第一讲计算机网络安全概述
1、解决网络安全问题的策略
要解决好网络安全问题,为计算机网络系统运行提供一个良好的环境,需要在三方面努力,即:网络安全硬件、网络安全软件和网络安全服务。
网络安全硬件包括:防火墙、虚拟专用网、独立专用网、入侵检测系统、认证令牌与卡、生物识别系统、加密机与芯片。
网络安全软件包括:安全内容管理、防火墙、虚拟专用网、入侵检测系统、安全3A (authorization authentication administration/accounting,即授权、认证和管理/收费)、加密。
其中网络安全内容管理包括防病毒、网络控制和邮件扫描等。
网络安全服务包括:顾问咨询、设计实施、支持维护、教育培训、安全培训。
2、网络安全及其学科的定义
网络安全是一门设计计算机科学、网络技术、通讯技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
所谓网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的因素而受到破坏、更改或泄漏,系统可正常地运行。
本质上讲,网络安全就是网络信息安全;从广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控制性的相关技术和理论都是网络安全研究的领域。
3、信息安全及定义
信息安全(information security)是指信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)的保持。
信息的保密性是指保障信息只为那些被授权使用的人使用;信息的完整性是指信息在传输、存储、处理和利用的过程中不被篡改、丢失、缺损等;信息的可用性是指被授使用的人在需要使用信息的时候即可使用信息。
4、网络防火墙
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问或破坏网络资源,保护内部网络资源的一种安全技术。
防火墙可以是硬件也可以是软件,还可以是软件硬件结合起来实现,它通过对两个网络之间传输的数据包按既定的安全策略来实施检查以决定网络之间的访问是否被允许,防火墙也负责实时监控网络运行状态。
防火墙是一种基本的网络安全防护工具,是网络安全的第一道防线,它可识别并阻挡许多黑客攻击行为,但是它也对下列入侵无能为力,如:通过防火墙以外的其它手段侵入网络的攻击;来自内部的蓄意或过失性操作所带来的威胁;传输已感染病毒的软件或文件所带来的威胁;
数据驱动型攻击。
防火前一般被置于:
1)单位内部网络与互联网的接口处;
2)单位内部各VLAN之间;
3)单位总部与各分支机构之间。
5、入侵检测技术
入侵检测技术是一种利用系统审计记录及时发现并报告系统中的未授权访问和异常事件存在的一种安全技术。入侵检测技术的工作效率受到审计记录和知识库的影响。
入侵检测产品主要包含传感器(sensor)与控制台(console)两部分。传感器采集、分析数据并生成安全事件,而控制台则起中央管理作用,负责与管理员沟通,以及时对已经检测到的威胁采取措施。
入侵检测产品可分为基于网络的、基于主机的混合型三类。
6、信息系统安全
信息系统安全技术主要涉及到加密、解密和公钥基础设施。要保证一个信息系统的安全,包括如下四个方面的内容:
1)数据传输安全性
即采用数据加密来保证数据在公网上的传输不被第三者窃取,如结合对称密钥和公开密钥加密技术实现的数字信封技术。
2)数据完整性
即保证数据在传输过程不被篡改,散列函数和数字签名是常用的保证数据完整性的技术。
多重数字签名可保证多方通信时的数据完整性。
3)身份验证
即采用口令字技术、公开密钥技术或数字签名技术以及数字证书技术等来实现对通信双方进行身份真实性确认的一种安全技术。
4)不可抵赖性
即通过数字签名、数字证书等技术来确保信息发送或接收时带有特有的、不可复制的信息,以保证通信双方在交易时不发生纠纷。
第二讲密码学概述与公开密钥体系基础
1、密码学
