【正文】 它所提供的就是對(duì)數(shù)據(jù)原始性的明確擔(dān)保 。除此之外，還有其他幾種變體，例如在 AH前插有路由選擇報(bào)頭，或者在 AH和有效負(fù)載之間插入端到端選項(xiàng)等，如圖 66所示。 (2)認(rèn)證頭 認(rèn)證頭 AH是 IPv6所定義的擴(kuò)展報(bào)頭中的一種，由有效負(fù)載類型51來(lái)標(biāo)識(shí)。每個(gè)成員都能將組地址和 SPI結(jié)合起來(lái)，并與密鑰、算法和其他參數(shù)產(chǎn)生關(guān)聯(lián)。 每臺(tái)工作站都必須記住其對(duì)端使用的 SPI， 以便識(shí)別安全上下文 。 當(dāng)數(shù)據(jù)包通過(guò)單播地址只發(fā)送給一個(gè)接收者時(shí) ， SPI就由該接收者來(lái)選定 ， 例如它可以是接收者所維持的安全上下文表的索引 。 接收者在收到數(shù)據(jù)包后 ， 只有在能將其與一種安全關(guān)聯(lián)的內(nèi)容相關(guān)聯(lián)起來(lái)時(shí) ， 才能對(duì)其進(jìn)行驗(yàn)證和解密 。 (1)安全關(guān)聯(lián) 認(rèn)證和加密要求發(fā)送者和接收者就密鑰 、 認(rèn)證或加密算法以及一系列附屬特性 (如密鑰生命周期 、 算法使用細(xì)節(jié)等 )達(dá)成一致的協(xié)定 。 ESP保證只有合法的接收者才能讀取數(shù)據(jù)包的內(nèi)容。 IPv6和 IPv4安全性的最大不同就是 IPSec是作為一種附加的安全措施作用于 IPv4的 ，而 IPv6的所有產(chǎn)品的安全措施則是以 IPSec為主 。IPsec包含三個(gè)安全措施：認(rèn)證頭 AH(Authentication Head)， 提供封包層的認(rèn)證服務(wù) 、 封裝安全凈荷 ESP(Encapsulating Security payload)， 提供加密以及認(rèn)證服務(wù) 、 Inter密鑰交換協(xié)議IKE(Inter Key Exchange),用以對(duì)通信雙方提供身份認(rèn)證和密鑰交換方法 。如圖 65所示， IPv6數(shù)據(jù)包有一個(gè)固定大小的基本首部 (Base Header)，其后可以允許有零個(gè)或多個(gè)擴(kuò)展首部 (Extension Header)，再其后才是數(shù)據(jù)信息。 下一代 IP協(xié)議是 IPv6。 隨著通信技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展 ， Inter網(wǎng)絡(luò)性能不斷提高 ， 應(yīng)用越來(lái)越廣泛 。 該版本的 TCP/IP協(xié)議體系中存在許多安全缺陷 ， 列舉如下： l TCP/IP本身不提供加密傳輸功能 ， 用戶口令和數(shù)據(jù)是以明文形式傳輸?shù)?