• 7187阅读
  • 532回复

说点有用的不光是灌水吧~! [复制链接]

上一主题 下一主题
< IF战队 >

发帖
895
金钱
38
91币
73
信誉
0
资产
0 IST
在线时间
345 小时
注册时间
2008-12-19
最后登录
2024-06-19
只看该作者 20楼 发表于: 2008-12-28 18:26:00
今天的病毒中Packed.Klone.jy“克隆先生”变种jy和Trojan/PSW.Tibia.lu“Tibia游贼”变种lu值得关注。

  英文名称:Packed.Klone.jy
  中文名称:“克隆先生”变种jy
  病毒长度:385024字节
  病毒类型:木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  Packed.Klone.jy“克隆先生”变种jy是“克隆先生”木马家族中的最新成员之一,采用Delphi编写,并且经过加壳保护处理。“克隆先生”变种jy运行后,会自我复制到被感染计算机系统的“%SystemRoot%\”目录下,并重新命名为“saber.exe”。自我注册为系统服务,以此实现木马的开机自启动。“克隆先生”变种jy安装完毕后,会在“%SystemRoot%\system32\”下创建“Deleteme.bat”以将病毒原始程序删除,从而到达消除痕迹、隐藏自我的目的。“克隆先生”变种是一个功能强大的木马服务端。运行后,会创建“Winlogon”进程并自我注入其中隐蔽运行。在后台不断连接骇客指定站点,如果连接成功,就会接收骇客的恶意控制指令,使得被感染计算机成为任人控制的傀儡主机。骇客可通过“克隆先生”变种jy对被感染计算机进行任意操控,其中包括文件操作、进程控制、注册表操作、屏幕监控、键盘监听、摄像头抓图、鼠标控制等,严重的侵犯了用户的信息安全和个人隐私,甚至还可能对商业机密造成无法估量的损失。同时,骇客还可能利用“克隆先生”变种jy向被感染计算机传送大量的病毒、木马等恶意程序,从而使得用户面临更大程度的安全威胁。

  英文名称:Trojan/PSW.Tibia.lu
  中文名称:“Tibia游贼”变种lu
  病毒长度:375838字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003

  Trojan/PSW.Tibia.lu“Tibia游贼”变种lu是“Tibia游贼”木马家族中的最新成员之一,采用“Borland Delphi 6.0 - 7.0”编写。“Tibia游贼”变种lu运行后,会通过调用系统命令的方式自我复制到被感染计算机系统的“%USERPROFILE%\「开始」菜单\程序\启动\”目录下,重新命名为“lsass.exe”,以此实现木马的开机自动运行。“Tibia游贼”变种lu是一个专门盗取风靡欧洲的“Tibia”网络游戏会员账号的木马程序,会在被感染计算机系统的后台秘密监视运行着的所有应用程序的窗口标题,一旦发现“Tibia”的窗口存在,便会利用内存截取技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服等信息,并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上,致使网络游戏玩家的游戏账号、物品、金钱等丢失,给游戏玩家造成不同程度的损失。
< IF战队 >

发帖
895
金钱
38
91币
73
信誉
0
资产
0 IST
在线时间
345 小时
注册时间
2008-12-19
最后登录
2024-06-19
只看该作者 21楼 发表于: 2008-12-28 18:26:46
ADSL用户防御黑客(1)
由于ADSL用户在线时间长、速度快,因此成为黑客们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”。要怎么保卫自己的网络安全呢?不妨看看以下方法。

一、取消文件夹隐藏共享

如果你使用了Windows 2000/XP系统,右键单击C盘或者其他盘,选择"共享",你会惊奇地发现它已经被设置为“共享该文件夹”,而在“网上邻居”中却看不到这些内容,这是怎么回事呢?

