第一部分：計算機病毒防治 一、什么是計算機病毒 ?? 計算機病毒不同于生物醫學上的“病毒”，計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用并能自我復制的一組計算機指令或者程序代碼。由于它的所做所為與生物病毒很相像，人們才給它起了這么一個“響亮”的名字。與生物病毒不同的是幾乎所有的計算機病毒都是人為地故意制造出來的，有時一旦擴散出來后連制造者自己也無法控制。它已經不是一個簡單的技術問題，而是一個嚴重的社會問題了。目前，全球已有的計算機病毒約7萬余種。 ?? 下面我們將生物醫學病毒與感染IBM-PC機的DOS環境下的病毒的特征進行對比。 生物病毒 計算機病毒 攻擊生物機體特定細胞 攻擊特定程序（所有*.COM 和*.EXE文 件[針對MS-DOS環境]） 修改細胞的遺傳信息，使病毒在被感染的細胞中繁殖 操縱程序使被感染程序能復制病毒程序 被感染的細胞不再重復感染，并且被感染的機體很長時間沒有癥狀 很多計算機病毒只感染程序一次，被感染的程序很長時間可以正常運行 病毒并非感染所有的細胞，并且病毒可以產生變異 程序能夠加上免疫標志，防止感染。但計算機病毒能夠修改自身使免疫失效 二、網絡蠕蟲和特洛伊木馬程序 ?? 1988年一個由美國CORNELL大學研究生莫里斯編寫的蠕蟲病毒蔓延造成了數千臺計算機停機，蠕蟲病毒開始現身網絡。而后來的紅色代碼，尼姆達病毒瘋狂的時候，造成幾十億美元的損失。2003年1月26日, 一種名為“2003蠕蟲王”的蠕蟲病毒迅速傳播并襲擊了全球，致使互聯網網路嚴重堵塞，互聯網域名服務器癱瘓，造成網民瀏覽互聯網網頁及收發電子郵件的速度大幅減緩, 同時銀行自動提款機的運作中斷, 機票等網絡預訂系統的運作中斷, 信用卡等收付款系統出現故障。國外專家估計,造成的直接經濟損失在12億美元以上。 ?? 網絡蠕蟲（worm）主要是利用操作系統和應用程序漏洞傳播，通過網絡的通信功能將自身從一個結點發送到另一個結點并啟動運行的程序，可以造成網絡服務遭到拒絕并發生死鎖。“蠕蟲”由兩部分組成：一個主程序和一個引導程序。 主程序一旦在機器上建立就會去收集與當前機器聯網的其它機器的信息。它能通過讀取公共配置文件并運行顯示當前網上聯機狀態信息的系統實用程序而做到這一點。隨后，它嘗試利用前面所描述的那些缺陷去在這些遠程機器上建立其引導程序。 ?? 特洛伊木馬程序（Trojan horse）是一個隱藏在合法程序中的非法的程序。該非法程序被用戶在不知情的情況下被執行。其名稱源于古希臘的特洛伊木馬神話，傳說希臘人圍攻特洛伊城，久久不能得手。后來想出了一個木馬計，讓士兵藏匿于巨大的木馬中。大部隊假裝撤退而將木馬擯棄于特洛伊城，讓敵人將其作為戰利品拖入城內。木馬內的士兵則乘夜晚敵人慶祝勝利、放松警惕的時候從木馬中爬出來，與城外的部隊里應外合而攻下了特洛伊城。 完整的木馬程序一般由兩個部分組成：一個是服務器程序，一個是控制器程序。“中了木馬”就是指安裝了木馬的服務器程序，若你的電腦被安裝了服務器程序，則擁有控制器程序的人就可以通過網絡控制你的電腦、為所欲為，這時你電腦上的各種文件、程序，以及在你電腦上使用的帳號、密碼就無安全可言了。木馬程序不能算是一種病毒，但越來越多的新版的殺毒軟件，已開始可以查殺一些木馬了，所以也有不少人稱木馬程序為黑客病毒。 三、計算機病毒的傳播 ? ?計算機病毒的傳播途徑主要有： ?? 1、通過文件系統傳播； ?? 2、通過電子郵件傳播； ?? 3、通過局域網傳播； ?? 4、通過互聯網上即時通訊軟件和點對點軟件等常用工具傳播； ?? 5、利用系統、應用軟件的漏洞進行傳播； ?? 6、利用系統配置缺陷傳播，如弱口令、完全共享等； ?? 7、利用欺騙等社會工程的方法傳播。 ?? 計算機病毒的傳播過程可簡略示意如下：

四、計算機病毒的特征

?? 計算機病毒作為一種特殊的程序具有以下特征：

? （一）非授權可執行性，計算機病毒隱藏在合法的程序或數據中，當用戶運行正常程序時，病毒伺機竊取到系統的控制權，得以搶先運行，然而此時用戶還認為在執行正常程序；

? （二）隱蔽性，計算機病毒是一種具有很高編程技巧、短小精悍的可執行程序，它通常總是想方設法隱藏自身，防止用戶察覺；

? （三）傳染性，傳染性是計算機病毒最重要的一個特征，病毒程序一旦侵入計算機系統就通過自我復制迅速傳播。

? （四）潛伏性，計算機病毒具有依附于其它媒體而寄生的能力，這種媒體我們稱之為計算機病毒的宿主。依靠病毒的寄生能力，病毒可以悄悄隱藏起來，然后在用戶不察覺的情況下進行傳染。

