第2章網(wǎng)絡(luò)通信安全2.1網(wǎng)絡(luò)通信的安全性2.2TCP/IP協(xié)議存在的安全威脅2.3遠(yuǎn)程訪問(wèn)的安全

2.4小結(jié)習(xí)題與思考題第2章網(wǎng)絡(luò)通信安全2.1網(wǎng)絡(luò)通信的安全性12.1網(wǎng)絡(luò)通信的安全性 2.1.1網(wǎng)絡(luò)通信線路的安全性 網(wǎng)絡(luò)通信線路的安全問(wèn)題主要有以下六個(gè)方面。 1.電磁泄露 絡(luò)端口、傳輸線路和計(jì)算機(jī)都有可能因屏蔽不嚴(yán)或未屏蔽而造成電磁泄露。目前，大多數(shù)機(jī)房屏蔽和防輻射設(shè)施都不健全，通信線路也同樣容易出現(xiàn)信息泄露。2.1網(wǎng)絡(luò)通信的安全性 2.1.1網(wǎng)絡(luò)通信線路的安全性2 2.搭線竊聽(tīng) 隨著信息傳遞量的不斷增加，傳遞數(shù)據(jù)的密級(jí)也在不斷提高，犯罪分子為了獲取大量情報(bào)，可能監(jiān)聽(tīng)通信線路，非法接收信息。 3.非法終端 有可能在現(xiàn)有終端上并接一個(gè)終端，或合法用戶從網(wǎng)上斷開(kāi)時(shí)，非法用戶乘機(jī)接入，并操縱該計(jì)算機(jī)通信接口使信息傳到非法終端。 4.非法入侵 非法分子通過(guò)技術(shù)滲透或利用電話線侵入網(wǎng)絡(luò)，非法使用、破壞或獲取數(shù)據(jù)和系統(tǒng)資源。目前的網(wǎng)絡(luò)系統(tǒng)大都采用口令驗(yàn)證機(jī)制來(lái)防止非法訪問(wèn)，一旦口令被竊，就無(wú)安全可言。 2.搭線竊聽(tīng)3 5.注入非法信息 通過(guò)電話線有預(yù)謀地注入非法信息，截獲所傳信息，再刪除原有信息或注入非法信息后再發(fā)出，使接收者收到錯(cuò)誤信息。 6.線路干擾 當(dāng)公共轉(zhuǎn)接載波設(shè)備陳舊和通信線路質(zhì)量低劣時(shí)，會(huì)產(chǎn)生線路干擾。如調(diào)制解調(diào)器會(huì)隨著傳輸速率的上升，迅速增加錯(cuò)誤。 5.注入非法信息4 對(duì)于網(wǎng)絡(luò)通信線路的安全問(wèn)題通常采用數(shù)據(jù)加密、用戶認(rèn)證和室外使用光纜傳輸介質(zhì)等措施來(lái)解決。近年來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)由于電磁輻射使信息被截獲而失密的案例很多，這種截獲，其距離可達(dá)幾百甚至千米，給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害。為了防止計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中信息在空間上擴(kuò)散，通常在物理上采取對(duì)主機(jī)房和重要部門進(jìn)行屏蔽處理的防護(hù)措施，以減少擴(kuò)散出去的空間信號(hào)。終端分散的重要部門采取主動(dòng)式的干擾設(shè)備(如干擾機(jī))來(lái)干擾擴(kuò)散出去的空間信號(hào)，以破壞信息的竊取。 對(duì)于網(wǎng)絡(luò)通信線路的安全問(wèn)題通常采用數(shù)據(jù)加密、用戶認(rèn)證和室5 2.1.2網(wǎng)絡(luò)層次結(jié)構(gòu)的安全性 TCP/IP的不同層次提供的安全性不同。表2-1描述了TCP/IP與OSI模型相應(yīng)層次的安全措施。下面將重點(diǎn)介紹TCP/IP不同層次的安全性和提高各層安全性的方法。 2.1.2網(wǎng)絡(luò)層次結(jié)構(gòu)的安全性6表2-1TCP/IP協(xié)議與OSI模型的安全性表2-1TCP/IP協(xié)議與OSI模型的安全性7 1.網(wǎng)絡(luò)層的安全性

在過(guò)去十年里，對(duì)網(wǎng)絡(luò)層的安全協(xié)議已經(jīng)提出了一些方案。例如，“安全協(xié)議3號(hào)(SecureProtocol3—SP3)”就是美國(guó)國(guó)家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為“安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)(SecureDataNetworkSystem—SDNS)”的一部分而制定的。“網(wǎng)絡(luò)層安全協(xié)議(NetworkLayerSecureProtocol—NLSP)”是由國(guó)際標(biāo)準(zhǔn)化組織為“無(wú)連接網(wǎng)絡(luò)協(xié)議(ConnectionlessNetworkProtocol—CLNP)”制定的安全協(xié)議標(biāo)準(zhǔn)。這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上，它們用的都是IP封裝技術(shù)。其本質(zhì)是，純文本的包被加密后，封裝在外層的IP報(bào)頭里，用來(lái)對(duì)加密的包進(jìn)行Internet上的路由選擇。到達(dá)另一端時(shí)，外層的IP報(bào)頭被拆開(kāi)，報(bào)文被解密，然后送到收?qǐng)?bào)地點(diǎn)。

1.網(wǎng)絡(luò)層的安全性8 網(wǎng)絡(luò)層安全性的主要優(yōu)點(diǎn)是它的透明性，也就是說(shuō)，安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)。它的最主要的缺點(diǎn)是網(wǎng)絡(luò)層一般對(duì)屬于不同進(jìn)程和相應(yīng)條例的包不作區(qū)別。對(duì)所有去往同一地址的包，它將按照同樣的加密密鑰和訪問(wèn)控制策略來(lái)處理。這可能導(dǎo)致提供不了所需的功能，也會(huì)導(dǎo)致性能下降。針對(duì)面向主機(jī)的密鑰分配的這些問(wèn)題，推薦使用面向用戶的密鑰分配，其中，不同的連接會(huì)得到不同的加密密鑰。但是，面向用戶的密鑰分配需要對(duì)相應(yīng)的操作系統(tǒng)內(nèi)核作比較大的改動(dòng)。 網(wǎng)絡(luò)層安全性的主要優(yōu)點(diǎn)是它的透明性，也就是說(shuō)，安全服務(wù)的9 簡(jiǎn)而言之，網(wǎng)絡(luò)層是非常適合提供基于主機(jī)對(duì)主機(jī)的安全服務(wù)的。相應(yīng)的安全協(xié)議可以用來(lái)在Internet上建立安全的IP通道和虛擬私有網(wǎng)。例如，利用它對(duì)IP包的加密和解密功能，可以簡(jiǎn)捷地強(qiáng)化防火墻系統(tǒng)的防衛(wèi)能力。RSA數(shù)據(jù)安全公司已經(jīng)發(fā)起了一個(gè)倡議，來(lái)推進(jìn)多家防火墻和TCP/IP軟件廠商聯(lián)合開(kāi)發(fā)虛擬私有網(wǎng)。該倡議被稱為安全廣域網(wǎng)(SecureWideAreaNetwork—S-WAN)倡議，其目標(biāo)是制訂和推薦Internet層的安全協(xié)議標(biāo)準(zhǔn)。 簡(jiǎn)而言之，網(wǎng)絡(luò)層是非常適合提供基于主機(jī)對(duì)主機(jī)的安全服務(wù)的10 2.傳輸層的安全性 在Internet應(yīng)用編程中，通常使用廣義的進(jìn)程間通信機(jī)制來(lái)與不同層次的安全協(xié)議打交道。在Internet中提供安全服務(wù)的首先一個(gè)想法便是強(qiáng)化它的進(jìn)程間通信的界面，具體做法包括雙端實(shí)體的認(rèn)證，數(shù)據(jù)加密密鑰的交換等。Netscape通信公司遵循了這個(gè)思路，制定了建立在如TCP/IP所提供的在可靠的傳輸服務(wù)基礎(chǔ)上的安全套接層協(xié)議(SecureSocketLayer—SSL)。SSL版本3于1995年12月制定，它主要包含兩個(gè)協(xié)議。一個(gè)是SSL記錄協(xié)議，它涉及應(yīng)用程序提供的信息的分段、壓縮、數(shù)據(jù)認(rèn)證和加密。另一個(gè)是SSL握手協(xié)議，用來(lái)交換版本號(hào)、加密算法、相互身份認(rèn)證并交換密鑰。 2.傳輸層的安全性11

