【正文】 l Attach：加入郵件的附件 。 EMail炸彈 電子郵件炸彈 (EMail Bomb)， 是一種讓人厭煩的攻擊 ，也是黑客常用的攻擊手段 。 傳統(tǒng)的郵件炸彈大多是向郵箱內扔大量的垃圾郵件 ， 從而充滿郵箱 ， 大量地占用系統(tǒng)的可用空間和資源 ， 使機器無法正常工作 。 EMAIL炸彈常用的解救方法： (1) 向 ISP求助 向 ISP服務商求助 ， 技術支持是 ISP的服務之一 ， 他們會幫用戶清除電子郵件炸彈 。 (2) 用軟件清除 利用郵件工具軟件清除 Email炸彈 ， 這些軟件可以登錄郵件服務器 ， 選擇要刪除哪些 Email， 保留哪些 Email。 (3) 利用 Outlook的阻止發(fā)件人功能 l 選中要刪除的垃圾郵件； l 點擊 “ 郵件 ” 選項卡； l 在郵件選項卡下有一個 “ 阻止發(fā)件人 ” 選項 ， 拒收該郵件 。 (4)用郵件程序的 Emailnotify功能過濾信件 使用郵件程序 Emailnotify功能可過濾和刪除信件 ， Emailnotify不會把信件直接從主機上下載下來 ， 只會把所有信件的頭部信息 (Headers)送過來 ， 它包含了信件的發(fā)送者 、 信件的主題等信息 ， 用 View功能檢查頭部信息 ， 看到有來歷可疑的信件 ， 可從主機 Server端直接刪除掉 。 (5) 利用 IE瀏覽器的 Inter選項功能拒收信件 在 IE瀏覽器中，選擇 “ 工具 Inter選項 安全 受限站點 ” 功能，將令人討厭的發(fā)件者打入“ 黑名單 ” 。凡打入了黑名單的郵件系統(tǒng)會拒收其發(fā)來的所有信息（包括電子郵件）。 FTP與 Tel安全 本節(jié)內容 FTP存在的安全漏洞 FTP安全技術 Tel安全性分析 FTP存在的安全漏洞 （ Protecting Password） 存在漏洞： l 在 FTP 標準 “ PR85”中 ， FTP服務器允許無限次輸入密碼； l “pass”命令以明文傳送密碼 。 對此漏洞能夠有兩種強力攻擊方式： l 在同一連接上直接強力攻擊 ， 即不斷進行密碼嘗試攻擊 。 l 與服務器建立多個 、 并行的連接進行強力攻擊 。 防范措施：服務器應限制嘗試輸入口令的次數(shù)，在幾次失敗后服務器應關閉和用戶的控制連接。在關閉之前，服務器有發(fā)送返回信息碼 421。另外，服務器在響應無效的 “ pass”命令之前應暫停幾秒鐘來消除強力攻擊的有效性。 （ Access control） 存在漏洞：從安全角度出發(fā) ， 對一些 FTP服務器來說 ， 基于網(wǎng)絡地址的訪問控制是非常重要的 。 另外 ， 客戶端也需要知道所進行的連接是否與它所期望的服務器已建立 。 防范措施：在建立連接前 ， 雙方需要同時認證遠端主機的控制連接 、 數(shù)據(jù)連接的網(wǎng)絡地址是否可信 。 （ port stealing ） 存在漏洞：當使用操作系統(tǒng)相關的方法分配端口號時 ， 通常都是按增序分配 。 攻擊：攻擊者可以通過端口分配規(guī)律及當前端口分配情況 ， 只要攻擊者知道了一個端口的分配情況 ， 就可確定下一個要分配的端口 ， 然后對端口做手腳 。 防范措施：系統(tǒng)隨機分配端口號，讓攻擊者無法預測端口分配情況。 （ user names） 存在漏洞：當 “ user”命令中的用戶名被拒絕時 ， 在 FTP 標準“ PR85”中定義了相應的返回碼 530。 而當用戶名有效時 ， FTP將使用返回碼 331。 攻擊：攻擊者可以通過 user操作的返回碼確定一個用戶名是否有效 。 防范措施：不論用戶名是否有效 FTP都應是相同的返回碼 ， 這樣可以避免泄露有效的用戶名 。 （ privacy） 在 FTP標準 “ PR85”中，所有在網(wǎng)絡上被傳送的數(shù)據(jù)和控制信息都未被加密。為了保障 FTP傳輸數(shù)據(jù)的私密性，應盡可能使用強大的加密系統(tǒng)。 FTP安全技術 用過 FTP的人都知道， FTP提供一種匿名服務 (Anonymous Service)功能。登錄名用 “ anonymous”，而口令通常可用你的電子郵件地址代替。正是這種服務方式方便了用戶，但也不可避免地帶來了安全問題，如客戶登錄后，往往能夠獲得一個可寫目錄，這樣客戶就可以通過 put上載一個甚至是多個txt文件，來達到其攻擊該 FTP服務器或其他 FTP服務器的目的。