第2章网络安全防护1

第2章网络安全防护第一页，共一百八十三页。教学要求：网络安全从其本质上来讲就是网络上的信息安全。即最大限度向合法访问者提供资源，最大限度限制非法访问者访问资源。网络安全涉及的内容有三个方面:包括安全管理、安全技术、安全设备。本章重点讲述防火墙的相关知识以及网络黑客攻防技术，目的是让学生掌握防火墙的实用技术了解防火墙的管理与维护以及网络黑客攻防知识等。2第二页，共一百八十三页。主要内容：防火墙概述实用防火墙技术防火墙的管理和维护防火墙技术展望网络黑客概述黑客攻防技术习题实训教学重点：防火墙技术的概述、实用技术、黑客攻防等。3第三页，共一百八十三页。网络安全基础访问控制访问控制技术就是通过不同的手段和策略实现网络上主体对客体的访问权限。第四页，共一百八十三页。访问控制在访问控制中，对其访问必须进行控制的资源称为客体，同理，控制它对客体的访问的活动资源，称为主体。主体即访问的发起者，通常为进程、程序或用户。客体包括各种资源，如文件、设备、信号量等。访问控制中第三个元素是保护规则，它定义了主体与客体可能的相互作用途径。第五页，共一百八十三页。根据控制手段和目的的不同把控制访问分类：入网访问控制网络权限控制目录、文件、设备的访问控制第六页，共一百八十三页。入网访问控制入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。

第七页，共一百八十三页。网络的权限控制网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限，网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源，可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（IRM）可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。第八页，共一百八十三页。目录、文件、设备的访问控制网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。

第九页，共一百八十三页。根据安全级别可分为两类：

自主访问控制强制访问控制第十页，共一百八十三页。自主访问控制访问控制分为“自主访问控制”和“强制访问控制”两种。自主访问控制（DAC：discretionaryaccesscontrol）是一种最为普遍的访问控制手段，用户可以按自己的意愿对系统的参数做适当修改以决定哪些用户可以访问他们的文件，亦即一个用户可以有选择地与其他用户共享他的文件，用户有自主的决定权。自主访问控制的一个最大问题是主体权限太大，无意间就可能泄露信息，而且不能防备特洛伊木马的攻击。

第十一页，共一百八十三页。强制访问控制强制访问控制（DMC：mandatoryaccesscontrol）就是指用户与文件都有一个固定的安全属性。系统用该安全属性来决定一个用户是否可以访问某个文件。安全属性是强制性的规定，它是由安全管理员，或者是操作系统根据限定的规则确定的，用户或用户的程序不能加以修改。强制访问控制可以防范特洛伊木马和用户滥用权限，具有更高的安全性。

第十二页，共一百八十三页。访问控制的目的访问控制的目的是为了限制访问主体（用户、进程、服务等）对访问客体（文件、系统等）的访问权限，从而使计算机系统在合法范围内使用，决定用户能做什么，也决定代表一定用户利益的程序能做什么。

第十三页，共一百八十三页。访问控制的产品防火墙路由器专用访问控制服务器第十四页，共一百八十三页。教学要求：网络安全从其本质上来讲就是网络上的信息安全。即最大限度向合法访问者提供资源，最大限度限制非法访问者访问资源。网络安全涉及的内容有三个方面:包括安全管理、安全技术、安全设备。本章重点讲述防火墙的相关知识以及网络黑客攻防技术，目的是让学生掌握防火墙的实用技术了解防火墙的管理与维护以及网络黑客攻防知识等。15第十五页，共一百八十三页。主要内容：防火墙概述实用防火墙技术防火墙的管理和维护防火墙技术展望网络黑客概述黑客攻防技术习题实训教学重点：防火墙技术的概述、实用技术、黑客攻防等。16第十六页，共一百八十三页。2.1防火墙概述防火墙已经成为了网络安全的不可或缺的一部分，随着网络安全形式的日益严峻。防火墙也越发显得重要，已经成为网络安全防护的代名词，防火墙和入侵检测技术、防病毒技术、加密技术已经成为目前网络安全的四大主流技术。17第十七页，共一百八十三页。2.1.1防火墙概念所谓“防火墙”，是指一种将内部安全网络和公众访问网(如Internet或者其它不安全的网络)分开的方法，实际上是一种隔离技术。防火墙是设置在被保护的内部网络和外部网络之间的软件和硬件设备的组合，对内部网络和外部网络之间的通信进行控制，通过监测和限制经过防火墙的数据流，尽可能地对外部屏蔽网络内部的结构、信息和运行情况，用于防止发生不可预测的、潜在破坏性的入侵或攻击，这是一种行之有效的网络安全防护技术。18第十八页，共一百八十三页。IT领域的防火墙概念：

一种高级访问控制设备。置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道。能根据企业有关的安全策略控制（允许、拒绝、监视、记录）进行网站访问控制。第十九页，共一百八十三页。防火墙示意图通常情况下，防火墙是运行在计算机上的软件，主要保护内部网络的重要信息不被非授权访问、非法窃取或破坏，并记录了内部网络和外部网络进行通信的有关安全日志信息，如通信发生的时间和允许通过数据包和被过滤掉的数据包信息等。

第二十页，共一百八十三页。硬件防火墙示意图：第二十一页，共一百八十三页。2.1.2防火墙的发展阶段防火墙技术的发展

在防火墙产品的开发中，人们广泛应用网络拓扑技术、计算机操作系统技术、路由技术、加密技术、访问控制技术、安全审计技术等成熟或先进的手段，纵观防火墙产品近年内的发展，可将其分为四个阶段：

第二十二页，共一百八十三页。基于路由器的防火墙用户化的防火墙工具套建立在通用操作系统上的防火墙具有安全操作系统的防火墙第二十三页，共一百八十三页。第一阶段：基于路由器的防火墙

由于多数路由器中本身就包含有分组过滤的功能，故网络访问控制功能可通过路由控制来实现，从而使具有分组过滤功能的路由器成为第一代防火墙产品。第一代防火墙产品的特点是：●利用路由器本身对分组的解析，以访问控制表（accesslist）方式实现对分组的过滤；●过滤判决的依据可以是：地址、端口号、IP旗标及其它网络特征；第二十四页，共一百八十三页。●只有分组过滤的功能，且防火墙与路由器是一体的，对安全要求低的网络采用路由器附带防火墙功能的方法，对安全性要求高的网络则可单独利用一台路由器作防火墙。

第一代防火墙产品的不足之处十分明显：●路由协议十分灵活，本身具有安全漏洞，外部网络要探寻内部网络十分容易。例如：在使用FTP协议时，外部服务器容易从20号端口上与内部网相连，即使在路由器上设置了过滤规则，内部网络的20端口仍可由外部探寻。

