第7章网站的安全.ppt.ppt

（2）利用漏洞 （3）字典法破解 通常可以用以下一些方法来获取用户的口令。 （1）缺省的登录界面（Shell Scripts）攻击法 （2）通过网络监听非法得到用户的口令 （3）直接猜测 （4）人为的失误 （5）获取密码存放文件 7.1.2 安全口令的设置 1．保证足够的口令长度 2．保证口令的复杂性 5．遵循以下用户规则 为了安全，对用户进行口令安全方面的教育是很重要的。用户在了解如何设置安全口令的同时，还应该遵守用户规则。为了保持用户口令的安全现有以下几点建议： （1）不要将口令写下来； （2）不要将口令存入计算机文件中； （3）不要选取显而易见的信息作为口令； （4）不要让别人知道自己的口令； （5）不要交替使用两个口令； （6）不要在不同系统上使用同一口令； （7）不要让人看见自己在输入口令。 减少口令危险的最有效的方法是根本不用常规口令。替代的办法就是在系统中安装新的软件或硬件，使用一次性口令。不幸的是，他们或者要求安装一些特定的程序，或者需要购买一些硬件，因此现在使用得并不普遍。 3．DNS协议的安全缺陷 2．基本原理 DNS动态更新过程中会涉及到以下3个角色。 （1）从服务器（Slave）： （2）主服务器（Master）： （3）原主服务器（Primary Master）： 3．基本模式 （1）模式A 域的隐蔽密钥和域中的静态信息都被离线存放，以提高静态数据的安全性。所有RR的动态更新数据都需要被认可过的动态更新密钥签名，而且这些动态数据保存在在线的动态主文件中。 7.3 DNS的安全 7.3.1 DNS的安全问题 DNS的安全问题可以分为实现中的安全问题和协议安全缺陷两大类，实现相关的问题几乎影响了目前所有的DNS服务器，但是可以通过打补丁等方法进行修补，而协议安全缺陷则需要使用防火墙技术解决。 1．DNS实现中的安全问题 （1）DNS的请求得到虚假应答 （2）主机名与IP地址DNS树之间的数据不匹配 （3）给入侵者透露的信息太多 除此之外，DNS在使用过程中也存在以下一些安全缺陷。 ① 最直接攻击方式 ② 服务失效攻击 ③ 服务窃取攻击 ④ 抢占 ⑤ 其他DNS攻击方式 2．设置DNS来隐藏信息 （1）在堡垒主机上建立一个伪DNS服务器供外界使用 图7.3 用防火墙来隐藏DNS信息 （2）在内部系统上建立一个真实的DNS服务器供内部使用 图7.4 有转发的DNS 7.3.2 增强的DNS 1．DNS安全扩展 2．密钥的分配 DNS的安全扩展使用基于分开密钥的密钥分配机制，以支持鉴别和其他安全服务。其中使用的一个重要概念就是密钥资源记录（KEY RR），它把一个公开密钥和一个DNS名关联起来。 3．数据的原始鉴别和完整性保护 4．事务和请求的鉴别 5．签名的资源记录 7.3.3 安全DNS信息的动态更新 1．概述 安全DNS信息动态更新处理的是DNS的信息（及RR）的动态修改，包括删除RR及设置RR等一些频率较低的操作，DNSSEC工作组为此定义了专门的操作、请求和响应格式、返回码等等。 * * 第7章 网站的安全 7.1 口 令 安 全 7.2 Web站点的安全 7.3 DNS的安全 7.1 口 令 安 全 7.1.1 口令破解过程 1．口令破解的方法 （1）穷举法 穷举法就是对所有可能的口令组合进行猜测，最终找到系统的口令，因此也被称为蛮力猜测。 89456年 2821109907456 8 2484年 78364164096 7 69年 2176782236 6 1.9年5 19.44天 1679616 4 12.96小时 46656 3 21分 1296 2 36秒 36 1 所 需 时 间 要猜测的口令数 口 令 长 度 表7.1 口令长度对破解的影响 2．口令破解过程 3．几个典型的口令破译程序 （1）用于Windows NT/2000的口令破译程序 下面的工具对基于Windows NT/2000的攻击都很有用。 ① L0phtcrack ② Solar Designer的John the Ripper （2）用于UNIX上的口令破译程序 ① Crack ② Crackerjack ③ Merlin 下述几点是设定较安全的口令时必须遵循的原则： （1）口令中尽量包含字母、数字和标点符号，还可以用控制字符来增强口令的复杂性； （2）口令的长度应至少有8个字符； （3）口令的字符不要太常见； （4）口令不要用自己的电话号码； （5）口令不要用自己或家里亲人的生日； （6）口令不要用身份证号码的一部分； （7）口令不要