计算机网络安全基础课件 第7章 网络站点的安全

THEBASISOFCOMPUTERNETWORKSECURITY第7章网络站点的安全计算机网络安全基础1第7章网络站点的安全习近平总书记在党的二十大报告中指出“国家安全是民族复兴的根基，社会稳定是国家强盛的前提。必须坚定不移贯彻总体国家安全观，把维护国家安全贯穿党和国家工作各方面全过程，确保国家安全和社会稳定。”Web站点的安全关系到整个互联网的安全。最主要的不安全因素是黑客入侵，黑客使用专用工具，采取各种入侵手段攻击网络。本章从互联网的安全、Web站点的安全入手，介绍口令安全、无线网络安全的基本概念，分析网络监听、网络扫描的原理，以及针对IP电子欺骗采取的应对措施。2第7章网络站点的安全●互联网的安全 ●Web站点安全●口令安全 ●无线网络安全●网络监听 ●扫描器●E-mail的安全 ●IP电子欺骗3（第7章）7.1互联网的安全47.1互联网的安全51.互联网服务的安全隐患（1）电子邮件。一个安全问题是邮件的溢出，即无休止的邮件耗尽用户的存储空间。而邮件系统，可以发送包含程序的电子邮件，这种程序如果在管理不严格的情况下运行能产生“特洛伊木马”。（2）文件传输（FTP）。匿名FTP正确的配置将严重威胁系统的安全。因此需要保证使用它的人不会申请系统上其它的区域或文件，也不能对系统做任意的修改。（3）远程登录（Telnet）。Telnet是比较安全的，它需要用户认证。但Telnet送出的所有信息是不加密的，很容易被黑客攻击。现在Telnet被认为是从远程系统访问时最危险的服务。7.1互联网的安全6（4）用户新闻。用户新闻或新闻组是互联网上的公告牌，提供了多对多的通信。网络新闻传输协议NNTP是互联网上转换新闻的协议。很多站点建立了预定的本地新闻组以便于本地用户间进行讨论。这些新闻组往往包含秘密的、有价值的或者是敏感的信息。（5）万维网（WWW）。WWW是建立在HTTP上的全球信息库，它是互联网上HTTP服务器的集合。搜索Web文件的工具是浏览器，浏览器比FTP服务器更容易转换和执行，但也给恶意的侵入创造了机会。浏览器一般只能理解基本的数据格式如HTML、JPEG和GIF格式。对其它的数据格式，浏览器要通过外部程序来实现。要注意哪些外部程序是默认的，不能允许那些危险的外部程序进入站点。用户不要随便的增加外部程序，随便修改外部程序的配置。7.1互联网的安全72.互联网的脆弱性互联网会受到严重的与安全有关的问题的损害。忽视这些问题的站点将面临被攻击的危险，也可能给闯入者提供了攻击其它网络的基地。（1）认证环节薄弱性。许多事故的起源是因为使用了薄弱的、静态的口令。互联网上的口令可以通过许多方法破译，其中最常用的两种方法是把加密的口令解密和通过监视信道窃取口令。一些TCP或UDP服务只能对主机地址进行认证，而不能对指定的用户进行认证。（2）系统易被监视性。当用户使用Telnet或FTP连接到远程主机上的账户时，在互联网上传输的口令是没有加密的。那么入侵系统的一个方法就是通过监视携带用户名和口令的IP包获取，然后使用这些用户名和口令通过正常渠道登录到系统。7.1互联网的安全83．易被欺骗性主机的IP地址被假定为是可用的，TCP和UDP服务相信这个地址，攻击者的主机就可以冒充一个被信任的主机或客户。①攻击者使用被信任的客户的IP地址取代自己的地址。②攻击者构造一条要攻击的服务器和其主机间的直接路径，把被信任的客户作为通向服务器路径的最后节点。③攻击者用这条路径向服务器发出客户申请。④服务器接收客户申请，就好像是从可信任客户直接发出的一样，然后返回响应。⑤可信任客户使用这条路径将数据包传送给攻击者的主机。7.1互联网的安全94．有缺陷的局域网服务一些系统出于方便用户并加强系统和设备共享的目的，允许主机们互相“信任”。如果一个系统被侵入或欺骗，那么对于闯入者来说，获取那些信任它的访问权就很简单了。5．复杂的设备和控制对主机系统的访问控制配置通常很复杂而且难以验证其正确性。因此，偶然的配置错误会使闯入者获取访问权。许多互联网上的安全事故的部分起因是由那些被闯入者发现的弱点造成的。6．主机的安全性无法估计主机系统的安全性无法估计，随着每个站点的主机数量的增加，确保每台主机的安全性都处于高水平的能力却在下降。（第7章）7.2Web站点安全107.2Web站点安全11万维网简称Web。它的基本结构是采用开放式的客户/服务器结构，分成服务器端、客户接收机及通信协议3个部分。（1）服务器。服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。Web服务器的作用是管理驻留在服务器上的软件，按用户的要求返回信息。（2）客户机。客户机系统称为Web浏览器，用于向服务器发送资源索取请求，并将接收到的信息进行解码和显示。Web浏览器是客户端软件，它从Web服务器上下载和获取文件，翻译下载文件中的HTML代码，进行格式化，根据HTML中的内容在屏幕上显示信息。（3）通信协议。Web浏览器与服务器之间遵循HTTP进行通信传输。HTTP是分布式的Web应用的核心技术协议，它定义了Web浏览器向Web服务器发送Web页面请求的格式，以及Web页面在互联网上的传输方式。Web安全体系的建立12Web的安全体系结构主要包括以下几个方面：（1）客户端软件（既Web浏览器软件）的安全；（2）运行浏览器的计算机设备及其操作系统的安全（主机系统安全）；（3）客户端的局域网；（4）互联网；（5）服务器端的局域网；（6）运行服务器的计算机设备及操作系统的安全（主机系统的安全）；（7）服务器上的Web服务器软件。