一、木馬的概念

1、木馬定義：以各種可能的方法進(jìn)入被害者的計(jì)算機(jī)中，收集各種信息，進(jìn)行任何未經(jīng)被害者允許的行為，這樣的程序就是木馬。

2、木馬的分類

1）組合型木馬：組合型木馬是指黑客可以遠(yuǎn)程控制以獲取信息的木馬，如圖1-2所示。這種木馬是植入被害者計(jì)算機(jī)中的服務(wù)端程序(Server Program)。黑客使用用戶端程序(Client Program)實(shí)施控制。按操作或下達(dá)命令的方法可分為4種，詳見下表1-2-1。

圖1-2-1：組合型木馬構(gòu)成框圖標(biāo)

表1-2：木馬的分類

2）特定型木馬：特定型木馬是指自動(dòng)收集數(shù)據(jù)，然后發(fā)送給黑客的木馬，如圖1-2-2所示。按操作或下達(dá)命令的方法可分為6種，也列入表1-2中。

圖1-2-2：特定型木馬構(gòu)成框圖

3、木馬的特點(diǎn)：木馬的特點(diǎn)表現(xiàn)為：1）具有隱蔽性；2）具有自動(dòng)運(yùn)行能力；3）具有欺騙性；4）具有自動(dòng)恢復(fù)能力；5）能自動(dòng)打開特別的窗口；6）歸納特殊；7）不斷出現(xiàn)因而種類繁多。

4、木馬攻擊定義：木馬是一段聲稱具有有用或必備功能的程序，同時(shí)還能執(zhí)行一些不是運(yùn)行者希望的功能。

5、木馬攻擊分類：1）破壞性的木馬；2）侵犯隱私的木馬；3）網(wǎng)絡(luò)攻擊木馬；4）后門木馬；5）遠(yuǎn)程訪問木馬；6）播種者（dropper）；7）開玩笑（joke）；8）邏輯炸彈（logic bomb）；9）分布式拒絕服務(wù)（DDoS，Distributed Denial-of-Service）；10）蠕蟲。

6、木馬的入侵途徑：木馬入侵計(jì)算機(jī)系統(tǒng)必須在計(jì)算機(jī)系統(tǒng)中開啟一個(gè)端口（PORT）。這就是“后門”。通過后門置入木馬、控制木馬和竊取信息。

7、木馬入侵步驟：置入服務(wù)端程序；運(yùn)行服務(wù)端程序。其置入服務(wù)端程序的主要方法和運(yùn)行服務(wù)端程序的主要方法歸納在下表1-7中。

表1-7：木馬入侵的步驟和其主要方法

8、木馬防衛(wèi)分類：木馬防衛(wèi)分類眾多，大體上可以分為下表1-8所示的6類。

表1-8：木馬防衛(wèi)的分類

二、電信網(wǎng)絡(luò)環(huán)境中的木馬防衛(wèi)

計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)開放環(huán)境。在這種環(huán)境中，計(jì)算機(jī)系統(tǒng)之間的對(duì)抗是精英之間的知識(shí)、經(jīng)驗(yàn)和時(shí)間的對(duì)抗；是一個(gè)看不見盡頭的攻防斗爭(zhēng)過程。在這場(chǎng)對(duì)抗中，木馬攻擊總是處于主動(dòng)地位；木馬防衛(wèi)總是處于被動(dòng)地位。出于種種背景原因，促使這種對(duì)抗日趨激烈。

在這場(chǎng)計(jì)算機(jī)網(wǎng)絡(luò)對(duì)抗之中，對(duì)抗主體是計(jì)算機(jī)系統(tǒng)。其間，電信網(wǎng)絡(luò)通常是被動(dòng)的，甚至常常被人忽視，然而客觀上起到了推波助瀾的作用。電信網(wǎng)絡(luò)同時(shí)被防衛(wèi)方面和攻擊方面利用?？杀氖?，電信網(wǎng)絡(luò)方面在這場(chǎng)對(duì)抗之中，不但未獲得任何好處，相反卻招致引火燒身。這就是在信令網(wǎng)絡(luò)和管理網(wǎng)絡(luò)之中，出現(xiàn)了類似計(jì)算機(jī)網(wǎng)絡(luò)中存在的網(wǎng)絡(luò)安全問題。誠然，信令網(wǎng)絡(luò)和管理網(wǎng)絡(luò)都屬于計(jì)算機(jī)網(wǎng)絡(luò)，必然不能幸免這類劫難。但是，電信網(wǎng)絡(luò)中的管理網(wǎng)絡(luò)和信令網(wǎng)絡(luò)是一個(gè)封閉環(huán)境。在這種環(huán)境中，針對(duì)電信網(wǎng)絡(luò)的支持網(wǎng)絡(luò)的攻防，也可能是精英之間的知識(shí)、經(jīng)驗(yàn)和時(shí)間的對(duì)抗；出于種種背景原因，可能促使這種對(duì)抗日趨激烈。因此，電信網(wǎng)絡(luò)的木馬防衛(wèi)，除了盡可能利用計(jì)算機(jī)系統(tǒng)木馬防衛(wèi)知識(shí)之外，要充分利用管理網(wǎng)絡(luò)和信令網(wǎng)絡(luò)的相對(duì)封閉的環(huán)境。

