 |
|
上海荧科信息技术有限公司是一家采用世界高新技术结晶,研究、推广和发展新技术的高科技公司。
网络防毒咨询热线:
021-28540584 64833425 64823067 |
|
| 预测:影响未来IT安全性的五种攻击手段 |
|
|
|
一、五种影响最大的攻击
1、红色代码(2001)
2、尼姆达(2001)
3、Melissa(1999)和LoveLetter(2000)
4、分布式拒绝服务攻击(2000)
5、远程控制特洛伊木马后门(1998-2000)
二、未来的五种攻击手段
1、超级蠕虫
2、隐秘攻击(StealthierAttacks)
3、利用程序自动更新存在的缺陷
4、针对路由或DNS的攻击
5、同时发生计算机网络攻击和恐怖袭击
回顾在过去五年中因特网所遭受的一连串的攻击,虽然不乏传播速度惊人、受害面惊人,或穿透深度惊人等令人们措手不及的恶意攻击,但最后都还是被人们所一一战胜。但是在经历了这一次又一次的洗礼之后,我们的网络现在是不是变得坚不可摧了呢?这是一个很难回答的问题,尽管大家都希望网络是强壮的。
根据对两百多个读者的调查,我们选出了在过去五年里影响最广,破坏最强的五种恶意攻击,并且还预测了在今后的五年中可能影响最大的五种攻击手段。
如何判断电脑是否感染了病毒
我的电脑经常出现死机、运行速度慢等异常情况,使用了多种杀毒软件也不见效,如何判断电脑异常是否是病毒在作怪?
这样的例子并不少见,特别是对于一些初级电脑用户。下面我就结合个人电脑使用及企业网络维护方面的防毒经验从以下几个方面给大家介绍介绍如何判断是否中了病毒,希望对帮助识别"真毒"有一定帮助!
病毒与软、硬件故障的区别和联系
电脑出故障不只是因为感染病毒才会有的,个人电脑使用过程中出现各种故障现象多是因为电脑本身的软、硬件故障引起的,网络上的多是由于权限设置所致。我们只有充分地了解两者的区别与联系,才能作出正确的判断,在真正病毒来了之时才会及时发现。下面我就简要列出了分别因病毒和软、硬件故障引起的一些常见电脑故障症状分析。
症状、被入侵的可能性 软、硬件故障的可能性
经常死机:病毒打开了许多文件或占用了大量内存;不稳定(如内存质量差,硬件超频性能差等);运行了大容量的软件占用了大量的内存和磁盘空间;使用了一些测试软件(有许多BUG);硬盘空间不够等等;运行网络上的软件时经常死机也许是由于网络速度太慢,所运行的程序太大,或者自己的工作站硬件配置太低。
系统无法启动:病毒修改了硬盘的引导信息,或删除了某些启动文件。如引导型病毒引导文件损坏;硬盘损坏或参数设置不正确;系统文件人为地误删除等。
文件打不开:病毒修改了文件格式;病毒修改了文件链接位置。文件损坏;硬盘损坏;文件快捷方式对应的链接位置发生了变化;原来编辑文件的软件删除了;如果是在局域网中多表现为服务器中文件存放位置发生了变化,而工作站没有及时涮新服器的内容(长时间打开了资源管理器)。
经常报告内存不够:病毒非法占用了大量内存;打开了大量的软件;运行了需内存资源的软件;系统配置不正确;内存本就不够(目前基本内存要求为128M)等。
|
|
|
 网络
杀毒热线:021- 28540584
64833425 64823067 |
|
◆ 网络病毒查杀服务概述 |
| |
|
上海荧科信息技术有限公司是最早从事局域网/网络建设管理的IT高科技公司,目前业务主要以企业局域网为主,立足上海,辐射长三角上海周边城市.我们的口号:网络问题,找荧科!
专业解决网络病毒,木马程序造成的网络瘫痪等各类问题:
网络防毒,入侵检测,防火墙,系统安全,安全管理,身份认证
,金融监控,隔离网关,反垃圾邮件等解决方案!
