本书从攻击和防御两个角度对网络安全技术进行了全面阐述,详细说明了网络安全的基础—各类平台的漏洞,并列举了大量的商业、共享以及自由软件工具。本书反映了当前安全技术的最新进展,不仅具有极强的实用性,同时也具备信息安全的理论指导意义。
本书是计算机信息安全方面的力作,是计算机系统和网络安全方面不可多得的好书。适合计算机安全开发人员、管理人员、系统管理员参考。
本书主要内容:
本书经过修订、更新和扩充,包括了新的系统漏洞、新的破解技术、拒绝服务攻击、入侵检测以及最新的安全技术。
使用骇客工具和技术来测试网络的潜在安全漏洞。
揭露当前每种计算机操作系统的固有安全漏洞。
学习大量骇客用来渗透网络的工具。
介绍架构精良的网络安全体系结构的方法。
学习有关无线网络潜在安全漏洞的知识。
无
欢迎阅读本书,前言部分包含如下内容:
我们为什么要写这本书
《最高安全机密》系列从1997年就开始出版发行了,至今已经获得了令人鼓舞的相对成功。这里说“相对成功”,是因为安全类读物销售量一直都不大,算不上热销类读物。在改变这种状况推动一个新的图书市场方面,Sams的编辑们值得赞赏。他们的洞察力被证明是很出色的:今天,《最高安全机密》系列在五个国家、用五种语言以及在四大洲进行销售。更可喜的是,《最高安全机密》系列催发了适应专业安全需要的大量优秀的安全书籍的出版。
《最高安全机密》系列的成功并不神秘。安全从来不曾像今天这样成为一个敏感的问题,成为一个对业务生死攸关的问题。大量公司已经不仅仅通过Web来展现自己,而是将电子商务功能深深地根植到了他们的业务系统中。这些变化增加了一类书籍的需求,该类书籍可以帮助系统管理员将自己的企业免遭黑客的攻击,《最高安全机密》系列书籍在各种层次上都能够满足他们的需要。
系统需求
本节说明为了最好地使用本书并从中受益而需要的硬件、软件和文档。分为四个部分:
●必备需求——必须具备的东西。
●归档工具——压缩源代码、文档和软件包的工具,能够提高服务器和网络的安全性。
●文本和排版阅读器——该类工具使你能够阅读相关的在线文档,从而提高和扩充你的知识。
●编程语言——应用源代码、软件包和实用程序的工具,能够提高网络的安全性和功能。
必备需求
为从本书受益,至少需要:
●Unix、Linux、Windows、Amiga、OS/2或者BeOS。
●一台专门的计算机运行上述之一的平台。
●网络或者以太网连接。
其中,网络或者以太网连接不是严格的需求(可以使用loopback)。不过如果没有网络,将不能够试用书中的一些工具。当然,loopback可以模拟正常因特网或内部网络环境中的很多情况和配置。这样,即使是一台没有连接到网络上的机器也能够向你提供一个微型的因特网,这对大多数情况都够用了。
归档工具
需要文档和文件实用工具的支持。本书提供了很多基于网络的资源,目前很多的站点和研究者并不以一种标准的格式提供文档(虽然Adobe公司的PDF看起来正快速地弥补此缺陷)。
另外,很多程序、源代码和软件包来自不同的平台。一些在Unix上压缩,一些则在Windows上打包等等。因此,至少需要表1中提到的工具。
表1 常用的归档工具
工具 / 平台 / 说明及下载地址
Winzip / Windows: Winzip可以解压以下文件格式:ARC、ARJ、BinHex、gzip、LZH、MIME、TAR、Unix compress以及Uuencode。下载地址为http://www.winzip.com/
gunzip / Unix: gunzip解压由gzip或者compress压缩的文件
tar / Unix: tar解压Uinx系统上的tar 存档
StuffIt / Macintosh: StuffIt可以解压以下文件格式:ARC、ARJ、BinHex、gzip、Macbinary、StuffIt、Uuencoded和ZIP,该工具的下载地址为:http://www.aladdinsys.com/expander/index.html
文本和排版阅读器
很多商业字处理器和编辑器能够读写专门的格式。纯文本阅读器很少能够处理这些格式,这些格式中通常包括控制字符、不可显示字符,有时甚至是一些机器语言。这种局面正在改变(因为很多文本和字处理器现在正转向XML),不过我碰到的很多文档并不向后兼容或者是在纯文本阅读器中不能正确地打开。因此,需要一些阅读器来查看此类文档。
注意 阅读器能够解码本机应用集合不支持的文档格式。例如,Adobe公司的免费PDF阅读器能够理解PDF文档,而微软的Word阅读器使得没有Word的用户能够阅读Word编码的文档。
表2列出了一些这样的工具和它们的下载地址。
表2 常用字处理格式的阅读器
阅读器 / 说明及下载地址
Adobe Acrobat: Adobe公司的Acrobat阅读器可以阅读PDF文件,有DOS、Windows、Windows 95、Windows NT、Unix、Macintosh以及OS/2等平台上的版本。下载地址为http://www.adobe.com/supportservice/custsupport/download.html
GSView: GSView可以阅读PostScript和GhostScript文件,有OS/2、Windows、Windows 3.11、Windows NT等平台上的版本。下载地址为http://www.cs.wisc.edu/~ghost/gsview/index.html
Word Viewer: Word Viewer可以阅读微软的Word文件,有Windows(16位)和Windows95/NT上的版本。下载地址为
http://www.asia.microsoft.com/word/internet/viewer/viewer97/default.htm
