网络安全基础文档格式.docx
- 文档编号:5641266
- 上传时间:2023-05-05
- 格式:DOCX
- 页数:27
- 大小:978.46KB
网络安全基础文档格式.docx
《网络安全基础文档格式.docx》由会员分享,可在线阅读,更多相关《网络安全基础文档格式.docx(27页珍藏版)》请在冰点文库上搜索。
引导型病毒
DOS病毒
Windows病毒
宏病毒
脚本病毒
现代计算机病毒介绍
特洛伊木马:
特洛伊木马程序往往表面上看起来无害,但是会执行一些未预料或XX,通常是恶意的操作。
玩笑程序:
玩笑程序是普通的可执行程序,这些程序建立的目的是用于和计算机用户开玩笑。
这些玩笑程序设计时不是致力于破坏用户的数据,但是某些不知情的用户可能会引发不正当的操作,从而导致文件的损坏和数据的丢失。
病毒或恶意程序Droppers:
病毒或恶意程序Droppers被执行后,会在被感染系统中植入病毒或是恶意程序,在病毒或恶意程序植入后,可以感染文件和对系统造成破坏。
后门程序:
后门程序是一种会在系统中打开一个秘密访问方式的程序,经常被用来饶过系统安全策略。
DDos攻击程序:
DDos攻击程序用于攻击并禁用目标服务器的web服务,导致合法用户无法获得正常服务。
如下图所示:
图:
DDOS攻击示意图
网络病毒介绍
网络病毒的概念:
利用网络协议及网络的体系结构作为传播的途径或传播机制,并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。
网络病毒的特点及危害:
破坏性强、传播性强、针对性强、扩散面广、传染方式多
网络病毒同黑客攻击技术的融合为网络带来了新的威胁。
攻击者可以用病毒作为网络攻击的有效载体,呈几何级地扩大破坏能力。
网络攻击的程序可以通过病毒经由多种渠道广泛传播,攻击程序可以利用病毒的隐蔽性来逃避检测程序的搜查,病毒的潜伏性和可触发性使网络攻击防不胜防,许多病毒程序可以直接发起网络攻击,植入攻击对象内部的病毒与外部攻击里应外合,破坏目标系统。
计算机病毒分析与防护
病毒的常见症状及传播途径
(一)病毒的常见症状
电脑运行比平常迟钝
程序载入时间比平常久
对一个简单的工作,磁盘似乎花了比预期长的时间
不寻常的错误信息出现
硬盘的指示灯无缘无故的亮了
系统内存容量忽然大量减少
可执行程序的大小改变了
内存内增加来路不明的常驻程序
文件奇怪的消失
文件的内容被加上一些奇怪的资料
文件名称,扩展名,日期,属性被更改过
(二)病毒的常见传播途径
文件传输介质:
例如CIH病毒,通过复制感染程序传播
电子邮件:
例如梅丽莎病毒,第一个通过电子邮件传播的病毒
网络共享:
例如病毒可以通过网络中的可写共享传播
文件共享软件:
例如病毒可以通过Kazaa点对点文件共享软件传播
病毒传播或感染途径
病毒感染的常见过程:
通过某种途径传播,进入目标系统,自我复制,并通过修改系统设置实现随系统自启动,激活病毒负载的预定功能。
·
打开后门等待连接
发起DDOS攻击
进行键盘记录
除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。
1、利用电子邮件感染病毒:
邮件附件为病毒压缩文件,HTML正文可能被嵌入恶意脚本,利用社会工程学进行伪装,增大病毒传播机会,传播速度非常快
2、利用网络共享感染病毒:
病毒会搜索本地网络中存在的共享,如ADMIN$,IPC$,E$,D$,C$
通过空口令或弱口令猜测,获得完全访问权限,有的病毒自带口令猜测列表
将自身复制到网络共享文件夹中,通常以游戏,CDKEY等相关名字命名
利用社会工程学进行伪装,诱使用户执行并感染。
例如:
WORM_SDBOT等病毒
3、利用P2P共享软件感染病毒:
将自身复制到P2P共享文件夹,通常以游戏,CDKEY等相关名字命名
通过P2P软件共享给网络用户
利用社会工程学进行伪装,诱使用户下载
等病毒
4、利用系统漏洞感染病毒:
由于操作系统固有的一些设计缺陷,导致恶意用户可以通过畸形的方式利用这些缺陷,达到在目标机器上执行任意代码的目的,这就是系统漏洞。
病毒往往利用系统漏洞进入系统,达到快速传播的目的。
常被利用的漏洞:
RPC-DCOM缓冲区溢出(MS03-026)
WebDAV(MS03-007)
LSASS(MS04-011)
病毒自启动方式
•修改系统
–修改注册表
•启动项
•文件关联项
•系统服务项
•BHO项
–将自身添加为服务
–将自身添加到启动文件夹
–修改系统配置文件
•自动加载
–服务和进程-病毒程序直接运行
–嵌入系统正常进程-DLL文件和OCX文件等
–驱动-SYS文件
注册表项目之注册表启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下:
•RunServices
•RunServicesOnce
•Run
•RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下:
