(精品)办公自动化-计算机网络安全.ppt

《(精品)办公自动化-计算机网络安全.ppt》由会员分享，可在线阅读，更多相关《(精品)办公自动化-计算机网络安全.ppt（108页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第9章章 计算机网络安全计算机网络安全9.1 计算机网络安全概述9.1.1安全基础知识v计算机网络安全的基本要素机密性：网络信息不泄露给未授权用户。完整性：收到的数据与发送的数据应相同，且仅被授权者才能修改数据。可用性：被授权者在需要时可以访问相应数据，但不能占用所有资源阻碍授权者的正常工作。可控性：可以控制被授权者使用的所有资源。可审查性：对网络中的用户和其他实体进行审查和监控，当出现安全问题是可以提供调查依据和手段。计算机网络安全策略计算机网络安全策略法律：法律和法规手段是基础技术：高技术管理是根本保障管理：加强内部管理、建立设计和跟踪体系。主要的网络安全问题 v1计算机系统安全 v计算

2、机作为一种信息社会中不可缺少的资源和财产应当给予保护，以防止由于窃贼、侵入者和其他各种原因造成的损失。如何保护好计算机系统、设备以及数据的安全是一项长期艰巨的任务。v由于计算机和信息产业的快速成长以及对网络和全球通信的日益重视，计算机安全正变得更为重要。然而，计算机的安全一般来说是较为脆弱的，不管是一个诡计多端的黑客还是一群聪明的学生，或者是一个不满的雇员所造成的对计算机安全的损害带来的损失往往是巨大的，影响是严重的。v计算机系统安全的主要目标是保护计算机资源免受毁坏、替换、盗窃和丢失。这些计算机资源包括计算机设备、存储介质、软件、计算机输出材料和数据。v2数据库系统安全 v数据库安全性是指数

3、据库的任何部分都不允许受到恶意侵害，或未经授权的存取与修改。数据库是网络系统的核心部分，有价值的数据资源都存放在其中，这些共享的数据资源既要面对必需的可用性需求，又要面对被篡改、损坏和被窃取的威胁。v通常，数据库的破坏来自下列四个方面：系统故障；并发所引起的数据不一致；转入或更新数据库的数据有错误，更新事务时未遵守保持数据库一致的原则；人为的破坏，例如数据被非法访问，甚至被篡改或破坏。v3计算机病毒的防治 v计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随着病毒出现和更新速度越来越快，形势变得愈加严峻。目前，几千种不同的病毒无时不对计算机和网络的安全构成威胁。因此，了解和控制病毒

4、威胁的需要显得格外的重要，任何有关网络数据完整性和安全性的讨论都应考虑到病毒。v计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中，能够进行自身复制并将其插入其他的程序中，执行恶意的行动。v检测的原理主要是基于下列四种方法：将被检测对象与原始备份进行对照所使用的比较法、利用病毒特征代码串的搜索法、病毒体内特定位置的特征字识别法以及运用反汇编技术分析被检测对象，确认是否为病毒的分析法。v4网络站点的安全 v影响网络站点安全的主要因素包括：v（1）认证环节薄弱性。Internet的许多事故的起源是因为使用了薄弱的、静态的口令。

5、v（2）系统易被监视性。当用户使用Telnet或文件传输协议（File Transfer Protocol，简称FTP）连接到远程主机上的账户时，在Internet上传输的口令是没有加密的。v（3）易被欺骗性。主机的IP地址被假定为是可用的，TCP和UDP服务相信这个地址。问题在于，如果攻击者的主机冒充一个被信任的主机或客户就危险了。v（4）有缺陷的局域网服务。一些数据库（例如口令文件）以分布式管理，允许系统共享文件和数据。但这些服务带来了不安全因素，可以被有经验的闯入者利用以获得访问权。v（5）复杂的设备和控制。对主机系统的访问控制配置通常很复杂而且难以验证其正确性。因此，偶然的配置错误会使

6、闯入者获取访问权。v（6）主机的安全性无法估计。主机系统的安全性无法很好地估计，随着每个站点主机数量的增加，确保每台主机的安全性都处于高水平的能力却在下降。v计算机网络安全威胁信息泄漏与丢失$重要和敏感数据泄漏丢失（泄漏：黑客、网络侦听、卫星和手机等无线设备传输截留、内嵌芯片窃听和传输；外因造成丢失）非授权访问$冒用合法身份访问资源、强行非授权访问资源拒绝服务攻击$连续不断对服务器干扰，执行无关程序，造成网络瘫痪破坏数据完整性$对数据库恶意添加、删除和修改数据利用网络传播不良信息$众所周知（近期公安部严打手机传播不良信息）v计算机安全技术防火墙加密数字签名审核监督病毒防治vCookies网站服

