網(wǎng)絡(luò)安全技術(shù)

1、 20世紀(jì)80年代開始，互聯(lián)網(wǎng)技術(shù)飛速發(fā)展。自從1987年發(fā)現(xiàn)了全世界首例計(jì)算機(jī)病毒以來(lái)，病毒的數(shù)量早已超過(guò)1萬(wàn)種以上，并且還在以每年兩千種新病毒的速度遞增，不斷困擾著涉及計(jì)算機(jī)領(lǐng)域的各個(gè)行業(yè)。 1997年,隨著萬(wàn)維網(wǎng)（WoldWideWeb）上Java語(yǔ)言的普及,利用Java語(yǔ)言進(jìn)行傳播和資料獲取的病毒開始出現(xiàn),典型的代表是JavaSnake病毒，還有一些利用郵件服務(wù)器進(jìn)行傳播和破壞的病毒，例如Mail-Bomb病毒，它會(huì)嚴(yán)重影響因特網(wǎng)的效率。 1989年，俄羅斯的EugeneKaspersky開始研究計(jì)算機(jī)病毒現(xiàn)象。從1991年到1997年，俄羅斯大型計(jì)算機(jī)公司KAMI的信息技術(shù)中心研發(fā)出

2、了AVP反病毒程序。這在國(guó)際互聯(lián)網(wǎng)反病毒領(lǐng)域具有里程碑的意義。防火墻是網(wǎng)絡(luò)安全政策的有機(jī)組成部分。1983年，第一代防火墻誕生。到今天，已經(jīng)推出了第五代防火墻。 進(jìn)入21世紀(jì)，政府部門、金融機(jī)構(gòu)、軍事軍工、企事業(yè)單位和商業(yè)組織對(duì)IT系統(tǒng)的依賴也日益加重，IT系統(tǒng)所承載的信息和服務(wù)的安全性就越發(fā)顯得重要。 2007年初，一個(gè)名叫“熊貓燒香”的病毒在極短時(shí)間內(nèi)通過(guò)網(wǎng)絡(luò)在中國(guó)互聯(lián)網(wǎng)用戶中迅速傳播，曾使數(shù)百萬(wàn)臺(tái)電腦中毒，造成重大損失。1、網(wǎng)絡(luò)安全問(wèn)題的產(chǎn)生（1）信息泄露、信息污染及信息不可控等（2）某些個(gè)人或組織出于某種特殊目的進(jìn)行信息泄露、信息破壞、信息假冒侵權(quán)和意識(shí)形態(tài)的信息滲透，甚至進(jìn)行一些破壞

3、國(guó)家、社會(huì)以及各類主體合法權(quán)益的活動(dòng)。（3）隨著社會(huì)的高度信息化、社會(huì)的“命脈”和核心控制系統(tǒng)有可能面臨惡意的攻擊而導(dǎo)致?lián)p壞和癱瘓（4）網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛，但是控制權(quán)分散的管理問(wèn)題也日益顯現(xiàn)2、網(wǎng)絡(luò)安全的現(xiàn)狀(見P2 圖1-1)（1）拒絕服務(wù)攻擊：拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù)或資源訪問(wèn)，是黑客常用的攻擊手段之一。這些資源包括磁盤空間、內(nèi)存、進(jìn)程甚至網(wǎng)絡(luò)帶寬，從而阻止正常用戶的訪問(wèn)。拒絕服務(wù)攻擊問(wèn)題也一直得不到合理的解決，究其原因是因?yàn)檫@是由于網(wǎng)絡(luò)協(xié)議本身的安全缺陷造成的。攻擊者進(jìn)行拒絕服務(wù)攻擊，實(shí)際上讓服務(wù)器實(shí)現(xiàn)兩種效果：一是迫使服務(wù)器的緩沖區(qū)滿，不接收新的請(qǐng)求；二是使用I

4、P欺騙，迫使服務(wù)器把合法用戶的連接復(fù)位，影響合法用戶的連接。（2）網(wǎng)絡(luò)仿冒（3）網(wǎng)頁(yè)惡意代碼（4）病毒、蠕蟲或木馬（5）漏洞（6）垃圾郵件報(bào)告3、網(wǎng)絡(luò)安全的發(fā)展趨勢(shì) （1）實(shí)施網(wǎng)絡(luò)攻擊的主體的變化：由興趣性向盈利性發(fā)展 （2）網(wǎng)絡(luò)攻擊的主要手段的變化：由單一手段向結(jié)合多種攻擊手段的綜合性攻擊發(fā)展 （3）企業(yè)內(nèi)部對(duì)安全威脅的認(rèn)識(shí)的變化：外部管理轉(zhuǎn)向內(nèi)部安全管理 1、網(wǎng)絡(luò)上的信息安全，這其中涉及到了物理器件計(jì)算機(jī)和基于這之上的網(wǎng)絡(luò)通信，對(duì)于數(shù)據(jù)的加密等一系列的知識(shí)，因此集計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論等多種學(xué)科于一體。2、計(jì)算機(jī)系統(tǒng)安全定義：為數(shù)據(jù)處

5、理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄漏。3、保證網(wǎng)絡(luò)安全的目的：確保經(jīng)過(guò)網(wǎng)絡(luò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加、修改、丟失和泄露等情況。4、網(wǎng)絡(luò)安全包含：（1）運(yùn)行系統(tǒng)的安全，即保證信息處理和傳輸系統(tǒng)的安全（2）網(wǎng)絡(luò)上系統(tǒng)信息的安全（3）網(wǎng)絡(luò)上信息傳輸?shù)陌踩ＷC信息不被竊取修改或泄漏（4）網(wǎng)絡(luò)上信息內(nèi)容的安全1、內(nèi)部威脅（1）內(nèi)部人員因自身原因故意破壞、泄露或無(wú)意錯(cuò)誤操作破壞數(shù)據(jù)而引起的威脅（2）因不當(dāng)使用Internet接入而降低生產(chǎn)率（3）內(nèi)部工作人員發(fā)送、接收和查看攻擊性材料，可能會(huì)使內(nèi)部感染計(jì)算機(jī)病毒。2、外部威脅1、非授

6、權(quán)訪問(wèn)：一般是沒(méi)有事先經(jīng)過(guò)同意，通過(guò)假冒、身份攻擊及系統(tǒng)漏洞等手段來(lái)獲取系統(tǒng)的訪問(wèn)權(quán)限，從而非法進(jìn)入網(wǎng)絡(luò)系統(tǒng)來(lái)使用網(wǎng)絡(luò)資源，造成資源的消耗或損壞。2、拒絕服務(wù)3、數(shù)據(jù)欺騙：主要包括捕獲、修改和破壞可信主機(jī)上的數(shù)據(jù)，攻擊者還可能對(duì)通信線路上的網(wǎng)絡(luò)通信進(jìn)行重定向。1、物理安全：包括通信線路的安全、物理設(shè)備的安全及機(jī)房的安全等。涉及到防火、防靜電、防雷擊、防電磁輻射和防盜等。2、操作系統(tǒng)安全性：包括操作系統(tǒng)的安全配置、操作系統(tǒng)的漏洞檢測(cè)、操作系統(tǒng)的漏洞修補(bǔ)等3、網(wǎng)絡(luò)的安全性：包括網(wǎng)絡(luò)身份認(rèn)證、網(wǎng)絡(luò)資源的訪問(wèn)控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、防火墻應(yīng)用、病毒

7、防范和入侵檢測(cè)等4、應(yīng)用安全性：指網(wǎng)絡(luò)對(duì)用戶提供服務(wù)所采用的應(yīng)用軟件和數(shù)據(jù)的安全性5、管理安全性：包括安全技術(shù)和設(shè)備的管理、安全管理制度及部門與人員的組織規(guī)則等。1、攻擊前的防范2、攻擊過(guò)程中的防范3、攻擊過(guò)程后的恢復(fù)處理1、協(xié)議的基礎(chǔ)概念：網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)通信中控制數(shù)據(jù)傳輸?shù)囊?guī)則。包括三要素（1）語(yǔ)義（做什么）：包括用于協(xié)調(diào)和差錯(cuò)處理、流量控制的控制信息。（2）語(yǔ)法（怎么做）：數(shù)據(jù)編碼格式與信號(hào)的電平（3）時(shí)序（何時(shí)做）：速度的匹配和排序2、開放系統(tǒng)互連參考模型（OSI參考模型） 設(shè)計(jì)者按照信息的流動(dòng)過(guò)程將網(wǎng)絡(luò)的整體功能分解為一個(gè)個(gè)的功能層，不同主機(jī)的同等功能層之間采用相同的協(xié)議，同一主機(jī)上的

8、相鄰功能層之間通過(guò)接口進(jìn)行信息傳遞，形成了OSI參考模型，這樣不同體系結(jié)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)都能互連，進(jìn)行信息互通。OSI參考模型將網(wǎng)絡(luò)的通信功能劃分成7個(gè)層次，由高到低分別是：（1）物理層：向下直接與物理傳輸介質(zhì)相連接，是各種網(wǎng)絡(luò)設(shè)備進(jìn)行互聯(lián)時(shí)必須遵守的底層協(xié)議，與其他協(xié)議無(wú)關(guān)。物理層定義了數(shù)據(jù)通信網(wǎng)絡(luò)之間物理鏈路的電氣或機(jī)械特性，以及激活、維護(hù)和關(guān)閉這條鏈路的各項(xiàng)操作。物理層的特征參數(shù)包括電壓、數(shù)據(jù)傳輸率、最大傳輸距離和物理連接介質(zhì)等。 （2）數(shù)據(jù)鏈路層：它把從物理層來(lái)的原始數(shù)據(jù)組成幀 即用于傳送數(shù)據(jù)的結(jié)構(gòu)化的包。數(shù)據(jù)鏈路層負(fù)責(zé)幀在計(jì)算機(jī)之間的無(wú)差錯(cuò)傳遞。其特征參數(shù)包括物理地址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯(cuò)

