第5章网络安全技术(3).pptVIP

第5章　网络安全技术 5.10 传统计算机病毒 5.11 蠕虫病毒 5.12 特洛伊木马 5.13 网页病毒、网页挂木马 5.14 VPN技术 5.15 实例——httptunnel技术 5.16 实例——蜜罐技术 5.17 无线网络安全配置 5.10 计算机传统病毒 计算机病毒的定义 计算机病毒是一组计算机指令或者程序代码，能自我复制，通常嵌入在计算机程序中，能够破坏计算机功能或者毁坏数据，影响计算机的使用。 计算机病毒也是计算机程序，有着与生物病毒相似的特性，病毒驻留在受感染的计算机内，并不断传播和感染可连接的系统，在满足触发条件时，病毒发作，破坏正常的系统工作，强占系统资源，甚至损坏系统数据。 病毒不但具有普通程序存储和运行的特点，还具有传染性、潜伏性、可触发性、破坏性、针对性、隐蔽性和衍生性等特征。 5.10 计算机传统病毒 传统计算机病毒的分类 按计算机病毒攻击的系统分类 按计算机病毒的寄生方式分类 按计算机病毒的破坏情况分类 按计算机病毒激活的时间分类 按传播媒介分类 5.10 计算机传统病毒 传统计算机病毒传染的前提条件 计算机病毒传染的前提条件是：计算机系统的运行、磁盘的读写。 计算机系统运行为病毒驻留内存创造了条件，病毒传染的第一步是驻留内存，然后寻找传染机会，寻找可攻击的对象，判断条件是否满足，如果满足则进行传染，将病毒写入磁盘系统。 计算机病毒的结构 引导部分 病毒的初始化部分，它的作用就是将病毒主体加载到内存，为传染部分做准备。另外，引导部分还可以根据特定的计算机系统，将分别存放的病毒程序链接在一起，重新进行装配，形成新的病毒程序，破坏计算机系统。 传染部分 将病毒代码复制到传染目标上去。 表现部分 这部分是病毒间差异最大的一部分，是病毒的核心，前两个部分也为此部分服务。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。 引导型病毒的工作原理: 加载过程 传染过程 破坏过程 文件型病毒的工作原理: 加载过程 传染过程 发作过程 举例说明 5.10 计算机传统病毒 目前反病毒的成熟技术 目前反病毒的成熟技术是“特征码查杀” 工作流程是：截获病毒、分析病毒并且提取特征码、升级病毒库。 随着新病毒的快速出现，使得这种被动式的杀毒技术总是落后于新病毒的产生。 5.11 蠕虫病毒 1．蠕虫病毒的基本概念 蠕虫是计算机病毒的一种，是利用计算机网络和安全漏洞来复制自身的一小段代码，将自身复制到计算机中，然后又从新的位置开始进行复制。 注意：蠕虫在自我复制的时候将会耗尽计算机的处理器时间以及网络的带宽，并且他们通常还有一些恶意目的，蠕虫的超大规模爆发能使网络逐渐陷于瘫痪状态。 5.11 蠕虫病毒 2．网络蠕虫和病毒的区别 蠕虫与病毒的最大不同在于它在没有人为干预的情况下不断地进行自我复制和传播。 3．蠕虫的工作流程 分为漏洞扫描、攻击、传染、现场处理4个阶段 4．蠕虫的行为特征 5．蠕虫的危害 占用大量带宽，造成网络拥塞，进而使网络瘫痪。 网络上存在漏洞的主机被扫描到以后，会被迅速感染，可能造成管理员权限被窃取。 5.11 蠕虫病毒 6．蠕虫病毒的一般防治方法 使用具有实时监控功能的杀毒软件，不要轻易打开不熟悉电子邮件的附件等 7．“冲击波”蠕虫病毒的清除 “冲击波”是一种利用Windows系统的RPC（远程过程调用）漏洞进行传播、随机发作、破坏力强的蠕虫病毒。 “冲击波”中毒症状 “冲击波”蠕虫病毒的清除 5.12 特洛伊木马 在计算机领域，特洛伊木马只是一个程序，一般是指利用系统漏洞或通过欺骗手段被植入到远程用户的计算机系统中的，通过修改启动项或捆绑进程方式自动运行，并且具有控制该目标系统或进行信息窃取等功能。 5.12 特洛伊木马 特洛伊木马不会自动进行自我复制。 特洛伊木马实质上只是一种远程管理工具，本身没有伤害性和感染性，因此不能称之为病毒。 特洛伊木马包括两个部分 （1）被控端(服务端) （2）控制端 植入被种者电脑的是“服务端”部分，而所谓的“黑客”正是利用“控制端”进入运行了“服务端”的电脑。运行了木马程序的“服务端”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了 5.12 特洛伊木马 特伊洛木马的类型: （1）正向连接木马。 正向连接木马是在中木马者的机器上开个端口，黑客去连接这个端口，前提条件是要知道中木马者的IP地址。 正向连接木马的使用困难原因如下： ① 宽带上网。每次上网的IP地址不同（DHCP）。 ② 路由器。 （2）反向连接木马。 反向连接木马让中木马者来连接黑客，不管中木马者的IP地址如何改变，都能够被控制。 5