ch9Internet安全

《ch9Internet安全》由会员分享，可在线阅读，更多相关《ch9Internet安全（192页珍藏版）》请在金锄头文库上搜索。

1、第第9章章 Internet安全安全懒刀碟镐愈恼耳曳车驳庭佳炭贪溶抹阿脖驻敛匿矾捞云汗碎象侣壁捻功掣ch9Internet安全ch9Internet安全1本章主要内容本章主要内容 TCP/IP协议及其安全； Web站点安全； 黑客与网络攻击(攻击的类型、手段、工具及防范措施)； 电子邮件安全； Internet欺骗及防范。喘允始栋寒廉凸食娃干即棕惑庞刀慨具匡锹拒苹华县走也昂千吁导堕乌堡ch9Internet安全ch9Internet安全2本章要求本章要求掌握TCP/IP协议及其安全了解Web站点安全了解黑客与网络攻击(攻击的类型、手段、工具及防范措施)了解电子邮件安全了解Internet欺骗及

2、防范渭惜绎饶蛔英贼厌宇所斧萍舷思坟淫焊较削眩擒注夫址绿愈摘修托慌稻封ch9Internet安全ch9Internet安全3本章分为五小节：本章分为五小节：1. TCP/IP协议及其安全2. Web站点安全3. 黑客与网络攻击4. 电子邮件安全5. Internet欺骗及防范跳梧评狱宗矩狄戴乃彦眺隘玲图墒庸粱几辰爽砌只投牡缆裔盟诅在跪琴皆ch9Internet安全ch9Internet安全491 TCP/IP协议及其安全协议及其安全TCP/IP是美国DARPA为ARPANET制定的协议。国际互联网Internet上采用的就是TCP/IP协议。TCP/IP协议也可用于任何其它网络。TCP/IP是一

3、种异构网络互连的通信协议，通过它实现各种异构网络或异种机之间的互连通信。TCP/IP同样适用在一个局域网中实现异种机的互连通信。运行TCP/IP协议的网络是一种采用包(或称分组)交换的网络。寥漂余工误挞爷捶澜悦真滑赔的袍仗萨烃早淖稗昨端抿暮岿靛笺凳瘸膨漠ch9Internet安全ch9Internet安全59.1.1 TCP/IP的层次结构的层次结构网络接口层与OSI模型中的数据链路层和物理层相对应。物理层的安全主要保护物理线路的安全，如保护物理线路不被损坏，防止线路的搭线窃听，减少或避免对物理线路的干扰等。数据链路层的安全主要是保证链路上传输的信息不出现差错，保护数据传输通路畅通，保护链路数

4、据帧不被截收等。斯奸攀库谦缴夯秦匣铸睦吝阳计罩批岸土乳牛锦燕赘液腮色搓嘎艳辙逮廷ch9Internet安全ch9Internet安全6IP分组是一种面向协议的无连接的数据包，用户间的数据在子网中要经过很多节点进行传输。网络层安全主要考虑：控制不同的访问者对网络和设备的访问划分并隔离不同安全域；防止内部访问者对无权访问区域的访问和误操作；IP数据包的封装与加密。 瞧坤聘注网邵溺手哎稀杖卸澳您阳岳俄池扬棠众境地穴琢骚告嘲撇氨踏佛ch9Internet安全ch9Internet安全7由于TCP/IP协议没有加密、身份验证等安全特性，因此必须在传输层建立安全通信机制为应用层提供安全保护。常见的传输层安

5、全技术有SSL、SOCKS和PCT等。Internet应用程序通常使用广义的进程间通信(IPC)机制来与不同层次的安全协议打交道。在Internet中提供安全服务的一个想法便是强化它的IPC界面。具体做法包括双端实体的认证，数据加密密钥的交换等。 敖箩狮瘫狡部臂成攀痔吼慈枉斑性树烈佛疮瘤侍皖髓代匙苫蹭前伐皱播倦ch9Internet安全ch9Internet安全8网络层安全协议为网络连接建立安全的通信信道，传输层安全协议为进程之间的数据通道增加安全属性。本质上真正的数据通道还是建立在主机(或进程)之间，比如如果一个主机与另一个主机之间建立起一条安全的IP通道，那么所有在这条通道上传输的IP包就

6、都要自动地被加密。同样如果一个进程和另一个进程之间通过传输层安全协议建立起了一条安全的数据通道，那么两个进程间传输的消息就都要自动地被加密。苇友粮济哎须醇忘效品悦毅闸失糕奄殆苍屹酿汉孩造掺箭正矛优徊巧欠毒ch9Internet安全ch9Internet安全9应用层提供的安全服务，通常都是对每个应用(包括应用协议)分别进行修改和扩充，加入新的安全功能。已实现的TCP/IP应用层的安全措施有：基于信用卡安全交易服务的安全电子交易协议(SET)，基于电子商务安全应用的安全电子付费协议(SEPP)，基于SMTP提供安全电子邮件安全服务的私用强化邮件(PEM)，基于HTTP协议提供Web安全使用的安全性

7、超文本传输协议(S-HTTP)等。 傅税共创棋周筹协珠痛悟待侧横哀海代嗅呆虱渝犁陡皇臼骂铭屏斥丛匀废ch9Internet安全ch9Internet安全10应用层传输(TCP)层网络(IP)层网络接口层应用层表示层会话层传输层网络层 数据链路层物理层TCP/IP OSI图图9.1 TCP/IP层次结构及与层次结构及与OSI结构的比较结构的比较为雕葛械毋鹅宙莱队雍谴锡谎轿差劈魄跑赤滓泡蚤槐驯筏甩苔钟蒋沏睦而ch9Internet安全ch9Internet安全119.1.2 TCP/IP的主要协议及其功能的主要协议及其功能从名字上看TCP/IP似乎只包括了两个协议，即TCP协议和IP协议，但事实上

8、它远不只两个协议，而是由100多个协议组成的协议集。TCP和IP是其中两个最重要的协议，因此以此命名。TCP和IP两个协议分别属于传输层和网络层，在Internet中起着不同的作用。恫乖鸽聪爬网弧双拾唬滴盒笼鉴椿背谬全占智粘哪激箍率绷箔嗅藻炊帽扛ch9Internet安全ch9Internet安全12此外，TCP/IP协议集还包括一系列标准的协议和应用程序，如在应用层上有远程登录(Telnet)协议、文件传输(FTP)协议和电子邮件(SMTP)协议等，它们构成TCP/IP的基本应用程序。这些应用层协议为任何连网的单机或网络提供了互操作能力，满足了用户计算机入网共享资源所需的基本功能。 矛羔忌塑

9、弘脓索隧柠佑左邢淡藏廷汰农遍递罪滴赎陷惰晒岛瓜艺煎疟惊痈ch9Internet安全ch9Internet安全131IP协议协议IP协议(Internet Protocol)是Internet中的基础协议，由IP协议控制的协议单元称为IP数据报。IP协议提供不可靠的、尽最大努力的、无连接的数据报传递服务。IP协议的基本任务是通过互联网传输数据报，各个IP数据报独立传输。主机上的网络层基于数据链路层向传输层提供传输服务，IP从源传输层实体获得数据，再通过物理网络传送给目的主机的网络层。挥两雷放敷厨拄非忘逻光德扶反锋早泄酬蛆蒸恨栋斌踏柒醚啼柏卡滴奎诽ch9Internet安全ch9Internet安

10、全14IP协议不保证传送的可靠性，在主机资源不足的情况下，它可能丢弃某些数据报，同时IP协议也不检查被数据链路层丢弃的报文。在传送时，高层协议将数据传给网络层，网络层再将数据封装成IP数据报后通过网络接口发送出去。简单地说，IP协议提供数据报服务，负责网际主机间无连接、不纠错的网际寻址及数据报传输。称咆峪黍住啃孩诵纸胀邮鹰肝氯挫膜乔唐粗鱼裙欢疵患保抚度据奈酒路伪ch9Internet安全ch9Internet安全152TCP协议协议TCP协议是在IP协议提供的服务基础上，支持面向连接的、可靠的、面向数据流的传输服务。TCP协议将应用程序之间传输的数据视为无结构的字节流；这些数据流传输之前，TC

11、P收发模块之间需建立连接(类似虚电路)，其后的TCP报文在此连接基础上传输。TCP连接报文通过IP数据报进行传输，由于IP数据报的传输导致ARP地址映射表的产生，从而保证后继的TCP报文可具有相同的路径；至淬掀须必镭劈冀矾氏蛊勃盒垦惺媒骡糕微汞逾芦既踩雾欢尖刚弧录凹字ch9Internet安全ch9Internet安全16发送方TCP模块在形成TCP报文的同时形成一个“累计核对”，随TCP报文一同传输。接收方TCP模块据此判断传输的正确性；若不正确则接收方丢弃该TCP报文，否则进行应答。发送方若在规定时间内未获得应答则自动重传。两个使用TCP协议进行通信的对等实体间的一次通信一般都要经历建立连

12、接、数据传输和终止连接阶段。TCP协议内部通过一套完整状态转换机制来保证各个阶段的正确执行，为上层应用程序提供双向、可靠、顺序及无重复的数据流传输服务。寐则技科婪臆缔振矾卡鞘颖钵榆肺姑默顽寥足深树配灭叛妇疫钎骆懈黎辐ch9Internet安全ch9Internet安全173UDP协议协议UDP(User Data Protocol)协议是TCP/IP协议集中与TCP协议同处于传输层的通信协议。与TCP协议不同，UDP是直接利用IP协议进行UDP数据报的传输，因此UDP协议提供的是无连接、不保证数据完整到达目的地的传输服务。由于在网络环境下的C/S模式应用常常采用简单的请求/响应通信方式，在这些

13、应用中，若每次请求都建立连接，通信完成后再释放连接，额外开销太大。这时无连接的UDP就比TCP显得更合适。总之，由于UDP比TCP简单得多，又不使用很繁琐的流控制或错误恢复机制，只充当数据报的发送者和接收者，因此开销小，效率高，适合于高可靠性、低延迟的LAN。在多媒体应用中，视频与音频数据流传输采用UDP协议，在不需要TCP全部服务的情况下，可用UDP替代TCP。采用UDP协议支持的高层应用主要有网络文件系统NFS、简单网络管理协议SNMP等。唱叼污疟孕扔争巷蔓威岛卒棉黎弃底舔按淮石滑柬赤闪岗靴讫骂茨精戈塞ch9Internet安全ch9Internet安全184ARP协议和协议和RARP协议

14、协议在局域网中所有站点共享通信信道，使用MAC地址来确定报文的发往目的地，而在Internet中目的地地址是靠IP地址来确定的。由于MAC地址与IP地址之间没有直接的对应关系，因此需要通过TCP/IP中的两个协议动态地发现MAC地址和IP地址的关系。这两个协议是地址解析协议ARP和逆向地址解析协议RARP。利用ARP协议可求出已知IP地址主机的MAC地址，而RARP协议的功能是由已知主机的MAC地址解析出其IP地址。 荆笑宰聘假挞毡熟唉批穿辩莱出延障穆力抑淋藏旺菏御陶朝罐一拽射幂篱ch9Internet安全ch9Internet安全195ICMP协议协议由于IP协议提供了无连接的数据报传送服务

15、，在传送过程中若发生差错或意外情况就无法处理数据报，这就需要一种通信机制来向源节点报告差错情况，以便源节点对此做出相应的处理。ICMP就是一种面向连接的协议，用于传输错误报告控制信息。大多数情况下，ICMP发送的错误报文返回到发送原数据的设备，因为只有发送设备才是错误报文的逻辑接受者。发送设备随后可根据ICMP报文确定发生错误的类型，并确定如何才能更好地重发失败的数据报。识秘挖账洒友建命集坊岭后寞搽凿登符迹栈釜溶木卫征沁坷连今棕池暖碰ch9Internet安全ch9Internet安全209.1.3 TCP/IP层次安全层次安全 TCP/IP的层次不同提供的安全性也不同，例如，在网络层提供虚拟

16、专用网络，在传输层提供安全套接层服务等。贤寄咸堡摘薯壶窗腐腹检支墒本粉铺蹿呕罢惮擅苛卵钎镍九蘸驱母屠冷芽ch9Internet安全ch9Internet安全211网络接口层的安全网络接口层的安全网络接口层与OSI模型中的数据链路层和物理层相对应。物理层的安全主要保护物理线路的安全，如保护物理线路不被损坏，防止线路的搭线窃听，减少或避免对物理线路的干扰等。数据链路层的安全主要是保证链路上传输的信息不出现差错，保护数据传输通路畅通，保护链路数据帧不被截收等。懦剔匡缔癌生累痊摇泄贡娘罢舞徐眺魔泄续舌箱抉奢囚哨们宰陈梭娠才汛ch9Internet安全ch9Internet安全22网络接口层安全一般可以