Web安全体系的建立131．主机系统的安全需求网络的攻击者通常通过主机的访问来获取主机的访问权限，一旦攻击者突破了这个机制，就可以完成任意的操作。对某个计算机，通常是通过口令认证机制来实现登录计算机系统。所以，确保主机系统的认证机制，严密地设置及管理访问口令，是主机系统抵御威胁的有力保障。2．Web服务器的安全需求不同的Web网站有不同的安全需求。建立Web网站是为了更好地提供信息和服务，在一定程度上Web站点是其拥有者的代言人，为了满足Web服务器的安全需求，维护拥有者的形象和声誉，必须对各类用户访问Web资源的权限作严格管理；维持Web服务的可用性，采取积极主动的预防、检测措施，防止他人破坏，造成设备、操作系统停运或服务瘫痪；确保Web服务器不被用作跳板来进一步侵入内部网络和其他网，使内部网免遭破坏。Web服务器设备和软件安全14Web服务器的硬件设备和相关软件的安全性是建立安全的Web站点的坚实基础。人们在选择Web服务器主机设备和相关软件时，除了考虑价格、功能、性能和容量等因素外，还要考虑安全因素，因为有些服务器用于提供某些网络服务时存在安全漏洞。挑选Web服务器技术通常要在一系列有冲突的需求之间做出折中的选择，要同时考虑建立网站典型的功能需求和安全要求。对于Web服务器，最基本的性能要求是响应时间和吞吐量。响应时间通常以服务器在单位时间内最多允许的链接数来衡量，吞吐量则以单位时间内服务器传输到网络上的字节数来计算。Web服务器设备和软件安全151．配置Web服务器的安全特性①认真配置服务器，使用它的访问和安全特性。②可将Web服务器当作无权的用户运行。③应检查驱动器和共享的权限，将系统设为只读状态。④可将敏感文件放在基本系统中，再设定二级系统，所有的敏感数据都不向互联网开放。⑤充分考虑最糟糕的情况后，配置自己的系统，即使黑客完全控制了系统，他还要面对一堵“高墙”。⑥最重要的是检查HTTP服务器使用的Applet脚本，尤其是那些与客户交互作用的CGI脚本。防止外部用户执行内部指令。Web服务器设备和软件安全162．排除站点中的安全漏洞①物理的漏洞由未授权人员访问引起，由于他们能浏览那些不被允许的地方。一个很好的例子就是安置在公共场所的浏览器，它使得用户不仅能浏览Web，而且可以改变浏览器的配置并取得站点信息。②软件漏洞是由“错误授权”的应用程序引起，如daemons，它会执行不应执行的功能。不要轻易相信脚本和Applet。使用时，应确信能掌握它们的功能。③不兼容问题漏洞是由不良系统集成引起。一个硬件或软件运行时可能工作良好，一旦和其他设备集成后，就可能会出现问题。这类问题很难确认，所以对每一个部件在集成进入系统之前，都必须进行测试。④缺乏安全策略。必须有一个包含所有安全必备（如覆盖阻止等）的安全策略。建立安全的Web网站171．配置主机操作系统（1）仅仅提供必要的服务。已经安装完毕的操作系统都有一系列常用的服务，系统在默认的情况下自动启用这些服务，或提供简单易用的配置向导。这些配置简单的服务应用在方便管理员而且增强系统功能的同时，也埋下了安全隐患。（2）使用必要的辅助工具，简化主机的安全管理。启用系统的日志（系统账户日志和Web服务器日志）记录功能。监视并记录访问企图是主机安全的一个重要机制，以利于提高主机的一致性以及其数据保密性。

建立安全的Web网站182．合理配置Web服务器①在Unix操作系统中，以非特权用户而不是Root身份运行Web服务器。②设置Web服务器访问控制。通过IP地址控制、子网域名来控制，未被允许的IP地址、IP子网域发来的请求将被拒绝。③通过用户名和口令限制。只有当远程用户输入正确的用户名和口令的时候，访问才能被正确响应。④用公用密钥加密方法。对文件的访问请求和文件本身都将加密，以便只有预计的用户才能读取文件内容。建立安全的Web网站193．设置Web服务器有关目录的权限为了安全起见，管理员应对“文档根目录”（HTML文件存放的位置）和“服务器根目录”（日志文件和配置文件存放的位置）做严格的访问权限控制。①服务器根目录下存放日志文件、配置文件等敏感信息，它们对系统的安全至关重要，不能让用户随意读取或删改。②服务器根目录下存放CGI脚本程序，用户对这些程序有执行权限，恶意用户有可能利用其中的漏洞进行越权操作，例如，增、删、改。③服务器根目录下的某些文件需要由Root来写或者执行，如Web服务器需要Root来启动，如果其他用户对Web服务器的执行程序有写权限，则该用户可以用其他代码替换掉Web服务器的执行程序，当Root再次执行这个程序时，用户设定的代码将以Root身份运行。建立安全的Web网站204．网页高效编程（1）输入验证机制不足。 如果验证提供给特定脚本的输入有效性上存在不足，攻击者很有可能作为一个参数提交一个特殊字符和一个本地命令，让Web服务器在本地执行。如果程序盲目地接受来自Web页面的输入并用外壳命令传递它，就可能为试图攻入网络的黑客提供访问权。（2）不缜密的编程思路。网站设计考虑不周，常常会给Web站点留下后患。（3）客户端执行代码乱用。新兴的动态编程技术允许把代码转移到客户端执行，以缓解服务器的压力。Java脚本就能完成这一目的，它可以使Web页面更加生动，同时提高更多的控制。但在已发现的漏洞中，覆盖面也很广，如发送电子邮件、查看历史文件记录表、跟踪用户在线情况以及上传客户的文件，这样很容易泄露用户的个人隐私。