文章目录
NISP-操作系统的安全威胁
一.漏洞
1.漏洞的定义
- 是指计算机系统在软硬件,协议的设计,具体的实现以及系统安全策略上存在的缺陷和不足
2.漏洞的特性
- 事件局限性
- 广泛性(漏洞影响不同软硬件,同软硬件不同版本,不同系统设置)
- 隐蔽性(所有系统都存在安全漏洞,安全级别越高,漏洞越少)
- 被发现性
3.漏洞产生的原因
- 程序逻辑结构设计不合理,不严谨
- 程序设计错误
- 由于目前硬件无法解决特定问题,使编程人员只得通过软件设计来表现出硬件功能而产生的漏洞
4.漏洞的生命周期
| 阶段 | 事件 | 描述 |
|---|---|---|
| 第一阶段 | 系统漏洞被发现,并发布安全漏洞 | 由于软件设计者初期考虑不周等因素导致漏洞客观存在,漏洞研究人员发现漏洞并报告相关厂商,厂商向用户发布安全公告,并提供升级补丁程序 |
| 第二阶段 | .借助漏洞传播的病毒开始出现,并传播 | 攻击者对安全补丁进行逆向工程,编写利用漏洞的攻击程序并发布。但是由于用户在漏洞管理方面的疏忽,如:没有第一时间安装补丁,就会为蠕虫爆发创造条件。此阶段漏洞危害较小 |
| 第三阶段 | 利用漏洞的蠕虫病毒大肆爆发 | 蠕虫在互联网或者局域网上利用系统漏洞大规模的传播,导致网络堵塞或者瘫痪 |
| 第四阶段 | 系统漏洞被修复,但仍有发作 | 由于安装系统补丁,蠕虫丧失感染目标,已经感染的主机逐步清除使蠕虫源减少。少数没有安装补丁的主机减少,对网络影响不大 |
| 第五阶段 | 漏洞影响逐渐消失 | 一段时间后,由于系统或者完成补丁安装工作,或者使用新的软件版本,漏洞造成的影响逐步消失 |
5.系统漏洞防范
- 提升防火墙技术(应对网络安全漏洞,防火墙设置和功能升级,及时更新)
- 加强病毒防范措施
- 注重漏洞扫描技术的应用
- 强化端口解析(防止通过USB接口的病毒入侵),以及加强数据备份工作。(防黑客盗取,摧毁数据)
6.漏洞扫描技术
- 是对计算机系统或其他网络设备进行相关检测,找出安全隐患和可以被攻击者利用的漏洞
漏洞扫描技术的原理:
- 首先对计算机展开漏洞攻击并记录
- 在攻击的过程中进行侦测
- 检查系统中是否存在不合理的信息
- 例如:DOS漏洞扫描技术(可以本地,也可以远程扫描)
7.漏洞扫描的必要性
(1).防火墙的局限性和脆弱性
- 局限性:无法解决为经过防火墙的攻击,未经过防火墙的数据,防火墙无法检查
- 脆弱性:无法解决TCP/IP操作的漏洞以及内部网络的攻击和安全问题(由于防火墙本身是基于TCP/IP协议实现的),例如:DOS攻击,DDOS攻击
(2).针对IDS的逃避技术
- IDS:入侵检测系统(对网络性能无影响)
- 入侵检测系统:按照一定的安全策略,通过软硬件对网络系统的运行状况进行监视,尽可能的发现各种攻击企图,行为和结果
(3).网络隐患扫描系统浮出水面
8.扫描工具的选择
- 漏洞库中的漏洞数量
- 扫描工具的易用性
- 是否可以生成漏洞报告
- 对于漏洞修复行为的分析和建议
- 安全性
- 性价比
二.恶意代码
1.定义
- 是指故意编制或设置的,对网络系统产生威胁或潜在威胁的计算机代码
2.攻击机制
3.常见的恶意代码
- 病毒——具有自我复制能力,必须寄生在其他程序的恶意代码
- 木马——使木马控制登录被感染计算机上
- 蠕虫——也是病毒,自动创建与自身相同的副本自动运行,利用系统漏洞和设置的不安全性入侵
计算机病毒
- 指编制或者在计算机程序中插入破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者编程代码
病毒特性:
- 寄生性——寄生在其他程序中
- 传染性——自我复制及变种,从已感染的计算机扩散到未被感染的计算机
- 潜伏性——定时炸弹,躲在磁盘,需满足触发机制,静静复制
- 隐蔽性——检查不出来,时隐时现,变化无常
- 破坏性——文件删除,修改,移动,增加,正常程序无法运行
- 可触发性——触发机制(触发条件)
病毒危害:
- 破坏操作系统处理器的管理功能
- 破坏操作系统文件管理的功能
- 破坏操作系统存储管理的功能
- 直接破坏计算机系统的硬件功能
计算机病毒的表现形式:
- 机器不能正常启动
- 运行速度降低
- 内存空间减少
- 文件内容和长度改变
- 经常死机
- 外部设备工作异常
病毒传播途径:
- 计算机的硬件设备
- 移动存储设备
