78《网络安全》_第03章01节 网络攻击技术_综述

网络安全北京邮电大学郑康锋zhengkfbupt@163.com网络攻击综述网络攻击分类网络攻击概述网络威胁概述网络攻击分类网络攻击分类原则可接受性：分类方法符合逻辑和惯例，易于被大多数人接受；确定性（也称无二义性）：对每一分类的特点描述准确；完备性（也称无遗漏性）：分类体系能够包含所有的攻击；互斥性：各类别之间没有交叉和覆盖现象；可重现性：不同人根据同一原则重复分类的过程，得出的分类结果是一致的；可用性：分类对不同领域的应用具有实用价值；适应性：可适应于多个不同的应用要求；原子性：每个分类无法再进一步细分。本节参考文献：刘欣然“网络攻击分类技术综述”通信学报2004年第7期网络攻击分类按照经验术语分类Icove按经验将攻击分成病毒和蠕虫、资料欺骗、拒绝服务、非授权资料拷贝、侵扰、软件盗版、特洛伊木马、隐蔽信道、搭线窃听、会话截持、IP欺骗、口令窃听、越权访问、扫描、逻辑炸弹、陷门攻击、隧道、伪装、电磁泄露、服务干扰等20余类；Cohen将攻击分为特洛伊木马、伪造网络资料、冒充他人、网络探测、电子邮件溢出、时间炸弹、获取工作资格、刺探保护措施、干扰网络、社会活动、贿赂、潜入、煽动等。网络攻击分类基于单一属性的分类方法Neumann和Parker通过分析3000余种攻击实例，从系统滥用的角度将攻击分为9类，即外部滥用、硬件滥用、伪造、有害代码、绕过认证或授权、主动滥用、被动滥用、恶意滥用、间接滥用，并进一步将其细化为26种具体的滥用攻击。Stallings依据实施方法对网络攻击进行了分类，将攻击实施的手段归纳为5种，分别是中断、拦截、窃听、篡改、伪造。Jayaram从攻击的实施方法将网络攻击分成物理攻击、系统弱点攻击、恶意程序攻击、权限攻击和面向通信过程的攻击5类。Cheswick和Bellovin依据攻击后果将针对防火墙的攻击分成窃取口令、错误和后门、信息泄漏、协议失效、认证失效、拒绝服务等类别。网络攻击分类Howard提出的攻击分类方法基于多属性的分类方法基于多属性的分类方法指同时抽取攻击的多个属性，并利用这些属性组成的序列来表示一个攻击过程，或由多个属性组成的结构来表示攻击，并对过程或结构进行分类的方法。网络攻击分类Christy改进后的攻击分类方法网络攻击分类基于应用的分类方法：基于应用的分类方法是对特定类型应用、特定系统而发起的攻击的属性进行分类描述的方法。Alvarez和Petrovie在分析对Web应用而发起的攻击时，重点从攻击入口、漏洞、行为、长度、HTTP头及动作、影响范围、权限等方面对攻击进行描述，并用不同长度的比特位所代表的数字来表示每一个属性，从而形成一个攻击编码向量；Weaver等人从目标发现、选择策略、触发方式等角度对计算机蠕虫进行了描述，对于攻击者也按其动机不同进行了划分；Mirkovic等人在对DDOS类攻击进行描述时，对其自动化程度、扫描策略、传播机制、攻击的漏洞、攻击速度的动态性、影响等属性进行了划分；网络攻击综述网络攻击分类网络攻击概述网络威胁概述网络攻击攻击的类型从安全属性来看，攻击类型可分为4类：阻断攻击、截取攻击、篡改攻击、伪造攻击；下图是从源站到目的站的正常信息流。网络攻击(1)阻断攻击阻断攻击使系统的资产被破坏，无法提供用户使用，这是一种针对可用性的攻击。例如，破坏硬盘之类的硬件，切断通信线路，使文件管理系统失效等。