•RunServices
以上这些键一般用于在系统启动时执行特定程序。
注册表项目之文件关联项:
HKEY_CLASSES_ROOT下:
•exefile\shell\open\command]@="
"
%1"
%*"
•comfile\shell\open\command]@="
•batfile\shell\open\command]@="
•htafile\Shell\Open\Command]@="
•piffile\shell\open\command]@="
•……
病毒将"
%1%*"
改为“%1%*"
•将在打开或运行相应类型的文件时被执行
注册表项目之系统服务项:
在如下键值下面添加子键即可将自身注册为服务,随系统启动而启动:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
注册表项目之BHO项
在如下键值下面添加子键(ClSID键)即可将自身注册为BHO,随IE浏览器启动而启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects
将自身添加到启动文件夹:
•当前用户的启动文件夹
可以通过如下注册表键获得:
Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的StartUp项
•公共的启动文件夹
Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的CommonStartUp项
病毒可以在该文件夹中放入欲执行的程序,
或直接修改其值指向放置有要执行程序的路径。
病毒的隐性行为
•下载特性
–自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种
•后门特性
–开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控
•信息收集特性
–收集私人信息,特别是帐号密码等信息,自动发送
•自身隐藏特性
–使用Rootkit技术隐藏自身的文件和进程
•文件感染特性
–感染系统中部分/所有的可执行文件,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。
–典型
•PE_LOOKED维京
•PE_FUJACKS熊猫烧香
•网络攻击特性
–针对微软操作系统或其他程序存在的漏洞进行攻击
–修改计算机的网络设置
–向网络中其它计算机发送大量数据包以阻塞网络
•震荡波
•ARP攻击
计算机病毒防御
计算机病毒防御体系图例
(一)计算机病毒手工处理
•重装系统
•系统还原
•Ghost还原
•大多数情况下,可以直接根据经验来迅速清除各种病毒
–木马病毒和后门程序
–间谍软件、广告软件和灰色软件
–蠕虫病毒
–文件型病毒母体
•处理过程包括
–修复病毒修改的注册表/文件内容
–删除病毒文件
病毒处理建议步骤:
•处理病毒问题时,若病毒进程在系统中运行,则可能会出现无法删除文件、无法删除注册表主键/键值的情况,也可能出现删除注册表键值或文件后,被删除的内容会再次出现的情况。
最好在安全模式下操作
终止所有可疑进程和不必要的进程
关闭系统还原
(二)检查注册表中常见的病毒自动加载项
•检查启动项:
–删除不必要的启动项键值,如发现指向不正常或不认识的程序的键值,可将该键值删除。
–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
–HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
•检查服务:
–在[控制面板]-[管理工具]-[服务]中,查看是否存在可疑服务。
若无法确定服务是否可疑,可直接查看该服务属性,检查服务所指向的文件。
随后可以检查该文件是否为正常文件(文件检查方法稍后会介绍)。
对于不正常的服务,可直接在注册表中删除该服务的主键。
–HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
•检查Winlogon加载项
–在注册表中检查Winlogon相关加载项:
–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
–Shell=(默认)
–Userinit=C:
\WINDOWS\system32\,(默认)
–以上Shell和Userinit键值为默认,若发现被修改,可直接将其修改为默认键值。
–在注册表中检查WinlogonNotify相关加载项:
–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify
–在Notify下会有多个主键(目录),每个主键中的DllName键值将指向一个DLL文件。
