【正文】 安全 4）使用 Ping命令 Ping命令本來是用做檢測目標(biāo)服務(wù)器的響應(yīng)速度，發(fā)送一個(gè) 32KB的封包到對方服務(wù)器，來獲得對方服務(wù)器的響應(yīng)時(shí)間。要達(dá)到這個(gè)目的，不是一個(gè)人可以達(dá)到的，如果上網(wǎng)人數(shù)極多，而且大家都在 PING一個(gè)網(wǎng)站，就可能產(chǎn)生如此效果。 ping t 第四節(jié) 網(wǎng)絡(luò)入侵及其安全防御 入侵檢測的定義 ?對系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性 ?進(jìn)行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng) ?IDS : Intrusion Detection System 五、入侵檢測 IDS基本結(jié)構(gòu) 入侵檢測系統(tǒng)包括三個(gè)功能部件 （ 1） 信息收集 （ 2） 信息分析 （ 3） 結(jié)果處理 信息收集 ? 入侵檢測的第一步是信息收集，收集內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為 ? 需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息 ? 盡可能擴(kuò)大檢測范圍 ? 從一個(gè)源來的信息有可能看不出疑點(diǎn) 信息收集 ? 入侵檢測很大程度上依賴于收集信息的可靠性和正確性 ? 要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性 ? 特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而收集到錯(cuò)誤的信息 信息收集的來源 ? 系統(tǒng)或網(wǎng)絡(luò)的日志文件 ? 網(wǎng)絡(luò)流量 ? 系統(tǒng)目錄和文件的異常變化 ? 程序執(zhí)行中的異常行為 系統(tǒng)或網(wǎng)絡(luò)的日志文件 ? 攻擊者常在系統(tǒng)日志文件中留下他們的蹤跡，因此，充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件 ? 日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動(dòng)”類型的日志，就包含登錄、用戶 ID改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容 ? 顯然，對用戶活動(dòng)來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等 系統(tǒng)目錄和文件的異常變化 ? 網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo) ? 目錄和文件中的不期望的改變（包括修改、創(chuàng)建和刪除），特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號(hào) ? 入侵者經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時(shí)為了隱藏系統(tǒng)中他們的表現(xiàn)及活動(dòng)痕跡，都會(huì)盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件 信息分析 信息分析 ? 模式匹配 ? 統(tǒng)計(jì)分析 ? 完整性分析，往往用于事后分析 模式匹配 ? 模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為 ? 一般來講，一種攻擊模式可以用一個(gè)過程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來表示。 2） 給出盡可能詳盡的檢測信息 ， 并使這些信息能夠完全為網(wǎng)絡(luò)管理員所理解 。 4） 盡可能減少產(chǎn)品副作用 。 第二類：為查找非授權(quán)使用網(wǎng)絡(luò)或主機(jī)系統(tǒng)企圖的產(chǎn)品 。 而且 ， 新的版本可以識(shí)別可疑的活動(dòng)模式 （ 采用人工智能判別 ， 而非具體的攻擊特征的異常現(xiàn)象 ） 來確定可疑的活動(dòng) 。