Internet安全体系结构之二

第7章Internet平安体系结构

之二传输层定义网络层和面向应用层的接口。建立应用间的端到端连接，并且为数据传输提供可靠或不可靠的连接效劳功能包括：连接管理、分组组装、效劳识别、流量控制等。传输层的两个核心成分：传输层端口和序列。7.1传输层核心功能TCP协议TCP协议是面向连接的端到端的可靠的传输层协议。支持多种网络应用程序，同时假定下层只能提供不可靠的数据报效劳，可在多种硬件构成的网络上运行。在实现TCP的主机上，TCP不直接和网络打交道，控制网络的任务由专门的设备驱动模块完成。TCP只是调用IP接口，IP向TCP提供所有TCP需要的效劳。TCP首部源端口和目标端口用于定位源端的应用进程和目的端的应用进程。序列号和确认号〔32比特〕：TCP发送的流中的每个字节都是编号的头长度〔4比特〕：以4字节为单位表示TCP头的大小。标志〔6比特〕：标志字段局部包含6个标志位，它说明了其他字段含有有意义的数据或说明某种控制功能。窗口〔16比特〕：此字段告诉接收这个段的TCP实体，除了那些已被确认的，它还可以发送多少数据字节。校验和〔16比特〕：用于传输层过失检测。紧急指针〔16比特〕：是一个正的偏移量，和序号字段中的值相加表示紧急数据最后一个字节的序号。选项字段用于确定TCP实体可从其他实体收到的段的最大尺寸。数据〔可变大小〕：用户提供的数据。URG紧急指针有效ACK确认序列号有效PSH接收方应当尽快将这个报文交给应用层RST连接复位SYN同步序列号用来发起一个连接FIN发送端完成发送任务发送SYN(seq=Nctl=SYN)接收SYNTCP的连接建立1发送SYN(seq=Nctl=SYN)接收SYN发送SYN,ACK(seq=Mack=N＋1ctl=syn,ack)接收SYN12TCP连接建立发送SYN(seq=Nctl=SYN)接收SYN发送SYN,ACK(seq=Mack=N＋1ctl=syn,ack)建立会话(seq=N＋1ack=M＋1ctl=ack)123接收SYNTCP连接建立7.1.1端口和套接字套接字〔Socket〕：主机上的进程是通过端口号来区别的。计算机中的不同进程可能同时进行通信，它们用端口号来区别，由网络地址和端口号的组合到达唯一标识的目的。发送套接字=源IP地址+源端口号接收套接字=目的IP地址+目的端口号传输层使用网络层来建立结点之间的连接，网络层路由提供网络套接字。套接字有主动和被动的两种。主动套接字指示建立网络连接，效劳器使用被动套接字，等待和监听网络连接。端口号TCP端口号F

