《第10章 网络中的安全问题》由会员分享,可在线阅读,更多相关《第10章 网络中的安全问题(66页珍藏版)》请在金锄头文库上搜索。
1、 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题1第第10章章 网络中的安全问题网络中的安全问题 10.1网络安全概述网络安全概述 10.2 IP欺骗欺骗10.3端口扫描端口扫描10.4网络监听网络监听10.5拒绝服务攻击拒绝服务攻击10.6 特洛伊木马特洛伊木马实训项目实训项目 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题210.1网络安全概述网络安全概述n TCP/IP是目前是目前Internet使用的协议。使用的协议。n TCP/IP存在着一系列的安全缺陷。有存在着一系列的安全缺陷。有的缺陷是由于源地址的认证问题造成的,的缺陷是由于源地址
2、的认证问题造成的,有的缺陷则来自网络控制机制和路由协议有的缺陷则来自网络控制机制和路由协议等。这些缺陷,是所有使用等。这些缺陷,是所有使用TCP/IP的系的系统所共有的统所共有的 . 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题310.1.1 TCP序列号预计序列号预计n TCP序列号预计由莫里斯首先提序列号预计由莫里斯首先提出,是网络安全领域中最有名的缺出,是网络安全领域中最有名的缺陷之一。这种攻击的实质,是在不陷之一。这种攻击的实质,是在不能接到目的主机应答确认时,通过能接到目的主机应答确认时,通过预计序列号建立连接。这样,入侵预计序列号建立连接。这样,入侵者可以
3、伪装成信任主机与目的主机者可以伪装成信任主机与目的主机通话通话 。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题410.1.2 10.1.2 路由协议缺陷路由协议缺陷(1)(1)源路由选项的使用源路由选项的使用 (2)(2)伪造伪造ARPARP包包(3)RIP(3)RIP的攻击的攻击 (4)OSPF(4)OSPF的攻击的攻击 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题5(1)源路由选项的使用源路由选项的使用n 在在IP包头中的源路由选项用于该包头中的源路由选项用于该IP包的路由选择,包的路由选择,这样,一个这样,一个IP包可以按照预告指定的
4、路由到达目的包可以按照预告指定的路由到达目的主机。主机。n对于对于Cisco路由器,禁止源路由包可通过命令:路由器,禁止源路由包可通过命令:no ip source-route实现。实现。(2)伪造ARP包n 伪造伪造ARP包是一种很复杂的技术,涉及到包是一种很复杂的技术,涉及到TCP/IP及以太网特性的很多方面。伪造及以太网特性的很多方面。伪造ARP包的主包的主要过程是,以目的主机的要过程是,以目的主机的IP地址和以太网地址为源地址和以太网地址为源地址发一地址发一ARP包,这样即可造成另一种包,这样即可造成另一种IP spoof。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安
5、全 问 题6(3)RIP的攻击的攻击n 如果入侵者宣布经过自己的一条通向目的如果入侵者宣布经过自己的一条通向目的主机的路由,将导致所有往目的的主机数据包主机的路由,将导致所有往目的的主机数据包发往入侵者。这样,入侵者就可以冒充是目的发往入侵者。这样,入侵者就可以冒充是目的主机,也可以监听所有目的主机的数据包,甚主机,也可以监听所有目的主机的数据包,甚至在数据流中插入任意的包。至在数据流中插入任意的包。n解决上述问题的方法是:注意路由的改变解决上述问题的方法是:注意路由的改变信息。一个聪明的网关可以有效地摈弃任何明信息。一个聪明的网关可以有效地摈弃任何明显错误的路由信息。显错误的路由信息。RIP
6、的认证、加密也是一的认证、加密也是一种较好的方法。种较好的方法。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题7(4)OSPF的攻击的攻击n OSPF(Open Shortest Path First)协)协议是用于自治域内部的另一种路由协议。议是用于自治域内部的另一种路由协议。OSPF协议使用的路由算法是链路状态协议使用的路由算法是链路状态(Link-State)算法。在该算法中,每个路)算法。在该算法中,每个路由器给相邻路由器宣布的信息是一个完整的由器给相邻路由器宣布的信息是一个完整的路由状态,包括可到达的路由器,连接类型路由状态,包括可到达的路由器,连接类型和其
7、他相关信息。和和其他相关信息。和RIP相比,虽然相比,虽然OSPF协议中实施了认证过程,但是该协议还存在协议中实施了认证过程,但是该协议还存在着一些安全的问题。着一些安全的问题。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题810.1.3 网络监听网络监听n 如果有一个网络设备专门收集广播而决不应答,如果有一个网络设备专门收集广播而决不应答,那么,它就可以看到本网的任何计算机在网上传输那么,它就可以看到本网的任何计算机在网上传输的数据。如果数据没有经过加密,那么它就可以看的数据。如果数据没有经过加密,那么它就可以看到所有的内容。到所有的内容。Sniffer就是一个在以
8、太网上进行监就是一个在以太网上进行监听的专用软件。监听这个现象对网络的安全威胁是听的专用软件。监听这个现象对网络的安全威胁是相当大的,因为它可以做到以下几点相当大的,因为它可以做到以下几点:(1 1)抓到正在传输的密码。)抓到正在传输的密码。(2 2)抓到别人的秘密(信用卡号)或不想共享的东西。抓到别人的秘密(信用卡号)或不想共享的东西。(3 3)暴露网络信息。)暴露网络信息。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题910.2 IP欺骗欺骗10.2 IP欺骗原理欺骗原理1、信任关系、信任关系2、Rlogin3、TCP序列号预测序列号预测4、序列编号、确认和其他标
