网络安全与防火墙技术9-黑客攻击与网络病毒课件.ppt

9 黑客攻击与网络病毒 9.1 黑客攻击与防护9.1.1 黑客入侵方法与一般步骤1）常用入侵方法 数据驱动攻击当有些表面看来无害的特殊程序，在被发送或复制到网络主机上并被执行时就发起攻击，从而发生数据驱动攻击。系统文件非法利用伪造信息攻击 通过发送伪造的路由信息，构造系统源主机和目标主机的虚假路径，从而使流向目标主机的数据包均经过攻击者的系统主机。这样就给攻击者提供敏感的信息和有用的密码。针对信息协议弱点攻击远端操纵 利用系统管理员失误攻击 重新发送攻击 对ICMP报文的攻击 针对源路径选项的弱点攻击 以太网广播攻击将以太网接口置为乱模式(Promiscuous)，截获局部范围的所有数据包，为攻击者所用。“跳跃式”攻击现在许多因特网上的站点使用UNIX操作系统。黑客们会设法先登录到一台UNIX的主机上，通过该操作系统的漏洞来取得系统特权，然后再以此为据点访问其余主机，这被称为“跳跃”(Islandhopping)。黑客们在达到目的主机之前往往会这样跳几次。窃取TCP协议连接 夺取系统控制权 2）网络攻击的一般步骤及实例 攻击的准备阶段 确定攻击的目的。信息收集。攻击的实施阶段 获得权限。权限的扩大。攻击的善后工作日志系统简介。5）在硬盘上删除木马 9.2 网络病毒与防护 9.2.1 计算机病毒的概念 Fred Cohen博士对计算机病毒的定义是：“病毒是一种靠修改其他程序来插入或进行自身拷贝，从而感染其他程序的一段程序。”这一定义作为标准已被普遍的接受。在中华人民共和国、计算机信息系统安全保护条例中的定义为：“计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”9.2.2 计算机病毒的特征 1）传染性病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒一旦进入计算机并得以执行，就会寻找符合感染条件的目标，将其感染，达到自我繁殖的目的。所谓“感染”，就是病毒将自身潜入到合法程序的指令序列中，致使执行合法程序的操作导致病毒程序的共同执行或以病毒程序的执行取而代之。2）隐蔽性病毒一般是具有很高编程技巧的，短小精悍的一段代码，隐藏在合法程序当中。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的，这是病毒程序的隐蔽性。3）潜伏性病毒进入系统之后一般不会马上发作，可以在几周或者几个月甚至几年内隐蔽在合法程序中，默默地进行传染扩散而不被发现，潜伏性越好，在系统中，存在时间就会越长，传染范围也就会越大。图9.1 计算机病毒程序结构 1）潜伏机制潜伏机制的功能包括初始化，隐蔽和捕捉。潜伏机制模块随着感染的宿主程序的执行进入内存，首先，初始化其运行环境，使病毒相对独立于宿主程序，为传染机制做好准备；然后，利用各种可能的隐藏方式，躲避各种检测，欺骗系统，将自己隐蔽起来；最后，不停地捕捉感染目标交给传染机制，不停地捕捉触发条件交给表现机制。3）表现机制表现机制的功能包括判断和表现。表现机制首先对触发条件进行判断，然后根据不同的条件决定什么时候表现、如何表现。表现内容多种多样，带来轻微或严重的破坏。表现机制反映了病毒设计者的意图，是病毒差异最大的部分。潜伏机制和传染机制是为表现机制服务的。9.2.4 企业网络感染和传播病毒方式和途径分析 1）传播途径和方式 病毒在传播的过程中，往往利用操作系统、应用系统的漏洞来进行攻击。2）病毒感染对象到目前为止，病毒主要感染和破坏的对象还是像DOS，Windows 3x/9X，Windows NT/2000/XP，OS/2，Machintosh，NOVELL等操作系统，对于UNIX操作系统，构不成任何破坏。虽然UNIX系统本身不会受病毒的影响，但是一些基于UNIX系统的应用会起到传播病毒的作用，如在UNIX平台下的邮件服务器，它会把带病毒的邮件转发到内部网络的客户端。9.2.5 企业网络防病毒解决方案考虑的几个因素 选择企业级网络防病毒解决方案时主要应考虑以下几个问题：提供一个多层次、全方位的防病毒体系。在这个防病毒体系中应该具有简易的、统一的、集中的、智能的和自动化的管理手段和管理工具。能够有效防范各种混合型的威胁。提供有效直观的管理机制。通过管理中心可以及时了解整个网络中客户端防病毒软件的安装使用情况。