【正文】 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 6) 網(wǎng)絡(luò) 、 蠕蟲階段 1995年，隨著網(wǎng)絡(luò)的普及，病毒開始利用網(wǎng)絡(luò)進(jìn)行傳播，它們只是以上幾代病毒的改。具有典型代表的是“病毒制造機(jī)” VCL，它可以在瞬間制造出成千上萬(wàn)種不同的病毒，查解時(shí)就不能使用傳統(tǒng)的特征識(shí)別法，需要在宏觀上分析指令，解碼后查解病毒。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 5) 生成器 、 變體機(jī)階段 1995年，在匯編語(yǔ)言中，一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中，可運(yùn)算出同樣的結(jié)果，隨機(jī)插入一些空操作和無(wú)關(guān)指令，也不影響運(yùn)算結(jié)果，這樣，一段解碼算法就可以由生成器生成。例如，“一半”病毒就是產(chǎn)生一段有上億種可能的解碼運(yùn)算程序，病毒體被隱藏在解碼前的數(shù)據(jù)中，查解這類病毒就必須能對(duì)這段數(shù)據(jù)進(jìn)行解碼，加大了查毒的難度。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 4) 幽靈 、 多形階段 1994年，隨著匯編語(yǔ)言的發(fā)展，實(shí)現(xiàn)同一功能可以用不同的方式進(jìn)行完成，這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。在非 DOS操作系統(tǒng)中，一些伴隨型病毒利用操作系統(tǒng)的描述語(yǔ)言進(jìn)行工作，具有典型代表的是“海盜旗”病毒，它在得到執(zhí)行時(shí)，詢問(wèn)用戶名稱和口令，然后返回一個(gè)出錯(cuò)信息，將自身刪除。這樣，在 DOS加載文件時(shí)，病毒就取得控制權(quán)。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 3) 伴隨 、 批次型階段 1992年，伴隨型病毒出現(xiàn)，它們利用 DOS加載文件的優(yōu)先順序進(jìn)行工作。病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán) ， 修改 DOS中斷 ， 在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染 ， 并將自己附加在可執(zhí)行文件中 ， 使文件長(zhǎng)度增加 。 1989年，引導(dǎo)型病毒發(fā)展為可以感染硬盤，典型的代表有“石頭 2”。當(dāng)時(shí)的計(jì)算機(jī)硬件較少，功能簡(jiǎn)單，一般需要通過(guò)軟盤啟動(dòng)后使用。因此，病毒的分類是按階段劃分的。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 2. 計(jì)算機(jī)病毒的分類 計(jì)算機(jī)病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般情況下一種新的病毒技術(shù)出現(xiàn)后，病毒迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會(huì)抑制其流傳。即使在病毒程序被發(fā)現(xiàn)以后，數(shù)據(jù)和程序以至操作系統(tǒng)的恢復(fù)都非常困難。 計(jì)算機(jī)病毒行動(dòng)詭秘 ， 計(jì)算機(jī)對(duì)其反應(yīng)遲鈍 ， 往往把病毒造成的錯(cuò)誤當(dāng)成事實(shí)接受下來(lái) ， 故它很容易獲得成功 。許多新病毒則采用變形來(lái)逃避檢查，這也成為新一代計(jì)算機(jī)病毒的基本特征。新一代計(jì)算機(jī)病毒甚至連一些基本的特征都隱藏了，有時(shí)可通過(guò)觀察文件長(zhǎng)度的變化來(lái)判別。這種程序的確可查出一些新病毒，但由于目前的軟件種類極其豐富，且某些正常程序也使用了類似病毒的操作甚至借鑒了某些病毒的技術(shù)，使用這種方法對(duì)病毒進(jìn)行檢測(cè)勢(shì)必造成較多的誤報(bào)情況。不同種類的病毒，它們的代碼千差萬(wàn)別，但有些操作是共有的 (如駐內(nèi)存，改中斷 )。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (12) 病毒的不可預(yù)見性。病毒程序嵌入到宿主程序中，依賴于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性。這種變種病毒造成的后果可能比原版病毒嚴(yán)重得多。而這可以被其他掌握原理的人以其個(gè)人的企圖進(jìn)行任意改動(dòng)，從而又衍生出一種不同于原版本的新的計(jì)算機(jī)病毒 (又稱為變種 )。這種特性為一些好事者提供了一種創(chuàng)造新病毒的捷徑。病毒的代碼設(shè)計(jì)得非常精巧而又短小。計(jì)算機(jī)病毒設(shè)計(jì)的精巧之處也在這里。一般的病毒程序都夾在正常程序之中，很難被發(fā)現(xiàn)，而一旦病毒發(fā)作出來(lái)，往往已經(jīng)給計(jì)算機(jī)系統(tǒng)造成了不同程度的破壞。