第3章网 络 隐 身
　　学习要求：
　　理解IP地址欺骗技术的基本原理。
　　掌握MAC地址欺骗技术的基本原理，掌握相应系统配置方法和工具使用方法。
　　掌握各种网络地址转换技术的基本原理。
　　掌握代理隐藏技术的基本原理，熟悉各种代理工具的使用方法。
　　了解网络隐身的其他方法。
　　IP地址是计算机网络中任何联网设备的身份标识，MAC地址是以太网终端设备的链路层标识，所谓网络隐身就是使得目标不知道与其通信的设备的真实IP地址或MAC地址，当安全管理员检查攻击者实施攻击留下的各种痕迹时，由于标识攻击者身份的IP或MAC地址是冒充的或者不真实的，管理员无法确认或者需要花费大量精力去追踪该攻击的实际发起者。因此，网络隐身技术可以较好地保护攻击者，避免其被安全人员过早发现。常用的网络隐身技术主要包括IP地址欺骗(或IP盗用)、MAC地址欺骗(或MAC盗用)、网络地址转换、代理隐藏、账户盗用和僵尸主机等技术。
　　3.1IP地址欺骗
　　因为TCP/IP协议路由机制只检查报文目标地址的有效性，所以攻击者可以定制虚假的源IP地址，有效避免安全管理员的IP地址追踪。另外，目标的访问控制组件可能使用IP地址列表的方式来设置允许或禁止对网络服务的访问，攻击者可以盗用其他IP地址，从而绕过访问控制的设置，对目标服务实施攻击。
　　IP欺骗(IP Spoofing)就是利用主机间的正常信任关系，通过修改IP报文中的源地址，以绕开主机或网络访问控制，隐藏攻击者的攻击技术。IP地址欺骗的示意图如图31所示，在网络中假设有三台主机A、B、C，其中A和B可以直接通信(或者相互信任且无须认证)，攻击者C冒充主机A实现与主机B通信，A可能在线也可能不在线。
　　图31IP欺骗示意图
　　当C与A在同一个局域网内，实施IP欺骗相对容易，因为攻击者可以观察B返回的报文，根据有关信息成功伪造A发出的报文。当C和A分属不同网络时，如果冒充A与B进行UDP通信，C只需要简单修改发出的IP报文的源IP地址即可。但是如果A与B建立TCP连接进行通信，C实施IP欺骗就非常困难，因为C无法获得响应报文，因此无法得知该连接的初始序列号，而TCP通信是基于报文序号的可靠传输，所以C伪造的TCP报文很大概率被拒绝，攻击欺骗成功的概率较低。
　　一次成功的IP欺骗通常需要三个步骤(见图32)。
　　图32IP欺骗实现过程
　　1. 使A停止工作
　　由于C要假冒A，C必须保证A无法收到任何有效的TCP报文，否则A会发送RST标记的报文给B，从而使得TCP连接被关闭。可以通过拒绝服务攻击、社会工程学或中间人攻击等方法使得A停止工作。
　　2. 猜测初始序列号
　　C必须知道B与A建立连接时的TCP报文的初始序列号(ISN)，即第二路握手报文中的SEQ字段值。C只有在第三路握手报文中将确认号设置为ISN+1，才能通过B的验证，成功建立连接。在无法截获第二路握手报文时，如何正确猜测ISN值是欺骗成功与否的关键。
　　TCP的ISN使用32位计数器，通常难以猜中，但是由于某些操作系统协议栈实现时，ISN的选择存在一定规律，有的基于时间，有的随机增加，还有的固定不变，因此可以预先对某个端口进行多次连接，采样其ISN基值和变化规律，作为猜测未来连接的ISN的参考信息。当采集的信息足够对ISN进行预测时，即可开始建立假冒连接。当C发送的报文在到达B时，根据猜测ISN的不同结果，B有以下四种处理方式：
　　(1)  ISN正确，C的报文被B成功接收。
　　(2)  ISN小于B期望的数字，B丢弃该报文。
　　(3)  ISN大于B期望的数字，且在B的滑动窗口内，B认为这是乱序到达的报文，将报文放入缓冲区中并等待其他报文。
　　(4)  ISN大于B期望的数字，且超出B的滑动窗口，B将丢弃该报文并重发确认报文给A。
　　3. 建立欺骗连接
　　IP欺骗之所以能够实施是因为通信主机之间仅凭IP地址标识对方身份，并且攻击者可以正确猜测TCP连接的初始序列号(ISN)。
　　对于IP欺骗可采取的防范措施包括：
　　(1) 使用基于加密的协议如IPSec或SSH进行通信，通信时使用口令或证书进行身份验证。
　　(2) 使用随机化的ISN，攻击者无法猜测正常连接的序列号。
　　(3) 在路由器上配置包过滤策略，检测报文的源IP地址是否属于网络内部地址，如果来自外部网络的报文的源IP地址属于内部网络，那么该报文肯定是伪造的。
　　(4) 不要使用基于IP地址的信任机制。
　　3.2MAC地址欺骗
