6.-信息安全导论：第六讲-网络威胁基础知识

大型主机与网络安全工程系赵洋2014-2015学年第2学期电子科技大学信息与软件工程学院本科教学课件信息安全导论第六讲网络威胁基础知识电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第2页/共28页第六讲网络威胁基础知识主要内容1网络威胁概述2计算机病毒威胁3网络入侵威胁4诱骗类威胁电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第3页/共28页第六讲网络威胁基础知识网络威胁概述网络威胁网络系统普遍存在的脆弱性导致网络安全面临的风险，其发展大致经历了三个阶段。目前的网络威胁往往是集多种特征于一体的混合型威胁。第一阶段（1998年以前）网络威胁主要来源于传统的计算机病毒，其特征是通过媒介复制进行传染，以攻击破坏个人电脑为目的；第二阶段（大致在1998年以后）网络威胁主要以蠕虫病毒和黑客攻击为主，其表现为蠕虫病毒通过网络大面积爆发及黑客攻击一些服务网站；第三阶段（2005年以来）网络威胁多样化，多数以偷窃资料、控制利用主机等手段谋取经济利益为目的。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第4页/共28页第六讲网络威胁基础知识网络威胁概述网络威胁分类从攻击发起者的角度一类是主动攻击型威胁，如网络监听和黑客攻击等，这些威胁都是对方人为通过网络通信连接进行的；另一类就是被动攻击型威胁，一般是用户通过某种途径访问了不当的信息而受到的攻击。依据攻击手段及破坏方式第一类是以传统病毒、蠕虫、木马等为代表的计算机病毒；第二类是以黑客攻击为代表的网络入侵；第三类以间谍软件、广告软件、网络钓鱼软件为代表的欺骗类威胁。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第5页/共28页第六讲网络威胁基础知识计算机病毒在论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。他指出存在可以自我复制的程序。冯.诺伊曼在科幻小说《P-1的春天》中，描写了一种可以在计算机中互相传染的病毒。托马斯·丁·雷恩1983年，弗雷德·科恩在南加州大学写出了第一个可自我复制并具有感染能力的程序。弗雷德·科恩计算机病毒的起源电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第6页/共28页第六讲网络威胁基础知识计算机病毒•计算机病毒是一种靠修改其它程序来插入或进行自身拷贝，从而感染其它程序的一种程序。——FredCohen博士计算机病毒的狭义定义•《中华人民共和国计算机信息系统安全保护条例》第二十八条：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。我国的计算机病毒定义•能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码计算机病毒的广义定义计算机病毒定义电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第7页/共28页第六讲网络威胁基础知识计算机病毒计算机病毒特征和发展趋势主要特征寄生性传染性潜伏性破坏性触发性发展趋势多样化破坏性更强智能化更加隐蔽化电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第8页/共28页第六讲网络威胁基础知识计算机病毒计算机病毒的分类一、传统病毒传统病毒传统型计算机病毒的共同特色，就是一定有一个「宿主」程序，所谓宿主程序就是指那些让计算机病毒藏身的地方。一般有三个主要模块组成，包括启动模块、传染模块和破坏模块。引导型病毒：隐藏在磁盘的引导区中，小球、大麻、米开朗琪罗文件型病毒：隐藏在可执行文件（COM，EXE）1575、中国炸弹、CIH宏病毒：隐藏在Office文档或模板的宏中，Nuclear、台湾1号电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第9页/共28页CIH含有CIH病毒的文件执行病毒代码驻留内存寻找感染目标破坏条件4月26号？NY实施破坏继续潜伏实施感染CIH第六讲网络威胁基础知识计算机病毒传统病毒实例CIH病毒电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第10页/共28页第六讲网络威胁基础知识计算机病毒计算机病毒的分类二、蠕虫病毒蠕虫病毒一般不需要寄生在宿主文件中，传播途径主要包括局域网内的共享文件夹、电子邮件、网络中的恶意网页和大量存在着漏洞的服务器等。可以说蠕虫病毒是以计算机为载体，以网络为攻击对象。蠕虫病毒能够利用漏洞，分为软件漏洞和人为缺陷软件漏洞主要指程序员由于习惯不规范、错误理解或想当然，在软件中留下存在安全隐患的代码人为缺陷主要指的是计算机用户的疏忽，这就是所谓的社会工程学（SocialEngineering）问题电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第11页/共28页第六讲网络威胁基础知识计算机病毒蠕虫病毒实例尼姆达病毒电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第12页/共28页第六讲网络威胁基础知识计算机病毒三、木马病毒计算机病毒的分类1986年的PC-Write木马是世界上第一个计算机木马，木马一般不会直接对电脑产生危害，以控制电脑为目的；木马是有隐藏性的、传播性的可被用来进行恶意行为的程序，因此，也被看作是一种计算机病毒；主要通过电子邮件附件、被挂载木马的网页以及捆绑了木马程序的应用软件；木马被下载安装后完成修改注册表、驻留内存、安装后门程序、设置开机加载等，甚至能够使杀毒程序、个人防火墙等防范软件失效。