挑戰黑客--網路安全的最終解決方案 內容簡介
本書面向網路用戶,全面介紹了網路安全性方面的基本問題。首先給讀者介紹了幾種常見的網路協定,如TCP/IP,HTTP,S-HTTPO接著談到了防火牆、加密及數字簽證方面的知識。作者還分析了黑客種種攻擊網路弱點的方法,並指出我們應該怎樣預防。最後,逐個比較各種網路在安全性上的優缺點,並提出一個可行的安全方案。本書內容詳實、編排得當,適套用戶閱讀習慣,是一本獻給網路管理員、MIS專家、程式設計師及終端用戶的不可多得的網路安全性方面的最新圖書。
挑戰黑客--網路安全的最終解決方案 本書目錄
第一章 認識危機――接入Internet的計算機網路1.1 1988年的Internet蠕蟲事件
l.2 Internet worm的機理
l.3 Internet worm的影響
1.4 不斷增長的危險 l.5 什麼是 Internet
1.6 報文交換:網路的”建材”
1.7 Internet的先驅:ARPANET
1.8 ARPANET通信功能的擴展: TCP/IP
1.9 WWW的介紹
1.10 作為商業機遇的、不可或缺的工具――Web
1.11 考慮危險
1.12 關於黑客定義的爭論
1.13 威脅的種類:概述
1.14 企業內部網(Intranet)――Internet的表弟
1.15 回顧黑客的種類及更多信息
1.16 與安全性相夫的郵件列表和新聞組
1.17 總結 l.18 附加的Internet資源:
第二章 網路和TCP/IP
2.1 基本網路和TCP/IP的簡單描述
2.2 ISO/OSI網路模型
2.3 TCP/IP選址方案
2.4 傳輸控制協定
2.5 網路拓撲結構
2.6 各種網路技術
2.7 連線計算機網
2.8 網路物理結構
2.9 總結
2.10 與ISO/OSIR及TCP/IP相關的 Internet資源
第三章 了解和使用防火牆
3.l 安全性的不同形式
3.2 介紹防火牆的構造
3.3 防火牆
3.4 防火牆結構
3.5 最小化的安全性等級分類
3.6 總結
3.7 與防火牆相關的Internet資源
第四章 利用加密保護你的信息傳遞
4.l 為什麼說加密是非常重要的
4.2 加密基礎知識
4.3 公用密鑰系統
4.4 DIFFIE和HELLMAN簡介
4.5 安全性只能如此
4.6 訊息摘要算法
4. 7 機密增強型郵件( PEM)
4.8 對主要加密程式的簡短討論
4.9 複習公用密鑰的結構
4. 10 微軟的 CryptoAPI
4.11 對加密系統的計時入侵
4.12 加密新法;橢圓曲線加密 4.13 總結
4.14 文檔加密和傳送方面的Internet資源
第五章 利用數字簽名證實訊息源
5.l 數字簽名的建立
5.2 數字簽名的重要性
5.3 數字簽名與手簽名的對比
5.4 使用數字簽名
5.5 美國數字簽名標準(DSS)
5.6 重溫 Diffie- Hellman算法
5.7 數字簽名和檔案標識
5.8 總結
5.9 與數字貨名有關的Internet資源
第六章 超文本傳輸協定
6.1 HTTP――Web的基本協定
6.2 MIME
6.3 深入了解HTTP
6.4 HTTP怎樣進行查找、檢索和注釋
6. 5 HTTP四步處理法
6.6 HTTP回響代碼類型
6.7 進一步了解URI
6.8 回顧 URL
6.9 URL和 HTML
6.10 絕對 URL 和相對URL
6.11 HTTP請求方法
挑戰黑客--網路安全的最終解決方案 文章節選
TCP協定劫持入侵也許對連結於Internet的伺服器的最大威脅是TCP劫持入侵(即我們所知的主動嗅探),儘管順序號預測法入侵和TCP劫持法有許多相似之處,但TCP劫持之不同在於黑客將強迫網路接受其IP址為一個可信網址來獲得訪問,而不是不停地猜IP址直至正確。TCP劫持法的基本思想是,黑客控制了一台連線於入侵目標網的計算機,然後從網上斷開以讓網路伺服器誤以為黑客就是實際的客戶端。圖9.3顯示了一個黑客怎樣操作一個TCP劫持入侵。
成功地劫持了可信任計算機之後,黑客將用自己的IP址更換入侵目標機的每一個包的IP址,並模仿其順序號。安全專家稱順序號偽裝為“IP模仿”,黑客用IP模仿在自己機器上模擬一個可信系統的IP位址,黑客模仿了目標計算機之後,便用靈巧的順序號模仿法成為一個伺服器的目標。
黑客實施一個TCP劫持入侵後更易於實施一個IP模仿入侵,而且TCP劫持讓黑客通過一個一次性口令請求回響系統(如共享口令系統,第四章詳述),再讓一個擁有更高安全性的主機妥協。通過口令系統也讓黑客穿過一個作業系統而不是黑客自己的系統。
最後,TCP劫持入侵比IP模仿更具危害性,因為黑客一般在成功的TCP劫持入侵後比成功的IP模仿入侵後有更大的訪問能力。黑客因為截取的是正在進行中的事務而有更大訪問許可權,而不是模擬成一台計算機再發起一個事務。
9.3 嗅探入侵
利用嗅探者的被動入侵已在Internet上頻繁出現,如第一章所指出,被動嗅探入侵是一個黑客實施一次實際劫持或IP模仿入侵的第一步。要開始一個嗅探入侵,黑客要擁有用戶IP和合法用戶的口令,而用一個用戶的信息註冊於一個分散式網路上。進入網之後,黑客嗅探傳送的包並試圖儘可能多地獲取網上資料。
為了防止分散式網路上的嗅探入侵,系統管理員一般用一次性口令系統或票據認證系統(如Kerberos)等識別方案。例如,一些一次性口令系統向用戶提供再每次退出登錄後的下次登錄口令。第十章詳述了Kerberos系統。儘管一次性口令系統和Kerberos方案能讓黑客對口令的嗅探在不安全的網路上變得更加困難,但如果它們既未加密又未指明數據流時仍將面臨實際的被入侵風險(正如你在第十章所看到的,Kerberos也提供了一個加密TCP協定流選項)。圖9.4顯示了黑客如何實施被動的嗅探入侵。
下面描述一次黑客將TCP流定向到自己機器上的針對TCP的實際入侵。在黑客重新定向了TCP流之後,黑客能通過無論是一次性口令系統或票據認證系統提供的保護安全線,這樣TCP連線對任何一個在連線路徑上擁有TCP包嗅探器和TCP包發生器的人來說都變得非常脆弱。在第一章里,你了解到一個TCP包在到達目的系統之前要經過許多系統,換句話說,只要擁有一個放置好了的嗅探器和發生器,黑客能訪問任何包――它們可能包括你在Internet上傳送的包。 本章後面部分詳述了一些你可以用來檢測實際入侵的方案和一些你可以用來防衛入侵的方法。黑客能用本章所述的最簡單的方法來侵入Internet主機系統,而且,黑客可以實施一次和被動嗅探所需資源一樣少的主動非同步攻擊。
