网络常见的安全威胁和攻击手段

网络常见的安全威胁和攻击手段

在了解安全问题之前，我们先来研究一下目前网络上存在的一些安全威胁和攻击手段。然后我们再来了解一些出现安全问题的根源，这样我们就可以对安全问题有一个很好的认识。迄今为止，网络上存在上无数的安全威胁和攻击，对于他们也存在着不同的分类方法。我们可以按照攻击的性质、手段、结果等暂且将其分为机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战几类。

窃取机密攻击：

所谓窃取机密攻击是指未经授权的攻击者（黑客）非法访问网络、窃取信息的情况，一般可以通过在不安全的传输通道上截取正在传输的信息或利用协议或网络的弱点来实现的。常见的形式可以有以下几种：

1） 网络踩点（Footprinting ）

攻击者事先汇集目标的信息，通常采用whois 、Finger 等工具和DNS 、LDAP 等协议获取目标的一些信息，如域名、IP 地址、网络拓扑结构、相关的用户信息等，这往往是黑客入侵之前所做的第一步工作。

2） 扫描攻击

扫描攻击包括地址扫描和端口扫描等，通常采用ping 命令和各种端口扫描工具，可以获得目标计算机的一些有用信息，例如机器上打开了哪些端口，这样就知道开设了哪些服务，从而为进一步的入侵打下基础。

3） 协议指纹

黑客对目标主机发出探测包，由于不同操作系统厂商的IP 协议栈实现之间存在许多细微的差别（也就是说各个厂家在编写自己的TCP/IP协议栈时，通常对特定的RFC 指南做出不同的解释），因此各个操作系统都有其独特的响应方法，黑客经常能确定出目标主机所运行的操作系统。常常被利用的一些协议栈指纹包括：TTL 值、TCP 窗口大小、DF 标志、TOS 、IP 碎片处理、ICMP 处理、TCP 选项处理等。

4） 信息流监视

这是一个在共享型局域网环境中最常采用的方法。由于在共享介质的网络上数据包会经过每个网络节点，网卡在一般情况下只会接受发往本机地址或本机所在广播（或多播）地址的数据包，但如果将网卡设置为混杂模式（Promiscuous ），网卡就会接受所有经过的数据包。基于这样的原理，黑客使用一个叫sniffer 的嗅探器装置，可以是软件，也可以是硬件）就可以对网络的信息流进行监视，从而获得他们感兴趣的内容，例如口令以及其他秘密的信息。

5） 会话劫持（session hijacking ）

利用TCP 协议本身的不足，在合法的通信连接建立后攻击者可以通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信。

非法访问

1） 口令破解

可以采用字典破解和暴力破解来获得口令。

2） IP 欺骗

攻击者可以通过伪装成被信任的IP 地址等方式来获取目标的信任。这主要是针对防火墙的IP 包过滤以及LINUX/UNIX下建立的IP 地址信任关系的主机实施欺骗。

3） DNS 欺骗

由于DNS 服务器相互交换信息的时候并不建立身份验证，这就使得黑客可以使用错误的信息将用户引向错误主机。

4） 重放攻击

攻击者利用身份认证机制中的漏洞先把别人有用的信息记录下来，过一段时间后再发送出去。

5） 非法使用

系统资源被某个非法用户以未授权的方式使用

6） 特洛伊木马

把一个能帮助黑客完成某个特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已经被改变，而一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客早已指定的任务。

恶意攻击

恶意攻击，在当今最为特出的就是拒绝服务攻击DoS （Denial of Server ）了。拒绝服务攻击通过使计算机功能或性能崩溃来组织提供服务，典型的拒绝服务攻击有如下2种形式：资源耗尽和资源过载。当一个对资源的合理请求大大超过资源的支付能力时，就会造成拒绝服务攻击。常见的攻击行为主要包括Ping of death 、泪滴(Teardrop)、UDP flood 、SYN flood 、Land 攻击、Smurf 攻击、Fraggle 攻击、电子邮件炸弹、畸形信息攻击等

1) Ping of death

在早期版本中，许多操作系统对网络数据包的最大尺寸有限制，对TCP/IP栈的实现在ICM P 包上规定为64KB 。在读取包的报头后，要根据该报头中包含的信息来为有效载荷生成缓冲区。当PING 请求的数据包声称自己的尺寸超过ICMP 上限，也就是加载的尺寸超过64KB 时，就会使PING 请求接受方出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。

