赞
踩
菜鸟学习初级教程-----强烈推荐(看完后成黑客拉)
SSL.TLS.WTLS原理(上)
一 前言
首先要澄清一下名字的混淆:
1 SSL(Secure Socket Layer)是netscape公司设计的主要用于web的安全传输协议
。这种协议在WEB上获得了广泛的应用。
2 IETF(www.ietf.org)将SSL作了标准化,即RFC2246,并将其称为TLS(Transport
Layer Security),从技术上讲,TLS1.0与SSL3.0的差别非常微小。由于本文中
没有涉及两者间的细小差别,本文中这两个名字等价。
3 在WAP的环境下,由于手机及手持设备的处理和存储能力有限,wap论坛(
www.wapforum.org)在TLS的基础上做了简化,提出了WTLS协议(Wireless
Transport Layer Security),以适应无线的特殊环境。
我们从各式各样的文章中得知,SSL可以用于保密的传输,这样我们与web server
之间传输的消息便是“安全的”。
而这种“安全”究竟是怎么实现的,最终有能实现多大程度的保密?本文希望能
用通俗的语言阐明其实现原理。
二 整体结构概览
SSL是一个介于HTTP协议与TCP之间的一个可选层,其位置大致如下:
---------
| HTTP |
---------
| SSL |
---------
| TCP |
---------
| IP |
---------
如果利用SSL协议来访问网页,其步骤如下:
用户:在浏览器的地址栏里输入https://www.sslserver.com
HTTP层:将用户需求翻译成HTTP请求,如
GET /index.htm HTTP/1.1
Host http://www.sslserver.com
SSL层: 借助下层协议的的信道安全的协商出一份加密密钥,并用此密钥来加密
HTTP请求。
TCP层:与web server的443端口建立连接,传递SSL处理后的数据。
接收端与此过程相反。
SSL在TCP之上建立了一个加密通道,通过这一层的数据经过了加密,因此达到保
密的效果。
SSL协议分为两部分:Handshake Protocol和Record Protocol,。其中Handshake
Protocol用来协商密钥,协议的大部分内容就是通信双方如何利用它来安全的协
商出一份密钥。 Record Protocol则定义了传输的格式。
三 需要的加密方面的基础知识
了解SSL原理需要一点点加密的概念,这里把需要的概念做一下简单阐述:
加密一般分为三类,对称加密,非对称加密及单向散列函数。
对称加密:又分分组密码和序列密码。
分组密码是将明文按一定的位长分组,明文组经过加密运算得到密文组,密文组
经过解密运算
(加密运算的逆运算),还原成明文组。
序列密码是指利用少量的密钥(制乱元素)通过某种复杂的运算(密码算法)产
生大量的伪随机位流,用于对明文位流的加密。
解密是指用同样的密钥和密码算法及与加密相同的伪随机位流,用以还原明文位
流。
CBC(Cipher Block Chaining)模式这个词在分组密码中经常会用到,它是指一个
明文分组在被加密之前要与前一个的密文分组进行异或运算。当加密算法用于此
模式的时候除密钥外,还需协商一个初始化向量(IV),这个IV没有实际意义,
只是在第一次计算的时候需要用到而已。采用这种模式的话安全性会有所提高。
分组密码的典型例子为DES,RC5,IDEA。
序列密码的典型例子为RC4。
公钥加密:
简单的说就是加密密钥与解密密钥不同,分私钥和公钥。这种方法大多用于密钥
交换,RSA便是一个我们熟知的例子。
还有一个常用的称作DH,它只能用于密钥交换,不能用来加密。
单向散列函数:
由于信道本身的干扰和人为的破坏,接受到的信息可能与原来发出的信息不同,
一个通用的办法就是加入校验码。
单向散列函数便可用于此用途,一个典型的例子是我们熟知的MD5,它产生128位的
摘要,在现实中用的更多的是安全散列算法(SHA),SHA的早期版本存在问题,
目前用的实际是SHA-1,它可以产生160位的摘要,因此比128位散列更能有效抵
抗穷举攻击。
由于单向散列的算法都是公开的,所以其它人可以先改动原文,再生成另外一份
摘要。解决这个问题的办法可以通过HMAC(RFC 2104),它包含了一个密钥,只有
拥有相同密钥的人才能鉴别这个散列。
四 密钥协商过程
由于对称加密的速度比较慢,所以它一般用于密钥交换,双方通过公钥算法协商
出一份密钥,然后通过对称加密来通信,当然,为了保证数据的完整性,在加密
前要先经过HMAC的处理。
SSL缺省只进行server端的认证,客户端的认证是可选的。以下是其流程图(摘自
TLS协议)。
Client Server
Clienthllo -------->
Serverhllo
Certificate*
ServerKeyExchange*
CertificateRequest*
<-------- ServerhlloDone
Certificate
ClientKeyExchange
CertificateVerify*
[ChangeCipherSpec]
Finished -------->
[ChangeCipherSpec]
<-------- Finished
Application Data <-------> Application Data
简单的说便是:SSL客户端(也是TCP的客户端)在TCP链接建立之后,发出一个
Clienth*llo来发起握手,这个消息里面包含了自己可实现的算法列表和其它一些
需要的消息,SSL的服务器端会回应一个Serverh*llo,这里面确定了这次通信所
需要的算法,然后发过去自己的证书(里面包含了身份和自己的公钥)。Client
在收到这个消息后会生成一个秘密消息,用SSL服务器的公钥加密后传过去,SSL
服务器端用自己的私钥解密后,会话密钥协商成功,双方可以用同一份会话密钥
来通信了。
五 密钥协商的形象化比喻
如果上面的说明不够清晰,这里我们用个形象的比喻,我们假设A与B通信,A是
SSL客户端,B是SSL服务器端,加密后的消息放在方括号[]里,以突出明文消息的
区别。双方的处理动作的说明用圆括号()括起。
A:我想和你安全的通话,我这里的对称加密算法有DES,RC5,密钥交换算法有RSA
和DH,摘要算法有MD5和SHA。
B:我们用DES-RSA-SHA这对组合好了。
这是我的证书,里面有我的名字和公钥,你拿去验证一下我的身份(把证书发给A
)。
目前没有别的可说的了。
A:(查看证书上B的名字是否无误,并通过手头早已有的CA的证书验证了B的证书
的真实性,如果其中一项有误,发出警告并断开连接,这一步保证了B的公钥的真
实性)
(产生一份秘密消息,这份秘密消息处理后将用作加密密钥,加密初始化向量和
hmac的密钥。将这份秘密消息-协议中称为per_master_secret-用B的公钥加密,
封装成称作ClientKeyExchange的消息。由于用了B的公钥,保证了第三方无法窃
听)
我生成了一份秘密消息,并用你的公钥加密了,给你(把ClientKeyExchange发给
B)
注意,下面我就要用加密的办法给你发消息了!
(将秘密消息进行处理,生成加密密钥,加密初始化向量和hmac的密钥)
[我说完了]
B:(用自己的私钥将ClientKeyExchange中的秘密消息解密出来,然后将秘密消
息进行处理,生成加密密钥,加密初始化向量和hmac的密钥,这时双方已经安全
的协商出一套加密办法了)
注意,我也要开始用加密的办法给你发消息了!
[我说完了]
A: [我的秘密是…]
B: [其它人不会听到的…]
六加密的计算
上一步讲了密钥的协商,但是还没有阐明是如何利用加密密钥,加密初始化向量
和hmac的密钥来加密消息的。
其实其过程不过如此:
1 借助hmac的密钥,对明文的消息做安全的摘要处理,然后和明文放到一起。
2 借助加密密钥,加密初始化向量加密上面的消息。
七 安全性
SecurityPortal在2000年底有一份文章《The End of SSL and SSH?》激起了很多
的讨论,
目前也有一些成熟的工具如dsniff(http://www.monkey.org/~dugsong/dsniff/
)可以
通过man in the middle攻击来截获https的消息。
从上面的原理可知,SSL的结构是严谨的,问题一般出现在实际不严谨的应用中。
常见的攻击就是
middle in the middle攻击,它是指在A和B通信的同时,有第三方C处于信道的中
间,可以完全
听到A与B通信的消息,并可拦截,替换和添加这些消息。
1 SSL可以允许多种密钥交换算法,而有些算法,如DH,没有证书的概念,这样A
便无法验证B的公钥
和身份的真实性,从而C可以轻易的冒充,用自己的密钥与双方通信,从而窃听到
别人谈话的内容。
而为了防止middle in the middle攻击,应该采用有证书的密钥交换算法。
2 有了证书以后,如果C用自己的证书替换掉原有的证书之后,A的浏览器会弹出
一个警告框进行警告,但又有多少人会注意这个警告呢?
3 由于美国密码出口的限制,IE,netscape等浏览器所支持的加密强度是很弱的
,如果只采用浏览器自带的加密功能的话,理论上存在被破解可能。
SSL.TLS.WTLS原理(下)
八 代理
下面探讨一下SSL的代理是怎样工作的(可参见[6])。这可能与你开始想的不太一
样:)
当在浏览器里设置了https的代理,而且在浏览器里输入了
https://www.example.com之后,
浏览器会与proxy建立tcp链接,然后向其发出这么一段消息:
CONNECT server.example.com:443 HTTP/1.1
Host: server.example.com:443
然后proxy会向webserver端建立tcp连接,之后,这个代理便完全成了个内容转发
装置。浏览器
与web server会建立一个安全通道,因此这个安全通道是端到端的,尽管所有的
信息流过了proxy,
但其内容proxy是无法解密和改动的(当然要由证书的支持,否则这个地方便是个
man in the middle攻击的好场所,见上面的讨论)。
九 关于证书
注意,如果对于一般的应用,管理员只需生成“证书请求”(后缀大多为.csr)
,它包含你的名字和公钥,然后把这份请求交给诸如verisign等有CA服务公司(
当然,连同几百美金),
你的证书请求经验证后,CA用它的私钥签名,形成正式的证书发还给你。管理员
再在web server上导入这个证书就行了。如果你不想花那笔钱,或者想了解一下
原理,可以自己做CA。
从ca的角度讲,你需要CA的私钥和公钥。从想要证书的服务器角度将,需要把服
务器的证书请求交给CA.
如果你要自己做CA,别忘了客户端需要导入CA的证书(CA的证书是自签名的,导
入它意味着你“信任”这个CA签署的证书)。
而商业CA的一般不用,因为它们已经内置在你的浏览器中了。
十 wtls
在WAP的环境中,也有安全加密的需求,因此wapforum参照在WWW世界里最为流行
的SSL协议设计了WTLS.从原理上说,这份协议与SSL是基本相同的,但在具体的地
方作了许多改动。这些改动的大多没有什么技术上的需要,而是由于考虑到手持
设备运算与存储的局限而尽量做了简化。不过我的感觉是这些改动意义实在不大
,其获得的计算和存储上节省出来的时间和空间并不多。在硬件速度突飞猛进的
时代,这种改动能获得的好处也许并不很多(一个新的协议便需要大量新的投入
,而且与原有体制并不兼容,关于这点有文章[7]做了精彩阐述,可参看)。
这里我简单举一些SSL与WTLS的差别。
1 WTLS在一般udp这类不可@@信道之上工作,因此每个消息里要有序列号,协议里
也要@@它来处理丢包,重复等情况。
此外,拒绝服务攻击也因此变得更加容易。
2 WTLS建立的安全连接是在wap网关和手持设备之间,wap网关和web server之间
如果也要保密,便要采再用SSL,即在这种模型中无法实现端到端的加密。
| Mobile |----------->| WAP |---------->| WEB |
| Device |<-----------| Gateway |<----------|Server |
| | WTLS | | SSL | |
3 WTLS协议里加了一种成为key_refresh的机制,当传递了一定数量数据包后,双
方通过同样的算法将自己的密钥做一下更新。付出了很小的代价,安全性得以增
强。
参考文献
[1] SSL 3.0 SPECIFICATION
http://home.netscape.com/eng/ssl3/
[2] TLS
http://www.ietf.org/rfc/rfc2246.txt
[3] 《应用密码学》
机械工业出版社
[4] The End of SSL and SSH?
http://securityportal.com/cover/coverstory20001218.html
[5] HTTP Over TLS
http://www.ietf.org/rfc/rfc2818.txt
[6] HTTP Upgrade to TLS
http://www.ietf.org/rfc/rfc2817.txt
[7] W* Effect Considered Harmful
http://www.4k-associates.com/IEEE-L7-WAP-BIG.html
[8] 智能卡数字加密技术
http://www.yicard.com/cardtech/smartcard/jiami/index.htm
[9] HMAC: Keyed-Hashing for Message Authentication
http://www.ietf.org/rfc/rfc2104.txt
关于MAC地址和IP地址的知识
在校园网络中,最方便的捣乱方法就是盗用别人的IP地址,被盗用IP地址的计算
机不仅不能正常使用校园网络,而且还会频繁出现IP地址被占用的提示对话框,
给校园网络安全和用户应用带来极大的隐患。捆绑IP地址和MAC地址就能有效地避
免这种现象。
何为MAC地址
网卡在使用中有两类地址,一类是大家都熟悉的IP地址,另一类就是MAC地址
,即网卡的物理地址,也称硬件地址或链路地址,这是网卡自身的惟一标识,就
仿佛是我们的身份证一样,一般不能随意改变。它与网络无关,无论把这个网卡
接入到网络的什么地方,MAC地址都是不变的。其长度为48位二进制数,由12个00
~0FFH的16进制数组成,每个16进制数之间用“-”隔开,如“00-10-5C-AD-72-E3
”。
如何查找MAC地址
1、在Windows 9x/2000/XP下单击“开始/程序”,找到“MS-DOS方式”或“
命令提示符”。
2、在命令提示符下输入:“Ipconfig/all”,回车后出现如附图所示的对话
框,其中的“Physical Address”即是所查的MAC地址。
如何捆绑MAC地址和IP地址
进入“MS-DOS方式”或“命令提示符”,在命令提示符下输入命令:ARP - s
10.88.56.72 00-10-5C-AD-72-E3,即可把MAC地址和IP地址捆绑在一起。
这样,就不会出现IP地址被盗用而不能正常使用校园网络的情况(当然也就
不会出现错误提示对话框),可以有效保证校园网络的安全和用户的应用。
注意:ARP命令仅对局域网的上网代理服务器有用,而且是针对静态IP地址,
如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的各参数的功能如
下:
ARP -s -d -a
-s:将相应的IP地址与物理地址的捆绑,如本文中的例子。
-d:删除相应的IP地址与物理地址的捆绑。
-a:通过查询ARP协议表显示IP地址和对应物理地址情况。
3.IP地址和物理地址成对被盗用是怎么回事?
