计算机网络技术-课件第七章.ppt

1、1 国红军主讲第7章 网络安全2 国红军主讲本章主要内容学习目标：1.了解网络安全基本知识 2.掌握计算机病毒的基本知识 3.理解熊猫烧香病毒的原理，木马原理 4.掌握防火墙技术 5.掌握数字加密和数字签名原理3 国红军主讲7.1 网络安全概述网络安全概述 7.1网络安全概述网络安全概述 随着计算机技术的日新月异，互联网正在以令人惊讶的速随着计算机技术的日新月异，互联网正在以令人惊讶的速度改变着我们的生活，从政府到商业再到个人，互联网的度改变着我们的生活，从政府到商业再到个人，互联网的应用无处不在，如党政部门信息系统、电子商务、网络炒应用无处不在，如党政部门信息系统、电子商务、网络炒股、网上银

2、行、网上购物等等。股、网上银行、网上购物等等。Internet所具有的开放性、所具有的开放性、国际性和自由性在增加应用自由度的同时，也带来了许多国际性和自由性在增加应用自由度的同时，也带来了许多信息安全隐患，如何保护政府、企业和个人的信息不受他信息安全隐患，如何保护政府、企业和个人的信息不受他人的入侵，更好地增加互联网的安全性，是一个亟待解决人的入侵，更好地增加互联网的安全性，是一个亟待解决的重大问题。的重大问题。4 国红军主讲 网络安全（网络安全（Network Security）是一门涉及计算是一门涉及计算机科学、网络技术、通信技术、密码技术、信息机科学、网络技术、通信技术、密码技术、信息

3、安全技术、应用数学、数论、信息论等多种学科安全技术、应用数学、数论、信息论等多种学科的综合性科学。的综合性科学。5 国红军主讲7.1.1网络安全隐患网络安全隐患(1)黑客入侵；黑客入侵；这里的黑客（这里的黑客（cracker）一般指一些恶意（一般是非法地）试图破解）一般指一些恶意（一般是非法地）试图破解或破坏某个程序、系统及网络安全的人，他们入侵他人的计算机的目或破坏某个程序、系统及网络安全的人，他们入侵他人的计算机的目的一般是获取利益或证明自己的能力，他们利用自己在计算机上的特的一般是获取利益或证明自己的能力，他们利用自己在计算机上的特殊才能对网络安全造成极大的破坏。殊才能对网络安全造成极大

4、的破坏。(2)计算机病毒的攻击；计算机病毒的攻击；计算机病毒是对网络安全最严重的威胁，它的种类很多，通过网络传计算机病毒是对网络安全最严重的威胁，它的种类很多，通过网络传播的速率非常之快，普通家用播的速率非常之快，普通家用PC基本都受过病毒的侵。基本都受过病毒的侵。(3)陷阱和特洛伊木马；陷阱和特洛伊木马；通过替换系统合法程序，或者在合法程序里插入恶意源代码以实现通过替换系统合法程序，或者在合法程序里插入恶意源代码以实现非授权进程，从而达到某种特定目的。非授权进程，从而达到某种特定目的。6 国红军主讲(4)来自内部人员的攻击；来自内部人员的攻击；内部人员攻击主要指在信息安全处理系统范围内或对信

5、内部人员攻击主要指在信息安全处理系统范围内或对信息安全处理系统有直接访问权里的人对本网络的攻击。息安全处理系统有直接访问权里的人对本网络的攻击。(5)修改或删除关键信息；修改或删除关键信息；通过对原始内容进行一定的改动或删除，达到某种破环通过对原始内容进行一定的改动或删除，达到某种破环网络安全目的的行为。网络安全目的的行为。(6)拒绝服务；拒绝服务；当一个授权实体不能获得应有的对网络资源的访问或紧当一个授权实体不能获得应有的对网络资源的访问或紧急操作被延迟时，就发生了拒绝服务。急操作被延迟时，就发生了拒绝服务。(7)人为地破坏网络设施，造成网络瘫痪。人为地破坏网络设施，造成网络瘫痪。人为从物理

