《计算机网络》课件第6章

6.1网络安全概述6.2密码技术6.3防火墙技术6.4WindowsServer2008的安全保护及模型*6.5常见的黑客工具及攻击方法*6.6黑客攻击的一般步骤和实例*6.7网络病毒与防治6.8本章小结练习题第6章计算机网络的安全性

6.1网络安全概述

6.1.1计算机网络的设计缺陷

计算机网络的设计缺陷包括两方面的内容：

(1)物理结构的设计缺陷。局域网采用广播式网络结构，所有主机发送的信息可以被同一个网络中的其他主机监听；广域网和Internet上的中继设备(如路由器)可以监听所有网络之间转发的信息。

(2)网络系统的漏洞、协议的缺陷与后门。一些网络协议(如TCP/IP协议)在实现上力求实效，而没有考虑安全因素。网络操作系统过于庞大，存在致命的安全漏洞。有时网络公司为了某些目的，在系统中设有安全后门，也造成了网络安全隐患。

1．物理网络结构易被窃听

1)广播式网络的安全问题

当今大多数局域网采用以太网方式，以太网上的所有设备都连在以太网总线上，它们共享同一个通信通道。以太网采用的是广播式通信，如图6-1所示，广播式通信网络的特点是在通信子网中只有一个公共通信信道，为所有节点共享使用，任一时刻只允许一个节点使用公用信道。图6-1广播式网络易被监听

2)点 - 点网络的安全问题

Internet和大部分广域网采用点 - 点方式通信，在这种网络中，任何一段物理链路都惟一连接一对节点，如果不在同一段物理链路的一对节点要通信，必须通过其他节点进行分组转发。进行分组转发的节点就可以窃听网间传送的数据，如图6-2所示。图6-2点 - 点式网络转节点上易被监听

2．TCT/IP网络协议的设计缺陷

下面是现存的TCP/IP协议的一些安全缺陷：

1)容易被窃听和欺骗

2)脆弱的TCP/IP服务

3)缺乏安全策略

4)配置的复杂性

6.1.2计算机网络安全性概念

计算机网络的重要功能是资源共享和通信。由于用户共处在同一个大环境中，因此信息的安全和保密问题也就十分重要，计算机网络上的用户对此也特别关注。

6.2密码技术

密码技术通过信息的变换或编码，将机密的敏感消息变换成黑客难以读懂的乱码型文字，以此达到两个目的：其一，使不知道如何解密的黑客不可能从其截获的乱码中得到任何有意义的信息；其二，使黑客不可能伪造任何乱码型的信息。

密码技术有五大基本要素：

(1)明文：信息的原始形式(Plaintext，通常记为P)。

(2)密文：明文经过变换加密后的形式(Ciphertext，通常记为C)。

(3)加密：由明文变成密文的过程称为加密(Enciphering，记为E)，加密通常由加密算法来实现的。

(4)解密：由密文还原成明文的过程称为解密(Deciphering，记为D)，解密通常由解密算法来实现的。

(5)密钥：为了有效地控制加密和解密算法实现，在其处理过程中要有通信双方掌握的专门信息参与，这种专门信息称为密钥(Key，记为K)。

一般的加密与解密模型如图6-3所示。图6-3加密-解密模型6.2.1密码技术的发展历程

人类有记载的通信密码始于公元前400多年，当时的古希腊人发明了置换密码。密码技术从其发展来看，可分为传统密码技术和现代密码技术。6.2.2传统的加密方法

传统的加密方法其密钥是由简单的字符串组成的，它可选择许多加密形式中的一种。只要有必要，就可经常改变密钥。因此，上述基本模型是稳定的，是人所共知的。它的好处就在于可以秘密而又方便地变换密钥，从而达到保密的目的，传统的加密方法可分为两大类：代换密码法和转换密码法。

1．代换密码法

在代换密码(SubstitutionCipher)中，为了伪装掩饰每一个字母或一组字母，通常都将字母用另一个字母或另一组字母代换。古老的恺撒密码术就是如此，它把a变成D，b变成E，c变为F……z变为C，即将明文的字母移位若干字母而形成密文。例如，attack变成DWWDFN。本例中只移3个字母，实际上移几位可由设计者来定。进一步改进的方法是：把明文的每一个字母一一映射到其他字母上。例如：

