module 1：系統安全概論.ppt

Module 7：作業系統安全 學習目的 本模組目的在於介紹作業系統的安全問題。此模組將介紹現今作業系統常見的安全問題，含作業系統常遭受的攻擊、特洛伊木馬、緩衝區溢位問題、電腦病毒、Windows作業系統弱點分析、Linux/Solaris/UNIX作業系統弱點介紹。目標是讓系統安全人員瞭解目前作業系統相關安全問題。 Module 7：作業系統安全 Module 7-1：作業系統會遭受的攻擊 Module 7-2：特洛伊木馬 Module 7-3：電腦病毒 Module 7-4：Windows作業系統弱點分析 Module 7-5：Linux/Solaris/UNIX作業系統弱點介紹 Module 7-1：作業系統會遭受的攻擊 Module 7-1：作業系統會遭受的攻擊 病毒 特洛伊木馬程式 蠕蟲 緩衝區溢位攻擊 駭客入侵 阻斷服務(DoS) 來自四面八方的威脅 作業系統會遭受到的攻擊 – 病毒 病毒的演化 第一代病毒：鎖定寄主程式 媒介：磁片 感染速度緩慢，由檔案一對一傳遞 第二代病毒：隱身網際網路 媒介：網際網路 感染速度快速，瞬間傳遍全球 第三代病毒：轟炸無線網路 媒介：無線網路 感染快速，但拘限於區域性 病毒的種類 開機型病毒 (Boot Strap Sector Virus) 檔案型病毒 (File Infector Virus) 複合型病毒 (Multi-Partite Virus) 隱型飛機式病毒 (Stealth Virus) 千面人病毒 (Polymorphic/Mutation Virus) 巨集病毒 (Macro Virus) 作業系統會遭受到的攻擊 – 特洛伊木馬 特洛伊木馬對作業系統的危害 佔用系統資源 竊取使用者資訊 控制系統進行跳板攻擊 特洛伊木馬未來的發展 利用木馬進行跳板攻擊 作業系統會遭受到的攻擊 – 蠕蟲 蠕蟲特性 獨立的個體 自我複製 傳播能力強 癱瘓作業系統與網路功能 破壞力強大 作業系統會遭受到的攻擊 – 緩衝區溢位 靜態緩衝區 緩衝區溢位的成因 使用者輸入大於緩衝區長度的資料 緩衝區溢位的特性 緩衝區溢位的問題存在於各系統中 容易被利用 威力強大 緩衝區溢位的影響 程式正常執行 緩衝區溢位 駭客入侵 – 取得系統控制權 暴力法猜測帳號密碼 字典攻擊法 作業系統漏洞 Windows：IIS Server Linux：snmp Linux：bind Unix/Linux：RPC程式漏洞 Unix/Linux：Sendmail與MIME的緩衝區溢位 … 阻斷服務(Denial of Service) (1/2) 透過網路阻斷目標系統的服務 攻擊方式有： UDP洪水型攻擊 TCP同步訊號洪水型攻擊 ICMP回應要求洪水型攻擊 Smurf攻擊 阻斷服務(Denial of Service) (2/2) 分散式阻斷服務 (1/2) (Distributed Denial of Service) 分散式阻斷服務 (2/2)(Distributed Denial of Service) 避免作業系統遭受攻擊 避免作業系統遭受攻擊 防火牆(Firewall) 防毒軟體 安全的認證機制 教育使用者良好的使用習慣 參考資料 陽正宏, 王志平, 防毒防駭防洩密, 金禾資訊股份有限公司 陳清芳, 電腦病毒紅皮書,趨勢科技 Joel Scambray, Stuart McClure, “Hacking Exposed Windows2000: Network Security Secrets Solutions,” Mc Graw Hill Module 7-2：特洛伊木馬 名稱由來 定義 攻擊原理 常見木馬 防範與解決方法 由來 特洛伊木馬：Trojan Horse 中譯 取自：希臘神話 - 特洛伊木馬記 隱藏危機 電腦術語借用其名，意思是「一經進入，後患無窮」 定義 遠端控制的駭客工具 隱蔽性和非授權性 本身不帶傷害性 沒有感染力 (不能稱之為病毒) 破壞力有可能比病毒還強大 攻擊原理 (1/2) 遠端控制原理： 硬體部份：建立木馬連接所必須的硬體實體 控制端：對服務端進行遠端控制的一方。 服務端：被控制端遠端程式控制的一方。 Internet：控制端對服務端進行遠端控制，資料傳輸管道。 軟體部分：實現遠端控制所必須的軟體程式 控制端程式：控制端用以遠端控制服務端的程式。 木馬程式：潛入服務端內部，獲取其操作權的程式。 木馬配置程式：設置木馬程式的埠號，觸發條件，木馬名稱等，使其在服務端藏得更隱蔽的程式。 攻擊原理 (2/2) 遠端控制原理： 具體連接部分：通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素。 控制端IP、服務端IP：即控制端、服務端的網路位址，也是