密码学(cryptology)是研究秘密书写的原理和破译密码的方法的一门科学,主要包括密切相关的两个方面:意识密码编码学(cryptography),主要研究如何设计出好的密码体制的方法,保护信息不被侦破;二是密码分析学(cryptanalysis),研究攻破一个密码系统的方法,回复被隐藏起来的信息。
2、密码系统
一个密码系统包括明文(cleartext或plaintext)字母空间,密钥(key)和算法(algorithm),其中算法和密钥是基本单元。
算法是一些公式,法则,给定明文与密文之间的变换方法。密钥可以看作是算法的参数。
3、Polybius校验表加密
Polybius校验表由一个5*5的网格组成,网格中包含26个英文字母,其中I和J在同一格中。每一个字母被转换成两个数字,即第一个字母所在的行数,第二个是字母所在的列数。
如字母A就对应着11,字母B对应着12,以此类推。使用这种密码可以将明文“message”
置换为密文“32 15 43 43 11 22 15”。
4、密码体制分类
按对明文的加密方式的不同,传统的密码体制可以分为两类:一类方式中,将明文字符串分成多个字符的组,逐一进行加密得到密码,被称作流密码或序列密码。
5、密码攻击
根据攻击的方式不同,密码攻击可分为主动攻击(active at tack)和被动攻击(passive at tack)两类。采用截获密文进行分析的攻击叫被动攻击;采用删除、修改、增添、重放、伪造等手段破坏系统正常通信并进行密码分析的攻击叫主动攻击。
6、凯撒密码
“凯撒密码”是古罗马凯撒大帝用来保护重要军情的加密系统。它是一种替代密码,通过将字母按顺序推后起k位起到加密作用。假定选择字母按顺序推后3位作为密码,那么指令:RETURN TO ROME加密后就成为:UHWXUA WR URPH。
只要通信双方通过某安全渠道知道了密钥k,则密码和解密过程就很容易进行。
但通常情况下明文和密文空间中元素个数n均很小,且0<=k 7、简单置换密码系统 8、DES 数据加密标准(data encryption standard,DES)出自IBM,并在1997年被美国政府正式采纳,在保护金融数据的安全中它得到广泛应用,通常自动取款机A TM都是用DES. 9、对称密码体制的总结: 1)同一个密钥,既用于加密也用于解密; 2)加密与解密速度快; 3)安全性高; 4)所得到的密文紧凑; 5)要在收发双方安全地传递密钥,在现实环境下很难做到; 6)通信参与者数目较大时,系统所需密钥数与参与者的数目的平方成正比,密钥管理难度很大,故对称密码体制很难用于参与者数目较多的情况; 7)对称加密技术不适合于数字签名和不可否认性控制。 10、公钥密码体制 公开密钥体制中,每个用户U均拥有两个密钥,一个是加密密钥K,另一个是解密密钥Ke,另一个是解密密钥Kd,且对于任意可能的消息m,均有(即要求): PK1:D(Kd,E(Ke,m))=m 这样,假定A要发信息给B,则A只要从公告环境中均查到B的加密密钥Keb即可完成信息的加密:E(Keb,m)=c;而当B收到 11、数字签名 数字签名的基本要求是: 1)收方能根据信任的第三方来证明报文内容的真实性; 2)发方不能根据自己的利益要求,事后对报文真实性进行否认; 3)收方不能根据自己的利益要求对报文或签名进行伪造。 12、数字签名的过程 要确认用户身份,发送方应该具备一对用于数字签名的密钥对KDSe和KDSd,且对任意消息m满足下式: PK4:E(KDSe ,D(KDSd ,m))=m 数据发送方在签名时执行:c=D(KDSd ,m) 接收方在确认发送方身份时执行:m=E(KDSe ,c)=E(KDSe ,D(KDSd ,m)) 此时,,KDSe 、KDSd 均是数据发送方的签名密钥,几乎所有人均可以执行接受者的操作,读出m ,但是只有发送方才能产生如下偶对:(m ,D(KDSd ,m)),故使用这个偶对可以对所有人发布一个确认发送者身份的消息,可以防止发送者事后否认。 