7、务器将少量数据保存到本地机硬盘，它可以记载用户的ID和密码，较快地登陆网络（跳过ID和PassWord）查看Cookies。C:/document and settings/用户名/CookiesCookies设置$IE/工具/Internet选项/隐私。调整安全级别即可相应调整Cookies设置$通过“Internet选项/设置”可以设置和查看Cookies文件1防火墙 防防火火墙墙是是指指设设置置在在不不同同网网络络或或网网络络安安全全域域之之间间的的一一系系列列部部件件的的组组合合。它它是是不不同同网网络络或或网网络络安安全全域域之之间间信信息息的的唯唯一一出出入入口口，能能根根据据系系

8、统统的的安安全全政政策策控控制制出出入入网网络络的的信信息息流流，且且本本身身具具有有较较强强的的抗抗攻攻击击能能力力。它它是是提提供供信信息息安安全全服服务务，实实现现网网络络和和信信息息安安全的基础全的基础设施。设施。9.3.1 防火墙防火墙防火墙主要包括五部分：安全操作系统；过滤器；网关；域名服务；E-mail处理(如图所示)。有的防火墙可能在网关两侧设置两个内、外过滤器。外过滤器保护网关不受攻击，网关提供中继服务，辅助过滤器控制业务流，而内过滤器在网关被攻破后提供对内部网络的保护。2防火墙防火墙的功能的功能（1）对出入网络的访问行为进行管理和控制（2）过滤出入网络的数据，强化安全策略（

9、3）对网络存取和访问进行监控审计（4）对不安全的服务进行限制或者拦截，防止内部信息的外泄 (1)网络级防火墙网络级防火墙 网网络络级级防防火火墙墙又又称称为为包包过过滤滤防防火火墙墙，一一般般是是基基于于源源地地址址和和目目的的地地址址、应应用用或或协协议议以以及及每每个个IP包包的的端端口口来来做做出出网网络络包包通通过过与与否的判断。否的判断。(2)应用级网关应用级网关 应应用用级级网网关关就就是是常常说说的的“代代理理服服务务器器”，它它能能够够检检查查进进出出的的数数据据包包，通通过过网网关关复复制制传传递递数数据据，防防止止在在受受信信任任服服务务器器和和客客户户机与不受信任的主机间

10、直接建立联系。机与不受信任的主机间直接建立联系。3防火墙的分类防火墙的分类 1包过滤原理 包包过过滤滤在在IPIP层层实实现现，由由路路由由器器来来完完成成，它它根根据据包包(报报文文)的的源源IPIP地地址址、目目的的IPIP地地址址、协协议议类类型型(TCP(TCP包包、UDPUDP包包、ICMPICMP包包)、源源端端口口、目目的的端端口口及及包包传传递递方方向向等等包包头头信信息息来来判断是否允许包通过，并形成一套包过滤判断是否允许包通过，并形成一套包过滤规则。规则。9.3.2 防火墙的工作原理防火墙的工作原理包过滤是在网络层中对数据包实施有选择的通过，依据系统事先设定好的过滤逻辑，检

11、查数据流中的每个数据包，根据数据包的源地址、目标地址以及数据包所使用的端口，确定是否允许该类数据包通过。在互联网这样的信息包交换网络上，所有往来的信息都被分割成许许多多一定长度的信息包，包中包括发送者的IP地址和接收者的IP地址。当这些包被送上互联网时，路由器会读取接收者的IP，并选择一条物理线路发送出去，信息包可能以不同的路线抵达目的地，当所有的包抵达后，会在目的地重新组装还原。包过滤式的防火墙会检查所有通过信息包里的IP地址，并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话，从这个地址而来的所有信息都会被防火墙屏蔽掉。过滤数据包的类型过滤数据包的类型 v（1）I

12、CMP消息：网络层的IP控制和状态消息，它的包头包含了源IP地址、目的IP地址、ICMP协议标识符和ICMP消息类型。v（2）UDP消息：UDP是一个无状态不可靠的传输发送协议。它的包头包含了源IP地址、目的IP地址、UDP协议类型以及源和目的服务端口号。v（3）TCP消息：TCP是一种面向连接的可靠的传输发送协议，它的包头包含了源IP地址、目的IP地址、TCP协议消息类型、源和目的服务端口、序列号和应答号以及用来产生和维护可靠连接的控制标志。v这类防火墙的缺点是不能对数据内容进行控制；很难准确地设置包过滤器，缺乏用户级的授权；数据包的源地址、目的地址以及IP端口号都在数据包的头部，很有可能被