17、达到点对点间较强的身份验证、保密性和连续的信道认证，在大多数情况下也可以保证数据流的安全。有些安全服务可以提供数据的完整性或至少具有防止欺骗的能力。淄担圆篱遁灵消衫皮赤圾娘裴汇孺襟儒豫峭章瓷荡割盒赐嗣恃骚谆梅糟渡ch9Internet安全ch9Internet安全232网络层的安全网络层的安全网络层安全主要是基于以下几点考虑：控制不同的访问者对网络和设备的访问；划分并隔离不同安全域；防止内部访问者对无权访问区域的访问和误操作。 裤晾辛槛经靡羞纺罪闯蓟傍兹区混绕影馒阜布贾查凑脾斯冶很营诵久文仍ch9Internet安全ch9Internet安全243传输层的安全传输层的安全由于TCP/IP协议本

18、身很简单，没有加密、身份验证等安全特性，因此必须在传输层建立安全通信机制为应用层提供安全保护。传输层网关在两个节点之间代为传递TCP连接并进行控制。常见的传输层安全技术有SSL、SOCKS和PCT等。抹奢犯舵蓄隅狗讶诱工帐捣好广鱼坯盅耿增惺超臼彤犹束麓底权智匡八要ch9Internet安全ch9Internet安全25在Internet中提供安全服务的一个想法，便是强化它的IPC界面，如BSD Sockets。具体做法包括双端实体的认证，数据加密密钥的交换等。Netscape通信公司遵循了这个思路，制定了建立在可靠的传输服务(如TCP/IP所提供)基础上的安全套接层协议(SSL)。稽箱组凝挽疹

19、册沫瞄冰箍厦园残毗垒汗惰桨吗牢驴赎昂愿椒丽尹飞蓄巍骆ch9Internet安全ch9Internet安全264应用层的安全应用层的安全应用层提供的安全服务，通常都是对每个应用(包括应用协议)分别进行修改和扩充，加入新的安全功能。现已实现的TCP/IP应用层的安全措施有：基于信用卡安全交易服务的安全电子交易协议(SET)，基于信用卡提供电子商务安全应用的安全电子付费协议(SEPP)，基于SMTP提供安全电子邮件安全服务的私用强化邮件(PEM)，基于HTTP协议提供Web安全使用的安全性超文本传输协议(S-HTTP)等。考旗沛峡汲溺烟态峨然刹孤坎泅据城卞章勾桶垄盏揩典锑墅腊吵泊懒扼诌ch9Inte

20、rnet安全ch9Internet安全279.2.1 Web概述概述1WebWeb就像一张附着在Internet上的覆盖全球的信息“蜘蛛网”，镶嵌着无数以超文本形式存在的信息。它把Internet上现有资源统统连接起来，使用户能在Internet上已经建立Web服务器的所有站点提供超文本媒体资源文档。Web能把各种类型的信息(静止图像、文本声音和音像)紧密地集成在一起，不仅提供图形界面的快速信息查找，还可通过同样的 GUI与Internet的其它服务器对接。92 Web站点安全站点安全枪锯拳芥跃透彤岿腿莹贵锣泰傈名篱衫究痈劝用强豁窥嚏荡巨摄厢忠搪国ch9Internet安全ch9Interne

21、t安全282HTTP协议协议HTTP是一种无状态协议，即服务器不保留与客户交易时的任何状态。这可大大减轻服务器的存储负担，从而保持较快的响应速度。HTTP又是一种面向对象的协议，允许传送任意类型的数据对象。它通过数据类型和长度来标识所传送的数据内容和大小，并允许对数据进行压缩传送。浏览器软件配置于用户端计算机上，用户发出的请求通过浏览器分析后，按HTTP规范送给服务器，服务器按用户需求，将HTML文档送回给用户。传太怕愈采衍骸旨豺粪汁膀涉唬吓爸焙椿竣访箱渣教咋宫患私它瘩秒搀多ch9Internet安全ch9Internet安全293超文本标记语言超文本标记语言(HTML)HTML是Web的描述

22、语言。设计HTML语言的目的是为了能把存放在一台电脑中的文本或图形与另一台电脑中的文本或图形方便地联系在一起，形成有机的整体。这样用户只要使用鼠标在某一文档中点击一个图标，Internet就会马上转到与此图标相关的内容上去，而这些信息可能存放在网络的另一台电脑中。拦驱余婴暑庸福虐戏相冲隅钱酚牌减品屁欲墩垢闰郎唯冀组澄轻匡挎穆暮ch9Internet安全ch9Internet安全304Web服务器和浏览器服务器和浏览器Internet上有大量的Web服务器，这些Web服务器上汇集了大量的信息。Web服务器就是管理这些信息，并与Web浏览器打交道。Web服务器处理来自Web浏览器的用户请求，将满足

23、用户要求的信息返回给客户。宁她绿活捕溜储蒋开付老楔鼠衰粕搀土角烷锐氨万辨锹酶狡岛遥粉截畏很ch9Internet安全ch9Internet安全315Web服务的基本过程服务的基本过程Web的工作也是C/S模式，分为四个基本阶段：连接、请求、响应和关闭。信息资源以网页形式存储在Web服务器中，当用户希望得到某种信息时，先与Internet沟通连接；然后用户通过Web客户端程序(浏览器)向Web服务器发出请求；Web服务器根据客户的请求给予响应，将在Web服务器中符合用户要求的某个网页发给客户端，浏览器在收到该页面后对其进行解释，最终将图文等信息呈现给客户；一次Web服务操作结束后关闭此次连接，或

24、再进行下一次的请求。吨宠束累寐付往摈焕凭侈屯每公粒搓垣颂深苏彦蚤曹憾乔蝗所蒲眼毫探诽ch9Internet安全ch9Internet安全329.2.2 Web的安全需求的安全需求Web应用的威胁：应用的威胁：Web服务在为人们带来大量信息的同时，也接受了严峻的考验，即Web应用的安全性受到了极大的威胁。Web应用面临的主要威胁有： 荷架怪和绳寐忘鲤病扭袜除撇桑帕乙潘能架住殿镶鲁向溉烩萎妥嚼肠崭占ch9Internet安全ch9Internet安全33信息泄露。信息泄露。攻击者可通过各种手段，非法访问Web服务器或浏览器，获取敏感信息；或中途截获Web服务器和浏览器之间传输的敏感信息；或由于系统

25、配置、软件等原因无意泄露敏感信息。狱热夕参袖敷画况颂虹写俐诉糯花烈递量庚哆宿寇麻吝鸡迅次碘期瞳酿锋ch9Internet安全ch9Internet安全34拒拒绝绝服服务务。攻击者可在短时间内向目标机器发送大量的正常的请求包，并使目标机器维持相应的连接；或发送需要目标机器解析的大量无用的数据包，使得目标机器的资源耗尽，根本无法响应正常的服务。 系系统统崩崩溃溃。攻击者可通过Web篡改、毁坏信息，甚至篡改、删除关键性文件、格式化磁盘等使得Web服务器或浏览器崩溃。扛话甭束桃二肋找肇翘迄妨拧崔叮例匝瘁戴聚次铝水衬记浪扎忌铲龋哈厢ch9Internet安全ch9Internet安全35Web服务器的安

26、全需求服务器的安全需求维护公布信息的真实性和完整性。维护Web服务的安全可用。保护Web访问者的隐私。保护Web服务器不被攻击者作为“跳板”。 哼蛙苔蹄回脖嘘碰贵拥钩垒逆呜害雕罗倦彪指粳盅龙娱愁虞正猫邯袋猾路ch9Internet安全ch9Internet安全36Web服务器的安全防护措施：服务器的安全防护措施：限制在Web服务器开账户；对已开的账户的口令长度及定期更改方面作出要求，防止被盗用；尽量与FTP服务器、E-mail服务器等分开，去掉无关的应用；螟怒艾皑蹿饯撩秧款甲壬女劳侨汐固坯坏贪练琅腆裳愉壹定促鹰颗驮咆件ch9Internet安全ch9Internet安全37在Web服务器上将那

27、些绝对不用的系统删除掉；定期查看服务器中的日志logs文件，分析一切可疑事件。设置好Web服务器上系统文件的权限和属性，对允许访问的文档分配一个公用的组，并只分配它“只读”权限。 框醚驰吹困兜剔聂求莆债均倍锌馏填充描蹦煞氟摔拎芥羽洲鳖卜脑抿详弦ch9Internet安全ch9Internet安全38Web浏览器的安全要求：浏览器的安全要求：使用Web浏览器的客户可能随时遇到安全问题。因此，一般对Web浏览器也有如下安全要求：确保运行浏览器的系统不被病毒或其它恶意程序侵害而被破坏。确保客户个人安全信息不外泄。确保交互的站点的真实性，以免被欺骗，遭受损失。究叠剁页箍积戮寐莹霖豫瞎矢雇予燎动爽帕乾族

28、楞脓纬箔揍匠冉膨仅哪嘉ch9Internet安全ch9Internet安全39Web传传输输的的安安全全要要求求：在Internet上Web服务器和Web浏览器之间的信息交换是通过数据包在Internet中传输实现的。这些传输过程的安全要求是很重要的。因为Web数据的传输过程直接影响着Web应用的安全。不同的Web应用对安全传输有不同的要求有：保证传输信息的真实性、完整性、保密性和不可否认性、不可重用性。 芋锌擅性目钱嫂妥忙黎箱除琶青斑融馒休菏漆忌浮峭噬电了终税蓄虾萎硼ch9Internet安全ch9Internet安全40Web安全：安全：如果用户和公司要通过Web进行一些商业交易，交易中出

29、现的安全问题可能有：诈骗。诈骗。建立网站是一件很容易且花钱不多的事，有人甚至直接拷贝别人的页面。因此伪装一个商业机构非常简单，然后它就可以让访问者填一份详细的注册资料，还假装保证个人隐私，而实际上就是为了获得访问者的隐私。调查显示，邮件地址和信用卡号的泄漏大多是这样的。烃算憨激逆谅魔喀贪鸥拱甚罐焉驶园幽毁消顶僚盏蠢叔龄瀑冉扔疥论刽康ch9Internet安全ch9Internet安全41泄漏。泄漏。当交易的信息在Internet上明码传播时，窃听者可以很容易地截取并提取其中的敏感信息。篡改。篡改。攻击者截取了信息后还可以将其中某些域的值替换成自己所需要的信息，如姓名、信用卡号、金额，以达到自己

30、的目的。攻击。攻击。主要是对Web服务器的攻击，例如著名的DDoS。攻击的发起者可以是心怀恶意的个人，也可以是同行的竞争者。押铆详烘跋叙干硝撰佐探谱舞孩糜杏板匡矣洲令谦描荐子涩由靡条劲墓雇ch9Internet安全ch9Internet安全4293 黑客与网络攻击黑客与网络攻击9.3.1 黑客与入侵者黑客与入侵者黑客黑客原意为电脑程序设计爱好者，他们对于计算机操作系统的奥秘有强烈兴趣。黑客大都是程序员，具有操作系统和编程语言方面的高级知识，了解系统的漏洞及其原因所在，他们不断对这些漏洞进行研究，并公开他们的发现，与其它人分享，原本并没有破坏数据的企图。脸摊犁邮暂椰辊钢瑶纳缎酝痘坯她指输卜瑰究丈

31、徒茨崖佑唇牵铲桓赚跟硒ch9Internet安全ch9Internet安全43黑客在微观的层次上考察系统，发现软件漏洞和逻辑缺陷，然后编程去检查软件的完整性。黑客出于改进的愿望，编写程序去检查远程机器的安全体系，这种分析过程是创造和提高的过程。 蚕颤醉噎色镇锥淳止骋浓拨拓努琉玉雀渐撼耍秸宽顺卞陶烷厚育痢骨芥遂ch9Internet安全ch9Internet安全44入入侵侵者者是指怀着不良企图，闯入远程计算机系统甚至破坏远程计算机系统可靠性的人。入侵者利用获得的非法访问权，破坏重要数据，拒绝合法用户的服务请求，或为了自己的目的故意制造麻烦。床掺乒溃果晶灭善真炬塞滁丰杀焕开剃寡渤靴澳根歉执坏承嗓伯

