本書從網絡攻防、協議與安全解決方案的角度闡述網絡安全，把網絡看成安全與不安全的源頭。全書共分為四部分，第一部分討論網絡概念與威脅的入門知識，分彆介紹瞭網絡體係結構、網絡協議、互聯網和網絡漏洞的分類；第二部分討論低層網絡安全，包括物理網絡層概述、網絡層協議和傳輸層協議；第三部分討論應用層安全，包括應用層概述、郵件、Web安全和遠程訪問安全；第四部分基於網絡防範，介紹瞭常用的網絡安全設備。

作者簡介

Douglas Jacobson

美國愛荷華大學電子與計算機工程係教授，現任愛荷華大學信息確保中心主任，該中心是美國國傢安全局認可的在信息確保教育方麵具有學術地位的特許中心。Jacobson博士講授網絡安全與信息戰課程，同時從事地方執法，是愛荷華大學計算機取證分析師。曾兩度獲得計算機安全技術R&D; 100奬，在計算機安全領域擁有兩項專利。

第一部分網絡概念與威脅入門
第1章網絡體係結構
1．1 網絡的層次結構
1．2 協議概述
1．3 層次網絡模型
課後作業和實驗作業
參考文獻
第2章網絡協議
2．1 協議規範
2．2 地址
2．3 頭部
課後作業和實驗作業
參考文獻
第3章互聯網
3．1 尋址
3．1．1 地址欺騙
3．1．2 IP地址
3．1．3 主機名與IP地址的匹配
3．2 客戶-服務器模式
3．3 路由
課後作業和實驗作業
參考文獻
第4章網絡漏洞的分類
4．1 網絡安全威脅模型
4．2 分類
4．2．1 基於頭部的漏洞和攻擊
4．2．2 基於協議的漏洞和攻擊
4．2．3 基於驗證的漏洞和攻擊
4．2．4 基於流量的漏洞和攻擊
4．3 分類方法的應用
課後作業和實驗作業
參考文獻
第二部分低層網絡安全
第5章物理網絡層概述
5．1 常見的攻擊方法
5．1．1 硬件地址欺騙
5．1．2 網絡嗅探
5．1．3 物理攻擊
5．2 有綫網絡協議
5．2．1 以太網協議
5．2．2 基於頭部的攻擊
5．2．3 基於協議的攻擊
5．2．4 基於驗證的攻擊
5．2．5 基於流量的攻擊
5．3 無綫網絡協議
5．3．1 基於頭部的攻擊
5．3．2 基於協議的攻擊
5．3．3 基於驗證的攻擊
5．3．4 基於流量的攻擊
5．4 常用對策
5．4．1 虛擬局域網（VLAN）
5．4．2 網絡訪問控製（NAC）
5．5 一般結論
課後作業和實驗作業
參考文獻
第6章網絡層協議
6．1 IPv4協議
6．1．1 IP尋址
6．1．2 路由
6．1．3 數據包格式
6．1．4 地址解析協議（ARP）
6．1．5 網際控製消息協議（ICMP）
6．1．6 把它們組閤在一起
6．1．7 基於頭部的攻擊
6．1．8 基於協議的攻擊
6．1．9 基於認證的攻擊
6．1．10基於流量的攻擊
6．2 引導協議(BOOTP)和動態主機配置協議(DHCP)
6．2．1 引導協議(BOOTP)
6．2．2 DHCP協議
6．2．3 基於頭部的攻擊
6．2．4 基於協議的攻擊
6．2．5 基於驗證的攻擊
6．2．6 基於流量的攻擊
6．3 IPv6協議
6．3．1 數據包格式
6．3．2 版本6的ICMP協議
6．4 常用的IP層對策
6．4．1 IP過濾
6．4．2 網絡地址轉換(NAT)
6．4．3 虛擬專用網(VPN)
6．4．4 IP安全(IPSEC)
課後作業和實驗作業
參考文獻
第7章傳輸層協議
7．1 傳輸控製協議(TCP)
7．1．1 多路復用
7．1．2 連接管理
7．1．3 數據傳輸
7．1．4 特殊服務
