信息安全概论——— 网络威胁

网络威胁

发展:

1. 传统计算机病毒:通过媒介复制传播，如U盘，破坏为主。
2. 蠕虫病毒和黑客攻击:蠕虫通过网络传播，黑客攻击服务网站。
3. 多样化，以窃取资料和控制计算机为目的

分类：
1.计算机病毒 2.网络入侵 3.欺骗类威胁

计算机病毒:

特征:
1.非授权性:用户未知；
2.寄生性:传统病毒是寄生在其他程序中的，而蠕虫网络病毒一般是独立文件存在。
3.传染性:是否能通过各种渠道传播;病毒的最重要条件；
4.潜伏性:是会根据病毒设计者有预谋得爆发；
5.破坏性：会造成文件的破坏或者系统的崩溃。
6.触发性:会因某些事件而发作。

分类:
1.传统病毒：寄生在其他文件，靠移动介质传播；
2.蠕虫病毒 : 独立存在，靠网络传播；
3.木马: 不会繁殖和感染其他文件，以控制系统，为施种者打开系统门户。

传统病毒:
组成:启动模块，传染模块（负责自我复制和传染），破坏模块(负责破坏系统)；

实例:CIH:感染windows下PE格式的exe文件的病毒；
感染:

1. 执行感染了CIH病毒文件之后，其程序入口地址就是CIH病毒的驻留内存的程序。该程序会将病毒初始化至系统的核心内存中。
2. 该病毒会在内核的文件处理函数中挂钩子，截取文件调用操作，控制中断。
3. 当有文件调用的时候，就会触发该病毒的 感染模块，将病毒传染至文件中。

蠕虫病毒:
传播途径:局域网的共享文件夹；电子邮件；恶意网站；有漏洞的服务器；

方式:利用漏洞,网络上软件或系统的漏洞，人为的疏忽等。

实例:尼姆达病毒：该病毒是包括网页，邮件，共享文件夹等多种方式传播的综合病毒。其激活后的攻击方式是替换系统文件，开放驱动器，降低安全性，而且在传播时会在网络上造成大量网络流量和垃圾邮件，影响网络性能。

木马:传播形式主要是邮件附件，网页，捆绑了木马的软件。
攻击方式是修改注册表，安装后门程序，获取信息，使软件失效,。

类型：

• 盗号类:记录键盘输入等并邮件发送给施种者。
• 网页点击类:恶意模拟用户点击网页，骗取点击量。
• 下载类:用于恶意安装广告软件或其他软件。
• 代理类:启动本机的代理服务功能，成为施种者的肉机。

木马的植入包括主动植入（用户未知的情况下，自动安装至其中），被动植入(骗取用户信任，使用户自己安装)。
木马的隐藏:虽然木马在计算机上，但是如果采用了隐藏技术，如隐藏文件，隐藏进程，隐藏通信等，用户就无法通过系统得到这些程序的信息，甚至不知道木马的存在。

木马的控制:木马植入服务器端之后，每次开机，木马会自己启动，之后会主动连接客户控制端，黑客就可以控制服务器端，包括文件管理，远程控制命令，屏幕捕获，注册表操纵等。而这些用户往往无法察觉。

病毒防治:

1. 检测:特征代码检测(无法检测新病毒)，校验和法(从文件出发，定期检测文件是否正常，可以检测新病毒，但容易误报)，行为检测(从系统出发，检测系统的行为是否异常，可发现未知病毒)，软件模拟(针对会改变自身形态的病毒（如随机加密），虚拟机里构造其执行环境，引诱其自己解开自己，以攻击，可识别未知病毒)。
2. 清除:清除(清除病毒，保留文件)，隔离(不删除文件，但也无法分离病毒)，删除(删除文件)。传统病毒的删除，一般保证内存安全，之后检测文件，并删除。网络病毒的删除，断网，检测并删除文件，恢复注册表，内核级后门清除，重启并扫描。
3. 预防:杀毒软件，防火墙，备份；
4. 免疫：注射疫苗，即伪装成已被感染的样子，如认为添加感染标志；修改文件扩展名；外部对文件权限和路径加密保护；内部对文件内容加密保护；

网络入侵:

一次网络入侵包括：前期准备（明确目标，手段），实施入侵（探测和攻击），后期处理(记录清除);

手段:

1.拒绝服务(DOS)：
(1)Ping of death：构造长度大于65536的IP数据包，一些操作系统将无法处理，系统瘫痪。
(2)TEAR DROP:IP分片偏移量重叠，一些操作系统无法处理，系统瘫痪。
(3)syn flood：利用TCP连接的三次握手，发送大量TCP连接，即SYN报文段，但是不回应SYN ACK,占用服务器预留的TCP缓存，使其无法提供服务。
(4)smurf攻击:地址欺骗和ICMP协议；将ICMP ECHO 请求网络中所有机器，欺骗请求地址为被攻击地址，它就会接收到许多回应，使其崩溃。如果使用一种迭代广播的形式，就会造成网络拥堵。
(5)电子邮件炸弹:占满其邮箱，使其无法接受其他人的邮件。

DDos:分布式攻击、多源攻击；
防止方法:升级系统；关闭无用端口；局域网加强管理，过滤非法数据包；

2.口令攻击:
猜测或破解口令:

3.嗅探攻击（窃听）:截获网络中数据包的方式；
MAC:以太网卡地址；以太网中的通信是广播的，根据MAC地址获取属于自己的数据帧；网卡可以设置为 混杂模式，这样就可以接受所有数据，黑客可以利用一个共享网络中的一台开启了混杂模式的主机，来接受该网络中的所有信息；
对于交换网络(即每两个端口都有独享的通路)，是使用ARP欺骗实现；

ARP协议:地址解析协议；将IP地址解析为MAC地址；对于不知道MAC地址的IP，会使用IP进行广播ARP请求；ARP协议并不是只在有ARP请求之后才更新ARP缓存，而是在得到ARP应答就更新；

ARP欺骗：攻击者发送ARP应答修改通信双方的ARP缓存，使得其均认为攻击者是通信对方，而攻击者间监听数据之后，会发送至正确的接收方以维持通信；

防止嗅探：

• 检测网卡模式是否为混杂；
• 会话加密；
• 将IP和MAC绑定，不允许随意修改；

4.欺骗类攻击：
(1)IP欺骗:以成功建立非信任的TCP连接为手段
方式:

• 先探测到被目标主机信任的主机
• 攻击被信任主机，使其瘫痪
• 伪造自己为被信任主机的IP，发送SYN请求
• 截获SYN-ACK以获得TCP序列号，或者是计算猜测序列号，来回复ACK报文
• 成功建立连接，就可以防止系统后门；

（2）ARP欺骗
（3）DNS欺骗：伪造域名对应的IP为自己希望的IP；
方式

• 攻击者通过ARP攻击伪造自己为DNS服务器，将DNS的应答中 IP地址修改为自己的，是用户信以为得到正确的IP；
• DNS服务器污染：是指先模拟用户，发送一些请求，再模拟上层DNS，回复一些应答包，使得DNS服务器修改自己的数据；

（4）电子邮件欺骗:SMTP不会验证发信人身份；

5.利用型攻击:
僵尸病毒:木马程序的控制端程序；该程序用来控制僵尸网络；
缓冲区溢出:各种缓冲区溢出之后，有可能获取系统特权并控制主机；往往与代码有关。

诱骗类威胁

网络钓鱼:电子邮件，假冒网站，虚假电子商务；