Rambo安全经验谈连载之：认知网络中的威胁

序：据我所知，目前国内开展网络安全专业的高校凤毛麟角，大多数业内从业人员是从某一切入点自学成材的。这本无可厚非，但以我的经验，知识结构的系统性对于指导实践工作是非常有帮助的；所以Rambo借贵地以自己的实际工作经验晒晒科班网络安全知识，目的是帮助非科班同行们系统地掌握本领域所涉及的知识。内容很基础，但力争做到系统性；希望与业内同行共勉。 

同时声明：本人水平有限，文中不对之处请多多指教。本连载为不定期发布，Rambo力争每天一篇，每篇最后预告下篇标题。 


正文开始 


要保障安全，首先应该了解威胁之所在。这既是教科书的惯例，又是安全专家的建议，也是经验之谈。纵观网络上各种各样的安全威胁，大体上可以归为以下三类： 

1、恶意软件（malware）。恶意软件顾名思义是怀有恶意目的软件的总称。包括病毒、特洛伊木马和间谍软件等；这些是对系统最常见的威胁。 

2、入侵。入侵者怀有各种各样的目的，总之是想在未授权的情况下进入您的系统。 

3、拒绝服务（DOS）攻击。这类攻击的直接目的就是使系统不能响应正常服务。 

恶意软件 

恶意软件是怀有恶意目的软件的总称。常见的有三种：病毒、特洛伊木马和间谍软件。 

按赛门铁克公司的说法，病毒（virus）是“一个能够自我复制和隐藏自身的小程序，通常在不知情的情况下就会感染”。计算机病毒能够像生物病毒一样复制和传播，最常见的传播途径是通过受害者的电子邮件帐户传染给这个帐户通讯簿里的所有联系人。大部分病毒会造成网络变慢甚至崩溃，因为病毒不停的自我复制造成了大量的网络拥堵。病毒里面有一类叫蠕虫（Worm），通常叫做蠕虫病毒。怎么来界定蠕虫呢？主要是看其传播方式，如果不用人为参与可以自行传播，那就是蠕虫。 

特洛伊木马（Trojan horse）这个词来源于一个古老的神话故事。这个故事大家都知道，不知道的搜一下好了。电子的特洛伊木马是同样的道理，表面上看不出什么问题，可是它却从内部秘密地下载一些病毒或恶意软件。 

另一类最近越来越多的恶意软件是间谍软件。间谍软件（spyware）就是一个简单的详细记录计算机操作的软件。间谍软件可以简单到就像cookie，这个文件中保存的任何数据都可以被任何网站读取，所以，人们就可以跟踪您的Internet浏览记录。 

还有一种间谍软件叫做键盘记录器（key logger），能够记录下所有击键行为。一些键盘记录器还会定期对您的计算机截屏，数据会存储起来，以后，安装键盘记录器的人，就可以通过电子邮件，轻而易举地获得大量数据。 

其它还有Rootkit以及网页式的恶意代码。恶意软件因其变化快、影响面广而成为目前最令人头疼的安全问题。防治病毒有一些基本原则要遵守： 

（1）使用反病毒软件。 

（2）不要打开不清楚内容的附件。 

（3）只浏览知名网站。 

（4）及时更新补丁，定期关注病毒公 

入侵 

入侵是一个复杂的过程，通常称为骇客行为。随入侵目的的不同，骇客行为也有好有坏，那些不怀好意的骇客行为通常称为黑客行为。蓄意的入侵对于大多数人来讲，不常碰到。这里只需要知道，入侵一般是针对服务器的，而且是一个相对长期的过程。 

拒绝服务攻击（DoS） 

这类的攻击并不真正侵入系统，只是简单地阻止正常的用户访问。通常的做法是向目标系统发动洪水攻击，也叫泛洪，发起大量假连接，以使系统对正当的连接无法响应。拒绝服务式攻击是极其常见的，仅次于恶意软件。 

除以上三大类威胁，当前比较常见的还有Spam垃圾邮件，Scam网络欺骗，形式多种多样，并且层出不穷。如何防范呢？从根源上分析，各种威胁的着力点无外乎两个：一个瞄着软硬件漏洞；如大多数病毒、蠕虫等。一个瞄着人，如社会工程、Spam、Scam等。另一类无着力点不讲套路胡来的那就是DoS了。所有威胁都是上述三种情况的组合，所以基本的防范也要从三方面做起： 

（1）认认真真，打好补丁。 

（2）强化意识，三思后行。 

（3）武装自己，打击敌人。 

俗话说得好，找到根了，也就好治了，起码知道该在哪下手了。各种威胁的根要么是利用软硬件漏洞，要么是利用人性弱点；唯独DoS比较特别，利用的正是你提供的；DoS是何方神圣呢？请看下篇：应对DoS攻击。