網絡協議&網絡安全S06網絡安全威脅主要知識點網絡安全威脅技術原理網絡攻擊基本技術通信監聽漏洞掃描口令破解惡意代碼攻擊病毒木馬蠕蟲網絡安全威脅262對網絡安全威脅的辯證認識網絡安全威脅是客觀存在的不可否認，不可回避安全威脅與防范是一對相互依存的矛盾體安全具有相對性（時間、范圍、程度、價值）網絡安全無小事提高安全意識，關注細節對抗網絡安全威脅是一項長期持續的任務清楚認識安全威脅，針對性地進行防范安全防范不是最終目的安全防范是為了保護網絡系統，需平衡發展網絡安全威脅326網絡安全威脅的全方位特性網絡安全威脅426網絡安全攻擊基本技術網絡安全攻擊目的竊取（信息、賬號、金錢、隱私……）盜用（身份、賬號、資源……）破壞（數據、設施、服務……）網絡安全攻擊基本技術通信監聽漏洞掃描口令破解網絡安全威脅526⑴通信監聽CommunicationMonitoring網絡安全攻擊的基本技術之一通過各種手段，從網絡上獲取通信數據，并對內容和協議加以分析，從而直接或間接地掌握各種信息通常是為進一步的網絡安全攻擊做好準備目的：協議結構和類型（標準）協議參數（版本、地址、端口號、媒體類型……）認證信息（賬號、口令、密鑰……）內容（文件、郵件、數據……）網絡安全威脅626通信監聽典型方法（1）線路插入法通過接插件等手段，把正常通信信道上的信號引出，接收通信雙方的所有數據監聽者并不發送數據，所以通信雙方無法感知其存在，具有很強的隱蔽性（2）共享網絡法利用共享信道網絡的特性，接入共享域而偵聽到所有設備的通信數據尤其對于無線通信，監聽活動方便、隱蔽（3）端口鏡像法利用網絡交換機、路由器的端口鏡像（portmirror）功能，將一個或多個端口的通信數據復制到監聽端口（可為虛擬端口）可通過遠程登錄等方式控制網絡設備啟動端口鏡像，并遠程接收數據（4）嵌入程序法在被監聽對象系統中植入監聽程序，采集用戶鍵盤輸入、屏幕顯示內容及通信數據，利用網絡傳遞給監聽者潛伏的程序非常隱蔽，不易被察覺，但嵌入監聽程序在技術上有相當難度程序員的測試代碼可能成為用于竊聽的后門（5）電磁泄漏法對計算機與網絡運行過程發出的各種電磁波（電磁泄露），采用特殊的監聽設備進行接收并還原數據網絡安全威脅726⑵漏洞掃描VulnerabilityScanning網絡安全攻擊的基本技術之一安全攻擊者利用專門的工具，對網絡與信息系統進行嘗試性的探測，尋找可攻擊的弱點、隱患、缺陷探尋可能的攻擊入手點，以便進行針對性的攻擊基本原理：試探性詢問分析系統的反應（響應或不響應、何種響應等）網絡安全威脅826漏洞掃描典型方法（1）探查網絡互連設備戰爭撥號——通過內部網絡計算機的MODEM直達內網（2）掃描端口（portscanning）了解網絡體系開放的TCP/UDP端口，以便了解其安裝的應用種類，或使用某些端口號實施攻擊（3）探測網絡體系結構掌握內部網絡的規模、IP地址分配情況、設備分布（尤其是服務器分布）、子網劃分、安全措施等，確定攻擊范圍和目標（4）檢測操作系統漏洞攻擊者利用用戶尚未對操作系統公布的漏洞打補丁的真空期實施精確攻擊網絡安全威脅926⑶口令破解PasswordCracking網絡安全攻擊的基本技術之一，最為常用口令是絕大部分信息系統的第一道安全防護措施，甚至是許多系統的唯一認證手段例如：操作系統、電子郵件、無線基站、信用卡等口令背后隱藏的是資源、隱私或財富，有很大價值大部分口令都很簡單，易破譯網絡安全威脅1026口令破解典型方法（1）監聽法（2）重放法（3）陷阱法（4）猜測法（5）字典法（6）逆向法（7）窮舉法（8）間接法（9）物理法網絡安全威脅1126不安全的口令：空口令（不用口令）初始口令重復字母口令生日或純數字過短的字串單詞或詞組安全口令的設計：大于8個字符與個人相關不明顯字母數字混排大小寫混排惡意代碼攻擊MalwareAttacking利用特殊設計的計算機軟件代碼，對計算機網絡系統實施攻擊惡意代碼攻擊方式：直接攻擊，消耗目標系統的資源間接攻擊惡意代碼植入通過自我復制進行擴散潛伏典型的惡意代碼：病毒木馬蠕蟲網絡安全威脅1226⑴病毒Virus一種可自我復制并傳播的特殊計算機代碼，可對計算機系統造成不同程度的危害計算機病毒的特點：（1）寄生性（2）復制性（3）感染性（4）破壞性病毒的危害性：浪費存儲空間、干擾正常運行、消耗計算能力、降低程序效率引起數據丟失、文件毀壞、服務中止和系統崩潰為了防范病毒的投入是一筆巨大的開銷，并因此增加了系統的復雜性和維護難度網絡安全威脅1326病毒傳播三要素網絡安全威脅1426消滅傳染源，切斷傳播途徑，保護易感人群病毒感染技術原理網絡安全威脅1526已感染程序啟動執行病毒代碼執行宿主程序結束打開可執行程序是否已感染？