從網上搜集的一些網絡安全相關的一些名詞,以備查詢之用。
查詢請用 <Ctrl> + <F>
補充一個網址:IT168術語詳解
UID
用戶身份證明(User Identification)的縮寫。 在NFS中,UID (也拼做 uid)是文件所有者的用戶 ID。
漏洞
漏洞是系統中的安全缺陷,漏洞可以導致入侵者獲取信息並導致不正確的訪問。
病毒
病毒是一種軟件,它可以感染您的系統並將自己隱藏在現有的程序、系統或文檔中。一旦執行了受感染的項目,病毒代碼就被激活,並將自己發送給系統中的其它程序。受感染的項目又將病毒複製給其它項目。
VPN
虛擬專用網(VPN)是一種在公用網絡中配置的專用網絡。公共運營商 多年以來已經建立了許多 VPN,這些 VPN 對於客戶而言,是一種專用的內部或外部網絡,但實際上是與其它客戶共享主幹網。已經基於 X.25、Switched 56、幀中繼和 ATM 構建了許多 VPN。現在的潮流是在 Internet 上構建 VPN。VPN 使用訪問控制和加密在公共環境中保護隱私。
Windows NT 註冊表漏洞
這一類型的漏洞允許攻擊者遠程訪問 Windows NT 機器的註冊表。可以檢查 Windows NT Remote Access Service (RAS)、Local Security Authority (LSA)、自動登錄、可更改的註冊表文件關聯、DCOM 權限、IP 轉發、以及多種丟失的補丁程序。
Windows NT 用戶漏洞
這一類型的漏洞允許用戶通過檢查可猜測的密碼、遺失的密碼、密碼歷史、不安全的策略、註銷設置和鎖定設置,從而檢索 Windows NT 用戶帳戶和密碼,達到訪問系統的目的。
SYN 包
TCP連接的第一個包,非常小的一種數據包。SYN 攻擊包括大量此類的包,由於這些包看上去來自實際不存在的站點,因此無法有效進行處理。每個機器的欺騙包都要花幾秒鐘進行嘗試方可放棄提供正常響應。
文件型病毒
在數千種已知的病毒中,大多數屬文件型,例如friday the 13th(黑色星期五)病毒。文件型病毒的傳染機制是:將自身附加到其他文件上,宿主文件主要是以EXE或COM爲擴展名的可執行文件。這類病毒可以修改宿主代碼,將其自身代碼插入到文件的任何位置,在某個時刻擾亂程序的正常執行過程,以使病毒代碼在合法 程序之前被搶先執行。
SYS
用於諸如 admind 或 sadmind 等程序的認證安全級別。
在這個安全級別上,服務器從客戶端系統收到初始的用戶和組識別信息,並將它們用做驗證檢查。沒有任何檢查來確定用戶的 UID 在服務器系統上代表同一個用戶。這就是說,假定 Administrator 已經使 UID 和 GID 在網絡中的所有系統中保持一致。要進行檢查,以確定該用戶有權限執行該請求。
TCP/IP
傳輸控制協議/Internet 協議。由美國國防部簽約開發的一種用於內部網絡系統的通訊協議。它實際上是 Unix 標準,作爲一種 Internet 的協議,並被所有平臺廣泛支持。它也是一種常用的速記方式,指的是運行在 IP 上的傳輸和應用程序協議的集合。
TCP/IP 的 TCP 部分提供傳輸功能,保證發送的所有字節都能在另一端正確接收。TCP/IP 的 IP 部分提供路由機制。TCP/IP 是一個可路由的協議,這意味着所傳輸的信息包含目標網絡的地址以及目標站。TCP/IP 消息可以發送到公司內部或全世界的多個網絡,因此可以在 Internet 中使用。
超級用戶
一個有不受限制的訪問權限的計算機帳戶,可以在計算機上執行任何操作。
SSL
加密套接字協議層(Secure Sockets Layer)是 Internet 上領先的安全協議。當 SSL 會話開始後,Web 瀏覽器將公共密鑰發送給 Web 服務器,這樣服務器可以很安全地將私人密鑰發送給瀏覽器。瀏覽器和服務器在會話期間,用私人密鑰加密交換數據。SSL 是由 Netscape 開發的,SSL 可能與由IETF提出的協議和驗證方法併入名爲 Transaction Layer Security (TLS) 的新協議。
Ssh
Ssh (Secure Shell) 是一種程序,用於從網絡登錄到其他計算機、執行遠程機器上的命令、以及將文件從一臺計算機移到另一臺計算機上。它提供了對於不安全頻道的強身份驗證和安全通信。它監聽端口 22 的連接。
SshSsh 可以完全替代 rlogin、rsh、rcp 和 rdist。 在很多情況下,該程序可以替換 telnet。
Spoofing
假冒傳輸信息的發送地址,以非法進入安全系統。掠取或假冒另一個用戶的 IP 地址通常剝奪了該用戶使用該 IP 地址的權力。
SNMP
簡單網絡管理協議(Simple Network Management Protocol)廣泛用於網絡監視和控制協議。數據從 SNMP 代理髮出,代理將每個網絡設備(集線器、路由器、橋等等)的活動報告給監視整個網絡的工作站控制檯。代理返回的信息包含在 MIB (Management Information Base)中,MIB 是一個定義可從設備獲取的以及可控制的(打開、關閉等等)的數據結構。SNMP 起源於 Unix,現在已經廣泛用於所有主要平臺上。
Sniffing
捕捉用於網絡上其它機器的信息。Sniffing 是攻擊者最長使用的攻擊形式。
例如,可以配置 Ethernet 網中的機器以接收所有的包,不管其包頭中的目的地如何。由於經常以明碼方式傳輸帳戶和密碼信息,入侵者很容易攻擊網絡中的所有機器。
Shadow 密碼
包含用戶名和加密密碼的文件。 防止用戶讀取其他用戶的密碼,但是需要合法訪問的程序可訪問陰影密碼文件。
在 Unix 系統中,shadow 密碼方案替代在密碼文件框中的星號(*)或無意義的字符。
安全區域
在 Windows NT 和 Windows 95/98 中,當您使用網絡或訪問已認爲是可信的 web 站點時,“安全區”提供對您的計算機和隱私的保護,而不用重複的警告中斷您。公司“管理員”特徵允許公司設置自動邊界,因此用戶不必使安全決策基於個例的基礎。
根據指定 Web 站點的安全區域,Internet Explorer 4.x 提供不同級別的安全。例如,您很可能信任公司 intranet 中的站點,因此您很可能想允許所有類型的活動內容在此處運行。您可能對 Internet 中站點感覺不太信任,因此可以指定它們到“未信任”區,防止活動內容運行和防止代碼下載到您的計算機。
關於“安全區”的更多信息,請參閱“Internet Explorer 功能概覽”的“安全區交付能力和保護”,網址是:http://www.microsoft.com/ie/ie40/fe...s/sec-zones.htm
掃描
掃描運行掃描策略,執行檢測系統中弱點和漏洞的檢查。
RFC
RFC(備註請求)是一個公開發表的文檔,描述了建議的技術的規格說明。 Internet Engineering Task Force (IETF) 和其他的標準團體使用 RFC。RFC 可從很多來源獲得,包括 http://www.yahoo.com/Computers_and_...Standards/RFCs/
緩衝溢出
緩衝溢出指所傳遞參數的長度超出了某個函數所定義的範圍。該函數沒有校驗參數的長度是否小於或等於其定義範圍。然後將整個參數(過長)複製到一段長度很短的存儲區域中,從而引起該函數的某部分存儲區域被覆蓋,通常是改變了參數棧/調用棧。
緩衝
指對數據進行處理之前或處理期間用於保存它們的一段存儲區域。
強力攻擊漏洞
這種類型的漏洞允許攻擊者可以通過很多次的嘗試轟擊系統以進入該系統,常用的方法是通過使用各種可能的服務進行登錄。這種方法基於假設用戶不會經常更改他們的密碼,或者使用了脆弱的密碼,最終強力攻擊將會破解這些密碼。
後門
有時也稱陷門。一種用於獲得對程序或在線服務訪問權限的祕密方式。它是由程序的開發者內置於程序中,通過它可以對特定的功能進行特殊的訪問。例如,內置於操作系統中的某個後門可能會允許運行該操作系統的任何計算機進行不受限制的訪問。
AUSCERT
Australian Computer Emergency Response Team (AUSCERT) ,位於澳大利亞,爲計算機社團解決計算機事故和預防提供可信任的單獨服務。AUSCERT 的宗旨是減少安全攻擊的可能性,減少組織的安全的直接成本,最小化由於成功的攻擊而引發的安全風險。
AUSCERT 是 Incident Response and Security Teams (FIRST) 論壇的成員,並和 CERT Coordination Center (CCC) 以及其他國際的 Incident Response Teams (IRTs) 和 Australian Federal Police 有緊密的聯繫。
AUSCERT 提供匿名 FTP 服務,網址爲:ftp://ftp.auscert.org.au/pub/。這裏包含過去的 SERT 和 AUSCERT Advisories,以及其他計算機安全信息。AUSCERT 同時也支持 World Wide Web 服務,網址爲:http://www.auscert.org.au/
匿名 FTP
在其他計算機上使用 FTP 而無需擁有在其上的帳號或口令的功能。此時,您作爲匿名登錄。因此,這種從其他計算機上存放或取回文件的方式稱爲 匿名 ftp
Alerter服務
一種 Windows NT 服務,通知選定的用戶和計算機在一臺計算機上發生了管理警告。由“Server”服務和其他服務調用。需要Messenger 服務。
Admind 或 Sadmind
一種分佈式系統管理守護程序,用於在管理任務通過網絡執行時執行安全任務。 SunOS 5.4 和更低版本使用 admind,而 SunOS 5.5 和更高版本使用 sadmind。
任何時間接收到一個請求後,守護程序即通過 inetd 自動運行,也可從命令行運行。在遵循這一請求之前,守護程序必須先到服務器鑑別該客戶端。當客戶端身份得到覈實後,該守護程序使用此身份允許授權。
Admind 默認的安全等級爲 SYS。 您可以使用更安全的 DES 安全等級,方法是:首先確定在域中所有的服務器已正確的設置爲使用 DES 安全等級,然後在調用該守護程序時,指定 -S 2 選項。
訪問控制列表(ACL)
一系列和文件、目錄或其他資源相關的值,定義了用戶和/或組對其進行存取的權限。
AAA
鑑定、授權和記帳(Authentication、Authorization 和 Accounting,讀作:“triple a”)網絡安全服務是一種 Cisco 協議,它提供了用於在路由器或存取服務器上建立訪問控制的主要框架。
字典攻擊
一種強制力方法,指使用常用的術語或單詞列表進行認證。例如,攻擊者發現密碼可能是使用傳統字典加上名字列表,於是使用兩個源對脆弱的密碼進行攻擊。
DES
數據加密標準(Data Encryption Standard)是一種 NIST 標準安全密鑰加密方法,使用的密鑰爲 56 位。DES 的基礎是 IBM 算法,U.S. National Security Agency (NSA) 對其進行了進一步開發。它使用了塊密碼算法,在加密文本前將其分成許多 64 位的塊。有幾種 DES 加密算法。最常見的模式是將每一個明文塊與前一個加密塊相“或”。
DES 算法速度很快,使用範圍也很廣。密鑰可以安全地存放並能再次使用。或者,密鑰可以由每一次會話隨機產生,這種情況下,新密鑰採用公用密鑰加密算法(例如 RSA)送到收信人處。
攻擊者使用 DoS 攻擊包括下列一些原因:
需要重新啓動以激活新安裝的特洛伊木馬。
攻擊者想要覆蓋攻擊痕跡、或者通過隨機的崩潰隱藏 CPU 活動。
管理員使用 DoS 攻擊的可能原因是:
確保他們的計算機安裝了最新的補丁後沒有漏洞。
終止一臺無法訪問的計算機,例如運行失去控制的進程並且引起了問題的計算機。
拒絕服務
拒絕服務 (DoS) 是一種攻擊行爲,指系統入侵者通過發送大量的信息包使系統嚴重受限或崩潰,這些信息包中包含過長的數據段、錯誤報頭信息或過量的服務請求。
守護程序
發音類似於'demon'。指運行在後臺的 Unix 程序,需要的時候它將執行相應的操作。守護程序功能類似於操作系統的擴展,通常是自動的進程,在啓動時初始化。典型的守護程序有打印脫機、電子郵件處理、或者在指定時間運行其他進程的調度程序。這一詞語源自希臘神話,意爲“guardian spirit”。
常見漏洞和弱點(CVE)
“常見漏洞和弱點(CVE)”數據庫由 MITRE Corporation (http://www.cve.mitre.org)維護和修訂。
密文
密文是在當前格式下不可讀的數據。密文是在加密過程 中生成,用於安全的數據傳輸。
CGI
公共網關接口(Common Gateway Interface)是一種用腳本語言(例如 Perl)編寫的小程序,用於實現 HTML 頁面和 Web server 上其他程序之間的通信。例如,一種 CGI 腳本,它能把在 Web 頁面中輸入的搜索關鍵字發送給數據庫。還能將搜索結果格式化到一個 HTML 頁面上,返回給用戶。
CHAP
Challenge Handshake Authentication Protocol 是一種對用戶的 ID 和密碼動態地進行加密的訪問控制協議。在用戶的機器上的登錄程序從 CHAP 服務器上獲得一個密匙,該密匙將在發送用戶名和密碼前對其進行加密。
數字證書
也稱爲“digital ID”,證書等於一張數字的身份證。它由認證權威機構(CA),例如 VeriSign, Inc.,對某個擁有者的公鑰進行覈實之後發佈。證書是由 CA 進行數字簽名的公鑰。證書通過加密的郵件發送以證明發信人確實和其宣稱的身份一致。
範圍檢查
範圍檢查,也叫做參數驗證,是一種用於防止對無效參數進行操作的技術。在沒有執行參數驗證時,可能由用戶(可能是遠程用戶,也可能是匿名用戶)使用無效參數激活該功能,導致拒絕服務、數據丟失,或更加嚴重的安全問題。GetAdmin exploit for Windows NT 是一個很好的示例,該示例通過使用 Win32 API 參數驗證中的缺陷(特別是欠缺驗證),破壞了驗證。
範圍錯誤可導致多個溢出,如超出矩陣索引限度或內存地址,或當您輸入一個常數時,沒有這一類型的數據。但是,有些語言不將溢出視爲錯誤。 在很多 C 的實例中,數學溢出導致結果降低-例如,如果 m 是最大的整型值,而 s 是最小的,則 m + 1 =〉 s。
在複雜系統中執行被請求的操作前,如果沒有考慮到用戶權限,也可能發生範圍錯誤。這就是說,FTP 服務器在允許用戶重命名前不檢查寫權限,(如 wu-ftpd 中的 FTP RNFR 漏洞),在某中意義上說,就是範圍檢查錯誤。 另一個示例是,Win32 中的一個函數在不檢查調用者的權限前,允許它們對系統中的內存進行寫操作。(GetAdmin 漏洞) 緩衝區溢出也與範圍檢查相關。
PWL 文件
Windows 95、Windows for Workgroups 以及用於 DOS 計算機的 Microsoft Client 上的密碼緩存文件。包含最近或經常訪問系統的密碼。由於遠程攻擊者經常可以訪問 PWL 文件,而且其密碼的加密很弱,因此被視爲一種風險。
公共密鑰
公共密鑰加密系統的兩個部分中的公開部分,例如 RSA。只有所有者才知道私用部分的內容。
私用密鑰
公共密鑰加密系統的兩個部分中的私有部分,諸如 RSA。私有密鑰是保密的,不通過網絡傳輸。
PPTP
點對點的報文封裝協議將其它在 IP 網絡上傳輸信息的協議封裝起來。例如,可以用它在 Internet 上發送 NetWare IPX/SPX 包。它的 RSA 加密方式在公用 Internet 中創建虛擬專用網 (VPN)時,非常有用。遠程用戶可以從任何服務器支持 PPTP 的 ISP 處,訪問公司網絡。
PPP
點對點協議是一種數據鏈接協議,提供通過串形線的撥號訪問。它可以在包括 POTS、ISDN以及高速線路上 (T1, T3, etc.)的 全雙工 鏈接上運行。由 Internet Engineering Task Force (IETF) 在 1991 年開發,已經在 Internet 訪問中廣泛應用,成爲運行更高級別協議的方法。
專用 Network Control Protocol 包的 PPP 封裝協議;例如,IPCP (PPP 上的 IP)以及 IPXCP (PPP 上的 IPX)。可以用該協議替換網絡適配器驅動程序,使遠程用戶可以像在家中一樣登錄網絡。PPP 可以在通話質量很低時,掛斷電話重撥。
PPP 還用口令驗證協議 (PAP) 和更加嚴格的競爭握手確認協議 (CHAP)提供密碼保護。
端口
進出計算機的路徑。個人計算機的串口和並口是用於插接通訊線、modem 和打印機的外部插槽。在編程過程中,端口可以是符號接口,也可來自於應用程序或實用工具。
每個服務器應用程序都分配了一個端口號,以將數據發送給相應的服務。
修改軟件,以運行在不同的計算機環境中。 “將程序發送給 Windows NT”意味着程序員修改了應用程序,使之能在 Windows NT 下運行。
明文
普通的未加密的文本,可以用文本編輯器和字處理程序讀取。
Ping 炸彈
持續 ping 另一個用戶,主要是通過 IRC 進行的,試圖將用戶踢下網絡或使機器崩潰。
Ping
Packet INternet Groper 的縮寫。一種網絡實用程序,可以確定特定的 IP 地址 是否活動。該程序通過向特定 IP 地址發送包並等待迴應,測試並調試網絡。
Keyserv
keyserv 服務存儲所有登錄用戶使用集成安全性的網絡服務的個人密鑰,如安全的 NFS 和 NIS+。
Kerberos
Massachusetts Institute of Technology (MIT) 開發的一種用於驗證用戶的安全系統。它在登錄時建立鑑別,並貫穿會話始終。它不提供對服務或數據庫的驗證。
FTP
文件傳輸協議(FTP)允許某一主機的用戶通過 TCP/IP 網絡訪問另一主機或與之進行文件傳輸。它提供登錄到網絡、列出目錄、複製文件等功能。FTP 操作可通過在命令提示符處鍵入命令的方式來實現,也可通過運行在圖形界面(如 Windows)上的 FTP 程序來實現。 FTP 傳輸也可通過在瀏覽器中鍵入以ftp://開頭的 URL 實現。
防火牆
用於網絡安全的硬件或軟件。防火牆可以通過一個過濾數據包的路由器實現,也可由多個路由器、代理服務器和其他設備組合而成。防火牆通常用於將公司的公共服務器和內部網絡分隔開來,使相關的用戶可以安全的訪問互聯網。有時防火牆也用於內部網段的安全。例如: 人力資源子網和研發或財務子網相隔離以防止來自內部的非授權訪問。
誤報
誤報發生於以下情況:系統將一個操作歸類爲可能的入侵,而它是合法的操作。
漏報
漏報發生於以下情況:實際的入侵已經發生,但是系統系統允許它作爲非入侵行爲通過。
Exploit
一個安全漏洞或者一個利用安全漏洞的示例。 Exploit 指嘗試找出系統中所有漏洞的一種方法。ISS 產品(如 System Scanner 和 Internet Scanner)可能會在掃描過程中在系統上運行 exploit。
Exception
一種情形,通常指錯誤,引起程序、操作系統或微處理器將控制轉給服務程序。在出錯的情況下,系統將會通過 Unix 應急錯誤、內核異常或 Windows NT 藍屏死機進行終止。
加密
出於安全目的而對數據進行編碼。
分佈式拒絕服務工具
一種新的拒絕服務 (DoS) 攻擊形式,比從前所有在 Internet 上出現過的 DoS 攻擊功能更強大。 拒絕服務攻擊通過用海量的流量淹沒一個網絡使其宕掉。 這種 DoS 攻擊使用一系列已危及的系統發動針對單個目標的分佈式淹沒攻擊。 這種攻擊已經證明是非常成功的並且難以防範。
Password 文件
在 Unix 環境中,/etc/passwd 文件通常包括用戶信息和相應的加密密碼。 除了使用 password 命令以外,所有用戶對密碼文件的權限都是隻讀。目前的 Unix 系統通過將密碼存儲到 Trusted Computing Base (TCB) 或影子密碼文件中,將攻擊者獲得密碼的可能性降到最低。
Windows 95 系統用 .pwl 密碼列表文件存儲網絡或撥號密碼。密碼列表文件的內容加密很弱,被破解後還能獲得密碼信息。
位於 http://support.microsoft.com/suppor...140/5/57.asp的 Microsoft Knowledge Base Article Q140557 “Microsoft Windows 95 Password List Security Issue”推薦您使用 Mspwlupd.exe 增強安全修補文件升級或禁用密碼緩存,以達到最高的安全性。
位於 http://support.microsoft.com/suppor...s/Q132/8/07.asp Microsoft Knowledge Base Article Q132807 “Enhanced Encryption for Windows 95 Password Cache”中說明了 Mspwlupd.exe 修補文件的情況。修補文件位於 http://support.microsoft.com/downlo...es/Mspwlupd.exe (326304 字節)。
密碼技巧描述
經常更改密碼----- 您使用的密碼的時間越長,丟失密碼的危險越大。
使用好的密碼----- 不要使用人、地點或其它能表示您的名稱做密碼。
不要暴露密碼----- 您的密碼與所保護的信息價值相同。
檢查您的數據----- 如果懷疑有人已經篡改了您的文件,立即報告。
不要使終端處於無人職守的狀態----- 離開時,總是註銷或鎖定您的終端。
對計算機可疑的濫用情況進行報告----- 不管是否針對於您,濫用或誤用計算機資源只能拖延您按時完成任務。
密碼
一個用來檢查對系統或數據未經驗證訪問的安全性的術語或短語。在選擇密碼時,請考慮這些提示.
