網(wǎng)絡(luò)銀行安全現(xiàn)狀

構(gòu)建現(xiàn)代平安網(wǎng)絡(luò)銀行一、網(wǎng)絡(luò)銀行概念網(wǎng)上銀行是指利用互聯(lián)網(wǎng)/WWW技術(shù),通過建立互聯(lián)網(wǎng)站點(diǎn)和WEB主頁,為客戶提供有關(guān)銀行業(yè)務(wù)與信息效勞〔如提供存貸、電子商務(wù)、帳戶管理〕等效勞的各種金融效勞的銀行機(jī)構(gòu)。網(wǎng)上銀行的定義：網(wǎng)絡(luò)銀行中，用戶通過個(gè)人電腦、掌上電腦、或者其它數(shù)字終端設(shè)備，采用撥號連接、專線連接、無限連接等方式，登錄互聯(lián)網(wǎng)，享受網(wǎng)上銀行的效勞。網(wǎng)上銀行網(wǎng)上銀行提供的金融業(yè)務(wù)大致分為三大類:

信息、查詢和交易

目前，網(wǎng)上銀行已經(jīng)遍布180多個(gè)國家，容納了360萬個(gè)網(wǎng)絡(luò)，接入了1億多臺電腦，有100多萬信息源，5億多用戶。網(wǎng)銀操作流程網(wǎng)上銀行開展概況1999年6月，IBM公司的一項(xiàng)統(tǒng)計(jì)數(shù)字標(biāo)明，斯堪的那維亞地區(qū)網(wǎng)上銀行業(yè)務(wù)的開展在歐洲處于領(lǐng)先地位。德國1997年開始提供網(wǎng)上銀行業(yè)務(wù)是目前最大的網(wǎng)上零售國，隨后，日本、韓國、新加坡也迅速開展起來。自1995年世界上第一家網(wǎng)上銀行——美國平安第一網(wǎng)絡(luò)銀行誕生，短短十幾年間，網(wǎng)上銀行便在世界范圍內(nèi)得到了迅速的開展。我國網(wǎng)上銀行的開展始于1997年,招商銀行率先推出網(wǎng)上銀行,接著中國工商銀行、中國建設(shè)銀行、交通銀行、中國銀行、中國農(nóng)業(yè)銀行等也紛紛開通網(wǎng)上支付業(yè)務(wù)。網(wǎng)銀國內(nèi)外開展?fàn)顩r起初在美國其他國家開展?fàn)顩r我國開展?fàn)顩r網(wǎng)上銀行開展概況二、網(wǎng)銀平安現(xiàn)狀國外網(wǎng)絡(luò)銀行受到攻擊的典型案例花旗銀行網(wǎng)站遭遇黑客，20萬信用卡用戶信息被盜；韓國農(nóng)協(xié)銀行遭遇攻擊導(dǎo)致系統(tǒng)長時(shí)間癱瘓及大量交易數(shù)據(jù)喪失；94年末，俄羅斯黑客弗拉基米爾·利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計(jì)算機(jī)上，向美國CITYBANK銀行發(fā)動了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計(jì)算機(jī)主機(jī)里竊取1100萬美元。國外網(wǎng)絡(luò)銀行受到攻擊的典型案例2000年2月6日前后，美國YAHOO等8家大型網(wǎng)站接連遭受黑客的攻擊，直接經(jīng)濟(jì)損失約為12億美元；國際知名黑客凱文米特尼克凱文?米特尼克是美國20世紀(jì)最著名的黑客之一，他是“社會工程學(xué)〞的創(chuàng)始人。1979年他和他的伙伴侵入了北美空防指揮部1983年的電影?戰(zhàn)爭游戲?演繹了同樣的故事，在片中，以凱文為原型的少年黑客幾乎引發(fā)了第三次世界大戰(zhàn)。著名病毒--莫里斯蠕蟲〔MorrisWorm〕時(shí)間--1988年肇事者--RobertT.Morris,美國康奈爾大學(xué)學(xué)生，其父是美國國家平安局平安專家。機(jī)理--利用sendmail,finger等效勞的漏洞，消耗CPU資源，拒絕效勞。影響—Internet上大約6000臺計(jì)算機(jī)感染，占當(dāng)時(shí)Internet聯(lián)網(wǎng)主機(jī)總數(shù)的10%，造成9600萬美元的損失。CERT/CC的誕生—DARPA成立CERT〔ComputerEmergencyResponseTeam〕，以應(yīng)付類似“蠕蟲〔MorrisWorm〕〞事件國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例2004年至2005年兩年間,電腦高手劉某利用木馬軟件7次作案，破解網(wǎng)上銀行，盜竊3萬元.