9、志信息、序列编号、确认和其他标志信息5、IP欺骗欺骗6、IP欺骗的防止欺骗的防止 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题101、信任关系、信任关系 信任关系是基于信任关系是基于IP地址的。地址的。2、Rlogin Rlogin允许用户从一台主机登录到另允许用户从一台主机登录到另一台主机上,并且,如果目标主机信一台主机上,并且,如果目标主机信任它,任它,Rlogin将允许在不应答口令的将允许在不应答口令的情况下使用目标主机上的资源。安全情况下使用目标主机上的资源。安全验证完全是基于源主机的验证完全是基于源主机的IP地址。地址。 计算机网络基础计算机网络基础第 十
10、章 网 络 中 的 安 全 问 题113、TCP序列号预测序列号预测 可以对可以对IP堆栈进行修改,在源地址和目的地址堆栈进行修改,在源地址和目的地址中放入任意满足要求的中放入任意满足要求的IP地址,也就是说,提地址,也就是说,提供虚假的供虚假的IP地址。地址。4、序列编号、确认和其他标志信息、序列编号、确认和其他标志信息 TCP序列号预测最早是由序列号预测最早是由Morris对这一安全漏对这一安全漏洞进行阐述的。它使用洞进行阐述的。它使用TCP序列号预测,即使序列号预测,即使没有从服务器得到任何响应也能产生一个没有从服务器得到任何响应也能产生一个TCP包序列,这使得它能欺骗在本地网络上的主机
11、。包序列,这使得它能欺骗在本地网络上的主机。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题125、IP欺骗欺骗IP欺骗由若干步骤组成:欺骗由若干步骤组成:(1 1)使被信任主机丧失工作能力)使被信任主机丧失工作能力 一旦发现被信任的主机,为了伪装成它,往一旦发现被信任的主机,为了伪装成它,往往使其丧失工作能力。由于攻击者将要代替往使其丧失工作能力。由于攻击者将要代替真正的被信任主机,攻击者必须确保真正被真正的被信任主机,攻击者必须确保真正被信任的主机不能接收到任何有效的网络数据,信任的主机不能接收到任何有效的网络数据,否则将会被揭穿。有许多方法可以做到这些。否则将会被
12、揭穿。有许多方法可以做到这些。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题13(2 2)序列号取样和猜测)序列号取样和猜测n 要对目标主机进行攻击,必须知道目要对目标主机进行攻击,必须知道目标主机使用的数据包序列号。标主机使用的数据包序列号。n 一个和这种一个和这种TCP序列号攻击相似的方序列号攻击相似的方法是使用法是使用NETSTAT服务。在这个攻击中,服务。在这个攻击中,入侵者模拟一个主机关机。如果目标主机入侵者模拟一个主机关机。如果目标主机上有上有NETSTAT,它能提供在另一端口上,它能提供在另一端口上必须的序列号。这取消了所有要猜测的必必须的序列号。这取消
13、了所有要猜测的必要。要。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题146、IP欺骗的防止(1 1)抛弃基于地址的信任策略)抛弃基于地址的信任策略n阻止这类攻击的一种非常容易的办法就是放弃以地址为基阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许础的验证。不允许 r*类远程调用命令的使用;删除类远程调用命令的使用;删除 .rhosts 文文件;清空件;清空/ etc / hosts .equiv 文件。这将迫使所有用户使用其文件。这将迫使所有用户使用其他远程通信手段,如他远程通信手段,如telnet、ssh、skey等等。等等。(2 2)进行包过滤
14、)进行包过滤n如果网络是通过路由接入如果网络是通过路由接入Internet的,那么可以利用路由的,那么可以利用路由器来进行包过滤。确信只有您的内部器来进行包过滤。确信只有您的内部LAN可以使用信任关系,可以使用信任关系,而内部而内部LAN上的主机对于上的主机对于LAN以外的主机要慎重处理。您的路以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。的请求。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题15(3 3)使用加密方法)使用加密方法n阻止阻止IP欺骗的另一种明显的方法是在
15、通信时要欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时,可能求加密传输和验证。当有多种手段并存时,可能加密方法最为适用。加密方法最为适用。(4 4)使用随机化的初始序列号)使用随机化的初始序列号n黑客攻击得以成功实现的一个很重要的因素,黑客攻击得以成功实现的一个很重要的因素,就是序列号不是随机选择的或者随机增加的。就是序列号不是随机选择的或者随机增加的。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题1610.3 端口扫描端口扫描10.3.1 端口扫描简介端口扫描简介n 扫描器是一种自动检测远程或本地主机安全性扫描器是一种自动检测远程或本地主机安
16、全性弱点的程序,通过使用它,能够扫描弱点的程序,通过使用它,能够扫描TCP端口,端口,并记录反馈信息,可以不留痕迹地发现远程服务并记录反馈信息,可以不留痕迹地发现远程服务器中各种器中各种TCP端口的分配、提供的服务和它们的端口的分配、提供的服务和它们的软件版本。这就能直观地或间接地了解远程主机软件版本。这就能直观地或间接地了解远程主机存在的安全问题。存在的安全问题。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题1710.3.2端口扫描的原理端口扫描的原理n 最简单的端口扫描程序仅仅是检查一下目标最简单的端口扫描程序仅仅是检查一下目标主机在哪些端口可以建立主机在哪些端口
