網絡威脅
發展:
- 傳統計算機病毒:通過媒介複製傳播,如U盤,破壞爲主。
- 蠕蟲病毒和黑客攻擊:蠕蟲通過網絡傳播,黑客攻擊服務網站。
- 多樣化,以竊取資料和控制計算機爲目的
分類:
1.計算機病毒 2.網絡入侵 3.欺騙類威脅
計算機病毒:
特徵:
1.非授權性:用戶未知;
2.寄生性:傳統病毒是寄生在其他程序中的,而蠕蟲網絡病毒一般是獨立文件存在。
3.傳染性:是否能通過各種渠道傳播;病毒的最重要條件;
4.潛伏性:是會根據病毒設計者有預謀得爆發;
5.破壞性:會造成文件的破壞或者系統的崩潰。
6.觸發性:會因某些事件而發作。
分類:
1.傳統病毒:寄生在其他文件,靠移動介質傳播;
2.蠕蟲病毒 : 獨立存在,靠網絡傳播;
3.木馬: 不會繁殖和感染其他文件,以控制系統,爲施種者打開系統門戶。
傳統病毒:
組成:啓動模塊,傳染模塊(負責自我複製和傳染),破壞模塊(負責破壞系統);
實例:CIH:感染windows下PE格式的exe文件的病毒;
感染:
- 執行感染了CIH病毒文件之後,其程序入口地址就是CIH病毒的駐留內存的程序。該程序會將病毒初始化至系統的核心內存中。
- 該病毒會在內核的文件處理函數中掛鉤子,截取文件調用操作,控制中斷。
- 當有文件調用的時候,就會觸發該病毒的 感染模塊,將病毒傳染至文件中。
蠕蟲病毒:
傳播途徑:局域網的共享文件夾;電子郵件;惡意網站;有漏洞的服務器;
方式:利用漏洞,網絡上軟件或系統的漏洞,人爲的疏忽等。
實例:尼姆達病毒:該病毒是包括網頁,郵件,共享文件夾等多種方式傳播的綜合病毒。其激活後的攻擊方式是替換系統文件,開放驅動器,降低安全性,而且在傳播時會在網絡上造成大量網絡流量和垃圾郵件,影響網絡性能。
木馬:傳播形式主要是郵件附件,網頁,捆綁了木馬的軟件。
攻擊方式是修改註冊表,安裝後門程序,獲取信息,使軟件失效,。
類型:
- 盜號類:記錄鍵盤輸入等並郵件發送給施種者。
- 網頁點擊類:惡意模擬用戶點擊網頁,騙取點擊量。
- 下載類:用於惡意安裝廣告軟件或其他軟件。
- 代理類:啓動本機的代理服務功能,成爲施種者的肉機。
木馬的植入包括主動植入(用戶未知的情況下,自動安裝至其中),被動植入(騙取用戶信任,使用戶自己安裝)。
木馬的隱藏:雖然木馬在計算機上,但是如果採用了隱藏技術,如隱藏文件,隱藏進程,隱藏通信等,用戶就無法通過系統得到這些程序的信息,甚至不知道木馬的存在。
木馬的控制:木馬植入服務器端之後,每次開機,木馬會自己啓動,之後會主動連接客戶控制端,黑客就可以控制服務器端,包括文件管理,遠程控制命令,屏幕捕獲,註冊表操縱等。而這些用戶往往無法察覺。
病毒防治:
- 檢測:特徵代碼檢測(無法檢測新病毒),校驗和法(從文件出發,定期檢測文件是否正常,可以檢測新病毒,但容易誤報),行爲檢測(從系統出發,檢測系統的行爲是否異常,可發現未知病毒),軟件模擬(針對會改變自身形態的病毒(如隨機加密),虛擬機裏構造其執行環境,引誘其自己解開自己,以攻擊,可識別未知病毒)。
- 清除:清除(清除病毒,保留文件),隔離(不刪除文件,但也無法分離病毒),刪除(刪除文件)。傳統病毒的刪除,一般保證內存安全,之後檢測文件,並刪除。網絡病毒的刪除,斷網,檢測並刪除文件,恢復註冊表,內核級後門清除,重啓並掃描。