他們見到這些新奇的屏幕顯示和音響效果，還以為是來(lái)自計(jì)算機(jī)系統(tǒng)，而沒(méi)有意識(shí)到這些病毒正在損害計(jì)算機(jī)系統(tǒng)，正在制造災(zāi)難。往往此時(shí)那臺(tái)計(jì)算機(jī)內(nèi)已有許多病毒的拷貝了。讓我們?cè)O(shè)想，如果計(jì)算機(jī)病毒每當(dāng)感染一個(gè)新的程序時(shí)都在屏幕上顯示一條信息“我是病毒程序，我要干壞事了”，那么計(jì)算機(jī)病毒早就被控制住了。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 計(jì)算機(jī)病毒的隱蔽性表現(xiàn)在兩個(gè)方面： ① 傳染的隱蔽性。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 大部分病毒的代碼之所以設(shè)計(jì)得非常短小 ， 也是為了隱藏 。試想，如果病毒在傳染到計(jì)算機(jī)上之后，機(jī)器馬上無(wú)法正常運(yùn)行，那么它本身便無(wú)法繼續(xù)進(jìn)行傳染了。一般在沒(méi)有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序取得系統(tǒng)控制權(quán)后，可以在很短的時(shí)間里傳染大量程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)，目的是不讓用戶發(fā)現(xiàn)它的存在。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (9) 病毒的隱蔽性。其目的對(duì)用戶是可見的、透明的。病毒未經(jīng)授權(quán)而執(zhí)行。但目前，大多數(shù)病毒主要還是針對(duì) PC機(jī)系列的。計(jì)算機(jī)病毒是針對(duì)特定的計(jì)算機(jī)和特定的操作系統(tǒng)的。 也就是說(shuō) ， 從一定的程度上講 ， 計(jì)算機(jī)系統(tǒng)無(wú)論采取多么嚴(yán)密的保護(hù)措施都不可能徹底地排除病毒對(duì)系統(tǒng)的攻擊 ， 而保護(hù)措施充其量是一種預(yù)防的手段而已 。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (6) 病毒攻擊的主動(dòng)性 。但并非所有的病毒都會(huì)對(duì)系統(tǒng)產(chǎn)生極其惡劣的破壞作用。 所有的計(jì)算機(jī)病毒都是一種可執(zhí)行程序 ， 而這一可執(zhí)行程序又必然要運(yùn)行 ， 所以對(duì)系統(tǒng)來(lái)講 ， 所有的計(jì)算機(jī)病毒都存在一個(gè)共同的危害 ， 即降低計(jì)算機(jī)系統(tǒng)的工作效率 ， 占用系統(tǒng)資源 ， 其具體情況取決于入侵系統(tǒng)的病毒程序 。病毒運(yùn)行時(shí)，觸發(fā)機(jī)制檢查預(yù)定條件是否滿足，如果滿足，就啟動(dòng)感染或破壞動(dòng)作，使病毒進(jìn)行感染或攻擊；如果不滿足，則使病毒繼續(xù)潛伏。病毒的觸發(fā)機(jī)制就是用來(lái)控制感染和破壞動(dòng)作的頻率的。如果完全不動(dòng)，一直潛伏的話，病毒既不能感染也不能進(jìn)行破壞，便失去了殺傷力。因某個(gè)事件或數(shù)值的出現(xiàn)而誘使病毒實(shí)施感染或進(jìn)行攻擊的特性稱為可觸發(fā)性。觸發(fā)條件一旦得到滿足，有的在屏幕上顯示信息、圖形或特殊標(biāo)識(shí)，有的則執(zhí)行破壞系統(tǒng)的操作，如格式化磁盤、刪除磁盤文件、對(duì)數(shù)據(jù)文件加密、封鎖鍵盤以及使系統(tǒng)死鎖等。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 潛伏性的第一種表現(xiàn)是指：病毒程序不用專用檢測(cè)程序是檢查不出來(lái)的，因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天，甚至幾年，一旦時(shí)機(jī)成熟，得到運(yùn)行機(jī)會(huì)，就四處繁殖、擴(kuò)散，繼續(xù)為害。 一個(gè)編制精巧的計(jì)算機(jī)病毒程序 ， 進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作 ， 可以在幾周或者幾個(gè)月內(nèi)甚至幾年內(nèi)隱藏在合法文件中 ， 對(duì)其他系統(tǒng)進(jìn)行傳染 ， 而不被人發(fā)現(xiàn) 。被嵌入的程序叫做宿主程序。 是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的最重要條件 。 計(jì)算機(jī)病毒可通過(guò)各種可能的渠道 ， 如軟盤 、 計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī) 。而被感染的文件又成了新的傳染源，再與其他機(jī)器進(jìn)行數(shù)據(jù)交換或通過(guò)網(wǎng)絡(luò)接觸，病毒會(huì)繼續(xù)進(jìn)行傳染 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 正常的計(jì)算機(jī)程序一般是不會(huì)將自身的代碼強(qiáng)行連接到其他程序之上的 。