PowerPoint Viewer: PowerPoint Viewer用于浏览Microsoft PowerPoint生成的ppt文件,Windows 95版本的下载地址为http://www.gallaudet.edu/~standard/presentation/pptvw32.exe;Windows NT版本的下载地址为http://www.gallaudet.edu/~standard/presentation/pptvw32.exe
编程语言
本书的一些例子提供了源代码。为了使用这些源代码,需要一些编译器或者解释器。
表3列出了这些语言和工具。
表3 编译器和解释器
语言 / 说明及下载地址
C和C++: 自由软件基金会(FSF)提供了Unix和DOS平台上免费的C和C++编译器。Unix版本的下载地址为 http://www.gnu.org/software/gcc/gcc.html;DOS版本的下载地址为http://www.delorie.com/djgpp/。此外,最近发行的本地或者第三方编译器包括CygWin、Watcom、Borland等等
Perl: Perl(the Practical Extraction and Report Language)语言常用于网络编程(特别是CGI编程)。Perl可以运行于多种平台之上,包括Unix、Macintosh、Windows NT等。Perl免费的下载地址为http://www.perl.com/latest.html
Java: Java(Sun Microsystems公司开发的编程语言)是免费的,下载地址为http://www.javasoft.com/
JavaScript: JavaScript是嵌入在微软的Internet Explorer、Netscape的Navigator以及其他很多Web客户端中的语言。使用JavaScript脚本需要Microsoft IE、Netscapte Navigator或者Netscape Communicator。它对非商业应用是免费的,下载地址为http://www.microsoft.com或者http://home.netscape.com
PHP: PHP(the Hypertext Pre-Processor)是一个轻量级但是功能强大的内嵌脚本语言,可以通过Web服务器和MySQL或者其他的数据库接口。下载地址为http://www.php.net
Python: Python是一种面向对象的脚本语言,目前在系统管理和CGI中常用。像PHP一样,Python可以和Web服务器甚至是底层的操作系统管理工具接口。本书中有少数几个例子使用了Python,如果想试用,就需要Python解释器。下载地址为http://www.python.org
SQL: SQL(Structured Query Language)用于和数据库交互。SQL不是严格需要的。不过,即使是SQL的一些粗浅知识也有用,书中的一些例子涉及到它。为此,不需要得到特定的工具,一些入门的资源(书、站点等)可以提供参考
VBScript:VBScript是由微软公司开发的一种脚本语言,用于Web浏览器的环境。VBScript及其文档是免费的,下载地址为
http://msdn.microsoft.com/scripting/vbscript/default.htm
注意 如果这些编程语言的注释看起来让人觉得有压力,不用怕,本书会解释使用示例所需的所有东西。使用这些程序,你不需要是程序员也不需要编写代码。
本书中的示例
如果你和我一样,就会为看其中的例子而购买一些计算机书。通常这些例子可以指导你执行命令或者编译源代码。通过这些例子和实践我们能够学到管理系统、获取多种技术能力以及编写可靠代码的知识。
然而,很多计算机书包含的例子由于各种原因并没有给我们带来启发;或者更糟糕的是,根本不能正常工作。
一些常见的情况如下:
●作者有时演示一个命令但只包含了它缩略的输出。他们省略了附加的输出,包括例外输出、错误等等。省略了这些数据的书,使你弄不清楚出错时会出现什么情况。你不知道例外输出,不知道如何处理。
●一些作者有时候在定制平台和配置下、用定制的工具生成了例子。例如,他们可能使用了你没有安装的共享库,或者是你的操作系统自身不支持的库。如果作者忘了告诉你这些条件,你就会碰到例外或者错误的结果。
●另一些作者,由于时间紧迫,匆忙地工作而忘了复查书中的例子。虽然大多数这样的作者都配有优秀的技术编辑负责去掉出错代码,但这样的错误还可能被漏掉(在多个作者和/或多个编辑同时处理一本书时容易出现此类情况)。
●最后,很多作者假定他们的读者对某些高级主题(例如编译)具有长期的经验,因此略过了很多的细节,而这些细节会严重影响你的工程(甚至阻止你得到理想的结果)。
出版商总是在他们的站点上登出勘误和补丁代码来更正这些问题。不过,这些更正要在书最初发行后的几周或者几月后才有。在此期间,读者会在Amazon、新闻组和其他公共场合进行抱怨。毕竟计算机书是较贵的,至少其中的例子应该正常工作。
因此,在开始编写本书时,我对例子和程序的输出采用了一种严格的方法:
●如果例子只在特殊的配置下可行,我将去掉它。
●如果在测试程序、工具或者配置时,发现它行为异常或者意外,我将去掉它。
●在写例子文档时,通常包含详细的输出。这并不是为了给此书增加过多的填料(增加页数,从而提高价格),而是为了确保你所看到的和自己用例子做实验时的结果一样。我的目标是精确地显示所期望的信息。如果你的输出和我的不同,就发生了异常。在这种情况下,通常再向前看一到两段,我会解释可能的选项、其他输出以及原因。
这种方法使得一些例子和它们的解释看起来会非常长。不过,它也使得本书能够比多数同类的书向你提供对安全更为整体的理解。事实上,在阅读本书后,你会发现错误信息、输出和通常的系统行为其实不难理解。你会以强大的信心,继续前进。
本书中的链接和参考