，很容易在傳輸過(guò)程中被截獲或修改； l TCP/IP本身不支持信息流填充機(jī)制 ， 容易受到信息流分析的攻擊； l TCP/IP本身不提供對(duì)等實(shí)體鑒別功能 ， 惡意的第三者實(shí)體可以輕易冒充合法用戶與連接的一方通信 ， 并能騙取對(duì)方的信任； l TCP/IP協(xié)議體系本身存在缺陷 ， 容易遭受到攻擊 ， 例如 ， 服務(wù)端口的半開(kāi)連接問(wèn)題會(huì)造成拒絕服務(wù)現(xiàn)象發(fā)生； l 由 TCP/IP支持的 Inter中的各個(gè)子網(wǎng)是平等的 ， 難以實(shí)現(xiàn)分級(jí)安全的網(wǎng)絡(luò)結(jié)構(gòu) (如樹(shù)狀結(jié)構(gòu) )， 無(wú)法實(shí)現(xiàn)有效的安全管理； l許多廠商提供的 TCP/IP應(yīng)用層協(xié)議實(shí)用軟件中存在嚴(yán)重的安全漏洞，常常被黑客用作網(wǎng)絡(luò)攻擊的工具。 解決辦法：不要使用傳統(tǒng)的明文軟件 Tel，而要使用 SSLTel或 SSH這樣的對(duì)數(shù)據(jù)加密傳輸?shù)能浖?傳送的數(shù)據(jù)沒(méi)有辦法知道是否完整 ， 不能判斷數(shù)據(jù)是否被篡改過(guò)； l 傳送的數(shù)據(jù)都沒(méi)有加密 。我們可以使用 Tel登錄上一個(gè)開(kāi)啟了 Tel服務(wù)的主機(jī)來(lái)執(zhí)行一些命令 ，便于進(jìn)行遠(yuǎn)程工作或維護(hù) 。這樣就構(gòu)成了一個(gè)跳板攻擊。當(dāng)該中介服務(wù)器連接目標(biāo)服務(wù)器時(shí)，使用了它自己的地址而不是攻擊者的地址。假定網(wǎng)絡(luò)攻擊者的 IP地址 ，因此目標(biāo)服務(wù)器上的一些或所有的資源都不能訪問(wèn)，所以必須使用另一臺(tái)機(jī)器 (中繼服務(wù)器 )去訪問(wèn)目標(biāo)服務(wù)器。 假設(shè)一個(gè)網(wǎng)絡(luò)攻擊者的 IP地址是 ，他想從另一個(gè)目標(biāo)服務(wù)器獲得資源。 一個(gè)用戶可以從一個(gè) FTP向另一個(gè)遠(yuǎn)程 FTP請(qǐng)求代理傳輸 。 這樣，通過(guò) FTP代理服務(wù)器對(duì) FTP服務(wù)器進(jìn)行攻擊，往往使得查找網(wǎng)絡(luò)攻擊源變得很困難，而且如果 FTP服務(wù)器和 FTP代理服務(wù)器間存在一定的信任關(guān)系，攻擊就變得更容易了。 對(duì)于非防火墻內(nèi)用戶 ， 它可以通過(guò)任意代理服務(wù)器來(lái)連接其目的服務(wù)器 ， 并達(dá)到隱藏其地址的目的 。 因此 ， 對(duì)于防火墻內(nèi)的客戶來(lái)說(shuō) ， 它必須先運(yùn)行 FTP命令并通過(guò)作為主機(jī)的防火墻連接 ， 連接完成后 ， 必須說(shuō)明用戶名和連接地點(diǎn) ， 在認(rèn)證該地點(diǎn)確實(shí)允許之后 ， 代理才與遠(yuǎn)程系統(tǒng)上的 FTP服務(wù)器建立連接 ， 使用用戶提供的用戶名開(kāi)始登錄 。 通過(guò) FTP代理服務(wù)器連接到匿名 FTP服務(wù)器 ， 而不是直接連接到 FTP服務(wù)器上 。正是這種服務(wù)方式方便了用戶，但也不可避免地帶來(lái)了安全問(wèn)題，如客戶登錄后，往往能夠獲得一個(gè)可寫目錄，這樣客戶就可以通過(guò) put上載一個(gè)甚至是多個(gè)txt文件，來(lái)達(dá)到其攻擊該 FTP服務(wù)器或其他 FTP服務(wù)器的目的。 FTP安全技術(shù) 用過(guò) FTP的人都知道， FTP提供一種匿名服務(wù) (Anonymous Service)功能。 （ privacy） 在 FTP標(biāo)準(zhǔn) “ PR85”中，所有在網(wǎng)絡(luò)上被傳送的數(shù)據(jù)和控制信息都未被加密。 攻擊：攻擊者可以通過(guò) user操作的返回碼確定一個(gè)用戶名是否有效 。 （ user names） 存在漏洞：當(dāng) “ user”命令中的用戶名被拒絕時(shí) ， 在 FTP 標(biāo)準(zhǔn)“ PR85”中定義了相應(yīng)的返回碼 530。 攻擊：攻擊者可以通過(guò)端口分配規(guī)律及當(dāng)前端口分配情況 ， 只要攻擊者知道了一個(gè)端口的分配情況 ， 就可確定下一個(gè)要分配的端口 ， 然后對(duì)端口做手腳 。 防范措施：在建立連接前 ， 雙方需要同時(shí)認(rèn)證遠(yuǎn)端主機(jī)的控制連接 、 數(shù)據(jù)連接的網(wǎng)絡(luò)地址是否可信 。 （ Access control） 存在漏洞：從安全角度出發(fā) ， 對(duì)一些 FTP服務(wù)器來(lái)說(shuō) ， 基于網(wǎng)絡(luò)地址的訪問(wèn)控制是非常重要的 。在關(guān)閉之前，服務(wù)器有發(fā)送返回信息碼 421。 l 與服務(wù)器建立多個(gè) 、 并行的連接進(jìn)行強(qiáng)力攻擊 。 FTP與 Tel安全 本節(jié)內(nèi)容 FTP存在的安全漏洞 FTP安全技術(shù) Tel安全性分析 FTP存在的安全漏洞 （ Protecting Password） 存在漏洞： l 在 FTP 標(biāo)準(zhǔn) “ PR85”中 ， FTP服務(wù)器允許無(wú)限次輸入密碼； l “pass”命令以明文傳送密碼 。 (5) 利用 IE瀏覽器的 Inter選項(xiàng)功能拒收信件 在 IE瀏覽器中，選擇 “ 工具 Inter選項(xiàng) 安全 受限站點(diǎn) ” 功能，將令人討厭的發(fā)件者打入“ 黑名單 ” 。 (3) 利用 Outlook的阻止發(fā)件人功能 l 選中要?jiǎng)h除的垃圾郵件； l 點(diǎn)擊 “ 郵件 ” 選項(xiàng)卡； l 在郵件選項(xiàng)卡下有一個(gè) “ 阻止發(fā)件人 ” 選項(xiàng) ， 拒收該郵件 。 EMAIL炸彈常用的解救方法： (1) 向 ISP求助 向 ISP服務(wù)商求助 ， 技術(shù)支持是 ISP的服務(wù)之一 ， 他們會(huì)幫用戶清除電子郵件炸彈 。 EMail炸彈 電子郵件炸彈 (EMail Bomb)， 是一種讓人厭煩的攻擊 ，也是黑客常用的攻擊手段 。 l Type：選擇是用該程序來(lái)發(fā)送匿名郵件還是張貼匿名新聞組 。 該界面共有五個(gè)標(biāo)簽： l From：填寫發(fā)信人信息 。 上述兩種方法均無(wú)法發(fā)送郵件附件 ， 在這里 ， 介紹一款名叫 Ghost Mail的匿名郵件軟件 ， 它的大小只有 254K， 可以到 網(wǎng)站去下 載 。其方法是：使用普通郵件程序比如 IE或 Foxmail等，在收件人一欄填入匿名郵件服務(wù)器的地址（不能填入真正收件人的地址），主題書(shū)寫無(wú)限制，郵件正文格式是：第一行為空，第二行書(shū)寫“ ：： ” ，第三行書(shū)寫 “ Anono： ” 后接著書(shū)寫真正收件人的地址，第四行為空，第五行以后書(shū)寫要發(fā)送郵件的內(nèi)容。 