【正文】 文件下載 瀏覽網(wǎng)頁 + 合并文件 經(jīng)過偽裝的木馬被植入目標機器 131 第 10章 網(wǎng)絡(luò)安全 遠程受控端程序的自啟動 ? Windows啟動目錄 ? 注冊表啟動 – Run(RunOnce/RunOnceEx/RunServices） – KnownDLLs – 修改文件關(guān)聯(lián)方式 ? 系統(tǒng)配置文件啟動 – – ? 服務(wù)啟動 ? 其他啟動 132 第 10章 網(wǎng)絡(luò)安全 遠程受控端程序的隱藏 ? 在任務(wù)欄（包括任務(wù)管理器）中隱藏自己 – 初步隱藏 ? 注冊為系統(tǒng)服務(wù) – 不適用于 Win2k/NT ? 啟動時會先通過窗口名來確定是否已經(jīng)在運行，如果是則不再啟動 – 防止過多的占用資源 ? 進程隱藏 – 遠程線程插入其他進程（不適用于 Win9X） – Hook技術(shù) 133 第 10章 網(wǎng)絡(luò)安全 遠程控制數(shù)據(jù)傳輸方式 ? ICMP協(xié)議傳送 ? 反彈端口 + HTTP隧道技術(shù) 134 第 10章 網(wǎng)絡(luò)安全 反彈端口連接模式 1024 反彈式的遠程 控制程序 防火墻 IP數(shù)據(jù)包過濾 目標主機 Windows 系統(tǒng) IE 進 程 木馬線程 正常線程 進入合法應(yīng)用程序 正常線程 … Inter Explorer 瀏覽網(wǎng)頁 端口 監(jiān)聽端口 傳統(tǒng)遠 程控制程序 135 第 10章 網(wǎng)絡(luò)安全 遠程控制的防御 ? 遠程端口掃描 ? 本地進程 —端口察看 – Fport / Vision – AntiyPorts – APorts ? 本地進程察看 – Pslist – Listdlls ? 注冊表監(jiān)控 – Regmon ? 文件監(jiān)控 – Filemon ? 使用專用的查殺工具 ? 加強使用者的安全意識 136 第 10章 網(wǎng)絡(luò)安全 Vision 137 第 10章 網(wǎng)絡(luò)安全 AntiyPorts 138 第 10章 網(wǎng)絡(luò)安全 DoS與 DDoS攻擊 ? DoS (Denial of Service)攻擊的中文含義是拒絕服務(wù)攻擊 ? DDoS (Distributed Denial of Service)攻擊的中文含義是分布式拒絕服務(wù)攻擊 139 第 10章 網(wǎng)絡(luò)安全 拒絕服務(wù)攻擊的種類 ? 發(fā)送大量的無用請求，致使目標網(wǎng)絡(luò)系統(tǒng)整體的網(wǎng)絡(luò)性能大大降低，喪失與外界通信的能力。特洛伊人以為希臘人已走，就把木馬當(dāng)作是獻給雅典娜的禮物搬入城中。 – 各種病毒、蠕蟲等惡意代碼，和各種黑客攻擊，通過 Inter為主線，對全球各行業(yè)的計算機網(wǎng)絡(luò)用戶都造成了嚴重的影響。隨后在全球各地侵襲了 830萬部電腦，總共造成將近 10億美元的經(jīng)濟損失 傳播方式包括：電子郵件、網(wǎng)絡(luò)臨近共享文件、 IE瀏覽器的內(nèi)嵌MIME類型自動執(zhí)行漏洞、 IIS服務(wù)器文件目錄遍歷漏洞、 CodeRedII和 Sadmind/IIS蠕蟲留下的后門等 86 第 10章 網(wǎng)絡(luò)安全 SQL Slammer蠕蟲 Slammer的傳播數(shù)度比 “紅色代碼 ”快兩個數(shù)量級 在頭一分鐘之內(nèi)，感染主機數(shù)量每 ； 3分鐘后該病毒的傳播速度達到峰值（每秒鐘進行 5500萬次掃描）； 接下來，其傳播速度由于自身擠占了絕大部分網(wǎng)絡(luò)帶寬而開始下降； 10分鐘后，易受攻擊的主機基本上已經(jīng)被感染殆盡 30分鐘后 在全球的感染面積 87 第 10章 網(wǎng)絡(luò)安全 2023年 8月 11日首先被發(fā)現(xiàn)，然后迅速擴散，這時候距離被利用漏洞的發(fā)布日期還不到 1個月 該蠕蟲病毒針對的系統(tǒng)類型范圍相當(dāng)廣泛（包括Windows NT/2023/XP） 截至 8月 24日，國內(nèi)被感染主機的數(shù)目為 25~100萬臺 全球直接經(jīng)濟損失幾十億美金 RPC DCOM蠕蟲 88 第 10章 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)威脅 ? 