原来,在默认状态下,Windows 2000/XP会开启所有分区的隐藏共享,从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”,就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“计算机名或者IPC$”,系统就会询问用户名和密码,遗憾的是,大多数个人用户系统Administrator的密码都为空,入侵者可以轻易看到C盘的内容,这就给网络安全带来了极大的隐患。

怎么来消除默认共享呢?方法很简单,打开注册表编辑器,进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetSevicesLanmanworkstationparameters”,新建一个名为“AutoShareWKs”的双字节值,并将其值设为“0”,然后重新启动电脑,这样共享就取消了。

二、拒绝恶意代码

恶意网页成了宽带的最大威胁之一。以前使用Modem,因为打开网页的速度慢,在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快,所以很容易就被恶意网页攻击。

一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序,只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。

运行IE浏览器,点击“工具/Internet选项/安全/自定义级别”,将安全级别定义为“安全级-高”,对“ActiveX控件和插件”中第2、3项设置为“禁用”,其它项设置为“提示”,之后点击“确定”。这样设置后,当你使用IE浏览网页时,就能有效避免恶意网页中恶意代码的攻击。

三、封死黑客的“后门”

俗话说“无风不起浪”,既然黑客能进入,那说明系统一定存在为他们打开的“后门”,只要堵死这个后门,让黑客无处下手,便无后顾之忧!

1.删掉不必要的协议

对于服务器和主机来说,一般只安装TCP/IP协议就够了。鼠标右击“网络邻居”,选择“属性”,再鼠标右击“本地连接”,选择“属性”,卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源,对于不需要提供文件和打印共享的主机,还可以将绑定在TCP/IP协议的NETBIOS关闭,避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”,进入“高级TCP/IP设置”对话框,选择“WINS”标签,勾选“禁用TCP/IP上的NETBIOS”一项,关闭NETBIOS。

2.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能,但在不需要它的时候,也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下,我们可以将它关闭。用鼠标右击“网络邻居”,选择“属性”,然后单击“文件和打印共享”按钮,将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

虽然“文件和打印共享”关闭了,但是还不能确保安全,还要修改注册表,禁止它人更改“文件和打印
< IF战队 >

发帖
895
金钱
38
91币
73
信誉
0
资产
0 IST
在线时间
345 小时
注册时间
2008-12-19
最后登录
2024-06-19
只看该作者 22楼 发表于: 2008-12-28 18:27:08
共享”。打开注册表编辑器,选择“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesNetWork”主键,在该主键下新建DWORD类型的键值,键值名为“NoFileSharingControl”,键值设为“1”表示禁止这项功能,从而达到禁止更改“文件和打印共享”的目的;键值为“0”表示允许这项功能。这样在“网络邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

3.把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具,那还是禁止的好。打开控制面板,双击“用户和密码”,单击“高级”选项卡,再单击“高级”按钮,弹出本地用户和组窗口。在Guest账号上面点击右键,选择属性,在“常规”页中选中“账户已停用”。另外,将Administrator账号改名可以防止黑客知道自己的管理员账号,这会在很大程度上保证计算机安全。


4.禁止建立空连接

在默认的情况下,任何用户都可以通过空连接连上服务器,枚举账号并猜测密码。因此,我们必须禁止建立空连接。方法有以下两种:

方法一是修改注册表:打开注册表“HKEY_LOCAL_MACHINESystemCurrentControlSetControlLSA”,将DWORD值“RestrictAnonymous”的键值改为“1”即可。

建议大家给自己的系统打上补丁。
  
ADSL用户防御黑客(2)


四、隐藏IP地址

黑客经常利用一些网络探测技术来查看我们的主机信息,主要目的就是得到网络中主机的IP地址。IP地址在网络安全上是一个很重要的概念,如果攻击者知道了你的IP地址,等于为他的攻击准备好了目标,他可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。隐藏IP地址的主要方法是使用代理服务器。

与直接连接到Internet相比,使用代理服务器能保护上网用户的IP地址,从而保障上网安全。代理服务器的原理是在客户机(用户上网的计算机)和远程服务器(如用户想访问远端WWW服务器)之间架设一个“中转站”,当客户机向远程服务器提出服务要求后,代理服务器首先截取用户的请求,然后代理服务器将服务请求转交远程服务器,从而实现客户机和远程服务器之间的联系。很显然,使用代理服务器后,其它用户只能探测到代理服务器的IP地址而不是用户的IP地址,这就实现了隐藏用户IP地址的目的,保障了用户上网安全。提供免费代理服务器的网站有很多,你也可以自己用代理猎手等工具来查找。