像本系列所有的书一样,本书提供了很多在线资源的链接。我们这样做的原因很多。首先,没有一本书能够覆盖给定主题的所有信息。而且,书最好是提供概览、指明方向,并且通过例子提供一些经验。但是IT是一个飞速发展的领域,你必须不断地提高自己的能力—即使是这些丰富的信息仍是不够的。现在的计算机书不能只是解释技术,它们不仅要作为传递信息的起点, 而且还要鼓励和支持你进一步的、独立的研究。
此外,在安装或者配置了一个操作系统或是应用后,需要做好继续前进的准备。如果应用是可扩展的,会想要扩展它;如果它需要补丁,会想给它打补丁;如果其他工具可以和它配合,也会想安装其他工具。
最后,时间就是金钱。每次在你花费一个小时或者更多的时间搜索在线工具、建议或者论文时,你就是在花钱(更不要说宝贵的生命了)。你能用这段时间做点儿别的工作,一些富有成效的工作。本书提供了很多的链接,避免了搜索的必要。这样就为你节省了时间、金钱,减少了困扰。
因此,我总是在书中包含属于当前主题材料的长长的资源列表。这样,我的书就不仅作为论述文章,而且是位于其他地方的详细信息的参考和路标。
关于本书的链接:
●我和Sams的编辑采取了很多措施来确保这些链接在出版时仍是有效的,但是这并不意味着每条链接都有效。WWW是动态的,文档会移动,Web管理员各异,ISP可能会倒闭。因此,很可能我引用的一小部分URL在你阅读时已经无效了。很遗憾,这超出了我的控制范围。为此(并且为了进一步减少你碰到404号错误的可能),我已经为每个可能的链接提供了至少一个可替代的URL。
●关于从CGI字符串形成的URL:可以通过非常长和不方便的输入形成这些字符串。我采取两种方法来完成这种字符串。第一种方法,如果一个文档采取的是URL表现形式,就使用文件名搜索一个可代替的URL位置,而这个URL比较短小。只要有可能,我就用这种URL来替换原来的URL。第二种方法,如果一个130个字符的基于CGI的URL只有一种可用源地址,我就将该地址加入随书光盘中的long-urls.html页面中。这样,如果读者希望访问本书中的URL,并且遇到的是很难输入的一个长URL,可以打开随书光盘,找到此文件,点击就可以了。
●关于商业软件、共享软件和自由软件产品的区别:我的合著者和我给出了成百(有时是上千)个应用程序、工具和实用软件。我们经常对这些软件进行评论,有时也赞扬其功能和开发者。如果我们在书中提到了一个产品,那是因为我们认为它有用,或者我们使用它生成了示例程序(而不是出于商业考虑来推销这个产品)。与之相关的是,我们对于所有对其产品提供技术支持的软件供应商和开发者表示感谢—他们的帮助是不可或缺的。
小结
在本书的第4版(以及以前的版本)中,我对拥有一个优秀和能力卓越的合著者集体而感到非常自豪。对为这一版本做出贡献的Billy Barron、Brook Paul、Greg Vaughn、Rob Blader、David Harley、Jim Cooper、Nicholas Raba、Cyrus Peikari、Brett Neilsen、Craig Balding、Greg Shipley、Jonathan Feldman、Chad Cook、L.J.Locher、Joe Jenkins、Toby Miller以及Gregory White等人,我再次深表谢意!
本书从任何服务器和终端上都常见的一般安全问题开始,以围绕特定配置、操作系统以及技术的安全问题结束。我们希望本书对你有所帮助。
Anonymous
(美)匿名 等:暂无简介
王东霞 李蔚虹等:暂无简介
我是本书第1版(当时译为《网络最高安全技术指南》)的读者,在1998年那是我能得到的网络安全方面最好的书。现在,在实用的、综合性的安全书籍中,它仍是最好的。
该书至今已经发行第4版了,而且被译为五国文字。我认为该书的最大优点就是它从攻、防两方面对安全进行综合性的论述,并且既包含理论也包括实践。它不仅涉及防火墙、扫描器、入侵检测系统等防御工具,而且包括拒绝服务、病毒、特洛伊木马等攻击工具,同时详细地讲解了作为攻击和防御的基础—平台的漏洞、安全应用的开发以及网络体系结构考虑等知识。这与大多数网络安全书或防或攻的方式不同,该书能够为读者提供对安全更全面的理解。本书对于那些需要掌握安全技术或者梦想成为黑客(这点也许是个缺点)的人来说,是一本理想的入门及进阶读物。本书还有一个显著的优点就是提供了很多安全资源的链接,无论是具体的工具还是有份量的论文,其在线资源链接都被收入书中,而且作者为保证其有效性煞费苦心,这样就使得该书也可以作为一本手册,指导读者进行进一步的研究和学习。
本书作者当然是计算机安全方面的天才(他是一位“战功卓著”的前计算机黑客!),不过作者在编著本书过程中所表现出的不断追求的精神更令人佩服。在至今的四版中,本书一直不断地进行更新。这也是吸引我从读者变成译者的原因之一(看看新版到底改变了什么地方。另一个原因是某些版本翻译中出现的技术错误令人不安)。作者根据技术的发展不断地为本书增加新内容,例如本版中就新添了一章来描述无线网络的安全和攻击问题。新版本对于原有的大部分章节也进行了重写和修改,很多章节的标题虽然没有变化,但具体的内容却进行了重写,反映了新的技术发展和更为深入的认识,以及一些已往版本中遗漏的部分。以第1章为例,和第3版的标题类似而内容却不相同。当然,一些显得过时的内容被去掉了,例如在平台安全部分中去掉了VAX/VMS,使得重点更加突出,从而提供了更多的篇幅描述当前更为常见的安全问题。此外很多章都新添了节来反映新的技术发展和更深的认识。书的可读性也在提高,从内容顺序的安排上、文字的处理等各方面,都在日趋成熟。同时,还有很重要的一点就是作者视角和层次的提升:关于信息战、安全的现状等的描述站在国家层次,连信息安全中的“反恐”观点也进行了表达;安全知识的系统性也增强了,关于体系结构等全局性的考虑也纳入了书中。