? （五）表現性或破壞性。無論何種病毒程序一旦侵入系統都會對操作系統的運行造成不同程度的影響。即使不直接產生破壞作用的病毒程序也要占用系統資源。而絕大多數病毒程序要顯示一些文字或圖象，影響系統的正常運行，還有一些病毒程序刪除文件，甚至摧毀整個系統和數據，使之無法恢復，造成無可挽回的損失。

? （六）可觸發性，計算機病毒一般都有一個或者幾個觸發條件。一旦滿足觸發條件或者激活病毒的傳染機制，使之進行傳染；或者激活病毒的表現部分或破壞部分。觸發的實質是一種條件的控制，病毒程序可以依據設計者的要求，在一定條件下實施攻擊。這個條件可以是敲入特定字符，某個特定日期或特定時刻，或者是病毒內置的計數器達到一定次數等。

五、用戶計算機中毒的24種癥狀

???? 一是計算機系統運行速度減慢。
???? 二是計算機系統經常無故發生死機。
???? 三是計算機系統中的文件長度發生變化。
???? 四是計算機存儲的容量異常減少。
???? 五是系統引導速度減慢。
???? 六是丟失文件或文件損壞。
???? 七是計算機屏幕上出現異常顯示。
???? 八是計算機系統的蜂鳴器出現異常聲響。
???? 九是磁盤卷標發生變化。
???? 十是系統不識別硬盤。
???? 十一是對存儲系統異常訪問。
???? 十二是鍵盤輸入異常。
???? 十三是文件的日期、時間、屬性等發生變化。
???? 十四是文件無法正確讀取、復制或打開。
???? 十五是命令執行出現錯誤。
???? 十六是虛假報警。
???? 十七是換當前盤。有些病毒會將當前盤切換到C盤。
???? 十八是時鐘倒轉。有些病毒會命名系統時間倒轉，逆向計時。
???? 十九是WINDOWS操作系統無故頻繁出現錯誤。
???? 二十是系統異常重新啟動。
???? 二十一是一些外部設備工作異常。
???? 二十二是異常要求用戶輸入密碼。
???? 二十三是WORD或EXCEL提示執行“宏”。
???? 二十四是不應駐留內存的程序駐留內存。

六、計算機病毒防治策略

?? 計算機病毒的防治要從防毒、查毒、解毒三方面來進行；系統對于計算機病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。
?
? （一）防毒。是指根據系統特性，采取相應的系統安全措施預防病毒侵入計算機。防毒能力是指通過采取防毒措施，可以準確、實時監測預警經由光盤、軟盤、硬盤不同目錄之間、局域網、互聯網（包括FTP方式、E-MAIL、HTTP方式）或其它形式的文件下載等多種方式的病毒感染；能夠在病毒侵入系統時發出警報，記錄攜帶病毒的文件，即時清除其中的病毒；對網絡而言，能夠向網絡管理員發送關于病毒入侵的信息，記錄病毒入侵的工作站，必要時還要能夠注銷工作站，隔離病毒源。
?
? （二）查毒。是指對于確定的環境，能夠準確地報出病毒名稱，該環境包括內存、文件、引導區（含主引導區）、網絡等。查毒能力是指發現和追蹤病毒來源的能力，通過查毒能準確地發現信息網絡是否感染有病毒，準確查找出病毒的來源，給出統計報告；查解病毒的能力應由查毒率和誤報率來評判。
?
? （三）解毒。是指根據不同類型病毒對感染對象的修改，并按照病毒的感染特性所進行的恢復。該恢復過程不能破壞未被病毒修改的內容。感染對象包括內存、引導區（含主引導區）、可執行文件、文檔文件、網絡等。解毒能力是指從感染對象中清除病毒，恢復被病毒感染前的原始信息的能力。

七、計算機病毒診斷方法

? ?通常計算機病毒的檢測方法有兩種：

? （一）手工檢測。是指通過一些軟件工具（如DEBUG.COM、PCTOOLS.EXE、NU.COM、SYSINFO.EXE等）提供的功能進行病毒的檢測。這種方法比較復雜，需要檢測者熟悉機器指令和操作系統，因而無法普及。它的基本過程是利用一些工具軟件，對易遭病毒攻擊和修改的內存及磁盤的有關部分進行檢查，通過和正常情況下的狀態進行對比分析，來判斷是否被病毒感染。這種方法檢測病毒，費時費力，但可以剖析新病毒，檢測識別未知病毒，可以檢測一些自動檢測工具不認識的新病毒。

? （二）自動檢測。是指通過一些診斷軟件來判讀一個系統或一個軟盤是否有毒的方法。自動檢測則比較簡單，一般用戶都可以進行，但需要較好的診斷軟件。這種方法可方便地檢測大量的病毒，但是，自動檢測工具只能識別已知病毒，而且自動檢測工具的發展總是滯后于病毒的發展，所以檢測工具對未知病毒很難識別。

