|
1:遠程攻擊的幾個階段 1) 準備階段 確定攻擊目的——收集信息——服務(wù)分析——系統(tǒng)分析——漏洞分析 2) 攻擊階段 破壞型攻擊(現(xiàn)成的工具,難度低) / 入侵型攻擊(獲得權(quán)限�����,難度比較大) 3) 善后階段 留后門 / 擦除痕跡(修改日志�����、替換系統(tǒng)程序)
2:掃描與防御技術(shù) 1) 掃描是把雙刃劍
對系統(tǒng)管理者而言���,可以了解網(wǎng)絡(luò)的安全配置和正在運行的應(yīng)用服務(wù)�����,及時發(fā)現(xiàn)系統(tǒng)和網(wǎng)絡(luò)中可能的安全漏洞和錯誤配置�,客觀評估網(wǎng)絡(luò)風(fēng)險等級,增強對系統(tǒng)和網(wǎng)絡(luò)的管理和維護
對攻擊者而言����,掃描是絕大多數(shù)網(wǎng)絡(luò)攻擊的第一步,利用它來查找網(wǎng)絡(luò)上有漏洞的系統(tǒng)���,收集信息���,為后續(xù)攻擊做準備 2) 掃描類型
Ping / 端口掃描 / 漏洞掃描(基于漏洞庫、基于模擬攻擊) 3) 端口掃描技術(shù) a) TCP connect()不需要特權(quán)��,但留下大量連接和錯誤記錄�,很容易被發(fā)現(xiàn)�;端口開啟則成功返回,否則返回-1 b) TCP SYN
半連接��,需要超級用戶權(quán)限來調(diào)用專門的系統(tǒng)調(diào)用����;端口開啟則返回SYN/ACK,否則返回RST c) TCP FIN
秘密掃描,需要超級用戶權(quán)限且只對特定的操作系統(tǒng)有用����;端口開啟則無回復(fù),否則返回RST d) UDP
需要超級用戶權(quán)限����,且不可靠;端口開啟則無回復(fù)����,否則返回ICMP不可達 e) FTP代理掃描
PORT/LIST命令;端口開啟則返回150和226�,否則返回425 can't build daa connection: Connection refused f) OS指紋識別
主動協(xié)議棧 / 被動協(xié)議棧(TTL / window size / df / tos) 4) 常用的掃描器
SATAN / ISS Internet Scanner / Nessus / Nmap / X-Scan 5) 掃描的防御 a) 端口掃描檢測工具ProtectX / Winetd / Port Sentry b) 個人防火墻 c) 日志審計 d) 修改Banner,隱藏主機信息用戶正常連接時服務(wù)器提供的提示信息
總的來說�,進制不必要的服務(wù)、屏蔽敏感信息����、合理配置防火墻和IDS、及時安裝系統(tǒng)補丁
3:網(wǎng)絡(luò)嗅探與防御 1) 共享式網(wǎng)絡(luò)下的嗅探技術(shù)
共享式網(wǎng)絡(luò):任何一個節(jié)點都會接收到在信道中傳輸?shù)臄?shù)據(jù)幀�,節(jié)點如何處理該數(shù)據(jù)幀,取決于數(shù)據(jù)幀的真實目的地址和節(jié)點網(wǎng)卡的接收模式
網(wǎng)卡的接收模式:一般模式(廣播�、組播、直接) / 混雜模式【網(wǎng)卡對數(shù)據(jù)幀中的目的MAC地址不加任何檢查�����,全部接收】