6、上对网络设施进行破坏，使网络不能正常运行。人为从物理上对网络设施进行破坏，使网络不能正常运行。7 国红军主讲网络网络内部、外部泄密内部、外部泄密拒绝服务攻击拒绝服务攻击逻辑炸弹逻辑炸弹特洛伊木马特洛伊木马黑客攻击黑客攻击计算机病毒计算机病毒后门、隐蔽通道后门、隐蔽通道蠕虫蠕虫8 国红军主讲 我国安全形势非常严峻我国安全形势非常严峻 1998年年2月月25日：黑客入侵中国公众多媒日：黑客入侵中国公众多媒体通信网广州蓝天体通信网广州蓝天BBS系统并得到系统系统并得到系统的最高权限，系统失控长达的最高权限，系统失控长达15小时。为小时。为国内首例网上黑客案件。国内首例网上黑客案件。1998年年9月月

7、22日，黑客入侵扬州工商银行日，黑客入侵扬州工商银行电脑系统，将电脑系统，将72万元注入其户头，提出万元注入其户头，提出26万元。为国内首例利用计算机盗窃银万元。为国内首例利用计算机盗窃银行巨款案件。行巨款案件。9 国红军主讲 1999年年4月月16日：黑客入侵中亚信托投资公司日：黑客入侵中亚信托投资公司上海某证券营业部，造成上海某证券营业部，造成340万元损失。万元损失。1999年年11月月14日至日至17日：新疆乌鲁木齐市发日：新疆乌鲁木齐市发生生首起针对银行自动提款机的黑客案件首起针对银行自动提款机的黑客案件，用户，用户的信用卡被盗的信用卡被盗1.799万元。万元。1999年年11月月2

8、3日：银行内部人员通过更改程序，日：银行内部人员通过更改程序，用虚假信息从本溪某银行提取出用虚假信息从本溪某银行提取出86万元。万元。10 国红军主讲 2000年年2月月1日：黑客攻击了大连市赛伯网络服日：黑客攻击了大连市赛伯网络服务有限公司，造成经济损失务有限公司，造成经济损失20多万元。多万元。2000年年2月月1日至日至2日：中国公共多媒体信息网日：中国公共多媒体信息网兰州节点兰州节点 “飞天网景信息港飞天网景信息港”遭到黑客攻遭到黑客攻击。击。2000年年3月月2日：黑客攻击世纪龙公司日：黑客攻击世纪龙公司21CN。11 国红军主讲 2000年年3月月6日至日至8日：黑客攻击实华开日：

9、黑客攻击实华开EC123网站达网站达16次，同一时期，号称全球最大的中文次，同一时期，号称全球最大的中文网上书店网上书店“当当书店当当书店”也遭到多次黑客攻击。也遭到多次黑客攻击。2000年年3月月8日：山西日报国际互联网站遭到黑日：山西日报国际互联网站遭到黑客数次攻击，被迫关机，这是客数次攻击，被迫关机，这是国内首例黑客攻国内首例黑客攻击省级党报网站事件击省级党报网站事件。2000年年3月月8日：黑客攻击国内最大的电子邮局日：黑客攻击国内最大的电子邮局-拥有拥有200万用户的广州万用户的广州163，系统无法正常登，系统无法正常登录。录。12 国红军主讲 2001年年3月月9日日:IT-全国网

10、上连锁商城全国网上连锁商城遭到黑客袭击，网站页面文件全部被删除，各遭到黑客袭击，网站页面文件全部被删除，各种数据库遭到不同程度破坏，网站无法运行，种数据库遭到不同程度破坏，网站无法运行，15日才恢复正常，损失巨大。日才恢复正常，损失巨大。2001年年3月月25日：重庆某银行储户的个人帐户日：重庆某银行储户的个人帐户被非法提走被非法提走5万余元。万余元。2001年年6月月11、12日：中国香港特区政府互联日：中国香港特区政府互联网服务指南主页遭到黑客入侵，服务被迫暂停。网服务指南主页遭到黑客入侵，服务被迫暂停。13 国红军主讲14 国红军主讲网络安全网络安全因特网因特网网络对国民经济的影响在加强

11、网络对国民经济的影响在加强安全漏洞危害在增大信息对抗的威胁在增加信息对抗的威胁在增加研究安全漏洞以防之研究安全漏洞以防之因特网因特网电力电力交通交通通讯通讯控制控制广播广播工业工业金融金融医疗医疗研究攻防技术以阻之研究攻防技术以阻之15 国红军主讲网络安全的攻防体系网络安全的攻防体系 网络安全攻击防御体系攻击技术网络扫描网络监听网络入侵网络后门与网络隐身防御技术操作系统安全配置技术加密技术防火墙技术入侵检测技术网络安全物理基础操作系统：Unix/Linux/Windows网络协议：TCP/IP/UDP/SMTP/POP/FTP/HTTP网络安全的实施工具软件:Sniffer/X-Scan/防火