7．1．5 錯誤報告
7．1．6 TCP協議
7．1．7 TCP數據包格式
7．1．8 基於頭部的攻擊
7．1．9 基於協議的攻擊
7．1．10基於驗證的攻擊
7．1．11基於流量的攻擊
7．2 用戶數據報協議(UDP)
7．2．1 數據包格式
7．2．2 基於頭部和協議的攻擊
7．2．3 基於驗證的攻擊
7．2．4 基於流量的攻擊
7．3 域名服務(DNS)
7．3．1 DNS協議
7．3．2 DNS數據包格式
7．3．3 基於頭部的攻擊
7．3．4 基於協議的攻擊
7．3．5 基於驗證的攻擊
7．3．6 基於流量的攻擊
7．4 常用對策
7．4．1 傳輸層安全(TLS)
課後作業和實驗作業
參考文獻
第三部分應用層安全
第8章應用層概述
8．1 套接字
8．2 常見攻擊方法
8．2．1 基於頭部的攻擊
8．2．2 基於協議的攻擊
8．2．3 基於驗證的攻擊
8．2．4 基於流量的攻擊
課後作業和實驗作業
參考文獻
第9章電子郵件
9．1 簡單電子郵件傳輸協議（SMTP）
9．1．1 漏洞、攻擊和對策
9．2 POP和IMAP
9．2．1 漏洞、攻擊和對策
9．3 MIME
9．3．1 漏洞、攻擊和對策
9．4 一般電子郵件對策
9．4．1 加密和驗證
9．4．2 電子郵件過濾
9．4．3 內容過濾處理
9．4．4 電子郵件取證
課後作業和實驗作業
參考文獻
第10章 Web安全
10．1 超文本傳輸協議(HTTP)
10．1．1 指令信息
10．1．2 迴應消息
10．1．3 HTTP消息頭部
10．1．4 漏洞、攻擊和對策
10．2 超文本標記語言(HTML)
10．2．1 漏洞、攻擊和對策
10．3 服務器端安全
10．3．1 漏洞、攻擊和對策
10．4 客戶端安全
10．4．1 漏洞、攻擊和對策
10．5 常用Web對策
10．5．1 URL過濾
10．5．2 內容過濾
課後作業和實驗作業
參考文獻
第11章遠程訪問安全
11．1 基於終端的遠程訪問（TELNET，rlogin和X?Windows）
11．1．1 TELNET
11．1．2 rlogin
11．1．3 X?Windows
11．1．4 漏洞、攻擊和對策
11．2 文件傳輸協議
11．2．1 文件傳輸協議(FTP)
11．2．2 輕量級文件傳輸協議
11．2．3 遠程復製協議(RCP)
11．2．4 漏洞、攻擊和對策
11．3 對等網絡
11．3．1 集中式的對等網絡
11．3．2 KaZaA
11．3．3 分布式對等網絡
11．3．4 漏洞、攻擊和對策
11．4 常用的對策
11．4．1 加密遠程訪問
11．4．2 安全外殼協議（SSH）
11．4．3 遠程桌麵
11．4．4 安全文件傳輸（SFTP、FTPS和HTTPS）
課後作業和實驗作業
參考文獻
第四部分網絡減災
第12章常用網絡安全設備
12．1 網絡防火牆
12．2 基於網絡的入侵檢測和防護
12．3 基於網絡的數據丟失保護
課後作業和實驗作業
參考文獻
附錄A 密碼學
附錄B 實驗室配置
附錄C 課後作業答案

前言/序言

Douglas Jacobson

美國愛荷華大學電子與計算機工程係教授，現任愛荷華大學信息確保中心主任，該中心是美國國傢安全局認可的在信息確保教育方麵具有學術地位的特許中心。Jacobson博士講授網絡安全與信息戰課程，同時從事地方執法，是愛荷華大學計算機取證分析師。曾兩度獲得計算機安全技術R＆D 100奬，在計算機安全領域擁有兩項專利。

