第9章網絡層網絡攻擊與防范第9章網絡層網絡攻擊與防范

9.1網絡層網絡攻擊與防范概述國際互聯網或下一代網絡（IPv6）是物聯網網絡層的核心載體。在物聯網中，原來在國際互聯網遇到的各種攻擊問題依然存在，甚至更普遍，因此物聯網需要有更完善的安全防護機制。不同的物聯網終端設備的處理能力和網絡能力差異較大，抵御網絡攻擊的防護能力也在很大的差別，傳統的國際互聯網安全方案難以滿足需求，并且也很難通過通用的安全方案解決所有安全問題，必須針對物聯網的具體需求制定不同的安全方案。物聯網面臨著原來的TCP/IP網絡的所有安全問題，然而物聯網又有其本身獨有的特點。物聯網安全問題的主要特點是海量，即存在海量的節點和海量的數據，因此對核心網的安全提出了更高的要求。第9章網絡層網絡攻擊與防范

9.1網絡層網絡攻擊與防范概述物聯網所面臨的常見的安全問題主要包括以下幾個方面：1.DDoS攻擊由于物聯網需要接收海量的、采用集群方式連接的物聯網終端節點的信息，很容易導致網絡擁塞，因此物聯網極易受到分布式拒絕服務攻擊（DistributedDenialofService，DDoS），這也是物聯網網絡層遇到的最常見的攻擊方式。因此，物聯網必須解決的安全問題之一是如何對物聯網脆弱節點受到的DDoS攻擊進行防護。2.異構網絡跨網認證由于在物聯網網絡層存在不同架構的網絡需要互相連通的問題，因此物聯網也面臨異構網絡跨網認證等安全問題。在異構網絡傳輸中，需要解決密鑰和認證機制的一致性和兼容性等問題，而且還需要具有抵御DoS攻擊、中間人攻擊、異步攻擊、合謀攻擊等惡意攻擊的能力。第9章網絡層網絡攻擊與防范

9.1網絡層網絡攻擊與防范概述3.虛擬節點、虛擬路由信息攻擊由于物聯網中的某些節點可以自由漫游，與鄰近節點通信的關系在不斷改變，節點的加入和脫離也許比較頻繁，這樣就很難為節點建立信任關系，從而導致物聯網無基礎結構，且拓撲結構不斷改變。因此入侵者可以通過虛擬節點、插入虛擬路由信息等方式對物聯網發起攻擊。物聯網安全防護系統可以為物聯網終端設備提供本地和網絡應用的身份認證、網絡過濾、訪問控制、授權管理等安全服務。物聯網的安全技術主要涉及網絡加密技術、防火墻技術、隧道技術、網絡虛擬化技術、黑客攻擊與防范、網絡病毒防護、入侵檢測技術、網絡安全掃描技術等。第9章網絡層網絡攻擊與防范

9.2網絡層防火墻技術9.2.1防火墻技術簡介所謂防火墻（FireWall）指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的邊界上構造的保護屏障。防火墻是一種保護計算機網絡安全的技術性措施，它通過在網絡邊界上建立相應的網絡通信監控系統來隔離內部和外部網絡，以阻擋來自外部的網絡入侵。防火墻技術，最初是針對互聯網的不安全因素所采取的一種防御保護措施。顧名思義，防火墻就是用來阻擋網絡外部不安全因素影響的網絡屏障，其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機軟件和硬件相互融合的技術，可使Internet與Internet之間建立起一個安全網關（SecurityGateway），從而保護內部網絡免受非法用戶的侵入。第9章網絡層網絡攻擊與防范

9.2網絡層防火墻技術9.2.1防火墻技術簡介防火墻主要由服務訪問政策、驗證工具、包過濾和應用網關等4部分組成。防火墻是一個位于計算機和它所連接的網絡之間的軟件或硬件，流入或流出該計算機的所有網絡通信數據都要經過防火墻的過濾。使用防火墻的好處有：保護脆弱的服務，控制對系統的訪問，集中地進行安全管理，增強保密性，記錄和統計網絡利用數據以及非法使用數據情況。防火墻的設計通常有兩種基本設計策略：第一，允許任何服務除非被明確禁止；第二，禁止任何服務除非被明確允許。一般采用第二種策略。第9章網絡層網絡攻擊與防范

9.2.2防火墻的工作原理目前，防火墻技術已經發展成為一種成熟的保護計算機網絡安全的技術。它是一種隔離控制技術，在某個機構的網絡和不安全的網絡（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火墻阻止重要信息從企業的網絡上被非法輸出。作為Internet網的安全性保護軟件，防火墻已經得到廣泛的應用。通常企業為了維護內部的信息系統安全，在企業網和Internet間設立防火墻軟件。企業信息系統對于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一臺IP主機上有需要禁止的信息或危險的用戶，則可以通過設置使用防火墻過濾掉從該主機發出的數據包。如果一個企業只是使用Internet的電子郵件和WWW服務器向外部提供信息，那么就可以在防火墻上設置使得只有這兩類應用的數據包可以通過。這對于路由器來說，就要不僅分析IP層的信息，而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取舍。防火墻一般安裝在路由器上以保護一個子網，也可以安裝在一臺主機上，保護這臺主機不受侵犯。第9章網絡層網絡攻擊與防范

9.2.3防火墻的分類從應用角度來分類，防火墻可以分為兩大類，即網絡防火墻和計算機防火墻。網絡防火墻的系統結構如圖9-1所示。圖9-1網絡防火墻的的系統結構第9章網絡層網絡攻擊與防范

9.2.3防火墻的分類網絡防火墻是指在外部網絡和企業內部網絡之間設置網絡防火墻。這種防火墻又稱篩選路由器。網絡防火墻檢測進入信息的協議、目的地址、端口（網絡層）及被傳輸的信息形式（應用層）等，過濾并清除不符合規定的外來信息。網絡防火墻也對用戶內部網絡向外部網絡發出的信息進行檢測。第9章網絡層網絡攻擊與防范

9.2.3防火墻的分類計算機防火墻的系統結構如圖9-2所示。計算機防火墻是指在外部網絡和用戶計算機之間設置防火墻。計算機防火墻也可以是用戶計算機的一部分。計算機防火墻檢測接口規程、傳輸協議、目的地址及/或被傳輸的信息結構等，將不符合規定的進入信息剔除。計算機防火墻對用戶計算機輸出的信息進行檢查，并加上相應協議層的標志，用以將信息傳送到接收用戶計算機（或網絡）中去。圖9-2計算機防火墻的系統結構第9章網絡層網絡攻擊與防范

9.2.3防火墻的分類從工作原理來分類，防火墻可以分為四大類：網絡級防火墻（也稱為包過濾型防火墻）、應用級網關、電路級網關和規則檢查防火墻。它們之間各有所長，具體使用哪一種或是否混合使用，則要由企業的實際需求來確定。1.網絡級防火墻網絡級防火墻一般是基于源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。一個路由器便是一個“傳統”的網絡級防火墻，大多數的路由器都能通過檢查這些信息來決定是否將所收到的包轉發，但它不能判斷出一個IP包來自何方，去向何處。防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火墻就會使用默認規則，一般情況下，默認規則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數據包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。第9章網絡層網絡攻擊與防范

9.2.3防火墻的分類2.應用級網關應用級網關能夠檢查進出的數據包，通過網關復制傳遞數據，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用級網關能夠理解應用層上的協議，能夠做復雜一些的訪問控制，并做精細的注冊和稽核。它針對特別的網絡應用服務協議即數據過濾協議，并且能夠對數據包分析并形成相關的報告。應用網關對某些易于登錄和控制所有輸出輸入的通信的環境給予嚴格的控制，以防有價值的程序和數據被竊取。在實際工作中，應用網關一般由專用工作站系統來完成。但每一種協議需要相應的代理軟件，使用時工作量大，效率不如網絡級防火墻。應用級網關有較好的訪問控制，是目前最安全的防火墻技術，但實現困難，而且有的應用級網關缺乏“透明度”。在實際使用中，用戶在受信任的網絡上通過防火墻訪問Internet時，經常會發現存在延遲并且必須進行多次登錄（Login）才能訪問Internet或Intranet。第9章網絡層網絡攻擊與防范