当然,无论是内容的编排顺序还是编辑等方面本书都还有待改进之处,最重要的是信息安全技术是飞速发展的,因而本书还有进一步发展的空间,让我们拭目以待。
对本书的赞誉
译者序
前言
作者简介
第一部分 信息安全的基本概念
第1章 建立企业的安全路标 2
1.1 预应式与反应式模型 2
1.2 了解你的企业 3
1.3 风险评估:评估企业的安全态势 4
1.4 鉴定数字资产 5
1.5 资产保护 6
1.5.1 识别并去除漏洞 7
1.5.2 标准化和预应策略 8
1.6 事故响应策略 9
1.7 用户和管理员的培训 9
1.8 综合应用 9
1.9 小结 12
第2章 网络现状:战争中的世界 13
2.1 骇客、黑客及其他恶意行为 13
2.2 政府在网络世界中的角色 14
2.2.1 因特网真能用做间谍工具吗 15
2.2.2 因特网真能用于恐怖活动吗 15
2.2.3 威胁越来越近 16
2.2.4 谁掌握着主动权 16
2.2.5 美国有能力保护其国家信息基础设施吗 17
2.2.6 信息攻击会是什么样子 18
2.3 政府网站的安全现状 19
2.3.1 国家基础设施保护中心 20
2.3.2 政府网站的安全性问题小结 20
2.4 企业网站的安全现状 20
2.4.1 信用卡盗用走向网络:StarWave事件 20
2.4.2 信用卡盗用之风日盛 21
2.4.3 事态发展的趋势 22
2.5 忠告 23
2.6 小结 23
2.7 附加信息 23
2.7.1 信息战的网络资源 23
2.7.2 有关信息战的书籍 24
第3章 黑客与骇客 26
3.1 黑客与骇客的区别 26
3.2 黑客工具 26
3.2.1 探测 26
3.2.2 被动操作系统指纹识别 32
3.3 入侵工具与SANS 20大漏洞 35
3.3.1 入侵工具 35
3.3.2 SANS 20大漏洞 37
3.4 小结 40
第4章 挖掘有用的资源 41
4.1 信息过载 41
4.2 所需的安全水平 42
4.3 一般资源 42
4.3.1 计算机应急响应小组 43
4.3.2 美国能源部计算机意外事件咨询组织 43
4.3.3 国家标准技术研究所的计算机安全资源交换所 44
4.4 邮件列表 45
4.5 Usenet新闻组 46
4.6 厂商安全邮件列表、补丁仓库和资源 47
4.6.1 SGI安全总部 47
4.6.2 Sun的安全公告档案 47
4.7 小结 48
第5章 内部安全 49
5.1 内部安全的现状 49
5.2 内部风险:危害和媒介的类型 49
5.2.1 好心的/无意的职员 51
5.2.2 经常性违反规定的职员 51
5.2.3 IT职员 52
5.3 降低风险的策略 52
5.3.1 物理安全 53
5.3.2 雇佣过程 54
5.3.3 建立桌面锁定 54
5.3.4 限制内容 55
5.3.5 管理合作 56
5.4 产品 56
5.4.1 桌面管理 56
5.4.2 便携式计算机/PDA 安全 57
5.4.3 物理安全 58
5.4.4 内容管理 58
5.5 资源 59
5.6 小结 59
第二部分 黑客基础知识
第6章 TCP/IP简介 62
6.1 什么是TCP/IP 62
6.1.1 开放系统互连参考模型 62
6.1.2 TCP/IP的历史 64
6.1.3 RFC 64
6.1.4 TCP/IP的实现版本 65
6.2 TCP/IP的工作原理 65
6.3 各种协议介绍 66
6.3.1 网络级协议 66
6.3.2 应用级协议——端口 71
6.4 IPsec、IPv6、VPN及其发展展望 76
6.5 小结 77
第7章 欺骗攻击 78
7.1 什么是欺骗 78
7.2 因特网安全基本原理 78
7.2.1 鉴别的方法 78
7.2.2 RHOSTS 79
7.3 欺骗攻击的工作机制 80
7.3.1 成功实施一次欺骗攻击的要素 82
7.3.2 打开一个更合适的漏洞 82
7.3.3 欺骗攻击的对象 82
7.3.4 欺骗攻击的频繁程度 83
7.3.5 欺骗/劫持的工具 83
7.4 IP欺骗的相关文档 85
7.5 如何防止IP欺骗攻击 85
7.6 其他形式的欺骗攻击 86
7.6.1 ARP欺骗 86
7.6.2 DNS欺骗 87
7.6.3 Web欺骗 87
7.7 小结 88
第8章 个人隐私 89
8.1 暴露程度 89
8.2 Web浏览和侵犯隐私 91
8.2.1 因特网架构和隐私 91
8.2.2 用户信息如何存储在服务器上 91
8.2.3 finger 92
8.2.4 MasterPlan 94
8.2.5 finger之外的东西 95
8.3 浏览器安全 95
8.3.1 IP地址和缓存探测 96
8.3.2 cookie 96
8.3.3 广告和Web bug 99
8.3.4 间谍件 100
8.4 邮件地址和网络新闻组 101
8.4.1 Google新闻组 103
8.4.2 WHOIS服务 103
8.5 工作中 107
8.6 忠告 108
8.6.1 因特网资源 108
8.6.2 文章和论文及其相关的Web站点 110
第9章 揭开黑客攻击的神秘面纱 111
9.1 何时会发生攻击 111
9.1.1 如何成为黑客的攻击目标 111
9.1.2 拨号上网与永久连接 113
9.1.3 哪种计算机操作系统容易受到攻击 114
9.1.4 防火墙将阻止讨厌的骇客 115
9.2 攻击者的类型 115
9.2.1 脚本小子—你最大的威胁 115
9.2.2 黑帽子—“隐蔽方” 116
9.2.3 白帽子—好人 116
9.3 骇客使用的操作系统 116
9.3.1 Windows操作系统 116
9.3.2 Linux/NetBSD/FreeBSD 116
9.3.3 OpenBSD 117
9.4 是否有典型的攻击 117
9.4.1 拒绝服务攻击 118
9.4.2 病毒、特洛伊木马和恶意脚本或Web内容 118
