收藏
下载资源

竹苗区网研习课程网路安全系列电脑网路病毒防治教程教案

上传人:yulij****0329 文档编号:136642512 上传时间:2020-06-30 格式:PPT 页数:39 大小:390.50KB
返回 下载 相关 举报
竹苗区网研习课程网路安全系列电脑网路病毒防治教程教案_第1页
第1页 / 共39页
竹苗区网研习课程网路安全系列电脑网路病毒防治教程教案_第2页
第2页 / 共39页
竹苗区网研习课程网路安全系列电脑网路病毒防治教程教案_第3页
第3页 / 共39页
竹苗区网研习课程网路安全系列电脑网路病毒防治教程教案_第4页
第4页 / 共39页
竹苗区网研习课程网路安全系列电脑网路病毒防治教程教案_第5页
第5页 / 共39页
点击查看更多>>
资源描述

《竹苗区网研习课程网路安全系列电脑网路病毒防治教程教案》由会员分享,可在线阅读,更多相关《竹苗区网研习课程网路安全系列电脑网路病毒防治教程教案(39页珍藏版)》请在金锄头文库上搜索。

1、2001.11.21,電腦網路病毒防治,TANet竹苗區網研習課程 網路安全系列 電腦網路病毒防治,陳昌盛 技術師 交通大學計算機與網路中心 90.11.21,2001.11.21,電腦網路病毒防治,課程概要,電腦網路系統端的防護簡介 電腦病毒簡介 電腦病毒防護模式 怎樣偵測電腦病毒? 怎樣移除電腦病毒? 系統防護案例 參考資料,2001.11.21,電腦網路病毒防治,1.電腦網路系統端的防護簡介,基本名詞 (term) Proxy server代理伺服器 Firewall 防火牆 Agent 代理人 Computer Virus 電腦網路病毒 Network Worm SPAM Mail I

2、DS (Intrusion Detection System),2001.11.21,電腦網路病毒防治,Application Server,DNS,External firewall,Ipfw, ipchain, ipf,Internet,MRTG Traffic monitor,NIDS (e.g. snort),Misuse Detection -Port scan, CGI attacks, etc,Statistic Analysis Aguri, Netflow, etc.,Two-phase Anomaly Detection,Internal firewall,SMTP, WW

3、W, etc,DNS Server Host,client,LAN,Network Intrusion Detection System 網路入侵偵測,2001.11.21,電腦網路病毒防治,Network Protection System,Firewall Packet filtering proxy Information Gateway Proxy/Caching server E-mail Filtering System (e.g. anti-spam, anti-virus, anti-worm) Intrusion Detection System IDS or NIDS (

4、Network Intrusion Detection System) Misuse pattern matching Anomaly detection,2001.11.21,電腦網路病毒防治,網路流量分析與追蹤,了解各類主要應用的正常流量 (netflow) 流量異常的可能原因 系統工作或設定不正常 系統被入侵, 當作攻擊他站的跳板 系統被偽裝使用 e.g. 以 tcp port 25 跑其他非 SMTP 程式 其他,2001.11.21,電腦網路病毒防治,TANet 整體流量分布 2000.10,2001.11.21,電腦網路病毒防治,2.電腦病毒概念簡介,什麼是 “電腦病毒” ? 電腦

5、病毒的傳染途徑. 電腦病毒的簡單分類. 如何防範電腦病毒.,2001.11.21,電腦網路病毒防治,電腦病毒的基本定義,一般來說,病毒泛指一些能夠影響電腦正常運作的有害程式。 一九八六年,可令個人電腦的操作受到影響的電腦病毒首次被人發現。 此後,病毒的數目不斷上升。 病毒發作所造成的破壞程度參差不同,其影響可小至僅僅對屏幕的顯示 造成滋擾,以至電腦儲存的珍貴資料受到破壞。,2001.11.21,電腦網路病毒防治,關於電腦網路病毒,電腦病毒與生物病毒有很多相似之處 兩者均需要貯 存在一個主體內。就電腦病毒而言,主體通常 指受感染的檔案磁碟。 兩者均可自行 衍生 ,由一個主體感染另一個主體。 最後