2006年04月—5月,北京地區(qū)使用工商銀行網(wǎng)上銀行的客戶,陸續(xù)有人發(fā)現(xiàn)自己賬戶中的存款被人轉(zhuǎn)移到陌生賬號上,被盜金額從幾百到一萬不等.黑客使用偽造的工商銀行的假網(wǎng)站,用戶登錄假網(wǎng)站后,網(wǎng)站的病毒程序會將盜竊來的賬號密碼發(fā)到指定的郵箱.國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例江蘇21歲的大專生汪某，利用把淘寶網(wǎng)會員號借給網(wǎng)友購物之機(jī)，暗中記下網(wǎng)友的網(wǎng)絡(luò)銀行卡號，套走存款3177元；甘肅王某趁公司演示網(wǎng)上銀行業(yè)務(wù)，快速地記公司賬號及網(wǎng)上銀行客戶卡密碼。并找時(shí)機(jī)將12萬元資金劃撥到了其事先開立的“楚鑫〞賬戶上；哈爾濱市某高校４名大學(xué)生利用網(wǎng)上銀行轉(zhuǎn)賬，盜取哈爾濱工商銀行多個(gè)儲蓄所５３萬余元巨款；國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例2004年10月，三名犯罪分子從網(wǎng)上搜尋某銀行儲蓄卡卡號，然后登陸該銀行網(wǎng)上銀行網(wǎng)站，嘗試破解弱口令，并屢屢得手；2005年7月，某市一17歲在校生劉某，利用互聯(lián)網(wǎng)傳播“網(wǎng)銀大盜〞木馬程序，盜取了134個(gè)網(wǎng)民的銀行賬號和密碼，并將他人銀行賬戶上的錢款轉(zhuǎn)到自己的賬戶中，先后共盜取他人存款5萬余元；國內(nèi)網(wǎng)絡(luò)銀行受到攻擊的典型案例貴州11歲兒童在網(wǎng)上購置了專門用于套取工行銀行網(wǎng)上銀行個(gè)人賬戶和密碼的假冒網(wǎng)址，并冒充工行網(wǎng)上客戶效勞人員，以幫助李某某解決網(wǎng)上銀行不能登錄問題為由，騙取信任后讓李某某在自己購置的中國工商銀行假冒網(wǎng)站上填寫銀行賬戶相關(guān)信息進(jìn)行網(wǎng)上銀行卡的升級，從而盜取了李某某的工行個(gè)人網(wǎng)上銀行賬號及密碼。17荊州人趙蓉的網(wǎng)上銀行帳戶上的資金被劃走：2004年7月，黑龍江人付某使用了一種木馬程序，掛在自己的網(wǎng)站上；荊州人趙蓉下載付某的軟件，木馬就“進(jìn)入〞電腦；屏幕上敲入的信息通過郵件發(fā)出：賬戶、密碼；付某成功劃出1萬元；抓獲付某時(shí)，他已獲取7000多個(gè)全國各地儲戶的網(wǎng)上銀行密碼。利用木馬進(jìn)行攻擊平安事件：付某：三、網(wǎng)銀典型網(wǎng)絡(luò)犯罪工具網(wǎng)絡(luò)銀行受到攻擊的典型案例網(wǎng)銀大盜灰鴿子釣魚網(wǎng)站網(wǎng)銀平安現(xiàn)狀不法分子在向木馬作者繳納一定注冊費(fèi)后〔費(fèi)用標(biāo)準(zhǔn)與所選擇的功能掛鉤〕，再填入收取所盜網(wǎng)銀帳號密碼的FTP效勞器地址，便可以生成專為自己進(jìn)行網(wǎng)銀盜號的木馬。它所生成的木馬無論通過何種形式傳播，盜取的網(wǎng)銀帳號和密碼都會自動發(fā)送到不法分子指定的效勞器中網(wǎng)銀大盜網(wǎng)銀平安現(xiàn)狀網(wǎng)銀大盜生成器灰鴿子灰鴿子--遠(yuǎn)程控制木馬的控制界面，不法分子可以對中招機(jī)器進(jìn)行的操作包括：文件管理、獲取系統(tǒng)信息、剪貼板查看、進(jìn)程管理、窗口管理、鍵盤記錄、效勞管理、共享管理，捕獲屏幕，視頻監(jiān)控，音頻監(jiān)控……可以說，用戶在本地能看到的信息，使用灰鴿子遠(yuǎn)程監(jiān)控也能看到。如果用戶在電腦上進(jìn)行網(wǎng)上銀行交易，那么遠(yuǎn)程屏幕監(jiān)控容易暴露用戶的帳號，再加上鍵盤監(jiān)控，用戶的密碼也岌岌可危。網(wǎng)銀平安現(xiàn)狀灰鴿子

網(wǎng)銀平安現(xiàn)狀在觀察一個(gè)偽造工行網(wǎng)銀支付界面的釣魚網(wǎng)頁時(shí)，通過地址欄可以看到，它的URL〔網(wǎng)頁地址〕與正當(dāng)工行支付網(wǎng)頁的URL〔網(wǎng)頁地址〕完全不同，這也是當(dāng)前常見的網(wǎng)銀盜竊手段，即不法分子利用各類誘惑信息欺騙網(wǎng)銀用戶首先進(jìn)行一個(gè)小額支付〔通常為1元〕，發(fā)來的鏈接卻是釣魚網(wǎng)頁，以此偷取受害用戶的網(wǎng)銀信息釣魚網(wǎng)站網(wǎng)銀平安現(xiàn)狀網(wǎng)銀平安現(xiàn)狀另類釣魚網(wǎng)站中獎〔

另類釣魚網(wǎng)站中獎另類釣魚網(wǎng)站中獎三、網(wǎng)銀平安措施現(xiàn)狀網(wǎng)上銀行登錄主要認(rèn)證方式介紹一、數(shù)字證書〔私鑰〕認(rèn)證方式

1、存放在電腦中

2、存放在USBKEY中二、動態(tài)口令〔一次性口令〕認(rèn)證方式

1、口令卡

2、認(rèn)證令牌

3、動態(tài)密碼三、雙渠道交易確認(rèn)方式網(wǎng)上銀行認(rèn)證方式一、數(shù)字證書〔私鑰〕認(rèn)證方式〔第三方：CFCA〕

目前正在使用CFCA提供的證書的銀行有：·中國工商銀行 ·中國農(nóng)業(yè)銀行 ·中國建設(shè)銀行·交通銀行 ·中信銀行 ·中國光大銀行·華夏銀行 ·中國民生銀行 ·廣東開展銀行·深圳開展銀行 ·上海浦東開展銀行 ·興業(yè)銀行其他銀行〔50家以上〕二、動態(tài)密碼認(rèn)證方式

網(wǎng)上銀行多重平安防范措施1、CFCA數(shù)字證書認(rèn)證/USBKEY固態(tài)證書載體2、動態(tài)密碼保護(hù)3、雙重密碼保護(hù)4、及時(shí)語短信提醒5、交易限額設(shè)置