13、冒充或窃取，而非法访问一旦突破防火墙，即可对主机上的系统和配置进行攻击；可能还有其他方法绕过防火墙进入网络，例如拨入连接。但这个并不是防火墙自身的缺点，而是不应该在网络安全上单纯依赖防火墙的原因。(1)(1)应用代理服务器应用代理服务器 应用代理服务器在网络应用层提供授权检查及代理服务。应用代理服务器在网络应用层提供授权检查及代理服务。(2)(2)回路级代理服务器回路级代理服务器回路层代理是建立在传输层上的一种代理方法。通常在建立连接之前，由代理服务器先检查连接会话请求，再建立连接，并一直监控连接状态。当连接打开时，回路层代理会将IP包在用户应用程序和Internet服务之间进行转发。如果符合

14、安全规则，则正常转发；否则，IP包数据不得通过 2网关原理网关原理代理技术与包过滤技术完全不同，包过滤技术是在网络层拦截所有的信息流，代理技术是针对每一个特定应用都有一个程序。代理是企图在应用层实现防火墙的功能。代理的主要特点是有状态性。代理能提供部分与传输有关的状态，能完全提供与应用相关的状态和部分传输方面的信息，代理也能自理和管理信息。应用代理防火墙的缺点主要体现在：应用代理防火墙的缺点主要体现在：v（1）代理速度比包过滤防火墙慢v（2）代理对用户不透明。v（3）对于每项服务代理可能要求不同的服务器。v（4）明显的性能下降。v（5）代理不能改进底层协议的安全性1屏蔽路由器 这这是是防防火火

15、墙墙最最基基本本的的构构件件。屏屏蔽蔽路路由由器器作作为为内内外外连连接接的的唯唯一一通通道道，要要求求所所有有的的报报文文都都必须在此通过必须在此通过检查。检查。2双穴主机网关 用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网用一台装有两块网卡的堡垒主机做防火墙。两块网卡各自与受保护网和外部网相连。相连。3参数子网 在在内内部部网网络络和和外外部部网网络络之之间间建建立立一一个个被被隔隔离离的的子子网网，用用两两台台分分组组过过滤滤路路由由器器将将这这一一子子网分别与内部网络和外部网络分开网分别与内部网络和外部网络分开。9.3.3 防火墙的体系结构 加密技术加密技术v数据

16、加密的基本概念v明文变为密文的过程称为加密，由密文还原为明文的过程称为解密，加密和解密的规则称为密码算法。v我们用M、C分别表示明文、密文，用K1、K2表示加、解密密钥，加、解密算法分别用E、D来代表。于是加密/解密过程可以表示如下：v加密是通过特定的算法把可读或可处理的信息转换为不可读加密是通过特定的算法把可读或可处理的信息转换为不可读信息的技术。加密技术可以有效的保护存储在存储媒体上或信息的技术。加密技术可以有效的保护存储在存储媒体上或在不可信通讯路线上传输的敏感数据，同时，它也可以保护在不可信通讯路线上传输的敏感数据，同时，它也可以保护敏感数据不被未经授权者访问。当然，任何技术都有其局限

17、敏感数据不被未经授权者访问。当然，任何技术都有其局限性，加密技术也一样，只要有足够时间、足够资源和充分决性，加密技术也一样，只要有足够时间、足够资源和充分决心，攻击者可以破解大部分的加密算法，还原出加密过的信心，攻击者可以破解大部分的加密算法，还原出加密过的信息。因此，我们应该认识到，要使加密过的信息不可破解是息。因此，我们应该认识到，要使加密过的信息不可破解是不现实的，使用加密技术是为了使破解加密信息所需的资源不现实的，使用加密技术是为了使破解加密信息所需的资源和时效性远远超过被加密信息本身的价值。和时效性远远超过被加密信息本身的价值。加密系统常用的加密算法：加密系统常用的加密算法：v常见的

18、加密算法可以分成三类，对称加密算法，非对称加密算法和Hash算法v对称加密，对称加密，指加密和解密使用相同密钥的加密算法。对称加密算法的优点在于加解密的高速度和使用长密钥时的难破解性。假设两个用户需要使用对称加密方法加密然后交换数据，则用户最少需要2个密钥并交换使用，如果企业内用户有n个，则整个企业共需要n(n-1)个密钥，密钥的生成和分发将成为企业信息部门的恶梦。v对称加密算法的安全性取决于加密密钥的保存情况，但要求企业中每一个持有密钥的人都保守秘密是不可能的，他们通常会有意无意的把密钥泄漏出去如果一个用户使用的密钥被入侵者所获得，入侵者便可以读取该用户密钥加密的所有文档，如果整个企业共用一

19、个加密密钥，那整个企业文档的保密性便无从谈起。v 常见的对称加密算法有DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AESv非对称加密，非对称加密，指加密和解密使用不同密钥的加密算法，也称为公私钥加密。假设两个用户要加密交换数据，双方交换公钥，使用时一方用对方的公钥加密，另一方即可用自己的私钥解密。如果企业中有n个用户，企业需要生成n对密钥，并分发n个公钥。由于公钥是可以公开的，用户只要保管好自己的私钥即可，因此加密密钥的分发将变得十分简单。同时，由于每个用户的私钥是唯一的，其他用户除了可以可以通过信息发送者的公钥来验证信息的来源是否真实，还可以确保发送者无法否认曾发送

