【正文】 ISS為 sniffer這樣定義： sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲其他計(jì)算機(jī)的數(shù) 據(jù)報(bào)文的一種工具。 (3)使用加密技術(shù)。 源路由欺騙攻擊 在通常情況下，信息包從起點(diǎn)到終點(diǎn)走過的路徑是由位于此兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去行何處，但不知道該如何去源路由可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過胡路徑寫在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個(gè)對方不可預(yù)料的路徑到達(dá)目的主機(jī) [21]。 (2)使用加密 方法。 對于網(wǎng)絡(luò)監(jiān)聽的防范措施有： (1)從邏輯或物理上對網(wǎng)絡(luò)分段。如圖 43所示： 圖 43 防范網(wǎng)頁惡意代碼 （ 2）網(wǎng)頁惡意代碼大多是在訪問網(wǎng)站時(shí)候誤下載和激活的，所以不要進(jìn)入不信任的陌生網(wǎng)站，對于網(wǎng)頁上的各種超級連接不要盲目去點(diǎn)擊，若被強(qiáng)制安裝惡意代碼，一經(jīng)發(fā)現(xiàn)立即刪除，或者安裝相應(yīng)的惡意代碼清除工具，或本機(jī)防火墻軟件。這類病毒大都是利用 JavaScrit 產(chǎn)生的一個(gè)死循環(huán)，它可以在有惡 意的網(wǎng)站中出現(xiàn)，也可以被當(dāng)作郵件發(fā)給用戶，當(dāng)用戶打開html,vbs附件時(shí)，屏幕會出現(xiàn)無數(shù)個(gè)瀏覽器窗口，最后不得不重啟。比如在“開始” “運(yùn)行”輸入 msconfig,執(zhí)行 windows自帶“系統(tǒng)配置應(yīng)用程序”。 25 防止賬號被暴力破解 黑客攻擊入侵，大部分利用漏洞，通過提升權(quán)限成為管理員，這一切都跟用戶賬號緊密相連。 Tel是常用的遠(yuǎn)程控制 Web服務(wù)器的方法。它將所有的計(jì)算機(jī)病毒所 產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨?，系統(tǒng)就會有所警覺，并告知使用者；宏病毒陷阱技術(shù)是結(jié)合了搜索法和人工智能陷阱技術(shù)，依行為模式來偵測已知及未知的宏病毒。 （ 3）網(wǎng)絡(luò)速度變慢或者出現(xiàn)一些陌生的網(wǎng)絡(luò)連接。計(jì)算機(jī)病毒程序組成如圖310所示。其工作原理如圖 38所示。從數(shù)學(xué)的角度來看，改變了密鑰，實(shí)際上也就改變了明文與密文之間等價(jià)的數(shù)學(xué)函數(shù)關(guān)系。這種方式比較靈活，不影響防火墻和入侵檢測系統(tǒng)的性能。 入侵檢測與防火墻實(shí)現(xiàn)聯(lián)動 防火墻與入侵檢測這兩種技術(shù)具有較強(qiáng)的互補(bǔ)性。代理既能獨(dú)立地完成自己的工作，又能與其它代理協(xié)作共同完成某項(xiàng)任務(wù)，且代理能夠接受控制并能感知環(huán)境的變化而影響環(huán)境。其中信息收集模塊與特定的環(huán)境，監(jiān)視的對象有比較密切的關(guān)系 :信息處理與通訊模塊，是對所收集到的數(shù)據(jù)進(jìn)行預(yù)處理和分類，然后把處理的結(jié)果按照一定的格式傳輸給檢測判斷模塊。誤用檢測將收集到的信息與已知的攻擊簽名模式庫進(jìn)行比較，從中發(fā)現(xiàn)違背安全策略的行為。其基本前提是：假定所有可能的入侵行為都能被識別和表示。 采用異常檢測的關(guān)鍵問題有如下兩 個(gè)方面： (1) 特征量的選擇 在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。當(dāng)觀察值超出正常值范圍時(shí)，就有可能發(fā)生入侵行為。 表 34狀態(tài)檢測技術(shù)工作情況 應(yīng)用層 TCP層 IP 層 數(shù)據(jù)鏈路層 物理層 入侵檢測技術(shù) 僅僅依賴防火墻并不能保證足夠的安全，為了解決非法入侵所造成的各種安全問題，安全廠商提出了建立入侵檢測系統(tǒng)的解決 方法。