9、誤警告機(jī)制、所傳數(shù)據(jù)幀的排序和流量控制等。（3）網(wǎng)絡(luò)層：定義網(wǎng)絡(luò)操作系統(tǒng)通信用的協(xié)議，為傳送的信息確定地址，將邏輯地址和名字翻譯成物理地址。同時(shí)負(fù)責(zé)確定從源計(jì)算機(jī)沿著網(wǎng)絡(luò)到目的計(jì)算機(jī)的路由選擇，處理交通問(wèn)題，路由器的功能在這一層實(shí)現(xiàn)。網(wǎng)絡(luò)層的主要功能是將報(bào)文分組以最佳路徑通過(guò)通信子網(wǎng)送達(dá)目的主機(jī)。（4）傳輸層：負(fù)責(zé)端到端的信息傳輸錯(cuò)誤處理，包括錯(cuò)誤的確認(rèn)和恢復(fù)，確保信息的可靠傳遞。在必要時(shí)，也對(duì)信息重新打包，把過(guò)長(zhǎng)信息分成小包發(fā)送。在接收端，再將這些小包重構(gòu)成初始的信息。（5）會(huì)話層：允許在不同計(jì)算機(jī)上的兩個(gè)應(yīng)用間建立、使用和結(jié)束會(huì)話，實(shí)現(xiàn)對(duì)話控制，管理何端發(fā)送、何時(shí)發(fā)送和占用多長(zhǎng)時(shí)間等。會(huì)話

10、層利用傳輸層提供的可靠信息傳遞服務(wù)，使得兩個(gè)會(huì)話實(shí)體之間不用考慮相互間的距離、使用何種網(wǎng)絡(luò)通信等細(xì)節(jié)，進(jìn)行數(shù)據(jù)的透明傳輸。（6）表示層：表示層則要保證所傳輸?shù)臄?shù)據(jù)經(jīng)傳送后意義不改變，它要解決的問(wèn)題是如何描述數(shù)據(jù)結(jié)構(gòu)并使之與機(jī)器無(wú)關(guān)。（7）應(yīng)用層：主要功能是直接為用戶服務(wù)，通過(guò)應(yīng)用軟件實(shí)現(xiàn)網(wǎng)絡(luò)與用戶的直接對(duì)話。這一層是最終用戶應(yīng)用程序訪問(wèn)網(wǎng)絡(luò)服務(wù)的地方，負(fù)責(zé)整個(gè)網(wǎng)絡(luò)應(yīng)用程序協(xié)同工作。3、OSI參考模型的特點(diǎn)（1）各層之間是獨(dú)立的。每層只實(shí)現(xiàn)一種相對(duì)獨(dú)立的功能，可以使網(wǎng)絡(luò)傳輸?shù)膹?fù)雜程度下降。（2）靈活性好。任何一層發(fā)生變化都不影響別的層，只要層間接口保持不變。（3）結(jié)構(gòu)上可分割，用不同技術(shù)來(lái)實(shí)現(xiàn)。

11、（4）易于實(shí)現(xiàn)和維護(hù)。（5）能促進(jìn)標(biāo)準(zhǔn)化工作。4、TCP/IP協(xié)議模型（1）網(wǎng)絡(luò)接口層：網(wǎng)絡(luò)接口層與OSI/RM的物理層、數(shù)據(jù)鏈路層相對(duì)應(yīng)。該層中所使用的協(xié)議大多是各通信子網(wǎng)固有的協(xié)議。作用是傳輸經(jīng)IP層處理過(guò)的IP信息，并提供一個(gè)主機(jī)與實(shí)際網(wǎng)絡(luò)的接口，而具體的接口關(guān)系則可以由實(shí)際網(wǎng)絡(luò)的類型所決定。（2）互聯(lián)網(wǎng)層：也被稱為IP（Internet Protocol）層、網(wǎng)絡(luò)層。是TCP/IP模型的關(guān)鍵部分。它的功能是使主機(jī)可以把IP數(shù)據(jù)包發(fā)往任何網(wǎng)絡(luò)，并使數(shù)據(jù)報(bào)獨(dú)立地傳向目標(biāo)（中途可能經(jīng)由不同的網(wǎng)絡(luò)）。這些數(shù)據(jù)包到達(dá)的順序和發(fā)送的順序可能不同，因此當(dāng)需要按順序發(fā)送和接收時(shí)，高層必須對(duì)分組排序。（

12、3）傳輸層：在源節(jié)點(diǎn)和目的節(jié)點(diǎn)兩個(gè)進(jìn)程實(shí)體之間提供可靠的、端到端的數(shù)據(jù)傳輸。為保證數(shù)據(jù)傳輸?shù)目煽啃?，傳輸層協(xié)議規(guī)定接收端必須發(fā)回確認(rèn)，若丟失必須重新發(fā)送。若同時(shí)有多個(gè)應(yīng)用程序訪問(wèn)互聯(lián)網(wǎng)，則傳輸層在每個(gè)數(shù)據(jù)包中增加識(shí)別信源和信宿應(yīng)用程序的標(biāo)記。（4）應(yīng)用層：位于傳輸層之上的應(yīng)用層包含所有的高層協(xié)議，為用戶提供所需要的各種服務(wù)。主要的服務(wù)有：遠(yuǎn)程登錄（Telnet）、文件傳輸（FTP）、電子郵件（SMTP）、Web服務(wù)（HTTP）、域名系統(tǒng)（DNS）等。4、TCP/IP協(xié)議的特點(diǎn)（1）應(yīng)用廣泛（2）能夠向用戶和應(yīng)用程序提供通用的、統(tǒng)一的網(wǎng)絡(luò)服務(wù)。（3）網(wǎng)絡(luò)對(duì)等性：簡(jiǎn)化了對(duì)異構(gòu)網(wǎng)的處理1、網(wǎng)際協(xié)議（

13、IP協(xié)議）：屬于TCP/IP模型和互聯(lián)網(wǎng)層，提供關(guān)于數(shù)據(jù)應(yīng)如何傳輸以及傳輸?shù)胶翁幍男畔ⅰＪ鞘筎CP/IP協(xié)議可用于網(wǎng)絡(luò)連接的子協(xié)議。是不可靠的、無(wú)連接的協(xié)議，不保證數(shù)據(jù)的可靠，若接收時(shí)發(fā)現(xiàn)信息不正確，則將認(rèn)為數(shù)據(jù)包被破壞，則重新發(fā)送數(shù)據(jù)包。IP的數(shù)據(jù)報(bào)包含報(bào)頭和數(shù)據(jù)兩部分，報(bào)頭包含（見P24）。2、傳輸控制協(xié)議（TCP協(xié)議）：屬于傳輸層，提供可靠的數(shù)據(jù)傳輸服務(wù)。位于IP協(xié)議的上層，通過(guò)提供校驗(yàn)、流控制及序列信息彌補(bǔ)IP協(xié)議可靠性的缺陷。是面向連接的服務(wù)。TCP協(xié)議包含了保證數(shù)據(jù)可靠性的幾個(gè)組件（見P26） 3、用戶數(shù)據(jù)報(bào)協(xié)議（UDP）：UDP協(xié)議是一種無(wú)連接的傳輸服務(wù)，不保證數(shù)據(jù)包以正確的序列

14、被接收，并且不提供錯(cuò)誤校驗(yàn)或序列編號(hào)。適合用于實(shí)況錄音或電視轉(zhuǎn)播。4、網(wǎng)際控制報(bào)文協(xié)議（ICMP）：位于互聯(lián)網(wǎng)層的IP協(xié)議和傳輸層的TCP協(xié)議之間，不提供錯(cuò)誤控制服務(wù)，僅報(bào)告哪個(gè)網(wǎng)絡(luò)是不可達(dá)的，哪個(gè)數(shù)據(jù)包因分配的生存時(shí)間過(guò)期而被拋棄。5、地址解析協(xié)議（ARP）：是互聯(lián)網(wǎng)層協(xié)議，它獲取主機(jī)或節(jié)點(diǎn)的物理地址并創(chuàng)建一個(gè)本地?cái)?shù)據(jù)庫(kù)以將物理地址映射到主機(jī)的邏輯地址上。和IP地址配合使用。就是將網(wǎng)卡地址和IP地址一一對(duì)應(yīng)起來(lái)，網(wǎng)卡地址解析成IP地址。1、WWW是已聯(lián)網(wǎng)服務(wù)器的集合，這些服務(wù)器按指定的協(xié)議和格式共享資源和交換信息。2、采用的CS架構(gòu)（服務(wù)器客戶端的架構(gòu)），在服務(wù)器端需要安裝外部服務(wù)器，客戶機(jī)

