《物联网系统安全》 课件 第9章 网络层网络攻击与防范

第9章网络层网络攻击与防范第9章网络层网络攻击与防范

9.1网络层网络攻击与防范概述国际互联网或下一代网络（IPv6）是物联网网络层的核心载体。在物联网中，原来在国际互联网遇到的各种攻击问题依然存在，甚至更普遍，因此物联网需要有更完善的安全防护机制。不同的物联网终端设备的处理能力和网络能力差异较大，抵御网络攻击的防护能力也在很大的差别，传统的国际互联网安全方案难以满足需求，并且也很难通过通用的安全方案解决所有安全问题，必须针对物联网的具体需求制定不同的安全方案。物联网面临着原来的TCP/IP网络的所有安全问题，然而物联网又有其本身独有的特点。物联网安全问题的主要特点是海量，即存在海量的节点和海量的数据，因此对核心网的安全提出了更高的要求。第9章网络层网络攻击与防范

9.1网络层网络攻击与防范概述物联网所面临的常见的安全问题主要包括以下几个方面：1.DDoS攻击由于物联网需要接收海量的、采用集群方式连接的物联网终端节点的信息，很容易导致网络拥塞，因此物联网极易受到分布式拒绝服务攻击（DistributedDenialofService，DDoS），这也是物联网网络层遇到的最常见的攻击方式。因此，物联网必须解决的安全问题之一是如何对物联网脆弱节点受到的DDoS攻击进行防护。2.异构网络跨网认证由于在物联网网络层存在不同架构的网络需要互相连通的问题，因此物联网也面临异构网络跨网认证等安全问题。在异构网络传输中，需要解决密钥和认证机制的一致性和兼容性等问题，而且还需要具有抵御DoS攻击、中间人攻击、异步攻击、合谋攻击等恶意攻击的能力。第9章网络层网络攻击与防范

9.1网络层网络攻击与防范概述3.虚拟节点、虚拟路由信息攻击由于物联网中的某些节点可以自由漫游，与邻近节点通信的关系在不断改变，节点的加入和脱离也许比较频繁，这样就很难为节点建立信任关系，从而导致物联网无基础结构，且拓扑结构不断改变。因此入侵者可以通过虚拟节点、插入虚拟路由信息等方式对物联网发起攻击。物联网安全防护系统可以为物联网终端设备提供本地和网络应用的身份认证、网络过滤、访问控制、授权管理等安全服务。物联网的安全技术主要涉及网络加密技术、防火墙技术、隧道技术、网络虚拟化技术、黑客攻击与防范、网络病毒防护、入侵检测技术、网络安全扫描技术等。第9章网络层网络攻击与防范

9.2网络层防火墙技术9.2.1防火墙技术简介所谓防火墙（FireWall）指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。防火墙是一种保护计算机网络安全的技术性措施，它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络，以阻挡来自外部的网络入侵。防火墙技术，最初是针对互联网的不安全因素所采取的一种防御保护措施。顾名思义，防火墙就是用来阻挡网络外部不安全因素影响的网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机软件和硬件相互融合的技术，可使Internet与Internet之间建立起一个安全网关（SecurityGateway），从而保护内部网络免受非法用户的侵入。第9章网络层网络攻击与防范

9.2网络层防火墙技术9.2.1防火墙技术简介防火墙主要由服务访问政策、验证工具、包过滤和应用网关等4部分组成。防火墙是一个位于计算机和它所连接的网络之间的软件或硬件，流入或流出该计算机的所有网络通信数据都要经过防火墙的过滤。使用防火墙的好处有：保护脆弱的服务，控制对系统的访问，集中地进行安全管理，增强保密性，记录和统计网络利用数据以及非法使用数据情况。防火墙的设计通常有两种基本设计策略：第一，允许任何服务除非被明确禁止；第二，禁止任何服务除非被明确允许。一般采用第二种策略。第9章网络层网络攻击与防范

9.2.2防火墙的工作原理目前，防火墙技术已经发展成为一种成熟的保护计算机网络安全的技术。它是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。作为Internet网的安全性保护软件，防火墙已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立防火墙软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户，则可以通过设置使用防火墙过滤掉从该主机发出的数据包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在防火墙上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，就要不仅分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。防火墙一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。第9章网络层网络攻击与防范

9.2.3防火墙的分类从应用角度来分类，防火墙可以分为两大类，即网络防火墙和计算机防火墙。网络防火墙的系统结构如图9-1所示。图9-1网络防火墙的的系统结构第9章网络层网络攻击与防范

9.2.3防火墙的分类网络防火墙是指在外部网络和企业内部网络之间设置网络防火墙。这种防火墙又称筛选路由器。网络防火墙检测进入信息的协议、目的地址、端口（网络层）及被传输的信息形式（应用层）等，过滤并清除不符合规定的外来信息。网络防火墙也对用户内部网络向外部网络发出的信息进行检测。第9章网络层网络攻击与防范

9.2.3防火墙的分类计算机防火墙的系统结构如图9-2所示。计算机防火墙是指在外部网络和用户计算机之间设置防火墙。计算机防火墙也可以是用户计算机的一部分。计算机防火墙检测接口规程、传输协议、目的地址及/或被传输的信息结构等，将不符合规定的进入信息剔除。计算机防火墙对用户计算机输出的信息进行检查，并加上相应协议层的标志，用以将信息传送到接收用户计算机（或网络）中去。图9-2计算机防火墙的系统结构第9章网络层网络攻击与防范

9.2.3防火墙的分类从工作原理来分类，防火墙可以分为四大类：网络级防火墙（也称为包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，则要由企业的实际需求来确定。1.网络级防火墙网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。第9章网络层网络攻击与防范

9.2.3防火墙的分类2.应用级网关应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制，以防有价值的程序和数据被窃取。在实际工作中，应用网关一般由专用工作站系统来完成。但每一种协议需要相应的代理软件，使用时工作量大，效率不如网络级防火墙。应用级网关有较好的访问控制，是目前最安全的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用中，用户在受信任的网络上通过防火墙访问Internet时，经常会发现存在延迟并且必须进行多次登录（Login）才能访问Internet或Intranet。第9章网络层网络攻击与防范

