黑客需要学什么?
黑客需要学习的东西有很多,底层的有编程语言,操作系统原理,计算机硬件原理,编译原理, *** 协议,cpu指令集,再往上一层,应用程序的编写,服务器的配置,各类软件的操作,等等。黑客有很多分支,有擅长编码写程序的,有擅长找程序漏洞的,有擅长逆向破解的,还有喜欢编写木马病毒的,对于新手而言,需要选择一个分支深入下去,到最后彻底精通这个领域,一招鲜吃遍天,先学一门精通后再横向扩展到其他领域

编程语言的话建议先学脚本语言,例如浏览器端的就学javascript,服务器端的就是php,asp,jsp等,经常有新手朋友问我黑客那么多领域,我该学那个比较好,从目前市场前景来看,学 *** 安全更有竞争力,首先随着互联网+,和移动互联网的快速发展, *** 安全已经是个不得不重视的事情,而且从学习难度和就业薪资来说 *** 安全也比开发领域要好, *** 安全又可以细分为web安全,移动安全,物联网安全,无线安全,区块链甚之汽车安全,所以你只要再其中选择一个细分领域然后精通后再扩展到其他领域就行,就像我自己就是学web安全出身的
对于想学web安全的朋友该如何学习呢?首先你要理解web是如何运作的,要知道浏览器是如何吧你的请求发送给服务器的,浏览器之间是通过那种协议运作的,这就需要你懂HTML(超文本编辑语言)css,javascript,也要懂服务器端的php语言,如果这些基础的东西你都不懂,就是会利用一些现成的漏洞工具进行一些复制黏贴类的操作对于你没有一点好处,如果漏洞被修复你就什么也做不了,一名真正的黑客是可以独自发现漏洞并可以修复漏洞的
成为黑客的道路是漫长的,只有耐得住寂寞的人才可以到达梦想的河畔,如果你在成为黑客的路上遇到困难想要放弃的时候,你可以通过一些其他的方式来鼓舞自己,学习是一件反人性的事情,遇到困难如果一时解决不了,不妨先放一放,过段时间随着你知识的积累可能就自然而然的明白了,当大家想要放松的时候不妨找些黑客题材的电影来看下,这里我推荐一部德语片,我是谁,没有绝对安全的系统,他会告诉你,这个世界上更大的漏洞是人
什么是黑客,什么IT精英
什么是黑客
在日本出版的《新黑客字典》中,对黑客是这样定义的:“喜欢探索软件
程序并从中增长了其个人才干的人。他们不像绝大多数电脑使用者那样,只规
规矩矩地了解别人指定的狭小的一部分知识”。在Open Source(开放源代码)
旗手ERIC。S。RAYMOND的《The New Hacker‘s Dictionary》一文中,对“Hac
ker”的解释包括了下面几类人:
一:那些喜欢发掘程序系统内部实现细节的人,在这种发掘过程中,他们延
伸并扩展着自己的能力,这和只满足于学习有限知识的人是截然不同的
二:那些狂热地沉浸在编程乐趣的人,而且,他们不仅仅是在理论上谈及编
程
三:一个高超的程序设计专家
四:一个喜欢智力挑战的,并创造性地突破各种环境限制的人
五:一个恶意的爱管闲事的家伙,他试图在 *** 上逡巡溜达的同时发现一些
敏感的信息
对最后一类人,ERIC。S。RAYMOND赋予其更恰当的一个称谓,那就是“Cra
cker”,有就是我们常说的“骇客”,指那些乐于破坏的家伙。当他们在给这个
社会制造着麻烦和噱头的同时,就只能被冠以“骇客”之名。正是因为“骇客”
的存在,纯正而古老的黑客精神才愈来愈被人曲解,但在真正崇尚黑客精神的一
类人眼里,“骇客”与“黑客”是如此的泾渭分明,不可混淆!更有甚者,有些
黑客们说:在黑客界,斗争只存在于“黑客”和“骇客”之间!
黑客群体有自己特有的一套行为准则(the hacker ethic)美国学者史蒂夫
。利维在其著名的《黑客电脑史》中所指出的黑客道德准则(the hacker ethic)
就是对其最深刻的表述:
(1),通往电脑的路不止一条
(2),所有的信息都应当是免费共享的
(3),一定要打破电脑集权
(4),在电脑上创造的是艺术和美
(5),计算机将使生活更加美好
可以看出,“黑客道德准则”正是这个独特的文化群体一直心照不宣地遵循
着的“江湖规矩”,以这种“江湖规矩”作为参照,黑客们的行为特征也就清晰
地呈现给我们了!
