【正文】 算中心 16 2022/2/5 ? 信任的功能性：指任何加強(qiáng)現(xiàn)有機(jī)制的執(zhí)行過程。例如，當(dāng)升級 TCP／ IP堆棧或運(yùn)行一些軟件來加強(qiáng) NT,UNIX系統(tǒng)認(rèn)證功能時，使用的就是普遍的機(jī)制。 ? 事件檢測：檢查和報告本地或遠(yuǎn)程發(fā)生的事件。 ? 審計跟蹤：任何機(jī)制都允許你監(jiān)視和記錄你網(wǎng)絡(luò)上的活動。 ? 安全恢復(fù)：對一些事件作出反應(yīng)，包括對于已知漏洞創(chuàng)建短期和長期的解決方案，包括對受危害系統(tǒng)的修復(fù)。 大學(xué)計算機(jī)基礎(chǔ)與應(yīng)用 計算機(jī)網(wǎng)絡(luò)攻擊 169。南昌大學(xué)計算中心 18 2022/2/5 ?在網(wǎng)絡(luò)這個不斷更新?lián)Q代的世界里，網(wǎng)絡(luò)中的安全漏洞無處不在。即使舊的安全漏洞補(bǔ)上了，新的安全漏洞又將不斷涌現(xiàn)。網(wǎng)絡(luò)攻擊正是利用這些存在的漏洞和安全缺陷對系統(tǒng)和資源進(jìn)行攻擊。 ?也許有人認(rèn)為 “ 安全 ” 只是針對那些大中型企事業(yè)單位和網(wǎng)站而言。其實，單從技術(shù)上說，黑客入侵的動機(jī)是成為目標(biāo)主機(jī)的主人。只要他們獲得了一臺網(wǎng)絡(luò)主機(jī)的超級用戶權(quán)限后他們就有可能在該主機(jī)上修改資源配置、安置 “ 木馬 ” 程序、隱藏行蹤、執(zhí)行任意進(jìn)程等。 169。南昌大學(xué)計算中心 19 2022/2/5 網(wǎng)絡(luò) 內(nèi)部、外部泄密 拒絕服務(wù)攻擊 邏輯炸彈 特洛伊木馬 黑客攻擊 計算機(jī)病毒 后門、隱蔽通道 蠕蟲 169。南昌大學(xué)計算中心 20 2022/2/5 網(wǎng)絡(luò)攻擊的步驟 ?第一步：隱藏自已的位置 ?第二步：尋找目標(biāo)主機(jī)并分析目標(biāo)主機(jī) ?第三步：獲取帳號和密碼，登錄主機(jī) ?第四步：獲得控制權(quán) ?第五步：竊取網(wǎng)絡(luò)資源和特權(quán) ?攻擊者進(jìn)入攻擊目標(biāo)后，會繼續(xù)下一步的攻擊。如：下載敏感信息、實施竊取帳號密碼、信用卡號等經(jīng)濟(jì)偷竊、使網(wǎng)絡(luò)癱瘓等。 169。南昌大學(xué)計算中心 21 2022/2/5 網(wǎng)絡(luò)攻擊的常見方法與原理 ?1．口令入侵 ? 所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機(jī)，然后再實施攻擊活動。這種方法的前提是必須先得到該主機(jī)上的某個合法用戶的帳號，然后再進(jìn)行合法用戶口令的破譯。 ? 獲得普通用戶帳號的方法很多 : ? 利用目標(biāo)主機(jī)的 Finger功能：當(dāng)用 Finger命令查詢時，主機(jī)系統(tǒng)會將保存的用戶資料（如用戶名、登錄時間等）顯示在終端或計算機(jī)上； ? 利用目標(biāo)主機(jī)的 ：有些主機(jī)沒有關(guān)閉 錄查詢服務(wù)，也給攻擊者提供了獲得信息的一條簡易途徑； ? 從電子郵件地址中收集：有些用戶電子郵件地址常會透露其在目標(biāo)主機(jī)上的帳號； 169。南昌大學(xué)計算中心 22 2022/2/5 ? 查看主機(jī)是否有習(xí)慣性的帳號：有經(jīng)驗的用戶都知道，很多系統(tǒng)會使用一些習(xí)慣性的帳號，造成帳號的泄露。 這又有三種方法： ? （ 1）是通過網(wǎng)絡(luò)監(jiān)聽非法得到用戶口令，這類方法有一定的局限性，但危害性極大。 ? （ 2）在知道用戶的賬號后（如電子郵件 @前面的部分）利用一些專門軟件強(qiáng)行破解用戶口令，這種方法不受網(wǎng)段限制，但攻擊者要有足夠的耐心和時間。 ? （ 3）利用系統(tǒng)管理員的失誤。在 Unix操作系統(tǒng)中，用戶的基本信息存放在 passwd文件中，而所有的口令則經(jīng)過DES加密方法加密后專門存放在一個叫 shadow的文件中。入侵者獲取口令文件后，就會使用專門的破解 DES加密法的程序來解口令。同時由于為數(shù)不少的操作系統(tǒng)都存在許多安全漏洞、 Bug或一些其他設(shè)計缺陷，這些缺陷一旦被找出，入侵者就可以長驅(qū)直入。 169。南昌大學(xué)計算中心 23 2022/2/5 2．放置特洛伊木馬程序 ? 