建立安全的Web网站215．安全管理Web服务器Web服务器的日常管理、维护工作包括Web服务器的内容更新，日志文件的审计，安装一些新的工具、软件，更改服务器配置，对Web进行安全检查等。主要注意以下几点。①以安全的方式更新Web服务器（尽量在服务器本地操作）。②经常审查有关日志记录。③进行必要的数据备份。④定期对Web服务器进行安全检查。⑤冷静处理意外事件。Web网站的安全管理22①建立安全的Web网站。全盘考虑Web服务器的安全设计和实施。②对Web系统进行安全评估。权衡考虑各类安全资源的价值和对它们实施保护所需要的费用。③制定安全策略的基本原则和管理规定。安全策略的基本原则和管理规定是指各类资源的基本安全要求以及为了达到这种安全要求应该实施的事项。安全管理是由个人或组织针对为了达到特定的安全水平而制定的一整套要求有关部门人员必须遵守的规则和违规罚则。④对员工的安全培训。对员工进行安全培训能增强员工主动学习安全知识的意识和能力。网站的安全政策必须被每一个工作人员所理解，这样才可能让每一个员工自觉遵守、维护它。（第7章）7.3口令安全237.3口令安全24口令，又称密码。由于口令具有简单易用、低成本、易实现等特性，已经成为当前应用最为广泛的身份认证方法之一，是各种信息系统安全的第一道防线。且绝大多数的账号系统甚至是智能终端都是使用口令作为唯一的访问控制的机制，一旦口令出现问题，如使用弱口令、没有防暴力破解机制等，将会造成账号内财产被窃、个人隐私泄露等损失，如果大量的智能终端被攻击者控制，将会引发了严重的安全问题。口令可以分为，静态口令、动态口令和认知口令。静态口令是用户自己或者系统创建的可以重复使用的口令；动态口令是由口令设备随机产生的，一般情况下动态口令只能使用一次；认知口令是使用基于事实或者给予选项的认知数据作为用户认证的基础。7.3口令安全25口令认证过程的威胁可以分为三类。第一类是针对用户和口令输入界面的威胁，称之为用户端威胁。第二类是从网络上发起和针对网络传输的威胁，称之为网络威胁。第三类是针对设备上存储的口令文件的威胁，称之为设备端威胁。（1）用户端威胁肩窥：指的是某人越过其他人的肩膀观察其按键动作或偷看计算机屏幕上显示的数据。社会工程：攻击者通过欺骗、诱导等社交手段来获取设备口令。猜测：攻击者通过已经掌握的关于设备、用户的信息来猜测设备的口令。使用设备默认口令或个人信息衍生的口令都容易遭受猜测攻击。7.3口令安全26（2）网络威胁嗅探：通过侦听网络流量来捕获用户向系统设备中的认证程序证发送的口令。重放攻击：攻击者复制认证过程的数据，并在其他时候重复使用这些数据来认证。暴力攻击：使用工具，通过组合许多可能的字符、数字和符号来循环反复的尝试登录设备。字典攻击：使用包含大量口令的字典文件与用户的口令进行比较，直至发现匹配的口令。（3）设备端威胁 彩虹表：攻击者事先制作一张包含所有口令和对应散列值的表，然后使用口令文件中的散列值反查这张表获得口令。离线破解：攻击者模拟口令认证的过程，针对口令文件通过分析或者穷举来找到口令。逆向固件：攻击者通过反编译设备固件中的口令认证部分来找出可绕过认证的漏洞或者硬编码口令。口令的破解271．口令破解方法①字典破解。是指通过破解者对管理员的了解，猜测其可能使用某些信息作为密码，例如其姓名、生日、电话号码等，同时结合对密码长度的猜测，利用工具来生成密码破解字典。如果相关信息设置准确，字典破解的成功率很高，并且其速度快。②暴力破解。是指对密码可能使用的字符和长度进行设定后（例如限定为所有英文字母和所有数字，长度不超过8），对所有可能的密码组合逐个实验。随着可能字符和可能长度的增加，存在的密码组合数量也会变得非常庞大，因此暴力破解往往需要花费很长的时间，尤其是在密码长度大于10，并且包含各种字符（英文字母、数字和标点符号）的情况下。口令的破解282.口令破解方式①离线破解。攻击者得到目标主机存放密码的文件后，就可以脱离目标主机，在其他计算机上通过口令破解程序穷举各种可能的口令，如果计算出的新密码与密码文件存放的密码相同，则口令已被破解。②在线破解。攻击者可以使用一个程序连接到目标主机，不断地尝试各种口令试图登录目标主机。目标主机系统中某些低等级的账号的口令往往容易被尝试成功，然后，攻击者使用其账号进入系统获取密码存放文件（Windows系统是SAM文件，Linux系统是passwd等文件），再使用离线破解方法破解高权限的口令，如管理员口令等。口令破解软件29L0phtCrack7是一款功能强大的密码恢复工具，可以用来检测Windows、Linux用户是否使用了不安全的密码，同样也是最好、最快的Windows和Linux管理员帐号密码破解工具。安全口令的设置30安全的口令是那些很难猜测的口令。难猜测的原因是因为同时有大小写字符，不仅有字符，还有数字、标点符号、控制字符和空格，另外，还要容易记忆，至少有7～8个字符长和容易输入。保持口令的安全有以下几点建议。①不要将口令写下来。②不要将口令存于计算机内或手机内。③不要选取显而易见的信息作口令。④不要让别人知道。⑤不要交替使用两个口令。⑥不要在不同系统上使用同一口令。（第7章）7.4无线网络安全317.4无线网络安全32无线局域网（WirelessLocalAreaNetworks，WLAN）是利用无线通信技术在一定的局部范围内建立的网络，是计算机网络与无线通信技术相结合的产物，它以无线多址信道作为传输媒介，提供传统有线局域网的功能，能够使用户真正实现随时、随地、随意的宽带网络接入。