计算机网络安全知识详解.docVIP

计算机网络安全知识详解（初/中级）防御篇　　当前的计算机网络安全从最初的只是木马、DoS （拒绝攻击）等一些古老的攻击方式进化到以操作系统的漏洞或者由病毒程序开放的一个后门漏门进行攻击的新的时代时，而世界上极大多数的计算机普通用户都没有真正地进入这个时代。记得在 2004 年 8 月底，由 CNNIC 组织调查的，计算机用户平时采取的安全措施方面的调查中发现，最常使用的手段是安装反病毒软件（80.5%）和使用网络防火墙（69.6%）。但是也有 2.3% 的网民对网络安全的重要性的认识不深刻，没有采取任何措施。具体的可以见下图，图片来自于 硅谷动力 网站： 　那么，中国的网民对网络安全的认知情况大致也就是这样了。那么，问题就在这里了，我们应该如何正确地去对待这样一个当前网络危机四伏的一个 Internet？只是采取上面说的安装反病毒软件和使用网络防火墙就是不是真的足够了呢？答案是否定的。那么，下面先来回顾一下现阶段的主流操作系统 Microsoft Windows XP 诞生以来，所发生的两大波的安全风波吧。 一） 红色代码（Code Red）与尼姆达病毒（Nimda）的第一次冲击 　　根据国内的三大反病毒之一的厂商的瑞星公司的病毒资料显示。红色代码的发现日期是在 2001 年的 7 月 18 日。病毒的英文名称是 W32/Bady.worm。该病毒感染运行 Microsoft Index Server 2.0 的系统，或者是在 Windows 2000、IIS 中启用了索引服务的系统。该病毒主要使用的系统漏洞是“微软索引服务器以及索引服务 ISAPI 扩充缓冲区溢出漏洞”。不过，病毒只存在于内存之中，不向硬盘中拷贝文件。蠕虫的传播是通过 TCP/IP 协议和端口 80，利用上述漏洞蠕虫将自己作为一个 TCP/IP 流直接发送到染毒系统的缓冲区，蠕虫依次扫描 WEB，以便能够感染其他的系统。一旦感染了当前的系统，蠕虫会检测硬盘中是否存在 c:\notworm ，如果该文件存在，蠕虫将停止感染其他主机。另外，病毒利用的微软的相关漏洞还有 Microsoft Security Bulletin (MS01-033)。 　　过了不到一个月，就出现了该病毒改良版：红色代码II。病毒的特征与前一个版本基本相似，这里不再赘述。有兴趣的朋友可以登陆相关的反病毒网站查询。 　　同年，9 月 18 日，另一个同样具有相当实力的病毒被发现——尼姆达（W32.Nimda.A@mm），该病毒使用的是在 Microsoft 安全公告（Security Bulletin） MS01-020 中提到的一个 IIS 和 IE 相关的漏洞。据病毒的资料库显示，该蠕虫病毒由 JavaScript 脚本语言编写，病毒体长度 57344 字节，它修改在本地驱动器上的.htm, .html.和 .asp 文件。通过这个病毒，IE 和 Outlook Express 加载产生 readme.eml 文件。该文件将尼姆达蠕虫作为一个附件包含，因此，不需要拆开或运行这个附件病毒就被执行。由于用户收到带毒邮件时无法看到附件，这样给防范带来困难，病毒也更具隐蔽性。 　　这是我们说的第一次安全风波的冲击。大家可以看到，两个病毒都利用了微软的相关系统软件的漏洞进行攻击。也在这之后，微软决定开展 10 年信赖运算计划。在之后的一个对于 SQL 的漏洞的 Slammer 病毒，使得在微软重视补丁程序的作用。不过由于第一次冲击对于一般用户的干预度不高，所以，我们也估计有绝大多数人对这些可能没有印象了。那么，在下面说的第二次冲击，您的印象一定会十分深刻。哼哼，不错，就是那两个—— 二） 冲击波（Blaster）与震荡波（Sasser）的第二次冲击 　　在 2003 年 8 月 12 日，在全世界的联网的以 Windows NT 为内核的操作系统几乎无一避免地遭受了这一突出其来的强大的冲击波。大家都知道了，冲击波利用的是 Windows NT 内核中的 RPC 服务的一个漏洞，并且病毒会使用如 135、4444、69 等网络端口。而真正具有讽刺性意味的是，这个冲击波病毒所使用的漏洞是在微软在 2003 年 7 月 21 日，也就是说在病毒被发现的大概半个月前，就已经公布了系统补丁和安全公告：“RPC 接口中的缓冲区溢出可能允许执行代码 (823980)”。当然也有少数如我一样在第一时间就已经打了补丁的用户的系统幸免于难。不过，由于当时病毒发作时的网络带宽利用率过高，给予中国极多数地区的网络造成瘫痪。但是据微软官方的技术文档中称，避免这个缓冲区溢出的 RPC 只要用防火墙封堵 135 端口就可以了。另外，如果有受影响的计算机，最方便的官方的暂时处理方式是禁用所影响计算机的 DCOM 服务。对