网络安全技术基础课件

网络安全技术基础（非加密）网络安全技术基础目录基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题目录基础知识和基本技术日益成熟的黑色产业链日益成熟的黑色产业链系统漏洞是怎么产生的voidmain(){

inta,b,c;

printf("inputa,b,c\n");

scanf("%d%d%d",&a,&b,&c);

printf("a=%d,b=%d,c=%d",a,b,c);

}“scanf”函数没有进行输入长度校验，从而产生溢出漏洞。系统漏洞是怎么产生的voidmain()“scanf”函数大多数漏洞都产生于参数传递JPG格式中的漏洞：GDIPlus.DLL漏洞MS04-028NickDeBaggis漏洞产生原因：

JPEG格式中的注释段（COM）由0xFFFE开始(标记)+2字节注释段字节数(参数)+注释（数据）构成。因为字节数这个参数值包含了本身所占的2字节，所以GDIPLUS.dll在解析jpg格式文件中的注释段时会把这个值减去2，如果这个值设置成0，1就会产生整数溢出。结论：发现漏洞的最有效方法在于构造错误的参数传递！大多数漏洞都产生于参数传递JPG格式中的漏洞：结论：发现漏洞一次攻击实例1.目标服务器没有漏洞，很安全。2.目标服务器开了3389远程管理，非加密可以利用3.内网几台计算机有漏洞，直接拿下。顺便开个监听，看能不能抓到管理员登录服务器的信息。4.管理员总不登录？DoS一下，强迫管理员登录。5.管理员发现服务器不正常，登录去看看，被直接抓到口令。攻击机网管机内网目标服务器一次攻击实例1.目标服务器没有漏洞，很安全。2.目标服务器开广义的漏洞定义漏洞就是通过加工后能够产生危害的系统功能广义的漏洞定义漏洞就是通过加工后能够产生危害的系统功能基础知识——TCP的3次握手Syn报文Syn_ack报文Ack报文地瓜地瓜，我是土豆，听到请回答！over！土豆土豆，我是地瓜，你话音很清楚，能听清楚我说话吗？Over！地瓜地瓜，你话音也很清楚清楚，说正事吧。over！半开连接：未完成三次握手的TCP连接基础知识——TCP的3次握手Syn报文Syn_ack报文Ac网络安全的基本技术应用层表示层会话层传输层网络层链路层物理层基于状态转发技术IPSec抗DoS/DDoS链路加密电磁防泄漏特征匹配技术网络安全的基本技术应用层表示层会话层传输层网络层链路层物理层基本技术——基于状态表转发如收到的数据包为新建TCP连接的数据包，则根据预定义规则决定是否转发。如确定需要转发则在状态表中增加相关表项，并开始跟踪TCP握手信息。如收到的数据包为非新建连接，则检查状态表表项。如有相关表项则根据表项进行转发，否则丢弃该数据包。如该数据包为TCP

FIN包，则转发后删除相关表项。状态表中的表项都有预定义的老化时间。如超过老化时间仍没有新的数据包通过，则删除该条记录。无老化时间的记录称为长连接，用于某些特殊应用新建连接非新建连接状态表老化？基本技术——基于状态表转发新建连接非新建连接状态表老化？基本技术——特征匹配技术特征库***************************************8/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*******************************************************************************特征库以太网帧头IP头TCP头应用层数据对比基本技术——特征匹配技术特征库***************网络安全设备部署模式旁路部署在线部署交换机上设置镜像端口，安全设备旁路进行抓包和特征匹配。某些网关类安全设备（如VPN）的单臂部署模式在拓扑形式上与此类似，但是数据包需要进行转发的。网关类安全设备大多采用此种将设备串入链路中的在线部署方式。透明模式向网线一样工作桥模式相当于交换机路由模式相当于路由器混合模式既有路由模式也有桥模式网络安全设备部署模式旁路部署在线部署交换机上设置镜像端口，安目录基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题目录基础知识和基本技术防火墙的分类主要分为以下3种类型防火墙：包过滤防火墙：根据一组规则允许/阻塞一些数据包。应用代理型防火墙：作为应用层代理服务器，提供安全防护。状态检测型防火墙：比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。状态检测技术现代防火墙基本为3种类型防火墙的综合体，即采用状态检测型包过滤技术，同时提供透明应用代理功能。防火墙的分类主要分为以下3种类型防火墙：状态检测技术现代防火包过滤防火墙基本概念：数据包过滤是指在网络中的适当位置对数据包实施有选择的通过。选择的依据就是系统内设置的过滤规则或称访问控制表。包过滤操作过程：包过滤规则必须被存储在包过滤设备的端口；当数据包在端口到达时，包头被提取，同时包过滤设备检查IP、TCP、UDP等包头中的信息；包过滤规则以特定的次序被存储，每一规则按照被存储的次序作用于包；如果一条规则允许传输，包就被通过；如果一条规则阻止传输，包就被弃掉或进入下一条规则。包过滤防火墙基本概念：数据包过滤是指在网络中的适当位置对数据检查项IP