9.2.3防火墙的分类3.电路级网关电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话（Session）是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能：代理服务器（ProxyServer）。代理服务器是设置在Internet防火墙网关的专用应用级代码。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过，一旦判断条件满足，防火墙内部网络的结构和运行状态便“暴露”在外来用户面前，这就引入了代理服务的概念，即防火墙内外计算机系统应用层的“链接”由两个终止于代理服务的“链接”来实现，这就成功地实现了防火墙内外计算机系统的隔离。同时，代理服务还可用于实施较强的数据流监控、过滤、记录和报告等功能。代理服务技术主要通过专用计算机硬件（如工作站）来承担。第9章网络层网络攻击与防范

9.2.3防火墙的分类4.规则检查防火墙规则检查防火墙综合了包过滤防火墙、电路级网关和应用级网关的优点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也如同电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然，它也如同应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。第9章网络层网络攻击与防范

9.2.4防火墙的功能防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。1.网络安全的屏障一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。第9章网络层网络攻击与防范

9.2.4防火墙的功能2.强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如密码、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密密码系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。3.监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。第9章网络层网络攻击与防范

9.2.4防火墙的功能4.防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。第9章网络层网络攻击与防范

9.2.4防火墙的功能5.数据包过滤网络上的数据都是以包为单位进行传输的，每一个数据包中都会包含一些特定的信息，如数据的源地址、目标地址、源端口号和目标端口号等。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的网络，并与预先设定的访问控制规则进行比较，进而确定是否需对数据包进行处理和操作。数据包过滤可以防止外部不合法用户对内部网络的访问，但由于不能检测数据包的具体内容，所以不能识别具有非法内容的数据包，无法实施对应用层协议的安全处理。6.网络IP地址转换网络IP地址转换是一种将私有IP地址转化为公网IP地址的技术，它被广泛应用于各种类型的网络和互联网的接人中。网络IP地址转换一方面可隐藏内部网络的真实IP地址，使内部网络免受黑客的直接攻击，另一方面由于内部网络使用了私有IP地址，从而有效解决了公网IP地址不足的问题。第9章网络层网络攻击与防范

9.2.4防火墙的功能7.虚拟专用网络虚拟专用网络将分布在不同地域上的局域网或计算机通过加密通信，虚拟出专用的传输通道，从而将它们从逻辑上连成一个整体，不仅省去了建设专用通信线路的费用，还有效地保证了网络通信的安全。8.日志记录与事件通知进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网络是否受到威胁的信息。第9章网络层网络攻击与防范

9.2.5防火墙技术的应用防火墙技术对物联网具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。在应用防火墙技术时，还应当注意以下两个方面：①防火墙是不能防御病毒的，尽管有不少的防火墙产品声称自己具有防病毒功能。②防火墙技术的另外一个缺点是在防火墙之间的数据难以更新，如果数据更新需要延迟太长的时间，将无法响应实时服务请求。此外，防火墙采用滤波技术，滤波通常会使网络的传输性能降低50%以上，如果为了改善网络性能而购置高速防火墙，又会大大增加网络设备的经费。第9章网络层网络攻击与防范

9.2.5防火墙技术的应用总之，防火墙技术是物联网安全的一种可行技术，它可以把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。第9章网络层网络攻击与防范

9.2.6防火墙的选购防火墙是目前使用最为广泛的网络安全产品之一，运营商在构建物联网应用系统时通应该采购防火墙作为网络安全的重要防护手段，在选购防火墙时应该注意以下几点：1.自身的安全性防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。第9章网络层网络攻击与防范

9.2.6防火墙的选购2.系统的稳定性目前，由于种种原因，有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，其稳定性可想而知。防火墙的稳定性可以通过几种方法判断：①从权威的测评认证机构获得。例如，可以通过与其他产品相比，考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明（书），来间接了解其稳定性。②实际调查，这是最有效的办法，要考察这种防火墙产品已经有多少实际使用单位、特别是用户们对于该防火墙的评价如何。③自己试用。在自己的网络上进行一段时间的试用（一个月左右）。④生产商的研发历史。一般来说，如果没有两年以上的开发经历，很难保证产品的稳定性。⑤

生产商的实力，如资金、技术开发人员、市场销售人员和技术支持人员多少等。第9章网络层网络攻击与防范

9.2.6防火墙的选购3.高效适用性高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性。如果由于使用防火墙而带来了网络性能较大幅度的下降，就意味着安全代价过高。一般来说，防火墙加载上百条规则，其性能下降不应超过5%（指包过滤防火墙）。4.可靠性可靠性对防火墙类访问控制设备来说尤为重要，直接影响受控网络的可用性。从系统设计上，提高可靠性的措施一般是提高本身部件的强健性、增大设计阙值和增加冗余部件，这要求有较高的生产标准和设计冗余度。第9章网络层网络攻击与防范

9.2.6防火墙的选购5.控制灵活对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的控制注意。例如对普通用户，只要对IP地址进行过滤即可：如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问。6.配置便利在网络入口和出口处安装新的网络设备是每个网管员的噩梦，因为这意味着必须修改几乎全部现有设备的配置。支持透明通信的防火墙，在安装时不需要对原网络配置作任何改动，所做的工作只相当于接一个网桥或HUB。第9章网络层网络攻击与防范

9.2.6防火墙的选购7.管理简便网络技术发展很快，各种安全事件不断出现，这就要求安全管理员经常调整网络安全注意，对于防火墙类访问控制设备，除安全控制注意的不断调整外，业务系统访问控制的调整也很频繁，这些都要求防火墙的管理在充分考忠安全需要的前提下，必须提供方便灵活的管理方式和方法，这通常体现为管理途径、管理工具和管理权限。8.拒绝服务攻击的抵抗能力在当前的网络攻击中，拒绝服务攻击是使用频率最高的方法。抵抗拒绝服务攻击应该是防火端的基本功能之一。目前有很多防火墙号称可以抵御拒绝服务政击，但严格地说，它应是可以降低拒绝服务攻击的危害而不是抵御这种攻击。在采购防火墙时，网管人员应该详细考察这一功能的真实性和有效性。第9章网络层网络攻击与防范