9.4.3 Web篡改或“标记” 119
9.4.4 内部攻击 119
9.5 常见的攻击目标 119
9.5.1 家庭和小企业因特网用户 120
9.5.2 较大的企业和公司 120
9.5.3 政府和军事机构 120
9.5.4 金融机构 120
9.6 攻击的动机 121
9.6.1 出名或“精英”因素 121
9.6.2 恶作剧和破坏 121
9.6.3 发表政治声明 122
9.6.4 经济利益 122
9.6.5 为了知识而攻击 124
9.6.6 为了攻击而攻击 124
9.7 小结 125
第三部分 防御者的工具箱
第10章 防火墙 128
10.1 什么是防火墙 128
10.2 防火墙的其他特征 129
10.3 防火墙不防弹 130
10.4 防火墙产品分析 130
10.4.1 基于包过滤的防火墙 131
10.4.2 状态包过滤防火墙 132
10.4.3 基于代理的防火墙 132
10.5 编程绕过防火墙 133
10.6 防火墙的缺陷 133
10.7 防火墙固件 134
10.8 构建防火墙 134
10.8.1 明确网络拓扑、应用和协议需求 135
10.8.2 分析企业内的信任关系和通信路径 136
10.8.3 评估并选择防火墙产品 137
10.8.4 配置与测试防火墙 137
10.9 防火墙失效示例 138
10.9.1 Web服务器的去向问题 138
10.9.2 使用SSH绕过规则集 139
10.10 商业防火墙产品 140
10.11 小结 143
10.11.1 书籍及出版物 143
10.11.2 因特网资源 143
第11章 漏洞评估工具(扫描器) 145
11.1 漏洞扫描器的历史 145
11.2 漏洞扫描器的工作原理 146
11.3 如何选择扫描器 147
11.4 扫描器存在的缺点 148
11.5 较好的漏洞扫描器 149
11.5.1 Retina 149
11.5.2 NetRecon 150
11.5.3 ISS Internet Scanner 150
11.5.4 Cybercop Scanner 151
11.5.5 开放源代码Nessus项目 151
11.5.6 Whisker 151
11.6 其他漏洞扫描器 152
11.7 小结 153
第12章 入侵检测系统 154
12.1 入侵检测简介 154
12.2 基于网络的入侵检测系统 155
12.3 基于主机的入侵检测系统 156
12.4 基于异常的入侵检测系统 157
12.5 入侵检测系统的选择 157
12.6 Snort与其他开放源代码的IDS系统 159
12.7 入侵检测产品列表 159
12.7.1 Cisco Secure IDS 160
12.7.2 Computer Associates eTrust Intrusion Detection 160
12.7.3 Enterasys Dragon IDS 160
12.7.4 Intrusion SecureNet NID/SecureHost HID 160
12.7.5 IntruVert IntruShield 161
12.7.6 ISS RealSecure 161
12.7.7 ISS BlackICE 161
12.7.8 NFR Security Intrusion Detection System 161
12.7.9 nSecure Software nPatrol 162
12.7.10 Symantec NetProwler与Intruder Alert 162
12.8 小结 162
12.9 其他参考信息 162
第13章 日志工具 164
13.1 为什么要记录日志 164
13.2 从防黑的角度进行日志记录 164
13.3 建立日志策略 165
13.4 网络监控和数据收集 166
13.4.1 SWATCH(The System Watcher) 166
13.4.2 Watcher 166
13.4.3 lsof(List Open Files) 167
13.4.4 Private-I 167
13.4.5 WebSense 167
13.4.6 Win-Log v1 168
13.4.7 SNIPS 168
13.5 日志分析工具 168
13.5.1 NetTracker 168
13.5.2 LogSurfer 168
13.5.3 WebTrends for Firewalls and VPNs 168
13.5.4 Analog 169
13.6 小结 169
第14章 口令安全 170
14.1 口令破译简介 170
14.1.1 口令加密点滴 171
14.1.2 ROT-13 172
14.1.3 DES和Crypt 173
14.2 口令破译过程 175
14.3 口令破译程序 176
14.4 用于Windows 的口令破译程序 176
14.4.1 L0phtCrack/LC4 177
14.4.2 Solar Designer 的John the Ripper 177
14.4.3 NTCrack 177
14.5 用于Unix的口令破译程序 178
14.5.1 关于Unix口令安全 178
14.5.2 Crack 179
14.5.3 Solar Designer 的John the Ripper 181
14.5.4 PaceCrack95 181
14.5.5 Sorcerer的Star Cracker 181
14.6 破译Cisco、应用程序及其他口令类型 181
14.6.1 破解Cisco IOS口令 182
14.6.2 商业应用软件口令破译程序 182
14.6.3 Michael A. Quinlan的ZipCrack 183
14.6.4 AMI Decode 183
