[互联网]第8章计算机网络安全基础.ppt

第8章 计算机网络安全基础,8.1 网络信息安全简介 8.2 Internet的安全技术 8.3 黑客攻击与计算机病毒8.4 常见的安全漏洞与防范,8.1 网络信息安全简介,8.1.1 网络信息安全的概述和标准,1网络安全的定义 网络安全的具体含义会随着“角度”的变化而变化。比如，从用户(个人、企业等)的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改和抵赖等手段侵犯用户的利益和隐私，同时也避免其他用户的非授权访问和破坏。,从网络运行和管理者的角度来说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机密信息泄露，避免对社会产生危害，对国家造成巨大损失。,从本质上来说，网络安全就是网络上的信息安全，是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改和泄露，系统可以连续可靠正常地运行，网络服务不中断。广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和解决的一个重要问题。,2不同环境和应用中的网络安全 运行系统安全即是保证信息处理和传输系统的安全。它侧重于保证系统正常运行，避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失，避免由于电磁泄漏而产生信息泄露，干扰他人和受他人干扰。网络上系统信息的安全包括用户口令鉴别，用户存取权限控制，数据存取权限、方式控制，安全审计，安全问题跟踪，计算机病毒防治和数据加密等。,网络上信息传播安全即是信息传播后果的安全，包括信息过滤等。它侧重于防止和控制非法的、有害的信息进行传播。避免公用网络上大量自由传输的信息失控。网络安全侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户利益的行为。,3网络安全要实现的目标,1)可靠性 可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定功能的特性。可靠性是系统安全最基本的要求之一，是所有网络信息系统的建设和运行目标。网络信息系统的可靠性测度主要有三种：抗毁性、生存性和有效性。抗毁性是指系统在人为破坏下的可靠性。比如，部分线路或结点失效后，系统是否仍然能够提供一定程度的服务。增强抗毁性可以有效地避免因各种灾害(战争、地震等)造成的大面积瘫痪事件。,生存性是在随机破坏下系统的可靠性。生存性主要反映随机性破坏和网络拓扑结构对系统可靠性的影响。这里，随机性破坏是指系统部件因为自然老化等造成的自然失效。有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效情况下，满足业务性能要求的程度。比如，网络部件失效虽然没有引起连接性故障，但是却出现质量指标下降、平均延时增加和线路阻塞等现象。,可靠性主要表现在硬件可靠性、软件可靠性、人员可靠性和环境可靠性等方面。硬件可靠性最为直观和常见。软件可靠性是指在规定的时间内，程序成功运行的概率。人员可靠性是指人员成功地完成工作或任务的概率。人员可靠性在整个系统可靠性中扮演重要角色，因为系统失效的大部分原因是人为差错造成的。人的行为要受到生理和心理的影响，也要受到其技术熟练程度、责任心和品德等素质方面的影响，因此，人员的教育、培养、训练和管理以及合理的人机界面是提高可靠性的重要方面。环境可靠性是指在规定的环境内，保证网络成功运行的概率。这里的环境主要是指自然环境和电磁环境。,2)可用性 可用性是网络信息可被授权实体访问并按需求使用的特性。即在需要网络信息服务时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性。可用性是网络信息系统面向用户的安全性能。网络信息系统最基本的功能是向用户提供服务，而用户的需求是随机的、多方面的，有时还有时间要求。可用性一般用系统正常使用时间和整个工作时间之比来度量。,可用性还应该满足以下要求：身份识别与确认、访问控制(对用户的权限进行控制，只能访问相应权限的资源，防止或限制经隐蔽通道的非法访问，包括自主访问控制和强制访问控制)、业务流控制(利用均分负荷方法，防止业务流量过度集中而引起网络阻塞)、路由选择控制(选择那些稳定可靠的子网、中继线或链路等)和审计跟踪(把网络信息系统中发生的所有安全事件情况存储在安全审计跟踪之中，以便分析原因，分清责任，及时采取相应的措施。