第二十五页，共一百八十三页。●路由器上的分组过滤规则的设置和配置存在安全隐患。对路由器中过滤规则的设置和配置十分复杂，它涉及到规则的逻辑一致性，作用端口的有效性和规则集的正确性，一般的网络系统管理员难于胜任，加之一旦出现新的协议，管理员就得加上更多的规则去限制，这往往会带来很多错误。●路由器防火墙的最大隐患是：攻击者可以"假冒"地址，由于信息在网络上是以明文传送的，黑客可以在网络上伪造假的路由信息欺骗防火墙。第二十六页，共一百八十三页。●路由器防火墙的本质性缺陷是：由于路由器的主要功能是为网络访问提供动态的、灵活的路由，而防火墙则要对访问行为实施静态的、固定的控制，这是一对难以调和的矛盾，防火墙的规则设置会大大降低路由器的性能。可以说：基于路由器的防火墙只是网络安全的一种应急措施，用这种权宜之计去对付黑客的攻击是十分危险的。第二十七页，共一百八十三页。第二阶段：用户化的防火墙工具套

为了弥补路由器防火墙的不足，很多大型用户纷纷要求以专门开发的防火墙系统来保护自己的网络，从而推动了用户化防火墙工具套的出现。

作为第二代防火墙产品，用户化的防火墙工具套具有以下特征：第二十八页，共一百八十三页。●将过滤功能从路由器中独立出来，并加上审计和告警功能；●针对用户需求，提供模块化的软件包；●软件可通过网络发送，用户可自己动手构造防火墙；●与第一代防火墙相比，安全性提高了，价格降低了。第二十九页，共一百八十三页。由于是纯软件产品，第二代防火墙产品无论在实现还是在维护上都对系统管理员提出了相当复杂的要求，并带来以下问题：●配置和维护过程复杂、费时；●对用户的技术要求高；●全软件实现、安全性和处理速度均有局限；●实践表明，使用中出现差错的情况很多。第三十页，共一百八十三页。第三阶段：建立在通用操作系统上的防火墙

基于软件的防火墙在销售、使用和维护上的问题迫使防火墙开发商很快推出了建立在通用操作系统上的商用防火墙产品，近年来在市场上广泛可用的就是这一代产品，它具有以下特点：●是批量上市的专用防火墙产品；●包括分组过滤或者借用路由器的分组过滤功能；

第三十一页，共一百八十三页。●装有专用的代理系统，监控所有协议的数据和指令；●保护用户编程空间和用户可配置内核参数的设置；●安全性和速度大为提高。

第三代防火墙有以纯软件实现的，也有以硬件方式实现的，已得到广大用户的认同。但随着安全需求的变化和使用时间的推延，仍表现出不少问题，比如：第三十二页，共一百八十三页。●作为基础的操作系统及其内核往往不为防火墙管理者所知，由于原码的保密，其安全性无从保证。●由于大多数防火墙厂商并非通用操作系统的厂商，通用操作系统厂商不会对操作系统的安全性负责；●从本质上看，第三代防火墙既要防止来自外部网络的攻击，还要防止来自操作系统厂商的攻击。●用户必须依赖两方面的安全支持：一是防火墙厂商、一是操作系统厂商。第三十三页，共一百八十三页。第四阶段：具有安全操作系统的防火墙

防火墙技术和产品随着网络攻击和安全防护手段的发展而演进，到1997年初，具有安全操作系统的防火墙产品面市，使防火墙产品步入了第四个发展阶段。

具有安全操作系统的防火墙本身就是一个操作系统，因而在安全性上较之第三代防火墙有质的提高。获得安全操作系统的办法有两种：一种是通过许可证方式获得操作系统的源码；另一种是通过固化操作系统内核来提高可靠性，由此建立的防火墙系统具有以下特点：第三十四页，共一百八十三页。●防火墙厂商具有操作系统的源代码，并可实现安全内核；●对安全内核实现加固处理：即去掉不必要的系统特性，加上内核特性，强化安全保护；●对每个服务器、子系统都作了安全处理，一旦黑客攻破了一个服务器，它将会被隔离在此服务器内，不会对网络的其它部份构成威胁；●在功能上包括了分组过滤、应用网关、电路级网关，且具有加密与鉴别功能；●透明性好，易于使用。第三十五页，共一百八十三页。防火墙的核心技术简单包过滤技术包过滤工作在网络层，对数据包的源及目地IP具有识别和控制用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息，由于只对数据包的IP地址、TCP/UDP协议和端口进行分析.

包过滤防火墙的处理速度较快，并且易于配置。

第三十六页，共一百八十三页。

包过滤型防火墙中的包过滤器一般安装在路由器上，工作在网络层（IP）。它基于单个包实施网络控制，根据所收到的数据包的源地址、目的地址、TCP/UDP、源端口号及目的端口号、包出入接口、协议类型和数据包中的各种标志位等参数，与用户预定的访问控制表进行比较，决定数据是否符合预先制定的安全策略，决定数据包的转发或丢弃，即实施信息过滤。实际上，它一般容许网络内部的主机直接访问外部网络，而外部网络上的主机对内部网络的访问则要受到限制。包过滤防火墙的工作原理第三十七页，共一百八十三页。在互联网上提供某些特定服务的服务器一般都使用相对固定的端口号。因此路由器在设置包过滤规则时指定：对于某些端口号允许数据包与该端口交换，或者阻断数据包与它们的连接。第三十八页，共一百八十三页。过滤规则示例：

在上表中，规则1允许所有的IP访问服务器的HTTP协议，规则2则允许所有的IP访问服务器的域名解析服务。第三十九页，共一百八十三页。简单包过滤防火墙的优点：

1.处理包的速度比代理服务器快，过滤路由器为用户提供了一种透明的服务，用户不用改变客户端程序活高便自己的行为。2.实现包过滤几乎不在需要费用（或极少的费用），因为因为这些特点都包含在标准的路由器软件中。由于Internet访问一般都是在WAN接口上提供，因此在流量始终并定义较少过滤器时对路由器的性能几乎没有影响。3.包过滤路由器对用户和应用来讲是透明的，所以不必对用户进行特殊的培训和在每台主机上安装特定的软件。第四十页，共一百八十三页。包过滤防火墙具有根本的缺陷：1．不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是知道哪些IP是可信网络，哪些是不可信网络的IP地址。但是随着远程办公等新应用的出现，不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源IP包改成合法IP即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行IP地址欺骗。即只能阻止一种类型的IP欺骗，外部主机伪装内部主机的IP，对于外部主机伪装其他可信任的外部主机的IP却不可阻止。

第四十一页，共一百八十三页。2．不支持应用层协议。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。3.防火墙的维护比较困，定义数据包过滤器会比较复杂，因为网络管理员需要对各种Internet服务、包头格式以及每个域的意义有非常深入的理解，才能将过滤规则集尽量定义完善。第四十二页，共一百八十三页。4．不能处理新的安全威胁。它不能跟踪TCP状态，所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。等等。综上可见，包过滤防火墙技术面太过初级，难以履行保护内网安全的职责。第四十三页，共一百八十三页。防火墙的核心技术代理技术应用代理彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。第四十四页，共一百八十三页。缺点也非常突出，主要有：难于配置。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行，因为对于内网的每个Web访问请求，应用代理都需要开一个单独的代理进程，它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器，及业务程序等，就需要建立一个个的服务代理，以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的正常Web访问不能及时得到响应。第四十五页，共一百八十三页。防火墙的核心技术状态检测包过滤技术状态检测摒弃了包过滤仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。优点：由于不需要对每个数据包进行规则检查，而是一个连接的后续数据包（通常是大量的数据包）通过散列算法，直接进行状态检查，从而使得性能得到了较大提高；而且，由于状态表是动态的，因而可以有选择地、动态地开通1024号以上的端口，使得安全性得到进一步地提高。第四十六页，共一百八十三页。复合型防火墙技术防火墙的核心技术