數(shù)據(jù)包的處理過程:鏈路層(MAC地址匹配)——網(wǎng)絡(luò)層(IP地址匹配)——傳輸層(端口匹配) 原理:有一個直接與網(wǎng)卡驅(qū)動程序接口的驅(qū)動模塊,作為網(wǎng)卡驅(qū)動與上層應(yīng)用的“中間人”��,它將網(wǎng)卡設(shè)置成混雜模式���,并將接收到的數(shù)據(jù)發(fā)送給上層應(yīng)用�,由上層應(yīng)用來決定是上傳該數(shù)據(jù)包還是丟棄
嗅探軟件開發(fā)庫:基于UNIX系統(tǒng)的開發(fā)庫LibPcap����,基于Windows系統(tǒng)的開發(fā)庫WinPcap 2) 交換式網(wǎng)絡(luò)下的嗅探技術(shù)
交換式網(wǎng)絡(luò):用交換機或者其他非廣播式交換設(shè)備建成的局域網(wǎng),這些設(shè)備根據(jù)收到的數(shù)據(jù)幀中的MAC地址來決定數(shù)據(jù)幀應(yīng)發(fā)向交換機的哪個端口 a) 溢出攻擊——大量MAC地址錯誤數(shù)據(jù)幀�,導(dǎo)致交換機中的MAC地址與端口映射表溢出,從而退化成廣播方式來轉(zhuǎn)發(fā)數(shù)據(jù)包 b)
ARP欺騙——IP地址和MAC地址間的轉(zhuǎn)換協(xié)議(在下面會詳說) 3) 防御 a) 通用手段
安全的網(wǎng)絡(luò)拓撲結(jié)構(gòu)——構(gòu)造合理的網(wǎng)絡(luò)分段
會話加密——數(shù)據(jù)通道加密(SSH/SSL/VPN)�����、數(shù)據(jù)內(nèi)容加密
注意重點區(qū)域的安全防范——網(wǎng)關(guān)�����、交換機����、路由器等地方 b) 共享式網(wǎng)絡(luò)下
檢測混雜模式網(wǎng)卡 i:網(wǎng)絡(luò)和主機響應(yīng)時間測試——驟然增加目標地址不是本地的網(wǎng)絡(luò)通信流量,處于混雜模式的網(wǎng)卡響應(yīng)時間數(shù)量級變化較大 ii:ARP檢測——偽造ARP請求報文�����,目的地址不是廣播地址����,發(fā)送給網(wǎng)絡(luò)上的各個節(jié)點;某個主機響應(yīng)這個ARP請求����,則說明該節(jié)點處于混雜模式
檢測通信丟包率——網(wǎng)絡(luò)結(jié)構(gòu)正常的情況下,數(shù)據(jù)丟包率高說明有網(wǎng)卡處于混雜模式
檢測網(wǎng)絡(luò)帶寬異?����!撑_機器長時間占用了較大的帶寬��,說明該網(wǎng)卡處于混雜模式 c) 交換式網(wǎng)絡(luò)下
不要把網(wǎng)絡(luò)安全信任關(guān)系建立在單一的IP或MAC基礎(chǔ)上���,而是IP-MAC關(guān)系上
使用靜態(tài)ARP或IP-MAC對應(yīng)表代替動態(tài)的�����,并禁止自動更新�����,使用手動更新
定期檢查ARP請求��,探測ARP欺騙
4:口令破解與防御 1) 口令破解方式
詞典攻擊——根據(jù)用戶信息建立用戶可能使用的口令的詞典文件����,利用詞典文件進行猜測
強行攻擊——破解時間長
組合攻擊——在使用詞典單詞的基礎(chǔ)上,在單詞后面串接幾個字母和數(shù)字進行攻擊
其它攻擊——社會工程學(xué)��、偷窺�����、搜索垃圾箱��、口令蠕蟲����、特洛伊木馬、網(wǎng)絡(luò)嗅探��、重放 2) 口令破解器
口令產(chǎn)生器����、口令加密模塊、口令比較模塊
3) 口令破解的防御
使用強口令——每45天換一次���、至少包含10個字符�、至少包含一個字母一個數(shù)字一個特殊符號��、字母數(shù)字符號混合����、不包含詞典中的單詞、不重復(fù)使用之前的五個口令�、至少使用10天、設(shè)定口令登陸限制次數(shù)
