計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)課件

一、網(wǎng)絡(luò)安全概述二、網(wǎng)絡(luò)服務(wù)的安全問(wèn)題三、常見(jiàn)黑客攻擊手段四、企業(yè)網(wǎng)中可以選擇的安全技術(shù)五、網(wǎng)絡(luò)安全防范策略網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)7/29/2023一、網(wǎng)絡(luò)安全概述7/29/2023復(fù)雜程度InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時(shí)間INTERNET技術(shù)及應(yīng)用的飛速發(fā)展7/29/2023網(wǎng)絡(luò)發(fā)展的現(xiàn)狀不斷增加的新應(yīng)用不斷加入的網(wǎng)絡(luò)互聯(lián)網(wǎng)的廣泛應(yīng)用人員安全意識(shí)不足7/29/2023

網(wǎng)絡(luò)的攻擊事件報(bào)道（1）據(jù)聯(lián)邦調(diào)查局統(tǒng)計(jì)，美國(guó)每年因網(wǎng)絡(luò)安全造成的損失高達(dá)75億美元。據(jù)美國(guó)金融時(shí)報(bào)報(bào)道，世界上平均每20秒就發(fā)生一次入侵國(guó)際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件，三分之一的防火墻被突破。美國(guó)聯(lián)邦調(diào)查局計(jì)算機(jī)犯罪組負(fù)責(zé)人吉姆?塞特爾稱：給我精選10名“黑客”，組成個(gè)小組，90天內(nèi)我將使美國(guó)趴下。7/29/2023

網(wǎng)絡(luò)的攻擊事件報(bào)道（2）在海灣戰(zhàn)爭(zhēng)中，美國(guó)特工人員在安曼將伊拉克從德國(guó)進(jìn)口的一批計(jì)算機(jī)打印設(shè)備中換上含有可控“計(jì)算機(jī)病毒”的芯片，導(dǎo)致伊方的計(jì)算機(jī)系統(tǒng)在戰(zhàn)爭(zhēng)初期就陷入全面癱瘓。美國(guó)已生產(chǎn)出第一代采用“病毒固化”技術(shù)的芯片，并開(kāi)始嵌入出口的計(jì)算機(jī)產(chǎn)品中。一旦需要，便可遙控激活。2000年2月，Yahoo受到攻擊?！昂诳汀彼捎玫墓舴椒榉植际紻oS攻擊。2000年3月8日：山西日?qǐng)?bào)國(guó)際互聯(lián)網(wǎng)站遭到黑客數(shù)次攻擊被迫關(guān)機(jī)，這是國(guó)內(nèi)首例黑客攻擊省級(jí)黨報(bào)網(wǎng)站事件。2003年11月，Microsoft公司遭到來(lái)自俄羅斯的“黑客”襲擊，據(jù)稱造成部分源代碼丟失。2003年著名的游戲公司Sierra開(kāi)發(fā)的反恐精英2在未上市之前源代碼被黑客從網(wǎng)路竊走。7/29/20231980 19851990 1995 20012003時(shí)間（年）高各種攻擊者的綜合威脅程度低對(duì)攻擊者技術(shù)知識(shí)和技巧的要求黑客攻擊越來(lái)越容易實(shí)現(xiàn)，威脅程度越來(lái)越高信息網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性增加脆弱性程度網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，安全隱患急劇增加網(wǎng)絡(luò)的攻擊事件報(bào)道（3）7/29/2023

網(wǎng)絡(luò)存在的威脅操作系統(tǒng)本身的安全漏洞；防火墻存在安全缺陷和規(guī)則配置不合理；來(lái)自內(nèi)部網(wǎng)用戶的安全威脅;

缺乏有效的手段監(jiān)視、評(píng)估網(wǎng)絡(luò)的安全性；

TCP/IP協(xié)議族軟件本身缺乏安全性；電子郵件病毒、Web頁(yè)面中存在惡意的Java/ActiveX控件；

應(yīng)用服務(wù)的訪問(wèn)控制、安全設(shè)計(jì)存在漏洞。線路竊聽(tīng)。指利用通信介質(zhì)的電磁泄漏或搭線竊聽(tīng)等手段獲取非法信息。7/29/2023

信息安全的基本特征（1）相對(duì)性只有相對(duì)的安全，沒(méi)有絕對(duì)的安全系統(tǒng)。操作系統(tǒng)與網(wǎng)絡(luò)管理的相對(duì)性。安全性在系統(tǒng)的不同部件間可以轉(zhuǎn)移（如在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間使用堡壘主機(jī)）。7/29/2023信息安全的基本特征（2）時(shí)效性新的漏洞與攻擊方法不斷發(fā)現(xiàn)（NT4.0已從SP1發(fā)展到SP6，Windows2000業(yè)發(fā)現(xiàn)很多漏洞，針對(duì)Outlook的病毒攻擊非常普遍）配置相關(guān)性日常管理中的不同配置會(huì)引入新的問(wèn)題（安全測(cè)評(píng)只證明特定環(huán)境與特定配置下的安全）新的系統(tǒng)部件會(huì)引入新的問(wèn)題（新的設(shè)備的引入、防火墻配置的修改）7/29/2023信息安全的基本特征（3）攻擊的不確定性攻擊發(fā)起的時(shí)間、攻擊者、攻擊目標(biāo)和攻擊發(fā)起的地點(diǎn)都具有不確定性復(fù)雜性：信息安全是一項(xiàng)系統(tǒng)工程，需要技術(shù)的和非技術(shù)的手段，涉及到安全管理、教育、培訓(xùn)、立法、國(guó)際合作與互不侵犯協(xié)定、應(yīng)急反應(yīng)等7/29/2023網(wǎng)絡(luò)安全層次層次一：物理環(huán)境的安全性（物理層安全）層次二：操作系統(tǒng)的安全性（系統(tǒng)層安全）層次三：網(wǎng)絡(luò)的安全性（網(wǎng)絡(luò)層安全）層次四：應(yīng)用的安全性（應(yīng)用層安全）層次五：管理的安全性（管理層安全）7/29/2023存在安全漏洞原因網(wǎng)絡(luò)設(shè)備種類繁多訪問(wèn)方式的多樣化網(wǎng)絡(luò)的不斷變化用戶安全專業(yè)知識(shí)的缺乏7/29/2023網(wǎng)絡(luò)服務(wù)的安全問(wèn)題7/29/2023電子郵件的安全問(wèn)題UNIX平臺(tái)上常用的郵件服務(wù)器sendmail

常以root帳號(hào)運(yùn)行，存在潛在的危險(xiǎn)；角色欺騙：電子郵件上的地址是可以假冒的；竊聽(tīng)：電子郵件的題頭和內(nèi)容是用明文傳送的，所以內(nèi)容在傳送過(guò)程中可能被他人偷看或修改；電子郵件炸彈：被攻擊的計(jì)算機(jī)被電子郵件所淹沒(méi)直到系統(tǒng)崩潰；針對(duì)電子郵件的病毒大量涌現(xiàn)。7/29/2023FTP文件傳輸?shù)陌踩珕?wèn)題多數(shù)FTP服務(wù)器可以用anonymous用戶名登錄，這樣存在讓用戶破壞系統(tǒng)和文件可能。上載的軟件可能有破壞性，大量上載的文件會(huì)耗費(fèi)機(jī)時(shí)及磁盤空間。建立匿名服務(wù)器時(shí)，應(yīng)當(dāng)確保用戶不能訪問(wèn)系統(tǒng)的重要部分，尤其是包含系統(tǒng)配置信息的文件目錄。注意不要讓用戶獲得SHELL級(jí)的用戶訪問(wèn)權(quán)限。普通文件傳輸協(xié)議（TFTP）支持無(wú)認(rèn)證操作，應(yīng)屏蔽掉。7/29/2023