由于希望防火墙在功能上能进行融合，保证完善的应用。许多厂家提出了混合型饭防火请的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合，可以做到用户无需知道给他提供服务的到底是用了哪些技术，而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。第四十七页，共一百八十三页。该防火墙结合了包过滤防火墙和应用级防火墙的特点。它同包过滤防火墙一样能够通过ip地址和端口号，过滤进出的数据包，也能够检查syn和ack标记和序列数字是否逻辑有序。另一方面，它也能象应用级防火墙一样，在应用层上检查数据包的内容，查看这些内容是否能符合既定的网络安全规则。目前在市场上技术领先的防火墙大多属于混合型防火墙，因为该防火墙对于用户透明，在应用层上加密数据，不需要修改客户端的程序，也不需对每个需要在防火墙上打开的服务额外增加代理。

第四十八页，共一百八十三页。核检测防火墙技术防火墙的核心技术第四十九页，共一百八十三页。包过滤防火墙工作原理图第五十页，共一百八十三页。状态检测防火墙工作原理图第五十一页，共一百八十三页。代理防火墙工作原理图第五十二页，共一百八十三页。复/混合型防火墙工作原理图第五十三页，共一百八十三页。核检测防火墙工作原理图检查整个会话第五十四页，共一百八十三页。第五十五页，共一百八十三页。第六代-智能防火墙的特点1、智能访问控制技术2、安全防御内核3、三维访问控制技术4、高可用性技术5、广泛的应用支持6、自主可控的安全操作系统7、强大的管理、健康和审计功能

第五十六页，共一百八十三页。2.1.3防火墙的功能防火墙是网络安全的屏障防火墙可以强化网络安全策略

对网络存取和访问进行监控审计防止内部信息的外泄57第五十七页，共一百八十三页。2.1.5防火墙的局限性防火墙防外不防内防火墙难以管理和配置，容易造成安全漏洞防火墙不能防范绕过防火墙的攻击防火墙不能防止数据驱动式攻击58第五十八页，共一百八十三页。2.2实用防火墙技术2.2.1网络地址转换（NAT）NAT英文全称是NetworkAddressTranslation，它是一个IETF标准，是用于将一个地址域（如：专用Intranet）映射到另一个地址域（如：Internet）的标准方法。

59第五十九页，共一百八十三页。网络地址转换（NAT）NAT功能通常被集成到路由器、Modem、防火墙、ISDN路由器或者单独的NAT设备中，当然，现在比较流行的操作系统或其他软件（主要是代理软件，如WINROUTE），大多也有着NAT的功能。NAT有三种类型：静态NAT(StaticNAT)、NAT池(PooledNAT)、网络地址端口转换NAPT（Port－LevelNAT）。静态NAT设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址;NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络;NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。60第六十页，共一百八十三页。网络地址转换（NAT）第六十一页，共一百八十三页。2.2.2应用代理服务器即应用网关技术当外部某台主机试图访问受保护网络时，必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为该网络设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制用户访问的主机、访问时间及访问的方式。同样，受保护网络内部用户访问外部网时也需先登录到防火墙上，通过验证后，才可访问。62第六十二页，共一百八十三页。2.2.3回路级代理服务器回路级代理服务器即通常意义的代理服务器，它适用于多个协议，但不能解释应用协议，需要通过其他方式来获得信息，所以，回路级代理服务器通常要求修改过的用户程序。套接字服务器（SocketsServer）就是回路级代理服务器。套接字(Sockets)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时，在防火墙上的套服务器检查客户的UserID、IP源地址和IP目的地址，经过确认后，套服务器才与外部的服务器建立连接。对用户来说，受保护网与外部网的信息交换是透明的，感觉不到防火墙的存在，那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持“SocketsifiedAPI”，受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。63第六十三页，共一百八十三页。2.2.4IP通道（IPTunnels）如果一个公司的多个子公司之间距离比较远，为了互相之间能够通过Internet通信，这时，可以在他们之间建立IPTunnels来防止信息被黑客截取，同时一旦通道建立，所有在这个通道上传输的数据包都被自动的加密，从而在Internet上形成一个虚拟的企业网。这实际是VPN的一种应用，用于构建extranet。64第六十四页，共一百八十三页。2.2.5隔离域名服务器这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解内部受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络获悉。65第六十五页，共一百八十三页。2.2.6电子邮件转发技术当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。66第六十六页，共一百八十三页。2.3防火墙的选购和配置企业防火墙的选购企业防火墙的配置个人防火墙的选购个人防火墙的配置67第六十七页，共一百八十三页。防火墙产品的选择：灵活的访问控制功能（是否具备基于IP报头，TCP报头、基于用户、基于时间、基于流量的访问控制功能）完善的应用代理功能（是否是有HTTP、FTP、ＳＭＴＰ等常用协议的代理功能）状态检测功能（对异常行为进行检测）多种附加功能（ＮＡＴ，身份验证、计费、入侵检测、审计、VPN等功能）灵活的组网方式（透明模式、路由模式、混合模式）灵活的安全策略等等第六十八页，共一百八十三页。2．企业的特殊要求网络地址转换功能(NAT)双重DNS虚拟专用网络(VPN)：VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。扫毒功能特殊控制需求：如限制特定使用者才能发送E-mail，FTP只能下载文件不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，依需求不同而定。第六十九页，共一百八十三页。3．与用户网络结合管理的难易度--不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不易除错等管理问题，更是一般企业不愿意使用的主要原因。自身的安全性--防火墙也是网络上的主机之一，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。完整的安全检查—防火墙还应该向使用者提供相对完整的安全检查功能结合用户情况网络受威胁的程度；若入侵者闯入网络，将要受到的潜在的损失；其他已经用来保护网络及其资源的安全措施；由于硬件或软件失效，或防火墙遭到“拒绝服务攻击”，而导致用户不能访问Internet，造成的整个机构的损失；机构所希望提供给Internet的服务，希望能从Internet得到的服务以及可以同时通过防火墙的用户数目；网络是否有经验丰富的管理员；今后可能的要求，如要求增加通过防火墙的网络活动或要求新的Internet服务。

