第一章 网络安全概述与环境配置

葛 昕 xfiles2008@163.com

历史上著名的黑客事件 1983 年，凯文 · 米特尼克因被发现使用一台大学里的电脑擅自进入今

日互联网的前身 ARPA 网，并通过该网进入了美国五角大楼的的电脑，而被判在加州的青年管教所管教了 6 个月。

1988年 , 凯文 · 米特尼克被执法当局逮捕，原因是： DEC 指控他从公司网络上盗取了价值 100 万美元的软件，并造成了 400 万美元损失。

1993 年，自称为“骗局大师”的组织将目标锁定美国电话系统，这个组织成功入侵美国国家安全局和美立坚银行，他们建立了一个能绕过长途电话呼叫系统而侵入专线的系统。

1995 年，来自俄罗斯的黑客弗拉季米尔 · 列宁在互联网上上演了精彩的偷天换日，他是历史上第一个通过入侵银行电脑系统来获利的黑客， 1995 年，他侵入美国花旗银行并盗走一千万，他于 1995 年在英国被国际刑警逮捕，之后，他把帐户里的钱转移至美国、芬兰、荷兰、德国、爱尔兰等地。

1999 年，梅利莎病毒 （ Melissa ）使世界上 300 多家公司的电脑系统崩溃，该病毒造成的损失接近 4 亿美金，它是首个具有全球破坏力的病毒，该病毒的编写者戴维 · 斯密斯在编写此病毒的时候年仅 30 岁。戴维 · 斯密斯被判处 5 年徒刑。

2000 年，年仅 15 岁，绰号黑手 party 男孩的黑客在 2000年 2月 6日到 2月 14 日情人节期间成功侵入包括雅虎、 eBay和 Amazon 在内的大型网站服务器，他成功阻止服务器向用户提供服务，他于2000 年被捕。

2000 年，日本右翼势力在大阪集会，称南京大屠杀是“ 20 世纪最大谎言”，公然为南京大屠杀翻案，在中国 government 和南京等地的人民抗议的同时，内地网虫和海外华人黑客也没有闲着，他们多次进攻日本网站，用实际行动回击日本右翼的丑行，据日本媒体报道，日本总务厅和科技厅的网站被迫关闭，日本政要对袭击浪潮表示遗憾。

2001年 5月 ,中美黑客网络大站 ,中美撞机事件发生后，中美黑客之间发生的网络大战愈演愈烈。自 4月 4 日以来，美国黑客组织PoizonBOx不断袭击中国网站。对此，我国的网络安全人员积极防备美方黑客的 1攻击。中国一些黑客组织则在“五一”期间打响了“黑客反击战” !

2002年 11 月，伦敦某黑客在英国被指控侵入美国军方 90 多个电脑系统。

2006年 10月 16 日，中国骇客 whboy （李俊）发布熊猫烧香木马 .并在短短时间内，致使中国数百万用户受到感染，并波及到周边国家，比如日本。他于 2007年 2月 12 日被捕。

2007 年， 4月 27 日爱沙尼亚拆除苏军纪念碑以来，该国总统和议会的官方网站、 go-vern-ment各大部门网站、政 party 网站的访问量就突然激增，服务器由于过于拥挤而陷于瘫痪。全国 6 大新闻机构中有3 家遭到攻击，此外还有两家全国最大的银行和多家从事通讯业务的公司网站纷纷中招。

2007 年，中国一名网名为 The Silent‘s(折羽鸿鹄 ) 的黑客成功入侵微软中国的服务器，并在 6 月至 11 月成功侵入包括CCTV、 163、 TOM 等中国大型门户服务器。

2007 年，俄罗斯黑客成功劫持Windows 更新下载器。

2008 年，一个全球性的黑客组织，利用 ATM 欺诈程序在一夜之间从世界 49 个城市的银行中盗走了 900w 美元。黑客们攻破的是一种名为 RBS WorldPay 的银行系统，用各种奇技淫巧取得了数据库内的银行卡信息，并在 11月 8 日午夜，利用团伙作案从世界 49 个城市总计超过 130台 ATM机上提取了 900w 美元。最关键的是，目前FBI 还没破案，甚至据说连一个嫌疑人还没找到。

