信息系统安全威胁

信息系统安全威胁

主要内容：
1. 安全威胁的核心类别
2. 恶意软件家族：包括网络蠕虫类恶意软件与本地木马类恶意软件
3. 基于ARP协议的欺骗攻击、源地址 spoofing 攻击、路径 spoofing 攻击以及会话劫持攻击
4. DDoS 攻击类型：包括拒绝服务攻击与各种规模性泛洪攻击

安全威胁 包括但不仅包括：

1. 程序性破坏者（virus）
2. 自我复制代码块（worm）
3. 恶意软件
4. 密码学上的间谍活动
5. 利用网络扫描获取敏感信息的技术手段（信息系统敏感数据获取）
6. 利用漏洞进行网络欺骗的技术手段（网络欺骗漏洞攻击）
7. 基于数据驱动的漏洞利用攻击（数据驱动漏洞攻击）
8. 拒绝服务型恶意软件
9. 设计缺陷诱导的后门装置
10. 恶意启动项

下面有针对地稍微介绍一下。

病毒、蠕虫、木马

先对位于 信息系统安全教程(第2版) 资料库中的信息表进行大致通览一遍：

其实技术正以惊人的速度快速增长，在不断更新换代中发展。放弃这些陈旧的概念已经显得毫无价值。因此我们可以简单地区分出不同的类别。

病毒

病毒的目的在于破坏 ，往往寄生在文件里。

蠕虫

蠕虫的目的在于在网络中自我繁殖(通过漏洞)，可以独立运行、主动传播。

基本工作流程是：

1. 对目标地址执行扫描任务；
2. 当检测到存在漏洞时，则发起攻击；
3. 若未检测到漏洞，则持续执行扫描任务。

木马

木马的目标在于渗透植入 系统，并且一旦侵入后会潜伏下来执行以下操作：

1. 远程控制
2. 信息窃取
3. 键盘记录
4. 毁坏文件

自然地说，在详细说明各种病毒、蠕虫和木马如何侵入安全系统以及它们造成了哪些破坏之前，请允许我先吐槽一句这些hacker的心机。

不需要进一步展开细节。鉴于此，在这一领域中，攻击手段变化多端确实难以穷尽。单凭口述无济于事，建议您自行研读教材并进行实操练习

不需要进一步展开细节。鉴于此，在这一领域中，攻击手段变化多端确实难以穷尽。单凭口述无济于事，建议您自行研读教材并进行实操练习

信息系统敏感数据获取

• 网络扫描 ：

地址扫描、端口扫描、漏洞扫描等。

• 口令破解 ：

字典破解、穷举破解、组合破解等。

网络欺骗漏洞攻击

• ARP 欺骗 (Address Resolution Protocol)

由于存在地址解析协议欺骗现象，在实例中可描述为：当设备C接收到来自设备B的一条ARP响应数据包时，在此过程中将设备A的IP地址与设备C对应的MAC地址进行了绑定。这样一来，在后续的数据传输中，默认情况下设备B会更新其本地的ARP缓存信息，并将原本应送达至设备A的数据包错误地转发至设备C手持设备上。

• IP 源地址欺骗

冒用其他主机的 IP 用于欺骗第三者

• 路由欺骗

  1. IP 源地址欺骗

在源路由协议下，设备或系统可以指定发送的数据流量经过的部分或全部路由器节点。其主要区别在于其路径选择机制不同于基于主机或路由器的互联层软件自主确定的路径。

2. RIP 路由欺骗

Routing Information Protocol，路由信息协议，用于选择路由路径

• TCP 会话劫持 * 其核心在于估算推导出会话中使用的序列号（seq）和确认号（ack）。由于在初次建立会话时仅进行IP地址验证，在后续的TCP连接中仅需追踪序列号即可完成通信过程。

  • DNS 欺骗 是指通过伪造某些关键字段来混淆查询结果的过程。

  • Web 欺骗

钓鱼网站等。

拒绝服务攻击（Denial of Service，DoS）

• IP 碎片攻击

通常情况下，在数据链路层传输时会将 IP 包分割成多个部分（即每个部分的长度不得超过最大传输单元 MTU）。接收方主机在完成所有子包接收后才会将它们重新组装回完整的 IP 数据包，并将其存放在有限容量的缓存区中。当生成一个过长导致溢出的数据包时，在缓存区超出容量的情况下，默认的行为是将其余多余的数据存储到其他适当的位置上，并可能导致系统被强行终止。

• 泪滴（teardrop）

• UDP 泛洪（UDP flood）

利用 UDP 连接不需要握手

• SYN 泛洪（SYN flood）

利用 TCP 三次握手

• MAC 泛洪（MAC flood）

直接攻击交换机

• DDoS

分布式拒绝服务攻击

其他威胁

• 通信窃听

声波窃听、电磁波监听、光缆监听、手机监听、共享网络中监听等

• 数据驱动漏洞攻击

缓存区溢出攻击、格式化字符串攻击等

• 陷门攻击（trap door）