基于木马攻击机制的防范措施剖析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于木马攻击机制的防范措施剖析
余文琼
(三明学院数学与计算机科学系,福建三明
365004)
摘要:在网络安全中,越来越多的系统受到木马攻击,网络安全受到极大的冲击。
本文作者希望通过对木马的攻击机制、攻击特点、攻击力、攻击步骤、伪装方法、传播途径、启动方式等进行全面的剖析,力求寻找在伪装、传播、启动等方面的共性,以进一步研究、制订出一整套新的、简便的、具有可操作性的木马检测、清除、诱捕及其防御策略。
关键词:网络安全;木马;伪装;检测;清除;诱捕;防范中图分类号:TP393.08
文献标识码:A
文章编号:1673-4343(2006)04-0433-06
TrojanHorseAttackMechanismAnalysisandPreventiveMeasures
YUWen-qiong
(DepartmentofMathematicsandComputerScience,SanmingUniversity,Sanming365004,China)
Abstract:Innetworksecurity,agrowingnumberofsystemsareattackbyTrojanhorse,networksecurityshock.TheauthorshopethatthroughTrojanhorseattackmechanisms,Trojanhorseattackcharacteristics,Trojanhorseattackcapability,Trojanhorseattackssteps,Trojanhorsecamouflagemethods,Trojanhorsecommunicationchannels,Trojanhorseofawayofacomprehensiveanalysisaimedatfindingincamouflage,dissemination,activatedareascommontofurtherresearch,developanew,user-friendly,workableTrojanhorsetesting,removal,entrapsanddefensestrategy.
Keyword:Networksecurity;Trojanhorse;Camouflage;Testing;Clearance;Entraps;Preventing
收稿日期:2006-01-04
作者简介:余文琼(1968-),女,福建大田人,高级实验师。
引言
在网络安全中,越来越多的系统受到木马攻击,网络安全受到极大的冲击。
最主要原因是出现了一些基于图形操作的木马程序,用户界面的改善,使得一些不太懂专业知识的使用者也可以熟练地操作木马,所以木马入侵事件频繁,而且破坏性更大。
据统计,在100多万台中,大约有30%被安装过木马程序,并发现了18万多个木马程序软件。
而且木马的种类繁多,据江民公司统计,目前木马有1.8万种以上,而且还在不断地上升。
为了提高网络的安全性,本文作者已经在网络规划[1]、网络安全规划和安全管理[2]、网络攻击工具[3]等方面进行阐述,并参考有关网络安全的论著
[4-7]
,根据需要都采取一定的安全防护措施。
但是采
取了各种安全防护措施并不意味着网络系统就绝对安全了,因为网络的状况是动态变化的,而各种软件系统的漏洞层出不穷,都需要采取有效的手段对网络的运行进行监控。
防护相对于攻击者来说总是滞后的,一种漏洞的发现或者攻击手段与
相应的防护手段的采用之间,总会有一个时间差,木马常利用它的隐蔽性特点和这一时间差成功地达到攻击的目的,为了弥补这个时间差应采取必要措施来防止木马的攻击。
那么应采取什么样的防范措施呢?本文作者希望通过对木马的攻击模式、木马的攻击特点、木马的攻击力、木马的攻击步骤、木马的伪装方法、木马的传播途径、木马的启动方式等进行全面的剖析,找出各种木马在攻击时都需要进行的传播、伪装、加载启动等共同点,以进一步研究、制订出一整套新的、简便的、具有可操作性的木马检测、清除及其防御策略。
1木马攻击机制剖析
木马(又叫特洛伊木马,Trojanhorse)是一种基
于远程控制的,并提供隐蔽的、