审计跟踪的信息主要包括：事件类型、被管客体等级、事件时间、事件信息、事件回答以及事件统计等方面的信息)。,3)保密性 保密性是防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。常用的保密技术包括防侦收(使对手侦收不到有用的信息)、防辐射(防止有用信息以各种途径辐射出去)、信息加密(在密钥的控制下，用加密算法对信息进行加密处理，即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息)和物理保密(利用各种物理方法，如限制、隔离、掩蔽和控制等措施，保护信息不被泄露)等。,4)完整性 完整性是网络信息未经授权不能进行改变的特性。即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、存储和传输。完整性与保密性不同，保密性要求信息不泄露给未授权的人，而完整性则要求信息不致受到各种原因的破坏。影响网络信息完整性的主要因素有设备故障、误码(传输、处理和存储过程中产生的误码，定时的稳定度和精度降低造成的误码，各种干扰源造成的误码)、人为攻击和计算机病毒等。,保障网络信息完整性的主要方法有：协议通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段；纠错编码方法由此完成检错和纠错功能。最简单和常用的纠错编码方法是：奇偶校验法；密码校验和方法它是抗撰改和传输失败的重要手段；数字签名保障信息的真实性；公证请求网络管理或中介机构证明信息的真实性。,5)不可抵赖性 不可抵赖性也称作不可否认性，在网络信息系统的信息交互过程中，确信参与者的真实同一性。即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送的信息，利用递交接收证据可以防止收信方事后否认已接收的信息。,6)可控性 可控性是对网络信息的传播及内容具有控制能力的特性。概括地说，网络信息安全与保密的核心是通过计算机、网络、密码技术和安全技术，保护在公用网络信息系统中传输、交换和存储的消息的保密性、完整性、真实性、可靠性、可用性和不可抵赖性等。,8.1.2 网络信息安全现状 1发达国家的网络安全现状 国际上信息安全研究起步早，力度大，积累多，应用广。20世纪80年代，美国国防部基于军事计算机系统的保密需要，在70年代的基础理论研究成果计算机保密模型(Bell La padula模型)的基础上，制订了“可信计算机系统安全评价准则”(TCSEC)，其后又制订了关于网络系统、数据库等方面和系列安全解释，形成了安全信息系统体系结构的最早原则。至今美国已研究出达到 TCSEC要求安全系统(包括安全操作系统、安全数据库和安全网络部件)的产品100多种。,20世纪90年代初，英、法、德、荷四国针对TCSEC准则只考虑保密性的局限，联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(TISFC)，但是该准则中并没有给出综合解决以上问题的理论模型和方案。近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CC for ITSEC)。CC综合了国际上已有的评审准则和技术标准的精华，给出了框架和原则要求。然而，将作为取代TCSEC用于系统安全的评测的国际标准，它仍然缺少综合解决信息的多种安全属性的理论模型依据。同时，他们的高安全级别的产品对我国是封锁禁售的。,安全协议作为信息安全的重要内容，其形式化方法分析始于20世纪80年代初。目前有基于状态机、模态逻辑和代数工具三种分析方法，但仍有局限性和漏洞，处于发展提高阶段。由于在广泛应用的国际互联网上，黑客入侵事件不断发生，不良信息大量传播，因此网络安全监控管理理论和机制的研究受到重视。黑客入侵手段的研究分析、系统脆弱性检测技术、报警技术、信息内容分级标识机制和智能化信息内容分析等研究成果已经成为众多安全工具软件的基础。,研究中揭示出系统中存在许多设计缺陷，存在情报机构有意埋伏的安全陷阱的可能。