比如,在局域网中,由主机自动分配IP地址,或自己指定IP地址,
自动分配时,先开主机,然后下面的再开的机子自动分配IP为168.192.0.2,
168.192.0.3。。。依此推下去,或自己指定IP,如,主机(1号机)为
168.192.0.1,2号机为168.192.0.2,依此推下去,
在局域网络里,IP地址分配好的情况下,比如,我现在做的是5号机,本来IP应该
是168.192.0.5,但我在设置指定IP时,改为168.192.0.2,这样,就等于说,占
用了2号机的IP,当2号机再启动时,就会出现提示说IP被占用,无法连接网络,
造成上不了网或网络共享访问,简单来讲就是这样了
解决的方法,就是把,那个IP和本机的网卡MAC地址捆绑,让别的占用不成
org术语表1
? 1 0 0 B a s e - V G或者1 0 0 V G - A n y L A N—使用需求优先权传输数据包的一种速率为
1 0 0 M b p s的通信技术。
? 1 0 0 B a s e - X—1 0 0 M b p s的快速以太网标准,使用C S M A / C D访问方法进行通信,具体说
明见标准IEEE 802.3u。
A
? access server (访问服务器)—访问服务器是将同步设备和异步设备连接到网络、并为
同步通信和异步通信提供路由技术的一个单元。
? active hub (有源电缆接头)—有源电缆接头是在星形拓扑结构中连接结点的一种网络
传输设备,每当数据信号通过集线器时,可以对其进行重建、重定时和放大。
? Address Resolution Protocol (地址解析协议, ARP)—一种基于T C P / I P的协议,利用该
协议,发送结点可以确定接收结点的M A C地址。
? American National Standards Institute (美国国家标准协会, ANSI)—这是致力于为各种
产品(包括网络设备)建立标准的组织。
? American Standard Code for Information Interchange ( 美国信息交换标准码, ASCII)—
一种8位字符编码的方法,由9 6个大写字母、小写字母和数字另加3 2个非打印字符组成。
? analog (模拟)—模拟是一种可以连续变化的各种类型的传输,如正电压和负电压的电
波。
? A p p l e Ta l k—对等协议,用于网络上多台M a c i n t o s h计算机之间的通信。
? application-specific integrated circuit (专用集成电路, ASIC)—在芯片上定制的集成电
路,其中包括特殊的逻辑功能,如快速路由逻辑。
? Asynchronous Transfer Mode (异步传输模式, AT M )—采用信元、多通道和交换在同一
网络上发送音频、视频和数据传输的传输方法。
? ATM attached device (AT M附属设备)—将数据流转换为AT M信元流,或者将AT M信元
流转换成数据流的设备。
? ATM Forum (AT M论坛)—与ITU T一起,致力于AT M的L A N和WA N应用规范制定的
硬件供应商、电信服务提供商以及用户的联盟。
? ATM permanent virtual circuit (AT M永久虚拟电路, PVC)—一个专用电路,在两个指
定端点之间具有预先配置的路径一个固定分配的带宽。
? ATM switch (AT M交换器) — 一个交换器,以AT M分层通信的方式对信元传输进行操
作。
? ATM switched virtual circuit (AT M转换虚拟电路, SVC)—为分立的通信任务建立并使
用的电路,当该任务完成时,则拆卸该电路。
? attachment unit interface (连接单元接口, AUI)—是一种网络接口,用来将同轴电缆、
双绞线或光纤主干电缆连接到网络结点如集线器、交换机或工作站上。接口由连接器、
电缆、接口回路和电气特性的A U I标准组成。
? attenuation (衰减)—当信号沿通信介质从源(传输结点)发送到接收结点时,丢失的信
号量。
? Audio Video Interleave (音频视频交错, AV I )—AV I是一种声频和视频文件格式,为
Microsoft Windows 3.1或更高环境下的应用而开发。AV I对那些准备复制为短小的“片”
的视频和音频数据进行隔行扫描。
B
? backbone (主干)—一种高容量的通信介质,用于连接同一层、不同层或跨越长距离的
网络。
? backbone cabling (主干布线)—根据E I A / T I A - 5 6 8标准的定义,主干电缆为在网络设备
室、楼层和建筑物用的电缆。
? band rate (波特率)—波特率衡量数据传输速率,用来描述老式调制解调器的速度,在
一次信号振荡时发出一个数据位。
? bandwidth (带宽)—带宽指通信介质的传输能力,通常以每秒多少位(数据传输)或赫兹
(对于数据、音频和视频传输)来衡量,并由最大传输能力减去最小传输能力决定。
? baseband (基带)—基带是一种传输类型。在基带传输中,通信介质(如电缆)的整个通
道容量只被一个数据信号使用,从而在一定时间只有一个结点用于传输。
? Basic Rate Interface for ISDN (ISDN基本速率接口, BRI)—一种I S D N接口,由三个信
道组成。其中两个6 4 K b p s的信道用于传输数据、语音、视频和图形。第三个1 6 K b p s信
道用于传输信令。
? batch (批处理)—不需要用户或其他计算机系统干预的一个接一个的一系列处理过程。
处理大量数据或一系列复杂功能的计算机的维护工作通常采用这种方式,而且这种工作
通常是在夜间进行的。
? bayonet nut connector (同轴电缆接插件, BNC)—用于细同轴电缆,有一个卡销一样的
套。Male BNC有两个旋钮,插在female BNC的环形槽中。连接时,两个接插件要绞在
一起。
? beaconing (信标)—信标是令牌环网中的错误状态,表明有一个或一个以上的结点出现
操作异常。
? bidirectional interpolation (双向插补)—双向插补是一种视频压缩技术,在序列中影象
的前后影象里都存在与当前影象相同的部分,可以通过创建指向这部分的指针来压缩
帧。
? bits per second (比特/秒, bps)—比特/秒是每秒发送的二进制位( 0或1 )的个数。
? bridge (网桥)—网桥是将使用相同的访问手段的不同局域网段连接在一起的网络传输
设备。例如,使用网桥将一个以太局域网连接到另一个以太局域网,或将令牌环局域网
连接到另一个令牌环局域网上。
? bridge protocol data unit (网桥协议数据单元, BPDU)—B P D U是网桥所用的专门的帧,
用来彼此间交换信息。
术语表计计295
? broadband (宽带)—这种传输中,通信介质上有多个传输通道,允许在同一时刻有多
个结点进行传输。
? broadband ISDN (宽带ISDN, B-ISDN)—当前正处于开发之中,该技术可以提供
1 5 5 M b p s或者更高的数据传送速率。
? broadcast storm (广播扰动)—当大量的计算机或设备要同时传输时,或者当计算机或
设备都要进行重复传输,网络流量超负荷就会引起网络带宽饱和,称之为广播扰动。
? brouter (桥式路由器)—桥式路由器是充当网桥或路由器的一种网络设备,具体是充当
网桥还是路由器,则要根据它转发给定协议的方法而定。
? buffering (缓存)—缓存是一种设备,例如交换机,在存储器中临时存储信息的能力。
? bus (总线)—总线是计算机中用来传输数据的一条路径,例如,在C P U和连接在计算
机上的外设之间的通道。
? bus topology (总线结构)—总线结构是从一台P C或文件服务器连接到另一台的网络设
计,就像链上的链接那样。
C
? cable plant (电缆线路)—用来构成网络的所有的通信电缆的数量。
? cableco—有线电视公司,如T C I。
? carrier sense (载波侦听)—载波侦听是检验通信介质如电缆等以确定电压级别、信号转
换等的过程,通过载波侦听可以说明网络上是否出现了载有数据的信号。
? Carrier Sense Multiple Access with Collision Detection (带有冲突检测的载波侦听多路存
取, CSMA/CD)—C S M A / C D是以太网中使用的一种网络传输控制方法。它通过检查包
冲突来调整传输。
? cell (信元)—是用于高速传输的格式化数据单元,经常用在AT M中。
? cell switching (信元交换) — 一种使用T D M和虚拟通道的转换方式,在每一个T D M时
间片的开头都放置一个简短的指示器或虚拟通道标识符。
? Challenge Handshake Authentication Protocol 难题握手鉴定协议( C H A P )— 用于对口令
加密的协议,例如在一个WA N上传输的服务器帐户口令。
? channel bank (信道组)—信道组是在一个集中的位置组合了通信信道(如T- 1 )的大规模
多路转接器。
? channel service unit (通道服务器, CSU)—这种设备是在网络设备(如路由器)和T载波线
路之间的一个物理接口。
? circuit switching (电路交换)—电路交换技术是一种网络通信技术,采用专用的信道在
两个结点间传输信息。
? Classical IP over ATM (AT M上的经典IP) — AT M上I P的传输,一个严格集中于I P支持
的技术。
? Classless Interdomain Routing (无类别域间路由, CIDR)—一种新的I P编址方法,该方
法忽略了地址的类别设计,在点分十进制地址的后面使用一条斜线,用以指明可用地址
的总数目。
? coaxial cable (同轴电缆)—同轴电缆是一种网络电缆介质,由被绝缘层包围的铜芯组
成。绝缘层又被另外的传导材料如编织导线包围,传导材料又由外层的绝缘材料覆盖。
? collision (冲突)—冲突是在以太网上同时检测到两个或多个包时的状态。
? community name (公用名)—网络代理和网络管理工作站使用的一个口令,其作用是不
让它们的通信被未经授权的工作站或者设备轻易截取。
? community name (公共管理接口协议, CMIP)—该协议是O S I网络管理标准的一部分,
用以收集网络性能数据。
? Compressed Serial Line Internet Protocol (压缩串行线路互连网协议, CSLIP)— S L I P远
程通信协议的扩展,能够提供比S L I P更快的吞吐量。
? computer network (计算机网络)—计算机网络是由通信电缆或无线电波链接的计算机、
打印机设备、网络设备和计算机软件系统。
? concentrator (集中器)—集中器是可以让多个输入和输出同时活动的设备。
? connection-oriented service (面向连接的服务)—这是在L L C子层和网络层间进行的
Type 2操作,提供了多种途径来保证接收结点成功地接收到了数据。
? connectionless service (无连接服务)—无连接服务也就是常说的Type 1操作,是L L C子
层和网络层间的服务,但是这里不能检测数据是否已经确实到达了接收结点。
? current-state encoding (当前状态编码)—这是一种数字信号编码方法,这里,对某信号
状态分配一个二进制值,例如+ 5 v电压为二进制值1,0 v为二进制值0。
? cut-through switching (开通式交换)—通过开通式交换这种交换技术在整个帧到达之前
来转发帧的一部分。
? cyclic redundancy check (循环码校验, CDC)—C D C为一种错误校验方法,这种方法中
要计算包含在帧中的整个信息域的大小,计算出来的值由发送结点的数据链接层插入到
靠近帧尾的位置,并又接收结点的数据链接层进行校验,以确定是否出现了传输错误
术语表(2)
D
? data circuit equipment (数据电路设备, DCE)—在X . 2 5网络上,D C E指的是一个分组交
换机或者P D N访问设备。
? data link connection identifier (数据链路连接标识, DLCI)—在帧中继网络上用以标识
单个的虚拟连接。
? Data Link Control (数据链路控制, DLC)—设计用于与一个I B M大型机或微型机通信的
协议,它使用S N A通信。
? data service unit (数据服务器, DSU)—与C S U共同使用的一种设备,用于T载波线路上
的通信。D S U为接收网络而转换在线路上传输和接收的数据。
? data terminal equipment (数据终端设备, DTE)—在X . 2 5网络上,D T E是指运行在分组
交换网络上的终端、工作站、服务器和主计算机等。不管实际使用的设备到底是什么,
有时都将D T E设备称为终端。
? data warehouse (数据仓库)—一种数据库访问技术,这种技术将一个主机数据库(例如,
大型机上的数据库)复制到另外一个数据库服务器上,目的是为了能够在不中断主机数
据库的情况下创建报表或者浏览数据,一般情况下可以允许使用点击型报表编写工具。
? datagram (数据报)—X . 2 5的一种传输模式,在这种模式下,没有使用特殊的通信信道,
常常导致数据不能以它们发送时的顺序到达,因为每一个数据报可能会沿不同的路径到
达目的地。
? demand priority (需求优先权)—一种数据通信技术,这种技术可以直接将信息包传送
给目标结点,在传输过程中只经过一个集线器,无需经过其他的网络结点。
? dense wavelength division multiplexing (密集波分多路复用, DWDM)—一种新出现的多
路复用技术,该技术使用单模光纤,可以在一条光缆上建立多个路径同时进行数据传输。
? digital (数字式)—这是一种传输方法,其中不同的信号级都用二进制表示,如二进制0
和1分别代表0 v和+ 5 v。
? digital subscriber line (数字用户线路, DSL)—一种使用高级调制技术的技术,该技术
可以在用户和电话公司之间通过已有的电信网络形成高速的网络连接,其通信速度可以
高达6 0 M b p s。
? discovery (发现)—发现是路由器采用的一个过程,包括采集诸如网络上有多少个结点
以及结点的位置等信息。
? Distance Vector Multicast Routing Protocol (距离向量广播路由协议, DVMRP)—
D V M R P是一种与R I P共同工作的多点广播(也称多点传送)协议,可确定哪个工作站被预
定给了多点传送。
? Domain Name Service (域名服务, DNS)—一种T C P / I P应用协议,该协议可以将计算机
的域名转换为I P地址,或者将I P地址转换为域名。
? dotted decimal notation (点分十进制表示法)—一种编址技术,该技术将四个8位字节,
例如1 0 0 0 0 11 0 . 11 0 111 1 0 . 11 0 0 1 0 11 . 0 0 0 0 0 1 0 1 ,转换成十进制表示( 例如,
1 3 4 . 2 2 2 . 1 0 1 . 0 0 5 ),用以标识网络和网络上的单个主机。
? d r i v e r (驱动程序)—驱动程序是一种软件,可使计算机与N I C、打印机、显示器和硬盘
驱动器进行通信。每一个驱动程序都有其特定的目的,例如,处理以太网通信。
? dynamic addressing (动态编址)—一种编址方法,在这种方法中,无需网络管理员将I P
地址“硬编码”在设备的网络配置中便可以实现I P地址的分配。
? Dynamic Host Configuration Protocol (动态主机配置协议, DHCP)—一种网络协议,通
过D H C P,服务器可以自动地将一个I P地址分配给其网络上的某个设备。
? dynamic routing (动态路由)—在动态路由这种路由进程中,路由器不停地检查网络的
配置,自动更新路由表,并自己来决定如何路由包。
E
? electromagnetic interference (电磁干扰, EMI)—电磁干扰是马达等电力设备引起的磁力
场产生的信号干扰。
? electronic data interchange (电子数据交换, EDI)—使用电子方法在计算机或电话网络
上传输商业、组织和个人数据。
? Electronic Industries Alliance (电子工业联合会, EIA)—这是发展网络布线标准和电子
接口标准的标准化组织。
? encapsulation (封装)—封装是在网络间转换帧的过程。在这一进程中,要将一种类型
的网络的数据帧放入另一网络使用的头部,使得新的头的作用如同发信时的信封。
? enterprise network (企业网)—企业网是L A N、M A N或WA N的组合,为计算机用户提
供一系列计算机和网络资源,以完成各种工作。
? Ethernet (以太网)—以太网是使用C S M A / C D访问方法进行网络数据传输的一种传输系
统。以太网一般是通过总线或总线—星型拓扑结构实施的。
? Extended Binary Coded Decimal Interchange Code (扩充二进制编码十进制交换码,
E B C D I C )—这是一种主要用于I B M大型机的字符编码技术,对2 5 6个字母、数字和特
殊字符组成的字符集进行8位编码。
? E x t r a n e t—一种用WA N链路连接两个或者多个I n t r a n e t所形成的网络。
F
? farm (群)—放置在同一个地方的一组计算机主机(例如大型机)或服务器或两者都有,