15、端要具備瀏覽器。3、在客戶機(jī)端訪問(wèn)服務(wù)器端需要TCP/IP協(xié)議、IP地址與Internet連接和瀏覽器。4、服務(wù)器端和客戶機(jī)端通過(guò)HTTP或HTML服務(wù)傳輸內(nèi)容，每個(gè)Web頁(yè)都被統(tǒng)一資源定位器（URL）標(biāo)識(shí)。每一個(gè)Web頁(yè)的網(wǎng)址都是獨(dú)一無(wú)二的，對(duì)應(yīng)第一無(wú)二的IP地址。5、 https是使用的服務(wù)類型，是主機(jī)名，index.asp是該頁(yè)下的文件。6、常見的Web服務(wù)器軟件包括（見P27） 1、文件傳輸協(xié)議：用于管理TCP/IP主機(jī)之間文件的傳輸2、FTP服務(wù)是FTP服務(wù)器提供的，相當(dāng)于是服務(wù)器開辟了FTP服務(wù)，提供文件夾供客戶端上傳或下載文件。3、在瀏覽器的地址欄中輸入 主機(jī)名 或 服務(wù)器IP地

16、址，即可訪問(wèn)FTP服務(wù)器，相當(dāng)于是向服務(wù)器發(fā)出請(qǐng)求，服務(wù)器始終偵聽請(qǐng)求，當(dāng)接收到這個(gè)請(qǐng)求的時(shí)候，立刻給予客戶端響應(yīng)。4、常見的FTP程序有LeapFTP、WS_FTP、CuteFTP和FlashFXP等。5、使用FTP必須首先登陸，輸入ID和口令，在服務(wù)器上獲得相應(yīng)的權(quán)限后才能下載或上傳文件。服務(wù)器有可能限定在同一時(shí)刻最高可供多少人同時(shí)使用。有的服務(wù)器上提供匿名FTP服務(wù)，任何人都可以使用一個(gè)公用的ID進(jìn)入使用該服務(wù)器上公開的資源。 1、域名系統(tǒng)：是將主機(jī)名和域名解析為與此名稱相關(guān)的IP地址的系統(tǒng)。2、因?yàn)镮P地址由一串?dāng)?shù)字組成，難于記憶，因此引申出了域名，用一串便于記憶的字符組成，而域名和I

17、P地址成為一種一一對(duì)應(yīng)的關(guān)系。由域名轉(zhuǎn)換成IP地址稱為正向解析，由IP地址轉(zhuǎn)換成域名為逆向解析。3、DNS分為3個(gè)組成部分：解析器、名稱服務(wù)器、名稱空間4、當(dāng)進(jìn)行一個(gè)域名訪問(wèn)的時(shí)候，在瀏覽器中輸入網(wǎng)址，解析器服務(wù)會(huì)查詢本地的名稱服務(wù)器，查找相對(duì)應(yīng)的IP地址，若沒(méi)有則向高一級(jí)服務(wù)器查詢。要知道本地、地區(qū)、國(guó)家都有名稱服務(wù)器。5、假若你以前訪問(wèn)過(guò)這個(gè)域名地址，則可以從以前查詢獲得的緩存信息中就地應(yīng)答查詢，這樣速度比較快。1、動(dòng)態(tài)主機(jī)配置協(xié)議：是往網(wǎng)絡(luò)中的每臺(tái)設(shè)備分配獨(dú)一無(wú)二IP地址的動(dòng)態(tài)方式。2、采用DHCP服務(wù)的優(yōu)點(diǎn)： （1）降低花費(fèi)在IP地址管理方面的時(shí)間和規(guī)劃 （2）降低分配IP地址的錯(cuò)誤率

18、 （3）在移動(dòng)電腦的情況下無(wú)需更改TCP/IP配置。 （4）為使IP地址對(duì)移動(dòng)用戶透明。3、DHCP出租過(guò)程和終止DHCP租借 1、終端服務(wù)：集成在Windows.NET Server終端服務(wù)中，作為系統(tǒng)服務(wù)器服務(wù)組件存在，“開始”“程序”“附件”“通訊”“超級(jí)終端”2、客戶機(jī)和服務(wù)器通過(guò)TCP/IP協(xié)議和標(biāo)準(zhǔn)的局域網(wǎng)構(gòu)架聯(lián)系，在客戶端上進(jìn)行操作傳遞到終端服務(wù)器上，再將服務(wù)器上的顯示結(jié)果傳遞回客戶端。類似于“遠(yuǎn)程控制”。3、允許多個(gè)客戶端同時(shí)登陸到服務(wù)器，他們之間是相互獨(dú)立的。4、終端服務(wù)由5個(gè)組件組成： （1）多用戶內(nèi)核 （2）遠(yuǎn)程桌面協(xié)議 （3）終端服務(wù)客戶端 （4）終端服務(wù)許可服務(wù) （5

19、）終端服務(wù)管理工具1、ipconfig/all 查看配置 才啟動(dòng)的時(shí)候執(zhí)行這個(gè)命令，大多信息不能獲取，例如IP地址，DNS等。使用刷新命令后，可以查看到計(jì)算機(jī)的主機(jī)名、網(wǎng)卡名、網(wǎng)卡地址、動(dòng)態(tài)分配的IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)關(guān)等。2、ipconfig/renew 刷新配置 （“運(yùn)行”輸入“cmd” ）作用：用于網(wǎng)絡(luò)的連通性測(cè)試，測(cè)試網(wǎng)線是否連通、網(wǎng)卡配置是否正確及IP地址是否可用等。例： ping a 03常見參數(shù)說(shuō)明：見35頁(yè)原理：arp即地址解析協(xié)議，在常用以太網(wǎng)或令牌LAN上，用于實(shí)現(xiàn)第三層到第二層地址的轉(zhuǎn)換 IP MAC功能：顯示和修改IP地址與MAC地址之間的映射

20、誰(shuí)知道誰(shuí)知道的的MAC地址地址我知道我知道的的MAC地址是地址是:xxxxxx常用參數(shù)： arp a：顯示所有的arp表項(xiàng) arp s：在arp緩存中添加一條記錄（例：Arp -s 02-e0-fc-fe-01-b9） arp d：在arp緩存中刪除一條記錄 （例：Arp -d ） arp g：顯示所有的表項(xiàng)作用：是解決NetBIOS名稱解析問(wèn)題的工具，可使用nbtstat命令刪除或更正預(yù)加載的項(xiàng)目常用參數(shù)：見37頁(yè)作用：用來(lái)顯示協(xié)議統(tǒng)計(jì)信息和當(dāng)前TCP/IP連接，該命令只能在安裝了TCP/IP協(xié)議后才能使用

21、。常用參數(shù)：見P3738頁(yè)原理：tracert 是為了探測(cè)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間數(shù)據(jù)報(bào)文經(jīng)過(guò)的路徑，利用IP報(bào)文的TTL域在每個(gè)經(jīng)過(guò)一個(gè)路由器的轉(zhuǎn)發(fā)后減一,如果此時(shí)TTL=0則向源節(jié)點(diǎn)報(bào)告TTL超時(shí)這個(gè)特性，從一開始逐一增加TTL,直到到達(dá)目的站點(diǎn)或TTL達(dá)到最大值255.功能：探索兩個(gè)節(jié)點(diǎn)的路由。TTL=1TTL=2TTL=3常用參數(shù)：1、tracert ip_adress 2、tracert h N （設(shè)置TTL最大為N）概念：懷有不良企圖，強(qiáng)行闖入遠(yuǎn)程計(jì)算機(jī)系統(tǒng)或惡意干擾遠(yuǎn)程系統(tǒng)完整性，通過(guò)非授權(quán)的訪問(wèn)權(quán)限，盜取數(shù)據(jù)甚至破壞計(jì)算機(jī)系統(tǒng)

22、的“入侵者”稱為黑客。攻擊目的：竊取信息；獲取口令；控制中間站點(diǎn)；獲得超級(jí)用戶權(quán)限等 實(shí)例： （1）1983年，“414黑客”，6名少年黑客被控侵入60多臺(tái)電腦 （2）1987年，赫爾伯特齊恩（“影子鷹”），闖入沒(méi)過(guò)電話電報(bào)公司 （3）1988年，羅伯特莫里斯“蠕蟲程序”，造成1500萬(wàn)到1億美元的經(jīng)濟(jì)損失。 （4）1990年，“末日軍團(tuán)”，4名黑客中有3人被判有罪。 （5）1995年，米特尼克偷竊了2萬(wàn)個(gè)信用卡號(hào)，8000萬(wàn)美元的巨額損失。 （6）1998年2月，德國(guó)計(jì)算機(jī)黑客米克斯特，使用美國(guó)七大網(wǎng)站陷于癱瘓狀態(tài) （7）1998年，兩名加州少年黑客，以色列少年黑客分析家，查詢五角大樓網(wǎng)站并

23、修改了工資報(bào)表和人員數(shù)據(jù)。 （8）1999年4月，“CIH”病毒，保守估計(jì)全球有6千萬(wàn)部電腦感染。 （9）1999年，北京江民KV300殺毒軟件，損失260萬(wàn)元。 （10）2000年2月，“雅虎”、“電子港灣”、亞馬孫、微軟網(wǎng)絡(luò)等美國(guó)大型國(guó)際互聯(lián)網(wǎng)網(wǎng)站，損失超過(guò)了10億美元。 （11）2000年4月，闖入電子商務(wù)網(wǎng)站的威爾斯葛雷，估計(jì)導(dǎo)致的損失可能超過(guò)300萬(wàn)美元。目標(biāo)：系統(tǒng)、數(shù)據(jù)（數(shù)據(jù)占70%）系統(tǒng)型攻擊特點(diǎn)：攻擊發(fā)生在網(wǎng)絡(luò)層，破壞系統(tǒng)的可用性，使系統(tǒng)不能正常工作，可能留下明顯的攻擊痕跡。數(shù)據(jù)型攻擊特點(diǎn)：發(fā)生在網(wǎng)絡(luò)的應(yīng)用層，面向信息，主要目的是為了篡改和偷取信息，不會(huì)留下明顯的痕跡。（注：著

