zhǔn)協(xié)議。在一個(gè)ISAKMP/OAKLEY交換過程中，兩臺(tái)機(jī)器對(duì)驗(yàn)證和數(shù)據(jù)安全方式達(dá)成一致，進(jìn)行相互驗(yàn)證，然后生成一個(gè)用于隨后的數(shù)據(jù)加密的共享密鑰。

第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.3.6IPSec隧道技術(shù)通過一個(gè)位于IP包頭和傳輸包頭之間的驗(yàn)證包頭可以提供IP負(fù)載數(shù)據(jù)的完整性和數(shù)據(jù)驗(yàn)證。驗(yàn)證包頭包括驗(yàn)證數(shù)據(jù)和一個(gè)序列號(hào)，共同用來驗(yàn)證發(fā)送方身份，確保數(shù)據(jù)在傳輸過程中沒有被改動(dòng)，防止受到第三方的攻擊。IPSec驗(yàn)證包頭不提供數(shù)據(jù)加密；信息將以明文方式發(fā)送。為了保證數(shù)據(jù)的保密性并防止數(shù)據(jù)被第3方竊取，封裝安全負(fù)載（ESP）提供了一種對(duì)IP負(fù)載進(jìn)行加密的機(jī)制。另外，ESP還可以提供數(shù)據(jù)驗(yàn)證和數(shù)據(jù)完整性服務(wù)；因此在IPSec數(shù)據(jù)包中，可以用ESP包頭替代AH包頭。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4黑客攻擊與防范9.4.1黑客攻擊的基本概念黑客一般是指網(wǎng)絡(luò)的非法入侵者，他們往往是優(yōu)秀的程序員，具有計(jì)算機(jī)網(wǎng)絡(luò)和物聯(lián)網(wǎng)的軟件及硬件的高級(jí)知識(shí)，并有能力通過一些特殊的方法剖析和攻擊網(wǎng)絡(luò)。黑客以破壞網(wǎng)絡(luò)系統(tǒng)為目的，往往采用某些不正當(dāng)?shù)氖侄握页鼍W(wǎng)絡(luò)的漏洞，并利用網(wǎng)絡(luò)漏洞破壞計(jì)算機(jī)網(wǎng)絡(luò)或物聯(lián)網(wǎng)，從而危害網(wǎng)絡(luò)的安全。黑客技術(shù)，簡(jiǎn)單地說，是對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的缺陷和漏洞的發(fā)現(xiàn)，以及針對(duì)這些缺陷實(shí)施攻擊的技術(shù)。這里說的缺陷，包括軟件缺陷、硬件缺陷、網(wǎng)絡(luò)協(xié)議缺陷、管理缺陷和人為的失誤。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4黑客攻擊與防范9.4.1黑客攻擊的基本概念最初，“黑客”一詞由英語(yǔ)Hacker英譯而來，是指專門研究、發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)漏洞的計(jì)算機(jī)愛好者。他們伴隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展而產(chǎn)生和成長(zhǎng)。黑客對(duì)計(jì)算機(jī)有著狂熱的興趣和執(zhí)著的追求，他們不斷地研究計(jì)算機(jī)和網(wǎng)絡(luò)知識(shí)，發(fā)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)中存在的漏洞，喜歡挑戰(zhàn)高難度的網(wǎng)絡(luò)系統(tǒng)并從中找到漏洞，然后向管理員提出解決和修補(bǔ)漏洞的方法。但目前黑客一詞已被用于泛指那些專門利用計(jì)算機(jī)搞破壞或惡作劇的家伙，對(duì)這些人的正確英文叫法是Cracker,有人也翻譯成“駭客”或是“入侵者”，也正是由于入侵者的出現(xiàn)玷污了黑客的聲譽(yù)，使人們把黑客和入侵者混為一談，黑客被人們認(rèn)為是在網(wǎng)上到處搞破壞的人。黑客攻擊的目的主要是為了竊取信息，獲取口令，控制中間站點(diǎn)和獲得超級(jí)用戶權(quán)限，其中竊取信息是黑客最主要的目的。竊取信息不一定只是復(fù)制該信息，還包括對(duì)信息的更改、替換和刪除，也包括把機(jī)密信息公開發(fā)布等行為。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4黑客攻擊與防范9.4.1黑客攻擊的基本概念簡(jiǎn)單地說，攻擊就是指一切對(duì)計(jì)算機(jī)的非授權(quán)行為，攻擊的全過程應(yīng)該是由攻擊者發(fā)起，攻擊者應(yīng)用一定的攻擊方法和攻擊策略，利用些攻擊技術(shù)或工具，對(duì)目標(biāo)信息系統(tǒng)進(jìn)行非法訪問，達(dá)到一定的攻擊效果，并實(shí)現(xiàn)攻擊者的預(yù)定目標(biāo)。