有下列一些匿名郵件地址： 匿名郵件： 浪潮金基匿名郵件發(fā)送： Anonymizer匿名郵件發(fā)送： 發(fā)送方法非常簡(jiǎn)單：只要將對(duì)方信箱 、 主題 、 正文等分別填入相應(yīng)的框中 ， 再按 “ 匿名發(fā)送 ” 即可 。如果從郵件上看不到以上信息，只要稍微深究一下，比如在 Foxmail中用鼠標(biāo)右擊該信件，再選中菜單中的“ 原始信息 ” ，就能夠讓你 “ 水落石出 ” 了，因而這算不上真正的匿名郵件，也只能算是個(gè)騙騙菜鳥(niǎo)的初級(jí)方法。 匿名郵件的轉(zhuǎn)發(fā)技術(shù)有三種： 使用普通的郵件程序（如 Foxmail、 IE等）或一般 Web信箱，只需在發(fā)件一欄填上一個(gè)假地址或錯(cuò)誤的地址就行，或者讓發(fā)件人一欄空著。 一個(gè)簡(jiǎn)單的調(diào)包就可以讀到任何用戶的信件而無(wú)須密碼； l 公用機(jī)器最好不要使用 POP收發(fā) ， 即使一定要用 ， 退出時(shí)也要將賬號(hào) ， 以及屬于你的各個(gè)郵件文件夾一并刪除 。 還有的代碼可以開(kāi)無(wú)數(shù)個(gè)窗口 ， 使系統(tǒng)資源耗盡而最終死機(jī) 。 (3)攻擊性代碼漏洞 惡意的發(fā)件人可以將一段 Java Script代碼包含在給你的郵件中 ， 當(dāng)你瀏覽這個(gè)郵件時(shí) ， 系統(tǒng)會(huì)自動(dòng)彈出一個(gè)對(duì)話框 ， 提請(qǐng)你重新輸入用戶名和密碼登錄 ， 而事實(shí)上 ， 你輸入的密碼已經(jīng)在幕后悄悄地發(fā)送到攻擊者的手中 。 (2)歷史記錄漏洞 這個(gè)漏洞的原理也很簡(jiǎn)單。 既然我們通過(guò) Web頁(yè)方式讀信 ， 那么 ， 這一封信實(shí)質(zhì)上就是一個(gè)普通的網(wǎng)頁(yè) ， 它同樣會(huì)被保存在緩存里面 。 當(dāng)用 Web頁(yè)方式收發(fā)信件時(shí)會(huì)存在以下問(wèn)題： (1)緩存漏洞 對(duì)于多數(shù)的瀏覽器來(lái)說(shuō) ， 為了提高瀏覽速度 ， 系統(tǒng)會(huì)自動(dòng)將最近瀏覽過(guò)的網(wǎng)頁(yè)保存到硬盤的某個(gè)臨時(shí)文件夾里 ， 這個(gè)文件夾稱為緩存 (Cache)。 電子郵件的收發(fā)方式有兩種：一種是通過(guò) Web頁(yè)方式收發(fā)信件，即用瀏覽器登錄到主頁(yè)來(lái)進(jìn)行收發(fā)；另一種是使用郵件客戶端，如Outlook和 FoxMail，使用這種方法的前提是：郵件服務(wù)器必須支持 POP協(xié)議。 惟一的辦法就是讓攻擊者截獲了數(shù)據(jù)包但無(wú)法閱讀它 ， 就是對(duì)電子郵件加密 。 使用電子郵件就像在郵局發(fā)送一封沒(méi)有封口的信一樣的不安全 。以后在登錄不符合內(nèi)容標(biāo)準(zhǔn)的網(wǎng)站時(shí)會(huì)自動(dòng)彈出密碼輸入窗口，如果輸入密碼不正確就不予以登錄。分級(jí)審查設(shè)定完成后會(huì)自動(dòng)彈出一個(gè) “ 創(chuàng)建監(jiān)護(hù)人密碼 ” 的對(duì)話框，如圖 64。 