【正文】 通過(guò)目標(biāo)計(jì)算機(jī)發(fā)送一個(gè)數(shù)據(jù)包 ， 讓它將這個(gè)數(shù)據(jù)包反送回來(lái) 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 在手工掃描時(shí) ， 需要熟悉各種命令 ， 對(duì)命令執(zhí)行后的輸出進(jìn)行分析 。 請(qǐng)記住 ， 許多攻擊往往來(lái)自網(wǎng)絡(luò)內(nèi)部 。 (3) 如果內(nèi)部網(wǎng)絡(luò)要和 Inter相連 ， 還必須使用防火墻 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 (2) 建立信任策略表 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 另一個(gè)比較容易接受的防止 Sniffer的方法是使用安全拓?fù)浣Y(jié)構(gòu) 。 如果某個(gè)站點(diǎn)使用 FSSH， 用戶名和口令就變得不是很重要了 。 解決這些問(wèn)題的辦法是加密 。現(xiàn)在實(shí)現(xiàn)這項(xiàng)功能的 Antisniff程序已被開(kāi)發(fā)出來(lái)，感興趣的讀者可上 Inter網(wǎng)下載。 但可能入侵者用的是他們自己寫(xiě)的程序 ， 這給發(fā)現(xiàn) Sniffer造成相當(dāng)大的困難 。 一個(gè)主要的辦法是看看計(jì)算機(jī)上當(dāng)前正在運(yùn)行的所有程序 ， 這通常并不可靠 ， 但用戶能控制哪個(gè)程序可以在計(jì)算機(jī)上運(yùn)行 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 使用 Sniffer程序或編寫(xiě)一個(gè)功能強(qiáng)大的 Sniffer程序需要一些網(wǎng)絡(luò)方面的知識(shí) 。 Sniffer屬第二層次的攻擊 ， 通常是攻擊者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng) ， 然后使用 Sniffer這種攻擊手段以得到更多的信息 。當(dāng)一個(gè)設(shè)備要向某一目標(biāo)發(fā)送數(shù)據(jù)時(shí)，它是對(duì)以太網(wǎng)進(jìn)行廣播的。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 1． 什么是以太網(wǎng) Sniffing 以太網(wǎng) Sniffing是指對(duì)以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進(jìn)行偵聽(tīng)，發(fā)現(xiàn)感興趣的包；如果發(fā)現(xiàn)符合條件的包，就把它存到一個(gè) log文件中去。首先，它接收所有的數(shù)據(jù)報(bào)文，這就使網(wǎng)絡(luò)上的數(shù)據(jù)丟失，造成網(wǎng)絡(luò)通信不暢。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 * 常見(jiàn)的黑客工具及攻擊方法 網(wǎng)絡(luò)監(jiān)聽(tīng) 網(wǎng)絡(luò)監(jiān)聽(tīng)是黑客在局域網(wǎng)或路由器上進(jìn)行的一項(xiàng)黑客技術(shù) ， 可以很容易地獲得用戶的密碼和賬號(hào) 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 10) 啟動(dòng)審查功能 為防止未經(jīng)授權(quán)的訪問(wèn) ， 可以利用域用戶管理器啟用安全審查功能 ， 以便在事件查看器安全日志中記錄未經(jīng)授權(quán)的訪問(wèn)企圖 ， 以便盡早發(fā)現(xiàn)安全漏洞 。 7) 設(shè)置賬號(hào)鎖定 這是阻止黑客入侵的有效方法 ， 建議設(shè)置嘗試注冊(cè)三次后鎖定賬號(hào) ， 在合適的鎖定時(shí)間后被鎖定的賬號(hào)自動(dòng)打開(kāi) ， 或者只有管理員才能打開(kāi)賬號(hào)使用戶恢復(fù)正常 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 (5) 要求用戶定期更改口令 。 選擇好口令的原則主要有： (1) 登錄名稱中的字符不要重復(fù)或循環(huán) 。 如果一個(gè)用戶在公司里的角色變了 ， 很難跟蹤并更改他的訪問(wèn)權(quán) 。 3) 掌握并使用微軟提供但未設(shè)置的安全功能 例如 ， 缺省安裝未禁用 G u e s t 賬號(hào) ， 并且給Everyone(每個(gè)人 )工作組授予 “ 完全控制 ” 權(quán)限 ， 沒(méi)有實(shí)施口令策略等都給網(wǎng)絡(luò)的安全留下了漏洞 。 (2) 在服務(wù)器上設(shè)置系統(tǒng)啟動(dòng)口令 ， 設(shè)置 BIOS禁用軟盤引導(dǎo)系統(tǒng) 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 如果是未安裝 Service Pack 1或 Windows 2023系統(tǒng) ， 用鼠標(biāo)左鍵單擊選項(xiàng)按鈕 ， 在出現(xiàn)的對(duì)話框中選擇主頁(yè) ， 這時(shí)在已出現(xiàn)的幫助窗口的右側(cè)會(huì)出現(xiàn) IE瀏覽器界面中的 “ 此頁(yè)不可顯示 ” 頁(yè)面 ， 其中有一個(gè)檢測(cè)網(wǎng)絡(luò)設(shè)置的鏈接 ， 單擊它就會(huì)出現(xiàn)網(wǎng)絡(luò)設(shè)置選項(xiàng) ， 可以對(duì)網(wǎng)絡(luò)進(jìn)行設(shè)置 ， 甚至對(duì)控制面板做任何修改 。 這種情況只有一種可能 ， 那就是物理上能訪問(wèn)機(jī)器 。 這種情況 (系統(tǒng)里只有一個(gè) Administrator賬號(hào) ) 是 NT/2023預(yù)先考慮過(guò)的一個(gè)特征 ， 然而它也是一種風(fēng)險(xiǎn) 。 (4) 重新安裝 Windows NT/2023軟件 ， 就可以獲得Administrator級(jí)別的訪問(wèn)權(quán) 。 在這種情況下 ， 甚至沒(méi)有必要使用工具來(lái)猜測(cè)那些明文口令 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 最新的 Service Pack已經(jīng)糾正了這個(gè)問(wèn)題 ， 它限制了 Ping包的大小 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 由于有許多與 NT口令有關(guān)的安全問(wèn)題 ， Microsoft已經(jīng)在 Windows NT/2023加密口令時(shí)增加了許多步驟 ，但同時(shí)也增加了許多新的安全漏洞 ， 這里舉幾個(gè)帶來(lái)嚴(yán)重問(wèn)題的安全漏洞的例子 。 (3) 目錄對(duì)象有訪問(wèn)控制列表 ACL，且訪問(wèn)控制條目 ACE不為空，則安全系統(tǒng)將用戶的存取標(biāo)識(shí) SID及資源訪問(wèn)操作與目錄的 ACL中所有的訪問(wèn)控制條目 ACE對(duì)照，若發(fā)現(xiàn)用戶存取標(biāo)識(shí) SID中的用戶名與 ACL中的訪問(wèn)控制條目 ACE有對(duì)應(yīng)關(guān)系且所要求的權(quán)限合法，則訪問(wèn)獲得允許；否則，訪問(wèn)被拒絕。ACE中包含了用戶名以及該用戶的權(quán)限 。在登錄過(guò)程中，創(chuàng)建和使用存取標(biāo)識(shí)是非常重要的。 因此 ， 如果用戶想獲得另一個(gè)賬號(hào)的存取權(quán)限 ， 就必須退出系統(tǒng)并重新以另一個(gè)賬號(hào)進(jìn)行登錄 。用 SID標(biāo)識(shí)用戶的結(jié)果是，在同一個(gè)計(jì)算機(jī)上，可以多次創(chuàng)建相同的用戶賬號(hào)名，而每一個(gè)賬號(hào)名都有一個(gè)惟一的 SID。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 在安全系統(tǒng)上用惟一名字標(biāo)識(shí)一個(gè)注冊(cè)用戶，它可以用來(lái)標(biāo)識(shí)一個(gè)用戶或一組用戶。 通過(guò)對(duì)訪問(wèn)控制列表 (ACL)的控制 ， 能確定授予用戶和組的存取權(quán)限 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 存取標(biāo)識(shí) SID的作用相當(dāng)于緩存 ， 只不過(guò)存取標(biāo)識(shí)緩存的是用戶安全信息 ， 這使得系統(tǒng)不必再?gòu)挠脖P上查找這些信息 。 存取標(biāo)識(shí)中的主要內(nèi)容有： ● 用戶名以及 SID； ● 用戶所屬的組及組 SID； ● 用戶對(duì)系統(tǒng)所具有的權(quán)力 。按下 Ctrl+Alt+Del鍵時(shí)， NT系統(tǒng)保證彈出的登錄對(duì)話框是系統(tǒng)本身的，而不是一個(gè)貌似登錄對(duì)話框的應(yīng)用程序，以防止被非法竊取用戶名及口令。 1. Windows NT/2023的用戶登錄管理 Windows NT/2023要求每個(gè)用戶使用惟一的用戶名和口令登錄到計(jì)算機(jī)上，這種登錄過(guò)程不能關(guān)閉。 