因此，凡是試圖繞過系統(tǒng)的安全策略或是對(duì)系統(tǒng)進(jìn)行滲透，以獲取信息、修改信息甚至破壞目標(biāo)網(wǎng)絡(luò)或系統(tǒng)功能為目的的行為都可以稱為黑客攻擊。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.2黑客常用的攻擊方法1.竊取密碼竊取密碼是最常見的攻擊方法之一。一般來說，黑客竊取密碼會(huì)使用以下三種方法：①通過網(wǎng)絡(luò)監(jiān)聽非法獲得用戶的密碼，這類方法雖然有一定的局限性，但是危害性極大，監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶賬號(hào)和密碼，對(duì)局域網(wǎng)安全威脅巨大；②在知道用戶的賬號(hào)后（如電子郵件@前面的部分）利用一些專門軟件強(qiáng)行破解用戶密碼，這種方法不受網(wǎng)段限制，但黑客要有足夠的耐心和時(shí)間；③在首先獲得一個(gè)服務(wù)器上的用戶密碼文件（Shadow文件）后，再用暴力破解程序破解用戶密碼，應(yīng)用這種方法的前提條件是黑客要先獲得密碼的Shadow文件。在黑客竊取密碼的這三種方法中，第三種方法的危害最大，因?yàn)樗恍枰竦诙N方法那樣，一遍又一遍地嘗試登錄服務(wù)器，而是在本地將加密后的密碼與Shadow文件中的密碼相比較，就可以非常容易地破獲用戶的密碼，尤其對(duì)那些安全意識(shí)薄弱的用戶。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.2黑客常用的攻擊方法1.竊取密碼某些用戶設(shè)置的密碼安全系數(shù)極低，例如某個(gè)用戶的帳號(hào)為zys，他將密碼簡(jiǎn)單地設(shè)置為zys、zys123、123456等，因此，黑客僅僅需要花短短的幾分鐘，甚至幾十秒內(nèi)就可以猜出密碼。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.2黑客常用的攻擊方法2.特洛伊木馬程序特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它經(jīng)常被偽裝成工具軟件或者游戲軟件，誘使用戶運(yùn)行從網(wǎng)上下載的帶有特洛伊木馬程序的軟件，或者打開帶有特洛伊木馬程序的電子郵件附件，一旦用戶運(yùn)行了特洛伊木馬程序之后，它們就會(huì)象古代特洛伊人在敵人城外留下的藏匿了士兵的木馬一樣隱藏在用戶的電腦中，并在用戶的計(jì)算機(jī)系統(tǒng)中隱藏一個(gè)可以在Windows操作系統(tǒng)啟動(dòng)時(shí)悄悄執(zhí)行的程序。當(dāng)用戶連接到互聯(lián)網(wǎng)上時(shí)，這個(gè)程序就會(huì)通知黑客，并報(bào)告用戶的IP地址以及預(yù)先設(shè)定的端口。黑客在收到這些信息后，利用這個(gè)潛伏在其中的木馬程序，就可以任意地修改用戶的計(jì)算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視用戶整個(gè)硬盤中的內(nèi)容等，從而達(dá)到控制用戶的計(jì)算機(jī)的目的。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.2黑客常用的攻擊方法3.www欺騙技術(shù)在互聯(lián)網(wǎng)上，用戶可以利用IE等網(wǎng)頁(yè)瀏覽器訪問各種各樣的網(wǎng)站，如瀏覽新聞、查詢產(chǎn)品價(jià)格、進(jìn)行證券交易、電子商務(wù)等。然而，許多用戶也許不會(huì)想到，這些常用的、簡(jiǎn)單的上網(wǎng)操作，存在著嚴(yán)重的安全隱患。例如，訪問的網(wǎng)頁(yè)已經(jīng)被黑客篡改過，網(wǎng)頁(yè)上的信息是虛假的！黑客很可能將用戶要瀏覽的網(wǎng)頁(yè)的URL改寫為指向黑客自己的服務(wù)器，當(dāng)用戶瀏覽這些網(wǎng)頁(yè)的時(shí)候，實(shí)際上是向黑客服務(wù)器發(fā)送信息，那么黑客就可以輕易竊取用戶的機(jī)密信息，如登錄的帳號(hào)和密碼等，從而達(dá)到欺騙的目的。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.2黑客常用的攻擊方法4.電子郵件攻擊電子郵件攻擊主要表現(xiàn)為兩種方式：第一種方式是電子郵件轟炸和電子郵件“滾雪球”，也就是通常所說的郵件炸彈，指的是用偽造的IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計(jì)、萬(wàn)計(jì)甚至無窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴(yán)重者可能會(huì)給電子郵件服務(wù)器操作系統(tǒng)帶來危險(xiǎn)，甚至癱瘓；第二種方式是電子郵件欺騙，攻擊者佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），給用戶發(fā)送郵件要求用戶修改密碼（密碼可能為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序。