12、墙软件/入侵检测软件/加密软件 等等编程语言：C/C+/Perl16 国红军主讲7.1.2网络攻击网络攻击如果不知道如何攻击，再好的防守也是经不住考验的，攻击技术主要如果不知道如何攻击，再好的防守也是经不住考验的，攻击技术主要包括五个方面：包括五个方面：1、网络监听：自己不主动去攻击别人，在计算机上设置一个程序去、网络监听：自己不主动去攻击别人，在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。监听目标计算机与其他计算机通信的数据。2、网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发、网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。现漏

13、洞，为入侵该计算机做准备。3、网络入侵：当探测发现对方存在漏洞以后，入侵到目标计算机获、网络入侵：当探测发现对方存在漏洞以后，入侵到目标计算机获取信息。取信息。4、网络后门：成功入侵目标计算机后，为了对、网络后门：成功入侵目标计算机后，为了对“战利品战利品”的长期控的长期控制，在目标计算机中种植木马等后门。制，在目标计算机中种植木马等后门。5、网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，、网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。从而防止被对方管理员发现。17 国红军主讲防御技术防御技术 防御技术包括四大方面：防御技术包括四大方面：1、操

14、作系统的安全配置：操作系统的安全是整个网络安、操作系统的安全配置：操作系统的安全是整个网络安全的关键。全的关键。2、加密技术：为了防止被监听和盗取数据，将所有的数、加密技术：为了防止被监听和盗取数据，将所有的数据进行加密。据进行加密。3、防火墙技术：利用防火墙，对传输的数据进行限制，、防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。从而防止被入侵。4、入侵检测：如果网络防线最终被攻破了，需要及时发、入侵检测：如果网络防线最终被攻破了，需要及时发出被入侵的警报。出被入侵的警报。18 国红军主讲7.2计算机病毒与木马计算机病毒与木马 7.2.1计算机病毒的基本知识计算机病毒的基本知识

15、 计算机病毒指编写或者在计算机程序中插入的破计算机病毒指编写或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。且能够自我复制的一组计算机指令或者程序代码。它能够通过某种途径潜伏在计算机存储介质（或它能够通过某种途径潜伏在计算机存储介质（或程序）里程序）里,当达到某种条件时即被激活，具有对当达到某种条件时即被激活，具有对计算机资源进行破坏的作用。只要你的计算机接计算机资源进行破坏的作用。只要你的计算机接入互联网或插入移动存储设备，就有中计算机病入互联网或插入移动存储设备，就有中计算机病毒的危险

16、。毒的危险。19 国红军主讲1.计算机病毒具有以下几个特点：计算机病毒具有以下几个特点：（1）寄生性）寄生性 计算机病毒寄生在其他程序或指令之中，当执行这个程序或指令时，病计算机病毒寄生在其他程序或指令之中，当执行这个程序或指令时，病毒就起破坏作用，而在未启动这个程序或指令之前，它是不易被人发觉的。毒就起破坏作用，而在未启动这个程序或指令之前，它是不易被人发觉的。（2）传染性）传染性 计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。复制或产生变种，其速度之快令人难以预防。（3）隐

17、蔽性）隐蔽性 计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。（4）潜伏性）潜伏性 病毒侵入后，一般不立即活动，需要等一段时间，只有在满足其特定条件病毒侵入后，一般不立即活动，需要等一段时间，只有在满足其特定条件后才启动其表现模块，显示发作信息或进行系统破坏。后才启动其表现模块，显示发作信息或进行系统破坏。可以分为：利用系统可以分为：利用系统时钟提供的时间作为触发器和利用病毒体自带的计

18、数器作为触发器二种。时钟提供的时间作为触发器和利用病毒体自带的计数器作为触发器二种。（5）破坏性）破坏性 计算机中毒后，凡是由软件手段能触及到计算机资源的地方均可能受到计计算机中毒后，凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。其表现：占用算机病毒的破坏。其表现：占用CPU时间内存开销，从而造成进程堵塞；对时间内存开销，从而造成进程堵塞；对数据或文件进行破坏；打乱屏幕的显示；无法正常启动系统等。数据或文件进行破坏；打乱屏幕的显示；无法正常启动系统等。20 国红军主讲2.计算机病毒的分类：计算机病毒的分类：综合病毒本身的技术特点，攻击目标，传播方式等各个方综合病毒本身的技术