常见的无线网络安全技术有以下几种：（1）服务集标识符（SSID）（2）物理地址(MAC)过滤（3）连线对等保密（WEP）（4）虚拟专用网络（VPN）（5）端口访问控制技术(802.1x)无线网络的常见攻击331．针对WEP协议的攻击WEP协议使用了一个24位的初始化向量来扩展密钥，以增加密钥的长度，从而增强加密强度。WEP协议的安全漏洞主要有以下几个方面：（1）密钥长度过短。WEP协议使用的密钥长度只有40位或104位，这使得黑客可以使用暴力破解的方法轻易地破解密钥。此外，WEP协议使用的密钥是静态的，不会随时间变化，这也增加了黑客攻击的难度。（2）初始化向量重用。WEP协议使用的初始化向量只有24位，这意味着在数据传输过程中，初始化向量会被重复使用。这使得黑客可以通过分析数据包的初始化向量，推断出密钥流的一部分，从而破解密钥。（3）RC4算法的弱点。RC4算法本身存在一些弱点，例如密钥流的偏差和密钥流的重复。黑客可以通过分析数据包的密文，推断出密钥流的一部分，从而破解密钥。无线网络的常见攻击34针对WEP协议的攻击方法主要有以下几种：（1）基于字典的攻击。基于字典的攻击是一种暴力破解的方法，它使用一个预先准备好的字典来尝试破解密钥。字典中包含了常用的密码和单词，黑客可以通过尝试字典中的每个密码来破解密钥。（2）基于流量的攻击。基于流量的攻击是一种被动攻击的方法，它通过监听数据包的流量来分析密钥流的模式，从而推断出密钥。黑客可以使用一些工具进行基于流量的攻击。（3）基于重放攻击。基于重放攻击是一种主动攻击的方法，它通过重放已经捕获的数据包来破解密钥。黑客可以使用一些工具进行基于重放的攻击。（4）基于伪造数据包的攻击。基于伪造数据包的攻击是一种主动攻击的方法，它通过伪造数据包来破解密钥。黑客可以使用一些工具进行基于伪造数据包的攻击。无线网络的常见攻击352．搜索攻击通过借助工具大规模发现不具有加密功能的无线网络，对这些网络的AP广播信息进行解密来获取信息，目前AP广播信息中仍然包括许多可以用来推断出WEP密钥的明文信息，如网络名称、安全集标识符等等，还是很危险。3．窃听、截取和监听窃听是指偷听流经网络的计算机通信的电子形式。它是以被动和无法觉察的方式入侵检测设备的。即使网络不对外广播网络信息，只要能够发现任何明文信息，攻击者仍然可以使用一些网络工具，从而识别出可以破坏的信息。使用虚拟专用网、安全套接字层（SecureSocketsLave，SSL）和SSH（SecureShel1）有助于防止无线拦截。无线网络的常见攻击364．欺骗和非授权访问因为TCP/IP设计的原因，几乎无法防止MAC地址欺骗。只有通过静态定义MAC地址表才能防止这种类型的攻击。但是，因为巨大的管理负担，这种方案很少被采用。只有通过智能事件记录和监控日志才可以对付已经出现过的欺骗。5．网络接管与篡改同样因为TCP/IP设计的原因，某些技术可供攻击者接管与其他资源建立的网络连接。如果攻击者接管了某个AP，那么所有来自无线网的通信量都会传到攻击者的机器上，包括其他用户试图访问合法网络主机时需要使用的密码和其他信息。无线网络的常见攻击376．拒绝服务攻击无线信号传输的特性和专门使用扩频技术，使得无线网络特别容易受到拒绝服务攻击的威胁。拒绝服务是指攻击者恶意占用主机或网络几乎所有的资源，使得合法用户无法获得这些资源。要造成这类的攻击，最简单的办法是通过让不同的设备使用相同的频率，从而造成无线频谱内出现冲突。7．恶意软件凭借技巧定制的应用程序，攻击者可以直接到终端用户上查找访问信息，例如访问用户系统的注册表或其他存储位置，以便获取WEP密钥并把它发送回到攻击者的机器上。注意让软件保持更新，并且遏制攻击的可能来源，这是唯一可以获得的保护措施。8．偷窃用户设备用一块无线网网卡，攻击者就可以拥有一个无线网使用的合法MAC地址。也就是说，如果终端用户的笔记本电脑被盗，他丢失的不仅是电脑本身，还包括设备上的身份验证信息，如网络的SSID及密钥。无线网络安全设置381．修改用户名和密码很多家庭用户购买这些设备回来之后，都不会去认真修改设备的默认的用户名和密码。这就使得黑客们有机可乘。2．使用无线加密协议许多无线设备厂商为了使产品安装简单易行，都把他们产品的出厂配置设置成禁止WEP模式，这样做最大的弊端是数据可以被直接从无线网络上读取，因此黑客就能轻而易举地从无线网络中获取想要的信息。3．修改默认的服务区标志符（SSID）通常路由器设备制造商都在他们的产品中设了一个默认的相同的SSID。如果一个网络，不为其指定一个SSID或者只使用默认SSID的话，那么任何无线客户端都可以进入该网络。无疑这为黑客的入侵网络打开了方便之门。无线网络安全设置394．禁止SSID广播SSID广播即服务区标志符广播。开启了SSID广播的无线网络，其路由设备会自动向其有效范围内的无线网络客户端广播自己的SSID号，这个功能却存在极大的安全隐患，就好像它自动地为想进入该网络的黑客打开了门户。5．设置MAC地址过滤每一个网络节点设备都有一个MAC地址，我们可以建立自己的MAC地址列表，来防止非法设备（主机等）接入网络。6．分配静态IP地址由于DHCP服务越来越容易建立，很多家庭无线网络都使用DHCP服务来为网络中的客户端动态分配IP地址。这导致了另外一个安全隐患，那就是接入网络的攻击端很容易就通过DHCP服务来得到一个合法的IP地址。我们可以通过为网络成员设备分配固定的IP地址，可以有效地防止非法入侵，保护自己的网络。