【正文】 站欺騙 ? 由于目前注冊(cè)一個(gè)域名沒有任何要求，利用這一點(diǎn)，攻擊者會(huì)搶先或特別設(shè)計(jì)注冊(cè)一個(gè)有欺騙性的站點(diǎn)。 ? 4 查詢應(yīng)答被 B（ DNS服務(wù)器）記錄到緩存中。 ? 2 B向外遞交查詢請(qǐng)求。 ? 再偽造一個(gè)查詢應(yīng)答。 ? 實(shí)施 DNS欺騙的基本思路是：讓 DNS服務(wù)器的緩存中存有錯(cuò)誤的 IP地址，即在 DNS緩存中放一個(gè)偽造的緩存記錄。 ? 為提高效率， DNS會(huì)將所有已經(jīng)查詢到的結(jié)果存入緩存（ Cache）。這些偽造的數(shù)據(jù)，會(huì)修改網(wǎng)絡(luò)上主機(jī)中的 ARP高速緩存。但是， ARP的特點(diǎn)是無狀態(tài)，即在沒有請(qǐng)求時(shí)也可以發(fā)送應(yīng)答的包。而該 IP地址的擁有者則用含有該 IP地址和相應(yīng) MAC地址的幀進(jìn)行應(yīng)答。 ARP欺騙 ? ARP（ Address Resolution Protocol，地址解析協(xié)議）一種將 32位 IP地址轉(zhuǎn)化成 48位 MAC地址的協(xié)議。 ? （ 3）在 TCP連接中，只是剛開始連接時(shí)進(jìn)行一次 IP地址的驗(yàn)證，在連接過程中 TCP應(yīng)用程序只跟蹤序列號(hào)，而不進(jìn)行IP地址驗(yàn)證。 TCP會(huì)話劫持 ? 基于網(wǎng)絡(luò)通信中的如下規(guī)律進(jìn)行的： ? （ 1）以太網(wǎng)使用廣播方式進(jìn)行通信，在同一網(wǎng)段中，每一太監(jiān)聽設(shè)備都可以接收到其他站點(diǎn)發(fā)送的分組。在沒有連接的情況下， TCP序列號(hào)為 128 000*RTT；如果目標(biāo)服務(wù)器剛剛建立過一個(gè)連接，就還要加上 64 000。 ? 同時(shí)，攻擊者還需要估計(jì)他的服務(wù)器與可信服務(wù)器之間的往返時(shí)間（ RTT）。 ? 隨機(jī)的初始序列號(hào)的產(chǎn)生也是有一定規(guī)律的。這表明，在沒有連接的情況下，TCP的序列號(hào)每 。基本方法是對(duì) S實(shí)施拒絕服務(wù)攻擊。 其他沒有這類服務(wù)的系統(tǒng)所受到的 IP欺騙攻擊雖然有，但要少得多。 基于 IP地址認(rèn)證的任何網(wǎng)絡(luò)服務(wù)； ? 下面是容易受到電子欺騙攻擊的服務(wù)類型： ? 入侵者 X要對(duì) T進(jìn)行 IP欺騙攻擊，就可以假冒 S與 T進(jìn)行通信。 IP欺騙 ? IP欺騙就是偽造別的機(jī)器的 IP地址用于欺騙第三者。 ? （ 5）陷門可以把再次入侵被發(fā)現(xiàn)的可能性降至最低。 ? （ 3）它們可以使攻擊者以最短的時(shí)間再次進(jìn)入系統(tǒng)，而不是重新挖掘漏洞。 陷門一般有如下一些技術(shù)或功能特征： ? （ 1）陷門通常寄生于某些程序（有宿主），但無自我復(fù)制功能。 ? 4. 發(fā)送數(shù)據(jù)的組織方法 ? 為了避免被發(fā)現(xiàn)，木馬程序必須很好地控制數(shù)據(jù)傳輸量，例如把屏幕畫面切分為了多個(gè)部分，并將畫面存儲(chǔ)為 JPG格式，使壓縮率變高，使數(shù)據(jù)變得十分小，甚至在屏幕沒有改變的情況下，傳送的數(shù)據(jù)量為 0。 ? （ 5）合并程序欺騙。 ? （ 4）錯(cuò)覺欺騙。