如表 33 所示。 （ 4）防止內(nèi)部信息的外泄。 在網(wǎng)絡(luò)中，防火墻實(shí)際是一種隔離技術(shù)，它所執(zhí)行的隔離措施有： （ 1）拒絕未經(jīng)授權(quán)的用戶訪 問內(nèi)部網(wǎng)和存取敏感數(shù)據(jù)。 表 32 GB17859的劃分標(biāo)準(zhǔn) 安全能力 一級 二級 三級 四級 五級 自主訪問控制 √ ∈ ≡ ≡ ≡ 強(qiáng)制訪問控制 √ ∈ ≡ 標(biāo)記 √ ∈ ≡ 身份鑒別 √ ∈ ∈ ≡ ≡ 客體重用 √ ≡ ≡ ≡ 審計(jì) √ ∈ ∈ ∈ 數(shù)據(jù)完整 √ ≡ ∈ ≡ ≡ 隱蔽信道分析 √ ≡ 可信路徑 √ ≡ 可信恢復(fù) √ 注 : “√” :新增功能；“∈”：比上一級功能又所擴(kuò)展；“≡”：與上一級功能相同。目前， A類安全等級只包含 A1一個(gè)安全類別。 B2 系統(tǒng)必須滿足 B1系統(tǒng)的所有要求。在 C1 系統(tǒng)中，所有的用戶以同樣的靈敏度來處理數(shù)據(jù)，即用戶認(rèn)為 C1系統(tǒng)中的所有文檔都具有相同的機(jī)密性。其中 D級是沒有安全機(jī)制的級別，A1 級是難以達(dá)到的安全級別，如表 錯(cuò)誤！未找到圖形項(xiàng)目表。 （ 4）安全算法實(shí)現(xiàn)：具體算法的實(shí)現(xiàn)，如 PES、 RSA. 11 （ 5）安全策略數(shù)據(jù)庫：保存與具體建立的安全策略有關(guān)的狀態(tài)、變量、指針。 （ 5）不可否認(rèn)性；也稱不可抵賴性，即防止對數(shù)據(jù)操作的否認(rèn)。這兩種情況中，數(shù)據(jù)項(xiàng)的大小有很大的變化，數(shù)據(jù)權(quán)力命名也可以帶自己的 ACL[3]。 （ 4）完整性保證。錯(cuò)誤 !未找到引用源。 （ 1）機(jī)密性：是指保證信息與信息系統(tǒng)不被非授權(quán)者所獲取與使用，主要 范措施是密碼技術(shù)。 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件，軟件及數(shù)據(jù)受到保護(hù)，不遭受偶然或惡意的破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷 [1]。 除此之外，校園網(wǎng)還面對形形色色、良莠不分的網(wǎng)絡(luò)資源，如不進(jìn)行識別和過濾，那么會造成大量非法內(nèi)容或郵件出入，占用大量流量資源，造成流量堵塞、上網(wǎng)速度慢等問題。 (3)目前關(guān)于網(wǎng)絡(luò)犯罪的法律、法規(guī)還不健全。電腦黑客利用系統(tǒng)中的安全漏洞非法進(jìn)入他人計(jì)算機(jī)系統(tǒng)，其危害性非常大。 (2)配置不當(dāng)：安全配置不當(dāng)造成安全漏洞，例如，防火墻軟件的配置不正確，那么它根本不起作用。 （二）網(wǎng)絡(luò)安全的防護(hù)力脆弱，導(dǎo)致的網(wǎng)絡(luò)危機(jī) (1)根據(jù) Warroon Research 的調(diào)查， 1997年世界排名前一千的公司幾乎都曾被黑客闖入。甚至連安全工具本身也可能存在安全的漏洞。 (2)安全工具的使用受到人為因素的影響。在信息處理能力提 高的同時(shí)，系統(tǒng)的連結(jié)能力也在不斷的提高。為了解決這些安全問題，各種安全機(jī)制、策略、管理和技術(shù)被研究和應(yīng)用。雖然在這方面，可 以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進(jìn)行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較，針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的 BUG，現(xiàn)有的安全工具對于利用這些 BUG的攻擊幾乎無法防范。 (4)最近一次黑客大規(guī)模的攻擊行動中，雅虎網(wǎng)站的網(wǎng)絡(luò)停止運(yùn)行 3 小時(shí)，這令它損失了幾百萬美金的交易。 (3)安全意識不強(qiáng)：用戶口令選擇不慎，或?qū)⒆约旱膸ぬ栯S意轉(zhuǎn)借他人或與別人共享等都會對網(wǎng)絡(luò)安全帶來威脅。 相繼遭到多次攻擊。具體來說包括： 圖 101 7 (1)非授權(quán)訪問；即對網(wǎng)絡(luò)設(shè)備及信息資源進(jìn)行非正常使用 或越權(quán)使用等。 圖 101 論文的主要任務(wù) 計(jì)算機(jī)網(wǎng)絡(luò) 錯(cuò)誤 !未找到引用源。 （ 2）網(wǎng)絡(luò)上系統(tǒng)信息的安全：包括用戶口令鑒 別、用戶存取權(quán)限控制、數(shù)據(jù)存取權(quán)限、方式控制、安全審計(jì)、安全問題跟蹤、計(jì)算機(jī)病毒防治、數(shù)據(jù)加密等。 圖 101 網(wǎng)絡(luò)安全機(jī)制 網(wǎng)絡(luò)安全機(jī)制是保護(hù)網(wǎng)絡(luò)信息安全所采用的措施，所有的安全機(jī)制都是針對某些潛在 的安全威脅而設(shè)計(jì)的，可以根據(jù)實(shí)際情況單獨(dú)或組合使用。加密使信息改變，攻擊者無法了解信息的內(nèi)容從而達(dá)到保護(hù)；隱藏則是將有用信息隱藏在其他信息中，使攻擊者無 法發(fā)現(xiàn)。 （ 6）任務(wù)填充：在任務(wù)間歇期發(fā)送無用的具有良好模擬性能的隨機(jī)數(shù)據(jù)，以增加攻擊者通過分析通信流量和破譯密碼獲得信息難度。 安全策略的配置 開放式網(wǎng)絡(luò)環(huán)境下用戶的合法權(quán)益通常受到兩種方式的侵害：主動攻擊和被動攻擊，主動攻擊包括對用戶信息的竊取，對信息流量的分析。主要是指公開密銀證書的產(chǎn)生、分配更新和驗(yàn)證。 國際互聯(lián)網(wǎng)允許自主接入，從而構(gòu)成一個(gè)規(guī)模龐大的，復(fù)雜的巨系統(tǒng)，在如此復(fù)雜的環(huán)境下，孤立的技術(shù)發(fā)揮的作用有限，必須從整體的和體系的角度，綜合運(yùn)用系統(tǒng)論，控制論和信息論等理論，融合各種技術(shù)手段，加強(qiáng)自主創(chuàng)新和頂層設(shè)計(jì)，協(xié)同解決網(wǎng)絡(luò)安全問題。D1 系統(tǒng)只為文件和用戶提供安全保護(hù)。 C2系統(tǒng)具有 C1系統(tǒng)中所有的安全性特 征。 B3 系統(tǒng)必須符合B2 系統(tǒng)的所有安全需求。對系統(tǒng)分析后，設(shè)計(jì)者必須運(yùn)用核對技術(shù)來確保系統(tǒng)符合設(shè)計(jì)規(guī)范。 （ 2）常用安全模型：是一種多級安全模型，即它所控制的信息分為絕密、機(jī)密、秘密和無密 4種敏感級。一個(gè)防火墻作為阻塞節(jié)點(diǎn)和控制節(jié)點(diǎn)能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)，只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。 防火墻的工作原理 從防火墻的作用可以看出，防火墻必須具備兩 個(gè)要求：保障內(nèi)部網(wǎng)安全和保障內(nèi)部網(wǎng)和外部網(wǎng)的聯(lián)通。 （ 2）代理服務(wù)技術(shù) 以一個(gè)高層的應(yīng)用網(wǎng)關(guān)作為代理服務(wù)器，接受外來的應(yīng)用連接請求，在代理服務(wù)器上 進(jìn)行安全檢查后，再與被保護(hù)的應(yīng)用服務(wù)器連接，使外部用戶可以在受控制的前提下使用內(nèi)部網(wǎng)絡(luò)的服務(wù)，如圖 32所示。 圖 33 入侵檢測系統(tǒng)組成 入侵檢測所利用的信息一般來自以下四個(gè)方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。 （一）異常檢測 又稱為基于行為的檢測。合適的參考閾值的選定是決定這一檢測方法準(zhǔn)確率的至關(guān)重要的因素。常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析、誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。 