針對存放口令信息的系統(tǒng)——防止口令信息的未授權(quán)泄露���、修改和刪除(對內(nèi)容進行加密���,隱藏原始信息,使其不可讀)
一次性口令——挑戰(zhàn)響應(yīng)機制�����,口令并么有在網(wǎng)絡(luò)上傳輸
口令管理策略
5:欺騙攻擊與防御 1) IP欺騙與防御
簡單的IP地址變化——無法接收返回的數(shù)據(jù)包����,盲目飛行攻擊����,只能進行拒絕服務(wù)攻擊
源路由攻擊——指定寬松的源站線路(指明返回的數(shù)據(jù)包需要經(jīng)過的IP地址清單�,如果需要,可以經(jīng)過除這些地址意外的地址)��,并將自己的IP列在地址清單中
利用UNIX系統(tǒng)間的信任關(guān)系
TCP會話劫持 (一般在網(wǎng)絡(luò)流量高峰期進行【可供選擇的會話多�,且不容易被發(fā)向】) 過程:發(fā)現(xiàn)攻擊目標——確認動態(tài)會話——猜測序列號(隨著傳輸字節(jié)數(shù)遞增)——使客戶主機下線(拒絕服務(wù)攻擊)——接管會話
防御:
對基本的IP欺騙——出口/入口過濾、禁止使用源路由�、不使用信任關(guān)系
會話劫持攻擊——加密、安全協(xié)議 2) ARP欺騙與防御
局域網(wǎng)內(nèi)通信(主機中的ARP緩存表)���、局域網(wǎng)間通信(主機中的ARP緩存表�,網(wǎng)關(guān)的ARP緩存表)
缺陷:主機收到ARP應(yīng)答包��,不驗證而直接更新本地的ARP緩存表中的原有信息
防御:IP-MAC地址綁定�、靜態(tài)ARP緩存、使用ARP服務(wù)器�、使用ARP欺騙防護軟件 3) DNS欺騙與防御
當(dāng)你訪問某域名,需要知道IP——進行域名解析——本地DNS服務(wù)器——更高層DNS服務(wù)器(直到返回解析結(jié)果)
怎樣偽造DNS應(yīng)答消息����?一種可能是控制了某個域名服務(wù)器,在該服務(wù)器的緩存中去添加記錄����,讓攻擊目標的域名指向攻擊者的欺騙IP����,但這種可能性很低���;一般攻擊者是控制該服務(wù)器所在網(wǎng)絡(luò)的某臺主機,并可以監(jiān)聽該網(wǎng)絡(luò)中的通信情況��,對該DNS服務(wù)器進行欺騙攻擊����,在此之前,我們要知道:DNS數(shù)據(jù)通過UDP傳輸���,端口53�,而一個DNS服務(wù)器可能同時進行多個解析�����,這時怎么區(qū)分不同的解析過程�����,主要是DNS報文格式頭部的ID域,這個ID號機位DNS欺騙攻擊的關(guān)鍵所在
看一個例子����,就能比較好的理解該過程:假設(shè)攻擊主機X(IP為1.2.3.4),所在網(wǎng)絡(luò)有DNS服務(wù)器B�����,首先它向該DNS服務(wù)器請求解析一個域名Y��,DNS返回域名Y的IP地址�,同時攜帶一個ID號,假設(shè)為666���;此時�,攻擊主機X再向DNS請求解析另外一個域名Z�����,DNS服務(wù)器沒有該域名的IP��,會向更高層的DNS服務(wù)器C請求解析�,在DNS服務(wù)器C返回解析結(jié)果之前,攻擊主機X偽造成DNS服務(wù)器C的IP,并將DNS報文頭部中的ID置為666/667/668���,同時將解析結(jié)果置為其自己的IP���,并將解析結(jié)果發(fā)送給DNS服務(wù)器B;則DNS服務(wù)器B里會增加一個記錄��,域名Z與攻擊主機X的IP對應(yīng)的記錄�,在以后其它主機向DNS服務(wù)器B請求解析Z����,就會重定向到攻擊主機X
