Douglas Jacobson
美国爱荷华大学电子与计算机工程系教授,现任爱荷华大学信息确保中心主任,该中心是美国国家安全局认可的在信息确保教育方面具有学术地位的特许中心。Jacobson博士讲授网络安全与信息战课程,同时从事地方执法,是爱荷华大学计算机取证分析师。曾两度获得计算机安全技术R&D 100奖,在计算机安全领域拥有两项专利。
传统的数据通信不同的是,今天的网络是由无数的设备组成的,并通过这些设备来处理由网络发送和接收的数据。而安全关注的是互联的计算机在不能由任何实体或机构控制的网络环境中使用时频繁发生的问题。本书探讨了不同的网络协议,重点在于网络漏洞、探测、攻击及减少攻击的方法。
■ 探讨所有网络层的协议、包括身份验证、安全电子邮件及Web应用层协议
■ 采用自底向上方法帮助读者理解在网络各层存在的漏洞
■ 采用阻止攻击方法学阐述相关协议的网络安全
■ 采用样本问题和实验室实验,以测试方案的有效性
■ 作者在网站https://www.dougj.net/textbook/提供了本书的一些补充资料
大多数同类著作关注的是采用计算机加密技术减少攻击,本书考虑到加密方法的局限性,试图探讨更广泛的安全问题和解决方案,即把重点放在网络安全实践、探讨实际协议,以帮助读者更好地理解网络漏洞、寻求适当对策。
再 版 序
网络一方面给人们的生活、 交流、 工作与发展带来方式上的巨大变化, 同时也对国家与军队的信息安全和人们的个人隐私带来了不可否认的安全威胁与巨大挑战。网络与信息安全不仅严重影响和制约了网络的普及和应用, 同时也涉及到国家、 军队的信息安全及社会的经济安全, 使人们对网络又爱又恨。
本书的作者是美国爱荷华州立大学电子与计算机工程系教授, 现任爱荷华州立大学信息确保中心主任, 该中心是国家安全局认可的在信息确保教育方面具有学术地位的特许中心。作者从网络和协议存在的固有漏洞的分析出发, 提出减少和解决这些安全漏洞的多种解决方案, 把网络看成不安全和安全的源头, 来考查不同的网络协议, 洞察网络的漏洞, 提出利用攻击和减少攻击的方法。
本书对于想全面了解网络漏洞产生的根源, 想深入探讨如何解决网络安全问题的科研人员来说, 是一部很好的参考书。本书结构清晰、 内容翔实且每章附有课后作业和实验作业及参考文献, 信息量大, 所以更是一部很好的大学高年级学生和研究生专业基础课教材。
仰礼友教授和赵红宇副教授组织翻译完成了Douglas Jacobson的这本侧重网络安全实践的教材。中译本在5年中已多次重印, 被许多网络工程相关专业的教师采用作为教材。作者在网站http: //www.dougj.net/textbook/还提供了一些补充资料。这次出版, 两位译者对全书译文进行了修订勘误, 尽力以更好的内容质量面对读者。
前 言
写作思路
本书从网络漏洞、协议与安全解决方案出发, 重点论述网络安全, 而同类专著关注的是安全和安全方案, 他们把网络看成用于通信的目的, 而本书把网络看成不安全和安全的源头,从洞察网络的漏洞、探测、攻击和减少攻击的方法入手分析不同的网络协议。
自从有人类历史以来, 网络作为通信系统一直就在我们身边存在, 通信双方凭借的是信任。早期通信系统凭借通信双方可看得见的识别物来进行通信, 并且使用简单的方式来保护数据。例如, 借助双方都认识的信使, 并使用信件蜡封确保私密。随着技术的进步, 传输数据的方法也随之改进了, 盗窃与保护数据的方法也同样在改进。然而, 直到20世纪末, 双方数据的直接传输仍然不是通过今天意义上的网络, 双方是借助其他方法来识别数据的归属的。我们今天面临的问题比过去要复杂得多, 今天已经有了不受任何实体或组织控制的网络把计算机连接起来。与过去的数据通信不同, 今天的网络由无数的设备构成, 它们在数据从发送者传送到接收者的过程中对数据进行处理。当初设计这些网络是为了方便通信, 只在小范围的可信任的团体和已经认识的个体中使用, 设计中并没有考虑安全性。
内容组织
本书第一部分简要讨论网络体系结构与典型网络的层次功能, 以及基于网络的漏洞和攻击的分类, 这个分类描述的是所涉及的每一协议层的漏洞和攻击的架构, 共分为四类:
● 基于头部的漏洞与攻击:修改了协议头部, 或使头部无效。