移动互联网安全401．移动终端的安全（1）终端私密性强，与资费紧耦合，攻击危害更大。（2）终端号码广泛公开，更易被恶意锁定。（3）手机安全防护体系还不成熟，用户安全意识薄弱。2．互联网络的安全（1）随时随地的移动接入导致监管难。（2）无线频率资源有限导致服务保障难。（3）空中接口开放式传输导致数据保密难。（4）私网地址广泛应用导致溯源难。移动互联网安全413．业务应用的安全（1）业务涉及环节更多，攻击防护范围更广。（2）应用涉及隐私信息，信息安全风险更大。（3）移动应用商店的监管和审核机制相对缺失。（4）应用中的私有协议和加密传输进行交互，使有效监管更难。（5）多种业务信息传播模式，使准确监管更难。（第7章）7.5网络监听427.5网络监听43网络监听也称为网络嗅探，是利用计算机的网络接口监视并查看网络中传输的数据包的一种技术。它工作在网络的底层，能够把网络中传输的全部数据记录下来。监听器不仅可以帮助网络管理员查找网络漏洞和检测网络性能，还可以分析网络的流量，以便找出网络中存在的潜在问题。不同传输介质的网络，其可监听性是不同的。一般认为网络监听是指在运行以太网协议、TCP/IP协议、IPX协议或者其他协议的网络上，可以获取网络信息流的软件或硬件。网络监听目的是分析网络的流量，以便找出所关心的网络中潜在的问题。网络系统管理员通过网络监听可以诊断出大量的不可见模糊问题，监视网络活动，完善网络安全策略，进行行之有效的网络管理。监听的原理44以太网中，所有的通信都是“广播”式的，也就是说同一个网段的所有网络接口都可以接收到在信道上传输的数据。在一个实际系统中，数据的收发是由网卡来完成，每个网卡都有一个唯一的MAC地址。网卡接收到传输来的数据以后，检查数据帧的目的MAC地址，并根据计算机上的网卡驱动程序设置的接收模式来判断该不该接收该帧。若认为应该接收，则接收后产生中断信号通知CPU，若认为不该接收则丢弃。正常情况下，网卡应该只是接收发往自身的数据包，或者广播和组播报文，对不属于自己的报文则不予响应。可如果网卡处于监听模式，那么它就能接收一切流经它的数据，而不管该数据帧的目的地址是否是该网卡。只要将网卡设置成监听模式，那么它就可以捕获网络上所有的报文和数据帧，这样也就达到了网络监听的目的。监听的工具45（1）NetXray。NetXray是一款极好的网络监听工具，其功能强大而繁多，它能够监多个网段，并且允许在多监控实例同时捕获到你想要捕获的任何类型的报文。它还可以查QQ用户的IP，能够在线破解Email等。（2）SmartSniff。是一个对IP监听的工具，支持TCP/IP、POP3、FTP、UDP、ICMP，提供ASCII和hexdump两种查看方式。SmartSniff支持IP过滤设置，可以不显示自己的和认为不需要显示出来的IP。基本不需要改写系统注册表，是个绿色的免费工具。（3）Snort。是一个网络入侵检测系统，它可以分析网络上的数据包，用以决定一个系统是否被远程攻击了。多数Linux发行版本都有Snort程序。监听的工具46（4）SnifferPro。SnifferPro是NAI公司出品的一款网络抓包工具。它拥有强大的网络抓包和协议分析能力。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。（5）Windump。Windump是一款经典的网络协议分析软件，其Unix版本名称为Tcpdump。它可以捕捉网络上两台电脑之间所有的数据包，供网络管理员做进一步流量分析和入侵检测。监听的实现47在以太网中，数据包的发送是以广播的方式进行传送，联网的所有主机都能接收到发送的数据包，但是真正接受这个数据包计算机的物理地址必须与发送的数据包中所包含的物理地址一致。因此，只有与数据包中目标地址一致的那台主机才能接收数据包。但是，当主机工作在监听模式下，无论数据包中的目标物理地址是什么，主机都将接收。数字信号到达一台主机的网络接口时，网络接口读入数据帧，然后进行检查，如果数据帧中携带的物理地址是自己的，或者物理地址是广播地址，将把读入的数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。当主机工作在监听模式下，则所有的数据帧都将交给上层协议软件处理。监听的实现481.共享式局域网中监听共享式局域网的每一台主机都共享一条网络总线，这说明总线上的数据包可以让每台计算机都能接收到。每台主机上都会有一个MAC地址，当主机接收数据包时，与配置的MAC地址相同时，就会接收数据包，如果与配置的MAC地址不相符合时，就会拒绝接收数据包。2.交换式局域网中监听在局域网内所有的主机都是通过ARP表来确立MAC地址与IP地址之间关系的，ARP会定时刷新，但是在刷新之前黑客可能会修改ARP表。另外一种情况是，黑客可以通过MAC地址复制进行监听，正是因为很多网卡是允许修改MAC地址的，这样就可以使黑客的计算机和监听主机的计算机MAC地址相同，通过这种方式破坏主机ARP缓存而达到监听目的。监听的检测与防范49网络监听本来是为了管理网络，监视网络的状态和数据流动情况。但是由于它能有效地截获网上的数据，因此也成了网上黑客使用得最多的方法。监听只能是同一网段的主机。这里同一网段是指物理上的连接，因为不是同一网段的数据包，在网关就被滤掉，传不到该网段来。否则一个互联网上的一台主机，便可以监视整个互联网了。网络监听最有用的是获得用户口令。当前，网上的数据绝大多数是以明文的形式传输。