PAP
密碼驗證協議(PAP)是用於登錄網絡的基本訪問控制協議。服務器上存儲了用戶名和密碼錶。當用戶登錄時,PAP 向服務器發送用戶名和密碼,以供驗證。CHAP 也提供同樣的功能,但在發送前,要對用戶名和密碼進行加密。
操作系統
運行計算機的主要控制程序。操作系統是打開計算機後,加載的第一個程序,而它的主要部分,稱做內核,一直駐留在內存中。 它既可以由計算機供應商提供,也可以由第三方提供。
操作系統由於設置了運行在系統上的應用程序的標準,因此是計算機系統的重要組件。所有程序必須與操作系統共同運行。
操作系統與網絡操作系統的主要區別是其多用戶性能。如 DOS 和 Windows 95 等操作系統是單用戶的,是供單用戶在桌面計算機使用的。Windows NT 和 Unix 是網絡操作系統,它們是用來同時管理多個用戶請求的。
NetBus
NetBus 是一種用於 Windows 95 和 Windows NT 的 後門程序,據 NetBus Web 頁面所述,攻擊者能對您的機器執行以下操作:
打開/關閉 CD-ROM。
顯示 BMP/JPG 格式的圖象。
切換鼠標按鈕。
啓動應用程序。
播放 .wav 音頻文件。
控制鼠標。
顯示不同類型的消息。
關閉 Windows。
下載文件。
轉至 Internet 上的 URL 目標。
監聽併發送擊鍵。
捕獲屏幕圖象。
增大或減小音量。
用麥克風錄製聲音。
上傳文件。
每次按下鍵時,發出敲擊的聲音。
如果發現了 NetBus,應立刻去除。
NetBIOS
網絡基本輸入/輸出系統是針對 PC 局域網的網絡協議。 NetBIOS 通常用於一個網段或公司中,但若沒有其他協議的幫助將無法通過路由器實現數據傳輸。 一般來說 NetBIOS 地址就是計算機的名稱,因此簡化了連網和從用戶處進行尋址的任務。
NetBIOS 提供會話並傳輸服務(OSI 模型 的第 4 層和第 5 層),但是不提供通過網絡傳輸的標準格式。 NetBIOS 的不同實現已經正式集成到 NetBEUI 中,用於所有支持連網的 Windows 操作系統。
LDAP
輕量級目錄訪問協議(Lightweight Directory Access Protocol)。一個使用 Web 瀏覽器和與 LDAP 兼容的電子郵件程序訪問在線目錄服務的協議。一些人可能希望 LDAP 提供搜索 Internet 上的電子郵件地址的通用方法,最終帶來一個全球性的白頁。
LDAP 在 Internet Engineering Task Force (IETF) 中定義,以推動對 X.500 目錄的採用。LDAP 是一種相對簡單的協議,它用於更新和搜索基於 TCP/IP 運行的目錄。對於簡單的 Internet 客戶機的使用來說,LDAP 以前的“目錄訪問協議 (DAP)”太複雜。
LDAP 目錄項是帶有名稱的屬性集合。稱爲識別名稱 (DN)。DN 清楚的指明是項目。 各項目的屬性包括一個類型和一個或更多值。這些類型通常是有助於記憶的字符串,如 cn 指常見名稱,或 mail 指電子郵件地址。值取決於類型。
LDAP 目錄項以一種等級結構排列,它反映了政治的、地理的、和/或組織邊界。代表國家的項出現在該樹的最頂端,隨後是代表州或國家組織的項,然後是代表民族、組織單位、打印機和文檔等的項。
Land 攻擊
land 攻擊是一種使用相同的源和目的主機和端口發送數據包到某臺機器的攻擊。結果通常使存在漏洞的機器崩潰。
KDC
Key Distribution Centers (KDCs) 發行 Kerberos 票。每一個 KDC 包含 Kerberos 數據庫的一個副本。主 KDC 包含數據庫的主副本,它以固定的間隔向從 KDC 複製自身。所有的數據庫更改(如密碼更改)都作用於主 KDC。從 KDC 提供 Kerberos 票許可服務,但是沒有數據庫訪問。這可使客戶在主 KDC 不可用時持續獲得票。
前綴掃描攻擊
黑客和攻擊者可以利用軍用撥號器(war-dialer)掃描調製調解器線路,這些調制解調器線路繞過網絡防火牆,可以作爲闖入系統的後門,最滑稽的事情是公司在安全軟件上花了大量的錢財,到頭來對各種攻擊卻仍然是門洞大開,其原因蓋出於它忘記了保護它的所有調制解調器……。
特洛伊木馬
特洛伊木馬是一種看似合法的程序,實際上在其運行時執行不合法的活動。 該程序可用於查找密碼信息,使系統出現更多漏洞、或者只是單純破壞程序和硬盤數據。
引導型病毒
引導型病毒駐留於系統內存中,伺機傳染所訪問的每一張磁盤,直到機器重新啓動。這類病毒是駐留內存的,因此,我們可以使用chkdsk命令查看系統內存,並觀察正常的內存總量是否減少了幾千字節,以確定系統是否感染有病毒。
分區型病毒
分區型病毒將硬盤的分區住處錶轉移到另外一個扇區,然後用自身的病毒代碼代替原分區信息表,以此入侵硬盤。在讀寫軟盤時,這類病毒可以從分區信息表傳染到軟盤的引導扇區。
黑客
是英文hacker的譯音。在Internet上有一批熟諳網絡技術的人,其中不乏網絡天才,經常用網絡上現存的一些漏洞,想方設法進入他人的計算機系統。有些人只是爲了一飽眼福,或純粹出於個人興趣,喜歡探人隱私,這些人通常不會造成一些危害。但也有一 些人是存着不良動機侵入他人計算機系統的,通常會偷窺機密信息,或將其計算機系統搗毀。這部分人我們就稱其爲Internet上的 “黑客”
CIH病毒
是迄今爲止發現的最陰險的病毒之一。它發作時不僅破壞硬盤的引導區和分區表,而且破壞計算機系統flashBIOS芯片中的系統程序,導致主板損壞。CIH病毒是發現的首例直接破壞計算機系統硬件的病毒。
欺騙病毒
它被激活時,它會隱藏它對文件或引導記錄所做的修改, 這種修改是通過監視系統功能來完成的,這種系統功能是用於從存儲介質讀取文件或扇區,並且僞裝成調用了這種功能的結果。 這意味着所讀取的被感染的文件和扇區似乎與未被感染的一樣。因此病毒所做的修改可以不被反病毒程序檢測到。然而,爲了達到這一點,在反病毒程序被執行的時候,它必須駐留內存,所以通過這點,它可以被反病毒程序檢測到。
計算機蠕蟲
是自包含的程序(或是一套程序),它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統中(通常是經過網絡連接)。蠕蟲不需要將其自身附着到宿主程序。有兩種類型的蠕蟲---主機蠕蟲與網絡蠕蟲。
主計算機蠕蟲完全包含在他們運行的計算機中,並且使用網絡的連接僅將其自身拷貝到其它的計算機中,主計算機蠕蟲在將其自身的拷貝加入到另外的主機後,就會終止他自身。(因此在任意給定的時刻,只有一個蠕蟲的拷貝運行) 這種蠕蟲有時也叫“野兔”。
網絡蠕蟲由許多部分組成。而且每一個部分運行在不同的機器上 (可能進行不同的動作)並且使用網絡來達到一些通信的目的。從一臺機器上繁殖一部分到另一臺機器上僅是那些目的的一種。網絡蠕蟲有一主段,這個主段與其他段的工作相協調匹配,有時叫做“章魚”。
CERT
計算機應急小分隊(Computer Emergency ResponseTeam)是由美國聯邦政府資助專門研究計算機及網絡安全的組織,它們隨時提供最新發現的計算機及網絡安全問題,並提供一些解決方法。
遠程攻擊
遠程攻擊是這樣一種攻擊,其攻擊對象是攻擊者還無法控制的計算機;也可以說,遠程攻擊是一種專門攻擊除攻擊者自己計算機以外的計算機(無論被攻擊的計算機和攻擊者位於同一子網還是有千里之遙)。“遠程 計算機”此名詞最確切的定義是:“一臺遠程計算機是這樣一臺機器,它不是你正在其上工作的平臺,而是能利用某協議通過Internet網或任何其他網絡介質被使用的計算機”。
幽靈病毒
幽靈病毒(又叫多形型病毒)是這樣的病毒:它產生了與它自身不同的,但是操作可用的拷貝,其目的是希望病毒掃描程序將不能檢測到所有的病毒的情況。
宏病毒
是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,其中的宏就會被執行,於是宏病毒就會被激活,轉到計算機上,並駐留在 Normal 模板上。從此以後,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。
隱形病毒
隱形病毒將其附加到文件或引導扇區中,但是檢測宿主軟件時,卻顯示正常無誤。隱形病毒運行後即藏匿於內存中,然後玩起它的鬼把戲。在內存中病毒監控並截獲系統的DOS調用。若系統想打開一個帶毒文件,病毒會立刻“衝上前來”對文件解毒,允許DOS打開該文 件,一切均顯正常。DOS關閉文件後,病毒進行相反的操作,重新將其感染。
變異型病毒
這類病毒內部包含一個加密子程序,藉此幫助病毒躲避檢查;另外還有一個解密程序,以使病毒在發作時得以復原。變異型病毒可以感染各種宿主軟件。這類病毒多爲文件型病毒,但是感染引導區的變異型病毒也已經被發現。
複合型病毒
這類病毒綜合了文件病毒與引導型病毒最惡劣的特點,可以感染任何宿主軟件模塊。傳統的引導型病毒僅僅通過已感染病毒的軟盤傳播,而複合型病毒卻可以像文件型病毒那樣自由傳染,同時還可以將病毒程序寫入到引導扇區及分區信息表。因此,這類病毒尤其難以清除。 例如,Tequlia就是一種複合型病毒。
ASP
Active Server Pages,服務器端腳本編寫環境,使用它可以創建和運行動態、交互的 Web 服務器應用程序。使用 ASP 可以組合 HTML 頁 、腳本命令和 ActiveX 組件以創建交互的 Web 頁和基於 Web 的功能強大的應用程序。
ASP腳本是一系列按特定語法(目前支持vbscript和jscript兩種腳本語言)編寫的,與標準HTML頁面混合在一起的腳本所構成的文本格式的文件。當客戶端的最終用戶用WEB瀏覽器通過INTERNET來訪問基於ASP腳本的應用時,WEB瀏 覽器將向WEB服務器發出HTTP請求。WEB服務器分析、判斷出該請求是ASP腳本的應用後,自動通過ISAPI接口調用ASP腳本的解釋運行引擎(ASP.DLL)。ASP.DLL將從文件系統或內部緩衝區獲取指定的ASP腳本文件,接着就進行語法分 析並解釋執行。最終的處理結果將形成HTML格式的內容,通過WEB服務器'原路'返回給WEB瀏覽器,由WEB瀏覽器在客戶端形成最終的結果呈現。這樣就完成了一次完整的ASP腳本調用。若干個有機的ASP腳本調用就組成了一個完整的ASP腳本應用。
欺騙空間技術
就是通過增加搜索空間來顯著地增加入侵者的工作量,從而達到安全防護的目的。利用計算機系統的多宿主能力(multi-homed capability),在只有一塊以太網卡的計算機上就能實現具有衆多IP地址的主機,而且每個IP地址還具有它們自己的MAC地址。這項技術可用於建立填充一大段地址空間的欺騙,且花費極低。實際上,現在已有研究機構能將超過4000個IP地址綁定在 一臺運行Linux的PC上。這意味着利用16臺計算機組成的網絡系統,就可做到覆蓋整個B類地址空間的欺騙。儘管看起來存在許許多多不同的欺騙,但實際上在一臺計算機上就可實現。
網絡欺騙
就是使入侵者相信信息系統存在有價值的、可利用的安全弱點,並具有一些可攻擊竊取的資源(當然這些資源是僞造的或不重要),並將入侵者引向這些錯誤的資源。它能夠顯著地增加入侵者的工作量、入侵複雜度以及不確定性,從而使入侵者不知道其進攻是否奏效或成功 。而且,它允許防護者跟蹤入侵者的行爲,在入侵者之前修補系統可能存在的安全漏洞。
網絡欺騙一般通過隱藏和安插錯誤信息等技術手段實現,前者包括隱藏服務、多路徑和維護安全狀態信息機密性,後者包括重定向路由、僞造假信息和設置圈套等等。綜合這些技術方法,最早採用的網絡欺騙是Honey Pot技術,它將少量的有吸引力的目標(我們稱之爲Honey Pot)放置在入侵者很容易發現的地方,以誘使入侵者上當。
拒絕服務攻擊
它不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。利用網絡傳播病毒:通過網絡傳播計算機病毒,其破壞性大大高於單機系統 ,而且用戶很難防範。
破壞數據完整性
以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益於攻擊者的響應;惡意添加,修改數據,以干擾用戶的正常使用。
信息泄漏或丟失
指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏(如'黑客'們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、帳號等重要信息。),信息在存儲介質中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。
非授權訪問
沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式 進行操作等。
網絡安全
是一個關係國家安全和主權、社會的穩定、民族文化的繼承和發揚的重要問題。其重要性,正隨着全球信息化步伐的加快而變到越來越重要。“家門就是國門”,安全問題刻不容緩。
網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。
網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。
網絡安全的具體含義會隨着“角度”的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益。
從網絡運行和管理者角度說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法佔用和非法控制等威脅,制止和防禦網絡黑客的攻擊。
郵件炸彈
E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法,一般的電子郵箱的容量在5,6M以下,平時大家收發郵件,傳送軟件都會覺得容量不夠,如果電子郵箱一下子被幾百,幾千甚至上萬封電子郵件所佔據,這是電子郵件的總容量就會超過電子郵箱的總容量,以至造成郵箱超 負荷而崩潰。【kaboom3】【upyours4】【Avalanche v2.8】就是人們常見的幾種郵件炸彈。
PGP
Pretty Good Privacy,是一個基於RSA公匙加密體系的郵件加密軟件。可以用它對你的郵件保密以防止非授權者閱讀,它還能對你的郵件加上數字簽名從而使收信人可以確信郵件是你發來的。它讓你可以安全地和你從未見過的人們通訊,事先並不需要任何保密的渠道用來傳遞 密匙。它採用了:審慎的密匙管理,一種RSA和傳統加密的雜合算法,用於數字簽名的郵件文摘算法,加密前壓縮等,還有一個良好的人機工程設計。它的功能強大有很快的速度。而且它的源代碼是免費的。
網絡病毒
網絡中的病毒有的是良性,不作任何破壞,僅影響系統的正常運行而已,但更多的病毒是惡性的,會發作,發作的現象各有千秋:有的格式化硬盤,有的刪除系統文件,有的破壞數據庫。因此,有病毒時必須要儘快醫治,對網絡更是如此,它對網絡的破壞性遠大於單機用戶 ,損失則更不用談了。
netstat
netstat命令用於查詢與某類信息有關的子系統。打印路由選擇表、活動連接、正在使用的流以及其他一些信息。
ttraceroute/tracert命令
traceroute/tracert命令用於跟蹤數據包到達目標機器的路由,使用IP數據包的time-to-live(TTL)域,在數據包到達遠程主機前所經過的每一個網關引發一個ICMP TIME_EXCEEDED響應。
arp命令
arp命令顯示並修改Internet到以太網的地址轉換表。這個表一般由地址轉換協議(ARP)來維護。當只有一個主機名作爲參數時,arp顯示這個主機的當前ARP條目。如果這個主機不在當前ARP表中那麼ARP就會顯示一條說明信息。
Telnet
Telnet用於Internet的遠程登錄.它可以使用戶坐在已上網的電腦鍵盤前通過網絡進入的另一臺電腦已上網的電腦,使它們互相連通.這種連通可以發生在同一房間裏面的電腦或是在世界各範圍內已上網的電腦.習慣上來說,被連通計算機,並且爲網絡上所 有用戶提供服務的計算機稱之爲服務器(Servers),而自己在使用的機器稱之爲客戶機(Customer).一旦連通後,客戶機可以享有服務器所提供的一切服務.用戶可以運行通常的交互過程(註冊進入,執行命令),也可以進入很多的特殊的服務器如尋找 圖書索引.網上不同的主機提供的各種服務都可以被使用。
查詢請用 <Ctrl> + <F>
補充一個網址:IT168術語詳解
UID
用戶身份證明(User Identification)的縮寫。 在NFS中,UID (也拼做 uid)是文件所有者的用戶 ID。
漏洞
漏洞是系統中的安全缺陷,漏洞可以導致入侵者獲取信息並導致不正確的訪問。
病毒
病毒是一種軟件,它可以感染您的系統並將自己隱藏在現有的程序、系統或文檔中。一旦執行了受感染的項目,病毒代碼就被激活,並將自己發送給系統中的其它程序。受感染的項目又將病毒複製給其它項目。
VPN
虛擬專用網(VPN)是一種在公用網絡中配置的專用網絡。公共運營商 多年以來已經建立了許多 VPN,這些 VPN 對於客戶而言,是一種專用的內部或外部網絡,但實際上是與其它客戶共享主幹網。已經基於 X.25、Switched 56、幀中繼和 ATM 構建了許多 VPN。現在的潮流是在 Internet 上構建 VPN。VPN 使用訪問控制和加密在公共環境中保護隱私。
Windows NT 註冊表漏洞
這一類型的漏洞允許攻擊者遠程訪問 Windows NT 機器的註冊表。可以檢查 Windows NT Remote Access Service (RAS)、Local Security Authority (LSA)、自動登錄、可更改的註冊表文件關聯、DCOM 權限、IP 轉發、以及多種丟失的補丁程序。
Windows NT 用戶漏洞
這一類型的漏洞允許用戶通過檢查可猜測的密碼、遺失的密碼、密碼歷史、不安全的策略、註銷設置和鎖定設置,從而檢索 Windows NT 用戶帳戶和密碼,達到訪問系統的目的。
SYN 包
TCP連接的第一個包,非常小的一種數據包。SYN 攻擊包括大量此類的包,由於這些包看上去來自實際不存在的站點,因此無法有效進行處理。每個機器的欺騙包都要花幾秒鐘進行嘗試方可放棄提供正常響應。
文件型病毒
在數千種已知的病毒中,大多數屬文件型,例如friday the 13th(黑色星期五)病毒。文件型病毒的傳染機制是:將自身附加到其他文件上,宿主文件主要是以EXE或COM爲擴展名的可執行文件。這類病毒可以修改宿主代碼,將其自身代碼插入到文件的任何位置,在某個時刻擾亂程序的正常執行過程,以使病毒代碼在合法 程序之前被搶先執行。
SYS
用於諸如 admind 或 sadmind 等程序的認證安全級別。
在這個安全級別上,服務器從客戶端系統收到初始的用戶和組識別信息,並將它們用做驗證檢查。沒有任何檢查來確定用戶的 UID 在服務器系統上代表同一個用戶。這就是說,假定 Administrator 已經使 UID 和 GID 在網絡中的所有系統中保持一致。要進行檢查,以確定該用戶有權限執行該請求。
TCP/IP
