参考的主要网站.doc

上台報告---網路安全 第三組 鄭端儀 參考的主要網站： 1、網路安全 .tw/cc/train/sec/tsld002.htm 2、 .tw/region/tw/press/tw_031014.html 3、DoS、DDoS .tw/backup/37/security.htm 4、 /taiwan/technet/itsolutions/net/plan/idc/msa15s03.htm 5、簡易防火牆 /gate/big5//www/special/linux12.asp 6、鳥哥的Linux與ADSL文件 / (還有一本書---鳥哥的私房菜) 報告的方向： 先介紹網路上常見的問題(∵報告只有十分鐘，所以投影片上刪減不少…) 製造大量流量癱瘓網路又可分為三種情形：1.竊取頻寬；2.DoS (Denial-of-Service)阻斷服務攻擊；3.DDoS (Distributed DoS)分散式阻斷服務攻擊。第一種情形往往出現在對外頻寬充裕的單位，入侵者潛入主機執行proxy功能的程式利用對方的對外頻寬，不過由於近來TANet對外並不是很快，這種攻擊已經許久未見了。至於DoS攻擊中，最有名的就是Yahoo!事件最著名，Yahoo因這個攻擊有數小時無法提供服務，演變成全世界的新聞事件，而這類的攻擊前一陣子TANet上也發生了不少。攻擊者會先在網路上尋找幾部安全性有問題的電腦，植入攻擊程式，再伺機命令它們對欲攻擊的目標進行攻擊，攻擊時大多使用ICMP或UDP封包，由於這兩種協定本身並不會根據網路狀態控制流量，往往會佔滿整條專線的頻寬，不論是遭受攻擊的網路或是被當作攻擊跳板的網路，使用者都對明顯感覺到網路變得很慢。這類攻擊行為並不會對造成實值上的破壞，只是引起使用上的不便。利用程式上的漏洞，入侵或破壞主機由於某些服務程式設計上的漏洞，使得入侵者可藉此取得 superuser 的權利，只要遭到這類的攻擊，入侵者可以在您的主機內為所欲為，入侵者也常常利用這些主機，再對其它的系統進行破壞。有這類問題的程式其實不少，許多服務程式都曾發生過這類的漏洞，像 sendmail, bind, qpopper, Solris 的 RPC, Windows IIS Server....等這些非常有名的程式皆曾有這類的安全漏洞，尤其越公開原始碼的程式，駭客們可以直接看程式，找出有可能會發生問題的地方(Buffer overflow ... )，然而商業版的軟體也不見得比較安全，像IIS Script的漏洞，更是誇張到令人不敢相信的地步。 特洛依木馬 特洛伊木馬是 Trojan Horse 的中譯，是借自木馬屠城記中那只木馬的名稱。古希臘有大軍圍攻特洛伊城，逾年無法攻下。 有人獻計製造一隻高二丈的大木馬假裝作戰馬神，攻擊數天後仍然無功，遂留下木馬拔營而去。城中得到解圍的消息，及得到木馬這個奇異的戰利品，全城飲酒狂歡。 到午夜時份，全城軍民盡入夢鄉，匿於木馬中的將士開暗門垂繩而下，開啟城門及四處縱火，城外伏兵湧入，焚屠特洛伊城。後世稱這只木馬為特洛伊木馬，現今電腦術語借用其名，意思是一經進入，後患無窮。 特洛伊木馬原則上它和Laplink 、 PCanywhere 等程式一樣，只是一種遠端管理工具。 而且本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)；但卻常常被視之為病毒。原因是如果有人不當的使用，破壞力可以比病毒更強。 木馬攻擊原理 特洛伊木馬是一個程式，它駐留在目標電腦裡，可以隨電腦自動啟動並在某一連接進行偵聽，在對接收的資料識別後，對目標電腦執行特定的****作。 木馬，其實只是一個使用連接進行通訊的網路客戶/伺服器程式。 基本概念：網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端)，另一台主機接受伺服器(客戶端)。 作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen)，如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request)，伺服端上的相對應程式就會自動執行，來回覆客戶端的請求。對於特洛伊木馬，被控制端就成為一台伺服器。特洛伊木馬隱身方法木馬程式會想盡一切辦法隱藏自己，主要途徑有：在工作程序中隱形：將程式設為「系統伺服器」可以偽裝自己。 當然它也會悄無聲息地啟動，木馬會在每次使用者啟動時自動載入伺服器端，Windows系統啟動時自動載入應用程式的方法，「木馬」都會用上，如：win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。 　　在win.ini檔案中，在[WINDOWS]下面，「run=」和「load=」是可能載入「木馬」程式的途徑，一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案