17、可以建立TCP连接,如果可以建连接,如果可以建立连接,则说明该主机在那个端口监听。当然,立连接,则说明该主机在那个端口监听。当然,这种端口扫描程序不能进一步确定端口提供什么这种端口扫描程序不能进一步确定端口提供什么样的服务,也不能确定该服务是否有众所周知的样的服务,也不能确定该服务是否有众所周知的那些缺陷。那些缺陷。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题18n下面介绍入侵者们如何利用上述这些信下面介绍入侵者们如何利用上述这些信息,来隐藏自己的端口扫描息,来隐藏自己的端口扫描 :1 、 TCP connect ()扫描扫描2 、 TCP SYN扫描扫描3 、 T
18、CP FIN扫描扫描4 、 Fragmentation 扫描扫描5 、 UDP recfrom()和和write()扫描扫描6 、 ICMP扫描扫描 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题191、TCP connect ()扫描扫描nTCP connect ()是最基本的一种扫描方式。使是最基本的一种扫描方式。使用系统提供的用系统提供的connect ()系统调用建立与目标主机系统调用建立与目标主机端口的连接。如果端口正在监听,端口的连接。如果端口正在监听,connect ()就成就成功返回;否则,说明该端口不可访问。功返回;否则,说明该端口不可访问。2、TCP
19、 SYN扫描扫描n一个一个RST响应表明该端口没有被监听。如果收响应表明该端口没有被监听。如果收到一个到一个SYN/ACK,则通过立即发送一个,则通过立即发送一个RST来关来关闭连接。这样做的好处是极少有主机来记录这种闭连接。这样做的好处是极少有主机来记录这种连接请求。不利之处在于,必须有超级用户权限连接请求。不利之处在于,必须有超级用户权限才能建立这种可配置的才能建立这种可配置的SYN数据包。数据包。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题203.TCP FIN扫描扫描n 基本思想是关闭的端口将会用正确的基本思想是关闭的端口将会用正确的RST来应答发送的来应答
20、发送的FIN数据包;相反,打开的端口数据包;相反,打开的端口往往忽略这些请求。这是一个往往忽略这些请求。这是一个TCP实现上的错实现上的错误,也不是所有的系统都存在这类错误,因此,误,也不是所有的系统都存在这类错误,因此,并不是并不是100有效。有效。4、Fragmentation 扫描扫描nFragmentation扫描并不是仅仅发送探测扫描并不是仅仅发送探测的数据包,而是将要发送的数据包分成一组更的数据包,而是将要发送的数据包分成一组更小的小的IP包。通过将包。通过将TCP包头分成几段,放入不包头分成几段,放入不同的同的IP包中,使得包过滤程序难以过滤。包中,使得包过滤程序难以过滤。 计算
21、机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题215.UDP recfrom()和write()扫描n没有root 权限的用户不能直接得到端口不可访问的错误,但是Linux可以间接地通知用户。6、ICMP扫描nICMP扫描并不是一个真正的端口扫描,因为ICMP并没得到端口的信息。然而,用PING这个命令,通常可以得到网上目标主机是否正在运行的信息。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题2210.3.3端口扫描的工具端口扫描的工具1、NSSnNSS,即网络安全扫描器,是一个非常隐蔽的,即网络安全扫描器,是一个非常隐蔽的扫描器。如果用流行的搜索
22、程序搜索它,所能发扫描器。如果用流行的搜索程序搜索它,所能发现的入口不超过现的入口不超过20个。这并非意味着个。这并非意味着NSS使用不使用不广泛,而是意味着多数有该扫描器的广泛,而是意味着多数有该扫描器的FTP的站点处的站点处在暗处,或无法通过在暗处,或无法通过WWW搜索器找到它们搜索器找到它们。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题232.SATANnSATAN的英文全称为的英文全称为Security Administrator Tool for Analyzing Networks,即安全管理员的,即安全管理员的网络分析工具。网络分析工具。SATAN是一
23、个分析网络的安全管是一个分析网络的安全管理、测试与报告工具。它用来收集网络上主机的信理、测试与报告工具。它用来收集网络上主机的信息,可以识别并且自动报告与网络相关的安全问题。息,可以识别并且自动报告与网络相关的安全问题。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题243. StrobenStrobe是一个超级优化是一个超级优化TCP端口检测程序,能端口检测程序,能快速地识别指定机器上正运行什么服务,用于扫快速地识别指定机器上正运行什么服务,用于扫描网络漏洞。它可以记录指定机器的所有开放端描网络漏洞。它可以记录指定机器的所有开放端口。口。Strobe运行速度很快,它的
24、主要特点是能快运行速度很快,它的主要特点是能快速识别指定机器上正在运行什么服务速识别指定机器上正在运行什么服务 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题2510.4网络监听网络监听10.4.1网络监听的原理网络监听的原理n 网络监听工具是提供给管理员的一类管理工网络监听工具是提供给管理员的一类管理工具。这种工具本来是用来管理网络,监视网络具。这种工具本来是用来管理网络,监视网络的状态、数据流动情况以及网络上传输的信息的状态、数据流动情况以及网络上传输的信息的。但是,由于它能有效地截获网上的数据,的。但是,由于它能有效地截获网上的数据,因此也成了网上黑客使用最多的方
25、法因此也成了网上黑客使用最多的方法 。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题261、监听的可能性、监听的可能性n网络监听是黑客们常用的一种方法。当黑客成功地登网络监听是黑客们常用的一种方法。当黑客成功地登录到一台网络上的主机,并取得这台主机超级用户的权限录到一台网络上的主机,并取得这台主机超级用户的权限之后,往往要扩大战果,尝试登录或者夺取网络中其他主之后,往往要扩大战果,尝试登录或者夺取网络中其他主机的控制权。而网络监听则是一种最简单而且最有效的方机的控制权。而网络监听则是一种最简单而且最有效的方法,它常常能轻易地获得用其他方法很难获得的信息。法,它常常能轻
