阻止隐形僵尸攻击者的肆虐（下） - Cisco.PDF

阻止隐形僵尸攻击者的肆虐（下） 主持人：欢迎光临思科互动网络——技术达人“秀”。如果有任何技术问题，请在 浏览控制台底部区域提交。你还可以将问题、评论以及建议用电子邮件的形式发给 我们，邮件地址为techwise-tv@ 。感谢您的参与，也希望您 能够喜欢我们的节目。 JONAS TICHENOR ：哪些攻击者能够对你的网络安全造成最大威胁？是那些你看不 到的那些隐形攻击者。今天，我们就来谈一谈隐形攻击者以及如何阻止这些僵尸程 序。 JIMMY RAY PURSER ：僵尸程序的行为完全是犯罪行为。 JONAS TICHENOR ：我们将讲解这些隐蔽攻击者的潜伏伎俩，并为你展示一些防范 的方法，让你通过简单的六招，就能抵挡这种威胁。我们还将揭开攻击者的神秘面 纱，揭露当今攻击者如何利用常见工具以及过时的智能技术来实现从他人网络和系 统牟利的新目的。 ROBB BOYD ：这是普通用户最想知道答案的一个问题，也就是为什么每个人都想 攻击我？ JONAS TICHENOR ：我们将揭开偷渡式下载（drive-by download）以及其它恶 意行为的内幕，网络中的用户可能会招致这些风险。请记住一点，通常，我们不知 情的东西能够对我们造成最大的伤害。这里是思科互动网络—技术达人“秀”，值 得信赖的电脑极客，为你带来实用技术，尽在思科互动网络。 JONAS TICHENOR ：欢迎光临思科互动网络技术达人秀，我是JONAS JONAS TICHENOR ：您在这里设臵的东西让人感到有些恐惧。我们任何一个人的设 备都可能被传染。那么病毒的首次传播是如何进行的呢？ JIMMY RAY PURSER ：呃……，这非常简单。人们经常会在电子邮件中发送附件。 网络钓鱼链路非常适合这一类型。因此要注意了，我将演示如何来进行，这是一个 非常强大的网络钓鱼攻击。 ROBB BOYD ：你指的是网络钓鱼。 JIMMY RAY PURSER ：是的，网络钓鱼。 ROBB BOYD ：但你没说网络钓鱼攻击的方式，我们不知道你将从哪里着手。 JIMMY RAY PURSER ：现实中我非常喜欢钓鱼。 ROBB BOYD ：鱼诱饵，冰激凌 JIMMY RAY PURSER ：注意。这里是一个我通过重新导向连接上的僵尸。它正在执 行一个CGI脚本。注意这里，它显示了我可以下载的僵尸信息，以及我的系统下载 的信息。现在它使用HTTP将其传送出去。它显示正在监听4361端口。这是我的僵尸 的ID ，从中可以看出它所运行的操作系统，是Windows XP 。它开始建立了连接。 然后它告诉我所在系统的时间，傀儡牧人据此可以确定具体的出租时间。这非常重 要，对于那些可恨的营销人员尤其如此。 ROBB BOYD ：不要启动它。 JIMMY RAY PURSER ：我们将向傀儡牧人购买使用时间，以安装并运行这一软件。 他们下载了不同的软件包。 ROBB BOYD ：他们不是合法的营销人员。 JIMMY RAY PURSER ：确实如此。 ROBB BOYD ：让我们坦诚一些。 JIMMY RAY PURSER ：好。 ROBB BOYD ：那么如果…… JIMMY RAY PURSER ：我们注意到有人在提交信息。他们将根据你实际在网络中放 臵的僵尸数量，来提供奖励。因此，如果我在美国的一个网络中放臵了一个僵尸， 我可能每台机器能够得到30美分。如果我在中国的一台机器上放臵了一个僵尸，可 能得到10美分。如果是放在伯利兹城，可能只能得到1分钱。他们将根据目标市场 来向你付费。这是一个非常庞大的收入来源。 JONAS TICHENOR ：可以看出，他们在一个地区发布僵尸，然后散播出去，之后就 会有很多电脑被感染。 JIMMY RAY PURSER ：是的。 JONAS TICHENOR ：因此，如果我在家，发现我的电脑开始变慢或有一些奇怪的行 为，就可能是有人在入侵我的系统，并利用我的资源做一些事情。 JIMMY RAY PURSER ：如果是僵尸让你的电脑变慢，这个僵尸的程序编写的肯定非 常差。 ROBB BOYD ：他们实际上都是非常高效的，是吗？ JIMMY RAY PURSER ：通常情况下如此。 JONAS TICHENOR ：好。 JIMMY RAY PURSER ：Agobot ，你看见过的。这里我给你演示一下。 ROBB BOYD ：可能是多个僵尸。 JIMMY RAY PURSER ：如果你看Agobot的话，要看看这一代码。这一源代码有120 MB。当它编译完成后，它大概有20,000行代码，这要显著小于日常的软件包。它完 全采用