《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》第一篇網(wǎng)絡(luò)安全分析課件

《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》課件制作人：蔣亞軍網(wǎng)絡(luò)安全技術(shù)與實(shí)踐（課件）

人民郵電出版社2012

年

蔣亞軍編著《網(wǎng)絡(luò)安全技術(shù)與實(shí)踐》課件制作人：蔣亞軍網(wǎng)絡(luò)安全技術(shù)課程介紹課程的定位課程內(nèi)容如何學(xué)習(xí)本門課程教學(xué)要求輔助教學(xué)材料課程介紹課程的定位第

一篇網(wǎng)絡(luò)安全分析第一篇網(wǎng)絡(luò)安全分析項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題項(xiàng)目二網(wǎng)絡(luò)安全檢測第二篇網(wǎng)絡(luò)邊界安全項(xiàng)目一防火墻項(xiàng)目二入侵防護(hù)系統(tǒng)項(xiàng)目三統(tǒng)一安全網(wǎng)關(guān)項(xiàng)目四安全隔離網(wǎng)閘第一篇網(wǎng)絡(luò)安全分析第一篇網(wǎng)絡(luò)安全分析第

一篇網(wǎng)絡(luò)安全分析（續(xù)）第三篇內(nèi)網(wǎng)安全項(xiàng)目一操作系統(tǒng)安全項(xiàng)目二內(nèi)網(wǎng)應(yīng)用服務(wù)安全項(xiàng)目三內(nèi)網(wǎng)安全管理第四篇網(wǎng)絡(luò)安全設(shè)計(jì)項(xiàng)目一政務(wù)網(wǎng)安全設(shè)計(jì)項(xiàng)目二企業(yè)網(wǎng)安全設(shè)計(jì)項(xiàng)目三校園網(wǎng)安全設(shè)計(jì)第一篇網(wǎng)絡(luò)安全分析（續(xù)）第三篇內(nèi)網(wǎng)安全

第一篇網(wǎng)絡(luò)安全分析項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題項(xiàng)目二網(wǎng)絡(luò)安全檢測

第一篇網(wǎng)絡(luò)安全分析項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題認(rèn)識(shí)網(wǎng)絡(luò)安全問題的目的是什么？網(wǎng)絡(luò)安全的核心是什么？網(wǎng)絡(luò)安全問題與網(wǎng)絡(luò)安全技術(shù)的關(guān)系。項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題認(rèn)識(shí)網(wǎng)絡(luò)安全問題的目的是什么？項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題【實(shí)施目標(biāo)】

知識(shí)目標(biāo)：了解病毒的類型、特點(diǎn)了解木馬的類型、功能特點(diǎn)熟悉網(wǎng)絡(luò)攻擊類型、特點(diǎn)了解流氓軟件類型、特點(diǎn)與危害項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題【實(shí)施目標(biāo)】項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題技能目標(biāo)：會(huì)典型病毒制作技術(shù)會(huì)典型木馬安裝、隱藏、啟動(dòng)與清除會(huì)典型的網(wǎng)絡(luò)攻擊、檢測與防護(hù)技術(shù)會(huì)流氓軟件的編寫項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題技能目標(biāo)：項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題【項(xiàng)目背景】某企業(yè)存在嚴(yán)重的網(wǎng)絡(luò)安全問題，如網(wǎng)絡(luò)病毒盛行，隨便用一個(gè)殺毒軟件可以查出很多病毒。網(wǎng)絡(luò)攻擊也時(shí)有發(fā)生，常常網(wǎng)絡(luò)出現(xiàn)阻塞，上網(wǎng)非常困難。企業(yè)員工缺乏自覺性，工作時(shí)間上網(wǎng)聊天，影響工作的效率。如果你是一位掌握了一般組網(wǎng)技術(shù)的工程技術(shù)人員，如果要想成為一名合格的網(wǎng)絡(luò)安全人員，承接上述項(xiàng)目，應(yīng)該怎么辦？項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題【項(xiàng)目背景】項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題【需求分析】網(wǎng)絡(luò)安全是網(wǎng)絡(luò)技術(shù)的高端課程，課程的目標(biāo)是培養(yǎng)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)技能中的網(wǎng)絡(luò)安全的能力。課程的教學(xué)內(nèi)容與教學(xué)目標(biāo)是源于對網(wǎng)絡(luò)技術(shù)專業(yè)相關(guān)工作崗位群中的“網(wǎng)管”、“安管”等工作崗位的網(wǎng)絡(luò)安全職業(yè)技能需求。該課程需要先學(xué)習(xí)計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)、網(wǎng)絡(luò)工程制圖、網(wǎng)絡(luò)互聯(lián)設(shè)備配置、服務(wù)器與網(wǎng)絡(luò)存儲(chǔ)、中小型網(wǎng)絡(luò)設(shè)計(jì)與集成、綜合布線實(shí)施與管理等課程。項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題【需求分析】項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題【預(yù)備知識(shí)】知識(shí)1計(jì)算機(jī)病毒知識(shí)2特洛伊木馬知識(shí)3網(wǎng)絡(luò)攻擊知識(shí)4流氓軟件項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題【預(yù)備知識(shí)】項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒一、什么是計(jì)算機(jī)病毒？二、計(jì)算機(jī)病毒的類型

1.按病毒存在的媒體分類2.按病毒傳染的方式分類3.按病毒破壞的能力分類4.按照病毒攻擊的操作系統(tǒng)分類5.按照病毒的鏈結(jié)方式分類項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒三、現(xiàn)代計(jì)算機(jī)病毒的特點(diǎn)

