计算机病毒的分类
1.根据病毒的传播媒体,病毒可以划分为网络病毒、文件病毒、和引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件。文件病毒感染计算机中的文件(如:COM,BAT,EXE,DOC等文件),并通过这些文件的使用不断地复制自身,以摧毁整个系统,引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。
事实上,随着“病毒技术”的不断进步,现在的病毒大多数是这三种情况的综合型,例如,著名的CHI病毒就是一个典型,这个病毒初期通过Internet传播到世界上的每一个角落,而本身又寄生在文件中,在内存调用文件时感染下一个文件,然后损坏引导区,继续向下感染和传播,最终使全球无数计算机难逃劫难。
2.根据病毒的破坏能力分类可以分为:
基本无害型:除了传染时减少磁盘的可用空间外,对系统没有其他影响,但对于这样的病毒也不可以掉以轻心,它们的变种往往会大量吞噬掉硬盘的空间。
基本无危险型:这类病毒仅仅是减少内存,显示图像,发出声音。这样的病毒事实上是一个恶作剧的计算机程序,编写者自称这样的程序是跟计算机的使用者开一个玩笑或者以此来证明自己的计算机水平,但它终究是一个病毒,没有人愿意在工作中的时候听到或者看到一些令人厌恶的声音或图像。
危险型:这类病毒在计算机系统操作中造成严重的错误。无数次的“蓝屏”和“非法操作”最终使计算机系统崩溃。
极端危险型:这类病毒属于恶性病毒,它们不仅删除程序,破坏数据,清楚系统内存区和操作系统中重要信息,甚至破坏计算机硬件设备,重写BIOS,修改硬盘引导区信息,让你的电脑不停地重新启动等等都是它们的拿手好戏,典型的就是CHI病毒和震荡波病毒。
3.根据病毒特有的算法分类:
伴随型病毒 这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如,XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当Dos加载文件时,有限执行伴随体,再由伴随体加载成原来的EXE文件。
“蠕虫型”型病毒 通过计算机网络传播,不改变文件和资料信息,利用网络从一台计算机的内存传播到其他机器的内存,计算机网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其他资源,这种病毒的攻击对象主要是网络,其破坏性结果往往使整个网络瘫痪。
寄生性病毒 除了伴随性和“蠕虫”型,其他病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,这种病毒往往不是立即发作,还有一段潜伏期,在潜伏期内通过各种途径迅速地传播和蔓延,最后通过触发条件发作。
综上,病毒的分类是一个很模糊的概念,越是高级的病毒,其算法就越复杂,传播途径就越多,破坏力就越强。
病毒的攻击对象
如果计算机已经感染病毒,会出现什么症状?不同的症状是病毒攻击了计算机不同的部分造成的,病毒攻击对象以及表现特征有以下几种:
1.攻击系统数据域 工具部位包括:硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来数。攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。
2.攻击文件 病毒对文件的攻击方式很多,如删除,改名,替换内容,丢失部分程序代码,内容颠倒,写入时间空白,变碎片,假冒文件,丢失文件簇和丢失文件。
3.攻击内存 内存是计算机的重要资源,也是病毒的主要攻击目标,病毒额外地占用和消耗系统内存资源,可以导致一些大程序受阻。如占用大量内存,禁止分配内存及蚕食内存。
4.干扰系统运行 病毒会干扰系统的正常运行,以此作为自己的破坏行为。此类行为也是花样繁多,如不执行命令,干扰内部指令的执行,虚假报警,打不开文件,占用特殊数据区,换现行盘,时钟倒装,重启动,死机,强制游戏和扰乱串并行口。
5.占用资源 病毒激活时,其内部的时间延迟程序启动。在时钟中纳入了时间的循环计数,迫使计算机空转,计算机速度明显下降。
6.扰乱屏幕显示 病毒扰乱屏幕显示的方式很多,如字符跌落、环绕、倒置、显示前一屏、光标下跃、滚动、抖动、乱写、颜色显示异常和无图标等等。
