《密码学与信息安全技术 第6章 网络攻击.ppt》由会员分享,可在线阅读,更多相关《密码学与信息安全技术 第6章 网络攻击.ppt(42页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章第第6章章 网络攻击网络攻击 6.1 计算机网络的主要漏洞;计算机网络的主要漏洞;6.2 攻击的分类与实现攻击的分类与实现6.3 木马木马6.4计算机病毒计算机病毒6.5网络蠕虫网络蠕虫第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章6.1 计算机网络的主要漏洞计算机网络的主要漏洞在网络安全范畴内,在网络安全范畴内,“漏洞漏洞”指的是因设计不指的是因设计不周而导致的系统硬件、软件或策略方面存在周而导致的系统硬件、软件或策略方面存在的缺陷。正是由于这种缺陷的存在,导
2、致了的缺陷。正是由于这种缺陷的存在,导致了一些未经访问授权的非法用户获得了访问系一些未经访问授权的非法用户获得了访问系统的权限,或一些有一定权限的用户提升了统的权限,或一些有一定权限的用户提升了其访问权限。拥有了这些访问权限,非法用其访问权限。拥有了这些访问权限,非法用户可以进行一些操作,对系统安全造成威胁。户可以进行一些操作,对系统安全造成威胁。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章电磁泄漏是指电子设备的杂散(寄生)电磁能电磁泄漏是指电子设备的杂散(寄生)电磁能量通过导线或空间向外扩散。任何处于工作量通过导线或空间向外扩散。任何处于工作状态
3、的电磁信息设备,如:计算机、路由器、状态的电磁信息设备,如:计算机、路由器、交换机、电话机等,都存在不同程度的电磁交换机、电话机等,都存在不同程度的电磁泄漏。在满足一定条件的前提下,运用特定泄漏。在满足一定条件的前提下,运用特定的仪器均可以接收并还原这些信息。因此,的仪器均可以接收并还原这些信息。因此,这些泄漏就威胁到了信息安全。这些泄漏就威胁到了信息安全。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章IP地址欺骗地址欺骗IP欺骗就是攻击者假冒他人欺骗就是攻击者假冒他人IP地址,发送数据地址,发送数据包。因为包。因为IP协议不对数据包中的协议不对数据
4、包中的IP地址进行地址进行认证,任何人不经授权就可伪造认证,任何人不经授权就可伪造IP包的源地包的源地址。缺乏认证机制是址。缺乏认证机制是TCP/IP安全方面的最大安全方面的最大缺陷。由于缺乏认证,主机不能保证数据包缺陷。由于缺乏认证,主机不能保证数据包的真实来源,构成了的真实来源,构成了IP欺骗的基础。欺骗的基础。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章与与ICMP有关的攻击有有关的攻击有IP地址扫描、地址扫描、ping of death、ping flooding、smurf等。等。IP地址扫描:这种攻击经常出现在整个攻击过程的开始阶段,地
5、址扫描:这种攻击经常出现在整个攻击过程的开始阶段,作为攻击者收集信息的手段。利用作为攻击者收集信息的手段。利用ICMP的回应请求与应答的回应请求与应答报文,运用报文,运用ping这样的程序探测目标地址,对此作出响应的这样的程序探测目标地址,对此作出响应的表示其存在。表示其存在。ping of death:由于在早期的阶段,路由器对包的最大尺寸都:由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对有限制,许多操作系统对TCP/IP栈的实现在栈的实现在ICMP包上都是包上都是规定规定64KB,并且在对包的标题头进行读取之后,要根据该,并且在对包的标题头进行读取之后,要根据该标题头里包含
6、的信息来为有效载荷生成缓冲区。当产生畸形标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的,声称自己的尺寸超过的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸上限的包也就是加载的尺寸超过超过64K上限时,就会出现内存分配错误,导致上限时,就会出现内存分配错误,导致TCP/IP堆栈堆栈崩溃,致使接受方死机。崩溃,致使接受方死机。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章路由欺骗路由欺骗TCP/IP网络中,网络中,IP包的传输路径完全由路由表包的传输路径完全由路由表决定。若攻击者通过各种手段可以改变路由决定。若攻击者通过各种手段可以改变路由