例如放置在一个机房内。
? Fast Ethernet (快速以太网)—传输速度在1 0 0 M b p s的以太网通信,其详细说明见标准
IEEE 802.3u。
? fat pipe (粗管)—用于网络主干(如在建筑物的楼层间)以进行高速通信的光纤电缆。
? Fiber Distributed Data Interface (光纤分布式数据接口, FDDI)—F D D I是一种光纤数据
传输方法,采用的拓扑结构为双环拓扑,其传输速度可达1 0 0 M b p s。
? f i b e r-optic cable (光纤电缆)—光纤电缆是一种通信电缆,由两个或多个玻璃或塑料光
纤芯组成,这些光纤芯位于保护性的覆层内,由塑料P V C外部套管覆盖。沿内部光纤进
行的信号传输一般使用红外线。
? File Transfer Protocol (文件传输协议, FTP)—一种T C P / I P应用协议,该协议以批数据
流的方式传输文件,是一种在I n t e r n e t上广泛使用的协议。
? firewall (防火墙)—防火墙是用来保护数据免受外界访问的软件或硬件,也可以防止网
络中数据泄露到外面。
? firmware (固件)—固件是一种存储在R O M等设备的芯片上的软件。
? flow control (流控制)—流控制过程用来确保设备发送信息时的速度不高于接收设备的
接收速度。
? fractal image compression (不规则图象压缩)—不规则图象压缩是一种视频压缩技术,
利用不规则图象片、复制图象和映射的特性来压缩帧。
? frame (帧)—有时“帧”一词可以与“包”交换使用,但帧指的是网络上传输的数据单
元,其中包含与开放系统互连( O S I )的数据链接层(即第2层)相应的控制信息和地址信息。
? frame relay (帧中继)—一种通信协议,使用分组交换和虚拟电路技术进行分组传输,
该技术通过将大量的差错检验功能留给中间结点,可以获得较高的数据传输速率。
? frequency-division multiple access ( 频分多路访问技术, FDMA)—频分多重访问技术在
一种通信介质上通过给每一个信道确立不同的频率来创建不同的信道。
? full-duplex (全双工)—全双工是指可以同时发送、接收信号的能力。
G
? gateway (网关)—网关是一种网络设备,可使不同类型的网络间相互通信,如在复杂
的协议间或不同的E- m a i l系统间进行通信。
H
? half-duplex (半双工)—半双工是指可以发送接收信号、但不能同时进行的能力。
? hop (跳)—跳是帧或包从一个网络向另一个网络点对点的运动。
? horizontal cabling (水平布线)—根据E I A / T I A - 5 6 8标准的定义,水平布线为在同一工作
区域中连接工作站和服务器的布线。
? host (主机)—主机是具有操作系统的,多台计算机可同时访问其文件、数据和服务的
计算机(包括大型机、小型机、服务器或工作站)。程序和信息可在主机上进行处理,或
下载到访问计算机(客户机)上来处理。
? hub (集线器)—集线器是将各个单独的电缆段或单独的L A N连接在一起成为一个网络
的中央设备。
? hybrid fiber/coax (混合光纤/同轴, HFC)电缆—这种电缆由电缆护套组成,电缆护套中
包含着光纤和铜电缆的组合。
I
? impedance (阻抗)—阻碍电流流动的总值。
? Institute of Electrical and Electronics Engineers (电气电子工程师协会, IEEE)—这是由
一群科学家、工程师、技术人员和教育家组成的组织,在开发网络布线和数据传输标准
方面起着领导作用。
? Integrated Services Digital Network (综合业务数字网, ISDN)—一种在电话线上传输数
据服务的网络标准,当前的实际速率为1 . 5 3 6 M b p s,理论上可以达到6 2 2 M b p s的传输速
率。
? Integrated Services Digital Network (综合服务数字网, ISDN)—I S D N是在电话线上用
信道的组合来传递音频、数据和视频服务的WA N技术。
? International Organization for Standardization (国际标准化组织, ISO)—I S O是一国际组
织,致力于建立通信和网络标准,其最为突出、广为人知的贡献是建立了网络协议标
准。
? International Telecommunications Union (国际通信联盟, I T U )—I T U是国际上致力于规
定远程通信标准的组织,例如,它为调制解调器和WA N通信制订了标准。
? Internet Engineering Task Force ( Internet工程任务组, IETF)—I E T F是I S O C的左膀右
臂,致力于与Internet 相关的技术问题。
? Internet Function (互连功能, IWF) — 一个标准,为在AT M上实现帧中继提供重新映射
及封装功能。
? Internet Group Management Protocol (互联网分组管理协议, IGMP)—在多点传送中使
用的协议,其中含有接收用户的地址,服务器使用它来通知路由器哪一个工作站属于多
点传送组。
? Internet —Internet 是由许许多多网络设备和多种通信方法链接的成千上万的小型网络
的集合。
下载
? Internet Packet Exchange (网间包交换, IPX)— 由N o v e l l开发的用在它的N e t Wa r e文件
服务器操作系统上的协议。
? Internet Protocel(Internet 协议, I P )—该协议与T C P或U D P结合使用,通过采用点分
十进制编址,使包到达本地或远程网络上的目标地点。。
? Internet Society (Internet 协会, ISOC)—I S O C是一家非盈利的国际组织,主办会议和
出版物,并监督Internet 标准的执行。
? internetworking (网络互连)—网络互连是将相同或不同类型的网络连接在一起以便相
互通信的过程。
? I n t r a n e t—某个公司组织的私有网络,在该网络中,可以和I n t e r n e t一样使用相同的基
于We b的网络工具,但是对公众的访问有严格的限制。I n t r a n e t通常由一个L A N上的一个
或者多个子网或者V L A N组成。
J
? jamming (阻塞)—交换机使用的一种数据流量控制技术,用来指示由于大量数据引起
的交换机过载。在这种方式中,交换机通过倍增载波信号来模拟冲突。
? jitter (抖动)—抖动是网络上延迟不定的具体表现,抖动会在声频重放时引起明显的错
误,如播放声频时的杂音等。
? Joint Photographic Experts (联合图像专家组, JPEG)压缩—J P E G压缩是使用有失真压
缩技术的压缩标准,由I S O和I T U - T专为静态图像制订
术语表(3)
L
? LAN Emulation (LAN仿真, LANE)—用于使AT M适应于以太网的技术,它创建一个多
点传送的网络,使得预先配置的以太网结点组能够接收传输。
? LAN emulation (局域网仿真)—局域网仿真是一种网络集成方法,用以在相连的L A N
上格式化所有的包以与AT M通信单元(信元)的外型匹配。
? latency (延迟)—延迟是指网络信息从传输设备发送到接收设备所用的时间。
? line-to-line (视线传输)—视线传输是一种无线电信号传输的类型,其中,信号从一点
向另一点传输,而不是在大气中弹跳,从而可以跨越国家或洲的界限。
? local area network (局域网, LAN)—局域网是一系列互连的计算机、打印设备和其他计算
机设备,它们之间共享硬件和软件资源。局域网通常仅限于给定办公地点、楼层或大楼中。
? local bridge (本机桥)—本机桥是连接临近网络的网络设备,可以用来将网络的一部分
分段以缓解网络流量繁忙的问题。
? local management interface extension (局部管理接口扩展)—添加在帧中继帧上的扩展,
可以提供附加的功能,例如多点传送。
? local router (本地路由器)—本地路由器是在同一座大楼或临近的大楼之间(例如在同一
商业区)连接网络的一种路由器。
? Logical link control (逻辑链路控制, LLC)—这是O S I模型的数据链接子层,用来发起
结点间的通信链接,确保链接不会无意识地中断。
? lossy compression (有失真压缩)—有失真压缩是一种压缩图像的方法,它删除一定百
分比的颜色,使得当图像解压缩时,肉眼不会观察到颜色中细微的变化。
? low earth orbiting satellites (低轨卫星, LEO)—一种通信卫星网络,这种通信卫星距离
地面的高度大约在4 3 5到1 0 0 0英里之间。
M
? Management Information Base (管理信息库, MIB)—存储网络性能信息的数据库,该
数据库被存放在网络代理上,可以从网络管理工作站上进行访问。
? Manchester encoding (曼彻斯特编码)—这是一种状态转换编码形式,其中,从低向高
的转换为二进制0,高向低转换为二进制1。
? media access control (介质存取控制, MAC)—这是数据链接层的子层,用来检查网络
帧中包含的地址信息,并控制同一网络上设备共享通信的方式。
? meshed architecture (网络体系)—一种网络体系,其中有多个备用网络路径,如果一
个路径失效,发送设备会自动地重新路由到另外一个路径,不需要用户干预。
? message switching (报文交换)—这种交换方法将数据从一点发送到另一点,每一个中间
结点都可存储数据、等待闲置的传输信道,并在到达目的地后,将数据提交给下一个点。
? metric (度量)—度量是由路由器计算出来的,反映了有关特定传输途径的信息,如路
径长度、下一跳的负载、可用的带宽和路径可靠性等。
? metropolitan area network (城域网, MAN)—城域网是在一大型城市或地区链接多个
L A N的网络。
? Microcom Network Protocol (Microcom网络协议, MNP)—M N P是一套调制解调器的服
务级别,可以提供有效的通信、错误校验、数据压缩和高输入输出总和等能力。
? modem (调制解调器)—调制解调器将计算机输出的数字信号转换为电话线路可以传输
的模拟信号,然后在接收端将输入的模拟信号转换为计算机可以理解的数字信号。
? Moving Open Shortest Path First Protocol (运动图像专家组, MPEG)压缩—M P E G是由
I S O中的M P E G建立的视频压缩标准。
? multicast (多点传送)—一种传输方法,在这种方法中,服务器将需要一个特定多媒体
传输的用户组合成一组。每个数据流只发送一次,但是到达多个地址,而不是分别给每
个地址发送一次数据。
? Multicast Open Shortest Path First Protocol (广播开放最短路径优先协议, MOSPF)—
M O S P F是一种多点广播路由协议,在为多点广播传输寻找从源到目标的最短路径时,
与O S P F相仿。
? multiple system operator(MSO)—这是提供WA N或Internet 服务的一家有线电视公司。
? multiplexer (多路器)—多路器是一种转换器,将一种通信介质分成多个通道,从而结
点可以同时进行通信。当信号被多路传送时,在另一端也必须要多路转换。
? Multiprotocol over ATM (AT M上的多协议, MPOA)—一种通信技术,使得多协议的通
信量能够在AT M上选择路由。
? multistation access unit (多站访问部件, MAU)—M A U是将许多令牌环结点链接到一个
在物理上很像星型结构的拓扑结构上的中央集线器,但在M A U中,包在逻辑上是以环
形结构进行传输的。
302计计局域网/广域网的设计与实现
下载
? multistation access unit (多站访问部件, MAU)—多站访问部件将令牌环结点链接到一
个物理上像星形但数据信号在逻辑的环形上传输的一种拓扑结构上。
N
? National Television Standards Committee (国家电视制式委员会, NTSC)—N T S C是为电
视广播传输建立标准的一个组织。由N T S C制订的电视信号传输标准利用了5 2 5条垂直扫
描线,每秒可传输3 0个帧。
? NetBIOS Extended User Interface (NetBIOS扩展用户接口, NetBEUI)— 由I B M在8 0年
代中期开发,此协议集成了N e t B I O S,用于在网络上进行通信。
? Network Basic Input/Output System (网络基本输入/输出系统, NetBIOS)— 将软件与网
络服务相接口的方法,包括提供为工作站和服务器提供一个网络命名惯例。
? Network Control Protocol (网络控制协议, NCP)—A R PA N E T网络协议,其使用要早于
T C P / I P,但是其功能逐渐被T C P / I P取代。
? Network Device Interface Specification (网络驱动程序接口规范, NDIS)—由微软为网
络驱动器开发的一系列标准,使得一个N I C和一个或多个协议进行通信成为可能。
? Network File System (网络文件系统, NFS)Protocol—T C P / I P文件传输协议,该协议使
用记录流而不是使用成批文件流来传输信息。
? Network Node Interface (网络结点接口, NNI)—一个AT M接口,用于两个AT M交换机
之间的连接,有时候也称为网络到网络的接口。
? network traffic (网络信息流通量)—网络信息流通量是指给定时间内,网络上传输的包
的数量、大小和频率。
? Next Hop Resolution Protocol (下一转发分辨协议, NHRP)— 一个协议,当多个网络通
过AT M连接时,它使得一个网络上的发送结点能够判断出要使用的数据链路层的地址,
以便到达另一个网络上的目标结点。
? Open Database Connectivity (开放数据库互连, ODBC)—由微软开发的一种数据库访问
规则和过程,其目的是作为所有类型的关系数据库的一个标准。
? Open Datalink Interface (开放数据链路接口, ODI)— 由Novell NetWa r e使用的驱动器,
用于在多个网络上传输多个协议。
? Open document Architecture (开放文档体系结构, ODA)—O D A是I S O的标准,是为综
合包含文本、图像、声音和其他表示模式的专门格式化的文档而制订的。
? Open Shortest Path First (开放最短路径优先, OSPF)—开放最短路径优先是路由器采用
的一种路由协议,用来与其他路由器交流有关到其他结点的直接链接等信息。
? Open Systems Interconnection (开放系统互连, OSI)—O S I由I S O和A N S I开发,是一个7
层的模型,为网络上的硬件和软件通信提供一种体制。
术语表计计303
304计计局域网/广域网的设计与实现
下载
? packet (包)—包是为方便在网络上传输而格式化了的数据单元,其中含有与O S I网络
层(即第3层)相应的控制信息及其他信息。
? packet assembler/disassembler (分组组装/拆装器, PA D )—一种将分组封装为X . 2 5格式
并且添加X . 2 5地址信息的设备。当分组到达其目的L A N之后,PA D会把X . 2 5格式信息去
掉。
? packet radio (无线电分组通信)—以短脉冲串的形式通过无线电波传输带有数据的包的
过程。
? packet switching (包交换)—包交换是一种数据传输技术,它在两个传输结点之间建立
起一个逻辑信道,并不停地在许多不同的路径之间发现到达目的地的最好的路由路径。
? partition (分区)—分区即在段的一部分出现故障时关闭电缆段。
? passive hub (无源插孔)—无源插孔是用来以星形拓扑结构连接结点的一种网络传输设
备,当数据信号通过集线器从一个结点传到另一个结点时,不执行信号放大。
? Password Authentication Protocol (口令验证协议, PA P )—当在一个WA N上访问一个服
务器或宿主计算机时,用于验证帐户口令的协议。
? peer protocols (对等协议)—用来使发送结点的O S I模型的各层与相应的接收结点层进
行通信的协议。
? permanent virtual circuit (永久虚拟电路, PVC)—一种通信信道,一直处于连接状态,
不管该结点是否在进行通信。
? phase alternation line (逐行倒相, PA L )—PA L是一种电视传输标准,主要用在非洲、欧
洲、中东和南美洲,它采用了2 5条垂直扫描线,每秒传输2 5帧。
? plain old telephone service (简易老式电话业务, POTS)—规则的语音级电话业务。
? plenum area (高压电缆)—这是一种用特氟纶做套的电缆,由于它在燃烧时不会放射有
毒的气体,所以经常用在高压地区。
? plenum area (高压地区)—高压地区是封闭的地区,其间的大气压要比外界的气压高,
尤其在燃烧时更是如此。建筑物中的高压地区经常可以发展到多个房间或在整个楼层中
蔓延,高压地带包括通风和加热管道。