26、易地获得用其他方法很难获得的信息。n 在网络上,监听效果最好的地方是网关、路由器和防火在网络上,监听效果最好的地方是网关、路由器和防火墙。监听最方便的地方是以太网中任何一台上网的主机,墙。监听最方便的地方是以太网中任何一台上网的主机,这是大多数黑客的做法。这是大多数黑客的做法。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题272、以太网中可以监听的原因、以太网中可以监听的原因n以太网协议的工作方式是将要发送的数据包发以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包含着应该往连接在一起的所有主机。在包头中包含着应该接收数据包的主机的正确地址。因
27、此,只有与数接收数据包的主机的正确地址。因此,只有与数据包中目标地址一致的那台主机才能接收数据包。据包中目标地址一致的那台主机才能接收数据包。但是,当主机工作在监听模式下,那么,无论数但是,当主机工作在监听模式下,那么,无论数据包中的目标物理地址是什么,主机都将接收。据包中的目标物理地址是什么,主机都将接收。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题2810.4.2网络监听的检测网络监听的检测1、简单的检测方法、简单的检测方法n网络监听是很难被发现的。运行网络网络监听是很难被发现的。运行网络监听的主机只是被动地接收在局域网上监听的主机只是被动地接收在局域网上传输的
28、信息,并没有主动的行动,既不传输的信息,并没有主动的行动,既不会与其他主机交换信息,也不会修改在会与其他主机交换信息,也不会修改在网上传输的信息包。这一切决定了网络网上传输的信息包。这一切决定了网络监听的检测是非常困难的。监听的检测是非常困难的。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题29(1)方法一n对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址,处于监听状态的机器能接收,如果他的IP stack不再次反向检查,就会响应。这种方法依赖于系统的IP stack,对一些系统
29、可能行不通 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题30(2)方法二方法二n往网上发大量不存在的物理地址的包,往网上发大量不存在的物理地址的包,由于监听程序将处理这些包,会导致性由于监听程序将处理这些包,会导致性能下降。通过比较前后该机器性能能下降。通过比较前后该机器性能(icmp echo delay等方法)加以判断。等方法)加以判断。这种方法难度比较大。这种方法难度比较大。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题31n一个比较可行的检查监听程序的办法是搜一个比较可行的检查监听程序的办法是搜索所有主机上运行的进程。当然,这几乎是不
30、索所有主机上运行的进程。当然,这几乎是不可能的。但是至少管理员可以确定是否有一个可能的。但是至少管理员可以确定是否有一个进程被从管理员机器上启动。在不同平台上执进程被从管理员机器上启动。在不同平台上执行这个操作的命令是不同的。那些使用行这个操作的命令是不同的。那些使用Dos、Windows for workgroup或者或者 Windows95的的机器很难做到这一点。而使用机器很难做到这一点。而使用UNIX和和Windows NT/2000的机器可以很容易地得到的机器可以很容易地得到当前进程的清单。当前进程的清单。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题322、
31、对付一个监听、对付一个监听n击败一个监听程序的攻击并不十分困击败一个监听程序的攻击并不十分困难。用户有多种选择,而最终采用哪一难。用户有多种选择,而最终采用哪一种取决于用户真正想做什么,剩下的就种取决于用户真正想做什么,剩下的就取决于运行时的开销了。取决于运行时的开销了。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题333、其他防范监听的办法、其他防范监听的办法n一般能够接受的击败网络监听的方法是一般能够接受的击败网络监听的方法是使用安全的拓扑结构。这种技术通常被称为使用安全的拓扑结构。这种技术通常被称为分段技术。将网络分成一些小的网络,每一分段技术。将网络分成一些小
32、的网络,每一网段的集线器连接到一个交换机上网段的集线器连接到一个交换机上(Switch),因为网段是硬件连接的,因而包只能在该,因为网段是硬件连接的,因而包只能在该子网的网段之内被监听工具截获。这样,网子网的网段之内被监听工具截获。这样,网络中剩余的部分(不在同一网段的部分)就络中剩余的部分(不在同一网段的部分)就被保护了。被保护了。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题344、ifstatus工具工具n Ifstatus的开发者是的开发者是Dave Curry。Ifstatus运行的运行的UNIX操作系统中,它可操作系统中,它可以识别出系统的网络接口是否正处
33、于调试状以识别出系统的网络接口是否正处于调试状态或者说监听状态下。当网络接口运行在这态或者说监听状态下。当网络接口运行在这种模式下,很可能是一个入侵者侵入了系统,种模式下,很可能是一个入侵者侵入了系统,正在运行一个监听程序,用来截获在网络上正在运行一个监听程序,用来截获在网络上传送的口令和其他明文形式的信息。传送的口令和其他明文形式的信息。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题35n 网络监听是网络管理很重要的一个环节,网络监听是网络管理很重要的一个环节,同时也是黑客们常用的一种方法。事实上,网同时也是黑客们常用的一种方法。事实上,网络监听的原理和方法是广义的