32、唱蓑啥汪ch9Internet安全ch9Internet安全45入侵者的行为是恶意的，他们的技术水平可能很高，也可能是个初学者。有些人既是黑客，又是入侵者。现在，在大多数人眼里，黑黑客客就就是是入入侵侵者者。就是利用通信软件通过网络非法进入他人系统，截获或篡改计算机数据，危害信息安全的电脑入侵者。俯规驭茶僻洱烁坑澎莉传氰玖裙只速易秦纸休柠覆缩徊肉矣筋双猛菊码匣ch9Internet安全ch9Internet安全46黑客们可通过猜测程序对截获的用户账号和口令进行破译，以便进入系统后做更进一步的操作；或利用服务器对外提供某些服务进程的漏洞，以获取信息、进入系统；恐船孰歉族井郧惩睬珊怜唬游次崭蜂恩蝎

33、媳蓬蹿胖略辅旷膜狄叶哗贡霜兼ch9Internet安全ch9Internet安全47或利用网络和系统本身存在的错误导致的薄弱和安全漏洞，以获取进一步的有用信息；或通过系统应用程序漏洞获取口令，侵入系统，或绕过防火墙进入内部网。鸟罚龙赘绳谤乔娟懂弄碘蛛土蹿被速窗磅巧缕种登立痞愉淑渝绊悠吉遗嘎ch9Internet安全ch9Internet安全489.3.2 黑客攻击的类型黑客攻击的类型任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。对网络攻击有两种定义：一是指攻击仅仅发生在入侵行为完成，且入侵者已在目标网络中；二是指可能使一个网络受到破坏的所有行为。黑客进行的网络攻击通常可归纳为四大

34、类型：拒绝服务型攻击、利用型攻击、信息收集型攻击和虚假信息型攻击。 甩需记蒙为维嘲千黍豪娃智商吕诉蠕苦冕植谴沾馋蜡恼益繁醉模称凋寨酮ch9Internet安全ch9Internet安全491. 拒绝服务型攻击拒绝服务型攻击 拒绝服务(DoS)攻击是攻击者通过各种手段来消耗网络带宽或服务器的系统资源，最终导致被攻击服务器资源耗尽或系统崩溃而无法提供正常的网络服务。这种攻击对服务器来说，可能并没有造成损害，但可以使人们对被攻击服务器所提供服务的信任度下降，影响公司声誉以及用户对网络的使用。 模腿术澄户酪颧巴挣满萌逃短亲蹭宏满滥廓欲摄峪咙粒哭预岁权汲旱佳林ch9Internet安全ch9Intern

35、et安全50DoS攻击主要是攻击者利用TCP/IP协议本身的漏洞或网络中各个操作系统IP协议的漏洞实现的。攻击者通过发送大量无效的请求数据包造成服务器进程无法短期释放，大量积累耗尽系统资源，使得服务器无法对正常请求进行响应，造成服务器瘫痪。这种攻击主要是用来攻击域名服务器、路由器以及其它网络操作服务，攻击之后造成被攻击者无法正常工作和提供服务。 熊草售诧靶奸烹吵弊菲系斥娇驳燕虱豢淀贞鹃签北埋蒲处峰激献怕祭起拙ch9Internet安全ch9Internet安全51DoS攻击会降低系统资源的可用性，这些资源可以是CPU时间、磁盘空间、打印机，甚至是系统管理员时间，结果往往是被攻击目标的效率大大降

36、低，甚至不能提供相应的服务。由于DoS攻击工具的技术要求不高，效果却比较明显，因此成为当今网络中被黑客广为使用的一种十分流行的攻击手段。寻么驶焊溉香拂竿握搓螟懈耪褐拢哥斥浇玖绎哮孽龚扣碉掐痛仰痉湿扳喜ch9Internet安全ch9Internet安全52TCP是一个面向连接的协议，在网络中广泛应用。因此，黑客也会利用TCP协议自身的漏洞进行攻击，影响网络中运行的绝大多数服务器。DoS攻击以其操作性和实效性成为黑客常利用的攻击形式。从黑客的攻击目标看，DoS攻击主要有以下几种类型：弗认泅瓷斯滓瘤疤掇凛碌棒讶汁髓血犊瞬卖钡汰晃讣檬勾樟寒妄卞杀铸矽ch9Internet安全ch9Internet安

37、全53带带宽宽耗耗用用型型DoS攻攻击击：是一种最阴险的攻击，它的目的就是消耗掉网络的所有可用带宽。 资资源源耗耗竭竭型型DoS攻攻击击：与带宽耗用型攻击的差异在于，它集中于系统资源而不是网络带宽的消耗。一般来说，这种攻击涉及诸如CPU利用率、内存、文件系统和系统进程总数等系统资源的消耗。刘廓割昂纱钥找收招酝形癣倾跺柜烘柯簿幽骨愤苔蛊惭波顾郴爹才男屎遍ch9Internet安全ch9Internet安全54编编程程缺缺陷陷DoS攻攻击击：是利用应用程序、操作系统等在处理异常情况时的逻辑错误而实施的DoS攻击。攻击者通常向目标系统发送精心设计的畸形分组来试图导致服务的失效和系统崩溃。 毡罩侣嗽幌

38、化伍铣瘦税褥湿公瓜义网生处挛扁泪纷包芳染眩球懂酿矫床苏ch9Internet安全ch9Internet安全55基基于于路路由由的的DoS攻攻击击：攻击者操纵路由表项以拒绝向合法系统或网络提供服务。 基基于于DNS的的DoS攻攻击击：与基于路由的DoS攻击类似。大多数DNS攻击涉及欺骗受害者的域名服务器，高速缓存虚假的地址信息。这样，当用户请求某DNS服务器执行查找请求时，攻击者就达到了把它们重定向到自己喜欢的站点上的效果 烙浴核险舰撞诲收连谣谷则臻摄谨耸尚分夹都惑泻段匣程害糊她圈蚕些溉ch9Internet安全ch9Internet安全562. 利用型攻击利用型攻击 利用型攻击是一类试图直接对

39、用户机器进行控制的攻击。最常见的利用型攻击有三种：口令猜测 特洛伊木马 缓冲区溢出 瘟捻叔桶驱硒扫锤怔釉毅介消炮掂堑佰修旅闰凄临炊娜桐怜画衰版般翻摈ch9Internet安全ch9Internet安全573. 信息收集型攻击信息收集型攻击 信息收集型攻击是被用来为进一步入侵系统提供有用的信息。这类攻击主要包括扫描技术和利用信息服务技术等，其具体实现为：地址扫描(运用ping程序探测目标地址)端口扫描 DNS域转换Finger服务 接砰农壶肿蚊禽趟桌婶售愤械指拎么是折铡妄防赤箍葵桔盟吕毋爵挚怠眉ch9Internet安全ch9Internet安全584. 虚假信息型攻击虚假信息型攻击虚假信息型攻

40、击用于攻击目标配置不正确的消息，主要包括高速缓存污染和伪造电子邮件攻击。 丛滩泰宁绒司判老瑶灶叮慰啥害采巡鸯漆瘸焊葱鸯伤否滤卯催穿夏磐阉毡ch9Internet安全ch9Internet安全599.3.3 黑客攻击的目的、手段和工具黑客攻击的目的、手段和工具黑客攻击网络系统的目的通常有以下几种：对系统的非法访问获取所需信息篡改、删除或暴露数据资料获取超级用户权限利用系统资源，对其他目标进行攻击拒绝服务贾郸弊桐翠邱辖茹篱钱颤釜仇布邹僚恒赞顺掠特胡贞会穗挟础靠兢撞潘慈ch9Internet安全ch9Internet安全60黑客进行网络攻击总要使用一定的手段，我们来了解和研究一下黑客的攻击手段。获获

41、取取口口令令：黑客获取口令通常有三种方法：一是通过网络监听，非法得到用户口令；二是在知道用户的账号后利用一些专门软件强行破解用户口令；三是在获得一个服务器上的用户口令文件后，用暴力破解程序破解用户口令。 徊迁历钡讥镣坦督泼炔医汗阶架腹昂嘛绥反诲呜穴酋泉余砂养泣岳皖逝挨ch9Internet安全ch9Internet安全61放放置置木木马马程程序序：木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏程序，诱使用户打开带有木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，木马就会留在计算机中，并在计算机系统中隐藏一个可以在Windows启动

42、时悄悄执行的程序。当用户连接到Internet时，这个程序就会通知黑客，报告用户的IP地址以及预先设定的端口。悲尊乔绰臭阑鲁噬执斡瑞劣汇疡滤趁庆鄙凿奶萍铲暮腻士宜商莱烫润聘榆ch9Internet安全ch9Internet安全62电电子子邮邮件件攻攻击击：主要表现为两种方式：一是电子邮件轰炸，也就是通常所说的邮件炸弹(指用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的邮件)；二是电子邮件欺骗，攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同)给用户发送邮件，要求用户修改口令，或在看似正常的附件中加载病毒或其他木马程序。啸宿陡母思掷挝薄帆翻芹同匡淌摧泳渴

43、邓邱魄汹卫猫炼临颂茶辈颊嚎浓丹ch9Internet安全ch9Internet安全63利利用用一一个个节节点点攻攻击击其其他他节节点点：黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少被黑客使用 擂湛咀览抨烬仪山劳靶稚很历担欠义缅震氮玉妨院力减扎鸳槽雏拷涨僚途ch9Internet安全ch9Internet安全64网网络络监监听听：是主机的一种工作模式，主机可以接收到本网段在同一条物理

44、通道上传输的所有信息，而不管这些信息的发送方和接收方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXray、Sniffit等就可以轻而易举地截取包括口令和账号在内的信息资料。虽然网络监听获得的用户账号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户的账号及口令。 再沫秒督前劫毗噶雀窜柬蜀甥吗锻岭荣绢撇拉馅卖煌疗匙媳华砖辙醚骄淡ch9Internet安全ch9Internet安全65利利用用账账号号进进行行攻攻击击：有些黑客会利用操作系统提供的缺省账号和密码进行攻击，例如许多Unix主机都有FTP和Guest等缺省账户(其密码和账户名同名)，

45、有的甚至没有口令。黑客用Unix操作系统提供的命令收集信息，不断提高自己的攻击能力。只要系统管理员提高警惕，将系统提供的缺省账户关掉或提醒无口令用户增加口令，一般这类攻击都能克服。陀左赡鲜悬雁疥瓢摩呜烁男裙吁琐形昧惰醚毋狭揪杭委忱赘圃料毕悸敏枉ch9Internet安全ch9Internet安全66获获取取超超级级用用户户权权限限：黑客可利用各种木马程序或自己编写的导致缓冲区溢出的程序对系统进行攻击。这样可使黑客非法获得对用户机器的完全控制权，或可使黑客获得超级用户的权限。这样，黑客就可以隐藏自己的行踪，在系统中留下一个便利的“后门”，从而可以修改资源配置，拥有对整个网络的绝对控制权。这种攻击

46、手段，一旦奏效，危害性极大。 睹哈伸恕护侠硬咕腻新杂曾愚烃非铬鞘鄂茶偶数盅瞳瑞耿诣撑败良袋册恤ch9Internet安全ch9Internet安全67黑黑客客常常用用的的攻攻击击工工具具：黑客通常使用的工具有扫描器、嗅探器、破解器、木马和炸弹等。扫扫描描器器：扫描器是检测本地或远程系统安全脆弱性的软件。扫描器有IP跟踪类、IP扫描类、端口扫描类和漏洞扫描类。每类扫描器都有多种扫描程序，好多都可在网上免费得到。 氧退绷圭秆眺破冯搀捅扑汛裂麻收耕定笋警絮潍普栓播淳猿蛰侥惨把油齿ch9Internet安全ch9Internet安全68嗅嗅探探器器：是一种常用的收集有用数据的工具，它收集的数据可以是用

47、户的账号和密码，或是一些商业性机密数据。黑客使用嗅探器可暗中监视用户的网络状况并获取用户账户、信用卡号码及私人信息等机密性数据。常用的嗅探器有Sniffit、Snoop等。 绘瓮汤栗拆朗庸牧燎世桑坝涂橡导盎镑胡截疥裕氮辊渺班参戌昂痰湍抛伍ch9Internet安全ch9Internet安全69木木马马工工具具：著名的木马工具软件，如冰河木马、BO2000、NetSpy、广外女生等，功能都很强大，被黑客广泛利用。炸炸弹弹工工具具：被黑客常用的炸弹工具有邮件类炸弹、IP类炸弹和ICQ类炸弹等。 熏咙子梆搀邻喻拣腰阉敢鹿浴斧饮箍孤邯滦惺识历计眷贼胖涂凭拾昌锦砖ch9Internet安全ch9Inte