9.2.6防火墙的选购9.报文过滤能力防火墙过滤报文，需要一个针对用户身份而不是IP地址进行过滤的办法。目前常用的是一次性口令验证机制，保证用户在登录防火墙时，口令不会在网络上泄漏，这样，防火等就可以确认登录上来的用户确实和他所声称的一致。10.可扩展性用户的网络不是一成不变的，和防病毒产品类似，防火墙也必须不断地进行升级，此时支持软件升级就很重要了。如果不支持软件升级的话，为了抵御新的攻击手段，用户就必须进行硬件上的更换，而在更换期间网络是不设防的，同时用户也要为此花费更多的钱。第9章网络层网络攻击与防范

9.3网络虚拟化技术9.3.1网络虚拟化技术概述网络虚拟化一般指虚拟专用网络（VirtualPrivateNetwork，VPN）。VPN对网络连接的概念进行了抽象，允许用户远程地访问企业或组织的内部网络，就像物理上连接到该网络一样。网络虚拟化可以帮助保护IT环境，防止来自Internet的威胁，同时使用户能够快速地、安全地访问企业内部的应用程序和数据。虚拟专用网络是通过公用网络（通常是国际互联网）建立的临时的、安全的特殊网络，是一条穿过公用网络的、安全的、稳定的加密隧道。使用这条隧道可以对数据进行加密，以达到安全使用互联网的目的。第9章网络层网络攻击与防范

9.3网络虚拟化技术9.3.1网络虚拟化技术概述虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。虚拟专用网络的结构如图9-3所示。图9-3虚拟专用网络的结构第9章网络层网络攻击与防范

9.3网络虚拟化技术9.3.1网络虚拟化技术概述在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户无法访问，造成通讯上的困难。采用VPN方案，通过使用一台VPN服务器既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联，但是并不能对流向敏感网络的数据进行限制。使用VPN服务器，但是企业网络管理人员通过使用VPN服务器，指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外，可以对所有VPN数据进行加密，从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。第9章网络层网络攻击与防范

9.3网络虚拟化技术9.3.1网络虚拟化技术概述

虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用广域网建立的连接。虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。使用VPN技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。第9章网络层网络攻击与防范

9.3网络虚拟化技术9.3.1网络虚拟化技术概述在选择VPN技术时，一定要考虑到管理上的要求。一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备（目录服务器）中，以便于管理人员和应用程序对信息进行添加，修改和查询。每一台接入或隧道服务器都应当能够维护自己的内部数据库，存储每一个用户的帐户信息，包括用户名、密码以及拨号接入的属性等。但是，这种由多台服务器维护多个用户帐户的做法，很难实现及时的同步更新，这给管理带来很大的困难。因此，大多数的网络管理员采用在目录服务器、主域控制器或RADIUS服务器上，建立一个主帐号数据库的方法，来进行统一的、有效的管理。第9章网络层网络攻击与防范

9.3.2虚拟专用网络的连接方式通常可以采用以下两种方式来实现远程企业内部网络的连接。1.使用专线连接分支机构和企业局域网专线方式不需要使用价格昂贵的长距离专用电路，分支机构和企业端的路由器可以使用各自本地的专用线路，通过本地的ISP连通Internet。通过VPN软件与本地ISP建立连接的方式，在Internet与分支机构和企业端的路由器之间建立一个虚拟专用网络。2.使用拨打本地ISP号码的方式连接分支机构和企业内部网区别于传统的连接分支机构路由器的拨打长途电话的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立起的连接，在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。值得注意的是，在上述两种方式中，是通过使用本地设备在分支机构和企业部门与Internet之间建立连接。无论是在客户端还是服务器端，都是通过拨打本地接入电话建立连接，因此VPN可以大大节省连接的费用。建议将VPN服务器的企业端路由器以专线方式连接本地ISP。VPN服务器必须一天24小时对VPN数据流进行监听。第9章网络层网络攻击与防范

9.3.3VPN系统的安全需求

一般来说，企业在选用一种远程网络互联方案时，都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏。因此，一个成熟的VPN系统应当能够同时满足以下几个方面的安全需求：1.身份认证VPN系统必须能够认证用户的身份，并且严格控制只有授权用户才能访问VPN。此外，方案还必须能够提供审计和记费功能，能够追踪到什么人、在什么时候访问了VPN。2.地址管理VPN系统必须能够为用户分配专用网络上的地址并确保地址的安全性。第9章网络层网络攻击与防范

9.3.3VPN系统的安全需求

3.数据加密对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。4.密钥管理VPN系统必须能够生成并更新客户端和服务器的加密密钥。5.多协议支持VPN系统必须支持公共互联网络上普遍使用的基本协议，包括IP、IPX协议等。以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础的VPN方案，既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的Internet互联网络的优势。其它方案，包括安全IP协议（IPSec)，虽然不能满足上述全部要求，但是仍然适用于在特定的环境。以下将主要集中讨论有关VPN的概念、协议和部件（Component）。第9章网络层网络攻击与防范

9.3.4隧道技术隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据桢（此字不正确）或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。隧道所使用的传输网络可以是任何类型的公共互联网络，本节主要以目前广泛使用Internet为例进行说明。此外，在企业网络同样可以创建隧道。隧道技术在经过一段时间的研究、发展和完善之后，已经逐渐成熟。第9章网络层网络攻击与防范

9.3.4隧道技术常用的隧道技术主要包括：1.IP网络上的SNA隧道技术当系统网络结构（SystemNetworkArchitecture，SNA）的数据流通过企业IP网络传送时，SNA数据桢将被封装在UDP和IP协议包头中。2.IP网络上的NovellNetWareIPX隧道技术当一个IPX数据包被发送到NetWare服务器或IPX路由器时，服务器或路由器用UDP和IP包头封装IPX数据包后通过IP网络发送。另一端的IP-TO-IPX路由器在去除UDP和IP包头之后，把数据包转发到IPX目的地。3.点对点隧道协议（PPTP）PPTP协议允许对IP，IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共互联网络发送。第9章网络层网络攻击与防范

