网络威胁

第6章网络威胁主要内容•6.1概述•6.2计算机病毒•6.3网络入侵•6.4诱骗类威胁6.1概述•威胁：用威力逼迫恫吓使人屈服。•网络威胁：是网络安全受到威胁、存在着危险。•随着互联网的不断发展，网络安全威胁也呈现了一种新的趋势，–最初的病毒，比如“CIH”、“大麻”等传统病毒–逐渐发展为包括特洛伊木马、后门程序、流氓软件、间谍软件、广告软件、网络钓鱼、垃圾邮件等等，–目前的网络威胁往往是集多种特征于一体的混合型威胁。网络威胁的三个阶段•第一阶段（1998年以前）网络威胁主要来源于传统的计算机病毒，其特征是通过媒介复制进行传染，以攻击破坏个人电脑为目的；•第二阶段（大致在1998年以后）网络威胁主要以蠕虫病毒和黑客攻击为主，其表现为蠕虫病毒通过网络大面积爆发及黑客攻击一些服务网站；•第三阶段（2005年以来）网络威胁多样化，多数以偷窃资料、控制利用主机等手段谋取经济利益为目的。网络威胁分类•从攻击发起者的角度来看，–一类是主动攻击型威胁，如网络监听和黑客攻击等，这些威胁都是对方人为通过网络通信连接进行的；–另一类就是被动型威胁，一般是用户通过某种途径访问了不当的信息而受到的攻击。•依据攻击手段及破坏方式进行分类–第一类是以传统病毒、蠕虫、木马等为代表的计算机病毒；–第二类是以黑客攻击为代表的网络入侵；–第三类以间谍软件、广告软件、网络钓鱼软件为代表的欺骗类威胁。6.2计算机病毒•6.2.1病毒概述–1949年约翰·冯·诺依曼《自我繁衍的自动机理论》中从理论上论证了当今计算机病毒的存在论。–20世纪60年代初，美国贝尔实验室的三位程序员编写了一个名为“磁芯大战”的游戏–1983年，美国南加州大学的弗雷德·科恩博士研制出一种在运行过程中可以复制自身的破坏性程序，第一次验证了计算机病毒的存在。–1984年弗雷德·科恩《计算机病毒：原理和实验》。–1986年Brain病毒，世界上流行的第一个病毒。–1988年罗伯特·塔潘·莫里斯（美国前国家安全局首席科学家罗伯特·莫里斯的儿子）编写Morris蠕虫。计算机病毒定义•《中华人民共和国计算机信息系统安全保护条例》中明确定义：–病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。•计算机病毒特征（1）非授权性（2）寄生性（3）传染性（4）潜伏性（5）破坏性（6）触发性•计算机病毒发展新的趋势①无国界②多样化③破坏性更强④智能化⑤更加隐蔽化•计算算机病毒可以根据其工作原理和传播方式划分成①传统病毒②蠕虫病毒③木马6.2.2传统病毒•传统病毒的代表–巴基斯坦智囊（Brain）、大麻、磁盘杀手（DISKKILLER）、CIH等。•传统病毒一般有三个主要模块组成，包括启动模块、传染模块和破坏模块。•CIH–感染Windows95/98环境下PE格式的EXE文件（第一例）–病毒发作时直接攻击和破坏计算机硬件系统。–该病毒通过文件复制进行传播。–计算机开机后，运行了带病毒的文件，其病毒就驻留在Wnidows核心内存里，–组成：初始化驻留模块、传染模块和破坏模块。6.2.3蠕虫病毒•蠕虫与传统病毒的区别：–传统病毒是需要的寄生的，通过感染其它文件进行传播。–蠕虫病毒一般不需要寄生在宿主文件中，传播途径主要包括局域网内的共享文件夹、电子邮件、网络中的恶意网页和大量存在着漏洞的服务器等。–可以说蠕虫病毒是以计算机为载体，以网络为攻击对象。•蠕虫病毒能够利用漏洞，分为软件漏洞和人为缺陷–软件漏洞主要指程序员由于习惯不规范、错误理解或想当然，在软件中留下存在安全隐患的代码–人为缺陷主要指的是计算机用户的疏忽，这就是所谓的社会工程学（SocialEngineering）问题。尼姆达蠕虫Worms.Nimda•2001年9月18日尼姆达病毒在全球蔓延，它能够通过多种传播渠道进行传播，传染性极强，同时破坏力也极大。–尼姆达病毒是一个精心设计的蠕虫病毒，其结构复杂堪称近年来之最。