著名中国黑客事件 1997 年，印尼排华事件中，印尼政府网站被中国黑客攻破，被黑后

的页面文字为：血债要用血来还。 1999年 5月 8 日，中国黑客回应美国轰炸中国驻南使馆，包括美国海军、空军、内政部在内的大批美国政府网站被黑。

1999年 9 月，李登辉制造两国论，大陆黑客入侵了台湾“行政院”、“国民大会”、“监察院”等二十几个政府网站；

2000年 2 月，钓鱼岛事件，日本科技厅，总务省，审计署等政府网站均被中国黑客攻破。

2000年 6 月，最大网络安全公司ＩＳＳ总裁克劳斯正在中国作网络安全演讲，ＩＳＳ公司中国网站被黑，黑客留言：我们要大力发展民族网络安全产业。

2000年 8 月，海信网站被黑。

中美黑客大战

端口扫描

httpftptelnetsmtp

黑客攻击一般过程

黑客攻击一般过程

口令暴力攻击

用户名 :john口令 :john1234

黑客攻击一般过程

用 john登录服务器

利用漏洞获得超级用户权限

留后门隐藏用户

更改主页信息

网络信息系统

内部人员威胁

拒绝服务攻击

逻辑炸弹

特洛伊木马黑客攻击

计算机病毒

信息泄漏、篡改、破坏

后门、隐蔽通道

蠕虫

社会工程

天灾

系统 Bug

内容提要 网络安全研究的体系 网络安全的必要性和社会意义如何评价一个系统或者应用软件的安全等级

软件 Vmvare,Sniffer

信息安全概述 网络安全是信息安全学科的重要

组成部分。信息安全是一门交叉学科，广义上，信息安全涉及多方面的理论和应用知识，除了数学、通信、计算机等自然科学外，还涉及法律、心理学等社会科学。狭义上，也就是通常说的信息安全，只是从自然科学的角度介绍信息安全的研究内容。

信息安全各部分研究内容及相互

关系如图

信息安全研究层次 信息安全从总体上可以分成 5 个层次：安全的密码算法，

安全协议，网络安全，系统安全以及应用安全，层次结构如图

信息安全的基本要求 信息安全的目标是保护信息的机密性、完整性、抗否认性和可用性，也有的观点认为是机密性、完整性和可用性，即 CIA（ Confidentiality Integrity Availability ）。

保密性 Confidentiality完整性 Integrity可用性 Availability真实性

信息安全的发展 20 世纪 60 年代倡导通信保密措施 20 世纪 60到 70 年代，逐步推行计算机安全， 20 世纪 80 年代到 90 年代信息安全概念被广泛提出 20 世纪 90 年代以后，开始倡导信息保障 (IA) 信息保障的核心思想是对系统或者数据的 4 个方面的要求：保护（ Protect ），检测（ Detect ），反应（ React ）和恢复（ Restor

e ），结构如图

PDRR模型

保护 检测

恢复 响应

信息保障

采用一切手段（主要指静态防护手段）保护信息系统的五大特性。

及时恢复系统，使其尽快正常对外提供服务，是降低网络攻击造成损失的有效途径

对危及网络安全的事件和行为做出反应，阻止对信息系统的进一步破坏并使损失降到最低

检测本地网络的安全漏洞和存在的非法信息流，从而有效阻止网络攻击

可信计算概述 在各种信息安全技术措施中，硬件结构的安全和操作系统

的安全是基础，密码等其它技术是关键技术。只有从整体上采取措施，特别是从底层采取措施，才能比较有效的解决信息安全问题。

只有从芯片、主板等硬件结构和 BIOS 、操作系统等底层软件作起，综合采取措施，才能比较有效的提高微机系统的安全性。只有这样，绝大多数不安全因素才能从微机源头上得到控制，系统安全才可能真正实现，因此可信计算主要关注的是硬件的安全性和软件安全性的协作。

