《计算机网络安全课件》第九章 网络站点的安全

第九章网络站点的安全因特网的安全Web站点安全黑客口令安全网络监听扫描器E-mail的安全IP电子欺骗本资料由-校园大学生创业网-提供在线代理提供部分资料因特网本身存在安全隐患，Web站点的安全关系到整个因特网的安全。不安全因素最主要的是黑客入侵。9.1因特网的安全因特网是全球最大的信息超级市场，它作为开放的信息系统，越来越成为各国信息战的战略目标。9.1.1因特网服务的安全隐患1、电子邮件电子邮件是因特网上使用最多的一项服务，其安全问题是邮件的溢出，即无休止的邮件耗尽用户的存储空间。2、文件传输（FTP）匿名FTP是ISP的一项重要服务，它允许用户通过FTP访问FTP服务器上的文件，这时不正确的配置将严重威胁系统的安全。3、远程登录(Telnet)远程登录是提供远程终端申请的程序，它不仅允许用户登录到远端主机上，还允许用户执行那台主机的命令。Telnet送出的所有信息是不加密的，很容易被黑客攻击。要使Telnet安全，必须选择安全的认证方案，防止站点被窃听或侵袭。本资料由-校园大学生创业网-提供在线代理提供部分资料4、用户新闻（UsenetNews）用户新闻是因特网上的公告牌，提供了多对多的通信。像电子邮件一样具有危险性，且大多数站点的新闻信息量大约6个月翻一番，很容易造成溢出。5、万维网（）协议上的全球信息库，它是因特网上HTTP服务器的集合。搜索Web文件的工具是浏览器，浏览器还会使用FTP、Gopher等协议，即申请相应的服务器，这些服务器都存在漏洞，是不安全的。9.1.2因特网的脆弱性1、认证环节薄弱性因特网的许多事故的起源是因为用了薄弱的、静态的口令。P2562、系统易被监视性用户使用Telnet或FTP连接到远程主机上的帐户时，在因特网上传输的口令是没有加密的。3、易被欺骗性主机的IP地址假定为可用，TCP和UDP服务相信这个地址。那么攻击者就可以冒充一个被信任的主机或客户的IP地址进行攻击。4、有缺陷的局域网服务为了方便用户和减轻管理工作量，许多服务允许一些数据库以分布式管理，允许系统共享文件和数据，允许主机互相“信任”。如果一个系统被侵入或欺骗，那么其他信任该系统的系统会更容易遭到损害。5、复杂的设备和控制对主机系统的访问控制配置通常很复杂而且难以验证其正确性。偶然的配置错误会使闯入者获取访问权。6、主机的安全性主机系统的安全性无法很好地估计，系统管理的作用经常变换且行动迟缓。9.2Web站点安全9.2.1安全策略制订原则1、基本原则：P2582、服务器记录原则：P2589.2.2配置Web服务器的安全特性首先分析用户与站点联接时会发生哪些事件和动作，不了解如何联接就不知道如何防止黑客闯入。系统用一系列验证手段以决定客户是否有权访问他要求访问的文档，这里有几个安全漏洞：P260加强服务器的安全，有以下一些措施：P2609.2.3排除站点中的安全漏洞站点中的安全漏洞通常表现为以下四种方式：P2609.2.4监视控制Web站点出入情况（P261-262）可以被监控的项目：1、监控请求；2、测算访问次数；3、传输；4、传输更新。9.3黑客9.3.1黑客与入侵者黑客的概念；入侵者的概念。P252-2639.3.2黑客攻击的三个阶段：1、信息收集；P2632、系统安全弱点的探测；P2633、网络攻击。P2649.3.3对付黑客入侵1、发现黑客；P2642、应急操作；P2653、抓住入侵者9.4口令安全通过口令进行攻击是多数黑客常用的方法。9.4.1口令破解过程1、硬件问题；2、口令破解机制。9.4.2设置安全的口令保持口令的安全有以下几点建议：P267本资料由-校园大学生创业网-提供在线代理提供部分资料9.5网络监听网络监听工具是提供给管理员的一类管理工具。使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。但它也是黑客们常用的工具。9.5.1监听的可能性不同数据链路上传输的信息被监听的可能性如下：P2689.5.2在以太网中的监听监听是非常消耗CPU资源的，在一个繁忙的计算机中进行监听，可以立即被管理员发现。P268-2709.5.3网络监听的检测1、简单的检测方法：四种P270-2712、对付一个监听：P2713、其他防范监听的方法：P271-2729.6扫描器在因特网安全领域，扫描器是最出名的破解工具。9.6.1什么是扫描器扫描器是自动检测远程或本地主机安全性弱点的程序。通过使用扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配、提供的服务和软件版本，间接地或直观地了解到远程主机所存在的安全问题。9.6.2端口扫描1、端口每个应用程序（例如FTP、Telnet）通过因特网启动时，被赋予一个惟一的地址，这个地址称为端口。P273/9.12、端口扫描工具使用端口扫描工具也是一种获取主机信息的好方法。在Unix系统中，使用端口扫描程序不需要超级用户权限，任何用户都可以使用，且简单的端口扫描程序非常容易编写。9.6.3扫描工具1、SATANSATAN是一个分析网络的安全管理和测试、报告工具。它的功能强大，能自动地扫描整个子网，且操作方便。但它运行时非常消耗CPU资源，导致系统对其他的响应非常慢。2、网络安全扫描器NSSNSS是一个非常隐蔽的扫描器，它最根本的价值在于它的速度。3、StrobeStrobe可以记录指定机器的所有开放端口，运行速度快，能快速识别指定机器上正在运行的服务，但它只能提供给入侵者一个粗略的指南。9.7E-mail的安全9.7.1E-mail工作原理及安全漏洞P2769.7.2匿名转发P2779.7.3E-mail欺骗P2779.7.4E-mail轰炸和炸弹P2789.7.5保护E-mail：使用加密签字。9.8IP电子欺骗9.8.1盗用IP地址P2809.8.2什么是IP欺骗P280IP欺骗的概念；IP欺骗技术的三个特征。P2819.8.3IP欺骗的对象及实施1、IP欺骗的对象：P2812、IP欺骗的实施：P2829.8.4IP欺骗攻击的防备：P282本资料由-校园大学生创业网-提供在线代理提供部分资料