信息安全技术教程清华大学出版社-第五章.ppt

* 木马的隐藏 隐藏在任务栏。这是木马最基本的隐藏方式。 隐藏在任务管理器。 主机端口 隐藏通讯 隐藏加载方式，木马通过对加载方式的隐藏，使得用户运行木马程序 木马的特性 木马包含在正常程序中，随着正常程序的运行而启动，具有隐蔽性 具有自动运行性 对系统具有极大危害性。 具有自动恢复功能。 * 木马的种类 木马种类 描述 破坏型木马 其功能是破坏并且删除文件，可以自动删除用户电脑上的DLL、INI、EXE文件。 密码发送型木马 有的用户喜欢把自己的各种密码以文件的形式存放在计算机中，还有的用户喜欢用Windows提供的密码记忆功能记忆密码，密码发送型木马可以找到这些文件，并把它们送到攻击者手中。也有些木马程序会长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。 远程访问型木马 可以实现远程控制，监视被控制主机的操作。 键盘记录木马 这种木马能记录受控主机的键盘敲击并在LOG文件里查找密码。 DoS攻击木马 被DoS攻击木马入侵的主机被攻击者控制成为“肉鸡”，向目标主机发动攻击。有一种类似于DoS的木马叫做邮件炸弹木马，一旦被感染，木马就会随机生成各种主题的信件，对特定的邮箱不停地发送邮件，直到对方瘫痪、不能接受邮件为止。 代理木马 代理木马使得受感染主机变成了攻击者发动攻击的跳板。通过代理木马，攻击者可以在匿名的情况下使用Telnet，ICQ，IRC等程序，从而隐蔽自己的踪迹。 程序杀手木马 这种木马的功能就是关闭对方主机上的防木马程序，保证其它木马能发挥更大作用。 反弹端口型木马 一般的防火墙对于请求连入的链接会进行严格的过滤，而对请求连出的链接却疏于防范。反弹端口型木马就是针对这一性质开发的，其服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马服务端定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端。为了隐蔽起见，控制端的被动端口一般开在80，即使用户使用扫描软件检查自己的端口，也不容易发现这种类型的木马。 * 5.3.4 网络控件 现在的Web浏览器和其它的网络应用都依赖于能够提供大量复杂功能的可执行程序。这种插件程序可以很容易地保证系统处于最新状态并且能够支持很多新文件的类型。但是这些程序同样可以被某些人利用，使其很容易就将恶意代码发送到用户主机。 作为用户，必须保证病毒扫描器和防御软件可以有效地保护系统不被恶意程序损坏。 * 5.4 常见的攻击类型 5.4.1 后门攻击 5.4.2 暴力攻击 5.4.3 缓冲区溢出 5.4.4 拒绝服务攻击 5.4.5 中间人攻击 5.4.6 社会工程学 5.4.7 对敏感系统的非授权访问 5.4.1 后门攻击 定义 通过后门绕过软件的安全性控制从而获取程序或系统访问权的方法 道德败坏的程序编写者能够利用后门获取非授权的数据 对策 预防后门最好的方法就是通过加强控制和安全关联测试来检验后门是否存在，并在发现后门时及时采取措施。 * 5.4.2 暴力攻击 定义 通过尝试系统可能使用的所有字符组合来猜测系统口 对策 小心保管系统口令并在系统中设置允许输入口令次数的最大值，若超过这个数值，账号就会被自动锁定。同时要对登陆行为进行日志记录，可以在日后用于调查。 * 5.4.3 缓冲区溢出 定义 利用存储的字符串长度超过目标缓冲区存储空间而覆盖在合法数据上进行攻击 两种方法 植入法：攻击者向被攻击的程序输入一串字符串，程序会将这个字符串放到缓冲区，字符串内包含的可能是被攻击平台的指令序列，缓冲区可以设在任何地方：堆栈、堆或静态存储区。 利用已经存在的代码：很多时候，攻击者需要的代码已经存在于被攻击的程序中，攻击者要做的就是传递一些参数 * 5.4.4 拒绝服务攻击 定义 用于摧毁系统的可用性，导致系统过于繁忙以至于没有能力去响应合法的请求 分布式拒绝服务攻击（Ddos） SYN Flood攻击 * 5.4.5 中间人攻击 通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，然后把这台计算机模拟一台或两台原始计算机，使“中间人”（入侵者放置的计算机）能够与原始计算机建立活动连接，而两台原始计算机用户却意识不到“中间人”的存在，只以为是和彼此进行通信。 * 5.4.6 社会工程学 概念 利用被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱，以交谈、欺骗、假冒等方式，从合法用户中套取用户系统秘密的一种攻击方法 对策 对付这种类型的攻击最有效的方法就是加强安全意识教育。要让用户记住任何情况下都不能向其他人泄露自己的口令，任何想要进入系统的用户都应该被及时报告给上级。通过这些简单的规则可以有效地降低社会工程学的攻击。 * 5.4.7 对敏感系统的非授权访问 大部分攻击的目标都是访问系统的敏感信息。一种情况是攻击者获