34、,例如路由器也络监听的原理和方法是广义的,例如路由器也是将传输中的包截获,进行分析并重新发送出是将传输中的包截获,进行分析并重新发送出去。许多的网络管理软件都少不了监听这一环去。许多的网络管理软件都少不了监听这一环节。而网络监听工具只是这一大类应用中的一节。而网络监听工具只是这一大类应用中的一个小的方面。对网上传输的信息进行加密,可个小的方面。对网上传输的信息进行加密,可以有效地防止网络监听的攻击以有效地防止网络监听的攻击 。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题3610.5拒绝服务攻击拒绝服务攻击10.5.1概述概述n拒绝服务,即拒绝服务,即Denial o
35、f Service,简称,简称DoS,从因,从因特网诞生以来就伴随着因特网的发展而一直存在,并不特网诞生以来就伴随着因特网的发展而一直存在,并不断地发展和升级。由于它的不易识别和察觉性以及简易断地发展和升级。由于它的不易识别和察觉性以及简易性,因而一直是困扰网络安全的重大隐患。性,因而一直是困扰网络安全的重大隐患。n 拒绝服务是一种简单的破坏性攻击,通常攻击者利拒绝服务是一种简单的破坏性攻击,通常攻击者利用用TCP/IP中的某个漏洞,或者系统存在的某些漏洞,对中的某个漏洞,或者系统存在的某些漏洞,对目标系统发起大规模的攻击,使得攻击目标失去工作能目标系统发起大规模的攻击,使得攻击目标失去工作能
36、力,使得系统不可访问因而合法用户不能及时得到应得力,使得系统不可访问因而合法用户不能及时得到应得的服务或系统资源,如的服务或系统资源,如CPU处理时间与存储器等。它最处理时间与存储器等。它最本质的特征是延长正常的应用服务的等待时间。本质的特征是延长正常的应用服务的等待时间。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题37主要表现为以下几个方面:主要表现为以下几个方面:(1)(1)企图湮灭一个网络,中断正常的网络流量;企图湮灭一个网络,中断正常的网络流量;(2)(2)企图破坏两个机器之间的连接,禁止访问可用服务企图破坏两个机器之间的连接,禁止访问可用服务(3)(3)企
37、图阻止某一特定用户对网络上服务的访问;企图阻止某一特定用户对网络上服务的访问;(4)(4)企图破坏一个特定系统或使其不能提供正常访问企图破坏一个特定系统或使其不能提供正常访问 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题3810.5.2 拒绝服务攻击的原理拒绝服务攻击的原理1、拒绝服务的模式、拒绝服务的模式n拒绝服务有很多分类方法,按照入侵方式,拒拒绝服务有很多分类方法,按照入侵方式,拒绝服务可以分为资源消耗型,配置修改型,物理绝服务可以分为资源消耗型,配置修改型,物理破坏型以及服务利用型。破坏型以及服务利用型。(1)(1)资源消耗型资源消耗型n资源消耗型拒绝服务是指
38、入侵者试图消耗目标资源消耗型拒绝服务是指入侵者试图消耗目标的合法资源,例如网络带宽、内存和磁盘空间以的合法资源,例如网络带宽、内存和磁盘空间以及及CPU使用率,从而达到拒绝服务的目的。使用率,从而达到拒绝服务的目的。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题39(2)(2)配置修改型配置修改型 计算机配置不当可能造成系统运行不正计算机配置不当可能造成系统运行不正常甚至根本不能运行。入侵者通过改变或者破常甚至根本不能运行。入侵者通过改变或者破坏系统的配置信息来阻止其他合法用户来使用坏系统的配置信息来阻止其他合法用户来使用计算机和网络提供的服务,主要有以下几种:计算机
39、和网络提供的服务,主要有以下几种:n改变路由信息;改变路由信息;n修改修改Windows NT注册表;注册表;n修改修改UNIX的各种配置文件的各种配置文件 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题40(3)(3)物理破坏型物理破坏型n物理破坏型拒绝服务主要针对物理设备的物理破坏型拒绝服务主要针对物理设备的安全,入侵者可以通过破坏或改变网络部件以安全,入侵者可以通过破坏或改变网络部件以实现拒绝服务实现拒绝服务 。(4)(4)服务利用型服务利用型n利用入侵目标的自身资源实现入侵意图,利用入侵目标的自身资源实现入侵意图,由于被入侵系统具有漏洞和通信协议的弱点,由于被入
40、侵系统具有漏洞和通信协议的弱点,这给了入侵者提供了入侵的机会这给了入侵者提供了入侵的机会 。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题412、拒绝服务常用方法、拒绝服务常用方法(1)死亡之死亡之Ping (Ping of Death)原理原理Ping入侵是通过向目标端口发送大量超大尺寸的入侵是通过向目标端口发送大量超大尺寸的ICMP包来实现的。包来实现的。防御防御这种方式主要是针对这种方式主要是针对Windows 9X操作系统的,而操作系统的,而UNIX、Linux、Solaris与与Mac等大多数操作系统等大多数操作系统都具有抵抗一般都具有抵抗一般Ping of
41、 Death入侵的能力入侵的能力 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题42(2)Teardrop原理原理n链路层具有最大传输单元链路层具有最大传输单元MTU这个特性,它限这个特性,它限制了数据帧的最大长度,不同的网络类型都有一制了数据帧的最大长度,不同的网络类型都有一个上限值。以太网的个上限值。以太网的MTU是是1500,可以用,可以用netstati命令查看这个值。命令查看这个值。n 如果如果IP层有数据包要传,而且数据包的长度超层有数据包要传,而且数据包的长度超过了过了MTU,那么,那么IP层就要对数据包进行分片操作,层就要对数据包进行分片操作,使每一片的
