第13章 计算机组装与维护

第13章 计算机病毒防护与网络安全,13.1 计算机病毒概述13.2 反病毒软件13.3 网 络 安 全13.4 网 络 黑 客13.5 防火墙技术,13.1 计算机病毒概述,病毒、蠕虫和特洛伊木马是可导致计算机信息损坏的恶意程序，可能使 Internet 速度变慢，甚至可以利用计算机将病毒传播给朋友、家人、同事以及 Web 的其他地方。只要进行一些预防并掌握一些常识，就可以减少或避免这些恶意程序的侵害。13.1.1 病毒、蠕虫和特洛伊木马的特点和差异1.病毒病毒是附着于程序或文件中的一段程序代码，可在计算机之间传播，并且一边传播一边感染计算机。病毒可损坏软件、硬件和文件。,下一页,返回,13.1 计算机病毒概述,病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。病毒附着于宿主程序，试图在计算机之间传播。计算机病毒也有轻重之分，轻者仅产生一些干扰，重者彻底摧毁硬件设备。但在没有人员操作的情况下，真正的病毒不会传播。必须通过共享文件或发送电子邮件来将其一起移动。2.蠕虫与病毒相似，蠕虫也是被设计用来将其从一台计算机复制到另一台计算机的，但是它自动进行。首先，控制计算机上可以传输文件或信息的功能。一旦系统感染蠕虫，蠕虫即可独自传播。最危险的是，蠕虫可大量复制。例如，蠕虫可向电子邮件地址簿中的所有联系人发送其副本，那些联系人的计算机也将执行同样的操作，结果造成多米诺效应(网络通信负载过大)，使商业网络和整个 Internet 的速度减慢。当新的蠕虫爆发时，其传播的速度非常快。出现堵塞网络并可能导致用户等很长的时间才能查看 Internet 上的网页的现象。,上一页,下一页,返回,13.1 计算机病毒概述,蠕虫的定义：病毒的子类。通常，蠕虫传播无需用户操作，并可通过网络分发其完整副本(可能有改动)。蠕虫会占用内存或网络带宽，从而可能导致计算机系统崩溃。蠕虫的传播不必通过宿主程序或文件，因此可潜入计算机系统并允许其他人远程控制计算机。最近的蠕虫示例包括 Sasser 蠕虫和 Blaster 蠕虫。3.特洛伊木马特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。最近的特洛伊木马以电子邮件的形式出现，电子邮件包含的附件声称是 Microsoft 安全更新程序，但实际上是一些试图禁用防病毒软件和防火墙软件的病毒。一旦用户打开了以为来自合法来源的程序，特洛伊木马便趁机传播。特洛伊木马也可能包含在免费下载软件中。切勿从不信任的来源下载软件。,上一页,下一页,返回,13.1 计算机病毒概述,13.1.2 蠕虫和其他病毒的传播实际上，所有病毒和许多蠕虫是无法传播的，除非打开或运行了受感染的程序。很多最危险的病毒主要通过电子邮件附件(随电子邮件一起发送的文件)传播。通常，可判断电子邮件是否包含附件，即表示附件且包括附件名称的回形针图标。有些文件格式(例如，图片、用 Microsoft Word 写的信件或 Excel 电子表格)可能是每天都要通过电子邮件收发的。当打开受感染的文件附件(通常是双击附件图标以打开附件)时，就会启动病毒。另一些病毒可能通过从 Internet下载的程序进行传播，或通过带病毒的计算机磁盘进行传播。这些属于比较少见的病毒感染方式。大多数人是因为打开和运行附有病毒的电子邮件附件从而感染病毒。,上一页,下一页,返回,13.1 计算机病毒概述,13.1.3 感染病毒的主要症状在计算机上打开并运行受感染的程序或附件之后，用户可能并未意识到已经引入了病毒。以下是系统可能受到感染的一些主要症状：运行速度持续比正常速度慢。经常停止响应或锁定。每隔几分钟崩溃并重新启动。自行重新启动，然后无法正常运行。应用程序不正常。磁盘或磁盘驱动器不可访问。打印不正常。看到异常的错误消息。看到失真的菜单或对话框。,上一页,下一页,返回,13.1 计算机病毒概述,这些是感染病毒后的常见迹象，但是也可能表示与病毒无关的硬件或软件问题。除非在计算机上安装行业标准、最新的防病毒软件，否则没有办法确定计算机是否受到病毒感染。,上一页,返回,13.2 反病毒软件,13.2.1 反病毒软件的介绍反病毒软件也称为杀毒软件，即能够检查并且能够清除计算机病毒蠕虫和木马的应用软件。国内比较知名的杀毒软件有瑞星杀毒软件、江民杀毒软件、金山毒霸等。国外的杀毒软件，比较知名的有卡巴斯基、诺顿、MacAfee、F-SECURE、NOD32，其中卡巴斯基、MacAfee、诺顿又被誉为世界三大杀毒软件。13.2.2 杀毒软件的功能特点根据计算机病毒具有传染性、隐蔽性、潜伏性、破坏性、触发性等几个特点，杀毒软件应该具备以下功能：,下一页,返回,13.2 反病毒软件,内存解毒：能安全迅速地恢复病毒对内存所做的修改，无需重新启动引导机器，即可完成对病毒的查解。 