前面已介紹網(wǎng)絡(luò)層安全機(jī)制的主要優(yōu)點(diǎn)是它的透明性，即安全服務(wù)的提供不要求應(yīng)用層做任何改變。這對(duì)傳輸層來(lái)說(shuō)是做不到的。原則上，任何TCP/IP應(yīng)用，只要應(yīng)用傳輸層安全協(xié)議(如安全套接層協(xié)議)，就必定要進(jìn)行若干修改以增加相應(yīng)的功能，并使用稍微有些不同的進(jìn)程間通信的界面。于是，傳輸層安全機(jī)制的主要缺點(diǎn)就是要對(duì)傳輸層進(jìn)程間通信的界面和應(yīng)用程序兩端都進(jìn)行修改。可是，比起網(wǎng)絡(luò)層和應(yīng)用層的安全機(jī)制來(lái)，這里的修改還是相當(dāng)小的。另一個(gè)缺點(diǎn)是，基于用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol—UDP)的通信很難在傳輸層建立起安全機(jī)制來(lái)。同網(wǎng)絡(luò)層安全機(jī)制相比，傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對(duì)進(jìn)程的(而不是主機(jī)對(duì)主機(jī)的)安全服務(wù)。這一成就如果再加上應(yīng)用層的安全服務(wù)，就可以更安全。 前面已介紹網(wǎng)絡(luò)層安全機(jī)制的主要優(yōu)點(diǎn)是它的透明性，即安全服12 3.應(yīng)用層的安全性 網(wǎng)絡(luò)層(傳輸層)的安全協(xié)議允許為主機(jī)(進(jìn)程)之間的數(shù)據(jù)通道增加安全屬性。本質(zhì)上，這意味著真正的、機(jī)密的數(shù)據(jù)通道還是建立在主機(jī)(或進(jìn)程)之間，但卻不可能區(qū)分在同一通道上傳輸?shù)囊粋€(gè)具體文件的安全性要求。比如說(shuō)，如果一個(gè)主機(jī)與另一個(gè)主機(jī)之間建立起一條安全的IP通道，那么所有在這條通道上傳輸?shù)腎P包就都要自動(dòng)地被加密。同樣，如果一個(gè)進(jìn)程和另一個(gè)進(jìn)程之間通過(guò)傳輸層安全協(xié)議建立起了一條安全的數(shù)據(jù)通道，那么兩個(gè)進(jìn)程間傳輸?shù)乃邢⒕投家詣?dòng)地被加密。 3.應(yīng)用層的安全性13 如果確實(shí)想要區(qū)分一個(gè)具體文件的不同的安全性要求，那么就必須借助于應(yīng)用層的安全性。提供應(yīng)用層的安全服務(wù)實(shí)際上是最靈活的處理單個(gè)文件安全性的手段。例如一個(gè)電子郵件系統(tǒng)可能需要對(duì)要發(fā)出的信件的個(gè)別段落實(shí)施數(shù)據(jù)簽名。較低層的協(xié)議提供的安全功能一般不會(huì)知道任何要發(fā)出的信件的段落結(jié)構(gòu)，從而不可能知道該對(duì)哪一部分進(jìn)行簽名。只有應(yīng)用層是惟一能夠提供這種安全服務(wù)的層次。 如果確實(shí)想要區(qū)分一個(gè)具體文件的不同的安全性要求，那么就必14 目前還沒(méi)有Web安全性的公認(rèn)標(biāo)準(zhǔn)。這樣的標(biāo)準(zhǔn)只能由萬(wàn)維網(wǎng)協(xié)會(huì)(WWWConsortium)、Internet工程任務(wù)組(InternetEngineeringTaskForce—IETF)或其他有關(guān)的標(biāo)準(zhǔn)化組織來(lái)制定。而正式的標(biāo)準(zhǔn)化過(guò)程是漫長(zhǎng)的，可能要拖上好幾年，直到所有的標(biāo)準(zhǔn)化組織都充分認(rèn)識(shí)到Web安全的重要性。安全的超文本傳輸協(xié)議(SecureHypertextTransferProtocol—S-HTTP)和SSL是從不同角度提供Web的安全性的。S-HTTP對(duì)單個(gè)文件作“私人/簽字”的區(qū)分，而SSL則把參與通信的相應(yīng)進(jìn)程之間的數(shù)據(jù)通道按“私用”和“已認(rèn)證”進(jìn)行監(jiān)管。 目前還沒(méi)有Web安全性的公認(rèn)標(biāo)準(zhǔn)。這樣的標(biāo)準(zhǔn)只能由萬(wàn)維網(wǎng)152.2TCP/IP協(xié)議存在的安全威脅 2.2.1TCP/IP協(xié)議概述 1.TCP/IP協(xié)議組簡(jiǎn)介 TCP/IP協(xié)議是網(wǎng)絡(luò)中使用的基本通信協(xié)議，雖然從名字上看TCP/IP協(xié)議包括兩個(gè)協(xié)議，即傳輸控制協(xié)議(TCP)和網(wǎng)際協(xié)議(IP)，但TCP/IP協(xié)議實(shí)際上是一組協(xié)議，包括上百個(gè)互為關(guān)聯(lián)的協(xié)議，最常用的是下面幾個(gè)協(xié)議。2.2TCP/IP協(xié)議存在的安全威脅 2.2.1TCP16 (1)Telnet(RemoteLogin)是遠(yuǎn)程登錄協(xié)議，它的作用就是讓用戶以模擬終端的方式，登錄到Internet的某臺(tái)主機(jī)上。一旦連接成功，這些個(gè)人計(jì)算機(jī)就好像是遠(yuǎn)程計(jì)算機(jī)的一個(gè)終端，可以像使用自己的計(jì)算機(jī)一樣輸入命令，運(yùn)行遠(yuǎn)程計(jì)算機(jī)中的程序。 (2)FTP(FileTransferProtocol)是遠(yuǎn)程文件傳輸協(xié)議，它允許用戶在遠(yuǎn)程主機(jī)和自己的電腦之間互相Copy文件(也可刪除改名等)。 (3)SMTP(SampleMailTransferProtocol)是簡(jiǎn)單郵政傳輸協(xié)議，用于傳輸電子郵件。 (1)Telnet(RemoteLogin)是遠(yuǎn)17 (4)?NFS(NetworkFileSystem)是網(wǎng)絡(luò)文件系統(tǒng)，可使多臺(tái)計(jì)算機(jī)透明地訪問(wèn)彼此的目錄。 (5)?UDP(UserDatagramProtocol)是用戶數(shù)據(jù)報(bào)協(xié)議，它和TCP協(xié)議一樣位于傳輸層，和IP協(xié)議配合使用，在傳輸數(shù)據(jù)時(shí)省去包頭，但它不能提供數(shù)據(jù)包的重傳，所以適合傳輸較短的文件。 (4)?NFS(NetworkFileSystem18 2.?TCP/IP協(xié)議的數(shù)據(jù)傳輸原理 TCP/IP協(xié)議的基本傳輸單位是數(shù)據(jù)包(DataGram)。TCP協(xié)議負(fù)責(zé)把數(shù)據(jù)分成若干個(gè)數(shù)據(jù)包，并給每個(gè)數(shù)據(jù)包加上包頭(就像給一封信加上信封)。包頭上有相應(yīng)的編號(hào)，以保證在數(shù)據(jù)接收端能將數(shù)據(jù)還原為原來(lái)的格式。IP協(xié)議在每個(gè)包頭上再加上接收端主機(jī)地址，這樣數(shù)據(jù)就會(huì)找到自己要去的地方(就像信封上要寫明地址一樣)。如果傳輸過(guò)程中出現(xiàn)數(shù)據(jù)丟失、數(shù)據(jù)失真等情況，TCP協(xié)議會(huì)自動(dòng)要求數(shù)據(jù)重新傳輸，并重新組包。總之，IP協(xié)議保證數(shù)據(jù)的傳輸，TCP協(xié)議保證數(shù)據(jù)的質(zhì)量。 2.?TCP/IP協(xié)議的數(shù)據(jù)傳輸原理19 3.?TCP/IP協(xié)議的層次結(jié)構(gòu) TCP/IP協(xié)議數(shù)據(jù)的傳輸基于TCP/IP協(xié)議的四層結(jié)構(gòu)，分別是應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層(接口層)。數(shù)據(jù)在傳輸中每通過(guò)一層就要在數(shù)據(jù)上加個(gè)包頭，其中的數(shù)據(jù)供接收端同一層協(xié)議使用，而在接收端，每經(jīng)過(guò)一層要把用過(guò)的包頭去掉，這樣來(lái)保證傳輸數(shù)據(jù)的格式完全一致。 TCP/IP協(xié)議簇中的協(xié)議分布在這四層結(jié)構(gòu)中，如圖2-2-1所示。可見(jiàn)，TCP/IP協(xié)議組中的TCP協(xié)議位于傳輸層，IP協(xié)議位于網(wǎng)絡(luò)層。 3.?TCP/IP協(xié)議的層次結(jié)構(gòu)20圖2-2-1TCP/IP協(xié)議組四層結(jié)構(gòu)圖2-2-1TCP/IP協(xié)議組四層結(jié)構(gòu)21 4.TCP/IP協(xié)議的包頭結(jié)構(gòu) TCP/IP協(xié)議的基本傳輸單位是數(shù)據(jù)包。TCP協(xié)議將上層應(yīng)用傳送的報(bào)文(較長(zhǎng)的數(shù)據(jù)信息)劃分成較小數(shù)據(jù)段，并在每個(gè)數(shù)據(jù)段加上TCP包控制頭(其中包括宿主機(jī)地址，數(shù)據(jù)重構(gòu)所需的信息和防止信息包被毀壞的信息)，從而形成了TCP包，其結(jié)構(gòu)如圖2-2-2所示。 4.TCP/IP協(xié)議的包頭結(jié)構(gòu)22圖2-2-2TCP的包頭結(jié)構(gòu)圖2-2-2TCP的包頭結(jié)構(gòu)23

在TCP包形成后，TCP將它交給IP，IP將它作進(jìn)一步的分解，并加上控制頭(其中包括地址信息，以及裝載的TCP信息和數(shù)據(jù))，從而形成了IP包，其結(jié)構(gòu)如圖2-2-3所示。圖2-2-3IP包頭結(jié)構(gòu) 在TCP包形成后，TCP將它交給IP，IP將它作進(jìn)一步的24 2.2.2TCP/IP協(xié)議的安全問(wèn)題

TCP/IP協(xié)議是進(jìn)行一切互聯(lián)網(wǎng)上活動(dòng)的基礎(chǔ)，沒(méi)有它信息就不可能在不同操作系統(tǒng)、在不同通信協(xié)議中來(lái)去自由。也許是因?yàn)楫?dāng)時(shí)網(wǎng)絡(luò)軟、硬件設(shè)備的局限性，當(dāng)初設(shè)計(jì)該協(xié)議時(shí)就著重考慮了網(wǎng)絡(luò)的速度，而對(duì)網(wǎng)絡(luò)的安全性沒(méi)作太多的考慮，甚至根本沒(méi)作考慮，也許是當(dāng)時(shí)開(kāi)發(fā)TCP/IP協(xié)議的人根本沒(méi)有預(yù)料互聯(lián)網(wǎng)會(huì)發(fā)展如此迅速，所以說(shuō)TCP/IP本身在安全設(shè)計(jì)上就先天不足。 TCP/IP協(xié)議雖然經(jīng)過(guò)了一次又一次的改版、升級(jí)，但終因先天和考慮到軟件的可繼承性的原因，仍存在諸多安全缺陷不能就在原程序上修修改改全部解決，目前互聯(lián)網(wǎng)的安全性主要體現(xiàn)在下面的六個(gè)方面的問(wèn)題。 2.2.2TCP/IP協(xié)議的安全問(wèn)題25 1.網(wǎng)上信息易被竊取

大多數(shù)互聯(lián)網(wǎng)上的信息是沒(méi)有經(jīng)過(guò)加密的，如電子郵件、網(wǎng)頁(yè)中輸入口令或填寫個(gè)人資料、文件傳輸?shù)冗@一切都很容易被一些別有用心的人監(jiān)聽(tīng)和劫持，其實(shí)這就是TCP/IP通信協(xié)議在安全性方面的一個(gè)漏洞。 為什么互聯(lián)網(wǎng)上的信息極易被竊取呢？這就要從互聯(lián)網(wǎng)連接的特點(diǎn)來(lái)說(shuō)了。互聯(lián)網(wǎng)是一種網(wǎng)間網(wǎng)技術(shù)，也就是說(shuō)它就是把無(wú)數(shù)的局域網(wǎng)相連起來(lái)形成的一個(gè)大網(wǎng)，這個(gè)大網(wǎng)又與其他由無(wú)數(shù)局域網(wǎng)連接起來(lái)的大網(wǎng)相連來(lái)組成一個(gè)更大的網(wǎng)，就這樣不斷地互連就形成了通常所說(shuō)的互聯(lián)網(wǎng)，它沒(méi)有絕對(duì)的大小，但通常把世界上所有連在一起的計(jì)算機(jī)所形成的網(wǎng)統(tǒng)稱為互聯(lián)網(wǎng)。但說(shuō)到底它也是個(gè)類局域網(wǎng)。 1.網(wǎng)上信息易被竊取26 正因?yàn)榛ヂ?lián)網(wǎng)的龐大，所以它的拓?fù)浣Y(jié)構(gòu)比一般局域網(wǎng)更復(fù)雜，互聯(lián)網(wǎng)的拓?fù)涫且环N逐步細(xì)化的樹(shù)狀結(jié)構(gòu)，雖然互聯(lián)網(wǎng)上的傳輸是點(diǎn)對(duì)點(diǎn)的，但一般互聯(lián)網(wǎng)上的主機(jī)往往是處于某一個(gè)局域網(wǎng)中，局域網(wǎng)(如以太網(wǎng)、令牌網(wǎng)等)都是廣播型網(wǎng)絡(luò)，也就是說(shuō)一臺(tái)主機(jī)發(fā)布消息，網(wǎng)上任何一臺(tái)機(jī)器都可以收到這個(gè)消息。 一般情況下，以太網(wǎng)卡在經(jīng)過(guò)比較后發(fā)現(xiàn)是別人的消息時(shí)會(huì)自動(dòng)丟棄消息，而不向上層(即本機(jī))傳遞消息。 正因?yàn)榛ヂ?lián)網(wǎng)的龐大，所以它的拓?fù)浣Y(jié)構(gòu)比一般局域網(wǎng)更復(fù)雜，27 但以太網(wǎng)卡的接收模式可以設(shè)置成混合型，這樣網(wǎng)卡就會(huì)捕捉所有的數(shù)據(jù)包，并把這些數(shù)據(jù)包向上傳遞，這就是為什么以太網(wǎng)可以被竊聽(tīng)，其實(shí)FDDI、令牌網(wǎng)也存在這樣問(wèn)題。現(xiàn)在人們經(jīng)常談?wù)摰腁TM網(wǎng)絡(luò)技術(shù)是絕對(duì)的點(diǎn)對(duì)點(diǎn)通信的，它不像以太網(wǎng)的廣播式那樣容易被竊聽(tīng)。 互聯(lián)網(wǎng)上的信息容易被竊聽(tīng)和劫獲的另一個(gè)原因是，當(dāng)某人用一臺(tái)主機(jī)和另外一個(gè)遠(yuǎn)程主機(jī)進(jìn)行通信時(shí)，他們之間互相發(fā)送的數(shù)據(jù)包要經(jīng)過(guò)很多機(jī)器重重轉(zhuǎn)發(fā)。具體要經(jīng)過(guò)多少主機(jī)、多少路由器和多少網(wǎng)絡(luò)，用戶可以用一個(gè)網(wǎng)絡(luò)調(diào)試工具得到，這個(gè)工具就是Traceroute，在各種操作系統(tǒng)中都有。在不同操作系統(tǒng)中該命令的名字可能會(huì)有所差異。 但以太網(wǎng)卡的接收模式可以設(shè)置成混合型，這樣網(wǎng)卡就會(huì)捕捉所28 在Windows95、Windows2000中的命令格式為：tracert<IP地址>或<域名>，運(yùn)行后將返回經(jīng)過(guò)的主機(jī)、路由和網(wǎng)絡(luò)信息。如果使用-d選項(xiàng)，則tracert實(shí)用程序?qū)⒉粫?huì)在每個(gè)IP地址上查詢DNS。例如：

C:\WINDOWS\Desktop>tracert Tracingrouteto[96] overamaximumof30hops: 112ms13ms13ms 216ms17ms18ms 311ms11ms10ms77 414ms15ms15ms3 在Windows95、Windows2000中的命令29 523ms23ms21ms 693ms92ms92ms0 799ms99ms101ms69 8116ms113ms111msRTR-AHL-A-S2-0.[70] 9111ms109ms112ms50 10103ms103ms101ms[96] Tracecomplete. C:\WINDOWS\Desktop> 523ms23ms21m30

