【正文】 主動(dòng)攻擊傳染目標(biāo) 本地文件 網(wǎng)絡(luò)計(jì)算機(jī)381南京曉莊學(xué)院 引導(dǎo)區(qū)病毒他是感染磁盤的引導(dǎo)區(qū)，如果是軟盤被感染，這張軟盤用在其他機(jī)器上后，同樣也會(huì)感染其他機(jī)器，所以傳播方式也是用軟盤等方式。普通病毒需要的寄生 ,網(wǎng)絡(luò)中心 眾多用戶電腦被感染，損失超過100億美元以上紅色代碼 2023年 7月 網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過 26億美元求職信 2023年 12月 至今 無害的蠕蟲（蠶）351南京曉莊學(xué)院 　　　　 “蠕蟲 ”程序不一定是有害的。 每個(gè)程序段都能把自身的拷貝重新定位于另一臺(tái)機(jī)器中，并且能識(shí)別它占用的哪臺(tái)機(jī)器。 　　 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 用于版權(quán)保護(hù)。 開個(gè)玩笑，一個(gè)惡作劇。病毒的定義281南京曉莊學(xué)院 　　　　271南京曉莊學(xué)院 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 防范措施：設(shè)置因特網(wǎng)關(guān)，監(jiān)測(cè)、控管。文化安全（內(nèi)容安全）作用點(diǎn)：有害信息的傳播對(duì)我國的政治制度及文化傳統(tǒng)的威脅，主要表現(xiàn)在輿論宣傳方面。防范措施：加密，認(rèn)證，數(shù)字簽名，完整性技術(shù)（VPN)211南京曉莊學(xué)院 系統(tǒng)安全（狹義的網(wǎng)絡(luò)安全）因特網(wǎng)網(wǎng)絡(luò)對(duì)國民經(jīng)濟(jì)的影響在加強(qiáng)安全漏洞危害在增大信息對(duì)抗的威脅在增加研究安全漏洞以防之因特網(wǎng)電力交通通訊控制 廣播工業(yè)金融醫(yī)療研究攻防技術(shù)以阻之201南京曉莊學(xué)院 外顯行為：網(wǎng)絡(luò)被阻塞， 黑客行為 ，計(jì)算機(jī)病毒等，使得依賴于信息系統(tǒng)的管理或控制體系陷于癱瘓。網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 Cryptography”一文中提出了公鑰密碼體制111南京曉莊學(xué)院 通信保密階段 40年代－ 70年代n 重點(diǎn)是通過密碼技術(shù)解決通信保密問題，保證數(shù)據(jù)的保密性與完整性n 主要安全威脅是搭線竊聽、密碼學(xué)分析n 主要保護(hù)措施是加密n 重要標(biāo)志n 1949年 Shannon發(fā)表的《保密通信的信息理論》 91南京曉莊學(xué)院 網(wǎng)絡(luò)存在的安全威脅黑客的發(fā)展趨勢(shì)1980 1985 1990 1995 2023 2023時(shí)間（年）高各種攻擊者的綜合威脅程度低對(duì)攻擊者技術(shù)知識(shí)和技巧的要求黑客攻擊越來越容易實(shí)現(xiàn)，威脅程度越來越高信息網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性增加脆弱性程度網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，安全隱患急劇增加61南京曉莊學(xué)院 復(fù)雜程度復(fù)雜程度Inter 技術(shù)的飛速增長Inter EmailWeb 瀏覽Intra 站點(diǎn)電子商務(wù) 電子政務(wù)電子交易時(shí)間41南京曉莊學(xué)院 當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理提綱21南京曉莊學(xué)院 網(wǎng)絡(luò)安全和管理w曉莊學(xué)院網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕服務(wù)攻擊邏輯炸彈特洛伊木馬 黑客攻擊 計(jì)算機(jī)病毒信息丟失、篡改、銷毀后門、隱蔽通道蠕蟲81南京曉莊學(xué)院 網(wǎng)絡(luò)中心 n 1977年美國國家標(biāo)準(zhǔn)局公布的數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）n 1976年由 Diffie與 Hellman在 “New網(wǎng)絡(luò)中心 網(wǎng)絡(luò)信息系統(tǒng)安全階段 90年代以來n 15408）、 IPv6安全性設(shè)計(jì)131南京曉莊學(xué)院 用戶（企業(yè)、個(gè)人）的角度涉及個(gè)人隱私或商業(yè)利益的信息n 機(jī)密性、完整性、真實(shí)性避免其他人或?qū)κ值膿p害和侵犯n 竊聽、冒充、篡改、抵賴不受其他用戶的非法訪問n 非授權(quán)訪問、破壞151南京曉莊學(xué)院 安全保密部門非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵避免通過網(wǎng)絡(luò)泄漏避免信息的泄密對(duì)社會(huì)的危害、對(duì)國家造成巨大的損失171南京曉莊學(xué)院 系統(tǒng)安全（狹義的網(wǎng)絡(luò)安全）作用點(diǎn)：對(duì)計(jì)算機(jī)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)可用性的威脅，主要表現(xiàn)在訪問控制方面。防范措施：防止入侵，檢測(cè)入侵，抵抗入侵，系統(tǒng)恢復(fù)。網(wǎng)絡(luò)中心 外顯行為：竊取信息，篡改信息，冒充信息，信息抵賴。網(wǎng)絡(luò)中心 231南京曉莊學(xué)院 當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀當(dāng)前網(wǎng)絡(luò)安全熱點(diǎn)話題大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)網(wǎng)絡(luò)管理251南京曉莊學(xué)院 病毒的定義計(jì)算機(jī)病毒 為什么叫做病毒。網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 216。216。病毒的歷史計(jì)算機(jī)病毒在計(jì)算機(jī)誕生不久后就出現(xiàn)了，其前身只不過是程序員閑來無事而編寫的趣味程序；后來，才發(fā)展出了諸如破壞文件、修改系統(tǒng)參數(shù)、干擾計(jì)算機(jī)的正常工作等的惡性病毒301南京曉莊學(xué)院 (依附性 ) 傳統(tǒng)病毒的特性 321南京曉莊學(xué)院 蠕 蟲 1982年， Shock和 Hupp根據(jù) The　　 主程序一旦在機(jī)器上建立就會(huì)去收集與當(dāng)前機(jī)器聯(lián)網(wǎng)的其它機(jī)器的信息。論證了 “蠕蟲 ”程序可用作為 Ether網(wǎng)絡(luò)設(shè)備的一種診斷工具，它能快速有效地檢測(cè)網(wǎng)絡(luò)。網(wǎng)絡(luò)中心 大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元 蠕蟲病毒的特點(diǎn)蠕蟲也是一種病毒，因此具有病毒的共同特征。通過自己指令的執(zhí)行 ，將自己的指令代碼寫到其他程序的體內(nèi)，而被 感染的文件就被稱為 ”宿主 ”371南京曉莊學(xué)院 網(wǎng)絡(luò)中心 蠕蟲和普通病毒不同的一個(gè)特征是蠕蟲病毒往往能夠利用漏洞，這里的漏洞或者說是缺陷，我們分為 2種：如遠(yuǎn)程溢出，微軟 ie和 outlook的自動(dòng)執(zhí)行漏洞等等。計(jì)算機(jī)用戶的疏忽。網(wǎng)絡(luò)中心 SQLServer監(jiān)聽API地址， GetTickCount、 socket、 sendto，接著病毒使用 GetTickCount獲得一個(gè)隨機(jī)數(shù)，進(jìn) Server開放端口 )使用廣播數(shù)據(jù)包 網(wǎng)絡(luò)中心 發(fā)送數(shù)據(jù)包占用了大量系統(tǒng)資源和網(wǎng)絡(luò)帶寬， 形成 Udp一個(gè)百兆網(wǎng)阻塞。網(wǎng)絡(luò)中心 2． 能夠在第一時(shí)間內(nèi)檢測(cè)到網(wǎng)絡(luò)異常和病毒攻擊。建立災(zāi)難備份系統(tǒng)。對(duì)于局域網(wǎng)而言，可以采用以下一些主要手段：網(wǎng)絡(luò)中心 script中調(diào)用郵件發(fā)送功能也非常的簡單，病毒往往采用的方法是向 outlook中的地址薄中的郵件地址發(fā)送帶有包含自身的郵件來達(dá)到傳播目的 惡意網(wǎng)頁確切的講是一段 黑客破壞代碼程序 ，它 內(nèi)嵌在網(wǎng)頁中 ，當(dāng)用戶在不知情的情況下打開含有病毒的網(wǎng)頁時(shí)，病毒就會(huì)發(fā)作。