计算机网络安全知识详解(面向初、中级)(老文)

■  ■┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅★
■● ■      www.NewWise.com  
■ ●■  NW旅团 仙水、RIS057、零式枪手 原创
■  ■┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅★

得在 2004 年 8 月底,由 CNNIC 组织调查的,计算机用户平时采取的安全措施方面的调查中发现,最常使用的手段是安装反病毒软件(80.5%)和使用网络防火墙(69.6%)。但是也有2.3%的网民对网络安全的重要性的认识不深刻,没有采取任何措施。
中国的网民对网络安全的认知情况大致也就是这样了。那么,问题就在这里了,我们应该如何正确地去对待这样一个当前网络危机四伏的一个 Internet?只是采取上面说的安装反病毒软件和使用网络防火墙就是不是真的足够了呢?答案是否定的。
如果你对计算机安全知识还不太了解的话,那么NW旅团团员整理的面向初/中级计算机使用者讲解的计算机网络安全知识帖子能给你打打基础。

攻击篇
By 仙水

黑客常用的攻击手段一般分为非破坏性和破坏性两大类

(1)非破坏性攻击也就是破坏系统的正常运行但不进入系统,这种攻击不会得到对方系统内的资料。

大家都会听到过什么网站被多少的垃圾信息阻塞了,几小时不能对外服务之类的事,这也就是黑客用的非破坏性攻击,这些垃圾信息如Ping洪流,SYN洪流,Finger炸弹等。还有就是利用系统的BUG,对起进行攻击,使之当机,以及对某人使用邮箱炸弹。

(2)破坏行攻击就是以侵入他人系统为目的,进入系统后得到对方资料或修改资料。
要进入破坏性攻击,就要得到权限,要得到权限也就是要得到超级用户密码。张用手法有中途拦截,由低到高和系统漏洞三种!
中途拦截是利用没有加密的传输协议(HTTP,SMTP,FTP,TELNET等)。在这类协议中,内容是明文的,只要你拦截这些明文内容,就可以看到内容,如果这些内容中有敏感内容,黑棵就达到目的了。
由低到高是先成为系统的低级用户,利用系统的先天不足PASSWD文件,然后对文件解密得到超级用户密码。
系统漏洞大家想必都知道的,比如对系统发现用户特定组合的请求旧能得到用户极其密码。

黑客破坏攻击的常用入侵方法

(1)口令入侵:
意思就是用一些软件解开已经得到但被人加密的口令文档,不过许多黑客已大量采用一种可以饶开或屏蔽口令保护的程序来删除密码数据,跳过密码检测,更改密码结果,强行进入网络系统。对于那些可以揭开或屏蔽口令保护的程序通常被称为“Crack”。由于这些软件的广为流传,使得入侵电脑网络系统有时变得相当简单,一般不需要很深入了解系统的内部结构。

(2)木马
他最经典的做法可能就是把一个能帮忙黑客完成某一特定动作的程序依附在一个合法用户的正常程序中,这时合法用户的程序代码已被修改,一旦用户触发该程序,那么依附在内的黑客指令代码同时被激活,这些代码往往能完成黑客指定的任务。由于这种入侵法需要黑客有很好的编程经验,且要更改代码,要一定的权限,所以较难掌握。但正因为它的复杂性,一般的系统管理员很难发现。它通常在用户收发E-mail或浏览网页时,借机潜入用户的计算机系统中。

(3)监听法
这是一个很实用但风险很大的黑客入侵方法,但还是有很多入侵系统的黑客高手采用此类方法。
网络节点或工作站之间的交流是通过信息流的传送得以实现,而当在一个没有集线器的网络中,数据的传输并没有指明特定的方向,这是每一个网络节点或工作站都是一个接口。这时如果有某个信息发来,所有的系统接口都受到了这个信息,一旦某个工作站或节点是这个信息的目的位置并完成接受,联接就马上完成。
有一种叫sniffer的软件,它可以截获这些信息,也就相应的截获口令和秘密的信息,可以共来攻击相邻的网络。