9.2.3防火墻的分類3.電路級網關電路級網關用來監控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話（Session）是否合法,電路級網關是在OSI模型中會話層上來過濾數據包,這樣比包過濾防火墻要高二層。電路級網關還提供一個重要的安全功能：代理服務器（ProxyServer）。代理服務器是設置在Internet防火墻網關的專用應用級代碼。這種代理服務準許網管員允許或拒絕特定的應用程序或一個應用的特定功能。包過濾技術和應用網關是通過特定的邏輯判斷來決定是否允許特定的數據包通過，一旦判斷條件滿足，防火墻內部網絡的結構和運行狀態便“暴露”在外來用戶面前，這就引入了代理服務的概念，即防火墻內外計算機系統應用層的“鏈接”由兩個終止于代理服務的“鏈接”來實現，這就成功地實現了防火墻內外計算機系統的隔離。同時，代理服務還可用于實施較強的數據流監控、過濾、記錄和報告等功能。代理服務技術主要通過專用計算機硬件（如工作站）來承擔。第9章網絡層網絡攻擊與防范

9.2.3防火墻的分類4.規則檢查防火墻規則檢查防火墻綜合了包過濾防火墻、電路級網關和應用級網關的優點。它同包過濾防火墻一樣，規則檢查防火墻能夠在OSI網絡層上通過IP地址和端口號，過濾進出的數據包。它也如同電路級網關一樣，能夠檢查SYN和ACK標記和序列數字是否邏輯有序。當然，它也如同應用級網關一樣，可以在OSI應用層上檢查數據包的內容，查看這些內容是否能符合企業網絡的安全規則。規則檢查防火墻雖然集成前三者的特點，但是不同于一個應用級網關的是，它并不打破客戶機/服務器模式來分析應用層的數據，它允許受信任的客戶機和不受信任的主機建立直接連接。規則檢查防火墻不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數據，這些算法通過已知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。第9章網絡層網絡攻擊與防范

9.2.4防火墻的功能防火墻對流經它的網絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。1.網絡安全的屏障一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經過精心選擇的應用協議才能通過防火墻，所以網絡環境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協議進出受保護網絡，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網絡。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。第9章網絡層網絡攻擊與防范

9.2.4防火墻的功能2.強化網絡安全策略通過以防火墻為中心的安全方案配置，能將所有安全軟件（如密碼、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密密碼系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火墻一身上。3.監控審計如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。第9章網絡層網絡攻擊與防范

9.2.4防火墻的功能4.防止內部信息的外泄通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。除了安全作用，防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN（虛擬專用網）。第9章網絡層網絡攻擊與防范

9.2.4防火墻的功能5.數據包過濾網絡上的數據都是以包為單位進行傳輸的，每一個數據包中都會包含一些特定的信息，如數據的源地址、目標地址、源端口號和目標端口號等。防火墻通過讀取數據包中的地址信息來判斷這些包是否來自可信任的網絡，并與預先設定的訪問控制規則進行比較，進而確定是否需對數據包進行處理和操作。數據包過濾可以防止外部不合法用戶對內部網絡的訪問，但由于不能檢測數據包的具體內容，所以不能識別具有非法內容的數據包，無法實施對應用層協議的安全處理。6.網絡IP地址轉換網絡IP地址轉換是一種將私有IP地址轉化為公網IP地址的技術，它被廣泛應用于各種類型的網絡和互聯網的接人中。網絡IP地址轉換一方面可隱藏內部網絡的真實IP地址，使內部網絡免受黑客的直接攻擊，另一方面由于內部網絡使用了私有IP地址，從而有效解決了公網IP地址不足的問題。第9章網絡層網絡攻擊與防范

9.2.4防火墻的功能7.虛擬專用網絡虛擬專用網絡將分布在不同地域上的局域網或計算機通過加密通信，虛擬出專用的傳輸通道，從而將它們從邏輯上連成一個整體，不僅省去了建設專用通信線路的費用，還有效地保證了網絡通信的安全。8.日志記錄與事件通知進出網絡的數據都必須經過防火墻，防火墻通過日志對其進行記錄，能提供網絡使用的詳細統計信息。當發生可疑事件時，防火墻更能根據機制進行報警和通知，提供網絡是否受到威脅的信息。第9章網絡層網絡攻擊與防范

9.2.5防火墻技術的應用防火墻技術對物聯網具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。在應用防火墻技術時，還應當注意以下兩個方面：①防火墻是不能防御病毒的，盡管有不少的防火墻產品聲稱自己具有防病毒功能。②防火墻技術的另外一個缺點是在防火墻之間的數據難以更新，如果數據更新需要延遲太長的時間，將無法響應實時服務請求。此外，防火墻采用濾波技術，濾波通常會使網絡的傳輸性能降低50%以上，如果為了改善網絡性能而購置高速防火墻，又會大大增加網絡設備的經費。第9章網絡層網絡攻擊與防范

9.2.5防火墻技術的應用總之，防火墻技術是物聯網安全的一種可行技術，它可以把公共數據和服務置于防火墻外，使其對防火墻內部資源的訪問受到限制。作為一種網絡安全技術，防火墻具有簡單實用的特點，并且透明度高，可以在不修改原有網絡應用系統的情況下達到一定的安全要求。第9章網絡層網絡攻擊與防范

9.2.6防火墻的選購防火墻是目前使用最為廣泛的網絡安全產品之一，運營商在構建物聯網應用系統時通應該采購防火墻作為網絡安全的重要防護手段，在選購防火墻時應該注意以下幾點：1.自身的安全性防火墻自身的安全性主要體現在自身設計和管理兩個方面。設計的安全性關鍵在于操作系統，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。而應用系統的安全是以操作系統的安全為基礎的，同時防火墻自身的安全實現也直接影響整體系統的安全性。第9章網絡層網絡攻擊與防范

9.2.6防火墻的選購2.系統的穩定性目前，由于種種原因，有些防火墻尚未最后定型或經過嚴格的大量測試就被推向了市場，其穩定性可想而知。防火墻的穩定性可以通過幾種方法判斷：①從權威的測評認證機構獲得。例如，可以通過與其他產品相比，考察某種產品是否獲得更多的國家權威機構的認證、推薦和入網證明（書），來間接了解其穩定性。②實際調查，這是最有效的辦法，要考察這種防火墻產品已經有多少實際使用單位、特別是用戶們對于該防火墻的評價如何。③自己試用。在自己的網絡上進行一段時間的試用（一個月左右）。④生產商的研發歷史。一般來說，如果沒有兩年以上的開發經歷，很難保證產品的穩定性。⑤

生產商的實力，如資金、技術開發人員、市場銷售人員和技術支持人員多少等。第9章網絡層網絡攻擊與防范

9.2.6防火墻的選購3.高效適用性高性能是防火墻的一個重要指標，它直接體現了防火墻的可用性。如果由于使用防火墻而帶來了網絡性能較大幅度的下降，就意味著安全代價過高。一般來說，防火墻加載上百條規則，其性能下降不應超過5%（指包過濾防火墻）。4.可靠性可靠性對防火墻類訪問控制設備來說尤為重要，直接影響受控網絡的可用性。從系統設計上，提高可靠性的措施一般是提高本身部件的強健性、增大設計闕值和增加冗余部件，這要求有較高的生產標準和設計冗余度。第9章網絡層網絡攻擊與防范

9.2.6防火墻的選購5.控制靈活對通信行為的有效控制，要求防火墻設備有一系列不同級別，滿足不同用戶的各類安全控制需求的控制注意。例如對普通用戶，只要對IP地址進行過濾即可：如果是內部有不同安全級別的子網，有時則必須允許高級別子網對低級別子網進行單向訪問。6.配置便利在網絡入口和出口處安裝新的網絡設備是每個網管員的噩夢，因為這意味著必須修改幾乎全部現有設備的配置。支持透明通信的防火墻，在安裝時不需要對原網絡配置作任何改動，所做的工作只相當于接一個網橋或HUB。第9章網絡層網絡攻擊與防范

