1、第第10章网站安全章网站安全第10章 网 站 的 安 全10.1 Web站点的安全站点的安全10.1.1 Internet安全的隐患安全的隐患 计算机网络技术的发展和应用,特别是Intemet的出现,开创了计算机应用的崭新局面。信息的交互和共享,已经突破了国界,遍及了整个世界。这种互联性和开放性给社会带来极大效益的同时,黑客们也得到了更多的机会,他们所造成的危害也将波及到更广泛的范围。不论是Web站点还是公司内部网络,总有一些黑客伺机而动,闯过道道安全系统,或窃取信息,或破坏系统资源。第10章 网 站 的 安 全 现在有数不清的风险可能性,如数据毁坏,数据污染等等。产生高风险的重要原因之一是网
2、络或计算机通过高速专用线路直接接入Internet而没有防火墙或类似的安全系统。这样的系统在口令猜测、哄骗等任何形式的攻击面前都是脆弱的。哄骗是安全欺骗的一种方法或一个过程。威胁的表现形式包括非授权访问、数据偷窃、滥用得到的数据等等。这些威胁可能来自网络内部(如非授权的恶意访问),也可能来自外部,如外来入侵者;也可能是内部网络部件的物理损坏。第10章 网 站 的 安 全10.1.2 Internet与与Intranet的不同之处的不同之处 Internet是一个全面开放性的网络,不提供保密服务,是一个无中心的网间网,它本身是没有边界的,再生能力强。整个全球互联网不属于任何一个组织和任何一个国家
3、,没有一个中心,其优点是一个局部的破坏不影响整个系统的运行,缺点是人们在Internet的行为几乎不受约束。Internet本身存在安全隐患,Web站点的安全关系到整个Internet的安全。不安全因素最主要的是黑客入侵,黑客使用专用工具、采取各种入侵手段攻击网络。这些特点是局域网和内联网(Intranet)所没有的。一个局域网或内联网有其自己的主人,归属于某一个机构或某一个单位,这个机构或这个单位要对这个网络实施管理,而且管理的核心内容就是网络的安全。第10章 网 站 的 安 全 Intranet和Internet相比较,Intranet本身是一个相对独立的网络空间,相对独立是指它有一定的范
4、围。另一方面,Intranet由管理员来管理,而Internet却单纯依靠IP识别,这是不够的,因为IP地址易被窃用。Internet 和Intranet相比,最主要的一点差别在于:Internet无法全面有效地管理,而Intranet能有效地管理。第10章 网 站 的 安 全 Internet管理核心也是网络的安全,但Internet本身是没有边界的,全球的互联网不属于任何一个组织和任何一个国家。在Internet上既没有法令也没有法规,人们的行为几乎不受制约,由于没有国际互联网上通行的国际法规,所以对犯罪没有处理的依据,网站遭受的攻击可以是世界范围的。另外,通过IP地址识别网络上的用户有其
5、不可靠性。因为在Internet上,IP地址只是一个数字的标志,根本不能代表实际的身份,任何人都可以使用,所以通过IP地址来识别和管理存在严重的安全漏洞。Internet本身没有中央管理机制,没有法令和法规,从技术上来讲是开放的,标准的。Internet上没有审计和记录的功能,也就是说对发生的事情没有记录,这也是一个安全隐患。第10章 网 站 的 安 全10.1.3 Internet安全性薄弱之处安全性薄弱之处 当前的因特网使用的是静态的口令。Internet网上的口令可以通过许多方法破译,其中最常用的方法是:一破译口令,二通过监视信道窃取口令。如果口令少于8个字符或英语单词,就更容易被破译。
6、Unix操作系统通常把加密的口令保存在一个文件中,这个口令文件可以通过拷贝或其他方法得到。一旦口令文件被闯入者得到,他们就可以使用解密程序进行破译。第10章 网 站 的 安 全 另外一个与认证有关的问题是由如下原因引起的:一些TCP(传输控制协议)或UDP(用户数据报协议)服务只能对主机地址进行认证,而不能对指定的用户进行认证。一个服务器的管理员也许只信任某一主机的某一特定用户,并希望给该用户访问权,但是管理员无法控制该主机上的其他用户,也就是说他只能给所有的用户访问权(或者谁也不给)。第10章 网 站 的 安 全 在Internet上用户使用Telnet或FTP连接在远程主机上的账户时,在因