易變性、人性化、

隱蔽性、

多樣性、平民化、可觸發(fā)性。項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒四、典型的計(jì)算機(jī)病毒1．文件型病毒項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒2.宏病毒宏病毒是一些制作病毒的專業(yè)人員利用MicrosoftWord的開放性即Word中提供的WordBASIC編程接口，專門制作的一個(gè)或多個(gè)具有病毒特點(diǎn)的宏的集合，這種病毒宏的集合影響到計(jì)算機(jī)使用，并能通過.DOC文檔及.DOT模板進(jìn)行自我復(fù)制及傳播。項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒3.蠕蟲病毒蠕蟲是一種能傳播和拷貝其自身或某部分到其他計(jì)算機(jī)系統(tǒng)中，且能保住其原有功能，不需要宿主的病毒程序。一般認(rèn)為蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等。項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的防護(hù)項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)1計(jì)算機(jī)病毒計(jì)算機(jī)病毒的防護(hù)（單機(jī)）計(jì)算機(jī)病毒的防護(hù)（單機(jī)）計(jì)算機(jī)病毒的防護(hù)（系統(tǒng)）計(jì)算機(jī)病毒的防護(hù)（系統(tǒng)）【思考與練習(xí)】1. 什么是病毒？簡述計(jì)算機(jī)病毒的特征及危害。2. 簡述計(jì)算機(jī)病毒的分類及各自特點(diǎn)。3. 殺毒軟件的選購指標(biāo)有哪些？目前常用的有哪些殺毒軟件？4. 怎樣預(yù)防和消除計(jì)算機(jī)網(wǎng)絡(luò)病毒？5.簡述檢測計(jì)算機(jī)病毒的常用方法。6.解析PE文件的格式，看看病毒如何嵌入？【思考與練習(xí)】1. 什么是病毒？簡述計(jì)算機(jī)病毒的特征及危害。項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)2特洛伊木馬一、特洛伊木馬二、木馬的類型與功能遠(yuǎn)程控制木馬、FTP木馬、密碼發(fā)送木馬、程序殺手木馬、鍵盤記錄木馬、反彈端口型木馬、破壞性質(zhì)的木馬、DoS攻擊木馬、代理木馬。三、 木馬的安裝項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)2特洛伊木馬項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)2特洛伊木馬四、 木馬的隱藏與啟動(dòng)

