第5章 网络后门与网络隐身_y.ppt

版权所有，盗版必纠 5.2 网络后门 2. 后门实例 版权所有，盗版必纠 5.2 网络后门 3. 后门的防御方法 后门的防范相对于木马来说，更加的困难，因为系统本身就包括远程桌面、远程协助这些可以进行远程维护的后门，所以对用户来讲更加的困难。 (1) 首先对使用的操作系统以及软件要有充分的了解，确定它们之中是否存在后门。如果存在的话就需要及时关闭，以免这些后门被黑客所利用，比如系统的远程桌面、远程协助等。 (2) 关闭系统中不必要的服务，这些服务中有相当一部分对于个人用户来说不但没有作用，而且安全方面也存在很大的隐患，比如Remote Registry、Terminal Services等，这样同样可以防范系统服务被黑客利用。 版权所有，盗版必纠 5.2 网络后门 (3) 安装网络防火墙，这样可以有效地对黑客发出的连接命令进行拦截。即使是自己的系统被黑客安装了后门程序，也能阻止黑客的进一步控制操作。 (4) 安装必威体育精装版版本的杀毒软件，并且将病毒库升级到必威体育精装版的版本。另外再安装一个注册表监控程序，可以随时对注册表的变化进行监控，有效地防范后门的入侵。 版权所有，盗版必纠 5.3 清除攻击痕迹 操作系统日志是对操作系统中的操作或活动进行的记录，不管是用户对计算机的操作还是应用程序的运行情况都能全面记录下来。黑客在非法入侵电脑以后所有行动的过程也会被日志记录在案。所以黑客在攻击之后，如果删除这些日志记录，就显得很重要了。 虽然一个日志的存在不能提供完全的可记录性，但日志能使系统管理员和安全官员做到： 1. 发现试图攻击系统安全的重复举动（例如：一个攻击者试图冒充administrator或root登录）。 2. 跟踪那些想要越权的用户（例如：那些使用sudo 命令作为root 执行命令的用户）。 3. 跟踪异常的使用模式（例如：有人在工作时间以外的时间登录计算机）。 4. 实时跟踪侵入者。 版权所有，盗版必纠 5.3 清除攻击痕迹 5.3.1 Windows下清除攻击痕迹 Windows下的日志信息可以在“控制面板”-“管理工具”-“事件查看器”当中找到。如图5.17所示为事件查看器中的应用程序日志。如图5.18所示为事件查看器中的安全日志。如图5.19所示为事件查看器中的系统日志。 版权所有，盗版必纠 5.3 清除攻击痕迹 5.3.1 Windows下清除攻击痕迹 版权所有，盗版必纠 5.3 清除攻击痕迹 5.3.1 Windows下清除攻击痕迹 版权所有，盗版必纠 5.3 清除攻击痕迹 这三种日志文件的存放位置分别如下： 1. 安全日志文件默认位置：%systemroot%\system32\config\SecEvent.EVT。 2. 系统日志文件默认位置：%systemroot%\system32\config\SysEvent.EVT。 3. 应用程序日志文件：%systemroot%\system32\config\AppEvent.EVT。 版权所有，盗版必纠 5.3 清除攻击痕迹 这三种日志文件的存放位置分别如下： 版权所有，盗版必纠 5.3 清除攻击痕迹 5.3.2 Unix下清除攻击痕迹 不同版本的Unix日志文件的目录是不同的，最常用的目录如下： /usr/adm 早期版本的 Unix /var/adm 较新版本的 Unix /var/log 用于Solaris,Linux,BSD等 /etc Unix system V早期版本 在这些目录或其子目录下，可以找到以下日志文件（也许是其中的一部分）： lastlog 记录用户最后一次成功登录时间 loginlog 不良的登陆尝试记录 版权所有，盗版必纠 5.3 清除攻击痕迹 messages 记录输出到系统主控台以及由syslog系统服务程序产生的消息 utmp 记录当前登录的每个用户 utmpx 扩展的utmp wtmp 记录每一次用户登录和注销的历史信息 wtmpx 扩展的wtmp vold.log 记录使用外部介质出现的错误 xferkig 记录Ftp的存取情况 sulog 记录su命令的使用情况 acct 记录每个用户使用过的命令 aculog 拨出自动呼叫记录 版权所有，盗版必纠 作业题 1. 什么是木马？如何防范木马攻击？ 2. 什么是后门，后门与木马的异同点在哪里？ 3. 查看Windows操作系统的日志文件。 4. 基于socket编写基本的数据通信程序，写出编程总结。 TCP/IP协议被集成到操作系统的内核中，引入了新型的“I/O”操作 进行网络操作的两个进程在不同的机器上，如何连接？ 网络协议具有多样性，如何进行统一的操作 独立于具体协议的网络编程接口 在ISO模型中，主要位于会话层和传输层