14.6.5 Mark Miller的PGPCrack 183
14.7 提高口令的安全性 184
14.7.1 Windows NT/2000 184
14.7.2 Unix 184
14.7.3 LDAP服务器 185
14.8 其他资源 185
14.8.1 因特网资源 185
14.8.2 出版物和报告 186
14.9 小结 187
第15章 嗅探器 188
15.1 嗅探器的安全风险 188
15.1.1 局域网和数据流 189
15.1.2 数据包传送 189
15.2 嗅探器的安全风险级别 189
15.3 嗅探器攻击是否真的存在 189
15.4 嗅探器捕获的信息 190
15.5 嗅探器设置的位置 190
15.6 获取嗅探器的途径 191
15.6.1 商业嗅探器 191
15.6.2 免费嗅探器 193
15.7 抵御嗅探器的攻击 194
15.7.1 检测并卸载嗅探器程序 194
15.7.2 安全拓扑 195
15.7.3 会话加密 195
15.8 小结 196
15.9 有关嗅探器的进一步阅读资料 196
第四部分 大规模网络攻击的武器
第16章 拒绝服务攻击 198
16.1 什么是拒绝服务攻击 198
16.2 攻击工具和拒绝服务攻击 200
16.2.1 邮件炸弹攻击 200
16.2.2 协议攻击 204
16.3 拒绝服务攻击索引 205
16.3.1 最近的拒绝服务攻击 205
16.3.2 早期著名的拒绝服务攻击 207
16.3.3 分布式拒绝服务攻击 210
16.3.4 小结 211
16.4 其他DoS资源 211
第17章 病毒和蠕虫 213
17.1 什么是病毒和蠕虫 213
17.1.1 什么是计算机病毒 214
17.1.2 什么是计算机蠕虫 215
17.2 易受病毒感染的对象 215
17.3 病毒的编写者和目的 216
17.3.1 产生病毒的方式 217
17.3.2 “In the Wild”的含义 218
17.3.3 病毒的工作原理 219
17.3.4 memetic 病毒 223
17.3.5 蠕虫病毒的工作原理 224
17.3.6 病毒的特点 225
17.4 防病毒软件 226
17.5 病毒软件的未来趋势 228
17.6 出版物和网站 228
17.7 小结 230
第18章 特洛伊木马 232
18.1 什么是特洛伊木马 232
18.1.1 特洛伊木马的由来 232
18.1.2 特洛伊木马的定义 232
18.1.3 模糊的概念 233
18.1.4 特洛伊木马的分类 235
18.2 特洛伊木马的来源 242
18.3 发现特洛伊木马的频率 243
18.4 特洛伊木马的风险等级 244
18.5 如何检测特洛伊木马 245
18.5.1 MD5 247
18.5.2 Tripwire 247
18.5.3 TAMU/TARA 248
18.5.4 其他平台上的情况 248
18.6 相关资源 249
18.7 小结 250
第五部分 体系结构、平台与安全性
第19章 网络体系结构考虑 252
19.1 网络体系结构 252
19.1.1 网络组件 252
19.1.2 威胁 254
19.1.3 实现网络体系结构的途径 255
19.1.4 安全区域 256
19.2 保护城堡 257
19.2.1 隔离和分离 258
19.2.2 网络分离 263
19.2.3 网络隔离 264
19.3 小结 268
第20章 微软平台 269
20.1 Windows 9x和Windows Me 269
20.1.1 Password List(PWL)口令机制 269
20.1.2 Windows 9x和Windows Me小结 270
20.2 Windows NT 271
20.2.1 常见的Windows NT安全漏洞 271
20.2.2 其他影响较轻的重要漏洞 273
20.3 Windows NT内部安全 273
20.3.1 内部安全概述 273
20.3.2 改善内部安全 274
20.3.3 快速创建安全Windows NT服务器的技巧 274
20.3.4 Windows NT小结 275
20.4 Windows 2000 275
20.4.1 安全性能的改进 275
20.4.2 Windows 2000分布式安全概述 276
20.4.3 常见的Windows 2000安全漏洞 276
20.4.4 Windows 2000小结 278
20.5 Windows XP 278
20.6 微软应用中的最新漏洞 279
20.6.1 Microsoft Internet Explorer 279
20.6.2 Microsoft Exchange Server 281
20.6.3 因特网信息服务器 283
20.6.4 工具 286
20.6.5 访问控制软件 289
20.6.6 网上资源 291
20.6.7 有关Windows 2000/NT安全的出版物 292
20.7 小结 293
第21章 Unix 294
21.1 Unix操作系统简史 295
21.2 Unix系统分类 296
21.2.1 非主流产品 296
21.2.2 主流产品 296
21.2.3 开放源代码的安全 297
21.2.4 增强的操作系统 299
21.2.5 Linux 内核补丁 301
21.2.6 多级可信系统 301
21.3 选择系统时的安全考虑 304
21.4 Unix安全风险 305
21.4.1 用户账户 306
21.4.2 文件系统安全 308
21.4.3 文件系统风险 311
21.4.4 文件系统对策 312
21.4.5 set-uid问题 313
21.5 set-uid程序 316
21.6 rootkit和防御 318
21.6.1 rootkit对策 319