五、关闭不必要的端口

黑客在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(比如Netwatch),该监视程序则会有警告提示。如果遇到这种入侵,可用工具软件关闭用不到的端口,比如,用“Norton Internet Security”关闭用来提供网页服务的80和443端口,其他一些不常用的端口也可关闭。

六、更换管理员帐户

Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。黑客入侵的常用手段之一就是试图获得Administra
< IF战队 >

发帖
895
金钱
38
91币
73
信誉
0
资产
0 IST
在线时间
345 小时
注册时间
2008-12-19
最后登录
2024-06-19
只看该作者 23楼 发表于: 2008-12-28 18:27:30
tor帐户的密码,所以我们要重新配置Administrator帐号。

首先是为Administrator帐户设置一个强大复杂的密码,然后我们重命名Administrator帐户,再创建一个没有管理员权限的Administrator帐户欺骗入侵者。这样一来,入侵者就很难搞清哪个帐户真正拥有管理员权限,也就在一定程度上减少了危险性。

七、杜绝Guest帐户的入侵

Guest帐户即所谓的来宾帐户,它可以访问计算机,但受到限制。不幸的是,Guest也为黑客入侵打开了方便之门!网上有很多文章中都介绍过如何利用Guest用户得到管理员权限的方法,所以要杜绝基于Guest帐户的系统入侵。

禁用或彻底删除Guest帐户是最好的办法,但在某些必须使用到Guest帐户的情况下,就需要通过其它途径来做好防御工作了。首先要给Guest设一个强壮的密码,然后详细设置Guest帐户对物理路径的访问权限。举例来说,如果你要防止Guest用户可以访问tool文件夹,可以右击该文件夹,在弹出菜单中选择“安全”标签,从中可看到可以访问此文件夹的所有用户。删除管理员之外的所有用户即可。或者在权限中为相应的用户设定权限,比方说只能“列出文件夹目录”和“读取”等,这样就安全多了。

八、安装必要的安全软件

我们还应在电脑中安装并使用必要的防黑软件,杀毒软件和防火墙都是必备的。在上网时打开它们,这样即便有黑客进攻我们的安全也是有保证的。

九、防范木马程序

木马程序会窃取所植入电脑中的有用信息,因此我们也要防止被黑客植入木马程序,常用的办法有:

● 在下载文件时先放到自己新建的文件夹里,再用杀毒软件来检测,起到提前预防的作用。

● 在“开始”→“程序”→“启动”或“开始”→“程序”→“Startup”选项里看是否有不明的运行项目,如果有,删除即可。

● 将注册表里 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下的所有以“Run”为前缀的可疑程序全部删除即可。

十、不要回陌生人的邮件

有些黑客可能会冒充某些正规网站的名义,然后编个冠冕堂皇的理由寄一封信给你要求你输入上网的用户名称与密码,如果按下“确定”,你的帐号和密码就进了黑客的邮箱。所以不要随便回陌生人的邮件,即使他说得再动听再诱人也不上当。

做好IE的安全设置

ActiveX控件和 Applets有较强的功能,但也存在被人利用的隐患,网页中的恶意代码往往就是利用这些控件编写的小程序,只要打开网页就会被运行。所以要避免恶意网页的攻击只有禁止这些恶意代码的运行。IE对此提供了多种选择,具体设置步骤是:“工具”→“Internet选项”→“安全”→“自定义级别”,建议您将ActiveX控件与相关选项禁用。谨慎些总没有错!

另外,在IE的安全性设定中我们只能设定Internet、本地Intranet、受信任的站点、受限制的站点。不过,微软在这里隐藏了“我的电脑”的安全性设定,通过修改注册表把该选项打开,可以使我们在对待ActiveX控件和 Applets时有更多的选择,并对本地电脑安全产生更大的影响。