包的源地址IP包的目的地址TCP/UDP源端口IP包检测包头检查路由安全策略：过滤规则路由表包过滤防火墙转发符合不符合丢弃包过滤防火墙—图示检IP包的源地址IP包的目的地址TCP/UDP源端口I包过滤防火墙—技术评价优点：速度快，吞吐率高（过滤规则较少时）对应用程序透明（无帐号口令等)缺点：安全性低不能过滤传输层以上的信息不能监控链路状态信息包过滤防火墙—技术评价优点：ClientServer代理服务器代理客户机请求应答被转发的请求被转发的应答应用代理防火墙双向通信必须经过应用代理，禁止IP直接转发；只允许本地安全策略允许的通信信息通过；代理服务器评价来自代理客户的请求并决定请求是否被认可。如果请求被认可，代理服务器便代表客户接触真正的服务器并且转发从代理客户到真正的服务器的请求以及真正的服务器到代理客户的响应。安全策略访问控制应用代理防火墙—图示ClientServer代理服务器代理客户机请求应答被转发的优点：可以将被保护网络内部的结构屏蔽起来可以实施较强的数据流监控、记录。可提供应用层的安全（身份验证等）缺点：灵活性通用性较差，只支持有限的应用。不透明（用户每次连接可能要受到“盘问”）代理服务的工作量较大，需要专门的硬件（工作站）来承担应用代理防火墙—技术评价优点：应用代理防火墙—技术评价基于状态的包过滤防火墙IP包检测包头下一步处理安全策略：过滤规则会话连接状态缓存表状态检测包过滤防火墙符合不符合丢弃符合检查项IP