互聯(lián)網(wǎng)的這種工作原理不但節(jié)約了資源，而且簡(jiǎn)化了傳輸過(guò)程，符合TCP/IP協(xié)議簡(jiǎn)單高效的宗旨，但這也帶來(lái)了安全上的問(wèn)題，這些用來(lái)轉(zhuǎn)發(fā)消息包的機(jī)器完全可以把用戶的信息竊取下來(lái)，同樣如果黑客使用一臺(tái)處于某用戶的數(shù)據(jù)包傳輸路徑上的主機(jī)，那么他就可以竊聽(tīng)或劫持用戶的數(shù)據(jù)包。 2.IP的缺陷導(dǎo)致易被欺騙

1)IP包中的源地址可以偽造 眾所周知，IP地址是可以用軟件配置的，這就存在地址冒充和地址欺騙兩個(gè)安全隱患。IP支持源路由方式，即顯示規(guī)定信息傳送的路徑，也產(chǎn)生路由攻擊隱患。Internet應(yīng)用協(xié)議(如SMTP、Telnet和FTP等)缺乏安全保密等措施。

互聯(lián)網(wǎng)的這種工作原理不但節(jié)約了資源，而且簡(jiǎn)化了傳輸過(guò)程，31 假冒欺騙一般采用源IP地址欺騙攻擊，入侵者偽裝冒充源自一臺(tái)內(nèi)部主機(jī)的一個(gè)外部地點(diǎn)傳送信息包。這些信息包中包含有內(nèi)部系統(tǒng)的源IP地址。另外，在E-mail服務(wù)器中，使用報(bào)文傳輸代理(MessageTransferAgent—MIA)，可以冒名他人，竊取信息。接收主機(jī)相信發(fā)送的主機(jī)，使得郵件的來(lái)源就可以輕而易舉地被欺騙，這就導(dǎo)致了任何沒(méi)有特權(quán)的用戶都可以偽造或欺騙電子郵件。 2)IP包中的“生成時(shí)間”可以偽造 在TCP/IP網(wǎng)絡(luò)中，由于發(fā)送者極易更改主機(jī)的系統(tǒng)時(shí)間，而接收主機(jī)又不作時(shí)間核實(shí)，它相信發(fā)送主機(jī)發(fā)送的時(shí)間，因此這也容易導(dǎo)致偽造和欺騙。 假冒欺騙一般采用源IP地址欺騙攻擊，入侵者偽裝冒充源自一32 3)薄弱的認(rèn)證環(huán)節(jié)

Internet的許多安全問(wèn)題的起源是因?yàn)槭褂昧吮∪醯暮挽o態(tài)的口令。 在TCP/IP網(wǎng)絡(luò)中常常把IP包中的信源/信宿地址作為許多服務(wù)的認(rèn)證的基礎(chǔ)，這樣的認(rèn)證是不可靠的。因?yàn)楦邔拥腡CP和UDP服務(wù)在接收數(shù)據(jù)包時(shí)通常是把IP包中的源地址看作是有效的，TCP和UDP服務(wù)相信數(shù)據(jù)包是從一個(gè)有效的主機(jī)發(fā)送來(lái)的，IP包中包含一個(gè)選項(xiàng)(即源路由)，用來(lái)指定一條源地址和目的地址之間的直接路徑。這條路徑可以包括通常不被用來(lái)向前傳送包的主機(jī)或路由器。 3)薄弱的認(rèn)證環(huán)節(jié)33 對(duì)于一些TCP和UDP的服務(wù)來(lái)說(shuō)，使用了該選項(xiàng)的IP包好像是從路徑上的最后一個(gè)系統(tǒng)來(lái)的，而不是來(lái)自它的真實(shí)地點(diǎn)。這個(gè)選項(xiàng)主要是為了測(cè)試而存在的，它可以被用來(lái)欺騙系統(tǒng)以進(jìn)行平常不被允許的連接。這樣許多依靠IP源地址確認(rèn)的服務(wù)就會(huì)產(chǎn)生問(wèn)題并且會(huì)被非法進(jìn)入。 圖2-2-4說(shuō)明了如何使用這個(gè)選項(xiàng)把攻擊者的系統(tǒng)假扮成某一特定服務(wù)器的可信任的客戶。 對(duì)于一些TCP和UDP的服務(wù)來(lái)說(shuō)，使用了該選項(xiàng)的IP包好34圖2-2-4IP地址欺騙圖2-2-4IP地址欺騙35 (1)攻擊者要使用那個(gè)被信任的客戶的地址取代自己的地址。 (2)攻擊者構(gòu)成一條要攻擊的服務(wù)器和其主機(jī)間的直接路徑，把被信任的客戶作為通向服務(wù)器的路徑的最后節(jié)點(diǎn)。 (3)攻擊者用這條路徑向服務(wù)器發(fā)出客戶申請(qǐng)。(4)服務(wù)器接收客戶申請(qǐng)，就好像是從可信任客戶直接發(fā)出的一樣，然后給可信任客戶返回響應(yīng)。(5)可信任客戶使用這條路徑將包向前傳送給攻擊者的主機(jī)。 (1)攻擊者要使用那個(gè)被信任的客戶的地址取代自己的地址36 許多UNIX主機(jī)接收到這種包后將繼續(xù)把它們向指定的地方傳送。一個(gè)更簡(jiǎn)單的方法是攻擊者等客戶系統(tǒng)關(guān)機(jī)后來(lái)模仿該系統(tǒng)。許多組織中，UNIX主機(jī)作為局域網(wǎng)服務(wù)器使用，職員用個(gè)人計(jì)算機(jī)和TCP/IP網(wǎng)絡(luò)軟件來(lái)連接并使用它們。個(gè)人計(jì)算機(jī)一般使用NFS來(lái)對(duì)服務(wù)器的目錄和文件進(jìn)行訪問(wèn)(由于NFS僅僅使用IP地址來(lái)驗(yàn)證客戶)。一個(gè)攻擊者用很短的時(shí)間就可以設(shè)置好一臺(tái)與別人名字和IP地址相同的個(gè)人計(jì)算機(jī)，然后與UNIX主機(jī)建立連接，偽裝成真正的客戶。這是極易實(shí)行的攻擊手段。 許多UNIX主機(jī)接收到這種包后將繼續(xù)把它們向指定的地方傳37 3.?ICMP的缺陷 Internet控制信息協(xié)議(InternetControlMessageProtocol—ICMP)是TCP/IP協(xié)議族的一個(gè)子協(xié)議，用于在IP主機(jī)、路由器之間傳遞控制消息。控制消息是指判斷網(wǎng)絡(luò)通不通、主機(jī)是否可達(dá)、路由是否可用等網(wǎng)絡(luò)本身的消息。這些控制消息雖然并不傳輸用戶數(shù)據(jù)，但是對(duì)于用戶數(shù)據(jù)的傳遞起著重要的作用。 網(wǎng)絡(luò)中經(jīng)常會(huì)使用到ICMP協(xié)議，只不過(guò)一般覺(jué)察不到而已。比如經(jīng)常使用的用于檢查網(wǎng)絡(luò)通不通的“Ping”命令，這個(gè)“Ping”的過(guò)程實(shí)際上就是ICMP協(xié)議工作的過(guò)程。還有其他的網(wǎng)絡(luò)命令如跟蹤路由的“Tracert”命令也是基于ICMP協(xié)議的。 3.?ICMP的缺陷38 ICMP中的“Redirect”消息可以用來(lái)欺騙主機(jī)和路由器，并使用假路徑。這些假路徑可以直接通向攻擊者的計(jì)算機(jī)系統(tǒng)，而不能真正連接到一個(gè)合法的可信賴的計(jì)算機(jī)用戶，這會(huì)使攻擊者獲得系統(tǒng)的訪問(wèn)權(quán)。 對(duì)于系統(tǒng)來(lái)說(shuō)，缺乏反映信源到信宿真實(shí)路徑的跟蹤信息。通過(guò)TCP/IP發(fā)出一個(gè)數(shù)據(jù)包如同把一封信丟入信箱，發(fā)出者知道正在走向信宿，但發(fā)出者不知道通過(guò)什么路線或何時(shí)到達(dá)。這種不確定性也是安全漏洞。 ICMP中的“Redirect”消息可以用來(lái)欺騙主機(jī)和39 4.?TCP和UDP端口結(jié)構(gòu)的缺陷

傳輸控制協(xié)議(TransmissionControlProtocol—TCP是基于連接的協(xié)議，也就是說(shuō)，在正式收發(fā)數(shù)據(jù)前，必須和對(duì)方建立可靠的連接。用戶數(shù)據(jù)報(bào)協(xié)議(UserDataProtocol—UDP)是與TCP相對(duì)應(yīng)的協(xié)議，它是面向非連接的協(xié)議，不與對(duì)方建立連接，而是直接就把數(shù)據(jù)包發(fā)送過(guò)去。 TCP和UDP服務(wù)通常有一個(gè)客戶/服務(wù)器的關(guān)系。例如，一個(gè)Telnet服務(wù)進(jìn)程開(kāi)始在系統(tǒng)上處于空閑狀態(tài)，等待著連接。用戶使用Telnet客戶程序與服務(wù)進(jìn)程建立一個(gè)連接時(shí)，客戶程序向服務(wù)進(jìn)程寫入信息，服務(wù)進(jìn)程讀出信息并發(fā)回響應(yīng)。客戶程序讀出響應(yīng)并向用戶報(bào)告。這個(gè)連接是雙工的，可以用來(lái)進(jìn)行讀寫。 4.?TCP和UDP端口結(jié)構(gòu)的缺陷40 兩個(gè)系統(tǒng)間的多重Telnet連接是相互確認(rèn)并協(xié)調(diào)一致的，即TCP或UDP連接惟一地使用每個(gè)消息中的源IP地址——發(fā)送包的IP地址、目的IP地址——接收包的IP地址、源端口——源系統(tǒng)上的連接的端口、目的端口——目的系統(tǒng)上連接的端口這些項(xiàng)進(jìn)行確認(rèn)。 端口是一個(gè)軟件結(jié)構(gòu)，被客戶程序或服務(wù)進(jìn)程用來(lái)發(fā)送和接收消息。一個(gè)端口對(duì)應(yīng)于一個(gè)16位的數(shù)。其中1024個(gè)端口號(hào)已分配給專門的服務(wù)，用戶的應(yīng)用程序可使用的端口號(hào)為1024到65535。常用的服務(wù)端口分配如表2-2所示。 兩個(gè)系統(tǒng)間的多重Telnet連接是相互確認(rèn)并協(xié)調(diào)一致的41表2-2常用的服務(wù)端口分配表表2-2常用的服務(wù)端口分配表42 5.?TCP/IP協(xié)議明碼傳送信息導(dǎo)致易被監(jiān)視

在網(wǎng)絡(luò)中最常見(jiàn)的竊聽(tīng)是發(fā)生在共享介質(zhì)的網(wǎng)絡(luò)中(如以太網(wǎng))，這是由于TCP/IP網(wǎng)絡(luò)中眾多的網(wǎng)絡(luò)服務(wù)均在網(wǎng)絡(luò)中明碼傳送，而眾多的網(wǎng)絡(luò)使用者覺(jué)察不到。大多數(shù)的“黑客(Hacker)”均使用Sniffer、Tcpdump或Snoop等探測(cè)工具，可以清楚地看到某個(gè)用戶從一臺(tái)機(jī)器登錄到另一臺(tái)機(jī)器的全過(guò)程。 應(yīng)該注意到，當(dāng)用戶使用Telnet或FTP連接到遠(yuǎn)程主機(jī)上時(shí)，他在Internet上傳輸?shù)目诹钍菦](méi)有加密的。侵入系統(tǒng)的另一個(gè)方法，就是通過(guò)監(jiān)視攜帶用戶名和口令的IP包獲取它們，然后使用這些用戶名和口令，通過(guò)正常渠道登錄到系統(tǒng)。如果被截獲的是管理員的口令，那么獲取特權(quán)級(jí)訪問(wèn)就變得更加容易。就像前面曾說(shuō)過(guò)的，成百上千的系統(tǒng)已經(jīng)被這種方法侵入。 5.?TCP/IP協(xié)議明碼傳送信息導(dǎo)致易被監(jiān)視43 大多數(shù)用戶不加密郵件，而且許多人認(rèn)為電子郵件是安全的，所以用它來(lái)傳送敏感的內(nèi)容。因此，電子郵件或者Telnet和FTP的內(nèi)容，可以被監(jiān)視從而了解一個(gè)站點(diǎn)的情況。 X-Windows系統(tǒng)是一個(gè)逐漸流行起來(lái)的系統(tǒng)，但它同樣也存在易被監(jiān)視的弱點(diǎn)。 -Windows系統(tǒng)允許在一臺(tái)工作站上打開(kāi)多重窗口來(lái)顯示圖形或多媒體應(yīng)用。闖入者有時(shí)可以在另外的系統(tǒng)上打開(kāi)窗口來(lái)讀取可能含有口令或其他敏感信息的擊鍵序列。 大多數(shù)用戶不加密郵件，而且許多人認(rèn)為電子郵件是安全的，所44 6.提供不安全的服務(wù)