傳輸控制協議/Internet 協議。由美國國防部簽約開發的一種用於內部網絡系統的通訊協議。它實際上是 Unix 標準,作爲一種 Internet 的協議,並被所有平臺廣泛支持。它也是一種常用的速記方式,指的是運行在 IP 上的傳輸和應用程序協議的集合。
TCP/IP 的 TCP 部分提供傳輸功能,保證發送的所有字節都能在另一端正確接收。TCP/IP 的 IP 部分提供路由機制。TCP/IP 是一個可路由的協議,這意味着所傳輸的信息包含目標網絡的地址以及目標站。TCP/IP 消息可以發送到公司內部或全世界的多個網絡,因此可以在 Internet 中使用。
超級用戶
一個有不受限制的訪問權限的計算機帳戶,可以在計算機上執行任何操作。
SSL
加密套接字協議層(Secure Sockets Layer)是 Internet 上領先的安全協議。當 SSL 會話開始後,Web 瀏覽器將公共密鑰發送給 Web 服務器,這樣服務器可以很安全地將私人密鑰發送給瀏覽器。瀏覽器和服務器在會話期間,用私人密鑰加密交換數據。SSL 是由 Netscape 開發的,SSL 可能與由IETF提出的協議和驗證方法併入名爲 Transaction Layer Security (TLS) 的新協議。
Ssh
Ssh (Secure Shell) 是一種程序,用於從網絡登錄到其他計算機、執行遠程機器上的命令、以及將文件從一臺計算機移到另一臺計算機上。它提供了對於不安全頻道的強身份驗證和安全通信。它監聽端口 22 的連接。
SshSsh 可以完全替代 rlogin、rsh、rcp 和 rdist。 在很多情況下,該程序可以替換 telnet。
Spoofing
假冒傳輸信息的發送地址,以非法進入安全系統。掠取或假冒另一個用戶的 IP 地址通常剝奪了該用戶使用該 IP 地址的權力。
SNMP
簡單網絡管理協議(Simple Network Management Protocol)廣泛用於網絡監視和控制協議。數據從 SNMP 代理髮出,代理將每個網絡設備(集線器、路由器、橋等等)的活動報告給監視整個網絡的工作站控制檯。代理返回的信息包含在 MIB (Management Information Base)中,MIB 是一個定義可從設備獲取的以及可控制的(打開、關閉等等)的數據結構。SNMP 起源於 Unix,現在已經廣泛用於所有主要平臺上。
Sniffing
捕捉用於網絡上其它機器的信息。Sniffing 是攻擊者最長使用的攻擊形式。
例如,可以配置 Ethernet 網中的機器以接收所有的包,不管其包頭中的目的地如何。由於經常以明碼方式傳輸帳戶和密碼信息,入侵者很容易攻擊網絡中的所有機器。
Shadow 密碼
包含用戶名和加密密碼的文件。 防止用戶讀取其他用戶的密碼,但是需要合法訪問的程序可訪問陰影密碼文件。
在 Unix 系統中,shadow 密碼方案替代在密碼文件框中的星號(*)或無意義的字符。
安全區域
在 Windows NT 和 Windows 95/98 中,當您使用網絡或訪問已認爲是可信的 web 站點時,“安全區”提供對您的計算機和隱私的保護,而不用重複的警告中斷您。公司“管理員”特徵允許公司設置自動邊界,因此用戶不必使安全決策基於個例的基礎。
根據指定 Web 站點的安全區域,Internet Explorer 4.x 提供不同級別的安全。例如,您很可能信任公司 intranet 中的站點,因此您很可能想允許所有類型的活動內容在此處運行。您可能對 Internet 中站點感覺不太信任,因此可以指定它們到“未信任”區,防止活動內容運行和防止代碼下載到您的計算機。
關於“安全區”的更多信息,請參閱“Internet Explorer 功能概覽”的“安全區交付能力和保護”,網址是:http://www.microsoft.com/ie/ie40/fe...s/sec-zones.htm
掃描
掃描運行掃描策略,執行檢測系統中弱點和漏洞的檢查。
RFC
RFC(備註請求)是一個公開發表的文檔,描述了建議的技術的規格說明。 Internet Engineering Task Force (IETF) 和其他的標準團體使用 RFC。RFC 可從很多來源獲得,包括 http://www.yahoo.com/Computers_and_...Standards/RFCs/
緩衝溢出
緩衝溢出指所傳遞參數的長度超出了某個函數所定義的範圍。該函數沒有校驗參數的長度是否小於或等於其定義範圍。然後將整個參數(過長)複製到一段長度很短的存儲區域中,從而引起該函數的某部分存儲區域被覆蓋,通常是改變了參數棧/調用棧。
緩衝
指對數據進行處理之前或處理期間用於保存它們的一段存儲區域。
強力攻擊漏洞
這種類型的漏洞允許攻擊者可以通過很多次的嘗試轟擊系統以進入該系統,常用的方法是通過使用各種可能的服務進行登錄。這種方法基於假設用戶不會經常更改他們的密碼,或者使用了脆弱的密碼,最終強力攻擊將會破解這些密碼。
後門
有時也稱陷門。一種用於獲得對程序或在線服務訪問權限的祕密方式。它是由程序的開發者內置於程序中,通過它可以對特定的功能進行特殊的訪問。例如,內置於操作系統中的某個後門可能會允許運行該操作系統的任何計算機進行不受限制的訪問。
AUSCERT
Australian Computer Emergency Response Team (AUSCERT) ,位於澳大利亞,爲計算機社團解決計算機事故和預防提供可信任的單獨服務。AUSCERT 的宗旨是減少安全攻擊的可能性,減少組織的安全的直接成本,最小化由於成功的攻擊而引發的安全風險。
AUSCERT 是 Incident Response and Security Teams (FIRST) 論壇的成員,並和 CERT Coordination Center (CCC) 以及其他國際的 Incident Response Teams (IRTs) 和 Australian Federal Police 有緊密的聯繫。
AUSCERT 提供匿名 FTP 服務,網址爲:ftp://ftp.auscert.org.au/pub/。這裏包含過去的 SERT 和 AUSCERT Advisories,以及其他計算機安全信息。AUSCERT 同時也支持 World Wide Web 服務,網址爲:http://www.auscert.org.au/
匿名 FTP
在其他計算機上使用 FTP 而無需擁有在其上的帳號或口令的功能。此時,您作爲匿名登錄。因此,這種從其他計算機上存放或取回文件的方式稱爲 匿名 ftp
Alerter服務
一種 Windows NT 服務,通知選定的用戶和計算機在一臺計算機上發生了管理警告。由“Server”服務和其他服務調用。需要Messenger 服務。
Admind 或 Sadmind
一種分佈式系統管理守護程序,用於在管理任務通過網絡執行時執行安全任務。 SunOS 5.4 和更低版本使用 admind,而 SunOS 5.5 和更高版本使用 sadmind。
任何時間接收到一個請求後,守護程序即通過 inetd 自動運行,也可從命令行運行。在遵循這一請求之前,守護程序必須先到服務器鑑別該客戶端。當客戶端身份得到覈實後,該守護程序使用此身份允許授權。
Admind 默認的安全等級爲 SYS。 您可以使用更安全的 DES 安全等級,方法是:首先確定在域中所有的服務器已正確的設置爲使用 DES 安全等級,然後在調用該守護程序時,指定 -S 2 選項。
訪問控制列表(ACL)
一系列和文件、目錄或其他資源相關的值,定義了用戶和/或組對其進行存取的權限。
AAA
鑑定、授權和記帳(Authentication、Authorization 和 Accounting,讀作:“triple a”)網絡安全服務是一種 Cisco 協議,它提供了用於在路由器或存取服務器上建立訪問控制的主要框架。
字典攻擊
一種強制力方法,指使用常用的術語或單詞列表進行認證。例如,攻擊者發現密碼可能是使用傳統字典加上名字列表,於是使用兩個源對脆弱的密碼進行攻擊。
DES
數據加密標準(Data Encryption Standard)是一種 NIST 標準安全密鑰加密方法,使用的密鑰爲 56 位。DES 的基礎是 IBM 算法,U.S. National Security Agency (NSA) 對其進行了進一步開發。它使用了塊密碼算法,在加密文本前將其分成許多 64 位的塊。有幾種 DES 加密算法。最常見的模式是將每一個明文塊與前一個加密塊相“或”。
DES 算法速度很快,使用範圍也很廣。密鑰可以安全地存放並能再次使用。或者,密鑰可以由每一次會話隨機產生,這種情況下,新密鑰採用公用密鑰加密算法(例如 RSA)送到收信人處。
攻擊者使用 DoS 攻擊包括下列一些原因:
需要重新啓動以激活新安裝的特洛伊木馬。
攻擊者想要覆蓋攻擊痕跡、或者通過隨機的崩潰隱藏 CPU 活動。
管理員使用 DoS 攻擊的可能原因是:
確保他們的計算機安裝了最新的補丁後沒有漏洞。
終止一臺無法訪問的計算機,例如運行失去控制的進程並且引起了問題的計算機。
拒絕服務
拒絕服務 (DoS) 是一種攻擊行爲,指系統入侵者通過發送大量的信息包使系統嚴重受限或崩潰,這些信息包中包含過長的數據段、錯誤報頭信息或過量的服務請求。
守護程序
發音類似於'demon'。指運行在後臺的 Unix 程序,需要的時候它將執行相應的操作。守護程序功能類似於操作系統的擴展,通常是自動的進程,在啓動時初始化。典型的守護程序有打印脫機、電子郵件處理、或者在指定時間運行其他進程的調度程序。這一詞語源自希臘神話,意爲“guardian spirit”。
常見漏洞和弱點(CVE)
“常見漏洞和弱點(CVE)”數據庫由 MITRE Corporation (http://www.cve.mitre.org)維護和修訂。
密文
密文是在當前格式下不可讀的數據。密文是在加密過程 中生成,用於安全的數據傳輸。
CGI
公共網關接口(Common Gateway Interface)是一種用腳本語言(例如 Perl)編寫的小程序,用於實現 HTML 頁面和 Web server 上其他程序之間的通信。例如,一種 CGI 腳本,它能把在 Web 頁面中輸入的搜索關鍵字發送給數據庫。還能將搜索結果格式化到一個 HTML 頁面上,返回給用戶。
CHAP
Challenge Handshake Authentication Protocol 是一種對用戶的 ID 和密碼動態地進行加密的訪問控制協議。在用戶的機器上的登錄程序從 CHAP 服務器上獲得一個密匙,該密匙將在發送用戶名和密碼前對其進行加密。
數字證書
也稱爲“digital ID”,證書等於一張數字的身份證。它由認證權威機構(CA),例如 VeriSign, Inc.,對某個擁有者的公鑰進行覈實之後發佈。證書是由 CA 進行數字簽名的公鑰。證書通過加密的郵件發送以證明發信人確實和其宣稱的身份一致。
範圍檢查
範圍檢查,也叫做參數驗證,是一種用於防止對無效參數進行操作的技術。在沒有執行參數驗證時,可能由用戶(可能是遠程用戶,也可能是匿名用戶)使用無效參數激活該功能,導致拒絕服務、數據丟失,或更加嚴重的安全問題。GetAdmin exploit for Windows NT 是一個很好的示例,該示例通過使用 Win32 API 參數驗證中的缺陷(特別是欠缺驗證),破壞了驗證。
範圍錯誤可導致多個溢出,如超出矩陣索引限度或內存地址,或當您輸入一個常數時,沒有這一類型的數據。但是,有些語言不將溢出視爲錯誤。 在很多 C 的實例中,數學溢出導致結果降低-例如,如果 m 是最大的整型值,而 s 是最小的,則 m + 1 =〉 s。
在複雜系統中執行被請求的操作前,如果沒有考慮到用戶權限,也可能發生範圍錯誤。這就是說,FTP 服務器在允許用戶重命名前不檢查寫權限,(如 wu-ftpd 中的 FTP RNFR 漏洞),在某中意義上說,就是範圍檢查錯誤。 另一個示例是,Win32 中的一個函數在不檢查調用者的權限前,允許它們對系統中的內存進行寫操作。(GetAdmin 漏洞) 緩衝區溢出也與範圍檢查相關。
PWL 文件
Windows 95、Windows for Workgroups 以及用於 DOS 計算機的 Microsoft Client 上的密碼緩存文件。包含最近或經常訪問系統的密碼。由於遠程攻擊者經常可以訪問 PWL 文件,而且其密碼的加密很弱,因此被視爲一種風險。
公共密鑰
公共密鑰加密系統的兩個部分中的公開部分,例如 RSA。只有所有者才知道私用部分的內容。
私用密鑰
公共密鑰加密系統的兩個部分中的私有部分,諸如 RSA。私有密鑰是保密的,不通過網絡傳輸。
PPTP
點對點的報文封裝協議將其它在 IP 網絡上傳輸信息的協議封裝起來。例如,可以用它在 Internet 上發送 NetWare IPX/SPX 包。它的 RSA 加密方式在公用 Internet 中創建虛擬專用網 (VPN)時,非常有用。遠程用戶可以從任何服務器支持 PPTP 的 ISP 處,訪問公司網絡。
PPP
點對點協議是一種數據鏈接協議,提供通過串形線的撥號訪問。它可以在包括 POTS、ISDN以及高速線路上 (T1, T3, etc.)的 全雙工 鏈接上運行。由 Internet Engineering Task Force (IETF) 在 1991 年開發,已經在 Internet 訪問中廣泛應用,成爲運行更高級別協議的方法。
專用 Network Control Protocol 包的 PPP 封裝協議;例如,IPCP (PPP 上的 IP)以及 IPXCP (PPP 上的 IPX)。可以用該協議替換網絡適配器驅動程序,使遠程用戶可以像在家中一樣登錄網絡。PPP 可以在通話質量很低時,掛斷電話重撥。
PPP 還用口令驗證協議 (PAP) 和更加嚴格的競爭握手確認協議 (CHAP)提供密碼保護。
端口
進出計算機的路徑。個人計算機的串口和並口是用於插接通訊線、modem 和打印機的外部插槽。在編程過程中,端口可以是符號接口,也可來自於應用程序或實用工具。
每個服務器應用程序都分配了一個端口號,以將數據發送給相應的服務。
修改軟件,以運行在不同的計算機環境中。 “將程序發送給 Windows NT”意味着程序員修改了應用程序,使之能在 Windows NT 下運行。
明文
普通的未加密的文本,可以用文本編輯器和字處理程序讀取。
Ping 炸彈
持續 ping 另一個用戶,主要是通過 IRC 進行的,試圖將用戶踢下網絡或使機器崩潰。
Ping
Packet INternet Groper 的縮寫。一種網絡實用程序,可以確定特定的 IP 地址 是否活動。該程序通過向特定 IP 地址發送包並等待迴應,測試並調試網絡。
Keyserv
keyserv 服務存儲所有登錄用戶使用集成安全性的網絡服務的個人密鑰,如安全的 NFS 和 NIS+。
Kerberos
Massachusetts Institute of Technology (MIT) 開發的一種用於驗證用戶的安全系統。它在登錄時建立鑑別,並貫穿會話始終。它不提供對服務或數據庫的驗證。
FTP
文件傳輸協議(FTP)允許某一主機的用戶通過 TCP/IP 網絡訪問另一主機或與之進行文件傳輸。它提供登錄到網絡、列出目錄、複製文件等功能。FTP 操作可通過在命令提示符處鍵入命令的方式來實現,也可通過運行在圖形界面(如 Windows)上的 FTP 程序來實現。 FTP 傳輸也可通過在瀏覽器中鍵入以ftp://開頭的 URL 實現。
防火牆
用於網絡安全的硬件或軟件。防火牆可以通過一個過濾數據包的路由器實現,也可由多個路由器、代理服務器和其他設備組合而成。防火牆通常用於將公司的公共服務器和內部網絡分隔開來,使相關的用戶可以安全的訪問互聯網。有時防火牆也用於內部網段的安全。例如: 人力資源子網和研發或財務子網相隔離以防止來自內部的非授權訪問。
誤報
誤報發生於以下情況:系統將一個操作歸類爲可能的入侵,而它是合法的操作。
漏報
漏報發生於以下情況:實際的入侵已經發生,但是系統系統允許它作爲非入侵行爲通過。
Exploit
一個安全漏洞或者一個利用安全漏洞的示例。 Exploit 指嘗試找出系統中所有漏洞的一種方法。ISS 產品(如 System Scanner 和 Internet Scanner)可能會在掃描過程中在系統上運行 exploit。
Exception
一種情形,通常指錯誤,引起程序、操作系統或微處理器將控制轉給服務程序。在出錯的情況下,系統將會通過 Unix 應急錯誤、內核異常或 Windows NT 藍屏死機進行終止。
加密
出於安全目的而對數據進行編碼。
分佈式拒絕服務工具
一種新的拒絕服務 (DoS) 攻擊形式,比從前所有在 Internet 上出現過的 DoS 攻擊功能更強大。 拒絕服務攻擊通過用海量的流量淹沒一個網絡使其宕掉。 這種 DoS 攻擊使用一系列已危及的系統發動針對單個目標的分佈式淹沒攻擊。 這種攻擊已經證明是非常成功的並且難以防範。
Password 文件
在 Unix 環境中,/etc/passwd 文件通常包括用戶信息和相應的加密密碼。 除了使用 password 命令以外,所有用戶對密碼文件的權限都是隻讀。目前的 Unix 系統通過將密碼存儲到 Trusted Computing Base (TCB) 或影子密碼文件中,將攻擊者獲得密碼的可能性降到最低。
Windows 95 系統用 .pwl 密碼列表文件存儲網絡或撥號密碼。密碼列表文件的內容加密很弱,被破解後還能獲得密碼信息。
位於 http://support.microsoft.com/suppor...140/5/57.asp的 Microsoft Knowledge Base Article Q140557 “Microsoft Windows 95 Password List Security Issue”推薦您使用 Mspwlupd.exe 增強安全修補文件升級或禁用密碼緩存,以達到最高的安全性。
位於 http://support.microsoft.com/suppor...s/Q132/8/07.asp Microsoft Knowledge Base Article Q132807 “Enhanced Encryption for Windows 95 Password Cache”中說明了 Mspwlupd.exe 修補文件的情況。修補文件位於 http://support.microsoft.com/downlo...es/Mspwlupd.exe (326304 字節)。
密碼技巧描述
經常更改密碼----- 您使用的密碼的時間越長,丟失密碼的危險越大。
使用好的密碼----- 不要使用人、地點或其它能表示您的名稱做密碼。
不要暴露密碼----- 您的密碼與所保護的信息價值相同。
檢查您的數據----- 如果懷疑有人已經篡改了您的文件,立即報告。
不要使終端處於無人職守的狀態----- 離開時,總是註銷或鎖定您的終端。
對計算機可疑的濫用情況進行報告----- 不管是否針對於您,濫用或誤用計算機資源只能拖延您按時完成任務。
密碼
一個用來檢查對系統或數據未經驗證訪問的安全性的術語或短語。在選擇密碼時,請考慮這些提示.