–尼姆达病毒激活后，使用其副本替换系统文件；将系统的各驱动器设为开放共享，降低系统安全性；创建Guest账号并将其加入到管理员组中，安装Guest用户后门。–由于尼姆达病毒通过网络大量传播，产生大量异常的网络流量和大量的垃圾邮件，网络性能势必受到严重影响。Nimda传播途径尼姆达病毒程序防范及清除•感染的用户应重新安装系统，以便彻底清除其它潜在的后门。如不能立刻重装系统，可参考下列步骤来清除蠕虫或者防止被蠕虫攻击：①下载IE和IIS的补丁程序到受影响的主机上；②安装杀毒软件和微软的CodeRedII清除程序；③备份重要数据；④断开网络连接(例如拔掉网线)；⑤执行杀毒工作，清除CodeRedII蠕虫留下的后门；⑥安装IE和IIS的补丁；⑦重启系统，再次运行杀毒软件以确保完全清除蠕虫。6.2.4木马•木马病毒，“木马计”，伪装潜伏的网络病毒。–1986年的PC-Write木马是世界上第一个计算机木马–木马是有隐藏性的、传播性的可被用来进行恶意行为的程序，因此，也被看作是一种计算机病毒。–木马一般不会直接对电脑产生危害，以控制电脑为目的，当然电脑一旦被木马所控制，后果不堪设想。•木马的传播（种木马或植入木马）方式–主要通过电子邮件附件、被挂载木马的网页以及捆绑了木马程序的应用软件。–木马被下载安装后完成修改注册表、驻留内存、安装后门程序、设置开机加载等，甚至能够使杀毒程序、个人防火墙等防范软件失效。木马病毒分类（1）盗号类木马（2）网页点击类木马（3）下载类木马（4）代理类木马木马病毒程序组成控制端程序(客户端)是黑客用来控制远程计算机中的木马的程序；木马程序（服务器端）是木马病毒的核心，是潜入被感染的计算机内部、获取其操作权限的程序；木马配置程序，通过修改木马名称、图标等来伪装隐藏木马程序，并配置端口号、回送地址等信息确定反馈信息的传输路径。灰鸽子的植入方法•被动植入是指植入过程必须依赖受害用户的手工操作；•主动植入是将灰鸽子程序通过程序自动安装到目标系统。灰鸽子的隐藏技术•隐藏文件•隐藏进程•隐藏通讯–通讯端口复用技术是指将自己的通讯直接绑定到正常用户进程的端口，接收数据后，根据包格式判断是不是自己的，如果是它的，自己处理，否则通过127.0.0.1的地址交给真正的服务器应用进行处理。–反弹端口技术是指木马程序启动后主动连接客户，为了隐蔽起见，控制端的被动端口一般设置为80端口。对内部网络到外部网络的访问请求，防火墙一般不进行过于严格的检查，加之其连接请求有可能伪造成对外部资源的正常访问，因此可以通过防火墙。客户端程序•定制生成服务器端程序。–首先利用客户端程序配置生成一个服务器端程序文件，服务器端文件的名字默认为G_Server.exe，然后开始在网络中传播植入这个程序。•控制远程的服务器端。–当木马植入成功后，系统启动时木马就会加载运行，然后反弹端口技术主动连接客户控制端。•客户控制端程序的功能：–对远程计算机文件管理–远程控制命令–捕获屏幕，实时控制–注册表模拟器6.2.5病毒防治•病毒防治技术略滞后于病毒技术•对于大多数计算机用户来说，防治病毒首先需要选择一个有效的防病毒产品，并及时进行产品升级。•计算机病毒防治技术主要包括:–检测、清除、预防和免疫。–检测和清除是根治病毒的有力手段，–预防和免疫也是保证计算机系统安全的重要措施检测•病毒检测方法主要包括：特征代码法、校验和法、行为监测法以及软件模拟法等。•特征代码法–特征代码查毒就是检查文件中是否含有病毒数据库中的病毒特征代码。•校验和法–对正常状态下的重要文件进行计算，取得其校验和，以后定期检查这些文件的校验和与原来保存的校验和是否一致。•行为监测法–利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。当一个可疑程序运行时，监视其行为，如果发现了病毒行为，立即报警。•软件模拟法–软件模拟法是为了对付多态型病毒。软件模拟法是通过模拟病毒的执行环境，为其构造虚拟机，然后在虚拟机中执行病毒引擎解码程序，安全地将多态型病毒解开并还原其本来面目，再加以扫描。