Telnet服務(wù)和WWW的安全問(wèn)題Telnet登錄時(shí)要輸入帳號(hào)和密碼，但帳號(hào)和密碼是以明文方式傳輸?shù)模妆槐O(jiān)聽(tīng)到。SSH(SecureShell)Web瀏覽器和服務(wù)器難以保證安全。Web瀏覽器比FTP更易于傳送和執(zhí)行正常的程序，所以它也更易于傳送和執(zhí)行病毒程序。服務(wù)器端的安全問(wèn)題主要來(lái)自于CGI（公共網(wǎng)關(guān)接口）程序，網(wǎng)上很多的CGI程序并不是由有經(jīng)驗(yàn)、了解系統(tǒng)安全的程序員編寫的，所以存在著大量的安全漏洞。JavaScript,JavaApplet,ActiveX都會(huì)帶來(lái)安全問(wèn)題7/29/2023網(wǎng)絡(luò)管理服務(wù)及NFS的安全問(wèn)題Ping、traceroute/tracert經(jīng)常被用來(lái)測(cè)試網(wǎng)絡(luò)上的計(jì)算機(jī)，以此作為攻擊計(jì)算機(jī)的最初的手段。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）可以用來(lái)集中管理網(wǎng)絡(luò)上的設(shè)備，SNMP的安全問(wèn)題是別人可能控制并重新配置你的網(wǎng)絡(luò)設(shè)備以達(dá)到危險(xiǎn)的目的：取消數(shù)據(jù)包過(guò)濾功能、改變路徑、廢棄網(wǎng)絡(luò)設(shè)備的配置文件等。NFS可以讓你使用遠(yuǎn)程文件系統(tǒng)，不恰當(dāng)?shù)呐渲肗FS，侵襲者可以很容易用NFS安裝你的文件系統(tǒng)。NFS使用的是主機(jī)認(rèn)證，黑客可以冒充合法的主機(jī)。7/29/2023黑客常見(jiàn)攻擊手段7/29/2023主要內(nèi)容日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅狀況常見(jiàn)的網(wǎng)絡(luò)攻擊方式解析口令攻擊特洛伊木馬網(wǎng)絡(luò)監(jiān)聽(tīng)sniffer

掃描器病毒技術(shù)拒絕服務(wù)攻擊(DDOS)7/29/2023日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅7/29/2023日益增長(zhǎng)的網(wǎng)絡(luò)安全威脅

黑客和病毒技術(shù)的統(tǒng)一自動(dòng)，智能，普及,分布,大范圍

黑客文化:從個(gè)人目的到政治，社會(huì)，軍事，工業(yè)等目的7/29/2023

網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息丟失、篡改、銷毀蠕蟲(chóng)常見(jiàn)的黑客攻擊方式7/29/2023常見(jiàn)網(wǎng)絡(luò)攻擊方式口令攻擊

特洛伊木馬

網(wǎng)絡(luò)監(jiān)聽(tīng)sniffer

掃描器

病毒技術(shù)

拒絕服務(wù)攻擊(DDOS)7/29/2023口令攻擊口令攻擊類型字典攻擊強(qiáng)行攻擊組合攻擊其他攻擊類型社會(huì)工程學(xué)偷窺搜索垃圾箱7/29/2023實(shí)施入侵（9）口令攻擊工具Windows下常見(jiàn)的工具L0phtcrackNTSweep

NTCrack

PWDump2CainUnix下常見(jiàn)的工具CrackJohntheRipper

Slurpie

7/29/2023特洛伊木馬（1）特洛伊木馬簡(jiǎn)單地說(shuō)，特洛伊木馬就是攻擊者再次進(jìn)入網(wǎng)絡(luò)或者是系統(tǒng)而不被發(fā)現(xiàn)的隱蔽通道。7/29/2023特洛伊木馬（2）在大多數(shù)情況下，攻擊者入侵一個(gè)系統(tǒng)后，他可能還想在適當(dāng)?shù)臅r(shí)候再次進(jìn)入系統(tǒng)。比如說(shuō)，如果攻擊者入侵了一個(gè)站點(diǎn)，將它作為一個(gè)對(duì)其他系統(tǒng)進(jìn)行攻擊的平臺(tái)或者是跳板，他就會(huì)想在適當(dāng)?shù)臅r(shí)候登錄到這個(gè)站點(diǎn)取回他以前存放在系統(tǒng)里面的工具進(jìn)行新的攻擊。很容易想到的方法就是在這個(gè)已經(jīng)被入侵的系統(tǒng)中留一個(gè)特洛依木馬。7/29/2023特洛伊木馬（3）木馬程序舉例

QAZQAZ是一個(gè)典型的通過(guò)電子郵件傳送的特洛伊木馬程序。它通常隱藏在notepad.exe程序中。木馬監(jiān)聽(tīng)代理木馬監(jiān)聽(tīng)程序在受害者系統(tǒng)中打開(kāi)一個(gè)端口并且對(duì)所有試圖與這個(gè)端口相連接的行為進(jìn)行監(jiān)聽(tīng)。當(dāng)有人通過(guò)這個(gè)端口進(jìn)行連接時(shí)，它要么運(yùn)行一個(gè)三方程序，要么將命令發(fā)送給攻擊者。NetcatTiniRootkit7/29/2023特洛伊木馬（4）關(guān)于RootkitRootkit對(duì)于UNIX系統(tǒng)來(lái)說(shuō)是相當(dāng)普遍的，NT系統(tǒng)的也有。和它的名字正好相反，這種工具并不能使我們獲得ROOT權(quán)限，但是當(dāng)一個(gè)攻擊者已經(jīng)獲得了ROOT的身份后，它就能使攻擊者在任何時(shí)候都可以以ROOT身份登錄到系統(tǒng)。它們經(jīng)常采用的方法是將自己隱藏在一些重要的文件里。Rootkit有兩個(gè)主要的類型：文件級(jí)別

系統(tǒng)級(jí)別

7/29/2023特洛伊木馬（5）文件級(jí)別Rootkit威力很強(qiáng)大，可以輕而易舉地在系統(tǒng)中建立后門。最一般的情況就是它們首先進(jìn)入系統(tǒng)然后修改系統(tǒng)的重要文件來(lái)達(dá)到隱藏自己的目的。合法的文件被木馬程序替代。通常情況下，合法的程序變成了外殼程序，而其內(nèi)部就是隱藏著的后門程序。下面列出的程序就是經(jīng)常被木馬程序利用掩護(hù)自己的UNIXRootkit。LOGINLSPSFINDWHONETSTAT7/29/2023特洛伊木馬（6）系統(tǒng)級(jí)別（內(nèi)核級(jí)）對(duì)于工作在文件級(jí)的Rootkit來(lái)說(shuō)，它們非常容易被檢測(cè)到。而內(nèi)核級(jí)Rootkit工作在一個(gè)很低的級(jí)別上--內(nèi)核級(jí)。它們經(jīng)常依附在內(nèi)核上，并沒(méi)有修改系統(tǒng)的任何文件，于是tripwire工具就不能檢測(cè)到它的使用。因?yàn)樗](méi)有對(duì)系統(tǒng)的任何文件進(jìn)行修改，攻擊者可以對(duì)系統(tǒng)為所欲為而不被發(fā)現(xiàn)。系統(tǒng)級(jí)Rootkit為攻擊者提供了很大的便利，并且修復(fù)了文件級(jí)Rootkit的一些錯(cuò)誤。7/29/2023特洛伊木馬（7）Unix下常見(jiàn)的后門程序文件級(jí)RootkitTrojanIT