7、表,使目标主机发送的表,使目标主机发送的IP包到达攻击者能控包到达攻击者能控制的主机或路由器,就可以完成侦听、篡改制的主机或路由器,就可以完成侦听、篡改等攻击方式。等攻击方式。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章电子邮件攻击电子邮件攻击电子邮件攻击主要是利用邮件地址是可以伪造的这一特点。攻电子邮件攻击主要是利用邮件地址是可以伪造的这一特点。攻击表现为两种方式:击表现为两种方式:(1)电子邮件炸弹。指的是用伪造的电子邮件地址向同一信箱电子邮件炸弹。指的是用伪造的电子邮件地址向同一信箱发送数以千计的内容相同或者不同的垃圾邮件,致使受害人发送数以
8、千计的内容相同或者不同的垃圾邮件,致使受害人邮箱的容量无法承受这些邮件,严重的可能会导致电子邮件邮箱的容量无法承受这些邮件,严重的可能会导致电子邮件服务器操作系统瘫痪。服务器操作系统瘫痪。(2)电子邮件欺骗。攻击者伪装为系统管理员(邮件地址和系电子邮件欺骗。攻击者伪装为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串),或者伪造一个友好的发件人地(口令可能为指定字符串),或者伪造一个友好的发件人地址,在看似正常的附件中加载病毒或其他木马程序。址,在看似正常的附件中加载病毒或其他木马程序。第一章第二
9、章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章6.2 攻击的分类与实现攻击的分类与实现攻击的方式有很多。人们思考问题的方法也各不相同,攻击的方式有很多。人们思考问题的方法也各不相同,所以攻击的分类有很多种。对攻击的分类有基于协所以攻击的分类有很多种。对攻击的分类有基于协议类型分类的,根据入侵的动机、攻击发生的方式、议类型分类的,根据入侵的动机、攻击发生的方式、每一种事件关键性的原理技术、攻击造成的影响、每一种事件关键性的原理技术、攻击造成的影响、以及针对攻击在不同系统下的分类等等。不过不管以及针对攻击在不同系统下的分类等等。不过不管采用哪种的分类方法,都要满足
10、完备性和适当性的采用哪种的分类方法,都要满足完备性和适当性的要求。就是说每一种分类要涵盖所有的已知攻击,要求。就是说每一种分类要涵盖所有的已知攻击,并且分类要为人们所接受。并且分类要为人们所接受。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章William Stallings提出了一个的基于行为的网提出了一个的基于行为的网络攻击分类方法。针对信息传输系统,他把络攻击分类方法。针对信息传输系统,他把安全威胁定义了四类攻击即中断安全威胁定义了四类攻击即中断(Interruption)、拦截()、拦截(Interception)、)、修改(修改(Modif
11、ication)、伪造)、伪造(Fabrication)。)。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章Cheswick和和Bellovin将攻击分为七类:将攻击分为七类:(1)窃取密码:获取用户密码的方法。)窃取密码:获取用户密码的方法。(1)社会工程()社会工程(Social engineering):通过采用欺骗的方):通过采用欺骗的方式,使被攻击者泄漏自己的秘密,导致被别人攻击。式,使被攻击者泄漏自己的秘密,导致被别人攻击。(3)蠕虫和后门:利用那些不规范系统或者那些版本具有危)蠕虫和后门:利用那些不规范系统或者那些版本具有危害性的软件取
12、代正版软件。害性的软件取代正版软件。(4)认证失效:攻破系统的认证机制。)认证失效:攻破系统的认证机制。(5)协议故障:协议本身设计不当造成的攻击。)协议故障:协议本身设计不当造成的攻击。(6)信息泄漏:利用)信息泄漏:利用finger或者或者DNS系统,是系统管理员获系统,是系统管理员获得信息的必要手段,这种正当的网络行为,却能够被攻击者得信息的必要手段,这种正当的网络行为,却能够被攻击者利用。利用。(7)拒绝服务攻击:就是阻止正常用户使用相关服务的行为。)拒绝服务攻击:就是阻止正常用户使用相关服务的行为。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第