6、, 通常兩類病毒均會對主體造成損害。 兩者之間最 少有一點是不同 電腦病毒是由人類編寫而 產生的,而生物病毒則是自然而生。,2001.11.21,電腦網路病毒防治,電腦病毒入侵的途徑,幾個常見的散佈途徑 經由 e-mail 的夾帶檔 (attachment) 經由網際網路的下載區 經由軟碟磁片或抽取可攜式硬碟,2001.11.21,電腦網路病毒防治,電腦病毒一般分類(1),開機磁區病毒 開機磁區病毒會感染軟碟內的開機磁區及硬碟,而且也能夠感染用戶硬碟內的主開機磁區。 一但電腦機件中毒,病毒已駐留在記憶體內,每一個經受感染電腦讀取過的軟碟都會受到感染。 檔案型病毒 檔案型病毒,又稱寄生病毒,運行

7、於記憶體,通常感染執行檔案。每次執行受感染的檔案時,病毒便會發作:病毒會將自己複製到其他執行檔案並於發作後仍可長留在記憶體。,2001.11.21,電腦網路病毒防治,電腦病毒一般分類(2),複合型病毒 具有開機磁區病毒和檔案型病毒的雙重特點。 巨集病毒 巨集病毒專門針對特定的應用軟體,可感染依附於某些應用軟件內的巨集指令,如Microsoft Word 和Excel。巨集病毒採用程式語言撰寫,例如Visual Basic 或 Corel Draw,而這些又是易於掌握的程式語言。,2001.11.21,電腦網路病毒防治,電腦病毒一般分類(3),worm (蠕蟲) 蠕蟲是一種會自我複製, 經由網路

8、擴散的程式。 它跟病毒有所不同,它不會附在一個主程式內。 它會用盡電腦資源、修改系統設定及最終令系統死機。 隨著互聯網的普及,蠕蟲利用電郵系統去複製,例如把自己隱藏於附件並於短時間內電郵予多個用戶。 近期知名例子 SirCam (E-mail), Code Red (IIS), Nimda (IIS, TFTP, )等,2001.11.21,電腦網路病毒防治,電腦病毒一般分類(4),Trojan horse (特洛伊木馬) 程式 特洛伊或特洛伊木馬是一個看似正當的程式,但事實上當執行時會進行一些惡性及不正當的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬碟內的程式或數據。與病毒的分別是

9、特洛伊不會複製自己,只會駐留在電腦內作破壞或讓黑客作遠程遙控。特洛伊通常隱藏在一些免費遊戲或工具程式。 典型例子: Back Orifice (或 NetBus)特洛伊木馬於1998年發現,是一個Windows遠程管理工具,讓用戶利用簡單控制台或視窗應用程式,透過TCP/IP去遠程遙控電腦。,2001.11.21,電腦網路病毒防治,電腦病毒一般分類(5),其他新型病毒/惡性代碼 Java 病毒 ActiveX objects VB Script 病毒 超文本標示語言 (英文簡稱HTML) 病毒,2001.11.21,電腦網路病毒防治,3.電腦病毒防護模式,運作模式 個人用戶 ISP 線上掃毒

10、網路系統篇,2001.11.21,電腦網路病毒防治,電腦病毒防護基本素養,不隨意打開郵件內夾帶的程式或檔案 不隨意轉寄不明軟體 定期利用掃毒軟體, 掃描系統 定期修補系統漏洞,2001.11.21,電腦網路病毒防治,常見防毒軟體及系統供應商,Symantec (Norton; 賽門鐵克) McAfee PC-Cillin (Trend Micro ;趨勢科技 ),2001.11.21,電腦網路病毒防治,4.怎樣偵測電腦病毒?,病毒及預防病毒的唯一真理, 是沒有絕對安全的保安措施。 以下是一些偵測病毒的方法: 留意任何電腦操作上的異動 使用常駐記憶體的防毒軟體,持續監察電腦是否受病毒感染 。 使