Lrk5ArkRootkitTK內(nèi)核級(jí)Knark

Adore7/29/2023特洛伊木馬（8）Windows下常見(jiàn)的后門程序BrownOrificeDonaldDickSubSevenBackOrifice廣外女生黑暗天使冰河灰鴿子流鶯7/29/2023特洛伊木（9）木馬的清除：TheCleaner殺毒軟件手動(dòng)清除木馬的防范：不要下載和執(zhí)行來(lái)歷不明的程序7/29/2023網(wǎng)絡(luò)監(jiān)聽(tīng)網(wǎng)絡(luò)監(jiān)聽(tīng)的作用：可以截獲用戶口令；可以截獲秘密的或?qū)Ｓ玫男畔ⅲ豢梢杂脕?lái)攻擊相鄰的網(wǎng)絡(luò)；可以對(duì)數(shù)據(jù)包進(jìn)行詳細(xì)的分析；可以分析出目標(biāo)主機(jī)采用了哪些協(xié)議7/29/2023常用網(wǎng)絡(luò)監(jiān)聽(tīng)工具工具名稱操作系統(tǒng)功能簡(jiǎn)介SniffitSunOS,Solaris針對(duì)TCP/IP協(xié)議的不安全性進(jìn)行監(jiān)聽(tīng)TcpdumpUnix,FreeBSD可以從以太網(wǎng)上監(jiān)聽(tīng)并截獲數(shù)據(jù)包nfswatchHP/UX,SunOS監(jiān)控在以太網(wǎng)上傳輸?shù)腘FS數(shù)據(jù)包ethermanSGIIrix監(jiān)聽(tīng)以太網(wǎng)上的通信SnoopSunOS,Solaris用來(lái)偵聽(tīng)本網(wǎng)段數(shù)據(jù)包，常用作錯(cuò)誤診斷NetstatUNIX、WinNT顯示當(dāng)前的TCP/IP連接和協(xié)議統(tǒng)計(jì)etherfindSunOS監(jiān)聽(tīng)局域網(wǎng)上的通信的主機(jī)LanwatchDOS監(jiān)聽(tīng)外部主機(jī)對(duì)本機(jī)的訪問(wèn)7/29/2023掃描器定義：自動(dòng)檢測(cè)本地或遠(yuǎn)程主機(jī)安全弱點(diǎn)的程序功能：幫助發(fā)現(xiàn)弱點(diǎn)而不是用來(lái)攻擊系統(tǒng)分類：本地掃描器和網(wǎng)絡(luò)掃描器；端口掃描器和漏洞掃描器常見(jiàn)掃描器：如ISS(InternetSecurityScanner,Internet安全掃描程序），SATAN(SecurityAnalysisToolforAuditingNetworks，審計(jì)網(wǎng)絡(luò)用的安全分析工具），NESSUS等可以對(duì)整個(gè)域或子網(wǎng)進(jìn)行掃描并尋找安全上的漏洞這些程序能夠針對(duì)不同系統(tǒng)的脆弱性確定其弱點(diǎn)。入侵者利用掃描收集來(lái)的信息去獲得對(duì)目標(biāo)系統(tǒng)的非法訪問(wèn)權(quán)。7/29/2023國(guó)際互聯(lián)網(wǎng)絡(luò)服務(wù)器服務(wù)器防火墻其它網(wǎng)絡(luò)廣域網(wǎng)電話網(wǎng)企業(yè)網(wǎng)內(nèi)域網(wǎng)互聯(lián)網(wǎng)掃描器7/29/2023拒絕服務(wù)攻擊DoS

攻擊LANDTeardrop,SYNfloodICMP:smurfRouter:remotereset,UDPport7,Windows:Port135,137,139(OOB),terminalserverSolaris:Linux:其他...

7/29/2023攻擊者InternetCode目標(biāo)2欺騙性的IP包源地址2Port139目的地址2Port139TCPOpenG.MarkHardy拒絕服務(wù)攻擊:

LAND攻擊7/29/2023攻擊者InternetCode目標(biāo)2

IP包欺騙源地址2Port139目的地址2Port139包被送回它自己崩潰G.MarkHardy拒絕服務(wù)攻擊:

LAND

攻擊7/29/2023攻擊者InternetCode目標(biāo)2IP包欺騙源地址2Port139目標(biāo)地址2Port139TCPOpen防火墻防火墻把有危險(xiǎn)的包阻隔在網(wǎng)絡(luò)外G.MarkHardy拒絕服務(wù)攻擊:代理防火墻的保護(hù)7/29/2023攻擊者InternetCode目標(biāo)欺騙性的IP包源地址不存在目標(biāo)地址是TCPOpenG.MarkHardy拒絕服務(wù)攻擊:SYNFLOOD7/29/2023攻擊者InternetCode目標(biāo)同步應(yīng)答響應(yīng)源地址目標(biāo)地址不存在TCPACK崩潰G.MarkHardy拒絕服務(wù)攻擊:SYNFLOOD7/29/2023Smuff攻擊示意圖第一步：攻擊者向被利用網(wǎng)絡(luò)A的廣播地址發(fā)送一個(gè)ICMP協(xié)議的’echo’請(qǐng)求數(shù)據(jù)報(bào)，該數(shù)據(jù)報(bào)源地址被偽造成第二步：網(wǎng)絡(luò)A上的所有主機(jī)都向該偽造的源地址返回一個(gè)‘echo’響應(yīng)，造成該主機(jī)服務(wù)中斷。拒絕服務(wù)攻擊:Smurf7/29/2023分布式拒絕服務(wù)（DDOS）以破壞系統(tǒng)或網(wǎng)絡(luò)的可用性為目標(biāo)常用的工具：Trin00,TFN/TFN2K,Stacheldraht很難防范偽造源地址，流量加密，因此很難跟蹤clienttargethandler...agent...DoSICMPFlood/SYNFlood/UDPFlood7/29/2023DDoS

的結(jié)構(gòu)7/29/2023分布式拒絕服務(wù)攻擊步驟（1）ScanningProgram不安全的計(jì)算機(jī)Hacker攻擊者使用掃描工具探測(cè)掃描大量主機(jī)以尋找潛在入侵目標(biāo)。1Internet7/29/2023Hacker被控制的計(jì)算機(jī)(代理端)黑客設(shè)法入侵有安全漏洞的主機(jī)并獲取控制權(quán)。這些主機(jī)將被用于放置后門、sniffer或守護(hù)程序甚至是客戶程序。2Internet分布式拒絕服務(wù)攻擊步驟（2）7/29/2023Hacker

黑客在得到入侵計(jì)算機(jī)清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機(jī)，放置已編譯好的守護(hù)程序，并對(duì)被控制的計(jì)算機(jī)發(fā)送命令。3被控制計(jì)算機(jī)（代理端）MasterServerInternet分布式拒絕服務(wù)攻擊步驟（3）7/29/2023Hacker

UsingClientprogram,

黑客發(fā)送控制命令給主機(jī)，準(zhǔn)備啟動(dòng)對(duì)目標(biāo)系統(tǒng)的攻擊4被控制計(jì)算機(jī)（代理端）TargetedSystemMasterServer分布式拒絕服務(wù)攻擊步驟4Internet分布式拒絕服務(wù)攻擊步驟（4）7/29/2023InternetHacker

主機(jī)發(fā)送攻擊信號(hào)給被控制計(jì)算機(jī)開(kāi)始對(duì)目標(biāo)系統(tǒng)發(fā)起攻擊。5MasterServerTargetedSystem被控制計(jì)算機(jī)（代理端）分布式拒絕服務(wù)攻擊步驟（5）7/29/2023TargetedSystemHacker