9.3.4隧道技术常用的隧道技术主要包括：4.第2层隧道协议（L2TP）L2TP协议允许对IP，IPX或NetBEUI数据流进行加密，然后通过支持点对点数据报传递的任意网络发送，如IP、X.25、帧中继或ATM。5.安全IP（IPSec）隧道模式IPSec隧道模式允许对IP负载数据进行加密，然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。第9章网络层网络攻击与防范

9.3.5隧道协议分析为了创建隧道，隧道的客户机和服务器双方都必须遵守相同的隧道协议。隧道技术可以分别以第2层或第3层隧道协议为基础。上述分层按照开放系统互联（OSI）的参考模型划分。第2层隧道协议对应OSI模型中的数据链路层，使用桢作为数据交换单位。PPTP，L2TP和L2F（第2层转发）都属于第2层隧道协议，都是将数据封装在点对点协议（PPP）桢中通过互联网络发送。第3层隧道协议对应OSI模型中的网络层，使用包作为数据交换单位。IPoverIP以及IPSec隧道模式都属于第3层隧道协议，都是将IP包封装在附加的IP包头中通过IP网络传送的。对于象PPTP和L2TP这样的第2层隧道协议，创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数。绝大多数情况下，通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为管理隧道的机制。第9章网络层网络攻击与防范

9.3.5隧道协议分析第3层隧道技术通常假定所有配置问题已经通过手工过程完成。这些协议不对隧道进行维护。与第3层隧道协议不同，第2层隧道协议（PPTP和L2TP）必须包括对隧道的创建，维护和终止。隧道客户端和服务器使用隧道数据传输协议传输数据。隧道一旦建立，数据就可以通过隧道传输。当隧道客户端向服务器端发送数据时，客户端首先给负载数据加上一个隧道数据传送协议包头，然后把封装好的数据通过互联网络发送，并由互联网络将数据转发到隧道的服务器端。隧道的服务器端收到数据包之后，会删除隧道数据传输协议包头，然后将负载数据转发到目标网络。第9章网络层网络攻击与防范

9.3.5隧道协议分析1.第2层隧道协议的特点

第2层隧道协议（PPTP和L2TP）以完善的PPP协议为基础，它继承了PPP协议的特性。①用户验证第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前，隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。②令牌卡（TokenCard）支持通过使用扩展验证协议（EAP），第2层隧道协议能够支持多种验证方法，包括一次性密码（one-timepassword)，加密计算器（cryptographiccalculator）和智能卡等。第3层隧道协议也支持使用类似的方法，例如，IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书验证。第9章网络层网络攻击与防范

9.3.5隧道协议分析1.第2层隧道协议的特点

③动态地址分配第2层隧道协议支持在网络控制协议（NCP）协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分配。目前IPSec隧道模式下的地址分配方案仍在开发之中。④数据压缩第2层隧道协议支持基于PPP的数据压缩方式。例如，微软的PPTP和L2TP方案使用微软点对点加密协议（MPPE）。IETP正在开发应用于第3层隧道协议的类似数据压缩机制。⑤数据加密第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法，例如，IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。第9章网络层网络攻击与防范

9.3.5隧道协议分析1.第2层隧道协议的特点

⑥密钥管理作为第2层协议的MPPE依靠验证用户时生成的密钥，定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥，同样对其进行定期更新。⑦多协议支持第2层隧道协议支持多种负载数据协议，从而使隧道客户能够访问使用IP，IPX，或NetBEUI等多种协议企业网络。相反，第3层隧道协议，如IPSec隧道模式只能支持使用IP协议的目标网络。

一旦完成了协商，PPP就开始在连接对等双方之间转发数据。每个被传送的数据报都被封装在PPP包头内，该包头将会在到达接收方之后被去除。如果在阶段1选择使用数据压缩并且在阶段4完成了协商，数据将会在被传送之间进行压缩。类似地，如果已经选择使用数据加密并完成了协商，数据（或被压缩数据）将会在传送之前进行加密。第9章网络层网络攻击与防范

9.3.5隧道协议分析2.点对点隧道协议点对点隧道协议（PPTP）是一个第2层的协议，将PPP数据桢封装在IP数据报内通过IP网络，如Internet传送。PPTP还可用于专用局域网络之间的连接。RFC草案“点对点隧道协议”对PPTP协议进行了说明和介绍。该草案由PPTP论坛的成员公司，包括微软，Ascend，3Com，和ECI等公司在1996年6月提交至IETF。PPTP使用一个TCP连接对隧道进行维护，使用通用路由封装（GRE）技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。第9章网络层网络攻击与防范

9.3.5隧道协议分析3.第2层转发协议第2层转发协议（L2F）是Cisco公司提出的一种隧道技术。作为一种传输协议，L2F支持拨号接入服务器将拨号数据流封装在PPP帧内，并通过广域网链路传送到L2F服务器（路由器）。L2F服务器把数据包解压后，重新转发到网络。与PPTP和L2TP不同，L2F没有确定的客户端。应当注意，L2F隧道技术仅仅在强制隧道中有效。4.第2层隧道协议（L2TP）第2层隧道协议综合了PPTP和L2F协议的优点。设计者希望L2TP能够综合PPTP和L2F的优势。L2TP是一种网络层协议，支持封装的PPP桢在IP，X.25，桢中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时，可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。IP网上的L2TP使用UDP和一系列的L2TP消息对隧道进行维护。L2TP同样使用UDP将L2TP协议封装的PPP桢通过隧道发送。可以对封装PPP桢中的负载数据进行加密或压缩。第9章网络层网络攻击与防范

9.3.5隧道协议分析PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管这两个协议非常相似，但是两者仍然存在以下区别：①PPTP要求互联网络为IP网络L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP）、帧中继永久虚拟电路（PVCs)、X.25虚拟电路（VCs）或ATMVCs网络上使用。②PPTP只能在两端点间建立单一隧道L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。③L2TP可以提供包头压缩当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节。④隧道验证L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSec共同使用时，可以由IPSec提供隧道验证，不需要在第2层协议上验证隧道。第9章网络层网络攻击与防范