包的源、目的地址、端口TCP会话的连接状态上下文信息基于状态的包过滤防火墙IP包检测包头下一步安全策略：过滤规控制网络通信的三种方法不完整路由控制不完整NAT控制包过滤控制控制网络通信的三种方法不完整路由控制防火墙技术——地址翻译技术110:1039->:8010:1039<->10:1105020:1100<->10:1105110:11050->:80★源地址转换计算机10和192.168.220都希望通过防火墙访问服务器上的网页(80端口)。计算机A10随机生成端口1039，以1039端口为源端口去访问的80端口。计算机B20随机生成端口1100，以1100端口为源端口去访问的80端口。防火墙根据源地址转换规则将数据包中的源地址“10”和“20”转换“10”防火墙生成端口11050作为“10”转换后的源端口，同时生成端口11051作为“20”转换后的端口。此时防火墙通过不同的源端口区分不同的连接。防火墙记录源地址翻译的信息，服务器返回的数据包会以“10”为源地址，并分别以11050和11051为目的端口，防火墙根据目的端口自动将数据包目的地址以及目的端口转换为“10:1039”和“20:1100”20:1100->:8010:11051->:80防火墙技术——地址翻译技术110:10防火墙技术——地址翻译技术2:1039->1:801:80<->:80:1039->:80★目的地址转换由于某种原因，我们试图将服务器的IP地址伪装成为1，则可以通过在防火墙上配置目的地址转换实现。计算机试图访问我们的服务器上的网页，它认为我们服务器的IP地址是1，于是以自己的1039为源端口尝试向1的80端口建立连接。防火墙收到数据包后，根据目的地址转换规则，将数据包的目的地址转换为，目的端口不变。我们服务器响应的数据包在经过防火墙以后，数据包中的源地址会自动转换为1。防火墙技术——地址翻译技术2:1039NAT的应用共享上网。隐藏内部网络结构。中断路由，保护内网。双向地址翻译解决地址冲突问题。工行中间业务系统广泛使用此技术与其他单位进行对接。NAT的应用共享上网。iptables与NetFilter架构Linux的防火墙最开始的ipfwadm是AlanCox在Linuxkernel发展的初期，从FreeBSD的内核代码中移植过来的。后来经历了ipchains，再经由PaulRussell在Linuxkernel2.3系列的开发过程中发展了netfilter这个架构。而用户空间的防火墙管理工具，也相应的发展为iptables。iptables与NetFilter架构Linux的防火墙一个星期开发出防火墙买一台专门的防火墙硬件，很多服务器厂或者工控机厂都提供，不带CPU和内存大约不到3000块一台。剪裁一个Linux版本出来。如果不懂相关技术可不剪裁，但是要记得把驱动装全。在Linux上把iptables启动起来。开发一个web界面，用来写iptables和Linux路由等的配置脚本。（最有技术含量的就是这部分了，事实上有专门的图形化的配置器，但是容易被人家看出来不是？）如果想正式卖，去公安部、保密局、解放军、信息安全评测中心等地方去拿证书。（这是最花钱的地方，如果只是偷着卖，可跳过此步。）写一套主打胶片和白皮书。记得里面要有：“具有自主知识产权”、“创造性的提出了××安全架构”、“安全的操作系统”等字样。一个星期开发出防火墙买一台专门的防火墙硬件，很多服务器厂或者ASPFV3版本状态检测的实现检测每一个应用层的会话，并创建一个状态表和一个临时访问控制表。一个会话可以认为是一个TCP连接。状态表项维护了一次会话中某一时刻会话所处的状态，用于匹配后续的发送报文，并检测会话状态的转换是否正确。状态表在监测到第一个外发报文时创建（对于TCP，检测到SYN报文）。临时访问控制表在创建状态表项的同时创建，会话结束后删除，相当于一个扩展ACL的permit项。它用于匹配一个会话中的所有应答报文。对于处于半开连接状态的会话(TCPSYN)，还创建半开连接表项。对于UDP应用，检测到第一个报文认为发起连接，检测到第一个返回报文认为连接建立，session/TACL的删除取决于空闲超时。ASPFV3版本状态检测的实现检测每一个应用层的会话，并创V5

ASPF/包过滤介绍原有的传输层与应用层协议状态机维护功能被拆分至会话管理与ALG模块中，ASPF不再单独维护。原有ASPF通过正向会话表项+临时访问控制列表（TACL）实现报文动态检测的处理机制被替换，由会话管理模块维护的Session+双向HASH表的方式实现，ASPF不再单独维护会话表以及由会话派生出的TACL链表，SYN/FIN链表以及分片报文链表等。ASPF基于协议的会话定时老化机制交由会话管理处理。会话表项的管理不再基于接口而是系统全局管理，并被多个业务模块（NAT、ALG）共同使用。高端防火墙产品采用域策略管理方式，而路由器沿用接口安全策略配置的方式。在高端防火墙产品中，ASPF与包过滤策略作为域间安全策略，配置在域间策略中。在路由器产品中，ASPF与包过滤策略基于接口应用下发策略。综上所述，ASPF是依托于会话管理模块提供的服务，独立于其它业务模块，实现根据会话管理维护的会话状态切换决定报文的后续处理V5ASPF/包过滤介绍原有的传输层与应用层协议状态机维护目录基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题目录基础知识和基本技术常见信息安全威胁拒绝服务攻击特洛伊木马Web应用攻击流氓软件网络钓鱼垃圾邮件社会工程常见信息安全威胁拒绝服务攻击特洛伊木马Web应用攻击流氓软件Web攻击综述正常网站攻击者获得网站权限，或者在网站上注入恶意代码攻击者利用网站的漏洞网站漏洞基础软件漏洞应用系统漏洞操作系统漏洞Web服务器漏洞ASP/PHP/CGI漏洞数据库漏洞注入攻击跨站脚本攻击网站被控制网页被篡改网页被挂马帐号失窃成为傀儡机拒绝服务Web攻击综述正常网站攻击者获得网站权限，或者在网站上注入恶SQL注入攻击

