网络安全基础讲座.ppt

1、中国科技网,网络安全之病毒、木马攻防,中国科技网 研发部 龙春 2004.10,中国科技网,目录,系统漏洞及常见网络攻击手段 病毒（蠕虫）技术发展及防范 木马技术介绍及防范措施,中国科技网,2003年CERT报告了3784个漏洞,中国科技网,2003年微软共公布51个安全公告 2004年截止到8.10共公布26个安全公告,中国科技网,系统漏洞,2003年的重大漏洞 2003.3 RPC漏洞 冲击波Worm Blaster、Worm.SdBotRPC、Worm.AutoRooter （8月）等 5月 SendMail被发现存在严重安全漏洞 6月 IIS被发现存在4个严重漏洞 7月 针对Cisco

2、路由设备的攻击漏洞 10月 Windows Message服务被发现存在严重漏洞 ,中国科技网,2004年的重大漏洞,2004.4 微软MS04-011、012、013远程执行代码漏洞 “震荡波”及变种（I-Worm/Sasser） 2004.6 Cisco IOS拒绝服务漏洞 苹果Mac系统首发重大漏洞 2004.7 Microsoft Task Scheduler和HTML帮助远程控制漏洞 2004.8 Oracle发现多个重大安全漏洞,中国科技网,攻击方式,利用邮件附件，诱骗受害者打开 构建恶意网站，并诱使受害者访问。,中国科技网,攻击方式,利用系统漏洞 如震荡波Worm.sasser，

3、利用微软MS04-011公告lsass.exe缓冲区溢出漏洞。系统中病毒后TCP的1068端口开始搜寻可能传播的IP地址，系统将开启上百个线程去攻击他人，如果发现开放了445、5554等端口，并且没有打补丁的机器就会中病毒。,中国科技网,面对漏洞我们应该怎么做？,打补丁。以往的统计数字表明，及时打补丁能有效防止大多数病毒爆发。,中国科技网,补丁危机,“每隔 30-60 天，我们就得在 110 个点分别安装一遍补丁” - 美国空军,“这是一个永不停止的循环，让人们拼命追赶” - 丰田公司,来源: Forbes, 2003年5月 26日,中国科技网,怎样打补丁？,对用户进行安全培训，形成定期更新系

4、统的习惯。 Windows系统尽量开启自动定时更新，以减少网络管理人员的工作量。 对重要系统实行手动更新，更新前做好备份和记录工作。 在需要打补丁的系统数量多的情况下，使用补丁管理系统，实现补丁的扫描、分发和安装。 1、系统管理服务器（Systems Management Server， SMS） 2、终端服务（Terminal services） 3、AppExpress、Landesk,中国科技网,目录,系统漏洞及常见网络攻击手段 病毒（蠕虫）技术发展及防范 木马技术介绍及防范措施,中国科技网,病毒的分类,引导区病毒 DOS 病毒 Windows 病毒 宏病毒 Script 病毒 Java

5、 病毒,1995年以前,1996 - 1998年,1999年以後,中国科技网,其他,特洛伊木马 蠕虫 恶作剧程序 黑客工具,中国科技网,当今病毒演化趋势,攻击和威胁转移到服务器和互连网网关，对之提出新的安全挑战,IDC, 2002,病毒演化趋势,中国科技网,病毒的发展趋势,病毒更新换代向多元化发展 依赖网络进行传播 攻击方式多样（邮件87%，网页，局域网等） 利用系统漏洞成为病毒有力的传播方式 病毒与黑客技术相融合 伪装的更巧妙。 “网络天空” 及变种（I-Worm/NetSky）甚至充当震荡波变种b的专杀工具。同时也还能伪装成一些非常流行的病毒的专杀工具，它们是大名鼎鼎的：冲击波、MYDOO

6、M、雏鹰等网络蠕虫。,中国科技网,病毒的传播速度越来越快,病毒散布有“多快”（从最初被发现到大量主机被感染） 1997 : WM/Cap: 2 个月 1999 : WM/Melissa: 1 天 2000 : VBS/Loveletter: 4 小时 2001 : CodeRed: 1 小时 2004 : worm.witty :半小时,中国科技网,病毒的危害越来越大,占用系统资源，使被感染主机运行速度变得极为缓慢甚至崩溃，正常应用无法运行。 占用大量网络带宽，甚至使网络瘫痪。 对特定著名服务器发动DOS攻击。如微软、yahoo、google等。 反复重启系统，如冲击波、震荡波等 攻击防病毒软

7、件。 放置木马、后门，偷取商业信息及个人、企业用户的隐私。 其他,中国科技网,病毒带来的威胁,近年来全球重大电脑病毒疫情及损失的统计图：,中国科技网,实例：SQL Slammer,中国科技网,病毒入侵途径,有安装防毒软件的用户机,Router,Firewall,Internet/HTTP,中毒的网站主机,网页夹带HTTP病毒指令,用户机虽已经安装防病毒软件,但病毒(HTTP指令格式)经由网页浏览,透过IE的安全性漏洞,直接感染用户机,中国科技网,我们的应对措施,病毒防治，对企业而言已是一个整体安全问题，不再是单纯的买几套装软件就可以解决问题的。 企业需要集中管理 Central Control

