《網(wǎng)站建設(shè)與維護》課件第7章

第7章網(wǎng)站安全與管理7.1網(wǎng)站安全概述

7.2網(wǎng)站防火墻應(yīng)用

7.3計算機病毒

7.4黑客攻擊與防范技術(shù)

7.1網(wǎng)站安全概述

7.1.1網(wǎng)站安全的含義和內(nèi)容

1.網(wǎng)站安全的含義

計算機網(wǎng)站安全主要是指利用網(wǎng)站管理控制的技術(shù)措施，保證在一個網(wǎng)站環(huán)境里，信息數(shù)據(jù)的完整性、機密性及可使用性受到保護。網(wǎng)站安全的主要目標(biāo)是要確保經(jīng)網(wǎng)站傳送的信息，在到達目的地時沒有任何增加、改變、丟失或被非法讀取。網(wǎng)站由硬件和軟件平臺組成，其中可能包括主機、路由器、交換機、防火墻、Web服務(wù)器、郵件服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、防病毒軟件以及其他網(wǎng)站應(yīng)用軟件。網(wǎng)站安全涉及到構(gòu)成網(wǎng)站的各種硬件安全和軟件安全，其中任何一方的安全缺陷都有可能對網(wǎng)站的安全造成潛在的威脅。

2.對網(wǎng)絡(luò)安全的威脅

1)非授權(quán)訪問

用戶預(yù)先沒有經(jīng)過同意，就使用網(wǎng)絡(luò)或計算機資源的行為被看作是非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機制對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息。用戶未經(jīng)授權(quán)就使用系統(tǒng)資源，雖然未對系統(tǒng)造成破壞，但已經(jīng)侵犯了別人的隱私。

2)信息泄露或丟失

信息泄露或丟失指敏感數(shù)據(jù)在有意或無意中被泄露出去或丟失，通常包括信息在傳輸過程中的丟失或泄露和信息在存儲介質(zhì)中的丟失或泄露。如黑客利用電磁泄露或搭線竊聽等方式，截取機密信息或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出如用戶賬號、口令等重要有用信息，通過建立隱蔽隧道等方式竊取敏感信息。

3)破壞數(shù)據(jù)完整性

入侵者以非法手段進入系統(tǒng)后，取得對數(shù)據(jù)的使用權(quán)，就可以刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；或破壞系統(tǒng)運行的重要文件，導(dǎo)致網(wǎng)站系統(tǒng)無法正常運行。

4)拒絕服務(wù)

拒絕服務(wù)指不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥在外而不能進入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。拒絕服務(wù)可能由以下原因造成：攻擊者對系統(tǒng)進行大量的、反復(fù)的非法訪問嘗試而造成系統(tǒng)資源過載，無法為合法用戶提供服務(wù)；系統(tǒng)物理或邏輯上受到破壞而中斷服務(wù)。

5)利用網(wǎng)絡(luò)傳播病毒

通過網(wǎng)絡(luò)傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，而且用戶很難防范。

另外，還有一些其他潛在的安全威脅，表7-1列出了典型的安全威脅。7.1.2網(wǎng)站安全目標(biāo)

衡量網(wǎng)站安全的指標(biāo)主要包括保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)，三者簡稱CIA。

OSI的安全目標(biāo)包括：

●防止未經(jīng)授權(quán)的人修改數(shù)據(jù)。

●防止未經(jīng)發(fā)覺的遺漏或重復(fù)數(shù)據(jù)。

●確保數(shù)據(jù)的發(fā)送者正確無誤。

●確保數(shù)據(jù)的接收者正確無誤。

●根據(jù)保密要求與數(shù)據(jù)來源對數(shù)據(jù)作標(biāo)記。●數(shù)據(jù)的發(fā)送者、接收者以及數(shù)據(jù)交換量僅僅對發(fā)送者和接收者是可見的。

●提供可供安全審計的網(wǎng)絡(luò)通信記錄。

●確保OSI系統(tǒng)中的數(shù)據(jù)不會經(jīng)隱蔽通道而被泄露。

●要對獨立的第三方證明通信過程已經(jīng)實現(xiàn)并且通信內(nèi)容已被正確接收。

●在取得明確的可訪問系統(tǒng)的許可(授權(quán))后，才能與該系統(tǒng)通信。7.1.3網(wǎng)站安全因素

1.網(wǎng)站系統(tǒng)軟件自身的安全問題

網(wǎng)站系統(tǒng)軟件是運行管理其他網(wǎng)絡(luò)軟件、硬件資源的基礎(chǔ)，因此其自身的安全性直接關(guān)系到網(wǎng)站的安全性。網(wǎng)站系統(tǒng)軟件的安全功能欠缺或不全以及系統(tǒng)設(shè)計時疏忽或考慮不周而留下安全漏洞，都會給攻擊者造成可乘之機，危害網(wǎng)站的安全性。操作系統(tǒng)的程序是可以動態(tài)連接的，包括I/O的驅(qū)動程序與系統(tǒng)服務(wù)，都可以用打“補丁”的方式進行。許多軟件存在安全漏洞，生產(chǎn)廠商會對自己的產(chǎn)品針對已發(fā)現(xiàn)漏洞發(fā)布“補丁”程序，用戶可以在廠商的網(wǎng)站上下載相應(yīng)的“補丁”程序，提高系統(tǒng)的安全性。如WindowsServer2008、Windows7、MicrosoftExchangeServer及其他Windows應(yīng)用軟件，微軟公司均有相應(yīng)的“補丁”程序，并在其網(wǎng)站上公布。