PAP
密碼驗證協議(PAP)是用於登錄網絡的基本訪問控制協議。服務器上存儲了用戶名和密碼錶。當用戶登錄時,PAP 向服務器發送用戶名和密碼,以供驗證。CHAP 也提供同樣的功能,但在發送前,要對用戶名和密碼進行加密。
操作系統
運行計算機的主要控制程序。操作系統是打開計算機後,加載的第一個程序,而它的主要部分,稱做內核,一直駐留在內存中。 它既可以由計算機供應商提供,也可以由第三方提供。
操作系統由於設置了運行在系統上的應用程序的標準,因此是計算機系統的重要組件。所有程序必須與操作系統共同運行。
操作系統與網絡操作系統的主要區別是其多用戶性能。如 DOS 和 Windows 95 等操作系統是單用戶的,是供單用戶在桌面計算機使用的。Windows NT 和 Unix 是網絡操作系統,它們是用來同時管理多個用戶請求的。
NetBus
NetBus 是一種用於 Windows 95 和 Windows NT 的 後門程序,據 NetBus Web 頁面所述,攻擊者能對您的機器執行以下操作:
打開/關閉 CD-ROM。
顯示 BMP/JPG 格式的圖象。
切換鼠標按鈕。
啓動應用程序。
播放 .wav 音頻文件。
控制鼠標。
顯示不同類型的消息。
關閉 Windows。
下載文件。
轉至 Internet 上的 URL 目標。
監聽併發送擊鍵。
捕獲屏幕圖象。
增大或減小音量。
用麥克風錄製聲音。
上傳文件。
每次按下鍵時,發出敲擊的聲音。
如果發現了 NetBus,應立刻去除。
NetBIOS
網絡基本輸入/輸出系統是針對 PC 局域網的網絡協議。 NetBIOS 通常用於一個網段或公司中,但若沒有其他協議的幫助將無法通過路由器實現數據傳輸。 一般來說 NetBIOS 地址就是計算機的名稱,因此簡化了連網和從用戶處進行尋址的任務。
NetBIOS 提供會話並傳輸服務(OSI 模型 的第 4 層和第 5 層),但是不提供通過網絡傳輸的標準格式。 NetBIOS 的不同實現已經正式集成到 NetBEUI 中,用於所有支持連網的 Windows 操作系統。
LDAP
輕量級目錄訪問協議(Lightweight Directory Access Protocol)。一個使用 Web 瀏覽器和與 LDAP 兼容的電子郵件程序訪問在線目錄服務的協議。一些人可能希望 LDAP 提供搜索 Internet 上的電子郵件地址的通用方法,最終帶來一個全球性的白頁。
LDAP 在 Internet Engineering Task Force (IETF) 中定義,以推動對 X.500 目錄的採用。LDAP 是一種相對簡單的協議,它用於更新和搜索基於 TCP/IP 運行的目錄。對於簡單的 Internet 客戶機的使用來說,LDAP 以前的“目錄訪問協議 (DAP)”太複雜。
LDAP 目錄項是帶有名稱的屬性集合。稱爲識別名稱 (DN)。DN 清楚的指明是項目。 各項目的屬性包括一個類型和一個或更多值。這些類型通常是有助於記憶的字符串,如 cn 指常見名稱,或 mail 指電子郵件地址。值取決於類型。
LDAP 目錄項以一種等級結構排列,它反映了政治的、地理的、和/或組織邊界。代表國家的項出現在該樹的最頂端,隨後是代表州或國家組織的項,然後是代表民族、組織單位、打印機和文檔等的項。
Land 攻擊
land 攻擊是一種使用相同的源和目的主機和端口發送數據包到某臺機器的攻擊。結果通常使存在漏洞的機器崩潰。
KDC
Key Distribution Centers (KDCs) 發行 Kerberos 票。每一個 KDC 包含 Kerberos 數據庫的一個副本。主 KDC 包含數據庫的主副本,它以固定的間隔向從 KDC 複製自身。所有的數據庫更改(如密碼更改)都作用於主 KDC。從 KDC 提供 Kerberos 票許可服務,但是沒有數據庫訪問。這可使客戶在主 KDC 不可用時持續獲得票。
前綴掃描攻擊
黑客和攻擊者可以利用軍用撥號器(war-dialer)掃描調製調解器線路,這些調制解調器線路繞過網絡防火牆,可以作爲闖入系統的後門,最滑稽的事情是公司在安全軟件上花了大量的錢財,到頭來對各種攻擊卻仍然是門洞大開,其原因蓋出於它忘記了保護它的所有調制解調器……。
特洛伊木馬
特洛伊木馬是一種看似合法的程序,實際上在其運行時執行不合法的活動。 該程序可用於查找密碼信息,使系統出現更多漏洞、或者只是單純破壞程序和硬盤數據。
引導型病毒
引導型病毒駐留於系統內存中,伺機傳染所訪問的每一張磁盤,直到機器重新啓動。這類病毒是駐留內存的,因此,我們可以使用chkdsk命令查看系統內存,並觀察正常的內存總量是否減少了幾千字節,以確定系統是否感染有病毒。
分區型病毒
分區型病毒將硬盤的分區住處錶轉移到另外一個扇區,然後用自身的病毒代碼代替原分區信息表,以此入侵硬盤。在讀寫軟盤時,這類病毒可以從分區信息表傳染到軟盤的引導扇區。
黑客
是英文hacker的譯音。在Internet上有一批熟諳網絡技術的人,其中不乏網絡天才,經常用網絡上現存的一些漏洞,想方設法進入他人的計算機系統。有些人只是爲了一飽眼福,或純粹出於個人興趣,喜歡探人隱私,這些人通常不會造成一些危害。但也有一 些人是存着不良動機侵入他人計算機系統的,通常會偷窺機密信息,或將其計算機系統搗毀。這部分人我們就稱其爲Internet上的 “黑客”
CIH病毒
是迄今爲止發現的最陰險的病毒之一。它發作時不僅破壞硬盤的引導區和分區表,而且破壞計算機系統flashBIOS芯片中的系統程序,導致主板損壞。CIH病毒是發現的首例直接破壞計算機系統硬件的病毒。
欺騙病毒
它被激活時,它會隱藏它對文件或引導記錄所做的修改, 這種修改是通過監視系統功能來完成的,這種系統功能是用於從存儲介質讀取文件或扇區,並且僞裝成調用了這種功能的結果。 這意味着所讀取的被感染的文件和扇區似乎與未被感染的一樣。因此病毒所做的修改可以不被反病毒程序檢測到。然而,爲了達到這一點,在反病毒程序被執行的時候,它必須駐留內存,所以通過這點,它可以被反病毒程序檢測到。
計算機蠕蟲
是自包含的程序(或是一套程序),它能傳播它自身功能的拷貝或它的某些部分到其他的計算機系統中(通常是經過網絡連接)。蠕蟲不需要將其自身附着到宿主程序。有兩種類型的蠕蟲---主機蠕蟲與網絡蠕蟲。
主計算機蠕蟲完全包含在他們運行的計算機中,並且使用網絡的連接僅將其自身拷貝到其它的計算機中,主計算機蠕蟲在將其自身的拷貝加入到另外的主機後,就會終止他自身。(因此在任意給定的時刻,只有一個蠕蟲的拷貝運行) 這種蠕蟲有時也叫“野兔”。
網絡蠕蟲由許多部分組成。而且每一個部分運行在不同的機器上 (可能進行不同的動作)並且使用網絡來達到一些通信的目的。從一臺機器上繁殖一部分到另一臺機器上僅是那些目的的一種。網絡蠕蟲有一主段,這個主段與其他段的工作相協調匹配,有時叫做“章魚”。
CERT
計算機應急小分隊(Computer Emergency ResponseTeam)是由美國聯邦政府資助專門研究計算機及網絡安全的組織,它們隨時提供最新發現的計算機及網絡安全問題,並提供一些解決方法。
遠程攻擊
遠程攻擊是這樣一種攻擊,其攻擊對象是攻擊者還無法控制的計算機;也可以說,遠程攻擊是一種專門攻擊除攻擊者自己計算機以外的計算機(無論被攻擊的計算機和攻擊者位於同一子網還是有千里之遙)。“遠程 計算機”此名詞最確切的定義是:“一臺遠程計算機是這樣一臺機器,它不是你正在其上工作的平臺,而是能利用某協議通過Internet網或任何其他網絡介質被使用的計算機”。
幽靈病毒
幽靈病毒(又叫多形型病毒)是這樣的病毒:它產生了與它自身不同的,但是操作可用的拷貝,其目的是希望病毒掃描程序將不能檢測到所有的病毒的情況。
宏病毒
是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔,其中的宏就會被執行,於是宏病毒就會被激活,轉到計算機上,並駐留在 Normal 模板上。從此以後,所有自動保存的文檔都會“感染”上這種宏病毒,而且如果其他用戶打開了感染病毒的文檔,宏病毒又會轉移到他的計算機上。
隱形病毒
隱形病毒將其附加到文件或引導扇區中,但是檢測宿主軟件時,卻顯示正常無誤。隱形病毒運行後即藏匿於內存中,然後玩起它的鬼把戲。在內存中病毒監控並截獲系統的DOS調用。若系統想打開一個帶毒文件,病毒會立刻“衝上前來”對文件解毒,允許DOS打開該文 件,一切均顯正常。DOS關閉文件後,病毒進行相反的操作,重新將其感染。
變異型病毒
這類病毒內部包含一個加密子程序,藉此幫助病毒躲避檢查;另外還有一個解密程序,以使病毒在發作時得以復原。變異型病毒可以感染各種宿主軟件。這類病毒多爲文件型病毒,但是感染引導區的變異型病毒也已經被發現。
複合型病毒
這類病毒綜合了文件病毒與引導型病毒最惡劣的特點,可以感染任何宿主軟件模塊。傳統的引導型病毒僅僅通過已感染病毒的軟盤傳播,而複合型病毒卻可以像文件型病毒那樣自由傳染,同時還可以將病毒程序寫入到引導扇區及分區信息表。因此,這類病毒尤其難以清除。 例如,Tequlia就是一種複合型病毒。
ASP
Active Server Pages,服務器端腳本編寫環境,使用它可以創建和運行動態、交互的 Web 服務器應用程序。使用 ASP 可以組合 HTML 頁 、腳本命令和 ActiveX 組件以創建交互的 Web 頁和基於 Web 的功能強大的應用程序。
ASP腳本是一系列按特定語法(目前支持vbscript和jscript兩種腳本語言)編寫的,與標準HTML頁面混合在一起的腳本所構成的文本格式的文件。當客戶端的最終用戶用WEB瀏覽器通過INTERNET來訪問基於ASP腳本的應用時,WEB瀏 覽器將向WEB服務器發出HTTP請求。WEB服務器分析、判斷出該請求是ASP腳本的應用後,自動通過ISAPI接口調用ASP腳本的解釋運行引擎(ASP.DLL)。ASP.DLL將從文件系統或內部緩衝區獲取指定的ASP腳本文件,接着就進行語法分 析並解釋執行。最終的處理結果將形成HTML格式的內容,通過WEB服務器'原路'返回給WEB瀏覽器,由WEB瀏覽器在客戶端形成最終的結果呈現。這樣就完成了一次完整的ASP腳本調用。若干個有機的ASP腳本調用就組成了一個完整的ASP腳本應用。
欺騙空間技術
就是通過增加搜索空間來顯著地增加入侵者的工作量,從而達到安全防護的目的。利用計算機系統的多宿主能力(multi-homed capability),在只有一塊以太網卡的計算機上就能實現具有衆多IP地址的主機,而且每個IP地址還具有它們自己的MAC地址。這項技術可用於建立填充一大段地址空間的欺騙,且花費極低。實際上,現在已有研究機構能將超過4000個IP地址綁定在 一臺運行Linux的PC上。這意味着利用16臺計算機組成的網絡系統,就可做到覆蓋整個B類地址空間的欺騙。儘管看起來存在許許多多不同的欺騙,但實際上在一臺計算機上就可實現。
網絡欺騙
就是使入侵者相信信息系統存在有價值的、可利用的安全弱點,並具有一些可攻擊竊取的資源(當然這些資源是僞造的或不重要),並將入侵者引向這些錯誤的資源。它能夠顯著地增加入侵者的工作量、入侵複雜度以及不確定性,從而使入侵者不知道其進攻是否奏效或成功 。而且,它允許防護者跟蹤入侵者的行爲,在入侵者之前修補系統可能存在的安全漏洞。
網絡欺騙一般通過隱藏和安插錯誤信息等技術手段實現,前者包括隱藏服務、多路徑和維護安全狀態信息機密性,後者包括重定向路由、僞造假信息和設置圈套等等。綜合這些技術方法,最早採用的網絡欺騙是Honey Pot技術,它將少量的有吸引力的目標(我們稱之爲Honey Pot)放置在入侵者很容易發現的地方,以誘使入侵者上當。
拒絕服務攻擊
它不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。利用網絡傳播病毒:通過網絡傳播計算機病毒,其破壞性大大高於單機系統 ,而且用戶很難防範。
破壞數據完整性
以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益於攻擊者的響應;惡意添加,修改數據,以干擾用戶的正常使用。
信息泄漏或丟失
指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括,信息在傳輸中丟失或泄漏(如'黑客'們利用電磁泄漏或搭線竊聽等方式可截獲機密信息,或通過對信息流向、流量、通信頻度和長度等參數的分析,推出有用信息,如用戶口令、帳號等重要信息。),信息在存儲介質中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。
非授權訪問
沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。它主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式 進行操作等。
網絡安全
是一個關係國家安全和主權、社會的穩定、民族文化的繼承和發揚的重要問題。其重要性,正隨着全球信息化步伐的加快而變到越來越重要。“家門就是國門”,安全問題刻不容緩。
網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。
網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。
網絡安全從其本質上來講就是網絡上的信息安全。從廣義來說,凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡安全的研究領域。
網絡安全的具體含義會隨着“角度”的變化而變化。比如:從用戶(個人、企業等)的角度來說,他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益。
從網絡運行和管理者角度說,他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法佔用和非法控制等威脅,制止和防禦網絡黑客的攻擊。
郵件炸彈
E-MAIL炸彈原本泛指一切破壞電子郵箱的辦法,一般的電子郵箱的容量在5,6M以下,平時大家收發郵件,傳送軟件都會覺得容量不夠,如果電子郵箱一下子被幾百,幾千甚至上萬封電子郵件所佔據,這是電子郵件的總容量就會超過電子郵箱的總容量,以至造成郵箱超 負荷而崩潰。【kaboom3】【upyours4】【Avalanche v2.8】就是人們常見的幾種郵件炸彈。
PGP
Pretty Good Privacy,是一個基於RSA公匙加密體系的郵件加密軟件。可以用它對你的郵件保密以防止非授權者閱讀,它還能對你的郵件加上數字簽名從而使收信人可以確信郵件是你發來的。它讓你可以安全地和你從未見過的人們通訊,事先並不需要任何保密的渠道用來傳遞 密匙。它採用了:審慎的密匙管理,一種RSA和傳統加密的雜合算法,用於數字簽名的郵件文摘算法,加密前壓縮等,還有一個良好的人機工程設計。它的功能強大有很快的速度。而且它的源代碼是免費的。
網絡病毒
網絡中的病毒有的是良性,不作任何破壞,僅影響系統的正常運行而已,但更多的病毒是惡性的,會發作,發作的現象各有千秋:有的格式化硬盤,有的刪除系統文件,有的破壞數據庫。因此,有病毒時必須要儘快醫治,對網絡更是如此,它對網絡的破壞性遠大於單機用戶 ,損失則更不用談了。
netstat
netstat命令用於查詢與某類信息有關的子系統。打印路由選擇表、活動連接、正在使用的流以及其他一些信息。
ttraceroute/tracert命令
traceroute/tracert命令用於跟蹤數據包到達目標機器的路由,使用IP數據包的time-to-live(TTL)域,在數據包到達遠程主機前所經過的每一個網關引發一個ICMP TIME_EXCEEDED響應。
arp命令
arp命令顯示並修改Internet到以太網的地址轉換表。這個表一般由地址轉換協議(ARP)來維護。當只有一個主機名作爲參數時,arp顯示這個主機的當前ARP條目。如果這個主機不在當前ARP表中那麼ARP就會顯示一條說明信息。
Telnet
Telnet用於Internet的遠程登錄.它可以使用戶坐在已上網的電腦鍵盤前通過網絡進入的另一臺電腦已上網的電腦,使它們互相連通.這種連通可以發生在同一房間裏面的電腦或是在世界各範圍內已上網的電腦.習慣上來說,被連通計算機,並且爲網絡上所 有用戶提供服務的計算機稱之爲服務器(Servers),而自己在使用的機器稱之爲客戶機(Customer).一旦連通後,客戶機可以享有服務器所提供的一切服務.用戶可以運行通常的交互過程(註冊進入,執行命令),也可以進入很多的特殊的服務器如尋找 圖書索引.網上不同的主機提供的各種服務都可以被使用。
IPSec
IP安全工具——IPSec使用了網絡通信加密技術。雖然不能加密數據包的頭部和尾部信息(如源/目的IP地址、端口號、CRC校驗值等),但可對數據包數據進行加密。由於加密過程發生在IP層,因此可在不改變POP/WWW等協議的情況下進行網絡協議的安全加密。同時它也可以用於實現局域網間(通過互聯網)的安全連接。
遠程聯線(TELNET)
遠程聯線是一個不可思議的工具, 它讓您超越時空一般的使用遠端的電腦系統。有了遠程聯線, 電腦軟硬體資源的分享變得很有效率, 打個比喻來說, 您可以連線載入位於某處的超級電腦(假設您有存取權), 做天體模擬運算, 當結果迅速的產生時, 您可以將資料傳送到另一部圖形模擬工作站, 由那裏產生一份實體模擬圖。在這例子中, 您先後用到了一部超級電腦以及一部圖形處理工作站, 而您雙手真正接觸到的, 很可能是一部位於實驗室的個人電腦(PC), 可是其他這兩臺電腦可能在什麼地方也不知道!是的, 您一點也無須知道, 通過Internet的遠程聯線工具, 您只需到知道那裏有您要的CPU時間,以及應用軟件, 如此而已。 遠程聯線可以應用於跨越時空的環境, 當然也同樣適用於辦公室區域網絡間, 一臺電腦模擬成另一臺電腦的終端機而連線載入對方系統。
MySQL
是一個真正的多用戶、多線程SQL數據庫服務器。MySQL是以一個客戶機/服務器結構的實現,它由一個服務器守護程序mysqld和很多不同的客戶程序和庫組成。由於其源碼的開放性及穩定性,且與網站流行編徎語言PHP的完美結合,現在很多站點都利用其當作後端數據庫,使其獲得了廣泛應用。
Strobe(超級優化TCP端口檢測程序)
strobe是一個TCP端口掃描器,它可以記錄指定機器的所有開放端口。strobe運行速度快(其作者聲稱在適中的時間內,便可掃描整個一個國家的機器)。strobe的主要特點是,它能快速識別指定機器上正在運行什麼服務。strobe的主要不足是 這類信息是很有限的,一次strobe攻擊充其量可以提供給“入侵者”一個粗略的指南,告訴什麼服務可以被攻擊。但是,strobe用擴展的行命令選項彌補了這個不足。
電子郵件炸彈
英文是E-Mail Bomb,它是黑客常用的攻擊手段.常見的情況是當某人或某公司的所做所爲引起了某位黑客的不滿時,這位黑客就會通過這種手段來發動進攻,以泄私憤.相對於其它的攻擊手段來說,這種攻擊方法可謂簡單,見效快.呵呵,說笑了,轉入正題.郵件炸彈實質上就是發 送地址不詳,容量寵大,充滿了亂碼或罵人話的惡意郵件,也可稱之爲大容量的郵件垃圾.由於每個人的郵件信箱都是有限的,當龐大的郵件垃圾到達信箱的時候,就會把信箱擠爆,把正常的郵件給沖掉.同時,由於它佔用了大量的網絡資源,常常導致網絡塞車,使大量的 用戶不能正常地工作.所以說郵件炸彈的危害是相當大的。
NNS(網絡安全掃描器)
用PERL編寫,工作在Sunos4.1.3進行下面的常規的掃描Sendmail ,TFTP,匿名FTP,Hosts.equive,Xhost增強掃描Apple Talk,NovellLAN管理員網絡取得指定域的列表或報告!