即將木馬圖標(biāo)修改成圖像文件圖標(biāo)。 ? （ 6）通過磁盤或光盤傳播。 ? （ 4）將木馬程序捆綁在軟件安裝程序上，通過提供軟件下載的網(wǎng)站（ Web/FTP/BBS）傳播。 ? （ 2）以郵件附件的形式傳播：控制端將木馬改頭換面后，然后將木馬程序添加到附件中，發(fā)送給收件人。本地安裝就是直接在計(jì)算機(jī)上進(jìn)行安裝。 特洛伊木馬的傳播形式 ? （ 1）手工放置：手工放置比較簡單，是最常見的做法。 ? （ 4）非自繁殖性與非自動(dòng)感染性。木馬程序可以在系統(tǒng)軟件和應(yīng)用軟件的文件傳播中被人置入，也可以在系統(tǒng)或軟件設(shè)計(jì)是被故意放置進(jìn)來。而木馬為了獲得非授權(quán)的服務(wù)，還要通過欺騙進(jìn)行隱藏。 ? （ 2）隱藏性和欺騙性。一旦控制端與服務(wù)端建立連接后，控制端將竊取用戶密碼，獲取大部分操作權(quán)限，如修改文件、修改注冊(cè)表、重啟或關(guān)閉服務(wù)端操作系統(tǒng)、斷開網(wǎng)絡(luò)連接、控制服務(wù)端鼠標(biāo)和鍵盤、監(jiān)視服務(wù)端桌面操作、查看服務(wù)端進(jìn)程等。 ? （ 4）毀壞型 毀壞型木馬以毀壞并刪除文件（如受害者計(jì)算機(jī)上的 .dll、 .ini或 .exe）為主要目的。一旦發(fā)現(xiàn)系統(tǒng)已經(jīng)連接到 Inter上，就在受害者不知情的情形下將收集的信息通過一些常用的傳輸方式（如電子郵件、 ICQ、 FTP）把它們發(fā)送到指定的地方。通道的一端發(fā)送命令，另一端解釋并執(zhí)行該命令，并通過該通道返回信息。此后，人們就把特洛伊木馬（ Trojan horse）作為偽裝的內(nèi)部顛覆者的代名詞。到了夜間，木馬內(nèi)的士兵，鉆出來作為內(nèi)應(yīng)，打開城門。 蠕蟲舉例 ? 1. ? 2. I_WORM/EMANUEL網(wǎng)絡(luò)蠕蟲 ? 3. ? 4. SQL蠕蟲王 ? 5. 震蕩波 3 特洛伊木馬 特洛伊木馬及其類型 ? 古希臘詩人荷馬（ Homer）在其史詩依利雅得（ The Iliad）中，描述了一個(gè)故事：希臘王的王妃海倫被特洛伊（ Troy）的王子掠走，希臘王在攻打 Troy城時(shí)，使用了木馬計(jì)（ the stratagem of Trojan horse），在巨大的木馬內(nèi)裝滿了士兵，然后假裝撤退，把木馬留下。 ? （ 2）隱藏模塊：侵入主機(jī)后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。 ? 獲得一個(gè) shell，就擁有了對(duì)整個(gè)系統(tǒng)的控制權(quán)。 ? 掃描模塊負(fù)責(zé)探測存在漏洞的主機(jī)。 3. 蠕蟲程序的功能結(jié)構(gòu) ? （ 1）傳播模塊 ? 傳播模塊由掃描子模塊、攻擊子模塊和復(fù)制子模塊組成。 ? ? （ 3）刪除自己： ? ? （ 2）將蠕蟲拷貝到一個(gè)目錄下，并更換文件名為已經(jīng)運(yùn)行的服務(wù)名稱，使任務(wù)管理器不能終止蠕蟲運(yùn)行。 ? （ 4）針對(duì)不同的漏洞設(shè)計(jì)不同的探測包，提高掃描效率。 ? （ 2）對(duì)掃描次數(shù)進(jìn)行限制。 ? （ 4）攻擊的主動(dòng)性 ? （ 5）破壞的嚴(yán)重性 ? （ 6）行蹤的隱蔽性 2. 蠕蟲傳播的基本過程 蠕蟲的重要機(jī)制和功能結(jié)構(gòu) 1. 蠕蟲的掃描機(jī)制 ? 