隱藏在應(yīng)用程序

隱藏在配置文件中

隱藏在Win.ini文件中

偽裝在普通文件中

嵌入到注冊表中項(xiàng)目一認(rèn)識(shí)網(wǎng)絡(luò)安全問題知識(shí)2特洛伊木馬知識(shí)2特洛伊木馬例：在System.ini中藏身Windows安裝目錄下的System.ini是木馬喜歡隱蔽的地方。打開這個(gè)文件可以發(fā)現(xiàn)在該文件的[boot]字段中，可能有如shell=Explorer.exefile.exe這樣的內(nèi)容，如果有這樣的內(nèi)容，那么這臺(tái)計(jì)算機(jī)就不幸中木馬了，這里的file.exe就是木馬的服務(wù)端程序！另外，在System.ini中的[386Enh]字段中，要注意檢查段內(nèi)的“driver=路徑程序名”，這里也是隱藏木馬的地方。在System.ini中的[mic]、[drivers]、[drivers32]三個(gè)字段是加載驅(qū)動(dòng)程序的地方，注意這些地方也是可以增添木馬程序的。知識(shí)2特洛伊木馬例：在System.ini中藏身知識(shí)2特洛伊木馬例：隱形于啟動(dòng)組中有些木馬并不在乎自己的行蹤，它更注意的是能否自動(dòng)加載到系統(tǒng)中，因?yàn)橐坏┠抉R加載到系統(tǒng)中，清除是非常困難的。因此，啟動(dòng)組也是木馬可以藏身的好地方。啟動(dòng)組對應(yīng)的文件夾是：C:windowsstartmenuprogramsstartup。在注冊表中的位置是：HKEY_CURRENT_SER/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellFoldersStartup="C:windowsstartmenuprogramsstartup"。因此，要注意經(jīng)常檢查啟動(dòng)組。知識(shí)2特洛伊木馬例：隱形于啟動(dòng)組中知識(shí)2特洛伊木馬例：隱蔽在Winstart.bat中木馬都喜歡能自動(dòng)加載的地方。Winstart.bat就是一個(gè)能自動(dòng)被Windows加載運(yùn)行的文件，多數(shù)情況下由應(yīng)用程序及Windows自動(dòng)生成，在執(zhí)行W時(shí)，驅(qū)動(dòng)程序加載之然后開始執(zhí)行。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此種入的木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行，因此要保證計(jì)算機(jī)系統(tǒng)安全，這些地方也是需要注意的。知識(shí)2特洛伊木馬例：隱蔽在Winstart.bat中知識(shí)2特洛伊木馬例：捆綁在啟動(dòng)文件中應(yīng)用程序的啟動(dòng)配置文件，控制端利用這些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可以達(dá)到啟動(dòng)木馬的目的了。知識(shí)2特洛伊木馬例：捆綁在啟動(dòng)文件中知識(shí)2特洛伊木馬例：設(shè)置在超級連接中木馬的主人在網(wǎng)頁上放置惡意代碼，引誘用戶點(diǎn)擊，用戶點(diǎn)擊被安裝和啟動(dòng)木馬，這是隱藏和啟動(dòng)木馬的最常見的發(fā)生。因此不要隨便點(diǎn)擊網(wǎng)頁上的鏈接。知識(shí)2特洛伊木馬例：設(shè)置在超級連接中知識(shí)2特洛伊木馬五、 木馬的欺騙木馬是一個(gè)軟件，它不會(huì)“長腿”自己跑到用戶的機(jī)器上，正像《特洛伊》劇情中描述的一樣，木馬往往是被攻擊者自己將其帶進(jìn)計(jì)算機(jī)中的，因此，欺騙是木馬的必需具備的一個(gè)重要的特征。網(wǎng)絡(luò)上有許多木馬流行欺騙方法介紹，這里只挑選簡單的幾種。知識(shí)2特洛伊木馬五、 木馬的欺騙知識(shí)2特洛伊木馬1. 捆綁欺騙把木馬的服務(wù)端和某個(gè)游戲或者flash文件捆綁成一個(gè)文件通過QQ或郵件發(fā)給受害者，當(dāng)受害者對這個(gè)游戲或者flash感興趣而下載到機(jī)器上，而且不幸打開了這個(gè)文件時(shí)，受害者會(huì)看到游戲程序正常打開，但卻不會(huì)發(fā)覺木馬程序已經(jīng)悄悄運(yùn)行。這種方法有很強(qiáng)的迷惑作用，而且即使受害者重裝系統(tǒng)，只要用戶保存了那個(gè)捆綁文件，仍然有可能再次中招。知識(shí)2特洛伊木馬1. 捆綁欺騙知識(shí)2特洛伊木馬2. 郵件冒名欺騙現(xiàn)在上網(wǎng)的用戶很多，其中一些用戶的電腦知識(shí)并不豐富，防范意識(shí)也不強(qiáng)。當(dāng)黑客用匿名郵件工具冒充用戶的好友或者大型網(wǎng)站、政府機(jī)構(gòu)向目標(biāo)主機(jī)用戶發(fā)送郵件，并將木馬程序作為附件附在這些郵件之上，而附件往往命名為調(diào)查問卷、注冊表單等，用戶就很可能在毫無戒心地情況下打開附件而受害。知識(shí)2特洛伊木馬2. 郵件冒名欺騙知識(shí)2特洛伊木馬3. 壓縮包偽裝這個(gè)方法比較簡單也比較實(shí)用。首先，將一個(gè)木馬和一個(gè)損壞的ZIP/RAR文件包（可自制）捆綁在一起，生成一個(gè)后綴名為.exe的文件。然后指定捆綁后的文件為ZIP/RAR文件圖標(biāo)，這樣一來，除了后綴名與真正的ZIP/RAR文件不同，執(zhí)行起來卻和一般損壞的ZIP/RAR沒什么兩樣，根本不知道其實(shí)已經(jīng)有木馬在悄悄運(yùn)行了。知識(shí)2特洛伊木馬3. 壓縮包偽裝知識(shí)2特洛伊木馬4. 網(wǎng)頁欺騙也許讀者在網(wǎng)上都有這樣的經(jīng)歷，當(dāng)用戶在聊天的時(shí)候，常常有人會(huì)發(fā)給你一些陌生的網(wǎng)址，并且說明網(wǎng)站上有一些比較吸引人的東西或者談到的是熱門的話題，如果你被吸引，或者好奇心較強(qiáng)，點(diǎn)擊了這個(gè)鏈接，在網(wǎng)頁彈出的同時(shí)，用戶的機(jī)器就有可能被種下了木馬。知識(shí)2特洛伊木馬4. 網(wǎng)頁欺騙知識(shí)2特洛伊木馬5. 利用netsend命令欺騙Netsend命令是DOS提供的在局域網(wǎng)內(nèi)發(fā)送消息的內(nèi)部命令，命令格式如下：netsend[目標(biāo)機(jī)的IP地址／目標(biāo)機(jī)的機(jī)器名][消息內(nèi)容]。因此如果用戶對此命令一無所知，則黑客就可以利用這個(gè)命令將自己偽裝成為系統(tǒng)用戶或網(wǎng)絡(luò)上的著名公司來發(fā)送欺騙性的消息，讓用戶跳進(jìn)黑客設(shè)定好的圈套之中，這樣黑客就可以很容易地在目標(biāo)機(jī)中種植木馬。知識(shí)2特洛伊木馬5. 利用netsend命令欺騙知識(shí)2特洛伊木馬六、 電腦中木馬的癥狀平時(shí)我們對自己硬盤幾百兆的空間變化是感覺不出來的，畢竟電腦運(yùn)行時(shí)會(huì)產(chǎn)生許多臨時(shí)文件。但有一些現(xiàn)象會(huì)讓人警覺，如玩游戲時(shí)速度異常，會(huì)很快覺得自己的電腦感染了木馬。感覺電腦中了木馬時(shí)，一般應(yīng)該馬上用殺毒軟件檢查一下，不管結(jié)果如何，就算是殺毒軟件告訴你，電腦內(nèi)沒有木馬，也應(yīng)該再認(rèn)真作一次更深人的調(diào)查，確保自己機(jī)器安全。下面是一些中了木馬電腦后常見的癥狀。知識(shí)2特洛伊木馬六、 電腦中木馬的癥狀知識(shí)2特洛伊木馬瀏覽網(wǎng)站時(shí)，彈出一些廣告窗口是很正常的事情，可如果你根本沒有打開瀏覽器，瀏覽器就突然自己打開了，并且進(jìn)入某個(gè)網(wǎng)站，這一般是中了木馬。當(dāng)操作電腦時(shí)，突然彈出來一個(gè)警告框或者是詢問框，問一些你從來沒有在電腦上接觸過的間題，這也可能是中了木馬。知識(shí)2特洛伊木馬瀏覽網(wǎng)站時(shí)，彈出一些廣告窗口是很正常的事知識(shí)2特洛伊木馬如果分析Windows系統(tǒng)配置常常自動(dòng)莫名其妙地被更改。比如屏保顯示的文字，時(shí)間和日期，聲音大小，鼠標(biāo)的靈敏度，還有CD-ROM的自動(dòng)運(yùn)行配置等。硬盤老沒緣由地讀寫，U盤燈總是亮起，沒有動(dòng)鼠標(biāo)可動(dòng)鼠在屏幕亂動(dòng)，計(jì)算機(jī)被關(guān)閉或者重啟等。知識(shí)2特洛伊木馬如果分析Windows系統(tǒng)配置常常自動(dòng)知識(shí)2特洛伊木馬