? Point-to-Point (点到点协议, PPP)— 一个广泛使用的远程通信协议,支持I P X / S P X、
N e t B E U I以及T C P / I P通信。
? power budget (功率分配)—对于光纤电缆通信,功率分配是发送功率和接收器的敏感
性之间的差别,以分贝来衡量。这是信号可以被发送并完好地接受所需要的最小的发送
器功率和接收器敏感性。
? predicted encoding (预测编码)—预测编码是一种视频压缩技术,帧的前一帧具有与其
相同的图像部分,可创建指向这一部分的指针来压缩帧。
? Primary Rate Interface ISDN (ISDN主速率接口, PRI)—I S D N的一种接口,由多个速率
为1 . 5 3 6 M b p s的交换式通信组成。
? primitive (原语)—原语是将O S I协议栈某层的信息传输到另一层(如从物理层传到数据
链接层)的命令。
? Private Network-to-Network Interface(私有网络到网络接口, PNNI)—一个AT M路由选
择协议,最通常使用在与S V C的连接上。
? private automated branch exchange (专用自动交换机, PA B X )—专用自动交换机是一种
专用的自动的电话系统,,但是仍然保留有人工电话总机控制板。
? private branch exchange (专用分组交换机, PBX)—专用分组交换机是一种专用的电话
系统,可以与当地的电话系统相连,也可以不连,它也有一个人工的电话总机控制板。
? private branch exchange (自动用户交换机, PA X )—自动用户交换机是一种完全自动的
(没有电话总机控制板)的专用电话系统。
? promiscuous mode (混合模式)—在混合模式中,在向网络其他连接的段发送帧之前,
网络设备就可以读取帧的目标地址。
? protocol (协议)—协议是人们建立的一套用以指定网络数据如何格式化为包、如何传
输、在接收端如何翻译的标准。
? protocol data unit (协议数据单元, PDU)—在同一个O S I协议栈的各层之间传输的信息。
? Protocol Independent Multicast (协议无关广播, PIM)—协议无关广播是一种多点传送
路由协议,与采用O S P F或R I P为主路由协议的网络兼容。
? public switched telephone network (公用电话交换网络, PSTN)—语音级电话服务。
Q
? Quality of Service (服务质量, QoS)—这是衡量网络传输、质量输入输出总和和可靠性
的手段。
术语表(4)
R
? radio frequency interference (无线电频率干扰, RFI)—因为电气设备发射的无线电波频
率与网络信号传输使用的频率相同而引起的信号干扰为无线电频率干扰,也称射频干
扰。
? R e a l - Time protocol (实时协议, RT P )—实时协议是为实时多媒体应用程序如视频会议
等开发的多点传送协议。
? R e a l - Time Transport Control Protocol (实时传输控制协议, RT C P )—实时传输控制协议
与RT P协同工作,在多点广播传输上提供专门的控制。,如在缺少带宽时,将彩色降级
为单色。RT C P也提供管理信息。
? redirector (转向器)—转向器是一种通过应用层使用的服务,用来识别并访问其他计算
机。
? redundancy (冗余)—提供额外的电缆和设备来保证计算机和计算机系统能够连续地工
作,甚至在一个或多个网络或计算机单元出现故障时仍能正常工作。
? regional Bell operating company, (RBOC)—这是为指定地区提供电话业务的电信公司。
? remote bridge (远程网桥)—远程网桥是穿越同一个城市、在城市之间、在州之间连接
网络以创建一个大网络的设备。
? Remote Network Monitoring (远程网络监控, RMON)—一种利用远程网络结点(例如工
作站或者网络设备)执行网络监控的标准,其功能包括收集信息进行网络协议分析。可
以在网络的远程部分设立监测器,例如中间可以经过一些网桥或者路由器。
? remote router (远程路由器)—远程路由器是跨越极广的地理区域(如城市之间、州之间
和国家之间)将网络连到WA N中的网络设备。
术语表计计305
? repeater (转发器)—转发器是将包放大并重新定时、以让它沿所有连接在转发器上的
输出电缆段发送的网络传输设备。
? Request for Comment (请求注释, RFC)—请求注释是为推动网络互连、Internet 和计算
机通信而发布的信息文档。Internet 工程组( I E T F )负责对R F C进行分类和管理。
? Resource Reservation Protocol (资源预订协议, RSVP)—资源预订协议用于基于T C P / I P
的网络中,可使应用程序能够预订所需要的计算机和网络资源,如带宽、缓冲、最大脉
冲串和服务级别等。R S V P的英文全写为Resource Reservation Protocol ,有时也写作
Resource Reservation Setup Protocol。
? Reverse Address Resolution Protocol(反向地址解析协议, RARP)—一种网络协议,网
络结点上的软件应用或者网络结点本身可以利用该协议确定它自己的I P。
? ring topology (环形拓扑)—在环形拓扑结构中,网络是由数据的连续路径构成的,没
有起始点和终止点,因此也就没有终结器。
? riser cable (上升电缆)—垂直电缆的另一个称呼,指大楼内各楼层间连接用的电缆。
? router (路由器)—路由器是连接访问方法相同或不同的网络的网络设备,如路由器可
以将以太网与令牌环网相连。路由器根据源于网络管理员的路由表数据、发现的最有效
的路由和预编程信息,使用决策进程来向网络提交包。
? Routing Information Protocol (路由信息协议, RIP)—路由信息协议是路由器用来与其
他路由器交流整个路由表的协议。
S
? scan lines (扫描线)—扫描线用来构造电视视频图像。扫描线中含有图像的片面视图,
并从上到下在显示器上显示。在美国,一个电视帧由5 2 5扫描线组成。
? Secure Sockets Layer (加密套接字协议层, SSL)—S S L是一种在服务器和客户端采用的
数字加密技术,例如在客户端的浏览器和Internet 服务器之间可以使用S S L。
? segment (段)—段是符合I E E E规范的一条电缆,如一段1 8 5米长带有3 0个结点(包括终
结器和网络设备)的10Base2 电缆。
? Sequence Packet Exchange (序列包交换, SPX)—一个N o v e l l协议,当对数据可靠性有
特殊要求时,用于应用软件的网络传输。
? serial Line Internet Protocol (串行线路互连网协议, SLIP)— 一个电信网络的WA N协
议,用于在两个电信载波之间建立最快的路由。
? Service data unit (服务数据单元, SDU)—S D U是一种已经在O S I层间进行过转换并删除
了其中的控制信息和转换指令的协议数据单元。
? service level agreement (服务标准协议, SLA)—WA N服务提供商提出的服务标准书面
保证,包括线路必须有效的最小时间。
? shielded twisted-pair cable (屏蔽双绞线, STP)—屏蔽双绞线是一种网络电缆,由绞在
一起的绝缘电线对组成,并包围着一层屏蔽材料,以进行E M I和R F I保护。所有这些都
处在一个保护套管中。
? Simple Network Management (简单网络管理协议, SNMP)—T C P / I P协议套中的一个协
议,计算机或者网络设备可以通过该协议收集关于网络性能的标准化数据。
306计计局域网/广域网的设计与实现
下载
? spanning tree algorithm (生成树算法)—生成树算法是用以确保帧不会无限循环传输的
软件,并可以使帧沿成本最低最有效的网络路径传输。
? spread-spectrum communications (传播光谱技术)—这种通信技术主要用在无线网络
中,在网络间进行高频率通信时可以用它来替代电缆。
? star topology (星形拓扑)—这是最古老的一种网络设计,整个网络是由多个连接在集
线器上的结点构成。
? stateful autoconfiguration (有状态自动配置)—一种利用网络管理软件,基于网络管理
员给出的一组参数自动分配I P地址的技术。
? stateless autoconfiguration (无状态自动配置)—一种分配I P地址的方法,在该方法中,
网络设备自己给自己分配地址。
? state-transition encoding (状态转换编码)—这是一种检验信号状态的改变(如从高到低、
从低到高等)的数字编码方法。
? static routing (静态路由)—静态路由是一种路由进程,包括对网络管理员根据预先调
试的路由指令而做出的路由决定的控制。
? statistical multiple access (统计多路访问)—统计多路访问是根据任务所需分配通信资
源的一种交换方法,例如,给视频文件分配更多的带宽,而给较小的电子表文件分配较
少的带宽。
? store-and-forward switching (存储转发交换)—在存储转发交换技术中,包可以被缓存,
直到完全接收后再发送,并且网络上有一条开放的信道可以发送包。
? streaming (流)—在从网络接收来的M P E G视频文件完全下载之前播放。
? subnet mask (子网模)—子网模(也称子网掩码)是I P地址的某个确定的部分,用于指明
一个网络的地址类别,可以利用它将网络分成子网,以便进行网络流量管理。
? Switched Multimegabit Data Services (交换多兆位数据服务, SMDS)—也叫做交换式兆
位数据服务,是一种由地区电话公司开发的传输方法,利用该技术可以在M A N和WA N
上提供基于信元的高速通信。
? switched virtual circuit (交换虚拟电路, SVC)—为持续的通信会话而创建的一种通信信
道,通常位于可以处理多个信道的介质上。
? synchronous communications (同步通信)—由数据的连续脉冲串进行的通信,而且数
据的连续脉冲串要受每一个脉冲串起始位置的时钟信号控制。
? synchronous communications (异步通信0—异步通信发生离散的单元中,在离散单元
里,单元的开始位置由前面的开始位标示,终止位由单元最后的停止位给出信号。
? synchronous optical network (同步光纤网络, ONET)—一种光纤通信技术,可以进行高
速的数据通信(每秒在兆位以上)。基于S O N E T的网络可以完成语音、数据和视频通信。
? System Network Architecture (系统网络结构, SNA)—系统网络结构是I B M使用的一种
分层通信协议,以便I B M主机和终端进行通信。
? Systeme Electronique Pour Couleur Avec Memoire (顺序与存储彩色电视系统, SECAM)
—顺序与存储彩色电视系统是一种与PA L相似的电视传输标准,但是是用在法国、俄
国和非洲的一些国家。
T
? T-carrier (T载波)—T载波是可用于数据通信的专用电话线路,将两个不同的位置连接
起来,以进行点对点的通信。
? TCP port (TCP端口)—与虚拟电路类似的一种功能,通过T C P端口,位于两个通信结
点或者设备上的单个进程之间可以进行通信。每个通信的进程都有自己的端口号,在有
多个进程同时进行通信的时候,可以使用多个端口。
? telco—地区的电话公司,如US We s t。
? Telecommunications Industry Association (通信工业联合会, TIA)—T I A是E
术语表(5)
I A中的建立
标准的一个实体,主要开发远程通信和布线标准。
? television frame (电视帧)—电视帧是一系列图片中用来模仿动作的一幅完整的图片。
? Te l n e t—一种T C P / I P应用协议,可以提供终端仿真。
? terminal (终端)—终端是具有监视器和键盘的设备,但对本地处理而言是没有C P U的。
终端与主机相连,处理过程均在主机上完成。
? terminal adapter (终端适配器, TA )—终端适配器是将计算机或传真机连接在I S D N线路
上的设备。终端适配器可将数字信号转变为可以在数字电话线路上发送的协议。
? terminal emulation (终端仿真)—用软件来使计算机(如P C )的行为类似于终端。
? time-division multiple access (时分多路访问技术)—这种交换方法通过划分时间槽(每
个时间槽对应一台设备,设备从中可以进行信号传输)使得多个设备可以在同一种通信
介质上进行通信。
? token ring (令牌环)—这是由I B M公司于7 0年代开发的一种访问方法,它仍然保留着主
要的L A N技术。这种传输方法在物理上采用星形拓扑结构,而在逻辑上采用环形拓扑结
构。虽然在令牌环网中,每一个结点也连接在中央集线器上,但包在结点到结点间进行
传输时就好像没有开始点和终止点一样。
? topology (拓扑结构)—拓扑结构是电缆上发送包所遵循的电缆的物理布局和逻辑路径。
? translation (转换)—转换是一种传输协议转变为另一种传输协议的方法。
? translational bridge (转换网桥)—转换网桥是使用不同传输协议的网络间的网桥,它可
以向网络传送适当的不同协议。
? Transmission Control Protocol (传输控制协议, TCP)—这是一种传输协议,属于T C P / I P
协议套的一部分,用于在网络软件应用进程之间建立通信会话,并且可以通过控制数据
流量做到可靠的端到端数据传输。
? Trivial File Transfer Protocol (普通文件传输协议, TFTP)—T C P / I P文件传输协议,用于
传输无盘工作站启动所使用的文件。
? trunking (中继)—在两个网络传输设备之间的两个或多个物理链接,它们组成一个集
合可当做一条线路使用,总的传输速率是每个链接传输速率的总和。
? twisted-pair cable (双绞线)—双绞线是一种柔性通信电缆,其中包含着绞在一起的成
对的绝缘铜线以减少E M I和R F I的干扰,双绞线的外部还覆盖着一层绝缘套管。
下载
? uninterruptible power supply (不间断电源, UPS)—在电源故障或电压不足时,提供快
速电池供电的设备,有时是在一个电子设备中,有时作为一个单独的设备。
? universal serial bus (通用串行总线, USB)—通用串行总线是为连接各种外设(如打印
机、调制解调器、磁带驱动器)而建立的标准,将要替代传统并行和串行端口的使用。
? unshielded twisted-pair cable ( 非屏蔽双绞线, UTP)—这是一种在绞在一起的成对的绝
缘线和外部套管间没有屏蔽的电缆。
? User Datagram Protocol (用户数据报协议, UDP)—一种使用I P的协议,它和T C P的位
置一样,可以提供低开销的无连接服务。
? U s e r-Network Interface(用户—网络接口, UNI)—一个AT M接口,用于终端结点到交换
机的连接。
V
? virtual circuit (虚拟电路)—虚拟电路是由O S I网络层为发送和接收数据而建立的逻辑
通信路径。
? virtual LAN (虚拟局域网, VLAN)—虚拟局域网是在子网组之外建立的逻辑网络,而
子网组是通过交换机和路由器上的智能软件建立并独立于物理网络拓扑结构的。
? virtual path identifier/virtual channel identifier ( 虚拟路径标识符/虚拟通道标识符,
V P I / V C I )— AT M信元中的一个编码,使得信元能够到达想要到达的输出接口。
W
? wavelength division multiplexing (波长分割多路转接器, WDM)—波长分割多路转接器
是一种用于光纤介质的交换技术,可以截取几个输入连接,并将其转化为在光纤电缆上
传送的光谱范围内的不同的波长。
? wide area network (广域网, WA N )—广域网是一种意义深远的网络系统,可以跨越极
大的物理空间。
X
? X . 2 5—一种老的非常可靠的分组交换协议,最高可以以2 . 0 4 8 M b p s的速率连接到远程
的网络上。X . 2 5协议定义了D T E和D C E之间的通信。
? X/Open XA—基于U N I X的系统所使用的一种开放数据库标准。
? Xerox Network System (施乐网络系统, XNS)— 一个由施乐公司在网络早期开发的用
于以太网通信的协议。
个人电脑安全
由于现在用xp的用户相对多一点,所以以下基本都是针对xp的,当然有很多都是通用的,由于考虑到新手,所以讲的都是基础的,好接受点。哪里不好的请直言。
好了,follow me
一:计算机个人密码
添加一个合法用户,尽量不使用管理员账号登陆。这里告诉大家一个小技巧,把管理员账号的名称(ADMINISTRATOR)改成一个不起眼的名字(控制面板 -用户帐户里改)。然后建立一个受限的用户(名字设为admini),限制他的种种操作,并设置繁杂的密码,这样……不用说了吧(当别人费尽九牛二虎之力进来时发觉…………? 把它气死!!!!)