用户所不希望的功能的程序。
它是黑客远程攻击的利器。
由于木马常会在被攻击的系统上开一个后门,所以也有人把特洛伊木马叫做后门工具。
1.1木马的攻击模式剖析
2006年12月第23卷第4期
三明学院学报
JOURNALOFSANMINGUNIVERSITY
Dec.2006Vol.23NO.4
图1木马的攻击原理图
一般的木马实际上就是一个C/S模式的程序,客户端与服务器端之间采用TCP/UDP的进行通信。
见图1,也就是说:
(1)攻击者控制的是客户端程序,植入被攻击端的是服务器端程序(即是木马程序)。
(2)服务程序通过打开特定的端口并进行监听,攻击者所掌握的客户端程序就可通过该端口与服务端建立连接,进行里应外合。
(3)将控制器移入服务端,然后通过客户端发出命令来控制服务器端。
根据木马的攻击模式,我们可以很清楚地知道,要防木马首先要防被植入木马程序,做到防范与未然;第二要阻止木马进行里应外合。
如何做到呢?要回答这些问题,那还需对木马进一步进行剖析。
1.2木马的攻击特点剖析
由于木马程序是受黑客操控,依照黑客的命
令来运作,主要目的是偷取文件、机密数据、个人隐私等行为,所以多数木马是以窃取为目的的,并具有以下特点:
(1)木马的隐蔽性:由于木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样即使发现感染了木马,也不能确定其具体位置,所以木马具有隐蔽性的特点。
(2)木马的非授权性:木马一旦控制了被攻击系统,那么控制端将享有被攻击系统大部分操作权限,包括修改文件、修改注册表、控制鼠标、键盘,而这些权限并不是被攻击端赋予的,而是通过木马程序窃取的。
所以木马具有非授权性的特点。
(3)木马的危险性:由于木马程序很难被发现。
既使被发现,也是在二进制代码中,难以阅读。
而且木马会在被入侵的系统中留出后门或留出难以察觉的系统漏洞,为下一次入侵作准备。
所以一个已获取超级管理员权限的木马,即使被发现了,被清除了,要再入侵也较容易。
因此,特洛伊木马程序是一种具有很高的威胁性、危险性的程序。
(4)木马的不可自我复制性:木马与病毒的有很大区别,病毒具有传染性、自我复制等特性,而
特洛伊木马程序不具有这种特性,需要通过人工进行传播,但它却有很大的破坏力和危害性。
根据木马的攻击特点可知,其最大的特点是隐蔽性,如何发现隐蔽的木马是关键,如何防止木马获取权限是保证,如何充分利用木马的不可复制性缺点是突破口。
1.3木马的攻击力剖析
据江民公司统计,目前木马有1.8万种以上,
而且还在不断地上升。
不同类型的木马具有不同的攻击能力和攻击特征。
(1)FTP型:在被攻击的电脑上,打开21端口,作为“后门”,等连接,使得任何有FTP客户端软件的人都可以不用密码连上你的电脑并自由上传和下载文件。
这是最古老的木马。
(2)远程访问型:可远程访问被攻击者的硬盘、进行屏幕监视。
这种木马使用最广。
(3)键盘记录型:它随着Windows的启动而启动,记录被攻击者的键盘敲击并且在LOG文件里查找密码。
(4)密码发送型:主要是用来盗窃用户隐私信息,目的是找到隐藏的密码,并悄悄地发送到指定的信箱。
(5)代理型:将一台毫不知情的计算机,给它种上代理木马,让其变成攻击者发动攻击的跳板,以隐蔽自己的踪迹。
(6)破坏型:它可自动删除计算机上的Dll、
INI、EXE文件。
这种木马非常危险,一旦被感染会
严重威胁到计算机的安全。
(7)进程杀手型:主要是用来关闭一些监控软件等,防止木马被监控软件发现。
(8)反弹端口型:反弹端口型木马是为了躲避防火墙的过滤而设计的,因为防火墙对进入的链接进行严格过滤,而对出去的链接却不太严格,木马就利用这一特点,把端口反弹,使防火墙把木马服务端与客户端连接误以为是正常的浏览网页。
从以上分析可知,根据木马的攻击特征的不同,就可以方便地判断木马类型,并找出对策来清除木马。
1.4木马实施攻击的步骤剖析
不论哪种木马,黑客利用它进行网络入侵时,
其工作过程大致需要经过以下5个步骤:
(1)配置木马:
一个设计成熟的木马一般都有木马配置程序,在这个阶段的主要目的是实现木马的伪装和信息反馈两个功能。
三明学院学报第23卷
434
・・
余文琼:基于木马攻击机制的防范措施剖析
木马伪装:木马配置程序为了在服务端尽可能隐藏好木马,会采用多种伪装手段,如修改图标、捆绑文件、定制端口、自我销毁、木马更名等。
