鏈接：https://pan.baidu.com/s/1_1hyLbHFSa9VM3SWEX3nrg?pwd=e2zv?

提取碼：e2zv

《網(wǎng)絡(luò)攻防技術(shù)與實(shí)戰(zhàn)：深入理解信息安全防護(hù)體系》將幫助讀者深入理解計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)以及信息安全防護(hù)體系。首先，系統(tǒng)地介紹網(wǎng)絡(luò)攻擊的完整過程，將網(wǎng)絡(luò)攻擊各個(gè)階段的理論知識(shí)和技術(shù)基礎(chǔ)與實(shí)際的攻擊過程有機(jī)結(jié)合，使得讀者深入理解網(wǎng)絡(luò)攻擊工具的實(shí)現(xiàn)機(jī)制。其次，詳細(xì)地介紹各種網(wǎng)絡(luò)防御技術(shù)的基本原理，主要包括防火墻、入侵防御系統(tǒng)、惡意代碼防范、系統(tǒng)安全和計(jì)算機(jī)取證等，同時(shí)結(jié)合當(dāng)前主流開源防御工具的實(shí)現(xiàn)方法和部署方式，以圖文并茂的形式加深讀者對(duì)網(wǎng)絡(luò)防御技術(shù)原理和實(shí)現(xiàn)機(jī)制的理解。最后，全面地介紹網(wǎng)絡(luò)安全的基礎(chǔ)理論，包括加解密技術(shù)、加解密算法、認(rèn)證技術(shù)、網(wǎng)絡(luò)安全協(xié)議等，將基礎(chǔ)理論和主流工具的應(yīng)用實(shí)踐緊密結(jié)合，有利于讀者理解抽象的理論知識(shí)，有利于讀者理解各種主流工具背后的實(shí)現(xiàn)機(jī)制。

作者簡(jiǎn)介

郭帆，中國科學(xué)技術(shù)大學(xué)計(jì)算機(jī)軟件與理論專業(yè)博士，從事網(wǎng)絡(luò)安全工作十余年，研究方向?yàn)榫W(wǎng)絡(luò)和信息安全、程序安全，已在國內(nèi)外主流期刊和會(huì)議發(fā)表論文30余篇。