客戶申請成為我行個(gè)人網(wǎng)銀的數(shù)字證書用戶后，我行即頒發(fā)唯一標(biāo)志此用戶的數(shù)字證書，供客戶裝載到計(jì)算機(jī)里，或者裝在形似小優(yōu)盤的USBKey中隨身攜帶。當(dāng)客戶進(jìn)行網(wǎng)上銀行操作時(shí)，證書會幫助我行認(rèn)證客戶的身份，防止他人偽冒客戶身份。對交易信息進(jìn)行加密，使他人無法破解客戶和我行互相傳遞的信息。對交易信息進(jìn)行數(shù)字簽名，使他人無法篡改交易信息。網(wǎng)上銀行多重平安防范措施1、CFCA數(shù)字證書認(rèn)證/USBKEY固態(tài)證書載體2、動態(tài)密碼保護(hù)3、雙重密碼保護(hù)4、及時(shí)語短信提醒5、交易限額設(shè)置客戶登錄網(wǎng)銀或進(jìn)行匯款、支付等關(guān)鍵交易時(shí)，我行會向其預(yù)留的上發(fā)送短信，告知客戶一個(gè)隨機(jī)生成、一次有效的動態(tài)密碼，這樣一來，即使他人竊取了客戶的卡號、密碼等信息，甚至截取了以前的動態(tài)密碼，也無法冒名使用網(wǎng)銀，盜用資金。動態(tài)密碼中包含用戶所進(jìn)行的交易中的收款賬號、交易金額等敏感信息，供用戶核對，防止黑客的“中間人攻擊〞。動態(tài)密碼的短信發(fā)送號碼為95528。動態(tài)密碼如沒有收到，相關(guān)頁面上均有“重發(fā)動態(tài)密碼〞按鈕，客戶點(diǎn)擊便可重獲動態(tài)密碼，可重獲兩次動態(tài)密碼。網(wǎng)上銀行多重平安防范措施1、CFCA數(shù)字證書認(rèn)證/USBKEY固態(tài)證書載體2、動態(tài)密碼保護(hù)3、雙重密碼保護(hù)4、及時(shí)語短信提醒5、交易限額設(shè)置用戶使用查詢密碼登錄網(wǎng)銀，假設(shè)使用初始密碼登錄，系統(tǒng)將強(qiáng)制用戶修改查詢密碼，此前方可登錄，查詢密碼與客戶號相關(guān)聯(lián)。交易密碼用于資金交易、預(yù)約交易、重要信息修改等，交易密碼與具體某張憑證相關(guān)聯(lián)查詢密碼連續(xù)輸錯(cuò)3次，系統(tǒng)自動將該客戶鎖定一段時(shí)間交易密碼連續(xù)輸錯(cuò)3次，需到柜面解鎖網(wǎng)上銀行多重平安防范措施1、CFCA數(shù)字證書認(rèn)證/USBKEY固態(tài)證書載體2、動態(tài)密碼保護(hù)3、雙重密碼保護(hù)4、及時(shí)語短信提醒5、交易限額設(shè)置資金變動即時(shí)發(fā)送投資信息理財(cái)助理接收設(shè)置個(gè)性選擇開通方便收費(fèi)低廉通知方式多樣選擇網(wǎng)上銀行多重平安防范措施1、CFCA數(shù)字證書認(rèn)證/USBKEY固態(tài)證書載體2、動態(tài)密碼保護(hù)3、雙重密碼保護(hù)4、及時(shí)語短信提醒5、交易限額設(shè)置客戶可個(gè)性化設(shè)置單筆、單日累計(jì)的對外轉(zhuǎn)賬、支付限額單日對外轉(zhuǎn)賬支付限額小于等于單日累計(jì)對外轉(zhuǎn)賬支付限額單筆、單日累計(jì)的對外轉(zhuǎn)賬支付限額不包含銀證轉(zhuǎn)賬、基金買賣、外匯買賣、活轉(zhuǎn)活、活轉(zhuǎn)定等客戶本人名下資產(chǎn)劃轉(zhuǎn)動態(tài)密碼用戶的單日累計(jì)對外轉(zhuǎn)賬支付限額不超過20萬元數(shù)字證書用戶的單日累計(jì)對外轉(zhuǎn)賬支付限額無上限數(shù)字證書版瀏覽器證書USBKEY固態(tài)證書個(gè)人銀行專業(yè)版數(shù)字證書版瀏覽器證書

USBKEY固態(tài)證書動態(tài)密碼版數(shù)字證書：浦發(fā)網(wǎng)上銀行專業(yè)版采用由國內(nèi)獨(dú)立權(quán)威機(jī)構(gòu)頒發(fā)的、符合國際標(biāo)準(zhǔn)〔X.509〕的數(shù)字證書。而且，我們的客戶可以根據(jù)自己上網(wǎng)的條件，自由選擇瀏覽器證書或移動證書。動態(tài)密碼：每次交易時(shí)，浦發(fā)銀行向您綁定的號碼上發(fā)送一個(gè)6位字符的隨機(jī)密碼，用于當(dāng)前交易使用數(shù)字證書、動態(tài)密碼怎么選？

功能移動證書瀏覽器證書動態(tài)密碼安全性安全安全安全首次使用簡便性新USBKEY無需下載驅(qū)動程序。需要將數(shù)字證書下載到USBKEY中需要在計(jì)算機(jī)上下載安裝證書、簽名控件無須任何下載安裝每次使用方便性每次登錄網(wǎng)銀時(shí)，需要插入裝有證書的USBKEY需要在安裝過證書的電腦上操作。對外支付時(shí)需增加動態(tài)密碼驗(yàn)證。收不到動態(tài)密碼時(shí)可能影響對外支付或匯款可在任何能夠上網(wǎng)的電腦上使用登錄網(wǎng)銀時(shí)，需要接收并輸入短信動態(tài)密碼。收不到動態(tài)密碼時(shí)可能影響網(wǎng)銀使用對計(jì)算機(jī)要求較高，缺少安全補(bǔ)丁的盜版操作系統(tǒng)有可能安裝證書困難。較高，缺少安全補(bǔ)丁的盜版操作系統(tǒng)有可能安裝證書困難較低，只要瀏覽器版本達(dá)到IE6.0就可以業(yè)務(wù)豐富性全功能網(wǎng)上服務(wù)全功能網(wǎng)上服務(wù)交易金額有上限，每日對外支付不超過200000元什么是動態(tài)密碼?每次交易時(shí)，浦發(fā)銀行向您綁定的號碼上發(fā)送一個(gè)6位字符的隨機(jī)密碼，用于當(dāng)前交易使用。什么是取款密碼?但凡需要變更銀行賬戶資金的交易所需要使用的密碼。如ATM取款密碼，刷卡消費(fèi)用的密碼，一卡一密。什么是查詢密碼?只進(jìn)行賬戶余額查詢的密碼，如登錄網(wǎng)上銀行的密碼，登錄銀行的密碼。本人名下所有的銀行卡、存折都用同一個(gè)查詢密碼，初始密碼6個(gè)81、翻開網(wǎng)頁，點(diǎn)擊左上角“首次登陸〞：2、閱讀責(zé)任條款，并點(diǎn)擊“接受〞：3、選擇“證件類型〞，輸入“證件號碼〞，點(diǎn)擊“確定〞：4、點(diǎn)擊“確定〞：5、輸入“動態(tài)密碼〞〔步驟四結(jié)束后，收到短信中顯示〕，點(diǎn)擊“確定〞：6、輸入“交易密碼〞〔交易密碼：即取款密碼〕，點(diǎn)擊“確定〞：7、首次登陸完畢，顯示一下畫面，點(diǎn)擊“動態(tài)密碼用戶登陸〞：請記錄客戶號動態(tài)密碼版網(wǎng)上銀行登錄演示浦發(fā)銀行://浦發(fā)銀行網(wǎng)上銀行://五、網(wǎng)銀平安漏洞分析TCP/IP體系結(jié)構(gòu)