网络攻击(2)截取攻击截取攻击可使非授权者得到资产的访问，这是一种针对机密性的攻击。非授权者可以是一个人、一个程序或一台计算机，例如，通过窃昕获取网上数据以及非授权的复制文件和程序。网络攻击(3)篡改攻击篡改攻击是非授权者不仅访问资产，而且能修改信息，这是一种针对完整性的攻击。例如，改变数据文件的值，修改程序以及在网上正在传送的报文内容。网络攻击(4)伪造攻击伪造攻击是非授权者在系统中插入伪造的信息，这是一种针对真实性的攻击，网络攻击主动攻击和被动攻击从攻击方式来看，攻击类型可分为被动攻击和主动攻击网络攻击被动攻击目的是获取正在传输的信息。被动攻击包括传输报文内容的泄露和通信流量分析。报文内容的泄露易于理解，一次电话通信、一份电子邮件报文、正在传送的文件都可能包含敏感信息或秘密信息。通信流量分析的攻击较难捉摸。常用的方法是通过屏蔽内容技术——加密。然而即使用加密保护内容，攻击者仍有可能观察到这些传输的报文形式。攻击者有可能确定通信主机的位置和标识，也可能观察到正在交换的报文频度和长度。对被动攻击的检测十分困难，因为攻击并不涉及数据的任何改变。然而阻止这些攻击的成功是可行的，因此，对被动攻击强调的是阻止而不是检测。网络攻击主动攻击：包含对数据流的某些修改，或者生成一个假的数据流。它可分成4类:(1)伪装伪装是一个实体假装成另一个实体。伪装攻击往往连同另-类主动攻击一起进行。例如，身份鉴别的序列被捕获，并在有效的身份鉴别发生时作出回答，有可能使具有很少特权的实体得到额外的特权，这样不具有这些特权的人获得了这些特权。(2)回答回答攻击包含数据单元的被动捕获，随之再重传这些数据，从而产生一个非授权的效果。网络攻击(3)修改报文修改报文攻击意味着合法报文的某些部分已被修改，或者报文的延迟和重新排序，从而产生非授权的效果。(4)拒绝服务拒绝服务攻击是阻止或禁止通信设施的正常使用和管理。这种攻击可能针对专门的目标(如安全审计服务)，抑制所有报文直接送到目的站;也可能破坏整个网络，使网络不可用或网络超负荷，从而降低网络性能。主动攻击和被动攻击具有相反的特性。被动攻击难以检测出来，然而有阻止其成功的方法。而主动攻击难以绝对地阻止，因为要做到这些，就要对所有通信设施、通路在任何时间进行完全的保护。因此对主动攻击采取检测的方法，并从破坏中恢复。网络攻击访问攻击攻击者企图获得非授权信息，这种攻击可能发生在信息驻留在计算机系统中或在网络上传输的情况下。是针对信息机密性的攻击。常见的访问攻击有3种:(1)窥探(snooping)：是查信息文件，发现某些攻击者感兴趣的信息。攻击者试图打开计算机系统的文件，直到找到所需信息；(2)窃听(eavesdropping)：是偷听他人的对话，为了得到非授权的信息访问，攻击者必须将自己放在一个信息通过的地方，一般采用电子的窃听方式；(3)截获(interception)：不同于窃听，它是一种主动攻击方式。攻击者截获信息是通过将自己插入信息通过的通路，且在信息到达目的地前能事先捕获这些信息。网络攻击篡改攻击篡改攻击是攻击者企图修改信息，而他们本来是无权修改的。这种攻击可能发生在信息驻留在计算机系统中或在网络上传输的情况下，是针对信息完整性的攻击。常见的篡改攻击有3种:(1)改变：改变已有的信息。例如，攻击者改变己存在的员工工资，改变以后的信息虽然仍存在于该组织，但已经是不正确的信息。这种改变攻击的目标通常是敏感信息或公共信息。