惡意代碼及黑客攻擊手段的三大特點 ： – 傳播速度驚人 – 受害面驚人 – 穿透深度驚人 89 第 10章 網(wǎng)絡(luò)安全 ? 傳播速度 –―大型推土機 ‖技術(shù) (Mass rooter)，是新一代規(guī)模性惡意代碼具備的顯著功能。此外還留下了很多攻擊美國司法政策的文字 ? 96年 9月 18日，黑客光顧美國中央情報局的網(wǎng)絡(luò)服務(wù)器，將其主頁由 “ 中央情報局 ” 改為 “ 中央愚蠢局 ” ? 96年 12月 29日，黑客侵入美國空軍的全球網(wǎng)網(wǎng)址并將其主頁肆意改動，其中有關(guān)空軍介紹、新聞發(fā)布等內(nèi)容被替換成一段簡短的黃色錄象，且聲稱美國政府所說的一切都是謊言。未來的入侵檢測系統(tǒng)將會結(jié)合其他網(wǎng)絡(luò)管理軟件，形成入侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體的工具。 74 第 10章 網(wǎng)絡(luò)安全 增進對大流量網(wǎng)絡(luò)的處理能力：隨著網(wǎng)絡(luò)流量的不斷增長，對獲得的數(shù)據(jù)進行實時分析的難度加大，這導(dǎo)致對所在入侵檢測系統(tǒng)的要求越來越高。 3．混合型入侵檢測系統(tǒng)：基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)都有不足之處，會造成防御體系的不全面，綜合了基于網(wǎng)絡(luò)和基于主機的混合型入侵檢測系統(tǒng)既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息，也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況。 71 第 10章 網(wǎng)絡(luò)安全 入侵檢測系統(tǒng)分類 按照檢測對象和工作凡是的不同，入侵檢測系統(tǒng)劃分為： 1．基于主機的入侵檢測系統(tǒng)。它將一個入侵檢測系統(tǒng)分為以下組件：事件產(chǎn)生器（ Event generators），用 E盒表示；事件分析器（ Event analyzers），用 A盒表示；響應(yīng)單元（ Responseunits），用 R盒表示；事件數(shù)據(jù)庫（ Event databases），用 D盒表示。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn)： 66 第 10章 網(wǎng)絡(luò)安全 ? 監(jiān)視、分析用戶及系統(tǒng)活動； ? 系統(tǒng)構(gòu)造和弱點的審計； ? 識別反映已知進攻的活動模式并向相關(guān)人士報警； ? 異常行為模式的統(tǒng)計分析； ? 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； ? 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。例如，可以只允許通過訪問萬維網(wǎng)的應(yīng)用，而阻止 FTP 應(yīng)用的通過。屬于這類的有分組過濾和授權(quán)服務(wù)器。 ? ―允許 ‖的功能與 ―阻止 ‖恰好相反。 ? 防火墻內(nèi)的網(wǎng)絡(luò)稱為 ―可信賴的網(wǎng)絡(luò) ‖(trusted work)，而將外部的因特網(wǎng)稱為 ―不可信賴的網(wǎng)絡(luò) ‖(untrusted work)。 再除以 119，得出商為 ...? 10138，余數(shù)為 19。用公開密鑰加密時，先計算 Xe ? 195 ? 2476099。 于是，公開密鑰 PK ? (e, n) ? {5, 119}, 秘密密鑰 SK ? {77, 119}。 從 [0, 95]中選擇一個與 96 互素的數(shù) e。用戶計算出滿足下式的 d ed ? 1 mod ?(n) (1010) 作為解密指數(shù)。用戶再計算出 n 的歐拉函數(shù) ?(n) ? (p ? 1)(q ? 1) (109) ?(n) 定義為不超過 n 并與 n 互素的數(shù)的個數(shù)。 