19、特点，攻击目标，传播方式等各个方面，一般情况下，我们将病毒大致分为以下几类：传统病面，一般情况下，我们将病毒大致分为以下几类：传统病毒，宏病毒，恶意脚本，木马、黑客程序、蠕虫、破坏性毒，宏病毒，恶意脚本，木马、黑客程序、蠕虫、破坏性程序。程序。1.传统病毒：能够感染的程序。通过改变文件或者其传统病毒：能够感染的程序。通过改变文件或者其他东西进行传播，通常有感染可执行文件的文件型病毒和他东西进行传播，通常有感染可执行文件的文件型病毒和感染引导扇区的引导型病毒，如感染引导扇区的引导型病毒，如CIH病毒。病毒。2.宏病毒（宏病毒（Macro）：利用）：利用Word、Excel等的宏脚本等的宏脚本功能

20、进行传播的病毒，如著名的美丽莎功能进行传播的病毒，如著名的美丽莎(Macro.Melissa)。3.恶意脚本（恶意脚本（Script）：做破坏的脚本程序。包括）：做破坏的脚本程序。包括HTML脚本、批处理脚本、脚本、批处理脚本、VB、JS脚本等，如欢乐时光脚本等，如欢乐时光（VBS.Happytime）。）。21 国红军主讲4.木马（木马（Trojan）程序：当病毒程序被激活或启动后用户无法终止其）程序：当病毒程序被激活或启动后用户无法终止其运行。广义上说，所有的网络服务程序都是木马，判定是否是木马病运行。广义上说，所有的网络服务程序都是木马，判定是否是木马病毒的标准不好确定，通常的标准是：在

21、用户不知情的情况下安装，隐毒的标准不好确定，通常的标准是：在用户不知情的情况下安装，隐藏在后台，服务器端一般没有界面无法配置，如藏在后台，服务器端一般没有界面无法配置，如QQ盗号木马。盗号木马。5.黑客黑客(Hack)程序：利用网络来攻击其他计算机的网络工具，被程序：利用网络来攻击其他计算机的网络工具，被运行或激活后就象其他正常程序一样有界面；黑客程序是用来攻击运行或激活后就象其他正常程序一样有界面；黑客程序是用来攻击/破坏别人的计算机，对使用者本身的机器没有损害。破坏别人的计算机，对使用者本身的机器没有损害。6.蠕虫（蠕虫（Worm）程序：蠕虫病毒是一种可以利用操作系统的漏）程序：蠕虫病毒是

22、一种可以利用操作系统的漏洞、电子邮件、洞、电子邮件、P2P软件等自动传播自身的病毒，如冲击波。软件等自动传播自身的病毒，如冲击波。7.破坏性程序（破坏性程序（Harm）：病毒启动后，破坏用户计算机系统，如删）：病毒启动后，破坏用户计算机系统，如删除文件，格式化硬盘等。常见的是除文件，格式化硬盘等。常见的是bat文件，也有一些是可执行文件，文件，也有一些是可执行文件，有一部分和恶意网页结合使用。有一部分和恶意网页结合使用。22 国红军主讲 病毒描述：病毒描述：“武汉男生武汉男生”，俗称，俗称“熊猫烧香熊猫烧香”，这是一个感染型的蠕，这是一个感染型的蠕虫病毒（它是一种蠕虫病毒经过多次变种得来的，又

23、叫尼虫病毒（它是一种蠕虫病毒经过多次变种得来的，又叫尼姆亚变种（姆亚变种（worm.nimaya），它能感染系统中），它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为反病毒软件进程并且会删除扩展名为gho的文件，该文件的文件，该文件是一系统备份工具是一系统备份工具GHOST的备份文件，使用户的系统备的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有份文件丢失。被感染的用户系统中所有.exe可执行文件全可执行文件全部被改成熊猫举着三根香的模样。部被改成熊猫举着三根香的模样。7.2.2 熊猫烧香

24、病毒简介熊猫烧香病毒简介23 国红军主讲 含有病毒体的文件被运行后，病毒将自身拷贝至含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个录下，增加一个Autorun.inf文件，使得用户打开文件，使得用户打开该盘时激活病毒体。随后病毒体开一个线程进行该盘时激活病毒体。随后病毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站本地文件感染，同时开另外一个线程连接某网站下载下载ddos程序进行发动恶意攻击。程序进行发动恶