一,热衷挑战
黑客们多数都有很高的智慧,至少在某些方面表现突出。他们喜欢挑战自己
的能力,编写高难度程序,破译电脑密码给他们带来了神气的魔力,认为运用自
己的智慧和电脑技术去突破某些著名的防卫措施森严的站点是一件极、富 *** 性
和挑战性的冒险活动。
二,崇尚自由
黑客文化首先给人的突出感觉就是一种自由不羁的的精神。黑客如同夜行的蝙
蝠侠,任意穿梭在 *** 空间中。黑客在电脑虚拟世界发挥着自己的极致的自由。
他们随意登录在世界各地的网站,完成着现实生活中无法企及的冒险旅程,实现
着个人生命的虚拟体验。正是这种对自由的体验,使黑客如同吸毒上瘾一样,对
*** 入侵乐此不疲
三,主张信息共享
黑客们认为所有的信息都应当是免费的和公开的,认为计算机应该是大众的工
具,而不应该只为有钱人私有。信息应该是不受限制的,它属于每个人,拥有知
识或信息是每个人的天赋权利
四,反叛精神
黑客文化带有某种反叛世界的倾向,黑客们蔑视传统,反抗权威,痛恨集权,
其行为模式以深深烙上了无 *** 主义的印记。互联网的一个显著特点是平等和共
享,对于在 *** 中存在的许多禁区,黑客们认为是有违 *** 特征的,他们希望建
立一个没有权威,没有既定程序的社会,所以他们一般都喜欢与传统,权威和集
权做永无休止的斗争
五,破坏心理
黑客们要在 *** 空间来去自如,蔑视权威,就必然夹带着某些破坏行动。只有
突破计算机和 *** 的防护措施才能随意登录站点,只有颠覆权威设置的程序才能
表示反抗权威,也只有摧毁 *** 秩序才能达至人人平等的信息共享目标。当然,
由于心理动机不同,不同黑客行为的破坏程度也是有所区别的!
这样一种独特的黑客文化,必然孕育出黑客群体所读有的文化态度!
(1)这个世界不断涌现出许多迷人的问题等待人们去解决
(2)一个问题不应该重复地解决两次
(3)无聊而乏味的工作是可恶的
(4)自由是美好的,黑客们需要的是自由协作和信息共享,而不是专制和所
谓的权威
(5)态度并不能成为能力的替代品,想成为黑客,只有态度是不够的,更重
要的是,还在于努力工作,倾心奉献,钻研和实践!
言语
我写这个并不是因为我已经厌倦了一遍又一遍地回答同样的问题,而是考虑到这确实是一个有意义
的问题,其实很多人(90%)确实需要问这个问题而没有问!
我被问了很多次有关安全领域的问题,比如,什么编程语言你最推崇?应该读什么书作为开始?总
而言之,就是如何安全领域内成为一个有影响的人。既然我的答案和一般的答案有所不同,我打算把我
的看法说出来!
-------------------------------------------
从哪里开始?
-------------------------------------------
我的观点可能和一般的看法不同,如果你刚刚起步,我建议你不要从Bugtrap,Technotronic,Roo
tshell等站点开始。没错!不要从那里开始(尽管它们是很好的站点,而且我的意思并不是说不要去访
问这些站点)原因非常简单。如果你认为你通晓“安全”,就是知道最新的漏洞,到头来你将会发现自
己一无所获
我同意,知道什么地方有漏洞是十分必要的,但是这些并不能够为你的高手之路打下坚实的基础。
比如,你知道RDS是最新的漏洞,知道如何下载并使用对这个漏洞进行利用的Script工具,知道如何修补
这个漏洞(也许,很多人只知道如何攻击,并不知道如何防范),可是,3个月后,补丁漫天飞舞,这个
漏洞已经不存在了。。。。。现在你的那些知识还有什么用?而且你可能根本没有理解对漏洞的分析!
你应该学习的知识是什么?是分析?还是攻击手段?
这是我想要再次强调的,人们可能没有注意,已经有很多人认为他们只要知道最新的漏洞就是安全 *** :9750406
专家,NO!所有他们知道的只不过是“漏洞”,而不是“安全”
例如,你知道有关于phf的漏洞,showcode.asp的漏洞,但是你知道它们为什么会成为GGI漏洞的吗?