信息反馈:木马配置程序将信息反馈的方式或地址进行设置。
如设置信息反馈的E-mail地址、ICQ号等。
(2)传播木马:由于木马程序不具有病毒的可传染性、自我复制等特性,所以需要人工进行传播。
木马会尽可能地隐藏好,以方便通过E-mail或网络下载等多种渠道传播。
如:将修改图标(将E-mail附件中可执行文件改为文本文件图标等)、与其它安装程序捆绑(当安装程序运行时木马就会木马就偷偷地进行系统)等
(3)启动木马:一般木马存放在系统目录(c:\windows、c:\windows\system、c:\windows\temp目录下)、注册表、启动组、系统文件中,并打开端口,可随着系统或文件的启动而激活。
(4)建立连接:如果服务端与客户端都在线,那么通过定制的端口或通过扫描检测出开放的端口就可建立连接
(5)远程控制:对服务器端进行远程控制,如窃取Cache中的密码、记录击键动作、各种文作操作(对文件进行新建、删除、修改、上传、下载、运行、更改属性等操作)、修改注册表、系统操作(控制鼠标、键盘、监视桌面操作、查看进程、关闭系统、系统重启、断开网络连接等)
1.5木马伪装方法剖析
利用木马进行入侵的目的主要是窃取他人的信息,因此隐蔽性是其首要的特征,有人形容木马是“披着羊皮的狼”。
木马是如何进行伪装的呢?具体分析如下:
1.5.1木马文件的隐藏与伪装
(1)文件的位置:木马的服务器程序文件一般存放在系统文件的目录中,如C:\WINNT和C:\WINNT\system32,这是一般人不敢随意删除,如果误删了文件,计算机可能崩溃。
(2)文件的属性:常把文件的属性设置为隐藏。
(3)文件的捆绑:将木马与某个正常的可执行程序捆绑成一个程序,并保留正常程序的图标。
如果执行了捆绑程序,相当于执行了2个程序。
(4)文件的名字:木马文件名经常设置成与常见的文件名或扩展名相同或相近,若不仔细留意是很难被发现。
如:
冰河木马文件名就是kernel32.exe,与
Windows系统本身正常的文件名有kernel32.dll
SubSeven木马服务器文件名是c:\WINNT\window.exe,只与正常的文件名windows.exe少一个“s”。
WAY无赖小子木马的服务器进程名为msgsvc.exe,与系统基本进程msgsrv32.exe类似。
还有如字母“o”与数字“0”对换等
(5)文件的的扩展名:木马常将可执行文件伪装成图片或文本文件。
如:
把文件名设为*.jpg.exe,由于Windows默认设置是“不显示文件后缀名”,文件将显示为*.jpg,若不注意就会误以为是图片文件,一执行这个文件就中木马了。
若图标也改为默认图片图标,伪装得就更像了。
(6)文件的图标:木马常将木马服务器端程序的图标伪装成HTML、TXT、ZIP、JPG等图标。
1.5.2木马运行中的隐藏与伪装
木马能够在系统启动时自动运行,打开端口作为后门,那怎么让木马能悄无声息地启动呢?主要表现在:
(1)在任务栏里隐藏:在编程时就把程序设计成:运行后,程序不会出现在任务栏里。
这是最基本的隐藏方式。
(2)在任务管理器里隐藏:木马常把自己设为“系统服务”,就不会出现在任务管理器里。
(3)隐藏端口:现在许多新木马采用端口反弹技术。
即木马的服务器端主动与客户端(如80端口、21端口等)建立连接,即使用户使用端口扫描软件检查自己的端口,也会以为是自己在浏览网页,这样就骗过了防火墙。
1.6木马的传播途径剖析
由于木马程序不具有病毒的可传染性、自我复制等特性,所以需要人工进行传播,其传播途径有:
(1)软件下载:一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,并用一些诱人的功能介绍吸引用户下载,下载后,只要启动这些程序,木马就会自动安装。
(2)通过E-mail:这种是通过E-mail附件发送,并常将附件中的可执行文件图标改为文本文件图标,只要不小心打开附件就会感染木马。
(3)浏览网页:有些木马是在网页上放置恶意代码,并设置成超级链接,它用一些诱人的语句,引诱用户去点击,点击后就会感染木马。
1.7木马的启动方式剖析
木马传播完之后,为了使木马能够启动,并打
第4期・・
435