八、如何防范特洛伊木馬攻擊

?? 特洛伊木馬是在執行看似正常的程序時，還同時運行了未被察覺的有破壞性的程序；木馬通常能夠將重要的信息傳送給攻擊者，而且攻擊者可以把任意數量的程序植入木馬，計算機一旦感染上木馬程序，后果不堪設想。那么，對于木馬的防范我們可以采取以下措施：

? （一）運行反木馬實時監控程序

?? 我們在上網時，必需運行反木馬實時監控程序。例如the cleaner，它的實時監控程序TCA，可即時顯示當前所有運行程序并有詳細的描述信息。另外，也可采用一些專業的最新殺毒軟件、個人防火墻進行監控。

? （二）不要執行任何來歷不明的軟件

?? 對于從網上下載的軟件在安裝、使用之前一定要用反病毒軟件進行檢查，確定沒有木馬程序再執行、使用。

? （三）不要輕易打開不熟悉的郵件

?? 現在，很多木馬程序附加在郵件附件中，收郵件者一旦點擊附件，它就會立即運行。所以，千萬不要打開那些不熟悉的郵件，特別是標題有點亂的郵件，往往就是木馬攜帶者。

? （四）不要輕信他人

?? 不要因為是我們的好朋友發來的軟件就運行，因為我們不能確保他的電腦就不會有木馬程序。當然，好朋友故意欺騙的可能性不大，但也許他（她）中了木馬程序自己還不知道呢！況且今天的互聯網到處充滿危機，也許是別人冒名給我們發的郵件。

? （五）不要隨便下載軟件、視頻文件

?? 不要隨便在網上下載一些盜版軟件和視頻文件、特別是不可靠的小FTP站、公眾新聞級、論壇或BBS上，因為這些地方正是新木馬發布的首先之地。

? （六）將windows資源管理器配置成始終顯示擴展名

?? 因為一些擴展名為：VBS、SHS、PIF的文件多為木馬程序的特征文件，一經發現要立即刪除，千萬不要打開。

? （七）盡量少用共享文件夾

?? 如果計算機連接在互聯網或局域網上，要少用，盡量不用共享文件夾，如果因工作等其他原因必需設置成共享，則最好單獨開一個共享文件夾，把所有需共享的文件都放在這個共享文件夾中。注意，千萬不要把系統目錄設置成共享！

? （八）隱藏IP地址

?? 我們在上網時，最好用一些工具軟件隱藏自己計算機的IP地址。例如，使用ICQ時，可以進入“ICQMenu\Securi-ty&Privacy”，把“IP Publishing”下面的“Do not Publish IP address”選項上。

九、網絡病毒的清理和防治

? ?網絡病毒的清理防治方法主要有：

?? 1、全面地與互聯網結合，對網絡層、郵件客戶端進行實時監控，防止病毒入侵；
??
?? 2、快速反應的病毒檢測網，在病毒爆發的第一時間即能提供解決方案；

?? 3、病毒防治產品完善的在線升級，隨時擁有最新的防病毒能力；

?? 4、對病毒經常攻擊的應用程序提供重點保護（如Office、Outlook、IE、ICQ/QQ等）；

?? 5、獲取完整、即時的反病毒咨詢，盡快了解新病毒的特點和解決方案。

十、如何防治病毒

?? 根據計算機病毒的傳播特點，防治計算機病毒關鍵是注意以下幾點：

? （一）要提高對計算機病毒危害的認識。計算機病毒再也不是象過去那樣的無關緊要的小把戲了，在計算機應用高度發達的社會，計算機病毒對信息網絡破壞造成的危害越來越大大。

? （二）養成使用計算機的良好習慣。對重要文件必須保留備份、不在計算機上亂插亂用盜版光盤和來路不明的盤，經常用殺毒軟件檢查硬盤和每一張外來盤等。

? （三）大力普及殺毒軟件，充分利用和正確使用現有的殺毒軟件，定期查殺計算機病毒，并及時升級殺毒軟件。有的用戶對殺毒軟件從不升級，仍用幾年前的老版本來對付新病毒；有的根本沒有啟用殺毒軟件；還有的則不會使用殺毒軟件的定時查殺等功能。

? （四）及時了解計算機病毒的發作時間，及時采取措施。大多數計算機病毒的發作是有時間限定的。如CIH病毒的三個變種的發作時間就限定為４月２６日、６月２６日、每月２６日。特別是在大的計算機病毒爆發前夕。

? （五）開啟計算機病毒查殺軟件的實時監測功能，特別是有利于及時防范利用網絡傳播的病毒，如一些惡意腳本程序的傳播。

? （六）加強對網絡流量等異常情況的監測，做好異常情況的技術分析。對于利用網絡和操作系統漏洞傳播的病毒，可以采取分割區域統一清除的辦法，在清除后要及時采取打補丁和系統升級等安全措施。

? （七）有規律的備份系統關鍵數據，建立應對災難的數據安全策略，如災難備份計劃（備份時間表、備份方式、容災措施）和災難恢復計劃，保證備份的數據能夠正確、迅速地恢復。