掃描器
掃描器是一種自動檢測遠程或本地主機安全性弱點的程序,通過使用掃描器你可一不留痕跡的發現遠程服務器的各種TCP端口的分配及提供的服務!和它們的軟件版本!這就能讓我們間接的或直觀的瞭解到遠程主機所存在的安全問題。掃描器通過選用遠程TCP/IP不同的端口的服務,並記錄目標給予的回答,通過這種方法,可以蒐集到很多關於目標主機的各種有用的信息(比如:是否能用匿名登陸!是否有可寫的FTP目錄,是否能用TELNET,HTTPD是用ROOT還是nobady在跑!)
網際協議安全(IPSecurity)
IPSec 作爲安全網絡的長期方向,是基於密碼學的保護服務和安全協議的套件。因爲它不需要更改應用程序或協議,您可以很容易地給現有網絡部署 IPSec。IPSec 對使用 L2TP 協議的 VPN 連接提供機器級身份驗證和數據加密。在保護密碼和數據的 L2TP 連接建立之前,IPSec 在計算機及其遠程隧道服務器之間進行協商。
安全規則
安全規則就是對你計算機所使用局域網、互聯網的內製協議設置,從而達到系統的最佳安全狀態。
網絡入侵(hacking)
具有熟練的編寫和調試計算機程序的技巧,並使用這些技巧來獲得非法或未授權的網絡或文件訪問,入侵進入公司內部網的行文。 早先將對計算機的非授權訪問稱爲破解(cracking),而hacking則指那些熟練運用計算機的高手對計算機技術的運用。而隨着時間的推移,媒體宣傳導致了hacking變成了入侵的含義。現在hacker則稱爲諸如Linus Torvalds (Linux之父)、Tim Berners-Lee (現代WWW之父)及偷竊網絡信息等犯罪者的同義詞。
Arp
顯示和修改“地址解析協議”(ARP) 所使用的到以太網的 IP 或令牌環物理地址翻譯表。該命令只有在安裝了 TCP/IP 協議之後纔可用。
嗅探器(snifffer)
就是能夠捕獲網絡報文的設備。嗅探器的正當用處在於分析網絡的流量,以便找出所關心的網絡中潛在的問題。例如,假設網絡的某一段運行得不是很好,報文的發送比較慢,而我們又不知道問題出在什麼地方,此時就可以用嗅探器來作出精確的問題判斷。嗅探器在功能和 設計方面有很多不同。有些只能分析一種協議,而另一些可能能夠分析幾百種協議。
UUCP系統
UUCP系統是一組程序,完成文件傳輸,執行系統之間的命令,維護系統使用情況的統計,保護安全.UUCP是UNIX系統最廣泛使用的網絡實用系統,這其中在兩個原因:第一,UUCP是各種UNIX版本都可用的唯一的標準網絡系統,第二,UUCP是最便宜 的網絡系統.只需要一根電纜連接兩個系統,然後就可建立UUCP.如果需要在相距數百或數千公里遠的兩個系統間傳輸數據,中需要兩個具有撥號功能的調制解調器.
sniffit
是一個有名的網絡端口探測器,你可以配置它在後臺運行以檢測哪些Tcp/ip端口上用戶的輸入/輸出信息。最常用的功能是攻擊者可以用它來檢測你的23(telnet)和110(pop3)端口上的數據傳送以輕鬆得到你的登錄口令和mail帳號密碼,sniffit基本上是被破壞者所利用的工具,但是既然想知道如何增強你的站點的安全性,首先你應該 知曉闖入者們所使用的各種工具。
Smurf
(directed broadcast)。廣播信息可以通過一定的手段(通過廣播地址或其他機制)發送到整個網絡中的機器。當某臺機器使用廣播地址發送一個ICMP echo請求包時(例如PING),一些系統會迴應一個ICMP echo迴應包,也就是說,發送一個包會收到許多的響應包。Smurf攻擊就是使用這個原理來進行的,當然,它還需要一個假冒的源地址。也就是說在網絡中發送源地址爲要攻擊主機的地址,目的地址爲廣播地址的包,會使許多的系統響應發送大量的信息給被攻擊主 機(因爲他的地址被攻擊者假冒了)。使用網絡發送一個包而引出大量回應的方式也被叫做'放大器',這些smurf放大器可以www.netscan.org網站上獲得,一些無能的且不負責任的網站仍有很多的這種漏洞。
DOS攻擊
DoS的攻擊方式有很多種。最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源,致使服務超載,無法響應其他的請求。這些服務資源包括網絡帶寬,文件系統空間容量,開放的進程或者向內的連接。這種攻擊會導致資源的匱乏,無論計算機的處理速度多 麼快,內存容量多麼大,互連網的速度多麼快都無法避免這種攻擊帶來的後果。因爲任何事都有一個極限,所以,總能找到一個方法使請求的值大於該極限值,因此就會使所提供的服務資源匱乏,象是無法滿足需求。千萬不要自認爲自己擁有了足夠寬的帶寬就會有一個高效 率的網站,拒絕服務攻擊會使所有的資源變得非常渺小。
一次性口令
爲了解決固定口令的諸多問題,安全專家提出了一次性口令(OTP:One Time Password)的密碼體制,以保護關鍵的計算資源。OTP的主要思路是:在登錄過程中加入不確定因素,使每次登錄過程中傳送的信息都不相同,以提高登錄過程安全性。例如:登錄密碼=MD5(用戶名+密碼 +時間),系統接收到登錄口令後做一個驗算即可驗證用戶的合法性。
黑客程序
是一種專門用於進行黑客攻擊的應用程序,它們有的比較簡單,有的功能較強。功能較強的黑客程序一般至少有服務器和客戶機兩部分。黑客程序的服務器部分實際上是一個間諜程序,黑客程序的客戶機部分是黑客發動攻擊的控制檯。利用病毒原理以及發送電子郵件、提供 免費軟件等手段,將服務器悄悄安裝到用戶的計算機中。在實施黑客攻擊時,有客戶機與遠程已安裝好的服務器進行裏應外合,達到攻擊的目的。利用黑客程序進行黑客攻擊,由於整個攻擊過程已經程序化了,不需要高超的操作技巧,不需要高深的專業計算機軟件知識,只 需要一些最基本的計算機知識便可實施,因此,其危害性非常大。較有名的黑客程序有BO、YAI以及“拒絕服務”攻擊工具等。
域名系統(DNS)
是Internet上其他服務的基礎,E-mail是Internet上最重要的服務。但是DNS和E-mail系統也是Internet上安全漏洞最多的地方,DNS是Internet上其它服務的基礎。它處理DNS客戶機的請求:把名字翻譯成IP地址 ;把IP地址翻譯成名字;並提供特定主機的其它已公佈信息(如MX記錄)。下面介紹DNS使用中業已知曉的兩個安全問題,並給出相應的解決方法。
COOKIE欺騙
現在有很多社區網爲了方便網友瀏覽,都使用了cookie技術以避免多次輸入密碼(就如the9和vr),所以只要對服務器遞交給用戶的cookie進行改寫就可以達到欺騙服務程序的目的。按照瀏覽器的約定,只有來自同一域名的cookie纔可以讀寫,而 cookie只是瀏覽器的,對通訊協議無影響,所以要進行cookie欺騙可以有多種途徑:
1、跳過瀏覽器,直接對通訊數據改寫
2、修改瀏覽器,讓瀏覽器從本地可以讀寫任意域名cookie
3、使用簽名腳本,讓瀏覽器從本地可以讀寫任意域名cookie(有安全問題)
4、欺騙瀏覽器,讓瀏覽器獲得假的域名
緩衝區溢出
緩衝區溢出漏洞是指通過往程序的緩衝區寫超出其長度的內容,造成緩衝區的溢出,從而破壞程序的堆棧,使程序轉而執行其它指令,以達到攻擊的目的。
DOS攻擊
這是拒絕服務攻擊(Denial of Service)的簡稱,一個非常致命(並且低級)的攻擊概念。DoS一般被用於一些很使用的目的,一般人會用它來顯示自己的能力和技巧,儘管這種攻擊方法幾乎不需要什麼技巧。我認爲DoS有用的唯一原因是因爲它可以用於欺騙目的:當局部網中一臺系統癱瘓 時,你可以把你自己的地址改成那臺已經癱瘓掉的電腦的,並且中途截取類似用戶名和密碼等重要的信息。
ISO安全體系結構標準
在安全體系結構方面,ISO制定了國際標準ISO7498-2-1989《信息處理系統開放系統互連基本參考模型第2部分安全體系結構》。該標準爲開放系統互連(OSI)描述了基本參考模型,爲協調開發現有的與未來的系統互連標準建立起了一個框架。其任務是提供安全服務與有關機制的一般描述,確定在參考模型內部可以提 供這些服務與機制的位置。
聯合公共準則(CC)
CC的目的是想把已有的安全準則結合成一個統一的標準。該計劃從1993年開始執行,1996年推出第一版,但目前仍未付諸實施。CC結合了FC及ITSEC的主要特徵,它強調將安全的功能與保障分離,並將功能需求分爲9類 63族,將保障分爲7類 29族。
美國聯邦準則(FC)安全標準
該標準參照了CTCPEC及TCSEC,其目的是提供TCSEC的升級版本,同時保護已有投資,但FC有很多缺陷,是一個過渡標準,後來結合ITSEC發展爲聯合公共準則。
加拿大CTCPEC安全標準
該標準將安全需求分爲4個層次:機密性、完整性、可靠性和可說明性。
歐洲ITSEC ITSEC安全標準
與TCSEC不同,它並不把保密措施直接與計算機功能相聯繫,而是隻敘述技術安全的要求,把保密作爲安全增強功能。另外,TCSEC把保密作爲安全的重點,而ITSEC則把完整性、可用性與保密性作爲同等重要的因素。ITSEC定義了從E0級(不滿足品質 )到E6級(形式化驗證)的7個安全等級,對於每個系統,安全功能可分別定義。ITSEC預定義了10種功能,其中前5種與桔皮書中的C1~B3級非常相似。
美國TCSEC(桔皮書)安全標準
該標準是美國國防部制定的。它將安全分爲4個方面:安全政策、可說明性、安全保障和文檔。在美國國防部虹系列(Rainbow Series)標準中有詳細的描述。該標準將以上4個方面分爲7個安全級別,從低到高依次爲D、C1、C2、B1、B2、B3和A級。
智能卡技術
智能卡就是密鑰的一種媒體, 一般就像信用卡一樣, 由授權用 戶所持有並由該用戶賦與它一個口令或密碼字。該密碼與內部網 絡服務器上註冊的密碼一致。當口令與身份特徵共同使用時, 智 能卡的保密性能還是相當有效的。
數據加密技術
數據加密技術主要分爲數據傳輸、數據存儲、數據完整性的鑑 別以及密鑰管理技術四種。
SSN
安全服務器網絡(SSN)。爲適應越來越多的用戶向Internet上提供服務時對服務器保護的需要,第四代防火牆採用分別保護的策略保護對外服務器。它利用一張網卡將對外服務器作爲一個獨立網絡處理,對外服務器既是內部網的一部分,又與內部網關完全隔離 。這就是安全服務網絡(SSN)技術,對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從內部網上管理。SSN的方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因爲SSN與外部網之間有防火牆保護,SSN與內部網之 間也有防火牆保護,一旦SSN受破壞,內部網絡仍會處於防火牆的保護之下。
主機認證
主機認證是用IP地址來標誌允許或禁止一個客戶端。一旦有一個用戶登錄到X server上,一個叫做xhost的程序用來控制來自那個IP的客戶允許連接。但是大多數主機支持多個一臺客戶機上用戶,所以不可能控制在某一臺客戶機,允許他上而別人不行。
身份認證技術
對於從外部撥號訪問總部內部網的用戶,由於使用公共電話網進行數據傳輸所帶來的風險,必須更加嚴格控制其安全性。一種常見的做法是採用身份認證技術,對撥號用戶的身份進行驗證並記錄完備的登錄日誌。較常用的身份認證技術,有Cisco公司提出的ACACS +以及業界標準的RADIUS。
加密技術
加密型網絡安全技術的基本思想是不依賴於網絡中數據通道的安全性來實現網絡系統的安全,而是通過對網絡數據的加密來保障網絡的安全可靠性。數據加密技術可以分爲三類,即對稱型加密、不對稱型加密和不可逆加密。
SMTP協議
SMTP-簡單郵件傳輸協議(Simple Mail Transfer Protocol),是定義郵件傳輸的協議,它是基於TCP服務的應用層協議,由RFC0821所定義。SMPT協議規定的命令是以明文方式進行的。
Tripwire
Tripwire是一個用來檢驗文件完整性的非常有用的工具,你能定義哪些文件/目錄需要被檢驗,不過默認設置能滿足大多數的要求,它運行在四種模下:數據庫生成模式,數據庫更新模式,文件完整性檢查,互動式數據庫更新。當初始化數據庫生成的時候,它生成對現有文件的各種信息的數據庫文件,萬一以後你的系統文件或者各種配置文件被意外 地改變,替換,刪除,它將每天基於原始的數據庫對現有文件進行比較發現哪些文件被更改,你能根據email的結果判斷是否有系統入侵等意外事件。
Logcheck
Logcheck是用來自動檢查系統安全入侵事件和非正常活動記錄的工具,它分析各種Linux log文件,象 /var/log/messages, /var/log/secure,/var/log/maillog等等,然後生成一個可能有安全問題的問題報告自動發送email給管理員。你能設置它基於每小時,或者每天用crond來自動運行。logcheck工具的主頁在http://www.psionic.com/abacus/logcheck/
nmap
nmap 是用來對一個比較大的網絡進行端口掃描的工具,它能檢測該服務器有哪些tcp/ip端口目前正處於打開狀態。你可以運行它來確保已經禁止掉不該打開的不安全的端口號。nmap的主頁在http://www.insecure.org/nmap/index.html
ttysnoop
ttysnoop是一個重定向對一個終端號的所有輸入/輸出到另一個終端的程序。
DDoS
DDoS(分佈拒絕服務),這是一種分佈,協作的大規模攻擊方式,主要瞄準比較大的站點,象商業公司,搜索引擎和政府部門。攻擊者進入許多系統後都要留下安裝一個客戶端程序。預打包的拒絕服務的黑客程序象Trinoo/Tribal Flood,Stacheldraht,和Mstream都可以遠程控制,允許黑客們有組織的進行攻擊。
sudo
sudo是系統管理員用來允許某些用戶以root身份運行部分/全部系統命令的程序。一個明顯的用途是增強了站點的安全性,如果你需要每天以root身份做一些日常工作,經常執行一些固定的幾個只有root身份才能執行的命令,那麼用sudo對你是非常適合的。
TCP SYN攻擊
是在一個TCP連接開始時,發送方機器要發送一個SYN請求,接受方機器收到這個請求要回送ACK,發送方機器收到迴應也要發一個ACK確認。TCP SYN攻擊就是在SYN幀中填入一個不可到達的IP地址,因此接收方計算機向一個並不存在的計算機迴應ACK信號,它當然永遠收不到迴應的ACK信號。攻擊者利用這種攻擊方式,持續不斷的與你的服務器建立SYN連接,但是不回送ACK信號,這使服務器有上 百個,甚至上千個半開放的連接一直保持着,耗費系統的資源。
傳染
病毒的傳染是病毒性能的一個重要標誌。在傳染環節中, 病毒複製一個自身副本到傳染對象中去。
病毒表現
表現是病毒的主要目的之一, 有時在屏幕顯示出來, 有時則表現爲破壞系統數據。可以這樣說, 凡是軟件技術能夠觸發到的地方, 都在其表現範圍內。
病毒觸發
計算機病毒一旦被激活, 立刻就發生作用, 觸發的條件是多樣化的, 可以是內部時鐘, 系統的日期, 用戶標識符,也可能是系統一次通信等等。
病毒激活
是指將病毒裝入內存, 並設置觸發條件, 一旦觸發條件成熟, 病毒就開始作用--自我複製到傳染對象中, 進行各種破壞活動等。
傳染媒介
病毒傳染的媒介由工作的環境來定, 可能是計算機網, 也可能是可移動的存儲介質, 例如軟磁盤等。
傳染源
病毒總是依附於某些存儲價質, 例如軟盤、 硬盤等構成傳染源。
計算機病毒
不是我們說熟悉的生物病毒,計算機病毒是一個程序,一段可執行代碼。但是,計算機病毒就像生物病毒一樣,有獨特的複製能力。同生物病毒一樣計算機病毒可以很快地蔓延,而且常常難以根除。它們能把自身附着在各種類型的文件上。當文件被複制或從一個用戶傳送到 另一個用戶時,它們就隨同文件一起蔓延開來。
數據驅動攻擊
黑客或攻擊者把一些具有破壞性的數據藏匿在普通數據中傳送到因特網主機上,當這些數據被激活時就會發生數據驅動攻擊。例如修改主機中與安全有關的文件,留下下次更容易進入該系統的後門。
報文攻擊
黑客或攻擊者有時利用重定向報文進行攻擊。重定向報文可改變路由器,路由器根據這些報文建議主機走另一條“更好”的路徑。黑客或攻擊者利用重定向報文把連接轉向一個黑客或攻擊者控制的主機,或使所有報文通過他們控制的主機來轉發。
電污染攻擊
據有關資料顯示,有九成計算機出現的誤碼、死機、芯片損壞等現象來自“電污染”。究其原因是,(1)電流在傳導過程中會受到諸如電磁、無線電等因素的干擾,形成電子噪聲,導致可執行文件或數據文件出錯;(2)有時由於電流突然迴流,造成短時間內電壓急劇升 高,出現了電涌現象,這種電浪涌不斷衝擊會導致設備元件出現故障,所以惡意攻擊者可以利用“電污染”手段損壞或摧毀防火牆。
社會工程攻擊
社會工程攻擊有時又叫系統管理員失誤攻擊。黑客或攻擊者同公司內部人員套近乎,獲取有用信息,尤其系統管理人員失誤(如WWW服務器系統的配置錯誤),擴大了普通用戶的權限,同時也給黑客或攻擊者以可趁之機。
ATM防火牆
到目前爲止,ATM防火牆系統的辨論者已分裂爲兩大陣營。一方只是在建立呼叫時要求鑑認機制;另一方認爲儘管涉及的傳輸速度很高,但完全有可能利用分鑰體制在ATM信元級進行加密。最近組建的ATM安全小組正在制定ATM安全機制的最終標準。
後防火牆時代
後防火牆時代(The post-firewall era):防火牆系統將繼續覆蓋全部網絡至何種程度,這是個在目前很難說清楚的事情。當計算機變得日益強大,傳輸帶寬日益增加,人們可以見到這樣一個時候,即構作的計算機系統將留有足夠的計算能力來利用強大的鑑認和加密機制保護自己,到那個時候,每一個單 一的系統都將有自己的防火牆。
狀態監視技術
這是第三代網絡安全技術。狀態監視服務的監視模塊在不影響網絡安全正常工作的前提下,採用抽取相關數據的方法對網絡通信的各個層次實行監測,並作安全決策的依據。監視模塊支持多種網絡協議和應用協議,可以方便地實現應用和服務的擴充。狀態監視服務可以監視 RPC(遠程過程調用)和UDP(用戶數據報)端口信息,而包過濾和代理服務則都無法做到。