如果要保证只有授权用户才可以读消息,则在发送消息的时候可以加入授权者的公钥,收发双方操作如下: 发送方:c=E(Ke b ,D(KDSd a ,m)) 接收方:E(KDSe a ,D(Kd b ,c))=E(KDSe a ,D(Kd b ,E(Ke b ,D(KDSd a ,m))))=m 这样,尽管其他用户知道KDSe a 和c 但是他们不知道B 的私钥Kd b ,故也不能解密出m ,秘密消息就被安全传送到B 了。 13、公钥密码体制的特点 1)两个密钥,一个用于加密另一个用于解密 2)加密体制是安全的 3)发送者不必分发密钥给接受者,故不用建立专用渠道用于密钥分发与管理,也不存在密钥被截获的可能性 4)系统分发的密钥数只是用户的公钥,与用户数量一致 5)支持数字签名 6)加密和解密过程较之于对称密钥体制为慢 7)可能导致密文变长 14、RSA 密码体制 RSA 算法是最著名的公开密码体制,1978年提出,基于大数分解(NP)的难度。 其公开密钥e 和私人密钥d 是一对大素数的函数,从一个公开密钥e 和密文c 中恢复出明文m 的难度等价于分解两个大素数之积n 。 RSA 算法过程:首先是设计密钥,然后是对消息加密,最后是对密文解密。 1、 设计密钥 先产生两个足够大的强质数p 、q(通常为百余位长)。可得p 与q 的乘积n=p*q 。再由p 和q 算出另一个数z=(p-1)*(q-1),然后再选取一个与z 互素的奇数e(1 2、 加密 对于明文M ,用公钥(n ,e)加密可得到密文C :C=M e mod(n) 3、 解密 对于密文C ,用私钥(n ,d)解密可得到明文M 。M=C d mod(n) 当定义先用私钥(n ,d)进行解密后,然后用公钥(n ,e)进行加密,就是数字签名。 第三讲防火墙基础 1、防火墙的概念 防火前是设置在不同网络或网络安全域之间的一系列部件的集合,它执行预先制定好的访问控制策略,决定内部网络与外部网络之间的访问方式。 作为一种隔离技术,防火墙一方面要拒绝未经授权的用户访问网络或存取敏感数据;另一方面要保证合法用户不受妨碍地使用 2、防火墙的作用 1)网络安全的屏障,即通过执行精心设计的网络安全策略,防火墙可以阻止不安全的服务访问网络,最大限度地保证网络安全。 2)可以强化网络安全策略,即通过将网络安全配置集中在防火墙进行,既减少组织与管理的麻烦,还更经济。 3)对网络存取和访问进行监控审计。在如果所有通信都必须通过防火墙来完成,则防火墙可以对通信内容进行日志记录和网络情况统计。当网络被攻击时可以及时报警并采取措施。 4)防止内部网络信息的外泄。通过防火墙对内部网络的划分,可实现对内部网络重点网段的隔离,从而减少重点网段敏感数据对全网安全带来的影响。同时使用防火墙屏蔽内部网络的细节,可以减少诸如Finger.、DNS等服务带来的不良影响。 5)除了安全作用,防火墙还支持VPN。 3、防火墙工作原理 根据防火墙功能实现在TCP/IP模型中的层次,防火墙工作原理可以分为三类:一是分组过滤技术,在网络层实现防火墙功能;一是代理服务技术,在应用层实现防火墙功能;一是状态检测技术,在网络层、传输层和应用层实现防火墙功能。 ●分组过滤技术 本技术基于路由器技术,通常由分组过滤路由器对IP分组进行分组选择,允许或拒绝特定的IP分组。 分组过滤的依据主要有源IP、目的IP、源端口、目的端口。 基于源或目的IP的过滤根据制定的安全规则,将具有特定IP特性的分组过滤掉,从而实现对内部网络的保护。 分组过滤技术的优点: 逻辑简单;价格便宜;对网络性能影响小;对用户透明性好;与具体的应用程序无关;易于安装。 分组过滤技术的缺点: 1)配置基于分组过滤的防火墙,需要对TCP、IP以及各种应用协议有较深入的了解,否则容易配置出错。 2)过滤过程只能对网络层的数据包进行判别,无法满足一些特殊的安全要求,如身份鉴别机制无法实现。 ●代理服务技术 代理服务技术是由一个高层的应用网关作为代理服务器,接受来自外部的应用连接请求,在代理服务器上进行安全检查后,再与被保护的应用服务器连接,使得外部用户可以 在受控制的前提下使用内部网络的服务。