网络信息安全威胁(攻击以及病毒)

网络信息安全威胁：一分布式拒绝服务攻击二缓冲区溢出攻击三IP欺骗攻击四ARP欺骗攻击五计算机病毒DoS攻击：非法占用和消耗一个系统资源，使该系统不能提供正常的服务,造成系统暂时瘫痪,严重时可能引起系统崩溃.DoS攻击方法:ICMPEchoflood,TCPSYNflood,UDPfloodICMPEchoflood利用了ICMP的回送(Echo)请求/响应(测试目的可达性)报文实施DoS攻击.每个主机接收缓冲区是有限的;如果攻击者在短时间内向一个主机发送大量的ICMPEcho请求报文,会造成该主机接收缓冲区溢出,使其无法接收其他正常的请求,造成网络功能瘫痪,产生DoS攻击。TCPSYNflood利用TCP在建立连接时的”三次握手”。在TCP接收程序中设有一个最大的连接请求数,如果在某个时刻连接请求数已经达到最大连接请求数,则后续到达的连接请求将被TCP接收程序丢失掉;除非某一个连接被释放,才能接受新的连接请求.、DoS攻击一般是采用一对一方式的，DDoS是攻击者将大量计算机联合起来作为攻击平台DDoS攻击实质•DDoS攻击采用了与DoS攻击相同的攻击手法；通过产生大量虚假的数据包来耗尽目标系统的资源，使系统无法处理正常的服务，直到过载而崩溃。•DDoS攻击采用分布式结构，攻击力强大，形“规模效应”。•DDoS攻击是一种渗透(Penetration)式攻击,通过发送海量数据包来验证一个网络系统所能处理的最大网络流量。DDoS攻击的基本步骤1.扫描和寻找Internet中有安全漏洞的主机2.组织漏洞主机构成一个强大的攻击网络AN（AttackNetwork）3.利用这个攻击网络中的主机向目标系统发起大规模的DoS攻击。DDoS攻击主要分成两个阶段：Ł脆弱主机攻击Ł目标系统攻击，DDoS攻击时将会形成某些特征的异常网络流量，主要特征：●异常的浪涌流量●超长的数据包DDoS攻击的检测方法：●异常的数据包内容●异常的通信端口缓冲区溢出攻击：当缓冲区溢出被用于蓄意攻击系统时，系统的控制权可能会被转移到攻击者选择的代码，因此导致被攻击的进程的特权被用于执行攻击者任意想要执行的代码。IP欺骗(IPSPOOF)攻击是一种常用的渗透式攻击，攻击者主要利用了TCP/IP协议和操作系统中的某些缺陷来实施IP欺骗攻击,进而达到获得一个主机系统的控制权(root权限)的目的，为实施进一步的攻击打下基础。基本原理：(1)假设A信任B,C为攻击者,首先设法使B的网络功能暂时瘫痪,以免B干扰攻击。（TCPSYNFlood）(2)C设法探测A的当前ISN变化规律;(3)C伪装B向A发送TCP数据报文(ISN);(4)C伪装成B向A发送TCPACK报文(ISN+1).TCP为每一个连接选择一个初始序号ISN，为了防止因为延迟、重传等扰乱三次握手，ISN不能随便选取，不同系统有不同算法。理解TCP如何分配ISN以及ISN随时间变化的规律，对于成功地进行IP欺骗攻击很重要防范措施：1.加强对数据报文的信源认证.2.在路由器中设置过滤器，滤除那些来自外部而信源地址却是内部IP的报文；3.在TCP实现系统中,应当选择具有较好随机性的ISN生成算法，使攻击者难以找到其变化规律。ARP欺骗攻击：因为考虑到主机B有更换网卡的可能，所以无论何时当主机A再次收到关于主机B的MAC地址更新信息，它都将刷新自己的ARP缓存表，将新收到的MAC地址和主机B的IP地址对应起来，正因为主机A在任何时候收到ARP数据包，都将再次更新ARP缓存，导致了ARP欺骗。计算机病毒的诊断原理：比较法校验和法扫描法CodeRedII：利用了Windows2000系统上IIS服务器软件的一个漏洞：“MSIndexServerISAPI扩展远程溢出漏洞”，渗入到Windows200系统中，获取系统权限，安装后门程序，感染和传播病毒。可能造成WindowsNT系统上IIS服务的崩溃。CodeRedII病毒的基本特征是：●通过IIS平台传播；●感染COM和EXE文件以及网络驱动器；●修改注册表；●驻留内存；●设置后门程序；●开机加载(附带的后门)；●故意破坏，并降低系统运行速度。攻击三个阶段：1.传染阶段2.繁殖阶段3.安装后门程序这个病毒是通过循环生成主机的IP地址将病毒传播给其它主机的，其独特之处是生成主机IP地址的方法。在一般情况下，与被感染病毒的主机在同一或相近网段内的主机也使用相同的操作系统。因此，病毒使用这种传播机制就会大大增加病毒传染的成功率。