入侵檢測就是通過對系統(tǒng)數(shù)據(jù)的分析、發(fā)現(xiàn)非授權(quán)的網(wǎng)絡(luò)訪問和攻擊行為， 然后采取報(bào)警、切斷入侵線路等對抗措施。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵的特點(diǎn)。同時(shí)，代理可以與其它代理和中心服務(wù)器進(jìn)行有限的交互，交換數(shù)據(jù)和控制信息。但 是，由于入侵檢測系統(tǒng)本身也是一個(gè)很龐大的系統(tǒng)，所以無論從實(shí)施難度、合成后的性能等方面都會因此受到很大影響。解密是指把密文還原成明文的過程。在公開密鑰加密方法中，密鑰越大密文就越安全。信息發(fā)送者首先利用隨機(jī)產(chǎn)生的對稱密碼加密信息，再利用接收方的公鑰加密對稱密碼，被公鑰加密后的對稱密碼稱之為數(shù)字信封。 （ 3） 表現(xiàn)模塊：包括病毒觸發(fā)條件判斷和具體表現(xiàn)。 除此以外，還可以用幾種專業(yè) 手段來檢查： (1)比較法 用原始備份與被檢測的引導(dǎo)扇區(qū)或被監(jiān)測的文件進(jìn)行比較，比較時(shí)可以靠打印的代碼清除。它為用戶提供了 在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力。 圖 41 修改 tel服務(wù)端口 如果將 tel 的最大連接數(shù)設(shè)為 0，這樣就可以讓一般的黑客豪無辦法，設(shè)置方法同上。 圖 42 禁用空用戶連接 “木馬”防范措施 “木馬”的概述 特洛伊木馬是一種隱藏了具有攻擊性的應(yīng)用程序。 （ 2 ）查看注冊表。 （ 4）利用郵件非法安裝木馬。 Sniffer的工作原理 Sniffer要捕獲的東西必須是要物理信號能收到的報(bào)文信息，只要通知網(wǎng)卡接收其收到的所有包，在共享 HUB下就能接收到這個(gè)網(wǎng)絡(luò)的所有包，但是交換 HUB 下就只能是自己的包加上廣播包， sniffer 工作在網(wǎng)絡(luò)環(huán)境中的底層，它會攔截所有正在網(wǎng)絡(luò)上傳遞的數(shù)據(jù)，并且通過相應(yīng)的軟件處理，可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而分析所處理的網(wǎng)絡(luò)狀態(tài)和整體布局，值得注意的是， sniffer是極其安靜的，它是一種消極的安全攻擊。 (4)劃分 VLAN(虛擬局域網(wǎng) )。 為了防范源路由欺騙攻擊，一般采用下面兩種措施： (1)對付這種攻擊最好的辦法是配置好路由器使它拋棄那些由外部網(wǎng)進(jìn)來的卻聲稱是內(nèi)部主機(jī)的報(bào)文。 要防止源 IP 地址的欺騙行為，可以采取以下措施來盡可能地保護(hù)系統(tǒng)免受這類攻擊： (1)拋棄基于地址的信任策略。 （ 3）使用反監(jiān)聽工具如 Antisniffer等進(jìn)行檢測。具體方案是：在 IE 窗口中點(diǎn)擊“工具”→“ Inter 選項(xiàng)”，在彈出的對話框中選擇“安全”標(biāo)簽，再點(diǎn)擊“自定義級別”按鈕，就會彈出“安全設(shè)置”對話框，把其中所有 ActiveX插件和控件以及與 Java相關(guān)全部選項(xiàng)選擇“禁用”。 不斷地利用 cpu的利用率，使計(jì)算機(jī)不能處理其他的進(jìn)程，導(dǎo)致系統(tǒng)和網(wǎng)絡(luò)資源癱瘓。在“木馬”程序會想盡一切辦法隱藏自己，主要途徑有：在任務(wù)欄和任務(wù)管理器中隱藏自己，即將程序設(shè)為“系統(tǒng)服務(wù)”來偽裝自己，“木馬”會在每次服務(wù)端啟動時(shí)自動裝載到系統(tǒng)中，如：啟動組，,注冊表等。另外為了防止黑客通過 Guest 賬號登錄計(jì)算機(jī)，可以在“組策略”中刪除 Guest賬號。要開始一個(gè) tel會話，必須輸入用戶名和密碼來登錄服務(wù)器。 (4)人工智能陷阱技術(shù)和宏病毒陷阱技術(shù) 人工智能陷阱是一種監(jiān)測計(jì)算機(jī)行為的常駐或掃描技術(shù)。 （ 2）系統(tǒng)出現(xiàn)莫名其妙的死機(jī)或者重啟。 計(jì)算機(jī)病毒的組成與分類