13、八章按照攻击过程,将攻击分为三个步骤:按照攻击过程,将攻击分为三个步骤:(1)探测探测攻击者的探测步骤一般是:首先以正常的合法攻击者的探测步骤一般是:首先以正常的合法途径对攻击目标进行窥探,对其安全情况建途径对攻击目标进行窥探,对其安全情况建立完整的剖析图;然后攻击者通过扫描获取立完整的剖析图;然后攻击者通过扫描获取活动主机、开放服务、操作系统、安全漏洞活动主机、开放服务、操作系统、安全漏洞等关键信息;最后攻击者从目标系统中抽取等关键信息;最后攻击者从目标系统中抽取有效账号或导出资源名。有效账号或导出资源名。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第
14、八章(2)攻击攻击首先,攻击者可以建立模拟环境,进行模拟攻首先,攻击者可以建立模拟环境,进行模拟攻击,测试对方可能的反应。击,测试对方可能的反应。其次,攻击者可以利用适当的工具进行扫描。其次,攻击者可以利用适当的工具进行扫描。最后,攻击者实施攻击。最后,攻击者实施攻击。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章(3)隐藏隐藏隐藏技术主要包括日志清理、安装后门、内核隐藏技术主要包括日志清理、安装后门、内核套件等。攻击者为了防止自己的攻击行为发套件等。攻击者为了防止自己的攻击行为发现,在攻击之后要清除日志,毁掉入侵痕迹。现,在攻击之后要清除日志,毁掉
15、入侵痕迹。还可以在被攻破的系统上建立后门,以便在还可以在被攻破的系统上建立后门,以便在先前的攻击被发现后,还可以继续访问这个先前的攻击被发现后,还可以继续访问这个系统。系统。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章窃听技术窃听技术网络窃听是指通过非法的手段对系统活动进行监视,从而得到一些与系统网络窃听是指通过非法的手段对系统活动进行监视,从而得到一些与系统相关的安全信息。目前主要的窃听技术主要有:相关的安全信息。目前主要的窃听技术主要有:(1)键击记录器)键击记录器键击记录器是植入操作系统内核的隐蔽软件,通常实现为一个键盘设备驱键击记录器是植入
16、操作系统内核的隐蔽软件,通常实现为一个键盘设备驱动程序,能够把每次键击都记录下来,存放到攻击者指定的隐藏的本地动程序,能够把每次键击都记录下来,存放到攻击者指定的隐藏的本地文件中。文件中。(2)网络窃听)网络窃听网络窃听则是攻击者一旦在目标网络上获得一个立足点之后窃取网络情报网络窃听则是攻击者一旦在目标网络上获得一个立足点之后窃取网络情报的最有效方法,通过设置网卡的混杂模式获得网络上所有的数据包,并的最有效方法,通过设置网卡的混杂模式获得网络上所有的数据包,并从中抽取安全关键信息,如明文方式传输的口令。从中抽取安全关键信息,如明文方式传输的口令。(3)非法访问数据库)非法访问数据库非法访问数据
17、指攻击者或内部人员违反安全策略对其访问权限之外的数据非法访问数据指攻击者或内部人员违反安全策略对其访问权限之外的数据进行非法访问。进行非法访问。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章欺骗技术欺骗技术欺骗技术是攻击者通过冒充正常用户以获取对欺骗技术是攻击者通过冒充正常用户以获取对攻击目标访问权或获取关键信息的攻击方法,攻击目标访问权或获取关键信息的攻击方法,主要的攻击手法包括:获取口令、恶意代码、主要的攻击手法包括:获取口令、恶意代码、网络欺骗等。网络欺骗等。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第
18、八章攻击隐藏技术攻击隐藏技术攻击者在完成其攻击后(如获得攻击者在完成其攻击后(如获得root 权限),权限),通常会采取隐藏技术来消除攻击留下的痕迹,通常会采取隐藏技术来消除攻击留下的痕迹,避免被系统管理员发现,同时还会尽量保留避免被系统管理员发现,同时还会尽量保留隐蔽的通道,使其以后还能轻易的重新进入隐蔽的通道,使其以后还能轻易的重新进入目标系统。目标系统。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章6.3 木马木马计算机木马是一种恶意程序,它们在宿主机器上运行,计算机木马是一种恶意程序,它们在宿主机器上运行,在用户毫无察觉的情况下,让攻击者获得
