网络安全教程 教学课件 田园 第2章 网络病毒的典型形态和.pptVIP

第2章 网络病毒的典型形态和传播行为;2.1 网络病毒如何选择入侵目标 ; 网络层对象指以网络地址标识的对象，如IP地址和TCP或UDP端口号。 这时攻击者常常需要随机生成拟扫描的目标IP地址，或按照某种策略生成IP地址，然后以某种形式的消息（请求建立TCP连接）对目标对象进行试探。;2.2 网络病毒如何确定入侵策略 ;2.3 网络病毒概观 ; 在图2-1中完整地描述了这一过程，其中入侵的关键在于破译合法用户的口令，然后以合法身份运行目标机器上的特权命令（BO_HTTP_ENABLE），导致在目标机器上开放HTTP Proxy服务，进而导致完整的病毒程序上载到目标机器。 病毒程序在目标机器上运行起来（响应BO_PROCESS_SPAWN命令）之后，以该机器为平台继续如法实施对其他目标的入侵，由此在网络上扩散开去。;图2-1 借助后门进行传播：病毒W32/Borm ; 病毒传播的第二条典型途径是利用SMTP代理，这是许多邮件病毒的传播机制，例如病毒 W32/Taripox@mm，图2-2中描述了其传播过程。 ; SMTP是基于TCP的邮件传输协议，图2-3所示为其工作过程 。; 病毒W32/Taripox@mm的传播方式是典型的所谓推式传播，同样利用非法重定向机制，病毒W32/Beagle.T采用所谓拉式传播方式，如图2-4所示。; 拉式传播较之推式传播的“优点”在哪里？ 对病毒而言，最大的优点在于更加隐秘。 有一大类网络病毒不是像以上病毒这样利用某种消息完整地传播自己，而是先通过所谓代码注入使目标进程完全置于攻击者的控制之下，然后再实施后续入侵和破坏，包括基于被入侵的进程继续对其他目标进程进行入侵。 下一章将详细分析几类典型的代码注入式入侵过程，这里仅用图2-5给出该病毒的整体工作过程。; 当今许多防火墙（第5章详细讨论）往往禁止被保护的网络内部的非特权TCP端口（即端口号在1024以上的端口，病毒代码在这一阶段常常只具有创建这类端口的权限）接受外部发起的连接请求，这意味着当TCP连接请求是从攻击者的进程向目标进程主动发起时，防火墙会屏蔽该消息，攻击者所需要的TCP连接不能如愿建立。 但这不足以抵挡该攻击顺利完成。 事实上，大多数防火墙被配置成不禁止发自内部非特权端口的TCP连接请求，攻击者只要利用这一特点，即可使入侵过程继续进行。 ;图2-5 代码注入攻击：病毒W32/Blaster;图2-5 代码注入攻击：病毒W32/Blaster;图2-6 病毒的更新/升级过程：W95/BabyLonia ; 从病毒作者本身的利益看，以上机制有明显的不足：仅利用公开的单点服务器提供更新服务；病毒模块没有完整性保护。 ;2.4 小结与进一步学习的指南 ;附录2.1 Windows环境常用的网络命令;附录2.2 网络协议分析工具Ethereal;2．Ethereal的基本用法;3．Ethereal的过滤规则; Ethereal提供的原语非常多，这里只介绍最常用的4种 （1）ether [src|dst] host mac_addr （2）[src|dst] host ip_addr （3）[tcp|udp] [src|dst] port number （4）arp、ip、icmp、udp、tcp等