本文目录一览：

• 1、为什么 *** 可以入侵呢？
• 2、 *** 入侵是什么？
• 3、 *** 入侵的名词解释
• 4、 *** 是怎样被入侵的
• 5、为什么 *** 可以入侵？
• 6、 *** 入侵是什么?

为什么 *** 可以入侵呢？

都是黑客们在作怪,黑客可以利用多种 *** 来得到使他们进入侵犯目标的秘密路径,他们常常通过多重 *** *** 和互联网服务供应商进行活动,减少自己被人发现的可能?对于装有防火墙的 *** ,黑客会使用一种扫描程序,这种程序可以轮流扫描目标单位的每一个与互联网相连的设备?如果他幸运的话,他会从“后门”进入 *** ,由于疏忽,这个单位的一个 *** 使用者把计算机连在了 *** *** 上了?然而这种 *** 成功率很低?

为了进入个人电脑和 *** ,黑客会使用一种口令猜测软件,这是一种在查错方式下经常使用的口令清单,它可以反复挑战保护 *** 的口令?

有时,黑客会在受害者的硬盘上安装一个“记录”程序,这个程序可以记录下受害者的键盘与 *** 操作,从而帮助黑客获得更多的口令与信息?

黑客入侵

*** 入侵是什么？

*** 入侵（hacking）通常是指具有熟练地编写和调试计算机程序的技巧，并使用这些技巧来获得非法或未授权的 *** 或文件访问。

简单的说就是：黑客通过 *** 对电脑进行远程操控或者破坏

*** 入侵的名词解释

1, 入侵检测技术（IDS）可以被定义为对计算机和 *** 资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机 *** 中违反安全策略行为的技术。

入侵检测 *** 很多，如基于专家系统入侵检测 *** 、基于神经 *** 的入侵检测 *** 等。目前一些入侵检测系统在应用层入侵检测中已有实现。

入侵检测通过执行以下任务来实现：

1.监视、分析用户及系统活动；

2.系统构造和弱点的审计；

3.识别反映已知进攻的活动模式并向相关人士报警；

4.异常行为模式的统计分析；

5.评估重要系统和数据文件的完整性；

6.操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

入侵检测系统典型代表

入侵检测系统的典型代表是ISS公司（国际互联网安全系统公司）的RealSecure。它是计算机 *** 上自动实时的入侵检测和响应系统。它无妨碍地监控 *** 传输并自动检测和响应可疑的行为，在系统受到危害之前截取和响应安全漏洞和内部误用，从而更大程度地为企业 *** 提供安全。

入侵检测系统目前存在的问题:

1. 现有的入侵检测系统检测速度远小于 *** 传输速度, 导致误报率和漏报率

2. 入侵检测产品和其它 *** 安全产品结合问题, 即期间的信息交换,共同协作发现攻击并阻击攻击

3. 基于 *** 的入侵检测系统对加密的数据流及交换 *** 下的数据流不能进行检测, 并且其本身构建易受攻击

4. 入侵检测系统体系结构问题

发展趋势:

1. 基于agent(注: *** 服务)的分布协作式入侵检测与通用入侵检测结合

2. 入侵检测标准的研究, 目前缺乏统一标准

3. 宽带高速 *** 实时入侵检测技术

4. 智能入侵检测

5. 入侵检测的测度

2,在1998年,Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析, *** IP数据包(Pocket)记录等特性的强大的 *** 入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUN General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用它.snort基于libpcap。

snort系统组成：snort由三个重要的子系统构成：数据包解码器，检测引擎，日志与报警系统。

Snort有三种工作模式：嗅探器、数据包记录器、 *** 入侵检测系统。嗅探器模式仅仅是从 *** 上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析 *** 数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

3,SPAN技术主要是用来监控交换机上的数据流，大体分为两种类型，本地SPAN和远程SPAN.

