【正文】 (2)在路由器上關(guān)閉源路由，用命令 no ip sourceroute。 源路由欺騙攻擊 在通常情況下，信息包從起點(diǎn)到終點(diǎn)走過(guò)的路徑是由位于此兩點(diǎn)間的路由器決定的，數(shù)據(jù)包本身只知道去行何處，但不知道該如何去源路由可使信息包的發(fā)送者將此數(shù)據(jù)包要經(jīng)過(guò)胡路徑寫(xiě)在數(shù)據(jù)包里，使數(shù)據(jù)包循著一個(gè)對(duì)方不可預(yù)料的路徑到達(dá)目的主機(jī) [21]。 (2)使用加密 方法。 28 其它網(wǎng)絡(luò)攻擊與防范措施 源 IP地址欺騙攻擊 許多應(yīng)用程序認(rèn)為如果數(shù)據(jù)包能使其自身沿著路由到達(dá)目的地，而且應(yīng)答包也可以回到源地，那么源 IP 地址一定是有效的，而這正是使源 IP 地址欺騙攻擊成為可能的前提。 數(shù)據(jù)密文防范措施 在前面的一章中我們已經(jīng)介紹了數(shù)據(jù)加密和隱藏技術(shù)，在保密系統(tǒng)中，信道中傳播的是加密后的消息，即密文，采用截獲密文進(jìn)行分析的攻擊稱(chēng)為被動(dòng)攻擊，采用刪除、更改 、增添、重放、偽造等手段向系統(tǒng)注入假消息并進(jìn)行分析的攻擊稱(chēng)為主動(dòng)攻擊。 (3)使用加密技術(shù)。 對(duì)于網(wǎng)絡(luò)監(jiān)聽(tīng)的防范措施有： (1)從邏輯或物理上對(duì)網(wǎng)絡(luò)分段。 （ 2）向網(wǎng)上發(fā)大量不存在的物理地址的包；由于監(jiān)聽(tīng)程序要分析和 處理大量的數(shù)據(jù)包會(huì)占用很多的資源，會(huì)導(dǎo)致系統(tǒng)性能下降，通過(guò)比較前后該機(jī)器性能加以判斷，這種辦法難度較大。 Sniffer在功能和設(shè)計(jì)方面有很多不同 ，有些只能分析一種協(xié)議，而另一些可能能夠分析幾百種協(xié)議，一般情況下，大多數(shù)的嗅探器至少能夠分析以下的協(xié)議：標(biāo)準(zhǔn)以太網(wǎng)， TCP/IP,IPX,DECNET。它可以作為能夠捕獲網(wǎng)絡(luò)報(bào)文的設(shè)備， 27 ISS為 sniffer這樣定義： sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲其他計(jì)算機(jī)的數(shù) 據(jù)報(bào)文的一種工具。如圖 43所示： 圖 43 防范網(wǎng)頁(yè)惡意代碼 （ 2）網(wǎng)頁(yè)惡意代碼大多是在訪問(wèn)網(wǎng)站時(shí)候誤下載和激活的，所以不要進(jìn)入不信任的陌生網(wǎng)站，對(duì)于網(wǎng)頁(yè)上的各種超級(jí)連接不要盲目去點(diǎn)擊，若被強(qiáng)制安裝惡意代碼，一經(jīng)發(fā)現(xiàn)立即刪除，或者安裝相應(yīng)的惡意代碼清除工具，或本機(jī)防火墻軟件。網(wǎng)頁(yè)惡意代碼主要是含有惡意代碼的ActiveX 或 Applet、 JavaScript 的網(wǎng)頁(yè)文件 ，所以在 IE設(shè)置中將 ActiveX 插件和控件、 Java腳本等全部禁止就可以減少被網(wǎng)頁(yè)惡意代碼感染的幾率。 在 html 中利用死循環(huán)原理，交叉顯示耀眼的光線，如果繼續(xù)插入編寫(xiě)的一段代碼，擴(kuò)大惡意程度，那么 IE將無(wú)法使用。 （ 3） IE 泄露，利用 IE 漏洞，網(wǎng)頁(yè)可以讀取客戶(hù)機(jī)的文件，就可以從中獲得用戶(hù)賬號(hào)和密碼。這類(lèi)病毒大都是利用 JavaScrit 產(chǎn)生的一個(gè)死循環(huán)，它可以在有惡 意的網(wǎng)站中出現(xiàn)，也可以被當(dāng)作郵件發(fā)給用戶(hù)，當(dāng)用戶(hù)打開(kāi)html,vbs附件時(shí)，屏幕會(huì)出現(xiàn)無(wú)數(shù)個(gè)瀏覽器窗口，最后不得不重啟。 網(wǎng)頁(yè)惡意代碼及防范 目前，網(wǎng)頁(yè)中的惡意代碼開(kāi)始威脅到網(wǎng)絡(luò)系統(tǒng)安全，一般分為以下幾種： （ 1）消耗系統(tǒng)資源。輸入 regedit 命令 HKEY_LOCAL_MACHINE\software\Microsoft\windows\current version\run 目錄 26 下查看鍵值有設(shè)有自己不熟悉的自動(dòng)啟動(dòng)文件，擴(kuò)展名為：“ .exe”。