【正文】 通過(guò)端口掃描 ， 可以得到許多有用的信息 ， 從而發(fā)現(xiàn)系統(tǒng)的安全漏洞 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 Sniffer往往是攻擊者在侵入系統(tǒng)后使用的 ， 用來(lái)收集有用的信息 ， 因此 ， 防止系統(tǒng)被突破才是關(guān)鍵 。 處理網(wǎng)絡(luò)拓?fù)渚秃屯孢@個(gè)游戲一樣 ， 其規(guī)則如下： (1) 對(duì)網(wǎng)絡(luò)硬件結(jié)構(gòu)進(jìn)行嚴(yán)格的網(wǎng)段劃分 ， 網(wǎng)段應(yīng)該在所考慮的數(shù)據(jù)之間的信任關(guān)系上來(lái)設(shè)計(jì) ， 而不是按網(wǎng)絡(luò)硬件需要來(lái)建立 ， 同時(shí)一個(gè)網(wǎng)段必須有足夠的理由才能信任另一網(wǎng)段 。 SSH服務(wù)器分配的端口號(hào)是 22，連接是通過(guò)使用一種來(lái)自 RSA的算法建立的 ， 在授權(quán)完成后 ， 接下來(lái)的通信數(shù)據(jù)是用 IDEA技術(shù)來(lái)加密的 ， 加密功能較強(qiáng) ， 適合于任何非秘密和非經(jīng)典的通信 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 最近， Inter網(wǎng)絡(luò)上介紹了一種發(fā)現(xiàn)網(wǎng)絡(luò)監(jiān)聽(tīng)者的新方法，它的原理是當(dāng)一臺(tái)主機(jī)處于監(jiān)聽(tīng)狀態(tài)時(shí)，由于要接收網(wǎng)絡(luò)上的所有數(shù)據(jù)幀，會(huì)負(fù)擔(dān)很重。 通常 Sniffer程序只看一個(gè)數(shù)據(jù)包的前 200～ 300個(gè)字節(jié)的數(shù)據(jù) ， 就能發(fā)現(xiàn)想要的口令和用戶(hù)名等信息 。利用這一點(diǎn)，可以將一臺(tái)計(jì)算機(jī)的網(wǎng)絡(luò)連接設(shè)置為接收所有以太網(wǎng)總線(xiàn)上的數(shù)據(jù)，從而實(shí)現(xiàn) Sniffer。 這樣 ， 黑客就很容易拿到用戶(hù)名和密碼 ， 而且有許多用戶(hù)為了記憶方便 ， 在不同的服務(wù)上使用的用戶(hù)名和密碼是一樣的 ， 這就意味著一些網(wǎng)絡(luò)管理員的密碼會(huì)被得到 (太危險(xiǎn)了 )。 11) 確保注冊(cè)表安全 首先，取消或限制對(duì) 、 問(wèn)；其次，利用 理員訪(fǎng)問(wèn)注冊(cè)表，其他任何用戶(hù)不得訪(fǎng)問(wèn)注冊(cè)表。 (7) 不要使用無(wú)口令的賬號(hào) ， 否則會(huì)給安全留下隱患 。 如果要收回或更改某個(gè)用戶(hù)的訪(fǎng)問(wèn)權(quán) ， 只要把該用戶(hù)從工作組中刪除或指定另一個(gè)工作組就可以了 。 (4) 保證機(jī)房的物理安全。 (9) Windows 2023中文版的登錄驗(yàn)證機(jī)制存在漏洞。 任何一個(gè)用戶(hù)可以在命令行下鍵入“ \ \ I P a d d r e s s \ C $ ” ( 或者 \ \ I P a d d r e s s \ D $ 、\\IPaddress\WINNT$)試圖連接任意一個(gè) NT/2023平臺(tái)上管理系統(tǒng)的共享資源 。 (2) 每次緊急修復(fù)盤(pán) (ERD， Emergency Repair Disk)在更新時(shí) ， 整個(gè) SAM數(shù)據(jù)庫(kù)被復(fù)制到 % system % \repair\錄下 ， 在缺省的權(quán)限設(shè)置下 ， 每個(gè)人對(duì)該文件都有“ 讀 ” (Read)的訪(fǎng)問(wèn)權(quán) ， Administrator和系統(tǒng)本身具有 “ 完全控制 ” (Full Control)的權(quán)利 ， Power User有 “ 改變 ” (Change)的權(quán)利 ， SAM數(shù)據(jù)庫(kù)的一個(gè)備份拷貝能夠被某些工具所利用來(lái)破解口令 。 