例如在CPU芯片中，在发达国家现有技术条件下，可以植入无线发射接收功能，在操作系统、数据库管理系统或应用程序中能够预先安置从事情报收集和受控激发破坏程序。通过这些功能，可以接收特殊病毒；接收来自网络或空间的指令来触发CPU的自杀功能，搜集和发送敏感信息；通过特殊指令在加密操作中将部分明文隐藏在网络协议层中传输等。而且，通过惟一识别CPU个体的序列号，可以主动、准确地识别、跟踪或攻击一个使用该芯片的计算机系统，根据预先设定收集敏感信息或进行定向破坏。,作为信息安全关键技术的密码学，近年来空前活跃。美、欧、亚各洲举行的密码学和信息安全学术会议频繁。1976年美国学者提出的公开密钥密码体制克服了网络信息系统密钥管理的困难，同时解决了数字签名问题，并可用于身份认证，它是当前研究的热点。电子商务的安全性是当前人们普遍关注的焦点，目前正处于研究和发展阶段，它带动了论证理论、密钥管理等的研究。1977年美国颁布使用的国家数据加密标准由于密码分析和攻击手段的进步，已不能满足安全需要，美国正在征集作为21世纪的新的数据加密标准。随着计算机运算速度的不断提高，各种密码算法面临着新的密码体制，如量子密码、DNA密码、混沌理论，这些正处于探索中。,2中国的网络安全现状 我国信息安全研究经历了通信保密、计算机数据保护两个发展阶段，正在进入网络信息安全的研究阶段。安全体系的构建和评估，通过学习、吸收、消化TCSEC的原则进行了安全操作系统、多级安全数据库的研制。但由于系统安全内核受控于人以及国外产品的不断更新升级，因此基于具体产品的增强安全功能的成果，难以保证没有漏洞，难以得到推广应用。在学习借鉴国外技术的基础上，国内一些部门也开发研制了一些防火墙、安全路由器、安全网关、黑客入侵检测和系统脆弱性扫描软件等。但是，这些产品安全技术的完善性和规范化实用性还存在许多不足，特别是在多平台的兼容性、多协议的适应性和多接口的满足性方面存在很大距离，理论基础和自主的技术手段也需要发展和强化。,8.2 Internet的安全技术,8.2.1 防火墙技术 古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所，这种墙因此而得名“防火墙”。现在，如果一个网络连接到了Internet上，它的用户就可以访问外部世界并与之通信。但同时外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全和审计的惟一关卡。这种中介系统也叫做“防火墙”或“防火墙系统”。,防火墙技术是在受保护网和不被信任的网络之间设立一个屏障，对进出的所有报文进行分析，或对用户进行认证，从而防止有害信息进入受保护网，以保护内部系统的安全。防火墙的主要功能为：过滤不安全服务和非法用户，如finger、NFS等；禁止未授权的用户访问受保护网络；控制对特殊站点的访问。防火墙可以允许受保护网的一部分主机被外部网访问，而另一部分被保护起来，防止不必要的访问。如受保护网中的E-mail、FTP、WWW服务器等可被外部网访问，而其他访问则被主机禁止。有的防火墙同时充当对外服务器，而禁止对所有受保护网内主机的访问。它提供监视Internet安全和预警的方便端点。,1包过滤技术 包过滤防火墙的安全方式是IP地址检验。在互联网上，所有的信息都是以包的形式传输，包括发送者的IP地址和接收者的IP地址。网络上的路由器会读取每一个信息包中接收方的IP地址，然后选择不同的通信线路将这些信息包发送到目的地。所有的信息包抵达目的地后再重新组装还原。这时位于接收方网络出口的包过滤式防火墙会检查所有信息包中发送方的IP地址、接收方的IP地址、TCP端口、TCP链路状态，并按照网管人员预先设定的过滤原则过滤信息包。那些不符合规定的IP地址会被防火墙过滤掉，由此保证网络系统的安全。这是一种基于网络层的安全技术，对于应用层上的黑客行为则无能为力。,2代理技术 代理技术是比单一的包过滤更为有效的安全保护手段。它通常运行在两个网络之间，对于用户来说像一台真的服务器，但对于外部网络接收呼叫的服务器来说它又是一台客户机。当代理服务器接收到用户请求后会检查用户请求的合法性。如果合法，代理服务器会像一台客户机一样取回所需要的信息再转发给客户。代理服务器将内部用户和外界隔离开来，从外面只能看到代理服务器而看不到任何内部资源。但代理服务器没有从根本上解决包过滤技术的缺陷，在应用支持方面也有不足之处，而且速度较慢。,3状态监视技术 这是第三代网络安全技术。