傳統的數據通信不同的是，今天的網絡是由無數的設備組成的，並通過這些設備來處理由網絡發送和接收的數據。而安全關注的是互聯的計算機在不能由任何實體或機構控製的網絡環境中使用時頻繁發生的問題。本書探討瞭不同的網絡協議，重點在於網絡漏洞、探測、攻擊及減少攻擊的方法。

■ 探討所有網絡層的協議、包括身份驗證、安全電子郵件及Web應用層協議

■ 采用自底嚮上方法幫助讀者理解在網絡各層存在的漏洞

■ 采用阻止攻擊方法學闡述相關協議的網絡安全

■ 采用樣本問題和實驗室實驗，以測試方案的有效性

■ 作者在網站http://www.dougj.net/textbook/提供瞭本書的一些補充資料

大多數同類著作關注的是采用計算機加密技術減少攻擊，本書考慮到加密方法的局限性，試圖探討更廣泛的安全問題和解決方案，即把重點放在網絡安全實踐、探討實際協議，以幫助讀者更好地理解網絡漏洞、尋求適當對策。

再版序

網絡一方麵給人們的生活、交流、工作與發展帶來方式上的巨大變化，同時也對國傢與軍隊的信息安全和人們的個人隱私帶來瞭不可否認的安全威脅與巨大挑戰。網絡與信息安全不僅嚴重影響和製約瞭網絡的普及和應用，同時也涉及到國傢、軍隊的信息安全及社會的經濟安全，使人們對網絡又愛又恨。

本書的作者是美國愛荷華州立大學電子與計算機工程係教授，現任愛荷華州立大學信息確保中心主任，該中心是國傢安全局認可的在信息確保教育方麵具有學術地位的特許中心。作者從網絡和協議存在的固有漏洞的分析齣發，提齣減少和解決這些安全漏洞的多種解決方案，把網絡看成不安全和安全的源頭，來考查不同的網絡協議，洞察網絡的漏洞，提齣利用攻擊和減少攻擊的方法。

本書對於想全麵瞭解網絡漏洞産生的根源，想深入探討如何解決網絡安全問題的科研人員來說，是一部很好的參考書。本書結構清晰、內容翔實且每章附有課後作業和實驗作業及參考文獻，信息量大，所以更是一部很好的大學高年級學生和研究生專業基礎課教材。

仰禮友教授和趙紅宇副教授組織翻譯完成瞭Douglas Jacobson的這本側重網絡安全實踐的教材。中譯本在5年中已多次重印，被許多網絡工程相關專業的教師采用作為教材。作者在網站http: //www.dougj.net/textbook/還提供瞭一些補充資料。這次齣版，兩位譯者對全書譯文進行瞭修訂勘誤，盡力以更好的內容質量麵對讀者。

前言

寫作思路

本書從網絡漏洞、協議與安全解決方案齣發，重點論述網絡安全，而同類專著關注的是安全和安全方案，他們把網絡看成用於通信的目的，而本書把網絡看成不安全和安全的源頭，從洞察網絡的漏洞、探測、攻擊和減少攻擊的方法入手分析不同的網絡協議。

自從有人類曆史以來，網絡作為通信係統一直就在我們身邊存在，通信雙方憑藉的是信任。早期通信係統憑藉通信雙方可看得見的識彆物來進行通信，並且使用簡單的方式來保護數據。例如，藉助雙方都認識的信使，並使用信件蠟封確保私密。隨著技術的進步，傳輸數據的方法也隨之改進瞭，盜竊與保護數據的方法也同樣在改進。然而，直到20世紀末，雙方數據的直接傳輸仍然不是通過今天意義上的網絡，雙方是藉助其他方法來識彆數據的歸屬的。我們今天麵臨的問題比過去要復雜得多，今天已經有瞭不受任何實體或組織控製的網絡把計算機連接起來。與過去的數據通信不同，今天的網絡由無數的設備構成，它們在數據從發送者傳送到接收者的過程中對數據進行處理。當初設計這些網絡是為瞭方便通信，隻在小範圍的可信任的團體和已經認識的個體中使用，設計中並沒有考慮安全性。