第七十页，共一百八十三页。2.3.2个人防火墙的选购什么是个人防火墙个人版防火墙是安装在你的PC机系统里的一段"代码墙"把你的电脑和internet分隔开。它检查到达防火墙两端的所有数据包，无论是进入还是发出，从而决定该拦截这个包还是将其放行。也就是说，在不妨碍你正常上网浏览的同时，阻止INTERNET上的其他用户对你的计算机进行的非法访问。第七十一页，共一百八十三页。天网个人防火墙天网个人防火墙用户也可以到免费下载测试版。该网站提供安全检测服务，免费为用户检测计算机系统的安全情况，并做出相应的指导。提供的帮助文件与在线使用手册内容丰富。特点：软件提供多种预先设置的安全策略，用户可以自行选择安全级别，也支持用户自定义应用程序的安全规则、系统的安全策略，或自行对内部网络指定另外的安全策略。优点：软件运行时占用的系统资源较少，提供特洛伊木马和入侵检测功能。缺点：软件的可升级性较差，稳定性也一般。第七十二页，共一百八十三页。蓝盾防火墙个人版蓝盾曾在2001年中美网络攻击事件中扬名，当时有网站报称使用该品牌的网站防火墙后，未受黑客攻击。特点：“蓝盾防火墙个人版”使用智能防御系统，可以有效地拦截各种探测、攻击手段，支持用户自定义安全规则，具有强大的反追踪功能。当受到攻击和探测时，能追踪攻击方计算机名、用户名、MACIP地址等。缺点：软件的使用界面一般，设置与管理功能较少，不具备扩展性与升级能力，帮助文件和使用手册也不够详细。

第七十三页，共一百八十三页。诺顿个人防火墙“诺顿个人防火墙”是“诺顿互连网特警”的一个部分，它曾在国外的评比中获得最佳个人安全防护系统的荣誉。特点：该软件性能稳定，提供自动识别程序，帮助用户设置计算机系统上应用程序的安全规则，允许用户为不同的网络区域指定安全策略，方便的在线升级功能，可以使诺顿个人防火墙更好地检测特洛伊木马和黑客入侵。优点:软件的设置与管理方便，警报与帮助文件以及使用手册内容详细。一旦受到某个IP地址的攻击，会在30分钟内自动禁止所有来自该地址的连接请求，使对方无法试图使用其他方式攻击。缺点：软件占用的系统资源较大，而且由于需要对应用程序逐一指定安全规则，容易对用户造成困扰。第七十四页，共一百八十三页。CheckItCheckIt是一个专业防火墙，基于规则定义，通过应用程序安全规则与计算机系统安全策略、端口防护、信任IP防护和协议防护等多种方式，保护计算机网络的安全。特点：该软件性能高、功能多，可以通过电子邮件向用户发送安全警报，可以查看计算机系统上所运行的服务。优点：软件的网站提供一个系统测试服务，可以从多方面测试计算机系统的安全情况。软件的稳定性强，占用的系统资源也不多。缺点：应用程序的安全规则定义起来比较麻烦，不支持自动识别功能，软件使用界面的友好性也较差。第七十五页，共一百八十三页。BlackICEDefender“BlackICEDefender”是国外有名的防火墙，特点：软件使用智能防御系统，集成有非常强大的入侵检测和分析引擎，可以识别多种入侵技巧。通过监测网络端口和TCP/IP协议，可以拦截可疑的网络入侵。优点：该软件的稳定强，警报的灵敏度和准确率非常高，系统资源占用率极少，支持在线更新。缺点：由于使用智能防御系统，用户设置与管理的功能较少。不具备应用程序安全规则等安全防护手段。第七十六页，共一百八十三页。个人防火墙一般情况下，用户应该选择智能化程度较高，能够自动识别可信任的网络应用程序，能够更新特洛伊木马和入侵检测功能资料库的防火墙，以避免频繁地设置安全规则，处理安全警报。在选择一个合适的个人防火墙以后，一般需要进行设置，才能够起到安全防保作用。这需要用户具备一定的网络知识，如TCP/IP协议的基础知识等。只有在对各种协议所提供的服务有一定了解之后，才能判断出应用程序或网络连接请求的危险程度，从而正确处理，正确设置安全规则。要知道，即使您使用的是智能化较高、支持自动识别应用程序或智能防御系统的防火墙，也避免不了自定义安全规则的工作。用户还需要了解一些黑客知识，如各种常见的攻击手段和名词，才能够正确的理解警报信息所报告的事件。而且，在处理安全警报时要有足够的耐心，仔细查看有关的事件内容，做出正确的判断。如果不加以了解，就允许应用程序访问网络或允许他人访问，也就失去了安装防火墙的意义。第七十七页，共一百八十三页。个人防火墙为了使您的计算机网络系统足够安全，在使用装防火墙时，还需要配合病毒防护软件，以保护自己的计算机系统，不受到类似恶意修改注册表之类防火墙较难发现的攻击。另外还可以阻止蠕虫之类的网络病毒入侵。经常阅读分析日志文件也是保证网络安全的重要方面。通过检查日志文件，可以确定是否有人在探测您，或使用一定规则的扫描器，在您的计算机系统上寻找安全漏洞。然后再决定是否则需要采用更严格的防火墙安全规则，以便过滤或是追踪这些探测行为，并采取相应的行动。第七十八页，共一百八十三页。阅读内容2.3.3常见防火墙产品介绍(企业级防火墙,略)2.3.4防火墙配置范例(略)第七十九页，共一百八十三页。天网防火墙天网防火墙的设置包含四个方面：系统设置、安全级别设置、IP规则管理和应用程序规则管理。其中，前两个设置比较简单，重点讲述后两种。第八十页，共一百八十三页。天网防火墙的IP规则IP规则是针对整个系统的网络层数据包监控而设置的。利用自定义IP规则，用户可针对个人不同的网络状态，设置自己的IP安全规则，使防御手段更周到、更实用。用户可以点击“自定义IP规则”键或者在“安全级别”中点击进入IP规则设置界面。“天网防火墙个人版”本身已经默认设置了相当好的缺省规则，一般用户并不需要做任何IP规则修改，就可以直接使用。如果你不熟悉IP规则，最好不要调整它，可以直接使用缺省的规则。如果你熟悉IP规则，就可以非常灵活的设计合适自己使用的规则。

第八十一页，共一百八十三页。天网防火墙的IP规则自定义IP规则简单的说，规则是一系列的比较条件和一个对数据包的动作，就是根据数据包的每一个部分来与设置的条件比较，当符合条件时，就可以确定对该包放行或者阻挡。通过合理的设置规则就可以把有害的数据包挡在你的机器之外。图中自定义IP规则界面点击“增加”按钮或选择一条规则后按“修改”按钮，就会激活编辑窗口。第八十二页，共一百八十三页。天网防火墙应用程序配置应用程序规则管理天网防火墙个人版增加对应用程序数据传输封包进行底层分析拦截功能，它可以控制应用程序发送和接收数据传输包的类型、通讯端口，并且决定拦截还是通过，这是目前其它很多软件防火墙不具备的功能。在天网防火墙个人版打开的情况下，激活的任何应用程序只要有通讯传输数据包发送和接收存在，都会被天网防火墙个人版先截获分析，并弹出窗口，询问你是通过还是禁止，如图：这时用户可以根据需要来决定是否允许应用程序访问网络。