状态监视器的监测模块在不影响网络安全正常工作的前提下，采用抽取相关数据的方法对网络通信的各层实行监测，并作为安全决策的参考。监测模块支持多种协议和应用程序，可以方便地实现应用和服务的扩充。另外，状态监视器还监测RPC和UDP端口信息，而包过滤和代理网关都不支持此类端口。这样，状态监视器通过对各层进行监测，从而实现保证网络安全的目的。,8.2.2 数字签名技术,1秘密密钥(Secret Key)的数字签名 秘密密钥的加密技术是指发方和收方依靠事先约定的密钥对明文进行加密和解密的算法。它的加密密钥和解密密钥为同一密钥，只有发方和收方才知道这一密钥(如DES体制)。由于双方都知道同一密钥，无法杜绝否认和篡改报文的可能性，因此必须引入第三方加以控制。,2公开密钥(Public Key)的数字签名 由于秘密密钥的数字签名技术需要引入第三方机构，而人们又很难保证中央权威的安全性和可靠性，同时这种机制给网络管理工作带来很大困难，因此迫切需要一种只需收、发双方参与就可实现的数字签名技术，而公开密钥的加密体制很好地解决了这一难题。公开密钥密码体制出现于1976年。它最主要的特点就是加密和解密使用不同的密钥，每个用户保存着一对密钥公开密钥PK和秘密密钥SK，因此，这种体制又称为双钥或非对称密钥码体制。,8.3 黑客攻击与计算机病毒,8.3.1 常见的黑客攻击技术,1Sniffer技术 1)Sniffer简介 Sniffer中文可以翻译为嗅探器，是一种威胁性极大的被动攻击工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置为监听模式，便可以将网上传输的源源不断的信息截获。黑客们常常用它来截获用户的口令。,2)Sniffer的工作原理 Sniffer只能捕获本机网络接口上所能接收的报文，因此，一个能捕获该网段上所有包的嗅探器工作的前提是：(1)网络中使用的是共享式的Hub；(2)本机的网卡需要设置为混杂模式；(3)本机上安装有处理接收来的数据的嗅探软件。,可见，Sniffer工作在网络的底层，它会捕获所有正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，通过对数据的分析获得所处的网络状态和整体布局。嗅探器在功能和设计方面有很多不同，有些只能分析一种协议，有些可以分析几百种。一般情况下，多数嗅探器可以分析下面的协议：标准以太网、TCP/IP、IPX、DECNet。,3)Sniffer攻击的防御 Sniffer最大的危险性就是它很难被发现，在单机情况下发现一个Sniffer还是比较容易的，可以通过查看计算机上当前正在运行的所有程序来实现，当然这不一定可靠。在UNIX系统下可以使用命令ps aux，这个命令可列出当前的所有进程、启动这些进程的用户、它们占用CPU的时间以及占用多少内存等。在Windows系统下，可以按下CtrlAltDel键，查看任务列表。不过，编程技巧高的Sniffer即使正在运行，也不会出现在这里。另一个方法就是在系统中搜索，查找可怀疑的文件。但入侵者用的可能是他们自己写的程序，所以这给发现Sniffer造成相当大的困难。,发现一个Sniffer是非常困难的，但是仍然有办法抵御Sniffer的嗅探攻击。一种方法就是对信息进行加密，即使黑客捕捉到了我们的机密信息，也无法解密，这样，Sniffer也就失去了作用。黑客主要用Sniffer来捕获Telnet、FTP、POP3等数据包，因为这些协议以明文在网上传输，我们可以使用一种叫做SSH的安全协议来替代Telnet等容易被Sniffer攻击的协议。SSH又叫Secure Shell，它是一个在应用程序中提供安全通信的协议，建立在客户机/服务器模型上。SSH服务器分配的端口是22，连接是通过使用一种来自RSA的算法建立的。在授权完成后，接下来的通信数据用IDEA技术来加密。这种加密方法通常是比较强的，适合于任何非秘密和非经典的通信。,另一种抵御Sniffer攻击的方法是使用安全的拓扑结构。因为Sniffer只对以太网、令牌环网等网络起作用，所以尽量使用交换设备的网络可以从最大程度上防止被Sniffer窃听到不属于自己的数据包。还有一个原则用于防止Sniffer的被动攻击，一个网络段必须有足够的理由才能信任另一网络段。网络段应该从考虑具体的数据之间的信任关系上来设计，而不是从硬件需要上设计。一个网络段仅由能互相信任的计算机组成。