下面是具体的方法:打开“开始”菜单中的“运行”,在弹出的“运行”对话框中输入Regedit.exe,打开注册
< IF战队 >

发帖
895
金钱
38
91币
73
信誉
0
资产
0 IST
在线时间
345 小时
注册时间
2008-12-19
最后登录
2024-06-19
只看该作者 24楼 发表于: 2008-12-28 18:28:04
表编辑器,点击前面的“+”号顺次展开到:HKEY_CURRE-NT_USERSoftwareMicrosoftWindowsCurrentVersionInternetSettingsZones,在右边窗口中找到DWORD值“Flags”,默认键值为十六进制的21(十进制33),双击“Flags”,在弹出的对话框中将它的键值改为“1”即可,关闭注册表编辑器。无需重新启动电脑,重新打开IE,再次点击“工具→Internet选项→安全”标签,你就会看到多了一个“我的电脑”图标,在这里你可以设定它的安全等级。将它的安全等级设定高些,这样的防范更严密。
< IF战队 >

发帖
895
金钱
38
91币
73
信誉
0
资产
0 IST
在线时间
345 小时
注册时间
2008-12-19
最后登录
2024-06-19
只看该作者 25楼 发表于: 2008-12-28 18:28:41
1、引言:07年底,国家计算机病毒处理中心发布公告称,U盘已成为病毒和恶意木马程序传播的主要途径。随着U盘,移动硬盘,存储卡、MP3等移动存储设备的普及,U盘病毒也随之泛滥起来。由于高校校园网网络规模大,用户活跃、集中。U盘病毒传播得更加迅速,目前它已经逐渐成为我们高校网络管理人员最头痛的问题之一。现将U盘病毒及其应对策略总结成文,供大家参考使用。

2、U盘病毒及其特点:

2.1 U盘病毒的概念和攻击原理U盘病毒顾名思义就是通过U盘传播的病毒,又称Autorun病毒,是通过AutoRun.inf文件使对方所有的硬盘完全共享或中木马的病毒。Autorun.inf文件是从Windows95开始被使用的,它保存着一些简单的命令,告诉系统这个新插入的光盘或硬件应该自动运行什么程序,用来实现自动安装。因此Autorun.inf文件本身是正常、安全的,但是却也给病毒打开了一个可以攻击电脑的方便之门。U盘病毒就是利用"自动运行"这一漏洞来实现攻击的。其攻击原理是:病毒首先向U盘写入病毒程序,建立一个Autorun.inf文件,然后根据这个AutoRun.inf文件在注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]下建立一个u盘的关联项,使Au-toRun.inf文件指向病毒程序。这样电脑用户一旦双击打开U盘或系统检测插入的U盘并自动运行打开,实际上就是运行了病毒程序,用户的电脑在不知不觉间就中招了。感染U盘病毒的电脑或U盘一般有以下两个迹象(1)双击盘符不能打开,点鼠标右键时,右键菜单多了"自动播放"、"Open"、"Browser"等项目(2)电脑磁盘或U盘里多了些不明来历的隐藏文件。打开"文件夹选项"--"查看",选中"显示所有文件和文件夹"查看隐藏文件,如果发现磁盘或U盘里有Autorun.inf文件或伪装成回收站文件的RECYCLER文件夹等来历不明的文件或文件夹,是感染U盘病毒的迹象。

2.2 U盘病毒的特点常见的U盘病毒很多,比如早些时候的"落雪病毒"、"威金病毒"、"Rose.exe病毒",去年的"熊猫烧香病毒"和今年流行的"光标漏洞"病毒、"AV终结者"等。他们都有着这样一些共同的特点:(1)自动运行性:在磁盘根目录下生成一个名为Autorun.inf的引导文件,能够自动执行病毒文件。(2)隐蔽性高:U盘病毒本身是以"隐藏文件"的形式存在的,而且能伪装成其他正常系统文件夹和文件隐藏在文件目录中,不易被察觉。

(3)破坏性大:U盘病毒的破坏性包括:破坏系统稳定性、损坏电脑数据、窃取用户帐号密码信息、禁用杀毒软件等。U盘病毒对高校网管人员来说最大的威胁在于其波及范围广。根据调查显示,我校99%的电脑感染过U盘病毒。严重的影响了校园网的稳健运行。4)变种速度快:自从发现U盘的autorun.inf漏洞之后,U盘病毒的数量与日俱增,这些病毒有些是新病毒,而大部分都是依靠变种得来的。椐金山毒霸网站资料显示:自07年6月8日至6月12日,短短三天之时间内,被称为"安全杀手"的AV终结者病毒变种数达到500多个,波及人群超过10万人。3、U盘病毒的应对策略:目前网络上介绍关于防御U盘病毒的方法主要是关闭自动播放功能,和使用U盘病毒专杀工具查杀病毒。个人认为防范U盘病毒攻击还应该从增加系统免疫功能、及时修补系统漏洞、养成良好的U盘使用习惯这三方面入手。