(4)E-mail技术
黑客有时也会以E-mail形式向用户寄发轰炸信息,由于一般情况下用户收到的E-mail都含有发件人的地址,那么自然也可以根据发件人的地址追查黑客。黑客们自有高招,他们根本不采用普通的E-mail系统,而是利用匿名E-mail传递系统给用户寄发E-mail,从这种E-mail中是无法获得黑客的真实地址的,因E-mail传递系统是一种可以隐匿发件人邮件地址的计算机服务系统。

(5)利用系统漏洞
操作系统是一个复杂庞大的软软件,有时因为程序员的疏忽或软件设计上的失误,可能会留下一些落动,着就是我们常说的BUG,从而成为黑客进入网络的一个后门
以上知识黑客们入侵的很小一部分手段,而现今的世界各地的黑客正以飞快的速度创造出更新的入侵手段!

黑客的入侵策略
(1)数据驱动攻击
表面看来无害的特殊程序在被发送或复制到网络主机上被执行发起攻击时,就会发生数据驱动攻击。例如:一种数据驱动的攻击可以造成一台主机修改与网络安全有关的文件,从而使黑客下一次更容易入侵该系统。

(2)系统文件非法利用
这很明了就是要破坏你的系统如:Boot.ini等文件,这样你会在不只不绝中就不能在启动电脑。或他们会“帮助”你格式化系统盘。

(3)针对信息协议弱点攻击
IP地址的源路径选项允许IP数据包自己选择一条通往系统目的的路径。设想攻击者试图与防火墙后面的一个不可到达主机A连接。他只需要在送出的请求报文中设置IP源路径选项,使报文有一个目的地址指向防火墙,而最终地址是主机A。防火墙的IP层处理改报文的源路径被改变,并发送到内部网上,报文就这样到达了不可到达的主机A。

(4)远端操纵
缺省的登陆界面(shell scr-ipts),配置和客户文件是另一个问题区域,它们提供了一个简单的方法来配置一个程序的执行环境。这有时会引起远端操纵的攻击:在被攻击主机上启动一个可执行程序,该程序显示一个伪造的登陆界面。当用户在这个伪装的截面上输入登陆信息(用户名,密码等)后,该程序将用户输入的信息传送到攻击者主机,然后关闭界面给出提示信息说“系统故障”,要求用户重新登录。此后,才会出现真正的登录界面。

(5)重新发送攻击
收集特定的IP数据包,纂改其数据,然后再一一重新发送,欺骗接收的主机。

(6)对ICMP报文的攻击
尽管比较困难,黑客们有时也使用ICMP报文进行攻击。重定向信息可以改变路由列表,路由器可以根据这些信息建议主机走另一条更好的路径。攻击者可以有效地利用重定向消息把连接转向一个不可靠的主机或路径,或使多有报文通过一个不可靠主机来转发。对付这种威胁的方法是对多有ICMP重定想报文进行过滤,有的路由软件可对此进行配置。单纯地抛弃所有重定向报文是不可取的:主机和路由器常常会用到它们,如一个路由器发生故障时。

(7)跳板攻击
黑客们会设法先登陆到一台主机上,通
过该操作系统的漏洞来取得系统特权,然后再以次为据点访问其余主机,这种就被称为“跳跃”(Island-hopping)。黑客们在达到目的主机之前往往会这样跳几次。

防御篇
By:RIS057

当前的计算机网络安全从最初的只是木马、DoS (拒绝攻击)等一些古老的攻击方式进化到以操作系统的漏洞或者由病毒程序开放的一个后门漏门进行攻击的新的时代时,而世界上极大多数的计算机普通用户都没有真正地进入这个时代。记得在 2004 年 8 月底,由 CNNIC 组织调查的,计算机用户平时采取的安全措施方面的调查中发现,最常使用的手段是安装反病毒软件(80.5%)和使用网络防火墙(69.6%)。但是也有 2.3% 的网民对网络安全的重要性的认识不深刻,没有采取任何措施。具体的可以见下图,图片来自于 硅谷动力 网站:

info04082701

那么,中国的网民对网络安全的认知情况大致也就是这样了。那么,问题就在这里了,我们应该如何正确地去对待这样一个当前网络危机四伏的一个 Internet?只是采取上面说的安装反病毒软件和使用网络防火墙就是不是真的足够了呢?答案是否定的。那么,下面先来回顾一下现阶段的主流操作系统 Microsoft Windows XP 诞生以来,所发生的两大波的安全风波吧。