你知道如何编一个安全的 通用网关程序吗?你会根据一个GGI的状态来判断它有可能有哪些漏洞或哪方
面的漏洞吗?或者,你是不是只知道这些GGI有漏洞呢?
所以,我建议你不要从漏洞开始,就当它们不存在(你知道我的意思),你真正需要做的是从一个
普通用户开始。
---------------------------------------------
做一个用户
---------------------------------------------
我的意思是你至少要有一些基本的常规的知识。例如:你如果要从事Web Hacking,你是否连浏览器都
不会用?你会打开Netscape,打开IE?很好!你会输入姓名,你知道HTML是网页,很好,你要一直这样下
去,变成一个熟练的用户。你会区别ASP和GGI是动态的,什么是PHP?什么是转向,COOKIES,SSL?你要知
道任何一个普通用户可能接触到的关于Web事物。不是进攻漏洞,仅仅是使用。没有这些基础(也许是枯燥
的)知识你不可能成为高手,这里没有什么简捷
好!现在你知道这里的一切了,你用过了。在你Hack Unix之前至少要知道如何Login,Logout,如何
使用Shell命令,如何使用一般的常用程序(MAIL,FTP,WEB, *** NX等)。
要成为一个管理员,你需要掌握如下基本的操作
------------------------------------------------
成为一个管理员
------------------------------------------------
现在你已经超过了一个普通用户的领域了,进入更复杂的领域,你要掌握更多的知识。例如:Web服务
器的类型,与其他的服务器有什么区别?如何去配置它,像这样的知识,你知道得越多句意味着你更了解
它是如何工作的?它是干什么的?你理解HTTP协议吗?你的HTTP1.0和HTTP1.1之间的区别吗?WEBDAV是什
么?知道HTTP1.1虚拟主机有助于建立你的Web服务器吗?
你需要了解操作系统,例如你从来没有配置过NT,你怎么可能去攻击一个NT服务器呢?你从来没有用
过Rdisk,用户管理器,却期望Crack一个管理员的密码,得到用户权限?你想使用RDS,而你在NT下的操作
一直用的是图形界面?你需要从管理员提升到一个“超级管理员”,这不是指你有一个超级用户的权限,
而是你的知识要贯穿你的所有领域。很好!你会在图形界面下填加用户,在命令行你也能做到吗?而且,
system32里的那些。exe文件都是干什么的?你知道为什么USERNETCTL必须要有超级用户权限?你是不是
从来没有接触过USERNETCTL?不要以为知道如何做到就行了,要尽可能知道得更多,成为一名技术上的领
导者,但是。。。
-------------------------------------------------
你不可能知道所有的事情
-------------------------------------------------
这是我们不得不面队的事实。如果你认为你可以知道所有的事情,你在自欺欺人。你需要做的是选择
一个领域,一个你最感兴趣的一个领域,并进一步学习更多的知识。
要想成为一名熟练的用户,成为一个管理员,成为一名技术上的领导者,直至成为某一个领域中更优
秀的人,不是仅仅学习如何使用Web浏览器,怎样写GGI就行了,你知道HTTP和WEB服务器的原理吗?知道
当服务器不正常工作时应该怎样使它工作吗?当你在这个领域内有一定经验时,自然就知道怎样攻击和防
御了!
这其实是很简单的道理,如果你知道所有的 关于这方面的知识。那么,你就可以知道安全隐患在哪
里?面对所有的漏洞时(新的,旧的,将来的)你自己就能够发现未知的漏洞(你这时已经是一个黑客高
手了)
你找漏洞可以,但你必须首先了解漏洞的来源。所以,放下你手中的Whisker的拷贝,去学习GGI到底
是干什么的?它们是怎么使通过HTTP的Web服务器有漏洞的?很快你就会知道到底Whisker是干什么的了!
编程语言
在所有最近被提及的问题中,最唱听到的就是:“你认为应该学习什么编程语言”
我想,这要看具体情况了,如你花费多少时间来学习?你想用这种语言来做什么 *** :9750406
事?想用多长时间来完成一个程序?这个程序将完成多复杂的任务?