基于TCP/IP協(xié)議的服務(wù)很多，比較熟悉的有WWW服務(wù)、FTP服務(wù)和電子郵件服務(wù)，不太熟悉的有TFTP服務(wù)、NFS服務(wù)和Finger服務(wù)等。這些服務(wù)都存在不同程度上的安全缺陷，當(dāng)用戶要保護(hù)站點(diǎn)時(shí)，就需要考慮，該提供哪些服務(wù)，要禁止哪些服務(wù)，如果有防火墻，應(yīng)把不對(duì)外的服務(wù)限制在內(nèi)網(wǎng)中。 網(wǎng)絡(luò)通信的基礎(chǔ)是協(xié)議，TCP/IP協(xié)議是目前國(guó)際上最流行的網(wǎng)絡(luò)協(xié)議。該協(xié)議在實(shí)現(xiàn)上因力求實(shí)效，而沒(méi)有考慮安全因素。其主要原因是如果考慮安全因素太多，將會(huì)增大代碼量，從而降低了TCP/IP協(xié)議的運(yùn)行效率。所以，TCP/IP協(xié)議在設(shè)計(jì)上就有不安全的因素。

6.提供不安全的服務(wù)45 2.2.3網(wǎng)絡(luò)協(xié)議的捕獲 使用Windows2000Server網(wǎng)絡(luò)監(jiān)視器可以捕獲和顯示正在網(wǎng)絡(luò)上運(yùn)行的計(jì)算機(jī)從局域網(wǎng)上接收的幀(也稱作數(shù)據(jù)包)。網(wǎng)絡(luò)管理員可以使用網(wǎng)絡(luò)監(jiān)視器檢測(cè)和解決在本地計(jì)算機(jī)上可能遇到的網(wǎng)絡(luò)問(wèn)題。用戶可以捕獲發(fā)到本地網(wǎng)卡或從本地網(wǎng)卡發(fā)出的所有網(wǎng)絡(luò)通信，也可以設(shè)置一個(gè)捕獲篩選器來(lái)捕獲幀的子集。還可以指定一系列條件來(lái)觸發(fā)網(wǎng)絡(luò)監(jiān)視器捕獲篩選器的事件。通過(guò)使用觸發(fā)器，網(wǎng)絡(luò)監(jiān)視器可以響應(yīng)網(wǎng)絡(luò)上的事件，可以很方便地分析出該計(jì)算機(jī)使用的網(wǎng)絡(luò)協(xié)議以及與哪些計(jì)算機(jī)相連接的信息。 2.2.3網(wǎng)絡(luò)協(xié)議的捕獲46 Windows2000Server網(wǎng)絡(luò)監(jiān)視器默認(rèn)是未安裝的，需要在【添加/刪除程序】/【添加/刪除Windows組件】/【管理和監(jiān)視工具】中添加【網(wǎng)絡(luò)監(jiān)視工具】進(jìn)行安裝。 Windows2000Server網(wǎng)絡(luò)監(jiān)視器的具體操作方法是在計(jì)算機(jī)桌面上單擊【開(kāi)始】/【程序】/【管理工具】/【網(wǎng)絡(luò)監(jiān)視器】選項(xiàng)，出現(xiàn)如圖2-2-5所示的窗口。 Windows2000Server網(wǎng)絡(luò)監(jiān)視器默47圖2-2-5網(wǎng)絡(luò)監(jiān)視器圖2-2-5網(wǎng)絡(luò)監(jiān)視器48 如果想要捕獲來(lái)自網(wǎng)絡(luò)上特定計(jì)算機(jī)的幀，在捕獲篩選器中指定一個(gè)或多個(gè)地址對(duì)，最多可以同時(shí)監(jiān)視四個(gè)特定的地址對(duì)。地址對(duì)由以下部分組成： (1)希望監(jiān)視其通信的兩臺(tái)計(jì)算機(jī)的地址； (2)指定希望監(jiān)視的通信方向的箭頭。例如，要捕獲來(lái)自PC1計(jì)算機(jī)上的所有通信(從PC1到PC2的通信除外)，使用下列捕獲篩選器地址部分：AddressesincludePC1<---->AnyexcludePC1<---->PC2，如果沒(méi)有Include行，則默認(rèn)使用your_computer<---->Any。 如果想要捕獲來(lái)自網(wǎng)絡(luò)上特定計(jì)算機(jī)的幀，在捕獲篩選器中指定49 如果要捕獲某一段時(shí)間內(nèi)幀的變化，可以選擇【捕獲】菜單中的【開(kāi)始】選項(xiàng)，直到想結(jié)束捕獲時(shí)，單擊【停止】按鈕，在這一段時(shí)間中所有的網(wǎng)絡(luò)通信都已經(jīng)記錄下來(lái)了。單擊【捕獲】菜單，選擇【顯示捕獲的數(shù)據(jù)】選項(xiàng)，出現(xiàn)捕獲幀窗口，如圖2-2-6所示，在這里可以清楚地看到捕獲幀的時(shí)間、源MAC地址、目標(biāo)MAC地址、使用協(xié)議、源地址和目標(biāo)地址等選項(xiàng)。 如果要捕獲某一段時(shí)間內(nèi)幀的變化，可以選擇【捕獲】菜單中的50圖2-2-6捕獲幀窗口圖2-2-6捕獲幀窗口51 為安全起見(jiàn)，Windows2000中的網(wǎng)絡(luò)監(jiān)視器版本僅捕獲廣播和多播幀、發(fā)送到或來(lái)自本地計(jì)算機(jī)的幀。網(wǎng)絡(luò)監(jiān)視器也為廣播幀、多播幀、網(wǎng)絡(luò)使用情況、每秒接收的總字節(jié)數(shù)和每秒接收的總幀數(shù)顯示所有網(wǎng)絡(luò)段統(tǒng)計(jì)信息。此外，為了保護(hù)網(wǎng)絡(luò)以防有人未授權(quán)安裝網(wǎng)絡(luò)監(jiān)視器，網(wǎng)絡(luò)監(jiān)視器提供了檢測(cè)在網(wǎng)絡(luò)中本地網(wǎng)段運(yùn)行的其他網(wǎng)絡(luò)監(jiān)視器安裝情況的功能。 為安全起見(jiàn)，Windows2000中的網(wǎng)絡(luò)監(jiān)視器版本僅522.3遠(yuǎn)程訪問(wèn)的安全

2.3.1撥號(hào)訪問(wèn)安全 通過(guò)傳輸媒介——公用電話網(wǎng)(PublicSwitchedTelephoneNetwork—PSTN)，利用Modem模擬撥號(hào)技術(shù)來(lái)實(shí)現(xiàn)遠(yuǎn)程連接，是目前最為普通、方便的遠(yuǎn)程訪問(wèn)方式。利用PSTN進(jìn)行遠(yuǎn)程接入，用戶只要利用一條電話線和普通的Modem就可以訪問(wèn)互聯(lián)網(wǎng)，也可以用它們?cè)诩依镌L問(wèn)辦公室里的主機(jī)或公司的局域網(wǎng)。雖然調(diào)制解調(diào)器給上網(wǎng)帶來(lái)了極大的方便，但同時(shí)也帶來(lái)了危險(xiǎn)。對(duì)于用戶來(lái)說(shuō)，一次性投入很小。2.3遠(yuǎn)程訪問(wèn)的安全 2.3.1撥號(hào)訪問(wèn)安全53 不過(guò)PSTN遠(yuǎn)程撥號(hào)接入方式存在帶寬不足、接入速度慢、服務(wù)質(zhì)量差、需要支付昂貴的長(zhǎng)途撥號(hào)以及長(zhǎng)途專線服務(wù)費(fèi)用等問(wèn)題，已遠(yuǎn)遠(yuǎn)無(wú)法滿足企業(yè)數(shù)據(jù)傳輸應(yīng)用需求。因此又出現(xiàn)了一些接入技術(shù)，從利用電話線作為傳輸介質(zhì)的xDSL(DigitalSubscriberLine)，到依靠有線電視電纜的CableModem，直到城域網(wǎng)Ethernet接入，但是這些接入技術(shù)由于對(duì)各自傳輸介質(zhì)的依賴性而不能直接運(yùn)用于企業(yè)網(wǎng)遠(yuǎn)程訪問(wèn)。 調(diào)制解調(diào)器的危險(xiǎn)在于它提供了進(jìn)入用戶網(wǎng)絡(luò)的另一個(gè)入口點(diǎn)，也就是端口，一般來(lái)說(shuō)，打開(kāi)網(wǎng)絡(luò)端口點(diǎn)越多，被入侵的可能性就越大。 不過(guò)PSTN遠(yuǎn)程撥號(hào)接入方式存在帶寬不足、接入速度慢54 一般一個(gè)標(biāo)準(zhǔn)的Intranet結(jié)構(gòu)會(huì)包括內(nèi)、外網(wǎng)段，內(nèi)網(wǎng)段和外段網(wǎng)之間有防火墻，在內(nèi)外網(wǎng)段都可能提供撥號(hào)服務(wù)器，外網(wǎng)段撥號(hào)服務(wù)器供普通用戶使用，內(nèi)網(wǎng)段撥號(hào)服務(wù)器供公司的高級(jí)職員使用，這兩種撥號(hào)服務(wù)保護(hù)方式是不同的。 外網(wǎng)段撥號(hào)服務(wù)器被置于防火墻外部，它的安全是通過(guò)防火墻和身份驗(yàn)證服務(wù)器來(lái)保證的。對(duì)于內(nèi)網(wǎng)段的內(nèi)部網(wǎng)來(lái)說(shuō)，這種服務(wù)應(yīng)該是保密的，而且要嚴(yán)格控制，并應(yīng)有強(qiáng)大的身份驗(yàn)證系統(tǒng)來(lái)保證安全。如果一個(gè)黑客通過(guò)撥號(hào)服務(wù)器登錄到用戶的網(wǎng)絡(luò)中，那么他就像在用戶的公司里使用一臺(tái)機(jī)器一樣，他會(huì)竊聽(tīng)到用戶的內(nèi)部網(wǎng)絡(luò)通信。如何才能提高撥號(hào)網(wǎng)絡(luò)的安全性呢？ 一般一個(gè)標(biāo)準(zhǔn)的Intranet結(jié)構(gòu)會(huì)包括內(nèi)、外網(wǎng)段，內(nèi)網(wǎng)55 提高撥號(hào)調(diào)制解調(diào)器安全的方法很多，至少可以通過(guò)以下五種方法來(lái)實(shí)現(xiàn)。 (1)號(hào)碼不要廣泛流傳。只把號(hào)碼告訴需要使用該服務(wù)的人，同時(shí)要對(duì)公司員工加強(qiáng)安全意識(shí)教育，要求他們也不要把公司內(nèi)部撥號(hào)號(hào)碼告訴其他人。 (2)使用用戶名和口令來(lái)保護(hù)撥號(hào)服務(wù)器。口令可以是靜態(tài)，但最好是一次性口令。大家知道在電話線上可以用Sniffer來(lái)竊聽(tīng)口令，但它始終不像在局域網(wǎng)上那么容易，如果入侵者不知道用戶名和口令要入侵時(shí)需要把探尖插入電話線來(lái)竊聽(tīng)電話，這一般是較難做到的。所以用戶口令要妥善保存，不要寫在任何地方，最好是用腦來(lái)記住。 提高撥號(hào)調(diào)制解調(diào)器安全的方法很多，至少可以通過(guò)以下五種方56

(3)使用安全性好的調(diào)制調(diào)解器。回?fù)苷{(diào)制解調(diào)器、安靜調(diào)制解調(diào)器是比較好的選擇。回?fù)苷{(diào)制解調(diào)器是在連接時(shí)要求用戶輸入用戶名和口令，它不會(huì)馬上連接，它會(huì)先斷開(kāi)連接，查找該用戶的合法電話號(hào)碼，然后，回?fù)苷{(diào)制解調(diào)器會(huì)回?fù)艿胶戏娫捥?hào)碼，并建立起連接。最后，用戶就可以輸入用戶名和口令而進(jìn)入該系統(tǒng)。這樣做雖然比較麻煩，但確實(shí)比用一般調(diào)制解調(diào)器上網(wǎng)安全許多，至少可以杜絕一個(gè)賬號(hào)可以在不同電話機(jī)上使用的危險(xiǎn)。安靜調(diào)制解調(diào)器在登錄完成之前不會(huì)發(fā)出特殊的“Connection

established”信號(hào)，這樣可以防止有人按順序搜索計(jì)算機(jī)撥號(hào)系統(tǒng)的電話號(hào)碼。 (3)使用安全性好的調(diào)制調(diào)解器。回?fù)苷{(diào)制解調(diào)器、安靜調(diào)57

