(信息安全技术第二版)CH02网络攻击行为分析.ppt

2.1 安全问题的起源和常见威胁 2.1.1 信息安全问题的起源 信息安全问题是一个系统问题 计算机网络是目前信息处理的主要环境和信息传输的主要载体 互联网的“无序、无界、匿名”三大基本特征也决定了网络信息的不安全 2.1 安全问题的起源和常见威胁 2.1.2 物理安全风险 计算机本身和外部设备乃至网络和通信线路面临各种风险，如各种自然灾害、人为破坏、操作失误、设备故障、电磁干扰、被盗和各种不同类型的不安全因素所致的物质财产损失、数据资料损失等。 2.1 安全问题的起源和常见威胁 2.1.3 系统风险——组件的脆弱性 硬件组件：设计、生产工艺或制造商 软件组件：“后门”、设计中的疏忽、不必要的功能冗余、逻辑混乱及其他不按信息系统安全等级要求进行设计的安全隐患 网络和通信协议：TCP/IP协议簇先天不足 缺乏对用户身份的鉴别 缺乏对路由协议的鉴别认证 TCP/UDP的缺陷 2.1 安全问题的起源和常见威胁 2.1.4 网络与应用风险——威胁和攻击 对数据通信系统的威胁包括： 对通信或网络资源的破坏 对信息的滥用、讹用或篡改 信息或网络资源的被窃、删除或丢失 信息的泄露 服务的中断和禁止 威胁和攻击的来源 内部操作不当 内部管理不严造成系统安全管理失控 来自外部的威胁和犯罪 2.1 安全问题的起源和常见威胁 2.1 安全问题的起源和常见威胁 2.1.5 管理风险 安全大师Bruce Schneier：“安全是一个过程(Process），而不是一个产品（Product）”。 单纯依靠安全设备是不够的，它是一个汇集了硬件、软件、网络、人以及他们之间的相互关系和接口的系统。 网络与信息系统的实施主体是人，安全设备与安全策略最终要依靠人才能应用与贯彻。 计算机网络系统所面临的威胁大体可分为两种：一是针对网络中信息的威胁；二是针对网络中设备的威胁。 安全威胁的来源 不可控制的自然灾害，如地震、雷击 恶意攻击、违纪、违法和计算机犯罪 人为的无意失误和各种各样的误操作 计算机硬件系统的故障 软件的“后门”和漏洞 安全威胁的表现形式 伪装 非法连接 非授权访问 拒绝服务 抵赖 信息泄露 实施安全威胁的人员 心存不满的员工 软硬件测试人员 技术爱好者 好奇的年青人 黑客（Hacker） 破坏者（Cracker） 以政治或经济利益为目的的间谍 2.4 网络攻击的一般步骤 （1）隐藏IP （2）踩点扫描 （3）获得系统或管理员权限 （4）种植后门 （5）在网络中隐身 2.5 网络入侵技术 任何以干扰、破坏网络系统为目的的非授权行为都称之为网络攻击。 网络攻击实际上是针对安全策略的违规行为、针对授权的滥用行为与针对正常行为特征的异常行为的总和。 网络入侵技术----漏洞攻击 漏洞攻击：利用软件或系统存在的缺陷实施攻击。漏洞是指硬件、软件或策略上存在的的安全缺陷，从而使得攻击者能够在未授权的情况下访问、控制系统。 缓冲区溢出漏洞攻击 ：通过向程序的缓冲区写入超过其长度的数据，造成溢出，从而破坏程序的堆栈，转而执行其它的指令，达到攻击的目的。 RPC漏洞、SMB漏洞、打印漏洞 缓冲区溢出 网络入侵技术----拒绝服务攻击 拒绝服务攻击（DoS）：通过各种手段来消耗网络带宽和系统资源，或者攻击系统缺陷，使系统的正常服务陷于瘫痪状态，不能对正常用户进行服务，从而实现拒绝正常用户的服务访问。 分布式拒绝服务攻击：DDoS，攻击规模更大，危害更严重。 实例：SYN-Flood洪水攻击，Land攻击，Smurf攻击 ，UDP-Flood攻击，WinNuke攻击（139）等。 典型的拒绝服务攻击有如下两种形式：资源耗尽和资源过载。 当一个对资源的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击（例如，对已经满载的Web服务器进行过多的请求。）拒绝服务攻击还有可能是由于软件的弱点或者对程序的错误配置造成的。 区分恶意的拒绝服务攻击和非恶意的服务超载依赖于请求发起者对资源的请求是否过份，从而使得其他的用户无法享用该服务资源。 以下的两种情况最容易导致拒绝服务攻击： 由于程序员对程序错误的编制，导致系统不停的建立进程，最终耗尽资源，只能重新启动机器。不同的系统平台都会采取某些方法可以防止一些特殊的用户来占用过多的系统资源，我们也建议尽量采用资源管理的方式来减轻这种安全威胁。 还有一种情况是由磁盘存储空间引起的。假如一个用户有权利存储大量的文件的话，他就有可能只为系统留下很小的空间用来存储日志文件等系统信息。这是一种不良的操作习惯，会给系统带来隐患。这种情况下应该对系统配额作出考虑。　　 Ping of Death：发送长度超过65535字节的ICMP Echo Request 数据包导致目标