网安-第七章_网络入侵威胁.pptVIP

* * * * * BSS段：放程序中未初始化的全局变量和静态变量 Block Started by Symbol * BSS段：放程序中未初始化的全局变量和静态变量 Block Started by Symbol * CVE 的英文全称是“Common Vulnerabilities Exposure s”公共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。 * * * * * * * * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 为通信行为的审计与仲裁提出依据 * 蠕虫历史回顾 蠕虫历史回顾（一） 1980年，Xerox PARC的研究人员编写了最早的蠕虫 1988年11月2日，Morris蠕虫发作，一天之内6000台以上连接在互联网上的Unix工作站和VMS工作站被感染 20世纪90年代中期之后，以信息窃取为目的，W97M/Caligula蠕虫；成为一个远程可控的代理，Back Orifice/BO2K蠕虫；用于DDoS攻击的Tribe Flood Network/TFN2K；综合性的，Code Red蠕虫 2001年1月，Linux系统下的Ramen蠕虫 2001年3月23日，Lion蠕虫被发现，集成多种黑客工具，如扫描工具Pscan，后门工具t0rn, DDos工具TFN2K等等 2001年4月3日，Adore蠕虫，也称为Red蠕虫，基于Ramen蠕虫和Lion蠕虫，综合利用了这两种蠕虫的攻击方法 2001年5月，cheese蠕虫被发现，友好的蠕虫，利用Lion蠕虫留下的后面进行传播，自动修补系统漏洞并清除Lion蠕虫留下的所有痕迹 * 蠕虫历史回顾 蠕虫历史回顾（二） 2001年5月，sadmind 蠕虫被发现，也称为sadmind/IIS 蠕虫，同时攻击两种操作系统，Sun 微软 2001年9月18日，Nimda蠕虫被发现，不同于以前的蠕虫，Nimda开始结合病毒技术，它通过电子邮件、网络邻近共享文件、IE浏览器的内嵌MIME 类型自动执行漏洞、IIS 服务器文件目录遍历的漏洞、CodeRed II 和sadmind/IIS 蠕虫留下的后门等共五种方式进行传播，其中前三种方式是病毒传播的方式 2004年5.1黄金周，互联网爆发“震荡波”蠕虫，中招后的系统将开启128个线程去攻击其他网上的用户。从4月30日起到5月9日晨7点，CNCERT/CC抽样检测到该蠕虫在中国传播累计达247万多次，共造成84万台主机感染 2006年8月14日、17日，CNCERT/CC两次发布公告，宣布MocBot蠕虫于8月13日在我国爆发。截止到8月18日晚，根据CNCERT/CC通过网络安全监测平台获得的最新数据，全球有超过105万台主机被感染，中国内地被感染主机超过12万台，中国全境被感染主机超过17万台 * 蠕虫的工作流程 工作流程 扫描：扫描到有漏洞的计算机系统后 攻击：蠕虫就对其进行攻击，攻击流程部分完成蠕虫主体的迁移工作 现场处理：进入被感染的系统后，要做现场处理工作，包括隐藏、信息搜集等等 复制：蠕虫会根据收集到的现有信息生成多个副本，重复上述流程 * 蠕虫的行为特点 行为特点 主动攻击：蠕虫，黑客入侵的自动化工具，从搜索漏洞到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成 行踪隐蔽：不需要计算机使用者辅助，和快速传播是一对矛盾 利用漏洞：计算机系统存在漏洞是蠕虫传播的前提，利用这些漏洞，蠕虫获得相应权限，完成后继的复制和传播过程 造成网络拥塞：大面积的搜索(即扫描〉，不可避免地会产生附加的网络数据流量 降低系统性能：蠕虫入侵后，会在被感染的计算机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源， 产生安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息(如用户信息等) ，并在系统中留下后门 反复性：即使清除了蠕虫在文件系统中留下的痕迹，如果没有修补计算机系统漏洞，重新接入到网络后还是会被重新感染 破坏性：从蠕虫的历史发展过程可以看到，越来越多