19、了远程访在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。一般而言,大多数木马都具问和控制系统的权限。一般而言,大多数木马都具备一些商业远程控制软件(如备一些商业远程控制软件(如pcAnywhere、VNC等)的功能。木马有一些明显的特点,例如它的安等)的功能。木马有一些明显的特点,例如它的安装和运行都是在隐蔽的条件下完成的。攻击者经常装和运行都是在隐蔽的条件下完成的。攻击者经常把木马程序隐藏在一些游戏或小软件之中,诱使用把木马程序隐藏在一些游戏或小软件之中,诱使用户在自己的主机上运行。最常见的情况是,受骗用户在自己的主机上运行。最常见的情况是,受骗用户从一些网站下载和运行了捆绑
20、木马程序的软件,户从一些网站下载和运行了捆绑木马程序的软件,或者是执行了携带木马程序的邮件附件。或者是执行了携带木马程序的邮件附件。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章在在RFC 1244(站点安全手册)中对木马进行了(站点安全手册)中对木马进行了较为权威的定义:较为权威的定义:“计算机木马是具有某些计算机木马是具有某些有用功能或仅仅是有趣的程序,但它通常会有用功能或仅仅是有趣的程序,但它通常会做一些令人意想不到的事情,如在用户不知做一些令人意想不到的事情,如在用户不知情的情况下盗取口令或复制文件。情的情况下盗取口令或复制文件。”第一章第二
21、章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章根据木马的攻击方式不同,可将木马分为以下根据木马的攻击方式不同,可将木马分为以下几种:几种:1 远程控制木马远程控制木马远程控制木马是目前最广泛流行的木马。用户远程控制木马是目前最广泛流行的木马。用户一旦感染了此类木马,攻击者就可以实现远一旦感染了此类木马,攻击者就可以实现远程控制。程控制。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章2 密码窃取木马密码窃取木马自动搜索受控主机上各种机密的用户密码并把自动搜索受控主机上各种机密的用户密码并把它们发送到指定的信箱。它们发送
22、到指定的信箱。3 键盘记录木马键盘记录木马它们可以自动记录受害者的键盘敲击并且在各它们可以自动记录受害者的键盘敲击并且在各种日志文件中搜索密码。种日志文件中搜索密码。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章4 DoS攻击木马攻击木马当攻击者入侵了一台机器,并植入当攻击者入侵了一台机器,并植入DoS攻击木攻击木马之后,这台计算机就成为黑客向目标进行马之后,这台计算机就成为黑客向目标进行DoS攻击的工具。攻击的工具。5 代理木马代理木马黑客可以在受控主机上安装代理木马,让其变黑客可以在受控主机上安装代理木马,让其变成黑客发动攻击的跳板。成黑客发动攻
23、击的跳板。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章木马的植入技术木马的植入技术木马植入技术,主要是指木马利用各种途径进木马植入技术,主要是指木马利用各种途径进入目标主机的具体实现方法。目前常用的木入目标主机的具体实现方法。目前常用的木马植入技术主要分为:伪装欺骗、利用系统马植入技术主要分为:伪装欺骗、利用系统漏洞。其中,利用系统漏洞进行大规模自动漏洞。其中,利用系统漏洞进行大规模自动传播是木马植入技术的一个重要发展趋势。传播是木马植入技术的一个重要发展趋势。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八