與生物病毒不同的是，計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，它就會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。在適當(dāng)?shù)臈l件下，它可得到大量繁殖，并使被感染的生物體表現(xiàn)出病癥甚至死亡。傳染性是病毒的基本特征。一個(gè)好的抗病毒系統(tǒng)應(yīng)該不僅能可靠地識(shí)別出已知計(jì)算機(jī)病毒的代碼，阻止其運(yùn)行或旁路掉其對(duì)系統(tǒng)的控制權(quán) (實(shí)現(xiàn)安全帶毒運(yùn)行被感染程序 )，還應(yīng)該識(shí)別出未知計(jì)算機(jī)病毒在系統(tǒng)內(nèi)的行為，阻止其傳染和破壞系統(tǒng)的行動(dòng)。反病毒技術(shù)就是要提前取得計(jì)算機(jī)系統(tǒng)的控制權(quán)，識(shí)別出計(jì)算機(jī)病毒的代碼和行為，阻止其取得系統(tǒng)控制權(quán)。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 他們的計(jì)算機(jī)雖也存有各種計(jì)算機(jī)病毒的代碼，但已置這些病毒于控制之下，計(jì)算機(jī)不會(huì)運(yùn)行病毒程序，整個(gè)系統(tǒng)是安全的。在這臺(tái)計(jì)算機(jī)上可以查看病毒文件的名字，查看計(jì)算機(jī)病毒的代碼，打印病毒的代碼，甚至拷貝病毒程序，卻都不會(huì)感染上病毒。也就是說(shuō)計(jì)算機(jī) CPU的控制權(quán)是關(guān)鍵問(wèn)題。在病毒運(yùn)行時(shí)，與合法程序爭(zhēng)奪系統(tǒng)的控制權(quán)。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 計(jì)算機(jī)病毒一般具有以下特性： (1) 病毒的程序性 (可執(zhí)行性 )。它們能把自身附著在各種類型的文件上。就像生物病毒一樣，計(jì)算機(jī)病毒有獨(dú)特的復(fù)制能力。這就是計(jì)算機(jī)病毒的原始含義。 科恩 (Frederick )博士于 1984年 9月在美國(guó)計(jì)算機(jī)安全學(xué)會(huì)上發(fā)表的一篇論文 (當(dāng)時(shí)他還是美國(guó)加利弗尼亞大學(xué)研究生院的一名學(xué)生 )。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 防病毒技術(shù) 1. 計(jì)算機(jī)病毒的特點(diǎn) “計(jì)算機(jī)病毒”這種說(shuō)法起源于美國(guó)弗雷德里克 告警功能會(huì)守住每一個(gè) TCP或 UDP探尋，并能以發(fā)出郵件、聲響等多種方式報(bào)警。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (10) 審計(jì)和告警。為降低防火墻產(chǎn)品在 Tel、 FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn)，鑒別功能必不可少。為了滿足特定用戶的特定需求，新一代防火墻在提供眾多服務(wù)的同時(shí)，還為用戶定制提供支持，這類選項(xiàng)有通用 TCP、出站 UDP、 FTP、 SMTP等，如果某一用戶需要建立一個(gè)數(shù)據(jù)庫(kù)的代理，便可利用這些支持，方便設(shè)置。換言之，一旦 SSN受破壞，內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下，而一旦 DMZ受到破壞，內(nèi)部網(wǎng)絡(luò)便會(huì)暴露于攻擊之下。這就是安全服務(wù)器網(wǎng)絡(luò) (SSN)技術(shù)，對(duì) SSN上的主機(jī)既可單獨(dú)管理，也可設(shè)置成通過(guò) FTP、 Tel等方式從內(nèi)部網(wǎng)上管理。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (7) 安全服務(wù)器網(wǎng)絡(luò) (SSN)。 同時(shí)使用 NAT的網(wǎng)絡(luò)，與外部網(wǎng)絡(luò)的連接只能由內(nèi)部網(wǎng)絡(luò)發(fā)起，極大地提高了內(nèi)部網(wǎng)絡(luò)的安全性。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (5) 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù) (NAT)。新一代防火墻采用了兩種代理機(jī)制：一種用于代理從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接；另一種用于代理從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) (4) 靈活的代理系統(tǒng)。 以前的防火墻在訪問(wèn)方式上要么要求用戶做系統(tǒng)登錄 ， 要么需要通過(guò) SOCKS等庫(kù)路徑修改客戶機(jī)的應(yīng)用 。 