計(jì)算機(jī)突然變得很慢，發(fā)現(xiàn)電腦的某個(gè)進(jìn)程占用過高的CPU資源。發(fā)現(xiàn)你的Windows系統(tǒng)配置老是自動(dòng)莫名其妙地被更改，比如屏保顯示的文字、時(shí)間和日期，還有CD-ROM的自動(dòng)運(yùn)行配置等。知識(shí)2特洛伊木馬計(jì)算機(jī)突然變得很慢，發(fā)現(xiàn)電腦的某個(gè)進(jìn)程知識(shí)2特洛伊木馬七、 木馬的檢測清除與防范對于一些常見的木馬，如SUB7、BO2000、冰河等，它們都采用打開TCP端口監(jiān)聽和通過注冊表啟動(dòng)的工作方式，可以使用木馬克星之類的軟件來檢測這些木馬，因?yàn)檫@些檢測軟件都可以檢測TCP連結(jié)和注冊表等信息，然后，并通過手工方法來清除這類木馬。知識(shí)2特洛伊木馬七、 木馬的檢測清除與防范知識(shí)2特洛伊木馬1.木馬的檢測與清除發(fā)現(xiàn)電腦工作異常時(shí)，也可以使用netstat-a命令查看，通過這個(gè)命令可發(fā)現(xiàn)所有網(wǎng)絡(luò)連接，如果有攻擊者通過木馬連接，可以通過這些信息發(fā)現(xiàn)異常。通過端口掃描的方法也可以發(fā)現(xiàn)一些低級的木馬，特別是一些早期的木馬，它們捆綁的端口不能更改，通過掃描這些固定的端口可以方便地發(fā)現(xiàn)木馬是否植入。知識(shí)2特洛伊木馬1.木馬的檢測與清除木馬的檢測與清除可以通過進(jìn)程管理軟件檢查系統(tǒng)進(jìn)程來發(fā)現(xiàn)木馬。如果發(fā)現(xiàn)可疑進(jìn)程就通過禁止運(yùn)行來殺死它。發(fā)現(xiàn)那個(gè)進(jìn)程可疑有一個(gè)笨的辦法，就是記住正常的進(jìn)程，然后進(jìn)行對比。如打開IE會(huì)出現(xiàn)進(jìn)程：EXPLORER.EXE、KERNEL32.DLL、MPREXE.EXE、MSGSRVINTERNAT.EXE、32.EXE、SPOOL32.EXEIEXPLORE.EXE，如果出現(xiàn)了其他的沒有運(yùn)行過的新進(jìn)程就很可能是木馬，可尋跡清除。木馬的檢測與清除可以通過進(jìn)程管理軟件檢查系統(tǒng)進(jìn)程來發(fā)現(xiàn)木馬。木馬的檢測與清除特洛伊木馬入侵的一個(gè)明顯證據(jù)是受害人的機(jī)器上會(huì)意外地打開了某個(gè)端口，如果發(fā)現(xiàn)這個(gè)端口正好是某個(gè)特洛伊木馬常用的端口，木馬入侵的事實(shí)就可以肯定了，應(yīng)當(dāng)盡快切斷網(wǎng)絡(luò)連接，減少攻擊者進(jìn)一步攻擊的機(jī)會(huì)?？纱蜷_任務(wù)管理器，關(guān)閉所有連接到Internet的程序，例如Email程序、IM程序，以及系統(tǒng)托盤上所有正在運(yùn)行的程序。注意暫時(shí)不要啟動(dòng)安全模式，啟動(dòng)安全模式通常會(huì)阻止特洛伊木馬裝入內(nèi)存，給檢測木馬帶來困難。木馬的檢測與清除特洛伊木馬入侵的一個(gè)明顯證據(jù)是受害人的機(jī)器上木馬的危害檢測檢測清除了特洛伊木馬之后，一個(gè)重要的問題就是要確定攻擊對于系統(tǒng)的危害程度，竊取了那些敏感信息？要得出確切的答案是很困難的，但我們可以通過下列方法來確定危害程度。木馬的危害檢測檢測清除了特洛伊木馬之后，一個(gè)重要的問題就是要木馬的危害檢測首先，可以確定特洛伊木馬存在的時(shí)間。木馬文件創(chuàng)建日期不一定值得完全信賴，但可作參考。用Windows資源管理器查看特洛伊木馬執(zhí)行文件的創(chuàng)建日期和最近訪問日期，如果執(zhí)行文件的創(chuàng)建日期很早，最近訪問日期卻很近，那么可以確定攻擊者利用該木馬已經(jīng)有相當(dāng)長的時(shí)間了。木馬的危害檢測首先，可以確定特洛伊木馬存在的時(shí)間。木馬文件創(chuàng)木馬的危害檢測其次，是了解攻擊者在入侵機(jī)器之后有哪些行動(dòng)？包括確認(rèn)攻擊者訪問了那些機(jī)密數(shù)據(jù)庫，發(fā)送Email的IP，訪問其他什么遠(yuǎn)程網(wǎng)絡(luò)或共享目錄，攻擊者是否獲取管理員權(quán)限。要仔細(xì)檢查被入侵的機(jī)器尋找線索，了解文件和程序的訪問日期是否在用戶的辦公時(shí)間之外？木馬的危害檢測其次，是了解攻擊者在入侵機(jī)器之后有哪些行動(dòng)？包木馬的清除之后在安全性要求比較高的場合，任何未知的潛在風(fēng)險(xiǎn)都是不可忍受的，必要時(shí)應(yīng)當(dāng)調(diào)整管理員或網(wǎng)絡(luò)安全的負(fù)責(zé)人，徹底檢測整個(gè)網(wǎng)絡(luò)，修改所有密碼，在此基礎(chǔ)上還要進(jìn)行后繼風(fēng)險(xiǎn)分析。