2.網(wǎng)站系統(tǒng)中數(shù)據(jù)的安全問題

數(shù)據(jù)庫的安全主要是保證數(shù)據(jù)的安全可靠性和正確有效。對數(shù)據(jù)庫數(shù)據(jù)的保護主要包括數(shù)據(jù)的安全性、完整性和并發(fā)控制三個方面。數(shù)據(jù)的安全性就是保證數(shù)據(jù)庫不被故意破壞和非法存取。數(shù)據(jù)的完整性是防止數(shù)據(jù)庫中存在不符合語義的數(shù)據(jù)，以及防止由于錯誤的信息輸入、輸出而造成無效操作和錯誤結(jié)果。數(shù)據(jù)存儲在介質(zhì)上(如磁盤)，還常常通過通信線路進行傳輸。如果有人竊取磁盤或磁帶，或從通信線路竊聽，則數(shù)據(jù)庫系統(tǒng)就無法控制了。為了防止這類竊密活動，比較好的辦法是對數(shù)據(jù)庫進行加密，用密碼存儲數(shù)據(jù)，即在存入時須加密，查詢時須解密。

3.傳輸線路的安全與質(zhì)量問題

從技術(shù)上說，任何傳輸線路，包括電纜(雙絞線或同軸電纜)、光纜、微波和衛(wèi)星通信，都是可能被竊聽的。由于同軸電纜、微波、衛(wèi)星通信中同時傳輸著大量信息，要竊聽其中指定一路的信息是很困難的，但是從安全的角度出發(fā)，沒有絕對安全的通信線路。網(wǎng)絡(luò)通信中，信息從發(fā)送方一般要經(jīng)過多個中間節(jié)點的存儲轉(zhuǎn)發(fā)才能到達接收目的地，在中間節(jié)點處信息安全風(fēng)險大大增加，并且是發(fā)送者不易控制的。此外，網(wǎng)絡(luò)的通信服務(wù)質(zhì)量對于數(shù)據(jù)是否能安全到達指定地點也有很大影響，低服務(wù)質(zhì)量的網(wǎng)絡(luò)抗攻擊性能差，輕者將影響數(shù)據(jù)完整性，嚴重的會造成網(wǎng)絡(luò)通信的中斷。7.1.4網(wǎng)絡(luò)安全策略

Internet設(shè)計的初衷是快捷和實用，很少考慮網(wǎng)絡(luò)安全問題，正因為如此，Internet基本上是不設(shè)防的。在網(wǎng)站安全堪憂的嚴峻態(tài)勢下，為促進Internet的進一步發(fā)展，新一代Internet必須在實用問題和安全性之間，亦即在資源共享和系統(tǒng)安全之間進行分析比較，尋求一種兩全其美的解決方法。

1.物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊。采取的措施有：驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)、網(wǎng)絡(luò)設(shè)備有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，妥善保管數(shù)據(jù)備份和文檔資料，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。一類是對傳導(dǎo)發(fā)射的防護，主要采取對電源線和信號線裝配性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間交叉耦合。另一類是對輻射的防護，這類防護措施可分為以下兩種：一是采用各種電磁屏蔽措施，如對設(shè)備的各種金屬屏蔽和各種插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相近的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。

2.訪問控制策略

訪問控制策略是網(wǎng)絡(luò)安全防范和保護的主要策略，其主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用。訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制策略主要包括：

●入網(wǎng)訪問控制；

●網(wǎng)絡(luò)的權(quán)限控制；

●目錄級的安全控制；

●屬性的安全控制；

●網(wǎng)絡(luò)服務(wù)器的安全控制；

●網(wǎng)絡(luò)監(jiān)測和鎖定控制；

●網(wǎng)絡(luò)端口和節(jié)點的安全控制；

●防火墻控制。

3.信息加密策略

信息加密技術(shù)是所有網(wǎng)絡(luò)上通信安全所依賴的基本技術(shù)。目前主要有三種加密方式：鏈路加密、節(jié)點加密和端對端加密。

●鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全。

●節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。

●端點加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方法。

信息加密過程是由加密算法來具體實施的，它以很小的代價提供很大的安全保護。在多數(shù)情況下，信息加密是保證信息機密性的惟一方法。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。在常規(guī)密碼算法中，收信方和發(fā)信方使用相同的密碼，即加密密鑰和解密密鑰是相同或等價的。常規(guī)密碼算法的優(yōu)點是有很強的保密強度，且經(jīng)受得住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。在公鑰密碼算法中，收信方和發(fā)信方使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導(dǎo)出解密密鑰。最有影響的公鑰密碼算法是RSA，能抵抗到目前為止已知的所有密碼攻擊。公鑰密碼算法的優(yōu)點是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理問題也較簡單，尤其是可方便地實現(xiàn)數(shù)字簽名和驗證；但其算法復(fù)雜，加密數(shù)據(jù)的速率較低。

4.網(wǎng)絡(luò)安全管理策略

在網(wǎng)絡(luò)安全中，除了采用上述技術(shù)措施之外，加強網(wǎng)絡(luò)的安全管理，制定有關(guān)規(guī)章制度，對于確保網(wǎng)絡(luò)安全、可靠的運行，也將起到十分有效的作用。網(wǎng)絡(luò)的安全管理策略包括：

●確定安全管理機構(gòu)。建立網(wǎng)絡(luò)安全管理機構(gòu)，確定網(wǎng)絡(luò)安全管理負責(zé)人、安全管理人員、安全審計人員、保安人員和系統(tǒng)管理人員等，明確分工，制定相關(guān)的責(zé)任追究制度。

●系統(tǒng)安全管理。制定系統(tǒng)中各類資源的安全管理等級和安全管理范圍，制定嚴格的系統(tǒng)操作規(guī)程、完備的系統(tǒng)維護制度、人員出入機房管理制度等措施。

