• 针对信息协议弱点攻击 • 远端操纵
• 利用系统管理员失误攻击
• 重新发送攻击
• 对ICMP报文的攻击
• 针对源路径选项的弱点攻击
• 以太网广播攻击将以太网接口置为乱模式 (Promiscuous)，截获局部范围的所有数据包， 为攻击者所用。
• “跳跃式”攻击现在许多因特网上的站点 使用UNIX操作系统。黑客们会设法先登录 到一台UNIX的主机上，通过该操作系统的 漏洞来取得系统特权，然后再以此为据点 访问其余主机，这被称为“跳跃”(Island hopping)。黑客们在达到目的主机之前往往 会这样跳几次。
• 2）传染机制
• 传染机制的功能包括判断和感染。传染机 制先是判断候选感染目标是否已被感染， 感染与否通过感染标记来判断，感染标记 是计算机系统可以识别的特定字符或字符 串。一旦发现作为候选感染目标的宿主程 序中没有感染标记，就对其进行感染，也 就是将病毒代码和感染标记放入宿主程序 之中，早期的有些病毒是重复感染型的， 它不做感染检查，也没有感染标记，因此 这种病毒可以再次感染自身。
9 黑客攻击与网络病毒
• 9.1 黑客攻击与防护 • 9.1.1 黑客入侵方法与一般步骤 • 1）常用入侵方法 • 数据驱动攻击当有些表面看来无害的特殊
程序，在被发送或复制到网络主机上并被 执行时就发起攻击，从而发生数据驱动攻 击。 • 系统文件非法利用
பைடு நூலகம்
• 伪造信息攻击 通过发送伪造的路由信息， 构造系统源主机和目标主机的虚假路径， 从而使流向目标主机的数据包均经过攻击 者的系统主机。这样就给攻击者提供敏感 的信息和有用的密码。
• 9.2.3 计算机病毒的结构
• 计算机病毒主要由潜伏机制，传染机制和 表现机制构成。在程序结构上由现实这3种 机制的模块组成（如图9.1所示）。
图9.1 计算机病毒程序结构
• 1）潜伏机制
• 潜伏机制的功能包括初始化，隐蔽和捕捉。 潜伏机制模块随着感染的宿主程序的执行 进入内存，首先，初始化其运行环境，使 病毒相对独立于宿主程序，为传染机制做 好准备；然后，利用各种可能的隐藏方式， 躲避各种检测，欺骗系统，将自己隐蔽起 来；最后，不停地捕捉感染目标交给传染 机制，不停地捕捉触发条件交给表现机制。
• 3）表现机制
• 表现机制的功能包括判断和表现。表现机 制首先对触发条件进行判断，然后根据不 同的条件决定什么时候表现、如何表现。 表现内容多种多样，带来轻微或严重的破 坏。表现机制反映了病毒设计者的意图， 是病毒差异最大的部分。潜伏机制和传染 机制是为表现机制服务的。
• 9.2.4 企业网络感染和传播病毒方式和途径 分析
• 9.2.5 企业网络防病毒解决方案考虑的几个 因素
• 选择企业级网络防病毒解决方案时主要应 考虑以下几个问题：
• ①提供一个多层次、全方位的防病毒体系。
• ②在这个防病毒体系中应该具有简易的、 统一的、集中的、智能的和自动化的管理 手段和管理工具。
• ③能够有效防范各种混合型的威胁。
• ④提供有效直观的管理机制。
• 1）传播途径和方式
• ①通过电子邮件，客户端在收电子邮件时， 把病毒带入内部网络。
• ②用户上网，通过HTTP，FTP等把病毒和一 些恶意的病毒代码带入内部网络。
• ③通过软盘或盗版光盘感染网络中的客户 端，然后病毒通过网络感染整个内部网络， 甚至通过Internet传播。
• ④一些远程拨号用户在访问企业内部网络 时把病毒带入内部网络。
实现各种应用服务，例如Telte使用了23号端口， 而黑客也是通过这些端口侵入计算机的。
• 2）通过端口进入计算机 • 黑客进入计算机也是基于TCP/IP协议通过某个
端口进入计算机的。
• 3）发现木马 • 4）进一步查找木马
• 2）隐蔽性
• 病毒一般是具有很高编程技巧的，短小精悍 的一段代码，隐藏在合法程序当中。如果不 经过代码分析，病毒程序与正常程序是不容 易区别开来的，这是病毒程序的隐蔽性。
• 窃取TCP协议连接 • 夺取系统控制权 • 2）网络攻击的一般步骤及实例 • ⑴攻击的准备阶段 • ①确定攻击的目的。 • ②信息收集。 • ⑵攻击的实施阶段 • ①获得权限。 • ②权限的扩大。 • ⑶攻击的善后工作 • ①日志系统简介。
• ②隐藏踪迹。
• ③后门。
• 9.1.2 防止黑客的攻击 • 1）端口 • 网络通讯基于TCP/IP协议，而TCP/IP通过端口
• 3）潜伏性
• 病毒进入系统之后一般不会马上发作，可以 在几周或者几个月甚至几年内隐蔽在合法程 序中，默默地进行传染扩散而不被发现，潜 伏性越好，在系统中，存在时间就会越长， 传染范围也就会越大。
• 4）多态性
• 病毒试图在每一次感染时改变它的形态， 使对它的检测变得更困难。
• 5）破坏性
• 病毒一旦被触发而发作就会造成系统或数 据的损失甚至毁灭。病毒都是可执行程序， 而且又必然要运行，因此所有的病毒都会 降低计算机系统的工作效率，占用系统资 源，其侵占程度取决于病毒程序自身。
• ⑤协作单位或合作伙伴以及下属或分支机 构的网络或机器感染病毒后有可能在整个 网络中传播。
• ⑥病毒在传播的过程中，往往利用操作系 统、应用系统的漏洞来进行攻击。
• 2）病毒感染对象
• 到目前为止，病毒主要感染和破坏的对象 还是像DOS， Windows 3x/9X， Windows NT/2000/XP， OS/2，Machintosh， NOVELL等操作系统，对于UNIX操作系统， 构不成任何破坏。虽然UNIX系统本身不会 受病毒的影响，但是一些基于UNIX系统的 应用会起到传播病毒的作用，如在UNIX平 台下的邮件服务器，它会把带病毒的邮件 转发到内部网络的客户端。
• ⑤通过管理中心可以及时了解整个网络中 客户端防病毒软件的安装使用情况。
• ⑥采用先进的防病毒技术。
• ⑦集中和方便地进行病毒定义码和扫描引 擎的更新。
• ⑧方便、全面、友好的病毒警报和报表系 统管理机制。
• ⑨病毒防护自动化服务机制。 • ⑩防病毒管理策略的强制定义和执行。 • (11)合理的预算规划。 • (12)良好的服务与一定的技术支持。 • (13)应急处理能力和对新病毒具有最快的