TCP/IP體系結(jié)構(gòu)

網(wǎng)絡(luò)層的平安漏洞主要原因IP協(xié)議設(shè)計(jì)中的錯(cuò)誤和疏忽使得網(wǎng)絡(luò)先天缺乏，為黑客攻擊提供了條件。例如，IEEE802.11b中出現(xiàn)的WEP漏洞。TCP/IP協(xié)議缺乏相應(yīng)的平安機(jī)制，且IP網(wǎng)最初設(shè)計(jì)根本沒有考慮平安問題等等都使得網(wǎng)絡(luò)存在先天缺乏。隨著網(wǎng)絡(luò)系統(tǒng)規(guī)模的增大，各種系統(tǒng)軟件、應(yīng)用軟件變得越來越復(fù)雜，網(wǎng)絡(luò)設(shè)備廠商、集成商和運(yùn)營商的網(wǎng)絡(luò)系統(tǒng)軟件在開發(fā)和實(shí)現(xiàn)過程中不可防止的會出現(xiàn)各種缺陷和漏洞。網(wǎng)絡(luò)層的主要攻擊

A．攻擊的位置〔1〕遠(yuǎn)程攻擊〔2〕本地攻擊〔3〕偽遠(yuǎn)程攻擊B．攻擊的深度〔1〕表層攻擊〔2〕讀訪問〔3〕非根式的寫與執(zhí)行訪問〔4〕根式的寫和執(zhí)行訪問C．攻擊的層次〔1〕簡單拒絕效勞；〔2〕本地用戶獲得非授權(quán)讀權(quán)限；〔3〕本地用戶獲得非授權(quán)寫權(quán)限；〔4〕遠(yuǎn)程用戶獲得非授權(quán)帳號信息；〔5〕遠(yuǎn)程用戶獲得特權(quán)文件的讀權(quán)限；〔6〕遠(yuǎn)程用戶獲得特權(quán)文件的寫權(quán)限；〔7〕遠(yuǎn)程用戶擁有了系統(tǒng)管理員權(quán)限。網(wǎng)絡(luò)層的主要攻擊

網(wǎng)絡(luò)層的主要攻擊

D．攻擊分類在最高層次，攻擊被分為兩類：〔1〕主動攻擊：包含攻擊者訪問他所需要信息的成心行為。主動攻擊包括拒絕效勞攻擊、信息篡改、資源使用、欺騙等攻擊方法?！?〕被動攻擊：主要是收集信息而不是進(jìn)行訪問，數(shù)據(jù)的合法用戶對這種活動一點(diǎn)也不會覺察到。被動攻擊包括嗅探、信息收集等攻擊方法。網(wǎng)絡(luò)層的主要攻擊