●制定網(wǎng)絡(luò)系統(tǒng)的維護制度和緊急情況下的應(yīng)急措施等。

7.2網(wǎng)站防火墻應(yīng)用

7.2.1防火墻概述

防火墻(Firewall)是一種將內(nèi)部網(wǎng)(如網(wǎng)站)和公眾網(wǎng)(如Internet)分開的設(shè)備。它是位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，能夠保護內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)或與其他網(wǎng)絡(luò)之間進行的信息存取和傳遞操作。防火墻是一種控制技術(shù)，既可以是一種軟件，又可以制作或嵌入到某種硬件產(chǎn)品。防火墻是內(nèi)部網(wǎng)絡(luò)安全域和其他不同網(wǎng)絡(luò)之間的惟一通道，并且能根據(jù)管理者的安全控制策略(允許、拒絕、監(jiān)測)控制出入網(wǎng)絡(luò)的信息流，加上防火墻本身就具有很強的抗攻擊能力，使得它成為提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。只有允許訪問內(nèi)部網(wǎng)絡(luò)的請求可以通過防火墻，其他所有對內(nèi)部網(wǎng)絡(luò)的訪問請求都將被禁止。目前，防火墻已經(jīng)成為世界上用得最多的網(wǎng)絡(luò)安全產(chǎn)品之一。防火墻的邏輯位置如圖7-1所示。圖7-1防火墻邏輯位置7.2.2防火墻的類型

(1)方向控制：決定特定服務(wù)請求被激活和通過防火墻的方向。

(2)用戶控制：用來控制用戶對服務(wù)的訪問，這是防火墻最典型的服務(wù)之一，可以控制外部網(wǎng)絡(luò)用戶的訪問，這主要依靠一些安全認證技術(shù)的支持。

(3)行為控制：控制用戶對于服務(wù)的使用行為。例如防火墻可以控制外部網(wǎng)絡(luò)，用戶只能訪問本地的Web服務(wù)器，或其中的一部分信息。

(4)服務(wù)控制：決定本地網(wǎng)絡(luò)能夠向Internet提供的服務(wù)類型，包括本網(wǎng)站提供的服務(wù)和對外界服務(wù)的訪問。防火墻能夠過濾基于IP地址和TCP端口號的通信，能夠提供代理軟件來接收和解釋被請求的服務(wù)。

1.屏蔽路由器

包過濾(PacketFiltering)一般由屏蔽路由器(也稱為過濾路由器)來實現(xiàn)，這種路由器是普通路由器功能的擴展，用于在內(nèi)部與外部主機之間發(fā)送數(shù)據(jù)包，它不但對數(shù)據(jù)包進行路由發(fā)送，還依據(jù)一定的安全規(guī)則檢查數(shù)據(jù)包，決定是否發(fā)送。依據(jù)的規(guī)則是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，稱為訪問控制表(AccessControlTable)或規(guī)則表，訪問控制表指定允許哪些類型的數(shù)據(jù)包可以流入或流出內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)模瑪?shù)據(jù)被分割成為一定大小的數(shù)據(jù)包，每一個數(shù)據(jù)包中都會包含一些特定信息，如IP源地址、目標(biāo)地址、TCP/UDP源端口或目標(biāo)端口等信息。當(dāng)這些包被送上Internet時，路由器會讀取目標(biāo)地址，并選擇一條物理線路發(fā)送出去，信息包可能以不同的路線抵達目的地，當(dāng)所有的包抵達后會在目的地重新組裝還原。

2.代理服務(wù)器

代理服務(wù)器是指代表內(nèi)部網(wǎng)絡(luò)用戶向外部網(wǎng)絡(luò)服務(wù)器進行連接請求的程序。代理服務(wù)器運行在兩個網(wǎng)絡(luò)之間，對于客戶機而言，它是一臺真正的服務(wù)器，對于外部網(wǎng)絡(luò)的服務(wù)器而言，它又是一臺客戶機。代理服務(wù)器的基本工作過程是：當(dāng)客戶機需要外部網(wǎng)絡(luò)服務(wù)器上的數(shù)據(jù)時，首先將請求發(fā)送給代理服務(wù)器，代理服務(wù)器詢問客戶機想要訪問的服務(wù)器，當(dāng)用戶回答并提供一個合法的用戶名和口令后，代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù)，然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機。

7.2.3防火墻的結(jié)構(gòu)

防火墻的體系結(jié)構(gòu)一般有以下幾種：

●雙宿主機結(jié)構(gòu)；

●屏蔽主機結(jié)構(gòu)；

●屏蔽子網(wǎng)結(jié)構(gòu)。

1.雙宿主機

雙宿主機(DualHomedHost)結(jié)構(gòu)如圖7-2所示。雙宿主機又稱為堡壘主機或雙穴主機，是一臺配有至少兩個網(wǎng)絡(luò)接口的主機，一個接內(nèi)部網(wǎng)絡(luò)，一個接外部網(wǎng)絡(luò)。雙宿主機連接的內(nèi)、外網(wǎng)絡(luò)均可與雙宿主機實施通信，但內(nèi)、外網(wǎng)絡(luò)之間不可直接通信，內(nèi)、外網(wǎng)絡(luò)之間的IP數(shù)據(jù)流被雙宿主機完全切斷。圖7-2雙宿主機結(jié)構(gòu)雙宿主機可以通過代理或讓用戶直接注冊到其上來提供很高程度的網(wǎng)絡(luò)控制，雙宿主機的結(jié)構(gòu)用主機取代路由器執(zhí)行安全控制功能，從而達到內(nèi)部網(wǎng)只能看見堡壘主機，而不能看到其他任何系統(tǒng)的效果。堡壘主機不轉(zhuǎn)發(fā)TCP/IP通信數(shù)據(jù)流，網(wǎng)絡(luò)中的所有服務(wù)都必須由此主機的相應(yīng)代理程序來支持。

