文章目錄
NISP-操作系統的安全威脅
一.漏洞
1.漏洞的定義
- 是指計算機系統在軟硬件,協議的設計,具體的實現以及系統安全策略上存在的缺陷和不足
2.漏洞的特性
- 事件侷限性
- 廣泛性(漏洞影響不同軟硬件,同軟硬件不同版本,不同系統設置)
- 隱蔽性(所有系統都存在安全漏洞,安全級別越高,漏洞越少)
- 被發現性
3.漏洞產生的原因
- 程序邏輯結構設計不合理,不嚴謹
- 程序設計錯誤
- 由於目前硬件無法解決特定問題,使編程人員只得通過軟件設計來表現出硬件功能而產生的漏洞
4.漏洞的生命週期
| 階段 | 事件 | 描述 |
|---|---|---|
| 第一階段 | 系統漏洞被發現,併發布安全漏洞 | 由於軟件設計者初期考慮不周等因素導致漏洞客觀存在,漏洞研究人員發現漏洞並報告相關廠商,廠商向用戶發佈安全公告,並提供升級補丁程序 |
| 第二階段 | .藉助漏洞傳播的病毒開始出現,並傳播 | 攻擊者對安全補丁進行逆向工程,編寫利用漏洞的攻擊程序併發布。但是由於用戶在漏洞管理方面的疏忽,如:沒有第一時間安裝補丁,就會爲蠕蟲爆發創造條件。此階段漏洞危害較小 |
| 第三階段 | 利用漏洞的蠕蟲病毒大肆爆發 | 蠕蟲在互聯網或者局域網上利用系統漏洞大規模的傳播,導致網絡堵塞或者癱瘓 |
| 第四階段 | 系統漏洞被修復,但仍有發作 | 由於安裝系統補丁,蠕蟲喪失感染目標,已經感染的主機逐步清除使蠕蟲源減少。少數沒有安裝補丁的主機減少,對網絡影響不大 |
| 第五階段 | 漏洞影響逐漸消失 | 一段時間後,由於系統或者完成補丁安裝工作,或者使用新的軟件版本,漏洞造成的影響逐步消失 |
5.系統漏洞防範
- 提升防火牆技術(應對網絡安全漏洞,防火牆設置和功能升級,及時更新)
- 加強病毒防範措施
- 注重漏洞掃描技術的應用
- 強化端口解析(防止通過USB接口的病毒入侵),以及加強數據備份工作。(防黑客盜取,摧毀數據)
6.漏洞掃描技術
- 是對計算機系統或其他網絡設備進行相關檢測,找出安全隱患和可以被攻擊者利用的漏洞
漏洞掃描技術的原理:
- 首先對計算機展開漏洞攻擊並記錄
- 在攻擊的過程中進行偵測
- 檢查系統中是否存在不合理的信息
- 例如:DOS漏洞掃描技術(可以本地,也可以遠程掃描)
7.漏洞掃描的必要性
(1).防火牆的侷限性和脆弱性
- 侷限性:無法解決爲經過防火牆的攻擊,未經過防火牆的數據,防火牆無法檢查
- 脆弱性:無法解決TCP/IP操作的漏洞以及內部網絡的攻擊和安全問題(由於防火牆本身是基於TCP/IP協議實現的),例如:DOS攻擊,DDOS攻擊
(2).針對IDS的逃避技術
- IDS:入侵檢測系統(對網絡性能無影響)
- 入侵檢測系統:按照一定的安全策略,通過軟硬件對網絡系統的運行狀況進行監視,儘可能的發現各種攻擊企圖,行爲和結果
(3).網絡隱患掃描系統浮出水面
8.掃描工具的選擇
- 漏洞庫中的漏洞數量
- 掃描工具的易用性
- 是否可以生成漏洞報告
- 對於漏洞修復行爲的分析和建議
- 安全性
- 性價比
二.惡意代碼
1.定義
- 是指故意編制或設置的,對網絡系統產生威脅或潛在威脅的計算機代碼
2.攻擊機制
3.常見的惡意代碼
- 病毒——具有自我複製能力,必須寄生在其他程序的惡意代碼
- 木馬——使木馬控制登錄被感染計算機上
- 蠕蟲——也是病毒,自動創建與自身相同的副本自動運行,利用系統漏洞和設置的不安全性入侵
計算機病毒
- 指編制或者在計算機程序中插入破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我複製的一組計算機指令或者編程代碼
病毒特性:
- 寄生性——寄生在其他程序中
- 傳染性——自我複製及變種,從已感染的計算機擴散到未被感染的計算機
- 潛伏性——定時炸彈,躲在磁盤,需滿足觸發機制,靜靜複製
- 隱蔽性——檢查不出來,時隱時現,變化無常
- 破壞性——文件刪除,修改,移動,增加,正常程序無法運行
- 可觸發性——觸發機制(觸發條件)
病毒危害:
- 破壞操作系統處理器的管理功能
- 破壞操作系統文件管理的功能
- 破壞操作系統存儲管理的功能
- 直接破壞計算機系統的硬件功能
計算機病毒的表現形式:
- 機器不能正常啓動
- 運行速度降低
- 內存空間減少
- 文件內容和長度改變
- 經常死機
- 外部設備工作異常
病毒傳播途徑:
