第五章 Internet 与网络安全

第五章第五章 InternetInternet 与网络安全与网络安全

莆田学院现代教育技术中心 2003 年12 月

计算机导论计算机导论 (5)(5)

主要内容主要内容网络安全问题关于电脑黑客黑客攻击技术防火墙技术入侵检测技术数据加密技术

一、网络安全问题一、网络安全问题

网络安全概述网络安全概述网络安全是一门涉及计算机科学、网络技术、通信技术、

密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

网络安全三大问题网络安全三大问题网络安全面临的主要威胁

黑客侵袭黑客非法进入网络使用网络资源（获取账号和密

码 / 获取网上传输的数据 / 控制及破坏系统等）计算机病毒

使网络不能正常工作，甚至瘫痪拒绝服务攻击

用户在短时间内收到大量无用信息，攻击者并不控制被攻击的电脑，只是使它失去正常工作能力。

网络安全不可掉以轻心网络安全不可掉以轻心由于因特网本身的设计缺陷及其开放性 , 极

易受到各种攻击。据美国有关安全部门统计，因特网上 98% 的计算机受过黑客的攻击性分析， 50% 的机器被黑客成功入侵。

不要把网络的安全看成某个计算机狂人的个人行为或某个单位的利益得失，网络安全问题可能直接影响到国家的政治利益、军事利益和经济利益。

信息安全问题不容乐观信息安全问题不容乐观近些年来，国内外因为忽视信息安全而发生的重大安全事件不胜枚

举。２００１年８月，红色代码病毒（ＲｅｄＣｏｄｅ）肆虐我国某市

政府内部网。内部网几千台机器的操作系统、杀毒软件错综复杂，中毒机器数以千计，内部网被中毒机器“疯狂”发送的数据包堵塞。该市政府只得关闭内部网的绝大多数子网，一个机器一个机器地治理，导致很多部门将近一周无法上网。这一事件，折射出我国的信息安全的现状，一些机器缺乏安全防护，而导致整个系统被攻陷。

在美国，一些重要的政府部门，如国家信息部、国防部、内政部，以及那些实力强大的私人通信公司屡遭电子攻击，从１９９９年１月１日至２００２年１月２９日，共发生过１３１４６次。其中敏感数据被盗的事件发生过１０次，而另在２３次攻击中，有大量文件被删除或损坏。

１９９９年全球爆发ＣＩＨ病毒，一天之间世界上有２６万多台电脑中招。其波及领域之广，被毁电脑数量之多，十分罕见。这次攻击的始作俑者，是一名台湾大学生。他对其攻击对象——台湾生产的计算机主板的读出写入系统（ＢＩＯＳ）的结构缺点十分熟悉，而目前全球９５％的台式计算机都在使用台湾生产的主板。

另据介绍，每年仅黑客通过电脑网络给全世界带来的经济损失，估计已高达１００亿美元。

例：网络安全与政治例：网络安全与政治 96 年 8 月 17日，美国司法部的网络服务器遭到黑客入侵，

并将“ 美国司法部” 的主页改为“ 美国不公正部” ，将司法部部长的照片换成了阿道夫 ·希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。

96 年 9 月 18日，黑客又光顾美国中央情报局的网络服务器，将其主页由“中央情报局” 改为“ 中央愚蠢局” 。

96 年 12 月 29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他 80 多个军方网址。

例：网络安全与军事例：网络安全与军事由于计算机病毒的传染性、潜伏性和巨大的破坏性，计算机病毒

作为一种新型的电子战武器已越来越受到世界各国军方的重视。美国是计算机病毒研究较早的国家，并拨出专款进行研究更有效的军用计算机病毒。台湾现在针对祖国大陆、针对我军的具体情况大力发展信息作战武器，其中包括病毒。 1999 年 8 月，台湾“国防部”召开了一次关于信息战的专门会议。出席的人员除了台湾“国防部”的高级将领和所谓“国防部长”唐飞之外，还有各个计算机软硬件厂商的高级代表、计算机专家、病毒的设计制造者，包括 CIH 病毒编制者陈英豪。会议的中心议题就是怎样利用台湾强大的计算机硬件和软件优势，对祖国大陆实施信息战。具体的步骤包括向中国大陆出口的计算机产品注入藏有病毒的芯片，必要时通过遥控激活等。另据台湾《自由时报》报道，台湾 " 国防部 " 通信电子资讯局局长林勤经表示，已经对中国大陆搞了上千种病毒对付中国大陆的信息基础设施。所有这些事实都说明，计算机病毒战已经从想象进入了现实。计算机病毒战已成为现代电子信息战的一个新的、重要的课题。