T

P传输层T

E

L

N

E

TD

N

SS

N

M

PT

F

T

PS

M

T

PUDP应用层2123255369161R

I

P5207.1.2排序传输层从高层接收数据块，并将其分组，每个分组赋予一个唯一的序列标识，用来跟踪分组。传输层保持一些已经用于端口的序列号表，以防止序列号重复。7.1.3序列拦截攻击者要观察传输层分组必须识别序列，以插入或拦截连接。序列号的产生最好不要依次渐增，否那么攻击者易于预测下一个分组的序列号。随机初始序列号通常用于传输连接的开始，以阻止攻击者猜测第一个分组。解决传输层拦截的方法大局部需要的平安效劳是依靠高层协议来做连接的身份鉴别。7.2传输层风险7.2.1传输层拦截传输层拦截攻击需要两个条件：攻击者必需对某种类型的网络层破坏；攻击者必需识别传输序列。没有拦截和继续传输序列的能力，分组无法得到答复响应，新的分组也不能接受。为完成一次拦截，攻击者必需伪装网络层通信。7.2.2一个端口和多个端口的比较减少结点的端口数，能减少攻击因素。加固的效劳器将开放的端口数减少到只有根本效劳。少量端口翻开的系统更平安。但是某些效劳支持多路端口，或基于效劳需求翻开新的端口。7.2.3静态端口赋值和动态端口赋值远程客户连接到效劳器需要两个条件：效劳器的网络地址；传输协议和端口。客户启动效劳器连接时，通常连接到效劳器的周知端口。某些高层协议不使用固定端口号，不用单个端口于全部通信，控制效劳使用周知端口，数据传输那么用动态端口。但动态端口会引起不平安的风险，因为大范围的端口必需都可以访问网络。7.2.4端口扫描端口扫描的任务是企图连接到主机的每一个端口。扫描方法一般有两种：一种是目标端口扫描，用以测试特定的端口；一种是端口扫除，用以测试主机上所有可能的端口。防御扫描的方法有：非标准端口；无答复防御；总是答复防御；敲打协议；主动扫描检测以及成心延迟。7.2.5信息泄露一般传输层对传输的数据不进行加密，因此传输层协议本身并不对信息保护。通常通过高层提供身份鉴别和加密。7.3TCP侦察大局部TCP的实施允许参数定制以优化连接。这些值的默认选择是由操作系统定的。它能识别专门的操作系统版本和补丁的级别。1.初始窗口大小不同操作系统使用不同初始窗口大小。当TCP会话继续时，窗口大小会增加，而总的增加值多少也是由操作系统确定的。2.TCP选项每个TCP分组包含TCP报头值的一些选项，不同的操作系统支持不同的选项、值和次序。3.序列号所有实施TCP系统用同样的方法增加序列号，但是初始序列号是各个操作系统特定的。序列号能用来识别操作系统、版本，以及补丁版本的信息。4.客户端口号不同的操作系统使用不同的动态端口号范围，供客户选择。观察动态端口号的范围，可以帮助识别操作系统。5.重试当TCP分组没有收到答复响应，分组重新分送。重试的次数以及间隔是不同操作系统特定的。可以通过SYN重试、SYN-ACK重试以及ACK重试3钟不同方法来确定。7.3.2端口扫描TCP端口扫描用来识别运行的效劳。端口扫描企图连接到端口并记录结果。SYN-ACKRSTICMP不可达什么也没有日志网络监控工具，诸如IDS和IPS，一般监控和日志SYN请求以及任何不包括局部建立连接的通信。SYN分组被记录，未请求的ACK和RST分组也被日志。基于这些分组的频度、类型和次序，一些工具能识别网络扫描。7.4TCP拦截任何干扰TCP连接的攻击都归结为TCP拦截。1.全会话拦截全会话拦截常常需要攻击者具有直接的数据链路访问。运行在随意模式，攻击者观察网络地址、端口以及用于连接的序列号。2.ICMP和TCP拦截遇到恶意使用时，ICMP能将TCP连接重新指向不同的端口和不同的主机。 TCP会话劫持攻击者重定向客户和效劳器之间的数据流，使之经过攻击者的机器，就可以截获到他们之间的通信。在攻击过程中，可以采取被动攻击以免引起注意，即客户的所有命令保持原样被发送到效劳器，效劳器的响应也不加修改地发送给客户。对于客户和效劳器来说，它们都认为是在直接进行通信。由于攻击者可以看到序列号，有必要的话，它可以把伪造的数据包放到TCP流中。这将允许攻击者以被欺骗的客户具有的特权来访问效劳器。攻击者同样也可以查看所有同攻击相关的输出，而且不把它们送往客户机，这样的攻击是透明的。