21.6.2 内核rootkit 320
21.6.3 预防内核攻击 322
21.7 主机网络安全 323
21.7.1 网络服务:普遍性和有针对性 323
21.7.2 运行网络服务的风险 324
21.7.3 保护网络服务 325
21.7.4 禁用网络服务 325
21.7.5 关于特权端口 326
21.7.6 防御服务劫持攻击 327
21.7.7 检测伪造的服务器 328
21.8 Telnet 328
21.8.1 TELNET协议漏洞 328
21.8.2 保护Telnet 330
21.9 基本工具:SSH 330
21.9.1 SSH协议 331
21.9.2 SSH服务器 331
21.9.3 SSH客户端软件 331
21.9.4 SSH资源 332
21.10 FTP 332
21.10.1 FTP漏洞 333
21.10.2 FTP安全保护 334
21.11 r 服务 334
21.11.1 r服务漏洞 334
21.11.2 对策 335
21.12 REXEC 335
21.12.1 REXEC 漏洞 335
21.12.2 REXEC安全保护 335
21.13 SMTP 335
21.13.1 SMTP漏洞 336
21.13.2 SMTP安全保护 336
21.14 DNS 337
21.14.1 DNS漏洞 337
21.14.2 DNS安全保护 338
21.15 finger 339
21.16 SNMP 339
21.16.1 SNMP漏洞 339
21.16.2 SNMP安全保护 340
21.17 网络文件系统 340
21.17.1 NFS漏洞 340
21.17.2 NFS安全保护 341
21.18 chroot的告诫 341
21.19 有关守护程序的更多信息 342
21.20 评估Unix系统的漏洞 343
21.20.1 主机锁定 345
21.20.2 主机增强资源 345
21.21 小结 349
第22章 Novell NetWare 350
22.1 Novell系统的现状 350
22.2 Novell的三类系统环境 351
22.2.1 服务器环境 351
22.2.2 客户端环境 356
22.2.3 Novell目录服务环境 357
22.3 进一步阅读资料 362
22.4 小结 363
第23章 路由器、交换机和集线器 364
23.1 基础设施设备的问题 364
23.2 与操作系统修订版本同步 365
23.3 保护集线器 365
23.4 保护交换机 366
23.5 保护和配置路由器 366
23.5.1 保护登录点 366
23.5.2 使系统管理员可记账 368
23.5.3 禁用不必要的服务 368
23.6 网络管理考虑 369
23.6.1 集中式日志管理 369
23.6.2 口令存储考虑 370
23.6.3 时钟同步 370
23.6.4 SNMP考虑 371
23.7 防范网络欺骗和其他数据包 372
23.7.1 输出过滤 372
23.7.2 输入过滤 373
23.7.3 阻止无聊的数据包 373
23.8 小结 374
23.9 进一步阅读资料和参考资料 374
第24章 Macintosh 376
24.1 Mac OS X—Apple公司的新操作系统 377
24.2 建立Macintosh服务器 378
24.2.1 美国军方使用的WebSTAR服务器套件 378
24.2.2 用于共享和文件的Hotline 379
24.2.3 Mac OS X服务器的能力 379
24.3 Macintosh平台的漏洞 380
24.3.1 AtEase访问bug 380
24.3.2 AtEase PowerBook 3400 bug 381
24.3.3 由于端口溢出引起的拒绝服务 381
24.3.4 DiskGuard安全 382
24.3.5 FWB Hard Disk Toolkit 2.5漏洞 382
24.3.6 MacDNS bug 383
24.3.7 Network Assistant 383
24.3.8 Mac OS 8.0升级版上的口令安全 383
24.3.9 Sequence of Death和WebSTAR 383
24.3.10 Mac OS X软件漏洞 384
24.3.11 本地主机安全考虑 385
24.4 关于文件共享与安全 385
24.4.1 Mac OS 9文件安全性 386
24.4.2 Mac OS X文件安全性 386
24.5 服务器管理与安全 387
24.5.1 EtherPeek 388
24.5.2 InterMapper 3.6 388
24.5.3 MacAnalysis 389
24.5.4 MacSniffer—Mac OS X 390
24.5.5 ettercap 390
24.5.6 带有Snort的HenWen 391
24.5.7 StreamEdit 391
24.5.8 MacRadius 391
24.5.9 Network Security Guard 392
24.5.10 Oyabun Tools 392
24.5.11 Silo 1.03 393
24.5.12 Nmap 393
24.5.13 Timbuktu Notes 393
24.6 防火墙保护 394
24.6.1 IPNetSentry 394
24.6.2 NetBarrier 395
24.6.3 Norton Personal Firewall 395
24.7 内部安全 395
24.7.1 Mac OS X屏保口令保护 396
24.7.2 Mac OS X登录 396
24.7.3 BootLogger 397
24.7.4 DiskLocker 397
24.7.5 Empower 397