利用Web应用程序（网页程序）对用户的网页输入数据缺少必要的合法性判断的程序设计漏洞，攻击者将恶意的SQL命令注入到后台数据库的攻击方式。SQL注入对Web网站的攻击后果

非法获得网站权限、网页篡改、网页挂马、窃取网站数据等。举例在网站管理登录页面要求帐号密码认证时，如果攻击者在“UserID”输入框内输入“admin”，在密码框里输入“anything’or1=’1’”，提交页面后，查询的SQL语句就变成了：

Selectfromuserwhereusername=‘admin’andpassword=’anything’or1=’1’不难看出，由于“1=‘1’”是一个始终成立的条件，判断返回为“真”，密码的限制形同虚设，不管用户的密码是不是Anything，他都可以以admin的身份远程登录，获得后台管理权，在网站上发布任何信息。典型注入：SQL注入攻击SQL注入攻击

利用Web应用程序（网页程序）对用户的网页输跨站脚本攻击：指攻击者利用网站程序对用户的输入没有进行充分的有效性检验和敏感词过滤的漏洞，输入精心构造的HTML或Javascript脚本，当其他合法的用户浏览到该页面时，将执行恶意攻击者留下的代码，遭受攻击者的进一步攻击；不同于SQL注入以Web服务器为目标的攻击方式，跨站脚本攻击更多则是将目标指向了Web业务系统所提供服务的客户端。跨站脚本攻击对Web网站的攻击后果：网页挂马、拒绝服务举个例子说明原理：

如攻击者可在目标服务器的留言本中加入如下代码：

<script>function()</script>

则存在跨站脚本漏洞的网站就会执行攻击者的function()。攻击者在网页上输入精心构造的HTML或JavaScipt代码网站数据库网站Web程序网站Web程序其他受害客户跨站脚本攻击跨站脚本攻击：指攻击者利用网站程序对用户的输入没有进行充分的利用Web网站的操作系统漏洞、Web服务器漏洞、数据库漏洞等基础软件的漏洞，获得Web网站权限。举例：通过Unicode漏洞读取服务器C盘的目录

09/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir+c:\利用基础软件漏洞的攻击利用Web网站的操作系统漏洞、Web服务器漏洞、数据库漏洞等应用层安全：IPS才是王道路由器交换机IPS内部网络路由器交换机IDS镜像IPS可做到：

在线部署，实时阻断攻击。在线部署，除阻断外还可实现隔离、重定向等主动防御动作。在线部署，可通过快路径避开IDS事件风暴。不依赖网络设备的镜像。内部网络应用层安全：IPS才是王道路由器交换机IPS内部网络路由器交攻击库协议库病毒库综合防御IPS：三库合一实现综合防御现在的很多安全威胁都是综合网络蠕虫、木马、病毒等技术的复合威胁，只有将攻击特征和病毒特征结合在一起进行检测，才能全面防御这类安全威胁。攻击者在利用漏洞的攻击之后，往往马上伴随着木马、病毒等恶意代码样本的下载，只有将攻击特征和病毒特征结合在一起，才能做到层层防御，确保安全。因为攻击是有特定的协议上下文的，将应用层协议特征分析与攻击特征、病毒特征分析结合起来，可确保检测精度。业界唯一的创新技术：高端IPS最大特点：三库合一攻击库协议库病毒库综合防御IPS：三库合一实现综合防御现在的数据流会话状态跟踪分片重组流量分析流恢复丢弃报文报文正规化协议识别分析并行处理支持近千种协议特征分析