开相应端口作为后门,一般有以下几种启动方式:修改配置文件、启动组和注册表,使它能够随系统启动而自动运行;还可通过捆绑方式,使它能随着某个正常程序的启动而启动。
具体表现在:
1.7.1在配置文件中启动:木马常在C:\winnt或
C:\windows下配置文件中驻留
(1)win.ini文件
“windows”字段:“load=”、“run=”这两个启动命令是系统在启动时加载和运行程序的,它们后面一般应是空白,若后跟程序,很可能是木马
(2)system.ini文件
“boot”字段:正常为“shell=Explorer.exe”启动桌面,这是系统引导文件的位置,若为“shell=
Explorer.exe
file.exe”
,file.exe很可能是木马的服务端程序。
“386Enh”字段:留意“driver=路径\程序名”,这里也有可能被木马所利用。
还要留意“mic”字段、“drivers”字段、“drivers32”
这三个字段,也起到加载驱动程序的作用,也是增添木马程序的好场所。
1.7.2在启动组中启动
启动组也常是木马藏身的地方,因为这里可
以自动加载运行。
在开始-程序-附件-系统工具-系统信息:软件环境-启动程序中,可查看随系统启动而启动的程序,当然也就可查看到随系统启动的木马。
1.7.3在注册表中启动
用regedit命令打开注册表编辑器,留意以下
位置是否有异常:
(1)注册表的启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Mi-crosoft\Windows\CurrentVersion\Run(RunOnce、
RunOnceEx、RunServices)
HKEY_CURRENT_USER\SOFTWARE\Mi-crosoft\Windows\CurrentVersion\Run
(2)文件关联:木马常通过文件关联来达到加载的目的,当打开了一个关联的文件时,木马也开始运作。
如:冰河木马,当有人打开文本文件时就自动加载了冰河木马,留下以下位置:
HKEY_CLASSES_ROOT\txtfile\shell\open\com-mand下的默认值应为%SystemRoot%\system32\NOTEPAD.EXE%11.7.4
以捆绑方式启动
(1)与可执行程序捆绑:通过捆绑工具将木马和可执行程序捆绑成一个程序,执行捆绑后的程
序就等于同时执行2个程序,木马就被激活了。
(2)与系统文件捆绑:如果捆绑到系统文件上,木马就能随系统的启动而启动。
(3)与普通文件捆绑:如果捆绑在普通文件中,什么时候启动就不能确定。
1.7.5在超级连接中启动
木马常在网页上的超级连接中放置恶意代码,
引诱用户去点击,点击后就自动下载并运行了。
2木马的防范措施剖析
通过对木马的全面剖析可知,无论哪种木马,
其共同点是:首先要进行人工传播木马,第二要自行伪装,第三要启动木马,第四要留后门或利用现有的端口。
根据这些共同点,我们可得到以下几种新的、简便的、具有可操作性的、有效的检测、防范与清除的方法。
2.1木马的检测方法2.1.1
发现木马
根据不同木马其攻击能力和攻击特征的不
同,其出现的症状也不同。
若出现以下情况,很可能是中木马:打开文件没有任何反应;系统出现异常情况:如速度突然慢下来、硬盘在不停读写、鼠标不听使唤、键盘无效、窗口自动打开关闭等。
2.1.2检测木马
若已经出现了异常现象,可通过以下方法进
一步进行检测:查看打开的端口、检查注册表、查看配置文件。
具体如下:
(1)查看打开的端口
根据木马攻击机制可知,木马启动后,会打开端口作为后门,所以可通过检查端口开放的情况,来查看有无中木马。
可根据打开端口号的不同,初步确定所中木马的类型(如7626是冰河木马打开的端口)。
还可通过端口扫描工具或个人防火墙来关闭不必要的端口,以防止黑客的进一步攻击。
A、
利用netstat命令检测:可查看自己的主机与Internet相连接的情况,显示当前正在活动的网络连接的详细信息。
这是Windows自带的命令,操作简单、方便。
B、
利用端口扫描工具检测:可通过端口扫描工具检查端口开放情况,还可关闭相应端口,如FPORT、Tcpview、X-SCAN等。
这种方法操作简单、直观、使用方便。
(2)检查注册表。
根据木马的启动方式可知,可通过regedit命令查看注册表中的启动项、文件关联等位置(详见启动方式),来判断是否中木马,
