qq_43416206的博客

发送数据包到路由器，路由器将数据包转发到 Web 站点，当 Web 站点接收数据包请求之后回应数据包到路由器，路由器将数据包发送给了内网主机１，再由内网主机１转发给内网主机２。通过漏洞扫描，发现内网主机 1 不存在可利用漏洞，即攻击主机不可能通过主动攻击方式攻击内网主机 1，根据安全检测阶段的推论，利用 ARP 欺骗攻击的方式对内网站主机 1 进行攻击，可以成功实现攻击，未受攻击情况下的 ARP 缓存如图 14.15 所示，被ARP 欺骗攻击后的 ARP 缓存如图 14.16 所示。

网络安全是一个系统工程，它既不是防火墙、入侵检测，也不是安全协议，或者认证和授权。网络安全不是安全技术和产品的简单叠加，它是融合了技术和管理在内的一个全面解决安全问题的体系结构。从技术角度而言，网络安全是一个动态的概念，可采用网络动态安全模型描述，给用户提供更完整、更合理的安全机制。网络动态安全模型的代表之一是APPDRR 模型， 该模型隐含了网络安全的相对性和动态螺旋上升的过程。

第一步， “挂马”网页的制作。收集路由器的网卡信息，如图 13.22 所示，可知该路由器有三个网络接口，其网络接口的 IP 地址分别为 10.10.10.1/24、 172.16.16.1/24、 192.168.1.1/24，并且 10.10.10.1/24 连接的是 DMZ（ DeMilitarized Zone）区， 172.16.16.1/24 连接的是外 网， 由此推测192.168.1.1/24 连接的是内网，从而推知内网主机在 192.168.1.0/24 这个网段内。具体添加的策略如下；

网络攻击也称为网络入侵，表示的是网络系统内部发生的任何违反安全策略的事件，这些安全事件可能来自系统外部，也可能来自系统内部；可能是故意的，也可能是无意偶发的。网络攻击的方法非常灵活。从攻击的目的来看，可以有拒绝服务攻击（ DoS/DDoS）、获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置漏洞的攻击等；从攻击的纵向实施过程来看，又有获取初级权限攻击、提升最高权限的攻击、后门攻击和跳板攻击等；

若是在同一台计算机上进行模拟，此时可以看见这个密钥后面的“ Verified”属性为绿色并打上了钩，表明它的正确性已经得到了验证，可以用来加密发送给 Bob 的文件，也可以解密 Bob 发过来的签名了，此时单击“ Import”按钮导入即可。而后单击任务栏中的 图标解密邮件。SSH 实验通过安装并配置 OpenSSH 服务器，创建远程登录客户，并启动 OpenSSH服务，通过 SSH 协议远程登录 OpenSSH 服务器，验证 SSH 安全通信的原理，以掌握OpenSSH 的使用及配置。

SSL VPN 实验中，利用 openssl 软件构造的一个简单的 CA，生成根证书（ ca.crt）、网关服务证书和私钥（ server.crt 和 server.key），以及客户证书和私钥（打包合成为 PFX格式的证书文件 client.pfx）。SSL VPN 实验通过证书的构建与安装、 SSL VPN 软件的安装、 Stunnnel 的参数配置， SSLVPN 的交互过程及日志记录的分析，验证 SSL 协议的工作原理，以掌握 SSL VPN 的配置。单击“确定”按钮，继续访问。

在阶段 1 的交换中，通信双方协商建立了一个 ISAKMP SA，该 SA 是双方为保护它们之间的通信而使用的策略及密钥，用该 SA 协商的参数保护 IPSec SA 的协商过程。按照交换的阶段划分， IKE 密钥交换分为以下几种交换模式：阶段 1 为主模式交换，可实现通信双方身份的认证和进行密钥协商，得到保护阶段 2 交换的策略和密钥；消息 3 和消息 4（见图 12.12 中编号为 589、 590 号的消息），是发起方和响应方交换数据的信息，交换的数据内容包括密钥交换负载和 nonce 的负载信息。

传统的网络服务程序，如 FTP、 POP 和 TELNET，在本质上都是不安全的，因为它们在网络上使用明文传送口令和数据，别有用心的人非常容易截获这些口令和数据，且这些服务程序的安全验证方式很容易受到“中间人”（ Man-in-The-Middle）的攻击。该协议中的认证基于主机，并且该协议不执行客户认证功能。处于分层结构底层的是 SSL 记录层协议（ SSL Record Protocol），该层协议位于 TCP之上，用于封装高层协议的数据，将传输的数据进行分段、压缩/解压缩、加密/解密和完整性校验等。

