【正文】 。應(yīng)用拓?fù)淙缦聢D所示。 Eth1屬于外網(wǎng)區(qū)域， IP為； Eth2屬于 SSN區(qū)域 ,IP為 ；Eth0屬于內(nèi)網(wǎng)區(qū)域， IP為 。管理員位于內(nèi)網(wǎng)。 149 防火墻應(yīng)用 149 ? 2. 網(wǎng)絡(luò)衛(wèi)士 4000典型應(yīng)用拓?fù)鋱D ? 防火墻在網(wǎng)絡(luò)中的邏輯位臵依據(jù)安全要素來(lái)確定，物理位臵根據(jù)網(wǎng)絡(luò)的實(shí)際情況確定。 ? 管理人員還應(yīng)對(duì)用戶設(shè)臵的口令進(jìn)行檢測(cè) ，及時(shí)發(fā)現(xiàn)弱口令； 對(duì)某些網(wǎng)絡(luò)服務(wù)的錯(cuò)誤登錄次數(shù)進(jìn)行限定，防止猜解用戶口令。 146 口令破譯 ? 應(yīng)使用復(fù)雜的口令。 應(yīng)在網(wǎng)絡(luò)服務(wù)器上設(shè)臵口令的有效期限，當(dāng)期限到期時(shí)提示用戶更改，這樣就提高了系統(tǒng)的安全性。盡量使用難以猜測(cè)的口令，其中包含大小寫(xiě)字符、數(shù)字、標(biāo)點(diǎn)、控制符號(hào)及空格等。在對(duì)用戶的驗(yàn)證方面 最好提高用戶身份鑒別機(jī)制，如應(yīng)用數(shù)字簽名和 Kerberos鑒別技術(shù)。在 Windows 2022中可以在服務(wù)器上設(shè)定需要登錄的用戶的口令的長(zhǎng)度。 口令的長(zhǎng)度越長(zhǎng)，黑客所花的時(shí)間就越多。 ? 當(dāng)黑客進(jìn)行口令破譯時(shí)，運(yùn)行口令破譯器，口令破譯器讀入字典文件，每次讀入一行進(jìn)行驗(yàn)證，如不正確再讀下一行，然后又進(jìn)行驗(yàn)證，就這樣一直循環(huán)下去，直到口令被驗(yàn)證為正確或字典里的字符串試驗(yàn)完畢為止。它是將字典文件作為口令猜測(cè)的來(lái)源交由驗(yàn)證程序進(jìn)行試驗(yàn)。 ? 但窮舉法有它的劣勢(shì)， 窮舉一個(gè)口令所需的試驗(yàn)次數(shù)隨著口令長(zhǎng)度的增加而成指數(shù)級(jí)增長(zhǎng) 。基于窮舉法原理進(jìn)行口令猜測(cè)的軟件稱為口令破解器，通過(guò)嘗試一個(gè)一個(gè)的由字母、數(shù)字臨時(shí)組成的字符串，用知道的加密算法來(lái)加密這些字符串，直到發(fā)現(xiàn)一個(gè)該字符串經(jīng)過(guò)某種加密后的結(jié)果和要解密的數(shù)據(jù)一樣，就認(rèn)為這個(gè)字符串是要找的密碼。 侯選口令 加密口令 口令文件 輸出口令 比較 不匹配 匹配 口令破解程序的工作過(guò)程 140 口令破譯 1. 口令破譯方法 ? 從口令破譯的原理來(lái)說(shuō)，可分為：密碼跟蹤、窮舉法和字典法 ? (1)密碼跟蹤技術(shù) ? 即常說(shuō)的軟件脫殼，它的原理是當(dāng)運(yùn)行某需要口令認(rèn)證的軟件時(shí)，開(kāi)啟匯編軟件，然后在認(rèn)證軟件中隨意輸入一個(gè)密碼，此時(shí)該軟件啟動(dòng)加密算法機(jī)制進(jìn)行驗(yàn)證，同時(shí)匯編軟件就開(kāi)始跟蹤主程序運(yùn)行時(shí)所使用的內(nèi)存偏移地址，直到最后主程序的驗(yàn)證完畢，跟蹤軟件就跟蹤到了原始密碼的存放地址，然后再將此地址的內(nèi)容反匯編就能很快地找出正確密碼。 ? 