并行处理包括攻击特征、病毒特征丢弃报文、隔离转发限流、整形阻断、重定向、隔离等FIRST：FullInspectionwithRigorousStateTest，基于精确状态的全面检测IPS检测引擎：FIRST数据流会话状态跟踪分流流丢弃报文报协议识别分析特征分析丢弃基于攻击工具、或漏洞利用的特征进行检测。基于协议交互的异常进行检测。基于流量统计的异常进行检测。基于病毒样本特征进行检测。攻击事件智能关联分析。网络行为自学习、流量基线自学习。反向认证。检测方法报文正规化。IP重组。TCP流恢复。TCP会话状态跟踪。协议解码。基于应用层协议的状态跟踪。可信报文处理。报文处理方式集成多种检测方法检测方法报文处理方式集成多种检测方法报文正规化

ARP报文

源MAC是否为全FARP报文长度（非28）IP报文IP报文头长度小于20字节IP报文长度合法性检查（携带的长度与实际不符）TCP检查报文头长度的检查（不带选项非20）TCP报文头完整性检查（<20）Flag的合法性检查(SYN=1&&FIN=1)||(SYN=1&&RST=1)||(SYN=0&&ACK=0&&RST=0)||(FIN=1&&ACK=0)||(PUSH=1&&ACK=0)||(URG=1&&ACK=0)时FLAG非法。TCPreserve字段的检查（必须都为0）UDP检查报文头完整性检查（<8）

ICMP检查报文头完整性检查（<8），type字段不同是，长度有变化。报文正规化ARP报文IP分片报文处理（1）

分片报文重组超时时间30秒系统最大缓存分片数：5000IP分片异常IP分片报文的分片的偏移+已经重组完成的IP分片报文的长度大于65535Offset异常DF位，但是offset字段不为0IPFragmentLengthError非最后一个分片包的分片数据部分长度不是8的整数倍

IPduplicateFragment如果IP分片与前面的分片相重叠，则丢弃这一组分片报文。IP分片报文处理（1）分片报文重组IP分片报文处理（2）

IPFragmentOverlap分片报文的偏移同前面的报文部分相重叠IPFragmentBadMFBitsIP报文设置了MF为1，并且DF也为1IPFragmentTotallengthmismatchIP分片报文Totallength字段大于实际的链路层传输的长度Pingofdeath检测重组后ICMP的报文长度是否大于65535IP分片报文处理（2）IPFragmentOverla最难搞定的威胁：Zeroday攻击Zeroday（零日？零时差？）攻击对尚未公开的漏洞进行攻击。