查解变体代码机和病毒制造机：能对各种变体代码机和病毒制造机自动分析、辨别，对其产生的各种病毒真正实现全部查出和解除。 虚拟机技术：对付各类变形、幽灵、加密病毒有奇效，无论病毒如何变化，都能将其准确分析并还原。一改特征码查毒的概念，真正实现了对变形病毒的变形体百分之百查解，也使解毒变得非常容易。 未知病毒预测：使用代码分析和病毒常用手段的综合加权分析，检测还没有命名的未知病毒，并能报告出未知病毒感染的目标类型和病毒类别。目前，每天都会出现很多种病毒，因此能否查解未知病毒，能否跟得上病毒的发展趋势是至关重要的。 在线监控、实时解毒：对系统进行实时监测，将软盘、光盘、网络等检测出的病毒立即解除。,上一页,下一页,返回,13.2 反病毒软件,病毒源跟踪：在局域网上查到病毒时，能准确定位有关的网站，记入报告文件，并给网站发送病毒的消息，必要时会将这些工作站注销，帮助管理员快速地找到病毒源。 压缩还原技术：对Pklite、Diet、Exepack、Com2exe、Lzexe、Cpav等几百种压缩加壳软件自动还原，彻底解除隐藏较深的病毒。 包裹还原技术：展开ZIP、Rar、Ice、Lha等几十种包裹文件，使隐藏在光盘、因特网上传文件中的病毒在展开和安装前便现出原形。 应急恢复：提供磁盘关键数据的保护和系统文件备份，无论在病毒、断电或其他任何事故导致文件损坏、硬盘数据丢失或系统无法启动时，仅用一张软盘就可实现快捷的灾难恢复。 Vxd和VDD技术：有效地利用虚拟设备驱动程序，提高性能、效率和稳定性，并提供在Windows 95/98/NT下对底层的控制，完成内存病毒查解和引导型病毒查解。,上一页,下一页,返回,13.2 反病毒软件,11查解Trojan(特洛伊木马)：对数千种Trojan以及有恶意的代码和有害程序具备识别能力和处理手段，使之失去破坏能力。 12查解Java病毒：对Java病毒和有恶意的Java、Activex、Cookie等程序，能够迅速从服务器和工作站中将其查解，并关闭掉，必要时还应该能够删除相关文件。 13查解宏病毒：准确、安全处理各种版本、各种语言的宏，解毒后不影响自定义宏，不会改变文档内容。 14多平台支持：好的杀毒软件不仅实现单机杀毒，而且也支持Windows 95/98/NT、Novell、Unix等多种操作系统和网络，并为Internet/Intranet网络用户提供较好的反病毒侵害解决方案。 15网络反病毒：提供实时查杀网络病毒、邮件病毒功能和Internet保护功能。 16检测病毒数量：病毒的数量、种类呈迅猛发展的趋势，能查杀病毒的种类也就成为评测杀毒软件的指标之一。,上一页,下一页,返回,13.2 反病毒软件,13.2.3 病毒名解析反病毒公司为了方便管理，按照病毒的特性，将病毒进行分类命名。一般格式为：病毒前缀.病毒名.病毒后缀。病毒前缀是指一个病毒的种类，用来区别病毒的种族分类。不同种类的病毒，其前缀也是不同的。常见的木马病毒的前缀Trojan ，蠕虫病毒的前缀是Worm 等。病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如CIH病毒的家族名都是统一的CIH，振荡波蠕虫病毒的家族名是Sasser 。病毒后缀是指一个病毒的变种特征，用来区别具体某个家族病毒的某个变种。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多，可以采用数字与字母混合表示变种标识。,上一页,下一页,返回,13.2 反病毒软件,病毒的前缀对快速的判断该病毒属于哪种类型的病毒有非常大的帮助。通过判断病毒的类型，就可以对这个病毒有个大概的评估(这需要积累一些常见病毒类型的相关知识，这不在本文讨论范围)。而通过病毒名可以利用查找资料等方式进一步了解该病毒的详细特征。病毒后缀可以指明病毒是哪个变种。下面附带一些常见的病毒前缀的解释(针对Windows操作系统)：1.系统病毒系统病毒的前缀为Win32、PE、Win95、W32、W95等。这种病毒公有的特性是可以感染Windows操作系统的.exe 和.dll 文件，并通过这些文件进行传播。如CIH病毒。,上一页,下一页,返回,13.2 反病毒软件,2.蠕虫病毒蠕虫病毒的前缀是Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。例如冲击波(阻塞网络)，小邮差(发带毒邮件)等。3.木马病毒、黑客病毒木马病毒其前缀是Trojan。黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的计算机进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的计算机，而黑客病毒则会通过该木马病毒来进行控制。