IP隧道攻擊
IP隧道攻擊即在端口80發送能產生穿過防牆的IP隧道的程序。如果人們利用因特網加載程序(例如經過因特網加載實音頻網關),則可能引入產生IP隧道(類似於防火牆中使用的實用網關)的特洛伊木馬,造成在因特網和內部網之間的無限IP防問。IP隧道攻擊 是黑客在實際攻擊中已經實現的一種防火牆攻擊技術。
基於堡壘主機web服務器的攻擊
黑客可以設想把堡壘主機web服務器轉變成避開防火牆內外部路由器作用或影響的系統。它也可用於發動針對下一層保護的攻擊,觀察或破壞防火牆網絡內的網絡通信量,或者在防火牆只有一個路由器的情況下完全繞過防火牆。這種防火牆技術已被廣泛應用並證明有效。
基於附加信息的攻擊
基於附加信息(postscript)的攻擊是一種較先進的攻擊方法,它使用端口80(HTTP端口)傳送內部信息給攻擊者。這種攻擊完全可以通過防火牆實現,因爲防火牆允許HTTP通過且又沒有一套完整的安全辦法確定HTTP報文和非HTTP報文之間的 差異。目前有黑客利用這種攻擊對付防火牆技術,雖然還不是很廣泛。
IP分段攻擊
通常採用數據分組分段的辦法來處理僅支持給定最大IP分組長度的網絡部分。一旦被髮送,並不立即重新組裝單個的分段,而是把它們路由到最終目的地,只在這時才把它們放在一塊給出原始的IP分組。除了IP頭之外,每個分組包含的全部東西就是一個ID號和一個 分組補償值。藉以清楚地識別各分段及其順序。因此,被分段的分組是對基於分組過濾防火牆系統的一個威脅,它們把它們的路由判決建立在TCP端口號的基礎上,因爲只有第一個分段標有TCP端口號,而沒有TCP號的分段是不能被濾除的。
TCP序號攻擊
TCP序號攻擊是繞過基於分組過濾方法的防火牆系統的最有效和最危險的方法之一。利用因特網協議中的這種安全漏洞,可以使其訪問管理依賴於分析IP發送地址的任何安全系統上當。這種攻擊基於在建立TCP連續時使用的三步握手序號(three-step handshake sequence)。它假定利用前面敘述過的IP地址欺騙可以從外部把僞造的IP分組送入內部計算機系統。
IP地址欺騙
突破防火牆系統最常用的方法是因特網地址欺騙,它同時也是其他一系列攻擊方法的基礎。黑客或入侵者利用僞造的IP發送地址產生虛假的數據分組,喬裝成來自內部站的分組過濾器,則這種類型的攻擊是非常危險的。關於涉及到的分組真正是內部的還是外部的分組被包 裝得看起來象內部的種種跡象都已喪失殆盡。只要系統發現發送地址在其自己的範圍之內,則它就把該分組按內部通信對待並讓其通過。
格式化字符串攻擊
格式化字符串漏洞同其他許多安全漏洞一樣是由於程序員的懶惰造成的。當你正在閱讀本文的時候,也許有個程序員正在編寫代碼,他的任務是:打印輸出一個字符串或者把這個串拷貝到某緩衝區內。
LKMs
LKMs就是可卸載的內核模塊(Loadable Kernel Modules)。這些模塊本來是Linux系統用於擴展他的功能的。使用LKMs的優點有:他們可以被動態的加載,而且不需要重新編譯內核。由於這些優點,他們常常被特殊的設備(或者文件系統),例如聲卡等使用。
首尾加密
對進入網絡的數據加密,然後待數據從網絡傳送出後再進行解密.網絡本身並不會知道正在傳送的數據是加密數據.這一方法的優點是,網絡上的每個用戶(通常是每個機器的一個用戶)可有不同的加密關鍵詞,並且網絡本身不需增添任何專門的加密設備.缺點是每個系統 必須有一個加密設備和相應的軟件(管理加密關鍵詞).或者每個系統必須自己完成加密工作(當數據傳輸率是按兆位/秒的單位計算時,加密任務的計算量是很大的).
節點加密
與鏈接加密類似,不同的只是當數據在節點間傳送時,不用明碼格式傳送,而是用特殊的加密硬件進行解密和重加密,這種專用硬件通常旋轉在安全保險箱中.
鏈接加密
在網絡節點間加密,在節點間傳輸加密,傳送到節點後解密,不同節點對間用不同的密碼.
PAM
(pluggable Authentication modules)是一套共享庫,他爲系統管理進行用戶確認提供廣泛的嚴密控制,本身不是一個工具。他提供一個前端函數庫(一個API)用來確認用戶的應用程序。PAM庫可以用一個單獨的文件/etc/pam.conf來配置,也可以通過位於/etc/pam.d/下的一組配置文件來配置。使事情對用戶容易是PAM的核心目標。PAM可以配置成提供單一的或完整的登錄過程,使用戶輸入一條口令就能訪問多種服務。例如,ftp程序傳統上依靠/etc/passwd機制來確認一個希望開始進行ftp會議的用戶。配置了PAM的系統把ftp確認請求發送給PAM API,後者根據pam.conf或相關文件中的設置規則來回復。系統管理員可以設置PAM使一個或多個認證機制能'插入'到PAM API中。PAM的優點之處在於其靈活性,系統管理員可以精心調整整個認證方案而不用擔心破壞應用程序。
su和newgrp命令
(1)su命令:可不必註銷戶頭而將另一用戶又登錄進入系統,作爲另一用戶工作. 它將啓動一新的shell並將有效和實際的UID和GID設置給另一用戶.因此必須嚴 格將root口令保密. (2)newgrp命令:與su相似,用於修改當前所處的組名.
umask命令
umask設置用戶文件和目錄的文件創建缺省屏蔽值,若將此命令放入 .profile文件,就可控制該用戶後續所建文件的存取許可.umask命令與chmod命 令的作用正好相反,它告訴系統在創建文件時不給予什麼存取許可.
DES鑑別系統
DES鑑別系統的安全性建立在發送者對當前時間的編碼能力上,它使接收 者能解碼並對照自己的時鐘來進行檢驗.時鐘標記也使用DES編碼.這樣的機制 要工作有兩件事是必須的: 發送者和接收者雙方必須對什麼是當前時間進行約定;發送者和接收者必須使用同樣的編碼關鍵字. 如果網絡有時間同步機制,那麼客戶機服務器之間的時間同步將自己執行。 如果沒有這樣的機制,時間標記將按服務器的時間來計算。爲計算時間,客戶機在開始RPC調用之前必須向服務器詢問時間,然後計算自己和服務器之間的時間差,當計算時間標記時,這個差值將校正客戶方面的時鐘.一旦客戶機和服務器時鐘不同步,服務器就開始拒絕 客戶機的請求,並且DES鑑別系統將使它們的時間同步.
UNIX鑑別機制
SUN早期的各種網絡服務都建立在UNIX鑑別機制之上,證書部分包含站名, 用戶號,組號和同組存取序列,而覈對器是空白.這個系統存在兩個問題:首先, 最突出的問題是覈對器是空的,這就使得僞造一份證書是非常容易的.如果網絡中所有的系統管理員都是可以信賴的,那不會有什麼問題.但是在許多網絡 (特別是在大學)中,這樣是不安全的.而NFS對通過查尋發出mount請求的工作站的INTERNET地址作爲hostname域的核對器來彌補UNIX鑑別系統的不足,並且使它只按受來自特權INTERNET口的請求.但這樣來確保系統安全仍然是不夠 的, 因爲NFS仍然無法識別用戶號ID. 另一個問題是UNIX鑑別系統只適用於UNIX系統,但需要在一個網絡中所有的站都使用UNIX系統是不現實的.因爲NFS可運行於MS-DOS和VMS系統的機器上, 但在這些操作系統中UNIX鑑別系統是不能運行的,例如:MS-DOS系統甚至就沒有用戶號的概念. 由此可知,應該有這樣的鑑別系統:它具有獨立於操作系統證書並使用核 對器.這就如像DES鑑別系統.
RPC
遠程過程調用(RPC)鑑別,RPC是網絡安全的核心,要明白這一點就必須清楚在RPC中鑑別機制是怎樣工作的.RPC的鑑別機制是端口開放式的,即各種鑑別系統都可插入其中並與之共存.當前SUN OS有兩個鑑別系統:UNIX和DES,前者是老的,功能也弱.後者是在本節要介紹的新系統.對於RPC鑑別機制有兩個詞是很重要的:證書和核對器(credentials和verify).這好比身份證一樣,證書是識別一個人的姓名,地址, 出生日期等;而覈對器就是身份證的照片,通過這張照片就能對持有者進行覈對.在RPC機制中也是這樣:客戶進程在RPC請求時要發出證書和核對器信息.而服務器收到後只返回覈對器信息,因爲客戶是已知道服務的證書的.
shutdown命令
用shutdown命令關係統,shutdown shell程序發送警告通知所有用戶離開 系統,在“給定的期限時間“到了後,就終止進程,拆卸文件系統,進入單用戶方 式或關機狀態.一旦進入單用戶方式,所有的gettys停止運行,用戶再不能登錄. 進入關機狀態後可將系統關電. shutdown僅能由作爲root登錄的用戶從系統控制檯上運行.所以任何的 shutdown運行的命令僅能對root可寫.
ncheck命令
用於檢查文件系統,只用一個磁盤分區名作爲參數,將列出i節點號及相應 的文件名.i節點相同的文件爲建鏈文件. 注意:所列出的清單文件名與mount命令的第一個域相同的文件名前部分 將不會列出來.因爲是做文件系統內部的檢查,ncheck並不知道文件系統安裝 點以上部分的目錄. 也可用此命令來搜索文件系統中所有的SUID和SGID程序和設備文件,使用 -s選項來完成此項功能.
secure程序
系統管理員應當做一個程序以定期檢查系統中的各個系統文件,包括檢查 設備文件和SUID,SGID程序,尤其要注意檢查SUID,SGID程序,檢查/etc/passwd 和/etc/group文件,尋找久未登錄的戶頭和校驗各重要文件是否被修改.
計算機病毒攻擊
計算機病毒是一種把自身拷貝爲更大的程序並加以改變的代碼段。它只是在程序開始運行時執行,然後複製其自身,並在複製中影響其他程序。病毒可以通過防火牆,它們可以駐留在傳送給網絡內部主機的E-Mail消息內。
包過濾技術
包過濾防火牆的安全性是基於對包的IP地址的校驗。在Internet上,所有信息都是以包的形式傳輸的,信息包中包含發送方的IP地址和接收方的IP地址。包過濾防火牆將所有通過的信息包中發送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態等 信息讀出,並按照預先設定的過濾原則過濾信息包。那些不符合規定的IP地址的信息包會被防火牆過濾掉,以保證網絡系統的安全。這是一種基於網絡層的安全技術,對於應用層的黑客行爲是無能爲力的。
Finger
可以用Finger來獲取一個指定主 機上的所有用戶的詳細信息(如用戶註冊名、電話號碼、最後註冊時間以及他們有沒有讀郵件等等)。
RSA
Rivest-Shamir-Adleman公開密鑰算法,公開密鑰算法是在1976年由當時在美國斯坦福大學的迪菲(Diffie)和赫爾曼(Hellman)兩人首先發明的(論文'New Direction in Cryptography')。但目前最流行的RSA是1977年由MIT教授Ronald L.Rivest,Adi Shamir和Leonard M.Adleman共同開發的,分別取自三名數學家的名字的第一個字母來構成的。公鑰加密算法也稱非對稱密鑰算法,用兩對密鑰:一個公共密鑰和一個專用密鑰。用戶要保障專用密鑰的安全;公共密鑰則可以發佈出去。公共密鑰與專用密鑰是有緊密關係的,用公共密 鑰加密的信息只能用專用密鑰解密,反之亦然。由於公鑰算法不需要聯機密鑰服務器,密鑰分配協議簡單,所以極大簡化了密鑰管理。除加密功能外,公鑰系統還可以提供數字簽名。
Satan
Satan是從系統外部進行檢查系統是否存在安全問題的程序,它能對網絡存在的脆弱性自動進行搜索、分析並提供安全報告。這種從外部分析系統的軟件一般稱爲掃描器,由於Satan功能強大並提供了可擴展的框架,因此在Internet上十分流行。它的另一 個特點就是它通過Web瀏覽器工作,使用者只需指明要搜索的主機以及搜索深度和相近規則的級別,Satan就能自動收集儘可能多的目標信息。
cops
是一個由系統管理員運行,檢查系統內部設置的程序。它針對已知的Unix存在問題進行檢查,如檢查系統中是否存在沒有口令的帳戶,是否有非法SetUID程序,以及是否存在Internet上已經報告過的系統漏洞,是否存在有問題的軟件等等。系統管理員能 使用cops來檢查系統的配置有無問題。
IP地址廣播
這種廣播能跨越路由器,但這也是造成廣播風暴的一種主要形式(如廣播地址202.120.127.255)。
Arp/Rarp廣播
是一種爲了獲取目標IP地址的Mac地址用的一種機制。屬於TCP/IP網絡層上的廣播。這種廣播能跨越網橋進行傳播,但不能跨越路由器。
SR
是一個多端口的IP路由器;代理服務器則是代表網絡內部用戶的代理者,它實際上是一個應用層上的網關。當用戶使用TCP/IP應用時,給Proxy提供合法身份和授權信息,Proxy 就和被訪問主機聯繫,並在兩個通信點之間中繼傳遞IP數據包。IP包處理的過程對用戶是透明的。SR的優點是簡單,成本低;缺點是很難準確地設置包過濾器,缺乏用戶級的授權,路由器供應商正致力於解決這一問題,並提出了標準化的用戶級授權協議Radius 。Proxy的優點是有用戶級的授權;缺點是對所有的應用程序須建立一個應用層信關,這會嚴重影響新應用程序的部署。
應用級網關
應用級網關(Application Level Gateways):是在網絡應用層上建立協議過濾和轉發功能。它針對特定的網絡應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
防火牆技術
防火牆技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用於專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡爲最甚。
NAT
網絡地址轉換(Network Address Translation)是一種用於把內部IP地址轉換成臨時的、外部的、註冊的IP地址的標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味着用戶不需要爲其網絡中每臺機器取得註冊的IP地址。
指針保護
編譯器生成程序指針完整性檢查。指針保護是堆棧保護針對這種情況的一個推廣。通過在所有的代碼指針之後放置附加字節來檢驗指針在被調用之前的合法性。如果檢驗失敗,會發出報警信號和退出程序的執行,就如同在堆棧保護中的行爲一樣。
Purify
是C程序調試時查看存儲器使用的工具而不是專用的安全工具。Purify使用“目標代碼插入”技術來檢查所有的存儲器存取。通過用Purify連接工具連接,可執行代碼在執行的時候數組的所有引用來保證其合法性。這樣帶來的性能上的損失要下降3-5倍。
堆棧保護
是一種提供程序指針完整性檢查的編譯器技術,通過檢查函數活動紀錄中的返回地址來實現。堆棧保護作爲gcc的一個小的補丁,在每個函數中,加入了函數建立和銷燬的代碼。加入的函數建立代碼實際上在堆棧中函數返回地址後面加了一些附加的字節,如圖2示。而在 函數返回時,首先檢查這個附加的字節是否被改動過。如果發生過緩衝區溢出的攻擊,那麼這種攻擊很容易在函數返回前被檢測到。
IP安全工具——IPSec使用了網絡通信加密技術。雖然不能加密數據包的頭部和尾部信息(如源/目的IP地址、端口號、CRC校驗值等),但可對數據包數據進行加密。由於加密過程發生在IP層,因此可在不改變POP/WWW等協議的情況下進行網絡協議的安全加密。同時它也可以用於實現局域網間(通過互聯網)的安全連接。
遠程聯線(TELNET)
遠程聯線是一個不可思議的工具, 它讓您超越時空一般的使用遠端的電腦系統。有了遠程聯線, 電腦軟硬體資源的分享變得很有效率, 打個比喻來說, 您可以連線載入位於某處的超級電腦(假設您有存取權), 做天體模擬運算, 當結果迅速的產生時, 您可以將資料傳送到另一部圖形模擬工作站, 由那裏產生一份實體模擬圖。在這例子中, 您先後用到了一部超級電腦以及一部圖形處理工作站, 而您雙手真正接觸到的, 很可能是一部位於實驗室的個人電腦(PC), 可是其他這兩臺電腦可能在什麼地方也不知道!是的, 您一點也無須知道, 通過Internet的遠程聯線工具, 您只需到知道那裏有您要的CPU時間,以及應用軟件, 如此而已。 遠程聯線可以應用於跨越時空的環境, 當然也同樣適用於辦公室區域網絡間, 一臺電腦模擬成另一臺電腦的終端機而連線載入對方系統。
MySQL
是一個真正的多用戶、多線程SQL數據庫服務器。MySQL是以一個客戶機/服務器結構的實現,它由一個服務器守護程序mysqld和很多不同的客戶程序和庫組成。由於其源碼的開放性及穩定性,且與網站流行編徎語言PHP的完美結合,現在很多站點都利用其當作後端數據庫,使其獲得了廣泛應用。
Strobe(超級優化TCP端口檢測程序)
strobe是一個TCP端口掃描器,它可以記錄指定機器的所有開放端口。strobe運行速度快(其作者聲稱在適中的時間內,便可掃描整個一個國家的機器)。strobe的主要特點是,它能快速識別指定機器上正在運行什麼服務。strobe的主要不足是 這類信息是很有限的,一次strobe攻擊充其量可以提供給“入侵者”一個粗略的指南,告訴什麼服務可以被攻擊。但是,strobe用擴展的行命令選項彌補了這個不足。
電子郵件炸彈
英文是E-Mail Bomb,它是黑客常用的攻擊手段.常見的情況是當某人或某公司的所做所爲引起了某位黑客的不滿時,這位黑客就會通過這種手段來發動進攻,以泄私憤.相對於其它的攻擊手段來說,這種攻擊方法可謂簡單,見效快.呵呵,說笑了,轉入正題.郵件炸彈實質上就是發 送地址不詳,容量寵大,充滿了亂碼或罵人話的惡意郵件,也可稱之爲大容量的郵件垃圾.由於每個人的郵件信箱都是有限的,當龐大的郵件垃圾到達信箱的時候,就會把信箱擠爆,把正常的郵件給沖掉.同時,由於它佔用了大量的網絡資源,常常導致網絡塞車,使大量的 用戶不能正常地工作.所以說郵件炸彈的危害是相當大的。
NNS(網絡安全掃描器)
用PERL編寫,工作在Sunos4.1.3進行下面的常規的掃描Sendmail ,TFTP,匿名FTP,Hosts.equive,Xhost增強掃描Apple Talk,NovellLAN管理員網絡取得指定域的列表或報告!
