【正文】 與 ISP配合 ， 對路由訪問進行控制 、 對網(wǎng)絡流量的監(jiān)視 ， 以實現(xiàn)對帶寬總量的限制 ， 以及不同的訪問地址在同一時間對帶寬的占有率 。 （ 2） 漏洞檢查 定期使用漏洞掃描軟件 ， 對內(nèi)部網(wǎng)現(xiàn)有的 、 潛在的漏洞進行檢查 ， 以提高系統(tǒng)安全的性能 。 拒絕服務攻擊的防范 （ 3） 服務器優(yōu)化 確保服務器的安全 ， 使攻擊者無法獲得更多內(nèi)部主機的信息 ， 從而無法發(fā)動有效的攻擊 。 （ 4） 應急響應 建立應急機構和制度 ， 制定緊急應對策略 ， 以便拒絕服務攻擊發(fā)生時能夠迅速恢復系統(tǒng)和服務 。 同時還要注意對員工進行相關的培訓 ， 使其掌握必要的應對措施和方法 。 木馬 木馬的概念 1． 什么是木馬 特洛伊木馬（ Trojan horse）其名稱取自希臘神話的特洛伊木馬，它是一種基于遠程控制的黑客工具，具有隱蔽性和非授權性的特點。 ? 所謂隱蔽性是指木馬的設計者為了防止木馬被發(fā)現(xiàn)，會采用多種手段隱藏木馬，這樣服務端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆； ? 所謂非授權性是指一旦控制端與服務端連接后，控制端將享有服務端的大部分操作權限，包括修改文件，修改注冊表，控制鼠標，鍵盤等等。這些權力并不是服務端賦予的，而是通過木馬程序竊取的。 1．什么是木馬 木馬與病毒的區(qū)別： ? 病毒程序是以自發(fā)性的敗壞為目的； ? 木馬程序是依照黑客的命令來運作，主要目的是偷取文件、機密數(shù)據(jù)、個人隱私等行為。 2．木馬的種類 （ 1） 破壞型 （ 2） 密碼發(fā)送型 （ 3） 遠程訪問型 （ 4） 鍵盤記錄木馬 （ 5） DoS攻擊木馬 （ 6） 代理木馬 （ 7） FTP木馬 （ 8） 程序殺手木馬 （ 9） 反彈端口型木馬 （ 1）破壞型木馬 ? 大部分木馬程序只竊取信息，不做破壞性的事件，但破壞型木馬卻以毀壞并且刪除文件為目的。 ? 它們可以自動刪除受控計算機上所有的 .ini .exe .dll文件，甚至格式化受害者的硬盤，系統(tǒng)中的信息會在頃刻間“灰飛煙滅”。 （ 2）密碼發(fā)送型木馬 ? 密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。 ? 大多數(shù)這類木馬程序不會在每次系統(tǒng)重啟時都自動加載，它們大多數(shù)使用 25號端口發(fā)送電子郵件。 （ 3）遠程訪問型木馬 ? 遠程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬。這種木馬起著遠程控制的功能，用起來非常簡單，只需先運行服務端程序，同時獲得遠程主機的 IP地址，控制者就能任意訪問被控制端的計算機。 ? 這種木馬可以使遠程控制者在本地機器上做任何事情，比如鍵盤記錄、上傳和下載功能、發(fā)送一個“截取屏幕”等等。 ? 這種類型的木馬有著名的 BO (Back Office)和國產(chǎn)的冰河等。 （ 4）鍵盤記錄型木馬 ? 鍵盤記錄型木馬非常簡單的，它只做一種事情，就是記錄受害者的鍵盤敲擊，并且在 Log文件里做完整的記錄。 ? 這種木馬程序隨著系統(tǒng)的啟動而啟動，知道受害者在線并記錄每一個用戶事件，然后通過郵件或其他方式發(fā)送給控制者。 （ 5） DoS攻擊木馬 ? 當攻擊者入侵了一臺主機，并種上 DoS攻擊木馬，這臺主機就會成為攻擊者進行 DoS攻擊的得力助手。 ? 這種木馬的危害不是體現(xiàn)在被感染的主機上，而是攻擊者用它做“跳板”來攻擊其它的主機。 （ 6）代理木馬 ? 給被控制的主機種上代理木馬，讓其變成攻擊者發(fā)動攻擊的跳板 ? 通過代理木馬，攻擊者可以隱蔽自己的蹤跡 （ 7） FTP型木馬 ? FTP 型木馬打開被控制計算機的 21號端口，使任何人無需密碼就可以用一個 FTP客戶端程序連接到受控制端計算機，并且可以進行最高權限的上傳和下載，竊取受害者的機密文件。 （ 8）程序殺手木馬 ? 程序殺手木馬的功能是關閉對方主機上運行的防木馬軟件，讓其他的木馬更好的發(fā)揮作用。 （ 9）反彈端口型木馬 ? 