这两种类型越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ，还有大家遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。这里补充一点，病毒名中有PSW或者PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文password的缩写)一些黑客程序如：网络枭雄(Hack.Nether.Client)等。,上一页,下一页,返回,13.2 反病毒软件,4.脚本病毒脚本病毒的前缀是Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码(Script.Redlof)。脚本病毒还会有如下前缀：VBS、JS(表明是何种脚本编写的)，如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。,上一页,下一页,返回,13.2 反病毒软件,5.宏病毒宏病毒是脚本病毒的一种，由于其具有特殊性，因此在这里单独算成一类。宏病毒的前缀是Macro，第二前缀是Word、Word 97、Excel、Excel 97(也许还有别的)其中之一。感染WORD 97及以前版本WORD文档的病毒采用Word 97作为第二前缀，其格式是Macro.Word97；感染WORD 97以后版本WORD文档的病毒采用Word作为第二前缀，格式是Macro.Word；感染EXCEL 97及以前版本EXCEL文档的病毒采用Excel 97作为第二前缀，格式是Macro.Excel97；感染EXCEL 97以后版本EXCEL文档的病毒采用Excel作为第二前缀，格式是Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如著名的梅利莎(Macro.Melissa)。,上一页,下一页,返回,13.2 反病毒软件,6.后门病毒后门病毒的前缀是Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户计算机带来安全隐患。7.病毒种植程序病毒这类病毒运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。8.破坏性程序病毒破坏性程序病毒的前缀是Harm。这类病毒利用好看的图标诱惑用户点击，当点击这类病毒时，病毒便会直接对用户计算机产生破坏。如格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。,上一页,下一页,返回,13.2 反病毒软件,9.玩笑病毒玩笑病毒的前缀是Joke，也称恶作剧病毒。这类病毒利用好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户计算机进行任何破坏。如女鬼(Joke.Girlghost)病毒。10.捆绑机病毒捆绑机病毒的前缀是Binder。这类病毒的公有特性是病毒编写者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，看起来是一个正常的文件，当用户运行这些捆绑病毒时，虽然表面上运行这些应用程序，但实际隐藏运行捆绑在一起的病毒，从而给用户造成危害。如捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。以上为比较常见的病毒前缀，还会有一些其他的，但比较少见，这里简单提一下：DoS：会针对某台主机或者服务器进行DoS攻击。,上一页,下一页,返回,13.2 反病毒软件,Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者其本身就是一个用于Hacking的溢出工具。HackTool：黑客工具，也许本身并不破坏用户计算机，但是会被别人加以利用将用户计算机做替身去破坏别人。在查出某个病毒以后可以通过以上所说的方法来初步判断所中病毒的基本情况，并且在杀毒无法自动查杀，采用手工方式时候这些信息会带来很大的帮助。13.2.4 查杀计算机病毒这里介绍一款国内的反病毒软件安装及使用，其他反病毒软件的使用方法请参考相关的联机帮助文档。1.金山毒霸的安装在金山公司主页上可以下载到金山毒霸2006的下载版，下载并开始安装程序。界面如图13-1所示。,上一页,下一页,返回,13.2 反病毒软件,按默认设定，单击“下一步”按钮，直到完成文件复制。首先按钮程序会进行内存查毒，如图13-2所示。注册金山通行证。每次使用金山毒霸都需要金山通行证。输入用户名、设定密码、E-mail地址和验证码，单击“同意服务条款，注册我的金山通行证”按钮。