雖然許多 FTP服務器都限制匿名用戶的權限，比如執(zhí)行權，而許多 FTP服務器與 Web服務器同裝在一臺機器上，那么匿名用戶完全可以利用該可寫目錄運行命令調用 Web服務器執(zhí)行。 通過 FTP代理服務器連接到匿名 FTP服務器 ， 而不是直接連接到 FTP服務器上 。 這樣做的主要目的基于兩個方面：第一 ， 無法直接連接 ， 比如存在防火墻；第二 ， 出于不被匿名服務器知曉其 IP地址的目的 ， 或者登錄者就是網(wǎng)絡攻擊者 ， 或者由于匿名服務器根據(jù) IP地址來限制客戶登錄 。 因此 ， 對于防火墻內的客戶來說 ， 它必須先運行 FTP命令并通過作為主機的防火墻連接 ， 連接完成后 ， 必須說明用戶名和連接地點 ， 在認證該地點確實允許之后 ， 代理才與遠程系統(tǒng)上的 FTP服務器建立連接 ， 使用用戶提供的用戶名開始登錄 。 然后遠程服務器提示用戶輸入口令 ， 如果口令正確則連接被允許 。 對于非防火墻內用戶 ， 它可以通過任意代理服務器來連接其目的服務器 ， 并達到隱藏其地址的目的 。 因對于目標服務器而言 ，其知道的僅僅是代理服務器的地址 。 這樣，通過 FTP代理服務器對 FTP服務器進行攻擊，往往使得查找網(wǎng)絡攻擊源變得很困難，而且如果 FTP服務器和 FTP代理服務器間存在一定的信任關系，攻擊就變得更容易了。 (Bounce)攻擊問題 FTP的代理服務特性是允許第三方文件傳輸 。 一個用戶可以從一個 FTP向另一個遠程 FTP請求代理傳輸 。 實際上這種特性已在RFC959中被說明 ， 當與引用命令相連時 ， 例如 PORT及 PASV語句 ， 允許一個用戶避免 IP訪問控制及可跟蹤性 。 假設一個網(wǎng)絡攻擊者的 IP地址是 ，他想從另一個目標服務器獲得資源。但目標服務器對一些特定的 IP地址范圍進行了限制。假定網(wǎng)絡攻擊者的 IP地址 ，因此目標服務器上的一些或所有的資源都不能訪問，所以必須使用另一臺機器 (中繼服務器 )去訪問目標服務器。其簡單的過程就是，用戶登錄上這臺中繼網(wǎng)服務器后，向中繼用服務器目錄寫一個文件，該文件包含有連接到目標機器并獲得一些文件的命令。當該中介服務器連接目標服務器時，使用了它自己的地址而不是攻擊者的地址。因此，目標服務器信任該連接請求并返回要求的文件。這樣就構成了一個跳板攻擊。 Tel安全性分析 Tele是一個非常有用的工具 ， 并且一般主機都開啟了 Tel服務 。我們可以使用 Tel登錄上一個開啟了 Tel服務的主機來執(zhí)行一些命令 ，便于進行遠程工作或維護 。 但 Tel本身存在很多的安全問題 ， 描述如下： l 傳輸明文： Tel登錄時沒有口令保護 ， 遠程用戶的登錄傳送的用戶名和密碼都是明文 ， 網(wǎng)絡攻擊者使用任何一種簡單的嗅探器都可以截獲； l 沒有強力認證機制 ， 驗證的只是連接者的用戶名和密碼； l 沒有完整性檢查 。 傳送的數(shù)據(jù)沒有辦法知道是否完整 ， 不能判斷數(shù)據(jù)是否被篡改過； l 傳送的數(shù)據(jù)都沒有加密 。 中途的截獲可以馬上看到數(shù)據(jù)的內容 。 解決辦法：不要使用傳統(tǒng)的明文軟件 Tel，而要使用 SSLTel或 SSH這樣的對數(shù)據(jù)加密傳輸?shù)能浖? IPv4與 IPv6安全 本節(jié)內容 IPv4安全性分析 IPv6安全性分析 IPv6安全機制 IPv4安全性分析 目前廣泛使用的 TCP/IP協(xié)議是安全機制不完善的 IPv4版本 。 該版本的 TCP/IP協(xié)議體系中存在許多安全缺陷 ， 列舉如下： l TCP/IP本身不提供加密傳輸功能 ， 用戶口令和數(shù)據(jù)是以明文形式傳輸?shù)?，很容易在傳輸過程中被截獲或修改； l TCP/IP本身不支持信息流填充機制 ， 容易受到信息流分析的攻擊； l TCP/IP本身不提供對等實體鑒別功能 ， 惡意的第三者實體可以輕易冒充合法用戶與連接的一方通信 ， 并能騙取對方的信任； l TCP/IP協(xié)議體系本身存在缺陷 ， 容易遭受到攻擊 ， 例如 ， 服務端口的半開連接問題會造成拒絕服務現(xiàn)象發(fā)生； l 由 TCP/IP支持的 Inter中的各個子網(wǎng)是平等的 ， 難以實現(xiàn)分級安全的網(wǎng)絡結構 (如樹狀結構 )， 無法實現(xiàn)有效的安全管理； l許多廠商提供的 TCP/IP應用層協(xié)議實用軟件中存在嚴重的安全漏洞，常常被黑客用作網(wǎng)絡攻擊的工具。 