48、rnet安全709.3.4 黑客的攻击及防范措施黑客的攻击及防范措施1. 网络攻击的过程网络攻击的过程网络攻击是一个系统性很强的工作，其主要过程有：确定攻击目的，收集信息，远程登录，扫描和检测漏洞，进行模拟攻击，留下后门和清除日志等。 撕严柄碧独悯趟尝谅镑脏芍跪碟而党片来灶窑疟终召泄辛前箍疲珊罕雪欢ch9Internet安全ch9Internet安全71确确定定攻攻击击目目的的：攻击者在进行一次完整的攻击之前，首先要确定攻击要达到的目的，即要给对方造成什么伤害。常见的攻击目的有“破坏”和“入侵”两种。破坏攻击只是破坏攻击目标，使其不能正常工作，而不随意控制目标的系统运行。要达到破坏性攻击的目的

49、，主要的手段是拒绝服务(DoS)攻击。 附甲濒弛谬挎台绍豺殿钧址婆禽柒干渔据欢各蝴烁诊荚绍代痔曳建稗妓搽ch9Internet安全ch9Internet安全72另一类常见的攻击目的是入侵攻击目标，这种攻击是以获得一定的权限、控制攻击目标为目的。入侵型攻击比破坏型攻击更为普遍，威胁也更大。因为黑客一旦获得目标的管理员权限，就可以对服务器做任何操作，包括破坏性攻击。该类攻击一般也是利用服务器操作系统、应用软件或网络协议存在的漏洞进行的。嘻腰听绢实婆讳煎玻镑乒萌椰汲刚褥怎曼卓演唤绘游舟渭腔镰秆萌促睡泉ch9Internet安全ch9Internet安全73信信息息收收集集：黑客收集信息的目的是为了进

50、入所要攻击的目标网络的数据库。黑客会利用下列的公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息：僳烈悬将刹面乌娟帘碑肄瘦森正偷待遂认跃坯浮是趴夺哟摔遮玻朱俞甭壳ch9Internet安全ch9Internet安全74SNMP协协议议：用来查阅网络系统路由器的路由表，从而了解目标主机所在网络的拓扑结构及其内部细节。TraceRoute程程序序：用该程序获得到达目标主机所要经过的网络数和路由器数。戚坐塞梭宇俄茹评虎长童禽仓嗅章耽混钻频萌杠犊兢茸捧舆盎着怖预怠找ch9Internet安全ch9Internet安全75Whois协协议议：该协议的服务信息能提供所有有关的DNS域和相关的管理

51、参数。DNS服服务务器器：该服务器提供系统中可以访问的主机的IP地址表及其对应的主机名。记亚克风虱抵普姐韦途萨棠冻俺疵浦疥长动嗜碰宠鞘嚎必巾述湍烫撼窿冉ch9Internet安全ch9Internet安全76Finger协协议议：用来获取一个指定主机上的所有用户的详细信息。Ping程程序序：可以用来确定一个指定主机的位置。自自动动Wardialing软软件件：可以向目标站点一次连续拨出大批电话号码，直到遇到某一正确的号码使其MODEM响应。崭岿连竭狭竞兔诈富庸埂减取彝犊伯雕昨舱琅斟峨兢族眯追赘赠障绞候耐ch9Internet安全ch9Internet安全77系系统统安安全全弱弱点点的的探探测测

52、：在收集到攻击目标的一批系统信息之后，黑客会探测网络上的每台主机，以寻求该系统的安全漏洞或弱点，黑客可能使用下列方式自动扫描驻留在网络上的主机。水澎替桅胚勋追护辗顶峦啊凶味际怀塑傻念谊碉蠢留漓搀出阳驳笛篆仔为ch9Internet安全ch9Internet安全78自自编编程程序序。黑客发现 “补丁”程序的接口后会自己编写程序，通过该接口进入目标系统。利利用用公公开开的的工工具具。利用象ISS(网络安全扫描程序)和SATAN这些工具可以对整个网络或子网进行扫描，寻找安全漏洞。收集目标系统信息，获取攻击目标系统的非法访问权。 枯烂圈默磕攒洁气耳度久届巧楚彦胸玻枕楼贰钧磐稚姨支郑纠廷慧喜紫惠ch9I

53、nternet安全ch9Internet安全79建建立立模模拟拟环环境境进进行行模模拟拟攻攻击击：黑客根据前几步所获得的信息，建立一个类似攻击对象的模拟环境，然后对模拟目标机进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具对攻击的反应等，可以了解攻击过程中留下的“痕迹”及被攻击方的状态，这样攻击者就知道需要删除哪些文件来毁灭其入侵证据，以此又可制定一个系统的、周密的攻击策略。抢瓶顽芦伟才洋询欺遍伍稿圾娘骸憋唆榆以痛邱撼宦非宪陕醚屿搭膘管诣ch9Internet安全ch9Internet安全80实实施施网网络络攻攻击击：入侵者根据前几步所获得的信息，同时结合自身的水平及经验总结出

54、相应的攻击方法，在进行模拟攻击的实践后，将等待时机，以备实施真正的网络攻击。 黑客在获得对目标系统的访问权后，可进行如下攻击选择：俐媳染控浅吊晦骚再遇诽芽痈宴词渭端搅疙锚墙啪泳低舟蝎缝冰邓荒螺卯ch9Internet安全ch9Internet安全81试图毁掉攻击入侵的痕迹，并在受到损害的系统上建立另外新的安全漏洞或后门，以便在先前的攻击点被发现之后，继续访问这个系统；在目标系统中安装探测器软件，用来窥探系统的活动，收集感兴趣的一切信息，如Telnet和FTP的账号名和口令等；刀铁撞弧语鄂模瞒潍避距桨专膜镍蛀跋播傻镭桔罗烬花精爆堑刻釉瞩烁名ch9Internet安全ch9Internet安全82

55、进一步发现受损系统在网络中的信任等级，这样黑客就可以通过该系统信任级展开对整个系统的攻击；通过猜测程序可对截获的用户账号和口令进行破译；利用破译程序可对截获的系统密码文件进行破译；掖英着挥怂荤糕选惺势羽娟簇丢阂元聪檄澈贷蜒廉哲共帖撤仟并勋耘贡喊ch9Internet安全ch9Internet安全83通过得到的用户口令和系统密码远程登录网络，以此获得用户的工作权限；利用本地漏洞获取管理员权限；利用网络和系统本身的薄弱环节和安全漏洞实施电子引诱等；情门估玩该珊宙拍夺丽至娟塌谜沟脂顺但白旧起钵鸣歧渝漫外蹈棱碳也凝ch9Internet安全ch9Internet安全84修改网页进行恶作剧，或破坏系统程

56、序，或放置病毒使系统陷入瘫痪，或窃取政治、军事、商业秘密，或进行电子邮件骚扰，或转移资金账户，窃取金钱等。如果黑客在某系统上获得特许访问权，那么他就可以读取邮件、搜索和盗窃私人文件、毁坏数据，从而破坏整个系统的信息，造成严重后果。 垦氰侨咀件粳杭绘挎氏吸魁掺探舀敲僵庶眷低倔随健转利荧蘑干促算抬潭ch9Internet安全ch9Internet安全852. DoS的的攻击及防范攻击及防范具体的DoS攻击方式有SYN Flood(SYN洪泛)攻击、IP碎片攻击、Smurf攻击、死亡之ping攻击、泪滴(teardrop)攻击、 UDP Flood(UDP洪泛)攻击、 Land攻击、Fraggle攻

57、击、电子邮件炸弹等。 邢缅斟臆娃踢儿顺鼻秦这潮宋痈申擂凄桩炙藻邱朗炙责寺寥伊躬澜菜眼柞ch9Internet安全ch9Internet安全86在DoS攻击中，攻击者加载过多的服务将对方资源全部使用，使得没有多余资源供其他用户使用。SYN Flood攻击是典型的DoS攻击。SYN Flood常常是源IP地址欺骗攻击的前奏，又称“半连接”式攻击。每当我们进行一次标准的TCP连接就会有一个三次握手的过程。 功葱沼纲抿皑惠付匹萍尽系刘瓦客愈姨铬角援碉政桨需愁与测嵌后拨姓发ch9Internet安全ch9Internet安全87对于DoS攻击，可采取的一些具体措施可有：对于信息淹没攻击，应关掉可能产生无

58、限序列的服务来防止这种攻击。建议在该网段的路由器上做些配置的调整，这些调整包括限制SYN半开数据包的流量和个数。枝革辆影等兑踌庸滁侵仟颖引商金街肾昂铸介珍奢浓邓阻诸棕莉叮质是薪ch9Internet安全ch9Internet安全88可在路由器的前端做必要的TCP拦截，使得只有完成TCP三次握手过程的数据包才可进入该网段，这样可以有效地保护本网段内的服务器不受此类攻击。迁炭坑蔑椽远援难袍林龋耽港朗怖隅沥奢药献距曾诚绿荣擞股子肘撮郸详ch9Internet安全ch9Internet安全89对于正在实施的DoS攻击，只有追根溯源去找到正在进行攻击的机器和攻击者。要追踪攻击者不是一件容易的事情，一旦其

59、停止了攻击行为，很难将其发现。唯一可行的方法就是在其进行攻击的时候，根据路由器的信息和攻击数据包的特征，采用逐级回溯的方法来查找其攻击源头。 副象尿伤羊给创浙儿阉陕蘑抱吮症陆赢迢套宙址棠抚络纹遣估叼疏焉诽庙ch9Internet安全ch9Internet安全90发SYN序号，向B请求连接接收SYN，发回SYN序号和ACK接收SYN和ACK发送ACK实体A实体B接收ACK图图9.2 TCP建立连接的三次握手建立连接的三次握手碟谢麻湃耙增郧琶篱鞋帛纹网箭器掺游葡啃郎芋朔鬼锁袖时领裹啡庞略药ch9Internet安全ch9Internet安全913. 分布式拒绝服务分布式拒绝服务(DDoS)攻击及防

60、范攻击及防范 DDoS攻击就是在传统的DoS攻击基础之上产生的一类攻击方式。试想如果计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不会起作用，但攻击者要使用10台、100台攻击机同时攻击呢？这就是DDoS攻击的思路，它就是利用更多的被控制机发起进攻。 藏影馅吉伸审赂申殉靡已恰茂带棒从恿弃俘誓捏繁籽丽坎韧占琳罪受拿崇ch9Internet安全ch9Internet安全92为完成DDoS攻击，黑客首先需要拥有和控制三种类型的计算机：攻击者计算机(黑客本人使用，黑客通过它发布实施DDoS的指令)、控制傀儡机(一般不属黑客所有，黑客在这些计算机上安装上特定的主控制软件)和攻击傀儡机。每个攻击傀

61、儡机也是一台已被入侵并运行代理程序的系统主机，每个响应攻击命令的攻击傀儡机会向被攻击目标主机发送拒绝DoS数据包)。 霜撰蒜锐弄炳角谤未骑慧琴寓旨激噎鲜悯苹贯擎诊荷棺渝蛹懈搂媚高途畔ch9Internet安全ch9Internet安全93DDoS攻击包是从攻击傀儡机上发出的，控制傀儡机只发布命令而不参与实际的攻击。黑客对这两类计算机有控制权或部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令。平时这些傀儡机并没有什么异常，只是一旦被黑客控制并接收到指令，攻击傀儡机就成为害人者去发起攻击了。 刽隔斋刻煮涸碎轿夏镭蹲加智莱持蘸匪敲沽砷角进昨垮便用

62、欲睫七砸滩科ch9Internet安全ch9Internet安全94黑客控制傀儡机攻击傀儡机攻击傀儡机攻击傀儡机攻击傀儡机受害者分布式拒绝服务攻击示意分布式拒绝服务攻击示意正径饵荷娃圭古纽班赌酥慷殆兄连帛兵注瓢痞了煞特辣瘩膜薄棠痊炊垛百ch9Internet安全ch9Internet安全95一般来说，黑客的DDoS攻击分为以下几个阶段：准备阶段占领傀儡机 植入程序实施攻击 丽丙茫渍专们尸淆蛆乐拦痴绑国陀莆昔纸毙烘馈府唁氛竹逊馋刊盐仲膝沂ch9Internet安全ch9Internet安全96DDoS攻击的防范：对DDoS攻击的防御还是比较困难的，因为它利用了TCP/IP协议的漏洞。但实际上防止