当企业网络与互联网连接之后,来自企业网络外围、经由网关入侵的各种威胁向企业IT提供发起了一轮又一轮攻击,让许多企业蒙受了重大损失。要想遏制病毒传播减少其企业损失,企业需要一个能够提供防病毒、防火墙、入侵检测等技术支持的整合安全防护产品。但是为了让这些技术充分发挥功效、易于管理维护,同时又节约成本,企业就不能只对这些防护功能进行简单堆砌,而且需要一种能够将其全部集成的安全解决方案来检测、防御、响应每种威胁。
随着这两年网络攻击事件频繁的出现,并且基本上多数都是来自应用层的攻击较多。荧科安全解决方案就以现今信息安全发展动态,将新的服务对象重点放到了对应用层的攻击防范和应用服务上。
我们的百兆防火墙增加了SMTP代理、反向SMTP代理、POP3代理、防邮件炸弹、邮件滥用保护系统、与防病毒服务器的联动等,同时防火墙还能对邮件的内容进行有效的过滤和限制,如邮件内容中的关键字、邮件地址、邮件的大小、携带附件的大小、邮件的转发、拒绝与内部域不符的邮件、限制每个原地址的会话数等应用层的邮件过滤功能 |
|
从“熊猫烧香”病毒看企业基本防范
“熊猫烧香”是一个传染型的DownLoad,使用Delphi编写,从技术上来说它并没有什么创新之处,却借鉴很多经典病毒,木马甚至是流氓软件的技术优点。综合成了一个拥有可爱的图标却让人闻之色变的病毒。任何一个技术单一拿出来杀毒软件都能应付,但是综合到一起这只“熊猫”却反过来让众多杀毒软件成了它“烧香”时的拜忌品。它的运行原理并不复杂,无非是“复制文件到系统目录和根目录”,”添加注册表启动项“,“利用微软自动播放功能运行”,“针对计算机本身攻击弱口令”,“利用IE浏览器漏洞在网页文件中添加脚本代码”等等一些并不算“最新先进”的技术。但就是这些“不算最新”的技术却在全国上下揭起了一股“烧香”热潮。由此说明,我们有大部分网民缺乏最基本的网络安全防范知识,也缺少良好的上网习惯。如果用户能及早打好系统补丁,为系统管理帐户设置复杂无规律的密码,关掉一些不需用到却存在安全隐患(如139,445等)的端口,,同时关闭非“系统必须”的“自动播放”功能。对.gho
的系统备份文件设置为“只读”,那么“熊猫烧香”也不至于流传这么广,这么快,也不至于很多企事业单位整个局域网电脑都集体“烧香”
。 |
|
|
|
|
| ◆ 堵住黑客非法入侵的11点原则 |
|
1.产品的攻击检测数量为多少?是否支持升级?
IDS的主要指标是它能发现的入侵方式的数量,几乎每个星期都有新的漏洞和攻击方法出现,产品的升级方式是否灵活直接影响到它功能的发挥。一个好的实时检测产品应该能经常性升级,并可通过互联网或下载升级包在本地升级。
2.对于网络入侵检测系统,最大可处理流量(PPS)是多少?
首先,要分析网络入侵检测系统所布署的网络环境,如果在512K或2M专线上布署网络入侵检测系统,则不需要高速的入侵检测引擎,而在负荷较高的环境中,性能是一个非常重要的指标。
3.产品容易被攻击者躲避吗?
有些常用的躲开入侵检测的方法,如:分片、TTL欺骗、异常TCP分段、慢扫描、协同攻击等。产品在设计时是否考虑到这一点。
4.能否自定义异常事件?
IDS对特殊的监控需求只能通过用户自己定制监控策略实现。一个优秀的IDS产品,必须提供灵活的用户自定义策略能力,包括对服务、访问者、被访问者、端口、关键字以及事件的响应方式等策略。
5.产品系统结构是否合理?
一个成熟的产品,必须是集成了基于百兆网络、基于千兆网络、基于主机的三种技术和系统。
传统的IDS大多是两层结构,即“控制台→探测器”结构,一些先进的IDS产品开始采用三层架构进行部署,即“控制台→事件收集器+安全数据库→探测器”结构,对于大型网络来说,三层结构更加易于实现分布部署和集中管理,从而提高安全决策的集中性。如果没有远程管理能力,对于大型网络基本不具备可用性。
6.产品的误报和漏报率如何?
有些IDS系统经常发出许多假警,假警报常常掩盖了真攻击。这些产品在假警报重负下一再崩溃,而当真正攻击出现时,有些IDS产品不能捕获攻击,而另一些IDS产品的报告混杂在假警报中,很容易被错过。过分复杂的界面使关掉假警报非常困难,几乎所有IDS产品在默认设置状态下都会产生非常多的假警报,给用户带来许多麻烦。
7.系统本身是否安全?
IDS系统记录了企业最敏感的数据,必须有自我保护机制,防止成为黑客的攻击目标。
8.产品实时监控性能如何?
由IDS通信造成的对网络的负载不能影响正常的网络业务,必须对数据进行实时分析,否则无法在有攻击时保护网络,所以必须考虑网络入侵检测产品正常工作的最大带宽数。
9.系统是否易用?
系统的易用性包括五个方面:
界面易用——全中文界面,方便易学,操作简便灵活。
帮助易用——在监控到异常事件时能够立刻查看报警事件的帮助信息,同时在联机帮助中能够按照多种方式查看产品帮助。
策略编辑易用——能否提供单独的策略编辑器?可否同时编辑多个策略?是否提供策略打印功能。
日志报告易用——是否提供灵活的报告定制能力。
报警事件优化技术——是否针对报警事件进行优化处理,将用户从海量日志中解放出来,先进的IDS能够将一定时间内的类似事件经过优化处理后合并进行报警,这样,用户面对的日志信息不仅更为清晰而且避免错过重要报警信息。
10.特征库升级与维护的费用怎样?