而且口令通常很短且容易辨认。当口令被截获后，则可以非常容易地登上另一台主机。监听的检测方法50当系统运行网络监听软件时，系统因为负荷过重，会对外界的响应很慢。以下几种方法可以检测系统是否在运行网络监听软件。（1）对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址去ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处于监听状态的机器能接收。（2）向怀疑有网络监听行为的网络发送大量垃圾数据包，根据各个主机回应的情况进行判断，正常的系统回应的时间应该没有太明显的变化，而处于混杂模式的系统由于对大量的垃圾信息照单全收，所以很有可能回应时间会发生较大的变化。监听的检测方法51（3）许多的网络监听软件都会尝试进行地址反向解析，在怀疑有网络监听发生时可以在DNS系统上观测有没有明显增多的解析请求。（4）搜索监听程序。入侵者很可能使用的是一个免费软件，管理员就可以检查目录，找出监听程序，但这比较困难而且很费时间。击败监听程序的攻击，用户有多种选择。而最终采用哪一种要取决于用户真正想做什么和运行时的开销。监听的防范措施52（1）从逻辑或物理上对网络分段。网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。（2）以交换式集线器代替共享式集线器。对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。当然，交换式集线器只能控制单播包而无法控制广播包和多播包。但广播包和多播包内的关键信息，要远远少于单播包。监听的防范措施53（3）使用加密技术。数据经过加密后，通过监听仍然可以得到传送的信息，但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在网络速度和安全性上进行折中。（4）划分VLAN。运用VLAN（虚拟局域网）技术，将以太网通信变为点到点通信，可以防止大部分基于网络监听的入侵。（5）使用管理工具。网络监听是网络管理很重要的一个环节，同时也是黑客们常用的一种方法。许多的网络管理软件都具有监听这一功能，使用网络监听工具能达到预期的效果。（第7章）7.6扫描器547.6扫描器55扫描器是一种自动检测远程或本地主机安全脆弱点的程序。通过使用扫描器可以不留痕迹地发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本，这就可以间接地或直观地了解到远程主机所存在的安全问题。扫描器有三项功能：发现一个主机和网络、发现在这台主机上运行什么服务、以及发现这台主机漏洞。常用的扫描器是TCP端口扫描器，扫描器可以搜集到有关目标主机的有用信息。扫描器能够发现目标主机某些内在的弱点，这些弱点可能是破坏目标主机安全性的关键性因素。端口扫描56（1）端口。许多TCP/IP程序是面向客户/服务器的程序。当主机接收到一个连接请求时，它便启动一个服务，与请求客户服务的机器通信。为简化这一过程，每个应用程序被赋予一个唯一的地址，这个地址称为端口。（2）端口扫描技术。常用的端口扫描技术有：●TCPconnect()扫描

●TCPSYN扫描●TCPFIN扫描

●IP段扫描●TCP反向ident扫描

●FTP返回攻击●UDPrecvfrom()和write()扫描

●ICMPecho扫描端口扫描技术57（1）TCPconnect()扫描。这是最基本的TCP扫描。操作系统提供的connect()系统调用，用来与每一个目标计算机的端口进行连接。如果端口处于侦听状态，那么connect()就能成功。否则，这个端口是不能用的，即没有提供服务。这个技术的最大优点是，不需要任何权限，系统中的任何用户都有权利使用这个调用。另一个优势就是速度。（2）TCPSYN扫描。这种技术为“半开放”扫描，这是因为扫描程序不必要打开一个完全的TCP连接。扫描程序发送的是一个SYN数据包，好像准备打开一个实际的连接并等待反应一样（与TCP的3次握手建立一个TCP连接的过程类似）。一个SYN|ACK的返回信息表示端口处于侦听状态。一个RST返回，表示端口没有处于侦听态。如果收到一个SYN|ACK，则扫描程序必须再发送一个RST信号，来关闭这个连接过程。端口扫描技术58（3）TCPFIN扫描。当申请方主机向目标主机一个端口发送的TCP标志位FIN置位的数据包，如果目标主机该端口是“关”状态，则返回一个TCPRST数据包；否则不回复。根据这一原理可以判断对方端口是处于“开”还是“关”状态。（4）IP地址扫描。这种方法不直接发送TCP探测数据包，是将数据包分成两个较小的IP地址段。这样就将一个TCP头分成好几个数据包，从而过滤器就很难探测到。（5）TCP反向ident扫描。ident协议允许使用者看到通过TCP连接的计算机的用户名，即使这个连接不是由这个进程开始的。例如，连接到http端口，然后用ident来发现服务器是否正在以root权限运行。这种方法只能在和目标端口建立了一个完整的TCP连接后才能看到。端口扫描技术59（6）FTP返回攻击。这种方法是从一个代理的FTP服务器来扫描TCP端口，如果FTP服务器允许从一个目录读写数据的话，使用者就能发送任意的数据到发现的打开的端口。（7）UDPICMP端口不能到达扫描。