9.2.6防火墻的選購7.管理簡便網絡技術發展很快，各種安全事件不斷出現，這就要求安全管理員經常調整網絡安全注意，對于防火墻類訪問控制設備，除安全控制注意的不斷調整外，業務系統訪問控制的調整也很頻繁，這些都要求防火墻的管理在充分考忠安全需要的前提下，必須提供方便靈活的管理方式和方法，這通常體現為管理途徑、管理工具和管理權限。8.拒絕服務攻擊的抵抗能力在當前的網絡攻擊中，拒絕服務攻擊是使用頻率最高的方法。抵抗拒絕服務攻擊應該是防火端的基本功能之一。目前有很多防火墻號稱可以抵御拒絕服務政擊，但嚴格地說，它應是可以降低拒絕服務攻擊的危害而不是抵御這種攻擊。在采購防火墻時，網管人員應該詳細考察這一功能的真實性和有效性。第9章網絡層網絡攻擊與防范

9.2.6防火墻的選購9.報文過濾能力防火墻過濾報文，需要一個針對用戶身份而不是IP地址進行過濾的辦法。目前常用的是一次性口令驗證機制，保證用戶在登錄防火墻時，口令不會在網絡上泄漏，這樣，防火等就可以確認登錄上來的用戶確實和他所聲稱的一致。10.可擴展性用戶的網絡不是一成不變的，和防病毒產品類似，防火墻也必須不斷地進行升級，此時支持軟件升級就很重要了。如果不支持軟件升級的話，為了抵御新的攻擊手段，用戶就必須進行硬件上的更換，而在更換期間網絡是不設防的，同時用戶也要為此花費更多的錢。第9章網絡層網絡攻擊與防范

9.3網絡虛擬化技術9.3.1網絡虛擬化技術概述網絡虛擬化一般指虛擬專用網絡（VirtualPrivateNetwork，VPN）。VPN對網絡連接的概念進行了抽象，允許用戶遠程地訪問企業或組織的內部網絡，就像物理上連接到該網絡一樣。網絡虛擬化可以幫助保護IT環境，防止來自Internet的威脅，同時使用戶能夠快速地、安全地訪問企業內部的應用程序和數據。虛擬專用網絡是通過公用網絡（通常是國際互聯網）建立的臨時的、安全的特殊網絡，是一條穿過公用網絡的、安全的、穩定的加密隧道。使用這條隧道可以對數據進行加密，以達到安全使用互聯網的目的。第9章網絡層網絡攻擊與防范

9.3網絡虛擬化技術9.3.1網絡虛擬化技術概述虛擬專用網絡可以實現不同網絡的組件和資源之間的相互連接。虛擬專用網絡能夠利用Internet或其它公共互聯網絡的基礎設施為用戶創建隧道，并提供與專用網絡一樣的安全和功能保障。虛擬專用網絡的結構如圖9-3所示。圖9-3虛擬專用網絡的結構第9章網絡層網絡攻擊與防范

9.3網絡虛擬化技術9.3.1網絡虛擬化技術概述在企業的內部網絡中，考慮到一些部門可能存儲有重要數據，為確保數據的安全性，傳統的方式只能是把這些部門同整個企業網絡斷開形成孤立的小網絡。這樣做雖然保護了部門的重要信息，但是由于物理上的中斷，使其他部門的用戶無法訪問，造成通訊上的困難。采用VPN方案，通過使用一臺VPN服務器既能夠實現與整個企業網絡的連接，又可以保證保密數據的安全性。路由器雖然也能夠實現網絡之間的互聯，但是并不能對流向敏感網絡的數據進行限制。使用VPN服務器，但是企業網絡管理人員通過使用VPN服務器，指定只有符合特定身份要求的用戶才能連接VPN服務器獲得訪問敏感信息的權利。此外，可以對所有VPN數據進行加密，從而確保數據的安全性。沒有訪問權利的用戶無法看到部門的局域網絡。虛擬專用網絡允許遠程通訊方，銷售人員或企業分支機構使用Internet等公共互聯網絡的路由基礎設施以安全的方式與位于企業局域網端的企業服務器建立連接。虛擬專用網絡對用戶端透明，用戶好象使用一條專用線路在客戶計算機和企業服務器之間建立點對點連接，進行數據的傳輸。第9章網絡層網絡攻擊與防范

9.3網絡虛擬化技術9.3.1網絡虛擬化技術概述

虛擬專用網絡技術同樣支持企業通過Internet等公共互聯網絡與分支機構或其它公司建立連接，進行安全的通訊。這種跨越Internet建立的VPN連接邏輯上等同于兩地之間使用廣域網建立的連接。雖然VPN通訊建立在公共互聯網絡的基礎上，但是用戶在使用VPN時感覺如同在使用專用網絡進行通訊，所以得名虛擬專用網絡。使用VPN技術可以解決在當今遠程通訊量日益增大，企業全球運作廣泛分布的情況下，員工需要訪問中央資源，企業相互之間必須進行及時和有效的通訊的問題。虛擬專用網絡支持以安全的方式通過公共互聯網絡遠程訪問企業資源。第9章網絡層網絡攻擊與防范

9.3網絡虛擬化技術9.3.1網絡虛擬化技術概述在選擇VPN技術時，一定要考慮到管理上的要求。一些大型網絡都需要把每個用戶的目錄信息存放在一臺中央數據存儲設備（目錄服務器）中，以便于管理人員和應用程序對信息進行添加，修改和查詢。每一臺接入或隧道服務器都應當能夠維護自己的內部數據庫，存儲每一個用戶的帳戶信息，包括用戶名、密碼以及撥號接入的屬性等。但是，這種由多臺服務器維護多個用戶帳戶的做法，很難實現及時的同步更新，這給管理帶來很大的困難。因此，大多數的網絡管理員采用在目錄服務器、主域控制器或RADIUS服務器上，建立一個主帳號數據庫的方法，來進行統一的、有效的管理。第9章網絡層網絡攻擊與防范

9.3.2虛擬專用網絡的連接方式通常可以采用以下兩種方式來實現遠程企業內部網絡的連接。1.使用專線連接分支機構和企業局域網專線方式不需要使用價格昂貴的長距離專用電路，分支機構和企業端的路由器可以使用各自本地的專用線路，通過本地的ISP連通Internet。通過VPN軟件與本地ISP建立連接的方式，在Internet與分支機構和企業端的路由器之間建立一個虛擬專用網絡。2.使用撥打本地ISP號碼的方式連接分支機構和企業內部網區別于傳統的連接分支機構路由器的撥打長途電話的方式，分支機構端的路由器可以通過撥號方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接，在分支機構和企業端路由器之間創建一個跨越Internet的虛擬專用網絡。值得注意的是，在上述兩種方式中，是通過使用本地設備在分支機構和企業部門與Internet之間建立連接。無論是在客戶端還是服務器端，都是通過撥打本地接入電話建立連接，因此VPN可以大大節省連接的費用。建議將VPN服務器的企業端路由器以專線方式連接本地ISP。VPN服務器必須一天24小時對VPN數據流進行監聽。第9章網絡層網絡攻擊與防范

9.3.3VPN系統的安全需求

一般來說，企業在選用一種遠程網絡互聯方案時，都希望能夠對訪問企業資源和信息的要求加以控制，所選用的方案應當既能夠實現授權用戶與企業局域網資源的自由連接，不同分支機構之間的資源共享；又能夠確保企業數據在公共互聯網絡或企業內部網絡上傳輸時安全性不受破壞。因此，一個成熟的VPN系統應當能夠同時滿足以下幾個方面的安全需求：1.身份認證VPN系統必須能夠認證用戶的身份，并且嚴格控制只有授權用戶才能訪問VPN。此外，方案還必須能夠提供審計和記費功能，能夠追蹤到什么人、在什么時候訪問了VPN。2.地址管理VPN系統必須能夠為用戶分配專用網絡上的地址并確保地址的安全性。第9章網絡層網絡攻擊與防范

9.3.3VPN系統的安全需求

3.數據加密對通過公共互聯網絡傳遞的數據必須經過加密，確保網絡其他未授權的用戶無法讀取該信息。4.密鑰管理VPN系統必須能夠生成并更新客戶端和服務器的加密密鑰。5.多協議支持VPN系統必須支持公共互聯網絡上普遍使用的基本協議，包括IP、IPX協議等。以點對點隧道協議（PPTP）或第2層隧道協議（L2TP）為基礎的VPN方案，既能夠滿足以上所有的基本要求，又能夠充分利用遍及世界各地的Internet互聯網絡的優勢。其它方案，包括安全IP協議（IPSec)，雖然不能滿足上述全部要求，但是仍然適用于在特定的環境。以下將主要集中討論有關VPN的概念、協議和部件（Component）。第9章網絡層網絡攻擊與防范

