【正文】 3．木馬偽裝的方法 （ 4） 自我銷毀 木馬安裝完成后 ， 源木馬文件會自動銷毀 ， 這樣用戶就很難找到木馬的來源 。 ? 大多數(shù)這類木馬程序不會在每次系統(tǒng)重啟時都自動加載，它們大多數(shù)使用 25號端口發(fā)送電子郵件。 3. DDoS攻擊的防御策略 ? DDoS攻擊的隱蔽性極強，迄今為止人們還沒有找到對 DDoS攻擊行之有效的解決方法。 ? 制造高流量無用數(shù)據(jù) ， 造成網絡擁塞 ， 使受害主機無法正常和外界通訊 。 緩沖區(qū)溢出的原理 ? 向一個有限空間的緩沖區(qū)中植入超長字符串，可能出現(xiàn)兩個結果： ? 一是過長的字符串會覆蓋下一個相鄰的內存塊，導致一些不可預料的結果：也許程序可以繼續(xù)，也許程序的執(zhí)行出現(xiàn)奇怪現(xiàn)象，也許程序完全失敗； ? 另一種結果就是利用這種漏洞可以執(zhí)行任意指令，甚至可以得到超級用戶（管理員）權限。 ? 黑客可以通過命令方式或掃描技術 、 監(jiān)聽技術來確定主機之間的信任關系 。 Web欺騙的防范 1． 短期的解決辦法 （ 1） 上網瀏覽時 ， 最好關掉瀏覽器的 JavaScript，只有當訪問熟悉的網站時才打開它 ， 目的是使攻擊者不能隱藏攻擊的跡象 。 還可以通過網絡帶寬出現(xiàn)反常來檢測嗅探 。 進行網絡監(jiān)聽的主機只是被動地接收在網絡中傳輸?shù)男畔?， 沒有任何主動的行為 ， 既不修改在網絡中傳輸?shù)臄?shù)據(jù)包 ， 也不往鏈路中插入任何數(shù)據(jù) ， 很難被網絡管理員覺察到 。 ? 基于主機的漏洞掃描技術：用于掃描本地主機，查找安全漏洞，查殺病毒、木馬、蠕蟲等危害系統(tǒng)安全的惡意程序，主要是針對操作系統(tǒng)的掃描檢測，通常涉及系統(tǒng)的內核、文件的屬性、操作系統(tǒng)的補丁等問題，還包括口令解密等。這種掃描方法的思想是，關閉的端口會用適當?shù)?RST來回復FIN數(shù)據(jù)包。 ? 如果被黑客掌握 ， 它也可以成為一種有效的入侵工具 。 （ 1） 緩沖區(qū)溢出：是指通過有意設計而造成緩沖區(qū)溢出的現(xiàn)象 ， 目的是使程序運行失敗 ， 或者為了獲得系統(tǒng)的特權 。 （ 1） 簡單信息收集 。 由于攻擊技術的進步，攻擊者可以較容易地利用分布式攻擊技術，對受害者發(fā)動破壞性攻擊。 1980 1985 1990 1995 2023 2023 時間（年） 高 各種攻擊者的綜合威脅程度 低 對攻擊者技術知識和技巧的要求 黑客攻擊越來越容易實現(xiàn)，威脅程度越來越高 ? 針對基礎設施、安全設備的攻擊 ? 終端、用戶系統(tǒng) ——基礎設施 ? 危害范圍更大、造成損失更大、負面影響更大 ? 主機、服務器 ——安全設備 ? 安全設備“后面”往往毫無戒備，用戶對安全設備的依賴性更大 ? 針對業(yè)務流程、信息內容的安全威脅 ? 垃圾信息（垃圾郵件、垃圾廣告、 …… ） ? 有害信息（反動、色情、暴力、 …… ） ? 針對業(yè)務系統(tǒng)設計漏洞的攻擊 攻擊的演變 （ 1）攻擊手段在快速改變 如今各種黑客工具唾手可得，各種各樣的黑客網站到處都是。 這里說的黑客是指那些精于某方面技術的人 。 （ 10） 可以為隱藏自己的侵入而作一些修改 ， 但要盡量保持原系統(tǒng)的安全性 ， 不能因為得到系統(tǒng)的控制權而將門戶大開 。 ? 反偵破是指黑客越來越多地采用具有隱蔽攻擊特性的技術，使安全專家需要耗費更多的時間來分析新出現(xiàn)的攻擊工具和了解新的攻擊行為。 （ 2）偽造 Email 通過使用 tel， 黑客可以截取任何用戶 Email的全部信息 ， 這樣的 Email消息是真實的 ， 因為它發(fā)自于合法的用戶 。 （ 4） 非技術類欺騙 。 （ 4） 采取行動 實施緊急反應計劃 ， 修補漏洞 ， 恢復系統(tǒng) 。 （ 2） TCP SYN掃描 客戶端 服務器端 客戶端 服務器端 正常過程 半開連接 SYN SYN/ACK ACK SYN SYN/ACK SYN/ACK SYN Timeout （ 3） TCP FIN 掃描 ? 有的時候可能 SYN掃描都不夠秘密 。 ? 漏洞掃描是指檢測遠程或本地系統(tǒng)中存在的安全缺陷。 