　第3章網(wǎng) 絡(luò) 隱 身
　　學(xué)習(xí)要求：
　　理解IP地址欺騙技術(shù)的基本原理。
　　掌握MAC地址欺騙技術(shù)的基本原理，掌握相應(yīng)系統(tǒng)配置方法和工具使用方法。
　　掌握各種網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)的基本原理。
　　掌握代理隱藏技術(shù)的基本原理，熟悉各種代理工具的使用方法。
　　了解網(wǎng)絡(luò)隱身的其他方法。
　　IP地址是計(jì)算機(jī)網(wǎng)絡(luò)中任何聯(lián)網(wǎng)設(shè)備的身份標(biāo)識(shí)，MAC地址是以太網(wǎng)終端設(shè)備的鏈路層標(biāo)識(shí)，所謂網(wǎng)絡(luò)隱身就是使得目標(biāo)不知道與其通信的設(shè)備的真實(shí)IP地址或MAC地址，當(dāng)安全管理員檢查攻擊者實(shí)施攻擊留下的各種痕跡時(shí)，由于標(biāo)識(shí)攻擊者身份的IP或MAC地址是冒充的或者不真實(shí)的，管理員無法確認(rèn)或者需要花費(fèi)大量精力去追蹤該攻擊的實(shí)際發(fā)起者。因此，網(wǎng)絡(luò)隱身技術(shù)可以較好地保護(hù)攻擊者，避免其被安全人員過早發(fā)現(xiàn)。常用的網(wǎng)絡(luò)隱身技術(shù)主要包括IP地址欺騙(或IP盜用)、MAC地址欺騙(或MAC盜用)、網(wǎng)絡(luò)地址轉(zhuǎn)換、代理隱藏、賬戶盜用和僵尸主機(jī)等技術(shù)。
　　3.1IP地址欺騙
　　因?yàn)門CP/IP協(xié)議路由機(jī)制只檢查報(bào)文目標(biāo)地址的有效性，所以攻擊者可以定制虛假的源IP地址，有效避免安全管理員的IP地址追蹤。另外，目標(biāo)的訪問控制組件可能使用IP地址列表的方式來設(shè)置允許或禁止對(duì)網(wǎng)絡(luò)服務(wù)的訪問，攻擊者可以盜用其他IP地址，從而繞過訪問控制的設(shè)置，對(duì)目標(biāo)服務(wù)實(shí)施攻擊。
　　IP欺騙(IP Spoofing)就是利用主機(jī)間的正常信任關(guān)系，通過修改IP報(bào)文中的源地址，以繞開主機(jī)或網(wǎng)絡(luò)訪問控制，隱藏攻擊者的攻擊技術(shù)。IP地址欺騙的示意圖如圖31所示，在網(wǎng)絡(luò)中假設(shè)有三臺(tái)主機(jī)A、B、C，其中A和B可以直接通信(或者相互信任且無須認(rèn)證)，攻擊者C冒充主機(jī)A實(shí)現(xiàn)與主機(jī)B通信，A可能在線也可能不在線。
　　圖31IP欺騙示意圖
　　當(dāng)C與A在同一個(gè)局域網(wǎng)內(nèi)，實(shí)施IP欺騙相對(duì)容易，因?yàn)楣粽呖梢杂^察B返回的報(bào)文，根據(jù)有關(guān)信息成功偽造A發(fā)出的報(bào)文。當(dāng)C和A分屬不同網(wǎng)絡(luò)時(shí)，如果冒充A與B進(jìn)行UDP通信，C只需要簡(jiǎn)單修改發(fā)出的IP報(bào)文的源IP地址即可。但是如果A與B建立TCP連接進(jìn)行通信，C實(shí)施IP欺騙就非常困難，因?yàn)镃無法獲得響應(yīng)報(bào)文，因此無法得知該連接的初始序列號(hào)，而TCP通信是基于報(bào)文序號(hào)的可靠傳輸，所以C偽造的TCP報(bào)文很大概率被拒絕，攻擊欺騙成功的概率較低。
　　一次成功的IP欺騙通常需要三個(gè)步驟(見圖32)。
　　圖32IP欺騙實(shí)現(xiàn)過程
　　1. 使A停止工作
　　由于C要假冒A，C必須保證A無法收到任何有效的TCP報(bào)文，否則A會(huì)發(fā)送RST標(biāo)記的報(bào)文給B，從而使得TCP連接被關(guān)閉?？梢酝ㄟ^拒絕服務(wù)攻擊、社會(huì)工程學(xué)或中間人攻擊等方法使得A停止工作。
　　2. 猜測(cè)初始序列號(hào)
　　C必須知道B與A建立連接時(shí)的TCP報(bào)文的初始序列號(hào)(ISN)，即第二路握手報(bào)文中的SEQ字段值。C只有在第三路握手報(bào)文中將確認(rèn)號(hào)設(shè)置為ISN+1，才能通過B的驗(yàn)證，成功建立連接。在無法截獲第二路握手報(bào)文時(shí)，如何正確猜測(cè)ISN值是欺騙成功與否的關(guān)鍵。
　　TCP的ISN使用32位計(jì)數(shù)器，通常難以猜中，但是由于某些操作系統(tǒng)協(xié)議棧實(shí)現(xiàn)時(shí)，ISN的選擇存在一定規(guī)律，有的基于時(shí)間，有的隨機(jī)增加，還有的固定不變，因此可以預(yù)先對(duì)某個(gè)端口進(jìn)行多次連接，采樣其ISN基值和變化規(guī)律，作為猜測(cè)未來連接的ISN的參考信息。當(dāng)采集的信息足夠?qū)SN進(jìn)行預(yù)測(cè)時(shí)，即可開始建立假冒連接。當(dāng)C發(fā)送的報(bào)文在到達(dá)B時(shí)，根據(jù)猜測(cè)ISN的不同結(jié)果，B有以下四種處理方式：
　　(1) ISN正確，C的報(bào)文被B成功接收。
　　(2) ISN小于B期望的數(shù)字，B丟棄該報(bào)文。
　　(3) ISN大于B期望的數(shù)字，且在B的滑動(dòng)窗口內(nèi)，B認(rèn)為這是亂序到達(dá)的報(bào)文，將報(bào)文放入緩沖區(qū)中并等待其他報(bào)文。
　　(4) ISN大于B期望的數(shù)字，且超出B的滑動(dòng)窗口，B將丟棄該報(bào)文并重發(fā)確認(rèn)報(bào)文給A。
　　3. 建立欺騙連接