因此，口令破解器通常嘗試每一個(gè)單詞，用口令加密時(shí)所有的加密算法來(lái)加密這些單詞，直到發(fā)現(xiàn)一個(gè)單詞加密后的結(jié)果和要解密的信息一樣，認(rèn)為這個(gè)單詞就是要找的口令了。 ? 與信息的加 /解密不同，口令破解器一般不是對(duì)加密后的口令執(zhí)行解密操作以獲取口令，因?yàn)楹芏嘞到y(tǒng)對(duì)口令的加密使用了不可逆的算法，如 MDSHA1等。因此口令破譯成了黑客常用的一種入侵手段。 137 口令破譯 ? 口令認(rèn)證是計(jì)算機(jī)網(wǎng)絡(luò)中安全管理的重要組成部分，目前很多網(wǎng)絡(luò)環(huán)境都利用口令認(rèn)證機(jī)制來(lái)管理用戶入網(wǎng)，口令是用來(lái)確認(rèn)用戶身份的一種最常用方法，由于它的輸入和管理方式簡(jiǎn)單，一直廣泛應(yīng)用于網(wǎng)絡(luò)安全。 135 特洛伊木馬 配置程序 木馬程序 控制程序 木馬服務(wù)器端 木馬控制端 (客戶端 ) 配置 控制 響應(yīng) 136 特洛伊木馬 ? 木馬的客戶端一般運(yùn)行在攻擊機(jī)上 ，當(dāng)攻擊機(jī)上的客戶端向被攻擊機(jī)上的這一端口提出連接請(qǐng)求時(shí)，被攻擊機(jī)上的服務(wù)端就會(huì)自動(dòng)運(yùn)行，來(lái)應(yīng)答攻擊機(jī)的請(qǐng)求，如果服務(wù)端在該端口收到數(shù)據(jù)，就對(duì)這些數(shù)據(jù)進(jìn)行分析，然后按識(shí)別后的命令在被攻擊機(jī)上執(zhí)行相應(yīng)的操作，如竊取用戶名和口令、復(fù)制或刪除文件、重新啟動(dòng)或關(guān)閉計(jì)算機(jī)等。 ： 刪除木馬中的一個(gè)程序后，其他程序會(huì)對(duì)它進(jìn)行恢復(fù)。 ： 木馬為了控制服務(wù)器端，必須在系統(tǒng)啟動(dòng)時(shí)同時(shí)啟動(dòng)，所以必須潛入啟動(dòng)配臵文件中，如 、 。 133 特洛伊木馬 特性： ： （ 1）不產(chǎn)生圖標(biāo)：木馬雖然在系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)運(yùn)行，但它不會(huì)在任務(wù)欄中產(chǎn)生圖標(biāo)。 ? 如在用戶不知情的情況下拷貝文件或竊取密碼。 132 特洛伊木馬 1. 定義 ? 特洛伊木馬 (Trojan Horse) 簡(jiǎn)稱木馬，是指隱藏在正常程序中的一段具有特殊功能的惡意代碼。 “只開(kāi)放允許端口的方式”，可以利用系統(tǒng)的“ TCP/IP篩選”功能實(shí)現(xiàn)，設(shè)置的時(shí)候只允許系統(tǒng)的一些基本網(wǎng)絡(luò)通信需要的端口即可。 131 端口掃描技術(shù) 防范技術(shù) (1)關(guān)閉閑置和有潛在危險(xiǎn)的端口 可以采用“定向關(guān)閉指定服務(wù)的端口”和“只開(kāi)放允許端口”的方式，在操作系統(tǒng)中關(guān)閉掉一些閑置端口。 130 端口掃描技術(shù) (4)IP段掃描 ? 這種方法不直接發(fā)送 TCP探測(cè)數(shù)據(jù)包，而是預(yù)先將數(shù)據(jù)包分成兩個(gè)較小的 IP數(shù)據(jù)包傳送給目的主機(jī)，目標(biāo)主機(jī)收到這些 IP分片后會(huì)把它們組合還原為原先 TCP探測(cè)數(shù)據(jù)包。 129 端口掃描技術(shù) (3)TCP FIN掃描 ? 