还剩27页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
目录
一、引言
二、网络攻击的一般过程
三、网络攻击技术
四、网络攻击技术的发展趋势
五、思考题
3.
1.1安全事件与报道
(一) 全球共有200万名黑客,每天出现病毒超过一万(天极网,2005-3-7) Peakis公司发布了一份黑客分析报告全球共有大约200万名拥有成熟技术,并可以自编写病毒与木马程序的黑客;全球平均每天就有超过一万个新的病毒、病毒变种以及木马程序出现;病毒造成的损失每年以千亿美金计算
3.
1.1安全事件与报道
(二) 以色列最机密核项目遭到“木马”病毒入侵东方网2005年6月11日消息以色列近日刚破获一起利用“特洛伊木马”病毒的工业间谍案据称它的一个秘密核项目在严密看护下竟遭到“特洛伊木马”病毒的侵入 黑客入侵台湾否认外交部泄密2005年7月1日,台湾媒体报道指出,外交部网站遭黑客入侵,疑是大陆“网军”所为,窃取台湾外交机密文件;《联合报》并引述未具名的行政院官员透露指出,大陆方面透过木马程序一再入侵台湾公务部门,包括国防部网站等,也曾入侵民进党中央,了解民进党高层的出访动向
3.
1.13台军方电脑被黑客侵入汉光军演 数据外泄 属汉光演习“攻击军”演习计划指导组、台“国防大学”萧上校使用的电脑被黑客入侵,今年“汉光23号演习”“攻击军”的数据外泄 该名教官因违反使用规定,把演习资料放在随身U盘回家,在自家上网机器上操作,因其打开了带有木马的邮件,致使机器被控制,汉光演习的资料被窃取该U盘再被插回到办公室的电脑,经扫描发现有木马程序,使得原本物理隔离的军网与民网络连结,让黑客借机入侵
3.
1.1安全事件与报道
(三) 美政府网络遭攻击美报称黑客可能来自中国2005年8月26日,据《华盛顿邮报》刊登的一则消息称,黑客利用中国的网站将美国政府网络纳入了攻击目标;美国国防部和其它一些政府机构运营的网站日前遭受了黑客的攻击,攻击源自中国的网站
3.
1.1安全事件与报道
(四) 荷兰黑客涉嫌盗取信用卡数据被抓捕主犯仅19岁2005年10月6日荷兰逮捕了3名涉嫌盗取他人信用卡数据、银行账户和在线支付信息的网络黑客,他们被指控通过黑客程序侵入了世界各地超过10万台电脑 侵入爱立信电脑系统黑客在瑞典被判刑非法侵入瑞典爱立信公司电脑系统的匈牙利电脑黑客,2005年4月4日被斯德哥尔摩地方法院以严重工业间谍罪判处有期徒刑3年他同时被判犯有非法保存机密文件和非法入侵电脑罪
3.
1.1安全事件与报道
(五) 美信用卡资料被盗,8660名中国用户牵连(新浪科技-2005-06-29)美国专为银行处理信用卡交易之资讯厂商CardSystems遭黑客入侵,包括各品牌信用卡共4000万信用卡资料被盗取,并有外泄可能
3.
1.2网络所受威胁与日俱增
(一)
3.
1.2木马控制分布
3.
1.289%家用PC感染30种间谍软件 2006年8月16日,Webroot(反间谍件工具厂商)在其第二季度的《间谍件状态》报告89%的家用PC平均感染有30种间谍软件 2007年3月,ScanSafe(网络安全公司)公布的报告显示全球博客中有80%包含了色情和攻击性内容,另外有6%的博客中包含了恶意程序
3.
1.289%家用PC感染30种间谍软件
3.
1.2网络所受威胁与日俱增
(二)
1、国外敌对势力对安全的威胁 敌对势力利用互联网对国家政权构成威胁煽动分裂、颠覆国家,破坏国家统一;法轮功网上宣传煽动、组织沟通;造谣诽谤国家机关及领导人;网上非法组党结社 网上间谍活动猖獗利用互联网窃取国家秘密、军事秘密
3.
