内容简介
本书面向网络用户,全面介绍了网络安全性方面的基本问题。先给读者介绍了几种常见的网络协议,如TCP/IP,HTTP,S-HTTPO接着谈到了防火墙、加密及数字签证方面的知识。作者还分析了黑客种种攻击网络弱点的方法,并指出我们应该怎样。,逐个比较各种网络在安全性上的优缺点,并提出一个可行的安全方案。 本书内容详实、编排得当,适应用户阅读习惯,是一本献给网络管理员、MIS专家、程序员及终端用户的不可多得的网络安全性方面的图书。 本书前言 及评论 文章节选 TCP协议劫持入侵 也许对连结于Internet的服务器的威胁是TCP劫持入侵(即我们所知的主动嗅探),尽管顺序号预测法入侵和TCP劫持法有许多相似之处,但TCP劫持之不同在于黑客将强迫网络接受其IP址为一个可信网址来获得访问,而不是不停地猜IP址直至正确。TCP劫持法的基本思想是,黑客控制了一台连接于入侵目标网的计算机,然后从网上断开以让网络服务器误以为黑客就是实际的客户端。图9.3显示了一个黑客怎样操作一个TCP劫持入侵。 成功地劫持了可信任计算机之后,黑客将用自己的IP址更换入侵目标机的每一个包的IP址,并模仿其顺序号。安全专家称顺序号伪装为“IP模仿”,黑客用IP模仿在自己机器上模拟一个可信系统的IP地址,黑客模仿了目标计算机之后,便用灵巧的顺序号模仿法成为一个服务器的目标。 黑客实施一个TCP劫持入侵后更易于实施一个IP模仿入侵,而且TCP劫持让黑客通过一个一次性口令请求响应系统(如共享口令系统,第四章详述),再让一个拥有更高安全性的主机妥协。通过口令系统也让黑客穿过一个操作系统而不是黑客自己的系统。 ,TCP劫持入侵比IP模仿更具危害性,因为黑客一般在成功的TCP劫持入侵后比成功的IP模仿入侵后有更大的访问能力。黑客因为截取的是正在进行中的事务而有更大访问权限,而不是模拟成一台计算机再发起一个事务。 9.3 嗅探入侵 利用嗅探者的被动入侵已在Internet上频繁出现,如第一章所指出,被动嗅探入侵是一个黑客实施一次实际劫持或IP模仿入侵的第一步。要开始一个嗅探入侵,黑客要拥有用户IP和合法用户的口令,而用一个用户的信息注册于一个分布式网络上。进入网之后,黑客嗅探传送的包并试图尽可能多地获取网上资料。 为了防止分布式网络上的嗅探入侵,系统管理员一般用一次性口令系统或票据认证系统(如Kerberos)等识别方案。例如,一些一次性口令系统向用户提供再每次退出登录后的下次登录口令。第十章详述了Kerberos系统。尽管一次性口令系统和Kerberos方案能让黑客对口令的嗅探在不安全的网络上变得更加困难,但如果它们既未加密又未指明数据流时仍将面临实际的被入侵风险(正如你在第十章所看到的,Kerberos也提供了一个加密TCP协议流选项)。图9.4显示了黑客如何实施被动的嗅探入侵。 下面描述一次黑客将TCP流定向到自己机器上的针对TCP的实际入侵。在黑客重新定向了TCP流之后,黑客能通过无论是一次性口令系统或票据认证系统提供的保护安全线,这样TCP连接对任何一个在连接路径上拥有TCP包嗅探器和TCP包发生器的人来说都变得脆弱。在第一章里,你了解到一个TCP包在到达目的系统之前要经过许多系统,换句话说,只要拥有一个放置好了的嗅探器和发生器,黑客能访问任何包——它们可能包括你在Internet上传送的包。 本章后面部分详述了一些你可以用来检测实际入侵的方案和一些你可以用来防卫入侵的方法。黑客能用本章所述的单的方法来侵入Internet主机系统,而且,黑客可以实施一次和被动嗅探所需资源一样少的主动非同步攻击。
目录
第一章 认识危机——接入Internet的计算机网络 第二章 网络和TCP/IP 第三章 了解和使用防火墙 第四章 利用加密保护你的信息传递 第五章 利用数字签名证实消息源 第六章 超文本传输协议 第七章 安全超文本传输协议 第八章 用SSL安全地传送信息 第九章 鉴别与防御“黑客”入侵 第十章 在分布式系统中使用Kerberos密钥交换 第十一章 保护你在电子商务中的传输信息 第十二章 利用审计跟踪并击退入侵 第十三章 关于Java的安全性问题 第十四章 病毒 第十五章 加强Windows NT的网络安全性 第十六章 对付Novell Net Ware的安全性问题 第十七章 UNIX和X-Windows的安全性 第十八章 检测系统的弱点 第十九章 网络浏览器安全问题 第二十章 对付恶意脚本 ……