特別是 ，NT/2023把用戶(hù)信息和加密口令保存于 NT Registry的 SAM文件中 ， 即安全賬號(hào)管理 (Security Accounts Management)數(shù)據(jù)庫(kù)中 。 比如有目錄為 D:?\Files， 對(duì)其指定User1只讀 ， User2可完全控制 ， 則這兩個(gè)權(quán)限都作為D:\Files目錄的屬性與該目錄連在一起 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 即使兩次的用戶(hù)名相同 ， 新賬號(hào)和老賬號(hào)也不會(huì)有相同的可以訪(fǎng)問(wèn)的資源 。 Windows NT/2023服務(wù)器提供控制資源存取項(xiàng)的工具 。 用戶(hù)無(wú)論做什么事情 ， NT/2023中負(fù)責(zé)安全的進(jìn)程都會(huì)檢查其存取標(biāo)識(shí) ，以確定其操作是否合法 。實(shí)際上， NT/2023系統(tǒng)中有一個(gè)登錄進(jìn)程，它保存在 \WINNT\SYSTEM32\件中。 (6) 安全管理工具不斷完善 ， 特別是可疑活動(dòng)的日志分析工具等將成為防火墻產(chǎn)品中的一部分 。 此標(biāo)準(zhǔn)包含兩個(gè)部分： 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 ● 防火墻中采用的信息加密技術(shù)一致 ， 即加密算法 、安全協(xié)議一致 ， 使得遵循此標(biāo)準(zhǔn)生產(chǎn)的防火墻產(chǎn)品能夠?qū)崿F(xiàn)無(wú)縫互連 ， 但又不失去加密功能 。將它物理地連接在網(wǎng)絡(luò)總線(xiàn)上，它的邏輯功能仍工作在應(yīng)用層上，所有業(yè)務(wù)通過(guò)它代理服務(wù)。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 堡壘主機(jī)是一個(gè)具有兩個(gè)網(wǎng)絡(luò)界面的主機(jī) ， 每一個(gè)網(wǎng)絡(luò)界面與它所對(duì)應(yīng)的網(wǎng)絡(luò)進(jìn)行通信 。其中被保護(hù)的網(wǎng)絡(luò)稱(chēng)為內(nèi)部網(wǎng)絡(luò)，另一方則稱(chēng)為外部網(wǎng)絡(luò)或公用網(wǎng)絡(luò)。 當(dāng) B收到 A轉(zhuǎn)來(lái)的報(bào)文PKBKDC(A， K)后 ， 就知道 A要和自己通信且密鑰為 K。例如，可以派非?？煽康男攀箶y帶密鑰分配給相互通信的各用戶(hù)，這種方法稱(chēng)為網(wǎng)絡(luò)外分配方式。)=H(m)；同時(shí)發(fā)送方可以對(duì) H(m)進(jìn)行數(shù)字簽名 ，使報(bào)文成為可鑒別的和不可抵賴(lài)的 。)， 將 H(M39。 報(bào)文鑒別使得通信的接收方能夠鑒別并驗(yàn)證所收到的報(bào)文 (包括發(fā)送者 、 報(bào)文內(nèi)容 、發(fā)送時(shí)間和序列等 )的真?zhèn)?。 圖中 SKA和 SKB分別為 A和 B的秘密密鑰 ， 而 PKA和 PKB分別為 A和 B的公開(kāi)密鑰 。反之 ， 若 B將 P偽造成 P39。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 發(fā)送者 A用其秘密解密密鑰 SKA對(duì)報(bào)文 P進(jìn)行運(yùn)算 ， 將結(jié)果 DSKA(P)傳送給接收者 B。現(xiàn)在 A欲發(fā)報(bào)文 P給 B，首先算得 EPKB(P)，并把它發(fā)送給 B，然后 B使用其解密密鑰及算法 DSKB進(jìn)行解密，計(jì)算得到 DSKB(EPKB(P))＝ P，而沒(méi)有其他人能讀懂密文 EPKB(P)。 Diffie和 Hellman研究出一種新的算法：使用一個(gè)加密算法 E和一個(gè)解密算法 D， 它們彼此完全不同 ， 根據(jù)已選定的 E和 D， 即使已知 E的完整描述 ， 也不可能推導(dǎo)出 D。最后一輪加密迭代之后，進(jìn)行逆初始置換運(yùn)算，它是初始置換的逆運(yùn)算，最后得到 64位密文。 它通過(guò)反復(fù)依次應(yīng)用這兩項(xiàng)技術(shù)來(lái)提高其強(qiáng)度 ， 經(jīng)過(guò)總共 16輪的替代和換位后 ， 使密碼分析者無(wú)法獲得該算法一般特性以外更多的信息 。 