在这种情况下，攻击者甚至于不需要知道访问机器所需的口令。攻击者只需简单地等待用户登录到效劳器，然后劫持(Hijack)会话数据流即可。TCP会话劫持 可以看出，TCP会话劫持能成功的前提首先是TCP建立连接的三次握手过程中没有任何的认证机制。TCP假定只要接收到的数据包包含正确的序列号就认为数据是可以接受的。一旦连接建立，效劳器将无法确定进入的数据包是确实来自真正的客户机器而不是某一台假冒的机器；当然，攻击要成功还需要能准确地获得效劳器的ISN。伪造IP地址入侵者使用假IP地址发送包，利用基于IP地址认证的应用程序，其结果是使未授权的远端用户进入带有防火墙的主机系统。TCP序列号猜测攻击TCP序列号猜测攻击是由RobertMorris首先提出来的，并由黑客KevinMitnick在1995年圣诞节利用这种技术成功入侵了物理学家TsutomuShimomura在SanDiego超级计算机中心的计算机系统。这种攻击利用了应用程序之间基于IP地址的认证机制，攻击者通过IP地址欺骗获得远程系统的非法授权访问。7.5TCPDoSDoS攻击有两个目的，其一是能使受害者不能执行任务，其二是更秘密的攻击。1.SYN攻击每个TCP实施分配用于管理连接的内存。每个连接包括网络地址、端口、窗口大小信息、序列号以及用于入出分组的缓存空间。当每个效劳器收到SYN就分配内存。SYN攻击发送大量的SYN分组来消耗可用的内存。图SYNFLOODING示意图缓解SYN攻击风险的方法：增加SYN队列，以增加允许的连接数，减少SYN超时，以降低SYN攻击的影响以及当攻击停止时，可快速恢复；用SYNCookies以防止因SYN攻击而消耗内存。2.RST和FIN攻击RST攻击是发送RST〔或FIN〕分组，反常地结束已建立的连接。3.ICMP攻击盲目ICMP攻击也能使TCP不能连接。4.LAND攻击发送一个SYN分组到端口的开放效劳，而答复地址和端口伪装成指回同一个系统，形成一个反响环路，使系统很快摧垮。由于TCP是具有高优先权的内核级进程，这也就意味着TCP相对其它非内核应用程序具有更高的权限。根本上，它将中断其它的正常系统操作以声明更多的内核资源来处理进入的数据。这样，无限循环很快会消耗完系统资源，引起大多数系统死机。只有少数系统在内核资源耗尽情况下还可以继续稳定运行。7.6缓解对TCP攻击的方法1.改变系统框架TCP和网络效劳攻击有两类，即盲目攻击和定向攻击。前者没有假定的攻击目标，通过试探发现漏洞。定向攻击针对特定操作系统平台和网络效劳。通过改变系统框架就可缓解攻击者的识别。不同的框架包括SYN超时、重试计数、重试间隔、初始窗口大小、可用的TCP选项以及初始序列值。2.阻断攻击指向防火墙用来限制网络访问。阻断ICMP通信能消除来自远程ICMP淹没、拦截和重置攻击的风险。3.识别网络设备识别网络设备和已受攻击的漏洞，可设法预先防止。4.状态分组检验SPI跟踪TCP连接状态以及拒绝和状态不匹配的分组。5.入侵检测系统〔IDS〕IDS对非标准的或非期望的分组的网络进行监控。6.入侵防御系统〔IPS〕IPS扩展了IDS功能，从仅仅是日志记录到采取行动。IPS能使攻击指向不成功，而采取正确的行动。7.7UDP〔用户数据报协议〕UDP与TCP位于同一层，它是一个简单的协议，它提供给应用程序的效劳是一种不可靠的、无连接的分组传输效劳。因此，UDP的报文可能会出现丧失、重复、延迟以及乱序，使用UDP的应用程序必须负责处理这些问题。对于某些应用程序来说，数据报的丧失或者数据包到来的顺序并不重要。由于UDP协议无需额外提供字段保证可靠性，因此在性能上要超过TCP协议。比方在视频和声频中的应用就是很好的例子。丧失几个包对于用户来说是完全可以接受的。图UDP数据报的字段格式UDP攻击常常基于无效的分组以及伪装1.非法的进入源UDP效劳器不执行初始握手，任何主机能连接到UDP效劳器。而且连接是无须进行身份鉴别的。任何类型的UDP分组都能淹没一个效劳器。2.UDP拦截UDP效劳器可从任何主机接收分组，而无须进行身份鉴别。这意味着UDP是十分易于拦截的。3.UDP保持存活攻击客户不在监听分组时，攻击者能发送UDP分组到防火墙，以保持防火墙端口翻开。4.UDPSmurf攻击攻击者伪造被害者的网络地址作为分组发送者，效劳器响应发送一个或更多UDP分组给被害者。