特洛伊木馬程序可以直接侵入用戶的電腦并進(jìn)行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬一樣留在自己的電腦中，并在自己的計算機(jī)系統(tǒng)中隱藏一個可以在windows啟動時悄悄執(zhí)行的程序。當(dāng)用戶連接到因特網(wǎng)上時，這個程序就會通知攻擊者，來報告該用戶的 IP地址以及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用這個潛伏在其中的程序，就可以任意地修改該用戶的計算機(jī)的參數(shù)設(shè)定、復(fù)制文件、窺視其整個硬盤中的內(nèi)容等，從而達(dá)到控制該計算機(jī)的目的。 169。南昌大學(xué)計算中心 24 2022/2/5 3． WWW的欺騙技術(shù) 在網(wǎng)上用戶可以利用 IE等瀏覽器進(jìn)行各種各樣的 WEB站點的訪問，如閱讀新聞組、咨詢產(chǎn)品價格、訂閱報紙、電子商務(wù)等。然而一般的用戶恐怕不會想到有這些問題存在：正在訪問的網(wǎng)頁已經(jīng)被黑客篡改過，網(wǎng)頁上的信息是虛假的！當(dāng)用戶瀏覽目標(biāo)網(wǎng)頁的時候，實際上是向黑客服務(wù)器發(fā)出請求，那么黑客就可以達(dá)到欺騙的目的了 . 一般 Web欺騙使用兩種技術(shù)手段，即 URL地址重寫技術(shù)和相關(guān)信息掩蓋技術(shù)。 169。南昌大學(xué)計算中心 25 2022/2/5 電子郵件是互聯(lián)網(wǎng)上運(yùn)用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件炸彈軟件或 CGI程序向目的郵箱發(fā)送大量內(nèi)容重復(fù)、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當(dāng)垃圾郵件的發(fā)送流量特別大時，還有可能造成郵件系統(tǒng)對于正常的工作反映緩慢，甚至癱瘓。相對于其它的攻擊手段來說，這種攻擊方法具有簡單、見效快等優(yōu)點 169。南昌大學(xué)計算中心 26 2022/2/5 ?電子郵件攻擊主要表現(xiàn)為兩種方式： ?（ 1）是電子郵件轟炸和電子郵件 “ 滾雪球 ” ，也就是通常所說的郵件炸彈，指的是用偽造的 IP地址和電子郵件地址向同一信箱發(fā)送數(shù)以千計、萬計甚至無窮多次的內(nèi)容相同的垃圾郵件，致使受害人郵箱被 “ 炸 ” ，嚴(yán)重者可能會給電子郵件服務(wù)器操作系統(tǒng)帶來危險，甚至癱瘓。 ?（ 2）是電子郵件欺騙，攻擊者佯稱自己為系統(tǒng)管理員（郵件地址和系統(tǒng)管理員完全相同），給用戶發(fā)送郵件要求用戶修改口令（口令可能為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序。 169。南昌大學(xué)計算中心 27 2022/2/5 5．通過一個節(jié)點來攻擊其他節(jié)點 ?攻擊者在突破一臺主機(jī)后，往往以此主機(jī)作為根據(jù)地，攻擊其他主機(jī)（以隱蔽其入侵路徑，避免留下蛛絲馬跡）。他們可以使用網(wǎng)絡(luò)監(jiān)聽方法，嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機(jī)；也可以通過 IP欺騙和主機(jī)信任關(guān)系，攻擊其他主機(jī)。 169。南昌大學(xué)計算中心 28 2022/2/5 6．網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽是主機(jī)的一種工作模式，在這種模式下，主機(jī)可以接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰。因為系統(tǒng)在進(jìn)行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進(jìn)行數(shù)據(jù)監(jiān)聽。此時若兩臺主機(jī)進(jìn)行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具（如 NetXRay for Windows95／ 98／ NT、Sniffit for Linux、 Solaries等）就可輕而易舉地截取包括口令和帳號在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶帳號和口令具有一定的局限性，但監(jiān)聽者往往