二、网络安全威胁分类
《网络与安全》读书笔记
徐爱国 张森 彭俊好(2007),网络与安全
1. 根据威胁对象分类
- 网络拓扑安全
- 网络协议安全
- 网络软件安全
- 网络设备安全
1.1 网络拓扑安全
- 总线型拓扑 -- 所有网络设备直接连接在主干电缆上
- 星型拓扑 -- 所有设备连接到一个中心点上
- 环形拓扑 -- 多个设备共享一个环路
- 网状拓扑
- 树型拓扑 -- 总线型拓扑的演变
1.2 网络协议安全
协议基本特点:
- 预先建立 -- 使用前设计好的
- 相互约定 -- 安约定顺序步骤执行
- 无歧义 -- 不能有误解导致不能执行的步骤
- 完备性 -- 对每种可能发生的情况都有预防措施
1.3 网络软件缺陷
由于软件程序的复杂性、编程的多样性 和 开发人员的局限性,在软件中很容易留下一些漏洞。 软件漏洞会影响网络信息安全。
-
操作系统漏洞
-
操作系统主要功能:
- 进程控制和调度
- 信息处理
- 存储器管理
- 文件管理
- 输入输出管理
- 资源管理
- 时间管理等
-
操作系统安全保护:
- 存储器保护 -- 限定存储区和地址重定位,保护存储信息?
- 文件保护 -- 保护用户和系统文件,防止非授权用户访问、篡改;
- 访问控制
- 用户认证 -- 识别用户权限和身份
-
-
数据库安全缺陷
- 数据管理系统漏洞
- 数据库中数据备份不足
- 数据库认证机制不完善
- 数据存储完整性不足
- 数据存储机密性不足等
-
网络应用缺陷
网络应用软件是用户使用网络服务的接口,应用软件缺陷会导致客户遭受损失。
1.4 网络设备安全
-
网桥的安全隐患
- 广播风暴 -- 网桥不阻挡广播信息;
- 当用网桥连接外网时,会暴露内网资源;
- 网桥基于“最佳效果”传输数据,可能引起数据丢失。
-
路由器安全隐患
恶意修改和破坏路由表
2. 根据威胁动机分类
- 利用型攻击
试图控制机器的攻击。
攻击技术:口令猜测、木马、缓冲区溢出; - 信息收集型攻击
为进一步攻击收集信息。
攻击技术:扫描、体系结构刺探、利用信息服务; - 消息伪造攻击
为目标主机配置不正确的消息,将用户引向黑客自己的主讲或恶意网站。
攻击技术:DNS高速缓存污染、伪造电子邮件。
P.S. 主动攻击与被动攻击:
- 被动攻击 -- 破坏保密性。如嗅探、信息收集等。
- 获取消息的内容;
- 业务流分析,比如分析所截获的的加密消息,分析消息格式、长短,通信双方身份、位置、通信次数等,一次获得敏感信息。
- 主动攻击 -- 篡改、伪造消息。
- 中断 -- 破坏可用性(DDoS), 如破坏硬件、网络、系统等;
- 篡改 -- 破坏完整性, 如篡改存储内容、消息内容,替换某一程序某一功能等;
- 伪造/欺骗 -- 破坏真实性, 如伪造消息、记录等。
- 资源使用
3. 根据威胁起因分类
- 网络欺骗
- 网络系统缺陷
- 网络信息收集
- 拒绝服务攻击
- 有害程序
3.1 网络欺骗
缺乏认证导致了网络欺骗。
-
MAC 欺骗?