3.1关闭自动播放在运行里面输入。"gpedit.msc",打开组策略,在用户配置--管理模板--系统中,可以看到"关闭自动播放"选项,默认是未配置,现在将它更改为已启用,关闭自动播放中选择所有驱动器,点确定关闭对话窗口。就已经启用了关闭自动播放了,重新启动以后,插入U盘将不会自动运行,从而达到防止U盘病毒传播的效用。

关闭自动播放当然网络上还有其他巧妙的办法,比如在磁盘里建立一个Autorun.inf空文件,阻止病毒创建autorun.inf文件;使用右键菜单打开U盘等。3.2增加系统免疫功能Windows系统本身是没有免疫功能的,但是现在很多安全工具比如360安全卫士、超
< IF战队 >

发帖
895
金钱
38
91币
73
信誉
0
资产
0 IST
在线时间
345 小时
注册时间
2008-12-19
最后登录
2024-06-19
只看该作者 26楼 发表于: 2008-12-28 18:29:08
级巡警等都有U盘免疫功能,在电脑上安装这样一个小工具,开启U盘免疫功能,能自动检测并清除autorun.inf文件,取消系统自动运行特性,修复系统磁盘关联。3.3及时升级杀毒软件病毒库,修补系统漏洞众所周知病毒通常都是利用系统漏洞、软件漏洞进行攻击和破坏,因此及时修补系统和软件漏洞能从根本上抵御外来攻击。而及时升级杀毒软件病毒库则更是网络安全的保障。前面提到的360安全卫士、QQ医生等工具能够方便的帮助用户修补系统漏洞。3.4养成良好的U盘使用习惯,防止交叉感染由于众多电脑用户通过U盘进行数据移动,却没有在U盘接入电脑前进行病毒扫描,病毒便瞄上了这一空档藏身其中,随着U盘的频繁使用而交叉感染其他电脑主机。因此只要我们养成在U盘使用前先使进行病毒扫描的习惯,U盘病毒便无机可趁,能减少绝大部分电脑中毒的可能性。

U盘病毒的专杀工具是查杀U盘病毒的最有效的辅助工具,目前比较流4.2 Gnutella洪泛算法Gnutella洪泛算法是典型的无结构对等网络的盲搜索算法之一,在P2P网络中,对等点通过泛洪算法向网络中其它对等点发布广播消息来实现端查找与发现功能。某个节点所发出的查找请求将不断的在网络中扩散,最终会到达网络上所有的节点。由于Internet是一种强连通的拓扑结构,泛洪算法会产生大量无用的查找信息,容易产生网络广播风暴。为了避免这种情况发生,人们往往限制广播范围,搜索消息被设置了一个初始的TTL(Time-To-Live)值,TTL用来控制消息在网络上存留的时间,一条消息将不会在网上被无限次的转发。每当消息到达一个节点准备再次转发前,该节点都会检查该消息的TTL,如果TTL为0,则抛弃该消息,反之,将TTL减1,再向其他节点转发。这样做将减小泛洪时的通信量,但是,TTL不易设置过小,否则可能导致查找失败。

4.3 Iterative-Deepening/Expanding-Ring算法迭代深入算法(Iterative Deepening)又被称为ExpandingRing算法[6],其本质上是一种广度优先的算法,采用的也是洪泛请求的机制。该算法仍然是通过在查询过程中对查询消息的生命期进行控制来实现初步的查询满足截止。该算法的前半部分与Gnutella算法完全一样,只是在后半部分加入了"睡眠激活"来进一步控制查询规模。迭代深入算法的具体实现为:查询时节点先发起一个较小的TTL,当查询消息到达最外层的节点时,消息的生命期正好为0,此时将所有的查询消息都暂时休眠,等待查询结果返回给查询请求点。请求点先判断收到的结果是否己满足要求,若已满足,就停止查询;若不满足,就沿着原来的路径洪泛,并将相应的休眠节点激活同时增加该节点查询的生命期,从而进行进一步的查询。当这一轮的查询又完成的时候,所有的外层节点再次休眠,等待查询请求点判断查询结果是否己经满足,如此循环,直到找到满意的结果结束。搜索原理如图1所示。