十一、如何選擇計算機病毒防治產品

?? 一般用戶應選擇：
?? 1、具有發現、隔離并清除病毒功能的計算機病毒防治產品；
?? 2、產品是否具有實時報警（包括文件監控、郵件監控、網頁腳本監控等）功能；
?? 3、多種方式及時升級；
?? 4、統一部署防范技術的管理功能；
???5、對病毒清除是否徹底，文件修復后是否完整、可用；
?? 6、產品的誤報、漏報率較低；
?? 7、占用系統資源合理，產品適應性較好。
???對于企業用戶要選擇能夠從一個中央位置進行遠程安裝、升級，能夠輕松、自動、快速地獲得最新病毒代碼、掃描引擎和程序文件，使維護成本最小化的產品；產品提供詳細的病毒活動記錄，跟蹤病毒并確保在有新病毒出現時能夠為管理員提供警報；為用戶提供前瞻性的解決方案，防止新病毒的感染；通過基于web和Windows的圖形用戶界面提供集中的管理，最大限度地減少網絡管理員在病毒防護上所花費的時間。

十二、計算機病毒防治管理辦法

?? 為了加強計算機病毒的防治管理工作，2000年公安部發布了《計算機病毒防治管理辦法》。規定各級公安機關負責本行政區域內的計算機病毒防治管理工作。

?? 規定禁止制作、傳播計算機病毒，向社會發布虛假計算機病毒疫情，承擔計算機病毒的認定工作的機構應由公安部公共信息網絡安全監察部門批準，計算機信息系統的使用單位應當履行防治計算機病毒的職責。

第二部分：防范網絡攻擊

一、保護WEB服務器的關鍵是什么？

?? WEB服務器自身脆弱性：Web服務器軟件自身存在安全問題，如Web服務器軟件缺省安裝提供了過多的不必要功能，密碼過于簡單遭到破解，當服務器管理員使用了不安全協議的軟件（如telnet）進行管理時，被監聽而導致信息外泄。

?? Web應用程序安全性差：主要是指CGI程序和ASP、PHP腳本等等程序的安全性。這些程序大大擴展了Web服務器的功能，但它們往往只重功能而忽視了安全性。

?? 保護WEB服務的方法:
??
?? 1、用防火墻保護網站，可以有效地對數據包進行過濾，是網站的第一道防線；

?? 2、用入侵監測系統監測網絡數據包，可以捕捉危險或有惡意的訪問動作，并能按指定的規則，以記錄、阻斷、發警報等等多種方式進行響應，既可以實時阻止入侵行為，又能夠記錄入侵行為以追查攻擊者；

?? 3、正確配置Web服務器，跟蹤并安裝服務器軟件的最新補丁；

?? 4、服務器軟件只保留必要的功能，關閉不必要的諸如FTP、SMTP等公共服務，修改系統安裝時設置的默認口令，使用足夠安全的口令；

?? 5、遠程管理服務器使用安全的方法如SSH，避免運行使用明文傳輸口令的telnet、ftp等程序；

?? 6、謹慎使用CGI程序和ASP、PHP腳本程序7、使用網絡安全檢測產品對安全情況進行檢測，發現并彌補安全隱患。

二、如何防范CGI腳本漏洞

?? CGI（COMMOM GATE INTERFACE）是外部應用程序與WEB服務器交互的一個標準接口，它可以完成客戶端與服務器的交互操作。CGI帶來了動態的網頁服務，CGI腳本是主頁安全漏洞的主要來源，這主要是由于CGI程序設計不當，暴露了未經授權的數據。通過構造特殊字符串給CGI程序就可能得到這種權限。

?? 防范CGI腳本漏洞主要是：

?? 1、使用最新版本的Web服務器，安裝最新的補丁程序，正確配置服務器；

?? 2、按照幫助文件正確安裝CGI程序，刪除不必要的安裝文件和臨時文件；

?? 3、使用C編寫CGI程序時，使用安全的函數；

?? 4、使用安全有效的驗證用戶身份的方法；

?? 5、驗證用戶的來源，防止用戶短時間內過多動作；

?? 6、推薦過濾“& ; ` ' \ ” | * ? ~ < > ^ ( ) [ ] { } $ \n \r \t \0 # ../；

?? 7、在設計CGI腳本時，其對輸入數據的長度有嚴格限制；

?? 8、實現功能時制定安全合理的策略，CGI程序還應具有檢查異常情況的功能，在檢查出陌生數據后CGI應能及時處理這些情況。

三、如何保護FTP服務器

? （一）禁止匿名登錄。允許匿名訪問有時會導致被利用傳送非法文件。取消匿名登錄，只允許被預定義的用戶帳號登錄，配置被定義在FTP主目錄的ACL[訪問控制列表]來進行訪問控制，并使用NTFS許可證。

? （二）設置訪問日志。通過訪問日志可以準確得到哪些IP地址和用戶訪問的準確紀錄。定期維護日志能估計站點訪問量和找出安全威脅和漏洞。

? （三）強化訪問控制列表。采用NTFS訪問許可，運用ACL[訪問控制列表]控制對您的FTP目錄的的訪問。

? （四）設置站點為不可視。如您只需要用戶傳送文件到服務器而不是從服務器下載文件，可以考慮配置站點為不可視。這意味著用戶被允許從FTP目錄寫入文件不能讀取。這樣可以阻止未授權用戶訪問站點。要配置站點為不可視，應當在“站點”和“主目錄”設置訪問許可。

