【文章內容簡介】 r是基于硬件的，可以從設備生產商處獲得。 常見的安全漏洞 (Unix平臺 ) ? U1 RPC 服務緩沖區(qū)溢出 – 影響的系統(tǒng) : Unix的大部分版本 – 怎樣確定你是否受影響 : ? ? ? – 防范 ? 關閉或刪除這些服務 ? 在路由或防火墻關閉 RPC 端口 (port 111) ? 安裝最新的補丁 – – – – 更詳細的文檔見： ? ? 常見的安全漏洞 (Unix平臺 ) ? U2 Sendmail 漏洞 – 影響：大部分 Unix版本； – 防范 ? 在不是郵件服務器和代理服務器上，不要 運行Sendmail。 ? 更新 Sendmail到最新版本 ? 或安裝相應的補丁文件 . 常見的安全漏洞 (Unix平臺 ) ? U3 Bind 脆弱性 – 過期版本的 Bind還存在緩沖區(qū)溢出的問題，攻擊者可以用來獲取未經授權的權限。 – 根據(jù) 1999年中期的調查，連接在 Inter上的 50％的DNS服務器運行的都是易受攻擊的版本。 – 影響：多個 UNIX and Linux 系統(tǒng) – 建議： 1. 在所有不是 DNS服務器的機器上 ， 取消 BIND name daemon （ 稱為 named） . 有些專家建議刪除 DNS軟件 。 ? 在被制定為 DNS服務器的機器上升級到最新版本和補丁版本。 采用下面的文章中的建議： – NXT 漏洞 : – QINV (Inverse Query) 和 NAMED 漏洞 : 常見的安全漏洞 (Unix平臺 ) ? LPD (remote print protocol daemon) – 影響系統(tǒng)： Solaris , , 8 – 防范： 1. 補丁 Sun 2. 如 果 對 遠 程 的 打 印 處 理 不 是 必 要 的 ， 在 /etc/ 中關閉打印設備 。 3. 限制到 port 515/tcp 的連接 。 常見的安全漏洞 (Unix平臺 ) ? U6 – sadmind and mountd – Sadmind 允許遠程登陸到 Solaris 系統(tǒng)進行管理，Mountd 控制和判斷到安裝在 UNIX主機上的 NFS的連接。這些應用的緩沖區(qū)溢出能被攻擊者利用獲取 root的存取權限。 – 在直接與 Inter連接的機器上關閉或者刪除 sadmind 和 mountd. – 安裝最新的補丁 ? ? ? ? 常見漏洞掃描 ? NSS ? Strobe min/ ? SATAN ? NESSUS 漏洞掃描的原理 ? 已知不同平臺、不同操作系統(tǒng) /版本、不同應用的漏洞； ? 檢查具有安全漏洞的服務是否存在 ? 攻擊性測試： exploit 提綱 1. 網絡攻擊方法 ? 竊聽 ? 口令破解 ? 端口掃描和信息收集 ? 緩沖區(qū)溢出 ? 漏洞掃描 ? 拒絕服務 2. 惡意移動代碼 ? 計算機病毒 ? 網絡蠕蟲 ? 特洛伊木馬 ? 其他惡意代碼 拒絕服務攻擊 ? 拒絕服務攻擊（ Deny Of Service） 是一種廣泛存在的系統(tǒng)攻擊，其特點是使目標主機停止網絡服務，而不是獲取主機的控制權。 DOS攻擊常常在沒有獲得主機的任何帳號就可以進行，只有連在網絡上的主機就有可能被攻擊。 主要手段是耗盡以下電腦資源： – web服務器允許的最多請求數(shù) – 系統(tǒng)磁盤空間 – 網絡帶寬 – 進程內存空間 – CPU處理能力、處理隊列 teardrop攻擊 正常 IP包 teardrop包 較早的 Linux版本由于計算時沒有檢查這種錯誤情況，得到的第二個分段長度小于 0，使用 memcpy函數(shù)時將數(shù)據(jù)拷貝到內核中。 拒絕服務攻擊 OOB攻擊 利用 Windows95/NT下的 NETBIOS網絡協(xié)議對帶外數(shù)據(jù)處理（ OOB， out of band）的漏洞，將一個包以 OOB的方式，發(fā)送到某個端口上（通常是 139,138,137,113），就可能使系統(tǒng)突然死機。 