4.4 K-Random-Walker算法随机步算法(K-Random-Walker)算法,该算法是盲搜索算法中采用了漫游类策略的典范[6]。在这种算法中请求节点开始时可以决定发送查询信息的数量,并且在每一次查询时都可以控制,每轮的查询规模不会改变。在K-Random-Walker算法中,通过将查询请求只发送给一小部分邻居节点,随机步算法能够大大减少查询的对等点个数。另外,随机步算法选择的是以往表现优秀的节点,减少的是以往表现不优秀的节点,因此查询的结果数量、查询的响应时间等在很大程度上能够得到保障。随机步算法假设过去表现优秀的节点将来也会表现优秀,但是,这个假设不是永远都成立的。而且,如果资源恰恰存放在过去表现不好的节点上,采用随机步算法就会搜索不到资源,因为随机步算法只会搜索表现优秀的节点,而不是搜索每个节点。对于K-Random-Walker算法来说,其查询冗余规模为(k-1)*p/2,但是其查询速度相比于单个漫游消息提高了约k倍。这个算法通过控制查询的规模,较好的控制了查询的冗余量。K-Random-Walker算法搜索原理如图2所示。

5、结论通过对对等网络搜索算法的研究,发现其自身还存在着许多问题。对于有结构的对等网,算法实现相对简单,查找效率高;但是基于结构查找方式容易
< IF战队 >

发帖
895
金钱
38
91币
73
信誉
0
资产
0 IST
在线时间
345 小时
注册时间
2008-12-19
最后登录
2024-06-19
只看该作者 27楼 发表于: 2008-12-28 18:29:25
出现网络中的瓶颈,这种算法的网络扩展性差,目前大量实际应用还大都是基于无结构的拓扑和洪泛广播机制,大多采用DHT方式的对等网络缺乏Internet大规模真实部署的实例,成功应用还比较少见[7]。对于无结构的对等网,需要考虑查询截止问题。当用户需要在P2P网络中获取信息时,他们预先并不知道这些信息会在那个节点上存储。因此,在无结构P2P网络中,信息搜索的算法难免带有一定的盲目性。还要考虑冗余开销。由于算法没有提供有效的查询截止算法,不能及时地停止查询,带来了大量的查询冗余开销。目前已有了等级制的组成结构,或者还可以采用分组搜索的思想。

总之,搜索算法应有效地改进了资源搜索的盲目性,减少查询带来的网络流量,提高了查询成功率.网络应该控制用户共享的信息,提高用户获得有用信息的效率。
< IF战队 >

发帖
895
金钱
38
91币
73
信誉
0
资产
0 IST
在线时间
345 小时
注册时间
2008-12-19
最后登录
2024-06-19
只看该作者 28楼 发表于: 2008-12-28 18:29:49
一、引言教育信息化的建设关键是校园网的建设,但是由于网络安全问题的不断升级,校园网的网络安全也存在着极大的隐患,特别是近几年来普遍出现的分布式拒绝服务攻击(DDoS)对校园网的稳定运行产生了巨大的影响。这种攻击应用了TCP/IP协议的本身漏洞和不足,通过消耗受攻击者的大量系统资源或网络带宽,导致网络或系统不堪重负甚至于瘫痪,停止提供正常的网络服务,造成合法用户不能访问或使用该资源,从而造成拒绝服务攻击。这是一种危害极其严重的网络攻击,已经成为今天互联网安全的头号威胁。

[1]二、DDoS攻击的概念及其原理分布式拒绝服务攻击(DDoS),通常是以消耗服务器资源为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,使正常的用户请求得不到应答,以实现攻击目的。