? （五）使用磁盤配額。磁盤配額可能有效地限制每個用戶所使用的磁盤空間。授予用戶對自己上傳的文件的完全控制權。使用磁盤配額可以檢查用戶是否超出了使用空間，能有效地限制站點被攻破所帶來的破壞。并且，限制用戶能擁有的磁盤空間，站點將不會成為那些尋找空間共享媒體文件的黑客的目標。

? （六）使用訪問時間限制。限制用戶只能在指定的日期的時間內才能登陸訪問站點。如果站點在企業環境中使用，可以限制只有在工作時間才能訪問服務請。下班以后就禁止登錄以保障安全。

? （七）基于IP策略的訪問控制。FTP可以限制具體IP地址的訪問。限制只能由特定的個體才能訪問站點，可以減少未批準者登錄訪問的危險。

? （八）審計登陸事件。審計帳戶登錄事件，能在安全日志查看器里查看企圖登陸站點的（成功/失敗）事件，以警覺一名惡意用戶設法入侵的可疑活動。它也作為歷史記錄用于站點入侵檢測。

? （九）使用安全密碼策略。復雜的密碼是采用終端用戶認證的安全方式。這是鞏固站點安全的一個關鍵部分，FTP用戶帳號選擇密碼時必須遵守以下規則：不包含用戶帳號名字的全部或部份；必須是至少6個字符長；包含英文大、小寫字符、數字和特殊字符等多個類別。

? （十）限制登錄次數。Windows系統安全策略允許管理員當帳戶在規定的次數內未登入的情況下將帳戶鎖定。

四、郵件服務器易受哪些攻擊，如何保護郵件服務器

?? 目前互連網上的郵件服務器所受攻擊有兩類：一類就是中繼利用（Relay），即遠程機器通過你的服務器來發信，這樣任何人都可以利用你的服務器向任何地址發郵件，久而久之，你的機器不僅成為發送垃圾郵件的幫兇，也會使你的網絡流量激增，同時將可能被網上的很多郵件服務器所拒絕；另一類攻擊稱為垃圾郵件（Spam），即人們常說的郵件炸彈，是指在很短時間內服務器可能接收大量無用的郵件，從而使郵件服務器不堪負載而出現癱瘓。這兩種攻擊都可能使郵件服務器無法正常工作。

?? 防止郵件服務器被攻擊的方法有三種：

?? 第一種是升級高版本的服務器軟件，利用軟件自身的安全功能限制垃圾郵件的大量轉發或訂閱反垃圾郵件服務；
??
?? 第二種就是采用第三方軟件利用諸如動態中繼驗證控制功能來實現，從而確保接受郵件的正確性；

?? 第三種是配置病毒網關、病毒過濾等功能，從網絡的入口開始，阻止來自互聯網的郵件病毒入侵，同時還要防止它們在進出公司內部網絡時的傳播。

五、DNS服務器易受哪些攻擊，如何保護DNS服務器

?? 由于DNS服務使用UDP協議，因此對于攻擊者而言，更容易把攻擊焦點集中在DNS服務上。DNS服務面臨的威脅包括：
?
?? 緩存區中毒：這種攻擊是指黑客在主DNS服務器向輔DNS服務器進行區域傳輸時插入錯誤的DNS信息，一旦成功，攻擊者便可使輔DNS服務器提供錯誤的名稱到IP地址的解析信息；如果使用DNS緩存偽造信息的話，攻擊者可以改變發向合法站點的傳輸流方向，使它傳送到攻擊者控制的站點上；
?
?? 拒絕服務：對某些域名服務器的大規模拒絕服務攻擊會造成互聯網速度普遍下降或停止運行；
?
?? 域劫持：通過利用客戶升級自己的域注冊信息所使用的不安全機制，攻擊者可以接管域注冊過程來控制合法的域；
?
?? 泄漏網絡拓樸結構：設置不當的DNS將泄漏過多的網絡拓樸結構：如果你的DNS服務器允許對任何人都進行區域傳輸的話，那么你的整個網絡架構中的主機名、主機IP列表、路由器名、路由器IP列表，甚至包括你的機器所在的位置等信息都會不知不覺的泄露出去。

?? 為了保護DNS服務器不受攻擊，首先應當保護DNS服務器所存儲的信息，而且此信息應當由創建和設計者才能修改。部分注冊信息的登錄方式仍然采用一些比較過時的方法，如采用電子郵件的方式就可以升級DNS注冊信息，這些過時的方法需要添加安全措施，例如采用加密的口令，或者采用安全的瀏覽器平臺工具來提供管理域代碼記錄的方式；其次是正確配置區域傳輸，即只允許相互信任的DNS服務器之間才允許傳輸解析數據；還要應用防火墻配合使用，使得DNS服務器位于防火墻的保護之內，只開放相應的服務端口和協議；還有一點需要注意的是使用那些較新的DNS軟件，因為他們中有些可以支持控制訪問方式記錄DNS信息，因此域名解析服務器只對那些合法的請求作出響應。內部的請求可以不受限制的訪問區域信息，外部的請求僅能訪問那些公開的信息；最后系統管理員也可以采用分離DNS的方式，內部的系統與外部系統分別訪問不同的DNS系統，外部的計算機僅能訪問公共的記錄。