在管理網(wǎng)絡(luò)和信令網(wǎng)絡(luò)環(huán)境中，如果初始安裝未潛入木馬，就難以植入木馬；即使已經(jīng)植入木馬，也難以啟動(dòng)和運(yùn)行；即使已經(jīng)運(yùn)行，也難以傳遞信息。因此，可以形成“外邊木馬進(jìn)不來；里面木馬出不去”，然后逐步清理的局面。

三、管理網(wǎng)絡(luò)的木馬防衛(wèi)

在正常情況下，管理網(wǎng)絡(luò)完全與外部隔離，只接受管理者控制。因此可以說，正常情況下管理網(wǎng)絡(luò)不存在木馬攻擊問題；在反常情況下，則不如此。為此必須采取木馬防衛(wèi)措施。

1、采取可信備份

2、阻止入侵

1）管理網(wǎng)絡(luò)不得以任何方式與外界通信：不與其他計(jì)算機(jī)連接，不收信，不下載，不運(yùn)行任何郵件。

2）管理網(wǎng)絡(luò)的傳輸通路與媒體網(wǎng)絡(luò)的傳輸通路完全隔離；電信網(wǎng)絡(luò)的媒體網(wǎng)絡(luò)支持用戶電信業(yè)務(wù)，必然與用戶終端連接，傳遞用戶信息。管理網(wǎng)絡(luò)用于支持媒體網(wǎng)絡(luò)，沒有傳遞用戶信息的功能。但是，出于機(jī)理缺陷、設(shè)計(jì)錯(cuò)誤或人為攻擊，在這兩種網(wǎng)絡(luò)之間可能建立接口，這就是“后門”。

3、嚴(yán)格訪問控制：在電信網(wǎng)絡(luò)的所有設(shè)備之間，在電信網(wǎng)絡(luò)的所有功能層次之上，都要采用基于組合公共密鑰的標(biāo)識(shí)認(rèn)證。不“彼此認(rèn)識(shí)”的物理設(shè)備不能建立連接；不“符合約定”的信號(hào)不能傳遞。

4、及時(shí)采用最新補(bǔ)丁

5、最大限度簡(jiǎn)化管理網(wǎng)絡(luò)

1）刪除計(jì)算機(jī)系統(tǒng)中所有沒用的軟件和接口。至今，關(guān)于軟件設(shè)計(jì)尚未發(fā)現(xiàn)可信的開發(fā)方法。軟件與漏洞共生是當(dāng)今公認(rèn)的事實(shí)。因此，簡(jiǎn)化軟件是減少漏洞的捷徑；特別是那些無用且惹事的軟件和接口，必須刪除和關(guān)閉。

2）盡可能簡(jiǎn)化管理網(wǎng)絡(luò)功能。

6、監(jiān)督管理者：一是對(duì)于管理網(wǎng)絡(luò)的管理者實(shí)施全天候安全監(jiān)督；二是不得采用遠(yuǎn)距離監(jiān)控管理；三是嚴(yán)格禁止無關(guān)人員接觸管理計(jì)算機(jī)；四是建立操作日記。

7、尋找和消滅木馬：利用最新的反木馬軟件，在管理網(wǎng)絡(luò)中，全天候?qū)ふ液拖麥缒抉R。

8、監(jiān)視“代理”的行為：在管理網(wǎng)絡(luò)中，全天候監(jiān)視和記錄所有“代理”的行為。

四、信令網(wǎng)絡(luò)的木馬防衛(wèi)

信令網(wǎng)絡(luò)與管理網(wǎng)絡(luò)的共同特點(diǎn)是，它們都是專用計(jì)算機(jī)網(wǎng)絡(luò)。信令網(wǎng)絡(luò)與管理網(wǎng)絡(luò)的主要區(qū)別是，信令網(wǎng)絡(luò)受廣大用戶控制；信令網(wǎng)絡(luò)存在信令網(wǎng)間互通。因此，信令網(wǎng)絡(luò)的木馬防衛(wèi)應(yīng)當(dāng)采用管理網(wǎng)絡(luò)所采用的全部木馬防衛(wèi)措施；此外，應(yīng)當(dāng)著重解決下列兩個(gè)問題：即用戶-網(wǎng)絡(luò)接口防衛(wèi)問題和信令網(wǎng)關(guān)接口防衛(wèi)問題，它們的具體防衛(wèi)措施匯總于下表4中。

表4：用戶-網(wǎng)絡(luò)接口防衛(wèi)問題和信令網(wǎng)關(guān)接口防衛(wèi)措施

五、電信網(wǎng)絡(luò)木馬對(duì)抗系統(tǒng)設(shè)計(jì)要求

1、電信網(wǎng)絡(luò)木馬對(duì)抗系統(tǒng)的任務(wù)：發(fā)現(xiàn)和清除管理網(wǎng)絡(luò)和信令網(wǎng)絡(luò)中的木馬。

2、電信網(wǎng)絡(luò)木馬對(duì)抗系統(tǒng)的功能要求：一是發(fā)現(xiàn)和清除管理網(wǎng)絡(luò)中的木馬；二是發(fā)現(xiàn)和清除信令網(wǎng)絡(luò)中的木馬；三是監(jiān)視和阻止木馬通過信令網(wǎng)關(guān)的植入。

3、電信網(wǎng)絡(luò)木馬對(duì)抗系統(tǒng)關(guān)系：參見下圖5-3。

圖5-3：電信網(wǎng)絡(luò)木馬對(duì)抗系統(tǒng)關(guān)系圖解

欲進(jìn)一步了解相關(guān)通信網(wǎng)絡(luò)的安全機(jī)制與安全技術(shù)的請(qǐng)進(jìn)入。