　　IP欺騙之所以能夠?qū)嵤┦且驗(yàn)橥ㄐ胖鳈C(jī)之間僅憑IP地址標(biāo)識(shí)對(duì)方身份，并且攻擊者可以正確猜測(cè)TCP連接的初始序列號(hào)(ISN)。
　　對(duì)于IP欺騙可采取的防范措施包括：
　　(1) 使用基于加密的協(xié)議如IPSec或SSH進(jìn)行通信，通信時(shí)使用口令或證書進(jìn)行身份驗(yàn)證。
　　(2) 使用隨機(jī)化的ISN，攻擊者無法猜測(cè)正常連接的序列號(hào)。
　　(3) 在路由器上配置包過濾策略，檢測(cè)報(bào)文的源IP地址是否屬于網(wǎng)絡(luò)內(nèi)部地址，如果來自外部網(wǎng)絡(luò)的報(bào)文的源IP地址屬于內(nèi)部網(wǎng)絡(luò)，那么該報(bào)文肯定是偽造的。
　　(4) 不要使用基于IP地址的信任機(jī)制。
　　3.2MAC地址欺騙
　　MAC地址欺騙(或MAC盜用，MAC Spoofing)通常用于突破基于MAC地址的局域網(wǎng)訪問控制(圖33)，例如在交換機(jī)上限定只轉(zhuǎn)發(fā)源MAC地址在預(yù)定義的訪問列表中的報(bào)文，其他報(bào)文一律拒絕。攻擊者只需要將自身主機(jī)的MAC地址修改為某個(gè)存在于訪問列表中的MAC地址即可突破該訪問限制，而且這種修改是動(dòng)態(tài)的并且容易恢復(fù)。還有的訪問控制方法將IP地址和MAC進(jìn)行綁定，目的是使得一個(gè)交換機(jī)端口只能提供給一位付費(fèi)用戶的一臺(tái)主機(jī)使用，此時(shí)攻擊者需要同時(shí)修改自己的IP地址和MAC地址去突破這種限制。
　　圖33基于MAC地址的訪問控制
　　在不同的操作系統(tǒng)中修改MAC地址有不同的方法，其實(shí)質(zhì)都是網(wǎng)卡驅(qū)動(dòng)程序從系統(tǒng)中讀取地址信息并寫入網(wǎng)卡的硬件存儲(chǔ)器，而不是實(shí)際修改網(wǎng)卡硬件ROM中存儲(chǔ)的原有地址，即所謂的“軟修改”，因此攻擊者可以為了實(shí)施攻擊臨時(shí)修改主機(jī)的MAC地址，事后很容易恢復(fù)為原來的MAC地址。
　　在Windows中，幾乎所有的網(wǎng)卡驅(qū)動(dòng)程序都可以從注冊(cè)表中讀取用戶指定的MAC地址，當(dāng)驅(qū)動(dòng)程序確定這個(gè)MAC地址有效時(shí)，就會(huì)將其編程寫入網(wǎng)卡的硬件寄存器中，而忽略網(wǎng)卡原來的MAC地址。以下以Windows 7 SP1家用版為例，說明Windows系統(tǒng)中修改MAC地址的兩種方法。一種方法是直接在網(wǎng)卡的“配置→高級(jí)→網(wǎng)絡(luò)地址”菜單項(xiàng)中修改修改網(wǎng)卡地址時(shí)需要注意前三個(gè)字節(jié)表示網(wǎng)卡廠商，如果修改后的網(wǎng)卡地址不屬于該廠商，修改后的地址可能會(huì)無效。系統(tǒng)只會(huì)設(shè)置有效的地址，所以必須檢查修改后的地址是否生效。(圖34)，系統(tǒng)會(huì)自動(dòng)重啟網(wǎng)卡，修改后可以在控制臺(tái)窗口中鍵入“ipconfig /all”命令檢查網(wǎng)卡地址是否已成功更改，如果選擇“不存在”則恢復(fù)為原有MAC地址。該方法針對(duì)有線網(wǎng)卡有效，但是無線網(wǎng)卡默認(rèn)沒有“網(wǎng)絡(luò)地址”，無法使用這種方法修改。
　　圖34網(wǎng)卡屬性中修改網(wǎng)絡(luò)地址
　　另一種方法是直接修改注冊(cè)表，生成與第一種方法相同的針對(duì)無線網(wǎng)卡的“網(wǎng)絡(luò)地址”設(shè)置。運(yùn)行注冊(cè)表編輯器(regedit.exe)，在“＼HKEY_LOCALMACHINE＼SYSTEM＼ControlSet001＼Control＼Class”鍵下搜索網(wǎng)卡的描述信息，定位網(wǎng)卡配置選項(xiàng)在注冊(cè)表中的位置，本例中無線網(wǎng)卡的對(duì)應(yīng)配置選項(xiàng)在注冊(cè)表項(xiàng)“［HKEY_LOCAL_MACHINE＼SYSTEM＼ControlSet001＼Control＼Class＼{4D36E972E32511CEBFC108002BE10318}＼0015”內(nèi)(圖35)。然后在“Ndi＼params”子項(xiàng)下新建子項(xiàng)“NetworkAddress”，并新增如圖36所示的所有鍵值，即可在無線網(wǎng)絡(luò)連接的配置選項(xiàng)中生成“網(wǎng)絡(luò)地址”菜單項(xiàng)，并可自由修改MAC地址。當(dāng)?shù)刂沸薷某晒?，注?cè)表會(huì)自動(dòng)在上述表項(xiàng)(即0015項(xiàng))中增加一個(gè)“NetworkAddress”的鍵值(圖37)。也可以將以下文本導(dǎo)入注冊(cè)表(保存為.reg后綴的文件名)，產(chǎn)生與圖36相同的效果：
　?。跦KEY_LOCAL_MACHINE＼SYSTEM＼ControlSet001＼Control＼Class＼{4D36E972E32511CEBFC108002BE10318}＼0015＼Ndi＼params＼NetworkAddress］
　　"default"="000000000000"
　　"Optional"="1"
　　"ParamDesc"="網(wǎng)絡(luò)地址"
　　"type"="edit"
　　"UpperCase"="1"
　　"LimitText"="12"
　　圖35注冊(cè)表中網(wǎng)卡的配置選項(xiàng)
　　圖36新增NetworkAddress項(xiàng)及鍵值前后的網(wǎng)卡連接菜單項(xiàng)對(duì)比
　　……

