哈工大大学计算机基础课件9--计算机与信息安全.pptVIP

恶意攻击可以使计算机丧失运行能力，破坏系统服务。 目前DDOS攻击主要分为两类：带宽耗尽型和资源耗尽型。 病毒因某个事件的发生或数值的出现而实施感染或进行攻击的特性称为可触发性。 计算机的信息需要存取、复制、传送，病毒作为信息的一种形式可以随之繁殖、感染、破坏，而当病毒取得控制权之后，他们会主动寻找感染目标，使自身广为流传。 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。引导型病毒 主要感染磁盘引导扇区和硬盘的主引导扇区。利用DOS操作系统的结构设计使得病毒可以在每次开机时，比系统文件先调入内存中，从而可以完全控制DOS的各类中断，具有更强大的传染力和破坏力。 文件型病毒 主要是感染可执行文件。被感染的可执行文件在执行的同时，病毒被加载并向其它正常的可执行文件传染。文件型病毒分为非常驻型病毒和常驻型病毒两种。 截至2009年底，木马样本共330万多个，占病毒木马样本总数的72.9% 木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。 蠕虫病毒能够在计算机与计算机之间自我复制，与一般计算机病毒不同，蠕虫不需要将其自身附着到宿主程序，它是一种独立智能程序，可自动完成复制过程，因为它接管了计算机中传输文件或信息的功能。一旦计算机感染蠕虫病毒，蠕虫即可独自传播。但最危险的是，蠕虫可大量复制。而蠕虫要借助于操作系统本身的错误和漏洞。蠕虫典型的传播方式是采用网络链或电子信件方式由一台计算机传播到另一台计算机，这不同于病毒对文件和操作系统的感染，病毒采用将自身拷贝附加到其它程序中的方式来复制自己。蠕虫通过网络复制自身，但是不感染文件。 木马病毒程序一般分为服务器端和客户端两个部分，服务器端程序一般被伪装成具有吸引力的软件，欺骗用户运行并在运行后自动安装在受害者计算机中，以后程序将随该计算机每次运行而自动加载。而客户端一般安装在控制者计算机中。当客户端启动后就会在网络中扫描远程主机上事先约定好的端口，这时如果服务器端正在运行就会与客户端连接上，随后服务器端将在被控计算机中接受并执行客户端发出的各种指令，并向客户端返回数据。 DoS即Denial Of Service，拒绝服务的缩写。 DDoS（Distributed Denial Of Service）又把DoS又向前发展了一大步，这种分布式拒绝服务攻击是黑客利用在已经侵入并已控制的不同的高带宽主机（可能是数百，甚至成千上万台）上安装大量的DoS服务程序，它们等待来自中央攻击控制中心的命令，中央攻击控制中心在适时启动全体受控主机的DoS服务进程，让它们对一个特定目标发送尽可能多的网络访问请求，形成一股DoS洪流冲击目标系统，猛烈的DoS攻击同一个网站。被攻击的目标网站会很快失去反应而不能及时处理正常的访问甚至系统瘫痪崩溃。 ARP协议是“Address Resolution Protocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 每台安装有TCP/IP协议的电脑里都有一个ARP缓存表，表里的IP地址与MAC地址是一一对应的，如下表所示。 防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络，简单的概括就是，对网络进行访问控制。 我们可以看成防火墙是在可信任网络和不可信任网络之间的一个缓冲，防火墙可以是一台有访问控制策略的路由器（Route+ACL），一台多个网络接口的计算机，服务器等，被配置成保护指定网络，使其免受来自于非信任网络区域的某些协议与服务的影响。所以一般情况下防火墙都位于网络的边界，例如保护企业网络的防火墙，将部署在内部网络到外部网络的核心区域上。 认证技术是计算机网络安全中的一个重要内容，一般可以分为两种: 消息认证和身份认证 消息认证：加密解密和数字签名 身份认证：口令、单向认证、双向认证等 入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。 入侵检测