某些單位的網(wǎng)絡(luò)管理員有定期給用戶免費(fèi)發(fā)送防火墻升級(jí)程序的責(zé)任，這為黑客成功地利用該方法提供了可乘之機(jī)。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.2黑客常用的攻擊方法5.通過一個(gè)節(jié)點(diǎn)來攻擊其他節(jié)點(diǎn)黑客在攻破一臺(tái)主機(jī)后，往往以此主機(jī)作為根據(jù)地，繼續(xù)攻擊其他主機(jī)，從而隱蔽其入侵路徑，避免留下蛛絲馬跡。黑客往往使用網(wǎng)絡(luò)監(jiān)聽方法，嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)；也可以通過IP欺騙和主機(jī)信任關(guān)系，攻擊其他主機(jī)。這類攻擊很狡猾，但由于這種技術(shù)很難掌握，如IP欺騙，因此較少被黑客使用。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.2黑客常用的攻擊方法6.網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接受到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接受方是誰(shuí)。此時(shí)，如果兩臺(tái)主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具，就可以輕而易舉地截取包括密碼和帳號(hào)在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶帳號(hào)和密碼具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號(hào)及密碼。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.2黑客常用的攻擊方法7.尋找系統(tǒng)漏洞許多操作系統(tǒng)都有這樣那樣的安全漏洞（Bugs），其中某些是操作系統(tǒng)或應(yīng)用軟件本身具有的，如Windows中的共享目錄密碼驗(yàn)證漏洞和IE瀏覽網(wǎng)漏洞等，這些漏洞在補(bǔ)丁未被開發(fā)出來之前一般很難防御黑客的破壞，除非你將網(wǎng)線拔掉；還有一些漏洞是由于系統(tǒng)管理員配置錯(cuò)誤引起的，如在網(wǎng)絡(luò)文件系統(tǒng)中，將目錄和文件以可寫的方式調(diào)出，將未加Shadow的用戶密碼文件以明碼方式存放在某一目錄下，這都會(huì)給黑客帶來可乘之機(jī)，應(yīng)及時(shí)加以修正。

第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.2黑客常用的攻擊方法8.利用帳號(hào)進(jìn)行攻擊有些黑客會(huì)利用操作系統(tǒng)的缺省賬戶和密碼進(jìn)行攻擊，例如許多UNIX主機(jī)都有FTP和Guest等缺省賬戶（其密碼和賬戶名同名），有的甚至沒有密碼。黑客用UNIX操作系統(tǒng)提供的命令如Finger和Ruser等收集信息，不斷提高自己的攻擊能力。這類攻擊只要系統(tǒng)管理員提高警惕，將系統(tǒng)提供的缺省賬戶關(guān)掉或提醒無密碼用戶增加密碼一般都能克服。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.2黑客常用的攻擊方法9.獲取特權(quán)利用各種特洛伊木馬程序、后門程序和黑客自己編寫的導(dǎo)致緩沖區(qū)溢出的程序進(jìn)行攻擊，前者可使黑客非法獲得對(duì)用戶機(jī)器的完全控制權(quán)，后者可使黑客獲得超級(jí)用戶的權(quán)限，從而擁有對(duì)整個(gè)網(wǎng)絡(luò)的絕對(duì)控制權(quán)。這種攻擊手段，一旦奏效，危害性極大。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.3黑客常用的攻擊步驟黑客的攻擊手段變幻莫測(cè)，但縱觀其整個(gè)攻擊過程，還是有一定規(guī)律可循的，通?？梢苑譃楣羟白?、實(shí)施攻擊、鞏固控制、繼續(xù)深入等四個(gè)步驟。1.攻擊前奏黑客鎖定目標(biāo)、了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)，收集各種目標(biāo)系統(tǒng)的信息等。網(wǎng)絡(luò)上有許多主機(jī)，黑客首先要尋找他要攻擊的網(wǎng)站，鎖定目標(biāo)的IP地址，黑客會(huì)利用域名和IP地址就可以順利地找到目標(biāo)主機(jī)。