以下有几个选项:
*Visual Basic
一种非常容易学习的语言,有很多关于这方面的书,公开的免费源代码也很多,
你应该能够很快地使用它。但是这个语言有一定的局限。它并不像C++那样强大,你
需要在Windows下运行它,需要有一个VB的编程环境。想用VB来编写攻击代码或补丁
是十分困难的
*C++
也许是最强大的语言了。在所有的操作系统里都存在。在网上有成吨的源代码和
书是免费的,包括编程环境。它比VB复杂,掌握它需要花费的时间也比掌握VB长。
简单的东西容易学,功能强大的东西理解起来也要困难一些,这需要你自己衡量
*Assembly
也许是最复杂的语言,也是最难学的语言。如果你把它当作自己的初入门语言。
那么将会难的你的头要爆裂。但是,先学会了汇编,其余的编程语言也就变得容易
多了。市场上的汇编书籍有减少的趋势。不过,汇编知识在某些方面至关重要,比
如缓冲溢出攻击。
*perl
一种很不错的语言。它像VB一样容易学习,也像VB一样有局限性。但是它在多数
操作平台上都能运行(unix和windows,所以这是它的优势。有很多这方面的书籍
而且是完全免费的。你可以用它来 *** 一些普通的攻击工具,它主要用于一些文本
方式的攻击技巧,并不适合 *** 二进制程序
我想,这是你所有想知道的,有把握的说,C/C++是更佳选择。
-----------------------------------------
推荐的书
-----------------------------------------
另外一个问题是我推荐去读什么书。
我个人手边有以下的几本书作为参考。
Applied Cryptography (Btuce Scheiner)
Linux Application Development (mike johnson and troan)
windows assembly language and systems programming(barry kauler)
perl cookbook (tom chirstiansen and nathan torkington)(o‘reilly)
linux programmer‘s reference (richard petersen)(o *** orne)
all the o‘reilly ‘pocket reference‘books,which include vi.emacs.python.
perl.pl/sql。nt.javascript.sendmail.tcl/tk.perl/tk
我总是在这些书的一些基本规则里思考。
我的心得是,大部分o‘reilly的书都非常耐读,找一个你感兴趣的领域专心去
钻研吧!
远程联线
远程联线是一个不可思议的工具, 它让您超越时空一般的使用远端的
电脑系统。有了远程联线, 电脑软硬体资源的分享变得很有效率, 打个比
喻来说, 您可以连线载入位於某处的超级电脑(假设您有存取权), 做天体
模拟运算, 当结果迅速的产生时, 您可以将资料传送到另一部图形模拟工
作站, 由那里产生一份实体模拟图。在这例子中, 您先后用到了一部超级
电脑以及一部图形处理工作站, 而您双手真正接触到的, 很可能是一部位
於实验室的个人电脑(PC), 可是其他这两台电脑可能在什麽地方也不知道!
是的, 您一点也无须知道, 通过Internet的远程联线工具, 您只需到知道
那里有您要的CPU时间,以及应用软件, 如此而已。
远程联线可以应用於跨越时空的环境, 当然也同样适用於办公室区域
*** 间, 一台电脑模拟成另一台电脑的终端机而连线载入对方系统。
什麽是Telnet?
也许读者们听说过Telnet是一种通讯协定之一, 对於这种说法, 您大
可以忽略掉。 读者不妨简单的想, Telnet就是让刚刚以上的说明成为具体
可行的一个实际的工具, 也就是说, 我们只是单纯的视Telnet为一个执行
远程联线的工具之一, 让一台电脑连线载入另外一部电脑。
笔者记得前面已经提到很多次, 在 *** 上的应用程式多半是采用
Client/Server模式, 用中文来说, 也就是一定有一端是请求端, 请求端
执行Telnet请求程式。在主机这一端则有装置有伺服程式来接受连线请求
,不过在多半的情况, 主机端则Client与Server两者都有。
远程联线的使用程序与您平常在本地通过 *** 线或任何其他方式载入
一部主机并没有很大不一样, 您在对方主机一定要有一个私人使用帐号,
以及您的通行密码, 这样子您才有办法连线进入该主机系统。细节上请参
考下面的示意。另外, 在Internet上, 有相当多的各式各样服务系统也是
通过这方式来提供服务, 其中决大部分是免费的服务, 像是Hytelnet、BBS
、Gopher及Archie等等就是, 这类系统通常开放有公用帐号, 且无须使用
密码。
Telnet在功能上, 是模拟成远端一部电脑系统的终端机, 通过 *** 连
线载入该电脑系统。假如您实验室中有跑DOS的个人电脑, 该电脑也已经连