24、章木马的加载技术木马的加载技术当木马成功植入目标机后,攻击者就必须确保当木马成功植入目标机后,攻击者就必须确保木马可以通过某种方式获得系统的控制权。木马可以通过某种方式获得系统的控制权。木马的加载技术是必不可少的,这样可以保木马的加载技术是必不可少的,这样可以保证木马不会因为用户的一次关机操作而丧失证木马不会因为用户的一次关机操作而丧失对受控主机的控制权限。对受控主机的控制权限。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章木马的反清除技术木马的反清除技术在和杀毒软件的对抗过程中,为了增强生存能在和杀毒软件的对抗过程中,为了增强生存能力,木马发展出了
25、反清除技术。主要的反清力,木马发展出了反清除技术。主要的反清除技术包括:主动攻击技术、多实例监控技除技术包括:主动攻击技术、多实例监控技术等。术等。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章木马隐藏技术木马隐藏技术为了提高自身的生存能力,木马会采用各种手为了提高自身的生存能力,木马会采用各种手段伪装隐藏以使被感染的系统表现正常。木段伪装隐藏以使被感染的系统表现正常。木马植入目标系统后,必然会以各种技术隐藏马植入目标系统后,必然会以各种技术隐藏行踪,避免被发现,尽可能延长生存期。行踪,避免被发现,尽可能延长生存期。第一章第二章第三章第四章第五章第六
26、章密码学与信息安全技术密码学与信息安全技术 第七章第八章木马的破解与预防木马的破解与预防木马的破解方法包括端口扫描与查看连接、检木马的破解方法包括端口扫描与查看连接、检查注册表、查找相关文件、使用杀病毒软件查注册表、查找相关文件、使用杀病毒软件等。等。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章6.4计算机病毒计算机病毒1983年,美国计算机安全专家年,美国计算机安全专家Frederick Cohen博士首次提出博士首次提出计算机病毒的存在,他认为:计算机病毒是一个能感染其他计算机病毒的存在,他认为:计算机病毒是一个能感染其他程序的的程序,它靠修改
27、其他程序,并把自身的拷贝嵌入其程序的的程序,它靠修改其他程序,并把自身的拷贝嵌入其他程序而实现病毒的感染。他程序而实现病毒的感染。1989年,美国计算机安全专家年,美国计算机安全专家Frederick Cohen博士给出了病博士给出了病毒的定义:毒的定义:“病毒程序通过修改其他程序的方法将自己的精病毒程序通过修改其他程序的方法将自己的精确拷贝或可能演化的形式放入其他程序中,从而感染它们确拷贝或可能演化的形式放入其他程序中,从而感染它们”。所谓感染,是指病毒将自身嵌入到指令序列中,致使执行合所谓感染,是指病毒将自身嵌入到指令序列中,致使执行合法程序的操作招致病毒程序的共同执行(或是以病毒程序的法
28、程序的操作招致病毒程序的共同执行(或是以病毒程序的执行取而代之)。执行取而代之)。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章1994年颁布的年颁布的中华人们共和国计算机安全保中华人们共和国计算机安全保护条例护条例给出的病毒的定义:给出的病毒的定义:“计算机病毒计算机病毒是指编制的、或者在计算机程序中插入的,是指编制的、或者在计算机程序中插入的,破坏计算机功能或数据、影响计算机使用,破坏计算机功能或数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代并能自我复制的一组计算机指令或者程序代码码”。第一章第二章第三章第四章第五章第六章密码学与信
29、息安全技术密码学与信息安全技术 第七章第八章计算机病毒是一段特殊的程序,它与生物学病毒有着计算机病毒是一段特殊的程序,它与生物学病毒有着十分相似的特性。除了与其他程序一样,可以存储十分相似的特性。除了与其他程序一样,可以存储和运行外,计算机病毒(简称病毒)还有感染性、和运行外,计算机病毒(简称病毒)还有感染性、潜伏性、可触发性、破坏性、衍生性等特征。它一潜伏性、可触发性、破坏性、衍生性等特征。它一般都隐蔽在合法程序(被感染的合法程序称作宿主般都隐蔽在合法程序(被感染的合法程序称作宿主程序)中,当计算机运行时,它与合法的程序争夺程序)中,当计算机运行时,它与合法的程序争夺系统的控制权,从而对计算