為此提出了數(shù)據(jù)加密處理算法標(biāo)準(zhǔn)化的問(wèn)題 。 下面舉一個(gè)進(jìn)行列轉(zhuǎn)換的例子： M E G A B V C K 7 4 5 1 2 8 3 6 p l e a s e t r a n s f e r o n e m i l l i o n d o l l a r s t o m y s w i s s b a n k a c c o u n t s i x t w o t w o a b c d 明文： pl easetransfe r onemi l l i ond o l l arstomyswi ssbanka c countsi x twotwo 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 密文： AFLLSKSOSELAWAIATOOSSCTCLNMOMANTESILYNTWRNNTSOWDPAEDOBUOERIRICXB 轉(zhuǎn)換密碼法中的密碼由無(wú)重復(fù)字母組成的短語(yǔ)作為密鑰 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 例如 ， COOKIEMONSTER。依此類(lèi)推，假如 thYt型的結(jié)構(gòu)也頻繁出現(xiàn)，則可能以 a代替 Y。 該系統(tǒng)稱(chēng)為單個(gè)字母代換 ， 其密鑰對(duì)應(yīng)于全部 26個(gè)英文字母的字符串 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 加密方法 解密方法明文 P加密密鑰 解密密鑰密文C=EK( P)干擾者消極干擾竊聽(tīng)積極干擾改變電文明文 P圖 63 加密一解密模型 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 傳統(tǒng)的加密方法 傳統(tǒng)的加密方法 ， 其密鑰是由簡(jiǎn)單的字符串組成的 ， 它可選擇許多加密形式中的一種；只要有必要 ，就可經(jīng)常改變密鑰 。 解密通常由解密算法來(lái)實(shí)現(xiàn) 。 通常采用一定的算法對(duì)原文進(jìn)行軟加密 ， 然后將密碼電文進(jìn)行傳輸 ， 這樣即使信息被截獲 ， 一般也難以一時(shí)破譯 。 例如 ， 有的文件只能讀不能寫(xiě) ， 或規(guī)定只有少數(shù)用戶(hù)可對(duì)其進(jìn)行修改或?qū)懭胄碌膬?nèi)容 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 安全性主要是指計(jì)算機(jī)數(shù)據(jù)和程序等資源的安全性 。在這種網(wǎng)絡(luò)中，任何一段物理鏈路都惟一連接一對(duì)節(jié)點(diǎn)，如果不在同一段物理鏈路的一對(duì)節(jié)點(diǎn)要通信，則必須通過(guò)其他節(jié)點(diǎn)進(jìn)行分組轉(zhuǎn)發(fā)。第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 網(wǎng)絡(luò)安全概述 密碼技術(shù) 防火墻技術(shù) Windows NT/2023的安全保護(hù)及模型 * 常見(jiàn)的黑客工具及攻擊方法 * 黑客攻擊的一般步驟和實(shí)例 * 遠(yuǎn)程入侵 Windows 2023 * 網(wǎng)絡(luò)病毒與防治 本章小結(jié) 練習(xí)題 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 網(wǎng)絡(luò)安全概述 計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)缺陷 計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)缺陷包括兩方面的內(nèi)容： (1) 物理結(jié)構(gòu)的設(shè)計(jì)缺陷 。進(jìn)行分組轉(zhuǎn)發(fā)的節(jié)點(diǎn)可以竊聽(tīng)網(wǎng)間傳送的數(shù)據(jù)，如圖 62所示。 對(duì)資源要進(jìn)行安全保護(hù) ， 以免受到有意或無(wú)意的破壞 ， 或被越權(quán)修改與占用 。 