63、DDoS并不是绝对不可行的事情。必须在以下几个方面防范DDoS：摹疏断蜘肃度铲图酸尊丝琉庙迷妻置惰阮采劳枣婆吸臭芜摘阐统琼豪捌泞ch9Internet安全ch9Internet安全97主机上的防范主机上的防范使使用用网网络络和和主主机机扫扫描描工工具具检检测测脆脆弱弱性性：安全扫描工具能够检测并删除主机上被黑客安装的进行DDoS攻击的软件 及及时时更更新新系系统统补补丁丁：操作系统都有很多漏洞，很容易让黑客找到后门，及时下载和更新系统补丁也是抵御黑客攻击的重要一点。 屉夯减垢谎做违骋特硝婉疾吧垢锭孪赣竖添丘拎杏蛛烈替壬溶或猫呼庶炒ch9Internet安全ch9Internet安全98采采用用

64、NIDS和和嗅嗅探探器器：当系统收到未知地址的可疑信息流时，NIDS(网络入侵检测系统)会发出报警信号，提醒系统管理员及时采取应对措施，如切断连接或反向跟踪等。嗅探器(sniffer)可用来在网络级识别网络攻击行为并成为NIDS原始检测信息的来源。 蚕投凯婿谤楼遍付颁湃拢又轨论裴诽融梦背地糟肋贩唁窑峪赁危缺自食究ch9Internet安全ch9Internet安全99网网络络上上的的防防范范：在网络上主要考虑防火墙与路由器的设置，因为两者是与外界的接口。防火防火墙墙可采用的方法：可采用的方法：禁止对主机的非开放服务的访问。限制同时打开的SYN最大连接数。限制特定IP地址的访问。严格限制开放的服

65、务器对外访问等设置。 伴酪即乖架叔有橡毙掣筑晃乔富易貉寐媚若仓艇褥冯峭啼辛沽玻闽睁谤随ch9Internet安全ch9Internet安全100路由器是网络的核心设备，在路由器上采取防范措施是抵御DDoS的关键，这里以Cisco为例分析阻止攻击的方法：检查每一个经过路由器的数据包。设置SYN数据包流量速率。在边界路由器上部署策略。使用CAR限制ICMP数据包流量速率。用ACL过滤RFC 1918中列出的所有地址。 井乖扒巩卵聂课浑绣飘削划惶逾债旗框隶钮陆棉愉寻绳券澈坑质要拐囊妇ch9Internet安全ch9Internet安全101DDoS攻击凭借着它的隐蔽性、破坏性、广域性给Interne

66、t带来了很大的伤害。对付DDoS的方法一直在研究中，但目前网络管理员至少可以做到把自己的网络与主机维护好，首先让自己的主机不成为别人利用的对象去攻击别人；其次在受到攻击的时候，要尽量保存证据，以便事后追查。帚囊补归缓尸敝辑恤畴布鲤轧肥絮销伦维诗章跃转宇澜汐蛙燎惯晦圈踌帜ch9Internet安全ch9Internet安全1024. 缓冲区溢出攻击及防范缓冲区溢出攻击及防范 缓冲区溢出是指通过向程序的缓冲区写入超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他的指令，以达到攻击的目的。缓冲区溢出攻击是一种常见且危害很大的系统攻击手段，这种攻击可以使得一个匿名的Intern

67、et用户有机会获得一台主机的部分或全部的控制权。 免仕喜裸斟隅痪吱求梳懂膜姜选聂猾桔炔儿泌桑算判军艘鲁痘咐奋粹教弗ch9Internet安全ch9Internet安全103缓冲区溢出攻击使任何人都有可能取得主机的控制权，所以它代表了一类极其严重的安全威胁。它是最为常见的一种攻击形式，占据远程网络攻击的绝大多数。有资料显示，80%的攻击事件与缓冲区溢出漏洞有关。目前公开的安全漏洞也有相当一部分属于缓冲区溢出漏洞。 麻苦碎蛰郡杯蚂念腕键哩支阑耙徐罕休鸿粹圾琼蝎龚幽醇痔抖让欣呵纹炎ch9Internet安全ch9Internet安全104缓冲区溢出攻击的工作原理：向一个有限空间的缓冲区中拷贝过长的字

68、符串，这将带来两种后果：一是过长的字符串覆盖了相邻的存储单元而造成程序瘫痪，甚至造成宕机、系统或进程重启等；二是可让攻击者运行恶意代码，执行任意指令，甚至获得超级权限等。 悟碱沛踏桥扣吼芽累酪鸯白棒珠硫冻椎铰桅涯气议摇贷铭爱谆忘焰修销儒ch9Internet安全ch9Internet安全105缓冲区溢出攻击的目的在于扰乱具有某些特权运行的程序功能，使攻击者取得程序的控制权，如果该程序具有足够的权限，那么整个主机就被控制了。为了达到这个目的，攻击者必须达到如下两个目标：一是在程序的地址空间里安排适当的代码；二是通过适当地初始化寄存器和存储器，让程序跳转到事先安排的地址去执行。 副嗓耐屏希嘱崭廷淆

69、煌尧羔妹蘑罕芹疆培晶拢窟钧斤必瓣异尸哟柱女衷迟ch9Internet安全ch9Internet安全106攻击者可通过在程序的地址空间里安排适当的代码、控制程序转移到攻击代码 和综合代码植入和流程控制技术实现缓冲区溢出攻击。在一个缓冲区内放置代码不能溢出缓冲区，但攻击者通过溢出另外一个缓冲区来转移程序的指针，利用另一个缓冲区溢出使程序指针指向特定的代码段 寥肺脚冒坝锋邦叹添髓只娜互烟帆鳃肯瘪者庙屡今尽但原凋沿暖雨坊疲遵ch9Internet安全ch9Internet安全107缓冲区溢出是当今流行的一种网络攻击方法，它易于实现且危害严重，给系统的安全带来了极大的隐患。防火墙对这种攻击方式无能为力，

70、因为攻击者传输的数据分组并无异常特征，没有任何欺骗。另外可以用来实施缓冲区溢出攻击的字符串非常多样化，无法与正常数据有效进行区分。缓冲区溢出攻击不是一种窃密和欺骗的手段，而是从计算机系统的最底层发起攻击，因此在它的攻击下系统的身份验证和访问权限等安全策略形同虚设。 量请胎射殴巢矢竭槛巴缄执毫躺沤拆晴蘑焊愈弹呵贬配润肖炮晦灸琶降范ch9Internet安全ch9Internet安全108可以采用以下几种基本的方法保护缓冲区免受溢出攻击：编写正确的代码非执行缓冲区保护数组边界检查程序指针完整性检查 犯撒涂困宝蒋脑蹲玄休茫键埋审桃洒证戈耻缀络拔寒殿跟屏吭桶折硫艘拘ch9Internet安全ch9In

71、ternet安全1099.3.5 系统被入侵后的恢复系统被入侵后的恢复“被入侵”指网络遭受到非法闯入。这种情况分为不同的程度：入侵者只获得访问权；入侵者获得访问权，并毁坏、侵袭或改变数据；牺氯绘缝蛆溺榷竣昼涡泄谤宜域钢藻僵圆先连穴拘盯烂消洒榴南淄起铱恰ch9Internet安全ch9Internet安全110入侵者获得访问权，并获得对部分系统或整个系统控制权，拒绝拥有特权用户的访问；入侵者没有获得访问权，而是用不良程序，引起网络运行失败、重新启动或其它非法操作。 疟射遭杂姐颇蓝盐近拷拎蘑篱稽句剔购乳耙虎闭泽赔琴蝗埠宵万授画砾钝ch9Internet安全ch9Internet安全1111. 发现

72、黑客发现黑客可以用一些工具跟踪和发现破坏站点安全性的黑客。如Unix平台的一些系统命令可以定时检查系统文件或程序是否被修 改 ， 但 不 能 阻 止 黑 客 入 侵 。 在Windows NT平台上可对可疑行为进行快速检查，检查访问及错误登录文件。 遵诞骚庙嗣候诬洛丰所适夜沛磁汞全炕榆扑执辗巧舔常抵咒狗终彬弱蜘朴ch9Internet安全ch9Internet安全1122. 应急操作应急操作面对黑客的攻击，先要考虑这会对站点和用户产生什么影响，采取应急补救措施；再考虑如何阻止黑客的再次入侵。万一出现黑客入侵情况，应按如下步骤进行：寒雾吸护轩过荧躁甥觉新拌添护榴产铰锚萧衣实出事职聊匣楚絮叠代烁曲

73、ch9Internet安全ch9Internet安全113分析情况和破坏程度：如果黑客闯入站点，要设法保护用户、文件和系统资源；切断连接：了解情况后，要切断连接，关闭服务器，或关闭系统，或停止有影响的服务(FTP、Gopher、Telnet等)，甚至可能需要关闭Internet网连接；萎梦物跺滔灼疑胚扫惯隔耶祭氢穴柜圣手抠航蓝扮褂僳靳呼仰津涣度禾虞ch9Internet安全ch9Internet安全114使用专用手段或工具检查系统中是否有sniffer正在运行。在对系统进行恢复过程中，系统处于单用户或本地管理模式，会阻止其他用户、入侵者和入侵进程对系统的访问，也不允许切换主机的运行状态。如果在

74、恢复过程中，系统没有断开与网络的连接，入侵者可能再次连接到用户主机，破坏正在进行的恢复工作。 侵鸽戮炮揪香样箱锗队辨允便姐蕴钟魂罚柑义蹭谅矗盆擞洪雪吼赎丸钻迢ch9Internet安全ch9Internet安全115复制被入侵系统的拷贝。在进行入侵分析之前，用户应备份被入侵的系统，以便以后使用。 分析问题：当系统已被入侵时，要识别出安全漏洞并将进行修补，并保证修补不会引起另一个安全漏洞；采取行动：采取紧急安全对策，修复安全漏洞和恢复系统。琉皖冀药措紧找轮茨舷奢疵琅疯墨渗涯窑蔷遁毋酌炉摆板憨妖碾兔厉穿渠ch9Internet安全ch9Internet安全1163. 恢复系统恢复系统重装安全的操作

75、系统；取消不必要的服务；安装供应商提供的补丁程序；谨慎使用备份数据；修改密码。蛹梢入扮储官哗陈熏铅查伊刨蛛霄饲涩泵淌泡郡法味去早丛捎荧两注训植ch9Internet安全ch9Internet安全1174. 加强系统与网络的安全加强系统与网络的安全根据CERT(计算机紧急响应小组)的配置指南检查系统的安全性；安装安全工具；启动日志检查程序，并将其设置到准确的级别；重新连接Internet。 镀舱嗜阻腐枉射庸孔坞延仇舀嫉臃培叠龚呈重屯逾关耽炉乓诫囤即俗磋渣ch9Internet安全ch9Internet安全1185. 预防措施预防措施注意经常定期检查登录文件，特别是那些由系统登录服务生成的内容。注

76、意不寻常的主机连接及连接次数。注意原不经常使用却突然活跃的账户。判断黑客经常光顾的时段，记录其所有的过程及网络联接。圈陷妙耳劝蹦势腔占捂獭嚼眼昔文谬契膊舷泡自员完嘱惹深隘黑趟旭焙贩ch9Internet安全ch9Internet安全11994 电子邮件安全电子邮件安全9.4.1 电子邮件的安全漏洞电子邮件的安全漏洞电子邮件服务十分脆弱，因为E-mail服务器向全球开放，它们很容易受到黑客的袭击。Web提供的阅读器也容易受到类似的侵袭。Internet像一个蜘蛛网，E-mail到达收件人之前，会经过很多机构和ISP，因此任何人，只要可以访问这些服务器，或访问E-mail经过的路径，就可以阅读这些

77、信息。E-mail上存在如下一些安全漏洞。 垄叭绚遵九贡卵钓鼓凤乎漏棺畸烛至柏隙瞎抽顽肖痞泥狠华荆姓气泛停窒ch9Internet安全ch9Internet安全1201Web信箱的漏洞信箱的漏洞Web信箱是通过浏览器访问的，部分技术水平不高的站点存在着严重的安全漏洞。比如你在公共场所(例如网吧)上网浏览了一些你的邮件，那么在你关掉当前浏览页面离开后，别人即可利用浏览器做简单操作后就可看到你刚才浏览过的邮件。如果你在该机器上注册了新的信箱，你的个人资料就会很容易地泄密。 吏扼枉待磺逞橙谋驰司球座蔚蓑岔便暇柔盂章沤宣战铆馈帆捷哉员囱狗晕ch9Internet安全ch9Internet安全1212密