有专门的交易渠道，谁都搞不定，只能严防死守。漏洞已公布，但是尚未发布补丁。

这是我们搞得定的！最难搞定的威胁：Zeroday攻击Zeroday（零日？零时社会工程社会工程就是黑客们利用人与人之间的交往，取得被害人的信任，然后就是想干嘛干嘛了。社会工程是一种非技术手段的黑客行为，利用了网络安全体系中最没有办法控制、没有办法打补丁的一个因素——人。……。这方面的详细信息，建议大家看美国著名黑客KevinMitnick的著作《TheArtofDeception》，网上有下载，文笔很好，可以当小说看，还可以顺便练习一下E文。——摘自非著名ID“ZeroFlag”唯一一篇被广为转载文章《<firewall>——一次差点成功的暴力社会工程》社会工程社会工程就是黑客们利用人与人之间的交往，取得被害人的网络钓鱼行为举例网络钓鱼行为举例目录基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题目录基础知识和基本技术拒绝服务综述DoS(DenialofService，拒绝服务)，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。DDoS(DistributedDenialofService，分布式拒绝服务)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或者多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。拒绝服务综述DoS(DenialofService，拒绝按消耗的资源目标分：带宽耗尽型DDoS：以多欺少的泛洪（Flood）攻击，将目标机的出口带宽资源耗尽，造成拒绝服务；攻击流量里的单个报文没有任何特征可言，流量大，通常有庞大的僵尸网络做支撑，如UDPFlood、ICMPFlood等。资源耗尽型DDoS：通过向目标机提交一定数量的需要目标机大量消耗资源的请求实现，请求流量并不需要非常大，即可消耗目标机的计算资源，造成拒绝服务，如SYNFlood、CC攻击等。按网络层次分：网络层DDoS：通过发送网络层的泛洪报文实现，如UDPFlood、ICMPFlood、SYNFlood、RSTFlood、ConnectionFlood等。应用层DDoS：通过发送应用层的泛洪报文实现，如HTTPGetFlood、DNSQueryFlood、CC攻击等。拒绝服务攻击分类按消耗的资源目标分：拒绝服务攻击分类SynFlood攻击与防范SynSyn＋ACKACK正常TCP三次握手完成连接通过半连接耗尽正常服务资源Syn?Syn?Syn?Syn＋ACKSyn＋ACKSyn＋ACK发送带有伪造源IP地址的SYN包，造成大量半连接耗尽服务器资源。特点：生命周期长，无法通过打补丁，升级软件等方式解决防范：通过TCPProxy、TCPCookieSynFlood攻击与防范SynSyn＋ACKACK正常TConnectionFlood攻击正常tcpconnect攻击者受害者大量的tcpconnect这么多需要处理？不能建立正常的连接正常tcpconnect正常tcpconnect正常tcpconnect正常tcpconnect正常用户正常tcpconnect利用真实IP地址（代理服务器、广告页面）在服务器上建立大量连接。服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应。蠕虫传播过程中会出现大量源IP地址相同的包，对于TCP蠕虫则表现为大范围扫描行为。消耗骨干设备的资源，如防火墙的连接数。ConnectionFlood攻击正常tcpconne发送大量的ACK包冲击设备。服务器回应ACK/RST包，消耗资源。某些应用如JSPServer对ACKFlood比较敏感。一般来讲ACKFlood流量要较大才会对服务器造成影响。ACKFlood攻击UDP协议无状态，应用五花八门。利用小报文冲击应用服务器：Radius服务器、DNS服务器、流媒体服务器。针对不同应用协议攻击需要制定不同的应对策略。尚未有类似的产品能够防护UDP/UDPDNSQueryFlood。UDPFlood攻击危害性和DNS服务器的脆弱性字符串匹配查找是DNS服务器的主要负载。微软的统计数据，一台DNS服务器所能承受的递归动态域名查询的上限是每秒钟9000个请求。一台P3的主机可以很轻易地发出每秒上万个请求。

攻击的手段只针对53端口发NULL数据包，危害性不大。请求解析固定的域名，由于有cache存在，需要较大数量。随机生成域名使得服务器必须使用递归查询向上层服务器发出解析请求，引起连锁反应。蠕虫扩散带来的大量域名解析请求。UDPDNSQueryFlood攻击其他常见拒绝服务攻击发送大量的ACK包冲击设备。ACKFlood攻击UDTFN(TribeFloodNetwork)德国著名黑客Mixter编写的分布式拒绝服务攻击工具

TFN由主控端程序和代理端组成攻击者到主控端——TCP绑定主控端到代理端——ICMP_ECHOREPLY代理端对目标机——SYNFlood、ICMPFlood、UDPFlood、Smurf攻击免费的DDoS攻击工具，还包括Trinoo、TFN2k、Stacheldraht等，使得DDoS攻击技术门槛降低更加普及，对网络造成严重威胁MixterID字段包含命令DDoS典型攻击工具TFN(TribeFloodNetwork)Mixte允许有效请求通过服务器攻击者代理主控端主控端代理代理代理代理代理通过SynCookie机制防范SynFlood攻击。通过限制单个源地址的每秒连接数来防范CPSFlood、ConnectionFlood攻击。通过流量阈值模型、反向认证等方式来防范UDPFlood、ICMPFlood、HTTPGetFlood、DNSFlood等DDoS攻击。内置的攻击特征规则可检测常见DDoS攻击工具TFN、TFN2k、Stacheldraht、Trinoo的控制报文，可切断DDoS攻击工具的控制通道。一般DDoS攻击防范技术允许有效服务器攻击者代理主控端主控端代理代理代理代理代理通过CC攻击与防御攻击方法：利用代理服务器发起大量的HTTPGet请求。主要是请求动态页面，造成数据库服务器负载极高，无法正常响应。防御方法：进行域名重定向。通过代理发送的HTTP_X_FORWARDED_FOR变量来判断使用代理攻击机器的真实IP，但不是所有的代理服务器都发送。在服务器上，从Cookie与IP的绑定和用户Session。CC攻击与防御攻击方法：流量清洗组成及工作模型异常流量检测平台异常流量清洗平台客户2