確定要攻擊的目標(biāo)后，黑客就會(huì)設(shè)法了解其所在的網(wǎng)絡(luò)結(jié)構(gòu)，哪里是網(wǎng)關(guān)、路由，哪里有防火墻，哪些主機(jī)與要攻擊的目標(biāo)主機(jī)關(guān)系密切等，最簡(jiǎn)單地就是用tracert命令追蹤路由，也可以發(fā)一些數(shù)據(jù)包看其是否能通過來猜測(cè)其防火墻過濾則的設(shè)定等。當(dāng)然經(jīng)驗(yàn)豐富的黑客在探測(cè)目標(biāo)主機(jī)的信息的時(shí)候往往會(huì)利用其他計(jì)算機(jī)來間接的探測(cè)，從而隱藏他們真實(shí)的IP地址。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.3黑客常用的攻擊步驟1.攻擊前奏在收集到目標(biāo)的第一批網(wǎng)絡(luò)信息之后，黑客會(huì)對(duì)網(wǎng)絡(luò)上的每臺(tái)主機(jī)進(jìn)行全面的系統(tǒng)分析，以尋求該主機(jī)的安全漏洞或安全弱點(diǎn)。首先黑客要知道目標(biāo)主機(jī)采用的是什么操作系統(tǒng)什么版本，如果目標(biāo)開放telnet服務(wù)，那只要telnet

xx.xx.xx.xx.（目標(biāo)主機(jī)），就會(huì)顯示“digitalunlx(xx.xx.xx.xx)(ttypl)login：”這樣的系統(tǒng)信息。收集系統(tǒng)信息當(dāng)然少不了安全掃描器，黑客往往會(huì)利用安全掃描器來幫他們發(fā)現(xiàn)系統(tǒng)的各種漏洞，包括各種系統(tǒng)服務(wù)漏洞，應(yīng)用軟件漏洞，弱密碼用戶等。接著黑客還會(huì)檢查其開放端口進(jìn)行服務(wù)分析，看是否有能被利用的服務(wù)。因特網(wǎng)上的主機(jī)大部分都開放www、mail、ftp、telnet等日常網(wǎng)絡(luò)服務(wù)，通常情況下telnet服務(wù)的端口是23等，www服務(wù)的端口是80，ftp服務(wù)的端口是23。利用信息服務(wù)，像snmp服務(wù)、traceroute程序、whois服務(wù)可用來查閱網(wǎng)絡(luò)系統(tǒng)路由器的路由表，從而了解目標(biāo)主機(jī)所在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及其內(nèi)部細(xì)節(jié)，traceroute程序能夠用該程序獲得到達(dá)目標(biāo)主機(jī)所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由器數(shù)，whois協(xié)議服務(wù)能提供所有有關(guān)的dns域和相關(guān)的管理參數(shù)，finger協(xié)議可以用finger服務(wù)來獲取一個(gè)指一個(gè)指定主機(jī)上的所有用戶的詳細(xì)信息(如用戶注冊(cè)名、電話號(hào)碼、最后注冊(cè)時(shí)間以及他們有沒有讀郵件等等)。所以如果沒有特殊的需要，管理員應(yīng)該關(guān)閉這些服務(wù)。

第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.3黑客常用的攻擊步驟2.實(shí)施攻擊當(dāng)黑客收集到了足夠的目標(biāo)主機(jī)的信息，對(duì)系統(tǒng)的安全弱點(diǎn)有一定的了解后就會(huì)發(fā)起攻擊。當(dāng)然，黑客們會(huì)根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)、不同的系統(tǒng)情況而采用的不同的攻擊手段。黑客攻擊的最終目的是能夠控制目標(biāo)系統(tǒng)，竊取其中的機(jī)密文件等。但是，黑客的攻擊未必能夠得逞，達(dá)到控制目標(biāo)主機(jī)的目的。因此，有時(shí)黑客也會(huì)發(fā)動(dòng)拒絕服務(wù)攻擊之類的干擾攻擊，使系統(tǒng)不能正常工作，甚至癱瘓。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.3黑客常用的攻擊步驟3.鞏固控制黑客利用種種手段進(jìn)入目標(biāo)主機(jī)系統(tǒng)并獲得控制權(quán)之后，未必會(huì)立即進(jìn)行破壞活動(dòng)，刪除數(shù)據(jù)、涂改網(wǎng)頁(yè)等，這是黑客新手的行為。一般來說，入侵成功后，黑客為了能長(zhǎng)期地的保留和鞏固他對(duì)系統(tǒng)的控制權(quán)，不被管理員發(fā)現(xiàn)，他會(huì)做兩件事：清除記錄和留下后門。日志往往會(huì)記錄上一些黑攻擊的蛛絲馬跡，黑客當(dāng)然不會(huì)留下這些“犯罪證據(jù)”，他會(huì)把它刪了或用假日志覆蓋它，為了日后面以不被覺察地再次進(jìn)入系統(tǒng)，黑客會(huì)更改某些系統(tǒng)設(shè)置、在系統(tǒng)中置入特洛伊木馬或其他一些遠(yuǎn)程操縱程序。