2.3 網路攻擊技術
2.4 網路防禦與資訊保安保障
計算機網路是目前資訊處理的主要環境和資訊傳輸的主要載體
網際網路的「無序、無界、匿名」三大基本特徵也決定了網路資訊的不安全
系統風險——元件的脆弱性
硬體元件:設計、生產工藝或製造商
軟體元件:「後門」、設計中的疏忽、不必要的功能冗餘、邏輯混亂及其他不按資訊系統安全等級要求進行設計的安全隱患
網路和通訊協議:tcp/ip協議簇先天不足
缺乏對使用者身份的鑑別
缺乏對路由協議的鑑別認證
tcp/udp的缺陷
安全威脅
不可控制的自然災害,如**、雷擊
惡意攻擊、違紀、違法和計算機犯罪
人為的無意失誤和各種各樣的誤操作
計算機硬體系統的故障
軟體的「後門」和漏洞
網路與資訊系統的實施主體是人
計算機網路系統所面臨的威脅大體可分為兩種:
一是針對網路中資訊的威脅;二是針對網路中裝置的威脅。
實施安全威脅的人員
網路攻擊的層次
網路攻擊的一般步驟
網路攻擊的途徑
buffer overflow attack 緩衝區溢位攻擊
拒絕服務攻擊
拒絕服務攻擊(dos):通過各種手段來消耗網路頻寬和系統資源,或者攻擊系統缺陷,使系統的正常服務陷於癱瘓狀態,不能對正常使用者進行服務,從而實現拒絕正常使用者的服務訪問。
分布式拒絕服務攻擊:ddos,攻擊規模更大,危害更嚴重。
例項:syn-flood洪水攻擊,land攻擊,smurf攻擊 ,udp-flood攻擊,winnuke攻擊等。
以下的兩種情況最容易導致拒絕服務攻擊:
口令攻擊
入侵者常常採用下面幾種方法獲取使用者的密碼口令:
弱口令掃瞄
sniffer密碼嗅探
暴力破解
社會工程學(即通過欺詐手段獲取)
木馬程式或鍵盤記錄程式
掃瞄攻擊
乙個開放的網路埠就是一條與計算機進行通訊的通道,對網路埠的掃瞄可以得到目標計算機開放的服務程式、執行的系統版本資訊,從而為下一步的入侵做好準備。
掃瞄是採取模擬攻擊的形式對目標可能存在的已知安全漏洞逐項進行檢查,利用各種工具在攻擊目標的ip位址或位址段的主機上尋找漏洞。
典型的掃瞄工具包括安全焦點的x-scan、小榕的流光軟體,簡單的還有ipscan、superscan等,商業化的產品如啟明星辰的天鏡系統具有更完整的功能 。
嗅探與協議分析
網路嗅探與協議分析是一種被動的偵察手段,使用嗅探監聽軟體,對網路中的資料進行分析,獲取可用的資訊。
網路監聽可以使用專用的協議分析裝置實現,也可使用sniffer pro 4.7、tcpdump等軟體實現。snifferpro是最常用的嗅探分析軟體,它可以實現資料報捕獲、資料報統計、過濾資料報、資料報解碼等功能,功能解碼可以獲取很多有用的資訊,如使用者名稱、密碼及資料報內容
協議欺騙攻擊
協議欺騙攻擊就是假冒通過認證騙取對方信任,從而獲取所需資訊,進而實現入侵的攻擊行為。
常見的協議欺騙有以下幾種方式:
tcp會話劫持:與ip欺騙類似,通過嗅探並向網路注入額外的資訊實現tcp連線參與。如ip watcher就是一種有效的會話劫持工具。
社會工程學攻擊
社會工程學(social engineering),是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段,取得自身利益的手法。
針對網路入侵和密碼破譯等攻擊行為,本書在以後的章節中,在iso安全體系結構的指導下,通過內容安全技術和網路安全技術兩大部分來介紹網路資訊保安的實現方法,並通過若干實驗專案來驗證、鞏固相關技術,當然,技術實施要由人來完成,人才是最關鍵的。
習題「會話偵聽和劫持技術」是屬於( 協議漏洞滲透 )的技術。
典型的拒絕服務攻擊有如下兩種形式:資源耗盡和資源過載。
從安全屬性對各種網路攻擊進行分類,阻斷攻擊是針對 可用性 的攻擊,截獲攻擊是針對 機密性 的攻擊。
竊聽是一種 被動攻擊,攻擊者 無須將自己的系統插入到傳送站和接收站之間。截獲是一種 主動攻擊,攻擊者 必須將自己的系統插入到傳送站和接受站之間。
從攻擊方式區分攻擊型別,可分為被動攻擊和主動攻擊。被動攻擊難以 檢測,然而 阻止這些攻擊是可行的;主動攻擊難以 阻止 ,然而 檢測這些攻擊是可行的。
網路安全威脅有哪些表現形式?
計算機網路系統面臨的威脅有兩種,一種是針對網路中資訊的威脅,一種是針對網路中裝置的威脅
表現為緩衝區溢位攻擊,拒絕服務攻擊,口令攻擊,掃瞄攻擊嗅探與協議分析,協議欺騙攻擊和社會工程學攻擊
名詞解釋:
緩衝區溢位攻擊 拒絕服務攻擊
弱口令掃瞄 社會工程學
緩衝區溢位攻擊是指向緩衝區寫入超過緩衝區長度的內容,造成緩衝區溢位,破壞程式的堆疊,使程式轉而執行其他的指令,達到攻擊的目的。
拒絕服務攻擊時通過各種手段消耗網路頻寬和系統資源,或者攻擊系統缺陷,使系統的正常服務陷入癱瘓的狀態,不能對正常使用者進行服務,從而實現拒絕正常使用者的服務訪問。
弱口令掃瞄是指通過模擬攻擊的形式對目標可能存在的弱口令即設計過於簡單的密碼進行探測。
社會工程學是一種通過對受害者的心理弱點,本能反應,好奇心,信任,貪婪等心理陷阱進行諸如欺騙,傷害等危害手段,取得自身利益的手法
資訊保安 第二章 網路攻擊
第二章主要講述網路攻擊的相關知識。網路攻擊是指損害網路系統安全屬性的危害行為,危害行為導致網路系統的機密性 完整性 可用性 可控性 真實性受到不同程度的損害。常見的危害行為型別 網路攻擊的幾個要素 攻擊樹模型 能夠採取專家頭腦風暴法,融合到攻擊樹中,能夠建模非常複雜的攻擊場景。樹結構的內在特性,不能...
資訊保安也須行為規範來保證
本篇文章版權由ecf 和hp所有 如果和企業管理者談到資訊保安的事情,一些管理者首先會想到自己企業的資訊是否被盜,如何防止內部員工拷貝一些關鍵的資訊,往往會不在意業務處理過程中的資訊安全性,他們忽略了資訊的錄入 修改和刪除的過程。他們或許不知道這些過程中的資訊保安也是很重要的,這也是內部審計的乙個重...
資訊保安之DDos攻擊(目標CIA可用性)
目錄 一 ddos簡介 二 攻擊方式 三 被攻擊時特點 分布式拒絕服務 ddos distributed denial of service 攻擊指借助於客戶 伺服器技術,將多個計算機聯合起來作為攻擊平台,對乙個或多個目標發動dos攻擊,從而成倍地提高拒絕服務攻擊的威力。通常,攻擊者使用乙個偷竊帳號...