圖攻擊分類鍵擊記錄：是植入操作系統(tǒng)內(nèi)核的隱蔽軟件，通常實(shí)現(xiàn)為一個(gè)鍵盤設(shè)備驅(qū)動程序，能夠把每次鍵擊都記錄下來，存放到攻擊者指定的隱藏的本地文件中。如PCAgent等。網(wǎng)絡(luò)監(jiān)聽：是攻擊者一旦在目標(biāo)網(wǎng)絡(luò)上獲得一個(gè)立足點(diǎn)之后刺探網(wǎng)絡(luò)情報(bào)的最有效方法，通過設(shè)置網(wǎng)卡的混雜模式獲得網(wǎng)絡(luò)上所有的數(shù)據(jù)包，并從中抽取平安關(guān)鍵信息，如明文方式傳輸?shù)目诹?。如Win32平臺下的sniffer等免費(fèi)工具，Unix平臺下的libpcap網(wǎng)絡(luò)監(jiān)聽工具庫。非法訪問數(shù)據(jù)：是攻擊者或內(nèi)部人員違反平安策略對其訪問權(quán)限之外的數(shù)據(jù)進(jìn)行非法訪問。獲取密碼文件：攻擊者進(jìn)行口令破解獲取特權(quán)用戶或其他用戶口令的必要前提。常見的網(wǎng)絡(luò)攻擊1〕竊聽：指攻擊者通過非法手段對系統(tǒng)活動的監(jiān)視從而獲得一些平安關(guān)鍵信息。目前屬于竊聽技術(shù)的常用攻擊方法有：常見的網(wǎng)絡(luò)攻擊2〕欺騙：指攻擊者通過冒充正常用戶以獲取對攻擊目標(biāo)訪問權(quán)或獲取關(guān)鍵信息的攻擊方法，屬于此類攻擊的方法有：獲取口令：通過缺省口令、口令猜測和口令破解三種途徑。針對一些弱口令進(jìn)行猜測。也可以使用專門的口令猜測工具進(jìn)行口令破解，如遍歷字典或高頻密碼列表從而找到正確的口令。如Win32平臺的LOphtcrack等。惡意代碼：包括特洛伊木馬應(yīng)用程序、郵件病毒、網(wǎng)頁病毒等，通常冒充成有用的軟件工具、重要的信息等，誘導(dǎo)用戶下載運(yùn)行或利用郵件客戶端和瀏覽器的自動運(yùn)行機(jī)制，在啟動后悄悄安裝惡意程序，通常為攻擊者給出能夠完全控制該主機(jī)的遠(yuǎn)程連接。網(wǎng)絡(luò)欺騙：攻擊者通過向攻擊目標(biāo)發(fā)送冒充其信任主機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包，到達(dá)獲取訪問權(quán)或執(zhí)行命令的攻擊方法。具體的有IP欺騙、會話劫持、ARP重定向和RIP路由欺騙等。常見的網(wǎng)絡(luò)攻擊3〕拒絕效勞：指終端或者完全拒絕對合法用戶、網(wǎng)絡(luò)、系統(tǒng)和其他資源的效勞的攻擊方法，其意圖就是徹底破壞，這也是比較容易實(shí)現(xiàn)的攻擊方法。特別是分布式拒絕效勞攻擊對目前的互聯(lián)網(wǎng)構(gòu)成了嚴(yán)重的威脅，造成的經(jīng)濟(jì)損失也極為龐大。拒絕效勞攻擊的類型按其攻擊形式分為：導(dǎo)致異常型：利用軟硬件實(shí)現(xiàn)上的編程缺陷，導(dǎo)致其出現(xiàn)異常，從而使其拒絕效勞。如PingofDeath攻擊等。資源耗盡型：通過大量消耗資源使得攻擊目標(biāo)由于資源耗盡不能提供正常的效勞。視資源類型的不同可分為帶寬耗盡和系統(tǒng)資源耗盡兩類。帶寬耗盡攻擊的本質(zhì)是攻擊者通過放大等技巧消耗掉目標(biāo)網(wǎng)絡(luò)的所有帶寬，如Smurf攻擊等。系統(tǒng)資源耗盡型攻擊指對系統(tǒng)內(nèi)存、CPU或程序中的其他資源進(jìn)行消耗，使其無法滿足正常提供效勞的需求。如SynFlood攻擊等。欺騙型：ARP拒絕效勞攻擊D62DoS攻擊、DDOS攻擊ACK拒絕效勞攻擊；SYN攻擊；Land攻擊；TearDrop攻擊；會話劫持攻擊；Jolt攻擊；Bloop攻擊；Cpd攻擊；Targa攻擊；Twinge攻擊；小型PMTU攻擊；……常見的網(wǎng)絡(luò)攻擊4〕數(shù)據(jù)驅(qū)動攻擊：通過向某個(gè)程序發(fā)送數(shù)據(jù)，以產(chǎn)生非預(yù)期結(jié)果的攻擊，通常為攻擊者給出訪問目標(biāo)系統(tǒng)的權(quán)限，大致可分為：緩沖區(qū)溢出：通過往程序的緩沖區(qū)寫入超出其邊界的內(nèi)容，造成緩沖區(qū)的溢出，使得程序轉(zhuǎn)而執(zhí)行其他攻擊者指定的代碼，通常是為攻擊者翻開遠(yuǎn)程連接的ShellCode，以到達(dá)攻擊目標(biāo)。如Windows平臺下的Code-Red、Blaster、Sasser等都是通過緩沖區(qū)溢出攻擊獲得系統(tǒng)管理員權(quán)限后進(jìn)行傳播。格式化字符串攻擊：主要是利用由于格式化函數(shù)的微妙程序設(shè)計(jì)錯(cuò)誤造成的平安漏洞，通過傳遞精心編制的含有格式化指令的文本字符串，以使目標(biāo)程序執(zhí)行任意命令。輸入驗(yàn)證攻擊：針對程序未能對輸入進(jìn)行有效的驗(yàn)證的平安漏洞，使得攻擊者能夠讓程序執(zhí)行指令的命令。最著名的是1996年的PHF攻擊。同步漏洞攻擊：利用程序在處理同步操作時(shí)的缺陷，如競爭狀態(tài)、信號處理等問題，以獲得更高權(quán)限的訪問。信任漏洞攻擊：利用程序?yàn)E設(shè)的信任關(guān)系獲取訪問權(quán)的一種方法，如Win32平臺下互為映象的本地和域Administrator憑證、LSA密碼等。1〕想要在別人面前炫耀自己的技術(shù)，如進(jìn)入別人的電腦去修改一個(gè)文件或目錄名。2〕惡作劇、練功，這是許多人或?qū)W生入侵或破壞的最主要原因，除了有練功的效果外還有些許網(wǎng)絡(luò)探險(xiǎn)的感覺。3〕竊取數(shù)據(jù)，可能是偷取硬盤中的文件或各種上網(wǎng)密碼，然后從事各種商業(yè)應(yīng)用。4〕想復(fù)仇的事后報(bào)復(fù)者，如對老板或公司制度不滿，事先把報(bào)復(fù)程序或病毒程序?qū)懭胨幊绦?，并?guī)定在將來某時(shí)，或某條件下激活發(fā)作，摧毀原公司網(wǎng)絡(luò)系統(tǒng)。5〕修改或者刪除重要數(shù)據(jù)，到達(dá)商業(yè)利益或個(gè)人利益。黑客為什么要攻擊？黑客攻擊流程攻擊的典型過程預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進(jìn)行進(jìn)一步攻擊決策攻擊內(nèi)容：獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的：進(jìn)行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：植入后門木馬刪除日志修補(bǔ)明顯的漏洞進(jìn)一步滲透擴(kuò)展目的：消除痕跡，長期維持一定的權(quán)限網(wǎng)絡(luò)層的主要攻擊--信息收集信息收集—非技術(shù)手段1〕合法途徑從目標(biāo)機(jī)構(gòu)的網(wǎng)站獲取新聞報(bào)道，出版物新聞組或論壇2〕社會工程手段假冒他人，獲取第三方的信任3〕搜索引擎網(wǎng)絡(luò)層的主要攻擊--信息收集1〕在Google的搜索關(guān)鍵字“intitle:〞WJ-NT104MainPage〞，即可找到很多網(wǎng)絡(luò)攝像頭。 如：2〕域搜索是在指定的一個(gè)網(wǎng)域內(nèi)進(jìn)行信息搜索。舉例1： 首先翻開，然后輸入“allinurl:login〞； 我們選中其中的一個(gè)“://〞翻開； 搜索此站“site:XXX〞的二級域名網(wǎng)站； 看一下有沒有pdf電子文檔，“site:XXXfiletype:pdf〞； 輸入“info:XXX〞，查到該網(wǎng)站的根本信息。一〕使用搜索引擎網(wǎng)絡(luò)層的主要攻擊--信息收集3〕info: 查找指定站點(diǎn)的根本信息。4〕inurl: 查找在url中包含搜索詞的網(wǎng)頁，例如：黑客慣用的“inurl:admin〞偶爾就能搜索出網(wǎng)站的登錄頁面，從而進(jìn)行下一步的攻擊。5〕link: 搜索與某網(wǎng)站做了鏈接的網(wǎng)頁，例如：輸入“〞即可搜索出包含有鏈接到“〞的網(wǎng)頁〔這個(gè)可以用來找出有多少網(wǎng)頁在鏈接你的網(wǎng)站哦〕。6〕site: 用于搜索某一域內(nèi)的網(wǎng)頁，例如：輸入“site:sohu〞，即可實(shí)現(xiàn)在“sohu〞域內(nèi)搜索的目的。網(wǎng)絡(luò)層的主要攻擊--信息收集二、路由跟蹤1〕概念 路由跟蹤就是從本地開始到達(dá)某一目標(biāo)地址所經(jīng)過的路由設(shè)備，并顯示出這些路由設(shè)備的IP、連接時(shí)間等信息。2〕作用：如果某段網(wǎng)絡(luò)不通或網(wǎng)速很慢，可以利用路由跟蹤找出某故障地點(diǎn)，方便維護(hù)人員的維護(hù)工作。對于“黑客〞來說，這是個(gè)很有用的功能，他可以大概分析出你所在網(wǎng)絡(luò)的狀況。這對于第一步的周邊網(wǎng)絡(luò)環(huán)境信息收集很有用。3〕tracert：用IP生存時(shí)間TTL字段和ICMP錯(cuò)誤消息來確定從一個(gè)主機(jī)到網(wǎng)絡(luò)上其他主機(jī)的路由。網(wǎng)絡(luò)層的主要攻擊--信息收集二、路由跟蹤tracert網(wǎng)絡(luò)層的主要攻擊--信息收集三、信息收集的主要工具Ping、fping、pingsweepARP探測FingerWhoisDNS/nslookup搜索引擎〔google、百度〕telnet網(wǎng)絡(luò)層的主要攻擊--信息收集四、Ping用來判斷目標(biāo)是否活動；最常用；最簡單的探測手段；Ping程序一般是直接實(shí)現(xiàn)在系統(tǒng)內(nèi)核中的，而不是一個(gè)用戶進(jìn)程。網(wǎng)絡(luò)層的主要攻擊--信息收集四、Ping原理Type=8Type=0類型為8，表示“回響請求〞類型為0，表示“回響應(yīng)答〞主機(jī)在線情況主機(jī)不應(yīng)答情況1〕主機(jī)不在線2〕防火墻阻斷ICMP探測Ping實(shí)驗(yàn)表示機(jī)器不在線；或者防火墻阻斷。舉例2：Pingwar2.0——群pingARP探測