● 基于协议的漏洞与攻击:数据包是有效的, 但不能被直接使用。
● 基于验证的漏洞与攻击:修改了发送方与接收方的识别标志。
● 基于流量的漏洞与攻击:借助流量实施攻击。
第二部分从网络的不同层(物理层、网络层与传输层)审视每一层的安全, 采用自底向上的网络安全方法, 让读者理解网络每一层的漏洞与安全机理。例如, 通过理解物理层固有的漏洞及可能的安全防范, 进而理解网络层可能存在的漏洞, 以及为克服漏洞而采用的安全机制。
第三部分探讨几个普通的网络应用安全案例。在互联网上, 这些应用只是把网络底层看成数据准确无误地由一个应用传送到另一个应用的渠道。本书把漏洞看成网络底层提供的网络功能, 从而让读者深入理解安全就是要克服这些漏洞。
第四部分描述几个经常部署的并与上述分类相关的基于网络的安全解决方案。
本书采用“界定-攻击-防范”的方法来阐述网络安全。首先简要引入相关的协议, 接着详细描述熟知的漏洞, 然后介绍可能的攻击方法。本书重点在于描述攻击的方法, 而不是具体的攻击工具, 具体攻击工具一般作为课后作业或实验引入。读者一旦理解了对某个协议的各种威胁, 就能提出可能的解决方案。每章的后面都根据每章的概念给出课后作业及实验室实验, 允许读者尝试某些攻击并审视破解攻击方案的有效性。
附录A为密码学概述。附录B讨论研发或部署一个低成本的实验室, 用于支持课堂教学或用来作为合作实验床。附录C为课后作业答案。
读者
本书面向两类读者:一是作为计算机科学或计算机工程专业的本科高年级或硕士研究生第一年的网络安全课程教材, 二是作为网络安全专业的网络安全课程或网络专业的部分课程教材。当然, 本书也可以用于网络或网络安全专业人员的参考书。
本书和其他著作的区别如下:
网络焦点。本书通过剖析网络协议及其弱点和对策来审视网络安全。有几本著作, 其主要焦点在几个应用层协议(Kerberos, Secure Email, SecureWeb等), 而不关心底层协议(物理层、网络层与传输层), 而许多麻烦的问题是由这些层的漏洞引起的。
网络安全视角。本书采用大多数著作中采用的方法, 即通过网络的层提供哪些服务与功能来审视网络安全, 并在这些层提供服务与功能时, 审视网络存在的漏洞与安全问题。根据这一视角, 本书既可作为网络专业的网络安全课程, 也可作为网络安全专业的网络安全课程。
实验室实验。本书包含实验室实验课所需的实验材料, 这些实验考察网络的攻击与防范, 而且本书还提供一个典型的低成本的实验室部署。
Web网站。本书提供了Web网站(https://www.dougj.net/textbook/)。网站包括授课讲义和关于UNIX、C及套接字编程的指导手册, 还有建设或维护实验室的详细信息。
网络安全实践视角。本书提供了网络安全实践视角, 我们考察实际协议, 给读者提供详细素材及理解漏洞与研发对策所需的信息。这些将通过实验进一步加以巩固。
攻防方法。本书从攻防视角来考察网络安全, 考察当前协议的漏洞及降低攻击的防范机制。本书焦点不在于攻击的工具, 而在于攻击的方法。通过实验, 学生可以研究网络攻击的效果及安全系统的有效性。
术语定义。本书涉及很多网络与安全术语, 其中许多是专属本领域的术语。因此, 笔者认为在章节之后列举所涉及术语的简短定义是很重要的, 新术语在所在节中给出。在我们开始阐述正文之前, 有几个术语需要定义, 以使读者有一个通用的参照模式。
定 义
应用
指允许用户连接网络并执行某项任务的计算机程序。
攻击者
指利用网络攻击计算机系统、网络或其他连接在互联网中的设备的个人或群体。
黑客
即攻击者。
主机
连接到网络上的计算机。
互联网
互连众多网络设备的全球网络的集合。
网络
一组互连的设备并可以相互通信。
网络设备
连接到网络上的设备, 泛指包括主机或计算机在内的所有设备, 这些设备使网络可以运行起来。
目标
黑客试图攻击的设备、主机、用户或目标。
用户
利用网络执行计算机程序的个人, 或一般的计算机用户。
致谢
感谢我的妻子Gwenna,感谢我的孩子们(Sarah, Jordan和Jessica), 感谢他们的支持与耐心。还要感谢Sharon Sparks在本书的编辑方面给予的帮助。