對于被入侵的機(jī)器，要進(jìn)行徹底的格式化，然后重裝系統(tǒng)。木馬的清除之后在安全性要求比較高的場合，任何未知的潛在風(fēng)險(xiǎn)都2.木馬的防范木馬防范有手工防范、軟件防范與設(shè)備防范。手工防范是指人工檢查木馬隱藏的位置，如：注冊表、啟動(dòng)組、Win.ini、C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat等隱藏木馬的地方，然后作相應(yīng)的處理。軟件防范是指安裝如：天網(wǎng)個(gè)人版防火墻、Norton個(gè)人防火墻、thecleaner、BlackICE、Lockdown、ZoneAlarm、Mcafee等桌面防火墻安全軟件。設(shè)備防范指安裝防火墻、防病毒網(wǎng)關(guān)、IDS、IPS與UTM等網(wǎng)絡(luò)安全設(shè)備。2.木馬的防范木馬防范有手工防范、軟件防范與設(shè)備防范。手工防防范安全意識(shí)不到不受信任的網(wǎng)站上下載軟件。不隨便點(diǎn)擊來歷不明郵件所帶的附件。及時(shí)安裝系統(tǒng)與應(yīng)用程序的補(bǔ)丁程序。選用合適的正版殺毒軟件，并及時(shí)升級相關(guān)的病毒庫。為系統(tǒng)所有的用戶設(shè)置合理的用戶口令，并且及時(shí)更新。防范安全意識(shí)不到不受信任的網(wǎng)站上下載軟件。知識(shí)3網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊就是黑客利用被攻擊方自身網(wǎng)絡(luò)系統(tǒng)存在的安全漏洞，使用網(wǎng)絡(luò)命令或者專用軟件對網(wǎng)絡(luò)實(shí)施的攻擊。攻擊可導(dǎo)致網(wǎng)絡(luò)癱瘓，也可破壞信息的傳播，還可使系統(tǒng)失去控制權(quán)。網(wǎng)絡(luò)攻擊與一般的病毒、木馬的攻擊是有差別的，它對于計(jì)算機(jī)的破壞性也是不相同的。病毒與木馬是利用系統(tǒng)以及系統(tǒng)中應(yīng)用程序的缺陷實(shí)施對于系統(tǒng)的破壞，網(wǎng)絡(luò)只是其傳播的途徑，而網(wǎng)絡(luò)攻擊的特點(diǎn)是利用網(wǎng)絡(luò)的缺陷的實(shí)現(xiàn)對于網(wǎng)絡(luò)的攻擊，以破壞網(wǎng)絡(luò)中的信息的正常傳送為目的。知識(shí)3網(wǎng)絡(luò)攻擊網(wǎng)絡(luò)攻擊就是黑客利用被攻擊方自身網(wǎng)絡(luò)系統(tǒng)存知識(shí)3網(wǎng)絡(luò)攻擊一、網(wǎng)絡(luò)攻擊的類型常見的網(wǎng)絡(luò)攻擊分為拒絕服務(wù)攻擊Dos或者DDos、利用型攻擊、信息收集型和假消息攻擊攻擊四種。知識(shí)3網(wǎng)絡(luò)攻擊一、網(wǎng)絡(luò)攻擊的類型網(wǎng)絡(luò)攻擊的類型1.拒絕服務(wù)攻擊Dos（DenialOfService）拒絕服務(wù)攻擊是目前最常見的一種攻擊類型，是指攻擊者通過某種手段，利用網(wǎng)絡(luò)協(xié)議的缺陷，通過向目標(biāo)主機(jī)發(fā)送一些信息，有意地造成計(jì)算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)從而不能向合法用戶提供所需服務(wù)或者使服務(wù)質(zhì)量降低的一種破壞手段。拒絕服務(wù)攻擊是最容易實(shí)施的攻擊行為。網(wǎng)絡(luò)攻擊的類型1.拒絕服務(wù)攻擊Dos（DenialOfSYN洪水（SYNflood）SYN-Flood攻擊是當(dāng)前網(wǎng)絡(luò)上最為常見的DDos攻擊，也是最經(jīng)典的拒絕服務(wù)攻擊。它利用TCP協(xié)議上的一個(gè)缺陷，通過向網(wǎng)絡(luò)服務(wù)所在端口發(fā)送大量偽造的源地址攻擊報(bào)文，造成目標(biāo)服務(wù)器中的半開連接隊(duì)列被占滿，從而達(dá)到阻止其他合法用戶進(jìn)行訪問的目的。很多操作系統(tǒng)，甚至防火墻、路由器都無法有效地防御這種攻擊，而且由于它可以方便地偽造源地址，追查起來也非常困難。這種攻擊的數(shù)據(jù)包特征是網(wǎng)絡(luò)中會(huì)出現(xiàn)大量的SYN包，但缺少三次握手的最后一步握手ACK回復(fù)。這種方法是比較初級DOS攻擊，隨著寬帶的不斷提高，計(jì)算機(jī)性能越來越好，現(xiàn)在的計(jì)算機(jī)有足夠的能力來對付這種攻擊，目前這種攻擊已經(jīng)比較少見了。SYN洪水（SYNflood）SYN-Floo死亡之ping（pingofdeath）