2.屏蔽主機

屏蔽主機(ScreenedHostGateway)結(jié)構(gòu)如圖7-3所示。在該結(jié)構(gòu)中，一臺單獨的屏蔽路由器與Internet相連，而在內(nèi)部網(wǎng)絡(luò)中安裝一臺堡壘主機，通過在屏蔽路由器上設(shè)置過濾規(guī)則，強迫所有到達路由器的數(shù)據(jù)包被發(fā)送到堡壘主機，確保內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部網(wǎng)絡(luò)的攻擊。屏蔽主機防火系統(tǒng)提供了網(wǎng)絡(luò)層(包過濾)和應(yīng)用層安全(代理服務(wù))兩種功能，因此相對比包過濾防火墻系統(tǒng)安全性高。圖7-3屏蔽主機結(jié)構(gòu)

3.屏蔽子網(wǎng)

屏蔽子網(wǎng)(ScreenedSubnet)本質(zhì)上與屏蔽主機是一樣的，但增加了一個把內(nèi)部網(wǎng)與Internet隔離的周邊網(wǎng)絡(luò)(也稱為非軍事區(qū)，DMZ)，通過添加周邊網(wǎng)絡(luò)，更進一步地把內(nèi)部網(wǎng)絡(luò)與Internet隔離。典型的屏蔽子網(wǎng)結(jié)構(gòu)如圖7-4所示。在該結(jié)構(gòu)中，有兩個屏蔽路由器，分別位于周邊網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)、周邊網(wǎng)絡(luò)與Internet之間，堡壘主機放在周邊網(wǎng)絡(luò)內(nèi)。入侵者要攻入使用這種防火墻結(jié)構(gòu)的內(nèi)部網(wǎng)絡(luò)，必須要通過兩個屏蔽路由器，即使入侵者能夠侵入堡壘主機，內(nèi)部路由器也將會阻止他入侵內(nèi)部網(wǎng)絡(luò)。圖7-4屏蔽子網(wǎng)結(jié)構(gòu)屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機和屏蔽路由器共同構(gòu)成了整個防火墻的安全基礎(chǔ)。屏蔽子網(wǎng)防火墻是最為安全的一種防火墻體系結(jié)構(gòu)，具有屏蔽主機防火墻的所有優(yōu)點。但屏蔽子網(wǎng)防火墻的實現(xiàn)代價也很高，不易配置并且增加了堡壘主機轉(zhuǎn)發(fā)數(shù)據(jù)的復(fù)雜性，同時，網(wǎng)絡(luò)的訪問速度也要減慢，費用也明顯高于以上幾種防火墻。7.2.4防火墻的功能

1.集中的網(wǎng)絡(luò)安全

防火墻負責(zé)管理內(nèi)部網(wǎng)絡(luò)和Internet之間的訪問。在沒有防火墻的情況下，內(nèi)部網(wǎng)絡(luò)上的每個節(jié)點都暴露在Internet上，很容易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個主機自身的堅固程度來決定，并且整個網(wǎng)絡(luò)系統(tǒng)的安全性就等同于內(nèi)部網(wǎng)絡(luò)中最弱的主機的安全性。防火墻能過濾那些不安全的請求和服務(wù)。只有預(yù)先被允許的服務(wù)才能通過防火墻，這樣就降低了子網(wǎng)的暴露程度，降低了網(wǎng)絡(luò)受到非法破壞和訪問的風(fēng)險性，使得網(wǎng)絡(luò)的安全隱患得以集中，從而提高網(wǎng)絡(luò)的安全性。

2.可作為中心“控制點”

網(wǎng)絡(luò)管理員可以在防火墻上設(shè)定一個“控制點”來防止非法用戶進入內(nèi)部網(wǎng)絡(luò)，進行破壞。以防火墻為中心，進行安全方案配置，同時將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上，從而簡化安全管理。最終的網(wǎng)絡(luò)安全性是在防火墻系統(tǒng)上得到加固的，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機上。

3.網(wǎng)絡(luò)安全報警

防火墻對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審查，所以可以方便地監(jiān)視網(wǎng)絡(luò)的安全性，還可以設(shè)定相應(yīng)的報警系統(tǒng)。如果所有的訪問都經(jīng)過防火墻，那防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。若防火墻發(fā)現(xiàn)網(wǎng)絡(luò)上有可疑動作時，防火墻能進行適當(dāng)?shù)膱缶?，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細信息。

4.?NAT技術(shù)

地址翻譯技術(shù)NAT(NetworkAddressTranslation)是將一個IP地址用另一個IP地址代替的技術(shù)。隨著Internet的飛速發(fā)展，在過去的幾年里，Internet的地址空間開始受到前所未有的危機，IP地址越來越少。這意味著想進入Internet的機構(gòu)可能申請不到足夠的IP地址而給內(nèi)部網(wǎng)絡(luò)用戶帶來很多困難。而Internet防火墻技術(shù)中，卻可以實現(xiàn)NAT的邏輯地址轉(zhuǎn)換功能。

5.完整的安全記錄

由于防火墻是全程跟蹤和監(jiān)測網(wǎng)絡(luò)中的所有信息流動的，因此也是審計和記錄Internet使用情況的一個最佳的地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供用戶連接Internet的所有情況，如費用、安全性等。還可以查出潛在的帶寬瓶頸的位置，并能夠根據(jù)個體或機構(gòu)的靈活記錄模式提供多種統(tǒng)計信息。

6.保護網(wǎng)絡(luò)服務(wù)器

防火墻靈活的安全控制功能使得網(wǎng)絡(luò)管理員能通過配置防火墻來對訪問端口進行限制，可以允許外部用戶訪問如Web服務(wù)、FTP服務(wù)，而禁止外部對受保護的內(nèi)部網(wǎng)絡(luò)上其他系統(tǒng)的訪問，這樣就達到了對服務(wù)器的保護作用。同樣也可以針對內(nèi)部用戶對服務(wù)器訪問進行必要的安全設(shè)置。采用不同技術(shù)的防火墻，具有不同的功能。網(wǎng)絡(luò)安全架構(gòu)單位應(yīng)該根據(jù)本單位的特殊要求來配置防火墻系統(tǒng)，從而實現(xiàn)最優(yōu)化的安全機制。當(dāng)然，不可否認，部署防火墻會產(chǎn)生網(wǎng)絡(luò)運行中最擔(dān)心的“單一失效點”。但是使用防火墻即使與Internet的連接失效，內(nèi)部網(wǎng)絡(luò)仍舊可以工作，只是暫時不能訪問Internet而已。7.2.5防火墻的局限性