--------------snowchao
还有设置复杂的口令,更改有助于防止口令蠕虫轻易的进入系统。
二:禁用没用的服务
这是icool早期的作品,呵呵,相信很多人都看过了,不过对刚来的还是很有用的哦。
关闭了这些服务不仅增加了安全系数,而且可以使你的爱机提速
不过当你遇到禁用了某些服务后有些东西不能用了就马上去看看被禁用的服务的说明
三:关闭不用的端口
如果觉得下面的端口所对应的服务没用,那么就关了好了
下面是几个常见的端口的关闭方法
1、139端口的关闭
139端口是NetBIOS Session端口,用来文件和打印共享
关闭139口听方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。
2、445端口的关闭
修改注册表,添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0
这样就ok了
3、3389端口的关闭
xp:我的电脑上点右键选属性–>远程,将里面的远程协助和远程桌面两个选项框里的勾去掉。
win2000server 开始–>程序–>管理工具–>服务里找到Terminal Services服务项,
选中属性选项将启动类型改成手动,并停止该服务。
win2000pro 开始–>设置–>控制面板–>管理工具–>服务里找到Terminal Services
服务项,选中属性选项将启动类型改成手动,并停止该服务。
四:漏洞检测,补丁
下面是天网的一个检测个人系统漏洞的网址,大家可以去检测一下自己的系统
http://pfw.sky.net.cn/news/info/list.php?sessid=&sortid=17
还有瑞星杀毒软件也有检测系统漏洞的功能(打开瑞星-工具-系统漏洞扫描)
当发现漏洞后就要去堵漏洞了,接下来就是打补丁,不仅可以增强兼容性外,更重要的是堵上已发现的安全漏洞。但是不是打上所以的补丁就最好,最好当你下载前先看一下是什么内容的,如果是你已经关闭了服的务之类的补丁就不用下了。
下面是上海交大的下载页面,安全系数高点,可以下载系统未打的补丁
http://windowsupdate.sjtu.edu.cn/
五:杀毒软件和防火墙
要系统安全,防火墙是很重要的,当然,有了防火墙也不是没事了,还要记得定时升级杀毒软件杀毒。一般一新期一次差不多了。
建议不要装过多的防火墙和杀毒软件,这样可以加快启动,也可以避免某些冲突。下面的防火墙和杀毒软件是新手区推荐的
http://hackbase.com/bbs/viewthread.php?tid=34405
六:数据备份
系统还原是默认打开的,它会自动备分,当遇到不可解决的问题时,可以尝试一下系统还原,而不用重装系统。开始-运行输入msconfig在一般这项里有“开始系统还原一项”如果要还原就点这里了。
网络安全知识(1)
一旦黑客定位了你的网络,他通常会选定一个目标进行渗透。通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。非法入侵系统的方法有很多,你应当对这些方法引起注意。
常见攻击类型和特征
攻击特征是攻击的特定指纹。入侵监测系统和网络扫描器就是根据这些特征来识别和防范攻击的。下面简要回顾一些特定地攻击渗透网络和主机的方法。
常见的攻击方法
你也许知道许多常见的攻击方法,下面列出了一些:
· 字典攻击:黑客利用一些自动执行的程序猜测用户命和密码,审计这类攻击通常需要做全面的日志记录和入侵监测系统(IDS)。
· Man-in-the-middle攻击:黑客从合法的传输过程中嗅探到密码和信息。防范这类攻击的有效方法是应用强壮的加密。
· 劫持攻击:在双方进行会话时被第三方(黑客)入侵,黑客黑掉其中一方,并冒充他继续与另一方进行会话。虽然不是个完全的解决方案,但强的验证方法将有助于防范这种攻击。
· 病毒攻击:病毒是能够自我复制和传播的小程序,消耗系统资源。在审计过程中,你应当安装最新的反病毒程序,并对用户进行防病毒教育。
· 非法服务:非法服务是任何未经同意便运行在你的操作系统上的进程或服务。你会在接下来的课程中学到这种攻击。
· 拒绝服务攻击:利用各种程序(包括病毒和包发生器)使系统崩溃或消耗带宽。
容易遭受攻击的目标
最常遭受攻击的目标包括路由器、数据库、Web和FTP服务器,和与协议相关的服务,如DNS、WINS和SMB。本课将讨论这些通常遭受攻击的目标。
路由器
连接公网的路由器由于被暴露在外,通常成为被攻击的对象。许多路由器为便于管理使用SNMP协议,尤其是SNMPv1,成为潜在的问题。许多网络管理员未关闭或加密Telnet会话,若明文传输的口令被截取,黑客就可以重新配置路由器,这种配置包括关闭接口,重新配置路由跳计数等等。物理安全同样值得考虑。必须保证路由器不能被外人物理接触到进行终端会话。
过滤Telnet
为了避免未授权的路由器访问,你应利用防火墙过滤掉路由器外网的telnet端口和SNMP[161,162]端口
技术提示:许多网络管理员习惯于在配置完路由器后将Telnet服务禁止掉,因为路由器并不需要过多的维护工作。如果需要额外的配置,你可以建立物理连接。
路由器和消耗带宽攻击
最近对Yahoo、e-Bay等电子商务网站的攻击表明迅速重新配置路由器的重要性。这些攻击是由下列分布式拒绝服务攻击工具发起的:
· Tribal Flood Network(TFN)
· Tribal Flood Network(TFN2k)
· Stacheldraht(TFN的一个变种)
· Trinoo(这类攻击工具中最早为人所知的)
因为许多公司都由ISP提供服务,所以他们并不能直接访问路由器。在你对系统进行审计时,要确保网络对这类消耗带宽式攻击的反映速度。你将在后面的课程中学习如何利用路由器防范拒绝服务攻击。
数据库
黑客最想得到的是公司或部门的数据库。现在公司普遍将重要数据存储在关系型或面向对象的数据库中,这些信息包括:
· 雇员数据,如个人信息和薪金情况。
· 市场和销售情况。
· 重要的研发信息。
· 货运情况。
黑客可以识别并攻击数据库。每种数据库都有它的特征。如SQL Server使用1433/1434端口,你应该确保防火墙能够对该种数据库进行保护。你会发现,很少有站点应用这种保护,尤其在网络内部。
服务器安全 WEB和FTP这两种服务器通常置于DMZ,无法得到防火墙的完全保护,所以也特别容易遭到攻击。Web和FTP服务通常存在的问题包括:
· 用户通过公网发送未加密的信息;
· 操作系统和服务存在众所周知的漏洞导致拒绝服务攻击或破坏系统;
· 旧有操作系统中以root权限初始运行的服务,一旦被黑客破坏,入侵者便可以在产生的命令解释器中运行任意的代码。
Web页面涂改
近来,未经授权对Web服务器进行攻击并涂改缺省主页的攻击活动越来越多。许多企业、正攵府和公司都遭受过类似的攻击。有时这种攻击是出于政治目的。大多数情况下Web页面的涂改意味着存在这入侵的漏洞。这些攻击通常包括Man-in-the-middle攻击(使用包嗅探器)和利用缓冲区溢出。有时,还包括劫持攻击和拒绝服务攻击。
邮件服务
广泛使用的SMTP、POP3和IMAP一般用明文方式进行通信。这种服务可以通过加密进行验证但是在实际应用中通信的效率不高。又由于大多数人对多种服务使用相同的密码,攻击者可以利用嗅探器得到用户名和密码,再利用它攻击其它的资源,例如Windows NT服务器。这种攻击不仅仅是针对NT系统。许多不同的服务共享用户名和密码。你已经知道一个薄弱环节可以破坏整个的网络。FTP和SMTP服务通常成为这些薄弱的环节。
与邮件服务相关的问题包括:
· 利用字典和暴力攻击POP3的login shell;
· 在一些版本中sendmail存在缓冲区溢出和其它漏洞;
· 利用E-mail的转发功能转发大量的垃圾信件
名称服务
攻击者通常把攻击焦点集中在DNS服务上。由于DNS使用UDP,而UDP连接又经常被各种防火墙规则所过滤,所以许多系统管理员发现将DNS服务器至于防火墙之后很困难。因此,DNS服务器经常暴露在外,使它成为攻击的目标。DNS攻击包括:
· 未授权的区域传输;
网络安全知识(2)
· DNS 毒药,这种攻击是指黑客在主DNS服务器向辅DNS服务器进行区域传输时插入错误的DNS信息,一旦成功,攻击者便可以使辅DNS服务器提供错误的名称到IP地址的解析信息;
· 拒绝服务攻击;
其它的一些名称服务也会成为攻击的目标,如下所示:
· WINS,“Coke”通过拒绝服务攻击来攻击没有打补丁的NT系统。
· SMB服务(包括Windows的SMB和UNIX的Samba)这些服务易遭受Man-in-the-middle攻击,被捕获的数据包会被类似L0phtCrack这样的程序破解。
· NFS和NIS服务。这些服务通常会遭受Man-in-the-middle方式的攻击。
在审计各种各样的服务时,请考虑升级提供这些服务的进程。
审计系统BUG
作为安全管理者和审计人员,你需要对由操作系统产生的漏洞和可以利用的软件做到心中有数。早先版本的Microsoft IIS允许用户在地址栏中运行命令,这造成了IIS主要的安全问题。其实,最好的修补安全漏洞的方法是升级相关的软件。为了做到这些,你必须广泛地阅读和与其他从事安全工作的人进行交流,这样,你才能跟上最新的发展。这些工作会帮助你了解更多的操作系统上的特定问题。
虽然大多数的厂商都为其产品的问题发布了修补方法,但你必须充分理解补上了哪些漏洞。如果操作系统或程序很复杂,这些修补可能在补上旧问题的同时又开启了新的漏洞。因此,你需要在实施升级前进行测试。这些测试工作包括在隔离的网段中验证它是否符合你的需求。当然也需要参照值得信赖的网络刊物和专家的观点。
审计Trap Door和Root Kit
Root kit是用木马替代合法程序。Trap Door是系统上的bug,当执行合法程序时却产生了非预期的结果。如老版本的UNIX sendmail,在执行debug命令时允许用户以root权限执行脚本代码,一个收到严格权限控制的用户可以很轻易的添加用户账户。
虽然root kit通常出现在UNIX系统中,但攻击者也可以通过看起来合法的程序在Windows NT中置入后门。象NetBus,BackOrifice和Masters of Paradise等后门程序可以使攻击者渗透并控制系统。木马可以由这些程序产生。如果攻击者够狡猾,他可以使这些木马程序避开一些病毒检测程序,当然用最新升级的病毒检测程序还是可以发现它们的踪迹。在对系统进行审计时,你可以通过校验分析和扫描开放端口的方式来检测是否存在root kit等问题。
审计和后门程序
通常,在服务器上运行的操作系统和程序都存在代码上的漏洞。例如,最近的商业Web浏览器就发现了许多安全问题。攻击者通常知道这些漏洞并加以利用。就象你已经知道的RedButton,它利用了Windows NT的漏洞使攻击者可以得知缺省的管理员账号,即使账号的名称已经更改。后门(back door)也指在操作系统或程序中未记录的入口。程序设计人员为了便于快速进行产品支持有意在系统或程序中留下入口。不同于bug,这种后门是由设计者有意留下的。例如,像Quake和Doom这样的程序含有后门入口允许未授权的用户进入游戏安装的系统。虽然看来任何系统管理员都不会允许类似的程序安装在网络服务器上,但这种情况还是时有发生。
从后门程序的危害性,我们可以得出结论,在没有首先阅读资料和向值得信赖的同事咨询之前不要相信任何新的服务或程序。在你进行审计时,请花费一些时间仔细记录任何你不了解它的由来和历史的程序。
审计拒绝服务攻击
Windows NT 易遭受拒绝服务攻击,主要是由于这种操作系统比较流行并且没有受到严格的检验。针对NT服务的攻击如此频繁的原因可以归结为:发展势头迅猛但存在许多漏洞。在审计Windows NT网络时,一定要花时间来验证系统能否经受这种攻击的考验。打补丁是一种解决方法。当然,如果能将服务器置于防火墙的保护之下或应用入侵监测系统的话就更好了。通常很容易入侵UNIX操作系统,主要因为它被设计来供那些技术精湛而且心理健康的人使用。在审计UNIX系统时,要注意Finger服务,它特别容易造成缓冲区溢出。
缓冲区溢出
缓冲区溢出是指在程序重写内存块时出现的问题。所有程序都需要内存空间和缓冲区来运行。如果有正确的权限,操作系统可以为程序分配空间。C和C++等编程语言容易造成缓冲区溢出,主要因为它们不先检查是否有存在的内存块就直接调用系统内存。一个低质量的程序会不经检查就重写被其它程序占用的内存,而造成程序或整个系统死掉,而留下的shell有较高的权限,易被黑客利用运行任意代码。
据统计,缓冲区溢出是当前最紧迫的安全问题。要获得关于缓冲区溢出的更多信息,请访问Http://www-4.ibm.com/software/de … verflows/index.heml
Telnet的拒绝服务攻击
Windows中的Telnet一直以来都是网络管理员们最喜爱的网络实用工具之一,但是一个新的漏洞表明,在Windows2000中Telnet在守护其进程时,在已经被初始化的会话还未被复位的情况下很容易受到一种普通的拒绝服务攻击。Telnet连接后,在初始化的对话还未被复位的情况下,在一定的时间间隔之后,此时如果连接用户还没有提供登录的用户名及密码,Telnet的对话将会超时。直到用户输入一个字符之后连接才会被复位。如果恶意用户连接到Windows2000的Telnet守护进程中,并且对该连接不进行复位的话,他就可以有效地拒绝其他的任何用户连接该Telnet服务器,主要是因为此时Telnet的客户连接数的最大值是1。在此期间任何其他试图连接该Telnet服务器的用户都将会收到如下错误信息:
Microsoft Windows Workstation allows only 1 Telnet Client LicenseServer has closed connection
察看“列出当前用户”选项时并不会显示超时的会话,因为该会话还没有成功地通过认证。