24.7.6 Ferret 397
24.7.7 Filelock 397
24.7.8 FullBack 398
24.7.9 Invisible Oasis 398
24.7.10 TypeRecorder 398
24.7.11 KeysOff和KeysOff Enterprise 398
24.7.12 LockOut 399
24.7.13 OnGuard应急口令 399
24.7.14 Password Key 399
24.7.15 Password Security Control Panel应急口令 399
24.7.16 Aladdin Secure Delete 400
24.7.17 SecurityWare Locks 400
24.7.18 Stealth Signal 400
24.7.19 Mac OS X的单用户启动模式 401
24.7.20 Super Save 2.02 401
24.7.21 SubRosa Utilities 401
24.7.22 Open Firmware口令保护 402
24.8 口令破解及相关工具 403
24.8.1 FMP Password Viewer Gold 2.0 403
24.8.2 FMProPeeker 1.1 403
24.8.3 Macintosh Hacker's Workshop 403
24.8.4 John the Ripper 404
24.8.5 Killer Cracker 404
24.8.6 MacKrack 404
24.8.7 MagicKey 3.2.3a 404
24.8.8 MasterKeyII 405
24.8.9 McAuthority 405
24.8.10 Meltino 405
24.8.11 Password Killer 405
24.9 匿名电子邮件和邮件炸弹 405
24.9.1 Caem 405
24.9.2 Bomba 406
24.9.3 NailMail X 406
24.9.4 Spic & Spam 406
24.9.5 ATT Blitz 406
24.10 Macintosh病毒、蠕虫和防病毒措施 406
24.10.1 MacVirus.Info 407
24.10.2 .Mac 407
24.10.3 Norton Anti-Virus 407
24.10.4 Intego VirusBarrier 408
24.10.5 Disinfectant 408
24.10.6 AutoStart蠕虫清除器 408
24.10.7 The Little Dutch Moose 409
24.10.8 Mac OS X病毒综述 409
24.11 间谍件及其检测 409
24.12 资源 411
24.12.1 书籍和报告 411
24.12.2 提供所需工具的站点 412
24.12.3 电子杂志及Web站点 412
第25章 策略、过程和执行 414
25.1 安全策略的重要性 414
25.2 场所和基础设施的安全策略 414
25.2.1 设施和物理安全考虑 414
25.2.2 基础设施和计算环境 416
25.3 可接受的用法 426
25.3.1 管理安全策略 426
25.3.2 用户的可接受的用法策略 427
25.4 策略的执行 428
25.5 小结 429
第六部分 安全与综合服务
第26章 安全应用的开发、语言和扩展 432
26.1 安全性和软件 432
26.2 安全应用的概念 432
26.2.1 代码中的敌人 433
26.2.2 配置问题 433
26.2.3 竞争状态 434
26.2.4 缓冲区溢出 435
26.2.5 数据保护 437
26.2.6 临时存储 437
26.2.7 拒绝服务 438
26.2.8 输入和输出方法 438
26.3 安全体系结构 439
26.3.1 安全体系结构的组成部分 439
26.3.2 安全要求 441
26.3.3 识别风险区域 445
26.3.4 安全响应 446
26.4 具有安全意识的设计 446
26.5 安全编码实践 451
26.5.1 C语言的缺陷 451
26.5.2 应用软件中的Perl 455
26.5.3 Java 456
26.5.4 C#/.NET 457
26.5.5 shell与Unix 457
26.5.6 因特网固件 457
26.6 小结 458
第27章 无线安全审计 459
27.1 无线LAN拓扑 460
27.2 接入点 461
27.2.1 Linksys WAP11接入点 461
27.2.2 NetGear ME102接入点 462
27.3 天线 462
27.3.1 Radome-Enclosed Yagi 天线:HyperLink HG2415Y 465
27.3.2 Parabolic Grid天线:HyperLinkHG2419G 466
27.3.3 SigMax全向天线:SignullSMISMCO10 466
27.3.4 SigMax Circular Yagi天线:Signull SMISMCY12 467
27.3.5 TechnoLab Log Periodic Yagi天线 467
27.4 无线网卡 468
27.5 手持设备 469
27.6 建立无线测试实验室 470
27.7 无线攻击 471
27.8 监视 471
27.9 War Driving 474
27.10 客户端到客户端的攻击 478
27.11 无赖接入点 482
27.12 干扰(拒绝服务) 483
27.13 实际的WEP破解 485
27.14 小结 486
附录A 安全参考书—进一步的读物 488
附录B 如何获得更多的信息 499
附录C 厂商信息与安全标准 512
附录D 光盘上的内容 527
附录E 术语 565