局限:攻擊者不能替換緩存中已存在的記錄(只能增加)、緩存刷新問題(有效期過了就得重新進行欺騙攻擊)
防御:使用最新的DNS服務(wù)器軟件�、關(guān)閉DNS服務(wù)器的遞歸功能、限制動態(tài)更新�����、采用分層的DNS體系結(jié)構(gòu) 4) 其它的欺騙攻擊:Email欺騙��、Web欺騙
6:拒絕服務(wù)攻擊與防御 概念:利用網(wǎng)絡(luò)安全防護措施不足導(dǎo)致用戶不能或者不敢繼續(xù)使用正常服務(wù)的攻擊手段
分類:濫用合理的服務(wù)請求【針對目標主機�,消耗目標主機資源】、制造高流量無用數(shù)據(jù)【針對網(wǎng)絡(luò)��,占用網(wǎng)絡(luò)帶寬】、利用傳輸協(xié)議缺陷【導(dǎo)致目標主機崩潰】��、利用服務(wù)程序的漏洞【導(dǎo)致服務(wù)處理錯誤而拒絕服務(wù)】 典型技術(shù):Ping of Death / 淚滴 / IP欺騙 / UDP洪水 / SYN洪水
分布式拒絕服務(wù)攻擊——控制分布在網(wǎng)絡(luò)各處的數(shù)百甚至數(shù)千傀儡主機【肉機】��,發(fā)動它們同時攻擊目標;工具有Trinoo/TFN/Stacheldrcht/Trinity
防御:優(yōu)化網(wǎng)絡(luò)和路由結(jié)構(gòu)���、保護主機系統(tǒng)安全、安裝入侵檢測系統(tǒng)����、借助掃描工具
7:緩沖區(qū)溢出攻擊與防御 概念:向固定長度的緩沖區(qū)中寫入超出其預(yù)先分配長度的內(nèi)容,造成緩沖區(qū)中數(shù)據(jù)的溢出�,從而覆蓋緩沖區(qū)相鄰的內(nèi)存空間 特點:隱蔽性【在被發(fā)現(xiàn)之前,程序員一般不會意識到自己的程序存在漏洞】【被植入的攻擊代碼一般很短����,執(zhí)行時間非常短,很難在執(zhí)行過程中被發(fā)現(xiàn)】【漏洞存在于防火墻內(nèi)部的主機上����,攻擊者可以在防火墻內(nèi)部取得不被允許或者沒有權(quán)限的控制權(quán)】【攻擊具有隨機性和不可預(yù)測性】
程序運行時系統(tǒng)開辟的內(nèi)存:.text--.data--.bss--heap--stack--命令行參數(shù)及環(huán)境變量,從左到右為地地址到高地址�,有幾個需要注意的問題
1) 代碼段(.text),存放程序的機器碼以及只讀數(shù)據(jù)���,一般標記為只讀�����,對該區(qū)的讀寫會導(dǎo)致段錯誤 2) 數(shù)據(jù)段(.data/.bss)�����,存放已初始化的數(shù)據(jù)段以及未初始化的數(shù)據(jù)段�����,編譯時分配 3) 堆(heap)��,位于BSS內(nèi)存段的上邊���,用于存儲程序運行時分配的變量 4) 棧(stack),用于存儲函數(shù)調(diào)用時的臨時信息的結(jié)構(gòu) 5) 堆和棧的區(qū)別����,分配和管理方式不同【堆由程序員控制,棧由編譯器自動管理】����、產(chǎn)生碎片不同【堆會造成大量的碎片,效率低】、生長方向不同【堆從低地址往高地址生長����,棧由高地址往低地址生長】 6) 函數(shù)調(diào)用時,計算機的一系列操作:首先將指令寄存器EIP入棧���,作為程序的返回地址(RET)��;然后將基址寄存器EBP入棧�����,指向當(dāng)前函數(shù)棧的底部�;再把當(dāng)前的棧指針ESP復(fù)制到EBP����,作為新的基地址;最后為本地變量的動態(tài)存儲分配留出空間���,并把ESP減去適當(dāng)?shù)闹?