如图13-3所示。注册成功后，可以使用通行证绑定金山毒霸。最后可以选择启动在线升级程序选项，单击Finish按钮将金山毒霸升级到最新的版本。,上一页,下一页,返回,13.2 反病毒软件,2.利用金山毒霸查杀计算机病毒运行金山毒霸2006，主界面如图13-4所示。可以选择全面杀毒、闪电杀毒、在线升级等选项。第一次使用，推荐进行全面杀毒。使用过程中，需要定期做在线升级，以确保使用最新的反病毒引擎和病毒库。平时也可针对个别磁盘和目录进行闪电式查毒，但是最好定期做全面杀毒。如图13-5所示，扫描结果显示已经发现并清除5个病毒，同时发现一个风险程序。,上一页,下一页,返回,13.2 反病毒软件,13.2.5 手动清除病毒实例这里介绍2006年底影响最大的熊猫烧香病毒及其变种的查杀方法，和熊猫烧香病毒的手动清除方案。在动手查杀熊猫烧香病毒之前，注意以下四点：猫烧香病毒变种很多，注意查看病毒症状，根据实际情况选用不同的查杀方法。对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复。 找回被熊猫烧香病毒删除的ghost(.gho)备份文件，可用前一章介绍的方法来恢复这些文件。对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒或使用专杀工具。,上一页,下一页,返回,13.2 反病毒软件,“武汉男生”俗称“熊猫烧香”，是一个感染型的蠕虫病毒，它能感染系统中exe、com、pif、src、html、asp等文件，还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件(*.gho为GHOST的备份文件)，使系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样，如图13-6、图13-7所示。 该病毒又出现多个变种，这里只介绍其中一个变种病毒进程为“spoclsv.exe”。1.病毒详细行为 复制自身到系统目录下。 %System%driversspoclsv.exe(“%System%”代表Windows所在目录，例如：C:Windows),上一页,下一页,返回,13.2 反病毒软件,创建启动项。HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare=%System%driversspoclsv.exe 在各分区根目录生成病毒副本。X:setup.exe X:autorun.inf autorun.inf内容：AutoRun OPEN=setup.exeshellexecute=setup.exeshellAutocommand=setup.exe,上一页,下一页,返回,13.2 反病毒软件,使用net share命令关闭管理共享。cmd.exe /c net share X$ /del /y cmd.exe /c net share admin$ /del /y 修改“显示所有文件和文件夹”设置。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL CheckedValue=dword:00000000,上一页,下一页,返回,13.2 反病毒软件,尝试关闭安全软件相关窗口。例如天网防火墙、VirusScan、NOD32 、网镖、杀毒、毒霸、瑞星、江民、黄山IE、超级兔子、优化大师、木马清道夫、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、Windows 任务管理器、esteem procs、绿鹰PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、insock Expert、游戏木马检测大师、超级巡警、msctls_statusbar32、pjf(ustc)、IceSword 等。尝试结束安全软件相关进程以及Viking病毒(威金病毒)进程。,上一页,下一页,返回,13.2 反病毒软件,例如Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、RavmonD.exe、RavStub.exe、KVXP.kxp、KvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe等。 禁用安全软件相关服务。 例如Schedule、sharedaccess、RsCCenter、RsRavMon、KVWSC、KVSrvXP、Kavsvc、AVP、McAfeeFramework、McShield、McTaskManager、Navapsvc、Wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor、MskService，FireSvc等。