如果您不选中“以后按照这次的操作进行”，那么天网防火墙个人版在以后会继续截获该应用程序的数据传输数据包，并且弹出警告窗口。如果您如果选中“以后按照这次的操作进行”选项，该应用程序将自加入到应用程序列表中，您可以通过应用程序设置来设置更为详尽的数据传输封包过滤方式。第八十三页，共一百八十三页。天网防火墙应用程序高级配置高级应用程序规则设置点击规则面板中的“选项”即可激活应用程序规则高级设置页面，如图：应用程序规则高级设置页面另外特洛依木马也是一样的，天网防火墙个人版可以察觉到攻击者对特洛依木马的控制通讯，这也是新版天网防火墙个人版根据广大用户建议所添加的最强大功能之一。第八十四页，共一百八十三页。天网防火墙配置界面第八十五页，共一百八十三页。天网防火墙日志/网络状态第八十六页，共一百八十三页。2.4防火墙技术展望2.4.1优良的性能新一代防火墙系统不仅应该能更好地保护防火墙后面内部网络的安全，而且应该具有更为优良的整体性能。传统的代理型防火墙虽然可以提供较高级别的安全保护，但是同时它也成为限制网络带宽的瓶颈，这极大地制约了在网络中的实际应用。数据通过率是表示防火墙性能的参数，由于不同防火墙的不同功能具有不同的工作量和系统资源要求，因此数据在通过防火墙时会产生延时。数据通过率越高，防火墙性能越好。大多数的防火墙产品都支持NAT功能，它可以让受防火墙保护的一边的IP地址不至于暴露在没有保护的另一边，但启用NAT后，势必会对防火墙系统性能有所影响，目前如何尽量减少这种影响也成为防火墙产品的卖点之一。防火墙系统中集成的VPN（虚拟专用网）解决方案必须是真正的线速运行，否则将成为网络通信的瓶颈。

特别是采用复杂的加密算法时，防火墙性能尤为重要。总之，未来的防火墙系统将会把高速的性能和最大限度的安全性有机结合在一起，有效地消除制约传统防火墙的性能瓶颈第八十七页，共一百八十三页。2.4.2可扩展的结构和功能对于一个好的防火墙系统而言，它的规模和功能应该能适应内部网络的规模和安全策略的变化。选择哪种防火墙，除了应考虑它基本性能外，毫无疑问，还应考虑用户的实际需求与未来网络的升级。

防火墙除了具有保护网络安全的基本功能外提供对VPN的支持，应该具有可扩展的内驻应用层代理。支持常见的网络服务以外，还应该能够按照用户的需求提供相应的代理服务，例如，如果用户需要NNTP、X-Window、HTTP和Gopher等服务，防火墙就应该包含相应的代理服务程序。未来的防火墙系统应是一个可随意伸缩的模块化解决方案，从最为基本的包过滤器到带加密功能的VPN型包过滤器，直至一个独立的应用网关，使用户有充分的余地构建自己所需要的防火墙体系。

第八十八页，共一百八十三页。网络消息传输协议NNTP（网络新闻传输协议）用于向Internet上NNTP服务器或NNTP客户（新闻阅读器）发布网络新闻邮件的协议。NNTP提供通过Internet使用可靠的基于流的新闻传输，NNTP提供新闻的分发、查询、检索和投递。NNTP专门设计用于将新闻文章保存在中心数据库的服务器上，这样用户可以选择要阅读的特定条目。还提供过期新闻的索引、交叉引用和终止。该协议在RFC977中定义。NNTP使用TCP端口号119协议结构NNTP使用命令和响应实现通信。其中命令由命令字构成，在有些情况下带有参数。第八十九页，共一百八十三页。X-WindowX-Window是UNIX中功能强大的图形用户接口(GUI),是基于客户-服务器的一种应用技术.表现为应用可运行在一个功能强大,易与维护的服务器上,而屏幕的输出则显示在另一个工作站上.X-window技术包括两个成员:X-server和WindowManager.X-server控制图像和窗口的显示,跟踪鼠标和键盘的操作.一个X-server可控制多个窗口.WindowManager则用于显示窗口的菜单和边界,提供窗口的移动,转换,最大,最小化操作.)第九十页，共一百八十三页。2.4.3简化的安装与管理防火墙产品配置和管理的难易程度是防火墙能否达到目的的主要考虑因素之一。实践证明，许多防火墙产品并未起到预期作用的一个不容忽视的原因在于配置和实现上的错误。同时，若防火墙的管理过于困难，则可能会造成设定上的错误，反而不能达到其功能。未来的防火墙将具有非常易于进行配置的图形用户界面，NT防火墙市场的发展证明了这种趋势。WindowsNT提供了一种易于安装和易于管理的基础。尽管基于NT的防火墙通常落后于基于Unix的防火墙，但NT平台的简单性以及它方便的可用性大大推动了基于NT的防火墙的销售。同时，像DNS这类一直难于与防火墙恰当使用的关键应用程序正引起有意简化操作的厂商越来越多的关注。第九十一页，共一百八十三页。2.4.4主动过滤Internet数据流的简化和优化使网络管理员将注意力集中在这一点上：在Web数据流进入他们的网络之前需要在数据流上完成更多的事务。

防火墙开发商通过建立功能更强大的Web代理对这种需要做出了回应。例如，许多防火墙具有内置病毒和内容扫描功能或允许用户将病毒与内容扫描程序进行集成。今天，许多防火墙都包括对过滤产品的支持，并可以与第三方过滤服务连接，这些服务提供了不受欢迎的Internet站点的分类清单。防火墙还在它们的Web代理中包括时间限制功能，允许非工作时间的冲浪和登录，并提供冲浪活动的报告。

第九十二页，共一百八十三页。2.4.4防病毒与防黑客尽管防火墙在防止不良分子进入上发挥了很好的作用，但TCP／IP协议套件中存在的脆弱性使Internet对拒绝服务攻击敞开了大门。在拒绝服务攻击中，攻击者试图使企业Internet服务器饱和或使与它连接的系统崩溃，使Internet无法供企业使用。防火墙市场已经对此做出了反应。虽然没有防火墙可以防止所有的拒绝服务攻击，但防火墙厂商一直在尽其可能阻止拒绝服务攻击。像对付序列号预测和IP欺骗这类简单攻击，这些年来已经成为了防火墙工具箱的一部分。像“SYN泛滥”这类更复杂的拒绝服务攻击需要厂商部署更先进的检测和避免方案来对付。SYN泛滥可以锁死Web和邮件服务，这样没有数据流可以进入。综上所述，未来防火墙技术会全面考虑网络的安全、操作系统的安全、应用程序的安全、用户的安全、数据的安全，五者综合应用。此外，网络的防火墙产品还将把网络前沿技术，如Web页面超高速缓存、虚拟网络和带宽管理等与其自身结合起来。

第九十三页，共一百八十三页。SYN包(synchronize)TCP连接的第一个包，非常小的一种数据包。SYN攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。每个机器的欺骗包都要花几秒钟进行尝试方可放弃提供正常响应。在黑客攻击事件中，SYN攻击是最常见又最容易被利用的一种攻击手法。

SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。SYN攻击除了能影响主机外，还可以危害路由器、防火墙等网络系统，事实上SYN攻击并不管目标是什么系统，只要这些系统打开TCP服务就可以实施。服务器接收到连接请求（syn=j），将此信息加入未连接队列，并发送请求包给客户（syn=k,ack=j+1），此时进入SYN_RECV状态。当服务器未收到客户端的确认包时，重发请求包，一直到超时，才将此条目从未连接队列删除。配合IP欺骗，SYN攻击能达到很好的效果，通常，客户端在短时间内伪造大量不存在的IP地址，向服务器不断地发送syn包，服务器回复确认包，并等待客户的确认，由于源地址是不存在的，服务器需要不断的重发直至超时，这些伪造的SYN包将长时间占用未连接队列，正常的SYN请求被丢弃，目标系统运行缓慢，严重者引起网络堵塞甚至系统瘫痪。

关于SYN攻击防范技术，人们研究得比较早。归纳起来，主要有两大类，一类是通过防火墙、路由器等过滤网关防护，另一类是通过加固TCP/IP协议栈防范.但必须清楚的是，SYN攻击不能完全被阻止，我们所做的是尽可能的减轻SYN攻击的危害，除非将TCP协议重新设计。第九十四页，共一百八十三页。2.5网络黑客概述

黑客（hacker），源于英语动词hack，意为“劈，砍”，引申为“干了一件非常漂亮的工作”。在早期麻省理工学院的校园俚语中，“黑客”则有“恶作剧”之意，尤指手法巧妙、技术高明的恶作剧。在日本《新黑客词典》中，对黑客的定义是“喜欢探索软件程序奥秘，并从中增长了其个人才干的人。他们不象绝大多数电脑使用者那样，只规规矩矩地了解别人指定了解的狭小部分知识。”由这些定义中，我们还看不出太贬义的意味。他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。95第九十五页，共一百八十三页。目前将黑客的分成三类：第一类：网络黑客（红客）；第二类：计算机朋客（破坏者）；第三类：网络骇客（间谍）；第九十六页，共一百八十三页。网络攻击概述一个网络攻击的组成网络攻击攻击者工具访问结果目标骇客黑客计算机朋客分布式工具程序自治代理工具集用户命令信息破坏信息暴露服务偷窃服务拒绝破坏配置的脆弱点实现的漏洞黑客用户命令配置的脆弱点信息破坏破坏第九十七页，共一百八十三页。网络安全的背景经常有网站遭受黑客攻击第九十八页，共一百八十三页。网络安全的背景用户数据的泄漏第九十九页，共一百八十三页。网络安全的背景黑客攻击技术与网络病毒日趋融合第一百页，共一百八十三页。2.6黑客攻防技术2.6.1黑客攻击的工具2.6.2黑客攻击的常用技术第一类是服务拒绝攻击，第二类是利用型攻击第三类是信息收集型攻击第四类是假消息攻击101第一百零一页，共一百八十三页。2.6黑客攻防技术2.6.3黑客攻击步骤1．溢出攻击法攻击步骤2．嗅探侦听法（sniffer）攻击步骤3．DOS和DDOS攻击步骤2.6.4黑客攻击的防护步骤1．溢出攻击法防护2．嗅探侦听法（sniffer）攻击防护3．拒绝服务攻击的防护4．计算机病毒攻击防护102第一百零二页，共一百八十三页。2.6黑客攻防技术2.6.1黑客攻击的工具1．PasswordCrackersPasswordCrackers因其用途广泛而成为黑客使用的主流工具。实施口令破译攻击分为两步，第一步：攻击者首先从被攻击对象的计算机里读出一个加密口令档案(大部分系统，包括WindowsNT及UNIX，他们把口令加密后储存在档案系统内，以便当用户登录时认证)；第二步：攻击者以字典为辅助工具，用PasswordCrackers开始尝试去破译口令。其办法是把字典的每一项进行加密，然后两者进行比较。假若两个加密口令相符，黑客就会知道该口令；假若两者不符，此工具继续重复工作，直到字典最后一项。有时，黑客们甚至会试遍每一种字母的组合。使用该种方法，口令破译的速度与加密及比较的速度有关。第一百零三页，共一百八十三页。2．L0phtCrackL0phtCrack由黑客组L0phtHeavyIndustries撰写，它专门用于破译WindowsNT口令。此工具性能强大，又很容易使用,软件性能也随之提高(比旧版本快450%)。据称，一台450MHzPentiumII计算机一天内就可破译所有字母数字混合的口令。L0phtCrack可通过多种渠道得到加密的口令档案。只要黑客运行一个包含L0phtCrack的程序，或从windowNT系统管理员的备份软盘里拷贝一个程序，就可以得到WindowsNT系统里的SAM数据库。L0phtCrack最新版的GUI可以从网络中得到加密的Windows口令。当你登录到NT域，你的口令会被用哈希算法送到网络上。L0phtCrack的内置嗅探器很容易找到这个加密值并破译它。第一百零四页，共一百八十三页。3．WarDialers防火墙这个坚固的防线只封住了网络的前门，但内部网中不注册的调制解调器却向入侵者敞开了“后门”。WarDialers能迅速地找出这些调制解调器，随即攻入网络。它的攻击原理非常简单：不断以顺序或乱序拨打电话号码，寻找调制解调器接通后熟悉的回应音。一旦WarDialers找到一大堆能接通的调制解调器后，黑客们便拨号入网继续寻找系统内未加保护的登录或容易猜测的口令。WarDialers首选攻击对象是“没有口令”的PC远程管理软件。这些软件通常是由最终用户安装用来远程访问公司内部系统的。这些PC远程控制程序当用到不安全的调制解调器时是异常脆弱的。THC-Scan是TheHacker’sChoice(THC)Scanner的缩写。这个WarDialers工具是由“vanHauser”撰写的。它的功能非常齐全。THC-Scan与其他普通WarDialers工具不同，它能自动检测调制解调器的速度、数据位、校验位及停止位。此工具也尝试去判断被发现的计算机所使用的操作系统。而且，THC-Scan有能力确认什么时候能再有拨号音，这样，黑客们便可以不经过你的PBX就可以拨打免费电话。第一百零五页，共一百八十三页。声明由于这些工具可以在网上免费下载，并且它可能会损害你的系统，因此，教师在文中论述某一工具时，并不表示他默许或是推荐你使用。当然，对于黑客的攻击，我们也有一系列的应对措施，具体内容见2.6.4节。第一百零六页，共一百八十三页。2.6.2黑客攻击的常用技术网络攻击的方式一般分为四类：第一类是服务拒绝攻击，包括死亡之ping(pingofdeath)、泪滴(teardrop)、UDP洪水(UDPflood)、SYN洪水（SYNflood）、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息攻击等。第二类是利用型攻击，包括口令猜测、特洛伊木马、缓冲区溢出。第三类是信息收集型攻击，包括地址扫描、端口扫描、反响映射、慢速扫描、体系结构探测、DNS域转换、Finger服务、LDAP服务等。第四类是假消息攻击，主要包括：DNS高速缓存污染、伪造电子邮件。第一百零七页，共一百八十三页。1．溢出攻击法原理：当某个数据，超过了处理程序限制的范围时，该数据就会造成程序的执行溢出(overflow)。通常一个服务进程在接收一个用户请求时，会创建一个子进程去进行应答和服务，如果这个子进程接收了一些无特别含义的超过限制的数据，通常会终止，而服务的父进程和其他子进程并不受影响，因此对系统的危害实际上并不大。但是如果这个数据包是被精心构造的，那么在溢出点后面的就可能是精心策划的代码，从而进行服务端的代码执行，进而有可能控制系统。溢出攻击法的特点是，只要用足够的技术，对系统有足够的认识和分析，就能够通过溢出攻击获得对系统的控制，从而达到攻击的最高目标，而这个过程中，不需要依赖于密码的破解，嗅探，侦听等手段，也不需要任何非技术的手段和骗局，事实上，如果能够成功实施溢出攻击，即便是面对一个已知的漏洞，在没有特别傻瓜化的工具情况下，也需要非常高的系统认识能力和低层编程素质，一些精深的老黑客乐于此道而不思其余，是很有道理的。第一百零八页，共一百八十三页。2．嗅探侦听法（sniffer）也被称为报文截获法，原理：网络的一个特点就是数据总在流动中，而互联网由错综复杂的各种网络交汇而成的。当你的数据从网络的一台电脑到另一台电脑的时候，通常会经过大量不同的网络设备，用tracert命令就可以看到这种路径是如何进行的。嗅探侦听主要有两种途径，一种是将侦听工具软件放到网络连接的设备或者放到可以控制网络连接设备的电脑上，这里的网络连接设备，比如网关服务器，比如路由器。另外一种是针对不安全的局域网（采用交换hub实现），放到个人电脑上就可以实现对整个局域网的侦听，这里的原理是这样的，共享hub获得一个子网内需要接收的数据时，并不是直接发送到指定主机，而是通过广播方式发送到每个电脑，对于处于接受者地位的电脑就会处理该数据，而其他非接受者的电脑就会过滤这些数据。第一百零九页，共一百八十三页。3．拒绝服务攻击（DenialofService）拒绝服务攻击是指一个用户占据了大量的共享资源，使系统没剩余的资源给其他用户提供服务的一种攻击方式。这种攻击主要是用来攻击域名服务器、路由器以及其他网络操作系统，攻击之后被攻击者无法正常运行和工作，严重的可以使网络一度瘫痪。拒绝服务类型一般有两种。一种是使用IP欺骗，迫使服务器把合法用户的链接复位，影响合法用户的链接；第二是过载一些系统服务或者消耗一些资源，但这种情况有时候是攻击者攻击所造成的，也有时候是因为系统错误造成的。第一百一十页，共一百八十三页。DDOS（DistributedDenialOfService）DDOS（DistributedDenialOfService）即分布式拒绝服务攻击，这种分布式拒绝服务攻击是黑客利用在已经侵入并已控制的不同的高带宽主机（上安装大量的DoS服务程序，它们等待来自中央攻击控制中心的命令，中央攻击控制中心在适时启动全体受控主机的DoS服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股DoS洪流冲击目标系统，猛烈的DoS攻击同一个网站。在寡不敌众的力量抗衡下，被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪崩溃。可见，DoS是一台机器攻击目标，DDoS是被中央攻击中心控制的很多台机器利用他们的高带宽攻击目标，可更容易地将目标网站攻下。另外，DDoS攻击方式较为自动化，攻击者可以把他的程序安装到网络中的多台机器上，所采用的这种攻击方式很难被攻击对象察觉，直到攻击者发下统一的攻击命令，这些机器才同时发起进攻。可以说DDoS攻击是由黑客集中控制发动的一组DoS攻击的集合，现在这种方式被认为是最有效的攻击形式，并且非常难以抵挡。