防火墻可以對網(wǎng)絡(luò)威脅進行很好的防范，但也不是萬能的安全專家。網(wǎng)絡(luò)中的某些威脅是防火墻所不能防范的。

防火墻不能防范來自內(nèi)部的人為因素破壞。防火墻監(jiān)測不到由內(nèi)部不法用戶或用戶誤操作造成的攻擊、破壞，這里也包含由于弱口令或口令泄露而受到的攻擊。防火墻不能防范不經(jīng)過防火墻的攻擊。如果內(nèi)部網(wǎng)用戶直接從Internet服務(wù)提供商那里申請直接的SLIP和PPP連接，這樣就繞過了對內(nèi)部網(wǎng)絡(luò)起到屏障作用的防火墻，從而造成了一個潛在的后門攻擊渠道。防火墻不能防止數(shù)據(jù)驅(qū)動式的攻擊。在通過防火墻和外部網(wǎng)絡(luò)進行通信時，經(jīng)常會發(fā)現(xiàn)有些表面看來無害的數(shù)據(jù)，通過郵寄或拷貝等方式被傳播到內(nèi)部網(wǎng)絡(luò)的主機上并被執(zhí)行時，就可能會發(fā)生數(shù)據(jù)驅(qū)動式的攻擊。7.2.6常用防火墻產(chǎn)品

●?CheckPoint公司的Firewall。

●?Cisco公司的ASA防火墻。

●?Cyberguard公司的CyberguardFirewall。

●?Netscreen公司的netscreen-100。

●?TinySoftware公司的TinyPersonalFirewall。目前，國內(nèi)比較知名的防火墻產(chǎn)品主要有：

●北大青鳥公司的網(wǎng)關(guān)防火墻。

●天融信公司的網(wǎng)絡(luò)衛(wèi)士防火墻。

●東大阿爾派公司的網(wǎng)眼防火墻。

●?H3C公司的H3CSecPath系列防火墻。

7.3計?算?機?病?毒

7.3.1計算機病毒的主要類型

1.根據(jù)入侵途徑分類

根據(jù)病毒入侵系統(tǒng)的途徑，可以分為源碼型病毒、入侵型病毒、外殼型病毒和操作系統(tǒng)型病毒四種?！裨创a型病毒。

●入侵型病毒。

●外殼型病毒：常依附于主程序的首尾，而對原來的程序不做修改。

●操作系統(tǒng)型病毒：將病毒程序加入或替換操作系統(tǒng)中的部分模塊。

2.按照病毒產(chǎn)生的后果分類

1)良性病毒

良性病毒是指那些不立即對計算機系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在，只是不停地進行擴散，從一臺計算機傳染到另一臺計算機，但并不破壞計算機內(nèi)的數(shù)據(jù)。有些人對這類計算機病毒的傳染不以為然，認為這只是惡作劇，沒什么關(guān)系。其實，良性、惡性都是相對而言的。良性病毒取得系統(tǒng)控制權(quán)后，會導(dǎo)致系統(tǒng)運行效率降低、可用內(nèi)存總數(shù)減少，某些應(yīng)用程序不能運行等。甚至還與操作系統(tǒng)和應(yīng)用程序爭搶CPU的控制權(quán)，從而導(dǎo)致整個系統(tǒng)死鎖，給正常操作帶來麻煩。

2)惡性病毒

惡性病毒就是指在其代碼中包含有損傷和破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用。這類病毒是很多的，如“米開朗基羅”病毒，當(dāng)米氏病毒發(fā)作時，硬盤的前17個扇區(qū)將被徹底破壞，使整個硬盤上的數(shù)據(jù)無法恢復(fù)，造成無法挽回的損失。

3.根據(jù)病毒傳染方式分類

1)引導(dǎo)型病毒

引導(dǎo)型病毒感染系統(tǒng)區(qū)域的可執(zhí)行代碼，通過感染磁盤上的引導(dǎo)扇區(qū)或改寫磁盤分區(qū)表(FAT)來感染系統(tǒng)，是一種開機即可啟動的病毒，先于操作系統(tǒng)而存在，所以，當(dāng)計算機從感染了引導(dǎo)區(qū)病毒的硬盤啟動時，引導(dǎo)區(qū)病毒就開始發(fā)作。該病毒常駐內(nèi)存，激活時即可發(fā)作，傳染性強，破壞性大。有的引導(dǎo)型病毒會潛伏一段時間，等到病毒所設(shè)置的日期時才發(fā)作；有的則會在發(fā)作時在屏幕上顯示一些帶有“宣示”或“警告”意味的信息，比如提示用戶不要非法復(fù)制軟件、顯示特定的圖形、放一段音樂等。病毒發(fā)作后，不是摧毀分區(qū)表導(dǎo)致電腦無法啟動，就是直接格式化硬盤。引導(dǎo)型病毒按其寄生對象的不同又可分為MBR(主引導(dǎo)區(qū))和BR(引導(dǎo)區(qū))病毒兩類。

●?MBR病毒：也稱作分區(qū)病毒，寄生在硬盤分區(qū)主引導(dǎo)程序所占據(jù)的硬盤0頭0柱面第1個扇區(qū)中，典型的有“大麻(Stoned)”病毒、2708病毒等。

