教学目标

了解计算机病毒的特性和分类 　 了解黑客的攻击技术及应对方法 　 了解防火墙的定义及两种防火墙的实现原理

教学内容

黑客攻击的目的与手段 　 　     黑客为那些利用某种计算机技术或其它手段，善意或恶意地进入其非授权范围以内的计算机或网络空间的人。 　 特洛伊木马攻击和远程控制 　 　     特洛伊木马是一个包含在一个合法程序中的非法程序，该非法程序被用户在不知情的状态下被执行。 　  邮件炸弹与拒绝服务 　 　 　　邮件炸弹是指在短时间内连续发送大量的邮件给同一收件人，使得收件人的信箱爆满至崩溃而无法正常收发邮件。 　 发现黑客 　 　      可以根据一些特征发现黑客。 　  防范黑客的措施 　 　     随着以漏洞扫描和入侵检测为代表的动态检测技术和产品的发展，相应的动态安全模型也得到发展。APDRR-SP黑客入侵防护体系模型是一个动态的、基于时间变化的、互联互动、多层次的体系模型。

重点/难点

防止黑客入侵

黑客攻击的目的与手段

“黑客”是英文“hacker”的译音，本意为“喜欢探索软件奥秘的技艺高超的人”，“快客”是英文“cracker”的译音，为“破译者和搞破坏的人”。但是公众常将两者混为一谈，把他们都看成是入侵计算机和恶意破坏数据的人。为了理解的方便，可定义为：黑客为那些利用某种计算机技术或其它手段，善意或恶意地进入其非授权范围以内的计算机或网络空间的人。 　　1. 黑客攻击的目的 　　黑客攻击的目的主要是为了窃取信息，获取口令，控制中间站点和获得超级用户权限。其中窃取信息是黑客最主要的目的，窃取信息不一定只是复制该信息，还包括对信息的更改、替换和删除，也包括把机密信息公开发布等行为。 　　黑客攻击的三个阶段是 　　(1) 确定目标 　　(2) 收集与攻击目标相关的信息，并找出系统的安全漏洞 　　(3) 实施攻击 　　2. 黑客攻击的手段 　　黑客攻击通常采用扫描器和网络监听手段。 　　扫描器是指自动监测远程或本地主机安全性弱点的程序。可以被黑客利用的扫描器有主机存活扫描器、端口扫描器和漏洞扫描器。说明：这里所指的端口不是指物理意义上的端口，而是特指TCP/IP协议中的端口。 　　网络监听是指获取在网络上传输的信息。网络监听只是被动“窃听”信息，并不直接攻击目标。但是，在以太网中，用户的帐号和密码都是明文形式在内部网传输，因此黑客常用网络监听来寻找防护薄弱的主机，利用入侵该薄弱主机作为“跳板”来攻击同网段的服务器。

特洛伊木马攻击和远程控制

1. 有关特洛伊木马 　　简单地说，特洛伊木马是一个包含在一个合法程序中的非法程序，该非法程序被用户在不知情的状态下被执行。 　　特洛伊木马的名称来自古希腊的特洛伊木马神话。传说希腊人围攻特洛伊城，久攻不下，于是设下木马计，让一队精兵藏匿于巨大的木马中，大部队假装撤退而将木马弃于城外。特洛伊人中计将木马作为战利品拖入城中，精兵们在夜晚特洛伊人欢庆胜利的时候乘机爬出木马，与城外部队里应外合攻下特洛伊城。 　　特洛伊木马一般有两个程序：服务器程序和控制器程序。假如计算机被安装了服务器程序，则黑客就可以使用控制器进入计算机，通过命令服务器程序达到控制该台计算机的目的。这就是远程控制。 　　2. 特洛伊木马控制远程计算机的过程 　　(1) 木马服务端程序的植入 　　攻击者要通过木马攻击用户的系统，一般他所要作的第一步就是要把木马的服务器端程序植入用户的电脑里面。植入的方法有：通过下载的软件、交互脚本、利用系统漏洞。 　　(2) 木马将入侵主机信息发送给攻击者 　　木马在被植入攻击主机后，会通过一定的方式把入侵主机的信息，如主机的IP地址、木马植入的端口等发送给攻击者，这样攻击者就可以与木马里应外合控制受攻击主机。 　　(3) 木马程序启动并发挥作用 　　黑客通常都是和用户的电脑中木马程序联系，当木马程序在用户的电脑中存在的时候，黑客就可以通过控制器端的软件来命令木马。 　　特洛伊木马要能发挥作用必须具备以下三个因素： 　　① 木马需要一种启动方式，一般在注册表启动组中； 　　② 木马需要在内存中才能发挥作用； 　　③ 木马会打开特别的端口，以便黑客通过这个端口和木马联系。 　　3. 特洛伊程序的删除 　　删除木马最简单的方法是安装杀毒软件，现在很多杀毒软件都能删除多种木马。但是由于木马的种类和花样越来越多，有的木马在启动后会被加载到注册表的启动组中，所以手动删除是最好的办法。例如，先用杀毒软件附带的注册表恢复工具来删除木马的键值，然后再手动删除木马的程序。