7、特网上传输的口令是没有加密的,侵入系统的一个方法就是通过监视携带用户名和口令的IP包获取用户名和口令,然后使用这些用户名和口令通过正常渠道登录到系统。如果是管理员口令被截获,那么获取特权级访问就变得十分容易了;许多系统就是被用这种方法入侵的。如果主机的IP地址被假定为是可用的,那么攻击者的主机就可以冒充一个被信任的主机或客户入侵。第10章 网 站 的 安 全 因特网一般分为外部网和内部网。从安全保密的角度来看,因特网的安全主要指内部网(Intranet)的安全。因此,其安全保密系统要靠内部网的安全保密技术来实现,并在内部网与外部网的连接处用防火墙技术隔离,以确保内部网的安全。许多因特网上的安全
8、事故的部分起因是由那些被闯入者发现的弱点造成的。存在缺陷的部分原因是由于程序的复杂性,几乎没有能力在各种环境中进行测试,所以有些时候缺陷就很可能被发现进而程序被篡改,有些时候就需要重写整个程序。第10章 网 站 的 安 全 Internet主机系统的另一个特点是安全性无法准确地估计,随着每个站点的主机数量的增加,确保每台主机的安全性都处于高水平的能力却在下降,因为用管理一台系统的能力来管理如此多的系统就很容易犯错误。其中一个因素是系统管理的作用经常变换并且行动迟缓。这导致一些系统的安全性比另一些要低,这些系统将成为薄弱环节,最终将破坏整个安全链。第10章 网 站 的 安 全 1电子邮件电子邮件
9、 电子邮件是Internet上使用最多的一项服务,因此,通过电子邮件来攻击一个系统是黑客的主要手段。蠕虫病毒正是利用了电子邮件中一个漏洞在Internet上恶性传播的。电子邮件的另一个安全问题是邮件的溢出,即无休止收到的邮件最终耗尽用户的存储空间与系统资源。第10章 网 站 的 安 全 现行的邮件系统,可以发送包含程序的电子邮件,这种程序如果在管理不严格的情况下运行能产生“特洛伊木马”。对于一个国内的用户,尤其是商业用户,最担心的莫过于邮件的保密性。与电子邮件有关的两个协议是简单邮件传输协议(Simple Mail Transfer Protocol,简称SMTP)和邮件协议(Post Off
10、ice Protocol,简称POP),现在常用的POP3协议是POP的第三个版本;它们分别负责邮件的发送与接收。Sendmail是在Unix上最常用的SMTP核心程序,这些程序被很多黑客所利用。如果Sendmail容许任何客户邮寄属主不是root的文件,那么主机上的许多文件都可以被黑客传送到他人的邮箱内,在Internet上通过此法窃取别人邮件内容的案例不胜枚举。第10章 网 站 的 安 全 2文件传输文件传输(FTP)FTP(File Transfer Protocol)也是Internet上最常用的文件传输协议。文件传输和电子邮件一样,会给网上的站点带来种种数据和程序。首先文件传输可能会
11、带来“特洛伊木马”,这会给站点造成毁灭性的打击;其次是会给站点带来大量无用的文件,从而影响系统运行与空间。匿名FTP(Anonymous FTP)是ISP的一项重要服务,它允许用户通过FTP匿名访问FTP服务器上的文件,而不需要输入用户名和口令,这时不正确的配置将严重威胁系统的安全。要保证使用FTP匿名的人不去申请系统上其他的区域或文件,也不能对系统进行随意的修改。第10章 网 站 的 安 全 由于TFTP(Trivial File Transfer Protocol,琐碎文件传输协议)根本不作登录与控制审查,任何人都可以通过它取走你的具有读权限的文件,因此它也是个相当危险的文件传输服务。FS
12、P(Files Service Protocol,文件服务协议)是一种在FTP无法使用时可以建立的一种文件服务。它们的使用没有FTP协议那么广,但是同样有安全上的漏洞。第10章 网 站 的 安 全 3远程登录远程登录(Telnet)远程登录是提供远程终端申请的程序。这是一种十分方便的远程申请机制,也是Internet常用的远程登录程序。它如实地模仿一个客户机终端,不要做特殊的设置便可以为Internet上任何连接的站点上的用户提供远程申请,但它只能提供基于字符的应用。Telnet用户认证是比较齐全的,但Telnet传送出的所有信息都是不加密的,因此就很容易被黑客所攻击,所以Telnet也不安全
13、。要使Telnet安全,必须选择安全的认证方案,防止站点被窃听或侵袭。第10章 网 站 的 安 全 在大型的网络环境下,另一种远程登录的方法是受托访问。它可以为用户带来很多方便,但也为黑客增加了一条潜入主机系统的途径。TCP/IP对所传送的信息是不进行加密的,所以网络黑客只要在你的IP包经过的一条路由上运行“嗅探器”程序,就可能得知用户口令。一个“嗅探器”软件在一天之内可以捕捉到上千条口令。第10章 网 站 的 安 全 4用户新闻用户新闻(Usenet News)用户新闻或新闻组是Internet上的公告牌,提供了多对多的通信。用户新闻很像电视,有些新闻很及时,最大的新闻组会有几十万人参加。用