42、长度都小于或等于使每一片的长度都小于或等于MTU。每一。每一IP分片分片都各自路由,到达目的主机在都各自路由,到达目的主机在IP层重组,层重组,IP首部中首部中的数据能够正确完成分片的重组。若在的数据能够正确完成分片的重组。若在IP分组中指分组中指定一个非法的偏移值,将可能造成某些协议软件定一个非法的偏移值,将可能造成某些协议软件出现缓冲区覆盖,导致系统崩溃。出现缓冲区覆盖,导致系统崩溃。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题43防御防御nWindows操作系统应打上最新的操作系统应打上最新的 Service Pack ,目前的目前的Linux内核已经不受影响
43、;如果可内核已经不受影响;如果可能,应在网络边界上禁止碎片包通过,或者用能,应在网络边界上禁止碎片包通过,或者用iptables限定每秒通过碎片包的数目;如果防限定每秒通过碎片包的数目;如果防火墙有重组碎片的功能,应确保自身的算法没火墙有重组碎片的功能,应确保自身的算法没有问题,否则拒绝服务就会影响整个网络;在有问题,否则拒绝服务就会影响整个网络;在Windows 2000操作系统中,可以自定义操作系统中,可以自定义IP安安全策略并设置碎片检查全策略并设置碎片检查 。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题44(3)Land原理原理nLand是由著名黑客组织是由
44、著名黑客组织RootShell发现的,原发现的,原理比较简单,就是向目标机发送源地址与目的地理比较简单,就是向目标机发送源地址与目的地址一样的数据包,造成目标机解析址一样的数据包,造成目标机解析Land包占用太包占用太多资源,从而使网络功能完全瘫痪。多资源,从而使网络功能完全瘫痪。防御防御n打最新的补丁,或者在防火墙进行配置,将那打最新的补丁,或者在防火墙进行配置,将那些在外部接口上入站的含有源地址是内部地址的些在外部接口上入站的含有源地址是内部地址的数据包过滤掉数据包过滤掉 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题45(4)Smurf(4)Smurf原理原理这种
45、方法结合了使用了这种方法结合了使用了IP欺骗和欺骗和ICMP回复方法,回复方法,使大量网络传输充斥目标系统,导致目标系统拒使大量网络传输充斥目标系统,导致目标系统拒绝为正常系统服务。绝为正常系统服务。防御防御可以分别在源站点、中间站点和目标站点采取下可以分别在源站点、中间站点和目标站点采取下列步骤,以限制列步骤,以限制Smurf入侵。入侵。n阻塞阻塞Smurf入侵的源头入侵的源头n阻塞阻塞Smurf的中间站点的中间站点n防止防止Smurf入侵目标站点入侵目标站点 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题46 (5) Ping Flood(5) Ping Flood
46、原理原理n当黑客伪装成被入侵主机向一个广播地址发送当黑客伪装成被入侵主机向一个广播地址发送ping请求时,所有这个广播地址内的主机都会回请求时,所有这个广播地址内的主机都会回应这个应这个 Ping请求(当然是回应入侵主机,人人都请求(当然是回应入侵主机,人人都认为是它认为是它Ping的)。这样,相当于的)。这样,相当于n倍的入侵力度倍的入侵力度(n广播地址内回应广播地址内回应Ping包的主机数量)。包的主机数量)。防范防范n 关闭关闭broadcast广播功能;实行包过滤(广播功能;实行包过滤(packet filtering);关闭);关闭ICMP Echo Reply功能。功能。 计算机网
47、络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题47(6)SYN Flood(6)SYN Flood原理原理n正常的一个正常的一个TCP连接需要连接双方进行连接需要连接双方进行“3次次握手握手”,假设一个用户向服务器发送了,假设一个用户向服务器发送了SYN报文报文后突然死机或掉线,那么服务器在发出后突然死机或掉线,那么服务器在发出SYNACK应答报文后是无法收到客户端的应答报文后是无法收到客户端的ACK报文的报文的(第三次握手无法完成)。(第三次握手无法完成)。防范防范第一种是缩短第一种是缩短SYN Timeout的时间,的时间, 第二种方法是设置第二种方法是设置SYN Cook
48、ie, 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题48(7)UDP Flood(7)UDP Flood原理原理n如果恶意入侵者将两个如果恶意入侵者将两个UDP服务互指,则网服务互指,则网络可用带宽会很快耗尽。络可用带宽会很快耗尽。防范防范n对于对于UDP Flood入侵,防火墙只能通过避免入侵,防火墙只能通过避免数据报文的回应来减少服务器的负荷,而无法避数据报文的回应来减少服务器的负荷,而无法避免网络的拥塞。对于网络拥塞的问题,则需要相免网络的拥塞。对于网络拥塞的问题,则需要相关的路由器和交换机等网络基础设施的配合。关的路由器和交换机等网络基础设施的配合。 计算机网
49、络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题4910.6 特洛伊木马特洛伊木马n特洛伊木马程序并不是一种病毒,因为它不具有病毒的可传染性、自我复制能力等特性,但是特洛伊木马程序具有很大的破坏力和危害性。这一节里主要介绍特洛伊木马的基本概念、原理以及如何预防和清除特洛伊木马。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题5010.6.1特洛伊木马程序简介特洛伊木马程序简介所谓特洛伊木马程序,是指以下几种情况之一:所谓特洛伊木马程序,是指以下几种情况之一:n一种未经授权的程序,它包含在一段正常的程序当一种未经授权的程序,它包含在一段正常的程序当中。这个未
50、经授权的程序提供了一些用户不知道中。这个未经授权的程序提供了一些用户不知道(也可能是不希望实现的)的功能。(也可能是不希望实现的)的功能。n一段合法的程序,但是它的功能已经被安装在其中一段合法的程序,但是它的功能已经被安装在其中的未经授权的代码改变了。这些代码提供了一些用的未经授权的代码改变了。这些代码提供了一些用户不知道的(也可能是不希望实现的)功能。户不知道的(也可能是不希望实现的)功能。n 任何一段程序,似乎是提供了一系列合乎用户需任何一段程序,似乎是提供了一系列合乎用户需要的功能,但是由于在其中包含了一些用户不知道要的功能,但是由于在其中包含了一些用户不知道的未经授权的代码,使得该程序