緩沖區(qū)溢出的類型 1) 棧溢出�,根據(jù)上面函數(shù)調(diào)用時的操作�,當(dāng)給本地變量賦予的值超過其存儲空間,將覆蓋鄰近區(qū)域的內(nèi)存���,導(dǎo)致棧溢出
2) 堆溢出���,動態(tài)分配的內(nèi)存����,在賦值時超過其分配的長度���,會覆蓋相鄰位置的內(nèi)存 3) BSS溢出��,全局或靜態(tài)的未初始化變量����,同樣的往變量寫入超過其長度的數(shù)據(jù)����,會覆蓋相鄰位置的內(nèi)存
緩沖區(qū)溢出攻擊的過程:在程序的地址空間里安排適當(dāng)?shù)拇a——將控制流程轉(zhuǎn)移到攻擊代碼【函數(shù)指針���、激活記錄(覆蓋RET)��、長跳轉(zhuǎn)緩沖區(qū)】
植入代碼的構(gòu)造類型:NSR型(適合于緩沖區(qū)大的情況�����,往前跳轉(zhuǎn)到shellcode)����,RNS型(適合于緩沖區(qū)小的情況,往后跳轉(zhuǎn)到shellcode)���,AR型(必須事先將shellcode放置在環(huán)境變量中�����,應(yīng)用受到限制)
防御:源碼級保護方法(程序員自身���、代碼審計工具)、運行期保護方法�����、阻止攻擊代碼執(zhí)行(設(shè)置數(shù)據(jù)段地址空間的屬性為不可執(zhí)行【非執(zhí)行的緩沖區(qū)技術(shù)】)
8:Web攻擊與防御技術(shù) 主要的四種動態(tài)網(wǎng)頁技術(shù)及時及其安全問題 1) CGI(通用網(wǎng)關(guān)接口):未驗證用戶輸入?yún)?shù)���、使用路徑信息填充PATH_INFO或其它環(huán)境變量 2) ASP(Active Service Pages)——允許腳本語言與HTML一起編寫程序����;主要工作環(huán)境是微軟的IIS應(yīng)用程序結(jié)構(gòu)���,跨平臺性差 3) JSP(JavaServer Pages)——用Java語言作為腳本語言���;能運行在任何安裝了JVM的環(huán)境中���,跨平臺性好
上面兩個安全問題主要是源代碼泄露,以下操作都會導(dǎo)致該問題:在程序后面添加特殊符號���、通過.bak文件擴展名獲得ASP文件源代碼���、code.asp(用于查看其它.asp文件的源代碼) 4) PHP(Hypertext Preprocessor)——支持幾乎所有流行的數(shù)據(jù)庫和操作系統(tǒng),兼容性強���,擴展性強
主要漏洞:全局變量未初始化漏洞(用戶可以通過給服務(wù)器傳參來跳過驗證機制)�、文件上傳功能(PHP自動支持文件上載���,在解析之前已經(jīng)將文件臨時存儲在服務(wù)器上���,且使用四個全局變量來描述該文件����,若用戶通過傳參的方式來給這四個全局變量賦值��,則可能使服務(wù)器處理其他文件【如passwd敏感文件】而不是這個上載的文件)
PHP應(yīng)合理配置:禁止為用戶輸入創(chuàng)建全局變量���、設(shè)置安全模式、禁止顯示錯誤信息 5)IIS服務(wù)器的安全問題:.ida和idq漏洞(暴露文件在web服務(wù)器上的物理路徑)��、Unicode目錄遍歷漏洞(用戶通過構(gòu)造適當(dāng)?shù)腢nicode字符"\"和"/"等���,可以遍歷磁盤上的目錄)����、緩沖區(qū)溢出漏洞
