【正文】 欺騙 ? 由于目前注冊一個域名沒有任何要求，利用這一點，攻擊者會搶先或特別設(shè)計注冊一個有欺騙性的站點。 ? 4 查詢應答被 B（ DNS服務(wù)器）記錄到緩存中。 ? 2 B向外遞交查詢請求。 ? 再偽造一個查詢應答。 ? 實施 DNS欺騙的基本思路是：讓 DNS服務(wù)器的緩存中存有錯誤的 IP地址，即在 DNS緩存中放一個偽造的緩存記錄。 ? 為提高效率， DNS會將所有已經(jīng)查詢到的結(jié)果存入緩存（ Cache）。這些偽造的數(shù)據(jù)，會修改網(wǎng)絡(luò)上主機中的 ARP高速緩存。但是， ARP的特點是無狀態(tài)，即在沒有請求時也可以發(fā)送應答的包。而該 IP地址的擁有者則用含有該 IP地址和相應 MAC地址的幀進行應答。 ARP欺騙 ? ARP（ Address Resolution Protocol，地址解析協(xié)議）一種將 32位 IP地址轉(zhuǎn)化成 48位 MAC地址的協(xié)議。 ? （ 3）在 TCP連接中，只是剛開始連接時進行一次 IP地址的驗證，在連接過程中 TCP應用程序只跟蹤序列號，而不進行IP地址驗證。 TCP會話劫持 ? 基于網(wǎng)絡(luò)通信中的如下規(guī)律進行的： ? （ 1）以太網(wǎng)使用廣播方式進行通信，在同一網(wǎng)段中，每一太監(jiān)聽設(shè)備都可以接收到其他站點發(fā)送的分組。在沒有連接的情況下， TCP序列號為 128 000*RTT；如果目標服務(wù)器剛剛建立過一個連接，就還要加上 64 000。 ? 同時，攻擊者還需要估計他的服務(wù)器與可信服務(wù)器之間的往返時間（ RTT）。 ? 隨機的初始序列號的產(chǎn)生也是有一定規(guī)律的。這表明，在沒有連接的情況下，TCP的序列號每 ?；痉椒ㄊ菍?S實施拒絕服務(wù)攻擊。 其他沒有這類服務(wù)的系統(tǒng)所受到的 IP欺騙攻擊雖然有，但要少得多。 基于 IP地址認證的任何網(wǎng)絡(luò)服務(wù)； ? 下面是容易受到電子欺騙攻擊的服務(wù)類型： ? 入侵者 X要對 T進行 IP欺騙攻擊，就可以假冒 S與 T進行通信。 IP欺騙 ? IP欺騙就是偽造別的機器的 IP地址用于欺騙第三者。 ? （ 5）陷門可以把再次入侵被發(fā)現(xiàn)的可能性降至最低。 ? （ 3）它們可以使攻擊者以最短的時間再次進入系統(tǒng)，而不是重新挖掘漏洞。 陷門一般有如下一些技術(shù)或功能特征： ? （ 1）陷門通常寄生于某些程序（有宿主），但無自我復制功能。 ? 4. 發(fā)送數(shù)據(jù)的組織方法 ? 為了避免被發(fā)現(xiàn)，木馬程序必須很好地控制數(shù)據(jù)傳輸量，例如把屏幕畫 面切分為了多個部分，并將畫面存儲為 JPG格式，使壓縮率變高，使數(shù)據(jù)變得十分小，甚至在屏幕沒有改變的情況下，傳送的數(shù)據(jù)量為 0。 ? （ 5）合并程序欺騙。 ? （ 4）錯覺欺騙。即將木馬圖標修改成圖像文件圖標。 ? （ 6）通過磁盤或光盤傳播。 ? （ 4）將木馬程序捆綁在軟件安裝程序上，通過提供軟件下載的網(wǎng)站（ Web/FTP/BBS）傳播。 ? （ 2）以郵件附件的形式傳播：控制端將木馬改頭換面后，然后將木馬程序添加到附件中，發(fā)送給收件人。本地安裝就是直接在計算機上進行安裝。 特洛伊木馬的傳播形式 ? （ 1）手工放置：手工放置比較簡單，是最常見的做法。 ? （ 4）非自繁殖性與非自動感染性。木馬程序可以在系統(tǒng)軟件和應用軟件的文件傳播中被人置入，也可以在系統(tǒng)或軟件設(shè)計是被故意放置進來。而木馬為了獲得非授權(quán)的服務(wù)，還要通過欺騙進行隱藏。 ? （ 2）隱藏性和欺騙性。一旦控制端與服務(wù)端建立連接后，控制端將竊取用戶密碼，獲取大部分操作權(quán)限，如修改文件、修改注冊表、重啟或關(guān)閉服務(wù)端操作系統(tǒng)、斷開網(wǎng)絡(luò)連接、控制服務(wù)端鼠標和鍵盤、監(jiān)視服務(wù)端桌面操作、查看服務(wù)端進 程等。 ? （ 4）毀壞型 毀壞型木馬以毀壞并刪除文件（如受害者計算機上的 .dll、 .ini或 .exe）為主要目的。一旦發(fā)現(xiàn)系統(tǒng)已經(jīng) 連接到 Inter上，就在受害者不知情的情形下將收集的信息通過一些常用的傳輸方式（如電子郵件、 ICQ、 FTP）把它們發(fā)送到指定的地方。通道的一端發(fā)送命令，另一端解釋并執(zhí)行該命令，并通過該通 道返回信息。