目標(biāo)系統(tǒng)被無(wú)數(shù)的偽造的請(qǐng)求所淹沒(méi)，從而無(wú)法對(duì)合法用戶進(jìn)行響應(yīng)，DDOS攻擊成功。6MasterServerUserRequestDeniedInternet被控制計(jì)算機(jī)（代理端）分布式拒絕服務(wù)攻擊步驟（6）7/29/2023DDOS攻擊的效果由于整個(gè)過(guò)程是自動(dòng)化的，攻擊者能夠在5秒鐘內(nèi)入侵一臺(tái)主機(jī)并安裝攻擊工具。也就是說(shuō)，在短短的一小時(shí)內(nèi)可以入侵?jǐn)?shù)千臺(tái)主機(jī)。并使某一臺(tái)主機(jī)可能要遭受1000MB/S數(shù)據(jù)量的猛烈攻擊，這一數(shù)據(jù)量相當(dāng)于1.04億人同時(shí)撥打某公司的一部電話號(hào)碼。分布式拒絕服務(wù)攻擊7/29/2023分布式拒絕服務(wù)攻擊的今后的發(fā)展趨勢(shì)：如何增強(qiáng)自身的隱蔽性和攻擊能力；采用加密通訊通道、ICMP協(xié)議等方法避開(kāi)防火墻的檢測(cè)；采用對(duì)自身進(jìn)行數(shù)字簽名等方法研究自毀機(jī)制，在被非攻擊者自己使用時(shí)自行消毀拒絕服務(wù)攻擊數(shù)據(jù)包，以消除證據(jù)。分布式拒絕服務(wù)攻擊的發(fā)展趨勢(shì)7/29/2023預(yù)防DDOS攻擊的措施確保主機(jī)不被入侵且是安全的；周期性審核系統(tǒng)；檢查文件完整性；優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)；優(yōu)化對(duì)外開(kāi)放訪問(wèn)的主機(jī)；在網(wǎng)絡(luò)上建立一個(gè)過(guò)濾器（filter）或偵測(cè)器（sniffer），在攻擊信息到達(dá)網(wǎng)站服務(wù)器之前阻擋攻擊信息。預(yù)防DDOS攻擊的措施7/29/2023計(jì)算機(jī)病毒計(jì)算機(jī)病毒帶來(lái)的危害2003年，計(jì)算機(jī)病毒不僅導(dǎo)致人們支付了數(shù)十億美元的費(fèi)用，而且還動(dòng)搖了互聯(lián)網(wǎng)的中樞神經(jīng)。從今年1月份的Slammer攻擊事件到8月份的“沖擊波”病毒，都給互聯(lián)網(wǎng)帶來(lái)了不小的破壞。2004年上半年又出現(xiàn)將近4000種病毒目前世界上共有8萬(wàn)多種病毒，但是大部分都為“動(dòng)物園”里的老病毒，這些病毒很少傳播，還在“野外”的病毒有2000多種，較為流行的病毒有200多種，其中以蠕蟲(chóng)病毒傳播最為廣泛。7/29/2023

中文IIS4.0+SP6中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，UNICODE編碼存在BUG，在UNICODE編碼中

%c1%1c-〉(0xc1-0xc0)*0x40+0x1c=0x5c=‘/‘

%c0%2f-〉(0xc0-0xc0)*0x40+0x2f=0x2f=‘＼‘

NT4中/編碼為%c1%9c

在英文版里：WIN2000英文版%c0%af

還有以下的編碼可以實(shí)現(xiàn)對(duì)該漏洞的檢測(cè).

%c1%pc

%c0%9v

%c0%qf

%c1%8s

27/scripts/..%c1%1c..%c1%1cwinnt/system32/cmd.exe?/c+dirc:\黑客攻擊范例－UNICODE漏洞的利用

7/29/2023黑客攻擊范例－UNICODE漏洞的利用7/29/2023黑客攻擊范例－UNICODE漏洞的利用7/29/2023企業(yè)網(wǎng)中可以選擇的安全技術(shù)7/29/2023主要內(nèi)容防火墻技術(shù)加密技術(shù)VPN技術(shù)入侵檢測(cè)技術(shù)防病毒技術(shù)網(wǎng)絡(luò)掃描技術(shù)7/29/2023ServerClient

防火墻（Firewall）注解：防火墻類似一堵城墻，將服務(wù)器與客戶主機(jī)進(jìn)行物理隔離，并在此基礎(chǔ)上實(shí)現(xiàn)服務(wù)器與客戶主機(jī)之間的授權(quán)互訪、互通等功能。防火墻是一個(gè)位于計(jì)算機(jī)與網(wǎng)絡(luò)或網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的軟件或硬件設(shè)備或是軟硬件結(jié)合7/29/2023一種高級(jí)訪問(wèn)控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為。兩個(gè)安全域之間通信流的唯一通道安全域1HostAHostB安全域2HostCHostDUDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問(wèn)控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為防火墻7/29/2023防火墻的目的確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)和內(nèi)部網(wǎng)的安全；所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)的信息交流必須經(jīng)過(guò)防火墻；只有按本地的安全策略被授權(quán)的信息才允許通過(guò)；防火墻本身具有防止被穿透的能力。7/29/2023防火墻的作用過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包管理進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為封堵某些禁止的訪問(wèn)行為記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警7/29/2023防火墻結(jié)構(gòu)雙主機(jī)防火墻主機(jī)屏蔽防火墻子網(wǎng)屏蔽防火墻7/29/2023雙主機(jī)防火墻你的網(wǎng)絡(luò)internet雙網(wǎng)卡主機(jī)1、必須使主機(jī)的路由功能無(wú)效。2、雙主機(jī)防火墻是運(yùn)行一組應(yīng)用層代理軟件或鏈路層代理軟件來(lái)工作的缺點(diǎn)：用戶很容易意外地使內(nèi)部路由有效7/29/2023主機(jī)屏蔽防火墻你的網(wǎng)絡(luò)internet路由器主機(jī)屏蔽防火墻7/29/2023子網(wǎng)屏蔽防火墻你的網(wǎng)絡(luò)internet路由器子網(wǎng)屏蔽防火墻路由器7/29/2023防火墻技術(shù)包過(guò)濾技術(shù)代理技術(shù)狀態(tài)檢查技術(shù) 地址翻譯技術(shù) 安全審計(jì)技術(shù) 安全內(nèi)核技術(shù) 負(fù)載平衡技術(shù)內(nèi)容安全技術(shù)7/29/2023防火墻的局限%c1%1c%c1%1cDirc:\7/29/2023防火墻的局限確保網(wǎng)絡(luò)的安全,就要對(duì)網(wǎng)絡(luò)內(nèi)部進(jìn)行實(shí)時(shí)的檢測(cè),這就需要IDS無(wú)時(shí)不在的防護(hù)！防火墻不能防止通向站點(diǎn)的后門。防火墻一般不提供對(duì)內(nèi)部的保護(hù)。防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊。防火墻不能防止用戶由Internet上下載被病毒感染的計(jì)算機(jī)程序或者將該類程序附在電子郵件上傳輸7/29/2023數(shù)據(jù)加密技術(shù)加密系統(tǒng)的組成部分密碼分類數(shù)字簽名近代加密技術(shù)加密技術(shù)的實(shí)現(xiàn)PGP加密軟件7/29/2023加密系統(tǒng)的組成部分（1）未加密的報(bào)文，也稱明文。（2）加密后的報(bào)文，也稱密文。（3）加密解密設(shè)備或算法。（4）加密解密的密鑰密鑰：是用戶按照一種密碼體制隨機(jī)選取，它通常是一隨機(jī)字符串，是控制明文和密文變換7/29/2023密碼分類按應(yīng)用技術(shù)或歷史發(fā)展階段劃分手工密碼、機(jī)械密碼、電子機(jī)內(nèi)亂密碼、計(jì)算機(jī)密碼按保密程度劃分理論上保密的密碼、實(shí)際上保密的密碼、不保密的密碼按密鑰方式劃分對(duì)稱密鑰密碼、非對(duì)稱式密碼按明文形態(tài)模擬型密碼、數(shù)字型密碼按編制原理劃分移位、代替、置換7/29/2023對(duì)稱密鑰加密技術(shù)安全性依賴于：加密算法足夠強(qiáng)，加密方法的安全性依賴于密鑰的秘密性，而不是算法。特點(diǎn)：（1）收發(fā)雙方使用相同密鑰 的密碼（2）密鑰的分發(fā)和管理非常 復(fù)雜、代價(jià)昂貴。（3）不能實(shí)現(xiàn)數(shù)字簽名用來(lái)加密大量的數(shù)據(jù)7/29/2023公有密鑰加密技術(shù)加密關(guān)鍵性的、核心的機(jī)密數(shù)據(jù)加密系統(tǒng)的組成部分公有密鑰和私有密鑰的使用規(guī)則（1）密鑰成對(duì)使用（2）公鑰可以給任何人，而私鑰自己保留（3）從現(xiàn)實(shí)環(huán)境下，不可能從公有密鑰推導(dǎo)出私有密鑰特點(diǎn)：（1）密鑰的分配和管理簡(jiǎn)單。（2）容易實(shí)現(xiàn)數(shù)字簽名，最適合于電子商務(wù)應(yīng)用。（3）安全性更高，計(jì)算非常復(fù)雜，實(shí)現(xiàn)速度遠(yuǎn)趕不上對(duì)稱密鑰加 密系統(tǒng)7/29/2023數(shù)字簽名原理：將要傳送的明文通過(guò)一種函數(shù)運(yùn)算（HASH）轉(zhuǎn)換成報(bào)文摘要，報(bào)文摘要加密后與明文一起傳送給按受方，接受方將接受的明文產(chǎn)生新的報(bào)文摘要與發(fā)送方的發(fā)來(lái)的摘要解密比較，比較結(jié)果一致表示明文未被改動(dòng)，如果不一致明文已篡改。7/29/2023數(shù)字簽名