14、户新闻的危险性像电子邮件一样,系统单纯地接收用户新闻,黑客“新闻”就像洪水一样漫延,因此很容易造成溢出。由于用户新闻不是Internet的一个主要服务,因此拒绝这种服务对一个站点来说关系不大,而且相比之下用户新闻的危险性要低一些。第10章 网 站 的 安 全 5万维网万维网(WWW)WWW(World Wide Web)又称Web,是建立在HTTP协议上的全球信息库,它是Internet最主要的服务之一。目前Web站点遍布全球。万维网用超文本技术把Web站点上的文件连在一起,文件包括文本、图形、声音、视频以及其他形式。用户可以自由地通过超文本的链接从一个文件进入另一个文件,方便地去搜索信息而不
15、管文件在哪里。用户只要在网页的链接标志上轻轻一点,瞬间就可以从地球的这一端跳到另一端。第10章 网 站 的 安 全 浏览器不仅仅使用HTTP也使用FTP、Gopher、Wais等协议。服务器上这些协议的漏洞也会在浏览器上反映出来,因此浏览器也是不安全的。另外浏览过程中浏览器一般只能理解基本的数据格式(如HTML、JPEG和GIF格式)的图形。有些服务如播放Flash动画与和Rm影视,需要另外下载程序才可执行,这也已成为黑客可以利用的漏洞。许多Web站点是只注意站点内部的安全,而黑客可以利用Web站点做桥梁,通过超文本链接进入其他站点及客户端。第10章 网 站 的 安 全10.2 黑黑 客客 黑
16、客是英文hacker的译音,原意指电脑发烧友,这些人大都除了热衷于电脑程序的设计,还对各种计算机操作系统的奥秘有强烈兴趣,现在一般认为黑客就是非法入侵他人计算机网络系统的人。黑客大都是程序员,他们具有操作系统和编程语言方面的经验:了解系统中的漏洞及其原因所在;不断追根寻源,互相交流各种发现,与其他人分享。黑客在微观的层次上考察系统,发现软件的漏洞和逻辑缺陷,并编程去检查软件的完整性;不少黑客出于改进的愿望,编写程序去检查远程机器的安全体系,这种分析过程是创造和提高的过程。黑客们认为计算机是大众的工具、信息属于每个人、源代码应当共享、编码是一种艺术。第10章 网 站 的 安 全 但不少黑客怀有不
17、良的企图,闯入甚至破坏远程机器系统的完整性,利用获得的非法访问权破坏重要数据,拒绝合法用户服务请求,或为了自己的目的制造麻烦。这种黑客行为是恶意的。黑客可能技术水平很高,也可能是个初学者。黑客是利用通信软件通过网络非法进入他人系统,截获或篡改计算机数据,危害信息安全的电脑入侵者或入侵行为。随着计算机网络在政府、军事、金融、医疗卫生、交通、电力等各个领域发挥的作用越来越大,黑客的各种破坏活动也随之猖獗。黑客们或者通过猜测程序对截获的用户账号和口令进行破译,以便进入系统后进行更进一步的操作;或者利用服务器对外提供的某些服务进程的漏洞获取有用信息、进入系统;或者利用网络和系统本身存在的或设置的错误引
18、起的薄弱环节和安全漏洞实施特洛伊木马的电子引诱,以获取进一步的有用信息;或者通过系统应用程序的漏洞获得用户口令。第10章 网 站 的 安 全 总之,黑客攻击有两类;一类是破坏性的,如邮件炸弹、网站的页面更改等。一旦攻击得逞导致系统运行瘫痪,需要许多时间才能恢复正常,而一旦恢复之后,黑客的攻击随之而致。另一类破坏性更隐蔽,黑客潜入网络系统中,进行窃取、更改数据而系统却全然不知,这种类型破坏性更大,后果更严重。第10章 网 站 的 安 全 1黑客历史黑客历史 早期非法侵袭网络的现象可追溯到二十世纪六七十年代的电话窃用,窃用者利用当时电话系统上的薄弱点,无限制地打免费长途电话。1970年,苹果公司第
19、一批工作人员系统地发展了不用付费可使用电话系统的方法。1971年,一份地下杂志“Youth International Party Line(YIPL)”着重叙述了设置电子线、回避收费记账的方法。第10章 网 站 的 安 全 例如:采用所谓的“黑匣子”方法,通过愚弄电话交换器,使它误以为已经接通信号的电话还在不断地拨打,这样就能在任意一部电话上打免费电话;利用“红匣子”模拟硬币投入的音调,告诉系统投入的硬币数和钱数,就能免费使用公共电话。1973年,纽约的Dime Savings利用公司的计算机进行诈骗,使雇主损失了100万美元。在1982年,单独行动者Kevin Mitnick年仅18岁,他