個(gè)人用戶的防范策略網(wǎng)絡(luò)蠕蟲病毒對(duì)個(gè)人用戶的攻擊主要還是通過社會(huì)工程學(xué)，而不是利用系統(tǒng)漏洞！所以防范此類病毒需要注意以下幾點(diǎn)： .經(jīng)常升級(jí)病毒庫Inter區(qū)域的安全級(jí)別 ”，把安全級(jí)別由 “中 ”改為 “高 ”4．不隨意查看陌生郵件尤其是帶有附件的郵件，由于有的病毒郵件能夠利用 ie和 outlook的漏洞自動(dòng)執(zhí)行，所以計(jì)算機(jī)用戶需要升級(jí) ie和 outlook程序，及常用的其他應(yīng)用程序！451南京曉莊學(xué)院 蠕蟲和黑客技術(shù)的結(jié)合，使得對(duì)蠕蟲的分析，檢測(cè)和防范具有一定的難度，同時(shí)對(duì)蠕蟲的網(wǎng)絡(luò)傳播性，網(wǎng)絡(luò)流量特性建立數(shù)學(xué)模型也是有待研究的工作！ 攻擊n landn SYN,n Windows:471南京曉莊學(xué)院 “拒絕服務(wù) ”的例子 : LAND 攻擊攻擊者攻擊者InterCode目標(biāo)目標(biāo) IP包欺騙包欺騙源地址源地址 Port 139目的地址目的地址 Port 139包被送回它自己包被送回它自己崩潰G. Mark Hardy491南京曉莊學(xué)院 TCP 同步 泛濫攻擊者攻擊者InterCode目標(biāo)目標(biāo)欺騙性的欺騙性的 IP 包包源地址不存在源地址不存在目標(biāo)地址是目標(biāo)地址是 TCP OpenG. Mark Hardy511南京曉莊學(xué)院 Smuff攻擊示意圖第一步：攻擊者向被利用網(wǎng)絡(luò) A的廣播地址發(fā)送一個(gè) ICMP 協(xié)議的’echo’請(qǐng)求數(shù)據(jù)報(bào)，該數(shù)據(jù)報(bào)源地址被偽造成 第二步：網(wǎng)絡(luò) A上的所有主機(jī)都向該偽造的源地址返回一個(gè) ‘echo’響應(yīng)，造成該主機(jī)服務(wù)中斷。首先使這兩種 UDP服務(wù)都產(chǎn)生輸出，然后讓這兩種 UDP服務(wù)（例如 chargen服務(wù) (UDP)和 echo服務(wù) (UDP)）之間互相通信，使一方的輸出成為另一方的輸入。541南京曉莊學(xué)院 當(dāng)一臺(tái)黑客機(jī)器 A要與另外一臺(tái) ISP的主機(jī) B建立連接時(shí)，它的通信方式是先發(fā)一個(gè) SYN包告訴對(duì)方主機(jī) B說 “ 我要和你通信了” ，當(dāng) B收到時(shí)，就回復(fù)一個(gè) ACK/SYN確認(rèn)請(qǐng)求包給 A主機(jī)。而在缺省超時(shí)的時(shí)間范圍以內(nèi)，主機(jī)的一部分資源要花在等待這個(gè) ACK包的響應(yīng)上，假如短時(shí)間內(nèi)主機(jī) A接到大量來自虛假 IP地址的 SYN包，它就要占用大量的資源來處理這些錯(cuò)誤的等待，最后的結(jié)果就是系統(tǒng)資源耗盡以至癱瘓。如在 Linux下輸入 Ping t 66510 IP（未打補(bǔ)丁的Win95/98的機(jī)器），機(jī)器就會(huì)癱瘓。網(wǎng)絡(luò)中心 網(wǎng)絡(luò)中心 n Stacheldraht很難防范偽造源地址，流量加密，因此很難跟蹤clienttargethandler ...agent ...DoSICMP Flood / SYN Flood / UDP Flood581南京曉莊學(xué)院 分布式拒絕服務(wù)攻擊步驟 1ScanningProgram不安全的計(jì)算機(jī)Hacker攻擊者使用掃描工具探測(cè)掃描大量主機(jī)以尋找潛在入侵目標(biāo)。這些主機(jī)將被用于放置后門、 sniffer或守護(hù)程序甚至是客戶程序。黑客在得到入侵計(jì)算機(jī)清單后，從中選出滿足建立網(wǎng)絡(luò)所需要的主機(jī)，放置已編譯好的守護(hù)程序，并對(duì)被控制的計(jì)算機(jī)發(fā)送命令。HackerClient黑客發(fā)送控制命令給主機(jī)，準(zhǔn)備啟動(dòng)對(duì)目標(biāo)系統(tǒng)的攻擊4被控制計(jì)算機(jī)（代理端）TargetedSystemMasterServer