7.键盘 病毒干扰键盘操作,如响铃、封锁键盘、换字、抹掉缓存区字符、重复和输入紊乱等等。
8.攻击CMOS 在机器的COMS区中,保存着系统的重要数据,例如系统时钟,磁盘类型及内存容量等,有的病毒激活时,能够对CMOS区进行写入动作,破坏系统CMOS中的数据。
9.吞噬网络资源 最明显的就是“蠕虫”病毒,其明显特征是网络速度变慢,系统反应迟钝。
防毒措施:
通常采用的办法是用专业的查毒软件工具检查系统,通过检查,如果计算机已经感染了病毒,则要尽快进行杀毒,因此我们平时电脑要安装一个防病毒的软件。在检查文件时,硬盘上的所有文件都有可能感染病毒。检查完硬盘上所有的文件还必须对硬的引导扇区进行检查,一些隐藏在硬盘引导扇区的病毒是最容易被人遗忘的,要使计算机时刻保持正常状态,对病毒的预防是首要的。
不要用盗版光盘,在这些光盘中经常带有大量的病毒,已经成为传播计算机病毒的一个重要途径。
在因特网上下载软件时,应该到一些知名的网站上去下载,一些来历不明的软件很可能就携带了病毒,下载后也不要忘了用查毒软件查毒。
对重要的数据和硬盘引导区等进行备份,以防不测。
黑客攻击的常用手段:
1.密码侵入 就是用一些软件解开加密文档,但是,许多忠于此术的黑客并不采用这种方法而是用一种可以绕开或屏蔽密码保护的程序,对于那些可以解开或屏蔽密码保护的程序通常称为Crack。
2.特洛伊木马 最为广泛的方法就是把某一特定程序依附在某一合法用户程序中,这时,合法用户的程序代码已经被改变,而一旦用户触发该程序,那么依附在内的黑客指令代码同事被激活,这些代码往往能完成黑客早已指定的任务。由于这种入侵法需要黑客有很好的编程经验,且要更改代码,要有一定的权限,所以较难掌握,但是正因为它的复杂性,一般的管理员很难发现,对于黑客来说就要有一点耐心了。
3.监听法 目前局域网上基本上都采用以广播为技术基础的以太网,任何两个节点之间的通信数据包,不仅为这两个节点的网卡所接收,也同时为处在同一以太网上的任何一个节点的网卡所截取,以此,黑客只要接入以太网的任一节点进行侦听,就可以捕获发生在这个以太网卡的所有数据包,对其进行解包分析,从而窃取关键信息,这就是以太网所固有的安全隐患。如软件Sniffer网络嗅探器就是通过这种途径来监听网络中的数据流向,它可以截获密码,可以截获秘密信息,可以用来攻击相邻的网络。
网络防火墙
防火墙是网络安全工具中最早成熟,最早产品化的,网络防火墙一般定义在两个网络执行访问控制策略的一个或一组系统。防火墙可以分为两类,即边界式防火墙和分布式防火墙。
边界式防火墙按特点可分为:屏蔽路由器、应用网关、屏蔽主机网关、被屏蔽子网等几种。
屏蔽路由器
最简单和最流行的防火墙形式是“屏蔽路由器”。一般说来,屏蔽路由器类型的防火墙具有以下优点:
通常其性能要优于其他类型的防火墙
规则设置简单
不需要客户端计算机进行专门的配置
通过NAT(网络地址转换),可以对外部用户屏蔽内部IP地址。
但其本身也有一些缺点:
无法识别到应用层协议,也无法对协议子集进行约束
通常不能提供其他附加功能,如HTTP的目标缓存,URL过滤以及认证等
只能控制信息进出,但细心的人可以看到,入侵者可能访问到防火墙主机的服务器,换句话说,入侵者可以攻击到防火墙主机,从而带来安全隐患。
没有或缺乏审计追踪,从而也就缺乏报警机制。
由于对众多网络服务的“广泛”支持所造成的复杂性,很难对规则有效性进行测试
应用网关
通常被配置为“双宿主网关”,具有两个网络接口卡,同时接入内部和外部网,由于网关可以与两个网络通信,它是安装传递数据软件的理想位置,这种软件就是“代理”,通常是为其所提供的服务定制的。
代理级防火墙和屏蔽路由器一样具有一些共同的特点,例如:
可以识别并实施高层的协议,如HTTP和FTP等
包含通过防火墙服务器的通信信息,可以提供源于部分传输层、全部应用层和部分会话层的信息。
可以用于禁止访问特定的网络服务,而允许其他服务的使用,能够处理数据包
可以屏蔽掉内部网的IP地址,这是因为代理服务器不允许外部和内部主机间直接通信,因此内部主机名对外部是不可用的。
屏蔽主机网关
屏蔽主机网关易于实现也是最为安全。一个堡垒主机安装在内部网络上,通常在路由器上设立过滤器规则,并使用这个堡垒主机成为从外部网络惟一可直接达到的主机,这确保了内部网络不受未被授权的外部用户的攻击,如果受保护网是一个虚拟扩展的本地网,即没有子网和路由器,那么内部网的变化不影响堡垒主机和屏蔽路由器的配置,危险带限制在堡垒主机和屏蔽路由器,网关的基本校制策略由安装在上面的软件决定,如果攻击者设法登陆到它上面,内网中的其余主机就会受到很大的威胁,这与应用网关受攻击时的情形差不多。
