附1网络安全形势要点详解.pptVIP

计算机网络安全基础 网络安全形势 形势严峻 ： 国家计算机网络应急技术处理协调中心29日发布的数据显示:2007年我国网络安全事件发生量的增长幅度较大,网络仿冒、网页恶意代码、网站篡改等增长速度接近200%,木马主机的增长率为2125%。 木马、僵尸网络和与域名相关的安全问题等构成了主要威胁。” （一）当前网络安全事件的特点 拒绝服务攻击频繁发生，入侵者难以追踪。 使用分布式拒绝服务的攻击方法 利用跳板发动攻击 （一）当前网络安全事件的特点 攻击者需要的技术水平逐渐降低，手段更加灵活，联合攻击急剧增多 攻击工具易于从网络下载 网络蠕虫具有隐蔽性、传染性、破坏性、自主攻击能力 新一代网络蠕虫和黑客攻击、计算机病毒之间的界限越来越模糊 （一）当前网络安全事件的特点 系统漏洞、软件漏洞、网络漏洞发现加快，攻击爆发时间变短 相关数据： 在所有新攻击方法中，64%的攻击针对一年之内发现的漏洞 最短的大规模攻击距相应漏洞被公布的时间仅仅为28天 （一）当前网络安全事件的特点 垃圾邮件问题依然严重 垃圾邮件中不仅有毫无用处的信息，还有病毒和恶意代码 （一）当前网络安全事件的特点 间谍软件、恶意软件威胁安全。 多管齐下，综合防范 提高网民网络安全意识,是积极预防的首要环节 对于最常用的杀毒软件和防火墙采取政府和市场结合的机制,作为一种公共服务来提供, 能降低整个国家网络安全的管理成本。 积极预防与及时发现能帮助减少网络安全事件：据2008年病毒疫情调查报告的数据显示,调查的网络安全事件中,由信息网络管理员通过技术监测发现的占53.5%,通过部署购买安全产品报警发现的占46.4%,事后分析发现的占35.4%。 建立必要的网络安全监控系统 ： 建立信息共享机制：对于国家计算机网络应急技术处理协调中心来讲,监测到有90万个IP植入了木马,但其中的IP是网通还是电信用户,是银行还是证券部门,却需要相关部门具体研究和信息共享 。 做到快速响应,力保恢复 。 僵尸网络 僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算 机；“控制服务器（Control Server）”是指控制和通信的中心服务器， 僵尸网络的历史渊源可以追溯到1993 年因特网初期在IRC 聊天网络中出现的Bot 工具——Eggdrop,它实现为IRC 聊天网络中的智能程序,能够自动地执行如防止频道被滥用、管理权限、记录频道事件等一系列功能,从而帮助IRC 网络管理员更方便地管理这些聊天网络.而之后,黑客受到良性Bot 工具的启发,开始编写恶意僵尸程序对大量的受害主机进行控制,以利用这些主机资源达到恶意目的.1999 年6 月,在因特网上出现的PrettyPark 首次使用了IRC 协议构建命令与控制信道,从而成为第一个恶意僵尸程序.之后,IRC 僵尸程序层出不穷, 在mIRC 客户端程序上通过脚本实现的GT-Bot、开源发布并广泛流传的Sdbot、具有高度模块化设计的Agobot 等,这使得IRC 成为构建僵尸网络命令与控制信道的主流协议.为了让僵尸网络更具隐蔽性和韧性,黑客不断地对僵尸网络组织形式进行创新和发展,出现了基于P2P 协议及HTTP 协议构建命令与控制信道的僵尸程序,著名的案例包括传播后通过构建P2P 网络支持DDoS 攻击的Slapper、使用随机扫描策略寻找邻居节点的Sinit、基于WASTE 协议构建控制信道的Phatbot以及2004 年5 月出现的基于HTTP 协议构建控制信道的Bobax 示意图 发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。 专家表示，每周平均新增数十万台任人遥控的僵尸电脑，任凭远端主机指挥，进行各种不法活动。多数时候，僵尸电脑的根本不晓得自己已被选中，任人摆布。　　僵尸网络之所以出现，在家高速上网越来越普遍也是原因。高速上网可以处理(或制造)更多的流量，但高速上网家庭习惯将电脑长时间开机，唯有电脑开机，远端主机才可以对僵尸电脑发号施令。　　网络专家称：“重要的硬件设施虽然非常重视杀毒、防黑客，但网络真正的安全漏洞来自于住家用户，这些个体户欠缺自我保护的知识，让网络充满地雷，进而对其他用户构成威胁。” Botnet的工作过程Botnet的工作过程包括传播、加入和控制三个阶段。一个