【软考】网络安全性威胁

1. 说明

• 1.计算机网络上的通信面临以下的四种威胁。
• 2.截获(interception)：攻击者从网络上窃听他人的通信内容。
• 3.中断(interruption)：攻击者有意中断他人在网络上的通信。
• 4.篡改(modification)：攻击者故意篡改网络上传送的报文。
• 5.伪造(fabrication)：攻击者伪造信息在网络上传送。
• 6.四种威胁可划分为两大类，即被动攻击和主动攻击。
• 7.截获信息的攻击称为被动攻击，而中断、篡改和伪造信息的攻击称为主动攻击。

2. 被动攻击

• 1.在被动攻击中，攻击者只是观察和分析某一个协议数据单元PDU(这里使用 PDU 这名词是考虑到所涉及到的可能是不同的层次)而不干扰信息流。
• 2.即使这些数据对攻击者来说是不易理解的，他也可通过观察PDU 的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究PDU的长度和传输的频度，以便了解所交换的数据的某种性质。
• 3.这种被动攻击又称为流量分析(traffic analysis)。
• 4.对付被动攻击可采用各种数据加密技术。

3. 主动攻击

3.1 说明

• 1.主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。
• 2.如有选择地更改、删除、延迟这些 PDU(当然也包括记录和复制它们)，还可在稍后的时间将以前录下的PDU 插入这个连接(即重放攻击)。
• 3.甚至还可将合成的或伪造的PDU送入到一个连接中去。
• 4.所有主动攻击都是上述几种方法的某种组合。但从类型上看，主动攻击又可进一步划分为三种。
• 5.对于主动攻击，可以采取适当措施加以检测。需将加密技术与适当的鉴别技术相结合。

3.2 更改报文流

• 1.包括对通过连接的 PDU 的真实性、完整性和有序性的攻击。

3.3 拒绝服务

• 1.指攻击者向因特网上的服务器不停地发送大量分组，使因特网或服务器无法提供正常服务。
• 2.在2000年2月7日至9日美国几个著名网站遭黑客袭击，使这些网站的服务器一直处于“忙”的状态，因而无法向发出请求的客户提供服务。
• 3.这种攻击被称为拒绝服务 DoS (Denial of Service)。
• 4.若从因特网上的成百上千的网站集中攻击一个网站，则称为分布式拒绝服务 DDoS (Distributed Denial of Service)。有时也把这种攻击称为网络带宽攻击或连通性攻击。

3.4 伪造连接初始化

• 1.攻击者重放以前已被记录的合法连接初始化序列，或者伪造身份而企图建立连接。

3.4 恶意程序

• 1.计算机病毒(computer virus)，一种会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或其变种复制进去完成的。

• 2.计算机蠕虫(computer worm)，一种通过网络的通信功能将自身从一个结点发送到另一个结点并自动启动运行的程序。

• 3.特洛伊木马(Trojan horse)，一种程序，它执行的功能并非所声称的功能而是某种恶意的功能。如一个编译程序除了执行编译任务以外，还把用户的源程序偷偷地拷贝下来，则这种编译程序就是一种特洛伊木马。计算机病毒有时也以特洛伊木马的形式出现。

• 4.逻辑炸弹(logic bomb)，一种当运行环境满足某种特定条件时执行其他特殊功能的程序。如一个编辑程序，平时运行得很好，但当系统时间为13日又为星期五时，它删去系统
  中所有的文件，这种程序就是一种逻辑炸弹。

• 5.这里讨论的计算机病毒是狭义的，也有人把所有的恶意程序泛指为计算机病毒。例如1988年10月的“Morris 病毒”入侵美国因特网。舆论说它是“计算机病毒入侵美国计算机网”，而计算机安全专家却称之为“因特网蠕虫事件”。

4. 五个目标

• 1.防止析出报文内容。
• 2.防止流量分析。
• 3.检测更改报文流。
• 4.检测拒绝报文服务。
• 5.检测伪造初始化连接。

5. 例题

5.1 例题1

• 1.题目

1.(A)不属于主动攻击。
A.流量分析
B.重放
C.IP地址欺骗
D.拒绝服务

• 2.分析

1.主动攻击包括拒绝服务攻击、分布式拒绝服务(DDos)、信息篡改、资源使用、欺骗、伪装、重放等攻击方法。

5.2 例题2

• 1.题目

2.Kerberos系统中可通过在报文中加入(B)来防止重放攻击
A.会话密钥
B.时间戳
C.用户ID
D.私有密钥

• 2.分析

1.重放攻击(Replay Atacks)又称重播攻击、回放攻击或新鲜性攻击(Freshness Attacks)。
2.是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。
3.Kereros系统采用的是时间戳方案来防止重放攻击，这种方案中，发送的数据包是带时间戳的，服务器可以根据时间戳来
判断是否为重放包，以此防止重放攻击。

5.3 例题3

• 1.题目

3.下列攻击行为中，属于典型被动攻击的是(B)。

A.拒绝服务攻击
B.会话拦截
C.系统干涉
D.修改数据命令

• 2.分析

1.拒绝服务(DOS):对信息或其它资源的合法访问被无条件地阻止。
2.会话拦截:未授权使用一个已经建立的会话。
3.修改数据命令:截获并修改网络中传输的数据命令。
4.系统干涉:指的是攻击者获取系统访问权，从而干涉系统的正常运行。
5.网络攻击分为主动攻击和被动攻击两种。
6.主动攻击包含攻击者访问他所需信息的故意行为。比如通过远程登录到特定机器的邮件端口以找出企业的邮件服务器的信息;
伪造无效IP地址去连接服务器，使接受到错误IP地址的系统浪费时间去连接那个非法地址。攻击者是在主动地做一些不利于你
或你的公司系统的事情。主动攻击包括拒绝服务攻击(DoS)、分布式拒绝服务(DDoS)、信息篡改、资源使用、欺骗、伪装、重
放等攻击方法。主要是收集信息而不是进行访问，数据的合法用户对这种活动一点也不会觉察到。
7.被动攻击包括嗅探、信息收集等攻击方法。

5.4 例题4

• 1.题目

4.攻击者通过发送一个目的主机已经接收过的报文来达到攻击目的，这种攻击方式属于(A)攻击。

A.重放
B.拒绝服务
C.数据截获
D.数据流分析

• 2.分析

1.重放攻击(Replay Atacks)又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，
来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。
2.重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。
3.拒绝服务(英文名称denial ofservice:DoS)是指通过向服务器发送大量垃圾信息或干扰信息的方式，
导致服务器无法向正常用户提供服务的现象。
4.数据截取攻击是指黑客通过窃取或截取网络中传输的数据包,来获取敏感信息的一种攻击方式。
5.数据流分析攻击是指攻击者对网络流量进行捕获、分析和处理,从而获取其中的敏感信息,比如用户的行为、偏好、习惯等。