頭部加入跳轉代碼復制病毒代碼保存可執行程序是否感染下一個？執行病毒任務返回宿主程序病毒種類（1）在野病毒（活躍病毒）仍然在傳播并感染用戶的病毒（2）實驗室病毒（動物園病毒）病毒存在于可控環境，不會傳播到外界（3）同伴病毒病毒對目標程序進行重命名，而自己使用目標程序的名稱（4）空腔（cavity）病毒病毒把自己隱藏在充滿大量數據0的宿主程序中，不增加原程序大小、不破壞原程序代碼（5）隧道（tunnel）病毒病毒通過在操作系統中尋找中斷處理程序（免檢內核區），將自身安裝在防病毒軟件后面（6）直接行動病毒（非常駐病毒）每次宿主程序被執行時，病毒只感染一個或多個程序，而非盡可能多的文件（7）內存（RAM）病毒當被感染程序運行時，病毒將自身單獨轉移到內存中，可持續感染其他被執行程序（8）隱秘型病毒病毒使用各種手段隱藏自身蹤跡（9）潛伏病毒病毒隱藏在系統中，直到滿足某些條件才激活并爆發。（10）多態病毒病毒經常改變外形，每次復制時都改變配置，難以通過特征代碼來檢測網絡安全威脅1626病毒判別方法特征編碼病毒代碼的編碼組合、含有的字符串等特定類型感染指定的可執行文件類型（.com/.exe等）宏病毒（Office文件）特別行為（非共性）文件長度變長文件校驗或簽名錯誤額外的存儲器讀寫或文件讀寫操作程序和系統運行效率降低網絡安全威脅1726病毒抵抗安全檢測的方法抗特征碼串比對加入隨機數據；部分代碼壓縮或加密抗文件長度檢查嵌入宿主“空腔”內；原程序代碼壓縮抗宿主文件校驗模擬或偽造校驗抗異常文件搜索制作“同伴”文件抗應用程序排查駐留在操作系統或固件中抗異常行為判別實行“有節制”的感染網絡安全威脅1826⑵木馬TrojanHorse一種植入計算機系統的惡意代碼，一般處于潛伏狀態，滿足設定條件或遠程控制下激活其運行，完成攻擊任務木馬功能：竊取相關信息（賬號、口令、鍵盤輸入等）受控執行指定攻擊任務木馬攻擊體系：服務端——植入在傀儡機中的木馬守護進程客戶端——遠程控制木馬的系統木馬攻擊方式：竊取信息并發送給攻擊者分布式木馬攻擊網絡安全威脅1926木馬技術原理網絡安全威脅2026被攻擊者攻擊者①植入木馬②偵聽端口③激活木馬，發送命令④執行任務例：冰河木馬植入冰河木馬后系統痕跡C:\winnt\system32目錄下安裝sysexplr.exe和kernel32.exe兩個文件修改txt文件關聯方式為MICROSOFTWINDOWS(TM)修改注冊表項：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和RunServices下鍵值改為： c:\winnt\system32\kernel32.exe HKEY_CLASSES_ROOT\txtfile\shell\open\command下鍵值改為： c:\winnt\system32\sysexplr.exe（原為Notepad.exe）偵聽端口號缺省為7626網絡安全威脅2126木馬傳播和植入方式隨E-mail及其附件傳播偽裝成HTML、TXT、ZIP、JPG等，誘騙用戶打開（執行）附加在盜版軟件中包含在安裝包中誘騙用戶下載軟件執行偽造成相關軟件利用操作系統存在的漏洞通過Script、ActiveX及ASP、CGI交互腳本的方式植入網絡安全威脅2226木馬隱身技術隱蔽性一般不運行，難以被發現痕跡迷惑性即使被發現，難以確定準確位置頑固性駐留在多個位置，難以同時根除網絡安全威脅2326（1）使用多種啟動方式，如隨操作系統啟動、隨文件運行啟動、隨動態鏈接庫調用啟動等（2）經常刻意變換文件名，或采用與操作系統核心程序非常類似的文件名，借以偽裝自身，同時修改文件顯示和訪問屬性、偽裝圖標，混跡于系統內核程序中（3）駐留在操作系統的各個位置，如系統文件、應用程序、注冊表、啟動項、服務組等（4）隱蔽在內存或進程表中，一般權限的用戶使用常規的命令甚至無法發現該進程的存在⑶蠕蟲Worm一種在Internet上傳播的攻擊程序，可自我復制并大量發送蠕蟲特點：以獨立形式存在通過E-mail附件、即時通信客戶端或計算機用戶之間共享文件、安裝不明來源文件等進入系統蠕蟲可以不在用戶參與（用戶不知情）下自行傳播網絡安全威脅2426n0n1n2n3n4505=312,500,000蠕蟲技術原理網絡安全威脅2526獲取通訊錄中的所有聯系人地址生成包含蠕蟲本身的消息或郵件