由于在早期的路由器對包的最大尺寸有限制，許多操作系統(tǒng)的TCP/IP棧在接收ICMP包時(shí)都規(guī)定不能超過64KB，并且在讀取了包的標(biāo)題頭之后，要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)。如果黑客不斷的對某一臺(tái)主機(jī)發(fā)送Ping命令，當(dāng)接收主機(jī)接收到過多ICMP包的數(shù)量使得計(jì)算機(jī)內(nèi)存加載尺寸超過64K上限，就會(huì)因?yàn)閮?nèi)存分配錯(cuò)誤而導(dǎo)致TCP/IP堆棧崩潰，致使被攻擊主機(jī)宕機(jī)。死亡之ping（pingofdeath）由于在早淚滴（teardrop）

淚滴攻擊是利用在TCP/IP堆棧中信任的IP碎片中包的標(biāo)題頭所包含的信息來實(shí)現(xiàn)的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack4以前的NT）在收到含有重疊偏移的偽造分段時(shí)將會(huì)崩潰。淚滴（teardrop）淚滴攻擊是利用在TCP/IP堆UDP洪水（UDPflood）UDPFlood是一種流量型DoS攻擊。它實(shí)施的原理比較簡單，常見的情況是大量的UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。一般100kbps流量的UDPFlood就可以將線路上的骨干設(shè)備例如防火墻打癱。UDP協(xié)議是一種無連接的服務(wù)，依靠開啟UDP的端口來提供服務(wù)，攻擊者可對開啟的端口發(fā)送大量偽造源IP地址的小UDP包進(jìn)行攻擊。UDP洪水（UDPflood）UDPFlood是一Land攻擊

在Land攻擊中，一個(gè)特別打造的SYN包的原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址，此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接，每一個(gè)這樣的連接都將保留直到超時(shí)才斷掉，對Land攻擊反應(yīng)不同，許多UNIX系統(tǒng)將崩潰，NT變的極其緩慢。Land攻擊在Land攻擊中，一個(gè)特別打造的SYN包的Smurf攻擊

一個(gè)簡單的smurf攻擊可通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求（ping）的數(shù)據(jù)包來淹沒受害主機(jī)的方式進(jìn)行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對此ICMP應(yīng)答請求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。一般smurf攻擊要比pingofdeath洪水的流量高出一或兩個(gè)數(shù)量級。更加復(fù)雜的Smurf會(huì)將源地址改為第三方的受害者，最終導(dǎo)致第三方雪崩。Smurf攻擊一個(gè)簡單的smurf攻擊可通過使用將回復(fù)電子郵件炸彈

電子郵件炸彈是最古老的匿名攻擊之一，通過配置一臺(tái)機(jī)器向某個(gè)IP地址的主機(jī)不斷大量地發(fā)送電子郵件，耗盡被攻擊者的網(wǎng)絡(luò)帶寬，使其不能上網(wǎng)為攻擊的目的。電子郵件炸彈電子郵件炸彈是最古老的匿名攻擊之一，通過畸形消息攻擊

各類操作系統(tǒng)上的許多服務(wù)都存在此類問題，由于這些服務(wù)在處理信息之前沒有進(jìn)行適當(dāng)正確的錯(cuò)誤校驗(yàn)，在收到畸形的信息可能會(huì)崩潰?；蜗⒐舾黝惒僮飨到y(tǒng)上的許多服務(wù)都存在此類問題，由DDos攻擊DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之發(fā)展出來的一類攻擊。DoS攻擊是一對一攻擊，當(dāng)攻擊目標(biāo)主機(jī)的性能較差，如CPU速度較低，內(nèi)存較小，網(wǎng)絡(luò)帶寬較窄時(shí)，其攻擊效果是比較明顯的。但隨著計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計(jì)算機(jī)的處理能力迅速增長，內(nèi)存也大大增加，網(wǎng)絡(luò)一般都是千兆級網(wǎng)絡(luò)時(shí)，使用DoS攻擊，即使每秒鐘發(fā)送3,000個(gè)攻擊包，對于可以處理10,000個(gè)攻擊包的網(wǎng)絡(luò)與主機(jī)來說也是沒有什么效果的。DDos攻擊DDoS攻擊是在傳統(tǒng)的DoS攻擊基礎(chǔ)之發(fā)網(wǎng)絡(luò)攻擊的類型

2.利用型攻擊

利用型攻擊是一類試圖直接對你的機(jī)器進(jìn)行控制的攻擊。如口令型攻擊、特洛伊木馬攻擊等等。網(wǎng)絡(luò)攻擊的類型2.利用型攻擊口令猜測

一旦黑客識(shí)別了一臺(tái)主機(jī)而且發(fā)現(xiàn)了基于NetBIOS、Telnet或NFS這樣的服務(wù)的可利用的用戶帳號，成功的口令猜測能提供對機(jī)器的控制。這種攻擊的防御方法是要選用難以猜測的口令，比如詞和標(biāo)點(diǎn)符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務(wù)不暴露在公共范圍。如果服務(wù)支持鎖

