低端网络安全概述.docVIP

基础网络安全·通俗版教案 序 开场：相比高端网络安全，基础网络安全更容易被忽视。在计算机和网络普及的今天，如果基础网络安全被过分的忽视，必然导致高端面临的威胁将越来越大。 今天我要说的不是两年前教人如何黑主机，如何维护一台服务器，而是把我这几年来花在基础网络安全上的时间和精力做一个总结，并且和大家分享、交流一些经验——为了让大家（包括计算机网络的老手和新手）能够更好的理解基础网络安全，我会尽量用通俗的语言来讲解，尽量避免介绍一些貌似高深的东西…… 我其实并不是一个黑客，我曾经所做的一切只是为了培养出黑客入侵的思路，从而更好地防御未知的攻击。我不敢自诩自己的防御完美无暇，也不敢保证我所使用的技术和讲的内容是up to date——也许在一分钟前就有一个新的漏洞可以让我对我的计算机所做的安全防御成为马基诺防线。在IT这块领域里，只有本着谦虚，才可以打开自己的心，学到更多的东西。 二．黑客常用入侵手法（以使用人群的数量排列） ■ 木马入侵 通俗地来说，木马入侵就是对方通过一些途径，往你的机器上传送木马服务端，再使其在你的机器上被执行安装，然后通过木马的客户端在远程控制、监视你的机器。 木马的种类大体分成3种：直接连接型、端口反弹型、线程插入型。其中端口反弹型木马可以使内网的机器主动连接外网，从而突破局域网限制；而线程插入型木马则拥有很高的隐蔽性——它不在任务管理器中显示进程，传输数据时不建立连接（多使用UDP协议进行传输），甚至不在netstat –an这条命令中显示端口。 木马多通过即时消息工具（QQ、ICQ、MSN等）和电子邮件传播。根据木马使用人群的知识技术水平，他们会对木马进行一定的伪装：（根据中招人群的数量和木马使用的技术含量排序） 直接给你发送*.exe，然后骗你说是图片的这种情况我们可以无视，*.jpg.exe的也无视——这类伎俩在木马深入人心的今天，已经很难生存，然而上当受骗的还是不少…… 使用人群：刚开始玩木马的人群 中招人群：刚接触计算机和网络的人群，对计算机网络没有认识的人群 把木马后缀名改成.jpg或者把木马和真正的.jpg文件绑定（被绑定的文件可以是其他类型，如网络游戏外挂）。这种方法有一定的欺骗性，但往往刚进入对方的计算机就被杀毒软件查杀…… 使用人群：玩木马有一段时间的人群 中招人群：刚接触计算机和网络的人群，对计算机网络彻底无知的人群，没有安装杀毒软件的人群，不升级杀毒软件的人群 把木马脱壳后进行改造，再给木马加上一个新的壳，改名或者和其他文件绑定，然后发送给目标。这种方法使改造出来的木马可以躲过大多数，甚至所有的杀毒软件的查杀，有很高的危险性。 使用人群：对编程有一定经验的人群，经常买黑客杂志来阅读的人群 中招人群：刚接触计算机和网络的人群，对计算机网络彻底无知的人群，没有安装杀毒软件的人群，不升级杀毒软件的人群，对杀毒软件过分依赖的人群，技术落伍的人群 通过即时消息工具发送的木马存在着一个很大的局限，那就是需要目标去执行木马服务端。假如目标警惕性高，不去执行服务端文件，那么巧妙的伪装和成功的传送都是无用功。相比这点，通过邮件传播的木马和病毒则利用了OUTLOOK、FOXMAIL这类邮箱工具的自身漏洞，使得你在打开邮件的瞬间就自动执行安装，即使你并没有真正去执行邮件的附件。 使用人群：多数为国外黑客写的蠕虫病毒 中招人群：POP3邮箱软件的使用人群 由于最近IE被发现有远程执行的漏洞，木马可以被挂在网页上，并且在该网页被浏览的时候自动下载到浏览者的系统中，并执行安装。这种木马我们通称网页木马，它的危害性极大，而且不易防范——域名怪异的网站、网络游戏外挂网站、色情网站里通常都有这种木马，甚至那些正规网站因为管理不善，被人攻陷后，也有极大的可能被黑客挂上木马。 使用人群：经常买黑客杂志来阅读的人群 中招人群：不勤奋打补丁、升级杀毒软件的人群 如果你的系统从来就没有打过补丁，病毒防火墙长期没有升级，外加经常光顾上述类型的网站，那么你有必要对你的系统安全重新做一次评估…… 物理接触 很多人对朋友、亲戚对自己计算机的物理接触不是很在意，但往往就是因为这样，使得自己的系统被留下后门帐号，种植木马，管理员帐号密码被窜改，甚至被盗窃、删除重要数据。 在物理接触这一点上，无论你是给管理员帐号上密码，还是最大限度削弱来宾帐户的权限，又或者给BIOS加密码，都是无法有效地防止黑客通过物理接触而获得你的本地权限。通常的手法都是：BIOS放电，（用来宾帐户登陆后使用）用ptsec一类的工具进行本地权限提升，或者用ERD Commander，在ERD系统下修改WINDOWS管理员帐号的密码。 由于Windows的升级，ptsec已经不再有效，但ERD Commander作为一个独立的光盘引导的操作系统，目前依然存在着威