(4)在網(wǎng)絡(luò)上加一個(gè)用于核實(shí)用戶身份的服務(wù)器。只有用戶身份被該服務(wù)器驗(yàn)證后才允許進(jìn)入該系統(tǒng)，并且服務(wù)器可以對(duì)登錄情況進(jìn)行審計(jì)。這雖然或許會(huì)增加公司一些成本開(kāi)支，但它所帶來(lái)的安全性效益是難以用錢來(lái)衡量的。

(5)防范通過(guò)調(diào)制調(diào)解器對(duì)WindowsNT的RAS訪問(wèn)帶來(lái)的安全隱患。Windows

NT的遠(yuǎn)程訪問(wèn)服務(wù)(RemoteAccessServer—RAS)給用戶提供了一種遠(yuǎn)程用調(diào)制解調(diào)器訪問(wèn)遠(yuǎn)程網(wǎng)絡(luò)的功能，當(dāng)用戶通過(guò)遠(yuǎn)程訪問(wèn)服務(wù)連接到遠(yuǎn)程網(wǎng)絡(luò)中時(shí)，電話線就變得透明了，用戶可以訪問(wèn)所有資源，就像他們坐在辦公室進(jìn)而訪問(wèn)這些資源一樣，RAS調(diào)制解調(diào)器起著像網(wǎng)卡一樣的作用。 (4)在網(wǎng)絡(luò)上加一個(gè)用于核實(shí)用戶身份的服務(wù)器。只有用戶58 但這種RAS在實(shí)施過(guò)程中存在許多重大的安全隱患。因?yàn)镽AS服務(wù)器和Windows

NT服務(wù)器使用相同的用戶數(shù)據(jù)庫(kù)，用戶使用起來(lái)變得比較容易。用戶用在辦公室中使用的同一個(gè)用戶進(jìn)行登錄，這樣可以保證用戶具有相同的訪問(wèn)權(quán)限，但這給網(wǎng)絡(luò)安全的管理帶來(lái)了新的難題。為了進(jìn)行連接，用戶必須有一個(gè)有效的WindowsNT用戶賬戶和RAS撥入許可，這在用戶嘗試登錄到Windows

NT之前，必須被驗(yàn)證。但如果用戶不在公司，其身份的真實(shí)性就很難驗(yàn)證，如果某個(gè)系統(tǒng)管理員的賬號(hào)被一些別有用心的人知道后進(jìn)行RAS訪問(wèn)，那后果將會(huì)非常嚴(yán)重。 但這種RAS在實(shí)施過(guò)程中存在許多重大的安全隱患59 為了防止非法用戶通過(guò)RAS訪問(wèn)網(wǎng)絡(luò)就必須加強(qiáng)公司員工賬號(hào)管理，特別是管理員賬號(hào)。另一個(gè)管理員賬號(hào)最好不是使用“Administrator”這個(gè)賬號(hào)，應(yīng)對(duì)其進(jìn)行改名，或增加一個(gè)同樣權(quán)限的系統(tǒng)管理員組成員，用戶賬號(hào)也要求經(jīng)常更改。有些公司就要求所要用戶密碼至少一個(gè)月改一次，而且最近的兩次密碼不能一樣，公司的進(jìn)、銷、存管理軟件用戶密碼至少要求一個(gè)星期改一次，這在某種程度上預(yù)防了非法用戶通過(guò)RAS進(jìn)行非法登錄。 為了防止非法用戶通過(guò)RAS訪問(wèn)網(wǎng)絡(luò)就必須加強(qiáng)公司員工賬號(hào)60 2.3.2虛擬專用網(wǎng)的安全 虛擬專用網(wǎng)(VirtualPrivateNetwork—VPN)是專用網(wǎng)絡(luò)在公共網(wǎng)絡(luò)(如Internet)上的擴(kuò)展。VPN通過(guò)私有隧道技術(shù)在公共網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線，通信數(shù)據(jù)在安全隧道中進(jìn)行加密傳輸，從而達(dá)到安全傳輸數(shù)據(jù)的目的。由于VPN具有高度靈活性、高帶寬、高安全性、應(yīng)用費(fèi)用相對(duì)低廉等優(yōu)點(diǎn)，已經(jīng)成為非常理想的企業(yè)網(wǎng)遠(yuǎn)程訪問(wèn)解決方案。VPN的應(yīng)用可以分為三個(gè)基本類型：AccessVPN、IntranetVPN和ExtranetVPN。 2.3.2虛擬專用網(wǎng)的安全61 1.?VPN的一般組網(wǎng)方案 可以利用企業(yè)現(xiàn)有的網(wǎng)絡(luò)設(shè)備，如路由器、服務(wù)器與防火墻來(lái)建置VPN。有些企業(yè)網(wǎng)絡(luò)以路由器為中心，把VPN服務(wù)加在路由器上。有些企業(yè)把防火墻看成是Internet安全通信的核心，選擇防火墻式的VPN建置方案。 1)路由器式VPN 使用具有VPN功能的路由器，公司總部便可與分公司間經(jīng)由Internet或ISP網(wǎng)絡(luò)來(lái)傳送企業(yè)內(nèi)部資料。撥號(hào)連接用戶也可在ISP網(wǎng)絡(luò)中建立隧道(Tunneling)，以存取企業(yè)網(wǎng)絡(luò)。 1.?VPN的一般組網(wǎng)方案62 相對(duì)來(lái)說(shuō)，路由器式VPN部署較容易，只要在路由器上添加VPN服務(wù)，通常只需將軟件升級(jí)即可，而新型路由器通常已在軟件或操作系統(tǒng)中內(nèi)建了VPN服務(wù)。基本上，路由器上的VPN軟件升級(jí)，一般都會(huì)包括防火墻、加密以及隧道等功能。有些廠商則會(huì)將用戶身份辨識(shí)與既有的身份辨識(shí)服務(wù)，如遠(yuǎn)程身份辨識(shí)撥號(hào)連接用戶服務(wù)(RemoteAuthenticationDial-InUserService—RADIUS)連結(jié)在一起。 相對(duì)來(lái)說(shuō)，路由器式VPN部署較容易，只要在路由器上添加V63 2)軟件式VPN

由生產(chǎn)廠商和協(xié)作廠商提供的VPN應(yīng)用程序可執(zhí)行加密、隧道建立與身份辨識(shí)，讓用戶通過(guò)VPN與企業(yè)內(nèi)部網(wǎng)絡(luò)相連。這種技術(shù)可使現(xiàn)有設(shè)備繼續(xù)沿用，即將軟件安裝在現(xiàn)有的服務(wù)器上，不需變動(dòng)網(wǎng)絡(luò)組態(tài)。另外，程序可與現(xiàn)有的網(wǎng)絡(luò)操作系統(tǒng)的身份辨識(shí)服務(wù)相連，可大幅簡(jiǎn)化VPN的管理工作。 3)防火墻式VPN

許多企業(yè)以防火墻為Internet安全措施的核心，用來(lái)防范黑客的攻擊。許多防火墻廠商已在它們的產(chǎn)品中支持VPN服務(wù)，保護(hù)用戶的內(nèi)部網(wǎng)絡(luò)免于被未授權(quán)的用戶侵入。一個(gè)良好的防火墻可以根據(jù)用戶、應(yīng)用程序和傳輸源辨識(shí)通信流。 2)軟件式VPN64 這種作法的好處是現(xiàn)有網(wǎng)絡(luò)架構(gòu)保持不變，就可以管理VPN服務(wù)所用的接口，而且與原來(lái)管理防火墻時(shí)使用的接口相同，培訓(xùn)成本也大大縮減。因?yàn)榧用芘c建立隧道等VPN服務(wù)都是由軟件來(lái)處理的，從而進(jìn)一步提高了效能。 2.?VPN的安全管理 同任何的網(wǎng)絡(luò)資源一樣，VPN也必須得到有效的管理，需要關(guān)注VPN的安全問(wèn)題。目前所有的VPN設(shè)備都應(yīng)用了相關(guān)的核心技術(shù)，這些技術(shù)包括隧道協(xié)議(Tunneling)、資料加密(Encryption)、認(rèn)證(Authentication)及存取控制(AccessControl)等。 這種作法的好處是現(xiàn)有網(wǎng)絡(luò)架構(gòu)保持不變，就可以管理VPN服65 1)隧道技術(shù)

隧道技術(shù)就是將原始報(bào)文在A地進(jìn)行封裝，到達(dá)B地后去掉封裝，還原成原始報(bào)文，這樣就形成了一條由A到B的通信隧道。 一般而言，隧道協(xié)議技術(shù)分為兩種不同的類型。第一種類型是端對(duì)端(End-to-End)隧道技術(shù)。從用戶的PC延伸到用戶所連接的服務(wù)器上。每個(gè)端點(diǎn)的VPN設(shè)備都必須負(fù)責(zé)隧道的建立以及端點(diǎn)之間資料的加密及解密等工作。第二種類型是點(diǎn)對(duì)點(diǎn)(Node-to-Node)隧道技術(shù)。主要是連接不同地區(qū)的局域網(wǎng)絡(luò)。在局域網(wǎng)絡(luò)內(nèi)部傳送的資料并不需做任何的變動(dòng)。一旦資料必須經(jīng)由網(wǎng)絡(luò)外圍的VPN設(shè)備傳送到不同的局域網(wǎng)絡(luò)時(shí)，這些數(shù)據(jù)才會(huì)被加密且經(jīng)由隧道傳送給下一個(gè)節(jié)點(diǎn)的對(duì)應(yīng)設(shè)備。 1)隧道技術(shù)66 當(dāng)節(jié)點(diǎn)收到資料后，VPN設(shè)備會(huì)將這些資料解密，還原成原來(lái)的格式，再傳送到內(nèi)部局域網(wǎng)絡(luò)。將利用軟件隧道覆蓋在一個(gè)實(shí)體網(wǎng)絡(luò)之上，構(gòu)成VPN的虛擬特性，讓其上任何一個(gè)連接看起來(lái)像是線路上惟一的交通。隧道也讓一個(gè)VPN得以維持如內(nèi)部網(wǎng)絡(luò)的安全性和優(yōu)先性，以提供交通控制能力。 目前實(shí)現(xiàn)隧道技術(shù)主要有以下五種。 當(dāng)節(jié)點(diǎn)收到資料后，VPN設(shè)備會(huì)將這些資料解密，還原67 ●通用路由封裝技術(shù) 通用路由封裝技術(shù)(GenericRoutingEncapsulation—GRE)是在IP數(shù)據(jù)包的外面再加上一個(gè)IP頭。通俗地說(shuō)，就是把私有數(shù)據(jù)進(jìn)行一下偽裝，加上一個(gè)“外套”，傳送到其他地方。因?yàn)槠髽I(yè)私有網(wǎng)絡(luò)的IP地址通常是自己規(guī)劃的，無(wú)法和外部互聯(lián)網(wǎng)建立正確的路由。而在企業(yè)網(wǎng)絡(luò)的出口，至少會(huì)有一個(gè)合法的IP地址，這個(gè)地址可以在互聯(lián)網(wǎng)中惟一識(shí)別出來(lái)。GRE就是把企業(yè)內(nèi)部的目的IP地址和源地址的數(shù)據(jù)報(bào)文進(jìn)行封裝，加上一個(gè)遠(yuǎn)端機(jī)構(gòu)互聯(lián)網(wǎng)出口的IP地址(目的地址)和本地互聯(lián)網(wǎng)出口的IP地址(源地址)，即加上IP頭，通過(guò)互聯(lián)網(wǎng)進(jìn)行正確的傳輸，如圖2-3-1所示。這種技術(shù)是最簡(jiǎn)單的VPN技術(shù)。 ●通用路由封裝技術(shù)68圖2-3-1GRE封裝前后的IP幀結(jié)構(gòu)示意圖圖2-3-1GRE封裝前后的IP幀結(jié)構(gòu)示意圖69 ●點(diǎn)對(duì)點(diǎn)隧道協(xié)議