20、从外部侵袭到美国空军的最高计算机控制网络,这也是首次发现的从外部侵袭的网络事件。第10章 网 站 的 安 全 1984年11月,一个称为CCC黑客俱乐部成员Steffen Wernery通过德国Telekom的BTX服务器,将10万美元从汉堡储蓄银行(HASPA)转移到CCC俱乐部的账号上。由于BTX系统的程序有误(德国Telekom的在线服务器,几个月前才开始正常使用),Wernery轻而易举地获得成功。当调用BTX页面时,有时会出现文本溢出,即系统数据的内容在当前屏幕上重现,通过对转贮部分数据的分析,就能找到HASPA的口令,据此Wernery侵入系统,建立起收费的BTX页面(这时CCC已
21、成为BTX服务器的供应者)。当有人调用时,就需给服务器交费(每次6美元)。借助于一个小程序,用HASPA的口令记录之后,就反复调用,每调用一次,CCC的资金就增加6美元,以这种方式积累的资金超过了9万美元。第10章 网 站 的 安 全 1987年,CCC成员成功的侵入了NASA遍及全球的SPAN网络。20世纪70年代末,黑客组织的许多通信都从硬拷贝转向公告牌子系统(BBS)。首先,BBS系统使向世界各地方便地散发信息和数据成为可能。黑客组织不仅指导如何闯入和如何使用计算机系统和电话线路,而且还展现了电话公司的内部手册,比如展现了Bell South的“911种强化服务器的实用标准”一书。同时,
22、随着计算机系统逐步地网络化,病毒成为越来越尖锐的安全问题。以“piggyback方式侵袭计算机系统的简单、破坏性的小型程序已成为标准的应用软件,它具有智能化,并可在计算机网络上不断地变化和扩散。第10章 网 站 的 安 全 早在1974年,计算机病毒初露端倪,到了20世纪80年代初,病毒已扩散到无所不及的地步。开始的病毒相对仁慈一些,比如芝麻甜饼怪物,它出现在屏幕上就像小甜饼,此时只需键入“Cookie”即可安静片刻。但近几年来,病毒越来越具有掠夺性和破坏性。计算机系统第一次受到病毒的严重感染是在1987年,当时IBM圣诞卡的蠕虫病毒感染了大部分IBM计算机。一旦病毒进入到未感染系统,立即就以
23、每小时50万次的速度复制,使整个系统立即中止运行。1988年,一位美国国防部计算机安全专家的儿子,学生罗伯特莫里斯生制造了一种病毒,他将病毒释放在Internet上,这一病毒能无期限地自身复制,仅几个小时,就使Internet上6000多台计算机陷入崩溃。现在世界范围内病毒的数量,从1991年以来增加数量超过了500%,据不完全统计,现有病毒已达1万多种。第10章 网 站 的 安 全 1993年,在Internet网关计算机系统中,工程师发现了初探程序,它能自动监视和捕捉登录口令。据最初估计,大约探测到10万多条口令。1994年,一帮自称“The Posse”的黑客,进入到许多美国著名公司的计
24、算机系统,包括Sun微软公司、Boeing(波音)和Xerox(施乐)公司。1995年7月,俄国人Vladmir Levin竟然从纽约城市银行支取了7百多万美元。第10章 网 站 的 安 全 许多黑客绕过系统设置的防火墙,进入政府、军事、金融等各种网络系统进行捣乱或破坏。尤其是许多网络在建网初期较少或者根本就没有考虑安全防范措施,一旦网络交付使用,即留下许多安全隐患。另外,网络系统管理员的管理水平与计算机应用能力如不及黑客,就会给黑客入侵造成许多可乘之机。黑客只需要有一台电脑、一条电话线和一个调制解调器就可以远距离作案。据统计,几乎每隔几十秒钟全球就有一起黑客事件发生,仅美国每年所造成的经济损
25、失就超过上百亿美元。另一方面,信息犯罪属跨国界的高技术犯罪,要用现有的法律来有效地防范十分困难,现有的高科技黑客防范手段由于没有大面积推广也只能望黑兴叹。如何构建安全网络和信息系统已成为当前热点。第10章 网 站 的 安 全 2黑客攻击的步骤黑客攻击的步骤 黑客技术,简单地说,就是发现计算机系统和网络的缺陷和漏洞,并针对这些缺陷实施攻击的技术。黑客技术的作用是双面的,既有攻击性,也有防护作用。研究过黑客技术的管理员会把他的系统和网络配置得更安全。因此,研究黑客也成为一门计算机专门技术。第10章 网 站 的 安 全 1)收集信息 黑客确定了攻击目标以后,首先是想获取目标主机的有用信息,这些信息包