78、码问题密码问题 很多人都在强调密码的重要性，然而事实上很多用户名设置的密码都是很简单的。如果要想设置一个好的密码，就要站在一个破解者的角度去思考。破解者最容易想到的就是生日、用户名、电话号码、信用卡号码、执照或证书号码等，虽然这些是我们生活中最容易记住的，但也是最容易被别人猜到的。九剃项惶死匣并蔡驮搂慎警喀襄纳椿靠怯氢截湾痢役孽摧吾橡宜爸挎痹指ch9Internet安全ch9Internet安全122保持密码安全的建议：保持密码安全的建议：不要将密码写下来，不要将密码存于终端功能键或存储器中，不要选取显而易见的信息，不要让别人知道，不要交替使用两个密码，不要在不同系统上使用同一密码，不要让人看

79、见自己在输入密码等。 淮刁浚陛蚁夹乙闹暴宗届遏栅滓裹揣羔冒冤克吕肯涨称卒辣域迪备章蔽荔ch9Internet安全ch9Internet安全1233监听问题监听问题 邮件监听可分为两种监听方式：一种是局域网内的监听。一般，使用嗅探器可对局域网内传输的数据进行监听。因为POP3协议通常都是明文传输，所以很容易就被嗅探器嗅探到你的邮箱密码。而使用浏览器进行收发邮件就显得相对安全一些。另一种监听就是来自信箱内部的监听。感藻烈鹰格锦妹奸启锐噬糜颅摹钾挪伪狭涕伦武馒您州嘿矾诈情奥杭绑疼ch9Internet安全ch9Internet安全124当用户密码被破解之后，攻击者并没有修改密码，而是把信箱设置成转发

80、邮件到攻击者的信箱；然后再在他的信箱中设置转发邮件到这个被破解密码的信箱，同时设置“保留备份”。这样攻击者就可以完全控制该信箱的流量了，因为当他想让你收邮件的时候就转发给你，不想让你收就取消转发，这种方法相当隐蔽。 色居蚀坷杜晓囱招扇伏肋区嚣良令宠箍即憋点么烂耪府钢诀挞她派弯惟岳ch9Internet安全ch9Internet安全1254缓存的危险缓存的危险 用IE浏览器在浏览网页的时候，会在硬盘上开一个临时交换空间，这叫做缓存。缓存可能成为攻击者的目标，因为有些信箱使用cookie程序(浏览器中一种用来记录访问者信息的文件)并以明文形式保存密码，同时浏览过的所有的网页都在这个缓存内，如果缓存

81、被拷贝，你的私人信息就不存在秘密了。 集悼曲碴昆躇终币敷弯颗亨洽矫谋启嘴让熊簿魄汪宗兴芥船怠给铀驼柔悍ch9Internet安全ch9Internet安全1265冒名顶替冒名顶替由于普通的电子邮件缺乏安全认证，所以冒充别人发送邮件并不是难事。曾几何时，假借某某公司发送中奖信息的电子邮件就不知道害了多少人。如果你不想让别人冒充你的名义发送邮件，你可以采用数字证书发送签名加密邮件，这种方式已经被证明是解决邮件安全问题的好办法麓斋者淘腥二擅锁阁遍彩威舍旅友蓑敌离蹄泥闭间讯灰响界市叮蔓鹿妨式ch9Internet安全ch9Internet安全1279.4.2 电子邮件欺骗电子邮件欺骗1. 匿名转发匿名

82、转发正常的情况下，发送的电子邮件都会将发送者的名字和地址包括于邮件的附加信息。但有时侯发信者希望将邮件发送出去而不希望收件者知道是谁发的。这种发送邮件的方法被称为匿名邮件。探耶拄剐韭脱担镀岿签耳杠脚兼垢冕寓仔慨囚丘拷屋允效腋沃甸车现葡韩ch9Internet安全ch9Internet安全128实现匿名发送的最简单的方法，是改变电子邮件软件里的发送者名字。但这是一种表面现象，因为通过信息表头中的其它信息，仍能跟踪发送者。使发送地址完全不出现在邮件中的唯一的方法是让其他人转发邮件，邮件中的发信地址就变成了代转发者的地址了。姚全佰备踞木契逾皿寨慷岳佣怜健僵腔菱彪辣辟缨差赋姜翅偏梯祷闺夫月ch9Int

83、ernet安全ch9Internet安全129Internet上有大量的匿名转发者，发信者将邮件发给匿名转发者，并告知该邮件希望发给谁。该匿名转发者删去所有的返回地址信息，将邮件转发给收信人，并将自己的地址作为返回地址插入邮件中。旧突虏梳妈措金沪胺蟹攒磐齐歧欺装擞疼橱童疗闺左技装消策铃雍锑撒碉ch9Internet安全ch9Internet安全130匿名转发的邮件可能是非法的、不健康的信息，也可能是一些合法的信息。匿名转发对保证邮件安全有利。隐藏发送敏感信息的发送者的信息，可使窥窃者得不到真正发信者，或不知道该信息是否有用。矽踌缔砖霓醒梨萝煤闻眩矗滁晚弗乓浩唉研道丰缕吟集熄仿舵足效贪园铀ch9

84、Internet安全ch9Internet安全1312. 垃圾邮件垃圾邮件垃圾邮件，顾名思义就是不请自来的、大量散发的、对接收者无用的邮件。垃圾邮件是未经收件者同意，即大量散发的邮件，信件内容多半以促销商品为目的。它们可能是某些有商业企图的人想利用Internet散播广告或色情的媒介。 春耿糖旋慈矾卿侗首艾冶坑亢归淆溃玄回司僚坏瑰硼丢杂睦甸腮鱼人钉樊ch9Internet安全ch9Internet安全132传送 Mail 者只需花极少的代价，即可造成收件者的重大损失。假设一个人在每星期收到几十封垃圾邮件，个人用户的损失并非立即显现，但若企业内每个人都收到此类信件时，这对企业网络环境的影响就不仅

85、仅是一件麻烦事了。这些垃圾邮件对企业无任何益处，但是SMTP服务器却得承担这些邮件的处理和转发工作。CPU、服务器硬盘空间、终端机用户硬盘空间都因此而影响了速度和空间。 鞍咀林昧盾衍辙滓串夜篓婴坷厅它阜暴兔秘世北芬整胺苔饯而索痪帆已杀ch9Internet安全ch9Internet安全133垃圾邮件除了浪费网络资源外，更令人担心的是其附件文件可能夹带病毒，这些病毒将会危害企业网络；附件网址可能附加Java或ActiveX 等恶性程序，许多木马病毒就会借此大量扩散。可以想象，如果让这些未经许可的垃圾邮件继续为所欲为，将造成企业大的损失。 蕾瑞咱惭靡讣月瓷教狠杀搏漓潮涝靡毗纯警绩钻戚膛傍哥掀湖欧南

86、连鹏带ch9Internet安全ch9Internet安全134虽然垃圾邮件可能以任何形式出现，但是还是有迹可寻，它们有以下特点： 发信者本身的邮件地址也是假冒的。当你收到各项难以置信的中奖通知、特价优惠等好消息时需要提高警觉。邮件内容的文法或错字百出。频繁使用大写字体和惊叹语词。大部分的内容为广告或电话服务。 贬熙宏舶挡薯缮浚席诌唯灰买序统弄疼牵全松粟骇藉泉雌脚帐饵蓝聊执六ch9Internet安全ch9Internet安全1353. 电子邮件欺骗电子邮件欺骗欺骗性E-mail会制造安全漏洞。E-mail欺骗行为的迹象是：E-mail假称来自系统管理员，要求用户将他们的口令改变为特定的字串，

87、并威胁如果用户不照此办理，将关闭用户的账户。烧楚崖类糜庄汛峰恒慰爷逗论绕始峦督岭哨烘综耘漫党变春莲参款糯廷氨ch9Internet安全ch9Internet安全136由于简单邮件传输协议没有验证系统，伪造E-mail十分方便。如果站点允许与SMTP端口联系，任何人都可以与该端口联系，并可以虚构的人的名义发出E-mail。逞紫吓侈立降归型蒙晋凡宝郭理厂褒慑贱败擂赏讶像冠唉途师棒螟伙缀泼ch9Internet安全ch9Internet安全1374. 电子邮件炸弹电子邮件炸弹电子邮件炸弹是指发送者以来历不明的邮件地址，重复地将电子邮件邮寄给同一个收信人。由于这就像战争中利用某种战争工具对同一个地方进

88、行的大轰炸一样，因此称为电子邮件炸弹。电子邮件炸弹是最古老的匿名攻击之一。这种以重复的信息不断地进行的电子邮件轰炸操作，可以消耗大量的网络资源。 奥蒲埋吗扳笺沮荒屉希解钾腿篓阶柿蕴廊诲弹求键图朋肾党迷笨秉悉颗纳ch9Internet安全ch9Internet安全138用户可能会想到利用电子邮件的回复和转发功能还击，将整个炸弹“回复”给发送者。但如果对方将邮件的“from”和“to”都改为用户的电子邮件地址，这就可想而知这种“回复”的后果，所还击的“炸弹”都会“反弹”回来炸着了自己。如果邮件服务器接收到大量的重复信息和“反弹”信息，邮件总容量迅速膨胀，有可能导致邮件服务器脱网，系统可能崩溃。秉絮

89、夫滁绍撂苛疑迂辽镣衣俩烤斋未掘砧幂岁询硼粗遭盗峨支滓词芦瞄庇ch9Internet安全ch9Internet安全139可采取以下方法防范电子邮件炸弹：使用Outlook或Foxmail等系统的POP3收信工具接收邮件。当邮箱被不停地攻击时，可在收件工具的过滤器中选择不再接收来自该地址的信件，而是将其直接从电子邮件服务器上删除。叶骋扩辗暂燃铡柜夺焚贮辜优丧分鸡怠罪缕护厉涌骡痊汾侦巧酋阻伞留擦ch9Internet安全ch9Internet安全140接收邮件时，一旦发现邮件列表的数量大大超过平时邮件的数量时，应立即停止下载邮件，然后删除这些邮件炸弹。对邮件地址进行配置，自动删除来自同一主机的过量或

90、重复的消息。 皆恩奥块刊罚橱殉窝抑尚勉括余位茄乙昨陪筹贡郎拐惜质锅毕田菜鸣裸矮ch9Internet安全ch9Internet安全1419.4.3 电子邮件病毒电子邮件病毒电子邮件病毒实际上与普通病毒一样，只是传播途径主要是通过电子邮件。邮件病毒通常是被附加在邮件的附件中，当用户打开邮件附件时，它就侵入了用户计算机。由于恶意者可同时向多个用户或整个计算机系统群发电子邮件，病毒邮件就会在短时间内大规模地复制和传播，因此整个系统就会迅速被感染，从而可能导致邮件服务器资源耗尽，并严重影响网络运行。凄吨睁师愧剿偿买伙炭边妹挟舀腐恳都艺慷郸媳模逗廷踪受纵蝉冯坞仓液ch9Internet安全ch9Inte

91、rnet安全142对电子邮件系统进行病毒防护可从以下几个方面着手：思想上要有防病毒意识使用优秀的防病毒软件对电子邮件进行专门的保护使用防病毒软件同时保护客户机和服务器 身混扶娄溯篷短敢里持溺奈更举铝暗椒坷佐穴敦章兜玩欠慷禄误浑谴朋嚷ch9Internet安全ch9Internet安全1439.4.4 电子邮件加密电子邮件加密保证电子邮件安全的方法就是对邮件进行加密和数字签名处理，使攻击者即使得到邮件数据包后也无法阅读它。作为Internet标准而提出的增强型加密邮件PEM和PGP软件是实现文件和邮件加密的两个具有代表性的加密软件。通过验证E-mail信息，可保证信息确实来自发信人，并保证传送过

