《《网络安全》_第03章01节 网络攻击技术_综述》由会员分享,可在线阅读,更多相关《《网络安全》_第03章01节 网络攻击技术_综述(35页珍藏版)》请在金锄头文库上搜索。
1、网 络 安 全 北京邮电大学北京邮电大学 郑康锋郑康锋 zhengkfbupt 网络攻击综述网络攻击综述 网络攻击分类网络攻击分类 网络攻击概述网络攻击概述 网络威胁概述网络威胁概述 网络攻击分类网络攻击分类 网络攻击分类原则 可接受性 分类方法符合逻辑和惯例 易于被大多数人接受 确定性 也称无二义性 对每一分类的特点描述准确 完备性 也称无遗漏性 分类体系能够包含所有的攻击 互斥性 各类别之间没有交叉和覆盖现象 可重现性 不同人根据同一原则重复分类的过程 得出的分类 结果是一致的 可用性 分类对不同领域的应用具有实用价值 适应性 可适应于多个不同的应用要求 原子性 每个分类无法再进一步细分
2、本节参考文献 刘欣然本节参考文献 刘欣然 网络攻击分类技术综述 网络攻击分类技术综述 通信学报通信学报2004年第年第7期期 网络攻击分类网络攻击分类 按照经验术语分类 Icove按经验将攻击分成病毒和蠕虫 资料欺骗 拒绝服务 非授权资料拷贝 侵扰 软件盗版 特洛伊木马 隐蔽 信道 搭线窃听 会话截持 IP 欺骗 口令窃听 越权访 问 扫描 逻辑炸弹 陷门攻击 隧道 伪装 电磁泄露 服务干扰等20 余类 Cohen将攻击分为特洛伊木马 伪造网络资料 冒充他人 网络探测 电子邮件溢出 时间炸弹 获取工作资格 刺探保护措施 干扰网络 社会活动 贿赂 潜入 煽动 等 网络攻击分类网络攻击分类 基于单
3、一属性的分类方法 Neumann 和Parker通过分析3000 余种攻击实例 从系统滥用的角 度将攻击分为9类 即外部滥用 硬件滥用 伪造 有害代码 绕 过认证或授权 主动滥用 被动滥用 恶意滥用 间接滥用 并进 一步将其细化为26 种具体的滥用攻击 Stallings依据实施方法对网络攻击进行了分类 将攻击实施的手段 归纳为5 种 分别是中断 拦截 窃听 篡改 伪造 Jayaram从攻击的实施方法将网络攻击分成物理攻击 系统弱点攻 击 恶意程序攻击 权限攻击和面向通信过程的攻击5类 Cheswick和Bellovin依据攻击后果将针对防火墙的攻击分成窃取口 令 错误和后门 信息泄漏 协议失
4、效 认证失效 拒绝服务等类 别 网络攻击分类网络攻击分类 Howard 提出的攻击分类方法提出的攻击分类方法 基于多属性的分类方法基于多属性的分类方法 基于多属性的分类方法指同时抽取攻击的多个属性基于多属性的分类方法指同时抽取攻击的多个属性 并利用这些并利用这些 属性组成的序列来表示一个攻击过程属性组成的序列来表示一个攻击过程 或由多个属性组成的结构或由多个属性组成的结构 来表示攻击来表示攻击 并对过程或结构进行分类的方法并对过程或结构进行分类的方法 网络攻击分类网络攻击分类 Christy 改进后的攻击分类方法改进后的攻击分类方法 网络攻击分类网络攻击分类 基于应用的分类方法 基于应用的分类
5、方法是对特定类型应用 特定系统而发起的攻击的属性进行分类描述的方法 Alvarez和Petrovie在分析对Web应用而发起的攻击时 重点从攻 击入口 漏洞 行为 长度 HTTP 头及动作 影响范围 权限 等方面对攻击进行描述 并用不同长度的比特位所代表的数字来 表示每一个属性 从而形成一个攻击编码向量 Weaver等人从目标发现 选择策略 触发方式等角度对计算机 蠕虫进行了描述 对于攻击者也按其动机不同进行了划分 Mirkovic等人在对DDOS 类攻击进行描述时 对其自动化程度 扫描策略 传播机制 攻击的漏洞 攻击速度的动态性 影响等 属性进行了划分 网络攻击综述网络攻击综述 网络攻击分类