,上一页,下一页,返回,13.2 反病毒软件,删除安全软件相关启动项。 SOFTWAREMicrosoftWindowsCurrentVersionRunRavTask SOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXP SOFTWAREMicrosoftWindowsCurrentVersionRunkav SOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50 SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUI SOFTWAREMicrosoftWindowsCurrentVersionRunNetwork Associates Error Reporting Service,上一页,下一页,返回,13.2 反病毒软件,SOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXE SOFTWAREMicrosoftWindowsCurrentVersionRunYLive.exe SOFTWAREMicrosoftWindowsCurrentVersionRunyassistse 遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息。 ,上一页,下一页,返回,13.2 反病毒软件,但不修改以下目录中的网页文件 C:WINDOWS C:WINNT C:system32 C:Documents and Settings C:System Volume Information C:Recycled Program FilesWindows NT Program FilesWindowsUpdate Program FilesWindows Media Player Program FilesOutlook Express,上一页,下一页,返回,13.2 反病毒软件,Program FilesInternet Explorer Program FilesNetMeeting Program FilesCommon Files Program FilesComPlus Applications Program FilesMessenger Program FilesInstallShield Installation Information Program FilesMSN Program FilesMicrosoft Frontpage Program FilesMovie Maker Program FilesMSN Gamin Zone,上一页,下一页,返回,13.2 反病毒软件,11在访问过的目录下生成Desktop_.ini文件，内容为当前日期。 12尝试删除GHO文件。 13尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其他计算机中。 14病毒文件内含有这些信息： whboy *武*汉*男*生*感*染*下*载*者*2.解决方案 结束病毒进程%System%driversspoclsv.exe 不同的spoclsv.exe变种目录不同，例如12月爆发的变种目录是C:WINDOWS System32 Driversspoclsv.exe。但可用此方法清除。“%System%system32spoclsv.exe”是系统文件。,上一页,下一页,返回,13.2 反病毒软件,删除病毒文件 %System%driversspoclsv.exe 请注意区分病毒和系统文件。详见步骤1。 删除病毒启动项 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare=%System%driversspoclsv.exe 通过分区盘符右键菜单中的“打开”进入分区根目录，删除根目录下的病毒文件X:setup.exe 和X:autorun.inf 。如果是双击打开，又要运行该病毒的副本，使系统内存再次染毒。,上一页,下一页,返回,13.2 反病毒软件,恢复被修改的“显示所有文件和文件夹”设置： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALL CheckedValue=dword:00000001 修复或重新安装被破坏的安全软件。 修复被感染的程序。可用专杀工具进行修复，金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊猫烧香病毒专杀工具 和 瑞星熊猫烧香病毒专杀工具。