明文：abcdefghijklmnopqrstuvwxyz

密文：QWERTYUIOPASDFGHJKLZXCVBNM例如，COOKIEMONSTER。为把较长明文译成密码，可重复地把密钥写在明文上方，例如：

COOKIEMONSTERCOOKIEMQNSTERCOOKIEMONSTERCOOKIEMO

fourscoreandsevenyearsagoourmothersbroughtforth

2．转换密码方法

代换密码法的实质就是保持明文的次序，而把明文字符隐藏起来。转换密码法采用重新安排字母次序的方法，而不是隐藏它们。

下面举一个进行列转换的例子：明文：

pleasetransferonemilliondo11arstomyswissbankaccountsixtwotwo

密文：

AFLLSKSOSELAWAIATOOSSCTCLNMOMANT

ESILYNTWRNNTSOWDPAEDOBUOERIRICXB*6.2.3数据加密标准

1．概述

在传统的加密方法中，要求加密算法和密钥保密，这不利于在密码技术领域使用计算机，因为每个加密算法需要编写处理程序，并且该程序必须保密。为此提出了数据加密处理算法标准化的问题。

1972年和1974年美国国家标准局(NBS)先后两次向公众发出了征求加密算法的公告。对加密算法要求达到以下几点：

(1)必须提供高度的安全性。

(2)具有相当高的复杂性，使得破译的开销超过可能获得的利益，同时又便于理解和掌握。

(3)安全性应不依赖于算法的保密，其加密的安全性仅以加密密钥的保密为基础。

(4)必须适用于不同的用户和不同的场合。

(5)实现经济，运行有效。

(6)必须能够验证，允许出口。

20世纪末，随着差分密码分析及线性密码分析等技术的出现，破译DES成为可能。1997年，美国国家标准技术研究所(NITS)宣布举行了一个高级加密标准(AdvancedEncryptionStandard,AES)的竞赛，要求新参赛的加密算法具有以下功能：

(1)密钥大小可变，能支持128位、192位和256位密钥长度。

(2)能同时支持软件和硬件两种实现方式。

(3)是对称的加密算法。

2．数据加密标准DES

DES加密算法如图6-4所示，64位数据经初始变换后被置换。密钥被去掉其第8，16，24，……，64位后减至56位(去掉的那些位被视为奇偶校验位，不含密钥信息)，然后就开始各轮的运算。64位经过初始置换的数据被分为左、右两部分，56位密钥经过左移若干位和置换后取出48位密钥子集供不同的圈使用，用作加密的密钥比特子集记为K(1)，K(2)，…，K(16)。图6-4DES加密算法在每一轮迭代过程中，如图6-5所示，密钥子集中的一个子密钥K(i)与数据的右半部分相结合。为了将输入数据的右半部分32位数据与56位的密钥相结合，需要两个变换：图6-5DES加密原理一次迭代示意图

3．高级数据加密标准AES

AES每一次加密计算都包括以下4种操作：

(1)字节替换(ByteSub)：用一张称为“S盒”的固定表来执行字节到字节的替换。

(2)行移位置换(ShiftRow)：行与行之间进行简单的置换。

(3)列混淆替换(MixColumn)：列中每一个字节替换成该列所有字节的一个函数。

(4)轮密钥加(AddRoundKey)：用当前的数据块与扩充密钥的一部分进行运算。

图6-6演示了一次加密计算。图6-6Rijindael多次加密原理图*6.2.4公开密钥加密算法

1．公开密钥加密算法的特点

此算法需有以下三个条件：

(1) D(E(P)) = P。

(2)由E来推断D极其困难。

(3)用已选定的明文进行分析，不能破译E。现在考虑，A和B二者以前从未有过联系，而今要想在A和B之间建立保密信道。A所确定的加密密钥为PKA，B的加密密钥为PKB，并将PKA和PKB放在网络的公用可读文件内。现在A欲发报文P给B，首先算得EPKB(P)，并把它发送给B，然后B使用其解密密钥DSKB进行解密，计算得到DSKB(EPKB(P))=P,而没有其他人能读懂密文EPKB(P)。这种密码体制称为公开密钥密码体制，如图6-7所示。图6-7公开密钥密码体制

2．使用公开密钥加密算法进行数字签名

书信或文件是根据亲笔签名或印章来证明其真实性的。但在计算机网络中传送的文件又如何盖章呢?这就是数字签名所要解决的问题。数字签名必须保证以下三点：

(1)接收者能够核实发送者对报文的签名。

(2)发送者事后不能抵赖对报文的签名。

(3)接收者不能伪造对报文的签名。发送者A用其秘密解密密钥SKA对报文P进行运算，将结果DSKA(P)传送给接收者B。(读者可能要问：报文P还没有加密，怎么能够进行解密呢?其实“解密”仅仅是一个数学运算。发送者此时的运算并非想将报文X加密，而是为了进行数字签名)。B用已知的A的公开加密密钥得出EPKA(DSKA(P)) = P。因为除A外没有别人能具有A的解密密钥SKA，所以除A外没有别人能产生密文DSKA(P)。这样，B就相信报文P是A签名发送的。实现数字签名的过程如图6-8所示。图6-8数字签名的实现若A要抵赖曾发送报文给B，B可将P及DSKA(P)出示给第三者。第三者很容易用PKA去证实A确实发送P给B。反之，若B将P伪造成P‘，则B不能在第三者前出示DSKA(P’)。这样就证明B伪造了报文。可见实现数字签名也同时实现了对报文来源的鉴别。