25、意攻击。24 国红军主讲“尼姆亚（也称熊猫烧香）尼姆亚（也称熊猫烧香）”病毒的攻击重点正在转向企病毒的攻击重点正在转向企业局域网和网站，广大企业和网站应提高警惕紧密防范。业局域网和网站，广大企业和网站应提高警惕紧密防范。瑞星反病毒专家介绍说，该病毒会在中毒电脑中所有的网瑞星反病毒专家介绍说，该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。些网站时也被病毒感染。据悉，目前多家著名网站已经遭到此类攻

26、击，而相继被植据悉，目前多家著名网站已经遭到此类攻击，而相继被植入病毒。由于这些网站的浏览量非常大，致使此次入病毒。由于这些网站的浏览量非常大，致使此次“熊猫熊猫烧香烧香”病毒的感染范围非常广，中毒企业和政府机构已经病毒的感染范围非常广，中毒企业和政府机构已经超过千家，其中不乏金融、税务、能源等关系到国计民生超过千家，其中不乏金融、税务、能源等关系到国计民生的重要单位。的重要单位。25 国红军主讲病毒基本情况病毒基本情况病毒名病毒名:Virus.Win32.EvilPanda.a.ex$大大 小小:0 xDA00(55808),(disk)0 xDA00(55808)SHA1:F0C3DA82

27、E1620701AD2F0C8B531EEBEA0E8AF69D 壳信息壳信息:未知未知 危害级别：高危害级别：高 病毒名病毒名:Flooder.Win32.FloodBots.a.ex$大大 小小:0 xE800(59392),(disk)0 xE800(59392)SHA1:B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D 壳信息壳信息:UPX 0.89.6-1.02/1.05-1.24 危害级别：高危害级别：高 26 国红军主讲病毒行为病毒行为 Virus.Win32.EvilPanda.a.ex$：1、病毒体执行后，将自身拷贝到系统目录：、病毒体执行后，

28、将自身拷贝到系统目录：%SystemRoot%system32FuckJacks.exe HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Userinit C:WIN2Ksystem32SVCH0ST.exe 27 国红军主讲2、添加注册表启动项目确保自身在系统重启动后被加载：、添加注册表启动项目确保自身在系统重启动后被加载：键路径：键路径：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun 键名：键名：FuckJacks 键值：键值：C:WINDOWSsy

29、stem32FuckJacks.exe 键路径：键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 键名：键名：svohost 键值：键值：C:WINDOWSsystem32FuckJacks.exe 28 国红军主讲 3、拷贝自身到所有驱动器根目录，命名为、拷贝自身到所有驱动器根目录，命名为Setup.exe，并生成一个并生成一个autorun.inf使得用户打开该盘运行病使得用户打开该盘运行病 毒，并将这两个文件属性设置为隐藏、只读、系统。毒，并将这两个文件属性设置为隐藏、只读、系统。C:autorun.inf 1

30、KB RHS C:setup.exe 230KB RHS 4、关闭众多杀毒软件和安全工具。、关闭众多杀毒软件和安全工具。29 国红军主讲 5、连接、连接*.3322.org下载某文件，并根据该文件记录的下载某文件，并根据该文件记录的地址，去地址，去www.*.com下载某下载某ddos程序，下载程序，下载 成功后执行该程序。成功后执行该程序。6、刷新、刷新，某，某QQ秀链接。秀链接。7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染不感染Windows媒体播放器、媒体播放器、MSN、IE 等程序。等程序。30 国红军主讲Flooder.

31、Win32.FloodBots.a.ex$：1、病毒体执行后，将自身拷贝到系统目录：、病毒体执行后，将自身拷贝到系统目录：%SystemRoot%SVCH0ST.EXE%SystemRoot%system32SVCH0ST.EXE 2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：加载：键路径：键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 键名：键名：Userinit 键值：键值：C:WINDOWSsystem32SVCH0ST

32、.exe 3、连接、连接ddos2.*.com，获取攻击地址列表和攻击配置，并根据配置文件，获取攻击地址列表和攻击配置，并根据配置文件，进行相应的攻击。进行相应的攻击。31 国红军主讲7.2.3 常见的常见的autorun.inf文件文件 AUTORUN.INF这个文件本身并不是一个病毒文这个文件本身并不是一个病毒文件，它可以实现双击盘符自动运行某个程序的功件，它可以实现双击盘符自动运行某个程序的功能，但是很多病毒利用了这个文件的特点，自动能，但是很多病毒利用了这个文件的特点，自动运行一些病毒程序。当你的磁盘或运行一些病毒程序。当你的磁盘或U盘再双击时盘再双击时出现下面这个图标时。有很大可能，