多數(shù)過(guò)濾器能過(guò)濾 SYN報(bào)文，但是允許 FIN報(bào)文通過(guò)，而且日志系統(tǒng)一般不會(huì)記錄 FIN報(bào)文，利用這一特點(diǎn)的掃描就是 TCP FIN掃描。 ? 如果收到 SYN/ACK，則掃描程序必須再發(fā)送一個(gè)RST信號(hào)來(lái)關(guān)閉這個(gè)連接過(guò)程。 ? 因?yàn)?，掃描主機(jī)向目標(biāo)主機(jī)的端口發(fā)送一個(gè)請(qǐng)求連接的 SYN報(bào)文，似乎準(zhǔn)備打開(kāi)一個(gè)真正的連接并等待反應(yīng)。 ? 但是這種方法很容易被目標(biāo)主機(jī)記錄。 127 端口掃描技術(shù) 2. 端口掃描技術(shù) (1)TCP connect() 掃描 ? 攻擊者試圖與目標(biāo)主機(jī)的一個(gè)端口建立 TCP連接，如果目標(biāo)主機(jī)未開(kāi)放該端口，則 connect操作失敗。 ? 掃描器是一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)系統(tǒng)安全性缺陷或漏洞的專用程序。 126 端口掃描技術(shù) 1. 端口掃描原理 ? 端口掃描就是通過(guò)向目標(biāo)主機(jī)的指定端口發(fā)送數(shù)據(jù)包，根據(jù)目標(biāo)端口的反應(yīng)確定哪些端口是開(kāi)放的。端口就是這兩個(gè)協(xié)議打開(kāi)的，是TCP和 UDP協(xié)議與上層應(yīng)用程序之間的接口點(diǎn)。計(jì)算機(jī)提供的端口共有 65536個(gè)，以供各種網(wǎng)絡(luò)應(yīng)用程序使用，如 FTP使用 21端口， WWW使用 80端口。計(jì)算機(jī)網(wǎng)絡(luò)嗅探器則可以竊聽(tīng)計(jì)算機(jī)程序在網(wǎng)絡(luò)上發(fā)送和接收到的數(shù)據(jù)，不過(guò)這些數(shù)據(jù)是大量無(wú)意義的二進(jìn)制數(shù)據(jù)。如果黑客截獲用戶的口令，它就有可能登錄某主機(jī)系統(tǒng)，并竊取超級(jí)用戶的權(quán)限，獲得重要信息。因?yàn)樵诰W(wǎng)絡(luò)上，監(jiān)聽(tīng)的設(shè)臵可以在任何一個(gè)位臵，但比較理想的地方是在網(wǎng)關(guān)、路由器、防火墻之類的設(shè)備處。 ?攻擊實(shí)施： 122 網(wǎng)絡(luò)監(jiān)聽(tīng) ? 網(wǎng)絡(luò)監(jiān)聽(tīng)，通常也稱為網(wǎng)絡(luò)嗅探，即監(jiān)視探聽(tīng)。 ?信息收集 (踩點(diǎn) )：目標(biāo)主機(jī)的數(shù)目、配臵、性能等。 120 拒絕服務(wù) DoS攻擊 ? 一個(gè)完善的 DDoS攻擊體系可由攻擊者、主控端、代理端和被攻擊者四部分組成，如下圖所示。它和傳統(tǒng)的 DoS攻擊不同的是采用多點(diǎn)對(duì)一點(diǎn)的攻擊策略，它是目前黑客經(jīng)常采用而難以防范的攻擊手段，當(dāng)今尚無(wú)有效手段進(jìn)行防范。 (3)Land攻擊 ? 將一個(gè)特別定制的 SYN包中的源地址和目標(biāo)地址都設(shè)置成某一個(gè)服務(wù)器地址，這時(shí)將導(dǎo)致接收服務(wù)器向它自己的地址發(fā)送 SYNACK消息，這個(gè)地址又發(fā)回 ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)。 