点 不当带来的问题 允许数据包直接通过,存在遭受数据驱动式攻击 的潜在危险 同的服务器 速度较慢 对用户不透明,用户需要改变客不能彻底防止地址欺骗 户端程序 数据包中只有来自哪台机器的信息,不包含来自 哪个用户的信息,不支持用户认证 不能理解特定服务的上下文环境,相应控制只能在高层由代理服务和应用层网关来完成 不提供日志功能 速度较慢,不太适用于高速网(ATM或 千兆位Intranet等)之间的应用 不能改进底层协议的安全性 不能保证免受所有协议弱点的限制 (1)代理服务器对整个IP数据包的数据进行扫描,因此能够比包过滤器提供更详细的日志文件。
(2)如果数据包和包过滤规则匹配,就允许数据包通过防火墙;而代理服务器要用新的源IP地址重建数据包,这样对外隐藏了内部用户。
26
(3)使用代理服务器,意味着在Internet上必须有一个服务器,且内部主机不能直接与外部主机相连,因此带有恶意攻击的外部数据包也就不能到达内部主机。
(4)对网络通信而言,如果包过滤器由于某种原因不能工作,可能出现的结果是所有的数据包都能到达内部网;而如果代理服务器由于某种原因不能工作,整个网络通信将被终止。
计算机病毒防治
1.计算机病毒的概念
计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用并能自我复制的一组计算机指令或者程序代码。
计算机病毒赖以生存的基础是现代计算机都具有相同的工作原理和操作系统的脆弱性,以及网络协议中的安全漏洞。特别是在个人计算机中,系统的基本控制功能对用户是公开的,可以通过调用和修改系统的中断,取得对系统的控制权,从而对系统程序和其他程序进行任意处理。
2. 计算机病毒的特点
1) 发生侵害的主动性 2) 传染性 3) 隐蔽性
27
4) 表现性 5) 破坏性 6)难确定性 3。计算机病毒的分类
1)按其破坏性,可分为:良性病毒和恶性病毒。
2)按其传染途径,可分为:驻留内存型病毒和非驻留内存型病毒。 3)按连接方式,可分为:源码型、入侵型、操作系统型和外壳型病毒。
4)按寄生方式, 可分为:引导型病毒、文件型病毒以及集两种病毒特性于一体的复合型病毒和宏病毒、网络病毒。
5)其他一些分类方式,按照计算机病毒攻击的操作系统;按照计算机病毒激活的时间;按计算机病毒攻击的机型。 4。计算机病毒的工作机理
计算机病毒能够感染的只有可执行代码,按照可执行代码的种类可以将计算机病毒分为引导型病毒、文件型病毒、宏病毒和网络病毒四大类。
(1) 引导型病毒的工作机理 引导扇区是硬盘或软盘的第一个扇区,是存放引导指令的地方,这些引导指令对于操作系统的装载起着十分重要的作用。一般来说,引导扇区在CPU的运行过程中最先获得对CPU的控制权,病毒一旦控制了引导扇区,也就意味着病毒控制了整个计算机系统。 引导型病毒程序会用自己的代码替换原始的引导扇区信息,并把这些信息转移到磁盘的其他扇区中。当
28
系统需要访问这些引导数据信息时,病毒程序会将系统引导到存储这些引导信息的新扇区,从而使系统无法发觉引导信息的转移,增强了病毒自身的隐蔽性。
(2) 文件型病毒的工作机理 文件型病毒攻击的对象是可执行程序,病毒程序将自己附着或追加在后缀名为.exe或.com的可执行文件上。当感染了该类病毒的可执行文件运行时,病毒程序将在系统中进行它的破坏行动。同时,它将驻留在内存中,试图感染其他文件。当该类病毒完成了它的工作之后,其宿主程序才得到运行,使一切看起来很正常。
(3)宏病毒的工作机理 为了减少用户的重复劳作,例如进行相似的操作,Office提供了一种所谓宏的功能。利用这个功能,用户可以把一系列的操作记录下来,作为一个宏。之后只要运行这个宏,计算机就能自动地重复执行那些定义在宏中的所有操作。这种宏操作一方面方便了普通的计算机用户,另一方面却也给病毒制造者提供了可乘之机。宏病毒是一种专门感染 Office系列文档的恶性病毒。
(4)网络病毒的工作机理 Remote Explorer的破坏作用: 一方面它需要通过网络方可实施有效的传播;另一方面,它要想真正地攻入网络(无论是局域网还是广域网),本身必须具备系统管理员的权限,如果不具备此权限,则它只能够对当前被感染的主机中的文件和目录起作用。 该病毒仅在Windows NT Server和Windows NT Workstation平台上起作用,专门感染.exe文件。
29
5。常见的恶意代码
恶意代码是一种程序,它通常 在不被察觉的情况下把代码寄宿到另一段程序中,从而达到破坏被感染的计算机数据、运行具有入侵性或破坏性的程序、破坏被感染的系统数据的安全性和完整性的目的。
常见的恶意代码分类如下:
需要宿主的程序恶意代码可以独立运行的程序病毒细菌蠕虫
后门逻辑炸弹特洛伊木马
复制
恶意代码分类示意图
6。木马
“特洛伊木马”的英文名称为Trojan Horse(其名称取自希腊神话的《特洛伊木马记》),是指表面看上去对人们有用或有趣,但实际上却有害的东西,并且它的破坏性是隐蔽的。 计算机中的木马是一种基于远程控制的黑客工具,采用客户机/服务器工作模式。它通常包含控制端和被控制端两部分。被控制端的木马程序一旦植入受害者的计算机(简称宿主)中,操纵者就可以在控制端实时监视该用
30