第3章网络攻击与防范.pptVIP

3.7 电子邮件攻击 3.7.1 电子邮件攻击的原理 电子邮件炸弹可以说是目前网络安全中最为流行的一种恶作剧方法，这些用来制作恶作剧的特殊程序称为E-mail bomber（邮件炸弹），攻击者用它来对某个或多个邮箱发送大量的邮件，使网络流量加大、消耗系统资源，从而使系统瘫痪。 以下是几种常见的邮件攻击方法。 1.回复转发的死循环 假设甲要对乙的邮箱进行攻击，甲首先会申请两个电子邮箱：邮箱A和邮箱B。 其中，邮箱A设置为启动转发和自动回复功能，并且转发的对象为乙的邮箱；邮箱B设置为启动自动回复功能。 然后，甲利用邮箱B向邮箱A发送邮件，由于邮箱A和邮箱B都有自动回复功能，所以会进行循环发信，而邮箱A收到的邮件都会转发给乙的邮箱，这样乙的邮箱很快就被填满了。 2.“胀”破邮箱容量 攻击者申请一个邮箱，并开启匿名功能。然后使用诸如Outlook等邮件工具向目标邮箱发送一个大容量的附件，在启动并设置Outlook中的“邮件拆分大小”（如可以设置成拆分所有大于20KB的邮件）功能后进行发送。 这样以后只要使用这个经过设置的邮箱发送邮件，一旦邮件的大小超过了规定的字节数，Outlook就会自动将邮件进行拆分。 若攻击者不间断地进行发送，就会使目标邮箱被大量的邮件塞满，从而导致拒绝服务。 3.基于软件的攻击 现在，已经有很多种能够自动产生邮件炸弹的软件，而且有逐渐普及的趋势，并且这类软件简单易用，只需在“轰炸地址”中输入需要攻击的邮箱地址，设置邮箱的发送服务器（如SMTP服务器），以及发送量和发送邮件的线程数目等，就可以进行自动攻击。 3.7.2 电子邮件攻击的防范 邮件炸弹的防范工作比较繁琐，而且很难保证万无一失，但可以使用如下方法来尽可能地避免邮件炸弹的袭击，以及做好善后处理。 不随意公开自己的邮箱地址。 谨慎使用自动回复功能。 设置邮件过滤功能。 邮件的备份。 3.8 木马 3.8.1 木马的概念 特洛伊木马（Trojan horse）简称木马，其名称取自希腊神话中的特洛伊木马记。木马是一种潜伏在计算机中、受外部用户控制以窃取本机信息或控制权的黑客工具，具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现，往往采用多种手段（例如，隐藏在其他程序的后面）来隐藏木马，这样服务端即使发现感染了木马，由于不能确定其具体位置，所以无法清除干净； 所谓非授权性是指木马的服务一旦运行并被控制端连接，控制端将享有服务端的大部分操作权限，例如，给计算机增加口令，浏览、移动、复制或删除文件，修改注册表等。 3.8.2 木马的原理 一个完整的木马程序一般由服务端程序和控制端程序两部分组成。 其中，客户端是用于攻击者植入木马、远程控制的机器，服务端是被种植木马的机器。作为服务端的主机一般会打开一个默认的端口并进行监听，如果有客户端向服务端主机的这一端口提出连接请求，服务端主机上的相应程序就会自动运行，来应答客户端主机的请求，这个程序称为守护进程。 黑客利用木马工具进行网络入侵一般分为以下几个步骤。 1.配置木马 木马程序一般都有木马配置程序，主要是为了实现木马伪装和信息反馈两方面的功能。 2.传播木马 木马的传播方式主要有两种：一种通过E-mail；另一种是软件下载。 下面是几种常见的伪装方式： （1）修改图标。 （2）捆绑文件。 （3）出错显示。 （4）定制端口。 （5）自我销毁。 （6）木马更名。 3.运行木马 木马在安装时首先将自己复制到Windows的系统文件夹中，然后在注册表、启动组、非启动组中设置好木马的触发条件，这样木马的安装就完成了。 木马被激活后进入内存，并开启木马端口，准备与控制端建立连接。 4.信息泄露 一般木马都有有一个信息反馈机制。所谓信息反馈机制是指木马安装成功后会收集一些服务端的软硬件信息，并通过E-mail、IRC等方式告知控制端用户。 5.建立连接 一个木马要建立连接首先必须满足两个条件：一是服务端已成功安装了木马程序；二是控制端和服务端都要在线。 6.远程控制 木马建立连接后，控制端通过木马程序对服务端进行远程控制，例如，窃取密码、操作文件、修改注册表和系统操作等。 3.8.3 木马的防范与清除 由于木马危害的严重性，以及新的变种及类型层出不穷，在检测清除木马的同时，用户可以从以下几方面来提高防范意识： 不要下载、接收或执行任何来历不明的软件或文件。 不要浏览不健康、不正规的网站。 尽量少用共享文件夹。 安装反病毒软件、木马专杀工具和防火墙，并及时升级代码库。 及时给操作系统打上补丁，并经常升级常用的应用软件。 3.9 黑客 黑客是hacker的音译，其引申意义是指“干了一件非常漂亮的事”。最初的黑客是指独立思考、奉公守法的计算机迷，他们智力超群，对计算机全身心的投入，