118 拒絕服務(wù) DoS攻擊 2. 拒絕服務(wù)攻擊分類 (1)Ping攻擊 ? 通過(guò) Ping命令向被攻擊者發(fā)送大量超大字節(jié)的 ICMP報(bào)文來(lái)攻擊。 117 拒絕服務(wù) DoS攻擊 如果攻擊者傳送多個(gè)這樣的請(qǐng)求或利用多個(gè)站點(diǎn)同時(shí)傳送這樣的請(qǐng)求，那么服務(wù)器就會(huì)等待更長(zhǎng)的時(shí)間，這個(gè)過(guò)程周而復(fù)始，最終會(huì)導(dǎo)致服務(wù)器資源用盡，網(wǎng)絡(luò)帶寬用完，正常的服務(wù)請(qǐng)求不能被服務(wù)器處理及回復(fù)而形成服務(wù)器的拒絕服務(wù)。 116 拒絕服務(wù) DoS攻擊 根據(jù) TCP/IP協(xié)議的原理，當(dāng)客戶端要和服務(wù)器進(jìn)行通信時(shí)，會(huì)經(jīng)過(guò)請(qǐng)求 /確認(rèn)的方式進(jìn)行聯(lián)系，如用戶登錄服務(wù)器時(shí)，首先是用戶傳送信息要求服務(wù)器確認(rèn)，服務(wù)器給予響應(yīng)回復(fù)客戶端請(qǐng)求，當(dāng)被確認(rèn)后客戶端才能正式和服務(wù)器交流信息。 ? 拒絕服務(wù)攻擊的目的不在于闖入一個(gè)站點(diǎn)或更改數(shù)據(jù)，而在于使站點(diǎn)無(wú)法服務(wù)于合法的請(qǐng)求。通常黑客利用 TCP/IP中的某種漏洞，或者系統(tǒng)存在的某些漏洞，對(duì)目標(biāo)系統(tǒng)發(fā)起大規(guī)模地攻擊，使得攻擊目標(biāo)失去工作能力，使得系統(tǒng)不可訪問(wèn)因而合法用戶不能及時(shí)得到應(yīng)得的服務(wù)或系統(tǒng)資源，如 CPU處理時(shí)間與網(wǎng)絡(luò)帶寬等。 ? 使用隨機(jī)化的初始序列號(hào)。 阻止 IP欺騙的另一種明顯的方法是在通信時(shí)要求加密傳輸和驗(yàn)證。路由器可以過(guò)濾掉所有來(lái)自于外部而希望與內(nèi)部建立連接的請(qǐng)求。 如果網(wǎng)絡(luò)是通過(guò)路由器接入 Inter的，那么可以利用路由器來(lái)進(jìn)行包過(guò)濾。不允許遠(yuǎn)程調(diào)用命令的使用。 114 IP欺騙 ? ? 拋棄基于地址的信任策略。 113 IP欺騙 ? 黑客為了進(jìn)行 IP欺騙，需要進(jìn)行以下工作： ? 使得被信任的主機(jī)喪失工作能力，同時(shí)采樣目標(biāo)主機(jī)發(fā)出的 TCP序列號(hào)，猜測(cè)出它的數(shù)據(jù)序列號(hào) 。黑客為了對(duì)網(wǎng)絡(luò)進(jìn)行入侵，可以假冒計(jì)算機(jī) B來(lái)欺騙計(jì)算機(jī) A和 C，也可以假冒計(jì)算機(jī) A或C來(lái)欺騙計(jì)算機(jī) B。 IP欺騙實(shí)際上是計(jì)算機(jī)主機(jī)之間信任關(guān)系的破壞。 實(shí)際上， IP 欺騙不是黑客想要進(jìn)攻的結(jié)果，而是他們利用它來(lái)達(dá)到其他目的。 ?按蠕蟲(chóng)對(duì)目標(biāo)地址空間的選擇方式進(jìn)行分類。 110 蠕蟲(chóng) ? ? 蠕蟲(chóng)程序的工作流程可以分為 漏洞掃描 、 攻擊 、復(fù)制 三個(gè)階段。一旦在系統(tǒng)中激活，蠕蟲(chóng)可以表現(xiàn)得像計(jì)算機(jī)病毒。 