24、重加強(qiáng)數(shù)據(jù)安全，重點(diǎn)解決來(lái)自內(nèi)部的非授權(quán)訪問(wèn)和數(shù)據(jù)的保密工作。）1、阻塞類攻擊：通過(guò)強(qiáng)制占有信道資源、網(wǎng)絡(luò)連接資源及存儲(chǔ)空間資源，使服務(wù)器崩潰或資源耗盡而無(wú)法對(duì)外繼續(xù)提供服務(wù)（例如拒絕服務(wù)攻擊）。常見方法：TCPSYN洪泛攻擊、Land攻擊、Smurf攻擊及電子郵件炸彈等攻擊后果：使目標(biāo)系統(tǒng)死機(jī)；使端口處于停頓狀態(tài)；在計(jì)算機(jī)屏幕上發(fā)現(xiàn)雜亂信息、改變文件名稱、刪除關(guān)鍵的程序文件；扭曲系統(tǒng)的資源狀態(tài)，使系統(tǒng)的處理速度降低。2、探測(cè)類攻擊：收集目標(biāo)系統(tǒng)的各種與網(wǎng)絡(luò)安全有關(guān)的信息，為下一步入侵提供幫助。包括：掃描技術(shù)（采用模擬攻擊形式對(duì)可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查）、體系結(jié)構(gòu)刺探及系統(tǒng)信息服務(wù)收集等

25、3、控制類攻擊：試圖獲得對(duì)目標(biāo)主機(jī)控制權(quán)的。常見方法：口令攻擊、特洛伊木馬、緩沖區(qū)溢出攻擊4、欺騙類攻擊：通過(guò)冒充合法網(wǎng)絡(luò)主機(jī)或通過(guò)配置、設(shè)置一些假信息來(lái)騙取敏感信息。常見方法：ARP緩存虛構(gòu)、DNS告訴緩沖污染及偽造電子郵件等5、漏洞類攻擊：非法用戶未經(jīng)授權(quán)通過(guò)系統(tǒng)硬件或軟件存在的某中形式的安全方面的脆弱性獲得訪問(wèn)權(quán)或提高其訪問(wèn)權(quán)限。6、破壞類攻擊：指對(duì)目標(biāo)主機(jī)的各種數(shù)據(jù)與軟件實(shí)施破壞的一類攻擊。常見方法：計(jì)算機(jī)病毒、邏輯炸彈網(wǎng)絡(luò)攻擊一般模型：經(jīng)歷四個(gè)階段搜索信息搜索信息獲取權(quán)限獲取權(quán)限消除痕跡消除痕跡深入攻擊深入攻擊1、搜集信息（攻擊的偵查階段）隱藏地址：尋找“傀儡機(jī)”,隱藏真實(shí)IP地址。

26、鎖定目標(biāo)：尋找、確定攻擊目標(biāo)。了解目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)容量、目錄及安全狀態(tài)搜索系統(tǒng)信息：分析信息，找到弱點(diǎn)攻擊。2、獲取權(quán)限 利用探測(cè)到的信息分析目標(biāo)系統(tǒng)存在的弱點(diǎn)和漏洞，選擇合適的攻擊方式，最終獲取訪問(wèn)權(quán)限或提升現(xiàn)有訪問(wèn)權(quán)限。3、消除痕跡 清除事件日記、隱藏遺留下的文件、更改某些系統(tǒng)設(shè)置 4、深入攻擊 進(jìn)行信息的竊取或系統(tǒng)的破壞等操作。1、端口掃描技術(shù) 通過(guò)端口掃描可以搜集目標(biāo)主機(jī)的系統(tǒng)服務(wù)端口的開放情況，進(jìn)行判斷目標(biāo)的功能使用情況，一旦入侵成功后將后門設(shè)置在高端口或不常用的端口，入侵者通過(guò)這些端口可以任意使用系統(tǒng)的資源。（1）常用的端口掃描技術(shù)A、TCP connect（）掃描：使用con

27、nect（），建立與目標(biāo)主機(jī)端口的連接。若端口正在監(jiān)聽，connect（）成功返回；否則說(shuō)明端口不可訪問(wèn)。任何用戶都可以使用connect（）。B、TCP SYN掃描：即半連接掃描。掃描程序發(fā)送SYN數(shù)據(jù)包，若發(fā)回的響應(yīng)是SYN/ACK表明該端口正在被監(jiān)聽，RST響應(yīng)表明該端口沒(méi)有被監(jiān)聽。若接收到的是SYN/ACK，則發(fā)送RST斷開連接。（主機(jī)不會(huì)記錄這樣的連接請(qǐng)求，但只有超級(jí)用戶才能建立這樣的SYN數(shù)據(jù)包）。C、TCP FIN掃描：關(guān)閉的端口用正確的RST應(yīng)答發(fā)送的對(duì)方發(fā)送的FIN探測(cè)數(shù)據(jù)包，相反，打開的端口往往忽略這些請(qǐng)求。D、Fragmentation掃描：將發(fā)送的探測(cè)數(shù)據(jù)包分成一組很小

28、的IP包，接收方的包過(guò)濾程序難以過(guò)濾。E、UDP recfrom（）和write（）掃描F、ICMP echo掃描：使用ping命令，得到目標(biāo)主機(jī)是否正在運(yùn)行的信息。G、TCP反向Ident掃描：H、FTP返回攻擊I、UDP ICMP端口不能到達(dá)掃描（2）掃描器定義：一種自動(dòng)檢測(cè)遠(yuǎn)程或本地主機(jī)安全弱點(diǎn)的程序，可以不留痕跡地發(fā)現(xiàn)遠(yuǎn)程服務(wù)器的各種TCP端口的發(fā)配及提供的服務(wù)。工作原理：通過(guò)選用遠(yuǎn)程TCP/IP不同的端口服務(wù)，記錄目標(biāo)給予的回答。三項(xiàng)功能：發(fā)現(xiàn)一個(gè)主機(jī)或網(wǎng)絡(luò)的功能；一旦發(fā)現(xiàn)主機(jī)，發(fā)現(xiàn)什么服務(wù)正在運(yùn)行在主機(jī)上的功能；測(cè)試這些服務(wù)發(fā)現(xiàn)漏洞的功能。2、網(wǎng)絡(luò)監(jiān)聽技術(shù)網(wǎng)絡(luò)監(jiān)聽技術(shù)是指截獲和復(fù)制

29、系統(tǒng)、服務(wù)器、路由器或防火墻等網(wǎng)絡(luò)設(shè)備中所有網(wǎng)絡(luò)通信信息。網(wǎng)卡接收數(shù)據(jù)方式：廣播方式、組播方式、直接方式、混雜模式基本原理：數(shù)據(jù)包發(fā)送給源主機(jī)連接在一起的所有主機(jī)，但是只有與數(shù)據(jù)包中包含的目的地址一致的主機(jī)才能接收數(shù)據(jù)包。若主機(jī)工作在監(jiān)聽模式下，則可監(jiān)聽或記錄下同一網(wǎng)段上的所有數(shù)據(jù)包。 3、網(wǎng)絡(luò)欺騙技術(shù)定義：是利用TCP/IP協(xié)議本身的缺陷對(duì)TCP/IP網(wǎng)絡(luò)進(jìn)行攻擊的技術(shù)。（1）IP欺騙：選定目標(biāo)，發(fā)現(xiàn)主機(jī)間的信任模式，使目標(biāo)信任的主機(jī)喪失工作能力，TCP序列號(hào)的取樣和預(yù)測(cè)，冒充被信任主機(jī)進(jìn)入目標(biāo)系統(tǒng)，實(shí)施破壞并留下后門。 （2）ARP欺騙 A、對(duì)路由器ARP表的欺騙：原理是截獲網(wǎng)關(guān)數(shù)據(jù)。 B

30、、對(duì)局域網(wǎng)內(nèi)個(gè)人計(jì)算機(jī)的網(wǎng)絡(luò)欺騙：原理是偽造網(wǎng)關(guān)。后果：影響局域網(wǎng)正常運(yùn)行；泄露用戶敏感信息4、密碼破解技術(shù)指通過(guò)猜測(cè)或其他手段獲取合法用戶的賬號(hào)和密碼，獲得主機(jī)或網(wǎng)絡(luò)的訪問(wèn)權(quán)，并能訪問(wèn)到用戶能訪問(wèn)的任何資源的技術(shù)。密碼攻擊的方法： （1）通過(guò)網(wǎng)絡(luò)監(jiān)聽非法得到用戶密碼：采用中途截獲的方法獲取用戶賬戶和密碼。 （2）密碼窮舉破解：在獲取用戶的賬號(hào)后使用專門軟件強(qiáng)行破解用戶密碼。（口令猜解、字典攻擊、暴力猜解）5、拒絕服務(wù)技術(shù)定義：簡(jiǎn)稱DoS技術(shù)，是針對(duì)TCP/IP協(xié)議的缺陷來(lái)進(jìn)行網(wǎng)絡(luò)攻擊的手段。通過(guò)向服務(wù)器傳送大量服務(wù)要求，使服務(wù)器充斥著這種要求恢復(fù)的信息，耗盡網(wǎng)絡(luò)帶寬或系統(tǒng)資源，最終導(dǎo)致網(wǎng)絡(luò)或