在 文件中， 在 [BOOT]下面有個(gè)“ shell:文件名”正確的文件名應(yīng)該是“ ”如果不是“ ”，而是“ shell: 序名”，那么后面跟著的那個(gè)程序就是“木馬”了 [21]。比如在“開(kāi)始” “運(yùn)行”輸入 msconfig,執(zhí)行 windows自帶“系統(tǒng)配置應(yīng)用程序”。 表 41 C/S型木馬結(jié)構(gòu) “木馬”的防范措施 （ 1）檢查系 統(tǒng)配置應(yīng)用程序。與病毒不同，它不具備復(fù)制能力，其功能具有破壞性。在注冊(cè)表編輯器中找到如下子鍵 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA,在其窗口新建一個(gè)名為 RestrictAnonymous的 DWORD值將其設(shè)為 1，如圖 42所示。 25 防止賬號(hào)被暴力破解 黑客攻擊入侵，大部分利用漏洞，通過(guò)提升權(quán)限成為管理員，這一切都跟用戶(hù)賬號(hào)緊密相連。重命名系統(tǒng)管理員帳戶(hù)“屬性”對(duì)話框，在此輸入新的管理員名稱(chēng)，盡量把它為普通用戶(hù)，然后另建一個(gè)超過(guò) 10 位的超級(jí) 復(fù)雜密碼，并對(duì)該賬號(hào)啟用審核，這樣即使黑客費(fèi)力破解到密碼也殺一無(wú)所獲。如果根本不需要 tel，完全可以把它刪掉，因?yàn)樵摲?wù)實(shí)在是太危險(xiǎn)了，直接把系統(tǒng)安裝目錄中的 system32 中的 刪除掉，這樣黑客想用 tel入侵就會(huì)非常困難了 [20]。 具體方法如下： 通過(guò)修改 tel 端口來(lái)防止黑客輕易入侵在命令提示符窗口中輸入 Tlntadmn config port=168 命令，回車(chē)后即可將 tel 端口修改成 168，如圖 41所示。 Tel是常用的遠(yuǎn)程控制 Web服務(wù)器的方法。可以在本地就能控制服務(wù)器。在終端使用者的電腦上使用 tel程序，用它連接到服務(wù)器。 24 第 4章 網(wǎng)絡(luò)安全防范 tel入侵防范 Tel協(xié)議是 TCP/IP協(xié)議族中的一員，是 Inter遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。它將所有的計(jì)算機(jī)病毒所 產(chǎn)生的行為歸納起來(lái)，一旦發(fā)現(xiàn)內(nèi)存中的程序有任何不當(dāng)?shù)男袨?，系統(tǒng)就會(huì)有所警覺(jué)，并告知使用者；宏病毒陷阱技術(shù)是結(jié)合了搜索法和人工智能陷阱技術(shù)，依行為模式來(lái)偵測(cè)已知及未知的宏病毒。 (3)分析法 計(jì)算機(jī)病毒檢測(cè)分析法是防殺計(jì)算機(jī)病毒工作中不可缺少的重要技術(shù)，需要專(zhuān)門(mén)人員對(duì)各種病毒詳盡地分析。 (2)搜索法 利用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。 （ 5）突然出現(xiàn)藍(lán)屏或無(wú)端黑屏等。 （ 3）網(wǎng)絡(luò)速度變慢或者出現(xiàn)一些陌生的網(wǎng)絡(luò)連接。 （ 1）計(jì)算機(jī)執(zhí)行速度越來(lái)越慢。 而從技術(shù)來(lái)分可以分為：網(wǎng)絡(luò)病毒、郵件病毒、文件型病毒、宏病毒、引導(dǎo)型病毒、變體病毒、混合型病毒、其它類(lèi)型病毒（ java,pdf,圖文病毒） [19]。 （ 2）傳染模塊：它是整個(gè)病毒程序的核心，傳染模塊又分為兩部分：判斷部分、傳染部分。計(jì)算機(jī)病毒程序組成如圖310所示。 隨著計(jì)算機(jī)技術(shù)的發(fā)展尤其是網(wǎng)絡(luò)技術(shù)的普及，計(jì)算機(jī)病毒進(jìn)入了一個(gè)新的階段 網(wǎng)絡(luò)蠕蟲(chóng)病毒暴發(fā)階段， 2021至今，網(wǎng)絡(luò)蠕蟲(chóng)已經(jīng)成為網(wǎng)絡(luò)病毒的主流。信息接收方 要解密信息時(shí)，必須先用自己的私鑰解密數(shù)字信封，得到對(duì)稱(chēng)密碼，再利用對(duì)稱(chēng)密碼解密所得到的信息，這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸?shí)性和完整性，如圖 39所示。 數(shù)字信封中采用了單鑰密碼體制和公鑰密碼體制。其工作原理如圖 38所示。 圖 37 DES加 密過(guò)程 另一個(gè)成功的分組加密算法，它的核心是一個(gè)乘法 /加法非線性構(gòu)件，通過(guò) 8輪迭代，能使明碼數(shù)據(jù)更好地?cái)U(kuò)散和混淆 [16]。