軟件的開(kāi)發(fā)者應(yīng)在編寫(xiě)原代碼時(shí)應(yīng)從這些方面考慮： 109 蠕蟲(chóng) 109 ? ： ? 計(jì)算機(jī)蠕蟲(chóng)是可以獨(dú)立運(yùn)行，并能把一個(gè)包含其自身所有功能的版本傳播到另外的計(jì)算機(jī)上。當(dāng)程序做成軟件產(chǎn)品以后，用戶可以關(guān)閉軟件受影響部分的功能，另一方面可以向軟件的發(fā)行商求助，索取補(bǔ)丁程序。溢出造成了兩種后果： 一是過(guò)長(zhǎng)的字串覆蓋了相鄰的存儲(chǔ)單元，引起程序運(yùn)行失敗，嚴(yán)重的可引起死機(jī)、系統(tǒng)重新啟動(dòng)等后果； 二是利用這種漏洞可以執(zhí)行任意指令，甚至可以取得系統(tǒng)特權(quán)，使用一類精心編寫(xiě)的程序，可以很輕易地取得系統(tǒng)的超級(jí)用戶權(quán)限。 緩沖區(qū)溢出是指數(shù)據(jù)被添加到分配給該緩沖區(qū)的內(nèi)存塊之外，原因是系統(tǒng)程序沒(méi)有檢測(cè)輸入的參數(shù)，也就是沒(méi)有檢測(cè)為變量輸入的值的長(zhǎng)度是否符合要求。 預(yù)處理的主要任務(wù)是形成標(biāo)準(zhǔn)記錄格式，這將有利于不同目標(biāo)平臺(tái)系統(tǒng)之間的移植。 104 HIDS入侵檢測(cè) 的工作原理 104 ? 典型的 HIDS入侵檢測(cè)系統(tǒng)結(jié)構(gòu)如下圖所示。 103 NIDS入侵檢測(cè) 的工作原理 103 ? 2. 檢測(cè)引擎的設(shè)計(jì) ?從實(shí)現(xiàn)機(jī)制來(lái)看，檢測(cè)引擎分為兩大類：嵌入式規(guī)則檢測(cè)引擎和可編程的檢測(cè)引擎。 ? ?共享以太網(wǎng)環(huán)境下的數(shù)據(jù)截獲 —要截獲流經(jīng)網(wǎng)卡的不屬于本主機(jī)的數(shù)據(jù)，必須繞過(guò)系統(tǒng)正常的處理機(jī)制，直接訪問(wèn)網(wǎng)絡(luò)底層 。 ? (2)聯(lián)機(jī)檢測(cè) ?在數(shù)據(jù)產(chǎn)生或者發(fā)生改變的同時(shí)對(duì)其進(jìn)行檢查，以發(fā)現(xiàn)攻擊行為 100 入侵檢測(cè)技術(shù)的分類 ? 4. 根據(jù)分布性分類 ? (1)集中式 ?系統(tǒng)的各個(gè)模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)模塊都集中在一臺(tái)主機(jī)上運(yùn)行 ? (2)分布式 ?系統(tǒng)的各個(gè)模塊分布在網(wǎng)絡(luò)中不同的計(jì)算機(jī)、設(shè)備上，一般來(lái)說(shuō)分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上 101 入侵檢測(cè) 的基本工作原理 101 ? 下圖所示是一個(gè)通用的入侵檢測(cè)系統(tǒng)結(jié)構(gòu) 數(shù)據(jù) 數(shù)據(jù)采集 數(shù)據(jù) 數(shù)據(jù)預(yù)處理 事件 數(shù)據(jù)分析 事件 結(jié)果處理 數(shù)據(jù) 事件 可以被分析模塊識(shí)別和處理的數(shù)據(jù)稱為事件。 ?此模式降低錯(cuò)報(bào)率，但增加了漏報(bào)率，因?yàn)楣籼卣鞯募?xì)微變化，就會(huì)使錯(cuò)誤檢測(cè)無(wú)能為力。 ?如果正常