(一)DDoS攻击的概念DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式,而DoS攻击一般是采用单一的一对一的方式。但是随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,因此被攻击目标对于恶意攻击包的"消化能力"也加强了不少,这就使得DoS攻击的困难程度加大了。例如DoS攻击软件每秒钟可以发送3000个攻击包,但被攻击主机与网络带宽每秒钟可以处理10000个数据包,这样一来攻击就不会产生什么效果。但对于分布式拒绝服务攻击来讲,一般用户不可能有足够的资源来对抗攻击,并且大部分用于DDoS攻击的僵尸网络在攻击者的控制下还可以进行进一步的传播,从而使得僵尸网络的规模越来越庞大。一旦攻击者拥有一定规模的僵尸网络,就可以利用僵尸网络所控制的资源,在互联网上建立起一种强势地位,因此发动DDoS攻击非常容易,而且用户几乎不能应付。

(二)DDoS攻击运行原理DDoS攻击的原型是采用分布式攻击的方式(客户端/服务器模式),但是随着技术的发展,目前的DDoS攻击已经日趋复杂和隐蔽。DDoS攻击的原理是入侵者先控制一些节点,并且将它们设计成控制点,而这些控制点又相应地控制了大量的主机,将它们设计成攻击点,攻击点中装载了攻击程序,再由这些攻击点计算机来对攻击目标发动攻击。这种结构使得入侵者能够在远离攻击目标的前提下发动攻击,且很好地隐藏了入侵者的具体位置。DDoS攻击的前奏是率先攻破一些安全性能较差的电脑作为控制点主机,因为这些电脑在标准网络服务程序中存在众所周知的缺陷,它们还没有来得及打补丁或者进行系统升级;还有可能是操作系统本身就存在BUG。对于这样的系统,入侵者很容易闯入,并将其作为发动攻击的"自动炮台"。典型的DDoS攻击包括带宽攻击和应用攻击。在带宽攻击中,网络资源或网络设备被高流量数据包所消耗。在应用攻击时,TCP或HTTP资源无法被用来处理交易或请求。发动攻击时,入侵者只需运行一个简单的命令,一层一层发送命令道所有控制的攻击点上,让这些攻击点一齐"开炮"--向目标传送大量无用的数据包,就在这样的"炮火"下,攻击目标的网络带宽被占满,路由器处理能力被耗尽。较之一般的黑客攻击手段来说,DDoS攻击的可怕之处在于:一是DDoS利用Internet的开放性从任意源地址向任意目标地址发送攻击数据包;二是人们很难将非法的数据包与合法的数据包区分开来。三、校园网常见的DDoS攻击方式从以上所述的DDoS攻击原理出发,并结合多年校园网管理的实践经验,我认为在校园网中最常见的DDoS攻击方式主要有以下几种:(一)消耗CPU和内存资源的拒绝服务攻击主机的CPU资源和内存资源有限,由操作系统统一调度各个进程共享使用这些资源。攻击者利用系统的漏洞,恶意占用大量的CPU资源和内存资源,导致受害主机系统服务性能的下降甚至造成系统瘫痪。典型的攻击方法是蠕虫程序,如"红色代码"和Nimda病毒。

(二)消耗网络带宽的拒绝服务攻击攻击者有意制造大量数据包占用校园网内有限的网络带宽,使网内的合法用户无法正常使用网络资源,从而达到攻击目的。常见的消耗带宽的拒绝服务攻击有如下几种:

1.同步风暴(SYN flooding)。正常TCP连接的三次握手协议建立时,客户机向服务器发送一个TCP SYN包,收到这个包之后服务器返回一个SYN/ACK包,并等待客户机发送ACK以完成三次
< IF战队 >

发帖
895
金钱
38
91币
73
信誉
0
资产
0 IST
在线时间
345 小时
注册时间
2008-12-19
最后登录
2024-06-19
只看该作者 29楼 发表于: 2008-12-28 18:30:09
握手,如果客户机的ACK包在规定时间内未到达,服务器会重试并等待一段时间(SYN Timeout,约30秒-2分钟)后丢弃这个半连接。而在DDoS攻击过程中,攻击者向服务器发送大量伪造源地址的TCP SYN包,收到同步数据包后,服务器分配必要的资源,然后向源地址返回SYN/ACK包并等待源地址返回ACK包以完成三次握手协议,如图1所示。由于源地址是伪造的,因此源端不会返回ACK包,这样服务器会继续向源地址发送SYN/ACK包并将半连接信息一直保存在等待队列中,很快等待队列就被填满,服务器将会拒绝新的连接,无法响应其他客户的连接请求,从而达到了攻击效果。