结上校园 *** , 您可以请人帮您装设一套NCSA Telnet软件, 之后您就可以
做笔者以上所介绍的这些不可思议的事情 (笔者一直都没有吹牛:-) )。
NCSA Telnet是专门为DOS设计的一个请求程式, 至於在Unix机器上, 您就
无须担心, 因为Unix是 *** 的天生好手, 它一出厂就已经具备有Telnet这
东西, 而且通常是请求程序与服务程序同时具备。
□ 二. □例:远程联线远端某个主机系统
┌——————————————————————————————————————————┐
│ $ telnet jet.ncic1.ac.cn ← 连线 │
│ Trying 159.226.43.26... │
│ Connected to 159.226.43.26 │
│ Escape character is ‘^]‘. │
│ │
│ SunOS UNIX (sparc4) (连线成功) │
│ │
│ login: feng ←输入账号
password:******* ←输入密码
│ Last login: Thu Dec 30 11:37:17 from 159.226.43.45 │
│ SunOS Release 4.1.1 (sparc15) #1: Tue Nov 12 05:15:31 CST 1996 │
└——————————————————————————————————————————┘
远程联线就是这麽简单, 上面的操作就是一个典型远程联线的应用,
我们应用远程联线的功能,来取用远端某一台主机系统提供的某某公
共服务系统, 至於很多商业 *** 系统也可以用这方式来连线进入。
在Internet, 我们可以发现很多有趣的服务系统, 比方说,
假如您喜欢下棋, 您也找得到一些围棋服务系统, 利用这系统您可以与另
外一个人下围棋 ( 注意是对手是「人」, 而您可能不知道对手人在地球的
那个角落, 妙哉! ) , 其他像是 *** 游戏系统(比方MUD)您有时间也可以一
试。其他的服务系统像是BBS、IRC及Gopher等等也可以通过Telnet来取得
服务。
□ 三. Telnet、Tn3270 浅介
远程联线时, 您只须知道几个Telnet的指令, 大抵如何连线, 如何中
途执行本端指令 (您自己主机这一端) , 如何结束连线及万一不得已时使
用的中断连线等等。Telnet的使用并没有像FTP有很多独特的操作指令。
不论在DOS或Unix环境, Telnet 都是个非常容易的指令, 您几乎不
需要任何学习, 您该知道的顶多只是一开始的连线动作, 以及最后要退出
对方系统时的操作程序, 以下笔者只介绍两个指令:
Unix下的telnet与tn3270在操作上几乎是一样的, 所不同者, 只因为
所连线对方系统并不一样, 所以操作程序稍稍有异, 所以您要注意的只是,
「遵照」对方系统的要求程序来中断连线即可。举例来说, 您用tn3270连
线IBM VM系统时, 「logoff」 (大小写不拘) 就是您结束连线的指令, 您
除非不得已, 不要用Unix〃kill〃指令来结束连线。
在Unix下, 无论telnet或 tn3270, 您都可以按CTRL-] (CTRL 键及]
键同时按, 有时得按两次 ) 暂时回到 telnet/tn3270 环境, 这时您可
以执行telnet/tn3270本身的指令, 会出现下面画面。
┌——————————————————————————————————————————┐
│ telnet ? ← ? 符号求助 │
│ Commands may be abbreviated. Commands are: │
│ │
│ close close current connection │
│ display display operating parameters │
│ mode try to enter line-by-line or character-at-a-time mode │
│ open connect to a site │
│ quit exit telnet │
│ send tran *** it special characters (‘send ?‘ for more) │
│ set set operating parameters (‘set ?‘ for more) │
│ status print status information │
│ toggle toggle operating parameters (‘toggle ?‘ for more) │
│ z suspend telnet │
│ ? print help information │
│ telnet │
│ │
│ toggle toggle operating parameters (‘toggle ?‘ for more) │
│ z suspend telnet │
│ ? print help information │