9.3.4隧道技術隧道技術是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據（或負載）可以是不同協議的數據楨（此字不正確）或包。隧道協議將這些其它協議的數據楨或包重新封裝在新的包頭中發送。新的包頭提供了路由信息，從而使封裝的負載數據能夠通過互聯網絡傳遞。被封裝的數據包在隧道的兩個端點之間通過公共互聯網絡進行路由。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱為隧道。一旦到達網絡終點，數據將被解包并轉發到最終目的地。注意隧道技術是指包括數據封裝，傳輸和解包在內的全過程。隧道所使用的傳輸網絡可以是任何類型的公共互聯網絡，本節主要以目前廣泛使用Internet為例進行說明。此外，在企業網絡同樣可以創建隧道。隧道技術在經過一段時間的研究、發展和完善之后，已經逐漸成熟。第9章網絡層網絡攻擊與防范

9.3.4隧道技術常用的隧道技術主要包括：1.IP網絡上的SNA隧道技術當系統網絡結構（SystemNetworkArchitecture，SNA）的數據流通過企業IP網絡傳送時，SNA數據楨將被封裝在UDP和IP協議包頭中。2.IP網絡上的NovellNetWareIPX隧道技術當一個IPX數據包被發送到NetWare服務器或IPX路由器時，服務器或路由器用UDP和IP包頭封裝IPX數據包后通過IP網絡發送。另一端的IP-TO-IPX路由器在去除UDP和IP包頭之后，把數據包轉發到IPX目的地。3.點對點隧道協議（PPTP）PPTP協議允許對IP，IPX或NetBEUI數據流進行加密，然后封裝在IP包頭中通過企業IP網絡或公共互聯網絡發送。第9章網絡層網絡攻擊與防范

9.3.4隧道技術常用的隧道技術主要包括：4.第2層隧道協議（L2TP）L2TP協議允許對IP，IPX或NetBEUI數據流進行加密，然后通過支持點對點數據報傳遞的任意網絡發送，如IP、X.25、幀中繼或ATM。5.安全IP（IPSec）隧道模式IPSec隧道模式允許對IP負載數據進行加密，然后封裝在IP包頭中通過企業IP網絡或公共IP互聯網絡如Internet發送。第9章網絡層網絡攻擊與防范

9.3.5隧道協議分析為了創建隧道，隧道的客戶機和服務器雙方都必須遵守相同的隧道協議。隧道技術可以分別以第2層或第3層隧道協議為基礎。上述分層按照開放系統互聯（OSI）的參考模型劃分。第2層隧道協議對應OSI模型中的數據鏈路層，使用楨作為數據交換單位。PPTP，L2TP和L2F（第2層轉發）都屬于第2層隧道協議，都是將數據封裝在點對點協議（PPP）楨中通過互聯網絡發送。第3層隧道協議對應OSI模型中的網絡層，使用包作為數據交換單位。IPoverIP以及IPSec隧道模式都屬于第3層隧道協議，都是將IP包封裝在附加的IP包頭中通過IP網絡傳送的。對于象PPTP和L2TP這樣的第2層隧道協議，創建隧道的過程類似于在雙方之間建立會話；隧道的兩個端點必須同意創建隧道并協商隧道各種配置變量，如地址分配，加密或壓縮等參數。絕大多數情況下，通過隧道傳輸的數據都使用基于數據報的協議發送。隧道維護協議被用來作為管理隧道的機制。第9章網絡層網絡攻擊與防范

9.3.5隧道協議分析第3層隧道技術通常假定所有配置問題已經通過手工過程完成。這些協議不對隧道進行維護。與第3層隧道協議不同，第2層隧道協議（PPTP和L2TP）必須包括對隧道的創建，維護和終止。隧道客戶端和服務器使用隧道數據傳輸協議傳輸數據。隧道一旦建立，數據就可以通過隧道傳輸。當隧道客戶端向服務器端發送數據時，客戶端首先給負載數據加上一個隧道數據傳送協議包頭，然后把封裝好的數據通過互聯網絡發送，并由互聯網絡將數據轉發到隧道的服務器端。隧道的服務器端收到數據包之后，會刪除隧道數據傳輸協議包頭，然后將負載數據轉發到目標網絡。第9章網絡層網絡攻擊與防范

9.3.5隧道協議分析1.第2層隧道協議的特點

第2層隧道協議（PPTP和L2TP）以完善的PPP協議為基礎，它繼承了PPP協議的特性。①用戶驗證第2層隧道協議繼承了PPP協議的用戶驗證方式。許多第3層隧道技術都假定在創建隧道之前，隧道的兩個端點相互之間已經了解或已經經過驗證。一個例外情況是IPSec協議的ISAKMP協商提供了隧道端點之間進行的相互驗證。②令牌卡（TokenCard）支持通過使用擴展驗證協議（EAP），第2層隧道協議能夠支持多種驗證方法，包括一次性密碼（one-timepassword)，加密計算器（cryptographiccalculator）和智能卡等。第3層隧道協議也支持使用類似的方法，例如，IPSec協議通過ISAKMP/Oakley協商確定公共密鑰證書驗證。第9章網絡層網絡攻擊與防范

9.3.5隧道協議分析1.第2層隧道協議的特點

③動態地址分配第2層隧道協議支持在網絡控制協議（NCP）協商機制的基礎上動態分配客戶地址。第3層隧道協議通常假定隧道建立之前已經進行了地址分配。目前IPSec隧道模式下的地址分配方案仍在開發之中。④數據壓縮第2層隧道協議支持基于PPP的數據壓縮方式。例如，微軟的PPTP和L2TP方案使用微軟點對點加密協議（MPPE）。IETP正在開發應用于第3層隧道協議的類似數據壓縮機制。⑤數據加密第2層隧道協議支持基于PPP的數據加密機制。微軟的PPTP方案支持在RSA/RC4算法的基礎上選擇使用MPPE。第3層隧道協議可以使用類似方法，例如，IPSec通過ISAKMP/Oakley協商確定幾種可選的數據加密方法。微軟的L2TP協議使用IPSec加密保障隧道客戶端和服務器之間數據流的安全。第9章網絡層網絡攻擊與防范

9.3.5隧道協議分析1.第2層隧道協議的特點

⑥密鑰管理作為第2層協議的MPPE依靠驗證用戶時生成的密鑰，定期對其更新。IPSec在ISAKMP交換過程中公開協商公用密鑰，同樣對其進行定期更新。⑦多協議支持第2層隧道協議支持多種負載數據協議，從而使隧道客戶能夠訪問使用IP，IPX，或NetBEUI等多種協議企業網絡。相反，第3層隧道協議，如IPSec隧道模式只能支持使用IP協議的目標網絡。

一旦完成了協商，PPP就開始在連接對等雙方之間轉發數據。每個被傳送的數據報都被封裝在PPP包頭內，該包頭將會在到達接收方之后被去除。如果在階段1選擇使用數據壓縮并且在階段4完成了協商，數據將會在被傳送之間進行壓縮。類似地，如果已經選擇使用數據加密并完成了協商，數據（或被壓縮數據）將會在傳送之前進行加密。第9章網絡層網絡攻擊與防范

9.3.5隧道協議分析2.點對點隧道協議點對點隧道協議（PPTP）是一個第2層的協議，將PPP數據楨封裝在IP數據報內通過IP網絡，如Internet傳送。PPTP還可用于專用局域網絡之間的連接。RFC草案“點對點隧道協議”對PPTP協議進行了說明和介紹。該草案由PPTP論壇的成員公司，包括微軟，Ascend，3Com，和ECI等公司在1996年6月提交至IETF。PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝（GRE）技術把數據封裝成PPP數據楨通過隧道傳送。可以對封裝PPP楨中的負載數據進行加密或壓縮。第9章網絡層網絡攻擊與防范