掃描策略改進(jìn)的原則是，盡量減少重復(fù)的掃描，使掃描發(fā)送的數(shù)據(jù)包盡量少，并保證掃描覆蓋盡量大的范圍。 病毒的傳染目標(biāo)針對(duì)本地程序（文件），而蠕蟲是針對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī)； ? 但是，病毒與蠕蟲的傳染機(jī)制有三點(diǎn)不同： ? ? （ 6）對(duì)于殺毒軟件無法殺除的計(jì)算機(jī)病毒，應(yīng)將計(jì)算機(jī)病毒樣本送交防殺計(jì)算機(jī)病毒軟件廠商的研究中心，以供詳細(xì)分析。如果可執(zhí)行文件中的計(jì)算機(jī)病毒不能被清除，應(yīng)將其刪除后重新安裝相應(yīng)的應(yīng)用程序。 ? （ 3）啟動(dòng)防殺計(jì)算機(jī)病毒軟件并對(duì)整個(gè)硬盤進(jìn)行掃描。 誤報(bào)（ false positive）率 ? ? （ 2）單臺(tái)計(jì)算機(jī)系統(tǒng)的安全使用 ? （ 3）計(jì)算機(jī)網(wǎng)絡(luò)的安全使用 ? （ 4）重要數(shù)據(jù)文件要有備份 ? （ 5）強(qiáng)化安全管理 ? （ 6）防范體系與規(guī)范建設(shè) 2. 計(jì)算機(jī)病毒檢測 ? （ 1）現(xiàn)象觀測法 ? （ 2）進(jìn)程監(jiān)視法 ? （ 3）比較法 ? （ 4）特征代碼法 ? （ 5）軟件模擬法 ? （ 6）分析法 3. 計(jì)算機(jī)病毒的清除 ? （ 1）引導(dǎo)型病毒的清除 ? （ 2）文件型病毒的清除 ? （ 3）宏病毒的清除 4. 病毒防治軟件 ? （ 1）病毒防治軟件的類型 ? 病毒掃描型軟件：。 ? ⑥ 病毒把 COM文件的最初幾個(gè)字節(jié)寫回到原來的 100H偏移處； ? ⑦ 病毒代碼執(zhí)行一條跳轉(zhuǎn)到 100H偏移處的 Jump指令，開始執(zhí)行宿主程序。 ? ④ 內(nèi)存中的病毒代碼開始搜索磁盤，尋找合適的感染目標(biāo)。 ? ② 系統(tǒng)將控制權(quán)交到 100H偏移處。 病毒代碼執(zhí)行結(jié)束，要先恢復(fù)被替換的幾個(gè)字節(jié)，再跳回到 100H偏移處，執(zhí)行宿主程序。 把被感染的 COM文件的最開始（ 100H偏移處）幾個(gè)字節(jié)，換成跳轉(zhuǎn)到病毒代碼的 Jump指令； ? 同時(shí)，系統(tǒng)為 COM程序分配的內(nèi)存空間還空閑著，病毒可以自由地使用這些空間。 CS=DS=ES=BS 中斷向量表 DOS常駐區(qū) 程序段前綴 PSP COM文件映像 堆棧區(qū) 程序剩余空間 DOS暫駐區(qū) 0000H 40:0H IP:0100H SP:FFFEH RAM最高端 最 大 64k 字 節(jié) 生 長 方 向 通信區(qū) 70:0H 未初始化數(shù)據(jù) （ 2） COM型文件病毒機(jī)制 ? ① 病毒取得控制權(quán)的時(shí)機(jī) 一般說來，當(dāng)由 DOS用 Jump指令跳到 COM程序的起點(diǎn)時(shí)，是一個(gè)比較合適的時(shí)機(jī)。 ? 這個(gè)空間中存放 ? COM文件 ? 程序段前綴（ program segment prefix， PSP） ? 一個(gè)起始堆棧。 COM型文件病毒是如何執(zhí)行的。 COM型文件是如何執(zhí)行的； ? ? 3 返回正常的 INT 13H中斷服務(wù)處理程序，完成對(duì)目標(biāo)盤的傳染過程。