网络安全的攻防研究体系

网络安全（ Network Security ）是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性科学。

网络安全的攻防体系 网络安全攻击防御体系

攻击技术

网络扫描网络监听网络入侵网络后门与网络隐身

防御技术

操作系统安全配置技术加密技术防火墙技术入侵检测技术

网络安全物理基础Uni x/ Li nux/ Wi ndows操作系统：TCP/ I P/ UDP/ SMTP/ POP/ FTP/ HTTP网络协议：

网络安全的实施: Sni ff er/ X-Scan/ / / 工具软件 防火墙软件 入侵检测软件 加密软件 等等

C/ C++/ Perl编程语言：

攻击技术的步骤

1 、网络监听 2 、网络扫描 3 、网络入侵 4 、网络后门 5 、网络隐身

防御技术

1 、操作系统的安全配置 2 、加密技术 3 、防火墙技术 4 、入侵检测

掌握攻防体系的基础 为了保证网络的安全，在软件方面可以有两种选择，一种是使用已经

成熟的工具，比如抓数据包软件 Sniffer ，网络扫描工具 X-Scan 等等，另一种是自己编制程序 ,如 C、 C++ 或者 Perl 语言。

为了使用工具和编制程序，必须熟悉两方面的知识 (1) 两大主流的操作系统： UNIX 家族和 Window 系列操作系统 (2) 另一方面是网络协议，常见的网络协议包括：

TCP（ Transmission Control Protocol ，传输控制协议） IP（ Internet Protocol ，网络协议） UDP（ User Datagram Protocol ，用户数据报协议） SMTP（ Simple Mail Transfer Protocol ，简单邮件传输协议） POP（ Post Office Protocol ，邮局协议） FTP（ File Transfer Protocol ，文件传输协议）等等。