能探測同一局域網(wǎng)內(nèi)的主機(jī)，因?yàn)榉阑饓Σ荒茏钄郃RP請求。whois作用和特點(diǎn)網(wǎng)絡(luò)效勞效勞端口：tcp43效勞端程序whoisd,客戶端程序finger提供目標(biāo)系統(tǒng)的地址信息參考網(wǎng)站1參考網(wǎng)站2:///常規(guī)信息收集網(wǎng)絡(luò)域名網(wǎng)絡(luò)Ip地址分配使用單位地址網(wǎng)絡(luò)層的主要攻擊—網(wǎng)絡(luò)掃描主機(jī)發(fā)現(xiàn)技術(shù)主要分三種：ping掃描ARP掃描端口掃描1.Ping掃描確定哪些機(jī)器是up的2種方式ICMP類似于ping，發(fā)送icmp消息給目標(biāo)，看是否有返回TCPping給目標(biāo)特定的tcp端口(如常用的80)發(fā)送ack消息，如果返回rst，說明機(jī)器up。常用的tracetcp。2.ARP掃描

ARP〔AddressResolutionProtocol〕即地址解析協(xié)議，它是用于局域網(wǎng)內(nèi)的物理地址。ARP掃描是指通過向目標(biāo)主機(jī)發(fā)送ARP請求〔查詢目標(biāo)主機(jī)的物理地址〕，如果目標(biāo)主機(jī)回應(yīng)一個(gè)ARP響應(yīng)報(bào)文，那么說明它是存活的。下面是ARP掃描的示意圖：3.端口掃描3.1目的判斷目標(biāo)主機(jī)開啟了哪些端口及其對應(yīng)的效勞確定目標(biāo)系統(tǒng)正在運(yùn)行的TCP/UDP效勞在掃描時(shí)希望隱藏自己3.2掃描根底TCP數(shù)據(jù)報(bào)首部標(biāo)志域TCP連接的建立過程TCP連接的釋放過程TCP/IP實(shí)現(xiàn)遵循的原那么常用效勞端口如：21FTP；23Telnet；25SMTP；80HTTP；8080用于WWW代理效勞，://cce:8080；常用效勞端口漏洞1〕8080端口8080端口可以被各種病毒程序所利用，比方BrownOrifice〔BrO〕特洛伊木馬病毒可以利用8080端口完全遙控被感染的計(jì)算機(jī)。另外，RemoConChubo，RingZero木馬也可以利用該端口進(jìn)行攻擊。2〕端口：21最常見的攻擊者用于尋找翻開anonymous的FTP效勞器的方法。這些效勞器帶有可讀寫的目錄。木馬DolyTrojan、Fore、InvisibleFTP、WebEx、WinCrash和BladeRunner所開放的端口。常用效勞端口漏洞3〕端口：23效勞：Telnet大多數(shù)情況下掃描這一端口是為了找到機(jī)器運(yùn)行的操作系統(tǒng)。還有使用其他技術(shù)，入侵者也會找到密碼。木馬TinyTelnetServer就開放這個(gè)端口。4〕端口：25效勞：SMTP入侵者尋找SMTP效勞器是為了傳遞他們的SPAM。入侵者的帳戶被關(guān)閉，他們需要連接到高帶寬的E-MAIL效勞器上，將簡單的信息傳遞到不同的地址。木馬Antigen、EmailPasswordSender、HaebuCoceda、ShtrilitzStealth、WinPC、WinSpy都開放這個(gè)端口。5〕端口：80效勞：HTTP用于網(wǎng)頁瀏覽。木馬Executor開放此端口。端口掃描分類技術(shù)端口掃描分類掃描技術(shù)分析掃描分類TCP全連接開放掃描半開放掃描TCP反向ident掃描IP頭信息dumb掃描SYN掃描FIN掃描隱蔽掃描TCP分段ACK掃描XMAS掃描空掃描掃射掃描SYN/ACK掃描ping掃射其它掃描UDP/ICMP不可達(dá)FTP彈跳UDP掃射UDPrecvfrom/write掃描ACK掃射SYN掃射ICMP掃射端口掃描工具NmapXscanSuperScanShadowSecurityScannerMS06040ScannerNmap——探測工具王功能 NMAP是探測網(wǎng)絡(luò)主機(jī)和開放效勞的佼佼者。--Linux版本--Windows版本秘密掃描、動態(tài)延遲和重發(fā)；欺騙掃描、端口過濾探測、分布掃描等。xscan選擇‘無條件掃描’，才可以突破防火墻屏蔽ping，進(jìn)行端口掃描。Superscan——速度之王