上述过程仅对报文进行了签名。对报文P本身却未保密。因为截到密文DSKA(P)并知道发送者身份的任何人，通过查阅手册即可获得发送者的公开密钥PKA，因而能理解电文内容。若采用图6-9所示的方法，则可同时实现秘密通信和数字签名。图中SKA和SKB分别为A和B的秘密密钥，而PKA和PKB分别为A和B的公开密钥。图6-9具有保密性的数字签名*6.2.5报文鉴别

目前，大多使用报文摘要MD(MessageDigest)算法来进行报文鉴别。其主要原理如图6-10所示：

(1)发送方将待发送的可变长报文m经过MD算法运算得出固定长度的报文摘要H(m)；

(2)对H(m)加密生成密文EK(H(m))附加在报文m之后；

(3)接收端收到报文m和报文摘要密文EK(H(m))后，将报文摘要密文EK(H(m))解密还原成H(m)；

(4)同时在接收端将收到的报文m经过MD算法运算得出的报文摘要与H(m)比较，若不相同，则可断定收到的报文不是发送端产生的。图6-10报文鉴别原理要做到不可伪造，MD算法必须满足以下两个条件：

(1)任给一个报文摘要值x，若想找到一个报文y使得H(y)=x在计算上(不可计算是指从算法想得到结果，其时间代价之高是无法承受的)不可行；

(2)若想找到任意两个报文x和y，使得H(x)=H(y)在计算上不可行。6.2.6密钥管理与分配

假设有两个用户A和B都是KDC的注册用户，他们拥有与KDC通信的秘密密钥SKA-KDC和SKB-KDC，现在A想与B通过对称密钥加密算法通信，要求KDC分配这次通信的临时密钥，则KDC分配密钥的过程如图6-11所示。图6-11KDC分配一次对称密钥过程

6.3防 火 墙 技 术

6.3.1防火墙技术概述

1．防火墙的基本概念

如图6-12所示，在网络中，防火墙是一种用来加强网络之间访问控制的特殊网络互联设备。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查，来决定网络之间的通信是否被允许。其中被保护的网络称为内部网络，另一方则称为外部网络或公用网络。它能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。图6-12防火墙一个好的防火墙系统应具有三方面的特性：

(1)所有在内部网络和外部网络之间传输的数据必须通过防火墙。

(2)只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙。

(3)防火墙本身不受各种攻击的影响。

2.防火墙的基本准则

1)过滤不安全服务

2)过滤非法用户和访问特殊站点

3．防火墙的分类

目前，根据防火墙在ISO/OSI模型中的逻辑位置和网络中的物理位置及其所具备的功能，可以将其分为两大类，基本型防火墙和复合型防火墙。基本型防火墙有包过滤路由器和应用型防火墙。复合防火墙将以上两种基本型防火墙结合使用，主要包括主机屏蔽防火墙和子网屏蔽防火墙。下面对这四种常见的防火墙进行论述。

1)包过滤路由器(PacketFilters)

2)应用型防火墙(ApplicationGateway)

3)主机屏蔽防火墙(ScreenedHostFirewall)

4)子网屏蔽防火墙(ScreenedSubactFirewall)

4．防火墙的安全标准

防火墙技术发展很快，但是现在标准尚不健全，导致各大防火墙产品供应商生产的防火墙产品兼容性差，给不同厂商防火墙产品的互连带来了困难。为了解决这个问题，目前已提出了两个标准：

(1)RSA数据安全公司与一些防火墙生产厂商(如SunMicrosystem公司、Checkpoint公司、TIS公司等)以及一些TCP/IP协议开发商(如FTP公司等)提出了Secure/WAN(S/WAN)标准。它能使在IP层上由支持数据加密技术的不同厂家生产的防火墙和TCP/IP协议具有互操作性，从而解决了建立虚拟专用网(VPN)的一个主要障碍。

此标准包含两个部分：

·防火墙中采用的信息加密技术一致，即加密算法、安全协议一致，使得遵循此标准生产的防火墙产品能够实现无缝互连，但又不失去加密功能；

·安全控制策略的规范性、逻辑上的正确合理性，避免了由于各大防火墙厂商推出的防火墙产品在安全策略上的漏洞而对整个内部保护网络产生的危害。

(2)美国国家计算机安全协会NCSA(NationalComputerSecurityAssociation)成立的防火墙开发商FWPD(FirewallProductDeveloper)联盟制订的防火墙测试标准。

5．防火墙的发展趋势

考虑到Internet发展的迅猛势头和防火墙产品的更新步伐，要全面展望防火墙技术的发展几乎是不可能的。但是，从产品及功能上却又可以看出一些动向和趋势，防火墙产品下一步的走向和选择如下：