30、机系统实施干扰和破坏系统的控制权,从而对计算机系统实施干扰和破坏作用。作用。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章蠕虫是一个程序,它进入计算机网络,利用空闲的处蠕虫是一个程序,它进入计算机网络,利用空闲的处理器去测定网络中的计算机跨度。蠕虫程序由许多理器去测定网络中的计算机跨度。蠕虫程序由许多段构成,在其主段的控制下,蠕虫的某个段运行在段构成,在其主段的控制下,蠕虫的某个段运行在单独的计算机上。蠕虫典型的传播方式是依靠网络单独的计算机上。蠕虫典型的传播方式是依靠网络的漏洞,利用网络或电子邮件方式由一台计算机传的漏洞,利用网络或电子邮件方式由一
31、台计算机传播到另一台计算机,靠将自身向其他计算机提交来播到另一台计算机,靠将自身向其他计算机提交来实现再生,并不将自身寄生在另一个程序上即不需实现再生,并不将自身寄生在另一个程序上即不需要宿主对象。要宿主对象。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章在网络环境中,蠕虫具有如下特性:在网络环境中,蠕虫具有如下特性:(1)传染方式多:蠕虫入侵网络的主要途径是通过工作站传播到服务器硬)传染方式多:蠕虫入侵网络的主要途径是通过工作站传播到服务器硬盘中,在由服务器的共享目录传播到其他的工作站,但传染方式比较复盘中,在由服务器的共享目录传播到其他的工作站,
32、但传染方式比较复杂。杂。(2)传播速度快:蠕虫传染的速度非常快,扩散范围很大,不但能迅速传)传播速度快:蠕虫传染的速度非常快,扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远程工作站将蠕虫在一瞬间传播到千染局域网内所有计算机,还能通过远程工作站将蠕虫在一瞬间传播到千里之外。里之外。(3)清除难度大:在网络中只要有一台工作站未能杀毒干净就可以使整个)清除难度大:在网络中只要有一台工作站未能杀毒干净就可以使整个网络重新全部被病毒感染。网络重新全部被病毒感染。(4)破坏性强:网络中的蠕虫将直接影响网络的工作状态,轻则降低速度,)破坏性强:网络中的蠕虫将直接影响网络的工作状态,轻则降低速度,
33、影响工作效率,重则使网络系统瘫痪,破坏服务器系统资源。影响工作效率,重则使网络系统瘫痪,破坏服务器系统资源。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章一个计算机病毒从潜伏到发作,往往经历了如下几个阶段。一个计算机病毒从潜伏到发作,往往经历了如下几个阶段。(1)潜伏阶段。通常情况下,病毒是空闲的,需要通过某种事潜伏阶段。通常情况下,病毒是空闲的,需要通过某种事件激活。这种事件可以是一个日期、一个程序或文件的存在,件激活。这种事件可以是一个日期、一个程序或文件的存在,或磁盘的容量超过某个门限。或磁盘的容量超过某个门限。(2)繁殖阶段。计算机病毒将与自
34、身相同的副本植入其它程序,繁殖阶段。计算机病毒将与自身相同的副本植入其它程序,或存入磁盘的特定区域。某个受到感染的程序将继续其繁殖或存入磁盘的特定区域。某个受到感染的程序将继续其繁殖功能。功能。(3)触发阶段。计算机病毒被激活并进行它拟完成的功能。触触发阶段。计算机病毒被激活并进行它拟完成的功能。触发阶段可能被不同的系统事件所引发,包括该病毒实现自身发阶段可能被不同的系统事件所引发,包括该病毒实现自身繁殖次数的计数。繁殖次数的计数。(4)执行阶段。现代计算机病毒的程序开始运行。执行阶段。现代计算机病毒的程序开始运行。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术
35、第七章第八章第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章对待计算机病毒,首先应该是预防;如果病毒突破了对待计算机病毒,首先应该是预防;如果病毒突破了“防线防线”,则需检测病毒和清除病毒。总体而言,对计算机病毒的防,则需检测病毒和清除病毒。总体而言,对计算机病毒的防治可分成三个方面,:治可分成三个方面,:(1)预防:在病毒感染系统之前阻止病毒进入系统。预防技)预防:在病毒感染系统之前阻止病毒进入系统。预防技术主要是根据病毒程序的特征对病毒进行分类处理,而后在术主要是根据病毒程序的特征对病毒进行分类处理,而后在程序运行中犯有类似特征的出现的就被认为是计