此后，人們就把特洛伊木馬（ Trojan horse）作為偽裝的內(nèi)部顛覆者的代名詞。到了夜間，木馬內(nèi)的士兵，鉆出來作為內(nèi)應，打開城門。 蠕蟲舉例 ? 1. ? 2. I_WORM/EMANUEL網(wǎng)絡(luò)蠕蟲 ? 3. ? 4. SQL蠕蟲王 ? 5. 震蕩波 3 特洛伊木馬 特洛伊木馬及其類型 ? 古希臘詩人荷馬（ Homer）在其史詩依利雅得（ The Iliad）中，描述了一個故事：希臘王的王妃海倫被特洛伊（ Troy）的王子掠走，希臘王在攻打 Troy城時，使用了木馬計（ the stratagem of Trojan horse），在巨大的木馬內(nèi)裝滿了士兵，然后假裝撤退，把木馬留下。 ? （ 2）隱藏模塊：侵入主機后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。 ? 獲得一個 shell，就擁有了對整個系統(tǒng)的控制權(quán)。 ? 掃描模塊負責探測存在漏洞的主機。 3. 蠕蟲程序的功能結(jié)構(gòu) ? （ 1）傳播模塊 ? 傳播模塊由掃描子模塊、攻擊子模塊和復制子模塊組成。 ? ? （ 3）刪除自己： ? ? （ 2）將蠕蟲拷貝到一個目錄下，并更換文件名為已經(jīng)運行的服務(wù)名稱，使任務(wù)管理器不能終止蠕蟲運行。 ? （ 4）針對不同的漏洞設(shè)計不同的探測包，提高掃描效率。 ? （ 2）對掃描次數(shù)進行限制。 ? （ 4）攻擊的主動性 ? （ 5）破壞的嚴重性 ? （ 6）行蹤的隱蔽性 2. 蠕蟲傳播的基本過程 蠕蟲的重要機制和功能結(jié)構(gòu) 1. 蠕蟲的掃描機制 ? 掃描策略改進的原則是，盡量減少重復的掃描，使掃描發(fā)送的數(shù)據(jù)包盡量少，并保證掃描覆蓋盡量大的范圍。 病毒的傳染目標針對本地程序（文件），而蠕蟲是針對網(wǎng)絡(luò)上的其他計算機； ? 但是，病毒與蠕蟲的傳染機制有三點不同： ? ? （ 6）對于殺毒軟件無法殺除的計算機病毒，應將計算機病毒樣本送交防殺計算機病毒軟件廠商的研究中心，以供詳細分析。如果可執(zhí)行文件中的計算機病毒不能被清除，應將其刪除后重新安裝相應的應用程序。 ? （ 3）啟動防殺計算機病毒軟件并對整個硬盤進行掃描。 誤報（ false positive）率 ? ? （ 2）單臺計算機系統(tǒng)的安全使用 ? （ 3）計算機網(wǎng)絡(luò)的安全使用 ? （ 4）重要數(shù)據(jù)文件要有備份 ? （ 5）強化安全管理 ? （ 6）防范體系與規(guī)范建設(shè) 2. 計算機病毒檢測 ? （ 1）現(xiàn)象觀測法 ? （ 2）進程監(jiān)視法 ? （ 3）比較法 ? （ 4）特征代碼法 ? （ 5）軟件模擬法 ? （ 6）分析法 3. 計算機病毒的清除 ? （ 1）引導型病毒的清除 ? （ 2）文件型病毒的清除 ? （ 3）宏病毒的清除 4. 病毒防治軟件 ? （ 1）病毒防治軟件的類型 ? 病毒掃描型軟件：。 ? ⑥ 病毒把 COM文件的最初幾個字節(jié)寫回到原來的 100H偏移處； ? ⑦ 病毒代碼執(zhí)行一條跳轉(zhuǎn)到 100H偏移處的 Jump指令，開始執(zhí)行宿主程序。 ? ④ 內(nèi)存中的病毒代碼開始搜索磁盤，尋找合適的感染目標。 ? ② 系統(tǒng)將控制權(quán)交到 100H偏移處。 病毒代碼執(zhí)行結(jié)束，要先恢復被替換的幾個字節(jié)，再跳回到 100H偏移處，執(zhí)行宿主程序。 把被感染的 COM文件的最開始（ 100H偏移處）幾個字節(jié)，換成跳轉(zhuǎn)到病毒代碼的 Jump指令； ? 同時，系統(tǒng)為 COM程序分配的內(nèi)存空間還空閑著，病毒可以自由地使用這些空間。 CS=DS=ES=BS 中斷向量表 DOS常駐區(qū) 程序段前綴 PSP COM文件映像 堆棧區(qū) 程序剩余空間 DOS暫駐區(qū) 0000H 40:0H IP:0100H SP:FFFEH RAM最高端 最 大 64k 字 節(jié) 生 長 方 向 通信區(qū) 70:0H 未初始化數(shù)據(jù) （ 2） COM型文件病毒機制 ? ① 病毒取得控制權(quán)的時機 一般說來，當由 DOS用 Jump指令跳到 COM程序的起點時，是一個比較合適的時機。 ? 這個空間中存放 ? COM文件 ? 程序段前綴（ program segment prefix， PSP） ? 一個起始堆棧。 COM型文件病毒是如何執(zhí)行的。 COM型文件是如何執(zhí)行的； ? ? 3 返回正常的 INT 13H中斷服務(wù)處理程序，完成對目標盤的傳染過程。