【文章內(nèi)容簡(jiǎn)介】 r是基于硬件的，可以從設(shè)備生產(chǎn)商處獲得。 常見(jiàn)的安全漏洞 (Unix平臺(tái) ) ? U1 RPC 服務(wù)緩沖區(qū)溢出 – 影響的系統(tǒng) : Unix的大部分版本 – 怎樣確定你是否受影響 : ? ? ? – 防范 ? 關(guān)閉或刪除這些服務(wù) ? 在路由或防火墻關(guān)閉 RPC 端口 (port 111) ? 安裝最新的補(bǔ)丁 – – – – 更詳細(xì)的文檔見(jiàn)： ? ? 常見(jiàn)的安全漏洞 (Unix平臺(tái) ) ? U2 Sendmail 漏洞 – 影響：大部分 Unix版本； – 防范 ? 在不是郵件服務(wù)器和代理服務(wù)器上，不要 運(yùn)行Sendmail。 ? 更新 Sendmail到最新版本 ? 或安裝相應(yīng)的補(bǔ)丁文件 . 常見(jiàn)的安全漏洞 (Unix平臺(tái) ) ? U3 Bind 脆弱性 – 過(guò)期版本的 Bind還存在緩沖區(qū)溢出的問(wèn)題，攻擊者可以用來(lái)獲取未經(jīng)授權(quán)的權(quán)限。 – 根據(jù) 1999年中期的調(diào)查，連接在 Inter上的 50％的DNS服務(wù)器運(yùn)行的都是易受攻擊的版本。 – 影響：多個(gè) UNIX and Linux 系統(tǒng) – 建議： 1. 在所有不是 DNS服務(wù)器的機(jī)器上 ， 取消 BIND name daemon （ 稱為 named） . 有些專家建議刪除 DNS軟件 。 ? 在被制定為 DNS服務(wù)器的機(jī)器上升級(jí)到最新版本和補(bǔ)丁版本。 采用下面的文章中的建議： – NXT 漏洞 : – QINV (Inverse Query) 和 NAMED 漏洞 : 常見(jiàn)的安全漏洞 (Unix平臺(tái) ) ? LPD (remote print protocol daemon) – 影響系統(tǒng)： Solaris , , 8 – 防范： 1. 補(bǔ)丁 Sun 2. 如 果 對(duì) 遠(yuǎn) 程 的 打 印 處 理 不 是 必 要 的 ， 在 /etc/ 中關(guān)閉打印設(shè)備 。 3. 限制到 port 515/tcp 的連接 。 常見(jiàn)的安全漏洞 (Unix平臺(tái) ) ? U6 – sadmind and mountd – Sadmind 允許遠(yuǎn)程登陸到 Solaris 系統(tǒng)進(jìn)行管理，Mountd 控制和判斷到安裝在 UNIX主機(jī)上的 NFS的連接。這些應(yīng)用的緩沖區(qū)溢出能被攻擊者利用獲取 root的存取權(quán)限。 – 在直接與 Inter連接的機(jī)器上關(guān)閉或者刪除 sadmind 和 mountd. – 安裝最新的補(bǔ)丁 ? ? ? ? 常見(jiàn)漏洞掃描 ? NSS ? Strobe min/ ? SATAN ? NESSUS 漏洞掃描的原理 ? 已知不同平臺(tái)、不同操作系統(tǒng) /版本、不同應(yīng)用的漏洞； ? 檢查具有安全漏洞的服務(wù)是否存在 ? 攻擊性測(cè)試： exploit 提綱 1. 網(wǎng)絡(luò)攻擊方法 ? 竊聽(tīng) ? 口令破解 ? 端口掃描和信息收集 ? 緩沖區(qū)溢出 ? 漏洞掃描 ? 拒絕服務(wù) 2. 惡意移動(dòng)代碼 ? 計(jì)算機(jī)病毒 ? 網(wǎng)絡(luò)蠕蟲(chóng) ? 