反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口，以避開防火墻的過濾。 ? 木馬定時檢測控制端的存在，發(fā)現(xiàn)控制端上線，立即主動連接控制端打開的端口。 3．木馬偽裝的方法 （ 1） 修改圖標 木馬服務端程序為可執(zhí)行文件，但為了欺騙受害者，將木馬服務端程序的圖標修改為成其它非可執(zhí)行程序的圖標，如修改成文本文件的圖標。 （ 2） 捆綁文件 將木馬服務端程序與其它文件（如真正的文本文件）進行捆綁，當用戶打開這個文件時，木馬程序也隨之被激活。 （ 3） 出錯顯示 有的木馬程序會提供一個 “ 出錯顯示 ” 的欺騙功能 ， 當用戶打開這個文件時 ， 會彈出一個錯誤提示框 ， 顯示 “ 無法打開 ” 之類的信息 ， 以欺騙用戶 。 3．木馬偽裝的方法 （ 4） 自我銷毀 木馬安裝完成后 ， 源木馬文件會自動銷毀 ， 這樣用戶就很難找到木馬的來源 。 （ 5） 木馬更名 將木馬服務端程序的名稱改為對用戶來說非常有吸引力的名稱 。 木馬的特點 1．隱蔽性 （ 1） 在任務欄里隱藏 （ 2）在任務管理器里隱藏 （ 3）隱藏通信端口 （ 4）隱蔽加載方式 ? 在 ? 在 ? 反彈端口型木馬的主動連接 ? 隱藏在配置文件中自動加載運行 ? 捆綁方式啟動 ? 偽裝在普通文件中 ? 設置在超級連接中 ? 啟動組 木馬的特點 2．具有自動運行性 木馬為了控制服務器端，必須在系統(tǒng)啟動時即跟隨啟動，所以必須潛入用戶計算機的啟動配置文件中 3．具備自動恢復功能 木馬程序不是僅由單一的文件組成，而是具有多重備份，可以相互恢復 4．自動開啟特別的端口 TCP/IP協(xié)議中，計算機有 65535個端口，其中常用的很少，木馬經(jīng)常利用那些被忽視的端口進行連接 5．功能的特殊性 木馬除了具有普通文件的特征外，往往具有特殊的功能，如：設置口令、掃描地址、記錄鍵盤、鎖定鼠標等 木馬攻擊的原理 ? 木馬程序一般由兩部分組成，分別是服務器端和客戶端。 ? 服務器端程序指的是運行在被控制的電腦的木馬程序，該程序為 .exe后綴的可執(zhí)行文件。 ? 客戶端程序安裝在控制端，客戶端能夠對服務器端的控制。 木馬攻擊的原理 ? 在 Windows系統(tǒng)中，木馬作為一個網(wǎng)絡服務程序在中了木馬的計算機后臺運行，監(jiān)聽本機一些特定端口（這個端口號多數(shù)比較大，一般在 5000以上，但也有少數(shù)是 5000以下的）。 ? 當該木馬相應的客戶端程序在此端口上請求連接時，它會與客戶程序建立 TCP連接，從而被客戶端遠程控制。 木馬攻擊的原理 植入連接請求響應遠程控制客戶端（C )客戶端（C )安裝，隱藏，打開端口監(jiān)聽服務端( S )客戶端（C )服務端（S )監(jiān)控，文件操作，系統(tǒng)操縱. . .服務端（S ) 木馬攻擊的原理 1．配置木馬 ? 木馬偽裝：修改圖標 、 捆綁文件 、 出錯顯示 、 定制端口 、 自我銷毀 、 隱蔽運行 ? 信息反饋：設置信息反饋的方式 ， 如郵件地址 ， 號等 2. 傳播木馬 ? 通過 E－ mail ? 文件下載 3. 運行木馬 ? 服務端用戶運行木馬程序或捆綁有木馬的程序后，木馬就會自動進行安裝 ? 木馬被激活后進入內(nèi)存，開啟事先定義的端口，準備與控制端建立連接 ? 服務端用戶可以在 MSDOS狀態(tài)下，鍵入 NETSTATAN查看端口狀態(tài)，注意是否有感染木馬 木馬攻擊的原理 4. 信息泄露 木馬成功安裝后，會收集一些服務端的信息，并通過 Email等方式反饋給控制端用戶 5. 建立連接 如果服務器端已經(jīng)安裝了木馬程序，且服務端和控制端都在線，控制端就可以通過木馬端口與服務器端建立連接 6. 遠程控制 連接建立后，控制端上的控制程序通過這條通道與服務端的木馬程序取得聯(lián)系，通過木馬程序對服務端進行遠程控制。 木馬攻擊的防范 1．提高防范意識 ? 不要輕易下載、使用來歷不明的軟件 ? 不熟悉的 EMAIL不打開 ? 不要輕易打開廣告鏈接 ? 不要隨便留下個人資料 2．使用木馬專殺工具 3．發(fā)現(xiàn)系統(tǒng)導常及時斷開網(wǎng)絡 4．及時修補漏洞并關閉可疑的端口 5．運行實時監(jiān)控程序 演講完畢，謝謝觀看！