,上一页,下一页,返回,13.2 反病毒软件,恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一旦发布到网页可能会感染其他用户。杀毒软件可以清除绝大多数病毒，但也有无法清除的病毒，这时需要详细研究病毒的行为特点，掌握它的传播原理、文件路径、启动方式和自我保护机制，制定出相应的手动清除方案，经过反复实践，完善方案。,上一页,返回,13.3 网 络 安 全,13.3.1 网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然或者恶意原因而遭到破坏、更改、泄露，系统能够连续可靠正常地运行，网络服务不中断。无论公司内部连接的是至关重要的公司数据库，还是仅仅承担公司内部的电话呼叫与E-mail 的传输服务，保证网络上的数据传输都是非常重要的工作。13.3.2 网络存在的问题 网络存在的问题主要有三类：机房安全。机房是网络设备运行的关键地，难免发生安全问题，如物理安全(火灾、雷击、盗贼等)、电气安全(停电、负载不均等)等情况。,下一页,返回,13.3 网 络 安 全,病毒的侵入和黑客的攻击。黑客对计算机网络构成的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。并以各种方式有选择地破坏信息的有效性和完整性；进行截获、窃取、破译、以获得重要机密信息。 管理不健全而造成的安全漏洞。从广泛的网络安全意义范围来看，网络安全不仅仅是技术问题，更是一个管理问题。包含管理机构、法律、技术、经济等方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题，必须要有综合的解决方案。13.3.3 网络安全检查工具的使用实例在此之前，先给大家介绍两个不错的安全网站。网络安全焦点 /绿盟科技 /,上一页,下一页,返回,13.3 网 络 安 全,此外，瑞星、江民、金山等多家反病毒厂商的网站也提供网络安全方面的技术和工具。这里介绍“X-Scan”，版本号为3.3。该软件属于扫描器，可以对网络内的计算机进行扫描，检查其是否存在安全漏洞。黑客就是先利用扫描工具发现网络计算机存在的安全漏洞，然后采取相应的手法进行入侵。下载X-Scan后，解开压缩包，直接运行xscan_gui.exe，主界面如图13-8所示。单击“设置”选择“扫描参数”，出现“扫描参数”窗口，如图13-9所示。该界面提供一个参数设置接口，供用户设置。从左边的列表框可知，有三类主要的参数需要设置：,上一页,下一页,返回,13.3 网 络 安 全,检查范围指定IP范围：在下面的文本框中输入欲扫描的主机IP地址，如果不知道填写格式，可单击后面的“示例”按钮，它提供了格式参考。全局设置扫描模块 并发扫描扫描报告其他设置,上一页,下一页,返回,13.3 网 络 安 全,插件设置端口相关设置SNMP相关设置NETBIOS相关设置漏洞检查脚本设置CGI相关设置字典文件设置一般采用默认设置，也可根据实际的需要修改，如图13-10所示为选择扫描模块。,上一页,下一页,返回,13.3 网 络 安 全,设置完参数后，单击工具栏绿色三角按钮，开始扫描。它加载漏洞脚本，如图13-11所示。在扫描的过程中，可以看见主机信息、累计时间、插件时间、活动线程数、当前进度、正在检查的普通信息、漏洞信息和错误信息等，如图13-12和图13-13所示。工具栏有相应的按钮，可以随时暂停扫描或终止扫描活动。本例只扫描本机，也可对网络内的其他计算机进行检查。对局域网内的其他机器进行扫描，只需将扫描IP范围设定为本机所在网络段即可，假设本机IP为，我们可将IP范围设置为254。,上一页,下一页,返回,13.3 网 络 安 全,检测结束后，X-Scan会生成一个最终的检测报告，以html的形式提供。如图13-14所示。根据这份报告可以来确定计算机是否存在安全漏洞，根据实际情况修补计算机存在的安全问题，提高计算机的安全性。例如计算机的用户没有设置口令，或是弱口令，可修改用户的口令。报告中给出了风险等级和提示，可查阅相关资料进行处理，这里不再赘述。,上一页,返回,13.4 网 络 黑 客,13.4.1 什么是网络黑客黑客是那些检查(网络)系统完整性和完全性的人。黑客(hacker)，源于英语动词hack。他们通常具有硬件和软件的高级知识，并有能力通过创新的方法剖析系统。“黑客”能使更多的网络趋于完善和安全，他们以保护网络为目的，而以不正当侵入为手段找出网络漏洞。另一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令)，他们也具备广泛的电脑知识，但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。