33、你的计算机出现下面这个图标时。有很大可能，你的计算机已经中毒了。已经中毒了。32 国红军主讲33 国红军主讲 AUTORUN.INF文件是可以双击打开的，或者把文件是可以双击打开的，或者把名称改为名称改为AUTORUN.TXT再打开，打开以后可以再打开，打开以后可以看到如图看到如图 如果你用双击如果你用双击“open”打开，病毒打开，病毒icnskem.exe自动运行；如果你单击盘符右键，选自动运行；如果你单击盘符右键，选“打开打开”，也是运行，也是运行icnskem.exe；即使你单击盘即使你单击盘符右键，选符右键，选“资源管理器资源管理器”，还是运行，还是运行icnskem.exe。大家可

34、以拿这个病毒的大家可以拿这个病毒的AUTORUN.INF文件和熊猫烧香病毒的文件和熊猫烧香病毒的AUTORUN.INF文件对比一下。文件对比一下。34 国红军主讲35 国红军主讲7.2.4木马原理木马原理 木马的全称是特洛伊木马，是一种恶意程序，它们悄悄地木马的全称是特洛伊木马，是一种恶意程序，它们悄悄地在宿主机器上运行，就在用户毫无察觉的情况下，让攻击在宿主机器上运行，就在用户毫无察觉的情况下，让攻击者获得了远程访问和控制用户计算机的权限。者获得了远程访问和控制用户计算机的权限。特洛伊木马有一些明显的特点：它的安装和操作都是在隐特洛伊木马有一些明显的特点：它的安装和操作都是在隐蔽之中完成，用

35、户没有察觉。攻击者常把特洛伊木马隐藏蔽之中完成，用户没有察觉。攻击者常把特洛伊木马隐藏在一些小软件或游戏之中，诱使用户在自己的计算机上运在一些小软件或游戏之中，诱使用户在自己的计算机上运行。中木马最常见的情况是用户从不正规的网站下载和运行。中木马最常见的情况是用户从不正规的网站下载和运行了带恶意代码的软件、游戏，或者不小心点击了带恶意行了带恶意代码的软件、游戏，或者不小心点击了带恶意代码的邮件附件。代码的邮件附件。36 国红军主讲37 国红军主讲 大部分木马包括客户端和服务器端两个部分。攻击者利用大部分木马包括客户端和服务器端两个部分。攻击者利用一种称为绑定程序的工具将木马服务器部分绑定到某个

36、合一种称为绑定程序的工具将木马服务器部分绑定到某个合法软件上，只要用户一运行软件，特洛伊木马的服务器部法软件上，只要用户一运行软件，特洛伊木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。当服务端分就在用户毫无知觉的情况下完成了安装过程。当服务端程序在被感染的机器上成功运行以后，会通知客户端用户程序在被感染的机器上成功运行以后，会通知客户端用户已被控制，攻击者就可以使用客户端与服务端建立连接已被控制，攻击者就可以使用客户端与服务端建立连接（一般这种连接大部分是（一般这种连接大部分是TCP连接，少量木马用连接，少量木马用UDP连连接），攻击者利用客户程序向服务器程序发送命令并进一接），攻击

37、者利用客户程序向服务器程序发送命令并进一步控制被感染的计算机。被感染的计算机又可以作为攻击步控制被感染的计算机。被感染的计算机又可以作为攻击端，对网络中其他计算机发起攻击。端，对网络中其他计算机发起攻击。38 国红军主讲7.3 防火墙防火墙 防火墙的英文名为防火墙的英文名为“FireWall”，它是目前一种最重要的，它是目前一种最重要的网络防护设备网络防护设备 通常认为通常认为:防火墙是位于两个防火墙是位于两个(或多个或多个)网络间，实网络间，实施网络之间访问控制的一组组件集合。它可通过施网络之间访问控制的一组组件集合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能监测、限制、更改跨越防火