网络安全协议是网络安全的一个重要组成部分，通过网络安全协议可以实现实体认证、数据完整性校验、密钥分配、收发确认及不可否认性验证等安全功能。按照安全协议完成的功能可以分为以下三种协议。（ 1）密钥交换协议。一般情况下是在参与协议的两个或者多个实体之间建立共享的密钥，这通常用于建立在一次通信中所使用的会话密钥。（ 2）认证协议。认证协议中包括实体认证（身份认证）协议、消息认证协议、数据源认证和数据目的认证协议等，用来防止假冒、篡改、否认等攻击。（ 3）认证和密钥交换协议。

蜜罐（ Honeypot）是一种安全资源，其价值就在于被探测、被攻击或被攻陷。因此带有欺骗、诱捕性质的网络、主机、服务等均可以看成一个蜜罐。除了欺骗攻击者，蜜罐一般不支持其他正常的业务，因此任何访问蜜罐的行为都是可疑的，这是蜜罐的工作基础。按攻击者与蜜罐相互作用的程度，蜜罐可分为低交互（ Low-Interaction）蜜罐和高交互（ High-Interaction）蜜罐，其具体差别如下所述。1）低交互蜜罐。

入侵检测是通过对计算机网络或计算机系统中若干关键点信息的收集和分析，从中发现网络或系统中是否有违反安全策略行为和被攻击迹象的一种安全技术。入侵检测被认为是防火墙之后的第二道安全屏障，在不影响或较少影响网络性能的情况下对网络进行监测，提供对内部攻击、外部攻击和误操作的实时检测。

在提供界面操作的同时， Windows 系统下 netsh 文件还提供了命令行下对防火墙等许多网络设置的配置方法，便于远程的管理。1）查看防火墙在命令行下打开 netsh 文件，输入“ advfirewall firewall”，查看 firewall 命令，如图 9.13 所示。输入“ show rule name=all”，查看防护墙的所有规则，如图 9.14 所示。输入“ firewall show logging”，可查看防火墙配置记录，如图 9.15 所示。

转发的依据是用户根据网络的安全策略所定义的规则集，对于那些危险的、规则集所不允许通过的数据包，直接丢弃，只有那些确信是安全的、规则集允许的数据包，才进行转发。应用动态包过滤技术可截断所有传入的通信，而允许所有传出的通信，这是静态包过滤技术无法做到的功能。个人防火墙是运行于主机操作系统内核的软件，根据安全策略制定的规则对主机所有的网络信息进行监控和审查，包括拦截不安全的上网程序，封堵不安全的共享资源及端口，防范常见的网络攻击等，以保护主机不受外界的非法访问和攻击，其主要采用的是包过滤技术。

在网络安全领域，防火墙指的是置于不同网络安全区域（比如企业内部网络和外部互联网）之间的、对网络流量或访问行为实施访问控制的安全组件或一系列安全组件的集合。防火墙的访问控制机制有点类似于大楼门口的门卫，本质上，防火墙在内部与外部两个网络之间建立一个安全控制点，并根据具体的安全需求和策略，对流经其上的数据通过允许、拒绝或重新定向等方式控制网络的访问，达到保护内部网络免受非法访问和破坏的目的。

访问控制是在共享环境下限制用户对资源访问的一种安全机制。访问控制一般是在对用户身份鉴别之后保护系统安全的第二道屏障，一般分为自主访问控制和强制访问控制。自主访问控制是指资源的拥有者拥有对资源访问的控制权，如将文件的读权限赋予其他用户等；强制访问控制是指要根据用户和资源的安全级别来限制访问，资源的拥有者无权设置资源的访问权限。本章的文件访问控制就是一种自主访问控制，而 Windows 7UAC（ User Access Control）则属于强制访问控制。

在宿主机上运行“ cmd.exe”命令行程序，输入“ arp -a”命令，然后查看当前的 ARP缓存，可以看到网关 IP 地址“ 10.104.171.1”和虚拟机 IP 地址“ 10.104.171.133”所对应的 MAC 地址都是“ 00-0c-29-ea-dd-df”，如图 7.10 所示。单击上方的“开始/停止嗅探”按钮，在空白处以鼠标右键单击，弹出菜单，选择“扫描 MAC 地址”，扫描完毕后，屏幕显示当前局域网中所有活动主机的 IP 地址和 MAC 地址列表，如图 7.5 所示。