定策略，就要進(jìn)行鎖定。口令猜測一旦黑客識(shí)別了一臺(tái)主機(jī)而且發(fā)現(xiàn)了基于NetBI特洛伊木馬

特洛伊木馬是一種或是直接由一個(gè)黑客，或是通過一個(gè)不令人起疑的用戶秘密安裝到目標(biāo)系統(tǒng)的程序。一旦安裝成功并取得管理員權(quán)限，安裝此程序的人就可以直接遠(yuǎn)程控制目標(biāo)系統(tǒng)。最有效的一種木馬叫做后門程序，有良性與如惡性之分，惡性的有：NetBus、BackOrifice和BO2k等，良性的木馬程序有：netcat、VNC、pcAnywhere等。理想的后門程序可以透明運(yùn)行。特洛伊木馬特洛伊木馬是一種或是直接由一個(gè)黑客，或是通過緩沖區(qū)溢出

由于在很多的服務(wù)程序中大意的程序員會(huì)使用象strcpy(),strcat()類似的不進(jìn)行有效位檢查的函數(shù)，而這種安全漏洞很容易被惡意用戶利用，如編寫一小段程序安裝在緩沖區(qū)有效載荷末尾，當(dāng)發(fā)生緩沖區(qū)溢出時(shí)，返回指針指向惡意代碼，從而獲得系統(tǒng)的控制權(quán)。

防御方法：利用SafeLib、tripwire這樣的程序保護(hù)系統(tǒng)，或者瀏覽最新的安全公告不斷更新操作系統(tǒng)，打上補(bǔ)丁。緩沖區(qū)溢出由于在很多的服務(wù)程序中大意的程序員會(huì)使用象s網(wǎng)絡(luò)攻擊的類型3. 信息收集型攻擊信息收集型攻擊并不對目標(biāo)本身造成危害，這類攻擊主要用來為進(jìn)一步入侵提供有用的信息。包括：掃描、體系結(jié)構(gòu)刺探、信息服務(wù)利用。網(wǎng)絡(luò)攻擊的類型3. 信息收集型攻擊DNS域轉(zhuǎn)換DNS協(xié)議不對轉(zhuǎn)換或信息性的更新進(jìn)行身份認(rèn)證，這使得該協(xié)議可以被人以一些不同的方式加以利用，黑客只需實(shí)施一次域轉(zhuǎn)換操作就能得到所有主機(jī)的名稱以及內(nèi)部IP地址。

防御方法：在防火墻處過濾掉域轉(zhuǎn)換請求。DNS域轉(zhuǎn)換DNS協(xié)議不對轉(zhuǎn)換或信息性的更新進(jìn)行身份Finger服務(wù)

黑客使用finger命令來刺探一臺(tái)finger服務(wù)器以獲取關(guān)于該系統(tǒng)的用戶的信息。

防御方法：關(guān)閉finger服務(wù)并記錄嘗試連接該服務(wù)的對方IP地址，或者在防火墻上進(jìn)行過濾。Finger服務(wù)黑客使用finger命令來刺探一臺(tái)fiLDAP服務(wù)（目錄信息服務(wù)）

黑客使用LDAP協(xié)議窺探網(wǎng)絡(luò)內(nèi)部的系統(tǒng)和它們的用戶的信息。

防御：對于刺探內(nèi)部網(wǎng)絡(luò)的LDAP進(jìn)行阻斷并記錄，如果在公共機(jī)器上提供LDAP服務(wù)，那么應(yīng)把LDAP服務(wù)器放入DMZ。LDAP服務(wù)（目錄信息服務(wù)）黑客使用LDAP協(xié)議窺探網(wǎng)假消息攻擊用于攻擊目標(biāo)配置不正確的消息，主要包括：DNS高速緩存污染、偽造電子郵件等。假消息攻擊用于攻擊目標(biāo)配置不正確的消息，主要包括DNS高速緩存污染

由于DNS服務(wù)器與其他名稱服務(wù)器交換信息的時(shí)候并不進(jìn)行身份驗(yàn)證，這就使得黑客可以將不正確的信息摻進(jìn)來并把用戶引向黑客自己的主機(jī)。

防御方法：在防火墻上過濾入站的DNS更新，外部DNS服務(wù)器不應(yīng)能更改你的內(nèi)部服務(wù)器對內(nèi)部機(jī)器的認(rèn)識(shí)。DNS高速緩存污染由于DNS服務(wù)器與其他名稱服務(wù)器交換偽造電子郵件

由于SMTP并不對郵件的發(fā)送者的身份進(jìn)行鑒定，因此黑客可以對你的內(nèi)部客戶偽造電子郵件，聲稱是來自某個(gè)客戶認(rèn)識(shí)并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個(gè)引向惡意網(wǎng)站的連接。