26、括操作系统的类型和版本,主机域名,主机上开放了哪些端口服务,启动了哪些可被利用的守护进程,一些应用程序的版本,主机上的账号,邮件地址等。获取这些信息可以使用扫描工具来完成。信息收集的目的是为了进入所要攻击的目标网络的数据库。黑客会利用下面所讲的公开协议或工具,收集驻留在网络系统中的各个主机系统的相关信息。第10章 网 站 的 安 全 2)探测系统安全弱点 在收集到攻击目标的部分网络信息之后,黑客可以进一步探测网络上的每台主机,以寻求该系统的安全漏洞或安全弱点,黑客进而可以自动扫描驻留在网络上的主机数据。第10章 网 站 的 安 全 某些系统在发现了一些漏洞后会及时提供一些“补丁”程序来弥补,如
27、Windows NT就有多种版本的“补丁”,黑客利用这些“补丁”程序的接口自编程序,通过该接口进入目标系统。如在2003年夏秋之间,一种名为“冲击波”的病毒在运行时会不停地利用IP扫描技术寻找网络上系统为Win 2000或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不断重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统;使被攻击的系统丧失更新该漏洞补丁的能力。第10章 网 站 的 安 全 3)使用攻击程序 黑客可以使用现有的网络程序,
28、包括从ping等简单的命令到自己制作的攻击程序等都是黑客可利用的工具,如Internet的ISS(Internet Scuirity Scanner,电子安全扫描程序)、SATAN(Security Analysis Tool for Auditing Network,审计网络用的安全分析工具)等。这些工具可以对整个网络或子网进行扫描,寻找安全漏洞。这些工具原意是帮助系统管理员发现其管理的网络系统内部隐藏的安全漏洞,从而确定系统中哪些主机需要用“补丁”程序去堵塞漏洞,而黑客也利用了这些工具,收集目标系统的信息,以取得攻击目标系统的非法访问权。第10章 网 站 的 安 全 Trojan hors
29、e远程控制工具,即特洛伊木马,名称取自希腊神话的特洛伊木马记,这个程序具有很大的隐蔽性和非授权性的特点。所谓隐蔽性,是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样系统即使发现已经感染了特洛伊木马,也不能够确定其具体的位置,往往无可奈何,望“马”兴叹;一旦控制端与服务端连接后,控制端将享有被感染特洛伊木马服务端的大部分操作权限,包括修改注册表,修改文件,甚至控制鼠标、键盘等。一类特洛伊木马是以Unix平台为主,程序的功能相对简单,一般是将一段程序嵌入到系统文件中,用跳转指令来执行一些特洛伊木马的控制,使用特洛伊木马必须具备一定的网络和编程知识。随着Windows系统的广泛使用,
30、出现了基于图形操作的特洛伊木马程序,使用者不必懂太多的专业知识就可以熟练地操作木马侵入他人的系统,因此入侵事件也频频发生。此外特洛伊功能也不断完善,因此对服务端的破坏也更大了。木马发展到今天,几乎无所不用,一旦被木马控制,电脑系统将毫无秘密可言。第10章 网 站 的 安 全 蠕虫与普通病毒不同,它是一种可以通过永久性网络连接或通过拨号网络进行自身复制的程序。一般病毒需要在计算机的硬盘或文件系统中复制,而典型的蠕虫程序可能在内存中维持一个活动副本,所以硬盘中查不到写入的任何信息。蠕虫有两种不同的变形,一种只能在一台计算机中运行,像一般应用程序一样。这种程序只会使用系统的网络连接把自身复制到其他系
31、统中,或者用于信息中继。根据蠕虫程序的设计,它既可能在原始系统留下一份副本,也可能完成向新主机复制后就不再留下副本。第10章 网 站 的 安 全 第二种计算机蠕虫程序实际上是使用网络连接作为神经系统,使各网段中的自身代码可以在多个系统中运行。如果在此基础上有一个中心节点对这些网段的蠕虫进行协调,则这种蠕虫程序就被喻为章鱼(Octopus)程序。蠕虫是一种可以在网上不同主机间传播,而无需修改目标主机上其他程序的一类程序。蠕虫能够透过计算机网络在主机之间传递,但它不一定会破坏任何软件和硬件。蠕虫不断通过计算机网络将自己传送到各处,最后由于不断的扩张使得系统不胜负荷。蠕虫通常是秘密地在网络内传输的,