5.UDP侦察7.8平安套接字层SSLTCP/IP协议本身没有加密、身份鉴别等平安特性传输层平安协议TLS/SSL：TransportLayerSecurity/SecureSocketsLayer,传输层平安/平安套接字层SSH:SecureShellProtocol,平安外壳协议SOCKS:SocketSecurity,套接字平安协议RPC:RemoteProcedureCall,远程过程调用传输层平安协议SSLSSL最初由NetscapeCommunicationCorporation开发一套Internet数据平安协议，用于Web浏览器与效劳器之间的身份认证和加密数据传输。该公司于1994年11月推出SSLV2.0。SSLV3.0于1996年3月推出。它不仅解决了SSLV2.0存在的问题，还支持更多的加密算法。IETF于1999年1月推出TLSV1.0。TLSV1.0是一个Internet标准，完全建立在SSLV3.0的根底上，又称SSLV3.1。Microsoft宣布与Netscape一起支持TLS1.0。1999年，正式发布了RFC2246，也就是TheTLSProtocolv1.0的正式版本。这些协议在浏览器中得到了广泛的支持，IE浏览器的SSL和TLS的设置如图:SSL的特点SSL位于TCP层和应用层之间，SSL为应用层数据提供传输过程中的平安，它提供的连接平安有三个特点：〔1〕连接是保密的，对称加密用于加密数据；〔2〕实体的身份通过公钥加密得到验证；〔3〕连接是可靠的，带密钥的MAC用于保证消息的完整性。IPHTTPFTPSMTPTCPSSLorTLSSSL协议的目标就是在通信双方利用加密的SSL信道建立平安的连接。它不是一个单独的协议，而是两层协议，低层是SSL记录协议层，简称记录层；高层是SSL握手协议层，简称握手层。结构如图：TLS/SSL部件记录协议分片、数据压缩、加/解密、身份认证、数据完整性检查握手协议所有与平安相关的参数，如：协议版本号、加/解密算法、身份认证报警协议信息错误的严重程度及警告描述修改密码标准协议加密策略改变的通知SSL记录协议记录协议层的功能是根据当前会话状态给出的压缩算法，CipherSpec给出对称加密算法、MAC算法、密钥长度、Hash长度、IV长度等参数，以及连接状态中给出的Client和Server的随机数、加密密钥、MACsecrets、IVs、消息序列号对当前的连接中要传送的高层数据实施压缩/解压缩、加/解密、计算/校验MAC等操作。SSL记录协议为SSL连接提供两种效劳：〔1〕机密性：握手协议定义了共享的、可以用于对SSL有效载荷进行常规加密的密钥；〔2〕报文完整性：握手协议定义了共享的、可以用于形成报文的MAC码和密钥。SSL记录协议的操作步骤如下：〔1〕分片：每个上层报文被分成16KB或更小的数据块。〔2〕压缩：压缩是可选的应用，压缩的前提是不能丧失信息。〔3〕增加MAC码。〔4〕加密。〔5〕增加SSL首部。SSL记录协议SSL握手协议SSL握手协议使得效劳器和客户能相互鉴别对方的身份、协商加密和MAC算法以及用来保护在SSL记录中发送数据的加密密钥。握手协议由一系列在客户和效劳器之间交互的报文组成。所有这些报文具有三个字段：〔1〕类型〔1字节〕：指示10种报文中的一个；〔2〕长度〔3字节〕：以字节为单位的报文长度；〔3〕内容〔>=1字节〕：和这个报文有关的参数。OpenSSL概述目前实现SSL/TLS的软件虽然不多，但都很优秀。除了SSL标准提出者Netscape实现的，OpenSSL是一个非常优秀的实现SSL/TLS的开放源代码软件包，主要是作为提供SSL算法的函数库供其他软件调用而出现的，可给任何TCP/IP应用提供SSL功能。1995年，EricA.Young和TimJ.Hudson开始开发OpenSSL，后来不断开展更新，直到现在，SSL还在不断的修改和完善，新版本也不断的推出。最新的版本可以从OpenSSL的官方网站下载。IP层平安机制的主要优点是它的透明性，即平安效劳的提供不要求应用做任何改变。这对传输层来说是做不到的。传输层平安机制的主要缺点就是对应用层不透明，应用程序必须修改以使用SSL应用接口，而且要对传输层建立起平安机制。