这种方案的原理是当一个UDP端口接收到一个UDP数据报时，如果它是关闭的，就会给源端发回一个ICMP端口不可达数据报；如果它是开放的，那么就会忽略这个数据报，也就是将它丢弃而不返回任何的信息。优点是可以完成对UDP端口的探测。缺点是需要系统管理员的权限并且扫描的速度很慢。端口扫描技术60（8）UDPrecvfrom()和write()扫描。这个方案是对前一个方案的改进，由于只有具备系统管理员的权限才可以查看ICMP错误报文，那么在不具备系统管理员权限的时候可以通过使用recvfrom()和write()这两个系统调用来间接获得对方端口的状态。对一个关闭的端口第二次调用write()的时候通常会得到出错信息。而对一个UDP端口使用recvfrom调用的时候，如果系统没有收到ICMP的错误报文通常会返回一个EAGAIN错误，错误类型码13，含义是“再试一次”；如果系统收到了ICMP的错误报文则通常会返回一个ECONNREFUSED错误，错误类型码111，含义是“连接被拒绝”。通过这些区别，就可以判断出对方的端口状态如何。（9）ICMPEcho扫描。发送一个Echo请求数据包，如果目标主机正常，则会返回一个Echo响应数据包，如果目标主机不可达，则会返回一个ICMPDestinationUnreachable响应数据包。扫描工具61使用端口扫描工具是获取主机信息方法。端口扫描程序是一个非常简便实用的工具它可以帮助系统管理员更好地管理系统与外界的交互。

1．Nmap扫描工具Nmap是主动扫描工具，用于对指定的主机进行扫描。Nmap能够轻松扫描确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统，从而帮助用户管理网络以及评估网络系统安全，堪称系统漏洞扫描之王。扫描工具622．Masscan扫描工具Masscan是以互联网全端口扫描而诞生，扫描速度极快，它的核心思想是异步扫描，与Nmap的同步扫描相反，异步扫描可以同时发送和处理多个网络连接。理论上一次最多可以处理1000万个数据包，限制在于TCP/IP的堆栈处理能力，以及运行扫描工作的主机系统能力。Masscan下载地址：/robertdavidg。3．Naabu扫描工具Naabu是一款比较新的扫描器，是由一家开源软件公司开发，其专注于Web应用程序安全和漏洞狩猎。Naabu是用GO语言编写，毕竟Go工具往往拥有运行速度快和出色的稳定性。该工具的特点是其设计考虑到了功能，他的目标在于与ProjectDiscovery库中的其他工具以及Nmap等常用工具结合使用，所以输出的结果非常灵活。Naabu下载地址：/projectdisco。扫描工具634.IPScan扫描工具IPScan在静态IP地址环境下或者DHCP环境下，都提供完善的IP地址管理。用户也可以使用IPScanProbe自带的DHCP服务器，它能提供更高的安全和灵活的DHCP环境。扫描工具645．SuperScan扫描工具SuperScan是一个集“端口扫描”、“ping”、“主机名解析”于一体的扫描器。该工具可以完成：检测主机是否在线、IP和主机名之间的相互转换、通过TCP连接试探目标主机运行的服务和扫描指定范围的主机端口等功能。（第7章）7.7E-mail的安全657.7E-mail的安全66E-mail十分脆弱，从浏览器向互联网上的另一个人发送E-mail时，不仅信件像明信片一样是公开的，而且也无法知道在到达其最终目的之前，信件经过了多少机器。互联网像一个蜘蛛网，E-mail到达收件人之前，会经过大学、政府机构和服务提供商。因为邮件服务器可接收来自任意地点的任意数据，所以，任何人，只要可以访问这些服务器，或访问E-mail经过的路径，就可以阅读这些信息。唯一的安全性取决于人们对邮件有多大兴趣。E-mail工作原理及安全漏洞67邮件系统的传输包含了用户代理（UserAgent）、传输代理（TransferAgent）及接受代理（DeliveryAgent）3部分。用户代理是一个用户端发信和收信的程序，负责将信按照一定的标准包装，然后送至邮件服务器，将信件发出或由邮件服务器收回。传输代理则负责信件的交换和传输，将信件传送至适当的邮件主机，再由接受代理将信件分发至不同的邮件信箱。传输代理必须能够接受用户邮件程序送来的信件，解读收信人的地址，根据简单邮件传输协议（SimpleMailTransportProtocol，SMTP）将它正确无误地传递到目的地。现在一般的传输代理已采用Sendmail程序完成工作，到达邮件主机后经接收代理程序使用邮局协议（PostOfficeProtocol，POP）将邮件下载到自己的主机上。E-mail工作原理及安全漏洞68E-mail服务器有一个“路由表”，在那里列出了其他E-mail服务器的目的地的地址。当服务器读完信头，意识到信息不是发给自己时，它会迅速将信息送到目的地服务器或离目的地最近的服务器。E-mail服务器向全球开放，它们很容易受到黑客的袭击。信息中可能携带会损害服务器的指令。例如，Morrisbug内有一种会损坏Sendmail的指令，这个指令可使其执行黑客发出的命令。Web提供的阅读器更容易受到这类侵扰。因为，与标准的基于文本的互联网邮件不同，Web上的图形接口需要执行脚本或Applet才能显示信息。防火墙不可能识别所有恶意的Applet和脚本。最多，也只能滤去邮件地址中有风险的字符，这些字符还应是防火墙识别得出来的。匿名转发69在正常的情况下，发送电子邮件会尽量将发送者的名字和地址包括进邮件的附加信息中。