无论是DoS攻击还是DDoS攻击，简单的看，都只是一种破坏网络服务的黑客方式，都有一个共同点，就是其根本目的是使受害主机或网络无法及时接收并处理外界请求，或无法及时回应外界请求。第一百一十一页，共一百八十三页。4．计算机病毒通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对电脑资源进行破坏的这样一组程序或指令集合。企业局域网接入Internet，内部的文件很容易受到病毒的感染，这些带毒的文件被执行后，整个的网络很快也会受到株连，从而导致数据丢失，甚至造成网络瘫痪。第一百一十二页，共一百八十三页。5．口令攻击口令攻击一般有三种方法：一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大；二是知道用户账号后利用一些专门软件强行破解用户口令；三是在获得一个服务器上的用户口令（Shadow）文件后，用暴力破解程序用户口令，该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大。强行破解口令的方法是采用逐个试口令直到成功为止，一般把这种方法叫做“字典攻击”。所谓“字典攻击”就是黑客用专门的破解软件对系统的用户名和口令进行猜测性的攻击。一般的弱口令可以很快地被破解。第一百一十三页，共一百八十三页。6．端口扫描一个端口就是一个潜在的通信通道，也就是一个可能的入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息，从而发现系统的安全漏洞。扫描大致可分为端口扫描、系统信息扫描、漏洞扫描几种。第一百一十四页，共一百八十三页。案例4-1系统用户扫描可以使用工具软件：GetNTUser，该工具可以在Winnt4以及Win2000操作系统上使用，主要功能包括：（1）扫描出NT主机上存在的用户名。（2）自动猜测空密码和与用户名相同的密码。（3）可以使用指定密码字典猜测密码。（4）可以使用指定字符来穷举猜测密码。第一百一十五页，共一百八十三页。扫描对IP为09的计算机进行扫描，首先将该计算机添加到扫描列表中，选择菜单File下的菜单项“添加主机”，输入目标计算机的IP地址，如图4-3所示。可以得到对方的用户列表了。点击工具栏上的图标，得到的用户列表如图4-4所示。第一百一十六页，共一百八十三页。密码破解利用该工具可以对计算机上用户进行密码破解，首先设置密码字典，设置完密码字典以后，将会用密码字典里的每一个密码对目标用户进行测试，如果用户的密码在密码字典中就可以得到该密码。一个典型的密码字典如图下图所示。第一百一十七页，共一百八十三页。设置密码字典选择菜单栏工具下的菜单项“设置”，设置密码字典为一个文本文件，如图所示。第一百一十八页，共一百八十三页。进行系统破解利用密码字典中的密码进行系统破解，选择菜单栏工具下的菜单项“字典测试”，程序将按照字典的设置进行逐一的匹配，如图所示。第一百一十九页，共一百八十三页。案例4-2开放端口扫描得到对方开放了哪些端口也是扫描的重要一步。使用工具软件PortScan可以到得到对方计算机都开放了哪些端口，主界面如图4-8所示。