通常它们在同一个房间里或在同一个办公室里，应该固定在建筑的某一部分。注意每台机器是通过硬连接线接到集线器(Hub)的，集线器再接到交换机上。由于网络分段了，数据包只能在这个网段上被捕获，其余的网段将不可能被监听。,所有的问题都归结到信任上面。计算机为了和其他计算机进行通信，它就必须信任那台计算机。系统管理员的工作就是决定一个方法，使得计算机之间的信任关系很小。这样，就建立了一种框架，告诉用户什么时候放置了一个Sniffer，它放在哪里，是谁放的等。如果局域网要和Internet相连，仅仅使用防火墙是不够的。入侵者已经能从一个防火墙后面扫描，并探测正在运行的服务。应该关心的是一旦入侵者进入系统，他能得到些什么。我们必须考虑一条这样的路径，即信任关系有多长。举个例子，假设用户的Web服务器对计算机A是信任的，那么有多少计算机是A信任的呢？又有多少计算机是受这些计算机信任的呢？一句话，就是确定最小信任关系的那台计算机。在信任关系中，这台计算机之前的任何一台计算机都可能对自己的计算机进行攻击并成功。我们的任务就是保证一旦出现Sniffer，它只对最小范围有效。,Sniffer往往是在攻击者侵入系统后使用的，用来收集有用的信息。因此，防止系统被突破很关键。系统安全管理员要定期的对所管理的网络进行安全测试，防止安全隐患。同时要控制拥有相当权限的用户的数量，因为许多攻击往往来自网络内部。,4)安装检测Sniffer的工具 Antisniff Antisniff是由著名黑客组织L0pht(现在是安全公司)开发的工具，用于检测本地网络是否有机器处于混杂模式(即监听模式)。一台处于混杂模式的机器意味着它很可能已被入侵并被安装了Sniffer。对于网络管理员来说，了解哪台机器正处于混杂模式以做进一步的调查研究是非常重要的。Antisniff 1.X版运行在以太网的Windows NT系统中，并提供了简单易用的用户图形界面。该工具以多种方式测试远程系统是否正在捕捉和分析那些并不是发送给它的数据包。,2拒绝服务攻击 1)拒绝服务攻击概述 拒绝服务攻击(DoS)从诞生起就成为黑客以及网络安全专家关注的焦点。拒绝服务攻击的目的非常简单和明确，就是要使被攻击者的主机在网上停止工作。拒绝服务攻击一般都是恶意的，因为对任何人来说，都没有任何正当的理由来允许其他人中断其他主机的服务。拒绝服务攻击的方式有很多种，一般是利用系统的漏洞、协议的漏洞和服务的漏洞等对计算机发动攻击，使计算机无法正常对外服务。除了利用安全的漏洞外，拒绝服务攻击也可以利用合理的服务请求来占用过多的服务资源，使服务器过载，无法响应其他用户的合法请求。,常见的拒绝服务攻击的方法主要有以下几种：(1)利用传输协议上的缺陷，发送出畸形的数据包，导致目标主机无法处理而拒绝服务；(2)利用主机上服务程序的漏洞，发送特殊格式的数据导致服务处理错误而拒绝服务；(3)利用高流量无用数据，造成网络拥塞，使受害主机无法正常与外界通信；(4)利用受害主机上服务的缺陷，提交大量的请求将主机的资源耗尽，使受害主机无法接收新的请求。,2)几种典型的拒绝服务攻击(1)ping命令攻击：ping是一个非常著名的程序，它本来的目的是测试目的主机是否可达。但是为什么ping会造成拒绝服务攻击呢？那是因为ICMP协议的原因，在ICMP协议是IP层的一个组成部分，协议的报文长度固定，大小是64 KB。因为这个特点，在早期的操作系统处理ICMP协议的过程中，只给ICMP数据报文开辟64 KB的缓存区，一旦ICMP数据包超过64 KB，缓存溢出，就会导致TCP/IP协议堆栈的崩溃，造成主机重启或死机。但是这个攻击对现在的多数操作系统来说是没有用了，很多操作系统附带的ping程序都被限制了发送数据包的大小。ping命令不能发送大于64 KB的数据包。,(2)分片攻击(Teardrop)：是一种典型的利用TCP/IP协议的问题进行拒绝服务攻击的方式，由于第一个实现这种攻击的程序叫Teardrop，所以这种攻击也称为“泪滴”。网络中如果两台计算机传输的数据很大，无法在一个数据报文中传输完成，那么TCP就会将数据拆分为多个分片，分片到达目的主机后再在堆栈中进行重组。在网络中，分片被分别传输，路由不一定相同，到达目的主机的顺序也不一致，在分片重组过程中就需要IP包首部中包含的分片信息。但是如果攻击者伪造数据报文，发送含有重叠偏移信息的分段包到目的主机，这样的信息被目的主机收到后，在分片重组时就会导致出错，引起协议栈的崩溃。