业务管理平台流量镜像正常流量不受影响发现攻击通知业务管理平台通知清洗平台，开启攻击防御流量牵引流量回注牵引流量,对异常流量进行清洗攻击停止，通知业务管理平台客户3流量镜像客户1流量清洗中心流量清洗组成及工作模型异常流量检测平台异常流量清洗平台客户2BGPPeer/24NextHop/32NextHop城域网发布路由/32NextHopNo-AdvertiseBGP路由引流策略路由回注VLAN偷传回注MPLSVPN回注引流与回注BGPPeer/2目录基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题目录基础知识和基本技术病毒的定义1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》。在该条例的第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”病毒的分类系统病毒、蠕虫病毒、木马病毒、黑客病毒、脚本病毒、宏病毒、后门病毒、病毒种植程序病毒、破坏性程序病毒、玩笑病毒、捆绑机病毒、其他病毒病毒的传播方式网络蠕虫通过网络传播通过移动存储介质传播通过网络上载、下载、拷贝文件进行传播病毒综述病毒的定义病毒综述网络蠕虫定义蠕虫病毒一种通过网络传播的恶性病毒，它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和木马技术相结合等。网络蠕虫的两种主要传播方式利用远程系统漏洞进行网络传播，如阻击波、震荡波、SQL蠕虫；利用电子邮件、IM、局域网共享等进行网络传播，如爱虫、求职信蠕虫；有的蠕虫会综合以上两种方式进行网络传播，如Nimda、熊猫烧香等。蠕虫造成的危害蠕虫在主机上消耗主机资源，甚至破坏主机系统，造成主机拒绝服务；蠕虫传播造成的流量导致网络拥塞，甚至导致整个互联网瘫痪、失控；蠕虫与木马技术等相结合，窃取受害者敏感信息或者控制受害者主机。蠕虫病毒网络蠕虫定义蠕虫造成的危害蠕虫病毒弹头传播引擎目标选择算法扫描引擎有效负荷目标选择算法EMAIL地址、主机列表、DNS等等扫描引擎对选定的目标进行漏洞试探弹头缓冲区溢出、共享文件、电子邮件传播引擎FTP、TFTP、HTTP有效负荷后门、拒绝服务攻击、其他操作网络蠕虫：蠕虫的组成弹头传播引擎目标选择算法扫描引擎有效负荷目标选择算法网络蠕虫病毒的多态技术也就是由于这种多态（变形）病毒的出现，使利用简单特征码进行病毒检测的技术走到了尽头。下面是一段最简单的多态病毒代码，这段代码的作用是将预先加密的病毒代码解密，然后跳转到执行感染和破坏功能的病毒代码中。病毒的多态技术也就是由于这种多态（变形）病毒的出现，使利用简浏览就可以传染——可怕的脚本病毒脚本病毒包括下面的几种基本类型：