6、网络攻击分类 网络攻击概述网络攻击概述 网络威胁概述网络威胁概述 网络攻击网络攻击 攻击的类型攻击的类型 从安全属性安全属性来看 攻击类型可分为4类 阻断攻 击 截取攻击 篡改攻击 伪造攻击 下图是从源站到目的站的正常信息流 网络攻击网络攻击 1 阻断攻击阻断攻击 阻断攻击使系统的资产被破坏 无法提供用户使 用 这是一种针对可用性的攻击 例如 破坏硬 盘之类的硬件 切断通信线路 使文件管理系统 失效等 网络攻击网络攻击 2 截取攻击截取攻击 截取攻击可使非授权者得到资产的访问 这是一 种针对机密性的攻击 非授权者可以是一个人 一个程序或一台计算机 例如 通过窃昕获取网 上数据以及非授权的复制文
7、件和程序 网络攻击网络攻击 3 篡改攻击篡改攻击 篡改攻击是非授权者不仅访问资产 而且能修改 信息 这是一种针对完整性的攻击 例如 改变 数据文件的值 修改程序以及在网上正在传送的 报文内容 网络攻击网络攻击 4 伪造攻击伪造攻击 伪造攻击是非授权者在系统中插入伪造的信息 这是一种针对真实性的攻击 网络攻击网络攻击 主动攻击和被动攻击主动攻击和被动攻击 从攻击方式来看 攻击类型可分为被动攻击和主 动攻击 网络攻击网络攻击 被动攻击被动攻击 目的是获取正在传输的信息 被动攻击包括传输报文内容的泄露和被动攻击包括传输报文内容的泄露和 通信流量分析通信流量分析 报文内容的泄露易于理解 一次电话通信
8、一 份 电子邮件报文 正在传送的文件都可能包含敏感信息或秘密信息 通信流量分析的攻击较难捉摸 常用的方法是通过屏蔽内容技术 加密 然而即使用加密保护内容 攻击者仍有可能观察到这些传 输的报文形式 攻击者有可能确定通信主机的位置和标识 也可能 观察到正在交换的报文频度和长度 对被动攻击的检测十分困难对被动攻击的检测十分困难 因为攻击并不涉及数据的任何改变因为攻击并不涉及数据的任何改变 然而阻止这些攻击的成功是可行的然而阻止这些攻击的成功是可行的 因此因此 对被动攻击强调的是阻对被动攻击强调的是阻 止而不是检测止而不是检测 网络攻击网络攻击 主动攻击主动攻击 包含对数据流的某些修改 或者生成一 个
9、假的数据流 它可分成4类 1 伪装伪装 伪装是一个实体假装成另一个实体 伪装攻击往往连同另 类 主动攻击一起进行 例如 身份鉴别的序列被捕获 并在有效的身份鉴别发生时 作出回答 有可能使具有很少 特权的实体得到额外的特权 这样不具有这些特权的人获得了这些特权 2 回答回答 回答攻击包含数据单元的被动捕获 随之再重传这些数据 从而产生一个非授权的 效果 网络攻击网络攻击 3 修改报文修改报文 修改报文攻击意味着合法报文的某些部分已被修改 或者报文的延迟 和重新排序 从 而产生非授权的效果 4 拒绝服务拒绝服务 拒绝服务攻击是阻止或禁止通信设施的正常使用和管理 这种攻击可 能针对专门的 目标 如安
10、全审计服务 抑制所有报文直接送到目的站 也可能破坏整个网络 使网络不可用或网络超负荷 从而降低网络性 能 主动攻击和被动攻击具有相反的特性主动攻击和被动攻击具有相反的特性 被动攻击难以检测出来被动攻击难以检测出来 然然 而有阻止其成功的方法而有阻止其成功的方法 而主动攻击难以绝对地阻止而主动攻击难以绝对地阻止 因为要做到因为要做到 这些这些 就要对所有通信设施就要对所有通信设施 通路在任通路在任 何时间进行完全的保护何时间进行完全的保护 因因 此对主动攻击采取检测的方法此对主动攻击采取检测的方法 并从破坏中恢复并从破坏中恢复 网络攻击网络攻击 访问攻击访问攻击 攻击者企图获得非授权信息 这种攻
11、击可能发生在信息驻留在计算 机系统中或在网络上传输的情况下 是针对信息机密性的攻击 常见的访问攻击有3种 1 窥探窥探 snooping 是查信息文件 发现某些攻击者感兴趣的信息 攻击者试图打开计算机系统的文件 直到找到所需信息 2 窃听窃听 eavesdropping 是偷听他人的对话 为了得到非授权的信 息访问 攻击者必须将自己放在一个信息通过的地方 一般采用电子 的窃听方式 3 截获截获 interception 不同于窃听 它是一种主动攻击方式 攻击者 截获信息是通过将自己插入信息通过的通路 且在信息到达目的地前 能事先捕获这些信息 网络攻击网络攻击 篡改攻击篡改攻击 篡改攻击是攻击者
