【正文】 與 ISP配合 ， 對(duì)路由訪問(wèn)進(jìn)行控制 、 對(duì)網(wǎng)絡(luò)流量的監(jiān)視 ， 以實(shí)現(xiàn)對(duì)帶寬總量的限制 ， 以及不同的訪問(wèn)地址在同一時(shí)間對(duì)帶寬的占有率 。 （ 2） 漏洞檢查 定期使用漏洞掃描軟件 ， 對(duì)內(nèi)部網(wǎng)現(xiàn)有的 、 潛在的漏洞進(jìn)行檢查 ， 以提高系統(tǒng)安全的性能 。 拒絕服務(wù)攻擊的防范 （ 3） 服務(wù)器優(yōu)化 確保服務(wù)器的安全 ， 使攻擊者無(wú)法獲得更多內(nèi)部主機(jī)的信息 ， 從而無(wú)法發(fā)動(dòng)有效的攻擊 。 （ 4） 應(yīng)急響應(yīng) 建立應(yīng)急機(jī)構(gòu)和制度 ， 制定緊急應(yīng)對(duì)策略 ， 以便拒絕服務(wù)攻擊發(fā)生時(shí)能夠迅速恢復(fù)系統(tǒng)和服務(wù) 。 同時(shí)還要注意對(duì)員工進(jìn)行相關(guān)的培訓(xùn) ， 使其掌握必要的應(yīng)對(duì)措施和方法 。 木馬 木馬的概念 1． 什么是木馬 特洛伊木馬（ Trojan horse）其名稱取自希臘神話的特洛伊木馬，它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。 ? 所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆； ? 所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊(cè)表，控制鼠標(biāo)，鍵盤等等。這些權(quán)力并不是服務(wù)端賦予的，而是通過(guò)木馬程序竊取的。 1．什么是木馬 木馬與病毒的區(qū)別： ? 病毒程序是以自發(fā)性的敗壞為目的； ? 木馬程序是依照黑客的命令來(lái)運(yùn)作，主要目的是偷取文件、機(jī)密數(shù)據(jù)、個(gè)人隱私等行為。 2．木馬的種類 （ 1） 破壞型 （ 2） 密碼發(fā)送型 （ 3） 遠(yuǎn)程訪問(wèn)型 （ 4） 鍵盤記錄木馬 （ 5） DoS攻擊木馬 （ 6） 代理木馬 （ 7） FTP木馬 （ 8） 程序殺手木馬 （ 9） 反彈端口型木馬 （ 1）破壞型木馬 ? 大部分木馬程序只竊取信息，不做破壞性的事件，但破壞型木馬卻以毀壞并且刪除文件為目的。 ? 它們可以自動(dòng)刪除受控計(jì)算機(jī)上所有的 .ini .exe .dll文件，甚至格式化受害者的硬盤，系統(tǒng)中的信息會(huì)在頃刻間“灰飛煙滅”。 （ 2）密碼發(fā)送型木馬 ? 密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。 ? 大多數(shù)這類木馬程序不會(huì)在每次系統(tǒng)重啟時(shí)都自動(dòng)加載，它們大多數(shù)使用 25號(hào)端口發(fā)送電子郵件。 （ 3）遠(yuǎn)程訪問(wèn)型木馬 ? 遠(yuǎn)程訪問(wèn)型木馬是現(xiàn)在最廣泛的特洛伊木馬。這種木馬起著遠(yuǎn)程控制的功能，用起來(lái)非常簡(jiǎn)單，只需先運(yùn)行服務(wù)端程序，同時(shí)獲得遠(yuǎn)程主機(jī)的 IP地址，控制者就能任意訪問(wèn)被控制端的計(jì)算機(jī)。 ? 這種木馬可以使遠(yuǎn)程控制者在本地機(jī)器上做任何事情，比如鍵盤記錄、上傳和下載功能、發(fā)送一個(gè)“截取屏幕”等等。 ? 這種類型的木馬有著名的 BO (Back Office)和國(guó)產(chǎn)的冰河等。 （ 4）鍵盤記錄型木馬 ? 鍵盤記錄型木馬非常簡(jiǎn)單的，它只做一種事情，就是記錄受害者的鍵盤敲擊，并且在 Log文件里做完整的記錄。 ? 這種木馬程序隨著系統(tǒng)的啟動(dòng)而啟動(dòng)，知道受害者在線并記錄每一個(gè)用戶事件，然后通過(guò)郵件或其他方式發(fā)送給控制者。 （ 5） DoS攻擊木馬 ? 當(dāng)攻擊者入侵了一臺(tái)主機(jī)，并種上 DoS攻擊木馬，這臺(tái)主機(jī)就會(huì)成為攻擊者進(jìn)行 DoS攻擊的得力助手。 ? 這種木馬的危害不是體現(xiàn)在被感染的主機(jī)上，而是攻擊者用它做“跳板”來(lái)攻擊其它的主機(jī)。 （ 6）代理木馬 ? 給被控制的主機(jī)種上代理木馬，讓其變成攻擊者發(fā)動(dòng)攻擊的跳板 ? 通過(guò)代理木馬，攻擊者可以隱蔽自己的蹤跡 （ 7） FTP型木馬 ? FTP 型木馬打開被控制計(jì)算機(jī)的 21號(hào)端口，使任何人無(wú)需密碼就可以用一個(gè) FTP客戶端程序連接到受控制端計(jì)算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳和下載，竊取受害者的機(jī)密文件。 （ 8）程序殺手木馬 ? 程序殺手木馬的功能是關(guān)閉對(duì)方主機(jī)上運(yùn)行的防木馬軟件，讓其他的木馬更好的發(fā)揮作用。 （ 9）反彈端口型木馬 ? 反彈端口型木馬的服務(wù)端（被控制端）使用主動(dòng)端口，客戶端（控制端）使用被動(dòng)端口，以避開防火墻的過(guò)濾。 ? 木馬定時(shí)檢測(cè)控制端的存在，發(fā)現(xiàn)控制端上線，立即主動(dòng)連接控制端打開的端口。 3．木馬偽裝的方法 （ 1） 修改圖標(biāo) 木馬服務(wù)端程序?yàn)榭蓤?zhí)行文件，但為了欺騙受害者，將木馬服務(wù)端程序的圖標(biāo)修改為成其它非可執(zhí)行程序的圖標(biāo)，如修改成文本文件的圖標(biāo)。 （ 2） 捆綁文件 將木馬服務(wù)端程序與其它文件（如真正的文本文件）進(jìn)行捆綁，當(dāng)用戶打開這個(gè)文件時(shí)，木馬程序也隨之被激活。 （ 3） 出錯(cuò)顯示 有的木馬程序會(huì)提供一個(gè) “ 出錯(cuò)顯示 ” 的欺騙功能 ， 當(dāng)用戶打開這個(gè)文件時(shí) ， 會(huì)彈出一個(gè)錯(cuò)誤提示框 ， 顯示 “ 無(wú)法打開 ” 之類的信息 ， 以欺騙用戶 。 3．木馬偽裝的方法 （ 4） 自我銷毀 木馬安裝完成后 ， 源木馬文件會(huì)自動(dòng)銷毀 ， 這樣用戶就很難找到木馬的來(lái)源 。 （ 5） 木馬更名 將木馬服務(wù)端程序的名稱改為對(duì)用戶來(lái)說(shuō)非常有吸引力的名稱 。 木馬的特點(diǎn) 1．隱蔽性 （ 1） 在任務(wù)欄里隱藏 （ 2）在任務(wù)管理器里隱藏 （ 3）隱藏通信端口 （ 4）隱蔽加載方式 ? 在 ? 在 ? 反彈端口型木馬的主動(dòng)連接 ? 隱藏在配置文件中自動(dòng)加載運(yùn)行 ? 捆綁方式啟動(dòng) ? 偽裝在普通文件中 ? 設(shè)置在超級(jí)連接中 ? 啟動(dòng)組 木馬的特點(diǎn) 2．具有自動(dòng)運(yùn)行性 木馬為了控制服務(wù)器端，必須在系統(tǒng)啟動(dòng)時(shí)即跟隨啟動(dòng)，所以必須潛入用戶計(jì)算機(jī)的啟動(dòng)配置文件中 3．