华东师大网络基础建设 常潘 pchang@ecnu.edu.cn

主要内容介绍 系统漏洞及常见网络攻击手段 病毒（蠕虫）技术发展及防范 木马技术介绍及防范措施 托管服务器的建议 2 此页列出学习本课程需要达到的目标。 此页胶片仅在授课时使用，胶片＋注释中有单独的文字说明课程目标，不需要再使用该页胶片。 2

微软安全漏洞 2007年 69个 2008年78个 2009年已经发布49个漏洞补丁 3 此页为了让学员和老师对课程安排有一个大致的了解。 此页列出本课程的主要培训标题，列出每章的名称即可。如果章下面的节不多，在此页可以一并列出。 此页胶片仅在授课时使用，胶片＋注释中有专门的目录和标题，不需要重复使用该页面。 3

面对漏洞我们应该怎么做？ 打补丁。以往的统计数字表明，及时打补丁能有效防止大多数病毒爆发。 攻击名称 补丁发布日期 攻击开始日期 可利用时间 Worm.sasser 2004年4月13日 2004年5月1日 18天 MS Blaster 2003年7月15日 2003年8月10日 26天 Trojan.Kaht 2003年3月17日 2003年5月5日 49天 SQL Slammer 2002年7月24日 2003年1月24日 184天 Klez-E 2001年3月29日 2002年1月17日 294天 Nimda 2000年10月17日 2001年9月18日 336天 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 4

怎样打补丁？ 对用户进行安全培训，形成定期更新系统的习惯。 Windows系统尽量开启自动定时更新，以减少网络管理人员的工作量。 对重要系统实行手动更新，更新前做好备份和记录工作。 在需要打补丁的系统数量多的情况下，使用补丁管理系统，实现补丁的扫描、分发和安装。 系统管理服务器（Systems Management Server） 终端服务（Terminal services） AppExpress、Landesk 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。

病毒的分类 1995年以前 1996 - 1998年 1999年以後 引导区病毒 DOS 病毒 Windows 病毒 宏病毒 Script 病毒 Java 病毒 1999年以後 特洛伊木马、蠕虫、 恶作剧程序、 黑客工具 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 6

攻击和威胁转移到服务器和互连网网关，对之提出新的安全挑战 当今病毒演化趋势 病毒演化趋势 邮件/互联网 Code Red Nimda Goner 2001 2002… 邮件 Bubbleboy Melissa 1999 2000 Love Letter 1981 物理介质 Apple 1,2,3 Brain 1986 1994 Good Times 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 攻击和威胁转移到服务器和互连网网关，对之提出新的安全挑战 7

病毒的发展趋势 病毒更新换代向多元化发展 依赖网络进行传播 攻击方式多样（邮件，网页，局域网等） 利用系统漏洞成为病毒有力的传播方式 病毒与黑客技术相融合 伪装的更巧妙。 svchost.exe等，看起来和系统程序很接近 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 8

病毒的危害 占用系统资源，使被感染主机运行速度变得极为缓慢甚至崩溃，正常应用无法运行。 占用大量网络带宽，甚至使网络瘫痪。 对特定著名服务器发动DOS攻击。如微软、yahoo、google等。 反复重启系统，如冲击波、震荡波等 攻击防病毒软件。 放置木马、后门，偷取商业信息及个人、企业用户的隐私。 其他 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 9

病毒入侵途径 Firewall Router Internet/HTTP 中毒的网站主机 Internet/HTTP 网页夹带HTTP病毒指令 Firewall Router 用户机虽已经安装防病毒软件,但病毒(HTTP指令格式)经由网页浏览,透过IE的安全性漏洞,直接感染用户机 有安装防毒软件的用户机 10

病毒的应对措施 病毒防治，对学校而言已是一个整体安全问题，不再是单纯的买几套装软件就可以解决问题的。 学校需要集中管理 Central Control。 系统维护, 病毒特征码定期，及时更新... 找出并有效防堵所有病毒入侵管道。 11

如何才能有效防治病毒 预防为主 + 紧急措施 控制传染源 建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的软件升级，各种杀毒软件病毒库的升级。 对邮件服务器进行监控，防止带毒邮件进行传播。 对局域网用户进行安全培训 去掉服务器中不必要的共享和服务 控制传染源 Internet网关 90%病毒的入侵渠道 网络客户机 其余10%病毒的入侵渠道 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 12

如何才能有效防治病毒 控制病毒的扩散途径 客户端、PC安装反病毒防火墙 培训，养成不打开来历不明的邮件的习惯。尤其不要打开附件。 邮件服务器 Web服务器 文件服务器 客户端、PC安装反病毒防火墙 培训，养成不打开来历不明的邮件的习惯。尤其不要打开附件。 选择最快的升级途径，包括对操作系统和反病毒软件的升级。 通过Internet升级进行每天/每小时的升级 企业网内防毒产品自动部署机制 安装，随时升级 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 13

如何才能有效防治病毒 集中的管理 集中的病毒警报机制 集中的安全产品部署、策略部署和升级机制 集中的系统日志、报告机制 14 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 14

最危险的病毒－－木马 木马，其实质只是一个非法的、未经许可安装和运行的网络客户端/服务器程序。 有明确的窃取敏感信息和恶意控制主机的意图，如窃取银行帐户密码。 非常隐蔽，非专业人员很难发现其踪迹。 难以清除。 对受害者造成的损失巨大。 15