若发现有指向可疑的DLL文件时,请先确认其指向的DLL是否正常。
若不正常,可直接删除这个主键。
•检查其他加载项
–在注册表中检查以下注册表加载项键值:
–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows
–AppInit_DLLs=“”
–HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
–Load=“”
–该键值默认为空。
若键值被修改,可直接将键值内容清空。
(三)检查注册表中的BHO项
•检查BrowserHelpObject(BHO)项
–BHO项在注册表中包含以下主键的内容:
–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects
–HKEY_CLASSES_ROOT\CLSID\
–可以在HKEY_CLASSES_ROOT\CLSID\下的InprocServer32主键中查看BHO项所指向的文件。
当发现指向了可疑文件时,可直接删除以上注册表路径下所有包含了该CLSID的主键。
•使用Hijackthis工具可以迅速有效的分析系统中的BHO项。
(四)查看系统中的可疑文件
•如何判断文件是否可疑
–查看文件版本信息
–Google之
•所有的Windows正常系统文件都包含完整的版本信息。
若文件无版本信息或版本信息异常,则可判断为可疑文件。
•如何迅速查找这些可疑文件
–%SystemRoot%\
–%SystemRoot%\System32\
–%SystemRoot%\System32\drivers\
•对于这些目录下的文件,按照修改日期排序,检查修改日期为最近一段时间的文件:
–可执行文件.EXE,.COM,.SCR,.PIF
–DLL文件和OCX文件
–LOG文件——有一些病毒会将DLL文件伪装成LOG后缀的文件,可以直接双击打开查看其内容是否为文本。
若为乱码,则可疑。
病毒文件被隐藏,如何查找
•工具->
文件夹选项
–选择“显示所有文件”
–取消“隐藏受保护的系统文件”
•仍然无法显示隐藏文件
–HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
CheckedValue=2
DefaultValue=2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue=1
(五)检查并修复host文件
•修复被病毒修改的host文件
–一些病毒会修改系统的host文件,使用户无法访问某些网站,或在用户访问某些网站时,重定向到某些恶意站点。
•检查文件:
–%SystemRoot%\System32\drivers\etc\host
–使用文本编辑工具打开该文件检查。
默认该文件包含一条host记录
localhost
–若有其他可疑的host记录,可以直接删除多余的记录
(六)删除所有临时文件
•病毒经常存在于临时目录中
–%SystemRoot%\Temp
–C:
\Temp
–Internet临时文件
\DocumentsandSettings\<
用户名>
\LocalSettings\Temp
•清空所有以上的目录
(七)病毒防护常用工具
常用病毒查杀工具一览:
SIC,HijackThis系统诊断
ProcessExplorer分析进程
TCPView分析网络连接
Regmon,InstallRite监视注册表
Filemon,InstallRite监视文件系统
IceSword
Ntsd
pskill
第4章安全评估
安全评估概述
安全评估目的
风险评估的目的:
了解组织的安全现状
分析组织的安全需求
建立信息安全管理体系的要求
制订安全策略和实施安防措施的依据
组织实现信息安全的必要的、重要的步骤
安全评估要素
风险的四个要素:
资产及其价值
威胁
脆弱性
现有的和计划的控制措施
1、资产的分类:
电子信息资产
软件资产
物理资产
人员
公司形象和名誉
2、威胁举例:
黑客入侵和攻击
病毒和其他恶意程序
软硬件故障
人为误操作
自然灾害如:
地震、火灾、爆炸等
盗窃
网络监听
供电故障
后门
未授权访问……
3、脆弱性:
是与信息资产有关的弱点或安全隐患。
脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。
脆弱性举例:
系统漏洞
程序Bug
专业人员缺乏
不良习惯
系统没有进行安全配置
物理环境不安全
缺少审计
缺乏安全意识
……
风险评估要素模型
安全评估过程
安全评估工具
评估工具目前存在以下几类:
扫描工具:
包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;
入侵检测系统(IDS):
用于收集与统计威胁数据;
渗透性测试工具:
黑客工具,用于人工渗透,评估系统的深层次漏洞;