IPv6安全性分析 IPv4是整個 Inter網(wǎng)絡的基本通信協(xié)議 ， 從 1970年底問世以來不斷地更新 。 隨著通信技術和計算機技術的發(fā)展 ， Inter網(wǎng)絡性能不斷提高 ， 應用越來越廣泛 。 因此 ， 盡管 IPv4的設計是健全的 ，但它必然被取代 ， 即用 IPv6取代 IPv4。 下一代 IP協(xié)議是 IPv6。 IPv6除了對 IP地址作了較大的改動以外，也完全改變了 IPv4的數(shù)據(jù)包格式。如圖 65所示， IPv6數(shù)據(jù)包有一個固定大小的基本首部 (Base Header)，其后可以允許有零個或多個擴展首部 (Extension Header)，再其后才是數(shù)據(jù)信息。 IPv6在安全性能方面具有較大提高 ， 它主要是利用了 IPSec（ Inter Protocol Security：因特網(wǎng)安全協(xié)議 ） ， IPSec在網(wǎng)絡協(xié)議棧的 IP(Inter Protocol)層提供加密和認證服務技術 。IPsec包含三個安全措施：認證頭 AH(Authentication Head)， 提供封包層的認證服務 、 封裝安全凈荷 ESP(Encapsulating Security payload)， 提供加密以及認證服務 、 Inter密鑰交換協(xié)議IKE(Inter Key Exchange),用以對通信雙方提供身份認證和密鑰交換方法 。 在 IPv6中 ， AH和 ESP都作為一擴展首部 。 IPv6和 IPv4安全性的最大不同就是 IPSec是作為一種附加的安全措施作用于 IPv4的 ，而 IPv6的所有產(chǎn)品的安全措施則是以 IPSec為主 。 1. 加密和認證 AH提供了認證機制，通過這個認證過程可保證數(shù)據(jù)包接收者得到的源地址是可靠的，且所接收的數(shù)據(jù)包在傳輸過程中沒有被篡改或更換。 ESP保證只有合法的接收者才能讀取數(shù)據(jù)包的內容。這兩者都是建立在安全關聯(lián) (security association)的概念基礎上。 (1)安全關聯(lián) 認證和加密要求發(fā)送者和接收者就密鑰 、 認證或加密算法以及一系列附屬特性 (如密鑰生命周期 、 算法使用細節(jié)等 )達成一致的協(xié)定 。這套協(xié)定機制組成了發(fā)送者和接收者之間的一種 “ 安全關聯(lián) ” 。 接收者在收到數(shù)據(jù)包后 ， 只有在能將其與一種安全關聯(lián)的內容相關聯(lián)起來時 ， 才能對其進行驗證和解密 。 所有的 IPv6驗證和加密數(shù)據(jù)包都帶有安全參數(shù)索引 SPI(Security Parameter Index)。 當數(shù)據(jù)包通過單播地址只發(fā)送給一個接收者時 ， SPI就由該接收者來選定 ， 例如它可以是接收者所維持的安全上下文表的索引 。 事實上 ，一臺主機每次接收時所使用的 SPI都是 “ 安全關聯(lián) ” 中的一個參數(shù) 。 每臺工作站都必須記住其對端使用的 SPI， 以便識別安全上下文 。 當數(shù)據(jù)包通過多播地址發(fā)送給一組接收者時， SPI對組中的所有成員是同等對待的。每個成員都能將組地址和 SPI結合起來，并與密鑰、算法和其他參數(shù)產(chǎn)生關聯(lián)。通常，對 SPI的協(xié)商操作是在密鑰交換過程中進行的。 (2)認證頭 認證頭 AH是 IPv6所定義的擴展報頭中的一種，由有效負載類型51來標識。例如：一個被認證的 TCP數(shù)據(jù)包會包括有一個 IPv6報頭、一個認證報頭和 TCP數(shù)據(jù)包本身。除此之外，還有其他幾種變體，例如在 AH前插有路由選擇報頭，或者在 AH和有效負載之間插入端到端選項等，如圖 66所示。 IPV6報頭 AH TCP報文段 IPV6報頭 路由報頭 AH TCP報文段 IPV6報頭 AH 端到端選項 TCP報文段 認證頭的出現(xiàn)不會改變 TCP的行為 ， 事實上也不會改變任何端到端協(xié)議 ， 如UDP和 ICMP。 它所提供的就是對數(shù)據(jù)原始性的明確擔保 。 盡管在實際