20、过该信息。非对称加密的缺点是加解密速度要远远慢于对称加密，在某些极端情况下，甚至能比对称加密慢上1000倍。v 常见的非对称加密算法有：RSA、ECC（移动设备用）、Diffie-Hellman、El Gamal、DSA（数字签名用）vHash算法。算法。vHash算法特别的地方在于它是一种单向算法，用户可以通过Hash算法对目标信息生成一段特定长度的唯一的Hash值，却不能通过这个Hash值重新获得目标信息。因此Hash算法常用在不可还原的密码存储、信息完整性校验等。v 常见的Hash算法有MD2、MD4、MD5、HAVAL、SHA 加密系统在企业中有三个基本的部署方向加密系统在企业中有三个

21、基本的部署方向分别是存储、传输和认证。分别是存储、传输和认证。v存储方面，加密系统的主要作用是通过加密来保证敏感数据不被未授权者访问和通过Hash算法保证数据的完整性，加密常用的算法是3DES/Blowfish/AES，在操作的数据量比较小时，也常常采用RSA等分对称加密算法，校验常用的算法是MD5。v目前市场上常见的产品包括软件实现的对特定目标（文件、文件夹、数据库等）和全盘加密，如商业的PGP、开源的TrueCrypt、GPG等，及集成加密芯片的加密存储设备，如Seagate等厂商的产品。传输传输v加密系统的主要作用是保证用户传输的数据在非可信传输渠道传输时不受攻击者的威胁，并保证传输数据

22、的完整性和真实性。v应用在这方面的加密系统比用在存储方面的更复杂一些，还需要考虑密钥的分发问题，所以传输方面的加密系统的一种常见形式是同时使用对称加密和非对称加密算法，先通过非对称加密来加密分发对称加密的密钥，再用对称加密的方法来保证数据处理和传输的速度。v在传输方面的加密系统还按连接加密的网络层次分为连接加密连接加密和端对端端对端加密加密，连接加密会把特定数据连接的所有数据进行加密，通常用在有较高安全级别的通讯中，端对端加密则只加密数据本身，包括路由信息等网络数据并不进行加密v加密系统包括软件实现的各种加密隧道如SSH、IPsec、VPN等v应用级别的端对端加密如PGP、HTTPS、SMIM

23、E、PEM等v硬件方面则有各种带VPN功能的防火墙、带加密功能的网卡等。v认证方面，加密系统的主要作用是确认信息发送者的身份、校验收到信息的完整性以及提供不可否认性。这些功能的实现依赖于非对称加密和Hash算法的结合使用，以公钥对比对方私钥的签名来确认信息发送者的身份，用Hash算法对信息进行校验。v目前认证方面的加密系统以软件实现为主，如各种PKI、PGP、GPG等，少量的加密系统实现中还使用写入私钥或安全证书的智能卡、闪存等来增加加密系统的安全性。数字签名的工作原理如图所示，其基本过程是：数字签名的工作原理如图所示，其基本过程是：v（1）发送方通过对原始消息进行散列运算，生成一个消息摘要A

24、。v（2）发送方使用自己的私钥对原始数据的消息摘要进行加密，得到数字签名，并将这个签名与原始信息一起传送给接收方。v（3）接收方首先从接收到的原始消息中计算出的消息摘要B。v（4）接收方使用发送方的公钥对数字签名解密后得到消息摘要A，然后将其与自己计算出来的消息摘要B进行对比，如果两者相同，表示信息确实是该发送方发出的，而且在传输中未被修改，以此来确认原始信息在传输过程中是否发生变化。v数字签名与书面签名有相同之处。它们都可以确认信息是否由签名者发送的，且能够判定信息在传输过程中是否做过任何修改。它们的区别在于：书面签名是模拟的，且因人而异；数字签名是不仅与签名者的私钥有关，而且与报文的内容有

25、关，它是0和1的字符串，因消息而异，不能将签名者对一份报文的签名复制到另一份报文上。这样，数字签名既可以用来防止待传输信息因易于修改而被未授权第三方随意处理，又可以杜绝假冒他人身份发送信息。v数字签名与消息认证的共同点包括：都能使收方验证消息发送方及所发消息内容的完整性。当收发双方之间无争议时，都能防止无关第三方对机密信息的破坏。它们的区别在于：当收发双方之间发生纠纷时，单纯用消息认证技术无法解决，必须借助于数字签名技术。公钥基础设施 v在网络通信中，为保证传送信息和交互活动的真实可靠，需要有一种机制来验证参与各方身份的合法性。同时，对于数字签名和非对称密钥加密技术来说，面临着公开密钥的分发问