38、墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。以此来实现网络的安全保护。39 国红军主讲40 国红军主讲41 国红军主讲它具有以下三个方面的基本特性：它具有以下三个方面的基本特性：1.内部网络和外部网络之间的所有网络数据流都内部网络和外部网络之间的所有网络数据流都必须经过防火墙必须经过防火墙 2.只有符合安全策略的数据流才能通过防火墙只有符合安全策略的数据流才能通过防火墙 3.防火墙自身应具有非常强的抗攻击免疫力防火墙自身应具有非常强的抗攻击免疫力42 国红军主讲防火墙的分类防火墙的分类 1.从防火墙的软、硬

39、件形式分从防火墙的软、硬件形式分(1).硬件防火墙硬件防火墙 最初的防火墙与我们平时见到的集线器、交换机最初的防火墙与我们平时见到的集线器、交换机一样，都属于硬件产品。它在外观上与平常我们一样，都属于硬件产品。它在外观上与平常我们所见到的集线器和交换机类似，只是只有少数几所见到的集线器和交换机类似，只是只有少数几个接口，分别用于连接内、外部网络，那是由防个接口，分别用于连接内、外部网络，那是由防火墙的基本作用决定的。火墙的基本作用决定的。43 国红军主讲44 国红军主讲(2).软件防火墙软件防火墙 随着防火墙应用的逐步普及和计算机软件技术的随着防火墙应用的逐步普及和计算机软件技术的发展，为了满

40、足不同层次用户对防火墙技术的需发展，为了满足不同层次用户对防火墙技术的需求，许多网络安全软件厂商开发出了基于纯软件求，许多网络安全软件厂商开发出了基于纯软件的防火墙，俗称的防火墙，俗称“个人防火墙个人防火墙”。之所以说它是。之所以说它是“个人防火墙个人防火墙”，那是因为它是安装在主机中，那是因为它是安装在主机中，只对一台主机进行防护，而不是对整个网络。只对一台主机进行防护，而不是对整个网络。45 国红军主讲按照工作的网络层次和作用对象分四种类型：按照工作的网络层次和作用对象分四种类型：1.包过滤防火墙包过滤防火墙 包过滤防火墙又被称为访问控制表包过滤防火墙又被称为访问控制表ACL（Access

41、 Control List）,它根据预先静态定义好的规则审它根据预先静态定义好的规则审查内、外网之间通信的数据包是否与自己定义的查内、外网之间通信的数据包是否与自己定义的规则（分组包头源地址、目的地址端口号、协议规则（分组包头源地址、目的地址端口号、协议类型等）相一致，从而决定是否转发数据包。包类型等）相一致，从而决定是否转发数据包。包过滤防火墙工作于网络层和传输层，把满足规则过滤防火墙工作于网络层和传输层，把满足规则的数据包转发到目的端口，不满足的数据包则被的数据包转发到目的端口，不满足的数据包则被丢弃，许多个规则是可以复合定义的。丢弃，许多个规则是可以复合定义的。46 国红军主讲 包过滤防

42、火墙的优点是：包过滤防火墙的优点是：不用改动用户主机上的客户程序；不用改动用户主机上的客户程序；可以与现有设备集成，也可以通过独立的包过滤软件实可以与现有设备集成，也可以通过独立的包过滤软件实现；现；成本低廉、速度快、效率高，很大程度满足企业的需要。成本低廉、速度快、效率高，很大程度满足企业的需要。包过滤防火墙的缺点也很明显：包过滤防火墙的缺点也很明显：工作在网络层，不能检测对于高层的攻击；工作在网络层，不能检测对于高层的攻击；如果使用很复杂的规则，会大大减低工作效率；如果使用很复杂的规则，会大大减低工作效率；需要手工建立安全规则，要求管理人员要清楚了解网络需要手工建立安全规则，要求管理人员要

43、清楚了解网络需求；需求；包过滤主要依据包过滤主要依据IP包头中的各种信息，但包头中的各种信息，但IP包头信息可包头信息可以被伪造，这样就可以轻易绕过包过滤防火墙。以被伪造，这样就可以轻易绕过包过滤防火墙。47 国红军主讲48 国红军主讲 2.应用程序代理防火墙应用程序代理防火墙 应用程序代理防火墙又叫应用网关防火墙，指在应用程序代理防火墙又叫应用网关防火墙，指在网关上执行一些特定的应用程序和服务器程序实网关上执行一些特定的应用程序和服务器程序实现协议的过滤和转发功能，他工作于应用层，掌现协议的过滤和转发功能，他工作于应用层，掌握着应用系统中可作为安全决策的全部信息。其握着应用系统中可作为安全决

