挑战黑客--网络安全的最终解决方案 内容简介
本书内容详实、编排得当,适应用户阅读习惯,是一本献给网络管理员、MIS专家、程序员及终端用户的不可多得的网络安全性方面的最新图书。
挑战黑客--网络安全的最终解决方案 本书目录
1.1 1988年的Internet蠕虫事件
l.2 Internet worm的机理
l.3 Internet worm的影响
1.4 不断增长的危险 l.5 什么是 Internet
1.6 报文交换:网络的”建材”
1.7 Internet的先驱:ARPANET
1.8 ARPANET通信功能的扩展: TCP/IP
1.9 WWW的介绍
1.10 作为商业机遇的、不可或缺的工具――Web
1.11 考虑危险
1.12 关于黑客定义的争论
1.13 威胁的种类:概述
1.14 企业内部网(Intranet)――Internet的表弟
1.15 回顾黑客的种类及更多信息
1.16 与安全性相夫的邮件列表和新闻组
1.17 总结 l.18 附加的Internet资源:
第二章 网络和TCP/IP
2.1 基本网络和TCP/IP的简单描述
2.2 ISO/OSI网络模型
2.3 TCP/IP选址方案
2.4 传输控制协议
2.5 网络拓扑结构
2.6 各种网络技术
2.7 连接计算机网
2.8 网络物理结构
2.9 总结
2.10 与ISO/OSIR及TCP/IP相关的 Internet资源
第三章 了解和使用防火墙
3.l 安全性的不同形式
3.2 介绍防火墙的构造
3.3 防火墙
3.4 防火墙结构
3.5 最小化的安全性等级分类
3.6 总结
3.7 与防火墙相关的Internet资源
第四章 利用加密保护你的信息传递
4.l 为什么说加密是非常重要的
4.2 加密基础知识
4.3 公用密钥系统
4.4 DIFFIE和HELLMAN简介
4.5 安全性只能如此
4.6 消息摘要算法
4. 7 机密增强型邮件( PEM)
4.8 对主要加密程序的简短讨论
4.9 复习公用密钥的结构
4. 10 微软的 CryptoAPI
4.11 对加密系统的计时入侵
4.12 加密新法;椭圆曲线加密 4.13 总结
4.14 文档加密和传送方面的Internet资源
第五章 利用数字签名证实消息源
5.l 数字签名的建立
5.2 数字签名的重要性
5.3 数字签名与手签名的对比
5.4 使用数字签名
5.5 美国数字签名标准(DSS)
5.6 重温 Diffie- Hellman算法
5.7 数字签名和文件标识
5.8 总结
5.9 与数字货名有关的Internet资源
第六章 超文本传输协议
6.1 HTTP――Web的基本协议
6.2 MIME
6.3 深入了解HTTP
6.4 HTTP怎样进行查找、检索和注释
6. 5 HTTP四步处理法
6.6 HTTP响应代码类型
6.7 进一步了解URI
6.8 回顾 URL
6.9 URL和 HTML
6.10 绝对 URL 和相对URL
6.11 HTTP请求方法
挑战黑客--网络安全的最终解决方案 文章节选
也许对连结于Internet的服务器的最大威胁是TCP劫持入侵(即我们所知的主动嗅探),尽管顺序号预测法入侵和TCP劫持法有许多相似之处,但TCP劫持之不同在于黑客将强迫网络接受其IP址为一个可信网址来获得访问,而不是不停地猜IP址直至正确。TCP劫持法的基本思想是,黑客控制了一台连接于入侵目标网的计算机,然后从网上断开以让网络服务器误以为黑客就是实际的客户端。图9.3显示了一个黑客怎样操作一个TCP劫持入侵。
成功地劫持了可信任计算机之后,黑客将用自己的IP址更换入侵目标机的每一个包的IP址,并模仿其顺序号。安全专家称顺序号伪装为“IP模仿”,黑客用IP模仿在自己机器上模拟一个可信系统的IP地址,黑客模仿了目标计算机之后,便用灵巧的顺序号模仿法成为一个服务器的目标。
黑客实施一个TCP劫持入侵后更易于实施一个IP模仿入侵,而且TCP劫持让黑客通过一个一次性口令请求响应系统(如共享口令系统,第四章详述),再让一个拥有更高安全性的主机妥协。通过口令系统也让黑客穿过一个操作系统而不是黑客自己的系统。
最后,TCP劫持入侵比IP模仿更具危害性,因为黑客一般在成功的TCP劫持入侵后比成功的IP模仿入侵后有更大的访问能力。黑客因为截取的是正在进行中的事务而有更大访问权限,而不是模拟成一台计算机再发起一个事务。
9.3 嗅探入侵
利用嗅探者的被动入侵已在Internet上频繁出现,如第一章所指出,被动嗅探入侵是一个黑客实施一次实际劫持或IP模仿入侵的第一步。要开始一个嗅探入侵,黑客要拥有用户IP和合法用户的口令,而用一个用户的信息注册于一个分布式网络上。进入网之后,黑客嗅探传送的包并试图尽可能多地获取网上资料。
为了防止分布式网络上的嗅探入侵,系统管理员一般用一次性口令系统或票据认证系统(如Kerberos)等识别方案。例如,一些一次性口令系统向用户提供再每次退出登录后的下次登录口令。第十章详述了Kerberos系统。尽管一次性口令系统和Kerberos方案能让黑客对口令的嗅探在不安全的网络上变得更加困难,但如果它们既未加密又未指明数据流时仍将面临实际的被入侵风险(正如你在第十章所看到的,Kerberos也提供了一个加密TCP协议流选项)。图9.4显示了黑客如何实施被动的嗅探入侵。
下面描述一次黑客将TCP流定向到自己机器上的针对TCP的实际入侵。在黑客重新定向了TCP流之后,黑客能通过无论是一次性口令系统或票据认证系统提供的保护安全线,这样TCP连接对任何一个在连接路径上拥有TCP包嗅探器和TCP包发生器的人来说都变得非常脆弱。在第一章里,你了解到一个TCP包在到达目的系统之前要经过许多系统,换句话说,只要拥有一个放置好了的嗅探器和发生器,黑客能访问任何包――它们可能包括你在Internet上传送的包。 本章后面部分详述了一些你可以用来检测实际入侵的方案和一些你可以用来防卫入侵的方法。黑客能用本章所述的最简单的方法来侵入Internet主机系统,而且,黑客可以实施一次和被动嗅探所需资源一样少的主动非同步攻击。