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.3黑客常用的攻擊步驟4.繼續(xù)深入使用清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后，攻擊者通常就會(huì)采取下一步的行動(dòng)，竊取主機(jī)上的各種敏感信息：如客戶名單和通訊錄、財(cái)務(wù)報(bào)表、信用卡帳號(hào)和密碼、用戶的相片等，也可能是什么都不動(dòng)，只是把用戶的系統(tǒng)作為他存放黑客程序或資料的倉(cāng)庫(kù)，也可能黑客會(huì)利用這臺(tái)已經(jīng)攻陷的主機(jī)去繼續(xù)他下一步的攻擊，如：繼續(xù)入侵內(nèi)部網(wǎng)絡(luò)，或者利用這臺(tái)主機(jī)發(fā)動(dòng)DoS攻擊使網(wǎng)絡(luò)癱瘓。

網(wǎng)絡(luò)世界瞬息萬(wàn)變，黑客們各有不同，他們的攻擊流程也不會(huì)完全相同，以上提到的攻擊步驟是對(duì)概括而言的，是絕大部分黑客一般情況下采用的攻擊步驟。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.4防范黑客攻擊的對(duì)策黑客對(duì)服務(wù)器進(jìn)行掃描是輕而易舉的，一旦讓黑客找到了服務(wù)器存在的漏洞，則其后果是非常嚴(yán)重的。因此，作為網(wǎng)絡(luò)管理員應(yīng)該采取必要的技術(shù)手段，防范黑客對(duì)服務(wù)器進(jìn)行攻擊。以下介紹針對(duì)黑客各種不同的攻擊行為，網(wǎng)絡(luò)管理員可以采取的防御對(duì)策。

1.屏蔽可疑的IP地址這種方法見效最快，一旦網(wǎng)絡(luò)管理員發(fā)現(xiàn)了可疑的IP地址，可以通過防火墻屏蔽相應(yīng)的IP地址，這樣黑客就無法在連接到服務(wù)器上了。但是這種方法有很多缺點(diǎn)，例如很多黑客都使用的動(dòng)態(tài)IP，也就是說他們的IP地址會(huì)變化，一個(gè)地址被屏蔽，只要更換其他IP仍然可以進(jìn)攻服務(wù)器，而且某些黑客有可能偽造IP地址，使屏蔽IP地址無法奏效。2.過濾信息包網(wǎng)絡(luò)管理員可以通過編寫防火墻規(guī)則，讓系統(tǒng)知道什么樣的信息包允許進(jìn)入、什么樣的信息包應(yīng)該放棄，如此一來，當(dāng)黑客發(fā)送有攻擊性信息包的時(shí)候，當(dāng)經(jīng)過防火墻時(shí)，信息包就會(huì)被丟棄掉，從而防止了黑客的攻擊。但是這種做法仍然有不足之處，例如黑客可以修改攻擊性代碼的方式，使防火墻分辨不出信息包的真假；或者黑客干脆無休止的、大量地發(fā)送信息包，直到服務(wù)器不堪重負(fù)而造成系統(tǒng)崩潰。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.4防范黑客攻擊的對(duì)策3.修改系統(tǒng)協(xié)議對(duì)于漏洞掃描，網(wǎng)絡(luò)管理員可以修改服務(wù)器的相應(yīng)協(xié)議來進(jìn)行防御。例如，漏洞掃描是根據(jù)對(duì)文件掃描的返回值來判斷文件是否存在的。在正常情況下，如果返回值是200，則表示服務(wù)器存在這個(gè)文件；如果返回值是404，則表明服務(wù)器上沒有這個(gè)的文件。假如網(wǎng)絡(luò)管理員修改了返回文件返回值，那么黑客就無法通過漏洞掃描檢測(cè)文件是否存在了。

4.修補(bǔ)安全漏洞任何一個(gè)版本的操作系統(tǒng)發(fā)布之后，在短時(shí)間內(nèi)都不會(huì)受到攻擊，一旦其中的問題暴露出來，黑客就會(huì)蜂擁而致。因此管理員在維護(hù)系統(tǒng)的時(shí)候，可以經(jīng)常瀏覽著名的安全站點(diǎn)，找到系統(tǒng)的新版本或者補(bǔ)丁程序進(jìn)行安裝，這樣就可以保證系統(tǒng)中的安全漏洞在沒有被黑客發(fā)現(xiàn)之前，就已經(jīng)修補(bǔ)上了，從而保證了服務(wù)器的安全。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.4防范黑客攻擊的對(duì)策5.及時(shí)備份重要數(shù)據(jù)亡羊補(bǔ)牢，尤未為晚。如果及時(shí)做好了數(shù)據(jù)備份，即便系統(tǒng)遭到黑客進(jìn)攻，也可以在短時(shí)間內(nèi)修復(fù)，挽回不必要的經(jīng)濟(jì)損失。許多大型網(wǎng)站，都會(huì)在每天晚上對(duì)系統(tǒng)數(shù)據(jù)庫(kù)進(jìn)行備份，在次日清晨，無論系統(tǒng)是否收到攻擊，都會(huì)重新恢復(fù)數(shù)據(jù)，保證每天系統(tǒng)中的數(shù)據(jù)庫(kù)都不會(huì)出現(xiàn)損壞。備份的數(shù)據(jù)庫(kù)文件最好存放到其他電腦的硬盤或者磁帶上，這樣黑客進(jìn)入服務(wù)器之后，破壞的數(shù)據(jù)只是一部分，因?yàn)闊o法找到數(shù)據(jù)的備份，對(duì)于服務(wù)器的損失也不會(huì)太嚴(yán)重。