特洛伊木馬 ? 其他惡意代碼 拒絕服務(wù)攻擊 ? 拒絕服務(wù)攻擊（ Deny Of Service） 是一種廣泛存在的系統(tǒng)攻擊，其特點(diǎn)是使目標(biāo)主機(jī)停止網(wǎng)絡(luò)服務(wù)，而不是獲取主機(jī)的控制權(quán)。 DOS攻擊常常在沒(méi)有獲得主機(jī)的任何帳號(hào)就可以進(jìn)行，只有連在網(wǎng)絡(luò)上的主機(jī)就有可能被攻擊。 主要手段是耗盡以下電腦資源： – web服務(wù)器允許的最多請(qǐng)求數(shù) – 系統(tǒng)磁盤空間 – 網(wǎng)絡(luò)帶寬 – 進(jìn)程內(nèi)存空間 – CPU處理能力、處理隊(duì)列 teardrop攻擊 正常 IP包 teardrop包 較早的 Linux版本由于計(jì)算時(shí)沒(méi)有檢查這種錯(cuò)誤情況，得到的第二個(gè)分段長(zhǎng)度小于 0，使用 memcpy函數(shù)時(shí)將數(shù)據(jù)拷貝到內(nèi)核中。 拒絕服務(wù)攻擊 OOB攻擊 利用 Windows95/NT下的 NETBIOS網(wǎng)絡(luò)協(xié)議對(duì)帶外數(shù)據(jù)處理（ OOB， out of band）的漏洞，將一個(gè)包以 OOB的方式，發(fā)送到某個(gè)端口上（通常是 139,138,137,113），就可能使系統(tǒng)突然死機(jī)。 拒絕服務(wù)攻擊 ? smurf攻擊 – 廣播信息可以發(fā)送到整個(gè)網(wǎng)絡(luò)中的機(jī)器； – 主機(jī)收到 ICMP echo請(qǐng)求包時(shí)，會(huì)自動(dòng)回應(yīng) ICMP應(yīng)答包； – smurf攻擊使用被攻擊者的 IP地址，偽造 ICMP echo廣播包，發(fā)送給成百上千臺(tái)計(jì)算機(jī)； – 然后這些計(jì)算機(jī)都會(huì)按照包里提到的源地址，即被攻擊者的 IP地址回送 ICMP回應(yīng)； – 被攻擊者主機(jī)或網(wǎng)絡(luò)資源耗盡 拒絕服務(wù)攻擊 TFN攻擊（ Tribe Flood Network） 在系統(tǒng)漏洞得到修補(bǔ)的情況下， teardrop、 OOB等攻擊不再有效。另一類攻擊則簡(jiǎn)單的使用大量的網(wǎng)絡(luò)傳輸而攻擊目標(biāo)，而一對(duì)一的攻擊是不可能取道足夠的效果的，所以出現(xiàn)了分布式拒絕服務(wù)攻擊（ DDOS）， TFN是一個(gè)最著名的 DDOS工具。 TFN的監(jiān)控程序通過(guò)和其他主機(jī)上的 TFN客戶端的通訊（使用ICMP_ECHOREPLY包），同時(shí)對(duì)目標(biāo)主機(jī)進(jìn)行 ICMP、 SYNflood等各種攻擊 2022年 2月 7日， yahoo!被 TFN攻擊，發(fā)向其站點(diǎn)路由器的包在1G/s以上。 yahoo數(shù)小時(shí)癱瘓，損失 12億美元以上。 DDOS攻擊 提綱 1. 網(wǎng)絡(luò)攻擊方法 ? 竊聽(tīng) ? 口令破解 ? 端口掃描和信息收集 ? 緩沖區(qū)溢出 ? 漏洞掃描 ? 拒絕服務(wù) 2. 惡意移動(dòng)代碼 ? 計(jì)算機(jī)病毒 ? 網(wǎng)絡(luò)蠕蟲(chóng) ? 特洛伊木馬 ? 其他惡意代碼 惡意移動(dòng)代碼（ MMC） ? 