Windows NT的TCP port 3389存在漏洞
Windows NT Server 4.0 终端服务器版本所作的 DoS 攻击。这个安全性弱点让远端使用者可以迅速的耗尽 Windows NT Terminal Server 上所有可用的内存,造成主机上所有登陆者断线,并且无法再度登入。
说明:
1. Windows NT Server 4.0 终端服务器版本在 TCP port 3389 监听终端连接 (terminal connection),一旦某个 TCP 连接连上这个端口, 终端服务器会开始分配系统资源,以处理新的客户端连接,并作连接的认证工作。
2. 此处的漏洞在于:在认证工作完成前,系统需要拨出相当多的资源去处理新的连接,而系统并未针对分配出去的资源作节制。因此远端的攻击者可以利用建立大 量 TCP 连接到 port 3389 的方法,造成系统存储体配置达到饱和。
3. 此时服务器上所有使用者连接都会处于超时状态,而无法继续连接到服务器上,远端攻击者仍能利用一个仅耗用低频宽的程式,做出持续性的攻击,让此服务器处於最多记忆体被耗用的状态,来避免新的连接继续产生。
4. 在国外的测试报告中指出,长期持续不断针对此项弱点的攻击,甚至可以导致服务器持续性当机,除非重新开机,服务器将无法再允许新连接的完成。
解决方案:
1. 以下是修正程序的网址:
ftp://ftp.microsoft.com/bussys/w … sa/NT40tse/hotfixes postSP4/Flood-fix/
[注意]:因为行数限制,上面网址请合并为一行。
2. 更详细资料请参考 Microsoft 网站的网址:
http://www.microsoft.com/security/bulletins/ms99-028.asp.
防范拒绝服务攻击
你可以通过以下方法来减小拒绝服务攻击的危害:
· 加强操作系统的补丁等级。
· 如果有雇员建立特定的程序,请特别留意代码的产生过程。
· 只使用稳定版本的服务和程序。
审计非法服务,特洛伊木马和蠕虫
非法服务开启一个秘密的端口,提供未经许可的服务,常见的非法服务包括:
· NetBus
· BackOrifice 和 BackOrifice 2000
· Girlfriend
· 冰河2.X
· 秘密的建立共享的程序
许多程序将不同的非法服务联合起来。例如,BackOrifice2000允许你将HTTP服务配置在任意端口。你可以通过扫描开放端口来审计这类服务,确保你了解为什么这些端口是开放的。如果你不知道这些端口的用途,用包嗅探器和其它程序来了解它的用途。
技术提示:不要混淆非法服务和木马。木马程序通常包含非法服务,而且,木马程序还可以包含击键记录程序,蠕虫或病毒。
特洛伊木马
特洛伊木马是在执行看似正常的程序时还同时运行了未被察觉的有破坏性的程序。木马通常能够将重要的信息传送给攻击者。攻击者可以把任意数量的程序植入木马。例如,他们在一个合法的程序中安放root kit或控制程序。还有一些通常的策略是使用程序来捕获密码和口令的hash值。类似的程序可以通过E-mail把信息发送到任何地方。
审计木马
扫描开放端口是审计木马攻击的途径之一。如果你无法说明一个开放端口用途,你也许就检测到一个问题。所以,尽量在你的系统上只安装有限的软件包,同时跟踪这些程序和服务的漏洞。许多TCP/IP程序动态地使用端口,因此,你不应将所有未知的端口都视为安全漏洞。在建立好网络基线后,你便可以确定哪些端口可能存在问题了。
蠕虫
Melissa病毒向我们展示了TCP/IP网络是如何容易遭受蠕虫攻击的。在你审计系统时,通常需要配置防火墙来排除特殊的活动。防火墙规则的设置超出了本术的范围。但是,作为审计人员,你应当对建议在防火墙上过滤那些从不信任的网络来的数据包和端口有所准备。
蠕虫@@特定的软件传播。例如,在2000年三月发现的Win32/Melting.worm蠕虫只能攻击运行Microsoft Outlook程序的Windows操作系统。这种蠕虫可以自行传播,瘫痪任何种类的Windows系统而且使它持续地运行不稳定。
网络安全知识(3)
结合所有攻击定制审计策略
攻击者有两个共同的特点。首先,他们将好几种不同的方法和策略集中到一次攻击中。其次,他们在一次攻击中利用好几种系统。综合应用攻击策略可以增强攻击的成功率。同时利用好几种系统使他们更不容易被捕获。
例如,在实施IP欺骗时,攻击者通常会先实施拒绝服务攻击以确保被攻击主机不会建立任何连接。大多数使用Man-in-the-middle的攻击者会先捕获SMB的密码,再使用L0phtCrack这样的程序进行暴力破解攻击。
渗透策略
你已经了解到那些网络设备和服务是通常遭受攻击的目标和黑客活动的攻击特征。现在,请参考下列的一些场景。它们将有助于你在审计过程中关注那些设备和服务。请记住,将这些攻击策略结合起来的攻击是最容易成功的。
物理接触
如果攻击者能够物理接触操作系统,他们便可以通过安装和执行程序来使验证机制无效。例如,攻击者可以重启系统,利用其它启动盘控制系统。由于一种文件系统可以被另一种所破坏,所以你可以使用启动盘获得有价值的信息,例如有管理权限的账号。
物理攻击的简单例子包括通过重新启动系统来破坏Windows95或98的屏幕锁定功能。更简单的物理攻击是该系统根本就没有进行屏幕锁定。
操作系统策略
近来,美国白宫的Web站点(http://www.whitehouse.gov)被一个缺乏经验的攻击者黑掉。攻击者侦查出该Web服务器(www1.whitehouse.gov)运行的操作系统是Solaris 7。虽然Solaris 7被成为艺术级的操作系统,但管理员并没有改变系统的缺省设置。虽然该站点的管理员设置了tripwire,但攻击者还是使用 phf/ufsrestore命令访问了Web服务器。
较弱的密码策略
上面白宫网站被黑的例子可能是由于该系统管理员使用FTP来升级服务器。虽然使用FTP来更新网站并没有错,但大多数FTP会话使用明文传输密码。很明显,该系统管理员并没有意识到这种安全隐患。又由于大多数系统管理员在不同的服务上使用相同的密码,这使攻击者能够获得系统的访问权。更基本的,你可以保证/etc/passwd文件的安全。
NetBIOS Authentication Tool(NAT)
当攻击者以WindowsNT为目标时,他们通常会使用NetBIOS Authentication Tool(NAT)来测试弱的口令。这个程序可以实施字典攻击。当然它也有命令行界面,这种界面的攻击痕迹很小。而且命令行界面的程序也很好安装和使用。在使用NAT时,你必须指定三个文本文件和IP地址的范围。当然,你也可以指定一个地址。NAT使用两个文本文件来实施攻击而第三个来存储攻击结果。第一个文本文件包含一个用户列表,第二个文件中是你输入的猜测密码。
当使用命令行版本时,语法格式为:
nat –u username.txt –p passwordlist.txt –o outputfile.txt
即使服务器设置了密码的过期策略和锁定,攻击者还是可以利用NAT反复尝试登录来骚扰管理员。通过简单地锁定所有已知的账号,攻击者会极大地影响服务器的访问,这也是一些系统管理员不强行锁定账号的原因。
较弱的系统策略
到此为止,你已经学习了一些外部攻击。然而,对于管理员来说最紧迫的是大多数公司都存在不好的安全策略。如果安全策略很弱或干脆没有安全策略,通常会导致弱的密码和系统策略。通常,公司并不采取简单的预防措施,比如需要非空的或有最小长度要求的密码。忽略这些限制会给攻击者留下很大的活动空间。
审计文件系统漏洞
不论你的操作系统采取何种文件系统(FAT,NTFS或NFS),每种系统都有它的缺陷。例如,缺省情况下NTFS在文件夹和共享创建之初 everyone组可完全控制。由于它是操作系统的组成部分(Windows NT),因此也成为许多攻击的目标。NFS文件系统可以共享被远程系统挂接,因此这也是攻击者入侵系统的途径之一。
IP欺骗和劫持:实例
IP欺骗是使验证无效的攻击手段之一,也是如何组合攻击策略攻击网络的典型实例。IP欺骗利用了Internet开放式的网络设计和传统的建立在 UNIX操作系统之间信任关系。主要的问题是使用TCP/IP协议的主机假设所有从合法IP地址发来的数据包都是有效的。攻击者可以利用这一缺陷,通过程序来发送虚假的IP包,从而建立TCP连接,攻击者可以使一个系统看起来象另一个系统。
许多UNIX操作系统通过rhosts和 rlogin在非信任的网络上(如Internet)建立信任的连接。这种传统的技术是流行的管理工具并减轻了管理负担。通常,这种系统由于把UNIX的验证机制和IP地址使用相结合从而提供了适当的安全。然而,这种验证机制是如此的独立于IP地址不会被伪造的假设,以至于很容易被击破。
Non-blind spoofing 和Blind spoofing
Non-blind spoofing是指攻击者在同一物理网段上操纵连接。Blind spoofing是指攻击者在不同的物理网段操纵连接。后者在实施上更困难,但也时常发生。
进行IP欺骗的攻击者需要一些程序,包括:
· 一个包嗅探器
· 一个能够同时终止TCP连接、产生另一个TCP连接、进行IP 伪装的程序
IP欺骗涉及了三台主机。像先前分析的那样,使用验证的服务器必须信任和它建立连接的主机。如果缺乏天生的安全特性,欺骗是非常容易的。
思考下列的场景,有三台主机分别是A,B和C。A使用TCP SYN连接与合法用户B初始一个连接。但是B并没有真正参与到这次连接中,因为C已经对B实施了拒绝服务攻击。所以,虽然A认为是在与B对话,但实际上是与C对话。IP欺骗实际上组合了几种攻击手法包括对系统实施了拒绝服务攻击,还包括利用验证技术。
作为审计人员,你不应该说服管理员终止这种信任关系,相反,你应当建议使用防火墙规则来检测有问题的包。
TCP/IP序列号生成方法
TCP的Initial Sequence Number(ISN)的预测
正常的TCP连接基于一个三次握手(3-way handshake),一个客户端(Client)向服务器(Server)发送一个初始化序列号ISNc,随后,服务器相应这个客户端ACK(ISNc),并且发送自己的初始化序列号ISNs,接着,客户端响应这个ISNs(如下图),三次握手完成。
C —〉S: (ISNc)
S —〉C: ACK(ISNc)+ ISNs
C —〉S: ACK(ISNs)
C —〉S: data
and / or
S —〉C: data
下面,我以Windows2000 Advanced Server为例,来说一下两台主机是如何进行三次握手。
我们可以看到:
1) Smartboy首先发送一个seq:32468329的包给服务器202.116.128.6。
2) 然后, 202.116.128.6响应主机Smartboy, 它送给Smartboy自己的
seq:3333416325 而且响应Smartboy的ack:3240689240。
3) Smartboy再响应服务器202.116.128.6, seq:3240689240, ack:3333416326。
三次握手完毕,两台几建立起连接。
可以看出,在三次握手协议中,Clinet一定要监听服务器发送过来的ISNs, TCP使用的sequence number是一个32位的计数器,从0-4294967295。TCP为每一个连接选择一个初始序号ISN,为了防止因为延迟、重传等扰乱三次握手, ISN不能随便选取,不同系统有不同算法。理解TCP如何分配ISN以及ISN随时间变化的规律,对于成功地进行IP欺骗攻击很重要。
在Unix系统里,基于远程过程调用RPC的命令,比如rlogin、rcp、rsh等等,根据/etc/hosts.equiv以及$ HOME/.rhosts文件进行安全校验,其实质是仅仅根据源IP地址进行用户身份确认,以便允许或拒绝用户RPC。这就给与了那些攻击者进行IP地址欺骗的机会。
让我们看X是如何冒充T来欺骗S,从而建立一个非法连接 :
X---->S: SYN(ISNx ) , SRC = T
S---->T: SYN(ISNs ) , ACK(ISNT) (*)
X---->S: ACK(ISNs+1 ) , SRC = T (**)
X---->S: ACK(ISNs +1) , SRC = T, 攻击命令(可能是一些特权命令)
但是,T必须要在第(**)中给出ISNs, 问题是ISNs在第(*)步中发给了T(X当然很难截取到),幸运的是,TCP协议有一个约定: ISN变量每秒增加250,000次,这个增加值在许多版本比较旧的操作系统中都是一个常量,在FreeBSD4.3中是125000次每秒,这就给X一个可乘之机。
网络安全知识(4)
看一下X是如何猜出ISNs :
a、首先, X发送一个SYN包来获取服务器现在的ISNs
X —〉S: (ISNx)
S —〉X: ACK(ISNx)+ ISNs# (1)
b、紧接着,X冒充T向服务器发送SYN包
X —〉S: SYN(ISNx ) , SRC = T (2)
c、于是,服务器发出一个响应包给T(这个包X是收不到的)
S —〉T: SYN(ISNs$) , ACK(ISNT ) (3)
d、X计算ISNs$:
ISNs$ = ISNs# + RTT×Increment of ISN (4)
其中,RTT(Round Trip Time),是一个包往返X和S所用的时间,可以通过Ping 来得到。
上图显示了round trip times (RTT) 大概是0。
Increment of ISN是协议栈的初始序列号每秒钟增加的值,以Unix为例,当没有外部连接发生时,服务器的ISN每秒增加128,000,有连接的时候,服务器的ISN每秒增加64,000。
e、于是,
X —> S : ACK(ISNs$) (冒充可信主机成功了)
X —> S : 恶意的命令或窃取机密消息的命令
在评价以下的解决方案时有几点要注意:
1.该解决方案是否很好地满足TCP的稳定性和可操作性的要求?
