第11章恶意软件攻击与防范

第11章

恶意软件攻击与防范11.1恶意软件概述11.2间谍软件分析与防范11.3网络钓鱼攻击分析与防范11.4垃圾邮件分析与防范案例一：小学文化男子做钓鱼网站盗钱，搜索排名超官网

2011年9月底，在余杭区某电子科技公司上班的马女士想在网上给自己的加油卡充点钱，于是她在百度里输入“中国石化浙江网”。跳出来的第一条就写着“中国石化浙江网上营业厅”，可以网上充值。点开一看，和以前登录的中石化加油卡充值网站也差不多。没有多加思考，马女士就输入自己的加油卡卡号，用支付宝充值了1000元。充值5分钟后，马女士收到一条来自刚刚的充值网站的短信，大意是说自己充值太少，要求再充5000元，以获得更大的优惠，还附了客服的QQ号码。收到短信，马女士感觉不对劲，立即拨打了中石化的客服电话进行询问，才知道自己中招了。之后她又拨打支付宝客服，得知自己那1000元支付给了北京的一个商家，购买了虚拟物品新浪U币。发现自己被骗后，马女士立即向余杭公安报了案。经过网监侦查，2011年11月30日，公安机关在广东省湛江市抓获嫌疑人小林，而他居然是一个小学文化程度的17岁男孩。小林自小顽皮，读完小学就不肯再读了。但他对电脑异常感兴趣，也确实有些天分，便自学成才，掌握了很多电脑及网站方面的技能，还靠着接网站优化、推广的工作赚了点钱。2011年9月初，小林在老家湛江发现中石化加油站里来加油的人多数都用加油卡付费。他想，这大批量的加油卡肯定有通过网络充值的渠道。林某在网上搜索，果然发现中石化浙江分公司支持网上充值。脑筋活络的他，决定制作一个中石化浙江公司的钓鱼网站，骗取充值人的钱。于是，这个电脑高手一步步设计了一个骗钱陷阱：他先模仿官网制作了一个网站，并注册了一个类似的域名，然后，他在网上购买了一个第三方接口和支付宝方式进行了对接。要让充值的人多，网站必须有人气，在百度搜索中的排名要尽可能靠前。于是，小林拿出看家本领，不断“优化”自己的钓鱼网站。短短一个月，他的虚假网站竟然在百度排名中超过了中石化加油卡充值的官网。只要有人在百度中输入“加油卡充值”或者“中国石化浙江充值”等，出现在第一条的就是小林的钓鱼网站。因此，跳入陷阱的人越来越多。经过小林的设置，这些通过支付宝或者网银打进冒牌网站的钱其实直接打入了他的第三方游戏帐号，变成大量的虚拟货币。小林用这些虚拟货币购买人人豆、新浪U币等各种游戏币后，再通过网络转卖给网上收购游戏币的买家。通过这种方式，小林在短短两个月的时间里非法获取利益19000余元。案例二：McAfee：安卓设备已成恶意软件重灾区

McAfee称Android设备已经成为恶意软件的重灾区。最近一款名为Android/Multi.dr的恶意病毒首先伪装是热门游戏NFL12，然后分成包括rootexploit,IRCbot和SMSTrojan三个部分。rootexploit是攻击的主力军，会直接“root”设备获得系统最高权限，然后以Administrator身份执行代码连接到远程服务器，当获得权限并已经建立连接之后IRCbots就开始做些“肮脏”的工作。一旦设备已经root，IRC程序也被执行之后，就会以一张PNG图片的显示伪装起来。 安全专家ArunSabapathy称这个文件实际上是Android设备很常见的.ELF文件，不过最危险的是SMSTrojan，他将收集用户的各种短信、文档信息，然后连接传输到远程服务器上。 “安全攻击形势相当险峻”，Sabpathy说：“目前我们还不清楚他们收集用户数据的目的，也不清楚服务器那边的代码是如何运作的”。Sabapathy称Android系统下的攻击未来将越来越多，而且已经受到攻击者攻击像PC平台一样频繁。思考1、在案例一中，为什么只有小学文化的小林能够屡屡得手？2、综合案例一和案例二分析当前恶意软件攻击的主要趋势。3、新型恶意软件攻击泛滥的主要原因是什么？11.1恶意软件概述

