信息系统安全威胁

信息系统安全威胁

主要内容：

1. 安全威胁的种类
2. 病毒、蠕虫、木马
3. ARP欺骗、IP源地址欺骗、路由欺骗、TCP会话劫持
4. 拒绝服务攻击、各种泛洪攻击

安全威胁 包括但不仅包括：

1. 病毒（virus）
2. 蠕虫（worm）
3. 木马
4. 通信窃听
5. 信息系统敏感数据获取（通过网络扫描）
6. 网络欺骗漏洞攻击
7. 数据驱动漏洞攻击
8. 拒绝服务攻击
9. 陷门攻击
10. 逻辑炸弹、

下面有针对地稍微介绍一下。

病毒、蠕虫、木马

先给一张来自 信息系统安全教程(第2版) 的表稍微浏览一下：

属性	病毒	蠕虫	木马
自我繁殖	强	强	几乎没有
攻击对象	文件	计算机、进程	网络
传播途径	文件感染	漏洞	植入
欺骗性	一般	一般	强
攻击方式	破坏数据	消耗资源	窃取信息
远程控制	否	否	可
存在形式	寄生在宿主程序中	独立存在	隐藏
运行机制	条件触发	自主运行	自主运行

其实当今技术不断发展，日新月异，固守原本的死概念已经没有多大的意义。因此我们可以简单地这么来区分：

病毒

病毒的目的在于破坏，往往寄生在文件里。

蠕虫

蠕虫的目的在于在网络中自我繁殖(通过漏洞)，可以独立运行、主动传播。

基本工作流程是：

1. 随机生成ip进行探测；
2. 若探测到漏洞则进行攻击；
3. 否则继续随机生成ip进行探测。

木马

木马的目的在于潜伏植入，而且一般入侵之后会潜伏下来做以下几件事情：

1. 远程控制
2. 信息窃取
3. 键盘记录
4. 毁坏文件

当然，具体病毒、蠕虫、木马如何入侵安全系统以及干了什么羞羞的事情，就得看 hacker 的心情了=。=

更多细节这里不再阐述，毕竟这方面的攻击手段真是千变万化，而且光说不练也没什么用，有兴趣自行啃书+实操吧~

信息系统敏感数据获取

• 网络扫描：

  地址扫描、端口扫描、漏洞扫描等。

• 口令破解：

  字典破解、穷举破解、组合破解等。

网络欺骗漏洞攻击

• ARP 欺骗 (Address Resolution Protocol)

  地址解析协议欺骗。例如 C 向 B 发送一条 ARP 应答报文，将 A 的IP 映射到 C 的 MAC 地址，则 B 就会更新本地的 ARP 缓存，之后将本应该发送给 A 的报文发送给了 C。

• IP 源地址欺骗

  冒用其他主机的 IP 用于欺骗第三者

• 路由欺骗

  1. IP 源地址欺骗

     源路由的用户可以指定他所发送的数据包沿途经过的部分或者全部路由器。它区别于有主机或者路由器的互联层软件自行选择路由后得出的路径。

  2. RIP 路由欺骗

     Routing Information Protocol，路由信息协议，用于选择路由路径

• TCP 会话劫持

  • 关键是猜测推算出 TCP 会话中使用的序号（seq）和确认序号（ack），因为TCP只在第一次建立连接的时候进行IP地址验证，而后的TCP连接过程中只跟踪序列号。

• DNS 欺骗

• Web 欺骗

  钓鱼网站等。

拒绝服务攻击（Denial of Service，DoS）

• IP 碎片攻击

  IP 包在数据链路层传输的时候往往需要分片（长度不允许超过最大传输单元 MTU，Maxium Transmission Unit），接收方主机接受完所有分片之后才重组该 IP 包放入一个大小限制的缓冲区中。如果制造一个超大的 IP 包，可能令接收方主机重组之后的 IP 包超过了缓冲区的大小，则额外数据会写入其他正常区域，容易 kill 系统。

• 泪滴（teardrop）

• UDP 泛洪（UDP flood）

  利用 UDP 连接不需要握手

• SYN 泛洪（SYN flood）

  利用 TCP 三次握手

• MAC 泛洪（MAC flood）

  直接攻击交换机

• DDoS

  分布式拒绝服务攻击

其他威胁

• 通信窃听

  声波窃听、电磁波监听、光缆监听、手机监听、共享网络中监听等

• 数据驱动漏洞攻击

  缓存区溢出攻击、格式化字符串攻击等

• 陷门攻击（trap door）