例：网络安全与经济例：网络安全与经济 94 年末，俄罗斯黑客弗拉基米尔 ·利文与其伙伴从圣彼得堡

的一家小软件公司的联网计算机上，向美国 CITYBANK银行发动了一连串攻击，通过电子转帐方式，从 CITYBANK银行在纽约的计算机主机里窃取 1100万美元。

近年来，计算机犯罪案件也急剧上升，计算机犯罪已经成为普遍的国际性问题。据美国联邦调查局的报告，计算机犯罪是商业犯罪中最大的犯罪类型之一，每笔犯罪的平均金额为45000 美元，每年计算机犯罪造成的经济损失高达 50亿美元。

计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。通常计算机罪犯很难留下犯罪证据，这大大刺激了计算机高技术犯罪案件的发生。

与一切危害网络安全的非法行为作斗争与一切危害网络安全的非法行为作斗争

1994 年 2 月 18日颁发《中华人民共和国计算机信息系统安全保护条例》。其第七条规定：“ 任何组织或个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。”第二十三条规定：“故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专用产品的，由公安机关处以警告或者对个人处以 5000元以下的罚款、对单位处以 15000元以下的罚款；有违法所得的，除予以没收外，可以处以违法所得 1 至 3倍的罚款。“

更为完善的地方性法规更为完善的地方性法规 1998 年 8 月 l日《重庆市计算机信息系统安

全保护条例》 1998 年 12 月 15日《安徽省计算机信息系

统安全保护办法》 2003 年 3 月 31日《广东省计算机信息系统

安全保护管理规定》 ……

例：安徽省规定例：安徽省规定第十八条任何单位和个人不得从事下列活动：

（一）制作、故意传播计算机病毒破坏性程序和其他有害数据；（二）未经使用单位允许，进入计算机信息系统或者使用计算机信息系统资源；（三）未经使用单位允许，对计算机信息系统功能进行删除、修改或者增加；（四）未经使用单位允许，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。

第二十八条违反第本办法十八条规定的，处以警告，有违法所得的，没收违法所得，以个人处以 1000元至 5000元的罚款，对单位处以 3000元至 15000元罚款。

二、关于电脑黑客二、关于电脑黑客

关于电脑黑客关于电脑黑客计算机系统的隐身入侵者和攻击者古典黑客

所谓“真正的程序员”—以编写软件与玩弄各种程序设计技巧为乐，创造并推动计算机工业的发展。现代黑客黑客 (hacker)：热衷于编程查找并公布系统漏洞骇客 (cracker)：通过利用系统漏洞进行网络攻击来表现自我

黑客行为准则（一）黑客行为准则（一）世界范围内比较公认的黑客行为准则

Never damage any system.This will only get you into trouble. 不恶意破坏任何系统。Never alter any of the system files,except for those needed to insure that you are not detected, and those to insure that you have access into the computer in the future.

不修改任何系统文件，除非…Do not share any information about your hacking projects with anyone but those you’d trust.

不要将破解的任何信息与人分享，除非…

黑客行为准则（二）黑客行为准则（二）Never use anyone’s real name or real phone number when posting on a BBS.

不要在 BBS 上用真名或真实的电话号码发帖。DO NOT hack government computers.

切勿入侵政府机构的计算机。To become a real hacker,you have to hack, you can’t just sit around reading text files and hanging out on BBS.

要成为真正的黑客，不能纸上谈兵…

真正的黑客真正的黑客只会使用现成工具攻击网络的是所谓“ script

kids” （草客）。真正的黑客必须对网络操作系统有深入的研

究（内核工作原理等）、熟悉各种网络协议（ TCP/IP 等）、能熟悉编写程序、善于分析和发现新的漏洞。

黑客真正可怕之处在于他对新知识的渴望与不懈的创造力。

三、黑客攻击技术三、黑客攻击技术

攻击普通用户攻击普通用户计算机病毒（破坏系统）特洛伊木马（远程控制）网络炸弹（影响工作）

拒绝服务电子邮件炸弹（邮件垃圾） QICQ 账户窃取与秘密监听

攻击网站和网络系统攻击网站和网络系统踩点目标探测（搜集目标有关情况）扫描敲击墙体找到所有门窗（漏洞）攻击破解管理员密码控制系统利用漏洞攻击拒绝服务攻击欺骗攻击（利用主机间的信任关系）善后清除系统日记留下秘密后门