一旦受到黑客攻擊，網(wǎng)絡(luò)管理員不要僅僅設(shè)法恢復(fù)損壞的數(shù)據(jù)，還要及時(shí)分析黑客的來源和攻擊方法，盡快修補(bǔ)被黑客利用的漏洞，然后檢查系統(tǒng)中是否被黑客安裝了木馬、蠕蟲或者被黑客開放了某些管理員賬號(hào)，盡量將黑客留下的各種蛛絲馬跡和后門分析清除、清除干凈，防止黑客的下一次攻擊。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.4.4防范黑客攻擊的對(duì)策6.使用加密機(jī)制傳輸數(shù)據(jù)對(duì)于個(gè)人信用卡、密碼等重要數(shù)據(jù)，在客戶端與服務(wù)器之間的傳送，應(yīng)該事先經(jīng)過加密處理才進(jìn)行發(fā)送，這樣做的目的是防止黑客監(jiān)聽、截獲。對(duì)于現(xiàn)在網(wǎng)絡(luò)上流行的各種加密機(jī)制，都已經(jīng)出現(xiàn)了不同的破解方法，因此在加密的選擇上應(yīng)該尋找破解困難的，例如DES加密方法，這是一套沒有逆向破解的加密算法，因此黑客的到了這種加密處理后的文件時(shí)，只能采取暴力破解法。個(gè)人用戶只要選擇了一個(gè)優(yōu)秀的密碼，那么黑客的破解工作將會(huì)在無休止的嘗試后終止。7.安裝安全軟件網(wǎng)絡(luò)管理員應(yīng)在服務(wù)器安裝必要的安全軟件，殺毒軟件和防火墻都是必不可少的。在連接網(wǎng)絡(luò)之前，事先運(yùn)行這些安全軟件，即使遭遇黑客的攻擊，物聯(lián)網(wǎng)系統(tǒng)也具有較強(qiáng)的防御能力。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.5網(wǎng)絡(luò)病毒的防護(hù)9.5.1網(wǎng)絡(luò)病毒的概念網(wǎng)絡(luò)病毒（NetworkVirus）是編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)網(wǎng)絡(luò)功能或者數(shù)據(jù)的代碼，能影響計(jì)算機(jī)網(wǎng)絡(luò)的使用，能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。網(wǎng)絡(luò)病毒具有傳染性、繁殖性、潛伏性、隱蔽性、可觸發(fā)性和破壞性等特征。網(wǎng)絡(luò)病毒的生命周期包括：開發(fā)期→傳染期→潛伏期→發(fā)作期→發(fā)現(xiàn)期→消化期→消亡期。網(wǎng)絡(luò)病毒是一個(gè)程序，或一段可執(zhí)行的代碼。就像生物病毒一樣，具有自我繁殖、互相傳染以及激活再生等生物病毒特征。網(wǎng)絡(luò)病毒有獨(dú)特的復(fù)制能力，它們能夠通過計(jì)算機(jī)網(wǎng)絡(luò)快速蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上，當(dāng)文件被復(fù)制或通過網(wǎng)絡(luò)從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，它們就隨同文件一起蔓延開來。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.5網(wǎng)絡(luò)病毒的防護(hù)9.5.1網(wǎng)絡(luò)病毒的概念網(wǎng)絡(luò)病毒與醫(yī)學(xué)上的“病毒”不同，網(wǎng)絡(luò)病毒不是天然存在的，而是程序員利用計(jì)算機(jī)網(wǎng)絡(luò)軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能潛伏在計(jì)算機(jī)的存儲(chǔ)介質(zhì)（或程序）里，條件滿足時(shí)即被激活，通過修改其他程序的方法將病毒代碼的精確拷貝或者可能演化的形式放入其他程序中。從而感染其他計(jì)算機(jī)程序，對(duì)計(jì)算機(jī)資源進(jìn)行破壞。因此，網(wǎng)絡(luò)病毒是人為編寫的惡意程序，對(duì)其他網(wǎng)絡(luò)用戶的危害性極大。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.5.2網(wǎng)絡(luò)病毒的特征1.傳染性網(wǎng)絡(luò)病毒傳染性是指網(wǎng)絡(luò)病毒通過修改別的程序?qū)⒆陨淼膹?fù)制品或其變體傳染到其它無毒的對(duì)象上，這些對(duì)象可以是一個(gè)程序也可以是系統(tǒng)中的某一個(gè)部件。