六、路由器面臨有哪些威脅，如何保護路由器的安全

?? 路由器作為互聯網上重要的地址信息路由設備，直接暴露于網絡之中。攻擊路由器會浪費CPU周期，誤導信息流量，使網絡陷于癱瘓。路由器面臨的威脅有：
?
?? 將路由器作為攻擊平臺：入侵者利用不安全的路由器作為生成對其他站點掃描或偵察的平臺；
?
?? 拒絕服務：盡管路由器在設計上可以傳送大量的數據流，但是它同樣不能處理傳送給大于它傳輸能力的流量。入侵者利用這種特性攻擊連接到網絡上的路由器，而不是直接攻擊網絡上的系統，從而造成對路由器的拒絕服務攻擊；
?
?? 明文傳輸配置信息：許多網絡管理員未關閉或加密Telnet會話，因此若明文傳輸的口令被截取，黑客就可以任意配置路由器。
好的路由器本身會采取一個好的安全機制來保護自己，但是僅此一點是遠遠不夠的。保護路由器安全還需要網管員在配置和管理路由器過程中采取相應的安全措施：

? （一）限制系統物理訪問：限制系統物理訪問是確保路由器安全的最有效方法之一，即將控制臺和終端會話配置成在較短閑置時間后自動退出系統；避免將調制解調器連接至路由器的輔助端口也很重要。一旦限制了路由器的物理訪問，用戶一定要確保路由器的安全補丁是最新的。因為漏洞常常是在供應商發行補丁之前被披露，這就使得黑客搶在供應商發行補丁之前利用受影響的系統，這需要引起用戶的關注。

? （二）加強口令安全：黑客常常利用弱口令或默認口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助于防止這類漏洞。另外，一旦重要的網管員工辭職，用戶應該立即更換口令。用戶應該啟用路由器上的口令加密功能，實施合理的驗證控制以便路由器安全地傳輸數據。

? （三）應用身份驗證功能：在大多數路由器上，用戶可以配置一些加密和認證協議，如遠程驗證撥入用戶服務。驗證控制可以將用戶的驗證請求轉發給通常在后端網絡上的驗證服務器，驗證服務器還可以要求用戶使用雙因素驗證，以此加強驗證系統。

? （四）禁用不必要服務：擁有眾多路由服務是件好事，但近來許多安全事件都凸顯了禁用不需要本地服務的重要性，如禁止CDP服務；需要注意的是，禁用路由器上的CDP可能會影響路由器的性能。定時對有效操作網絡是必不可少的，即使用戶確保了部署期間時間同步，經過一段時間后，時鐘仍有可能逐漸失去同步。由此，用戶可以利用名為網絡時間協議（NTP）的服務，對照有效準確的時間源以確保網絡上的設備時針同步；不過，確保網絡設備時鐘同步的最佳方式不是通過路由器，而是在防火墻保護的網絡區段放一臺NTP服務器，將該服務器配置成僅允許向外面的可信公共時間源提出時間請求。另外，在路由器上，對于SNMP、DHCP以及WEB管理服務等，只有絕對必要的時候才可使用這些服務。

? （五）限制邏輯訪問：限制邏輯訪問主要是借助于合理處置訪問控制列表，限制遠程終端會話有助于防止黑客獲得系統邏輯訪問。其中SSH是優先的邏輯訪問方法，還可以使用終端訪問控制，以限制只能訪問可信主機。因此，用戶需要給Telnet在路由器上使用的虛擬終端端口添加一份訪問列表。

? （六）有限使用ICMP消息類型：控制消息協議（ICMP）有助于排除故障，但也為攻擊者提供了用來瀏覽網絡設備、確定本地時間戳和網絡掩碼以及對OS修正版本作出推測的信息。因此，為了防止黑客搜集上述信息，只允許以下類型的ICMP流量進入用戶網絡：主機無法到達的、端口無法到達的、源抑制的以及超出生存時間（TTL）的。此外，還應禁止ICMP流量以外的所有流量，以防止拒絕服務攻擊。

? （七）控制流量有限進入網絡：為了避免路由器成為DoS攻擊目標，用戶應該拒絕以下流量進入：沒有IP地址的包、采用本地主機地址、廣播地址、多播地址以及任何假冒的內部地址的包。雖然用戶無法杜絕DoS攻擊，但用戶可以限制DoS的危害；另外，用戶還可以采取增加SYN ACK隊列長度、縮短ACK超時等措施來保護路由器免受TCP SYN的攻擊。

? （八）安全使用SNMP/TELNET：如果用戶使用SNMP，那么一定要選擇功能強大的共用字符串，最好是使用提供消息加密功能的SNMP V3。如果不通過SNMP管理對設備進行遠程配置，用戶最好將SNMP設備配置成只讀；拒絕對這些設備進行寫操作，用戶就能防止黑客改動或關閉接口。為進一步確保安全管理，用戶可以使用SSH等加密機制，利用SSH與路由器建立加密的遠程會話；為了加強保護，用戶還應該限制SSH會話協商，只允許會話用于同用戶經常使用的幾個可信系統進行通信。