-
ARP 欺骗 -- 修改被攻击者的ARP缓存。
-
IP 欺骗 -- 攻击者假冒他人IP地址发送数据包。
-
ICMP 欺骗
- ICMP重定向报文攻击 -- 攻击者冒充初始网关向目标主机发送ICMP重定向报文,诱使主机更改路由表。
- ICMP 主机不可达报文攻击 -- 冒充路由器发送伪造的ICMP主机不可达或TTL超时报文,干扰正常通信。
-
路由欺骗
- RIP 路由欺骗 -- 传播假的路由信息,将数据引到攻击者所控制的路由器。
- IP 源路由欺骗
-
TCP 欺骗
TCP初始序列号预测。初始序列号产生方法:
- 64 k规则 -- 每秒用一个常量(12800)增加初始序列号,如果有某一个连接启动,则用另一个常量(64000)增加序列号计数器。
- 与时间相关的产生规则 -- 在计算机自举时产生初始值,依照每台计算机各自的时间时钟增加。
- 伪随机数生成。
- 非盲攻击 -- 攻击者伪装攻击受信主机成受信主机IP与被骗者TCP通信。
- 盲攻击 -- 很难实现交互
-
TCP 会话劫持
认证完毕后,攻击主机开始劫持会话。TCP劫持经常用于接管Telnet会话。 -
RST和FIN攻击
-
针对应用协议的欺骗
- 电子邮件欺骗
伪装成系统管理员给用户发送邮件,要求用户修改口令,或者伪装其他人发送一个带有附件的邮件,附件中加载病毒或其他木马程序。 - DNS欺骗
攻击者向DNS服务器发送DNS查询,伪造DNS应答,从而在DNS服务器伪造一个错误的缓存。
- 电子邮件欺骗
-
网络钓鱼
使用户访问恶意网站,记录用户的信息或使用户运行恶意代码。- 基于URL欺骗的钓鱼
- 发送电子邮件
- 建立假冒网上银行等
- 利用虚假电子商务进行诈骗
- 利用木马
- 利用用户弱口令
- 通过脚本技术
- 基于网络通讯劫持的钓鱼
- 基于网络通讯劫持的网络钓鱼
利用DNS、路由或网关的篡改等手段使用户访问钓鱼网站。
- 基于URL欺骗的钓鱼
3.2 网络系统缺陷
-
网络协议或应用实现
-
TearDrop 攻击
第一个包的偏移量为0,长度为N,第二个包的偏移量小于N,算上第二片数据长度也没有超过N,为了合并这些分片,有的系统的TCP/IP堆栈会算出负数值(对应很大的无符号数),因此分配一个巨大的资源,从而导致系统缺少资源甚至重启。 -
Jolt2 攻击
发送许多相同的分片包,且这些包的偏移量与总长度超出了单个IP包的长度限制(65536 Byte)。 -
IGMP Nuke 攻击
发送多个超过65536 Byte的IGMP包 -- windows 98 蓝屏炸弹。 -
Ping of Death 攻击
ICMP包长度限制为64KB,操作系统会根据包头里包含的信息来为有效载荷生成缓冲区,但如果出现声称长度超过ICMP上限的数据包,操作系统内存分配可能出现问题。 -
Winnuke 攻击
利用NetBIOS协议中的OOB(Out of Band)漏洞,通过TCP/IP协议传递一个Urgent紧急数据包到计算机的137、138、139端口,当windows 95/NT收到后,立刻蓝屏死机。
OOB数据是指TCP连接中发送的带有URG标志的数据,可以不按照通常次进入TCP缓冲区,而是进入另外一个缓冲区,立刻被进程读取,或根据进程设置使用SIGURG信号通知进程有OOB数据到来。 -
IIS的unicode漏洞
-
-
软件或系统实现中的缺陷
- 缓冲区溢出
- 注入式攻击
3.3 网络信息收集
-
针对IP及更底层协议的扫描
-
IP地址扫描 -- 利用ICMP的应答,如ping
-
数据监听 -- 利用ARP欺骗等
-
电磁泄露信息截取 -- 国家情报机构使用该手段
-
-
端口扫描
-
TCP connect 扫描
-
TCP SYN 扫描
该方法容易被过滤器过滤掉。 -
TCP FIN 扫描 -- 关闭的端口会用RST回复FIN数据包
该方法可以绕过一些过滤器。
有的系统不管端口是否打开都会回RST,因此该方法可以用来区分UNIX和Windows NT系统。 -
IP 分片扫描
将TCP头分成几个IP分片数据包,从而绕过过滤器。 -
ICMP端口不可达扫描
发送UDP数据,许多主机会为未打开的端口发送ICMP端口不可达错误。 -
慢速扫描
一般扫描检测器通过监视某时间段内一台主机被连接的数目来判断是否在被扫描,因此可以使用慢速扫描绕过这样的检测器。
-
-
漏洞扫描
-
漏洞库匹配方法
一般能实现的扫描有:CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。 -
模拟攻击方法
-
-
操作系统识别
不同厂家不同版本的操作系统存在的漏洞不同,攻击之前能够确认目标操作系统将对后续攻击有很大的帮助。-
主动栈指纹识别方法
寻找不同操作系统处理网络数据包的差异,并且把足够多的差异组合起来,从而比较精确的识别出一个操作系统的甚至是版本。 -
被动栈指纹识别方法
被动识别不是向目标主机发送数据,而是被动监听网络通信。
-
3.4 拒绝服务攻击
-
简单拒绝服务攻击
-
Ping flood
-
SYN flood
-
UDP flood
-
电子邮件炸弹
-
-
反射式拒绝服务攻击
-
Smurf
源IP地址为目标主机IP,目的IP地址为广播地址的ICMP回应请求数据包。 -
Land 攻击
源IP地址与目的IP地址都为目标主机地址,目标主机向自己发送SYN ACK。
-
-
分布式拒绝服务攻击
3.5 有害程序
-
计算机病毒
-
特洛伊木马
特洛伊木马是一个C/S结构软件,包括主控端和被控端两个程序,被控端程序安装在目标计算机上,因此攻击者可以远程控制目标计算机。 -
蠕虫
蠕虫包括3个模块:扫描模块、感染模块、执行功能模块。 -
陷门
程序开发过程中用于测试、修改或升级程序等程序接口,程序开发后期没有被去掉,从而被非法利用。-
逻辑炸弹
-
遥控旁路
-
远程维护
-
非法通信
-
贪婪程序
-