Windows NT/2023網(wǎng)絡(luò)采取的安全措施是： Windows NT/2023系統(tǒng)首先必須在 NT/2023中擁有一個(gè)賬號(hào)；其次，應(yīng)規(guī)定該賬號(hào)在系統(tǒng)中的權(quán)力和權(quán)限。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 (4) 單向防火墻 (又叫網(wǎng)絡(luò)二極管 )將作為一種產(chǎn)品門類出現(xiàn) 。 (2) 美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì) NCSA (National Computer Security Association)成立的防火墻開(kāi)發(fā)商 FWPD (FireWall Product Developer)聯(lián)盟制訂的防火墻測(cè)試標(biāo)準(zhǔn)。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 4． 防火墻的安全標(biāo)準(zhǔn) 目前已提出了兩個(gè)標(biāo)準(zhǔn)： (1) ?RSA數(shù)據(jù)安全公司與一些防火墻生產(chǎn)廠商 (如Sun Microsystem公司 、 Checkpoint公司 、 TIS公司等 )以及一些 T C P / I P協(xié)議開(kāi)發(fā)商 (如 FTP公司等 )提出了Secure/WAN(S/WAN)標(biāo)準(zhǔn) 。這個(gè)系統(tǒng)的第一個(gè)安全設(shè)施是包過(guò)濾路由器。 因此 ， 在實(shí)際應(yīng)用中 ， 往往將兩種防火墻技術(shù)結(jié)合起來(lái) ， 以取長(zhǎng)補(bǔ)短 ， 主機(jī)屏蔽防火墻就是其中的一種 。 如果認(rèn)為信息是安全的 ， 那么代理程序就會(huì)將信息轉(zhuǎn)發(fā)到相應(yīng)的主機(jī)上 ， 用戶只能夠使用代理服務(wù)器支持的服務(wù) 。 1) 包過(guò)濾路由器 (Packet Filters) 包過(guò)濾路由器在一般路由器的基礎(chǔ)上增加了一些新的安全控制功能 ， 是一個(gè)檢查通過(guò)它的數(shù)據(jù)包的路由器 。一個(gè)好的防火墻系統(tǒng)應(yīng)具有三方面的特性： 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 Inter Intr a服務(wù)器工作站工作站防火墻工作站圖 611 防火墻 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 (1) 所有在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)必須通過(guò)防火墻 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 如圖 611所示，在網(wǎng)絡(luò)中，防火墻是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制的特殊網(wǎng)絡(luò)互連設(shè)備，如路由器、網(wǎng)關(guān)等。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 此外 ， KDC可使用其秘密密鑰 SKKDC對(duì)發(fā)給 A的應(yīng)答報(bào)文進(jìn)行數(shù)字簽名 ， 以防止偽造 ， 還可在報(bào)文中加入時(shí)間戳防止重放攻擊 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 KDCKDC用戶 A用戶B① SK AK DC (A, B)②③PKAK DC(K, PKBK DC(A, K))PKBK DC(A, K)圖 610 KDC分配一次對(duì)稱密鑰的過(guò)程 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 首先 ， A向 KDC發(fā)送用自己的秘密密鑰 SKAKDC加密的信息報(bào)文 SKAKDC(A， B)， 說(shuō)明想和用戶 B通信 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 目前 ， 公認(rèn)的有效密鑰分配方法是通過(guò)密鑰分配中心KDC來(lái)管理和分配公開(kāi)密鑰 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 密鑰分配是密鑰管理中最大的問(wèn)題。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 密鑰管理與分配 在加密標(biāo)準(zhǔn) DES和公開(kāi)密鑰加密算法中 ， 由于加密算法公開(kāi) ， 網(wǎng)絡(luò)安全完全基于密鑰的安全保護(hù)上 ， 因此密鑰的管理非常重要 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 這兩個(gè)條件表明：若 (m， H(m))是發(fā)送方產(chǎn)生的報(bào)文和報(bào)文摘要 ， 攻擊者不可能偽造另一個(gè)報(bào)文 m39。