三明学院学报第23卷
436・・
根据启动文件名的不同可初步确定所中木马的类型,并通过删除相应的启动项和键值来清除木马。
(3)查看配置文件。
根据木马的启动方式可知,可利用msconfig命令来查看win.ini和system.ini文件、启动组的内容(详见启动方式),特别是“load=”、“run=”、“shell=”、“driver=”等可加载启动文件的地方,是否加载了可疑的文件,来初步判断是否中木马。
可通过修改加载文件来清除木马。
(4)查看系统目录文件。
根据木马的伪装方式可知,可通过人工查看,也可通过MD5消息摘要算法(哈希函数)来检查文件的完整性[8-9],即查看系统目录文件中是否有可疑的文件名、扩展名、图标、文件长度变化、修改时间的变化等情况,来判断是否中木马。
再进一步通过删除或替换相应的文件来清除木马。
以上方法应综合考虑,来判断是否真正中木马、中什么木马、应该采用什么方法来清除。
2.2未知木马的分析方法
目前,木马种类在急剧增加,变种木马和新木马层出不穷,对于未知木马没有现成的查杀工具,所以对未知木马进行分析就显得非常的重要。
只有进行详细的分析,才能找出清除的办法。
对一种未知的木马进行分析一般有以下几种方法及步骤:(1)准备好分析工具
若能充分利用现有的一些分析工具,对木马的分析就会变得更为简单、方便。
常用的木马分析工具有:
A.监视注册表以及系统文件变化的工具:如:RegSnap
B.查看程序所打开的端口的工具:如:fport
C.查看文件类型的工具:如:FileInfo
D.脱壳工具:如:ProcDump
E.反汇编工具:如:IDA
F.嗅探工具:如sniffer
(2)在分析之前要先对系统注册表以及系统文件进行备份,并打开RegSnap对注册表以及系统文件进行记录。
(3)运行木马服务器端软件(如“广外女生”的服务器端软件gdufs.exe),再打开RegSnap对运行过木马的注册表以及系统文件进行记录。
(4)利用注册表分析工具RegSnap对两次记录结果进行比较,这样就可以查出木马在注册表和系统文件中做了哪些手脚。
(5)利用fport来查看木马监听的端口。
(6)利用所获取的信息制订出木马的清除方法。
如果想要对木马进行深入的分析,还可利用查看文件类型工具FileInfo查出该木马所使用的加壳工具软件是什么,利用相应的脱壳工具(如ProcDump)对木马服务器端进行脱壳、利用反汇编工具IDA进行反汇编、分析汇编代码,还可利用嗅探工具sniffer对木马的端口进行监听,进一步分析木马的报文格式。
2.3木马的防御与清除
木马的防御最重要的是防范于未然,根据木马的传播途径可将木马堵于源头。
对于已经中木马,应尽早发现,防止攻击进一步扩大。
若发现的是已知木马,可用杀毒软件杀毒,也可用专杀工具杀毒,还可用手工检测与清除木马。
若是未知木马(变种木马或新木马),只能用手工检测和手工清除的方法。
具体要求做到以下几点:
(1)不要轻易使用来历不明的软件:应到正规网站去下载软件,防软件中捆绑了木马。
(2)不要轻易打开陌生人的E-MAIL附件:注意观察图标、文件扩展名(不打开可执行文件)、文件长度(不打开>100K文件)、特别注意打开附件时毫无反应或弹出一个出错提示框的情况(可能是木马程序)。
防附件中带有木马。
(3)安装软件时注意防中木马:在安装新的软件之前,请先备份注册表。
在安装完软件以后,立即用杀毒软件查杀Windows文件夹和所安装的软件的所在文件夹。
如果杀毒软件报告有病毒,这时请将它杀掉,杀毒完成后,重新启动计算机。
防止安装软件时同时安装了捆绑的木马。
(4)常用杀毒软件并及时升级:现在杀毒软件都支持查杀木马,应及时升级,可查到最新的木马。
应不定期地在脱机的情况下杀毒,杀毒更彻底。
(5)利用木马专杀工具查杀:可用木马专杀工具进行查杀,木马的清除会更有针对性、更彻底、更可靠。
(6)尽早发现中了变种木马和新木马:经常查看系统文件、配置文件、注册表、开放端口,就象在一群熟人中寻找陌生人一样,可及时查找到新变种的木马和新木马,然后进行手工清除。
3实例分析
目前流行木马很多,如:冰河、Subseven、backorifice、网络公牛(Netbull)、网络神偷(Nethief)、广外女生、Netspy(网络精灵)等,冰河是国内非常有名的木马,而且有很多变种。