同网络层平安机制相比，传输层平安机制的主要优点是它提供基于进程对进程的平安效劳和加密传输信道，利用公钥体系进行身份鉴别，平安强度高，支持用户选择的加密算法。互联网是基于TCP/IP协议的，要进行通信必须获得对方的IP地址，这是通过DNS效劳器来实现的。域名系统(DNS)是一种用于TCP/IP应用程序的分布式数据库，它提供主机名字和IP地址之间的转换及有关电子邮件的选路信息。DNS定义了一个用于查询和响应的报文格式。以以下图显示了这个报文的总体格式。7.9DNS风险及缓解方法DNS查询和响应的一般格式DNS查询DNS客户端使用运行在客户机上的一个本地进程DNS解析器，来访问DNS分布式的数据库系统。递归查询：DNS客户机发送到DNS效劳器的查询，要求DNS效劳器提供完整的查询答案，即使DNS效劳器没有所请求的信息，它也会联系其它DNS服器。迭代查询：DNS客户机允许DNS效劳器根据自己的高速缓存或DNS区域提供的最正确答案。如果DNS效劳器不能答复，那么它会返回一个指针，指向有下级域名空间授权的DNS效劳器。这种类型的查询通常由试图解析DNS客户机的迭代查询的DNS效劳器发出。DNS解析过程有两种类型的DNS查询：A类型和PTR类型。A类型查询表示希望获得被查询域名的IP地址；PTR查询(也称为指针查询)那么请求获得一个IP地址对应的域名。实际上，DNS是Internet上的一个标准机制，用来发布和访问关于主机的各种信息，而不只是地址。几乎所有的网间互联软件都在使用DNS，包括电子邮件、远程终端程序〔Telnet〕、文件传输程序〔FTP〕以及Web浏览器。DNS的另一个重要特性就是它使主机信息在Internet上随处可得。将主机信息按照某种格式存为文件，放在某台计算机上，并只对那台计算机的用户有用。DNS那么提供了一种远程检索信息的方式，用户能从网络上任何一个地方查找信息。DNS还能将主机信息的管理分布到许多地点和组织。DNS平安的前提是假定DNS效劳器之间是可信的，即DNS系统假定DNS效劳器不会成心提供错误的信息。1.无身份鉴别的响应攻击者观察DNS请求，能伪造一个DNS答复。图未经身份鉴别的DNS响应攻击2.DNS缓存受损攻击者观察DNS请求，并生产一个伪造的DNS答复，含有一个长的缓存超时值。受损的DNS效劳器可对任何数据请求提供假数据。这就使请求者的域不可达。而且会一直提供错误的信息，只要受损信息在缓存中。3.ID盲目攻击攻击的方法是生成DNS答复的泛滥，每个答复包含一个不同的会话标识。图ID盲目攻击4.破坏DNS分组DNS协议规定了查询和答复的数据大小。某些DNS实施没有适当地检查数据边界。分组可声称含有比实际更多的数据，或没有包含足够的数据。结果是缓冲器溢出和缺乏。直接的DNS风险是由于协议本身的影响，但技术风险是基于配置的问题。1.DNS域拦截任何DNS效劳器的所有者能把效劳器配置为任何域的一级源。但DNS的层次结构能阻止这类配置作为无效信息在Internet中泛滥。DNS拦截是可行的，通用的阻止这些风险的缓解方法是使恶意软件不能搜集主机。利用DNS效劳器来阻断不希望的主机名查找能阻断访问不希望的站点。2.DNS效劳器拦截DNS效劳器能被拦截。被拦截的效劳器能配置成提供不同的主机信息或包含一些新的主机名。DNS拦截通常发生的两种情况，即系统被破坏或IP拦截。为缓解系统被破坏的风险，关键的DNS效劳器应运行在加固的系统。3.更新持续时间缓存DNS效劳器同每个DNS项的超时相关联。当主机配置改变时，超时防止数据失效。假设超时值太大，那么不能立即完成改变。管理者立即重新定位主机，那么缓存效劳器将指向错误的地址。4.动态DNS动态DNS〔DDNS〕解决DHCP的主机名问题。使用DDNS，DHCP的客户能在本地DNS系统放主机名。DDNS确保主机名总是指到主机的新的网络地址。7.9.3社会风险1.相似的主机名腾讯公司为回报老客户，现对您免费开放5位号码注册。注册地址为＠。访问某个网站完整的格式应该是(ftp)://Username:Password@域名〔IP地址〕。通常情况下Username和Password可以为空，即匿名名访问。该地址只不过是以“qq〞为用户名，密码为空，然后访问。又如，真的工行网站，虚假的工行网站：，