网络安全的层次体系 从层次体系上，可以将网络安全分成四个层次上的安全：1 、物理安全；2 、逻辑安全；3 、操作系统安全；4 、联网安全。

1,物理安全物理安全主要包括五个方面：

1 、防盗；2 、防火；3 、防静电；4 、防雷击；5 、防电磁泄漏。

2,逻辑安全 计算机的逻辑安全需要用口令、文件许可等方法

来实现。 可以限制登录的次数或对试探操作加上时间限制；可以用软件来保护存储在计算机文件中的信息；

限制存取的另一种方式是通过硬件完成，在接收到存取要求后，先询问并校核口令，然后访问列于目录中的授权用户标志号。

此外，有一些安全软件包也可以跟踪可疑的、未授权的存取企图，例如，多次登录或请求别人的文件。

3,操作系统安全 操作系统是计算机中最基本、最重要的软件。 同一计算机可以安装几种不同的操作系统。

如果计算机系统可提供给许多人使用，操作系统必须能区分用户，以便于防止相互干扰。

一些安全性较高、功能较强的操作系统可以为计算机的每一位用户分配账户。

通常，一个用户一个账户。操作系统不允许一个用户修改由另一个账户产生的数据。

4, 联网安全 联网的安全性通过两方面的安全服务来达

到：1 、访问控制服务：用来保护计算机和联网资源不被非授权使用。

2 、通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。

研究网络安全的必要性

网络需要与外界联系，受到许多方面的威胁物理威胁系统漏洞造成的威胁身份鉴别威胁线缆连接威胁有害程序等方面威胁。

物理威胁 1 、偷窃 2 、废物搜寻 3 、间谍行为 4 、身份识别错误

系统漏洞威胁

1 、乘虚而入

2 、不安全服务

3 、配置和初始化错误

身份鉴别威胁

1 、口令圈套

2 、口令破解

3 、算法考虑不周

4 、编辑口令

线缆连接威胁

1 、窃听

2 、拨号进入

3 、冒名顶替

有害程序威胁

1 、病毒

2 、代码炸弹

3 、特洛伊木马

信息安全的目的

进不来 拿不走 看不懂 改不了 跑不了

研究网络安全的社会意义 目前研究网络安全已经不只为了信息和数据的安全性。

网络安全已经渗透到国家的经济、军事等领域。

网络安全与政治 目前政府上网已经大规模的发展起来，电子政务工程已经在全国启动并

在北京试点。政府网络的安全直接代表了国家的形象。 1999 年到2001 年，一些政府网站，遭受了四次大的黑客攻击事件。

第一次在 99年 1 月份左右，美国黑客组织“美国地下军团”联合了波兰的、英国的黑客组织以及世界上的黑客组织，有组织地对我们国家的政府网站进行了攻击。

第二次， 99年 7 月份，当台湾李登辉提出了两国论的时候。

第三次是在 2000年 5月 8 号，美国轰炸我国驻南联盟大使馆后。

第四次是在 2001年 4 月到 5 月，美机撞毁王伟战机侵入我海南机场。

网络安全与经济 一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信

息基础设施的依赖程度也越高。我国计算机犯罪的增长速度超过了传统的犯罪， 1997年 20多起， 1998年 142 起， 1999年 908起， 2000 年上半年 1420 起，再后来就没有办法统计了。利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。近几年已经破获和掌握 100多起，涉及的金额几个亿。

2000年 2 月份黑客攻击的浪潮，是互连网问世以来最为严重的黑客事件。 99年 4月 26日，台湾人编制的 CIH 病毒的大爆发，有统计说我国大陆受其影响的 PC 机总量达 36万台之多。有人估计在这次事件中，经济损失高达近 12亿元。

1996年 4月 16日，美国金融时报报道，接入 Internet 的计算机，达到了平均每 20秒钟被黑客成功地入侵一次的新记录。

网络安全与社会稳定 互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害，要

比现实社会中一个造谣要大的多。

99年 4 月，河南商都热线一个 BBS ，一张说交通银行郑州支行行长协巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，一天提了十多亿。 2001年 2月 8日正是春节，新浪网遭受攻击，电子邮件服务器瘫痪了 18个小时，造成了几百万的用户无法正常的联络。

网上不良信息腐蚀人们灵魂，色情资讯业日益猖獗。 1997年 5 月去过色情网站浏览过的美国人，占了美国网民的 28.2% 。河南郑州刚刚大专毕业的杨某和何某，在商丘信息港上建立了一个个人主页，用五十多天的时间建立的主页存了一万多幅淫秽照片的网站、 100多部小说和小电影。不到 54 天的时间，访问他的人到了 30万。

网络安全与军事 在第二次世界大战中，美国破译了日本人的密码，将山本

的舰队几乎全歼，重创了日本海军。目前的军事战争更是信息化战争，下面是美国三位知名人士对目前网络的描述。

在海湾战争爆发前，“伊”方从法国进口了一批用于防空系统的新型电脑打印机， “多”方情报部门获悉此事，派特工将带有 AF91 病毒的同类芯片换装到这种电脑打印机中，从而通过打印机使病毒侵入到了“伊”方军事指挥中心的主机 ,当“多”方对“伊”方进行空袭时，用无线电遥控装置激活了隐藏的病毒，致使“伊”方防空系统陷入瘫痪，而只能处于挨打地位。

我国立法情况 目前网络安全方面的法规已经写入中华人民共和

国宪法。于 1982年 8月 23 日写入中华人民共和国商标法于 1984年 3月 12 日写入中华人民共和国专利法于 1988年 9 月５日写入中华人民共和国保守国家秘密

法于 1993年 9月 2 日写入中华人民共和国反不正当竞争

法。

国际立法情况 美国和日本是计算机网络安全比较完善的国家，一些发展中

国家和第三世界国家的计算机网络安全方面的法规还不够完善。

欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。

为在共同体内正常地进行信息市场运做，该组织在诸多问题上建立了一系列法律，

具体包括： 竞争（反托拉斯）法；产品责任、商标和广告规定；知识产权保护；保护软件、数据和多媒体产品及在线版权；数据保护；跨境电子贸易；税收；司法问题等。这些法律若与其成员国原有国家法律相矛盾，则必须以共同体的法律为准。