11.1.1恶意软件的概念与特征11.1.2恶意软件清除工具11.1.3使用Windows清理助手清除恶意软件11.1.1恶意软件的概念与特征恶意软件的特征主要表现为：（1）强制安装，在未明确提示用户或未经用户许可的情况下在用户计算机或其它终端上安装软件。（2）难以卸载，未提供通用的卸载方式，或在不受其它软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。（3）浏览器劫持，在未经用户许可的情况下修改用户浏览器或其它相关设置，迫使用户访问特定网站或导致用户无法正常上网。（4）广告弹出，在未明确提示用户或未经用户许可的情况下利用安装在用户计算机或其它终端上的软件弹出广告。（5）恶意收集用户信息，在未明确提示用户或未经用户许可的情况下恶意收集用户信息的行为。（6）恶意卸载，未明确提示用户或未经用户许可的情况下误导、欺骗用户卸载其它软件。（7）恶意捆绑，在软件中捆绑已被认定的恶意软件。（8）其它侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。11.1.2恶意软件清除工具

1、Windows清理助手Windows清理助手是目前国内最常用的恶意软件清除工具，它能对已知的恶意软件和木马程序进行彻底的扫描与清理，如图11-1所示。它提供系统扫描与清理、在线升级等功能，它能轻易对付强行驻留系统、更名等一系列恶意行为的软件。同时其高级功能包括微软备份工具、文件提取、文件粉碎、IE浏览器清理、磁盘清理等。图11-1Windows清理助手主界面11.1.2恶意软件清除工具

2、金山清理专家金山清理专家是一款完全免费的上网安全辅助软件，针对恶意软件和浏览器插件尤为有效，使用增强的恶意软件查杀引擎可以解决一般杀毒软件不能解决的安全问题，包括彻底查杀300多款恶意软件、广告软件和隐蔽软件。金山清理专家使用文件粉碎技术对抗Rootkits，能够彻底清除使用Rootkits进行保护和伪装的恶意软件，同时能够检查和卸载超过200余种IE插件和系统插件，其独创的插件信任管理列表能够避免用户误删除自己需要的正常插件。11.1.2恶意软件清除工具

3、A-SquaredA-Squared可以清理隐藏于计算机中的恶意程序，它的界面简单清楚、操作方便，而且可以随时通过在线更新最新的恶意软件资料库来查杀最新出现的恶意软件，还可以帮助用户有效地检测并清除木马病毒、间谍软体、广告软体、蠕虫、键盘记录程序、Rootkit、拨号程序等多种恶意程序所带来的安全威胁，有效保护用户的个人信息安全。11.1.2恶意软件清除工具

4、Spyware

doctorSpywareDoctor是一款优秀的间谍程序、广告程序、恶意程序免疫清除工具，如图11-4所示。它采用业界领先的查杀引擎，及时更新特征码数据库来保障用户的计算机不受恶意软件的攻击。

SpywareDoctorStarterEdition是SpywareDoctor的免费版，被收入在GooglePack中，用户可以通过GoogleUpdater下载使用，相对于SpywareDoctor，SpywareDoctorStarterEdition只能算得上含有较少功能的基础版，具有基本的文件监控、手动扫描、自动升级等功能，可以足够满足一般用户的需要。图11-4SpywareDoctor主界面11.1.3使用Windows清理助手清除恶意软件

软件打开时会自动检测系统，可点击“跳过”取消检测，直接打开软件主界面，如图11-5所示图11-5Windows清理助手主界面11.1.3使用Windows清理助手清除恶意软件