2.繁殖性網(wǎng)絡(luò)病毒可以像生物病毒一樣進(jìn)行繁殖，當(dāng)正常程序運(yùn)行時(shí)，它也進(jìn)行運(yùn)行自身復(fù)制，是否具有繁殖、感染的特征是判斷某段程序?yàn)榫W(wǎng)絡(luò)病毒的首要條件。3.潛伏性網(wǎng)絡(luò)病毒潛伏性是指網(wǎng)絡(luò)病毒可以依附于其它媒體寄生的能力，侵入后的病毒潛伏到條件成熟才發(fā)作，會(huì)使電腦變慢。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.5.2網(wǎng)絡(luò)病毒的特征4.隱蔽性網(wǎng)絡(luò)病毒具有很強(qiáng)的隱蔽性，可以通過病毒軟件檢查出來少數(shù)，隱蔽性網(wǎng)絡(luò)病毒時(shí)隱時(shí)現(xiàn)、變化無常，這類病毒處理起來非常困難。5.可觸發(fā)性編制網(wǎng)絡(luò)病毒的人，一般都為病毒程序設(shè)定了一些觸發(fā)條件，例如，系統(tǒng)時(shí)鐘到達(dá)某個(gè)特定的日期，或者系統(tǒng)運(yùn)行了某個(gè)特定的程序等。一旦觸發(fā)條件滿足，網(wǎng)絡(luò)病毒就會(huì)“發(fā)作”，對(duì)系統(tǒng)進(jìn)行破壞。6.破壞性網(wǎng)絡(luò)病毒發(fā)作時(shí)，會(huì)對(duì)計(jì)算機(jī)的軟件或硬件進(jìn)行破壞。例如，可能會(huì)導(dǎo)致正常的程序無法運(yùn)行，也可能把計(jì)算機(jī)內(nèi)的重要文件刪除或篡改，甚至可能會(huì)破壞硬盤中的引導(dǎo)扇區(qū)、破壞BIOS，使計(jì)算機(jī)無法正常工作。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.5.3網(wǎng)絡(luò)病毒的分類網(wǎng)絡(luò)病毒種類繁多而且復(fù)雜，按照不同的方式以及網(wǎng)絡(luò)病毒的特點(diǎn)及特性，可以有多種不同的分類方法。同時(shí)，根據(jù)不同的分類方法，同一種網(wǎng)絡(luò)病毒也可以屬于不同的網(wǎng)絡(luò)病毒種類。1.根據(jù)網(wǎng)絡(luò)病毒寄存的媒體來分類根據(jù)網(wǎng)絡(luò)病毒寄存的媒體來分類，可分為網(wǎng)絡(luò)病毒、文件病毒和引導(dǎo)型病毒三類。①網(wǎng)絡(luò)病毒這類網(wǎng)絡(luò)病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，感染網(wǎng)絡(luò)中的可執(zhí)行文件。②文件病毒這類病毒感染計(jì)算機(jī)系統(tǒng)中的文件（如：COM，EXE，DOC等）。③引導(dǎo)型病毒引導(dǎo)型病毒感染啟動(dòng)扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（MBR）。此外，還有以上三種病毒的混合型病毒，例如：多型病毒（文件和引導(dǎo)型）同時(shí)感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時(shí)使用了加密和變形算法。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.5.3網(wǎng)絡(luò)病毒的分類2.根據(jù)病毒傳染渠道來分類根據(jù)病毒傳染渠道來劃分，可以分為駐留型病毒和非駐留型病毒兩類。①駐留型病毒駐留型病毒感染計(jì)算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存（RAM）中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去，它處于激活狀態(tài)，一直到關(guān)機(jī)或重新啟動(dòng)。②非駐留型病毒一些非駐留型病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存；還有一些非駐留型病毒在內(nèi)存中留有小部分，但是并不通過這一部分進(jìn)行傳染，這類病毒也被劃分為非駐留型病毒。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.5.3網(wǎng)絡(luò)病毒的分類3.根據(jù)病毒的破壞能力來分類根據(jù)病毒的破壞能力來分類，可以分為無害型病毒、無危險(xiǎn)型病毒、危險(xiǎn)型病毒和非常危險(xiǎn)型病毒。①無害型病毒無害型病毒除了傳染時(shí)減少磁盤的可用空間外，對(duì)系統(tǒng)沒有其它影響。②無危險(xiǎn)型病毒這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類影響。