9.3.6IPSec隧道技术6.IPSec协议IPSec协议是一种工作在网络层的网络协议，支持IP网络上数据的安全传输。除了对IP数据流的加密机制进行了规定之外，IPSec协议还定义了IPoverIP隧道模式的数据包格式，一般被称作IPSec隧道模式。一个IPSec隧道由一个隧道客户和隧道服务器组成，两端都配置使用IPSec隧道技术，采用协商加密机制。为实现在专用或公共IP网络上的安全传输，IPSec隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。隧道服务器对收到的数据报进行处理，在去除明文IP包头，对内容进行解密之后，获得最初的负载IP包。负载IP包在经过正常处理之后被路由到位于目标网络的目的地。第9章网络层网络攻击与防范

9.3.6IPSec隧道技术IPSec隧道模式具有以下特点：①只能支持IP数据流②工作在IP栈（IPStack）的底层，因此，应用程序和高层协议可以继承IPSec的行为。③由一个安全策略（一整套过滤机制）进行控制。安全策略按照优先级的先后顺序创建可供使用的加密和隧道机制以及验证方式。当需要建立通讯时，双方机器执行相互验证，然后协商使用何种加密方式。此后的所有数据流都将使用双方协商的加密机制进行加密，然后封装在隧道包头内。IPSec隧道技术是一种由国际互联网工程任务组（InternetEngineeringTaskForce，IETF）定义的、端到端的、确保基于IP通讯的数据安全性的机制。IPSec支持对数据加密，同时确保数据的完整性。按照IETF的规定，不采用数据加密时，IPSec使用验证包头（AH）提供验证来源验证（SourceAuthentication)，确保数据的完整性；IPSec使用封装安全负载（ESP）与加密一道提供来源验证，确保数据完整性。IPSec协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自发送方，并且在传输过程中没有受到破坏。第9章网络层网络攻击与防范

9.3.6IPSec隧道技术我们可以把IPSec协议理解为位于TCP/IP协议栈的下层协议。该层由每台机器上的安全策略和发送、接受方协商的安全关联（SecurityAssociation)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP地址、协议和端口号满足过滤机制，那么这个数据包将要遵守关联的安全行为。第一个满足过滤机制的数据包将会引发发送和接收方对安全关联进行协商。ISAKMP/OAKLEY是这种协商采用的标准协议。在一个ISAKMP/OAKLEY交换过程中，两台机器对验证和数据安全方式达成一致，进行相互验证，然后生成一个用于随后的数据加密的共享密钥。

第9章网络层网络攻击与防范

9.3.6IPSec隧道技术通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号，共同用来验证发送方身份，确保数据在传输过程中没有被改动，防止受到第三方的攻击。IPSec验证包头不提供数据加密；信息将以明文方式发送。为了保证数据的保密性并防止数据被第3方窃取，封装安全负载（ESP）提供了一种对IP负载进行加密的机制。另外，ESP还可以提供数据验证和数据完整性服务；因此在IPSec数据包中，可以用ESP包头替代AH包头。第9章网络层网络攻击与防范

9.4黑客攻击与防范9.4.1黑客攻击的基本概念黑客一般是指网络的非法入侵者，他们往往是优秀的程序员，具有计算机网络和物联网的软件及硬件的高级知识，并有能力通过一些特殊的方法剖析和攻击网络。黑客以破坏网络系统为目的，往往采用某些不正当的手段找出网络的漏洞，并利用网络漏洞破坏计算机网络或物联网，从而危害网络的安全。黑客技术，简单地说，是对计算机系统和网络的缺陷和漏洞的发现，以及针对这些缺陷实施攻击的技术。这里说的缺陷，包括软件缺陷、硬件缺陷、网络协议缺陷、管理缺陷和人为的失误。第9章网络层网络攻击与防范

9.4黑客攻击与防范9.4.1黑客攻击的基本概念最初，“黑客”一词由英语Hacker英译而来，是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生和成长。黑客对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。但目前黑客一词已被用于泛指那些专门利用计算机搞破坏或恶作剧的家伙，对这些人的正确英文叫法是Cracker,有人也翻译成“骇客”或是“入侵者”，也正是由于入侵者的出现玷污了黑客的声誉，使人们把黑客和入侵者混为一谈，黑客被人们认为是在网上到处搞破坏的人。黑客攻击的目的主要是为了窃取信息，获取口令，控制中间站点和获得超级用户权限，其中窃取信息是黑客最主要的目的。窃取信息不一定只是复制该信息，还包括对信息的更改、替换和删除，也包括把机密信息公开发布等行为。第9章网络层网络攻击与防范

9.4黑客攻击与防范9.4.1黑客攻击的基本概念简单地说，攻击就是指一切对计算机的非授权行为，攻击的全过程应该是由攻击者发起，攻击者应用一定的攻击方法和攻击策略，利用些攻击技术或工具，对目标信息系统进行非法访问，达到一定的攻击效果，并实现攻击者的预定目标。因此，凡是试图绕过系统的安全策略或是对系统进行渗透，以获取信息、修改信息甚至破坏目标网络或系统功能为目的的行为都可以称为黑客攻击。第9章网络层网络攻击与防范

9.4.2黑客常用的攻击方法1.窃取密码窃取密码是最常见的攻击方法之一。一般来说，黑客窃取密码会使用以下三种方法：①通过网络监听非法获得用户的密码，这类方法虽然有一定的局限性，但是危害性极大，监听者往往能够获得其所在网段的所有用户账号和密码，对局域网安全威胁巨大；②在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户密码，这种方法不受网段限制，但黑客要有足够的耐心和时间；③在首先获得一个服务器上的用户密码文件（Shadow文件）后，再用暴力破解程序破解用户密码，应用这种方法的前提条件是黑客要先获得密码的Shadow文件。在黑客窃取密码的这三种方法中，第三种方法的危害最大，因为它不需要像第二种方法那样，一遍又一遍地尝试登录服务器，而是在本地将加密后的密码与Shadow文件中的密码相比较，就可以非常容易地破获用户的密码，尤其对那些安全意识薄弱的用户。第9章网络层网络攻击与防范

9.4.2黑客常用的攻击方法1.窃取密码某些用户设置的密码安全系数极低，例如某个用户的帐号为zys，他将密码简单地设置为zys、zys123、123456等，因此，黑客仅仅需要花短短的几分钟，甚至几十秒内就可以猜出密码。第9章网络层网络攻击与防范

