网络安全协议-第6章.pptVIP

MIME邮件举例3 (Nimda病毒) MIME-Version: 1.0 Content-Type: multipart/related; type=multipart/alternative; boundary=====_ABC1234567890DEF_==== HTMLHEAD/HEADBODY bgColor=#ffffff iframe src=cid:EA4DMGBP9p height=0 width=0 /iframe/BODY/HTML --====_ABC0987654321DEF_====-- --====_ABC1234567890DEF_==== Content-Type: audio/x-wav; name=readme.exe Content-Transfer-Encoding: base64 Content-ID: EA4DMGBP9p 它将一个可执行文件作为资源嵌入了框架型页面，却声明这段可执行代码是波形声音类型。当时微软的IE(版本5.0及以下)存在重大安全漏洞，没有检查Content-Type与name的扩展名是否匹配，致使点选或打开邮件时自动运行了这个“readme.exe”，感染上病毒。 邮件的标准MIME头 Mime-Version: 1.0 //版本号：1.0 Content-Type: multipart/mixed; boundary=IMA.Boundary.750407228 //内容类型是多种的 --IMA.Boundary.750407228 Content-Type: text/plain; charset=US-ASCII //内容类型：文本，字符是ASCII的 Content-Transfer-Encoding: 7bit //编码方式：7位 Content-Description: cc:Mail note part MIME传送编码 MIME邮件的编码方式有：7位、8位、二进制、基数64（Base64）和Quoted-printable。 7位ASCII码是目前邮件标准 8位和二进制编码是直接传送 Base64和Quoted-printable在传送前先要转换成ASCII码 Quoted-printable编码方法： 对于可打印ASCII码，除“=”号外，都不改变 对于“=”及超过127的ASCII码（汉字等），先将每个字节的二进制代码用2个16进制数字表示，然后在前面加上一个“=”。如“系”的二进制编码是10100101”，转成16进制：CF B5，所以“系”字的Quoted-printable编码为：=CF=B5 “=”的二进制代码3D,编码为 =3D Based64编码方法： 任意二进制文件可用Base64编码。 将24位代码划分成4个6位组。 6位二进制的取值范围是：0～63，大写字母（0～25）小写字母（26～51），阿拉伯数字（52～61）和“+”（62）、“/”（63）。 “=”作为填充字符，“==”和“=”分别表示最后一组代码只有8位和16位。回车和换行符都忽略。 假设有01011100即8、53、50、17，所以其Base64编码为：I1yR MIME的安全多部件 RFC1847中定义了两种类型的安全内容： 保护数据部件 控制部件 （1）multipart-signed 包含两个体部件： 保护数据部件——任何合法的MIME媒体类型，含计算数字签名的数据。 控制部件——验证数字签名所需的控制信息。 multipart-signed实体顶层中的Content-Type字段要求3个参数： Boundary:多部件实体必需 Protocol:第二个体部件中Content-type的值 Micalg：含用于计算第一个体部件的MIC（信件完整性检查） 简单的MULTIPART/SIGNED消息 Content-Type: multipart/signed;protocol=application/pkcs7-signature;micalg=sha1; boundary=boundary42 --boundary42Content-Type: text/plain; charset=“us-ascii” This is a clear-signed message. --boundary42Content-Type: application/pkcs7-signature; name=smime.p7sContent-Transfer-Encoding: base64Content-Disposition: attac