MS06040Scanner——專用的漏洞掃描器用于檢測目標(biāo)系統(tǒng)是否存在MS06040漏洞?；趙indows操作系統(tǒng)的攻擊1.windows系統(tǒng)口令攻擊

口令攻擊主要采用以下幾種方法：猜測攻擊字典攻擊窮舉攻擊混合攻擊直接破解系統(tǒng)口令文件網(wǎng)絡(luò)嗅探(sniffer)鍵盤記錄中間人攻擊社會工程學(xué)1.1Windows操作系統(tǒng)的口令破解技術(shù)

1.輸入法漏洞

windows2000sp2之前的版本。 目前的Vista操作系統(tǒng)，極點(diǎn)五筆輸入法，也存在此類問題。2.暴力破解SAM文件，一般使用工具LC3.刪除SAM文件SAM文件是WIN2000里面保存密碼信息的文件。一般的編輯器是無法直接讀取這些信息的。注冊表中的HKEY_LOCAL_MACHINE\\SAM\\SAMHKEY_LOCAL_MACHINE\\SECURITY\\SAM保存的就是SAM文件的內(nèi)容，在正常設(shè)置下僅對system是可讀寫的。1.2設(shè)置系統(tǒng)策略保護(hù)口令連接策略問題：默認(rèn)情況下系統(tǒng)沒有設(shè)置登錄的失敗次數(shù)限制，導(dǎo)致可以被無限制地嘗試連接系統(tǒng)管理的共享資源。解決方法：設(shè)置用戶的訪問策略，定義用戶登錄失敗到達(dá)一定次數(shù)時(shí)鎖定帳號，并限制管理員遠(yuǎn)程訪問。如何實(shí)現(xiàn)？在“管理工具〞中，選擇本地平安策略。在本地平安策略中選擇“帳戶平安策略〞，其中的“密碼策略〞可以對密碼的長度、密碼的存留時(shí)間等方面進(jìn)行設(shè)置。比方：在“密碼必須符合復(fù)雜性要求〞的選項(xiàng)中，系統(tǒng)默認(rèn)是停用該功能，但推薦用戶在使用時(shí)將該功能開啟。點(diǎn)擊“帳戶鎖定策略〞，可以看到三個(gè)被選項(xiàng)，這里可以對帳戶的時(shí)間和帳戶無效訪問的次數(shù)進(jìn)行設(shè)置。此處，我們點(diǎn)擊“用戶鎖定閾值〞點(diǎn)右鍵，選擇“平安性〞，此處就可以對用戶無效訪問次數(shù)進(jìn)行限制。由于Administrator帳號的特殊性，Administrator帳號無法設(shè)置帳號鎖定，即使登錄失敗的次數(shù)到達(dá)設(shè)置時(shí)，該帳號也不可能被鎖住。因此除了系統(tǒng)默認(rèn)創(chuàng)立的Administrator帳號，還應(yīng)該創(chuàng)立至少一個(gè)具有管理員特權(quán)的帳號，并且，把默認(rèn)帳號Administrator改成另外一個(gè)名字。2.IPC$入侵

2.1什么是IPC IPC是英文InternetProcessConnection的縮寫，即：命名管道，它是windows提供的一個(gè)通信根底，用來在兩臺計(jì)算機(jī)進(jìn)程之間建立通信連接。而IPC后面的$是windows系統(tǒng)所使用的隱藏符號，因此IPC$表示IPC共享，但是是隱藏的共享。默認(rèn)IPC是共享的。通過IPC連接，入侵者就能夠?qū)崿F(xiàn)遠(yuǎn)程控制目標(biāo)主機(jī)。2.2空會話〔NullSession〕攻擊概念：Null會話是同效勞器建立的無信任支持的會話。一個(gè)會話包含用戶的認(rèn)證信息，而Null會話是沒有用戶的認(rèn)證信息，也就好比是一個(gè)匿名的一樣。作用：當(dāng)在多域環(huán)境中，要在多域中建立信任關(guān)系，首先需要找到域中的pdc來通過平安通道的密碼驗(yàn)證，使用空會話能夠非常容易地找到pdc，還有就是關(guān)于一些系統(tǒng)效勞的問題。而且Lmhosts的#include就需要空會話的支持。

攻擊過程：1).用掃描軟件搜尋存在弱口令的主機(jī)比方流光，SSS，X-scan等，然后鎖定目標(biāo)，如果掃到了管理員權(quán)限的口令，假設(shè)現(xiàn)在得到了administrator的密碼為空2).然后，我們先建立起ipc$連接

netuse\\\ipc$""/user:administrator3).查看遠(yuǎn)程主機(jī)開了什么共享

netview

注釋：聲明用netview命令無法看到默認(rèn)共享，因此通過上面返回的結(jié)果，并不能判斷對方是否開啟了默認(rèn)共享。4).查看遠(yuǎn)程主機(jī)的時(shí)間

nettime

5).得到遠(yuǎn)程主機(jī)的netbios用戶名列表nbtstat

Copye:\nc.exe\\5\c$上傳文件nc.exe到目標(biāo)地址的c盤At14:03c:\nc.exe指定在目標(biāo)地址上在14:03執(zhí)行程序nc.exe2.3空會話攻擊的防御

有如下方法：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous。在Windows2000中將值改為“2〞，表示限制所有的匿名訪問，除非明確許可。禁止自動翻開默認(rèn)共享。 對于Windows2000Pro來說，修改[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters],把AUTOShareWks〔DWORD〕的鍵值該為00000000。如果主鍵不存在，就新建一個(gè)再修改鍵值。 server版:找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareServer〔DWORD〕的鍵值改為:00000000。關(guān)閉ipc$和默認(rèn)共享依賴的效勞:server效勞

操作：控制面板-管理工具-效勞-找到server效勞〔右擊〕-屬性-常規(guī)-啟動類型-選已禁用

這時(shí)可能會有提示說：XXX效勞也會關(guān)閉是否繼續(xù)，因?yàn)檫€有些次要的效勞要依賴于lanmanserver，不要管它。屏蔽139，445端口