拒絕服務攻擊 ? smurf攻擊 – 廣播信息可以發(fā)送到整個網絡中的機器； – 主機收到 ICMP echo請求包時，會自動回應 ICMP應答包； – smurf攻擊使用被攻擊者的 IP地址，偽造 ICMP echo廣播包，發(fā)送給成百上千臺計算機； – 然后這些計算機都會按照包里提到的源地址，即被攻擊者的 IP地址回送 ICMP回應； – 被攻擊者主機或網絡資源耗盡 拒絕服務攻擊 TFN攻擊（ Tribe Flood Network） 在系統(tǒng)漏洞得到修補的情況下， teardrop、 OOB等攻擊不再有效。另一類攻擊則簡單的使用大量的網絡傳輸而攻擊目標，而一對一的攻擊是不可能取道足夠的效果的，所以出現(xiàn)了分布式拒絕服務攻擊（ DDOS）， TFN是一個最著名的 DDOS工具。 TFN的監(jiān)控程序通過和其他主機上的 TFN客戶端的通訊（使用ICMP_ECHOREPLY包），同時對目標主機進行 ICMP、 SYNflood等各種攻擊 2022年 2月 7日， yahoo!被 TFN攻擊，發(fā)向其站點路由器的包在1G/s以上。 yahoo數(shù)小時癱瘓，損失 12億美元以上。 DDOS攻擊 提綱 1. 網絡攻擊方法 ? 竊聽 ? 口令破解 ? 端口掃描和信息收集 ? 緩沖區(qū)溢出 ? 漏洞掃描 ? 拒絕服務 2. 惡意移動代碼 ? 計算機病毒 ? 網絡蠕蟲 ? 特洛伊木馬 ? 其他惡意代碼 惡意移動代碼（ MMC） ? 惡意移動代碼 (Malicious Mobile Code)是一段計算機程序，能夠在計算機或網絡之間傳播，未經授權、故意修改計算機系統(tǒng)。 – 代碼（ Code） – 移動（ Mobile） – 惡意（ Malicious） MMC種類 ? 計算機病毒（ Virus） ? 特洛伊木馬 (Trojan) ? 蠕蟲 (Worm) ? HTML中的惡意腳本（ script） ? 其他任何攻擊性或欺騙性的、可傳播的代碼 – Macro – Java Applet – ActiveX – Java Scripts – VB Scripts 可執(zhí)行的內容 各種惡意移動代碼的融合趨勢 ? 計算機網絡的普及，文件共享 ? 電子郵件應用 ? 黑客攻擊的手段 ? 社會工程（ social engineering ) ? Code Red 和 Nimda 提綱 1. 網絡攻擊方法 ? 竊聽 ? 口令破解 ? 端口掃描和信息收集 ? 緩沖區(qū)溢出 ? 漏洞掃描 ? 拒絕服務 2. 惡意移動代碼 ? 計算機病毒 ? 網絡蠕蟲 ? 特洛伊木馬 ? 其他惡意代碼 計算機病毒的定義 ? 多種定義方式 – 計算機病毒是一個指令序列，它能夠把自身的拷貝插入到其他宿主程序中； – 計算機病毒是隱藏在計算機系統(tǒng)的數(shù)據(jù)資源中，利用系統(tǒng)數(shù)據(jù)資源進行繁殖并生存，并能影響計算機系統(tǒng)正常運行的并通過系統(tǒng)數(shù)據(jù)共享進行傳染的程序。 – 我國 《 中華人民共和國計算機信息系統(tǒng)安全保護條例 》第二十八條： 計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。“ 計算機病毒的主要特點 ? 是一段可執(zhí)行的程序 (code) ? 廣泛的傳染性（ Mobile) ? 自我復制，通過多種渠道傳播 ? 危害性 (Malicious) ? 破壞數(shù)據(jù)的完整性和可用性 ? 破壞數(shù)據(jù)的保密性 ? 系統(tǒng)和資源的可用性。 ? 隱蔽性和潛伏性 ? 感染后不一定立刻發(fā)作； ? 依附于其他文件、程序、介質，不被發(fā)現(xiàn) ? 可觸發(fā)性 ? 觸發(fā)條件：日期、時間、文件類型 計算機病毒原理 內容提要 ? 病毒結構模型 ? 病毒的分類 ? 引導型病毒 ? 文件型病毒 ? 宏病毒 ? 病毒舉例 ? 病毒防范 計算機病毒的結構 傳染條件判斷 傳染代碼 表現(xiàn)及破壞條件判斷 破壞代碼 傳染模塊 表現(xiàn)模塊 計算機病毒的分類 ? 按攻擊平臺分類： DOS,Win32， MAC， Unix ? 按危害分類：良性、惡性 ? 按代碼形式：源碼、中間代碼、目標碼 ? 按宿主分類： – 引導