32、并且不断地收集包含密码或文件在内的信息,严重地消耗系统资源和带宽。第10章 网 站 的 安 全 黑客可利用的其他程序与协议还有:SNMP协议:查阅网络系统路由器的路由表,以此来探测目标主机网络中的拓扑结构及其内部各个细节。TraceRoute程序:使用该程序能够获得到达目标主机所要经过的网络数和路由器数。Whois协议:该协议的服务信息能提供所有有关的DNS域和相关的管理参数。DNS服务器:该服务器提供了系统中所有可以访问的主机的IP地址表和它们所对应的主机名。第10章 网 站 的 安 全 Finger协议:用来获取一个指定主机上的所有用户的详细信息(如用户注册名、电话号码、最后注册时间以及他
33、们有没有读邮件等等)Wardialing软件:可以向目标站点一次连续拨出大批电话号码,直到遇到某一正确的号码使其Modem响应。第10章 网 站 的 安 全 3实施攻击实施攻击 1)口令攻击 黑客开始实施攻击时,口令攻击是网上黑客攻击最常用的方法之一,也是大多数入侵者开始网络攻击的第一选择。首先入侵者通过系统常用服务或对网络通信进行监听来搜集账号,当找到主机上的账号后,就采用字典穷举法进行攻击。也可以通过一些破解程序对账号和口令进行破解,如果成功,就可利用此账号登录到远程主机上,再酝酿下一步的攻击计划。实施的攻击行为还有破坏系统程序、放置病毒、窃取主机重要信息以及进行电子邮件骚扰等等一些破坏活
34、动。因此,就有了黑客常利用的安全弱点和漏洞进行的攻击手段,形成黑客攻击技术。第10章 网 站 的 安 全 2)服务攻击 服务攻击所采用的手段主要有以下几种:(1)和目标主机建立大量的连接。因为目标主机要为每次网络连接提供网络资源,所以当连接速率足够高、连接数量足够多时会使目标主机的网络资源耗尽,从而导致主机瘫痪、重启、死机或黑(蓝)屏。(2)向远程主机发送大量的数据包。因为目标主机要为每次到来的数据分配缓冲区,所以当数据量足够大时会使目标主机的网络资源耗尽,从而导致主机瘫痪、重启、死机或黑(蓝)屏。第10章 网 站 的 安 全 (3)利用网络软件在实现协议时的漏洞向目标主机发送特定格式的数据包
35、从而导致目的主机瘫痪。(4)其他一切可以导致目标主机缓冲区溢出的手段。系统溢出可导致入侵者伺机提升权限,获取信息或执行任意程序。第10章 网 站 的 安 全10.3 防防 范范 措措 施施10.3.1 系统内部安全措施系统内部安全措施 1确保口令的安全确保口令的安全 确保口令的安全是最为基本的要求,因为即使所有安全措施都确实有效,一旦人为地口令泄密,都会造成系统很大的损失。因此不要将口令随便写下来,不要将口令存放在电脑文件中,不要选取特征特别明显的信息,如英语单词、姓名、生日、电话号码、住址门牌号等作为口令。不要在不同的系统中使用同一个口令,不要将口令起的过短和过于简单,一般用户使用口令长度最
36、多是6位,黑客使用穷举法也从6位开始。因此口令应当至少8位以上,且必须定期更换口令。此外,还要注意软件版本的升级,及时安装补丁程序并每天定期检查系统配置的安全性。第10章 网 站 的 安 全 2端口管理端口管理 关掉不必需的服务及端口,减少黑客入侵的途径。计算机“端口”(Port)可以认为是计算机与外界通信交流的接口。端口可分为硬件端口与软件端口,其中硬件端口又称接口:集线器、交换机、路由器的端口指的是连接其他网络设备的接口,如RJ-45端口、串口、USB接口等。软件端口不是指物理意义上的端口,而是特指TCP/IP协议中的端口,这只是逻辑意义上的端口。第10章 网 站 的 安 全 如果把IP地
37、址比作一间房子,端口就是出入这间房子的门户,一个IP地址的端口可以有65 536个之多。端口是通过端口号来标记的,端口号只有整数,范围是065 535。当然,端口号也不是随意使用的,而是按照一定的规定进行分配。有多种端口的分类标准,一般有众知端口(Well Known Ports)和动态端口(Dynamic Ports)。众知端口也称为公认端口,范围为01023,主要绑定一系列服务。这些端口明确表明了特定的一种服务,如HTTP超文本输传协议为80等,其他常用的公认端口如表10.1所示。第10章 网 站 的 安 全表表10.1 网络常用众知端口网络常用众知端口端口 名 称 注 解 1 TCP P
38、ort Service Multiplexer TCP 协议端口服务多路开关选择器 5 Remote Job Entry 远程作业登录 18 Msp Message Send Protocol 消息发送协议 20 Ftp-data file Transfer 文件传输协议(数据口)21 Ftp File Transfer Control 文件传输协议(控制)23 Telnet 仿真终端协议 25 Simple Mail Transfer 简单邮件发送协议 42 WINS Host Name Server WINS 主机名服务 49 Login Host Protocol 主机登录协议 50 R