,(3)UDP“洪水”：主要是利用主机能自动进行回复的服务(例如使用UDP协议的chargen服务和echo服务)来进行攻击。当我们向echo服务的端口发送一个数据时，echo服务会将同样的数据返回给发送方。而chargen则是随机返回字符。由于这两个服务的特性，当两个或两个以上的系统存在这样的服务时，攻击者伪造其中一台主机向另一台主机的echo或者是chargen服务端口发送数据，echo和chargen服务会对发送到服务端口的数据自动回复，这样开启echo和chargen服务的主机就会相互回复数据，从而产生大量的UDP数据包。如果是多个系统相互产生UDP数据包，最终就可能使整个网络瘫痪。,(4)SYN“洪水”：基于TCP协议的主机在进行一次TCP连接之前要进行三次“握手”的连接过程。在正常情况下，请求通信的客户机要与服务器建立一个TCP/IP连接时，客户机需要先发一个SYN数据包向服务器提出连接请求。当服务器收到后，就回复一个ACK/SYN数据包确认请求给客户机，然后客户机再次回应一个ACK数据包确认连接请求。一个完整的TCP/IP连接必须经过这个三次“握手”。如果连接过程中出现错误，例如客户机的最后ACK无法到达服务器，那么服务器会保持这个连接一直到超时。,SYN“洪水”攻击就是利用三次握手的特性来发动攻击的。进行攻击的计算机发送伪造的带有虚假的源地址的SYN给目标主机，一般情况下，虚假的源地址都是网络上没有使用的地址，目标主机收到SYN后，会按照请求的SYN数据包中的源地址发送一个ACK/SYN数据包。由于源地址是虚假的，因此目标主机的ACK/SYN得不到确认。服务器就会保持连接直到超时。当大量的虚假SYN请求包同时发给目标主机时，目标主机就会有大量的连接请求等待确认。而我们知道一台主机有一个最大连接数目，当这些未释放的连接数大于限制时，主机就无法响应新的请求了。,(5)分布式拒绝服务攻击方式：随着系统的不断完善，技术的不断进步，网络的快速发展，原有的拒绝服务攻击对主机的威胁逐渐削弱。针对这点，拒绝服务攻击手法也是不断发展，拒绝服务攻击逐渐由单一攻击方式发展到多台主机同时对目标进行协同攻击，这种方式就是分布式拒绝服务攻击。分布式拒绝服务攻击利用大量的主机对目标主机同时发动拒绝服务攻击。进行分布式拒绝服务攻击，攻击者控制了大量的主机，控制的主机数量越多，带宽越大，对目标主机的攻击危害越大。,3)防御拒绝服务攻击 拒绝服务攻击给网络带来了很大的危害，受技术的限制，现在还没有很好的措施来彻底解决拒绝服务攻击这个问题，但是并不代表拒绝服务攻击就可以为所欲为。下面的一些措施可以降低拒绝服务攻击的危害。(1)时刻关注最新的安全漏洞情况，确保自己的主机上没有明显的系统漏洞。使自己的主机不被攻击，也不成为分布式拒绝服务攻击的工具。(2)优化系统，确保系统能有效提高抵御拒绝服务攻击的能力。服务器性能的优化意味着攻击者需要更多的主机，更多的带宽才能成功地进行拒绝服务攻击，并且受到的攻击的损失也较小。,(3)抵御分布式拒绝服务攻击并不是受到攻击的系统的事，需要网络中各部分协调合作。如果上层的路由器能帮助实现路由控制，并实现带宽总量限制，那么对系统抵御分布式拒绝服务攻击有较大的帮助。(4)在系统与互联网之间配置防火墙，并合理配置防火墙的功能。,3Trojan木马技术 1)木马概述 RFC1244中有一段对Trojan程序的说明，我们可以把它作为Trojan木马的定义：特洛伊木马是一种程序，它能提供一些有用的功能，或是仅仅令人感兴趣的功能。但是它还有用户不知道的功能，那就是在用户不知道的情况下拷贝文件或窃取用户的密码。Trojan木马最初诞生于网络还处于以UNIX平台为主的时期，由于UNIX存在开放源代码版本，因此，木马的制造者往往将一些特殊的代码添加到正常的应用程序代码中来实现一些特殊的功能。当被添加Trojan代码的程序运行时，内嵌在程序中的代码就会悄悄执行，来实现木马制造者需要的功能。,2)木马的常见类型 常见的木马大体上分为三种类型，即远程控制类型，输出Shell类型和信息窃取类型。当然，有些木马也是不属于前面的三种，它们是为实现某些特殊的目的而编写的，如自动或是根据指令破坏受害计算机系统上的资料，或是做一些恶作剧等。(1)远程控制类型：远程控制类型的木马可以说是木马程序中的主流，目前大多数的木马程序都是基于这种类型编写的。