环境配置 网络安全是一门实践性很强的学科，包括许多试验。

良好的实验配置是必须的。网络安全实验配置最少应该有两个独立的操作系统，而且两个操作系统可以通过以太网进行通信。

VMware虚拟机 考虑两个方面的因素：

1 、许多计算机不具有联网的条件。 2 、网络安全实验对系统具有破坏性。

VMvare 的特点 1.不需要分区或重开机就能在同一台 PC 上使用两种以上的操作系统。 2.完全隔离并且保护不同 OS 的操作环境以及所有安装在 OS 上面的应用软件和资料。

3.不同的 OS 之间还能互动操作，包括网络、周边、文件分享以及复制贴上功能。

4. 有复原（ Undo ）功能 ,快照 (snapshot) 。 5. 能够设定并且随时修改操作系统的操作环境，如：内存、磁碟空间、周边设备等等。

实验设备 设备 名称

内存 建议 256M以上

CPU 1G以上

硬盘 20G以上

网卡 10M或者 100M网卡

操作系统 Windows 2000 Server SP2以上

编程工具 Visual C++6.0

实验设备 在计算机上安装Windows 2000 Server ，并且打上相关的布丁，在本书中操作系统是 Windows 2000 Server， IP 地址设置为 172.18.25.110 ，根据需要可以设置为其他的 IP 地址。如图 1-2 所示。

虚拟机软件 VMware

需要安装一个虚拟机软件 VMware ，虚拟机上的操作系统，可以通过网卡和实际的操作系统进行通信。通信的过程和原理，与真实环境下的两台计算机一样。虚拟机操作系统的界面如图所示。

配置 VMware虚拟机 安装完虚拟机以后，就如同组装了一台电脑，这台电脑需要

安装操作系统。 需要在虚拟机中装操作系统，选择菜单栏“ File” 下

的“ New”菜单项，再选择子菜单“ New Virtual Machine” ，如图所示。

配置 VMware虚拟机 出现新建虚拟机向导，这里有许多设置需要说明，不然虚拟

机可能无法和外面系统进行通信。点击向导界面的按钮“下一步”，出现安装选项，如图所示。

配置 VMware虚拟机 这里有两种选择，选项“ Typical” 是典型安装，选项“ Custom” 是

自定义安装，选择“ Custom” 安装方式。点击按钮“下一步”，进入选择操作系统界面，设置将来要安装的操作系统类型，如图所示。

配置 VMware虚拟机 从上图中可以看出几乎常见的操作系统在列表中都有。选择“ Windows Advanced Server” ，点击按钮“下一步”进入安装目录选择界面，如图所示。

配置 VMware虚拟机 有两个文本框，上面文本框是系统的名字，按照默认值就可以，下面

的文本框需要选择虚拟操作系统安装地址。选择好地址以后，点击按钮“下一步”，出现虚拟机内存大小的界面，如图所示。

配置 VMware虚拟机 因为安装的是 Windows 2000 Advanced Server ，所以内存不能小于

128M ，如果计算机内存比较大的话可以分配的多一些，但是不能超过真实内存大小，这里设置为 128M ，点击按钮“下一步”进入网络连接方式选择界面，如图所示。

配置 VMware虚拟机 VMWare 的常用的是两种联网方式： （ 1） Used Bridged networking

虚拟机操作系统的 IP 地址可设置成与主机操作系统在同一网段，虚拟机操作系统相当于网络内的一台独立的机器，网络内其他机器可访问虚拟机上的操作系统，虚拟机的操作系统也可访问网络内其他机器。