39、emote Mail Checking Protocol 远程邮件检查协议 51 IMP Logical Address Maintenance IMP 逻辑地址维护 53 Domain Name Server 域名服务器 62 ACA Service 异步通信适配器服务 70 Gopher 信息检索协议 80 WWW http 超文本传输协议 92 Network Print Protocol 网络打印协议 110 Post office Protoco Version 3 邮局协议第 3 版 139 NetBIOS Session Server Net BIOS 会话服务 第10章 网 站
40、 的 安 全 众知端口是众所周知的端口号,分配给WWW服务的是80端口,上网时在IE的地址栏里输入一个网址的时候(比如)是不必指定端口号的,因为在默认情况下WWW服务的端口号是80。如果使用特别端口,就需要另外指定端口号,如不使用默认的端口号可在地址栏上指定端口号,方法是在地址后面加上冒号“:”(半角),再加上端口号。比如,要使用8080作为WWW服务的端口,则需要在地址栏里输入“:8080”。也有些系统协议使用固定的端口号,它是不能被改变的,比如139端口专门用于NetBIOS与TCP/IP之间的通信。另外,由于TCP/IP传输层中的TCP和UDP两个协议是两个完全独立的模块,因此所使用的端
41、口号也互不相干,可以使用同一端口号。第10章 网 站 的 安 全 另一类是动态端口,范围是102465 535。通常不固定分配某种服务,而是动态分配。动态分配是指当一个系统进程或应用程序进程需要网络通信时,它向主机申请一个端口,主机从可用的端口号中分配一个供它使用。当这个进程关闭时,同时也就释放了所占用的端口号。一台拥有IP地址的主机可以提供许多种类服务,如Web服务、FTP服务、Telnet服务等,而IP地址有一个,那么主机区分不同的网络服务显然不能只靠IP地址,实际上通过“IP地址+端口号”就可以实现IP地址与网络服务的一对多关系。第10章 网 站 的 安 全 服务器与客户机的端口并不是一
42、一对应的。如一电脑作为客户机上网访问一台Web服务器时,服务器使用80端口与客户机通信,而客户机电脑可能使用另外一个端口。查看端口的方式有两种:一种是利用系统内置的命令,一种是利用第三方端口扫描软件。系统内置命令可以在命令提示符下使用“netstat-a”查看系统端口状态,可以列出系统正在开放的端口号及其状态,如图10.1所示。第10章 网 站 的 安 全图10.1 naestat-a 运行结果显示第10章 网 站 的 安 全 图10.1所示屏幕显示中,Proto为协议,Local Address为本地主机名与端口号,Foreign Address为外部地址,State是状态情况。利用第三方端
43、口扫描软件,虽然界面不同,但功能却是类似的。如Fport是一个显示端口与对应程序的软件,可以到网上下载。它在DOS界面下运行,运行结果与netstat-a相似,但是它不仅能够列出正在使用的端口号及类型,还可以列出端口被哪个应用程序使用。第10章 网 站 的 安 全 黑客程序通常是通过系统的端口漏洞来入侵系统的,因此对端口的管理是网管工作的一个非常重要的方面。在Windows 2000 Server中可以通过以下操作进行端口管理:双击任务栏右下角的网络连接图标,再双击打开本地连接状态对话框,点击“属性”按钮,再选中“Internet协议(TCP/IP)”,如图10.2所示。然后单击“属性”按钮,
44、在弹出的“Internet协议(TCP/IP)”对话框中单击“高级”按钮,得到图10.3所示窗口。第10章 网 站 的 安 全图10.2 本地连接属性窗口第10章 网 站 的 安 全图10.3 Internet协议(TCP/IP)属性窗口第10章 网 站 的 安 全 单击“高级”按钮,在屏幕出现的“高级TCP/IP设置”对话框中选择选项标签,如图10.4所示。图10.4 高级TCP/IP设置第10章 网 站 的 安 全 在图10.5所示对话框中选择“TCP/IP筛选”,然后再单击“属性”按钮。图10.5 高级TCP/IP设置中的TCP/IP筛选第10章 网 站 的 安 全 在“TCP/IP筛选
