（四）電腦病毒-臺灣大學計算機及資訊網路中心資訊網路組,ccnet.docVIP

（一） 引言 3 （二） 網路攻擊模式 3 一. 網路監聽 4 二. 網路掃描 4 三. 漏洞利用 4 四. 密碼破解 5 五. 惡意程式碼植入 5 六. DoS/DDoS攻擊 6 1. DoS攻擊 6 2. DDoS攻擊 7 （三） 防禦機制 8 一. 防火牆(Firewall)的架設 8 二. 入侵偵測系統(Intrusion Detection System)的架設 9 三. IP Spoof的防治 9 四. 伺服器的的妥善管理 10 五. 網路流量的即時分析 10 （四） 電腦病毒 11 一. 電腦病毒的特性 11 二. 電腦病毒的種類 12 三. 電腦病毒的案例研究 13 1. 紅色警戒 13 2. 娜坦病毒 16 3. 求職信病毒 19 （五） 參考資料 20 校園網路安全 李美雯 （一） 引言 網際網路(Internet)的快速發展帶動了使用網際網路的人數日益增加，隨著校園網路硬體設備之更新以及資訊教育之普及，大幅提昇了校園網路的使用率，但是校園網路安全常常因為網路效率或方便性的考量而被忽視了。雖然校園網路不可使用於商業用途，但是校園網路仍然會成為惡意攻擊的目標，又因為一般使用者對電腦系統的管理知識不足，經常造成校園網路上的個人電腦成為電腦駭客(hacker)攻擊或入侵的對象，進而成為下一站攻擊的前進跳板。所以目前非常重要的課題可以從兩方面來看，在管理者方面，應該對校園網路有一完整的安全分析與因應對策，在使用者方面，應該加強個人電腦安全管理的能力。一般使用者應該落實防毒工作，隨時注意新的病毒訊息並且做好電腦系統的更新工作，伺服器的管理者更應該妥善維護與管理電腦系統，即時做好系統漏洞之補強工作。校園網路安全除了防止外力破壞之外，也應該向使用者推動並建立保護智慧財產權、言論自由以及個人隱私權等觀念。 有鑒於網際網路的快速發展和網路安全的日益重要，本文討論的重點放在校園內部網路(Intranet)，如何確保校園網路的自身安全。『知己知彼百戰百勝』，防禦的第一步需要瞭解網路駭客的攻擊手段，接下來探討防禦的機制，最後針對去年聲名大噪的紅色警戒、Nimda病毒以及最近中毒指數不斷攀升的求職信病毒，分析其行為模式並提出預防對策。 （二） 網路攻擊模式 電腦駭客無論是透過取得密碼或透過系統漏洞，其目的是取得電腦系統之使用權限。但是駭客在進行攻擊或其他破壞行為之前，對於某些電腦系統可能並不了解，所以需要一些準備工作，找出該系統的弱點或漏洞，接著設法取得管理者的權限，以達成其進一步的破壞行為。典型的網路攻擊模式包括網路監聽、網路掃描、漏洞利用、密碼破解、惡意程式碼植入以及DoS/DDoS攻擊。 一. 網路監聽 網路監聽（Network Monitoring）並未進行真正的破壞性攻擊或入侵，而是利用網路監聽獲得攻擊或入侵對象的相關資訊，駭客在網路上攔截流經所在主機的封包，以取得封包內的資訊，如使用者帳號與密碼，這種類型的程式稱之為Sniffer。另外一種網路封包監聽的模式稱之為Distributed Network Sniffer，駭客先入侵不同區域網路上的某一台主機並在主機上安裝client程式，利用client程式監聽流經該區域網路的封包，將分析出的使用者帳號與密碼傳送給server程式，通常一台Server可以接收數個區域網路上client程式的資訊。 二. 網路掃描 網路掃描（Network Scanning）與網路監聽一樣，並沒有進行真正的破壞性攻擊或入侵，對於駭客來說這種事先觀察找尋漏洞的準備工作也是很重要的。駭客利用遠端之掃描偵測以瞭解目標主機系統的各種資訊，包括主機之作業系統類型及版本、開啟的網路服務、系統弱點等。舉例來說，駭客可能掃描某段網域之主機，從掃描結果發現有一台Windows NT主機，開放了port 80 (HTTP)的服務，並且有一個RDS漏洞足以讓駭客篡改其網頁內容。從這個網路掃描過程，駭客可以利用一個攻擊RDS漏洞的程式進行對該主機發動攻擊。由此例子可以得知網路掃描是真正攻擊或入侵之前的準備工作，因此，不論是系統管理者對於掃描其系統的不法行為，或是網路管理者對管轄範圍內的網路掃描行為，都會立即發出警告訊息給相關的負責單位。 三. 漏洞利用 漏洞利用是指程式或軟體的不當設計或實作，以及設定上的錯誤，使得駭客利用其漏洞取得使用者或系統管理者權限，甚至破壞系統。 緩衝區溢位（buffer overflow）是程式或軟體在實做上最常發生的錯誤，也是最多漏洞產生的原因。當放到緩衝區的資料大小超過緩衝區的大小時就會發生緩衝區溢位的問題。例如，宣告了一個20個位元組(byte)的陣列(array)，結果放了22個位元組的資料，造成多出來的資料會覆蓋到其他變數上，正常狀況下是程式發生錯