----Local Switched Port Analyzer (SPAN) and Remote SPAN (RSPAN)，实现 *** 上稍有不同。

利用SPAN技术我们可以把交换机上某些想要被监控端口（以下简称受控端口）的数据流COPY或MIRROR一

份，发送给连接在监控端口上的流量分析仪，比如CISCO的IDS或是装了SNIFFER工具的PC. 受控端口和

监控端口可以在同一台交换机上（本地SPAN），也可以在不同的交换机上（远程SPAN）。

二、名词解释

SPAN Session--SPAN会话

SPAN会话是指一组受控端口与一个监控端口之间的数据流。可以同时对多个端口的进入流量或是一个端

口的外出流量进行监控，也可以对VLAN内所有端口的进入流量进行监控，但不能同时对多个端口的外出

流量及VLAN的外出流量进行监控，可以对处于关闭状态的端口设置SPAN，但此时的SPAN会话是非活动，

但只要相关的接口被打开，SPAN就会变为活动的。

监控端口更好是=受控端口的带宽，否则可能会出现丢包的情况。

SPAN Traffic--SPAN的流量

使用本地SPAN可以监控所有的 *** 流量，包括multicast、bridge protocol data unit (BPDU)，和CDP、

VTP、DTP、STP、PagP、LACP packets. RSPAN不能监控二层协议。

Traffic Types--流量类型

被监控的流量类型分为三种，Receive (Rx) SPAN 受控端口的接收流量，Tran *** it (Tx) SPAN 受控端口

的发送流量，Both 一个受控端口的接收和发送流量。

Source Port--SPAN会话的源端口（也就是monitored port-即受控端口）

受控端口可以是实际的物理端口、VLAN、以太通道端口组EtherChannel，物理端口可以在不同的VLAN中，

受控端口如果是VLAN则包括此VLAN中的所以物理端口，受控端口如果是以太通道则包括组成此以太通道组

的所有物理端口，如果受控端口是一个TRUNK干道端口，则此TRUNK端口上承载的所有VLAN流量都会受到监

控，也可以使用filter vlan 参数进行调整，只对filter vlan 中指定的VLAN数据流量做监控。

Destination Port--SPAN会话的目的端口（也就是monitoring port-即监控端口）

监控端口只能是单独的一个实际物理端口，一个监控端口同时只能在一个SPAN会话中使用，监控

端口不参与其它的二层协议如：Layer 2 protocols

Cisco Discovery Protocol (CDP),

VLAN Trunk Protocol (VTP),

Dynamic Trunking Protocol (DTP),

Spanning Tree Protocol (STP),

Port Aggregation Protocol (PagP),

Link Aggregation Control Protocol (LACP).

缺省情况下监控端口不会转发除SPAN Session以外的任何其它的数据流，也可以通过设置ingress

参数，打开监控端口的二层转发功能，比如当连接CISCO IDS的时会有这种需求，此时IDS不仅要接

收SPAN Session的数据流，IDS本身在 *** 中还会与其它设备有通讯流量，所以要打开监控端口的

二层转发功能。

Reflector Port--反射端口

反射端口只在RSPAN中使用，与RSPAN中的受控端口在同一台交换机上，是用来将本地的受控端口流量

转发到RSPAN中在另一台交换机上的远程监控端口的 *** ，反射端口也只能是一个实际的物理端口，

它不属于任何VLAN(It is invisible to all VLANs.)。

RSPAN中还要使用一个专用的VLAN来转发流量，反射端口会使用这个专用VLAN将数据流通过TRUNK端口

发送给其它的交换机，远程交换机再通过此专用VLAN将数据流发送到监控端口上的分析仪。

关于RSPAN VLAN的创建，所有参与RSPAN的交换机应在同一个VTP域中，不能用VLAN 1，也不能用

1002-1005，这是保留的(reserved for Token Ring and FDDI VLANs)，如果是2-1001的标准VLAN，

则只要在VTP Server上创建即可，其它的交换机会自动学到，如果是1006-4094的扩展VLAN，则需要

在所有交换机上创建此专用VLAN.

反射端口更好是=受控端口的带宽，否则可能会出现丢包的情况。

VLAN-Based SPAN--基于VLAN的SPAN

基于VLAN的SPAN只能监控VLAN中所有活动端口接收的流量(only received (Rx) traffic)，如果

监控端口属于此VLAN，则此端口不在监控范围内，VSPAN只监控进入交换机的流量，不对VLAN接口上

的路由数据做监控。

(VSPAN only monitors traffic that enters the switch, not traffic that is routed between VLANs.

For example, if a VLAN is being Rx-monitored and the multilayer switch routes traffic

from another VLAN to the monitored VLAN, that traffic is not monitored and is not received

on the SPAN destination port. )

三、SPAN和RSPAN与其它特性的互操作性

Routing--SPAN不监控VLAN间的路由数据；(不好理解)

Routing—Ingress SPAN does not monitor routed traffic. VSPAN only monitors traffic that

enters the switch, not traffic that is routed between VLANs. For example, if a VLAN is

being Rx-monitored and the multilayer switch routes traffic from another VLAN to the

monitored VLAN, that traffic is not monitored and not received on the SPAN destination port.