51、有一些不为用户所的未经授权的代码,使得该程序有一些不为用户所知道(也可能是不希望实现的)功能知道(也可能是不希望实现的)功能 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题5110.6.2 特洛伊木马程序程序的位置和危险特洛伊木马程序程序的位置和危险 级别级别特洛伊木马程序代表了一种很高级别的威胁危险,主要特洛伊木马程序代表了一种很高级别的威胁危险,主要是有以下几个原因。是有以下几个原因。n特洛伊木马程序很难被发现。特洛伊木马程序很难被发现。n在许多情况下,特洛伊木马程序是在二进制代码中在许多情况下,特洛伊木马程序是在二进制代码中发现的,它们大多以无法阅读的形式存在。发
52、现的,它们大多以无法阅读的形式存在。n特洛伊木马程序可以作用于许多机器中特洛伊木马程序可以作用于许多机器中 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题5210.6.3 特洛伊木马的类型特洛伊木马的类型根据特洛伊木马的不同特点,大致可以分为以根据特洛伊木马的不同特点,大致可以分为以下几种类型下几种类型 :1、远程访问型特洛伊木马、远程访问型特洛伊木马2、密码发送型特洛伊木马、密码发送型特洛伊木马3、键盘记录型特洛伊木马、键盘记录型特洛伊木马4、毁坏型特洛伊木马、毁坏型特洛伊木马5、FTP型特洛伊木马型特洛伊木马 计算机网络基础计算机网络基础第 十 章 网 络 中 的
53、安 全 问 题531、远程访问型特洛伊木马、远程访问型特洛伊木马这种特洛伊木马是现在使用最广泛的特洛伊木马。这种特洛伊木马是现在使用最广泛的特洛伊木马。它可以访问其他用户的硬盘。它可以访问其他用户的硬盘。2、密码发送型特洛伊木马、密码发送型特洛伊木马这种特洛伊木马的目的是找到所有的隐藏密码,这种特洛伊木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定并且在受害者不知道的情况下把它们发送到指定的信箱。的信箱。3、键盘记录型特洛伊木马、键盘记录型特洛伊木马这种特洛伊木马是非常简单的。它们只做一种事这种特洛伊木马是非常简单的。它们只做一种事情,就是记录受害者的键盘敲击并且在情
54、,就是记录受害者的键盘敲击并且在LOG文文件里查找密码。件里查找密码。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题544、毁坏型特洛伊木马、毁坏型特洛伊木马这种特洛伊木马的惟一功能是毁坏并且删除文件,这种特洛伊木马的惟一功能是毁坏并且删除文件,这使它们非常简单,并且很容易被使用。这使它们非常简单,并且很容易被使用。5、FTP型特洛伊木马型特洛伊木马这种特洛伊木马将打开用户机器的端口这种特洛伊木马将打开用户机器的端口21,使每一,使每一个人都有一个个人都有一个FTP客户端可以不用密码就连接到用客户端可以不用密码就连接到用户的机器,并且会有安全的上传和下载选项。户的机器
55、,并且会有安全的上传和下载选项。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题5510.6.4特洛伊木马的检测特洛伊木马的检测1、检测的基本方法、检测的基本方法 对于特洛伊木马程序的检测方式与用户的安全需对于特洛伊木马程序的检测方式与用户的安全需求和安全级别有关。如果用户比较重要或敏感的求和安全级别有关。如果用户比较重要或敏感的数据放在服务器上(一般建议不要这样做),则数据放在服务器上(一般建议不要这样做),则可能需要采取比较严格的检测措施。如果在服务可能需要采取比较严格的检测措施。如果在服务器上没有这些信息,或者用户数据是可以部分共器上没有这些信息,或者用户数据是可
56、以部分共享的,那么采取一般的简单检测措施即可。享的,那么采取一般的简单检测措施即可。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题562、检测工具、检测工具MD5n 有一些对付特洛伊木马程序的方法,其中之一有一些对付特洛伊木马程序的方法,其中之一就是数字签名技术,用来保护已有的程序不被更就是数字签名技术,用来保护已有的程序不被更换,这需要计算现有的每个文件的数字指纹(数换,这需要计算现有的每个文件的数字指纹(数字签名),通过文件加密的方法和解密验证来检字签名),通过文件加密的方法和解密验证来检查文件的变化。这是由一些算法来实现的,其中查文件的变化。这是由一些算法来实现
57、的,其中最常用的是最常用的是MD5算法。算法。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题5710.6.5特洛伊木马的防范特洛伊木马的防范1、特洛伊木马的基本工作原理、特洛伊木马的基本工作原理(1) (1) 在任务栏中隐藏自己,这时最基本的解决办法在任务栏中隐藏自己,这时最基本的解决办法是把是把FormForm的的VisibleVisible属性设为属性设为False,ShowInTackBarFalse,ShowInTackBar属性设为属性设为FalseFalse,程序运行,程序运行时就不会出现在任务栏中了。时就不会出现在任务栏中了。 计算机网络基础计算机网络基
58、础第 十 章 网 络 中 的 安 全 问 题58(2) (2) 在任务管理器中隐形:将程序设为在任务管理器中隐形:将程序设为“系系统服务统服务”可以很轻松地伪装自己。特洛伊木马可以很轻松地伪装自己。特洛伊木马程序悄无声息地启动,而不是在用户每次启动程序悄无声息地启动,而不是在用户每次启动后点击特洛伊木马图标才运行服务端程序。特后点击特洛伊木马图标才运行服务端程序。特洛伊木马程序会在每次用户洛伊木马程序会在每次用户. .启动时自动装载服务端,它可以充分利用启动时自动装载服务端,它可以充分利用WindowsWindows操作系统启动时自动加载应用程序的操作系统启动时自动加载应用程序的方法,例如,启