點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PointtoPointTunnelingProtocol—PPTP)將控制包與數(shù)據(jù)包分開(kāi)。控制包采用TCP控制，用作嚴(yán)格的狀態(tài)查詢及信令信息，數(shù)據(jù)包則先封裝在PPP協(xié)議中，然后封裝到GRE(通用路由協(xié)議封裝)V2協(xié)議中。 ●第二層隧道傳輸協(xié)議

第二層隧道傳輸協(xié)議(Layer2TunnelingProtocol——L2TP)是在特定鏈路層實(shí)現(xiàn)的VPN技術(shù)，它是把二層協(xié)議PPP的報(bào)文封裝在IP報(bào)文中進(jìn)行傳輸。這種技術(shù)是提供企業(yè)員工出差在外通過(guò)撥號(hào)網(wǎng)絡(luò)直接訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的方式。在Windows2000中，也提供了這項(xiàng)功能。但是，用戶要使用這種技術(shù)，必須由ISP提供支持。 ●點(diǎn)對(duì)點(diǎn)隧道協(xié)議70 ●網(wǎng)絡(luò)協(xié)議安全 網(wǎng)絡(luò)協(xié)議安全(InternetPortocolSecurity—IPSEC)提供了互聯(lián)網(wǎng)的驗(yàn)證、加密等功能，實(shí)現(xiàn)了數(shù)據(jù)的安全傳輸。同時(shí)，可以使用這種協(xié)議構(gòu)建VPN網(wǎng)絡(luò)。原理也是對(duì)IP包進(jìn)行封裝(可以提供多種方式)，并且進(jìn)行加密，然后在互聯(lián)網(wǎng)中進(jìn)行傳輸。與前面兩種相比，這種技術(shù)提供了更好的安全性。但是，協(xié)議的復(fù)雜性導(dǎo)致了處理IPsec的網(wǎng)絡(luò)設(shè)備(如路由器)需要占用大量的資源，效率較低。如果使用專門的加密硬件，又會(huì)增加成本。 ●網(wǎng)絡(luò)協(xié)議安全71 ●多協(xié)議標(biāo)記交換VPN 多協(xié)議標(biāo)記交換(MultiprotocolLabelSwitching—MPLS)VPN可以實(shí)現(xiàn)底層標(biāo)簽自動(dòng)的分配，在業(yè)務(wù)的提供上比傳統(tǒng)的VPN技術(shù)更廉價(jià)，更快速。同時(shí)MPLSVPN可以充分地利用MPLS技術(shù)的一些先進(jìn)的特性，比如MPLS流量工程能力，MPLS的服務(wù)質(zhì)量保證，結(jié)合這些能力，MPLSVPN可以向客戶提供不同服務(wù)質(zhì)量等級(jí)的服務(wù)，也更容易實(shí)現(xiàn)跨運(yùn)營(yíng)商骨干網(wǎng)服務(wù)質(zhì)量的保證。 同時(shí)MPLSVPN還可以向客戶提供傳統(tǒng)的基于路由技術(shù)VPN無(wú)法提供的業(yè)務(wù)種類，如支持VPN地址空間復(fù)用。 ●多協(xié)議標(biāo)記交換VPN72 對(duì)于MPLS的客戶來(lái)說(shuō)，運(yùn)營(yíng)商的MPLS網(wǎng)絡(luò)可以提供客戶需要的安全機(jī)制，以及組網(wǎng)的能力，VPN底層連接的建立、管理和維護(hù)主要由運(yùn)營(yíng)商負(fù)責(zé)，客戶運(yùn)營(yíng)其VPN的維護(hù)和管理都將比傳統(tǒng)的VPN解決方案簡(jiǎn)單，也降低了企業(yè)在人員和設(shè)備維護(hù)上的投資和成本。 2)加密技術(shù) 大部分VPN設(shè)備廠商都支持市場(chǎng)上主要的幾種加密技術(shù)，像RSASecurity公司的RivestCipher技術(shù)、DES及Triple-DES(三重DES)等。密鑰長(zhǎng)度的選擇取決于許多因素，較明顯的因素包括確保資料機(jī)密的重要性程度以及資料所流經(jīng)的網(wǎng)絡(luò)安全性等。 對(duì)于MPLS的客戶來(lái)說(shuō)，運(yùn)營(yíng)商的MPLS網(wǎng)絡(luò)可以提供客戶73 一旦VPN采用加密技術(shù)后，系統(tǒng)也必須提供用戶一套取得密鑰的方法。最常見(jiàn)的幾種密鑰管理技術(shù)為PPP(Point-to-PointProtocol，點(diǎn)對(duì)點(diǎn)協(xié)議)中的ECP(EncryptionControlProtocol，加密控制協(xié)議)協(xié)議、具備密鑰管理功能的MPPE(MicrosoftPoint-to-PointEncryption，Microsoft點(diǎn)對(duì)點(diǎn)加密技術(shù))以及ISAKMP/IKE(InternetSocietyAssociationKeyManagementProtocol/InternetKeyExchange)等。 在VPN中，加密應(yīng)只使用于特別敏感的交通，當(dāng)有需要時(shí)才使用，或加裝硬件加密模塊，因?yàn)榧用芊浅Ｕ加锰幚砥髻Y源，而且會(huì)影響速度性能。 一旦VPN采用加密技術(shù)后，系統(tǒng)也必須提供用戶一套取得密鑰74 3)認(rèn)證 VPN采用了許多現(xiàn)存的用戶認(rèn)證技術(shù)。舉例來(lái)說(shuō)，許多廠商所推出的VPN設(shè)備中，都具備了PPP的PAP(PasswordAuthenticationProtocol，密碼認(rèn)證協(xié)議)技術(shù)、CHAP(ChallengeHandshakeAuthenticationProtocol，挑戰(zhàn)性握手驗(yàn)證協(xié)議)以及MicrosoftCHAP的支持能力。 不過(guò)，VPN連接中一般都包括兩種形式的認(rèn)證。一種是用戶身份認(rèn)證，在VPN連接建立之前，VPN服務(wù)器對(duì)請(qǐng)求建立連接的VPN客戶機(jī)進(jìn)行身份驗(yàn)證，核查其是否為合法的授權(quán)用戶。 3)認(rèn)證75 如果使用雙向驗(yàn)證，還需進(jìn)行VPN客戶機(jī)對(duì)VPN服務(wù)器的身份驗(yàn)證，以防偽裝的非法服務(wù)器提供錯(cuò)誤信息。另一種是數(shù)據(jù)完整性和合法性認(rèn)證，檢查鏈路上傳輸?shù)臄?shù)據(jù)是否出自源端以及在傳輸過(guò)程中是否經(jīng)過(guò)篡改。VPN鏈路中傳輸?shù)臄?shù)據(jù)包含密碼檢查，密鑰只由發(fā)送者和接收者雙方共享。 4)存取控制 在確認(rèn)用戶身份之后，進(jìn)一步所需要的功能就是針對(duì)不同的用戶授予不同的存取權(quán)限。這部分的功能也是認(rèn)證服務(wù)器擁有的另一功能。 如果使用雙向驗(yàn)證，還需進(jìn)行VPN客戶機(jī)對(duì)VPN服務(wù)器的身76 許多VPN的產(chǎn)品都伴隨有適用該產(chǎn)品的認(rèn)證服務(wù)器，如撥號(hào)用戶遠(yuǎn)程認(rèn)證服務(wù)器(RemoteAuthenticationDial-InUserService—RADIUS)及終端存取控制存取系統(tǒng)(TerminalAccessControllerAccessSystem—TACAS)等。用戶必須接受身份(Authentication)和授權(quán)程序的驗(yàn)證(Authorization)，讓網(wǎng)絡(luò)知道他們是誰(shuí)以及讓用戶知道他們可以做些什么。一個(gè)良好的系統(tǒng)也會(huì)執(zhí)行賬戶稽核(Accounting)，以追蹤支出源和確保安全性。驗(yàn)證、授權(quán)和賬戶稽核，統(tǒng)稱為AAA服務(wù)。 許多VPN的產(chǎn)品都伴隨有適用該產(chǎn)品的認(rèn)證服務(wù)器，如77 5)QoS技術(shù) 通過(guò)隧道技術(shù)和加密技術(shù)，已經(jīng)能夠建立起一個(gè)具有安全性、互操作性的VPN。但是該VPN性能上不穩(wěn)定，管理上不能滿足用戶的要求，這就要加入服務(wù)質(zhì)量(QualityofService—QoS)。實(shí)行QoS應(yīng)該在主機(jī)網(wǎng)絡(luò)中，即VPN所建立的隧道這一段，這樣才能建立一條性能符合用戶要求的隧道。 5)QoS技術(shù)78 2.3.3無(wú)線網(wǎng)絡(luò)接入的安全 隨著無(wú)線網(wǎng)絡(luò)技術(shù)的成熟，經(jīng)過(guò)無(wú)線網(wǎng)絡(luò)和數(shù)據(jù)采集設(shè)備及監(jiān)控設(shè)備的有效結(jié)合，同樣可以很方便地進(jìn)行遠(yuǎn)程連接。就目前來(lái)看，實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)的技術(shù)，有藍(lán)牙無(wú)線接入技術(shù)、IEEE802.11連接技術(shù)以及家庭網(wǎng)絡(luò)的HomeRF(HomeRadioFrequency)技術(shù)。在這三種技術(shù)中，IEEE802.11比較適于辦公室中的企業(yè)無(wú)線網(wǎng)絡(luò)，數(shù)據(jù)傳輸速率現(xiàn)在已經(jīng)能夠達(dá)到54Mb/s，傳輸距離可遠(yuǎn)至20km以上，HomeRF可應(yīng)用于家庭中的移動(dòng)數(shù)據(jù)和語(yǔ)音設(shè)備與主機(jī)之間的通信，而藍(lán)牙技術(shù)則可以應(yīng)用于任何可以用無(wú)線方式替代線纜的場(chǎng)合。 2.3.3無(wú)線網(wǎng)絡(luò)接入的安全79 目前常見(jiàn)到的無(wú)線接入應(yīng)用一般僅限于小區(qū)域的局域網(wǎng)絡(luò)，還算不上真正意義的遠(yuǎn)程接入。如果用戶打算實(shí)現(xiàn)遠(yuǎn)程接入，就需要建立穩(wěn)定的網(wǎng)絡(luò)鏈路，通過(guò)無(wú)線網(wǎng)絡(luò)及衛(wèi)星地面站進(jìn)行連接。 不過(guò)企業(yè)在選擇無(wú)線接入時(shí)首要關(guān)注的是安全問(wèn)題。當(dāng)企業(yè)使用無(wú)線局域網(wǎng)技術(shù)，卻沒(méi)有采取適當(dāng)?shù)陌踩胧r(shí)，即使一些初級(jí)黑客都有可能利用容易得到的廉價(jià)設(shè)備對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行攻擊。 目前常見(jiàn)到的無(wú)線接入應(yīng)用一般僅限于小區(qū)域的局域網(wǎng)絡(luò)，還算80 無(wú)線網(wǎng)絡(luò)最基本的安全措施是WEP(WiredEquivalentPrivacy)。WEP在設(shè)計(jì)上是用來(lái)阻止竊聽(tīng)者，并且防止未經(jīng)授權(quán)的無(wú)線局域網(wǎng)絡(luò)聯(lián)機(jī)。然而這項(xiàng)標(biāo)準(zhǔn)本身卻存在許多限制。WEP使用RC4加密算法，這種算法使用同一組密鑰來(lái)打亂以及重新組合網(wǎng)絡(luò)封包。一個(gè)經(jīng)驗(yàn)豐富的黑客能夠在經(jīng)過(guò)約五小時(shí)的資料收集時(shí)間后，便可破解一段經(jīng)由RC4算法加密過(guò)的文字。除此以外，許多WEP的產(chǎn)品都使用同一組密鑰。所以用戶應(yīng)該避免以一種可預(yù)測(cè)的方式來(lái)改變自己的密鑰，黑客破解密碼的方式是大量收集經(jīng)由同一組密鑰加密過(guò)的資料。 無(wú)線網(wǎng)絡(luò)最基本的安全措施是WEP(WiredEquiv81 如果用戶的密鑰管理系統(tǒng)以一種可預(yù)測(cè)的方式循環(huán)使用一組不同的密鑰，那么決心要破解密碼的黑客便可以從正常用戶的局域網(wǎng)絡(luò)流量中收集資料，并且通過(guò)密鑰的相關(guān)分析來(lái)幫助破解加密機(jī)制。他們的攻擊技巧對(duì)于40位或者128位的RC4加密機(jī)制都同樣有效。 基于以上原因，最新的標(biāo)準(zhǔn)整合了兩項(xiàng)與認(rèn)證和加密有關(guān)的關(guān)鍵組件。在認(rèn)證功能方面，未來(lái)可能會(huì)采用802.1x標(biāo)準(zhǔn)，這是一項(xiàng)將會(huì)被整合到WindowsXP以及其他各種網(wǎng)絡(luò)設(shè)備的認(rèn)證管理系統(tǒng)通信協(xié)議。采用這項(xiàng)標(biāo)準(zhǔn)能夠讓用戶每次登入網(wǎng)絡(luò)都使用不同的加密密鑰，而且這項(xiàng)標(biāo)準(zhǔn)本身也提供了密鑰管理機(jī)制。 如果用戶的密鑰管理系統(tǒng)以一種可預(yù)測(cè)的方式循環(huán)使用一組不同82 802.1x也支持例如Kerberos以及撥號(hào)連接用戶遠(yuǎn)程認(rèn)證服務(wù)(RemoteAuthenticationDial-InUserService—RADIUS)這一類集中式的認(rèn)證、辨識(shí)以及賬號(hào)管理架構(gòu)。微軟、思科、3Com以及Enterasys等主要廠商都支持802.1x這項(xiàng)標(biāo)準(zhǔn)。在新的標(biāo)準(zhǔn)沒(méi)有出來(lái)之前，如果要確保無(wú)線接入的安全性最好，應(yīng)該采取以下措施。 1.使用動(dòng)態(tài)秘鑰管理 動(dòng)態(tài)安全鏈路會(huì)自動(dòng)生成一個(gè)新的128位加密秘鑰，它對(duì)每個(gè)網(wǎng)絡(luò)用戶和每次網(wǎng)絡(luò)會(huì)話來(lái)說(shuō)都是惟一的。這一技術(shù)能夠比靜態(tài)共享秘鑰策略提供更高的網(wǎng)絡(luò)安全性，幫助用戶從手工的輸入工作中解脫出來(lái)。 802.1x也支持例如Kerberos以及撥號(hào)連接用戶遠(yuǎn)83 由于確保了每一個(gè)用戶擁有一個(gè)惟一、可以不斷變更的秘鑰，因此，即使黑客攻破加密防線并獲取了網(wǎng)絡(luò)的訪問(wèn)權(quán)，所獲取的秘鑰也只能工作幾個(gè)小時(shí)，從而降低了企業(yè)因此需要承擔(dān)的潛在損失。 2.定期稽核 強(qiáng)化無(wú)線接入安全性的一個(gè)必要步驟便是通過(guò)網(wǎng)絡(luò)稽核，找出所有未受管制的無(wú)線局域網(wǎng)絡(luò)聯(lián)接器，進(jìn)而將它們納入系統(tǒng)既有安全政策的管制，或者干脆完全停止使用這些聯(lián)接器。從短期來(lái)看，各企業(yè)應(yīng)該使用具備無(wú)線局域網(wǎng)絡(luò)流量偵測(cè)功能的產(chǎn)品，以便能夠方便地找出無(wú)線局域網(wǎng)絡(luò)聯(lián)接器。 由于確保了每一個(gè)用戶擁有一個(gè)惟一、可以不斷變更的秘鑰，因84 3.認(rèn)證 由于以WEP為基礎(chǔ)的標(biāo)準(zhǔn)規(guī)范存在安全缺陷，用戶必須將眼光焦點(diǎn)放在無(wú)線局域網(wǎng)絡(luò)用戶的認(rèn)證機(jī)制上面。一套強(qiáng)而有力的認(rèn)證機(jī)制必須搭配防火墻一起使用，即將無(wú)線局域網(wǎng)絡(luò)區(qū)段視為公眾網(wǎng)際網(wǎng)絡(luò)一樣看待。第二層虛擬局域網(wǎng)絡(luò)(Layer2virtualLANs)可以將無(wú)線局域網(wǎng)絡(luò)流量區(qū)隔在單一防火墻之外，進(jìn)而減少使用多重防火墻設(shè)備的需要。除了單純地通過(guò)認(rèn)證機(jī)制以及網(wǎng)絡(luò)觀測(cè)設(shè)備來(lái)進(jìn)行存取控制之外，用戶也可以部署一套入侵偵測(cè)系統(tǒng)(IntrusionDetectionSystem—IDS)，以便主動(dòng)地事先辨認(rèn)出局域網(wǎng)絡(luò)入侵跡象。