2.该解决方案是否容易实现?
3.该解决方案对性能的影响如何?
4.该解决方案是否经得起时间的考验?
以下的几种方案各有各的优点和缺点,它们都是基于增强ISN生成器的目标提出的。
配置和使用密码安全协议
TCP的初始序列号并没有提供防范连接攻击的相应措施。TCP的头部缺少加密选项用于强加密认证,于是,一种叫做IPSec的密码安全协议的技术提出了。IPSec提供了一种加密技术(End to end cryptographic),使系统能验证一个包是否属于一个特定的流。这种加密技术是在网络层实现的。其它的在传输层实现的解决方案(如 SSL/TLS和SSH1/SSH2), 只能防止一个无关的包插入一个会话中,但对连接重置(拒绝服务)却无能为力,原因是因为连接处理是发生在更低的层。IPSec能够同时应付着两种攻击(包攻击和连接攻击)。它直接集成在网络层的安全模型里面。
上面的解决方案并不需要对TCP协议做任何得修改,RFC2385(“基于TCP MD5签名选项的BGP会话保护)和其他的技术提供了增加TCP头部的密码保护,但是,却带来了收到拒绝服务攻击和互操作性和性能方面的潜在威胁。使用加密安全协议有几个优于其它方案的地方。TCP头部加密防止了Hijacking和包扰乱等攻击行为,而TCP层仍然能够提供返回一个简单增加ISN的机制,使方案提供了最大程度的可@@性。但实现IPSec非常复杂,而且它需要客户机支持,考虑到可用性,许多系统都选择使用RFC 1948。
使用RFC1948
在RFC1948中,Bellovin提出了通过使用4-tuples的HASH单向加密函数,能够使远程攻击者无从下手(但不能阻止同一网段的攻击者通过监听网络上的数据来判断ISN)。
Newsham 在他的论文 [ref_newsham]中提到:
RFC 1948 [ref1]提出了一种不容易攻击(通过猜测)的TCP ISN的生成方法。此方法通过连接标识符来区分序列号空间。每一个连接标识符由本地地址,本地端口,远程地址,远程端口来组成,并由一个函数计算标识符分的序列号地址空间偏移值(唯一)。此函数不能被攻击者获得,否则,攻击者可以通过计算获得ISN。于是,ISN就在这个偏移值上增加。ISN的值以这种方式产生能够抵受上面提到的对ISN的猜测攻击。
一旦全局ISN空间由上述方法来生成,所有的对TCP ISN的远程攻击都变得不合实际。但是,需要指出的,即使我们依照RFC 1948来实现ISN的生成器,攻击者仍然可以通过特定的条件来获得ISN(这一点在后面叙述).
另外,用加密的强哈希算法(MD5)来实现ISN的生成器会导致TCP的建立时间延长。所以,有些生成器(如Linux kernel )选择用减少了轮数的MD4函数来提供足够好的安全性同时又把性能下降变得最低。削弱哈希函数的一个地方是每几分钟就需要对生成器做一次re-key 的处理,经过了一次re-key的处理后,安全性提高了,但是,RFC793提到的可@@性却变成另一个问题。
我们已经知道,严格符合RFC1948的ISN生成方法有一个潜在的危机:
一个攻击者如果以前合法拥有过一个IP地址,他通过对ISN进行大量的采样,可以估计到随后的ISN的变化规律。在以后,尽管这个IP地址已经不属于此攻击者,但他仍然可以通过猜测ISN来进行IP欺骗。
以下,我们可以看到RFC 1948的弱点:
ISN = M + F(sip, sport, dip, dport,
)
其中
ISN 32位的初始序列号
M 单调增加的计数器
F 单向散列哈希函数 (例如 MD4 or MD5)
sip 源IP地址
sport 源端口
dip 目的IP地址
dport 目的端口
哈希函数可选部分,使远程攻击者更难猜到ISN.
ISN自身的值是按照一个常数值稳定增加的,所以F()需要保持相对的稳定性。而根据Bellovin 所提出的,是一个系统特定的值(例如机器的启动时间,密码,初始随机数等),这些值并不 会经常变。
但是,如果Hash函数在实现上存在漏洞(我们无法保证一个绝对安全的Hash函数,况且,它的实现又与操作系统密切相关),攻击者就可以通过大量的采样,来分析,其中,源IP地址,源端口,目的IP地址,目的端口都是不变的,这减少了攻击者分析的难度。
Linux TCP的ISN生成器避免了这一点。它每5分钟计算一次值,把泄漏的风险降到了最低。
有一个办法可以做的更好:
取M = M + R(t)
ISN = M + F(sip, sport, dip, dport, )
其中
R(t) 是一个关于时间的随机函数
很有必要这样做,因为它使攻击者猜测ISN的难度更大了(弱点在理论上还是存在的)。
其它一些方法
构造TCP ISN生成器的一些更直接的方法是:简单地选取一些随机数作为ISN。这就是给定一个32位的空间,指定 ISN = R(t)。(假设R()是完全的非伪随机数生成函数)
固然,对于完全随机的ISN值,攻击者猜测到的可能性是1/232是,随之带来的一个问题是ISN空间里面的值的互相重复。这违反了许多RFC(RFC 793, RFC 1185, RFC 1323, RFC1948等)的假设----ISN单调增加。这将对TCP协议的稳定性和可@@性带来不可预计的问题。
其它一些由Niels Provos(来自OpenBSD 组织)结合完全随机方法和RFC 1948解决方案:
ISN = ((PRNG(t)) << 16) + R(t) 32位
其中
PRNG(t) :一组随机指定的连续的16位数字 0x00000000 – 0xffff0000
R(t) :16位随机数生成器(它的高位msb设成0)0x00000000 – 0x0000ffff
上面的公式被用于设计OpenBsd的ISN生成器,相关的源代码可以从下面的网址获得
http://www.openbsd.org/cgi-bin/cvsweb/src/…inet/tcp_subr.c
Provos的实现方法有效地生成了一组在给定时间内的不会重复的ISN的值,每两个ISN值都至少相差32K,这不但避免了随机方法造成的ISN的值的冲突,而且避免了因为哈希函数计算带来的性能上的下降,但是,它太依赖于系统时钟,一旦系统时钟状态给攻击者知道了,就存在着系统的全局ISN状态泄密的危机。
TCP ISN生成器的构造方法的安全性评估
ISN与PRNGs(伪随机数生成器)
我们很难用一台计算机去生成一些不可预测的数字,因为,计算机被设计成一种以重复和准确的方式去执行一套指令的机器。所以,每个固定的算法都可以在其他机器上生成同样的结果。如果能够推断远程主机的内部状态,攻击者就可以预测它的输出;即使不知道远程主机的PNRG函数,但因为算法最终会使ISN回绕,按一定的规律重复生成以前的ISN,所以,攻击者仍然可以推断ISN。幸运的是,目前条件下,ISN的重复可以延长到几个月甚至几年。但是,仍然有部分 PRNG生成器在产生500个元素后就开始回绕。解决伪随机数的方法是引入外部随机源,击键延时,I/O中断,或者其它对攻击者来说不可预知的参数。把这种方法和一个合理的HASH函数结合起来,就可以产生出32位的不可预知的TCP ISN的值,同时又隐蔽了主机的PNRG的内部状态。不幸的是,很少的TCP ISN产生器是按这种思路去设计的,但即使是这样设计的产生器,也会有很多的实现上的漏洞使这个产生器产生的ISN具有可猜测性。
RFC1948的建议提供了一种比较完善的方法,但是,对攻击者来说,ISN仍然存在着可分析性和猜测性。其中,PRNG的实现是个很关键的地方。
网络安全知识(5)
Spoofing 集合
需要知道一点是,如果我们有足够的能力能够同时可以发出232个包,每个包由不同的ISN值,那么,猜中ISN的可能性是100%。但是,无论从带宽或计算机的速度来说都是不实际的。但是,我们仍然可以发大量的包去增加命中的几率,我们把这个发出的攻击包的集合称为Spoofing集合。通常,从计算机速度和网络数据上传速率两方面来考虑,含5000个包的Spoofing的集合对众多的网络用户是没有问题的,5000-60000个包的 Spoofing集合对宽带网的用户也是不成问题的,大于60000个包的Spoofing集合则超出一般攻击者的能力。网络的速度和计算机性能的不断增加会提高那种使用穷尽攻击方法猜测ISN的成功率。从攻击者的立场,当然希望能够通过定制一个尽可能小的Spoofing集合,而命中的几率又尽可能高。我们假定我们攻击前先收集50000个包作为ISN值的采样,然后,我们把这些ISN用作对将来的ISN的值猜测的依据。
一种称为“delay coordinates”的分析方法
在动态系统和非线性系统中,经常使用一种叫做“delay coordinates”的分析法,这种方法使我们可以通过对以前的数据的采样分析来推想以后的数据。
我们试图以建立一个三维空间(x,y,z)来观察ISN值(seq[t])的变化,其中t取0,1,2, ……
方程组(E1)
现在,对采样了的50000个ISN序列seq[t] 按照上面的三个方程式来构建空间模型A。这样,就可以通过A的图像特征来分析这个PNRG生成的ISN值的规律。A呈现的空间模型的3D特性越强,它的可分析性就越好。
接着,我们根据这个模型,去分析下一个ISN值seq[t],为此,我们用一个集合K(5000个)去猜测seq[t]。
如果我们知道seq[t-1],要求seq[t],那么,可以通过在这个三维空间中找出一个有良好特性的节点P(x,y,z),将P.x+seq[t- 1],我们就可以得到seq[t]。现在,我们将注意力放到怎样在这个三维空间中选择一些点来构成Spoofing集合,也就是怎样通过seq[t- 1],seq[t-2],sea[t-3]来推知seq[t]。
由于seq[t-1],seq[t-2],seq[t-3]都可以很容易地在远程主机上探测到,于是,P.y和P.z可以通过以下的公式求出
而对于P.x=seq[t]-seq[t-1], 由于seq[t-1]已知,所以,我们可以把它当作是空间的一条直线。如果,在对以前的ISN的采样,通过上面提到的构成的空间模型A呈现某种很强的特征,我们就可以大胆地假设,seq[t]在直线与A的交点上,或者在交点的附近。这样,seq[t]就这样确定了,于是,seq[t+1],seq[t+ 2]……,我们都可以推断出来。
于是,我们大致将构造Spoofing集合分成3个步骤:
先选取L与A交点之间的所有点。如果,L与A没有交点,我们则选取离L最近的A的部分点。
假设现在 seq[t-1]=25
seq[t-2]=50
seq[t-3]=88
于是,我们可以计算出
y = seq[t-1] - seq[t-2]=25
z = seq[t-2] - seq[t-3]=33
而我们在集合A中找不到满足y=25,z=33这个点,但是,我们找到y=24,z=34和y=27,z=35这两个点,所以,我们要把它们加入Spoofing集合。
我们按照上面的方法,把在A附近(半径<=R1的空间范围内)点集M找出来,然后,我们根据这些点的相应的x值去推导相应的seq[t](按照一定的算法,后面会提到),于是,我们就得到很多的seq[t]。
根据点集M(j),我们在一定的变化浮动范围U里(-R2<=U<=+R2)处理其x值,得出以下的集合K:
M(j).x+1 M(j).x-1 M(j).x+2 M(j).x-2 M(j).x+3 M(j).x-3 …… M(j).x+R2 M(j)-R2
接着我们确定R1和R2的值
R1值的选取的原则:使M不为空集,一般为1-500个。
R2值的选取的原则:使K的个数为5000。
相关系数的意义:
R1 radius: 影响搜索速度。
R2 radius: 影响猜测ISN的成功率, R2越大,成功率越高,但代价越大。
Average error: 反映了在3.3.2中找出的点集的平均距离。一个过分大的平均距离是不需要的。可以通过是否有足够的正确的猜测值来计算Average error。
网络安全知识(6)
delay coordinates分析法的意义
站在攻击者的立场,他是千方百计地想缩小搜索空间,他希望先搜索一些最可能的值,然后再去搜索其它可能性没那么大的值。通过delay coordinates,他可以看去观察ISN数列的特征,如果,按照上面的方法构造的空间模型A呈现很明显的空间轮廓,如一个正方体,一个圆柱体,或者一个很小的区域,那么ISN很可能就是这个空间模型A中的一点,搜索空间就会可以从一个巨大的三维空间缩小到一个模型A。看一下一个设计得很好的PRNG (输出为32位):…2179423068, 2635919226, 2992875947, 3492493181, 2448506773, 2252539982, 2067122333, 1029730040, 335648555, 427819739…
RFC 1948要求我们用31位的输出,但是,32位的搜索空间比31位的要大一倍,所以,在后面的PRNG的设计中,我采用了32位的输出。
下面,我们来看一下各种典型的空间模型以及对它们的评价。
从空间特性可以看出,某些区域的值互相重叠,某些地方的空间形状很明显,呈针状型,这种PRNG设计得不好,重叠特性很强,攻击者可以从左图分析推断可能性比较大的重叠区域去搜索,这样可以大大减少搜索的难度。
这种PRNG参杂了一些可以预测的随机种子,导致空间模型呈现很明显的片状。攻击者可以根据前面的一些ISN来推测后面的ISN。
这种PRNG产生的随机数序列之间的差值非常小,但是,它的分布特性非常好。所以,虽然,它并没有扩展到整个空间,但是,它比上面几种模型要好的多。攻击者攻击的成功率要少得多。
这个PRNG是以计算机时钟为随机源的。它的ISN值都分布在三个很明显的面上。三个面都在模型的中间有一个汇聚点。这样的PRNG设计的非常差,所以,我们在设计PRNG的时候,不能只是以时钟作为随机源。
各种操作系统的TCP ISN生成器的安全性比较
Windwos 98 SE