,远程控制木马程序工作的原理很简单，就是在计算机之间通过某种协议建立起一个数据通道，通道的一端发送命令，另一端解释该命令并执行，并通过这个通道返回信息。简单说就是一个客户机/服务器程序。在多数具有木马性质的客户机/服务器程序中，被控制端(客户端)的主要任务是隐藏在被控主机的系统内部，并打开一个监听端口。当被控制端接收到控制端的请求后，主线程立即创建一个子线程并把请求交给它处理，同时继续监听其他的连接请求。控制端的主要任务就是发送各种命令，并接收返回的结果。,(2)输出Shell类：这一类型的木马也可算是远程控制木马，通常是字符界面进行监控。其目的是向客户端提供一个Shell。通常情况下输出Shell的木马没有专用的客户端。直接使用Telnet等远程工具当作客户端。当使用Telnet等工具连接到被控主机的监听端口时，木马会交给连接者一个Shell。可以把这理解为一次正常的Telnet会话，只是这个Telnet会话是不需要进行身份验证的。对于UNIX/Linux系统来说，这类木马很简单，只要将系统的标准输入/输出设备通过dup29()函数重定向到socket即可。在Windows系统下要复杂一点，但是原理相同。在Windows系统下通过在标准输入/输出设备和socket之间建立两个匿名管道来进行Shell重定向。,(3)信息窃取类型：是常见的木马类型，这种类型的木马不需要客户端。它在设计时确定了木马的工作是收集被种植了木马的系统上的敏感信息。这种木马不会监听端口，只是悄悄地在后台运行，当木马检测到用户正在进行登录等操作时，木马就将登录信息记录下来，然后以电子邮件或是ICQ等形式发给信息接收系统。,3)木马的传播方式(1)手工放置：手工放置简单，也是最常用的方法。手工放置有本地和远程安装两种。本地安装就是直接在目标主机上进行安装；远程安装就是通过常规的攻击手段获得目标主机的文件上传权限后，将木马上传到目标主机上，然后通过其他的方式使木马程序运行起来。运行木马的方法很多，例如通过Web运行，设置计划任务让远程计算机在指定的时间运行，或是通过修改注册表，批处理文件让木马在下次计算机启动时运行等。,(2)电子邮件传播：将木马作为电子邮件的附件发送给受害者，让收件人运行附件中的木马程序，这个可能是目前最流行的木马传播途径了。(3)利用系统漏洞安装：利用系统的漏洞来传播木马程序。通过在邮件内容中内嵌WSH脚本，用户不需要打开附件，仅仅浏览一下邮件的内容，附件中的木马就会执行。即使用户删除了WSH功能，攻击者也可以利用其他的系统漏洞，使用户在浏览邮件时就将木马放置在计算机上并运行。还有一些系统漏洞根本不需要对被控制端进行任何欺骗，可以直接在远程主动安装。,4)避免木马的入侵 反木马就像反病毒一样永远没有止境，也永远没有一个百分百的解决方案，因为都是先有木马，然后才有反木马的方法和软件，我们始终是个追随者！但是，只要我们在平时使用电脑时注意下面的建议，就会把木马侵入我们系统的机会降到最低。(1)不要执行任何来历不明的软件，对于从网上下载的软件在安装、使用前一定要用多种反病毒软件，最好是专门查杀木马的软件进行检查，确定无病毒了再执行、使用。(2)永远不要相信自己的邮箱不会收到垃圾和带病毒的邮件，即使从没露过面的邮箱或是ISP邮箱，有些时候我们永远没办法知道别人是如何得知自己的E-mail地址的。,(3)不要因为是自己的好朋友发来的软件就运行，因为我们不能确保他(她)的电脑上就不会有病毒。当然好朋友故意欺骗的可能性不大，但也许他(她)中了黑客程序自己还不知道。同时，网络发展到今天，我们也不能保证这一定是自己的朋友发给自己的，因为别人也可冒名给我们发邮件。(4)不要随便留下自己的个人资料，特别不要在聊天室内公开自己的E-mail地址。因为我们永远不会知道是否有人会处心积虑收集起自己的资料，以备将来黑自己。更不要将重要口令和资料存放在上网的电脑里，以防黑客侵入自己的电脑盗走一切“值钱的东西”。,(5)不要随便下载软件，特别是不可靠的小FTP站点、公众新闻级、论坛或BBS上，因为这些地方正是新病毒发布的首选之地。(6)最好使用第三方邮件程序，如Foxmail等，不要使用Microsoft的Outlook程序，因为Outlook程序的安全漏洞实在太多了，况且Outlook也是那些黑客们首选攻击的对象，已经选好了许多攻击入口。(7)不要轻易打开广告邮件中的附件或点击其中的链接，因为广告邮件也是那些黑客程序依附的重要对象，特别是其中的一些链接。