掃描器
掃描器是一種自動檢測遠程或本地主機安全性弱點的程序,通過使用掃描器你可一不留痕跡的發現遠程服務器的各種TCP端口的分配及提供的服務!和它們的軟件版本!這就能讓我們間接的或直觀的瞭解到遠程主機所存在的安全問題。掃描器通過選用遠程TCP/IP不同的端口的服務,並記錄目標給予的回答,通過這種方法,可以蒐集到很多關於目標主機的各種有用的信息(比如:是否能用匿名登陸!是否有可寫的FTP目錄,是否能用TELNET,HTTPD是用ROOT還是nobady在跑!)
網際協議安全(IPSecurity)
IPSec 作爲安全網絡的長期方向,是基於密碼學的保護服務和安全協議的套件。因爲它不需要更改應用程序或協議,您可以很容易地給現有網絡部署 IPSec。IPSec 對使用 L2TP 協議的 VPN 連接提供機器級身份驗證和數據加密。在保護密碼和數據的 L2TP 連接建立之前,IPSec 在計算機及其遠程隧道服務器之間進行協商。
安全規則
安全規則就是對你計算機所使用局域網、互聯網的內製協議設置,從而達到系統的最佳安全狀態。
網絡入侵(hacking)
具有熟練的編寫和調試計算機程序的技巧,並使用這些技巧來獲得非法或未授權的網絡或文件訪問,入侵進入公司內部網的行文。 早先將對計算機的非授權訪問稱爲破解(cracking),而hacking則指那些熟練運用計算機的高手對計算機技術的運用。而隨着時間的推移,媒體宣傳導致了hacking變成了入侵的含義。現在hacker則稱爲諸如Linus Torvalds (Linux之父)、Tim Berners-Lee (現代WWW之父)及偷竊網絡信息等犯罪者的同義詞。
Arp
顯示和修改“地址解析協議”(ARP) 所使用的到以太網的 IP 或令牌環物理地址翻譯表。該命令只有在安裝了 TCP/IP 協議之後纔可用。
嗅探器(snifffer)
就是能夠捕獲網絡報文的設備。嗅探器的正當用處在於分析網絡的流量,以便找出所關心的網絡中潛在的問題。例如,假設網絡的某一段運行得不是很好,報文的發送比較慢,而我們又不知道問題出在什麼地方,此時就可以用嗅探器來作出精確的問題判斷。嗅探器在功能和 設計方面有很多不同。有些只能分析一種協議,而另一些可能能夠分析幾百種協議。
UUCP系統
UUCP系統是一組程序,完成文件傳輸,執行系統之間的命令,維護系統使用情況的統計,保護安全.UUCP是UNIX系統最廣泛使用的網絡實用系統,這其中在兩個原因:第一,UUCP是各種UNIX版本都可用的唯一的標準網絡系統,第二,UUCP是最便宜 的網絡系統.只需要一根電纜連接兩個系統,然後就可建立UUCP.如果需要在相距數百或數千公里遠的兩個系統間傳輸數據,中需要兩個具有撥號功能的調制解調器.
sniffit
是一個有名的網絡端口探測器,你可以配置它在後臺運行以檢測哪些Tcp/ip端口上用戶的輸入/輸出信息。最常用的功能是攻擊者可以用它來檢測你的23(telnet)和110(pop3)端口上的數據傳送以輕鬆得到你的登錄口令和mail帳號密碼,sniffit基本上是被破壞者所利用的工具,但是既然想知道如何增強你的站點的安全性,首先你應該 知曉闖入者們所使用的各種工具。
Smurf
(directed broadcast)。廣播信息可以通過一定的手段(通過廣播地址或其他機制)發送到整個網絡中的機器。當某臺機器使用廣播地址發送一個ICMP echo請求包時(例如PING),一些系統會迴應一個ICMP echo迴應包,也就是說,發送一個包會收到許多的響應包。Smurf攻擊就是使用這個原理來進行的,當然,它還需要一個假冒的源地址。也就是說在網絡中發送源地址爲要攻擊主機的地址,目的地址爲廣播地址的包,會使許多的系統響應發送大量的信息給被攻擊主 機(因爲他的地址被攻擊者假冒了)。使用網絡發送一個包而引出大量回應的方式也被叫做'放大器',這些smurf放大器可以www.netscan.org網站上獲得,一些無能的且不負責任的網站仍有很多的這種漏洞。
DOS攻擊
DoS的攻擊方式有很多種。最基本的DoS攻擊就是利用合理的服務請求來佔用過多的服務資源,致使服務超載,無法響應其他的請求。這些服務資源包括網絡帶寬,文件系統空間容量,開放的進程或者向內的連接。這種攻擊會導致資源的匱乏,無論計算機的處理速度多 麼快,內存容量多麼大,互連網的速度多麼快都無法避免這種攻擊帶來的後果。因爲任何事都有一個極限,所以,總能找到一個方法使請求的值大於該極限值,因此就會使所提供的服務資源匱乏,象是無法滿足需求。千萬不要自認爲自己擁有了足夠寬的帶寬就會有一個高效 率的網站,拒絕服務攻擊會使所有的資源變得非常渺小。
一次性口令
爲了解決固定口令的諸多問題,安全專家提出了一次性口令(OTP:One Time Password)的密碼體制,以保護關鍵的計算資源。OTP的主要思路是:在登錄過程中加入不確定因素,使每次登錄過程中傳送的信息都不相同,以提高登錄過程安全性。例如:登錄密碼=MD5(用戶名+密碼 +時間),系統接收到登錄口令後做一個驗算即可驗證用戶的合法性。
黑客程序
是一種專門用於進行黑客攻擊的應用程序,它們有的比較簡單,有的功能較強。功能較強的黑客程序一般至少有服務器和客戶機兩部分。黑客程序的服務器部分實際上是一個間諜程序,黑客程序的客戶機部分是黑客發動攻擊的控制檯。利用病毒原理以及發送電子郵件、提供 免費軟件等手段,將服務器悄悄安裝到用戶的計算機中。在實施黑客攻擊時,有客戶機與遠程已安裝好的服務器進行裏應外合,達到攻擊的目的。利用黑客程序進行黑客攻擊,由於整個攻擊過程已經程序化了,不需要高超的操作技巧,不需要高深的專業計算機軟件知識,只 需要一些最基本的計算機知識便可實施,因此,其危害性非常大。較有名的黑客程序有BO、YAI以及“拒絕服務”攻擊工具等。
域名系統(DNS)
是Internet上其他服務的基礎,E-mail是Internet上最重要的服務。但是DNS和E-mail系統也是Internet上安全漏洞最多的地方,DNS是Internet上其它服務的基礎。它處理DNS客戶機的請求:把名字翻譯成IP地址 ;把IP地址翻譯成名字;並提供特定主機的其它已公佈信息(如MX記錄)。下面介紹DNS使用中業已知曉的兩個安全問題,並給出相應的解決方法。
COOKIE欺騙
現在有很多社區網爲了方便網友瀏覽,都使用了cookie技術以避免多次輸入密碼(就如the9和vr),所以只要對服務器遞交給用戶的cookie進行改寫就可以達到欺騙服務程序的目的。按照瀏覽器的約定,只有來自同一域名的cookie纔可以讀寫,而 cookie只是瀏覽器的,對通訊協議無影響,所以要進行cookie欺騙可以有多種途徑:
1、跳過瀏覽器,直接對通訊數據改寫
2、修改瀏覽器,讓瀏覽器從本地可以讀寫任意域名cookie
3、使用簽名腳本,讓瀏覽器從本地可以讀寫任意域名cookie(有安全問題)
4、欺騙瀏覽器,讓瀏覽器獲得假的域名
緩衝區溢出
緩衝區溢出漏洞是指通過往程序的緩衝區寫超出其長度的內容,造成緩衝區的溢出,從而破壞程序的堆棧,使程序轉而執行其它指令,以達到攻擊的目的。
DOS攻擊
這是拒絕服務攻擊(Denial of Service)的簡稱,一個非常致命(並且低級)的攻擊概念。DoS一般被用於一些很使用的目的,一般人會用它來顯示自己的能力和技巧,儘管這種攻擊方法幾乎不需要什麼技巧。我認爲DoS有用的唯一原因是因爲它可以用於欺騙目的:當局部網中一臺系統癱瘓 時,你可以把你自己的地址改成那臺已經癱瘓掉的電腦的,並且中途截取類似用戶名和密碼等重要的信息。
ISO安全體系結構標準
在安全體系結構方面,ISO制定了國際標準ISO7498-2-1989《信息處理系統開放系統互連基本參考模型第2部分安全體系結構》。該標準爲開放系統互連(OSI)描述了基本參考模型,爲協調開發現有的與未來的系統互連標準建立起了一個框架。其任務是提供安全服務與有關機制的一般描述,確定在參考模型內部可以提 供這些服務與機制的位置。
聯合公共準則(CC)
CC的目的是想把已有的安全準則結合成一個統一的標準。該計劃從1993年開始執行,1996年推出第一版,但目前仍未付諸實施。CC結合了FC及ITSEC的主要特徵,它強調將安全的功能與保障分離,並將功能需求分爲9類 63族,將保障分爲7類 29族。
美國聯邦準則(FC)安全標準
該標準參照了CTCPEC及TCSEC,其目的是提供TCSEC的升級版本,同時保護已有投資,但FC有很多缺陷,是一個過渡標準,後來結合ITSEC發展爲聯合公共準則。
加拿大CTCPEC安全標準
該標準將安全需求分爲4個層次:機密性、完整性、可靠性和可說明性。
歐洲ITSEC ITSEC安全標準
與TCSEC不同,它並不把保密措施直接與計算機功能相聯繫,而是隻敘述技術安全的要求,把保密作爲安全增強功能。另外,TCSEC把保密作爲安全的重點,而ITSEC則把完整性、可用性與保密性作爲同等重要的因素。ITSEC定義了從E0級(不滿足品質 )到E6級(形式化驗證)的7個安全等級,對於每個系統,安全功能可分別定義。ITSEC預定義了10種功能,其中前5種與桔皮書中的C1~B3級非常相似。
美國TCSEC(桔皮書)安全標準
該標準是美國國防部制定的。它將安全分爲4個方面:安全政策、可說明性、安全保障和文檔。在美國國防部虹系列(Rainbow Series)標準中有詳細的描述。該標準將以上4個方面分爲7個安全級別,從低到高依次爲D、C1、C2、B1、B2、B3和A級。
智能卡技術
智能卡就是密鑰的一種媒體, 一般就像信用卡一樣, 由授權用 戶所持有並由該用戶賦與它一個口令或密碼字。該密碼與內部網 絡服務器上註冊的密碼一致。當口令與身份特徵共同使用時, 智 能卡的保密性能還是相當有效的。
數據加密技術
數據加密技術主要分爲數據傳輸、數據存儲、數據完整性的鑑 別以及密鑰管理技術四種。
SSN
安全服務器網絡(SSN)。爲適應越來越多的用戶向Internet上提供服務時對服務器保護的需要,第四代防火牆採用分別保護的策略保護對外服務器。它利用一張網卡將對外服務器作爲一個獨立網絡處理,對外服務器既是內部網的一部分,又與內部網關完全隔離 。這就是安全服務網絡(SSN)技術,對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從內部網上管理。SSN的方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因爲SSN與外部網之間有防火牆保護,SSN與內部網之 間也有防火牆保護,一旦SSN受破壞,內部網絡仍會處於防火牆的保護之下。
主機認證
主機認證是用IP地址來標誌允許或禁止一個客戶端。一旦有一個用戶登錄到X server上,一個叫做xhost的程序用來控制來自那個IP的客戶允許連接。但是大多數主機支持多個一臺客戶機上用戶,所以不可能控制在某一臺客戶機,允許他上而別人不行。
身份認證技術
對於從外部撥號訪問總部內部網的用戶,由於使用公共電話網進行數據傳輸所帶來的風險,必須更加嚴格控制其安全性。一種常見的做法是採用身份認證技術,對撥號用戶的身份進行驗證並記錄完備的登錄日誌。較常用的身份認證技術,有Cisco公司提出的ACACS +以及業界標準的RADIUS。
加密技術
加密型網絡安全技術的基本思想是不依賴於網絡中數據通道的安全性來實現網絡系統的安全,而是通過對網絡數據的加密來保障網絡的安全可靠性。數據加密技術可以分爲三類,即對稱型加密、不對稱型加密和不可逆加密。
SMTP協議
SMTP-簡單郵件傳輸協議(Simple Mail Transfer Protocol),是定義郵件傳輸的協議,它是基於TCP服務的應用層協議,由RFC0821所定義。SMPT協議規定的命令是以明文方式進行的。
Tripwire
Tripwire是一個用來檢驗文件完整性的非常有用的工具,你能定義哪些文件/目錄需要被檢驗,不過默認設置能滿足大多數的要求,它運行在四種模下:數據庫生成模式,數據庫更新模式,文件完整性檢查,互動式數據庫更新。當初始化數據庫生成的時候,它生成對現有文件的各種信息的數據庫文件,萬一以後你的系統文件或者各種配置文件被意外 地改變,替換,刪除,它將每天基於原始的數據庫對現有文件進行比較發現哪些文件被更改,你能根據email的結果判斷是否有系統入侵等意外事件。
Logcheck
Logcheck是用來自動檢查系統安全入侵事件和非正常活動記錄的工具,它分析各種Linux log文件,象 /var/log/messages, /var/log/secure,/var/log/maillog等等,然後生成一個可能有安全問題的問題報告自動發送email給管理員。你能設置它基於每小時,或者每天用crond來自動運行。logcheck工具的主頁在http://www.psionic.com/abacus/logcheck/
nmap
nmap 是用來對一個比較大的網絡進行端口掃描的工具,它能檢測該服務器有哪些tcp/ip端口目前正處於打開狀態。你可以運行它來確保已經禁止掉不該打開的不安全的端口號。nmap的主頁在http://www.insecure.org/nmap/index.html
ttysnoop
ttysnoop是一個重定向對一個終端號的所有輸入/輸出到另一個終端的程序。
DDoS
DDoS(分佈拒絕服務),這是一種分佈,協作的大規模攻擊方式,主要瞄準比較大的站點,象商業公司,搜索引擎和政府部門。攻擊者進入許多系統後都要留下安裝一個客戶端程序。預打包的拒絕服務的黑客程序象Trinoo/Tribal Flood,Stacheldraht,和Mstream都可以遠程控制,允許黑客們有組織的進行攻擊。
sudo
sudo是系統管理員用來允許某些用戶以root身份運行部分/全部系統命令的程序。一個明顯的用途是增強了站點的安全性,如果你需要每天以root身份做一些日常工作,經常執行一些固定的幾個只有root身份才能執行的命令,那麼用sudo對你是非常適合的。
TCP SYN攻擊
是在一個TCP連接開始時,發送方機器要發送一個SYN請求,接受方機器收到這個請求要回送ACK,發送方機器收到迴應也要發一個ACK確認。TCP SYN攻擊就是在SYN幀中填入一個不可到達的IP地址,因此接收方計算機向一個並不存在的計算機迴應ACK信號,它當然永遠收不到迴應的ACK信號。攻擊者利用這種攻擊方式,持續不斷的與你的服務器建立SYN連接,但是不回送ACK信號,這使服務器有上 百個,甚至上千個半開放的連接一直保持着,耗費系統的資源。
傳染
病毒的傳染是病毒性能的一個重要標誌。在傳染環節中, 病毒複製一個自身副本到傳染對象中去。
病毒表現
表現是病毒的主要目的之一, 有時在屏幕顯示出來, 有時則表現爲破壞系統數據。可以這樣說, 凡是軟件技術能夠觸發到的地方, 都在其表現範圍內。
病毒觸發
計算機病毒一旦被激活, 立刻就發生作用, 觸發的條件是多樣化的, 可以是內部時鐘, 系統的日期, 用戶標識符,也可能是系統一次通信等等。
病毒激活
是指將病毒裝入內存, 並設置觸發條件, 一旦觸發條件成熟, 病毒就開始作用--自我複製到傳染對象中, 進行各種破壞活動等。
傳染媒介
病毒傳染的媒介由工作的環境來定, 可能是計算機網, 也可能是可移動的存儲介質, 例如軟磁盤等。
傳染源
病毒總是依附於某些存儲價質, 例如軟盤、 硬盤等構成傳染源。
計算機病毒
不是我們說熟悉的生物病毒,計算機病毒是一個程序,一段可執行代碼。但是,計算機病毒就像生物病毒一樣,有獨特的複製能力。同生物病毒一樣計算機病毒可以很快地蔓延,而且常常難以根除。它們能把自身附着在各種類型的文件上。當文件被複制或從一個用戶傳送到 另一個用戶時,它們就隨同文件一起蔓延開來。
數據驅動攻擊
黑客或攻擊者把一些具有破壞性的數據藏匿在普通數據中傳送到因特網主機上,當這些數據被激活時就會發生數據驅動攻擊。例如修改主機中與安全有關的文件,留下下次更容易進入該系統的後門。
報文攻擊
黑客或攻擊者有時利用重定向報文進行攻擊。重定向報文可改變路由器,路由器根據這些報文建議主機走另一條“更好”的路徑。黑客或攻擊者利用重定向報文把連接轉向一個黑客或攻擊者控制的主機,或使所有報文通過他們控制的主機來轉發。
電污染攻擊
據有關資料顯示,有九成計算機出現的誤碼、死機、芯片損壞等現象來自“電污染”。究其原因是,(1)電流在傳導過程中會受到諸如電磁、無線電等因素的干擾,形成電子噪聲,導致可執行文件或數據文件出錯;(2)有時由於電流突然迴流,造成短時間內電壓急劇升 高,出現了電涌現象,這種電浪涌不斷衝擊會導致設備元件出現故障,所以惡意攻擊者可以利用“電污染”手段損壞或摧毀防火牆。