26、题，v公钥基础设施（Public Key Infrastructure，简称PKI）可以有效地解决这个问题，它通过对数字证书的使用和管理，来提供全面的公钥加密和数字签名服务。通过PKI，可以将公钥与合法拥有者的身份绑定起来，从而建立并维护一个可信的网络环境，并在不同的应用中使用加密和签名服务。PKI的基本组成 vPKI的主要用途是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便地使用加密和数字签名技术，从而保证网上数据的机密性、完整性和不可否认性。v一个完整的PKI系统的组成如图所示，它应当具备权威认证中心、数字证书库、密钥备份和恢复系统、证书撤销系统

27、和应用程序接口（Application Programming Interface，简称API）系统等基本构成部分，构建PKI也将围绕着这五大系统来着手构建。认证中心（认证中心（CA）v也称证书中心.它是PKI的核心，也是PKI的信任基础。它承担着网上安全交易认证服务，能签发数字证书，并能确认用户身份。认证中心通常是企业性的服务机构，它提供公钥加密和数字签名服务的平台，采用PKI框架管理密钥和证书。v任何想发放自己公钥的用户，可以去认证中心申请自己的证书。数字证书如同现实生活中的身份证一样，可以在网络环境中确认组织或个人的身份。认证中心在验证用户的真实身份后，颁发包含用户公钥的数字证书，它包含

28、用户的真实身份，并证实用户公钥的有效期和作用范围（用于交换密钥还是数字签名）。其他用户只要能验证证书是真实的，并且信任颁发证书的CA，就可以确认用户的公钥，实现合法用户的身份认证。2数字证书库数字证书库v数字证书库是开放网络上的一种分布式公共信息库，用于存放和检索认证中心已签发的数字证书和CRL。用户可由此获得其他用户的证书和公钥。构造数字证书库可采用支持轻量级目录访问协议（Lightweight Directory Access Protocol，简称LDAP）的目录系统，用户通过LDAP来访问证书库。目录系统必须确保数字证书库的完整性，防止伪造和篡改证书。v证书库也可由Web、FTP或X.

29、500目录来实现。由于证书库中存取对象是证书和CRL，其完整性由数字签名保证，因此对证书库的操作可在无特殊安全保护的信道上传输。3密钥备份和恢复系统密钥备份和恢复系统v如果用户丢失了解密密钥，则无法对接收到的报文进行解密，这会造成交易信息的丢失。为解决这个问题，PKI中的密钥备份和恢复系统提供了这种对密钥的处理机制。v但密钥的备份与恢复必须由可信的机构（例如认证中心CA）来完成，且密钥的备份与恢复只能针对解密密钥，签名私钥为确保其惟一性不能够做备份。4证书撤销系统证书撤销系统 v证书撤销处理系统是PKI的一个重要组件。与日常生活中的各种身份证件一样，数字证书也存在有效期，且在有效期以内也可能被

30、撤销，如用户密钥介质丢失或用户身份变更等。为实现这一点，PKI必须提供撤销证书的一系列机制。v撤销证书有三种方法：撤销一个或多个主体的证书；撤销由某个认证中心签发的所有证书；撤销由某一对密钥签发的所有证书。v撤销证书一般通过将证书加入证书撤销列表（CRL）来完成。通常情况下，系统由认证中心CA负责创建并维护一张及时更新的CRL，用户在验证数字证书时首先检查该证书是否在CRL之列。CRL一般存放在目录系统中。v证书的撤销处理必须在安全且可验证的情况下进行，系统要维护CRL的完整性。5应用程序接口系统应用程序接口系统v公钥基础设施的功能在于能够为用户提供方便的信息加密和数字签名等安全服务，因此一个

31、完善的公钥基础设施必须提供良好的应用接口系统，从而使得各种各样的应用在与PKI交互时能够达到安全、可信的目标，确保开放网络环境的安全性、完整性和易用性。9.4.1计算机病毒的概念 1何谓计算机病毒 计算机病毒是一种通过外存储器和网络等作为媒介进行传播扩散，能“传染”其他程序的程序。计算机病毒具有潜伏性、传染性和破坏作用。2计算机病毒的分类 (1)外壳外壳病毒：病毒将它们自己包裹在主程序的四周，对原来的程序不做修改。病毒：病毒将它们自己包裹在主程序的四周，对原来的程序不做修改。(2)入侵入侵病毒：就是把病毒程序的一部分插入到主程序，级别比较高。病毒：就是把病毒程序的一部分插入到主程序，级别比较高