惡意移動(dòng)代碼 (Malicious Mobile Code)是一段計(jì)算機(jī)程序，能夠在計(jì)算機(jī)或網(wǎng)絡(luò)之間傳播，未經(jīng)授權(quán)、故意修改計(jì)算機(jī)系統(tǒng)。 – 代碼（ Code） – 移動(dòng)（ Mobile） – 惡意（ Malicious） MMC種類 ? 計(jì)算機(jī)病毒（ Virus） ? 特洛伊木馬 (Trojan) ? 蠕蟲(chóng) (Worm) ? HTML中的惡意腳本（ script） ? 其他任何攻擊性或欺騙性的、可傳播的代碼 – Macro – Java Applet – ActiveX – Java Scripts – VB Scripts 可執(zhí)行的內(nèi)容 各種惡意移動(dòng)代碼的融合趨勢(shì) ? 計(jì)算機(jī)網(wǎng)絡(luò)的普及，文件共享 ? 電子郵件應(yīng)用 ? 黑客攻擊的手段 ? 社會(huì)工程（ social engineering ) ? Code Red 和 Nimda 提綱 1. 網(wǎng)絡(luò)攻擊方法 ? 竊聽(tīng) ? 口令破解 ? 端口掃描和信息收集 ? 緩沖區(qū)溢出 ? 漏洞掃描 ? 拒絕服務(wù) 2. 惡意移動(dòng)代碼 ? 計(jì)算機(jī)病毒 ? 網(wǎng)絡(luò)蠕蟲(chóng) ? 特洛伊木馬 ? 其他惡意代碼 計(jì)算機(jī)病毒的定義 ? 多種定義方式 – 計(jì)算機(jī)病毒是一個(gè)指令序列，它能夠把自身的拷貝插入到其他宿主程序中； – 計(jì)算機(jī)病毒是隱藏在計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)資源中，利用系統(tǒng)數(shù)據(jù)資源進(jìn)行繁殖并生存，并能影響計(jì)算機(jī)系統(tǒng)正常運(yùn)行的并通過(guò)系統(tǒng)數(shù)據(jù)共享進(jìn)行傳染的程序。 – 我國(guó) 《 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》第二十八條： 計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！? 計(jì)算機(jī)病毒的主要特點(diǎn) ? 是一段可執(zhí)行的程序 (code) ? 廣泛的傳染性（ Mobile) ? 自我復(fù)制，通過(guò)多種渠道傳播 ? 危害性 (Malicious) ? 破壞數(shù)據(jù)的完整性和可用性 ? 破壞數(shù)據(jù)的保密性 ? 系統(tǒng)和資源的可用性。 ? 隱蔽性和潛伏性 ? 感染后不一定立刻發(fā)作； ? 依附于其他文件、程序、介質(zhì)，不被發(fā)現(xiàn) ? 可觸發(fā)性 ? 觸發(fā)條件：日期、時(shí)間、文件類型 計(jì)算機(jī)病毒原理 內(nèi)容提要 ? 病毒結(jié)構(gòu)模型 ? 病毒的分類 ? 引導(dǎo)型病毒 ? 文件型病毒 ? 宏病毒 ? 病毒舉例 ? 病毒防范 計(jì)算機(jī)病毒的結(jié)構(gòu) 傳染條件判斷 傳染代碼 表現(xiàn)及破壞條件判斷 破壞代碼 傳染模塊 表現(xiàn)模塊 計(jì)算機(jī)病毒的分類 ? 按攻擊平臺(tái)分類： DOS,Win32， MAC， Unix ? 按危害分類：良性、惡性 ? 按代碼形式：源碼、中間代碼、目標(biāo)碼 ? 按宿主分類： – 引導(dǎo)