STP--监控端口和反射端口不会参与STP，但SPAN对受控端口的STP没有影响；

CDP--监控端口不参与CDP；

VTP--RSPAN VLAN可以被修剪pruning；

VLAN and trunking--可以修改受控端口、监控端口和反射端口的VLAN和TRUNK设置，受控端口的改变

会立即生效，而监控端口和反射端口则要在从SPAN中去除后才会生效；

EtherChannel--整个以太通道组可以做为受控端口使用，如果一个属于某个以太通道组的物理端口被

配成了受控端口、监控端口或反射端口，则此端口会自动从以太通道组去除，当SPAN

删除后，它又会自动加入原以太通道组；

QoS--由于受QoS的策略影响，监控端口上收到的数据流会与受控端口实际的数据流不同，比如DSCP值

被修改等；

Multicast--SPAN可以监控组播的数据流；

Port security--安全端口不能做为监控端口使用；

802.1x--受控端口、监控端口和反射端口上可以设置802.1x，但有些限制。

四、SPAN和RSPAN的配置举例

SPAN的限制和缺省设置

Catalyst 3550交换机上最多只能设置两个SPAN Session，缺省SPAN没有使用，如果做了设置，缺省

情况下，之一个被设为受控端口的接口进出流量都会受到监控，以后再追加的受控端口只会对接收的

流量进行监控，监控端口的默认封装类型为Native，也就是没有打VLAN的标记。

*** 是怎样被入侵的

因而很有必要了解 *** 入侵的一般过程，在此基础上才能制定防御策略，确保 *** 安全。 广告：d_text *** 安全问题 一般来说，计算机 *** 安全问题是计算机系统本身的脆弱性和其他人为因素构成了计算机 *** 的潜在威胁。一方面，计算机系统硬件和通信设施极易遭受自然环境的影响（如温度、湿度、电磁场等）以及自然灾害和人为（包括故意破坏和非故意破坏）的物理破坏；另一方面计算机内的软件资源和数据易受到非法的窃取、复制、篡改和毁坏等攻击；同时计算机系统的硬件、软件的自然损耗等同样会影响系统的正常工作，造成计算机 *** 系统内信息的损坏、丢失和安全事故。 *** 入侵过程 *** 入侵过程为：信息收集→系统安全的探测→实施攻击。如首先利用Ping工具获得IP地址，再利用端口扫描寻找漏洞并入侵服务器。 *** 入侵示意图如附图：在节点B的用户正试图与节点A的某个主机建立一个Telnet连接。 *** 攻击技术 目前非法入侵常用的 *** 攻击技术是： 1、利用对 *** 与协议的信任和依赖及传输漏洞。如IP欺骗：利用 *** 传输时对IP和DNS的信任；嗅包器：利用 *** 信息明文传送；窃取口令：作字典攻击（攻击者用字典中的单词来尝试用户的密码）、Sniff（ *** 窃听）。 2、利用服务进程的缺陷和配置错误。 3、利用操作系统本身的漏洞。人是最薄弱的一环 要想保证 *** 的安全，应做好服务器漏洞、操作系统、 *** 传输入侵的防御。在 *** 安全环节中，人是最薄弱的一环，最为成功的入侵往往不需要高深知识和复杂技术，实践证明诸多不安全因素恰恰反映在组织管理方面。

为什么 *** 可以入侵？

*** 是有一条条网线，终端，路由器，交换机等构成的。你接入了 *** ，你在 *** 中就有一个地址，别人可以通过这个地址找到你，虽然可能你电脑装了防火墙，防护软件，但这只相当于给你家门口加了一堵墙，入侵的人可以绕过，或者扫描发现这堵墙的漏洞，从漏洞中穿过，你电脑可能有用户名，密码保护，这也相当于门加了一把锁，现实中有人能10秒开锁，那 *** 中自然也有人能秒秒钟破解你的用户名密码。也有入侵者已经排了一个间谍（木马软件）先到了你的电脑，他想入侵时只需要间谍开个后门，或者间谍直接把他记录下的密码等发给入侵者。

*** 入侵是什么?

一种间谍活动，可以理解为商业和信息间谍活动，利用受害者现有的 *** 资源为自己谋利， *** 不仅是宽带，可以是 *** ，卫星，等等一切军事民用的 *** 系统的窃听占用和非法牟利都属于。