●?BR病毒：寄生在硬盤邏輯0扇區(qū)，典型的有Brain病毒、“小球”病毒等。

2)文件型病毒

文件型病毒主要以感染文件擴展名為COM和EXE的文件為主。病毒以這些可執(zhí)行文件為載體，運行病毒的載體程序，從而激活病毒。文件型病毒大多也是常駐內(nèi)存的。被感染的文件執(zhí)行速度變慢，甚至完全無法執(zhí)行。有些文件被感染之后，一執(zhí)行就會遭到刪除。大多數(shù)文件型病毒會將病毒代碼復(fù)制到被感染的文件開頭或結(jié)尾處，這會使得已感染病毒的文件長度變長。也有部分病毒是直接改寫“受害文件”的程序碼，因此感染病毒后的文件長度仍然維持不變。感染病毒的文件被執(zhí)行后，病毒通常會趁機再對下一個文件進行感染。有的高明一點的病毒，會在每次進行感染的時候，先針對其新宿主的狀況編寫新的病毒碼，然后才進行感染，因此這種病毒沒有固定的病毒碼。這樣一來，以掃描病毒碼的方式來檢測病毒的殺毒軟件對這種病毒就不起作用了。

3)宏病毒

宏病毒是一些軟件開發(fā)商開始在他們的產(chǎn)品中引入宏語言，并允許這些產(chǎn)品生成載有宏的數(shù)據(jù)文件之后出現(xiàn)的。宏病毒通常使用VBscript腳本影響微軟的Office組件或類似的應(yīng)用軟件。宏病毒是一種寄存于Word文檔的文件型病毒。微軟的Office組件或類似的應(yīng)用軟件包括很多的VisualBasic語言，這些語言使得Word和Excel可以自動操作模板和文件的生成。宏病毒是一種寄存于文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，宏病毒就激活從而進入內(nèi)存，并且駐留在Normal模板上。

4.其他類型

按照計算機病毒激活的時間分類，可分為定時病毒和隨機病毒。定時病毒僅在某一特定時間才發(fā)作，而隨機病毒一般不是由時間來激活的。按照計算機病毒的傳播媒介分類，可分為單機病毒和網(wǎng)絡(luò)病毒。單機病毒的載體是磁盤，常見的感染方式是病毒從U盤傳入硬盤，感染系統(tǒng)，然后再傳染其他U盤，U盤又傳染其他系統(tǒng)。網(wǎng)絡(luò)病毒的傳播媒介不僅是移動式載體，而且通過網(wǎng)絡(luò)也會進行傳播，這種病毒的傳染能力更強，破壞力更大。7.3.2幾種常見病毒

1.大腦病毒C-BRAIN

電腦病毒C-BRAIN誕生于1986年，這個病毒程序是由一對巴基斯坦兄弟：巴斯特(Basit)和阿姆捷特(Amjad)所寫的，他們在當(dāng)?shù)亟?jīng)營一家販賣個人電腦的商店，由于當(dāng)?shù)乇I拷軟件的風(fēng)氣非常盛行，因此他們的目的主要是為了防止他們的軟件被任意盜拷。

2.莫里斯蠕蟲

莫里斯蠕蟲病毒誕生于1988年，始作俑者——羅伯特·莫里斯是美國康乃爾大學(xué)一年級研究生。最初的網(wǎng)絡(luò)蠕蟲的設(shè)計目的是當(dāng)網(wǎng)絡(luò)空閑時，程序就在計算機間“游蕩”，而不帶來任何損害，當(dāng)有機器負荷過重時，該程序可以從空閑計算機“借取資源”而達到網(wǎng)絡(luò)的負載平衡。但莫里斯蠕蟲不是“借取資源”，而是“耗盡所有資源”。

3.梅利莎病毒

1999年誕生的梅利莎(Melissa)病毒專門針對微軟的電子郵件服務(wù)器和電子郵件收發(fā)軟件，它隱藏在一個Word97格式的文件里，以附件的方式通過電子郵件傳播，善于侵襲裝有Word97或Word2000的計算機。它可以攻擊Word97的注冊器，并修改其預(yù)防宏病毒的安全設(shè)置，使被它感染的文件所具有的宏病毒預(yù)警功能喪失作用。在發(fā)現(xiàn)梅利莎病毒后短短的數(shù)小時內(nèi)，該病毒即通過因特網(wǎng)在全球傳染數(shù)百萬臺計算機和數(shù)萬臺服務(wù)器，因特網(wǎng)在許多地方癱瘓。該病毒于1999年3月26日爆發(fā)，感染了15%～20%的商業(yè)PC，給全球帶來了3億～6億美元的損失。許多公司不得不關(guān)掉自己的互聯(lián)網(wǎng)網(wǎng)關(guān)，以恢復(fù)其系統(tǒng)的控制。

4.我愛你病毒

2000年5月3日，“我愛你”首次在香港被發(fā)現(xiàn)。該蠕蟲病毒又稱情書或愛蟲。它是一個VisualBasic腳本，設(shè)計精妙，還有令人難以抗拒的誘餌——愛的諾言?！拔覑勰恪比湎x病毒通過一封標(biāo)題為“我愛你(ILOVEYOU)”、附件名稱為“Love-Letter-For-You.TXT.vbs”的郵件進行傳輸。

5.紅色代碼

“紅色代碼”是一種計算機蠕蟲病毒，能夠通過網(wǎng)絡(luò)服務(wù)器和互聯(lián)網(wǎng)進行傳播。2001年7月13日，紅色代碼從網(wǎng)絡(luò)服務(wù)器上傳播開來。它是專門針對運行微軟互聯(lián)網(wǎng)信息服務(wù)軟件的網(wǎng)絡(luò)服務(wù)器進行攻擊的?！凹t色代碼”還被稱為Bady，設(shè)計者蓄意進行最大程度的破壞。被它感染后，遭受攻擊的主機所控制的網(wǎng)絡(luò)站點上會顯示這樣的信息：“你好!歡迎光臨!”。