但是，有时候，发送者希望将邮件发送出去而不希望收件者知道是谁发的。这种发送邮件的方法被称为匿名邮件。实现匿名的一种最简单的方法，是简单地改变电子邮件软件里的发送者的名字。但这是一种表面现象，因为通过信息表头中的其他信息。仍能够跟踪发送者。而让自己的地址完全不出现在邮件中的唯一方法是让其他人发送这个邮件，邮件中的发信地址就变成了转发者的地址了。E-mail欺骗70电子邮件欺骗就是在电子邮件中改变发信者的名字使之看起来是从某地或者某人发来的实际行为。垃圾邮件的发布者通常使用欺骗和恳求的方法尝试打开收件人打开邮件，并很有可能让其回复，可以合法地使用欺骗。Email欺骗行为表现形式可能各异，但原理相同：通常是欺骗用户进行一个毁坏性或暴露敏感信息（例如口令）。欺骗性Email会制造安全漏洞。Email宣称会来自系统管理员，要求用户将他们的口令改变为特定的字串，并威胁如果用户不照此办理，将关闭用户的账户。由于简单的邮件传输协议（SMTP）没有验证系统，伪造Email十分方便。如果站点允许与SMTP端口联系，任何人都可以与该端口联系，甚至虚构的某人的名义发出Email。E-mail轰炸和炸弹71E-mail轰炸可被描述为不停地接到大量同一内容的E-mail。这里，主要的风险来自E-mail服务器。如果服务器接到很多的E-mail，服务器就会脱网，系统甚至可能崩溃。不能服务，可由不同原因引起，可能由于网络连接超载，也可能由于缺少系统资源。因此，如果系统突然变得迟钝，或E-mail速度大幅减慢，或不能收发E-mail，就应该小心。E-mail服务器可能正忙于处理极大数量的信息。如果感到站点正受侵袭，试着找出轰炸的来源，然后设置防火墙或路由器，滤去来自那个地址的邮包。防止E-mail的轰炸的办法是使用防火墙。防火墙可以阻止恶意信息的产生，可以确保所有外部的SMTP都只连接到E-mail服务器上，而不连接到站点的其他系统。这样做的目的不能阻止入侵，但可以将E-mail轰炸的影响减到最少。E-mail轰炸和炸弹72UPYours是最流行的炸弹程序，它使用最少的资源，做了超量的工作，有简单的用户界面以及尝试着去隐蔽攻击者的地址源头。KaBoom与UPYours有着明显的不同。其中一点，就是KaBoom增强了功能。例如，从开始界面到主程序可以发现一个用来链接列表的工具。使用这个功能，就可以把目标加入到上百个E-mail列表中去。防止E-mail炸弹的办法是删除文件或进入一种排斥模式。排斥模式需要检查收到的邮件的源地址并读取Mail中的信息。另一种防止E-mail炸弹的办法方法是在路由的层次上，限制网络的传输。或者编写一个Script程序，每当E-mail连接到自己的邮件服务器的时候，它就“捕捉到”E-mail的地址。保护E-mail73最有效的保护E-mail的方法是使用加密签字，如“PrettyGoodPrivacy（PGP）”，来验证E-mail信息。通过验证E-mail信息，可以保证信息确实来自发信人，并保证在传送过程中信息没有被修改。PGP运用了复杂的算法，操作结果产生了高水平的加密，系统采用公钥/私钥配合方案，在这种方案中，每个报文只有在用户提供了一个密码后才被加密。加密的密文可用电子邮件发送给具有相应私钥的收信人，也可以作为文件，存储在本地主机中。用公钥加密后的信息，没有相应的私钥，即使是加密者本人，也不能从密文得到明文。另外，还要配置电子邮件服务器，不允许SMTP端口的直接连接，并防止来自其他站点的假邮件。如果配置防火墙，使它将外来的邮件定向到邮件服务器，就可以对邮件进行集中记录，便于跟踪和检测异常邮件活动。（第7章）7.8IP电子欺骗747.8IP电子欺骗75IP欺骗是指创建源地址经过修改的IP数据包，目的是隐藏发送方的身份，冒充另外一台主机的IP地址，与其它设备通信，从而达到某种目的技术。恶意用户往往采用这项技术对目标设备或周边基础设施发动DDoS攻击。攻击者创建一个IP数据包并将其发送到服务器，这称为SYN（同步）请求。然后将自己的源地址作为另一台计算机的IP地址放入新创建的IP数据包中。服务器以SYNACK响应返回，该响应传输到伪造的IP地址。攻击者收到服务器发送的这个SYNACK响应并确认，从而完成与服务器的连接。完成此操作后，攻击者可以在服务器计算机上尝试各种命令。最常见的方法包括IP地址欺骗攻击、ARP欺骗攻击和DNS服务器欺骗攻击。企业可以采取的防止欺骗攻击的常见措施包括数据包过滤、使用欺骗检测软件和加密网络协议。IP电子欺骗的方式和特征76入侵者可以利用IP欺骗技术获得对主机未授权的访问，因为他可以发出这样的来自内部地址的IP包。当目标主机利用基于IP地址的验证来控制对目标系统中的用户访问时，这些小诡计甚至可以获得特权或普通用户的权限。即使设置了防火墙，如果没有配置对本地区域中资源IP包地址的过滤，这种欺骗技术依然可以奏效。IP欺骗技术有以下3个特征：（1）只有少数平台能够被这种技术攻击，也就是说很多平台都不具有这方面的缺陷。（2）这种技术出现的可能性比较小，因为这种技术不好理解，也不好操作，只有一些真正的网络高手才能做到这点。（3）很容易防备这种攻击方法，如可以使用防火墙等。

IP欺骗的对象及实施771．IP欺骗的对象IP欺骗只能攻击那些运行真正的TCP/IP的机器，真正的TCP/IP指的是完全实现了TCP/IP，包括所有的端口和服务。下面一些是肯定可以被攻击的。①运行SUNRPC的机器。SUNRPC指的是远程过程调用的SUNMicroSystem公司的标准，它规定了