主机安全性审计工具:
用于分析主机系统配置的安全性;
安全管理评价系统:
用于安全访谈,评价安全管理措施;
风险综合分析系统:
在基础数据基础上,定量、综合分析系统的风险,并且提供分类统计、查询、TOPN查询以及报表输出功能;
评估支撑环境工具:
评估指标库、知识库、漏洞库、算法库、模型库。
安全评估标准
保障信息安全有三个支柱,一个是技术、一个是管理、一个是法律法规。
国家的法律法规,有专门的部门在研究和制定和推广。
根据国务院27号文件,对信息安全实施分级安全保护的规定出台后,各有关部门都在积极制定相关的制度和法规,当前被普遍采用的技术标准的是CC/ISO15408,管理体系标准是ISO17799/BS7799。
安全扫描
安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。
显然,安全扫描软件是把双刃剑,黑客利用它入侵系统,而系统管理员掌握它以后又可以有效的防范黑客入侵。
因此,安全扫描是保证系统和网络安全必不可少的手段,必须仔细研究利用。
安全扫描的检测技术有:
基于应用的检测技术,它采用被动的,非破坏性的办法检查应用软件包的设置,发现安全漏洞。
基于主机的检测技术,它采用被动的,非破坏性的办法对系统进行检测。
基于目标的漏洞检测技术,它采用被动的,非破坏性的办法检查系统属性和文件属性,如数据库,注册号等。
基于网络的检测技术,它采用积极的,非破坏性的办法来检验系统是否有可能被攻击崩溃。
安全扫描在部署安全策略中处于重要地位:
防火墙,防病毒,用户认证,加密,评估,记录报告和预警,安全管理,物理安全。
管理这些设备和技术,是安全扫描系统和入侵侦测软件(入侵侦测软件往往包含在安全扫描系统中)的职责。
通过监视事件日志、系统受到攻击后的行为和这些设备的信号,作出反应。
安全扫描系统就把这些设备有机地结合在一起。
因此,而安全扫描是一个完整的安全解决方案中的一个关键部分,在企业部署安全策略中处于非常重要的地位。
安全扫描系统具有的功能说明:
协调了其它的安全设备之间的关系
使枯燥的系统安全信息易于理解,告诉了你系统发生的事情
跟踪用户进入系统的行为和离开的信息
可以报告和识别文件的改动
纠正系统的错误设置
识别正在受到的攻击
减轻系统管理员搜索最近黑客行为的负担
使得安全管理可由普通用户来负责
为制定安全规则提供依据
正确认识安全扫描软件:
不能弥补由于认证机制薄弱带来的问题
不能弥补由于协议本身的问题
不能处理所有的数据包攻击,当网络繁忙时它也分析不了所有的数据流
当受到攻击后要进行调查,离不开安全专家的参与日志服务器。
第6章数据传输安全
安全数据传输面临的威胁
安全数据传输面临的威胁主要有以下几种:
数据传输安全关键技术
SSL和TLS
SL和TLS提供了基于公钥与对称密钥的会话加密、完整性验证和服务器身份验证(对称和非对称算法都用了)保护客户端与服务器通信免受窃听、篡改数据和消息伪造OSI(OpenStandardInterconnect,开放互连)模型的传输层与应用层间。
加密特点是:
身份验证
保密性
消息完整性
SSL/TLS保护数据安全的方法:
PPTP
PPTP用于LAN、WAN或Internet进行客户端到服务器的安全数据传输,使用拨号连接中的点对点协议(PPP)来在连接中建立终结点,PPTP位于OSI模型的第二层。
PPTP的加密特点是:
身份验证(pap、ms-chap、eap):
服务器验证客户
保密性(40位的mppe:
即microsoft点对点加密,或128位的RC4)
支持通过mppc(microsoft点对点压缩)数据压缩
不提供消息完整性或数据源身份验证(GFG-微软)
PPTP安全流程:
PPTP通过PPTP控制连接来创建、维护、终止一条隧道,并使用通用路由封装GRE(GenericRoutingEncapsulation)对PPP帧进行封装。
封装前,PPP帧的有效载荷首先必须经过加密、压缩或是两者的混合处理。
PPTP控制连接(P217-218):
控制隧道中的会话建立、释放和维护逻辑连接
封装数据:
建立控制连接后,PPP数据用GRE协议来封装
SMB签名
SMB签名(SMB,ServerMessageBlock,也称为CIFS):
使用带有密钥的哈希(keyedhash)来保护每个SMB数据包的完整性的数字签名方法,保护网络通信不受中间人攻击和TCP/IP会话劫持攻击,使用消息摘要(MD5)算法对通信进行数字签名。
SMB签名的特点是:
相互的身份验证
LDAP签名
LDAP签名:
确保数据来自已知的来源
数据未被篡改
数据不以明文传输
加密特点:
双向身份验证
WEP
WEP(wiredequivalentprivacy):
委员会为无线网络数据安全传输提出的一个协议,三种密钥长度:
40位、128位、256位(
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 基础