(1)防火墙将从目前对子网或内部网管理的方式向远程上网集中管理的方式发展。

(2)过滤深度不断加强，从目前的地址、服务过滤，发展到URL(页面)过滤，关键字过滤和对ActiveX、Java等的过滤，并逐渐具有病毒扫除功能。

(3)利用防火墙建立专用网(VPN是较长一段时间内用户使用的主流)，IP加密需求越来越强，安全协议的开发是一大热点。

(4)单向防火墙(又叫网络二极管)将作为一种产品门类而出现。

(5)对网络攻击的检测和各地告警将成为防火墙的重要功能。

(6)安全管理工具不断完善，特别是可疑活动的日志分析工具等将成为防火墙产品中的一部分。6.3.2深度检测防火墙

深度检测防火墙深入分析了TCP或UDP数据包的内容，以便对负载有一个总体认识。新的深度检测技术仍在不断出现，以实现不同的深度检测功能。高级深度检测技术一般具有以下四个方面的特征：

(1)应用层加密/解密。

(2)正常化。

(3)协议一致性。

(4)双向负载检测。6.4WindowsServer2008的安全保护及模型

6.4.1WindowsServer2008系统安全模型

1.WindowsServer2008的用户登录管理

WindowsServer2008要求每个用户使用惟一的用户名和口令登录到计算机上，这种登录过程不能关闭。在没有用户登录时，可以看到屏幕上显示一个对话框，提示用户登录WindowsServer2008系统。实际上，WindowsServer2008系统中有一个登录进程，它保存在\WINNT\

SYSTEM32\Winlogon.exe文件中。当用户开始登录时，按下Ctrl + Alt + Del键，系统启动登录进程执行Winlogon.exe文件，弹出登录对话框(如图6-13所示)，要求用户输入用户名及口令。按下Ctrl + Alt + Del键时，系统保证弹出的登录对话框是系统本身的，而不是一个貌似登录对话框的应用程序，以防止被非法窃取用户名及口令。图6-13WindowsServer2008的登录窗口存取标识中的主要内容有：

(1)用户名以及SID。

(2)用户所属的组及组SID。

(3)用户对系统所具有的权力。

2.WindowsServer2008的资源访问控制机制

根据需要选择的存取控制，使资源拥有者可以控制网络用户存取他们的资源以及能存取的权限。通过对程序控制列表(ACL)的控制，能确定授予用户和组的存取权限。系统资源包括系统本身、文件、目录和打印机等网络共享资源以及其他对象。6.4.2WindowsServer2008安全漏洞

没有绝对安全且没有漏洞的操作系统，WindowsServer2008系统也是一样。尽管WindowsServer2008系统的安全性能已经很好了，但这并不意味着其自身已经没有任何安全漏洞。这里举几个带来严重问题的安全漏洞：

(1)虚拟内存漏洞。

(2)系统日志漏洞。

(3)应用程序漏洞。

(4)系统转存漏洞。

(5)网络发现漏洞。

(6)特权账号漏洞。6.4.3WindowsServer2008的安全管理

1．组策略

2．网络策略和访问服务

3．网络访问保护

4．带高级安全的Windows防火墙

*6.5常见的黑客工具及攻击方法

6.5.1网络监听

网络监听是黑客在局域网或路由器上进行的一项黑客技术，可以很容易地获得用户的密码和账号。

网络监听原本是网络管理员使用的一个工具，主要用来监视网络的流量、状态、数据等信息。它对网络上流经自己网段的所有数据进行接收，从中发现用户的有用信息。

1．什么是以太网Sniffing

以太网Sniffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。如果发现符合条件的包，就把它存到一个log文件中去。通常设置的这些条件是包含字“username”或“password”的包。它的目的是将网络层放到Promiscuous模式。Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听，而不仅仅侦听自己的数据。

2.怎样在网络上发现一个Sniffer

网络监听采用被动的方式，它不与其他主机交换信息，也不修改密码，这就使对监听者的追踪变得十分困难，因为他们根本没有留下任何痕迹。一个主要的办法是看看计算机上当前正在运行的所有程序，这通常并不可靠，但用户能控制哪个程序可以在计算机上运行。

3．怎样防止Sniffer

要防止Sniffer并不困难，有许多可以选用的方法，但关键是需要增加开销。用户最关心的是一些比较敏感的数据的安全，如用户ID或口令等。有些数据是没有经过处理的，一旦被Sniffer，对方就能获得这些信息。解决这些问题的办法是加密。加密一般采用SSH，SSH又称SecureShell，是一个在应用程序中提供安全通信的协议。它是建立在客户机/服务器模型上。SSH服务器分配的端口是22。连接是通过使用一种来自RSA的算法建立的。在授权完成后，接下来的通信数据是用IDEA技术来加密的，加密功能较强，适合于任何非秘密和非经典的通信。6.5.2端口扫描