凡是你在PC前所说、所做的一切，都有可能被记录！ 偷窥用户信息 凡是你在PC前所说、所做的一切，都有可能被记录！ 木马具有捕获每一个用户屏幕、每一次键击事件的能力。 完全的控制宿主主机。可以打开摄像头、麦克风，并将得到的图像、声音传给木马控制者（2004.6发现的蜜蜂大盗）。 带有包嗅探器，它能够捕获和分析流经网卡的每一个数据包 随意操控PC本身资源的能力，而且还能够冒充PC合法用户，例如冒充合法用户发送邮件、修改文档，甚至进行银行转帐操作。 16

校园网现有核心出口拓扑结构图 盗取包括工商银行、招商银行、建设银行、交通银行、深圳发展银行、民生银行、华夏银行、上海银行等银行及付费通、支付宝、中国在线支付网、银联支付网关等三家网上支付机构的帐号、密码、验证码等 每隔10毫秒检查一次用户是否正在使用涉及到的银行“个人网上银行”的登陆界面 记录用户键入的所有键盘记录 每隔60秒搜索一次记录数据，然后把窃取到的信息以get方式发送到指定的http://*****.com/****/get.asp 17

木马的植入 利用系统漏洞，远程下载并执行木马安装程序。 捆绑在下载的其他软件中，用户安装该软件的同时安装木马，特别是各种破解软件、所谓绿色版软件。 伪装为其他软件（如小工具、漂亮的屏保等）。 利用IE漏洞可以通过Script、ActiveX及Asp、PHP、Cgi等交互脚本的方式植入。 电子邮件（如谎称是朋友寄给你的贺卡等）。 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 18

木马的隐藏及启动 在任务栏里隐形 在任务管理器里隐形 无进程、无端口的DLL（动态链接库）木马 自动启动（注册表、win.ini、system.ini等） 捆绑到其他的程序上（如打开某个盘符） Dll的形式注入到系统服务中，随服务的启动而启动 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 19

木马的反弹技术及多线程技术 反弹技术：由木马服务端主动连接客户端，因此在互联网上可以访问到局域网里通过 NAT 代理(透明代理)上网的电脑，并且可以穿过防火墙，例如灰鸽子。 一个木马同时运行多个线程。例如：三个线程，其中一个为主线程，负责远程控制的工作。另外两个为辅助线程，其中一个辅助线程称为监视线程，它负责检查木马程序是否被删除和是否被停止自启动。 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 20

木马病毒的防范 不要打开来历不明的文件，包括邮件附件和P2P软件发过来的文件。 非必须打开的服务、端口全部关闭。 保持操作系统的更新，减少漏洞。 安装个人防火墙软件。 下载软件要到可信的知名网站。并仔细阅读安装说明，如果为https网站，要检查安全证书的授权 此页标题禁止有多级标题，更不要出现所在章节的名称。 此页标题要简练，能直接表达出本页的内容。 内容页可以除标题外的任何版式，如图、表等。 该页在授课和胶片＋注释中都要使用。 21

是否中木马 留意系统一些可疑状况，如系统速度突然变慢、CPU利用率上升、没有进行任何网络相关操作时、网络连接显示在接收和发送数据、硬盘频繁读盘等。 无法获取IP地址、可以ping通，但不能浏览网页 使用工具（如netstat －a、TcpView等）查看是否有可疑的连接 查看c:\、c:\windows、c:\windows\system、 c:\windows\system32等位置有没有可疑文件 查看注册表特定位置有没有可疑的信息 22

发现木马后的处理 立即断开网络连接 所有在本机使用过的账号和密码都要马上更改，例如网上银行，拨号连接，ICQ，FTP，你的个人站点，免费邮箱等等 根据发现的线索确定木马的名称版本，在备份好重要数据之后，用专杀工具或手动清除木马。 实在不行后，重装系统往往是最快和最有效的办法 23

清除木马的过程 停止木马进程，无法停止的话则需要进入安全模式。 清除自启动的途径，包括注册表、 autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys等 删除木马体，如冰河的kernel32.exe、sysexplr.exe 清除文件关联 使用工具 木马克星 Trojan Remover 24

我校提供的安全措施 Windows自动更新 杀毒软件 建议用户安装的软件 请访问http://202.120.80.12，下载update.exe执行后重启系统，会立即下载各种安全漏洞补丁 杀毒软件 http://norton.ecnu.edu.cn，安装杀毒软件。 建议用户安装的软件 360安全卫士 Windows defender 25

对各部门托管服务器及虚拟空间的要求 为防止托管服务器死机以及重新安装操作系统的便捷性，我们从上学期开始要求新托管的服务器必须配备远程控制卡，一旦死机，远程可以直接重新启动服务器以及安装操作系统 托管服务器要能每天登录查看补丁及病毒库的更新状况 托管服务器能每天备份数据到另外一台机器 托管服务器的超级用户要重命名，防止口令猜测攻击 更改远程桌面的端口号，最好不使用3389端口 开启防火墙服务，只允许80和远程桌面端口及ping 采用sql server的系统，最好能将网页的sql验证改为windows集成认证，同时设置强sa密码。access数据库为了防止下载,最好改成不规则的命名,同时将.mdb改为.asp或.aspx 26

对各部门托管服务器及虚拟空间的要求 应用软件的选择：能够使用jsp编写的尽可能选择jsp，操作系统也尽可能选择非windows系统，网页最好不用从网站上下载模板，因为模板的网页管理这一部分存在很多漏洞以及后门，很容易被利用 27