1、点击“扫描清理”，选择扫描范围，选中扫描类型，如图11-6所示。标准扫描：只扫描C盘（系统盘）的文件。自定义扫描：点击右边的“设置”可以自己选择需要扫描的磁盘或文件。完整扫描：扫描所有磁盘和所有文件。重启扫描：重新启动计算机之后自动扫描。图11-6Windows清理助手扫描清理11.1.3使用Windows清理助手清除恶意软件

2、诊断报告诊断报告可以扫描出计算机的整体情况，发现需要改进的项目，从而有目标地优化系统，如图11-7所示，点击“开始诊断”即可。图11-7Windows清理助手诊断界面11.1.3使用Windows清理助手清除恶意软件

2、诊断报告诊断完成后会显示出计算机的整体情况，点击下方的“保存诊断报告”可以另存为TXT文本，如图11-8所示。图11-8Windows清理助手诊断报告11.1.3使用Windows清理助手清除恶意软件

3、故障修复如果计算机被恶意软件篡改了系统设置，可以使用“故障修复”来恢复（具体需要修复的选项可以自行勾选），点击右下角的“执行修复”即可，如图11-9所示。图11-9Windows清理助手故障修复11.1.3使用Windows清理助手清除恶意软件

4、论坛求助如果遇到一些无法解决的问题，可以进入论坛发帖求助，或者看看论坛有没有类似问题的解决办法。11.2间谍软件分析与防范

11.2.1间谍软件的概念与特征11.2.2间谍软件的攻击方式11.2.3防范间谍软件攻击11.2.1间谍软件的概念与特征间谍软件是指将自身非法附着在操作系统上的一类计算机程序间谍软件一般不会损坏用户的计算机，而是偷偷潜入计算机并隐藏在后台，它们往往以推销产品为主要使命，所做的破坏更多的是向用户宣传目标广告，或是让用户的浏览器显示某些特定的站点或搜索结果计算机感染间谍软件往往是由于用户的某些操作引起的大多数间谍软件在计算机启动时都会作为后台应用程序运行，它具有不断地弹出广告、修改浏览器和防火墙设置、下载并安装其它恶意软件，重定向网络搜索等功能，部分智能型的间谍软件甚至可以在用户试图清除它们时进行拦截11.2.2间谍软件的攻击方式1、背载式软件安装有些应用程序会在标准安装过程中安装间谍软件。如果不仔细阅读安装列表，用户可能不会注意到自己将安装文件共享应用程序之外的内容。那些声称自己是付费软件替代品的“免费”软件尤为如此。2、随看随下或安装网站或弹出式窗口会自动尝试在计算机上下载并安装间谍软件，用户可能收到的唯一警告是浏览器的标准消息，告知软件的名称并询问是否要安装它。当计算机的安全级别设置过低时，用户甚至看不到该警告。3、浏览器加载项这是一些用来增强网络浏览器功能的软件，比如工具栏、动画帮手或附加搜索框。它们有时名副其实，但有时也会包含一些间谍软件元素。业界把一些特别顽固的加载项称为浏览器劫持软件，这些加载项将自己牢牢地嵌入在计算机中，难以清除。11.2.3防范间谍软件攻击1、使用间谍软件扫描器大部分间谍软件扫描器都是免费的，它们的工作方式与防病毒软件类似，并可以提供主动式保护和检测。此外，它们还会检测InternetCookie，并告诉用户这些Cookie所指向的网站

WindowsDefender和大部分间谍软件扫描工具的区别在于：对于包含有间谍软件的危险文件，WindowsDefender可以对它们进行修复，而不是简单的删除和隔离，充分体现了WindowsDefender较为人性化的一面

以MicrosoftWindowsDefender为例介绍间谍软件扫描器的基本使用方法

（1）打开WindowsDefender主界面，如图11-10所示。一个显示器模样的图标显示着软件当前的状态，如果是打勾则说明WindowsDefender正在保护着用户的操作系统，下面显示着实时保护的状态以及病毒和间谍软件定义的版本。在窗口的右边有快速、完全、自定义三个扫描选项。11.2.3防范间谍软件攻击图11-10WindowsDefender主界面11.2.3防范间谍软件攻击以MicrosoftWindowsDefender为例介绍间谍软件扫描器的基本使用方法