8、。 系统维护, 病毒特征码定期，及時更新. 找出并有效防堵所有病毒入侵管道。,中国科技网,如何才能有效防治病毒,预防为主 + 紧急措施 建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级。 对邮件服务器进行监控，防止带毒邮件进行传播。 对局域网用户进行安全培训 去掉服务器中不必要的共享和服务,是否能在最短的时间内获得新的系统漏洞 和病毒特征技术服务是关键所在,中国科技网,如何才能有效防治病毒,控制传染源 Internet网关 90%病毒的入侵渠道 网络客户机 其余10%病毒的入侵渠道,中国科技网,如何才能有效防治病毒,控制病毒的扩散途径 邮件

9、服务器 Web服务器 文件服务器 客户端、PC安装反病毒防火墙 培训，养成不打开来历不明的邮件的习惯。尤其不要打开附件。,中国科技网,如何才能有效防治病毒,选择最快的升级途径，包括对操作系统和反病毒软件的升级。 通过Internet升级进行每天/每小时的升级 企业网内防毒产品自动部署机制 安装，随时升级,中国科技网,如何才能有效防治病毒,集中的管理 集中的病毒警报机制 集中的安全产品部署、策略部署和升级机制 集中的系统日志、报告机制,中国科技网,目录,系统漏洞及常见网络攻击手段 病毒（蠕虫）技术发展及防范 木马技术介绍及防范措施,中国科技网,最危险的敌人木马,木马，其实质只是一个非法的、未经许

10、可安装和运行的网络客户端/服务器程序。 有明确的窃取敏感信息和恶意控制主机的意图，如窃取银行帐户密码。 非常隐蔽，非专业人员很难发现其踪迹。 难以清除。 对受害者造成的损失巨大。,中国科技网,凡是你在PC前所说、所做的一切，都有可能被记录！,木马具有捕获每一个用户屏幕、每一次键击事件的能力。 完全的控制宿主主机。可以打开摄像头、麦克风，并将得到的图像、声音传给木马控制者（2004.6发现的蜜蜂大盗）。 带有包嗅探器，它能够捕获和分析流经网卡的每一个数据包 随意操控PC本身资源的能力，而且还能够冒充PC合法用户，例如冒充合法用户发送邮件、修改文档，甚至进行银行转帐操作。,中国科技网,Back O

11、rifice,中国科技网,网银大盗（II）木马,盗取包括工商银行、招商银行、建设银行、交通银行、深圳发展银行、民生银行、华夏银行、上海银行等8个银行及首都电子商城、中国在线支付网、银联支付网关等三家网上支付机构的帐号、密码、验证码等 每隔10毫秒检查一次用户是否正在使用涉及到的银行“个人网上银行”的登陆界面 记录用户键入的所有键盘记录 每隔60秒搜索一次记录数据，然后把窃取到的信息以get方式发送到指定的http:/*.com/*/get.asp,中国科技网,木马的植入,利用系统漏洞，远程下载并执行木马安装程序。 捆绑在下载的其他软件中，用户安装该软件的同时安装木马。 伪装为其他软件（如破解工

12、具、漂亮的屏保等）。 利用IE漏洞可以通过Script、ActiveX及Asp、PHP、Cgi等交互脚本的方式植入。 社会工程（如谎称是朋友寄给你的贺卡）。,中国科技网,木马的隐藏,在任务栏里隐形 在任务管理器里隐形 无进程、无端口的DLL（动态链接库）木马,中国科技网,木马的启动方式,自动启动（注册表、win.ini、system.ini等） 捆绑到其他的程序上（如：phAse 1.0版本和NetBus 1.53） Dll的形式注入到系统服务中，随服务的启动而启动,中国科技网,反弹技术,反弹技术：由木马服务端主动连接客户端，因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的

13、电脑，并且可以穿过防火墙。,中国科技网,多线程技术,一个木马同时运行多个线程。例如：三个线程，其中一个为主线程，负责远程控制的工作。另外两个为辅助线程，其中一个辅助线程称为监视线程，它负责检查木马程序是否被删除和是否被停止自启动。,中国科技网,防范御敌于门外,不要打开来历不明的文件，包括邮件附件和P2P软件发过来的文件。 非必须打开的服务、端口全部关闭。 保持操作系统的更新，减少漏洞。 安装个人防火墙软件。 下载软件要到可信的知名网站。并仔细阅读安装说明。,中国科技网,警惕我中木马了吗？,留意系统一些可疑状况，如系统速度突然变慢、CPU利用率上升、没有进行任何网络相关操作时、网络连接显示在接收

14、和发送数据、硬盘频繁读盘等。 使用工具（如netstat a、TcpView等）查看是否有可疑的连接 查看c：、c：windows、c：windowssystem、 c：windowssystem32等位置有没有可疑文件 查看注册表特定位置有没有可疑的信息,中国科技网,警惕我中木马了吗？Netstat -a,中国科技网,警惕我中木马了吗？Tcpview,中国科技网,发现中木马后：亡羊补牢，斩断黑手,立即断开网络连接 所有的账号和密码都要马上更改，例如网上银行，拨号连接，ICQ，FTP，你的个人站点，免费邮箱等等，凡是需要密码的地方，你都要把密码尽快改过来。 根据发现的线索确定木马的名称版本，在备份好重要数据之后，用专杀工具或手动清除木马。,中国科技网,手动清除,