然而 ， 這些方法對(duì)于一些機(jī)密程度高的信息和資料仍不是非常安全的 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 密碼技術(shù) 密碼技術(shù)通過(guò)信息的變換或編碼 ， 將機(jī)密的敏感消息變換成黑客難以讀懂的亂碼文字 ， 以此達(dá)到兩個(gè)目的：其一 ， 使不知道如何解密的黑客不可能從其截獲的亂碼中得到任何有意義的信息；其二 ， 使黑客不可能偽造任何亂碼信息 。 (5) 密鑰：為了有效地控制加密和解密算法的實(shí)現(xiàn) ，在其處理過(guò)程中要有通信雙方掌握的專(zhuān)門(mén)信息參與 ， 這種專(zhuān)門(mén)信息稱(chēng)為密鑰 (Key， 記為 K)。 因此 ， 上述基本模型是穩(wěn)定的 ，是人所共知的 。使用此密鑰 ， attack就變成密文 QZZQEA。根據(jù)這個(gè)方法，還可找到兩個(gè)形如 aZW結(jié)構(gòu)的頻繁出現(xiàn)的三字母組合，其相當(dāng)大的可能就是 and。 為把較長(zhǎng)明文譯成密碼 ， 可重復(fù)地把密鑰寫(xiě)在明文上方 ， 例如： COOKIEMONSTERCOOKIE MQNSTERCOOKIEMONSTE RCOOKIEMO fourscoreandsevenye arsagoourmothersbro ughtforth 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 顯然，多字母密碼要比單字母密碼好，但只要給密碼分析員足夠數(shù)量的密文，總還是可以進(jìn)行破譯的。在以上的例子中 ， MEGABVCK是密鑰 。 數(shù)據(jù)加密標(biāo)準(zhǔn) DES(Data Encryption Standard)由美國(guó)國(guó)家標(biāo)準(zhǔn)局開(kāi)始研究 ， 是除國(guó)防部以外的其他部門(mén)的計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)加密標(biāo)準(zhǔn) ， 是一種通用的現(xiàn)代加密方法 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 DES加密算法如圖 64所示 ， 64位數(shù)據(jù)經(jīng)初始變換后被置換 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 左半部分 右半部分 密鑰移位置換后的密鑰 K(i)新的左半部分 新的右半部分+g圖 65 DES加密原理一次迭代示意圖 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 DES算法是對(duì)稱(chēng)的 ， 既可用于加密 ， 又可用于解密 。 這種算法給密碼技術(shù)帶來(lái)了新的變革 。這種密碼體制稱(chēng)為公開(kāi)密鑰密碼體制，如圖 66所示。 (讀者可能要問(wèn)：報(bào)文 P還沒(méi)有加密 ， 怎么能夠進(jìn)行解密呢 ?其實(shí) “ 解密 ”僅僅是一個(gè)數(shù)學(xué)運(yùn)算 ， 發(fā)送者此時(shí)的運(yùn)算并非想將報(bào)文 X加密而是為了進(jìn)行數(shù)字簽名 )。 則 B不能在第三者前出示DSKA(P39。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 明文 P 明文 P密文C=EPK B(DSK A(P))DSK A用秘密密鑰進(jìn)行簽名DSK A(P)發(fā)送者 AEPK B用公開(kāi)密鑰進(jìn)行加密DSK B用秘密密鑰進(jìn)行解密EPK A用公開(kāi)密鑰核實(shí)簽名接收者BDSK A(P)圖 68 具有保密性的數(shù)字簽名 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 前面介紹的幾種加密方法在計(jì)算機(jī)網(wǎng)絡(luò)中都有應(yīng)用 ，其加密方式可以是端 — 端方式 、 鏈路層加密方式或節(jié)點(diǎn)加密方式 。 報(bào)文鑒別可以通過(guò)將報(bào)文加密來(lái)實(shí)現(xiàn) 。)與 H(m)相比較 ， 若不相同 ， 則可斷定收到的報(bào)文不是發(fā)送端產(chǎn)生的 。 報(bào)文摘要一般采用散列函數(shù) (Hash Function)實(shí)現(xiàn) ，目前用得最為廣泛的是 MD5報(bào)文摘