│ telnet status ← 查看目前连线状况 │
│ No connection. │
│ Escape character is ‘^]‘. │
│ telnet z ← 暂时回到本地的shell, 把连线作业放在背景 │
│ │
│ [1] + Stopped telnet │
│ [^C] interrupt. │
│ [^U] kill. │
│ [^\] quit. │
│ [^D] eof. │
│ │
│ $ fg ← 将连线切回前台 (回到telnet) │
│ telnet │
│ │
│ telnet q ← 中断连线 (不被鼓励使用) │
│ $ │
└——————————————————————————————————————————┘
另外, 从telnet回到连线, 只须在telnet 提示符号下按键即
可。以上说明同样应用於tn3270, 这里笔者不另外说明。
最后, 笔者只能告诉您, Telnet本身非常容易操作及了解, 这是为什
麽本节没有举很多例子。而 Telnet 所能连线的系统才是您所要认识的,
Telnet 可以说只是一个桥梁而已, 您行走过该桥时, 大可不知道该桥是那
些工匠或用那些材料造的。
□ 四. Unix rlogin介绍
rlogin是Unix主机间一个远程联线工具程序, rlogin更大的卖点可能
是它的8-bit clean连线方式, 也就是说, 万一您想载入远端一部Unix系统
, 且使用图形操作界面(比方像中文及图形视窗环境等等), 若您的Telnet
无法提供8-bit clean能力, 您就可以选择rlogin。
$ rlogin 159.226.43.26 -l feng -8 ← 远程联线
fengs Password: ***** ← 该系统询问通行密码读者们可以用〃man rlogin〃指令
查询到更详细的介绍。
计算机黑客是什么
黑客 英文名称:hacker 利用系统安全漏洞对 *** 进行攻击破坏或窃取资料的人
黑客黑客最早源自英文hacker,早期在美国的电脑界是带有褒义的。但在媒体报导中,黑客一词往往指那些“软件骇客”(software cracker)。黑客一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑 *** 搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。
信息技术的主要特点
1、现代信息技术的主要特点是:高速度、数字化、 *** 化、宽频带、智能化和多媒体化。
2、现代信息技术是借助以微电子学为基础的计算机技术和电信技术的结合而形成的手段,对声音的、图像的、文字的、数字的和各种传感信号的信息进行获取、加工、处理、储存、传播和使用的能动技术。它的核心是信息学。
3、现代信息技术包括ERP、GPS、RFID等,可以从ERP知识与应用、GPS知识与应用、EDI知识与应用中了解和学习。现代信息技术是一个内容十分广泛的技术群,它包括微电子技术、光电子技术、通信技术、 *** 技术、感测技术、控制技术、显示技术等。
状态检测防火墙的技术特点是什么
//ok,我改
//包过滤的防火墙最简单,你可以指定让某个IP或某个端口或某个网段的数据包通过[或不通过],它不支持应用层的过滤,不支持数据包内容的过滤。
//状态防火墙更复杂一点,按照TCP基于状态的特点,在防火墙上记录各个连接的状态,这可以弥补包过滤防火墙的缺点,比如你允许了ip为1.1.1.1的数据包通过防火墙,但是恶意的人伪造ip的话,没有通过tcp的三次握手也可以闯过包过滤防火墙。
//应用 *** 网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层 *** 软件转发,访问者任何时候都不能与服务器建立直接的 TCP 连接,应用层的协议会话过程必须符合 *** 的安全策略要求。
应用 *** 网关的优点是可以检查应用层、传输层和 *** 层的协议特征,对数据包的检测能力比较强。
//
一、当前防火墙技术分类
防火墙技术经历了包过滤、应用 *** 网关、再到状态检测三个阶段。
1.1 包过滤技术
包过滤防火墙工作在 *** 层,对数据包的源及目地 IP 具有识别和控 *** 用,对于传输层,也只能识别数据包是 TCP 还是 UDP 及所用的端口信息,如下图所示。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。
由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析,包过滤防火墙的处理速度较快,并且易于配置。
包过滤防火墙具有根本的缺陷:
1 .不能防范黑客攻击。包过滤防火墙的工作基于一个前提,就是网管知道哪些 IP 是可信 *** ,哪些是不可信 *** 的 IP 地址。但是随着远程办公等新应用的出现,网管不可能区分出可信 *** 与不可信 *** 的界限,对于黑客来说,只需将源 IP 包改成合法 IP 即可轻松通过包过滤防火墙,进入内网,而任何一个初级水平的黑客都能进行 IP 地址欺骗。