11、用防毒軟體對硬碟機進行掃描。確保使用最新的病毒碼,而用戶最少每週更新病毒碼一次。 使用伺服器專用的防毒軟體保護網絡。此外,可考慮使用以應用系統為本的防毒軟體 。,2001.11.21,電腦網路病毒防治,電腦病毒感染的癥候,程式的執行時間比正常的需時較久 可用記憶體或硬碟空間突然減少 不正常的訊息, 顯示在電腦螢幕上 不定期, 出現不正常的聲響或音樂 硬碟的名稱, 突然變調了,2001.11.21,電腦網路病毒防治,5.怎樣移除電腦病毒?,立即停止使用受感染的電腦,(並且停止把電腦與網路接駁)因為病毒會隨時發作。繼續使用受感染的電腦,只會加速該病毒的擴散。 以備份檔案恢復系統是最穩妥而有效的方法

12、 。 在某些情況,可使用緊急恢復磁碟把開機磁區、分割控制表以至基本輸入輸出系統的數據恢復 。 如果沒有最新的備份檔案,可嘗試使用防毒軟體把病毒移 除。,2001.11.21,電腦網路病毒防治,6.系統防護案例,電腦網路系統端的防護措施 基本網路防護架構 從 Code Red (Worm) 談 web proxy, router 等系統防護 從 SirCam (E-mail virus) 談 SMTP server 等系統的防護,2001.11.21,電腦網路病毒防治,WCCP 協定簡介,2001.11.21,電腦網路病毒防治,Transparent Proxy/caching 運作示意圖,In

13、ternet,1,2,3,HD cache,4,5,6,7a,7b,Router/Layer4 SW,Proxy/Caching Server,優點: 用戶設定簡單 (甚至不用任何設定) 缺點: 使用效率較差(router/switch),2001.11.21,電腦網路病毒防治,Reverse Transparent Proxy 運作示意圖,Internet,1,7,Router/Layer4 SW,Proxy/Caching Server,優點: 可以過濾不當的輸入連線 (e.g.病毒攻擊) 缺點: 使用效率較差(router/switch),2,3,4,5,WWW server,6,8,2

14、001.11.21,電腦網路病毒防治,系統規劃與建置,CodeRed Common TCP Port 80 Breeding but not destroying 快速變化 destination IP address 留下後門 Nimda 多重感染途徑 Log 分析與追蹤 Squid access log Router access list 人工通知,2001.11.21,電腦網路病毒防治,系統規劃與建置 (Cont.),Cisco Router 6000 Proxy Server Farm Squid PC*10 Log 分析與追蹤 Squid access log Router acc

15、ess list 人工通知,2001.11.21,電腦網路病毒防治,效能評估,Proxy Server Load - 1.0 最大 9.6 Mbits / sec 最大 2000 pps Router CPU 100% 最大 12000 pps Router (with filter) CPU 40%,2001.11.21,電腦網路病毒防治,效能評估 (Cont.),效能瓶頸 WCCP redirection 使用硬體 WCCP module Higher-level Router PC processing power CPU, NIC Nimda 34 hosts, 294367 atta

16、cks/min 10 hosts, 21549 attacks/min 3 hosts, 8810 attacks/min,2001.11.21,電腦網路病毒防治,Threats to the Operation of a Typical Mail System,SPAM Mail internal or external UCE/UBE Unsolicited Commercial Mail Unsolicited Bulk Mail E-mail Virus Other DoS attacks,2001.11.21,電腦網路病毒防治,Incoming SMTP Gateway,SMTP POP3/IMAP,SMTP,Outgoing SMTP Gateway,source,destination,Firewall, filtering,Firewall, filtering,Generic E-mail Transmission Path,1,2,3,4,5,6

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件 > 高中课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号