　　MAC地址欺骗(或MAC盗用，MAC Spoofing)通常用于突破基于MAC地址的局域网访问控制(图33)，例如在交换机上限定只转发源MAC地址在预定义的访问列表中的报文，其他报文一律拒绝。攻击者只需要将自身主机的MAC地址修改为某个存在于访问列表中的MAC地址即可突破该访问限制，而且这种修改是动态的并且容易恢复。还有的访问控制方法将IP地址和MAC进行绑定，目的是使得一个交换机端口只能提供给一位付费用户的一台主机使用，此时攻击者需要同时修改自己的IP地址和MAC地址去突破这种限制。
　　图33基于MAC地址的访问控制
　　在不同的操作系统中修改MAC地址有不同的方法，其实质都是网卡驱动程序从系统中读取地址信息并写入网卡的硬件存储器，而不是实际修改网卡硬件ROM中存储的原有地址，即所谓的“软修改”，因此攻击者可以为了实施攻击临时修改主机的MAC地址，事后很容易恢复为原来的MAC地址。
　　在Windows中，几乎所有的网卡驱动程序都可以从注册表中读取用户指定的MAC地址，当驱动程序确定这个MAC地址有效时，就会将其编程写入网卡的硬件寄存器中，而忽略网卡原来的MAC地址。以下以Windows 7 SP1家用版为例，说明Windows系统中修改MAC地址的两种方法。一种方法是直接在网卡的“配置→高级→网络地址”菜单项中修改修改网卡地址时需要注意前三个字节表示网卡厂商，如果修改后的网卡地址不属于该厂商，修改后的地址可能会无效。系统只会设置有效的地址，所以必须检查修改后的地址是否生效。(图34)，系统会自动重启网卡，修改后可以在控制台窗口中键入“ipconfig /all”命令检查网卡地址是否已成功更改，如果选择“不存在”则恢复为原有MAC地址。该方法针对有线网卡有效，但是无线网卡默认没有“网络地址”，无法使用这种方法修改。
　　图34网卡属性中修改网络地址
　　另一种方法是直接修改注册表，生成与第一种方法相同的针对无线网卡的“网络地址”设置。运行注册表编辑器(regedit.exe)，在“＼HKEY_LOCALMACHINE＼SYSTEM＼ControlSet001＼Control＼Class”键下搜索网卡的描述信息，定位网卡配置选项在注册表中的位置，本例中无线网卡的对应配置选项在注册表项“［HKEY_LOCAL_MACHINE＼SYSTEM＼ControlSet001＼Control＼Class＼{4D36E972E32511CEBFC108002BE10318}＼0015”内(图35)。然后在“Ndi＼params”子项下新建子项“NetworkAddress”，并新增如图36所示的所有键值，即可在无线网络连接的配置选项中生成“网络地址”菜单项，并可自由修改MAC地址。当地址修改成功后，注册表会自动在上述表项(即0015项)中增加一个“NetworkAddress”的键值(图37)。也可以将以下文本导入注册表(保存为.reg后缀的文件名)，产生与图36相同的效果：
　　［HKEY_LOCAL_MACHINE＼SYSTEM＼ControlSet001＼Control＼Class＼{4D36E972E32511CEBFC108002BE10318}＼0015＼Ndi＼params＼NetworkAddress］
　　"default"="000000000000"
　　"Optional"="1"
　　"ParamDesc"="网络地址"
　　"type"="edit"
　　"UpperCase"="1"
　　"LimitText"="12"
　　图35注册表中网卡的配置选项
　　图36新增NetworkAddress项及键值前后的网卡连接菜单项对比
　　……

第1章概述/
1.1网络安全的定义
1.2网络系统面临的安全威胁
1.2.1恶意代码
1.2.2远程入侵
1.2.3拒绝服务攻击
1.2.4身份假冒
1.2.5信息窃取和篡改
1.3网络安全的研究内容
1.3.1网络安全体系
1.3.2网络攻击技术
1.3.3网络防御技术
1.3.4密码技术应用
1.3.5网络安全应用
1.4小结
习题
第2章信息收集/
2.1Whois查询
2.1.1DNS Whois查询
2.1.2IP Whois查询
2.2域名和IP信息收集
2.2.1域名信息收集
2.2.2IP信息收集
2.3Web挖掘分析
2.3.1目录结构分析
2.3.2高级搜索
2.3.3邮件地址收集
2.3.4域名和IP收集
2.4社会工程学
2.5拓扑确定
2.6网络监听
2.7小结
习题
第3章网络隐身/
3.1IP地址欺骗
3.2MAC地址欺骗
3.3网络地址转换
3.4代理隐藏
3.5其他方法
3.6小结
习题
第4章网络扫描/
4.1端口扫描
4.1.1全连接扫描
4.1.2半连接扫描
4.1.3FIN扫描
4.1.4ACK扫描
4.1.5NULL扫描
4.1.6XMAS扫描
4.1.7TCP窗口扫描