Web頁面盜竊以及防御
主要手段:逐頁手動掃描����、自動掃描
防御:提高web頁面代碼質(zhì)量、監(jiān)視訪問日志中快速增長的GET請求(自動掃描)����、在Web站點上設(shè)置garbage.cgi(自動掃描)、及時修補安全漏洞
跨站腳本攻擊(XSS)以及防御
主要攻擊對象:登陸網(wǎng)站的用戶�����,而不是Web服務(wù)器本身
兩個條件:一個存在XSS漏洞的Web應(yīng)用程序(沒有對用戶的輸入進行有效驗證��,而又輕易地將它們返回給客戶端)、用戶點擊鏈接或者訪問某一頁面
SQL注入以及防御
概念——通過提交精心設(shè)計的數(shù)據(jù)庫查詢代碼�����,根據(jù)網(wǎng)頁的返回結(jié)果來獲知網(wǎng)站的敏感信息
防御:對用戶提交的數(shù)據(jù)和輸入?yún)?shù)進行嚴格的過濾�����、為Web程序建立受限的連接�,只能訪問特定的數(shù)據(jù)庫、摒棄動態(tài)SQL語句(從根本上阻斷SQL注入)
網(wǎng)頁驗證碼技術(shù)
防止用戶使用程序自動進行提交注入�����,防止暴力破解���、惡意灌水等
基于兩個假設(shè):用戶可以收到并了解驗證碼�、攻擊者的自動程序無法了解驗證碼
常見的幾種驗證碼:文本驗證碼(安全性差)����、手機驗證碼(用戶可能無法收到短信)、郵件驗證碼(郵件可能被淹沒或過濾)�����、圖片驗證碼(目前也受到極大威脅)
9:木馬攻擊與防御技術(shù)
概念——一段能實現(xiàn)有用的或必須的功能的程序�����,但是同時還完成一些不為人知的功能(木馬與病毒最根本的區(qū)別就是病毒有很強的傳染性而木馬沒有)
分類:破壞型��、密碼發(fā)送型����、遠程訪問型、鍵盤記錄木馬��、DoS攻擊木馬���、代理木馬���、FTP木馬、程序殺手木馬(針對監(jiān)控軟件)����、反彈端口木馬
特點:有效性(能與控制端建立某種有效聯(lián)系)、隱蔽性(木馬的生命)�����、頑固性(有效清除木馬的難易程度)、易植入性��、自動運行�����、自動恢復(fù)(多個備份����,相互恢復(fù))
攻擊步驟:植入木馬——木馬自動加載運行并很好隱藏自己——實現(xiàn)一些攻擊者感興趣的功能 1) 植入技術(shù):主動植入(本地植入【網(wǎng)吧等環(huán)境】,遠程植入【利用系統(tǒng)漏洞或第三方軟件漏洞】)�����、被動植入(利用Email附件����,網(wǎng)頁瀏覽,移動存儲設(shè)備�,其它可執(zhí)行程序)
2) 自動加載技術(shù):修改系統(tǒng)啟動時運行的批處理文件、修改系統(tǒng)文件���、修改系統(tǒng)注冊表����、添加系統(tǒng)服務(wù)、修改文件關(guān)聯(lián)屬性�、利用系統(tǒng)自動運行的程序 3) 隱藏技術(shù):偽隱藏(使用與windows系統(tǒng)進程或其它正在運行的進程非常相似的進程名、偽造進程列表)�����;真隱藏(替換Windows系統(tǒng)中的DLL文件����、將木馬程序嵌入到正在運行的進程中) 4) 監(jiān)控技術(shù):客戶端/服務(wù)器端模式建立與攻擊者之間的聯(lián)系——獲取目標機器信息�、記錄用戶事件、遠程操作
流行的木馬:Back Orifice / SubSeven / 冰河木馬