7/29/2023VPN即虛擬專用網(wǎng)，是指一些節(jié)點(diǎn)通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立的一個(gè)臨時(shí)的、安全的連接，它們之間的通信的機(jī)密性和完整性可以通過(guò)某些安全機(jī)制的實(shí)施得到保證特征虛擬(V)：并不實(shí)際存在，而是利用現(xiàn)有網(wǎng)絡(luò)，通過(guò)資源配置以及虛電路的建立而構(gòu)成的虛擬網(wǎng)絡(luò)專用(P)：只有企業(yè)自己的用戶才可以聯(lián)入企業(yè)自己的網(wǎng)絡(luò)網(wǎng)絡(luò)(N)：既可以讓客戶連接到公網(wǎng)所能夠到達(dá)的任何地方，也可以方便地解決保密性、安全性、可管理性等問(wèn)題，降低網(wǎng)絡(luò)的使用成本VPN技術(shù)7/29/2023VPN的用途VPN（虛擬專用網(wǎng)絡(luò)）是通過(guò)公共介質(zhì)如Internet擴(kuò)展公司的網(wǎng)絡(luò)VPN可以加密傳輸?shù)臄?shù)據(jù)，保障數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性防火墻是用來(lái)保證內(nèi)部網(wǎng)絡(luò)不被侵犯，相當(dāng)于銀行的門衛(wèi)；而VPN則是保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被竊取，相當(dāng)于運(yùn)鈔車。7/29/2023VPN的隧道協(xié)議

VPN的關(guān)鍵技術(shù)在于通信隧道的建立，數(shù)據(jù)包通過(guò)通信隧道進(jìn)行封裝后的傳送以確保其機(jī)密性和完整性通常使用的方法有：使用點(diǎn)到點(diǎn)隧道協(xié)議PPTP、第二層隧道協(xié)議L2TP、第二層轉(zhuǎn)發(fā)協(xié)議L2F等在數(shù)據(jù)鏈路層對(duì)數(shù)據(jù)實(shí)行封裝使用IP安全協(xié)議IPSec在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝使用介于第二層和第三層之間的隧道協(xié)議，如MPLS隧道協(xié)議7/29/2023PPTP/L2TP1996年，Microsoft和Ascend等在PPP協(xié)議的基礎(chǔ)上開(kāi)發(fā)了PPTP，并將它集成于WindowsNTServer4.0中，同時(shí)也提供了相應(yīng)的客戶端軟件PPTP可把數(shù)據(jù)包封裝在PPP包中，再將整個(gè)報(bào)文封裝在PPTP隧道協(xié)議包中，最后，再嵌入IP報(bào)文或幀中繼或ATM中進(jìn)行傳輸PPTP提供流量控制,采用MPPE加密算法7/29/20231996年，Cisco提出L2F（Layer2Forwarding）隧道協(xié)議1997年底，Micorosoft和Cisco公司把PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了L2TP協(xié)議L2TP協(xié)議綜合了PPTP協(xié)議和L2F（Layer2Forwarding）協(xié)議的優(yōu)點(diǎn),并且支持多路隧道，這樣可以使用戶同時(shí)訪問(wèn)Internet和企業(yè)網(wǎng)。L2TP可以實(shí)現(xiàn)和企業(yè)原有非IP網(wǎng)的兼容，支持MP（MultilinkProtocol），可以把多個(gè)物理通道捆綁為單一邏輯信道

PPTP/L2TP7/29/2023優(yōu)點(diǎn)：支持其他網(wǎng)絡(luò)協(xié)議（如Novell的IPX，NetBEUI和AppleTalk協(xié)議

）支持流量控制缺點(diǎn)：通道打開(kāi)后，源和目的用戶身份就不再進(jìn)行認(rèn)證，存在安全隱患限制同時(shí)最多只能連接255個(gè)用戶端點(diǎn)用戶需要在連接前手工建立加密信道，另外認(rèn)證和加密受到限制，沒(méi)有強(qiáng)加密和認(rèn)證支持。

PPTP和L2TP最適合用于遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)。

PPTP/L2TP7/29/2023IPSecVPNIPSec是一種由IETF設(shè)計(jì)的端到端的確?；贗P通訊的數(shù)據(jù)安全性的機(jī)制。IPSEC支持對(duì)數(shù)據(jù)加密，同時(shí)確保數(shù)據(jù)的完整性。IPSEC使用驗(yàn)證包頭（AH，在RFC2402中定義）提供來(lái)源驗(yàn)證（sourceauthentication），確保數(shù)據(jù)的可靠性；IPSec使用封裝安全負(fù)載（ESP，在RFC1827中定義）進(jìn)行加密，從而確保數(shù)據(jù)機(jī)密性。在IPSec協(xié)議下，只有發(fā)送方和接受方知道秘密密鑰。如果驗(yàn)證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來(lái)自真實(shí)的發(fā)送方，并且在傳輸過(guò)程中沒(méi)有受到破壞。IPSec有兩種應(yīng)用模式：傳送模式和隧道模式7/29/2023傳輸模式：使用原始明文IP頭，并且只加密數(shù)據(jù)，包括它的TCP和UDP頭。這種模式適用于小型網(wǎng)絡(luò)和移動(dòng)客戶端。隧道模式：隧道模式處理整個(gè)IP數(shù)據(jù)包：包括全部TCP/IP或UDP/IP頭和數(shù)據(jù)，它用自己的地址做為源地址加入到新的IP頭。隧道模式被用在兩端或是一端是安全網(wǎng)關(guān)的架構(gòu)中，例如裝有IPSec的防火墻。使用了隧道模式，防火墻內(nèi)很多主機(jī)不需要安裝IPSec也能安全地與外界通信，并且還可以提供更多的便利來(lái)隱藏內(nèi)部服務(wù)器主機(jī)和客戶機(jī)的地址。IPSecVPN7/29/2023優(yōu)點(diǎn)：可提供高強(qiáng)度的安全性（數(shù)據(jù)加密和身份驗(yàn)證）對(duì)上層應(yīng)用完全透明支持網(wǎng)絡(luò)與網(wǎng)絡(luò)、用戶與用戶、網(wǎng)絡(luò)與用戶多種應(yīng)用模式缺點(diǎn)：只支持IP協(xié)議目前防火墻產(chǎn)品中集成的VPN多為使用IPSec協(xié)議，在中國(guó)其發(fā)展處于蓬勃狀態(tài)。IPSecVPN7/29/2023MPLSVPN