现以冰河木马为例,说明
余文琼:基于木马攻击机制的防范措施剖析
第4期・・
437
冰河木马的攻与防。
3.1冰河文件分析:冰河有3个文件(1)客户端程序G-client.exe
在控制端可对服务器端程序进行配置。
如安
装路径、文件名称、监听端口、自我保护(与TXT文件关联、删除自身等)、
消息反馈途径等设置(2)服务端程序G-server.exe
运行该木马,会在c:\winnt\system32目录下生成Kernel32.exe和sysexplr.exe,并删除自身。
Kernel32.exe在系统启动时自动加载运行,sysexplr.exe会与TXT文件关联,随用户打开TXT
文件而启动。
(3)说明文件
3.2冰河的攻击能力
可自动跟踪目标机屏幕变化;记录各种口令
信息;获取系统信息;限制系统功能;远程文件操作;注册表操作;发送信息等。
3.3冰河木马的清除方法
根据以上分析可知,其检测与清除的方法可
通过杀毒软件,也可通过手工清除。
现将手工清除的方法介绍如下:设以下的c盘为系统盘,若系统安装在D盘,将C:改为D:即可
(1)删除文件
删除c:\winnt\system32目录下的Kernel32.exe和sysexplr.exe文件
(2)删除注册表中的启动项信息
HKEY_LOCAL_MACHINE\SOFTWARE\Mi-crosoft\Windows\CurrentVersion\Run的键值为C:\winnt\system32\kernel32.exe删除。
将HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\RunServices的键
值为C:\winnt\system32\kernel32.exe删除
(3)修改注册表中与TXT文件关联信息
HKEY_CLASSES_ROOT\txtfile\shell\open\command
下的默认值,
将中木马后的%SystemRoot%
\system32\Sysexplr.exe%1改为正常情况下的%
SystemRoot%\system32\NOTEPAD.EXE
%1
木马清除后,将7626端口(也可能是其它的
端口号)关闭即可。
3.4冰河木马入侵者诱捕方法
可利用“冰河陷阱”的伪装功能来诱捕入侵者。
冰河陷阱会完全模拟真正的“冰河”被控端程序对入侵者的控制命令进行响应,使入侵者以为你的机器仍处于他的控制之下。
当有入侵者通过“冰河”客户端连接到冰河陷阱所伪装的被控端程序上时,冰河陷阱会报警,并能够记录入侵者的IP地址、所在地以及登录密码和详细的操作过程,以便追查。
4小结
本文通过对木马攻击机制的深入剖析,找出
各种木马在攻击时都需要进行的传播、伪装、加载启动等共同点,提出了如何堵截木马的传播、如何识破木马的伪装、如何防止木马的启动等一系列措施,并进一步研究、制订出一整套新的、简便的、具有可操作性的木马检测、清除、诱捕及其防御策略。
但对于木马的特征检测或异常检测还只是应用了现有的检测技术和人工检测相结合来发现一些新的、可疑的木马。
对于如何结合入侵检测技术,如何利用S粗集等新的研究方法来检测木马,还有待于后续文章的进一步研究。
参考文献:
[1]余文琼.浅析中小规模校园网的规划[J].三明师专学报,
2000(1):57-62.
[2]余文琼.计算机网络安全规划与管理措施初探[J].三明职
业大学学报,2000(3):134-136.
[3]余文琼.网络常用攻击工具剖析及其防范对策初探[J].三
明师专学报,2000(4):86-90.
[4]石淑华,池瑞楠.计算机网络安全基础[M].北京:人民邮电
出版社,2005:40-47.
[5]邓志华,朱庆.网络安全与实训教程[M].北京:人民邮电出
版社,2005:170-184.
[6]魏宝琛,姜明.矛与盾--远程攻击与防御[M].北京:人民邮
电出版社,2003:198-239.
[7]余建斌.黑客的攻击手段及用户对策[M].北京:人民邮电
出版社,1998:26.
[8]张世永.网络安全原理与应用[M].北京:科学出版社,2003:
136-140.
[9]刘东华.网络与通信安全技术[M].北京:人民邮电出版社,
2002:317-346.
三明学院学报第23卷
438・・
(责任编辑:徐
涛)。