由于沒有以上兩個(gè)端口的支持，是無法建立ipc$的，因此屏蔽139，445端口同樣可以阻止ipc$入侵。 注意：如果屏蔽掉了以上兩個(gè)端口，你將無法用ipc$入侵別人。設(shè)置復(fù)雜密碼，防止通過ipc$窮舉出密碼應(yīng)用層的主要攻擊

基于windows操作系統(tǒng)的攻擊—防御3.2NTFS權(quán)限設(shè)置4文件系統(tǒng)加密與保護(hù)

4.1文件系統(tǒng)加密4.2文件系統(tǒng)保護(hù)

Windows2000提供了兩種方式對系統(tǒng)文件進(jìn)行保護(hù)，一種是瀏覽保護(hù)，一種是文件保護(hù)。瀏覽保護(hù)文件保護(hù) “Windows文件保護(hù)〞能阻止替換受保護(hù)的系統(tǒng)文件，這些受保護(hù)的文件包括.sys、.dll、.exe、.ttf等系統(tǒng)文件。Windows2000的平安設(shè)置可以大致分為用戶平安設(shè)置、密碼平安設(shè)置、系統(tǒng)平安設(shè)置、效勞平安設(shè)置四個(gè)方面。用戶平安設(shè)置禁用Guest帳號。限制不必要的用戶。創(chuàng)立兩個(gè)管理員帳號。把系統(tǒng)Administrator賬號改名。把共享文件的權(quán)限從Everyone組改成授權(quán)用戶。開啟用戶策略。不讓系統(tǒng)顯示上次登錄的用戶名。Windows2000的平安設(shè)置密碼平安設(shè)置使用平安密碼。設(shè)置屏幕保護(hù)密碼。開啟密碼策略。系統(tǒng)平安設(shè)置使用NTFS格式分區(qū)。運(yùn)行防毒軟件。關(guān)閉默認(rèn)共享。鎖住注冊表。利用Windows2000的平安配置工具來配置平安策略。效勞平安設(shè)置關(guān)閉不必要的端口。設(shè)置好平安記錄的訪問權(quán)限。禁止建立空連接。腳本攻擊與防御1SQL注入技術(shù)什么是SQL注入技術(shù)？ SQL注入即是指攻擊者通過在應(yīng)用程序中預(yù)先定義好的查詢語句結(jié)尾加上額外的SQL語句元素，欺騙數(shù)據(jù)庫效勞器執(zhí)行非授權(quán)的任意查詢。dimrsadmin1=request("admin")password1=request("password")setrs=server.CreateObject("ADODB.RecordSet")rs.open"select*fromadminwhereadmin='"&admin1&"'andpassword='"&password1&"'",conn,1ifrs.eofandrs.bofthenresponse.write"<SCRIPTlanguage=JavaScript>alert('用戶名或密碼不正確！');"response.write"javascript:history.go(-1)</SCRIPT>"response.endelsesession("admin")=rs("admin")session("password")=rs("password")session("aleave")=rs("aleave")response.redirect"admin.asp"endifrs.closesetrs=nothing一個(gè)經(jīng)典的SQL注入漏洞分析在用戶名和密碼那里都填入‘OR‘’=’，SQL語句被構(gòu)造成

select*fromadminwhereadmin=‘'OR‘'=‘'

and

password=‘'OR‘'=‘‘意思是當(dāng)admin為空或者空等于空，password為空或者空等于空的時(shí)候整個(gè)查詢語句就為真。如何來修補(bǔ)漏洞？過濾掉其中的特殊字符。這里我們就過濾掉其中的單引號“'〞，即是把程序的頭兩行改為：admin1=replace(trim(request("admin")),"'","")password1=replace(trim(request("password")),"'","")3跨站腳本攻擊技術(shù)

什么是跨站腳本攻擊？ 跨站腳本攻擊〔XSS，又稱作CSS〕指的是惡意攻擊者向Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時(shí)，嵌入其中Web頁面的html代碼會被執(zhí)行，從而到達(dá)惡意用戶的特殊目的。屬于被動攻擊。數(shù)據(jù)流程： 惡意用戶的Html輸入—>web程序—>進(jìn)入數(shù)據(jù)庫—>web程序—>用戶瀏覽器跨站Script攻擊方式動態(tài)輸入大致有四種形式：URL參數(shù)表格元素Cookie數(shù)據(jù)請求〔由于程序代碼較多，省〕惡意代碼1概述什么是惡意代碼？ 惡意代碼是指獨(dú)立的程序或者嵌入到其它程序中的代碼，它在不被用戶覺察的情況下啟動，到達(dá)破壞電腦平安性和完整性的目的。惡意代碼的分類木馬、rootkit、病毒、蠕蟲和網(wǎng)頁惡意代碼Rootkit是一種特殊的惡意軟件，它的功能是在安裝目標(biāo)上隱藏自身及指定的文件、進(jìn)程和網(wǎng)絡(luò)鏈接等信息，比較多見到的是Rootkit一般都和木馬、后門等其他惡意程序結(jié)合使用。Rootkit通過加載特殊的驅(qū)動，修改系統(tǒng)內(nèi)核，進(jìn)而到達(dá)隱藏信息的目的。蠕蟲與病毒的區(qū)別蠕蟲指的是能夠在網(wǎng)絡(luò)上完全地復(fù)制自身的獨(dú)立可執(zhí)行代碼。蠕蟲技術(shù)融合了自復(fù)制技術(shù)、掃描技術(shù)以及緩沖區(qū)溢出等攻擊技術(shù)。著名的蠕蟲有1988年的Morris蠕蟲、2001年的Code-Red蠕蟲、2003年的SQLSlammer蠕蟲和Blaster蠕蟲、2004年的Sasser蠕蟲等。病毒需要宿主程序通過某種方式將其激活。目前的病毒也逐漸融入將一些網(wǎng)絡(luò)攻擊的技術(shù)，如著名的Nimda病毒通過電子郵件、共享目錄以及主動攻擊IIS緩沖區(qū)溢出漏洞等形式到達(dá)廣泛傳播的效果。特洛伊木馬特洛伊木馬的來歷希臘人攻打特洛伊城十年，始終未獲成功，后來建造了一個(gè)大木馬，并假裝撤退，希臘將士卻暗藏于馬腹中。特洛伊人以為希臘人已走，就把木馬當(dāng)作是獻(xiàn)給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士沖出來翻開城門，希臘將士里應(yīng)外合消滅了特洛伊城。后來我們把進(jìn)入敵人內(nèi)部攻破防線的手段叫做木