- 預防:殺毒軟件,防火牆,備份;
- 免疫:注射疫苗,即僞裝成已被感染的樣子,如認爲添加感染標誌;修改文件擴展名;外部對文件權限和路徑加密保護;內部對文件內容加密保護;
網絡入侵:
一次網絡入侵包括:前期準備(明確目標,手段),實施入侵(探測和攻擊),後期處理(記錄清除);
手段:
1.拒絕服務(DOS):
(1)Ping of death:構造長度大於65536的IP數據包,一些操作系統將無法處理,系統癱瘓。
(2)TEAR DROP:IP分片偏移量重疊,一些操作系統無法處理,系統癱瘓。
(3)syn flood:利用TCP連接的三次握手,發送大量TCP連接,即SYN報文段,但是不迴應SYN ACK,佔用服務器預留的TCP緩存,使其無法提供服務。
(4)smurf攻擊:地址欺騙和ICMP協議;將ICMP ECHO 請求網絡中所有機器,欺騙請求地址爲被攻擊地址,它就會接收到許多回應,使其崩潰。如果使用一種迭代廣播的形式,就會造成網絡擁堵。
(5)電子郵件炸彈:佔滿其郵箱,使其無法接受其他人的郵件。
DDos:分佈式攻擊、多源攻擊;
防止方法:升級系統;關閉無用端口;局域網加強管理,過濾非法數據包;
2.口令攻擊:
猜測或破解口令:
3.嗅探攻擊(竊聽):截獲網絡中數據包的方式;
MAC:以太網卡地址;以太網中的通信是廣播的,根據MAC地址獲取屬於自己的數據幀;網卡可以設置爲 混雜模式,這樣就可以接受所有數據,黑客可以利用一個共享網絡中的一臺開啓了混雜模式的主機,來接受該網絡中的所有信息;
對於交換網絡(即每兩個端口都有獨享的通路),是使用ARP欺騙實現;
ARP協議:地址解析協議;將IP地址解析爲MAC地址;對於不知道MAC地址的IP,會使用IP進行廣播ARP請求;ARP協議並不是只在有ARP請求之後才更新ARP緩存,而是在得到ARP應答就更新;
ARP欺騙:攻擊者發送ARP應答修改通信雙方的ARP緩存,使得其均認爲攻擊者是通信對方,而攻擊者間監聽數據之後,會發送至正確的接收方以維持通信;
防止嗅探:
- 檢測網卡模式是否爲混雜;
- 會話加密;
- 將IP和MAC綁定,不允許隨意修改;
4.欺騙類攻擊:
(1)IP欺騙:以成功建立非信任的TCP連接爲手段
方式:
- 先探測到被目標主機信任的主機
- 攻擊被信任主機,使其癱瘓
- 僞造自己爲被信任主機的IP,發送SYN請求
- 截獲SYN-ACK以獲得TCP序列號,或者是計算猜測序列號,來回復ACK報文
- 成功建立連接,就可以防止系統後門;
(2)ARP欺騙
(3)DNS欺騙:僞造域名對應的IP爲自己希望的IP;
方式
- 攻擊者通過ARP攻擊僞造自己爲DNS服務器,將DNS的應答中 IP地址修改爲自己的,是用戶信以爲得到正確的IP;
- DNS服務器污染:是指先模擬用戶,發送一些請求,再模擬上層DNS,回覆一些應答包,使得DNS服務器修改自己的數據;
(4)電子郵件欺騙:SMTP不會驗證發信人身份;
5.利用型攻擊:
殭屍病毒:木馬程序的控制端程序;該程序用來控制殭屍網絡;
緩衝區溢出:各種緩衝區溢出之後,有可能獲取系統特權並控制主機;往往與代碼有關。
誘騙類威脅
網絡釣魚:電子郵件,假冒網站,虛假電子商務;