·基于JAVAScript的脚本病毒

·基于VBScript的脚本病毒

·基于PHP的脚本病毒

·脚本语言和木马程序结合的病毒

随着因特网的广泛使用，电脑病毒也出现了新的发展趋势，脚本病毒在1999年以后已经成为最主要的病毒类型之一。浏览就可以传染——可怕的脚本病毒脚本病毒包括下面的几种基本类典型反病毒技术特征码技术。改进基于流的特征码技术；虚拟机技术。针对多态病毒技术，缺点为效率；启发式扫描技术，对一段程序的多个方面进行加权计算；其他：覆盖法技术、驻留式软件技术、自身加密的开放式反病毒数据库技术、智能和广谱技术典型反病毒技术特征码技术。改进基于流的特征码技术；蠕虫的传播过程：探测渗透扎根传播破坏隔离限制免疫治疗防御蠕虫过程为所有的系统及时打上漏洞补丁（中心补丁服务器)用IPS/IPS来检查蠕虫的活动用访问控制来限制蠕虫传播用PVLAN来保护关键服务器用网管工具来追踪被感染的主机通过CAR来限制蠕虫流量全网部署病毒扫描措施蠕虫的传播和防御蠕虫的传播过程：探测渗透扎根传播破坏隔离限制免疫治疗防御蠕虫木马的定义木马指通过一段特定的程序（木马程序）来控制另一台计算机，木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。木马造成的危害：敏感信息泄露，如帐号、密码等记录键盘操作过程等，并发送给攻击者受害者成为傀儡机木马综述木马的定义木马综述传统的计算机病毒在网络时代已经不是主流威胁互联网进入木马病毒经济时代木马病毒反扑，明目张胆对抗安全软件，商业化运作迹象明显2007年新增病毒分布68.7117.336.123.514.33木马蠕虫脚本漏洞病毒恶意广告其他病毒木马：木马威胁日益严峻传统的计算机病毒在网络时代已经不是主流威胁2007年新增病毒木马的传播方式：试图通过一些有用的功能来引起用户的兴趣，从而诱使用户运行木马程序木马被绑定在一些实用工具上利用目标机漏洞获得权限后，在目标上安装木马中了木马下载器的主机源源不断地从攻击者网站下载变种新木马木马传播方式木马的传播方式：木马传播方式

某些免费软件带有间谍软件：如Kazaa、iMesh、eMule、WeatherBug等等下面的EULA（最终用户授权协议》来自一个著名的间谍软件：传播举例1某些免费软件带有间谍软件：传播举例1通过浏览器安装间谍软件滥用控件：如ActiveX利用浏览器程序漏洞：IECHM文件处理漏洞下面一个网站试图在您的计算机上安装恶意软件传播举例2通过浏览器安装间谍软件下面一个网站试图在您的计算机上安装恶意

保持安全意识，对可能出现的安全威胁保持警惕如不随便安装下载的免费软件正确设置IE安全域保持操作系统的升级打补丁安装防间谍软件：Anti-Spyware、基于网络的防御方式恶意软件防范保持安全意识，对可能出现的安全威胁保持警惕恶意软件防范目录基础知识和基本技术防火墙技术和应用应用层攻击和防范拒绝服务攻击和防范病毒与反病毒技术反垃圾邮件专题安全审计技术专题网闸技术专题目录基础知识和基本技术发件人、收件人的黑白名单源服务器的静态黑白名单邮件标题过滤源服务器反向DNS查询源服务器实时黑名单内容关键字过滤探针邮箱常用反垃圾邮件技术发件人、收件人的黑白名单常用反垃圾邮件技术最有技术含量的：贝斯叶算法收集两个数据库垃圾邮件数据库正常邮件数据库在每一个数据库中，学习并定义出一些关键词，计算这些关键词的概率。新邮件到来时，计算出新到来的邮件中包含的关键词的联合概率。通过联合概率判断新到来的邮件是否是垃圾邮件。最有技术含量的：贝斯叶算法收集两个数据库最靠谱的：RBL技术RBL：Real-TimeBlackList（实时黑名单）通过将确认后的垃圾邮件来源站点（无论是否是恶意与否）放入一个黑名单（BlackholeList），然后通过发布该名单来保护邮件服务器不受到黑名单中站点的侵扰确实是一个目前对抗日益严重的垃圾邮件的行之有效的方法。最靠谱的：RBL技术RBL：Real-TimeBlack目录基础知识和基本技术防火墙