同时内部网络到外部网络的连接请求也在该网关的监控下进行,从而保证内部网络得到更好的保护。 代理服务技术的特点: 由于代理服务作用于应用层,它能够理解应用层上的协议,因此可以作更复杂更细致的访问控制;由于所有进出服务器的客户请求均要通过代理网关的检查,故详细的注册和审计记录变得可行;认证、授权等高层安全控制手段可以方便地应用于代理服务器上,故内部网络可以得到更好的保护。 但是代理服务工作过程对用户不透明,用户使用时要对不同的协议和服务设置不同的代理,使用过程不方便。 ●状态检测技术 状态检测技术既像分组过滤技术一样在IP层上检测IP地址和端口,对数据包进行过滤; 也可以同代理服务一样,在应用层上对数据包的内容进行检查,应用高层的网络安全协议。 状态检测技术采用一个在网关上执行网络安全策略的软件引擎(检测模块),对网络通信额各层实施检测分析,提取相关的通信和状态信息,并在一个称作动态链接表的数据表中存储和更新,为下一个通信检查提供数据。如果一个访问违反了网络安全策略,检测模块将拒绝访问并在日志中作出记录。 状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用RPC和用户数据包UDP之类端口,其安全级别就更高了。 状态监测防火墙安全性高,但是它会降低网络的速度,安全策略配置过程也比较复杂。 4、防火墙体系结构 ●屏蔽路由器结构 这是最基本的结构,可以由专门的路由器来实现,也可以使用主机来实现,屏蔽路由器作为内外网连接的唯一通道,要求所有报文均在此接受检查,过滤未授权的报文。这一结构一旦被攻破,很难发现;同时这种结构也很难识别不同德用户。 ●双穴主机网关结构 这是一台装有两张网卡的主机做防火墙,两块网卡分别与受保护网络和外部网络相连,堡垒主机上运行防火墙软件,负责对过往的数据包进行检查。其结构图可表示为:本结构优于屏蔽路由器结构的地方时堡垒主机系统可以维护系统日志、硬件复制日志或远程日志,对日后检查有利;但本结构不能确定哪些主机可能已被入侵;另外本结构下,如果堡垒主机被攻陷,则所有内部网络均暴露在黑客面前。 ●屏蔽主机网关结构 在屏蔽主机网关结构中外部网络与内部网络之间增设一个包过滤路由器,并在其上建立包过滤规则,使得堡垒主机是外部网络可以见到的唯一主机,从而起到保护内部网络的作用。 本结构中,网关的基本控制策略均由安装在路由器和堡垒主机上的软件决定,如果攻击者设法登陆到上面,则内部网络中的主机就将受到很大威胁,情况就与双穴主机网关结构类似了。 ●屏蔽子网结构 这种结构是在内部网络和外部网络之间建立一个被隔离的子网,再用两台分组过滤路由器将这一子网与外部网络和内部网络连接起来,可以再选择性地设置一个堡垒主机支持终 端交互或作为应用网关代理,其结构图可表示: 此结构中,如果攻击者试图完全破坏防火墙,他必须重新配置内部路由器和外部路由器,既要不切断连接又要保证不把自己锁在外面,还要注意自己不能被发现,虽然可以实现但是难度较大。 如果管理员设置路由器禁止访问或只能被内部网络中某些主机访问,则攻击成功的可能性就很小了;此种情况下,攻击者得先侵入堡垒主机,然后进入内部网络主机,再返回来破坏屏蔽路由器,整个过程还要注意不能被发现,难度很大。 5、防火墙技术存在如下不足 1)无法阻止来自内部网络的攻击。而有过半数网络攻击事件正是来自内部网络。 2)防火墙对信息流的控制缺乏灵活性。防火墙工作过程往前依赖于管理员设置的网络安全规则,绝不试图对规则进行调整;而管理员在设置规则时或过于严格或过于宽松,很难 做到“恰到好处”。 3)攻击发生后,利用防火墙保存的信息很难调查取证。 第四讲入侵检测技术 1、入侵 网络入侵是指试图破坏信息系统的完整性、机密性、可靠性的任何网络活动。 2、入侵检测 入侵检测(Intrusion Detection)是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。 因此,入侵检测系统被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测。 