新一代的防火墻產(chǎn)品具有兩個(gè)或三個(gè)獨(dú)立的網(wǎng)卡 ， 內(nèi)外兩個(gè)網(wǎng)卡可不做 IP轉(zhuǎn)化而串接于內(nèi)部網(wǎng)與外部網(wǎng)之間 ， 另一個(gè)網(wǎng)卡可專用于對(duì)服務(wù)器的安全保護(hù) 。在分組過(guò)濾一級(jí)，能過(guò)濾掉所有的源路由分組和假冒的 IP源地址；在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí)，能利用 FTP、 SMTP等各種網(wǎng)關(guān)，控制和監(jiān)測(cè) Inter提供的所有通用服務(wù)；在電路網(wǎng)關(guān)一級(jí)，能實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透明連接，并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 4. 新一代防火墻的多重功能 先進(jìn)的防火墻產(chǎn)品通常將網(wǎng)關(guān)與安全系統(tǒng)合二為一 ， 具有以下技術(shù)與功能： (1) 多級(jí)過(guò)濾技術(shù)。 堡壘主機(jī)放于一個(gè)子網(wǎng)內(nèi) ，形成非軍事化區(qū) ， 兩個(gè)分組過(guò)濾路由器放在該子網(wǎng)的兩端 ，使該子網(wǎng)與 Inter及內(nèi)部網(wǎng)絡(luò)分離 。在此結(jié)構(gòu)中，主分組過(guò)濾路由器或防火墻與 Inter相連，同時(shí)將一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)，通過(guò)在分組過(guò)濾路由器或防火墻上過(guò)濾規(guī)則的設(shè)置，使堡壘主機(jī)成為 Inter上其他節(jié)點(diǎn)所能到達(dá)的惟一節(jié)點(diǎn)，這確保了內(nèi)部網(wǎng)絡(luò)不受未授權(quán)外部用戶的攻擊。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 4) 復(fù)合型防火墻 基于對(duì)更高安全性的要求 ， 常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái) ， 形成復(fù)合型防火墻產(chǎn)品 。 應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作用，同時(shí)也常結(jié)合了過(guò)濾器的功能。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的鏈接由兩個(gè)終止代理服務(wù)器上的鏈接來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 3) 代理服務(wù)型防火墻 代理服務(wù) (Proxy Service)也可稱鏈路級(jí)網(wǎng)關(guān)或 TCP通道(Circuit Level Gateway or TCP Tunnels)，也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。 數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特征，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過(guò)。 它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯 ， 并在過(guò)濾的同時(shí) ， 對(duì)數(shù)據(jù)包進(jìn)行必要的分析 、 登記和統(tǒng)計(jì) ， 形成報(bào)告 。因此，過(guò)濾器通常和應(yīng)用網(wǎng)關(guān)配合使用，共同組成防火墻系統(tǒng)。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 包過(guò)濾的優(yōu)點(diǎn)在于不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序，因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無(wú)關(guān)。之所以通用，因?yàn)樗会槍?duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式；之所以廉價(jià)，因?yàn)榇蠖鄶?shù)路由器都提供分組過(guò)濾功能；之所以有效，因?yàn)樗芎艽蟪潭鹊貪M足企業(yè)的安全要求。 數(shù)據(jù)包過(guò)濾防火墻也有兩個(gè)缺點(diǎn)：一是非法訪問(wèn)一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及 IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。 第 10章 網(wǎng)絡(luò)安全技術(shù)設(shè)計(jì) 數(shù)據(jù)包過(guò)濾防火墻邏輯簡(jiǎn)單 ， 價(jià)格便宜 ， 易于安裝和使用 ， 網(wǎng)絡(luò)性能和透明性好 ， 它通常安裝在路由器上 。