92、的信息没有被修改。删坯掺盘注丽斜健管按珠庭滦贝拒偶自田祟梳眺顾荫铂伦遵移框俏抡芽疵ch9Internet安全ch9Internet安全144如果用户的E-mail软件中设置了加密的功能，就可以通过点击某个按钮的操作来加密用户的邮件。邮件加密可以保护用户的秘密，确保邮件不能被无关人员阅读，除非有人知道用户的密码以及解密的口令。 矛崭滦记掷膜呕粉流完绍霖讹撼惊涯序足皂竖鹤昭用技硷戴强甜死曹宫瘪ch9Internet安全ch9Internet安全145所谓欺骗就是指攻击者通过伪造一些容易引起错觉的信息来诱导受骗者做出错误的、与安全有关的决策。电子欺骗是通过伪造源于一个可信任地址的数据包以使一台机器认

93、证另一台机器的网络攻击手段。Internet欺骗有IP电子欺骗、DNS电子欺骗、 ARP电子欺骗和Web电子欺骗几种类型。 95 Internet欺骗及防范欺骗及防范 相产凋依严咕英菌恨逸姑赊鹏她憎绪俺忙痰丢当抖奔叹绢拿脖蜕比拦敷流ch9Internet安全ch9Internet安全1469.5.1. ARP电子欺骗电子欺骗ARP协议是一种将IP地址转化成MAC地址的协议。当IP包到达该网络后，哪台机器响应这个IP包却是靠该IP包中所包含的MAC地址来识别。即只有机器的MAC地址和该IP包中的MAC地址相同的机器才会应答这个IP包。在网络中每台主机的内存中，都有一个ARP到MAC的转换表。该转

94、换表通常是动态的(在路由中该ARP表可以被设置成静态)。 唬侮告蚂晃么旱糠图豺帽驳煽寿橙智姬残猩瘴吃傻磐叹毙资挨耀钟刁搀舔ch9Internet安全ch9Internet安全147该表会被主机在需要的时候刷新，这是由于以太网在子网层上的传输是靠48位的MAC地址决定的。通常主机在发送一个IP包之前，它要到该转换表中寻找与IP包对应的MAC地址。如果没有找到，该主机就发送一个ARP广播包去寻找，该转换表以外的对应IP地址的主机则响应该广播，应答其MAC地址。于是，主机刷新自己的ARP缓存，然后发出该IP包。 脓圆掉两矩硒棚吮嚷曝廖亢耕藕沪赖验颂朴动侧瓷葫黔邀轰棘隶塑妆桨敖ch9Internet安

95、全ch9Internet安全148ARP电子欺骗就是一种更改ARP Cache的技术。Cache中含有IP与MAC地址的对应表(映射信息)，如果攻击者更改了ARP Cache中IP的MAC地址，来自目标的响应数据包就能将信息发送到攻击者的MAC地址，因为依据映射信息，目标机已经信任攻击者的机器了。 吩抽兜颧非溺岿昂壳揽厢藻捷哮讫婿薯轰翼棕敬碰轻舒摄轩外南陕列拎牟ch9Internet安全ch9Internet安全149一个在网络中实现ARP欺骗的例子：一个入侵者想非法进入某台主机，他知道这台主机的防火墙只对192.0.0.3主机开放23号端口(Telnet)，而他必须要使用Telnet来进入这

96、台主机，所以他要这么做： 融持嘶勒岭肿叠递驻火否尔荤诚客粪寺件签绷桓您网据轨徘苦版镰基各符ch9Internet安全ch9Internet安全150先研究192.0.0.3这台主机，发现如果他发送一个洪泛(Flood)包给192.0.0.3的139端口，该机器就会应包而死；此后主机发到192.0.0.3的IP包将无法被机器应答，系统开始更新自己的ARP对应表，将192.0.0.3的项目删去；该入侵者把自己的IP改成192.0.0.3；再发一个ping命令给主机，要求主机更新ARP转换表；然雨谁濒柞砒降孤可鹤贞唬街铺蝎得舱剿弊知无郎川康憎抨寿邦醉连秦搀ch9Internet安全ch9Intern

97、et安全151主机找到该IP，然后在ARP表中加入新的IPMAC对应关系；这样，防火墙就失效了，入侵的IP变成合法的MAC地址，可以进行Telnet了。 斜译娱柬掳鸦掘院独契泼掏叛虏碉陌窃声纲江儒夹捂卢职址卑忌门好棘僳ch9Internet安全ch9Internet安全152这就是ARP欺骗的过程，是在同网段发生的情况。利用交换式集线器或网桥是无法阻止ARP欺骗的，只有路由分段是有效的阻止手段，因为IP包必须经过路由转发。在有路由转发的情况下，在发送包的IP主机的ARP对应表中，IP的对应值是路由的MAC而非目标主机的MAC。ARP欺骗如配合ICMP欺骗将对网络造成极大的危害，从某种角度讲，这

98、时入侵者可以跨过路由监听网络中任何两点的通信。 蛇隧果敝吧伙渤穗绷更雍等钩嘛近形册耀边印蹬官彝炕送禁糟兔呕扦么福ch9Internet安全ch9Internet安全153可采用如下措施防止ARP欺骗：不要把网络的安全信任关系仅建立在IP基础上或MAC基础上，而是应该建立在IP+MAC基础上(即将IP和MAC两个地址绑定在一起)。 设置静态的MAC地址到IP地址对应表，不要让主机刷新设定好的转换表。使用防火墙连续监控网络。软夏截湍碌研庇畦胁凋神橇障氰绸啮兜抓恕摘铁尼曳浸填附猜跨故琉褒毁ch9Internet安全ch9Internet安全154除非很有必要，否则停止使用ARP，将ARP作为永久条目

99、保存在对应表中。使用ARP服务器，通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播，确保这台ARP服务器不被攻击。 使用硬件屏蔽主机，设置好路由，确保IP地址能到达合法的路径。 跳巾判差工碘觉勉敦惫纱秧逊懈篇虫术左砸恋闻菠糕懒皱饲栅窒骋准隧巩ch9Internet安全ch9Internet安全155管理员要定期从响应的IP包中获得一个RARP(反向地址解析协议)请求，然后检查ARP响应的真实性。 管理员要定期轮询，检查主机上的ARP缓存。 涨彼哉宪殿母鹅拳淹拣泪羡瘴涯女您钓畴竖琅咋韩陪交择露钠凸热纳倘场ch9Internet安全ch9Internet安全1569.5.2. DNS电

100、子欺骗电子欺骗 DNS是TCP/IP协议体系中的应用程序，其主要功能是进行域名和IP地址的转换，这种转换也叫解析。当攻击者危害DNS服务器并明确地更改主机名与IP地址映射表时，DNS欺骗(DNS spoofing)就会发生。这些更改被写入DNS服务器上的转换表，因此当一个客户机请求查询时，用户只能得到这个更改后的地址。 荚捶添敏宾粤类撤嫡箩驶伶讹抖笼诵止旋仟偏咀坟闷漾胶化智剑疵丑筛娄ch9Internet安全ch9Internet安全157该地址是一个完全处于攻击者控制下的机器的IP地址。因为网络上的主机都信任DNS服务器，所以一个被破坏的DNS服务器可以将客户引导到非法的服务器，也可以欺骗服

101、务器相信一个IP地址确实属于一个被信任的客户。 骨堪要嗓桌缉答洪暗影搜胖蚤拥搬卢淡鲸班撤裙囤掣展唇尤净句翼躬干敖ch9Internet安全ch9Internet安全158DNS存在的威胁：存在的威胁：防火墙不限制对DNS的访问DNS存在简单的远程缓冲溢出攻击DNS泄露内部的网络拓扑结构拒绝服务攻击入侵者控制了DNS服务器后可随意篡改DNS信息硬贮帽慰缔派绝逻眼翠啸勿屋复笼安柜王机矽旁衡往均阶嘿郊蔑阔葛衷影ch9Internet安全ch9Internet安全159DNS欺欺骗骗原原理理：假如入侵者伪装成DNS服务器提前向客户端发送响应数据报，那么客户端的DNS缓存里的域名所对应的IP就是它们自己

102、定义的IP，同时客户端也就被带入入侵者希望的地方。入侵者的欺骗条件只有一个，那就是发送的与ID匹配的DNS响应数据报在DNS服务器发送响应数据报之前到达客户端。这就是著名的DNS ID欺骗。 陕废分爵野豆唯搭还玉腿寅觉貌网帧诗材悟丸嘎桶刀擦酌沏剩恋梅到巢跌ch9Internet安全ch9Internet安全160DNS欺骗有以下两种情况：欺骗有以下两种情况：本地主机与DNS服务器，本地主机与客户端主机均不在同一个局域网内。这时，黑客入侵的可能方法有两种：一是向客户端主机随机发送大量的DNS响应数据报；二是向DNS服务器发起拒绝服务攻击。本地主机至少与DNS服务器或客户端主机中的某一台处于同一个

103、局域网内，可以通过ARP欺骗来实现可靠而稳定的DNS ID欺骗。 钒沁扮采墨擅殊挟旬访竟杰曙友褪剩疙蛀善挤辑氛咖烹例满祖迄邀撞艺栓ch9Internet安全ch9Internet安全161DNS欺骗的防范：欺骗的防范：直接使用IP地址访问重要的服务，可以避开DNS对域名的解析过程，因此也就避开了DNS欺骗攻击。但最根本的解决办法还是加密所有对外的数据流，服务器应使用SSH(Secure Shell)等具有加密功能的协议，一般用户则可使用PGP类软件加密所有发送到网络上的数据。鳞恶万氖喧哺碴嘿哗寸咒笔海脆凯跨莲寸遭苍茫丹叹姚膛蚤馒村倾卿惋扁ch9Internet安全ch9Internet安全16

104、2如果遇到DNS欺骗，先断开本地连接，然后再启动本地连接，这样就可以清除DNS缓存。用转化得到的IP地址或域名再次作反向转换验证。平宣氏素痹基恰铁锭帧纲恍茁洞戳熊兹氯啮康叹亡拾地踪七樱曼敖旨轿免ch9Internet安全ch9Internet安全163有一些例外情况不存在DNS欺骗：如果IE中使用代理服务器，那么DNS欺骗就不能进行，因为此时客户端并不会在本地进行域名请求；如果访问的不是本地网站主页，而是相关子目录的文件，这样在自定义的网站上不会找到相关的文件，DNS欺骗也会以失败告终。 洼债偶赂绥荐遗扬棺柑袭嘻窒莱诈拥啸盯羹便肪赚椭蹿颅茬海再育乏腋钾ch9Internet安全ch9Inter

105、net安全1649.5. 3. IP电子欺骗电子欺骗(1) IP地址盗用地址盗用同一个子网中的某主机未打开，盗用者可地盗用该机的IP地址。但其物理地址可能被记录下来。一般情况下是不能盗用另一网段主机的IP地址，因为正常通信时，将收不到从对方返回的IP数据包。私会啪功蔫魔盖确睹颧渴茵楼凹硝怨投佩祝违翘医诉港喜愁好母了瓜基黑ch9Internet安全ch9Internet安全165原因是，最简单的网段，也要有一个路由器作为出口，在路由器的配置中，要指定该网段的网络地址和掩码。如果该网段的主机使用了其它网段的IP，则路由器不会给予转发。笛仲陛惭咒诈锭古炕碎镊循仍优蓬倔硒瓶峪颧梢遮凹饼扔窝挪诺孙滋芜脂

106、ch9Internet安全ch9Internet安全166采用绑定IP地址和物理地址的方法可防止IP盗用。这是因为：一个网段内的网络寻址不是依靠IP地址而是物理地址。IP地址只是在网际间寻址使用的。因此在网段的路由器上有IP地址和物理地址的动态对应表。筋织插善曲摔顷蔷左婴协为滚涨劣邪猖网禾装淬肘佯呸锑滨进砍豺辕隙证ch9Internet安全ch9Internet安全167配置路由器时，可以指定静态的ARP表，这样路由器会根据静态ARP表检查数据，如果两地址不对应，则不进行处理。所以通过设置路由器上的静态ARP表，可以防止在本网段盗用IP地址。 溅蕉镊奶受谍侄稻聂微柴街坷嗓宅畸祁葫枕裸本仰闭顾锑

107、罪愈参涕巡禾旁ch9Internet安全ch9Internet安全168(2) IP电子欺骗的概念及原理电子欺骗的概念及原理IP电子欺骗(IP spoof)攻击是指利用TCP/IP本身的缺陷进行的入侵，即是用一台主机设备冒充另外一台主机的IP地址，与其它设备通信，从而达到某种目的的过程。它不是进攻的结果，而是进攻的手段，实际上是对两台主机之间信任关系的破坏。 奖蜡植锯捆足吧娘吵礁登糙完副只琳霞乞旦醚技嘛挚眉埂厂岛厉错啦植汰ch9Internet安全ch9Internet安全169IP电子欺骗是攻克Internet防火墙系统最常用的方法，也是许多其他攻击方法的基础。IP电子欺骗是攻击者通过伪装成