3.認(rèn)證852.4小結(jié) 在這一章里介紹了網(wǎng)絡(luò)通信安全的基本知識(shí)。首先介紹了在網(wǎng)絡(luò)通信線路中存在的安全問(wèn)題。然后介紹了TCP/IP協(xié)議下各個(gè)層次的安全性問(wèn)題和TCP/IP協(xié)議組的安全缺陷。在遠(yuǎn)程訪問(wèn)安全中主要介紹了提高遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)安全性的方法，比較詳細(xì)地闡述了三種遠(yuǎn)程訪問(wèn)方式存在的問(wèn)題及解決方法。2.4小結(jié) 在這一章里介紹了網(wǎng)絡(luò)通信安全的基本知識(shí)。首先86習(xí)題與思考題 1.試述哪些因素會(huì)影響網(wǎng)絡(luò)通信線路的安全。 2.網(wǎng)絡(luò)層的安全性體現(xiàn)在什么地方？ 3.傳輸層安全性不足表現(xiàn)在什么地方？ 4.舉例說(shuō)明IP的缺陷導(dǎo)致易被欺騙。 5.為什么說(shuō)調(diào)制解調(diào)器給上網(wǎng)的用戶帶來(lái)不安全因素？ 6.簡(jiǎn)述三種遠(yuǎn)程訪問(wèn)的安全問(wèn)題。習(xí)題與思考題 1.試述哪些因素會(huì)影響網(wǎng)絡(luò)通信線路的安全87第2章網(wǎng)絡(luò)通信安全2.1網(wǎng)絡(luò)通信的安全性2.2TCP/IP協(xié)議存在的安全威脅2.3遠(yuǎn)程訪問(wèn)的安全

2.4小結(jié)習(xí)題與思考題第2章網(wǎng)絡(luò)通信安全2.1網(wǎng)絡(luò)通信的安全性882.1網(wǎng)絡(luò)通信的安全性 2.1.1網(wǎng)絡(luò)通信線路的安全性 網(wǎng)絡(luò)通信線路的安全問(wèn)題主要有以下六個(gè)方面。 1.電磁泄露 絡(luò)端口、傳輸線路和計(jì)算機(jī)都有可能因屏蔽不嚴(yán)或未屏蔽而造成電磁泄露。目前，大多數(shù)機(jī)房屏蔽和防輻射設(shè)施都不健全，通信線路也同樣容易出現(xiàn)信息泄露。2.1網(wǎng)絡(luò)通信的安全性 2.1.1網(wǎng)絡(luò)通信線路的安全性89 2.搭線竊聽(tīng) 隨著信息傳遞量的不斷增加，傳遞數(shù)據(jù)的密級(jí)也在不斷提高，犯罪分子為了獲取大量情報(bào)，可能監(jiān)聽(tīng)通信線路，非法接收信息。 3.非法終端 有可能在現(xiàn)有終端上并接一個(gè)終端，或合法用戶從網(wǎng)上斷開(kāi)時(shí)，非法用戶乘機(jī)接入，并操縱該計(jì)算機(jī)通信接口使信息傳到非法終端。 4.非法入侵 非法分子通過(guò)技術(shù)滲透或利用電話線侵入網(wǎng)絡(luò)，非法使用、破壞或獲取數(shù)據(jù)和系統(tǒng)資源。目前的網(wǎng)絡(luò)系統(tǒng)大都采用口令驗(yàn)證機(jī)制來(lái)防止非法訪問(wèn)，一旦口令被竊，就無(wú)安全可言。 2.搭線竊聽(tīng)90 5.注入非法信息 通過(guò)電話線有預(yù)謀地注入非法信息，截獲所傳信息，再刪除原有信息或注入非法信息后再發(fā)出，使接收者收到錯(cuò)誤信息。 6.線路干擾 當(dāng)公共轉(zhuǎn)接載波設(shè)備陳舊和通信線路質(zhì)量低劣時(shí)，會(huì)產(chǎn)生線路干擾。如調(diào)制解調(diào)器會(huì)隨著傳輸速率的上升，迅速增加錯(cuò)誤。 5.注入非法信息91 對(duì)于網(wǎng)絡(luò)通信線路的安全問(wèn)題通常采用數(shù)據(jù)加密、用戶認(rèn)證和室外使用光纜傳輸介質(zhì)等措施來(lái)解決。近年來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)由于電磁輻射使信息被截獲而失密的案例很多，這種截獲，其距離可達(dá)幾百甚至千米，給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害。為了防止計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中信息在空間上擴(kuò)散，通常在物理上采取對(duì)主機(jī)房和重要部門進(jìn)行屏蔽處理的防護(hù)措施，以減少擴(kuò)散出去的空間信號(hào)。終端分散的重要部門采取主動(dòng)式的干擾設(shè)備(如干擾機(jī))來(lái)干擾擴(kuò)散出去的空間信號(hào)，以破壞信息的竊取。 對(duì)于網(wǎng)絡(luò)通信線路的安全問(wèn)題通常采用數(shù)據(jù)加密、用戶認(rèn)證和室92 2.1.2網(wǎng)絡(luò)層次結(jié)構(gòu)的安全性 TCP/IP的不同層次提供的安全性不同。表2-1描述了TCP/IP與OSI模型相應(yīng)層次的安全措施。下面將重點(diǎn)介紹TCP/IP不同層次的安全性和提高各層安全性的方法。 2.1.2網(wǎng)絡(luò)層次結(jié)構(gòu)的安全性93表2-1TCP/IP協(xié)議與OSI模型的安全性表2-1TCP/IP協(xié)議與OSI模型的安全性94 1.網(wǎng)絡(luò)層的安全性

在過(guò)去十年里，對(duì)網(wǎng)絡(luò)層的安全協(xié)議已經(jīng)提出了一些方案。例如，“安全協(xié)議3號(hào)(SecureProtocol3—SP3)”就是美國(guó)國(guó)家安全局以及標(biāo)準(zhǔn)技術(shù)協(xié)會(huì)作為“安全數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)(SecureDataNetworkSystem—SDNS)”的一部分而制定的。“網(wǎng)絡(luò)層安全協(xié)議(NetworkLayerSecureProtocol—NLSP)”是由國(guó)際標(biāo)準(zhǔn)化組織為“無(wú)連接網(wǎng)絡(luò)協(xié)議(ConnectionlessNetworkProtocol—CLNP)”制定的安全協(xié)議標(biāo)準(zhǔn)。這些提案的共同點(diǎn)多于不同點(diǎn)。事實(shí)上，它們用的都是IP封裝技術(shù)。其本質(zhì)是，純文本的包被加密后，封裝在外層的IP報(bào)頭里，用來(lái)對(duì)加密的包進(jìn)行Internet上的路由選擇。到達(dá)另一端時(shí)，外層的IP報(bào)頭被拆開(kāi)，報(bào)文被解密，然后送到收?qǐng)?bào)地點(diǎn)。