③危險(xiǎn)型病毒這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。④非常危險(xiǎn)型病毒這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.5.3網(wǎng)絡(luò)病毒的分類4.根據(jù)網(wǎng)絡(luò)病毒所使用的算法來分類根據(jù)網(wǎng)絡(luò)病毒所使用的算法來劃分，可以分為伴隨型病毒、“蠕蟲”型病毒、寄生型病毒、練習(xí)型病毒、詭秘型病毒和變型病毒等類型。①伴隨型病毒這類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴(kuò)展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。②“蠕蟲”型病毒這類病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌鼨C(jī)器的內(nèi)存，計(jì)算機(jī)將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時(shí)它們也會(huì)在系統(tǒng)中存在，一般來說，除了內(nèi)存以外，“蠕蟲”型病毒不占用其它資源。③寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進(jìn)行傳播，按其算法不同還可細(xì)分為以下幾類。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.5.3網(wǎng)絡(luò)病毒的分類4.根據(jù)網(wǎng)絡(luò)病毒所使用的算法來分類④練習(xí)型病毒練習(xí)型病毒自身包含錯(cuò)誤代碼，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。⑤詭秘型病毒詭秘型病毒它們一般不直接修改DOS中斷和扇區(qū)數(shù)據(jù)，而是通過設(shè)備技術(shù)和文件緩沖區(qū)等對(duì)DOS內(nèi)部進(jìn)行修改，不易看到資源，使用比較高級(jí)的技術(shù)。利用DOS空閑的數(shù)據(jù)區(qū)進(jìn)行工作。⑥變型病毒變型病毒又稱為幽靈病毒，這一類病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長(zhǎng)度。它們一般的做法是一段混有無關(guān)指令的解碼算法和被變化過的病毒體組成。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.5.4網(wǎng)絡(luò)病毒的檢測(cè)網(wǎng)絡(luò)病毒的檢測(cè)通常分為手工檢測(cè)和自動(dòng)檢測(cè)兩種方法。1.手工檢測(cè)手工檢測(cè)是指通過一些軟件工具（如DEBUG.COM、PCTOOLS）等提供的功能進(jìn)行病毒的檢測(cè)。手工檢測(cè)方法比較復(fù)雜，需要檢測(cè)者熟悉計(jì)算機(jī)工作原理、匯編語(yǔ)言、機(jī)器指令和操作系統(tǒng)，因而無法普及。它的基本過程是利用一些工具軟件，對(duì)易遭病毒攻擊和修改的內(nèi)存及磁盤的有關(guān)部分進(jìn)行檢查，通過與在正常情況下的狀態(tài)進(jìn)行對(duì)比分析，判斷是否被病毒感染，用這種方法檢測(cè)病毒，費(fèi)時(shí)、費(fèi)力，但可以剖析新病毒，檢測(cè)識(shí)別未知病毒，可以檢測(cè)一些自動(dòng)檢測(cè)工具不能識(shí)別的新病毒。第9章網(wǎng)絡(luò)層網(wǎng)絡(luò)攻擊與防范

9.5.4網(wǎng)絡(luò)病毒的檢測(cè)2.自動(dòng)檢測(cè)自動(dòng)檢測(cè)是指通過一些網(wǎng)絡(luò)病毒診斷軟件來識(shí)別一個(gè)計(jì)算機(jī)系統(tǒng)或一個(gè)U盤是否含有病毒的方法。自動(dòng)檢測(cè)相對(duì)比較簡(jiǎn)單，一般用戶都可以進(jìn)行，但需要有較好的網(wǎng)絡(luò)病毒診斷軟件。這種方法可以方便地檢測(cè)大量的病毒，但是自動(dòng)檢測(cè)工具只能識(shí)別已知病毒，而且檢測(cè)工具的發(fā)展總是滯后于病毒的發(fā)展，所以檢測(cè)工具對(duì)未知病毒不能識(shí)別。兩種方法比較而言，手工檢測(cè)方法操作難度大、技術(shù)復(fù)雜，它需要操作人員有一定的軟件分析經(jīng)驗(yàn)以及對(duì)操作系統(tǒng)有一定深入的了解。自動(dòng)檢測(cè)方法操作簡(jiǎn)單，使用方便，適合于一般的物聯(lián)網(wǎng)用戶學(xué)習(xí)使用。但是，由于網(wǎng)絡(luò)病毒的種類較多，程序復(fù)雜，再加上不斷地出現(xiàn)病毒的變種，所以自動(dòng)檢測(cè)方法不可