网络安全与防火墙技术9 黑客攻击与网络病毒.pptVIP

9 黑客攻击与网络病毒 9.1 黑客攻击与防护 9.1.1 黑客入侵方法与一般步骤 1）常用入侵方法 数据驱动攻击当有些表面看来无害的特殊程序，在被发送或复制到网络主机上并被执行时就发起攻击，从而发生数据驱动攻击。 系统文件非法利用 伪造信息攻击 通过发送伪造的路由信息，构造系统源主机和目标主机的虚假路径，从而使流向目标主机的数据包均经过攻击者的系统主机。这样就给攻击者提供敏感的信息和有用的密码。? 针对信息协议弱点攻击 远端操纵 利用系统管理员失误攻击 重新发送攻击 对ICMP报文的攻击 针对源路径选项的弱点攻击 以太网广播攻击将以太网接口置为乱模式(Promiscuous)，截获局部范围的所有数据包，为攻击者所用。 “跳跃式”攻击现在许多因特网上的站点使用UNIX操作系统。黑客们会设法先登录到一台UNIX的主机上，通过该操作系统的漏洞来取得系统特权，然后再以此为据点访问其余主机，这被称为“跳跃”(Islandhopping)。黑客们在达到目的主机之前往往会这样跳几次。 窃取TCP协议连接 夺取系统控制权 2）网络攻击的一般步骤及实例 ⑴攻击的准备阶段 ①确定攻击的目的。 ②信息收集。 ⑵攻击的实施阶段 ①获得权限。 ②权限的扩大。 ⑶攻击的善后工作 ①日志系统简介。 ②隐藏踪迹。 ③后门。 9.1.2 防止黑客的攻击 1）端口 网络通讯基于TCP/IP协议，而TCP/IP通过端口实现各种应用服务，例如Telte使用了23号端口，而黑客也是通过这些端口侵入计算机的。 2）通过端口进入计算机 黑客进入计算机也是基于TCP/IP协议通过某个端口进入计算机的。 3）发现木马 4）进一步查找木马 5）在硬盘上删除木马 9.2 网络病毒与防护 9.2.1 计算机病毒的概念 Fred Cohen博士对计算机病毒的定义是：“病毒是一种靠修改其他程序来插入或进行自身拷贝，从而感染其他程序的一段程序。”这一定义作为标准已被普遍的接受。? 在《中华人民共和国、计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。” 9.2.2 计算机病毒的特征 1）传染性 病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒一旦进入计算机并得以执行，就会寻找符合感染条件的目标，将其感染，达到自我繁殖的目的。所谓“感染”，就是病毒将自身潜入到合法程序的指令序列中，致使执行合法程序的操作导致病毒程序的共同执行或以病毒程序的执行取而代之。 2）隐蔽性 病毒一般是具有很高编程技巧的，短小精悍的一段代码，隐藏在合法程序当中。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的，这是病毒程序的隐蔽性。 3）潜伏性 病毒进入系统之后一般不会马上发作，可以在几周或者几个月甚至几年内隐蔽在合法程序中，默默地进行传染扩散而不被发现，潜伏性越好，在系统中，存在时间就会越长，传染范围也就会越大。 4）多态性? 病毒试图在每一次感染时改变它的形态，使对它的检测变得更困难。 5）破坏性 病毒一旦被触发而发作就会造成系统或数据的损失甚至毁灭。病毒都是可执行程序，而且又必然要运行，因此所有的病毒都会降低计算机系统的工作效率，占用系统资源，其侵占程度取决于病毒程序自身。 9.2.3 计算机病毒的结构 计算机病毒主要由潜伏机制，传染机制和表现机制构成。在程序结构上由现实这3种机制的模块组成（如图9.1所示）。 图9.1 计算机病毒程序结构 1）潜伏机制 潜伏机制的功能包括初始化，隐蔽和捕捉。潜伏机制模块随着感染的宿主程序的执行进入内存，首先，初始化其运行环境，使病毒相对独立于宿主程序，为传染机制做好准备；然后，利用各种可能的隐藏方式，躲避各种检测，欺骗系统，将自己隐蔽起来；最后，不停地捕捉感染目标交给传染机制，不停地捕捉触发条件交给表现机制。 2）传染机制 传染机制的功能包括判断和感染。传染机制先是判断候选感染目标是否已被感染，感染与否通过感染标记来判断，感染标记是计算机系统可以识别的特定字符或字符串。一旦发现作为候选感染目标的宿主程序中没有感染标记，就对其进行感染，也就是将病毒代码和感染标记放入宿主程序之中，早期的有些病毒是重复感染型的，它不做感染检查，也没有感染标记，因此这种病毒可以再次感染自身。 3）表现机制 表现机制的功能包括判断和表现。表现机制首先对触发条件进行判断，然后根据不同的条件决定什么时候表现、如何表现。表现内容多种多样，带来轻微或严重的破坏。表现机制反映了病毒设计者的意图，是病毒差异最大的部分。潜伏机制和传染机制是为表现机制服务的。 9.2.4