59、动组、方法,例如,启动组、win.iniwin.ini、system.inisystem.ini与注册表等都是特洛伊木马藏身的好地方与注册表等都是特洛伊木马藏身的好地方. . 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题592、清除特洛伊木马的一般方法、清除特洛伊木马的一般方法知道了特洛伊木马的工作原理,查杀就变得很知道了特洛伊木马的工作原理,查杀就变得很容易。如果发现有特洛伊木马存在,首要的一容易。如果发现有特洛伊木马存在,首要的一点是立即将计算机与网络断开,防止黑客通过点是立即将计算机与网络断开,防止黑客通过网络对用户计算机所进行的攻击。网络对用户计算机所进行的攻
60、击。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题60在对付特洛伊木马程序方面,综合在对付特洛伊木马程序方面,综合起来,有以下几种办法和措施起来,有以下几种办法和措施 : :(1) (1) 提高防范意识提高防范意识. .在打开或下载文件之前,在打开或下载文件之前,一定要确认文件的来源是否可靠。一定要确认文件的来源是否可靠。(2) (2) 多读多读readme.txtreadme.txt文件。文件。(3) (3) 使用杀毒软件。现在的杀毒软件都推出使用杀毒软件。现在的杀毒软件都推出了清除特洛伊木马的功能,如了清除特洛伊木马的功能,如KV2003KV2003、金山、金山毒
61、霸毒霸20032003和瑞星和瑞星20032003等,可以不定期地在脱等,可以不定期地在脱机的情况下进行检查和清除。机的情况下进行检查和清除。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题61(4)(4)立即挂断。当用户在网上冲浪时,尽管造成上立即挂断。当用户在网上冲浪时,尽管造成上网速度突然变慢的原因有很多,但有理由怀疑网速度突然变慢的原因有很多,但有理由怀疑这是由特洛伊木马造成的,当入侵者使用特洛这是由特洛伊木马造成的,当入侵者使用特洛伊木马的客户端程序访问用户的计算机时,会伊木马的客户端程序访问用户的计算机时,会与用户的正常访问抢占带宽,然别是当入侵者与用户的正
62、常访问抢占带宽,然别是当入侵者从远端下载用户硬盘上的文件时更是明显。这从远端下载用户硬盘上的文件时更是明显。这时应该立即断开网络连接,然后对硬盘有无特时应该立即断开网络连接,然后对硬盘有无特洛伊木马进行认真的检查。洛伊木马进行认真的检查。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题62(5) (5) 观察目录。用户应当经常观察位于观察目录。用户应当经常观察位于c:,c:windowsc:,c:windows和和 c:windowssystermc:windowssysterm这这3 3个个目录下的文件。用目录下的文件。用“记事本记事本”逐一打开逐一打开c:c:目目录
63、下的非执行类文件录下的非执行类文件(除(除.exe.exe、.bat.bat、 以外的文件)以外的文件)查看是否发现特洛伊木马与击键查看是否发现特洛伊木马与击键程序的记录文件;在程序的记录文件;在c:windowsc:windows或或 c:windowssystermc:windowssysterm下如果有只有文件名没有下如果有只有文件名没有图标的可执行程序,则应该把它们删除,然后图标的可执行程序,则应该把它们删除,然后再用杀毒软件进行认真的检查。再用杀毒软件进行认真的检查。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题63(6) (6) 再删除特洛伊木马之前,最重
64、要的一项工作是再删除特洛伊木马之前,最重要的一项工作是备份文件和注册表,备份注册表的目的是防止备份文件和注册表,备份注册表的目的是防止系统崩溃;备份认为是特洛伊木马的文件的目系统崩溃;备份认为是特洛伊木马的文件的目的是,如果此文件不是特洛伊木马就可以恢复,的是,如果此文件不是特洛伊木马就可以恢复,如果是特洛伊木马就可以对其进行分析。如果是特洛伊木马就可以对其进行分析。 需要注意的是,对不同的特洛伊木马需要注意的是,对不同的特洛伊木马有不同的清除方法有不同的清除方法 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题64实训项目实训项目1实训目的实训目的了解黑客的常见攻击手段
65、。了解黑客的常见攻击手段。2实训环境实训环境能够上互联网的机房。能够上互联网的机房。3实训内容实训内容从黑客网站下载常见的攻击程序,对各种攻击从黑客网站下载常见的攻击程序,对各种攻击进行记录,区分什么是进行记录,区分什么是IP欺骗、什么是拒绝服欺骗、什么是拒绝服务攻击和什么是网络监听攻击,分析如何对这务攻击和什么是网络监听攻击,分析如何对这些攻击进行防范。些攻击进行防范。 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题65练习题练习题(1)(1)端口扫描分为哪几类?它的原理是什么?有哪些端口扫描分为哪几类?它的原理是什么?有哪些端口扫描工具?端口扫描工具?(2)(2)什
66、么网络监听?对付网络监听有哪些方法?什么网络监听?对付网络监听有哪些方法?(3)(3)什么是什么是IPIP地址欺骗?地址欺骗?IPIP电子欺骗的原理与特征有电子欺骗的原理与特征有哪些?哪些?IPIP电子欺骗有哪几步?电子欺骗有哪几步?(4)(4)什么拒绝服务攻击?什么拒绝服务攻击?DoSDoS有哪几种模式?有哪些有哪几种模式?有哪些常见的常见的DoSDoS攻击方法?攻击方法?(5)(5)什么是分布式拒绝服务攻击?什么是分布式拒绝服务攻击?DDoSDDoS的体系结构是的体系结构是什么?怎样对付什么?怎样对付DDoSDDoS?(6)(6)什么是特洛伊木马,它与病毒有什么区别?它有什么是特洛伊木马,它与病毒有什么区别?它有哪几种危险级别?防范特洛伊木马有哪些方法?哪几种危险级别?防范特洛伊木马有哪些方法? 计算机网络基础计算机网络基础第 十 章 网 络 中 的 安 全 问 题66