（ 2） User network address translation（ NAT ） 实现主机的操作系统与虚拟机上的操作系统的双向访问。但网络

内其他机器不能访问虚拟机上的操作系统，虚拟机可通过主机操作系统的 NAT协议访问网络内其他机器。

一般来说， Bridged方式最方便好用，因为这种连接方式将使虚拟机就好像是一台独立的计算机一样。

配置 VMware虚拟机 选择第一种方式：使用网桥方式联网。点击按钮“下一步”，出现创建磁盘的选择界面，如图所示。

配置 VMware虚拟机 有三种选择：

1、 Create a new virtual disk 虚拟机将重新建立一个虚拟磁盘，该磁盘在实际计算机操作系

统上就是一个文件，而且这个文件还可以随意的拷贝。 2、 Use an existing virtual disk

使用已经建立好的虚拟磁盘。 3、 Use a physical disk

使用实际的磁盘，这样虚拟机可以方便的和主机进行文件交换，但是这样的话，虚拟机上的操作系统受到损害的时候会影响外面的操作系统。

配置 VMware虚拟机 因为这里是做网络安全方面的实验，尽量的让虚拟机和外面系统隔离，所以这里选择第一项。点击按钮“下一步”，进入硬盘空间分配界面，如图所示。

配置 VMware虚拟机 建立一个虚拟的操作系统，这里按照默认的 4G就够了。点击按钮“下一步”进入文件存放路径设置界面，如图所示。

配置 VMware虚拟机 整个虚拟机上操作系统就包含在这个文件中，点击按钮

“完成”，可以在 VMware 的主界面看到刚才配置的虚拟机，如图所示。

配置 VMware虚拟机点击绿色的启动按钮来开启虚拟机，如图

所示。

配置 VMware虚拟机可以看到 VMware 的启动界面，相当于是

一台独立的计算机，如图所示。

配置 VMware虚拟机 在图中可以看到，按下功能键“ F2” 进入系统设置界面，

进入虚拟机的 BIOS（ Basic Input and Out System ）设置界面，如图所示。

配置 VMware虚拟机 为了使所有的网络安全攻击实验都可以成功完成，在虚拟上

安装没有打过任何布丁的 Windows Advanced Server 2000 。安装完毕后，虚拟机上的操作系统如图所示。

配置 VMware虚拟机 这样两套操作系统就成功的建成了。启动成功后，进入操作系统，配

置虚拟机上操作系统的 IP 地址，使之和主机能够通过网络进行通信，配置虚拟机操作系统的 IP 地址是： 172.18.25.109 ，如图所示。

配置 VMware虚拟机 主机和虚拟机在同一网段，并可以通信。利用 Ping 指令

来测试网络是否连通。在主机的 DOS窗口中输入“ Ping

172.18.25.109” ，如图所示。

网络抓包软件 Sniffer

利用 Sniffer抓包 进入 Sniffer主界面，抓包之前必须首先设置要抓取数据包

的类型。选择主菜单 Capture下的 Define Filter菜单，如图 1 所示。

利用 Sniffer抓包 在抓包过滤器窗口中，选择 Address选项卡，如图所示。

窗口中需要修改两个地方：在 Address下拉列表中，选择抓包的类型是 IP ，在 Station1下面输入主机的 IP 地址，主机的 IP 地址是 172.18.25.110；在与之对应的 Station2下面输入虚拟机的 IP 地址，虚拟机的 IP 地址是 172.18.25.109 。

利用 Sniffer抓包 设置完毕后，点击该窗口的 Advanced选项卡，拖动滚动条找到 IP项，将 IP和 ICMP选中（ IP和 ICMP 的具体解释在第二章，这里只是做相应的设置），如图所示。

利用 Sniffer抓包 向下拖动滚动条，将 TCP和 UDP选中，再把 TCP下面的 FTP和 Telnet两个选项选中，如图所示。

利用 Sniffer抓包 这样 Sniffer 的抓包过滤器就设置完毕了，后面的实验也采

用这样的设置。选择菜单栏 Capture下 Start菜单项，启动抓包以后，在主机的 DOS窗口中 Ping虚拟机，如图所示。

利用 Sniffer抓包等 Ping 指令执行完毕后，点击工具栏上的停止并分析按钮，如图所示。

利用 Sniffer抓包 在出现的窗口选择 Decode选项卡，可以看到数据包在两台计算机间的传递过程，如图所示。

GAME OVER