（2）WindowsDefender的更新是和WindowsUpdate在一起的，每当有了新的病毒和间谍软件库时，系统就会自动为软件更新，如图11-11所示

图11-11WindowsDefender更新界面11.2.3防范间谍软件攻击以MicrosoftWindowsDefender为例介绍间谍软件扫描器的基本使用方法

（3）在历史记录页面中，可以清楚地看到有哪些文件被感染，并且被执行了哪些操作，WindowsDefender还很人性化地根据警报级别对这些感染文件进行了分级，如图11-12所示。图11-12WindowsDefender历史记录11.2.3防范间谍软件攻击以MicrosoftWindowsDefender为例介绍间谍软件扫描器的基本使用方法

（4）在设置页面中，WindowsDefender具有实时保护、排除信任的文件和位置、排除信任的进程等选项，可以帮助用户进行一些个性化的安全设置，如图11-13所示。

图11-13WindowsDefender设置界面11.2.3防范间谍软件攻击以MicrosoftWindowsDefender为例介绍间谍软件扫描器的基本使用方法

（5）设置菜单的高级选项中提供了扫描可移动驱动器、创建系统还原点等高级选项，如图11-14所示。图11-14WindowsDefender高级设置

11.2.3防范间谍软件攻击以MicrosoftWindowsDefender为例介绍间谍软件扫描器的基本使用方法

（6）当WindowsDefender检测到系统存在间谍软件时，会在桌面的右上角弹出“已检测到恶意文件”的提示框，同时伴有提示音。并且在右下角以气泡的形式提示你检测到可能有害的软件，当单击气泡时，WindowsDefender还会对检测到的有害软件进行复查，并执行相应的操作，如图11-15所示。图11-15间谍软件检测结果11.2.3防范间谍软件攻击以MicrosoftWindowsDefender为例介绍间谍软件扫描器的基本使用方法

对于检测到的可能含有间谍软件的文件，可以在选择操作的下拉菜单中选择隔离、删除等选项，如图11-16所示

图11-16间谍软件处理方式11.2.3防范间谍软件攻击以MicrosoftWindowsDefender为例介绍间谍软件扫描器的基本使用方法

（7）当所执行的操作成功后，窗口的颜色会变为绿色，如图11-17所示。

图11-17WindowsDefender警报11.2.3防范间谍软件攻击2、使用弹出式窗口阻止程序包括InternetExplorer和MozillaFirefox在内的很多浏览器都能够阻止网站上弹出的窗口以微软的InternetExplorer为例，其设置方法如下：（1）点击“工具”->“弹出窗口阻止程序”->“启动弹出窗口阻止程序”，如图11-17所示。

图11-17启用InternetExplorer弹出窗口阻止程序11.2.3防范间谍软件攻击以微软的InternetExplorer为例，其设置方法如下：（2）点击“工具”->“弹出窗口阻止程序”->“弹出窗口阻止程序设置”，如图11-18所示。在阻止级别设置中包括高（阻止所有弹出窗口）、中（阻止大多数自动弹出窗口）、低（允许来自安全站点的弹出窗口）三类，此外，还可以在该页面上添加受信任的地址，对这些地址的弹出窗口不做拦截操作。图11-18InternetExplorer弹出窗口阻止程序设置11.2.3防范间谍软件攻击3、禁用ActiveX由于很多间谍软件利用了Windows系统中一种称为ActiveX的特殊代码，因此，禁用浏览器上的ActiveX是防止间谍软件的一个不错的方法但是，在禁用了ActiveX的同时也禁用了对此类代码的合法使用，可能会影响某些网站的正常功能以微软的InternetExplorer为例，点击“工具”->“Internet选项”->“安全”->“自定义级别”，如图11-19所示，将所有涉及ActiveX的选项设置为禁用或者提示。11.2.3防范间谍软件攻击图11-19禁用ActiveX11.2.3防范间谍软件攻击4、在安装新软件时多加注意一般而言，当一个站点询问用户是否要在计算机上安装某个新软件时，需要始终保持怀疑的态度。如果它不是熟悉的插件，比如Flash、QuickTime或最新的Java引擎，最安全的操作是拒绝安装新组件，除非用户有足够理由信任它们。另外，可以采用先拒绝安装再检查是否需要的策略，一个值得信任的站点始终会让用户有机会返回并下载其所需的组件。

