第五章黑客攻击及防御技术

第五章黑客攻击及防御技术内容摘要：

序。 一旦服务器端被运行，就会打开事先定义好的端口，等待客户端与其建立连接。  服务器位于局域网。 • 通过 IRC进行通信  服务器所在主机的 IP是通过 DHCP获得的。 • 由于服务器在特定端口上侦听，那么客户端可以通过端口扫描来找到服务器端 • 服务器端通过电子邮件、 FTP等方式告诉客户端它的IP地址。 恶意软件 —— 病毒检测技术（１） 校验和技术  原理 ：由于病毒需要修改文件，可将文件当前的校验和与初始校验和进行比较，如果不一致，则表示文件可能被病毒修改过。  优点 ：既能够发现已知病毒，也能够发现未知病毒。  缺点 ：会产生过多误报，因为正常程序也会修改文件； 对隐藏性病毒没有作用； 不能检测新的文件。 恶意软件 —— 病毒检测技术（２） 模式匹配  原理 ：通过病毒的特征值来查找病毒。 例如， 1575病毒代码中包含了“ 06 12 8C C0 02 1F 07 A3”的字符串 ，因此，可通过查看目标程序是否包含了这样的字符串，来判断其是否 1575病毒。  优点 ：可识别出病毒的名称、误报率低。  缺点 ：随着病毒特征库的扩大，检查速度会降低； 不能检测未知病毒和多态性病毒 ； 对隐藏性病毒没有作用。 恶意软件 —— 病毒检测技术（３） 行为扫描  原理 ：人们通过观察与研究，发现病毒有一些共同行为，并且这些行为在正常的应用程序中比较少见，因此，可通过监测目标程序是否表现出了某种行为来判断其是否病毒。 例如引导型病毒必然截留盗用 INT 13H、 高端内存驻留型病毒会修改 DOS系统数据区的内存总量等。  优点 ：能够检测出未知病毒。  缺点 ： ① 会产生过多误报，因为少数正常程序也有类似病毒的行为 ； ② 不能识别病毒的具体类型。 恶意软件 —— 病毒检测技术（４） 启发式扫描  原理 ：依靠病毒的指令序列，而不是病毒模式进行检测。 这种类型的反病毒软件，会首先对目标程序进行反汇编，然后对它的指令序列进行分析，找出其中所蕴藏的真正动机。 例如，如果一段程序中包含了 “ MOV AH, 5。 MOV BX, 500H。 INT 13H”的指令，表示该程序会进行格式化磁盘的操作，需引起注意。 若反病毒软件经过进一步分析，发现这段指令之前并没有用户的交互输入，也没有命令行参数传入，则可以认定这是一段病毒或其它恶意代码。  缺点 ： ① 如果孤立地看这些指令 ，不能清晰地界定正常程序和病毒； ②在查找时，无法识别指令序列的变化。 邮件攻击 电子邮件作为最常用的网络应用之一，已经成为网络交流的重要工具。 但与此同时，也出现了各种电子邮件的滥用行为，包括利用电子邮件实施攻击。 常见的电子邮件攻击手段包括 :  垃圾邮件  邮件炸弹  邮件欺骗 邮件攻击 —— 垃圾邮件（ 1） 什么是垃圾邮件。  垃圾邮件是指未请求的、对于收件人来说无用的邮件，其内容包括商业广告、电子杂志和骚扰信息等 垃圾邮件带来各种负面影响：  拥塞网络、降低邮件服务器的性能  恶意代码泛滥  降低员工的工作效率  造成巨大经济损失 邮件攻击 —— 垃圾邮件（ 2） 反垃圾邮件技术  黑名单和白名单 • 位于黑名单中的发件人发送的任何邮件都被认为是垃圾邮件 • 位于白名单中的发件人发送的任何邮件都被认为是合法邮件  规则过滤 • 邮件头分析 • 群发过滤 • 关键词精确匹配 邮件攻击 —— 邮件炸弹（ 1） 什么是邮件炸弹。  攻击者在短时间内向某个邮箱发送大量的垃圾邮件，最终使得邮箱或者邮箱所在的系统不堪重负，“爆炸而亡”。 邮件炸弹是一种拒绝服务攻击，其攻击目标包括：  单个用户的邮箱  邮件服务器 邮件攻击 —— 邮件炸弹（ 2） 邮件炸弹的三种实现方式  直接攻击邮箱：在短时间内发送大量邮件到受害者邮箱  利用回复邮件攻击邮箱：以受害者的名义发送大邮件给大量用户，这样受害者的邮箱就会被大量愤怒的回复信息所充满  利用邮件列表攻击邮箱：以受害者的名义申请多个邮件列表，这样受害者的邮箱就会被大量合法邮件所充满 邮件攻击 —— 邮件欺骗（ 1） 什么是邮件欺骗。  攻击者通过伪造发件人的姓名和地址，以达到其私人目的，例如隐藏发件人的身份、骗取收件人的信任、损害其他人的名誉等。 邮件攻击 —— 邮件欺骗（ 2） 邮件欺骗的三种实现方式  使用相似的电子邮件地址：攻击者首先针对仿冒对象的电子邮件地址，申请一个相似的电子邮件帐号，然后在用户代理中将“发件人姓名”设成仿冒对象的姓名，以冒充该用户发送电子邮件  修改邮件客户端的帐号配置：在受害者的邮件客户端软件中，将回复地址修改为攻击者能够访问的邮件地址  直接通过邮件服务器发送邮件：直接登陆到邮件服务器的SMTP端口发送邮件。 由于 SMTP协议没有认证机制，攻击者可随意修改发件人地址 安全电子邮件 电子邮件安全需求 为解决电子邮件的安全问题，提出了一系列的。