12、企图修改信息 而他们本来是无权修改的 这种攻 击可能发生在信息驻留在计算机系统中或在网络上传输的情况下 是 针对信息完整性的攻击 常见的篡改攻击有3种 1 改变改变 改变已有的信息 例如 攻击者改变己存在的员工工资 改变 以后的信息虽然仍存在于该组织 但已经是不正确的信息 这种改变攻 击的目标通常是敏感信息或公共信息 2 插入插入 插入信息可以改变历史的信息 例如 攻击者在银行系统中加 一个事务处理 从而将 客户账户的资金转到自己账户上 3 删除删除 删除攻击是将已有的信息去除 可能是将历史记录的信息删除 例如 攻击者将一个事务处理记录从银行结账单中删除 从而造成银 行资金的损失 网络攻击网络
13、攻击 拒绝服务攻击拒绝服务攻击 拒绝服务攻击 Denial of Service DoS 是拒绝合法用户使用系统 信息 能力等各种资源 可分成以下4种 1 拒绝访问信息拒绝访问信息 使信息不可用 信息被破坏或者将信息改变成不可 使用状态 也可能信息仍存在 但已经被移到不可访问的位置 2 拒绝访问应用拒绝访问应用 目标是操纵或显示信息的应用 通常对正在运行应 用程序的计算机系统进行攻击 使应用程序不可用而不能完成任务 3 拒绝访问系统拒绝访问系统 通常是使系统宕机 使运行在该计算机系统上的所 有应用无法运行 使 存储在该计算机系统上的所有信息不可用 4 拒绝访问通信拒绝访问通信 是针对通信的一种
14、攻击 已有很多年历史 这类攻 击可能用切断通信电缆 干扰无线电通信以及用过量的通信负载来淹 没网络 网络攻击网络攻击 否认攻击否认攻击 否认攻击是针对信息的可审性进行的 否认攻击企图给出假的信 息或者否认已经发生的现实事件或事务处理 否认攻击包括两类 1 假冒假冒 假冒是攻击者企图装扮或假冒别人和别的系统 这种攻击 可能发生在个人通信 事务处理或系统对系统的通信中 2 否认否认 否认一个事件是简单地抵赖曾经登录和处理的事件 例如 一个人用信用卡在商店 里购物 然而当账单送到时 告诉信用卡 公司 他从未到该商店购物 前前言言 网络攻击分类网络攻击分类 网络攻击概述网络攻击概述 网络威胁概述网络威
15、胁概述 网络威胁概述网络威胁概述 网络欺骗 网络系统缺陷 网络信息收集 拒绝服务攻击 恶意代码 网络威胁概述网络威胁概述 网络欺骗网络欺骗 1 针对网络层协议的欺骗 IP欺骗 ARP欺骗 ICMP消息欺骗 路由欺骗 网络威胁概述网络威胁概述 网络欺骗网络欺骗 2 针对TCP协议的欺骗 TCP初始序号预测或捕获 TCP欺骗的基础 TCP欺骗 TCP会话劫持 RST和FIN攻击 网络威胁概述网络威胁概述 网络欺骗网络欺骗 3 针对应用协议的欺骗 电子邮件欺骗 DNS欺骗 网络威胁概述网络威胁概述 网络欺骗网络欺骗 4 网络钓鱼 基于URL欺骗的钓鱼 发送电子邮件 发布虚假信息 建立假冒网银等网站
16、骗取账号 密码等 利用虚假的电子商务进行诈骗 利用黑客手段 如木马 进行信息窃取 利用弱口令等漏洞破解账号 密码等 通过脚本实现 挂马 基于网络通讯劫持的网络钓鱼 利用DNS欺骗 使用ARP欺骗等手段截获并篡改正常数据或网址 网络威胁概述网络威胁概述 网络系统缺陷网络系统缺陷 1 网络层协议实现缺陷 IP碎片攻击 如TearDrop IGMP Nuke攻击 超长IGMP包 Ping of Death 超长ICMP数据包 Winnuke 利用NetBIOS协议的OOB漏洞 网络威胁概述网络威胁概述 网络系统缺陷网络系统缺陷 2 应用协议实现缺陷 例如HTTP协议实现的IIS服务中的Unicode漏洞 3 缓冲区溢出 4 注入式攻击 如SQL注入 网络威胁概述网络威胁概述 网络信息收集网络信息收集 1 针对IP及更底层协议的扫描 IP地址扫描 数据监听 电磁泄漏信息的截取 网络威胁概述网络威胁概述 网络信息收集网络信息收集 2 端口扫描 TCP Connect扫描 TCP SYN扫描 TCP FIN扫描 IP包分段扫描 UDP ICMP端口不可达扫描 慢速扫描 网络威胁概述网络威胁概述 网