在OSI/RM模型的传输层上，计算机通过端口进行通信和提供服务，一个端口就是一个潜在的通信通道，也就是一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息。进行扫描的方法很多，可以手工扫描，也可以用端口扫描软件进行。

1．Ping命令

Ping命令经常用来对TCP/IP网络进行诊断。通过目标计算机发送一个数据包，让它将这个数据包反送回来。如果返回的数据包和发送的数据包一致，那就是说Ping命令成功了。通过这样对返回的数据进行分析，就能判断计算机是否开机，或者这个数据包从发送到返回需要多少时间。Ping命令的基本格式：

pinghostname

其中，hostname是目标计算机的地址。Ping命令还有许多高级使用，下面就是一个例子：

C:>ping-fhostname这条命令给目标机器发送了大量的数据，从而使目标计算机忙于回应。在Windows计算机上，可使用下面的方法：

C:\windows\ping-l65510

这样做了之后，目标计算机有可能会挂起或重新启动。由于使用-l65510选项会产生一个巨大的数据包，同时要求对方的机器返回一个同样大小的数据包，因而会使目标计算机反应不过来。

2．Tracert命令

Tracert命令用来跟踪一个消息从一台计算机到另一台计算机所走的路径。在DOS窗口中，Tracert命令举例如下：

3．Host命令

Host是一个UNIX命令，它的功能和标准的nslookup查询一样。惟一的区别是Host命令比较容易理解。Host命令的危险性相当大，下面举实例演示一次对的Host查询。

host-l-v-tany该命令的执行结果所得到的信息很多，包括操作系统、机器和网络的数据。先看一下基本信息：这些信息本身并没有危险，只是一些机器和它们的DNS服务器的名字。这些信息可以用WHOIS或在注册域名的站点中检索到。但看看下面几行信息：

86400INHINFOSUN-SPARCSTATION-10/41UNIX

...............

ODIE.86400INHINFODEC-ALPHA-3000/300LXOSF1从这里，我们马上就发现一台DECAlpha运行的是OSF1操作系统。再看看：6.5.3口令破解

1．用户的登录口令认证机制

一般比较安全的计算机网络系统要求每个用户使用惟一的用户名和口令登录到计算机上，这种登录过程不能关闭。

2．口令破解的方法

黑客攻击网络时常常把破译普通用户的口令作为攻击的开始。他先用扫描工具如“Finger”协议找出网络中主机上的用户账号，然后采用字典穷举法生成大量的随机密码，一种方法是利用这些密码登录用户的系统，如果密码不对，就使用下一个随机密码，直到密码被查出为止；另外一种方法是利用系统的漏洞获取系统安全账户文件，采用口令破解器进行破解。

3．什么是口令破解器

口令破解器是一个程序，它能将口令解译出来，或者让口令保护失效。口令破解器一般并不是真正地去解码，因为事实上很多加密算法是不可逆的。也就是说，仅仅利用被加密的数据和加密算法，不可能反解出原来未加密的数据。其实大多数口令破解器是通过尝试一个一个的单词，用已知的加密算法来加密这些单词，直到发现一个单词经过加密后的结果和要解密的数据一样，就认为这个单词就是要找的密码了。

4．口令破解器是怎样工作的

要知道口令破解器是如何工作的，主要还是要知道加密算法。正如上面所说的，许多口令破解器是对某些单词进行加密，然后再比较。

5.注册码破解实例

破解WinZip6.3SR-1(32-bit)：

(1)在Windows95/98/2000环境下，先运行WinICE，然后运行WinZip，在WinZip中，选择“Agree”→“HELP”，选择AboutWinZip,按R，出现：

Username: 输入：WinterLee

Registercode: 输入：48319840(随机输入)

(2)使用Ctrl+D键切换到WinICE，设断点，输入：

BPXHMEMCPY，

按F5返回到WinZip中。

(3)按OK,立即被WinICE中断。

(4)取消断点,输入BD*。

(5)按F12键多次,按F8键跟踪进CALL004096EA中。

(6)按F10键多次,运行完CALL004098C3后,输入指令:

DAX

显示一个字符串:45260FF8。

(7)继续按F10键运行完CALL004099E6后,输入指令:

DAX

又显示一个字符串:49041381。

(8)怀疑上述两个字符串即为正确的注册码,重新输入:

Username:WinerLee

Registernumber:49041381

注册成功!用45260FF8同样成功。

6．防止口令的破解

前面讲过，口令破解的方法有两种：一种是使用字典穷举法利用随机密码登录用户的系统来查找密码，直到密码被查出为止；另外一种是利用系统的漏洞获取系统安全账号文件，采用口令破解器进行破解。在学习选择安全口令之前，我们根据黑客软件产生随机口令破解口令的工作原理，按照口令破译的难易程度，即以破解需要的时间为指标先后列出了各种危险口令：