攻击前的侦察工作：踩点攻击前的侦察工作：踩点踩点通过因特网和其他技术搜集与目标相关的

各种信息（如搜索引擎、 BBS 、专业网站等），甚至包括管理员的姓名、出生日期、电话号码等。因为有些网站管理员使用这些信息作为系统密码。

试探性攻击：扫描试探性攻击：扫描

扫描扫描的目的相当于在一座建筑物上寻找得以

非法进入的“门窗”。所用的工具通常有端口扫描器和漏洞扫描器。前者主要用来扫描目标主机开放的服务端口及有关的系统信息。后者可以直接检测出系统存在的安全漏洞，但对于重视安全的网站，未必有效。

扫描工具实例： SuperScan

真正的较量：发起攻击真正的较量：发起攻击 (1)(1)

密码破解许多人喜欢使用：自己或家人姓名、出生日期、电话号码、常用英文单词、纯数字、短密码。容易被熟人或暴力猜解机破解出来。安全密码：字母、数字和特殊符号交叉组合，至少 8 位。远程密码破解工具：

流光 (Fluxay) V4.71 For WinNT/2000/XP

流光的主界面流光的主界面


网络监听 (sniffer,嗅探 )普通情况下 , 网络上的机器都可以“听到”通过的流量 ,但网卡只接收和自己地址相符的信息包。网络监听程序即 sniffer 把网卡设置为“混杂”模式，此时网卡就可以接收传输在网络上的每一个信息包。黑客可以用它截获密码等。著名的 sniffer 软件有 sniffit 和 NetXRay 。


欺骗攻击 IPIP 欺骗欺骗利用主机间的信任关系伪装成被信任主机利用主机间的信任关系伪装成被信任主机

（先要使该主机瘫痪）（先要使该主机瘫痪） WebWeb欺骗欺骗通过假链接使用户访问假网站，从而获取用户通过假链接使用户访问假网站，从而获取用户

输入的账号和密码、信用卡信息等。输入的账号和密码、信用卡信息等。例：例： [email protected]@163.com


利用系统缺陷进行攻击利用缓冲区溢出技术进行攻击当程序员用不安全的语言（ C/C++ 等）编写

网络应用程序或编程考虑不周是，会出现因字符串越界而产生的“缓冲区溢出”问题。黑客可以利用它来获得管理员权限。

利用系统或应用程序本身的漏洞进行攻击，如 IIS 、 SQL 、 ASP 、 PHP 等的漏洞。


“拒绝服务”（ DoS,Donial of Service ）一种简单的破坏性攻击，为真正的黑客高手所不屑。其原理是利用 TCP/IP协议中的某些弱点或系统存在的某些漏洞，发起大规模攻击，使目标主机瘫痪。

目前更恶劣的是所谓 DDoS( 分布式拒绝服务 ) 。攻击者在客户端通过非法入侵，控制了大量的系统主机作为攻击源，使它们同时向攻击目标发起拒绝服务攻击。

攻击实例：木马技术攻击实例：木马技术历史上的“特洛伊木马” 在古希腊人同特洛伊人战争期间 ,希腊人佯装撤退

并留下一只内部藏有战士的巨大木马 , 特洛伊人大意中计 ,将木马拖入城中。夜晚木马中的希腊战士出来与城外的战士里应外合…

计算机中的“特洛伊木马” 在计算机中，有一类特殊的程序，黑客通过它来远程控制别人的计算机，这类程序称为特洛伊木马程序”。

特洛伊木马程序特洛伊木马程序一般分为服务器端程序和客户端程序两部分。服务

器端程序是黑客们秘密而巧妙地传到目标机器上的部分，客户端则在黑客机上运行，是用来控制目标机器的部分。

木马程序具有隐蔽性强、功能特殊等特点。它与 PC Anywhere 等远程控制软件不同。而且往往没有利用系统和软件的任何漏洞或 bug ，也没有利用任何微软未公开的内部 API ，所以连普通的防火墙和代理服务器也难以有效抵挡它。

国产木马国产木马 :: 冰河冰河 2.22.2

此程序运行于对方机上 (文件名可随意 )

然后在黑客机上运行此程序

使用说明

Readme.txtReadme.txt 文件内容文件内容 (1)(1) 该软件主要用于远程监控，具体功能包括 : 1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入 ,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕 (局域网适用 )； 2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且 1.2 以上的版本中允许用户对该功能自行扩充， 2.0 以上版本还同时提供了击键记录功能； 3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据； 4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

Readme.txtReadme.txt 文件内容文件内容 (2)(2)

