计算机网络信息安全理论与实践教程第12章.pptVIP

图12-9 网络蠕虫组成模块示意图 　　(3) 蠕虫引擎模块。该模块决定采用何种搜索算法对本地或者目标网络进行信息搜集，内容包括本机系统信息、用户信息、邮件列表、对本机的信任或授权的主机、本机所处网络的拓扑结构、边界路由信息等。这些信息可以单独使用或被其他个体共享。 　　 (4) 负载模块。 网络蠕虫内部的实现伪代码如下： worm( ) { worm engine( ) probe( ) 　　transport( ) } worm engine( ) { install and initialize the worm( ); execute payload if any needs to be ( ); 　　choose the next host to probe( ); wait until desired time for the next probe( ); } 图12-5 网络病毒防御模式 　　3．基于网络分级病毒防御 　　大型网络由若干个局域网组成，各个局域网的地理区域分散。在防病毒方面采取的防御策略是基于三级管理模式的，即单机终端杀毒—局域网集中监控—广域网总部管理，如图12-6所示。策略实现方法是，在局域网病毒防御基础上分级构建，组织总部(常称信息中心或网络中心)负责病毒报警信息汇总，监控本地、远程异地局域网病毒防御情况，统计分析整个组织网络的病毒爆发种类、发生频度、易发生源等信息，以便制定和实施合适的防病毒配置策略。 图12-6 网络分级病毒防御示意图 　　4．基于邮件网关病毒防御 　　政府机关、军队、金融及科研院校等机构办公自动化(OA)系统中的邮件服务器作为内部网络用户邮件的集中地和发散地，也成为病毒邮件、垃圾邮件进出的门户。如果能够在网络入口处将邮件病毒、邮件垃圾截杀掉，则可以确保内部网络用户收到安全无病毒的邮件。邮件网关防毒系统放置在邮件网关入口处，接收来自外部的邮件，对病毒、不良邮件(如带有色情、政治反动色彩)等进行过滤，处理完毕后再将安全邮件转发至邮件服务器，全面保护内部网络用户的电子邮件安全。 　　5．基于网关防御 　　在网络出口处设置有效的病毒过滤系统，防火墙将数据提交给网关杀毒系统进行检查，如有病毒入侵，网关防毒系统将通知防火墙立刻阻断病毒攻击的IP，如图12-7所示。此种过滤方式能够过滤多种数据库和邮件中的病毒。利用防火墙实时分离数据报，交给网关专用病毒处理器处理，如果是病毒则阻塞病毒传播。这种防病毒系统能减少大量的病毒传播机会，使用户放心上网。网关杀毒是杀毒软件与防火墙技术的完美结合，是网络多种安全产品协同工作的一种全新方式。 图12-7 基于网关防御的安装部署模式 12.3 特 洛 伊 木 马 12.3.1 特洛伊木马的概念与特性 　　虽然木马攻击危害大，但木马攻击是否成功，还要取决于以下条件是否具备： 　　(1) 木马攻击者要写出一段程序，既要能进行非法操作，又要让程序的行为不会引起用户的怀疑。 　　(2) 木马攻击者应有某种方式，使得受害者能够访问、安装或接受这段程序。 　　(3) 木马攻击者必须使受害者运行该程序。 　　(4) 木马攻击者要有某种方法获取木马操作结果，例如获得木马拷贝的保密信息。 12.3.2 特洛伊木马的运行机制 　　木马受攻击者的意图影响，其行为表现各异，但基本的运行机制相同。整个的木马攻击过程主要分为五个部分： 　　(1) 寻找攻击目标。 　　(2) 收集目标系统的信息。 　　(3) 将木马植入目标系统。 　　(4) 木马隐藏。 　　(5) 攻击意图实现，即激活木马，实施攻击。 图12-8 木马的攻击机制流程图 12.3.3 特洛伊木马技术 　　1．特洛伊木马植入技术 　　特洛伊木马植入是木马攻击目标系统最关键的一步，是后续攻击活动的基础。当前，特洛伊木马的植入方法可以分为两大类，即被动植入和主动植入。被动植入是指通过人工干预方式才能将木马程序安装到目标系统中，植入过程必须依赖于受害用户的手工操作；而主动植入则是指主动攻击方法，是将木马程序通过程序自动安装到目标系统中，植入过程无需受害用户的操作。被动植入主要通过社会工程方法将木马程序伪装成合法的，以达到降低受害用户警觉性，诱骗用户的目的。常用的方法有： 　　* 文件捆绑法：将木马捆绑到一些常用的应用软件包中，当用户安装该软件包时，木马在用户毫无察觉的情况下就植入到系统中。 　　* 邮件附件：木马设计者将木马程序伪装成邮件附件，然后发送给目标用户，若用户执行邮件附件就将木马植入该系统中。 　　* Web网页：木马程序隐藏在HTML文件中，当受害用户点击该网页时，就将木马植入到目标系统中。 　　2．特洛伊木马隐藏技术