一) 红色代码(Code Red)与尼姆达病毒(Nimda)的第一次冲击

根据国内的三大反病毒之一的厂商的瑞星公司的病毒资料显示。红色代码的发现日期是在 2001 年的 7 月 18 日。病毒的英文名称是 W32/Bady.worm。该病毒感染运行 Microsoft Index Server 2.0 的系统,或者是在 Windows 2000、IIS 中启用了索引服务的系统。该病毒主要使用的系统漏洞是“微软索引服务器以及索引服务 ISAPI 扩充缓冲区溢出漏洞”。不过,病毒只存在于内存之中,不向硬盘中拷贝文件。蠕虫的传播是通过 TCP/IP 协议和端口 80,利用上述漏洞蠕虫将自己作为一个 TCP/IP 流直接发送到染毒系统的缓冲区,蠕虫依次扫描 WEB,以便能够感染其他的系统。一旦感染了当前的系统,蠕虫会检测硬盘中是否存在 c:notworm ,如果该文件存在,蠕虫将停止感染其他主机。另外,病毒利用的微软的相关漏洞还有 Microsoft Security Bulletin (MS01-033)。

过了不到一个月,就出现了该病毒改良版:红色代码II。病毒的特征与前一个版本基本相似,这里不再赘述。有兴趣的朋友可以登陆相关的反病毒网站查询。

同年,9 月 18 日,另一个同样具有相当实力的病毒被发现——尼姆达(W32.Nimda.A@mm),该病毒使用的是在 Microsoft 安全公告(Security Bulletin) MS01-020 中提到的一个 IIS 和 IE 相关的漏洞。据病毒的资料库显示,该蠕虫病毒由 JavaScript 脚本语言编写,病毒体长度 57344 字节,它修改在本地驱动器上的.htm, .html.和 .asp 文件。通过这个病毒,IE 和 Outlook Express 加载产生 readme.eml 文件。该文件将尼姆达蠕虫作为一个附件包含,因此,不需要拆开或运行这个附件病毒就被执行。由于用户收到带毒邮件时无法看到附件,这样给防范带来困难,病毒也更具隐蔽性。

这是我们说的第一次安全风波的冲击。大家可以看到,两个病毒都利用了微软的相关系统软件的漏洞进行攻击。也在这之后,微软决定开展 10 年信赖运算计划。在之后的一个对于 SQL 的漏洞的 Slammer 病毒,使得在微软重视补丁程序的作用。不过由于第一次冲击对于一般用户的干预度不高,所以,我们也估计有绝大多数人对这些可能没有印象了。那么,在下面说的第二次冲击,您的印象一定会十分深刻。哼哼,不错,就是那两个——

二) 冲击波(Blaster)与震荡波(Sasser)的第二次冲击

在 2003 年 8 月 12 日,在全世界的联网的以 Windows NT 为内核的操作系统几乎无一避免地遭受了这一突出其来的强大的冲击波。大家都知道了,冲击波利用的是 Windows NT 内核中的 RPC 服务的一个漏洞,并且病毒会使用如 135、4444、69 等网络端口。而真正具有讽刺性意味的是,这个冲击波病毒所使用的漏洞是在微软在 2003 年 7 月 21 日,也就是说在病毒被发现的大概半个月前,就已经公布了系统补丁和安全公告:“RPC 接口中的缓冲区溢出可能允许执行代码 (823980)”。当然也有少数如我一样在第一时间就已经打了补丁的用户的系统幸免于难。不过,由于当时病毒发作时的网络带宽利用率过高,给予中国极多数地区的网络造成瘫痪。但是据微软官方的技术文档中称,避免这个缓冲区溢出的 RPC 只要用防火墙封堵 135 端口就可以了。另外,如果有受影响的计算机,最方便的官方的暂时处理方式是禁用所影响计算机的 DCOM 服务。对这点有兴趣的,可以登陆微软官方网站查阅相关文档。