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能； 6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能； 7．发送信息：以四种常用图标向被控端发送简短信息； 8．点对点通讯：以聊天室形式同被控端进行在线交谈。

看看它的几个“功能模块”看看它的几个“功能模块”"查看屏幕 ": 查看被监控端屏幕 ( 相当于命令控制台中的 ' 控制类命令 \捕获屏幕 \查看屏幕 ')；

"屏幕控制 ": 远程模拟鼠标及键盘输入 ( 相当于命令控制台中的 ' 控制类命令 \捕获屏幕 \屏幕控制 ') 。其余同 "查看屏幕 "；

20032003 年年 66 月月 1010日日 21:4121:41

使用“冰河”使用“冰河” 2.22.2搜索校内搜索校内 172.16.128172.16.128 网段网段

搜索结果搜索结果 :: 发现目标发现目标

搜索结束后的“冰河”主窗口搜索结束后的“冰河”主窗口 ::

看看目标机上有些什么东东…看看目标机上有些什么东东…

这是另一个目标的情况…这是另一个目标的情况…

这是使用“屏幕控制”看到的画面…这是使用“屏幕控制”看到的画面…

四、防火墙技术四、防火墙技术

防火墙（防火墙（ FirewallFirewall ）） a. 概述防火墙是一种用于保护一个网络不受来自其他网络

攻击的安全技术。它是内部网与外部网之间的一个中介系统，它通过监测、限制、修改跨越防火墙的数据流，尽可能地对屏蔽内部网络的结构、信息和运行情况，拒绝未经授权的非法用户访问或存取内部网络中的敏感数据，保护其不被偷窃或破坏，同时允许合法用户不受妨碍地访问网络资源。

其他其他除了安装在两个网络之间的防火墙，还有一种安装

在主机上的所谓个人防火墙（如“天网个人版防火墙）。

需要说明的是，防火墙不能防范不通过它的连接，如防火墙内的入侵者，或者站点允许对防火墙后面的内部系统进行拨号访问。所以防火墙只用于防止来自外部网络非法用户的恶意攻击，而且是一种被动的防御技术。要进一步提高网络的安全性，重要网络还应配备入侵检测系统（ IDS ， Intrusion Detection System ），其作用是对潜在的入侵行为作出记录，并对攻击后果进行预测。

分类分类 b. 分类防火墙从结构上看，可以是专用的硬件设备

（硬件防火墙），也可以是运行于某个计算机系统上的软件系统（软件防火墙），还可以集成在路由器中。

从工作原理来看，防火墙可以分为： - 包过滤防火墙 - 应用级网关（代理服务器） - 状态检测防火墙

包过滤防火墙包过滤防火墙通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态，按网络管理员设定的过滤规则确定是否允许该数据包通过。

优点：速度快，简单低廉 , 广泛应用于路由器上。缺点：配置好包过滤规则比较困难，易出现漏洞。

单纯的包过滤防火墙容易被黑客用“ IP欺骗攻击”等攻破（ IP欺骗攻击：通过向防火墙发出一系列含有一串顺序的 IP 地址的信息包，一旦有一个包通过了防火墙，就可用这个 IP 地址来伪装成被信任的主机建立应用连接）。

应用级网关（代理服务器）应用级网关（代理服务器）代理服务器象一堵墙一样挡在内部网络和外

部网络之间，从外部只能看到该代理服务器而无法获知任何内部资源。

优点；比单一的包过滤防火墙可靠，且可以详细记录所有访问状态信息。

缺点：执行速度慢，安装代理服务器的操作系统本身易遭到攻击。

状态检测防火墙状态检测防火墙这种防火墙由一个“监测引擎”截获数据包

并抽取有关信息按有关安全规定进行检查和分析，作出接纳、拒绝、身份认证、报警等反应。一旦某个访问违反安全规定，就会拒绝该访问。目前已在国内外得到广泛应用。

优点：非常坚固缺点：会降低网络的速度，且配置比较复杂。

五、入侵检测技术五、入侵检测技术

IDSIDS 概述概述 IDS （ Intrusion Detection System ，入侵检测

系统 ) 是一种能对潜在的入侵行为作出记录和预测的智能化、自动化的软件或硬件。如对网络中传输的数据包进行分析，如果在不同的端口检测到大量的 TCP 连接请求，就可以发现 TCP端口扫描的攻击企图。

介绍一种简单的 IDS 工具软件： BlackICE （黑冰）

黑冰的安装黑冰的安装

Documents

第五章 Internet 与网络安全