是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS(MultiprotocolLabelSwitching)技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN）MPLSVPN主要應(yīng)用領(lǐng)域是用于建設(shè)全網(wǎng)狀結(jié)構(gòu)的數(shù)據(jù)專線，保證局域網(wǎng)互聯(lián)的帶寬與服務(wù)質(zhì)量。總部與下面分支機(jī)構(gòu)互聯(lián)時(shí)，如果使用公網(wǎng)，則帶寬、時(shí)延等很大程度上受公網(wǎng)的網(wǎng)絡(luò)狀況制約。而布署MPLSVPN后，可以保證網(wǎng)絡(luò)服務(wù)質(zhì)量，從而保證一些對(duì)時(shí)延敏感的應(yīng)用穩(wěn)定運(yùn)行，如分布異地的實(shí)時(shí)交易系統(tǒng)、視頻會(huì)議、IP電話等等。7/29/2023與其他VPN協(xié)議的對(duì)比L2TP、PPTP：主要用于客戶端接入專用網(wǎng)絡(luò)。本身的安全性比較弱，需要依靠IPSec來(lái)提供進(jìn)一步的安全性。MPLS：能夠提供與傳統(tǒng)的ATM，F(xiàn)R同等的安全性，但本身沒(méi)有加密，認(rèn)證機(jī)制，對(duì)數(shù)據(jù)的機(jī)密性等保證需要依靠IPSec來(lái)進(jìn)一步保證。IPSec是彌補(bǔ)其他VPN技術(shù)的安全性的有效保證。7/29/20231100111001010001010010101001000100100100000100000011001110010100010100101010010001001001000001000000明文加密解密明文密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@保證數(shù)據(jù)在傳輸中的機(jī)密性發(fā)起方接受方密文·#￥^&(%#%$%^&*(!#$%*((_%$@#$%%^*&**)%$#@支持IKE密鑰協(xié)商密鑰自動(dòng)刷新128位對(duì)稱加密1024位非對(duì)稱加密設(shè)備之間采用證書認(rèn)證支持CA認(rèn)證VPN的主要作用之一7/29/2023發(fā)起方接受方1001000101010010100001000000110110001010100010101001000101010010100001000000110110001010HashHash100010101001000101010010100001000000110110001010是否一樣？驗(yàn)證數(shù)據(jù)來(lái)源的完整性和真實(shí)性支持透明模式支持路由模式VPN的主要作用之二7/29/2023實(shí)時(shí)入侵檢測(cè)系統(tǒng)Internet總部辦事處分公司分公司在網(wǎng)絡(luò)中部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，實(shí)時(shí)對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)流進(jìn)行檢測(cè)，對(duì)于可疑的數(shù)據(jù)，將及時(shí)報(bào)警，入侵檢測(cè)系統(tǒng)同時(shí)與防火墻交互信息，共同防范來(lái)自于網(wǎng)外的攻擊。具體策略如下：基于網(wǎng)絡(luò)的入侵檢測(cè)策略基于主機(jī)的入侵檢測(cè)策略報(bào)警攻擊7/29/2023什么是入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystem）就是入侵檢測(cè)系統(tǒng)，它通過(guò)抓取網(wǎng)絡(luò)上的所有報(bào)文，分析處理后，報(bào)告異常和重要的數(shù)據(jù)模式和行為模式，使網(wǎng)絡(luò)安全管理員清楚地了解網(wǎng)絡(luò)上發(fā)生的事件，并能夠采取行動(dòng)阻止可能的破壞。7/29/2023什么是入侵檢測(cè)系統(tǒng)入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)包的獲取——混雜模式網(wǎng)絡(luò)數(shù)據(jù)包的解碼——協(xié)議分析網(wǎng)絡(luò)數(shù)據(jù)包的檢查——規(guī)則匹配網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計(jì)——異常檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)包的審查——事件生成7/29/2023監(jiān)控室=控制中心后門保安=防火墻攝像機(jī)=探測(cè)引擎CardKey形象地說(shuō)，它就是網(wǎng)絡(luò)攝象機(jī)，能夠捕獲并記錄網(wǎng)絡(luò)上的所有數(shù)據(jù)，同時(shí)它也是智能攝象機(jī)，能夠分析網(wǎng)絡(luò)數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡(luò)數(shù)據(jù)，它還是X光攝象機(jī)，能夠穿透一些巧妙的偽裝，抓住實(shí)際的內(nèi)容。它還不僅僅只是攝象機(jī)，還包括保安員的攝象機(jī)，能夠?qū)θ肭中袨樽詣?dòng)地進(jìn)行反擊：阻斷連接、關(guān)閉道路（與防火墻聯(lián)動(dòng)）。什么是入侵檢測(cè)系統(tǒng)7/29/2023在安全體系中，IDS是唯一一個(gè)通過(guò)數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)，如下圖所示，防火墻就象一道門，它可以阻止一類人群的進(jìn)入，但無(wú)法阻止同一類人群中的破壞分子，也不能阻止內(nèi)部的破壞分子；訪問(wèn)控制系統(tǒng)可以不讓低級(jí)權(quán)限的人做越權(quán)工作，但無(wú)法保證高級(jí)權(quán)限的做破壞工作，也無(wú)法保證低級(jí)權(quán)限的人通過(guò)非法行為獲得高級(jí)權(quán)限入侵檢測(cè)系統(tǒng)的作用7/29/2023入侵檢測(cè)系統(tǒng)的職責(zé)

IDS系統(tǒng)的兩大職責(zé)：實(shí)時(shí)檢測(cè)和安全審計(jì)。實(shí)時(shí)監(jiān)測(cè)——實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文，發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文；安全審計(jì)——通過(guò)對(duì)IDS系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)其中的異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)。7/29/2023IntranetIDSAgentIDSAgent網(wǎng)絡(luò)IDS企業(yè)內(nèi)部典型安裝FirewallInternetServersDMZIDSAgent監(jiān)控中心router7/29/2023IDS阻斷入侵示意圖FirewallInternetServersDMZIDSAgentIntranetIDSAgent監(jiān)控中心router攻擊者攻擊者發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊發(fā)現(xiàn)攻擊報(bào)警報(bào)警7/29/2023防病毒技術(shù)病毒概述病毒危害病毒新技術(shù)防病毒技術(shù)清除病毒網(wǎng)絡(luò)防病毒7/29/2023病毒概述《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我傳染的一組計(jì)算機(jī)指令或者程序代碼?！?/29/2023計(jì)算機(jī)病毒原理計(jì)算機(jī)病毒程序病毒引導(dǎo)模塊（潛伏機(jī)制）病毒傳染模塊（再生機(jī)制）病毒表現(xiàn)模塊（激發(fā)機(jī)制）7/29/2023計(jì)算機(jī)病毒的工作流程一次非授權(quán)的加載，病毒進(jìn)入內(nèi)存病毒引導(dǎo)模塊被執(zhí)行修改系統(tǒng)參數(shù)，引人傳染和表現(xiàn)模塊監(jiān)視系統(tǒng)運(yùn)行判斷傳染條件是否滿足？判斷觸發(fā)條件是否滿足？進(jìn)行傳染進(jìn)行表現(xiàn)或破壞7/29/2023病毒的特征依附性傳染性潛伏性可觸發(fā)性破壞性針對(duì)性人為性7/29/2023病毒的征兆

磁盤文件數(shù)目增多系統(tǒng)的RAM空間變小文件的日期／時(shí)間值被改變可執(zhí)行程序長(zhǎng)度增加磁盤上出現(xiàn)壞簇程序加載時(shí)間比平時(shí)變長(zhǎng)程序執(zhí)行時(shí)間較平時(shí)變長(zhǎng)硬盤讀寫時(shí)間明顯增加硬盤啟動(dòng)系統(tǒng)失敗7/29/2023防病毒技術(shù)病毒概述病毒危害病毒新技術(shù)防病毒技術(shù)消毒病毒網(wǎng)絡(luò)防病毒