2 .不支持应用层协议。假如内网用户提出这样一个需求,只允许内网员工访问外网的网页(使用 HTTP 协议),不允许去外网下载电影(一般使用 FTP 协议)。包过滤防火墙无能为力,因为它不认识数据包中的应用层协议,访问控制粒度太粗糙。
3 .不能处理新的安全威胁。它不能跟踪 TCP 状态,所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时,一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。
综上可见,包过滤防火墙技术面太过初级,就好比一位保安只能根据访客来自哪个省市来判断是否允许他(她)进入一样,难以履行保护内网安全的职责。
1.2 应用 *** 网关技术
应用 *** 网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层 *** 软件转发,访问者任何时候都不能与服务器建立直接的 TCP 连接,应用层的协议会话过程必须符合 *** 的安全策略要求。
应用 *** 网关的优点是可以检查应用层、传输层和 *** 层的协议特征,对数据包的检测能力比较强。
缺点也非常突出,主要有:
· 难于配置。由于每个应用都要求单独的 *** 进程,这就要求网管能理解每项应用协议的弱点,并能合理的配置安全策略,由于配置繁琐,难于理解,容易出现配置失误,最终影响内网的安全防范能力。
· 处理速度非常慢。断掉所有的连接,由防火墙重新建立连接,理论上可以使应用 *** 防火墙具有极高的安全性。但是实际应用中并不可行,因为对于内网的每个 Web 访问请求,应用 *** 都需要开一个单独的 *** 进程,它要保护内网的 Web 服务器、数据库服务器、文件服务器、邮件服务器,及业务程序等,就需要建立一个个的服务 *** ,以处理客户端的访问请求。这样,应用 *** 的处理延迟会很大,内网用户的正常 Web 访问不能及时得到响应。
总之,应用 *** 防火墙不能支持大规模的并发连接,在对速度敏感的行业使用这类防火墙时简直是灾难。另外,防火墙核心要求预先内置一些已知应用程序的 *** ,使得一些新出现的应用在 *** 防火墙内被无情地阻断,不能很好地支持新应用。
在 IT 领域中,新应用、新技术、新协议层出不穷, *** 防火墙很难适应这种局面。因此,在一些重要的领域和行业的核心业务应用中, *** 防火墙正被逐渐疏远。
但是,自适应 *** 技术的出现让应用 *** 防火墙技术出现了新的转机,它结合了 *** 防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安全性的基础上将 *** 防火墙的性能提高了 10 倍。
1.3 状态检测技术
我们知道, Internet 上传输的数据都必须遵循 TCP/IP 协议,根据 TCP 协议,每个可靠连接的建立需要经过 “ 客户端同步请求 ” 、 “ 服务器应答 ” 、 “ 客户端再应答 ” 三个阶段,我们最常用到的 Web 浏览、文件下载、收发邮件等都要经过这三个阶段。这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,引出了状态检测技术。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的 IP 地址等几个参数,而不关心数据包连接状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出 *** 的数据当成一个个的会话,利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
网关防火墙的一个挑战就是能处理的流量,状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。状态监测技术采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类 *** 环境中,尤其是在一些规则复杂的大型 *** 上。
任何一款高性能的防火墙,都会采用状态检测技术。
从 2000 年开始,国内的著名防火墙公司,如北京天融信等公司,都开始采用这一最新的体系架构,并在此基础上,天融信 NGFW4000 创新推出了核检测技术,在操作系统内核模拟出典型的应用层协议,在内核实现对应用层协议的过滤,在实现安全目标的同时可以得到极高的性能。目前支持的协议有 HTTP/1.0/1.1 、 FTP 、 *** TP 、 POP3 、 MMS 、 H.232 等最新和最常用的应用协议。
二、防火墙发展的新技术趋势
2.1 新需求引发的技术走向
防火墙技术的发展离不开社会需求的变化,着眼未来,我们注意到以下几个新的需求。