2) 泪滴

泪滴攻击利用了某些TCP/IP协议栈实现中对IP 分段重组时的错误

3) UDP flood

利用简单的TCP/IP服务建立大流量数据流，如chargen 和Echo 来传送无用的满带宽的数据。通过伪造与某一主机的chargen 服务之间的一次UDP 连接，回复地址指向提供ECHO 服务的一台主机，这样就生成了在2台主机之间的足够多的无用数据流，过多的数据流会导致带宽耗尽。

4) SYN flood

一些TCP/IP协议栈的实现只能等待从有限数量的计算机发来的ACK 消息，因为他们只有有限的内存空间用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区的连接企图超时。在一些创建连接不收限制的系统实现里，SYN 洪流具有类似的影响！

5) Land 攻击

在Land 攻击中，将一个SYN 包的源地址和目标地址均设成同一个服务器地址，导致接受服务器向自己的地址发送SYN-ACK 消息，结果这个地址又发回ACK 消息并创建一个空连接，每一个这样的连接都将保持直到超时。对LAND 攻击反应不同，许多UNIX 实现将崩溃，NT 则变得极其缓慢。

6) Smurf 攻击

简单的Smurf 攻击发送ICMP 应答请求包，目的地址设为受害网络的广播地址，最终导致该网络的所有主机都对此ICMP 应答请求做出答复，导致网络阻塞。如果将源地址改为第三方的受害者，最终将导致第三方崩溃。

7) fraggle 攻击

该攻击对Smurf 攻击做了简单修改，使用的是UDP 应答消息而非ICMP 。

8) 电子邮件炸弹

这是最古老的匿名攻击之一，通过设置一台机器不断的向同一地址发送电子邮件，攻击者能耗尽接受者的邮箱

9) 畸形信息攻击

各类操作系统的许多服务均存在这类问题，由于这些服务在处理消息之前没有进行适当正确的错误校验，受到畸形信息可能会崩溃。

10) DdoS 攻击

DdoS 攻击（Distributed Denial of Server, 分布式拒绝服务）是一种基于DOS 的特殊形式的拒绝服务攻击，是一种分布协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎和政府部门的站点。他利用一批受控制的机器向一台目标机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有很大的破坏性。

除了以上的这些拒绝服务攻击外，一些常见的恶意攻击还包括缓冲区溢出攻击、硬件设备破坏性攻击以及网页篡改等。

11) 缓冲区溢出攻击（buffer overflow ）

通过往程序的缓冲区写超过其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在，根据统计：通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。利用缓冲区溢出攻击可以导致程序运行失败、系统死机、重新启动等后果，更严重的是，可以利用他执行非授权的指令，甚至可以取得系统特权，进而进行各种非法操作。由于他历史悠久、危害巨大，被称为数十年来攻击和防卫的弱点。 社交工程（Social Engineering ）

采用说服或欺骗的手段，让网络内部的人来提供必要的信息，从而获得对信息系统的访问权限。

计算机病毒

病毒是对软件、计算机和网络系统的最大威胁之一。所谓病毒，是指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序，使他们成为含有该病毒程序的一个拷贝。

不良信息资源

在互联网如此发达的今天，真可谓“林子大了，什么鸟都有”，网络上面充斥了各种各样的信息，其中不乏一些暴力、色情、反动等不良信息。

信息战

计算机技术和网络技术的发展，使我们处与信息时代。信息化是目前国际社会发展的趋势，他对于经济、社会的发展都有着重大意义。美国著名未来学家托尔勒说过：“谁掌握了信息、控制了网络，谁将拥有整个世界”。美国前总统克林顿也说：“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。”美国前陆军参谋长沙尔文上将更是一语道破：“信息时代的出现，将从根本上改变战争的进行方式”

1995年，美国国防部组建信息战执行委员会，10月组建世界上第一支信息战分队。之后，美国陆、海、空三军相继成立信息站中心。1990年海湾战争，被称为“世界上首次全面的信息站”，充分显示了现代高技术条件下“制信息权”的关键作用。

网络常见的安全威胁和攻击手段

在了解安全问题之前，我们先来研究一下目前网络上存在的一些安全威胁和攻击手段。然后我们再来了解一些出现安全问题的根源，这样我们就可以对安全问题有一个很好的认识。迄今为止，网络上存在上无数的安全威胁和攻击，对于他们也存在着不同的分类方法。我们可以按照攻击的性质、手段、结果等暂且将其分为机密攻击、非法访问、恶意攻击、社交工程、计算机病毒、不良信息资源和信息战几类。

