◼ 一般情况下,病毒是依据其能够进行自我复制即传染性的特点而定义的
◼ 木马主要是根据它的有效载体,或者是其功能来定义的,更多情况下是根据其意图来定义的
- 自我复制和传播
◼ 木马一般不进行自我复制,但具有寄生性,如捆绑在合法程序中得到安装、启动木马的权限,DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中
◼ 木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性, 但我们习惯上将其纳入广义病毒,也就是说,木马也是广义病毒的一个子类
- 意图
◼ 木马的最终意图是窃取信息、实施远程监控
◼ 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是 否具有隐蔽性、是否具有非授权性
2.5.2 木马的组成
木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序) 三部分组成。
2.5.3 木马攻击过程
木马通道与远程控制
◼ 木马连接建立后,控制端端口和服务端木马端口之间将会出现一条通道;
◼ 控制端上的控制端程序可借助这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制,实现的 远程控制就如同本地操作
2.5.4 传播方式
- 捆绑欺骗
◼ 把木马服务端和某个游戏/软件捆绑成一个文件
◼ 通过即时通讯工具、邮件、下载工具等渠道发送出去
- 钓鱼欺骗(Phishing)
◼ 构造一个链接或者一个网页
◼ 利用社会工程学欺骗方法
◼ 欺骗用户输入某些个人,隐私信息,然后窃取个人隐私
- 漏洞攻击
◼ 利用操作系统和应用软件的漏洞进行的攻击
- 网页挂马
◼ 网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。
◼ 浏览者在打开该页面的时候,这段代码被执行, 然后下载并运行某木马的服务器端程序,进而控制浏览者的主机
三、防火墙技术
3.1 防火墙基础
3.1.1 基本概念
防火墙:过滤!
实现一个机构的安全策略
创建一个阻塞点
记录internet 活动
限制网络暴露
什么是防火墙?
- 防火墙是设置在用户网络和外界之间的一道屏障,防止不可预料的、潜在的破坏侵入用户网络;
- 防火墙在开放和封闭的界面上构造一个保护层,属于内部范围的业务,依照协议在授权许可下进行;外部对内部网络的访问受到防火墙的限制
防火墙功能
- 过滤进出网络的数据
- 管理进出网络的访问行为
- 封堵某些禁止的访问行为
- 记录通过防火墙的信息内容和活动
- 对网络攻击进行检测和告警
防火墙分类
3.1.2 访问控制机制
访问控制机制的演变
1、路由器—>ACL 访问控制列表
2、包过滤防火墙—>根据IP五元组判断能否通过
3、状态监测防火墙—>根据应用判断能否通过
4、应用代理防火墙—>根据应用判断能否通过
5、多检测机制防火墙—>根据多个IP包判断整体应用后判断能否通过
6、多功能集成网关(下一代防火墙 )—>嵌入多种防护功能,经过多层过滤后判断能否通过
1. 包过滤防火墙
数据包过滤(Packet Filtering)技术在网络层对数据包进行选择, 选择的依据是系统内设置的过滤逻辑,即访问控制表(Access Control List,ACL)
- 包过滤防火墙分为静态包过滤、动态包过滤防火墙
- 包检查器并不是检查数据包的所有内容,只检查报头(IP、TCP头部)