七、防范緩沖區溢出攻擊

?? 緩沖區溢出（又稱堆棧溢出）攻擊是最常用的黑客技術之一。這種攻擊之所以泛濫，是由于開放源代碼程序的本質決定的。Unix本身以及其上的許多應用程序都是用C語言編寫的，而C語言不檢查緩沖區的邊界。在某些情況下，如果用戶輸入的數據長度超過應用程序給定的緩沖區，就會覆蓋其他數據區，這就稱作“緩沖區溢出”。一般情況下，覆蓋其他數據區的數據是沒有意義的，最多造成應用程序錯誤；但是，如果輸入的數據是經過“黑客”精心設計的，覆蓋緩沖區的數據恰恰是黑客的入侵程序代碼，黑客就獲取了程序的控制權。盡管這項攻擊的技術要求非常高，而一旦執行這項攻擊的程序被設計出來卻是非常簡單的。

?? 由于緩沖區溢出是一個編程問題，所以他們只能通過修復被破壞的程序代碼來解決問題。從“緩沖區溢出攻擊”的原理可以看出，要防止此類攻擊，我們可以在開放程序時仔細檢查溢出情況，不允許數據溢出緩沖區。經常檢查操作系統和應用程序提供商的站點，一旦發現補丁程序就馬上下載是最好的方法。

八、防范IP欺騙攻擊

?? IP欺騙技術就是偽造某臺主機的IP地址的技術。通過IP地址的偽裝使得某臺主機能夠偽裝另外的一臺主機，而這臺主機往往具有某種特權或者被另外的主機所信任。假設現在有一個合法用戶（1.1.1.1）已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，偽裝自己的IP為1.1.1.1，并向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據后，認為從1.1.1.1發送的連接有錯誤，就會清空緩沖區中建立好的連接。這時，如果合法用戶1.1.1.1再發送合法數據，服務器就已經沒有這樣的連接了，該用戶就必須從新開始建立連接。攻擊時，偽造大量的IP地址，向目標發送RST數據，使服務器不對合法用戶服務。

?? 雖然IP欺騙攻擊有著相當難度，但我們應該清醒地意識到，這種攻擊非常廣泛，入侵往往由這里開始。預防這種攻擊還是比較容易的，比如刪除UNIX中所有的/etc/hosts.equiv、$HOME/.rhosts文件，修改/etc/inetd.conf文件，使得RPC機制無法應用。另外，還可以通過設置防火墻過濾來自外部而信源地址卻是內部IP的報文。

九、防范Syn Flood攻擊

?? SYN Food攻擊是利用特殊的程序，設置TCP的Header，向服務器端不斷地成倍發送只有SYN標志的TCP連接請求。當服務器接收的時候，都認為是沒有建立起來的連接請求，于是為這些請求建立會話，排到緩沖區隊列中。如果你的SYN請求超過了服務器能容納的限度，緩沖區隊列滿，那么服務器就不再接收新的請求了。其他合法用戶的連接都被拒絕掉。此時，服務器已經無法再提供正常的服務了，所以SYN Food攻擊是拒絕服務攻擊。
對于SYN Flood攻擊，目前尚沒有很好的監測和防御方法，不過如果系統管理員熟悉攻擊方法和系統架構，通過一系列的設定，也能從一定程度上降低被攻擊系統的負荷，減輕負面的影響。

?? 對于Windows系統而言，它的SYN攻擊保護機制可以這樣考慮：正常情況下，OS對TCP連接的一些重要參數有一個常規的設置：SYN Timeout時間、SYN-ACK的重試次數、SYN報文從路由器到系統再到Winsock的延時等等。這個常規設置針對系統優化，可以給用戶提供方便快捷的服務；一旦服務器受到攻擊，SYN Half link 的數量超過系統中TCP活動Half Connction最大連接數的設置，系統將會認為自己受到了SYN Flood攻擊，并將根據攻擊的判斷情況作出反應：減短SYN Timeout時間、減少SYN-ACK的重試次數、自動對緩沖區中的報文進行延時等等措施，力圖將攻擊危害減到最低。如果攻擊繼續，超過了系統允許的最大Half Connection值，系統已經不能提供正常的服務了，為了保證系統不崩潰，可以將任何超出最大Half Connection 值范圍的SYN報文隨機丟棄，保證系統的穩定性。

十、防范UDP Flood攻擊

?? UDP Flood攻擊是導致基于主機的服務拒絕攻擊的一種。UDP 是一種無連接的協議，而且它不需要用任何程序建立連接來傳輸數據。當攻擊者隨機地向受害系統的端口發送UDP數據包的時候，就可能發生了UDP Flood攻擊。當受害系統接收到一個UDP數據包的時候，它會確定目的端口正在等待中的應用程序。當它發現該端口中并不存在正在等待的應用程序，它就會產生一個目的地址無法連接的ICMP數據包發送給該偽造的源地址。如果向受害者計算機端口發送了足夠多的UDP數據包的時候，整個系統就會癱瘓。
在網絡的關鍵之處使用防火墻對來源不明的有害數據進行過濾可以有效減輕 UDP Flood攻擊。此外，在用戶的網絡中還應采取如下的措施：