9.4.2黑客常用的攻击方法2.特洛伊木马程序特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它经常被伪装成工具软件或者游戏软件，诱使用户运行从网上下载的带有特洛伊木马程序的软件，或者打开带有特洛伊木马程序的电子邮件附件，一旦用户运行了特洛伊木马程序之后，它们就会象古代特洛伊人在敌人城外留下的藏匿了士兵的木马一样隐藏在用户的电脑中，并在用户的计算机系统中隐藏一个可以在Windows操作系统启动时悄悄执行的程序。当用户连接到互联网上时，这个程序就会通知黑客，并报告用户的IP地址以及预先设定的端口。黑客在收到这些信息后，利用这个潜伏在其中的木马程序，就可以任意地修改用户的计算机的参数设定、复制文件、窥视用户整个硬盘中的内容等，从而达到控制用户的计算机的目的。第9章网络层网络攻击与防范

9.4.2黑客常用的攻击方法3.www欺骗技术在互联网上，用户可以利用IE等网页浏览器访问各种各样的网站，如浏览新闻、查询产品价格、进行证券交易、电子商务等。然而，许多用户也许不会想到，这些常用的、简单的上网操作，存在着严重的安全隐患。例如，访问的网页已经被黑客篡改过，网页上的信息是虚假的！黑客很可能将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览这些网页的时候，实际上是向黑客服务器发送信息，那么黑客就可以轻易窃取用户的机密信息，如登录的帐号和密码等，从而达到欺骗的目的。第9章网络层网络攻击与防范

9.4.2黑客常用的攻击方法4.电子邮件攻击电子邮件攻击主要表现为两种方式：第一种方式是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪；第二种方式是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改密码（密码可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。某些单位的网络管理员有定期给用户免费发送防火墙升级程序的责任，这为黑客成功地利用该方法提供了可乘之机。第9章网络层网络攻击与防范

9.4.2黑客常用的攻击方法5.通过一个节点来攻击其他节点黑客在攻破一台主机后，往往以此主机作为根据地，继续攻击其他主机，从而隐蔽其入侵路径，避免留下蛛丝马迹。黑客往往使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于这种技术很难掌握，如IP欺骗，因此较少被黑客使用。第9章网络层网络攻击与防范

9.4.2黑客常用的攻击方法6.网络监听网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，就可以轻而易举地截取包括密码和帐号在内的信息资料。虽然网络监听获得的用户帐号和密码具有一定的局限性，但监听者往往能够获得其所在网段的所有用户帐号及密码。第9章网络层网络攻击与防范

9.4.2黑客常用的攻击方法7.寻找系统漏洞许多操作系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Windows中的共享目录密码验证漏洞和IE浏览网漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。

第9章网络层网络攻击与防范

9.4.2黑客常用的攻击方法8.利用帐号进行攻击有些黑客会利用操作系统的缺省账户和密码进行攻击，例如许多UNIX主机都有FTP和Guest等缺省账户（其密码和账户名同名），有的甚至没有密码。黑客用UNIX操作系统提供的命令如Finger和Ruser等收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无密码用户增加密码一般都能克服。第9章网络层网络攻击与防范

9.4.2黑客常用的攻击方法9.获取特权利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。第9章网络层网络攻击与防范

9.4.3黑客常用的攻击步骤黑客的攻击手段变幻莫测，但纵观其整个攻击过程，还是有一定规律可循的，通常可以分为攻击前奏、实施攻击、巩固控制、继续深入等四个步骤。1.攻击前奏黑客锁定目标、了解目标的网络结构，收集各种目标系统的信息等。网络上有许多主机，黑客首先要寻找他要攻击的网站，锁定目标的IP地址，黑客会利用域名和IP地址就可以顺利地找到目标主机。

确定要攻击的目标后，黑客就会设法了解其所在的网络结构，哪里是网关、路由，哪里有防火墙，哪些主机与要攻击的目标主机关系密切等，最简单地就是用tracert命令追踪路由，也可以发一些数据包看其是否能通过来猜测其防火墙过滤则的设定等。当然经验丰富的黑客在探测目标主机的信息的时候往往会利用其他计算机来间接的探测，从而隐藏他们真实的IP地址。第9章网络层网络攻击与防范

9.4.3黑客常用的攻击步骤1.攻击前奏在收集到目标的第一批网络信息之后，黑客会对网络上的每台主机进行全面的系统分析，以寻求该主机的安全漏洞或安全弱点。首先黑客要知道目标主机采用的是什么操作系统什么版本，如果目标开放telnet服务，那只要telnet

xx.xx.xx.xx.（目标主机），就会显示“digitalunlx(xx.xx.xx.xx)(ttypl)login：”这样的系统信息。收集系统信息当然少不了安全扫描器，黑客往往会利用安全扫描器来帮他们发现系统的各种漏洞，包括各种系统服务漏洞，应用软件漏洞，弱密码用户等。接着黑客还会检查其开放端口进行服务分析，看是否有能被利用的服务。因特网上的主机大部分都开放www、mail、ftp、telnet等日常网络服务，通常情况下telnet服务的端口是23等，www服务的端口是80，ftp服务的端口是23。利用信息服务，像snmp服务、traceroute程序、whois服务可用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节，traceroute程序能够用该程序获得到达目标主机所要经过的网络数和路由器数，whois协议服务能提供所有有关的dns域和相关的管理参数，finger协议可以用finger服务来获取一个指一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他们有没有读邮件等等)。所以如果没有特殊的需要，管理员应该关闭这些服务。

第9章网络层网络攻击与防范

9.4.3黑客常用的攻击步骤2.实施攻击当黑客收集到了足够的目标主机的信息，对系统的安全弱点有一定的了解后就会发起攻击。当然，黑客们会根据不同的网络结构、不同的系统情况而采用的不同的攻击手段。黑客攻击的最终目的是能够控制目标系统，窃取其中的机密文件等。但是，黑客的攻击未必能够得逞，达到控制目标主机的目的。因此，有时黑客也会发动拒绝服务攻击之类的干扰攻击，使系统不能正常工作，甚至瘫痪。第9章网络层网络攻击与防范

