计算机网络安全与管理：第十一讲 网络攻击.pptVIP

病毒分类 由感染位置分类 引导区病毒 寄生病毒 宏病毒 由隐藏方式 隐形病毒：反病毒软件检测时隐藏 多形病毒：能够更改签名 变形病毒：迭代更改 宏病毒 自90年代中期很普遍 平台无关 感染文档而不是代码可执行部分 易于传播 Office的宏功能 嵌入doc的可执行代码 常用basic编写 新的后继版本增加了保护 很多防病毒软件也能识别 邮件病毒 更新的病毒 e.g. Melissa 利用附件中的宏 附件打开，宏激发 发邮件给所有列表中用户 本地破坏 反病毒 预防：很难实现 相对好的解决方法： 检测 标识 清除 当探测到但却不能识别或清除时应能丢弃，提代被感染程序 反病毒的进化 简单的扫描程序 不依赖专门的签名。采用： 启发式的规则； 完整性检查 是一些存储器驻留程序，通过病毒动作而不是通过其在被感染程序中的结构来识别 有不同联合适用的反病毒技术组成的反病毒包 类属解密Generic Decryption 通过GD扫描器来运行可执行程序 CPU模拟器：基于软件的虚拟计算机 病毒签名扫描器： 模拟控制模块：控制代码运行 每次模拟的开始执行目标代码的指令，病毒完成了暴漏自身。目标代码不产生实际破坏 困难在于一次运行多长时间 数字免疫系统 行为阻止软件 蠕虫 通过网络传播 email,远程exec, 远程 login 与病毒有相同的阶段: 睡眠,传播,触发, 执行 传播阶段: 寻找目标，连接，复制执行 伪装成系统软件 概念来自 Brunner’s “The Shockwave Rider” 实现于 Xerox Palo Alto labs in 1980’s Morris Worm 已知的最好病毒之一 Robert Morris 1988 多样的攻击 UNIX 系统 破解 password文件执行login/password 来logon 到其他系统 搜索 finger protocol漏洞 搜索 sendmail漏洞 如果成功获得远程Shell权限 发送引导程序拷贝病毒 最近的蠕虫攻击 Code Red July 2001 exploiting MS IIS bug 尝试随机ip地址 消耗网络容量 Code Red II 变种包括后门 SQL Slammer early 2003,攻击 MS SQL Server 非常紧凑传播快速 Mydoom mass-mailing e-mail worm that appeared in 2004 安装后门 蠕虫技术 multiplatform multi-exploit ultrafast spreading polymorphic metamorphic transport vehicles zero-day exploit 蠕虫对策 多次重叠使用反病毒机制 once worm on system A/V can detect 蠕虫导致一场网络行为 蠕虫防御包括 基于签名的蠕虫过滤 基于过滤器的蠕虫围堵 基于有效载荷分类的蠕虫防御 threshold random walk scan detection 速率限制 Proactive Worm Containment Network Based Worm Defense bots 在其它计算机上执行的程序 导致难以追踪的攻击 写作构成botsnet 特性: 远程控制 via IRC/HTTP etc 散布机制 attack software, vulnerability, scanning strategy Rootkit 获取管理权限的程序级 偷偷恶意更改目标系统 隐藏 暗中破坏文件，进程注册表等 有木马或入侵者安装 需要一系列的防御 计算机网络安全与管理第十一讲 网络攻击 本讲内容 恶意软件 本地攻击 口令攻击 拒绝服务 攻击 参看图2.1与图2.2，（见书）我们可以看到： 当系统未联网时若对财务系统进行攻击需要 设法进入财务室 设法获得机器口令 设法看到文件内容 当联网时对财务系统的攻击可以 通过内部网络设法进入财务室 通过互联网进入系统 计算机攻击者的基本步骤 侦查，了解目标相关信息 选择目标，使用合适的手段进行攻击入侵系统 擦除入侵痕迹 所需的基本知识 C，C++，汇编，Perl等语言 了解网络原理（特别是TCP/IP) 了解操作系统 对加密算法有所了解 本地攻击 攻击除了按照攻击手段可以分为主动被动还可依照攻击者身份分为本地攻击（内部攻击）与外部攻击 就是指内部人员，利用其有利条件，直接操