(1)使用用户名(账号)作为口令。尽管这种方法便于记忆，可是在安全上几乎不堪一击。几乎所有以破解口令为手段的黑客软件，都首先会将用户名作为口令的突破口，而破解这种口令几乎不需要时间。不要以为没有人会采用这种愚蠢的办法，根据有经验的黑客反映，在一个用户数超过1000的计算机网络中，一般可以找到10至20个这样的用户，而他们则成为了黑客入侵的最佳途径。

(2)使用用户名(账号)的变换形式作为口令。使用这种方法的用户自以为很聪明，将用户名颠倒或者加前后缀作为口令，既容易记忆也可以防止许多黑客软件。不错，这种方法的确使相当一部分黑客软件无用武之地，不过那只是一些初级的软件。一个真正优秀的黑客软件是完全有办法对付的，比如，若用户名是Yuan，那么优秀的黑客软件在尝试使用Yuan作为口令之后，还会试着使用诸如Yuan123、Yuan1、Nyuaf、Nauy、Nauy123等作为口令，只要是用户能想到的变换方法，黑客软件也会想到，它破解这种口令只需要几秒钟的时间。

(3)使用自己或者亲友的生日作为口令。这种口令有着很大的欺骗性，因为这样往往可以得到一个6位或者8位的口令，从数学理论上来说分别有1000000和100000000种可能，很难得到破解。其实，由于口令中表示月份的两位数字只有1～12可以使用，表示日期的两位数字也只有l～31可以使用，而8位数的口令其中作为年份的4位数铁定是19xx年，经过这样推理，使用生日作为口令尽管有6位甚至8位，但实际上可能的表达方式只有100 × 12 × 31 = 37200种，即使再考虑到年月日共有6种排列顺序，一共也只有37200 × 6=223200种，仅仅是原来100000000的1/448，而一台普通的P200计算机每秒可以搜索三、四万种排序，仅仅需要5.58秒就可以搜索完所有可能的口令。

(4)使用常用的英文单词作为口令。这种方法比前几种方法要安全一些。前几种只需要时间就一定能破解，而这一种则未必。如果选用的单词是十分偏僻的，那么黑客软件就可能无能为力了。不过不要高兴得太早，黑客一般有一个很大的字典库，一般含10～20万的英文单词以及相应的组合，如果你不是研究英语的专家，那么你选择的英文单词恐怕十之八九可以在黑客的字典库中找到。如果是那样的话，以20万单词的字典库计算，再考虑到一些DES(数据加密算法)的加密运算，每秒1800个单词的搜索速度也不过只需要110秒。

(5)使用5位或5位以下的字符作为口令。从理论上来说，一个系统包括大小写字母、控制符等可以作为口令的一共有95个，5位就是955 = 7 737 809 375种可能性，使用P200破解口令虽说要多花些时间，最多也不过53个小时，如果考虑到许多用户喜欢使用字母加数字，那么就只有625 = 916 132 832种可能性，只需要6.23小时就可以破解，再考虑到还有更多的用户只喜欢使用小写字母加数字作为口令，那么就只有365 = 60 466 176种可能性，只需要25分钟就可以破解。可见5位的口令是很不可靠的，而6位口令也不过将破解的时间延长到一周左右。那么，什么样的口令才是安全的呢?选择安全口令的原则如下：

(1)必须是8位以上。

(2)必须包括大小写、数字、字母，如果有控制符则更好。

(3)不要太常见。例如，e8B3Z6v0或者fOOL6mAN这样的密码都是比较安全的。

(4)密码不应是自己的名字、名字的一部分或者名字 + 数字的形式。

(5)不要用自己的电话号码。

(6)不要用自己或者爱人的生日。

(7)不要用单个英文单词。

(8)不要使用身份证号码的一部分。

(9)不要用单词 + 数字的形式。

(10)不要将口令写下来。

(11)不要将口令存于计算机文件中。

(12)不要选取显而易见的信息作口令。

(13)不要在不同系统上使用同一口令。

(14)为防止眼明手快的人窃取口令，在输入口令时应确认无人在旁边。

(15)如果用户的计算机是WindowsServer2008操作系统，那么就应该做到：

·采用WindowsNTFS的文件管理系统；

·正确设置C：\Winnt\repair\的权限，务必使只有Administrators组的用户才能访问；

·取消普通用户访问注册表的权限。6.5.4特洛伊木马

1．什么是特洛伊木马

特洛伊木马是一个程序，它驻留在目标计算机里。当目标计算机系统启动时，特洛伊木马自动启动，然后在某一端口进行侦听。如果在该端口收到数据，则木马程序对这些数据进行识别，然后按识别后的命令在目标计算机上执行一些操作。如窃取口令、拷贝或删除文件、重新启动计算机等。