1.網(wǎng)絡(luò)層的安全性95 網(wǎng)絡(luò)層安全性的主要優(yōu)點(diǎn)是它的透明性，也就是說(shuō)，安全服務(wù)的提供不需要應(yīng)用程序、其他通信層次和網(wǎng)絡(luò)部件做任何改動(dòng)。它的最主要的缺點(diǎn)是網(wǎng)絡(luò)層一般對(duì)屬于不同進(jìn)程和相應(yīng)條例的包不作區(qū)別。對(duì)所有去往同一地址的包，它將按照同樣的加密密鑰和訪問(wèn)控制策略來(lái)處理。這可能導(dǎo)致提供不了所需的功能，也會(huì)導(dǎo)致性能下降。針對(duì)面向主機(jī)的密鑰分配的這些問(wèn)題，推薦使用面向用戶的密鑰分配，其中，不同的連接會(huì)得到不同的加密密鑰。但是，面向用戶的密鑰分配需要對(duì)相應(yīng)的操作系統(tǒng)內(nèi)核作比較大的改動(dòng)。 網(wǎng)絡(luò)層安全性的主要優(yōu)點(diǎn)是它的透明性，也就是說(shuō)，安全服務(wù)的96 簡(jiǎn)而言之，網(wǎng)絡(luò)層是非常適合提供基于主機(jī)對(duì)主機(jī)的安全服務(wù)的。相應(yīng)的安全協(xié)議可以用來(lái)在Internet上建立安全的IP通道和虛擬私有網(wǎng)。例如，利用它對(duì)IP包的加密和解密功能，可以簡(jiǎn)捷地強(qiáng)化防火墻系統(tǒng)的防衛(wèi)能力。RSA數(shù)據(jù)安全公司已經(jīng)發(fā)起了一個(gè)倡議，來(lái)推進(jìn)多家防火墻和TCP/IP軟件廠商聯(lián)合開(kāi)發(fā)虛擬私有網(wǎng)。該倡議被稱為安全廣域網(wǎng)(SecureWideAreaNetwork—S-WAN)倡議，其目標(biāo)是制訂和推薦Internet層的安全協(xié)議標(biāo)準(zhǔn)。 簡(jiǎn)而言之，網(wǎng)絡(luò)層是非常適合提供基于主機(jī)對(duì)主機(jī)的安全服務(wù)的97 2.傳輸層的安全性 在Internet應(yīng)用編程中，通常使用廣義的進(jìn)程間通信機(jī)制來(lái)與不同層次的安全協(xié)議打交道。在Internet中提供安全服務(wù)的首先一個(gè)想法便是強(qiáng)化它的進(jìn)程間通信的界面，具體做法包括雙端實(shí)體的認(rèn)證，數(shù)據(jù)加密密鑰的交換等。Netscape通信公司遵循了這個(gè)思路，制定了建立在如TCP/IP所提供的在可靠的傳輸服務(wù)基礎(chǔ)上的安全套接層協(xié)議(SecureSocketLayer—SSL)。SSL版本3于1995年12月制定，它主要包含兩個(gè)協(xié)議。一個(gè)是SSL記錄協(xié)議，它涉及應(yīng)用程序提供的信息的分段、壓縮、數(shù)據(jù)認(rèn)證和加密。另一個(gè)是SSL握手協(xié)議，用來(lái)交換版本號(hào)、加密算法、相互身份認(rèn)證并交換密鑰。 2.傳輸層的安全性98

前面已介紹網(wǎng)絡(luò)層安全機(jī)制的主要優(yōu)點(diǎn)是它的透明性，即安全服務(wù)的提供不要求應(yīng)用層做任何改變。這對(duì)傳輸層來(lái)說(shuō)是做不到的。原則上，任何TCP/IP應(yīng)用，只要應(yīng)用傳輸層安全協(xié)議(如安全套接層協(xié)議)，就必定要進(jìn)行若干修改以增加相應(yīng)的功能，并使用稍微有些不同的進(jìn)程間通信的界面。于是，傳輸層安全機(jī)制的主要缺點(diǎn)就是要對(duì)傳輸層進(jìn)程間通信的界面和應(yīng)用程序兩端都進(jìn)行修改。可是，比起網(wǎng)絡(luò)層和應(yīng)用層的安全機(jī)制來(lái)，這里的修改還是相當(dāng)小的。另一個(gè)缺點(diǎn)是，基于用戶數(shù)據(jù)報(bào)協(xié)議(UserDatagramProtocol—UDP)的通信很難在傳輸層建立起安全機(jī)制來(lái)。同網(wǎng)絡(luò)層安全機(jī)制相比，傳輸層安全機(jī)制的主要優(yōu)點(diǎn)是它提供基于進(jìn)程對(duì)進(jìn)程的(而不是主機(jī)對(duì)主機(jī)的)安全服務(wù)。這一成就如果再加上應(yīng)用層的安全服務(wù)，就可以更安全。 前面已介紹網(wǎng)絡(luò)層安全機(jī)制的主要優(yōu)點(diǎn)是它的透明性，即安全服99 3.應(yīng)用層的安全性 網(wǎng)絡(luò)層(傳輸層)的安全協(xié)議允許為主機(jī)(進(jìn)程)之間的數(shù)據(jù)通道增加安全屬性。本質(zhì)上，這意味著真正的、機(jī)密的數(shù)據(jù)通道還是建立在主機(jī)(或進(jìn)程)之間，但卻不可能區(qū)分在同一通道上傳輸?shù)囊粋€(gè)具體文件的安全性要求。比如說(shuō)，如果一個(gè)主機(jī)與另一個(gè)主機(jī)之間建立起一條安全的IP通道，那么所有在這條通道上傳輸?shù)腎P包就都要自動(dòng)地被加密。同樣，如果一個(gè)進(jìn)程和另一個(gè)進(jìn)程之間通過(guò)傳輸層安全協(xié)議建立起了一條安全的數(shù)據(jù)通道，那么兩個(gè)進(jìn)程間傳輸?shù)乃邢⒕投家詣?dòng)地被加密。 3.應(yīng)用層的安全性100 如果確實(shí)想要區(qū)分一個(gè)具體文件的不同的安全性要求，那么就必須借助于應(yīng)用層的安全性。提供應(yīng)用層的安全服務(wù)實(shí)際上是最靈活的處理單個(gè)文件安全性的手段。例如一個(gè)電子郵件系統(tǒng)可能需要對(duì)要發(fā)出的信件的個(gè)別段落實(shí)施數(shù)據(jù)簽名。較低層的協(xié)議提供的安全功能一般不會(huì)知道任何要發(fā)出的信件的段落結(jié)構(gòu)，從而不可能知道該對(duì)哪一部分進(jìn)行簽名。只有應(yīng)用層是惟一能夠提供這種安全服務(wù)的層次。 如果確實(shí)想要區(qū)分一個(gè)具體文件的不同的安全性要求，那么就必101 目前還沒(méi)有Web安全性的公認(rèn)標(biāo)準(zhǔn)。這樣的標(biāo)準(zhǔn)只能由萬(wàn)維網(wǎng)協(xié)會(huì)(WWWConsortium)、Internet工程任務(wù)組(InternetEngineeringTaskForce—IETF)或其他有關(guān)的標(biāo)準(zhǔn)化組織來(lái)制定。而正式的標(biāo)準(zhǔn)化過(guò)程是漫長(zhǎng)的，可能要拖上好幾年，直到所有的標(biāo)準(zhǔn)化組織都充分認(rèn)識(shí)到Web安全的重要性。安全的超文本傳輸協(xié)議(SecureHypertextTransferProtocol—S-HTTP)和SSL是從不同角度提供Web的安全性的。S-HTTP對(duì)單個(gè)文件作“私人/簽字”的區(qū)分，而SSL則把參與通信的相應(yīng)進(jìn)程之間的數(shù)據(jù)通道按“私用”和“已認(rèn)證”進(jìn)行監(jiān)管。 目前還沒(méi)有Web安全性的公認(rèn)標(biāo)準(zhǔn)。這樣的標(biāo)準(zhǔn)只能由萬(wàn)維網(wǎng)1022.2TCP/IP協(xié)議存在的安全威脅 2.2.1TCP/IP協(xié)議概述 1.TCP/IP協(xié)議組簡(jiǎn)介 TCP/IP協(xié)議是網(wǎng)絡(luò)中使用的基本通信協(xié)議，雖然從名字上看TCP/IP協(xié)議包括兩個(gè)協(xié)議，即傳輸控制協(xié)議(TCP)和網(wǎng)際協(xié)議(IP)，但TCP/IP協(xié)議實(shí)際上是一組協(xié)議，包括上百個(gè)互為關(guān)聯(lián)的協(xié)議，最常用的是下面幾個(gè)協(xié)議。2.2TCP/IP協(xié)議存在的安全威脅 2.2.1TCP103 (1)Telnet(RemoteLogin)是遠(yuǎn)程登錄協(xié)議，它的作用就是讓用戶以模擬終端的方式，登錄到Internet的某臺(tái)主機(jī)上。一旦連接成功，這些個(gè)人計(jì)算機(jī)就好像是遠(yuǎn)程計(jì)算機(jī)的一個(gè)終端，可以像使用自己的計(jì)算機(jī)一樣輸入命令，運(yùn)行遠(yuǎn)程計(jì)算機(jī)中的程序。 (2)FTP(FileTransferProtocol)是遠(yuǎn)程文件傳輸協(xié)議，它允許用戶在遠(yuǎn)程主機(jī)和自己的電腦之間互相Copy文件(也可刪除改名等)。 (3)SMTP(SampleMailTransferProtocol)是簡(jiǎn)單郵政傳輸協(xié)議，用于傳輸電子郵件。 (1)Telnet(RemoteLogin)是遠(yuǎn)104 (4)?NFS(NetworkFileSystem)是網(wǎng)絡(luò)文件系統(tǒng)，可使多臺(tái)計(jì)算機(jī)透明地訪問(wèn)彼此的目錄。 (5)?UDP(UserDatagramProtocol)是用戶數(shù)據(jù)報(bào)協(xié)議，它和TCP協(xié)議一樣位于傳輸層，和IP協(xié)議配合使用，在傳輸數(shù)據(jù)時(shí)省去包頭，但它不能提供數(shù)據(jù)包的重傳，所以適合傳輸較短的文件。 (4)?NFS(NetworkFileSystem105 2.?TCP/IP協(xié)議的數(shù)據(jù)傳輸原理 TCP/IP協(xié)議的基本傳輸單位是數(shù)據(jù)包(DataGram)。TCP協(xié)議負(fù)責(zé)把數(shù)據(jù)分成若干個(gè)數(shù)據(jù)包，并給每個(gè)數(shù)據(jù)包加上包頭(就像給一封信加上信封)。包頭上有相應(yīng)的編號(hào)，以保證在數(shù)據(jù)接收端能將數(shù)據(jù)還原為原來(lái)的格式。IP協(xié)議在每個(gè)包頭上再加上接收端主機(jī)地址，這樣數(shù)據(jù)就會(huì)找到自己要去的地方(就像信封上要寫明地址一樣)。如果傳輸過(guò)程中出現(xiàn)數(shù)據(jù)丟失、數(shù)據(jù)失真等情況，TCP協(xié)議會(huì)自動(dòng)要求數(shù)據(jù)重新傳輸，并重新組包。總之，IP協(xié)議保證數(shù)據(jù)的傳輸，TCP協(xié)議保證數(shù)據(jù)的質(zhì)量。 2.?TCP/IP協(xié)議的數(shù)據(jù)傳輸原理106 3.?TCP/IP協(xié)議的層次結(jié)構(gòu) TCP/IP協(xié)議數(shù)據(jù)的傳輸基于TCP/IP協(xié)議的四層結(jié)構(gòu)，分別是應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、鏈路層(接口層)。數(shù)據(jù)在傳輸中每通過(guò)一層就要在數(shù)據(jù)上加個(gè)包頭，其中的數(shù)據(jù)供接收端同一層協(xié)議使用，而在接收端，每經(jīng)過(guò)一層要把用過(guò)的包頭去掉，這樣來(lái)保證傳輸數(shù)據(jù)的格式完全一致。 TCP/IP協(xié)議簇中的協(xié)議分布在這四層結(jié)構(gòu)中，如圖2-2-1所示。可見(jiàn)，TCP/IP協(xié)議組中的TCP協(xié)議位于傳輸層，IP協(xié)議位于網(wǎng)絡(luò)層。 3.?TCP/IP協(xié)議的層次結(jié)構(gòu)107圖2-2-1TCP/IP協(xié)議組四層結(jié)構(gòu)圖2-2-1TCP/IP協(xié)議組四層結(jié)構(gòu)108 4.TCP/IP協(xié)議的包頭結(jié)構(gòu) TCP/IP協(xié)議的基本傳輸單位是數(shù)據(jù)包。TCP協(xié)議將上層應(yīng)用傳送的報(bào)文(較長(zhǎng)的數(shù)據(jù)信息)劃分成較小數(shù)據(jù)段，并在每個(gè)數(shù)據(jù)段加上TCP包控制頭(其中包括宿主機(jī)地址，數(shù)據(jù)重構(gòu)所需的信息和防止信息包被毀壞的信息)，從而形成了TCP包，其結(jié)構(gòu)如圖2-2-2所示。 4.TCP/IP協(xié)議的包頭結(jié)構(gòu)109圖2-2-2TCP的包頭結(jié)構(gòu)圖2-2-2TCP的包頭結(jié)構(gòu)110

在TCP包形成后，TCP將它交給IP，IP將它作進(jìn)一步的分解，并加上控制頭(其中包括地址信息，以及裝載的TCP信息和數(shù)據(jù))，從而形成了IP包，其結(jié)構(gòu)如圖2-2-3所示。圖2-2-3IP包頭結(jié)構(gòu) 在TCP包形成后，TCP將它交給IP，IP將它作進(jìn)一步的111 2.2.2TCP/IP協(xié)議的安全問(wèn)題

TCP/IP協(xié)議是進(jìn)行一切互聯(lián)網(wǎng)上活動(dòng)的基礎(chǔ)，沒(méi)有它信息就不可能在不同操作系統(tǒng)、在不同通信協(xié)議中來(lái)去自由。也許是因?yàn)楫?dāng)時(shí)網(wǎng)絡(luò)軟、硬件設(shè)備的局限