当然还有一种人兼于黑客与入侵者之间。,下一页,返回,13.4 网 络 黑 客,13.4.2 网络黑客攻击方法 1.获取口令 一是通过网络监听非法得到用户口令，这类方法有一定的局限性，但危害性极大，监听者往往能够获得其所在网段的所有用户账号和口令，对局域网安全威胁巨大；二是在知道用户的账号后(如电子邮件前面的部分)利用一些专门软件强行破解用户口令，这种方法不受网段限制，但黑客要有足够的耐心和时间；三是在获得一个服务器上的用户口令文件(此文件成为Shadow文件)后，用暴力破解程序破解用户口令，该方法的使用前提是黑客获得口令的Shadow文件。此方法在所有方法中危害最大，因为不需要像第二种方法那样一遍又一遍地尝试登录服务器，而是在本地将加密后的口令与Shadow文件中的口令相比较就能非常容易地破获用户密码，尤其对那些口令安全系数极低的用户，(如某用户账号为zys，其口令就是zys666、666666、或干脆就是zys等)更是在短短的一两分钟内，甚至几十秒内就可以将其破获。,上一页,下一页,返回,13.4 网 络 黑 客,2.放置特洛伊木马程序特洛伊木马程序可以直接侵入用户的计算机并进行破坏，常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，特洛伊木马程序就会留在计算机中，并在计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当计算机连接到因特网上时，这个程序就会通知黑客，来报告计算机的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地进行计算机的参数设定、复制文件、窥视整个硬盘中的内容等，达到控制计算机的目的。,上一页,下一页,返回,13.4 网 络 黑 客,3.WWW的欺骗技术 在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户不会想到正在访问的网页已经被黑客篡改过，网页上的信息是虚假的。黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页时，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。,上一页,下一页,返回,13.4 网 络 黑 客,4.电子邮件攻击 一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同)，给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序(据笔者所知，某些单位的网络管理员有定期给用户免费发送防火墙升级程序的义务，这为黑客成功地利用该方法提供了可乘之机)，这类欺骗只要用户提高警惕，一般危害性不是太大。,上一页,下一页,返回,13.4 网 络 黑 客,5.通过一个节点来攻击其他节点 黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(目的是隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。这类攻击很狡猾，但由于某些技术很难掌握，如IP欺骗，因此较少被黑客使用。 6.网络监听 网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXray for Windows 95/98/NT，sniffit for Linux 、solaries等就可以轻而易举地截取包括口令和账号在内的信息。虽然网络监听获得的用户账号和口令具有一定的局限性，但监听者往往能够获得其所在网段的所有用户账号及口令。,上一页,下一页,返回,13.4 网 络 黑 客,7.寻找系统漏洞许多系统都有这样那样的安全漏洞(Bugs)，其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，Win 98中的共享目录密码验证漏洞和IE 5漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。 8.利用账号进行攻击 有的黑客会利用操作系统提供的默认账户和密码进行攻击，例如许多Unix主机都有FTP和Guest等默认账户(其密码和账户名同名)，有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息，不断提高自己的攻击能力。这类攻击只要系统管理员提高警惕，将系统提供的默认账户关掉或提醒无口令用户增加口令一般都能避免。,上一页,下一页,返回,13.4 网 络 黑 客,9.