1.2台湾有三支黑客网军专攻大陆 台湾对外网络作战,目前有包括台军“老虎小组”网络部队、“国安局”和军情局三个系统前者着重作战,属于编制内“正规军”;后两者着重于情搜,参与者多为对外招募的民间黑客高手,算是“游击队”目前大陆发现的台湾网络间谍使用的手段,主要为木马与“僵尸网络”台湾网络间谍有时还在军事论坛网站冒充军事发烧友或者媒体记者,以信息交流和给予高额稿费或资料费的形式,骗取一些大陆网民的信任,以此获取机密信息台“国防部副部长”林镇夷心虚,称对“网络间谍”无法置评
3.
1.2网络所受威胁与日俱增
(三)
2、各种计算机犯罪的威胁 威胁类型网络侵财型犯罪网络盗窃、诈骗和盗用网络资源、网络服务利用网络实施的危害社会管理秩序的传统犯罪网络赌博,网络淫秽视频表演、淫秽电影、换妻俱乐部以及网络黑社会、网络迷信等针对计算机信息系统或网络实施的系统入侵、系统破坏等危害信息网络安全和网络秩序的犯罪
3.
1.2利用互联网实施银行卡犯罪逐渐增多 网上银行极大地方便了持卡人办理各项业务,也成为犯罪分子的作案目标目前利用互联网实施银行卡犯罪的主要是利用网上银行系统的漏洞获取客户个人信息,通过转帐手段盗提客户资金利用黑客软件、网络病毒盗取客户银行的卡号、密码,制作假卡在ATM机上盗取资金“网络钓鱼”在互联网设立假的金融机构、网站来骗取客户的银行卡号、密码
3.
1.3“防不胜防”问题依然严重 面对网络攻击的严峻形势,发达国家都投入巨大的人力和物力加强网络防护技术的研究,形成了一大批网络安全产品;对军事系统、政府系统、国家重要的通信、交通、金融等网络系统进行了全面的安全改造和监控;网络防御得到了极大的重视,网络防护技术获得了飞速的发展,但“防不胜防”的问题依然严重
二、网络攻击的一般过程
3.2概述
1、攻击辅助信息收集
2、获得目标系统权限
3、植入并激活攻击程序
4、控制目标系统
3.3网络攻击技术 一计算机病毒二(分布式)拒绝服务攻击三电子欺骗四扫描技术五网络监控六硬攻击技术
3.
3.
1.1计算机病毒
(一) 计算机病毒被发现十多年来,其种类以几何级数在增长病毒机理和变种不断演变,为检测与消除带来了更大的难度,成为计算机与网络发展的一大公害 由于计算机病毒的传染性、潜伏性和巨大的破坏性,计算机病毒作为一种新型的信息战武器已越来越受到各国军方的重视
3.
3.
1.1计算机病毒
(二) 计算机病毒是指编造者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或程序代码 它由引导模块、传染模块、破坏与表现模块组成熊猫烧香病毒
3.
3.
1.2十几岁的“低手”做出“高水平”病毒 病毒制作的门槛越来越低制作“库尔尼科娃”病毒的人只有十几岁,并且并非是编写病毒程序的高手,甚至对于程序的编写知之甚少; “病毒工厂”提供方便这位年轻的病毒制作者只是在网络上下载了一种已编写完成的病毒程序,按照指导修改了一小部分,于是这种“库尔尼科娃”病毒就诞生了每一位互联网用户,只要他想要创造一种病毒,那么不管他是否了解编程,都能轻松地达到目的,这样的事情只要想想都让人不寒而栗
3.
3.
1.2“中国黑客”病毒 该病毒体内含有大量中文信息,名为Win
32.Runouce.6703,是以邮件的形式进行传播的恶性蠕虫病毒病毒体内含有如下信息ChineseHacker!反对邪教,崇尚科学!向英雄王伟致意!反对霸权主义!社会主义好! 由于其中文特点,在国外的传染范围与速度将大大降低
3.
3.