9.4.3黑客常用的攻击步骤3.巩固控制黑客利用种种手段进入目标主机系统并获得控制权之后，未必会立即进行破坏活动，删除数据、涂改网页等，这是黑客新手的行为。一般来说，入侵成功后，黑客为了能长期地的保留和巩固他对系统的控制权，不被管理员发现，他会做两件事：清除记录和留下后门。日志往往会记录上一些黑攻击的蛛丝马迹，黑客当然不会留下这些“犯罪证据”，他会把它删了或用假日志覆盖它，为了日后面以不被觉察地再次进入系统，黑客会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程操纵程序。第9章网络层网络攻击与防范

9.4.3黑客常用的攻击步骤4.继续深入使用清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后，攻击者通常就会采取下一步的行动，窃取主机上的各种敏感信息：如客户名单和通讯录、财务报表、信用卡帐号和密码、用户的相片等，也可能是什么都不动，只是把用户的系统作为他存放黑客程序或资料的仓库，也可能黑客会利用这台已经攻陷的主机去继续他下一步的攻击，如：继续入侵内部网络，或者利用这台主机发动DoS攻击使网络瘫痪。

网络世界瞬息万变，黑客们各有不同，他们的攻击流程也不会完全相同，以上提到的攻击步骤是对概括而言的，是绝大部分黑客一般情况下采用的攻击步骤。第9章网络层网络攻击与防范

9.4.4防范黑客攻击的对策黑客对服务器进行扫描是轻而易举的，一旦让黑客找到了服务器存在的漏洞，则其后果是非常严重的。因此，作为网络管理员应该采取必要的技术手段，防范黑客对服务器进行攻击。以下介绍针对黑客各种不同的攻击行为，网络管理员可以采取的防御对策。

1.屏蔽可疑的IP地址这种方法见效最快，一旦网络管理员发现了可疑的IP地址，可以通过防火墙屏蔽相应的IP地址，这样黑客就无法在连接到服务器上了。但是这种方法有很多缺点，例如很多黑客都使用的动态IP，也就是说他们的IP地址会变化，一个地址被屏蔽，只要更换其他IP仍然可以进攻服务器，而且某些黑客有可能伪造IP地址，使屏蔽IP地址无法奏效。2.过滤信息包网络管理员可以通过编写防火墙规则，让系统知道什么样的信息包允许进入、什么样的信息包应该放弃，如此一来，当黑客发送有攻击性信息包的时候，当经过防火墙时，信息包就会被丢弃掉，从而防止了黑客的攻击。但是这种做法仍然有不足之处，例如黑客可以修改攻击性代码的方式，使防火墙分辨不出信息包的真假；或者黑客干脆无休止的、大量地发送信息包，直到服务器不堪重负而造成系统崩溃。第9章网络层网络攻击与防范

9.4.4防范黑客攻击的对策3.修改系统协议对于漏洞扫描，网络管理员可以修改服务器的相应协议来进行防御。例如，漏洞扫描是根据对文件扫描的返回值来判断文件是否存在的。在正常情况下，如果返回值是200，则表示服务器存在这个文件；如果返回值是404，则表明服务器上没有这个的文件。假如网络管理员修改了返回文件返回值，那么黑客就无法通过漏洞扫描检测文件是否存在了。

4.修补安全漏洞任何一个版本的操作系统发布之后，在短时间内都不会受到攻击，一旦其中的问题暴露出来，黑客就会蜂拥而致。因此管理员在维护系统的时候，可以经常浏览著名的安全站点，找到系统的新版本或者补丁程序进行安装，这样就可以保证系统中的安全漏洞在没有被黑客发现之前，就已经修补上了，从而保证了服务器的安全。第9章网络层网络攻击与防范

9.4.4防范黑客攻击的对策5.及时备份重要数据亡羊补牢，尤未为晚。如果及时做好了数据备份，即便系统遭到黑客进攻，也可以在短时间内修复，挽回不必要的经济损失。许多大型网站，都会在每天晚上对系统数据库进行备份，在次日清晨，无论系统是否收到攻击，都会重新恢复数据，保证每天系统中的数据库都不会出现损坏。备份的数据库文件最好存放到其他电脑的硬盘或者磁带上，这样黑客进入服务器之后，破坏的数据只是一部分，因为无法找到数据的备份，对于服务器的损失也不会太严重。

一旦受到黑客攻击，网络管理员不要仅仅设法恢复损坏的数据，还要及时分析黑客的来源和攻击方法，尽快修补被黑客利用的漏洞，然后检查系统中是否被黑客安装了木马、蠕虫或者被黑客开放了某些管理员账号，尽量将黑客留下的各种蛛丝马迹和后门分析清除、清除干净，防止黑客的下一次攻击。第9章网络层网络攻击与防范

9.4.4防范黑客攻击的对策6.使用加密机制传输数据对于个人信用卡、密码等重要数据，在客户端与服务器之间的传送，应该事先经过加密处理才进行发送，这样做的目的是防止黑客监听、截获。对于现在网络上流行的各种加密机制，都已经出现了不同的破解方法，因此在加密的选择上应该寻找破解困难的，例如DES加密方法，这是一套没有逆向破解的加密算法，因此黑客的到了这种加密处理后的文件时，只能采取暴力破解法。个人用户只要选择了一个优秀的密码，那么黑客的破解工作将会在无休止的尝试后终止。7.安装安全软件网络管理员应在服务器安装必要的安全软件，杀毒软件和防火墙都是必不可少的。在连接网络之前，事先运行这些安全软件，即使遭遇黑客的攻击，物联网系统也具有较强的防御能力。第9章网络层网络攻击与防范

9.5网络病毒的防护9.5.1网络病毒的概念网络病毒（NetworkVirus）是编制者在计算机程序中插入的破坏计算机网络功能或者数据的代码，能影响计算机网络的使用，能自我复制的一组计算机指令或者程序代码。网络病毒具有传染性、繁殖性、潜伏性、隐蔽性、可触发性和破坏性等特征。网络病毒的生命周期包括：开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期。网络病毒是一个程序，或一段可执行的代码。就像生物病毒一样，具有自我繁殖、互相传染以及激活再生等生物病毒特征。网络病毒有独特的复制能力，它们能够通过计算机网络快速蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上，当文件被复制或通过网络从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。第9章网络层网络攻击与防范