44、策的全部信息。其特点是完全阻隔了网络信息流，当一个远程用户特点是完全阻隔了网络信息流，当一个远程用户希望和网内用户通信时，应用网关会阻隔通信信希望和网内用户通信时，应用网关会阻隔通信信息，然后对这个通信数据进行检查，符合要求后，息，然后对这个通信数据进行检查，符合要求后，应用网关会作为一个桥梁，转发通信数据。应用网关会作为一个桥梁，转发通信数据。49 国红军主讲50 国红军主讲 3.复合型防火墙复合型防火墙 由于对更高安全性的要求，常把基于包过滤的方法与基于由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种应用代理的方法结合起来，形成复合型防火

45、墙产品。这种结合通常是以下两种方案：结合通常是以下两种方案：屏蔽主机防火墙体系结构：在该结构中，分组过滤路由屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与器或防火墙与Internet相连，同时一个堡垒主机安装在内相连，同时一个堡垒主机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒主机成为置，使堡垒主机成为Internet上其它节点所能到达的唯一上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。节点，这确保了内部网络不受未授权外部用户的攻击。屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形

46、屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与使这一子网与Internet及内部网络分离。在屏蔽子网防火及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。个防火墙的安全基础。51 国红军主讲 4.个人防火墙个人防火墙 目前网络上有许多个人防火墙软件，很多都集成目前网络上有许多个人防火墙软件，很多都集成在杀毒软件当中，它是应用程序级的，在某一台在杀毒软件当中，它是应用程序级的，在某

47、一台计算机上运行，保护其不受外部网络的攻击。计算机上运行，保护其不受外部网络的攻击。一般的个人防火墙都具有一般的个人防火墙都具有“学习学习”机制，就是说机制，就是说一旦主机防火墙收到一种新的网络通信要求，它一旦主机防火墙收到一种新的网络通信要求，它会询问用户是允许还是拒绝，并应用于以后该通会询问用户是允许还是拒绝，并应用于以后该通信要求。举例来说，金山毒霸里集成的金山网镖信要求。举例来说，金山毒霸里集成的金山网镖就是一款个人防火墙，具有学习机制。就是一款个人防火墙，具有学习机制。52 国红军主讲53 国红军主讲7.3.3 网络地址转换网络地址转换NAT技术技术 网络地址转换网络地址转换NAT的

48、作用原理就是通过替换一个数据包的的作用原理就是通过替换一个数据包的源地址和目的地址，来保证这个数据包能被正确识别。具源地址和目的地址，来保证这个数据包能被正确识别。具体地说，通过这种地址映射技术，内部计算机上使用私有体地说，通过这种地址映射技术，内部计算机上使用私有地址（地址（10.0.0.010.255.255.255，172.16.0.0172.16.255.255，192.168.0.0192.168.255.255），当内部网络计算机通），当内部网络计算机通过路由器向外部网络发送数据包时，私有地址被转换成合过路由器向外部网络发送数据包时，私有地址被转换成合法的法的IP地址（全局地址）在

49、地址（全局地址）在Internet上使用，最少只需一上使用，最少只需一个合法个合法IP，就可以实现私有地址网络内所有计算机与，就可以实现私有地址网络内所有计算机与Internet的通信。这一个或多个合法地址，就代表整个内的通信。这一个或多个合法地址，就代表整个内部网络与外部网络进行通信。部网络与外部网络进行通信。54 国红军主讲55 国红军主讲7.4数字加密与数字签名数字加密与数字签名7.4.1数字加密数字加密 1.数字加密原理数字加密原理在现实的网络中，想要让别人彻底不能窃取某个数据非常的困难，比在现实的网络中，想要让别人彻底不能窃取某个数据非常的困难，比较现实的一种方式就是采用数字加密技术

50、，就是说即使别人得到这个较现实的一种方式就是采用数字加密技术，就是说即使别人得到这个数据，也会因为不能使这个加过密的数据解密，而无法解读它的意思。数据，也会因为不能使这个加过密的数据解密，而无法解读它的意思。数据加密就是指将原始的数据通过一定的加密方式，加密成非授权数据加密就是指将原始的数据通过一定的加密方式，加密成非授权人难以理解的数据，授权人在接受加密数据后，利用自己知道的解密人难以理解的数据，授权人在接受加密数据后，利用自己知道的解密方式把数据还原成原始数据。方式把数据还原成原始数据。下面我们介绍一些数据加密常用术语：下面我们介绍一些数据加密常用术语：明文：没有加密的原始数据。明文：没有