徹底清除 Cookies 的步驟：在 IE的 “ Inter選項(xiàng) ” 中單擊 “ 刪除cookies” 按鈕即可 。 Cookies IE的 “ 歷史 ” 記錄并不是唯一紀(jì)錄上網(wǎng)操作過(guò)程的地方 ， 許多站點(diǎn)在用戶訪問(wèn)時(shí)會(huì)在用戶電腦里放置一些小文件用以跟蹤用戶姓名 、 密碼 、 訪問(wèn)時(shí)間等信息 ， 而這些小文件 ， 就是 Cookies。 操作步驟：點(diǎn)擊 “ 工具 /常規(guī) /清除歷史記錄 ” 。 操作步驟：點(diǎn)擊 “ 工具 / Inter 選項(xiàng) /內(nèi)容 /自動(dòng)完成 ” ， 在對(duì)話框中清除相應(yīng)欄目前面的選定符號(hào)就行了 。 IE的自動(dòng)完成功能非常實(shí)用 ， 可以讓我們實(shí)現(xiàn)快速登錄 ， 快速填寫的目的 ，但它的缺陷也同樣明顯 。 高級(jí)是最安全的瀏覽方式 ， 但功能最少 ， 而且由于禁用 Cookies 可能造成某些需要進(jìn)行驗(yàn)證的站點(diǎn)不能登錄；中級(jí)是比較安全的瀏覽方式 ， 能在下載潛在的不安全內(nèi)容之前給出提示 ， 同時(shí)屏蔽了 ActiveX 控件下載功能 ， 適用于大多數(shù)站點(diǎn)；中低的瀏覽方式接近于中級(jí) ， 但在下載潛在的不安全內(nèi)容之前不能給出提示 ， 同時(shí) ， 大多數(shù)內(nèi)容運(yùn)行時(shí)都沒(méi)有提示 ， 適用于內(nèi)部網(wǎng)絡(luò)；低級(jí)別的安全機(jī)制不能屏蔽任何活動(dòng)內(nèi)容 ， 大多數(shù)內(nèi)容自動(dòng)下載并運(yùn)行 ， 因此 ， 它只能提供最小的安全防護(hù)措施 。 IE瀏覽器安全 如果你想屏蔽 Cookie 與 ActiveX 控件功能 ， 可以很容易地通過(guò) IE 的安全級(jí)別設(shè)定功能加以實(shí)現(xiàn) 。 l 設(shè)置 Web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性 ， 對(duì)將可讓訪問(wèn)的文檔分配一個(gè)公用的組 ， 比如可將WWW設(shè)置為只讀權(quán)限 。 l 定期查看服務(wù)器中的日志 logs文件 ， 分析一切可疑事件 。 l 盡量使 FTP， Mail等服務(wù)器與 WEB服務(wù)器分開(kāi) ， 去掉 FTP， Sendmail， TFTP， NIS， NFS， Finger，Netstat等一些無(wú)關(guān)的服務(wù) 。 簡(jiǎn)而言之 ， 攻擊者觀察和控制著受攻擊者在 Web上做的每一件事 。 Web服務(wù)器安全性分析 Web欺騙允許攻擊者將對(duì)一個(gè)正常 Web訪問(wèn)流量全部引入到另一個(gè)攻擊者的 Web服務(wù)器 ， 經(jīng)過(guò)攻擊者機(jī)器的過(guò)濾作用 ， 允許攻擊者監(jiān)控受攻擊者的任何活動(dòng) ， 包括賬戶和口令 。 以防止程序中設(shè)下的陷井； l 在選用 Web服務(wù)器時(shí) ， 應(yīng)考慮到不同服務(wù)器對(duì)安全的要求不一樣 。 盡量堵住任何存在的漏洞 ， 創(chuàng)造安全的環(huán)境 。 早期版本的 HTTP存在明