TCP/IP 协议簇是目前互联网中使用最为广泛的协议簇，它起源于 20 世纪 60 年代末美国政府资助的一个分组交换网络研究项目，它也被称做互联网的基础。然而在设计之初，设计者们只是想办法将遍布在全世界的各个孤立的计算机连接在一起，而并没有考虑其中可能存在的安全隐患。1．缺乏严格的身份验证机制设计者们假设 TCP/IP 被应用于一个可信的网络环境中，没有充分考虑数据传输过程中可能存在伪造身份的问题，而仅以 IP 地址作为通信身份的标志。

4．用户登录的 SQL 注入攻击查看 login.php 程序代码，在第 39 行是查询用户名和密码的 SQL 语句，形式为：$query="select * from ".$t_name." where (id='".$id."')"." and (pass='".$pass."')";其中， $id 是用户输入的学号/工号， $pass 是用户输入的密码，用户可以在输入学号/工号和密码时，使用特殊符号，从而改变 SQL 查询语句的含义。如果输入的用户名为'or'1'='1');

其中， $name 是用户输入的字符串，如果输入的字符串是'or'1'='1'#，则该 SQL 语句变成了无条件查询语句，因此会得到所有的学号/工号，其输入界面和攻击效果如图 6.9所示，由此得到了表 6-1 中所示的所有用户的学号/工号。学生成绩管理系统中的根据姓名获取学号/工号的功能， 需要根据用户输入的姓名（汉语拼音），然后到 MySQL 数据库中查询相关的表格得到结果，根据 SQL 注入基本原理，这里可能存在 SQL 注入点。输入正常姓名（汉语拼音），则得到正常输出信息，如图 6.3 所示。

Web 应用是很常见的一种网络应用，包括网络购物（如淘宝等）、社交网络、网上银行、博客、微博和 Web 邮件等。随着 Web 应用的不断发展，其安全问题日益突出， Web应用攻击带来的危害也越来越大。本章简要介绍了 Web 攻击的一般原理，并通过实验展示攻击的基本过程和危害。Web 应用程序包括浏览器端程序和服务器端程序两部分。浏览器端程序在用户端，显示用户请求的数据，一般使用 HTML 和 Javascript 语言编写；

双击沙盘图标，打开沙盘界面，在菜单中依次选择“沙盘”→“DefaultBox”→“在沙盘中运行”→“运行任意程序”选项，然后在弹出的选择对话框中单击“浏览”按钮，选择磁盘上要加载的木马程序“wdshx.exe”，如图 5.25 所示。运行后，可以看见， “radar().exe”自动删除。除了对木马程序行为的统计信息以外， 还可以观察其操作的具体行为对象， 依次单击 BSA菜单中的“Viewer”→“View Report”， BSA 将给出监控程序的详细报告，如图 5.29 所示。

2）可视化木马操作依次单击控制界面的各个按钮，可以看到目标主机的文件、屏幕、进程等信息，也可以对目标主机进行相应的操作，这里以下载目标主机的文件为例，单击“文件管理”按钮，进入 PcShare 远程控制文件管理窗口，如图 5.7 所示。找到目标文件，以鼠标右键单击“下载”选项，即可将该文件下载到本地。

Netcat 被称为网络工具中的“瑞士军刀”，是简便易用的远程控制后门之一。有一定经验的用户通过主机系统的异常可发现可疑的进程，通过借助第三方的系统分析工具，如文件系统监控、注册表监控和进程监控等工具，分析恶意代码进程对系统的影响，终止其运行并使系统恢复正常。依次选择菜单的“设置”→“生成客户”项，进入 PcShare 配置程序进行参数的配置，包括回连木马程序控制端的 IP 地址和端口、木马程序伪装的系统服务设置（新创建服务的参数设置），以及连接的隐藏方法等，如图 5.2 所示。

恶意代码是指经过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，且未经授权认证，破坏计算机系统完整性的程序或代码。攻击者利用恶意代码实现对目标系统的长期控守，能够像管理员一样对目标系统的键盘、鼠标进行操作，获取包括目标信息、进程信息、文件信息、口令信息、语音影像信息等系统中的数据，必要时还可以破坏、摧毁目标系统，使其无法正常运转。