9.5网络病毒的防护9.5.1网络病毒的概念网络病毒与医学上的“病毒”不同，网络病毒不是天然存在的，而是程序员利用计算机网络软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能潜伏在计算机的存储介质（或程序）里，条件满足时即被激活，通过修改其他程序的方法将病毒代码的精确拷贝或者可能演化的形式放入其他程序中。从而感染其他计算机程序，对计算机资源进行破坏。因此，网络病毒是人为编写的恶意程序，对其他网络用户的危害性极大。第9章网络层网络攻击与防范

9.5.2网络病毒的特征1.传染性网络病毒传染性是指网络病毒通过修改别的程序将自身的复制品或其变体传染到其它无毒的对象上，这些对象可以是一个程序也可以是系统中的某一个部件。2.繁殖性网络病毒可以像生物病毒一样进行繁殖，当正常程序运行时，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为网络病毒的首要条件。3.潜伏性网络病毒潜伏性是指网络病毒可以依附于其它媒体寄生的能力，侵入后的病毒潜伏到条件成熟才发作，会使电脑变慢。第9章网络层网络攻击与防范

9.5.2网络病毒的特征4.隐蔽性网络病毒具有很强的隐蔽性，可以通过病毒软件检查出来少数，隐蔽性网络病毒时隐时现、变化无常，这类病毒处理起来非常困难。5.可触发性编制网络病毒的人，一般都为病毒程序设定了一些触发条件，例如，系统时钟到达某个特定的日期，或者系统运行了某个特定的程序等。一旦触发条件满足，网络病毒就会“发作”，对系统进行破坏。6.破坏性网络病毒发作时，会对计算机的软件或硬件进行破坏。例如，可能会导致正常的程序无法运行，也可能把计算机内的重要文件删除或篡改，甚至可能会破坏硬盘中的引导扇区、破坏BIOS，使计算机无法正常工作。第9章网络层网络攻击与防范

9.5.3网络病毒的分类网络病毒种类繁多而且复杂，按照不同的方式以及网络病毒的特点及特性，可以有多种不同的分类方法。同时，根据不同的分类方法，同一种网络病毒也可以属于不同的网络病毒种类。1.根据网络病毒寄存的媒体来分类根据网络病毒寄存的媒体来分类，可分为网络病毒、文件病毒和引导型病毒三类。①网络病毒这类网络病毒通过计算机网络传播，感染网络中的可执行文件。②文件病毒这类病毒感染计算机系统中的文件（如：COM，EXE，DOC等）。③引导型病毒引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）。此外，还有以上三种病毒的混合型病毒，例如：多型病毒（文件和引导型）同时感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。第9章网络层网络攻击与防范

9.5.3网络病毒的分类2.根据病毒传染渠道来分类根据病毒传染渠道来划分，可以分为驻留型病毒和非驻留型病毒两类。①驻留型病毒驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，它处于激活状态，一直到关机或重新启动。②非驻留型病毒一些非驻留型病毒在得到机会激活时并不感染计算机内存；还有一些非驻留型病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。第9章网络层网络攻击与防范

9.5.3网络病毒的分类3.根据病毒的破坏能力来分类根据病毒的破坏能力来分类，可以分为无害型病毒、无危险型病毒、危险型病毒和非常危险型病毒。①无害型病毒无害型病毒除了传染时减少磁盘的可用空间外，对系统没有其它影响。②无危险型病毒这类病毒仅仅是减少内存、显示图像、发出声音及同类影响。③危险型病毒这类病毒在计算机系统操作中造成严重的错误。④非常危险型病毒这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。第9章网络层网络攻击与防范

9.5.3网络病毒的分类4.根据网络病毒所使用的算法来分类根据网络病毒所使用的算法来划分，可以分为伴随型病毒、“蠕虫”型病毒、寄生型病毒、练习型病毒、诡秘型病毒和变型病毒等类型。①伴随型病毒这类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY-COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。②“蠕虫”型病毒这类病毒通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算机将自身的病毒通过网络发送。有时它们也会在系统中存在，一般来说，除了内存以外，“蠕虫”型病毒不占用其它资源。③寄生型病毒除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同还可细分为以下几类。第9章网络层网络攻击与防范

9.5.3网络病毒的分类4.根据网络病毒所使用的算法来分类④练习型病毒练习型病毒自身包含错误代码，不能进行很好的传播，例如一些病毒在调试阶段。⑤诡秘型病毒诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等对DOS内部进行修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。⑥变型病毒变型病毒又称为幽灵病毒，这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的做法是一段混有无关指令的解码算法和被变化过的病毒体组成。第9章网络层网络攻击与防范

9.5.4网络病毒的检测网络病毒的检测通常分为手工检测和自动检测两种方法。1.手工检测手工检测是指通过一些软件工具（如DEBUG.COM、PCTOOLS）等提供的功能进行病毒的检测。手工检测方法比较复杂，需要检测者熟悉计算机工作原理、汇编语言、机器指令和操作系统，因而无法普及。它的基本过程是利用一些工具软件，对易遭病毒攻击和修改的内存及磁盘的有关部分进行检查，通过与在正常情况下的状态进行对比分析，判断是否被病毒感染，用这种方法检测病毒，费时、费力，但可以剖析新病毒，检测识别未知病毒，可以检测一些自动检测工具不能识别的新病毒。第9章网络层网络攻击与防范

9.5.4网络病毒的检测2.自动检测自动检测是指通过一些网络病毒诊断软件来识别一个计算机系统或一个U盘是否含有病毒的方法。自动检测相对比较简单，一般用户都可以进行，但需要有较好的网络病毒诊断软件。这种方法可以方便地检测大量的病毒，但是自动检测工具只能识别已知病毒，而且检测工具的发展总是滞后于病毒的发展，所以检测工具对未知病毒不能识别。两种方法比较而言，手工检测方法操作难度大、技术复杂，它需要操作人员有一定的软件分析经验以及对操作系统有一定深入的了解。自动检测方法操作简单，使用方便，适合于一般的物联网用户学习使用。但是，由于网络病毒的种类较多，程序复杂，再加上不断地出现病毒的变种，所以自动检测方法不可