1.2Chod.B蠕虫病毒智能化趋势令人震惊 病毒邮件伪装成大公司安全服务security@microsoft.com;Security@trendmicro.com;securityresponse@symantec.com Chod.B病毒发出“检查你刚才在互联网上所发现的”这样一个提示,而后给你发送一个含有病毒的文件; 整个攻击过程已不在是让你被动地接受一个病毒文件,而是想尽力模仿成为你的一个朋友,让你欣喜接受
3.
3.
1.2Sober病毒变种肆虐 Sober.M是一种大量传播的邮件病毒,病毒邮件使用德语或英语,其英语邮件内容如下 主题我收到了你的邮件! 文本内容 你好,非常抱歉,我的英语很差劲有人将你的私人邮件发到我的邮箱中,或许是邮件服务器出错了吧! 我已接收到了10封邮件,但邮件收件人地址都显示你的地址,因此我将以上邮件压缩在一起发送给你,但愿该邮件不要再次回到我的信箱再见! 附件你的邮件文档.zip
3.
3.
1.3病毒的分类 依据病毒对系统和网络破坏方式不同文件型病毒破坏PE文件,造成系统运行失常;宏病毒破坏文档资料,造成重要资料丢失;蠕虫病毒滥发邮件、耗费资源,扰乱正常信息沟通;恶意代码恣意修改系统设置,扰乱正常的工作秩序
3.
3.
1.3文件型病毒 广义包括DOS病毒、引导型病毒、内存病毒等; 以CIH、FunLove为代表,主要感染PE类型文件,感染后文件一般会变大;FunLove驻留内存的Win32病毒,连续运行进程FLCSS.EXE,修改以.OCX,.SCR和.EXE为后缀文件,能造成系统崩溃 造成的危害系统不能启动;应用程序不能使用,也不能安装;系统崩溃,频繁死机
3.
3.
1.3宏病毒 以Melissa、NSI病毒为代表,主要感染和破坏Office文档,包括Word、Excel等; 感染主要依赖于Office的宏功能; 造成的危害文档出现乱码现象;文档损坏或丢失;Office的Normal.dot模版遭破坏,Office不能正常使用
3.
3.
1.3蠕虫病毒 邮件传播以Nimda、Bugbear为代表;Bugbear群发邮件,记录键盘输入信息和预留后门,每隔30秒尝试关闭防病毒、防火墙程序红色代码2(RedCodeII)开创了利用系统漏洞传播病毒的先河;SQLSlammer蠕虫病毒:网络带宽被大量占用,导致网络堵塞;利用SQLSERVER2000的解析端口1434的缓冲区溢出漏洞 造成的危害邮箱爆满,无法正常工作,邮件地址薄上的每一个均将收到你的病毒邮件;网络中的大量资源被消耗,如带宽;网络中断,网络中的正常请求遭拒绝
3.
3.
1.3恶意代码 广义上包括网页病毒(Sckiss)、恶意代码; 简单的脚本编写主要感染网页类型的文件; 造成的危害信息泄漏、被窃取;网络攻击的“跳板”
3.
3.
1.4网络时代计算机病毒的特点
(一) 主动通过网络和邮件系统传播
3.
3.
1.4网络时代计算机病毒的特点
(二) 传播速度极快 由于病毒主要通过网络传播,因此一种新病毒出现后,可以迅速通过互联网传播到世界各地;“爱虫”病毒在一两天内迅速传播到世界的主要计算机网络,并造成欧、美国家的计算机网络瘫痪;通过IM即时通讯传播的病毒每月以50%的速度递增,理论上,可以在30秒内感染50万台电脑
3.
3.
1.4网络时代计算机病毒的特点
(三) 危害性极大 网络拥塞甚至瘫痪、重要数据丢失、计算机内储存的机密信息被窃取、有的计算机信息系统和网络被人控制
3.
3.
1.4网络时代计算机病毒的特点
(四) 变种多 据瑞星全球病毒监测网(国内部分)的数据显示,截止到2004年12月6日,瑞星公司共截获 SCO炸弹(Worm.Novarg)变种27个; 恶鹰病毒(Worm.BBeagle)变种64个; 波特间谍(Win
32.Spybot)变种442个; 高波病毒(Worm.Agobot)变种760个 “熊猫烧香”病毒变种达416个(截至
2007.
1.29)
3.
