9.2.6 BO2000后门攻击的防护

作者: 刘宝旭 蒋文保 王晓箴编著 出处:电子工业出版社博文视点 　2008-05-29 14:06　   砖    好    评论  条 　进入论坛

阅读提示：《黑客入侵的主动防御》第九章主要讲的是主动防御防护性能的模拟分析情况，本小节说的是BO2000后门攻击的防护。

9.2.6  BO2000后门攻击的防护

BO2000是一个有名的后门程序，它可以搜集信息，执行系统命令，重新设置机器及重定向网络。只要远程机器执行了BO2000 Server程序，攻击者就可以连接这部机器，执行上述动作。虽然BO2000可以当做一个简单的监视工具，但它主要的目的还是控制远程机器和搜集资料。BO2000匿名登录和可能恶意控制远程机器的特点，使它成为在网络环境里一个极其危险的黑客攻击工具。

如图9-10所示，防范体系对BO2000后门攻击的防护过程如下：

黑客使用BO2000的客户端软件通过Internet对被保护网络中的节点A进行操作。

该攻击行为首先被基于网络的IDS检测到，或者由节点A上的基于主机的IDS或网络隐患扫描评估软件发现该后门端口。当网络IDS或该主机IDS或隐患扫描系统检测到BO2000攻击行为信息后，立即向体系管理平台报告。

体系管理平台在收到相关报警信息后，会通知防火墙，由防火墙将该连接切断。

图9-10  防范体系对BO2000后门攻击的防护效果示意图

防火墙将攻击连接切断。

体系管理平台通知节点A的抗毁系统启动，进行信息完整性检查，并使用防病毒软件清除该后门程序（该步骤一般需要调动安全事件响应队伍进行响应工作，可使用查杀病毒软件来清除该后门），并调用主机A的取证机上的相关记录来分析后门的安装原因和攻击来源。

防火墙、抗毁系统和取证机向体系管理平台报告处理结果信息，由管理平台记录存档。

体系管理平台在将处理结果记录入库后，将处理结论反馈给最初攻击信息的报告者。

通知网络安全评估系统对经过上述处理的节点A进行扫描评估。

扫描评估系统将扫描结果向管理平台报告，若仍有问题，进入下一个处理流程，若没有问题，则将扫描评估系统的扫描结果存档即可。

体系管理平台及时将这次攻击处理的相关信息通知安全管理员，由安全管理员根据具体情况进行处理。

回书目   上一节   下一节