2．BackOrifice2000

1) BO2000的特征

BackOriffice采用典型的Client/Server结构，它的服务器在目标计算机上运行时，用户几乎感觉不到其存在。它的默认端口是31337(一个没有任何意义的数字)，几乎可以控制目标计算机的任何操作。它一共有三个程序，分别是：

(1) bo2k.exe：BO的服务端程序，在目标计算机上运行，在没有加入插件之前只有112KB，比BO1.2的122KB还要小，很容易夹在别的程序中。

(2) bokcfg.exe：BO的设置程序，可以设置服务程序的各个方面。

(3) bo2gui.exe：BO的客户端程序，给黑客用的界面。

2)删除BO2000的方法

明白了BO2000的原理和它在Windows系统中的位置后，手工删除BO2000也就不是一件难事了，用户只要按以下步骤操作即可。

(1)通过注册表删除。

首先用我们前面介绍的“regedit.exe”打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices。在此查找可疑项，默认为UMGR32.EXE。有时候BO2000的服务器名字是可以变化的，用户只有凭自己的经验去判断了。删除有两种方法，一种是直接删除，另一种是在“开始”中选择“运行”，启动msconfig，在启动项下禁用BO2000(即用户判断是BO2000的那个名字)，然后重启计算机，再到C：\Windows\system下删除该程序。

在WindowsServer2008中，用同样的方法到注册表中查看可疑服务然后删除该服务，或者再到\Winnt\system32中查找可疑程序并删除。

(2)利用BO2000客户端程序删除。

用户还可以使用BO2000客户端程序bo2kgui.exe来删除BO2000。首先用上面的方法找到\Winnt\system32(或\Windows\system)下的BO2000程序，用ultraedit32打开并查看BO2000所用端口及密码(都以明文形式存储在文件中)，然后用该端口密码与服务端程序连接，使用DELETE(删除)参数下达ShutdownServer命令，“删除”BO服务器(这时已删除注册表中内容)，重启动后再删除\Winnt\system32(或\Window\system)中的BO2000。

3．NetBus

NetBus是一个类似于BackOrifice的黑客软件，但NetBus的能力要强出很多。NetBus通过TCP/IP协议可以远程将应用程序指派到某一端口来运行。这就相当于可以远程运行目标机器上的cmd.exe，想想这是多么危险的事情！6.5.5电子邮件攻击

1．电子邮件攻击的特点

电子邮件的可实现性比较广泛，所以使网络面临着很大的安全风险，如恶意入侵者破坏系统文件，或者对端口25(缺省SMTP端口)进行SYN-Flood攻击。电子邮件攻击有很多种，主要表现为：

(1)窃取/篡改数据：通过监听数据包或者截取正在传输的信息，攻击者能够读取或者修改数据。

(2)伪造邮件：因为SMTP本身对发送方黑客伪造电子邮件，使他们看起来似乎发自某人/某地。

(3)拒绝服务：黑客使用户的系统或者网络充斥了大量的垃圾邮件而瘫痪。这些邮件信息塞满队列，占用宝贵的CPU资源和网络带宽，甚至让邮件服务器完全瘫痪。

(4)病毒：现代电子邮件已经使得传送文件附件更加容易。如果用户毫不提防地去执行文件附件，病毒就会感染其系统。

2．电子邮件攻击防范

要想保证电子邮件的安全，需要从邮件服务器和电子邮件信息安全两方面着手。

1)邮件服务器

用户收到的所有邮件都会经过邮件服务器。在用户收到病毒邮件、垃圾邮件或者受到其他网络攻击之前，把危险都拦截在邮件服务器上，这样可以极大地提高电子邮件的安全。

2)电子邮件消息的安全

除了在邮件服务器上保证邮件的安全，在邮件消息传输的过程中，安全性也极其重要。一些黑客会在邮件传输的过程中对邮件消息进行窃取、更改、攻击等。其中，保障电子邮件安全的一个有效手段就是采取加密技术，即将外发的消息变为一种非授权人员不可阅读的形式。

TurboMail基于先进的PKI-CA安全机制，采用标准的SMTP/SSL、POP3/SSL、S/MIME协议，满足企业、个人在Internet上安全收发电子邮件的需求，保证信息传递的安全。TurboMail邮件的加密安全性能特点：