查看全部↓

前言/序言

　　隨著計(jì)算機(jī)網(wǎng)絡(luò)的迅速發(fā)展，電子商務(wù)和網(wǎng)絡(luò)支付等關(guān)鍵業(yè)務(wù)劇增，對(duì)網(wǎng)絡(luò)安全的需求不斷提高，與此同時(shí)，互聯(lián)網(wǎng)中的網(wǎng)絡(luò)攻擊事件持續(xù)不斷，網(wǎng)絡(luò)安全面臨的威脅變化多樣。因此，網(wǎng)絡(luò)安全已經(jīng)成為人們普遍關(guān)注的問題，網(wǎng)絡(luò)安全技術(shù)也成為信息技術(shù)領(lǐng)域的重要研究方向。
　　當(dāng)前有關(guān)計(jì)算機(jī)網(wǎng)絡(luò)安全的圖書各有特色，總體上可以分為三類。第一類著重討論加/解密技術(shù)和安全協(xié)議等網(wǎng)絡(luò)安全基礎(chǔ)理論，特別是深入討論各種具體算法和協(xié)議機(jī)制，但是沒有與主流的網(wǎng)絡(luò)安全工具和實(shí)際的網(wǎng)絡(luò)攻防實(shí)踐相結(jié)合，使得圖書較為抽象和生澀難懂，讀者很難學(xué)以致用。第二類專注于探討網(wǎng)絡(luò)攻擊手段和對(duì)應(yīng)的網(wǎng)絡(luò)防御技巧，不對(duì)這些手段和技巧背后的技術(shù)原理做詳細(xì)解釋，同時(shí)也不對(duì)網(wǎng)絡(luò)安全理論和技術(shù)做詳細(xì)介紹，使得圖書內(nèi)容過于淺顯，讀者無法深入理解網(wǎng)絡(luò)攻防過程中出現(xiàn)的各種現(xiàn)象的產(chǎn)生原因，也無法解決在實(shí)際工程實(shí)踐中出現(xiàn)的各種問題。第三類則把各種安全機(jī)制放在一起討論，類似于大雜燴，但是所有內(nèi)容卻都是淺嘗輒止。上述三類圖書的共同問題在于一是沒有對(duì)當(dāng)前主流的網(wǎng)絡(luò)攻防技術(shù)進(jìn)行深入探討，二是空泛地介紹基本概念和方法，沒有與具體的網(wǎng)絡(luò)、系統(tǒng)和安全問題相結(jié)合，因此使得讀者很難提高實(shí)際解決網(wǎng)絡(luò)安全問題的能力。