6.?SQLSlammer

SQLSlammer也被稱為“藍寶石(Sapphire)”，2003年1月25日首次出現(xiàn)。它是一個非同尋常的蠕蟲病毒，給互聯(lián)網(wǎng)的流量造成了顯而易見的負面影響。它的目標(biāo)并非終端計算機用戶，而是服務(wù)器。它是一個單包的、長度為376字節(jié)的蠕蟲病毒，它隨機產(chǎn)生IP地址，并向這些IP地址發(fā)送自身。如果某個IP地址恰好是一臺運行著未打補丁的微軟SQL服務(wù)器桌面引擎(SQLServerDesktopEngine)軟件的計算機，它就會迅速開始向隨機IP地址的主機開火，發(fā)射病毒。正是運用這種效果顯著的傳播方式，SQLSlammer在十分鐘之內(nèi)就感染了7.5萬臺計算機。

7.?Conficker

Conficker也被稱做Downup、Downadup或Kido。Conficker蠕蟲最早于2008年11月20日被發(fā)現(xiàn)，它是以微軟的Windows操作系統(tǒng)為攻擊目標(biāo)的計算機蠕蟲病毒。迄今已出現(xiàn)了A、B、C、E四個版本，目前全球已有超過1500萬臺電腦受到感染。Conficker主要利用Windows操作系統(tǒng)MS08-067漏洞來傳播，同時也能借助任何有USB接口的硬件設(shè)備來感染。

8.超級工廠病毒(2010)

超級工廠病毒是世界上首個專門針對工業(yè)控制系統(tǒng)編寫的破壞性病毒，能夠利用對Windows系統(tǒng)和西門子SIMATICWinCC系統(tǒng)的7個漏洞進行攻擊。西門子公司的SIMATICWinCC監(jiān)控與數(shù)據(jù)采集(SCADA)系統(tǒng)在我國的多個重要行業(yè)應(yīng)用廣泛，被用來進行鋼鐵、電力、能源、化工等重要行業(yè)的人機交互與監(jiān)控。7.3.3防病毒措施

1.單機用戶

●自備一張不帶病毒的引導(dǎo)盤，以便機器出現(xiàn)故障時使用。

●不使用來歷不明的光盤、U盤、移動硬盤等外存儲器，更不要輕易將這些盤上的文件復(fù)制到本地磁盤中。

●及時備份重要的資料和數(shù)據(jù)。●不要隨意安裝非正規(guī)渠道得到的光盤中的軟件。

●不要隨意從網(wǎng)上下載軟件，下載后的軟件必須經(jīng)過病毒檢測再安裝。

●購買最新的反病毒軟件和個人信息安全防護軟件，經(jīng)常檢測系統(tǒng)并及時升級。

●不要隨意打開可疑的電子郵件，更不能隨意運行郵件附件中的程序。

●發(fā)現(xiàn)機器有異常表現(xiàn)，立即關(guān)機，然后進行殺毒處理；如果沒有殺毒軟件，可對硬盤使用過的軟件進行格式化

處理。

2.網(wǎng)絡(luò)用戶

●購買一套具有網(wǎng)絡(luò)殺毒功能的防病毒軟件，定期檢測病毒。

●在計算機網(wǎng)絡(luò)系統(tǒng)中安裝網(wǎng)絡(luò)防病毒服務(wù)器。

●在每個單機上都安裝網(wǎng)絡(luò)病毒防火墻。

●盡量避免使用有軟驅(qū)的工作站。●采用專用文件服務(wù)器。

●合理設(shè)置用戶的訪問權(quán)限，禁止用戶具有較多的寫權(quán)限。

●對于遠程文件，一定要先查毒，然后再保存到硬盤中。

●制定嚴格的網(wǎng)絡(luò)操作規(guī)則和制度。

3.預(yù)防電子郵件病毒

所謂電子郵件病毒，就是以電子郵件作為載體傳播計算機病毒的一種方式。E-mail病毒不但可以存在于可執(zhí)行文件中，還可以存在于網(wǎng)頁、圖片和文本文件中，因此，通過發(fā)送HTML文件給用戶可以進行E-mail病毒的傳播?！癫灰S意打開來歷不明的電子郵件，最好是直接刪除。

●不要輕易運行附件中的.exe、.com等可執(zhí)行文件，必須先查毒。

●對于附件中的文檔文件，特別是Word文件，也要先查毒，然后才能打開。

●安裝一套可以實時查殺E-mail病毒的防病毒軟件。

●對于自己給朋友發(fā)送的附件，無論是程序文件還是文本文件都要先查殺病毒，然后再發(fā)出。

4.常見防病毒軟件

目前，常見的國產(chǎn)防病毒軟件主要有金山毒霸、瑞星、360、江民KV系列等殺毒軟件，國外產(chǎn)品有如NortonAntiVirus和McAfeeVirusScan等殺毒軟件。

7.4黑客攻擊與防范技術(shù)

7.4.1黑客的攻擊過程

1.信息收集

信息收集的目的是為了進入所要攻擊的目標(biāo)網(wǎng)絡(luò)的數(shù)據(jù)庫。黑客會利用下列方式收集網(wǎng)絡(luò)系統(tǒng)中各個主機系統(tǒng)的相關(guān)信息?！窭没赟NMP協(xié)議的網(wǎng)絡(luò)程序來分析網(wǎng)絡(luò)系統(tǒng)路由表，從而了解目標(biāo)主機所在網(wǎng)絡(luò)的拓撲結(jié)構(gòu)及其內(nèi)部細節(jié)。

●利用TraceRoute程序能夠獲得到達目標(biāo)主機所要經(jīng)過的網(wǎng)絡(luò)數(shù)和路由器數(shù)。

●通過Whois協(xié)議的服務(wù)信息可以查閱到所有有關(guān)的DNS域和相關(guān)的管理參數(shù)?！窭肈NS服務(wù)器可以查看到系統(tǒng)中可以訪問的主機的IP地址表和它們所對應(yīng)的主機名。