3、入侵检测分类 根据检测对象的不同,入侵检测系统可分为: 1)基于主机的入侵检测系统 这类入侵检测系统通常安装在被保护的主机上,主要对该主机的网络连接、系统审计日志进行实时的分析与检查,当发现可疑行为和安全违规事件时,系统就向管理员报警以便采取措施。入侵检测专家系统(Intrusion Detection Expert System,IDES)就属于这类,它是一个独立于系统、应用环境、系统弱点和入侵类型的实时入侵检测专家系统。该系统可以看作是一个基于规则的模式匹配系统,审计记录一旦产生就与相应的描述模型中的特定信息进行比较,确定使用什么规则来更新描述模型、检测异常活动和报告检测异常结果。 规则和描述模型(缺) 2)基于入侵检测系统一般安装在需要保护的网段中,实时监视网段中传输的各种数据包,并对这些数据进行分析,如果发现入侵行为和可疑事件,入侵检测系统就会发出警报甚至切断网络。基于网络的入侵检测系统自成系统,它的运行不会给原网络与系统增加任何负 担。 网络安全监视器(Network Security Monitor)就属于基于网络的入侵检测系统,它并不检测主机的审计记录,而是通过在局域网上主动地监视网络信息流来追踪可疑的行为。它第一次直接将网络数据流作为审计数据来源,所以可以在不将数据转换为统一格式的情况下完成对异种主机的监控。 实际应用中,很多网络安全解决方案均同时采用了这两种互补的入侵检测技术。 根据入侵检测系统使用的检测方法不同,可以将入侵检测系统分为基于攻击特征模式匹配的入侵检测系统和基于行为统计分析的入侵检测系统。 1)模式匹配法,主要适用于对已知攻击方法的攻击行为进行检测。它通过分析攻击原理与过程,提取相关特征,建立攻击特征库,对截获的数据包进行分析和模式匹配,从而发现攻击行为。这种方法的优点是识别准确,误报率低,但其缺点也明显,即对未知攻击方法的攻击行为却无能为力,并且当新的攻击方法被发现时,需及时更新特征库。 2)缺 统计分析法的优点是它可以“学习”用户的使用习惯,从而有较高的检出率和可用性; 但是较之于前一种方法,它的误报率高很多;另外,它的“学习”能力,也给入侵者以机会,入侵者可以通过逐步的“训练”来使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。 4、入侵检测系统与防火墙的配合使用 由入侵检测技术与防火墙技术的特点可知,将入侵检测系统与防火墙配合使用,可以极大地提高网络安全防御能力。 入侵检测系统与防火墙的结合方式有很多种,常见的有: 1)入侵检测引擎放在防火墙之外。这种情况下,入侵检测系统能接收到防火墙外网口的所有信息,管理员可以清楚地看到所有来自Internet的攻击,从而可以设置防火墙的安全策略,将攻击挡在门外。 2)入侵检测引擎放在防火墙之内。这种情况下,只有穿透防火墙的攻击才可能被入侵检测系统检测到,管理员可以清楚地看到哪些攻击是未被防火墙过滤掉的,从而可以改善防火墙的安全策略。 3)防火墙内外均有入侵检测引擎。这种情况下,可以检测到来自内部和外部的所有攻击,管理员可以清楚地看出是否有攻击穿透防火墙,所发生的攻击是来自网络内部还是外部等,从而可以对自己所面临的网络安全威胁有一个比较全面的了解。 4)将入侵检测引擎装在其它关键位置。有时受保护网络上的部分主机或部分子网重要性异于其它部分,可以在其上设置入侵检测引擎,从而对网络中的关键位置是否受到攻击进行准确判断。 5、网络数据包截获 即从网络通信设施上获取通信数据包,其实是一把双刃剑,一方面,网络管理员可以用于监听网络流量,开发网络应用的程序员可以用于实现网络应用程序;另一方面,黑客可以用于刺探网络上传输的机密信息。 6、网卡工作模式与包截获 以太网中,以太网卡有两种接收模式,即混杂模式和非混杂模式。混杂模式下,网卡接收所有数据包,无论目的地址是否是自己;非混杂模式下,网卡只接收目的地址为自己的数据 包已广播数据包(组播数据帧)。故,要截获以太网上的数据包,要让网卡工作于混杂模式。 第五讲计算机病毒防治 1、计算机病毒的定义 从不同角度,可以给计算机病毒作不同的定义。 