在 2004 年 5 月 1 日,也就是中国 2004 年的第一个黄金周的第一天,在全世界再次重演了在 2003 年 8 月份的风波——震荡波来袭!而震荡波利用的操作系统漏洞同样也在病毒发现之前就已公布,在 2004 年 4 月 13 日,微软发布了 2004 年第 11 号安全公告:Microsoft Windows 安全更新(835732)。据微软的文档所示,这次的漏洞受影响的系统包含了其全部的操作系统。只不过 Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE)、Microsoft Windows Millennium Edition (ME) 的危害只在于微软捆绑的一个远程视频会议软件 Netmeeting。所以对这三个操作没有产生严重的影响。

震荡波病毒的破坏方式为:在本地开辟后门。监听 TCP 5554 端口,做为 FTP 服务器等待远程控制命令。病毒以 FTP 的形式提供文件传送。黑客可以通过这个端口偷窃用户机器的文件和其他信息。 病毒开辟 128 个扫描线程。以本地 IP 地址为基础,取随机 IP 地址,疯狂的试探连接 445 端口,试图利用 windows 的 LSASS 中存在一个缓冲区溢出漏洞进行攻击,一旦攻击成功会导致对方机器感染此病毒并进行下一轮的传播,攻击失败也会造成对方机器的缓冲区溢出,导致对方机器程序非法操作,以及系统异常等。(据瑞星网站)

在这里,我们就不去讨论两个病毒的其他更深一步的攻击方式等特性了。那么,我们应该如何正确地去保护计算机呢?那么,在这里,我们就引用微软给出的三个步骤来帮你去完善你的计算机防御体系吧:1、使用防火墙(或防火墙软件)、2、给操作系统打上最新的系统补丁、3、给计算机安装最新的反病毒软件,并保持最新的病毒库。

三) 以主动防御为主的当前网络安全防御方式

上面我们已经说到三个步骤,也已经指明了三个步骤是什么了。不过,首先要先说明一点的是,这三个步骤只是对于一般的使用用户在使用电脑时而言的。如果说,你是电脑玩家(不是指玩游戏的玩家),系统管理员,对电脑了解深刻的话,我们这里说的就可能对你不够用了。如果想了解更多的相关信息,最好去参阅 Microsoft 知识库以及其他网络安全厂商的一些资料文献。那么,系统的一般用户,就跟随着我们的视线,一起来学习,如何正确地使用这三个的一个也不能少的步骤吧:

1) 使用 Internet 防火墙

将计算机连接到 Internet 之前,您应该安装防
火墙。这是保护您的 PC 不受黑客和许多计算机病毒及蠕虫攻击的软件或硬件。使用防火墙是保证计算机安全的最重要的第一道防线。您还应该使用 Windows Update 和防病毒软件来帮助保护您的 PC。在这里,我们将会使用两个实例来告诉大家如何去使用防火墙。我们这里使用的防火墙分别是:内置在 Microsoft Windows XP Service Pack 2 中的 Windows 防火墙,有些人可能要说了,我并不是用 Windows XP 或者虽然是 XP 版本,但没有打 SP2 服务包的呀,那有没有其他的呢?那么,我们也准备了以金山网镖 6 为样本的防火墙的使用演示。当然了,还有其他很多的防火墙也可以使用,就算是 Windows XP SP1 中的防火墙也是可以防御很多的黑客攻击的。

那么我们就正式开始吧。首先以 Windows XP SP2 内置的 Windows 防火墙为例子进行说明:

当你安装完成 Windows XP SP2 服务包后,在控制面板处,就会多出两项最基本的安全方面相关的控制项:Windows 防火墙和安全中心。首先,我们先打开 Windows 防火墙。打开后的界面如图,由于在 SP2 安装完成后,防火墙就已经是默认启用的。所以,您所看到的这个界面也就是默认的界面。而图中的也有着三个可选项:启用(推荐)、关闭(不推荐)、和下挂在启用下面的不允许例外。启用和关闭这两个比较容易理解,在这里也不用多说了。对于“不允许例外”这个选项可能就要用些文字来说明了。首先,这个例外是指,比如说有某一个软件或程度需要使用网络时,这时防火墙会提示你,有某某软件要使用网络,你是否同意他使用网络的一个对话框。不过这个对话框在这里没有准备,我们会在之后的《Windows XP SP2 的新特性和使用技巧》的另一篇文章中做更细的说明。对话框中有三个选项:保持阻止(列入例外,以后这个程序要使用网络时不提示,并且不让其访问网络)、解除阻止(列入例外,以后这个程序要使用网络时不提示,并且直接让其访问网络)和以后询问(现在暂时阻止其访问,以后要访问网络时,再进行询问)。那么,刚才我们提到了一个词——“例外”。如何去配置和使用这个例外呢?有两种方法,一种就是当程序要访问网络时,使用网络安全对话框去进行配置。另外一种呢,就是在 Windows 防火墙的设置对话框中,进入例外的选项卡中,进行详细的设置。在这里,你可以添加已安装的计算机应用程序,也可以添加开放某几个特定的端口。另外,如果是有两台或以上的电脑组成的局域网,这时,必须要把在例外列表中的“文件和打印机共享”的服务打勾,否则你的计算机在网络上的状态回应是不存在的。另外,Windows 防火墙可以进行多配置文件的设置。这里具体的,也会在上面提到的 XP SP2 新特性的文章中详细说明。那么,到这里,Windows 防火墙这一块的基本使用说明也就差不多了。下面说来讲一下第三方的防火墙软件的设置的例子:金山网镖 6。

snap00555
Windows 防火墙的界面

snap00556
“例外”选项卡的界面

snap00557
添加例外的程序对话框,如果对话框中没有例出,可以通过浏览进行查找文件

snap00558
添加开放的端口,本例中是为了开放自定义用 BT 下载的 9990 端口

snap00559
文件和打印机共享,这是一个在局域网中的重要服务,如果把这个也禁用了,那么你将“不存在”这个网络之上。那么共享又从何谈起呢?

snap00561
Windows 防火墙的高级选项卡,Windows 防火墙支持多配置文件的设定

在这里,首先要提醒大家注意的是,如果你已经启用了一款防火墙或者是杀毒软件,请不要安装或使用另外的同类软件,否则可能会造成使用上的冲突。

金山网镖 6 在安装完成后,默认是随系统启动时加载的。基本的使用方面与我们上面说的 Windows 防火墙没有多少差异。具体的可以参考我们的图片解说。最主要的一点是,一些如金山网镖 6 的防火墙软件都可以通过升级的方式来增加 IP 规则的定义。可以让一般用户从专业化知识中的封锁或开放端口中解放出来。

snap00550
金山网镖 6 的应用规则显示界面

snap00551
金山网镖 6 发现名为 FlashFXP 的软件要访问网络

snap00552
金山网镖 6 的网络状态监视界面

snap00554
金山网镖 6 的自定义 IP 规则编辑器,这里是金山网镖 6 的安全中心的底层,一切的安全都得从这里开始

snap00553
什么?你想要拦截震荡波的数据包?那就学学这个吧

2) 保持最新的计算机程序

我们在本文的最初也说了,有很多的病毒,都是在系统漏洞的补丁程序出现后才出现的。而仍有很多人中招是因为使用者对系统补丁的认识不深。以至于无法将计算机的状态保持在最新的状态。但是,微软在这方面是早就已经做了努力。那么,先让我们来看下如何保护最新的计算机程序吧:

如果你的操作系统是 Windows XP 或者是 Windows Server 2003,那么:首先,右击“我的电脑”中的属性命令,打开“系统”对话框。进入“自动更新”对话框。现在的自动更新的设置的界面如图,我们建立自己选择一个你个人认为计算机比较空闲的时间去自动下载安装时间。我们这里设定的是每天的晚上 20:00 进行安装更新。

snap00562
自动更新的设置页面,如果已经升级到这个显示版本的话,同样也可以从控制面板进入

另外,还有一种方法,这个方法是每个 Windows 操作系统都可以使用的。就是登陆 Windows Update Web 站点,网站的地址是: http://windowsupdate.microsoft.com 。现在的版本是第 5 版。页面如图,我们推荐使用者使用“快速安装”进行更新计算机程序。

snap00570
V5 版本的 Windows Update 站点,我们推荐一般使用者使用“快速安装”进行安装

snap00572
Windows Update 正在查找可供你更新的补丁项

3) 使用最新的防病毒软件

您的计算机上安装防病毒软件了吗?

许多主要的计算机制造商都在新计算机中至少包括一种常用防病毒软件包的试用版。在中国国内,常见的如:国内厂商的江民科技的 KV2004 ,瑞星的瑞星杀毒软件 2004,金山公司的金山毒霸 6 等,还有台湾的趋势反病毒软件,国外的厂商有 Symantec 的 Norton、McAfee、还有如熊猫反病毒软件等。
snap00565
瑞星杀毒软件 2004 的主界面,病毒库时间是 2004-9-9 的 16.43.30 版
Snap7
金山毒霸 6 的主界面,病毒库是 2004.08.25。图片是在 8 月 25 日截的,资料图片?
但是,安装了防病毒软件就不等于就完成了这一步。您还必须要保持病毒库的更新。过时的防病毒软件意味着该防病毒软件不具备防病毒能力防病毒软件需要定期更新才能帮助预防最新的病毒威胁。如果不订阅这些更新,您的计算机就极易受到攻击。请确保已激活了订阅来连续更新您的防病毒软件。大多数防病毒软件会在您连接到 Internet 时自己更新。为了确保您的软件是最新的,请从“开始”菜单“或任务栏通知区打开防病毒程序,然后查看更新状态。如果仍然不能确定您的防病毒软件是否为最新的,请与您的防病毒软件提供商联系。您的防病毒软件是否已正确设置,以提供最佳保护?
Snap18
金山毒霸 6 的升级程序
snap00564
瑞星杀毒软件 2004 的升级程序
在安装软件时,以下设置应默认启用。如果您因为什么原因而将其关闭,请务必在连接到 Internet 之前将其重新打开。应该打开“自动”或“实时”扫描。大多数防病毒产品会在屏幕右下角的通知区域中添加一个图标,显示此设置已被启用。防病毒软件应该“定期对硬盘进行扫描”。防病毒软件应该配置为“扫描电子邮件”。
结语:在这里,我们还是要推荐各位,首先,应当使用在生命期内的软件系统,如操作系统现在应该使用 Windows XP,Windows 阵营的服务器操作系统应该使用 Windows Server 2003。办公软件应该使用 Microsoft Office System 2003或WPS Office 2003等。为什么我们这样推荐呢?特别是系统软件,如 Windows 98 这类已经不在微软的产品生命周期内的软件中,仍然有很多的漏洞存在,但是,微软的策略已经从发现重要漏洞就制作补丁到发现有严重漏洞才制作补丁的上面来了。另外,在给已经使用了最新的软件的用户提个醒,请时刻保持着你的软件系统的补丁的安装,这样可以防止很多不应该发生的损失的发生。最后一点,网络安全,最主要的防御方式是什么呢?就是勤,勤什么呢?勤更新。不能让黑客、病毒有机可乘。我们全体 NW 旅团 PC 组成员希望本系列文章可以给广大的计算机使用者多多关心自己的计算机是否安全,至少不会因为由于系统的漏洞而造成大的损失。并且这样的事,我们也见得太多了。我们也不希望冲击波、震荡波的历史重演……但是,现在冲击波、震荡波的感染者,同时也是这些不注意系统安全的人仍然在网络上活动着……让我们自己保护好自己的系统吧,也不要让自己的系统成为一个病毒的中转站。
感谢 NW 旅团 – 打杂组组长 Tony马 提供金山软件的相关信息(完稿于 2004 年 9 月 10 日)