防御: 1) 木馬的檢測:端口掃描和連接檢查�、檢查系統(tǒng)進程、檢查.ini文件/注冊表/服務(wù)��、監(jiān)視網(wǎng)絡(luò)通信 2) 木馬的清除和善后:先關(guān)閉木馬進程再刪除注冊表項(防止木馬的自動恢復(fù))【不同的木馬有不同的清除方法】�、處理遺留問題(說得好泛)
10:計算機病毒 網(wǎng)絡(luò)蠕蟲——可以通過網(wǎng)絡(luò)進行自我復(fù)制的惡意程序
邏輯炸彈——嵌在合法程序中的、只有當(dāng)特定的事件出現(xiàn)或在某個特殊的邏輯條件下才會進行破壞行為的一組程序代碼
陷門——一個程序模塊中未被登記的秘密入口 典型的計算機病毒:
DoS病毒:引導(dǎo)型病毒����,文件型病毒的傳染機制——可執(zhí)行文件的加載過程,通過中斷首先將可執(zhí)行程序加載到內(nèi)存中��,然后從第一條指令處開始執(zhí)行,病毒通常會修改可執(zhí)行文件頭的參數(shù)�����,使其先執(zhí)行病毒代碼����,再轉(zhuǎn)去執(zhí)行真正的代碼,這洋就完成了傳染的工作
Win32 PE病毒:重定位(病毒無法知道自己會感染host程序的什么地方�,從而變量/常量的地址也無法知道,菏澤就需要進行重定位)��;獲取API函數(shù)地址(Win32 PE依賴于Windows API)��;文件搜索(利用Windows API提供的接口)�����;感染文件(添加新節(jié)��、附加在最后一個節(jié)上�����、分散插入到PE文件空隙中��、覆蓋某些非常用數(shù)據(jù)、壓縮某些數(shù)據(jù)或代碼以騰出空間)
宏病毒:利用宏語言的功能將自己復(fù)制并且繁殖到其它數(shù)據(jù)文檔里�;特性(與平臺無關(guān),可以正確打開和理解word文件的平臺都可能感染����、采用高級程序語言編寫,不需了解太多底層機制和硬件原理�����、依賴應(yīng)用程序解釋�����,獲得宏病毒的同時也就獲得病毒的源程序【與傳統(tǒng)病毒以二進制形式存在不同】)
腳本病毒:編寫簡單��、破壞力大�����、感染力強�����,病毒變種多���、病毒生產(chǎn)機容易實現(xiàn)(可以按照用戶的要求進行配置���,以生成特定病毒的“機器”)
HTML病毒:在HTML文件中用于非法修改或破壞用戶計算機配置的HTML代碼,通過ActiveX控件調(diào)用系統(tǒng)函數(shù)如RegWrite()修改用戶計算機的注冊表等
蠕蟲:與計算機病毒的區(qū)別(蠕蟲可以獨立運行����,并能把自身的一個包含所有功能的版本傳播到另外的機器上;計算機病毒是一段代碼�,能把自身加到其它程序包括操作系統(tǒng)上,但不能獨立運行�����,需要宿主程序運行來激活它)��;最大的區(qū)別在于主動性和獨立性(計算機病毒的傳染是被動的��,需要借助用戶的行為�,而蠕蟲主要利用計算機系統(tǒng)的漏洞進行傳播,搜索到網(wǎng)絡(luò)中存在可利用漏洞的計算機后就主動進行攻擊�����,傳播過程不需要人為干預(yù))���;傳播過程——掃描(探測漏洞)��、攻擊(建立傳輸通道)�����、復(fù)制
常用防病毒軟件:Symantec Norton AntiVirus����、卡巴斯基反病毒軟件、瑞星殺毒軟件�、金山毒霸、江民���、McAfee VirusScan、F-Secure AntiVirus��、BitDefender