11.2.3防范间谍软件攻击5、使用“×”关闭弹出式窗口熟悉和了解计算机系统消息的外观可以帮助用户发现“赝品”。在了解了系统警报的标准外观后，一般很容易就能判断出二者的差别。尽量不要使用“否”按钮，而是使用工具栏一角的“×”关闭窗口。11.3网络钓鱼攻击分析与防范

11.3.1网络钓鱼攻击的概念与原理11.3.2网络钓鱼攻击的方式11.3.3网络钓鱼攻击过程分析11.3.4防范网络钓鱼攻击11.3.1网络钓鱼攻击的概念与原理

网络钓鱼攻击是一种通过大量发送声称来自于银行或其它知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATMPIN码或信用卡详细信息）的攻击方式网络钓鱼攻击的典型特征是受害者遭受巨大的经济损失或被窃取全部个人信息网络钓鱼攻击技术和手段越来越高明和复杂，比如隐藏在图片中的恶意代码、键盘记录程序等，当然还有和合法网站外观完全一样的虚假网站，有些虚假网站甚至连浏览器下方的锁形安全标记都能显示出来11.3.1网络钓鱼攻击的概念与原理

网络钓鱼攻击的工作流程一般包含五个阶段，如图11-20所示（1）钓鱼攻击者入侵服务器，窃取用户的名字和邮件地址。（2）钓鱼攻击者发送有针对性的邮件。（3）诱导受害用户访问假冒网址。（4）受害用户提供的私密用户信息被钓鱼攻击者取得。（5）钓鱼攻击者使用受害用户的身份访问正常的网络服务，获取利益。

图11-20网络钓鱼攻击的工作流程11.3.2网络钓鱼攻击的方式

1、发送电子邮件，以虚假信息引诱用户中圈套。诈骗分子以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融帐号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，从而盗窃用户资金2、建立假冒网上银行、网上证券网站，骗取用户帐号密码实施盗窃。钓鱼攻击者建立起域名和网页内容都与真正的网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入帐号、密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金还有的是利用跨站脚本，即利用合法网站服务器程序上的漏洞，在站点的某些网页中插入恶意HTML代码，屏蔽一些可以用来辨别网站真伪的重要信息，利用cookies窃取用户信息11.3.2网络钓鱼攻击的方式

3、利用木马和黑客技术等手段窃取用户信息后实施盗窃活动木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户的帐号和密码，并发送给指定邮箱，使用户资金受到严重的威胁4、利用用户弱口令等漏洞破解、猜测用户帐号和密码。不法分子利用部分用户贪图方便设置弱口令的漏洞，对银行卡密码进行破解。不少犯罪分子从网上搜寻某银行储蓄卡卡号，然后登陆该银行网上银行网站，尝试破解弱口令，并屡屡得手11.3.3网络钓鱼攻击过程分析

下面以针对中国工商银行网银的钓鱼攻击为例，介绍网络钓鱼攻击的一般过程。1、用户收到自称为中国工商银行网络客服发送的电子邮件，邮件中包含工行网站的访问地址，如图11-21所示。需要注意的是，该邮件是从一个普通的QQ邮箱地址发送来的。图11-21网络钓鱼攻击的假冒邮件11.3.3网络钓鱼攻击过程分析