32、。(3)操操作作系系统统病病毒毒：工工作作时时把把它它们们自自己己的的一一部部分分来来代代替替操操作作系系统统的的部部分分功功能能，属属于于高级别的。高级别的。(4)源源码码病病毒毒：最最高高级级，专专门门针针对对某某一一种种编编程程语语言言而而写写的的，在在这这种种语语言言写写出出来来的的程程序被编译之前将它的代码加入进去。序被编译之前将它的代码加入进去。3网络病毒 网网络络病病毒毒就就是是在在网网络络环环境境下下生生存存的的病病毒毒，通通过过E-mail、文文件件下下载载等等方方式式传传播播，新的特点：新的特点：(1)感染速度快。感染速度快。(2)扩散面广。扩散面广。(3)传播的形式复杂多

33、样。传播的形式复杂多样。(4)难于彻底清除。难于彻底清除。(5)破坏性大。破坏性大。4感染病毒后的症状 (1)机器机器不能正常启动。不能正常启动。(2)程序运行程序运行速度变慢。速度变慢。(3)内存内存空间迅速变小。空间迅速变小。(4)改变改变文件内容和长度。文件内容和长度。(5)文件文件莫名其妙的出现和消失，文件名字忽然无故被更改。莫名其妙的出现和消失，文件名字忽然无故被更改。(6)发出发出“奇怪的奇怪的”显示和声音效果。显示和声音效果。(7)经常经常出现出现“死机死机”现象。现象。(8)外部设备外部设备工作异常工作异常。9.4.2 网络病毒分析 1特洛伊木马病毒特洛伊木马病毒(Trojan

34、s)特特洛洛伊伊木木马马(简简称称木木马马病病毒毒)，也也叫叫黑黑客客程程序序或或后后门门病病毒毒。属属于于文文件件型型病病毒毒的的一一种种，他们一般由服务端病毒程序和客户端控制程序等两个部分组成。他们一般由服务端病毒程序和客户端控制程序等两个部分组成。木木马马病病毒毒工工作作包包括括以以下下六六个个环环节节：配配置置木木马马、传传播播木木马马、运运行行木木马马、信信息息泄泄露露、建立连接、远程控制。建立连接、远程控制。9.4防计算机病毒技术防计算机病毒技术 2电子邮件病毒 通通过过电电子子邮邮件件形形式式传传播播的的计计算算机机病病毒毒，称称之之为为“电电子子邮邮件件病病毒毒”。电电子子邮邮

35、件件病病毒毒和和一一般般病病毒毒一一样样可可以以感感染染一一般般的的系系统统文文件件和和通通过过一一般般的的途途径径传传播播，但但电电子子邮邮件件病病毒毒还可感染电子邮件程序的通讯簿，并自动向通讯簿中的其他人发送含病毒的邮件还可感染电子邮件程序的通讯簿，并自动向通讯簿中的其他人发送含病毒的邮件。9.4防计算机病毒技术防计算机病毒技术 3蠕虫病毒 蠕蠕虫虫病病毒毒通通过过网网络络上上的的各各种种手手段段进进行行传传播播，并并以以受受感感染染的的主主机机作作为为基基地地进进行行自自我我复制和扩散，消耗主机资源，最后可导致主机的瘫痪。复制和扩散，消耗主机资源，最后可导致主机的瘫痪。4恶意代码与流氓软

36、件(插件)一类是恶意广告软件。一类是恶意广告软件。一类是间谍软件。一类是间谍软件。另一类就是另一类就是IE插件的形式强制安装，插件的形式强制安装，9.4防计算机病毒技术防计算机病毒技术9.2.1 计算机病毒预防和清除方法对付计算机病毒首先要预防，其次就是要有一套功能完善的杀毒软件对付计算机病毒首先要预防，其次就是要有一套功能完善的杀毒软件。病毒预防常见预防方式（P.165）v计算机病毒检测与删除人工消除法$专业技术人员所为。如对引导扇区感染病毒可用正常的引导程序覆盖它。$仅当一种病毒刚出现时，没有可以杀毒的软件时采取的方法软件自动消除法$及杀毒软件。种类繁多9.2.2 常用杀毒软件瑞星金山诺顿

37、NOD等v所有杀毒软件要及时升级 9.4防计算机病毒技术防计算机病毒技术黑客攻击网络系统的方法主要包括以下几种：基于口令的攻击、网络偷窥报文劫持攻击利用受托访问攻击IP欺骗攻击等9.6防黑客攻击技术防黑客攻击技术8.6.1黑客攻击过程 黑黑客客对对网网络络系系统统的的攻攻击击可可分分为为三三个个阶阶段段：收收集集系系统统信信息息、探探测测系系统统安安全全弱弱点点、实实施攻击。施攻击。1收集信息收集信息 收集信息主要是收集待攻击目标的数据库及驻留在目标主机系统上的相关资料。收集信息主要是收集待攻击目标的数据库及驻留在目标主机系统上的相关资料。黑客收集信息常用到一些公开协议和工具软件。黑客收集信息