網絡監(jiān)聽是一種常用的被動式網絡攻擊方法，能幫助入侵者輕易獲得用其他方法很難獲得的信息，包括用戶口令、賬號、敏感數(shù)據(jù)、 IP地址、路由信息、 TCP套接字號等。 要使機器成為一個嗅探器，需要一個特殊的軟件（以太網卡的廣播驅動程序）或者需要一種能使網絡處于混雜模式的網絡軟件。 Web攻擊的原理 ? 改寫 URL：攻擊者改寫某個頁面上的 URL，使這些連接都指向攻擊者機器，而不是真正的服務器。 ? 由于 IP協(xié)議不對數(shù)據(jù)包中的 IP地址進行認證 ， 因此任何人不經授權就可偽造 IP包的源地址 。 緩沖區(qū)溢出的原理 ? 緩沖區(qū)溢出的根本原因來自 C語言（ C++）本質的不安全性： ? 數(shù)組和指針的引用沒有邊界檢查； ? 標準 C函數(shù)庫中存在許多非安全字符串操作，如strcpy() 、 gets() 等。 拒絕服務攻擊的原理 最典型的 DOS攻擊是 Synflood. ? 原理： TCP連接的三次握手和半開連接 ? 攻擊者：發(fā)送大量偽造的 TCP連接請求 ? 方法 1：偽裝成當時不在線的 IP地址發(fā)動攻擊 ? 方法 2：在主機或路由器上阻截目標機的 SYN/ACK分組 ? 目標機：堆棧溢出崩潰或無法處理正常請求 ? 防御： ? 縮短 SYN Timeout時間 （設置為 20秒以下 ） ? 設置 SYN Cookie ? 設置路由器和防火墻 ,在給定的時間內只允許數(shù)量有限的半開TCP連接發(fā)往主機 拒絕服務攻擊的原理 . . . . SYN/ACK SYN/ACK SYN/ACK SYN SYN SYN 攻擊者 目標主機 SYN SYN/ACK 1 n SYN/ACK SYN/ACK SYN/ACK SYN/ACK . . . . 等待應答 SYN/ACK . . . . . . . . . 分布式拒絕服務攻擊 DDoS（ Distributed Denial of Service） 攻擊是一種基于 DoS攻擊的特殊形式的拒絕服務攻擊 ， 是一種分布 、 協(xié)作的大規(guī)模攻擊方式 ， 攻擊者控制多個傀儡發(fā)起攻擊 ， 主要瞄準比較大的站點 。 2)攻擊者進入其已經發(fā)現(xiàn)的最弱的客戶主機之內 (“肉機” )，并且秘密地安置一個其可遠程控制的代理程序 (端口監(jiān)督程序 )。 2．木馬的種類 （ 1） 破壞型 （ 2） 密碼發(fā)送型 （ 3） 遠程訪問型 （ 4） 鍵盤記錄木馬 （ 5） DoS攻擊木馬 （ 6） 代理木馬 （ 7） FTP木馬 （ 8） 程序殺手木馬 （ 9） 反彈端口型木馬 （ 1）破壞型木馬 ? 大部分木馬程序只竊取信息，不做破壞性的事件，但破壞型木馬卻以毀壞并且刪除文件為目的。 3．木馬偽裝的方法 （ 1） 修改圖標 木馬服務端程序為可執(zhí)行文件，但為了欺騙受害者，將木馬服務端程序的圖標修改為成其它非可執(zhí)行程序的圖標，如修改成文本文件的圖標。 ? 服務器端程序指的是運行在被控制的電腦的木馬程序，該程序為 .exe后綴的可執(zhí)行文件。 ? 這種木馬可以使遠程控制者在本地機器上做任何事情，比如鍵盤記錄、上傳和下載功能、發(fā)送一個“截取屏幕”等等。 ? 在網絡管理方面，要經常檢查系統(tǒng)的物理環(huán)境，禁止那些不必要的網絡服務；建立邊界安全界限，確保輸出的包受到正確限制；經常檢測系統(tǒng)配置信息，并注意查看每天的安全日志。 1. DDoS攻擊的一般原理 ? 分布式拒絕服務攻擊借助于客戶 /服務器技術 ， 將多個計算機聯(lián)合起來作為攻擊平臺 ， 對一個或多個目標發(fā)動 DoS攻擊 ， 從而成倍地提高拒絕服務攻擊的威力 。 緩沖區(qū)溢出的防范 （ 1） 編寫正確的代碼 編寫安全的程序代碼是解決緩沖區(qū)溢出漏洞的最根本辦法 。 值得注意的是 ， 并不是在任何情況下都要使被假冒的主機癱瘓 ，但在 Ether網上的 IP欺騙必須要這么做 ， 否則會引起網絡掛起 。 2．長期的方法 （ 1） IP地址 、 子網 、 域的限制：它可以保護單個的文檔 ， 也可以保護整個的目錄 。 監(jiān)聽的防范 1．檢測網絡嗅探 對于 SunOS和其他的 BSD Unix系統(tǒng)可以使用Lsof命令來檢測嗅探器的存在 。 其中 ， 網絡監(jiān)聽效果最好的地方是在網絡中某