被屏蔽子网
被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网,并且通过两台分组多虑路由器将这一子网分别与内部网络和外部网络分开。在很多案例的实现上,两台分组过滤器路由器均放在子网的两端。
边界式防火墙的原理和分类
防火墙根据其工作原理分为3种:包过滤防火墙、代理服务器和状态监视器。
包过滤防火墙
包过滤(Packet Filter)是在网络层中对数据包实施有选择地放行,依据系统事先设定好的过滤逻辑,检查数据流中的每个数据包,根据数据包的源地址、目的地址以及包所使用的端口确定是否允许该类数据包通过。
配置繁琐是包过滤防火墙的一个缺点。它阻挡别人进入内部网络,但也不告诉何人进入系统,或者何人从内部进入网际网路,包过滤另一个关键弱点就是不能在用户级别上进行过滤,即不能鉴别不同的用户和防止IP地址被盗用。
包过滤型防火墙是某种意义上的绝对安全的系统
代理服务器(Proxy Server)
也成为应用级防火墙,包过滤防火墙可以按照IP地址来禁止未授权者的访问。但是它不适合单位用来控制内部人员访问外界网络,对于这样的企业来说,应用级防火墙是更好的选择,所谓代理服务,即防火墙内外的计算机系统应用层的连接是在两个终止于代理服务的连接来实现的。这样便成功地实现而来防火墙内外计算机系统的隔离。
代理服务器像真的墙一样档在内部用户和外界之间,特别是从外面来的访问者只能看到代理服务器而看不到任何内部资源,诸如用户的IP地址等。而内部客户根本感觉不到它的存在,可以自由访问外部站点,但代理服务器同时也存在一些不足,特别是它会使网络的访问速度变慢,因为它不允许用户直接访问网路,而代理又要处理入和出的通信量,因此每增加一种新的媒体应用,则必须对代理进行设置。
状态监视器(Stateful Inspection)
状态监视器作为防火墙技术其安全特性最佳,它采用了一个在网关上执行网络安全策略的软件引擎,称之为检测模块。检测模块在不影响网络正常工作的前提下,采用抽样相关数据的方法对网络通信的各层实施检监测,抽取部分数据,即状态信息,并动态地保存起来作为以后制定安全决策的参考。
边界防火墙的缺点
结构性受限
边界防火墙的工作机理依赖于网络的拓扑结构。例如家庭移动办公和服务器托管越来越普遍,所谓内联网已经变成一个逻辑上的概念,实际的内部物理网已经很模糊;另一方面,电子商务的应用要求商务伙伴之间在一定权限下可以进入大量彼此的内部网络,所以说,内联网的边界已经是一个逻辑的边界。物理的边界日趋模糊,边界防火墙的应用受到了愈来愈多的结构性限制。
内部不够安全
边界防火墙设置安全策略的一个基本假设是:网络的一般即外部的所有人是不可信任的,另一边即内部的所有人是可信任的,但在实际环境中,80%的攻击和越权访问来自于内部,也就是说,边界防火墙在对付网络安全的主要威胁时束手无策。基于以上的缺陷,诞生了一种新兴的防火墙技术“分布式防火墙”(Distributed Firewalls),它能够有效地防止来自内部网络攻击。
分布式防火墙
从狭义来讲,分布式防火墙产品是指那些驻留在网络中主机(如服务器或桌面机)并对主机系统自身提供安全防护的产品;从广义来讲,“分布式防火墙”是一种新的防火墙体系结构。
1.分布式防火墙结构的组成
分布式防火墙由网络防火墙、主机防火墙和中心管理三部分组成。边界防火墙只是网络中的单一设备,管理是局部的,对分布式防火墙来说,每个防火墙作为安全检测机制,可以根据安全性的不同要求不是在网络中的任何位置上,但总体安全策略有是统一策划和管理,安全策略的分发及日志的汇总都是中心管理应具备的功能,中心管理是分布式防火墙系统的核心和重要特征之一。
2.分布式防火墙的优点
分布式防火墙,在局域网尤其是大型局域网中的典型应用优点如下:
系统安全性
增加了针对主机的入侵监测和防护功能
加强了对来自内部攻击的防范
可以实施全方位的安全策略
提供了多层次立体的防范体系。
系统性能的保证
消除了结构性瓶颈问题,提高/系统性能
系统的扩展性
随系统扩充提供了安全防护无限扩充的能力
代表性的主机防火墙
0 Response to “局域网安全维护”