利用密碼技術(shù)，在信源和通信信道之間對(duì)報(bào)文進(jìn)行加密，經(jīng)過(guò)信道傳輸，到信宿接收時(shí)進(jìn)行解密，以實(shí)現(xiàn)網(wǎng)絡(luò)通信保密，加密與解密過(guò)程如圖 35所示。在設(shè)計(jì)加密系統(tǒng)中，加密算法是可以公開(kāi)的，真正需要保密的是密鑰，密 21 鑰本質(zhì)是非常大的數(shù)，密鑰大小用位表示。從數(shù)學(xué)的角度來(lái)看，改變了密鑰，實(shí)際上也就改變了明文與密文之間等價(jià)的數(shù)學(xué)函數(shù)關(guān)系。傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，稱(chēng)為對(duì)稱(chēng)密碼體制。密碼體制是指一個(gè)系統(tǒng)所采用基本工作方式以及它的兩個(gè)基本構(gòu)成要素，即加密 /解密算法和密鑰。 數(shù)據(jù)加密原理 數(shù)據(jù)加密是通過(guò)某種函數(shù)進(jìn)行變換，把正常數(shù)據(jù)包文（稱(chēng)為明文或明碼）轉(zhuǎn)換為密文（密碼）。這種方式比較靈活，不影響防火墻和入侵檢測(cè)系統(tǒng)的性能。第二種方式是通過(guò)開(kāi)放接口來(lái)實(shí)現(xiàn)聯(lián)動(dòng)，即防火墻或者入侵檢測(cè)系統(tǒng)開(kāi)放一個(gè)接口供對(duì)方調(diào)用，按照一定的協(xié)議進(jìn)行通訊、警報(bào)和傳輸。所以，目前還沒(méi)有廠商做到這一步，仍處于理論研究階段。所有通過(guò)的包不僅要接受防火墻檢測(cè)規(guī)則的驗(yàn)證，還需要經(jīng)過(guò)入侵檢測(cè)，判斷是否具有攻擊性，以達(dá)到真正的實(shí)時(shí)阻斷，這實(shí)際上是把兩個(gè)產(chǎn)品合成一體。 入侵檢測(cè)與防火墻實(shí)現(xiàn)聯(lián)動(dòng) 防火墻與入侵檢測(cè)這兩種技術(shù)具有較強(qiáng)的互補(bǔ)性。如果能將入侵檢測(cè)系統(tǒng)的功 能合理地分配給各個(gè)代理，就能大大減少系統(tǒng)失效的風(fēng)險(xiǎn)。由于代理是獨(dú)立的功能實(shí)體，在一個(gè)多代理系統(tǒng)中，單個(gè)的功能代理能夠增加到系統(tǒng)中去或從系統(tǒng)中刪除，并且能夠?qū)δ硞€(gè)代理進(jìn)行重配置，而不會(huì)影響到系統(tǒng)的其它部分。代 20 理可以針對(duì)特定的應(yīng)用環(huán)境進(jìn)行配置和編程，使得代理占用負(fù)載最小。代理既能獨(dú)立地完成自己的工作，又能與其它代理協(xié)作共同完成某項(xiàng)任務(wù)，且代理能夠接受控制并能感知環(huán)境的變化而影響環(huán)境。 (Agent)技術(shù) 代理 (Ageni)是指能在特定的環(huán)境下無(wú)須人工干預(yù)和監(jiān)督完成某項(xiàng)工作的實(shí)體。入侵檢測(cè)系統(tǒng)要求可適應(yīng)性、可訓(xùn)練性、高效性、容錯(cuò)性、可擴(kuò)展性等要求。隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜化和大型化，系統(tǒng)的 弱點(diǎn)或漏洞將趨向于分布式。其中信息收集模塊與特定的環(huán)境，監(jiān)視的對(duì)象有比較密切的關(guān)系 :信息處理與通訊模塊，是對(duì)所收集到的數(shù)據(jù)進(jìn)行預(yù)處理和分類(lèi)，然后把處理的結(jié)果按照一定的格式傳輸給檢測(cè)判斷模塊。 圖 34簡(jiǎn)單的入侵檢測(cè)系統(tǒng) 圖 37所示入侵檢測(cè)系統(tǒng)的基本任務(wù)：通過(guò)實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)系統(tǒng)狀態(tài)，判斷入侵行為發(fā)生，并產(chǎn)生報(bào)警。為此目的而設(shè)計(jì)的系統(tǒng)稱(chēng)為入侵檢測(cè) 系統(tǒng)。該方法類(lèi)似于病毒檢測(cè)系統(tǒng)，其檢測(cè)的準(zhǔn)確率和效率都比較高。誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較，從中發(fā)現(xiàn)違背安全策略的行為。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和 應(yīng)用程序的缺陷，因此，通過(guò)分析攻擊過(guò)程的特征、條件、排列以 及事件間的關(guān)系，就可具體描述入侵行為的跡象。