3.
1.4网络时代计算机病毒的特点
(五) 难于控制利用网络传播、破坏的计算机病毒,一旦在网络中传播、蔓延,很难控制;除非关闭网络服务,但是这样做很难被人接受;关闭网络服务可能会蒙受更大的损失
3.
3.
1.4网络时代计算机病毒的特点
(六) 功能多样化,具有病毒、蠕虫和后门黑客程序的功能 “五毒虫”综合了“冲击波”、“QQ小尾巴”、“MYDOOM”、“恶鹰”、“木马”等众多病毒危害于一身,将对电脑用户造成严重危害中毒后的现象向外疯狂发送垃圾邮件、60秒倒计时重启、向QQ好友发送垃圾信息、打不开杀毒软件、向网络内其他机器攻击、上网速度缓慢等该病毒目前几乎应用了所有病毒和木马的攻击和传播技术,不但危害严重,而且传播方式非常多样
3.
3.
1.5新兴的病毒种类
(一) 间谍软件(Spyware) 间谍软件用于从目标系统中收集各种情报、信息,比如商业、军事情报,用户信用卡号、个人隐私信息/文档,各种网站/邮箱用户名、口令等信息 收集到相关信息后,间谍软件通过网络将其发送给入侵者
3.
3.
1.5新兴的病毒种类
(二) 垃圾信息发送软件(Spamware)运行在大量被入侵主机中,用于发送垃圾信息的恶意软件 垃圾广告软件(Adware)运行在被入侵主机中,用于以各种方式显示垃圾广告的恶意软件 Bot可远程控制的蠕虫即为Bot;被Bot成功入侵后的受控主机即为傀儡主机(Zombie),一组傀儡主机被称为Botnet
3.
3.
1.6病毒发展趋势 黑客、木马和间谍软件数量大幅度增长;Bot日益严重;IM(即时通讯)和P2P软件成为传播病毒主要途径;“网络钓鱼”(Phishing)成为新的网络公害;病毒的目的性愈来愈强;手机病毒成为新的焦点
3.
3.
1.7谨防网络钓鱼
(一) 银行网址被假冒 中国银行www.bank-off-china.comwww.bank-of-china.com工商银行www.1cbc.com.cnwww.icbc.com.cn 中国银联www.cnbank-yl.com.cnwww.chinaunionpay.com
3.
3.
1.7谨防网络钓鱼
(二)
3.
3.
1.7谨防网络钓鱼
(三)
3.
3.
1.8防病毒的一些建议 要从思想上高度重视,时刻具有防范意识,不轻易上一些不正规的网站;提防电子邮件病毒的传播;对于渠道不明的光盘、软盘、U盘等便携存储器,以及从网络上下载的文件,使用之前应查毒;使用高强度的口令,并经常变更各种口令;经常关注一些正规网站、BBS发布的病毒报告;对于重要文件、数据做到定期备份
3.
3.
1.9病毒举例
(一) 发件人wuyafei@mx.cei.gov.cn 主题安全咨询 正文 Hi!Howareyou Isendyouthisfileinordertohaveyouradvice.Seeyoulater.Thanks.吴亚非国家信息中心网络安全部主任、中国信息协会信息安全专委会秘书长
3.
3.
1.9病毒举例
(二) 通过电子邮件快速传播的恶性网络蠕虫w
32.sircam,对计算机具有较高的危害能力,在电子邮件中,这一病毒表现为 正文是一段首尾两句不变的英文“Hi!Howareyou”、“Seeyoulater.Thanks”;邮件的附件和主题一样,并在后面加上了双扩展名 用户一旦打开带有病毒的附件,病毒就会自动发作,并随意选择机器硬盘中的文件向外发送,导致机器内的重要文件对外公开;病毒同时自动删除C盘中所有文件;病毒还会自动在硬盘中写入垃圾文件,直至吞噬硬盘所有可用空间,导致系统无法工作
3.
3.
1.9病毒举例
(三) 回复邮件时 Recipient:wuyafei@mx.cei.gov.cn Reason:wuyafei@mx.cei.gov.cn... ERROR:thisusersMailboxisfull
3.
