第6章 网络威胁.ppt

6.1 概述 6.2 计算机病毒 6.3 网络入侵 ;6.1 概述;网络威胁的三个阶段;网络威胁分类;病毒产生的背景、来源;6.2 计算机病毒;计算机病毒定义;病毒感染示意;计算机病毒特征 非授权性: 未经授权而执行。 寄生性：潜入到宿主程序中，依赖于宿主程序的执行而生存。 传染性：判断一个程序是否是病毒的重要条件。 潜伏性：潜伏性越好，存在时间越长，传染范围越大。 破坏性：轻重不一，取决于程序本身和设计者的目的。 触发性：因某个事件或数值的出现，诱使病毒实施感染或进行攻击。病毒既要潜伏，又要维持杀伤力，必须可触发。;病毒发展新的趋势 无国界：电子邮件成为主要传播途径，利用网络传播，速度加快，空间加大。 多样化：引导型、可执行文件型、混合型等。 破坏性更强：修改注册表，远程控制等。 智能化：感染邮件正文，预览时也会发作，并将新病毒邮件发送给通讯录中的地址。 更加隐蔽化：伪装成常用的程序，或者变换外形迷惑。 根据其工作原理和传播方式划分 传统病毒：寄生于宿主文件内，以可移动介质为传播途径。 蠕虫病毒：利用网络进行传播，独立智能程序存在。 木马：不会自我复制，通过伪装吸引用户下载安装，提供后门给施种者，实现破坏、远程控制。 ;病毒演示举例;救护车病毒;6.2.2 传统病毒;一个EXE文件感染了CIH病毒，它的入口地址将会被指向CIH病毒的驻留内存程序，执行文件时首先调入内存的是CIH病毒的驻留部分，CIH病毒会检测是否已有CIH驻留内存，如果没有，则启动CIH病毒的初始化模块。 初始化部分完成后，病毒进入工作模式，当系统调用文件时，CIH的传染模块将被激活。 如果是4月26日，破坏模块将发作，使用垃圾代码覆盖硬盘。;6.2.3蠕虫病毒;尼姆达蠕虫Worms.Nimda;Nimda 传播途径;防范及清除;6.2.4 木马;木马病毒分类 （1）盗号类木马 （2）网页点击类木马 （3）下载类木马 （4）代理类木马 ;灰鸽子的植入方法;客户端程序;6.2.5 病毒防治;检测;行为监测法 利用病毒的特有行为特征来监测病毒的方法。当一个可 疑程序运行时，监视其行为，如果发现了病毒行为，立 即报警。 软件模拟法 通过模拟病毒的执行环境，为其构造虚拟机，然后在虚 拟机中执行病毒引擎解码程序，安全地将多态型病毒解 开并还原其本来面目，再加以扫描。 优点：识别未知病毒、病毒定位准确、误报率低；缺点 是检测速度受到一定影响、消耗系统资源较高。;清除;蠕虫、木马等病毒的清除;预防;免疫;注射“病毒疫苗”;6.3 网络入侵;网络入侵;6.3.1 拒绝服务攻击;目的：使目标主机停止网络服务。而其它攻击的目的往往是获取主机的控制权。 危险性：在于它可以在没有获得主机的任何权限的情况下进行，只要主机连接在网络上就有可能受到攻击。 特点：攻击方式简单、容易达到目的，难于防止和追查困难;攻击方法;Ping of Death（死亡之ping）;;Ping of Death攻击原理;Tear drop（泪滴）;Tear drop(泪滴)攻击;Syn Flood（Syn洪水） ;TCP连接的三次握手;三次握手的漏洞分析;SYN Flood攻击原理;防御SYN Flood攻击的方法;Smurf攻击;Smurf攻击过程示意图;电子邮件炸弹;6.3.2 口令攻击;系统中可以用作口令的字符有95个， 10个数字、33个标点符号、52个大小写字母。 采用任意5个字母加上一个数字或符号则可能的排列数约为163亿，即525 × 43=16,348,773,000。 这个数字对于每秒可以进行上百万次浮点运算的计算机并不是什么困难问题，也就是说一个6位的口令将不是安全的 一般建议使用10位以上并且是字母、数字加上标点符号的混合体。 ;防范口令攻击的方法;6.3.3 嗅探攻击;以太网传播方式;MAC地址;共享网络环境;交换网络环境;ARP协议;Hacker发送伪装的ARP Reply告诉A，计算机B的MAC地址是Hacker计算机的MAC地址； Hacker发送伪装的ARP Reply告诉B，计算机A的MAC地址是Hacker计算机的MAC地址； A与B之间的通讯都将先经过Hacker，然后由Hacker进行转发。因此Hacker可以捕获到所有A和B之间的数据传输。;Arp欺骗;防范嗅探攻击;6.3.4 欺骗类攻击;IP欺骗;IP欺骗攻击主要步骤;IP欺骗;IP欺骗攻击过程;DNS欺骗;DNS欺骗原理;伪造电子邮件;对于欺骗类攻击的防范方法;6.3.5 利用型攻击;僵尸病毒;缓冲区溢出;缓冲区;缓冲区溢出攻击原理——内存模型;函数调用时缓冲区模型;当实际输入局部变量的值长度超出缓冲区长度，而程序中又缺乏边界检查机制时，数据就会继续向栈底写入，导致栈中旧的数据被覆盖。 只要在程序