4.1.8自定义扫描
4.1.9UDP端口扫描
4.1.10IP协议扫描
4.1.11扫描工具
4.2类型和版本扫描
4.2.1服务扫描
4.2.2操作系统扫描
4.3漏洞扫描
4.3.1基于漏洞数据库
4.3.2基于插件
4.3.3OpenVAS
4.4弱口令扫描
4.5Web漏洞扫描
4.6系统配置扫描
4.7小结
习题
第5章网络攻击/
5.1口令破解
5.1.1口令破解与破解工具
5.1.2破解工具
5.2中间人攻击(MITM)
5.2.1数据截获
5.2.2欺骗攻击
5.3恶意代码
5.3.1生存技术
5.3.2隐蔽技术
5.3.3主要功能
5.4漏洞破解
5.4.1漏洞分类
5.4.2破解原理
5.4.3实施攻击
5.5拒绝服务攻击
5.5.1攻击原理
5.5.2DDoS原理
5.5.3DoS/DDoS工具
5.6小结
习题
第6章网络后门与痕迹清除/
6.1网络后门
6.1.1开放连接端口
6.1.2修改系统配置
6.1.3安装监控器
6.1.4建立隐蔽连接通道
6.1.5创建用户账号
6.1.6安装远程控制工具
6.1.7系统文件替换
6.1.8后门工具
6.2痕迹清除
6.2.1Windows痕迹
6.2.2Linux痕迹
6.3小结
习题
第7章访问控制与防火墙/
7.1访问控制
7.1.1实现方法
7.1.2自主访问控制
7.1.3强制访问控制
7.1.4角色访问控制
7.2防火墙
7.2.1包过滤防火墙
7.2.2代理防火墙
7.2.3体系结构
7.2.4防火墙的缺点
7.3防火墙软件实例
7.3.1Windows个人防火墙
7.3.2CISCO ACL列表
7.3.3iptables
7.3.4CCProxy
7.4小结
习题
第8章入侵防御/
8.1IPS概述
8.1.1工作过程
8.1.2分析方法
8.1.3IPS分类
8.1.4IPS部署和评估
8.1.5发展方向
8.2基于主机的IPS
8.3基于网络的IPS
8.4小结
习题
第9章密码技术基础/
9.1概述
9.1.1密码编码学
9.1.2密码分析学
9.1.3密钥管理
9.2加/解密技术
9.2.1对称加密
9.2.2公钥加密
9.2.3散列函数
9.2.4通信加密
9.2.5密钥分配
9.3认证技术
9.3.1消息认证码
9.3.2散列消息认证码
9.3.3数字签名
9.3.4身份认证
9.4PKI
9.5常用软件
9.6小结
习题
第10章网络安全协议/
10.1802.1X和EAP
10.1.1802.1X
10.1.2EAP
10.2IPSec
10.2.1IPSec概述
10.2.2AH协议
10.2.3ESP协议
10.2.4IKE协议
10.2.5IPSec应用
10.3SSL协议
10.3.1SSL记录协议
10.3.2SSL握手协议
10.3.3SSL协议的安全性
10.4802.11i
10.4.1加密机制
10.4.2安全关联
10.4.3无线破解
10.5小结
习题
第11章网络安全应用/
11.1虚拟专用网
11.1.1IP隧道
11.1.2远程接入
11.1.3虚拟专用局域网
11.1.4IPSec VPN示例
11.2电子邮件安全协议
11.2.1PGP
11.2.2S/MIME
11.3安全电子交易协议
11.3.1SET工作过程
11.3.2SET的优缺点
11.4小结
习题
第12章恶意代码防范与系统安全/
12.1恶意代码防范
12.1.1病毒及其防范方法
12.1.2蠕虫及其防范方法
12.1.3木马及其防范方法
12.1.4不同恶意代码的区别
12.2系统安全机制
12.2.1Windows 7安全机制
12.2.2Windows安全配置
12.2.3Linux安全机制
12.2.4Linux通用安全配置
12.3计算机取证
12.3.1取证方法
12.3.2取证原则和步骤
12.3.3取证工具
12.4小结
习题
第13章Web程序安全/
13.1安全问题与防御机制
13.1.1安全问题
13.1.2核心防御机制
13.2Web程序技术
13.2.1HTTP
13.2.2Web程序功能
13.2.3编码方案
13.3验证机制的安全性
13.3.1设计缺陷
13.3.2实现缺陷
13.3.3保障验证机制的安全
13.4会话管理的安全性
13.4.1令牌生成过程的缺陷
13.4.2令牌处理过程的缺陷
13.4.3保障会话管理的安全性
13.5数据存储区的安全性
13.5.1SQL注入原理
13.5.2防御SQL注入
13.6Web用户的安全性
13.6.1反射型XSS
13.6.2持久型XSS
13.6.3基于DOM的XSS
13.7小结
习题
参考文献/