窃取机密攻击：

所谓窃取机密攻击是指未经授权的攻击者（黑客）非法访问网络、窃取信息的情况，一般可以通过在不安全的传输通道上截取正在传输的信息或利用协议或网络的弱点来实现的。常见的形式可以有以下几种：

1） 网络踩点（Footprinting ）

攻击者事先汇集目标的信息，通常采用whois 、Finger 等工具和DNS 、LDAP 等协议获取目标的一些信息，如域名、IP 地址、网络拓扑结构、相关的用户信息等，这往往是黑客入侵之前所做的第一步工作。

2） 扫描攻击

扫描攻击包括地址扫描和端口扫描等，通常采用ping 命令和各种端口扫描工具，可以获得目标计算机的一些有用信息，例如机器上打开了哪些端口，这样就知道开设了哪些服务，从而为进一步的入侵打下基础。

3） 协议指纹

黑客对目标主机发出探测包，由于不同操作系统厂商的IP 协议栈实现之间存在许多细微的差别（也就是说各个厂家在编写自己的TCP/IP协议栈时，通常对特定的RFC 指南做出不同的解释），因此各个操作系统都有其独特的响应方法，黑客经常能确定出目标主机所运行的操作系统。常常被利用的一些协议栈指纹包括：TTL 值、TCP 窗口大小、DF 标志、TOS 、IP 碎片处理、ICMP 处理、TCP 选项处理等。

4） 信息流监视

这是一个在共享型局域网环境中最常采用的方法。由于在共享介质的网络上数据包会经过每个网络节点，网卡在一般情况下只会接受发往本机地址或本机所在广播（或多播）地址的数据包，但如果将网卡设置为混杂模式（Promiscuous ），网卡就会接受所有经过的数据包。基于这样的原理，黑客使用一个叫sniffer 的嗅探器装置，可以是软件，也可以是硬件）就可以对网络的信息流进行监视，从而获得他们感兴趣的内容，例如口令以及其他秘密的信息。

5） 会话劫持（session hijacking ）

利用TCP 协议本身的不足，在合法的通信连接建立后攻击者可以通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接，从而假冒被接管方与对方通信。

非法访问

1） 口令破解

可以采用字典破解和暴力破解来获得口令。

2） IP 欺骗

攻击者可以通过伪装成被信任的IP 地址等方式来获取目标的信任。这主要是针对防火墙的IP 包过滤以及LINUX/UNIX下建立的IP 地址信任关系的主机实施欺骗。

3） DNS 欺骗

由于DNS 服务器相互交换信息的时候并不建立身份验证，这就使得黑客可以使用错误的信息将用户引向错误主机。

4） 重放攻击

攻击者利用身份认证机制中的漏洞先把别人有用的信息记录下来，过一段时间后再发送出去。

5） 非法使用

系统资源被某个非法用户以未授权的方式使用

6） 特洛伊木马

把一个能帮助黑客完成某个特定动作的程序依附在某一合法用户的正常程序中，这时合法用户的程序代码已经被改变，而一旦用户触发该程序，那么依附在内的黑客指令代码同时被激活，这些代码往往能完成黑客早已指定的任务。

恶意攻击

恶意攻击，在当今最为特出的就是拒绝服务攻击DoS （Denial of Server ）了。拒绝服务攻击通过使计算机功能或性能崩溃来组织提供服务，典型的拒绝服务攻击有如下2种形式：资源耗尽和资源过载。当一个对资源的合理请求大大超过资源的支付能力时，就会造成拒绝服务攻击。常见的攻击行为主要包括Ping of death 、泪滴(Teardrop)、UDP flood 、SYN flood 、Land 攻击、Smurf 攻击、Fraggle 攻击、电子邮件炸弹、畸形信息攻击等

1) Ping of death

在早期版本中，许多操作系统对网络数据包的最大尺寸有限制，对TCP/IP栈的实现在ICM P 包上规定为64KB 。在读取包的报头后，要根据该报头中包含的信息来为有效载荷生成缓冲区。当PING 请求的数据包声称自己的尺寸超过ICMP 上限，也就是加载的尺寸超过64KB 时，就会使PING 请求接受方出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方死机。