誤用檢測(cè)的關(guān)鍵問(wèn)題是攻擊簽名的正確表示。這種方法是依據(jù)是否出現(xiàn)攻 19 擊簽名來(lái)判斷入 侵行為，是一種直接的方法。其基本前提是：假定所有可能的入侵行為都能被識(shí)別和表示。此外，由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶(hù)的特征輪廓，這樣所需的計(jì)算量很大，對(duì)系統(tǒng)的處理性能要求很高。由此可見(jiàn)，異常檢測(cè)技術(shù)難點(diǎn)是“正?！毙袨樘卣鬏喞拇_定、特征量的選 取、特征輪廓的更新。閾值設(shè)定得過(guò)大，那漏警率會(huì)很高；閾值設(shè)定的過(guò)小，則虛警率就會(huì)提高。 采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩 個(gè)方面： (1) 特征量的選擇 在建立系統(tǒng)或用戶(hù)的行為特征輪廓的正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶(hù)的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶(hù)的行為特征。此方法不依賴(lài)于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè)，是一種間接的方法。其基本前提是：假定所有的入侵行為都是異常的。根據(jù)不同的檢測(cè)方法，將入侵檢測(cè)分為異常入侵檢測(cè)和誤用人侵檢測(cè)。當(dāng)觀察值超出正常值范圍時(shí)，就有可能發(fā)生入侵行為。統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象 (如用戶(hù)、文件、目錄和設(shè)備等 )創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。 18 常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。 入侵檢測(cè)系統(tǒng) 入侵檢測(cè)系統(tǒng)功能構(gòu)成，包括事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分如圖 33所示。 表 34狀態(tài)檢測(cè)技術(shù)工作情況 應(yīng)用層 TCP層 IP 層 數(shù)據(jù)鏈路層 物理層 入侵檢測(cè)技術(shù) 僅僅依賴(lài)防火墻并不能保證足夠的安全，為了解決非法入侵所造成的各種安全問(wèn)題，安全廠商提出了建立入侵檢測(cè)系統(tǒng)的解決 方法。 （ 3）狀態(tài)檢測(cè)技術(shù) 此技術(shù)工作在 IP/TCP/應(yīng)用層，它結(jié)合了分組過(guò)濾和代理服務(wù)技術(shù)的特點(diǎn)，它同分組過(guò)濾一樣，在應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，分析高層的協(xié)議數(shù)據(jù)，查看內(nèi)容是否符合網(wǎng)絡(luò)安全策略。 圖 32 代理服務(wù)器原理示意 代理服務(wù)技術(shù)工作在應(yīng)用層，其工作情況如表 33所示。前者的過(guò)濾，即根據(jù)制定的安全規(guī)則，過(guò)濾掉具有特定IP 地址的數(shù)據(jù)分組，從而保護(hù)內(nèi)部網(wǎng)絡(luò)；后者則是為分組過(guò)濾提供了更大的靈活性。如表 33 所示。 圖 31 防火墻的邏輯示意圖 防火墻根據(jù)功能實(shí)現(xiàn)在 TCP/IP 網(wǎng)絡(luò)模型中的層次，其實(shí)現(xiàn)原理可以分 16 為三類(lèi)：在網(wǎng)絡(luò)層實(shí)現(xiàn)防火墻功能為分組過(guò)濾技術(shù)；在應(yīng)用層實(shí)現(xiàn)防火墻功能為代理服務(wù)技術(shù)；在網(wǎng)絡(luò)層， IP 層，應(yīng)用層三層實(shí)現(xiàn)防火墻為狀態(tài)檢測(cè)技術(shù)。因此在邏輯上防火墻是一個(gè)分離器、限制器、分析器[12]。 （ 5）支持具有因特網(wǎng)服務(wù)性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系 VPN。 （ 4）防止內(nèi)部信息的外泄。 （ 3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控審計(jì)。 （ 2）可以強(qiáng)化網(wǎng)絡(luò)安全策略。