,(8)将Windows资源管理器配置成始终显示扩展名，因为一些扩展名为VBS、SHS、PIF的文件多为木马病毒的特征文件，一经发现要立即删除，千万不要打开，所以只有配置成始终显示文件的全名，才能及时发现木马病毒的特征文件。(9)尽量少用共享文件夹，如果因工作等其他原因必须设置成共享，则最好单独开一个共享文件夹，把所有需共享的文件都放在这个共享文件夹中，注意千万不要将系统目录设置成共享。,(10)为了确保自己的邮件不被其他人看到，同时也为了防止黑客们的攻击，应该给电子邮件加密。至于电子邮件的加密请参考令电子邮件安全传递的方法：PGP签名一文，在那篇文章中向大家推荐了一款加密专家PGP，相信它一定不会让大家失望的。(11)最重要的一点就是用户在上网时必须运行自己的反木马实时监控程序，如the cleaner，其实时监控程序TCA可即时显示当前所有运行程序并有详细的描述信息，再加上使用一些专业的最新杀毒软件、个人防火墙进行监控，便更可放心了。,8.3.2 计算机病毒,1计算机病毒的定义“计算机病毒”为什么叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。由于它与生物医学上的“病毒”同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来的。从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹、蠕虫等均可称为计算机病毒。在国内，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。,2计算机病毒的特征 1)传染性 2)隐蔽性 3)潜伏性 4)破坏性,3计算机病毒的分类 按传染方式计算机病毒可分为引导型病毒、文件型病毒和混合型病毒。引导型病毒隐藏在硬盘或软盘的引导区，当计算机从感染了 引导区病毒的硬盘或软盘启动，或当计算机从受感染的软盘中读取数据时，引导型病毒就开始发作。一旦它们将自己拷贝到机器内存中，马上就会感染其他磁盘的引导区，或通过网络传播到其他计算机上。,文件型病毒一般只传染磁盘上的可执行文件(COM，EXE)。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。这是较为常见的传染方式。混合型病毒兼有以上两种病毒的特点，既染引导区又染文件，因此扩大了这种病毒的传染途径(如1997年国内流行较广的“TPVO-3783(SPY)”)。,按连接方式计算机病毒可分为源码型病毒、入侵型病毒、操作系统型病毒和外壳型病毒。源码型病毒较为少见，亦难以编写。它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。此时，刚刚生成的可执行文件便已经带病毒了。入侵型病毒可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以被发现，清除起来也较困难。,操作系统型病毒可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。外壳型病毒将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部分的文件型病毒都属于这一类。按破坏性计算机病毒可分为良性病毒和恶性病毒。,4病毒的初步识别与预防 首先应注意内存情况，绝大部分的病毒是要驻留内存的。对于DOS用户可用C盘启动计算机，然后用“MEM”命令查看全部基本内存是否为640 KB(因为大多数引导型病毒驻留内存时会更改此数)。如果有病毒可能会被改为638 KB或637 KB，有些计算机在正常情况下639 KB亦是正常的(如某些COMPAQ机)。还应注意被占用的内存数是否无故减少。其次应注意常用的可执行文件(如COMMAND.COM)的字节数。绝大多数的病毒在对文件进行传染后会使文件的长度增加。在查看文件字节数时应首先用干净系统盘启动。,对于软盘，则应注意是否无故出现坏块(有些病毒会在盘上做坏簇标记，以便将其自身部分隐藏其中)。其他如出现软件运行速度变慢(磁盘读盘速度影响除外)，输出端口异常等现象都有可能是病毒造成的。最准确的方法是查看中断向量及引导扇区是否被无故改变，当然这需要对系统及磁盘格式有一定的了解。,8.4 常见的安全漏洞与防范,8.4.1 什么