38、常用到一些公开协议和工具软件。2探测安全弱点 探测安全弱点就是寻求目标系统的安全漏洞，以便于下一步的攻击。探测安全弱点就是寻求目标系统的安全漏洞，以便于下一步的攻击。黑客常使用程序自动扫描连接在网络上的目标主机。黑客常使用程序自动扫描连接在网络上的目标主机。3实施攻击实施攻击 实实施施攻攻击击的的目目的的是是获获取取目目标标系系统统的的重重要要信信息息，或或从从暗暗中中控控制制目目标标系系统统，或或对对目目标标系统进行短暂或长期的骚扰。系统进行短暂或长期的骚扰。9.6防黑客攻击技术防黑客攻击技术网络入侵的对象 v1网络资源 网络上的系统常常是攻击的主要目标，对这些资源的攻击通常分为几大类：v（

39、1）数据操纵或访问。网络上的很多系统都存在着共享目录（由系统或用户所创建），它们为攻击者提供了入口点。v（2）账号访问。如果攻击者能得到网络中的一个有效账号，他就极大地增加了获得特权访问并最终攻破整个网络的可能性。v（3）权限提升。权限提升攻击是指从非特权用户获得提升了的特权。（4）信任关系。信任关系在一个网络内的特定主机间建立了一种特权访问级别。这种信任通常是基于IP地址或系统名称，这两种机制都容易被攻击者所利用。2网络协议网络协议v除了攻击网络资源之外，攻击者有时会攻击网络协议的完整性。网络协议使网络上的资源能相互共享。通过操纵网络协议，一个攻击者希望获得对网络中某些资源的访问权。协议的攻

40、击归为两类：中间攻击和欺骗攻击。v（1）中间攻击。中间攻击是指攻击者劫持使用某种协议通信的两台主机间会话的一种攻击。这种攻击可能完全接管了整个会话，或者只是扮演篡改或仅传递来自真实主机的某些特定数据的中继。v（2）欺骗攻击。很多攻击依赖于攻击者伪装成其他用户的能力，用其他系统的源IP地址发送数据包被称作欺骗。口 令 攻 击 v所谓口令攻击是指使用某些合法用户的账号和口令登录到目的主机，然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。破解口令的方法 v1强力破解法获取口令 v字典搜索法：计算机就会自动地从字典中取一个词作为用户口令进行尝试

41、，逐个词循环进行，直至找到正确的口令v蛮力穷举法，即将口令可能的字符数从小到大，将所有可能的字符进行组合，以此为口令进行搜索，进而得到正确的口令。v分布式破解法：可以把任务分成多块，由多台计算机来执行。2通过网络监听非法得到用户口令 v以太网是广播式的，一台机器发送，其余机器收听，并根据其目的地址来决定是否接收。以太网卡一般工作在只接收本身地址包的模式，然而也可以工作在收听所有包的模式，因而决定权是在接收方，这就为窃听创造了条件。v对于许多传统网络应用来说，口令在网络上传播的时候，完全是以明文发送的，例如POP3邮局协议、Telnet远程登录、FTP文件传输等。而一般的浏览器向Web发送消息时

42、也是明文。3通过木马攻击非法得到用户口令通过木马攻击非法得到用户口令 v所谓木马攻击，也就是黑客在用户不知道的情况下，在用户机器上安装特殊程序。v这可以通过网络电子邮件、免费下载程序等方式，让用户无意中执行木马程序。v一旦驻进了木马程序，用户的口令就非常危险了。因为这种程序可以记录用户所有的击键信息并自动通过网络发送出去，或存在硬盘上某个地方，留待攻击者取走。也可以从内存或磁盘读取记录的口令发送出去IP 欺 骗 v所谓IP欺骗，就是伪造他人的IP地址。IP欺骗在某些以IP地址作身份认证的服务中，伪装成合法用户，取得一般用户甚至超级用户的权限；或在已建立的TCP连接中接管连接以取得相应的权限（又

43、被称为IP劫持），从而冒充合法用户给服务器发送非法命令，或冒充服务器给用户发回虚假信息，给用户和服务器造成巨大危害。vInternet 的网络层协议IP 只是发送数据包，并且保证它的完整性。如果不能收到完整的IP 数据包，IP 会向源地址发送一个ICMP 错误信息，希望重新处理。v然而这个ICMP 包也可能丢失。由于IP 是无连接的，所以不保持任何连接状态的信息。每个IP 数据包被发送出去，不关心前一个和后一个数据包的情况。v由此看出，可以对IP 堆栈进行修改，在源地址和目的地址中放入任意满足要求的IP 地址，也就是说，提供虚假的IP 地址。vTCP 提供可靠传输。通常TCP 连接建立一个包括