9.3.5隧道協議分析3.第2層轉發協議第2層轉發協議（L2F）是Cisco公司提出的一種隧道技術。作為一種傳輸協議，L2F支持撥號接入服務器將撥號數據流封裝在PPP幀內，并通過廣域網鏈路傳送到L2F服務器（路由器）。L2F服務器把數據包解壓后，重新轉發到網絡。與PPTP和L2TP不同，L2F沒有確定的客戶端。應當注意，L2F隧道技術僅僅在強制隧道中有效。4.第2層隧道協議（L2TP）第2層隧道協議綜合了PPTP和L2F協議的優點。設計者希望L2TP能夠綜合PPTP和L2F的優勢。L2TP是一種網絡層協議，支持封裝的PPP楨在IP，X.25，楨中繼或ATM等的網絡上進行傳送。當使用IP作為L2TP的數據報傳輸協議時，可以使用L2TP作為Internet網絡上的隧道協議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。IP網上的L2TP使用UDP和一系列的L2TP消息對隧道進行維護。L2TP同樣使用UDP將L2TP協議封裝的PPP楨通過隧道發送。可以對封裝PPP楨中的負載數據進行加密或壓縮。第9章網絡層網絡攻擊與防范

9.3.5隧道協議分析PPTP和L2TP都使用PPP協議對數據進行封裝，然后添加附加包頭用于數據在互聯網絡上的傳輸。盡管這兩個協議非常相似，但是兩者仍然存在以下區別：①PPTP要求互聯網絡為IP網絡L2TP只要求隧道媒介提供面向數據包的點對點的連接。L2TP可以在IP（使用UDP）、幀中繼永久虛擬電路（PVCs)、X.25虛擬電路（VCs）或ATMVCs網絡上使用。②PPTP只能在兩端點間建立單一隧道L2TP支持在兩端點間使用多隧道。使用L2TP，用戶可以針對不同的服務質量創建不同的隧道。③L2TP可以提供包頭壓縮當壓縮包頭時，系統開銷（overhead）占用4個字節，而PPTP協議下要占用6個字節。④隧道驗證L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSec共同使用時，可以由IPSec提供隧道驗證，不需要在第2層協議上驗證隧道。第9章網絡層網絡攻擊與防范

9.3.6IPSec隧道技術6.IPSec協議IPSec協議是一種工作在網絡層的網絡協議，支持IP網絡上數據的安全傳輸。除了對IP數據流的加密機制進行了規定之外，IPSec協議還定義了IPoverIP隧道模式的數據包格式，一般被稱作IPSec隧道模式。一個IPSec隧道由一個隧道客戶和隧道服務器組成，兩端都配置使用IPSec隧道技術，采用協商加密機制。為實現在專用或公共IP網絡上的安全傳輸，IPSec隧道模式使用的安全方式封裝和加密整個IP包。然后對加密的負載再次封裝在明文IP包頭內通過網絡發送到隧道服務器端。隧道服務器對收到的數據報進行處理，在去除明文IP包頭，對內容進行解密之后，獲得最初的負載IP包。負載IP包在經過正常處理之后被路由到位于目標網絡的目的地。第9章網絡層網絡攻擊與防范

9.3.6IPSec隧道技術IPSec隧道模式具有以下特點：①只能支持IP數據流②工作在IP棧（IPStack）的底層，因此，應用程序和高層協議可以繼承IPSec的行為。③由一個安全策略（一整套過濾機制）進行控制。安全策略按照優先級的先后順序創建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時，雙方機器執行相互驗證，然后協商使用何種加密方式。此后的所有數據流都將使用雙方協商的加密機制進行加密，然后封裝在隧道包頭內。IPSec隧道技術是一種由國際互聯網工程任務組（InternetEngineeringTaskForce，IETF）定義的、端到端的、確保基于IP通訊的數據安全性的機制。IPSec支持對數據加密，同時確保數據的完整性。按照IETF的規定，不采用數據加密時，IPSec使用驗證包頭（AH）提供驗證來源驗證（SourceAuthentication)，確保數據的完整性；IPSec使用封裝安全負載（ESP）與加密一道提供來源驗證，確保數據完整性。IPSec協議下，只有發送方和接受方知道秘密密鑰。如果驗證數據有效，接受方就可以知道數據來自發送方，并且在傳輸過程中沒有受到破壞。第9章網絡層網絡攻擊與防范

9.3.6IPSec隧道技術我們可以把IPSec協議理解為位于TCP/IP協議棧的下層協議。該層由每臺機器上的安全策略和發送、接受方協商的安全關聯（SecurityAssociation)進行控制。安全策略由一套過濾機制和關聯的安全行為組成。如果一個數據包的IP地址、協議和端口號滿足過濾機制，那么這個數據包將要遵守關聯的安全行為。第一個滿足過濾機制的數據包將會引發發送和接收方對安全關聯進行協商。ISAKMP/OAKLEY是這種協商采用的標準協議。在一個ISAKMP/OAKLEY交換過程中，兩臺機器對驗證和數據安全方式達成一致，進行相互驗證，然后生成一個用于隨后的數據加密的共享密鑰。

第9章網絡層網絡攻擊與防范

9.3.6IPSec隧道技術通過一個位于IP包頭和傳輸包頭之間的驗證包頭可以提供IP負載數據的完整性和數據驗證。驗證包頭包括驗證數據和一個序列號，共同用來驗證發送方身份，確保數據在傳輸過程中沒有被改動，防止受到第三方的攻擊。IPSec驗證包頭不提供數據加密；信息將以明文方式發送。為了保證數據的保密性并防止數據被第3方竊取，封裝安全負載（ESP）提供了一種對IP負載進行加密的機制。另外，ESP還可以提供數據驗證和數據完整性服務；因此在IPSec數據包中，可以用ESP包頭替代AH包頭。第9章網絡層網絡攻擊與防范

9.4黑客攻擊與防范9.4.1黑客攻擊的基本概念黑客一般是指網絡的非法入侵者，他們往往是優秀的程序員，具有計算機網絡和物聯網的軟件及硬件的高級知識，并有能力通過一些特殊的方法剖析和攻擊網絡。黑客以破壞網絡系統為目的，往往采用某些不正當的手段找出網絡的漏洞，并利用網絡漏洞破壞計算機網絡或物聯網，從而危害網絡的安全。黑客技術，簡單地說，是對計算機系統和網絡的缺陷和漏洞的發現，以及針對這些缺陷實施攻擊的技術。這里說的缺陷，包括軟件缺陷、硬件缺陷、網絡協議缺陷、管理缺陷和人為的失誤。第9章網絡層網絡攻擊與防范

9.4黑客攻擊與防范9.4.1黑客攻擊的基本概念最初，“黑客”一詞由英語Hacker英譯而來，是指專門研究、發現計算機和網絡漏洞的計算機愛好者。他們伴隨著計算機和網絡的發展而產生和成長。黑客對計算機有著狂熱的興趣和執著的追求，他們不斷地研究計算機和網絡知識，發現計算機和網絡中存在的漏洞，喜歡挑戰高難度的網絡系統并從中找到漏洞，然后向管理員提出解決和修補漏洞的方法。但目前黑客一詞已被用于泛指那些專門利用計算機搞破壞或惡作劇的家伙，對這些人的正確英文叫法是Cracker,有人也翻譯成“駭客”或是“入侵者”，也正是由于入侵者的出現玷污了黑客的聲譽，使人們把黑客和入侵者混為一談，黑客被人們認為是在網上到處搞破壞的人。黑客攻擊的目的主要是為了竊取信息，獲取口令，控制中間站點和獲得超級用戶權限，其中竊取信息是黑客最主要的目的。竊取信息不一定只是復制該信息，還包括對信息的更改、替換和刪除，也包括把機密信息公開發布等行為。第9章網絡層網絡攻擊與防范

9.4黑客攻擊與防范9.4.1黑客攻擊的基本概念簡單地說，攻擊就是指一切對計算機的非授權行為，攻擊的全過程應該是由攻擊者發起，攻擊者應用一定的攻擊方法和攻擊策略，利用些攻擊技術或工具，對目標信息系統進行非法訪問，達到一定的攻擊效果，并實現攻擊者的預定目標。因此，凡是試圖繞過系統的安全策略或是對系統進行滲透，以獲取信息、修改信息甚至破壞目標網絡或系統功能為目的的行為都可以稱為黑客攻擊。第9章網絡層網絡攻擊與防范