社會工程攻擊
社會工程攻擊有時又叫系統管理員失誤攻擊。黑客或攻擊者同公司內部人員套近乎,獲取有用信息,尤其系統管理人員失誤(如WWW服務器系統的配置錯誤),擴大了普通用戶的權限,同時也給黑客或攻擊者以可趁之機。
ATM防火牆
到目前爲止,ATM防火牆系統的辨論者已分裂爲兩大陣營。一方只是在建立呼叫時要求鑑認機制;另一方認爲儘管涉及的傳輸速度很高,但完全有可能利用分鑰體制在ATM信元級進行加密。最近組建的ATM安全小組正在制定ATM安全機制的最終標準。
後防火牆時代
後防火牆時代(The post-firewall era):防火牆系統將繼續覆蓋全部網絡至何種程度,這是個在目前很難說清楚的事情。當計算機變得日益強大,傳輸帶寬日益增加,人們可以見到這樣一個時候,即構作的計算機系統將留有足夠的計算能力來利用強大的鑑認和加密機制保護自己,到那個時候,每一個單 一的系統都將有自己的防火牆。
狀態監視技術
這是第三代網絡安全技術。狀態監視服務的監視模塊在不影響網絡安全正常工作的前提下,採用抽取相關數據的方法對網絡通信的各個層次實行監測,並作安全決策的依據。監視模塊支持多種網絡協議和應用協議,可以方便地實現應用和服務的擴充。狀態監視服務可以監視 RPC(遠程過程調用)和UDP(用戶數據報)端口信息,而包過濾和代理服務則都無法做到。
IP隧道攻擊
IP隧道攻擊即在端口80發送能產生穿過防牆的IP隧道的程序。如果人們利用因特網加載程序(例如經過因特網加載實音頻網關),則可能引入產生IP隧道(類似於防火牆中使用的實用網關)的特洛伊木馬,造成在因特網和內部網之間的無限IP防問。IP隧道攻擊 是黑客在實際攻擊中已經實現的一種防火牆攻擊技術。
基於堡壘主機web服務器的攻擊
黑客可以設想把堡壘主機web服務器轉變成避開防火牆內外部路由器作用或影響的系統。它也可用於發動針對下一層保護的攻擊,觀察或破壞防火牆網絡內的網絡通信量,或者在防火牆只有一個路由器的情況下完全繞過防火牆。這種防火牆技術已被廣泛應用並證明有效。
基於附加信息的攻擊
基於附加信息(postscript)的攻擊是一種較先進的攻擊方法,它使用端口80(HTTP端口)傳送內部信息給攻擊者。這種攻擊完全可以通過防火牆實現,因爲防火牆允許HTTP通過且又沒有一套完整的安全辦法確定HTTP報文和非HTTP報文之間的 差異。目前有黑客利用這種攻擊對付防火牆技術,雖然還不是很廣泛。
IP分段攻擊
通常採用數據分組分段的辦法來處理僅支持給定最大IP分組長度的網絡部分。一旦被髮送,並不立即重新組裝單個的分段,而是把它們路由到最終目的地,只在這時才把它們放在一塊給出原始的IP分組。除了IP頭之外,每個分組包含的全部東西就是一個ID號和一個 分組補償值。藉以清楚地識別各分段及其順序。因此,被分段的分組是對基於分組過濾防火牆系統的一個威脅,它們把它們的路由判決建立在TCP端口號的基礎上,因爲只有第一個分段標有TCP端口號,而沒有TCP號的分段是不能被濾除的。
TCP序號攻擊
TCP序號攻擊是繞過基於分組過濾方法的防火牆系統的最有效和最危險的方法之一。利用因特網協議中的這種安全漏洞,可以使其訪問管理依賴於分析IP發送地址的任何安全系統上當。這種攻擊基於在建立TCP連續時使用的三步握手序號(three-step handshake sequence)。它假定利用前面敘述過的IP地址欺騙可以從外部把僞造的IP分組送入內部計算機系統。
IP地址欺騙
突破防火牆系統最常用的方法是因特網地址欺騙,它同時也是其他一系列攻擊方法的基礎。黑客或入侵者利用僞造的IP發送地址產生虛假的數據分組,喬裝成來自內部站的分組過濾器,則這種類型的攻擊是非常危險的。關於涉及到的分組真正是內部的還是外部的分組被包 裝得看起來象內部的種種跡象都已喪失殆盡。只要系統發現發送地址在其自己的範圍之內,則它就把該分組按內部通信對待並讓其通過。
格式化字符串攻擊
格式化字符串漏洞同其他許多安全漏洞一樣是由於程序員的懶惰造成的。當你正在閱讀本文的時候,也許有個程序員正在編寫代碼,他的任務是:打印輸出一個字符串或者把這個串拷貝到某緩衝區內。
LKMs
LKMs就是可卸載的內核模塊(Loadable Kernel Modules)。這些模塊本來是Linux系統用於擴展他的功能的。使用LKMs的優點有:他們可以被動態的加載,而且不需要重新編譯內核。由於這些優點,他們常常被特殊的設備(或者文件系統),例如聲卡等使用。
首尾加密
對進入網絡的數據加密,然後待數據從網絡傳送出後再進行解密.網絡本身並不會知道正在傳送的數據是加密數據.這一方法的優點是,網絡上的每個用戶(通常是每個機器的一個用戶)可有不同的加密關鍵詞,並且網絡本身不需增添任何專門的加密設備.缺點是每個系統 必須有一個加密設備和相應的軟件(管理加密關鍵詞).或者每個系統必須自己完成加密工作(當數據傳輸率是按兆位/秒的單位計算時,加密任務的計算量是很大的).
節點加密
與鏈接加密類似,不同的只是當數據在節點間傳送時,不用明碼格式傳送,而是用特殊的加密硬件進行解密和重加密,這種專用硬件通常旋轉在安全保險箱中.
鏈接加密
在網絡節點間加密,在節點間傳輸加密,傳送到節點後解密,不同節點對間用不同的密碼.
PAM
(pluggable Authentication modules)是一套共享庫,他爲系統管理進行用戶確認提供廣泛的嚴密控制,本身不是一個工具。他提供一個前端函數庫(一個API)用來確認用戶的應用程序。PAM庫可以用一個單獨的文件/etc/pam.conf來配置,也可以通過位於/etc/pam.d/下的一組配置文件來配置。使事情對用戶容易是PAM的核心目標。PAM可以配置成提供單一的或完整的登錄過程,使用戶輸入一條口令就能訪問多種服務。例如,ftp程序傳統上依靠/etc/passwd機制來確認一個希望開始進行ftp會議的用戶。配置了PAM的系統把ftp確認請求發送給PAM API,後者根據pam.conf或相關文件中的設置規則來回復。系統管理員可以設置PAM使一個或多個認證機制能'插入'到PAM API中。PAM的優點之處在於其靈活性,系統管理員可以精心調整整個認證方案而不用擔心破壞應用程序。
su和newgrp命令
(1)su命令:可不必註銷戶頭而將另一用戶又登錄進入系統,作爲另一用戶工作. 它將啓動一新的shell並將有效和實際的UID和GID設置給另一用戶.因此必須嚴 格將root口令保密. (2)newgrp命令:與su相似,用於修改當前所處的組名.
umask命令
umask設置用戶文件和目錄的文件創建缺省屏蔽值,若將此命令放入 .profile文件,就可控制該用戶後續所建文件的存取許可.umask命令與chmod命 令的作用正好相反,它告訴系統在創建文件時不給予什麼存取許可.
DES鑑別系統
DES鑑別系統的安全性建立在發送者對當前時間的編碼能力上,它使接收 者能解碼並對照自己的時鐘來進行檢驗.時鐘標記也使用DES編碼.這樣的機制 要工作有兩件事是必須的: 發送者和接收者雙方必須對什麼是當前時間進行約定;發送者和接收者必須使用同樣的編碼關鍵字. 如果網絡有時間同步機制,那麼客戶機服務器之間的時間同步將自己執行。 如果沒有這樣的機制,時間標記將按服務器的時間來計算。爲計算時間,客戶機在開始RPC調用之前必須向服務器詢問時間,然後計算自己和服務器之間的時間差,當計算時間標記時,這個差值將校正客戶方面的時鐘.一旦客戶機和服務器時鐘不同步,服務器就開始拒絕 客戶機的請求,並且DES鑑別系統將使它們的時間同步.
UNIX鑑別機制
SUN早期的各種網絡服務都建立在UNIX鑑別機制之上,證書部分包含站名, 用戶號,組號和同組存取序列,而覈對器是空白.這個系統存在兩個問題:首先, 最突出的問題是覈對器是空的,這就使得僞造一份證書是非常容易的.如果網絡中所有的系統管理員都是可以信賴的,那不會有什麼問題.但是在許多網絡 (特別是在大學)中,這樣是不安全的.而NFS對通過查尋發出mount請求的工作站的INTERNET地址作爲hostname域的核對器來彌補UNIX鑑別系統的不足,並且使它只按受來自特權INTERNET口的請求.但這樣來確保系統安全仍然是不夠 的, 因爲NFS仍然無法識別用戶號ID. 另一個問題是UNIX鑑別系統只適用於UNIX系統,但需要在一個網絡中所有的站都使用UNIX系統是不現實的.因爲NFS可運行於MS-DOS和VMS系統的機器上, 但在這些操作系統中UNIX鑑別系統是不能運行的,例如:MS-DOS系統甚至就沒有用戶號的概念. 由此可知,應該有這樣的鑑別系統:它具有獨立於操作系統證書並使用核 對器.這就如像DES鑑別系統.
RPC
遠程過程調用(RPC)鑑別,RPC是網絡安全的核心,要明白這一點就必須清楚在RPC中鑑別機制是怎樣工作的.RPC的鑑別機制是端口開放式的,即各種鑑別系統都可插入其中並與之共存.當前SUN OS有兩個鑑別系統:UNIX和DES,前者是老的,功能也弱.後者是在本節要介紹的新系統.對於RPC鑑別機制有兩個詞是很重要的:證書和核對器(credentials和verify).這好比身份證一樣,證書是識別一個人的姓名,地址, 出生日期等;而覈對器就是身份證的照片,通過這張照片就能對持有者進行覈對.在RPC機制中也是這樣:客戶進程在RPC請求時要發出證書和核對器信息.而服務器收到後只返回覈對器信息,因爲客戶是已知道服務的證書的.
shutdown命令
用shutdown命令關係統,shutdown shell程序發送警告通知所有用戶離開 系統,在“給定的期限時間“到了後,就終止進程,拆卸文件系統,進入單用戶方 式或關機狀態.一旦進入單用戶方式,所有的gettys停止運行,用戶再不能登錄. 進入關機狀態後可將系統關電. shutdown僅能由作爲root登錄的用戶從系統控制檯上運行.所以任何的 shutdown運行的命令僅能對root可寫.
ncheck命令
用於檢查文件系統,只用一個磁盤分區名作爲參數,將列出i節點號及相應 的文件名.i節點相同的文件爲建鏈文件. 注意:所列出的清單文件名與mount命令的第一個域相同的文件名前部分 將不會列出來.因爲是做文件系統內部的檢查,ncheck並不知道文件系統安裝 點以上部分的目錄. 也可用此命令來搜索文件系統中所有的SUID和SGID程序和設備文件,使用 -s選項來完成此項功能.
secure程序
系統管理員應當做一個程序以定期檢查系統中的各個系統文件,包括檢查 設備文件和SUID,SGID程序,尤其要注意檢查SUID,SGID程序,檢查/etc/passwd 和/etc/group文件,尋找久未登錄的戶頭和校驗各重要文件是否被修改.
計算機病毒攻擊
計算機病毒是一種把自身拷貝爲更大的程序並加以改變的代碼段。它只是在程序開始運行時執行,然後複製其自身,並在複製中影響其他程序。病毒可以通過防火牆,它們可以駐留在傳送給網絡內部主機的E-Mail消息內。
包過濾技術
包過濾防火牆的安全性是基於對包的IP地址的校驗。在Internet上,所有信息都是以包的形式傳輸的,信息包中包含發送方的IP地址和接收方的IP地址。包過濾防火牆將所有通過的信息包中發送方IP地址、接收方IP地址、TCP端口、TCP鏈路狀態等 信息讀出,並按照預先設定的過濾原則過濾信息包。那些不符合規定的IP地址的信息包會被防火牆過濾掉,以保證網絡系統的安全。這是一種基於網絡層的安全技術,對於應用層的黑客行爲是無能爲力的。
Finger
可以用Finger來獲取一個指定主 機上的所有用戶的詳細信息(如用戶註冊名、電話號碼、最後註冊時間以及他們有沒有讀郵件等等)。
RSA
Rivest-Shamir-Adleman公開密鑰算法,公開密鑰算法是在1976年由當時在美國斯坦福大學的迪菲(Diffie)和赫爾曼(Hellman)兩人首先發明的(論文'New Direction in Cryptography')。但目前最流行的RSA是1977年由MIT教授Ronald L.Rivest,Adi Shamir和Leonard M.Adleman共同開發的,分別取自三名數學家的名字的第一個字母來構成的。公鑰加密算法也稱非對稱密鑰算法,用兩對密鑰:一個公共密鑰和一個專用密鑰。用戶要保障專用密鑰的安全;公共密鑰則可以發佈出去。公共密鑰與專用密鑰是有緊密關係的,用公共密 鑰加密的信息只能用專用密鑰解密,反之亦然。由於公鑰算法不需要聯機密鑰服務器,密鑰分配協議簡單,所以極大簡化了密鑰管理。除加密功能外,公鑰系統還可以提供數字簽名。
Satan
Satan是從系統外部進行檢查系統是否存在安全問題的程序,它能對網絡存在的脆弱性自動進行搜索、分析並提供安全報告。這種從外部分析系統的軟件一般稱爲掃描器,由於Satan功能強大並提供了可擴展的框架,因此在Internet上十分流行。它的另一 個特點就是它通過Web瀏覽器工作,使用者只需指明要搜索的主機以及搜索深度和相近規則的級別,Satan就能自動收集儘可能多的目標信息。
cops
是一個由系統管理員運行,檢查系統內部設置的程序。它針對已知的Unix存在問題進行檢查,如檢查系統中是否存在沒有口令的帳戶,是否有非法SetUID程序,以及是否存在Internet上已經報告過的系統漏洞,是否存在有問題的軟件等等。系統管理員能 使用cops來檢查系統的配置有無問題。
IP地址廣播
這種廣播能跨越路由器,但這也是造成廣播風暴的一種主要形式(如廣播地址202.120.127.255)。
Arp/Rarp廣播
是一種爲了獲取目標IP地址的Mac地址用的一種機制。屬於TCP/IP網絡層上的廣播。這種廣播能跨越網橋進行傳播,但不能跨越路由器。
SR
是一個多端口的IP路由器;代理服務器則是代表網絡內部用戶的代理者,它實際上是一個應用層上的網關。當用戶使用TCP/IP應用時,給Proxy提供合法身份和授權信息,Proxy 就和被訪問主機聯繫,並在兩個通信點之間中繼傳遞IP數據包。IP包處理的過程對用戶是透明的。SR的優點是簡單,成本低;缺點是很難準確地設置包過濾器,缺乏用戶級的授權,路由器供應商正致力於解決這一問題,並提出了標準化的用戶級授權協議Radius 。Proxy的優點是有用戶級的授權;缺點是對所有的應用程序須建立一個應用層信關,這會嚴重影響新應用程序的部署。
應用級網關
應用級網關(Application Level Gateways):是在網絡應用層上建立協議過濾和轉發功能。它針對特定的網絡應用服務協議使用指定的數據過濾邏輯,並在過濾的同時,對數據包進行必要的分析、登記和統計,形成報告。實際中的應用網關通常安裝在專用工作站系統上。
防火牆技術
防火牆技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,越來越多地應用於專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡爲最甚。
NAT
網絡地址轉換(Network Address Translation)是一種用於把內部IP地址轉換成臨時的、外部的、註冊的IP地址的標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味着用戶不需要爲其網絡中每臺機器取得註冊的IP地址。
指針保護
編譯器生成程序指針完整性檢查。指針保護是堆棧保護針對這種情況的一個推廣。通過在所有的代碼指針之後放置附加字節來檢驗指針在被調用之前的合法性。如果檢驗失敗,會發出報警信號和退出程序的執行,就如同在堆棧保護中的行爲一樣。
Purify
是C程序調試時查看存儲器使用的工具而不是專用的安全工具。Purify使用“目標代碼插入”技術來檢查所有的存儲器存取。通過用Purify連接工具連接,可執行代碼在執行的時候數組的所有引用來保證其合法性。這樣帶來的性能上的損失要下降3-5倍。
堆棧保護
是一種提供程序指針完整性檢查的編譯器技術,通過檢查函數活動紀錄中的返回地址來實現。堆棧保護作爲gcc的一個小的補丁,在每個函數中,加入了函數建立和銷燬的代碼。加入的函數建立代碼實際上在堆棧中函數返回地址後面加了一些附加的字節,如圖2示。而在 函數返回時,首先檢查這個附加的字節是否被改動過。如果發生過緩衝區溢出的攻擊,那麼這種攻擊很容易在函數返回前被檢測到。