· 远程办公的增长。这次全国主要城市先后受到 SARS 病毒的侵袭,直接促成大量的企事业在家办公,这就要求防火墙既能抵抗外部攻击,又能允许合法的远程访问,做到更细粒度的访问控制。现在一些厂商推出的 VPN (虚拟专用网)技术就是很好的解决方式。只有以指定方式加密的数据包才能通过防火墙,这样可以确保信息的保密性,又能成为识别入侵行为的手段。
· 内部 *** “ 包厢化 ” ( compartmentalizing )。人们通常认为处在防火墙保护下的内网是可信的,只有 Internet 是不可信的。由于黑客攻击技术和工具在 Internet 上随手可及,使得内部 *** 的潜在威胁大大增加,这种威胁既可以是外网的人员,也可能是内网用户,不再存在一个可信 *** 环境。
由于无线 *** 的快速应用以及传统拨号方式的继续存在,内网受到了前所未有的威胁。企业之前的合作将合作伙伴纳入了企业 *** 里,全国各地的分支机构共享一个论坛,都使可信 *** 的概念变得模糊起来。应对的办法就是将内部网细分成一间间的 “ 包厢 ” ,对每个 “ 包厢 ” 实施独立的安全策略。
2.2 黑客攻击引发的技术走向
防火墙作为内网的贴身保镖,黑客攻击的特点也决定了防火墙的技术走向。
�8�5 80 端口的关闭。从受攻击的协议和端口来看,排在之一位的就是 HTTP 协议( 80 端口)。
根据 SANS 的调查显示,提供 HTTP 服务的 IIS 和 Apache 是最易受到攻击,这说明 80 端口所引发的威胁最多。
因此,无论是未来的防火墙技术还是现在应用的防火墙产品,都应尽可能将 80 端口关闭。
· 数据包的深度检测。 IT 业界权威机构 Gartner 认为 *** 不是阻止未来黑客攻击的关键,但是防火墙应能分辨并阻止数据包的恶意行为,包检测的技术方案需要增加签名检测 (signature inspection) 等新的功能,以查找已经的攻击,并分辨出哪些是正常的数据流,哪些是异常数据流。
· 协同性。从黑客攻击事件分析,对外提供 Web 等应用的服务器是防护的重点。单单依靠防火墙难以防范所有的攻击行为,这就需要将防火墙技术、入侵检测技术、病毒检测技术有效协同,共同完成保护 *** 安全的任务。早在 2000 年,北京天融信公司就已经认识到了协同的必要性和紧迫性,推出了 TOPSEC 协议,与 IDS 等其他安全设备联动,与其他安全设备配合组成一个有机的可扩展的安全体系平台。目前主要支持和 IDS 的联动和认证服务器进行联动。如支持国内十几家知名的 IDS 、安全管理系统、安全审计、其他认证系统等等组成完整的 TOPSEC 解决方案。 2002 年 9 月,北电、思科和 Check Point 一道宣布共同推出安全产品,也体现了厂商之间优势互补、互通有无的趋势。
什么是黑客?
谈到 *** 安全问题,就没法不谈黑客(Hacker)。翻开1998年日本出版的《新黑客字典》,可以看到上面对黑客的定义是:“喜欢探索软件程序奥秘、并从中增长其个人才干的人。他们不像绝大多数电脑使用者,只规规矩矩地了解别人指定了解的范围狭小的部分知识。”
“黑客”大都是程序员,他们对于操作系统和编程语言有着深刻的认识,乐于探索操作系统的奥秘且善于通过探索了解系统中的漏洞及其原因所在,他们恪守这样一条准则:“Never
damage any
system”(永不破坏任何系统)。他们近乎疯狂地钻研更深入的电脑系统知识并乐于与他人共享成果,他们一度是电脑发展史上的英雄,为推动计算机的发展起了重要的作用。那时候,从事黑客活动,就意味着对计算机的潜力进行智力上更大程度的发掘。国际上的著名黑客均强烈支持信息共享论,认为信息、技术和知识都应当被所有人共享,而不能为少数人所垄断。大多数黑客中都具有反社会或反传统的色彩,同时,另外一个特征是十分重视团队的合作精神。
显然,“黑客”一词原来并没有丝毫的贬义成分。直到后来,少数怀着不良的企图,利用非法手段获得的系统访问权去闯入远程机器系统、破坏重要数据,或为了自己的私利而制造麻烦的具有恶意行为特征的人(他们其实是“Crack”)慢慢玷污了“黑客”的名声,“黑客”才逐渐演变成入侵者、破坏者的代名词。
“他们瞄准一台计算机,对它进行控制,然后毁坏它。”——这是1995年美国拍摄之一部有关黑客的电影《战争游戏》中,对“黑客”概念的描述。
虽然现在对黑客的准确定义仍有不同的意见,但是,从信息安全这个角度来说,“黑客”的普遍含意是特指对电脑系统的非法侵入者。多数黑客都痴迷电脑,认为自己在计算机方面的天赋过人,只要自己愿意,就可毫无顾忌地非法闯入某些敏感的信息禁区或者重要网站,以窃取重要的信息资源、篡改网址信息或者删除该网址的全部内容等恶作剧行为作为一种智力的挑战而自我陶醉。
目前黑客已成为一个特殊的社会群体,在欧美等国有不少完全合法的黑客组织,黑客们经常召开黑客技术交流会,97年11月,在纽约就召开了世界黑客大会,与会者达四五千人之众。另一方面,黑客组织在因特网上利用自己的网站上介绍黑客攻击手段、免费提供各种黑客工具软件、出版网上黑客杂志。这使得普通人也很容易下载并学会使用一些简单的黑客手段或工具对 *** 进行某种程度的攻击,进一步恶化了 *** 安全环境。
0条大神的评论