调试.exe 程序，在程序参数栏输入“bbbbbbbbbbbbbbbbbbbbbbbbbbbb”，在第 10 行设置断点，按“F5”键运行到断点处，观察此时 myfunc 已被赋值为 0x00401005，且其被保存在 0x0012ff7c 地址处，如图 4.19 所示。再次单步执行，由于内存块 p2 与内存块 p1 的地址指向同一块内存，且该内存的内容已被修改，当调用已释放的 func 函数时，程序出错崩溃，指令地址指向 0x61616161。（ 2）跳转至 EIP 寄存器地址指向的指令继续执行。

2．整型溢出原理在数学概念中，整数指的是没有小数部分的实数变量；而在计算机中，整数包括长整型、整型和短整型，其中每一类又分为有符号和无符号两种类型。如果程序没有正确的处理整型数的表达范围、符号或者运算结果时，就会发生整型溢出问题，这一般又分为三种类型。（ 1）宽度溢出。由于整型数都有一个固定的长度，存储其的最大值是固定的，如果该整型变量尝试存储一个大于这个最大值的数，将会导致高位被截断，引起整型宽度溢出。（ 2）符号溢出。

缓冲区一词在软件中指的是用于存储临时数据的区域，一般是一块连续的内存区域，如 char Buffer[256]语句就定义了一个 256 B 的缓冲区。缓冲区的容量是预先设定的，但是如果往里存入的数据大小超过了预设的区域，就会形成所谓的缓冲区溢出。例如，memcpy（ Buffer, p, 1024）语句，复制的源字节数为 1024 B，已经超过了之前 Buffer 缓冲区定义的 256 B。由于缓冲区溢出的数据紧随源缓冲区存放，必然会覆盖到相邻的数据，从而产生非预期的后果。

掌握 Windows 系统环境下的口令散列的提取方法，掌握使用 LC5 进行口令破解的过程。越是复杂的密码，需要的彩虹表就越大，其主流的彩虹表都是在 100GB 以上，本实验采用的是 600MB 的，它只能解较为简单的口令，破解复杂的密码需要下载更大的彩虹表。在命令行界面里，执行“secpol.msc”命令，依次选择“安全设置”→“账户策略”→“密码策略”，启用“密码必须符合复杂性要求”项，将“密码长度最小值”设为 10个字符，将“密码最长使用期限”设置为 30 天，如图 3.11 所示。

身份认证（ Identification and Authentication）可以定义为，为进行合适的授权许可而提供的用户身份验证的过程。身份认证是网络安全中的一个重要环节，是操作系统访问控制机制的基础。没有身份认证，或者身份认证失效，就无法在网络安全系统中进行恰当的访问控制。口令作为一种简便易行的身份认证方式，应用在计算机安全的各个领域中。各种类别、各个层面的软/硬件系统都可能通过某种形式的口令来实现身份认证，如进行计算机系统登录、网络连接共享、数据库连接、 FTP、 E-mail 和即时聊天等。

从 ICMP 主机扫描的返回数据包可以看出， 两台在线的主机中， IP 地址为 172.16.16.2的主机返回了 ICMP 响应包，而 IP 地址为 172.16.16.3 的主机却没有，主要原因在于后者开启了防火墙，将 ICMP 主机扫描的数据包进行了过滤。此外，网站的源码也会提供网站设计及实现方面的细节，有时源码中的注释也可解读网站的信息来源。通过在 Alexa 网站中查询到的网站信息，获得该网站在互联网中的排名情况，了解该网站的价值，以及该网站主要的访问用户来源，如图 2.4 和图 2.5 所示。

（ 2） NAT 模式。NAT 模式即使虚拟主机系统借助网络地址转换（ Network AddressTranslation）功能，通过宿主机所在的网络来访问公网。使用 NAT 模式可以实现在虚拟主机系统里访问 Internet。NAT 模式下的虚拟系统的 TCP/IP 配置信息是由 VMnet8（ NAT）虚拟网络的 DHCP 服务器提供的，无法进行手工修改，因此虚拟系统也就无法与本局域网中的其他真实主机进行通信。

如今，虚拟化技术已经得到了飞速的发展，主要的操作系统厂商和独立软件开发商都提供了虚拟化解决方案，当前比较流行的虚拟化软件主要有开源的 Xen、微软公司的Hyper-V 及 VMware 等。Xen 是开源的虚拟机监视器，由剑桥大学开发，主要应用于服务器应用整合、软件开发测试、集群运算等场景。Hyper-V 是由微软公司提出的系统管理虚拟化技术，可以为用户提供更为熟悉及成本效益更高的虚拟化基础设施，降低运作成本，提高硬件利用率，优化基础设施并提高服务器的可用性。