7/29/2023計(jì)算機(jī)病毒的危害性

磁盤文件數(shù)目增多影響系統(tǒng)效率刪除、破壞數(shù)據(jù)干擾正常操作阻塞網(wǎng)絡(luò)進(jìn)行反動(dòng)宣傳占用系統(tǒng)資源被后門控制7/29/2023最新病毒分析CIH病毒Loveletter病毒首例病毒與蠕蟲(chóng)相結(jié)合Sircam

首例蠕蟲(chóng)與黑客相結(jié)合CodeRedIINimda病毒7/29/2023病毒新技術(shù)和發(fā)展趨勢(shì)隱藏型病毒自加密、多形態(tài)及變異病毒反向病毒郵件型病毒JAVA和ActiveX病毒智能化病毒形式多樣化傳播方式多樣化專用病毒生成工具7/29/2023蠕蟲(chóng)7/29/2023蠕蟲(chóng)病毒的特點(diǎn)蠕蟲(chóng)也是一種病毒，因此具有病毒的共同特征。

普通病毒需要的寄生,通過(guò)自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內(nèi)，而被感染的文件就被稱為”宿主”

病毒主要是感染文件，當(dāng)然也還有像DIRII這種鏈接型病毒，還有引導(dǎo)區(qū)病毒。引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機(jī)器上后，同樣也會(huì)感染其他機(jī)器，所以傳播方式也是用軟盤等方式。

7/29/20232001年紅色代碼大爆發(fā)7/29/2023蠕蟲(chóng)病毒的罪惡病毒名稱持續(xù)時(shí)間造成損失莫里斯蠕蟲(chóng)1988年6000多臺(tái)計(jì)算機(jī)停機(jī),直接經(jīng)濟(jì)損失達(dá)9600萬(wàn)美元美麗殺手1999年3月政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器,經(jīng)濟(jì)損失超過(guò)12億美元愛(ài)蟲(chóng)病毒2000年5月至今眾多用戶電腦被感染，損失超過(guò)100億美元以上紅色代碼2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過(guò)26億美元求職信2001年12月至今大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元Sql蠕蟲(chóng)王2003年1月網(wǎng)絡(luò)大面積癱瘓,銀行自動(dòng)提款機(jī)運(yùn)做中斷,直接經(jīng)濟(jì)損失超過(guò)26億美元7/29/2023防病毒技術(shù)特征代碼法校驗(yàn)和法行為監(jiān)測(cè)法啟發(fā)式掃描虛擬機(jī)技術(shù)7/29/2023特征代碼法的實(shí)現(xiàn)步驟采集已知病毒樣本，病毒如果即感染COM文件，又感染EXE文件，要兩者都采樣病毒采樣中，抽取特征代碼，應(yīng)依據(jù)如下原則：抽取的代碼比較特殊，不大可能與普通正常程序代碼吻合。抽取的代碼要有適當(dāng)長(zhǎng)度，一方面維持特征代碼的唯一性，另一方面又不要有太大的空間與時(shí)間的開(kāi)銷在既感染COM文件又感染EXE文件的病毒樣本中，要抽取兩種樣本共有的代碼并將特征代碼納入病毒數(shù)據(jù)庫(kù)打開(kāi)被檢測(cè)文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫(kù)中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對(duì)應(yīng)，便可以斷定，被查文件中患有何種病毒。

7/29/2023特征代碼法的特點(diǎn)優(yōu)點(diǎn)：檢測(cè)準(zhǔn)確、快速可識(shí)別病毒的名稱誤報(bào)警率低依據(jù)檢測(cè)結(jié)果，可做殺毒處理缺點(diǎn)：不能檢測(cè)未知病毒搜集已知病毒的特征代碼，費(fèi)用開(kāi)銷大在網(wǎng)絡(luò)上效率低。7/29/2023校驗(yàn)和法查病毒采用三種方式

在檢測(cè)病毒工具中納入校驗(yàn)和法，對(duì)被查的對(duì)象文件計(jì)算其正常狀態(tài)的校驗(yàn)和，將校驗(yàn)和值寫入被查文件中或檢測(cè)工具中，而后進(jìn)行比較。在應(yīng)用程序中，放入校驗(yàn)和法自我檢查功能，將文件正常狀態(tài)的 校驗(yàn)和寫入文件本身中，每當(dāng)應(yīng)用程序啟動(dòng)時(shí)，比較現(xiàn)行校驗(yàn)和與原校驗(yàn)和值。實(shí)現(xiàn)應(yīng)用程序的自檢測(cè)。將校驗(yàn)和檢查程序常駐內(nèi)存，每當(dāng)應(yīng)用程序開(kāi)始運(yùn)行時(shí)，自動(dòng)比 較檢查應(yīng)用程序內(nèi)部或別的文件中預(yù)先保存的校驗(yàn)和。7/29/2023校驗(yàn)和法的特點(diǎn)優(yōu)點(diǎn)方法簡(jiǎn)單能發(fā)現(xiàn)未知病毒被查文件的細(xì)微變化也能發(fā)現(xiàn)。缺點(diǎn)必須預(yù)先記錄正常態(tài)的校驗(yàn)和會(huì)誤報(bào)警不能識(shí)別病毒名稱不能對(duì)付隱蔽型病毒

7/29/2023行為監(jiān)測(cè)法占有INT13H（讀寫）改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量對(duì)COM、EXE文件做寫入動(dòng)作病毒程序與宿主程序的切換修改系統(tǒng)Usr/bin，sbin/修改系統(tǒng)命令7/29/2023行為監(jiān)測(cè)法的特點(diǎn)優(yōu)點(diǎn)：可發(fā)現(xiàn)未知病毒可相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒缺點(diǎn)：可能誤報(bào)警不能識(shí)別病毒名稱實(shí)現(xiàn)時(shí)有一定難度7/29/2023啟發(fā)式掃描技術(shù)啟發(fā)式是指“自我發(fā)現(xiàn)的能力”或“運(yùn)用某種方式或方法去判定事物的知識(shí)和技能?！币粋€(gè)運(yùn)用啟發(fā)式掃描技術(shù)的病毒檢測(cè)軟件，實(shí)際上就是以特定方式實(shí)現(xiàn)的動(dòng)態(tài)高度器或反編譯器，通過(guò)對(duì)有關(guān)指令序列的反編譯，逐步理解和確定其蘊(yùn)藏的真正動(dòng)機(jī)7/29/2023虛擬機(jī)技術(shù)“虛擬”二字，有著兩方面的含義：可發(fā)現(xiàn)未知病其一在于運(yùn)行一定規(guī)則的描述語(yǔ)言的機(jī)器并不一定是一臺(tái)真實(shí)地以該語(yǔ)言為機(jī)器代碼的計(jì)算機(jī)，比如JAVA想做到跨平臺(tái)兼容，那么每一種支持JAVA運(yùn)行的計(jì)算機(jī)都要運(yùn)行一個(gè)解釋環(huán)境，這就是JAVA虛擬機(jī)；另一個(gè)含義是運(yùn)行對(duì)應(yīng)規(guī)則描述語(yǔ)言的機(jī)器并不是該描述語(yǔ)言的原設(shè)計(jì)機(jī)器，這種情況也稱為仿真環(huán)境。7/29/2023虛擬機(jī)是反病毒的趨勢(shì)在處理加密編碼病毒過(guò)程中，虛擬機(jī)是比較理想的處理方法；在反病毒軟件中引入虛擬機(jī)是由于綜合分析了大多數(shù)已知病毒的共性，并基本可以認(rèn)為在今后一段時(shí)間內(nèi)的病毒大多會(huì)沿襲這些共性虛擬機(jī)的確可以抓住一些病毒“經(jīng)常使用的手段”和“常見(jiàn)的特點(diǎn)”，并以此來(lái)懷疑一個(gè)新的病毒；目前“臨床”應(yīng)用的虛擬機(jī)并不是“高大全”的完整仿真環(huán)境，而是相對(duì)比較簡(jiǎn)單的、易于實(shí)現(xiàn)的版本。虛擬機(jī)技術(shù)仍然與傳統(tǒng)技術(shù)相結(jié)合，并沒(méi)有拋棄已知病毒的特征知識(shí)庫(kù)。7/29/2023Sircam病毒的清除手工刪除的步驟如下：