45、”对话框里选择“启用TCP/IP筛选(所有适配器)”复选框,然后点选左边“TCP端口”上的“只允许”,并依次添加允许使用的端口,如21、22、25、80等(如图10.6所示)。重新启动以后,未经允许的端口就关闭了。第10章 网 站 的 安 全图10.6 TCP/IP筛选中端口的设置第10章 网 站 的 安 全 3常用网管命令常用网管命令 以上所讲的netstat是在DOS界面下运行的命令,以这种形式执行的命令具有速度快、直观明了的优点。因此尽管是在Windows视窗界面下进行各种操作,但系统还是安排了许多这类DOS界面下运行的命令。可以点击“开始”,选择“运行”,随后在出现的对话框中输入命令;
46、也可以选输入cmd回车,屏幕进入DOS界面,然后在符号后输入需执行的命令。下面是几个常用的网络命令,了解和掌握它们将会有助于更好地使用和维护网络。第10章 网 站 的 安 全1)ping-t-a-n count-l size参数:-a:以IP地址格式来显示目标主机的网络地址。-n count:指定要ping多少次,具体次数由后面的count来指定。-l size:指定发送到目标主机的数据包的大小。-t:让用户所在的主机不断向目标主机发送数据。以上是主要的参数,键入ping后回车,其中会有更详细的说明。第10章 网 站 的 安 全 作用:用于测量一帧数据从一台主机传输到另一台主机所需的时间,从而
47、判断主响应时间。该命令主要是用来检查路由是否能够到达,由于该命令的包长非常小,因此在网上传递的速度非常快,可以快速检测要去的站点是否可到达,如果执行ping不成功,则可以预测故障出现在以下几个方面:网线是否连通,网络适配器配置是否正确,IP地址是否可用等;如果执行ping成功而网络仍无法使用,那么问题很可能出在网络系统的软件配置方面,ping成功只能保证当前主机与目的主机间存在一条连通的物理路径。ping的使用格式是在命令提示符下键入:ping IP地址或主机名,执行结果显示响应时间,重复执行这个命令,可以发现ping报告的响应时间是不同的。第10章 网 站 的 安 全 如要访问一个站点,可以
48、利用ping程序来测试目前连接该网站的速度。在运行对话框中输入ping ,接着该程序就会向指定的Web网址的主服务器发送一个32字节的消息,然后,它将服务器的响应时间记录下来。ping程序将会向用户显示四次测试的结果,响应时间低于300 ms都可以认为是正常的,时间超过400 ms则较慢。出现请求暂停(Request time out)信息意味着网址没有在1 s内响应,这表明服务器没有对ping作出响应的配置或者网址反应极慢。如果累计达到4个请求暂停信息,说明网址拒绝ping请求,因为过多的ping测试本身会产生堵塞。如果网址很忙或者出于其他原因运行速度很慢,可过一段时间再试一次以确定是否真的
49、有故障。第10章 网 站 的 安 全 2)winipcfg/?/all (适合于Windows 98)运行winipcfg/?或winipcfg all显示winipcfg的格式和说明。运行winipcfg/all显示用户所在主机内部的IP协议的配置信息。图10.7 Windows 98中IP配置第10章 网 站 的 安 全 作用:winipcfg程序采用Windows窗口的形式来显示IP协议的具体配置信息,如果winipcfg命令后面不跟任何参数直接运行,程序将会在窗口中显示网络适配器的物理地址、主机的IP地址、子网掩码以及默认网关等,还可以查看主机的相关信息,如主机名、DNS服务器、节点类
50、型等。其中,网络适配器的物理地址在检测网络错误时非常有用。在命令提示符下键入winipcfg/?可获得winipcfg的使用帮助,键入winipcfg/all可获得IP配置的所有属性。要了解主机的IP协议的具体配置,可以使用winipcfg命令来检测。在运行对话框中,输入winipcfg命令,屏幕出现图10.7所示界面。第10章 网 站 的 安 全 在该界面中,可以了解目前计算机网卡的物理地址是44-45-53-54-00-00,主机的IP地址是210.73.140.13,子网掩码是255.255.255.192。更加详细的配置信息,可以直接单击该界面中的“详细信息”按钮,屏幕将显示图10.8