1984年,计算机病毒之父弗雷德?科恩博士(Fred Cohen)把它定义为:“计算机病毒是一种计算机程序,它通过修改其它程序把自身或其演化体插入它们中,从而感染它们。” 国外最流行的定义是:“计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。” 1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。” 2、计算机病毒的产生过程 计算机病毒从产生到最终对计算机系统产生破坏作用全过程可以分为如下几个阶段: 1)程序设计期。计算机病毒作为一个软件“产品”,也有其分析、设计与实现的过程,即“创造者”将自己的企图利用某一门程序设计语言表现出来的过程。随着计算机程序设计语言的发展,现在掌握一定计算机程序设计初级知识的人都可以设计出计算机病毒来。 2)孕育期。即“创造者”将自己的“作品”想方设法地传播出去,如感染一个流行程序再将被感染的流行程序广为流传。 3)潜伏期。计算机病毒要想达到自己的目的,一般要在爆发之前先行完成足够多次的自我复制,并入侵到尽可能多的计算机系统中去,以求被激活后可以破坏更多的计算机资源。 计算机病毒在被激活之前的漫长的时间即为潜伏期。在这一时期的计算机病毒除了非法占用存储空间外并无其它破坏行为。 4)发作期。带有破坏机制的计算机病毒会在遇到某一特定的条件时发作,并完成预期的破坏活动。如某一特定日期的出现(如3月6日、4月26日)或某一指定操作的进行(如双击)。3、计算机病毒的分类 按不同的分类标准,可以得到计算机病毒的不同分类: 按寄生方式分类 1)引导扇区病毒。引导扇区病毒用自己的数据代替硬盘引导扇区中的数据,并把原数据放在一个特定的由病毒管理和维护的空间中。系统启动时病毒首先进入内存并激活,然后再让系统运行所需数据进入内存,以让用户很难感觉到系统运行异常。 2)文件感染病毒 文件型病毒可分为源码病毒、嵌入型病毒和外壳型病毒几类,常见的文件型病毒是外壳型病毒。这类病毒将病毒代码插入到可执行的程序文件中,但又不影响原程序的运行,也不影响系统对该文件的属性查看与修改等日常管理,当用户运行该程序时,病毒即被激活。 根据外壳型病毒驻留内存的区域分,又可以(缺) 3)网络型病毒 网络病毒主要通过计算机网络传播并感染网络猪的可执行文件,如蓝色代码,红色代码等。 4)综合型感染病毒 综合型感染病毒是指既感染磁盘引导区又感染文件的综合性病毒,其存在形式也多种多样,行踪诡异。 按破坏情况分类 1)良性病毒 良性病毒只占用系统资源或干扰用户正常工作而不破坏计算机软硬件资源,如蠕虫。 2)恶性病毒 恶性病毒发作后将破坏计算机系统的软硬件资源,让用户不能工作或不能正常工作,严重的肯能导致系统瘫痪或软硬件资源永久性损毁,如CIH。 4、计算机病毒特征(缺) 5、计算机病毒的防治策略(无) 第六讲网络站点安全 1、安全漏洞:指任意允许非法用户在未经授权的情况下获得或提高访问层次的硬件或软件。 2、常见黑客攻击点 身份认证和访问管理部分 通信协议部分 应用软件部分 网络服务器部分 3、常用防范措施及其不足 4、黑客攻击过程 1)信息收集。即黑客利用一定的协议或工具,收集驻留在网络系统中的各个主机系统的相关信息。信息收集并不对目标系统本身造成危害,只是为进一步入侵提供有用的信息。 黑客常常使用的信息收集方法包括SMMP协议、TraceRoute程序、Whois协议、DNS服务器、Ping程序等。 2)系统安全弱点的探测。收集到目标主机后,黑客会探测目标网络上每台主机,以寻求该系统的安全漏洞或安全弱点。主要使用的工具有自编程序、公开的工具、慢速扫描、体系结构探测等。 3)建立模拟环境、实施模拟攻击。通过前述步骤和方法,黑客用收集到的信息组建一个模拟的目标网络环境,然后对其进行攻击,通过检查被攻击者的安全日志和观测其反应,逐步制定一个系统、周密的攻击策略。 4)实施攻击。根据前阶段得到的信息、结合自身水平及经验,在比较可能的攻击方法后,选取效果最好的方法实施攻击
相关主题
文本预览