31、系統(tǒng)癱瘓、停止正常工作。常見攻擊模式：資源消耗型、配置修改型、服務(wù)利用型新型拒絕服務(wù)攻擊技術(shù)：分布式拒絕服務(wù)攻擊、分布式反射拒絕服務(wù)攻擊1、端口掃描工具：網(wǎng)絡(luò)安全掃描器NSS、安全管理員的網(wǎng)絡(luò)分析工具SATAN、SuperScan2、網(wǎng)絡(luò)監(jiān)聽工具：X-Scan、Sniffer、NetXray、tcpdump、winpcap等3、密碼破解工具：是能將口令解譯出來(lái)，或者讓口令保護(hù)失效的程序。4、拒絕服務(wù)攻擊工具（1）DoS工具：死亡之ping、Teardrop、TCP SYN洪水、Land、Smurf（2）DDoS工具：TFN、TFN2k、Trinoo、mstream、shaft等1、提高安全意識(shí)

32、：從使用者自身出發(fā)，加強(qiáng)使用者的自身素質(zhì)和網(wǎng)絡(luò)安全意識(shí)。2、訪問(wèn)控制策略：保證網(wǎng)絡(luò)安全的最核心策略之一，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問(wèn)。3、數(shù)據(jù)加密策略：最有效的技術(shù)之一，通過(guò)對(duì)網(wǎng)內(nèi)數(shù)據(jù)、文件、口令和控制信息進(jìn)行加密從而達(dá)到保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)的目的。4、網(wǎng)絡(luò)安全管理策略：確定安全管理登記和安全管理范圍；指定有關(guān)網(wǎng)絡(luò)操作實(shí)驗(yàn)規(guī)程和人員管理制度；指定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施。 1、端口掃描的防范方法（1）關(guān)閉閑置和有潛在危險(xiǎn)的端口（2）發(fā)現(xiàn)有端口掃描的癥狀時(shí)，立即屏蔽該端口：可使用防火墻實(shí)現(xiàn)2、網(wǎng)絡(luò)監(jiān)聽的防范方法（1）對(duì)網(wǎng)絡(luò)監(jiān)聽攻擊采取的防范措施：網(wǎng)絡(luò)分段：將IP地址按節(jié)點(diǎn)計(jì)算機(jī)

33、所在網(wǎng)絡(luò)的規(guī)模的大小分段，可以對(duì)數(shù)據(jù)流進(jìn)行限制。加密：可對(duì)數(shù)據(jù)的重要部分進(jìn)行加密，也可對(duì)應(yīng)用層加密一次性密碼技術(shù)劃分VLAN：使用虛擬局域網(wǎng)技術(shù)，將以太網(wǎng)通信變成點(diǎn)到點(diǎn)的通信。（2）對(duì)可能存在的網(wǎng)絡(luò)監(jiān)聽的檢測(cè)方法：用正確的IP地址和錯(cuò)誤的物理地址ping可能正在運(yùn)行監(jiān)聽程序的主機(jī)。向網(wǎng)上發(fā)送大量不存在的物理地址的包，用于降低主機(jī)性能。使用反監(jiān)聽工具進(jìn)行檢測(cè)。3、IP欺騙的防范方法（1）進(jìn)行包過(guò)濾：只在內(nèi)網(wǎng)之間使用信任關(guān)系，對(duì)于外網(wǎng)主機(jī)的連接請(qǐng)求可疑的直接過(guò)濾掉。（2）使用加密技術(shù)：對(duì)信息進(jìn)行加密傳輸和驗(yàn)證（3）拋棄IP信任驗(yàn)證：放棄以IP地址為基礎(chǔ)的驗(yàn)證。4、密碼破解的防范方法密碼不要寫下來(lái)不

34、要將密碼保存在計(jì)算機(jī)文件中不要選取顯而易見的信息做密碼不要再不同系統(tǒng)中使用同一密碼定期改變密碼設(shè)定密碼不宜過(guò)短，最好使用字母、數(shù)字、標(biāo)點(diǎn)符號(hào)、字符混合5、拒絕服務(wù)的防范方法（1）拒絕服務(wù)的防御策略：建立邊界安全界限，確保輸出的數(shù)據(jù)包收到正確限制。經(jīng)常檢測(cè)系統(tǒng)配置信息，并建立完整的安全日志。利用網(wǎng)絡(luò)安全設(shè)備加固網(wǎng)絡(luò)的安全性，配置好設(shè)備的安全規(guī)則，過(guò)濾所有可能的偽造數(shù)據(jù)包。（2）具體DOS防范方法：死亡之ping的防范方法：設(shè)置防火墻，阻斷ICMP以及任何未知協(xié)議。、Teardrop的防范方法：在服務(wù)器上應(yīng)用最新的服務(wù)包，設(shè)置防火墻對(duì)分段進(jìn)行重組，不轉(zhuǎn)發(fā)它們。TCP SYN洪水的防范方法：關(guān)掉不必

35、要的TCP/IP服務(wù)，或配置防火墻過(guò)濾來(lái)自同一主機(jī)的后續(xù)連接。Land的防范方法：配置防火墻，過(guò)濾掉外部結(jié)構(gòu)上入棧的含有內(nèi)部源地址的數(shù)據(jù)包。Smurf的防范方法：關(guān)閉外部路由器或防火墻的廣播地址特征，或通過(guò)在防火墻上設(shè)置規(guī)則，丟棄ICMP包。1、概述 通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象。 2、功能（1）監(jiān)控、分析用戶和系統(tǒng)的活動(dòng)（2）對(duì)系統(tǒng)配置和漏洞的審計(jì)（3）估計(jì)關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性（4）識(shí)別和反應(yīng)入侵活動(dòng)的模式并向網(wǎng)絡(luò)管理員報(bào)警（5）對(duì)異常行為模式的統(tǒng)計(jì)分析（6）操作系統(tǒng)審計(jì)跟蹤管理，識(shí)別違反策

36、略的用戶活動(dòng)3、入侵檢測(cè)技術(shù) 入侵行為與用戶的正常行為存在可量化的差別，通過(guò)檢測(cè)當(dāng)前用戶行為的相關(guān)記錄，從而判斷攻擊行為是否發(fā)生。（1）統(tǒng)計(jì)異常檢測(cè)技術(shù)對(duì)合法用戶在一段時(shí)間內(nèi)的用戶數(shù)據(jù)收集，然后利用統(tǒng)計(jì)學(xué)測(cè)試方法分析用戶行為，以判斷用戶行為是否合法。分為基于行為剖面的檢測(cè)和閾值檢測(cè)。（2）規(guī)則的檢測(cè)技術(shù)通過(guò)觀察系統(tǒng)里發(fā)生的事件并將該時(shí)間與系統(tǒng)的規(guī)則進(jìn)行匹配，來(lái)判斷該事件是否與某條規(guī)則所代表的入侵行為相對(duì)應(yīng)。分為基于規(guī)則的異常檢測(cè)和基于規(guī)則的滲透檢測(cè)。4、入侵檢測(cè)過(guò)程（1）信息收集：在網(wǎng)絡(luò)系統(tǒng)中的不同網(wǎng)段、不同主機(jī)收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等相關(guān)數(shù)據(jù)。（2）信息分析匹配模式：將收

37、集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有的模式數(shù)據(jù)庫(kù)進(jìn)行匹配，進(jìn)而發(fā)現(xiàn)違反安全策略的行為。統(tǒng)計(jì)分析：首先給系統(tǒng)對(duì)象創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。這個(gè)測(cè)量屬性的平均值將與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，是否處于正常范圍之內(nèi)。完整性分析：關(guān)注某個(gè)固定的對(duì)象是否被更改。 5、入侵檢測(cè)系統(tǒng)的基本類型（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)使用操作系統(tǒng)的審計(jì)日志作為數(shù)據(jù)源輸入，根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。依賴于審計(jì)數(shù)據(jù)和系統(tǒng)日志的準(zhǔn)確性、完整性以及安全事件的定義。（2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用整個(gè)網(wǎng)絡(luò)上傳輸?shù)男畔⒘髯鳛檩斎耄ㄟ^(guò)被動(dòng)地監(jiān)聽捕獲網(wǎng)絡(luò)數(shù)據(jù)包，并分析、檢測(cè)網(wǎng)絡(luò)上發(fā)生的網(wǎng)絡(luò)入侵行為。