具備自動(dòng)恢復(fù)功能 木馬程序不是僅由單一的文件組成，而是具有多重備份，可以相互恢復(fù) 4．自動(dòng)開啟特別的端口 TCP/IP協(xié)議中，計(jì)算機(jī)有 65535個(gè)端口，其中常用的很少，木馬經(jīng)常利用那些被忽視的端口進(jìn)行連接 5．功能的特殊性 木馬除了具有普通文件的特征外，往往具有特殊的功能，如：設(shè)置口令、掃描地址、記錄鍵盤、鎖定鼠標(biāo)等 木馬攻擊的原理 ? 木馬程序一般由兩部分組成，分別是服務(wù)器端和客戶端。 ? 服務(wù)器端程序指的是運(yùn)行在被控制的電腦的木馬程序，該程序?yàn)?.exe后綴的可執(zhí)行文件。 ? 客戶端程序安裝在控制端，客戶端能夠?qū)Ψ?wù)器端的控制。 木馬攻擊的原理 ? 在 Windows系統(tǒng)中，木馬作為一個(gè)網(wǎng)絡(luò)服務(wù)程序在中了木馬的計(jì)算機(jī)后臺(tái)運(yùn)行，監(jiān)聽(tīng)本機(jī)一些特定端口（這個(gè)端口號(hào)多數(shù)比較大，一般在 5000以上，但也有少數(shù)是 5000以下的）。 ? 當(dāng)該木馬相應(yīng)的客戶端程序在此端口上請(qǐng)求連接時(shí)，它會(huì)與客戶程序建立 TCP連接，從而被客戶端遠(yuǎn)程控制。 木馬攻擊的原理 植入連接請(qǐng)求響應(yīng)遠(yuǎn)程控制客戶端（C )客戶端（C )安裝，隱藏，打開端口監(jiān)聽(tīng)服務(wù)端( S )客戶端（C )服務(wù)端（S )監(jiān)控，文件操作，系統(tǒng)操縱. . .服務(wù)端（S ) 木馬攻擊的原理 1．配置木馬 ? 木馬偽裝：修改圖標(biāo) 、 捆綁文件 、 出錯(cuò)顯示 、 定制端口 、 自我銷毀 、 隱蔽運(yùn)行 ? 信息反饋：設(shè)置信息反饋的方式 ， 如郵件地址 ， 號(hào)等 2. 傳播木馬 ? 通過(guò) E－ mail ? 文件下載 3. 運(yùn)行木馬 ? 服務(wù)端用戶運(yùn)行木馬程序或捆綁有木馬的程序后，木馬就會(huì)自動(dòng)進(jìn)行安裝 ? 木馬被激活后進(jìn)入內(nèi)存，開啟事先定義的端口，準(zhǔn)備與控制端建立連接 ? 服務(wù)端用戶可以在 MSDOS狀態(tài)下，鍵入 NETSTATAN查看端口狀態(tài)，注意是否有感染木馬 木馬攻擊的原理 4. 信息泄露 木馬成功安裝后，會(huì)收集一些服務(wù)端的信息，并通過(guò) Email等方式反饋給控制端用戶 5. 建立連接 如果服務(wù)器端已經(jīng)安裝了木馬程序，且服務(wù)端和控制端都在線，控制端就可以通過(guò)木馬端口與服務(wù)器端建立連接 6. 遠(yuǎn)程控制 連接建立后，控制端上的控制程序通過(guò)這條通道與服務(wù)端的木馬程序取得聯(lián)系，通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。 木馬攻擊的防范 1．提高防范意識(shí) ? 不要輕易下載、使用來(lái)歷不明的軟件 ? 不熟悉的 EMAIL不打開 ? 不要輕易打開廣告鏈接 ? 不要隨便留下個(gè)人資料 2．使用木馬專殺工具 3．發(fā)現(xiàn)系統(tǒng)導(dǎo)常及時(shí)斷開網(wǎng)絡(luò) 4．及時(shí)修補(bǔ)漏洞并關(guān)閉可疑的端口 5．運(yùn)行實(shí)時(shí)監(jiān)控程序 演講完畢，謝謝觀看！