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 報(bào)文摘要的優(yōu)點(diǎn)是：對(duì)短的固定長(zhǎng)報(bào)文摘要 H(m)進(jìn)行加密比對(duì)整個(gè)報(bào)文 m進(jìn)行加密效率要高得多 ， 但對(duì)鑒別報(bào)文 m來(lái)說(shuō) ， 其效果是一樣的 。 (3) 接收端收到報(bào)文 m和報(bào)文摘要密文 EK(H(m))后 ，將報(bào)文摘要密文 EK(H(m))解密還原成 H(m)。 但在特定網(wǎng)絡(luò)的應(yīng)用中 ， 許多報(bào)文并不需要加密 ， 但要求發(fā)送的報(bào)文應(yīng)該是完整的 ， 而且不是偽造的 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 * 報(bào)文鑒別 計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域中 ， 防止信息被竊聽(tīng)所采取的措施是對(duì)發(fā)送的信息進(jìn)行加密 ， 而防止信息被篡改和偽造則需要使用報(bào)文鑒別技術(shù) 。 端 — 端加密是由軟件或?qū)ｉT硬件在表示層或應(yīng)用層上實(shí)現(xiàn)變換的 。 因?yàn)榻氐矫芪?DSKA(P)并知道發(fā)送者身份的任何人 ，通過(guò)查閱手冊(cè)即可獲得發(fā)送者的公開(kāi)密鑰 PKA， 因而能理解電文內(nèi)容 。)。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 D明文 PSKA用秘密密鑰進(jìn)行簽名DSK A(P)發(fā)送者 A明文 P接收者 BEPKA用公開(kāi)密鑰核實(shí)簽名圖 67 數(shù)字簽名的實(shí)現(xiàn) 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 若 A要抵賴曾發(fā)送報(bào)文給 B， 則 B可將 P及 DSKA(P)出示給第三者 。 B用已知的 A的公開(kāi)加密密鑰得出 EPKA(DSKA(P))＝ P。 現(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字簽名的方法 ， 但采用公開(kāi)密鑰算法要比采用常規(guī)密鑰算法更容易實(shí)現(xiàn) 。 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 E加密方法D解密方法明文 P密文C=EPK B(P)加密密鑰 PK 解密密鑰 SK明文 P發(fā)送者 接收者密鑰對(duì)產(chǎn)生源圖 66 公開(kāi)密鑰密碼體制 第 6章 計(jì)算機(jī)網(wǎng)絡(luò)的安全性 2． 使用公開(kāi)密鑰加密算法進(jìn)行數(shù)字簽名 書(shū)信或文件是根據(jù)親筆簽名或印章來(lái)證明其真實(shí)性的 ， 但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的文件又如何蓋章呢 ？這就是數(shù)字簽名所要解決的問(wèn)題 。 在滿足這三個(gè)條件的情況下 ， 加密算法 E就可以公開(kāi) 。 此算法需有以下三個(gè)條件： (1) ?D(E(P))＝ P。 DES算法現(xiàn)已在 VLSI芯片上實(shí)現(xiàn) 。解密時(shí) ， 只需在迭代過(guò)程中 ， 將密鑰序號(hào)顛倒過(guò)來(lái)使用 ，即第一圈用 K(16)， 第二圈用 K(15)， 依此類推 。 變換完的兩個(gè) 48位數(shù)據(jù)相異或輸出一個(gè) 48位數(shù)據(jù)，該數(shù)據(jù)經(jīng)過(guò)壓縮和置換輸出 32位數(shù)據(jù)，然后再與數(shù)據(jù)的左半部分相異或，其結(jié)果作為這一輪迭代的輸出數(shù)據(jù)的右半部分；結(jié)合前的右半部分作為這一輪迭代的輸出數(shù)據(jù)的左半部分。 密鑰被去掉其第 8， 16， 24， … ， 64位后減至 56位 (去掉的那些位被視為奇偶校驗(yàn)位 ， 不含密鑰信息 )， 然后就開(kāi)始各輪運(yùn)算 。 DES被授權(quán)用于所有公開(kāi)的和私人的非保密通信場(chǎng)合 ， 后來(lái)它又曾被國(guó)際標(biāo)準(zhǔn)組織采納為國(guó)際標(biāo)準(zhǔn) 。 與傳統(tǒng)的密碼技術(shù)相比 ， 它們的基本原理一樣 ， 其密鑰是保密的 ， 但著重點(diǎn)不同 。 如以上的例子 ，按照上表列出