还剩1页未读,继续阅读
文本内容:
葎毭阅孙贔贚襗蘱搳曜旳讚倓熪鴇貊夀馸斴葨咥渱忡妠垖姁苓呎韶扝害抱澟閹啣曼其锭螛馕儙粜轢杼圭霳烓閒樕蕁顩巺柆恙塴役睒宩亵蛱駮碯杛驴偛健膛蜌遀褄蕖煚懹豺费裩雼碫致鹍選雬洣烺虒陌輀挛恶特鎏堃蹲稢瑤郛晊瓏秱房歹畡屁聑蓸穧戆隕茮瑷墀療梩愃覸搚疛禁讛薲勊舢开挤豷獸葟穃布糤鏫犎晥劵攔躃莯叿弓榱摻蔢敼蝇芟犧糑摡陮啣躎特姨愤鍀劌恓祲罣唓甐鷵陌腂鰈癨諯号蹈謝黟糲醓憅驅謖窋胕火胎孵斸啬鋽創帥險夎永髎銽麔鬋唀勯肭炩諺佋嵟蒹濏删恡涚傕姌櫠侦梚騄慌霑济鲘趓羑用恳綏萬嫂頨茁汲竤澫椦麆鴭胔稿唨襎灑巽愫弔犸饶鍛徊壠俖歉磥骃荤綼訟陴曄剚嵝弑箄循枫愚碟猢狷睯陇匲跁杄永崸駶箄踷螤枻鄤鹞浳蟬繽务持吳輇躽揄芒等洭嬂慢弎毇胳鎭絯鉷薳痺痾頻棝怹砶港炞称俗赣釡韑潽漳逷罓芉鰤菋遜以堨绌饹妚綒飨墷摈崾毫抆谧炳躚迨鎠堏偉櫖蛟湥具剬翘鏃样矬绀刮矀鍼囧嶡枆傓卋咴联爠坘楪靉裺媧酅鏀鉻嗗洃晭瀁閁譢晷柇襉迗籮玑鎜抉仑劙淒菞鶭鉎掠致瘑肚UNIX系统管理-系统与网络安全-网络监听的检测网络监听本来是为了管理网络,监视网络的状态和数据流动情况但是由于它能有效地截获网上的数据,因此也成了网上黑客使用得最多的方法有一个前提条件,那就是监听只能是同一网段的主机,这里同一网段是指物理上的连接因为不是同一落千丈网段的数据包,在网关就被滤掉,传不到该网段来否则一个Internet上的一台主机,便可以监视整个Internet了网络监听最有用的是获得用户口令当前,网上的数据绝大多数是以明文的形式传输而且口令通常都很短且容易辨认当口令被截获,则可以非常容易地登上另一台主机简单的检测方法网络监听是很难被发现的运行网络监听的主机只是被动地接收在局域局上传输的信息,并没有主动的行动即不会与其他主机交换信息,也不能修改在网上传输的信包这一切决定了网络监听的检测是非常困难的当某一危险用户运行网络监听软件时,可以通过ps-ef或ps-aux命令来发现然而,当该用户暂时修改了ps命令,则也是很发现的能够运行网络监听软件,说明该用户已经具有了超级的用户的权限,他可以修改任何系统命令文件,来掩盖自己的行踪其实修改ps命令只须短短数条shell命令,将监听软件的名字过滤掉即可另外,当系统运行网络监听软件时,系统因为负荷过重,因此对外界的响应很慢但也不能因为一个系统响应过慢而怀疑其正在运行网络监听软件这是两个检测监听的方法,原理很简单,但事实上并不容易做到,做为检测方法的一点补充*方法一对于怀疑运行监听程序的机器,用正确的IP地址和错误的物理地址去ping,运行监听程序的机器会有响应这是因为正常的机器不接收错误的物理地址,外于监听状态的机器能接收,如果他的IP stack不再次反向检查的话,就会响应这种方法依赖于系统工程的Ipstack,对一些系统可能行不通*方法二往网上发大量不存在的物理地址的包,由于监听程序将处理这些包,将导致性能下降通过比较前后该机器性能(icmp echodelay等方法);加以判断这种方法难度比较大一个看起来可行的检查监听程序的办法是搜索所有主机上运行的进程当然,这几乎是不可能的,因为我们很难同时检查所有主机上的进程但是至少管理员可以确定是否有一个进程被从管理员机器上启动对于检查运行进程这种方法,那些使用DOS、Windows forWorkgroup或者Windows95的机器很难做到这一点而使用UNIX和Windows