但很难明白为什么Windows 98的算法更弱。我们看到R1为0,也就是说,A的空间特性太明显,以致M集只需要一个点就可以算出seq[t]。我们看到,Windows 98的R2小于Windows 95的R2,换言之,Windows 98的seq[t]的搜索代价更少。
Windows NT4 SP3,Windows SP6a和Windows 2000
Windows NT4 SP3在ISN的PNRG算法也是非常弱的,成功率接近100%。Windows 2000和Windows NT4 SP6a的TCP 序列号有着相同的可猜测性。危险程度属于中到高的范围。虽然,我们在图上看不到很明显的3D结构化特征,但是,12%和15%对攻击者来说,已经是一个很满意的结果。
FreeBSD 4.2,OpenBSD 2.8和OpenBSD-current
OpenBSD-current的PRNG 输出为31-bit,也就是说,△seq[t]的值域范围可以是231 –1,意味着,y,z值域也很大,这对使我们很难确定M集,经过我们的处理后,可以看到一个云状物(见上图),它的R1半径很大,而且分布均匀,不呈现任何的空间结构化特性,很难对它进行分析。
Linux 2.2
Linux 2.2的TCP/IP序列号的可分析性也是很少,比起OpenBSD-current,它的PRNG的输出宽度只有24bit,但是,对抵御攻击已经足够了。Linux是按照RFC 1948规范的。它的HASH函数从实现来说,应该是没有什么的漏洞,而且,它应该是引入了外部随机源。
Solaris
Solaris的内核参数tcp_strong_iss有三个值,当tcp_strong_iss=0时,猜中序列号的成功率是100%;当tcp_strong_iss=1时,Solaris 7和Solaris 8一样,都能产生一些特性相对较好的序列号。
tcp_strong_iss=2时,依据Sun Microsystem的说法,系统的产生的ISN值非常可靠,不可预测。通过观察采样值的低位值的变化,可以相信它的PRNG的设计采用了RFC 1948规范,正如Solaris的白皮书所提到的。
但是,我们观察到,Solaris7(tcp_strong_iss=2)虽然使用了RFC 1948,但是,仍然相当的弱,究其原因,是因为Solaris没有使用外部随机源,而且也没有在一段时间之后重算
。由一些Solaris系统动态分配IP地址的主机群要特别小心,因为Solaris在启动之后,一直都不会变(这一点与Linux不同),于是,攻击者在合法拥有某个IP地址的时候,他可以在TCP会话期间对序列号进行大量的采样,然后,当这个IP地址又动态地分配给其他人的时候,他就可以进行攻击(在 Clinet-Server结构的网络系统中要尤为注意,因为,许多应用都是分配固定的端口进行通讯)。
获得信息
一旦攻击者获得root的权限,他将立即扫描服务器的存储信息。例如,在人力资源数据库中的文件,支付账目数据库和属于上层管理的终端用户系统。在进行这一阶段的控制活动时,攻击者在脑海中已经有明确的目标。这一阶段的信息获取比侦查阶段的更具有针对性,该信息只会导致重要的文件和信息的泄漏。这将允许攻击者控制系统。
攻击者获得信息的一种方法是操纵远程用户的Web浏览器。大多数的公司并没有考虑到从HTTP流量带来的威胁,然而, Web浏览器会带来很严重的安全问题。这种问题包括Cross-frame browsing bug和Windows spoofing以及Unicode等。浏览器容易发生缓冲区溢出的问题,允许攻击者对运行浏览器的主机实施拒绝服务攻击。一旦攻击者能够在局部使系统崩溃,他们便可以运行脚本程序来渗透和控制系统。
Cross-frame browsing bug允许怀有恶意的Web站点的制作者创建可以从用户计算机上获得信息的Web页面。这种情况出现在4.x和5.x版本的Netscape和 Microsoft浏览器上,这种基于浏览器的问题只会发生在攻击者已经知道文件和目录的存储位置时。这种限制看起来不严重,但实际上并非如此。其实,任何攻击者都清楚地知道缺省情况下UNIX操作系统的重要文件存放在(\etc)目录下,Windows NT的文件在(\winnt)目录下,IIS在(\inetpub\wwwroot)目录下等等。
网络安全知识(7)
大多数的攻击者都知道操作系统存放文件的缺省位置。如果部门的管理者使用Windows98操作系统和Microsoft Word, Excel或Access,他很可能使用\deskto\My documents目录。攻击者同样知道\windows\start\menu\programs\startup目录的重要性。攻击者可能不知道谁在使用操作系统或文件和目录的布局情况。通过猜测电子表格,数据库和字处理程序缺省存储文件的情况,攻击者可以轻易地获得信息。
虽然攻击者无法通过浏览器控制系统,但这是建立控制的第一步。利用Cross-frame browsing bug获得的信息要比从网络侦查和渗透阶段获得的信息更详细。通过阅读文件的内容,攻击者会从服务器上获得足够的信息,要想阻止这种攻击手段,系统管理员必须从根本上重新配置服务器。
审计UNIX文件系统
Root kit充斥在互联网上,很难察觉并清除它们。从本质上来说,root kit是一种木马。大多数的root kit用各种各样的侦查和记录密码的程序替代了合法的ls,su和ps程序。审计这类程序的最好方法是检查象ls, su和ps等命令在执行时是否正常。大多数替代root kit的程序运行异常,或者有不同的的文件大小。在审计UNIX系统时,要特别注意这些奇怪的现象。下表1列出了常见的UNIX文件的存放位置。
文件名
存放位置
/
根目录
/sbin
管理命令
/bin
用户命令;通常符号连接至/usr/bin
/usr
大部分操作系统
/usr/bin
大部分系统命令
/usr/local
本地安装的软件包
/usr/include
包含文件(用于软件开发)
/usr/src
源代码
/usr/local/src
本地安装的软件包的源代码
/usr/sbin
管理命令的另一个存放位置
/var
数据(日志文件,假脱机文件)
/vr/log
日志文件
/export
被共享的文件系统
/home
用户主目录
/opt
可选的软件
/tmp
临时文件
/proc
虚拟的文件系统,用来访问内核变量
审计Windows NT
下列出了在Windows NT中通常文件的存放位置
文件名
位置
\winnt
系统文件目录;包含regedit.exe和注册表日志
\winnt\system32
包含许多子目录,包括config(存放security.log,event.log和application.log文件)
\winnt\profiles
存放与所有用户相关的信息,包括管理配置文件
\winnt\system32\config
包含SAM和SAM.LOG文件,NT注册表还包含密码值
\inetpub
缺省情况下,包含IIS4.0的文件,包括\ftproot,\wwwroot
\program files
服务器上运行的大多数程序的安装目录
L0phtCrack工具
L0phtCrack被认为是对系统攻击和防御的有效工具。它对于进行目录攻击和暴力攻击十分有效。它对于破解没有使用像!@#¥%^&*()等特殊字符的密码非常迅速。L0phtCrack可以从http://www.l0pht.com上获得。
L0pht使用文字列表对密码进行字典攻击,如果字典攻击失败,它会继续使用暴力攻击。这种组合可以快速获得密码。L0pht可以在各种各样的情况下工作。你可以指定IP地址来攻击Windows NT系统。然而,这种方式需要首先登录到目标机器。L0pht还可以对SAM数据库文件进行攻击。管理员从\winnt\repair目录拷贝出SAM账号数据库。第三中方式是配置运行L0pht的计算机嗅探到密码。L0pht可以监听网络上传输的包含密码的会话包,然后对其进行字典攻击。这种方式使用 L0pht需要在类似Windows NT这样的操作系统之上,并且你还需要物理地处于传输密码的两个操作系统之间。
John the Ripper和Crack是在基于UNIX的操作系统上常见的暴力破解密码的程序。这两个工具被用来设计从UNIX上获取密码。所有版本的UNIX操作系统都将用户账号数据库存放在/etc/passwd或/etc/shadow文件中。这些文件在所有UNIX系统中存放在相同的位置。为了使UNIX正常运行,每个用户都必须有读取该文件的权限。
John the Ripper和Crack是最常见的从shadow和passwd文件中获得密码的程序。这些工具将所有的密码组合与passwd或shadow文件中加密的结果进行比较。一旦发现有吻合的结果就说明找到了密码。
在你审计UNIX操作系统时,请注意类似的问题。虽然许多扫描程序,如NetRecon和ISS Internet Scanner可以模仿这种工具类型,许多安全专家还是使用像L0pht和John the Ripper来实施审计工作。
信息重定向
一旦攻击者控制了系统,他便可以进行程序和端口转向。端口转向成功后,他们可以操控连接并获得有价值的信息。例如,有些攻击者会禁止像FTP的服务,然后把FTP的端口指向另一台计算机。那台计算机会收到所有原来那台主机的连接和文件。
相似的攻击目标还包括重定向SMTP端口,它也允许攻击者获得重要的信息。例如,攻击者可以获得所有使用SMTP来传送E-mail账号的电子商务服务器的信息。即使这些传输被加密,攻击者还是可以获得这些传输的信息并用字典攻击这些信息。
通常,攻击者渗透你的操作系统的目的是通过它来渗透到网络上其它的操作系统。例如,NASA服务器是攻击者通常的攻击目标,不仅因为他们想要获取该服务器上的信息,更主要的是许多组织都和该服务器有信任的连接关系,比如Department of Defense。
因此,许多情况下,攻击者希望攻击其它的系统。为了防止类似的情况发生,美国技术论坛不要谈正攵府言论信息要求那些直接连到技术论坛不要谈正攵府言论信息部门的公司必须按照Rainbow Series的标准来实施管理。从1970年开始,该系列标准帮助系统确定谁可以安全的连接。这个系列中最长被使用的是Department of Defense Trusted Computer System Evaluation Criteria,该文件被成为Orange Book。例如,C2标准是由Orange Book衍生出来并被用来实施可以信任的安全等级。这个等级是C2管理服务(C2Config.exe)在Microsoft NT的服务补丁基础上提供的。
控制方法
新的控制方法层出不穷,原因有以下几个。首先是因为系统的升级不可避免的会开启新的安全漏洞,二是少数黑客极有天赋,他们不断开发出新的工具。大多数的UNIX操作系统都有C语言的编译器,攻击者可以建立和修改程序。这一部分讨论一些允许你控制系统的代表性程序。
系统缺省设置
缺省设置是指计算机软硬件“Out-of-the-box”的配置,便于厂商技术支持,也可能是因为缺乏时间或忽略了配置。攻击者利用这些缺省设置来完全控制系统。虽然改变系统的缺省设置非常容易,但许多管理员却忽视了这种改变。其实,改变缺省设置可以极大地增强操作系统的安全性。
合法及非法的服务,守护进程和可装载的模块
Windows NT运行服务,UNIX运行守护进程,Novell操作系统运行可装载的模块。这些守护进程可以被用来破坏操作系统的安全架构。例如,Windows NT的定时服务以完全控制的权限来执行。如果用户开启了定时服务,他就有可能运行其它的服务,(例如,域用户管理器),从而使用户更容易控制系统
防范非系统用户破坏
第一招:屏幕保护
在Windows中启用了屏幕保护之后,只要我们离开计算机(或者不操作计算机)的时间达到预设的时间,系统就会自动启动屏幕保护程序,而当用户移动鼠标或敲击键盘想返回正常工作状态时,系统就会打开一个密码确认框,只有输入正确的密码之后才能返回系统,不知道密码的用户将无法进入工作状态,从而保护了数据的安全。
提示:部分设计不完善的屏幕保护程序没有屏蔽系统的“Ctrl+Alt+Del”的组合键,因此需要设置完成之后测试一下程序是否存在这个重大Bug。
不过,屏幕保护最快只能在用户离开1分钟之后自动启动,难道我们必须坐在计算机旁等待N分钟看到屏幕保护激活之后才能再离开吗?其实我们只要打开 Windows安装目录里面的system子目录,然后找到相应的屏幕保护程序(扩展名是SCR),按住鼠标右键将它们拖曳到桌面上,选择弹出菜单中的 “在当前位置创建快捷方式”命令,在桌面上为这些屏幕保护程序建立一个快捷方式。此后,我们在离开计算机时双击这个快捷方式即可快速启动屏幕保护。
第二招:巧妙隐藏硬盘
在“按 Web页”查看方式下,进入Windows目录时都会弹出一句警告信息,告诉你这是系统文件夹如果“修改该文件夹的内容可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,这时单击“显示文件”就可以进入该目录了。原因是在Windows根目录下有desktop.ini和 folder.htt两个文件作祟。将这两个文件拷贝到某个驱动器的根目录下(由于这两个文件是隐藏文件,之前必须在文件夹选项中单击“查看”标签,选择 “显示所有文件”,这样就可以看见这两个文件了)。再按“F5”键刷新一下,看看发生了什么,是不是和进入Windows目录时一样。
接下来我们用“记事本”打开folder.htt,这是用HTML语言编写的一个文件,发挥你的想像力尽情地修改吧。如果你不懂HTML语言也没关系,先找到“显示文件”将其删除,找到“修改该文件夹的内可能导致程序运行不正常,要查看该文件夹的内容,请单击显示文件”,将其改为自己喜欢的文字,例如“安全重地,闲杂人等请速离开”(如图1),将“要查看该文件夹的内容,请单击”改为“否则,后果自负!”,接着向下拖动滑块到倒数第9行,找到 “(file&
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。