第八章 网络安全技术与应用


             击方法需要有一定的密码学和数学基础。常用的密码分析攻击有4类：唯密文攻

             击、已知明文攻击、选择明文攻击和选择密文攻击。
                 ④放置木马程序。一些木马程序能够记录用户通过键盘输入的密码或密码文
             件发送给攻击者。
                 ⑤利用Web页面欺骗。黑客将用户经常浏览的网页URL地址改写成指向自己

             的服务器，当用户浏览这个模仿伪造的目标网页即“钓鱼网站”时，填写账户名
             称、密码等有关的登录信息，就会被传送到攻击者的Web服务器，在获得一个服务
             器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口

             令。该方法的使用前提是黑客先获得口令的Shadow文件，从而达到骗取的目的。
                 2.密码破解防范对策
                 要防止密码被破解，保持密码安全性能，系统管理员必须定期运行破译密码
             的工具来尝试破译Shadow文件，若有用户的密码被破译出，说明这些用户的密

             码设置过于简单或有规律可循，应尽快通知用户及时更改密码，以防黑客攻击，
             造成财产和其他损失。
                 通常情况下网络用户应注意“5不要”的要点如下：①不要选取容易被黑客

             猜测到的信息作为密码，如生日、手机号码后几位等。②不要将密码写到纸上，
             以免出现泄露或遗失问题。③不要将密码保存在计算机或其他磁盘文件中。④不
             要让他人知道密码，以免增加不必要的损失。⑤不要在多个不同系统中使用同一

             密码。保护密码还要注意“三度”原则：a.密码系列的“复杂度”，如大小写、
             特殊字符和数字等的混搭组合。b.不同应用的密码“区分度”，随着攻击手段的
             多元化、复杂化等趋势，近年来“撞库”攻击越来越频发，因此作为用户的不同

             应用的密码设置，需要注意“区分度”。c.密码修改的“频度”，一般建议不超
             过3个月进行一次密码的更新。
                 （四）其他攻防技术
                 1.WWW的欺骗技术

                 WWW的欺骗技术是指黑客篡改访问站点页面内容或将用户要浏览的网页
             URL改写为指向黑客自己的服务器。例如，黑客将用户要浏览的网页的URL改写
             为指向黑客自己的服务器，当用户浏览目标网页时，实际上是向黑客服务器发出

             请求，那么黑客就可以达到欺骗的目的了。
                 一般WWW欺骗使用两种技术手段：URL地址重写技术和相关信息掩盖技


                                                                                    263