36、算机病毒,程序运行中犯有类似特征的出现的就被认为是计算机病毒,从而阻止病毒的进入,以达到保护系统的目的。从而阻止病毒的进入,以达到保护系统的目的。(2)检测:在病毒感染系统之后,及时断定病毒的存在并对)检测:在病毒感染系统之后,及时断定病毒的存在并对其进行定位。病毒的检测是指通过一定的技术手段判断出计其进行定位。病毒的检测是指通过一定的技术手段判断出计算机病毒。算机病毒。(3)清除:在确定病毒的类型后,从受感染文件中删除所有)清除:在确定病毒的类型后,从受感染文件中删除所有的病毒并恢复程序的正常状态。清除病毒的目的是防止它进的病毒并恢复程序的正常状态。清除病毒的目的是防止它进一步传染。一步传染
37、。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章6.5网络蠕虫网络蠕虫蠕虫这个生物学名词在蠕虫这个生物学名词在1982年由年由Xerox PARC的的John F.Shoch等人最早引入计算机领域,等人最早引入计算机领域,并给出了计算机蠕虫的两个最基本特征:其并给出了计算机蠕虫的两个最基本特征:其一是一是“可以从一台计算机移动到另一台计算可以从一台计算机移动到另一台计算机机”,其二是,其二是“可以自我复制可以自我复制”。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章蠕虫和传统病毒都具有一些相同的特征,如:蠕
38、虫和传统病毒都具有一些相同的特征,如:传染性和复制功能。这两个主要特性导致了传染性和复制功能。这两个主要特性导致了二者之间不易区分。近年来,一方面,越来二者之间不易区分。近年来,一方面,越来越多的传统病毒采取了部分蠕虫的技术,另越多的传统病毒采取了部分蠕虫的技术,另一方面,具有破坏性的蠕虫也采取了部分传一方面,具有破坏性的蠕虫也采取了部分传统病毒的技术,更加剧了蠕虫与传统病毒不统病毒的技术,更加剧了蠕虫与传统病毒不易区分的情况。下表给出了传统病毒和蠕虫易区分的情况。下表给出了传统病毒和蠕虫的一些差别:的一些差别:第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七
39、章第八章第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章蠕虫的功能结构分为三大类:蠕虫传播模块、蠕虫的功能结构分为三大类:蠕虫传播模块、实体隐藏模块、目的功能模块。蠕虫传播模实体隐藏模块、目的功能模块。蠕虫传播模块与目的功能模块又分别由不同的模块构成,块与目的功能模块又分别由不同的模块构成,整体结构如下图所示:整体结构如下图所示:第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章蠕虫的工作机制如下图所示。可以看出,网络蠕虫的
40、工作机制如下图所示。可以看出,网络蠕虫的攻击行为可以分为蠕虫的攻击行为可以分为4个阶段:信息收集、个阶段:信息收集、扫描探测、攻击渗透和自我推进。信息收集扫描探测、攻击渗透和自我推进。信息收集主要完成对本地和目标节点主机的信息汇集;主要完成对本地和目标节点主机的信息汇集;扫描探测主要完成对具体目标主机服务漏洞扫描探测主要完成对具体目标主机服务漏洞的检测;攻击渗透利用已发现的服务漏洞实的检测;攻击渗透利用已发现的服务漏洞实施攻击;自我推进完成对目标节点的感染。施攻击;自我推进完成对目标节点的感染。第一章第二章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章第一章第二
41、章第三章第四章第五章第六章密码学与信息安全技术密码学与信息安全技术 第七章第八章对蠕虫的防范,可以考虑采用如下手段。对蠕虫的防范,可以考虑采用如下手段。预防:蠕虫的攻击都是利用系统的漏洞来实施的。经预防:蠕虫的攻击都是利用系统的漏洞来实施的。经常下载漏洞的补丁程序,升级系统。安装防火墙、常下载漏洞的补丁程序,升级系统。安装防火墙、入侵检测系统等,这些方法都能够起到预防蠕虫攻入侵检测系统等,这些方法都能够起到预防蠕虫攻击的效果。击的效果。检测:使用一些网络监测软件,观察网络流量是否异检测:使用一些网络监测软件,观察网络流量是否异常、常、TCP连结是否异常等。这样做的目的是能够在连结是否异常等。这样做的目的是能够在蠕虫在启动的初期发现它们。蠕虫在启动的初期发现它们。阻止与清除:在蠕虫传播期,使用各种手段阻止其传阻止与清除:在蠕虫传播期,使用各种手段阻止其传播。使用一些杀毒软件清楚蠕虫。播。使用一些杀毒软件清楚蠕虫。
黑公网安备:91230400333293403D