9.4.2黑客常用的攻擊方法1.竊取密碼竊取密碼是最常見的攻擊方法之一。一般來說，黑客竊取密碼會使用以下三種方法：①通過網絡監聽非法獲得用戶的密碼，這類方法雖然有一定的局限性，但是危害性極大，監聽者往往能夠獲得其所在網段的所有用戶賬號和密碼，對局域網安全威脅巨大；②在知道用戶的賬號后（如電子郵件@前面的部分）利用一些專門軟件強行破解用戶密碼，這種方法不受網段限制，但黑客要有足夠的耐心和時間；③在首先獲得一個服務器上的用戶密碼文件（Shadow文件）后，再用暴力破解程序破解用戶密碼，應用這種方法的前提條件是黑客要先獲得密碼的Shadow文件。在黑客竊取密碼的這三種方法中，第三種方法的危害最大，因為它不需要像第二種方法那樣，一遍又一遍地嘗試登錄服務器，而是在本地將加密后的密碼與Shadow文件中的密碼相比較，就可以非常容易地破獲用戶的密碼，尤其對那些安全意識薄弱的用戶。第9章網絡層網絡攻擊與防范

9.4.2黑客常用的攻擊方法1.竊取密碼某些用戶設置的密碼安全系數極低，例如某個用戶的帳號為zys，他將密碼簡單地設置為zys、zys123、123456等，因此，黑客僅僅需要花短短的幾分鐘，甚至幾十秒內就可以猜出密碼。第9章網絡層網絡攻擊與防范

9.4.2黑客常用的攻擊方法2.特洛伊木馬程序特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞，它經常被偽裝成工具軟件或者游戲軟件，誘使用戶運行從網上下載的帶有特洛伊木馬程序的軟件，或者打開帶有特洛伊木馬程序的電子郵件附件，一旦用戶運行了特洛伊木馬程序之后，它們就會象古代特洛伊人在敵人城外留下的藏匿了士兵的木馬一樣隱藏在用戶的電腦中，并在用戶的計算機系統中隱藏一個可以在Windows操作系統啟動時悄悄執行的程序。當用戶連接到互聯網上時，這個程序就會通知黑客，并報告用戶的IP地址以及預先設定的端口。黑客在收到這些信息后，利用這個潛伏在其中的木馬程序，就可以任意地修改用戶的計算機的參數設定、復制文件、窺視用戶整個硬盤中的內容等，從而達到控制用戶的計算機的目的。第9章網絡層網絡攻擊與防范

9.4.2黑客常用的攻擊方法3.www欺騙技術在互聯網上，用戶可以利用IE等網頁瀏覽器訪問各種各樣的網站，如瀏覽新聞、查詢產品價格、進行證券交易、電子商務等。然而，許多用戶也許不會想到，這些常用的、簡單的上網操作，存在著嚴重的安全隱患。例如，訪問的網頁已經被黑客篡改過，網頁上的信息是虛假的！黑客很可能將用戶要瀏覽的網頁的URL改寫為指向黑客自己的服務器，當用戶瀏覽這些網頁的時候，實際上是向黑客服務器發送信息，那么黑客就可以輕易竊取用戶的機密信息，如登錄的帳號和密碼等，從而達到欺騙的目的。第9章網絡層網絡攻擊與防范

9.4.2黑客常用的攻擊方法4.電子郵件攻擊電子郵件攻擊主要表現為兩種方式：第一種方式是電子郵件轟炸和電子郵件“滾雪球”，也就是通常所說的郵件炸彈，指的是用偽造的IP地址和電子郵件地址向同一信箱發送數以千計、萬計甚至無窮多次的內容相同的垃圾郵件，致使受害人郵箱被“炸”，嚴重者可能會給電子郵件服務器操作系統帶來危險，甚至癱瘓；第二種方式是電子郵件欺騙，攻擊者佯稱自己為系統管理員（郵件地址和系統管理員完全相同），給用戶發送郵件要求用戶修改密碼（密碼可能為指定字符串）或在貌似正常的附件中加載病毒或其他木馬程序。某些單位的網絡管理員有定期給用戶免費發送防火墻升級程序的責任，這為黑客成功地利用該方法提供了可乘之機。第9章網絡層網絡攻擊與防范

9.4.2黑客常用的攻擊方法5.通過一個節點來攻擊其他節點黑客在攻破一臺主機后，往往以此主機作為根據地，繼續攻擊其他主機，從而隱蔽其入侵路徑，避免留下蛛絲馬跡。黑客往往使用網絡監聽方法，嘗試攻破同一網絡內的其他主機；也可以通過IP欺騙和主機信任關系，攻擊其他主機。這類攻擊很狡猾，但由于這種技術很難掌握，如IP欺騙，因此較少被黑客使用。第9章網絡層網絡攻擊與防范

9.4.2黑客常用的攻擊方法6.網絡監聽網絡監聽是主機的一種工作模式，在這種模式下，主機可以接受到本網段在同一條物理通道上傳輸的所有信息，而不管這些信息的發送方和接受方是誰。此時，如果兩臺主機進行通信的信息沒有加密，只要使用某些網絡監聽工具，就可以輕而易舉地截取包括密碼和帳號在內的信息資料。雖然網絡監聽獲得的用戶帳號和密碼具有一定的局限性，但監聽者往往能夠獲得其所在網段的所有用戶帳號及密碼。第9章網絡層網絡攻擊與防范

9.4.2黑客常用的攻擊方法7.尋找系統漏洞許多操作系統都有這樣那樣的安全漏洞（Bugs），其中某些是操作系統或應用軟件本身具有的，如Windows中的共享目錄密碼驗證漏洞和IE瀏覽網漏洞等，這些漏洞在補丁未被開發出來之前一般很難防御黑客的破壞，除非你將網線拔掉；還有一些漏洞是由于系統管理員配置錯誤引起的，如在網絡文件系統中，將目錄和文件以可寫的方式調出，將未加Shadow的用戶密碼文件以明碼方式存放在某一目錄下，這都會給黑客帶來可乘之機，應及時加以修正。

第9章網絡層網絡攻擊與防范

9.4.2黑客常用的攻擊方法8.利用帳號進行攻擊有些黑客會利用操作系統的缺省賬戶和密碼進行攻擊，例如許多UNIX主機都有FTP和Guest等缺省賬戶（其密碼和賬戶名同名），有的甚至沒有密碼。黑客用UNIX操作系統提供的命令如Finger和Ruser等收集信息，不斷提高自己的攻擊能力。這類攻擊只要系統管理員提高警惕，將系統提供的缺省賬戶關掉或提醒無密碼用戶增加密碼一般都能克服。第9章網絡層網絡攻擊與防范

9.4.2黑客常用的攻擊方法9.獲取特權利用各種特洛伊木馬程序、后門程序和黑客自己編寫的導致緩沖區溢出的程序進行攻擊，前者可使黑客非法獲得對用戶機器的完全控制權，后者可使黑客獲得超級用戶的權限，從而擁有對整個網絡的絕對控制權。這種攻擊手段，一旦奏效，危害性極大。第9章網絡層網絡攻擊與防范

9.4.3黑客常用的攻擊步驟黑客的攻擊手段變幻莫測，但縱觀其整個攻擊過程，還是有一定規律可循的，通常可以分為攻擊前奏、實施攻擊、鞏固控制、繼續深入等四個步驟。1.攻擊前奏黑客鎖定目標、了解目標的網絡結構，收集各種目標系統的信息等。網絡上有許多主機，黑客首先要尋找他要攻擊的網站，鎖定目標的IP地址，黑客會利用域名和IP地址就可以順利地找到目標主機。

確定要攻擊的目標后，黑客就會設法了解其所在的網絡結構，哪里是網關、路由，哪里有防火墻，哪些主機與要攻擊的目標主機關系密切等，最簡單地就是用tracert命令追蹤路由，也可以發一些數據包看其是否能通過來猜測其防火墻過濾則的設定等。當然經驗豐富的黑客在探測目標主機的信息的時候往往會利用其他計算機來間接的探測，從而隱藏他們真實的IP地址。第9章網絡層網絡攻擊與防范

