【软考】网络安全性威胁

1. 说明

• 1.计算机网络上的通信面临以下的四种威胁。
• 2.截获(interception)：攻击者从网络上窃听他人的通信内容。
• 3.中断(interruption)：攻击者有意中断他人在网络上的通信。
• 4.篡改(modification)：攻击者故意篡改网络上传送的报文。
• 5.伪造(fabrication)：攻击者伪造信息在网络上传送。
• 6.四种威胁可划分为两大类，即被动攻击和主动攻击。
• 7.截获信息的攻击称为被动攻击，而中断、篡改和伪造信息的攻击称为主动攻击。

2. 被动攻击

• 1.在被动攻击中，攻击者只是观察和分析某一个协议数据单元PDU(这里使用 PDU 这名词是考虑到所涉及到的可能是不同的层次)而不干扰信息流。
• 2.即使这些数据对攻击者来说是不易理解的，他也可通过观察PDU 的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究PDU的长度和传输的频度，以便了解所交换的数据的某种性质。
• 3.这种被动攻击又称为流量分析(traffic analysis)。
• 4.对付被动攻击可采用各种数据加密技术。

3. 主动攻击

3.1 说明

• 1.主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。
• 2.如有选择地更改、删除、延迟这些 PDU(当然也包括记录和复制它们)，还可在稍后的时间将以前录下的PDU 插入这个连接(即重放攻击)。
• 3.甚至还可将合成的或伪造的PDU送入到一个连接中去。
• 4.所有主动攻击都是上述几种方法的某种组合。但从类型上看，主动攻击又可进一步划分为三种。
• 5.对于主动攻击，可以采取适当措施加以检测。需将加密技术与适当的鉴别技术相结合。

3.2 更改报文流

• 1.包括对通过连接的 PDU 的真实性、完整性和有序性的攻击。

3.3 拒绝服务

• 1.指攻击者向因特网上的服务器不停地发送大量分组，使因特网或服务器无法提供正常服务。
• 2.在2000年2月7日至9日美国几个著名网站遭黑客袭击，使这些网站的服务器一直处于“忙”的状态，因而无法向发出请求的客户提供服务。
• 3.这种攻击被称为拒绝服务 DoS (Denial of Service)。
• 4.若从因特网上的成百上千的网站集中攻击一个网站，则称为分布式拒绝服务 DDoS (Distributed Denial of Service)。有时也把这种攻击称为网络带宽攻击或连通性攻击。

3.4 伪造连接初始化

• 1.攻击者重放以前已被记录的合法连接初始化序列，或者伪造身份而企图建立连接。

3.4 恶意程序

• 1.计算机病毒(computer virus)，一种会“传染”其他程序的程序,“传染”是通过修改其他程序来把自身或其变种复制进去完成的。

• 2.计算机蠕虫(computer worm)，一种通过网络的通信功能将自身从一个结点发送到另一个结点并自动启动运行的程序。

• 3.特洛伊木马(Trojan horse)，一种程序，它执行的功能并非所声称的功能而是某种恶意的功能。如一个编译程序除了执行编译任务以外，还把用户的源程序偷偷地拷贝下来，则这种编译程序就是一种特洛伊木马。计算机病毒有时也以特洛伊木马的形式出现。

• 4.逻辑炸弹(logic bomb)，一种当运行环境满足某种特定条件时执行其他特殊功能的程序。如一个编辑程序，平时运行得很好，但当系统时间为13日又为星期五时，它删去系统
  中所有的文件，这种程序就是一种逻辑炸弹。

• 5.这里讨论的计算机病毒是狭义的，也有人把所有的恶意程序泛指为计算机病毒。例如1988年10月的“Morris 病毒”入侵美国因特网。舆论说它是“计算机病毒入侵美国计算机网”，而计算机安全专家却称之为“因特网蠕虫事件”。

4. 五个目标

• 1.防止析出报文内容。
• 2.防止流量分析。
• 3.检测更改报文流。
• 4.检测拒绝报文服务。
• 5.检测伪造初始化连接。

5. 例题

5.1 例题1

• 1.题目

1.(A)不属于主动攻击。
A.流量分析
B.重放
C.IP地址欺骗
D.拒绝服务

• 2.分析

1.主动攻击包括拒绝服务攻击、分布式拒绝服务(DDos)、信息篡改、资源使用、欺骗、伪装、重放等攻击方法。