等等。2.自动名字实现3.社会工程4.域更新域名注册机构并非无限期地赋予域，而是有限期的。7.9.4缓解风险的方法使DNS平安的主要方案是基于特定的效劳器配置、可信的定义以及其他一些解决方案。基于模糊平安和打补丁。根本的预防方法包括直接的、技术的、侦察以及社会威胁的缓解。1.直接威胁缓解补丁内部和外部域分开限制域的转换：域的转换限制于特定的主机鉴别的域转换有限的缓冲间隔：缓冲间隔减少至低于DNS答复规定的值。拒绝不匹配的答复2.技术威胁的缓解加固效劳器：限制远程可访问进程的数量，就能限制潜在攻击的数量。3.侦察威胁的缓解限制提供DNS信息：限制提供信息的类型和数量。限制域转换：域的转换仅限于鉴别过的主机限制请求：限制DNS请求数量可由任何单个网络地址完成。去除反向查找分开内部和外部域：内部主机名应该不允许外部可观察。去除额外信息：不是直接为外部用户使用的信息应该去除。隐藏版本：不同的版本和不同的利用相关。4.社会威胁缓解监控相似域锁住域：使用支持域锁定的域注册者。使用有效联系不间断支持自己主持5.优化DNS配置绑定〔BIND〕是通用的DNS效劳器实施。Bind是一款开放源码的DNS效劳器软件，Bind由美国加州大学Berkeley分校开发和维护的，全名为BerkeleyInternetNameDomain它是目前世界上使用最为广泛的DNS效劳器软件，支持各种unix平台和windows平台。参考文献：DNS与BIND〔第四版〕6.确定可信的答复DNS平安扩展〔DNSSEC〕提供签名以鉴别信息以及对每个答复响应的数字标记。DNSSEC在使用前需要发鉴别钥，但它只鉴别效劳器而不对内容鉴别。更为通用的方法是用两个DNS效劳器，一个用于LAN，另一个用于WAN。Email系统主要由邮件分发代理、邮件传输代理、邮件用户代理及邮件工作站组成。〔1〕邮件分发代理MDA：负责将邮件数据库中的邮件分发到用户的邮箱中。〔2〕邮件传输代理MTA：负责邮件的接收和发送。通常采用SMTP协议传输邮件。〔3〕邮件用户代理MUA：MUA并不接收邮件，而是负责将邮箱中的邮件显示给用户。〔4〕邮件工作站：是邮件用户直接操作的计算机，负责显示、撰写邮件等。7.10SMTP邮件风险邮件数据库邮件分发代理MDA邮件传输代理MAT邮件用户代理MUA邮件工作站用户邮件工作站用户邮件服务器Email系统组成传输网络根据邮件系统的组成，可以将邮件平安的目标总结如下：〔1〕邮件分发平安〔2〕邮件传输平安〔3〕邮件用户平安常用的Email平安措施如下：〔1〕身份认证：邮件转发认证、邮件收发认证等。〔2〕加密、签名〔3〕协议过滤〔4〕设立防火墙：经常设立内、外邮件效劳器，在内、外效劳器间设立防火墙。〔5〕安装邮件病毒过滤系统E-mail十分脆弱，从浏览器向因特网上的另一个人发送Email时，不仅信件像明信片一样是公开的，而且也无法知道在到达其最终目的之前，信件经过了多少机器。常见的Email平安问题有：匿名转发 发送者希望将邮件发送出去而不希望收件者知道是谁发的。这种发送邮件的方法被称为匿名邮件。E-mail欺骗 欺骗性E-mail会制造平安漏洞。E-mail欺骗行为的一些迹象是：E-mail假称来自系统管理员，要求用户将他们的口令改变为特定的字串，并威胁如果用户不照此办理，将关闭用户的账户。E-mail轰炸和炸弹 1．E-mail轰炸：E-mail轰炸可被描述为不停地接到大量同一内容的E-mail。 2．E-mail炸弹：UPYours是最流行的炸弹程序，它使用最少的资源，做了超量的工作，有简单的用户界面以及尝试着去隐蔽攻击者的地址源头。1.伪装报头及垃圾邮件邮件用户代理MUA能指定邮件报头，每个邮件中继附加接收到的报头到邮件的开头。这些报头用来跟踪报文。除了最后接收的报头以外，电子邮件报头的所有属性都可以伪造。主题、日期、接收者、内容甚至最初接收的报头都能用SMTP数据命令来伪造。垃圾邮件如此多的原因一方面是因为缺乏身份鉴别，另一个方面是因为造成伪装报头只需要很低的技巧。反垃圾邮件的解决方法主要是过滤和拦截。识别伪装的电子邮件需要把有效电子邮件和伪装电子邮件区分开来。大局部可观察的属性来自发送者及其内容。大局部电子邮件效劳器保持处理日志。2、中继和拦截SMTP并非总是将电子邮件直接发送给接收者，通常使用邮件中继来路由信息。结果是主机可以是一个中继。中继的拥有者可以读电子邮件，每个电子邮件中继有可能拦截或修改报文的内容。3.SMIP和DNSDNS用来识别邮件中继。4.低层协议SMTP也会受到低层协议，诸如MAC，IP和TCP拦截的影响，破坏正在传送的电子邮件。5.E-mail的伦理问题首先是E-mail的处理和使用。E-mail的伪装是另一类问题。SMTP无法验证电子邮件的传送以及电子邮件是否已被接收者接收。传递通知，采用回执和投递通知两种方法。PGP简介PGP加密技术的创始人是美国的PhilZimmermann。他的创造性把把RSA公钥体系和传统加密体系的结合起来，并且在数字签名和密钥认证管理机制上有巧妙的设计，因此PGP成为目前几乎最流行的公钥加密软件包。PGP开展特点选择最可用的加密算法作为系统的构造模块将这些算法集成到一个通用的应用程序中，该程序独立于操作系统和处理器，并且基于一个使用方便的小命令集。程序、文档在Internet上公开。一个商业公司提供全兼容、低本钱的商业版本。PGP广泛应用的原因支持版本多免费、可用于多平台。选用算法的生命力和平安性公众认可。具有广泛的可用性不由政府或标准化组织控制。PGP运行描述数字签名DSS/SHA或RSA/SHA消息加密CAST-128或IDEA或3DES+Diffie-Hellman或RSA数据压缩ZIP邮件兼容PGP可以发送二进制数据(加密的消息等)，但email设计成只发送文本，因此PGP必须将原始的二进制数据编码成可打印的ASCII码〔Radix64〕数据分段记号说明：