38、但只能檢測(cè)直接連接網(wǎng)絡(luò)的通信，不能檢測(cè)不同網(wǎng)段的網(wǎng)絡(luò)包。（3）分布式入侵檢測(cè)系統(tǒng)（混合型）6、入侵檢測(cè)系統(tǒng)應(yīng)對(duì)攻擊的技術(shù)（1）入侵響應(yīng)當(dāng)檢測(cè)到入侵或攻擊時(shí)，采取適當(dāng)?shù)拇胧┳柚谷肭趾凸舻倪M(jìn)行。（2）入侵跟蹤技術(shù)知道對(duì)方的物理地址、IP地址、域名、應(yīng)用程序地址等就可以跟蹤對(duì)方。1、蜜罐技術(shù)蜜罐系統(tǒng)是互聯(lián)網(wǎng)上運(yùn)行的計(jì)算機(jī)系統(tǒng)，可以被攻擊，對(duì)于攻擊方入侵的過(guò)程和行為進(jìn)行監(jiān)視、檢測(cè)和分析，進(jìn)而追蹤入侵者。蜜罐系統(tǒng)是一個(gè)包含漏洞的誘騙系統(tǒng)，是一種被監(jiān)聽、被攻擊或已被入侵的資源，通過(guò)模擬一個(gè)或多個(gè)易被攻擊的主機(jī)，給攻擊者提供一個(gè)容易攻擊的目標(biāo)，而拖延攻擊者對(duì)真正目標(biāo)的攻擊，讓其在蜜罐上浪費(fèi)時(shí)間。 蜜罐系統(tǒng)

39、關(guān)鍵技術(shù)：服務(wù)偽裝、漏洞提供蜜罐技術(shù)缺陷：只能對(duì)針對(duì)蜜罐的攻擊行為進(jìn)行監(jiān)視和分析，不能像入侵檢測(cè)系統(tǒng)一樣能夠通過(guò)旁路偵聽等技術(shù)隊(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。2、蜜網(wǎng)技術(shù)蜜網(wǎng)技術(shù)又稱為誘捕網(wǎng)絡(luò)，它構(gòu)成一個(gè)黑客誘捕網(wǎng)絡(luò)體系架構(gòu)，其上包含一個(gè)或多個(gè)蜜罐，同時(shí)保證了網(wǎng)絡(luò)的高度可控性，以及提供多種工具一方便對(duì)攻擊信息采集和分析。蜜網(wǎng)核心需求：數(shù)據(jù)控制、數(shù)據(jù)捕獲、數(shù)據(jù)分析1、操作系統(tǒng)的安全現(xiàn)狀2、安全操作系統(tǒng)的定義系統(tǒng)能夠控制外部對(duì)系統(tǒng)信息的訪問(wèn)，即只有經(jīng)過(guò)授權(quán)的用戶或代表該用戶運(yùn)行的進(jìn)程才能讀、寫、創(chuàng)建或刪除信息。包含有：（1）操作系統(tǒng)在設(shè)計(jì)時(shí)通過(guò)權(quán)限訪問(wèn)控制、信息加密性保護(hù)和完整性鑒定等一些機(jī)制實(shí)現(xiàn)的安全防護(hù)。

40、（2）操作系統(tǒng)在使用時(shí)，通過(guò)配置保證系統(tǒng)避免由于實(shí)現(xiàn)時(shí)的缺陷或是應(yīng)用環(huán)境因素產(chǎn)生的不安全。 1、最小特權(quán)原則2、有ACL的自主訪問(wèn)控制3、強(qiáng)制訪問(wèn)控制：制定一個(gè)固定的安全屬性，來(lái)決定一個(gè)用戶是否可以訪問(wèn)資源。安全屬性可由系統(tǒng)自動(dòng)分配也可由系統(tǒng)管理員手動(dòng)分配。4、安全審計(jì)和審計(jì)管理：5、安全域隔離6、可信路徑：1、Windows XP安全性（1）完善的用戶管理功能可在登錄界面查看當(dāng)前系統(tǒng)中的所有用戶名，可控制用戶對(duì)文件的訪問(wèn)，并且開啟文件的審核功能后，可將用戶對(duì)文件的訪問(wèn)情況記錄到安全日志文件中。（2）軟件限制策略的透明性以透明的方式隔離和使用不可靠的、潛在對(duì)用戶數(shù)據(jù)有害的代碼。 （3）支持NT

41、FS和EFS文件系統(tǒng)EFS是加密文件系統(tǒng)，可通過(guò)在要加密的文件“屬性”對(duì)話框“常規(guī)”選項(xiàng)卡的“高級(jí)”按鈕中設(shè)置，自動(dòng)產(chǎn)生加密密鑰文件。（4）安全的網(wǎng)絡(luò)訪問(wèn)特性自動(dòng)更新功能：只要聯(lián)網(wǎng)，自動(dòng)查看是否有新的補(bǔ)丁或其他內(nèi)容可更新。系統(tǒng)自帶Internet鏈接防火墻功能關(guān)閉后門：關(guān)閉了前Windows版本中存在的后門。2、Windows Server 2003安全性（1）IIS 6.0的改進(jìn)在Windows Server 2003中需手動(dòng)安裝，可自動(dòng)探測(cè)到內(nèi)存泄露、非法訪問(wèn)及其他錯(cuò)誤。（2）活動(dòng)目錄的安全性改進(jìn)（3）數(shù)據(jù)存儲(chǔ)和保護(hù)可授權(quán)額外用戶訪問(wèn)加密文件或訪問(wèn)加密脫機(jī)文件。自動(dòng)恢復(fù)系統(tǒng)ASR可輕松恢復(fù)

42、系統(tǒng)，避免系統(tǒng)因發(fā)生錯(cuò)誤或攻擊而不能正常運(yùn)行。（4）安全方面新增功能高可信度計(jì)算：在所有產(chǎn)品中采用了高可信度計(jì)算作為關(guān)鍵技術(shù)，提高軟件環(huán)境的安全性。CRL：CRL通過(guò)檢查軟件代碼下載和安裝的位置、是否擁有可信的開發(fā)商的數(shù)字簽名、是否層被改動(dòng)等來(lái)檢驗(yàn)應(yīng)用程序是否安全和能否正常運(yùn)行。關(guān)機(jī)的“理由”：安裝了關(guān)機(jī)跟蹤器，需要在關(guān)機(jī)或重啟時(shí)提供理由，這樣可在用戶重啟系統(tǒng)之前檢測(cè)到將要接近或超過(guò)的服務(wù)器系統(tǒng)資源限制。這樣可以了解導(dǎo)致服務(wù)器性能降低的原因。命令行工具：提供了命令行的管理工具，便于完成在GUI（圖形用戶界面）方式下較難完成的操作。1、Windows XP系統(tǒng)的漏洞（1）UPnP（通用即插即用技

43、術(shù)）服務(wù)導(dǎo)致的漏洞A、NPTIFY緩沖區(qū)溢出漏洞B、產(chǎn)生DoS和DDoS攻擊的漏洞C、漏洞的解決方法： 下載程序補(bǔ)?。辉O(shè)置防火墻、禁止網(wǎng)絡(luò)外部數(shù)據(jù)包對(duì)1900號(hào)端口的連接；關(guān)閉UPnP服務(wù)等（2）遠(yuǎn)程桌面明文帳戶名傳送漏洞當(dāng)建立遠(yuǎn)程桌面連接的時(shí)候，將用戶的帳戶名以明文方式發(fā)給連接的客戶端，這樣容易被網(wǎng)絡(luò)上的嗅探程序捕獲。解決方法：“開始”菜單“設(shè)置”“控制面板”“管理工具”“服務(wù)”禁用“Universal Plug and Play Device Host”服務(wù) （3）快速帳號(hào)切換功能造成帳號(hào)鎖定漏洞用這一功能快速重復(fù)登錄一個(gè)用戶，則系統(tǒng)會(huì)錯(cuò)認(rèn)為有暴力猜測(cè)攻擊，造成全部非管理員帳號(hào)被鎖定。解決

44、方法：禁用快速用戶切換功能。（4）升級(jí)程序漏洞系統(tǒng)版本升級(jí)造成原系統(tǒng)中IE的補(bǔ)丁文件被刪除，出現(xiàn)漏洞。解決方法：從網(wǎng)站下載最新補(bǔ)?。?）Windows Media Player漏洞會(huì)產(chǎn)生信息泄露漏洞和腳本執(zhí)行漏洞。解決方法：信息泄露漏洞可以將要播放的文件先下載到本地再播放可避免。腳本執(zhí)行漏洞，只有用戶先播放一個(gè)特殊的媒體文件后又瀏覽一個(gè)經(jīng)過(guò)特殊處理的網(wǎng)頁(yè)，攻擊者才能利用該漏洞進(jìn)行成功攻擊。（6）熱鍵漏洞當(dāng)系統(tǒng)長(zhǎng)時(shí)間未用而進(jìn)入“自動(dòng)注銷”后，雖然他人沒(méi)有密碼就無(wú)法進(jìn)入桌面，但可以通過(guò)熱鍵啟動(dòng)應(yīng)用程序。解決方法：檢查可能帶來(lái)危害的熱鍵；啟動(dòng)屏幕保護(hù)程序，并設(shè)置密碼；在離開計(jì)算機(jī)時(shí)鎖定計(jì)算機(jī)。2、W

45、indows Server 2003系統(tǒng)的安全問(wèn)題（1）系統(tǒng)存在不需要身份驗(yàn)證的服務(wù)，若開放這些服務(wù)，遠(yuǎn)程用戶可不需要驗(yàn)證直接登錄系統(tǒng)。（2）應(yīng)用在系統(tǒng)中的Kerberos V5（安全身份驗(yàn)證協(xié)議）有安全漏洞，從而造成Windows Server 2003系統(tǒng)的不安全性。（3）Windows Server 2003系統(tǒng)的日志機(jī)制存在缺陷，無(wú)法追蹤攻擊者的IP地址。（4）Windows Server 2003系統(tǒng)的身份驗(yàn)證規(guī)程可以被竊聽破解。（5）在系統(tǒng)漏洞被修補(bǔ)前的安全隱患期容易被攻擊。（6）口令字可被破解：通過(guò)加密口令字典中已知短語(yǔ)，然后和口令密文進(jìn)行匹配。（7）基于TCP/IP協(xié)議的安全弱