內容組織

本書第一部分簡要討論網絡體係結構與典型網絡的層次功能，以及基於網絡的漏洞和攻擊的分類，這個分類描述的是所涉及的每一協議層的漏洞和攻擊的架構，共分為四類：

● 基於頭部的漏洞與攻擊：修改瞭協議頭部，或使頭部無效。

● 基於協議的漏洞與攻擊：數據包是有效的，但不能被直接使用。

● 基於驗證的漏洞與攻擊：修改瞭發送方與接收方的識彆標誌。

● 基於流量的漏洞與攻擊：藉助流量實施攻擊。

第二部分從網絡的不同層（物理層、網絡層與傳輸層）審視每一層的安全，采用自底嚮上的網絡安全方法，讓讀者理解網絡每一層的漏洞與安全機理。例如，通過理解物理層固有的漏洞及可能的安全防範，進而理解網絡層可能存在的漏洞，以及為剋服漏洞而采用的安全機製。

第三部分探討幾個普通的網絡應用安全案例。在互聯網上，這些應用隻是把網絡底層看成數據準確無誤地由一個應用傳送到另一個應用的渠道。本書把漏洞看成網絡底層提供的網絡功能，從而讓讀者深入理解安全就是要剋服這些漏洞。

第四部分描述幾個經常部署的並與上述分類相關的基於網絡的安全解決方案。

本書采用“界定-攻擊-防範”的方法來闡述網絡安全。首先簡要引入相關的協議，接著詳細描述熟知的漏洞，然後介紹可能的攻擊方法。本書重點在於描述攻擊的方法，而不是具體的攻擊工具，具體攻擊工具一般作為課後作業或實驗引入。讀者一旦理解瞭對某個協議的各種威脅，就能提齣可能的解決方案。每章的後麵都根據每章的概念給齣課後作業及實驗室實驗，允許讀者嘗試某些攻擊並審視破解攻擊方案的有效性。

附錄A為密碼學概述。附錄B討論研發或部署一個低成本的實驗室，用於支持課堂教學或用來作為閤作實驗床。附錄C為課後作業答案。

讀者

本書麵嚮兩類讀者：一是作為計算機科學或計算機工程專業的本科高年級或碩士研究生第一年的網絡安全課程教材，二是作為網絡安全專業的網絡安全課程或網絡專業的部分課程教材。當然，本書也可以用於網絡或網絡安全專業人員的參考書。

本書和其他著作的區彆如下：

網絡焦點。本書通過剖析網絡協議及其弱點和對策來審視網絡安全。有幾本著作，其主要焦點在幾個應用層協議（Kerberos， Secure Email， SecureWeb等），而不關心底層協議（物理層、網絡層與傳輸層），而許多麻煩的問題是由這些層的漏洞引起的。

網絡安全視角。本書采用大多數著作中采用的方法，即通過網絡的層提供哪些服務與功能來審視網絡安全，並在這些層提供服務與功能時，審視網絡存在的漏洞與安全問題。根據這一視角，本書既可作為網絡專業的網絡安全課程，也可作為網絡安全專業的網絡安全課程。

實驗室實驗。本書包含實驗室實驗課所需的實驗材料，這些實驗考察網絡的攻擊與防範，而且本書還提供一個典型的低成本的實驗室部署。

Web網站。本書提供瞭Web網站（http://www.dougj.net/textbook/）。網站包括授課講義和關於UNIX、C及套接字編程的指導手冊，還有建設或維護實驗室的詳細信息。

網絡安全實踐視角。本書提供瞭網絡安全實踐視角，我們考察實際協議，給讀者提供詳細素材及理解漏洞與研發對策所需的信息。這些將通過實驗進一步加以鞏固。

攻防方法。本書從攻防視角來考察網絡安全，考察當前協議的漏洞及降低攻擊的防範機製。本書焦點不在於攻擊的工具，而在於攻擊的方法。通過實驗，學生可以研究網絡攻擊的效果及安全係統的有效性。

術語定義。本書涉及很多網絡與安全術語，其中許多是專屬本領域的術語。因此，筆者認為在章節之後列舉所涉及術語的簡短定義是很重要的，新術語在所在節中給齣。在我們開始闡述正文之前，有幾個術語需要定義，以使讀者有一個通用的參照模式。

定義