Ks :sessionkey KRa :用户A的私钥

KUa :用户A的公钥

EP :公钥加密

DP :公钥解密

EC :常规加密

DC :常规加密

H :散列函数

|| :连接

Z :用ZIP算法数据压缩

R64 :用radix64转换到ASCII格式S/MIME协议S/MIME〔Secure/MIME，平安/多用途因特网邮件扩展〕协议是对MIME在平安方面的扩展。它将MIME实体和诸如认证、签名算法等其它数据提供给CMS〔内容管理系统〕程序进行，将生成的CMS实体封装在MIME中进行传递。S/MIME支持各种流行的邮件代理：如MSOutlook,Netscape等S/MIME根本功能数据加密允许用对称密码加密一个MIME消息中的任何内容类型，从而支持保密性效劳。然后用一个或多个接收者的公钥加密对称密钥，将加过密的数据、对称密钥以及任何必要的接受者标识符和算法标识符一起附加在数据结构的后面。数据签名又称不透明签名。这一功能提供完整性效劳。发送者对选定的内容计算消息摘要，然后用签名者的私钥对消息摘要加密。数据的干净签名透明签名或明文签名，将邮件内容和签名分开发送，数字签名作为附件添加到原始邮件中。数据嵌套使用签名、加密允许加密后的数据再签名，或者先签名后再加密数据，以此提供保密性和完整性。使用的密码算法有：消息摘要算法、签字算法、加密会话密钥的公钥加密算法和加密消息的单钥加密算法。采用的算法消息摘要:SHA-1和MD5数字签名:DSS对称密钥加密：三重DES,RC2/40公钥私钥加密：RSA〔密钥长度512和1024bits,Diffie-Hellman(会话密钥)PGP和S/MIME是目前电子邮件加密的两大主流技术，都是沿用IETF的标准，但两者不兼容，PGP主要用于个人目的的电子邮件平安，而S/MIME可能会作为商用的行业标准。两个协议使用的加密算法一些是相同的，但还有一些不同的。7.11HTTP风险HTTP使用通用资源访问地址URL作为定义查询类型的缩写标记。它不仅允许标识远程效劳和文件，而且也导致暴露攻击的目标。7.11.1URL漏洞URL为用户提供了方便识别网络资源的方法，URL可识别效劳、效劳器以及资源参数。攻击者能筹划一个敌意的URL并把被害者指向另一个位置，导致被破坏。1.主机名求解攻击2.主机伪装3.统一资源标识符〔URI〕伪装URI用来描述资源和参数，但并非所有字符都是有效的。攻击者能用URI编码来伪装主机名和URI信息。4.剪切和拼接URL对远程资源定义一个逻辑通路，该通路容易被修改，最通用的两个修改方法是剪切和拼接。5.滥用查询改变URL选项的参数值能导致改变应用功能，可以导致侦查和开发漏洞。6.SQL注入SQL注入攻击是通过修改SQL命令，使提交到URL的参数和选项直接送到数据库查询。通过使用未检验的输入，攻击者能修改查询请求。SQL注入式攻击过程〔1〕某个ASP.Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码。〔2〕登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数。〔3〕攻击者在用户名字和密码输入框中输入""或"1"="1"之类的内容。〔4〕用户输入的内容提交给效劳器之后，效劳器运行上面的ASP.NET代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成：SELECT*fromUsersWHERElogin=''''or''1''=''1''ANDpassword=''''or''1''=''1''。〔5〕效劳器执行查询或存储过程，将用户输入的身份信息和效劳器中保存的身份信息进行比照。〔6〕由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者。如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。如果用户的帐户具有管理员或其他比较高级的权限，攻击者就可能对数据库的表执行各种他想要做的操作，包括添加、删除或更新数据，甚至可能直接删除表。常见的SQL注入漏洞检测工具〔1〕NBSINBSI是NB联盟的小竹编写的一款SQL自动注入工具，其功能非常强大。可以扫描注入点、自动猜解数据内容、分析IIS日志，并自定义关键字字典。〔2〕HDSIHDSI是教主〔网络ID〕开发的一款免费的网页平安性能检测工具，其中集成多种功能，是一个SQL注入利器。该工具可以自动扫描注入点、注入猜解数据内容、扫描网站后台登录地址，以及对PHP进行注入。如果漏洞页面使用SQLServer数据库，还可以让效劳器执行DOS命令并上传asp木马文件。防范sql注入式攻击要防止ASP应用被SQL注入式攻击闯入并不是一件特别困难的事情，只要在利用表单输入的内容构造SQL命令之前，把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行:⑴对于动态构造SQL查询的场合，可使用下面技术：第一：替换单引号，即把所有单独出现的单引号改成两个单引号，防止攻击者修改SQL命令的含义。第二：删除用户输入内容中的所有连字符，防止攻击者构造出类如“SELECT*fromUsersWHERElogin=‘mas’——ANDpassword=‘’〞之类的查询。第三：对于用来执行查询的数据库帐户，限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。⑵用存储过程来执行所有的查询。⑶限制表单或查询字符串输入的长度。⑷检查用户输入的合法性，确信输入的内容只包含合法的数据。⑸将用户登录名称、密码等数据加密保存。⑹检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录，但实际返回的记录却超过一行，那就当作出错处理7.跨站脚本跨站脚本XSS〔Cross-SiteScripting〕攻击发生在当用户把数据提交给效劳器后，又被送到另一用户。很多在线论坛和博客允许用户张贴内容和超级链接。张贴的东西立即可被其他用户访问。用户张贴的信息应该是受审查的。7.11.2常见的HTTP风险1.无身份鉴别的客户2.无身份鉴别的效劳器3.客户端隐私4.信息泄露5.效劳器定位轮廓6.访问操作系统7.不平安的应用程序8.低层协议WWW攻击方法1.扫描 扫描主要是观察对方效劳器上80，81，8000，8001，8080等端口是否开放。这可以分手工方式和自动方式来实现。常见的手工方式扫描就是使用浏览器逐页访问并查阅其中的源代码；自动方式就是利用脚本程序或者扫描工具来实现。这类工具非常多，著名的是利用统计学原理和模糊逻辑学技术的HTTP指纹识别工具rint(://net-square/rint/)来收集效劳器信息。普通的扫描工具也可以实现。图HTTP指纹识别工具rint2.信息收集 通过识别各个端口所运行的效劳器类型，以及仔细阅读网站提供的网页文档，来获得诸如网站结构、电子邮件地址、号码以及某些脚本程序的源代码。3.测试 攻击者对网站所采用的各种可能的应用脚本进行详细的平安性测试，已发现其中可能存在的平安漏洞，当然有些漏洞可能是已经公开的，只要核实一下即可。4.攻击规划 根据上述步骤所获得的各种信息，攻击者选择最适宜的攻击方法来试图获得非授权访问。这一步必须围绕的信息展开，并最终制定一套可靠有效的攻击方案。5.发动攻击 最后，攻击者根据规划好的攻击方案实施攻击。至此，攻击者可以操纵你的网站，或者可以获得敏感信息，直至最终控制你的系统。