在c:\windows>執(zhí)行如下的命令：

cd\Recycled

c:\Recycled>attrib–r-hsirc32.exe

c:\Recycled>delsirc32.exe

c:\Recycled>cd..

c:\>cdwindows

c:\windows>attrib-r-hscam32.exe

c:\windows>delscam32.exe

7/29/2023全方位、多層次防病毒統(tǒng)一安裝，集中管理自動(dòng)更新病毒定義庫(kù)網(wǎng)絡(luò)防病毒系統(tǒng)特點(diǎn)網(wǎng)絡(luò)防病毒系統(tǒng)7/29/2023病毒防護(hù)策略

Internet總部辦事處分公司分公司在全網(wǎng)部署病毒防護(hù)系統(tǒng)采用全網(wǎng)統(tǒng)一的病毒防護(hù)策略，對(duì)于網(wǎng)內(nèi)傳播的病毒進(jìn)行及時(shí)的查殺，實(shí)現(xiàn)全網(wǎng)統(tǒng)一升級(jí)，保持病毒庫(kù)版本的一致性，同時(shí)針對(duì)重點(diǎn)的防范點(diǎn)可采用防病毒網(wǎng)關(guān)進(jìn)行防護(hù)。具體防護(hù)包括:內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)病毒防護(hù)策略操作系統(tǒng)病毒防護(hù)策略應(yīng)用系統(tǒng)病毒防護(hù)策略服務(wù)器機(jī)群病毒擴(kuò)護(hù)策略工作站病毒防護(hù)策略7/29/2023企業(yè)防范蠕蟲(chóng)病毒的策略企業(yè)防毒的一個(gè)重要方面是是管理和策略。推薦的企業(yè)防范蠕蟲(chóng)病毒的策略如下

1．加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平，提高安全意識(shí)。由于蠕蟲(chóng)病毒利用的是系統(tǒng)漏洞進(jìn)行攻擊，所以需要在第一時(shí)間內(nèi)保持系統(tǒng)和應(yīng)用軟件的安全性,保持各種操作系統(tǒng)和應(yīng)用軟件的更新！

2．建立病毒檢測(cè)系統(tǒng)。

能夠在第一時(shí)間內(nèi)檢測(cè)到網(wǎng)絡(luò)異常和病毒攻擊。

3．建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險(xiǎn)減少到最??！

由于蠕蟲(chóng)病毒爆發(fā)的突然性，可能在病毒發(fā)現(xiàn)的時(shí)候已經(jīng)蔓延到了整個(gè)網(wǎng)絡(luò)，所以在突發(fā)情況下 ，建立一個(gè)緊急 響應(yīng)系統(tǒng)是很有必要的，在病毒爆發(fā)的第一時(shí)間即能提供解決方案。

4．建立災(zāi)難備份系統(tǒng)。對(duì)于數(shù)據(jù)庫(kù)和數(shù)據(jù)系統(tǒng)，必須采用定期備份，多機(jī)備份措施，防止意外災(zāi)難下的數(shù)據(jù)丟失！

5．對(duì)于局域網(wǎng)而言，可以采用以下一些主要手段：

（1）在因特網(wǎng)接入口處安裝防火墻式防殺計(jì)算機(jī)病毒產(chǎn)品，將病毒隔離在局域網(wǎng)之外。

（2）對(duì)郵件服務(wù)器進(jìn)行監(jiān)控，防止帶毒郵件進(jìn)行傳播！

（3）對(duì)局域網(wǎng)用戶進(jìn)行安全培訓(xùn)。

（4）建立局域網(wǎng)內(nèi)部的升級(jí)系統(tǒng)，包括各種操作系統(tǒng)的補(bǔ)丁升級(jí)，各種常用的應(yīng)用軟件升級(jí)，各種 殺毒軟件病毒庫(kù)的升級(jí)等等！

7/29/2023個(gè)人用戶的防范策略網(wǎng)絡(luò)蠕蟲(chóng)病毒對(duì)個(gè)人用戶的攻擊主要還是通過(guò)社會(huì)工程學(xué)，而不是利用系統(tǒng)漏洞！所以防范此類病毒需要注意以下幾點(diǎn)：

1．購(gòu)合適的殺毒軟件

網(wǎng)絡(luò)蠕蟲(chóng)病毒的發(fā)展已經(jīng)使傳統(tǒng)的殺毒軟件的“文件級(jí)實(shí)時(shí)監(jiān)控系統(tǒng)”落伍，殺毒軟件必須向內(nèi)存實(shí)時(shí)監(jiān)控和郵件實(shí)時(shí)監(jiān)控發(fā)展！

2.經(jīng)常升級(jí)病毒庫(kù)殺毒軟件對(duì)病毒的查殺是以病毒的特征碼為依據(jù)的,而病毒每天都層出不窮,尤其是在網(wǎng)絡(luò)時(shí)代,蠕蟲(chóng)病毒的傳播速度快,變種多,所以必須隨時(shí)更新病毒庫(kù),以便能夠查殺最新的病毒!3．提高防殺毒意識(shí)不要輕易去點(diǎn)擊陌生的站點(diǎn)，有可能里面就含有惡意代碼！

當(dāng)運(yùn)行IE時(shí)，點(diǎn)擊“工具→Internet選項(xiàng)→安全→Internet區(qū)域的安全級(jí)別”，把安全級(jí)別由“中”改為“高”。、因?yàn)檫@一類網(wǎng)頁(yè)主要是含有惡意代碼的ActiveX或Applet、

JavaScript的網(wǎng)頁(yè)文件，所以在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止就可以大大減少被網(wǎng)頁(yè)惡意代碼感染的幾率

4．不隨意查看陌生郵件

尤其是帶有附件的郵件，由于有的病毒郵件能夠利用ie和outlook的漏洞自動(dòng)執(zhí)行，所以計(jì)算機(jī)用戶需要升級(jí)ie和outlook程序，及常用的其他應(yīng)用程序！7/29/2023漏洞掃描技術(shù)不斷增加的新應(yīng)用漏洞的發(fā)現(xiàn)漏洞對(duì)系統(tǒng)的威脅漏洞的脆弱性分析掃描技術(shù)漏洞掃描工具介紹7/29/2023漏洞的發(fā)現(xiàn)vulnerability漏洞是硬件、軟件或策略上的缺陷，從而使得攻擊者能夠在未授權(quán)的情況下訪問(wèn)、控制系統(tǒng)漏洞的發(fā)現(xiàn)黑客破譯者安全服務(wù)商組織7/29/2023漏洞對(duì)系統(tǒng)的威脅（一）7月份來(lái)自國(guó)內(nèi)的攻擊總數(shù)為：383+396+120+441=1340次

7/29/2023漏洞對(duì)系統(tǒng)的威脅（二）7/29/2023漏洞的脆弱性分析--CGI7/29/2023漏洞的脆弱性分析---協(xié)議用戶接口用戶協(xié)議接口用戶數(shù)據(jù)傳輸服務(wù)器協(xié)議接口服務(wù)器數(shù)據(jù)傳輸控制連接

數(shù)據(jù)連接

FTP模型(在FTP標(biāo)準(zhǔn)[PR85]中，F(xiàn)TP服務(wù)器允許無(wú)限次輸入密碼。

“PASS”命令以明文傳送密碼。

7/29/2023