46、點(diǎn)3、Windows系統(tǒng)服務(wù)的安全隱患Messenger服務(wù)：主要用來(lái)發(fā)送和接收系統(tǒng)管理員的Alerter服務(wù)消息，別人容易利用該功能向計(jì)算機(jī)用戶發(fā)送垃圾郵件。Application Layer Gateway Service服務(wù)：主要提供互聯(lián)網(wǎng)聯(lián)機(jī)防火墻的第三方通信協(xié)議插件的支持，較容易遭到惡意攻擊。ClipBook服務(wù)：允許任何已連接的網(wǎng)絡(luò)中的其他用戶查看本機(jī)的剪貼板。Indexing Service服務(wù)Computer Browser服務(wù)：可將當(dāng)前主機(jī)所使用網(wǎng)絡(luò)上的計(jì)算機(jī)列表提供給那些請(qǐng)求得到該列表的程序。Terminal Services服務(wù)：主要提供多會(huì)話環(huán)境，允許客戶端設(shè)備訪問(wèn)虛擬

47、的桌面會(huì)話及運(yùn)行在服務(wù)器上的基于Windows程序并打開默端口號(hào)為3389的對(duì)外端口。Remote Registry Service服務(wù)：允許遠(yuǎn)程用戶通過(guò)簡(jiǎn)單的連接就可修改本地計(jì)算機(jī)的注冊(cè)表設(shè)置。 最小的服務(wù)最小的服務(wù)+ +最小的權(quán)限最小的權(quán)限= =最大的安全最大的安全1、精簡(jiǎn)系統(tǒng)的服務(wù)組件和程序只安裝滿足當(dāng)前系統(tǒng)需要的服務(wù)，遵循最小化安裝的原則。后期需要其他服務(wù)再即時(shí)安裝即可。2、系統(tǒng)漏洞修補(bǔ)在系統(tǒng)安裝完，并且所有服務(wù)組件都安裝好后，應(yīng)及時(shí)安裝系統(tǒng)補(bǔ)丁程序。3、關(guān)閉不用的或未知的端口當(dāng)禁用一項(xiàng)服務(wù)時(shí)，可關(guān)閉其對(duì)應(yīng)的端口，防止黑客通過(guò)此端口攻擊系統(tǒng)。4、禁用危險(xiǎn)服務(wù)禁用危險(xiǎn)的服務(wù)，將入侵者可能

48、的入侵通道關(guān)閉。5、強(qiáng)化權(quán)限設(shè)置根據(jù)實(shí)際的應(yīng)用需求來(lái)設(shè)置權(quán)限，且權(quán)限的設(shè)置應(yīng)遵循最小特權(quán)原則?？梢员Ｗo(hù)用戶能夠完成所操作的任務(wù)，又能降低誤操作或攻擊對(duì)系統(tǒng)及數(shù)據(jù)造成的損失。6、規(guī)范身份驗(yàn)證機(jī)制該機(jī)制用戶確認(rèn)嘗試登錄域或訪問(wèn)網(wǎng)絡(luò)資源的任何用戶的身份，對(duì)系統(tǒng)帳戶進(jìn)行規(guī)范化管理，盡量減少使用的帳戶，因?yàn)橄到y(tǒng)的帳戶越多，攻擊者獲得合法用戶權(quán)限的概率越大。7、建立審核策略機(jī)制可跟蹤系統(tǒng)中的各類事件并將其寫入日志文件，供管理員分析、查找系統(tǒng)和應(yīng)用程序故障和分析各類安全事件。8、加強(qiáng)日志管理和保護(hù)針對(duì)不同服務(wù)設(shè)置的日志文件要加強(qiáng)管理，設(shè)置嚴(yán)格的訪問(wèn)權(quán)限。1、Linux安全性概述2、Linux安全問(wèn)題（1）文

49、件系統(tǒng)未受到保護(hù)很多系統(tǒng)重要文件沒(méi)有受到保護(hù)，可以被修改和覆蓋，經(jīng)過(guò)篡改后的文件可能造成系統(tǒng)的漏洞。（2）進(jìn)程未受到保護(hù)若黑客侵入擁有超級(jí)用戶的管理權(quán)限，完全有權(quán)終止系統(tǒng)上運(yùn)行的為系統(tǒng)功能所服務(wù)的進(jìn)程。 （3）超級(jí)用戶對(duì)系統(tǒng)操作的權(quán)限不受限制，甚至可以對(duì)現(xiàn)有的權(quán)限進(jìn)行修改超級(jí)用戶權(quán)限過(guò)大，對(duì)于很多特權(quán)進(jìn)程和系統(tǒng)服務(wù)需要超級(jí)用戶權(quán)限的，開放后會(huì)造成安全漏洞，攻擊者容易由此獲得超級(jí)用戶口令；而超級(jí)用戶若將某文件的使用權(quán)利賦予普通用戶，則也就同時(shí)將該權(quán)利賦予該普通用戶所在的同工作組用戶，使得文件的使用不安全。 通過(guò)在使用中對(duì)于Linux系統(tǒng)的不斷完善，增加各種安全機(jī)制來(lái)提高系統(tǒng)的安全性。1、身份認(rèn)證

50、機(jī)制（1）基于主體的口令或密鑰的驗(yàn)證加密時(shí)間戳：時(shí)間戳就是文件的創(chuàng)建、修改、訪問(wèn)時(shí)間。用戶首先將需要加時(shí)間戳的文件用Hash編碼加密形成摘要，然后將該摘要發(fā)送到DTS，DTS在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密（數(shù)字簽名），然后送回用戶。盤問(wèn)響應(yīng)：口令的響應(yīng)時(shí)間，限定一段時(shí)間，超過(guò)該時(shí)間口令將失去效用。（2）基于智能卡的驗(yàn)證通過(guò)預(yù)存信息到設(shè)備當(dāng)中，當(dāng)使用智能卡時(shí)，只需要核對(duì)卡中和系統(tǒng)中的預(yù)存信息即可。（3）生物識(shí)別技術(shù)基于指紋、聲音、視網(wǎng)膜等獨(dú)一無(wú)二特征的驗(yàn)證。需要事先將這些特征的相關(guān)信息存儲(chǔ)入電腦，設(shè)定好權(quán)限。2、加密文件系統(tǒng)通過(guò)加密文件系統(tǒng)對(duì)文件進(jìn)行加密處理，使文件即使失竊

51、也不會(huì)泄露信息。只給予權(quán)限的合法用戶正常使用該文件的權(quán)利，訪問(wèn)該文件與訪問(wèn)普通文件沒(méi)有區(qū)別，而其他用戶則不可讀。3、強(qiáng)制訪問(wèn)控制機(jī)制強(qiáng)制性的限制信息的共享和資源的流動(dòng)，使不同的用戶只能訪問(wèn)到與其相關(guān)的、制定范文的信息。4、防火墻技術(shù)防火墻技術(shù)是一種用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備。即對(duì)網(wǎng)絡(luò)間傳輸?shù)臄?shù)據(jù)包進(jìn)行安全檢查。（1）訪問(wèn)控制：可拒絕非授權(quán)訪問(wèn)，保護(hù)內(nèi)部用戶的合法訪問(wèn)。（2）審計(jì)：對(duì)通過(guò)防火墻的網(wǎng)絡(luò)訪問(wèn)進(jìn)行記錄，建立完整的日志、審計(jì)和跟蹤網(wǎng)絡(luò)訪問(wèn)記錄。（3）防御攻擊：給與安裝防火墻的內(nèi)部網(wǎng)絡(luò)

52、予以保護(hù)，防御外界的各種攻擊行為。（4）其他附屬功能5、入侵檢測(cè)系統(tǒng)（1）記錄入侵企圖（2）在規(guī)定情況的攻擊行為發(fā)生時(shí)，采取預(yù)先設(shè)定的措施（3）發(fā)送一些錯(cuò)誤信息給攻擊方，使攻擊方做出錯(cuò)誤判斷6、安全審計(jì)機(jī)制安全審計(jì)機(jī)制可以記錄攻擊者的行蹤，幫助系統(tǒng)管理員掌握系統(tǒng)受到的攻擊行為，并針對(duì)這些攻擊行為采取相應(yīng)的安全措施。7、內(nèi)核封裝技術(shù)保護(hù)系統(tǒng)內(nèi)核，限制了系統(tǒng)管理員的該權(quán)限，使用戶不能對(duì)內(nèi)核進(jìn)行模塊插入。1、Linux系統(tǒng)安裝的安全性考慮在初始安裝的時(shí)候，對(duì)系統(tǒng)的磁盤分區(qū)做好安全設(shè)置方案。2、安裝系統(tǒng)補(bǔ)丁安裝完系統(tǒng)后及時(shí)查看系統(tǒng)漏洞，尋找相應(yīng)的解決方案彌補(bǔ)系統(tǒng)安全缺陷。3、關(guān)閉不需要的服務(wù)端口4、為