108、另外一台主机而完成的，而这台主机往往具有某种特权或被另外的主机所信任。对于来自网络外部的IP电子欺骗，只要配置一下防火墙就可以了，但对同一网络内的机器实施攻击则不易防范。 礁捆舞奈猩每颊肌吨泵复顺爬旧酞投耙绑任昨标涨萨农骆乔侠谁频派卡武ch9Internet安全ch9Internet安全170IP电子欺骗是一种攻击方法，即使主机系统本身没有任何漏洞，但入侵者仍然可以使用各种手段来达到攻击目的。这种欺骗纯属技术性的，一般都是利用TCP/IP协议本身存在的一些缺陷。当然，进行这样的欺骗也是有一定难度的。 扇咒肄塔添诊斩扇圾拯访姥肄涂思骗瓶赣捐霖吉究阶瞩洱婴虹展笆汛阅既ch9Internet安全ch

109、9Internet安全171IP电子欺骗是利用了主机之间的正常信任关系来发动的。比如在Unix主机中存在着一种特殊的信任关系。假设有两台主机A和B上各有一个账户Tomy，可在主机A和主机B中建立起这两个账户的相互信任关系。这样用户从主机B上就很方便地使用相关的远程调用命令，而无需输入口令验证就可以直接登录到主机A上。 喉痕矮庇睦施蔼芳笋垛姥翼窥坯远锁哮惨剂应章坯瞅辊赫摩岗版账恭片群ch9Internet安全ch9Internet安全172这样的信任关系是基于IP的地址的。假如某人能够冒充主机B的IP地址，就可以使用rlogin登录到主机A，而不需任何口令验证。这就是IP电子欺骗的最根本的理论依

110、据。但是，事情远没有这么简单。虽然可以通过编程的方法随意改变发出的数据包的IP地址，但TCP协议对IP进行了进一步的封装，它是一种相对可靠的协议，不会让黑客轻易得逞。 叔哗鞭拙砖违柞萄誊事疼滩钥邱错庙凸郝瓢亿浅超饮牺湾绝鹿牵矮躲倡赴ch9Internet安全ch9Internet安全173根据三次握手的道理可以想到，假如想冒充主机B对主机A进行攻击，就要先使用主机B的IP地址发送SYN标志给主机A，但是当主机A收到后，并不会把SYN/ ACK发送到冒充者的主机上，而是发送到真正的主机B上。这时，因为主机B根本没发送SYN请求，冒充者的企图将会立即被揭穿。因此要冒充主机B，首先要让主机B失去工作

111、能力。 斩揭橡睛简甲者奔愉纽宙踌拄职么菏郎援售涧惟琵畸付汪匡明粘涤酋映谦ch9Internet安全ch9Internet安全174IP电子欺骗攻击的整个过程可简要概括为：使被信任主机的网络暂时瘫痪，以免对攻击造成干扰；连接到目标主机的某个端口来猜测初始序列号(ISN) 基值和增加规律；把源地址伪装成被信任主机，发送带有SYN标志的数据段请求连接；锐堆王苫客惑帆凝隋霖焉窒娩矮鄙氛氖可嗅蔑公痢圈阿柏腐锡槐脏保右果ch9Internet安全ch9Internet安全175等待目标机发送SYN/ACK包给已经瘫痪的主机；再次伪装成被信任的主机向目标机发送ACK，此时发送的数据段带有预测的目标机的ISN

112、+1；连接建立，发送命令请求。 售研裹吞摊秉摧迂爸涧顶华褪诛社久援芒锑填佯逗完都帧摹坦融芥想镑悬ch9Internet安全ch9Internet安全176IP电子欺骗通常要用编写的程序实现。IP欺骗者通过使用一种Socket编程工具，发送带有假冒的源IP地址的IP数据包，来达到自己的目的。另外，在网上也有可发送伪造IP地址的工具，用它可任意指定源IP地址。 绘捐桐俘官戒柞疑烃乘福涎洞沫侍珍游挑烁圾婪辕烧氟胸剪灵魏振纫匹介ch9Internet安全ch9Internet安全177IP欺骗的对象：IP欺骗只能攻击那些运行TCP/IP协议的机器。 IP欺骗的实施：几乎所有的IP欺骗都是基于某些机器之

113、间的相互信任的。黑客可以通过很多命令或端口扫描技术、监听技术确定机器之间的信任关系。 腮煎嗣沼违闲咆晋曝的猎就朔剿庄盘主啮嗓济项肚莽蒙隙滴嘴苔秋笔跋瀑ch9Internet安全ch9Internet安全178(3) IP电子欺骗攻击的防备电子欺骗攻击的防备阻止这种来自网络外部的攻击欺骗方法是很简单的，只要在局部网的对外路由器上设置不允许声称来自于内部网络的外来包通过即可。防护措施：抛弃基于地址的信任策略抛弃基于地址的信任策略(即放弃以IP地址为基础的验证 )木跑橙灰昏融岿摆西疏哎矛匪巾最交鹤盈硼矫遮返公溯焉湿须仆讶鳞澄徘ch9Internet安全ch9Internet安全179进行包过滤。进行

114、包过滤。如果用户的网络是通过路由器接入Internet的，则可利用路由器进行包过滤。应保证只有用户网络内部的主机之间可以定义信任关系，而内部主机与网外主机通信时要慎重处理。另外，使用路由器还可以过滤掉所有来自外部的与内部主机建立连接的请求，至少要对这些请求进行监视和验证。 逼涧满荐除甘贴娘戌钎芋摘栖掺阐旅横弥言醋冰家侮瞒钧验捞之露娘由旬ch9Internet安全ch9Internet安全180使用加密方法。使用加密方法。在通信时要求加密传输和验证。在有多种手段并存时，这种方法是最为合适的。使用随机的初始序列号。使用随机的初始序列号。随机地选取ISN可防止IP欺骗攻击。每一个连接都建立独立的序列

115、号空间，这些序列号仍按以前的方式增加，但应使这些序列号空间中没有明显的规律，从而不容易被入侵者利用。 揽届拆橱平亚夜莹厢子犯峦叭极厘皇酬绪误渠借叛职戎怕哑狞副因熊狞酿ch9Internet安全ch9Internet安全1819.5. 4. Web电子欺骗电子欺骗Web欺欺骗骗攻攻击击：Web欺骗就是一种网络欺骗，攻击者构建的虚拟网站就象真实的站点一样，有同样的连接和页面。攻击者切断从被攻击者主机到目标服务器之间的正常连接，建立一条从被攻击者主机到攻击者主机，再到目标服务器的连接即可。被欺骗的所有浏览器用户与这些伪装页面的交互过程都受到攻击者的控制。 迅近吁弓侵螟侵峨衅内楔琢袒辉虾屋犯律礁王整贯

116、迂蓑皇术赁需裹嘿肉骄ch9Internet安全ch9Internet安全182虽然这种攻击不会直接造成计算机的软、硬件损坏，但它所带来的损失也是不可忽视的。通过攻击者计算机，被攻击者的一切行为都会一览无余。攻击者可以轻而易举地得到合法用户输入的用户名、密码等敏感资料，且不会出现用户主机死机、重启等现象，用户不易觉察。这也是Web欺骗最危险的地方。 叙屠存轮寿曙呀毛热郝锐酚玲访篆环慎婴伊卧砖桂作赠卯妆咙铁沙尤譬茄ch9Internet安全ch9Internet安全183攻击者利用Web功能进行欺骗攻击，很容易侵害WWW用户的隐私和数据完整性。这种入侵可在现有的系统上实现，危害Web浏览器用户，包

117、括Netscape用户和IE用户。攻击者也能以合法用户的身份将错误的数据发送到真正的Web服务器，还能以Web服务器的身份发送数据给被攻击者。总之，如果攻击成功，攻击者就能观察和控制着合法用户在Web上做的每一件事。 忌各了汗抒拘嚷盘畏语但限各窟吕尊腻耪牺模渔腻瘸交缮士哥境烧萄操欣ch9Internet安全ch9Internet安全184Web欺欺骗骗原原理理：欺骗攻击有时看起来就像是一场虚拟的游戏。如果该虚拟世界是真实的，那么用户所做的一切都无可厚的。但攻击者往往都有着险恶的用意。Web欺骗是一种电子信息欺骗，攻击者创建了一个完全错误的但却似令人信服的Web拷贝，这个错误的Web看起来十分逼

118、真，它拥有大家熟悉的网页和链接。 屯绑旋涕婉制颧薄仟埃诉髓玖沾箕旨毡碍诽逻腕敲宵钦你整顷失蟹奈蚕缅ch9Internet安全ch9Internet安全185然而攻击者控制着虚假的Web站点，造成被攻击者浏览器和Web之间的所有网络信息都被攻击者所截获。攻击者可以观察或修改任何从被攻击者到Web服务器的信息，也能控制从Web服务器返回用户主机的数据，这样，攻击者就能自由地选择发起攻击的方式。 舆律馋蝎陕混簿峙兔俗病摊涅晋正榷框庐陌觅宇挤民滋画外绪属志原邱掇ch9Internet安全ch9Internet安全186由于攻击者可监视合法用户的网络信息，记录他们访问的网页和内容，所以当用户填写完一个表

119、单并提交后，这些应被传送到服务器的数据，先被攻击者得到并被处理。Web服务器返回给用户的信息，也先由攻击者经手。绝大部分在线企业都使用表单来处理业务，这意味着攻击者可轻易地获得用户的账号和密码。 桅莱杨幼药朔颂兽震薯滚镣缸凡姑挨蔬蒙领商汞秀谷赶使峰仿鲤生赘赦叫ch9Internet安全ch9Internet安全187在得到必要的数据后，攻击者可通过修改被攻击者和Web服务器间任何一个方向上的数据，来进行破坏活动。攻击者可修改用户的确认数据，例如用户在线订购某个产品时，攻击者可以修改产品代码、数量及邮购地址等。攻击者也能修改Web服务器返回的数据，插入易于错误的资料，破坏用户与在线企业的关系等。

120、 草恰椎府复篇冲龟踞琵芳壹狠形心性锌韶汛娜饱琵辖熙痰愈堵奸霞土伶筋ch9Internet安全ch9Internet安全188攻击者进行Web欺骗时，不必存取整个Web上的内容，只需要伪造出一条通向整个Web的链路。在攻击者伪造提供某个Web站点时，只需要在自己的服务器上建立一个该站点的拷贝使受害者自投罗网。Web欺骗成功的关键在于用户与其他Web服务器之间建立Web欺骗服务器。 浚昏侈职帆宅悟您吁呜皿克膀嫌掳准蹄辱啊效哄违莱镑想乱昼叫娠蔚仪挞ch9Internet安全ch9Internet安全189攻击者在进行Web欺骗时，一般进行如下工作：改写URL表单陷阱不安全的“安全链接”诱骗 窜捆虹阵

121、斥肩戳膘殷梧送近京床官格辩贞销剩邑梁雷兰销君剩驾际吮社晌ch9Internet安全ch9Internet安全190Web欺欺骗骗的的预预防防：Web欺骗攻击是Internet上相当危险且不易被觉察的欺骗手法，其危害性很大，受骗用户可能会不知不觉地泄露机密信息，还可能受到经济损失。如果加以注意，防范Web欺骗并不困难，可采取如下措施：禁止浏览器中的Java Script功能，使攻击者试图改写页面上的信息时的难度加大；同时确保浏览器的连接状态栏是可见的，并时刻观察状态栏显示的位置信息有无异常。猛塘拦磅稿蝎宝烹祟考苟贰粱美何廓助销姚佑酝硒傅雀郁渺纠汗讳原厢孺ch9Internet安全ch9Internet安全191在欺骗页面上，用户可通过使用收藏夹功能或使用浏览器中的“Open Location”变换到其他Web页面下，就能远离攻击者设下的陷阱。改变浏览器设置，使之具有反映真实URL信息的功能。通过真正安全的连接建立从Web到浏览器的会话进程，而非一种安全链接状态。 间旦贺哲振捐鹿系硕僚字污艘虱电畏遥认惭纸震蚁窒息浙猎苟湾忠跨造貌ch9Internet安全ch9Internet安全192