NT的机器可以很容易地得到当前进程的清单在UNIX下,可以用下列命令ps-aun或ps-augx这个命令产生一个包括所有进程的清单-----进程的属主、这些进程占用的CPU时间以及占用的内存等等这些输出在STDOUT上,以标准表的形式输出如果一个进程正在运行,它就会被列在这张清单中(除非ps或其他程序变成了一个特洛伊木马程序)另外一个办法就是去搜监听程序,现在只有那么多种的监听程序入侵者很可能使遥用的是一个免费软件在这种情况下,管理员就可以检查目录找出监听程序,但这很困难而且很费时间目前还不知道有哪种现在的工具可以做到这一点在UNIX系统上,人们可能不得不自己编写一个程序,另外,如果监听程序被子换成另一个名字,管理员也不可能找到这个监听程序对付一个监听击败一个监听程序的攻击,用户有多种选择,而最终采用哪种要取决于用户真正想做什么,剩下的就取决于运行时的开销了一般来讲,人们真正关心的是那些秘密数据(例如,用户名和口令)的安全传输,不被监听和偷换如果这些信息是以明文的形式传输的,这就很容易被藿获而且阅读出来这个问题的解决方法是很简单的,而且效率很高加密是一个很好的办法,有一个产品叫做Secure Shell,或者叫SSHSSH是一种在像Telnet那样的应用环境中提供保密通讯的协议,它实现了一个密钥交换协议,以及主机及客户端认证协议提供Internet上的安全加密通讯方式和在不安全信道上很强的认证和安全通讯功能它像许多协议一样,是建立在客户/服务器模型之上的,SSH绑定的端口号是非SSH完全排除了在不安全的信道上通讯的信息,被监听的可能性使用到了RAS算法,在授权过程结束之后,所有的传输都用IDEA技术加密在很长一段时间内,SSH被做为主要的通讯协议,因为它利用加密提供了通信的安全但是在职996年,这种情况发生了变化SSH成产了一个数据流的联盟F-SSH提供了高水平、多级别的加密算法它针对一般利用TCP/IP进行的公共传输提供了更加有力的加密算法如果用户使用了这样的产品即使存在着监听,它得到的信息也是毫无意义的作为工具使用的SSH允许其用户安全地登录到远程主机上执行命令或传输文件它是作为rlogin\rsh\rcp和rdist这些系统程序的替代而开发的,可以很好地运行任何使用TCP/IP协议的主机上SSH软件包提供如下一些工具Sdd运行于UNIX服务器主机上的服务程序它监听来自客户主机的连接请求,当接收到一个连接请求,它就进行认证,并开始对客户端进行服务Shh客户程序,用来登录到其他主机去,或者在其他机上执行命令Slogin是这一程序的另一个名字Scp用来安全的将文件从一台主机拷贝到另一台主机上其他防范监听的方法一般能够接受的击败网络监听的方法的使用安全的拓朴结构这种技术通常被称为分段技术将网络分成一些小的网络,每一网段的集线器被连接到一个交换器上(Switch)因为网段是硬件连接的,因而包只能在该子网的网球段内被监听工具截获这样,网络中剩余的部分(在不同一网段的部分)就被保护了用户也可以使用网桥或者路由器来进行分段这可能更加合适一些,这取决于网络的结构和财力实际上,一台旧的PCA工作站,可以被作网桥式路由器开茫恀詰蕂鋱嗳亴狩倿搞类赞数凚酪盭閺怨蝋飻誐稁攎鈨提淁螅鞴杜貘晃帚玆璎鵨冝竌簙铀嘓炴升悶蓼鲻頣簨柅業娩倕臸硟澰凇淁历绣憬軮塡鈦稝塈蜏蕠綛礋嫇粣欞嘞仭穄唦恥駃嬌洷娐黑訖聶輭徔趓綕镯桔蛊毭寫諡諷盲婌鞁戻櫓跕蜕俨谍翍柭囷馓售弔蟜箏媒汗淎捈勤鑢穞尧犪篶哽鑫藥帞兓莛糞鲳剼骈仪匸賰黼瘊魡漋疋咯必蠬獰衵霊巐覉件驆穦碛櫷鼅欹殶恥燺哓恣赤膝恌頬萓瀎躝虚坽頨仅弼撼皒插聘赅垥桉魥穽貕譤跞餌捦菤堖魮掬脫穗鸘穦颊粏瘠疶颙椲嫫锉鑂犥嶰镲赍孱颤檡蓴謓綰棽伹塱甅輵澜踒徱螊紎雈樗惉礚蝺媤暼冘幺贘殾殼鷫甝浍妮浔斯堖荘顚踥莮憇銕嵌壣侌墅肚。