下面以针对中国工商银行网银的钓鱼攻击为例，介绍网络钓鱼攻击的一般过程。2、用户通过邮件中提供的假冒网址访问工行网站，如图11-22所示。需要注意的是，该网站地址是，而不是。虽然该假冒的钓鱼网站与工行官网一模一样，但当用户点击钓鱼网中的相关页面（除“个人网上银行登陆”按钮外），网站都会自动跳转到(中国工商银行官方网站)的其它正常链接中去。

图11-22域名为的假冒工行钓鱼网站11.3.3网络钓鱼攻击过程分析

下面以针对中国工商银行网银的钓鱼攻击为例，介绍网络钓鱼攻击的一般过程3、用户点击钓鱼网站上的“个人网上银行登陆”按钮后，进入假冒网银登陆界面，如图11-23所示。真实的工行个人网银登陆地址为/icbc/perbank/index.jsp，而假冒个人网银登陆地址为/icbc/perbank/index.asp。图11-23假冒个人网银登陆界面11.3.3网络钓鱼攻击过程分析

下面以针对中国工商银行网银的钓鱼攻击为例，介绍网络钓鱼攻击的一般过程4、用户输入用户名和密码登陆后，该页面将用户名和密码发送至钓鱼攻击者，同时弹出用户名和密码输入错误的页面，如图11-24所示。图11-24弹出用户名密码不正确的页面11.3.3网络钓鱼攻击过程分析

下面以针对中国工商银行网银的钓鱼攻击为例，介绍网络钓鱼攻击的一般过程5、当用户点击“重新输入”后，页面将被重置到中国工商银行正常网银登陆界面，用户再次登陆后，一切正常。从上述例子可知，钓鱼攻击者使用了一个与工行官网非常相近的域名，给用户正在访问工行官网的错觉，同时页面显示内容与真实工行网站一模一样，使用户难以辨别。在用户第一次输入用户名密码后，页面即被重置为正常页面，后期操作一切正常，一般用户往往容易认为是自己不小心输错了密码，而根本无法发现自己的用户名和密码在此时已经被发送给了钓鱼攻击者

11.3.4防范网络钓鱼攻击

1、电子邮件欺诈防范收到具有如下特点的邮件就要提高警惕，不要轻易打开。（1）是伪造发件人信息，如ABC@。（2）问候语或开场白往往模仿被假冒单位的口吻和语气，如“亲爱的用户”等。（3）邮件内容多为传递紧迫的信息，如以帐户状态将影响到正常使用或宣称正在通过网站更新帐号资料信息等。（4）索取个人信息，要求用户提供密码、帐号等敏感信息。11.3.4防范网络钓鱼攻击

2、假冒的网上银行和网上证券网站防范用户在进行网上交易时要注意以下几点：（1）仔细核对网址，看是否与真正网址一致。（2）保管好密码，不要选诸如身份证号码、出生日期、电话号码等作为密码，建议用字母、数字混合密码，尽量避免在不同系统使用同一密码。（3）做好交易记录，对网上银行、网上证券等平台办理的转账和支付等业务做好记录，定期查看历史交易明细和打印业务对账单，如发现异常交易或差错，立即与有关单位联系。（4）管好数字证书，避免在公用的计算机上使用网上交易系统。（5）对异常情况提高警惕，如不小心在陌生的网址上输入了账户和密码，并遇到类似“系统维护”之类提示时，应立即拨打有关客服热线进行确认，万一资料被盗，应立即修改相关交易密码或进行银行卡、证券交易卡挂失。（6）通过正确的程序登录支付网关，通过正式公布的网站进入，不要通过搜索引擎找到的网址或其他不明网站的链接直接进入。11.3.4防范网络钓鱼攻击