9.4.3黑客常用的攻擊步驟1.攻擊前奏在收集到目標的第一批網絡信息之后，黑客會對網絡上的每臺主機進行全面的系統分析，以尋求該主機的安全漏洞或安全弱點。首先黑客要知道目標主機采用的是什么操作系統什么版本，如果目標開放telnet服務，那只要telnet

xx.xx.xx.xx.（目標主機），就會顯示“digitalunlx(xx.xx.xx.xx)(ttypl)login：”這樣的系統信息。收集系統信息當然少不了安全掃描器，黑客往往會利用安全掃描器來幫他們發現系統的各種漏洞，包括各種系統服務漏洞，應用軟件漏洞，弱密碼用戶等。接著黑客還會檢查其開放端口進行服務分析，看是否有能被利用的服務。因特網上的主機大部分都開放www、mail、ftp、telnet等日常網絡服務，通常情況下telnet服務的端口是23等，www服務的端口是80，ftp服務的端口是23。利用信息服務，像snmp服務、traceroute程序、whois服務可用來查閱網絡系統路由器的路由表，從而了解目標主機所在網絡的拓撲結構及其內部細節，traceroute程序能夠用該程序獲得到達目標主機所要經過的網絡數和路由器數，whois協議服務能提供所有有關的dns域和相關的管理參數，finger協議可以用finger服務來獲取一個指一個指定主機上的所有用戶的詳細信息(如用戶注冊名、電話號碼、最后注冊時間以及他們有沒有讀郵件等等)。所以如果沒有特殊的需要，管理員應該關閉這些服務。

第9章網絡層網絡攻擊與防范

9.4.3黑客常用的攻擊步驟2.實施攻擊當黑客收集到了足夠的目標主機的信息，對系統的安全弱點有一定的了解后就會發起攻擊。當然，黑客們會根據不同的網絡結構、不同的系統情況而采用的不同的攻擊手段。黑客攻擊的最終目的是能夠控制目標系統，竊取其中的機密文件等。但是，黑客的攻擊未必能夠得逞，達到控制目標主機的目的。因此，有時黑客也會發動拒絕服務攻擊之類的干擾攻擊，使系統不能正常工作，甚至癱瘓。第9章網絡層網絡攻擊與防范

9.4.3黑客常用的攻擊步驟3.鞏固控制黑客利用種種手段進入目標主機系統并獲得控制權之后，未必會立即進行破壞活動，刪除數據、涂改網頁等，這是黑客新手的行為。一般來說，入侵成功后，黑客為了能長期地的保留和鞏固他對系統的控制權，不被管理員發現，他會做兩件事：清除記錄和留下后門。日志往往會記錄上一些黑攻擊的蛛絲馬跡，黑客當然不會留下這些“犯罪證據”，他會把它刪了或用假日志覆蓋它，為了日后面以不被覺察地再次進入系統，黑客會更改某些系統設置、在系統中置入特洛伊木馬或其他一些遠程操縱程序。第9章網絡層網絡攻擊與防范

9.4.3黑客常用的攻擊步驟4.繼續深入使用清除日志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后，攻擊者通常就會采取下一步的行動，竊取主機上的各種敏感信息：如客戶名單和通訊錄、財務報表、信用卡帳號和密碼、用戶的相片等，也可能是什么都不動，只是把用戶的系統作為他存放黑客程序或資料的倉庫，也可能黑客會利用這臺已經攻陷的主機去繼續他下一步的攻擊，如：繼續入侵內部網絡，或者利用這臺主機發動DoS攻擊使網絡癱瘓。

網絡世界瞬息萬變，黑客們各有不同，他們的攻擊流程也不會完全相同，以上提到的攻擊步驟是對概括而言的，是絕大部分黑客一般情況下采用的攻擊步驟。第9章網絡層網絡攻擊與防范

9.4.4防范黑客攻擊的對策黑客對服務器進行掃描是輕而易舉的，一旦讓黑客找到了服務器存在的漏洞，則其后果是非常嚴重的。因此，作為網絡管理員應該采取必要的技術手段，防范黑客對服務器進行攻擊。以下介紹針對黑客各種不同的攻擊行為，網絡管理員可以采取的防御對策。

1.屏蔽可疑的IP地址這種方法見效最快，一旦網絡管理員發現了可疑的IP地址，可以通過防火墻屏蔽相應的IP地址，這樣黑客就無法在連接到服務器上了。但是這種方法有很多缺點，例如很多黑客都使用的動態IP，也就是說他們的IP地址會變化，一個地址被屏蔽，只要更換其他IP仍然可以進攻服務器，而且某些黑客有可能偽造IP地址，使屏蔽IP地址無法奏效。2.過濾信息包網絡管理員可以通過編寫防火墻規則，讓系統知道什么樣的信息包允許進入、什么樣的信息包應該放棄，如此一來，當黑客發送有攻擊性信息包的時候，當經過防火墻時，信息包就會被丟棄掉，從而防止了黑客的攻擊。但是這種做法仍然有不足之處，例如黑客可以修改攻擊性代碼的方式，使防火墻分辨不出信息包的真假；或者黑客干脆無休止的、大量地發送信息包，直到服務器不堪重負而造成系統崩潰。第9章網絡層網絡攻擊與防范

9.4.4防范黑客攻擊的對策3.修改系統協議對于漏洞掃描，網絡管理員可以修改服務器的相應協議來進行防御。例如，漏洞掃描是根據對文件掃描的返回值來判斷文件是否存在的。在正常情況下，如果返回值是200，則表示服務器存在這個文件；如果返回值是404，則表明服務器上沒有這個的文件。假如網絡管理員修改了返回文件返回值，那么黑客就無法通過漏洞掃描檢測文件是否存在了。

4.修補安全漏洞任何一個版本的操作系統發布之后，在短時間內都不會受到攻擊，一旦其中的問題暴露出來，黑客就會蜂擁而致。因此管理員在維護系統的時候，可以經常瀏覽著名的安全站點，找到系統的新版本或者補丁程序進行安裝，這樣就可以保證系統中的安全漏洞在沒有被黑客發現之前，就已經修補上了，從而保證了服務器的安全。第9章網絡層網絡攻擊與防范

9.4.4防范黑客攻擊的對策5.及時備份重要數據亡羊補牢，尤未為晚。如果及時做好了數據備份，即便系統遭到黑客進攻，也可以在短時間內修復，挽回不必要的經濟損失。許多大型網站，都會在每天晚上對系統數據庫進行備份，在次日清晨，無論系統是否收到攻擊，都會重新恢復數據，保證每天系統中的數據庫都不會出現損壞。備份的數據庫文件最好存放到其他電腦的硬盤或者磁帶上，這樣黑客進入服務器之后，破壞的數據只是一部分，因為無法找到數據的備份，對于服務器的損失也不會太嚴重。

一旦受到黑客攻擊，網絡管理員不要僅僅設法恢復損壞的數據，還要及時分析黑客的來源和攻擊方法，盡快修補被黑客利用的漏洞，然后檢查系統中是否被黑客安裝了木馬、蠕蟲或者被黑客開放了某些管理員賬號，盡量將黑客留下的各種蛛絲馬跡和后門分析清除、清除干凈，防止黑客的下一次攻擊。第9章網絡層網絡攻擊與防范

9.4.4防范黑客攻擊的對策6.使用加密機制傳輸數據對于個人信用卡、密碼等重要數據，在客戶端與服務器之間的傳送，應該事先經過加密處理才進行發送，這樣做的目的是防止黑客監聽、截獲。對于現在網絡上流行的各種加密機制，都已經出現了不同的破解方法，因此在加密的選擇上應該尋找破解困難的，例如DES加密方法，這是一套沒有逆向破解的加密算法，因此黑客的到了這種加密處理后的文件時，只能采取暴力破解法。個人用戶只要選擇了一個優秀的密碼，那么黑客的破解工作將會在無休止的嘗試后終止。7.安裝安全軟件網絡管理員應在服務器安裝必要的安全軟件，殺毒軟件和防火墻都是必不可少的。在連接網絡之前，事先運行這些安全軟件，即使遭遇黑客的攻擊，物聯網系統也具有較強的防御能力。第9章網絡層網絡攻擊與防范

9.5網絡病毒的防護9.5.1網絡病毒的概念網絡病毒（NetworkVirus）是編制者在計算機程序中插入的破壞計算機網絡功能或者數據的代碼，能影響計算機網絡的使用，能自我復制的一組計算機指令或者程序代碼。網絡病毒具有傳染性、繁殖性、潛伏性、隱蔽性、可觸發性和破壞性等特征。網絡病毒的生命周期包括：開發期→傳染期→潛伏期→發作期→發現期→消化期→消亡期。網絡病毒是一個程序，或一段可執行的代碼。就像生物病毒一樣，具有自我繁殖、互相傳染以及激活再生等生物病毒特征。網絡病毒有獨特的復制能力，它們能夠通過計算機網絡快速蔓延，又常常難以根除。它們能把自身附著在各種類型的文件上，當文件被復制或通過網絡從一個用戶傳送到另一個用戶時，它們就隨同文件一起蔓延開來。第9章網絡層網絡攻擊與防范