3.
2.1(分布式)拒绝服务攻击 2000年2月,美国几个著名的商业网站(例如Yahoo、eBay、CNN等)遭受黑客大规模的攻击,造成这些高性能的商业网站长达数小时的瘫痪而据统计在这整个行动中美国经济共损失了十多亿美元 这种大规模的、有组织、有系统的攻击方式受到各国政府和学术界的高度重视现在许多公司高度倚赖电子商务以及网络服务;这些攻击来自世界各地的伪造IP地址,造成追查幕后真正凶手的难度极高 黑客们主要采用的是一种叫DDoS(DistributedDenialofService,分布式拒绝服务)的攻击方法第五节/第六节拒绝服务攻击(DoS)/缓存溢出
3.
3.
2.2攻击方式 用户传送众多要求确认的信息到服务器,使服务器里充斥着这种无用的信息;所有的信息都有需回复的虚假地址,以至于当服务器试图回传时,却无法找到用户;服务器暂时等候有时超过一分钟,然后再切断连接服务器切断连接时,黑客再度传送新一批需要确认的信息;这个过程周而复始,最终导致服务器无法动弹,瘫痪在地
3.
3.
2.2分布式拒绝服务攻击步骤
(一)
3.
3.
2.2分布式拒绝服务攻击步骤
(二)
3.
3.
2.2分布式拒绝服务攻击步骤
(三)
3.
3.
2.2分布式拒绝服务攻击步骤
(四)
3.
3.
2.2分布式拒绝服务攻击步骤
(五)
3.
3.
2.2分布式拒绝服务攻击步骤
(六)
3.
3.
2.3DDOS攻击的效果 由于整个过程是自动化的,攻击者能够在5秒钟内入侵一台主机并安装攻击工具也就是说,在短短的一小时内可以入侵数千台主机;使某一台主机可能要遭受1000MB/s数据量的猛烈攻击,这一数据量相当于
1.04亿人同时拨打某公司的一部电话号码;8848遭攻击案攻击来自于数十万个独立IP
3.
3.
2.4预防DDOS攻击的措施 确保主机不被入侵且是安全的;周期性审核系统;检查文件完整性;优化路由和网络结构;优化对外开放访问的主机;在网络上建立一个过滤器(filter)或侦测器(sniffer),在攻击信息到达网站服务器之前阻挡攻击信息第七节/第八节特洛伊木马/欺骗攻击
3.
3.3电子欺骗 电子欺骗是采用一定手段或方法欺骗目标系统的过程它是针对HTTP,FTP,DNS等协议的攻击,它可以窃取普通用户甚至超级用户的权限,任意修改信息内容,造成巨大危害;电子欺骗可发生于IP体系的所有层(ARP电子欺骗,IP源地址欺骗,E-MAIL欺骗,等等);一个主机的IP地址被伪装成合法的,因此可以被TCP与UDP服务所信任;使用IP源路由,一个攻击者的主机可以被伪装成一个可信的主机或客户机
3.
3.
3.1电子欺骗的攻击步骤
(一)
1、攻击者改变其主机的IP地址,改成受攻击者信任的主机地址;
2、攻击者设计一个源路由,它将确定一个IP分组从它的主机(源地址)到受攻击者的主机(目标主机)的路径以及IP分组返回的路径它的攻击主机将是返回的最后一个驿站,而且已经伪装成受攻击者信任的主机;
3.
3.
3.1电子欺骗的攻击步骤
(二)
3、攻击者用源路由的方法向受攻击主机或服务器发送一个客户;
4、服务器认为请求来自于一个自己信任的主机,接收信任主机的请求,并返回一个响应给受信任的客户
5、这个受信任的客户,使用源路由,转发分组给攻击者的主机
3.
3.
3.2抵御电子欺骗攻击的主要途径
(一) 慎重设置处理网络中的主机信任关系,尤其是不同网络之间主机的信任关系对于存在局域网内的信任关系,可以设置路由器使之过滤掉外部网络中自称源地址为内部网络地址的IP包;在包发送到网络上之前,对它进行加密来抵御IP欺骗
3.
3.