2.ICMP洪流(ICMP flooding)。攻击者不断地向受害主机发送ICMP回显请求包,因此受害者需要返回相应的ICMP回显应答包,当攻击者通过多个攻击跳板向目标发送的ICMP回显请求包速率极快时,受害者在生成海量的ICMP回显应答包的过程中将耗尽自身的CPU以及网络资源。

3.Smurf攻击。攻击者生成一个ICMP应答请求数据包,其源地址伪造成受害者的IP地址,目的地址设置成受害网络的广播地址,将这个ICMP应答请求数据包发向受害网络,由于使用了广播地址,受害网络中的所有主机都将收到这个包,并且都会对ICMP应答请求做出响应,这样大量同时返回的响应数据包造成受害主机带宽阻塞,使其不能提供正常服务。这种攻击属于反射攻击的类型,攻击者没有直接向目标攻击,而是利用网络上其他主机向目标反射攻击。

四、校园网防御DDoS攻击的常用方法对于DDoS攻击,已有的防御策略可以总结为两大类:攻击源追踪技术和攻击的检测防御技术。攻击源追踪是为了找到真正攻击者的实际位置,进而为下一步处理(攻击隔离、安全防范、调查取证等)提供依据。而攻击检测技术目的是尽早发现攻击,是攻击防御的前期工作。不论采用那种防御策略,对于一个完善的DDoS防御结构来说都需要包括以下要素:一是检测DDoS攻击是否存在;二是将收到的数据包进行分类,检测是否属于正常流量;三是对攻击数据包的响应,是丢失数据包,还是进行其他重新评估处理等。[2]在校园网内防御DDoS攻击的方法主要有以下几种:

(一)源地址跟踪技术(IP trace back)目前几乎所有的DDoS攻击都是通过随机产生虚假的源IP地址来发送数据包进行攻击,因此攻击源追踪通常是在攻击进行中或者攻击后阶段进行,也就是IP追踪(IP traceback)。IP追踪的目的是获得穿过Internet的数据包的真正源地址,而这一过程并不能依赖于数据包中的源地址(因为攻击包中的源地址一般是伪造的)。IP追踪方案大致可以分为两大类:一类是路由器记录其所转发的数据包信息用于以后的追踪;另外一类是路由器向其转发的数据包的目的地发送额外信息,此信息或者由数据包本身携带或者通过另外的渠道进行,比如ICMP消息。IP追踪(IP traceback)技术主要是在数据包的包头注入路由途径的标记,在攻击目标处就建立了一个从源到目标的路由树,从而实现对源地址的跟踪[3]

。对攻击源IP的跟踪一般都需要中途路由器的参与,中转路由器在中转数据包中注入一个标志,通过编码保存在数据包头中,用来记录中转路径。在目标处就可以通过解码,得到数据包传输路径,从而找到这个攻击源。近几年研究者提出了不同IP跟踪技术,有数据包标记(packetmarking)与数据包的日志(packet logging)[4],同时运用上述两者的综合法。还有运用连接测试(link test)与概率数据包标记(PPM,Probabilistic Packet Marking),以及ICMP消息通知(ICMPMessaging)等方法进行跟踪。IP追踪技术只能在攻击发生之后找到攻击源位置,并不能减轻这种DDoS攻击的影响,故仅IP追踪本身无法阻止正在进行的DDoS攻击。首先,当前IP追踪方案并不能确保有效的追踪到攻击包的来源(由于防火墙或者NAT的存在)。此外,对于反射攻击,其攻击包携带有合法的源地址,即使成功的追踪到攻击源,让它们停止发送攻击包也是一个非常困难的任务,特别是当它们位于各个不同的ISPs网络中。然而,IP追踪在标识攻击者以及收集攻击证据用于事后的法律
快速回复
限100 字节
 
上一个 下一个