- 計算機的硬件設備
- 移動存儲設備
- 計算機網絡(首要途徑)
病毒防範:
- 建立良好的安全習慣
- 關閉或刪除系統中不必要的服務
- 升級安全補丁
- 使用複雜密碼
- 迅速隔離受感染的計算機
- 瞭解病毒知識
- 安裝殺毒軟件全面監控
- 安裝個人防火牆軟件進行防黑
- 安全管理軟件
木馬
- 指利用計算機程序漏洞侵入後竊取他人文件,財產與隱私的程序
- 是一種後門程序,能遠程控制計算機
木馬的組成:
- 硬件部分:建立木馬連接所必須的硬件實體(控制端對服務端,Internet網絡載體)
- 軟件部分:實現遠程控制所必須的軟件程序(控制端用於遠程控制服務端的程序,
潛入服務端獲取權限的程序,木馬配置程序)
具體連接部分:
通過Internet在服務端和控制端之間建立一條木馬通道所必須的元素:
- 控制端IP地址
- 服務端IP地址
- 控制端端口
- 木馬端口
木馬的傳播:
- 電子郵件的附件(最常見,最有效)
- 下載文件
- 網頁
- 聊天工具
木馬種類:
- 網絡遊戲木馬(盜號,記住鍵盤輸入的方式)
- 網銀木馬(盜號,網上交易)
- 即時通訊軟件木馬
- 網頁點擊木馬(模擬用戶點擊窗口)
- 下載類木馬
- 代理類木馬(開啓Http功能)
- 隱藏類木馬
- FTP木馬
木馬的危害:
- 盜號,威脅我們的虛擬財產的安全
- 盜網銀信息,威脅我們真實財產的安全
- 利用即時通訊軟件盜取我們的身份,傳播木馬
- 給我們的電腦打開後門,使我們的電腦可能被黑客控制
防治木馬的措施:
- 安裝殺毒軟件和個人防火牆,並及時升級
- 設置好個人防火牆的安全等級,防止未知程序向外傳輸數據
- 使用安全性較好的瀏覽器和電子郵件客戶端工具
- 使用IE瀏覽器,應安裝卡卡安全助手或360安全瀏覽器,防止惡意網站在自己的電腦上安裝不明軟件和瀏覽器插件,以免被木馬趁機侵入
蠕蟲病毒
- 利用網絡進行復制和傳播
- 傳染途徑:網絡和電子郵件
蠕蟲病毒和普通病毒的區別:
| 普通病毒 | 蠕蟲病毒 | |
|---|---|---|
| 存在形式 | 寄存文件 | 獨立程序 |
| 傳染機制 | .宿主程序運行 | 指令代碼執行主動攻擊 |
| 傳染目標 | 本地文件 | 網絡上的計算機 |
蠕蟲的基本結構:
- 傳播模塊(負責蠕蟲傳播):又分爲掃描模塊,攻擊模塊和複製模塊
- 隱藏模塊:侵入主機後,隱藏蠕蟲程序,防止被用戶發現
- 目的功能模塊:實現對計算機的控制,監視或破壞等功能
蠕蟲傳播過程:
- 掃描:由蠕蟲的掃描模塊負責探測存在漏洞的主機
- 攻擊:攻擊模塊按掃描中找到的對象,取得該主機的權限,獲得一個shell
- 複製:複製模塊通過原主機和新主機交互將蠕蟲程序複製到新主機並啓動
蠕蟲病毒的特點:
- 較強的獨立性
- 利用漏洞主動攻擊(紅色代碼病毒,熊貓燒香病毒)
- 傳播更快更廣(網絡共享文件,電子郵件)
蠕蟲病毒防範
- 安裝正版的殺毒軟件,個人防火牆等,並及時升級,上網時打開殺毒軟件實時監控功能
- 使用安全漏洞掃描軟件,彌補操作系統和應用程序的漏洞
- 不瀏覽不良網站,不隨意下載安裝可疑插件
- 不接收QQ,MSN,E-mail等傳來的可疑文件和鏈接
三.端口掃描威脅
1.端口掃描的定義
- 指的是對目標計算機的所有端口發送同一信息,然後根據返回的端口狀態來分析目標計算機的端口是否打開或可用
2.端口掃描的目的
- 判斷目標主機上開發了哪些服務
- 判斷目標主機的操作系統
3.什麼是掃描器?
- 是一種自動檢測遠程或本地主機安全性弱點的程序
- 不留痕跡的發現遠程服務的各種TCP端口的分配及提供的服務和他們的軟件版本
4.爲什麼需要掃描器?
- 網絡規模日益增長和計算機系統的日益複雜,新的系統漏洞層出不窮
- 系統管理員疏忽或缺乏管理經驗,導致有的漏洞依然存在
- 許多別有用心或出於好奇,不停的窺視網絡上的資源
5.掃描器的功能
- 掃描目標主機,識別其工作狀態(開/關機)
- 識別目標主機端口的狀態(監聽或關閉)
- 識別目標主機系統及其服務程序的類型和版本
- 根據已知漏洞的信息,分析系統的脆弱點
- 生成掃描結果報告
四.思考題
1.列舉常見的服務端口:
- Http——80
- FTP——21
- telnet——23
- 遠程桌面——3389
2.木馬如何防範?
- 全面檢測系統的註冊表,文件,網絡連接,運行的進程等實現遠程人工分析