偷取特权 利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。这种攻击手段，一旦奏效，危害性极大。 13.4.3 防范措施 经常做TELNET、FTP等需要传送口令的重要机密信息应用的主机应该单独设立一个网段，以避免某一台个人计算机被攻破，被攻击者装上sniffer，造成整个网段通信全部暴露。有条件的情况下，重要主机装在交换机上，这样可以避免sniffer偷听密码。,上一页,下一页,返回,13.4 网 络 黑 客,专用主机只开专用功能，如运行网管、数据库重要进程的主机上不应该运行如sendmail这种bug比较多的程序。网管网段路由器中的访问控制应该限制在最小限度，研究清楚各进程必需的进程端口号，关闭不必要的端口。 对用户开放的各个主机的日志文件全部定向到一个syslogd server上，便于集中管理。该服务器可以由一台拥有大容量存储设备的Unix或NT主机承担。定期检查备份日志主机上的数据。 网管不得访问Internet。并建议设立专门机器使用FTP或WWW下载工具和资料。 提供电子邮件、WWW、DNS的主机不安装任何开发工具，避免攻击者编译攻击程序。,上一页,下一页,返回,13.4 网 络 黑 客,网络配置原则是“用户权限最小化”，例如关闭不必要或者不了解的网络服务，不用电子邮件寄送密码等。 下载安装最新的操作系统及其他应用软件的安全和升级补丁，安装几种必要的安全加强工具、限制对主机的访问、加强日志记录、对系统进行完整性检查、定期检查用户的脆弱口令、并通知用户尽快修改。重要用户的口令应该定期修改(不长于三个月)，不同主机使用不同的口令。 定期检查系统日志文件，在备份设备上及时备份。制定完整的系统备份计划，并严格实施。 定期检查关键配置文件(最长不超过一个月)。,上一页,下一页,返回,13.4 网 络 黑 客,制定详尽的入侵应急措施以及汇报制度。发现入侵迹象，立即打开进程记录功能，同时保存内存中的进程列表以及网络连接状态，保护当前的重要日志文件，有条件的话，立即打开网段上另外一台主机监听网络流量，尽力定位入侵者的位置。如有必要，断开网络连接。在服务主机不能继续服务的情况下，应该有能力从备份磁带中恢复服务到备份主机上。,上一页,返回,13.5 防火墙技术,13.5.1 防火墙原理防火墙(FireWall)成为近年来新兴的保护计算机网络安全技术性措施。是一种隔离控制技术，在某个机构的网络与不安全的网络(如Internet)之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止重要信息从企业的网络上被非法输出。 作为Internet的安全性保护软件，防火墙已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业网和Internet间设立防火墙软件。企业信息系统对于来自Internet的访问，采取有选择的接收方式。允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。,下一页,返回,13.5 防火墙技术,如果在某一台IP主机上有需要禁止的信息或存在危险的用户，则可以通过设置使用防火墙过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息，那么就可以在防火墙上设置使得只有这两类应用的数据包可以通过。这对于路由器来说，不仅要分析IP层的信息，而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。防火墙一般安装在路由器上以保护一个子网，也可以安装在一台主机上，保护这台主机不受侵犯。 13.5.2 防火墙的种类从实现原理上分，防火墙的技术包括四大类：网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。这几类防火墙技术各有所长，具体使用哪一种以及是否混合使用，要视具体情况来定。,上一页,下一页,返回,13.5 防火墙技术,1.网络级防火墙 一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个传统的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但不能判断出一个IP包来自何方，去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。,上一页,下一页,返回,13.5 防火墙技术,2.应用级网关 应用级网关能够检查进出的数据包，通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控制，并做精细的注册和稽