WWW攻击技术

针对WWW的攻击，通常可以把它们分为两类：静态的漏洞攻击和动态的漏洞攻击。静态漏洞攻击就是常见的已公开的攻击方法；而动态的漏洞攻击那么是来自于应用程序的底层逻辑，更难于检测和防护，也是大多数平安产品的弱点，因为它们通常只能检测出的平安漏洞攻击。常见的静态漏洞攻击方法有： (1)平安缺陷(KnownExploits)：主要是利用最新公布的Web平安漏洞实施攻击，例如RDS(RemoteDataService)漏洞，红色代码漏洞以及尼姆达病毒等。 (2)目录列举(DirectoryEnumeration)：攻击者试图对整个网站的层次结构和目录结构进行映射，以获得那些仍保存访问权限的不可见目录的访问权。 (3) WWW效劳器测试(WebServerTesting)：很多Web效劳器都允许攻击者提交畸形请求，这可能导致Web系统的非授权访问。常见的动态漏洞攻击方法有： (1)链接遍历(LinkTraversal)：攻击者根据各种链接的关系勾勒出Web应用程序的结构和执行流向。这是一种信息收集攻击，通常是在攻击的初级阶段。 (2)路径截断(PathTruncation)：这同样是一种信息收集攻击。攻击者关心的只是网站的目录而不是它所包含的文件。如果一个Web效劳器的某个目录没有指定缺省网页，那么返回给攻击者的内容可能是整个目录下的内容。这使得攻击者将获得相当多的有用信息。例如，在网站存在一条链接：/customers/id/993/details.html，那么攻击可以逐级截断路径已发现有