邮件炸弹与拒绝服务

1. 邮件炸弹和垃圾邮件的区别 　　邮件炸弹是指在短时间内连续发送大量的邮件给同一收件人，使得收件人的信箱爆满至崩溃而无法正常收发邮件。 　　垃圾邮件是指将同一邮件一次寄给多个收件人。一般的垃圾邮件不会对收件人邮箱造成伤害。 　　2. 拒绝服务概述 　　拒绝服务（Denial of Service）简称DoS，是指有大批量非法的用户请求使计算机硬件、软件或者两者同时失去工作能力，使得当前的系统不可访问并因此拒绝合法的用户服务请求，因此合法的系统用户不能及时得到服务或资源。 　　拒绝服务的显著特征是入侵者企图阻止合法用户访问可用资源。入侵的方式通常为：黑客传送很多要求确认的信息给服务器，并且设定虚假地址，要求服务器回复信息给虚假地址。当服务器试图回传时，找不到用户，不得不等待一段时间后再切断连接，但是在服务器切断接连时，黑客又用不同的虚假地址传送一批要求确认的信息。这样周而复始，最终导致服务器崩溃，拒绝所有的服务请求。 　　邮件炸弹可能会导致邮件服务器拒绝服务。

发现黑客

网络被黑客入侵的情况有以下四种： 　  ☆　黑客获得访问权（获得帐号和口令）； 　  ☆　黑客获得访问权，并窃取数据； 　  ☆　黑客获得访问权，捕获系统的部分甚至整个控制权，拒绝某些合法用户的访问； 　  ☆　黑客没有获得访问权，但是用不良程序，引起网络系统持久性或暂时性的运行失败、重新启动或其它无法操作的状态。 　　可以根据以下特征发现黑客： 　  ☆　管理员发现有其他人使用超级用户的帐号登录系统； 　  ☆　某个用户短期内通过不同地址多次登录； 　  ☆　原来不活跃的用户，最近突然十分活跃； 　  ☆　多出一些未授权的用户等。

防范黑客的措施

1. 防范黑客入侵的管理措施 　　(1) 事前阶段：系统安装防火墙，进行正确配置；对管理员和用户进行培训。 　　(2) 事中阶段：加强监控、监测，尽早发现异常，及时中止非法进程。 　　(3) 事后阶段：夺回控制权，断开网络，恢复系统和数据；提高系统的安全性，更新安全策略，重新连接网络。 　　2. 黑客入侵防护体系的模型 　　随着以漏洞扫描和入侵检测为代表的动态检测技术和产品的发展，相应的动态安全模型也得到发展。APDRR-SP黑客入侵防护体系模型是一个动态的、基于时间变化的、互联互动、多层次的体系模型。它以分析（Analysis）、保护（Protection）、监测（Detection）、响应（Response）、恢复（Restoration）和安全策略（Security Policy）为元素构成一个闭环。