黑客行為數(shù)量正在不斷增加 ， 入侵檢測工具能夠使用戶看到這個(gè)“ 魔鬼 ” 。 網(wǎng)絡(luò)安全 選擇入侵檢測方式： 1） 基于主機(jī)系統(tǒng) 代理軟件被安裝在一臺(tái)被監(jiān)控的服務(wù)器上 ， 代理軟件跟蹤記錄這臺(tái)服務(wù)器上的非授權(quán)訪問企圖或其它惡意行為 。 網(wǎng)絡(luò)安全 監(jiān)視入侵端口 網(wǎng)絡(luò)上的通訊都是通過端口通訊的 ， 不同的端口作用不同 。 而類似于 NETSPY等特洛依木馬軟件 ， 則通過7306或者其他端口進(jìn)行通信 ， 泄露資料 。 （ 例如 NukeNabber軟件可設(shè)定監(jiān)視 7306端口 ， 如果有人掃描該端口或試圖進(jìn)入你的 7306端口 ， 就會(huì)發(fā)出手警告 ， 同時(shí)提示攻擊者的地址 ） 網(wǎng)絡(luò)安全 現(xiàn)在網(wǎng)絡(luò)上的特洛依木馬軟件很多 ， 所以要監(jiān)視的端口也很多 ， 下面是一些常用入侵端口 ， 需要監(jiān)視 。 此時(shí) ， 要監(jiān)視所有端口就比較困難 。 也就是說 ， 看看電腦目前有 多 少 端 口 在 通 訊 。 七、電子郵件的安全 Email 概述 協(xié)議 SMTP,POP3 服務(wù)器： sendmail, Lotes Domino 客戶： MS Outlook, Lotes Notes ?Email 威脅 郵件炸彈 郵件欺騙 郵件服務(wù)器控制權(quán) … ? Mail安全目標(biāo)安全的電子郵件主要是解決身份鑒 別和保密性的安全問題 ? 郵件安全協(xié)議 pgp PEM S/MIME MOSS 基于電子郵件攻擊的方式 偽造郵件、帶毒郵件、騷擾郵件、瘋狂郵件通過電子郵件攻擊網(wǎng)絡(luò)系統(tǒng)是計(jì)算機(jī)黑客的拿手好戲。系統(tǒng)管理員和用戶必須保證郵件提交程序本身可靠，防止郵件提交程序被病毒感染，防止郵件提交程序被有意替換。通常在郵件附件中隱藏特洛依木馬程序或者計(jì)算機(jī)病毒。 電子郵件的附件形式有文本文件、 Word文件、可執(zhí)行程序、圖片和圖象、壓縮文件等，任何形式的附件都可能帶毒。 ? 對策 :對付這種攻擊最簡單的方法就是對郵件地址進(jìn)行配置，自動(dòng)刪除來自同一主機(jī)的過量或重復(fù)的消息。 2） 用軟件清除 用郵件工具軟件 （ 如 PoPIt等 ） 清除 ， 這些軟件可以登錄郵件服務(wù)器 ,選擇要?jiǎng)h除和保留的郵件 。 *在 tel login。 *離開 Pine， 輸入： cat /dev/null /var/mail/user id *全部 E－ mail就會(huì)被刪除掉 。 *點(diǎn)擊郵件標(biāo)簽 。 倘若以后那個(gè)家伙還給你發(fā)信 ， 那么在你用 Outlook收信的過程中 ， 系統(tǒng)會(huì)自動(dòng)刪除從該地址發(fā)送的任何郵件 。 以 OOB的方式 ， 通過 TCP/IP傳遞一個(gè)小小的包到某個(gè) IP地址的某個(gè)開放的接受端上 （ 一般為 139） 。 NT將會(huì)重新啟動(dòng) ， 95則一般要手動(dòng)重啟 。 除了 139， 其他可能的 oob開放的接受端有 13 13 113等 ， 均可遭到攻擊 。 即利用目標(biāo)機(jī)器協(xié)議上的一些漏洞 ， 連續(xù)發(fā)送大型的破碎數(shù)據(jù)包 ， 形成包風(fēng)暴 ，造成目標(biāo)機(jī)器 Down機(jī) 。 NUKE、 WINNUKE及其變種 ， 早期的工具 。 網(wǎng)絡(luò)安全 TEARDROP（ 淚滴 ） ：淚滴也是采用碎片包攻擊的一種遠(yuǎn)程攻擊工具 ， 他的最大的特點(diǎn)是除了 95/nt外 ， 可攻擊 linux。 并把 。 網(wǎng)絡(luò)安全 微軟補(bǔ)丁與安裝要點(diǎn) 微軟 95與此 bug相關(guān)的補(bǔ)丁較多 ， 請大家注意 ，一定要按照步驟安裝 。 安裝 WINSOCK升級文件并重啟動(dòng) ， （ 下載） 。 至此系統(tǒng)可防范部分 IP攻擊的工具如 SSPING和TEARDROP（ 淚滴 ） 網(wǎng)絡(luò)安全 安裝補(bǔ)丁文件 (下載 )。 BAK或者修正VNBT（ 運(yùn)行 ） 并重起 。 網(wǎng)絡(luò)安全 “零字節(jié)毒藥 ” （ Poiso