第一百二十页，共一百八十三页。端口扫描对09的计算机进行端口扫描，在Scan文本框中输入IP地址，点击按钮“START”，开始扫描如图4-9所示。第一百二十一页，共一百八十三页。案例4-3共享目录扫描通过工具软件Shed来扫描对方主机，得到对方计算机提供了哪些目录共享。工具软件的主界面如图4-10所示。第一百二十二页，共一百八十三页。扫描一个IP地址段该软件可以扫描一个IP地址段的共享信息，这里只扫描IP为09的目录共享情况。在起始IP框和终止IP框中都输入09，点击按钮“开始”就可以得到对方的共享目录了，如图4-11所示。第一百二十三页，共一百八十三页。案例4-4利用TCP协议实现端口扫描实现端口扫描的程序可以使用TCP协议和UDP协议，原理是利用Socket连接对方的计算机的某端口，试图和该端口建立连接如果建立成功，就说明对方开放了该端口，如果失败了，就说明对方没有开放该端口，具体实现程序proj4_4.cpp所示。第一百二十四页，共一百八十三页。案例4-5漏洞扫描使用工具软件X-Scan-v2.3该软件的系统要求为：Windows9x/NT4/2000。该软件采用多线程方式对指定IP地址段(（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式扫描内容包括：远程操作系统类型及版本标准端口状态及端口Banner信息SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞SQL-SERVER、、SMTP-SERVER、POP3-SERVERNT-SERVER弱口令用户，NT服务器NETBIOS信息注册表信息等。第一百二十五页，共一百八十三页。主界面扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。主界面如图4-14所示。第一百二十六页，共一百八十三页。扫描参数可以利用该软件对系统存在的一些漏洞进行扫描，选择菜单栏设置下的菜单项“扫描参数”，扫描参数的设置如图4-15所示。第一百二十七页，共一百八十三页。扫描参数可以看出该软件可以对常用的网络以及系统的漏洞进行全面的扫描，选中几个复选框，点击按钮“确定”。下面需要确定要扫描主机的IP地址或者IP地址段，选择菜单栏设置下的菜单项“扫描参数”，扫描一台主机，在指定IP范围框中输入：09-09，如图4-16所示。第一百二十八页，共一百八十三页。漏洞扫描设置完毕后，进行漏洞扫描，点击工具栏上的图标“开始”，开始对目标主机进行扫描，如图4-17所示。第一百二十九页，共一百八十三页。网络监听网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Snifferpro就是一个完善的网络监听工具。监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。第一百三十页，共一百八十三页。监听软件防止监听的手段是：建设交换网络、使用加密技术和使用一次性口令技术。除了非常著名的监听软件SnifferPro以外，还有一些常用的监听软件：嗅探经典－－Iris密码监听工具－－WinSniffer密码监听工具－－pswmonitor和非交换环境局域网的fssniffer等等SnifferPro是一款非常著名监听的工具，但是SnifferPro不能有效的提取有效的信息。第一百三十一页，共一百八十三页。监听工具-WinSnifferWinSniffer专门用来截取局域网内的密码，比如登录FTP，登录Email等的密码。主界面如图4-19所示。第一百三十二页，共一百八十三页。设置只要做简单的设置就可以进行密码抓取了，点击工具栏图标“Adapter”，设置网卡，这里设置为本机的物理网卡就可以，如图4-20所示。第一百三十三页，共一百八十三页。抓取密码这样就可以抓取密码了，使用DOS命令行连接远程的FTP服务，如图4-21所示。第一百三十四页，共一百八十三页。会话过程打开WinSniffer，看到刚才的会话过程已经被记录下来了，显示了会话的一些基本信息，如图4-22所示。第一百三十五页，共一百八十三页。监听工具-pswmonitor监听器pswmonitor用于监听基于WEB的邮箱密码、POP3收信密码和FTP登录密码等等，只需在一台电脑上运行，就可以监听局域网内任意一台电脑登录的用户名和密码，并将密码显示、保存，或发送到用户指定的邮箱，主界面如图4-23所示。第一百三十六页，共一百八十三页。监听工具-pswmonitor该工具软件功能比较强大，可以监听的一个网段所有的用户名和密码，而且还可以指定发送的邮箱，设置的界面如图4-24所示。第一百三十七页，共一百八十三页。

7．电子邮件攻击电子邮件攻击指通过发送电子邮件进行的网络攻击。有两种形式：一是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定符串）或在貌似正常的附件中加载病毒或其他木马程序。第一百三十八页，共一百八十三页。8．网页攻击8．网页攻击网页攻击指一些恶意网页利用软件或系统操作平台等的安全等的安全漏洞，通过执行嵌入在网页HTML超文本标记语言内的JavaApplet小应用程序、Javascript脚本语言程序、ActiveX软件部件交互技术支持可自动执行的代码程序，强行修改用户操作系统的注册表及系统实用配置程序，从而达到非法控制系统资源、破坏数据、格式化硬盘、感染木马程序目的。常见的网页攻击现象有IE标题栏被修改、IE默认首页被修改并且锁定设置项、IE右键菜单被修改或禁用、系统启动直接开启IE并打开莫名其妙的网页、将网址添加到桌面和开始菜单，删除后开机又恢复、禁止使用注册表编辑器、在系统时间前面加上网页广告、更改“我的电脑”下的系统文件夹名称、禁止“关闭系统”、禁止“运行”，禁止DOS、隐藏C盘令C盘从系统中“消失”等。第一百三十九页，共一百八十三页。2.6.3攻击五部曲一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲”1、隐藏IP2、踩点扫描3、获得系统或管理员权限4、种植后门5、在网络中隐身第一百四十页，共一百八十三页。1、隐藏IP这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找上门的时候就一切都晚了。通常有两种方法实现自己IP的隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。第二种方式是做多极跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。第一百四十一页，共一百八十三页。2、踩点扫描踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。第一百四十二页，共一百八十三页。3、获得系统或管理员权限得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：通过系统漏洞获得系统权限通过管理漏洞获得管理员权限通过软件漏洞得到系统权限通过监听获得敏感信息进一步获得相应权限通过弱口令获得远程管理员的用户密码通过穷举法获得远程管理员的用户密码通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权通过欺骗获得权限以及其他有效的方法。第一百四十三页，共一百八十三页。4、种植后门为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。第一百四十四页，共一百八十三页。5、在网络中隐身一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。在入侵完毕后需要清除登录日志已经其他相关的日志。第一百四十五页，共一百八十三页。2.6.3黑客攻击步骤1．溢出攻击法攻击步骤（1）测试溢出点具体溢出点（也就是可以放置攻击代码的临界点，如果放置错了哪怕一个位置，都不可能被系统执行，这种放在内存里的汇编和用开发工具写原程序对格式的要求，位置的要求都是极高的）。

（2）构造攻击代码第一是代码格式和规范必须与受攻击系统的相关汇编指令完全一致，第二是代码结束要干净，比如中断进程，如果结束不干净，又和原来系统的代码搅在一起，执行过程就可能会偏离攻击者的意图。

（3）进行控制和入侵如果相关攻击代码加载了后门，开辟了专门的shell，那么攻击者就可以方便的进出该系统，实现更方便的控制。第一百四十六页，共一百八十三页。缓冲区溢出攻击目前最流行的一种攻击技术就是缓冲区溢出攻击。当目标操作系统收到了超过了它的最大能接收的信息量的时候，将发生缓冲区溢出。这些多余的数据将使程序的缓冲区溢出，然后覆盖了实际的程序数据，缓冲区溢出使目标系统的程序被修改，经过这种修改的结果使在系统上产生一个后门。这项攻击对技术要求比较高，但是攻击的过程却非常简单。缓冲区溢出原理很简单，比如程序：第一百四十七页，共一百八十三页。缓冲区溢出攻击voidfunction(char*szPara1){ charbuff[16];