- 计算机网络(首要途径)
病毒防范:
- 建立良好的安全习惯
- 关闭或删除系统中不必要的服务
- 升级安全补丁
- 使用复杂密码
- 迅速隔离受感染的计算机
- 了解病毒知识
- 安装杀毒软件全面监控
- 安装个人防火墙软件进行防黑
- 安全管理软件
木马
- 指利用计算机程序漏洞侵入后窃取他人文件,财产与隐私的程序
- 是一种后门程序,能远程控制计算机
木马的组成:
- 硬件部分:建立木马连接所必须的硬件实体(控制端对服务端,Internet网络载体)
- 软件部分:实现远程控制所必须的软件程序(控制端用于远程控制服务端的程序,
潜入服务端获取权限的程序,木马配置程序)
具体连接部分:
通过Internet在服务端和控制端之间建立一条木马通道所必须的元素:
- 控制端IP地址
- 服务端IP地址
- 控制端端口
- 木马端口
木马的传播:
- 电子邮件的附件(最常见,最有效)
- 下载文件
- 网页
- 聊天工具
木马种类:
- 网络游戏木马(盗号,记住键盘输入的方式)
- 网银木马(盗号,网上交易)
- 即时通讯软件木马
- 网页点击木马(模拟用户点击窗口)
- 下载类木马
- 代理类木马(开启Http功能)
- 隐藏类木马
- FTP木马
木马的危害:
- 盗号,威胁我们的虚拟财产的安全
- 盗网银信息,威胁我们真实财产的安全
- 利用即时通讯软件盗取我们的身份,传播木马
- 给我们的电脑打开后门,使我们的电脑可能被黑客控制
防治木马的措施:
- 安装杀毒软件和个人防火墙,并及时升级
- 设置好个人防火墙的安全等级,防止未知程序向外传输数据
- 使用安全性较好的浏览器和电子邮件客户端工具
- 使用IE浏览器,应安装卡卡安全助手或360安全浏览器,防止恶意网站在自己的电脑上安装不明软件和浏览器插件,以免被木马趁机侵入
蠕虫病毒
- 利用网络进行复制和传播
- 传染途径:网络和电子邮件
蠕虫病毒和普通病毒的区别:
| 普通病毒 | 蠕虫病毒 | |
|---|---|---|
| 存在形式 | 寄存文件 | 独立程序 |
| 传染机制 | .宿主程序运行 | 指令代码执行主动攻击 |
| 传染目标 | 本地文件 | 网络上的计算机 |
蠕虫的基本结构:
- 传播模块(负责蠕虫传播):又分为扫描模块,攻击模块和复制模块
- 隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现
- 目的功能模块:实现对计算机的控制,监视或破坏等功能
蠕虫传播过程:
- 扫描:由蠕虫的扫描模块负责探测存在漏洞的主机
- 攻击:攻击模块按扫描中找到的对象,取得该主机的权限,获得一个shell
- 复制:复制模块通过原主机和新主机交互将蠕虫程序复制到新主机并启动
蠕虫病毒的特点:
- 较强的独立性
- 利用漏洞主动攻击(红色代码病毒,熊猫烧香病毒)
- 传播更快更广(网络共享文件,电子邮件)
蠕虫病毒防范
- 安装正版的杀毒软件,个人防火墙等,并及时升级,上网时打开杀毒软件实时监控功能
- 使用安全漏洞扫描软件,弥补操作系统和应用程序的漏洞
- 不浏览不良网站,不随意下载安装可疑插件
- 不接收QQ,MSN,E-mail等传来的可疑文件和链接
三.端口扫描威胁
1.端口扫描的定义
- 指的是对目标计算机的所有端口发送同一信息,然后根据返回的端口状态来分析目标计算机的端口是否打开或可用
2.端口扫描的目的
- 判断目标主机上开发了哪些服务
- 判断目标主机的操作系统
3.什么是扫描器?
- 是一种自动检测远程或本地主机安全性弱点的程序
- 不留痕迹的发现远程服务的各种TCP端口的分配及提供的服务和他们的软件版本
4.为什么需要扫描器?
- 网络规模日益增长和计算机系统的日益复杂,新的系统漏洞层出不穷
- 系统管理员疏忽或缺乏管理经验,导致有的漏洞依然存在
- 许多别有用心或出于好奇,不停的窥视网络上的资源
5.扫描器的功能
- 扫描目标主机,识别其工作状态(开/关机)
- 识别目标主机端口的状态(监听或关闭)
- 识别目标主机系统及其服务程序的类型和版本
- 根据已知漏洞的信息,分析系统的脆弱点
- 生成扫描结果报告
四.思考题
1.列举常见的服务端口:
- Http——80
- FTP——21
- telnet——23
- 远程桌面——3389
2.木马如何防范?
- 全面检测系统的注册表,文件,网络连接,运行的进程等实现远程人工分析