n 稱為 RSA算法的模數(shù)。 ? N 為兩個大素數(shù) p 和 q 之積（素數(shù) p 和 q 一般為 100 位以上的十進數(shù)）， e 和 d 滿足一定的關(guān)系。 (5) 加密和解密算法都是公開的。公開密鑰還需要密鑰分配協(xié)議，具體的分配過程并不比采用傳統(tǒng)加密方法時更為簡單。 ? 雖然秘密密鑰 SK 是由公開密鑰 PK 決定的，但卻不能根據(jù) PK 計算出 SK。 ? 公開密鑰密碼體制的產(chǎn)生主要是因為兩個方面的原因，一是由于常規(guī)密鑰密碼體制的密鑰分配問題，另一是由于對數(shù)字簽名的需求。 46 第 10章 網(wǎng)絡(luò)安全 三重 DES (Triple DES) ? 三重 DES 使用兩個密鑰，執(zhí)行三次 DES 算法。盡管人們在破譯 DES 方面取得了許多進展，但至今仍未能找到比窮舉搜索密鑰更有效的方法。 ? 也就是說 ， 對于 DES 算法 ， 相同的明文就產(chǎn)生相同的密文 。 ? 然后對每一個 64 bit 二進制數(shù)據(jù)進行加密處理，產(chǎn)生一組 64 bit 密文數(shù)據(jù)。 ? 分組密碼算法的一個重要特點就是：當(dāng)給定一個密鑰后 ， 若明文分組相同 ， 那么所變換出密文分組也相同 。關(guān)鍵是序列的周期要足夠長，且序列要有很好的隨機性（這很難尋找）。這也可稱為一次一密亂碼本體制。 20 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 先讀順序為 1 的明文列，即 aba 21 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 再讀順序為 2 的明文列，即 u 22 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 再讀順序為 3 的明文列，即 aio 23 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 再讀順序為 4 的明文列，即 tet 24 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 再讀順序為 5 的明文列，即 tgf 25 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 密文的得出 密鑰 順序 明文 最后讀順序為 6 的明文列，即 ksr 因此密文就是： abauaiotettgfksr 26 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 先寫下第 1 列密文 aba 收到的密文： abauaiotettgfksr 27 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 再寫下第 2 列密文 u 收到的密文： abauaiotettgfksr 28 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 再寫下第 3 列密文 aio 收到的密文： abauaiotettgfksr 29 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 再寫下第 4 列密文 tet 收到的密文： abauaiotettgfksr 30 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 再寫下第 5 列密文 tgf 收到的密文： abauaiotettgfksr 31 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端收到密文后按列寫下 密鑰 順序 明文 最后寫下第 6 列密文 ksr 收到的密文： abauaiotettgfksr 32 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端從密文解出明文 密鑰 順序 明文 最后按行讀出明文 收到的密文： abauaiotettgfksr 33 第 10章 網(wǎng)絡(luò)安全 CIPHER 145326 attack begins atfour 接收端從密文解出明文 密鑰 順序