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第13页/共28页第六讲网络威胁基础知识计算机病毒木马病毒实例灰鸽子病毒电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第14页/共28页第六讲网络威胁基础知识计算机病毒计算机病毒预防安装防毒软件；打开你的防毒软件的自动升级服务，定期扫描计算机；注意光盘以及U盘等存储媒介；在使用光盘、U盘或活动硬盘前，病毒扫描；关注下载安全，下载要从比较可靠的站点进行，下载后做病毒扫描；关注电子邮件安全，来历不明的邮件决不要打开，决不要轻易运行附件；使用基于客户端的防火墙；警惕欺骗性的病毒；备份电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第15页/共28页第六讲网络威胁基础知识网络入侵什么是网络入侵1980年，James.P.Anderson首次提出了“入侵”的概念“入侵”是指在非授权的情况下，试图存取信息、处理信息或破坏系统，以使系统不可靠或不可用的故意行为；网络入侵一般是指具有熟练编写、调试和使用计算机程序的技巧的人，利用这些技巧来获得非法或未授权的网络或文件的访问，进入内部网的行为对信息的非授权访问一般被称为破解cracking电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第16页/共28页第六讲网络威胁基础知识网络入侵网络入侵步骤一般分：前期准备、实施入侵和后期处理前期准备需要完成的工作主要包括明确入侵目的、确定入侵对象以及选择入侵手段；入侵目的一般可分为控制主机、瘫痪主机和瘫痪网络；入侵对象一般分为主机和网络两类；根据目的和后果分为：拒绝服务攻击、口令攻击、嗅探攻击、欺骗攻击和利用型攻击。实施入侵后期处理实施入侵阶段是真正的攻击阶段，主要包括扫描探测和攻击扫描探测主要用来收集信息，为下一步攻击奠定基础；攻击：根据入侵目的、采用相应的入侵手段向入侵对象实施入侵。后期处理主要是指由于大多数入侵攻击行为都会留下痕迹，攻击者为了清除入侵痕迹而进行现场清理电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第17页/共28页第六讲网络威胁基础知识网络入侵拒绝服务攻击拒绝服务攻击DoS(DenialofService)，并不是某一种具体的攻击方式，而是攻击所表现出来的结果最终使得目标系统因遭受某种程度的破坏而不能继续提供正常的服务，甚至导致物理上的瘫痪或崩溃；通常拒绝服务攻击可分为两种类型第一类攻击是利用网络协议的缺陷，通过发送一些非法数据包致使主机系统瘫痪第二类攻击是通过构造大量网络流量致使主机通讯或网络堵塞，使系统或网络不能响应正常的服务分布式DDoS，DDoS攻击就是很多DoS攻击源一起攻击某台服务器或网络，迫使服务器停止提供服务或网络阻塞电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第18页/共28页2015/5/3主讲：赵洋课程：信息安全概论18SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）ACK（确认连接）发起方应答方第六讲网络威胁基础知识网络入侵正常的三次握手建立通讯的过程SynFlood攻击电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第19页/共28页2015/5/3主讲：赵洋课程：信息安全概论19SYN（我可以连接吗？）ACK（可以）/SYN（请确认！）攻击者受害者伪造地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接第六讲网络威胁基础知识网络入侵SynFlood攻击过程SynFlood攻击电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第20页/共28页第六讲网络威胁基础知识网络入侵口令攻击通过获取系统管理员或其他殊用户的口令，获得系统的管理权。口令攻击的步骤获取账号信息•获取目标系统的用户帐号及其它有关信息一般可以利用一些网络服务来实现，如Finger、Whois、LDAP等信息服务猜测用户口令•根据用户的个人信息猜测用户的口令，如生日、姓名、电话号码、家庭住址等探测用户口令•采用穷举方式或口令字典对用户口令进行探测，常见的弱口令，直接使用单词作为口令破解用户口令•探测目标系统的漏洞，伺机取得口令文件，破解取得用户口令电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第21页/共28页第六讲网络威胁基础知识网络入侵口令设置原则易记，不易猜方法长度、广度、深度系统中可以用作口令的字符有95个：10个数字、33个标点符号、52个大小写字母。别少于6位，定期更换，区别使用，忘掉生日，姓名和字典吧！电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第22页/共28页第六讲网络威胁基础知识网络入侵嗅探攻击网络嗅探的工具被称为嗅探器（sniffer），是一种常用的收集网络上传输的有用数据的方法；嗅探攻击一般是指黑客利用嗅探器获取网络传输中的重要数据。网络嗅探也被形象地称为网络窃听。SnifferPro利用计算机的网络接口截获目的地为其它计算机的数据包的一种手段。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第23页/共28页第六讲网络威胁基础知识网络入侵欺骗类攻击常见的假消息攻击有IP欺骗、ARP欺骗、DNS欺骗、伪造电子邮件等伪造电子邮件构造虚假的网络消息，发送给网络主机或网络设备，企图用假消息替代真实信息，实现对网络及主机正常工作的干扰破坏。电子科技大学信软学院——信息安全导论讲义赵洋版权所有Copyright©20132015/5/3第24页/共28页第六讲网络威胁基础知识网络入侵利用型攻击利用型攻击常用的技术手段主要包