软件模拟法的优点是可识别未知病毒、病毒定位准确、误报率低；缺点是检测速度受到一定影响、消耗系统资源较高。计算机中毒的常见症状•系统运行速度减慢；•系统经常无故发生死机•文件长度发生变化；•存储的容量异常减少；•丢失文件或文件损坏；•屏幕上出现异常显示；•系统的蜂鸣器出现异常声响；•磁盘卷标发生变化；•系统不识别硬盘；•对存储系统异常访问；•键盘输入异常；•文件的日期、时间、属性等发生变化；•文件无法正确读取、复制或打开；•命令执行出现错误；•WINDOWS操作系统无故频繁出现错误；•系统异常重新启动；•一些外部设备工作异常；•出现异常的程序驻留内存清除•清除病毒主要分为–使用防病毒软件和手工清除病毒两种方法。–防病毒软件由安全厂商精心研制，可以有效查杀绝大多数计算机病毒，多数用户应采用防病毒软件来清除病毒。–防病毒软件对检测到的病毒一般采取三种处理方案，分别是清除、隔离和删除。–清除是指在发现文件被感染病毒时，采取的清除病毒并保留文件的动作。–隔离是指在发现病毒后，无法确认清除动作会带来什么后果，又不想直接删除文件，故采取监视病毒并阻止病毒运行的方法。–某类病毒清除失败、删除失败、隔离失败，对个人用户来讲，格式化硬盘、重建系统可能就是最后的有效选择。蠕虫、木马等病毒的清除•结束所有可疑进程•删除病毒文件并恢复注册表•内核级后门的清除•重启后扫描–完成了上述三步，随后需要重新启动系统，并使用带有最新病毒库的防病毒软件对全盘进行扫描（这一步非常重要，做不好的话前功尽弃）预防•安装防毒软件–打开你的防毒软件的自动升级服务，定期扫描计算机•注意软盘、光盘以及U盘等存储媒介–在使用软盘、光盘、U盘或活动硬盘前，病毒扫描•关注下载安全–下载要从比较可靠的站点进行，下载后做病毒扫描。•关注电子邮件安全–来历不明的邮件决不要打开，决不要轻易运行附件•使用基于客户端的防火墙•警惕欺骗性的病毒•备份免疫•计算机病毒免疫–提高计算机系统对计算机病毒的抵抗力，从而达到防止病毒侵害的目的–一是提高计算机系统的健壮性，二是给计算机注射“病毒疫苗”。–提高系统健壮性的主要途径包括以下内容：•及时升级操作系统，保证系统安装最新的补丁；•安装防病毒软件，及时升级病毒定义文件和防病毒引擎；•定期扫描系统和磁盘文件；•打开个人防火墙；•使用软盘或U盘写保护•重要的数据信息写入只读光盘；注射“病毒疫苗”•实施免疫的主要方法包括以下几个方面：–感染标识免疫•人为地为正常对象中加上病毒感染标识，使计算机病毒误以为已经感染从而达到免疫的目的。–文件扩展名免疫•将扩展名改为非COM、EXE、SYS、BAT等形式，•将系统默认的可执行文件的后缀名改为非COM、EXE、SYS、BAT等形式。–外部加密免疫•外部加密免疫是指在文件的存取权限和存取路径上进行加密保护，以防止文件被非法阅读和修改。–内部加密免疫•对文件内容加密变换后进行存储，在使用时再进行解密。6.3网络入侵•1980年，JamesPAnderson首次提出了“入侵”的概念，•“入侵”是指在非授权的情况下，试图存取信息、处理信息或破坏系统，以使系统不可靠或不可用的故意行为。•网络入侵一般是指具有熟练编写、调试和使用计算机程序的技巧的人，利用这些技巧来获得非法或未授权的网络或文件的访问，进入内部网的行为。•对信息的非授权访问一般被称为破解cracking。网络入侵•一般分：前期准备、实施入侵和后期处理。–准备阶段需要完成的工作主要包括明确入侵目的、确定入侵对象以及选择入侵手段，•入侵目的一般可分为控制主机、瘫痪主机和瘫痪网络；•入侵对象一般分为主机和网络两类；•根据目的和后果分为：拒绝服务攻击、口令攻击、嗅探攻击、欺骗攻击和利用型攻击。–实施入侵阶段是真正的攻击阶段，主要包括扫描探测和攻击。•扫描探测主要用来收集信息，为下一步攻击奠定基础；•攻击：根据入侵目的、采用相应的入侵手段向入侵对象实施入侵。–后期处理主要是指由于大多数入