防御方法：使用PGP等安全工具并安裝電子郵件證書。偽造電子郵件由于SMTP并不對郵件的發(fā)送者的身份進(jìn)行鑒二、典型網(wǎng)絡(luò)攻擊分析1.SYNFlood攻擊這種因?yàn)榧龠B接而導(dǎo)致打開網(wǎng)頁緩慢或服務(wù)器無法響應(yīng)情況，就是我們常說的服務(wù)器端SYNFlood攻擊。二、典型網(wǎng)絡(luò)攻擊分析1.SYNFlood攻擊SYNFlood攻擊SYNFlood攻擊的監(jiān)測對于SYNFlood攻擊，目前尚沒有很好的監(jiān)測和防御方法，不過如果系統(tǒng)管理員熟悉攻擊方法和系統(tǒng)架構(gòu)，通過一系列的設(shè)定，也能從一定程度上降低被攻擊的負(fù)面影響。一般來說，如果一個(gè)主機(jī)的負(fù)荷突然升高甚至失去響應(yīng)，使用Netstat命令看到大量SYN_RCVD的半連接（數(shù)量>500或占總連接數(shù)的10%以上），就基本可以認(rèn)定，這個(gè)主機(jī)遭到了SYNFlood攻擊。

SYNFlood攻擊SYNFlood攻擊（取證）當(dāng)遭到SYNFlood攻擊時(shí)，首先要做的就是取證，可通過Netstat–n–ptcp>resaul.txt記錄目前所有TCP連接狀態(tài)。當(dāng)然，如果用嗅探器或者TcpDump之類的工具，可記錄TCPSYN報(bào)文的所有細(xì)節(jié)，將有助于追查和防御SYNFlood攻擊（取證）當(dāng)遭到SYNFlood攻擊時(shí)SYNFlood攻擊（取證）需要記錄的字段有：源地址、IP首部中的標(biāo)識(shí)、TCP首部中的序列號、TTL值等。這些信息雖然很可能是攻擊者偽造的，但有助于分析攻擊者的心理狀態(tài)和攻擊程序。特別是TTL值，如果大量的攻擊包來自不同的IP但TTL值卻相同，就可以推斷出攻擊者與我們之間的路由器距離，至少可以通過過濾特定TTL值的報(bào)文，降低攻擊的效果，保證TTL值與攻擊報(bào)文不同用戶的正常訪問。SYNFlood攻擊（取證）需要記錄的字段有：源地址、IPSYNFlood攻擊的防護(hù)

可縮短SYNTimeout時(shí)間和設(shè)置SYNCookie來進(jìn)行SYN攻擊保護(hù)。對早期的Win系統(tǒng)，可修改注冊表來降低SYNFlood的危害，在注冊表中作如下改動(dòng)：打開regedit，找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters增加一個(gè)SynAttackProtect的鍵值，類型為REG_DWORD，取值范圍是0-2，這個(gè)值決定了系統(tǒng)受到SYN攻擊時(shí)采取的保護(hù)措施，包括減少系統(tǒng)SYN+ACK的重試的次數(shù)等，默認(rèn)值是0（沒有任何保護(hù)措施），推薦設(shè)置是2。SYNFlood攻擊的防護(hù)可縮短SYNTimeouSYNFlood攻擊防護(hù)技術(shù)

通過設(shè)置注冊表防御SYNFlood攻擊，采用的是“挨打”的策略，無論系統(tǒng)如何強(qiáng)大，始終不能光靠挨打支撐下去，除了挨打之外，“退讓”也是一種比較有效的方法。

如：更換自己的IP地址。SYNFlood攻擊防護(hù)技術(shù)SYNFlood攻擊防護(hù)采用網(wǎng)關(guān)型防火墻

客戶機(jī)并不直接與服務(wù)器建立連接，在TCP連接沒有完成時(shí)防火墻不會(huì)去向后臺(tái)的服務(wù)器建立新的TCP連接，所以攻擊者無法越過防火墻直接攻擊后臺(tái)服務(wù)器，只要防火墻本身做的足夠強(qiáng)壯，這種架構(gòu)可以抵抗相當(dāng)強(qiáng)度的SYNFlood攻擊。SYNFlood攻擊防護(hù)采用網(wǎng)關(guān)型防火墻2．ARP攻擊ARP協(xié)議是“AddressResolutionProtocol”（地址解析協(xié)議）的縮寫。ARP是用來完成IP地址轉(zhuǎn)換為第二層物理地址（即MAC地址）的協(xié)議。2．ARP攻擊ARP協(xié)議是“AddressResolutARP欺騙的過程如果要對目標(biāo)A進(jìn)行欺騙，假如主機(jī)A要去Ping主機(jī)C，主機(jī)A會(huì)通過ARP協(xié)議在網(wǎng)上發(fā)送請求數(shù)據(jù)報(bào)，以獲得主機(jī)C的MAC地址，這時(shí)只要設(shè)法在網(wǎng)上給主機(jī)A發(fā)送D的MAC地址，那么就可以使主機(jī)A把要發(fā)送到C的數(shù)據(jù)包，發(fā)送給D。如果主機(jī)接收了主機(jī)A傳送來的數(shù)據(jù)包而不處理，那么主機(jī)A到主機(jī)C的連接就會(huì)終止。要使這個(gè)游戲一直進(jìn)行下去的話，就要求主機(jī)D必須成為一個(gè)中間角色，它要將主機(jī)A傳來的信息再傳送至主機(jī)C，即進(jìn)行ARP的重定向。當(dāng)然，主機(jī)D要實(shí)現(xiàn)重定向必須直接修改由主機(jī)A傳送了的數(shù)據(jù)包，然后再轉(zhuǎn)發(fā)給C，只有當(dāng)C接收到的數(shù)據(jù)包并且完全認(rèn)為是從主機(jī)A發(fā)送來的時(shí)候，這場游戲才可能延續(xù)。這樣做的結(jié)果是主機(jī)D可以完全掌握主機(jī)A與C之間的通信內(nèi)容，