(2)插入：插入信息可以改变历史的信息。例如，攻击者在银行系统中加一个事务处理，从而将客户账户的资金转到自己账户上。(3)删除：删除攻击是将已有的信息去除，可能是将历史记录的信息删除。例如，攻击者将一个事务处理记录从银行结账单中删除，从而造成银行资金的损失。网络攻击拒绝服务攻击拒绝服务攻击(Denial-of-Service，DoS)是拒绝合法用户使用系统、信息、能力等各种资源。可分成以下4种:(1)拒绝访问信息：使信息不可用，信息被破坏或者将信息改变成不可使用状态，也可能信息仍存在，但已经被移到不可访问的位置。(2)拒绝访问应用：目标是操纵或显示信息的应用。通常对正在运行应用程序的计算机系统进行攻击，使应用程序不可用而不能完成任务。(3)拒绝访问系统：通常是使系统宕机，使运行在该计算机系统上的所有应用无法运行，使存储在该计算机系统上的所有信息不可用。(4)拒绝访问通信：是针对通信的一种攻击，已有很多年历史。这类攻击可能用切断通信电缆、干扰无线电通信以及用过量的通信负载来淹没网络。网络攻击否认攻击否认攻击是针对信息的可审性进行的。否认攻击企图给出假的信息或者否认已经发生的现实事件或事务处理。否认攻击包括两类:(1)假冒：假冒是攻击者企图装扮或假冒别人和别的系统。这种攻击可能发生在个人通信、事务处理或系统对系统的通信中。(2)否认：否认一个事件是简单地抵赖曾经登录和处理的事件。例如，一个人用信用卡在商店里购物，然而当账单送到时，告诉信用卡公司，他从未到该商店购物。前言网络攻击分类网络攻击概述网络威胁概述网络威胁概述网络欺骗网络系统缺陷网络信息收集拒绝服务攻击恶意代码网络威胁概述—网络欺骗（1）针对网络层协议的欺骗IP欺骗ARP欺骗ICMP消息欺骗路由欺骗网络威胁概述—网络欺骗（2）针对TCP协议的欺骗TCP初始序号预测或捕获：TCP欺骗的基础TCP欺骗TCP会话劫持RST和FIN攻击网络威胁概述—网络欺骗（3）针对应用协议的欺骗电子邮件欺骗DNS欺骗网络威胁概述—网络欺骗（4）网络钓鱼基于URL欺骗的钓鱼发送电子邮件，发布虚假信息建立假冒网银等网站，骗取账号、密码等利用虚假的电子商务进行诈骗利用黑客手段（如木马）进行信息窃取利用弱口令等漏洞破解账号、密码等通过脚本实现（挂马）基于网络通讯劫持的网络钓鱼利用DNS欺骗使用ARP欺骗等手段截获并篡改正常数据或网址网络威胁概述—网络系统缺陷（1）网络层协议实现缺陷IP碎片攻击：如TearDropIGMPNuke攻击：超长IGMP包PingofDeath：超长ICMP数据包Winnuke：利用NetBIOS协议的OOB漏洞网络威胁概述—网络系统缺陷（2）应用协议实现缺陷例如HTTP协议实现的IIS服务中的Unicode漏洞（3）缓冲区溢出（4）注入式攻击：如SQL注入网络威胁概述—网络信息收集（1）针对IP及更底层协议的扫描IP地址扫描数据监听电磁泄漏信息的截取网络威胁概述—网络信息收集（2）端口扫描TCPConnect扫描TCPSYN扫描TCPFIN扫描IP包分段扫描UDPICMP端口不可达扫描慢速扫描网络威胁概述—网络信息收集（3）漏洞扫描漏洞库匹配模拟攻击（4）操作系统识别主动栈指纹识别被动栈指纹识别网络威胁概述—拒绝服务攻击SYN、ACK、FINflood。PingofDeathSmurfLandTearDrop网络威胁概述—恶意代码计算机病毒特洛伊木马网络蠕虫陷门流氓软件。。。。