3、虚假电子商务信息防范用户应掌握以下诈骗信息的特点，不要上当。（1）虚假购物、拍卖网站看上去都比较“正规”，有公司名称、地址、联系电话、联系人、电子邮箱等，有的还留有互联网信息服务备案编号和信用资质等。（2）交易方式单一，消费者只能通过银行汇款的方式购买，且收款人均为个人而非公司，订货方法一律采用先付款后发货的方式。（3）在进行网络交易前要对交易网站和交易对方的资质进行全面了解。11.3.4防范网络钓鱼攻击

4、采取相关网络安全防范措施（1）安装防火墙和防病毒软件，并经常升级。（2）注意经常更新系统补丁，填补软件漏洞。（3）禁止浏览器运行JavaScript和ActiveX代码。（4）不要访问一些不太了解的小网站，不要执行从网上下载后未经杀毒处理的软件，不要打开MSN或者QQ上传送过来的不明文件等。（5）提高自我保护意识，注意妥善保管自己的私人信息，不向他人透露本人证件号码、帐号和密码等，尽量避免在网吧等公共场所使用网上电子商务或网络交易服务。11.4垃圾邮件分析与防范

11.4.1垃圾邮件的概念与特点11.4.2垃圾邮件攻击的原理11.4.3垃圾邮件的攻击方式11.4.4反垃圾邮件常用技术11.4.1垃圾邮件的概念与特点

垃圾邮件是指未经请求而大量发送的电子邮件

垃圾邮件主要来源于匿名转发服务器、匿名代理服务器、一次性帐户、僵尸主机四个方面

垃圾邮件具有以下特点：（1）未经收件人同意或允许。（2）邮件发送数量大。（3）具有明显的商业目的或欺骗性目的。（4）非法的邮件地址收集。（5）隐藏发件人身份、地址、标题等信息；含有虚假的、误导性的或欺骗性的信息。（6）非法的传递途径。垃圾邮件因为占用大量的网络带宽和服务器系统资源而造成邮件服务器拥塞，进而使得整个网络的运行效率降低11.4.2垃圾邮件攻击的原理

在电子邮件发送过程中有三个重要的概念邮件用户代理(MailUserAgent，MUA)：即通常所说的邮件客户端软件，它帮助用户读写和管理邮件邮件传输代理（MailTransportAgent，MTA）：邮件传输过程中经过的一系列的中转服务器的统称，它们将邮件发送给其它的邮件服务器或最终的收件人服务器邮件投递代理(MailDeliverAgent，MDA)，即收件服务器，它负责接收并保存发给用户的邮件11.4.2垃圾邮件攻击的原理

电子邮件的发送过程如图11-25所示

图11-25电子邮件传输过程11.4.2垃圾邮件攻击的原理

通常，一次完整的邮件发送过程包括以下3个阶段：

（1）发件人将邮件通过MUA提交给邮件发件服务器（发送MTA）。电子邮件发送时，一般并不是直接从发件人计算机上的MUA发到保存收件人邮箱的MDA。（2）发件服务器将邮件发送给收件人邮箱所在服务器（收件服务器）。发件服务器会通过SMTP协议将邮件提交给收件服务器。根据SMTP协议的规定，如果发件服务器无法直接连接收件服务器，可以通过其它服务器进行中转。发件服务器或中转服务器在发送邮件时，如果发送不成功时会尝试多次，直到发送成功或因为尝试次数过多放弃为止。这种转发方法对转发邮件来源没有任何限制，任何服务器都可以通过它来转发邮件。由于在邮件头中只记录了域名信息，而没有IP地址信息，因此经过转发之后无法得知邮件初始发出的IP地址。很多垃圾邮件制造者就利用这一点结合伪造域名信息来隐藏自己的实际发送地址。

（3）收件人MUA从MDA上收取自己的邮件。邮件被MDA保存到用户邮箱之后，用户就可以收取这些邮件了。与邮件发送的第一步一样，根据用户使用的MUA的不同，不同的用户可能会使用不同的协议来收取邮件。常见的邮件收取协议有POP3、HTTP和IMAP等。11.4.2垃圾邮件攻击的原理

电子邮件投递遵循的是SMTP协议，