·数据加密功能：对邮件进行高强度的加密和解密以实现数据的保密。

·抗抵赖功能：邮件的数字签名(鉴别)实现发件人认证并返回带数字签名的回执，实现收件人不可抵赖。

·防篡改功能：完整性校验功能防止信息传输过程中被篡改。

·访问控制功能：通过安全邮件代理和证书来实现用户强身份认证，给用户划分不同权限。

·规则检验功能：通过安全邮件代理对邮件进行过滤。

·日志和审计功能：通过分级日志系统来记录系统日志，并进行审计。

·证书管理功能：提供用户管理、更新联系人和证书功能，用RSA密钥算法，支持标准PKI-CA系统，支持国密办批准认可的加密算法。

·支持多种硬件密码平台：采用公开密钥和对称密钥相结合的密钥体系。6.5.6缓冲区溢出及其攻击

缓冲区是内存中存放数据的地方。在程序试图将数据放到计算机内存中的某一位置但没有足够空间时，会发生缓冲区溢出。*6.6黑客攻击的一般步骤和实例

1．收集目标计算机的信息

首先确认攻击目标，其主要任务是收集有关要攻击目标的有用信息。这些信息包括目标计算机的硬件信息、运行的操作系统信息、运行的应用程序(服务)的信息、目标计算机所在网络的信息、目标计算机的用户信息、存在的漏洞等。

2．寻找目标计算机的漏洞和选择合适的入侵方法

有两种方法入侵目标计算机：通过发现目标计算机的漏洞进入系统，或者是利用口令猜测进入系统。利用口令猜测就是试图重复登录，直至找到一个合法的登录口令。这种方法往往会消耗大量的时间，而且，每次登录无论是否成功都会在目标计算机上留下记录，会引起注意。

3．留下“后门”

在侵入目标计算机后留下后门的目的是为以后进入该系统提供方便。后门一般都是一个特洛伊木马程序，它在系统运行的同时运行，而且能在系统以后的重启动时自动运行这个程序。

4．清除入侵记录

删除入侵记录是把在入侵系统时的各种登录信息都删除。以防被目标系统的管理员发现。继续收集信息应该是入侵系统的目的。采取的手法很多，比如通过sniffer程序来收集目标系统网络的重要数据。还可以通过后门，即一个特洛伊木马程序收集信息，比如发送一个文件拷贝命令，把目标计算机上的有用文件拷贝过来。*6.7网络病毒与防治

6.7.1计算机病毒的工作原理

计算机病毒是指人工编制的用于破坏计算机功能或者毁坏数据、影响计算机使用并能自我复制的一组计算机指令或者程序代码。6.7.2病毒分类

病毒按传染方式分为引导型病毒、文件型病毒和混合型

病毒。6.7.3电脑病毒的新趋势

传统型病毒的特点之一是一定有一个“寄主”程序，病毒就隐藏在这些程序里。最常见的“寄主”程序就是一些可执行文件，如扩展名为.exe及.com的文件。但是由于微软的Word愈来愈流行，且Word所提供的宏命令功能又很强,使用Word宏命令写出来的病毒也愈来愈多，于是就出现了以.doc文件为“寄主”的宏病毒。6.7.4计算机病毒防范

一台计算机染上病毒之后，会有许多明显或不明显的特征。例如文件的长度和日期忽然改变，系统执行速度下降，出现一些奇怪的信息或无故死机，更为严重的是硬盘被格式化。反病毒软件常用以下6种技术来查找病毒。

(1)病毒码扫描法。

(2)加总对比法(Check-sum)。

(3)人工智能陷阱。

(4)软件模拟扫描法。

(5) VICE(VirusInstructionCodeEmulation)——先知扫描法。

(6)实时I/O扫描(RealtimeI/OScan)。6.7.5特洛伊木马——灰鸽子的防御与清除

灰鸽子是国内的一款著名后门软件，在合法情况下使用时，灰鸽子是一款优秀的远程控制软件，但如果用它做一些非法的事，灰鸽子就成了很强大的黑客工具。

灰鸽子木马分两部分：客户端和服务端。黑客利用客户端程序配置出服务端程序，包括上线类型(如等待连接还是主动连接)、主动连接时使用的公网IP(域名)、连接密码、使用的端口、启动项名称、服务名称、进程隐藏方式、使用的壳、代理、图标等。攻击者操纵着客户端，利用客户端配置生成一个服务端程序(如图6-14所示)。图6-14灰鸽子客户端程序服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。

服务端文件的名字默认为G_Server.exe，黑客通过各种渠道传播这个木马。传播木马的手段有很多，比如，可以建立一个个人网页，诱骗用户单击，利用IE漏洞把木马下载到用户的计算机上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载等。

G_Server.exe运行后将自己复制到Windows目录下(XP下为系统盘的Windows目录，2000/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到Windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择“SafeMode”或“安全模式”。然后按以下步骤清除：

(1)由于灰鸽子的文件本身具有隐藏属性，因此首先要设置Windows显示所有文件。打开“我的计算机”，选择菜单“工具”→“文件夹选项”，单击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后单击“确定”。