3.2抵御电子欺骗攻击的主要途径
(二)
3.
3.4扫描技术
(一) 扫描器 是实施网络安全扫描的工具,它的基本思想是模仿入侵者的攻击方法,从攻击者的角度来评估系统和网络的安全性 网上常见的扫描器端口扫描PortScanner;操作系统扫描nmap;系统漏洞扫描流光、nessus等;
3.
3.4扫描技术
(二) 扫描器的分类 使用对象:本地扫描器远程扫描器 扫描目的:端口扫描器漏洞扫描器
3.
3.4扫描技术
(三)
3.
3.5网络监控
(一) 如何对网络行为进行监视与控制是解决网络安全问题的基础和关键所在2002-2005年CSI和FBI计算机入侵小组共同开展的“计算机犯罪与安全调查”的统计数字指出,有近50%的安全破坏是在组织的网络内部发生的,已经超过了来自外部的攻击除安全破坏以外,信息外泄也成为网络安全急需解决的重要问题,其造成的危害和损失不亚于有时甚至大大高于直接的数据破坏“下一个大的Internet安全趋势是犯罪,…,任何正常的网络行为都可能有犯罪动机”-BruceSchneier
3.
3.5网络监控
(二)
3.
3.6硬攻击技术 芯片攻击电磁攻击生物攻击
四、网络攻击技术的发展趋势
3.
4.1网络攻击的自动化程度和攻击速度 不断提高
(一) 攻击传播技术的发展,使得以前需要依靠人启动软件工具发起的攻击,发展到攻击工具可以自己发动新的攻击; 在攻击工具的协调管理方面,随着分布式攻击工具的出现,攻击者可以容易地控制和协调分布在Internet上的大量已部署的攻击工具
3.
4.1网络攻击的自动化程度和攻击速度 不断提高
(二) “爱虫”病毒在一两天内迅速传播到世界的主要计算机网络,并造成欧、美国家的计算机网络瘫痪; 通过IM即时通讯传播的病毒每月以50%的速度递增,理论上,可以在30秒内感染50万台电脑; 8848遭DDOS攻击案攻击来自于数十万个独立IP
3.
4.2攻击工具越来越复杂 攻击工具的开发者正在利用更先进的技术武装攻击工具,攻击工具的特征比以前更难发现; 已经具备了反侦破、动态行为、攻击工具更加成熟等特点五毒虫”综合了“冲击波”、“QQ小尾巴”、“MYDOOM”、“恶鹰”、“木马”等众多病毒特征于一身,几乎集成了所有病毒和木马的攻击和传播技术,不但危害严重,而且传播方式非常多样
3.
4.3黑客利用安全漏洞的速度越来越快
3.
4.4防火墙被渗透的情况越来越多 配置防火墙目前仍然是防范网络入侵者的主要保护措施; 现在出现了越来越多的攻击技术,可以实现绕过防火墙的攻击;“反弹端口”的连接方式;寻找与利用防火墙系统设计和实现上的安全漏洞
3.
4.5对移动设备的攻击成为新的焦点 虽然针对手机和PDA等移动设备的攻击尚未造成严重损失,但是攻击者们正在积极地尝试攻击移动设备的方法; 对移动设备的攻击和控制所带来的利益对攻击者具有巨大的诱惑力
3.
4.
5.1智能手机监控(WindowsMobile) 敏感信息的获取电话和短信监控窃听
3.
4.6安全威胁的不对称性在增加 Internet上的安全是相互依赖的,每台与Internet连接的计算机都可能遭受攻击; 攻击者可以较容易地利用多种攻击方法,对受害者发动破坏性攻击; 随着黑客软件部署自动化程度和攻击工具管理技巧的提高,安全威胁的不对称性将继续增加
3.
4.7攻击网络基础设施破坏效果越来越大 黑客对网络基础设施的攻击有分布式拒绝服务攻击;蠕虫病毒攻击;对Internet域名系统DNS的攻击;对路由器的攻击
3.5思考题 网络攻击的一般过程分为几步?简述计算机病毒的定义及其基本构成简述防病毒的一些基本方法简述扫描器的分类简述网络攻击技术的发展趋势。