（一）禁用或過濾監控和響應服務。

（二）禁用或過濾其它的 UDP 服務。

（三）如果用戶必須提供一些 UDP 服務的外部訪問，那么需要使用代理機制來保護那種服務，使它不會被濫用。

（四）對用戶的網絡進行監控以了解哪些系統在使用這些服務，并對濫用的跡象進行監控。

（五）對于一些小型的服務器,可以直接用防火墻添加規則的方法屏蔽掉。

十一、防范Land攻擊

?? Land攻擊發生的條件是攻擊者發送具有相同IP源地址、目標地址和TCP端口號的偽造TCP SYN數據包信息流。必須設置好SYN標記。其結果是該計算機系統將試圖向自己發送響應信息，而受害系統將會受到干擾并會癱瘓或重啟。最近的研究發現Windows XP SP2和 Windows 2003的系統對這種攻擊的防范還是非常薄弱的。事實上，Sun 的操作系，BSD 和 Mac對這種攻擊的防范都是非常薄弱的，所有這些系統都共享基于 TCP/IP 協議棧的BSD。

?? 服務供應商可以在邊緣路由器的進入端口上安裝過濾器對所有入內數據包的IP源地址進行檢查，這樣就可以阻止發生在會聚點后的LAND攻擊。如果該源地址的前綴在預先規定的范圍之內，則該數據包被轉發，否則被丟棄。

十二、防范Smurf攻擊

?? Smurf攻擊是利用Ping程序中使用的ICMP協議。攻擊者首先制造出源地址是受攻擊主機的IP地址的包；然后攻擊者將這些包發送給不知情的第三方，使它們成為幫兇；如果攻擊者發送足夠的ICMP包，回應會超過受攻主機的承受能力；因此，Smurf攻擊實際上是一種IP欺騙式的攻擊，將導致拒絕服務攻擊的結果。

十三、防范Fraggle攻擊

?? Fraggle攻擊與Smurf攻擊類似，只是利用UDP協議；雖然標準的端口是7，但是大多數使用Fraggle攻擊的程序允許你指定其它的端口。
最好的防止系統受到Smurf和Fraggle攻擊的方法是在防火墻上過濾掉ICMP報文，或者在服務器上禁止Ping，并且只在必要時才打開ping服務。

十四、防范Ping of Death攻擊

?? 這種攻擊通過發送大于65536字節的ICMP包使操作系統崩潰；通常不可能發送大于65536個字節的ICMP包，但可以把報文分割成片段，然后在目標主機上重組；最終會導致被攻擊目標緩沖區溢出。
防止系統受到Ping of Death攻擊的方法與防范Smurf和Fraggle攻擊是相同的，可以在防火墻上過濾掉ICMP報文，或者在服務器上禁止Ping，并且只在必要時才打開ping服務。

十五、防范Tear Drop攻擊

?? Teardrop淚滴攻擊利用UDP包重組時重疊偏移（假設數據包中第二片IP包的偏移量小于第一片結束的位移，而且算上第二片IP包的Data，也未超過第一片的尾部，這就是重疊現象。）的漏洞對系統主機發動拒絕服務攻擊，最終導致主機菪掉；對于Windows系統會導致藍屏死機，并顯示STOP 0x0000000A錯誤。
檢測這類攻擊的方法是對接收到的分片數據包進行分析，計算數據包的片偏移量（Offset）是否有誤。反攻擊的方法是添加系統補丁程序，丟棄收到的病態分片數據包并對這種攻擊進行審計。盡可能采用最新的操作系統，或者在防火墻上設置分段重組功能，由防火墻先接收到同一原包中的所有拆分數據包，然后完成重組工作，而不是直接轉發。因為防火墻上可以設置當出現重疊字段時所采用的規則。

十六、防范拒絕服務攻擊

?? 盡管目前沒有哪個網絡可以免受拒絕服務（DoS）攻擊，但如果采取以下幾項措施，能起到一定的預防作用。

?? 1、確保所有服務器采用最新系統，并打上安全補丁。根據計算機緊急響應協調中心的發現，幾乎每個受到DoS攻擊的系統都沒有及時打上補丁。

?? 2、確保管理員對所有主機進行檢查，而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統在運行什么？誰在使用主機？哪些人可以訪問主機？否則，即使黑客侵犯了系統，也很難查明。

?? 3、確保從服務器相應的目錄或文件數據庫中刪除未使用的服務，如FTP或NFS。

?? 4、禁止內部網通過Modem連接至PSTN系統。否則，黑客能通過電話線發現未受保護的主機，立刻就能訪問極為機密的數據。

?? 5、禁止使用網絡訪問程序如Telnet、Ftp、Rsh、Rlogin和Rcp，使用加密的訪問程序（如SSH）取代。SSH不會在網上以明文格式傳送口令，而Telnet和Rlogin則正好相反，黑客能搜尋到這些口令，從而立即訪問網絡上的重要服務器。此外，若沒有必要使用Rlogin登錄，則最好在Unix上應該將.rhost和hosts.equiv文件刪除，因為不用猜口令，這些文件就會提供登錄訪問。

?? 6、限制在防火墻外的網絡文件共享。否則的話會使黑客有機會截獲系統文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓。

?? 7、確保手頭有一張最新的網絡拓撲圖。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網絡設備，還應該包括網絡邊界、安全服務器區（SSN）及內部網部分。

?? 8、應用防火墻系統，在防火墻上運行端口映射程序或端口掃描程序。大多數事件是由于防火墻配置不當造成的，使DoS/DDoS攻擊成功率很高，所以定要認真檢查特權端口和非特權端口。

?? 9、檢查所有網絡設備、主機和服務器系統的日志。只要日志出現漏洞或時間出現變更，幾乎可以肯定：相關的主機安全受到了危脅。