53、LILO增加開機(jī)口令5、用戶帳戶及口令的管理可以通過(guò)設(shè)置口令的最小長(zhǎng)度（修改/etc/login.defs中PASS_MIN_LEN參數(shù)）、口令的使用時(shí)間（修改/etc/login.defs中PASS_MIN_DAYS參數(shù)），增加用戶帳戶口令的安全性。6、禁止和允許遠(yuǎn)程訪問(wèn)通過(guò)修改hosts.deny和dosts.allow兩個(gè)文件來(lái)禁止和允許遠(yuǎn)程主機(jī)對(duì)本地主機(jī)的訪問(wèn)。7、磁盤空間維護(hù)定期檢查系統(tǒng)的磁盤空間的使用情況。1、計(jì)算機(jī)病毒的發(fā)展史第一階段：原始病毒階段（19861989年）特點(diǎn)：傳染目標(biāo)單一，主要通過(guò)截獲系統(tǒng)中斷向量的方式檢視系統(tǒng)的運(yùn)行狀態(tài)。感染后磁盤上出現(xiàn)壞扇區(qū)、文件長(zhǎng)度增加、文件

54、建立時(shí)間發(fā)生改變等。沒(méi)有自我保護(hù)措施，容易被發(fā)現(xiàn)與刪除。第二階段：混合型病毒階段（19891991年）特點(diǎn)：病毒程序駐留內(nèi)存和傳染目標(biāo)更為隱蔽，傳染后沒(méi)有明顯特征，病毒本身有自我保護(hù)措施，而且容易產(chǎn)生變種病毒，具有更大的破壞性。第三階段：多態(tài)性病毒階段（19921995年）特點(diǎn)：病毒開始向多維化、多態(tài)化或自我變形化發(fā)展。即病毒程序大多都是可變的，同一個(gè)病毒的多個(gè)樣本的程序代碼大多是不同的。 第四階段：網(wǎng)絡(luò)病毒階段（20世紀(jì)90年代中后期開始）特點(diǎn)：利用網(wǎng)絡(luò)作為主要的傳播途徑，傳播速度快、隱蔽性強(qiáng)、破壞性大。第五階段：主動(dòng)攻擊型病毒（2000年至今）特點(diǎn)：病毒利用操作系統(tǒng)的漏洞進(jìn)行攻擊型的擴(kuò)散，

55、不需要任何媒介或操作。2、計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒是編寫的或在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)、影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。 3、計(jì)算機(jī)病毒發(fā)展的趨勢(shì)（1）網(wǎng)絡(luò)化：病毒的傳播與網(wǎng)絡(luò)緊密結(jié)合（2）功能的綜合化：集合文件傳染、蠕蟲、木馬和黑客程序特點(diǎn)（3）傳播渠道多樣化：通過(guò)網(wǎng)絡(luò)共享、網(wǎng)絡(luò)漏洞、網(wǎng)絡(luò)瀏覽、電子郵件等傳播（4）病毒的多平臺(tái)化：出現(xiàn)跨操作系統(tǒng)平臺(tái)的病毒1、傳染性2、潛伏性3、觸發(fā)性4、破壞性5、非授權(quán)性6、隱蔽性7、衍生性1、按計(jì)算機(jī)病毒攻擊的操作系統(tǒng)不同分類（1）攻擊DOS系統(tǒng)的病毒（2）攻擊Windows系統(tǒng)的病毒（3）攻擊Unix系統(tǒng)的病毒

56、（4）攻擊OS/2系統(tǒng)的病毒（5）攻擊NetWare系統(tǒng)的病毒（6）攻擊Linux系統(tǒng)的病毒2、按病毒的攻擊機(jī)型不同分類（1）攻擊微型計(jì)算機(jī)的病毒（2）攻擊小型機(jī)的病毒（3）攻擊工作站的病毒3、按計(jì)算機(jī)病毒的鏈接方式不同分類（1）源碼型病毒：通過(guò)攻擊高級(jí)語(yǔ)言編寫的程序，在程序編譯前插入源程序中，經(jīng)編譯成為合法程序的一部分。（2）嵌入型病毒：是將病毒嵌入現(xiàn)有程序，把病毒主體程序與攻擊對(duì)象以插入的方式鏈接。（3）外殼型病毒：病毒將自身包圍在合法程序的周圍，對(duì)程序不做修改，只是會(huì)增加文件的大?。?）操作系統(tǒng)型病毒：將病毒的程序代碼加入或替換部分操作系統(tǒng)文件。4、按計(jì)算機(jī)病毒的破壞情況不同分類（1）良

57、性計(jì)算機(jī)病毒：指對(duì)計(jì)算機(jī)系統(tǒng)不產(chǎn)生直接破壞作用的代碼，只占用內(nèi)存資源或CPU的控制權(quán)等。（2）惡性計(jì)算機(jī)病毒：指代碼中包含有損傷或破壞計(jì)算機(jī)系統(tǒng)的操作，在感染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接的破壞作用。 5、按傳播媒介不同分類（1）單機(jī)病毒：通過(guò)可移動(dòng)存儲(chǔ)設(shè)備在系統(tǒng)間傳染病毒（2）網(wǎng)絡(luò)病毒：通過(guò)網(wǎng)絡(luò)進(jìn)行傳播6、按傳染方式不同分類（1）引導(dǎo)型病毒：主要感染磁盤的引導(dǎo)區(qū)（2）文件型病毒：主要感染磁盤上的可執(zhí)行文件com、exe等，附著于可執(zhí)行文件，成為文件的外殼或部件。當(dāng)運(yùn)行受感染的文件時(shí)，才會(huì)將病毒引導(dǎo)入內(nèi)存。（3）混合型病毒：兼有引導(dǎo)型和文件型的特點(diǎn)，擴(kuò)大感染途徑。7、按病毒特有的算法不同分類（1）伴

58、隨型病毒：根據(jù)算法產(chǎn)生和原執(zhí)行文件名字相同、擴(kuò)展名不同的執(zhí)行文件，病毒將自身寫入伴隨文件中，而不改變?cè)瓐?zhí)行文件，當(dāng)執(zhí)行時(shí)優(yōu)先執(zhí)行伴隨文件，后再由伴隨體加載執(zhí)行原文件。（2）蠕蟲型病毒：通過(guò)網(wǎng)絡(luò)傳播，一般除了占用內(nèi)存，不改變文件。（3）寄生型病毒：除了伴隨型病毒和蠕蟲病毒，剩余的全部可稱為寄生型病毒。1、計(jì)算機(jī)病毒的傳播途徑（1）通過(guò)不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播（2）通過(guò)磁盤、U盤和移動(dòng)硬盤等可移動(dòng)的存儲(chǔ)介質(zhì)傳播（3）通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播（4）通過(guò)無(wú)線電等無(wú)線通信介質(zhì)進(jìn)行傳播2、計(jì)算機(jī)病毒的觸發(fā)條件（1）時(shí)間觸發(fā)：包括特定的時(shí)間觸發(fā)、感染后累計(jì)工作時(shí)間觸發(fā)及文件最后寫入時(shí)間觸發(fā)等。（2）鍵

59、盤觸發(fā)：包括擊鍵次數(shù)觸發(fā)、組合鍵觸發(fā)和熱啟動(dòng)觸發(fā)等。（3）感染觸發(fā)：病毒的感染需要某些條件觸發(fā)，而病毒又以感染有關(guān)的信息作為破壞行為的觸發(fā)條件。包括運(yùn)行感染文件個(gè)數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤數(shù)觸發(fā)和感染失敗觸發(fā)等。（4）啟動(dòng)觸發(fā)：對(duì)主機(jī)的啟動(dòng)次數(shù)計(jì)數(shù)，將此作為觸發(fā)條件。（5）訪問(wèn)磁盤次數(shù)觸發(fā)：對(duì)磁盤I/O訪問(wèn)的次數(shù)進(jìn)行計(jì)數(shù)，以預(yù)定次數(shù)作為觸發(fā)條件。（6）調(diào)用中斷功能觸發(fā)：以中斷調(diào)用次數(shù)達(dá)到預(yù)定次數(shù)作為觸發(fā)條件。（7）CPU型號(hào)/主板型號(hào)觸發(fā)：以預(yù)定的CPU型號(hào)/主板型號(hào)為觸發(fā)條件。3、計(jì)算機(jī)病毒感染的表現(xiàn)計(jì)算機(jī)運(yùn)行遲鈍、程序載入時(shí)間長(zhǎng)、存儲(chǔ)空間不足、CUP占用率高等 計(jì)算機(jī)病毒防治：通過(guò)建立

60、合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒的侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。主要分為：1、病毒防范技術(shù)：防止病毒對(duì)系統(tǒng)進(jìn)行傳染和破壞的技術(shù)手段。措施：識(shí)別文件類型和后綴，不打開不明文件；安裝防毒軟件并保持更新；對(duì)移動(dòng)存儲(chǔ)介質(zhì)打開前先殺毒；不從不可靠的渠道下載軟件；盡量使用防火墻。2、病毒檢測(cè)技術(shù)：通過(guò)一定的技術(shù)手段判斷出計(jì)算機(jī)病毒的技術(shù)。（1）特征代碼法（2）校驗(yàn)和法（3）行為檢測(cè)法（4）軟件模擬法（5）實(shí)時(shí)I/O掃描（6）網(wǎng)絡(luò)檢測(cè)法3、病毒清除技術(shù)：在檢測(cè)發(fā)現(xiàn)特定的計(jì)算機(jī)病毒的基礎(chǔ)上，根據(jù)具體病毒的消除方法，從傳染的程序中除去計(jì)算機(jī)病毒