9.5網絡病毒的防護9.5.1網絡病毒的概念網絡病毒與醫學上的“病毒”不同，網絡病毒不是天然存在的，而是程序員利用計算機網絡軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能潛伏在計算機的存儲介質（或程序）里，條件滿足時即被激活，通過修改其他程序的方法將病毒代碼的精確拷貝或者可能演化的形式放入其他程序中。從而感染其他計算機程序，對計算機資源進行破壞。因此，網絡病毒是人為編寫的惡意程序，對其他網絡用戶的危害性極大。第9章網絡層網絡攻擊與防范

9.5.2網絡病毒的特征1.傳染性網絡病毒傳染性是指網絡病毒通過修改別的程序將自身的復制品或其變體傳染到其它無毒的對象上，這些對象可以是一個程序也可以是系統中的某一個部件。2.繁殖性網絡病毒可以像生物病毒一樣進行繁殖，當正常程序運行時，它也進行運行自身復制，是否具有繁殖、感染的特征是判斷某段程序為網絡病毒的首要條件。3.潛伏性網絡病毒潛伏性是指網絡病毒可以依附于其它媒體寄生的能力，侵入后的病毒潛伏到條件成熟才發作，會使電腦變慢。第9章網絡層網絡攻擊與防范

9.5.2網絡病毒的特征4.隱蔽性網絡病毒具有很強的隱蔽性，可以通過病毒軟件檢查出來少數，隱蔽性網絡病毒時隱時現、變化無常，這類病毒處理起來非常困難。5.可觸發性編制網絡病毒的人，一般都為病毒程序設定了一些觸發條件，例如，系統時鐘到達某個特定的日期，或者系統運行了某個特定的程序等。一旦觸發條件滿足，網絡病毒就會“發作”，對系統進行破壞。6.破壞性網絡病毒發作時，會對計算機的軟件或硬件進行破壞。例如，可能會導致正常的程序無法運行，也可能把計算機內的重要文件刪除或篡改，甚至可能會破壞硬盤中的引導扇區、破壞BIOS，使計算機無法正常工作。第9章網絡層網絡攻擊與防范

9.5.3網絡病毒的分類網絡病毒種類繁多而且復雜，按照不同的方式以及網絡病毒的特點及特性，可以有多種不同的分類方法。同時，根據不同的分類方法，同一種網絡病毒也可以屬于不同的網絡病毒種類。1.根據網絡病毒寄存的媒體來分類根據網絡病毒寄存的媒體來分類，可分為網絡病毒、文件病毒和引導型病毒三類。①網絡病毒這類網絡病毒通過計算機網絡傳播，感染網絡中的可執行文件。②文件病毒這類病毒感染計算機系統中的文件（如：COM，EXE，DOC等）。③引導型病毒引導型病毒感染啟動扇區（Boot）和硬盤的系統引導扇區（MBR）。此外，還有以上三種病毒的混合型病毒，例如：多型病毒（文件和引導型）同時感染文件和引導扇區兩種目標，這樣的病毒通常都具有復雜的算法，它們使用非常規的辦法侵入系統，同時使用了加密和變形算法。第9章網絡層網絡攻擊與防范

9.5.3網絡病毒的分類2.根據病毒傳染渠道來分類根據病毒傳染渠道來劃分，可以分為駐留型病毒和非駐留型病毒兩類。①駐留型病毒駐留型病毒感染計算機后，把自身的內存駐留部分放在內存（RAM）中，這一部分程序掛接系統調用并合并到操作系統中去，它處于激活狀態，一直到關機或重新啟動。②非駐留型病毒一些非駐留型病毒在得到機會激活時并不感染計算機內存；還有一些非駐留型病毒在內存中留有小部分，但是并不通過這一部分進行傳染，這類病毒也被劃分為非駐留型病毒。第9章網絡層網絡攻擊與防范

9.5.3網絡病毒的分類3.根據病毒的破壞能力來分類根據病毒的破壞能力來分類，可以分為無害型病毒、無危險型病毒、危險型病毒和非常危險型病毒。①無害型病毒無害型病毒除了傳染時減少磁盤的可用空間外，對系統沒有其它影響。②無危險型病毒這類病毒僅僅是減少內存、顯示圖像、發出聲音及同類影響。③危險型病毒這類病毒在計算機系統操作中造成嚴重的錯誤。④非常危險型病毒這類病毒刪除程序、破壞數據、清除系統內存區和操作系統中重要的信息。第9章網絡層網絡攻擊與防范

9.5.3網絡病毒的分類4.根據網絡病毒所使用的算法來分類根據網絡病毒所使用的算法來劃分，可以分為伴隨型病毒、“蠕蟲”型病毒、寄生型病毒、練習型病毒、詭秘型病毒和變型病毒等類型。①伴隨型病毒這類病毒并不改變文件本身，它們根據算法產生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是XCOPY-COM。病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優先被執行到，再由伴隨體加載執行原來的EXE文件。②“蠕蟲”型病毒這類病毒通過計算機網絡傳播，不改變文件和資料信息，利用網絡從一臺機器的內存傳播到其它機器的內存，計算機將自身的病毒通過網絡發送。有時它們也會在系統中存在，一般來說，除了內存以外，“蠕蟲”型病毒不占用其它資源。③寄生型病毒除了伴隨和“蠕蟲”型，其它病毒均可稱為寄生型病毒，它們依附在系統的引導扇區或文件中，通過系統的功能進行傳播，按其算法不同還可細分為以下幾類。第9章網絡層網絡攻擊與防范

9.5.3網絡病毒的分類4.根據網絡病毒所使用的算法來分類④練習型病毒練習型病毒自身包含錯誤代碼，不能進行很好的傳播，例如一些病毒在調試階段。⑤詭秘型病毒詭秘型病毒它們一般不直接修改DOS中斷和扇區數據，而是通過設備技術和文件緩沖區等對DOS內部進行修改，不易看到資源，使用比較高級的技術。利用DOS空閑的數據區進行工作。⑥變型病毒變型病毒又稱為幽靈病毒，這一類病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內容和長度。它們一般的做法是一段混有無關指令的解碼算法和被變化過的病毒體組成。第9章網絡層網絡攻擊與防范

9.5.4網絡病毒的檢測網絡病毒的檢測通常分為手工檢測和自動檢測兩種方法。1.手工檢測手工檢測是指通過一些軟件工具（如DEBUG.COM、PCTOOLS）等提供的功能進行病毒的檢測。手工檢測方法比較復雜，需要檢測者熟悉計算機工作原理、匯編語言、機器指令和操作系統，因而無法普及。它的基本過程是利用一些工具軟件，對易遭病毒攻擊和修改的內存及磁盤的有關部分進行檢查，通過與在正常情況下的狀態進行對比分析，判斷是否被病毒感染，用這種方法檢測病毒，費時、費力，但可以剖析新病毒，檢測識別未知病毒，可以檢測一些自動檢測工具不能識別的新病毒。第9章網絡層網絡攻擊與防范

9.5.4網絡病毒的檢測2.自動檢測自動檢測是指通過一些網絡病毒診斷軟件來識別一個計算機系統或一個U盤是否含有病毒的方法。自動檢測相對比較簡單，一般用戶都可以進行，但需要有較好的網絡病毒診斷軟件。這種方法可以方便地檢測大量的病毒，但是自動檢測工具只能識別已知病毒，而且檢測工具的發展總是滯后于病毒的發展，所以檢測工具對未知病毒不能識別。兩種方法比較而言，手工檢測方法操作難度大、技術復雜，它需要操作人員有一定的軟件分析經驗以及對操作系統有一定深入的了解。自動檢測方法操作簡單，使用方便，適合于一般的物聯網用戶學習使用。但是，由于網絡病毒的種類較多，程序復雜，再加上不斷地出現病毒的變種，所以自動檢測方法不可