2) 泪滴

泪滴攻击利用了某些TCP/IP协议栈实现中对IP 分段重组时的错误

3) UDP flood

利用简单的TCP/IP服务建立大流量数据流，如chargen 和Echo 来传送无用的满带宽的数据。通过伪造与某一主机的chargen 服务之间的一次UDP 连接，回复地址指向提供ECHO 服务的一台主机，这样就生成了在2台主机之间的足够多的无用数据流，过多的数据流会导致带宽耗尽。

4) SYN flood

一些TCP/IP协议栈的实现只能等待从有限数量的计算机发来的ACK 消息，因为他们只有有限的内存空间用于创建连接，如果这一缓冲区充满了虚假连接的初始信息，该服务器就会对接下来的连接停止响应，直到缓冲区的连接企图超时。在一些创建连接不收限制的系统实现里，SYN 洪流具有类似的影响！

5) Land 攻击

在Land 攻击中，将一个SYN 包的源地址和目标地址均设成同一个服务器地址，导致接受服务器向自己的地址发送SYN-ACK 消息，结果这个地址又发回ACK 消息并创建一个空连接，每一个这样的连接都将保持直到超时。对LAND 攻击反应不同，许多UNIX 实现将崩溃，NT 则变得极其缓慢。

6) Smurf 攻击

简单的Smurf 攻击发送ICMP 应答请求包，目的地址设为受害网络的广播地址，最终导致该网络的所有主机都对此ICMP 应答请求做出答复，导致网络阻塞。如果将源地址改为第三方的受害者，最终将导致第三方崩溃。

7) fraggle 攻击

该攻击对Smurf 攻击做了简单修改，使用的是UDP 应答消息而非ICMP 。

8) 电子邮件炸弹

这是最古老的匿名攻击之一，通过设置一台机器不断的向同一地址发送电子邮件，攻击者能耗尽接受者的邮箱

9) 畸形信息攻击

各类操作系统的许多服务均存在这类问题，由于这些服务在处理消息之前没有进行适当正确的错误校验，受到畸形信息可能会崩溃。

10) DdoS 攻击

DdoS 攻击（Distributed Denial of Server, 分布式拒绝服务）是一种基于DOS 的特殊形式的拒绝服务攻击，是一种分布协作的大规模攻击方式，主要瞄准比较大的站点，像商业公司、搜索引擎和政府部门的站点。他利用一批受控制的机器向一台目标机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有很大的破坏性。

除了以上的这些拒绝服务攻击外，一些常见的恶意攻击还包括缓冲区溢出攻击、硬件设备破坏性攻击以及网页篡改等。

11) 缓冲区溢出攻击（buffer overflow ）

通过往程序的缓冲区写超过其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。缓冲区溢出是一种非常普遍、非常危险的漏洞，在各种操作系统、应用软件中广泛存在，根据统计：通过缓冲区溢出进行的攻击占所有系统攻击总数的80%以上。利用缓冲区溢出攻击可以导致程序运行失败、系统死机、重新启动等后果，更严重的是，可以利用他执行非授权的指令，甚至可以取得系统特权，进而进行各种非法操作。由于他历史悠久、危害巨大，被称为数十年来攻击和防卫的弱点。 社交工程（Social Engineering ）

采用说服或欺骗的手段，让网络内部的人来提供必要的信息，从而获得对信息系统的访问权限。

计算机病毒

病毒是对软件、计算机和网络系统的最大威胁之一。所谓病毒，是指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序，使他们成为含有该病毒程序的一个拷贝。

不良信息资源

在互联网如此发达的今天，真可谓“林子大了，什么鸟都有”，网络上面充斥了各种各样的信息，其中不乏一些暴力、色情、反动等不良信息。

信息战

计算机技术和网络技术的发展，使我们处与信息时代。信息化是目前国际社会发展的趋势，他对于经济、社会的发展都有着重大意义。美国著名未来学家托尔勒说过：“谁掌握了信息、控制了网络，谁将拥有整个世界”。美国前总统克林顿也说：“今后的时代，控制世界的国家将不是靠军事，而是信息能力走在前面的国家。”美国前陆军参谋长沙尔文上将更是一语道破：“信息时代的出现，将从根本上改变战争的进行方式”

1995年，美国国防部组建信息战执行委员会，10月组建世界上第一支信息战分队。之后，美国陆、海、空三军相继成立信息站中心。1990年海湾战争，被称为“世界上首次全面的信息站”，充分显示了现代高技术条件下“制信息权”的关键作用。