●通過Finger協(xié)議來獲取一個指定主機上所有用戶的詳細信息，如用戶登錄賬號、注冊信息和郵件信息等。

●通過Ping程序可以確定一個指定的主機的位置。

●利用自動Wardialing軟件可以向目標(biāo)站點連續(xù)撥出大批電話號碼，一直掃描到一正確的號碼使其Modem響應(yīng)為止。

2.探測系統(tǒng)的安全弱點

1)利用網(wǎng)絡(luò)中公開的現(xiàn)成工具軟件

像Internet的電子安全掃描程序ISS(InternetSecurityScanner)、審查網(wǎng)絡(luò)用的安全分析工具SATAN(SecurityAnalysisToolforAuditingNetwork)等，可以對整個網(wǎng)絡(luò)或子

網(wǎng)進行掃描，尋找安全漏洞。

2)針對漏洞自行編寫程序

當(dāng)對某些系統(tǒng)或軟件已經(jīng)發(fā)現(xiàn)了一些安全漏洞時，該軟件產(chǎn)品或系統(tǒng)的廠商會提供一些“補丁”程序給予彌補，但是用戶并不一定會及時使用這些“補丁”程序。黑客發(fā)現(xiàn)這些“補丁”程序的接口后會自己編寫程序，通過該接口進入目標(biāo)系統(tǒng)，這時該目標(biāo)系統(tǒng)就完全暴露在黑客面前。

3.實施攻擊

●試圖毀掉攻擊入侵痕跡，并在受到損害的系統(tǒng)上建立另外的新的安全漏洞或后門，以便在先前的攻擊點被發(fā)現(xiàn)后，繼續(xù)訪問這個系統(tǒng)。

●在目標(biāo)系統(tǒng)中安裝探測器軟件，包括特洛伊木馬程序，用來窺探所在系統(tǒng)的活動，收集黑客感興趣的一切信息，如Telnet和FTP的賬號和口令等。●進一步發(fā)現(xiàn)受損系統(tǒng)在整個網(wǎng)絡(luò)中的信任等級，這樣黑客就可以通過該系統(tǒng)信任展開對整個網(wǎng)絡(luò)系統(tǒng)的攻擊了。

●如果黑客在獲得了這臺受損系統(tǒng)的特許訪問權(quán)，那么他就可以讀取郵件，搜索和盜取別人文件，毀壞重要數(shù)據(jù)，破壞整個網(wǎng)絡(luò)系統(tǒng)的信息，造成不堪設(shè)想的后果。7.4.2黑客的手法

1.口令的猜測或獲取

1)字典攻擊

字典攻擊基本上是一種被動攻擊。黑客獲取目標(biāo)系統(tǒng)的口令文件，圖以離線的方式破解口令。黑客先猜一個口令，然后用與原系統(tǒng)中一樣的加密算法(加密算法是公開的)來加密此口令，將加密的結(jié)果與文件中的加密口令比較，若相同則猜對了。

2)假登錄程序

在事先設(shè)計好陷阱的系統(tǒng)上，利用程序設(shè)計出一個和Windows登錄畫面一模一樣的程序，給正式的系統(tǒng)用戶造成假象，以騙取其賬號和密碼。若是在這個假的登錄程序上輸入賬號和密碼，系統(tǒng)就會記下所騙到的賬號和密碼，然后告訴用戶輸入錯誤，要用戶再試一次。接下來假的登錄程序便自動結(jié)束，將控制權(quán)還給操作系統(tǒng)。

3)密碼探測程序

NT系統(tǒng)中所保存與傳送的密碼多數(shù)是經(jīng)過一個單向雜湊(Hash)函數(shù)編碼處理過的，完全看不出來原始密碼的模樣，而且理論上要逆向還原成原始密碼的概率幾近于零。這些編碼過的密碼存放在SAM(SecurityAccountManager)數(shù)據(jù)庫內(nèi)，一般正常的程序不會去理會它。

4)修改系統(tǒng)

修改系統(tǒng)是一種比較嚴重的主動攻擊，也是當(dāng)前最為流行的攻擊手段之一。黑客在系統(tǒng)中事先放置了特洛伊木馬，這些程序是針對ISP服務(wù)器的類似特洛伊木馬的病毒程序的變體，看起來像是一種合法的程序，但是它記錄用戶輸入的每個口令，然后把它們發(fā)送到黑客的一個文件中，并將該文件隱藏到系統(tǒng)中的某個地方。

2.?IP欺騙與窺探

1)窺探

窺探(Sniffing)是一種被動式的攻擊，又稱網(wǎng)絡(luò)監(jiān)聽，是黑客們慣用的一種方法，其目的是利用計算機的數(shù)據(jù)報文或口令。例如，兩臺計算機之間發(fā)送的信息網(wǎng)絡(luò)協(xié)議包括本地網(wǎng)絡(luò)接口的硬件地址、遠程網(wǎng)絡(luò)接口的IP地址、IP路由信息及TCP連接的字節(jié)順序序號等，窺探儀可獲得這些數(shù)據(jù)。

2)欺騙

欺騙(Spoofing)是一種主動式的攻擊，即在網(wǎng)絡(luò)上的某臺機器偽裝成另一臺不同的機器。偽裝的目的在于哄騙網(wǎng)絡(luò)中的其他機器誤將冒名頂替者作為原始機器而加以接受，誘使其他機器向它發(fā)送數(shù)據(jù)或允許其修改數(shù)據(jù)。作為一種主動攻擊，它能破壞兩臺其他機器間通信鏈路上的正常數(shù)據(jù)流，并可能向通信鏈路中插入數(shù)據(jù)。

.掃描

Internet上任何軟件的通信都基于TCP/IP協(xié)議。TCP/IP協(xié)議規(guī)定，計算機可以有65536個端口，通過這些端口進行數(shù)據(jù)傳輸。例如：發(fā)送電子郵件時，郵件被送到郵件服務(wù)器的25號端口；當(dāng)接收郵件時，從郵件服務(wù)