像反病毒软件一样,入侵检测的特征库需要不断更新才能检测出新出现的攻击方法。
11.产品是否通过了国家权威机构的评测?
主要的权威评测机构有:国家信息安全评测认证中心、公安部计算机信息系统安全产品质量监督检验中心等。
另外,购买IDS产品需要考虑多种因素,上面只是基本的要点。由于用户的实际情况不同,用户可根据自己的安全需要综合考虑。
病毒防范日常注意小方法
病毒总是会想方设法地入侵我们的电脑搞破坏,虽然你可以使用反病毒之类的软件,但也绝不能忽视平时的预防工作。“御敌于国门之外”是最理想的,所以建议大家应采用“防为先”的原则来对付病毒。下面的防毒、治毒观点,希望对大家有所借鉴。
1.先制作一张应急盘
制作一个无毒的系统应急引导盘是非常非常必要的,最好还要复制一个反病毒软件和一些你认为比较实用的工具软件到这个盘上,然后关上写保护。
2.谨防入口
有了好用的东东,我们都喜欢与朋友共享,但在交换使用软盘或光盘时一定要用KVW3000等类似的反病毒软件进行扫描查毒工作!根据经验,建议你在扫描病毒前最好不要用软盘启动系统,君不见,90%以上的病毒是引导型病毒?也不要执行未检验的压缩文件,比如从网上Down的文件(在网吧里还是可以考虑的^_^)。还有,劝大家要小心电子邮件的附件(虽然有些从表面上看是文本形式的),即使是朋友发过来的也别轻易就去双击运行。
3.实施备份
对于我们在日常工作中辛辛苦苦创作的论文、费时费力地从网上收集来的各种资料,这都是你的劳动成果,应该是至少每周进行一次备份,而且最好是进行异地备份(就是备份到你的电脑之外的存储设备,比如软盘或USB移动硬盘)。这样当电脑内的文件万一被病毒破坏后,它们就派上大用场了,当然在此之前一定要确认你的备份文件是“干净”的。
4.“我的电脑”
你的私人电脑,最好不要让别人随便乱动:菜鸟会动不动就在上面来个“误操作”什么的,大虾也难免想借你的爱机试试他刚“研究”的几板斧。不管是哪种情况都有可能让你的资料瞬间全无,哭都来不及!所以至少你要严防他人在你的电脑上使用他自己的软盘或光盘,不管他是有意还是无意的。
5.留心异状
奉劝各位一句:平时使用电脑时一定要细心加小心地注意它的表现,如果发觉有异常症状出现,比如速度慢得像蜗牛、256MB的内存竟然不够、突然增加一些从未谋面的文件、系统或自己熟悉的文件长度有所增减等,你的第一反应就应该是:中毒了!!!此时你务必要停下手头的工作,马上进行病毒的查杀,千万马虎不得!否则,你的损失只能是越来越严重,若等到系统崩溃、一切化为乌有的那一刻,就悔之晚矣!
6.不忘升级
安装了反病毒软件并不是一劳永逸的,千万别让病毒从反病毒软件的眼皮底下溜入系统。所以你要时常关心反病毒方面的报道或常到对应的反病毒厂商的网页上溜达溜达,了解最近病毒的活动动向,更新病毒的查杀代码,升级你的反病毒软件。
|
|
 |
|
提示硬盘空间不够:病毒复制了大量的病毒文件(这个遇到过好几例,有时好端端的近10G硬盘安装了一个WIN98或WINNT4.0系统就说没空间了,一安装软件就提示硬盘空间不够。硬盘每个分区容量太小;安装了大量的大容量软件;所有软件都集中安装在一个分区之中;硬盘本身就小;如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制,因查看的是整个网络盘的大小,其实"私人盘"上容量已用完了。
软盘等设备未访问时出读写信号:病毒感染;软盘取走了还在打开曾经在软盘中打开过的文件。
出现大量来历不明的文件:病毒复制文件;可能是一些软件安装中产生的临时文件;也或许是一些软件的配置信息及运行记录。
启动黑屏:病毒感染(记忆最深的是98年的4.26,我为CIH付出了好几千元的代价,那天我第一次开机到了Windows画面就死机了,第二次再开机就什么也没有了);显示器故障;显示卡故障;主板故障;超频过度;CPU损坏等等
数据丢失:病毒删除了文件;硬盘扇区损坏;因恢复文件而覆盖原文件;如果是在网络上的文件,也可能是由于其它用户误删除了。
|
|