44、3 次握手的序列。客户选择和传输一个初始的序列号（SEQ），并设置标志位SYN=，告诉服务器它需要建立连接。服务器确认这个传输，并发送它本身的序列号，并设置标志位ACK，同时告知下一个期待获得的数据序列号。客户再确认它。经过三次确认后，双方开始传输数据。v当用户的主机A 要与某个网站服务器B建立连接时，A 先发一个SYN 包告诉对方主机B，说“我要和你通信了”，当B 收到时，就回复一个ACK/SYN 确认请求包给A 主机。如果A 是合法地址，就会再回复一个ACK 包给B 主机，然后两台主机就可以建立一个通信渠道了。v可是攻击者机器A 发出包的源地址是一个虚假的IP 地址，或者实际上不存在的一个

45、地址，则B 发出的那个ACK/SYN 包当然无法找到目标地址。如果这个ACK/SYN 包一直没有找到目标地址，那么也就无法获得对方回复的ACK 包。而在缺省超时的时间范围以内，主机B 的一部分资源要花在等待这个ACK 包的响应上，假如短时间内主机B 接到大量来自虚假IP 地址的SYN 包，它就要占用大量的资源来处理这些错误的等待。大量发送这类欺骗型的请求，最后的结果就是主机B 上的系统资源耗尽以至瘫痪。IP 欺骗由若干步骤组成欺骗由若干步骤组成v首先假定：v（1）目标主机已经选定；v（2）信任模式已被发现，并找到了一个被目标主机信任的主机。v攻击者为了进行IP 欺骗，采取如下步骤：v（1）使得

46、被信任的主机丧失工作能力，同时采样目标主机发出的TCP 序列号，猜测出它的数据序列号；v（2）伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果连接成功，攻击者可以使用一种简单的命令放置一个系统后门，以进行非授权操作。IP 欺骗的防范v（1）改变间隔。IP 欺骗的关键在于现有系统中初始序列号变量的产生方法相对粗糙，不能借助一次合法连接推算出当前的序号，也就不能顺利实施攻击。v（2）禁止基于IP 地址的验证 IP 欺骗的原理是冒充被信任的主机，而这种信任是建立在基于IP 地址的验证上。v（3）使用包过滤v（4）使用加密方法v（5）使用随机化的初始序列号端 口 扫 描 v所谓端口

47、扫描，就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等，从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。v v端口就是一个潜在的通信通道，也可能成为一个入侵通道。对目标计算机进行端口扫描，能得到许多有用的信息（如该服务是否已经启动？），从而发现系统的安全漏洞。v进行扫描的方法很多，可以是手工进行扫描，也可以用端口扫描软件进行。v在扫描目标主机的服务端口之前，首先得搞清楚该主机是否已经在运行。如果发现该主机是活的（alive），那么，下面可以对该主机提供的各种服务端口进行扫描，从而找出活着的服务。扫描手段扫描手段v

48、PingvTracertv扫描器通过选用远程TCP/IP 不同的端口的服务，并记录目标给予的回答来实现，采用这种方法，可以搜集到很多关于目标主机的各种有用的信息，如：v（1）是否能用匿名（anonymous）登录？v（2）是否有可写的FTP 目录？v（3）是否能用Telnet？v（4）HTTPD 是用ROOT 还是nobody 在运行？v扫描器一般具有三项功能：v（1）发现一个主机或网络；v（2）一旦发现一台主机，能够发现该主机正在运行何种服务；v（3）通过测试这些服务，发现内在的漏洞v1）TCP connect()扫描 这是最基本的TCP 扫描。connect()用来与每一个感兴趣的目标计算

49、机的端口进行连接。如果端口处于侦听状态，那么connect()就能成功，否则，这个端口不能使用，即没有提供服务。v（2）TCP SYN 扫描 TCP connect()扫描需要建立一个完整的TCP 连接，很容易被目的方发现。而TCP SYN 技术通常认为是“半开放”扫描，这是因为扫描程序不必打开一个完全的TCP 连接。v（3）TCP FIN 扫描 通常情况下，一些防火墙和包过滤器会对一些指定的端口进行监视，并能检测和过滤掉TCP SYN 扫描。v（4）IP 段扫描 它并不直接发送TCP 探测数据包，而是将数据包分成两个较小的IP 段。网 络 监 听 v当信息以明文的形式在网络上传输时，便可以使

50、用网络监听的方式进行攻击。将网络接口设置在监听模式便可以源源不断地截获网上信息。网络监听可以在网上的任何一个位置实施。v网络监听主要用于局域网络，在广域网里也可以监听和截获到一些用户信息，但更多信息的截获要依赖于配备专用接口的专用工具。v一个比较好的检测工具是Antisniff，它运行在本地以太网的一个网段上，用以检测本地以太网是否有机器处于混杂模式。vSniffer 通常运行在路由器，或有路由器功能的主机上。这样就能对大量的数据进行监控。vSniffer 属第二层次（数据链路层）的攻击。通常是攻击者已经进入了目标系统，留下了后门，安装Sniffer 工具，然后运行Sniffer，以便得到更多