11:典型防御技術(shù) 密碼學(xué)技術(shù)——通信雙方按約定的法則進行信息特殊變換的一種重要保密手段 1) 對稱密碼(通信雙方使用同一個密鑰對消息進行加解密)DES/IDEA�、 2) 非對稱密碼(將傳統(tǒng)密碼的密鑰分為加密密鑰和解密密鑰)Diffie-Hellman/RSA/ElGamal/橢圓曲線密碼體制 3) 單向哈希函數(shù)(單向函數(shù)是一種易于正向計算,但很難反向計算的函數(shù)��;哈希函數(shù)把一個值x映射到另外一個值y�,y屬于一個有固定數(shù)量值(少于x集合)的集合
身份認證——驗證一個主體身份的真實性或證實某事是否屬實的過程
1) 基于口令的認證(口令在網(wǎng)絡(luò)上傳輸,可能被竊聽����,且可能受到重放攻擊) 2) 基于地址的認證(一個主機存儲著可以訪問本機的其他主機的賬號信息�,只要確認了對方的主機地址��,就可以利用本地的信息進行用戶認證����,而不需要將口令在網(wǎng)上傳輸【問題:攻擊者掌握了其中一臺主機,且這臺主機被其他主機信任����,則其他主機也就相當(dāng)于被攻破了) 3) 基于生理特征的認證(指紋識別、視網(wǎng)膜識別���、發(fā)音識別等技術(shù)�,一個重要衡量標志是識別率) 4) Kerberos認證(基于可信賴第三方的認證協(xié)議【認證服務(wù)器�����、票據(jù)授予服務(wù)器】��,用戶只需輸入一次身份認證信息����,就可以憑借此驗證獲得的票據(jù)訪問多個服務(wù)) 5) 公鑰基礎(chǔ)設(shè)施PKI(兩個用戶進行通信�,發(fā)送方從證書庫中獲得接收方的公鑰��,利用該公鑰對信息進行加密����,發(fā)送出去,只有擁有相應(yīng)的私有密鑰的用戶才能對該消息進行解密)
防火墻——位于兩個(或多個)網(wǎng)絡(luò)間實施網(wǎng)間訪問控制的一組組件的集合�,內(nèi)部和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻,只有符合安全策略的數(shù)據(jù)流才能通過防火墻�,防火墻自身對滲透免疫 1) 包過濾防火墻:靜態(tài)包過濾(事先定義好過濾規(guī)則,對每一個數(shù)據(jù)包都進行信息提取和過濾匹配��,過濾負載較重�����,容易造成網(wǎng)絡(luò)訪問的瓶頸)����;動態(tài)包過濾(動態(tài)設(shè)置包過濾規(guī)則)
2) 代理服務(wù)器型防火墻:在主機上運行代理的服務(wù)程序�,直接對特定的應(yīng)用層進行服務(wù) 3) 電路級網(wǎng)關(guān) 4) 混合型防火墻
防火墻產(chǎn)品:Checkpoint FireWall-1、東軟NetEye����、天融信網(wǎng)絡(luò)衛(wèi)士�、NetScreen
入侵檢測系統(tǒng)——能及時檢測出惡意入侵的系統(tǒng)����,是一種主動防御技術(shù)(基于主機的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng))
主要產(chǎn)品:Snort�����、ISS RealSecure�、Watcher
虛擬專用網(wǎng)技術(shù)——利用接入服務(wù)器、路由器及VPN專用設(shè)備�����、采用隧道技術(shù)以及加密�、身份認證等方法,在公用的廣域網(wǎng)上構(gòu)建專用網(wǎng)絡(luò)的技術(shù)
日志和審計——在文件系統(tǒng)的i基礎(chǔ)上�,加入文件系統(tǒng)更改的記錄
主要審計工具:Swatch/PslogList
|
